한수원 해킹이 보안 위협 대응에 던진 메시지

일반입력 :2015/02/04 08:32    수정: 2015/02/04 12:43

손경호 기자

국가핵심기반시설인 한국수력원자력 해킹사건은 안전이 보장됐다고 여겨지는 망이 분리된 환경에서도 보안위협이 발생할 수 있다는 것을 보여준 사례였다.

공격을 100% 막아낸다는 관점에서 벗어나 공격을 통해 내부 시스템이 해킹될 수 있다는 전제한 뒤 어떤 경로를 통해 공격이 들어오는지를 정확히 파악해 대응법을 찾는 것이 중요해진 시점이다.

3일 미래창조과학부가 서울 포스트타워에서 개최한 '사이버안심 국가 실현을 위한 정보보호 대토론회'에 참석한 보안전문가들은 기존에 외부 공격을 방어하는데만 초점을 맞췄던 것에서 벗어나 내부자를 통한 위협에 대응하는 것이 중요해졌다고 강조했다.

이 자리에는 미래부 윤종록 제2차관, 청와대 임종인 안보특보, 주요 기업 최고정보보호책임자(CISO), 화이트해커, 정보보호업체, 학계에서 참석해 여러 의견을 내놓았다.

이날 주요정보통신기반시설 등 국가 중요시설 수준을 높이기 위한 방안에 대해 발제를 맡은 신수정 KT CISO는 크게 대응적 관점, 제도적 측면에서 살펴볼 필요가 있다고 강조했다.

신수정 CISO는 기반시설을 노린 공격들은 대부분 지능형지속가능위협(APT) 공격에 속한다며 기반시설은 폐쇄망, 내부망, 인터넷망으로 분리되지만 이들 사이에 연결고리가 없을 수 없다고 말했다. 물리적으로 분리돼 있다고 하더라도 협력업체나 내부 운영자들이 USB드라이브 등을 이용하는 과정에서 악성코드에 감염될 가능성은 여전히 존재한다는 설명이다.

그에 따르면 현재 기반시설에 대한 보안체계는 3가지 문제점을 갖고 있다. 신 CISO는 대부분 기업/기관들이 외부에서 시도되는 해킹을 막아내는 인바운드(inbound) 관제에만 초점을 맞추고 투자도 여기에 집중되고 있다고 밝혔다. 이어 대부분 보안 시스템들이 설치만 해놓았을 뿐 제대로 활용되지 못하는 경우가 많다고 지적했다. 마지막으로 내부자 보안의식 미비 등 사람 이슈에 대해 제대로 대응이 되지 않고 있다고 강조했다.

이를 해결하기 위해서 기본적으로 기반시설이라고 해도 해킹을 통해 시스템이 뚫릴 수 있다는 관점에서 외부로 나가는 정보를 차단하는 아웃바운드(outbound) 관제와 분석에 공을 들일 필요가 있다고 그는 설명했다.

그는 IT 중심으로 대응하던 것에서 벗어나 이제는 사람, 즉 직원들을 통한 정보유출에 주목해야 한다고 밝혔다. 시스템을 보호하는 작업에만 초점을 맞춰서는 안 된다는 것이다. 이를 위해서는 보안에 대한 인텔리전스가 중요하다고 그는 강조했다. 모의침투를 수행할 수 있는 인력들은 많지만 실제로 시스템에서 나온 로그, 침해사고 내역 등을 종합적으로 분석해 대응할 수 있는 분석 전문 인력과 인프라가 절실하다는 것이다.

제도적으로는 위협정보, 취약점 정보, 침해사례에 대한 보다 긴밀한 정보공유가 중요하다. 현재 주요 기반시설들은 분야별로 정보공유분석센터(ISAC)를 통해 각종 보안정보들을 공유하고 있다. 그러나 국가정보원과 같은 국가기관 외에는 상당히 제한적인 정보들만 공유하고 있어 실제로는 효과가 제한적이다. 신 CISO는 서로 다른 분야별 ISAC들 간에도 서로 더 긴밀하게 정보를 공유할 수 있는 체계를 만들 필요가 있다고 설명했다.

정보공유를 더욱 활성화해야한다는 의견에 대해 한창규 안랩 ASEC 센터장은 보안업체와 민간기업 간 정보공유의 경우 고객사에 대한 정부기관이 아닌 곳에까지 정보를 공유해야 한다는 점에서 조심스러운 면이 있는 것이 사실이라며 기반시설의 경우 오히려 보안업체들에게 침해사고 전반에 대한 시나리오가 아니라 최종 단말단에서 출현한 악성코드 분석 요청에 그치는 수준이라 이 부분을 확대할 필요가 있다고 말했다.

내부 임직원들에 대한 보안교육의 중요성도 강조됐다. 이준호 네이버 CISO는 수많은 정보유출사고들이 해커가 직접 뚫었다기보다는 USB드라이브, 협력업체를 통해 이뤄지고 있다며 수많은 부서 전체 임직원들의 보안수준을 높일 수 있도록 딱딱하지 않은 캠페인, 교육 등이 마련될 필요가 있다고 밝혔다. 이준호 CISO에 따르면 네이버의 경우 사용자들의 ID, 비밀번호와 로그인 서비스를 다루는 회원서비스 담당부서가 더 보안팀 같을 정도로 알기 쉽게 보안 수준을 높이기 위한 노력을 하고 있다.

관련기사

내부 보안 수준을 높이기 위해 외부 협력 업체들의 보안 능력을 향상시키는 게 중요하다는 주장도 나왔다. 염흥열 순천향대 교수는 삼성전자의 경우에 협력업체들이 반드시 정보보호관리체계(ISMS) 인증을 받도록 요청하는 등 보안에 대한 기초체력을 쌓아 오도록 하고 있다며 최근 도입된 정보보호 준비도 평가와 같은 민간 자율 제도를 활용하는 것도 한 내부 보안성을 높이기 위한 방법이라고 밝혔다.

조주봉 라온화이트햇 센터장은 그동안에는 도둑이 어떻게 들어왔는지에 대해서는 뒷전으로 밀려 있었고, 피해범위를 파악하는데만 그쳤다며 어떤 악성코드가 쓰였느지 보다 어떤 시나리오에 따라서 공격이 이뤄지는지를 파악하기 위해 이스라엘 보안회사들처럼 시나리오 기반 시뮬레이션 장비들을 갖춰놓고 모의테스트, 모의훈련을 할 필요가 있다고 강조했다.