3.20 사이버 테러가 발생한 지 벌써 한 달이 넘었다. 아직 모든 사고가 수습된 것은 아니지만 정부는 북한이 사회혼란을 노려 수행한 지능형지속가능위협(APT) 공격이었다고 발표했다.
해커들은 이메일 등을 이용해 악성코드 유포를 시도했고, 이를 통해 그동안 성역으로 여겨졌던 안랩, 하우리 등 일부 보안회사가 제공하는 보안 체계의 허점도 노출됐다.
7.7 분산서비스거부(DDoS) 공격, 3.4 DDoS 이후에도 여전히 컨트롤 타워 없이 사이버 공격에 대한 대응에 우왕좌왕하는 모습을 드러내기도 했다.
2일 그동안 3.20 사이버 테러에 대해 말을 아끼던 국내 보안회사 대표들로부터 연이은 보안사고에 대한 해결책 혹은 개선책 등을 물었다. 이들은 기본적인 컨트롤 타워가 필요하다는 주장에서부터 계정정보를 일반 사용자 PC에서까지 관리해야 한다는 등의 의견을 냈다.
국내 기업, 여전히 리스크 관리에 약하다.
조규곤 정보보호산업협회(KISIA) 회장은 3.20 사이버 테러 이후에 대해 이렇게 평가했다. 이는 가장 핵심적이면서도 풀기 어려운 문제다. 보안회사들은 고객들이 원하는 보안 수준을 맞추기 위해 적절한 단계를 유지해야만 한다. 예를 들어 가장 높은 수준의 보안 강도가 100으로 봤을 때 기업, 공공, 금융 등의 고객들이 원하는 수준이 10이라면 기본적인 단계에서만, 80이라면 관리자 뿐 아니라 사용자 PC까지 강도 높은 보안정책을 적용할 수 있다는 것이다.
보안회사가 잘 만든 솔루션을 확보하고 있다고 해도 이를 적용해 보안성을 높이기 위한 현실적인 대책을 만드는 것은 보안회사가 아닌 기업이나 기관의 몫이다. 해커들은 3.20 사이버 테러를 위해 안랩, 하우리 등 보안회사가 제공하는 자산관리시스템 혹은 패치관리시스템을 악용했다. 이들 회사의 시스템에 보안취약점이 있었다는 점은 이 사고에서 면죄부가 될 수는 없다. 다만 피해기관 입장에서 보다 강도 높은 보안정책을 썼더라면 피해를 막거나 최소화했을 가능성이 높다.
안랩이 농협에 제공한 안랩 폴리시 센터(APC)는 본래 이 회사가 백신을 업데이트하기 위해 사용되는 중간 서버 역할을 한다. 안랩이 자사의 업데이트 서버에서 최신 보안 업데이트를 올리면 이 내용이 APC를 거쳐 고객사 임직원들의 PC와 내부 서버를 업데이트하는 식이다.
문제는 APC가 본래 가진 백신업데이트 배포 기능 외에도 농협에서 필요로 하는 다른 SW 업데이트, 패치 등의 업무에 사용됐다는 점이다. 익명을 요구한 보안업계 전문가는 안랩의 경우 APC에 고객사에서 요구하는 여러가지 기능들이 추가로 적용되면서 보안성이 낮아졌을 가능성이 높다고 밝혔다.
사고 터진 날 방송사에 있던 친구로부터 전화가 왔다. 도대체 어디에 연락을 해야되는지 모르겠다고...
이득춘 이글루시큐리티 대표는 3.20 사이버 테러 이후 가장 절실한 것은 단일화된 대응체계라고 주장했다. 이 대표의 친구는 실제 피해를 입었던 방송사의 앵커였다. 이날 사고 이후 이 앵커는 어디에 신고를 해야 하는지 모를 정도로 연락해야할 포인트가 많았다고 말했다는 것이다.
사이버 보안 비전문가들의 경우 사고가 터져도 어디에 먼저 신고해야 하는지 모르는 경우가 태반이다. 현재 민간은 한국인터넷진흥원(KISA), 공공기관은 국가정보원, 사이버 범죄는 경찰청 사이버테러대응센터 등이 맡고 있으나 일원화된 창구가 있는 것은 아니다.
이 대표는 사실 국민들 입장에서는 악성코드가 어떻게 유포되서 어떤 식으로 활용됐는지에 대한 기술적인 분석보다는 당장 피해를 최소화하고 복구하는 일이 더 중요하다며 이를 위해 각 부처들 간에 신속하게 대응할 수 있는 협업이 이뤄져야할 필요가 있다고 지적했다.
패러다임이 바뀌었다. 뚫려도 안전하게 보호할 수 있어야...
신수정 인포섹 대표는 3.20 사이버 테러 이후 정보보안에 대한 패러다임이 바뀌고 있다고 밝혔다. 설사 해커에게 PC의 보안대비책이 뚫리더라도 추가적인 확산을 방지하고, 내부 정보 유출을 막을 수 있는 환경을 만들어야 한다는 의견에 대한 공감대가 형성되고 있다는 것이다.
3.20 사이버 테러와 같은 지능형지속가능위협(APT) 공격은 기존 백신, 방화벽, 침입방지시스템(IPS) 등만으로는 막기 어려운 부분들이 존재하는 것이 사실이다. 관건은 기본적인 방어체제를 갖추는 한편 뚫렸을 경우에도 데이터가 유출되는 일은 없도록 해야한다는 것이다. 신 대표는 한 대의 PC가 해킹되더라도 이를 통해 다른 PC로까지 위험이 전이되지 않도록 계정관리, 접근통제 등을 강화할 필요가 있다고 밝혔다.
관련기사
- 해커들, 웹사이트 어떻게 가지고 노나2013.05.02
- 안드로이드 악성코드, 17배↑2013.05.02
- [사이버수사대]⑨해고통보에 앙심…병원기록삭제2013.05.02
- [Q&A]3.20 해킹 북한소행, 증거는…2013.05.02
신 대표는 특히 금융권을 중심으로 이와 같은 내용에 대한 계획을 세우고, 투자를 늘리는 방안을 검토하고 있는 것으로 알고 있다고 말했다. 계정관리, 접근통제는 회사 내부 서버에 접속하기 위해 ID/비밀번호 등을 포함해 접근할 수 있는 권한을 관리하는 방법에 대한 것이다.
기존에는 회사 내 서버를 운영하고 있는 시스템 관리자의 계정이나 인증에 강도 높은 보안정책을 적용했다면 앞으로는 IT담당 관리자는 물론 일반 직원들에게까지 계정관리 대상을 확대해야 할 필요가 있다는 설명이다.
