[DT광장] 다중화된 보안시스템 필요하다

지난 연말 전국을 공포에 빠트린 한국수력원자력의 해킹 공격 패턴에 대한 결론이 최근 밝혀졌다. 사건이 발생했을 당시 국가 주요 기간시설이 너무나도 쉽게 해킹 당했다는 사실에 보안업계는 물론 전 산업분야가 큰 충격에 휩싸였다. 책임소재에 대해 여러가지 의견이 분분하지만 결론적으로는 한수원 해킹 공격은 보안의식 부재라는 방향으로 결론이 맺어지고 있는 분위기다.

한수원은 국내 공공기관 중 비교적 견고한 보안시스템을 갖추고 있는 것으로 알려져 있다. 국정원 정보보안 실태 평가에서 87.22점으로 보안수준 평가 상위 두 번째에 해당하는 '양호' 등급을 받았으며, '전자우편 보안'과 '정보보안 조직 및 예산', '비밀의 전자적 관리' 부문에서는 100점을 기록했다고 한다.

그렇다면 이번 사건이 사이버 보안 관제센터의 9명이라는 표면적으로 부족해 보이는 '인력'이 문제가 된 것일까?

독일 최대 안티바이러스 소프트웨어 시험 연구소인 에이브이테스트(www.av-test.org)에 따르면 지난해에만 3억개 이상의 이메일 악성코드가 탐지됐고, 꾸준히 하루 45만개의 신종/변종 악성 프로그램이 등록되고 있다고 한다. 특히 최신 악성코드 제작자들은 코드 난독화 등을 적용해 안티바이러스를 우회하는 방식으로 악성코드를 제작하고 해킹 공격에 이를 이용하고 있다. 현재 이와 같은 악성코드들로부터 완벽하게 시스템을 보호하는 것은 사실상 매우 어려운 일이다. 세계 최고 수준의 안티바이러스 보안업체도 일일 약 200~300개 정도의 DB 패턴 업그레이드만 수행하고 있는 상황이다.

때문에 최근의 악성코드 공격은 보안솔루션 만으로 100% 대응하기가 사실상 불가능하다. 완벽에 가까운 보안 체계를 갖추기 위해서는 솔루션과 사람들의 의식 제고가 요구되고 있다. 현재 대부분의 기업 및 기관들의 보안취약점 진단은 보안컨설팅 업체에 의한 전수조사가 아닌 샘플링 방식으로 진단이 이루어지고 있다. 전체 시스템에 대한 전수조사는 인력, 범위, 시간, 예산상의 문제로 대부분의 기업들이 진행하기 어려운 상황에 있기 때문에 형식적인 샘플링 조사에 그치고 있는 것이 현실이다. 외국에서는 1차적으로 자동화된 보안취약점 진단 솔루션을 이용해 전체 시스템의 전수조사를 신속하게 진행한 후 미흡한 부문을 다시 수동진단 방식으로 보완하는 방식을 택하고 있다.

이러한 방식을 이용하면 인력, 범위, 시간, 예산상의 문제들을 해결할 수 있으며 소수의 인원으로 전체 시스템에 대한 전수조사를 수시로 진행할 수 있는 장점이 있다. 이제 우리도 이러한 자동화 진단 및 수동 진단 방식의 상호 보완적인 이중화 진단체계를 고민을 해봐야 할 때라고 생각한다.

이번 사고의 원인이 '인력'에 있다라는 주장은 결과적으로 보안의식 부재로 귀결될 것이다. 업무환경에서의 보안은 이제 더 이상 보안 관리자만의 문제가 아니다. 하루에 수 십만개씩 제작되는 악성코드를 소수 관리자에 의한 보안 솔루션만으로는 대응이 불가능하다. 최근의 지능형 악성코드들을 효율적으로 대응하기 위해서는 안티바이러스 등 패턴 매칭 방식, 행위기반의 동적 분석 방식, 이상행위 탐지 방식, 실시간 사용자 메모리 실행 프로세스 모니터링, 네트워크 포렌식 솔루션 등을 유기적으로 결합하여 구축해야만 한다. 단순한 패턴매칭 방식뿐 아니라 이상행위를 찾아내고, 추적할 수 있는 구조가 갖춰질 때 1차적인 보안 방어벽을 구성했다고 단언할 수 있을 것이다.

보안 의식은 습관처럼 길러져야만 한다. 기존의 획일화된 방법만을 고수하고, 구성원들의 바쁜 일상에서 단순한 방법으로 보안의식을 강요하는 것은 이제 큰 의미가 없다. 물샐 틈 없는 다중화된 보안시스템과 개인이 지켜야 하는 보안 지침 등을 생활화한다면 한수원 사태와 같은 보안사고는 줄일 수 있을 것이다.

김종광 인섹시큐리티 대표