신종 정보보호 사고 분석 및 대응

블랙리스트 비웃는 ‘롱테일 위협’ 정보중심 전략으로 대처하라

85호 (2011년 7월 Issue 2)

 

 
정보를 생산 및 유통하고 이를 통해 새로운 가치를 만들어내는 오늘날의 정보사회에서 정보보호의 중요성은 아무리 강조해도 지나치지 않다. 디지털 기술이 보편화되고 소셜네트워킹서비스(SNS), 스마트폰 등 새로운 정보통신 매체가 등장하면서 사람들은 과거와 달리 필요한 정보를 손쉽게 취득해 이를 활용하거나 자신의 정보를 널리 알려 이익을 얻는다.
 
정보사회가 고도화될수록 정보에 대한 접근이나 정보의 교환 및 활용이 더 쉬워지고 삶의 질도 개선될 수 있다. 하지만 정보가 재화로서의 가치를 갖다 보니 정보 노출이나 유출은 개인에게 회복하기 어려운 피해를 입힌다. 국가나 기업도 핵심 정보 유출로 인해 엄청난 금전적 피해를 보기도 한다.
 
컴퓨터와 인터넷을 통한 정보유통이 활발해지면서 사회 모든 영역에 걸쳐 디지털 정보의 수집과 이용이 보편화됨에 따라 정보의 유출·오용·남용 등의 각종 침해 사례가 지속적으로 일어나고 있다. 정보를 취득해 불법적인 이득을 취하려는 사이버 범죄자들의 공격도 갈수록 지능화, 정교화되고 있는 추세다. 이 글에서는 최근 보안 사고 유형을 분석하고 이에 대한 기업의 대응 방안을 제시하고자 한다.
 
최근 보안위협 트렌드
시만텍이 2010년에 발생한 주요 사이버 범죄 및 보안 위협 동향을 조사, 분석한 ‘인터넷 보안 위협 보고서(Internet Security Threat Report)’ 제16호에 따르면 △기업을 겨냥한 표적 공격이 질적, 양적으로 그 규모가 확대되고 더욱 정교해진 가운데 △SNS가 악성 코드를 퍼뜨리는 새로운 플랫폼으로 악용되고 있다. 또한 △거의 모든 웹 브라우저와 운영체계에서 구동되는 자바 스크립트의 취약점을 노린 공격이 증가하는 등 공격 전술에 변화가 감지됐으며 △사이버 범죄가 모바일 기기로 확대되고 있는 것으로 확인됐다.
 

1)표적 공격의 지속적인 진화
지적 재산, 콘텐츠, 아이디어 등 정보의 가치로 정의되는 정보경제(Information economy) 환경에서 사이버 범죄자들은 기업의 기밀정보를 빼돌려 금전적 이득을 얻으려고 한다. 심지어 공격자들은 표적으로 삼은 기업의 시스템에 침투하기 위해 소셜네트워킹 사이트에 널린 개인 정보와 정교한 사회공학적 기법을 이용해 특정 기업의 특정 인물을 겨냥하기도 한다. 일반적인 해킹 공격과 달리 이러한 표적 공격은 ‘불특정 다수’가 아닌 ‘특정한 목표’를 겨냥한다는 점에서 기존 해킹과 구별되며 기업 네트워크에 침투해 오랫동안 잠복하면서 기업의 기밀정보를 빼내도록 설계된다. 기관총을 쏴대는 무차별적 공격이 아니라 치밀한 사전 준비를 거친 스나이퍼형의 지능적·차별적·지속적 공격인 셈이다. “보안시스템이 잘 갖춰진 회사일수록 전화 한 통, e메일 한 통이 더 효과적인 경우가 많다.”사람의 심리를 교묘하게 이용해 목표에 다가가기 위한 접근정보를 다양한 방법으로 빼내는 이른바 ‘사회공학(Social Engineering)’ 기법의 심각성을 지적한 미국의 전설의 해커 캐빈 미트닉의 말을 되새겨볼 필요가 있다.
 
2)소셜 네트워킹 + 사회 공학 = 보안의 악몽
SNS가 인기를 끌면서 공격자들은 새로운 악성코드 전파 통로로 SNS를 주목하기 시작했다. 특히 예전처럼 누가 보기에도 악성 스팸메일이 뻔한 e메일 대신 지능적인 사회공학적 공격기법을 이용하기 때문에 탐지가 거의 불가능하다. SNS는 기업에는 양날의 칼이다. 기업과 정부기관은 조직 구성원의 편의를 위해 SNS를 최대한 허용하면서 동시에 이를 통한 기밀 정보의 유출 위험을 줄이는 방안을 고심하고 있다. 공격자들은 SNS에 공유된 개인 프로필 정보를 이용해 표적 공격을 감행한다. 대다수 SNS 이용자들은 프로필에 다니는 회사, 부서, 동료의 프로필 정보 등을 상세히 올려놓는다. 이러한 정보는 외부에 알려져도 무해한 것 같지만 공격자들은 이를 통해 회사의 e메일 주소(이름.성@회사이름.com)를 쉽게 유추할 수 있고 피해자 프로필에 소개된 다른 개인 정보와 함께 피해자를 속이기 위한 맞춤형 속임수를 만들어낸다. 예를 들어 A라는 기업의 시스템 관리자인 김철수씨를 노리는 해커가 있다고 하자. 이 해커는 철수씨의 개인 블로그, 트위터, 페이스북 검색을 통해 그의 생년월일, 가족 및 친구관계, 개인 및 회사 e메일 주소, 관심 분야, 진행 중인 프로젝트 등의 정보를 수집한다. 이 같은 정보를 바탕으로 그가 최근 등산 동호회 친구들과 한라산을 다녀왔다는 사실을 알게 된 해커는 친구 이름을 도용해 “한라산 등반 사진 업로드 완료^^”라는 제목의 e메일에 악성코드를 심은 한라산 사진을 첨부해 보낸다. 그가 사진을 클릭하는 순간 게임은 끝이다.
 

SNS상에서 복잡한 웹 주소를 짧게 만들어 효율적으로 공유하기 위한 단축 URL을 악용해 사용자들을 피싱 및 악성코드 사이트로 유도하는 공격도 증가하는 추세다. 시만텍 조사 결과 2010년 뉴스피드에 포함된 악성 링크의 65%가 단축 URL을 사용한 것으로 나타났다. 그중 11번 이상 클릭된 단축URL은 73%에 이르렀고 11∼50번 클릭한 경우도 33%로 조사됐다. 한번도 클릭하지 않은 경우는 단 12%에 불과했다.
 
3)모바일 보안 위협의 대두
2010년 모바일 기기 운영체제와 관련해 163개의 취약점이 발견됐는데 이는 2009년의 115개보다 42% 늘어난 수치다. 이 중에는 애플 iOS 운영체제에서 ‘탈옥(jailbreak·제작사가 의도적으로 차단한 기능을 풀어 사용하는 행위)’이 가능하게 하는 취약점 2개도 포함돼 있다. 현재 모바일 기기를 겨냥한 악성코드의 상당수는 합법적인 앱으로 가장한 트로이목마가 대부분이며 다운로드 및 설치를 유도하기 위해 앱마켓에 업로드돼 있다. 공격자들은 널리 알려진 합법적 앱에 안드로이드 기기를 겨냥한 Pjapps 트로이목마와 같은 악성코드를 심는 공격기법을 사용하고 있다. 최근까지 모바일 기기를 겨냥한 트로이목마의 대부분은 높은 요금을 과금하는 서비스로 전화 발신이나 문자메시지를 발송하는 형태였다. Pjapps는 이러한 기능 외에도 감염된 안드로이드 폰에서 ‘봇 네트워크[bot network· 악성코드 봇(bot)에 감염된 컴퓨터 네트워크]’ 생성을 시도하는 것으로 알려졌다. 향후 PC에서처럼 모바일기기의 정보를 빼내는 피싱 공격이나 트로이목마를 통해 금전적 이득을 취하려는 모바일 보안 위협이 더욱 증가할 것으로 예상된다.
 

4)공격용 툴킷의 확산
공격용 툴킷은 구하기 쉽고 사용법이 간편할 뿐 아니라 수익성도 높기 때문에 다양한 사이버 범죄에 악용되고 있다. 현재 거래되는 대다수 공격용 툴킷은 웹브라우저와 브라우저 플러그인 어플리케이션의 취약점뿐 아니라 제로데이 취약점을 이용한다. 2010년 웹 기반 공격에 가장 많이 사용된 피닉스(Phoenix) 툴킷의 경우 자바(Java)의 취약점을 이용하는 악성 코드까지 포함하고 있었다. 자바 스크립트는 브라우저 및 플랫폼의 종류와 특성에 관계없이 거의 모든 웹 브라우저와 운영체제에서 구동되기 때문에 향후 공격자들에게 더욱 매력적인 표적이 될 것으로 전망된다. 사이버 범죄자들이 쉽게 이용할 수 있는 공격용 툴킷이 확산됨에 따라 시만텍은 2010년 2억8600만 개 이상의 신규 악성 코드 변종을 탐지했다. 또한 2010년 일일 웹 기반 공격 횟수는 2009년 대비 93%나 증가했으며 전체 웹 기반 위협 활동의 3분의2가 공격용 툴킷과 직접적인 관련이 있는 것으로 나타났다.
 
5)제로데이 (zero-day) 취약점 및 루트킷(rootkits)
공격자들은 공격 성공률을 높이기 위해 제로데이 취약점을 악용하고 있으며 조직 내부로 침투한 후 탐지에 걸리지 않기 위해 숨바꼭질하듯 루트킷 기법을 이용한다. 제로데이 취약점이란 프로그램의 문제가 알려지고 난 후 보안패치가 나올 때까지의 시간차를 이용해서 공격하는 것으로, 보안 패치가 나오기 전까지는 시스템이 각종 보안 위협에 무방비로 노출되기 때문에 특히 위험하다. 루트킷 기법은 컴퓨터 운영체제가 구동되기 전에 윈도 컴퓨터의 마스터 부트 레코드(MBR)를 변경해 컴퓨터에 대한 통제권을 획득하는 기법이다. 보안소프트웨어를 통한 탐지가 어렵다. 현재까지 알려진 최악의 표적 공격이자 ‘사이버 미사일’로 불리는 스턱스넷(Stuxnet)의 경우 4개의 제로데이 취약점과 루트킷 기법 등을 종합적으로 이용한 것으로 밝혀졌다. 이처럼 최근 제로데이 취약점 및 루트킷 기법을 통해 조직 내부로 침투해 활동 거점을 마련한 후 기밀정보를 수집해 지속적으로 빼돌리는 ‘지능적 지속위협(APT, Advanced Persistent Threat)’ 형태의 은밀한 표적 공격이 새로운 보안 위협으로 대두되고 있다.
 

진입장벽 낮아진 사이버 범죄
예전처럼 수백만 대의 PC를 동시에 감염시키는 눈에 보이는 사이버 공격이 사라지고 보다 지능적이고 교묘한 공격이 기승을 부리고 있다. 대규모 공격이 사라지면서 전반적인 보안인식도 낮아지고 있다. 이 결과 공격자들이 더 쉽게 기업 및 개인 정보를 빼내갈 수 있는 악순환의 고리가 형성되고 있다. 대다수의 기업들은 사이버범죄자를 규모가 큰 특정 기업에 잠입해 정보를 빼내는 일종의 ‘정보 사냥꾼(Hunter)’으로 보는 경향이 있다. 그래서 “해커들은 큰 먹잇감을 노리기 때문에 규모가 작은 우리와는 무관하다”는 인식이 많다. 이는 잘못된 생각이다. 사이버 범죄의 진입 장벽이 낮아지면서 사이버 공격에 악용되는 공격용 툴킷만 있으면 누구나 쉽게 기업 정보를 수집해 판매할 수 있고 다른 말로 누구나 사이버 범죄의 피해자가 될 수 있는 시대다.
 
예를 들어 사이버 범죄자들은 공격용 툴킷을 통해 사용자 PC를 감염시킨 후 좀비PC로 만들어 각종 돈벌이에 이용한다. 공격용 툴킷은 사용자가 시스템에서 타이핑하는 모든 내용을 기록할 수도 있고 e메일 주소를 훔쳐 스팸발송자에게 팔거나 다른 사용자를 공격할 수도 있다. 언제든지 원격 접속을 통해 시스템에 악성 프로그램을 추가로 설치할 수도 있다. 이런 좀비PC는 분산서비스거부(DDoS) 공격, 가짜 보안 소프트웨어, 스팸발송용 봇(Spam bot) 등의 악성 프로그램을 설치하는 통로로 이용된다. 이 같은 사이버 공격은 모두에게 위협이 되고 있지만, 특히 다음과 같은 3가지 공격 유형은 기업들에 치명적인 결과를 초래할 수 있다는 점에서 각별한 주의가 필요하다.
 
1)기업 은행계좌에서 현금 탈취
기업들은 가장 널리 사용되고 있는 공격용 툴킷의 제왕격인 ‘제우스(Zeus)’에 관심을 기울여야 한다. 지난 2006년 처음 발견된 제우스는 점차 진화해 전세계 범죄 조직들이 은행이나 정보기술(IT) 운영 시스템 등을 마비시키는 데 이용됐다. 현재 제우스 툴킷을 사용하는 범죄집단은 한두 곳이 아니다. 제우스 툴킷은 광범위하게 유포돼 사용되고 있으며 인터넷 등의 음성적 경로를 통해 700달러 내외에 손쉽게 구매할 수 있다.
 

사이버 범죄자들은 제우스 툴킷으로 앞서 설명한 모든 공격들을 감행할 수 있으며 주된 목적은 은행 계좌정보를 빼돌리는 것이다. 이는 가장 돈벌이가 되는 범죄행위로 불행히도 중소기업들이 주로 피해를 당한다. 중소기업 대다수가 금융거래에 대한 보호장치가 허술하기 때문이다.
 
실제 지난해 9월 미국, 영국, 우크라이나 등에서 총 92명의 다국적 범죄집단이 검거됐는데 이들은 제우스를 이용해 소비자, 중소기업 및 다른 기업을 대상으로 온라인 공격을 해 지난 4년간 총 2억 달러를 불법 수익을 올린 것으로 밝혀졌다.
 
사이버 범죄자들이 기업을 대상으로 금전적 이득을 취하는 가장 일반적인 방법은 시스템에 침투해 인터넷뱅킹을 위한 로그인 및 비밀번호 정보를 빼가는 것이다. 하지만 제우스 툴킷을 이용하면 시스템에 저장된 금융정보를 일일이 검색할 필요가 없다. 제우스는 시스템 소유자에게 정보를 직접 요청한다. 예를 들어 현금인출을 노리는 범죄자라면 은행계좌 정보와 PIN 번호를 이용해 가짜 현금인출 카드를 만들어 다른 사람의 돈을 빼낼 수 있다. 문제는 어떻게 현금인출 비밀번호를 입수하느냐다. 비밀번호는 사용자 컴퓨터에 저장되는 경우가 흔치 않다. 제우스 툴킷을 사용하는 사이버 범죄자들이 원하는 정보는 사용자들의 거래은행 로그인 정보 및 비밀번호다. 만약 컴퓨터에 이런 정보를 저장해두지 않았다면 악성 프로그램은 사용자가 은행 웹사이트를 방문해 로그인 정보를 입력할 때까지 기다린다. 이를 ‘키스트로크 로깅(Keystroke logging)’이라고 부른다. 사용자가 입력하는 모든 키보드 정보가 범죄자에게 전송되는 것이다. 모든 정보를 전송한다면 그 양이 엄청나기 때문에 피해자가 브라우저에 거래은행 주소를 입력할 때까지 기다린 다음 키보드 입력정보를 기록하기 시작한다. 이후 입수한 사용자 로그인 정보 및 비밀번호로 해당 은행에 입금된 돈을 빼돌린다.
 
2)지적재산권 또는 고객정보 탈취
일부 기업들은 자신들은 사이버 공격대상이 아니라고 생각할 수 있다. 자사의 지적 재산에 관심을 가질 만한 경쟁사가 없다거나 고객 정보를 전혀 보유하지 않고 있다거나, 사내 컴퓨터에 값나갈 만한 정보가 없다거나, 은행 잔고가 텅 비었다는 등의 이유를 댈 수 있다. 그러나 오늘날 사이버 범죄에서 자유로운 기업은 없다. 봇에 감염돼 DDoS 공격에 동원되는 좀비PC가 될 수도 있고, 서버가 해킹 당해 악의적인 웹사이트 호스팅에 이용될 수도 있다. 자신도 모르게 사이버 공격에 가담하게 되는 셈이다. 기업 규모와도 무관하게 공격의 빈도와 대상도 확대되고 있다. 시만텍이 발표한 ‘2010 중소기업 정보보호 설문조사’에 따르면 데이터 유출을 경험한 기업은 모두 매출 감소나 현금 또한 현물과 같은 직간접적인 피해를 입은 것으로 조사됐다. 이 같은 피해를 최소화하려면 기업들은 고객 및 기업의 금융정보 취급 및 처리방식에 보다 주의를 기울여야 한다.
 
3)기업 평판 하락에 따른 고객 이탈
최근 인기를 끌고 있는 SNS의 경우 기업들이 신규 고객 유치와 기존고객 유지에 효과적인 방법 중 하나로 평가하고 있다. 이 같은 브랜드 구축활동은 사이버 범죄자가 기업의 온라인 계정을 가로챌 경우 순식간에 잘못된 길로 접어들 수 있다. 앞서 제우스 툴킷과 같은 보안 위협을 통해 사이버 범죄자들이 어떻게 로그인 및 비밀번호 정보를 수집하는지를 설명했는데 실제 사람들이 많이 사용하는 페이스북과 트위터 계정의 도난이 자주 발생하고 있다. 사이버 범죄자가 계정 접근 권한을 획득하기 위해 사용하는 가장 손쉬운 방법은 피싱 공격을 이용하는 것이다. 페이스북 사용자들은 <그림 6>과 같은 보안 업데이트 정보를 받아본 적이 있을 것이다.
 
하지만 페이스북을 포함해 법을 준수하는 어떠한 기업들도 공식적으로 비밀번호를 요청하는 e메일을 보내지 않는다. 이런 메일이 바로 전형적인 피싱 공격으로 사용자가 e메일에 포함된 링크를 클릭할 때 페이스북 웹사이트처럼 보이지만 실제로는 페이스북 사용자들의 로그인 정보를 빼낼 목적으로 사이버 범죄자가 만들어 둔 피싱 사이트로 이동한다. 사이버 범죄자들이 자주 쓰는 또 다른 속임수로는 악성 소프트웨어로 시스템을 감염시킨 후 사용자 몰래 계정에 숨어드는 방법이다. 이 악성 소프트웨어는 시스템에 자리잡고 있다가 사용자들의 소셜네트워킹 계정이나 트위터 피드(Twitter feed)로 원하는 공지를 띄운다. 이를 통해 사이버 범죄자들은 관리가 소홀한 기업의 SNS 계정을 탈취해 방문자들이 기묘한 광고나 웃기는 동영상을 시청하도록 유인하고, 고객 시스템에 몰래 악성 소프트웨어를 설치한다. 좋은 물건과 서비스를 팔더라도 우범지역에 위치한 상점을 이용하고 싶어하는 고객은 많지 않다. 고객들은 스팸을 보내거나 악성 소프트웨어로 시스템을 감염시키는 회사를 방문하거나 팔로어로 등록하지 않는다. 결국 힘들여 구축한 온라인 브랜드 가치가 사이버 공격자들에 의해 훼손될 가능성이 크다.
 
정보 중심 보안 전략이 대안
앞서 살펴본 것처럼 기업을 겨냥한 각종 사이버 보안 위협이 갈수록 복잡해지고 규모와 빈도 면에서 꾸준히 증가하고 있다. 기업들도 이 같은 보안 위협에 맞서 방화벽, 침입방지시스템 (IPS), 가상사설망(VPN), 통합보안 관리시스템 등 여러 종류의 보안 장비를 설치해 안전망을 구축하는 등 최선의 노력을 다하고 있다. 그럼에도 각종 보안 위협이 인터넷과 유무선 통신 서비스를 넘나들며 사회 전체를 위협하고 있다. 해킹에 의한 기밀정보 및 고객정보 유출 피해는 해마다 늘고 바이러스 감염률도 증가하는 추세다.
 
사실 어떠한 방어 시스템도 보안 취약점을 100% 완벽하게 처리하기 어렵다. 보안 정책의 부재나 관리자의 소홀 또는 보안 시스템 자체의 취약점도 문제지만 스마트폰이나 SNS와 같은 새로운 영역의 서비스가 출현해 속수무책으로 당할 가능성도 많다. 보안 시스템이 잘 구성돼 있더라도 내부에 있는 직원이나 VPN을 통해 외부에서 합법적으로 내부로 침투할 경우 보안이 무력화될 수 있다. 공항의 보안 검색대를 통과하면 안전지대로 진입하는 것과 같은 이치다. 따라서 진화하는 사이버 공격 기술, 새로운 서비스가 만들어 내는 취약점, 그리고 기존의 보안 인프라가 갖는 한계를 극복하기 위해서는 정보 주변을 둘러싼 시스템이 아닌 정보 자체를 보호하는 정보 중심의 보안 전략을 고민해야 한다.
 
정보 중심의 보안 전략은 한마디로 보호해야 할 중요 정보가 어디에 저장돼 있고, 누가 접근 가능한지, 어떻게 보호되고 있는지를 파악해 ‘디지털 정보 지도’를 작성하는 것이다. 정보 인프라가 아닌 정보 자체에 집중해 중요 정보를 검색, 모니터링하고 기밀보호 정책을 강제함으로써 정보 유출을 효과적으로 방지하자는 것이다. 폐쇄회로(CC)TV가 설치됐다는 사실 자체만으로도 CCTV 감시지역에서의 범죄행위가 줄어드는 ‘위축효과’가 나타나듯이 모니터링을 통해 사내 네트워크에서 불법적인 정보의 흐름 및 유통 행위를 심리적으로 위축시켜야 한다는 뜻이다.
 
이와 함께 다양한 악의적 공격과 활동을 효과적으로 차단하기 위해 기업 내부의 사용자가 인터넷을 사용할 때 웹에서 악성코드 검사를 수행하도록 강제하는 ‘사전 방역’이 필요하다. 또한 네트워크상의 모든 트래픽을 검사해 일반적인 봇 트래픽 패턴을 탐지하고 활성 ‘봇넷’을 차단하는 한편 감염된 PC를 즉각 격리하는 ‘사후차단’의 역할도 중요하다. 이를 통해 각종 사이버 공격의 네트워크 유입을 사전에 차단하고 유입되더라도 지속적인 탐지 및 모니터링을 통해 악성활동을 차단, 보안 위협을 최소화할 수 있다.
 
진화하는 사이버 보안 위협에 대응한 새로운 신기술 도입도 필수적이다. 공격용 툴킷의 확산과 악성코드 변종의 범람으로 기존의 알려진 위협을 분석해 대응하는 전통적인 시그니처 기반의 보안 솔루션으로는 신종 보안 위협에 대응하기가 더 어려워지고 있기 때문이다. 공격자들이 끊임없이 새로운 변종을 만들어내고 소수를 겨냥하는 ‘마이크로 공격’이 늘어나면서 대중적으로 적용할 수 있는 블랙리스팅이나 화이트리스팅의 범위를 피하는 파일들이 늘어나고 있다. 많이 알려진 ‘나쁜 파일’들은 파일의 시그니처를 알려주는 ‘블랙리스팅(blacklisting)’ 방법으로, MS오피스 프로그램이나 어도비 아크로뱃과 같이 출처가 확실하고 신뢰할 수 있는 파일들은 ‘좋은 파일’이라고 알려주는 ‘화이트리스팅(whitelisting)’ 방법을 통해 통제한다. 문제는 이 두 그룹에 속하지 않으면서 안전성을 알기 어려운 파일들이다. 즉 과거에는 대중적으로 집중되는 현상만 보호해도 충분히 효과가 있었지만 이제는 발생 빈도가 적은 파일들이라도 그 위험을 무시할 수 없는 롱테일(long tail) 현상이 생겼다.
 

이 같은 보안 위협의 롱테일 효과에 대응하기 위해 등장한 것이 평판 기반의 보안 탐지 기술이다. 사용자들의 평판을 기반으로 맛집 순위를 매기듯이 평판 기반의 보안 접근법은 전 세계 사용자들의 ‘대중의 지혜’를 모아 프로그램마다 평판을 전산화하며 극소수의 사람들이 가지고 있는 프로그램을 다운로드하려고 할 때 이를 제지하고 최상의 선택을 권고한다. 이런 극소수의 프로그램들은 매우 전문적인 소프트웨어이거나 임의로 생성된 바이러스일 것이기 때문이다.
 
마지막으로 직원교육을 강화해야 한다. 아무리 좋은 시스템과 보안 솔루션을 구축한다 하더라도 결국 이를 운용하는 것은 사람이고 확고한 보안 인식이 갖춰지지 않는다면 보안 사고는 언제라도 일어날 수 있기 때문이다. 몇 해 전 미국에서 실제 있었던 일이다. 주말 오후 회사 당직자에게 자칭 부사장이라는 사람에게서 전화가 왔다. LA공항에서 노트북을 잃어버렸는데 바이어에게 줄 자료를 급히 찾아서 e메일로 보내달라며 자신의 접속 아이디를 알려줬다. 하지만 알려준 아이디는 가짜였다. 당연히 로그인을 할 수 없었다. 자칭 부사장이라는 사람은 “시간이 없다. 빨리 접속해달라”고 화를 내고 재촉했다. 당황한 당직자는 결국 자신의 아이디로 전산망에 접속해 자료를 찾아 보내줬다. 이런 상황에서 “규정 위반이기 때문에 보내드릴 수 없습니다”라고 거부할 수 있는 사람이 몇 명이나 될까? 불의의 사태에 대비해 민방위 훈련을 하듯 기업들도 보안 가이드라인을 마련하고 정기적으로 인터넷 안전, 보안 및 최신 위협에 관해 직원교육을 실시해야 한다. 또 교육을 통해 정기적인 비밀번호 변경 및 모바일 기기 보안의 중요성을 알려야 한다.
 
사용자를 속이고 정보를 빼돌리는 기술이 그 어느 때보다 정교해지고 있다. 사이버 범죄 피해를 방지하기 위해 기업들은 사이버 보안 위협에 대비한 적절한 보안 정책을 구현하고 엔드포인트, 메시징, 웹 환경에 대한 보안을 강화함으로써 각종 보안 공격에 노출될 가능성을 최소화해야 한다.
 

정경원 시만텍코리아 대표 kyung-won_chong@symantec.com
필자는 서울대 경제학과를 졸업하고 쌍용정보통신을 거쳐 한국HP 엔터프라이즈 마케팅본부장, IPG 파트너사업 총괄본부장, 전무 등을 역임했다. 현재 시만텍코리아 대표이사 사장으로 일하고 있다.
 
 
 

정보보호 취약성 및 대책

기업의 자산과 고객 개인정보를 위협하는 해킹 등의 위협은 갈수록 지능화, 대형화, 조직화하고 있다. 금전적 이익 등의 목적으로 기업을 협박하거나 고객 정보를 빼돌리는 범죄도 늘고 있다. 반면 기업들의 정보보안 취약점은 더 커졌다. 기업들이 업무 효율화를 위해 인터넷, 모바일 등 정보기술을 적극적으로 도입하면서 정보기술에 대한 의존도가 커졌기 때문이다. 정보보안 위협에 효과적으로 대처하는 기술적 관리적 통제수단도 악의적 의도를 갖고 있는 공격자를 막아내기에는 아직 빈틈이 많다. 정보유출 사고분석을 통해 주요 원인 및 취약점들을 살펴보면 다음과 같이 정리할 수 있다.

 

위기를 부르는 정보보안 취약점

1) 기술적 취약성

기술적 통제관점에서는 최근 주목해야 할 취약점으로 e메일이나 다양한 휴대용 저장매체를 통한 정보유출을 차단할 수 있는 효과적인 보안시스템이 구축되지 않고 있다는 점을 꼽을 수 있다. 사용자 업무 및 권한에 따라 핵심정보에 접근할 수 있는 권한에 대한 통제가 효과적으로 이뤄지지 않을 경우 정보 유출 가능성이 커진다. 둘째, 업무 편리성과 신속성에 방해가 된다거나 방대한 로그 데이터가 발생한다는 등의 이유로 기존 응용시스템에 대한 책임 추적성(accountability)1 을 확보하지 못하는 점도 정보유출의 원인이다. 또한 보안 사고에 대한 사전경보 발생 또는 사후추적을 할 수 있는 충분한 수준의 정보가 응용시스템상에 확보돼 있지 않은 것도 문제다.

 

기업의 업무환경이 스마트 오피스 및 클라우드 컴퓨팅(Cloud Computing) 환경으로 변하면서 기업정보에 쉽게 접근하게 해주는 스마트 장치의 보안 취약점이나 서비스 서버에서 다른 기업과 자원을 공유할 때의 보안 취약점도 주의해야 한다. 실례로 이러한 컴퓨팅 환경에서 스마트폰 단말기의 사용자가 악성코드가 포함된 스마트폰 전용 어플리케이션(App)을 실행하면 외부 공격자가 스마트폰의 관리자 권한을 획득해 사용자 몰래 음성을 녹음하거나 특정서버에 접속해 공격 명령을 내리게 된다.

 

2) 관리적 취약성

최근에는 기술적 측면보다는 정보를 다루는 사람에 대한 관리적 측면의 통제가 부족하다는 점이 정보보안 취약점으로 떠오르고 있다. 첫째, 많은 기업들은 정보유출 대상이 될 수 있는 핵심 정보가 무엇이며 누가 어떤 형태로 어디에 얼마나 가지고 있는지, 이를 보호하기 위해 현재 누가 어느 정도의 자원을 투입해 어떻게 보호하고 있는지, 현재의 보호 활동에 어떠한 애로 사항이 있는지를 정확히 파악하지 못하고 있다. 둘째, 인가를 받지 않은 사람에 의한 외부로부터의 해킹 등에 대비한 일반적인 정보보안 정책은 있지만 해당 시스템의 업무특성을 반영한, 인가된 내부자에 의한 정보유출 방지 정책이나 시스템 운영자들이 준수해야 하는 정보유출 방지 매뉴얼이 부족하다. 이 때문에 내부 직원들에 의한 정보유출 가능성이 매우 높으며 정보유출 사고가 발생했을 때 사후 대응에도 문제가 발생한다. 관련 근거 규정이 미약해 법적소송에서 불리한 판결을 받는 일도 벌어진다. 셋째, 응용시스템 접근권한을 세분화해 접근제어를 할 수 있는 기능이 있는데도 실제 업무에서 사용되지 않는 일이 많다. , 보안보다는 사용 편의성만을 고려해 필요 이상의 접근권한을 부여하고 있으며 이로 인해 정보유출 가능성이 높은 상황이다. 마지막으로 최근 농협 보안사고의 원인으로 주목 받았던 시스템 운영 및 유지보수에 관한 위탁업무를 수행하는 외부용역업체에 대해 정보유출을 방지하기 위한 통제(데이터베이스 접근권한 및 이력관리, 저장 매체를 통한 외부 유출 등에 대한 관리)가 수행되고 있지 않다. 외주 용역업체의 경우 재하청 등으로 인한 소속감 및 책임감이 낮을 가능성이 있다. 핵심 정보에 대한 접근통제가 적절하게 수행되지 않으면 정보유출 가능성이 매우 높아지게 된다.

 

기술과 관리가 융합된 다차원적 대책 수립

지금까지 현재 또는 향후에 발생 가능한 정보보호 침해유형(외부로부터의 공격관점, 내부자에 의한 정보유출 관점)과 취약점에 대해 분석했다. 최근 불거지고 있는 정보보안 사고는 기술적으로만 해결할 수 있는 문제는 아니며 보안 시스템과 보안 관리 등을 동시에 고려한 다차원적인 해결책이 필요하다. 정보보호 발전은 크게 기술적 요소가 중심이 되는 1단계, 기술적 요소와 함께 조직구조, 정책, 경영진 등을 통한 관리가 중심이 되는 2단계, 마지막으로 기술적 요소와 관리적 요소를 모두 포함하면서 조직전반의 정보보호 활동 표준화 및 평가, 보안문화 확산 등과 같이 사람을 중심으로 한 통합적 관리 중심의 3단계로 발전한다.

 

1) 기술적 접근법

먼저 기업이 취할 수 있는 기술적인 접근방법을 살펴보자. 회사의 업무와 보안 취약점, 최근의 위협 등을 종합적으로 고려해 필요한 시스템을 도입할 수 있다. 먼저 콘텐츠에 대한 흐름을 관찰하고 이상 징후를 판별하기 위해서는 데이터유출방지(DLP·Data Loss Prevention) 및 콘텐츠감시/필터링(Content Monitoring/Filtering) 시스템을 도입할 수 있다. 특정한 응용시스템에 접속해 있는 사용자의 행동을 실시간으로 분석 및 평가하고 이상행동 여부를 판단하는 사기적발시스템(Fraud Detection Technology)도 활용할 수 있다. 시스템 접근권한을 가진 사용자의 어플리케이션 활동 및 데이터베이스 활동 등을 모니터링하기 위해서는 데이터베이스 활동 감시도구(Database Activity Monitoring Tools)를 이용하면 된다. 기업 내 응용시스템에 발생하는 로그와 이벤트 정보를 수집하고 중앙 집중적으로 분석, 관리할 수 있는 보안정보 및 이벤트 관리(Security Information Event Management) 시스템과 기업 내 응용시스템 사용자 속성과 기능에 기초한 역할기반 접근통제 보안기능을 수행하는 사용자 인증 관리도구(Identity Administration Tools)도 있다. 이 밖에 외부로부터의 원격업무 처리를 지원하기 위해 내부 네트워크 자원 관리, 네트워크의 보안상태 평가 및 모니터, 시스템 상태에 따른 보안정책 적용, 네트워크 내의 장애 및 사고원인 예방, 탐지, 제거 등의 기능을 수행하는 네트워크 접근통제(Network Access Control) 등의 시스템 도입을 고려할 필요가 있다.

 

웹사이트 관리에 대한 인식과 방식도 달라져야 한다. 기업 관점에서 웹사이트는 홍보수단을 넘어 생산성을 높이기 위한 도구(예를 들어, Enterprise Portal, Knowledge Management System )로 활용되고 있다. 기업은 웹 어플리케이션의 보안성을 확보하고, 웹 어플리케이션 방화벽(Web Application Firewall) 등과 같은 웹 보안 전용장비를 활용한 대응방법이 필요하다. 원천적인 공격방어를 위해서는 웹 사이트 개발 시점부터 안전한 개발방법론 적용, 개발과정의 소스코드 검증체계 수립, 개발 후 취약점 점검 등 보안을 고려한 개발절차 과정도 준수해야 한다.

 

모바일 오피스와 클라우드 컴퓨팅 등의 업무 환경 변화에 따른 보안 위협에 대처하기 위해서는 스마트장치를 대상으로 암호화를 강화한 신뢰할 수 있는 플랫폼 모듈(Trusted Platform Module), 갱신 가능한 보안(Renewable Security) 등 엔드 포인트(End Point) 보안기술과 서비스 서버를 대상으로 검색 가능한 암호 시스템, 개인정보 보존형 데이터 마이닝(Privacy Preserving Data Mining) 등의 기술개발이 진행되고 있다.

 

2) 관리적 측면 접근법

한편 내부직원 통제를 목표로 하고 있는 관리적 측면의 접근방법으로는 보안인식 교육 프로그램을 통해 조직전체의 전반적인 보안인식을 높이고 보안문화를 정착시키는 노력이 필요하다. 심리학적 방법을 통해 내부자의 악의적 행동(불건전한 행동) 등을 통제, 직무 순환/직무 분리/최소권한 이임 제도(기밀/민감 정보에 대한 접근 통제), 정기적인 기업 직원의 전과기록 조사, 보안유지를 위한 이동식 저장장치 반입금지 정책 등과 같이 검증된 보안정책을 적용할 수도 있다. 적절한 암호기한 설정을 통해 암호 교체의 번거로움을 완화시키고 암호 기록(저장)으로 인한 유출 가능성을 제거하는 방법도 고려할 만하다. 이 밖에 특정 시간 이후 사용자가 컴퓨터 및 시스템으로부터 자동으로 로그아웃되도록 하는타임아웃 제도를 실시함으로써 내부자의 악의적 행동 유발 가능성을 감소시킬 수 있다.

 

 

장항배 대진대 경영학과 교수 hangbae.chang@gmail.com

  

필자는 연세대 정보대학원에서 박사 학위를 취득하고 현재 대진대 경영학과 교수 및 한국 산업보안연구학회 정보화이사로 활동하고 있다.

 

 
 
 
동아비즈니스리뷰 345호 Fake Data for AI 2022년 05월 Issue 2 목차보기