“가능한 추측입니다. 다만 감정적 부분도 있을 것입니다.”
로버트 메이 포티넷 부사장은 3·20 사이버 공격이 북한 소행이라는 한국 정부 발표와 관련해 이 같이 분석했다. 로버트 메이 부사장은 세계에서 발생하는 악성코드를 분석하는 포티넷의 연구센터 `포티가드`를 이끌고 있으며 3·20 사태 이후 포티넷코리아 지원을 위해 한국을 방문했다.
로버트 부사장은 “대부분 사이버 공격 진원지는 러시아 또는 중국”이라며 “물론 IP 우회 방식이나 프락시 서버 등으로 우회 공격이 가능하고 사이버 공격이라는 것이 세계 각지에서 발생되기 때문에 북한의 소행이라는 추측에 가능성이 전혀 없다고 단정지을 수는 없다”고 설명했다.
로버트 부사장은 지난 20일 오후 2시 사건이 발생한 지 9시간 만에 패치버전을 만드는 시그니처 업데이트를 완성하기도 했었다.
그는 “악성코드 샘플에서 4~5일 이전에 봇넷에 연결했던 흔적을 찾아냈다”며 “어떤 일을 하기 위해 봇넷에 연결했는지는 정확히 모르지만, 일부 악성코드가 봇넷에 연결했고 공격에 앞서 수일 전에 사전 행위가 있었다”고 전했다.
로버트 부사장은 “3·20은 관리자의 정보를 탈취한 후 악성코드로 APT공격을 감행한 것”이라면서 “추가 공격 징후는 아직 발견된 게 없다”고 덧붙였다.
그는 “관리자 아이디 탈취는 어려운 작업이 아니다. 관심만 있다면 구글 검색만으로도 찾을 수 있는 것이 관리자 탈취 정보라 단순히 관리자 정보 탈취가 중요한 것이 아니라, 그 이후에 발생한 악성코드나 지속적인 APT 공격에 주목해야 한다”고 말했다.
로버트 부사장은 국내 클라우드 보안 시장도 언급했다. 그는 국내 클라우드 보안 시장이 활성화되기 위해선 신뢰가 쌓여야 한다고 강조했다. 미국의 경우 철저한 관리 컴플라이언스 규정으로 클라우드 서비스가 점차 확산되고 있다는 것이다. 클라우드 데이터센터 자체 보안은 물론이고 고객에게 데이터를 전달하는 전 과정(Clean Pipe)의 보안도 중요하다는 게 그의 지적이다.
아마존 웹서비스 보안을 책임지는 포티넷은 현재 네트워크 게이트웨어 영역에서 하드웨어 보안을 제공할뿐만 아니라 포티웨-VM(가상머신) 버전으로 파이프라인에 전달되는 모든 데이터의 가상화(VM)보안 서비스를 제공한다.
김원석기자 stone201@etnews.com
