유명 해커 미트닉은 CEO부터 접수 직원에 이르기까지 같은 회사에 몸담고 있는 모든 사람들이 컴퓨터 시스템 침입자들의 침입 경로에 대해 알고있어야 한다고 충고한다.
지난 27일 악명 높은 해커인 케빈 미트닉은 IT 매니저들에게, CEO부터 접수 직원에 이르는 모든 직원들을 상대로 해커들의 활동 방식과 보안 강화법에 대해 교육시키지 않는 한, 기업 네트워크와 웹사이트는 공격으로부터 결코 안전할 수 없을 것이라고 경고했다.
미트닉은 뉴욕에서 열린 기가 인포메이션 그룹(Giga Information Group)의 e-비즈니스를 위한 인프라(Infrastructures for E-Business) 컨퍼런스 폐막 연설에서 해커들이 기업 컴퓨터 네트워크를 손상시키기 위해 동원하는 상상력, 사물, 방법 등을 설명했다. 이번 연설은 그가 지난 1월 감옥에서 석방된 후 처음 한 연설이었다. 그는 보안의 핵심은 「탐지」와 「대응」이라고 강조했다.
그는 청중들에게 "여러분들은 ''신은 믿어도 사람들은 믿지 말아야 한다''는 말을 받아들여야 한다. 보안 문제에 있어 가장 취약한 부분은 바로 사람이다. 여러분 스스로 자문해봐야할 중요한 질문은 여러분들이 운영하는 e-비즈니스가 공격대상이 될 것인지 여부가 아니라 과연 언제 공격대상이 될 것인가 하는 점"이라고 강변했다.
미트닉은 5개 연방법원에서 도청 및 컴퓨터 사기죄로 유죄판결을 받고 5년 형기를 마친 후 석방됐다. 그는 후지쯔, 모토로라, 노키아, UCLA의 컴퓨터 시스템을 해킹해 수백만 달러의 손실을 입힌 혐의로 기소됐다. 그는 현재 3년간의 보호 관찰 대상으로 복역 중인데 이 기간동안 컴퓨터를 사용하려면 특별허가를 받아야 한다.
어떤 부분을 조심해야 하는가
미트닉은 "전자상거래가 확산됨에 따라 모든 직원들은 해커들의 내부 컴퓨터 통제권을 장악하기 위해 사용하는 수법과 책략에 대해 알고있어야 한다"고 주장했다. 한마디로 기술만으로는 부족하다는 것이다. 지위고하를 막론하고 모든 직원들은 최상의 패스워드를 선택하는 법과 바이러스, 웜, 트로이목마 등으로부터 기업을 보호하기 위해 정책 및 절차를 입안하는 방법을 알고 있어야 한다.
그는 "파이어월울 설치하는 것만으로 모든 잠재적 보안 위협으로부터 벗어날 것이라고 생각하는 것은 순진한 발상이다. 그런 생각은 보안에 대한 잘못된 인식을 만들어내며 잘못된 보안인식은 전혀 보안을 갖추지 못한 것보다 나쁘다"고 주장했다.
미트닉은 IT 매니저들에게 침입자들이 취약한 네트워크 접속점에 접근하기 위해 사용하는 물리적인 방법들을 파악할 수 있는 통찰력을 심어줬다. 그는 회의장에 데이터 잭을 계속 꽂아두거나, 컴퓨터 교육실과 전화 및 케이블이 들어있는 캐비넷을 사용하지 않을 때 잠그지 않은 채 놔두는 일이 없도록 하라고 경고했다.
또한 기업들은 민감한 대외비 정보들을 등급별로 분류하고 마그네틱 미디어에 들어있는 데이터들은 삭제하거나 파기한 후 버려야한다고 충고했다. 이렇게 하면 해커들이 패스워드 목록이나 기업 디렉토리 정보를 얻기 위해 가장 즐겨 사용하는 수법인 쓰레기 뒤지기를 단념하게 될 것이다.
미트닉은 기업들이 다른 사업부문에서 하는 것처럼 보안 위험을 줄이는 일에 있어서도 비용과 이점을 분석할 것을 적극 권고했다. 기업들이 위험 감소에 투자하는 비용을 상쇄하고 보안 취약점을 개선하기 위해 보안위협으로 인한 충격 정도와 사고시 손실 금액을 추정해 볼 수 있는 위험 평가를 실시하라는 것이다.
미트닉은 IT 매니저들에게 조직 내의 모든 사람들이 보안의 이점에 대해 바른 이해를 가질 수 있는 동기를 부여하라고 충고하며 연설을 마무리했다. 그는 모두의 협력 없이는 세상의 어떤 기술도 컴퓨터 네트워크를 안전하게 유지할 수 없다고 강조했다.
그는 "요즘 같은 세상에 위협을 완전히 제거하는 방법이란 존재하지 않는다. 장애물을 뛰어넘는 사람들은 앞으로도 항상 있을 것이기 때문이다. 하지만 사람이야말로 가장 취약한 부분이다. 그러므로 보안은 역동적인 프로세스란 것을 모든 사람들에게 확실히 인식시키는 것이 중요하다"고 말했다. @
