[월드비전]변화하는 사이버 공격

 사이버 공격이 변화하고 있다. 99년 대량의 메일을 보낸 원조인 멜리사 웜을 시작으로 세계적으로 87억달러의 피해를 봤던 러브레터 웜을 거쳐 네트워크 공격이라는 새로운 공격 형태를 보인 님다 웜과 인터넷 대란을 일으킨 슬래머 웜, 그리고 최근의 블래스터 웜에 이르기까지 사이버 공격의 형태는 점점 복잡해지고 있다.

 앞으로 사이버 공격의 확산속도가 빨라지고 피해의 폭은 넓어질 것이라는 전망에 대해서는 의문의 여지가 없다. 카네기멜론대학 침해사고대응센터의 통계에 따르면 사이버 공격과 관련한 사고는 2001년 5만2658건에서 2002년 8만2094건으로 증가했으며 올해는 1분기에만 4만2586건의 신고가 접수됐다.

 사이버 공격의 횟수가 늘고 복잡해지는 동시에 공격자들의 성향 역시 달라지고 있다. 최근까지도 뚜렷한 공격목표나 동기가 전혀 없는 아마추어가 대부분이었지만, 기업이나 정부의 핵심 기능이 온라인에서 이뤄짐에 따라 보안 전문지식이 있고, 뚜렷한 동기를 지닌 이들이 공격자로 부상할 것이다. 재정적 여유도 있고 열정도 있는 이들은 아마추어들보다는 훨씬 빨리 보안 취약점을 찾아내 공격할 것이다.

 따라서 보안 취약점을 이용한 공격이 나타나는 시간도 줄어들 전망이다. 통상적으로 보안 취약점이 알려진 이후에 실제 공격이 발생하기까지의 시간을 ‘보안 취약점 위협 기간(vulnerability threat window)’라고 부르는데 평균 6개월 정도다.

 그러나 공격자들이 재정적 여유가 있을수록 새로운 보안 취약점을 찾아낼 수 있는 자원은 더욱 풍부하며 관련 위협을 생각해내는 시간은 더욱 짧아진다. 이로 인해 결국 보안 취약점을 발견하는 순간 이를 악용한 공격을 가하고 확산시키는 ‘데이 제로(day zero)’ 위협이 발생하게 된다. 이는 소프트웨어업체, 시스템 관리자, 사용자의 대처 시간이 없어진다는 것을 의미한다.

 과거 며칠, 혹은 몇 시간 내에 확산되던 위협은 이제 앞으로 몇 분, 몇 초 내에 인터넷에서 확산될 수 있다. 올해 초에 기승을 부렸던 슬래머 웜의 감염률은 8.5초마다 2배로 불어났다. 이와 같은 위협을 사람의 힘으로 대응하는 것은 불가능하며 자동화된 방식이 제 아무리 신속하게 대처하더라도 불충분하다.

 이러한 강력한 위협에 대처하는 근본적인 방법은 사전에 적극적으로 방어하는 신기술이다. 새로운 방식의 위협이 확산되기 전에 서버나 네트워크에서 이들을 차단시키는 기술이 반드시 필요하다.

 최근 발표된 FBI 보고서에 의하면 미국 기업의 99%가 보안 소프트웨어를 사용하고 있으며 98%가 방화벽을 설치했고 73%가 침입탐지 기술을 활용하고 있다. 이는 기업들이 보안 정책을 훨씬 강화했다는 의미이다. 나아가 기업들은 중앙집중 관리와 상관관계 분석 및 자동화된 대응 체계를 갖춰나가고 있으며 조기경보, 경험적(heuristic) 추적, 정책관리와 같은 기능을 활용하고 있다.

 하지만 공격자들과 그들이 만들어내는 위협은 이보다 더욱 빠르게 지능적으로 변해가고 있다. 따라서 결코 안심할 수 없으며 오히려 더욱 경계가 필요하다. 미래에는 위협 공격이 미처 대응할 시간 여유가 거의 없거나 전혀 없을 정도로 더욱 빠르게 전파되며 특정 공격대상을 겨냥한 위협이 탄생할 가능성이 크다.

 현재 한국의 보안 현황에 비추어 볼 때 이러한 사이버 공격의 실태와 전망은 다시금 현재 보안 수준을 돌아보게 만든다. 대한상공회의소의 조사에 따르면 현재 한국 기업의 68.3%가 정보보호를 위한 위기관리가 체계가 부재하고 절반 이상의 기업이 전체 IT 예산 중 불과 5% 미만을 정보보호에 투자하고 있다. 더욱이 정보 보호 전담 조직을 설치 운영하는 기관은 15.7%에 그쳤다. 세계 최고의 IT기술과 인터넷 상용화를 자랑하고 있지만, 그에 뒷받침되어야 하는 보안 의식은 그에 못 미치는 것이다.

 사이버 공격은 점차로 강해지고, 대처할 시간도 점점 줄고 있으며, 그 피해 규모가 엄청나다는 점을 생각할 때 더 이상 향후에 일어날 대규모 사이버 공격을 두 손 놓고 기다려서는 안 된다. 사이버 공격에 대응할 만한 시간 여유가 있던 날들은 이제 사라지고 있다. 국내 기업들도 이러한 경고를 간과하지 말아야 한다.

 

◆데이비드 사익스 시만텍코리아 사장 dsykes@symantec.com

브랜드 뉴스룸