[박춘식 교수의 보안이야기] 작년에는 유난히 표적형 사이버 공격이 많아 많은 정부 부처나 기업에 있어서 시큐리티 대책이 시행되어 왔다. 실제로 피해를 입은 조직은 시큐리티 대책이 부족했던 것은 아니지만 대책상의 취약점에서 사건이 발생한 것도 있다고 추측되고 있다.
 
표적형 사이버 공격에 의한 사건 발생을 계기로 각 조직이 추진하려는 시큐리티 대책에 있어서 지금까지의 운용 상황을 보완하여 앞으로의 운영 방법을 검토하려는 단계에 있다고 생각된다. 표적형 사이버 공격은 목적을 달성하기 위해 특정의 조직 및 개인을 표적으로 메일 및 웹 사이트 등을 이용하여 이용자의 컴퓨터에 맬웨어를 설치하는 경우가 많다.
 
맬웨어를 설치하기 위해, 바이러스 대책 소프트웨어를 피해서 웹 브라우저, 문서를 참조하는 어플리케이션 등의 취약성을 활용하는 것이 많이 발견되고 있다. 이들의 침입 방법은 실행 형식의 것부터 이미 알려진 취약성을 활용하는 것, 간이한 것부터 복잡하며 고도의 기술을 이용하는 것이 있다.
 
이 중에 시큐리티 패치가 제공되고 있지 않는 상태의 제로데이 공격의 비율은 많지는 않다. 이 때문에 사용자가 도입하고 있는 기술적 대책을  충분히 작동하도록 하면 보호가 기대될 수 있는 것도 많다. 새로운 기능을 가지는 제품의 신규 도입도 하나의 수단이지만, 기존의 제품 대책이 충분히 발휘되고 있지 않은 상황에서는 사건 발생의 리스크 경감이 되지 않는 것도 있다.
 
표적형 사이버 공격 대책 전에 한번 더 자신의 회사나 조직이 채택하고 있는 기술적 대책이 작동하고 있는 지를 확인하도록 한다. 여기에서 그 중 하나인 바이러스 대책이 작동하지 않는 예를 다음에 표시한다.
 
◇조직 전체에서 맬웨어 대책을 하고 있지만, 관리되고 있지 않는 서버가 존재하여 대책이 이루어지고 있지 않다.
◇OS의 지원이 끊어진 제품의 관리가 되지 않는 상태에 있다.
◇네트워크 경계에서의 대책은 실시하고 있지만, End Point의 대책은 우선도가 낮다.
◇업무를 우선하기 위해 시큐리티 설정 레벨을 낮게 하고 있다.
 
이와 같이 기존의 기술적 대책이 작동하고 있지를 평가하고 필요에 따라 개선을 검토하지 않으면 안 된다. 이제, 조직이 구축한 정보 시큐리티 정책 등의 기술적인 관리책과 시큐리티 제품에 관련하는 항목으로부터 기술적 대책을 항목으로 추출하고, 제각기의 대책에 대해서 성숙도를 측정하는 평가 방법이 있다. 성숙도의 레벨은　COBIT의 성숙도 모델을 이용하여, “부재”인 곳에 대해서는 대책을 검토·도입하는 것으로 시큐리티 레벨이 향상된다.
 
또한 대책 레벨이 낮은 곳을 시각화하여 더 많은 향상을 꾀하는 것도 가능하게 된다. 기술적인 대책은 인적 의존도가 낮기 때문에 적절하게 사용함으로써 효과적으로 기능하게 된다.
 
시큐리티 대책 제품의 기능을 효과적으로 이용하기 위해서 네트워크, OS, 미들웨어를 안전하게 함과 동시에 적절한 설정을 할 필요가 있다. 하나의 대책으로써 제품의 적용처의 Good Practice와 조직의 대책의 설정을 비교하여, 괴리가 있는 점에 대해서는 평가·분석을 행할 것, 결과로써 잔존 리스크가 존재하는 경우에는 그의 인식과 대응 수순을 준비하도록 한다.
 
현황의 평가 보완 실시 후, 표적형 사이버 공격에 대한 더 많은 리스크를 낮추기 위해서는 감시에 의한 평상시와 비정상(이상)시를 식별할 수 있는 새로운 프로세서 등에 의한 대책이 가능하게 된다. 또한 정기적인 대책의 평가와 위협의 변화에 따른 리스크 분석 등을 계속적으로 실시할 필요가 있다.　
 
표적형 사이버 공격으로부터 기업을 지키기 위해서는 먼저 자기 회사의 대책이 작동하고 있는 지를 먼저 확인, 평가하고 피해를 고려하여 필요에 맞는 보완이 시큐리티 사고를 막을 수 있다. 자기 회사에 최적인 수단과 운용을 검토하고 시큐리티 대책 제품을 유효 활용한 기술적인 대책을 행하여 시큐리티 레벨을 향상시키도록 해야 한다.(ITmedia0202)
[박춘식 서울여자대학교 정보보호학과 교수]