팔로알토의 CSO 션 듀카의 전망!...에 숟가락 얹기

17년 동안 보안 업계에서 일해온 전문가... 인텔 등 거쳐
그 노하우에 숟가락 얹어 기획기사 하나 공짜로 건지기

[보안뉴스 문가용] 20일, 팔로알토 네트웍스(Palo Alto Networks) 아태지역 최고보안책임자인 션 듀카(Sean Duca)가 2016년 아태지역 사이버 보안 시장을 전망했다. 션 듀카는 17년 이상 보안 업계에서 경력을 쌓아온 전문가로 자사의 보안은 물론 사용자 기업들에 대한 보안 교육 및 강연, 컨설팅 서비스 등을 해왔다. 이번 방한에도 보안 관련 매체 기자들을 모아놓고 ‘2016년 아태지역 사이버 보안 시장 전망’을 홍보 내용 한 줄 없이 발표했는데, 그 내용을 나눠본다. 기자는 그의 혜안에 살짝 숟가락을 얹었다.

▲ 강연 중인 션 듀카 CSO

1. 랜섬웨어의 전파 방식이 한층 교묘하게 진화할 것이다
[듀카 曰] “해커들에게 고수익을 보장하는 공격수단임으로 지속적인 발전이 있을 것이다. 최근에는 높은 가치의 데이터를 랜섬웨어를 통해 추출해내기까지 해 피해는 더욱 커질 것으로 보인다. 2015년에 등장한 크립토월(CryptoWall) V3의 경우 여태까지 약 3억 25000만 달러의 수익을 낸 것으로 조사됐다.”

[숟가락] 동의. 랜섬웨어가 2016년의 가장 뜨거운 이슈일 거라는 건 누구나 동의하는 바이고, 누구나의 예측 범위 안에 있다. 올해의 가장 큰 위협을 예측해보라는 본지 설문조사에서도 랜섬웨어가 꼽혔으며, 2015년 말부터 랜섬웨어 공격자들은 돈을 달라고 협박하는 것뿐 아니라 민감한 정보를 온라인에 공개하겠다고 하질 않나, 랜섬웨어 커뮤니티에 가입하신 걸 환영한다며 돈을 내면 다음엔 우리 편이 될 수 있다고 꼬이질 않나, 돈을 뜯어내는 방법 또한 진화하고 있다. 기술도 진화, 운영법도 진화, 랜섬웨어를 통한 범죄 행위의 변천사가 참으로 다이내믹하다. 자매품으로 돈을 안 주면 디도스 공격을 하겠다는 협박행위가 있다. DD4BC가 대표적이다.

2. 위협 인텔리전스 공유에 동참하는 조직이 늘어날 것이다
[듀카 曰] “사이버 공격자들의 패턴이 어느 정도 드러나고 있다. 굉장히 새롭고 획기적인 공격방법이 개발되고 있기도 하지만 대부분은 하나의 멀웨어를 미세하게 변형시켜 여러 곳에 재배포한다. 이것만으로도 보안 솔루션을 효과적으로 우회하고 있다. 그러니 공격에 대한 정보가 널리 퍼지면 퍼질수록 공격을 막기가 쉬워진다. 금융 산업이 이러한 대처법을 아주 잘 활용하고 있다. 하지만 공유가 늘 이상적으로 일어나진 않는다. 누구는 받기만 하고 나누질 않곤 하는데, 사이버위협동맹(Cyber Threat Alliance, 이하 CTA)에서는 이를 방지하기 위해 참여 기업은 반드시 천 개의 새로운 샘플에 대해 공유하도록 하고 있다.”

[숟가락] 어느 정도 동의. 특히 미국의 사이버 정보 공유법인 CISA가 2015년에 통과하면서 이제 첩보의 공유는 반드시 해야 하는 일이 되어 버렸다. 굳이 ISAC 같은 곳에 가입하지 않아도 미국 내에서 사업을 한다면 반드시 사이버 첩보를 공유해야 한다는 뜻인데, 일각에선 ‘어차피 자발적으로 잘 하고 있던 건데, 법이 생긴다고 해서 달라질게 무어냐’라고 묻기도 하고 ‘어차피 자발적으로 잘 하고 있던 건데, 굳이 법으로 강제할 이유가 무어냐’라고 묻기도 한다. 그런데 이 ‘자발성’이 ‘강제성’으로 변환된다면 공유되는 정보의 질이 낮아질 가능성이 생긴다. 왜 그런 거 있지 않은가, 오늘부터 공부 시작해야지, 하고 마음먹고 집에 왔는데 엄마가 ‘공부 좀 해라’고 하면 더 하기 싫어지는 거. 그런 의미에서 올해는 정보 공유의 장을 마련하는 걸 넘어 공유되는 정보의 질에 대한 이야기가 나올 것으로 보인다.

3. 2차 피해를 발생시키는 사이버 공격이 증가할 것이다
[듀카 曰] “다른 사이트나 서버 등을 우회하는 공격인 워터링홀(watering hole) 공격이나 파트너사를 통한 공격이 계속해서 이어질 것이다. 예를 들면 표적으로 삼은 회사의 직원들이 어떤 사이트에 가장 많이 접속하는지 조사했다가, 그 사이트에 멀웨어를 심는 등의 공격을 말한다. 이런 공격을 할 경우 포렌식 및 추적이 쉽지 않다는 장점이 있다. 아태지역에서는 특히 워터링홀 공격이 많다.”

[숟가락] 너무 당연한 얘기. 이는 결국 두 가지를 의미하는데, 하나는 흔히들 말하는 초연결(hyperconnectivity)시대가 도래했다는 것이다. 내 잘못이 생판 모르는 타인의 피해로 이어지고, 내 실수가 우리 회사에게 생각 이상의 피해를 끼칠 가능성이 높아졌다. 즉 내가 나를 지키는 게 보안이 아니라 나를 지킴으로서 다른 사람도 더 안전하게 만드는 것으로 보안의 개념이 확장되고 있다는 뜻도 된다. 나머지 의미는 보안 관련 법이 더욱 시급해졌다는 뜻이 된다. 왜냐하면 파트너사의 보안정책에 대해서 우리 회사가 이래라 저래라 할 수 없기 때문이다. 저 회사랑 같이 일을 하긴 해야 하는데, 보안이 영 께름칙하다, 그렇다고 참견할 수도 없다, 그런 경우 전국적으로 강제되어 있는 법이나 정책을 활용하는 수밖에 없다. 실제로 미국에서는 연방거래위원회가 점점 기업들의 보안에 감 놔라 대추 놔라 할 수 있는 입장이 되어가고 있다. 뒤에 나오는 6번과도 관련이 있다.

4. 제로 트러스트 : 사이버 범죄를 사전에 방어하는 모델이 최우선
[듀카 曰] “인터넷의 신뢰 기반이 무너지고 있다. 인증서를 훔쳐내거나 크리덴셜을 훔쳐내기만 하면 해당 기업인 것처럼, 혹은 해당 사용자인 것처럼 얼마든지 위장할 수 있기 때문이다. 암호가 얼마나 약한 보안 장치인지에 대한 칼럼만 해도 2015년 한해 동안 끝도 없이 등장했다. 이제 온라인의 신뢰라는 개념을 전면 수정해야 한다. 아무것도 믿지 않고 끊임없이 확인한다는 제로 트러스트(zero-trust)의 원칙을 새롭게 도입해야 한다. 기존의 신뢰 시스템을 완전히 바꾼다면 공격을 사후에 처리하는 게 아니라 사전에 방지하는 것도 가능해진다.”

[숟가락] 정말? 보안기자 생활을 오래 해온 건 아니지만 완벽한 사전 예방을 자신 있게 언급하는 업체나 전문가는 둘 중 하나였다. 김선달의 환생이거나 시스템 전복 시도자거나. 해킹이 불가능한 시스템이라는 캐치프레이즈를 대범하게 내세웠던 CAT의 부르스 카버(Bruce Khavar) 회장은 “TCP/IP 방식의 네트워킹 시스템 자체를 바꾸는 게 해킹을 완전히 없앨 수 있는 유일한 방법”이라고 했다. 그러면서 OT-OCN이라는 체제를 제안했다. 팔로알토 역시 제로 트러스트라는 새로운 개념을 들고, 우리가 여태까지 알아오고 해왔던 모든 것들을 바꿔야 한다고 말하고 있다. TCP/IP 시스템과 신뢰를 없앰으로써 안전을 얻는다라...

5. 사물인터넷이 사이버 범죄의 매력적인 공격 대상이 될 것이다
[듀카 曰] “인터넷 연결을 지원하는 기기들이 2015년에만 65억 개가 나왔다고 한다. 하지만 그 많은 제조사들 중 보안에 대한 개념을 가지고 제품 개발을 시작하는 곳은 거의 없다. 아직 기술발전에 비해 보안인식은 매우 낮다. 이는 세계 공통이다.”

[숟가락] 물론 동의. 자매품으로 당분간 사물인터넷 관련 해킹 가능성 이야기가 보안관련 뉴스에서는 그다지 매력적이지 못한 읽을거리가 될 것이라는 (기자 개인의) 예측이 있다.

6. 아태지역 내 사이버 범죄에 대한 법률 제정이 증가할 것이다
[듀카 曰] “아태지역은 아직 미국이나 유럽에 비해 사이버 범죄의 처리나 방어에 대한 법적 장치가 부족한 편이다. 하지만 공격자는 나라나 회사, 조직을 차별하지 않는다. 말 그대로 무차별적인 공격을 한다. 한국의 경우 국방에 대한 전략과 법적 장치 마련은 충분하다고 알고 있다. 그러나 사기업들도 비슷한 수준의 법적 보호를 받고 있는지는 의문이다. 해외의 성공적인 사례를 벤치마킹하는 건 어떨까 싶다.”

[숟가락] 여기에 동의하지 못한다고는 못하겠지만, 세계 보안 시장에서 막강한 ‘파워’를 가지고 있는 중국, 미국, 유럽의 관계에서 발생하는 조약들에 더 주의를 기울여야 하지 않나 하는 생각이다. 미국과 유럽, 중국이라는 거대 파워들 사이에 어떤 계약이 맺어지게 되면, 시장 전체의 흐름이 그것을 따르게 될 확률이 무척 높아지기 때문이다. 국제적인 조약은 국내법보다 보통 우위에 선다는 것도 중요 이유 중 하나다. 지난해 유준상 KITRI 원장은 사이버 범죄 방지조약 가입을 위해 국내법 개선이 필요하다고 발표한 바 있다. 국제적인 조약이 국내법 제정에 얼마나 중요한지를 드러내는 한 줄의 주장이었다. 중국을 제외한 아태지역은 비교적 영향력이 낮은 곳으로, 이들의 사이버 범죄 관련 법률 제정은 높은 확률로 파워강국들의 조약에 이리저리 치이거나 영향을 받을 것이 분명하다. 최근 화두가 되고 있는 국제 조약에는 미국과 유럽 사이의 세이프 하버(Safe Harbor)라는 정보 전송에 관한 조약이 있다. 작년에는 오바마 대통령과 시진핑 주석이 만나 사이버 동맹을 맺기도 했다.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)