경고! 공격 당했습니다

해킹이 우려되십니까? 이미 당했을 확률이 높습니다.

Brian Krebs
19 February 2014

기술의 변화 덕분에 다양한 플랫폼, 기기, 데이터센터 사이의 정보 공유가 쉬워졌다. 이와 같은 능력으로 속도, 편리성 및 효율성은 향상되지만 그와 동시에 해킹, 스파이 활동 및 절도의 위험도 높아지고 있다.

대부분의 기업들이 사이버 보안 침해 사고에 대해 공개하기를 꺼리고 있 지만 사이버 공격에 대한 보도는 거 의 매일 신문지상을 오르내리고 있다. 2013 년에 해킹 당한 기업은 구글, 페이스북, 소니 픽처스, 에이서 유럽법인, 미국 퍼블릭 방송 국, 피프스 써드 뱅크, 유비소프트, 세계야생 동물보호기금, 캄보디아 정부군 등 헤아릴 수 없이 많고 심지어 뉴욕 타임스도 해킹을 피해가지는 못했다.

해킹을 당할 위험은 나날이 높아가고 있다. 기업은 제품, 직원 데이터, 금융 정보, 발전 소 및 화학설비만큼이나 민감한 시스템 제 어 능력까지도 온라인을 통해 공개하고 있 다. 또한 기업은 더 많은 사람들(직원, 계약 업체, 고객)이 개인 컴퓨터 장비를 활용해 기업의 네트워크와 연결할 수 있도록 허용 한다. 다양한 동기와 다양한 목적을 지닌 해 커들로서는 해킹하지 않고서는 배길 수 없 는 조건이 조성되고 있는 것이다. 끈기를 지 닌 해커라면 감염된 이메일을 별다른 의심 없이 열어보는 직원과 같은 사소한 취약 부 분 하나만 있어도 백엔드(back-end) 데이 터베이스를 약탈할 수 있고 기업의 가장 소 중한 정보 자산을 훔칠 수 있다. 전문가들은 기업이 해킹을 당할 것인지 그렇지 않을 것 인지의 문제가 아니라는 것에 공감하고 있 다. 언제 해킹을 당할 것인지에 대한 문제인 것이다.

위협의 규모

네트워크 불법 침입 사고 발생 시 기업의 대 처 및 네트워크 보강을 지원하는 기업인 미 국 시카고의 트러스트웨이브(Trustwave)는 2013년 3월 아주 놀랄만한 평가를 내놓았다. "2012년 한 해 동안 거의 모든 산업, 국가, 데이터 유형이 모종의 침해를 당했다"는 것 이다. 안티바이러스 기업인 노턴은 사이버 범죄로 인해 전 세계가 치르는 비용이 3,880 억 달러에 달하는 것으로 추정했다. 이는 전 세계에서 거래되는 마약 규모 4,110억 달러 에 육박하는 수치다.

버라이존(Verizon)이 18개 공공 및 민간 법 집행기관과 전세계 데이터 보호 기업의 지 원을 받아 발간한 보고서인『2013년 데이터 침해 조사 보고서』에 따르면, 2012년 한 해 에만 4,400만 건의 침해사고가 일어났는데, 이 수치는 사실 확인이 가능한 경우를 합산 한 수치이므로 실제로는 침해사고 건수가 훨씬 많을 것으로 추정된다.

침해 당한 기업은 데이터 손실로 인해 심각 한 금전적 피해를 입을 수 있다. 그러나 침 해로 인한 정확한 비용은 침해 기간과 이로 인해 도둑맞은 정보가 무엇인지에 따라 달 라진다. 또한 피해를 입은 기업의 지리적 위 치에 따라서도 비용의 변동폭이 크다.

침해로 인한 금전적 피해는 차치하더라도 네트워크 침해는 지극히 파괴적인 사건이다. 미국 캘리포니아주 캠벨에 위치한 웹 애플 리케이션 보안업체 센지크(Cenzic)의 CMO 인 발라 벤카트(Bala Venkat)는 "화학 시설, 원자력 발전소, 금융회사, 보건의료 시설 어 디에서든 침해 충격은 동일하게 나타난다"고 했다. 안전성의 문제 발생 가능성 등이 1차 적으로 피해를 보게 된다는 이야기다.

Verizon’s 2013 RISK Data Breach Investigations Report

Verizon’s 2013 RISK Data Breach Investigations Report

물론, 의사의 진료실을 해커로부터 보호하는 데 필요한 방어는 화학 시설이나 원자력 발 전소를 파괴하려는 스파이의 활동을 저지하 는데 필요한 방어와는 차원이 다르다. 버라 이존의 연구 및 조사 솔루션 지식( RISK) 인 텔리전스 관리 책임자인 웨이드 베이커 (Wade Baker)는 자산을 보호하기 위해 모 두에게 통용되는 일반적인 보안을 적용하면 일부 기업에서는 필요한 수준의 보안이 이 뤄지지 않을 수 있고 또 일부 기업에서는 쓸 데 없이 많은 비용을 유발할 수 있다고 지적 했다.

“ 2012년 한 해 동안 거의 모든 산업, 국가, 데이터 유형이 모종의 침해를 당했습니다.”

트러스트웨이브
네트워크-침해 컨설팅 기업

"기업들은 '우리 회사를 공격할 만한 집단이 누구인가? 우리 회사가 보유한 데이터는 무 엇이고 누가 그 데이터를 필요로 하는가'라 고 자문해 볼 필요가 있습니다." 웨이드 베 이커는 "자문을 통해 자사에 대한 평가를 내 렸다면 '우리 회사를 공격하기 위해 위협 세 력이 활용할만한 공격 방식은 무엇인가?'라 는 질문을 던져보아야 합니다. 그 후에 가장 문제가 될 만한 위협 요소와 취약 요소를 찾 아 여기에 대한 보완 노력을 우선적으로 기 울여야 합니다."라고 덧붙였다.

해커의 기록

목표로 삼은 기업이 보호 노력을 기울이는 자료에 대해서는 관심이 없다 하더라도, 해 커들은 보호가 취약한 시스템을 이용해 은 행, 국가 전력망, 또는 중앙에서 제어하는 운 송 시스템처럼 한층 구미가 당기는 목표물 을 공격 기반으로 삼는다.

목표 대상과 공격 전략은 해커를 배후에서 조종하는 집단의 본질과 동기에 따라 변경 될 수 있다.『2013년 데이터 침해 조사 보고 서』에 따르면, 조직 범죄집단의 경우 목표 대상의 금융기록과 재판매가 가능한 하드웨 어 자원을 노리는 것으로 나타났다. 이에 비 해 사이버스파이는 보통 지적 재산과 기업 비밀을 목표로 삼는 것으로 나타났다. 위키 리크스 (WikiLeaks) 같은 핵티비스트 (hacktivist) 단체들은 목표 기업을 혼란에 빠뜨리거나 목표 기업의 인지된 또는 사실 상의 부당행위를 노출시키려는 목적을 가지 고 있다.

UN 국제전기통신연합(ITU)의 집행기구인 말 레이시아 소재 사이버 범죄 대응 국제다중 협력기구(IMPACT)의 글로벌 대응 책임자인 샤바즈 칸(Shahbaz Khan)은 이렇게 말했 다. "기업은 누가 적이고 공격의 동기가 무엇 인지를 알아야 합니다. 피해를 입히려는 존 재가 누구인지, 그리고 이러한 피해를 통해 그들이 얻을 수 있는 것이 무엇인지를 파악 한다면 기업과 그리고 기업의 정보를 지금 보다 한층 더 안전하게 보호할 수 있을 것입 니다."

클라우드로

그러나 기업의 데이터를 기업 내부에 보관 하지 않는다면 어떨까? 고객의 데이터 및 애플리케이션을 중앙집중식 서버 팜에 호스 팅하는 "클라우드 컴퓨팅" 서비스가 인기를 모으고 있는 이유 중의 하나는 유지 및 보안 비용이 많이 드는 중복 인프라를 제거할 수 있도록 지원하겠다는 보장이 있기 때문이다. 또한 클라우드 제공업체는 오늘날 한층 이 동이 많은 인력이 어느 곳에서든 인터넷을 통해 중요한 프로젝트 및 자원을 관리하고 액세스할 수 있도록 한다.

많은 보안 전문가들은 데이터 및 프로젝트 를 클라우드로 이전하면 특별한 보안 위험 이 발생한다고 경고한다. 여러 기업들의 데 이터가 단일 장소에 집중되어 있기 때문에 공격자들이 이곳을 공격하지 않고서는 배길 수 없는 조건이 조성되는 것이다. 이와는 반 대로, 기업의 가장 소중한 자산을 클라우드 컴퓨팅에 맡기는 일을 은행금고에 자산을 맡기는 일에 비유하는 전문가들도 있다. 미 국 캘리포니아주 네트워크 보안업체 포르티 넷(Fortinet)의 EMEA 위기 대응팀 선임 매 니저인 길리엄 로벳(Guillame Lovet)도 여기 에 동의했다. "자산을 집에 두는 것보다는 은 행에 맡기는 것이 더 안전합니다. 바로 그것 이 은행의 업무이기 때문입니다.

트러스트웨이브의 디지털 감식 및 사건 대응 담당 이사인 크리스 포그(Chris Pogue)는 적 어도 지금까지는 클라우드 서비스가 조직 범 죄집단의 주요 목표물로 떠오른 적이 없다고 말했다. "지금까지는 클라우드에 대한 침해 사고를 거의 보지 못했습니다. 하지만 그렇 다고 해서 앞으로도 그러리라는 법은 없습니 다. 저는 아직 경기의 초반이라고 생각합니 다. 클라우드에 대한 침해로 기업이 어떤 어 려움을 겪게 될 것인지 파악하기까지는 다소 시간이 걸릴 것이라고 봅니다."

포그는 많은 기업들이 자사의 데이터를 클 라우드로 이전하게 되면 상황이 변할 수도 있다고 지적했다. "기업을 해킹하는 대부분 의 해커들은 신속하게 빼돌려서 판매할 수 있는 데이터를 찾아 다닙니다. 그렇지만 아 직까지는 대부분의 경우 이런 데이터는 클 라우드에 없습니다."

해커가 침입했다면...어떻게 해야 하나?

이미 해킹 당했다면 보안을 담당하던 업체가 제공하던 모든 계층의 보호막이 무용지물이 된 것이다. 그렇게 되면 침해를 감지할 수 있 는 유일한 방법은 이상한 점을 파악하는 것인 데, 보통은 네트워크나 워크스테이션의 이상 작동이나 통신이상으로 나타난다. 일부 기업 들은 해커 활동을 감지할 수 있는 의심스러운 패턴을 찾아내기 위해 네트워크 트래픽을 샅 샅이 뒤지는 보안 전문가를 고용하기도 한다.

포르티넷의 길리엄 로벳은 침해가 감지되면 일단 네트워크 전원을 내리라고 조언한다. 침해 당한 시스템을 규명해 고립시킴으로써 공격의 도구로 활용되는 것을 막고, 다른 시 스템을 감염시키지 못하도록 막아야 한다는 것이다.

길리엄 로벳은 "그런 뒤에는 감식 전문가가 나서게 된다"고 설명한다. "이 때 하드 드라 이브에 대한 오프라인 분석이 이뤄지게 됩 니다. 물론 침해당한 시스템을 단순 분석한 다는 것은 충분하지 않습니다. 시스템이 의 도적으로 잘못된 정보를 제공할 수 있기 때 문이지요."

침입자들을 밖으로 내보낼 수 없다면 침해 를 최소화할 수 있는 트릭을 사용해 침입에 대비하고 신속하게 대응할 수 있도록 준비 해야 한다. 전문가들은 여러 가지 보안 기술, 인력, 그리고 절차들이 중복되는 보안 계층 을 토대로 견고한 방어막을 구축해야 한다 고 입을 모은다.

사이버 범죄 대응 국제다중협력기구의 샤바 즈 칸은, 보호해야 할 중대한 비밀 사항들이 있는 경우에는 강력한 보호 계층을 하나 이 상 보유해야 한다고 조언한다. "어떤 보안 시 스템이든 뚫릴 수 있고, 보안 장치가 없으면 안전할 수 없습니다. 여러 겹의 보안을 구축 할 수 없다면 소중한 자산을 기업 네트워크 에 보관하지 않는 방법에 대해 고려해봐야 할 것 입니다."

두번째는, 다른 사람들이 하는 방식에 만족 해서는 안 된다는 것이다. 샤바즈 칸은 이미 구축된 '모범 사례'를 따르는 것만으로는 오 늘날의 위협에 대처할 수 없다는 점을 강조 한다. 필요한 보안조치를 취해야 하지 남들 을 따라 해서는 안된다는 말이다.
세번째로, 샤바즈 칸은 기업에 상상력을 갖 추라고 조언한다. "다른 기업들이 무시하는 제어 방식 활용을 두려워해서는 안됩니다.

11 억 건

버라이즌이 보안 공격에 대한 정보를 보고하기 시작한 9년 전에는 침해건수가 2,500건이었고 침해당한 기록은 11억 건이었다.

예를 들어, 신뢰할 수 있는 플랫폼 모듈을 토 대로 한 장치 인증은 강력한 제어 계층입니 다. 구축과 관리가 비교적 쉬우면서도 해킹 의 우려가 적습니다. 단일 보안 계층에 이상 적인 솔루션보다는 불완전하더라도 여러 가 지 솔루션을 결합시키는 것이 바람직합니다.

샤바즈 칸은 마지막으로 기업이 재앙적인 상황에 대한 계획을 수립하고 이에 대비한 연습을 해야 한다고 했다. "이 계획은 전통적 인 비즈니스-연속성 계획 이상의 것입니다. 최악의 상황을 가정한 계획이기 때문에 어 쩌다 발생하는 정전을 복구하는 일과도 다 릅니다. 극한 상황에 대처하는 솔루션이자 대규모 손실에 대처하는 솔루션이기 때문입 니다."

미국 시애틀에 위치한 소프트웨어 및 하드 웨어 보장기업 아이오액티브(IoActive)의 관 리 컨설턴트인 윔 렘스(Wim Remes)는 기업 에서 가장 중요한 사이버 역량은 특정 시점 에서 신속하게 사고 대응 모드로 전환할 수 있는 능력이라고 말했다.

윔 렘스는 "어떤 규모의 기업이든 위협 요소 와 사고를 모니터하고 대응하는 다기능 팀 을 두어 필요한 경우 '위기 모드' 모델로 신 속하게 전환해야 합니다. 왜냐하면 비즈니스 를 수행하는 과정에서 침해 위협이 매우 자 주 인지되기 때문입니다. 이러한 역량을 갖 추게 되면 기업은 신속하게 위기 대응 모드 로 전환할 수 있고 기업의 핵심 비즈니스 과 정에 미치는 충격을 최소화할 수 있습니다. " 라고 말했다. ◆

브라이언 크렙스는 사이버 보안 및 조사 관 련 심층 뉴스를 전하는 일간 뉴스 사이트 KrebsonSecurity.com 에 기고하고 있다. 또 한 발간을 앞두고 있는『스팸 공화국, 그 어 느 때보다 거대해진 사이버범죄 제국의 흥 망성쇠 』의 저자이기도 하다.

국가가 지원하는 해킹

버지니아주의 보안컨설팅기업 맨디언트(Mandiant)는 2013년 발간한 보고서에서 지난 7년 동안 중국 정부가기 업 비밀을 훔치는 일에 몰두하는 해킹활동을 지원했다는 사실을 밝혀 사이버보안의 세계를 발칵 뒤집어 놓았다.

맨디언트는 보고서에서 150여 기업이 해킹을 당했다고 밝혔는데, 해킹 당한 기업에는 코카콜라와 록히드 마틴도 포함되어 있었다. 가장 충격적인 내용은 해당 해킹 팀은 전 세계 기업들을 공격하고 있는 약 24개의 중국 해킹팀 의 하나에 불과하다는 점이었다.

맨디언트의 CSO인 리처드 베틀리히(Richard Bejtlich)는 포춘 1000대 기업 가운데 약 40%가 중국 정부가 지원하는 해킹팀이 벌이는 지능형 지속 공격(advanced persistent threat, APT)의 상시 목표가 되고 있다고 밝혔다. 리처드 베틀리히는 이렇게 말했다. "해커들에게는 이런 지시가 내려집니다. '자 이게 목표물과 훔쳐야 할 정보 목록이다가. 서 찾아 오도록.'"

APT 공격은 목표물을 집중 공격하는 조직적인 해커들이 사용하는 해킹 방법이다. 이런 해커들은 주로 고부가가치의 목표물을 해킹하기 위해 기존에는 알려지지 않은 소프트웨어 및 하드웨어 취약성을 찾아내 이용하는 경우가 많다.

베틀리히는 "몇 년이 소요될 수 있는 싸움인 경우가 많습니다. 목표물이 보안을 더 강화하면 AT P해커팀은 목표물의 비즈니스 파트너를 먼저 공략하려 들 것입니다. 파트너들이 구멍을 메우면 공격팀은 외부의 기술 제공업체에 침입하려할 것입니다. 특정 국가가 노리는 목표물이 되거나 APT 수준의 공격 대상이 되었다면, 해당 기업의 경영진은 자신들이 처한 곤경이 어떤 문제를 야기하게 될 것인지에 대해 정확하게 이해하고 있어야 합니다."라고 우려했다.

다음 웹사이트에서 버라이즌의 『2013년 데이터 침해 조사 보고서』 전문을 볼 수 있다. www.verizonenterprise.com/DBIR/2013

Related resources