HOME > 보안정보 > 최신보안동향
Security Information
문의사항
작성자 관리자 날짜 2010-12-27
제목
시큐리티 키워드 2010은  <조준사격 공격>


마케팅 커뮤니케이션 그룹 오쿠텐요우지가 선택한 시큐리티 키워드 2010은

< 조준사격 공격 >

과거의 위협과 지금의 위협을 비교해, 지금 가장 염려되는 키워드로 꼽은 것은「표적형 공격」이다.


시큐리티의 본질이란
필자는 2000년 말 부터 정보 시큐리티 전문가로서 활동을 시작했지만, 정보 시큐리티의 키워드로서 컴퓨터 바이러스가 일반화 되어 그로부터 수 년 후 보트라고 불려지는 이른바 공격 네트워크형 성형의 바이러스가 주류가 되는 동안 일본의 바이러스 내성을 높이기 위한 활동을 추진해 왔다.

기업의 98%가 바이러스 대책 솔루션을 도입해, 일반소비자의 80%이상이 최신의 바이러스 대책 소프트를 사용하고 있는 일본은 세계에서도 가장 정보보호가 진행된 나라의 하나라고 말할 수 있다.
그렇지만 일본의 정보 시큐리티에 있어서의 훌륭한 성과들은 서서히 퇴색하고 있다.
바이러스가 개발되어 퍼지는 속도가 바이러스 대책 소프트웨어 벤더의 대책 기술을 능가하고 있어
소프트웨어가 내재한 시큐리티 상의 결함을 뜻하는 ”취약성” 에 대한 대응이 선수를 빼앗기기 시작한 것이다. 

시큐리티의 본질은 ”지켜야 할 것을 거부해야 할 대상으로부터 보호한다” 는 것에 있다. 
정말로 단순한 정의이며, 지킬 대상이나 방법이 다양해도 근본은 지켜야 할 것을 지키는 것에 집약된다.
그렇지만 현재 이 본질이 흔들리는 상황이 발생하고 있다.


표적형 공격이란 개인이나 조직을 표적으로 하는 <조준사격 공격>
보호할 대상을 공격자로부터 어떻게 지킬까. 
이 간단한 요소를 어떻게 만족시켜야 할까를 두고 알기 쉽게 나타내는 방법으로 각각의 요소를 곱셈으로 표현하여 생각하면 좋겠다.

보호하는 대상    ×    공격자의 인지   ×    지키는 방법    =    시큐리티의 확보

이 중 어떤 것이든 제로인 경우 시큐리티의 확보는 제대로 이루어지지 않는다. 
즉, 위의 요소 각각에 대하여 빠짐없이 대책을 세우지 않으면 결과는 제로가 된다는 것이다. 
본질이 흔들리기 시작하고 있다고 표현한 것은 이 요소 중에서 공격자가 인지할 수 없게 되는 케이스가 증가하고 있는 것을 염려한 것이다. 
이전보다 보트 대책을 진행시키고 있지만 그 반면에 공격자가 인지할 수 없는 케이스가 증가하기 시작했다. 
그것이 팽팽하게 개인이나 조직을 조준사격하는 조준사격 공격, 이른바 표적형 공격이라는 것이다.


돌연 패닉상테에 빠지다
내가 최초로 경험한 것은, 2004년에 어느 나라로부터 받은 정보이다.
일본의 어느 제조물의 금형 데이터가 마켓에서 유통되고 있는데 왜 그렇게 되었는지 알고 싶다는 연락을 받았다.
분명 그 금형의 3차원 데이터는 일본의 작은 공장에서 만든 것이었다.
그리고 내부에서 유출된 것이 아닌건 명확했다.
왜냐하면 그 회사는 사원이 3명 밖에 없는 회사였기 때문이다.
그 회사는 젊은 기술자가 세운 회사였기 때문에 IT를 구사한 제조를 진행하고 있어 바이러스 대책도 행해지고 있었다.
일본에 있는 나에게 연락을 준 타국의 그 사람은 금형을 판매하고 있던 사람이 그 회사의 데이터를 재판매 하기 위해서 훔친 것이라고 말했다.
그러한 연유로 그 회사 전용의 바이러스를 작성하여 보냈다는 것이었다.
물론 일본의 이 회사는 그 사실에 대해 전혀 눈치채지 못하고 있다.


조준사격을 회피하는 것은 가능한가?
이 사례로 부터 6년 후, 2010년이 저물어 가려 하고 있다.
이 1년 간 다짜고짜 조준사격을 받아 기업내부에 침투되어진 사례를 듣곤 하였다.
그 대부분의 회사는 년간 어느정도 금액의 시큐리티 대책 비용과 대책 요원을 조직하고 있는 훌륭한 기업들이다.
그럼에도 불구하고 많은 경우 공격이 성공한 이후에 감지 되는 사후대책이 되고 있다.
솔직히 공격 그 자체를 사전에 대책하는 것은 곤란할지도 모른다.
그러나 폐사의 니시모토도 재삼 제언을 하고 있듯이 정보가 반출되어지기 이전에 발견할 수 있는 가능성은 있다.
공격자를 발견하지 못하더라도 정보의 발신자는 발견할 수 있다는 것이다.


정보 시큐리티를 높이는 공식
불필요하게 위협하려는 것이 아니라 내가 이 칼럼을 쓸 필요도 없이 이미 주위에서 다들 알고 있는 사실이다.
중요한 것은 지금 있는 기술을 조합하여 정보 시큐리티 전문가의 지원을 받아 사원의 시큐리티 의식을 높이는 시큐리티 왕도를 걷는 것.  왜냐하면 정보 시큐리티를 높이는 공식은 아래의 것으로, 하나라도 제로라면 전부 제로가 되기 때문이다.

기술 × 인간 × 룰이나 멘테넌스 같은 구성 = 시큐리티 대책



작성자 : 오쿠텐 요우지(奥天陽司)

주식회사 LAC 마케팅 커뮤니케이션 그룹
원문보기

 

목록보기