| [대중문화와 사이버 개념 이해] 21화. 사이버 보안과 가용성 | 2018.01.31 |
영화 ’빅매치‘를 통한 가용성(Availability)의 이해
[보안뉴스= 박지민 공군 소령, 사이버개념연구회2.0/국군사이버사령부] 2009년 7월 우리나라와 미국의 주요 사이트들을 좀비 PC들이 공격해 사이트가 마비되는 사건이 발생했다. ‘7.7 디도스 공격’으로 불리는 이 사건은 각지에 분산되어 있는 좀비 PC들을 활용해 공격자가 표적 서비스를 마비시키는 분산형 서비스 거부(Distributed Denial of Service) 공격의 대표 사례로 지금까지 회자되고 있다.  ▲ 영화 ‘빅매치’ 포스터[출처=네이버 영화] 원하는 시기에 원하는 행위를 할 수 있는 것이 가용성이다 지금까지 살펴본 대부분의 사이버 공격은 자료를 탈취하거나 위변조를 하는 것이었다. 사이버 보안 구성요소 중 기밀성과 무결성에 대한 침해인 것이다. 그렇다면, 자료가 유출되거나 악의적으로 변경되지 않는다면 보안상 문제가 없는 것일까? 정답은 ‘아니다’이다. 사이버 보안 구성요소 중 3번째는 가용성(Availability)이다. 정보보호 개론의 정의에 따르면 사용성은 ‘정보자산에 대해 적절한 시간에 접근 가능한 것’을 의미한다. 즉, ‘내가 쓰고자 할 때, 쓸 수 있게 해주어야 한다’는 것이다. 앞서 살펴본 디도스(DDoS) 공격은 아무런 자료를 유출시키지도 않고, 체계 내부에 침투하지도 않으며, 위변조를 위한 권한을 획득할 필요도 없다. 그냥 해당 사이트 또는 서비스가 처리할 수 있는 수준 이상의 과도한 트래픽을 발생시켜 공격 기간 동안 마비시키는 것일 뿐이다. 공격이 멈추면, 서비스 중단도 멈추고 정상 상황으로 돌아간다. 하지만 분명 그 시간에 해당 서비스를 제공하거나 이용해야 하는 입장에서는 불편과 피해가 발생하게 된다. 영화 ‘빅매치’를 통해 사이버 보안에서의 가용성이 갖는 의미를 이해해 볼 수 있다. 2014년 개봉한 이 영화는 CCTV 해킹 등 다양한 해킹기술을 활용하여 불법 스포츠 도박을 내용으로 하는 영화다. ’빅매치‘를 통해 가용성의 중요성 이해할 수 있다 영화 속에서 사용성과 연관된 사례는 신하균이 CCTV를 해킹하여 도심을 배경으로 불법 스포츠 도박을 벌이는 장면에서 볼 수 있다. 이 과정에서 원치 않은 싸움에 휘말려야 하는 격투기 선수 이정재는 수많은 위험에 빠지게 되는데, 이정재를 돕기 위해 친구 손호준은 신하균의 CCTV 중계를 방해할 목적으로 디도스 공격을 실시한다. 디도스 공격은 서비스와 관련된 네트워크 대역폭, 프로세싱 파워, 메모리 등의 자원을 고갈시켜 서비스를 마비시키는 공격으로, 대표적인 가용성에 대한 공격이다. 하루에 100개의 택배상자를 처리할 수 있는 물류센터에 갑자기 1,000개의 상자를 쏟아버리면 물류센터가 마비되어 버리는 것과 같은 셈이다. .jpg) ▲ 공군 소령 박지민 스스로 가용성을 저해하고 있지 않는가 영화 ’빅매치‘을 통해 알 수 있는 것은 가용성이 저해되면 정보 활용의 가치가 없어진다는 것이다. 보안 체계에 침투해 자료를 탈취하지 않더라도 단순히 마비시키는 것만으로도 보안을 저해할 수 있는 것이다. 조직에서 사이버 보안이 중요하게 인식되고 조직의 규모와 중요성이 커질수록 이를 위한 규정이나 절차가 정교하게 수립된다. 대부분 심사숙고 끝에 최적의 대책이 수립되지만, 보안사고 이후 또는 급하게 마련된 대책이라면 가끔 ’일단 모든 것을 막고 보자‘는 개념에서 시작해 사용자의 불편을 초래하는 정책들이 수립되기도 한다. 예를 들어 ’이메일을 통한 악성코드 유포가 식별되면, 모든 이메일 체계 사용을 중단한다‘는 정책이 수립되어 있다면, 공격자 입장에서 가벼운 악성코드 메일을 지속적으로 발송해 해당 조직이 스스로 이메일 서비스를 중단하게 만들 수 있기 때문이다. 이렇듯 가용성은 보안에 있어 가장 중요한 기본 요소가 되고 있다. [글_ 박지민 공군 소령, 사이버개념연구회 2.0/국군사이버사령부] .JPG) ▲ 대중문화와 사이버개념 이해 시즌 2 참여 안내문 <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|
 |
