블루코트의 브라이언 컨토스 지능형 위협 보안 그룹 부사장이자 CISO는 한국정보기술연구원 산하의 BOB센터에서 BOB 교육생과 보안전문가를 대상으로 ‘지능형지속보안위협과 그에 필요한 전략’이라는 주제로 특별강연을 했다.
브라이언 컨토스 부사장은 “인터넷이 지난 1998년에 등장하면서 해커들의 공격도 함께 시작되었다. 인터넷이 대중화 되며 삶을 보다 편리하게 변화시키고 있지만, 이를 나쁘게 활용하는 사례들도 같이 늘어나고 있는 것이다. 이러한 문제를 해결하기 위해 전세계 국가들이 사이버 테러 대응에 많은 노력을 하고 있다”고 말했다.
특히 사이버 범죄 조직들도 보다 조직적이며 전문화되고 있다. 공격자들은 상근직 전문 해커들을 고용해 특정 기업이나 사이트들을 공격하고 있다. 특히 SEO(서치엔진최적화) 기법을 사이버 테러에 악용해 자연재해나 최신 영화, 연예 사회 토픽 등을 일반인들이 검색하면 악성코드인 멀웨어가 심어져 있는 사이트로 연결되어, 개인 컴퓨터를 감염시킨다. 이런 식으로 전세계의 수많은 감염된 컴퓨터를 이용하여 한꺼번에 엄청난 규모의 사이버 테러가 실행되며 아마존이나 구글을 사용하는 것보다 많은 트래픽을 차지하기도 한다.
또한 인터넷을 통한 컴퓨터 해킹을 투쟁 수단으로 사용하는 핵티비스트(Hacktivist) 집단이 자신들의 목표를 이루고자 일반 기업의 사이트와 시스템을 공격하는 사례도 증가하고 있다고 강조했다.
해커들의 표적도 다변화하고 있다. 과거 해커들의 표적은 대기업과 대형 금융기관이나 방송국 등으로 한정됐지만 최근 해커들은 중견중소기업 및 지방 정부를 대상으로 해킹을 시도하고 있다. 기존에 공격을 경험한 대형 기업들이 보안 체계를 강화한 것에 비해 중소중견기업 및 지방 정부들은 해킹에 대한 대비는 충분하지 않기 때문이다.
또한 점점 교묘해지는 보안 사고들로 관리자들은 물론, 사용자들도 위험 상황에 노출되고 있다. 예를 들어 메일에 담긴 링크 열기나 문서 다운로드, 외견상 실제 엑셀 스프레드시트와 똑같은 문서의 열람, 피싱 사이트 접속, 또는 전화기 너머로 누군가에게 패스워드를 발설하는 일 등이다. 업계는 이러한 ‘특정 개인을 공격하는 것’을 제어하는 방안을 고민하고 있다. 개인화 된 공격을 위해 해커가 투자하는 비용이 낮아지고 있으며, 이러한 공격을 막기 위해 보안 업체들은 보다 인적요소를 고려한 개인 사용자에 맞춤화된 방어 기술을 구축하는데 더 많은 노력이 필요하다고 강조했다.
IPv6 공격 대비 필요성도 거론됐다. 차세대 인터넷 주소 표현 방식인 'IPv6(internet protocol version 6)'에 대한 대비도 필요하다. 우리는 일상생활에서 IPv6를 사용하고 있지만 기업들은 이전 버전인 IPv4를 기반으로 방화벽을 구축했다. 특히 IPv4 주소는 43억 개로 한정적이지만 IPv6 주소는 거의 무한대다. 그러나 IPv6에 대한 방화벽을 구축하지 않은 기업이 많아 해킹을 시도할 경우 기업은 무방비로 당할 수 있다. IPv4가 현재 소진된 만큼 IPv6의 확산에 따라 향후 등장할 보안문제에 대해서도 지속적인 관심이 필요하다. 특히 인터넷 환경이 장기간 IPv4와 IPv6가 공존할 것으로 예상되는 만큼 기업의 보안관리자 및 담당자들은 이에 대해 충분히 인지하고 대비를 해둬야 한다.
한편 급증하고 있는 APT(Advanced Persistent Threat) 공격은 해커가 시스템에 침투해 장기간 잠복하며 정보를 지속적으로 빼내는 방법이다. 이러한 APT 공격은 사용자 및 기업들이 검색엔진과 이메일, 소셜 네트워킹 등의 인터넷 프로그램 활용이 증가하면서, 악성코드가 침입할 경로가 다양해져 상대적으로 방어가 안되고 있다. 특히 이러한 공격의 경우 오랜 기간 매우 정교하게 공격을 준비한 정황들이 확인되고 있으며 실제 하드디스크 파괴 등의 행위가 발생하지 않았다면 훨씬 더 오랫동안 문제가 발견되지 않았을 가능성이 높아 이에 대한 방어시스템의 필요성이 더욱 대두되고 있다.
이러한 APT 및 정보유출 공격을 위해서 가장 일반적으로 사용되는 것이 멀웨어(Malware)인 악성코드다. 블루코트 보안연구소에 따르면 실제 모든 웹 공격 중 2/3는 악성코드를 통해서 발생했으며 2012년 기준 전년대비 240%가 증가할 만큼 악성코드의 확산은 폭발적이다. 이러한 악성코드는 웹이나 메일을 통해서 전파되는 것이 가장 일반적인데 이는 다른 방법에 비해서 악성코드를 전파하기 쉽고 또한 웹이나 메일은 기본적으로 공개되어 있는 서비스이기 때문이다. 특히 웹의 경우 웹 브라우저(IE, 크롬, 사파리 등) 및 다양한 응용 애플리케이션(자바, 어도비, 한글HWP 등)의 취약점을 이용한 악성코드 전파가 주로 활용되고 있다.
APT 공격 대응 현황을 살펴보면, 블루코트가 최근 전세계에 구축된 자사의 네트워크 트래픽 측정 시스템의 데이터 분석 결과, 지능형 지속 공격으로 인한 데이터 유실의 평균 비용은 222달러(내부과실로 인한 데이터 유실 비용 대비 27% 많은 수치)였으며, 지능형 지속 공격이 발견되기까지의 평균 80일이 소요되었다. 최종적으로 보안 위협 상황을 해결하는 데에는 평균 123일이 걸린 것으로 조사됐다.
브라이언 컨토스 부사장은 “모바일을 포함한 모든 기기에서 인터넷을 사용하고 있으며, 데이터 양과 인터넷 주소가 폭발적으로 증가하면서 보안 사고도 보다 지능화되고 자주 발생하고 있다. 이처럼 아무리 벽을 높이 쌓아도 모든 위험 상황을 예방할 수는 없다. 이러한 상황에 대응하기 위해서는 위협 요인을 가능한 빠른 시간 안에 탐지하고 대응할 수 있는 ‘네트워크상의 CCTV’인 지능형 통합 보안 시스템을 구축해야 한다”고 강조했다.
또한 “이처럼 사이버 공격 방식이 점점 진화하고 있는 상황에서, 단일 보안 솔루션만으로 진화하는 APT 공격을 방어하는 데에는 여러 한계점이 존재한다. 보안의 특징상 999개의 공격을 아무리 잘 막아도 단 1개의 취약점 및 악성코드로 사내 보안이 뚫린다면 기존의 차단은 무용지물이 된다. 보다 완벽한 방어를 위해서는 전방위적으로 보안 위협 요인을 탐지하고 대응이 가능한 통합적인 지능형 보안 시스템 구축이 반드시 필요하다”고 강조했다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
