2012.11.06

사이버 공격에 역습하기 ‘득과 실, 법률에 대한 전문가들의 견해’

Ellen Messmer | Network World

몇 가지 질문을 던져보겠다. 사이버 공격이 네트워크에 가해질 경우, 그 출처를 확인하기 위해 즉각적으로 반격을 시작하는 것이 옳은 것일까? 또 그 과정은 내부 IT 인력과 외부 보안 전문가 중 누구에게 맡겨지는 것이 효과적일까?

육군 법무감 사무관직에서 은퇴하고 현재는 변호사로 활동 중인 데이빗 윌슨은 “그들을 뒤쫓아 막고 싶을 것이다”라는 말로 이야기를 시작했다.

그는 이어 IT 및 보안 관리자들이 자신들의 권한의 한계와 현재의 법률적 제약을 이해하는데 집중할 필요가 있다는 조언을 전했다. 해커 홀티드 컨퍼런스(Hacker Halted conference)에서 연사로 나선 윌슨은 사이버 반격이라는 주제에 관해 변호사들 사이에서도 의견이 엇갈리고 있다고 이야기하며, 공격을 받은 기업들은 ‘앞으로 닥칠 사건을 예측해봐야 하며, 반격은 ‘방어의 수단'으로 이뤄져야 한다고 강조했다.

“기술적으로 가능한가? 그렇다. 그렇다면 법적으로는? 애매하지만, 역시 ‘그렇다'”라고 그는 말했다.

과거 몇몇 이들은 네트워크 기반 허니팟(honeypot)을 사용해 사이버 범죄자들에게 네트워크에 침입하는데 성공했다고 믿도록 속이는 것마저 불법이라 주장했지만, 윌슨은 이런 의견에 동의하지 않았다.

기업들은 일명 비컨(beacon), 즉 도난 발생 시 본래 위치에 이를 보고하는 문서인 ‘디지털 다이 팩(digital dye-pack)’ 등의 활용을 통해 공격자를 찾아내고 싶어할 수 있다. 하지만 IT 관리자들이 전세계의 감염 컴퓨터를 통해 공격을 조직하고 시행하는 공격자들을 어디까지 쫓을 수 있는지에 대해 답하기 어려운 문제다.

일단 미 컴퓨터 사기 남용법(U.S. Computer Fraud and Abuse Act)은 모든 미국인이(전세계 어디에서 인터넷을 사용하건) 외부 기관의 컴퓨터에 승인 받지 않은 방식으로 접근하는 것을 금지하고 있다.

그러나 윌슨에 따르면 이 법안 역시 접근 권한을 정확히 정의하는 문제에 있어서는 한계를 지닌다. 그는 이어 기업들이 자신들에게 ‘사람과 자산’을 지킬 권리가 있다는 사실을 알아야 한다고 덧붙였다. 이는 다시 말해 기업의 경영진들이 리스크나 법적 책임과 같은 법적 이슈들에 기초해 공격자를 쫓는 결정을 내릴 수 있음을 의미한다

이는 보안 산업에서는 일반적으로 ‘적극적 방어'라는 용어로 정의된다. 윌슨 역시 여러 조직들이 하나의 팀을 이뤄 적극적 방어 계획을 수립하고 자료 탐색 방안을 모색하는 방식에 지지하는 입장이다. 그는 “우선은 CEO가 이러한 문제에 최대한 익숙해질 필요가 있다. 적극적 방어는 법정에서는 문제의 소지가 발생할 수도 있는 전략이기 때문이다”라고 말했다.

자신들만의 적극적 방어 서비스를 런칭한 신생업체 크라우드스트라이크(CrowdStrike)의 CTO 드미트리 알페로비치는 이 영역에 아직 의미 있는 법률적 사례는 충분히 축적되지 않은 상황이라며 지금까지의 몇몇 사례들을 통해 피해 기업이 어느 지점까지 공격자를 추적해 대응할 수 있는지 정의해나갈 수 있을 것”이라고 말했다.

알페로비치는 “누군가 ‘총대를 매고' 사이버 공격에 적극적 방어로 대응을 펼쳐 문제를 법정으로 끌고 간다면, 의회 역시 이에 대한 인식을 재고하고 현재의 법 제도를 조정할 것이다. 마이크로소프트는 이미 몇 건의 소송에서 봇넷(botnet)을 사용하는 공격자들을 추적해 그들의 신원을 밝히는 성과를 거둔 바 있다”라고 덧붙였다.

알페로비치는 이어 적절한 억제책이 필요함을 역설했다. 국가 규모의 산업 스파이 활동이(주로 중국과 연관된) 인터넷을 통해 이뤄지고 있지만 미 정부는 정치적 이유로 이를 공론화하고 있지 않다고 그는 평가했다.

지난 몇 년간 중국의 공격자들은 미 정부와 기업의 컴퓨터에 침입해 데이터를 훔쳐가고 있지만 미 정부는 이에 대한 대응을 펼치지 않고 있다는 것이 그의 주장이다. 알페로비치는 “정부는 겨울잠을 자는 곰과 같은 모양새다”라고 말했다.




2012.11.06

사이버 공격에 역습하기 ‘득과 실, 법률에 대한 전문가들의 견해’

Ellen Messmer | Network World

몇 가지 질문을 던져보겠다. 사이버 공격이 네트워크에 가해질 경우, 그 출처를 확인하기 위해 즉각적으로 반격을 시작하는 것이 옳은 것일까? 또 그 과정은 내부 IT 인력과 외부 보안 전문가 중 누구에게 맡겨지는 것이 효과적일까?

육군 법무감 사무관직에서 은퇴하고 현재는 변호사로 활동 중인 데이빗 윌슨은 “그들을 뒤쫓아 막고 싶을 것이다”라는 말로 이야기를 시작했다.

그는 이어 IT 및 보안 관리자들이 자신들의 권한의 한계와 현재의 법률적 제약을 이해하는데 집중할 필요가 있다는 조언을 전했다. 해커 홀티드 컨퍼런스(Hacker Halted conference)에서 연사로 나선 윌슨은 사이버 반격이라는 주제에 관해 변호사들 사이에서도 의견이 엇갈리고 있다고 이야기하며, 공격을 받은 기업들은 ‘앞으로 닥칠 사건을 예측해봐야 하며, 반격은 ‘방어의 수단'으로 이뤄져야 한다고 강조했다.

“기술적으로 가능한가? 그렇다. 그렇다면 법적으로는? 애매하지만, 역시 ‘그렇다'”라고 그는 말했다.

과거 몇몇 이들은 네트워크 기반 허니팟(honeypot)을 사용해 사이버 범죄자들에게 네트워크에 침입하는데 성공했다고 믿도록 속이는 것마저 불법이라 주장했지만, 윌슨은 이런 의견에 동의하지 않았다.

기업들은 일명 비컨(beacon), 즉 도난 발생 시 본래 위치에 이를 보고하는 문서인 ‘디지털 다이 팩(digital dye-pack)’ 등의 활용을 통해 공격자를 찾아내고 싶어할 수 있다. 하지만 IT 관리자들이 전세계의 감염 컴퓨터를 통해 공격을 조직하고 시행하는 공격자들을 어디까지 쫓을 수 있는지에 대해 답하기 어려운 문제다.

일단 미 컴퓨터 사기 남용법(U.S. Computer Fraud and Abuse Act)은 모든 미국인이(전세계 어디에서 인터넷을 사용하건) 외부 기관의 컴퓨터에 승인 받지 않은 방식으로 접근하는 것을 금지하고 있다.

그러나 윌슨에 따르면 이 법안 역시 접근 권한을 정확히 정의하는 문제에 있어서는 한계를 지닌다. 그는 이어 기업들이 자신들에게 ‘사람과 자산’을 지킬 권리가 있다는 사실을 알아야 한다고 덧붙였다. 이는 다시 말해 기업의 경영진들이 리스크나 법적 책임과 같은 법적 이슈들에 기초해 공격자를 쫓는 결정을 내릴 수 있음을 의미한다

이는 보안 산업에서는 일반적으로 ‘적극적 방어'라는 용어로 정의된다. 윌슨 역시 여러 조직들이 하나의 팀을 이뤄 적극적 방어 계획을 수립하고 자료 탐색 방안을 모색하는 방식에 지지하는 입장이다. 그는 “우선은 CEO가 이러한 문제에 최대한 익숙해질 필요가 있다. 적극적 방어는 법정에서는 문제의 소지가 발생할 수도 있는 전략이기 때문이다”라고 말했다.

자신들만의 적극적 방어 서비스를 런칭한 신생업체 크라우드스트라이크(CrowdStrike)의 CTO 드미트리 알페로비치는 이 영역에 아직 의미 있는 법률적 사례는 충분히 축적되지 않은 상황이라며 지금까지의 몇몇 사례들을 통해 피해 기업이 어느 지점까지 공격자를 추적해 대응할 수 있는지 정의해나갈 수 있을 것”이라고 말했다.

알페로비치는 “누군가 ‘총대를 매고' 사이버 공격에 적극적 방어로 대응을 펼쳐 문제를 법정으로 끌고 간다면, 의회 역시 이에 대한 인식을 재고하고 현재의 법 제도를 조정할 것이다. 마이크로소프트는 이미 몇 건의 소송에서 봇넷(botnet)을 사용하는 공격자들을 추적해 그들의 신원을 밝히는 성과를 거둔 바 있다”라고 덧붙였다.

알페로비치는 이어 적절한 억제책이 필요함을 역설했다. 국가 규모의 산업 스파이 활동이(주로 중국과 연관된) 인터넷을 통해 이뤄지고 있지만 미 정부는 정치적 이유로 이를 공론화하고 있지 않다고 그는 평가했다.

지난 몇 년간 중국의 공격자들은 미 정부와 기업의 컴퓨터에 침입해 데이터를 훔쳐가고 있지만 미 정부는 이에 대한 대응을 펼치지 않고 있다는 것이 그의 주장이다. 알페로비치는 “정부는 겨울잠을 자는 곰과 같은 모양새다”라고 말했다.


X