"사이버위협은 아주 지능적인, 똑똑한 방식으로, 우리 곁에 가까이 와 있다. 내가 속한 조직에서조차 나 스스로 방어할 수 있어야 하는 상황이다. 악성코드는 하루에 136만개씩 생긴다. 1년에 5억개다. 모든 악성코드마다 특성정보(시그니처)를 만들수 없고, 만들어도 일일이 대조해 탐지할 수 없다. 보안을 새로 고민해야 할 때다."
김병장 팔로알토네트웍스코리아 전무는 12일 서울 잠실 롯데호텔에서 지디넷코리아가 개최한 제14회 어드밴스드컴퓨팅컨퍼런스(ACC) 기조연설에서 이같이 말하며 기존 '종심방어' 체계를 넘어선 보안 아키텍처, 안티바이러스 및 위협정보 활용방안을 제시했다.
김 전무 설명에 따르면 기업 보안 환경은 1991년부터 실제 전술개념을 차용한 '종심방어체계'로 발달해 왔다. 통상적인 방화벽, 안티바이러스, IPS, 웹방화벽 등으로 이어지는 기업 인프라 사이버보안 체계를 가리킨다.
김 전무는 "종심방어는 적이 밖에서 안으로 들어오려 한다는 전제로 단계별 진지를 세워 앞단에 철조망과 장애물을 세우고, 앞단계 진지가 무너지면 뒷단계 방어를 수행하는 체계를 사이버보안에 적용한 것"이라며 "보안이슈가 발생시 이를 컨베이어벨트에 놓고 각 단계별 장비가 그걸 처리하는 구조"라고 설명했다.
종심방어체계는 인터넷에 사이버위협이나 해커의 창궐이 본격화하면서 문제를 드러내기 시작했다. 김 전무에 따르면 특히 기업을 겨냥한 랜섬웨어 위협이 거세다.
최근 호스팅업체 인터넷나야나가 이용자 홈페이지 5천개에 피해를 당했다. 이를 복구하기 위해 해커와 협상해 13억원을 지불했지만 한글파일명 오류 등으로 완벽한 복구가 어려운 상황이다. 해킹지식 없는 범죄자도 해커에게 돈을 지불하면 모든 필요한 기술적 수단을 제공받아 랜섬웨어 공격을 할 수 있는 '서비스형랜섬웨어(RaaS)' 사업모델이 등장해 해킹을 부추기고 있다고 지적했다.
기업에게 북한같은 국가를 배후로 한 사이버위협도 커졌다. 북한뿐아니라 중국도 사이버해킹관련 많은 인력을 보유했으며 해커조직 '홍커연맹'의 이름으로 지난 3월 사드 부지를 제공한 롯데 및 한국 기업에 디도스 공격을 감행하는 등, 정치 및 사회적 목적 달성을 위한 해킹 행동주의를 가리키는 '핵티비즘' 사례를 보이고 있다.
김 전무는 배후에 '정찰총국'이 있다는 북한 해커조직 '라자루스그룹'의 공격동향을 소개했다. 라자루스그룹이 2009년 7.7디도스, 2011년 3.4디도스, 2013년 3.20사이버테러, 2014년 11.24소니픽처스 해킹, 2016년 2월 방글라데시중앙은해애 해킹, 2017년 5.12워너크라이 랜섬웨어 유포를 수행했다는 설명이다.
김 전무는 "북한이 5차 핵실험 이후 유엔의 제재를 받고 모든 외화수입 수단을 차단당한 이후 외화벌이 수단으로 (악성코드를 통해 요구할 수 있는) 비트코인을 사용하고 있는 것으로 추정된다"며 "북한은 초등학생 중 똑똑한 친구를 해커로 선발해 중고교 과정에 소프트웨어를 가르치고 대학교때부터 해킹을 하게 하며, 신기술 습득을 위해 일본에 유학도 보낸다"고 말했다.
그는 리처드 클라크의 '사이버워'를 인용해 "각국 '사이버 전투력'을 보면 사이버공격력은 미국이 앞서지만, 종합점수는 '사이버방어력'이 높은 북한이 앞선다"며 "사이버방어력은 인터넷을 정부가 통제할 수 있는 능력이라고 볼 수 있어 결국 방어력이 높은 북한이 최고점을 얻었다"고 설명했다.
인터넷에 연결된 환경은 보안에 취약할 수밖에 없다는 얘기다. 왜 위험할수밖에 없을까. 오염되거나 디도스 공격에 마비될 수 있는 도메인시스템(DNS)서버 기반 주소체계, 잘못 전달될 때 혼란을 일으킬 수 있는 네트워크장비의 BGP 프로토콜, 암호화되지 않은 평문기반 통신방식, 단일 책임주체의 관리가 어려운 분산형 네트워크 설계구조 등 태생적으로 공격자의 개입에 취약한 구조로 만들어졌기 때문이다.
김 전무는 "많은 사이버위협, 해커가 존재하지 않았던 시대에 종심방어형 보안아키텍처는 간간히 발생하는 위협을 처리하기 괜찮은 모델이었다"며 "하지만 인터넷과 네트워크가 발달하고 스마트폰과 애플리케이션이 발전하면서 효과성을 잃었다"고 지적했다.
이어 "차세대방화벽을 통해 애플리케이션 가시성을 확보하고, 공격을 표면을 줄이고, 알려지지 않은 공격을 차단하고, 알려지지 않은 공격으로 판단되는 파일이나 트래픽이 들어왔을 때 그걸 바로 분석할 수 있는 클라우드나 어플라이언스에 즉각 분석을 요청하는 시스템을 갖춰야 한다"고 설명했다.
알려지지 않은 위협의 대응방안으로 머신러닝 기반의 정적 분석 및 동적분석, 커스텀 가상머신(VM)이나 베어메탈 기반의 샌드박스 시스템을 통한 맬웨어 분석도구, IP와 URL 차단방식을 넘어 실제 악성코드 통신을 파악해 대응할 수 있는 명령제어서버 시그니처 등이 제시됐다.
관련기사
- “쓰레기 데이터라는 것은 없다”2017.07.12
- 정부통합전산센터, 4차산업혁명 어떻게 수행하나2017.07.12
- 클라우드는 왜 'AI 전쟁'의 핵심 변수가 됐나2017.07.12
- "보안 원한다면 클라우드 올라타라"2017.07.12
일일이 만들 수 없는 시그니처화할 수 없는 악성코드의 미확인 위협까지 대응하려면 안티바이러스에 자동화 분석시스템과 연계된 행위기반 악성코드 및 익스플로잇 공격 차단 기술도 필요하다고 김 전무는 덧붙였다.
김 전무는 사이버쓰렛얼라이언스(CTA)같은 협의체를 통해 공유되는 정보의 활용도 필요하다고 첨언했다. 그는 "어떤 위협이 존재하는지 미리 알고 대응하기 위한 출발점으로 CTA가 출범해 사이버정보교환의 시발점이 됐다"며 "위협정보를 알 수 있는 인텔리전스 시스템에 CTA의 정보를 보안장비에 적용하는 체제, 여러 서드파티의 위협정보도 함께 받아 분석하도록 고려해야 한다"고 말했다.