우리는 치명적인 공격에 대한 대응이 가능할까?

[보안뉴스 오병민] “스턱스넷 같은 사이버 공격이 현실이라고 얘기해도, 보안업체들이 돈 벌려고 과장한다고 하는 상황이 안타깝습니다. 이미 사이버 전쟁은 전쟁의 중요한 축이고, 우리의 생명과 안전이 달려있습니다.”

얼마 전 안철수연구소의 김홍선 대표는 이 같은 내용의 글을 자신의 트위터에 올렸다.

이 같은 글을 보면서 기자는 약간은 착잡한 안타까움을 느꼈다. 사실 보안업체에서 위협을 과장한 적은 한 번도 없었기 때문이다.

스턱스넷의 실체가 하나둘 공개되면서 체계적으로 준비된 이런 사이버 공격이 단지 일시적인 테러리즘 수단의 성격보다는 전략적으로 계획된 국가 간 사이버전 공격기법의 성향을 띠고 있다는 것을 살펴볼 수 있다. 이 같은 사이버 공격은 실체를 드러내지 않고도 핵공격과 같은 위력의 혼란을 초래할 수 있다.

앞서 말한 것처럼 보안업체들이 보안 위협을 과장하지는 않았다. 그러나 위협과 별개로 보안 제품의 성능은 과장했을 수는 있다. 예를 들어 DDoS 대란 이후, 수많은 보안 제품이 갑자기 DDoS 보안 제품으로 둔갑해 완벽한 DDoS 방어를 수행할 것처럼 과장됐던 것처럼 말이다.

우리나라에서 보안은 기회가 있을 때 해야 하는 형편이다. 대형 보안 사고나 대형 보안 이슈가 없을 때는 예산에서 보안에 대한 고려가 없기 때문이다. 이 같은 상황에 대한 원인은 복합적이다. 우선 보안 책임자들이 예산 편성에 적극적으로 참여할 만한 파워가 없고, 이미 도입된 보안 솔루션들도 보고대로라면 완벽한 보안 기능을 수행하고 있기 때문이다. 그러나 사실상 도입된 보안 솔루션들은 누가 어떻게 운용할지까지 고려된 체계적인 보안시스템이 아니기 때문에 보안 허점이 매우 많다.

즉 보안 허점은 도입된 보안솔루션 자체의 성능보다 체계적으로 도입되지 않아서 나타났을 확률이 크다. 그러나 이런 허점은 크게 문제가 되지 않았다. 일단 공격은 쉽게 수그러졌고 피해는 생각보다 크지 않았기 때문이다.

그러나 그게 다가 아니다. 스턱스넷의 위험성이 부각되는 이유는 잔존해 있는 악성코드가 분명히 존재할 것이라는 가능성 때문이다. 아직 스턱스넷은 목적을 완벽하게 수행하지 않았음에도 불구하고 발견된 악성코드에서 밝혀진 것 이상의 진짜 목적에 대한 단서를 찾지 못했기 때문이다.

다시 한 번 말하지만 보안업체들은 공격의 위험성을 과장하지 않았다. 스턱스넷은 국가의 안전을 위협할 수 있는 ‘치명적인’ 공격이기 때문이다. 물론 7.7 DDoS 공격도 치명적이었지만 위험성만 본다면 스턱스넷은 7.7 DDoS의 할아버지 격이다.

그러나 스턱스넷을 보안 솔루션으로 방어할 수 있다고 생각하면 큰 오산이다. 단순히 몇몇 보안 솔루션 도입으로 스턱스넷을 막을 수 없다는 이야기다. 사실 현재의 무사안일(無事安逸)한 상황은 과장된 보안 솔루션에 대한 믿음이 가져왔다고 해도 과언이 아니다.

지금처럼 기회가 있을 때 보안솔루션을 채우는 형태로는 보안을 강화할 수 없다. 완벽한 보안이란 없기 때문이다. 체계적인 보안 관리와 이에 따른 솔루션 도입, 그리고 이를 뒷받침할 수 있는 안정적인 예산만이, 보다 탄탄한 보안을 가져다 줄 수는 있다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>