지난 해 일어났던 사건사고를 통해 우리가 배웠어야 할 것들
다사다난한 해...2018년은 더욱 치열한 머리싸움 예견되어 있어

[보안뉴스 문가용 기자] 지금쯤 많은 사람들이 마음속에 새해를 위한 결심을 한두 가지 생각해보고 있을 것이다. 결심까지는 아니더라도 계획 정도야 있을 가능성이 높다. 그런 상황에 있는 사람들을 위해, 보안 전문가들이 올해 가장 많이 강조했던 말들을 기준으로 올해 보안 업계를 스쳐지나간 17가지 교훈들을 되짚어보았다.


1. 가지고 있는 데이터가 무엇이며 어디에 있는지 알고 있어야 한다
데이터는 자산이다. 내가 가지고 있는 것이 무엇이며, 그것들이 어디에 보관되어 있는지 알고 있다는 것은 당연한 일이다. 실제로 우린 현금을 얼마나 보유하고 있고, 어느 지갑에 들어 있는지 알고 있다. 여권, 면허증도 마찬가지다. 하지만 이러한 기본적인 생활 습관이 ‘데이터’에는 유독 적용되지 않는다. 그래서 야후는 10억 개 계정 정보가 유출되고도 알아차리는 데 3년 10개월이 걸렸다.

야후만이 아니다. 신용 관리 기관인 에퀴팩스(Equifax) 역시 비슷한 문제로 망신을 톡톡히 당했다. 에퀴팩스 데이터 침해 사고 때문에 미국 성인 대부분이 아이덴티티 도난을 당했으며 사업을 위해 데이터 수집을 하는 기관 및 단체들에 대한 더 엄격한 규정이 필요하다는 여론이 생겨났다. 여기에 마케팅 업체인 알테릭스(Alteryx) 역시 1억 2천 3백만 건의 정보를 도난당해 앞으로 데이터에 대한 보다 엄격한 규정이 적용될 것으로 보인다. 게다가 2018년은 GDPR이 적용되는 해이기 때문에 데이터 관리는 최고의 새해 결심이 되어야 할 것이다.

2. 사건을 예방하는 것만큼 사건에 대응하는 것도 중요하다
이제 기업들의 뻔한 대응에 신물이 날 지경이다. 에퀴팩스는 1억 명이 넘는 미국인들과 1천 2백만 명이 넘는 영국인들의 민감한 정보들을 유출시켰으면서도 이를 40일 넘게 보고하지 않아 문제를 더 키웠다. 사건이 대중들에게 알려지고 문제가 커지자 에퀴팩스는 다른 기업들이 그렇듯 1년 간 무료로 고객들의 신용도를 모니터링 한다는 보상 대책을 내놨다. 그런데 우습게도, 에퀴팩스 자신이 그러한 서비스를 제공하는 업체였고, 결국 자신들의 고객들에게 원래 서비스를 제공하겠다는 내용이었다. 그것도 피해자들이 자신의 피해 내용을 입증한다는 가정 하에 말이다.

여기에다가 우버(Uber)의 보안 사고 대처 역시 최악이었다. 5천 7백만 명의 운전자 및 고객 정보를 도난당하고도 1년 간 아무에게도 알리지 않고 쉬쉬 감췄다. 그리고 공격자들을 찾아내 10만 달러를 뒷구멍으로 지급해 아무에게도 해킹 사실을 알리지 말아달라고 부탁했다. 증거를 없애는 차원에서 삭제도 요청했지만, 결국 그 5천 7백만 명의 개인정보는 암시장에 모습을 드러냈다. 사용자들은 분노했고 각종 고소들이 줄을 이었다.

3. 사회보장번호의 과도한 수집은 지양해야 한다
에퀴팩스 사건의 가장 큰 문제 중 하나는 사회보장번호가 지나치게 많이 새나가게 됐다는 것이다. 물론 국민들이 간편하게 이 번호들을 재발급 받을 수 있게 된다면야 문제가 되지 않겠지만 우리가 가지고 있는 사회보장번호는 바꿀 수도 없고, 추측하는 게 그리 어렵지도 않으며, 발급이 쉽지도 않다. 바꾸려면 대단히 까다로운 절차를 거쳐야 하고 말이다. 그리고 무엇보다 암시장에 나올 번호들은 다 나왔다고 해도 무방한 상태다. 사회보장번호 시스템에 대한 전면 검토야 나라님들의 일이니 그렇다 쳐도, 기업들이 지나치게 이 정보를 많이 모으는 것에 대해선 생각해봐야 한다.

4. 무선주파수 통신에 대한 보안 강화가 필요하다
무선 전파를 가로채는 기술을 염려하기 시작한 건 언제부터였을까? 100년 정도 됐다. 방사선 감시 시스템, 페이스메이커 등의 사물인터넷 장비 제조사들에게 한 100년의 시간을 주면, 어쩌면, 무선 전파 보안을 조금 더 고민할지도 모르겠다. 그러면 그 때부터 자발적으로 암호화 통신 기법을 활용하겠지. 올해 드러난 블루투스 취약점인 블루본(Blueborne) 사태 때 목격했듯이 와이파이가 아닌 무선 통신 방식들에도 보안에 대한 고민이 필요하다. 블루투스는 ‘아무도 공격하지 않을 것’이라는 근거 없는 희망사항에 보호되고 있을 뿐이다.

5. ICS/SCADA는 이제 더 특별하게 보호해야 한다
2017년의 첫 보안 ‘이벤트’는 그 전 해에 있었던 우크라이나 대규모 정전사태가 멀웨에 의한 것이었다는 사실이 드러난 것이었다. 사이버 공격만으로 정전사태가 일어난 건 사상 처음 있는 일이었다. 당시 사용된 멀웨어에는 크래시오버라이드(CrashOverride)나 인더스트로이어(Industroyer)라는 이름이 붙었다. 그러더니 2017년이 끝날 무렵엔 ICS를 겨냥한 또 다른 멀웨가 발견되기도 했다. 이름은 트리톤(TRITON)이었다. 하지만 트리톤의 본래 목적은 아직까지 파악되지 않고 있다. 에너제틱베어(Energetic Bear)라는 APT 그룹이 미국의 전기 시스템을 노린 정황도 발견됐다.

6. 패치 적용, 좀 더 ‘빠릿빠릿’해야 할 때다
또 에퀴팩스 얘기를 해야 하겠다. 여러 모로 좋은 레퍼런스가 될 사건이라 어쩔 수 없다. 에퀴팩스가 처음 침해를 당한 건 5월의 일이다. 공격자들은 아파치 스트러츠(Apache Struts)에 있는 치명적인 취약점들을 익스플로잇했다. 그런데 이 아파치 스트러츠 취약점은 3월에 이미 공개되고 패치까지 된 것이었다. 무슨 뜻인가? 에퀴팩스의 패치 속도가 매우 느렸다는 것이다.

물론 에퀴팩스도 할 말이 있다. 그 정도 되는 규모의 회사라면 3~5월 사이에 전사적인 패치를 마치기가 쉽지 않다. 하지만 쉽지 않다고 시장이나 규제 기관 혹은 소비자들이 용서해주지는 않는다. 패치가 느렸다는 것만 적용될 뿐이다. 그러니 패치를 빠르게 적용시킬 방법을 올해는 진지하게 모색해야 한다.

마이크로소프트도 비슷한 일을 올해 겪었다. 윈도우의 SMB 버그를 익스플로잇하는 이터널블루(EternalBlue)가 공개되고 한 달이 지나도록 패치를 하고 있지 않았는데, 우리가 지금 알다시피 이터널블루는 그 후 5월의 워너크라이와 6월의 낫페트야라는 글로벌한 랜섬웨어 공격에 활용되기도 했다. 재미있는 건 아직도 이 SMB 버그를 하지 않고 있는 시스템이 상당수 존재한다는 것이다.

7. NSA는 비밀을 지키는 데 탁월하지 않다
위에서 언급한 이터널블루 익스플로잇은 그 출처가 NSA였다. 셰도우 브로커스(Shadow Brokers)라는 해커들이 NSA로부터 훔쳐냈으며, 그들은 현재 NSA의 각종 툴들을 한 달에 한 번씩 유료 고객들에게 공개하고 있다. 또한 NSA의 소프트웨어 개발자였던 응히아 호앙 포(Nghia Hoang Pho)라는 인물은 NSA의 기밀을 집으로 가져와 일을 계속하다가 러시아 해커들에게 집 컴퓨터가 뚫리는 통에 NSA 기밀까지 넘겨주게 되었다. 물론 포가 일부러 러시아에 그런 정보를 넘겨준 것으로 보이진 않지만, 최근 NSA 내부 근무자 세 명이 큰 폭로 사건을 일으킨 것은 부정할 수 없다.

8. 사이버 보안의 실패는 시장에서의 실패로 이어진다
야후에서의 대형 해킹 사고가 발각됐을 당시, 야후는 버라이즌과 중요한 M&A 계약을 진행하고 있었다. 하지만 버라이즌은 야후의 사고를 빌미로 7%나 가격을 내릴 수 있었다. 말이 7%지 3억 5천만 달러나 되는 돈이었다. 에퀴팩스 또한 사고 이후 주가가 ‘폭락’했다. 물론 10월 초 주가가 다시 회복되긴 했지만 막대한 손실을 입은 뒤였다.

9. 데이터 무결성(그리고 민주주의의 무결성도)도 해킹의 영향을 받는다
거짓 정보의 확산을 막는 일도 ‘사이버 보안’과 ‘정보 보안’의 일일까? 사이버 보안이나 정보 보안의 정의를 어떻게 내리느냐에 따라 답이 달라질 수 있다. 해킹과 멀웨어로만 정의된 사이버 보안이라면 아마 ‘아니오’라고 답할 것이다. 하지만 기억해야 할 것이 있다. 보안의 3대원칙이 ‘기밀성’, ‘무결성’, ‘접근성’이라는 것을 말이다. 무결성이라 함은 데이터가 내용의 변화 없이 그대로라는 뜻이다. 우리가 생각하는 보안이 지나치게 기밀성과 접근성에만 치우쳐져 있는 건 아닐까?

가짜뉴스나 거짓 정보가 확신되는 게 온전히 보안 담당자들의 책임이라고 말할 수는 없지만, 그러한 거짓 정보가 사이버 공격의 일환으로 활용되고 있다는 사실 자체에 보안 전문가들은 주목해야 할 필요가 있다. 특히 이러한 전략을 동원한 공격자들은 우크라이나와 미국에서의 선거에 개입했고, 가짜 소셜 미디어 계정들을 활용해 여러 개인과 기업들을 노리고 악의적인 공격들을 일삼고 있다는 건 반드시 지켜봐야 하는 사건들이다. 심지어 이러한 거짓 정보로 최근 망중립성도 손상됐다니, 보안 전문가들의 관심사는 넓어져야만 한다.

10. 디도스 방어, 다시 돌아봐야 한다
2016년말 우리는 미라이(Mirai)라는 역대 최대 규모의 디도스 공격을 목격했다. 그렇게 시작된 2017년, 디도스 공격은 2배로 증가했다. 하루 평균 8번의 디도스 공격이 발생했다. 디도스 공격은 거세지고 있으며 동시에 진화하고 있다. 그렇기 때문에 디도스 방어책을 새롭게 강구하고, 기존의 것을 점검해야 할 필요가 있다. 또, 브라질의 한 은행은 DNS 인프라에 대한 공격을 받아 업무를 한 동안 진행할 수 없었다. 워너크라이와 낫페트야 때문에 혼다와 머크는 생산 및 운영을 잠시 중단해야 했다. 디도스 공격은 더 이상 트래픽이 급증하는 공격만이 아니다. DNS도 보호하고, 랜섬웨어로부터도 조직을 방어해야 한다.

11. 일상 속 화제가 되는 일들도 보안과 연결되어 있다
사이버 공격자들은 거의 항상 현재 사람들의 관심거리가 무엇인지를 면밀히 관찰한다. 그래야 피싱 공격 성공률을 높일 수 있기 때문이다. 그렇기에 보안 담당자들도 최근 사회에서 일어나고 있는 일들, 사람들이 관심을 가지고 있는 일들에 관심을 갖고, 그에 맞는 복구 계획, 사건 대응 계획을 세우고 여기에 맞춰 소프트웨어를 사고 직원 교육을 진행해야 한다.

정보보안을 사업 아이템으로 하고 있는 기업들이라면 정치적인 일들에 특히 관심을 가져야 한다. 세계의 정부들이 벌이는 사이버전이 강력한 영향을 미치기 때문이다. 올해 일어난 일들 중 러시아 카스퍼스키의 제품이 연방 정부 기관에서 전부 퇴출된 것이 확실한 예다. 미국 NSA 직원의 집에 있는 컴퓨터에 카스퍼스키 제품이 설치되어 있었고, 그 카스퍼스키 제품의 취약점을 통해 러시아 정부가 정보를 빼갔는데, 이에 카스퍼스키가 의도적으로 러시아를 도왔다는 의혹이 강력하게 제기된 때문이었다.

12. 정보보안 인력들은 다양성이란 면에서 아직 후진적이다
사이버 보안 인력이 지금보다 더 다양해져야 하는 건 여성인권이나 소수자 대우와는 상관없는 일이다. 지금처럼 각 사회 시스템 속에서 우위를 점하고 있는 인종의 3, 40대 남성(예를 들어 미국에서는 백인 남성, 한국에서는 황인 남성 등)만으로는 모자란 인력을 다 채울 수가 없기 때문이다. 그리고 보안 인력은 점점 더 모자라만 간다. 분야의 존속을 위해서 보다 나이가 많으신 분들(예 : 전역 군인), 여성, 보안 재능이 뛰어난 어린 학생들을 교육시키고 영입시킬 계획을 짜야 한다. IT는 전통적으로 여성들이 매력을 크게 느끼지 못하지만, 보안은 이를 탈피해야 한다. 사람이 없어도 너무 없다.

13. 비트코인은 대단히 매력적이지만, 아직 더 지켜봐야 한다
비트코인은 이제 어르신들의 입에도 오르내릴 정도로 유명해진 기술용어다. 랜섬웨어에 걸렸을 때 범인들에게 돈을 지불하기 가장 편한 수단도 역시 비트코인이며, 최근의 성공 신화 대부분 비트코인 위주로 유행하고 있다. 하지만 비트코인 그 자체보다는, 기술적 근간이 되는 블록체인(Blockchain)이 활발히 연구되고 일부 자리 잡아 가고 있다는 사실에 더 주목해야 한다.

블록체인 기술의 장점은 암호화되고 보안성이 강력한 저장 공간을 생성하기 때문에 정보의 무결성을 유지할 수 있다는 것이다. 이러한 바탕 위에 여러 적용 사례가 만들어지고 있다. JP모건의 CEO인 제이미 디몬(Jamie Dimon)은 비트코인을 두고 ‘어리석다’고 했지만 블록체인 기술은 활발하게 연구하고 있다. 그래서 블록체인에 기반을 둔, 국경을 초월한 지불 네트워크를 발표하기도 했다. IBM도 비슷한 서비스를 탄생시켰다.

한편 비트코인 거래소들은 이미 각종 디도스 공격의 표적이 되고 있다. 비트코인 뿐만 아니라 거의 모든 암호화폐 거래소들이 그렇다. 거래소 운영자들도 그렇지만 암호화폐에 투자하려는 이들도 이 점을 염두에 두어야 한다. 디도스 한 번에 가치가 폭발적으로 물결치기 때문이다.

14. 암호화는 대단한 기술이다...물론 제대로 적용됐을 때만
위에서 언급했지만 블록체인이 각광받는 가장 큰 이유는 체인 내 기록들이 암호화되어 저장되기 때문이다. 하지만 암호화 기술이 모든 것을 안전하게 지켜주는 것은 아니다. 예를 들어 지난 10월, WPA2의 KRACK 취약점이 발견되면서, 보안 조치 된 와이파이 세션도 해킹이 가능하다는 사실이 드러났다. 이 취약점을 익스플로잇하면 공격자들이 공개키 하나만 가지고 비밀키를 생성할 수 있게 되었다. 그러므로 암호화가 아무 소용이 없게 된 것이다.

15. 어쩌면 가장 취약한 소프트웨어 혹은 하드웨어는 펌웨어다
올해도 펌웨어 해킹이 빈번하게 발생했다. 펌웨어는 하드웨어와 소프트웨어의 특성을 모두 가진 요소로, 위에서 말한 KRACK 취약점도 이 펌웨어 단계에서 발생한 것이다. 이제 소프트웨어에만 익숙한 보안 전문가들이 하드웨어에도 관심을 가져야 한다는 뜻이다. 또 다른 예로, 인텔의 AMT 오류나 ME 취약점을 악용하면 이른 바 ‘갓 모드’에 돌입할 수 있게 된다. 이것이 처음 발견됐을 때 US-CERT는 긴급 권고 사항을 발표하기도 했다. 다행히 블랙햇 등 세계적인 보안 행사에 하드웨어 해킹 시연이 많이 발표되고 있는 추세니 공부할 곳은 많다.

16. 멀웨어 없다고 문제가 없는 건 아니다
공격자들에게 있어 멀웨어는 필수요소다. 각종 명령을 실행해주고, 공격자가 손 댈 수 없는 곳에 가서 나쁜 짓을 해주니 말이다. 하지만 그만큼 탐지되기도 쉽고(다른 종류의 공격에 비해), 따라서 온갖 노력들이 와해될 수 있다는 단점도 있다. 멀웨어가 계속 사용되는 한 공격자들은 이런 딜레마 속에 계획을 짤 것이다. 그리고 멀웨어는 당분간 지속적인 공격 도구로서 각광받을 것이다.

하지만 멀웨어가 없어도 비슷한 효과를 거둘 수 있다. 전통의 사기 수법을 사이버 공간에서 적용하면(소셜 엔지니어링 공격이라고도 한다) 공격자들은 멀웨어를 사용하지 않고도 큰 수익을 거둘 수 있게 된다. 올해 사이버 공격 중 가장 큰 피해를 남긴 공격 유형 중 하나가 사업 이메일 침해(BEC)다. 올해에만 50억 달러의 피해를 전 세계적으로 입혔다고, FBI는 집계하고 있다. 랜섬웨어가 떠들썩하게 얘기되고 있긴 하지만, BEC 공격자들은 5배가 넘는 수익을 남겼다.

게다가 파일이 없는, 파일레스 공격도 급증하고 있다. 악성 매크로를 사용하거나 정상적인 윈도우 서비스 속에 악성 명령을 숨기고, 혹은 메모리 내에서만 코드를 실행하거나 크리덴셜을 훔쳐서 정상 관리자인 것처럼 접속하는 행위들이 바로 그것이다. 멀웨어 없이 공격하는 방법은 지금도 창의적으로 개발되고 있다. 그러므로 2018년에는 머리싸움이 더 치열해질 전망이다.

17. 뒤통수 맞는 것만큼 옆구리를 찔려도 아프다
아직도 해커들이 한 번에 가장 핵심적인 데이터 저장소로 파고든다고 착각하는 사람들이 많다. 2017년에도 이 잘못된 개념을 없애는 데 성공하지 못했다. 해커들은 가장 취약하고 상관없어 보이는 엔드포인트 한 곳으로 먼저 침투해 네트워크를 ‘횡적으로’ 움직이며 필요한 것이 나올 때까지 네트워크에 머무른다. 네트워크 내에서 승인 없이 횡적으로 움직인다는 건 매우 어려운 일이지만, 해커들은 이런 일에 점점 익숙해지고 있다. 그러나 기업들은 횡적 움직임에 대한 방어를 이전보다 더 잘하고 있지 않다.

접근 통제와 마이크로세그멘테이션을 향상시키고 자동 횡적 움직임 툴을 활용하면 네트워크 내에서 누군가 횡적으로 움직이면서 다닐 만한 은밀한 골목들을 더 잘 찾아낼 수 있다. 그러한 정보들을 바탕으로 어슬렁거리고 있는 수상한 것들을 잡아내고 방어 조치를 보다 빠르게 취할 수도 있게 된다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>