2019-11-21 01:15 (목)
[김혁준 칼럼] 사이버전의 역사(8) - 역사는 반복되는가
상태바
[김혁준 칼럼] 사이버전의 역사(8) - 역사는 반복되는가
  • 길민권 기자
  • 승인 2019.09.09 10:22
이 기사를 공유합니다

공격자 공격 경로 예측보다 적의 공격으로 발생한 현상의 관측에 집중해야
그림 1. 2차 세계대전 당시 독일군 진격 경로
그림 1. 2차 세계대전 당시 독일군 진격 경로

침해사고대응 전문기업 나루씨큐리티 김혁준 대표가 데일리시큐를 통해 <사이버전의 역사>를 주제로 연재를 진행하고 있습니다. 바쁘신 가운데 기고 수락해 주신 점 감사드립니다. ‘사이버전’을 주제로 김혁준 대표와 데일리시큐 독자간 의견교환과 정보공유를 할 수 있는 소중한 시간이 되길 바랍니다. -편집자 주-

승리한 전쟁에서 공격자는 새로운 아이디어로 방어자가 미처 생각하지 못한 빈틈을 노린다. 병자호란 당시 청나라는 1636년 12월 2일 12만 8천의 대군을 이끌고 선양을 출발하여 12월 8일 조선의 국경을 침범하였다. 당시 의주성을 방어하던 의주부윤 임경업 장군은 병력 삼천을 이끌고 북으로는 의주, 남으로는 용천과 피현 일대의 사방을 굽어볼 수 있는 천혜의 요새 백마 산성으로 이동하여 조선의 심장부로 진격하고 있는 청나라 군대를 저지하고자 산성 중심의 거점 방어 전술을 사용하였다.

당시 조선군은 9년 전 발생한 정묘호란과 같이 청군이 순차적으로 지역 거점을 확보하며 한양으로 내려올 것이라 예상하였으나 청군은 곧바로 수도 한양으로 향하여 개전 6일 만인 12월 10일 한성 근교에 도착하였고, 이후 남한산성으로 급히 파천한 인조는 이듬해 1월 30일 삼전도에서 만주족 황제 청 태종에게 세 번 절하고 아홉 번 머리를 조아리는 의식을 통해 항복을 선언하게 된다.

이로부터 약 200년 후 지구의 반대편 프랑스에서는 독일의 침략에 대응하기 위해 1차 세계대전 당시 참호전으로 수많은 장병을 잃은 경험을 바탕으로 당시로는 천문학적 예산인 160억 프랑을 사용하여 난공불락의 요새인 마지노선을 구축하였다. 당시 마지노 요새는 1차 세계대전 당시 독일의 침공 경로인 독일과 프랑스 사이에 최대 3.5m 두께의 콘크리트 보루를 국경을 따라 설치하고 참호 내부에 대전 차호, 각종 포대, 지휘소, 탄약고, 식량창고 등 당시 최고의 기술이 집대성된 당대 최강의 요새였다. 그러나 2차 세계대전이 발발하자 독일군은 마지노 요새를 우회하여 벨기에의 저지대를 통해 프랑스로 진격하였고 공격 시작 6주 만에 프랑스의 수도 파리를 점령하였다.

공격자는 방어자가 미처 생각하지 못한 아이디어를 사용하여 승리할 수 있으나 방어자는 아이디어로 승리할 수 없으며 오직 압도적인 전력으로만 승리할 수 있다. 이는 마치 성을 쌓을 때 공격이 발생할 지점을 예상하고 그 부분을 특별히 강하게 구성한다 해도 나머지 부분에 미처 고려하지 않은 취약점이 존재하여 이를 통해 방어체계 전체를 무너뜨리는 것과 같다.

현재 대한민국의 정보보호 방어체계는 2013년 발생하여 국내 방송 및 금융권 총 3만 2천대의 컴퓨터를 마비시킨 3.20 사이버테러에 대한 맞대응 체계로 구성되었다고 해도 과언이 아니다. 공격 발생 후 정보보호 대응 사상 처음으로 청와대를 중심으로 16개 관계부처 합동으로 국가 사이버 안보 종합대책을 수립하여 이러한 공격의 재발을 막고자 하였다. 대책 수립 2년 뒤인 2016년 가장 높은 수준의 보안이 요구되는 국방 네트워크에 침해사고가 발생하여 인터넷 PC 2천5백대, 인트라넷 7백대 등 총 3천2백대의 군내부 컴퓨터가 해킹되고 대량의 정보가 외부로 유출되는 사고가 발생하였다.

이 두 사고는 기술적으로는 시스템 파괴, 정보유출이라는 별개의 공격 형태로 보이나 공격의 시초가 된 초기 공격 벡터를 돌아보면 놀라운 유사성이 발견된다. 당시 공격자는 소프트웨어 최신화를 위해 설치된 PMS(패치 관리시스템)을 공격하여 단기간에 다수의 컴퓨터를 장악하였고, 이를 통해 손쉽게 공격 목적을 달성하였다. 만약 공격자가 이러한 방법을 사용하지 않고 내부망 침투 후 컴퓨터를 하나하나 장악해 나갔다면 공격의 결과는 당시 나타난 것과는 매우 다르게 나타났을 것이다. 2016년 발생한 국방망 해킹의 경우 공격 대상이 된 패치 관리시스템의 소프트웨어만 다를 뿐 전술적으로는 동일한 공격을 수행하였다. 지난 2년간 수백억 원의 투자가 무색하게도 기술적으로 상이하지만 전술적으로 동일한 공격 방식에 다시 한번 부끄러운 패배를 기록하게 되었다.

이는 마치 400년 전 병자호란, 200년 전 마지노선 전투에서와 같이 적의 공격 경로를 예측하고 수년 동안 만반의 준비를 하였지만 공격자는 약간의 경로 변화를 통해 지역방어체계를 무력화시킨 것과 같다. 이러한 문제점은 현재의 방어체계가 구조적 강성에 대한 고민 없이 기존에 발생한 기술적 문제점을 해결하는 것에 초점이 맞추어 있는 까닭이다.

공격자는 표면을 지배하고 방어자는 공간을 지배한다. 공격의 주도권은 항상 공격자에게 있기에 방어자는 공격이 발생하기 전 먼저 공격행위에 대응할 수 없다. 또한 대한민국과 같이 IT 인프라에 의존성이 높은 국가는 마치 무한한 공격 표면을 가지고 있는 것과 같아 언제 어디서 어떤 공격이 발생할 것인 가를 매번 올바르게 예측할 수 없다. 만약 적의 공격을 한번 올바르게 예측하였다고 해도 현재와 같이 지속적으로 공격을 수행하며 각 공격에서 얻어진 정보를 무기화하는 조직 앞에서는 이러한 예측이 되려 방어체계 정보를 적에게 알려주게 된다.

방어체계 구성에 있어 압도적인 전력을 확보하기 위해서는 먼저 사이버 공간과 이의 구성요소에 대한 정확한 이해가 선행되어야 한다. 이러한 이해를 바탕으로 아군과 적군 모두에게 적용되는 제약사항을 파악하고 공격자의 공격 경로를 예측 하기보다는 적의 공격으로 발생한 현상의 관측에 집중하여야 한다. 또한 이러한 관측이 공격의 목적이 달성된 후 이루어지는 것은 무의미 하기에 공격 첫 단계의 제어를 통해 이후 발생하는 모든 단계를 효과적으로 통제할 수 있어야 한다. 이를 위해 단순히 데이터 간의 연관성 분석을 넘어 단계별 공격행위에서 발생하는 현상의 원인과 결과 기반의 대응 모델을 도출하고 이를 통해 공격자와의 대결에서 승리하기 위한 압도적인 전력을 확보하여야 한다.

<참고문서>
1. https://ko.wikipedia.org/wiki/%EB%A7%88%EC%A7%80%EB%85%B8_%EC%84%A0
2. https://blog.naver.com/mc341/70140381029

필자. 김혁준 나루씨큐리티 대표
필자. 김혁준 나루씨큐리티 대표

[필자. 김혁준 (주)나루씨큐리티 창업자 및 대표이사 / joonkim@narusec.com / △경찰청 사이버범죄 전문가 그룹 자문위원 △정보통신망 침해사고 민관합동 조사단 전문가 △국방데이터센터(DIDC) 자문위원 △한국블록체인협회 보안분과위원(내부망보안, 보안아키택처) △2017/2018 IITP 정보보호 R&D 기획위원회 위원 △고려대학교 사이버국방학과 출강 △(전)사이버사령부 자문위원 △(전)한국인터넷 진흥원 침해사고대응센터 연구원 △알버타 주립대학교 Prediction in Interacting System 센터 연구원 △알버타 주립대학교 컴퓨터공학과 졸업 △2018년 사이버치안대상 감사장 수상 △2008 FIRST Security Best Practice 수상 △네트워크 보안모니터링 외 2권 번역 △사이버전 전장환경 및 네트워크 분석 관련 논문(6) △국제특허 1건을 포함한 3건 보유 8건 출원 △나루시큐리티는 타깃공격대응 전문기업으로 침해사고 원인규명을 위한 사이버킬체인 기반의 사고분석 및 재발방지를 위한 보안아키텍처 수립 방안을 제공하고 있다. 자체 개발한 내부망타깃공격 전문대응솔루션 '컨텍텀(ConnecTome)'과 침해사고대응훈련서비스를 국내외 공공기관 및 기업 등에 제공하고 있다.]

★정보보안 대표 미디어 데일리시큐!★

[PASCON 2019 개최]
하반기 최대 정보보안/개인정보보호 컨퍼런스 PASCON 2019
7시간 보안교육 이수 및 2020년 대비 보안실무 교육
-무료사전등록: https://www.dailysecu.com/form/register.html?form_id=1548736920

 


관련기사