[칼럼]2009 글로벌 보안위협의 변화-1

전상훈

2005년 이후 격렬하게 이뤄졌던 애플리케이션에 대한 공격은 2008년을 거치면서 동아시아 권역을 넘어 전 세계적으로 파급력 있는 이슈들을 생산해 왔다. 2009년을 얼마 남겨 놓지 않은 지금 그 변화들은 어떤 과정과 결과를 만들었을까?

과연 지금 우리가 선택하고 하고자 하는 방향은 올바른 방향인가에 대해 고민하고 보다 더 나은 방향을 만들어야만 한다. 변화의 흐름을 보기 위한 자료들을 몇 가지 정도 취합을 하다 보니 확연하게 드러나는 결과들이 있어서 이번 컬럼에서 설명하고 방향성에 대해서 찾아 보고자 한다.

위의 Threat gap은 공격 기술과 방어 기술간 격차를 의미 하는 것으로 실제 이와 같은 형식의 자료와 챠트들은 많이 있어왔다. 그러나 이번 데이터는 2004년에 발간된 미 공군 기술자료에 언급이 된 내용이다. 실제 많은 사례들을 경험 하면서 기술간 격차를 사실적으로 기술한 것으로 볼 수 있다.

다수 보안 전문가들도 구체적인 데이터는 존재하지 않지만 많은 경험으로 인해 이미 오래 전부터 인지하고 있는 내용일 것이다. 공격 기술이 방어기술을 넘어선 전환점은 2001~2003년 사이로 보고 있다. 그 사이에 우리는 최초의 무차별적인 전파와 확산을 통해 대규모 피해를 유발하는 최초의 웜인 코드레드(Codered)를 만났고 님다(Nimda), 블래스터(Blaster), 웰치아(Welchia) 등과 같은 운영체제에 존재하는 서비스를 직접 공격, 권한을 획득하고 다시 전파하는 유형의 공격들을 받았었다.

위의 Threat gap과 연관 하여 볼 수 있는 공격기술과 난이도에 대한 상관관계는 다음에서 살펴 볼 수 있다. 전체적인 공격기술의 난이도는 어려워 지고 있다. 그러나 공격자들의 기술 수준은 점점 낮아지고 있다.

Threat gap과 모순되는 점이 보인다. 핵심은 공격 기술의 공유와 거래, 대량 전파 매커니즘 (웹서비스, 스팸, SNS )이 가능해졌다는 것이다.

공격자들은 특별한 전문지식이 없이도 새로운 공격유형을 만들고 재생산 할 수 있는 제조 템플릿을 갖고 있으며 (웜 또는 바이러스 생성기) 공격에 사용되는 기본적인 유형들과 기능들은 공개된 상태로 통용이 되고 있다.

새로운 취약성이 나오게 되면 불과 하루 이틀 사이에 웜으로 발전이 되어 전 세계에 영향을 미친다. 이전에는 패치가 안된 운영체제의 경우 생존 기간이 길었으나 지금은 더욱 짧아지고 있다. 운영체제에 심각한 영향을 미치지 않으면서도 자연스럽게 권한을 획득 할 수 있는 애플리케이션에 대한 취약성들은 심각할 정도로 증가하는 추세다.

공격자들은 활발한 커뮤니티를 구성하고 거래를 통해 서로의 부족한 부분을 보충하고 개선한다. 특별한 공격방법이나 도구들이 출현하게 되면 그 즉시 그들의 세상에서는 빠르게 통용이 된다. 2005년쯤 국내에서 최초 자동화된 공격이 목격 되었던 SQL인젝션의 경우 2007년 무렵에 대규모 웹서버리스트들에 대해 무차별적인 공격을 수행하고 자동적으로 웹서비스에서 악성코드를 유포 할 수 있는 형태로 전환됐다.

이제 개인 PC 제어권한을 하루에 십만 대 정도 확보하는 것은 일도 아닌 상태가 되어 버린 것이다.

이게 지금의 인터넷 상태고 현실이다. 보호되고 있다고 믿는 모든 것들은 무차별적인 공격 대상으로 전락했고 도입만 하면 모든 위험들로부터 보호 될 수 있을 것이라 선전 되었던 많은 도구들은 하루가 다르게 변화에 뒤쳐지고 있다.

필자는 지금까지 일관되게 현재의 위기 상황과 실태에 대해 주장해왔다. 이제 시일이 지난 만큼 전세계적인 기업들 사이에서 보안현실과 노력들은 어떤 식으로 변화했는지 살펴보자. 실제 시간이 지난 이후에 결과를 분석하는 것만큼 쉬운 일도 없다. 분석된 결과는 예상과 전망에 대한 강한 뒷받침이 되는 것은 두말 할 필요가 없을 것이다.

■글로벌한 위협현황

매년 연말에 개최되는 CSI컨퍼런스에서는 주요 참가 기업의 담당자들을 대상으로 보안 활동과 침해사고에 대한 설문조사를 실시하고 있다. 담당자들의 구성 비율은 다음과 같다. CSI/FBI Computer Crime and Security Survey -2008 의 설문조사에 응답한 응답자들의 직급을 보여주고 있다. 전체 응답자의 60% 이상이 주요정책 및 의사를 결정 할 수 있는 결정권자의 부분에 속하고 있음을 보여주고 있다. 단순한 실무를 담당하는 보안 담당자들의 의견을 취합한 것은 아니라는 점을 명확하게 보여 주고 있다. 설문 결과 중에서 사고의 유형을 퍼센테이지로 도식화한 챠트이다. 2007년 이후부터 출현한 항목으로는 DNS에 대한 직접공격과 봇(Bot)을 이용한 공격들이 활성화 되는 것을 볼 수 있다. 사고 발생 비율을 보면 정보유출로 인한 사고들과 멀웨어(Malware)가 포함된 바이러스에 의한 사고들은 여전히 높은 상태를 보이고 있으며 내부자에 의한 사고들도 꾸준함을 볼 수 있다.

주의 깊게 살펴 보아야 할 것은 2007년 이전에 봇넷(Botnet: 공격자가 자유자재로 다룰 수 있는 좀비 PC들의 네트워크망)을 구축하는 것보다 앞으로 시간이 지날수록 보다 손쉽게 대규모 봇넷을 구축 할 수 있다는 것이다. 봇 관련 계열은 별도로 독립해 큰 범주를 이룰 것으로 예상 할 수 있다.

내부자에 의한 사고와 외부자에 의한 사고 부분은 별도의 칼럼에서 정리하고자 한다. 그 동안 알려진 것들과는 다른 개연성들을 충분히 유출 할 수 있으므로 별도의 칼럼에서 정리한다.

CSI의 조사에서 언급한 사건들은 실제 사건을 사례별로 조사한 것이라 영향력과 파급력 부분은 고려되지 않은 데이터라 할 수 있다. 전체적인 수치와 비율을 참고하는 정도로만 사용 할 수 있다. 그러나 2008년 까지의 데이터 유출 사례를 실제로 조사하고 분석한 버라이즌 리포트에는 좀 더 실질적인 위협이 되는 부분을 살펴 볼 수 있다. 실제 기업내부의 중요데이터가 유출 되거나 기밀이 누설된 케이스를 분석한 결과는 사뭇 다르다. CSI의 통계치 에서는 전체적인 공격 유형과 위협의 유형들을 볼 수 있으나 버라이즌의 데이터 유출 관련된 분석 보고서에서는 실제 어떤 위협들이 중요 데이터를 유출 시킨 것과 직접적인 관련이 있었는지를 보여 주고 있다.

가장 많이 발견된 사례는 해킹과과 멀웨어, 오용(Misuse)을 들 수 있다. 바이러스 백신들과 다수 보안장비들이 도입되어 공격에 대한 탐지로그들은 매우 많음을 확인 할 수 있고 잘못된 사용 또는 실수라고도 할 수 있는 오용 부분에서는 탐지 할 수 있는 근거자료나 로그들이 매우 적음을 관찰 할 수 있다.

일반적으로 공격시도에 대해서 대부분 Hacking이라고 일반적인 표현을 하나 버라이즌 리포트에서 언급한 해킹 대부분은 웹애플리케이션에 대한 SQL인젝션 공격과 원격 접근(Remote Access) 도구에 대한 접근,기본 설정 및 권한에 대한 공격으로 분석이 되고 있다.

해킹과 멀웨어, 오용과 같은 대부분의 정보유출 원인들에는 사용자, 관리자, 개발자의 실책에 대한 이슈가 67% 가량을 차지하고 있음을 볼 수 있다. 웹 URL의 인자가 필터링 되지 않는 경우를 공격하는 SQL인젝션에도 에러라 표시되기는 했으나 현실적으로 취약성을 빠른 시간 이내에 발견하고 수정을 할 수 있도록 하는 도구가 없음으로 인해 실질적인 에러 항목에 기입하기에는 어려움이 있다.

각 조사에서 보듯이 전체적인 사건의 2008년까지의 발생 현황은 새로운 공격흐름을 보여주기도 하며 실제 피해 사례에 가장 큰 영향을 미치고 중요성을 지니고 있는 부분이 어떤 부분인지를 보여주고 있다.

국내 사례는 지금껏 공개적으로 조사되고 분석되어 종합된 자료가 없다. 그러나 전 세계적인 동향과 위협들의 범주에서 벗어날 수는 없다. 사건, 사고 사실을 의도적으로 무시하는 것은 보다 더 큰 치명적인 피해를 유발 할 수 밖에 없다는 점에서 국내의 심각성은 더 높은 상태가 아닐까 생각 된다.

■위협에 대한 대응 노력

위협들은 실질적으로 애플리케이션에 대한 직접적인 공격과 대량화, 자동화된 공격, 클라이언트에 대한 직접 공격으로 축약 할 수 있다. 2008년은 물론이고 지금까지도 또 앞으로 몇 년 이상을 이와 같은 동향은 계속 유지 될 것으로 전망된다. 각 기업들의 대책들은 어떤 방식으로 이루어 졌을까?

기업이든 국가이든 형식적인 공격이 아니라 실제의 피해를 일으키는 공격에 대해서만 반응을 하게 마련이다. CSI의 조사는 2006년부터 2008년까지의 각 기업 혹은 기관별로 사용된 보안 기술들을 나타내고 있다. 위협의 변화에 따라 달라진 부분을 확연하게 볼 수 있다.

가상사설망(VPN), 파이어월, 안티 바이러스와 같은 보안장비는 이미 일상화된 보안 도구로 볼 수 있다. 증가된 폭을 보게 되면 애플리케이션 방화벽 도입이 큰 폭으로 증가 추세에 있음을 볼 수 있다. 실제 공격이 집중 되고 피해가 발생 하기 때문에 도입 될 수 밖에 없는 부분이다. 두 번째로는 개인 PC와 자료의 보호를 위해 네트워크접근통제(NAC) 장비 도입, 암호화 장비나 도구의 사용이 늘어나는 현상을 관측 할 수 있다.

실제 피해사례를 조사한 버라이즌 보고서에서 원인으로 제시된 항목들은 조사 이전부터 계속 발생 되어온 문제다. 집중적으로 문제가 발생 되는 부분에 대해 대책을 세우는 과정에서 드러난 현상으로 애플리케이션에대한 보안 강화, 엔드포인트(Endpoint)에 대한 보안 강화, 자료 암호화를 통한 강화를 중점적으로 살펴 볼 수 있다. 국내의 변화도 마찬가지가 아닐까 싶다.

각 기업들은 어느 정도의 위험성을 알고 있고 대비하기 위해 어떤 부분에 중점을 두고 노력을 하였을까를 알아보는 것도 위협 변화와 연관성이 높다. 공격 기술과 방어기술의 차이를 염두에 두면 방어기술 진보는 느리고 더디게 나아간다. 즉 변화가 있다고 하여도 공격기술 발전에는 미치지 못함을 사전적으로 알고 있으면 미래의 방향을 예측 하는 것이 보다 쉽다.

전체적인 공격동향을 보고 세부적으로는 중요 정보의 실제 유출 사례 조사를 살펴 보면서 우리는 앞으로 중점을 두어야 할 부분이 어디이고 세계 속의 기업과 기관들은 어떤 준비와 대응을 해왔는지 고려해야 한다.

지난 몇 년간 꾸준하게 예상해온 것들도 클라이언트 보안과 애플리케이션에 대한 직접적인 보안 강화에 대해 강조하는 것이었다. 전체를 정확하게 볼 수 있는 분석들은 아니지만 동향을 확인 할 수 있다는 점에서 인용된 자료들은 충분한 근거를 제시하고 있다.

노력하고 준비하지 않으면 이제는 더 나아가기 힘든 상황이 올 것이다. 보안은 완벽하게 막기 위해 존재하는 것이 아니라 이미 알려진 것들에 대해서는 막을 수 있도록 하고 피해를 최소화하며 빠르게 대응을 하는 것이 핵심이다.