지난 2월 미국 샌프란시스코에서 열린 RSA 콘퍼런스에 참석해 보안영역의 훌륭한 분들과 교류하고 강연을 들을 기회가 있었다. 특히 그 중에서도 카스퍼스키사 창립자인 유진 카스퍼스키 CEO의 강연이 인상적이었다.
카스퍼스키 CEO는 “우리가 최근 수많은 악성코드를 분석하면서 얻은 결론은 이제 보안의 공격은 더 이상 `스크립트 키디`(script kiddie, 보안초심자)에 의해 주도되지 않는다”고 말했다.
평범한 말 같지만 기존 보안업계가 가지고 있는 상식을 뒤엎는 지적이다. 기존 보안업계에서는 80∼90% 공격이 대부분 초심자나 중급자 정도에 의해 이뤄지고 일부 공격만이 프로에 의해 이뤄진다는 관점에서 대책을 만들어 왔다. 기존 상식으로는 현존하는 보안솔루션으로 대부분 공격을 탐지하거나 방어해 낼 수 있을 것이라 믿어왔던 것이다. 그러나 데이터를 분석해 본 결과 이제 이러한 생각은 오해라는 것이 밝혀졌다.
많은 공격들이 이른바 프로에 의해 주도되며 심지어 테러단체와 국가기관까지 가세하게 된 양상으로 변했다. 더 이상 사이버 해킹의 세계를 `좀도둑`이 지배하지 않는다는 말이다. 좀도둑이 활개 치던 세상에 마피아나 알카에다 또는 적대국가가 들어왔다고 생각하면 된다. 최근 연이어 일어난 대규모 보안사고가 이를 입증한다.
이러한 변화는 무엇을 의미하는가. 이들이 나서면서 불행히도 기존 보안시스템이 큰 힘을 쓰지 못하게 됐다는 뜻이다. 대책을 세워도 뚫릴 가능성이 높아졌다. 물론 보안기술도 이들을 대응할 만큼 더 발전하겠지만 당장은 분명히 한계가 있다.
공격의 패러다임이 바뀌었다면 방어의 패러다임도 진화해야 한다. 어떻게 변해야 하는가. 지금까지 보안 공격은 `막을 수 있다`는 관점에서 대책을 세웠다. 다양한 보안솔루션으로 방어막을 펼쳤다. 물론 여전히 이는 필요하다. 그러나 이제는 `뚫릴 수 있다`는 관점에서도 대책을 세워야 한다. 아예 공격이 의미 없게 하거나 뚫려도 큰 피해가 없거나 피해를 최소화하는 대책을 찾아야 한다.
첫째, 과거에는 PC에 주요정보를 저장하고 대신 PC 주위에 수많은 보안시스템으로 이를 방어했다면, 이제 PC 안에 주요 정보 자체를 놓지 않는 방식으로 바꾸어야 한다. PC 내 정보를 두지 않으면 경유지로는 사용될지라도 뚫고 들어와도 가져갈 것이 없고, 망가뜨려도 피해가 덜할 것이다. 문서 등을 중앙 집중화하고 OTP 등 강력한 인증수단을 활용한다.
둘째, 근원적으로 주요 시스템은 망을 분리하고 인터넷을 끊어서 아예 공격이 의미 없게 만든다. 셋째, 뚫려서 시스템이나 망이 마비될 경우 비상대책을 평소에 훈련한다. 넷째, 공격자와 경로를 추적할 수 있도록 로깅을 강화한다.
집에서 PC를 사용하는 일반 국민도 동일한 생각을 가질 필요가 있다. 프로들에게는 백신 소프트웨어라는 것은 걸림돌이 아니다. 사후약방문일 뿐이다. 그러므로 내 PC에 백신이 설치되면 안전하다고 생각해서는 안 된다. 내 PC는 언제든 해커에게 장악당할 수 있다는 전제를 인정해야 한다. 이를 인정하면 어떻게 내 PC를 관리해야 할지 방안이 나온다. 주요 문서는 PC에 저장하는 것이 아니라 클라우드에 저장하고 OTP로 접근하는 방안을 사용할 수 있다.
다시 한 번 생각해보자. 공격이 진화되면 방어 패러다임도 뒤따라가야 한다. 기관총과 대포를 사용하는 공격자들이 등장했는데 소총 막는 방어방식만 사용하고 있다면 초토화되는 것은 시간문제일 수밖에 없다.
신수정 인포섹 대표 ceo@skinfosec.co.kr