주말마다 많은 사이트들이 악성코드를 유포하고 있지만 누구 하나 나서서 이 문제를 해결하지 못하는 것은 왜 그런 것일까. 알려지지 않은 공격과 타깃 공격에는 왜 매번 당하는 것일까. 농협과 같은 곳이 정보보호 장비가 없어서일까. 아닐 것이다. 한국의 정보보호 구조에는 뭔가 큰 문제점이 있다.
 
국군사이버사령부 국방자문위원으로 활동하고 있는 김혁준 나루시큐리티 대표는 “우리나라 모든 기업과 기관 그리고 보안업체들은 100% 알려진 공격 대응에 집중하고 있다. 물론 알려진 공격에도 매번 당하고 있기 때문에 이에 대한 대응도 반드시 필요하다”고 말하면서도 하지만 “7.7 DDoS공격과 농협 해킹사고 등 여러 굵직한 타깃형 사이버 공격은 미리 대응하지 못하고 있는 것이 우리 현실”이라고 안타까워했다.(사진출처.www.flickr.com / by topgold]
 
◇성과중심의 정보보호가 현재 상황 만들어=이러한 문제가 발생하는데는 여러가지 문제가 있을 것이다. 김 대표는 “기관이든 기업이든 지엽적 성과에 치중하기 때문이다. 그래서 중요하지만 드러나지 않는 문제나 중요하지만 내가 책임지지 않아도 되는 위협들은 뒷전이고 현재 내게 주어진 위협만 해결해서 내 성과를 드러내는 것에 집중하고 있는 것이 문제”라며 “누구 하나 나서서 미래의 공격을 예측하고 지금 보이지는 않지만 향후 큰 피해의 원인이 될 수 있는 여러 위협들을 제거하기 위해 노력하지 않고 있다”고 꼬집었다.
 
보이지는 않지만 현재 조직적으로 사이버 범죄자들이 DDoS 공격용 이외에 다른 목표를 위해 봇넷을 관리하고 있고 APT 공격과 같은 사이버테러나 고급정보들을 노리는 집요한 타깃 공격들이 계속되고 앞으로 더욱 늘어날 것인데도 여러 관련 기관이나 기업들은 현재 드러난 문제에만 매달려 분주하게 정보보호 쳇바퀴만 열심히 돌리고 있는 상황이다. 결국 숨어있던 위협들은 모습을 드러낼 것이고 알려지지 않은 공격방법을 획득한 범죄자는 집요하게 공격을 시도할 것이다. 현재 위협에만 매달려 있는 정부나 기업들은 또 틀림없이 당하고 후회할 것이다.
 
◇위협 정보공유 안되고 있다=성과중심의 정보보호 문제 이외에 또 다른 문제가 있다. 바로 정보공유가 전혀 안되고 있다는 점이다. 김 대표는 “지금 공격자들은 타깃에 커스터마이징된 정교한 공격을 주로 한다. 대부분 금전이 목적이다. APT 공격에서 눈여겨 볼 것은 바로 지속적으로 공격을 한다는 점”이라며 “공격자도 대규모 봇넷을 관리하거나 공격을 시도하는 인력들을 관리하기 위해서는 조직이 필요하고 자금도 필요하다. 뒤에서 이를 서포터하는 큰 조직이 분명히 있을 것이고 지금 공격들이 이루어지고 있는 것들을 보면 큰 연결고리가 있다는 것을 알아야 한다”고 말했다.
 
해외뿐만 아니라 국내에서도 여기저기 산발적으로 공격이 이루어지고 있다. 하지만 정확하게 어디서 어떤 형태로 공격이 이루어진 것인지 그 데이터가 우리에게는 없다. 흩어져 있는 데이터들을 수집해 분석하면 하나의 큰 그림이 나올 수 있다는 것이 김 대표의 생각이다.
 
그는 “공격자들도 공격작업을 하는 판은 방어자와 같다. 똑 같은 조건에서 공격과 방어가 이루어진다. 하지만 현재 문제는 공격자들은 모든 패를 보고 있다는 것이다. 하지만 방어자는 제각각 패를 들고 서로 보여주지 않는 상황”이라며 “방어자들끼리 정보를 공유하면 현재 발생되는 많은 공격들을 차단할 수 있음에도 불구하고 서로 공개하지 않고 있기 때문에 같은 공격방법으로 여기저기 공격이 가능해지는 것”이라고 말했다.
 
그래서 방어자들은 자신이 돌리고 있는 쳇바퀴만 열심히 돌리며 다른 방어자들은 무엇을 하는지도 신경쓰지 않고 자기 할 일만 기계적으로 하면서 하루하루 바쁘게 생활하고 있다. 하지만 매번 공격은 성공하고 부랴부랴 막는데 급급한 상황이 반복되고 있다.
 
그는 “지금 정보보호는 장님이 코끼리를 만지는 상황과 같다. 공격자는 거대한 코끼리지만 방어자들은 각각 자기가 만지는 부위가 전체라고 생각하고 큰 그림을 그리지 못하고 있다”며 “큰 시야를 가질 수 있도록 전문화된 장비나 기관이 설립돼 여러 기업이나 기관들에서 발생한 위협 데이터들을 분석해 모두가 알 수 있도록 확산시키고 공유한다면 정말 많은 위협들을 막아낼 수 있을 것”이라고 희망했다.
 
기업이나 기관에서 나온 위협 정보들이 공유된다면 현재의 위협뿐만 아니라 공격의 전체적인 흐름을 확보할 수 있고 시야가 넓어져 새로운 공격에도 쉽게 대응할 수 있을 것으로 보인다. 전체적인 시야를 확보하는 것이 정보보호에서는 가장 중요한 사항인 만큼 이를 원활하게 운영할 수 있는 조직이나 기관이 필요하다.
 
김 대표는 “모두 다 꺼내놓고 이야기해야 전체적인 그림이 나오고 진정한 대응이 될 수 있다. 사실 공격자보다 방어자가 더 많다. 방어자들이 더 많이 배우고 똑똑하다. 하지만 모두 뿔뿔이 흩어져 각자 자기 일만 하고 있고 전혀 공유가 이루어지지 않고 있다”며 “이는 기업 내부에서도 발생하고 있고 정보보호 전문 기관들에서도 발생하고 있다. 부서간 협업이 이루어지지 않아 대응이 늦어지거나 피해를 키우는 경우도 많다”고 말했다.
 
특히 기업에서 정보보호 부서가 너무 강압적이거나 비즈니스에 해가 되는 조직으로 낙인 찍히면 위험하다. 김 대표는 “해외에서는 인포메이션 시큐리티라는 개념이 점차 줄어들고 비즈니스 어슈어런스에 보안이 녹아 들고 있다”며 “보안부서가 너무 원칙이나 교조적으로 운영되면 직원들과 보안조직은 기름과 물이 돼 전혀 비즈니스를 위한 정보보호가 이루어질 수 없다. 각 부서에 녹아들어서 데이터를 공유하고 협업을 이끌어 내야 한다”고 조언했다.
 
◇장비보다는 관리자의 인식과 역량이 중요=또 하나 문제점으로 지적되고 있는 것은 바로 장비중심 대응이다. 김 대표는 “DDoS 공격이 터지면 해당 장비를 많이 도입한다. 하지만 전용장비 들여놔 봐야 관리자는 사용하기 어려워서 관리해 주는 밴더사 직원에 의존한다. 이런 현상은 담당자의 시야를 잃게 하고 기계에 의존하게 되는 결과를 초례한다”며 “해외는 현재 장비를 줄이려고 한다. 하나의 장비에 여러 기능을 추가하고 관리자가 쉽게 운영할 수 있도록 하는데 한국은 장비는 계속 늘어나고 관리는 안되고 문제 생기면 밴더부르지라는 생각들로 인해 관리자들의 기술적 발전이 미흡하다”고 지적했다.
 
또 자신중심의 정보보호가 이루어져야 한다. 김 대표는 “우리는 위협만 본다. 자산 중심의 정보보호가 이루어져야 한다. 해킹 안되는 것이 중요한 것이 아니라 자산에 위협이 가해졌느냐가 중요한 것”이라며 “해킹되는 단계를 보면 스캔작업, 익스플로잇, 다운로드, 통신채널 뚫고, 그 다음 자산을 빼내가는데 각 단계별로 모니터링만 철저히 해도 막을 수 있다. 내부망은 공격자보다는 방어자가 더 잘 알고 있다. 아무리 뛰어난 공격자라 할지라도 흔적을 남길 수밖에 없기 때문에 각 단계별로 관리자의 상시적인 관리가 가장 중요한 부분”이라고 덧붙였다.
 
간혹 공격자의 공격이 허접하다고 평가한다. 하지만 공격자는 공격방법이 허접하든 말든 정보를 가져나가는 것이 목적이기 때문에 성공하면 그만이다. 이런 허접한 공격도 막지 못하는 방어자들이 반성해야 할 부분이 더 크다. 
 
그는 “내부망의 지형지물을 잘 이용하고 엄선된 보안장비로 방어체계를 구축하고 관리자들이 기본적으로 네트워크 상에서 모니터링 해야 할 부분이 어디인지 정확하게만 알고 있고 이를 통해 공격자들의 공격작업을 눈치채고 자산이 유출되기 직전에라도 막아내면 관리자는 성공한 것이다. 시스템 침해를 당했건 당하지 않았건 결국 자산을 지켰느냐 못지켰느냐를 핵심과제로 정보보호 업무에 임해야 한다”고 강조했다.      
 
침해사고의 대응목적은 악성코드 전파를 막고 공격을 잠시 차단시키는 것이 목적이 아니라 그러한 일이 다시 재발되지 않도록 대응하는 것이 목적이다.
 
성과위주로만 정보보호를 생각하고 현재 알려진 문제만 대응하고 알려지지 않고 숨겨진 위협과 새로운 위협에 대처하는 것을 주저한다면 앞으로 우리 사회는 지금처럼 계속해서 정보유출과 각종 사이버 범죄자들에게 농락당하는 꼴이 반복될 것으로 보인다. 강압적이든 자발적이든 위협정보에 대한 정보수집이 이루어지고 공유돼야 하며 이를 토대로 종합적인 데이터가 만들어지고 전체적인 시각을 가지고 대응에 나서야 한다. 공격자들은 그렇게 하고 있는데 방어자들은 그렇게 못하고 있기 때문에 더욱 문제다. [데일리시큐=길민권 기자]