2022-06-26 13:55 (일)
[박나룡 보안칼럼] 왜 해킹 공격은 막지 못할까?
상태바
[박나룡 보안칼럼] 왜 해킹 공격은 막지 못할까?
  • 길민권 기자
  • 승인 2022.04.05 03:32
이 기사를 공유합니다

인증 방식 강화, 접근통제 정책, 접근 권한 등에 대한 치밀한 관리가 중요

최근에 해킹 사고에 대한 뉴스가 증가하고 있다.

러시아 정부 요원으로 추정되는 이들이 2012∼2018년 135개국의 에너지 회사 수백 곳을 해킹해 전산 시스템과 설비 가동을 방해한 혐의를 받고 있다.

최근 전쟁으로 인해 우크라이나 최대 통신사인 '우크라이나통신공사(Ukrtelecom)'가 3월 28일(현지시간) 강력한 사이버 공격을 받았다는 뉴스도 보인다.

랩서스라는 해커조직에 의해 미국 반도체 기업 ‘엔비디아’와 삼성, LG, 마이크로소프트, 브라질 보건부 등 다양한 곳들이 해킹당해 내부 정보가 유출되었다고 한다.

블록체인 네트워크인 로닌 네트워크 일부가 해킹 돼 도난당한 암호화폐가 이더리움 코인 17만3천600여개와 USDC 2천550만 달러 상당으로, 현재 가치로 6억 1천500만달러(약 7457억원)에 달한다고 한다.

안타깝지만, 공격자가 원하는 목표가 있고(돈, 정치적 의도, 명예, 과시욕 등) 그것을 제공해 줄 수 있는 온라인 네트워크가 항상 존재하기 때문에 해킹 공격은 계속해서 발생할 수밖에 없을 것이다.

해킹사고가 왜 계속 발생하고 막지 못하는지에 대해 의문을 갖는다면, 왜 모든 인간은 건강하게만 살지 못하고 아픈 사람이 생겨나는지, 왜 사람들은 아직도 사기를 당하는지에 대한 질문들도 함께 고민해봐야 한다.

해킹 사고가 발생하지 않아야 한다는 요구가 얼마나 어려운 일인지를 이해해야 하고, 그에 대한 대응을 게을리한다면 더 많은 사고와 더 큰 충격으로 조직과 사회를 힘들게 할 것이다.

건강관리를 하지 않으면 더 많은 환자가 발생할 수 있고, 충분한 주의를 기울이지 않으면 더 많은 사기를 당할 수 있는 것과 같은 이치다.

따라서 보안담당자는 해킹 사고가 발생하지 않도록 최대한의 노력을 기울여 조직과 사회의 안전성을 확보해 나가야 한다.

해킹 공격에서 빼놓을 수 없는 공격 기법은 기술적 취약점을 통해 이루어진다는 것이다.

네트워크에 연결된 시스템들이 외부에서 취약점을 통해 침투하는 일반적인 방식은 소프트웨어나 네트워크 구조적으로 가장 단순하면서도 아직까지 강력한 공격 수단으로 활용되고 있다.

취약점이 없으면 좋겠지만, 비즈니스 요구사항에 따라 어쩔 수 없이 설치하거나, 개발, 운영해야 하는 소프트웨어 또는 OS의 특성에 따라 알려진 취약점과 알려지지 않은 취약점, 원격에서 공격이 가능한 취약점 등으로 인해 현재도 그렇지만, 앞으로도 없어지지 않을 공격 수단이다.

그나마 개발보안가이드와 취약점 공개 사이트를 통해, 알려진 방식의 취약점에 대한 정보를 확보할 수 있는 기회가 많기에, 이에 대한 패치만 적절하게 조치한다면 알려진 취약점에 대한 공격은 어느 정도 방어할 수 있을 것이다.

사실 가장 두려운 공격은 알려지지 않은 취약점을 이용하는 것이다.

특히 원격으로 공격이 가능하거나, 로컬에서 공격이 가능하지만 스마트폰과 같은 휴대용 디바이스에서 작동하는 공격 수단은 가장 많이, 가장 이슈가 되고 있는 공격 포인트로 활용되고 있다.

이는 효과적인 모니터링 방안을 마련하여 최대한 빨리 발견하는 것을 목표로 하는 것을 고려할 필요가 있다.

모든 것을 모니터링 하는 것은 어렵지만, 중요한 부분에 대한 모니터링을 집중적이고 치밀하게 관리한다면 공격 목적이 이루어지기 전에 막을 수 있는 부분이 있을 것이다.

관리적 취약점으로 발생하는 공격도 간과할 수 없는 부분이다. 최근에는 관리적 취약점과 기술적 취약점을 함께 활용하는 공격이 보편적으로 사용되고 있다.

일반 이용자가 간과하기 쉬운 부분을 통해 필요한 정보를 수집하고, 그 정보를 활용해서 기술적 공격을 수행하는 방식이 일반화되고 있는 것이다.

보통 다크웹 등을 통해 이미 유출되어 쉽게 접근이 가능한, 조직의 이메일 주소나 휴대폰 번호를 수집하고 악성코드가 포함된 이메일, 메시지를 보내면 이를 확인한 이용자의 디바이스에 악성코드가 실행되면서 디바이스의 통제권을 확보할 수 있다.

이를 통해 공격자가 원하는 방식의 자료 유출이나 추가적인 공격이 가능한 취약점이라고 할 수 있다.

이용자의 보안 인식 수준을 높여서 ‘이상한 파일’을 다운로드 받지 않도록 주의를 주는 방식은 가장 기초적인 수단으로, 조직의 모든 직원들이 높은 인식 수준을 가지고 악성코드에 감염되지 않을 거란 기대는 매우 이상적이다.

따라서 불편함을 어느 정도 감수하고 시스템과 통제 수단을 적절하게 활용하는 방식으로 현실적인 보호 장치를 만들 필요가 있다.

가장 간단한 방어 기법은 인증 방식을 강화하는 것이다.

패스워드를 복잡하고 유추하기 어렵게 하는 노력을 2Factor 인증 방식(지식 기반+소유 기반)으로만 변경해도 강력한 효과를 발휘할 수 있다.

VPN이나 회사의 그룹웨어, 주요 관리 시스템에 대한 인증을 강화하는 것은, 사용의 불편함을 고려할 단계를 넘어선 패스워드의 진화형으로 인식해야 한다.

또한, 접근통제 정책과 접근 권한에 대한 치밀한 관리도 도움이 된다.

꼭 필요한 인원만 사용할 수 있도록 최소 접근 원칙을 적용해서 중요도에 따라 접근통제를 적용하고 권한 관리를 적용하여 원천적으로 접근인원을 최소화하는 것이 필요하다.

이 외에도 다양한 공격과 방어 방법들이 존재하지만, 다행스러운 건 우리나라의 경우 관련 법률이나 시스템으로 정보보호 수준을 지속적으로 끌어올리고 있다는 점이다.

다만, 이러한 일련의 활동들은 체계적으로 이루어져야 하고, 그 기준은 조직의 보호 필요성과 가지고 있는 정보나 보호 대상의 중요도에 따라 정보보호 수준의 레벨(강약)을 맞출 필요가 있다는 점이다.

또한 기술적, 관리적, 물리적인 활동 영역들에 대해 일관성을 유지해야 하고 보호 대상에 대한 보호 수준을 충분히 고려할 필요가 있다.

기술적 취약점에 대해서는 상당한 수준으로 관리하지만, 물리적 통제가 미흡한 경우 또는 그 반대의 경우 공격은 보호 수준이 낮은 곳을 통해 쉽게 뚫릴 수 있기 때문이다.

박나룡 보안전략연구소장
박나룡 보안전략연구소장

배를 항구에만 정박해 두려고 만들지 않은 것처럼, 조직과 사회가 그 목적에 맞는 역할을 수행해 나갈 수 있도록 공격이라는 파도와 폭풍우에 맞서 탐지하고 막아내는 활동들은 창과 방패의 싸움처럼 계속해서 진화해 나가야 할 것이다.

[글. 박나룡 보안전략연구소 소장 / isssi@daum.net]

★정보보안 대표 미디어 데일리시큐!★


관련기사