현재 미국의 ‘사이버 보안’의 중심에는 사회 기반 시설이 있다. 사회가 제대로 돌아가는 데 필요한 인프라들을 지키는 게 가장 시급한 문제라는 것이다. CISA는 사회 기반 시설을 보호하기 위해 가장 필요한 건 ‘기본기’라고 답을 냈다.

[보안뉴스 문정후 기자] 누구나 하는 말이라 간과되지만 굉장한 진실을 내포하고 있는 말이 하나 있으니 ‘기본기를 충실히하라’라는 것이다. 사회 인프라의 보안에 역점을 두고 있는 최근 미국 사회에서는 기본기 강화에 대한 이야기가 솔솔 나오고 있다. 보안 전담 기구인 CISA부터도 기본기 강화를 거듭 강조하는 중이다.


기본기에 충실하라는 건 사회 기반 시설을 담당하는 모든 기업과 기관들이 반드시 기억해야 할 내용이다. 기본적인 것 하나 놓치는 바람에 사회 전체에 커다란 영향이 있을 수 있기도 하고, 기본적인 것만으로도 효과적인 방어가 가능하다는 뜻을 모두 내포하고 있는 말이기 때문이다. ‘기본기에 충실하라’는 으레 하는 말이 아니라 콜로니얼 파이프라인(Colonial Pipeline) 사건이나 뉴욕 댐 사건 등 굵직한 사건들로부터 교훈을 받아 나온 교훈이기도 하다.

CISA가 말하는 기본기는 NIST의 사이버 보안 프레임워크(Cybersecurity Framework)를 말한다. 사회 기반 시설을 관리하는 모든 기업들이라면 최소한 이 프레임워크는 도입시키고 있어야 한다는 게 CISA의 생각인 것이다. 특히 리스크를 낮추고 실제 사이버 공격 발생 시 충격을 완화하는 장치들 정도는 모두가 기본으로 갖출 수 있도록 하고 싶어한다. 수상한 로그인 시도로부터 계정을 보호한다거나, 모니터링을 통해 비정상적인 행위를 수시로 감시한다거나 하는 것이 이런 기본기에 포함된다.

장비 보안 역시 CISA가 말하는 ‘기본기’ 중 하나다. 새로운 하드웨어나 소프트웨어를 기업 망 안으로 들이기 전에 반드시 점검하고 승인하는 과정을 거치라는 것이 그 내용이다. 모든 디지털 자산을 회사 측에서 파악해두고 있어야 한다는 것도 CISA는 강조한다. 어디에 어떤 자산들이 있고, 어떤 취약점들이 과거에 있었으며 현재에 패치되지 않고 있는지까지 파악해야 신속한 대응이 가능하다는 게 CISA의 설명이다.

사용자 개개인이 모두 취약점이다
이런 ‘기본기’들은 - 모든 기본기가 그렇지만 - 새로울 것이 하나도 없다. 사이버 보안 산업에서 종사해왔던 사람들이라면 더더욱 그럴 것이다. 그렇기에 CISA가 사회 인프라 강화를 위해 ‘기본기’를 강조하기 시작했을 때 큰 주목을 받지 못했다. 어느 보안 칼럼이라고 하더라도 기본기로 결론을 내리면 사람들은 읽던 글을 중간에서 끊기 일쑤다.

하지만 CISA가 그러는 데에는 이유가 있다. 각 개인들이 커다란 보안 취약점이고, 사람이라는 보안 취약점은 기본기를 통해서만 패치가 가능하기 때문이다. 담당자 한 사람의 실수 한 번이 지역 사회 더 나아가 국가 전체에 커다란 위기를 가져올 수 있으며, 이 때문에 사람이라는 취약점은 반드시 패치를 해야 한다. CISA의 접근법이 눈에 띄지 않아도 유효한 이유다.

공격자들도 개개인이 취약점이라는 사실을 너무나 잘 이해하고 있다. 그래서 소셜엔지니어링 공격이나 피싱 공격을 통해 개인을 속이는 식으로 접근한다. 여기에 걸려든 사람이 악성 링크를 클릭하거나 첨부파일을 다운로드 해 여는 것에서부터 대부분의 사이버 공격은 시작된다. 87개 사회 기반 시설 관리 기업이 한꺼번에 침해됐던 샤프슈터(Sharpshooter) 사건이 이런 식으로 일어났다.

한 번 속는 것이 치명적일 수 있다
성공적으로 감염시킨 장비 하나만 있으면 해커들은 피해자들의 네트워크를 꾸준히 탐색해 더 중요하고 민감한 장비나 시스템에 접근할 수 있게 된다. 생산 기지나 수질 관리 센터의 ICS에 공격자들이 접근했다고 상상해보라. 지역 사회와 특정 물건의 공급망 전체가 불안해질 수 있다. 인명 피해로까지 이어질 수도 있다. 이런 시설들은 가정 집과 달라, 장비나 네트워크를 껐다가 금방 다시 시작할 수 없다. 정상적인 가동을 재개하는 데에 수일에서 수주가 걸린다.

당연하지만 금전적 피해도 무시할 수 없는 수준이다. 2022년 사회 기반 시설 관리 조직들의 28%가 랜섬웨어 공격에 한 번 이상 당했는데, 피해 한 건 당 조직들이 입은 금전적 손실은 482만 달러였다. 아무리 크고 돈이 많은 조직이라고 해도 웃어넘길 만한 금액이 아니다.

CISA는 각종 사회 기반 시설들에 설치되어 있는 ICS가 얼마나 중요한지 잘 알고 있다. 하지만 수많은 ICS들이 민간 시설들에 존재한다. 정부 기관이라고 하더라도 함부로 손댈 수 없다는 뜻이다. 그래서 CISA는 민관 협조 체계를 통해 전국의 ICS들을 보호하려 하고 있다. 쉽지 않은 일이다. 민관 협조도 실행하기에 까다로운 개념인데, ICS 시스템들마저 대다수가 낡고 오래된 것들이기 때문이다. ICS가 설치되어 있는 망들도 오래되고 복잡하기 때문에 조직들마다 다른 방식으로 접근하는 게 필수다.

ICS의 보호를 어렵게 만드는 것 중 하나는 사물인터넷 기술이다. 이 기술을 통해 점점 더 많은 장비들이 네트워크에 연결되고, ICS 역시 이런 장비들과 직접, 간접적으로 맞물리게 된다. ICS로 치고들어갈 경로가 갈수록 많아진다는 것이다. 이 때문에 CISA는 ICS 망에 연결된 사물인터넷 장비들을 전부 위험 요소로 간주하고 있다. 새로운 기술을 탑재한 새로운 장비들이지만 맹목적으로 신뢰하는 것이 아니라 의심하고 확인하는 것이 기본 중 기본이라고 CISA는 강조한다.

기본기를 강조하고 있긴 하지만, CISA가 제안한 기본기를 CISA가 요구한 수준에 맞춰 구축하려면 상당한 투자가 필요하다. 예산도 어느 정도 들어가야 하고, 자발적인 노력도 어느 정도 들어가야 한다. 필요하다면 비즈니스 프로세스도 바꿀 준비를 해야 한다. 주기적으로 감사도 실시해야 하고, 임직원들을 대상으로 한 교육도 병행되어야 한다.

놀랄 것 없다. 사실 우리가 계속 무시해와서 그렇지 기본기를 갖추고 기본을 강화한다는 건 원래 힘든 일이다. 꾸준한 시간과 노력의 투자를 요구하는 게 바로 기본기 강화라는 것이다. 하지만 기본기만 강화한다면 우리는 사회 기반 시설을 보다 안전하게 지킬 수도 있고, 그러므로 더 안심하고 우리의 일상을 누릴 수 있게 된다. 기본기에 많은 것이 달려 있다.

글 : 브루스 매튜스(Bruce Matthews), 사이버 프로그램 국장, Maximus
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>