| 2017년 정보보안의 주문 “시뮬레이션, 시뮬레이션, 시뮬레이션” | 2017.02.02 |
70년대 발생한 로켓 폭발 사건...수백 번 훈련으로 대원들 생존
국가의 위기 상황, 시뮬레이션을 통한 대처법 발굴로 극복 [보안뉴스 문가용 기자] 연말연시의 긴 휴일들을 지나오며 추억의 영화들을 몇 편 감상할 수 있었다. 그 중 하나가 아폴로 13(Apollo 13)이라는 영화다. 아폴로 13은 1970년 4월 11일에 발사된 일곱 번째 달 탐사 로켓으로, 발사된 지 이틀 만에 산소 탱크가 폭파하는 사고가 발생한 것으로 더 유명하다. 영화는 달을 탐험하러 갔던 대원들이 불의의 사고 후 목표를 ‘무사 귀환’으로 수정하고, 난관을 극복해나가는 과정을 그려나간다.  실제 아폴로 13 사건이 일어나고서 45년 후인 2015년 4월, 아스테크니카(Ars Technica)란 매체에 당시 사건에 대한 ‘전문가의 분석’이 실렸다. 물론 전문가의 의견이니 각종 전문용어가 난무하고 어려운 엔지니어링 기술들이 소개되기도 한다. 로켓에 탑재되는 산소 탱크가 어떤 원리로 작동하는지, 달 착륙 모듈은 어떻게 구성되는지, 명령 모듈은 어떻게 설계되는지 등 다 이해할 수 없어도 아무튼 굉장한 내용이다. 그러나 보안 업계에 몸담고 있는 사람으로서 다음 한 문단이 주는 울림이 특별히 더 깊었다. “아폴로 13을 그 큰 위기에서 건질 수 있었던 건 탑승하고 있던 대원들과 통제실 인원이 글자 그대로 수백 번의 시뮬레이션을 했기 때문이었다. 통제실 인원들은 그 수백 번의 시뮬레이션을 통해 시스템의 모든 디테일과 부품까지도 철저하게 숙지하고 있는 상태였다. 아폴로 탑승 대원들은 자기들의 임무에 대해서 전부 암기할 수준으로 잘 알고 있었을 뿐 아니라, 엄격한 훈련 과정을 통해 위기 상황에서 침착함을 유지할 수 있는 사람들이었다. 감정적이고 물리적으로 극단에 치달을 수 있는 여러 상황을 시뮬레이션 하면서 위기 대처 능력을 몸으로 익혔던 것이다. NASA가 수백 번의 시뮬레이션을 진행했다는 건 그 어떤 심각한 상황에도 대처가 가능한 ‘비상 계획’을 갖추고 있었다는 뜻이다.” 이야기를 약간 더 뒤로 돌려 2002년 가을로 가보자. 미국 의회는 국가 기반시설 시뮬레이션 및 분석 센터(National Infrastructure Simulation and Analysis Center, NISAC)에 여러 가지 극한 상황에 대한 시뮬레이션 모델을 구축할 것을 지시했다. 이를 테면 국가 전기 그리드, 식료품 공급망 등에 대한 공격 방법 및 테러 행위를 가상으로 구상하라는 것이었다. 9/11 사태가 일어난 직후였고, 미국 정부는 상상 가능한 모든 방법을 동원해 공격을 예측하고 방어 계획을 짜고 싶어 했다. 2005년엔 전 세계의 정부들이 조류독감에 대한 대처로 골머리를 앓고 있었다. 미국 정부도 마찬가지였다. 의회는 다시 NISAC에게 조류독감이 전 세계적인 유행병이 되었을 때 어떤 일이 발생할 것인지, 실제 그런 일이 벌어진다면 어떤 형국일지 시나리오를 만들고 시뮬레이션 해달라는 요청을 전달했다. 로버트 글래스(Robert Glass)라는 NISAC 소속 연구원은 연구 끝에 “조류독감이 산불 확산과 많은 면에서 닮았다”는 결론을 내리면서 “고등학생들이 가장 활발하게 병균 및 바이러스를 옮기고 다닐 것으로 보인다”고 경고했다. 이는 특정 기간 동안 휴교 조치를 하는 것이 좋은 대처 방안이 될 거라는 뜻이었다. 사이버 보안에서도 이런 시뮬레이션을 할 수는 없을까? 다양한 공격 시나리오 및 데이터 손실 상황을 시뮬레이션 함으로써 대응력을 키울 수는 없는 걸까? 이에 착안한 보안 전문가들이 이미 존재한다. 그렇잖아도 ‘침해 사태 시뮬레이션’이라는 기술이 최근 떠오르고 있는 것이다. 이 기술을 통해 많은 방어자들이 ‘해커의 시각’으로 자신이 보호해야 할 영역을 들여다볼 수 있게 된다. 취약점 관리와는 조금 다른 게 1) 시뮬레이터 간의 워게임 형태로 진행되며, 2) 시뮬레이터들끼리만 공격을 주고받기 때문에 안전하며, 3) 단순 취약점 몇 개에만 집중하는 대신 해커의 공격 방식을 광범위하게 아우르기 때문에 방어의 관점에서도 더 유용하다. 물론 이 시뮬레이션 기술을 도입한다고 해서 시스템에서 하루에 수천 건씩 날아드는 경보를 쉽고 빠르게 분석할 수 있는 건 아니다. 하지만 어떤 사고가 일어날지 전략적, 통합적으로 파악할 수 있게 된다. 그러므로 공격 유형에 따른 최고의 방어법을 갖출 수 있게도 되는 것이다. 예를 들면 이런 것이다. 사용자가 아무 링크나 무심코 누르는 것이 가장 큰 위협이라는 시뮬레이션에서는 당연히 사용자의 클릭을 금지시키는 게 가장 좋은 대처법이다. 하지만 이런 대처법이 사업적으로 좋은 것일 수 없다. 차라리 사용자가 클릭할 것을 시뮬레이션 해서 공격자들이 네트워크 안에서 자유롭게 돌아다니는 걸 막는 게 더 낫다. 이는 네트워크 세그멘테이션이나 접근 통제 정책을 엄격하게 책정함으로써 가능해진다. 이렇게 각종 시뮬레이션 시나리오에 대한 최고의 대처법을 쌓아가다 보면 우린 어떤 정보보안 상태를 갖추게 될까? 사이버 보안에 있어 최고의 주문은 ‘시뮬레이션, 시뮬레이션, 시뮬레이션’이다. 공격자의 입장에서 연구하고, 한두 가지 공격자 출입문이 아니라 네트워크 전체를 바라보는 시각을 갖춰야 더 온전한 방어를 할 수 있게 된다. NASA처럼 수백 번씩 시뮬레이션을 하면 우주에서 일어난 폭발 사고에서도 살아남을 수 있는데, 안 할 이유가 없다. 글 : 다넬르 오(Danelle Au) [국제부 문가용 기자(globoan@boannews.com)] Copyrighted 2015. UBM-Tech. 117153:0515BC |
|
 |
