출처 : http://swbae.egloos.com/page/32
1. 방어자는 모든 지점을 방어해야 하지만, 공격자는 상대의 약점이 되는 부분만
공략하면 된다.
2. 방어자는 알려진 공격 방법만 방어할 수 있지만, 공격자는 알려지지 않은 취약점을 공략할 수
있다.
3. 방어자는 쉴틈없이 방어해야 하지만, 공격자는 공격 시점을 마음대로 선택할 수
있다.
4. 방어자는 규칙에 따라 행동해야 하지만, 공격자는 규칙을 무시할 수
있다.
이는 Isaac Asimov의 로봇 공학 3원칙처럼, Security에 있어 가장 근본적인 원칙이다.
위와
같은 이유로 인해 방어자는 항상 수세에 몰릴 수 밖에 없다.
이제 위의 4가지 원칙에서 도출되는 부수적인 원칙 몇 가지를
생각해보자.
1. 공격자는 수익에 집중할 수 있지만, 방어자는 비용을
쏟아부어야 한다.
2. 공격자는 혼자서도 공격할 수
있지만, 방어자는 규모의 영향을 받는다.
3. 공격자는 한가지 기술만 알아도
되지만, 방어자는 모든 기술을 알아야 한다.
각각에 대해 좀더 상세히 알아보자.
1. 공격자는 수익에 집중할 수 있지만, 방어자는 비용을 쏟아부어야
한다.
여전히 대부분의 해킹은 학생이나 해커 워너비의 흥미, 호기심으로 인해 이루어지지만, 실제 피해를 일으키는 해킹은
사업화되었다. 이들은 해킹을 위해 과감한 투자를 감행할 수 있다. 왜냐하면 그 투자가 곧바로 수익 증대로 직결되기 때문이다. 하지만, 기업 내의
보안담당자나 관련된 서비스를 제공하는 보안 인력들은 이미 잘 알고 있겠지만, 방어자 입장에선 Security 투자에 대한 ROI를 정당화하는
것이 너무나 어렵다.
타겟의 단 한군데의 취약점을 공략하기 위해 수행하는 투자의 규모와 모든 지점을 방어하기 위해 투자해야 하는
비용의 규모에는 당연히 큰 차이가 있다. 또한 기존의 부족한 통계 자료를 토대로 보안에 대한 투자를 정당화하기엔 경영층 내에서의 저항이 너무나
강하다.
왜 일어나지도 않은 미래의 불명확한 문제 가능성을 예방하기 위해 회사 예산을 쏟아부어야 하는가? 비지니스 환경의 경쟁은
날이 갈수록 치열해지고 경쟁자를 앞서기 위해 조직 전체가 예산에 목말라하고 있다. 글로벌 경제 침체는 조직 전체의 비용 절감을 원하고 있다.
그런데 왜 Security 담당자들은 계속 더 많은 돈을 원하며, 보안 사고는 왜 끊임없이 일어나고 있는가?
때문에 가장 편하게
보안에 비용을 투입하는 방법은 실제 사고가 일어난 후 해당 문제를 직접적으로 해결하기 위해 투입하는 것이다. ROI를 정당화하기
쉬우니까…
해킹은 적은 돈을 투입해 수익을 얻는 조직과 많은 돈을 비용으로 투입해야만 하는 조직 사이의 경쟁이다. 때문에
공격자는 방어자에 비해 현저한 우위를 점유할 수 밖에 없다.
2. 공격자는
혼자서도 공격할 수 있지만, 방어자는 규모의 영향을 받는다.
범죄형 해킹은 대부분 점조직화된 협업 체계를 통해 이루어지지만,
단 한 명의 해커가 방어선을 뚫고 들어올 수도 있다.
반면, 오늘날의 글로벌화되고 복잡한 비지니스 협업 체계는 방어해야 하는
포인트를 거의 무한정 확장한다. 외국 파견 주재원이 본사와 협업하기 위해 사용하는 VPN 연결, 고객 영업을 위해 분주히 돌아다니는 영업 사원의
스마트폰, 외주 업체에게 전달한 RFP의 단 한 페이지가, 이전까지는 해커가 두드려도 꿈쩍도 않던 회사의 빗장을 활짝 열어줄 수
있다.
때문에 정보 유출을 막기 위해선 회사의 모든 부서, 모든 조직원이 내가 이 행동을 했을 때 우리 회사 비지니스에 어떤 영향이
일어나는가를 끊임없이 신경쓰고 세심하게 주의해야 한다. 하지만, 비지니스는 이렇게 동작하지 않는다. 내가 다른 회사와 협업하기 위해선 당연히
무엇인가를 주어야 한다. 나를 믿지 않는 비지니스 파트너와 같이 일하려는 사람이나 회사는 거의 없다.
우리의 업무 환경은 업무를
위해 회사 외부인에게 정보를 주어야 하는 다수의 조직 및 구성원, 글로벌하게 확장된 무수한 방어 포인트, 정보 유출을 막으려는 소수의 보안
인력으로 이루어져있다. 때문에 공격자는 방어자에 비해 현저한 우위를 점유할 수 밖에 없다.
3. 공격자는 한가지 기술만 알아도 되지만, 방어자는 모든 기술을 알아야
한다.
범죄형 해킹의 특징을 보면 서적에 나오는 서너가지 기본적인 기법만 이용하고 있는 경우가 대부분이다.
반면
보안 인력들은 공격자들에 비해 기술적으로 수십~수백배 정도 뛰어나고 전문적이다. 이들은 남들이 다 놀고 쉬고 있는 그 시간에도 밤새 컴퓨터 앞에
앉아 끊임없이 공부한다. 나 역시 사회 초년생이 된 그 날 이후로 주말이나 휴가 때 남들같은 취미 생활이나 휴식 시간을 가져본 기억이 거의
없다. 어제 저녁에 미국 보안 컨퍼런스에서 발표된 20페이지 짜리 프리젠테이션 자료가 오늘 아침 우리 회사의 보안망이 뚫리는 사태로 다가올 수
있기 때문이다.
하지만, 그럼에도 불구하고 초보적인 해킹 기법을 알고 있는 해커들이 최고의 전문인력들이 포진해있는 회사의 보안을
뚫고 들어오는 상황은 전세계 어디서나 매일 같이 벌어진다.
공격자는 자신이 알고 있는 몇 가지 초보적인 기법의 조합만으로도 해킹을
시도할 수 있지만, 방어자는 언제, 누가, 그 넓은 방어 포인트 중 어디를 통해서, 어떤 기법으로 쳐들어올지 예상할 수 없기 때문이다. 때문에
공격자는 방어자에 비해 현저한 우위를 점유할 수 밖에 없다.
근본적으로 이 경쟁은 지는 싸움이다. 판이 이미 그렇게 짜여져 있기
때문이다.
당신이 만약 보안 서비스 회사의 전문 인력으로 기업이나 공공기관의 보안 담당자로 이직한 사람이라면 곰곰히 기억을
떠올려보라.
예전에 자신의 컴퓨터로 광활한 네트워크를 활보하고 다니며 자신이 원하는 포인트를 선택해 자신이 원하는 공격 방법으로 공략하던
자유로운 모습의 자신과, 개발자나 SM담당자들과 코드 한줄, 환경 설정 한줄에 대해 이게 어느 부서 주관이고, 누구 담당이고, 예전 히스토리가
어쨌고, 왜 그렇게 취약하게 될 수 밖에 없었는지를 구구절절이 얘기하고 있는 지금의 자신을…
어느게 더 즐겁고
쉬웠나?
부록
4. 공격자는 항상 칭찬을 받지만, 방어자는 항상
쿠사리를 먹는다.
Bae의 법칙
이 법칙은 진리다. 받아들여라~