북미정상회담을 기점으로 전쟁 공포와 위험이 해소될 것이라는 평화 기대감이 전 세계에 퍼졌다. 이런 때일수록 긴장의 끈을 놓으면 안 된다. 사이버 세계에서 일어나는 국경 없는 전쟁은 누군가 먼저 나서서 화해 노력을 보인 적극성도 없고, 앞으로도 그럴 것이다. 지금까지 그래왔듯 공격 그룹은 자국 이익을 위해 국가를 등에 업고서 끊임없이 타국 정부와 기업을 위협하고 있다.
우리나라는 북미정상회담의 직접 당사자란 점을 잊으면 안 된다. 이번 평화 회담의 이면에는 주변 강대국 간 정치·경제 이권이 얽혀 있다. 이에 따라서 주체가 누가 됐건 우리나라 정부를 겨냥한 정치 목적의 사이버 공격이 늘 것으로 예측된다. 이것이 바로 평화 회담과 별개로 펼쳐지는 사이버 세상의 보안 정세다. 현재 사이버 보안 정세를 고려할 때 우리나라 기업과 정부 보안 조직은 무엇을 준비하고, 어떤 방비책을 세워야 할까.
첫째 사이버 공격 주체가 누구인지, 어떤 공격 기술과 전략을 동원하는지 등 보안 인텔리전스를 확보해야 한다. 누가, 왜, 어떻게 공격하는지 알면 위협 탐지와 함께 빠르고 효과 높은 침해 대응 및 복구를 할 수 있다. 지금까지 한국 기업과 정부 기관은 보안 인텔리전스 확보를 주로 국내 보안 업체에 의존했다.
이것만으로는 현재 펼쳐지고 있는 국제 사이버 보안 정세 변화에 대응할 수 없다. 지금부터라도 글로벌 보안 인텔리전스를 확보해야 한다. 정보 폭만 넓힐 것이 아니라 깊이도 강화해야 한다. 악성 코드, 유해 사이트 정보같이 단순한 내용이 아니라 전 세계에서 실시간 수집되는 각종 언론 보도, 전문가 분석 의견, 해커의 정보 교환 장소인 다크웹에서 오가는 이야기 등을 망라한 '맥락 정보' 확보가 중요하고, 꼭 필요하다.
둘째 조직의 보안을 책임지는 보안 팀 인식이 바뀌어야 한다. 대부분 사이버 공격의 처음과 끝을 악성 코드 측면에서만 보는 경향이 있다. 사이버 공격은 그렇게 단순하지 않다는 사실을 인지해야 한다. 실제 공격을 보면 정찰, 침투, 거점 확보, 정보 유출, 시스템 파괴로 이어지는 공격 라이프 사이클을 기반으로 이뤄진다.
방어 역시 단계별 정책과 기술이 필요하다. 보안 사고가 터질 때마다 해당 문제만 바라보고 관련 보안 솔루션을 도입하는 식의 문제 해결 관행은 이제 버려야 한다. 보안 사고는 초기 침투 현장만 보면 작아 보이지만 그 속을 들여다보면 피해의 범위가 매우 넓다.
또 나무와 숲을 동시에 바라보고 대책을 세워야 한다. 지금까지 많은 조직은 특정 나무만 바라보는 식으로 접근했다. 이제 나무 하나하나와 전체 숲을 다 보기 위해 전문가 도움을 받아 조직 전반의 보안 정책을 수립하고, 현재 보안 수준을 평가해서 솔루션을 재배치하거나 신기술을 도입해야 할 때다. 이런 노력과 함께 보안 전문 인력 양성에도 힘을 쏟아야 한다.
소개한 두 가지 제안은 빅뱅 방식으로 한 번에 할 수 있는 것이 아니다. 지금까지 많은 조직이 보안 강화를 위해 인터넷 접근을 제한하거나 망 분리 같은 극단의 조치를 통해 보안 강화와 규제에 대응했다. 이런 방식은 한 번에 원하는 목적을 이룰 수 있다. 물론 구현이 쉬운 만큼 포기해야 하는 것도 있다. 사용자 불편과 업무 생산성 저하가 반대급부로 따라온다. 보안에서 최우선 목표는 안전을 강화하는 동시에 업무 흐름과 생산성을 극대화하는 것이 돼야 한다. 이를 달성하는 지름길은 없다. 늘 보안 전문가와 상의해야 하고, 전략을 수립해서 개선해야 한다. 내부 정보 흐름과 취약점을 파악하기 위해 탐지 및 대응 훈련을 끊임없이 반복해야 한다.
인터넷 보급이 확산되면서 세계가 온라인으로 묶여 정보가 실시간 공유되는 시대에 사이버 보안 역할은 정치, 경제, 사회 등 모든 분야에서 더 중요해지고 있다.
김성래 파이어아이 영업총괄 상무 jason.kim@fireeye.com