Offcanvas

보안

'불릿 타임 기법’, 사이버 공격 방어책 될까?

2012.05.08 Taylor Armerding  |  CSO
이란이 미국에 사이버 공격을 할 수 있을까? 그렇다면 인터넷 트래픽을 늦추는 이른바 '불릿 타임(Bullet time)'이라는 기법을 활용함으로써 핵심 기반 방위 시스템이 제시간에 대응하도록 할 수 있을까?

여기에 대한 의견은 제각각이다. 공격과 방어가 모두 가능하다고 하는 전문가도, 공격과 방어 모두 불가능하다고 하는 전문가도 있다.

사이버보안 분야 전문들에 따르면 이란은 미국을 상대로 큰 타격을 입히는 군사 공격을 할 능력을 갖추고 있지 않다. 정부 주장도 마찬가지다. 그러나 일부 전문가들은 전력 그리드나 금융 시스템 같이 핵심 자산을 통제하고 있는 컴퓨터 네트워크에는 피해를 입힐 수 있다고 말하고 있다다.

미국 국방부(Department of Defense)의 사이버분쟁 전문가인 제프리 카는 지난 내셔널 퍼블릭 라디오(National Public Interview)와의 인터뷰에서 "이란은 사이버전쟁의 강자가 될 수 있는 자원과 역량을 갖고 있다"라고 지적했다.

또 NPR 방송에 따르면, 제임스 클래퍼 미국 국가정보국 국장은 의회에서 "이란은 미국에 사이버 공격을 감행할 의도와 역량을 모두 갖추고 있다. 이는 최근 부쩍 늘어나고 있는 추세다"라고 강조했다.

그는 이란이 반체제 인사를 추적하고, 트위터와 웹사이트를 차단하고, 정교한 사이버 공격을 감행할 능력을 갖고 있다고 설명했다. 사이버보안 전문가들은 이란이 미국의 전력 그리드를 붕괴시킬 능력을 갖고 있다면서도 그러나 금융 시스템을 해킹할 정도는 된다고 말하고 있다.

한편 미국 과학 저널(New Scientis)은이 이번 주 발표한 저널에 따르면, 툴사 대학(University of Tulsa)의 보안 엔지니어들은 악성 데이터를 포함해 인터넷 트래픽을 늦춤으로써, 네트워크가 공격에 대처할 수 있는 시간을 벌어주는 방법을 개발했다.

이 기법에는 영화 매트릭스에서 주인공인 키아누 리브스가 시간을 늦춰 총알을 피하는 장면에서 착안해 '불릿 타임'이라는 이름이 붙여졌다. 툴사 대학의 수지트 셰노이는 시스템을 쉽게 저렴하게 설정할 수는 없지만, 악성 공격 트래픽을 몇 밀리초만 늦춰도 고속 명령을 통해 정교한 네트워크 방어 메카니즘을 구축할 수 있다고 말했다다.

그러나 보안 소프트웨어 컨설팅 회사인 시지탈(Cigital)의 게리 맥그로우 CTO는 불릿 타임이 비싸냐, 어려우냐가 문제가 아니라 이런 메카니즘이 제 기능을 할 것이라고 생각하는 것 자체가 우스운 일이라고 지적했다.

맥그로우는 "우스운 착상이다. 사이버 공격은 밀리초 단위가 아니다. (초당 1조에 해당하는) 피코초 단위다. 또 인터넷 프로토콜로 트래픽을 늦추면 다른 모든 것들이 늦춰지기 마련다"라고 설명했다.

FISMA(Federal Information Security Management Act)페디아의 단 필포트 에디터는 맥그로우만큼 거칠게 악평을 하지는 않았다. 그러나 불릿 타임이라는 개념이 흥미롭기는 하지만 아주 제한적인 상황에서만 효과적인 대책이 될 수 있을 것이라고 말했다. 필포트는 "공격에 대한 대응이 문제가 아니라, 공격이 발생했을 때 이를 알아차리는 것이 문제다"라고 그 이유를 설명했다.

맥그로우는 또 이란이 아주 심각한 사이버 공격을 할 수 있다는 생각 자체가 우스운 것이라고 덧붙였다. 맥그로우는 지난 2010년 이란 원자력 발전소의 원심분리기 1/5을 쓸어버린 스턱스넷(Stuxnet) 웜 사건을 예로 들며 "이란은 자국의 원자력 시설조차 방어를 하지 못했다"라고 강조했다.

그는 이란이 그 사건 이후 사이버 보안 역량을 발전시킨 것은 사실일 것이라며 “그러나 발전을 시키지 않았다는 것 자체가 말이 되지 않는다. 그러나 그렇다 하더라도 정교한 공격을 할 수 있는 능력은 개발하지 못했다"라고 덧붙였다.

필리포트는 이런 의견에 전적으로 동의하지는 않았다. 그는 "이란에는 교육 받은 인적 자원과 컴퓨터가 많다. 따라서 공격을 할 수 있는 능력을 가지고 있을 수 있다. 고립된 종교 국가이기 때문에 사이버 공격을 위한 메카니즘을 갖고 있는지 알 길은 없다. 그러나 가능성을 배제할 수는 없다"라고 설명했다. 그러면서 "나는 이란이 사이버 공격에 필요한 능력을 가지고 있다는 정부 전문가들의 손을 들어주겠다"고 덧붙였다.

두 사람 모두 의견이 일치한 부분도 있었다. 특히 전력 그리드를 중심으로 사이버 방어 능력을 개선할 필요가 있다는 것이다. 맥그로우는 전력 그리드보다 금융 시스템이 더 취약하다고 말하는 사람들은 구시대의 잔재에서 벗어나지 못한 사고를 하고 있는 것이라고 지적했다. 그는 "금융 산업이 전력 그리드보다 더 나은 방어 능력을 보유하고 있다"라고 말했다.

필리포트는 "에너지 시설의 보안 능력은 기준 이하이다. 사이버 공격에 대처할 수 있도록 구축된 시설이 많지 않은 실정이다. 아주 기초적인 공격에도 붕괴가 될 수 있다"고 지적했다.

맥그로우는 "핵심 기반 시설을 사이버 공격으로부터 보호하는 최선의 방법은 쉽게 무너지지 않는 메카니즘을 구축하는 것이다. 물론 취약성이 일체 없는 장치를 구축한다는 것은 불가능하다. 하지만 공격이 쉽지 않도록 만들 수는 있다. 공격이 힘들어 비용이 올라간다면, 해커들은 다른 장소를 찾을 것이다"고 설명했다.

필리포트 이어 "공격을 어렵게 만드는 것이 중요하다"고 강조했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.