한국CA에서 2006년을 달궜던 보안 이슈와 2007년에 주목해야할 흐름들을 정리한 자료들을 보내왔습니다. 참고하실만한 내용들인 것 같아 정리해 드립니다. 국내보다는 글로벌 관점에서 작성된 자료임을 감안하시기 바랍니다.
2006의 주요 문제들
컴플라이언스 준수: 2006년에는 IT 관련 임원들을 대경실색하게 할 만한 법령이나 규정이 공표되지는 않았다. 다만 주요 법령들 (사베인-옥슬리 법과 Gramm-Leach-Bliley 법)과 일반 법령들 (USA PATRIOT 법, 미국 여러 주의 사생활보호법)에 신경써야 했고 이를 위한 예산도 상당했다.
지난 12월 1일에는 또 다른 이슈가 등장했다. FRCP (Federal Rules for Civil Proceedings)가 바로 그것으로 소송에서 증거 파악을 목적으로 모든 관련 e메일과 메신저 메시지들을 비롯한 전자 정보를 이용할 수 있도록 규정한 법령이다. 모든 IT 관리자들이 통찰력을 갖출 수는 없으므로 전사적 차원에서 이동하는 정보를 모두 파악하겠다는 것이다. 이 법령의 새로운 점은 인스턴트 메시징 및 백업매체 처리 절차를 추가했다는 것이다.
피싱(Phishing): e메일을 가장하거나 가짜 웹사이트를 교묘하게 사용하는 방식을 통한 사회공학적 공격 기법이 경지에 도달했다. 정확한 수치는 알 수 없지만 이러한 사기에 속아 넘어간 미국 소비자들의 피해 액수는 5억 달러 이상으로 추정된다.
물리적 손실: 물리적 매체가 실제로 재난을 당하는 일도 있었다. 가장 주목할 만한 경우로, Bank of America의 백업 테이프가 Iron Mountain에 소재한 저장소로 이동하는 도중에 사라졌다. 여기에는 미 상원 의원 60명에 대한 정보가 담겨 있었다. 주요 데이터센터가 날마다 주변 지역으로 백업 매체를 전달하고 있다는 점을 감안하면, 이같은 사건에 주목할 필요가 있다. 캘리포니아는 다른 30곳의 주 정부들과 함께 고객 데이터가 침해될 경우 이를 공개할 것을 법률로 규정하고 있기도 하다.
2007년의 주요 동향들
비스타 (Vista) 보안: MS는 신형 운영체제 윈도비스타의 보안성에 대한 강한 자신감을 보여왔다. 실제 어느정도 방어력을 갖췄는지는 2007년에 검증될 것이다.
NAC / NAP: 네트워크접근제어(NAC)가 관심을 끌 것이다. 우선 이동시스템 (traveling system)에 수락 제어 기능을 제공하고 그 다음 망에 연결된 모든 시스템에 이 기능을 제공하도록하는데 비용을 투자할 것이다. OS와 애플리케이션을 위한 식별, 인증, 신속한 바이러스/스파이웨어 검수, 최종 지점 정책 점검 등에 대해 보완이 이뤄질 것으로 예상된다. IT 관련 고위 관리자 중 40% 이상이 NAC 솔루션을 고려하거나 이를 구축할 예정이라고 대답했다는 조사 결과도 있다. 2007년에도 아웃소싱 및 이들 업체를 활용하는 빈도가 늘어나고 컴플라이언스 사항이 증가할 것이므로 NAC는 계속 주목을 받게될 것이다.
악랄해진 범죄자들: 몇몇 대수롭지 않은 듯한 동향들은 심각한 문제를 야기한다. 사이버 범죄자들의 상상력과 기술력은 더욱 향상되고 있으며 인내심도 강해졌다. 툴의 성능도 향상됐다. 또한 과시를 목적으로한 공격보다는 금전적 이익을 원하는 범죄자들이 늘고 있다.
타깃 공격:영악한 능력과 인내심을 하나로 엮으면 어떻게 될까? 이미 일부 사이버 범죄자들이 특정 애플리케이션들과 특정 회사를 목표로 삼고 있다는 소문이 돌고 있다. 아파치 웹 서버나 MS SQL 서버 등의 특정 소프트웨어를 남몰래 활용하는 사례는 알려진지 오래다. 새로운 대상은 오라클 서버와 같은 기존의 기반 소프트웨어와 은행, 정부기관, 보건 관련 기업 등의 특정 최종 사용자 기업으로 확대되고 있다.
e메일 스팸:네트워크는 수년에 걸쳐 스팸과 피싱 메일로 넘쳐나고 있다. 2006년들어 이 문제는 생산성에 영향을 주는 수준에 도달했고 2007년에는 용인할 수 없는 수준까지 높아질 것으로 보인다. 리소스에 따라 다르겠지만 스팸/피싱 메시지는 전체 e메일 트래픽의 50 ~ 90%에 달하며 전체 인터넷 트래픽으로 보면 최대 40%에 달하고 있다.