금전노린 다양한 해커 공격, 늘어나는 보안 영역

최근 보안 문제를 중심으로 살펴본 ‘7대 중심 보안이슈’

해커들의 금전을 노린 다양한 공격이 늘어나면서 보안의 범위가 점차 늘어나고 있다. 이에 따라 보안의 중심이 네트워크나 시스템에서 정보나 사용자 등의 새로운 부분까지 전이되고 있다는 주장이 나와 설득력을 얻고 있다.

신수정 인포섹 전무는 정보보호 전문가 양성 비영리 단체 (ISC)² 주최로 삼성동 코엑스에서 열린 ‘(ISC)² SecureAsia @ Seoul Conference' 행사에서 ’7대 중심 보안이슈‘를 발표해 큰 호응을 얻었다.

과거의 보안 공격은 해커들이 자신의 실력을 과시하기 위해 공격했었지만, 지금은 해커들이 금전적인 이익을 취하기 위한 악의적인 목적으로 공격을 시도하고 있다. 즉 DDoS 공격을 통해 금전 협박을 하거나 개인정보를 파는 등의 방법을 통해 금전적인 이익을 취하고 있는 것. 이는 보안 공격의 패턴과 기법을 바꾸는 계기가 되고 있다.

과거는 웹사이트에 대한 공격이 초점이었다. 하지만 현재 공격 대상은 단지 웹사이트 뿐 아니라 회사의 애플리케이션이나 고객정보 등 다양한 공격대상을 노리고 있다. 즉 IT인프라에 대한 공격보다는 애플리케이션을 공격하거나 사용자를 공격하는 등 사회 공학적 다양한 기법을 활용해 해커 자신의 목적을 이루려고 하고 있다.

■ 다양한 사이버 공격 증가...새로운 보안전략 필요

돈을 목적으로 공격하는 해커들은 시스템을 직접 공격하기 보다는 취약점을 찾아 공격한다. 따라서 공격대상과 공격방식을 다양하게 바꿔 치명적인 공격을 시도하고 있다. 특히 시스템 애플리케이션 공격과 더불어 무선네트워크를 이용한 공격도 늘어나고 있다.

외주업체나 협력업체 등 기업이 신뢰하는 업체를 통한 공격도 늘고 있다. 더불어 사용자들에게 직접적으로 악성코드 심어 DDoS 공격을 하거나 키보드 정보를 수집해 시스템을 공격하는 등 외부공격이 증가하고 내부 직원들에 의한 공격까지 온오프상의 공격이 다양하게 이뤄지고 있다. 공격자에 의한 환경도 변했지만, 기업이나 사용자에 의한 보안도 변하고 있다.

신 전무는 “사이버 공격이 금전을 노린 악의적인 형태로 변하면서 해커들은 목적을 이루기 위해 공격의 패턴을 다양하게 전개하고 있는 상황으로 한국은 현재 이에 대한 문제에 직면해 있다”면서 “이에 따라 정부와 기업, 사용자들의 보안 의식도 바뀌고 있다”고 설명한다.

과거 보안은 각 기업들의 자율적인 정보보호였다. 하지만 지금은 정부차원의 강력한 법제화를 통해 정보보호가 이뤄지고 있다. 게다가 정부의 보안에 대한 의식도 강화되고 있다. 내년도 정부의 예산은 대부분 줄었지만 정보보호 예산만 늘어났다는 것도 이를 증명한다.

소송이 일반화 되지 않았기 때문에 내 정보가 유출되더라도 법적대응 하지 않았다. 하지만 이제는 시민단체의 단체 소송 등 자칫하면 회사에 큰 영향을 줄 수 있을 정도로 사용자의 보안에 대한 태도도 변했다.

이렇게 정보보호가 기업에 영향을 주는 만큼 기업들의 보안의식도 변했다. 예전 정보보호는 CIO만의 영역이었지만 현재는 CEO들이 직접 관심을 가지기 상황이 되고 있다. 한 예로, 과거의 정보보호 세미나에 참여하는 대상은 대부분 CIO뿐이었지만 최근에는 CEO의 참여가 크게 늘고 있다. 이런 상황은 정보보호의 전략변화의 필요성을 역설하기도 하다.

■ 보안의 변화...7대 중심 보안이슈

신 전무는 상황이 이렇게 변한 만큼 보안에 대한 관점도 바꿔야한다고 역설한다. 특히 기존에 시스템보안이나 네트워크 보안에만 중점을 뒀던 것을 넘어서 7개의 중심적인 보안 이슈에 대응해야한다고 주장했다.

1. 정보 중심 보안(Information Centric)

그동안 많은 기업들이 네트워크나 시스템 보안에 관심을 가지면서도 그 인프라들이 보호하는 정보에 대해서는 관심을 갖지는 않았다. 하지만 최근 대규모의 사용자정보 유출사건을 통해 기업들도 자신들이 수집한 정보에 대한 관심이 늘고 있다.

하지만 기업들은 이런 정보가 어떤 시스템에 어떻게 분산돼 있는지 파악도 안 되고 있는 상황. 하지만 이를 관리할 수 있다면 효율적인 보안이 가능하다. 시스템적인 보안에 대한 투자가 많았지만 이제는 정보를 관리하는 쪽으로 옮겨가고 있다. 특히 사용자정보에 대한 분석이 이슈화 되고 있다. 이런 정보가 예상할 수 없는 곳곳에 숨겨져 있다는 것은 기업이 정보유출에 대한 리스크를 짊어지고 있다고 볼 수 있다.

한 예로 최근 어떤 기업의 보안 컨설팅 중, 이 기업은 자사의 고객정보를 내부 시스템에 안전하게 보관하고 있다고 말했지만 찾아보니 외주업체나 기업 내 다른 PC에도 산재해 있었다. 이는 정보유출에 대한 리스크가 크다고 볼 수 있다.

2. 사람 중심 보안 (People Centric)

어떤 사람이 어떤 정보를 쓰는지를 파악하는 게 중요하다. 중요한 정보에 대한 접근권한을 가지고 있는 것을 파악. 크리티컬한 정보를 다루는 사람을 줄이고, 그 권한을 줄이는 방법. 그리고 그 사람들에 대한 훈련, 그리고 접근권한에 대한 교육이 필요하다. 핵심정보를 1천만 이상 관리하는 사람을 찾아보니 100명중 5명이 나왔다. 그중 세명은 외부직원이었다. 이런 교육이 안돼 제어가 안되고 있었다.

3. 프라이버시(Privacy)

프라이버시에 대한 부분도 보안의 중심으로 이동하고 있다. 이는 정보의 오남용을 다루기 때문에 보안과 다른 부분으로 보는 경향이 있다.

한 인터넷기업이 사용자들에게 정보수집에 대한 자사의 서비스에 한해 이용 하겠다고 동의를 받고 사용자 정보들을 암호화 했다면, 이 회사가 불법적인 행동으로 수사를 받더라도 사용자 정보에 대한 보안장치를 푼다면 이는 사용자들의 프라이버시를 침해하게 된다.

이처럼 프라이버시도 보안문제를 야기할 수 있다. 따라서 사용자의 정보를 수집과 저장, 폐기 과정까지 보안정책에 포함해야한다. 이를 위해서는 프로세스를 분석하고 이에 연관된 사람 그리고 연관 시스템에 대한 분석으로 기업의 보안과 프라이버시를 안전하게 할 수 있다. 어떤 기업은 보안 팀에서 프라이버시를 다루기도 하지만 어떤 기업은 프라이버시는 고객대응 팀이나 영업 팀 등에서 다루는 경우도 많아 이를 정책적인 측면에서 통합보안으로 다뤄야한다.

4. 가상조직 보안(Virtual Organization)

은행이 자신이 가진 시스템 보안만으로는 보안이 완벽할 수 없는 시대가 됐다. 은행의 보안 시스템과 더불어 고객이 가진 PC보안도 책임져야하기 때문. 이동통신사도 마찬가지다. 예를 들면 휴대폰 대리점 협력사에서 정보가 유출되면 이 피해는 이동통신사에서 책임져야한다. 따라서 현재 이동통신사들은 스스로 자본을 투자해 보안정책을 내리고 감사를 하고 있다. 이처럼 가상조직보안에 대한 부분까지 신경 쓰지 않으면 기업 보안에 문제가 발생할 수 있다. 따라서 가상조직보안에 대한 보안 시스템을 갖추고 내외부적으로는 서드파티나 아웃소싱 등 협력업체들에 대해서는 개인정보나 고객정보 관리에 대한 인증을 받아야 고객정보를 취급할 수 있도록 해야 한다. 더불어 사용자를 교육하는 제도도 필요해지고 있다.

5. 위험 중심 보안 (Risk Centered)

그동안 기업들은 리스크에 대한 문제에 민감하지 않았다. 과거의 공격은 인프라에 대한 공격이었기 때문. 따라서 방화벽 IPS 등등 시스템적 보안만 필요했다. 하지만 외부 뿐아니라 내부의 문제가 늘어나자 자체적으로 리스크에 대한 분석 평가가 필요해졌다. 현재 기업에 어떤 위험이 있는 이를 제대로 파악하고 준비하는 것이 필요하다. 하지만 현재 이런 리스크에 대한 준비가 제대로 정착한 기업들이 없다. 이는 한국의 보안컨설턴트의 문제일 수도 있다. 좀더 심플하고 적용하기 쉬운 방법을 적용해 리스크에 차등대응하도록 전략화할 필요가 있다.

6. 거버넌스 중심 보안 (Governance Centered)

정보유출 사고 가 늘면서 정보보호에 대한 거버넌스가 늘고 있다. CEO가 자신의 아젠다로 생각한다면 정보보호의 지속성이 높아질 수 있다. 이는 프로세스로 정착될 필요가 있다. 우리나라도 시스템을 운영하는 과정에서 보안 프로세스가 이뤄지고 있다. 시스템을 개발하는 데 대한 보안도 금융 텔레콤을 기반으로 하고 있다. 아직까지 모든 공공기관과 기업으로 확산되지 않고 있다. 이는 새로운 전략변화에 따라 바뀔 부분.

7. 컴플라이언스(Compliance) 이슈

많은 사용자들이 소송을 하게 되고 법적인 문제가 제기되자 컴플라이언스 대응에 대한 프로세스 정착의 필요성이 높아지고 있다. 관련된 법률이나 문제를 이해하고 이에 대한 기업문제를 파악해 계획을 세우는 작업이 필요하다. 이어 실행과정으로써 법률이나 정책에 대한 부분을 제대로 알고 이를 실행해야한다. 이런 문제는 경영층도 잘 알지 못하는 경우가 많다. 하지만 향후 기업의 문제로 인한 소송에 대비해 정보를 저장하거나 백업을 통해 포랜식에 신경을 써야한다.

또한 앞으로 위변조에 대한 컴플라이언스 제도가 늘어날 계획이기 때문에 포랜식 프로세서가 필요하다. 이전에는 포랜식 프로세스가 없었기 때문에 사고가 나면 은폐하는데 급급했다. 하지만 금년부터 정보보호 법률이 바뀌게 되기 때문에, 기업은 이런 문제를 사용자와 정부에게 의무적으로 공표해야한다.

이는 과거처럼 숨길 수 없게 되는 것을 의미하고, 이런 문제를 공개하게 되면 증거를 필요로 한다. 우리나라는 IT시큐리티 인프라가 세계 최고수준이지만 포랜식에 대한 부분은 관심 밖으로 환영받지 못했다. 하지만 이제는 이런 포랜식의 수요가 점차 늘어나고 있다.

외국의 기업들은 컴플라이언스 인증을 통해 기업을 신뢰할 수 있다는 믿음을 사용자와 주주들에게 보이려고 하고 있다. 국내에서도 이런 부분에 대한 전략이 필요하다.

신 전무는 “2008년을 시작으로 정보보안 부분이 비즈니스 이슈로 등장하고 있지만 그전까지는 정보보안 부분은 큰 IT이슈였다고는 볼 수 없었다. 하지만 이제는 많은 기업들이 정보보안 부분을 심각하게 느끼기 시작했고 비즈니스 차원에서 바라보게 됐다”면서 “따라서 정보보호 부분에서 정보와 사람에 대한 분석이 필요해지고 있다. 이는 정보보로의 영역이 점차 커지고 있음을 의미하고 그만큼 커버해야할 부분이 늘어났다는 것을 의미한다”고 강조했다.

[오병민 기자(boan4@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)