[전산망 대란]"타깃공격 보안시스템만으로는 속수무책"…능동적 보안관리체계 갖춰야
지난 20일 국내 주요 방송사와 금융기관 6곳이 동일한 보안 공격에 속수무책으로 무너지면서 국내 기간시스템 보호체계에 대한 근본적인 개선이 필요하다는 의견이 나오고 있다.
보안전문가들은 현재의 보안체계로는 사회공학기법을 이용해 장기간 특정 타깃에 지속적으로 행해지는 APT(지능형 지속공격)를 방어할 수 없다는 설명이다. 또한 보안인력 양성에 정부가 적극적으로 나서지 않는 이상 자주 정보보안은 소원하다는 설명이다.
임종인 고려대 정보보호대학원 사이버국방연구센터 센터장(교수)은 "국내에 보안관련 학부와 석사과정을 운영하는 대학이 극히 적기 때문에 보안기업 및 금융 등 각 기업에서 보안전문가를 확충하려 해도 인재풀이 부족하다"고 설명했다.
또한 "과거 보안사고가 터진 후 '사이버안보 마스터플랜' 등 보완계획을 세우지만 예산 부족 등으로 계획이 원안대로 꾸준히 진행되지 못해 '소 잃고도 외양간을 고치다 마는' 문제가 발생한다"고 설명했다.
올해 정부의 정보보호 예산은 지난해부터 오히려 줄었다. 전체 정보화 예산에서 차지하는 비중도 지난해 8.1%에서 7.3%로 줄었다. 민간 기업들의 정보화 예산 중 정보보호 투자 비율도 26.1%로 전년 대비 11.1% 포인트 줄었다.
특히 해커공격과 보안은 '창과 방패'의 싸움이기 때문에 작정하고 다양한 창으로 공격하면 언젠가는 방패의 허점을 드러낼 수밖에 없다.
이와 관련해 임채호 카이스트 정보보호 대학원 교수(전 NHN 보안실장)는 "국내 기업들은 '솔루션 만능주의'에 빠져있다"며 "특히 국내는 특정 국내 기업의 백신만 단독으로 설치하는 경우가 많아 보안이 취약할 수밖에 없다"고 말했다.
임 교수는 "원자력연구소만 해도 국내 백신 외에 복수의 해외 백신을 중복해서 이용한다"며 "출범한 바이러스에 대해 특정 백신이 방어를 못해도 다른 백신이 이를 막을 수 있기 때문에 2중, 3중의 방어가 필요하다"고 강조했다.
특히 중국, 북한 등은 매주 변형된 신종 바이러스를 30개 이상 제작하고 있기 때문에 단순한 바이러스 탐지 백신이 아니라 비정상적인 웹을 최대한 빨리 분석할 수 있는 동적인 대응이 필요하다는 설명이다.
독자들의 PICK!
아울러 "백신에 의존하지 말고 각 기업의 보안 관리자가 자체적인 로그분석을 통해 이상현상이 일어나면 이를 하루 안에 탐지, 통보, 해결할 수 있는 체제를 갖춰야 한다"며 "APT 공격으로 일단 내부망에 진입한 악성코드는 백신이 찾아내기 어렵다"고 설명했다.
정태명 성균관대 소프트웨어학과 교수(OECD 정보보호분과 부의장)은 보안시스템확충 못지않게 내부 보안관리가 더욱 중요할 수 있다고 강조했다. 정 교수는 "아무리 좋은 솔루션과 장비를 구입한다고 해도 이를 운영하는 사내 관리자의 역량이 부족하면 무용지물"이라며 "특히 내부 인재들에 대한 철저한 보안교육이 필요하다"고 설명했다.
실제로 최근 보안공격은 목표로 삼은 특정 인사에 대해 끈질긴 공격을 단행한다. 예를 들어 인사철에 회사 인사팀을 사칭해 악성코드가 담긴 인사관련 파일을 보내는 식이다. 자녀가 있는 가장에게는 어린이날 선물 쿠폰 등 다양한 방식의 맞춤형 공격을 감행한다. 공격자가 목표로 한 인사가 이 같은 공격에 빠지면 결국 내부망 보안체계가 무너질 수 있다.
정 교수는 "최근 국내외 기업들이 기존 백신 외에 APT(지능형 지속공격)에 대응할 수 있는 보안 솔루션을 내놓고 있다"며 "단순히 백신과 장비 구입이 아니라 내부 보안역량과 일반 직원들에 대한 보안인식을 강화하고 추가적인 보안수단 보강에도 예산을 투입해야 한다"고 전했다.