[칼럼]보안:21세기 몽골기병의 침략

전상훈

서기 1241년 몽골의 칸인 바투는 헝가리의 왕에게 항복을 하라는 서신을 보낸다. 이에 헝가리 왕은 교황에게 구원을 요청했지만 몽골군의 도착이 더 빨랐다. 유럽 최강국이었던 헝가리의 군사들과 유럽 최정예 연합 기사단 등 20만 대군은 몽골군의 침입에 대항했고 결과적으로 처참하게 패하여 몽골의 악몽을 깊이 새기게 됐다.

일설에 따르면 몽골 장수인 제베가 이끄는 2천명의 기병이 10만의 기사단을 라이프찌히에서 몰살시켰다고도 한다. 사실여부를 떠나 그만큼 강력한 군사력으로 상대를 압도했다는 것이 중요하다. 총 인구 100만에 가용 가능한 병사수가 20만인 몽골은 어떻게 대제국을 이루게 됐을까? 또 중세 유럽의 강력한 왕권국가들이 왜 그들에게 무릎을 꿇을 수 밖에 없었을까? 우리나라의 경우 병자호란 때 쌍룡전투에서 몽골기병 300명에 의해 조선군 4만이 패한 것도 예가 될 수 있다.

전술이 없고 전략이 없는 병력은 그 규모가 크더라도 제물이 될 수 밖에 없음을 이미 역사에서도 증명하고 있다. 그러나 유럽의 기사단 연합은 동시대 최고의 역량과 조직화된 집단이었다는 점에서 차별성을 가진다. 지금의 IT 환경에서 공격과 방어의 입장은, 유럽의 기사단 연합과 몽골군과의 대결에 깊은 유사성을 가지고 있다.

현재의 IT환경은 어떤 부분에서 몽골 기병이 활약하였던 중세 시대와 유사성이 있을까?

먼저 800년이나 지난 이야기를 꺼내는 이유는 무엇일까 하는 의문을 가져야 한다. 몽골기병은 사이버상에서 이미 부활했고 활발하게 영토를 넓히고 있다. 비유를 하자면 지금 전 세계를 떠들썩 하게 하고 있는 해커그룹 ‘어노니머스’와는 격이 다른 세계정복자라고 해야 할 것이다. 눈에 잘 보이지 않으며 강력한 영향력을 갖춘 그들은 아직 소수만이 인지하고 있을 뿐이다.

몽골기병의 사례는 13세기나 지금이나 들고 있는 무기만 달라졌을 뿐이지 전술과 전략은 달라진 것이 없다. 몽골기병의 전술과 전략은 지금의 시대에서 인터넷상을 유린하고 있는 공격자들의 전술 전략과도 맞닿아 있다. 당대 최정예라고 이름 붙여진 유럽의 기사단들의 몰락에는 전술적 대응의 실패로 전멸을 초래 하는 것과도 이어져 있다. 적의 정체에 대해서도 몰랐다는 것이 정답일 것이고 이는 21세기인 지금 사이버 세상에서도 마찬가지다.

■우리는 그들에 대해 얼마나 알고 있는가? 공격자들의 전략

목축과 수렵으로 단련된 군사들과 대규모 사냥으로 길러진 조직적인 전술 행동력, 능수능란한 작전이 겸비된 그들 앞에 철갑을 두르고 긴 창을 지닌 기사단들이 나타난다. 둔탁하고 느리며 정면승부만을 고집한다. 그들은 기사단을 둘러싸고 포위한 채로 사정거리가 긴 활을 수시로 대열 속으로 발사하고 틈이 생겼을 경우에는 일거에 돌입하여 대열을 흐트러뜨리고 격파를 한다.

영화에서나 보던 이런 장면은 눈에 잘 보이지는 않으나 인터넷상의 활발한 공격 흐름에서도 손쉽게 관찰되고 있다. 역할 분담이 된 공격자들과 수시로 빈틈을 노리고 배회하는 취약성 공격들... 그러다 한 곳이라도 빈틈이 발견되면 일거에 점령하고 무장해제를 시킨다. 공격자들로부터 지키기 위해서는 모든 부분을 일정수준 이상 유지해야 하고 한 눈을 팔았다간 순식간에 제어권이 넘어가고 만다.

몽골기병 특징은 기동성, 무기(강한 활), 전술(유인과 기습)이다. 그리고 21세기판 사이버 몽골기병의 특징도 다를 바가 없다. 기동성(관리자를 농락하는 치고 빠지기), 무기(강력하고 직접적인 취약성 공격), 전술(악성코드의 대량 유포 및 탐지 회피)

최소 4개국 이상으로 구성된 연합 기사단은 지금의 보안 분야의 대응 정도가 될 것이고, 몽골기병은 현재의 인터넷을 유린하고 있는 공격자가 될 것이다.

공격자들이 너무나도 빨리 다녀가는 바람에 왔다 갔는지도 모르는 지금의 상황은 유럽을 휩쓸던 몽골기병이 칸의 죽음으로 본국으로 귀국해 사라진 그때처럼 정체도 몰랐었던 중세의 유럽과 다를 바가 없다. 신무기(새로운 취약성)를 적극적으로 받아들이고 연구하며 치고 빠지며 기습을 하는 악성코드 유포 전략, 하루에도 수 차례 이상을 침입하여 유포 경로를 변경하고 조작하는 기동성으로 무장한 공격자들은 거칠 것이 없다. 하물며 공개적으로 세계적인 기관과 기업들을 해킹하고 공개하는 어노니머스와 같은 그룹도 있는 판국에 그들보다 몇 수 위인 공격자들은 조용히 그들의 실익을 챙겨가고 있다.

당대 최고로 구성된 기사단의 전멸은 많은 점을 시사한다. 같은 부류의 싸움에서는 보다 튼튼한 장갑과 긴 창으로 무장하고 정면 충돌을 통해 우위를 점할 수 있다. 그러나 전략이 다르고 근본적 구조가 다른 그룹과의 충돌은 치명적일 수 밖에 없다. 보다 뛰어난 사정거리의 활, 기마에 숙련된 환경, 사냥을 통해 길러진 협력 전술은 마치 기사단을 사냥감처럼 구석으로 몰아 세우고 결국에는 전멸을 시키는 모양새와도 유사하다.

■사이버 테러 앞에 둔 우리의 현실은?

보다 강력한 시스템 보호 환경을 위해 잦은 업데이트를 하고 최신 판단 기술로 완벽한 보호를 다짐하고 있는 다양한 보안 체계들이 있다. 그러나 공격자들은 상시적인 보완이 느릴 수 밖에 없는 애플리케이션에 대한 직접적인 공격과 권한 획득, 악성코드 탐지 시스템의 우회와 회피를 통해 순식간에 침입을 하고 그 침입을 통해 목적을 달성한 이후 유유히 사라져 간다. 사라져간 이후에나 중무장을 한 전문가들과 보안제품들은 공격자를 추적하기 시작한다. 이미 거기에는 쓰레기와 같은 접속 흔적만이 남아 있다.

왜 전 유럽이 몽골의 기병에게 유린 당했는지는 여러 의견들이 있겠지만 기동성과 전략, 뛰어난 무기가 큰 역할을 했음은 분명하다. 21세기인 사이버 세상의 현실도 달라진 것은 없다.

주말마다 공격을 반복하는 공격자들의 흔적은 비단 다른 통계를 들지 않더라도 백신 회사인 카스퍼스키랩의 통계만을 보아도 확인 할 수 있다. 대부분 트로이쟌과 키로깅, 백도어 들이 유포되고 있으며 전 세계적 비율에서도 가장 월등한 비율이 한국에서 나타나고 있다. 분명한 것은 이 수치도 빙산의 일각일 가능성이 매우 높다는 점이다. 백신의 특성상 발견 이후 대응까지는 일정 시일이 소요 될 수 밖에 없기 때문이다.

위 그림의 발표 내용을 보면 새벽 3시간 동안의 소규모 사이트 공격을 통해서도 3만4천대의 좀비 PC를 확보 하는 것을 확인 할 수 있다. 공격 성공률은 60%에 육박함을 확인 할 수 있다.

공격자들이 취약한 웹서버를 공격하여 얻는 이득은 4~5년 전만 하여도 데이터베이스에 있는 정보를 탈취해 팔거나, 내부에 침입을 하기 위한 경로 확보 목적이 다수였다. 그러나 지금은 목적이 바뀌었다. 이미 저장된 정보의 대부분은 탈취됐거나 보다 더 높은 가치를 가지지 못하기 때문이다.

공격자는 더 높은 가치를 가지고 있는 부분으로 공격 대상을 전환했고 그 목적에 맞게 웹서버를 침입하고(특히 방문자들이 많은 사이트가 대상이 된다) 악성코드를 사용자에게 배포 할 수 있도록 소스코드에 악성링크를 살짝 추가한다. 이후 정상적이라 믿는 웹 서비스에 접근하는 모든 사용자들에게는 악성코드가 배달이 된다. 그리고 그 악성코드들은 사용자의 키입력과 ID/패스워드를 부지런히 수집하고 전달 한다. 수익은 그 이후에 발생된다.

■무엇이 필요한가?

공격자들이 떠난 이후에 둔한 움직임으로 그들을 추적하는 대군은 항상 뒤만 쫓아 다닐 수 밖에 없으며 기습적인 공격에 의해 수시로 피해를 감내 할 수 밖에 없는 상황에 직면하고 있다. 그들이 떠난 자리에 폴리스라인을 쳐둔들 잡을 수 있겠는가? 크롬 브라우저에서 웹서핑 시 나타나는 ‘Malware Detected’라는 붉은 경고로 공격자들의 기동성을 막기 위해서는 모든 접근 가능한 웹 서비스에 대해 접근 금지를 해야만 가능 할 것이다.