사고가 많다는 건 혁신할 것이 많이 남아있다는 뜻

기술뿐 아니라 정책과 문화 등 전 방위 방어태세가 유일한 답

[보안뉴스 문가용] 보안사고, 정보유출 사고가 문자 그대로 ‘끊임없이’ 일어나고 있다. 이는 신뢰를 기반으로 한 정보 공유 방식에 문제가 있음을 시사하고 있다고 밖에는 다른 해석 방법이 없다. JP모건 체이스, 홈데포, 데어리 퀸 등의 대형 기업체와 상대적으로 덜 알려진 회사들에서의 잦은 사고가 우리에게 주는 교훈은 이런 공격에 대처하는 방법을 근본부터 고쳐야 한다는 것이다. 방어 담당자 혹은 담당 부서에게 공격 징후에 대한 정보를 던져주고, 몇 가지 비정상적인 패턴 감지 툴에 막연히 의지한 채 평소처럼 살다가, 패치 나오면 패치하고 아무 일 없기를 바라면서 하루하루 살아가는 거 말이다.

홈데포 같은 대규모 소매장에서 발생한 유출사고는 그 자체만으로도 충분히 안 좋은 소식이다. 그런데 미국에서 제일 크다는 JP모건 체이스에서의 유출사고는 아무리 홈데포의 기업 규모가 크다고 해도 그 영향력은 비교할 수 없다. 8천 3백만 개라는 소비자 및 기업의 은행계정이 밖으로 흘러나갔다는 건 숫자도 숫자지만 정보의 질이란 측면에서도 상상할 수 없는 손실인 것이다. 또한 체이스의 유출사고를 일으킨 장본인들이 다른 은행들 및 금융업체들의 네트워크를 똑같은 의도를 가지고 건드려보고 있다는 소식까지 전해져 긴장감이 더해지고 있다. 전시체제와 같거나 더 어마어마한 위기감이 보안업계에 감돌고 있고, 그래야 마땅하다. 우리가 지키고 있는 시스템이란 건 공격자들에게는 전혀 단단하게 느껴지지 않는 것일까.

게다가 이런 긴장감을 느끼는 건 소매업계나 금융 업계만이 아니다. 전자, 에너지 등 중요 인프라 산업도 여러 차례 취약점이 드러난 바 있으며 이들을 노리는 해커들은 언론에 밝혀진 것만 봐도 분명한 목적의식을 가지고 공격을 감행하고 있음을 알 수 있다. 사실 언론에 나와 우리에게 알려진 사건보다 전혀 사람들에게 알려지지 않은 채 진행되고 있는 공격이 훨씬 더 많다는 사실은 보안업계에서는 공공연한 비밀이다.

당한 자들을 비웃는 목소리는 쉽게 높아진다. 부주의했다고, 소 잃고 외양간 고치면 뭐하냐며 뭇매를 가한다. 그런데 그건 단지 문제의 표면에 불과하다. JP모건 체이스와 같은 곳에서 단순히 부주의함으로 공격을 허락했을 리가 없다. 체이스의 CEO인 제이미 디몬(Jamie Dimon)에 따르면 매년 정보보안에만 25억 달러를 투자한 기업이다. 게다가 사고 후 체이스는 이를 두 배로 늘리겠다는 약속을 하기도 했다. 즉 보안에 대한 인식이 상당히 높았던 기업인 것이다.

해커들은 운이 좋았나?

어마어마한 돈을 들여서 세운 방어벽을 뚫을 수 있는 건 공격자 입장에서 작은 금만 하나 발견하면 되기 때문이다. 설사 그것이 운이더라도. 열 포졸이 도둑 하나를 잡을 수 없는 것과 같은 이치다. 제이미 디몬이 최근 워싱턴에서 열린 금융 서비스 관련 행사에서 발표한 것처럼 방어하는 입장의 기업은 내부 인력 및 내부 네트워크 감시, 파트너 업체 보호 등 기업 내 네트워크와 조금이라도 맞닿은 면적이 있는 개체를 하나도 빠짐없이 전부 보호하는 데 성공해야 한다. “그러므로 작은 국지전은 끊임없이 발생할 수밖에 없습니다. 그리고 그것을 한쪽에서 일방적으로 모두 이길 수는 없을 겁니다.”

소매상들이 최근 해커들의 주요 타깃이 되고, 이 지점에서 사고가 자주 발생하는 건 신용카드의 자기띠 시스템이 뚫기 용이하기 때문이다. 그래서 이를 EMV라는 스마트카드로 대체하려는 움직임이 일고 있는 것이고, EMV는 확실히 해커들에게 좀 더 까다로운 장벽이다. EMV로 체제가 전환되면 아예 없어지지는 않을 것이지만 분명 해킹 사고가 줄어들긴 할 것이다.

데어리 퀸의 유출사고는 어땠나? 이는 서드파티 서비스 제공업체에 대한 경각심을 일깨워주는 사건이다. 해커들은 데어리 퀸의 서드파티 업자들이 가지고 있던 로그인 정보를 가지고 데어리 퀸을 뚫어냈던 것이다. 그렇게 해서 데어리 퀸 400개 지점과 거래를 트고 있던 고객들의 카드 정보가 고스란히 해커들의 손에 넘어갔다. 이런 식의 서드파티 우회 공격이 처음 있던 일도 아니고, 마지막 일도 아닐 것이다.

결국 컴퓨터 네트워크 방어 기술이 아무리 현란하게 발전해도 도둑 한 놈은 굳건한 성벽의 작은 틈을 언젠가는 발견할 수밖에 없다. 시간만 충분히 주어진다면 말이다. 그러므로 여태까지 우리가 방어에 신경 쓰며 집중해왔던 감지, 대응, 충격 완화만이 전부가 아니라는 걸 인정해야 한다. 이제는 오히려 예방의 수준을 더 높여야 하는 때다.

정보보안이라고 네트워크만 감시?

보안업체, 하드웨어 생산자, 클라우드 서비스 제공업체는 이제 손을 잡고 이토록 많은 사건을 일으키고 있는 취약점의 근본을 찾아나셔야 한다. 이러려면 위협 정보를 공유하는 게 필수다. JP모건 체이스 사건이 일어난 직후 다른 은행에도 비슷한 공격 시도가 있었다는 건 업체들끼리 정보 공유가 이루어지고 있다는 사실을 해커들도 충분히 인지하고 있으며, 그런 공유가 이루어지기 전에 먼저 움직였다는 의미다. 즉 정보 공유를 한다는 것 자체만으로 해커들에게 심리적인 압박을 준다는 뜻이다.

또한 일회용 신용카드 번호 시스템을 도입해서 거래마다 번호가 바꿀 수 있다면 해커들이 훔칠 수 있는 정보 자체를 크게 제한시킬 수 있다. 그전에 특정 시간 내 거래액 한도만 사용자가 그때그때 바꿀 수 있게만 해주어도 카드 해커들은 골치가 아파질 수 있다.

만병통치약이라는 건 없다. 네트워크의 범위도 기업이 이뤄가고 있는 사업 전체를 파악하는 것으로 넓혀야 하고, 심지어 고객들의 정보보호도 이제 기업의 책임이라는 걸 인지해야 한다. 암호화, 키 관리, 토큰화, 데이터 손실 방지 등 기술적인 툴을 개발하는 것에 맞추어 나라 및 산업 전체의 정책, 기업끼리의 협조 등 전 방위의 보호책이 반드시 필요하다. 정보보안 담당자는 이제 보안 기술에만 뛰어난 사람이 아니라 시야가 넓은 사람이어야 한다.

유출사고가 많이 일어난다는 건 혁신의 장이 아직도 많이 남아있다는 뜻이다. 보안업계는 경직된, 딱딱하고 재미없는 공대생들의 분야가 전혀 아니다.

글 : 밥 웨스트(Bob West)

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>