자산관리 10 법칙

마지막 업데이트: 2022년 2월 20일 | 0개 댓글
  • 네이버 블로그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 트위터 공유하기
  • 카카오스토리 공유하기
/그래픽=유상연 기자 [email protected]

10가지 불변의 보안 법칙 돌아보기, 1부

Scott Culp는 2000년에 "10 Immutable Laws of Security"라는 에세이를 발표했습니다. 이 글은 필자가 읽어 본 가장 훌륭한 보안 관련 에세이 중 하나입니다. Scott Culp가 이 글에서 제공한 정보는 지금까지 모든 정보 보안 관련 작업의 기초로 사용되고 있습니다. 아직 읽지 않았다면 지금 읽어 보고, 필요하다면 인쇄도 해 두시기 바랍니다. 이 에세이에 대한 독자의 반응은 다양합니다. 어떤 이들은 Microsoft에서 심각한 문제로 알려진 여러 문제를 수정하지 않기 위해 게시한 글이라고 비판했고, 다른 이들은 보안에 대한 가장 근원적인 글로 생각했으며 너무 중요하다고 생각한 나머지 마음대로 도용하기도 했습니다. 그러나 필자에게 가장 큰 인상을 준 반응은 이 글에 고무된 사람들이 나름대로의 목록을 만들었다는 점입니다.

이 에세이가 발표된 후 8년 동안 보안 분야에서는 많은 일이 일어났습니다. 악명을 떨친 웜이 속출했고 조직 범죄, 정치적 단체 등과 함께 정보 전쟁 국면에 접어들었습니다. 피싱, 파밍, 봇넷, 스파이웨어, 사이트 간 요청 위조 공격과 같은 다양한 신조어가 일반적인 용어로 사용되기 시작했습니다. Windows에서 실행되는, 과거와는 비교할 수 없이 정교한 루트킷이 등장했습니다. 보안 위주의 새로운 OS 릴리스가 나온 반면 아직도 대부분의 보안이 무시되는 다른 운영 체제도 있습니다.

사회 공학은 심각한 위협으로 발전했습니다. 한 유력 소매업체에서 자산관리 10 법칙 9,400만 명의 신용카드 번호가 유출되었다는 등의 데이터 침해 관련 소식도 이제 흔한 뉴스가 되었습니다. 이런 사건이 터져도 사람들은 이 소매점에서 계속 물건을 구입합니다. 미국과 영국 정부의 불찰로 엄청나게 많은 개인 정보가 유출되었지만 그래도 사람들은 이 정부에 개인 정보를 계속 제출하고 있습니다. 그리고 우리의 일상, 그리고 공항에 엄청난 보안 전시 행정이 자리를 잡았습니다.

필자는 이제 이 법칙을 재조명할 시기가 왔다고 생각합니다. 앞서 살펴본 모든 변화가 이번 세기의 초반에 발생했음을 고려할 때, 과연 지금도 이러한 보안 법칙이 불변의 법칙이라고 주장할 수 있을까요 이 법칙이 불변의 법칙이라면(지난 8년 동안 유효했다면) 앞으로도 10년 동안 유효하다고 말할 수 있을 것입니다.
3부로 구성된 이 연재물에서 필자는 10가지 법칙 각각을 비판적인 시각으로 살펴볼 것입니다. 이번 달에는 제1 ~ 3 법칙에 대해 알아보고 다음 달에는 제4 ~ 7 법칙을 살펴보겠습니다. 그런 다음 마지막 호에서는 제8 ~ 10 법칙을 검토하고, 이 법칙이 2000년 처음 작성된 이후 발생한 일들에 비추어 볼 때 합리적이라고 판단되는 의견과 추가로 생각해 볼 문제를 제시할 것입니다.

제1 법칙: 악의적 의도를 가진 누군가가 사용자를 유도하여 자신이 만든 프로그램을 사용자의 컴퓨터에서 실행하도록 할 수 있다면 해당 컴퓨터는 더 이상 사용자의 것이 아니다.

이 법칙은 사실상 사용자가 컴퓨터에서 실행하는 모든 소프트웨어가 해당 컴퓨터를 제어할 수 있는 것으로 명시합니다. 이 불변의 법칙이 처음 나왔을 당시 Microsoft 운영 체제는 Windows 98, Windows Me 및 Windows NT 4.0이었습니다. 지금은 Windows Vista와 Windows Server 2008입니다.

Windows 98과 Windows Me에서는 사용자가 실행하는 모든 소프트웨어가 컴퓨터에 대해 전적인 제어 권한을 가졌습니다. Windows NT 4.0에는 매우 견고한 기본 보안 모델이 있었지만 이를 관리자로 실행할 경우 Windows NT 4.0의 격리 모델은 사실상 Windows 98과 Windows Me의 격리 모델로 다운그레이드되었습니다. 관리자가 아닌 사용자로 Windows NT 4.0을 실행할 수도 있었지만 상당히 불편했기 때문에 실제로 이 방법을 사용한 조직은 거의 없었습니다(열 손가락 안에 꼽을 정도).

관리자가 아닌 사용자로 Windows NT 4.0을 실행했다고 가정해 보겠습니다. 그래도 제1 법칙이 작성된 당시 이 법칙은 유효했을까요 대답은 "유효했다"입니다. 먼저 Windows NT 4.0에는 중대한 결함이 많았습니다. 예를 들어 사용 권한을 더 자산관리 10 법칙 엄격하게 했어야 할 부분들이 있습니다. 특히 커널 개체와 레지스트리에서 이런 부분이 두드러집니다. 또한 그 당시에는 아직 발견되지 않았지만 전문가들이 발생할 것이라 예상한 공격 유형도 많았습니다. 예를 들어 1999년 당시 사람들은 대화형 데스크톱에서 높은 권한의 사용자로 실행 중인 프로세스가 컴퓨터에 손상을 가할 수 있다는 사실을 인식하지 못했습니다. 이러한 사실이 널리 알려진 것은 2002년 Chris Paget이 파편 공격(Shatter attack)에 대한 백서 "Win32 API 악용"(seclists.org/bugtraq/2002/Aug/0102.html)을 발행한 이후였습니다.

제1 법칙의 초안이 작성된 당시 Microsoft는 파편 공격을 예상했을까요 그렇지 않습니다. Microsoft는 다만 컴퓨터에서 실행 중인 응용 프로그램이 해당 컴퓨터를 장악하지 못하도록 하는 진정한 보안 경계는 거의 없다는, 단순한 사실만 인식하고 있었을 뿐입니다.

Windows Vista와 Windows Server 2008은 Windows NT 4.0과 두 세대 차이가 납니다. Windows Vista와 Windows Server 2008로 인해 제1 법칙이 무효화되었을까요 아니면 이 법칙을 무효화한 다른 운영 체제가 있을까요 상황에 따라 자산관리 10 법칙 다릅니다. 새로운 OS에는 분명 더 견고한 보안 경계가 있고, 2000년에는 적절한 보안 경계를 가진 몇 가지 실험적 운영 체제도 있었습니다. 그러나 여전히 이러한 경계는 소수에 불과합니다. 예를 들어 Microsoft .NET Framework의 코드 액세스 보안은 보안 경계입니다. 이 경계는 샌드박스 내에서 실행되는 코드가 기본 운영 체제에 영향을 주지 않도록 하기 위한 목적으로 디자인되었습니다.

Internet Explorer의 Iframes는 또 다른 보안 경계를 제공합니다. 그러나 Iframes는 OS 자체에 대한 액세스에는 영향을 주지 않고 웹 페이지에서 각 콘텐츠 부분 간의 액세스에만 영향을 줍니다. 그림 1에 나와 있는 Internet Explorer의 보호 모드는 OS 수준의 보안 경계입니다. 이 경계의 목적은 사용자 작업 없이 브라우저 내에서 실행되는 코드가 기본 운영 체제에 영향을 주지 못하도록 하는 것입니다. 몇 가지 경계가 더 있는데, 그중 표준 사용자 계정은 사용자 계정이 기본 OS 또는 다른 사용자에게 영향을 주지 못하도록 하기 위한 경계입니다.

그림 1 Internet Explorer 7에는 보호 모드라는 보안 경계가 사용됨

"보안 경계"라는 용어의 의미를 이해하는 것이 무척 중요합니다. 완전한 격리를 무한대로 보장하는 불가침의 벽이 있다는 의미는 아닙니다. 이 용어가 실제 의미하는 바는 Microsoft와 같은 소프트웨어 공급업체가 보안 패치를 통해 이 경계의 침해 행위를 해결할 책임이 있다는 것입니다. 앞으로도 소프트웨어에서 버그는 항상 존재하고, 우리는 계속해서 더 많은 침해 행위를 발견하고, 소프트웨어 공급업체는 계속해서 패치를 제공할 것입니다. 소프트웨어 공급업체는 이러한 취약점을 미연에 방지하기 위해 소프트웨어를 점점 더 개선해 나가야 합니다. 이것이 바로 제1 법칙이 여전히 유효함을 입증하는 증거라고 볼 수 있습니다.

한편 고려해야 할 중요한 부분이 한 가지 더 있습니다. 앞부분에 보면 "사용자 작업 없이"라는 구절이 나옵니다. 제1 법칙은 사실 소프트웨어의 결점이나 취약점에 대한 법칙이 아닙니다. 바로 사람들의 취약점에 대한 법칙입니다. 이 법칙에서 핵심적인 부분은 "유도하여"입니다. 악의적 의도를 가진 누군가가 자신의 프로그램을 실행하도록 사용자를 유도할 때는 필시 프로그램에 높은 권한이 부여되도록 상황을 만든 상태에서 사용자를 유도할 것입니다.

사용자에게 관리자 권한이 없어도 상관 없습니다. 표준 사용자도 은행 거래 파일, 연애 편지, 사진, 동영상 및 회사 기밀 정보와 같은 여러 가지 중요 정보에 액세스할 수 있습니다. 이러한 정보는 공격자에게 흥미로울테고, 모두 높은 권한이 없어도 읽을 수 있습니다. 사용자가 컴퓨터에서 관리하는 정보 측면에서 보면 악성 프로그램을 실행할 경우 사용자의 모든 것이 공격자에게 넘어가게 됩니다. 따라서 "사용자의 컴퓨터"를 "사용자가 컴퓨터에서 관리하는 데이터"로 정의한다면 권한에 대해 설명한 모든 내용은 무시하고 제1 법칙이 유효하다고 간단히 결론을 내릴 수 있습니다.

"사용자의 컴퓨터"에 대한 정의를 꼬치꼬치 따지지 않더라도 제1 법칙은 시간이 지난 지금까지 유효한 것으로 보입니다. 제1 법칙의 요지는 컴퓨터의 운영자인 사용자가 해당 컴퓨터에서 실행되는 소프트웨어에 대해 책임을 져야 한다는 사실입니다. 악의적인 드라이버나 악의적인 비디오 코덱을 설치하는 것은 해당 컴퓨터의 모든 제어 권한을 범죄자에게 넘겨 주는 것입니다!

소프트웨어 공급업체는 의도하지 않은 손상을 방지하기 위해 여러 가지 일을 할 수 있고, 실제로 보안 경계도 이러한 맥락에 따른 것이지만 의식적으로 악성 소프트웨어를 실행할 경우 이러한 보호 조치는 대부분 물거품이 됩니다. 이러한 사실이 바로 사용자에게 관리 작업을 수행할 권한이 있어서는 안 되는 이유이자 사용자 교육이 중요한 이유입니다. 그러므로 제1 법칙은 지금도 유효하다고 말할 수 있습니다. 다만 이를 위해서는 사용자 컴퓨터의 정의를 약간 수정해야 할 수도 있습니다.

제2 법칙: 악의적 의도를 가진 누군가가 사용자 컴퓨터의 OS를 변경할 수 있다면 해당 컴퓨터는 더 이상 사용자의 것이 아니다.

언뜻 이 법칙은 아주 간단해 보입니다. 악의적 의도를 가진 누군가가 사용자 컴퓨터의 운영 체제를 변경할 수 있다면 해당 컴퓨터를 더 이상 신뢰할 수 없는 것은 당연합니다. 그러나 컴퓨팅 요구 사항이 발전하면서 OS가 의미하는 바도 달라졌습니다. 필자는 수년 전에 The Blackwell Encyclopedia of Management(managementencyclopedia.com)라는 백과사전에서 OS라는 용어에 대한 정의를 작성했습니다. 이 정의에는 입력 및 출력 장치에 대한 액세스, 하드웨어에 대한 액세스 등을 관리하는 OS에 대한 내용이 포함되어 있었습니다. 지금은 이 백과사전을 구할 수 없고 필자가 제출한 내용도 역사 속으로 사라진 상태이지만 확실한 사실은 OS에 카드놀이, 태블릿 입력 시스템 및 비디오 트랜스코더가 포함된다는 언급은 하지 않았다는 점입니다.

컴퓨팅이 점점 더 복잡해짐에 따라 OS도 더 많은 기능을 지원하도록 확장되었습니다. 게다가 OEM은 유용한 것부터 극히 유해한 것에 이르기까지 온갖 종류의 자체적인 추가 소프트웨어를 OS에 넣는 경우가 많고, 이로 인해 문제는 더욱 복잡해집니다. 이러한 추가 소프트웨어의 기능 일부는 이미 핵심 운영 체제에 기본 제공되는 기능과 중복되기도 합니다.

예를 들어 Windows Server 2008 Enterprise Edition 기본 설치는 5GB 이상의 디스크 공간을 차지합니다. Windows Vista Ultimate Edition에는 10GB 이상의 공간을 차지하는 58,000개 이상의 파일이 포함되어 있습니다. 또한 OS를 구성하는 파일 외에도 수천 개의 구성 설정과 데몬 또는 서비스가 있습니다.
이러한 것도 모두 OS의 일부입니다. OS는 모든 파일, 모든 구성 설정, 모든 서비스, 그리고 파일 및 구성 설정에 의해 만들어지는 모든 런타임 개체(세마포, 명명된 파이프, RPC 끝점)까지 포괄하는 집합적 용어입니다. 시스템 시간과 같은 매우 추상적인 구성체, 그리고 이벤트 로그 내용과 같은 특정 데이터 유형도 OS의 일부로 간주해야 합니다.

OS가 얼마나 확장되고 발전했는지 고려할 때, 이러한 파일 중 하나라도 수정하면 정말 컴퓨터를 신뢰할 수 없게 될까요 우선 직접적인 대답은 '아니요'입니다. 예를 들어 Windows Vista에는 MS-DOS의 오래된 줄 편집기인 edlin.exe가 기본 제공됩니다. 단언할 수는 없지만 Windows Vista가 출시된 이후 이 운영 체제가 설치된 모든 시스템을 통틀어 edlin.exe가 호출된 횟수는 단 두 번이라는 데 맛있는 커피 한 잔 정도는 기꺼이 걸겠습니다. 두 번의 호출은 모두 약 3분 전 구문을 기억해 내려고 애쓰던 중 필자가 실행한 것입니다. 누군가 edlin.exe 또는 아무도 사용하지 않는 다른 파일을 수정했다고 해서 해당 컴퓨터는 더 이상 사용자의 것이 아니라고 말할 수 있을까요

edlin.exe는 분명히 운영 체제의 일부입니다. 그러나 아무도 이 파일을 실행하지 않는다면 이 파일에 대한 수정이 어떻게 컴퓨터 손상으로 이어질 수 있을까요 물론 대답은 컴퓨터가 손상되지 않는다입니다. 운영 체제에서 사용되지 않는 부분이라면 수정된다 해도 컴퓨터에 피해를 주지 못합니다. 그리고 OS에서 사용되지 않는 부분은 많습니다.

그러나 간접적인 대답은 '예'입니다. 단순히 누군가 파일을 실행하는지 그렇지 않은지만으로 이 파일에 대한 수정이 컴퓨터에 손상을 주는지 여부를 판단할 수는 없기 때문입니다. 문제는 이것보다 좀 더 복잡합니다. 그림 2에 나와 있는 edlin.exe의 ACL(액세스 제어 목록)을 살펴보십시오.

그림 2 매우 제한적인 edlin.exe의 ACL

edlin.exe의 ACL은 매우 제한적입니다. 이 실행 파일을 수정할 권한은 TrustedInstaller 서비스에만 있습니다. 이러한 사실은 매우 중요합니다. 사용자 컴퓨터에서 이 파일을 수정하는 악의적 의도를 가진 누군가에게 간접적인 영향을 미치기 때문입니다. edlin.exe를 수정하는 행위는 해당 컴퓨터가 더 이상 사용자의 것이 아님을 의미합니다. 여기서 핵심은 악의적인 사용자가 edlin.exe를 수정할 수 있다는 점입니다. 악의적 의도를 가진 누군가가 이 파일을 수정할 수 있다면 이는 사용자가 더 이상 컴퓨터의 어떠한 부분도 신뢰할 수 없음을 의미합니다.

OS는 스스로를 보호합니다. 서비스와 구성 설정은 무단 수정을 할 수 없도록 보호됩니다. 디스크의 파일도 무단으로 수정할 수 없도록 보호되며 운영 체제에서 사용하는 세마포와 RPC 끝점도 무단으로 수정할 수 없도록 보호됩니다. 이렇게 보호되는 개체 중 하나라도 공격자가 수정할 수 있다면 이 공격자는 다른 모든 개체도 수정할 수 있으며 이미 수정했을 가능성이 높습니다.

이 자산관리 10 법칙 부분은 상당히 중요합니다. 여러 불변의 법칙에서는 어떤 행위를 두고 컴퓨터의 손상 여부를 판단하지 않습니다. 중요한 점은 누군가에게 무엇을 할 권한이 있는가, 그것 뿐입니다. 이 부분은 간과해서는 안 됩니다. 컴퓨터 보안에서는 동작의 실제 수행보다 그 동작을 할 수 있다는 사실 자체가 훨씬 더 중요한 경우가 많다는 점을 항상 기억해야 합니다.

컴퓨터가 인터넷에 완전히 개방되어 있고 몇 달 동안 패치가 적용되지 않은 상태로 유지된다면 이 컴퓨터를 신뢰할 수 있을까요 아닙니다. 이 컴퓨터는 손상된 것으로 간주해야 합니다. 손상되었을 가능성이 있는 시스템에서는 아무것도 신뢰할 수 없습니다. (필자는 5년 전 쓴 "도움말: 해킹을 당한 경우 대처 방법"(technet.microsoft.com/library/cc512587)에서도 이와 똑같은 말을 했었습니다.) 공격자의 기술이 뛰어나다면 손상된 시스템에 손상 징후가 전혀 나타나지 않을 수 있습니다. 시스템은 평상시와 똑같아 보입니다.
의문의 여지 없이 제2 법칙은 아직 유효합니다. 공격자가 사용자 컴퓨터의 보호되는 개체를 수정할 수 있다면 해당 컴퓨터는 더 이상 사용자의 것이 아닙니다. 중요한 것은 실제로 공격을 당했는지 여부가 아니라 이러한 개체를 수정할 수 있는지 여부임을 기억하십시오.

제3 법칙: 악의적 의도를 가진 사람이 아무런 제한 없이 사용자의 컴퓨터에 물리적으로 액세스할 수 있다면 이 컴퓨터는 더 이상 사용자의 것이 아니다.

이 법칙은 2000년에 매우 중요한 법칙이었습니다. 이 당시 대부분의 사람들은 시스템에 물리적으로 액세스하여 무엇을 수행할 수 있는지 제대로 알지 못했습니다. 사실 더 많은 것을 알고 있어야 했던 일부 정부 기관조차도 이러한 기본적인 부분을 놓쳤습니다. 당시 보안 지침에서는 로그온하지 않은 채로 종료를 허용하는 옵션을 비활성화할 것을 권장했습니다. 이렇게 하면 로그온 화면에서 Shut down…(종료. ) 단추가 회색으로 비활성화됩니다. 이러한 지침이 만들어진 배경은 컴퓨터를 종료하려는 사용자는 누가 시스템을 종료했는지에 대한 감사 기록이 남도록 먼저 로그온해야 한다는 이론이었습니다.

이는 잘못된 생각에 대한 사례 연구입니다. 로그온 화면에서 Shut down…(종료. ) 단추에 액세스하려면 실제로 콘솔 앞에 앉아 있어야 합니다. 그리고 콘솔 앞에 앉아 있고 컴퓨터의 전원을 꼭 꺼야 하는 상황이라면 일반적으로 컴퓨터의 앞쪽에 있는 크고 둥근 전원 단추를 사용하면 되고 전원 코드를 뽑아도 합니다. 시스템이 종료되고 감사 추적은 없습니다.

Windows 2000에는 로그온할 필요 없이 도킹 해제 허용이라는 보안 설정이 제공되며 이 옵션은 Windows Vista에서도 계속 사용할 수 있습니다(자산관리 10 법칙 그림 3 참조). 원리는 같습니다. 랩톱을 도킹 스테이션에서 도킹 해제하려면 먼저 시스템에 로그온해야 합니다.

그림 3 컴퓨터와 도킹 스테이션을 둘 다 훔치면

이 설정의 실질적인 보안 가치는 매우 불분명합니다. 필자가 보기에 이 이론은 누군가 랩톱에 접근하여 도킹을 해제할 수만 있다면 컴퓨터를 쉽게 훔칠 수 있다는 의미라고 생각합니다. 필자가 랩톱을 훔칠 일은 없겠지만 만일 훔치려고 마음만 먹는다면 이와 같은 도난 방지 대책은 전혀 방해가 되지 않을 것입니다. 랩톱과 도킹 스테이션을 통째로 훔쳐가면 되니까요. 게다가 네트워크 케이블과 전원 코드까지 덤으로 가져가게 되겠군요. 완전히 쓸모없는 보안 수단입니다.

Petter Nordahl-Hagen이 오프라인 NT 암호와 레지스트리 자산관리 10 법칙 편집기를 만들었을 때야 비로소 물리적 액세스의 핵심이 제대로 인식되기 시작했습니다. 그가 만든 것은 NTFS 볼륨에 대한 읽기/쓰기 액세스를 허용하는 실험용 NTFS 파일 시스템 드라이버가 포함된 Linux 부팅 디스크에 불과했습니다. 부팅 디스크의 소프트웨어는 레지스트리를 로컬 시스템에 탑재하고 SAM(소프트웨어 자산 관리) 하이브에 관리자 계정을 위한 새 암호를 썼습니다. 사용자가 해야 할 일은 시스템에 물리적으로 액세스하고 1 ~ 2분 정도 기다리는 것이 전부였습니다.

바로 이와 같은 도구 때문에 제3 법칙이 등장하게 되었습니다. 사실 Nordahl-Hagen의 도구는 많은 데모에서 사용되었습니다. 안타깝게도 대부분의 사용자들은 핵심을 제대로 파악하지 못했습니다. 필자는 개인적으로 몇 가지 데모에서 이 도구를 사용했지만 "사용자들이 이런 도구를 모르게 하려면 어떻게 해야 합니까", 그리고 "Microsoft에서는 이 문제를 해결하기 위해 어떤 노력을 하고 있습니까"라는 질문을 받는 데 지쳐 사용을 그만두게 되었습니다. 놀라울 정도로 많은 IT 업계 종사자들이 물리적 액세스가 다른 어떤 것보다 중요하다는 사실을 인정하거나 이해하려 하지 않았습니다.

이러한 환경에서 제3 법칙은 매우 중요한 의미를 제시했습니다. 그러나 비평가들은 이 법칙을 맹렬히 공격했습니다. 사람들은 Microsoft가 물리적 액세스와 아주 조금이라도 관련된 모든 문제를 수정하지 않기 위해 만든 법칙이라며 비웃었습니다. 실제로 제3 법칙은 여러 사례에서 취약점 보고(예: 오프라인 NT 암호 및 레지스트리 편집기 해킹)를 인정하지 않는 근거로 사용되었습니다. 그러나 시스템에 물리적으로 액세스할 수 있는 공격자를 차단하는 방법은 오로지 이들이 어떤 것에도 접근하지 못하게 하는 방법밖에는 없습니다.
바로 여기에 제3 법칙의 잠재적인 허점이 있습니다. 불변의 법칙이 작성된 후로 전체 디스크 암호화 기술이 바람직한 솔루션으로 부상했습니다. 전체 하드 디스크 암호화, 좀 더 정확한 용어로 전체 볼륨 암호화를 사용하면 전체 볼륨(운영 체제에 따라 파티션이라고도 함)을 암호화할 수 있습니다. 전체 부팅 볼륨(즉, OS가 위치한 볼륨)이 암호화된다면 제3 법칙이 여전히 유효한가에 대한 질문이 남습니다.

대답은 '그렇다고 볼 수 있다'입니다. 첫째, 암호 해독 키를 어딘가에 저장해야 합니다. 가장 손쉬운 보관 장소이자 BitLocker의 기본 옵션은 컴퓨터의 신뢰할 수 있는 플랫폼 모듈 칩입니다. 이렇게 하면 컴퓨터는 알아서 부팅됩니다. 일단 컴퓨터가 부팅되고 나면 해당 컴퓨터에 대한 영구적인 물리적 제어 권한이 있는, 기략이 뛰어나고 자본이 탄탄한 공격자는 이 컴퓨터를 마음껏 공격할 수 있습니다. 이제 컴퓨터를 임의 네트워크에 연결할 수 있으므로 네트워크와 관련된 방법을 통해 시스템을 공격할 수도 있습니다.
예를 들어 공격자는 USB 플래시 드라이브와 같은 DMA(직접 메모리 액세스) 장치를 사용하여 메모리를 읽거나 쓸 수 있습니다. 컴퓨터가 실행 중인 경우에는 공격자가 이 컴퓨터에 물리적으로 액세스할 수 있다면 모든 방책이 무효화됩니다.

암호 해독 키가 컴퓨터 자체에 저장되어 있지 않은 경우에는 공격자가 이러한 키를 얻거나 추측할 수 있는지 여부에 따라 공격 여하가 결정됩니다. PIN 코드가 컴퓨터 부팅에 사용되는 경우 공격자는 비교적 적은 노력을 들여 코드를 추측해 낼 수 있습니다. USB 플래시 드라이브 또는 일회용 암호 저장소와 같은 별도의 하드웨어 장치에 암호 해독 키가 저장되어 있거나 여기서 키가 파생되는 경우 공격자는 이러한 별도의 장치에 액세스할 수 있어야 합니다. PIN 코드보다 더 많은 노력이 필요하긴 하지만 이러한 키를 얻는 방법, 또는 이러한 키에 대한 액세스 권한이 있는 사람을 속이는 방법도 확실히 있습니다.

제3 법칙을 약간 다른 관점에서 "공격자가 사용자 컴퓨터에 물리적으로 액세스할 수 있다면 컴퓨터는 도난된 상태일 가능성이 높고 사용자가 되찾을 가능성은 거의 없다."로도 해석할 수 있습니다. 이 관점에서 볼 때 컴퓨터는 정말로 더 이상 사용자의 것이 아닙니다. 또한 이 관점에서 보면 사용자 컴퓨터의 데이터에 액세스할 수 있는지 여부는 공격자에게 중요한 문제가 아닐 수도 있습니다. 그러나 이는 제3 법칙이 의미하는 바가 아닙니다. 이 법칙은 공격자가 컴퓨터 자체뿐만 아니라 컴퓨터의 데이터도 액세스할 수 있음을 의미했습니다.

모든 사항을 고려할 때 제3 법칙은 여전히 유효합니다. 오늘날 사용되는 기술 중 일부는 물리적 액세스 권한이 있는 많은 공격자를 저지하고, 이로써 안전 장치가 탑재된 컴퓨터의 데이터에 액세스할 수 있는 공격자의 수를 최소화하는 데 있어 상당한 발전을 이룬 것이 사실입니다. 즉, 공격자가 실제로 얼만큼의 성과를 거둘 수 있는지는 항상 공격자의 권한에 따라 정해지며 새로운 기술이 10가지 불변의 법칙 상당수를 어느 정도 해결해 주고 있습니다. 그러나 조금 더 복잡하다 해도 여전히 물리적 액세스는 시스템 침투 방법을 제공합니다은 기술 발전과 시간의 흐름에 매우 탄력적으로 적응하는 것으로 입증되었습니다. 처음 세 가지 법칙 중 제3 법칙은 일부 사례에서 여전히 유효성을 유지하고 있지만 기반이 가장 불안합니다. 하지만 이 법칙은 즉시 사용 가능한 강력한 완화책을 가진 법칙이기도 합니다. 다음 2회의 TechNet Magazine에서는 이번 호에 이어서 제4 법칙 ~ 제10 법칙이 아직 불변한지를 확인해 보겠습니다.

Jesper M. Johansson은 보안 소프트웨어 분야의 소프트웨어 설계자이며 TechNet Magazine의 객원 편집자로서, 정보 관리 시스템 분야 박사 학위와 20여 년 이상의 보안 관련 경력을 보유한 엔터프라이즈 보안 영역의 Microsoft MVP(Most Valuable Professional)입니다. 그의 최근 저서로는 Windows Server 2008 Security Resource Kit가 있습니다.

자산관리 10 법칙

국내 유일의 다국적 합작세무법인
국제조세 전문 세무법인 CKP 충정 입니다

세무회계정보

  • 대표번호 : 02-778-1391
  • 국제조세 : 02-778-1397
  • 팩스번호 : 02-778-1399

세무사컬럼

실제로 최근 직장인들 사이에서 가상화폐인 비트코인 열풍과 부동산 시장의 강남 재건축 아파트를 중심으로 한 가격 상승으로 인해서 상대적으로 박탈감을 느껴 이러한 푸념을 하는 경우가 많다고 한다.

최근에 모 신문기사에 직장인들이 월급을 모아서 내 집을 마련할 수 있는 시간이 길게는 25년까지 걸린다는 기사가 있었을 정도로 직장인들의 재테크 방법에 대한 불안감이 최고조에 달하고 있다.

아무리 한국은행에서 2017년 11월에 기준금리를 소폭 올 자산관리 10 법칙 리가 저금리의 시대가 끝났다고는 하지만 급격하게 금리를 올리는 것도 부담스럽고 소폭씩 올린다면 대출 금리 상승에 따른 희석효과로 실제 직장인들에게는 그림의 떡일 수 있다.

그림

복리를 전제로 기본 자산이 두 배로 늘어가는 데 걸리는 시간을 계산하는 방식이다. 72를 해당 수익률로 나눌 경우 대략적으로 원금의 2배가 되는 기간이 산출된다. 그리고 72를 기간으로 나눌 때에는 그 기간 동안에 원금이 2배가 되는 수익률이 산출된다. 예를 들어 복리가 5%일 경우 투자자산이 2배가 되는데 걸리는 시간은 72/5로 계산하게 되는데 14.4년이 걸리는 셈이다.

금리가 요즘같이 2%대라면 원금이 2배가 되는데 걸리는 시간은 72/2로 무려 36년이라는 기간이 필요하다. 반대로 계산해서 10년 안에 원금을 2배로 늘리고 싶다면 72/10으로 계산하면 7.2%의 목표 수익률이 나온다.

지금의 시중금리로서는 도저히 달성할 수 없는 수익률이고 다른 포트폴리오나 투자의 대안을 찾아야 한다는 계산이 나온다. 이러한 이유로 많은 직장인들이 주식시장으로 눈을 돌린 것도 사실이다. 하지만 불행하게도 그 기간에 국내 주식시장은 박스권에 갇혀 버려 수익을 낼 수가 없었다.2008년도 글로벌 금융위기도 발목을 잡는데 한 몫을 했다.

2007년 말부터 2016년 말까지 10년 동안 코스피지수는 겨우 6.8% 상승하는데 그쳤고 이는 연 1%의 수익률도 안 되었다는 이야기 이다.그 기간 동안의 등락을 감안하면 손해를 본 직장인들이 훨씬 많았다는 이야기이다. 하지만 자산관리 10 법칙 드디어 2017년에 우리나라 주식이 지루했던 박스권을 돌파했다.

오히려 사상최고치를 경신하면서 2,500포인트를 훌쩍 넘나들고 있다.물론 삼성전자나 SK하이닉스를 비롯한 반도체관련 주식들과 셀트리온 계열사를 중심으로 한 코스닥시장의 상승도 한 몫을 했지만 전체적인 주식시장의 흐름은 좋았다.

전 세계가 지구촌으로 묶이면서 전 세계적인 주식시장의 흐름에서도 2017년은 큰 획을 긋는 한해이고 지금부터가 본격적인 랠리장세의 시작이라고 본다면 앞으로 포트폴리오에서 주식투자에 대한 부분은 어느 정도 늘려 잡아도 되지 않을까 싶다.

오~ 오해는 금물이다. 필자가 주식투자를 반드시 종용하거나 주식투자를 해야 한다고 하는 것은 아니다. 필자는 어디까지나 증권회사에 근무하지도 않고 객관성을 가지고 의견을 개진하는 것이고 향후 본 지면을 통해서 평생 갈수 있는 주식종목과 배당을 노려 시중금리보다 나은 수익률을 올리는 방법도 소개할 예정이기 때문이다.

여하튼 앞으로 자산(월급)관리 포트폴리오에서 주식투자에 대한 비중을 늘리면서 관심을 갖고 일상생활속에서 실천하는 주식투자를 통해서 시중금리보다 나은 수익률을 거두는 전략을 세워보도록 하자. 서기수 인카금융서비스 자산관리센터장

부자원칙- '10% 룰,35% 법칙,20배 원칙.'

수학이나 물리학 공식이 아니다.돈을 버는 재테크의 법칙들이다.수학에는 공식이란 게 있고 바둑에는 정석이 있듯이 돈을 버는 사람들에게도 법칙이 있다.생활 속에서 자연스럽게 부가 만들어지도록 돕는 법칙들이다.큰 부자는 하늘이 내리지만 작은 부자의 경우 생활 속에 재테크 법칙들을 적용하면 가능하다는 게 전문가들의 조언이다.

CNN머니는 자산관리 10 법칙 최근 '부자가 되는 5가지 법칙'을 소개했다.평범해 보일지 모르지만 실제 생활이나 투자에 적용해 꾸준히 실천해 나간다면 큰 힘을 발휘할 수 있다.

재테크의 시작은 종자돈 마련이다.이를 위해 최소한 수입의 10%는 저축이나 투자하는 습관을 길러야 한다.해가 지나 수입이 늘어날수록 투자금액도 따라 늘어나는 방식이다.보통사람들은 일상에서 10% 룰만 지켜도 비교적 풍요로운 노후를 보장받을 수 있다.단 10% 룰은 최소한의 마지노선일 뿐이다.이 비율을 15%나 20%로 높인다면 부자가 될 수 있다.

빚 관리도 재테크의 중요한 부분이다.빚은 잘쓰면 약이 되지만 못쓰면 독이 된다.실제로 많은 부자들이 빚을 효과적으로 활용해 단기간에 부를 축적했다.반면 빚을 잘못 써 패가망신한 사람들은 더 많다.특히 내집 마련에 나설 때 빚이 급격하게 늘어나는 경향을 보인다.이런 경우라도 주택대출 원리금이 소득의 30%를 넘지 않도록 하는 게 좋다.주택대출을 포함한 모든 빚에 대한 상환금이 소득의 35%를 초과하지 않도록 관리해야 한다.

◆투자 자산 배분=120의 법칙

투자 자산 배분(포트폴리오)에 황금비율은 없다.연령대 등을 고려해 나이별로 적절한 포트폴리오를 꾸려야 한다.투자 자산을 배분할 때 가장 많이 사용하는 방법이 '120의 법칙'이다.120에서 자신의 나이를 뺀 수치만큼 주식 등 공격적인 대상에 투자하고 나머지는 안전 자산으로 보유하라는 것이다.예컨대 30세 직장인이라면 90%를 주식에 투자하고 나머지 10%를 채권이나 현금성 자산 등에 남기는 게 좋다.50세 직장인은 주식 70%와 채권 30%의 비율로 안전 위주의 투자를 해야 한다.

은퇴 준비는 인생의 가장 중요한 재무 목표 중 하나다.평균 수명이 갈수록 길어지는 데다 사오정(45세가 정년) 오륙도(56세까지 회사에 남아 있으면 도둑놈)라는 말이 나올 정도로 조기 퇴직이 일반화되고 있는 상황에서 은퇴 준비는 젊은 사람들에게도 '발등의 불'이다.

'20배 원칙'은 은퇴 준비를 위한 기본 지침이다.만일 은퇴 후 연간 4000만원의 생활비가 필요하고 이 중 국민연금과 퇴직연금으로 1000만원을 충당할 수 있다면 나머지 3000만원의 20배인 6억원을 은퇴 전에 모아놓아야 한다는 얘기다.연 금리 5%를 가정할 경우 6억원이 있어야 매년 이자로 3000만원을 받을 수 있어서다.만일 연 이자가 4%로 떨어진다면 필요한 노후 생활비의 25배를 은퇴 전에 마련해야 한다.

꾸준한 재테크에 실패하는 요인 가운데 하나는 예상치 못한 급전 때문이다.최소한의 여유자금 없이 모든 돈을 1년 이상 금융상품에 넣거나 투자할 경우 가족의 병 등으로 급전이 필요할 때 손해를 감수하고 금융상품을 해약하거나 빚을 내야 한다.이 같은 사태를 막기 위해선 급한 용도에 쓸 수 있도록 비상 재원을 별도의 주머니에 넣어둬야 한다.최소한 3달치 생활금 정도는 비상금 주머니에 넣어두는 게 좋다.만일 아이가 있다면 6개월치 정도의 생활비를 넣어둬야 한다.비상금 주머니로는 수시입출금이 가능하면서도 상대적으로 높은 이자를 주는 MMDA(시장금리부 수시입출식 예금)나 CMA(자산관리계좌)를 고려해 볼 만하다.

자산관리 10 법칙

잠깐! 현재 Internet Explorer 8이하 버전을 이용중이십니다. 최신 브라우저(Browser) 사용을 권장드립니다!

  • 기사공유하기
  • 프린트
  • 메일보내기
  • 글씨키우기
    • 가나다라마바사
    • 가나다라마바사
    • 가나다라마바사
    • 가나다라마바사
    • 가나다라마바사
    • 가나다라마바사
    • 노상욱 기자
    • 승인 2009.03.23 11:08
    • 댓글 0
    • 기사공유하기
    • 프린트
    • 메일보내기
    • 글씨키우기
      • 가나다라마바사
      • 가나다라마바사
      • 가나다라마바사
      • 가나다라마바사
      • 가나다라마바사
      • 가나다라마바사

      시대가 변하고 경제금융의 대내외적 여건과 부의 축적 시스템이 달라졌다면 자산관리의 법칙도 진일보한다.

      글로벌 금융위기에 따라 바뀌어가는 금융시스템을 통해 영위할 수 있는 자산관리의 룰은 대전환의 국면에 맞닥뜨려 있는 상황.

      따라서 현재 나이를 불문하고 자신과 가족 그리고 인생의 목표를 위해 부를 창출할 수 있는 새로운 자산관리 법칙을 어떻게 이해하고 적용해야 할 지 알아야만 한다.

      경제활동 시기의 정점이라면 예전에는 현재 돈을 벌 수 있는 여건과 능력을 최대한 활용해서 자산을 모으라고 충고했다. 자녀의 대학 등록금과 은퇴 후를 대비해 단계별로 저축을 해야하며 필요하다면 주택이나 토지 등 부동산을 담보로 유동성을 늘려 목표수익률을 달성할 수 있는 투자처를 찾아야 했다.

      부동산, 현금, 주식, 채권, 귀금속, 자동차 등 모든 자산을 합리적인 포트폴리오로 구성해서 인생의 목표를 실현할 수 있도록 재배치한다.

      하지만 상황은 바뀌었다. 은퇴할 때까지 월급에 목을 매고 고정적인 수입에 의존하면 안된다. 이젠 주택과 토지도 언제 값이 폭락할지 모르거니와 현금화시킬 수 있는 유동성의 원천이 될 수 없다. 투자 포트폴리오도 구성만 해둔 상태에서 저절로 자산이 불어날 것으로 착각하면 안된다.

      따라서 21세기도 10년이 지나가는 시점에서 변화하는 자산관리의 룰을 이해하고 새로운 자산관리의 기반 위에서 구체적인 계획을 세워야 한다.

      1. 직장을 잃거나 해고될 확률을 낮춰라

      경력관리와 업무능력을 현재 수준으로 유지하면서 더욱 계발하기 위해 체계적으로 공부해야 한다. 그러면 다음에라도 경기 불황기를 겪으며 회사 사정이 어려지더라도 자의건 타의건 직장을 그만둘 리스크는 크게 줄어든다. 또 행여 회사를 떠나게 되더라도 구직시장에서는 경쟁력을 갖출 수 있다. 구직 활동을 벌이면서 6개월~12개월의 시간을 버틸 수 있는 생활비를 확보해 놓도록 긴급자금도 미리 마련해 둔다.

      2. 주택이 아니라 실제 소득에 따른 현금을 모아라

      주택담보로 대출을 받거나 신용카드를 이용해 생활비로 소비하는 것을 절대 금물이다. 물론 빚을 내서 휴가를 떠나고 자동차, 평면TV, 가구를 바꾸는 것도 절대 안된다.

      자신의 신용 등급을 남용하면 진짜 위기가 닥쳤을 때 주택담보 대출이나 신용카드를 사용할 수 없게되는 비극을 맞는다. 게다가 집값이 떨어져서 담보대출 한도가 형편없이 낮아지게 된다면 상황은 더욱 불행을 예고한다.

      3. 자산 포트폴리오를 항상 주의깊게 예의주시하라

      주식을 너무 많이 보유했다는 사실을 너무 자산관리 10 법칙 늦게 깨달은 주변 사람들이 있다면 반면교사로 삼을 필요가 있다. 손실이 없다고 수수방관하기 보다는 때로 직접 시장에 참가할 필요가 있다. 나아가 시장 상황을 감시하고 연구해서 예상을 빗나간 수익저하나 손실을 최대한 막아야 한다. 1년에 적어도 두 번은 포트폴리오를 재구성해서 시장의 변화를 놓치지 않는 것이 중요하다.

      4. 할수 있는 한 고정수입을 최대한 이용하라

      시대와 환경은 예측 하기 어렵고 변화도 빠르다. 왕성한 경제활동을 통해 최대한 돈을 많이 벌 수 있을 때, 가능한 한 많이 미래를 위해 투자해야 한다.

      은퇴시기가 가까워 오고 돈을 벌 수 있는 능력이 떨어지면서 자신의 노동이 부를 창출할 수 있는 기회는 점점 줄어든다. 경제활동을 영위할 수 있는 연령이 점차 한계에 이를수록 자산의 포트폴리오는 직접 벌어들이는 고정수입에 의존하는 경향이 짙다.

      안정된 수입은 투자를 위한 목돈 마련에 도움이 되지만 장기적인 성장 가능성을 속성으로 한는 주식에 사활을 걸어서는 안된다.

      연령대에 따라 전문가들이 권하는 고정수입 vs 주식투자의 자산 포트폴리오 구성은 ▲ 45세 30% 대 70% ▲ 50세 35% 대 65%, ▲ 55세 40% 대 60%, ▲ 60세 45% 대 55% 수준이다.

      [2022 세제개편]가업승계 부담줄였다…부의 대물림 반발도

      /그래픽=유상연 기자 [email protected]

      "많은 중소·중견기업인들이 이제 연세가 조금 있으면서 '지금 적극적으로 투자를 해야 되느냐, 말아야 되느냐? 기술개발을 해야 되느냐, 말아야 되느냐? 굉장히 고민이 많습니다."(추경호 기획재정부 장관)

      가업승계 애로 완화→투자 촉진→일자리 확대

      기획재정부는 21일 이같은 중소·중견기업인들의 가업승계 관련 애로를 완화하기 위해 사업상속공제 대상과 한도를 확대하는 내용의 가업승계 세제 개편안을 내놨다.

      추경호 기재부 장관은 "가업승계의 길을 대폭 열어 세대간 기술·자본 이전, 투자, 기술개발, 일자리 창출에 적극적으로 나설 수 있도록 하는 것이 맞다"며 "이런 방향성을 제시하기 위해 가업승계와 관련한 세 부담을 대폭 완화했다"고 말했다.

      기재부는 가업상속공제 제도의 실효성을 제고하기 위해 적용 대상과 공제 한도를 상향한다.

      가업상속공제는 10년 이상 가업을 영위한 피상속인이 가업을 상속하는 경우 가업상속재산을 최대 500억원 한도로 과세가액에서 공제하는 제도다.

      개정안은 공제적용 대상기업을 기존 매출 4000억원 미만에서 1조원 미만으로 확대하는 내용을 담았다.

      공제 한도도 가업 영위기간이 10년 이상이면 기존 200억원에서 400억원으로, 20년 이상이면 300억원에서 600억원으로, 30년 이상이면 500억원에서 1000억원으로 상향된다.

      피상속인의 지분 요건도 '최대주주이면서 지분 40%(상장법인은 20%) 이상 10년 보유'로 완화했다. 기존에는 최대주주이면서 지분 50%(상장법인은 30%) 이상 10년 보유였다.

      이와 관련한 사후 관리 기간을 7년에서 5년으로 단축하고 업종과 고용, 자산 유지 요건도 완화한다.

      가업승계 증여세 과세 한도 확대

      기재부는 가업승계 증여세의 과세특례한도 확대방안도 추진한다.

      이 제도는 자녀가 부모로부터 가업승계를 목적으로 주식 등을 증여받은 경우 100억원 한도로 5억원을 공제한 뒤 10%(30억원 초과분은 20%) 세율로 과세하는 것이다.

      개정안은 한도를 100억원에서 최대 1000억원으로 확대하고, 기본공제도 5억원에서 10억원으로 상향한다.

      아울러 중소기업의 가업승계를 대상으로 상속·증여세 납부유예제도도 신설한다. 이는 가업상속공제 방식(상속) 또는 가업승계 증여세 특례(증여)와 납부유예 방식 중 선택할 수 있도록 운영할 방침이다.

      전체 중소·중견기업 대상으로 가업상속 연부연납기간을 가업상속재산의 비율에 상관없이 단일화하고 거치 기간은 기존 5년에서 10년으로 확대한다.

      이밖에 영농상속공제 한도를 기존 20억원에서 30억원으로 확대하는 한편 피상속인 요건은 종사기간을 2년에서 10년으로 강화하는 방안도 내놨다.

      또 피상속인이 탈세 또는 회계부정으로 징역형, 벌금형을 받으면 공제에서 배제된다.

      영농상속공제는 2년 이상 농임어업에 종사한 피상속인이 영농상속공제대상 재산을 상속할 경우 20억원 한도로 상속세 과세가액에서 해당 재산 가액을 공제하는 제도다.

      이밖에 창업자금 증여세 과세특례 한도와 창업 인정범위를 확대하고, 공정거래법상 상호출자제한기업집단에 속한 기업이 발행한 주식을 제외한 최대주주 주식할증평가는 폐지하기로 했다.

      최대주주 주식할증평가는 최대주주 보유주식을 상속 증여하는 경우 20%를 할증 평가하는 제도다.

      부의 대물림 돕는다 vs 기업은 주요한 세원

      정부의 이같은 정책이 '부의 대물림'을 돕는 행위란 지적도 나온다.

      이에 대해 추 장관은 "이는 특정인을 위한 제도라기보다 우리의 일자리를 만들고 부를 창출해나가는, 국가의 부를 창출하는 근간이 되는 것"이라며 "(이런 조치는) 당연히 그 결과로 국가에 세금을 납부하게 되는 주요한 세원이 될 것"이라고 반박했다.

      이어 "기업활동을 편하게 하고 유리한 환경을 만들어주는 것은 어느 특정 개인에 관한 문제가 아니다"며 "어느 국가나 지향하는 중요한 경제정책이고 또 조세정책 중 하나의 지향점"이라고 강조했다.

      이번 개정안은 내달 8일까지 입법예고한 뒤 차관회의(8월18일), 국무회의(8월23일)를 거쳐 오는 9월2일 이전 국회에 제출될 예정이다.


0 개 댓글

답장을 남겨주세요