타킷의 데이터 유출사고가 CIO에게 전하는 4가지 교훈

타깃의 데이터 유출 사고가 CIO에게 전하는 4가지 교훈

지난 해 말 유통 업체 타깃(Target)에서 벌어진 카드 정보 유출 사태를 모르는 이는 없을 것이다. 이 문제는 기업 네트워크의 개인 식별 번호 입력 패드(PIN, Personal Identification Number pad)에 보안 구멍이 발생함으로써 벌어졌다. 유출된 지불 카드 번호는 총 1억 1,000만 건에 이르렀다. 사고 이후 기업의 CIO 베스 제이콥스가 사임했으며, 논란은 한동안 이어질 전망이다. 

시장의 거대 공개 기업으로서 타깃이 초래한 사고와 그 이후 행보는 관심의 대상이 되고 있다. CIO, 혹은 테크놀로지 관리자인 당신에게 이번 사건이 의미하는 바는 무엇일지 한 번 살펴보자. 타깃의 대규모 데이터 유출 사고는 다음과 같은 4가지 교훈을 전하고 있다.

1. 무시해선 안될 경보가 무엇인지를 명확히 하라

2. 주요 보안 문제의 처리 책임을 CISO와 공유하라

3. 사고 대응 계획을 마련하라

4. 가장 취약한 보안 지점은 가장 신경 쓰지 않는 부분이다

1. 무시해선 안될 경보가 무엇인지를 명확히 하라

모든 것이 서로 연결된 오늘날의 비즈니스 환경에서 취약점이란 도처에 만연한 존재다. 각기 다른 소프트웨어들이 서로 다른 리스크 프로파일을 지니고 있다. 어떤 기관에선 심각한 영향을 초래할 수 있는 취약성이 다른 기업에선 컴포넌츠 설정 구조를 약간 조정하는 것 만으로 해결되기도 한다.

CIO가 시행해야 할 기본적인 보안 대책은 단연 철저한 위협 분석이다. 그러나 이것 못지 않게, 밀려오는 이벤트 로그와 감사 로그, 벤더 취약성 알림, 침입 방어 메시지의 파도를 관리하는 과정 역시 필요하다는 사실을 기억해야 한다.

적용할 수 있는 우수 방법론: 각 보안 취약성 및 침입 시도가 어느 정도의 위험도를 지니는 지를 목록화 하라. 위험성 평가 기준은 비즈니스 성격에 따라 때론 시스템이 될 수도, 또 때론 위협 출처가 될 수도 있다. 세부적인 고려 사항은 다음과 같다.

◆ 소매 비즈니스의 경우에는 지불 시스템이 가장 신경 써야 할 부분이다. 정석을 따르자면 지불 시스템은 네트워크의 여타 부분들과 분리되는 것이 좋으며, 벤더 알람, 보안 감사 로그, 활동 모니터링 활동의 패칭(patching)은 가능한 자주 진행하는 것이 권고 된다. 패칭 과정에서 이상이 발견된다면 거기에는 더욱 많은 주의를 기울일 필요가 있다.

인터넷 활동이 많은 경우에는 적절한 사기 예방 조치의 확립 역시 요구되며, 쇼핑 카트와 전자상거래 소프트웨어에도 지속적인 모니터링과 패칭을 시행해야 한다.

◆ 침입 감지 시스템이나 허니팟(honeypot)이 전달하는 알림 역시 여타 알림에 비해 많은 주의를 기울여야 하는 요소다. 이 과정에는 문턱 값의 미세 조정 역시 필수적으로 요구됨을 기억하자. 침입 시도가 일회적일 경우에는 특별한 알림이 불필요하다. 그러나 반복적으로, 유사한 패턴으로 이뤄지는 침입 시도의 경우에는, 그것의 일관성을 평가하고 적절한 기술적 분석 및 보고를 진행하는 노력이 필요할 것이다.

◆ 파일 서버 혹은 데스크톱 소프트웨어 등에서 발생하는 일반적인 소프트웨어 취약성의 경우에도 분석 및 목록화가 필요하지만 테크놀로지 스택의 여타 고위험 취약성보다는 많은 역량을 투입하지 않아도 된다.

알림과 위협 메시지를 평가할 수 있는 평가 구조를 구축함으로써 신호대잡음비(signal-to-noise ratio)를 극대화할 수 있다. 즉, 무수히 쏟아지는 ‘황색 경보'들 사이에서 정말 시급한, ‘적색 경보'만을 뽑아내 보안 역량을 보다 집중적으로 투입할 수 있게 되는 것이다.

2. 주요 보안 문제의 처리 책임을 CISO와 공유하라
우리가 하는 모든 일은 특정 책임자를 필요로 한다. 대부분의 테크놀로지 활동들에 있어선 정보 서비스 조직의 대표가 그 대상이 되곤 한다. 오늘날에는 CIO에게 주어지는 책임의 범위가 더욱 확장되고 있다. 비즈니스 부문들에 대한 지원에서부터 기업 IT 웨어하우스 내부의 막대한 데이터를 활용하고자 하는 마케팅 및 행정 조직들과의 소통까지, 기업의 모든 영역이 CIO의 손길을 필요로 하고 있기 때문이다.

보안은 현대 비즈니스의 핵심으로 자리 잡아가고 있다. 그리고 그에 따라 보안 체계를 확립하고 그것을 기업 전반에 시행할 CISO의 필요성이 그 어느 때보다 대두 되고 있다. 비즈니스의 보안 현황을 감시하고 그것을 지속적으로 개선하는 역할은 그 밖에도 다양한 업무를 맡고 있는 CIO만으론 온전히 처리하기 힘든, 전담 책임자가 필요한 영역임을 기억하자.

타깃의 사례를 한 번 살펴보자. 이들은 유출 규모를 명확히 파악하는 데에만 몇 주를 소요했다. (그러나 이들이 보여준 대처는 평균 이상의 수준이었다. 대부분의 거대 데이터 유출 사고는 수 개월이 지나서야 포착되곤 한다.) 다수의 보고서에 따르면 발견된 유출 사고가 공식적으로 발표되기까지도 수 일이 걸리는 경우가 일반적이었다.

타깃의 사례에서도 공격을 통해 유출된 데이터 정보는 단계를 거치며 구체화됐다. 맨 처음 일부 집단에서 소문으로만 떠돌던 정보는 얼마 간의 시간이 지나서야 공론화 됐고, 공식 발표 까지는 또 며칠이 소요됐다.

문제의 본질을 파악하고 거기에 반응하는, 그리고 상황 악화를 저지하고 대응 계획을 실행하는 일련의 과정을 거치는 동안 타깃에 얼마나 많은 비난의 화살이 쏟아졌는지는 우리 모두 알고 있을 것이다. 결국 사태는 CIO 제이콥스의 사임으로 까지 이어졌지만, 그녀가 떠난 이후에도 문제는 여전히 남아있다. 그녀는 그 누구도 홀로 맡을 수 없는 책임을 어깨에 이고 있었던 것이다.

단순히 책임자로써 뿐 아니라, CISO는 기업이 보안을 중요한 문제로 생각한다는 사실을 비즈니스 전반에 보여줄 수 있는 상징적 역할도 수행한다. 반대로 CIO가 다른 업무들과 더불어 보안 문제를 다룰 경우에는 명령 체계 및 명령망의 혼선으로 필요한 기술적 개선 조치 실행이 지연되는 경우가 발생할 수 있다. 적절한 자율권을 부여 받은 CISO는 기업의 보안 역량 전반을 개선 시킬 수 있는 존재임을 기억하자.

3. 사고 대응 계획을 마련하라
앞선 다양한 노력에도 불구하고 유출 사고가 발생했다면, 취해야 할 조치는 단 하나다. 얼마의 비용을 소요하더라도, 최대한 빨리 문제를 해결해 더 이상의 출혈을 막는 것이다.

이 과정에서 가장 중요한 역할을 하는 것은 당연히 기술 팀이지만, 기업의 여타 소속원들 역시 주주들에게 대응 상황을 전달하는 등 각자의 임무에 충실해야 한다. 타깃의 경우에는 그리 체계적이지 못한 방식으로 사고 발표를 진행했다. 문제가 발생한 부분이 PIN인가 아니면 그저 지불 카드 번호인가? PIN은 유출됐는가? 암호화 된 PIN이 유출된 것인가? 유출 대상은 정확히 어떤 것들인가? 타깃의 설명은 시간이 지남에 따라 달라졌다. 타깃 사태는 불완전한 사고 대응 계획의 전형적인 사례로 기록될 것이다.

그러나 한 가지는 더 언급해야겠다. 필자가 이용해온 타깃 지점의 PIN 패드 및 (아마도) 여타 지불, POS 장비는 최초 유출 발표 후 수 일 내에 모두 교체가 이뤄졌다. 이런 기술적 대응은 분명 칭찬할만한 부분이다.

4. 가장 취약한 보안 지점은 가장 신경 쓰지 않는 부분이다
타깃의 유출 시작점은 이들의 기업 방화벽에 무선 네트워크로 접근한 난방공조 업체였다. 냉난방 기능만 정상적으로 작동하면 그 누구라도 별로 신경 쓰지 않을 대상이었던 것이다.

해커와 크래커만큼 섬세한 이들도 없을 것이다. 이들은 오랜 시간을 들여 정교하게 먹이감을 공략한다. 이들이 노리는 부분은 당신이 가장 눈을 두지 않는 곳이다.

CIO로에게는 팀원들이 보안과 관련한 모든 절차와 기술을 명확히 관리하도록 해야 할 책임이 있다. 조직의 모든 이들이 진지하고 신중한 자세로 보안 문제를 바라볼 수 있도록 환경을 조성하고 관리해야 한다.