국내에서 처음으로 개최된 정보보호 인텔리전스 컨퍼런스 K-ISI 2015가 지난 15일 공공, 금융, 기업 정보보호 실무자 200여 명이 참석한 가운데 성황리에 개최됐다. 이 자리에서 김혁준 나루씨큐리티 대표는 ‘Know Your Network, Know Your Enemy’ (부제: 내부망 인텔리전스를 이용한 보안지표수립)라는 주제로 발표를 진행했다. 직접 현장에서 수집한 데이터를 기반으로 한 발표여서 참관객들의 큰 호응이 있었다.
 
◇’넓은 공격’은 대응하고 있지만 ‘깊은 공격’은 못 막고 있어
김혁준 나루씨큐리티 대표(사진)는 “4년간 국내외 유명 대기업의 실제 내부망을 조사하면서 많은 문제점들을 알게 됐으며 다양한 데이터에서 필요한 정보를 어떻게 추출할 것인가에 대해 많은 고민을 해 왔다”며 “정보보호는 기본적으로 위험관리다. 정보보호를 하고 있지만 항상 불확실성 때문에 우리는 불안해 하고 있다. 사이버공격은 ‘넓은 공격’과 ‘깊은 공격’으로 나눌 수 있다. 우리는 넓은 공격에 대해서는 어느정도 대응하고 있지만 깊은 공격에 대해서는 대응하지 못하고 있다. 그래서 항상 불안해 하고 있다”고 말했다.
 
보안담당자들 사이에서는 7.7 디도스 공격 이후 큰 사고는 7년에 한번 발생한다는 ‘7년 대란설’이 있었고, 3.4 디도스 공격 때는 ‘홀수 대란설’이 생겼다. 이런 설이 나온 이유는 어려운 가운데서도 편안함을 찾고 싶어 하는 보안담당자들의 심리가 반영됐기 때문이다. 애처로움이 느껴질 정도다.
 
김 대표는 “침해사고를 예방하고 대응하기 위해서는 많은 데이터를 정확히 이해하는 것이 중요하다. 데이터가 의미 있는 정보가 되면 이것이 바로 인텔리전스다”라며 “그동안 다양한 실제 내부망 분석을 통해 나온 정보들을 살펴보면, 내부망 공격은 계속 늘어나고 있고 공격 형태도 진화하고 있다. 해커들이 RSA를 해킹해 타깃을 우회공격 한 사례를 보면, 실제 우리망에 들어와 있는 운영 장치들이 우리를 위해 일하고 있는지도 의심해 봐야 한다. 생성된 데이터를 신뢰할 수 있어야 하는데 신뢰하려면 확인이 되어야 한다. 정보보호는 데이터를 통해 확인되어야 한다. 즉 데이터를 기반으로 한 정보가 제공되어야 하고 이를 소화할 수 있어야 한다”고 설명했다. 
 
또 대부분 기업들이 유사한 장비와 프로세스를 사용하고 있어서 망이 유사하다고 착각하고 있다고 지적했다. 모든 네트워크는 다르다고 그는 말한다. 그리고 침해사고가 발생하면 조직의 보안팀장이 악성코드 전문가냐, 네트워크 전문가냐에 따라 보는 시각이 달라지고 대응하는 방식이 다르다. 그래서 근본적인 문제를 제대로 파악하지 못하는 경우도 많다고 지적했다. 즉 대응하는데 여러 분야에 전문 지식을 가진 구성원들 간에 합의가 이루어져야 한다고 강조했다.
 
김 대표는 “가로등 효과는 매우 일반적인 관찰 오류를 발생시킨다. 사고가 발생하면 자신이 찾을 수 있는 부분만 보려고 하고 거기서 수집정보를 찾으려고 한다. 이러면 방화벽, 안티바이러스, IDS/IPS 등을 이용한 타깃 공격에 대한 대응은 불가능하다. 관찰자가 알지 못하는 사고는 탐지될 수 없게 되는 것”이라며 “알지 못하는 공격들을 대응하고 싶다면 ‘깊은 공격’을 대응할 수 있는 공격대응모델링이 만들어 져야 한다. 결국 데이터 수집을 어떻게 하느냐가 가장 중요한 부분”이라고 강조했다.
 
또 비싼 보안장비를 들여 놓고도 불안해 하는 담당자들의 안타까움도 전했다. 수억원을 들여 보안장비를 도입했는데 여기서 나오는 데이터들이 정말 모든 것을 알려주고 있는지 불안해 하고 있다는 것이다. 이런 불안감은 정보보호 산업 자체에 불신을 높이는 요인이 되고 있다.
 
◇보안솔루션, 컴플라이언스에 기생하지 말고 정확성과 정밀성 높여야
그는 보안장비에서 나오는 데이터의 ‘정확성’을 강조했다. 시그니처 기반의 정보보호 제품은 높은 정밀성과 낮은 정확성을 가지고 있고 네트워크 플로우 기반 제품은 낮은 정밀성과 높은 정확성을 가지고 있다며 새로운 위협에 대응하기 위해서는 높은 정밀성과 높은 정확성을 가진 제품이 필요하다고 강조했다. 이 ‘정확성’이 ‘인텔리전스의 핵심’이라고 말한다. 또 정보보호 산업이 활성화 되려면 정확성과 정밀성을 높여야 한다고 강조했다. 그렇지 못하면 정보보호 산업은 컴플라이언스 이슈에만 의지해 붙어 살면 더 이상 발전할 수 없다고 지적했다.
 
해결 방안에 대해 김 대표는 크게 단계별로 상황인지, 위협인지, 사고추적, 유입되는 바이너리 분석, 명령제어채널 탐지, 내부이동탐지, 정보유출탐지, 침해사고대응 우선순위 도출 등이 진행되어야 한다고 설명했다. 각 단계별 이슈들은 발표자료를 참조하면 된다.

 
◇내부망 장기지속 통신 현황에 대한 변화 추적 필수, 사례 소개
마지막으로 실제 나루씨큐리티가 보안컨설팅한 사례도 소개했다. 먼저 모 제조사를 대상으로 사업장 및 공장 내부망에 존재하는 약 1만대의 컴퓨터의 네트워크를 점검했다. 점검결과 HTTP CONNECT 메소드를 이용한 내부 보안통제를 우회하는 외부 접속이 탐지됐고 기존 방어체계를 우회한 다수의 악성 C2가 탐지됐다.
 
또 모 대형병원은 병원 네트워크에서 사용자 진료기록 및 X-RAY 정보 등 민감정보가 노출된 것이 탐지됐고 이외 병원 네트워크 내/외부에서 P2P를 이용한 다수의 정보유출 정황, 정보보호 정책을 위반한 웹하드 서비스를 이용한 정보유출 사실, 비정규 포트를 이용한 외부 SSH 서버 지속접속 및 정보전달 사실 등이 탐지됐다.
 
이외에도 미국의 글로벌 기업과 대형 게임사 및 국내 대학교 등에서도 상당수의 알려지지 않은 명령제어 채널에 수많은 내부망 호스트가 연결된 사례도 소개됐다.
 
국내 대기업도 마찬가지다. 내부망 PC가 침해당해 외부의 악성 서버와 지속적으로 통신하는 것이 탐지됐고 내부 임원 PC도 침해당해 내부 감염 경로로 이용된 것도 확인됐다. 또 포트기반 보안통제를 우회해 들어온 백도어도 발견됐고 내부망 다수의 호스트에서 방화벽 정책을 우회해 내부망 호스트에 직접 접속 가능한 악성프로그램이 설치된 사례도 소개됐다.
 
김 대표는 마지막으로 “사례를 든 기관들이 정보보호를 잘 못하고 있는 곳들이 아니다. 나름 투자를 하고 신경을 쓰고 있는 기관들이지만 실상을 들여다 보면 생각지도 못했던 침해사고 정황들이 발견된 것”이라며 “앞으로 정보보호는 변화추적이 핵심이다. 내부망 장기지속 통신 현황에 대한 변화 추적과 신뢰도를 기반으로 한 지속통신에 대한 변화 추적도 필수다. 이를 모르면 내부망과 지속적으로 통신하며 사이버공격을 하고 있는 알 수 없는 공격자들을 찾아내고 대응하기란 불가능하다. 실제로 기업에서 이를 실행해 본다면 그동안 몰랐던 충격적인 사실들을 발견할 것”이라고 강조했다.


한편 나루씨큐리티는 K-ISI 2015 현장에서 자사에서 개발한 '사이버 베틀필드'를 활용해 정보보호 담당자들이 7.7, 3.4, 3.20 등 실제 사이버공격들을 체험해 보고 대응해 볼 수 있는 자리도 마련해 큰 호응을 얻었다.
 
김혁준 나루씨큐리티 대표 발표자료는 데일리시큐 자료실에서 다운로드 가능하다. 보다 자세한 내용을 확인할 수 있다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com