알고도 당했다는 ‘사이버 6.25’가 발생했다. 곧 국가적 차원의 원인 규명이 시도될 것이다. 그리고 잊혀질 것이다. ‘3.20 대란’, ‘7.7 DDoS’, ‘1.25 대란’, 그 외 셀 수 없는 개인정보 유출 사고들… 많은 보안 사고들이 발생했고, 성공했다. 그리고 발생한 사고의 원인 규명이 이루어졌다. 소 잃고 원인 규명하고, 또 잃고 원인 규명하고… 사전 예방이 아닌 사고 수습에 집중된 대한민국 사이버 보안의 현주소다.
수없이 원인 규명을 하고 있는데 왜 사고는 재발할까? 원인 규명이 원인 규명만으로 끝난 결과일 것이다. 사전 예방이 가능한 사이버 보안 체계를 구축하는데 우리가 놓치고 있는 것이 분명히 있다. 그것은 무엇일까? 답을 찾기 위해서는 먼저 사이버 세계의 구조를 알아야 한다.
언제 어디든 누군가가 공격할 수 있는 사이버 세계
사이버 세계는 국경이 없는 네트워크, 특히 인터넷을 기반으로 거미줄처럼 연결된 세계이다. 그리고 이런 구조적 특성때문에 사이버 공격은 언제, 어디서나 발생 가능한 일상이 되어버렸다. 국경이 없으니 허락없이 국경을 침입하는 ‘적(敵)’을 정의할 수 없고, 적을 정의할 수 없으니 ‘누가’, ‘언제’, ‘어디서’, ‘무엇을’, ‘어떻게’, ‘왜’ 공격하는지 알기 힘든 것이다.
그러면 어떻게 해야 할까? 적을 정의할 수 없는 이상 우리는 방어, 특히 철저한 감시 체계를 구축하는 수 밖에 없다. 휴전선을 예로 들어보자. 드물게 ‘노크 귀순’같은 사건이 발생하기도 하지만 기본적으로 우리가 마음 놓고 생업과 자아 실현에 매진할 수 있는 이유는 휴전선으로 대표되는 국가 안보에 대한 신뢰가 있기 때문이다. 휴전선의 감시가 소홀해진다면? 국가 안보에 대한 신뢰는 깨지고 사회는 심각한 혼란을 경험하게 될 것이다.
그렇다면 현재 사이버 보안 분야에서 감시는 어떻게 이루어지고 있을까? 감시는 침입이 있나 없나를 검사하는 것이다. 그리고 집집마다 뒤져서 간첩을 찾는 것 보다 휴전선을 감시하는 것이 더 효율적인 것처럼, 모든 보호대상 정보자산을 검사해서 침입 흔적을 찾기란 현실적으로 어렵기에 IDS, IPS, 웹방화벽 등의 보안솔루션을 사용하여 보호대상 정보자산을 감시하는 것이 일반적이다. 즉 네트워크 길목을 감시하는 보안솔루션에서 발생하는 로그를 분석하여 침입이 있나 없나를 검사하는 것이다.
문제는 분석해야할 로그의 양이다. 어느 보안관제 업체는 2011년 기준으로 하루에 70GB의 보안 로그가 발생한다고 발표한 바 있다(1GB는 약 10억 개의 알파벳 저장). 실제 보안관제 현장에서는 하루에 수백만, 수천만 개 단위로 발생하는 로그를 쉽게 목격할 수 있다. 밥도 안 먹고, 잠도 안 자고, 화장실도 안 가면서 1분에 하나씩 로그를 분석해도 하루에 1,440개를 분석할 수 있을 뿐이다.
해킹 방지를 위한 해법: 부정확한 로그를 줄이기
해법은 두가지이다.
1. 감시 인원을 늘린다.
2. 감시 범위를 좁힌다.
첫번째 해법이 효과를 보려면 감시 인원을 수만, 수십만 명 단위로 늘려야 한다. 현실적으로 가능할까? 북한군 병사가 ‘노크 귀순’한 지역은 험준한 지형과 넓은 감시 범위 때문에 감시 실패의 위험을 항상 안고 있는 지역이었다고 한다. 감시 인력을 갑자기 늘리는 것은 불가능할 뿐더러, 그렇다고 이 지역에 감시 인력을 집중했다가는 분명히 다른 지역에서 감시 공백이 발생하게 될 것이다.
만약 해당 지역에 특수부대를 배치하면 그들의 월등한 공격력이 감시 수준의 향상을 가져올 수 있을까? 결국 정부는 로봇 활용 등 ‘감시 시스템의 과학화’ 정책을 앞당긴다고 발표했다. 정책이 얼마나 효과적으로 시행될지는 미지수이지만 컨베이어 시스템으로 자동차의 대량 생산이 가능해졌던 것처럼, 과학적인 시스템으로 인력의 한계를 극복한 사례는 무수히 많다.
결국 우리는 두번째 해법을 선택해야 한다. 감시 범위를 좁히는 방법은 무엇일까? 앞서 보안관제 현장에서 발생하는 수백, 수천만 개의 로그에 대해 얘기했다. 그 로그는 모두 침입 시도, 즉 해킹일까? 정말 그렇다면 당장 대한민국의 인터넷 인프라는 모두 마비되고 말 것이다. 그러나 현실에서 그런 일은 일어나지 않고 있다. 부정확한 로그가 많다는 뜻이다.
월리 찾기가 어려운 것처럼, 부정확한 로그가 많으면 그 부정확한 로그와 함께 섞여있는 정확한 로그, 즉 해킹 시도는 당연히 찾기 어렵게 된다. 수많은 보안 사고의 사전 예방이 어려운 이유가 여기에 있다. 그러나 부정확한 로그를 줄인다면 검사해야할 전체 로그의 양, 즉 검사 범위를 좁힐 수 있으며 결과적으로 해킹 시도를 찾아낼 가능성은 높아진다. 사전 예방의 가능성이 높아지는 것이다.
부정확한 로그를 줄이기 위해 해커를 키우자고?
부정확한 로그는 어떻게 줄여야 할까? 과학적/지능적 시스템을 도입해야 한다. 단순히 소프트웨어나 하드웨어를 얘기하는 것이 아니다. 사이버 보안의 소위 패러다임을 바꿔야 한다. 정부/업계/학계는 지속적으로 보안 인재 양성 시도를 해오고 있다. 그런데 각계의 인재 양성 시도에는 하나의 공통점이 있다. ‘해커 10만 양병설’ 등에서 알 수 있듯이 모두 ‘해킹’을 할 줄 아는 인력, 즉 해커를 양성하는데 초점을 맞추고 있다는 점이다.
‘7.7 DDoS’ 사고 이후 좀비PC가 부각되면서 악성코드를 분석하기 위한 소프트웨어 역공학(Reverse Engineering) 인력의 수요도 늘고 있지만 여전히 해커의 비중이 더 높다. 왜 모두 해커를 원하는 것일까? ‘최선의 방어는 공격’이어서일까? 적을 알 수 없는 사이버 세계에서 누구를 공격할 수 있을까?
물론 공격을 잘 하면 공격의 원리나 방법 및 공격이 이루어지는 수순을 잘 알 것이고, 그런 지식을 배경으로 사전 예방이나 분석 및 대응 역시 잘 할 수 있을 것이다. 그러나 현실에서는 사고가 발생해야만 분석 보고서가 쏟아져 나오고 있다. 공격 당시에는 몰랐다가 홈페이지가 변조되고 나서야 공격 사실을 알아차린 것이다. 더 무서운 점은 홈페이지가 변조되지 않았다면 공격을 당했다는 사실조차 몰랐을 거란 사실이다.
감시가 실패하면서 사고의 적시 발견이 실패한 결과이다. 해킹이나 역공학 분야는 분명 사고가 발견되어야만 역할이 주어지는 경향이 있다. 만약 감시 체계의 수준이 향상된다면 해당 분야는 쉴 새 없이 바빠질 것이다.
필요한 건 데이터 분석 전문가를 포함한 균형적 인재 양성과 환경 개선
왜 이렇게 되었을까? 불균형적인 인재 양성 시도의 결과이다. 사고 분석이나 대응 분야의 인재 양성에만 집중하면서 사고 감시 분야의 발전이 이루어지지 않은 것이다. 언제까지 실패한 사전 예방에 대해서 ‘완벽한 보안은 없다’는 말만을 되풀이 할 것인가? 이제는 균형잡힌 인재 양성을 통해 보안의 과학화와 지능화, 즉 ‘시큐리티 인텔리전스’에 대한 해답을 찾아야 한다.
보안 분야는 그동안 주로 사고 분석 관점에서 로그를 분석해왔다. 그러나 로그는 대량으로 발생하고 있다. 분석한 로그보다 분석하지 못한 로그가 많은 상황에서는 보안 사고의 악순환을 막을 수 없다. 데이터 분석, 그것도 대량 데이터 분석 관점에서 로그를 분석할 필요가 있는 것이다. 그렇다면 어떤 분야의 인재 양성이 필요할까? 우리에겐 공격 전문가인 해커도 필요하고, 역공학 전문가도 필요하지만, DBA, 데이터마이너, 시스템 엔지니어 등의 데이터 분석 전문가도 필요하다.
로그 패턴/통계 분석 및 데이터마이닝 등의 데이터 분석을 통해 부정확한 로그의 발생 패턴이 확인되면, 그 원인을 규명하고 제거해서 감시 범위를 좁힐 수 있으며, 뒤늦은 사고 수습이 아닌, 신속한 사고 대응이 가능해진다. 같은 방식으로 정확한 로그의 발생 패턴이 확인되면 공격을 예측할 수 있게 되며, 정확한 사전 예방이 가능해진다. ‘누가’, ‘언제’, ‘어디서’, ‘무엇을’, ‘어떻게’, ‘왜’ 공격하는지를 예측할 수 있는 ‘사이버위협 조기 예경보’ 체계가 구축되는 것이다.
마지막으로 놓쳐서는 안될 게 있다. 인재들은 사고 감시, 즉 보안관제 분야로 쉽게 이동하지 않으려는 경향이 있다. 많이 좋아졌다고 하지만 여전히 보안관제 분야는 해킹이나 역공학 분야에 비하면 그 대우가 형편없기 때문이다. 실제 정보보안 감시 체계를 담당하고 있는 보안관제 분야는 ‘3교대’라는 대표적인 악조건과 함께 전문성도 인정받기 힘든 것이 현실이다.
많은 이들이 보안관제 분야만은 가지 않으려고 하며, 어쩔 수 없이 가게 되도 오래 머물러 있지 않으려고 하는 것이다. 인재 양성과 환경 개선이 함께 이루어지지 않는다면 사고 감시 분야의 발전은 이루어질 수 없다.
전쟁에서 승리하기 위해서는 공격력과 방어력이 적절한 균형을 이루어야 한다. 분야별 전문가의 균형이 잡히고, 그들의 협력이 가능해질 때, 비로소 보안 사고 악순환의 고리는 끊어질 것이다.