실제 공격자 정체 숨기는 데 악용되고 있는 실정
그럼에도 그 중요성은 변하지 않아

[보안뉴스 홍나경 기자] 사이버 보안에서 누가 공격을 했는지 알아낸다는 건, 공격을 실행한 사람, 그 사람을 후원한 세력, 그리고 공격의 동기까지 파악해낸다는 것이다. 포렌식 분석 기술로 증거 혹은 침해지표(IoC: Indicators of Compromise)를 찾아내고 분석해, 의미 있는 단서를 끌어내는 과정이 진행된다.

당연한 얘기지만 증거나 단서가 부족하면 공격자를 파악하는 게 힘들 수밖에 없다. 그러나 증거나 단서가 풍부한 상황이라고 해서 공격의 근원지까지 반드시 거슬러 올라갈 수 있는 건 아니다. 그러니 국제관계에서 벌어지는 사이버전의 흔한 풍경이 시치미 떼기 인 것이다.

쉽게 이해하기 위해 예를 들어 보겠다. 가상의 인물을 만들어보자. 이름은 프랑수아. 미국의 한 전력 기업의 CISO라고 해보자. 그런데 프랑수아가 관리하는 이 전력 기업에서 어느 날 정보 유출 사고가 발생했다. 자체 조사를 통해 악성 루트키트를 서버에서 발견한 것이었다. 분석해보니 중국어가 사용된 흔적이 있었다. 이것이 첫 번째 단서다.

여기에 더해 침입탐지 시스템 로그를 분석하니 공격자가 정보를 빼돌리기 위해 사용한 주소 중에 중국 IP가 있었다. 회사 네트워크 바깥으로 흘러가는 통신을 분석해보니 홍콩에 있는 어떤 서버가 등장하기도 했다. 이 서버에는 수천만 달러짜리 사업 계획 및 지적재산이 저장되어 있기도 했다. 이것은 두 번째 단서다.

이로 인해 추론 할 수 있는 가장 타당한 결론은 프랑수아의 기업이 중국 등지의 해커들에게 당했다는 것과 그들은 기업의 지적재산 및 사업 계획을 노리고 공격을 감행했다는 것이다. 정보가 노골적으로 중국을 가리키고 있을뿐 아니라, 원래 중국 해커들은 오래전부터 미국 기업들의 지적재산이나 특허 관련 정보를 노려온 것으로 유명하니까 말이다.

여기까지 오면 보통 중국이 범인이라고 결론을 내리고 언론에 발표한다. 사이버 보안 사고에서 누군가 범인으로 지목될 때 보통 이런 과정을 거친다. 그런데 알고 보니 프랑수아의 기업을 공격한 사람이 경쟁 업체 B였다고 밝혀졌고, B는 정체를 감추기 위해 일부러 중국어의 흔적을 루트키트에 삽입하고, 중국 IP 주소나 홍콩의 서버는 B가 사전에 해킹 공격을 실시해 마련한, 또 다른 피해자였다면 어떨까?

또 생각해야 할 것이 있다. 수사 및 추적 과정에서 처음부터 잘못된 침해지표를 수집해 사용하는 경우도 많다는 것이다. 침해지표가 정확해도 아무런 맥락적 참고사항이 없어 더 깊은 의미를 유추해내지 못할 때도 빈번하다. 정보가 잘못되었으니 당연히 엉뚱한 사람을 범인으로 지목하게 된다. 이는 생각보다 더 심각한 수준의 피해를 낳을 수 있다. 엉뚱한 이를 공격의 진범으로 생각해 쫓는 것은 일단 사회적 자원 낭비일뿐만 아니라 잠재적 위험 요소를 방치하는 꼴이 될 뿐이다.

사이버전의 공격자 파악 과정은 국제 정치 도구로 사용될 수도 있다. 완벽하지 않은 이러한 보안 침해지표가 공격자를 추측하고 타당한 동기를 적용하여 경제적 제제를 가하는 데 사용될 수 있기 때문이다. 그렇다고 사이버 공격에서의 진범 파악이 소용없다고 규정하면, 유효하고 도움이 되는 침해지표의 존재가치가 사라지게 된다.

아직 완전하지 않더라도, 공격자를 파악하려는 노력 자체는 유지해야 할 필요가 있다. 손자병법의 내용 중 “적을 알아야 이길 수 있다”라는 말이 있지 않은가. 최소 적이 누군지는 알아야 이기려는 시도라도 해볼 수 있다는 뜻이다. 증거를 조작하는 다양한 방법이 존재하더라도, 날 공격한 자가 도대체 누구인지 알아보는 건 중요한 일이다.
[국제부 홍나경 기자(hnk726@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>