국내서도 금융권을 중심으로 모의해킹 혹은 침투테스트(Pentest)라고 불리는 보안방식에 대한 관심이 높아지고 있다.
아무리 좋은 보안솔루션을 갖춰 놓았다고 하더라도 실전에서 어떤 해킹 위협에 노출될 수 있는지를 직접 확인하는 작업이 필요하다는 판단에서다. 물론 일각에서는 오히려 이러한 테스트로 인해 자사 정보가 유출될 수 있는 것 아니냐는 우려도 나온다.
미국 군 및 정보기관 등과 긴밀히 협력하고 있는 침해사고대응팀으로 중국 해커그룹 APT1의 실체를 추적했던 것으로 유명한 파이어아이 맨디언트 소속 임원들은 일명 '레드팀(Red team)'이라고 불리는 모의해킹팀을 위해 기업들이 해야할 것과 하지 말아야할 것들에 대한 가이드를 설명했다.
맨디언트가 최근 발표한 보고서에 따르면 기업 내 침해 당했다는 사실을 스스로 파악한 경우는 31%에 그쳤으며 나머지 69%는 오히려 외부 소스를 통해 자사에 대한 침해사고가 있었다는 점을 듣고 있는 실정이다. 조사 대상 기업들은 자사 네트워크에서 침해사실을 알게되기까지 평균 205일이 걸리고, 심지어는 2천982일이 지나도록 모르고 있는 경우도 있었다고 보고서는 설명했다.
미국 지디넷 등 외신에 따르면 미국 워싱턴D.C에서 현지시간으로 12일~14일까지 개최된 파이어아이 사이버 디펜스 서밋에서 발표를 맡은 맨디언트 에반 페나 수석 컨설턴트는 "기업들이 침해를 당하는 것은 피할 수 없지만 이것이 반드시 데이터나 기밀정보, 지적자산 등이 유출된다는 뜻은 아니다"라고 강조했다. 그는 "침해를 당한다고 하더라도 주요 기업들은 12시간 이내 방어를 목표로 하고 있다며, 그렇게 했을 때는 침해를 댱하더라도 피해를 최소화할 수 있다"고 밝혔다.
이렇게 침투사실을 빠르게 확인하고 대응하기 위해서 레드팀을 통한 모의해킹은 주요기업 내에서 반드시 필요한 요소다.
페나 수석 컨설턴트에 따르면 이를 위해 먼저 기업들 스스로 내부에서 가장 중요한 자산이 무엇인지를 확인해야만 한다. 레드팀이 이러한 자산을 목표로 모의해킹을 시도해 볼 것을 요청해야만 그 뒤에도 핵심자산에 대해 효과적으로 대응할 수 있기 때문이다.
그 다음 단계로 내부 자원을 활용하거나 외부에서 유능한 레드팀을 고용할 필요가 있다. 최신 공격기법에 대해 알고 있으면서도 공격자들이 실제로 어떤 시나리오를 통해 탐지를 피하고, 내부 보안팀을 우회하면서 시스템에 침투할 수 있는지를 파악해야한다는 것이다.
기업이 공격에 대한 사전대응프로세스를 강화하기 위해 레드팀을 활용할 때 해야할 것과 하지말아야 할 것을 정리하면 다음과 같다.
먼저 레드팀이 자신들의 일을 하게 두라는 것이다. 들어올 수 있는 네트워크를 제한한다던가 하는 등의 조건을 달면 원래 기업이 갖고 있는 취약한 부분에 대해 제대로 파악할 수 없게 된다는 설명이다.
비슷한 맥락에서 사내 보안팀에게 레드팀이 어떻게 움직이고 있는지에 대한 상세 정보를 공개해서는 안 된다.
관련기사
- 한수원 해킹, 주목받는 3가지 보안 키워드2015.10.15
- 파이어아이 "소니 해킹 배후는 북한"...왜?2015.10.15
- 보안 경보 울려도 대응에는 며칠씩 걸려2015.10.15
- 중국발 해킹의 실체, 그 7년의 추적2015.10.15
또한 실제와 같은 시뮬레이션을 위해 레드팀이 만약 침투에 성공하게되면 실제로 일부 중요하지 않은 데이터를 유출시켜보도록 해야한다.
이런 과정에서 기업들 스스로 자존심이 무너져서는 안 된다. 모의훈련과 같다는 점을 인식하는 과정이 필요하다는 것이다. 끝으로 레드팀의 모든 움직임은 이후 분석을 위해 로그로 남겨둬야한다.