[김국배기자] "좀도둑이 설치던 암흑세계에 마피아가 들어온 격이다."
신수정 인포섹 대표는 최근 해킹 위협 동향을 "공격자가 달라진 것"이라고 요약했다. 과거 해커들의 수준이 아마추어에 머물렀다면 이제는 프로페셔널로 바뀌었다는 뜻이다.
신 대표는 국내 보안컨설팅의 태동기부터 활약한 보안 전문 컨설턴트이자 인포섹을 이끄는 경영자다. 1999년 초기 보안 컨설팅 방법론을 만들고 국내 유수의 공공과 금융기관, 기업들의 고민을 해결하는 자문 활동을 해왔다.지난 1999년까지는 Y2K에 초점을 맞춘 IT 리스크 컨설팅을 했었다.
신수정 대표는 "과거 공격 패턴을 분석해 보면 90%가 소위 '스크립트 키디'라고 불리는 초심자들의 공격이었다"고 요약하고 "그러나 최근에는 범죄집단, 국가기관까지 본격적으로 가세하는 상황"이라며 달라진 해킹 트렌드를 설명했다.
그는 "스크립트 키디는 주로 인터넷에서 쉽게 구할 수 있는 해킹 툴을 공격에 이용한다"며 "결국 잘 알려진 공격에서 알려지지 않은 공격으로 추세가 변하는 것도 공격자의 격이 바뀐 탓"이라고 덧붙였다.
◆ 보안 패러다임 전환 '막을 수 있다 → 뚫릴 수 있다'
그는 이러한 변화가 주는 가장 큰 메시지는 "보안 패러다임의 전환"이라고 힘주어 말했다.
보안 체계의 기초가 '막을 수 있다'에서 '뚫릴 수 있다'로 바뀌어야 한다는 의미다. 애초부터 모든 공격을 막을 수 있다고 여길 것이 아니라 전이되지 않도록 노력하는 방향으로 접근 방식의 전환이 필요하다는 것이다. 이를 두고 그는 '3·20 전산망 대란'이 준 교훈이라고도 했다.
그는 공격자의 수준이 달라진 만큼 대응 수준도 근본적으로 다시 짜야 한다고 강조했다. 예전에는 중급 해커를 대응하는 방어 체계였다면 이제는 고급 해커를 가정한 보안 체계를 세워야 한다는 뜻이다.
신 대표는 "내 PC가 안전하다고 여긴다면 중요한 정보를 보관할 수 있겠지만 언제든 뚫릴 수 있다는 생각을 한다면 미리 백업을 하거나 클라우드에 보관하는 등 대비를 할 것이며 민감한 정보는 아예 다른 곳에 둘 것"이라며 패러다임 변화가 필요하다고 했다.
그는 "정부 역시 이제까지와는 달라져야 한다"고 말했다. 정보보안을 사회적, 국가적 아젠다로 만들고 관련 주체 간 정보공유와 공동전략을 마련하는 일이 중요하다는 의미에서다.
신 대표는 "좀도둑 수준일 때에야 기업들 스스로의 힘으로 막을 수 있겠지만 군대가 쳐들어 올 때는 사설경찰만으로 힘들지 않겠느냐"며 "이제는 민관군의 통합 보안 대응체계가 더더욱 설계돼야 할 것"이라고 말했다.
◆ 보안 솔루션만 많은 게 능사 아니다…서비스 확대돼야
신수정 대표는 특히 한국 시장이 보안 서비스보다는 솔루션에 편중된 점을 지적하며 서비스 분야의 확대를 강조했다.무조건 보안 솔루션만 많이 도입하는 것이 능사가 아니라는 지적이다.
정보보호 서비스는 정보보호 관제, 정보보호 컨설팅, 유지보수, 보안교육 등을 말한다.
그는 "800명의 직원 중 중요한 정보에 접근하는 사람이 10명 뿐이라면 복잡하게 보안시스템을 늘어놓는 것보다 10명에 대한 인터넷 접속을 차단하면 되지 않겠냐"고 설명했다. 운영과 관리가 더 중요할 수 있다는 얘기다.
미국이나 유럽의 경우 정보보호 산업 중 정보보호 서비스 비율은 40% 정도. 그러나 특이한 두 국가가 있으니 바로 한국과 일본이다. 일본은 보안 서비스와 솔루션의 비중이 각각 70%, 30%이고 한국은 반대로 솔루션만 70~75%에 이른다.
그는 "민족성도 영향을 준 것 같다"며 "일본은 솔루션을 조금 사고 꼼꼼한 관리를 통해 문제를 해결하려 하나 우리는 솔루션을 쉽게 사고 관리를 대충 하는 편"이라고 차이점을 설명했다.
그는 또 "한국은 정보보호 컨설팅이나 관제에 대한 대가가 너무 싸다 보니 전문인력을 기를 수 있을 정도가 못 된다"며 "서비스의 가치를 더 늘리는 방향으로 바뀌어야 할 것"이라고 강조했다.
◆기업 보안, 흔적 놓치지 마라
보안 수준을 높이려는 기업들에게는 "기업이 보호해야 할 정보나 시스템이 무엇인지부터 파악할 것"을 주문했다.
그 다음 작업이 해당 정보에 가해질 수 있는 다양한 해킹 시나리오를 구상하고 그에 대한 현재의 시스템과 인력의 대응현황을 알아봐야 하며 최종적으론 그에 맞춰 보안 전략을 다시 수립해야 한다는 것이다.
특히 그는 기업이 로그, 이벤트 등 해커가 다니는 흔적들을 총제적으로 분석할 수 있는 역량을 갖추는 게 중요하다고 강조했다. 이러한 흔적들을 통합해 분석함으로써 정상적인 사용자와 해커의 흔적을 구분해 찾아낼 수 있기 때문이다.
그는 "PC에 침입하는 첫 번째 단계의 공격은 매우 찾기 어렵다"면서 "그러나 고수의 해커라도 일단 PC에 들어온 뒤 다음 시스템에 대한 공격을 위해 1~2달 그 안에서 작업을 계속 하기 때문에 보안을 철저히 하면 의심스러운 흔적을 잡아낼 수 있다"고 말했다.
그는 또한 "이를 위해서 보안관제는 물론 피싱 메일을 받으면 보안팀에 신고하는 등 사용자가 보안의식을 갖춰야 하고 보안시스템을 운영하는 사람도 꼼꼼해야 한다"고 덧붙였다.
중요한 정보는 아예 망을 분리하는 것도 방법이다. 방어할 수 없다면 공격하지 못하게 만들겠다는 차원의 접근이다.
신수정 대표는 "중요한 정보는 인터넷과 연결하지 않고 덜 중요한 정보는 인터넷 접속을 허용하는 식으로 중요도에 따라 보안수준을 다르게 적용할 수 있다"고 설명했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기