치밀하고 표적화되는 공격에 맞게 ‘특화된 대응방식’ 필요

[인터뷰] 한국인터넷진흥원 정경호 부원장

[보안뉴스 민세아] 지난해는 대형 보안사고 징크스가 있는 홀수해가 아닌 짝수해였음에도 불구하고 많은 사건사고로 국민들의 마음을 철렁하게 만든 한해였다. 더욱이 해킹 공격은 점점 고도화되고 있어 더 이상 온라인상에서 사용자들 스스로를 지키기 힘든 시대가 왔다는 자조섞인 우려도 나오고 있다.

“일반적으로 대형 보안사고가 발생하면 그 기업이나 기관의 대표 혹은 업무담당자가 사퇴하며 책임을 진다. 그러나 사고의 원인을 사람에게만 돌리는 것은 문제가 있다.” 한국인터넷진흥원(KISA) 정경호 부원장은 보안사고는 여러 징후들이 체인처럼 이어지면서 발생하기 때문에 단순히 하나의 문제로만 치부해선 안 된다고 말했다.

영화 ‘벤자민버튼의 시간은 거꾸로 간다’에서 주인공이 사랑하는 여주인공 ‘데이지’가 택시에 부딪혀 사고를 당하는 장면이 있다. 그 장면에서 주인공은 이렇게 읊조린다. ‘데이지의 친구가 신발끈을 다시 묶지 않았다면, 데이지를 친 택시기사가 커피를 사지 않고 그냥 출근했다면, 그 택시를 탄 여자가 제대로 옷을 걸치고 나왔더라면...’

‘하인리히 법칙’은 대형사고가 발생하기 전에 그와 관련된 수많은 경미한 사고와 징후들이 반드시 존재한다는 것을 의미한다. 기업이나 기관에서 일어나는 사고도 이 법칙에서 자유롭지 못하다는 것. 다만 이러한 징후들에 대해 미리 인지하거나 알리지 않았기 때문에 갑자기 큰 사고가 발생한 것처럼 보인다는 얘기다.

즉, 작은 사고나 결함에 대해 숨기려 하지 말고 주기적으로 리포팅해야 문제점을 개선할 수 있다는 것이 정경호 부원장의 설명이다. 이러한 보안사고 대응을 비롯해 지난해 보안이슈와 올해 예상이슈, 그리고 KISA의 업무추진 방향에 대해 정경호 부원장에게 들어봤다.

지난해 가장 이슈가 됐던 3가지_ 첫 번째로 여기저기서 많은 이슈가 됐던 공유기 해킹사건이다. 미래창조과학부도 공유기 해킹에 많은 신경을 쓰고 있으며, 이 사건이 계기가 되어 사물인터넷(IoT) 정보보호 로드맵을 수립하게 됐다. 공유기 해킹은 앞으로도 계속 증가할 것으로 보인다.

두 번째는 쉘쇼크, 하트블리드를 포함한 오픈소스 취약점이다. 오픈소스는 인터넷 전반적으로 많이 활용돼 왔기 때문에 한동안 이 문제로 시끌시끌했었다. 마지막으로 지난해 말에 발생한 한수원 사태다. 기반시설에 대한 공격이 우려됐었는데 그것이 현실화된 사건이기 때문이다.

그 동안은 악성코드를 덫처럼 곳곳에 뿌려서 걸리는 타깃을 공격하는 방식이었다. 또한, 공격이 발생하면 해당 악성코드를 분석하고 거기에 대한 백신이나 패치를 만드는 등 어떤 문제에 대응하는 일반적인 공격 대응 프로세스만을 생각했다.

그러나 이제는 공격하는 방식이나 목적이 많이 바뀌었다. 구체적인 타깃을 잡아 체계적으로 잘 갖춰진 조직이 오랫동안 공격을 준비한다. 게다가 단순한 공격을 벗어난 금융 사이버범죄, 기반시설 해킹, 국가적 도움을 받아 공격하는 사이버스파이, 핵티비즘 등으로 옮겨가고 있다. 이러한 범죄는 굉장히 큰 비즈니스의 하나로 부상하고 있다.

올해 주요 예상 이슈는 IoT, 클라우드, APT_ 무선공유기 해킹사건에서 출발한 IoT 이슈는 올해도 많은 보안이슈를 양산해낼 것으로 본다. 또한 클라우드도 빼놓을 수 없는데, 최근 정부부처 데이터를 클라우드로 이전하는 작업을 하면서 정부 클라우드와 일부 민간 클라우드에 대한 공격이 우려된다. 더불어 모바일 보안과 APT 공격에 대한 대응도 필요할 것으로 예상된다.

파이어아이 맨디언트 보고서에 의하면 자기들이 관리하고 있는 97%의 기업들이 어떤 형태로든 공격받았다는 사실을 밝혔다. 그 중 75%는 그 기업에 맞게 특화되어 쓰이는 공격으로, 공격대상 기업에 한두 차례만 사용되기 때문에 쉽게 공격을 알아채기 힘든 것으로 알려졌다.

기업이 보안에 신경을 많이 쓰니까 시스템을 바로 뚫고 들어가기는 힘들다는 것을 해커들은 깨닫게 됐다. 그 다음으로 눈을 돌린 곳이 사람이다. 주로 메일을 통한 스피어피싱 공격으로 사용자를 낚는다.

일반적으로 스팸메일을 보내면 5~10%가 읽는다고 한다. 백만 명에게 스팸메일을 보냈을 때 5만 명에서 10만 명이 메일을 읽는다는 것이다. 게다가 메일을 한번만 보내는 것이 아니라 지속적으로 사용자가 관심 있어 할만한 내용과 함께 사용자 시스템의 취약점을 파악해 거기에 맞는 악성코드를 보낸다. 갈수록 지능화되다 보니 이제는 심층적이고 개별화된 보안이 필요해진 것이다.

이러한 보안이슈에 KISA가 대응하는 방법_ 먼저 취약점 신고포상제 운영이다. KISA에서 할 수 있는 것이 한계가 있는데, 이 제도는 많이 사용되고 있는 소프트웨어 취약점 통로를 막을 수 있어 매우 유용했다. 엑티브X 취약점, 아래한글 등과 관련해서는 상당히 많은 리포팅을 받았다.

두 번째는 국가 중요 시스템인 기반시설 등에 대한 예방점검 강화다. 미래부와 함께 정기적으로 예방점검을 실시할 계획이다.

세 번째, 미래부와 KISA에서 상당한 기대를 걸고 있는 C-TAS다. 취약점, 악성코드, 공격자, 공격정보 등을 하나의 시스템으로 공유해 DB화하는 시스템이다. 기업에 특화된 공격 정보는 백신업체나 보안업체들이 가지고 있을 확률이 높다. 우리가 가지고 있는 악성코드 데이터들과 백신업체가 가진 정보들을 공유하고 그것을 통해 사전 공격징후를 신속히 인지하고 활용할 수 있도록 하고 있다.

마지막은 디도스(DDoS) 공격에 대한 대응이다. 디도스는 정치적 아젠다를 표출하기 쉬운 수단이다. 무선공유기, 스마트TV, CCTV 등 보안설정이 안 된 IoT 기기가 수없이 많다. 점점 시장이 확대되고 있는 웨어러블 디바이스에도 보안이 제대로 갖춰져 있지 않다. 이들을 이용한 디도스 공격에도 대비해야 한다.

그 전에는 몇 명이 공격했고, 얼마나 많은 악성코드를 분석할 수 있는지 등 양적인 측면에 집중했다면 이제는 공격자의 개별공격에 특화된 대응에 집중할 계획이다. 이를 위해선 수많은 노하우와 지식이 요구된다. 그러기 위해서는 국내 보안업체와 글로벌 보안업체들과의 협력이 절실하다.

협력을 통해 공격에 관한 데이터를 확보하고·공유하다보면 대응이 잘 이뤄질 수 있지 않을까 하는 기대를 갖고 있다. 얼마나 빨리 탐지하고 복구하고 대응할 것이냐가 관건이다.

모든 보안사고에는 이용자의 책임도 있다. 인터넷을 어떻게 이용하는 게 안전한지 교육도 필요하다. 자동차만 해도 에어백, 네비게이션, 블랙박스, 보험 등으로 갖가지 사고에 대비한다. 그러나 정보보안은 공부도 안하고, 투자도 안하면서 사고는 없어야 한다는 것은 말도 안 된다고 정 부원장은 강조했다. 보안사고를 예방하기 위해서는 끊임없는 교육과 과감한 투자가 병행되어야만 한다는 것이다.   
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>