• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

“범인은 너야!”라고 맞출 수 있는 게 중요할까? 2016.06.30

범인 알면 제한된 돈과 시간 효율적으로 사용 가능
보안 기술 발전하면서 범인 정체 파악하는 기술도 늘어

[보안뉴스 문가용] 보통 현실에서 사고가 발생했을 때 ‘당신이 책임져야 해!’라고 하는 건 감정적인 반응에 가깝다. 곰곰이 생각해보면 책임질 사람을 발굴해내는 건 사건의 해결과 크게 상관이 없을 때가 많다. 오히려 책임질 일을 하지 않는 분위기가 부작용처럼 작용하는 면도 있다. 하지만 사이버 공간에서 나를 공격한 누군가를 찾아내는 건 사건 해결에 도움이 될 확률이 높다. 이에 대해 몇몇 전문가들에게 직접 물었다. “누가 했는가,가 중요한 문제인가?”


스트레티직 헬스 솔루션즈(Strategic Health Solutions)의 수석 보안 책임자인 마크 포터(Mark Potter)는 “상황에 따라 다르다”고 조심스럽게 입을 뗐다. “기업이 보안에 얼마나 투자를 하느냐, 기업의 규모는 어느 정도인가, 자산의 가치는 어느 정도이며 그 종류는 무엇인가, 공격은 얼마나 자주 발생하는가 등등 고민해야 할 것이 많이 있습니다.”

“간단하게 설명해 범인을 추적하는 데에는 돈과 시간이 필요하기 때문”이라는 포터 보안 책임자는 “사업을 원상복구 시키는 것에 투자하는 게 더 절실하거나 효과적인 경우가 더 많은 게 사실”이라고 설명했다. “대신 복구를 다 시키고도 돈과 시간이 남는다면 범인이 누군지 알아내는 게 의외의 효과를 발휘할 수 있습니다.”

여기에 대해 쓰레트코넥트(ThreatConnect)의 토니 기드와니(Toni Gidwani)가 자세히 설명을 이어갔다. “사이버 공격에 있어서 ‘누가 했는가’를 알아내면 피해의 범위를 파악하는 데에 큰 도움이 됩니다. 사이버 공격은 눈에 안 보이기 때문에 복구를 하면서도 ‘정말 위험 요소들이 전부 제거가 되었는가’하는 찝찝함이 남기 마련이거든요. 하지만 공격자가 누군지를 알면 그 공격자의 능력, 패턴 등을 감안해 더 정확한 피해 내용을 밝혀낼 수 있습니다.”

크라우드스트라이크(CrowdStrike)의 CTO인 드미트리 알페로비치(Dmitri Alperovitch)는 “피해 내용을 파악하는 것도 어느 정도 가능하다”고 덧붙였다. “데이터가 유출되는 사고를 겪었다면 범인이 경쟁기업인지, 암시장에 데이터를 팔아치울 목적인 보통의 해커인지를 알게 됨으로써 피해가 어느 정도로 확산될 수 있는지도 가늠할 수 있게 됩니다. 경쟁사가 범인이라면 훔친 데이터를 가지고 최대한 악랄하게 사용해 피해를 높일 것이고, 아니라면 일반적인 데이터 유출 사고로 겪는 피해 정도를 예상할 수 있겠고요.”

드미트리 CTO에 따르면 최근 랜섬웨어를 사용하는 범죄집단의 특성에 대해 묻는 고객들이 늘어났다고 한다. “랜섬웨어 공격의 경우 돈을 낼 것인가 말 것인가 하는 결정이 매우 중요한데, 공격자들의 성향을 알게 됨으로써 이 판단이 보다 정확해질 수 있습니다. 돈만 받고 튄 전적이 많다면 낼 필요가 없겠죠.”

뿐만 아니라 보안의 전체적인 전략을 짜는 데에도 ‘범인의 정체’를 아는 건 도움이 된다. 알페로비치와 기드와니는 “우연히 어쩌다 한 번 성공한 좀도둑형 해커인가 나를 표적으로 삼고 집요하게 노린 해커인가에 따라 다음 방어 계획이 크게 달라진다”고 의견을 모은다. “나를 털어놓고도 기억도 못한 채 다른 피해자를 찾아 떠나는 범인도 있고, 멀웨어를 다 제거하고 시스템을 복구시켜놔도 기다렸다는 듯이 다시 들어오는 범인도 있죠.”

“이건 처음의 시간과 돈을 어떻게 쓰느냐와 관련된 문제이기도 한 게, 결국 범인을 파악하고, 그에 따라 보안전략을 수립한다는 건 시간과 돈을 최대한 효율적으로 사용하겠다는 것이기 때문입니다.” 랜코프(Lancope)의 CSO인 앤드류 와일드(Andrew Wild)의 설명이다. “더 적합한 보안 솔루션을 살 수 있다는 장점도 있지요.”

하지만 이 모든 논의는 탁상공론에 가깝다. 사이버 공격의 가장 큰 특징은 ‘결정적인 증거를 확보하기가 불가능에 가깝다’는 것이기 때문이다. 그래서 기사들은 번번이 ‘강력하게 추정된다’는 표현만 한다. 희망이 있다면 범인을 잡는 기술이 계속해서 발전한다는 것.

알페로비치는 “보안 기술이 발전하는 것과 관련이 있다”고 설명한다. “얼마 전까지만 해도 공격자들이 네트워크에 수년 동안 머물러 있었어요. 잡히는 게 드물었죠. 하지만 지금은 사정이 다릅니다. 공격이 더 많이 발견되고, 정보도 서로 공유하다보니 공격자들의 정체는 물론 흔히 사용하는 도구나 패턴 등에 대한 정보도 차곡차곡 쌓여가고 있습니다. 정체를 파악할 만한 단서가 늘고 있다는 겁니다.”

“이런 추세가 지속된다면 결국 ‘누가 했는가’를 알아내는 게 포렌식 및 정보보안 수사의 기본이 될 수도 있을 것 같습니다. 다만 정치적으로 범인을 밝히거나 수사해 들어가는 것 자체가 어려워지기도 하는데 이는 또 다른 차원의 문제이죠.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>