큰 보안 사고가 사라졌다. 지난 2009년 7·7 디도스 대란, 2013년 3·20 전산 대란과 같은 보안 사고는 최근 몇 년 사이 찾아보기 어려워졌다. 산발적 개인정보 유출 사고나 랜섬웨어 감염 사고가 주를 이룬다.
7·7 디도스 대란은 국가 전체에 큰 피해를 끼쳤다. 우리나라 정부는 이를 계기로 '정보보호의 날'을 제정했다. 3·20 전산 대란은 금융권 전산망을 마비시켜 우리나라 금융사들의 보안 수준을 한층 끌어올리는 계기를 마련했다. 그러나 이 같은 대형 사고 소식은 더 이상 들리지 않는다.
보안 전문가들은 공격자 입장에서 대규모 공격을 감행해야 할 필요성이 없어졌기 때문이라고 분석하고 있다. 기업 내부 네트워크에 서식하다 필요한 특정 순간에 필요한 특정 정보만 빼내는 편이 이익을 극대화하는 방법이라는 것이다. 이미 침투한 기업은 다른 기업을 공격하기 위한 근거지로도 삼을 수 있다. 큰 피해를 주면 주목 받고 보안이 강화돼 오히려 접근성과 활용도가 떨어진다. 공격하는 입장에서 입지가 줄어드는 일이다.
글로벌 보안 업체 태니엄에 따르면 공격자는 보안 사고가 드러나기 9개월 전에 이미 피해 기업 네트워크에 침투했다. 한국인터넷진흥원(KISA) 역시 랜섬웨어 감염 사고 발생 시 공격자가 평균 1년 전부터 피해 기업 네트워크에 침투한다고 분석했다. 외부로 드러나는 보안 사고조차 약 9개월에서 1년 앞서 진행된 셈이다.
지능형지속위협(APT)은 그동안 주로 국가 대상으로 발생했다. 이제는 수익성과 활용도가 높은 민간 기업 대상으로 빈발하고 있다. 아이디·패스워드 유출과 같은 작은 침해 사고는 보안 사고가 지속적으로 발생하는 밑거름이 된다.
보안은 갈수록 장기전이 되고 있다. 큰 사고가 터지고 사회 전체가 보안 경각심을 가질 만한 기회는 점차 사라진다. 그 대신 은밀하고 지속적으로 침해에 노출돼 공격자에게 우위를 조금씩 넘겨주는 구조로 바뀌고 있다.
공격이 장기전으로 바뀌고 있다는 사실을 역으로 생각하면 그만큼 대비할 시간도 있다. 공격자가 수면 아래에 잠복해 있는 동안 보안 조치를 취할 수 있다. 기업이 보안의 중요성을 인지하고 조치에 나서는 순간 공격자보다 우위에 서게 된다. 지금 점검해야 한다.
오다인기자 ohdain@etnews.com
