해킹팀 PPT에 등장한 능동적인 방어란 무엇인가?

능동적인 방어와 해킹을 통한 방어는 전혀 다른 개념

능동적인 방어의 3단계 : 짜증유발, 범인색출, 공격개시

[보안뉴스 문가용] 액티브 디펜스. 능동적인 방어 혹은 해킹을 통한 방어. 이는 항상 논란의 대상이었다. 능동적인 방어라면 모르겠는데 해킹을 통한 방어 혹은 선제공격을 통한 방어, 방어를 위한 공격 따위의 개념들은 능동적인 방어를 잘 이해하지 못하는 데서 나오는 오해들이다. 최근 해킹팀이 자신들이 개발한 RCS 감시 툴을 각 정부에 팔 때 사용한 프레젠테이션 자료가 함께 유출되면서 등장한 표현도 이 ‘능동적인 방어’였는데, 이 역시 말 장난일 뿐, 참 의미의 능동적인 방어가 될 수는 없다.

▲ 이번에 유출된 해킹팀의 RCS 홍보 PPT 일부. 공격적인 보안을 강조하고 있다.

그렇다면 능동적인 방어란 무엇인가? 이는 세 가지로 분류할 수 있다. 짜증유발, 범인색출, 공격개시. 능동적인 방어의 신생 사자성어라 할 수 있는 짜증유발, 범인색출, 공격개시가 과연 무엇을 의미하는지 하나하나 살펴보자.

짜증유발

능동적인 방어에서 짜증유발이란 말 그대로 해커의 짜증을 유발하는 것을 말한다. 즉 해커 입장에서도 굉장히 많은 노력을 기울여야 겨우 뚫릴까 말까 한 단단한 시스템을 구축하라는 뜻이 된다. 하니팟, 가짜 DNS, 계속해서 반복 생성되는 웹 디렉토리 등을 사용하면 간편하게 짜증을 유발할 수 있다. 즉 해커가 실수할 여지를 높이라는 것이다. 그러나 보안 담당자 보기에도 복잡하고 짜증이 나서는 안 될뿐 아니라 오히려 이런 침입상황을 단번에 파악이 가능해야 한다.

예를 들면 이런 것이다. 해커가 당신의 외부 시스템에 있는 포트를 스캐닝 했는데 모든 포트가 전부 열려 있고 제각각으로 응답한다면? 이때 진짜 포트를 찾아내는 데 얼마나 시간이 걸릴까? 혹시 진짜를 찾아내야만 하는 해커의 입장을 고려해 이 중에 경보 장치를 심어놓는다면? 포트스푸프(Portspoof)라는 장비가 바로 이런 역할을 한다.

범인색출

말 그대로 범인의 가면을 벗겨내는 일을 말한다. 워드(Word)의 웹 버그, 애플릿, 액티브엑스 컨트롤, 매크로 등을 통해 IP 주소와 물리주소를 알아내는 게 가능하다. 사건 대응팀에서 이런 장치를 미리 가지고 있다면 사건 수사가 굉장히 빨리 마무리 될 수 있다. 또한 추가 사고를 미리 방지하는 데에도 도움이 된다.

공격개시

능동적인 방어를 선제공격을 통한 방어나 방어를 위한 해킹으로 오해하는 지점이 바로 여기다. 실제 이 단계는 멀웨어가 심겨진 가짜 웹 사이트를 만들거나 해커의 시스템에 침입하기 위한 원격 제어 매크로를 심는 작업을 말한다. 즉 상상하는 그대로 혹은 오해하는 그대로 해커를 해킹하는 과정인 것. 그렇다면 ‘오해’가 아니지 않은가? 여기에는 조건이 있다. 공식 영장과 법 집행 기관, 수사기관의 동반이 반드시 필요하다.

여기까지 읽고, 능동적인 방어라고 해서 뭔가 획기적일 줄 알았더니 더 복잡하다며 낙담하는 사람이 있을 것도 같다. 그러나 안심하라. 능동적인 방어를 쉽게 해주는 툴킷이 존재한다. 바로 액티브 디펜스 하빈저 디스트리뷰션(Active Defense Harbinger Distribution)이다. 사용설명서도 아주 친절하게 잘 만들어져 있다.

노파심에 강조하지만, 절대로 복수를 위한 앙갚음 해킹은 하면 안 된다. 이는 불법이다. 영장이 반드시 있어야 하며, 그렇다 해도 윤리적으로 반드시 옳다고 할 수도 없다. 한 가지 더 생각해야 할 것은 합법적인 절차로 능동적인 방어를 진행한다고 해도 해커의 심기를 건드릴 가능성까지 지워지는 건 아니라는 것이다. 애초에 합법적인 절차를 신경도 안 쓰는 실력자가 복수심에 당신의 네트워크를 훼손시킬 수도 있다. 그러나 개인적으로 이런 식의 논리에 찬성하지는 않는다. 이런 것까지 생각하려면 아예 능동적인 방어를 포기하라는 결론에 다다르기 때문이다. 하지만 우려사항이라는 점은 분명하다.

기초체력과 기본을 다지는 것이 먼저라는 주장도 있다. 타당하긴 하지만 완벽하지 않은 대처법이라고 생각한다. 능동적인 방어는 기본부터 다잡자는 불완전한 방어체계를 보완해줄 수 있는 방법이다. 즉, 기초체력을 다지는 것과 능동적인 방어가 상반될 필요가 없다는 뜻이다. 사실 능동적인 방어는 복잡한 신기술이나 이 분야에 새롭게 들어온 젊은 사고방식이 아니다. 오히려 정보보안이라는 업을 더욱 재미있게 만들어줄 요소라고 본다. 이전보다 조금 더 움직이고 조금 더 뛰어볼 수 있게 되었다.

글 : 존 스트랜드(John Strand)

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)