#3에 대한 주제와 자료를 모아두고 웬종일 '컴퓨터, 컴퓨터, 모니터, 모니터, 키보드 다다다닥'하는 것에 지쳐 잠시 쉬자라는 생각에 손놓고 있었는데, 보안뉴스의 "[특별기고] 3.20 사이버대란, 이렇게 수습하자!"에서 장황하게 풀어서 쓰려고 했던 부분들을 다 언급해버렸네요 ^^;;
총체적 보안관리 위한 시큐리티 거버넌스 체계 확립돼야
적의 공격능력 과장하고 우리의 방어능력 축소시켜선 안돼
[보안뉴스=이재우 동국대학교 석좌교수] 현재 우리나라는 3월 20일 발생한 대규모 사이버테러 사건으로 사회적으로 큰 혼란을 겪고 있다. 공격자는 누구이고, 그 근원지는 어디이며 범인들이 사용한 공격기법은 무엇인지를 찾아내기 위해 관계기관과 보안전문가들이 심혈을 기울이고 있다. 또한, 피해 기관들은 시스템 복구와 업무 정상화에 많은 노력을 경주하고 있다.
시간의 흐름에 따라 사건의 형체도 차츰 그 모습을 드러내고 있다. 해킹 침투는 동일한 공격자에 의한 외부로부터의 공격이었고, 피해자 조직의 업데이트 관리서버(PMS)를 통한 악성코드 공격이었으며, 공격의 목적은 분명한 사이버테러로 확인되고 있다. 우리의 보안기관과 보안업체들의 전문화된 능력에 비추어 볼 때 실체가 머지않아 분명하게 밝혀질 것으로 확신한다. 그러나 실상이 밝혀졌다고 해서 그 자체만으로 사고의 대응조치가 이루어지는 것은 아니다. 또한, 그것만으로 재발방지가 자동적으로 이루어지는 것도 아니다. 우리는 다만 1차적인 기술적 긴급조치를 취했을 뿐인 것이다.
이번에 일어난 사이버대란을 포함한 그동안에 있었던 대란들은 우리에게 뼈아픈 몇 가지의 교훈을 남기고 있다. 예를 들면 다음과 같다. 소 잃고도 외양간을 고치지 않는 조직은 다시 소를 잃을 수 있다. 보안은 사슬(Chain)과 같아서 그 속에 들어 있는 모든 조직이 함께 강하지 않으면 취약한 1~2개의 사슬로 인하여 모두가 피해를 입을 수 있다.
급하다고 일시적인 미봉책으로 사건을 봉합하거나 중요한 문제점을 간과하고 어느 한 방향으로만 편향된 대응조치를 취한다면, 예기치 못한 대란을 또 다시 겪게 된다. 시스템이 침투 당했을 때 그 원인을 시스템 자체의 조사에만 국한해서는 안 된다. 해당 시스템의 보안을 맡아서 납품했던 제품 또는 운영을 지원해온 외주 업체의 보안 책임까지도 부각시켜야 한다. 그러한 당사자에게 여론의 음지에서 조용히 망각될 수도 있다는 안일한 생각을 같도록 허용한다면 그 업체는 계속 무책임한 행태를 취하게 됨으로써 지원업체의 제품이 바로 사고의 근원이 될 수도 있다. 이러한 모든 사실들은 이번 대란의 사고와 연계시켜 업계와 관련 부서가 꼭 돌이켜 보아야 할 값진 교훈들이라고 생각한다.
- 그럼요. 과거의 행위를 반성하고 현재에 고침으로써 더 나은 미래를 만들어 갈 수 있는 것이죠. 이것은 제가 절대적으로 생각하는 과거와 현재 그리고 미래에 대한 발전적인 의미라고 생각합니다.
대란 후의 언론 발표는 사태의 긴박성을 알려주는 홍보 차원에서는 성공적이었다. 그러나 일부 미디어의 경우, 사태를 설명하는 내용면에서 이론적인 모순이 많았다. 사태의 원인과 공격수단을 이해하는데 오히려 혼선을 초래케 했다. 몇 가지 예를 들어보면 다음과 같다.
“이제까지는 DDoS 공격이었으나 이번 공격은 APT(Advanced Persistent Threat) 공격이라는 점에서 이전과는 다른 공격이었다.” 그러나 APT란 지능형 지속성 위협을 말하며 새로운 공격의 종류가 아니라 DDoS를 목표로 하는 공격수단인 것이다. APT는 지능적으로 발전시킨 악성코드 유포방법으로 웜 바이러스가 그중의 하나다. 이 웜은 재래식 웜처럼 불특정 다수를 목표로 하는 DDoS 공격이 아니라 공격하고자 하는 목표(Targeted Attack)를 미리 정한 후에 장기간에 걸쳐 가능한 모든 수단을 동원해서 공격하는 지속성 위협이다. 때로는 제로데이(Zero-day Attack)와 같은 실시간 공격을 하기도 하나 주로 장기간에 걸친 공격수단을 사용한다. 때문에 APT를 Long Term Project라고 부르기도 한다.
- 저도 동감해요. APT를 이용한 공격이라는 점이 이전과는 다른 새로운 개념이 아닐 뿐더러, APT가 아닐 수 도 있다는 점도 기억해야 할 것 같아요. 하지만 제 생각은 APT는 DDoS를 목표로 하는 공격수단보다 조금 더 큰 개념이 아닐까요?
조금 더 구체적으로 살펴보면, APT 공격은 정해진 목표 시스템에 몰래 잠입시켜 장시간 숨겨 두었다가 공격 근원지에서 내리는 명령에 따라 목표 시스템을 공격토록 한다. APT의 대표적인 웜은 2010년도 9월에 이란 원자력 시스템을 공격한 스턱스넷(Stuxnet)이다. 목표 시스템 속에 1년간 잠복했던 것으로 알려져 있다. 이외에도 GhostNet 웜은 1년 9개월, RSA는 2개월, Ourora는 6개월을 잠복했던 것으로 밝혀졌다.
이러한 웜에 부여된 임무도 각각 다르다. Stuxnet처럼 원자력 시스템을 파괴시키는 임무 부여도 있고, Flamer나 Zeus처럼 정보 수집을 목표로 하는 스파이 웜도 있다. 이 Flamer 웜은 이란을 겨냥해 미국과 이스라엘이 합작으로 개발한 국가차원의 정보전 툴이라고 알려져 있다. 이것은 비밀리에 단편적인 악성코드의 형태로 대량 침입하여 이란의 컴퓨터 망을 계속 모니터링하면서, 미국의 사이버전에 필요한 정보를 끊임없이 보내주는 스파이 웜이다. 그 외에도 금전적 목적을 가진 Rouge 웜도 있고 자원 확보를 목적으로 하는 Rustock 웜도 있다.
APT는 특정 목표를 공격하는 새로운 수법의 공격임에는 틀림없다. 그러나 돌이켜 보면 APT 공격이 결코 우리에게 생소한 형태의 공격은 아니다. 왜냐하면 2003년 1월 25일에 있었던 1.25 DDoS 대란이나, 2009년도의 7.7 대란 및 2011년도의 3.4 대란 등은 불특정 다수의 시스템을 공격했던 대란이었으나, 그 후에 일어났던 농협, 현대캐피탈, SK컴즈 등에 대한 공격은 이미 특정 목표를 정해놓고 공격한 발전된 사이버 공격이었기 때문이다.
또 어느 미디어의 발표에는 이러한 기사가 있었다. “이번 공격은 악성코드의 명령에 따라 시스템을 파괴시키는 Logic Bomb(논리폭탄)에 의한 사이버 테러다.” 그러나 Logic Bomb은 제3의 명령에 의한 공격이 아니라 자체가 독립적으로 가동하여 공격하는 악성코드다. 이것은 목표 시스템에 숨어 있다가 이미 내려진 명령조건과 일치될 때만 자동적으로 작동해 목표 시스템을 파괴시키는 논리폭탄이다. 그 파괴력이 실제 폭탄과 유사하다고 해 Logic의 뒤에 Bomb이라는 말을 붙인 것이다. 따라서 지시된 조건과 맞지 않으면 계속 숨어 있게 된다. 이것은 오래된 범죄수법의 일종이다.
또 어느 미디어에는 ”트로이목마란 악성코드를 잠복시켜 폭탄 터지듯 PC를 파괴시키는 악성코드“라는 기사도 있었다. 그러나 트로이목마(Trojan Horse)라는 악성코드는 목표 시스템에 잠복하여 시스템의 정보를 지우거나 변조하거나 첨삭하는 방식의 피해를 주는 악성코드로 폭탄이 터지는 듯한 피해를 주는 Logic Bomb과는 구분된다.
“이번 공격은 악성코드, 백도어, 트로이 목마 및 Malware에 의해 시스템이 파괴된 사이버 테러였다”라는 기사도 있다. 그러나 악성코드가 Malware이고 백도어, 트로이목마가 바로 악성코드들이다. DDoS 공격에 동원되는 봇(Botnet)이나 좀비(Zombie)도 같은 의미의 말이다. Botnet는 Robot Network의 준말이다. 일시적으로 총공격을 하라는 지령자의 명령에 따라 움직이는 허수아비 시스템들이라는 말이다.
- 기사들을 보면 참으로 안타까운 기사들이 많아요. 실제 일반인들은 기사를 통해 상황을 전파를 받기 때문에 정확한 용어, 명확한 개념으로 기사들을 채워야 할 것이 분명해요. 또한 악성코드 분석 보고서를 작성하는 기업들도 포함되지요. 누가 먼저 분석보고서를 빨리 내느냐가 중요하다고 판단한 기업들의 잘못된 보고서들이 헷갈리게 만들기도 하지요. 차라리 앞으로 어떤 방법으로 이러한 상황을 예방 할 수 있는가에 초점을 둔 기업이라면 신뢰가 올라가지 않을까요?
돌이켜보면 그동안에 있었던 몇 가지의 정보는 우리에게 머지않아 있을지도 모를 해킹을 예고했던 것으로 보인다. 2012년도 사이버 범죄동향은 해커들이, 많은 고객들의 접속이 폭주하는 신문사 사이트를 범행을 위한 루트나 좀비사이트로 이용하고 있으며 또 한편으로는 많은 사람들이 이용하고 있는 한글 프로그램을 공격의 대상으로 삼고 있다는 정보를 한국인터넷진흥원(KISA)에서 발표한 바 있었다.
- 지당하신 말씀입니다. 공격자들은 Analytics Program을 이용하여 방문자들의 정보들을 수집하고, 이를 바탕으로 공격하는 지능화를 보유하고 있어요. 심하게는 TDS를 이용하여 특정 국가, 시간대, 브라우저, OS등 세분화해서 공격을 하기도 해요. 접속자수가 많을 수록 수익구조가 늘어나는 사이트의 경우 보안에 더욱 신경써야 한다고 생각합니다.
또한, 당일 방송사나 은행의 대량 공격 이전에 이미 나타난 LG유플러스 그룹웨어의 해킹, 같은 전산망을 지원받고 있는 철도 전산망의 이상 징후, 지난 3월 11일부터 15일까지 원격조정이 가능한 특정 파일 형태가 지속적으로 유포되고 있음을 보안당국이 인지하고 있었던 사실, 국내외 도메인의 악성코드 유포사항을 모니터링하고 있는 빛스캔의 이상징후 인지 등 여러 가지 사전 징후가 있었던 것으로 발표됐다. 그와 같은 여러 징후들로 보아 전문부서에서나 유사한 임무를 수행하고 있는 해당 조직들이 조금 더 관심을 기울였더라면 언론사의 공격도 사전 예측이 가능하지 않았을까하는 아쉬움이 남는다.
美 표준국 NIST의 보안 원칙 8가지 중에 이런 것이 있다. “보안은 포괄적(Comprehensive)이고 통합(Integrated)된 접근을 요한다.” OECD의 9가지 보안지침에는 이것을 통합성(Integration)으로 표현하고 있다. 이 통합이란 뜻은 기술적 보안, 물리적 보안, 관리적 보안 등이 모두 통합된 유기적 체제로 이루어져야 한다는 것을 의미한다.
- 감사합니다. NIST 보안 원칙 8가지에대해 찾아볼께요.
사고의 대응조치도 이와 같은 원칙 하에, 기술과 관리를 통합시켜 총체적으로 수행되어야 한다. 이번 대란의 대응이 기술적인 조치만으로 마무리 되거나 일시적인 미봉책으로 봉합되어서는 안 된다. 그렇게 되면 앞으로 재발되는 사고의 순환 고리를 결코 끊을 수가 없다. 당연히 기술적인 사고분석과 대응조치가 최우선 과제가 되어야 한다. 그러나 사고의 원인을 거시적인 관점에서 평가·분석하고 통제하며 신상필벌하는 관리적 차원의 사고대응이 뒤따라야만 대응조치가 완성되는 것이다. 이러한 총체적인 보안관리를 시큐리티 거버넌스(Security Governance)라고 부른다.
- 위 같은 소스를 미봉책으로 봉합되었다고 할 수 있겠죠?
이번 대란의 경우에도 떠들썩하게 부각되는 일시적 관심사에 밀려 중요한 관리적 보안조치들이 간과되어서는 안 된다. 사이버테러의 대응조치는 국가의 안보와 직결되는 중요한 문제이기 때문에 당연히 최우선적으로 조치되어야 하나 그렇다고 그러한 대의명분 하에 사고의 재발 방지를 위해서 세심히 다루어야 할 중요한 관리적 사항들을 놓쳐서는 안 된다는 얘기다.
성공적인 보안관리를 위해서는 이러한 질문들이 있어야 한다. 피해조직들은 평상시에 상시업무지속계획(BCP: Business Continuity Plan)을 세워놓고 있었는가? 세워놓고 있었다면 백업 시스템의 설치나 각종 백업 조치들이 이루지고 있었는가? 그렇다면 최소한의 필수 업무는 지속됐어야 하고 전면적인 업무 마비는 없었어야 한다.
또한, 재난복구 계획(DRP: Disaster Recovery Plan)은 세워놓고 있었는가? 있었다면 그 계획에 대한 훈련은 평상시에 해본일이 있었는가? 있었다면 업무복구 시간은 많이 단축됐을 것이다.
보안장비도 철저히 검토해야 한다. 단순히 장비를 설치했다고 해서 침투사고를 막을 수 있는 것이 아니다. 조직의 모든 보안 시스템은 주기적으로 재평가 되고 있는가? 보안장비는 수행하고 있는 업무의 양에 맞도록 적정 수를 설치했는가? 보안장비는 업무에 맞도록 적정 강도의 기능을 발휘하고 있는가? 보안 시스템의 소프트웨어 자체에 취약점은 없는가? 평소에 이러한 점검을 수행했다면 이번과 같은 백신 업데이트 시스템을 통한 악성코드 유포는 막을 수 있지 않았을까? 그렇다면 새로 침입하여 숨어 있었건, 미리 잠복되어 있었건 간에 어느 형태의 악성코드라도 발견할 수 있지 않았을까?
또한, 다음과 같은 질문들이 필수적으로 이루어져야 한다. 피해조직은 보안정책(Policy)을 세워놓고 있었는가? 보안정책은 업무의 보호 수준에 부합되도록 수립되어 있는가? 평상 시 그 정책을 수행하기 위한 관리 노력은 얼마나 기울였는가? 그래서 보안통제는 잘 되어 있었나? 피해조직은 그동안 시스템 감사를 받은 일이 있는가? 정보보호 안전진단은 받은 일이 있는가? 정보보호 관리체계(ISMS)의 인증은 받았는가? 이러한 것들을 주기적으로 받아왔는가? 피해조직의 준법(Compliance) 실태는 어떠한가? 보안과 관련된 법의 미흡한 점은 없는가? 이러한 여러 항목들이 기술적 사고 대응에 부합되는 합리적이고 총체적인 정적관리 대응조치인 것이다.
앞으로는 공격자의 호칭에 대해서도 재고해야 한다. 대란이 발생할 때마다 모든 침입자를 해커의 침입 또는 해킹 공격을 당했다고 말하고 있으나 공격하는 목적에 따라 호칭도 달라져야 한다. 물론 모든 공격을 해킹으로 단순화시키면 이해하기는 쉽다. 그러나 공격하는 목적이 모두 다르기 때문에 그에 합당한 대응을 하기 위해서는 범행자의 호칭도 달라져야 한다.
예를 들면, 정치적 목적을 가진 해커는 ‘핵티비스트(Hacktivist)’라고 불러야 하며 비밀정보 수집을 목적으로 하는 침입자는 ‘사이버 스파이(Cyber Spy/Espionage)’라고 불러야 한다. 특히, 시스템을 파괴함으로써 임무를 중단 시키고 혼란을 초래할 목적으로 공격하는 자는 ‘사이버 테러리스트(Terrorist)’라고 불러야 하며 군사적 정보전을 목적으로 공격하는 자는 ‘사이버군 또는 사이버 전사’라고 불러야 한다.
악성코드로 인한 같은 형태의 사이버공격이라 하더라도 해커 수준의 공격 피해와 정보전의 목적에 의한 피해수준이 다르다. 해킹은 군사적 정보전의 한 수단에 불과하다. 따라서 마땅히 대응수단의 종류와 규모 및 그에 대한 대응전략이 달라져야 한다. 그동안 여러 번 일어났던 사이버대란은 정보전의 일종으로 간주되기도 한다. 정보전을 목적으로 하는 악의적 공격을 단순히 해킹 당했다고만 하거나, 상대의 사이버전 전사들을 단순하게 ‘해커’라고 부르는 것은 군의 강력한 대응 차원에서나 국가 차원의 대응전략 측면에서는 너무나 약하다.
- 대응이 너무 약해요 ㅠㅠ
사이버대란의 대국민 발표 전략도 다듬어야 한다. 많은 시스템이 공격을 당할 때마다 대란이라는 이름아래 사회가 너무나도 심각한 혼란을 겪는다. 당연히 국민에게 피해를 입은 사실과 피해 현황을 신속히 알려야 한다. 알려야 할 의무와 알아야 할 권리를 우리 모두가 가지고 있기 때문이다. 그러나 사고 발생 후에 취하고 있는 몇 가지 설명들은 다소 의구심을 갖게 한다. 저 것은 과연 ‘단순한 홍보차원의 발표인가?’ 또는 ‘국민에게 불안감을 조성하여 경각심을 갖게 하려는 것인가?’ 혹은 ‘국민에게 컴퓨터와 사이버범죄를 가르치려는 교육목적인가?’ 만일 교육이 목적이라면 모든 국민이 소프트웨어의 복잡한 악성코드 구조나, 프로토콜 및 침투수단 등을 그토록 소상히 알 필요는 없다.
대부분의 국민에겐 사실 자체의 인지가 중요하다. 상세한 범행기법이나 수단들은 해당 부서의 요원이나 관계된 전문가들의 몫이기 때문이다. 국민에겐 오히려 이러한 것이 요구되고 강조되어야 한다. “전문적인 보안조치는 우리가 맡겠습니다. 우리를 믿고 안심하십시오. 여러분들께서는 비밀번호를 주기적으로 바꾸시고 확인되지 않은 메일은 열지 마시고 사이버 사기에 넘어가지 마십시오. 시스템에 이상 징후가 있으면 즉시 우리에게 신고해주십시오” 등을 강조하는 것이 효율적인 대책이 되리라고 본다.
- 이게 정말 정말 동감됩니다. 단 한명의 국민이 해킹에 의한 피해를 입는다면 국민의 재산을 보호할 권리가 있는 국가가 책임지고 앞장서서 나서야 하지 않겠습니까? 또한 사소한 행동만으로도 피해를 크게 줄 일 수 있다면 그에 맞는 교육(배우는 사람의 수준에 맞춘)을 해야하는 것이 아닐까요? 전 국민을 대상으로 할 수 없다면(늘 핑계로만 자리잡은 예산부족)이라면 최소한으로 소,중,대 기업들에게 지속적인 의무교육을 해야하지 않을까요? 철없고 어린생각이지만 회피하고 쉬쉬거리는 것보다는 맞는 말인 것 같습니다.
대국민 발표에 있어 피해야할 한 가지가 더 있다. 국민에게 상황을 설명하는 사람이 의도적이던 아니던 간에 적의 공격능력은 과장하고 우리의 방어능력은 지나치게 비하 또는 축소 시켜서는 안 된다. 때로는 그렇게 해야 할 경우도 있겠지만, 자칫하면 밤낮 없이 대응태세를 갖추고 대비하며 많은 고생을 하고 있는 관련 부서 요원 및 보안전문가들에 대한 고마움보다는 오히려 불신감을 키울 수 있고, 국민들에겐 불필요한 위기감만 느끼도록 하기 쉽다.
또한, 대내외 해커 집단이나 대북 경고 측면에서도 바람직하지 않다. 실상은 분명히 적보다 우리가 월등하다. 본래 해킹방어 능력이나 사이버전의 능력에 대한 실상을 구체적으로 밝히는 것은 정보전에서 타부시 되는 항목이다. 사이버전력의 실체가 있는 것 같기도 하고, 없는 것 같기도 하며, 방어 및 공격능력을 갖추고 있는 것 같기도 하고, 아닌 것 같기도 하게 느끼도록 모호한 상황을 만드는 것도 중요한 군사 및 국가전략임을 이해해야 한다.
- Virus Bulltin에서 V3 능력 평가도를 바탕으로 작성한 기사를 보고 한숨만... PMS는 전적으로 해당 백신업체의 문제다 라고 말하는 기사들에서 한숨더 추가(물론 책임 회피할 수 있는 부분은 아니지만 전적으로 백신업체다라고 말할 수 없는 시스템과 구조)... 그리고 그런 기사들만 믿으며 같이 매도하는 시민의 의식구조에서 한숨 더더더...
[글_이 재 우 한국사이버포렌식전문가협회 회장·국제정보보호전문가협회 아세아지역 회장·동국대학교 국제정보대학원 석좌교수·정보체계학 박사]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
- 문제가 될 시 자삭하겠습니다. 그리고 좋은 글 감사합니다.
'Information Security > Security Information' 카테고리의 다른 글
Javocalypse (0) | 2013.04.11 |
---|---|
정보 보호 원칙 (0) | 2013.03.25 |
3월 20일 한국 사이버 공격 총망라 #2 (0) | 2013.03.24 |
3월 20일 한국 사이버 공격 총망라 #1 (0) | 2013.03.23 |
Traffic Market과 Traffic Analytics에 대한 고찰 (0) | 2013.03.20 |