위협 모델링

디지털 보안을 위한 단일한 해결책은 없다. 디지털 보안은 당신이 어떠한 도구를 사용하는가에 대한 것이 아니라, 당신이 처한 위협을 이해하고, 그러한 위협에 어떻게 대응할 것인가에 대한 것이다. 더 안전해지기 위해, 당신은 무엇을 보호할 것인지, 누구로부터 그것을 보호할 것인지 생각해야 한다. 위협은 당신의 위치, 당신이 하는 일, 누구와 함께 일하는 지 등에 따라 달라질 수 있다. 따라서, 어떠한 해결책이 당신에게 가장 적합한지 결정하기 위해, 당신은 위협 모델링 평가를 수행해야 한다.

이러한 위협 모델링 평가는 개인 차원에서 뿐만이 아니라, 단체 차원에서도 수행할 필요가 있다. 디지털 보안이 필요한 것은 개인 뿐만이 아니라, 회사나 비영리 단체 역시 마찬가지이며, 단체 차원에서 제기되는 위협과 보호해야 할 자원이 있기 때문이다. 단체 차원에서도 이러한 평가를 해보고, 그에 맞는 보안 정책을 구성원들이 함께 수립하고 이를 이행하기 위해 노력해야 한다.

 

1.1_Safety_first

 

평가를 수행할 때, 스스로에게 물어야 할 다섯 가지 핵심 질문

  1. 무엇을 보호하고 싶은가?
  2. 누구로부터 보호하고 싶은가?
  3. 그것을 보호할 필요성이 얼마나 있는가?
  4. 실패할 경우 어떠한 나쁜 결과가 초래되는가?
  5. 나쁜 결과들을 막기 위해 얼마나 많은 어려움을 극복할 의향이 있는가?

 

첫 번째 질문에 대해 얘기할 때, 우리는 종종 ‘자산’ 혹은 당신이 보호하려는 것을 언급한다. 자산은 당신에게 가치가 있고 보호하고 싶어하는 어떤 것이다. 디지털 보안을 말할 때, 문제가 되는 자산은 주로 ‘정보’이다. 예를 들어, 이메일, 연락처, 메시지, 파일 등이 모두 자산이다. 당신의 기기 역시 자산이다.

  당신이 가지고 있는 데이터의 목록, 그것을 어디에 보관하는지, 그것에 누가 접근할 수 있는지, 다른 사람이 그것에 접근하는 것을 어떻게 막을 수 있는지 적어보자.

두 번째 질문 “누구로부터 보호하고 싶은가?” 에 대한 답을 위해, 누가 당신 혹은 당신의 정보를 공격하고자 하는지, 즉, 당신의 적이 누구인지 이해하는 것이 중요하다. 적은 자산에 대한 위협을 가하는 사람이나 기관이다. 예를 들어, 당신의 상사, 정부, 해커 등이 잠재적인 적이 될 수 있다.

누가 당신의 데이터나 통신을 가로채고 싶어하는지 목록을 만들어보자. 그것은 개인, 정부기관, 혹은 기업일 수 있다.

‘위협’은 자산에 대해 발생할 수 있는 나쁜 일이다. 적이 당신의 데이터를 위협할 수 있는 많은 방법들이 있다. 예를 들어, 적은 당신의 사적 통신이 네트워크를 통해 전송될 때 몰래 읽을 수도 있고, 데이터를 지우거나 변경할 수도 있다.

적은 당신이 자신의 데이터에 접근하는 것을 방해할 수도 있다. 적들의 동기는 서로 매우 다르고, 공격 역시 그렇다. 경찰 폭력 비디오의 확산을 막고 싶어하는 정부는 그 비디오를 단지 지우거나 접근을 제한하는데 만족할 수 있지만, 정치적 반대자는 당신도 모르게 비밀 정보에 접근하거나 그것을 공개하기를 바랄 수 있다.

당신의 적들이 당신의 사적 정보를 가지고 무엇을 하고 싶어할지 적어보자.

공격자의 능력 또한 고려해야 할 중요한 요소다. 예를 들어, 이동통신사는 당신의 모든 휴대전화 기록에 접근할 수 있으며, 따라서 그 정보를 당신에 불리하게 사용할 수 있는 능력이 있다. 공개 와이파이 망의 해커는 당신의 암호화되지 않은 통신에 접근할 수 있다. 정부는 더 강력한 능력을 가지고 있을 수 있다.

고려해야 할 마지막 요소는 ‘위험’이다. ‘위험’은 특정한 자산에 대한 특정한 위협이 실제 발생할 가능성이며, (공격자의) 능력과 관련이 된다. 이동통신사는 당신의 모든 데이터에 접근할 능력이 있지만, 그들이 온라인에서 당신의 명예를 훼손하기 위해 사적 정보를 올릴 위험성은 낮다.

‘위협’과 ‘위험’을 구분하는 것이 중요하다. 위협은 발생 가능한 나쁜 일이지만, 위험은 위협이 발생할 가능성이다. 예컨데, 건물이 무너질 수는 있지만(위협), 이것이 발생할 가능성(위험)은 (지진 발생이 많은) 샌프란시스코가 (지진 발생이 별로 없는) 스톡홀름보다 훨씬 크다.

위험 분석의 수행은 개인적이며, 주관적인 과정이다. 모든 사람이 같은 방식으로 위협에 대한 똑같은 우선순위나 관점을 가지고 있는 것은 아니다. 많은 사람들이 어떤 위협은 발생 가능성(위험)이 어떻든 용납할 수 없다고 생각한다. 어떤 경우는 위협을 문제라고 보지 않기 때문에 발생 가능성이 커도 그것을 무시한다.

예를 들어, 군사적 맥락에서는 자산이 적국의 손에 넘어가는 것보다는 파괴되는 것이 나을 수 있다. 반대로, 민간에서는 기밀성보다는 이메일과 같은 자산을 손에 넣는 것이 더 중요하다.

 

자, 이제 위협 모델링을 연습해보자.

당신의 집이나 재산을 안전하게 지키고 싶다면, 다음과 같이 몇 가지 질문을 해볼 수 있다.

Q. 문을 잠가야 하는가?
Q. 어떤 종류의 자물쇠에 투자할 것인가?
Q. 더 발전된 보안 시스템이 필요한가?
Q. 자산은 무엇인가?
      Q. 내 집에서의 프라이버시인가?
      Q. 내 집에 있는 물건인가?
Q. 위협은 무엇인가?
      Q. 누군가 침입할 수 있다.
Q. 누군가 실제 침입할 가능성은 어느 정도 되는가?

스스로에게 이러한 질문들을 해 본다면, 당신은 어떠한 조치를 취할 것인지 평가할 수 있는 위치에 있게 된다. 당신의 재산이 소중하지만 침입의 위험성이 낮다면, 당신은 자물쇠에 더 많은 돈을 투자하고 싶지 않을 것이다. 반대로, 위험성이 높다면, 시장에서 가장 좋은 자물쇠를 사고 싶을 것이며, 추가적인 보안 시스템을 취할 것이다.

이 글은 EFF의 ‘An Introduction to Threat Modeling(2015년 1월 12일, 마지막 업데이트)’을 기초로 한 것입니다.