대기업이 1년이 넘도록 13만대의 PC가 북한의 지능형지속위협(APT) 공격을 받고 감염된 것을 몰랐다. 컴퓨터 바이러스를 탐지하고 감시했을 것이다. 그런데도 보안 담당자나 보안 전문가도 모르는 APT라는 것이다. 과연 그럴까. 변화 관리로서 APT를 탐지하고 분석할 수 있는 것을 이야기해 보겠다.
변화는 주역(周易)에서 주제다. 변화는 영어로 `The Change`로 부른다. 세상 만물은 모두 시간이 흐름에 따라 변한다는 것이다. 마찬가지로 소프트웨어(SW) 변화 관리도 중요하다. 기업이 SW 개발과 유지·보수에 많은 자원을 투자한다. 하지만 기업은 컴퓨터 SW 자산 변화를 모른다. SW 설계, 코딩, 시험 분석 등의 절차에서 임직원 PC에 APT 악성코드 SW가 추가 실행되고 있음을 모른다. 보안에서 중요한 분야가 정보기술(IT) 자산의 변화 관리다.
APT가 아무리 은밀하게 동작하지만 기업에 있는 서버·PC에서 실행되는 것이다. 갑자기 나타난 신종 SW, 변경된 SW, 메모리에서만 실행되는 프로세스, 프로세스가 실행되며 나타난 변수, 통신 목적지 등 모든 것이 직원의 SW 자산 관리 목록으로서 갱신되고 감시돼야 한다. 관리 초기에는 APT 제로가 기본이다. 하지만 그렇지 않아도 된다. SW 자산 목록은 해당 직원 컴퓨터의 초기 프로파일이 된다.
프로파일이란 이력서와 같다. 기업에는 기업 프로파일이 존재하고, 각 직원에는 기업 프로파일 도메인에서 직원 프로파일이 있다. `삼성맨`이라면 삼성 직원이 갖춰야 하는 행동 양식이 있다. 그렇지 않은 행동을 한다면 비정상 프로파일을 보임으로써 감시 대상이 된다. 직원 PC SW와 실행 프로그램 성향이 곧 직원 프로파일이다. 예를 들어 업무용, 게임용, 인터넷 검색, 이메일, 개발, 분석 등 프로파일에 영향을 미치는 요소가 있다. 프로파일은 최장 1년이면 정의되지만 변경 사항만을 위주로 분석하기 때문에 점차 분석이 쉬워진다. 다만 비정상 행위 장기 분석이 중요한 임무다. 이것이 보안 담당자의 업무다.
모든 직원의 정상 프로파일 결과는 정상(Signal), 비정상(Noise), 분석 대상(Black List) 세 가지다. 보안 담당자는 매일 이 결과를 탐지, 분석, 감시하는 임무를 수행해야 한다. 컴퓨터 백신은 이미 알려진 악성 코드를 조사하기 때문에 신종 APT는 탐지하지 못한다. 하지만 알려진 것은 탐지한다. 추후에는 변화 주기가 매우 빠른 APT가 나타날 것이다.
한국수력원자력 사이버 테러 발생 1년 전에 중요 기관을 대상으로 APT 발견을 위한 호스트 기반 IDS를 개발하기 위해 프로젝트를 제안했지만 전문가 반대로 불발됐다. 정상 행위 탐지 기법을 이용한 비정상 SW 변화를 추적·분석하는 프로젝트였다. 여기서 중요 기관이란 에너지, 항공철도, 정부, 국방, 방산업체, 댐, 수력발전, 금융, 통신사업자, 언론사, 정부 등이다. 대부분 우리나라에서 보안 사고가 난 곳이고, 아직도 APT에 완벽한 방어를 하지 못하고 있다.
북한발 사이버테러 공격이라고 난리다. 북한이든 범죄자든 내부 직원이든 공격자가 중요하지 않다. 누군가 APT 공격을 한다면 즉각 탐지하고 제거해야 한다. 미국에서는 기반시설에 접근하는 비정상 프로세스가 있다면 즉각 시설 운영을 중단한다. 이 방법에는 해시함수를 이용한다. 누군가 공격을 하지만 즉시 제거된다면 언젠가는 공격을 중단한다. 결국 공격도 방어도 비용 문제인 것이다.
국가의 사이버보안 역량은 모든 조직의 사이버보안 역량 총합이다. 이것이 정부 거버넌스다. 유입되는 모든 APT 대응 능력도 거버넌스 범주에 들어간다. 정부는 산업 기반시설 APT 대응 역량을 핵심성과지표(KPI)로 측정할 수 있다. 하지만 아무도 조직의 SW 변화 관리를 하지 않는다. 변화 관리란 현재의 나를 알고 변화를 추적·관리하는 것이다. 이는 개인에게도 기업에도 국가에도, 또한 사이버보안에서도 가장 중요하다.
임채호 빛스캔 연구소장(전 KAIST 전산학과 초빙교수) skscogh@naver.com
