빅 브리치

Big Breaches

Cybersecurity Lessons for Everyone
_{Neil Daswani and Moudy Elbayadi | 2021}

저자 두 분은 모두 보안 전문가입니다. 세계적인 기업에서 보안 담당을 해왔던 배경을 갖추었습니다. 책은 크게 사례와 강의로 나뉩니다. 사례가 궁금해서 읽게 되었는데, 내용 자체는 일반인들을 위한 것은 아니고 기업내 보안 관련자들을 대상으로 합니다.

인수 과정이 남긴 취약점

2018년 메리어트는 3억 8300만 건의 고객 정보와
500만 건 이상의 여권 번호를 도난당했다.
도난당한 정보에는 호텔 투숙객 이름, 생년월일,
신용카드 정보 및 집 주소가 포한돼 있었다.

3장 메리어트 침해사고

보안은 가장 약한 연결고리가 그 시스템이 갖춘 수준이라고 합니다. 그리고 이 침해사고는 메리어트가 원인이 아니었습니다. 문제는 인수한 스타우드에 갖춰진 낙후된 시스템이었습니다. 비즈니스에서 인수에서 보안 부분은 후순위 이슈입니다. 그러다보니 문제를 해결하기 전에 이미 해커에게 먹잇감이 되어 버린 사례라고 할 수 있습니다. 게다가 여기서 오래된 시스템이란 의미로 ‘7년’을 언급합니다. 보통 보안에서 EoL(End of Life: 지원 종료 시전) 은 5년 정도이고, 국내 회사에서 이 기간을 넘기는 회사가 부지기수입니다.

침해보다 ‘설계 오류’에서 무너진 개인정보

페이스북에 영향을 준 사건들은
모두 데이터 침해사고가 아니었으며,
제3자인 서드파티가 페이스북과 관련된
개인정보 및 보안 사고의 중요한 근본
원인이었다는 점에 주목할 필요가 있다.

5장 페이스북 보안 이슈와 2016년 미국 대선

소셜미디어에서 가장 많은 사용자를 거느린 페이스북은 영향력 만큼이나 보안 노출 위험도로 인해 많은 우려를 가진 회사입니다. 그리고 당시 미 대선에서 제3자 데이터 접근 권한 관리 문제를 드러내었습니다. 러시아가 관련되어 있다고 알려진 이 사건은 가장 큰 이득을 본 사람이 당시 당선인이자 미 대통령이 된 트럼프라는 역설로도 이슈가 되었습니다. 게다가 인용구처럼 침해사고도 아니었습니다. 한 회사에 보안 설계 자체부터 발생한 오류가 한 국가 정치에까지 영향을 미친 어처구니 없는 상황이었습니다. 하지만 다시 트럼프가 당선된 걸 보면 꼭 그런 것 같지는 않긴 합니다. 이런 얘길하기엔 쿠데타 이후 탄핵도 제대로 못하는 우리 상황이 더 심각해서 좀 머쓱하긴 합니다.

온라인에서 필요한 안전벨트

운전 직전 교통사고로부터
몸을 보호하기 위해 안전벨트를 매는 것처럼
온라인에서도 정보를 보호하기 위한
안전벨트가 필요하다.

15장 소비자를 위한 조언

현재 사이버 침해 사고 중 대표적인 건 랜섬웨어와 피싱일겁니다. 그리고 피싱에서 다른 한 갈래로 큐싱(Qshing: QR 코드 + 피싱 링크 방식)도 있습니다. 회사나 정부를 믿기 전에 소비자 입장에서 자신을 지킬 방안으로 여러가지가 제시됩니다. 그 중에 이중 인증이 가장 먼저 나옵니다. 이것도 우회하는 사회공학과 해킹 방법이 있지만, 최소한 방어를 위해 꼭 필요합니다. 또 다른 방안으로 비밀번호 관리자를 언급하는데, 저는 이 관리자도 해킹 여지가 있기 때문에 적극 사용하지만, 나름 함축어를 통해 방어적으로 사용합니다. 그렇다고 안전하진 않지만, 혹시나 해서 해커를 귀찮게 하면 넘어가지 않을까 싶은 심정으로 사용하는 방법입니다. 그 외에 다른 방안도 있지만 여기선 이 정도만 남깁니다.

結

내용에 기술적인 부분이 제법 나옵니다. 게다가 책 절반 이후에는 보안 정책에 대한 문제라서 생각보다는 딱딱한 책입니다. 여기에 출판사 특성상 책이 더 단단한 강철로 느껴지는 편집은 항상 불만입니다. 이런 특성으로 인해 이 출판사 책은 선뜻 손이 안 가는건 저만의 문제는 아니라고 봅니다. ‘우리 책은 당신이 대상이 아니야’라면 할 말은 없겠습니다. 하지만 개발자인 저도 편집 디자인이 불편하다고 느낀다면 조금은 생각을 해 봤으면 하는 바람입니다.