기고 | 사이버전쟁의 다음 희생자는 '기업'이 될 수 있다

CIO
현대는 보안 경고가 끊이지 않는 것처럼 보인다. 따라서 기업은 자사 보안팀이 국가 차원의 사이버공격에도 대비하고 신속하게 대응할 수 있도록 해야 한다.

실제 보안에 가해지는 공격 중 알 수 없는 사이버공격이나 위협에 어떻게 대비해야 할까?

이는 미국과 이란이 미사일 공격을 주고받은 마당에 우리가 모두 해야 할 질문이다. 많은 이들이 중동에 고전적인 방식의 전쟁이 발발할 가능성에 대해 (당연히) 우려하는 가운데, 보복은 사이버공간에서 발생할 공산이 크다. 그러면 우리의 네트워크와 기반시설 전체가 위험에 처할 수 있다.
 
ⓒPixabay

이러한 초기 공격이 가장 걱정스러운 것은 투명성의 부재다. 대부분 미국 상원의원은 공격이 임박한 사실을 몰랐고, 그 사실을 보고 받았을 때 많은 의원은 자신의 질문이 해결되지 않았다고 불평했다.

실제로 또는 사이버상으로 중대한 결과를 초래할 수도 있는 사건에 대해 미국 상원에 상황 보고가 안되고 있다면 주요 기업 CISO들도 상황 보고나 파악이 안되고 있다고 봐도 틀리지 않다. 이처럼 조율이 불가능한 상태에서 과연 어떻게 해야 대비할 수 있을까?
 
기지의 사실을 바탕으로 예상하기
간단한 답변은 항시 빈틈없이 하라는 것이다. 그러나 사이버전쟁의 작전에는 평소보다 높은 경계 태세가 요구되며 이를 갖추기에는 인력이나 재정이 부족한 조직이 많을 것이다.

차선의 방법은 과거의 사례를 참고하여 대비 수준을 정하는 것이다. 우리가 이미 알고 있듯이 이란은 최고 수준의 사이버 전문지식과 해킹 실력을 갖춘 국가다. 이란의 디지털 지문은 과거 주요 기반 시설을 대상으로 한 공격에 남아 있다. 예를 들면 뉴욕주 소재 댐에 가한 공격이 있고 최근에는 사우디아라비아 석유 회사 네트워크에서 이란 악성코드가 발견되기도 했다. 이란은 사우디 유전에 물리적인 공격도 감행했다. 주요한 도발 없이 실시한 공격이다.

이러한 과거의 전력과 최근 이란에서의 작전을 감안하면 CISO들은 경각심을 갖고 적절한 시스템을 마련해 사이버전쟁의 작전의 일환으로 발생할지 모를 공격에 대비해야 한다. 뭔가 대비를 해야 하는지 잘 몰랐다면, 미국 국토안보부(DHS)가 미국 회사들을 대상으로 대비를 권고 중이라는 사실을 인지하기 바란다. DHS 산하의 사이버보안 및 사회기반시설 보안기관(CISA)에서 그러한 경보를 발령한 것은 이번이 처음이다.

그런데 그러한 대비의 대상은 이란발 위협에 불과하다. 러시아, 중국, 우크라이나 등의 국가가 미국 기업에 해를 끼칠 목적으로 사이버공격을 이용한 사실도 우리는 알고 있다. 미국이 이란의 향후 행보를 주시하는 동안, 위 국가들은 미국에 공격을 감행할 틈새를 발견할 수도 있다. 미국이 더 취약해졌다고 판단하여 공격한 후 이란을 방패막이로 활용할 가능성도 있다.

일례로, 지난 10월 <파이낸셜 타임스> 보도에 따르면, 러시아 사이버첩보팀은 먼저 이란 해커들을 해킹한 후 이를 핑계로 30개국 이상에 대한 공격에 나섰다. 미국 국가안보국(NSA)과 영국 국립사이버보안센터(NCSC)에 따르면 이러한 공격은 공조를 통해 공격방식을 알아낸 후 혼란을 야기할 목적과 주요 희생자들이 다른 기지의 악성 행위자에게 책임을 돌리게 하려는 목적으로 사용되는 새로운 전술이다. 러시아, 중국 등 다른 사이버 적대 국가의 사이버 첩보 집단이 미국에 유사한 형태의 공격을 가하기는 매우 쉬울 것이다. 그러면 마치 이란이 공격한 것처럼 보이기 때문에 이란과의 긴장이 고조될 것이며 전면적인 사이버전쟁이 촉발된다.

어떻게 하면 미지의 공격에 대비할 수 있는가?
이러한 경고는 이번이 처음이었지만 이번이 마지막일 리는 없다. 정부 간 분쟁이 있을 때 보복은 주로 정부가 기업에 가할 가능성이 높다. CISO들은 국가발 사이버공격에 순식간에 대응할 수 있도록 보안 팀을 대비시켜야 한다. 매 순간 최악의 상황이 발생하리라고 가정한 절차와 기술을 마련해야 한다. 이러한 공격의 목적은 더 이상 금전적 이익이 아니기 때문이다. 유전을 파괴하는 것이든 대형 금융회사를 무너뜨리는 것이든 사업 가치 파괴가 목적이다. 국가발 공격은 사이버범죄 집단의 공격에 비해 훨씬 고도로 정교하게 수행된다. 대부분의 조직에 방어책이 마련된 마피아급 공격이 아닌 군대급 공격이다.

이러한 수준 높은 정교한 위협에 대응할 수 있는 탄력적인 시스템이 필요하다. AI와 같은 기술은 이 정도 수준으로 대비하는 데 큰 역할을 할 것이며 최악의 상황이 발생할 경우 좀더 신속하게 시스템을 복구하게 해 줄 것이다.

이와 같은 새로운 현실에서 기업들은 스스로가 전쟁의 희생자가 될 수 있다는 점을 좀더 인정할 필요가 있다. 이란의 공격은 미지의 공격에 좀더 잘 대비할 방법을 찾아야 한다는 경고였다.

이처럼 높아진 경계 태세가 지속되는 것이 정상인 상황이 되지 않기를 바라지만 그렇게 될 가능성은 인정해야 한다. 2020년의 시작과 함께 CISO 이하 보안팀들은 좀더 정교한 공격에 맞서 무기고에 있는 모든 도구로 무장하고 준비 태세를 갖춰야 한다.

*Rick Grinnell은 벤처 투자사인 클래스윙벤처스(Glasswing Ventures)의 매니징파트로 주로 보안과 기업 인프라 회사에 투자했다. ciokr@idg.co.kr