본문 바로가기

Security Indicator/Insight

21세기판 몽골기병의 침략

 - 지디넷 컬럼

 

1241년 몽골의 칸인 바투는 헝가리의 왕에게 항복을 하라는 서신을보낸다이에 헝가리 왕은 교황에게구원을 요청 하였지만 몽골군의 도착은 더 빨랐다.  유럽의 최강국이었던 헝가리의 군사들과 유럽 최정예 연합 기사단등 무려 20만 대군은 몽골군의 침입에 대항 하였고 결과적으로 처참하게 패하여 유럽에 몽골의 악몽을 깊이 새기게 되었다.

 

일설에 의하면 몽골 장수인 제베가 이끄는 2000명의 기병이 10만의 기사단을 라이프찌히에서 몰살 시켰다고도 한다. 사실여부를떠나 그만큼 강력한 군사력으로 압도를 한 것은 사실 이였을 것이다. 총 인구 100만에 가용 가능한 병사수가 20만인 몽골은 어떻게 대제국을 이루게되었을까? 또한 중세 유럽의 강력한 왕권국가들은 차례로 그들에게 무릎을 꿇을 수 밖에 없었을까? 우리의 예로는 병자호란시의 쌍룡    쌍령전투에서 몽골기병 300  (6~7000)에 의해 조선군 4만이 패한 것도 예가 될 수 있다. 전술이 없고 전략이 없는 대병력은그냥 제물이 될 수 밖에 없음을 이미 역사에서도 증명을 하고 있을 뿐이다. 그러나 유럽의 기사단 연합은동시대 최고의 역량과 조직화된 집단 이였다는 점에서 차별성을 가지고 있다. 지금의 IT 환경에서 공격과 방어의 입장은 유럽의 기사단 연합과 몽골군과의 대결에 더 깊은 유사성을 가지고 있다.

 

현재의 IT환경은 또 어떤 부분에서 몽골 기병이 활약하였던 중세와어떤 유사성이 있을까?


< 이미지 출처 http://www.mongolfilm.ru>

 

2012년인 지금에 이르러 800년가량 지난 이야기를 왜 꺼내는 것일까? 하는 의문을 지녀야 한다.

몽골기병은 이미 또 다른 전장인 사이버상에서는 이미 부활 하였고 활발하게 영토를 넓히고 있으며 거침이 없는 지금의상태에서 누가 상대 할 수 있을 것인가? 비유를 하자면 지금 전 세계를 떠들썩 하게 하고 있는 어노니머스와는격이 다른 세계정복자라고 해야 할 것이다. 눈에 잘 보이지 않으며 강력한 영향력을 갖춘 그들은 아직소수만이 인지하고 있을 뿐이다.

 

몽골기병의 사례는 13세기나 지금이나 들고 있는 무기만 달라졌을 뿐이지전술과 전략은 달라진 것이 없고 유럽에 새겨진 악몽과 같은 경험도 달라진 것이 없다. 몽골기병의 전술과전략은 지금의 시대에서 인터넷상을 유린하고 있는 공격자들의 전술, 전략과도 맞닿아 있으며 당대 최정예라고이름 붙여진 유럽의 기사단들의 몰락에는 전술적 대응의 실패로 전멸을 초래 하는 것과도 이어져 있다.  우선은 적의 정체에 대해서도 몰랐다는 것이 정답일 것이고 21세기인 지금도 마찬가지 일 뿐이다.

 

우리는 그들에 대해 얼마나 알고 있는가? 공격자들의 전략.

 

목축과 수렵으로 단련된 군사들과 대규모 사냥으로 길러진 조직적인 전술 행동력과 능수능란한 작전이 겸비된 그들앞에 온갖 철갑을 두르고 긴 창을 지닌 기사단들이 나타난다. 둔탁하고 느리며 정면승부만을 고집한다그들은 기사단을 둘러싸고 포위한 채로사정거리가 긴 활을 수시로 대열 속으로 발사를 하고 틈이 생겼을 경우에는 일거에 돌입하여 대열을 흐트러뜨리고 격파를 한다영화에서나 보던 이런 장면은 눈에 잘보이지는 않으나 인터넷상의 활발한 공격 흐름에서도 손쉽게 관찰이 되고 있다역할 분담이 된 공격자들과 수시로 빈틈을 노리고 배회하는 취약성 공격들.. 그러다 한 곳이라도 빈틈이 발견되면 일거에 점령하고 무장해제를 시킨다공격자들로부터 지키기 위해서는 모든 부분을 일정수준 이상 유지해야 하고한 눈이라도 잠깐 팔았다간 순식간에 제어권은 넘어가고 만다.

 

몽골기병의 특징은 다음과 같다.

기동성 , 무기 (강한활), 전술 (유인과 기습)

 

21세기판 몽골기병의 특징도 다를 바가 없다.

기동성 ( 관리자를 농락하는 치고 빠지기 ) , 무기 ( 강력하고 직접적인 취약성 공격), 전술 (악성코드의 대량 유포 및 탐지 회피 )

 

최소 4개국 이상으로 구성된 연합 기사단은 지금의 보안 분야의 대응정도 될 것이고 몽골기병은 현재의 인터넷을 유린하고 있는 공격자 정도 될 것이다.

 

공격자들이 너무나도 빨리 다녀가는 바람에 왔다 갔는지도 모르는 지금의 상황은 유럽을 휩쓸던 몽골기병이 칸의 죽음으로본국으로 귀국하여 사라진 그때처럼 정체도 몰랐었던 중세의 유럽과 다를 바가 없다신무기 ( 새로운 취약성)를 적극적으로 받아들이고 연구하며 치고 빠지며 기습을 하는 악성코드 유포 전략,하루에도 수 차례 이상을 침입하여 유포 경로를 변경하고 조작하는 기동성으로 무장한 공격자들은 거칠 것이 없다. 하물며 공개적으로 세계적인 기관과 기업들을 해킹하고 공개하는 어노니머스와 같은 그룹도 있는 판국에 그들보다몇 수 위인 공격자들은 조용히 그들의 실익을 챙겨가고 있다.

 

당대 최고로 구성된 기사단의 전멸은 많은 점을 시사한다. 같은 부류의싸움에서는 보다 튼튼한 장갑과 긴 창으로 무장하고 정면 충돌을 통해 우위를 점할 수 있다. 그러나 전략이다르고 근본적 구조가 다른 그룹과의 충돌은 치명적일 수 밖에 없다. 보다 뛰어난 사정거리의 활, 기마에 숙련된 환경, 사냥을 통해 길러진 협력 전술은 마치 기사단을사냥감처럼 구석으로 몰아 세우고 결국에는 전멸을 시키는 모양새와도 유사하다.

 

우리의 현실.

 

보다 강력한 시스템 보호 환경을 위해 잦은 업데이트를 하고 최신 판단 기술로 완벽한 보호를 다짐하고 있는 다양한보안 체계들이 있다. 그러나 공격자들은 상시적인 보완이 느릴 수 밖에 없는 Application에 대한 직접적인 공격과 권한 획득, 악성코드탐지 시스템의 우회와 회피를 통해 순식간에 침입을 하고 그 침입을 통해 목적을 달성한 이후 유유히 사라져 간다사라져간 이후에나 중무장을 한 전문가들과 보안제품들은 공격자를 추적하기시작한다. 이미 거기에는 쓰레기와 같은 접속 흔적만이 남아 있다.

왜 전 유럽이 몽골의 기병에게 유린 당했는지는 여러 의견들이 있겠지만 기동성과 전략, 뛰어난 무기가 큰 역할을 했음은 분명하다. 21세기인 지금의 현실도달라진 것은 없다.

 

< Securelist.com  - Korea Stat >

 

주말마다 공격을 반복하는 공격자들의 흔적은 비단 다른 통계를 들지 않더라도 백신 회사인 카스퍼스키랩의 통계만을보아도 확인 할 수 있다. 대부분 트로이쟌과 키로깅, 백도어들이 유포되고 있으며 전 세계적 비율에서도 가장 월등한 비율이 한국에서 나타나고 있다분명한 것은 이 수치도 빙산의 일각일 가능성이 매우 높다는 점이다. 백신의 특성상 발견 이후 대응까지는 일정 시일이 소요 될 수 밖에 없기 때문이다.

 

< 빛스캔㈜ 발표- 실제로그 분석을 통한 악성코드 공격 성공률 - 60%>

위의 발표 내용을 보면 새벽 3시간 동안의 소규모 사이트 공격을 통해서도 34천대의 좀비 PC를 확보 하는 것을 확인 할 수 있다. 공격 성공률은 60%에 육박함을 확인 할 수 있다.

 

공격자들이 취약한 웹서버를 공격하여 얻는 이득은 4~5년 전만 하여도데이터베이스에 있는 정보를 탈취하여 팔거나, 내부에 침입을 하기 위한 경로 확보 목적이 다수였으나, 지금은 그 목적이 아니다. 이미 저장된 정보의 대부분은 탈취 되었거나보다 더 높은 가치를 가지지 못하기 때문이다. 공격자는 더 높은 가치를 가지고 있는 부분으로 공격 대상을전환 하였고 그 목적에 맞게 웹서버를 침입하고 (특히 방문자들이 많은 사이트가 대상이 된다. ) 악성코드를 사용자에게 배포 할 수 있도록 소스코드에 악성링크를 살짝 추가한다. 이후 정상적이라 믿는 웹 서비스에 접근 하는 모든 사용자들에게는 악성코드가 배달이 된다그리고 그 악성코드들은 사용자의 키입력과 ID/ Password를 부지런히 수집하고 전달 한다. 수익은 그이후에 발생이 될 뿐이다.

 

무엇이 필요한가?

 

공격자들이 떠난 이후에 둔한 움직임으로 그들을 추적하는 대군은 항상 뒤만 쫓아 다닐 수 밖에 없으며 기습적인공격에 의해 수시로 피해를 감내 할 수 밖에 없는 상황에 직면하고 있다그들이 떠난 자리에 폴리스라인을 쳐둔들 잡을 수 있겠는가? Chrome 브라우저에서 웹서핑시 나타나는 Malware Detected라는 붉은 경고로 공격자들의 기동성을 막기 위해서는모든 접근 가능한 웹 서비스에 대해 접근 금지를 해야만 가능 할 것이다.

 


지금 그들을 이겨내기 위해서는 전술의 변화와 발상의 전환이 심각하게 요구된다.

웹서비스의 문제점을 수시로 찾아내어 보완하는 프로세스와 도구 혹은 서비스가 필요하며 초기 단계에서 악성코드의확산을 감지하고 차단 할 수 있는 선제적 대응 도구가 절실히 필요하다. 그것이 공격자들이 가진 역량을이길 수 있는 무기이며 공격효과를 반감 시키는 변화가 될 것이다아직 시작도 되지 않은 대응일 뿐이지만 오래지 않아 출현하게 될 것이다.

지금 21세기판 몽골 기병들은 거침없이 그들만의 정복을 하고 있을뿐이다어쩌면 한국을 대상으로체계적인 훈련을 하고 있는 것인지도 모를 일이다. 그들이 무대를 옮기는 순간 정복은 한 순간이 될 것이다. 우리는 그 다음을 준비해야 하고, 지금의 현실을 극복할 방안을 마련해야만살아 남을 수 있을 것이다

-바다란 세상 가장 낮은 곳의 또 다른 이름