2010년 이란 원자력 발전소 해킹으로 인한 동유럽 정전 사태, 2012년 FBI 개인정보 유출 사태, 지난 3월 20일과 26일 국내 주요 방송사와 금융기관 전산 시스템에 대한 사이버 공격의 공통점은 무엇일까.
답은 `모두 지능형 타깃 공격이라는 방법으로 이루어졌다`라는 것이다. APT라 불리는 이 공격은 해커가 금전 탈취와 정치적 이유 등 특정 목적을 위해 진화한 방법으로(Advanced), 지속적이고 집요하게(Persistent), 위협(Threat)을 가한다는 점에서 기존 피싱(Phising)이나 악성코드(malware) 유포 등과는 차원이 다르다.
APT 공격은 전통적인 사이버 해킹과는 구별되는 큰 특징을 가졌다. 기존 공격들은 불특정 다수를 대상으로 시도돼 성공률이 대단히 낮다. APT 공격은 한 목표를 대상으로 철저한 준비기간을 갖고 보안 허점을 지속적으로 찾아낸다. 웬만해서는 막아내기가 어려우며 성공률과 공격 파급효과 또한 수준이 다르다.
지난 3월 20일 주요 방송사와 금융기관을 노린 공격의 경우, 해커가 보안백신 패치 관리 서버는 늘 `안전한 대상(white list)`에 포함된다는 점을 간파하고 담당자가 믿고 의지하던 인프라를 손쉽게 우회했다.
2011년 한 국내 통신서비스 회사의 경우도 엔드포인트 보안백신 소프트웨어, 침입탐지/방지 솔루션(IDS/IPS), 네트워크 방화벽 등 사용자와 네트워크, 서버를 아우르는 보안 시스템과 사내 IT 보안 전담팀을 갖추고 있었지만 백신 소프트웨어 업데이트 서버를 노린 APT 공격에 속수무책으로 당해 3500만명의 개인정보를 도난당하고 말았다.
그렇다면 사내 구성원들을 대상으로 한 보안교육 강화, 전문 보안인력 증설 등 원론적인 방법론 이외에 APT 공격에 대한 방어책은 없는 것일까. 해답은 인터넷 트래픽의 가시성(visibility) 확보와 통합 보안 제어에 있다. 그 어떠한 APT 공격도 인터넷을 통하지 않고는 이루어질 수 없다.
이번 3·20 사태도 공격 이후 하루 만에 각종 보안장비 로그를 추적해 공격 방법을 밝혀냈다. 이를 바꾸어 말하면 인터넷을 오고가는 트래픽에 대한 가시성이 충분히 확보될 수 있다면 APT 공격도 사전에 대응이 가능하다는 것이다. 강력한 수준의 보안 정책 수립에도 시스템 성능 저하를 가져오지 않는 솔루션을 택하는 것이 필수적이다.
이미 시장에는 인터넷상에서 오고가는 트래픽에 대한 가시성을 제공하는 솔루션이 있다. 하드웨어 기반 SSL 가속과 해석 기능을 통해 기존 보안장비 감시 영역 밖에 있던 SSL로 암호화된 인터넷 트래픽 가시성도 제공한다.
완벽에 가까운 보안을 구현하기 위해서는 인터넷 보안 필수요소인 데이터 센터 방화벽, 웹 방화벽, SSL-VPN, L4/L7 DDoS, SSL 모니터링 등 모든 기능이 하나의 장비에서 구현돼야 한다.
다양한 기능의 보안 솔루션이 단일 장비에 통합되면 설정 미흡과 같은 인적 실수는 물론 이종 시스템 사이에 발생할 수 있는 보안 정책상 허점을 미연에 방지할 수 있다.
`얼마나 많은 보안 솔루션이 운영되고 있는가?` `어떠한 새로운 보안 솔루션이 필요한가?`는 앞으로 일어날 2차, 3차 3·20 해킹 사태를 방지하기 위한 중요한 질문이 아니다.
`암호화 된 트래픽 가시성이 제대로 확보되어 허점이 존재하지 않는가?` `산재된 보안 인프라를 일일이 관리(maintenance)하는 것이 아닌, 네트워크 핵심 지점 에서 보안 정책을 통제(control)할 수 있는가?`가 바로 핵심 질문이다.
조원균 F5네트웍스코리아 사장 P.Cho@f5.com