하늘 아래 새로운 위협은 없다 IT 보안, 결국은 ‘사람’이 문제 원유재 한국인터넷진흥원 인터넷침해대응센터 본부장 yjwon@kisa.or.kr 갈수록 진화하는 사이버 위협 흔히 10년이면 강산도 변한다고 한다. 하지만 급변하는 IT 분야에서는 1년이 멀다하고 신기술이 개발되고 이에 따른 사회 전반의 트렌드 변화가 일어나고 있다. 최근 뉴스를 보면 스마트폰이나 SNS, 클라우드 서비스에 대한 보도를 자주 접하게 된다. IT 분야의 급격한 변화가 연일 뉴스거리가 될 정도로 많은 사람들 사이에 화두가 되고 있다. 동전의 양면처럼 순기능의 이면에는 역기능도 수반된다. 새로운 IT 서비스를 통해 사람들의 편의성이 증대된 만큼 사이버 침해위협 또한 증가했다. 기존에는 PC에만 국한되었던 사이버 위협의 대상이 모바일 기기 및 클라우드 환경까지 확대됐고, SNS로 인한 개인정보의 유·노출 문제뿐만 아니라 이를 악용한 사회공학적 기법을 이용한 해킹 또한 증가했다. 사이버 위협은 양적으로 증대되었을 뿐 아니라 질적으로도 점자 치밀·지능화되는 지능형 지속공격(APT, Advanced Persistent Threat) 형태로 진화하고 있다. 2011년 국내에서 발생한 대표적인 침해사고인 농협 금융전산망 마비 사태(2011. 4.)나 SK컴즈의 3,500만 명 개인정보 유출 사고(2011. 7.) 등이 모두 특정 대상을 겨냥해 다양한 기술과 방식을 이용해 지속적으로 공격하는 APT에 의한 것이었다. 농협의 경우 해커들은 2010년 9월에 관리업체 직원의 노트북에 웹하드 업체의 업데이트 프로그램을 위장해 악성코드를 감염시킨 후 7개월간에 걸쳐 농협 전산망 IP와 서버관리자 비밀번호 등을 수집하고, 수집된 정보를 이용해 제작한 공격 명령 프로그램을 2011년 4월 12일 오후 4시 50분에 실행함으로써 농협 서버 587대 중 273대를 파괴했다. 더불어 노트북에 설치된 모니터링 시스템을 통해 해킹 성공 사실과 파괴된 서버 수까지 확인한 뒤 5시 20분 공격 프로그램 등 증거를 삭제했다. SK컴즈의 경우 해커들은 2011년 7월에 이스트소프트의 ‘공개용 알집’ 업데이트 서버의 업데이트파일을 악성파일로 바꿔치기하여 SK컴즈의 사내망 PC 62대를 감염시키고, 감염된 좀비PC들을 모니터링해 DB 관리자의 ID와 비밀번호 등 내부 접속정보를 추가 수집한 뒤에 좀비PC를 원격 조종해 관리자 권한으로 DB 서버에 접속하여 개인정보를 빼내갔다. 이러한 사이버 위협의 진화에도 불구하고 국내 기업들의 보안 불감증은 여전하다. 한국인터넷진흥원(KISA)의 ‘2011년 기업들의 정보보호 실태조사’ 결과를 살펴보면 국내 기업의 약 64%가 정보보호에는 단 1원도 투자하지 않고 있으며, 74%는 정보보호 정책조차 없는 것으로 나타났다. 정보보호 강화를 위한 주체별 방안 기업에 대한 정보보호 규제준수(Compliance) 요구가 가중되고 있는 상황에서 정보보호 문제를 해결하기 위해서는 반드시 적정한 수준의 투자가 선행되어야 한다. 그러나 단순히 소수의 IT 부서 사람들이 보안 솔루션을 구입해서 운영하고 있다고 해서 모든 문제가 해결되는 것도 아니다. 기업에서의 정보보호 문제를 해결하기 위해서는 하향식(top-down) 방식과 상향식(bottom-up) 방식의 두 가지 접근법을 함께 적용해야만 한다. ■ 하향식 방식 : 정보보호에 대한 투자와 정책 마련 하향식 접근은 경영진 의지에 기반을 둔다. 기업의 정보보호를 위해서는 반드시 CEO, CISO 등 경영진의 관심과 지원이 필요하며, 전사 차원에서 GRC(Governance, Risk Management, Compliance) 관점의 보안정책 및 통제원칙을 제시해야 한다. 경영진은 정보보호를 위해 발생하는 비용을 더 이상 ‘비용’이 아닌 미래를 위한 ‘투자’라는 인식을 가질 필요가 있다. 작년 7,700만 명의 개인정보가 유출된 소니의 경우 주가하락으로 인한 손해가 약 21억 달러, 개인정보 유출자에 대한 피해보상액만 최대 240억 달러에 달할 것으로 추정되며, 농협의 경우에는 장애 기간 동안 면제해 준 수수료만 50억 원, 카드결제 청구 연기로 발생한 이자가 30억 원에 달한다. 또한, 이후 5년간 5,000억 원을 보안강화에 투자하겠다는 계획을 밝혔지만 한 번 떨어진 기업의 신뢰도는 쉽게 회복되지 않고 있다. 가장 기본적인 보안투자는 기업의 보안 프로세스를 정립하고 그에 맞게 침입차단시스템(Firewall), 침입탐지시스템(IDS), 침입방지시스템(IPS), DDoS 대응시스템, DB 보안 시스템 등의 보안 솔루션을 효과적으로 구축하는 것이다. 그리고 보안 투자가 유명무실해지지 않도록 체계적으로 관리 및 운영할 정보보호 전담 조직을 구성하고 전문 인력의 확보·양성에 힘써야 한다. 고가의 보안 솔루션을 이미 구축해놓은 상태에서도 보안사고가 지속적으로 발생하는 원인은 전문적인 보안인력의 부재 때문이라 할 수 있다. 미국 1위 통신기업인 버라이즌(Verizon)의 ‘2012 Data Breach Investigations Report’에 따르면 2011년 발생한 공격의 96%는 기술적으로 어렵지 않은 공격기법이 사용되었으며, 데이터 유출 사고의 97%는 간단한 혹은 중간 사양의 보안장비로도 막을 수 있었다고 한다. 즉 보안사고의 문제는 단순히 보안장비에 국한되기 보다는 장비를 운영하는 보안인력의 전문성으로 귀결된다는 것이다. 따라서 효과적 보안솔루션 구축뿐 아니라 전문적 보안인력 양성에도 반드시 투자가 이루어져야 한다. ■ 상향식 방식 : 정보보호에 대한 구성원의 노력 상향식 접근은 직원 개개인의 정보보호를 위한 노력에 기반을 둔다. 최근에는 보안기술의 발달에 따라 보안시스템의 자체의 취약점을 이용하기보다는 그것을 운영하는 사람의 심리를 이용하는 사회공학적 해킹 기법이 기승을 부리고 있다. 따라서 모르는 사람이 보낸 인사 명령, 이벤트 당첨 등의 호기심을 자극하는 메일을 무심코 열어볼 경우 악성코드에 감염될 수 있으므로 주의해야 한다. 또한 안전한 비밀번호 설정 및 주기적 변경 같은 사소한 부분에서부터 정보보호를 실천해야 한다. 금융감독원 검사결과에 따르면 농협의 경우 ‘1’, ‘0000’과 같이 유추하기 쉬운 비밀번호를 사용하거나, 초기에 설정되는 비밀번호를 그대로 사용했다고 하며, 심지어는 거의 7년 동안 단 한 번도 비밀번호를 변경하지 않은 경우도 있었다고 한다. 바이러스 백신 프로그램을 사용하여 정기적으로 PC나 시스템, 모바일 기기의 보안 상태를 점검하고, 수시로 OS나 SW의 취약점을 패치해주는 등의 보안 업데이트 적용 역시 중요하다. IBM에서 진행한 MS의 보안취약점 분석가인 오정욱 연구원과의 인터뷰에 따르면 컨피커(Conficker) 웜이 사용한 MS 08-067 보안 취약점은 이미 패치가 나온 지 수개월이 지난 상태였지만 해당 패치를 적용하지 않은 사용자가 많았고 결국 2009년 전 세계적으로 약 650만 대의 PC가 악성코드에 감염되는 사태가 발생했다고 한다. 한국인터넷진흥원 인터넷침해대응센터에서는 홈페이지(www.krcert.or.kr)를 통해 각종 취약점에 관한 보안정보를 제공하고 있으므로 주기적으로 방문해 확인하는 것도 정보보호 실천의 좋은 방법이다. 이 글을 통해 제시한 방안이 기본적이고 원론적인 것들이라 자칫 식상하게 보일지도 모른다. 하지만 지금 우리에게 필요한 것은 복잡하고 어려운 새로운 보안 대책이 아닌 가장 기본적이고 궁극적인 기업과 개인의 보안 의식 확립과 실천하고자 하는 의지가 아닐까 한다. 원유재 1987 한국전자통신연구원 책임연구원, 팀장 2001.3 안철수연구소 CTO, 안랩유비웨어 연구소장 2004.9 한국정보보호진흥원 IT기반보호단장 2009.7 한국인터넷진흥원 개인정보보호단장 2010.1 한국인터넷진흥원 인터넷정책단장 2011.3 한국인터넷진흥원 침해예방단장 2011.7 한국인터넷진흥원 인터넷침해대응센터 본부장 대검찰청 디지털 포렌식 자문위원 한국정보통신기술협회 표준화위원회 운영위원 정보보호기술위원회 의장 한국정보보호학회 부회장 한국정보과학회 이사 한국정보처리학회 이사