지능적 해커, 복잡한 IT 환경 사이에서 보안 지키기

Responsive Security, Be Ready to be Secure 

당신은 보안에 대해 즉각 반응할 수 있는가? 또한 당신은 보안에 관해 지금 당장 준비가 되어 있나? 

아마 보안에 관해서 항상 따라다니는 문구일지도 모른다. 

11월 18일~19일 코엑스 그랜드볼룸에서 미래창조과학부와 안전행정부 주최로 열린 <제7회 국제 사이버 시큐리티 컨퍼런스(ISEC)>에서 시스코시스템즈 싱가포르의 Meng-Chow Kang은 이 주제로 강연을 했다. 

Meng-Chow Kang는 "방어를 통해 시스템에 대한 이해가 필요하다. 또한 모든 계층에 관해 보호가 필요하다. 만약 한 계층이 보안이 잘되어 있지 않아 취약하다면 그 곳으로 침투가 가능하다. 하지만 방어는 매우 복잡하며, 복잡하다는 것은 새로운 이슈를 찾을 수 있다는 의미이다."라고 하였다. 다음은 주요 내용.

인간의 행동은 매우 예측하기 힘들며, 이런 복잡성으로 불확실성이 야기된다. 이처럼 컴퓨터 또한 복잡한 시스템 내에서 알 수 없는 미래가 예측된다. 예측을 하고 방어를 해도 100% 정확할 수는 없다. 만약 예측한 부분을 방어했지만 다른 곳에 변화를 준다면 다른 부분에도 영향을 끼치게 된다. 네트워크 계층은 모두 상호 연관되어 있기 때문이다. 이에 따라 하나의 변화가 나머지 계층에도 영향을 준다. 나비효과가 예가 될 수 있다. 한국에서 어떤 일이 벌어졌을 때 기후 요건이 영향을 줄 수 있다. 하지만 기후는 쉽게 예측할 수 없다. 서로 취약성 연결고리가 매우 취약하다. 

보안을 위해서는 리스크 기반의 접근법을 취해야 한다. 모든 것이 완벽할 수 없기 때문에 평가를 할 수 없다. 평가를 한다는 것은 위험 기반으로 한다는 것이다. 주어진 환경, 시스템, 데이터를 가지고 어떠한 잠재적인 문제점이 있을까? 탐지 가능한 위험들이 대응 가능한 것인가? 큰 영향을 줄 것인가 낮은 영향을 줄 것인가?를 차트로 만들어볼 수 있다. 

이 같은 이슈를 해결할 때 과거의 경험과 지식을 기반으로 하는 접근법을 사용하게 된다. 예를 들어 초보운전자는 경험이 없어 매우 위험하지만 수 년 간의 운전 경험이 있는 사람은 리스크가 상당히 줄어든다. 이처럼 과거의 경험과 지식을 사용하는 접근법은 상당히 주관적이고 몇몇의 상황만으로 분석을 하기 때문에 리스크가 매우 크다. 이 접근법을 보완하기 위해서는 과거의 요소뿐만 아니라 많은 것을 참조해야 한다. 

우리가 아는 것은 제한적이며 해커는 우리가 모르는 것을 알 수도 있다. 따라서 위험을 피해 갈 수 없으므로 새로운 취약성을 겨냥한 기술이 필요하다. 해커는 계속 새로운 취약성을 찾고, 발견하면 이것을 팔기도 한다. 이런 방식으로 암시장이 형성되고 몇 개월 후 새로운 취약성을 판매하고 다시 취약성을 찾는 방식을 사용하기 때문에 우리가 접근하기 힘들다. 이러한 악순환을 우리는 끊어야 한다. 정보가 침해되는 대가가 너무 크기 때문이다. 

이러한 접근 말고 반응형 보안이 있다. 리스크의 보이는 부분을 포착해야 하고 이에 대해 대책을 세워야 한다. 즉, 어떤 식의 공격이 올 것이며, 다음 공격은 어떤 공격인지 항상 생각하고 분석하고 탐지해야 한다.

쓰나미를 예로 들 수 있다. 쓰나미가 오기 전 밀물이 크게 작용하며 닭, 돼지 등 동물은 모두 숨었지만, 인간은 알아차리지 못 했으며 대응하지도 못 했다. 이처럼 이벤트를 간파하지 못 한다는 것, 정상적인 상황과 그렇지 못한 상황의 차이점을 모른다는 것 때문에 반응을 하지 못 한다. 

일반적으로 사람은 다양한 리스크에 반응을 하므로 인식 제고 교육을 하기보다는 자신감을 주어 자신있게 반응하도록 해야 한다. 반응형의 보안을 통해 사건에 대응하는 효율성을 최소화할 수 있고 복구 시간을 단축할 수 있다. 하지만 실제로는 이 같은 모든 이슈를 해결할 수 없으므로 항상 주의 깊게 보고 간파하는 것이 중요하다. 

마지막으로 해커는 모든 힘을 가지고 있고 우리는 그에 대응하기 위해 민감하게 전략을 짜고 반응해야 하며 빠르게 적응을 해야 한다. Ahn

 

대학생기자 최주연 / 서원대 정보통신공학과