아예 처음부터 사회적 혼란 야기가 목적인 악성 공격, 정보 조작
신기술보다 지속적인 노력으로 막아야...조직 전체의 지원 필요

[보안뉴스 문가용] 다른 나라의 사정은 잘 모르겠지만 미국은 공공부문과 민간부문의 구분 없이 지평선 너머로 또 다른 사이버 공격의 폭풍이 스멀스멀 몰려오는 것이 눈에 보일 정도의 분위기다. 전문가들은 사이버 공격자들이 뛰어난 기술력과 창의력을 앞세운 공격을 감행할 것이라고 예견하고 있으며, 특히 금융, 의료, 정부기관의 데이터가 주요 목표가 될 것이라고 설파한다. 그럼에도 우리 산업들은 아직 준비가 되어 있지 않다.


최근까지 악성 사이버 공격을 감행할 능력이 되는 자들은 주로 개인정보, 건강정보, 교육정보, 금융정보를 훔치거나 국방, 기술, 생산업체들의 지적재산을 노려왔다. 왜? 돈을 벌기 위해서. 얼마 전 백악관은 최초의 연방 CISO라는 직책에 그레고리 투힐(Gregory Touhill) 퇴역장군을 임명했다. 그 전에는 테레사 페이튼(Theresa Payton)이라는 인물이 백악관의 CIO 역할을 수행하고 있었다. 이 둘 역시 목소리를 합해 커다란 폭풍이 몰려온다고 경고했다. 이 폭풍의 정체는 무엇일까? 바로 ‘정보 조작’ 공격이다. 이에 따라 사이버 보안의 지평이 크게 바뀔 예정이다.

훔친 사용자 암호, 커스터마이징된 멀웨어 등 사이버 공격에 각종 무기가 동원되기 시작하면서 아무리 탄탄한 네트워크라도 언제든지 뚫릴 수 있는 상태인 것이 현실이다. 그것이 금융기관의 것이든 핵 발전소이든 말이다. 게다가 대부분 기업들이 네트워크를 분리화하지 않기 때문에 해커들은 곧바로 가장 중요한 정보가 있는 보물창고를 찾아낼 수 있다. 그중 하나가 고객 정보가 저장된 데이터베이스다.

일단 이런 은밀한 곳에 접속 성공했다면 침입자들은 목록을 조직적으로 바꾸기 시작한다. 그럼 각 계정에 할당된 숫자 값의 버전이 혼잡해진다. 한 번에 하는 게 아니라 약 3개월에 걸쳐 이를 진행한다. 분기마다 보고서를 발행하는 업체들의 주기와 맞물리게 이 시기를 조정하면 고객들은 문제를 알아채지 못한다. 알아채면 이미 일은 다 끝난 뒤다. 이는 시스템 하나만 복구한다고 해서 해결될 문제가 아니다. 광범위한 계산을 처음부터 다시하고, 확인하고, 실험하는 과정을 거쳐야 하는데, 대부분 일일이 사람의 손으로 해야만 할 때가 많다.

그러니 거의 항상 고객 편에서 은행이 해킹 당했다는 사실을 먼저 알아챈다. 은행은 부랴부랴 ‘예금은 안전하다’, ‘계정정보는 잘 보관되어 있다’고 발표하지만 고객들의 우려와 걱정은 막을 수 없다. 게다가 정확한 사태 파악을 하기까지 수개월 걸릴 거라고 하면 걱정이 패닉으로 변한다. 사건에 따라 계좌 인출이 일시적으로 불가능해질 수도 있다. 이런 일이 은행뿐 아니라 각종 의료기관과 정부기관에서도 발생한다고 생각해보라. 범행의 목적이 분명해진다. 바로 혼란 야기.

최근 리서치 회사인 오스터만 리서치(Osterman Research)가 진행한 연구가 불안을 더한다. 약 200개 기관의 2만 2천여 명의 근무자들을 대상으로 설문을 실시했는데, 데이터베이스에 대한 보안관리가 매우 부실했음이 여과 없이 드러났기 때문이다. 가장 대표적인 건 응답자의 47%가 데이터베이스 모니터링을 책임지는 사람이나 부서가 존재하지 않는다고 답한 것이다. 절반에 근접한 숫자다.

이는 즉, 많은 기업들이 개인정보를 데이터베이스에 저장해 사용하고 있지만 여기에 누군가가 불법적으로 접근할 때 그 사실을 알아챌 재간이 없다고 실토한 기업이 절반에 가깝다는 것이다. 이는 사실 ‘오죽하면 그럴까’ 정도로 용인하고 넘어갈 수 없는 문제지만, 많은 사람들이 이에 굉장히 너그러운 측면을 보이고 있다. 그렇기 때문에 정보를 조작하는 유형의 공격이 이어질 것이라고 예상이 되기도 한다.

물론 정보 조작 공격을 막을 수 있는 구조화된 데이터베이스 보안 프로그램을 도입하는 게 불가능할 정도로 어마어마한 일은 아니다. 다만 이를 운영하는 건 지속적인 헌신과 노력을 필요로 하기 때문에 쉽지 않다. 담당자를 정하는 것만으로 해결되는 게 아니다. 고위 임원급들의 지속적인 지원과 기업 차원에서의 투자가 필요한 것이다.

잠깐 개인적인 이야기를 하자면, 20년 전 열린 사고방식을 가진 상사 밑에서 공공부문 데이터베이스 보안 프로그램을 도입한 적이 있다. 당연히 현대와의 기술력 차이는 어마어마했다. 그래서 당시 기술 전문가 및 정보보안 전문가, 감사자들이 팀을 이뤄 지속적인 모니터링 및 탐지 ‘전략’을 짰다. 초점은 데이터베이스 내에서의 행위를 거의 실시간에 가깝게 탐지할 수 있는 것이었다. 그리고 그 프로그램은 10년 동안 이어졌다. 그리고 대부분의 공격 시도를 차단하는 데에 성공했다. 데이터베이스로의 ‘정보 조작 공격’은 신기술 없이도 충분히 대처가 가능하다는 것이다.

정보 조작 공격이 생소하게 들려서 비현실적으로 들릴 수 있겠지만 적어도 미국에서 이는 피부에 와 닿을 정도로 현실적인 위협이다. 게다가 금전적인 이득과 같은 것이 동기가 아니다. 애초부터 혼란을 야기하는 게 목적일 정도로 악의성이 다분하다. 주요 산업들에서 이런 공격이 성공한다면 사회 전체가 혼란에 휩싸일 것은 당연하다.

그런데도 아직 많은 조직들이 ‘기초적인’ 데이터베이스 보안 전략 및 정책을 갖추고 있지 못하다. 솔루션 사놓고 안심해버리는 쉬운 길을 선택한다. 솔루션이 우리 모두를 지켜줄 것이라는 환상에서 깨어나고, 지속적으로 시간을 쏟아야 한다. 누군가를 보호한다는 건 원래 긴 시간을 필요로 하는 건데, 속도가 중요한 IT 업계의 분위기 때문에 우리가 잠시 잊었던 것 뿐이다.

글 : 존 모이니한(John Moynihan)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>