Saturday, July 25, 2020

[분석맨의 좋은 글 모음] 중년의 지혜


  • 중년의 지혜

           나이 들었다고 좌절할 때가 많다. 학창 시절에는 영어 단어를 외우면 며칠을 갔지만, 중년에 들어선 후엔 몇십 분 후에는 기억이 나질 않는다. 기억력 감퇴 이유는 뇌에서 기억과 학습을 담당하는 해마(hippocampus)의 뇌 신경세포가 나이 들면서 파괴 속도가 빨라지기 때문이다. 하지만, 나이 들어서도 측두엽과 전두엽을 활성화하면 세포 수가 줄더라도 기억력은 지킬 수 있다.

관심 분야 공부하기, 필기하는 습관, 유산소 운동, 손을 많이 쓰기 등의 활동을 통해 기억력을 강화할 수 있다.
펜실베이니아 주립대학의 한 연구에서 인간의 총체적이고 종합적인 지능이 중년에 가장 높게 나타났다는 연구 결과도 있다. 중년 중에서도 남성은 50대 후반에 정점, 여성은 60대 중반 이후에도 꾸준히 지능이 향상된다고 한다. 나이 들어 머리가 녹슬어서 공부 못한다는 얘기는 이제 핑계다.


Thursday, July 16, 2020

트위터도 무력화시키는 소셜 엔지니어링(Social Engineering) 공격

▶ 업데이트

✓ (08/18/2020) 트위터 해킹 범인이 잡혔다. 플로리다 거주 17세 청년과 플로리다 출신 공범 22세, 영국 거주 공범 19세.
✓ (07/18/2020) 이번 트위터 해킹이 특정 국가 지원이나 해커 집단이 아닌 10~20대 해커들이라는 NYT 기사.
✓ 이들이 사용했던 메신저는 디스코드(Discord)는 원래 게임에 사용하기 위해 만들어졌다. 보이스 채팅 중심이었지만 텍스트 채팅과 정보 공유, 관리 기능 등을 통해 게이머들에게 인기다. 사이버 범죄자들에게도 인기라서 텔레그램이나 왓츠앱과 비교해 9배나 빠르게 다크웹 사용자들이 가입하고 있다고 한다.

* 관련 기사

- 유명 트위터 해킹범 잡았다…범인은 17세 소년 (지디넷) 
- “트위터 해킹은 10∼20대 소행”…NYT, 해커들과 메신저 인터뷰 (연합뉴스)
다크웹이 되어가는 인스턴트 메시지 플랫폼, 텔레그램과 디스코드 심각 (보안뉴스)

---

2020년 7월 15일, 버락 오마바(Barrack Obama), 빌 게이츠(Bill Gates), 워렌 버핏(Warren Buffett), 조 바이든(Joe Biden), 제프 베이조스(Jeff Bezos), 일론 머스크(Elon Musk) 등 유명인과 애플, 우버 등의 회사 트위터 계정이 동시다발로 해킹당하는 사건이 발생했다. 유명인들이 30분 안에 1,000달러를 비트코인으로 입금하면, 두 배로 돌려주겠다고 했으니 속는 사람이 많았다. 블룸버그는 해당일 약 11만 달러가 해당 비트코인 지갑으로 송금됐다고 보도했다.

* 기사 참조: 트위터 해킹, 내부 직원 노린 '사회공학 공격'…후폭풍 거셀 듯 (연합뉴스)



소셜 엔지니어링(Social Engineering) 공격은 한글로 '사회공학'으로 번역되기도 한다. 보통 사이버보안에서는 기술적인 방법이 우선시 되는데, 이 사회공학 기법은 사람을 대상으로 한다. 즉, 기술적인 방법이 아니라 사람 간의 신뢰를 기반으로 사람을 속여 비밀 정보를 획득하거나, 보안을 무력화시키는 공격 기법이다.

이 분야에서 전설적인 해커인 '캐빈 미트닉(Kevin Mitnick, 별명: 콘도르)과 수잔 헤들리(Susan Headley, 혹은 Susy Thunder)'가 유명하다. 케빈 미트닉은 워낙 유명해서 '테이크다운(Takedown)'이란 영화도 만들어졌다. 이 영화는 당시 샌디에이고 슈퍼컴퓨터센터에서 일하던 '츠토무 시모무라(Tsutomu Shimomura)'와의 실제 대결을 소재로 제작되었다. 케빈 미트닉은 시모무라의 도움으로 FBI 체포되어 감옥에서 복역했지만, 이후 출소하여 보안 컨설팅 회사를 세운다. 관련해서 '해킹, 속임수의 예술(The Art of Deception)'이란 책도 썼다.

최근에는 코로나 바이러스(코로나19, COVID-19) 사태를 악용한 소셜 엔지니어링 공격이 많아졌다. 이메일을 통한 피싱(Phishing), 휴대폰 문자를 이용한 스미싱(Smishing=SMS+Phishing), 비싱(Vishing=VoIP+Phishing) 등이 모두 소셜 엔지니어링 공격에 해당한다.

예를 들면, 코로나 경기 부양 지원금 관련 이메일을 보내며 돈을 줄 테니 개인 정보를 입력하고, 수령자에 해당하는지 확인하도록 유도하는 식이다. 어려운 상황에서 사람들이 클릭하지 않을 수 없게 만드는 사람의 심리를 교묘하게 이용한다.

트위터는 중간 조사 결과 발표에서 "내부 시스템 및 도구 접근 권한을 가진 일부 직원을 대상으로 한 조직적인 '소셜 엔지니어링 공격'으로 생각되는 것을 발견했다"고 밝혔다. 현재까지 나온 외신들의 보도를 종합해 보면, ‘트위터 임직원의 계정 탈취를 통한 백엔드 접근’이 가장 유력한 시나리오로 추정한다.

문제는 해커들에게 관리자 권한이 털렸을 뿐만 아니라, 이 관리자 권한으로 사용자 계정에 마음대로 글을 쓸 수 있다는 사실이다. 일반적인 보안 권한은 관리자 권한이라 하더라도 사용자 글을 수정할 수 없도록 해야 한다.

올해 2월에 샌프란시스코에서 열린, 세계 최대 보안 콘퍼런스인 RSA 2020의 주제는 '인간 요소(Human Element
)'였다. 사이버보안 분야에서 사람의 중요성이 무엇보다 크다는 뜻이다.



클라우드, IoT 디바이스의 증가와 더불어 통제할 수 없는 부분이 점점 더 많아지고 있고, 통제할수록 비용도 증가하기 때문이다. 즉, 사이버보안의 근본은 사람을 보호하는 것임을 인식하고 증가하는 보안 위협과 소셜 엔지니어링 공격 대응을 위한 기술 발전의 중심에 사람이 있음을 강조한 것이다. 1,000명의 사람에게 의심스러운 링크를 클릭하지 말라고 해도, 한 명이 클릭하면 수많은 투자를 해서 구축한 보안 시스템들이 무력화되기 때문이다. 이제는 이용자가 악성 링크를 클릭하지 않도록 하는 통제식 보안이 아닌, 클릭해도 상관없는 보안 모델로 전환해야 한다.

* 기사 참조: [RSA 2020]통제의 보안 시대 '끝'...협업과 설계 단순화가 '열쇠' (전자신문)

이런 이유로, 기술의 수준 향상도 중요하지만, 공유와 협력이 중요한 가치로 인식되고 있다. IT팀과 보안팀의 협업, 민·관의 협업 체계 구축이 강조되는 이유다. 사이버 회복력(Cyber Resilience)을 강화해야 하는데 이는 협업을 통해서 가능하다. 요약하면, 하나가 아닌 모두를 위한 보안, 기술만이 아닌 사회, 조직, 내부 문화가 모두 변해야 사이버보안이 진화할 수 있다.

함께 읽어보면 좋은 관련 글: 2020년 사이버보안 트렌드



Sunday, July 12, 2020

삶에서 깨달은 인생의 법칙 - 관성의 법칙


관성(慣性
)의 법칙(Newton's First Law of Motion - Inertia)은 뉴턴의 물리 운동법칙 3개 중 제1법칙(Lex prima)이다. 관성은 물체에 작용하는 힘의 총합이 0일 때, 운동의 상태를 유지하려는 경향을 말한다. 힘에 의해 속력과 방향이 변하기 전까지 물체는 항상 기존의 운동상태로 움직이려고 한다는 의미이다.

즉, 내버려 두면 그냥 그 상태를 유지한다는 뜻이다. 주로 버스 등이 출발할 때 정지해 있으려는 승객들이 뒤로 쏠리는 현상, 정거할 때 계속 운동하려는 승객들이 앞으로 쏠리는 현상 등이 예이다.

이 물리법칙이 지구에만 적용되는 것이 아니라, 사람에게도 영향을 미친다는 사실을 한 것은 성인이 다 된 후에도 아마 30살이 넘어서 일 거다. 그런데, 이 법칙의 영향을 최근에 더 느낀다. 이유는 넷플릭스, 유튜브 때문이다.

한번 미드나 유튜브를 보기 시작하면 끊지 못하고 계속 보게 된다. 유튜브에서 많이 본다고 경고를 띄어주는데, 무시하고 계속 보기 때문에 효과가 없다. 이번 주말도 대부분의 시간을 영상을 보면서 지냈다.

뇌과학에서는 이를 '습관회로(habit circuits)'라고 한다. 의식적 행동을 반복하면 신경 전달 속도가 빨라지고 3개월 후면 습관회로가 형성된다. 이를 계속 반복하면, 1년 후엔 신경 자체가 변해 반영구적 회로가 형성된다.


이 관성의 법칙에서 벗어나거나 습관회로를 끊기 위해서는 다른 운동 상태를 만들어야 하는데, 이게 쉽지 않은 거다. 재미있는 사실 하나는, 관성의 영명인 '이너티아(inertia)'의 어원이 '게으르다, 쉬다'라는 뜻을 가진 라틴어 'iners'에서 왔다. 결국, 이 관성에서 벗어난다는 말이 우리 삶에서는 '게으름, 혹은 쉼'에서 벗어난다는 의미다.

필자가 이 제1법칙(Lex prima)에서 벗어나는 방법으로 발견한 것은, 바로 '환경의 변화'다. 물리법칙인 만큼 대응도 물리적이어야 한다. 나의 주변 물리 환경을 바꾸는 것이다. 예를 들면, 스마트폰에서 유튜브 앱을 일부러 서너 번 클릭해야 실행할 수 있도록 숨겨두고, 책은 책상에 올려두는 식이다.


구글 CEO 선다 피차이(Sundar Pichai)도 집에서 TV 접근을 어렵게 만들었다고 한다. 그래서 TV를 보려면 "activation energy"가 필요하다. 내가 유튜브 접근을 쉽지 않게 만든 것과 같은 방법이다.

중요한 시험이나 공부를 앞두고 있다면 넷플릭스 멤버십을 잠시 중단하는 것도 한 방법이다. 많은 작가들이 책을 읽지 않아도 사서 책장에 꽂아두는 이유도 비슷하다. 주변을 책으로 둘러싸면 언젠가는 읽게 마련이다.

최근의 자기계발 관련 베스트셀러인 '아주 작은 습관의 힘(Atomic Habits)'이나 '습관의 재발견(Mini Habits)' 같은 책들이 말하는 방법도 비슷하다. 이 책들의 핵심은 간단하다. '아주 작은' 행동을 매일 함으로써, 우리의 관성 상태를 전환하는 것이다. 습관 형성에 있어 가장 중요한 요소는 꾸준함인데, 관성의 법칙 때문에 우리는 과거의 습관을 유지하려 한다. 그래서 앞에서 언급한 '환경의 변화'를 만들어주고 이를 지속하는 것이 중요하다.

제2법칙(Lex secunda)인 '가속도의 법칙'이 작용해서 더 큰 힘이 가해지면 물체의 운동량 변화는 더 커진다. 최신 인지심리학에서는 '미엘린화 현상'이라는 용어가 있다. 우리 뇌의 정보 처리 속도를 높이려면 뇌의 신경세포회로가 치밀해져야 하는데, 이를 말한다.

미엘린화는 꾸준히 반복하는 연습과 학습에 의해 이루어지며, 한번 형성된 미엘린은 잘 파괴되지 않는다. 우리의 버릇이나 어떤 일에 숙달되는 것은 이런 뇌의 미엘린화 현상이다. 좋은 미엘린화를 위해서는 매일 책을 읽는 것이 가장 좋은 방법이다. 한 시간씩 할 필요도 없다. 매일 10분의 독서라도 매일 하면 뇌의 신경세포 시냅스의 연결을 강화한다. 뇌가 좋아진다는 뜻이다.

브레즈 파스칼은 "습관은 제2의 천성으로 제1의 천성을 파괴한다."고 했다.

좋은 습관을 만들기 위해서는 관성의 법칙에서 벗어나고, 꾸준한 미엘린화를 통해서 가속도의 법칙을 적용해야 한다.

* 참고 자료 및 출처
뉴턴의 운동법칙 (나무위키)
책 '똑똑해지는 뇌 과학 독서법' (김호진 저)