올해는 보안측면에서 봤을 때 침해사고의 해라고 할 수 있다. DDoS 사건, 금융권, 포털, 게임사 등 대규모 사이버 공격이 일년 내내 뉴스를 장식한 한 해였다. 이에 원유재 KISA 인터넷침해대응센터 본부장을 만나 올해 사건사고들에 대한 그의 생각과 내년도 KISA 방향성에 대해 편하게 이야기하는 시간을 가져봤다. 
 
◇보안사고, 기업들 책임감 더 가져야=원유재 KISA 인터넷침해대응센터 본부장은 “올해 참 많은 일들이 일어났다. 그런데 좀 아쉬운 점은 책임의식이다. SK컴즈 사고가 났을 때, 알집 업데이트 서버로 감염이 이루어졌는데도 불구하고 이스트소프트도 피해자라는 인식은 잘못된 것 같다. 해커 때문에 사고가 난 것이긴 하지만 보안회사가 잘못한 부분이 틀림없이 있는데 그에 대한 사회적 책임을 지려하지 않는 것은 문제”라며 “사고가 났는데도 인사만 하고 끝나는 것 때문에 동일한 사고가 계속 반복된다. 물론 해커의 처벌도 강하게 이루어져야 하지만 기업의 관리적 책임의식도 강화돼야 한다. 특히 보안회사라면 더욱 그래야 한다”고 강조했다. 
 
또 “보안을 아웃소싱 주는 관행이 문제를 야기한다. 중요한 보안 문제를 아웃소싱으로 넘기고 내부에서는 한 두 명만 관리하면서 관리가 이원화되고 있다”며 “기업내부에 보안관리 준칙이 있어도 아웃소싱으로 인해 이를 철저히 관리하는 것이 어려운 상황”이라고 지적했다.
 
뭔가 변화가 필요한 상황이란 것을 기자와 원 본부장은 공감하고 있었다. 어떤 변화가 필요할까. 원 본부장은 KISA와 보안업체의 취약점 분석과 평가 역량을 키워야 한다고 강조했다.
 
◇같은 공격으로 당하는 것은 제발 막자=그는 “KISA가 취약점 분석을 해왔지만 이를 동향지 형식으로 발표하다 보니 공개속도도 느리고 공개하는데 제한도 있다. 정작 민감한 부분을 두리뭉실 발표할 수밖에 없는 상황이 반복되다 보니 분석이나 평가도 점점 세밀해 지지 않는 문제가 발생하고 있다”며 “백신회사들도 마찬가지다. 악성코드 특징만 뽑아 백신이 방어해서 치료만 하면 되기 때문에 악성행위 자체에 대한 자세한 분석이 부족했다. 본질은 악성행위 자체를 구체적으로 알려주는 것이 중요하다. 취약점 분석과 평가를 구체적으로 해야 대응책이 나오는 것”이라고 설명했다.
 
그는 이렇게 구체적으로 분석 평가한 취약점들을 DB로 만들어야 한다고 강조했다. 물론 KISA에서 해외 취약점 DB를 수집하고 있지만 한국에 특화된 취약점 DB를 지금보다 더 구체적이고 체계적으로 DB화 해야 한다는 것이다. 특히 사건사고가 발생하면 경찰 수사가 종결된 후 KISA가 적극적으로 취약점을 수집해 DB화해야 한다고 강조한다.
 
원 본부장은 “DB화하는데 그치는 것이 아니라 이를 적절히 공유하는 것도 중요하다. KISA 원장님도 취약점 정보공유센터에 대해 계속 강조해 왔다”며 “해당 기관 혹은 기업에 맞게 취약점 자료를 커스터마이징해서 제공해야만 반복되는 사이버 침해사고를 줄일 수 있다”고 밝혔다.
 
현재 KISA는 악성코드 샘플을 백신기업에 이메일로 전달하고 있다. 하지만 제대로 반영됐는지 확인할 수 있는 시스템이 안돼 있다. 제대로 반영됐는지 자동으로 알려주는 시스템 체계도 만들어야 한다는 것이다.
 
이에 KISA는 취약점 DB 정보공유 시스템을 구축해 내년부터 서비스하겠다는 계획을 수립하고 내년부터 본격 준비에 들어갈 예정이다.
 
그는 “정보공유 시스템이 가동되면 상황전파문도 공유시스템으로 전달할 것이다. 사용자마다 필요한 정보가 다르다. 상황전파문이 필요한 곳, 악성코드가 필요한 곳, 휘슬·캐슬 패턴이 필요한 곳 등등 사용자를 엄격히 구분해고 악용방지를 위한 인증체계도 강화해 맞춤형 정보공유 체계를 만들 것”이라고 강조하고 “일방향 정보전달만 하는 것이 아니라 정보가 정확하게 전달됐는지 그리고 어떤 정보가 필요한지 파악해 전달하고 전달된 것이 제대로 적용됐는지 확인하는 체계를 만들 것”이라고 덧붙였다.
 
만약 KISA의 양방향 정보공유체계가 원활하게 이루어진다면 적재적소에 정보가 정확하게 전달되고 기업은 자신들이 원하는 정보를 선별해서 받을 수 있고 한편 정확하게 정보를 전달했음에도 불구하고 기업에서 제대로 적용하지 않았을 때 발생하는 사고에 대해 더 강한 책임을 물을 수 있다는 장점이 있다. 사실을 알고도 대응을 하지 못했다면 기업의 책임과 처벌은 더 커질 수 있다는 점이다. 이런 시스템을 통해 동일한 방법으로 당하는 사이버 침해사고를 줄여 결국 보안수준을 높이자는 것이 KISA의 목적이다.
 
활발한 정보공유 시스템을 구축하기 위해 해외 정보 수집뿐만 아니라 경찰과 국내 화이트해커와 적극적으로 공조하고 보상체계도 만들겠다고도 덧붙였다.
 
APT 이야기로 넘어갔다. APT 공격을 보안기업들과 사고발생 기업이 면피용으로 사용하고 있는 것 아니냐고 물었다. APT공격이었다면 사고를 당해도 떳떳해야 하는가. 
 
이에 원 본부장은 “백신의 특성상 알려지지 않은 패턴 공격은 잡기 힘들 것이다. 하지만 그 확률을 줄일 수는 있다”며 “그 방법은 어떻게 당했는지 정확한 정보를 공유하는 것이다. 지금은 전혀 안되고 있어 계속 비슷한 방법으로 당하고 있는 것이다. 직접 사고 조사를 한 경찰과 공조해 명확한 팩트를 기업들에게 알려줘야 한다. 그래야만 같은 패턴 공격에 반복해서 당하는 일이 줄어들 것이다. 또 정확하게 전달했음에도 불구하고 그에 대응하지 못한 기업은 더 큰 처벌을 받아야 한다”고 설명했다.
 
◇관제능력 업그레이드 필요해=한편 관제 회사도 장비나 분석능력이 고전적 수준에 머물고 있다는 이야기도 나왔다. 현재 IPS, IDS, ESM, 파이어월 등이 별도로 움직이고 있다는 것이다. 각 장비에서 탐지된 정보들이 유기적으로 공조가 이루어지지 않고 있다는 것이 문제다. 이 부분에 대한 관제 회사들의 노력이 필요하다.
 
또 최근 사고는 정상인을 위장해 타깃 시스템에 접근하기 때문에 이를 막기 위해서는 관제 서비스 체결시 관제 회사의 책임 범위를 명확히 하는 것이 중요하다고 덧붙였다. 한편 유입된 이메일 컨텐츠에서 악의적 링크가 삽입됐고 아웃바운드에서 악성링크와 매칭되는 것이 있다면 관제에서 잡아 줘야 한다고 원 본부장은 강조했다.
 
정보공유 시스템 구축 이외에 내년 KISA의 주요 사업은 어떤 것들이 있을까.
 
바로 스팸메일을 통해 유입되는 악성코드를 초기에 발견해 차단하는 기술이다. 원 본부장은 “현재 R&D를 진행 중이다. ISP와 포털 등에서 스팸으로 분류한 메일을 분석해 악성코드를 분석해 내는 것이다. 알려진 악성코드를 실행해 스팸에서 악성코드를 판별해 내는 것으로 이를 활용한 제품도 가능해 기술이전도 생각하고 있다”고 소개했다.
 
또 “웹하드 쪽 보안이슈가 많다. 웹하드 경유해서 유통되는 악성코드를 원격에서 점검해줄 예정”이라고 밝히고 더불어 “해외 해커 뿐만 아니라 맥아피, 시만텍 등 해외 기업들과의 정보공유도 활발히 할 예정이다. APT공격 방어 부분도 해외 장비의 기술적 우수점을 국내 업체에 소개하고 국내 기업들이 새로운 트랜드에 따라갈 수 있도록 지원할 예정”이라고 말했다.
[데일리시큐=길민권 기자]