▲ 김동우 이글루시큐리티 연구소장

과거에는 개인용 PC를 바이러스 감염으로부터 안전하게 보호하는 것이 주된 보안 관심사였다면, 이제는 악성코드를 통해 이뤄지는 대규모 공격으로부터 기관 및 시설들을 어떻게 방어할 것인가로 보안 개념이 점차 확장되고 있다. 단순히 백신 프로그램을 설치하고 바이러스에 감염된 파일을 삭제하는 것만으로도 문제를 예방하고 해결할 수 있었던 과거와 달리, 이제는 언제 어떻게 악성코드가 침입했는지도 확인도 어려울뿐더러 정보 유출·업무 마비·중요 보존 데이터 파괴 등 치명적인 피해가 발생하게 되면서 보다 통합적인 보안에 대한 중요성이 더욱 높아지고 있다.

차세대 통합보안관리 솔루션을 제공하고 있는 이글루시큐리티도 이에 대한 대응력을 높이기 위해 지난 5월 선행기술연구소를 신설, 선행 보안위협과 차세대 보안기술에 대해 전문적으로 연구하고 있다. 연구소를 책임지고 있는 김동우 이글루시큐리티 선행기술연구소장을 만나 최근 높아만 가고 있는 보안 이슈에 대해 들어본다.

사전에 파악하여 대응한다, 선행기술연구소

이글루시큐리티가 새롭게 설립한 선행기술연구소는 빠르게 진화하고 있는 보안 위협에 대해 선제적 해결방안을 제시하기 위한 이글루시큐리티 중장기 비전의 첫 단계다. 국내외를 막론하고 최근 보안 시장 트렌드가 보안 침해사고 발생 이전부터 사고 대응 이후까지 보안 관리의 수평적 확장을 요구하다보니, 이런 시장 요구에 부응하고자 선행보안기술을 전문적으로 연구하는 선행기술연구소를 설립하게 된 것.

선행기술연구소는 보안기술연구팀과 기반기술팀으로 구성되어 있으며, 연구 인력들은 웹과 네트워크, 바이너리, 포렌식 등 해킹 분야 전문 인력과 이용자 단말 관련 기반 기술을 구현하는 개발 인력으로 구성되어 있다. 연구 인력들은 해킹 기법과 취약점 진단 및 분석, 보안 기술에 대한 풍부한 경함과 노하우를 보유하고 있으며, 이글루시큐리티는 이들의 연구 성과가 기존 사업 분야와 결합하여 시너지 효과를 낼 것으로 기대하고 있다.

선행기술연구소가 설립된 지 5개월이 지난 지금, 현재 연구소가 나아가고 있는 방향과 그간의 성과에 대해 물어봤다.

“아직 성과에 대해 말씀드릴 단계는 아닙니다. 연구소가 추구하는 방향을 말씀드리자면 공격자의 공격 기술을 파악하여 기술적으로 깊이 있는 이해를 바탕으로 한 선제적인 방어 기술을 연구하는 것입니다.

지난 3.20 전산대란 때나 6.25 사이버 테러 때도 보면 공격방식에서 공통점을 찾을 수 있습니다. 갑작스럽게 기습 공격을 감행한 것이 아닌, 오랜 기간 준비를 거쳐 단계적으로 공격을준비하고 진행했다는 것입니다.

이런 단계적인 공격은 그 중간 과정 하나만 끊어지면 발생하지 않습니다. 그렇기에 이런 중간 연결고리를 끊는 킬 체인(Kill Chain) 방식의 새로운 방어 방책들이 등장하고 있습니다.

지금은 당장 언제라고 말씀드리기 어렵지만, 머지않아 선행기술연구소를 통해 이처럼 기존에 있지 않았던 방어 방책들에 관한 성과가 나올 것입니다.”

악성코드, 다양한 경로로 침투 시도해 마침 김동우 연구소장과 인터뷰를 가지던 날 오전에도 국내 웹사이트들을 대상으로 한 대규모 디도스 공격이 발생했다는 보도가 이어졌다. 3.20과 6.25라는 큰 보안 사고를 두 번이나 겪었음에도 완벽한 대응을 하지 못하고 이처럼 지속적으로 공격을 당하는 이유는 무엇일까. 이미 APT(Advanced Persistent Threats, 지능형 지속 위협)를 비롯한 여러 공격 방식들이 알려졌음에도 불구하고 왜 매번 당하기만 하는 것인지에 대해 물어봤다.

“앞서 말씀드렸듯이 최근 공격 추세는 단계적으로 진행됩니다. 우선 공격자는 목표를 공격하기 위해 악성코드를 침투시킵니다. 침투시키는 방식은 여러 가지가 있겠지만, 3.20 때는 상용 소프트웨어(SW)가 지닌 취약점을 이용했습니다. 해당 취약점의 보안 패치가 이뤄지기 전에 공격하는 이른바 제로데이 공격을 감행한 것입니다. 이런 취약점들은 SW 제조사들이 쉽게 찾아내기 힘듭니다. 파악한다면 패치를 진행하겠지만, 몰랐기 때문에 취약점을 이처럼 공격을 받는 것입니다.”

또한 김 소장은 최근 악성코드 침투 방식이 매우 정교하면서도 다양해지고 있다고 설명했다.

“악성코드가 공격 대상에 들어가는 것은 쉽지 않습니다. 이전에는 악성코드를 목표 대상에 심기 위해 이메일을 이용한 파일 첨부 방식을 주로 활용했습니다. 그러나 이제는 의심스러운 파일이 오면 누구나 걸러낼 수 있을 정도입니다. 그러다보니 공격자들은 다른 방식을 사용하기 시작했습니다. 사람들이 많이 방문할뿐더러 잘 알고 있는 사이트에 접속만 하더라도 악성코드가 컴퓨터에 침입하게끔 하는 것입니다. 실제로 이런 방식들을 통해 악성코드가 유포되고 있으며, 이럴 경우 자신도 모르게 사용하는 컴퓨터가 좀비PC가 되는 것입니다. 이런 것들을 막기 위해서라도 선행연구가 필요한 것입니다.”

보안 이슈, 행동을 취하라

김 소장의 설명을 듣다보니 문득 내년 4월 8일자로 공식 지원이 종료되는 윈도우 XP에 대한 궁금증이 생겼다. 윈도우 운영체제는 XP 이후 비스타, 7, 8을 거쳐 현재 8.1까지 공개되어 있는 상황. 지난 2001년 출시돼 이미 13년간 사용되어온 윈도우 XP는 여전히 국내에서 20%에 가까운 점유율을 보이며 개인이나 기관 할 것 없이 사용되고 있다. 김 소장도 이에 대한 걱정이 많아 보였다.

“윈도우 XP의 공식 지원이 끝나면 더 이상 긴급 보안 패치 등 지원을 받을 수 없게 됩니다. XP를 사용하고 있는 개인이나 기관은 위협에 무방비로 노출되는 것입니다. 그렇게 되면 보안 전략 관점에서 봤을 때 리스크를 안고 그냥 계속 가든가, 반대로 운영체제를 바꿔나가든가 해야 합니다. 즉, 어떠한 행동이라도 취해야 합니다.

우리나라는 지금껏 윈도우 운영체제를 써오며 단순히 웹브라우저인 인터넷 익스플로러(IE)가 업데이트 됐을 때에도 많은 혼란을 겪어 왔습니다. 그런데 그보다 더 큰 운영체제인 윈도우 XP 대한 지원이 끊긴다는 것은 얼마나 큰 파장을 불러일으킬지 걱정이 됩니다. 얼마 전 어도비가 해킹을 당해 제품 소스코드가 유출된 적이 있습니다. 소스코드를 알고 있으면 취약점을 찾기 더욱 쉬워집니다. 이는 단순히 기업의 지적재산(IP)만 유출된 것으로 끝나는 것이 아닐 수도 있습니다.”

클라우드, 보안 이슈 해결할 수 있나

지난 10월, 한국전자통신연구원(ETRI)는 클라우드 다스(DaaS: Desktop as a Service, 서비스로의 데스크톱) 시스템을 개발 완료했다고 밝힌 바 있다. 씬 클라이언트 구축이 가능하며, 최근 증가하고 있는 외부 해킹을 근본적으로 해결할 수 있다고 한다. 이에 대해 클라우드 시스템 구축으로 정말 외부 해킹으로부터 안전할 수 있는지 물어봤다.

“클라우드 시스템을 통해 보안 이슈를 해결할 수 있다는 것은 반은 맞고 반은 그렇지 않다고 볼 수 있습니다.

작은 기업들의 경우 SW를 사용하고 있지만 이들을 잘 관리하고 있는 편은 아닙니다. 그렇기에 클라우드 시스템을 도입해 중앙에서 관리하며, 보안정책에 대해 신경 쓰는 것은 긍정적일 수 있습니다. 그러나 클라우드에는 많은 데이터들이 모입니다. 내가 만든 데이터를 내가 관리할 수 있는 것이 아니게 됩니다.

최근 공격자들은 이런 클라우드에 눈을 돌리고 있고, 또 침투하기 위해 노력하고 있습니다.

소니의 경우 이런 일도 있었습니다. 공격자가 타인 명의의 대포 카드를 이용해 클라우드 서비스에 가입하고 이용하게 된 사건입니다. 처음 어떻게 클라우드 서비스에 들어갈 수 있는지가 큰 문제였다면, 직접 클라우드 서비스에 들어갈 수 있게 되었기에 쉽게 악성코드를 유포할 수 있게 된 것입니다. 이로 인해 클라우드 사업자 입장에서는 서비스 가입자들이 공격자일 수 있으며, 이들을 걸러내야 할 필요성이 생기게 됐습니다. 과거에 필요하지 않았던 새로운 보안들이 더 필요해지게 되고, 그런 일들은 실제로 벌어지고 있습니다.”

보안, 공격 단계를 끊는 것이 중요

김 소장의 설명에 의하면 보안 이슈를 해결하기 위해서는 여러 단계로 이루어진 공격 중 한 단계를 제거함으로써 공격 자체를 원천봉쇄해야 하는 것으로 드러났다.

“APT는 단계적으로 오랜 시간에 걸쳐서 공격한다는 것이 정설입니다. 3.20이나 6.25 공격도 준비하기까지 최소 수개월은 걸렸다고 보고 있습니다.

방어하는 쪽에서 보면 짧은 시간 안에 들어오는 것들을 잘 분석해주고 필요한 보안을 하면 됐지만, 이제는 그렇지 않습니다. 스펙트럼이 넓어지고 있는 것입니다.

APT 공격은 침투부터 공격까지 보통 7단계로 이뤄지는 것으로 파악되고 있습니다. 백신 프로그램 등이 보통 6~7번째에 해당하는 마지막에서 단계에서 악성코드를 탐지하고 제거합니다. 과거에는 그것이 전부인줄로 알았지만 패러다임이 바뀌어 마지막 단계가 된 것입니다. 이제는 앞 단계에서 미리 끊거나 지연시키는 쪽으로 보안의 방향을 잡아야 합니다.”

김 소장은 이를 위해 어떻게 연구소를 운영해나갈 것인지에 대해서도 설명했다.

“연구소를 이끌면서 제가 주안점을 두는 것은 선행기술연구소에서 나온 결과물들이 기존 이글루시큐리티가 수행해오던 관제와 결합되도록 하는 것입니다. 그렇게 하기 위해서 연구소 직원들이 다른 조직과 잘 융화될 수 있어야 합니다. 또 내부적으로도 새로운 것들을 연구하기 때문에 창의성이 중요합니다. 자유로운 토론이나 브레인스토밍도 많이 하고 있는 편이며, 무엇보다 연구소 직원들이 다른 사람들의 생각도 많이 들으며 교류하게끔 하고 있습니다.”

인터뷰가 진행된 당일도 김 소장은 연구소 직원들과 함께 발표회를 가지며 다양한 의견들을 교류하고 있었다. 이 또한 연구소에서는 빼놓을 수 없는 중요한 일이다. 그렇기에 김 소장과 오랜 시간 이야기를 나눌 수는 없었지만 이글루시큐리티가 나아가려는 방향과 또 현재 보안 이슈에 대해서 심도 있게 들어볼 수 있었다. 또한 머지않아 선행기술연구소를 통해 등장할 새로운 방어 방책을 통해 우리나라 보안 수준이 한 차원 더 높아지기를 기대해본다.