옛말에 장정 열이 지켜도 도둑 하나를 못 막는다고 했지만 현대사회는 CCTV를 비롯한 방범 보안기술 발달로 열 도둑을 막을 수 있는 시대로 발전했다. 그러나 아이러니하게도 이 옛말은 이제 정보기술(IT)의 정점인 컴퓨터 시스템을 노리는 해커들에게만 그대로 적용할 수 있다.
지난 3월 20일 국내 주요 방송사와 금융기관들을 덮친 해킹 공격은 KBS, MBC, YTN 등 방송사들과 신한은행 등 금융기관의 전산망을 일거에 마비시키고 3만2000여대 서버와 PC 데이터를 파괴해 전 국민을 충격에 빠뜨렸다. 가장 높은 보안 수준이 기대되는 국가 기간 방송사와 금융기관이 일거에 기능을 상실하는 무력함을 보였다.
보안업계는 이번 공격을 장기간 고도로 치밀한 계획에 따라 수행된 지능형 지속 공격(APT, Advance Persistent Threat)으로 추정하고 있다. APT가 디도스(DDoS, 분산서비스거부) 등 여타 공격과 다른 점은 정상 사용자 계정의 아이디와 패스워드를 가로채는 등 정상적인 경로를 통해 목표 서버에 접근하는 방식이다. 이 때문에 방화벽, 백신 등 통상의 보안 수단을 통한 감지와 예방이 쉽지 않다. 이제 기업들은 예상치 않은 위험을 줄일 수 있도록 보안 역량을 근본적으로 재점검해야 한다.
기업들이 APT를 비롯한 해커의 공격으로부터 비즈니스 가치를 보호하기 위해서는 사전예방을 4단계로 나눠 실행해야 한다.
첫 단계는 비즈니스 목표의 우선 순위를 결정하고 그에 따른 위험 허용의 한도를 설정해야 한다. 비즈니스 영역별로 그 중요성과 해킹 취약성에 따라 우선적으로 보호해야 할 영역을 찾는다. 보안조치 도입의 바람직한 방향을 잡아 가장 효과적인 체제를 갖춰야한다.
두 번째로는 설정한 우선 순위에 맞춰 사전 예방을 위해 정보에 기초한 보안 계획을 세우고 적절한 보안 정책과 기술을 도입해 실행에 옮겨야 한다. 특히 APT 탐지와 예방을 위해서는 외부 해커가 기업 시스템과 행하는 원격제어 통신을 탐지하는 도구가 요구된다. 보안 정책, 절차 및 기술의 실효성을 정기적으로 점검하는 것도 필요하다. 보안 인텔리전스와 분석 툴을 활용해 각종 보안 기술을 모니터링한다. 데이터의 상관성을 분석해 해당 환경의 현황에 대한 가시성과 통찰력을 제공한다. 공격으로 의심되는 활동 유형을 가려내 조사한다. 보안 프로그램과 정책이 실제 조직 구성원들에게 의미있게 전달될 수 있도록 조직체계와 절차를 수립하고 책임을 부여하는 일도 필요하다.
세 번째는 보안사고가 발생했을 경우 신속하고 효과적으로 대응하기 위해 세부적이고 통합적인 대응 계획을 수립해야 한다. 공격을 차단하고 손실을 파악할 방안을 확보함은 물론, 기업 재정과 평판에 미칠 영향을 산정하기 위한 방안도 마련해 둬야 한다. 보안사고 발생 시 그 영향을 최소화하기 위해서는 신속한 대응과 조사에 필요한 자원과 기술력의 확보가 필수적이다. 이를 위해 전사 차원에서 모든 관계자들이 각자 책임과 역할을 제대로 이해하고 공조하는 것이 중요하다.
마지막으로 기업 임직원들에게 보안문제를 인식하고 이에 상시 대비하는 문화를 증진하고 지원해야 한다. IBM X-Force는 지난해 상반기에만 4400건 이상의 새로운 보안 취약점을 보고했다. 점점 악화되는 보안 환경 속에서 임직원들의 보안 인식의 부재야말로 APT의 시발점이 될 수 있는 수많은 보안 허점이 된다.
이제 기업 보안은 IT팀만의 몫이 아닌 기업 구성원 모두의 문제가 됐다. 비즈니스 프로세스의 모든 단계에서 보안의 중요성을 인식하고 마치 현관문을 잠그는 것처럼 항상 보안을 챙기는 습관을 우리 모두가 갖춰야할 때다.
홍기찬 한국IBM 상무 hongkc@kr.ibm.com