‘디지털 변혁’이 새로운 비즈니스 아젠다로 부상한 가운데 이를 위한 새로운 기술 도입은 선택이 아닌 필수다. 물론 현재는 물론 미래까지 포괄할 수 있는 몇 수 앞을 바라본 견고한 기술 선택이 중요하다. 최근 몇 년간 주목받아온 많은 기술이 잠재력을 터트릴 것으로 기대되기도 하고, 또 다른 기술이 새로운 부상하는 등 변화무쌍한 한 해가 기대된다. 올해는 소프트웨어 정의, 클라우드, 가상화 바람이 한층 거세게 불며 전통적인 하드웨어 기술 기반의 IT 인프라의 근본을 바꿔나갈 것으로 전망되고, 높아지는 보안 위협에 대응해 새로운 방패 마련을 위한 보안 기술의 진화도 주목된다. 더불어 모바일 퍼스트 시대를 위한 모바일, 무선 기술의 확산과 4차 산업혁명을 주도할 것으로 기대를 한 몸에 받고 있는 인공지능(AI) 역시 한층 고도화할 것으로 예측된다. 이에 디지털 변혁 시대의 이정표가 될 주목받는 기술과 트렌드를 짚어본다. <편집자>
사이버 보안은 창과 방패의 대결이라는 표현보다 ‘뛰는 놈 위의 나는 놈’이라는 표현이 더 적절하다. 그래서 보안은 공격자의 행위를 연구하고, 미리 공격을 예측해 방어하는 방법을 고안했다. 공격이 가능한 지점과 단계를 찾아 미리 방어하는 방법이다. 공격자들이 알려지지 않은 악성코드와 공격용 툴킷, 그리고 맞춤형 공격 전술을 사용한다는 사실을 강조하면서 알려지지 않은 공격을 미리 알아내고 차단하는 기술도 발전해 왔다.
그러나 그 어떤 방법을 사용해도 공격을 완벽하게 막을 수 없다. IoT, 클라우드, 빅데이터, 모바일(ICBM) 시대로 접어들면서 셀 수 없이 많은 공격 포인트와 공격 경로, 취약점 등이 발생하고 있으며, 이를 모두 파악하고 일일이 대응하는 것은 불가능하다.
“‘적응형 보안’으로 공격 까다롭게 만들어야”
‘완벽한 방어는 없다’는 사실을 인정한 후 보안은 전혀 다른 시각에서 접근하기 시작했다. 공격을 까다롭게 만들어 공격에 많은 시간과 비용을 들이게 해 공격을 포기하도록 만드는 것이다. 대부분의 사이버 공격은 금전적인 목적으로 진행되기 때문에 공격자들은 적은 비용으로 큰 수익을 낼 수 있도록 교묘하게 취약점을 이용한다. 취약점을 제거하고 알려진 공격을 차단하며, 알려지지 않은 공격을 탐지, 격리해 공격 성공률을 낮추면 자연스럽게 공격이 줄어들 것이라는 설명이다.
가트너는 ‘적응형 보안(Adaptive Security)’을 2017년 전략기술로 꼽았다. 적응형 보안은 예방, 탐지, 대응, 예측의 4단계로 이뤄진 보안 전략이다. 공격이 일어나는 접점에서 보안 정책을 강화하고, 취약점을 제거해 공격 발생률을 낮추고, 이미 진행된 공격을 탐지하고 적절한 조치를 취하는 한편, 공격 정보를 수집·분석해 미래에 발생할 공격을 예측하고 대응방법을 마련하는 것이 주 내용이다. 공격의 전(前), 중(中), 후(後) 전 과정에 대한 대응책을 마련해 공격 성공률을 낮워야 한다는 주장이다.
최근까지 APT 방어 방법으로 록히드마틴이 제안한 ‘사이버 킬체인’이 모범사례로 꼽혔지만, 사이버킬체인은 선제방어에 집중하고 있어 사전 차단에 실패한 공격의 대안이 필요하다는 지적이 있었다. 여러 단계의 차단막을 뚫고 들어온 지능형 공격을 시스템 내에서 찾아 격리하고, 해당 공격이 어떠한 피해를 입혔으며, 어떠한 경로로 들어왔는지 조사하고 대응하는 ‘침해 탐지 및 대응’에 중점을 두게 됐다. 이것이 ‘적응형 보안’이 설득력을 갖게 된 배경이다.
글로벌 위협 정보 공유로 사이버 범죄에 공동 대응
보안 전략이 탐지 및 대응에 초점을 맞추게 된 것은 사전차단 기술이 분명한 한계를 갖고 있기 때문이다. 사전차단을 위해 사용되는 샌드박스, 평판기술, 화이트리스트, 휴리스틱 등의 기술을 우회하기 위해 공격자는 새로운 방법을 찾아냈다.
소프트웨어나 하드웨어의 취약점을 이용해 침입하고, 신뢰할 수 있는 소프트웨어의 코드서명을 탈취해 신뢰할 수 있는 애플리케이션에 악성코드를 숨겨 유입시킨다. 암호화 트래픽에 공격을 숨겨 유입시키는 방법도 많이 사용되는 방법이다.
탐지 및 대응은 사전방어 단계를 우회해 들어오는 공격을 방어하기 위한 것으로, 시스템 내부에서 발견되는 공격정황을 찾아내고 적절한 대응을 취할 수 있도록 보안팀에 알려준다. 침해 지표(IOC)를 이용해 정상 프로세스와 공격 프로세스를 구분하는 한편, 주요 공격그룹의 패턴을 정리한 ‘플레이북’을 사용해 공격을 탐지한다.
범죄자들과 마찬가지로, 공격그룹 역시 선호하는 범죄 패턴이 있으며, 주로 사용하는 종류의 악성코드, IP 주소, 공격방식 등을 정리한 공격자 프로파일을 플레이북이라고 한다. 공격그룹은 다른 그룹의 공격방식을 차용해 범죄를 위장하기도 하지만, 보안 입장에서는 공격자를 쫓는 것 보다, 공격 자체를 막는 것이 중요하기 때문에 플레이북에 의거해 알려진 공격 정황이 있을 때 차단하는 것이 더 중요하다.
탐지 및 대응 전략을 위해 2016년 가장 뜨겁게 달아오른 이슈는 글로벌 위협 정보 공유이다. 전 세계에서 발생하는 위협 정보를 수집·분석해 빠르게 신종 공격을 알아내는 한편, 보안 기업과 고객, 정부가 폭넓게 이 정보를 공유해 사이버 범죄집단에 공동대응한다는 전략이다.
미국에서는 2015년 오바마 대통령에 의해 민간기업과 정부 간 사이버 보안위협 정보 협정이 체결됐으며, 이 후 공격정보 공유 노력이 본격적으로 시작됐다. 국제적인 사이버 위협 정보 공유 협의체인 FIRST는 1990년 설립돼 전 세계 61개국 300여개 조직이 참여하고 있다. 유럽에서는 유로폴이 주도해 유럽 각국 정부와 보안기업들이 공조해 랜섬웨어 공격을 차단하고 공격조직을 검거하는데 혁혁한 공을 세웠다.
우리나라 정부도 공격정보 공유에 적극적으로 나서고 있다. FIRST를 비롯한 글로벌 위협 정보 공유 노력에 동참하고 있으며, 한국인터넷진흥원(KISA)를 중심으로 국내 위협정보를 공유하는 한편, 한국을 포함, 29개국 40여개 기관이 참여하는 CAMP를 발족해 정보공유에 나서고 있다.
