100% 안전책은 없다
잡지를 내려놓고 잠시 자리를 비운 후 다시 돌아와 보라. 두고 간 곳에 그대로 랩탑이 있다면 운이 좋은 사람이라고 생각해도 좋다. 503명의 보안 전문가를 대상으로 한 설문조사에서, 134명이 랩탑을 도둑맞은 경험이 있다고 대답했으며, 이는 총 1,176만6,500달러, 건 당 8만8,000달러에 이르는 손실액에 고유 정보의 손실로 인한 막대한 피해가 더해진다. 이러한 모든 사적인 데이터를 영영 잃어버리거나, 혹은 더 나쁘게 인터넷에 뿌려진다고 생각해 보라. 그리고 회사의 거래 기밀이 웹에 어째서 공개가 되었는지를 설명하고 있는 자신의 모습을 상상해 보라.
랩탑이 해킹 당하고 도둑맞는 데는 몇 초면 가능하다. 데이터를 보호하기 위해 당신이 무엇을 할 수 있는지 알아보자.
안전한 통신 채널
원격 컴퓨팅 보안의 기본에는 사용자가 공격 당하거나 바이러스를 뿌리고 있지 않으며, 기업 랜에 보안 접속이 되어 있음을 확인하는 일이 포함된다. 우선, 모든 랩탑 사용자에게는 개인용 방화벽이 필요하며, 이것은 평범한 몇몇 공격들을 물리쳐줄 것이다.
개인용 방화벽은 또한 접속이나 핑(ping)에 응답하지 않게 하고, 포트와 프로토콜을 차폐하고, 호스트 기반 침입 탐지를 수행하며, 인터넷에 액세스할 애플리케이션을 지정함으로써 PC를 ‘숨길’ 수 있다. 당신이 집중적으로 관리되는 방화벽을 원하고 있다는 사실을 염두에 두라. 엔드유저는 보안에 대해서는 어떠한 결정도 내려서는 안 된다. 정책을 지정하는 것은 당신이며, 이들은 그것을 따라야 한다.
우리는 애플리케이션 제어 기능이 있는 방화벽이 포트만 차폐하는 방화벽보다 트로이전(Trojans)을 막는 데 뛰어나다는 사실을 발견했는데, 이것은, 트로이전들이 공통 포트에서 아웃바운드 접속을 만들어냄으로써 활용할 수 있기 때문이다. 하지만 방화벽만으로는 바이러스를 막아주지 못한다. 따라서 안티바이러스 소프트웨어가 필요하며, 새 서명 정의를 자주 체크하는 패키지일수록 바람직하다.
소프트웨어 보안에서 다음 단계는 랩탑 사용자가 적법한 사용자인지를 확인하는 일이다. 여기에는 몇 가지 선택이 있다. 하나는 사용자에게 시작 시에나 유휴 시간이 지난 뒤 OS 로그인 화면이나 바이오스 부팅 시에 로그인 패스워드를 입력하게 하는 것이다. 패스워드로 안전한 느낌이 들지 않는다면, 망막 스캔, 지문이나 음성 인식 등과 같은 생체인식 인증 방안을 사용할 수 있다. 하지만 명심해야 할 것은 많은 생체 인식 장비들이 직렬, 혹은 USB 포트에 꽂히며 랩탑 사용자가 가지고 다니면서 잃어버리거나 망가뜨릴 수 있는 한 가지가 더 늘어난다는 사실이다. 에이서, 마이크론PC 및 기타 업체들이 지문인식 스캐너가 내장된 랩탑을 판매하고 있다.
많은 랩탑에 마이크 포트가 있기 때문에 음성 분석이 좋은 선택인 것처럼 보이지만, 이것은 문제가 있을 수 있다. 예를 들어 소음이 많은 환경에서 컴퓨터가 소리를 집어내지 못할 수 있으며, 후두염이나 독한 감기가 엄청난 헬프데스크 호출을 불러올 수 있다.
기업 네트워크로의 접속일 경우, 두 가지 단어로 압축된다. 즉 암호화를 사용하라. 우선, 어떤 것이 암호화돼야 하는지를 파악해야 한다. 모든 사용자가 하고자 하는 것이 웹 기반 프로그램 액세스라면, HTTPS로 만족할 수 있다. 또한 SSL을 이용해 IMAP나 POP3에서 e-메일을 암호화할 수 있으며, 이것은 호스트에서 e-메일 서버에 이르는 전체 세션을 암호화함으로써 인터넷에서의 e-메일 송수신을 보다 안전하게 만들어준다.
e-메일 암호화에는 S/MIME과 SSL에서의 IMAP/POP3 등 두 가지 주요 형태가 있는데, 이들은 서로 다른 필요를 충족시켜준다. S/MIME은 메시지를 암호화하거나 서명하지만, 세션은 아니다. SSL에서의 IMAP/POP3는 로그인과 세션을 보안하지만, 다음 연결(hop)에서는 데이터가 플레인 텍스트(plain text)로 전송될 수 있다. SSL에서의 IMAP는 매우 간단하며, 어떠한 사용자 개입도 필요로 하지 않지만, 모든 클라이언트 소프트웨어가 이것을 지원하지는 않는다.
모든 트래픽이 암호화되기를 원하거나, 일부 프로그램이 암호화를 지원하지 않는다면 VPN이 가야 할 길이다. 가상 사설망은 내부 자원을 공개적으로 접근 가능하게 만들 필요 없이 원격 사용자가 내부 자원에 액세스할 수 있게 해준다.
게다가, 분할 터널링 기능을 정지시키면, VPN이 작동하는 동안 기업 네트워크용으로 지정된 트래픽 뿐만 아니라 모든 네트워크 트래픽 흐름이 VPN을 통과하게 된다. 일부 VPN 클라이언트는 개인용 방화벽에 번들 되거나 통합돼서 나오기 때문에, 배치와 관리가 간단해진다. 대부분의 VPN 클라이언트는 증명 처리와 인증을 위해 스마트카드, USB 토큰 및 생체인식 장비와의 통합을 지원하고 있다.
이런 모든 방화벽, 안티바이러스, 인증 및 VPN 시스템은 헬프데스크 수요를 늘리며 최신 것으로 유지돼야 하는 소프트웨어도 늘어나게 한다. 그리고 각각에게는 별도의 관리 서버와 관리 인터페이스도 필요할 것이기 때문에 비용 분석시에는 이런 요소들을 고려하도록 하라.
제 8계명: 도둑질하지 말라
석기시대 동굴인이 이웃의 화덕에서 고기 다리를 집어갔을 때부터 도둑은 현실 속에 존재해 왔다. 랩탑도 마찬가지로 맛있고 쉬운 표적이다. 혼잡한 터미널에서 랩탑 가방을 집어 가는 데는 1초밖에 걸리지 않으며, 머리 위의 짐칸에 가방을 잊고 내리기도 쉬운 일이다. 美 국세청과 같은 기관에서도 지난 3년 동안 2,332대나 되는 랩탑을 잘못 두고 내렸으며, 정보자 개인 정보가 유실되는 것도 막을 수 없었다.
랩탑을 분실할 경우 하드웨어 가격 이상의 손해를 보게 되는 것은 분명한 사실이다. 컴퓨터에 있는 정보가 얼마나 소중한가? 백업되지 않았을 경우 많은 시간적 손실을 볼 수 있다. 어떤 랩탑에는 또한 개인 정보나 잘못 넘어갈 경우 수백만 달러의 가치가 있는 민감한 거래 비밀이 들어 있을 수도 있다.
알람 신호를 해주는 케이블 록 보호 제품도 나와 있다. 그러나 어떠한 잠금 제품도 100%의 절도 방지를 해주지는 못하며, 단지 가능성을 줄여줄 뿐이다. 대부분의 랩탑들은 잠금 장비용으로 작은 슬롯들만 있는 비교적 약한 플라스틱으로 만들어져 있다. 우리는 드라이버만 있으면 케이스를 열어 잠금 장치를 충분히 제거할 수 있다는 사실을 알 수 있었다.
손바닥 크기의 부탄/프로판 토치는 플라스틱을 녹여 물러지게 할 수 있다. 옆면에 벌어진 구멍이 있는 랩탑은 손상이 없는 것보다 빼돌리기 나쁘기는 하겠지만, 부품들은 튼튼할 것이며 데이터에만 관심이 있는 도둑이라면 물리적 손상에는 신경을 쓰지 않을 것이다. 강화 마그네슘으로 몸체가 돼 있는 휴렛팩커드의 옴니북 6000(OmniBook 6000)처럼 강화 플라스틱 케이스를 갖추었거나, 강화된 보안 슬롯이 있는 랩탑을 선택할 것을 추천한다.
