[뷰앤비전]해킹기술의 진화와 대응

김영린 금융보안원 원장

올해 6월 말 3개 지방은행과 7월 초 2개 증권사가 분산서비스거부(디도스) 공격을 당했다. 공격자는 유럽에 기반을 둔 단체(DD4BC)로 의심되고 있고 공격 시 추가적인 공격을 협박으로 금전(Bitcoin)을 요구하는 특성을 보였다. 지난 4월 우리나라에 본격으로 상륙한 랜섬웨어는 악성코드에 의해 주요자료를 암호화시켜 놓고 복호화키의 몸값(ransome)으로 금전을 요구하는 등 최근 해킹은 조직적이고 체계적으로 진화하고 있다. 더욱이 지난 7월 이탈리아 보안업체를 대상으로 한 코딩을 포함한 데이터 유출 사건은 전 세계적으로 해킹 산업이 번창해지고 있으며 이를 막는 수단과 방법도 제한될 수밖에 없다는 우려를 초래하고 있다.

최근 이렇게 고도화되고 치밀해진 해킹 수법은 지능형 지속 위협(APT)이라고 통합해 명명되고 있으며 '다양한 보안 위협을 특정 대상에게 지속적으로 가하는 일련의 행위'라고 포괄적으로 정의되고 있다. 해커들은 지정된 타깃 정보를 수집한 후 신속하고 은밀하게 공격하며 성공할 때까지 사람의 심리를 이용한 사회 공학적 공격 기법을 사용한다. 공격 기법이 매우 정교하고 차단이 어려우며 기존 사례를 보면 사고가 알려지기 전까지 공격당한 사실조차 모르는 경우가 대부분이다.

특히 이탈리아 보안업체 해킹팀의 정보유출 사고는 우리에게 많은 시사점을 준다. 이 사고로 인해 다수의 제로데이 취약점 공격 코드, 사이버 감시를 위한 원격제어시스템(RCS) 관련 매뉴얼 및 소스 코드 등 APT 공격에 바로 이용할 수 있는 코드와 다양한 공격 기법 등이 유출됐다. 이에 따라 각국 정보기관에서 사용하던 고급 해킹 기법 및 공격 코드를 일반 공격자들도 사용이 가능해지고 APT 공격 그룹 등이 공개된 제로데이 취약점 및 스파이웨어 배포 기술 등을 악용해 악성코드 유포 방식의 공격 시도 가능성이 증가했다.

이처럼 지능화, 광역화, 범죄화돼 가는 APT 공격에 대응하기 위해서는 한두 가지 해킹 대응 방법으로는 방어가 불가능하므로 해킹 가능 단계별로 보안 솔루션을 체계적으로 활용하고 지속적인 보안정책과 인프라의 업그레이드가 필요하다. 해킹 가능 단계별로 탐지, 차단, 방해, 완화, 속임이라는 일련의 대응 과정으로 구성돼 국방에서 운용되는 사이버 킬 체인도 유용한 수단이 될 수 있다.

또 유사하거나 동일한 업무 환경 및 정보통신기술(ICT) 환경을 갖춘 분야의 경우 취약점이나 침해 요인과 그 대응 방안 역시 유사하거나 동일할 수밖에 없다는 점에서 APT 공격을 위한 집단적 예방 및 대응 체계가 필요할 것이다. APT 공격에 악용되는 각종 취약점 및 그 대응 방안에 대한 정보를 신속하게 수집ㆍ분석해 공유ㆍ전파하고 APT 공격에 의한 침해 사고 발생 시 조기에 사고 원인을 분석해 해당 분야의 피해 확산을 차단할 수 있도록 분야별 정보공유분석센터(ISAC)를 통한 통합보안관제 체계를 구축ㆍ운영할 필요가 있다.

최근 중요성이 부각되고 있는 빅데이터 기반 사이버 시큐리티 인텔리전스도 필요하다. 빅데이터 분석을 활용해 정보기술(IT)기반 시설의 네트워크, 시스템, 응용 서비스 등에서 발생하는 데이터와 보안 이벤트 간의 연관성을 분석함으로써 지능적으로 보안 위협에 대응하는 보안 기법이다.

마지막으로 기술적인 보안과 더불어 전자금융 수단을 활용하는 '사람'에 대한 관리이다. 전설적인 해커 '케빈 미트닉'이 '보안의 최대 위협은 허술한 보안 제품이 아니라 사람이다. 나는 시스템을 해킹한 것이 아니라 사회 공학을 이용한 것이다'라고 적시했듯 APT 공격은 휴먼 해킹을 주로 사용하기 때문에 아무리 인프라를 보호한다고 해도 자료가 유출될 약점이 존재한다. 따라서 관리자는 정보보호 역량을 강화시키기 위한 교육을 개발 및 시행함으로써 보안을 생활화하는 노력이 필요하다. 또 각 기관의 최고 경영자, 정보보호 책임자, 감사위원회, 이사회, 실무관리자 등의 책임과 권한이 분명히 정의되고 실천되는 노력이 필요하다. 해킹 공격을 근원적으로 또는 기술적으로 완벽하게는 막을 수 없을지라도 예방하고자 최선을 다하는 자세와 사고 대처능력 배양이 무엇보다도 필요하다.

김영린 금융보안원장