2020-04-08 05:55 (수)
파이어아이 케빈 맨디아 “2014년 226건 사이버공격 조사해 보니..."
상태바
파이어아이 케빈 맨디아 “2014년 226건 사이버공격 조사해 보니..."
  • 길민권
  • 승인 2015.04.08 09:24
이 기사를 공유합니다

“90%의 공격이 스피어피싱…사람을 공격하고 믿음을 악용한다”
파이어아이 코리아(지사장 전수홍)가 8일 서울 역삼동 리츠칼트 호텔 그랜드볼룸에서 각 분야 보안 담당자 600여 명을 대상으로 개최한 파이어아이 데이 세미나와 함께 기자간담회를 열고 케빈 맨디아(Kevin Mandia) 파이어아이 사장과 사이버 위협에 대응하기 위한 방법을 제안하는 시간을 가졌다.
 
케빈 맨디아 파이어아이 사장은 “2014년 침해사고 226건을 조사한 결과 공격자들은 사람을 대상으로 공격하고 그 믿음을 악용하고 있다”며 “특히 90%의 공격이 스피어피싱을 사용해 직원들에게 이메일을 보내고 PC가 악성코드에 감염되면 모든 시스템에 접근할 수 있는 액세스 권한을 획득한다. 이를 통해 2차적인 공격을 진행한다”고 설명했다.
 
또 하나 “대기업에 비해 중소기업은 이런 공격에 대한 예방능력이 부족하다. 공격자들은 대기업을 공격하기 위해 협력업체인 중소기업을 우선 공격한 후 관련 정보를 통해 대기업을 공격하는 방식으로 이루어진다”고 전했다.
 
특히 그는 공격과 방어가 비대칭이라고 강조했다. 방어자는 너무 많은 부분을 방어해야 하지만 공격자는 한 곳만 뚫으면 게임이 끝나기 때문이다.
 
또 공격 익스플로잇 개발 속도가 이를 막아내기 위한 솔루션 개발 속도보다 훨씬 빠르다는 것이다. 그래서 방어자는 항상 불리한 위치에 있게 된다.
 
한편 해커들이 자유롭게 공격을 하는 이유에 대해 그는 “공격자는 리스크가 없다. 공격에 실패해도 잃을게 없다는 점이다. 그리고 공격할 수 있는 안전한 장소에서 공격을 한다면 누가 공격을 했는지 정확히 알기는 힘들기 때문에 처벌을 할 수도 없다. 중국, 북한, 이란 등 안전한 공격처에서 진행되는 공격들은 공격자들 특정하기도 힘들고 처벌하기도 힘들다”고 설명했다.
 
더불어 이제 사이버공격은 개인이 아니라 국가가 스폰서를 하는 경우도 많고 국가 스스로가 해킹 공격을 하는 사건들도 많다고 전했다. 정부가 스폰서를 하는 경우는 막기가 힘들다는 것. 이런 추세는 계속 증가할 것이라고 강조했다.
 
케빈 맨디아 사장은 “공격을 예방하기 위해서는 정보력이 중요하다. 알아야 대응책을 마련할 수 있다. 이는 한 업체의 노력으로 되는 것이 아니라 여러 국가기관과 보안전문가들이 힘을 모아 정보공유를 해야 한다. 그런 의미에서 한국 기관과 파이어아이의 협력은 한국의 대응능력 향상에 큰 도움이 될 것”이라며 “다이나믹하게 공격 정보를 수집해 이를 학습하고 대응책을 만들어 나간다면 침해사고가 발생해도 영향력을 최소화시킬 수 있을 것”이라고 말했다.
 
한수원 사이버사건에 대한 그의 생각을 물었다. 그는 “한수원 사건을 직접 조사하지 않았기 때문에 정확한 정보는 가지고 있지 않다. 북한의 공격에 대해서는 한국에서 더 많은 정보들을 가지고 있을 것”이라며 “각 국가별 특징적인 정보들에 대한 공유가 필요한 점이 바로 이런 부분이다. 북한은 남한을 공격하고 러시아는 미국이나 동유럽을 공격대상으로 한다. 중국은 거의 모든 나라를 대상으로 한다. 미국이 더 잘 알고 있는 부분과 한국이 잘 알고 있는 정보에 대한 공유가 필요하다”고 전했다.
 
소니픽쳐스 사건에 대해서도 그는 “해킹을 한 주체는 그 전에 봤던 어떤 주체와도 달랐다. 중국, 러시아, 중동국가 등등 파이어아이가 가지고 있는 모든 정보력을 동원해 미국 정부와 공동으로 조사했다. 하지만 북한 이외에 어떤 주체와도 유사점이 존재하지 않았다”며 “북한이 공격 주체라는 것은 분명하다. 또 미국이 북한을 보복 공격했다는 보도는 나왔지만 정확한 것은 확인하지 못했다. 하지만 미국은 분명 사이버공격 대응능력을 보유하고 있다”고 답했다.
 
마지막으로 케빈 맨디아 사장은 “방어자와 공격자의 격차는 갈수록 커질 것이다. 이 격차를 해소할 유일한 방법은 각 국가와 민간기업간에 협력하고 정보를 공유해 공동대응하는 방법 뿐”이라며 “실제 전쟁에서는 교전 수칙이 존재한다. 하지만 사이버전쟁에서는 모든 국가들이 합의하고 지킬만한 교전수칙을 만들 기도 힘들고 협의도 불가능하다. 특히 북한과 같은 국가들이 그렇다. 전혀 규칙이 없는 전쟁을 해야 하기 때문에 사이버공격은 더욱 무서운 결과를 가져올 수 있다”고 밝혔다.
 
한편 케빈 맨디아 사장은 파이어아이 데이 세미나에서 “지난 10년 동안 우리는 나날이 진화하고 교묘해지는 보안 위협에 대해 효과적으로 대응하지 못하고 있는 수백만의 기업 시스템을 조사했다. 이러한 사이버 위협은 법률, 금융, 제조, 유통, 방위 산업, 통신 등 산업 전반에 걸쳐 막대한 영향을 주고 있다”라며, “파이어아이는 각 기업들이 직면하고 있는 고유의 위협을 면밀하게 분석하고, 이들이 지능화된 사이버 위협에 적극적으로 대응할 수 있는 효과적인 방법을 제시하고 있다”고 발표를 시작했다.
 
지능형지속위협(APT)이라 불리는 각종 보안 위협 활동은 전세계적으로 증가하고 있으며, 그 방법 역시 빠른 속도로 진화하고 있다. 특히, 파이어아이가 조사한 지난 2월까지의 국내 APT 이벤트 탐지 내역을 보면 해외뿐 아니라 국내에서도 사이버 공격으로 인한 위협활동이 꾸준하게 증가하고 있는 것을 확인할 수 있다.
 
■2013년 5월부터 2015년 2월까지 집계된 국내 APT 이벤트 탐지 내역
기업 및 개인의 중요 정보를 탈취하는 각종 사이버 위협 활동의 지속적인 증가에 발맞춰, 케빈 맨디아 사장은 국내 보안 담당자를 대상으로 발표한 <2015 6대 보안위협>에 대한 내용은 아래와 같다. 
 
△최근 사이버 위협은 컴퓨터 시스템이 아닌, 사람을 타깃으로 삼고 있다. 인터넷을 통해 개인 간 커뮤니케이션과 거래 활동 그리고 개인 정보가 블로그를 비롯한 온라인 환경에서 노출됨에 따라, 사이버 위협은 특정 개인을 타깃으로 공격을 진행할 수 있게 됐다. 이렇게 개인화된 공격은 인간 본연의 취약성과 신뢰를 악용하기 때문에 탐지 및 방지가 어렵다.
 
△더욱 많은 사이버 위협이 기업의 공급망 및 신뢰할 수 있는 외부업체(Third-Party)로부터 야기되고 있다는 사실을 주목해야 한다. 최근의 사이버 위협은 상대적으로 적은 보안 시스템을 갖춘 중소기업을 타깃으로 하는 것을 자주 볼 수 있으며, 이는 소위 ‘더 큰 물고기’를 잡기 위한 발판으로 사용되고 있다. 이와 비슷한 경우로, 대기업이 작은 기업을 인수 합병하는 과정에서 작은 기업의 보안 취약에 따른 감염된 네트워크를 아무런 사전 검토 없이 취득하는 경우도 종종 볼 수 있다. 
 
△먼저 네트워크를 보호하기 위해 필요한 자원과 사이버 위협으로부터 보호하기 위해 필요한 자원 사이에 막대한 불균형이 존재하고 있다. 한 명의 사이버 공격자를 막기 위한 수천 명의 방어자가 없을 경우 보안업무는 크게 늘어날 수 밖에 없으며, 이를 사이버공간의 ‘비대칭 도메인’이라 할 수 있다. 또한, 한 명의 공격자는 타깃 업체의 방어 시스템을 한번만 우회하면 목표를 달성할 수 있는 반면, 기업의 전체 사이버 위협 전문가들은 위협 활동을 100% 방어하기 위해 엄청난 자원을 투자해야만 한다. 이러한 불균형은 숙련된 보안 전문가가 부족한 현 상황에서 더욱 악화되고 있다. 
 
△대부분의 지능형 공격자들은 사이버 범죄자들에게 해킹에 필요한 자원과 전략을 제공해주는 나라에 거주하며 이러한 나라들은 사이버 범죄자들을 잡는 것을 거부한다. 파이어아이는 정치적, 경제적, 군사적 이익을 목적으로 네트워크를 운영하는 중국, 러시아, 이란, 시리아 그리고 최근의 북한을 포함하는 잠재 위험 국가의 지능형 사이버 공격자들의 정보유출 활동에 대응해왔다. 일반적인 공격자들이 미션을 수행하기 위해 일반적으로 가장 단순한 공격 기술, 전술 및 절차(TTPs)를 선택하는 반면, 이러한 국가의 지원을 받는 지능형 공격그룹들은 산업 스파이(data theft), 방해(disrupt), 차단(deny), 성능저하(Degrade), 네트워크 파괴(destroy)를 수행하기 위한 공격 기술, 전술 및 절차(TTPs)의 전(全) 영역을 활용할 수 있는 능력을 가졌다.
 
△일반적으로 러시아와 중국의 공격자들은 여전히 지속적으로 활동하고 있으며, 심지어 그들이 행하는 사이버 범죄를 자랑스럽게 여기는 인식조차 누그러지지 않고 있다. 그들의 만행을 폭로하고 비난하는 것조차 그들의 행동에는 거의 영향을 미치지 않았다. 그럼에도 불구하고, 러시아와 중국의 경우 파괴적인 행위만은 피하자는 자신들만의 규칙을 따르는 것처럼 보인다. 반면, 이란과 북한 같이 새로운 공격자로 부상한 국가들은 이러한 규칙을 따르지 않을뿐더러, “유출과 삭제(Release and wipe)” 전략을 활용한다. “유출과 삭제(Release and wipe)”는 공격자들이 기업과 관련된 개인 정보를 뿌리거나 중요한 정보를 지우는 행위를 말한다. 만일 이러한 국가차원의 지원을 받는 해킹 공격자들이 위험이나 파급효과 없이 네트워크에 침투할 수 있는 한 이러한 공격은 결코 줄어들지 않을 것이다.
 
△마지막으로 사이버 공격을 정확하고 신속하게 감지하고 대응하는 가장 좋은 방법이라는 것도 기업들이 항상 쉽게 사용할 수 있는 방법은 아닐 수 있다. 국가들은 정보의 이상적인 법적 책임을 다하고 개인정보를 보호하는 동시에, 산업과 산업 그리고 산업과 정부 간에 위협정보를 공유할 수 있는 효과적인 프레임워크를 필요로 한다. 공격자들은 누군가에게는 이미 알려졌지만, 그러나 다른 잠재적인 피해자들에게는 공유된 적 없는 기술과 방법을 사용하여 매우 자주 공격에 성공하기 때문이다. 모든 기업이 통합 위협 인텔리전스를 효과적으로 사용할 수 있는 능력을 갖춘 것은 아니기 때문에 우리는 사이버 위협으로부터 더 안전하게 보호할 수 있도록 제품과 서비스를 사용할 수 있도록 지원하는 것 또한 필요하다.
 
또한, 케빈 맨디아 사장은 기업들이 진화된 사이버 위협이 날로 증가함에도 불구하고 제대로 방어조차 못하고 있는 실정이 계속되고 있다며 기업들에게 선진화된 보안에 대한 자각이 필요하다고 당부했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com