악성코드 평균 수명은 2시간입니다. 이 중 3분의2에 해당하는 약 67%는 한번만 활동하고 사라지며, 85%가 1시간이 지나면 활동을 중단합니다.
하루에도 수많은 악성코드들이 나타났다 사라졌다를 반복하고 있다. 기업, 기관 보안 담당자들은 수많은 변종 악성코드에 대응하느라 주말도 반납하고 분석업무를 수행하는 경우도 적지않다.
20일 세미나 참석차 방한한 데이브 메르켈 파이어아이 최고기술책임자(CTO)는 서울 역삼동 리츠칼튼 호텔에서 기자들과 만나 지능형 사이버위협 방어에 대해 기존과는 다른 접근법이 필요하다고 밝혔다.
공격기술 자체에만 몰두할 것이 아니라 공격자를 지속적으로 추적하고, 이들이 어떤 공격을 수행할지에 대해 대응할 수 있어야 한다는 것이다.
메르켈 CTO에 따르면 오랫동안 지속적으로 침투해 정보를 빼가거나 시스템을 마비시키는 지능형 공격은 평균 7.6개월(약 229일) 동안 공격대상 기업/기관 내에 상주하고 있는 것으로 조사됐다.
그 중 삼성전자, LG전자, 현대자동차 등 글로벌 기업을 보유하고 있는 우리나라는 미국 다음으로 가장 높은 지능형 공격 대상이 되고 있는 것으로 나타났다. 최악의 경우 2천200일 동안이나 자사 정보가 유출되고 있었다는 사실을 몰랐던 사례도 있었다고 메르켈 CTO는 설명했다. 파이어아이에 따르면 최근에도 국내 주요 제조사 정보가 유출된 사례가 있었다.
이러한 공격을 막기 위해서는 어떤 준비를 해야할까. 메르켈 CTO는 사이버 공격을 대하는 사고방식이 달라져야 한다고 강조했다. 지능형 공격에 대응하기 위해서는 평시(peace time)가 아니라 전시(war time)라는 사고방식을 가져야 한다는 것이다.
메르켈 CTO는 군대에서는 공격자에 집중해서 이들의 행위나 행동을 바라보는 것이 일반적인데 IT에서는 아직까지 이러한 전제를 유지하지 못하는 경우가 대부분이라고 밝혔다.
그는 파이어아이가 인수한 디지털포렌식 기반 침해사고대응전문회사 맨디언트에서 CTO 겸 부사장을 역임했다. 맨디언트는 지난해 중국 해커 조직의 구체적인 활동을 다룬 'APT1'이라는 보고서를 공개했었다. 그 이후 1년이 지났으나 악성코드나 해커가 운영하는 C&C서버만 바뀌었을 뿐 크게 달라진 점은 없다고 메르켈 CTO는 설명했다.
관련기사
- 러시아 해커조직 비밀번호 12억개 털었다2014.08.20
- "사이버 범죄 막으려면 해커 이해하라"2014.08.20
- APT 공격 대응 솔루션, 탐지넘어 치료 기능도 갖춰2014.08.20
- 진화하는 해커 프로파일링, 어디까지 왔나?2014.08.20
결국 지능형 공격에 근본적으로 대응하기 위해서는 기술분석에만 그치는 것이 아니라 탐지, 방지와 함께 문제를 해결할 수 있는 방법까지 종합적으로 고려해야 한다는 것이다.
메르켈 CTO는 단순히 해킹기술이나 악성코드 자체에 대해서만 대응해서는 문제를 해결할 수 없다며 결국 공격자가 사람이라는 점을 인지하고, 이를 막을 수 있는 전문지식, 방어인력을 갖춰야 한다고 말했다.