• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

왜 우리는 해킹하면 안 되나요? 2015.03.31

방어 해킹 혹은 능동적 방어는 법적, 윤리적, 전략적으로 ‘나빠’

적을 알고 나를 아는 것 중에 더 어려운 건 ‘나를 아는 것’


[보안뉴스 문가용] 해킹이 수없이 일어나는 때인데, 왜 우리에게 해킹은 선택지가 아닌 것일까? 방어자가 하는 해킹, 혹은 ‘능동적인 방어’가 옳으냐 그르냐는 굉장히 뿌리가 깊은 논쟁이고, 아직까지 법, 윤리, 전략의 모든 면에서 이 두 가지가 합법적이고 올바른 것이라는 논증이 이루어지지는 못하고 있다.

 


간단히 말해 사유 네트워크에 허가 없이 들어가는 건 불법이다. 해커이든 보안인이든 가리지 않는다. 하지만 정당한 허가가 나온 네트워크, 기기 안에서는 뭐든지 할 수가 있다. 하니팟을 사용하고 킬 스위치를 사용하고, 포렌식 예방 조치를 취하는 것은 모두 합법적으로 당연한 권리다.


하지만 순수하게 전략의 측면에서는 어떨까? 손자병법에서 말하길 적을 알아야 승리를 희망할 수 있는 건데 해킹을 통해 상대 전력을 파악하는 건 좋은 방법이 아닌 걸까? 그러나 이는 반만 완성된 논리다. 손자병법에서 말하는 승리 조건은 적을 알고 또한 나까지 아는 것을 포함하고 있기 때문이다. 적을 안답시고 해킹을 우리쪽에서 먼저 해버리는 건 싸움을 거는 건데, 우리의 전력이 그 정도는 되는 것일까? 그 점에 대해서 객관적인 파악이 되어 있는가?


지난 겨울 소니 픽처스 사태가 보안 업계를 크게 뒤흔들었다. 그리고 기존에 우리가 가지고 있던 보안책은 휴지조각이 되었다. 그들이 보여준 기술과 능력, 그리고 그 각오의 정도는 차원이 달랐던 것이다. 그게 북한이었건 아니건 그들은 마음 먹기에 따라 우리의 네트워크 안에 언제든 들어올 수 있고 얼마든지 잠복해 있을 수 있다는 건 이제 사실이 되었다. 게다가 그들의 침투 후 우리가 겪어야 하는 결과 역시 그들의 손에 달려 있다.


그렇다면 지켜내야 할 소중한 정보와 자산이 한 가득인 보안 담당자인 우리가 과연 해킹 맞불 작전으로 사실상 전쟁을 선포한 후에 그 모든 것들을 온전히 지켜낼 수 있을까, 라는 질문에 대한 답이 나온다. 그리고 이는 복수에 이를 갈기 전에 꼭 한 번 해봐야 할 질문이다. 법 문제는 차치한, 전략의 측면에서만 보더라도 방어를 위한 해킹은 그다지 현명한 전략이 아니다. 게다가 우리는 법을 차치할 수 없다. 생각할 게 더 많아진다는 것이다.


또한 최근 들어 아무 것도 모르는 사람들의 네트워크나 웹 사이트를 우회해서 들어오는 공격이 얼마나 많은가도 생각해봐야 한다. 우리가 해킹을 해서 해커의 IP를 추적해서 얻어낸 결과물이 해커의 그것일 가능성은 굉장히 낮다. 비윤리와 리스크를 감수해서 감행한 해킹이 결국 또 다른 희생자일 뿐인 누군가의 네트워크만 휘저어놓는 꼴이 될 수 있다는 뜻이다.


게다가 잘 뚫고 해커에게 도착을 했더니 2만명의 해커부대라면 어떻게 할 텐가? 중국의 인민해방군을 건들인 거라면? 러시아 정부의 코털을 뽑은 거라면? 파괴형 멀웨어의 북한이 당사자였다면? 방어를 위한 해킹은 그 자체로 이미 어마어마한 리스크를 껴안고 가는 것일 수밖에 없다.


나를 아는 것이라고 쉽지 않다

예전에 한 포렌식 전문가가 사석에서 “제일 큰 문제는 방어 입장에 있는 기업들이 자신들의 네트워크 상태와 수준을 전혀 파악하고 있지 못하는 데에 있다”고 말한 적이 있다. 그러니까 해킹을 당해도 “무슨 일이 일어났는지 전혀 모르고, 수사가 난항에 부딪히는 것”이다. 결국 방어를 위한 해킹은 설사 허용이 되고 가능해지더라도 우리가 준비되지 않았기 때문에 어려울 수밖에 없다.


네트워크에서 발생하는 이상 징후를 빨리 발견하기 위한 제일 좋은 방법은 네트워크가 정상일 때의 모습을 빠삭하게 꿰는 것이다. 머리로나 감으로 다 알고 있을 수도 있지만 한 눈에 모든 것을 조망할 수 있는 시스템을 갖추는 것도 중요하다. 이 부분이 무시되고 있다는 증거가 뭐냐면, 대부분의 해킹 소식이 당사자가 아닌 제3자로부터 주로 나온다는 것이다. 우리 집에 도둑이 들어서 다 뒤지고 갔는데도 눈치를 채지 못했다면 평소에 도둑맞은 것처럼 지저분하게 살았다는 것이다.


결국 해킹을 우리가 직접 해서 해커를 발색하고 감옥으로 보내는 것보다 더 효과적이고 효율적인 건 1) 네트워크 상태를 평소에도 100% 이해하고 알고 있는 것 2) 그것이 가능한 인원을 적정 수 고용해 배치하는 것 3) 그런 업무를 원활히 해주는 최신 기술 및 툴에 대한 투자를 아끼지 않는 것 4) 그래도 해킹 사건이 일어났을 때 낙담하지 않고 사건에 대한 모든 사항을 샅샅이 기록해 교훈삼는 것이다.


글 : 안토니 디 벨로(Anthony Di Bello)

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>