Offcanvas

CSO / 보안 / 분쟁|갈등

칼럼 | 아직 '사이버 대전'은 없었을지라도... 러-우 전쟁과 CISO의 과제

2022.04.07 Rick Grinnell  |  CIO
해커와 정부 차원의 사이버 공격을 대비하기 위해 어느 때보다 경계를 강화해야 할 시점이다. 

지난 2월 말, 러시아가 우크라이나를 침공했을 때 일각에서는 막대한 사이버 공격이 일어날 것으로 예상했다. 하지만 예상과 달리 러시아의 사이버 공격은 제한적이었고, 특정 대상만을 겨냥했다. 이전부터 러시아의 대규모 사이버 공격 역량을 보여주는 사례는 여럿 있었다. 대표적인 사례는 2016년 러시아 해커가 우크라이나의 일부 전력망을 정전시킨 사건이었다. 그런데 왜 러시아는 지난 5주 동안 대규모 사이버 공격을 하지 않은 걸까?
 
ⓒPeshkov / Getty Images

일단 2월 중순 우크라이나 금융 부문에 가해진 DDoS 공격에 러시아 정보국이 관여했다는 것은 이미 알려진 사실이다. 워싱턴 포스트(Washington Post)는 러시아군의 스파이 해커가 주요 위성 광대역 서비스를 공격했다고 보도했다. 미국 정보 전문가들에 따르면 이 사이버 공격은 지난달 우크라이나의 군사 통신 활동에 차질을 빚었다.

앞으로 사이버 공격이 더 많이 일어날까?
미국 정부는 러시아의 사이버 공격 가능성에 대한 성명을 발표한 바 있다. 미국 인프라를 겨냥한 사이버 공격에 대비할 필요가 있다는 주문이었다. 백악관은 미국 기업에 “사이버 보안 방어를 강화하고, 미국인들이 의존하는 중요한 서비스의 사이버 보안과 회복력을 강화할 것”을 촉구했다.

그러나 심각한 수준의 공격은 아직 발생하지 않았다. 추정되는 이유는 여럿이다. 먼저 러시아 정부와 군대가 처음부터 간단하게 승리할 것이라 확신했을 수 있다. 신속하게 물리적인 힘만 사용해도 충분할 것이라고 가정한 것이다. 결과적으로 사이버 공격에 굳이 수고를 들일 필요가 없으리라 판단했다고 볼 수 있다.

또 다른 가능성은 전쟁이 장기화되고 있음에도 불구하고 러시아가 사이버 공격을 자제하고 있다는 분석이다. 미국과 NATO 동맹국 같은 강대국을 겨냥한 대규모 공격을 시작한다면 전쟁이 급격하게 확산될 수 있다.

러시아 침공에 맞서고 있는 방어체계가 예상보다 더 뛰어나다는 의견도 있다. 우크라이나의 방위 능력은 6년 전보다 훨씬 더 견고해졌다. 2016년 전력망 공격 사건을 계기로 우크라이나는 사이버 방어 구조를 강화하기 위해 크게 투자해왔다. 일각에서는 우크라이나 안팎에서 크라우드 소싱된 사이버 보안 인력이 러시아를 공격을 막아내는데 데 큰 도움이 되었을 수 있다고 분석한다.

하지만 이와 동시에 러시아에도 많은 해커가 사이버 공격에 참전하려고 모인 상황이다. 물론 이 해커 그룹은 아직 조직력이 부족하다. 그러나 지난 한 달 반 매우 활발하게 활동해왔으며 앞으로도 그럴 가능성이 크다. 물론 큰 피해를 줄 수 있는 주체는 러시아 정부가 구성한 조직일 것이다.

게다가 주시해야 할 곳은 러시아뿐만 아니다. 중국이 우크라이나 국방부에 속한 600개 이상의 웹사이트와 의료 및 교육 기관을 공격했다는 증거가 있다. 

한편 아직 대규모 사이버 공격이 시작되지 않았을 뿐이라는 경고의 목소리도 있다. 복잡한 대규모 사이버 공격을 기획하는 데는 많은 시간이 필요하므로 지금은 해커들이 단지 공격을 준비하고 있는 시기일 수 있다는 것이다. 

진실이 무엇이든 CISO는 해커 커뮤니티와 정부 조직이 가할 수 있는 모든 위협에 대비해야 한다. 그 어느 때보다도 더 경계를 늦추지 않아야 한다.
 
네트워크와 클라우드 시스템을 보호하라
최악의 상황에 대비하는 것은 보안 관리자들에게 최우선 사항이다. 특히 요즘 상황에는 더 그렇다. 가장 가능성이 크면서 단순한 공격은 주요 직원의 인증 정보를 해킹하는 것이다. 이 정보로 시스템 전체에 접근하여 클라우드 기반 인프라를 무력화시킬 수 있다. 그렇다면 이러한 공격에 어떻게 대비할 수 있을까? 다음 4가지 방법을 고려해볼 수 있다.

1. 직원의 ID와 인증 정보가 최대한 철저하게 보호되어 있는지 확인한다. 기본적으로 2단계 혹은 다단계 인증이 이미 적용돼 있어야 한다. 이러한 다중 인증 과정이 있어야 직원의 인증 정보가 노출되어 악용되는 것을 방지할 수 있다.

2. 직원들이 주기적으로 비밀번호를 바꾸도록 의무화하여 노출된 비밀번호가 작동하지 않게 한다.

3. 보안 사고 매뉴얼 및 프로세스를 검토한다. 많은 회사에서 보안 사고에 대응하기 위한 SOAR 솔루션을 배포했다. 공격에 효과적으로 대응할 수 있도록 실제와 같이 연습하고 훈련해야 한다. 

4. 보안 업계의 파트너 및 동료와 정보를 공유하는 것이 표준 관행으로 자리 잡아야 한다. CISO는 위협 데이터와 모범 사례를 이러한 외부 조직과 공유하는 것을 고려해야 한다. 이 관행은 많이 거론됐지만, 여전히 거부감이 크다. 산업, 회사 및 국가를 보호하는 것이 자사의 보안 문제를 드러내는 데서 오는 부담감보다 더 우선시돼야 한다.


물론 IT-ISAC 및 ISAO와 같은 업계 전문 기관은 이런 정보를 공유하고 있다. 그러나 정보 공유는 기업 수준에서도 더 활발해져야 한다. 예를 들어 업계 동료와 비공개 줌 통화로 정보를 공유할 수 있을 것이다.

사이버 보안 문제에 정부가 얼마나 더 (혹은 덜) 개입해야 할지에 대한 의견이 분분하다. 하지만 그건 또 다른 주제다. 일단 보안 관리자들은 기업의 보안을 강화하고, 항상 진화하는 보안 위험에 대비하여 파트너 회사들을 주시해야 한다. 그 어떤 사이버 공격도 방어할 수 있는 보안 프레임워크를 구축한다면 정보 설계자로서 업무 역량을 높일 수도 있을 것이다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.