새해에도 망분리 의무화 바람은 비껴가기 어려울 것 같다. 3·20사이버테러와 6·25청와대 홈페이지 해킹에 따른 후폭풍이다.
일명 지능형 지속 공격이라 불리는 APT 공격은 체계(조직)를 갖추고 있는 것이 일반적이다. 특정하고 분명한 악의적인 목적을 갖고 정확한 목표를 대상으로 장기간에 걸친 지속적이고 지능적인 공격이기 때문에 방어가 어렵고 그 피해 규모도 엄청나다.
더욱이 APT 공격에 주로 사용되는 악성코드의 진화속도는 비상식적으로 가속도를 붙여 아직도 진화 중이다. 하루에만 생산되는 알려지지 않은 악성코드는 약 2만~3만개에 이른다. 반면에 백신은 고작해야 하루 200개 정도 생산된다. 이 엄청난 차이는 알려지지 않은(Unknown) 악성코드의 존재를 만들어 냈다. 심지어 생성되는 방식도 진화돼 의외로 간단하다.
이를 악용해 개인정보시스템에 대한 높은 접근 권한을 갖고 있는 개인정보취급자의 계정을 해킹해 대량의 개인정보 유출을 시도하거나 기업의 내부 기밀정보를 빼돌리는 등 사이버테러가 속출한다.
특히 금융권을 대상으로 가해지고 있는 사이버 공격은 전산시스템을 파괴해 금융대란을 일으키거나 정보를 빼내 금전적 이득을 노리는 등 국가적 손실과 함께 사회혼란을 일으키기 충분히 위협적이다. 이 때문에 금융, 공공기관 등은 내부 전산망을 업무용과 인터넷용으로 분리시키는 망분리를 의무화해 업무환경을 구축하고 있다.
이 방법이 과연 최선일까. 답은 `현재로서는 그렇다`이다. 인터넷 망과 업무 망을 분리함으로써 혹시나 있을지 모르는 감염을 원천봉쇄하자는 취지다. 단순하지만 최상의 논리이다.
하지만 망분리에는 분명 구멍(Hole)이 있다. 사람이 사용하기 때문이다. 어디선가 사람의 실수에 의해 악성코드가 유입될 가능성이 전무하다고 단정짓기 어렵다. 또 망분리로 분리된 전산망 간에 자료이동이 요구될 수도 있다. 분리된 망 사이에 악성코드가 유입된다면 당초 취지가 무색해진다. 이 때문에 망연계 시스템 또는 보안USB를 통해 자료 전송시 악성코드 탐지솔루션으로 백신(AV)만을 사용해야한다.
백신은 시그니처 기반의 패턴매칭 기술을 사용한다. 문제는 미리 갖고 있는 범죄자 리스트에 없는 초범 악성코드는 걸러낼 수가 없다. 결국 망분리를 하더라도 알려지지 않은 악성코드의 유입에는 자유로울 수 없다. 기술적 관점에서 이는 망분리를 하지 않는 것과 동일하다.
그렇다면 어떻게 자료를 안전하게 전송할 것인가. 망분리 효과를 누리기 위해서는 악성코드 탐지와 차단은 필수조건이다. 그리고 악성코드를 실시간 탐지하고 차단하는 것이 관건이다.
여기서 한 가지 의문이 생긴다. 어떤 기술이 알려지지 않는 악성코드를 실시간 탐지할 수 있는가? `샌드박스(Sandbox)` 기술에 답이 있다고 생각한다. 이 기술은 사용자 환경과 유사한 가상머신(VM)을 구성해 이 위에서 악성코드를 구동해 시스템에 어떤 영향을 미치는 지를 분석해낸다. 즉, 가상환경에서 먼저 구동을 해본 이후 행위를 분석하기 때문에 알려지지 않은 형태의 공격을 탐지할 수 있다.
물론 백신이 필요없다는 말은 아니다. 악성코드 차단 후 해당 악성코드를 치료하는 백신은 당연히 필요하다.
망분리의 취지를 배가하려면 백신을 반드시 사용하고 알려지지 않은 악성코드를 탐지하고 차단하는 APT 솔루션까지 통합해 보안의 완결성을 높이는 길밖에 없다.
전익찬 더보안 대표 ikchan@theboan.com
etnews기자
