오해의 싹은 자르고 보안 자체에 집중해야 할 때

사이버 공격, 대부분 사소한 사기에서부터 시작
닮아가는 사이버전과 범죄자, 구분 의미 없어져

[보안뉴스 문가용 기자] 작년 미국 대선이 진행되던 때, 민주당을 겨냥한 해킹 사건이 불거진 이후 정치적인 동기를 가진 공격이 부쩍 높은 관심을 끌고 있다. 시진핑 주석과 트럼프 대통령의 회동 전에 중국 해커의 움직임이 있었고, 프랑스의 대통령 선거 전에도 미국인으로 보이는 해커들이 에마뉘엘 마크롱 당시 후보자를 겨냥한 공격을 한 것으로 나타났다.

[이미지 = iclickart]

사이버 위협 능력이라는 것이, 점점 정치적인 반목이 늘어가는 분위기 속에서 강력한 ‘무기’가 되고 있다. 보통 이런 종류의 공격자들은 크고 중요한 인사나 단체만 노리는 것으로 알고 있고, 그러므로 ‘사이버전은 나라님 이야기’라고만 여기고 있는데, 이제 이것도 옛말이다. 오히려 요즘 사이버전 공격자들은 그런 굵직굵직한 업체나 기관들에게 특정 서비스나 물품을 제공하는 작은 서드파티 업체들을 노리는 경우가 많다.

또 다른 오해는 이런 공격자들에게 엄청난 기술이 있다고 여기는 것이다. 보안이라고 하는 건 꼭 ‘기술’로만 뚫는 것이 아니다. 아주 작은 속임수에 걸려드는 순간 정보보안 체제는 무너지기 시작한다. 이들이 주로 사용하는 스피어피싱 기법도 결국에는 속임수의 일종이다.

스피어피싱 공격을 성공시키기 위해 사이버전 행위자들에게 필요한 것은 대표적으로 다음 세 가지다. 1) 피해자의 주요 통신 방법에 대한 지식(예 : 이메일), 2) 피해자가 궁금해할만한 내용(예 : 마감 날짜가 지난 인보이스), 3) 피해자를 속일만한 위조 능력이다. 이 세 가지 중 하나라도 갖춰지지 않으면 스피어피싱 공격은 매우 어렵게 된다.

무슨 말이냐면, 보안에 대한 아주 기본적인 지식과 실천력만 갖추어도 스피어피싱은 쉽게 막을 수 있다는 것이다. 직원들이 자신이 주로 사용하는 통신 수단의 주요 보안 사항을 숙지하고, 업무 상 발생할 수 있는 실수나 오류를 최소화하며, 메시지의 진위 여부를 판별할 수 있도록 교육하면 스피어피싱은 꽤나 높은 확률로 막는 게 가능하다.

또 하나 기억해야 할 것은, 이러한 직원 교육은 어디까지나 예방 차원의 조치라는 것이다. 질병을 다룰 때도 그렇듯 예방은 항상 빠른 치료와 같이 가야 한다. 사이버 보안도 ‘직원 교육 시키고 끝’이 될 수 없다. 들어온 공격을 빨리 탐지하고 조치를 취할 수 있는 것도 중요한 능력이다. 이를 위해선 기술과 솔루션 보유 여부도 중요하지만, ‘이미 공격은 들어와 있다’고 여기는 태도도 필수적이다. 그것이 현실이기도 하거니와, 정확한 현실에서부터 일을 꾸려나가야 정확한 결과를 얻을 수 있기 때문이다.

이제는 과거에 그랬던 것처럼 정치적 목적을 가진 공격자들과 금전적 목적을 가진 범죄자들을 구분할 필요가 없다. 범죄자들 중에 랜섬웨어를 활용해 ‘급전’을 노리는 부류가 있다면, 단순 파괴나 혼란 가중을 위해 움직이는 사이버전 부대도 있다. 또한 몇 년이고 피해 네트워크에 눌러앉아 꾸준히 정보를 빼가는 사이버전 부대가 있다면, 주요 인물만 노리고 공격하는 사이버 범죄자들도 있다. 둘은 서로 빠르게 닮아가고 있다.

그러므로 방어하는 것 자체에 집중해야 한다. 악성 행위자의 공격 동기와 기술을 파악하면 다음 공격 대상자를 가늠해보는 데에 도움이 될 수 있겠지만, 이것이 매번 맞아 들어가는 것도 아니고 의외로 많은 사이버 공격들이 아주 사소하고 작은 구멍을 통해 들어온다. 공격자들은 머리가 뛰어날 것이다, 그들이 보유하고 있는 기술력은 엄청날 것이다, 나는 아무 것도 할 수 없을 것이다, 와 같은 오해부터 제거해가는 것이 ‘방어에 집중하게 하는’ 첫 걸음이다.

글 : 존 밤베넥(John Bambenek)
[국제부 문가용 기자(globoan@boannews.com)]

2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
	솔라윈즈 사건
	콜로니얼 파이프라인 사건
	카세야 사건
	익스체인지 서버 취약점 사건
	원자력연구원/KAI 해킹 사건
	국내 대기업 주요 정보 다크웹 유출 사건
	기타(댓글로)