|
정보 보안은 창과 방패의 끊임없는 싸움에 비유된다. 청동기 시대와 철기 시대를 구분하는 근거는 무기의 소재가 청동에서 철로 질적 변화한 데서 찾을 수 있다. 또한 어떤 무기를 쓰느냐에 따라 부족 사회와 국가의 흥망이 결정되었다. 이처럼 무기의 경쟁력은 부족과 국가 간 전쟁의 승패와 직결되고 더 나아가 국가의 생존을 결정하기 때문에, 역사적으로 각 국가에서는 최고급 두뇌를 무기의 연구 개발에 투입해 왔다.
현대 사회는 물리적 전쟁과 함께 사이버 전쟁이라는 새로운 전쟁 개념이 존재한다. 이러한 사이버 공격은 국가 차원의 방어 문제에 머무르지 않고 개인과 기업들을 대상으로 극렬해지고 있다. 특히 공격을 통해 얻는 경제적 이익이 커지면 커질수록 공격은 치밀해지고 그 범위가 확대된다.
필자는 얼마 전 10년 이상 해킹 기법을 연구해 온 보안 컨설턴트와 얘기를 할 기회가 있었다. 그는 이 분야에서 잔뼈가 굵은 인물로서 과거부터 현재까지의 위협 현장에 서 있었던 인물이다. 그의 얘기로는 최근 공격을 받은 곳에 가 보면 개인이 아닌 조직적으로 움직인 것으로 추정되는 경우가 많다고 한다. 한 마디로 10년 전의 해킹은 고도의 기술을 가진 개인 간의 싸움이었다면, 지금은 확보할 수 있는 모든 도구를 총망라한 입체적인 전쟁이라고 할 수 있다.
한편, 과거에는 위협의 대상과 주체가 어느 정도 구분되어 있었다. 이를테면 바이러스는 PC의 약점을 공략하는 악성코드 제작자들이 유포했고, 네트워크와 시스템의 취약점을 공격하는 것은 해커들의 영역이었다. 해커들의 개별적 특성과 심리 상태(mentality)도 차이가 있었다. 그러나, 브로드밴드가 일반 가정에도 보급되고 무선랜과 같은 다양한 네트워크를 통해 인터넷 접속이 가능해지자 PC, 네트워크, 시스템은 항시 네트워크로 연결되어 있는 상태(Always-On)가 되었다. 해커에게는 뻥 뚫린 이 공간을 자기 운동장처럼 활보할 수 있는 물꼬를 터 놓은 격이다.
이런 상황에서 현재 IT 환경에 위협이 되는 요소를 특성상 분류해서 보는 것은 의미가 있다. 위협의 스펙트럼을 이해해야 이에 대한 종합적 방어 대책을 구상할 수 있기 때문이다. (그림 1)
1. 위협의 행동 방식 (Behavior)
최근에는 혼합형 위협(Blended Threat)이 급증하고 있다. 바이러스, 웜, 트로이 목마, 해킹은 나름대로 고유 개념을 가지고 출발했다. 그러나, 목적 달성을 위해서 해커들은 이런 공격을 정교하게 조합한다. 한 마디로 특정 분야만 방어해서는 종합적인 위협에 효과적으로 대응할 수 없다는 얘기다.
애당초 바이러스 제작자와 해커는 태생적으로 차이가 있었다. 바이러스 제작자는 자신이 만들어 낸 코드 때문에 많은 사람들이 어려움을 겪고, 그로 인해 자신의 이름이 드러나는 것에 희열을 느끼는 심리가 있었다. 반면 서버나 네트워크에 대한 호기심이 많은 젊은이들은 남들이 할 수 없는 것을 한다는 자부심에 해커가 된 경우가 많았다. 또한 운영체제에 따라 위협의 종류도 달랐다. 소스 코드가 공개되지 않은 운영체제는 바이러스나 웜의 타깃이 되었고 오픈 소스나 내부 구조가 잘 알려진 유닉스 운영체제는 주로 해킹의 대상이 되었다.
그러나, 이제는 해킹 행위가 돈벌이가 되어 공격 대상이 광범위하고 위협 도구도 다양해지고 있다. 그래서 혼합형 위협(Blended Threat)이 급증하게 되었다. 침투를 위해서는 다양한 루트를 다단계 공격으로 감행한다. 예를 들어, 일단 키로거(Key-logger)를 통해 ID와 패스워드를 파악한 뒤, 적절한 기회를 봐서 공격의 목표를 취하기 위해 가능한 경로를 공략한다. 인터넷 뱅킹의 계좌라면 인증서나 보안 카드의 허점을 활용할 수도 있고, 정보 탈취라면 트로이목마를 사용하기도 한다.
그러다 보니 PC와 네트워크를 넘나드는 형식으로 위협의 특성이 복잡해지고 있다. 예를 들어, 봇넷(BotNet)의 경우 각 PC에 봇(Bot)이라는 악성코드를 설치해 은폐한 후, 특정 시간에 스팸 메일을 발송하거나 네트워크 해킹의 일종인 스캔 공격(Scan Attack)을 가한다. 이런 봇넷을 PC 보안 관점으로 보아야 하는가, 아니면 네트워크 위협으로 보아야 하는가?
작년 하반기에 급증했던 ARP 스푸핑(Spoofing) 같은 공격도 변종이 워낙 많아서 바이러스 백신 만으로 막으려면 수많은 시그너처(Signature)를 동원해야 했다. 실제 PC에서 침입방지시스템(IPS)을 설정할 경우 근원적인 차단을 할 수 있지만, 사용자들이 IPS 설정을 잘 하지 않는 습관을 간파한 공격 기법이었다.
이런 상황에서 필요한 것은 위협을 보는 관점을 입체적으로 바꾸는 것이다. 이미 많은 보안 제품이 상용화되어 보편재가 되었다. 바이러스 백신, 방화벽, IPS, VPN, PKI 등. 이들 보안 제품은 특정 위협에 대응할 수 있도록 설계되어 있다. 그러나, 위협은 여러 영역을 넘나들며 입체적으로 진행된다. 따라서, 위협 관점에서 각 보안 제품이 어떻게 상호 협력해서 대응할 수 있도록 하느냐에 초점을 맞추어야 한다. 이것이 종합적이고 일관성 있는 위협 관리(Unified Threat Management)의 개념이다.
2. 위협의 흐름 (Flow)
우리는 공항에서 보안 검색을 받으려면 안전 지대(Safety Zone)에 들어선다. 자신의 몸과 짐을 각종 센서를 통해 검사 받는다. 9/11 테러 이후 일부는 개인별 검색을 당하는 경우도 있다. 그러나, 일단 안전 지대로 들어서면 아무런 제약도 받지 않는다.
IT 환경도 공항과 비슷한 구조라고 할 수 있다. 외부 인터넷에서 내부 인트라넷이 연결되는 지역에는 다양한 방호 체제가 구성된다. 방화벽, IDS(침입탐지시스템), VPN(가상사설망)의 게이트웨이가 있고, DMZ를 형성한다. 보안 시스템이 잘 구성되어 있는 경우 외부에서 내부 네트워크로 들어오려고 하거나, 외부 협력사가 내부 직원과 소통하려면 각종 보안 절차를 따라야 한다. 그러나, 일단 내부에 있는 직원이나 VPN을 통해 외부에서 합법적으로 내부로 들어온 경우 제약이 사라진다. 일단 내부 환경은 안전 지대라고 규정하기 때문이다.
위협을 보는 관점도 그러했다. 정보 보안을 위해서 외부에서 내부로 침투하려는 눈에 보이지 않는 해커나 악성코드에만 신경을 썼다. 그러나, 통계에 따르면 정보 탈취를 위한 공격은 전체 건수의 2/3가 내부자나 내부자와 공조한 자에 의해 이루어진다. 실제로 보안 시스템이 잘 구성되어 있을 경우 외부로부터의 침투는 결코 쉽지 않다.
그런 맥락에서 영화 ‘네트(The Net)’의 주인공이 문제를 해결하는 과정을 눈여겨볼 만하다. 보안 전문가 안젤라 베네트(Angela Bennett)는 조직적 해커 집단 때문에 궁지에 몰린다. 이 집단은 합법적인 기업을 운영하면서 국가의 인프라를 좌지우지한다. 그녀는 직접 빌딩에 잠입해 내부 시스템에서 패스워드를 탈취한 뒤 범죄 집단의 우두머리가 대기업의 CEO라는 증거를 찾아내어 FBI에 보낸다. 그녀는 뛰어난 보안 전문가이지만 외부에서는 아무런 일도 할 수 없어서, 내부 시스템으로 들어가 합법적 권한으로 접근한 것이다.
오래 전 보안 시스템을 구축해 주었던 어떤 은행에서 연락이 왔다. 은행장이 어떤 젊은 보안 전문가와 만날 기회가 있는데, 그 보안 전문가가 마음만 먹으면 모든 은행을 해킹할 수 있다고 떠벌렸다고 한다. 보안을 잘 모르는 은행장으로서는 걱정이 되어서 IT 담당자를 통해 보안을 구축한 우리에게 연락을 해 왔다.
그래서, ‘제대로 정책 설정만 되어 있으면 절대로 뚫을 수 없다’고 담당자를 안심시켰는데, 은행장이 워낙 불안해해서 일단 그 전문가에게 기회를 주기로 했다. 일종의 모의 침투 훈련(Penetration Test)인데 24시간 내에 침투해 보라고 했다. 결론적으로 그는 전혀 침투할 수 없었다. 그제서야 안심하는 은행 측에 “앞으로 보안 설정이 변화거나 시스템의 취약점이 생길 수 있다. 그래도 지속적인 관리만 잘 되면 절대적으로 안전하다”고 설명을 해 주었다. 한때 해커는 어떠한 보안 시스템도 뚫을 수 있다는 잘못된 선입견이 있어서 발생한 해프닝이다.
이와 같이 위협의 흐름(Flow)은 외부에서 내부로 들어오거나(inbound), 내부에서 외부로 나가는(outbound) 형태로 나누어진다. 어떤 통신 사업자에게 IPS를 공급한 적이 있는데, 그 제품을 도입한 목적은 외부에서 내부로 들어오는 트래픽(inbound)을 방어하는 것 만이 아니었다. 사용자 PC에서 발생한 웜이 브로드밴드를 타고 사업자 망으로 유입되기 때문에 이를 차단하기 위함이었다.
위협의 근원지도 다양해서 서버, PC, 웹 등 모든 컴퓨터 기기는 물론 앞의 영화에서처럼 오프라인 세계에서 허점이 발생하기도 한다. 또한 위협이 전송되는 경로도 이메일(Email) 첨부파일, 메신저, USB 같은 저장 매체 등으로 다양하다. 최근에는 웹 사이트를 보기만 해도 악성코드에 감염되는 아이프레임 인젝션(iFrame injection) 공격이 성행한다.
이와 같이 위협의 경로와 방향, 근원지도 패러다임이 바뀌었기 때문에, 기존의 인식만으로는 효과적인 대책을 세울 수 없다. 마치 약육강식의 현장을 보여주는 ‘동물의 왕국’처럼, 보안 플랫폼은 전방위적으로 위협을 감지해서 판단할 수 있는 지능적 형태로 발전해야 한다.
3. 위협의 특성 (Characteristics)
2005년 이후 위협의 뚜렷한 변화 조짐이 간파되고 있다. 금전을 노린 범죄가 급증하고 있다는 것이 핵심이다. 돈 거래가 공식적으로 이루어진다는 점에서 ‘범죄’와 ‘해킹’은 구분해서 판단해야 한다. 다른 사람의 소중한 개인 정보나 돈을 탈취하는 것은 명백한 절도 행위다. 우리는 소매치기나 강도 행위에는 ‘어떻게 그럴 수 있느냐’고 분노하는 데 반해 개인 정보를 빼내어 팔아 먹는 것에는 관대한 경향이 있다.
2005년 이후 악성코드는 기하급수적으로 급증하고 있다. 특히 위협의 주체가 글로벌하게 포진하면서 무차별적인 공격이 가해지고 있다. 최근 악성코드 중의 80% 이상이 트로이목마다. 트로이목마는 어떤 정보를 탈취하기 위한 의도가 분명하다. 사실 바이러스 분석가들은 악성코드 중에서 트로이목마가 제일 재미없다고 한다. 바이러스는 알고리즘도 분석해야 하고 기술적인 깊이가 받쳐주어야 하고, 분석 과정이 흥미롭기까지 하다. 그에 비해 트로이목마는 기계적으로 이상한 징후를 잡아내는 데 그치기 때문이다. 또한 불특정 다수를 위한 바이러스 제작보다 특정 목적의 조직과 인물을 겨냥한 악성코드가 급증하고 있다. 이 모두가 정보 탈취가 목적이기 때문이다.
이렇게 기하급수적으로 급증한 악성코드를 100% 실시간으로 잡아내는 것은 어떤 백신 회사도 구조적으로 불가능하다. 또한 오진이 없는 회사도 없다. 어차피 악성코드가 기하급수적으로 급증하는 상황에서 우선 순위를 가지고 대응해야 하기 때문이다. 보안 회사들이 이런 현실을 인정하는 게 쉽지는 않지만, 이를 정확하게 사용자에게 알리고 소통해야 근본적인 문제 해결이 가능하다.
효과 측면에서 보안 공격만큼 뛰어난 것은 없다. 단 몇 개의 악성코드와 작은 노력으로 몇 배, 몇 십 배의 경제적 이익을 창출할 수 있기 때문이다. 작년에 DDoS 공격(분산서비스거부 공격)이 극성을 부린 것은 바로 비용 대비 효과가 크기 때문이다. 구태여 내부 시스템으로 침입하기 위해 노력하느니 외부에서 서비스를 불능 상태로 만들어 버리는 게 훨씬 수월하다. 이를 통해 협박으로 돈을 갈취하는 게 더 편하다는 생각이 드는 것이다.
이와 같이 우리는 경제적 이익을 노리는 조직적 범죄에 노출돼 있다. 안이한 대처로는 우리 일상 생활에서 큰 해를 입을 수 있다. 더 나아가 사회적으로 신뢰의 플랫폼이 무너질 수 있다. 인터넷 뱅킹 사고가 빈발하면 누가 마음 놓고 사용하겠는가? 이 때문에 IT가 주는 삶의 혜택 그 뒤편에는 이런 수많은 위협이 도사리고 있다는 것을 상기해야 한다.
이런 위협에 지속적으로 대처하기 위해서는 IT 실행 주체와 전문적인 보안 기술 역량을 가진 전문 업체의 긴밀한 협력 관계가 필요하다. 몇 개의 제품을 구매해 사용자 스스로 관리하는 것으로 안심하기에는 위협의 특성이 너무 복잡하고 그 수도 너무 많아지고 있다. 게다가 보안 전문가는 전 세계적으로 부족한 상황이다. 정보 보안 산업이 생겨난 지 15년 가까이 되었지만, 오늘날만큼 위협적인 상황에 놓인 적은 없었다. 이에 대한 사회적 공감대와 인식의 형성이 절실하다.@ | 
