세계적인 보안전문 기업인 시만텍의 최고 정보보안 책임자인 팀 매써(Tim Mather)는 보안 분야 전반을 꿰뚫는 폭넓은 식견과 강력한 추진력이 돋보이는 인물이었다. 시만텍 최고 정보보안 책임자(CISO)이며, 정보시스템 보안전문가(CISSP)이자 정보시스템 관리자(CISM)로 1인 3역을 소화하고 있는 그를 통해 현재 보안의 핵심 이슈와 미래 청사진을 듣는 시간을 마련했다. 현재 보안을 책임지고 있는 실무자들이라면 귀 기울여 들어야 할 진정어린 조언들과 지금 우리가 보안을 위해 어떤 준비를 해야 하는지 알려준다.

시만텍의 최고 정보보안 책임자로서, 팀 매써는 모든 정보 시스템 보안정책의 개발을 책임지며, 보안관련 정책과 과정, 그리고 정보 시스템 감사관련 활동을 감독하고 있다. 그는 또한 시만텍 제품의 보안기능에 대해서도 깊은 관여를 하고 있는 것으로 알려졌다.

지난 1999년 시만텍에 합류하기 전, 팀 매써는 베리사인(VeriSign)에서 보안담당 이사를 역임했으며, 애플 컴퓨터에서 정보시스템 보안이사를 맡기도 했다. 또한, 그는 워싱턴 DC에서 민간단체, 군 당국 및 기관과 함께 7년간 지휘통 제통신 및 정보(C3I)라는 국가기밀 프로젝트를 진행하기도 했다. 그와의 인터뷰 내용이다.

 

<시만텍 팀 매써 부사장>

오늘날의 보안위협 동향은 어떠한 특징을 가지는가?

지금의 보안위협 동향은 많은 변화를 겪고 있다. 과거에 비정형적인 성격을 띠고 있던 공격이 이제 매우 타깃화되고 있다. 과거에 공격자들에게 중요한 것은 ‘얼마나 더 빠르고 널리 바이러스를 전파할 것인가’하는 것이었다. 그러나 이제 바이러스가 온라인 상에 떠돌아 다니는 경우는 점차 줄고 있으며, 이제 우리가 바이러스라고 부르는 것은 대부분 웜이다. 그리고 이들은 보다 구체적이고 실질적인 정보를 캐내려 하고 있다. 타깃화 되고 있는 공격의 좋은 예가 바로 포트 스캔이다. 포트 스캔은 매우 넓은 범위로 진행되는 것이 대부분이었으나, 이제는 ‘포트 나킹(Port Knocking)’으로 불러야 할 정도로 타깃화 되어 특정 기업 및 제품의 포트를 찾아 나서고 있다.

스팸 역시 변화하는 보안위협 동향의 예가 된다. 이제까지 스팸은 대량으로 발송되어 왔으나 지금은 피싱, 스피어 피싱과 같은 정교한 설계형태를 띠고 특정 대상과, 특정 데이터를 노린다. 예를 들어 돈이 필요한 사람에게는 대출관련 스팸을 보내는 등 피싱, 스피어 피싱 등의 스팸 형태가 점차 증가하고 있다.

해킹 방법 역시 점차 정교해지고 있다. 과거에 바이러스는 수동적이었으며, 웜은 자기가 알아서 확산되는 특징이 있었다. 그러나 이 두 위협이 결합되면서 운영체제와 애플리케이션을 무작위로 공격하고 스스로 확산되게 되는 것이다. 즉, 자신도 모르는 사이에 다른 사람에게 피해를 주는 일이 수시로 일어나고 있다.

게다가 이러한 위협들은 뿌리 뽑기 힘들 정도로 끈질긴 성격을 띠고 있다. 이전에는 PC가 바이러스에 감염되면 다시 부팅하거나 하드디스크를 교환하며 해결할 수 있었다. 그러나 은밀하게 침입해 원하는 데이터만 가져가거나 서서히 바이러스에 감염되도록 하는 요즘 바이러스는 사용자의 시스템을 완전히 소유하는 데 그 목적이 있다. 특히, 악성 코드는 사용자의 컴퓨터 상에서 자신의 존재를 은폐하기 위해 다양한 테크닉을 사용한다. 루트킷(Rootkit)과 같은 대중적인 방법을 활용하는 경우가 급격하게 증가해, 이제 위협은 자신의 존재를 드러내지 않고 사용자가 눈치채지 못하도록 활동을 개시하고 있다.

보안공격은 이제 매우 정교한 통제를 통해 이루어지고 있다. 과거에 보안공격이라고 하는 것은 통제가 불가능한 웜의 집단에 불과했다. 그러나 통제기술이 발달하면서, 봇 네트워크 및 좀비 네트워크 상의 시스템들은 추적을 피하기 위해 분마다 서비스 거부(Denial of Service) 공격변수를 바꾸기까지 한다.

왜 바이러스와 웜은 점차 타깃화 되어가는가?

이전까지 기업의 보안을 위협했던 바이러스나 웜은 불특정 다수를 향해 어떻게 하면 빠르게 널리 확산시킬 것인가에 목적이 있었다. 그러나 최근 이러한 양상이 점차 변화하고 있다. 해커들은 전체 시스템을 공격하기 보다는 원하는 정확한 데이터를 확보해 금전적인 이익을 얻으려 하기 때문에, 상당히 구체적인 목표를 가진 타깃화 된 툴을 사용하게 되는 것이다.

공격자들이 타깃을 바꿨다면, 공격자들의 프로필 또한 변한건가?

물론이다. 해커들의 면면도 변화하고 있다. 이전까지는 어린 나이에 자신의 이름을 날리기 위해 해킹을 시도하는 사람들이 많았다. 그러나 최근 들어 전문적인 프로그래머가 가세해 개인정보를 도용하는 등 금전적인 이익을 얻으려는 해커들이 늘고 있다. 주민번호를 도용해 게임 머니를 사고 팔거나 은행 메일을 가장해 개인정보를 입력하게 한 다음 계좌에서 돈을 인출하는 범죄가 속속 등장하고 있는 것이다. 공격의 목적이 전문적이 되다 보니, 공격자들의 프로필 또한 전문가의 면모를 갖추어 가고 있는 것이다.

한국은 현재 매우 빠르게 보안문화가 확산되어 가고 있다. 하지만, 실제 보안을 담당하는 관리자들은 아직 많은 어려움을 호소하고 있다. 보안관리자가 가져야 할 자세는 무엇이며, 가장 중요한 것은 무엇인지 조언해 달라.

먼저, 중요한 것은 디지털 경제의 번영을 지속하기 위해 보안관리자들이 가지는 막중한 책임이다. 전자상거래, 브로드밴드, 웹 등의 분야에서 눈부신 성장을 통한 디지털 라이프의 시대가 열리면서, 기업은 사용자의 신뢰를 회복하고 안정적인 디지털 라이프스타일을 즐길 수 있다는 기대감을 조성해야 하는 책임을 가지고 있다. 고객의 신뢰는 온라인 세계를 이루는 궁극적인 기반이기 때문이다. 따라서 보안관리자들은 디지털 경제의 생존과 번영을 위해 정보가 생성, 전송, 저장되는 기업 인프라스트럭처의 모든 측면을 보호해야 하는 책임감을 가져야만 한다.

보안관리자들이 느끼는 큰 어려움 중 하나는 바로 보안 시스템을 구성하는 기술, 사람, 그리고 비즈니스 목표 간의 관계에서 오는 것이라고 생각한다. 예를 들어 보안 시스템을 구축할 때, 기술에 치우쳐서 가장 비싸고 좋은 솔루션을 도입하려고 하면, 이로 인해 소요되는 많은 양의 비용은 기업의 투자효율성을 떨어뜨리는 결과를 가져올 수 있다. 또, 아무리 좋은 제품이나 서비스를 갖고 있더라도 정책이나 사람이 뒷받침되지 않으면 소용이 없다.

따라서 보안관리자들은 보안기술이 제대로 운영될 수 있도록 하는 사람과 프로세스에도 많은 노력을 기울여야 한다. 사실 디지털 세계의 보안측면에서 가장 취약한 요소는 바로 사람이다. 따라서 적절한 보안정책 프로그램을 구축해 보안관련 전담 인력을 배치하고, 실행, 취약점, 대응 방안 등을 마련하는 것은 물론 지속적인 교육 프로그램을 실시할 수 있어야 할 것이다. 물론, 정보를 다루는 프로세스를 사용자의 양심에만 맡기는 것 역시 무척 위험한 일이며, 보안정책을 강제할 수 있는 툴 역시 반드시 고려해야 할 것이다.

기업과 보안담당자들이 디지털 세계에 대한 책임을 잊지 않고 이를 이행할 수 있다면, 수백만 명의 사용자들이 디지털 세계가 제공하는 편리와 효용성, 그리고 무한한 잠재력을 활용할 수 있는, 신뢰할 수 있는 환경을 구현할 수 있을 것이라 믿는다.

시만텍의 최신 인터넷 위협보고서에서는 취약점의 상업화가 심화되고 있음이 언급됐는데, 이는 무엇을 의미하나?

취약점 연구(Vulnerability Search)의 상업화는 이미 뚜렷한 추세로 자리잡고 있다. 과거에는 벤더에 의해 채용되지 않은 제삼자에 의해 보안취약점이 발견되는 경우, 보안 웹 사이트와 메일링 리스트에 즉시 그 결과를 공개하는 것이 일반적이었다. 하지만 보안취약점의 상업적 이용이 가능해지면서, 보안연구자들은 취약점의 심각성과 기업에 미칠 수 있는 영향에 따라 가격을 매기고 구매자에게 취약점 정보를 팔 수 있게 됐다.

더 많은 보안연구자들이 자신이 발견한 보안취약점을 상업적으로 이용하려 함에 따라, 취약점 정보를 돈을 주고 구매하는 사례가 증가하게 될 것으로 예상된다. 최근에는 한 유명 경매 사이트에서 취약점 정보를 경매에 붙인 사례가 발견되기도 했으며, 보안취약점의 경매를 전문으로 하는 사이트를 개설하려는 시도도 있었다. 향후에 시장경쟁이 치열해지게 되면, 사이버 범죄, 스파이웨어, 기업 스파이 활동 등에 활용하기 위한 악성 코드를 생성하기 위해 취약점 연구를 의뢰하는 암시장이 생겨날 가능성도 존재한다.

이러한 환경은 한편으로는 보안연구 활동을 활성화하는 계기로 작용하겠지만 또 한편으론 연구결과를 지하에 묻히게 하는 원인이 되기도 한다. 이러한 상황이 실제로 벌어진다면, 보안관리자는 자신의 시스템에 존재하는 취약점을 파악하지 못하고 제로-데이 공격에 무방비 상태로 당할 수 밖에 없다.

현재 가장 관심을 갖고 있는 보안분야는 무엇이며, 앞으로의 보안 트렌드는 어떻게 흘러갈 것으로 전망하고 있는지?

네트워크 보안 외에 더 관심이 가는 분야가 있다면 바로 온라인 통합 보안 서비스 부문이다. 특히, 온라인을 통한 전자상거래, 금융활동을 보호할 수 있는 새로운 보안기술이 앞으로 보안시장의 핵심으로 떠오를 것으로 보인다.

시장조사 기관인 주피터리서치는 2005년 전자상거래 규모가 260억 달러(약 27조1,115억 원)에 달해 2004년보다 약 18% 성장한 것으로 보고했으며, 앞으로 제품판매는 오프라인과 온라인의 통합이 계속 이뤄질 것이기 때문에 전자상거래 규모는 눈에 띄게 성장할 것이 확실하다.

그러나 앞서 언급했듯, 공격자들은 이제 금전적인 거래가 이루어지는 곳을 목표로 한다. 즉, 최근 온라인 보안위협은 전자상거래에 필요한 중요 개인정보를 훔치는 타깃 공격으로 변화하고 있다. 따라서 이제 사용자들은 쉽고 편하면서도 소중한 데이터와 온라인 거래를 안전하게 지켜주는 솔루션을 필요로 하고 있으며, 그 수요는 앞으로 급성장할 것이다.

시만텍은 이러한 트렌드를 이끌어, 차세대 개인용 보안 서비스  ‘노턴 360(Norton 360, 개발 코드명 제네시스(Genesis))’을 준비하고 있다.

기업보안에서 가장 큰 이슈라고 한다면 어떤 것이 있을까?

바로 네트워크 보안이다. 정보보안은 IT 환경뿐만 아니라 비즈니스 환경이 변화하면서 그 중요성이 더욱 부각되고 있으며, 특히 기업 비즈니스 환경에서 네트워크가 차지하는 영향력이 엄청나게 커졌기 때문에 네트워크 보안은 그 중 가장 큰 이슈라고 할 수 있다. 이제 기업 내 네트워크는 순수하게 IT부서에만 해당되는 것이 아니라 기업 비즈니스의 거의 모든 부분을 지원한다.

사실 네트워크가 활성화 되기 전까지는 보안 문제는 IT 부서에 국한된 것이었다. 그러나 모든 비즈니스에 IT가 스며들면서 사내에 단일 시스템은 존재하지 않게 됐다. 최소한 5~6개의 시스템이 서로 다른 목적으로 얽혀있다. 게다가 이들 시스템은 회사와 거래하는 업체의 시스템과 연동된다. 기업 내에서 다양한 네트워크를 통해 데이터를 처리하는 일이 일어나고 있는 것이다. 따라서 각 네트워크에 교류되는 데이터 사이로 보안위협이 항상 존재하게 된다.

또한 이전에는 내부 직원들만 관리하면 됐지만 아웃소싱이 확대되면서 협력업체 직원, 파견직원, 외주 업체 사용이 확대되고 있어, 기업에서 근무하는 사람들의 구성도 크게 바뀌었다. 이렇듯 여러 시스템들이 협력업체나 외주업체의 시스템과 연결되고, 공개되어서는 안되는 데이터의 노출이 잦아지면서 보안에 대한 중요성은 더욱 높아지고 있다.

타깃 공격에 노출될 위험성이 높은 산업군은 어디인가?

보안동향의 변화로 인해직접적인 피해는 물론, 간접적인 피해를 입은 케이스가 급격히 증가하고 있다. 한번 공격을 당하고 나면, 시스템을 청소하고 복구하는데 엄청난 자원이 소요된다. 또한, 서비스 거부 공격에 노출될 경우, 고객의 주문 등을 처리하지 못하는 상황이 되고, 이는 큰 손해를 가져온다.

특히, 온라인 도박 산업이나 포르노 산업이 이러한 피해를 많이 겪고 있으며, 공격자로부터 직접 협박을 당하는 경우도 있다. 예를 들어 해커들은 업체의 고객정보를 외부에 공개하겠다고 협박하면서 돈을 요구하기도 한다. 이 두 산업군이 불법적인 비즈니스를 할 가능성이 높고 많은 돈이 오가기 때문에, 자연적으로 공격 선호대상이 되곤 한다.

또한, 온라인 게임산업도 위협에 노출될 가능성이 항상 존재한다. 큰 돈이 상금으로 걸린 게임대회가 점차 증가하면서, 이 돈은 해커들에게 매력적인 타깃으로 떠오르고 있다. 온라인 게임업체들이 사용자들의 행동을 모니터링하고 속임수를 가려내는 것이 이러한 위협이 늘어나고 있다는 것을 증명한다. 한국의 경우, 온라인 게임은 물론, 초고속 인터넷이 크게 발달해 있어 이 인프라 스트럭처가 해커들의 공격에 좋은 루트가 될 수 있어 더욱 주의가 요구된다.

보안에 있어 가장 중요한 것은 무엇인가?

‘비싸고 좋은 솔루션’보다는 사내에 보안정책 프로그램을 만들어 가동하는 것이 중요하다. 우리는 보안을 이야기할 때 기술에 치우치는 경향이 높으며, 이것이 가장 쉬운 접근법인 것은 사실이다. 그러나 더욱 중요하고 어려운 것은, 그 보안기술이 제대로 운영될 수 있도록 하는 사람과 프로세스다. 보안기술이나 솔루션만으로 보안문제를 해결할 수 있는 가능성은 전혀 없다.

아무리 좋은 제품이나 서비스를 갖고 있더라도 정책이나 사람이 뒷받침되지 않으면 전혀 소용이 없다. 보안정책 프로그램이란, 보안관련 전담인력이 얼마나 있는지, 정책을 제대로 세워져 있는지, 일상적인 업무에서 어떻게 적용되고 있는지, 취약한 부분에 대해서 집중적으로 관리하고 있는지, 사고가 났을 때 대응계획은 세워져 있는지 등에 대해 기업이 정한 원칙이 있는가에 대한 것이다. 그리고 무엇보다 중요한 것은 사고가 나기 전에 미리 예방하는 관리 체계를 확립해야 한다.

또한, 기업들은 보안을 ROI 관점에서 증명하려 해서는 안된다. 예를 들어, 회사의 평판이나 브랜드를 정량적인 가치로 증명하기는 어렵다. 보안예산도 마찬가지이다. 보안은 데이터를 지키지 못해 회사가 망하거나 감옥에 가는 상황을 방지하기 위한 저렴한 보험이라고 생각해야 하는 것이다. 

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>