<충정로칼럼> 보안 디지털 체념 현상 극복하자

조원영 시만텍코리아 전무

스마트 모바일 기기 사용자 확대와 기업의 클라우드 및 가상화 도입 확산, 디지털 정보의 급증 등으로 정보기술(IT) 환경이 급변함에 따라 기존의 보안 위협 환경 또한 더욱 복잡하게 진화하고 있다.

특히 표적 공격에서 한발 더 나아가 특정 기업이나 조직 네트워크에 침투, 활동 거점을 마련한 후 기밀정보를 수집해 지속적으로 정보를 빼돌리는 보다 은밀한 형태의 표적 공격인 ‘지능적 지속위협(APT)’이 확산되면서 기업들은 대책 마련에 고심하고 있다

일반적으로 APT 공격은 ‘불특정 다수’가 아닌 ‘특정한 목표’를 겨냥한다는 점에서 기존 해킹과 구별되며, 전형적인 표적 공격과 달리 표적으로 삼은 조직 네트워크에 침투해 오랫동안 잠복하면서 기밀정보를 빼내도록 설계된다.

기관총을 쏴대는 무차별적 공격이 아니라 치밀한 사전 준비를 거친 스나이퍼형의 지능적·차별적·지속적 공격인 셈이다.

여기에 사회공학적 기법이 곁들여지면 방어하기가 더욱 힘들어진다.

일례로 올 초 공격자들은 미국 공정거래협회에서 보낸 것처럼 위조해, 기업을 상대로 소비자 불만이 접수되었으며 보다 자세한 정보는 첨부파일을 참조하라고 사회공학적 공격기법을 접목한 이메일을 보낸다.

하지만 첨부된 PDF 파일에는 악성 실행파일이 심어져 있거나 악의적 웹사이트로의 방문을 유도하는 인터넷 상 자료들의 주소(URL)가 포함되어 있다.

더구나 이러한 공격에는 서버 측 다형성(Polymorphism) 같은 공격 기법이 동원된다.

서버 측 다형성 공격이란 보안 시스템의 탐지를 회피하기 위해 공격자들이 매번 기존과 조금씩 다른 형태의 돌연변이 악성코드를 생성해 공격하는 방식으로, 기존 보안 방식으로는 사실상 탐지가 불가능하다.

이 때문에 많은 기업들이 ‘APT 공격은 아무리 대비해도 막을 수 없는 불가항력적인 위협’으로 인식하고 있는 듯하다.

개인 사용자부터 기업 및 정부에 이르기까지 모두 사이버 공격의 표적이 되고 있는 현실에서 이 같은 보안 무기력증은 전혀 도움이 되지 않는다.
기업들은 갈수록 고도화·정교화·표적화되고 있는 최신 사이버 공격에 대비해 보안 공격은 어쩔 수 없다는 ‘디지털 체념’ 대신 먼저 기본적인 보안 실천사항을 제대로 지키고 있는가부터 돌아볼 필요가 있다.

우선 기업들은 위협에 대한 우선순위를 정하고, 기업 내 모든 위치에서 적용 가능한 정책을 정의하고, 자동화 등의 기능을 이용해 보안 정책을 집행해야 한다.

이와 함께 정보 중심의 접근을 통해 적극적으로 정보를 보호해야 한다. 기업 내 가장 중요하고 민감한 정보가 어디에 있는지를 파악해 적절한 보호를 강구해야 한다.

시스템 자체의 관리도 중요하다. 최신 보안 패치를 배포하고, 자동화를 통해 효율성을 제고하고, 시스템 상태의 감시 및 보고 등의 활동을 통해 시스템을 관리해야 한다.

개별 포인트 보안에서 나아가 인프라 전체의 보호 방안도 강구할 필요가 있다. 중요한 내부 서버를 보호하고 데이터의 백업 및 복구 역량을 우선적으로 확보해야 한다.

또한 안전한 보호와 더불어 보안 운영으로 인해 시스템 가용성에 영향을 받지 않도록 가용성을 확보하는 것 또한 중요하다.

여기에 불의의 사태에 대비해 비상 훈련을 하듯 보안 가이드라인을 마련하고 정기적으로 인터넷 안전 및 각종 보안 위협에 관해 직원교육을 실시한다면 최신 보안 위협을 최소화할 수 있을 것이다.