실전같은 사이버보안훈련장 만들어진다

공격수행팀 역량확보가 관건

컴퓨팅입력 :2015/11/12 18:09

손경호 기자

보안 패러다임은 이미 변했다. 기업, 기관 임직원들이나 보안담당자들이 어떤 식으로든 공격에 노출될 수밖에 없다는 전제 아래 어떻게 하면 더 빠르고 효과적으로 피해를 최소화할 수 있는가가 중요해진 것이다. 글로벌 보안 시장에서 저마다 위협 인텔리전스를 강조하고 있는 것이나 침해사고대응서비스를 강화하고 있는 것도 이런 이유 때문이다.

이 같은 변화에서 중요한 것은 임직원이나 보안담당자들의 경험이다. 어떤 상황에서 공격이 발생할 수 있는지를 직접 체험해보고, 대응해 본 경험이 언제, 어디서 들어올지 모르는 지능형 공격에 대비할 수 있는 자산이 되는 것이다.

최근 미래창조과학부가 발표한 'K-ICT 시큐리티 이노베이션 확산 방안'에는 실전형 사이버보안 훈련장인 '시큐리티짐(Security-GYM)'을 구축한다는 내용이 포함됐다.

국내에서도 이스라엘 사이버짐과 유사한 사이버보안 훈련장이 도입된다. (사진=사이버짐)

이와 관련 미래부 정보보호정책과 홍진배 과장은 "이스라엘이 운영 중인 '사이버짐(Cyber-GYM)'과 유사한 실전형 사이버보안 훈련장이 국내에서도 필요하다고 판단해 관련된 예산을 확보하고 있다"고 밝혔다.

이스라엘 사이버짐은 SCADA 등 산업제어시스템(ICS)과 함께 각종 제조기업, 금융기관, 통신사업자 등이 운영 중인 시스템과 거의 같은 수준의 가상환경을 만들어 놓은 뒤 이곳에서 어떤 공격과 방어가 이뤄질 수 있는지 공격팀, 방어팀을 통해 수행해 대응법을 몸으로 익히고, 필요한 보완책을 마련하는 사이버보안 모의훈련 프로그램이다.

이 프로그램은 2013년 이스라엘 내 거의 모든 전력사업을 맡고 있는 이스라엘 일렉트릭 코포레이션(IEC)가 투자한 합작벤처회사를 통해 운영된다. 이 나라의 국가정보보안국(NISA)에서 근무했던 보안전문가들과 다수 화이트해커들로 구성됐다.

이들이 운영 중인 '사이버짐 트레이닝 아레나'는 공격을 담당하는 레드팀, 방어를 맡은 블루팀, 공격과 방어를 모니터링하고 관리하는 화이트팀으로 구성된다. 실제 산업기반시설을 포함한 기업, 기관 내부 시스템과 유사한 가상환경에서 사이버워게임을 수행한다는 설명이다. 여기에는 시스템 내부에 존재하는 보안취약점을 활용하는 것은 물론 사회공학적인 기법 등 모든 수단이 동원된다.

사이버짐을 통한 공격과 방어 테스트가 끝난 뒤 화이트팀은 이 과정에서 수집된 데이터에 대해 검토한다. 그동안 눈에 보이지 않았었던 자사의 취약한 영역에 대해 재점검하는 것이다.

이 프로그램에 참여하는 기업, 기관 보안담당자들은 자신의 조직이 공격을 당하고 있다는 사실을 모의해킹 경험을 통해 확인할 수 있게 되며, 초기대응과 함께 공격을 약화시킬 수 있는 방법에 대해서도 실전처럼 익힐 수 있게 된다는 설명이다.

한국인터넷진흥원(KISA) 정경호 부원장은 "최근 공격패턴이 일회성이 아니라 지속적으로 이뤄지고 있는 만큼 단순차단에서 벗어나 현상을 이해하고 공격이 들어왔을 때 이상징후를 파악하는 것이 중요해진 시점"이라고 밝혔다. 국내서는 아직까지 차단에만 방점을 맞추다보니 이러한 역량이 부족하다는 설명이다.

정 부원장은 "공격자가 시스템을 감염시켜 공격으로 성과를 보려면 한 달에서 길게는 수개월까지 작업이 필요한데 시큐리티짐과 같은 프로그램을 통해 공격대응에 필요한 경험들을 쌓을 수 있을 것으로 본다"고 강조했다. 긴급상황에서 우왕좌왕 하지 않도록 훈련이 필요하다는 것이다.

더구나 원자력발전소, 수력발전소 등 사회기반시설을 포함한 인프라는 일반적인 PC, 노트북에서 사용되는 것과 운영체제(OS)에서부터 서버, 소프트웨어 등에 이르기까지 전혀 다른 체계를 갖추고 있기 때문에 별도의 시뮬레이션된 공간에서 어떤 공격이 발생하고, 대응할 수 있는지에 대한 경험치를 쌓는 것은 더 큰 위협에 대응하기 위한 중요한 작업이다.

때문에 올해부터 국가보안기술연구소에서도 이스라엘 사이버짐과 유사한 국가 기반 시설에 대한 사이버 모의 훈련 프로그램을 마련하고 있다.

관련기사

앞서 방한했던 사미르 카푸리아 시만텍 사이버보안서비스(CSS)를 총괄 수석부사장은 시만텍은 보안 시뮬레이션을 통해 병원, 공장, 유통업체, 금융회사 등 공격자들의 타깃이 됐을 때 심각한 피해를 유발할 수 있는 분야 기업들의 내부 시스템을 클라우드 기반으로 가상화된 공간에 구현해 점검하는 서비스를 도입하고 있다. 이와 관련 카푸리아 부사장은 "작년 한 해 동안 발견된 제로데이 취약점이 24건이었는데 보안 시뮬레이션을 통해 지난 3일 간 파악하게 된 제로데이 취약점이 19건이었다"고 설명한 바 있다.

이런 프로그램들이 실전과 같은 형태로 운영되려면 공격을 맡고 있는 레드팀의 역량이 중요해질 것으로 전망된다. 고려대 정보보호대학원 김승주 교수는 "사이버짐의 경우 레드팀이 이스라엘 첩보기관인 모사드에 견줄 정도로 훈련을 하고 있다"며 "국내서도 해당 기관에서 침해사고대응 등 업무를 맡고 있는 담당자가 아니라 실력있는 화이트해커들을 모아 이러한 활동에만 전념할 수 있도록 여건을 마련해야한다"고 밝혔다. 확실히 예산과 인력을 투입해 무늬만 훈련장이 되지 않도록 해야한다는 것이다.