[2015글로벌시큐리티서밋] 토니콜 파이어아이 CTO "악성코드만 분석하지 말고 공격자를 찾아야"

“공격에 사용된 도구인 악성코드만 분석하지 말고 공격자를 찾아야 향후 사이버 위협에 대응할 수 있다.”

토니 콜 파이어아이 공공 정부부문 CTO는 ‘2015 글로벌 시큐리티 서밋’에서 급증하는 사이버 위협을 막으려면 기존에 구축한 사이버 보안 솔루션을 신뢰하는 마지노선을 버리고 새로운 대응 방법을 찾아야 한다고 강조했다. 단순히 공격에 사용된 악성코드만 분석하는 데 그치지 않고 누가 주체인지 파악해야 한다고 덧붙였다.

콜 CTO는 “사이버 위협을 100% 막을 수 없다”며 “공격방법인 악성코드가 아니라 공격자가 누구인지 제대로 파악하고 대응해야 할 때”라고 말했다. 그는 집에 도둑이 든 상황을 비유했다. 집에 도둑이 들었는데 경찰이 와서 유리창을 깬 벽돌만 찾는 게 악성코드만 분석하는 것과 같다고 설명했다.

파이어아이 분석 결과 2014년 5월 보안 인프라가 잘 갖춰졌다는 고객 97%에서 침해 사고가 발생했다. 이 중 25%는 지능형지속위협(APT) 공격에 당했다. 2015년 조사 결과도 크게 달라지지 않았다. 96%가 또 해킹에 당했고 27%는 APT 공격에 노출됐다. 많은 기업이 자료 유출 사고가 발생한 지 평균 205일 만에 사고를 인지했다. 공격자가 정보를 유출하는 데 7분밖에 걸리지 않는데 이를 발견하는 데 수백일이 걸린다.

파이어아이 맨디언트는 기업이 침해 사고를 인지하는데 걸리는 시간이 205일이 된다고 발표했다.

콜 CTO는 “해커 그룹은 이제 불특정 다수가 아니라 특정한 은행과 국가를 대상으로 기밀정보를 빼낸다”며 “국가가 지원하는 공격 조직이 발견된다”고 말했다. 사이버 무기 거래도 경고했다. 이미 인터넷 암거래 시장인 다크넷 등에서 사이버 무기는 단돈 100달러에 거래된다.

콜 CTO는 “사이버 전쟁은 진입 장벽이 매우 낮다”며 “개인이 사용하는 페이스북이나 링크드인 등 소셜 네트워크만 검색하면 그 사람이 누구인지 어떤 기업에서 무슨 일을 하는지 알 수 있다”고 말했다. 공격자는 목표물을 정확히 파악해 악성코드가 담긴 이메일을 보내 APT 공격을 하고 기업이나 기관 네트워크를 파고든다.

그는 “중국과 러시아에 이어 북한이나 이란이 새로운 공격 주체로 등장했다”며 “기존 보안 구조를 대체하는 방어 기술이 필요하다”고 말했다. 기술과 전문가, 인텔리전스 삼박자를 갖춰 사이버 위협을 막는 프로세스를 체계화해야 한다. 콜 CTO는 “공격을 받는 것을 모두 막을 수 없지만 영향을 최소화해야 한다”며 “구멍 난 것을 최소화하고 이 같은 공격이 재발하는 것은 막아야 한다”고 강조했다.

김인순기자 insoon@etnews.com