2009년 발생한 7·7 디도스를 기점으로 정보보호 환경의 급격한 변화가 시작됐다. 2009년 이전의 국내 주요 정보보호 위협의 시작은 2003년 발생한 1·25 인터넷 대란으로 대표될 수 있다.
당시 공격자는 특정 국가 또는 조직을 공격목표로 해 공격을 수행하기보다 특정 소프트웨어의 기술적 취약점을 이용했고 그 과정에서 트래픽이 급증해 짧은 시간 내에 인터넷 전체에 심각한 영향을 주었다. 현재의 정보보호 체계는 이때 발생한 사건을 교훈으로 해 이러한 기술적 취약점의 탐지 및 제거를 통해 공격 표면을 최소화 하는 방향으로 발전해 왔다.
이 같은 ‘예방체계 강화 중심 보안체계’는 사고발생의 기술적 원인을 분석하고 원인을 제거해 사고의 재발을 방지하기 위한 것이다. 당시 침해사고 대응의 근본적 목적은 ‘근본원인(Root Cause)’을 제거하는 것이었다.
방어체계 우회하는 공격자
<그림>은 2009년 이후 발생한 주요 국내 정보보호 사고 사례를 시간의 흐름에 따라 나열한 것이다. 이 그림에서 나타난 2009년 이후 발생한 정보보호 주요 침해사고는 이러한 예방 체계 중심 대응의 한계를 나타내고 있다.
새로운 유형의 침해사고의 시작을 알린 7·7 디도스의 경우 공격자는 당시 대다수의 국민들이 사용하고 있던 웹하드의 업데이트 파일을 변조해 악성코드를 유포 했고, 이는 알려진 최초의 소프트웨어 기반 공급망 공격(Supply Chain Attack) 사례로 기록됐다.
이후 발생한 일련의 사건들은 그 형태만 조금씩 다를 뿐, 모두 방어자의 예방 체계를 우회한 것이었다. 사고 발생 기관은 공공·금융·민간 등 다양한 목표 기관 중 일정수준 이상의 정보보호 대응체계를 갖춘 곳임에도 자신의 예방 체계를 우회해 짧게는 몇 주에서 길게는 몇 개월 동안 공격대상 내부망에 논리적으로 상주하며 시스템 파괴, 정보유출 등 침투 목적을 달성된 이후 완료된 공격행위에 의해 사고가 드러나는 현상이 나타난다.
이러한 사례는 현재 운영되고 있는 정보보호 체계가 2009년 이후 발생하는 사이버 위협의 변화에 올바르게 대응하지 못하고 있음을 나타낸다. 기존 체계의 특징은 사고대응 과정을 통해 식별된 명시적 침해지표(IoC) 공유를 통해 공격 발생의 원인을 식별할 수 있으며 이러한 원인으로 발생하는 사고를 근본적으로 ‘예방’ 할 수 있다는 생각의 공통점을 가지고 있다.
네트워크 변화 추적해 정확한 공격 탐지·방어
예방 체계 중심의 정보보호는 ‘경험’된 사고의 재발을 방지하는 것에 중점을 두었지만, 빠른 IT환경의 변화, 경험 기반 방어체계 구축, 구축된 방어체계에 대한 공격자의 맞대응 등으로 무너졌다. 대부분의 대형사고에서 초기 침투 기법으로 활용되는 공급망 공격, 워터홀링 공격 등은 대상 기관의 수많은 운영 취약점 중 하나를 이용한다. 그러나 공격에 이용한 수법과 취약점, 공격무기는 모두 다르다. 다양한 형태의 공격을 기존 보안체계를 이용해 방어할 수 없다.
전 세계적으로 예방체계 중심 보안에서 벗어나려는 움직임이 구체화되고 있다. 각 모델별로 접근방법은 다르지만, 큰 틀에서는 개별적 전문가의 경험보다 데이터(결과)를 통한 위협 모델링을 해법으로 제시하고 있으며 이러한 변화의 중심에는 ‘데이터 사이언스’가 자리 잡고 있다.
공격자는 예방 체계를 우회한 초기 침해 이후 공격 목적을 달성하기 위해 침투한 내부망에 공격 인프라를 구축하며, 피해 네트워크 내부에 목적 달성을 위해 지속적인 변화를 발생시킨다. 이러한 내부 네트워크의 시간적 공간적 변화를 지속적으로 추적한다면 방어자는 공격자의 침투 목적이 달성되기 전 공격행위를 인지하고 대응할 수 있게 된다.
명시적 표준 없는 현재의 정보보호 체계는 마치 하나의 산에 존재하는 다양한 경로를 통해 산을 오르는 것과 같다. 각 등산로 마다 각양각색의 장애물이 있고 이를 넘어설 때 마다 개인적 깨달음을 얻는다. 하지만 이러한 경험이 주관적 한계를 넘어서지 못한다면 하나의 문제를 푸는 순간 또다른 문제를 발생시키게 된다.
경험이 끝나는 곳에서 모델이 시작되며 올바른 모델의 수립은 경험을 벗어나는 문제를 해결할 수 있게 한다. 고도로 진화하는 위협 대응에 어려움을 겪고 있는 정보보호 산업이 데이터사이언스를 통해 정보보호가 이론적 사변을 떠나 현장의 문제를 해결할 수 있기를 기대한다.
