실시간 뉴스



보안전문가들 "표적 공격 이렇게 막자"


다계층적 접근, 정보 중심, 컨트롤타워, 사람에 초점

[김국배기자] 거세지는 표적 공격의 위협에 대응하기 위해서는 더욱 촘촘한 보안이 필요하다고 보안 전문가들은 입을 모은다. 보안 전문가를 포함한 관련업계가 요구하는 대책은 지엽적인 방법에서 근본적인 변화까지 스펙트럼이 넓다.

표적 공격이란 불특정 다수를 공격 대상으로 삼는 게 아니라 특정 대상으로 제한하는 것이다. 최근 발생했던 '3·20 사이터테러'의 원인으로 지목된 지능형지속위협(APT)이 대표적인 표적공격의 일환이다. 같은 이유로 디도스(DDoS)도 여기에 속한다.

◆다계층적 접근으로 표적 공격 극복해야

APT 공격을 포함한 고도의 표적 공격은 어느 하나의 솔루션으로 막을 수 없다고 보안 전문가들은 지적한다. 기존 보안 기술의 고도화는 물론 1차 저지선이 뚫릴 가능성을 염두에 두고 겹겹히 다른 에디션을 추가하는 다계층적 접근이 필요하다고 주문하는 이유다.

'3·20 사이버테러'에서 보듯 백신 프로그램만으로 APT 공격을 잡아낼 수 없다. 기본적으로 백신은 패턴을 확보해야 악성코드를 잡을 수 있다. '전과가 있는 놈만 잡는다'는 뜻이다.

여기에 더해 행동을 기반으로 악성코드 여부를 가리는 '휴리스틱' 엔진, 평판 분석 등을 적용하는 것이 낫고, 최종 소비자(엔드포인트)단에서도 백신 이외의 다른 보안 기술도 사용하는 것이 보안 수준을 높이는 접근법이다. 물론 엔드포인트 단을 넘어서는 네트워크단의 보안도 마찬가지다. 계단식 접근인 셈이다.

시만텍코리아 윤광택 이사는 "보안 레벨이 올라가면 해커만 힘들어지는 게 아니라 사용자들도 불편하고 힘들어질 수 있다"며 "그러나 편의성과 보안성은 반비례하는 것"이라고 설명했다.

보안업계는 이번 사태로 특정 보안 솔루션 시장이 급부상하는 데도 우려를 표시했다.

한 보안업계 관계자는 "이번 사건을 겪으면서 특정 솔루션을 도입하면 해결할 수 있다는 분위기가 생길 수 있는데 이는 잘못된 접근"이라며 "보안은 전체 퍼즐 조각이 맞아야 하는 것"이라고 강조했다.

◆'정보 중심 보안' 디지털 정보 지도 작성해라

보안 전문가들은 표적 공격을 막기 위해서는 '디지털 정보 지도'를 작성하는 게 필요하다고 말한다. 보호해야 할 중요 정보가 어디에 저장돼 있고, 누가 접근 가능한지, 어떻게 보호되고 있는지를 파악해야 하는 게 골자다.

이는 정보 주변을 둘러싼 시스템이 아닌 정보 자체를 보호하는 정보 중심 보안 전략을 짜야 한다는 것을 의미한다.

이와 함께 다양한 악의적 공격과 활동을 효과적으로 차단하기 위해 기업 내부의 사용자가 인터넷을 사용할 때 웹에서 악성코드 검사를 수행하도록 강제하는 '사전 방역'과 감염된 PC를 즉각 격리하는 '사후 차단'의 역할도 중요하다.

평판 기반의 새로운 보안 신기술 도입도 필요하다.

평판 기반의 보안 접근법은 전세계 사용자들로부터 '대중의 지혜'를 모아 프로그램마다 평판을 전산화한 후 극소수 사람들이 가진 프로그램을 다운로드할 경우 이를 제지하고 최상의 선택을 권고한다. 극소수의 프로그램들은 매우 전문적인 소프트웨어이거나 임의로 생성된 바이러스일 가능성이 크기 때문이다.

윤광택 이사는 "불의의 사태에 대비해 민방위 훈련을 하듯 기업들도 보안 가이드라인을 마련하고 정기적으로 인터넷 안전, 보안에 관해 직원 교육을 실시해야 한다"고 강조했다.

◆사이버 컨트롤 타워 갖추자

근본적인 대책으로는 사이버 컨트롤 타워를 갖춰야 한다는 이야기가 빠지지 않았다. 각 기관별 정보공유와 신속한 협력이 필요하다는 취지에서다.

사이버 공격에 대한 정부의 대응체계는 분야별로 쪼개져 있다. 한국인터넷진흥원(KISA)은 민간, 국가정보원은 공공, 국방정보본부는 군 분야를 맡고 있다. 대검찰청과 경찰청은 사이버 테러 범죄 수사를 담당한다.

이번 사이버테러 같은 위급 상황에서 정부 부처를 전체적으로 조율할 수 있는 '컨트롤 타워'가 사실상 없는 셈이다. 이번에도 사건 초기 정부의 허술한 대응으로 혼란이 가중된 측면이 없지 않았다.

사이버테러 직후 청와대는 국정원으로 컨트롤 타워를 일원화하는 등 뒷수습에 나섰으나 이에 대한 적절성을 두고 논란이 일기도 했다.

임종인 고려대 정보보호대학원장은 "미국은 가장 큰 관심사가 사이버 안보인데 반해 한국은 컨트롤타워 부재, 전문인력 부족, 투자 부족 등 총체적 어려움을 겪고 있다"고 목소리를 높였다.

임종인 원장은 "매출 상위 업체가 고작 1천억원 수준이 민간 보안 기업들에게 우리나라의 보안을 책임지게 하는 건 어불성설"이라며 "사이버 안보 수석이나 사이버 안보 조정관 등의 인력을 두는 것도 필요하다"고 말했다.

◆결국 답은 사람, 이용자 의식도 바꾸자

결국 테크놀로지를 사용하는 사람에게서 답을 찾아야 한다는 의견도 있다.솔루션만으로는 표적 공격을 막기란 어렵다는 이유에서다.

표적 공격은 대상이 정해지면 그 대상에 대해 정보를 수집하고 침투한 뒤 오랫동안 잠입 활동을 벌인다. 그러는 사이 목표로 한 대상이 어떤 보안 제품을 쓰는지, 무슨 보안 취약점을 갖고 있는지 기어코 알아낸다.

전문가 사이에서 '우리 회사라면 막을 수 있었다', '우리 고객은 안전하다' 식의 의견은 의미 없다는 말이 흘러나오는 이유다.

보안업체 관계자는 "지금의 표적공격은 어차피 누가 막든 간에 우회할 수 있는 새로운 취약점을 만들어 낼 것"이라고 말했다.

이는 정기적인 비밀번호 변경, 출처가 불분명한 링크나 첨부 파일을 열지 말 것 등 이용자 스스로도 보안 의식을 높여야 하는 이유이기도 하다. 상당수 악성코드는 여전히 웹사이트 접속이나 이메일을 통해 감염되고 있기 때문이다.

이용자들의 의식이 획기적으로 변해야 한다는 도발적인 지적도 있다. 환경이나 기업윤리를 고려하는 소비와 비슷하다.

라온시큐어 김운봉 이사는 "사용자들이 은행을 선택하는 기준을 금리만이 아니라 보안에도 둔다면 은행은 보안에 더 신경을 쓰고 투자도 늘릴 수밖에 없을 것"이라며 "다만 소비자가 알 수 있게 기업이 공시 등을 통해 보안 투자 정도를 공개해야 일들이 전제돼야 할 것"이라고 말했다.

김국배기자 vermeer@inews24.com






alert

댓글 쓰기 제목 보안전문가들 "표적 공격 이렇게 막자"

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스