[ET시론]우리의 차세대 사이버보안 마인드맵

'소 잃고 외양간 고친다.' 이 속담은 서로 멀리 떨어져 있는 동양과 서양에서 비슷한 의미로 사용된다. 영국에서는 '말 도둑 당한 후 헛간 고치기(Mend the barn after the horse is stolen)'로, 중국에서는 '양 잃고 우리 고치기(亡羊補牢)'라고 전해진다. 각각 잃어버린 대상만 다를 뿐 중요한 것을 잃어 버린 후에 후회하지 말고 미리 준비하자는 뜻은 동일하다.

사이버보안에서 이 속담은 알려진 문제점을 고치지 않으면 계속 문제가 된다는 교훈으로 쓸 수 있다. 특히 최근엔 공격자들이 서로 협력하고 있어 자그마한 문제가 점점 더 급속도로 커지게 된다. 호미로 막을 일을 가래로 막아야 하는 일로 번지게 되는 것이다.

이런 일은 현실에서 자주 발생한다. 간단한 취약점 업데이트를 적용하면 해결될 문제를 미루었다가 랜섬웨어에 감염되는 등 심각한 문제로 번지는 일이 빈번히 일어난다.

미국의 사이버보안 전담 기관인 사이버인프라보안국(CISA)은 올해 7월 미국 네트워크 회사인 시트릭스(Citrix) 장비의 보안 취약점을 발표했다. 공격자가 원격에서 마음대로 시트릭스 장비를 조종할 수 있는 매우 심각한 취약점이었다. CISA는 취약점을 이용한 공격이 6월에 탐지됐다고 발표하면서 기업들에 취약점 업데이트를 신속히 적용할 것을 권고했다.

하지만, 8월에 확인한 결과, 세계 시트릭스 장비의 25%에 달하는 1만5000여개는 취약점 보안 업데이트가 적용되지 않은 상태였다. 해당 장비들은 공격자들 앞에 무방비로 노출됐으며, 언제든 마음대로 조종당할 수 있었다.

이렇듯 사이버보안 전담 기관, 제조사 및 보안 기업이 협력해 빠르게 업데이트를 준비한다고 해도 직접 장비를 사용하는 기업에서 설치하지 않으면 아무런 소용이 없다. 반대로 장비 사용 기업에서 발 빠르게 대응하고 싶어도 제조사나 보안 기업에서 적절한 조치 방안이 없으면 대응하기가 어렵다.

한국인터넷진흥원(KISA)은 인터넷 보호나라 누리집을 통해 국내외 기업·기관이 중요한 보안 업데이트를 발표하면 이를 선별해 공지하고 업데이트를 권고하고 있다. 올해도 9월까지 보안공지 건수는 113건으로 한 달에 13건 정도다.

보안 투자에 여력이 있는 대기업도 많은 업데이트를 확인하고 적용하는 것은 쉬운 일이 아니다. 왜냐하면 보안 취약점 패치 또는 업데이트 시 시스템에 영향이 있는 지를 먼저 검토해야 하기 때문이다. 하물며 중소기업에선 즉시 업데이트는 고사하고 실제 패치하는 데에는 상당한 기간이 소요돼 적용하는 것 자체에 어려움을 겪는다.

공격자들은 바로 이런 허점을 파고 든다. 최근 국제 전반적으로 경제가 어려워지고 지속된 물가 상승으로 인해 공격자의 금전적인 욕구가 더욱 커지고 있으며, 상대적으로 보안 투자 여력이 부족한 중소기업을 대상으로 공격을 집중하는 모습을 보이고 있다.

실제로 KISA에 접수된 민간 분야 침해사고 신고 통계를 살펴보면, 매년 신고 건수는 꾸준히 증가하고 있으며 올해 상반기는 664건으로 전년 동기 대비 40% 증가했다. 그 중 대부분이 중소기업인데, 지난해엔 총 신고 1142건 중 954건이 중소기업으로 전체 건수 중 83.5% 수준에 이르렀다.

한국인터넷진흥원 침해사고 신고 건수.(한국인터넷진흥원 제공)
한국인터넷진흥원 침해사고 신고 건수.(한국인터넷진흥원 제공)

이에 KISA는 중소기업이 사이버공격으로부터 안전하게 운영할 수 있도록 디도스 사이버대피소, 취약점 점검 등 다양한 지원방안을 마련하고 있다. 또, 침해사고 발생 후 신속히 이를 탐지하고 공유해 대응할 수 있는 체계를 다양한 시스템 형태로 구축·운영해 왔다.

하지만 직접 운영하지 않는 한 시스템별, 운영 소프트웨어별로 발생하는 수많은 보안 취약점을 모두 조치하고 지원하는 데엔 한계가 있다. 더불어, 사이버 위협이 나날이 폭증하고 다양해지면서 새로운 대응체계로의 전환이 필요해졌다. 이에 따라 KISA는 확장된 형태의 새로운 마인드맵을 그리고 있다. 기존 디도스, 악성코드, 스미싱 등 공격 유형별로 각기 위협을 탐지하고 대응하던 방식에서, 분할 저장관리 돼 온 위협 정보를 통합 저장소인 데이터 레이크(Data Lake)를 만들어 위협 정보 간 연관 분석하는 '통합 탐지·대응 체계'로 발전시키고자 한다.

즉, 디도스 공격 1건, 랜섬웨어 감염 1건과 같이 개별 침해사고로 관리하지 않고 위협 정보 데이터 전체를 통합으로 저장·조회·관리하는 구상이다. 이를 통해 여러 위협 징후를 선제적으로 탐지함과 동시에 공격자의 종합적 분석 정보를 파악해 대응 시간을 단축할 수 있다. 또, 공격유형이 서로 다른 사건간 연관분석을 쉽게하고 시차를 두고 발생한 유사 사건의 공격 전략을 비교·분석해 공격에 이용된 정보기술(IT) 인프라와 악용한 취약점 등 표면적으로 알지 못했던 위협 지표를 찾아낼 수 있을 것으로 기대한다.

사이버 위협정보 분석·공유(C-TAS) 시스템 개요도
사이버 위협정보 분석·공유(C-TAS) 시스템 개요도

그리고 이렇게 수집된 정보는 사이버 위협정보 분석·공유(C-TAS) 시스템을 통해 가입한 기업·기관에 신속히 제공해 중소기업의 침해사고 대응을 지원할 계획이다.

통합 탐지·대응 체계는 기존 KISA가 운영하던 탐지시스템들이 모태가 돼 구축하겠지만, 탐지 정확성을 높이고 사이버 공격을 예측하는 수준까지 진화해 나가기 위해서는 개별 기업의 참여가 중요하다.

통합 탐지·대응 체계의 구축 목표는 공격자의 의도나 전략을 선제적으로 파악하고 빠르게 대응하는 것이다. 따라서 민간 기업들이 실제 현장에서 부딪히며 쌓은 데이터가 필요하다. 다양한 위협 정보가 많이 유입될수록 새로운 통합 탐지·대응 체계는 정교해지고 고도화될 수 있으며, 궁극적으로는 더 많은 기업에 혜택이 돌아갈 수 있다.

이같은 청사진은 KISA의 힘만으론 구현이 불가능하다. 얼마 전 아시안게임에서 탁구 등 복식 경기가 흥미진진했던 이유는 매 세트를 누가 이길지 모르기 때문이다. 아무리 실력이 뛰어난 사람이 있어도 협동하지 않으면 실점으로 이어지고, 호흡을 맞춘다면 시너지를 발휘할 수 있다. 이렇듯 통합 탐지·대응 체계 마인드맵도 우리 원과 민간 기업 양 주체가 함께하는 마음으로 2인3각 해야만 이룰 수 있다.

스포츠 경기에서 엿본 협동의 중요성을 상기하면서 올해로 70주년을 맞이하는 한미동맹의 구호로 글을 마친다. “우리 함께 갑시다.(We go together.)”

이원태 한국인터넷진흥원 원장 wtlee@kisa.or.kr

이원태 한국인터넷진흥원(KISA) 원장
이원태 한국인터넷진흥원(KISA) 원장

〈필자〉서강대에서 정치학(정치커뮤니케이션) 박사 학위를 받았다. 2007~2021년 정보통신정책연구원에서 ICT 기반 국가 미래 전략, 국가 정보화 전략, ICT 인문 사회 융합 연구, 디지털 사회 정책, AI 윤리 등 4차 산업혁명 법제도, 이용자 보호 등 다양한 정책 연구를 수행했다. 2017년 사이버커뮤니케이션학회 부회장, 2018년 한국인터넷윤리학회 부회장, 2019년 한국인공지능법학회 부회장, 2020년 개인정보보호위원회 제도혁신단 자문위원 등을 역임했다. 2019년에는 지능정보사회 규범에 대한 선도적 연구와 정책 공론화 과정에서 국가 발전에 기여한 공을 인정받아 국무총리 표창을 수상했다. 2021년 1월부터 한국인터넷진흥원장을 맡고 있다.