[칼럼]글로벌 보안위협의 변화-2

전상훈

지난편에서 공격과 방어의 현실에 대해 살펴 보았다. 글로벌 기업들의 피해 현황과 대응 방식 변화를 통계치를 통해 방어기술의 차이가 벌어지고 있으며 그 차이는 더 벌어지고 있음을 간략하게 살펴 보았다.

이번 컬럼에서는 IT 시스템과 서비스가 가지고 있는 실제 리스크에 대해 통계치와 조사된 자료를 통해 간략하게 알아보고 변화가 어떻게 진행 되고 있는지 알아본다.

컬럼 이전에 필자가 보는 보안과 시대에 대한 관점에 대해 잠시 언급 하도록 한다.

국내 보안 현실에 대해서 논의 하는 것은 특별한 의미가 없다. 모든 현상은 이어져 있으며 글로벌 연동이 일반적인 현실에서 국지적이고 지역적인 위험을 언급한다는 것은 의미없는 논의일 뿐이다. 현재 발생되는 문제들도 국내에만 국한된 문제들은 없다.

보안과 해킹이라는 분야는 창과 칼의 의미를 지닌다. 문제점을 찾아내고 문제점을 대비 할 수 있는 체계를 갖추는 것은 분야별로 또 규모별로 달라져야 하고 방안도 달라야만 한다. 그러나 무엇에 대한 대응 이라는 주제는 언제나 동일 할 수 밖에 없다.

일반적으로 변화는 새로운 요구를 수반한다. 새로운 요구는 때때로 기존질서와 규칙의 붕괴를 가져온다. 기존 질서를 유지하고 안정감을 가지려고 하는 시도는 오랜 인류 역사와도 같이 하는 본성일 뿐이나 변화를 거부 할 수는 없다. 그래서 임계점에 도달하면 극적인 붕괴나 변화가 시작 된다.

지금의 변화는 어떤 요구를 수반 하고 있을까? IT서비스와 인터넷은 전 세계 경제 활동 인구 대부분에게 영향을 미치고 있다. 보안이라는 관점은 역설적이게도 전문분야 이면서도 전 세계적인 영향력을 가질 수 밖에 없다. 각 부분별로 변화는 다양하나 대응 형태에서는 유사함을 띌 수 밖에 없다. 모두가 이어진 세상이고 거의 실시간으로 공간과 거리의 문제를 간단하게 일축 하고 있다.

문제 발생은 이제 지역적으로 일어나지 않는다. 큰 변화를 일으키는 많은 문제들은 시간이 지난 후에야 문제를 인지하고 그 문제로 인해 변화가 이뤄졌음을 알게 된다. 시간이 지난 뒤에 돌아보면 변화를 일으킨 문제들을 알게 된다. 막상 그 당시에는 몰랐어도…

지금의 많은 IT환경 변화들은 자유로운 지식 공유와 인간 능력 확장에 대한 기본적인 의지로부터 비롯된다. 보안은 상처 받고 깨지기 쉬운 도구를 지켜내고자 한다.

그러나 공격 기술과 보호 기술간 격차는 점점 더 벌어지고 있다. 다양한 한계와 제약으로 보호 기술은 많은 어려움이 있다. 공격 기술은 어려움 없이 세계적인 영향력을 갖추나 보호 기술은 제약을 많이 받게되고 지금은 대응 수준마저도 현실을 지켜 내기가 어려운 실정이다.

새로운 위협에 대해 인지하고 기존 위험들이 어떤 영향을 가지고 있으며 어떤 결과들을 초래 할 수 있는지에 대해서 아는 것은 국가나 기업, 산업의 미래 방향성과 발전에 큰 힘이 된다. 특히 지식 기반 산업을 중점으로 추진 하는 곳일수록 분명한 힘이 될 수 밖에 없다. 일회성 개발과는 차원이 다른 성장동력이 지식기반 산업이다.

지식기반 산업에서 가장 중요한 리스크 관리는 근간을 위협할 수 있는 변화에 알아서 대응하고 장기적인 방안을 마련 하는 것이 가장 중요하지 않을까?

특히 현재 지식기반 산업 기반에는 공유되는 정보와 체계적으로 누적된 데이터에 기반한 산업이 가장 큰 영향력을 나타내고 있으며 가장 중요한 도구로서 인터넷은 절대적인 가치를 지닌다. 그러나 인터넷은 현재 심각한 위협을 받고 있다. 시간이 지날수록 위협의 강도는 근간을 흔들게 될 것으로 보인다.

서론이 길었다. 차후에 보안과 해킹 그리고 산업에 대한 관점으로 별도 글을 통해 고민 해보도록 하고 이번 컬럼의 주제로 돌아가자.

■내부, 외부 어디가 더 문제?

보안 사고들이 터질때마다 이전까지 항상 언급 되던 것이 내부자 통제 문제였다. 내부자 통제 문제는 대부분의 중요사고나 정보 유출 사고들이 내부자에 의해 대규모로 발생한다는 점에서 항상 강조 되던 문제였다. 그러나 지금도 그럴까?

지금도 그러한가 하는 질문에 대한 필자의 대답은 '글쎄'다. 전체적인 사건사고들이 증가한 이유도 있겠으나 가장 중요한 문제는 폐쇄형에서 개방형으로의 진화가 차이를 이끌었다고 보고 있다. 접근 지점이 이전에는 내부에서 밖에 접근 할 수 밖에 없었다면 이제는 애플리케이션의 취약성을 타고 중요정보들이 저장된 DB에 직접 접근이 가능한 문제들이 발생 한다.

일반적인 개요이지만 네트워크 단위 문제와 OS 문제, 애플리케이션에서 발생되는 문제는 이전 칼럼에서도 언급했듯, 역삼각형 구조를 갖고 있다. 샌스(Sans) 칼럼에 잘 표현된 이미지가 있다. 각 부분별로 세분화가 가능하나 취약점 개수로 보면 가장 정확한 모양을 나타내고 있다. 취약성 발전 현황에서도 최초에는 네트워크 프로토콜에 대한 문제들이 나오고 이후 운영체제의 이슈, 운영체제에 종속된 애플리케이션에 대한 문제 ( 위의 이미지에서는 OS Libraries로 표시됨)가 나타난다. 그 이후 발생되는 문제는 OS에 종속적이지 않은 애플리케이션 문제이다.

시기적으로 90년대까지는 네트워크 프로토콜 및 네트워크상에 오픈된 서비스들에 대한 문제들이 주된 이슈였고 이후 운영체제 문제로 넘어가게 된다. 2000년대초에 이르러 운영체제에 대한 문제들과 운영체제 종속적인 취약성들이 영향을 미치게 된다. 이때 까지만해도 보안과 해킹이라는 영역은 소수 전문가들의 영역이었고 피해 범위도 제한적이었다.

이후 2004~5년을 기점으로 하여 애플리케이션에 대한 공격으로 세계적인 흐름은 전환됐다. 실제로 이같은 전환기에 벌어진 공격을 가장 처음 격렬하게 경험한 곳도 한국이다. 그럼에도 불구하고 대응책이 완료 되었거나 경험에 의해 진보 되고 있다고 표현 하기는 어렵다.

운영체제의 경우에는 공급 업체에 의해 주기적인 업데이트가 제공이 되고 있다. 그러나 개발자들이 개발한 서비스들의 경우에는 주기적인 업데이트나 문제의 해결은 멀고 먼 일이다.

현재 직면한 현실의 문제는 여기에서부터 비롯된다.

웹서비스와 데이터베이스는 연결 통로를 가지고 있고 공격자들은 개발된 웹서비스 문제점을 이용해 데이터베이스 정보를 가지고 가거나 시스템에 백도어를 설치해 내부망에 침입하는 도구로 사용 한다. 애플리케이션에 대한 공격과 데이터베이스까지의 직접 연결은 내·외부에서의 정보 유출사고들에 있어 강약에 대한 구분을 없애고 있다.

공격자들은 웹서비스 취약성을 활용해 제한된 내부 사용자들만이 접근 할 수 있는 데이터베이스에 자유자재로 접근할 수 있는 상황이다. 지금의 상황은 내외부자에 의한 정보유출 및 피해 사례는 단순한 횟수 이외에도 정보유출시 파급력이 함께 고려 되어야 하고 대비가 되어야만 한다.

내부자에 의한 사건 사고 비율을 조사한 내용을 보면 2007년에 비해 2008년에는 내부자에 의한 사고 비율이 줄어들고 있음을 볼 수 있다. 실제적으로 내부자에 의한 위험이 줄어든 것은 아니며 외부자에 의한 위험요소가 동등한 수준으로 격상돼 상대적인 비율이 적어지고 있을 뿐이다. 내부자에 대한 통제 수단들이 지속적으로 개선되어 효과를 보여 주고 있음을 의미 하기도 한다. CSI 조사외에도 버라이즌 실제 피해사례를 조사한 결과를 보면 내부자에 의한 피해가 더 크다고 볼 수는 없다. 외부자에 의한 실제 피해가 2005년까지는 급격한 하강 곡선을 그리다가 그 추세가 반전이 된 계기는 앞서 이야기 했듯 애플리케이션에 대한 직접 공격을 통해 데이터베이스에 저장된 정보를 빼내어 갈 수 있게 되었기 때문에 발생한 변화다.

통계치는 보기에 따라 다양하게 해석될 수 있으나 전반적인 흐름은 파악 할 수 있다. 상대적으로 파트너와 내부자에 의한 정보 유출은 제한적이거나 하락하는 경향을 볼 수 있다. 통제 수단들이 늘어가고 있고 일정부분 영향을 미치고 있음을 의미한다.

2005년 이후 보안성 강화 방안들이 정확한 해결책 이였는가 하는 의문에 대해 2005년 이후 몇 가지 통계자료가 의미하는 바가 있을 것으로 본다. 내부자 통제 강화도 중요하나 외부자가 침입 할 수 있는 문제점들에 대해 체계적이고 주기적인 해결 방안을 가지고 있었어야 했는데 지금의 현실은 그렇지 못하다. 이전 컬럼에서 언급 하였듯이 외부자가 침입하는 방안으로 애플리케이션 해킹이 상당 비율을 차지하고 있고 실제 피해를 발생 시키고 있는데 효율적인 대책들은 지지부진하다. 2006년 이후 2008년까지의 IT예산에서 시큐리티가 차지하는 비율은 평균비율로 보았을 때 지속적으로 높아지고 있다. 그만큼 IT 전체 예산에서 보안에 대한 중요성이 높아지고 있음을 의미한다. 이 통계는 보안의 중요성이 점차 더 높아지고 있고 전체를 흔들 수 있는 사안임을 느끼고 있다는 반증이라 할 수 있다.

과연 국내의 현실은 어디쯤일까?

■공격의 특징

현재 글로벌 환경의 공격 특징은 한마디로 요약하면 타켓화라 할 수 있다. Web 2.0 기반 소셜 서비스에 대한 공격이든 무엇이든 목적을 가지고 또 특정 대상을 한정하여 공격한다는 점이다. 공격을 방어하는 입장이 보안이라고 보면 국가든 기업이든 산업이든 간에 대상을 한정하고 특정 목적을 가지고 공격하는 것들이 늘어 나는 것이 확연한 추세다. 글로벌화된 규모를 갖춘 IT서비스 기업들의 출현은 그 기업의 서비스만을 공격하여도 성공률이 높아지는 환경을 만들었다.

공격 대상은 특정 애플리케이션이나 특정 서비스를 공격해 얻고자 하는 것은 인터넷 사용자들의 개인정보 ( 게임계정, 금전거래, 서비스 정보) 및 중요기업 정보 탈취를 주된 목적으로 하고 있다. 부수적으로 공격 좀비들의 네트워크를 구성해 대규모 봇넷을 구축하고 DDos 공격등을 통해 금전적 이득이나 힘의 과시, 협박이 일상적으로 발생 되고 있는 상황이다.

조금 더 가까운 미래에는 더 치명적인 일들이 발생 될 수도 있다. 사이버상에서의 영향력이 오프라인까지 전달되는 파국적인 결과를 초래 할 수도 있는데 지금까지 국제사회에서 통용되는 가난한 국가들의 무기 혹은 비대칭적인 무기로서 사이버 공격은 언제든지 전용 될 수 있을 것이다. 공격 특징으로 꼽은 타켓화의 진행방향은 사이버 공격이 언제든 오프라인으로 확장될 수 있음을 나타내고 있다. 그 가능성은 점차 커지고 있는 상황이다.

통계치에 의해 공격의 특징들을 살펴보자.

버라이즌의 데이터 유출과 관련된 통계치다. 직접적으로 내부 데이터를 유출할 목적으로 침입을 한 경우가 72% 가량된다. 기업망을 중심으로 하여 취약한 부분을 오랜 기간 (사실 지금의 웹어플리케이션의 보안 상황이면 그리 오래 걸리지 않는다.) 조사하고 허점을 발견하면 직접 침입해 정보를 유출한다. 더불어 악성코드들을 설치하거나 유포하는 행위들도 일상적으로 일어난다. 전체 30%에 가까운 정보 유출 사고들은 랜덤한 공격을 통해 일어난다는 수치를 통해서도 현황을 극명하게 알 수 있다.

가치가 있는 자료인 경우에는 데이터를 유출하고 최종적으로는 악성코드를 유포해 부수적인 정보를 획득하고 얻는 행위들이 지금까지 일반적이었다. 국내도 마찬가지다. 목적이 무엇이냐에 따라 행위들이 달라질 뿐이지만 침입에 성공하고 제약 없이 접근이 가능한 사안이라는 점은 달라지지 않는다.

데이터 유출과 관련돼 사용되거나 유포된 악성코드들의 기능을 살펴본 통계는 키입력을 가로채고 직접 접근이 가능한 백도어 기능을 가지고 있는 것이 대부분이며 화면에 대한 캡쳐링 기능도 일반적으로 가지고 있다고 볼 수 있다. 거의 모든 정보의 유출이 가능한 형태다. 사용자 PC에 설치 되는 악성코드들도 동일한 성능을 가지고 있다.

왜 이런 악성코드들은 무차별적으로 사용자들에게 뿌려지고 기업내부의 중요망에 설치가 되는데 보안 장비들은 탐지하지 못하는가 하는 문제제기가 된다. 앞서 계속 언급 하였듯이 공격자들의 기술진보와 기술공유는 보호 관점보다 휠씬 더 앞서 있다. 발견된 악성코드들의 형식은 전체 60% 가량이 안티바이러스 제품을 피하기 위해 새로 제작 하거나 코드 수정, 압축을 통해 탐지를 회피하는 것을 볼 수 있다. 안티바이러스나 보안제품들의 탐지를 피하기 위해 수정이나 변형, 제작이 일반적인 상황이 되고 있으며 앞으로도 증가 할 것으로 볼 수 있다.

보안제품들의 악성코드 탐지는 대부분 시그니쳐 기반이다. 즉 알려진 유형에 대해서만 대처가 가능하다는 것이다. 가장 오탐을 줄이고 정확성을 확보하는 방안이라서 사용 될 수 밖에 없다. 앞으로도 오랫동안 그럴 것이다.

대안으로 휴리스틱 검진들이 나오기는 하지만 시스템이나 서비스 구조에 융화된 휴리스틱 검진은 출현하기 어렵다고 본다. 악성코드 유형 중에서 일부 오탐을 감내하더라도 압축된 방식이나 코드가 수정된 유형의 악성코드에 대해 제한적인 효과를 가질 것으로 보고 있다. 년도별 악성코드의 침입탐지 회피 시도 증가는 현재 버라이즌에서 조사한 실제 유출사고에서 분석된 내용이 알맹이만을 추출한 것으로 보고 있다. 2007년 이후 급격하게 증가한 탐지 회피 시도는 앞으로 더 은밀하고 생활과 밀접한 부분에도 직접적인 영향을 미치는 방향으로 전환 될 것으로 보인다. 탐지 회피 시도의 급증은 공격자들의 협력관계나 공유 정보들이 폭넓게 확산 되고 있음을 엿볼 수 있다.

이처럼 CSI 레포트와 버라이즌 데이터 유출 조사, Cert, Sans등의 자료를 이용해 필자가 생각하는 문제점과 방향에 대한 근거들을 설명 하였다. 지난 4~5년의 변화를 몇 가지 자료를 이용하여 간략하게 언급 하였다.

지금 우리는 사회적, 구조적, 기술적 등등 각 방면에 걸친 대응 방안이 모아지고 미래를 위한 고민과 논의가 있어야 되나 눈 앞의 현상에만 집중하고 있는 상황이다. 대책은 획일적일 수가 없다. 정답이 없다. 현명한 자들은 변화를 끌고 나갈 것이고 그렇지 못한 자들은 끌려 갈 뿐이다. 보호를 위한 방안들도 현명하고 창의적이고 통찰력이 있어야 구체화 될 것이고 살아 남게 될 것이다.

항상 악성코드의 수치를 이야기 하고 탐지 횟수를 이야기 한다. 그러나 정작 중요한 것은 피해를 입었는지, 어떤 형태를 가지고 있는지, 어떤 방식을 사용 했는지가 더 중요한 자료가 된다.

보안장비에서의 탐지로그는 규모가 있다면 단 며칠, 몇 주 만에도 몇 억 건을 가볍게 넘어선다. 그러나 성공한 침입은 몇 백만분의 1도 되지 않을 것이다. 게다가 우회를 한다면 어떤 의미들이 있을까?