방송사와 금융사의 전산망을 일시에 마비시킨 사이버 공격이 발생한 지 일주일이 지났다. 정부는 민·관·군 합동 대응팀을 꾸려 분석에 나섰지만 배후는 여전히 오리무중이다. 누가 공격을 했는지, 어떤 이유로 방송사와 금융사를 노렸는지, 또 해커가 내부 전산망에 침투해 무엇을 했는지 어느 것 하나 명확히 밝혀진 것 없다. 추가 공격에 대한 우려가 제기되고 있는 가운데 불안과 혼란만 커지고 있는 상황이다. 본지는 26일 오전 본사에서 국내외 보안 전문가들과 함께 이번 사태의 원인과 배경을 점검하고 대응책을 논의했다.
◇참석자(가나다 순)
권석철 큐브피아 대표
김남욱 카스퍼스키랩 기술담당 이사
문종현 잉카인터넷 팀장(KISA 민관합동조사단)
윤광택 시만텍코리아 이사
진 캐서디 파이어아이 CSA(Chief Security Advisor)
사회=서동규 전자신문 비즈니스IT부 부장
#“시나리오에 의한 치밀한 공격”
◇사회(서동규 비즈니스IT부 부장)=사이버 공격에 방송사와 은행이 패닉에 빠졌다. `3·20 사태`로 규정된다. 이번 공격 방식은 어떻게 분석되는가.
◇권석철 큐브피아 대표=노리고 공격한 것이라 판단한다. 악성코드 자체는 단순했다. 데이터를 파괴하는 것이다. 하지만 전체 공격에 대한 시나리오는 정교하고 정밀했다. 정확히 계획을 실행한 그 능력에 주목해야 한다. 여러 인력이 동원됐을 것이다.
◇문종현 잉카인터넷 팀장=악성코드는 전문적이지 않았다. 복잡한 분석도 필요 없었다. MBR(마스터부트레코드)를 파괴하는 건 새로운 기법이 아니다.
◇사회=왜 공격을 단행했을까. 의도는 무엇이라 생각하나.
◇진 캐서디 파이어아이 CSA=얼마나 빨리 공격에 대응할 수 있는 지 확인하려는 목적으로 보인다. 그리고 그 효과에 대한 점검이다. 이 정도의 공격이 기업에, 또는 한국 사회에 얼마나 영향을 끼쳤는지 가늠해 보는 성격이다.
◇윤광택 시만텍코리아 이사=대응 능력을 보려 했던 거 같다는데 동의한다. 한국 내 IT 인프라가 얼마나 견고한 지, 그래서 추후에 어떤 공격이 통할 지 점검한 걸로 본다. 능력을 과시하는 해킹으로 스쳐 지나갈 사안이 아니다.
◇김남욱 카스퍼스키랩 기술담당 이사=현재까지 나타난 피해는 데이터 파괴다. 그런데 정말 피해를 주려고 했다면 위·변조가 훨씬 효과적이다. 은행계좌를 파괴하는 것보다 100만원을 1000만원으로 조작하는 게 더 큰 혼란을 일으킬 수 있단 얘기다. `내가 더 많은 짓을 할 수 있다`는 식의 메시지를 알리는데 더 무게를 둔 것 같다.
◇문 팀장=이번 공격이 테러적인 성향을 보였다는데 주목해야 한다. 금전적인 이익을 취하는 게 아니라 피해를 입히는데 중점을 둬서다. 아직 분석 중이라 공식적으로 언급하기에는 조심스럽고 신중하지만 그동안의 경험과 전체적인 흐름으로 볼 때 특정 의도를 가진 단체나 조직, 국가들이 연계돼 있을 것이란 추정을 한다. 의심되는 부분들이 많이 있다.
◇사회=왜 방송사와 금융 회사를 공격했는지도 의문이다.
◇캐서디 CSA=방송을 공격하면 미디어 노출 효과가 극대화된다. 적극적인 뉴스 보도가 뒤따를 것이고 이는 세계에 전파된다. 능력을 과시할 수 있는 것이다. 금융은 사회 기반 시설 공격과 같은 수준의 혼란을 줄 수 있는 대상이다. 은행이 가장 공격을 많이 받는 이유이기도 하다.
# 100% 방어는 없다. 입체적인 방어막 필요
◇사회=이번에 또 쟁점이 되고 있는 것이 있다. 악성코드가 일부 보안 프로그램들을 통해 유포된 것으로 나타나면서 논란이 되고 있다.
◇캐서디 CSA=확실히 과거와 다른 공격 패턴이라고 할 수 있다. 신뢰된 소스, 신뢰 받는 회사의 해킹을 시도하고 이를 이용한 침해다.
◇권 대표=좀 더 깊게 얘기하면 신뢰 받는 보안 프로그램을 통한 공격이라고 할 수 있다. 방어를 해야 할 대상이 오히려 역공격 당한 셈이다. 백신 프로그램은 누구나 쓴다. 망이 분리돼 있든 없든 모든 컴퓨터에 설치돼 있다. 이 체계를 노렸다는 점은 굉장히 공격적인 형태다.
◇윤 이사=시각을 달리해 볼 필요가 있다. 지금까지의 경과를 보면 보안 제품도 희생양이 됐다고 생각이다. 해커들은 사냥감이 많은 곳에 가서 고기를 잡으려 하지 희귀종을 잡으려 하지 않는다. 이용자가 많고 저변이 넓은 보안 제품이라는 툴을 사냥하는데 단지 이용한 것이다.
◇김 이사=대부분 보안 솔루션들이 절대 권한을 갖고 있다. 때문에 여기만 해킹을 하면 해커는 절대 권한을 얻게 된다. 오피스 프로그램 해킹보다 훨씬 효과적인 방법이다. 파괴적인 공격이 가능해진다는 얘기다. 약과 독의 경계는 종이 한 장 차이라고 한다. 말 그대로 잘 먹으면 약이지만 잘못 먹으면 독이 될 수 있다.
◇사회=후속 공격에 대한 우려가 크다. 앞으로 이어질 공격을 막아낼 수 있는가.
◇김 이사=먼저 보안 솔루션 쪽을 추가적으로 말하고 싶다. 몇 가지가 빠진 게 아닌가 싶다. 왜 악성코드가 배포 됐을까를 생각해야 한다. 백신으로 위장한 악성코드를 배포하기 전에 진짜 백신인지 확인하는 무결성 검사 등의 이슈다. 일부 보안 업체들은 현재 관리자 계정 탈취 문제라고 하지만 조사가 끝나봐야 한다.
보안 사고가 터졌을 때를 보면 항상 책임 소재가 가려지지 않는다. 가장 쉬운 게 북한에 책임을 떠넘기는 거다. 조사를 했는데도 불구하고 원인이나 누가 잘 못 했는지 가려지지 않으면 똑같이 반복된다. 책임 소재가 분명히 가려져야 한다.
◇윤 이사=공격자는 항상 대상에 접근을 해서 가장 효율적인 방법이 무엇인 지 찾았을 것이다. 만약 보안 솔루션이 없었다면 또 다른 걸 찾았을 거다. 시스템적으로 가장 효율적인 방법이 무엇인 지 말이다. 지금 책임을 이야기하기에는 이른 감이 있다. 특정 하나의 문제라고 이야기하기도 어렵다. 전체적으로 우리의 방어보다 공격이 더 강했다고 보는 게 맞다.
◇문 팀장=백신 프로그램이나 방화벽 등 무엇을 설치하든 공격자는 피해가는 방법을 찾아 들어오려 한다. 전장에 지뢰를 설치해도 지뢰 탐지기로 피할 수 있는 경로를 찾는 식이다.
중요한 것은 입체적인 방어막이다. 지뢰도 놓고 철조망도 놓는 이유가 침투를 지연하기 위해서다. 지연시키면 잡는데 더 효과적일 수 있다. 침입이 어렵도록 시간을 벌어 도둑을 검거하는 방법, 그게 사이버 보안에서도 중요하다. 하드웨어든 소프트웨어든 100% 완벽한 솔루션이란 없다.
◇권 대표=공감한다. 방어에 대한 시각 자체가 변해야 한다. 솔루션을 도입했다고 해서 관리자를 지정했다고 해서 끝이 아니다. 이 문제는 최고 경영자가 관심이 없으면 절대로 바뀌지 않는다. 전체적인 시야에서 볼 수 있어야 한다.
#사이버 공격에 대한 조기 경보 시스템 갖춰야
◇사회=화이트 해커 등 전문 인력 양성 문제도 제기되고 있다.
◇권 대표=화이트 해커 양성을 위해 정부도 많은 노력을 했다. 하지만 방법에 문제가 있다. 일반 쌀도 정부가 제공하면 정부미가 된다. 해커가 갖고 있는 자유로운 생각들을 위축시킨다. 대응, 대책만 쫓는다. 해커들이 모이는 곳에 정부가 가서 달려들어야 하는데 정부가 만든 공간에 오라는 식이다. 그러면 아무도 안 간다. 놀이터를 만들어 줘야 한다. 이는 기업이 하기 어렵다. 해커들을 흡수하지 않으면 어디로 가겠느냐. 어두운 곳에서 먼저 손을 뻗을 거다. 그러면 블랙해커가 된다.
◇캐서디 CSA=정책적인 결단이 필요하다. 국가 최고 기관에서 결정이 있어야 한다. 물리적인 전쟁처럼 사이버 공격도 할 수 있어야 한다. 우리도 충분히 공격할 수 있다고 알리고 힘을 갖추는 게 곧 효과적인 방어가 될 수 있다. 화이트 해커 양성은 중요한 문제다. 도둑처럼 생각을 할 수 있는 사람이 있어야 하기 때문이다.
그리고 국정원이나 사이버 사령부 같은 곳에서 투명하게 일을 처리하는 게 중요하다. 투명이란 정보 공유다. 정부쪽에서 알고 있는 정보나 지식들이 공개되고 공유되는 게 효과적일 수 있다. 미국은 오바마 대통령의 지시로 국가안보국(NSA), 국방부(DOD) 같은 곳에서도 해킹에 대한 정보를 공개하도록 지침을 내렸다. 외부에서도 볼 수 있게 됐다. 투명한 정보가 유통되면서 자연스럽게 대응력이 키워지는 것이다.
여기에 공격을 사전 경보할 수 있는 시스템도 있어야 한다. 예전 냉전 시대 때 미사일 발사를 사전에 감지하는 것처럼 사이버 공격에 대해 조기경보시스템이다. 빨리 외부에 알려 대비할 수 있도록 시스템을 갖추는 것이 숙제다.
◇권 대표=우리나라는 정보보안이라는 말 자체가 비밀로 취급된다. 오바마 대통령 얘기도 나왔지만 미국은 대통령이 나서 해커를 양성하겠다고 공개 선언했다. 부대를 만들고 공격하면 타격까지 하겠다고 공언했다. 우리나라는 부대가 있는 지 없는 지도 얘기를 안 한다. 우리나라에 부대가 없다면 만들어야 하고 반드시 있어야 한다. 그래야 국민들이 덜 불안해한다.
그리고 해커를 잡아야 한다. 국내 해킹 사건은 미제로 남는 경우가 너무 많다. 이래서는 또 다시 공격 대상이 될 수 있다. 해커를 검거할 수 있는 능력을 갖추고, 실제로 우리가 검거를 해서 외부의 공격자들에게 분명한 경고의 메시지를 줘야 한다.
정리=
윤건일기자 benyun@etnews.com
