[특별기고] 지금으로부터 25 년 전 1988 년 11 월 2 일 미국 코넬대학교 학생이던 로버트 모리스에 의해 제작된 모리스 웜(Morris Worm)은 당시 인터넷의 삼분의 일 이상의 컴퓨터를 감염시켰으며 이를 통해 인터넷의 신뢰관계 모델이 침해사고 대응에 효과적이지 않다는 것이 확인되었다.
 
이러한 문제점을 인지한 미국 정부는 USCERT/CC1를 설립하여 국가수준의 인터넷 위협대응 체계를 구성하였다. 한편 2003 년 1 월 25 일 대한민국에서는 MS-SQL 슬레머 웜의 공격으로 대한민국의 인터넷이 마비되는 사상 초유의 사태가 발생하였고 이를 계기로 인터넷 침해사고 대응을 총괄하기 위한 인터넷침해사고대응지원센터(KISC)가 설립되었다.
 
이러한 예를 통해 보여진 것과 같이 정보보호는 침해사고 대응업무를 통해 IT 시스템관리의 하부영역에서 정보보호만의 독자적인 영역을 인정받게 되었다. 이후 정보보호의 범위는 침해사고대응업무를 넘어 인증, 개발 등의 다양한 영역으로 확장되어 왔으며 명실공히 국가 및 기업의 정보자산에 대한 위험관리체계로 자리잡게 되었다.

 
그러나 2009년 7월 7일 대한민국과 미국의 정부, 금융 및 민간 주요 웹사이트를 대상으로 발생한 분산서비스거부공격을 시작으로 지속적으로 발생하고 있는 침해사고와 이를 통해 발생하는 천문학적 피해는 국내 정보보호 산업이 본연의 업무를 정상적으로 수행하고 있는가에 대한 많은 의구심을 일으켰다.
 
특히 2011년 4월 발생한 농협 해킹사건은 최고의 보안수준을 유지하고 있는 제1금융권에 대한 타겟공격으로 수백억원 이상의 피해를 발생시켰으며 2013년 연이어 발생한 3.20 및 6.25 사이버테러는 이러한 불안감을 정보보호의 현주소로 인지하게 되는 계기가 되었다.
 
그림1은 1998년 구소련정부가미국방성(Pentagon), 미항공우주국(NASA), 미에너지성(US. Department of Energy) 대상으로 정보유출공격을 수행한 Moonlight Maze 2를 필두로 2013년까지의 타겟형 침해사고를 나타내고 있으며 이러한 유형의 공격이 2009년 이후 급증하는 현상을 보여주고 있다. 지속적인 사고발생의 근본적인 원인을 이해하기 위해서는 현대사회에서의 정보보호의 역할, 현재의 침해사고대응 구조를 만들어낸 위협 그리고 이를 무력화하도록 진화한 현재의 위협에 대한 이해를 필요로 한다.
 
◇정보보호와 위협대응
현대사회에서 정보보호는 비즈니스 연속성 보장 관점에서 운영되며 정보자산에 가해지는 위험을 판별하고 이를 효과적으로 관리하기 위한 위험관리체계에 기반을 두고 있다. 정보보호에 있어 위험은 아래와 같이 정의된다.

 
위의 세가지 구성요소 중 공격진화의 관점에서 정보자산(Assets)과 취약점(Vulnerability)은 정보보호를 수행하는 기관의 내부요소이며 나머지 요소인 위협(Threat)이 변화하는 공격을 정의하기 위한 요소이다.

 
위협은 정보보호 수행기관의 외부요소로 공격자의 능력(Capability)과 공격의도(Intenstion)로 나누어 진다. 기존의 침해사고대응체계는 위협대응에 있어 공격자의 능력에 초점을 맞추어 진행되어 왔다. 이는 앞에서 언급된 모리스웜, SQL 슬래머 등 주요 공격들이 인터넷이 상업 네트워크로 성숙하기 전 인터넷 자체의 기술적인 문제점에 흥미를 가진 개인들에 의해 발생한 원인에서 찾아볼 수 있다.
그러나 2000년 후반 발생한 공격들은 모두 공격국가 혹은 사이버범죄 단체에 의해 수행되었으며 금전적 혹은 정치적 목적을 이루기 위한 명확한 공격의도(Intention)을 가지고 있다는 특징이 있다. 명확한 목적을 가진 타겟공격은 공격기술 보다는 목표 중심으로 움직이며 따라서 뛰어난 해커로 명성을 얻기 위한 새로운 공격기술의 소개 보다는 다양한 공격기술의 전략적 운용을 통해 소기의 목적을 달성하는 것에 주안 점을 두는 특징이 있다.
 
캐나다의 침해사고 분석기관인 인포메이션 워페어 모니터(Information Warfare Monitor)는 2009년주중한국대사관이 정보유출 피해대상지 중 하나로 알려져 있는 고스트넷(GhostNet3) 침해사고에 대한 보고서를 발간하였다. 보고서에 따르면 이 공격은 중국인민해방군에 의해 수행된 것으로 티벳망명정부에 대한 정보수집을 위해 103개 국가 최소 1,295개의 컴퓨터를 대상으로 수년간 지속적으로 수행된 사이버작전이었다는 것으로 밝혀졌다.
 
또한 2010년 미국 구글사(Google Inc.)에 의해 세상에 처음 알려진 오퍼레이션오로라(Operation Aurora) 역시 구글, 어도비(Adobe) 등 다수의 민간기업과 노드롭 그루먼(Northrop Grumman),  록히드마틴(LockheedMartin)과 같은 군수업체를 노린 대표적 타겟공격이며 이러한 형태의 공격이 세계적 그리고 경향으로 자리잡고 있으며 대한민국 역시 예외가 아니라는 것은 2009년 농협사이버테러, 3.20 및 6.25 사이버테러를 통해 확인되었다.

이러한 예시에서 보여진 것과 같이 인터넷 초창기의 침해사고는 개인적, 기술적 동기를 가진 연구자가 금전적, 정치적 목적보다는 기술적인 목적을 달성하고자 하는 의도를 가지고 있다면 현재의 침해사고는 금전적, 정치적 공격목적을 가진 공격자의 전략적 행위를 통해 사이버공간에서의 소기의 목적을 달성하기 위해 진행된다는 특징을 가지고 있다. 따라서 수많은 예산과 인력을 투입하고도 지속적으로 국가적 규모의 침해사고를 겪는 원인은 변화하는 위협에 따라 진화하지 못하는 침해사고 대응체계에 그 원인이 있다고 할 수 있다.
 
◇침해사고 대응현황
최근 발생하고 있는 타겟형 침해사고는 지능형지속공격(Advanced Persistent Threats)의 형태를 가지고 있다. 지능형 지속공격이란 명확한 공격의도를 가진 공격자가 공격대상을 선정한 뒤 지속적인 공격을 통해 목표대상의 가장 취약한 지점에 대한 초기 침해를 성공시킨 후 이를 통해 점유된 컴퓨터에 지속적으로 접근할 수 있는 명령제어 인프라를 구축하고 이를 통해 동일 네트워크에 위치한 공격대상 컴퓨터로의 내부이동, 정보탈취, 혹은 시스템파괴 등의 일련의 작업을 수행하게 된다.
 
이러한 공격의 대표적인 예로는 2013년 3월20일 발생하여 약 6,000여대의 컴퓨터를 파괴한 3.20사이버테러가 있다. 이 공격은 KBS, MBC, YTN 등 방송사, 신한, 제주, 농협 등 금융기관의 전산망이 마비된 사건으로 특히 농협의 경우 총 4,148대의 ATM 중 47.7%인 1,979대에서 장애가 발생하여 금융서비스를 제공하지 못하였으며 피해를 입은 PC의 경우 KBS는2,000여대 그리고 MBC는 800대의 PC가 피해를 입었다. 민관군 합동조사단의 발표에 따르면 공격자는 공격대상 네트워크에 최소 8 개월 이상 잠복하며 공격목적을 달성하기 위한 지속적인 작업을 수행하였다.
 
그렇다면 어떻게 국내 주요 방송사와 최고의 보안수준을 유지한다는 제1 금융사에서 약8개월 간 내부시스템에 지속적인 접근권한을 유지하며 정보수집, 내부이동, 시스템파괴 등의 작업을 수행한 공격을 전혀 인지하지 못했는지에 대한 진지한 검토가 필요하다. 피해기관의 보안수준은 보안인력 및 예산 등으로 볼 때 특별히 낮은 수준의 보안수준을 가진다고 볼 수 없으며 평균 이상의 보안수준을 갖추어 왔다고 볼 수 있으며, 이 공격이 잠복기간뒤 시스템파괴라는 테러행위를 하지 않고 목표 네트워크에 은닉하여 주기적인 정보탈취 작업을 수행하였다면 잠복기간은 8개월이 아닌 수년이 될 수도 있으며 공격자의 의도에 따라 다수의 기관에 좀더 많은 수의 내부자산을 침해하여 보다 큰 피해를 야기 할 수 있었다.
 
또한 공격자가 상대적으로 낮은 보안수준을 가진 기관에 대한 공격을 수행한 것이 아닌 명확한 목표에 의해 활동하였다면 시스템파괴 등 눈에 띄지 않는 공격목적을 타기관에 수행하지 않는다는 것은 아무도 보장할 수 없다는 사실이다. 따라서 향후 발생할 수 있는 더 큰 문제점을 혹은 현재 진행되고 있는 공격을 예방하기 위해서는 이러한 피해를 발생시키는 근본원인을 찾고 개선하는 방법을 찾아야 한다.
 
이러한 사고의 근본원인은 현재의 시스템이 길게는 25년 전의 모리스웜, 짧게는 10년전 SQL 슬레머 웜의 류의 기술적 목적을 가진 공격대응을 위해 만들어 진 것으로 일회성 사고 혹은 공격으로 발생하는 인터넷 인프라의 피해예방에 초점을 맞추고 있다. 그러나 이러한 형태의 대응체계는 인터넷 인프라의 가용성이 아닌 특정기관의 정보 혹은 시스템을 목표로 하는 공격에는 효과적으로 동작하지 않는다. 이러한 문제점은 현황인지부재, 개인중심 운영, 장비중심 네가티브 보안, 단편적 대응 및 대응조직의 의사결정권 부재의 다섯가지 현상으로 나타나게 된다.
 
첫 번째로 현황인지부재란 3.20 사이버테러 경우와 같이 정보보호 부서가 수동적 대응업무만을 수행하며 현재 자신이 방어하는 네트워크에 어떤 문제가 발생하고 있는가를 적극적으로 찾아보지 않는 것을 말한다. 이러한 체계하에서는 기존 방어체계를 우회한 사고의 발생을 알 수 있는 방법이 없으며 무엇보다도 기관은 물론 침해사고대응업무를 수행하는 조직내부의 개개인이 자신이 보호하는 네트워크의 보안수준을 모두 다르게 인지한다는 치명적인 문제점을 가지고 있다.
 
두번째 현상인 개인중심 운영은 침해사고 대응의 프로세스화를 저해하는 요소로 첫번째 문제점인 각각의 개인이 인지하는 보안수준의 상이함에서 발생한다. 타겟형 침해사고는 공격자가 자신의 목적을 수행하기위해 대상기관의 인적, 네트워크, 웹, 호스트 등 모든 공격 가능한 자원에 대한 복합적인 공격을 수행하는 것이며 이를 탐지/대응하기 위해서는 부분적 요소에 편중된 이해로는 효과적인 사고대응이 이루어 질 수 없다. 또한 침해사고 대응의 목적이 원인에 대한 기술적인 분석이 아닌 빠른 대응을 통한 비즈니스연속성 보장에 있기에 원인분석과 사고대응의 두가지 행위는 서로 독립적으로 이루어져야 하며 침해사고 대응인력은 비즈니스 연속성 보장의 관점에서 침해사고대응을 위해 이루어지는 정책적용에 전사적인 합의를 도출하여 침해사고의 사유화가 아닌 문제해결을 위한 전사적 협력방안을 도출하기 위한 프로세스를 수립하여야 한다.
 
세번째는 장비중심의 네가티브 보안으로 이는 어딘가에 당면한 모든 보안문제를 자동으로 해결할 수 있는 장치가 존재하리라는 막연한 믿음과 수동적 업무수행에서 발생한다. 네가티브 보안은 문제 발생시 이를 하나씩 추가해 나가는 방법으로 방화벽의 악성 IP에 대한 접근통제리스트 추가 혹은 침입탐지장치의 시그니처 추가 등을 들 수 있다. 이는 접근통제 대상 자원의 변화가 상대적으로 적은 물리적 접근통제 방법을 사이버공간에 차용한 것으로 사이버공간에 적용시 상대적으로 빠르게 변화하는 통제대상의 속성 상 시간이 흐름에 따라 증가하는 네가티브 리스트로 발생하는 오탐/과탐의 문제에 대한 명확한 대응방법을 찾을 수 없는 문제점을 가지고 있으며 정책추가에 대한 명확한 이유가 존재하나 정책해제에 대한 근거가 미약하여 침해사고 대응조직은 무기력하고 수동적으로 만드는 근본적인 원인중의 하나가 된다.
 
효과적 침해사고 대응을 저해하는 요소중 네번째는 정보보호 지식화 체계의 부재에서 발생하는 단편적 대응을 들 수 있다. 현재의 정보보호는 장비중심의 보안에서 언급한 것과 같이 단기적 문재해결에 집착하여 지엽적인 이벤트에 빠른 대응속도를 가지고 있으나 시간에 흐름에 따른 공격행위의 과정을 추적하지 못하는 문제점을 가지고 있다. 타겟형 침해사고를 발생시키는 공격자는 단기적 시야에서 자신의 행위를 정상행위와 유사하게 만들어 탐지를 회피하는 전략을 사용하고 있다. 따라서 은밀하게 진행되는 타겟공격에 대응하기 위해서는 단기간의 회피전략으로는 숨길 수 없는 일련의 행위를 공격의 진행방향에 따라 추적할 수 있는 방법을 마련하여야 한다.
 
전략대응부서로서의 의사결정력 부재는 마지막으로 언급되나 이는 효과적인 침해사고 대응을 저해하는 가장 큰 문제점 중 하나이다. 현재의 침해사고 대응은 이벤트 발생시 이러한 이벤트가 정상 혹은 악성 둘 중 어디에 속하는 가를 판단하여 정상으로 판단된 행위는 더 이상 추적하지 않고 악성으로 판단된 행위에 대해 차단, 필터링 등의 정책적 대응을 수행한다. 그러나 대부분의 타겟공격은 공격이 내부시스템에 직접적인 피해를 발생시키기전 탐지되지 않기에 정상과 악성 중간영역에 존재하는 위협에 대한 지속적인 분석과 의사결정력을 필요로 한다. 의사결정력이 결여된 조직은 명확히 판단되지 않은 중간영역의 위협 대응시 지속적은 추적과 분석을 통한 적극적 의사결정과정을 수행하지 않고 탐지된 시점을 기준으로 악성이 아님으로 판단하게 되며 이러한 소극적 대응은 작은노력으로 대응할 수 있는 문제가 사고로 발전할 때까지 아무런 조치를 취하지 못하는 경우가 발생하게 된다.
 
◇타겟공격 탐지를 위한 침해사고 대응 방안 앞서 제시한 다섯가지 문제점을 넘어 성공적인 타겟형 침해사고 대응을 위해서는 현황인지, 방어자 중심운용, 분석중심 포지티브 보안, 대응조직 결정권 보장 및 이러한 모든 요소의 통합을 통한 능동적 대응의 조건을 만족하여야 한다. 이때 무엇보다 선행되어야 할  요소는 현황인지능력의 확보이다.
 
침해사고대응에 있어 현황인지는 현재 호스트 수준과 네트워크 수준에서 이루어 질 수 있으며 현황인지 작업에 소요되는 수집정보의 무결성을 고려한다면 먼저 네트워크 수준의 현황인지 작업을 수행한 뒤 이를 점차 호스트 수준으로 확장해 나가는 방안을 고려해 볼 수 있다. 네트워크 수준의 현황인지는 침해사고가 발생하기 전 보호대상 네트워크의 현황 정보를 제공하여 이를 바탕으로 네트워크 내부에서 발생하는 행위가 적법한 행위인지 그렇지 않은지의 여부를 판단할 수 있도록 하는 것을 목적으로 한다. 이때 수집되는 정보는 내부망 운영중인 운영체제 정보, 활성화된 네트워크 서비스 정보, 사설망 확장 정보 및 통신정보 등이 포함된다. 이러한 정보수집시 지속적인 정보수집을 통한 보호 네트워크의 변화정보를 함께 추적해야 한다.

 
성공적 침해사고대응을 위한 두번째 고려사항은 방어자 중심의 운용이다. 앞서 침해사고 대응현황에서 다루었던 것과 같이 침해사고는 다양한 요소들이 복합적으로 발생하며 하나의 기술에 편중되어 다른 요소들에 대한 이해가 없다면 공격목적을 달성하기 위해 다양한 공격기법을 구사하는 공격자의 행위를 탐지할 수 없게 된다.
 
이를 위해서는 먼저 대응인력 각각이 각자의 담당기술 영역에 대한 명확한 이해를 갖추어야 하며 이를 바탕으로 다른 영역의 기술에도 넓은 이해를 갖추어야 한다. 이를 위해서는 침해사고 대응을 위한 방어기술 도메인을 수립한 뒤 침해사고 이벤트 발생 시 해당하는 영역에 따라 유연한 대응을 할 수 있는 동적인 조직을 구성하여 대응하는 방법을 고려해볼 수 있다.
 
일례로 서비스거부공격 발생시에는 악성코드 및 호스트보안 전문인력 보다는 네트워크 및 서버보안 관련인력으로 구성된 팀을 구성하여 대응하도록 할 수 있으며, 피싱메일을 이용한 내부망 침해사고 발생시는 악성코드분석, 네트워크행위분석 및 내부자산 운영인력이 팀을 구성하여 관련 된 침해사고를 대응하도록할 수 있다. 이를 가능하게 하기위해서는 내부인력의 대응능력을 지속적으로 향상시키며 관리할 수 있는 체계를 필요로 한다.
 
그림 4는 연속적 교육성과 및 정보보호 역량관리를 위한 관리체계의 예시를 나타내며 그림 하단에 위치한 스파이더그래프는 침해사고 대응인력의 기술분야별 대응역량과 침해사고단계별 대응역량을 나타낸다.
 
다음은 분석중심의 포지티브 보안으로 이는 장비중심의 네가티브 보안에 상대적인 개념이다. 타겟형 침해사고의 특징은 공격이 마지막 단계로 진행되기 전까지는 최대한 이를 은닉한다는 것이다. 따라서 시간의 개념이 없이 단기적 보안이벤트의 검사를 통해서는 발생한 이벤트의 악성여부를 판단할 수 없는 경우가 많다.
 
포지티브 보안을 수행하기 위해 가장 중요한 것은 현황정보에 대한 기준점을 생성하는 것이며 이는 어느 한 시점의 정보가 아닌 지속적인 정보수집을 통한 변화관리를 통해 수립될 수 있으며 기 수립된 정책에 위반사항이 발생하면 이러한 행위에 대한 지속적인 추적 및 분석을 통해 해당 행위의 악성여부를 판단할 수 있게 된다.
 
그림 5는 포지티브보안 방법론을 이용한 악성명령제어체널 탐지 절차를 나타낸다.  그림 5는 443 포트는 SSL통신만을 허용한다는 보안정책을 위반하는 이벤트가 탐지된 이후 해당통신의 악성여부를 판단하기 위한 과정을 나타낸다.
 
1. TCP/443포트를 사용하나 SSL 핸드쉐이크가 발생하지 않은 통신탐지
2. 통신지속시간 및 주기성분석을 통한 통신지속채널 분석
3. 주기성 검사 및 지속시간 검사를 통한 명령제어채널 분석
4. 시각분석을 통한 명령제어채널 구조분석
5. IP위치정보 및 도메인관련 정보분석
 
해당 네트워크 통신은 TCP/443 포트를 사용하나 SSL 핸드쉐이크를 수행하지 않았으며 이러한 프로토콜 정책위반 행위가 이상징후로 보고되었다(그림5-1). 그러나 이러한 행위가 일시적인 통신오류를 통해 발생하였는지 혹은 특정 어플리케이션이 포트기반 통제를 우회하기 위해 443 포트를 이용한 것인가를 판단하여 대응하기에는 부족한 정보를 가지고 있다(그림5-2). 따라서 통신 지속시간 및 주기성 분석을 통해 해당 트래픽을 발생시킨 호스트가 네트워크 트래픽을 발생시키는 동안(그림 5-2 녹색선) 지속적으로 관련통신을 발생시킨다는 것을(5-2 적색선) 분석을 통해 확인하였으며 또한 이러한 통신의 주기가 약 600초라는 것을 확인하였다.
 
이후 전체 통신의 99% 이상이 통신상태를 유지하기 위한 1 초 이하의 지속시간을 가진다는 것을 확인하였다.(그림5-3). 이후 시각분석을 통해 발생한 통신이 DNS서비스를 이용하지 않고 직접 IP통신을 수행하며 하나의 연결이 차단되어도 다중 연결구조를 통해 이를 보완하는 통신구조를 가진 것 및 호스트분석을 통해 수집된 바이너리 파일이 불법적으로 설치 된 것을 확인하여 이러한 통신유발시킨 바이너리 파일의 제거 및 관련통신차단 등의 조치가 이루어졌다.

 
성공적 침해사고 대응을 위한 마지막 요소인 능동적 대응구조 도출은 앞서 기술된 네가지 요소의 통합으로 구성된다. 이를 위해서는 시그니처 기반의 선택적인 정보수집을 넘어 능동적 대응을 가능하게 하는 통신내역에 대한 모든 데이터를 수집하여야 하며 단일시점의 장비중심 대응구조를 탈피하여 분석중심의 대응이 이루어져야 한다. 또한 발생한 이벤트간 동일시점의 상관관계 분석보다는 시간의 흐름에 따른 인과관계의 분석이 이루어져야 하며 공격기술보다는 공격의도를 추적할 수 있는 방법을 마련하여야 한다.
 
결론적으로, 최근 메모리해킹 등을 통한 인터넷뱅킹 해킹사고가 빈번하게 발생하고 있다. 이는 중국의 해커조직이 지난 3년 동안 한국의 금융보안 방어체계에 대한 지속적인 학습을 통해 전자인증서, OTP, 키보드보안 등 다양한 예방체계를 우회한 공격을 수행한 결과로 보고되고 있다. 이는 정보보호가 어느 한 시점의 기술적으로 무결한 예방체계를 수립하는 것으로는 부족하다는 것을 반증하고 있다. 국내 정보보호 체계는 지속적으로 변화하는 위협에 능동적으로 대응하지 못하고 있으며 이는 최근 발생하고 있는 다수의 대형침해사고를 통해 나타내고 있다.
 
이러한 침해사고를 예방하기 위해서는 현재 발생하고 있는 상황에 대한 데이터 기반의 명확한 이해와 침해사고를 대응할 수 있는 방어자 중심의 대응체계 운영, 단순한 이벤트 집계에서 벗어난 분석중심의 보안역량을 강화하여야 하며 분석결과에 대한 강력한 의사결정권을 집행할 수 있어야 한다. 이러한 대응구조를 도출하게 되면 최근 많은 피해를 낸 내부망파괴, 민감정보유출 등의 타겟형 침해사고를 성공적으로 억제할 수 있으며 이는 결국 이길 수 없다고 생각해 오던 공격자와 방어자의 싸움에서 결국 방어자가 궁극적인 승리를 얻어낼 수 있다는 것을 의미한다.
 
[글. 김혁준 나루씨큐리티 대표 joonkim@narusec.com]
 
<★정보보안 대표 미디어 데일리시큐!★>