▲ 인포섹 신수정 대표이사

올해 2월 세계에서 가장 큰 보안 컨퍼런스로 알려진 RSA컨퍼런스에 참석했을 때이다. '보안'관련 세계적인 전문가들이 거의 모두 모여 서로의 의견들을 디스커션하는 자리에 참여한다는 것은 매우 흥미로운 일이다.
그 중 필자에게는 카스퍼스키사의 창립자인 유진 카스퍼스키의 강연이 가장 흥미로왔다.

그의 인상은 매우 마음씨 좋은 아저씨 같았다. 퉁퉁한 얼굴에 배도 많이 나왔다. 서구권 주위에서 쉽게 볼수 있는 배나온 아저씨 같았다. 강연도 유머를 섞어가면서 동유럽계의 악센트를 섞은 영어로 재미있게 했다. 그러나 중간중간 번뜩이는 눈매를 느낀 순간 실제로는 매우 무섭고 날카로운 사람이라는 느낌을 받았다.

그는 이제 사이버 공격은 더 이상 'script kiddie'에 의해 주도되지 않음을 명확히 말하였다. 그 자리를 'cyber criminal'이나 '테러리스트' 심지어 '국가 기관'이 점차 메꾸고 있음을 말하였다. 전세계의 악성코드들을 분석하는 회사의 CEO로서 그는 전세계 악성코드들의 흐름을 그 누구보다도 잘 알고 있을 수 밖에 없다. 그리고 최근의 악성코드들은 장난이나 흥미로움, 호기심이나 지적탐구, 좀도둑의 영역을 넘어가고 있음을 명확히 이해한 것이다. 또한 이러한 변화가 단지 돈을 노리는 전문해커로 바뀐것이 아니라 불행히도 한 단계를 더 건너뛰어서 범죄집단이나 국가 차원으로 넘어가고 있음을 그는 파악하였던 것이다.

다시 말하면 더 이상 사이버 해킹의 세계가 '좀도둑'들에 의해 지배되지 않는다는 것이다. 이 세계에 진짜 강자들이 들어오게 된 것이다. 예를 들어 학생깡패나 좀도둑들이 활개치던 세상에 마피아나 오사마 빈 라덴, 또는 국가 정보기관이 들어왔다라고 생각하면 될 것이다.

그렇다면 이 강자들은 무엇을 할까? 좀도둑들은 담을 넘고 문을 따는 정도이지만 강자들은 그렇게 하지 않는다. 강자들은 은행을 털고, 더 강자들은 국가를 마비시킨다. 그러므로 이제 강자들은 '악성코드'를 만드는 것이 아니라 '무기'를 만든다. 이에 카스퍼스키는 '악성코드'라는 표현보다도 'cyber weapon'이라는 표현을 사용하였다.

이미 몇몇 단체들과 몇몇 국가들은 'cyber weapon'을 만들고 있다. 물리적 세계의 대포와 미사일, 핵무기를 만들듯이 사이버 상에서의 미사일과 핵무기를 만들고 있는 것이다.

이 'cyber weapon' 은 어떤 특징을 가지고 있을까? 그는 ABC로 표현했다.

A: attribution almost impossible - 도대체 이 무기를 어느 국가의 누가 만들었는지 파악하기 어렵다. 미사일이나 핵무기는 어느 국가가 만들었는지 상대적으로 파악하기 쉽지만 사이버상의 무기는 도대체 누가 만들었는지 파악하기 어렵다.

B: boomerang effect- 재미있게도 자신이 만든 사이버 무기는 공격용이지만 자칫 공격을 받을 수도 있다. 즉, 이 무기로 공격받는 곳에서 이 코드를 분석하여 자신들의 무기로 만들 수 있기 때문이다.

C: collateral damage- 이 무기는 한곳이 아니라 여러 곳으로 자기복제하여 확산 파괴할 수 있다.
D: defense much harder- 방어가 훨씬 어렵다. 근본적인 방어는 인터넷을 끊은 것이다.
E: ease of development- 적은 투자로 개발하기 쉽다.

특히 E의 특성은 재미있다. 대포나 미사일을 만들기 위해서는 수 많은 인력과 재료가 투입된다. 물리적 시설과 실험시설이 요구된다. 그러나 사이버 무기는 개발자들과 컴퓨터만 있으면 된다. 이에 투자비용이 훨씬 적게 든다는 것이다.

이러한 사이버 무기들은 각 국, 각 단체에서 본격적으로 개발되고 있어, 향후 사이버 세계에 큰 지각변동을 가져올 것이며, 국가적인 차원에서도 위협이 될 것이다. 기업이나 국가는 이러한 이슈들을 잘 모니터링하고 대응전략을 수립해야 한다. 특히 국가는 '국가기반시설'에 대한 대응방향을 지금과는 다른 차원에서 고려해보아야 한다.

기업이나 보안업체도 지금까지의 보안대응 수준을 다른 패러다임으로 업그레이드 해야 할 것이다. 지금까지의 기업의 보안대응 수준은 '좀도둑'들 대응수준이었다. 솔직히 많은 보안솔루션도 그런 정도의 대응수준이었다. 이제 새로운 패러다임이 필요한 상황이다.(새로운 패러다임에 대해서는 필자의 또 다른 칼럼에서)

카스퍼스키가 몇 가지 대책을 이야기하면서 한가지 강조한 대책이 있었다. 그것은 '업데이트를 주의하라. trust update(신뢰된 업데이트 시스템)로 trust contents와 application(신뢰된 콘텐츠와 프로그램)만 설치되게 하라' 였다. 물론 알지만 실행하기 쉬운 말은 아니다.

불행히도 '320 보안사고'의 원인은 이 문제로 추정된다. 매일같이 사용자들은 PC에 자신도 모르는 패치와 패턴들을 업데이트 받고, 애플리케이션을 다운받는다. 이러한 콘텐츠들이 신뢰할 수 있음이 증명되지 않고(무결성, 디지털인증 등), 이러한 배포 플랫폼이 신뢰할 만하다는 것(공격에 안전)이 증명되지 않는다면 기존의 수 많은 보안시스템은 무용지물이 되고 사이버 무기는 그대로 시스템을 침투하여 파괴되는 것이다. 이는 현재만의 문제가 아니라 앞으로도의 문제이다.

어쩌면 카스퍼스키는 이미 1개월전에 한국에 대한 공격자들과 공격방식을 예상하고 있었을지도 모른다.

인포섹 신수정 대표이사
저작권자 © 데일리그리드 무단전재 및 재배포 금지