7년 전의 최초 문제제기는 주의와 관심을 촉구하는 것이었다면 지금의 문서는 경고의 의미를 담고 있다.
2002년에 공개문서를 처음 제작한 이후 7년이 넘는 시간 동안 상당히 빠르면서도 한편으로는 생각보다는 느리게 인터넷 세상은 발전해 왔다. 2010년이 되어 이제 전체적인 현황들과 문제들은 충분히 무르익었고 언제든 사고가 발생 된다해도 이상하지 않을 상황이 되었다.
이제는 지금 상황과 지금까지의 사건들에 대해 정리하고 논의를 하는 것이 필요하다 2010년의 시작을 알린 보안 이슈들은 국내외 이슈가 상당히 다른 차이점을 보이고 있다.
인터넷에서의 위험은 동일한데 왜 차이가 있는 것인지 궁금할 따름이다. 국내에서는 자극적인 이슈들이나 실제적인 위험도는 극히 낮으며 이미 노출된 상태에서 자연스럽게 벌어질 수 밖에 없는 단편적인 일들이 대형 문제인양 보도가 되고 있다.
국제적으로 발생하는 이슈들은 지금 국가간 분쟁 격화와 사이버 위협으로 인해 많은 이목과 관심이 쏠리고 있으며 미국은 사이버 보안을 중점적으로 추진하기 위한 핵심센터를 메릴랜드에 설립하고 본격적으로 운영을 시작하려는 시기에 뒤로 후진하는 모습이 태연하게 언론에 등장하는 것에 대해 자괴감을 느낄 뿐이다.
최근 몇 달간 연말연시를 기해 발생 되었던 이슈들에 대해 간략하게 정리해보자.
1. 구글 및 어도비를 포함한 30여개 이상의 주요 회사에 대해 고도화된 공격으로 정보를 빼내가고 일부 탈취한 사건들이 있었다. 힐러리 국무장관을 통해 중국에 공식항의가 제기 되고 중국내에서의 검색사업 철수도 언급되는 등 사이버 이슈가 국가간의 논쟁으로 비화한 이슈가 있다. 새로운 취약성 즉 알려지지 않은 소프트웨어의 취약성을 이용한 공격이 국가기관이나 군사 분야에서만 이루어 지던 것이 일반기업단위로도 전이된 케이스로 볼 수가 있다. 앞으로 더 심각한 국면에 접어들 것으로 예상이 된다.
2. 영국의 Vispa ISP는 3만여 고객을 갖고 있는데 1월초 분산서비스거부(DDos) 공격으로 인해 12시간 이상을 전면적인 운영중단 상태에 빠졌다. 이 경우 ISP 단위에서도 처리하기가 어려울 만큼의 대규모 트래픽 공격이 지속 유입 되었음을 의미 한다고 볼 수 있다.
3. 지난해 말 트위터 사이트를 마비시키고 트래픽을 전환시켜 정상서비스를 불가능하게 했던 이란의 일부 단체는 이번에 중국내 점유율 60% 이상을 가지고 있는 검색엔진 바이두를 대상으로 동일한 공격을 감행해 서비스가 중단되는 사례도 발생 하였고 이 결과 중국과 이란간 감정적인 대립이 예상 되고 있다. 제 삼자의 개입으로 인한 우호체제 혼란으로도 비춰지기도 할 만큼 국제관계에 직접적인 영향을 미치고 있다.
4. 시티뱅크 내부망에 침입해 수백만달러의 예금을 인출한 사고에 대해 조사한 FBI는 러시아마피아에 의해 발생 된 것임을 확인 한 이슈도 있다. 만약 금전적인 이득을 목적으로 한 것이 아니라면 어떤 일들을 했을 수 있을까? 데이터의 소멸 혹은 뒤섞임 등등.. 혼란을 일으킬 수 있는 일들은 매우 많을 것이다.
5. 공격에 대한 대응은 늦지만 몇 년의 시간을 앞선 경험을 한 국가들이 헛힘을 쓰는 동안 ( 아쉽게도 한국도 당연히 포함된다.) 그나마 가장 빠른 대응과 체계를 구축해 가고 있는 곳은 미국이다. 해외로부터 집중되는 공격을 가장 많이 받는 곳이며 내부망까지도 자유자재로 공격을 당하는 상황을 지켜 보고서 국가차원의 대응책을 수립하고 있는 중이다. 싸이버짜르라 불리는 사이버 보안 조정관을 임명하고 FBI는 사이버 보안 전문가를 워싱턴의 책임자로 발령을 냈다.
수 천명에 달하는 보안 전문가를 정부 각 분야에 고용 하기 위해 채용 공고를 내고 각 분야별로 전문적인 요구 사항을 직시하여 채용을 진행 하고 있다. 보안전문가라 할지라도 모든 부분을 다 한다는 것은 불가능 하기 때문에 당연한 일이지만 분야를 세분화 하여 전문적인 기능을 살릴 수 있도록 한 것이다. 만능을 요구하고 실제로 하는 일은 동떨어진 곳과는 심각한 차이를 가지고 있다.
사이버 보안과 관련된 핵심적인 기관들을 모두 모아 중앙 통제가 가능한 형태의 센터를 메릴랜드에 세우기로 하고 협조체제를 갖춰나가고 있다. NSA, FBI, CIA 등등 미국 내의 사이버 보안 관련 모든 기관의 집합체라 불릴 수도 있을 것이다.
오바마 대통령은 취임이전부터 사이버 보안과 관련된 위원회를 운영하고 각 단계별로 달성 하고자 하는 플랜을 만들도록 하였다. 현재의 보안 강화 움직임은 그 보고서에 기반한 내용들이 실현 되는 것이다. 대통령 후보자 시절의 홈페이지의 해킹 사고를 겪은 이후 사이버 보안에 대해 막대하고 지대한 관심을 기울여 왔다.
최소한 사이버 보안에 관해서는 가장 많은 관심을 기울이고 있는 것만은 확실한 사실이다. 관심 있는 분들께서는 보고서를 살펴 보시고 앞으로의 변화를 살펴 보시는 것도 좋은 기회가 될 수 있다. 특히 사이버스페이스 폴리시 리뷰(Cyberspace Policy Review) 보고서는 정책을 결정 하거나 판단해야 할 필요성이 있는 많은 분들에게 참고가 될 수 있는 보고서라 할 수 있다.
명확한 자료를 준비하도록 하고 현상을 파악한 이후 장기적인 방향성을 확인한다. 그 이후 단계적으로 이루어야 하는 과제들을 진행하여 큰 방향성을 이루어 가도록 한다. 참 쉬운 이야기 이지만 실제로 실행하기는 매우 어렵다. 확신과 의지가 없다면 절대 할 수 없다. 그런 면에서 우리의 상황은 한심하다고 조차 말하기 어렵다.
간단하게 지난해 연말부터 올해 1월 초까지 발생된 굵직한 사건들과 이슈들만 보아도 국제정세의 상당부분에 사이버 공격이 이용이 되고 있음을 볼 수 있다. 산업이나 기업의 흥망성쇠 이외에도 국가와 민족간 분쟁을 일으키는 다양한 도구로 이용이 되고 있다. 앞으로도 계속 이럴까?
필자는 모든 공격기술은 그만큼 전체적인 영향력을 가진다고 생각하고 있다. 보이는 공격기술과 보이지 않는 공격기술의 개발도 충분히 이루어지고 있고 지금 이 시간에도 많은 부분들이 만들어 지고 있을 것이다. 향후의 경쟁의 승패는 공격기술 보다는 체계적인 대응에서 승부가 갈릴 수 밖에 없을 것이다.
저강도 혹은 고강도 분쟁에서 이제 장식용 혹은 동기 부여용의 사이버 공격이 아니라 실제적인 피해를 일으키는 공격으로 반드시 선회 할 수 밖에 없을 것이다. 7년이라는 오랜 시간 동안 종합된 문서를 작성 하지 않은 것도 때가 충분하지 않았기 때문이다. 그러나 지금은 충분하고도 넘친다.
■기반시설 그리고 SCADA
2002년 이후 얼마나 많은 기반시설의 문제들과 사례들이 발견 되었는가? 관심을 가지지 않은 사람들은 모를 수 있다. 그리고 일반적으로 기반시설에 대한 문제들은 공개적으로 논의 되지 않는다. 시일이 지난 후 단편적으로 드러난 모습에 의해 개연성을 짐작할 뿐이다.
2003년의 블래스터웜이 인터넷 세상에 미친 영향은 기반시설 분야에도 큰 영향을 줄 수 밖에 없었다. 그리 많이 알려지지는 않았지만 오하이오 핵 발전소의 모니터링 장비들이 마비되어 핵발전소 운영이 중단된 사례는 완벽하게 분리된 망에서 존재한다는 근본전제가 맞지 않음을 의미한다.
수천, 수만 곳의 연결 통로를 일일이 다 통제하고 제한 할 수 있는 곳은 없다. 또한 완벽한 보안도 있을 수가 없다. 일부 방송으로도 알려진 항공 예약시스템의 마비, 국가 전체를 무력하게 만들었던 에스토니아 이슈들..
■과연 우리는 지금 어디쯤에 있을까?
위협은 변화한다. 공격 기술도 진보한다. 데이터에 기반한 분석은 쉽다. 예상과 예측은 데이터에 기반할 때 신뢰가 생긴다. 그러나 발생되지 않은 위협에 대해 경고를 하는 것은 개인적으로는 위험을 감내해야만 한다. 그럼에도 의견을 제시하는 것은 반드시 필요한 부분들이기 때문이다. 공공의 이익, 산업적인 균형을 위해서는 경고의 소리도 귀를 기울여야 하지 않을까?
필자는 지난해의 글로벌 보안 위협의 변화라는 컬럼에서 변화되고 있는 위협들과 실제적인 환경들이 어떻게 달라졌는지를 설명 했었다. 그 모든 내용들은 위협이 실제 생활에 영향을 미칠 가능성이 매우 높음을 증명한다.
타켓화된 공격이 일반화 되고 있고 공격 도구들은 자체적인 QA (Quality Assurance – 품질관리) 를 일반적으로 한다. 여기서 QA는 백신 및 여러 다양한 침입 탐지 도구로부터 탐지가 되지 않는지 여부를 체크 하는 것을 말한다. 최소 2~30여종 이상의 백신들에 대해 테스트를 하는 것은 일반적이다.
내부자에 대한 타켓화된 공격도 일반적으로 발생 되고 있고 ( 지금 구글의 케이스를 보라) 외부망에 연결된 서비스들에 대해 직접적인 공격의 강도들도 높아지고 있다. 보통 공격과 수비는 3배수의 차이가 있어야 된다는 것이 필자가 느낀 경험적 원칙이다.
공격과 수비는 일정범위내의 동일한 경험과 역량을 가지고 있을 때 방어하는 쪽은 공격자 보다 3배 이상 더 많은 신경을 쏟아야만 한다. 한 지점만을 공격하는 공격자와 수백 가지 이상의 서비스들과 구성요소들에 대한 문제 제거 방안을 강구하는 것은 차원이 다른 이야기 이다.
지금은 공격과 방어의 기술 격차도 있는 상황에서 제대로 막는 것은 어려울 수 밖에 없다. 정말 키워야 될 것은 경험과 역량을 갖춘 보안 전문가들이 대거 필요한 것이다. 기업에서의 실제적인 대응경험을 가지고 있고 기술적인 발전을 관찰하고 일정수준 깊이 있는 이해가 가능한 인력들을 어떻게 키우는 가에 따라 앞으로의 향방은 갈릴 수 밖에 없을 것이다.
보안전문가로 성장을 시키기 위해서는 정말 오랜 기간과 경험, 개인의 노력이 필수적이다. 지금 세상을 흔들고 있는 것은 기술적인 분야의 보안전문가들의 대거 출현이 필요함을 의미한다. 우리는 그 동안 얼마나 많은 보안 인력들을 키웠을까? 대응경험이 없는 전문가들.. 체계적인 방안 구축을 경험해 보지 못한 전문가들이 넘친다.
배는 깊은 산속으로 들어간다. 회항 하기도 어려운 골짜기 어디쯤엔가 닻을 내리고 노를 저으라 한다. 사이비 전문가들, 언론, 역량을 갖추지 못한 보안업체들 모두 문제가 생겼을 때는 외면한다. 그러다 해결의 기미 혹은 잠잠해 지기라도 할라치면 온 세상을 시끄럽게 한다. 10년 전이나 지금이나 달라진 것이 없다. 시대는 이렇게 변했는데도 말이다.
사실을 알려면 보이는 대로 믿어서도 안되고 들리는 대로 들어서도 안 된다. 각 분야에서의 현명한 성찰만이 지금을 보다 더 나은 상태로 만들어 갈 수 있을 것이다. 치밀한 관찰과 꾸준함만이 깊이를 만들 수 있을 것이다. 해커가 아닌 보안전문가들이 성장 할 수 있는 체계와 구조를 기대한다.
바다란
피할 수 없는 사이버전 (문서파일 다운로드)Inevitable Cyber warfare II
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.