Home > 전체기사 > 인터뷰

[테크칼럼] 최고의 가성비를 위한 실시간 사이버 보안

  |  입력 : 2021-10-01 10:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안 통제와 적절한 비용 조율하고, 사이버 보안에 대한 가성비 측정 필요
이를 효율적으로 관리하기 위한 사이버 보안청 등 국가적 체계 필요


[보안뉴스= 임채호 빛스캔 연구소장] 사이버 보안은 전쟁이다. 정부와 기업은 컴퓨터와 인터넷을 이용해 업무를 하고, 사이버 범죄자는 이를 해킹해 업무 손실을 만든다. 해킹 전쟁에서 이기려면 지속적인 탐지와 대응이 필요하지만, 보안 통제와 구현 및 운영의 문제점으로 사이버 공격이 발생하거나 과도한 비용이 요구된다, 정부는 보안에 대한 비용을 강요하기도 한다. 보안 통제와 적절한 비용을 조율하는 것은 하나의 숙제다. 우리는 사이버 보안 가성비를 측정해야 하며, 정부와 민간 분야에서 책임과 의무를 위한 국가적 체계가 필요하다.

[이미지=utoimage]


미국 백악관을 예로 들면 9.11 테러에서 본토방어를 위한 정부의 업무분장에 문제가 있었다고 판단하고, 이후 국토안보부(DHS)를 설립했다. 이들은 사이버 보안 통제와 공항/해양 물리적인 출입통제를 한다. 본토 공격의 90%는 원격에서도 공격이 가능한 사이버 공격이다. DHS는 국가예산을 이용하는 정부를 감시하기 위해 법안을 만들었다. DHS가 정부의 사이버 보안을 담당하고 있는 것이다. 중국, 북한, 러시아, 중동 등에서 공격이 많고, 이는 연방수사국(FBI)이 수사한다.

한국에서는 정부에 대한 사이버 공격 대응은 국가정보원, 민간부분은 과학기술정보통신부가 맡고 있다. 하지만 실제 보안 데이터를 감시해 탐지하는 법적 근거가 없다. 3.20 대란은 8,000억 원, 1.25 대란은 1조 원 이상의 피해를 보았지만 그 누구도 책임지지 않았다. 이 때문에 별도의 사이버 보안청이 필요하며, 민간은 법으로 정의하고 투자자를 보호해야 한다.

사이버 보안은 컴퓨터 인터넷과 소프트웨어를 연동한 4차 산업의 핵심이며 국가의 핵심 인프라다. 해커는 △사회공학적 기법 △프로그램 취약성 △악성코드 등을 이용해 공격한다. 사이버 보안은 가성비가 중요하지만 이를 충족하는 실질적인 방안이 없는 것이 현실이다.

국가 사이버 보안 가성비 제고를 위해 ①서론 ②보안대응기술체계 ③미국 DHS체계와 한국 사이버 보안청 추진방안 ④최고 가성비의 실시간 사이버 보안 체계 순서로 설명하고, 사이버 보안청 설립과 가성비 최고의 방어전략의 실시간 보안체계를 증명한다.

①서론
정보전은 해킹전쟁이다
해킹은 정보전(Information Warfare)이다. 정보전은 정보자산(컴퓨터)에 대한 공격전략과 방어전략으로 이뤄지고 있으며 공격이 성공하면 정보자산 소유자에 대한 기밀성, 무결성, 가용성 문제로 막대한 손실을 가져온다, 최근 미국 송유관 업체는 악성코드의 하나인 랜섬웨어 감염으로 57억 원 상당의 비트코인을 공격자에게 지불하기도 했다.

해킹대응 전략과 송유관 해킹은?
DHS는 사이버 보안 전략 4가지를 정의하고, 송유관 해킹 사고를 비교 검토했다.

▲DHS의 사이버 보안 전략과 송유관 해킹 사고 검토 사항[자료=빛스캔]


DHS는 이번 경우를 교훈으로 모든 통신을 믿지 않는 ‘제로 트러스트(Zero Trust)’를 제시한다. 이미 정의된, 규격화된 통신을 믿지 않고 모든 것을 비정상으로 보겠다는 의미다. 랜섬웨어는 악성코드의 하나지만, RSA 암호화가 실행되는 시간이 기존의 악성코드보다 빠르며, 비정상인지 판단하는 과정도 엄청난 인력과 시간이 필요하다. DHS는 원칙적으로 정부세금을 사용하는 정부기관 즉 ‘GOV’ 도메인을 거버넌스로 보았고, 인프라 민간공공은 긴밀한 협력체계를 가지고 있다. 이러한 체제의 변동은 변하지 않을 것이다. 임무(R&R)의 변화는 추진하지 않고 표준 강화와 협력강화가 예측된다.

N사의 경우 1억 개의 활성 계정을 갖춘 거대 기업이지만, 어떠한 계정의 컴퓨터도 해킹을 당하지 않았다. N사는 미국의 제로 트러스트 표준을 25년 전부터 시행한 것이다. 모든 정상적인 통신을 정의하고 비정상을 실시간으로 탐지하고 대응한 것이다. 이러한 능력은 아시아 권 10억 개의 모바일 계정을 갖춘 L사나, 국내 C사 등도 같다(기업의 업무를 투명하게 보장하는 것이 해킹 사이버 보안 방어다),

대한민국 해킹사고 경제손실 사례
국가정보학회에서는 국내에서 발생한 주요 해킹사고의 손실을 평가한 논문을 발표했다. 이 자료의 데이터는 청와대에서 근무하는 제1저자의 요구로 여러 공공기관 피해 데이터를 수집해 완성했다(Gordon & Loeb의 모델을 이용했다). 이 모델은 직접 피해(복구비용, 매출손실 비용), 간접 피해(향후 대책 강구 비용), 잠재적 피해(주가 하락. 법적보상, 벌금) 등을 입력 데이터로 계산했다. Gordon & Loeb 모델 계산식은 지방대 기말과제에서 도구로 만들었다. 가능한 모든 기업이나 주요 정부기관은 이 도구를 이용해 악성코드나 취약점으로 인해 해킹사고가 발생 시 나타날 손실을 미리 예측해야 한다. 손실을 예상할 수 있다면 보안 통제의 효과를 정량적으로 판단할 수 있으며, 이를 통해 실질적인 방어전략을 만들고 관리할 수 있다.

내용을 요약하면, 공격자는 모두 북한이며 3.20 대란과 7.7 DDoS공격은 모두 악성코드 공격, 1,25 대란은 SW 취약점 공격이다. 즉, 해커에 의한 정보전 모델에서 공격전략은 악성코드와 SW취약점 공격이다. 이러한 공격이 성공하기 위해서 사회공학적 공격을 사용했다.

▲국내 주요 사이버 공격 방법과 피해액 비교[자료=빛스캔]


모의 해킹 경험에서의 교훈
필자가 경험한 모의 해킹 과제를 설명하고 해킹공격 전략을 살펴보고자 한다(이미 오래 전에 실행했고 요구한 기업은 가명으로 처리했다). 소프트웨어 오남용을 이용한 공격기법, Web 기반 소프트웨어 취약점 이용 등 단 2가지 공격기법으로 증명했다. 소프트웨어 오남용은 정상행위를 벗어난 공격은 얼마든지 만들 수 있다는 것을 보여주고 있다. 방어는 모든 컴퓨터가 정상행위가 아닌 프로그램을 실시간으로 파악할 수 있어야 한다는 것이다. 이는 북한 해커들이 백신을 얼마든지 우회해 공격이 가능함을 증명했지만, 대응 방안으로 망분리만을 채택한 아쉬운 결과를 보이기도 했다. 실제로 농협 전산망 마비에서는 관리자가 악성코드 감염된 경우가 있었다.

프로그램 취약점은 전 세계적으로 신종 소프트웨어가 1조 라인이상이지만 약 30종 이상의 취약점이 있으며 점검과정이 자주 없다면 언제든 공격당할 수 있다는 점을 증명했다. 언제 나타날지 모르는 취약성 파악이 중요하다.

▲모의해킹 결과와 교훈[자료=빛스캔]


해킹전쟁과 방어 대책
FISM(Federal Information Security Management Act)나 ISMS(Information Security Management System)는 보안 통제를 측정하는 기법이다. 중요한 보안 통제를 전체 건수를 대상으로 적절구성 운영 값으로 나누어 수준을 결정한다. 아래 표는 2009년을 기준으로 N사의 보안 통제 수준을 보여주고 있으며. 현재는 모두 A+이다.

N사는 ISMS를 초창기에 통과했다. 그리고 별도 분석에서는 그림과 같다. 보안팀이 하는 업무는 PC보안과 응용프로그램 취약성 점검이다. 1억 개의 PC를 실시간 탐지 대응한다. 고객을 위한 많은 웹 서버를 매일 점검한다. 나머지는 인프라 부서 및 기타 부서의 업무이다(보안 통제는 Rule이다). 시간이 갈수록 점수는 개선된다. 그리고 사실은 보안팀이 실시간 악성코드 탐지와 취약성 분석이 보안 통제 수준을 결정한다. 그래서 25년간 해킹을 당하지 않은 것이다. 다른 보안 통제가 어떤 문제가 있다 하더라도 악성코드 감염과 프로그램 취약성 2가지가 실시간 동작해 해킹사고가 없었다.
[글_ 임채호 빛스캔 연구소장]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)