IT리스크의 현실- 글로벌 보안 위협 -2

IT 리스크의 현실 – 2009 글로벌 보안 위협의 변화 2 -zdnet 컬럼

                               

 

 

지난 편에서 공격과 방어의 현실에 대해서 살펴 보았다. 각 글로벌 기업들의 피해 현황과 대응 방식의 변화를 통계치를 통해 살펴 보았다. 또한 공격 기술과 방어기술의 차이가 벌어지고 있으며 그 차이는 더 큰 격차를 보이고 있음을 간략하게 살펴 보았다.

 

두 번째 글인 이번 컬럼에서는 IT 시스템과 서비스가 가지고 있는 실제적인 리스크의 현실에 대해서 통계치와 조사된 자료를 통해 간략하게 알아보고 변화가 어떻게 진행 되고 있는지 알아본다.

 

컬럼 이전에 필자가 보는 보안과 시대에 대한 관점에 대해 잠시 언급 하도록 한다.

 

국내의 보안 현실에 대해서 논의 하는 것은 특별한 의미가 없다. 모든 현상은 이어져 있으며 글로벌 연동이 일반적인 현실에서 국지적이고 지역적인 위험을 언급한다는 것은 의미가 없는 논의일 뿐이다. 현재 발생되는 문제들도 국내에만 국한된 문제들은 없다.

 

보안과 해킹이라는 분야는 창과 칼의 의미를 지닌다. 문제점을 찾아내고 문제점을 대비 할 수 있는 체계를 갖추는 것은 분야별로 또 규모별로 달라져야 하고 방안도 달라야만 한다. 그러나 무엇에 대한 대응 이라는 주제는 어디나 동일 할 수 밖에 없다.

 

일반적으로 변화는 새로운 요구를 수반한다. 새로운 요구는 기존질서와 규칙의 붕괴를 때때로 가져온다. 기존의 질서를 유지하고 안정감을 가지려고 하는 시도는 인류의 오랜 역사와도 같이 하는 본성일 뿐이나 변화를 거부 할 수는 없다. 그래서 임계점에 도달하면 극적인 붕괴나 변화가 시작 된다.

 

지금의 변화는 어떤 요구를 수반 하고 있을까?  IT서비스와 인터넷은 전 세계 경제 활동 인구의 대부분에게 영향을 미치고 있다. 보안이라는 관점은 역설적이게도 전문분야 이면서도 전 세계적인 영향력을 가질 수 밖에 없다. 각 부분별로 변화는 다양하나 대응 형태에서는 유사함을 띌 수 밖에 없다. 모두가 이어진 세상이고 거의 실시간으로 공간과 거리의 문제를 간단하게 일축 하고 있다. 

 

문제 발생은 이제 지역적으로 일어나지 않는다. 큰 변화를 일으키는 많은 문제들은 시간이 지난 후에야 문제를 인지하고 그 문제로 인해 변화가 이루어 졌음을 알게 된다. 시간이 지난 뒤에 돌아보면 변화를 일으킨 문제들을 알게 된다. 막상 그 당시에는 몰랐어도…… 

 

지금의 IT 환경의 많은 변화들은 자유로운 지식의 공유와 인간 능력의 확장을 하고자 하는 기본적인 의지로부터 비롯되고 보안이라는 측면은 상처 받고 깨지기 쉬운 도구를 한계에 도달 하지 않도록 지켜내고자 한다.

그러나 공격 기술과 보호 기술의 격차는 점점 더 차이를 벌여가고 있다. 다양한 한계와 제약에 의해 보호 기술의 발현은 어려움이 있다. 공격 기술은 어려움 없이 세계적인 영향력을 갖추나 보호 기술은 강력한 제약들을 많이 가지게 되고 현재는 대응 수준마저도 현실을 지켜 내기는 어려운 실정이다.

 

새로운 위협에 대해서 인지를 하고 기존의 위험들이 어떤 영향을 가지고 있으며 어떤 결과들을 초래 할 수 있는지에 대해서 아는 것은 국가나 기업, 산업의 미래 방향성과 발전에 큰 힘이 된다. 특히 지식 기반 산업을 중점으로 추진 하는 곳일수록 분명한 힘이 될 수 밖에 없다. 일회성 개발과는 차원이 다른 성장동력이 지식기반 산업이다.

 

지식기반 산업에서의 가장 중요한 리스크 관리는 근간을 위협할 수 있는 변화를 알아서 대응을 하고 장기적인 방안을 마련 하는 것이 가장 중요하지 않을까?

특히 현재의 지식기반 산업의 기반에는 공유되는 정보와 체계적으로 누적된 데이터에 기반한 산업이 가장 큰 영향력을 나타내고 있으며 가장 중요한 도구로서 인터넷은 절대적인 가치를 지니고 있다. 그리고 그 인터넷은 현재 심각하게 위협을 받고 있다. 시간이 지날수록 위협의 강도는 근간을 흔들게 될 것으로 본다.

 

서론이 길었다. 차후에 보안과 해킹 그리고 산업에 대한 관점으로 별도의 글을 고민 해보도록 하고 이번 컬럼의 주제로 돌아가자.

 

 

n  내부. 외부 어디가 더 문제?

 

보안 사고들이 발생 될 때 마다 이전까지 항상 언급 되던 것이 내부자에 대한 통제 문제였다. 내부자에 대한 통제 문제는 대부분의 중요사고나 정보 유출 사고들이 내부자에 의해 대규모로 발생한다는 점에서 항상 강조 되던 문제였다. 그러나 지금도 그럴까?

 

지금도 그러한가 하는 질문에 대한 필자의 대답은 “글쎄”이다. 전체적인 사건사고들이 증가한 이유도 있겠으나 가장 중요한 문제는 폐쇄형에서 개방형으로의 진화가 차이를 이끌었다고 보고 있다. 접근 지점이 이전에는 내부에서 밖에 접근 할 수 밖에 없었다면 이제는 Application의 취약성을 타고 중요정보들이 저장된 Db에 직접 접근이 가능한 문제들이 발생 한다.

 

일반적인 개요이지만 네트워크 단위의 문제와 OS의 문제, Application에서 발생되는 문제는 앞서의 컬럼에서도 언급 하였듯이 역삼각형 구조를 지니고 있다. Sans의 컬럼에 잘 표현된 이미지가 있다.

각 부분별로 세분화가 가능하나 취약점의 개수로 보면 가장 정확한 모양을 나타내고 있다. 취약성의 발전 현황에서도 최초에는 네트워크 프로토콜에 대한 문제들이 나오고 이후 운영체제의 이슈, 운영체제에 종속된 어플리케이션에 대한 문제 ( 위의 이미지에서는 OS Libraries로 표시됨)가 나타난다. 그 이후 발생되는 문제는 OS에 종속적이지 않은 어플리케이션의 문제이다.

 

시기적으로 90년대 까지는 Network Protocol 및 Network 상으로 오픈된 서비스들에 대한 문제들이 주된 이슈였고 이후 운영체제의 문제로 넘어가게 된다. 2000년대 초에 이르러 운영체제에 대한 문제들과 운영체제 종속적인 취약성들이 영향을 미치게 된다. 이때 까지만 하여도 보안과 해킹이라는 영역은 소수의 전문가들의 영역이었고 피해 범위도 제한적인 범위였다.

 

이후 2004~5년을 기점으로 하여 Application에 대한 공격으로 세계적인 흐름은 전환이 되었다. 실제로 이 전환기의 공격을 가장 처음 격렬하게 경험한 곳도 한국이다. 그럼에도 불구하고 대응책이 완료 되었거나 경험에 의해 진보 되고 있다고 표현 하기에는 어렵다.

 

운영체제의 경우에는 벤더사에 의해 주기적인 업데이트가 제공이 되고 있다. 그러나 개발자들이 개발하여 서비스화된 서비스들의 경우에는 주기적인 업데이트나 문제의 해결은 멀고 먼 일이다.

현재 직면한 현실의 문제는 여기에서부터 비롯된다.

 

웹서비스와 데이터베이스는 연결 통로를 가지고 있고 현재의 공격자들은 개발된 웹 서비스의 문제점을 이용해 데이터베이스의 정보를 가지고 가거나 시스템에 백도어를 설치해 내부망에 침입하는 도구로 사용 한다. Application에 대한 공격과 데이터베이스까지의 직접 연결은 내. 외부에서의 정보 유출사고들에 있어서 경.중에 대한 구분을 없애고 있다.

 

제한된 내부 사용자들만이 접근 할 수 있는 데이터베이스에 대한 접근을 공격자들은 자유자재로 웹서비스의 취약점을 통해서 접근 할 수 있는 상황이다. 지금의 상황은 내. 외부자에 의한 정보유출 및 피해 사례는 단순한 횟수 이외에도 정보유출시의 파급력이 함께 고려 되어야 하고 대비가 되어야만 한다.

 

 

내부자에 의한 사건 사고 비율을 조사한 내용을 보면 2007년에 비해 2008년에는 내부자에 의한 사고 비율이 줄어들고 있음을 볼 수 있다. 실제적으로 내부자에 의한 위험이 줄어든 것은 아니며 외부자에 의한 위험요소가 동등한 수준으로 격상이 되어 상대적으로 비율이 적어지고 있을 뿐이다. 또한 내부자에 대한 통제 수단들이 지속적으로 개선되어 효과를 보여 주고 있음을 의미 하기도 한다.

 

 

CSI의 조사 이외에도 Verizon의 실제 피해사례를 조사한 결과를 보면 내부자에 의한 피해가 더 크다고 볼 수는 없다. 외부자에 의한 실제 피해가 2005년까지는 급격한 하강 곡선을 그리다가 그 추세가 반전이 된 계기는 앞서 이야기 했듯이 어플리케이션에 대한 직접 공격을 통해 데이터베이스에 저장된 정보를 빼내어 갈 수 있게 되었기 때문에 발생한 변화이다.

 

통계치는 보기에 따라 다양하게 해석될 수 있으나 전반적인 흐름은 파악 할 수 있다. 상대적으로 파트너와 내부자에 의한 정보 유출은 제한적이거나 하락하는 경향을 볼 수 있다. 통제의 수단들이 늘어가고 있고 일정부분 영향을 미치고 있음을 의미한다.

 

2005년 이후의 보안성 강화 방안들이 정확한 해결책 이였는가 하는 의문에 대해 2005년 이후의 몇 가지 통계자료가 의미하는 바가 있을 것으로 본다. 내부자 통제에 대한 강화도 중요하나 외부자가 침입 할 수 있는 문제점들에 대해 체계적이고 주기적인 해결 방안을 가지고 있었어야 했는데 지금의 현실은 그렇지 못하다. 이전 컬럼에서 언급 하였듯이 외부자가 침입하는 방안으로 어플리케이션 해킹이 상당 비율을 차지하고 있고 실제 피해를 발생 시키고 있는데 효율적인 대책들은 지지부진하다.

 

2006년 이후 2008년까지의 IT예산에서 Security가 차지하는 비율은 평균비율로 보았을 때 지속적으로 높아지고 있다. 그만큼 IT 전체 예산에서 보안에 대한 중요성이 높아지고 있음을 의미한다. 이 통계는 보안의 중요성이 점차 더 높아지고 있고 전체를 흔들 수 있는 사안임을 느끼고 있다는 반증이라 할 수 있다.

과연 국내의 현실은 어디쯤일까?

 

 

n  공격의 특징

 

현재 글로벌 환경의 공격 특징은 한마디로 요약하면 타켓화라 할 수 있다. Web 2.0 기반의 소셜 서비스에 대한 공격이든 무엇이든 목적을 가지고 또 특정 대상을 한정하여 공격한다는 점이다. 공격을 방어하는 입장이 보안이라고 보면 국가든 기업이든 산업이든 간에 대상을 한정하고 특정 목적을 가지고 공격하는 것들이 늘어 나는 것이 확연한 추세라는 점이다.  글로벌화된 규모의 IT서비스 기업들의 출현은 그 기업의 서비스만을 공격하여도 성공률이 높아지는 환경을 만들었다.

 

공격의 대상은 특정 Application 이나 특정 서비스를 공격하며 얻고자 하는 것은 인터넷 사용자들의 개인정보 ( 게임계정, 금전거래, 서비스 정보) 및 기업의 중요정보의 탈취를 주된 목적으로 하고 있다. 부수적으로 공격 좀비들의 네트워크를 구성하여 규모의 봇넷을 구축하고 DDos 공격등을 통해 금전적 이득이나 힘의 과시, 협박이 일상적으로 발생 되고 있는 상황이다.

 

조금 더 가까운 미래에는 더 치명적인 일들이 발생 될 수도 있다. 사이버상에서의 영향력이 오프라인까지 전달되는 파국적인 결과를 초래 할 수도 있는데 지금까지 국제사회에서 통용되는 가난한 국가들의 무기 혹은 비대칭적인 무기로서 사이버 공격은 언제든지 전용 될 수 있을 것이다. 공격의 특징으로 꼽은 타켓화의 진행방향은 사이버 공격이 언제든 오프라인으로 확장될 수 있음을 나타내고 있다. 그 가능성은 점차 커지고 있는 상황이다.

 

통계치에 의해 공격의 특징들을 살펴보자.

 

 

버라이즌의 데이터 유출과 관련된 통계치이다. 직접적으로 내부의 데이터를 유출할 목적으로 침입을 한 경우가 72% 가량이나 된다. 기업망을 중심으로 하여 취약한 부분을 오랜 기간 (사실 지금의 웹어플리케이션의 보안 상황이면 그리 오래 걸리지 않는다.) 조사를 하고 헛점을 발견하면 직접 침입하여 정보를 유출한다. 더불어 악성코드들을 설치하거나 유포하는 행위들도 일상적으로 일어난다. 전체중 30%에 가까운 정보 유출 사고들은 랜덤한 공격을 통해 일어난다는 수치를 통해서도 현황을 극명하게 알 수 있다.

 

가치가 있는 자료인 경우에는 데이터를 유출하고 최종적으로는 악성코드를 유포하여 부수적인 정보를 획득하고 얻는 행위들이 지금까지 일반적 이였다. 국내의 경우에도 대부분 이라 할 수 있다. 목적이 무엇이냐에 따라 행위들이 달라질 뿐이지만 침입에 성공하고 제약 없이 접근이 가능한 사안이라는 점은 달라지지 않는다.

 

데이터 유출과 관련되어 사용되거나 유포된 악성코드들의 기능을 살펴본 통계는 키입력을 가로채고 직접 접근이 가능한 백도어 기능을 가지고 있는 것이 대부분이며 화면에 대한 캡쳐링 기능도 일반적으로 가지고 있다고 볼 수 있다. 거의 모든 정보의 유출이 가능한 형태이다. 사용자 PC에 설치 되는 악성코드들도 동일한 성능을 가지고 있다.

 

왜 이런 악성코드들은 무차별적으로 사용자들에게 뿌려지고 기업내부의 중요망에 설치가 되는데 보안 장비들은 탐지하지 못하는가 하는 문제제기가 된다. 앞서 계속 언급 하였듯이 공격자들의 기술진보와 기술공유는 보호 관점보다 휠씬 더 앞서 있다.

 

발견된 악성코드들의 형식은 전체의 60% 가량이 안티바이러스 제품을 피하기 위해 새로 제작 하거나 코드 수정, 압축을 통해 탐지를 회피하는 것을 볼 수 있다. 안티바이러스나 보안제품들의 탐지를 피하기 위해 수정이나 변형, 제작이 일반적인 상황이 되고 있으며 앞으로도 증가 할 것으로 볼 수 있다.

 

보안제품들의 악성코드 탐지는 대부분 시그니쳐 기반이다. 즉 알려진 유형에 대해서만 대처가 가능하다는 의미이다. 가장 오탐을 줄이고 정확성을 확보하는 방안이라서 사용 될 수 밖에 없다. 앞으로도 오랫동안.. 대안으로 휴리스틱 검진들이 나오기는 하지만 시스템이나 서비스 구조에 융화된 휴리스틱 검진은 출현하기 어렵다고 본다. 악성코드 유형 중에서 일부 오탐을 감내하더라도 압축된 방식이나 코드가 수정된 유형의 악성코드에 대해 제한적인 효과를 가질 것으로 보고 있다.

 

각 년도 별로 악성코드의 침입탐지 회피 시도 증가는 현재 버라이즌에서 조사한 실제 유출사고에서 분석된 내용이 알맹이만을 추출한 것으로 보고 있다. 2007년 이후 급격하게 증가한 탐지 회피 시도는 앞으로 더 은밀하고 생활과 밀접한 부분에도 직접적인 영향을 미치는 방향으로 전환 될 것으로 보인다. 탐지 회피 시도의 급증은 공격자들의 협력관계나 공유 정보들이 폭넓게 확산 되고 있음을 엿볼 수 있다.

 

이상과 같이 CSI 레포트와 버라이즌의 데이터 유출 조사, Cert, Sans등의 자료를 이용하여 필자가 생각하는 문제점과 방향에 대한 근거들을 설명 하였다. 지난 4~5년간의 변화를 몇 가지 자료를 이용하여 간략하게 언급 하였다. 지금 우리는 사회적, 구조적, 기술적 등등 각 방면에 걸친 대응 방안이 모아지고 미래를 위한 고민과 논의가 있어야 되나 눈 앞의 현상에만 집중하고 있는 상황이다. 대책은 획일적일 수가 없다. 정답이 없다. 현명한 자들은 변화를 끌고 나갈 것이고 그렇지 못한 자들은 끌려 갈 뿐이다. 보호를 위한 방안들도 현명하고 창의적이고 통찰력이 있어야 구체화 될 것이고 살아 남게 될 것이다.

 

항상 악성코드의 수치를 이야기 하고 탐지 횟수를 이야기 한다. 그러나 정작 중요한 것은 피해를 입었는지, 어떤 형태를 가지고 있는지, 어떤 방식을 사용 했는지가 더 중요한 자료가 된다.

보안장비에서의 탐지로그는 규모가 있다면 단 며칠, 몇 주 만에도 몇 억 건을 가볍게 넘어선다. 그러나 성공한 침입은 몇 백만분의 1도 되지 않을 것이다. 게다가 우회를 한다면 어떤 의미들이 있을까? 

단순한 보고만을 하기 위한 보안은 의미가 없다. 실제적인 역량을 갖추어야만 진짜가 된다. 그 역량을 갖추기 위해서는 변화가 어떻게 진행 되고 있고 어떤 부분을 더 노력해야 하는지에 대해서 알아야만 한다. 변화를 수용하고 받아들이고 바뀌려고 하지 않는다면 더 참혹한 결과를 볼 수 밖에 없을 것이다.

 

 

법과 규제로도 실제적인 문제는 해결 되지 않는다. 다만 모든 사고는 은폐될 뿐이다. 해결의 길은 더욱 멀어져 간다. 이게 지금의 현실 아닐까? 열정은 너무 먼 곳에 있다.

 

-       바다란 세상 가장 낮은 곳의 또 다른 이름

* 다음편은 SCADA 시스템의 위험에 대한 종합적인 시나리오를 작성 할 예정이다. 글로벌 보안 위협의 사실들이 개연성 차원에서 다수 포함 될 것이다. 그외 관심 있는 사안들이나 설명이 필요한 내용에 대해서는 블로그에 요청을 해주시면 아는 한도내에서 최대한 설명을 하도록 할 것이다. 그럼.