[인터뷰]국내 최대 규모 침해사고대응팀 이끄는 김성동 SK쉴더스 TOP-CERT팀장
"기업 등 조직이 사이버공격받은 후 자신들이 피해를 입었다는 점을 인지하기까지 평균 10개월 소요된다. 공격자가 최초 침입 후 핵심 시스템을 장악하기 전까지 조기에 탐지·대응할 수 있는 체계가 필요하다."
국내 최대 사이버공격 침해사고대응팀인 SK쉴더스 TOP-CERT(Computer Emergency Response Team, 침해사고대응팀)를 이끄는 김성동 팀장의 얘기다. 김 팀장은 머니투데이와의 인터뷰에서 "과거에는 외부로부터의 공격을 원천 차단하는 데 주력했다면 이제는 공격자가 우리 시스템에 이미 들어왔다고 가정하고 대응해야 한다"며 이같이 밝혔다.
제로데이(Zeroday Attack), 컴퓨팅 시스템의 보안 취약점을 보완하는 패치가 나오기 전에 감행되는 사이버공격을 일컫는 용어다. 공격받은 기업이나 공공기관 등은 자신이 공격당했다는 것마저도 모른다. 아픈 곳을 알아야 치료를 하고 적이 보여야 방어를 할 수 있는 법이지만 제로데이 공격은 피해자가 피해를 입었다는 사실마저도 모르는 공격이라는 점에서 더 무섭다. 그만큼 적발하기도 어렵다.
김 팀장이 속한 TOP-CERT는 하나를 찾아내기도 어렵다는 제로데이 공격을 지난 10년에 걸쳐 4건이나 발견해 제보해 피해 확산을 조기에 차단하는 데 기여한 곳으로 꼽힌다. 올 하반기에도 이 팀은 한 회사의 악성코드 감염을 조사하던 과정에서 이 회사가 도입한 한 솔루션이 제로데이 공격받은 것을 확인했다.
문제 된 솔루션에는 아이디에 대응되는 비밀번호 외에도 이용자가 사용권한이 있는 자라는 사실을 증명하기 위해 SMS(문자메시지) OTP(일회성비밀번호) 등을 통한 인증을 추가로 요구하는 이중인증(2 Factor authentication) 시스템이 적용돼 있었다. 그러나 이 이중인증도 안전하지 않았다. 공격자는 이 이중인증을 회피할 수 있는 취약점을 발견해 이 회사 시스템 내부에 정보유출 프로그램을 심어놓은 것으로 확인됐다.
김 팀장은 "해당 솔루션은 민간뿐 아니라 다수 정부부처와 공공기관들이 대거 도입해 활용하고 있는 제품이라는 점에서 이번 제로데이 공격의 심각성이 컸다"며 "이런 취약점을 노린 공격들은 피해자가 피해 사실을 자각하지 못하는 경우가 많다는 점을 감안할 때 무수히 많을 것"이라고 했다.
또 "공격자들이 조직 내부자의 계정을 탈취하거나 암시장에서 구매한 후 정상적 권한을 받은 사람인 것처럼 시스템에 들어오는 경우도 흔해졌다"며 "공격의 저지선을 네트워크의 중심이 아니라 개별 사용자의 PC, 단말기 단까지 끌어내려야 할 필요성도 그만큼 커졌다"고 했다.
독자들의 PICK!
그러나 기업들의 보안투자가 과연 얼마나 잘 돼 있는지는 의문이라는 지적이다. 그는 "법이 정한 대로 웹과 DB(데이터베이스)를 분리한다거나 DB포트를 외부에 노출되지 않도록 관리하는 등 기본적 절차만 잘 지켜도 해킹의 상당 부분을 막을 수 있다"며 "피해조직을 만나다 보면 아쉽게도 기본적 부분이 구비되지 않은 경우가 많다"고 했다.
또 "방어 시스템이 잘 갖춰져 있다고 하더라도 보안 인력이 부족하다보니 시스템이 보내는 위기신호를 제때 감지하지 못해 공격에 뚫리는 경우도 많다"며 "기업·기관들이 여전히 보안에 대한 투자를 단순 비용지출로 감안하는 경향이 있기 때문"이라고 아쉬워했다.
이어 "모의해킹을 통한 사이버 취약점 점검 및 보완을 법적으로 의무화함으로써 기관·기업의 보안 수준이 크게 높아졌다"며 "사고침해의 주기적 점검도 의무화하는 방법을 고민할 필요도 있을 것"이라고 했다.
