역추적 지원 및 사이버게놈 DB 등 사이버정보 인프라 구축해야

[보안뉴스=고려대 사이버국방연구센터·디지털포렌식연구센터] 우리 정부는 지난 2011년 국가 사이버안보 마스터플랜을 통해 사이버 공간이 대한민국의 영토·영공·영해에 이은 제4의 영토로 선언하고, 국가 차원의 사이버위협 대응체계 구축을 발표한 바 있다. 이는 2009년 7.7 디도스 공격, 2011년 3.4 디도스 공격 이후에 민관군이 합동으로 대한민국 사이버영토에 대한 위협에 효과적으로 대응하기 위해 수립된 계획이다.

그러나 정부의 계획이 발표된 이후에도 종합적인 사이버안보 방안이 마련되지 않았으며 특히, 민관군의 효과적인 협력과 일관성 있는 대응을 위해 제기된 바 있는 강력한 권한을 갖춘 컨트롤타워가 아직까지 구축되지 않은 상태이다.

최근 발생한 3.20 사이버테러에 의해서 국내 주요 방송사와 금융사의 전산망이 상당한 피해를 입었다. 그동안 민간에 대한 사이버위협은 지속적으로 존재했지만, 방송·금융 분야의 사회적인 영향력 때문에 그 충격이 더 크게 다가왔다. 한편, 이번 공격에 사용된 악성코드의 분석결과를 보면 사용자 정보 수집이 아닌 데이터 파괴에 초점이 맞춰져 있는데, 이는 공격집단이 자기 과시 또는 사회적 혼란을 목적으로 한 것으로 보인다.

3.20 사이버테러 발생 후에 정부가 주도하여 민관군 합동대응팀이 운영됐지만, 여전히 전체적인 상황을 조정하는 컨트롤타워 부재의 문제점이 제기되고 있다. 사이버안보를 위한 컨트롤타워는 특정 조직의 권한과 지위의 문제가 아니며, 범국가적인 차원에서 대한민국의 사이버영토를 수호하자는 공통의 목적으로 이루어져야 할 것이다.

또한, IT 환경이 급변하고 보안의 패러다임이 변화하는 시점에서 국가차원의 사이버안보 강화 전략에 대한 논의가 필요하다.

국가 사이버안보 강화를 위한 전략은 사전 예방과 사후 대응의 두 가지 측면으로 바라볼 수 있다. 먼저 사전 예방을 위해서는 사이버영토에 대한 순찰의 개념을 도입할 필요가 있다. 사이버 공간의 특성상 사람이 직접 상시 순찰하기 어렵기 때문에 사이버보안 인텔리전스 네트워크 기반의 국가 통신망 모니터링 체계를 구축해야 한다.

현재 군을 비롯한 국가기관의 통신망에 대해서는 모니터링 체계가 구축·운영되고 있지만, 민간으로까지 그 기능이 미치지 못하고 있다. 물론 민간 통신망에 대한 순찰은 개인정보보호나 빅 브라더의 이슈가 제기될 가능성이 있지만, 이메일과 같은 개인적인 정보가 아닌 공개된 홈페이지나 업데이트 서버 등은 순찰의 대상이 될 수 있을 것이다. 사이버영토에 대한 순찰을 통해 취약한 시스템이 탐지되면 국가가 이를 알리고, 국가와 민간이 공동으로 대응하는 체계가 갖춰진다면 상당 부분 사이버치안이 강화될 것이다.

그러나 사전 예방을 위한 순찰(모니터링)을 실시하더라도 사이버공격 기법이 날로 지능화되면서 사고가 발생할 수밖에 없는 상황이다. 즉, 사전 예방 전략은 사고 발생을 최소화하는데 목적이 있으며, 현실적으로는 체계적인 사후 대응을 통해 피해를 최소화하고 신속하게 공격의 원인을 분석하여 근원지를 역추적하는 전략을 수립해야 한다.

이런 관점에서 국가 사이버안보 강화를 위한 포렌식 준비도(forensic readiness) 도입의 필요성이 높아지고 있다. 포렌식 준비도란 사후 대응 시에 디지털 포렌식 증거 수집 및 분석의 역량을 극대화하고 비용을 최소화하기 위한 환경을 사전에 준비하는 것으로, 2009년 영국에서 제도화되어 널리 알려졌지만 아직 국내에서는 제도화되지 못한 상태이다.

포렌식 준비도가 도입되면 효과적인 사후 대응을 위해 보안전문 인력을 보유하고, H/W(네트워크, 보안 장비)와 S/W(운영체제, 응용프로그램)가 로그를 많이 남기도록 정책을 설정하는 등의 준비를 통해 사이버공격에 의한 침해사고가 발생했을 시에 신속한 대응으로 피해를 최소화 할 수 있다. 따라서 국가 사이버안보를 강화하기 위해 군을 비롯한 정부기관과 주요 민간 조직들은 포렌식 준비도를 염두에 둔 정책을 개발하고 이를 시행할 필요가 있다.

현재 우리 사이버영토에 대한 위협이 증가하고 있는 상황에서 국가 차원의 안보전략을 수립하는 것도 중요하지만 전략의 수행을 위해서는 무엇보다 고급 인력의 양성이 우선되어야 한다. 효과적인 사전 예방과 사후 대응을 위해서는 H/W, S/W, 네트워크, 정보보호, 디지털 포렌식 등의 지식을 두루 갖춘 고도의 전문가가 필요하지만, 현재는 턱없이 부족한 것이 현실이다.

또한, 안보 전략의 수행을 뒷받침하기 위해 국가차원의 사이버정보 인프라를 구축할 필요가 있다. 美 국방성의 방위고등연구계획국(DARPA)에서는 사이버전의 중요성을 인식하고 사이버방어와 공격기술을 개발함과 동시에 사이버정보 인프라를 구축하고 있다. 사이버정보 인프라에는 공격 근원지를 추적하기 위한 역추적 지원 DB(IP-지역, IP-도메인, 공개 Wi-Fi, 익명네트워크, 봇넷 등의 정보 축적/관리)와 지능화되고 있는 악성코드에 대응하기 위한 사이버 게놈(genome) DB 등이 있는데, 우리나라에서도 이와 같은 인프라를 구축함으로써 사고 발생시 신속한 대응을 할 수 있는 체계 마련이 필요하다.

이러한 상황에서 최근 정부가 ‘범정부 사이버테러 대응 종합대책’을 마련하려는 움직임은 고무적이다. 사이버전의 중요성이 제기되고 있는 시점에서 국가 차원의 인력 양성, 방어/공격 기술 연구, 그리고 인프라 구축을 위한 종합적이고 지속가능한 대책이 수립되어야 할 것으로 보인다.

[글_고려대학교 사이버국방연구센터·디지털포렌식연구센터]

[사이버국방리포트 원본 링크]
www.boannews.com/board/view.asp?idx=36

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>