• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

사이버 공격자들의 아킬레스건은 ‘게으름’ 2018.04.13

방어자들의 약점, “공격에 대한 대가를 치루게 할 수 없다”
공격자들의 게으름 공략하기 위해선 정보 공유의 판을 키워야

[보안뉴스 문가용 기자] 1달러짜리 공격으로 방어자들이 10달러를 쓰도록 유도할 수 있다면, 해커들의 공격은 멈추지 않을 것이다. 그리고 이런 상태가 지속되는 이상, 우리는 결국 지는 싸움만 하게 될 것이다. 냉전시대를 생각해보면 이게 무슨 뜻인지 이해가 갈 것이다. 미국이 군비경쟁과 ‘우주 전쟁’으로 소련을 결국 말려 죽인 것을 생각해보면 말이다. 지금은 러시아가 미국의 공공 기관 및 민간 업체들에 같은 전략을 사용 중에 있다.

[이미지 = iclickart]


그래서 사회 주요 기반시설, 시립 기관들 및 시청, 도시 전체, 대학교 네트워크 등에서 매일 사고가 발생하고 헤드라인을 장식하자 미국의 사이버 사령부(Cyber Command)는 새로운 계획을 발표했다. 이 계획의 이름은 ‘사령부 비전(Command Vision)’인데, 필자는 그중 다음 구절이 눈에 확 들어왔다.

“적대 세력들은 보이지 않는 곳에서 끊임없이 우리를 겨냥한 악성 행위들을 이어가고 있다. 이것이 ‘뉴 노멀’이 된 시대, 그들은 물리적인 개입 없이도 우리 사회에 영향력을 확대할 수 있게 되었다. 그래서 국민들을 공포와 불안에 떨게 만들고, 서로에 대한 신뢰가 서서히 엷어지도록 한다. 게다가 이러한 행위를 하는 데에 있어 법적이나 군사적인 위험을 감수할 필요도 없다.”

이 말 그대로 국가의 지원을 받는 공격자들은 방어하는 자들의 가장 큰 취약점을 깨달은 상태다. 바로 공격에 대한 대가가 없는 것과 다름없다는 것이다. 러시아, 이란, 북한의 공격자들로서는 방어자의 아킬레스건을 찾은 것이라고도 볼 수 있다. 게다가 미국의 사이버 인프라는 상당히 취약해 익스플로잇과 공격 비용 자체도 낮다.

그렇다면 그들에게는 아킬레스건이 없나? 그들은 천하무적인가? 아니다. 공격자들에게도 약한 부분이 분명 존재한다. 그것은 바로 ‘게으름’이다. 그들은 고급스러운 공격 전략과 인프라를 가지고 있는 듯 하지만 거의 매번 같은 공격 전략과 거기서 거기인 기술만을 활용한다. 사이버 공격의 모든 과정이 예나 지금이나 대동소이 하다.

이는 사이버 방어를 해야 하는 미국 정부 기관이나 민간 업체들이 공략해야 할 지점이다. 공격자들의 전략과 기술이 제한적이라는 건, 방어자들끼리 공격 첩보를 공유하고 교환하는 것이 큰 의미를 갖게 된다는 뜻이 된다. 나눌수록 공격 패턴이란 게 금방 뻔해지고 예측이 가능해지며, 그러므로 전체 상황에 대한 가시성을 확보할 수 있게 된다. 그러면 방어의 비용이 낮아진다. 공격자들이 쥐고 흔드는 게임이 아니게 되는 것이다.

‘사령부 비전’에는 이러한 문구도 있다. “산업별 혹은 지역별 구분 없이 방어자들이 힘을 합해 통일된 대응을 하기 시작하면 공격자들이 네트워크나 시스템에 침입할 때까지 기다릴 필요가 없다.” 공유와 협조로서 판을 크게 벌리면, 게으른 공격자들이 이에 대응할 수 없게 된다는 것이다.

빌 클린턴 대통령이 대통령령 63호(Presidential Decision Directive 63)에 서명을 한 1998년 이후 조직 간 데이터 공유 및 협업에 대한 노력은 계속되어 왔다. 2015년 의회는 사이버보안법을 통과시킴으로서 업체나 기관이 보다 원활하게 협조할 수 있도록 장을 마련했다. 그리고 2017년 트럼프 대통령은 행정명령을 통해 정보 공유의 중요성을 다시 한 차례 강요했다. 하지만 공유가 왜 중요하고, 어떤 효과를 가져다줄지는 아무도 제대로 이해하고 있지 못했다.

그래서 국토안보부가 중요정보공유협조프로그램(Critical Information Sharing Collaboration Program, CISCP)를 신설해 세부적인 정보를 민간 업체와 나누기 시작했다. 법과 정책을 마련하는 걸 넘어 실천의 방법이 구현되고 토론되는 시대가 시작된 것이다. 물론 아직 갈 길이 한참 더 남긴 했지만, 충분히 긍정적이라고 볼 수 있다.

정보 공유를 위한 민간 조직들도 하나 둘 늘어나고 있다. 콜롬버스 콜래보래토리(Columbus Collaboratory), 클라우드 보안연맹(Cloud Security Alliance), 사이버USA(CyberUSA) 등이 그러한 예다. 이들은 공유 플랫폼을 마련해 다양한 관계자들을 참여시키려 하고 있다. 산업 부문별로도 이러한 노력들이 진행되고 있고 말이다.

오랜 시간 화두였던 ‘첩보 및 정보 공유.’ 판은 이미 깔렸고, 실천에 대한 이해도가 쌓이기 시작했다. 사이버 범죄 산업이 걷잡을 수 없이 커지기 전에 이 움직임이 더 빠르게 진행되기를 바란다. 이는 정부와 민간단체 모두가 참여해야 하는 일이다.

글 : 폴 커츠(Paul Kurtz), TruSTAR
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>