사이버전이 첨예하게 발생하고 있다. 물론 우리 눈에는 보이지 않는다. 우크라이나와 러시아의 사이버 공간에서의 전투 행위가 아직까지 다른 나라로 넘어간 뚜렷한 흔적은 나타나지 않고 있지만, 미래의 가능성까지 모두 차단된 것은 아니다.

[보안뉴스 문정후 기자] 마리안느 베일리(Marianne Bailey)는 현대 사회를 살아가는 우리가 겪을 수 있는 가장 첨예한 형태의 사이버 공격을 경험하고 있다. 그리고 한 나라의 가장 높은 위치에 있는 사람들에게 대응책을 제언한다. 국가안보시스템(National Security Systems, NSS)의 부국장이자 NSA의 수석 사이버 보안 책임자의 자리에 있기 때문에 사이버 공격이 어떤 식으로 벌어지고, 어떤 양상을 보이는지, 그리고 어떻게 퍼지고 있는지를 들여다볼 수 있는 위치에 있기 때문이다. 또한 현재 가이드하우스(Guidehouse)라는 곳에서 보안 실천 부문 책임자이기도 하니까.


그런 위치에 있어서 베일리는 사이버 방어에 대해서도 남다른 혜안을 가지고 있기도 하다. 특히 사이버 전쟁이라는 새로운 위기 앞에 기업들이 어떻게 방어를 강화해야 하는지, 특히 우크라이나와 러시아의 충돌이 있은 이래로 우크라이나의 편에 선 국가들에서는 러시아의 사이버전 행위를 어떻게 무마시켜야 하는지, 서드파티 업체의 보안 강화를 협상할 때 어떤 식으로 이야기해야 하는지, 강력한 대응 체계를 유지시키는 방법은 무엇인지 등 현재 상황에 알맞은 노하우를 가지고 있는 인물이라고 볼 수 있다. 문답 형식으로 이야기를 꾸며 보았다.

Q : 우크라이나 위기 상태로 인해 보안은 어떤 식으로 바뀌고 있는가? 현재 상황에서 기업들이 좀 더 신경 써서 보호해야 할 것들이 있는가? 더 신경 써서 강화해야 할 것은 무엇인가?

A : 낮은 수준의 사이버 전쟁 행위는 지난 수십 년 동안 물밑에서 은밀하게 진행되어 왔다. NSA나 국방부에 있었을 때, 본인은 이런 물밑에서의 사이버전 행위를 지켜보고 분석할 수 있는 위치에서 근무했다. 전부 기밀로 분류될 만한 것들이었다. 사이버 공격자들은 무엇을 노리느냐에 따라 매우 다른 모습과 양상을 보여주는데, 이 중 대다수는 일반 대중들에게 공개되지 않는다. 우크라이나와 러시아 사태가 다른 점은, 이런 국가들 간의 은밀한 행위를 모두가 볼 수 있게 됐다는 것이다. 그래서 전 세계가 무력으로 침공하려는 나라는 반드시 사이버 공간부터 침투하고 흔든다는 사실을 뚜렷하게 보게 됐다. 새로울 것은 하나도 없다. 아주 먼 거리에서 적국에 침투해 들어가 큰 피해를 일으킬 수 있고, 게다가 잡힐 위험도 매우 낮다면, 하지 않을 사람이 누가 있겠는가? 사이버전은 부인할 수 없는 전쟁의 도구다.

Q : 우크라이나를 겨냥한 사이버전은 계속 증식해 다른 영역과 지역에도 영향을 미칠까?

A : 솔직히 말해 아직까지 러시아가 우크라이나 외에 다른 지역을 공격하기 시작했다고 말할 만한 증거를 찾지 못했다. 하지만 우리에게는 과거 사이버전 사례가 있다. 한 지역, 한 나라에만 국한된 채 끝난 사이버전 행위는 찾기 힘들다. 자의든 타의든 대부분 국경을 넘어 또 다른 피해자를 만든다. 예를 들어 낫페트야(NotPetya) 멀웨어를 보라. 당시 본인은 미 국방부에 있었다. 한 비오는 금요일 밤, 갑자기 백악관에서 전화가 왔다. “낫페트야라는 바이러스가 나타났는데 어떻게 해야 하는가" 알려달라는 것이었다. 모니터링을 시작했는데, 낫페트야는 우리가 보는 앞에서 여러 국경선을 가로질렀고 세계 곳곳에서 마비 증상을 일으켰다. 미국 정부가 대응력을 갖추기 전까지 주어진 시간은 7시간이었다. 그 시간 안에 주요 기관들을 충분히 강화시킬 수 있었다. 하지만 유럽에서는 이야기가 달랐다. 수많은 기업들에서 피해가 발생했다.

그 외에 생각해야 할 것은 사이버 자경단들의 존재다. 현재 우크라이나에는 대단히 많은 사이버 자경단들이 활동하고 있다. 러시아에 사적 복수를 하는 해커들을 말한다. 당연히 우크라이나 국민이면 이 행위에 자신이 가진 기술력을 보태면서 조국을 돕고 싶을 것이다. 그 마음 충분히 이해할 수 있다. 하지만 사이버 공간에서 이뤄지는 사적 복수는 굉장히 위험할 수 있다. 예를 들어 러시아의 한 조직을 공격하기 위해 영국의 IP 주소를 썼다면 어떻게 될까? 러시아로서는 당연히 영국이 해킹 공격을 했다고 생각하지 우크라이나를 위한 자경단이 영국을 우회해서 공격했다고 생각하지 않는다. 그리고 영국에 복수를 한다. 불필요한 분쟁이 다시 발생하는 것이다. 사적 복수는 - 흔한 레퍼토리이긴 하지만 - 그저 복수의 탄생을 반복할 뿐이다.

Q : 방어 능력을 강화하고자 하는 기업들이라면 어떤 도구들을 갖추고 있어야 할까?

A : 모든 기업들은 일단 그 무엇보다 자신들의 자산에 대한 목록을 갖추고 있어야 한다. 이거 상당히 자주 강조되는 건데 아직 거의 대다수 기업들이 가지고 있지 않는 무기다. 회사가 갖추고 있는 모든 장비들을 하나부터 열까지 빠짐없이 알고 있어야 한다. 회사가 크면 클수록 이 작업을 하는 게 어려울 수 있다. 그럼에도 모든 컴퓨터, 모바일,, 라우터, 네트워크 장비를 다 파악하고 있고, 각 장비가 어떤 목적으로 구매되었고 사용되었는지 이해해야만 한다. 이러한 상황에 대해 알고 있지 않으면 누가 엉뚱한 목적으로 뭔가를 심어두어도 발견하지 못하게 된다.

그 다음 기업들이 갖춰야 하는 건 광범위하고 철벽 같은 패치 전략이다. 예를 들어 매달 한 번씩 취약점 스캔을 하고 패치를 한다거나 하는 식으로 말이다. 다중 인증 시스템 역시 요즘과 같은 상황에서는 필수다. 까다로운 비밀번호를 3개월에 한 번씩 바꾸라는 조언은 더 이상 유효하지 않다고 생각한다. 인간이 아무리 어렵게 비밀번호를 만들어도 점점 발전하는 기계의 공격에 몇 초 버티지 못한다. 게다가 사람은 어려운 비밀번호를 제대로 유지하지 않는다. 거의 대부분의 사용자들은 자신의 애완동물 이름 같은 걸 비밀번호로 사용한다. 비밀번호의 안전한 활용이라는 건 환상과 같은 것이라고 생각한다.

네트워크 보안을 위해 가장 기본적으로 갖춰야 하는 건 강력한 보안 운영팀이다. 이 보안 운영팀은 네트워크 상태를 항상 모니터링해야 하고, 그럼으로써 최대한 빨리 위협 요소를 찾아낼 수 있어야 한다. 데이터 거버넌스와 관련된 정책과, 꼼꼼한 데이터 백업도 필수 요소다. 데이터 거버넌스 정책이 강력하지 못할 때, 기업들은 어떤 데이터가 어디에 있으며 어떻게 활용되고 있는지를 파악할 수 없다. 백업 행태가 부실하면 랜섬웨어 공격에 치명적으로 당할 수밖에 없다. 클라우드로의 이전이 이어지면서 클라우드라는 체제를 과신하는 경향이 생겨나고 있는데, 사실 클라우드로 데이터를 옮겼다는 건 그저 다른 서버로 데이터를 이동시켰다는 것뿐이라 안전과는 큰 상관이 없다. 

Q : 개인적으로 추천하는 프레임워크가 있다면?

A : NIST의 프레임워크들을 추천한다. 세상에는 여러 가지의 프레임워크가 있는데, 거의 대부분이 NIST의 프레임워크를 기초로 하고 있다. NIST가 프레임워크의 기본 중 기본을 만들어내는 기관이다. 사이버 보안과 관련해서는 NIST 800-53 프레임워크가 대표적이다. 이 프레임워크만 잘 도입해도 보안 통제 문제를 적잖이 해결할 수 있다. NIST 외에서 꼽아본다면 어떨까?  클라우드보안동맹(CSA)에서도 클라우드 제어와 관련된 프레임워크를 제공한다. 인터넷보안센터(CIS)의 프레임워크도 매우 유용하다. 

Q : 시스템을 테스트할 때, 어떤 부분에서 발견되는 결함에 특히 주목해야 할까?

A : M&A의 상황에서 대기업들이 자주 간과하는 게 있는데, 흡수하는 기업의 네트워크와 IT 인프라의 기능만이 아니라 취약점과 위험 요인들도 전부 같이 받아들였으며, 이것이 모기업의 네트워크와 IT 인프라까지 덩달아 위험에 노출시킨다는 점이다. 이런 경우 기업들은 합병하는 기업의 네트워크 문제와 온갖 취약점들을 전부 파악하고 대처해야 한다. 멀쩡했던 원 기업의 디지털 자산까지 위험해질 수 있다. 

그 다음은 피싱에 주의해야 하는데, 이건 무슨 뜻이냐면 클릭하지 말아야 할 것을 클릭하는 사람들이 있는지 파악해야 한다는 것이다. 그러니 사람과 관련된 결함이 실재하는지를 살펴야 하고, 그 부분을 보완하는 것이 중요하다. 피싱은 거의 모든 사이버 공격의 시작점이 된다는 걸 잊지 말아야 한다. 

오래된 하드웨어 및 소프트웨어들도 역시 요주의 대상이다. 패치가 더 이상 나오지 않을 정도로 오래된 하드웨어와 소프트웨어를 활용하여 회사를 운영하고 있다면, 온갖 취약점을 떠안고 가는 것인데, 이는 구멍난 튜브를 끼고 망망대해로 나아가는 것과 다름이 없다. 심지어 튜브를 탄 사람은 튜브 구멍을 막을 만한 그 어떤 수단도 가지고 있지 않다. 튜브에 바람이 다 빠지는 시점이 반드시 찾아오듯이, 오래된 하드웨어/소프트웨어를 통해 공격이 들어오는 시점도 반드시 찾아온다. 물론 기업 입장에서 한꺼번에 새 장비와 소프트웨어로 교체하는 게 쉬운 일은 아니다. 큰 기업일수록 문제가 되는 장비와 소프트웨어를 찾아내 없애는 게 더 힘들 것이다. 그러니 먼저는 패치가 더 이상 나오지 않는 하드웨어 및 소프트웨어부터 찾아서 없애자.

Q : 데이터 분리(data segregation)를 위해 필수적으로 지켜야 할 것들에는 무엇이 있을까?

A : 앞서 말하기도 했지만 데이터 거버넌스와 관련된 정책이 탄탄하게 자리를 잡고 있어야 한다. 그리고 그 정책이 지켜지는 선에서 최적의 데이터 처리 및 관리 프로세스가 마련되어야 한다. 그러려면 어떻게 해야 할까? 먼저는 어떤 데이터를 가지고 있는지, 그 데이터들이 어디에 있는지, 어떻게 활용되는지부터 파악해야 한다. 최근 들어 데이터와 관련된 규정들은 매일 더 엄격해지고 있다. 예를 들어 금융 산업의 기업들이라면 데이터를 돈 보다 더 엄격하게 지켜야 할 정도다. 이런 흐름도 사내 데이터 거버넌스 정책에 빠르게 반영되어야 한다. 

본인은 개인적으로 ‘마이크로 세그멘테이션’이라는 것을 추천한다. 데이터가 필요한 사람들을 엄격히 구분해, 그것을 기준으로 데이터를 나누는 것을 말한다. 즉 A라는 사람이 업무를 하는 데에 필요한 데이터가 있다면, 바로 그 데이터에만 접근하도록 하고 다른 곳에는 절대 가지 못하도록 하는 것이다. 예를 들어 병원의 회계 담당자라면 환자 기록에는 손댈 필요가 없다. 이런 규칙을 모든 사람들에게 적용한다면 데이터는 훨씬 더 안전해진다. 

글 : 리차드 팔라디(Richard Pallardy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>