[ET단상] 보안의 진정한 가치는 예방

　지난 7일부터 72시간 동안 대한민국 주요 기관을 유린했던 분산서비스거부(DDoS) 공격은 세계 최고 수준의 IT 환경에 비해 취약한 보안 인프라를 다시금 일깨우는 사건이었다.

　이번 사건은 국내 민간 보안 업체들이 빠르고 정확한 분석을 바탕으로 예측과 대응을 함으로써 좀비 PC로 인한 피해 확산을 막아내고 기술력을 입증하는 계기가 됐다. 그런데 언론 보도를 보면서 드는 아쉬움이 있었다. 이미 발생한 사고의 대응책만을 부각시키고 있는 것이 그것이다.

　사실 보안은 사고 대응보다 예방에 본래 목적이 있다. 이번 사건은 다수의 개인용 컴퓨터(PC)에서 촉발됐다. 지금껏 PC의 보안 문제는 그 영향력이 개인에게 한정되는 것으로 여겨졌다. 하지만 이번 사태를 계기로 ‘상식’은 더 이상 상식이 아니게 됐다.

　이번과 같은 DDoS 공격 사태의 재발을 막기 위해서는 DDoS 공격 방지 전용 장비 도입, 기가급 대용량 회선 확보, 사용자 대상 꾸준한 보안 교육, 지속적인 보안 모니터링 체계 확보, 민관이 공조하는 빠른 대응체계 수립이 필요하다.

　불특정 다수의 좀비 PC가 특정 사이트를 집중 공격하는 것을 예방하기 위해서는 전국 권역별로 세분화된, PC의 보안 모니터링과 자동화된 분석, 피해 확산 방지 대책 등의 빠른 대응도 필요하다.

　요즘 지자체별로 u시티 구축 사업에 힘을 쏟고 있다. 사업 추진에서 빠지지 않는 이슈 중 하나가 바로 보안 관제다. 이때 필요한 대표적인 제품으로 통합보안관리(ESM), 네트워크위험관리(TMS) 등을 생각할 수 있다.

　즉 ESM과 TMS로 세부 권역을 모니터링하고 각 권역 중앙부의 자동화된 침해대응 및 예·경보시스템에서 세부 권역의 정보를 바탕으로 종합적인 분석을 통해 대응하는 중앙센터 체계가 그것이다. 이들 제품은 이미 주요 기관에서는 중앙 및 하부 기관의 침해대응 및 예·경보 시스템의 근간을 이루고 있다.

　ESM과 TMS는 보안 장비와 위협 트래픽 모니터링에서 중요한 장비들이다. 짧은 시간 동안 전조를 보이다가 갑자기 트래픽이 폭주하는 DDoS의 특성상 TMS를 통한 예방적 트래픽 모니터링 및 분석·DDoS 전용 장비의 빠른 트래픽 제어·ESM에 의한 상황 인지에 따른 관리자의 적절한 조치 등이 단시간 동안 효율적으로 이루어진다면 그 피해를 최소화할 수 있다.

　이때 반드시 필요한 조건이 대용량 회선의 구축이다. 이미 알려진 바와 같이 개별 좀비 PC는 미미한 수준의 트래픽을 지속적으로 발생시킨다. 문제는 사전에 전조로 발생하는 일정 수치 이하의 미미한 수준의 트래픽은 임계치를 기반으로 이상 상황을 판단하는 현 관제 제품들에는 전혀 의심할 만한 정보가 되지 못한다는 것이다. 그러다가 갑자기 트래픽이 폭주하면서 공격이 감행된다. 따라서 대용량 회선이 확보되면 모니터링으로 상황을 인지하고 대응 조치에 필요한 시간을 벌 수 있다.

　최근의 공격들은 정치적이거나 상업적인 성격을 띠는 것이 일반적이다. 더욱 큰 문제는 예전에는 일부 전문가들의 특권적 기술로 인식되던 해킹이라 부르는 기술들이 대중화돼 관심을 가진 이는 누구라도 쉽게 정보를 접할 수 있게 됐다는 점이다.

　자살과 마찬가지로 해킹도 모방심리가 작용한다. 심지어는 초등학생 중에도 해커를 자처하며 모방을 통해 미처 대비하지 못한 사이트에 공격을 감행해서 실제로 성공한 사례를 게시하는 일까지 있었다는 사실이다.

　일반 사용자의 인식 전환에는 공감대가 필요하고 시간이 걸린다. 보안은 지체하거나 중단할 수 없는 지속적인 업무다. 사용자의 인식이 변하기를 마냥 기다리고만 있을 수는 없다. 당장이라도 다양한 시각과 방법으로의 실제적 접근이 이루어져야 한다.

　무엇보다 보안의 진정한 가치는 예방에 있다는 사실에 주목하며 이제라도 사후 대응보다는 사전 모니터링과 이에 따르는 예방적 조치의 중요성을 다시 한 번 인식할 때다.

　문재웅 제이컴정보 대표 jwmoon@jcsi.co.kr