ViRobot

하우리샵 바로가기

보안뉴스

사이버 공격이 일상인 시대, 숙제는 세 가지
등록일 : 2017.09.14
보안의 기본기는 세 가지 : 약화, 대응, 해결
기본기 혼자서 다 지키기 어려워...‘우리’가 궁극의 답


[보안뉴스 문가용 기자] 사이버 공격은 더 이상 지하실이나 옥탑방 같은 구석진 곳에서 옹기종기 모여 앉은 컴퓨터 애호가들끼리 실험이나 장난을 목적으로 실행되는 것이 아니다. 취약점 익스플로잇을 통한 사이버 공격은 이미 하나의 산업으로 자리 잡았고, 이는 매일처럼 바뀌는 그들의 전략과 툴들을 통해 적나라하게 드러나고 있다.

[이미지 = iclickart]


그들은 나름 열심히, 그리고 치열하게 살아가는 중이다. 다크웹에 있는 경쟁자들 사이에서 직접 개발한 코드를 팔아치워야 하기 때문에 사용법도 친절하게 알려주고, 공짜로 교육도 하며 A/S 서비스도 좋다. 그런 와중에 경쟁력이 좋은 제품이나 해커들만 살아남게 되고, 전체적으로 보면 공격 효율이 좋고 질이 뛰어는 툴들이 부각되기 시작한다. 그러다 보니 이제는 기술적인 배경이 전혀 없는 해커들이라도 괜찮은 해킹 공격을 통해 돈을 벌 수 있게 됐다.

심지어 해킹을 ‘사업 아이템’으로 하고 있는 기업형 범죄 조직들도 탄생하고 있다. 사무실도 있고, 성과 목표를 도표화해두기도 하고, 보너스 구조, 성과 비교 분석표 등도 갖추고 있는 등 일반 영업 조직과 전혀 다를 바가 없다. 심지어 이런 회사(?)의 직원들은 일반 은행 계좌를 통해 급여를 받고, 이들은 또 국가에 세금을 내기도 한다.

이런 상황에서 우리는 어떻게 방어체제를 더 견고히 할 수 있을까? 이 고민은 보안 담당자에게 있어 영원히 사라지지 않을 텐데, 사실 답은 문구 안에 있다. 바로 ‘우리’다. 여기서 ‘우리’란 생산자, 개발자, 보안 담당자만을 말하는 게 아니라, 제품이나 솔루션을 설치하는 사람, 설치된 제품과 솔루션을 사용하는 사람들까지도 포함한다. 이 모든 ‘참여자’들이 해야 할 건 무엇인가? 굉장히 많겠지만, 결국 세 가지로 요약이 가능하다.

공격 가능성 약화
공격자들이 회사까지 차려가며 끊임없이 노리는 우리의 디지털 자산을 어떻게 보호해야 할까? 이에 대한 설명은 이미 수많은 문건으로 전수되고 있다. 사용자를 위한 실천사항부터 보안 담당자들을 위한 기본 수칙까지, 다양한 시각, 다양한 내용의 자료들이 셀 수 없을 만큼 존재한다. 예를 들면 디폴트 비밀번호나 사용자 이름을 사용하지 말라는 것. 왜냐하면 이런 기본적인 취약점을 찾아내려고 해커들은 눈에 불을 켜고 있기 때문이다.

사용하지 않는 서비스나 프로토콜 역시 꺼두거나 없애야 한다. 그런 사각지대를 통해 공격이 들어올 가능성도 분명히 존재하기 때문이다. 또 뭐가 있을까? 네트워크에 연결된 장비와 설치된 소프트웨어를 모두 목록화하고 이를 항상 최신화하는 것도 기본이다. 그러면서 펌웨어 업데이트를 하는 것 역시 필수다. 그래야 공격자들 편에서도 자신들의 공격 방법이나 툴을 업그레이드시켜야 하기 때문이다. 이는 시간 지연으로 이어지고, 따라서 위험이 약화되거나 무력화된다.

공격에 대응
공격 가능성을 낮추고 위험성을 약화시킨다고 해서 사건이 안 일어나는 건 아니다. 뭔가 일이 발생했거나 이벤트가 탐지되었을 때, 감염의 확산을 최대한 막는 것이 ‘약화’ 이후에 할 일이다. 공격을 발견했을 때 가장 먼저 할 일은 해당 솔루션이나 장비의 제조사나 공급 업체가 이 공격에 대한 정보를 가지고 있는지, 방어 방법을 알고 있는지 확인하는 것이다. 해당 공격을 가능케 한 취약점에 대해서는 직접 만든 사람들이 가장 잘 알고 있을 확률이 높다. 심지어 그 취약점을 미리 파악하고 패치를 개발 중에 있을 가능성도 있다.

연락이 닿지 않는다면 매뉴얼이나 웹사이트 내 사용설명서 등을 참조해 가장 적합한 조치를 취하는 게 좋다. 사이버 공격이 발생했을 때 기업이 취할 수 있는 대응책이란 응급조치에 가깝다는 것을 기억하라. 이 단계에서 수술을 해서 완치시키는 게 목적이 아니다.

문제의 해결
응급조치를 취해서 급한 누수나 유출을 막았다면 이러한 공격이 두 번 다시 일어나지 않도록 꾀해야 한다. 여기에는 다양한 가능성이 있는데, 백신 옵션을 ‘업데이트 자동’으로 바꿔놓는다거나, 방화벽 정책을 좀 더 엄격하게 강화시킨다거나, 원격 접근을 아예 원천적으로 불가능하게 만들어 놓거나, 특정 인증서로 누릴 수 있는 권한 수준을 조정하거나 해야 한다.

하지만 이것이 끝은 아니다. 왜냐하면 앞서 말했지만 사이버 공격의 중류는 무궁무진하기 때문이다. 지금 이 문제를 잘 해결했다고 해서, 바로 다음 날, 아니 바로 지금 이 순간 다른 공격까지 자동으로 막아지지는 않는다. 그러니 다시 첫 단계인 ‘약화’로 돌아가 공격 이전에 하던 대로 리스크를 약화시켜야 한다. 보안은 이 세 가지 단계의 순환작업이기도 하다. 이 단계에서는 이걸 기억하고 다시 ‘예방 조치’로 태세 변환하는 것이 중요하다.

소비자가 기억해야 할 것
이 3단계 순환 조치를 생각했을 때 기억해야 할 것이 하나 있다. 애초에 보안 툴이나 장비를 구입할 때 트러블슈팅이나 설명서, A/S가 잘 안내되어 있는 회사의 것을 사용하는 게 보안을 위해 나은 선택이라는 것이다. 그동안 발견해 온 취약점과 그에 대한 패치를 어떤 식으로 진행했는지 파악하는 것도 도움이 된다. 100% 안전하다고 광고하는 곳은 오히려 위험하다. 그런 시스템이나 솔루션은 장담컨대 하나도 없다.

이는 ‘보안이라는 큰 순환’에 있어서 소비자들이 감당해야 할 몫이기도 하다. 내가 돈 주고 산 물품의 기능이나 보안성까지 다 확인할 수 없다면, 그 업체의 보안 관련 이력까지 확인하는 것 말이다. 사후 대처에 대한 절차나 사례가 없는 제조사라면 당신이 물건을 산 후 일어난 일에 대해 큰 신경을 쓰지 않을 가능성이 높다. 물론 제조사들은 ‘물건이 완벽해서’ 그런 사례가 없다고 말할 테지만 말이다.

하도 해커들의 기발한 발상이나 공격 방법이 화제가 되어서 그렇지, 사실 보안 업무의 대부분은 기본기를 지키는 것으로부터 시작된다. 해야 할 것을 꾸준히 하는 것만으로 위험한 상황을 꽤나 줄일 수 있는 것도 사실이다. 다만 이 ‘기본기’라는 건 혼자서만 완수해낼 수 없어서 어렵다. 그래서 ‘우리’가 필요하다. 보안의 가장 궁극적인 답은 ‘우리’다.

글 : 빈스 리코(Vince Ricco), Axis Communications
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

목록
- 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 정보에 대한 이용문의는 “보안뉴스(www.boannews.com)”로 문의하여 주십시오.