2015.02.13

칼럼 | '정교한' 공격이라서 당했다고? 진짜?

Ira Winkler | Computerworld
심각한 데이터 누출 사건이 터지면 흔히 ‘정교한’ 공격이라는 표현이 등장한다. 그러나 어지간한 공격은 모두 ‘정교’하다. 단어의 함정을 조심할 때다.

가끔 궁금해진다. 과연 ‘정교하지 않은’ 공격에도 당할 기업이 있을까? 사이버 공격을 당할 때마다 기업들은 늘 같은 핑계를 댄다. ‘공격의 방식이 매우 정교하고 교묘했다’라고.

가장 최근 타깃은 앤썸(Anthem)이었다. 앤썸 역시 이번 공격을 중국 해커들이 감행한 매우 정교하고 복잡한 공격이라고 발표했다.

타깃(Target), 소니(Sony), 홈디포(Home Depot), 미 정부 기관들 또한 공격을 당한 후 비슷한 이야길 해왔다.

이렇게 같은 이야기만 반복해대는 기관들을 보고 있자면 혹시 이들이 보안의 책임을 전가하려 하는 것은 아닌가 의심하게 된다. 해커들의 교묘한 수법에 당했다는 주장의 이면에는 평범하고 통상적인 보안 관행으로는 이들을 당해낼 수 없다는 뜻이 숨겨져 있다.

그렇지만 사실 사이버 공격이 ‘교묘하고 정교하게’느껴지는 건 보안 대비가 공격만큼 정교하고 치밀하지 못했다는 의미일 뿐이다.

사실 이들 공격을 하나하나 분석해 보면, 모든 공격이 다 그렇게 치밀하기만 했던 건 아니다. 스피어피싱(spearphishing) 메시지나 잘 알려진 취약점을 공격해 성공한 경우도 많다. 중요 시스템의 애플리케이션 화이트리스트를 작성하는 것과 같은 업계 표준조차 지키지 않거나, 다중 인증 방식을 고수하지 않았거나, IDS/IPS 툴 부족 등, 부주의로 인해 공격에 당한 것들이 오히려 흔하다.

수많은 연구 결과들을 통해 보안 인식 부재야 말로 사이버 공격의 가장 큰 취약점임이 밝혀졌음에도 불구하고, 아직도 많은 기업들은 보안 프로그램에 있어 보안 인식의 중요성을 그다지 크게 여기지 않고 있다. 이들은 틀에 박힌 피싱 시뮬레이션 교육에 의지한 채 직원들이 해커의 공격을 감지했을 때 여기에 어떻게 대응해야 하는지 등 포괄적 행동 요령은 가르치지 않고 있다.

해커들이 일단 시스템에 침투하기만 하면 전반적으로 보안이 허술한 시스템과 네트워크 보안, 취약점을 공략해 맬웨어를 설치할 수 있다. 이들 맬웨어는 보통 툴을 사용해 탐지한다. 이 일련의 과정에서 ‘복잡하고 정교한’ 부분은 없음에도, 해커는 거의 아무런 방해도 받지 않은 채 기가바이트, 심지어는 테라바이트 규모의 중요한 데이터를 쏙 빼내갈 수 있다.

그나마 최근 발생한 해킹 사건들 중 동정표를 줄 수 있는 기업은 JP모건 체이스다. 물론 JP모건 역시 공격이 발생한 후 예의 ‘복잡하고 정교한’공격에 당했다는 이야기를 하긴 했지만, 다중 인증 방식을 도입하지 않아 공격이 발생했음을 담담히 인정했다.

이러한 JP모건의 태도는 시스템관리자 PC가 해커에게 함락당해 정보 유출을 당해놓고도 이를 제대로 고지하지 않은 소니의 태도와 대비된다. 그렇지만 소니가 침묵을 지킨다 해도 소니가 다중 인증 방식을 채택하지 않고, 주기적으로 비밀번호 변경을 하지 않아 공격에 당했다는 사실은 변하지 않을 것이다.

웬만한 규모 이상의 기업을 대상으로 한 해킹 사건은 이제 사실상 모두 프로(급) 해커의 소행이다. 이들은 대부분 매우 세부적인 계획과 사전 조사를 거쳐 공격을 감행한다. 이들 공격자는 장기간 기업을 상대로 사이버 공격을 감행할 방법을 찾는다. 그렇지만 이런 계획과 준비를 거쳤다 해서 반드시 그 공격이 ‘정교한’ 공격이 되는 건 아니다. 이미 알려진 취약점을 대상으로 잘 알려진 공격 방식과 툴을 사용해 공격하는 경우가 많기 때문이다.

기업들은 이런 공격이 자주 발생하며, 지금도 일어나고 있음을 알아야 한다. 또 언제든 이런 공격의 대상이 될 수 있음을 인지해야 한다. 중요 정보나 재산, 수천 만 명의 신상 정보 등, 시스템에 중요한 데이터를 가지고 있는 기업이라면 누구나 전문적인 해킹의 대상이 될 수 있음을 인정해야 한다. 이들이 항상 교묘하고 기가 막힌 방법만 사용하는 건 아니지만, 그렇다고 예상 가능한 수법만 사용하는 것도 아니기 때문이다.

수많은 연구 보고서들은 거의 모든 주요 기업들이 중국, 러시아, 이란을 비롯한 세계 각국의 해커들의 공격 대상이 되고 있다고 밝히고 있다. 전문 해커들이 매우 조직적인 공격을 감행할 것이라는 건 이제 가능성이 아니라 사실이다.

보안 전문가로서 사이버 공격의 책임을 해커들의 정교한 공격 방식으로 돌리는 건 화나는 일이 아닐 수 없다. 마치 그러면 책임이 덜어진다는 듯이 말이다. 내게는 그것이 중요 정보 보호와 해킹 탐지 및 이에 대한 기술적, 기술외적 대응을 제대로 하지 못한 ‘피해자’ 기업을 변호하는 변명으로 들린다.

심지어 더 어처구니 없었던 건 소니 해킹사건 이후 FBI가 한 말이다. FBI는 소니가 아니더라도 전체 기업의 90% 가량은 소니가 당한 공격에 똑같이 당했을 것이라 말했다. 이러한 발표가 나를 화나게 한 건 그 이면에 이런 복잡한 공격에는 누구라도 당할 수 밖에 없다는 의미가 깔려있었기 때문이다.

그렇지만 그것은 사실이 아니다. 소니 해킹의 전말이 드러나면서, 소니가 아주 기본적인 보안 절차조차 제대로 이행하지 않았음이 분명히 드러났다. 만일 전체 기관의 90%는 소니가 당한 공격에 똑같이 당했을 것이라는 FBI의 말이 사실이라면 그건 업계 전반과 정부 기관들의 불안한 사이버 보안 실태를 나타내주는 말일 뿐이다.

물론 기업들이 모든 공격에 완벽하게 대응할 수 있는 건 아니다. 최상의 보안 프로그램을 갖췄더라도 ‘예방 가능한 공격’에서 다양한 정도의 피해가 발생할 수 있다. 이 점에 대해서는 이견이 없다. 내가 불만인 건 제대로 된 보안 관행만 있었어도 충분히 막을 수 있었던 공격을 ‘예방이 불가능한’ 공격이라고 변명하는 것이다.

JP모건 체이스 해킹 역시 예방 가능한 사건이었다. 그렇지만 모건 사를 조금 변호할 여지가 있다, 모건의 경우 그 동안 지속적인 공격의 대상이 돼 왔다. 즉 이 회사는 꽤 잘 대응해오다가 보안 프로그램의 일시적 이상으로 인해 해킹을 당했다.

스스로 복잡하고 정교한 해킹 공격의 피해자임을 자처하는 기업들에게 화가 난다. 이들이 당한 공격들은 대부분 예상 가능한 것이었고 거의 모든 기업들이 비슷한 방식의 공격을 당하고 있었다. 그럼에도 불구하고 이들은 대비하지 못했다.

솔직히 요즘 같은 때 해커의 공격을 당하지 않는 기업은 해커가 원할 만큼 중요한 정보를 갖고 있지 않을 따름이다. 이제는 미디어에서도 ‘복잡하고 정교한 공격’이라는 주장에 힘을 실어주는 대신 ‘단순한 공격’이라는 표현으로 바꿔 사용할 때가 됐다.

* Ira Winker는 보안 서비스 기업 시큐어 멘템(Secure Mentem)의 대표다. ciokr@idg.co.kr 

2015.02.13

칼럼 | '정교한' 공격이라서 당했다고? 진짜?

Ira Winkler | Computerworld
심각한 데이터 누출 사건이 터지면 흔히 ‘정교한’ 공격이라는 표현이 등장한다. 그러나 어지간한 공격은 모두 ‘정교’하다. 단어의 함정을 조심할 때다.

가끔 궁금해진다. 과연 ‘정교하지 않은’ 공격에도 당할 기업이 있을까? 사이버 공격을 당할 때마다 기업들은 늘 같은 핑계를 댄다. ‘공격의 방식이 매우 정교하고 교묘했다’라고.

가장 최근 타깃은 앤썸(Anthem)이었다. 앤썸 역시 이번 공격을 중국 해커들이 감행한 매우 정교하고 복잡한 공격이라고 발표했다.

타깃(Target), 소니(Sony), 홈디포(Home Depot), 미 정부 기관들 또한 공격을 당한 후 비슷한 이야길 해왔다.

이렇게 같은 이야기만 반복해대는 기관들을 보고 있자면 혹시 이들이 보안의 책임을 전가하려 하는 것은 아닌가 의심하게 된다. 해커들의 교묘한 수법에 당했다는 주장의 이면에는 평범하고 통상적인 보안 관행으로는 이들을 당해낼 수 없다는 뜻이 숨겨져 있다.

그렇지만 사실 사이버 공격이 ‘교묘하고 정교하게’느껴지는 건 보안 대비가 공격만큼 정교하고 치밀하지 못했다는 의미일 뿐이다.

사실 이들 공격을 하나하나 분석해 보면, 모든 공격이 다 그렇게 치밀하기만 했던 건 아니다. 스피어피싱(spearphishing) 메시지나 잘 알려진 취약점을 공격해 성공한 경우도 많다. 중요 시스템의 애플리케이션 화이트리스트를 작성하는 것과 같은 업계 표준조차 지키지 않거나, 다중 인증 방식을 고수하지 않았거나, IDS/IPS 툴 부족 등, 부주의로 인해 공격에 당한 것들이 오히려 흔하다.

수많은 연구 결과들을 통해 보안 인식 부재야 말로 사이버 공격의 가장 큰 취약점임이 밝혀졌음에도 불구하고, 아직도 많은 기업들은 보안 프로그램에 있어 보안 인식의 중요성을 그다지 크게 여기지 않고 있다. 이들은 틀에 박힌 피싱 시뮬레이션 교육에 의지한 채 직원들이 해커의 공격을 감지했을 때 여기에 어떻게 대응해야 하는지 등 포괄적 행동 요령은 가르치지 않고 있다.

해커들이 일단 시스템에 침투하기만 하면 전반적으로 보안이 허술한 시스템과 네트워크 보안, 취약점을 공략해 맬웨어를 설치할 수 있다. 이들 맬웨어는 보통 툴을 사용해 탐지한다. 이 일련의 과정에서 ‘복잡하고 정교한’ 부분은 없음에도, 해커는 거의 아무런 방해도 받지 않은 채 기가바이트, 심지어는 테라바이트 규모의 중요한 데이터를 쏙 빼내갈 수 있다.

그나마 최근 발생한 해킹 사건들 중 동정표를 줄 수 있는 기업은 JP모건 체이스다. 물론 JP모건 역시 공격이 발생한 후 예의 ‘복잡하고 정교한’공격에 당했다는 이야기를 하긴 했지만, 다중 인증 방식을 도입하지 않아 공격이 발생했음을 담담히 인정했다.

이러한 JP모건의 태도는 시스템관리자 PC가 해커에게 함락당해 정보 유출을 당해놓고도 이를 제대로 고지하지 않은 소니의 태도와 대비된다. 그렇지만 소니가 침묵을 지킨다 해도 소니가 다중 인증 방식을 채택하지 않고, 주기적으로 비밀번호 변경을 하지 않아 공격에 당했다는 사실은 변하지 않을 것이다.

웬만한 규모 이상의 기업을 대상으로 한 해킹 사건은 이제 사실상 모두 프로(급) 해커의 소행이다. 이들은 대부분 매우 세부적인 계획과 사전 조사를 거쳐 공격을 감행한다. 이들 공격자는 장기간 기업을 상대로 사이버 공격을 감행할 방법을 찾는다. 그렇지만 이런 계획과 준비를 거쳤다 해서 반드시 그 공격이 ‘정교한’ 공격이 되는 건 아니다. 이미 알려진 취약점을 대상으로 잘 알려진 공격 방식과 툴을 사용해 공격하는 경우가 많기 때문이다.

기업들은 이런 공격이 자주 발생하며, 지금도 일어나고 있음을 알아야 한다. 또 언제든 이런 공격의 대상이 될 수 있음을 인지해야 한다. 중요 정보나 재산, 수천 만 명의 신상 정보 등, 시스템에 중요한 데이터를 가지고 있는 기업이라면 누구나 전문적인 해킹의 대상이 될 수 있음을 인정해야 한다. 이들이 항상 교묘하고 기가 막힌 방법만 사용하는 건 아니지만, 그렇다고 예상 가능한 수법만 사용하는 것도 아니기 때문이다.

수많은 연구 보고서들은 거의 모든 주요 기업들이 중국, 러시아, 이란을 비롯한 세계 각국의 해커들의 공격 대상이 되고 있다고 밝히고 있다. 전문 해커들이 매우 조직적인 공격을 감행할 것이라는 건 이제 가능성이 아니라 사실이다.

보안 전문가로서 사이버 공격의 책임을 해커들의 정교한 공격 방식으로 돌리는 건 화나는 일이 아닐 수 없다. 마치 그러면 책임이 덜어진다는 듯이 말이다. 내게는 그것이 중요 정보 보호와 해킹 탐지 및 이에 대한 기술적, 기술외적 대응을 제대로 하지 못한 ‘피해자’ 기업을 변호하는 변명으로 들린다.

심지어 더 어처구니 없었던 건 소니 해킹사건 이후 FBI가 한 말이다. FBI는 소니가 아니더라도 전체 기업의 90% 가량은 소니가 당한 공격에 똑같이 당했을 것이라 말했다. 이러한 발표가 나를 화나게 한 건 그 이면에 이런 복잡한 공격에는 누구라도 당할 수 밖에 없다는 의미가 깔려있었기 때문이다.

그렇지만 그것은 사실이 아니다. 소니 해킹의 전말이 드러나면서, 소니가 아주 기본적인 보안 절차조차 제대로 이행하지 않았음이 분명히 드러났다. 만일 전체 기관의 90%는 소니가 당한 공격에 똑같이 당했을 것이라는 FBI의 말이 사실이라면 그건 업계 전반과 정부 기관들의 불안한 사이버 보안 실태를 나타내주는 말일 뿐이다.

물론 기업들이 모든 공격에 완벽하게 대응할 수 있는 건 아니다. 최상의 보안 프로그램을 갖췄더라도 ‘예방 가능한 공격’에서 다양한 정도의 피해가 발생할 수 있다. 이 점에 대해서는 이견이 없다. 내가 불만인 건 제대로 된 보안 관행만 있었어도 충분히 막을 수 있었던 공격을 ‘예방이 불가능한’ 공격이라고 변명하는 것이다.

JP모건 체이스 해킹 역시 예방 가능한 사건이었다. 그렇지만 모건 사를 조금 변호할 여지가 있다, 모건의 경우 그 동안 지속적인 공격의 대상이 돼 왔다. 즉 이 회사는 꽤 잘 대응해오다가 보안 프로그램의 일시적 이상으로 인해 해킹을 당했다.

스스로 복잡하고 정교한 해킹 공격의 피해자임을 자처하는 기업들에게 화가 난다. 이들이 당한 공격들은 대부분 예상 가능한 것이었고 거의 모든 기업들이 비슷한 방식의 공격을 당하고 있었다. 그럼에도 불구하고 이들은 대비하지 못했다.

솔직히 요즘 같은 때 해커의 공격을 당하지 않는 기업은 해커가 원할 만큼 중요한 정보를 갖고 있지 않을 따름이다. 이제는 미디어에서도 ‘복잡하고 정교한 공격’이라는 주장에 힘을 실어주는 대신 ‘단순한 공격’이라는 표현으로 바꿔 사용할 때가 됐다.

* Ira Winker는 보안 서비스 기업 시큐어 멘템(Secure Mentem)의 대표다. ciokr@idg.co.kr 

X