사이버 보안 업계는 노력에 비해 성과를 내지 못하고 있다. 각종 통계 수치는 공격자들의 뛰어남만을 증명한다. 보안 업계의 발전이 없는 건 아닌데 왜 그런 걸까? 사상누각 위에 있기 때문이라는 주장이 나왔다.

[보안뉴스 문가용 기자] 요 몇 년 간 보안 업계가 누적시켜 온 숫자들과, 앞으로 보안 업계를 꾸준하게 괴롭힐 로그4셸 취약점 사태까지 보면 뭔가 잘못됐다는 느낌을 지우기가 힘들다. 보안 업계에 종사하고 있다고 해서 너그러이 봐주지 말고, 한 번 객관적으로 우리 업계를 바라보자. 우리는 지금 올바른 방향으로 가고 있는 걸까? 필자는 아주 깊은 본질에서부터 사이버 보안이라는 것이 망가져 있다고 생각한다.


먼저 간단한 통계 자료들을 먼저 보도록 하자. 2021년 3사분기까지 발생한 데이터 침해 사고는 2020년 한 해 동안 발생한 침해 사고보다 17%나 많았다. 제조업과 유틸리티 분야에서 특히 피해가 심각했다. 그 다음은 의료 업계였다. 랜섬웨어 공격 또한 급격하다는 표현이 부족할 정도로 가파른 상승곡선을 그리고 있고, 2021년 전반기 동안에만 5억 9000만 달러의 피해를 여러 피해자들에게 입혔다. 2020년 한 해 동안 발생한 랜섬웨어 피해액은 4억 1600만 달러였다.

사이버 공격이 진화하면 할수록 우리가 가진 시스템의 약한 부분들이 적나라하게 드러나고 있고, 보안 업계는 뭔가 애를 쓰고 있긴 하지만 도무지 이 흐름에 아무런 영향을 미치지 못하고 있다. 마치 우리는 없는 듯하다. 왜 그런 걸까? 사이버 보안은 어디서부터 망가진 것일까? 보안 업계의 존재감을 지워내는 사이버 공격자들의 특장점은 다음과 같다.

사이버 범죄자들이 훨씬 더 조직적이다
최근 사이버 범죄자들 사이에서 나타나고 있는 뚜렷한 특징 중 하나는 ‘협업’이 원활히 이뤄지고 있다는 것이다. 마치 이제 막 탄생해 모두가 으쌰으쌰하는, 에너지 넘치는 신생 분야처럼 해킹 단체들은 이런 저런 형태로 서로에게 협조하고 새로운 지식과 소식을 공유하고 있다. 좋은 방향으로 모아지는 에너지는 결코 아니지만 다크웹 포럼들에 가보면 이런 열기를 느낄 수 있다. 게다가 그런 흐름을 타 꽤나 탄탄한 구조까지 만들고 있기도 하다.

그래서 지금 공격자들 사이에서는 ‘분업화’가 상당히 높은 수준으로 구현되어 있다. 공격 캠페인을 전체적으로 운영하는 조직들은, 실제 공격을 감행하는 자들과 계약을 맺고, 공격이 성공했을 때 얻는 수익을 서로 나눠 갖는다. 실제 공격자는 침투 및 멀웨어 퍼트리기를 실시하고, 운영자들은 피해자들과의 협상을 담당하는 식이다. 혹은 다크웹의 판매상과 협의를 맺어 훔친 데이터를 판매하고 수익금을 나누기도 한다. 이렇게 되니 공격자들은 자신의 전문 분야에만 집중하면 되어 공격은 보다 날카로워지고 효율마저 높아진다.

멀웨어는 점점 더 똑똑해진다
멀웨어는 항상 인터넷을 위협하는 주범이었다. 최근 문제가 되고 있는 랜섬웨어는 사실 1989년부터 존재해왔다. 물론 당시의 랜섬웨어 혹은 랜섬웨어의 먼 조상은 플로피 디스크로 퍼지고, 공격자와 피해자 간 소통은 스네일 메일로 이뤄지긴 했지만 말이다. 그에 비하면 오늘 날의 멀웨어들은 상당한 수준의 고급화를 이뤄냈다. 평균 90일이나 피해자의 시스템에서 악성 행위를 저지르는데 들키지도 않는다.

침투하자마자 공격을 저지르는 것도 아니다. 먼저는 조용히 정찰을 실시하면서 각종 정보를 수집한다. 감염시킬 수 있을만한 부분들을 죄다 파악하기 위해서다. 이렇게 하니 한 번 공격으로 일으키는 피해가 막대한 수준이다. 피해자로서는 더 불리한 위치에 처하게 되고, 공격자의 요구를 들어줄 수밖에 없게 된다.

공급망을 노리기 시작했다
작년부터 공격자들은 공급망을 보다 노골적으로 공격하기 시작했다. 생산자와 공급자, 소비자를 연결해 주는 고리들이 얼마나 매력적인 표적이 되는지를 깨달은 것이다. 왜? 생산자에게 있어 소비자로 가는 연결고리가 끊기는 것만큼 무섭고 끔찍한 상황이 없기 때문이다. 생산자가 생산을 하는 이유 그 자체가 소비자이며, 따라서 공급망을 뒤흔드는 건 사업체의 존재이유를 공격하는 것과 같다. 실제 이런 공격으로 기업이 입는 피해는, 기업 내부 네트워크가 마비되는 경우의 그것보다 훨씬 크다.

피해자에게 큰 피해를 준다는 건, 공격자 입장에서 매우 유리한 고지를 선점한다는 뜻과 같다. 게다가 현대의 공급망을 바꾼다거나 강화한다는 것 자체가 큰 비용과 노력을 요하는 일이기에 대응이 쉬운 것도 아니다. 사실상 우리는 뜬 눈으로 공격자가 유리한 지점으로 가는 걸 지켜만 봐야 한다. 그리고 공격자들은 이미 그 유리한 고지를 차지했다. 미래의 일을 이야기하는 것이 아니라 현재의 일을 말하는 것이다.

최근 영국에서 실시한 한 조사에 의하면 2021년 공급망 공격에 당한 기업은 97%나 된다고 한다. 전 세계 평균은 다행히 이것보다 조금 낮은 수준이긴 하지만, 금세 영국의 수치를 따라잡을 것으로 보인다.

방어를 담당해야 하는 사람들은 뿔뿔이 흩어져 있다는 걸 안다
팬데믹 때문에 업무의 방식이 완전히 뒤바뀌었다. 물리적 사무 공간에서부터 놓여난 사람들이 기하급수적으로 늘어났다. 어떤 지역이나 산업에서는 원격 근무가 이미 표준으로 자리를 잡았다. 공격자들에게 이것은 ‘공격할 곳이 늘어났다’는 뜻이 된다. 원격 근무자들은 아직 스스로 보안을 강화하는 법에 익숙하지 않다. 회사에 있을 때는 보안 담당자가 알아서 해 주던 일들이니 당연한 일이다. 그래서 회사 장비로 불안한 네트워크에 접속하고, 출처가 불분명한 곳에서 애플리케이션을 받아 설치한다. 공격자들도 이런 일반인들의 특징을 잘 이해하고 있다.

대처 방안이 있을까?
이와 같은 이유들 때문에 보안은 속수무책으로 휘둘리고 있다. 사이버 보안의 패러다임 자체가 바뀌기 전까지 우리는 아마 계속 당하고 또 당할 것이다. 꽤 많은 사람들이 보안이라는 말을 들으면 강력한 성벽과 같은 이미지를 머릿속에 떠올린다. 강력한 무언가가 바깥 쪽에 버티고 서서 해로운 것들이 침투하지 못하게 하는 그림을 상상한다는 것이다.

하지만 공격자들의 각종 침투 전략과 기술, 코로나 사태로 인한 원격 근무 체제까지 겹쳐서 이 ‘성벽 이미지’는 전혀 고수할 가치가 없는 것이 되었다. 아마 보안 전문가들은 다 알고 있는 내용일 것이다. 하지만 ‘성벽 이미지가 낡은 것’을 안다고 해서 실제 근무 시 사용하는 도구와 방법론까지 바뀌었을까? 아직도 방화벽만 쳐다보고 있지는 않은가? 내부 트래픽을 감시할 장비와 솔루션들까지 갖췄나? 아는 것이 실제 현장에서 적용되지 않으면, 알지 못하는 것과 다름이 없다.

또 하나 보안 업계의 잘못된 부분이 있다면 능동적인 작업 프로세스가 전혀 정착하지 못하고 있다는 것이다. 능동적인 보안에 대해서 우리는 숱하게 이야기 하지만, 현실은 전혀 그렇지 않다. 사건이 터지고 나서야 뒤늦게 움직이는 것이 거의 모든 조직들의 패턴이다. 그 전에는? 전부 ‘우리 조직에는 아무런 일이 없겠지’라는 희망만 품고 있다. 결국 모든 보안 조직들이 러시안 룰렛 게임을 하듯 자기 일을 하고 있다는 뜻이다.

사건에 대응하는 방식만으로는 시스템이나 네트워크, 조직을 제대로 보호할 수 없다. 그 개념 자체가 이미 피해자를 양산하는 철학이다. 누군가의 눈에서 눈물이 나고 나서야 움직이니 뒤처리를 아무리 깔끔하게 한다 한들 보안에 대한 깊은 신뢰를 심기가 어렵다. 능동적 보안이란 아무런 사고가 없어도 내부와 외부 트래픽을 꾸준히 모니터링하고, 가상의 공격 패턴을 적용해 실험하며, 미리미리 취약점을 찾아 해결하는 것을 말한다.

조직적으로 공격하는 공격자들에게 나 홀로 대응하기를 고집하는 것, 멀웨어는 점점 똑똑해지는데 방어 도구 업그레이드는 어쩌다 한 번씩 하는 것, 공급망을 손보지 못해 공격자들이 노리는 부분이 어디인 줄 알면서도 쳐다볼 수밖에 없는 것, 아직 분산 네트워크에 익숙해지지 않은 것, 대처 방안을 알면서도 실제 환경에 도입하기 힘든 것 등 밑바탕에서부터 고쳐야 할 점이 한두 가지가 아니다. 외부의 문제보다 내부의 문제가 더 심각하다.

글 : 데이비드 라트너(David Ratner), CEO, Hyas
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>