심재승 트루컷시큐리티 대표이사 jsshim@truecut.co.kr
올해 국감은 ‘해킹 국감’이라 해도 과언이 아니다. 보안에 소홀한 것도 아닌데 이런 상황에까지 이르게 돼 안타깝다. 많은 예산을 투입하고도 나아지지 않는다면 분명 뭔가가 잘못됐다. 문제가 있으면 뒤집어 보고 꼬집어 봐야 개선할 수가 있다. 우리가 보안에 대해 쉽게 범하고 있는 오류가 무엇인지 살펴보고자 한다.
첫번째 오류는 침입을 막아야 한다는 고정관념에서 여전히 탈피하지 못하는 것이다. 악성코드 생성 자체를 막을 방법은 존재하지 않는다. 악성코드의 유포와 침입과정은 ‘사회공학’을 이용하고 있다. 이는 인간의 본성을 이용해 속이는 수법으로 물리적·기술적 보안으로 해결할 수 있는 영역이 아니다. 따라서 감염과 침입을 막겠다고 예산을 집중하는 것은 밑 빠진 독에 물붓기와 다름없다.
두번째는 일어난 사고에 대한 재발방지에만 급급한 것이다. 해커는 알려진 형태나 방법으로는 또다시 공격하지 않는다. 결국 공격성을 상실한 동물원 동물을 잡겠다고 나서는 형국에서 벗어나지 못하는 꼴이다.
세번째는 상처치료는 뒷전이고 보약만 먹이는 처방이다. 해킹 사고를 보면 언제나 그 원인은 악성코드에 감염된 PC가 있었다. 개인정보 유출사고도 그랬고, 분산서비스거부(DDoS) 대란 때도 그랬다. 상처가 나면 상처부터 치료하는 것이 맞다. 보약은 그 다음이다.
네번째는 탐지기술에 대한 이해 부족이다. 그 동안 발생한 해킹사고들을 통해 종래 탐지기술의 한계는 수도 없이 입증됐다. 그런데도 대부분 보안제품은 여전히 이 기술들에 의존하고 있다. 제품 핵심인 탐지기술이 바뀌지 않는데 포장만 바뀐다고 성능이 개선될 리 만무하다.
최근 우리는 악성코드의 가공할 위력을 보았다. 철통같은 보안을 유유히 뚫고 들어와 수개월 동안 관찰하면서 서버 수백대를 일시에 삭제하는가 하면 수천만명의 DB를 통으로 유출해 갔다. 그렇다면 우리는 어떻게 이에 대비해야 할까?
우선 내부에서 외부로 나가는 데이터를 지켜야 한다. 지금까지 일어난 모든 해킹사고를 보면 해커는 PC를 감염시킨 후 이 PC를 원격에서 조정하면서 자료를 빼가거나 서버를 삭제시키는 등 원하는 목적을 달성했다. 어차피 들어올 때 막지 못한다면 나갈 때라도 막아야 한다.
두번째는 탐지기술에 대한 정확한 인식이다. 보안 제품의 핵심은 탐지기술이다. 탐지기술이 그대로면 그 한계도 그대로다. 구색을 맞추려고 고만고만한 장비를 덕지덕지 설치해 놓고 버거워할 필요가 전혀 없다.
세번째는 근원적인 처방으로 접근해야 한다. 최근 보안의 궁극적인 목표는 데이터의 유출을 막는 것인데 이 데이터는 다양한 형태로 존재하고 다양한 방법으로 유출이 가능하다. 따라서 특정의 형태, 특정의 방법 하나를 막는 다고해서 유출자체가 근원적으로 막아지는 것은 아니다.
얼핏 보기에 보안이 매우 어려운 것 같지만, 정작 보안은 매우 단순하고 쉽게 풀릴 수 있는 영역이다. 이미 우리가 어떻게 대처해야 하는지는 해커들이 다 알려주고 있고, 이에 대처할 수 있는 기술도 나와 있다. 따라서 보안은 해커를 보고 해야지 내가 하고 싶은 대로 하면 100% 실패한다. 또한 보안에 대해 누구라도 우리는 완벽하다는 방심은 금물이다.
우리나라는 최대 해커집단을 인접국에 두고 있고, 해커들이 탐할만한 모든 요건도 고루 갖추고 있다. 국가적으로 해킹사고를 어쩔 수 없는 병가지상사로 돌리기엔 그 피해와 치러야 할 대가가 너무 커져 가고 있다.