2020-04-04 02:30 (토)
공격자는 내부PC 노리고…관제는 외부만 보고있고
상태바
공격자는 내부PC 노리고…관제는 외부만 보고있고
  • 길민권
  • 승인 2011.08.23 04:10
이 기사를 공유합니다

기업 내부 클라이언트 PC가 공격 타깃…백신으로는 한계
보안관제, 외부공격 국한시키기 보다 내부까지 확장 필요성 대두
SK컴즈 해킹사건도 그랬고 농협 해킹 사건도 그랬다. 최근 사이버 범죄자들이 노리는 것은 어려운 네트워크 해킹이 아니다. 그들은 타깃 기업 내부의 클라이언트 PC를 노리고 있다. 이런 상황에서 보안관제의 영역이 사이버 범죄자들이 노리는 타깃에서 많이 비켜있다는 의견들이 나오고 있다. 즉 보안관제 영역이 현재 외부 해킹감시에만 국한 될 것이 아니라 내부 클라이언트 PC단까지 영역이 확장돼야 한다는 주장이다.
(사진출처. www.flickr.com / by John-Morgan)
 
◇사이버 보안관제센터는 늘고 있지만=현재 올해 상반기까지 22개 중앙부처와 16개 광역시ㆍ도에 관제센터 구축이 완료된 상태다. 국가 사이버 안전관리 규정에 따라 공공기관 사이버 보안 관제센터 구축은 계속 늘어날 전망이다.
 
또한 민간에서도 개인정보보호법 시행에 따라 보안관제 수요가 늘어날 전망이고 금융권도 국민은행을 비롯해 신한은행, 우리은행, 농협 등 일부만 보안관제서비스를 받고 있었지만 다른 은행과 카드, 저축, 보험사 등까지 보안관제 서비스가 확대될 것으로 관련 업계는 보고 있다.
 
지식경제부에 따르면 올해 공공시장 보안관제 시장 규모는 350억원 규모이며 2014년까지는 2,000억원에 달 할 것으로 내다보고 있다.
 
또 지경부가 공공분야 보안관제 전문 업체 지정 요건을 대폭 낮춤에 따라, 20여개 이상 업체들이 보안관제 전문업체 지정을 받기 위해 애쓰고 있다. 이번에 지정되지 못하면 공공기관 보안관제 시장에 명함도 못내밀게 되기 때문이다.
 
현재 보안관제 전문업체 지정을 신청한 기업은 삼성SDS, LG CNS, 한전KDN, KTIS, 안철수연구소, 이글루시큐리티, 인포섹, 싸이버원, 에이쓰리시큐리티, 유넷시스템, 윈스테크넷, 어울림엘시스 등이며 더존정보보호서비스, 롯데정보통신, 제이컴정보, KCC정보통신 등도 합류할 것으로 보인다.
 
◇보안관제가 내부 클라이언트 PC까지 맡는다면=보안관제센터가 지자체마다 구축되고 기업들도 보안관제 서비스를 받는 것 자체는 당연히 긍정적 평가를 받아야 한다. 하지만 현재 상태로 보안관제를 한다면 농협과 SK컴즈와 같은 사건이 똑같이 발생했을 때 막을 수 있는 방법이 없다는 것이 큰 문제다. 자칫 보안관제 받아도 뚫린다는 공식이 고착화되면 전체 보안시장에도 악영향을 줄 수 있다.
 
이 문제에 대해 현재 대형 보안관제 업체 관계자는 “보안관제 영역이 외부 해킹을 막는데 주력하고 있기 때문에 앞으로 관제영역이 클라이언트 PC까지 확대되어야 할 것같다”고 말했다. 즉 보안관제 업체에서도 현행 보안관제 방식으로는 한계가 있다고 보는 것이다.  
 
얼마전, 김홍선 안철수연구소 대표도 기자간담회 자리에서 “관제영역에 한계가 있다. 범죄자들이 클라이언트 PC를 타깃으로 백신이 탐지하지 못하는 공격을 하게 되면 속수무책이다. 해당 영역은 현재 보안관제 영역이 아니다”라며 “앞으로 관제 영역의 확장이 필요하다고 본다”고 말했다.
 
기업이나 기관에서는 내부 PC까지 외부 용역업체에 맡긴다는 것이 여러모로 부담이 될 수 있다. 특히 직원들의 프라이버시 문제나 내부 상황을 모두 공개해야 하기 때문이다. 그래서 내부 보안은 보안팀에서 맡는 것이 맞다고 보고 있기도 하다.
 
한편 보안관제 업체 입장에서도 내부 PC단 보안까지 맡게 되면 그렇찮아도 보안관제 인력이 모자란 판에 영역이 확장돼 관제 인력이나 리소스가 빠져나간다면 부담이 아닐 수 없다. 또 더 큰 문제는 사고가 발생해 문제가 생겼을 때 법적인 문제가 발생한다면 더 골치아파진다. 바로 사고의 책임소재를 가릴 때 관제업체가 곤욕을 치룰 수 있기 때문이다. 자칫 대형 사고라도 발생한다면 중소규모 보안관제 업체로서는 감당하기 힘들 것이다. 그래서 보안관제 업체에서는 보안관제 영역 확장의 필요성을 느끼면서도 선뜻 나서기 힘든 이유다.  
 
하지만 결론은 현재 보안관제 방식으로는 한계가 있다는 것이다. 현재 내부 클라이언트 PC단 보안은 백신이 전담하고 있다고 해도 과언이 아니다. 주요 백신업체에서 내 놓은 통합보안관리 장비나 ISMS 제품군, PMS 등이 서포터하고 있긴 하지만 역부족이라는 견해가 크다.
 
모 보안전문가는 “현재 대부분의 APT 공격은 내부 직원 PC를 겨냥하고 있다. 내부 PC는 관제영역도 아니고 백신이 전담하고 있다고 봐야 한다. 하지만 공격자들은 해당 기업에서 어떤 백신을 사용하고 있는지 알고 있고 그 백신이 자신들이 만든 악성코드를 탐지하지 못한다는 것을 확인한 후 공격을 하기 때문에 백신으로 클라이언트 PC를 보호하기란 힘들 실정”이라고 말했다.
 
또 그는 “관제에서 변화가 필요하다. 관제가 PC단까지 커버해야 한다. 하지만 지금처럼 블랙리스트에 있는대로 움직인다면 공격을 잡아 낼 수 없다”며 “보안관제에 행위기반이 적용돼야 한다. 행위기반이 보안관제 솔루션과 정책에 적용돼야 하고 그것이 외부로 알려져서는 안된다. 공격자들이 테스트한 후 공격할 수 있기 때문”이라고 강조했다. 또 “트래픽도 분석할 수 있어야 한다”고 덧붙였다.
 
또 다른 전문가는 “내부PC까지 관제하게 되면 관제업체가 부담해야 할 법적인 한계를 어디까지 둬야 하느냐도 문제”라며 “보통 보안관제 업체는 체크리스트와 국제표준을 지켜 보안시스템을 구축하고 유지하는 일을 하지만 APT 공격에는 답이 없다. 괜히 내부까지 관제한다고 했다가 보안문제 생겨서 배상판결 나면 보안관제 업체는 망하게 된다”고 우려했다.
 
또 다른 관계자는 “최근 지자체에서 보안관제 센터를 구축하고 있는데 문제는 대부분이 관제업체 의존도가 너무 크다. 업체에서 모든 것을 해주기 때문에 업체 사람이 나와있지 않으면 속수무책”이라며 “관제업체 직원이 없는 사이 백신에 진단되지 않는 공격이 실행되면 그대로 뚫리는 것이다. 내부에서 관제 정직원을 두고 상시적으로 관리가 이루어져야 하고 행위기반으로 클라이언트 행위기반에 대해 기록이 뜨면 담당자가 직접 가서 체크해야 사고를 줄일 수 있을 것”이라고 조언했다.
 
즉 보안관제 업체 직윈이 그 일을 하기는 힘들다. 외부 용역 직원이 클라이언트 PC에 문제가 발생했다고 내부직원들에게 이래라 저래라 할 수 있는 상황이 안된다는 것이다.
 
모 보안업체 직원은 “사고가 발생해 고객사에 파견을 가보면, 업무가 끝날 때까지 기다리라고 한다. 그럼 기다려야 한다”며 “대기업이나 정부기관에 가서 용역업체 직원이 이래라 저래라 하는 것은 사실 힘든 일이다. 사내 보안팀이 가서 지시해도 싫어하는 것이 국내 보안현실”이라며 여전히 부족한 보안의식에 대해 안타까워했다.
 
◇풀어야 할 숙제들=보안관제가 클라이언트 PC단까지 확장하기 위해서는 해결해야 할 문제들이 많다. 행위기반은 어떤 프로그램이 포트를 오픈하고 쉘을 띄우는 일련의 과정이 일어나면 행동을 차단해버리는 방식이다. 하지만 문제는 아직 국내 행위기반 백신들이 오진이 많다는 점이다.
 
또 부족한 보안관제 인력을 어떻게 수급하느냐도 문제다. 기업 내부에서 관제를 컨트롤 할 수 있는 능력이 없기 때문에 대부분 파견관제를 원할텐데, 현재 확대되는 보안관제 서비스를 감당할 인력들이 충분한지 갑과 을 모두가 고민거리 일 것이다. 또한 보안관제 영역을 확장한다면 보안사고 발생시 책임 문제가 대두된다. 이를 어떻게 갑과 을이 풀어나가야 할지도 걸림돌이다.
 
그럼에도 불구하고 모 보안전문가는 “관제영역의 확장이 현재 APT 공격을 완벽하게 차단할 수 있다는 것은 아니다. 하지만 백신에만 의존하고 있는 내부 클라이언트 보안에 대한 대안으로 깊이 있게 논의해 봐야 할 문제”라고 강조했다. [데일리시큐=길민권 기자]