September 17,2019

“능동적 사이버 보안 체계 필요”

내부 보안 취약점·해커 공격 전술 파악해야

FacebookTwitter

한국은 사이버 공격을 많이 받는 국가 중 하나이다. 북한이 국내를 대상으로 사이버 공격을 많이 가하기 때문이다.

지난 5일 국제연합(UN)에 따르면, 북한은 사이버 공격으로 20억 달러(약 2.4조 원) 규모의 자금을 벌었다. 그리고 UN은 북한이 이를 무기 자금으로 활용했다고 주장했다. 추가로 북한 배후로 추정되는 30개의 사이버 공격을 조사했다.

결과에 따르면 한국이 가장 많은 사이버 공격 피해를 본 것으로 조사됐다. 그중 10개가 한국을 대상으로 한 사이버 공격이었다. 그다음으로 인도가 많았는데, 인도는 북한으로부터 3번의 사이버 공격을 받았다.

물론, 국내 사이버 위협이 북한으로부터만 오는 것은 아니다. 그 외 국가는 물론 다양한 범죄 조직의 사이버 공격에도 노출돼 있다. 따라서 사이버 공격에 효율적으로 대응할 수 있는 보안 체계가 필요하다. 이를 통해 사이버 공격 피해를 줄일 수 있기 때문이다.

능동적 사이버 보안 체계가 필요하다 ⓒ NavSea

능동적 사이버 보안 체계가 필요하다. ⓒ NavSea

그럼 어떤 사이버 보안 체계가 필요할까? 답은 간단하다. 공격 대응 자세만 바꾸면 되기 때문이다.

다시 말해, 수동적 자세에서 능동적 자세로 바꿀 필요가 있다. 참고로 능동적 자세를 기반으로 한 보안 체계를 ‘위협 사냥(Threat Hunting)’이라고 한다. 아울러, 이러한 역할을 하는 보안 팀을 ‘공격적인 보안팀(Offensive Security Team)’이라고 부른다.

완벽 보안은 현실에서 불가능해

사이버 보안에는 절대적 진리가 있다. 그건 바로 “완벽 보안은 절대로 불가능하다”는 것이다. 완벽한 사람이 없는 것처럼, 완벽한 사이버 보안이 없다. 취약점은 항상 존재하기 때문이다.

보안 취약점은 ‘시스템 취약점’과 ‘사람 취약점’으로 나눠볼 수 있다.

시스템은 보안 측면에서는 절대로 완벽할 수 없다. 취약점이 항상 있기 마련이다. 그래서 시스템 개발 회사는 이를 보완하고자 끊임없이 보안 테스트를 진행한다. 참고로 매년 1만여 개에 달하는 ‘취약점 표준 코드(CVE)’가 등장하고, 시스템은 이를 보완한다.

사람 또한 보안 취약 대상이다. 기관에는 수많은 직원이 근무하고 있다. 그런데 이들 직원 모두가 보안 수칙을 따른다고 할 수 있을까? 혹은 관련 협업 기관 직원 또한 이러한 수칙을 따른다고 할 수 있을까?

해커는 사이버 공격을 달성하기 위해 주변 기관 취약점을 탐색하는 것도 서슴지 않는다. 그래서 완벽이란 단어는 사이버 보안에서 절대 있을 수 없다.

해커 입장에서도 생각해보자. 거의 모든 해커는 목적이 있기 때문에 사이버 공격을 가한다. 따라서 해커는 완벽 보안을 갖춘 곳에 절대로 사이버 공격을 시도하지 않는다. 사이버 공격에 드는 노력과 비용이 아깝기 때문이다.

그러나 그런 곳은 없다. 결국, 해커는 취약점을 악용해 사이버 공격을 가하는 것이 현실이다. 해커는 공격 대상을 정찰하고 여러 수법을 활용한다. 빈틈이 보이면, 그곳을 침투한다. 침투했다고 단번에 공격하지 않는다. 내부에 침투하면, 몰래 잠입하여 목표 대상에 이르러야지 공격을 가한다. 참고로 이러한 공격 방식을 ‘지능형 지속 공격(APT)’이라고 부른다.

그럼 기존 사이버 보안 체계는 어떨까? 물론 효과적인 대응 체계를 갖추고 있다. 보통 3단계로 이뤄져 있다. 예방, 탐지 그리고 대응 체계를 갖추고 있다. 그러나 대응 체계만으로 부족하다.

해커는 여러 방식으로 사이버 공격을 시도한다. 다시 말해, 능동적이고 동적으로 공격을 퍼붓는 셈이다. 반면 기존 보안 체계는 잘 갖춰져 있으나 수동적이고 정적으로 움직인다. 이는 해커 공격에 따라가기 벅차게 한다.

기존 보안은 사이버 공격 대응에 비효율적이다. ⓒ Max Pixel

기존 보안은 사이버 공격 대응에 비효율적이다. ⓒ Max Pixel

능동적 대응으로 사이버 공격을 예방해

보안 관리자는 해커처럼 능동적일 필요가 있다. 다시 말해, 사이버 공격을 미리 예측하고 대비할 필요가 있다. 해커가 취약점을 능동적으로 찾는 것처럼 말이다.

손자병법서에 ‘지피지기백전불태(知彼知己百戰不殆)’라는 말이 있다. 이러한 말을 능동적 사이버 보안 체계에 적용하면, 보안 수준을 크게 향상할 수 있다.

지피지기에서 ‘자신’은 보안의 어떤 부분에 적용해 볼 수 있을까? 보안 관리자는 취약점을 파악하고 관리해야 한다. 다시 말해, 시스템 취약점을 CVE를 통해 꾸준히 파악하고, 이로 인해 발생할 위협 대응 방안을 모색할 필요가 있다. 사람 부분도 신경 써야 한다. 보안 관리자는 정기적인 보안 교육으로 사람으로 인한 보안적 실수를 줄일 필요가 있다.

상대방은 당연히 해커이다. 해커의 공격 방식을 파악할 필요가 있다. 해커는 저마다 공격 습관이 있다. 보안에서는 이를 ‘공격 전술(TTP)’이라고 한다. 보안 관리자는 내부를 주로 공격하는 TTP를 파악해 예상되는 공격을 사전에 파악할 수 있어야 한다.

이를 좀 더 넓게 보면, 지능형 위협(Threat Intelligence)도 볼 수 있다. 지능형 위협에는 TTP를 포함하고 있을 뿐만 아니라, 사이버 공격 관련해 여러 공격 증후 정보를 가지고 있다. 여건이 된다면, 지능형 위협 수준의 정보를 모으는 것도 좋다.

결국, 지피지기는 내부 보안 취약점과 해커의 공격 전술을 알고 있어야 함을 의미한다. 이는 기존 보안 체계와는 다르다. 기존 보안은 해커 공격에 대응하기 바쁜 체계였다면, 능동적 보안은 공격을 예측해 끊임없이 위협 요인을 차단하는 체계이다.

의견달기(0)