거듭되는 보안 사고를 계기로 보안 강화를 위한 다양한 방안이 모색되고 있다. 중요한 것은 보다 장기적인 관점에서 발전적인 대책들이 검토되고 논의돼야 한다는 것이다. 신속한 대응 체계 마련이나 처벌 규정 강화에 초점이 맞춰지기 보다는 반복되는 사고를 근본적으로 막을 수 있는 방안에 대한 논의가 절실하다. 사후(事後) 대응은 말 그대로 일이 끝난 뒤의 대응인 만큼 어떠한 형태든 피해가 남을 수밖에 없다.
이러한 한계를 극복할 수 있는 대안으로 선제적 대응이 제시되고 있다. `사이버 킬 체인(Cyber Kill Chain)`이라 불리는 이 방식은 사고가 발생하기 이전에 그것을 미리 감지하고 선제적으로 대응에 나서 침해 시도나 정보 유출 자체를 원천 차단한다는 것이다.
국방 분야에서 북한의 핵 위협에 대응하기 위해 도입한 `킬 체인`은 핵이나 미사일로 공격의 징후가 보이면 해당 시설에 대한 탐지와 타격을 30분 내에 완료하는 일련의 공격형 방어시스템이다. 사이버 킬 체인은 사이버 공격 역시 단계별로 공격자들의 진행 절차가 있고, 그 중 하나를 사전에 제거할 경우 실제 공격까지 이어지지 않는다는 점에 착안했다. 최근의 사이버 공격이 장기간 동안 여러 단계에 걸쳐 이뤄진다는 점에서 충분히 일리가 있는 접근 방식이다.
사이버 킬 체인은 취약점 파악, 악성코드 유입, 침입, 정보 탈취 등 공격의 모든 단계를 성공적으로 수행해야만 완전한 사이버 공격이 가능해진다는 사실을 역으로 이용한다. 이 때문에 공격 과정의 초기 단계를 방어할 경우 공격자는 모든 것을 원점에서 재시작해야 한다. 특히 더 빠른 단계에서 공격을 차단할 경우 효과는 더욱 커지고, 공격자가 가진 정보가 적을수록 공격의 성공률도 낮아진다.
사이버 킬 체인을 도입하는 것은 결코 국가 기관이나 공공 기관, 대기업 등에만 해당되는 사안이 아니다. 이는 자원과 비용의 문제가 아닌 프로세스의 문제이기 때문에 중소기업이라 하더라도 작은 단계부터 차근히 접근한다면 훌륭한 선제 대응 능력을 갖출 수 있다.
우선 보유 중인 데이터와 자원 중에 공격자가 탈취하길 원하는 정보가 있는지, 그것이 어떠한 정보인지를 파악해야 한다. 그래야만 공격자의 유형 혹은 접근 방법에 대한 예측이 가능해 진다. 또 주기적으로 보유 IT 자산의 현황을 점검하고 일괄 업데이트를 진행해야 한다. 내부 IT 자산과 네트워크에 대한 완벽한 이해가 갖춰져야 사전에 취약점을 파악하고 공격의 여지를 제거할 수 있기 때문이다.
내부 보안 정책과 직원의 업무 활동도 점검해야 한다. 보안의 가장 큰 취약점 중 하나가 사람이고 내부 네트워크에 악성코드를 유입시키는 경로로 사람이 자주 활용된다. 따라서 기업 환경에 적합한 내부 보안 정책을 수립하고 그것을 직원들이 완벽히 준수할 수 있도록 적절한 통제와 관리가 함께 이뤄져야 한다.
마지막으로 개별 단위의 보안 장비에 의존하지 말고 보다 포괄적인 시각으로 여러 단계에 걸쳐 정밀하게 계획된 공격의 전체 그림을 파악할 수 있는 보안 관리 체계를 갖춰야 한다.
상당수의 기업들이 보안 관련 예산을 늘려가고 있지만 이제는 사후 대응이 아닌 선제적 대응에 대한 보안 투자를 적극적으로 고려해 봐야 할 때다.
이득춘 이글루시큐리티 대표 dclee@igloosec.com
