APT 공격은 보안에 대한 우리의 습관에 허를 찌르는 것에서부터 시작한다. 지인의 계정으로 메일을 보내고 그 메일 속에 악성코드를 숨기는 것, 혹은 타깃 조직에서 사용하는 백신이 무엇인지 파악한 후 그 백신이 잡지 못하는 제로데이 악성코드로 공격을 시작한다.
 
하지만 우리의 보안은 알려진 공격에 초점을 맞춰 보안장비를 사들이고 보안점검을 실시하고 있다. 보안업체들도 알려진 공격을 잘 막으면 보안이 된다고 선전하며 장비들을 팔고 있다.
 
이경호 고려대 교수는 “기존에 대비하고 있는 중요정보 침해에 비해 임펙트가 큰 알려지지 않은 중요정보 침해에 대한 관리가 필요하다”고 22일 프레스센터에서 열린 관리자를 위한 해킹보안세미나에서 강조했다.
 
알려진 공격은 ID/PW 도용, 툴에 의한 해킹 등과 같이 잘 알려지고 빈번히 일어나는 정보 침해 공격을 말한다.
 
알려지지 않은 공격은 알려지고 기록되지 않은 취약점을 타깃으로 일어나는 공격으로 이러한 유형의 공격을 막기 위해서는 비정상행위탐지를 사용해야 한다.
 
이 교수는 “현재 우리는 알려진 공격에 대한 투자는 30% 이하이고 대부분 기업이나 기관들이 알려진 공격에 대비한 투자를 하고 있는 것이 문제”라고 지적하며 “관리자들은 우리기업에서 사용하고 있는 보안솔루션이 얼마나 알려지지 않은 공격에 대응할 수 있는지 체크해봐야 한다. 보안관련 투자를 제대로 하고 있는지를 알아보라는 것”이라고 설명했다.
 
더불어 “알려진 공격은 시스템적으로 얼마든지 막을 수 있는 정립된 공격이다. 반면 알려지지 않은 공격은 끊임없이 모니터링하고 반대로 사고하고 분석하는 체계가 필요하다”며 “이를 위해서는 숙련된 전문가가 필요하다. 기존 틀을 깰 수 있어야 한다. 공격이 100번이면 90번이 알려진 공격이라면 나머지는 알려지지 않은 공격이다. 이를 분석해 낼 수 있는 전문가들이 필요하다”고 강조했다.
 
특히 숙련된 전문가의 요건으로는 공격에 대한 변종이 공개되기 전에 찾아낼 수 있는 전문가를 말하며 언더그라운드 해커그룹과의 정보공유가 가능한 인력, 직접 검증 및 테스트가 가능한 인력들이라고 밝혔다.
 
이 교수는 또 “새로운 환경에 빠르게 대응하지 못하는 기술 및 시스템은 무용지물이다. 플랫폼적인 접근을 통해 새로운 환경에 대응해야 한다”며 “플랫폼 구축 및 응용 로직의 유연성 확보와 새로이 등장할 모든 신기술 디바이스의 로직을 수집, 분석할 수 있는 데이터 수용능력 확보가 중요하다”고 설명했다.
 
즉 현재의 인력 및 기술로는 신종, 변종 공격패턴 출현 시 즉각적인 대응이 어렵다. 신-변종 공격패턴, 제로데이 공격이 발생하면 기업의 보안리스크는 급속도로 올라간다. 현재 우리는 이때를 대비할 디펜스 능력이 없다. 특히 취약점 패치가 나오기 전까지 방어를 위해서는 숙련된 전문가의 지속적인 모니터링이 필요하다. 이 부분도 현재 우리가 취약한 부분이다. 기존 보안시스템을 통한 방어는 취약점 패치가 나온 이후 공격에 대해서 방어하는 수준이다.  
 
임팩트가 강한 신-변종 취약점이 발생하면서 급속도로 리스크가 올라 가는 초기부터 취약점 패치가 나오기 전까지 우리는 무방비로 당하고 있다고 봐야 한다. 이 부분에 대한 투자와 전략이 필요하다.
 
이 때문에 글로벌 동향을 보면 솔루션 중심에서 행위기반의 정보보호로 변화하고 있다. 솔루션 기반의 정보보호는 항상 보안우회 가능성이 존재한다.
 
이 교수는 “개별 보안장비를 통한 보안대응은 이미 알려진 공격 패턴 외의 공격에 쉽게 우회할 가능성이 높으며 우회 시 침해행위를 추적하기 어렵다”며 “행위기반의 정보보호는 보안예방 및 탐지가 용이하고 침해 행위에 대해 다양한 행위 패턴 분석과 대응으로 공격자를 정확하게 탐지할 수 있다”고 설명했다.
 
또 그는 “최근 S사는 높아진 보안 위반의 원인을 솔루션 기반의 정보보호 체계로 인식하고 정보보호 체계를 전면 재검토하고 있다”며 “기존 정보보호 솔루션에 행위 기반 정보보호체계를 구축함으로써 추가적인 비용소요 없이 기존의 정보보호 체계를 안정적으로 개선할 수 있을 것”이라고 밝혔다.
[데일리시큐=길민권 기자]