[보안뉴스 김경애] 하루가 멀다 하고 여기저기서 뚫고 뚫리는 소식이 이어지고 있다. 지난 10일(현지시간)에는 미국 우체국이 해킹돼 재직 중인 직원과 은퇴한 직원 등 80만명의 개인정보가 해킹되는 사건이 발생했다.

美 연방수사국(FBI) 등 관련 당국은 현재 수사 중이나 중국을 배후로 지목하고 있다. 더군다나 올해 초부터 8월 중순까지 우체국 고객지원센터에 접촉한 민원인 290만 명의 개인정보도 유출 의혹도 불거지고 있는 상황이다.

그렇다면 국내는 어떨까? 남말할 처지가 못 된다. 이미 곳곳에서 개인정보 유출사고는 물론 기업의 보안문제가 계속 이슈화되고 있다.

이에 본지는 한국EMC컴퓨터시스템즈의 RSA 보안사업본부 조남용 부장과의 인터뷰를 통해 최근 사이버보안 위협동향과 공격 트렌드, 사이버포렌식 관점에서 바라본 기업의 대응전략 등에 대해 들어봤다. 다음은 인터뷰 내용이다.

김 기자(이하 김): 사이버포렌식 솔루션 도입 시 기업에서 가장 많이 우려하는 내용은 무엇인가요?

조남용 부장(이하 조): APT 공격에 대해 우려를 많이 해요. 타깃 공격이 갈수록 고도화되고 있고, 대부분의 공격이 기존에 잘 알려진 시그니처 기반이 아닌 신종 패턴이나 신규 악성코드, 신규취약점 등의 공격이 이뤄지고 있기 때문이죠.

그러다보니 기존의 웹방화벽이나 안티바이러스 등에서 탐지하지 못하는 경우가 발생하게 되고, 기업도 더 이상 기존 솔루션만 믿고 있을 수 없다며 위기의식을 느끼고 있는 상황이에요.

김: 그렇다면 최근 공격 트렌드는 어떻습니까?

조: 아무래도 최근 공격추세는 비정형 공격이 주를 이루고 있어요. 해커들은 개인PC에 어떤 방법으로든 악성코드를 심고, 회사 내부에 침입해 원격조정을 해요. http 통신 이용이 가장 일반적인 방법이에요. 개인이 인터넷 하는 것처럼 보이지만 외부 해커의 C&C서버에 붙어 정보를 탈취해 가죠.  

아주 고도화된 수법의 경우, 정상적인 서비스를 이용한 적도 있었어요. 바로 TCP(전송제어프로토콜: Transmission Control Protocol) 연결 통신으로 해킹하는 사례에요. 이를테면 언론에 보도된 메모용 스마트폰 애플리케이션인 에버노트 (Evernote) 해킹 사건이 대표적인 경우죠. 해커가 PC에서 명령어를 보내면 악성코드가 에버노트인양 통신으로 해킹하죠. 그만큼 해커는 위장기술이 뛰어나요.

김: 이런 행위를 찾아내기 위해 기업은 어떻게 대응해야 하나요?

조: 힘들겠지만 모든 패킷을 다 저장해서 분류하고, 검색해 리뷰해야 합니다. 물론 통신내용도 해당됩니다. PC상에서 돌아가는 모든 프로세스를 실시간으로 점검하고, 리뷰해서 혹시 커널 영역을 침해하지는 않았는지, 보안정책이나 규칙을 위반하지는 않았는지 해당 프로세스는 정상적인지 모두 분석하고 관리해야 합니다. 마치  숨바꼭질 같죠. 즉 얼마나 디테일하게 볼 수 있느냐, 잘 선별할 수 있느냐가 보안대응에 있어 핵심 키에요.

김: 이러한 대응방식의 경우 프라이버시 침해 논란도 있을 것 같은데요?

조: 네 맞아요. EMC에서 감청장비를 사용하는 것 아니냐는 의혹도 제기돼 방통위에 몇 번 불려 간적도 있어요. 결론부터 말하자면 아닙니다. 해당 장비와 솔루션은 기업 내부 네트워크에 장착이 돼요. 예를 들면 업무망 인터넷 라인에 장착된다고 생각하면 되죠. 회사 보안을 위해 외부 침입, 인터넷라인에 연결된 트래픽에 대한 이상탐지를 하는 거죠.

공격자는 공격대상이 무엇을 모니터링하는지 다 조사하기 때문에 이메일, 메신저 등 구멍을 찾아 공략하거든요. 물론 기업에서는 이러한 부분을 사전에 직원들에게 공지하고, 동의를 구해야죠.

김: 결국 이러한 분석을 위해선 빅데이터 분석전문가처럼 전문인력이 필요하단 얘긴데 기업 입장에선 쉽지 않을 것 같은데 어떤가요?

조: 맞습니다. 쉽지 않습니다. 그러나 기술적인 커버는 보안업체나 보안 솔루션으로 해결할 수 있지만, 탐지내용을 보고 공격인지 아닌지 판단하는 건 결국 기업에서 감당해야 하는 몫이거든요.

김: 실제 기업에서는 이러한 시스템 운영이나 솔루션 도입이 인력 확충으로 이어진 사례가 있나요?

조: 실제로 기업에서 이러한 시스템 운영방식과 솔루션 도입으로 인해 전담인력이 1명에서 4명, 5명 최고 15명까지 인력 충원이 진행된 곳도 있습니다. APT 공격방식은 잘 알려지지 않은 공격으로 이뤄지다 보니 기업의 보안전략도 달라진 거죠.

타깃 공격을 위해 해커는 대상 조직을 연구하고, 맞춤형 공격을 위해 악성코드를 새로 개발해요. 그리곤 해당기업에게만 뿌리죠. 그럴 경우 안티바이러스 업체나 보안 밴더사와 같은 서드파티에서는 악성코드를 탐지하지 못해요. 아무한테도 뿌리지 않았거든요. 즉 기업 내부에서 스스로 발견해 신고하기 전까지는 아무도 모르는 거죠. 패러다임이 바뀌었어요. 수많은 서드파티의 업무를 기업이 직접해야 해요. 이는 해커 공격방식 변화에 따라 기업들의 반응과 인력배치도 변하고 있다는 얘기죠.

김: 보안전문가로서 기업의 가장 큰 문제점은 무엇이라고 생각하나요?

조: 국내 기업에서는 보안투자가 통제 측면에 많이 편중돼 있어요. 일단 막고 보자는 식인거죠. 이럴 경우 생산성이 떨어지거든요. 통제가 너무 심해서 옆에 사람에게 파일을 전달할 수 없게 되고, 일의 능률이 떨어질 수 있어요. USB로 내부정보가 유출됐다면 위험한 상황에서만 USB 사용을 차단해야 하는데 무조건 사용하지 못하도록 차단하는게 문제에요. 이는 차단만 하고, 모니터링은 하지 않는 등 검증이 이뤄지지 않고 있음을 의미하기도 해요. 반면 너무 열어주면 내부 직원이 해커로 변할 수도 있어 밸런스가 중요합니다.

김: 고도화된 공격을 보면 중국발 해킹도 우려될 수 있는데 어떤가요?

조: 지금 상황에서는 중국발이다. 북한이다 말할순 없지만 기업에서 대규모로 투자가 들어갈 정도라면 어느 정도 짐작된다고만 말할 수 있겠네요.

김: 기업에게 당부하고 싶은 보안전략은 무엇인가요?

조: 이를테면 관제센터에서 경보가 뜨면 발견된 경보상황 이슈만 처리하고, 종료됐다고 보면 안 돼요. 사건에서 하나의 단서로 공격의 전말을 찾으려는 노력이 필요해요. 한 PC가 문제가 될 경우 과거에 어떤 통신을 했는지, 서건 전모를 파악해서 전체 다 조치를 취해야 해요. 물론 기업에서도 알면서도 못하는 경우도 있죠. 때문에 적극적인 투자가 필요해요.

또한 보안 솔루션에만 의존하지 말고, 자동화된 탐지로 찾을 수 없는 걸 찾을 수 있는 전문인력이 필요해요. 이를 헌터라고 하는데요. 가장 뛰어난 사람은 그날그날 이상 징후나 트래픽, 로그 등을 자유롭게 리뷰해서 탐지하는 역할을 해요. 어떤 공격인지 밝혀내고, 자동 탐지되도록 경보를 걸어놓죠. 우리 회사에서만 일어난 공격에 대해서는 기록과 함께 공격명이 나올 수 있는 인력과 프로세스를 확보해야 합니다. APT와 같이 타깃 공격이 이뤄지기 때문에 여기에 맞춘 대응전략이 이뤄져야 하는 거죠. 아울러 비슷한 레벨의 보안업체들끼리 정보를 공유하고, 서로 협업해 공동 대응체계를 구축하는 것도 좋은 방법입니다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>