“알려지지 않은 공격이라서” “고도로 정교한 공격이라서”.
보안사고가 날 때 마다 듣는 얘기다. 한번 반문해 보자. 이미 알려진 공격을 할 해커가 있을까. 정교하지 않은 공격이 있었을까. 모든 사이버 공격은 알려지지 않았고, 정교한 공격이 당연하다. 그럼에도 우리는 지금까지 수없이 이 말을 반복해 오고 있고 어느 누구도 책임지지 않는 면죄부로 썼다.
이 말은 분명 맞는 말이 아니다. 악성코드를 침투시키는 방법을 보면 통상적으로 우리가 알고 있는 방법에서 벗어난 적이 없었다. 공격하는 방법도 그다지 정교하지 않았다. 알면서도 뻔히 당한 것일 뿐 방법이 기상천외했던 것은 아니었다.
사이버 공격 시나리오를 보면 1단계로 해커는 우리가 알고 있는 방법들을 이용해 악성코드를 공격 대상에게 침투시킨다.
2단계는 침투시킨 악성코드를 원격조종하거나 스스로 작동하게 해 기밀을 빼내거나 시스템을 파괴시킨다.
지금까지 발생한 사이버공격 시나리오는 항상 똑같았다. 즉, 공격도구로 이용하는 악성코드만 달라졌을 뿐 이를 침투시키는 과정이나 공격 목적을 달성하는 과정은 늘 동일했다.
지금까지 우리는 1단계를 방어하는 데 모든 자원을 투입해왔다. 하지만 해커는 최대 약점인 알려지지 않은 악성코드를 만들어 방어자를 조롱하듯이 공격에 성공했다.
2단계 방어는 다르다. 단순하게 생각해도 1단계에서 막아야 하는 악성코드 수보다 2단계가 훨씬 적다. 다시 말해 1단계 방어보다 2단계 방어가 훨씬 수월하다는 얘기다.
앞서 이런 방어체계를 구축한 기관은 사이버공격으로 인한 기밀유출이나 네트워크 마비 등 실제 피해를 방어하는 사례가 많아졌다는 것이 이를 입증한다.
다만 이렇게 피해를 잘 막아 효과를 보고 있는 기관조차 이 사실을 당당하게 공개하기를 꺼린다. 정보 공유나 분위기 선도로 재발 방지에 나서야 하지 못하는 것이다.
이유는 간단하다. 악성코드에 감염된 것 사실을 보안이 뚫린 것으로 간주하는 잘못된 인식 때문이다.
인류가 생존해 온 것은 이 세상이 멸균된 공간이라서가 아니라 우리 몸의 면역체계가 바이러스를 이겨냈기 때문이다. 사이버 상에서도 악성코드와의 공존은 피할 수 없는 게 사실이다. 우리 목표는 악성코드로 인한 피해를 당하지 않는 것이다. 악성코드를 모조리 찾아내어 박멸해야 하는 것은 불가능하다.
우리가 싸우는 대상은 악성코드가 아니라 해커다. 해커는 보안 솔루션으로 막는 것을 보면서 뚫는 고도로 숙련된 전문가라는 것을 잊지 말아야 한다. 상대가 상대인 만큼 제대로 방어하려면 무엇보다 보안 인식을 바로 하는 게 시급하다.
최근 공격이 지능적이라고 하면서 막는 방법이 지능적이지 못하다면 이미 승패는 결정된 것이나 다름없다. 보이지 않는 허점까지 찾아내 공격하는 것이 해커 능력이다. 이미 허점이 드러난 방법으로 막는다는 것 자체가 어불성설이다. 적용했지만 효과가 없었거나 잘못된 방법은 과감하게 바꾸어야 한다. 방법을 바꾸지 않고 결과가 달리 나오기를 기대하는 것만큼 어리석은 일은 없다.
사고가 날 때마다 알려지지 않은 공격이라는 위장막으로 덮고 간다면 사이버 공격이라는 장벽은 영원히 극복할 수 없다.
거듭 말하지만 사이버 공격은 전혀 알려지지 않은 것도 아니고 그다지 정교한 것도 아니며 매우 지능적인 것도 아니다. 사이버 공격은 우리가 어떤 관점에서 어떻게 접근하는지에 따라 충분히 방어할 수 있다.
심재승 트루컷시큐리티 대표 jsshim@truecut.co.kr