[김홍선의 보안이야기]점점 타겟화하는 사이버 공격


위협의 동향과 특성(3): 위협의 흐름(Characteristics)

2005년 이후 보안 위협은 뚜렷한 변화의 조짐을 보이고 있다. 그 핵심은 전세계적으로 금전을 노린 범죄가 급증하고 있다는 것이다. 특히 저개발국가이면서 많은 컴퓨터 기술자들을 배출하고 있는 국가에서 이런 범죄형 행태가 극성을 부리고 있다. 중국과 러시아를 비롯한 동유럽에서의 해커 조직은 대기업 규모로 커지고 있으며, 최근에는 라틴 아메리카와 동남아시아에도 지하경제(underground economy)가 활성화되고 있다. 특히 위협과 공격을 일으키는 조직이 글로벌하게 포진하여 무차별적인 공격을 가하고 있다.

사이버 공격의 피해에는 둔감

돈 거래가 공식적으로 이루어진다는 점에서 ‘범죄’와 ‘단순 해킹’은 구분해서 판단해야 한다. 다른 사람의 소중한 개인 정보나 돈을 탈취하는 것은 명백한 절도 행위다. 우리는 소매치기나 강도 행위에는 ‘어떻게 그럴 수 있느냐’고 분노하는 데 반해 개인 정보를 빼내어 팔아 먹는 것에는 관대한 경향이 있다.

왜냐하면, 범죄가 눈에 보이지 않기 때문에 자신이 피해를 당하지 않으면 ‘그런 일이 있구나’ 정도로 남의 일 취급한다. 아무래도 눈 앞에서 누군가가 상해를 입거나 물리적인 손해를 입게 되면 더욱 피부에 와 닿기 마련이다. 반면 사이버 공간의 범죄는 눈에 보이지 않고, 몸에 상처를 입는 것도 아니다 보니 피해 당사자가 아니면 둔감해지는 것이다.

기하급수적으로 급증하고 있는 악성코드는 조직적 위협의 증가를 명백하게 보여준다. 최근 악성코드 중의 80% 이상이 트로이목마다. 트로이목마는 어떤 정보를 탈취하기 위한 명백한 의도를 가지고 있다. 사실 바이러스 분석가들은 악성코드 중에서 트로이목마가 제일 재미없다고 한다. 바이러스는 알고리즘도 분석해야 하고 기술적인 깊이가 받쳐주어야 하고, 분석 과정이 흥미롭기까지 하다. 그에 비해 트로이목마는 기계적으로 이상한 징후를 잡아내는 데 그치기 때문이다. 또한 불특정 다수를 위한 바이러스 제작보다 특정 목적의 조직과 인물을 겨냥한 악성코드가 급증하고 있다. 이 모두가 정보 탈취가 목적이기 때문이다.

점점 더 타겟화 하는 공격

특히 공격 대상이 한 회사, 한 커뮤니티 등으로 국지화되고 있다. 어떤 기업에서 5-10명을 타겟으로 한 악성코드 이메일이 전파되는 형태는 아주 일반적이다. 그 대상이 되는 사람들은 보통 IT 관련 업무를 하지 않아서 보안에 상대적으로 취약한 사람들이다. 혹은 속한 조직의 위치상 악성코드가 설치될 경우 다른 개인들의 정보를 모니터링하기 쉬운 사람을 겨냥하기도 한다.

그러면 이런 정보는 어떻게 얻게 될까? 다양한 경로가 있다. 내부의 지인(知人)을 통하는 게 가장 손쉽다. 또한 부지불식간에 조직도, 직원 주소록, 연락망 같은 것은 문서 형태로 외부로 유출되는 일은 허다하게 일어난다. 어떤 경우는 임원급 이상이 깊은 생각을 해 보지 않고 무심코 이런 정보를 알려 줄 수도 있다. 기업뿐 아니라 공공기관에서도 이런 일들은 발생한다. 얼마 전 주민번호를 포함한 개인정보를 프린트한 A4 용지를 이면지로 사용한 후 파쇄도 하지 않고 쓰레기와 함께 버린 일도 있었다. 이 모든 것은 보안불감증에서 비롯된 일이다.

이와 같이 다양한 소스로부터 취득한 정보를 활용해 타겟이 되는 조직원들을 간파한 후 그들을 상대로 공격을 감행한다. 악성코드가 숨겨져 있는 메일을 구분한다는 자체가 일반인들에게는 쉽지 않은 일이라서 쉽게 당할 수 있다. 일단 감염이 되면 키로거(KeyLogger)나 백도어(Back Door)를 통해 원격에서 조정할 수 있는, 소위 좀비(Zombie) PC를 만들어 버리게 된다. 그러므로, 산재되어 있는 작은 정보 하나하나가 활용되어 이런 무서운 공격 수단이 되는 현실에 대한 각성이 필요하다.

급증하는 악성코드, 쫓아가기 급급한 보안 솔루션

이렇게 급증하는 악성코드를 모두 실시간으로 잡아내는 것은 구조적으로 불가능하다. 오늘날 어떤 백신 회사도 100% 진단을 하지 못하고 있으며, 오진이 없는 회사도 없다. 어차피 악성코드가 기하급수적으로 급증하는 상황에서 우선 순위를 가지고 대응해야 하기 때문이다. 보안 회사들이 이런 현실을 인정하는 게 쉽지는 않지만, 이를 정확하게 사용자에게 알리고 소통해야 근본적인 문제 해결이 가능하다.

IPS같은 제품의 경우 오픈 소스 기반으로 되거나 자체 분석 인력이 약할 경우 시그너처 업데이트를 1-2주에 한 번 정도밖에 못하게 된다. 그렇게 되면 IPS는 무용지물이 될 수 있다. 당신이 해커라면 이미 시그너처가 공개된 취약점을 이용하겠는가? 물론 그나마 IPS도 없으면 알려진 시그너처에도 속수무책이다. 이렇게 실시간 대응력을 갖추지 못한 솔루션은 결정적인 순간에 전혀 도움이 되지 않는다.

또한 효과 측면에서 보안 공격만큼 효율적인 것이 없다. 단 몇 개의 악성코드와 작은 노력으로 몇 배, 몇 십 배의 경제적 이익을 창출할 수 있기 때문이다. 작년부터 DDoS 공격(분산서비스거부 공격)이 극성을 부린 것은 바로 비용 대비 효과가 크기 때문이다. 구태여 내부 시스템으로 침입하기 위해 노력하느니 외부에서 서비스를 불능 상태로 만들어 버리는 게 훨씬 수월하다. 이를 통해 협박으로 돈을 갈취하는 게 더 편하기 때문이다.

이와 같이 우리는 경제적 이익을 노리는 조직적 범죄에 노출돼 있다. 안이한 대처로는 우리 일상 생활에서 발생하는 위협 요소에 대응할 수 없다. 더 나아가 사회적으로 신뢰의 플랫폼이 무너질 수 있다. 인터넷 뱅킹 사고가 빈발하면 누가 마음 놓고 사용하겠는가? 포털이나 쇼핑몰에 등록한 개인정보가 유출되어 악용된다면 누가 회원가입을 하고 쇼핑을 하겠는가? 이러한 인터넷 기반에 대한 신뢰가 무너지게 되면 최악의 경우 직접 은행을 찾고, 정보는 책을 통해, 그리고 쇼핑은 백화점이나 오프라인 샵을 이용하는 사태가 벌어질 수도 있다. 우리는 IT가 주는 삶의 혜택 그 뒤편에는 이런 수많은 위협이 도사리고 있다는 것을 상기해야 한다.

이런 위협에 지속적으로 대처하기 위해서는 IT 실행 주체와 전문적인 보안 기술 역량을 가진 전문 업체의 긴밀한 협력 관계가 필요하다. 몇 개의 제품을 구매해 사용자 스스로 관리하는 것으로 안심하기에는 위협의 특성이 너무 복잡하고 그 수도 엄청나게 늘어나고 있다. 게다가 보안 전문가는 전 세계적으로 부족한 상황이다. 정보 보안은 벤더와 고객의 일회성 거래로 끝나는 것이 아니다. 영속적인 파트너쉽, 상호간의 신뢰가 받쳐주어야 조직적으로 집요하게 공격해 오는 행위로부터 진정한 대응책을 강구할 수 있다.

/김홍선 안철수연구소 대표이사 column_phil_kim@inews24.com






포토뉴스