사용자 삽입 이미지
국제 해커조직으로 이름을 날린 ‘어나니머스(Anonymous)’ 조직원 25명이 지난 2월 인터폴에 의해 검거됐습니다.

인터폴 주도로 유럽과 남미 경찰과 공조해 벌인 성과입니다.

인터폴은 유럽과 남미 15개 도시에서 ‘언마스크(Unmask)’라는 작전명으로 대대적인 검거작전을 벌여, ‘어나니머스’가 벌인 해킹, 디도스(DDoS, 분산서비스거부) 공격 등에 가담한 용의자들을 체포했습니다. 

이 작전에는 지난해 4월 콜롬비아에서 어나니머스의 디도스 공격이 발생한 것을 계기로 콜롬비아를 포함해 도미니카 칠레 스페인 아르헨티나 5개국이 참여했다고 합니다.

이 작전을 주도한 하이메 안시에타(Jaine Ansieta) 인터폴 재정·하이테크범죄 분과 부국장이 최근 방한했습니다. 그는 지난 26일부터 27일까지 서울 대한상공회의소에서 경찰청 사이버테러대응센터와 인터폴이 공동 개최한 ‘2012 국제사이버범죄 심포지엄’에서 이 수사사례와 시사점을 풀어냈습니다. 

안시에타 부국장은 이 자리에서 “당시 작전으로 인터폴은 15개 도시에서 47건의 가택을 급습했고, 32명을 체포했다. 아직도 이들을 대상으로 수사가 계속되고 있다”고 말했습니다. 

놀라운 점도 공개했는데요. 이들을 검거한 지 넉 달이 지난 아직까지도 압수한 휴대폰·IT시스템 등을 이용한 데이터분석을 못하고 있고, 기소할 방법도 결정하지 못했고 합니다.

공조수사는 성공적으로 벌여 용의자들을 검거하긴 했는데, 피의자를 기소하고 처벌하는 국제적인 사이버범죄 관련 사법체계와 절차가 아직 제대로 마련돼 있지 않기 때문입니다.

안시에타 부국장은 “국가마다 사법체계가 다르다보니 어떠한 사법체계를 적용해야 할 지, 기소 주체는 검찰이 해야할 지, 경찰 또는 지방법원이 할 지 합의가 되지 않았다”며, “사업적인 문제가 해결되지 않기 때문이며, 공조시스템이 아직은 부재하다”고 말했습니다.

다음 단계로 이 작전에 참여한 수사·경찰관들이 모임을 갖고 데이터 분석을 포함해 국가 간 수사공조·조율 시스템을 논의할 예정이라고 합니다.

사이버공격은 이미 특정한 국가나 기업만의 문제가 아니라는 것을 잘 알고 있습니다. ‘어나니머스’처럼 전세계에 걸쳐 활동하는 국제해커조직이 존재하고 있지요. 어떤 국가나 기업도 공격자들의 대상이 될 수 있습니다.

우리나라의 경우, 대표적로 대규모 개인정보를 유출한 SK커뮤니케이션즈, 넥슨 사건이 아직까지 제대로 수사가 마무리되지 않는 큰 이유 가운데 하나도 해당 공격자가 우리나라에 있지 않기 때문입니다.  

우리나라에서 발생하는 많은 디도스, 해킹 및 개인정보유출과 같은 사이버범죄도 국가 간  공조수사가 아주 중요합니다. 

하지만 현실에선 어려운 점이 너무나 많지요. 국가마다 법체계가 다르고 정치·사회적인 입장과 문화도 다르다보니 공격자들보다도 국가라는 경계를 넘어 서로 공조하기 어려운 상황에 있습니다.

공격근원지로 간주되는, 또는 범죄용의자가 있는 국가에서 협조해주지 않으면 우리나라에서 막대한 피해를 입은 경우에도 수사가 어렵다는 것은 충분히 예상할 수 있습니다. 

안시에타 부국장은 “만일 디도스 공격을 범죄로 간주하지 않는 국가가 있다면 수사를 함께 진행하기 어렵다”는 것을 예로 들었는데요. 실제로 디도스를 범죄로 여기지 않는 국가가 있다고 합니다.

그는 “전세계 사법체계가 ‘우리’의 편에 서있지 않다는 생각마저 든다”고 토로하면서 “실질적으로 공조할 수 있도록 사법부를 포함한 법조계, 국회 등 정치권에서 함께 이를 위해 논의해야 하며, 학계도 지원해야 한다”고 강조했습니다.

안시에타 부국장이 한가지 더 강조한 것이 민간의 협조입니다.

사이버공격은 국가차원에서 해결해야 할 심각한 문제가 됐지만 공격대상이 기업인 경우가 많습니다. 기업의 경우, 자칫 회사 이미지나 비즈니스에 큰 타격을 입을 수 있기 때문에 정보를 공개하는 것을 꺼립니다.

안시에타 부국장은 “민간이 열의를 갖고 참여해야 사이버범죄 수사가 진전될 수 있다”면서 “사회 전체가 힘을 합쳐 변화를 이끌어 내 사이버범죄 조직범죄를 무찔러야 한다”고 지적했습니다.

2012/07/01 16:28 2012/07/01 16:28

방송통신위원회와 한국인터넷진흥원(KISA)은 최근 발생한 사이버침해사고와 국내외 보안업체들의 전망을 분석해 올해 대두될 7대 사이버위협을 선정해 발표했습니다.

최근의 사이버공격의 특징은 지능화, 복합화입니다. 그 중에서도 올해에는 ▲총선과 대선 등 국가 주요 행사를 겨냥한 사이버공격 증가 ▲웹하드·소셜네트워크서비스(SNS) 악성코드 유포 증가 ▲국가·기업·개인 정보탈취형 지능형지속위협(APT) 공격 지속 ▲모바일 악성코드로 인한 보안위협 현실화 ▲한글 프로그램 등 이용자가 많은 국산 소프트웨어 취약점 공격 ▲클라우드 서비스 보안위협 증가 ▲DNS 서버 대상 DDoS 공격 위협 증가가 전망됐습니다. (관련기사 선거·엑스포 등 올해 국가 주요행사 겨냥 사이버위협 증가)

방통위와 KISA는 이같은 전망에 따른 위협 예방 및 대응 활동을 강화할 계획입니다. 현재 추진 중인 대응방안을 각 위협 전망 항목별로 살펴보겠습니다.

1. 국가 주요 행사 겨냥 공격 대비체계 강화

올해에는 주요한 국가 행사가 줄줄이 이어집니다. 3월 서울 핵안보정상회의, 4월 국회의원 선거 5~8월 여수 세계박람회 12월 대통령 선거 등이 있지요.

최근 사회 혼란을 유발하거나 정치적인 목적으로 국민들이 높은 관심을 갖는 주요 행사가 있을 때를 노려 사이버공격이 많이 발생하고 있습니다.

DDoS 공격이 대표적이고, 행사 안내나 선거 정보 등 관심사를 악용해 사용자들에게 메일을 보내 악성코드에 감염시켜 다른 공격에 이용하는 일도 빈번히 벌어져 왔죠. 

국가 주요행사를 겨냥한 공격 증가 예상이라는 문구를 접하니 가장 먼저 작년 10.26 보궐선거 때 발생했던 중앙선거관리위원회 홈페이지 DDoS 사건이 떠오르더군요. 검찰 수사도 종료됐지만, 지금까지 논란은 계속되고 있습니다. 많은 의구심이 해소되지 않았기 때문이지요. 과거사(?) 정리를 확실히 해야하겠지만, 앞으로 이런 일이 다시 발생하지도 않길 바랍니다.

KISA 인터넷침해대응센터는 행사 관련 웹사이트를 집중 모니터링할 계획이라고 합니다. 특별히 홈페이지 접속장애나 악성코드 은닉여부 조기탐지, DDoS 탐지해 대응할 계획이라고 합니다.

이상징후가 포착되면 정보통신서비스사업자(ISP)를 통한 초동대응과 함께 해당 사이트 운영기관 등에서 조치를 취하도록 알려주는 역할을 할 수 있습니다. 이를 위해 행사 관련기관과는 비상연락망을 운영하고, 국가사이버안전센터·경찰청 등 관련기관과 ISP·보안업체 등과의 공조도 강화할 방침입니다.

2. 웹하드, SNS 악성코드 탐지 강화

웹하드나 P2P 사이트 등에서의 악성코드 유포 문제가 심각하지요. DDoS 공격이나 대규모 개인정보유출 사건과 같은 대규모 보안사고가 발생하면, 악성코드 유포 경로가 웹하드 프로그램인 경우가 많았습니다.

공격자들은 사용자들이 파일을 다운로드하기 위해 설치하는 웹하드 전용 프로그램을 변조하거나 업데이트 프로그램을 다운로드하는 것처럼 속여 악성코드를 유포하는 방식을 많이 이용하고 있습니다. 이렇게 내려받은 악성코드에 감염되면 좀비PC가 돼 DDoS 공격에 이용되고, 회사 내부시스템에 침투해 개인정보 등을 유출하거나 이를 위해 시스템 관리자 계정을 탈취하는데 악용됩니다.

방통위와 KISA는 190개 웹하드 사이트의 전용 프로그램 변조여부 탐지 활동을 2월부터 시작할 예정입니다. 
이를 위해 웹하드 은닉형 악성코드 탐지 시스템도 작년에 개발했습니다.

웹하드 프로그램에나 게시물, 컨텐츠에 숨겨진 악성코드 여부를 탐지, 위험도를 판별할 수 있는 이 기술을 활용해 업체들에게 알려주고, 기술지원도 강화할 계획입니다.

방통위는 작년 12월에 웹하드 사업자를 대상으로 실태점검을 실시했습니다. 협조가 잘 안돼 대상사업자 106개 중 결국 8곳만 점검을 벌인 수준이미에도, 점검 결과 보안장비를 전혀 갖추고 있지 않는 등 보안체계는 매우 취약했다고 합니다.


지난해 개정된 전기통신사업법에 따라 작년 11월 21일부터 웹하드 등록제가 시행됐는데요. 현재까지 등록한 웹하드 업체는 전무하다고 합니다.

기존 업체들은 법에서 정한 불법 저작물 청소년 유해정보 유통방지 및 정보보호를 위한 기술적 조치요건를 이행할 계획을 마련해 6개월 이내에 등록을 마쳐야 합니다. 법적 효력은 오는 5월 20일 이후에는 발생하게 될텐데요. 이를 통해 연내에는 웹하드 보안수준도 강화될 수 있길 기대해봅니다.

방통위와 KISA는 포털 등의 인기 검색어를 통해 유포되는 악성코드 탐지 활동도 강화하고 있습니다.

검색엔진에서 제공하는 실시간 검색어를 악용해 악성코드를 유포하는 URL를 수집, 점검할 수 있는 기술도 보급하고 있습니다. 인기가 많은 SNS 게시글 내에 포함된 URL이나 단축 URL의 악성코드 은닉여부도 알 수 있는 기술이라고 하는데요. 포털 ‘다음’이 이 기술을 이전받기로 계약한 상태랍니다.

특히 단축 URL의 경우는 사용자들이 신뢰된 URL인지 여부를 쉽게 판별할 수 없기 때문에, 사용자 수가 대형 포털과 같이 많은 웹사이트 운영사들의 자발적인 정화 노력에 한층 힘을 기울여야 할 것으로 보입니다.

3. APT 공격 대응 전략

사실 방통위와 KISA도 APT 공격 대응 전략은 딱히 없습니다. APT 공격은 중요 국가 기반시설이나 기업 등 특정한 표적을 겨냥해 중요 정보 유출이나 시스템 마비와 같이 공격 목적을 달성하기 위해 은밀하게 오랜 기간 동안 공격을 수행합니다. 기존 공격 기법뿐 아니라 새로운 공격기법 등 여러 기법을 이용하고, 심지어 공격 대상이 가진 보안체계를 알아내 우회할 수 있는 수법을 이용해 공격을 성공시킵니다. 기업이 공격 사실을 인지하는 시점은 이미 피해가 발생한 때라고 보면 된다고 하지요.

하지만 KISA는 기업이 APT 공격을 예방할 수 있도록 가이드라인을 개발해 보급할 예정입니다. 5월 경으로 예상하고 있고요. APT 공격 대응을 위해서 어디서부터 손을 대야 할지, 무엇을 해야할지 잘 모르는 기업들은 참조가 될 수 있겠습니다.

만간 공포될 개정된 정보통신망법에 따라 기업의 정보보호관리체계(ISMS) 인증이 의무화되면 전반적인 보안체계가 기존보다 강화될 수 있다는 점에서 일정부분 효과가 있을 것으로도 판단하고 있습니다. (관련기사
방통위, 기업 정보보호 관리제도 전면 개편, 새해 강화된 개인정보보호 법 시행, 무엇이 달라지나)

이밖에도 지능화된 공격에 신속하게 대응할 수 있는 해킹 피해시스템 분석, 은닉회피·커널감염 등 악성코드 분석기법 연구 등도 진행해 신규 공격기법 대응방안을 마련하는데 주력할 계획이라고 합니다.

4
. 모바일(스마트폰) 이용자 보호 방안

모바일 악성코드 위협이 점점 현실화되고 있습니다. 올 1월 초에 ‘New Year 2012 Live Wallpaper’라는 이름의 악성 안드로이드 애플리케이션(앱)이 정상 앱으로 위장해 안드로이드 마켓과 국내 인터넷 자료실에서 유포되는 사례가 발생했었죠.

이 악성코드에 감염되면 이메일 주소 등 개인정보가 유출될 수 있었는데요. 다행히 일찍 발견, 조치해 KISA에 접수된 국내 피해 사례는 없다고 합니다.

스마트폰·태블릿 등 모바일 기기 사용자가 급증하고 있기 때문에 모바일 악성코드 위협으로 인한 피해 현실화는 시간 문제로 보입니다. 보안업체들이 집계하는 모바일 악성코드 수도 최근 크게 늘어나고 있는 것도 사실이고요.

일단 KISA는 안드로이드 마켓의 악성 앱을 팀지, 차단할 수 있도록 모바일 악성코드 수집분석 시스템을 구축하고 있습니다. 이 시스템을 바탕으로 안드로이드 마켓에서 유통되는 앱을 수집·분석해 현재 무료 배포 중인 스마트폰 자가점검앱(S.S Checker) 등을 통해 악성 앱 정보를 전파할 계획입니다.

또 방통위와 KISA, 3개 이동통신사, 단말기 제조사, 보안업체가 공동 참여하고 있는 스마트폰 정보보호 민관합동 대응반을 통해 모바일 악성코드가 출현하면 이용자 피해를 최소화할 수 있도록 체계를 마련해 놓고 있습니다.

5. 국산 SW 취약점 사전조치

작년에 한글과컴퓨터의 한글 프로그램에서 보안취약점이 여러 번 발견됐었습니다. 알툴즈 업데이트 프로그램이 SK커뮤니케이션즈 이용자 대량 개인정보 유출 공격에 악용되기도 했죠.

국내 이용자가 많은 소프트웨어의 보안취약점을 악용한 공격을 예방할 수 있도록 신규 취약점 탐지·분석 활동을 강화하고, 취약점정보공유시스템을 통해 취약점 정보를 공유하도록 시도하고 있습니다. 

일단은 KISA에서 취약점정보공유시스템을 구축해 소프트웨어 개발업체, 백신 및 보안 솔루션업체 등이 발견한 취약점 정보를 등록하고 확인해 전파하거나 대응할 수 있는 체계를 구축해 놨습니다.

민간업체들이 얼마나 자발적으로 취약점 정보를 제공하고 공유할 수 있을지는 두고 봐야 할 것 같은데요. 우선 시범 운용형태로 해보고 장기적으로 ‘취약점정보공유분석센터’ 구축도 검토한다고 합니다. 취약점정보공유분석센터 등과 같은 체계를 만든다는 계획은 서종렬 KISA 원장 등이 앞서 언급한 적이 있는데, 올해 예산 편성에서 누락됐다고 합니다.

6. 클라우드 서비스 보안대책

모바일과 함께 클라우드 컴퓨팅도 대세이지요. ‘보안’은 기업이 클라우드 도입에서 가장 우려되는 항목 1~2순위로 꼽힙니다. IT자원 가상화 및 공유, 정보 집중화와 같은 클라우드의 특징이 보안 문제를 걱정하게 만드는 요인입니다. 이에 대한 보안 방안이 제대로 갖춰져 있지 않는다면 정보 유출 우려가 있고 서비스 가용성과 비즈니스 연속성 문제로 크게 타격을 입을 수도 있기 때문입니다.

지난해 아마존 등 해외 클라우드 서비스에서 장애가 나 서비스 이용 기업들이 피해를 본 사례도 있었죠. 클라우드 서비스 신뢰성 확보는 필수사항입니다.

방통위는 클라우드 품질이나 보안에 대한 이용자 불안감을 해소하기 위해 클라우드 서비스 제공업체를 대상으로 클라우드서비스 인증제를 2월부터 실시할 계획입니다. (관련기사 ‘클라우드 서비스 인증제’ 시행, 실효성 있을까, 2월부터 클라우드서비스 인증제 본격 시행)

산하기관인 클라우드서비스협회를 주축으로 전문가들이 참여하는 인증위원회를 두고 품질, 정보보호, 기반 등 3대 분야의 ▲가용성 ▲확장성 ▲성능(속도) ▲데이터 관리 ▲보안 ▲서비스 지속성 ▲서비스 지원의 7개 항목을 심사해 인증서를 발급할 예정인데요. 민간 인증이니 사업자들이 자발적으로 참여해 받게 됩니다.

방통위는 클라우드 서비스 사업자의 정보보호 관리 등급제도 도입할 예정입니다.

2월 중 공포될 것으로 예상되는 개정 정보통신망법에 신설된 정보보호관리체계(ISMS) 의무화(안전진단 폐지) 관련 조항(제47조의5)을 적용해 클라우드서비스 사업자들이 ISMS를 받도록 함으로써 안전한 클라우드 서비스 활성화를 위한 기반 환경 조성에 기여한다는 방침입니다. 

이 점에서 클라우드 인증제의 운영주체는 클라우드서비스협회이고, ISMS는 KISA가 담당하고 있으니 이 부분에 정리가 필요할 것이란 생각이 드는군요. 

방통위는 “정보통신망법에 따라 ISMS를 통해 정보보호 등급제를 적용받은 클라우드 서비스 사업자는 클라우드 인증제 보안 심사 항목은 갈음할 수 있는 방식 등 중복으로 받지 않도록 제도를 연동 운영할 방침”이라고 말했습니다.

KISA도 “이와 관련해 추가 협의가 필요하다”는 입장입니다.

이같은 제도가 잘 운영되고 홍보효과까지 결합된다면, 이용자들이 서비스 사업자의 정보보호 수준을 고려해 인증받거나 정보보호 등급이 높은 클라우드 서비스를 선택할 수 있겠네요.

7. DNS 대상 DDoS 공격 대응 기반 마련

작년에 게임사들의 DNS 서버를 대상으로 DDoS 공격이 발생한 사고가 몇 차례 발생했다고 합니다.

그동안 DDoS 공격은 네트워크 대역폭 이상의 공격을 폭주시키거나 웹서버를 대상으로 사이트를 마비시키는 공격 형태가 많았는데요. KISA는 여러 서버 시스템을 한꺼번에 마비시키는 효과를 올릴 수 있다는 점에서 연동돼 있는 DNS 서버를 대상으로 한 DDoS 공격이 많아질 것으로 예상하고 있습니다. ‘이왕이면 한방에 큰 피해를 유발하자’는 생각이라면 웹 호스팅 업체나 IDC 내 DNS 서버, DNS 서비스 업체들의 시스템을 대상으로 공격을 벌일 수 있겠다 싶네요. 납득이 됩니다.

문제는 아직까지 DNS DDoS 방어체계가 제대로 구축돼 있지 않다는 점입니다. 

KISA에서 운영하는 사이버대피소도 웹서버 대상 DDoS 공격 대피소체계만 운영돼 있다고 하는데요. 원유재 KISA 인터넷침해대응센터 본부장은 “DNS DDoS 공격은 공격 패킷이 달라 사이버대피소도 새롭게 구축해야 하지만 예산 문제가 있다”고 설명했습니다. 그래서 유사시에 현재의 체계를 활용해 DNS DDoS 공격을 방어할 수 있는 방안을 찾고 있다고 합니다.

이를 운영해본 후 내년에 예산을 확보해 DNS DDoS 방어체계를 구축할 계획입니다.

방안이 마련되기 전에 큰 피해를 유발할 수 있는 심각한 DNS DDoS 공격이 발생하지 않았으면 하네요.

2012/01/31 08:05 2012/01/31 08:05

10.26 서울시장 재보궐선거 당일 발생했던 중앙선거관리위원회 홈페이지를 대상으로 한 분산서비스거부(DDoS) 공격 후폭풍이 갈수록 커지고 있습니다.

선관위 홈페이지에 DDoS 공격을 벌인 주범으로 최구식 한나라당 의원의 수행비서 공씨 등 4명이 지난 2일 경찰에 검거, 구속되면서 한나라당의 조직적 개입 의혹이 커지고 있기 때문인데요.

쟁점 중 하나는 공씨가 과연 단독으로 범행을 계획했을 것이냐는 의문입니다. 팟캐스트 ‘나는 꼼수다’에서는 선거 직후부터 이번 공격이 박원순 당시 후보 지지성향이 강했던 20~40대 투표율을 낮추기 위한 의도로 일을 벌였고, 이를 은폐하기 위해 DDoS 공격을 벌였다는 의혹을 제기해 왔습니다.

선거 당일 선관위 홈페이지 접속 장애가 DDoS로 인한 서비스 자체의 접속 장애 원인이 아니라 내부 DB(데이터베이스)의 연동이 끊어져 투표소 검색을 막았다는 것입니다. 선관위 개입 가능성까지 제기하면서 선관위를 대상으로 “로그파일을 공개하면 의혹이 풀릴 것”이라고 압박하고 있습니다.

경찰 발표 이후 민주당에서도 사건의 성격과 규모, 소요되는 막대한 자금을 감안할 때선거에 유리하게 작용하기 위해 조직적으로 벌인 것 아니냐는 의혹을 제기하고 있습니다.

이날 경찰은 최 의원의 9급 비서관인 공씨가 주범으로, 평소 잘 알고 지내던 같은 고향 출신 후배인 강씨에게 공격을 지시했고, 강씨는 자신이 운영 중인 홈페이지 제작업체 직원 김씨와 황씨와 함께 공격을 수행한 것으로 파악했다고 밝혔습니다. <관련기사 10·26 선관위 홈페이지 DDoS 공격 주범은 한나라당 의원실 직원>

공씨가 저지른 단독 범행인지, 정치적 의도를 가진 계획적 범죄인지 여부는 알 수 없지만 의혹이 갈수록 중폭되고 있는 것은 사실입니다. 

경찰에 따르면, 이들은 지난달 26일 오전 보궐선거일 당일에 200여대의 좀비PC를 동원해 초당 263MB 용량의 트래픽 공격을 가했습니다.

선관위 홈페이지는 지난달 26일 오전 6시15분부터 8시32분까지 2시간이 넘게 공격을 당해 마비되자, KT의 사이버대피소로 옮겨 서비스를 정상화했습니다.

주말 사이에 선관위 홈페이지를 공격한 좀비PC 수가 당초 알려진 200여대가 아닌 1500여대라는 언론 보도가 나오면서 이젠 ‘경찰 말바꾸기’ 논란도 벌어지고 있는데요. 뭔가 숨기기 위해 말을 바꾼 것처럼 해석되고도 있는 상황입니다. 

경찰청 사이버테러대응센터측은 명백히 “오보”라며 곤혹스러워 하고 있습니다. 센터 관계자는 5일 “좀비PC 규모는 당초 발표했던 200여대가 맞다”며, “예를 들어 설명하는 과정에서 오해한 것 같다”고 말했습니다.

선관위 책임도 있습니다. 선관위에서 밝힌 DDoS 공격 규모와 KT에서 집계한 규모가 다르다는 점 때문인데요.

사용자 삽입 이미지

KT 관계자는 “이번 DDoS는 대역폭 공격”이라며, “선관위에서 밝힌 공격 트래픽 규모는 전체 트래픽 규모이며, 실제 공격 트래픽은 2Gbps 가량의 규모였다”고 설명했습니다.

또한 좀비PC 규모 역시 경찰이 밝힌 200여대로 파악하고 있다고 합니다.

DDoS 방어 장비를 구축한 업체는 “350Mbps 정도의 용량을 사용했던 KT 회선에 트래픽이 260M 이상이 넘어가면서 과부하가 발생하자, 이를 KT 우회서비스로 돌린 것”이라며, “DDoS 방어 장비는 1G급이 설치돼 있어 전혀 문제가 없었다”고 말했습니다.

선관위는 KT 2회선, LG유플러스 1회선을 사용하고 있습니다.

이들 말대로라면 직접적으로 선관위 홈페이지에서 나타난 접속 장애는 인터넷 회선 용량 초과가 핵심 원인이라고 볼 수 있습니다. 홈페이지에서 사용했던 회선이 트래픽을 수용할 수 없었기 때문에 서비스가 원활하지 못했던 것입니다.  

이후 선관위는 사용하는 인터넷 회선 용량을 1G 이상으로 늘렸다고 하는데요. DDoS 공격이 벌어졌던 것 외에도 선관위의 선거 당일 트래픽 예측이 어긋났던 것도 문제의 원인이 될 수 있다고 보입니다.

IT 보안의 관점에서 보자면, 이번 사건은 얼마든지 취약한 PC를 악성코드에 감염시키고, 감염시켜 조종할 수 있는 좀비PC를 확보해 DDoS 공격을 벌일 수 있는 현실을 보여줍니다. 마음을 먹고 돈만 있다면 얼마든지 사이버범죄를 저지를 수 있는 환경이 됐습니다.

그 이유로 보안 전문가들은 ‘악성프로그램 확산 방지 등에 관한 법률(일명 좀비PC방지법)’ 제정의 필요성을 다시 지적하고 있습니다. 또 정부기관의 DDoS 등 위협 대응체계가 실질적으로 작동될 수 있도록 구축돼 있는지도 재점검해 봐야 할 것 같습니다.

DDoS 공격이 다양하게 활용되고 있다는 점을 보여준다는 점에서도 주목됩니다. DDoS는 경쟁사 사이트의 서비스 방해나 보복성 공격, 금전을 노린 협박성 범죄뿐만 아니라 정치적인 목적을 달성하기 위해서도 얼마든지 활용될 수 있는 공격 수단입니다. 핵티비즘이라고 불리우지요.

그동안 정치적인 불만을 갖고 많은 사람들이 시간을 정해놓고 특정 홈페이지를 대상으로 한꺼번에 접속해 서비스를 중지시켰던 사례는 많이 있었습니다. 이 역시도 일종의 핵티비즘, DDoS 공격이라고 할 수 있습니다.

이번 사건은 정치적으로 아주 중대한 사안이고 반드시 한 점 의혹 없이 진실이 규명돼야 할 것입니다. 여기에 더해 한번의 보안 투자가 아니라 보안수준 향상과 국가 전반의 보안인식 강화 노력이 지속적으로 이뤄져야 한다는 점에서도 교훈을 찾을 부분이 있다고 생각됩니다.

(참고로 선관위는 지난 2009년 7.7 DDoS 공격 이후 행정안전부 주축으로 추진했던 범정부 DDoS 대응체계 구축 사업을 통해 DDoS 대응체계를 적용했습니다.)


 

2011/12/05 19:25 2011/12/05 19:25

[기획/보안강국을 위한 쓴소리-보안관제 현황 진단④]

안관제 효과를 높이려면 각종 취약점, 보안위협 정보를 신속하게 습득하는 것이 아주 중요합니다.

민간 보안 솔루션, 서비스 제공업체들은 대부분 각자 해외와 국내 관련 정보공유 커뮤니티에 참여하거나 고객사에 설치된 시스템·서비스 인프라, 분석체계 등을 통해 자체적으로 보안위협 정보를 확보하고 분석하기 위해 노력하고 있습니다.

하지만 새로운 공격기술과 이를 통한 심각한 침해사고가 발생할 때에는 각자 정보를 습득하는 것보다는 민간기업과 정부기관, 사고대상 기업, 인터넷서비스제공업체(ISP) 등이 서로 공유하는 것이 더욱 효율적이고, 보다 신속하게 대응할 수 있습니다.

그 때문에 특히 국가 차원에서 심각한 사이버공격이나 위협 상황이 발생할 경우에 신속한 침해사고 대응을 위해서는 정보공유와 협력의 중요성이 강조됩니다.

지능화된 신종 공격기법이 점점 더 빠르게 개발되고 있기 때문에, 새로운 위협에 관한 분석정보를 신속하게 보안업체와 주요 관제업체를 포함한 사이버보안 관련 주체들이 공유, 전파될 수 있는 국가적 체계 마련이 필요하다는 지적이 나오고 있습니다.

물론 그동안에도 국가정보원 국가사이버안전센터(NCSC), 행정안전부, 방송통신위원회 한국인터넷진흥원(KISA) 등에서 민간업체들과의 정보공유체계를 운영해오긴 했는데요. 대체적으로 형식적이거나 정보의 범위가 제한적이라는 평가가 이뤄지고 있습니다.

그 이유 중 하나는 이해를 따질 수밖에 없기 때문인데요.

국가적인 사이버 위기상황 발생시에 사명감과 책임감을 갖고 일하긴 하지만 민간 보안업체들은 엄연히 보안을 사업으로 합니다. 따라서 보안 솔루션이나 서비스 업체들은 사이버위협 정보가 자사의 서비스 품질과 차별성을 좌우하는 중요한 요소가 됩니다. 서로 같은 수준으로 도움이 되는 정보를 공유한다는 것이 쉽지 않겠지요.

서로 각자 다른 쪽에서 나오는 정보를 받으려고만 하는 태도로는 정보공유와 협력은 요원할 것입니다.

정부기관과 민간업체들 간의 정보공유 환경도 비슷하다고 지적됩니다. 민간업체들 입장에서는 ‘정부기관이 일방적으로 받으려 한다’는 볼멘소리가 나옵니다. 아무 대가도 없이 말이지요.

상생할 수 있는 협력과 공조가 이뤄지지 않고 있습니다. 또 국가 안보 차원에서 접근하는 정부기관 입장과 민간업체의 입장이 다르다는 점을 감안하면 모든 정보를 서로 오픈하는 것이 쉽지는 않아 보입니다.

그 때문에 최근 정보공유분석체계 강화 필요성이 제기되는 한편으로, 이는 현실적으로 불가능 하다는 회의적인 시각도 존재합니다.

하긴, 민·관의 협력을 이야기하기에 앞서 정부기관 간 체계적인 협력체계도 미흡했군요. 지난 2009년 7.7 DDoS(분산서비스거부) 공격 당시 문제점이 여실이 드러났었죠. 이 사고 이후 사이버보안 ‘컨트롤타워의 부재’로 인한 문제가 수없이 지적됐습니다.

아직도 사이버위기대응 주체라 할 수 있는 민·관·군(NCSC, 사이버사령부, 보안업체), 더 나아가 수사기관인 검찰과 경찰 간의 정보공유와 협력의 중요성이 크게 강조됨에도 불구하고 원활하고 일사분란한 체계가 운영되지 못했습니다.

민간업체들 입장에서 관과의 협력에 힘들어 하는 이유가 여기에도 있습니다. 한 업체가 여러기관에 불려가다보니(?) 창구를 통일했으면 한다는 바람을 한목소리로 이야기하고 있습니다.

사용자 삽입 이미지

여하튼 현재 국가 사이버 위기관리 차원에서 정보공유와 협력을 강화하기 위한 많은 시도가 현재 이뤄지고 있습니다.

국가정보원은 최근 ‘국가 사이버안보 마스터플랜’을 NCSC를 중심으로 국가 안보차원에서 각 정부부처와 기관이 사이버공격에 공동으로 대응할 수 있는 체계를 강화하고, 이를 위한 실행계획을 구체화하고 있습니다.

그 중 핵심이 바로 각 민·관·군 합동 대응체계, 통합정보공유체계 강화입니다. (관련기사 국정원 “민간전문가 참여, 사이버보안 사고 조사·검증체계 운영”, 국가 사이버안보 마스터플랜 수립…“사이버공간도 국가수호 영역”)

민간 부문의 사이버 침해사고 대응 역할을 담당하고 있는 KISA 인터넷침해대응센터 역시 민간 주요 인터넷서비스사업자(ISP), 백신업체를 비롯한 보안업체, 정부기관과의 정보공유와 협력을 강화하기 위한 활동을 벌이고 있습니다.

국가기관과 민간 주요 보안업체들과의 정보공유가 체계적으로 이뤄지지 못하고 있다는 점에서 내년 초 오픈을 목표로 ‘정보공유체계(가칭)’를 개선하기 위한 시스템을 개발 중에 있습니다.

이 시스템은 보안권고문과 유포 중인 악성코드 등 보안위협, 유포사이트 차단 등 대응조치 사항을 포괄해 양방향 정보공유 체계와 프로세스 자동화를 목표로 하고 있다고 합니다. 

행정안전부 정부통합전산센터 역시 올해 초에 사이버위협 정보 공유시스템을 개통했습니다. 이 시스템은 중앙행정기관, 지방자치단체의 시스템 관제기관이 제공하는 통합 모니터링 자료와 침해 시도 분석결과를 정보보호 전문업체 20곳과 공유해, 사이버위협에 즉각 대응할 수 있도록 지원하기 위해 구축한 것입니다.

이 역시 크게 활성화돼 있지는 못하다는 평가가 나오긴 합니다만, 사이버 공격유형이나 공격 IP, 대응방법을 공유하기 위해 센터는 민간업체들과 MOU를 체결해 체계적인 정보공유 체계를 마련했습니다. 자체적으로 악성코드분석센터도 운영하고 있지요.

*** 참고 : 그림은 지난 7월 국가정보화전략위원회 주최로 열린 ‘제2회 국가정보화전략포럼’ 에서 서종렬 KISA 원장 발표자료임.


2011/10/12 11:24 2011/10/12 11:24

[기획/보안강국을 위한 쓴소리-보안관제 현황 진단③]

보안관제는 네트워크상에 적용된 방화벽을 관제하면서부터 시작했습니다. 여기에 IDS/IPS(침입탐지/방지시스템), DDoS(분산서비스거부) 대응시스템, 웹방화벽 등으로 설치되는 보안시스템이 여러 종류로 늘면서, 다양한 솔루션에서 발생하는 이벤트와 로그를 실시간 수집, 통합관리, 분석해 침해사고·위협을 종합적으로 탐지하고 대응할 수 있도록 운영합니다.

현재 활용되고 있는 보안관제시스템은 이기종 보안시스템의 보안 이벤트와 로그를 취합해 중앙에서 분석·관리하는 ESM(통합보안관리)시스템과 IDS/IPS 등 침입탐지 센서를 기반으로 네트워크 트래픽의 이상징후와 위협요소를 조기에 탐지할 수 있도록 상태변화를 실시간 감시, 분석하는 TMS(위협관리시스템)이 있습니다.

보안관제를 위한 기본 솔루션인 ESM은 여러 보안장비의 관리 효율성을 제공할 뿐만 아니라 IT시스템 전반의 보안정책을 수립하도록 합니다. 보안장비에서 나타나는 정보에만 의존하게 되면 제로데이 공격과 같은 새로운 공격에 대응할 수 없고 지나치는 보안정보가 생겨나게 됩니다.

이 때문에 네트워크 트래픽 이상징후 등 네트워크 상태 변화를 민감하게 감지해 사이버공격을 탐지할 수 있도록 네트워크 트래픽 모니터링 및 분석 기능을 제공하는 TMS가 보안관제시스템을 보강하는 솔루션으로 활용되고 있습니다. TMS는 사이버공격을 탐지해 조기 예·경보체계를 구축할 수 있도록 기반을 제공합니다.

종합분석시스템은 각종 IT자산과 ESM 등에서 수집된 정보를 바탕으로 내·외부 위협정보를 자동으로 추출하고 보다 복합적으로 상관분석하도록 강화돼 있는 최상위 보안관제시스템이라 할 수 있습니다. 종합분석시스템의 가장 큰 특징은 현재의 위협상황 등을 대시보드 형태로 직관적으로 파악할 수 있도록 보여줍니다.

해외에서는 ESM, TMS, 종합분석시스템 등 여러 종류로 나뉘어 있지 않고 SIM(보안정보관리), SIEM(보안정보·이벤트관리)시스템아 포괄적인 통합관리·분석시스템으로 활용되고 있습니다. 

ESM, TMS, 종합분석시스템, SIEM 등과 같은 보안관제시스템을 잘 구축해 놨다고 해도 보안관제의 효용성이 무조건 발휘되는 것은 아닙니다. 인력 수준에 따라 탐지 그 자체와 위협여부 판단, 보안시스템 운영상태나 정책·임계치·경고 설정 등 실무업무에서 차이가 날 수 있기 때문에 결국 관제 품질이 좌우됩니다.

결국 보안관제에서의 문제는 기술측면 보다는 인력에 있다는 것이 전문가들의 공통된 지적입니다. 관제시스템을 통해 탐지된 기술을 이용하지만 결국 최종 판단은 전문인력이 하는 것이기 때문입니다.

더욱이 조직마다 필요한 보안시스템을 100% 완비할 수 없고, 예산과 상황에 맞춰 현실적으로 투자할 수밖에 없다는 점을 감안하면, 시스템상의 한계로 지적되는 한정된 관제 범위나 려진 공격 위주, 과다 탐지됐거나 잘못 탐지된 이벤트 등과 같은 문제나 부족한 점은 사람이 갖고 있는 전문성과 노하우로 해결해 나가고 채워지게 됩니다.

일단 기본 문제는 현재 보안관제 전문인력이 극히 부족하다는 데 있습니다. 보안관제 인력에 대한 인식이나 처우 개선도 시급하다고 지적됩니다. 보안관제 업무를 기피하게 되는 요인이 현재로선 많기 때문입니다.

24시간 365일 돌아가는 관제업무의 특성상 야근과 밤샘, 휴일근무 등 힘든 근무환경에서 보상이나 복지가 미진하고, 개인적인 성장 불확실성도 크기 때문에 경력이 쌓이면 이직이나 컨설팅 등 다른 업무로 전환하는 사례가 많다고 합니다. 

그러다보니 신입 등 경력이 부족한 초급인력이 관제에 투입되는 경우가 많아지겠지요. 심지어 “팔 다리만 달리면 뽑는다”는 식의 이야기까지도 나올 정도라네요. 이 경우 보안관제를 아웃소싱하거나 관제업무 담당자를 두고 있는 기업이나 기관에서도 만족하지 못합니다.

사고가 나면 “보안관제 요원들은 뭐했냐”고 하고, 아무 일이 일어나지 않을 때에는 또 보안관제 인력 투자비용을 아까워하며 “보안관제 인력을 둬야 하나”하는 말이 나옵니다.

변화가 수반되지 않는다면 계속 악순환 될 것입니다.

기본적인 네트워크와 서버, 웹 또는 보안 관련 기초지식만 있을 뿐 경험과 전문성이 크게 부족한 사람에게 중요한 자산을 침해하거나 마비, 탈취하려는 공격을 예방, 탐지하고 최전선에서 대응하는 역할을 맡긴다고 상상해보십시오. 결과는 뻔할 것입니다.

사실 보안관제를 보안위협을 종합적이고 체계적으로 관리하는 차원에서 보면 전문성은  매우 중요합니다.

관제 요원은 분석 능력을 갖춘 전문가라기보다는 단순 ‘운영’요원으로서 인식되는 측면이 있었다는 것이 업계의 이야기입니다. 그러다보니 관제 업무경력도 낮게 평가됩니다.

애초에 전문성을 검증할 수 있는 체계도 부재합니다. 현재 인력의 전문성을 교육프로그램 역시 꾸준히 지원되지 못하고 있는 상황입니다.

부족한 보안관제 전문인력을 전문가로서 인식하고 대우하는 것, 현실적인 처우개선은 시급하고도 중요한 과제로 인식됩니다.

보다 실효성 있는 보안관제가 이뤄지기 위해서는 기업과 기관에서 보안관리서비스와 보안아웃소싱에 대한 전문성을 인정해야줘야 합니다. 

공공분야에 정책적으로 보안관제 의무화 및 활성화 노력을 벌이고 있는데요. 정부에서부터 실천하는 것이 필요해 보입니다.

일례로 보안관제서비스 업체들에게 맡길 경우에도, 발주기관에서는 일반 IT 엔지니어 도입 단가를 통해 제안을 요청하고 있다고 합니다. 이 또한 최저가 입찰을 통해 인력을 수주 받고 있습니다. 업계에서는 적어도 관제 인력 및 서비스 단가를 소프트웨어 노임단가 수준만을 인정해줘도 상황은 나아질 것이라고 이야기합니다.

비단 보안관제만의 문제는 아닐 것입니다. 우리나라는 상시적인 보안서비스에 대한 인식이 척박합니다. 보안업계에서 쉽게 유지보수라 불리는 보안시스템 서비스 요율을 현실화하기 위해 꾸준히 노력했지만 이번 정부에서도 결국 무산되는 분위기입니다.

지속적인 업데이트 및 개선작업, 관리가 이뤄지지 않으면 아무리 훌륭한 보안시스템도 시간이 지나면 무용지물이 될 뿐입니다.   

때문에 전문가들은 보안강국이 되려면 사회와 기업·기관의 전반적인 보안 인식의 개선, 이에 따른 예산 및 투자 확대 노력이 절실하다고 목소리를 높이는 것입니다.

보안관제 서비스 및 인력단가가 현실화된다면 민간 업체들 주축의 인력 양성이나 교육, 회사 차원의 보안관제 요원에 대한 지원 역시 개선될 것으로 전망됩니다.

다양한 경로를 통해 들어오는 새로운 보안관련 이슈와 정보를 수집하고, 이러한 이슈를 분석해 관제에 적용하고, 또 파견관제 인력으로 해결이 어려운 사건·사고 발생시에도 신속하게 지원인력을 투입해 이슈를 보안관제 회사 차원에서 실시할 수 있다면 보안관제 수준을 높이는 대안이 될 수 있습니다. 

개개인의 전문성이 부족하더라도 서비스 회사 차원에서 실제로 발생한 공격 특성이나 대응 방식, 보안관제 서비스 노하우가 지식화돼 효과적으로 공유하고 전수할 체계가 마련된다면 보다 효과적으로 만들어갈 수 있을 것입니다.

2011/10/12 11:24 2011/10/12 11:24

[기획/보안강국을 위한 쓴소리-보안관제 현황 진단②]

지금까지 보안관제시스템 등을 토대로 구축해 놓은 침해사고대응체계를 발전시켜, 각종 공격과 침해사고를 미연에 막을 수 있고 신속하게 조치해 피해를 최소화할 수 있는 방안은 찾기 위해, 현재 부족한 것이 무엇인지 진단해보고자 합니다.

전문가 분들에게 서면을 통해서나 직접 만나 의견을 구해봤습니다. 한국인터넷진흥원 인터넷침해대응센터, 삼성SDS, LG CNS, 싸이버원, 안철수연구소, 윈스테크넷, 이글루시큐리티, 인포섹의 전문가분들과 공공·기업의 보안관제센터 등에서 관제업무를 담당하시는 여러분들이 도움을 주셨습니다.

사용자 삽입 이미지

일단 보안관제의 목표는 중요자산을 보호하는 것입니다. 쉽게 말해 궁극적인 보안관제는 각종 침해사고를 막는데 목적이 있습니다. 그런데 지금의 보안관제체계에서 침해사고를 막을 수 있을까요? 

보안관제가 침해사고를 탐지하고 대응하는데 상당한 효과가 있다는 점은 인정되고 있지만, 공격 예방과 실시간 탐지 측면에서는 아직도 부족하다는 진단이 내려지고 있습니다.

더욱 큰 문제는 알려지지 않은 취약점을 이용한 공격, APT(Advanced Persistent Threat) 공격, 사회공학적 공격 등 지능화된 최신 공격에 한계를 노출하고 있다는 점입니다.

우리가 기억하는 최대규모 고객정보를 유출한 옥션이나 SK커뮤니케이션즈의 사고가 보안관제체계가 부재했기 때문은 아닙니다.

그래서 사고 이후 “보안관제서비스를 받고 있는데 왜 못 막았냐?”, “보안관제 업체의 책임 아니냐”며, 이를 둘러싼 많은 논란이 대두되기도 했습니다. 

전체적으로 보면 보안관제시스템을 제대로 운영해온 기간이 짧기도 하지만, 그동안에는 대형사고 경험 역시 부족한 탓이 있습니다.

또 보안관제를 제대로 하려면 기본적인 보안 투자가 기반이 돼야 하는데, 아직도 정부와 금융기관, 기업의 보안 투자는 부족합니다. 더욱이 지속적으로 새로운 공격수법이 빠르게 개발되고 있는데, 보안시스템을 보강하는 계획을 수립하고 투자를 벌이기 위한 의사결정은 느립니다.

보안관제는 방화벽, 침입탐지시스템(IDS), 침입방지시스템(IPS), 분산서비스거부(DDoS) 공격 대응시스템 등 보안 장비를 기반으로 합니다.

그동안 보안투자는 주로 외부에서 내부로의 차단에 집중한 보안시스템을 구성해 보안정책을 설정하는 분야에서 이뤄져 왔지만, 이 또한 일부일 뿐입니다.

이들 장비에서 나오는 이벤트와 로그를 취합하거나 이상징후를 파악한 뒤 침해 여부를 분석해야 하기 때문에 대부분 보안사고가 발생한 뒤의 시점이 됩니다. 때문에 사전탐지 보다는 보안사고를 확인하고 사후대응하는 것, 같은 유형의 2~3차 피해를 예방하는데 더 기능적이라고 할까요. 

더욱이 관제 대상과 범위는 주로 네트워크 분야로 한정돼 있고 외부로부터 들어오는 공격과 침입에 집중돼 있는 체계여서 내부PC단을 대상으로 하는 최신 공격기법이나 지능형지속위협(APT)과 같은 정교하고 지능적인 위협을 대응하는데 역부족이라고 평가됩니다.

최근의 해킹은 주로 상대적으로 취약한 내부 사용자의 PC를 악성코드 등을 통해 감염시켜 내부 시스템 접근한 후 중요정보를 탈취하는 식으로 이뤄집니다. 이로 인해 보안관제의 내·외부의 균형적인 운영에 대한 필요성과 특정한 부문이 아니라 전체 시스템을 유기적으로 연동하는 노력이 요구되고 있습니다.

즉, 인바운드 트래픽뿐만 아니라 내부에서의 정보 흐름, 아웃바운드 트래픽에 대한 통합된 보안관제의 필요성과 함께 관제의 대상도 단순 네트워크 장비, 서버에서 나아가 PC, 저장매체 활용 등 사용자단까지 확대돼야 한다는 것입니다.

일부 기관 등에서는 이미 PC 보안관제도 함께 수행하고 있다고 하는데요. 백신·PC보안 중앙관리시스템 등을 기반으로 한 PC단과 네트워크단의 포괄적인 탐지·분석이 이뤄져야 합니다.

개인정보유출 문제가 확산되면서 최근 잇달아 출시된 정보유출 방지시스템처럼 사용자들의 행위를 통합적으로 추적·감사하고 외부로의 불법적인 정보유출이나 이상행위를 통제·차단하는 시스템을 도입해 보안관제시스템과 연동하는 작업도 필요할 것입니다.

내부망에서 외부로 나가는 것을 차단할 수 있는 정책 수립도 검토해봐야 합니다.

이를 위해서는 먼저 내부에서 외부로 이루어지는 서비스 정의를 수행한 뒤 외부로 나가는 것에 대한 정책을 수립해야 합니다. 다만 추가적인 보안투자와 함께 사용자의 불편함이 대두될 수 있어 보안 수준 사이에서 정책을 어느 정도로 수립할 것인지 결단이 필요할 듯합니다.

보안관제시스템 자체의 기술적인 한계도 지적됩니다.

먼저 보안관제시스템이 다양한 이기종 보안장비 지원에 한계가 있을 경우의 문제입니다. 또 여러 장비에서 나온 이벤트를 동일한 기준으로 탐지·분석·대응할 수 있는 관리체계를 반영하지 못한다면 전적으로 보안관제서비스 수준 자체에 문제가 됩니다. 

공격 여부 등을 판단하는 기본 정보가 되는 탐지 이벤트에 대한 신뢰성 문제도 크게 지적됩니다. 

공격 탐지센서로 활용되는 각각의 보안 제품의 수준이 떨어지는 것과도 연관돼 있습니다. 오탐지(False Positive)된 이벤트가 많을 경우 실제 위협을 판별해내기는 당연히 어렵습니다.

때문에 최적화 작업이 아주 중요한 것으로 인식됩니다.

보안장비에서 발생하는 엄청난 이벤트를 바탕으로 위협에 대응하기가 매우 어렵기 때문에 현실적으로 커스터마이징 처리된 이벤트를 중심으로 분석이 이뤄지게 되기 때문입니다.

보안장비에서 발생하는 수많은 오탐 이벤트를 커스터마이징 작업을 통해 최적화된 탐지·분석·대응체계를 갖출 수 있다는 얘기입니다.

제로데이 공격에 대한 탐지가 어렵다는 점도 한계로 지적됩니다. 만일 솔루션마다 신규 공격에 대한 패턴 업데이트 주기가 길어지면 최신공격 대응이 어려울 수밖에 없습니다. 

솔루션 업체들의 업데이트, 능력에 대한 의존도가 높기 때문에 만일 솔루션 개발업체에서 신규 공격 패턴을 곧바로 제공하지 못할 경우 보안관제시스템에서도 탐지하는데 한계가 있을 수 있습니다.

따라서 기반이 되는 보안 솔루션의 수준이 아주 중요합니다.

패턴이 제대로 제공된다 하더라도 보안관제시스템의 최적화 작업을 계속해서 벌이지 않을 경우에도 문제는 발생합니다.

백신의 경우 설치만 하고 업데이트를 하지 않게 되면 새로운 바이러스를 막지 못하는 것처럼 보안관제시스템도 지속적인 커스터마이징이 필요하다는 게 전문가들의 지적입니다. 각사마다 IT환경과 사업환경 차이로 인해 같은 패턴을 적용하더라도 시스템상에서 충돌이나 오류가 발생해 오탐지로 이어지는 경우도 있기 때문입니다.

전문 보안관제서비스 업체 역시 침입탐지에 전문성을 갖고 지속적으로 신규 공격 탐지 패턴에 관해 연구하며 이같은 능력을 갖춰야 하는 노력도 요구됩니다.

그래야 예방과 실시간 탐지를 수행할 수 있는 신규 공격을 시스템에 반영할 수 있기 때문입니다.

사전예방 기능을 강화하기 위해 최근에는 보안관제의 범위에 취약점 진단과 모의해킹 업무도 포함되고 있는 추세입니다.

지속적인 신규 패턴 업데이트, 커스터마이징 및 최적화 작업, 사전진단 등을 강화하려면 보안관제서비스 업체나 관제업무 담당자를 대상으로 적절한 보안관제서비스 비용을 지불하고 그 업무의 중요성을 인정하는 것도 반드시 병행돼야 할 것입니다.

2011/10/12 11:23 2011/10/12 11:23

‘APT(지능적지속위협, Advanced Persistent Threat)’라는 사이버공격이 요즘 이슈입니다.

APT 공격은 특정 기업이나 조직을 노린 표적공격의 대표 유형입니다. 원자력 발전소와 같은 중요한 산업기반시설이나 구글, 야후같은 유명 인터넷업체, EMC RSA같은 대표적인 보안업체들이 잇달아 이 공격에 속수무책으로 당하면서, 우려와 관심이 최근 무척 높아졌습니다.

1년 전 이란 부셰르 원자력발전소를 공격한 ‘스턱스넷’이 출현하면서 본격적으로 알려지기 시작했죠.

올해 초 구글이 침해사고 사실을 공개한 ‘오퍼레이션 오로라(Operation Aurora)’도 APT 공격으로 분류되고 있고, 지난 3월에 EMC RSA도 APT 공격을 당해 자사의 OTP(One Time Password) 기술이 유출된 것으로 보인다고 발표한 적이 있습니다. 

우리나라에서는 7월 말에 발생한 SK커뮤니케이션즈 3500만명의 개인정보유출 사고가 지능형 표적공격으로 분석되면서, APT 공격 가능성이 제기됐습니다.

APT 공격은 특정한 목표를 겨냥한다는 점에서 불특정 다수를 대상으로 한 기존 해킹과 구별됩니다. 표적으로 삼은 기업이나 기관 등 조직의 네트워크에 은밀하게 침투해 오랫동안 잠복하면서 기밀정보를 유출하는 식으로 공격목표를 달성하기 때문에 사전에 탐지하고 대응하기가 어렵다고 알려져 있습니다. 

공격 역시 일회성이 아니라 장기간에 걸쳐 이뤄지고, 여러 악성코드나 공격 루트를 이용합니다.

현재로서는 일단 APT 공격이 발생하면 이를 막을 뾰족한 대안이 없다고 인식되고도 있습니다. 

그래서인지 APT 공격 위협이 부상하니, 특정 기업이나 기관을 대상으로 침해사고가 발생했거나 기업의 고객정보 등 기밀정보가 유출되면 모조리 APT로 치부해버리는 경향이 나타나고도 있습니다.  

그 이유로 일부 보안전문가들은 모든 표적공격이 APT 공격이 아니고 모든 기업이 APT 공격 대상이 되는 것은 아닐 뿐만 아니라 대부분이 이 공격과 연관이 없는데, APT 보안위협이 과대 포장되고 있다고 지적하기도 합니다.

지만 현재 많은 기업이 표적공격을 문제 삼고 있는 만큼 최신 보안 위협에 효과적으로 대응하기 위해서는 APT를 면밀히 파악할 필요가 있습니다.

APT 공격이 무엇일까요? 아직까지 보안업계에서도 APT 공격 유형이나 방식을 A부터 Z까지 명확하고도 완전하게 정의하고 있지는 못하는 것 같습니다. 그래서 대응방안도 아직 명쾌하게 제시되진 못하는 것이겠죠.

현재 많은 보안전문가들, 보안업체들은 APT를 잡기 위해 다각도로 연구하고 있습니다. 

시만텍 역시 그렇습니다. ‘스턱스넷’ 공격이 발생했을 때 시만텍은 이 악성코드를 신속하게 발견하고 분석해 내면서 두드러진 모습을 보였었죠.  최신 위협을 분석하고 대응방안을 마련하는 것은 보안업체로서 당연한 역할입니다.

20일 시만텍코리아는 기자들을 초청해 최신 보안위협과 보안 대응방안을 설명하는 자리를 가졌는데요. 시만텍 아태 및 일본지역 임원이 이 자리에 참석해 APT 공격이 무엇인지 구체적으로 설명하고, ‘정보중심 보안 전략’을 주축으로 한 나름의 해결방안도 제시했습니다.
(관련기사 시만텍 “APT 표적공격, ‘정보중심 보안’ 전략으로 해결”

<APT 공격의 특징>

사용자 삽입 이미지

APT 공격은 특정 기업이나 조직 네트워크에 침투해, 활동 거점을 마련한 후 기밀정보를 수집해 지속적으로 빼돌리는 보다 은밀한 형태의 표적 공격으로 정의됩니다.

기관총을 쏴대는 무차별적 공격이 아니라 치밀한 사전 준비를 거친 스나이퍼형의 지능적·차별적·지속적 공격인 셈이라고 시만텍은 설명했습니다.

특정 기업이나 조직을 노리는 표적 공격은 보통 ‘드라이브바이다운로드(Drive-by download)’, SQL 인젝션, 악성코드, 스파이웨어, 피싱이나 스팸 등 다양한 공격 기술을 사용합니다.

APT 공격도 이 같은 기술들을 하지만 공격 성공률을 높이고 첨단 보안 탐지 기법을 회피하기 위해 제로데이 취약점 및 루트킷 기법과 같은 고도의 공격 기술을 복합적으로 이용하기 때문에 지능적이고 위협적입니다.

당한 기업들도 보안 사고가 터지기 전까지는 APT 공격에 당했다는 사실 조차 모르는 경우가 대부분이죠.

APT 공격은 일단 지능적(Advanced)입니다. 제로데이 취약점이나 루트킷 기법과 같은 고도의 지능적인 보안 위협을 동시다발적으로 이용해 표적으로 삼은 목표에 침투해 은밀히 정보를 빼돌리는 ‘킬 체인(Kill Chain)’를 생성합니다.

제로데이 취약점은 프로그램에 문제가 알려지고 난 후 보안패치가 나올 때까지의 시간차를 이용해서 공격하는 것입니다. 보안패치가 나오기 전까지는 각종 보안 위협에 무방비로 노출되는 셈이라 위험하죠.

루트킷 기법은 컴퓨터 운영체제가 구동되기 전에 윈도 컴퓨터의 마스터 부트 레코드(MBR)를 변경해 컴퓨터에 대한 통제권을 획득하는 기법으로, 보안 소프트웨어를 통한 탐지를 어렵게 하는 특징이 있습니다.

현재까지 알려진 최악의 APT 공격인 스턱스넷의 경우 4개의 제로데이 취약점과 루트킷 기법 등을 종합적으로 이용한 것으로 밝혀졌습니다.

APT 공격은 지속적(Persistent)인 특성을 보입니다. 

보안탐지를 피하기 위해 은밀히, 천천히 움직여야 하기 때문에 긴 시간 동안 행해집니다.

다수의 표적 공격이 순식간에 목표를 공격해 필요한 정보를 탈취해가는 이른바 ‘스매시&그랩(Smash and Grab)’형 공격이라면, APT는 표적으로 삼은 목표 시스템에 활동 거점을 마련한 후 은밀히 활동하면서 새로운 기술과 방식이 적용된 보안 공격을 지속적으로 가해 정보 유출·삭제 또는 시스템에 대한 물리적 피해와 같이 궁극적으로 원하는 목적을 이룹니다.

또한 공격 동기(Motivated) 부여확실한 공격 목표(Targeted)를 갖고 있습니다.

APT는 주로 국가간 첩보활동이나 기간시설 파괴 등의 특정 목적을 달성하기 위해 행해지며, 대부분 배후에 특정 국가가 후원하는 첩보조직이나 단체가 연루돼 있을 것으로 예상되고 있습니다. 

이는 APT가 단순히 정보 유출만을 노리는 것이 아니라 공격자가 지속적으로 표적을 원격 조종해 정보 유출을 포함, 시스템 운영을 방해하거나 물리적인 타격까지 노리고 있다는 것을 시사합니다.

지적재산이나 가치있는 고객정보를 가진 조직들이 표적공격의 대상이라면, APT는 주로 정부 기관이나 기간시설, 방위 산업체, 전세계적으로 경쟁력 있는 제품, 기술을 보유한 주요 기업들과 이들의 협력업체 및 파트너사들을 노립니다.

이같은 특징으로 보면 모든 기업들이 APT의 공격 대상이 아님은 분명해 보입니다. 시만텍 역시 APT 공격을 설명하기 시작하면서, “표적공격의 하나의 유형으로, 표적공격을 모두 APT로 볼 수 없다. 표적공격은 APT 보다 광범위하다”고 밝혔습니다. 

<APT 공격 방법>

일반적으로 APT 공격은 침투, 검색, 수집 및 유출의 4단계로 실행됩니다. 각 단계에서는 다양한 공격 기술이 사용됩니다.
사용자 삽입 이미지

1단계: 침투(Incursion)

일반적으로 표적 공격시 해커들은 훔친 인증정보, SQL 인젝션, 표적 공격용 악성코드 등을 사용해 목표로 삼은 기업이나 조직의 네트워크에 침투합니다. APT도 이러한 공격 방법들을 사용하지만 오랜 시간에 걸쳐 공격 대상 시스템에 활동 거처를 구축하는데 초점을 맞춥니다.

- 관찰(Reconnaissance): APT 공격자들은 표적으로 삼은 조직, 시스템, 프로세스, 파트너와 협력업체를 포함해 사람들을 파악하기 위해 수개월에 걸쳐 공격 목표를 철저히 연구하고 분석합니다. 이란 핵 시설을 공격했던 스턱스넷의 경우, 공격팀은 목표로 삼은 우라늄 농축시설에 사용되는 PLC(Prorammable Logic  Controllers)에 대한 전문 지식을 보유하고 있었지요.

- 사회공학기법(Social engineering) : 목표 시스템으로의 침투를 위해 공격자들은 내부 임직원이 실수나 부주의로 링크를 클릭하거나 첨부파일을 열게끔 사회공학적 기법을 접목하기도 합니다. 이메일, 소셜네트워크서비스, 웹사이트 게시판, P2P 등을 다양하게 악용하겠죠.

공격자가 특정 기업의 시스템 관리자를 노린다면 공격자는 사전에 이 관리자의 개인 블로그, 트위터, 페이스북 등을 검색해 생년월일, 가족 및 친구관계, 개인 및 회사 이메일 주소, 관심 분야, 진행중인 프로젝트 등의 정보를 수집한 후 이를 이용해 피싱 메일을 보내는 식입니다.

- 제로데이 취약점(Zero-day vulnerabilities) : 제로데이 취약점은 개발자들이 패치 등을 제공하기 전에 소프트웨어 개발자들 모르게 공격자들이 악용할 수 있는 보안상 허점으로 보안 업데이트가 발표되기 전까지는 무방비 상태와 같습니다.

그러나 제로데이 취약점을 발견 하기위해서는 상당한 시간과 노력이 걸리는 만큼 가장 정교한 공격 기관만이 이를 활용할 수 있습니다.

APT는 공격 목표에게 접근하기 위해 하나 이상의 제로데이 취약점을 이용합니다. 스턱스넷의 경우 동시에 4개의 제로데이 취약점을 이용했습니다. 

- 수동 공격(Manual operations) : 일반적으로 대규모 보안 공격은 효과를 극대화 하기 위해 자동화를 선택합니다.

‘스프레이&프레이(Spray and pray)’로 불리는 피싱 사기를 예를 들면, 자동 스팸 기술을 사용해 수천명의 사용자들 중 일정 비율이 링크나 첨부파일을 클릭하도록 했습니다. 반면에 APT는 자동화 대신 각각의 개별 시스템과 사람을 표적으로 삼아 고도의 정교한 공격을 감행합니다. 

2단계: 검색(Discovery)

일단 시스템 내부로 침입한 공격자는 해당 시스템에 대한 정보를 수집하고 기밀 데이터를 자동으로 검색합니다. 침투로 인해 보호되지 않은 중요한 데이터나 네트워크, 소프트웨어나 하드웨어, 또는 노출된 기밀 문서, 추가 리소스 등이 탐색될 수 있겠죠.

대부분의 표적공격은 기회를 노려 공격을 하지만 APT 공격은 보다 체계적이고 탐지를 회피하기 위해 엄청난 노력을 기울입니다. 검색단계에서는 해당 환경을 전반적으로 프로파일링하고 중요정보를 파악합니다. 

- 다중 벡터(Multiple vectors) : APT 공격시 일단 악성코드가 호스트 시스템에 구축되면 소프트웨어, 하드웨어 및 네트워크의 취약점을 탐색하기 위해 추가적인 공격 툴들이 다운로드 되기도 합니다.

- 은밀한 활동(Run silent, run deep) : APT의 목표는 표적의 내부에 잠복하면서 장시간 정보를 확보 하는 것이므로, 모든 검색 프로세스는 보안탐지를 회피하도록 설계됩니다.

- 연구 및 분석(Research and analysis) : 정보 검색은 네트워크 구성, 사용자 아이디 및 비밀번호 등을 포함해 확보된 시스템과 데이터에 대한 연구 및 분석을 수반합니다.

따라서 APT 공격을 탐지하면 가장 먼저 해당 공격이 얼마나 지속됐는가를 살펴봐야 합니다.

전형적인 표적공격으로 계좌번호가 유출됐다면 데이터가 유출된 날짜나 피해 정도를 아는 것이 크게 어렵지 않지만, APT 공격은 언제 공격을 받았는지 가늠하기가 거의 불가능하다고 분석됩니다.

침투 및 검색 활동이 매우 은밀히 진행되기 때문에 피해자는 로그 파일을 점검하거나 관련 시스템을 폐기해야 할 수도 있습니다.

3단계: 수집(Capture)

수집 단계에서 보호되지 않은 시스템에 저장된 데이터는 즉시 공격자에게 노출됩니다. 또한 조직 내의 데이터와 명령어를 수집하기 위해 표적 시스템이나 네트워크 액세스 포인트에 루트킷이 은밀하게 설치될 수 있습니다.

- 장시간 활동(Long-term occupancy) : APT는 오랜 기간 지속적으로 정보를 수집합니다. 2009년 3월 발견된 고스트넷(GhostNet)으로 알려진 대규모 사이버 스파이 사건은 103개 나라의 대사관, 외국 부처 및 기타 정부 기관을 포함해 인도, 런던 그리고 뉴욕의 달라이 라마의 티벳 망명 센터 컴퓨터 시스템에 침투했습니다.

인포메이션 워페어 모니터(Information Warfare Monitor) 보고서에 따르면, 고스트넷은 2007년 5월 22일에 데이터를 수집하기 시작해 2009년 3월 12까지 지속된 것으로 나타났습니다. 평균적으로 감염된 호스트가 활동한 시간은 145일이었고, 가장 긴 감염 시간은 660일이었답니다.

4단계: 제어(Control)

APT 공격의 마지막 단계로, 불법 침입자들은 표적 시스템의 제어권을 장악합니다. 이 단계를 통해 공격자들은 지적 재산권을 포함해 각종 기밀 데이터를 유출하며, 소프트웨어 및 하드웨어 시스템에 손상을 입힙니다.

- 유출(Exfiltration) : 기밀 데이터가 웹 메일 혹은 암호화된 패킷이나 압축파일 형태로 공격자에게 전송됩니다.

- 지속적인 분석(Ongoing analysis) : 도난된 신용카드 번호가 금전적 이득을 위해 재빨리 이용되는 반면에, APT에 의해 수집된 정보는 전략적 기회를 포착하기 위한 연구에 이용되곤 합니다.

이러한 데이터는 이 분야의 전문가들에게 하나의 지침서가 되어 영업 비밀을 캐내거나 경쟁사의 행동을 예측하여 대응 방안을 수립하는데 도움이 될 수 있죠.

- 중단(Disruption) : 공격자는 원격 시동이나 소프트웨어 및 하드웨어 시스템의 자동 종료를 야기할 수도 있습니다.

많은 물리적 장치가 내장형 마이크로 프로세서에 의해 제어되고 있는 만큼 시스템이 교란될 가능성이 커집니다. 명령·제어 서버는 은밀하게 표적 시스템을 제어하고 심지어 물리적 피해를 야기할 수도 있죠.

<APT 공격 대응 방안>

시만텍은 APT 공격을 막기 위해서 가장 중요한 것이 기존의 보안 인프라가 갖는 한계를 넘어서 정보 주변을 둘러싼 시스템이 아닌 정보 자체를 보호하는 ‘정보중심의 보안 전략’을 가져가야 한다고 강조했습니다.

시만텍에 따르면, 정보중심의 보안 전략은 보호해야 할 중요 정보가 어디에 저장돼 있고, 누가 접근 가능한지, 어떻게 보호되고 있는지를 파악해 ‘디지털 정보지도’를 작성하는 것입니다. 이를 위해 보호해야 할 정보가 무엇인지 정의(Define)하고, 검색(Discover)하고, 해당 정보의 사용을 통제(Control)하는 정보보호 프로세스를 마련해야 합니다. 

이와 함께 ▲평판(reputation) 기반 보안 기술 ▲데이터 유출방지(Data Loss Prevention) 솔루션 ▲보안 정보 및 이벤트 관리(SIEM) ▲정보저장소 보안강화 ▲애플리케이션 계층에서 위험한 파일 형식 차단 등 다각도의 정보보호 체계를 갖추는 것이 중요합니다.

다양한 악의적 공격과 활동을 효과적으로 차단하기 위해 기업 내부의 사용자가 인터넷을 사용할 때 웹에서 악성코드 검사를 수행하도록 강제하는 ‘사전 방역’도 필요합니다.

네트워크상의 모든 트래픽을 검사해 일반적인 봇트래픽 패턴을 탐지하고 활성 봇넷을 차단하는 한편, 감염된 PC를 즉각 격리하는 ‘사후 차단’의 역할도 중요합니다.

이를 통해 각종 사이버 공격의 네트워크 유입을 사전에 차단하고, 만일 유입되더라도 지속적인 탐지 및 모니터링을 통해 악성활동을 차단, 보안 위협을 최소화 할 수 있기 때문입니다.

진화하는 사이버 보안 위협에 대응해 평판 기반과 같은 새로운 보안 신기술 도입도 필수적입니다. 공격용 툴킷의 확산과 악성코드 변종의 범람으로 인해 전통적인 시그니처 기반의 보안 솔루션으로는 각종 보안 위협에 대응하기가 점점 더 어려워지고 있기 때문이죠..

평판 기반의 보안 접근법은 마치 사용자들의 평판을 기반으로 맛집 순위를 매기는 것과 비슷합니다. 극소수의 사람들이 가지고 있는 프로그램을 다운로드하고자 할 경우엔 이를 악성일 가능성이 높다고 보고, 이를 제지하고 최상의 선택을 권고합니다.

직원 교육도 강화해야 합니다. 아무리 좋은 시스템과 보안 솔루션을 구축한다 하더라도 결국 이를 운용하는 것은 사람이고, 확고한 보안 인식이 갖춰지지 않는다면 보안 사고는 언제라도 일어날 수 있습니다.

기업은 보안 가이드라인을 마련해 정기적으로 인터넷 안전, 보안 및 최신 위협에 관해 직원교육을 실시하는 한편, 교육을 통해 정기적인 비밀번호 변경 및 모바일 기기 보안의 중요성을 알려야 합니다.


2011/09/21 09:05 2011/09/21 09:05

사용자 삽입 이미지
네이트·싸이월드 회원 3500만명의 개인정보를 유출한 SK커뮤니케이션즈에 법안이 최근 위자료 지급명령을 내리면서, 피해자들의 집단소송 참여가 더욱 확대되고 있는 분위기입니다.

개인정보 유출 피해자들이 모인 대표적인 인터넷 커뮤니티인 ‘네이트해킹피해자카페(네해카)’는 회원이 계속 불어나고 있습니다. 18일 현재 7만8000여명을 넘겨, 조만간 8만명을 넘길 것으로 보입니다.

‘네이트·싸이월드 해킹 피해자 공식카페’ 회원 역시 5만명에 육박하고 있습니다.

법원의 100만원의 위자료 지급명령이 내려진 것에 확신을 얻은 탓인지 집단소송에 참여하고 싶다는 의사를 밝히는 회원들도 부쩍 늘고 있습니다.

더욱이 네해카 운영자는 최근(14일) 소송을 담당할 법무법인을 선정해 구체적인 소송진행 준비절차에 들어간다고 밝힌데 이어, 19일에는 집단소송에 대한 공식표명을 할 것이라고 밝혔습니다.

다음 주부터는 해킹으로 회원 개인정보를 대량 유출한 SK커뮤니케이션즈를 상대로 한 집단소송이 본격화될 것으로 예상되고 있습니다.

이번 사고의 개인정보 유출 피해자가 역대 최대규모인만큼, 옥션 개인정보 유출 피해 관련 집단소송 규모를 넘어선 사상 최대규모의 집단소송이 벌어질 가능성이 높아지고 있습니다. 

하지만 집단소송 참여에 신중해야 한다는 목소리도 있습니다. 대표적인 대규모 집단소송인 옥션 피해자 집단소송을 비롯해 여러차례 진행된 집단소송에서의 경험 때문입니다. 

지난 2008년 옥션 해킹 사고 이후 피해회원 14만여명이 옥션을 상대로 개인정보 유출에 따른 피해배상을 요구하는 집단소송을 제기했지만 1심에서 패소한 전례가 있었습니다.
(관련기사 법원, 개인정보유출 해킹 사고 ‘옥션 과실 없음’ 인정, “옥션 개인정보 유출 배상책임 없다” )

더욱이 옥션 해킹 사고 이후 일부 변호사가 그럴 듯한 명목과 무책임한 배상액을 내세워 피해자들을 부추기면서 돈벌이 수단으로 이용했다는 비판이 많이 제기됐었습니다.

1심 재판이 끝난 뒤엔 아무런 해명이나 의견수렴 절차를 거치지 않고 항소를 포기해버리고 사건을 방치하는 무책임한 행태까지 나타나 많은 피해자들이 또다시 상처를 입기도 했었죠. 그로 인해 변호사들이 많은 네티즌, 피해자들로부터 원성을 샀습니다.  

옥션 관련 소송 결과와 무책임한 변호사들의 행태로 인한 허탈감과 분노감 때문인지, 많은 사람들이 이같은 집단소송이 결국은 원고측과 피고측 변호사들만 배불리는 결과를 불러왔다는 지적이 많았습니다.
(관련글 공돈 100만원이 탐나시나요?

네해카 등도 이런 점을 감안해 법무법인 선정 등 소송 준비 과정을 신중하게 진행하는 듯 보입니다.

네해카 운영자는 18일 올린 공지에서 “피해자들이 법에 기대 위로 받지는 못할망정, 일부 부도덕한 변호사에게 상업적으로 이용당해 다시 한 번 상처받는, 비극적인 일이 없도록 막겠습니다. 집단 소송 잘못된 문화는 네해카가 반드시 바꾸겠습니다”고 밝혔습니다.

또 “네해카는 피해자들이 직접 개설해 운영하는 최초이자 역대 최대 규모의 피해자 카페이며 변호사들에게 이용 당하지 않도록 피해자들을 보호하는 순수 공익 피해자 커뮤니티”라며, “피해자들 입장에 서서 집단소송 과정에서 절대로 실망시켜드리지 않는 철저하고 공정한 소송 진행과 마무리를 약속드립니다”고 강조했습니다. 

변호사들도 이같은 집단소송에 참여하려면 신중해야 한다는 조언을 하고 있습니다. 

지난 16일 열린 ‘3500만명 개인정보 유출 사태의 원인 및 대책 마련을 위한 토론회’에 패널로 참가한 김학웅 법무법인 창조 변호사는 “최근의 집단소송은 현대형 소송의 특징 중 하나인 ‘소액 피해 다수 피해자’가 의뢰인과 변호사 사이에서 발생하는 것은 아닌지 (우려스럽다)”고 지적했습니다.

김 변호사는 “옥션 사고 직후 3만원의 소송비용을 내면 200만원을 받을 수 있다는 이야기가 공공연하게 떠돌았지만 결국 기각됐다. 대규모 원고인단을 모집해 집단소송하는 것은 무리가 있고, 사업자가 기술적 보호조치의무를 이행하면 손해배상 책임이 없어 소송 승패여부가 달라질 수 있기 때문”이라며 신중을 기해줄 것을 당부했습니다.  

그의 조언은 이것입니다. “불법 행위로 인한 손해배상은 안 날부터 3년, 있은 날로부터 10년이며, 상사 채무불이행으로 인한 손해배상 청구소송은 있은 날부터 5년간 유효하다. 그러므로 집단소송은 1심 판결을 지켜본 후에 참여해도 늦지 않다.”

소송에 참여하기 전에 그 결과에 확신을 갖고 싶다면 귀담아 듣는 것도 좋겠습니다.

2011/08/18 15:18 2011/08/18 15:18

3500만명의 고객정보가 유출된 SK커뮤니케이션즈(SK컴즈)의 네이트·싸이월드 해킹 사고를 계기로 우리나라 ‘주민등록번호’ 제도가 또다시 핫이슈로 부상하고 있습니다.

단일 보안사고로 개인정보 유출 규모가 사실상 인터넷을 사용하는 모든 국민의 개인정보가 유출된 것으로 간주할 수 있다는 점에서 이번 사고 직후 보다 획기적이고 근본적인 개인정보보호 대책이 필요하다는 공감대가 형성됐기 때문입니다.  

주민번호 제도 자체를 손질하건, 수집·활용 관행을 바꾸건 간에 주민번호는 개인정보보호 방안의 중심에 있는 것이 사실입니다.

주민등록번호제도는 1962년 제정·공포된 주민등록법에 따라 50년 가까이 운영돼 왔습니다. 행정업무를 쉽게 처리할 수 있게 하고 범죄 발생시 범인 검거에 결정적인 역할을 하는 등 긍정적인 면도 많지만 지나친 국가통제·감시 수단이라는 비판도 꾸준히 제기돼 왔습니다.

주민번호는 가장 확실한 개인 식별, 본인확인 수단이니 온·오프라인을 막론하고 광범위하게 활용돼 왔습니다. 그러다보니 이를 유출해 악용하는 사례가 많아졌습니다. 특히 오프라인에서의 관행이 그대로 인터넷에 적용되면서 문제는 더욱 심각해졌습니다.

지난 2008년 발생한 옥션 해킹 사고는 1870만명의 회원정보를 통째로 유출하는 첫 대형 개인정보 유출 사례가 됐고, 그 전후에도 계속해서 인터넷상에 개인정보가 노출되거나 해킹 등으로 유출돼 왔습니다.

이제 우리나라 인터넷 사용자 대다수는 영구불변하고 가장 확실한 신원확인 수단인 내 주민번호가 제대로 보호받지 못한 채 불법 유출돼 마케팅에, 범죄에 불법 활용되고 있고 인터넷상에 떠돌고 있다는 것을 알고 있습니다.  

해외 웹사이트에서는 한국인의 주민번호를 쉽게 찾아볼 수 있습니다. 그만큼 우리나라 국민이 스팸이나 피싱, 금융사기를 비롯한 다양한 범죄에 노출돼 있다는 것을 의미합니다. 

누구나 합의하고 있는 기본 원칙은 온·오프라인을 막론하고 사회적으로 광범위하게 사용하고 있고 명백하게 개인을 식별할 수 있는 주민번호의 수집·활용·보관을 최소화해야 한다는 점입니다. 

그 이유로 이번 사고 발생 이후 방송통신위원회와 행정안전부, 여당(한나라당)까지 나서 여기에 초점을 둔 개인정보보호 강화 대책을 잇달아 내놓고 있습니다. (당정, 주민등록번호 활용 최소화 합의, 방통위 “인터넷상 주민번호 수집 원칙적 금지”)

정부의 대책은 인터넷상의 개인정보 수집·활용을 최소화하도록 하고(추가방안 마련 중), 인터넷상의 식별번호 수단인 ‘아이핀(i-PIN)’ 사용을 확대하고 보호조치를 강화하는 게 골자입니다.

하지만 진보네트워크센터(진보넷) 등 시민단체는 주민번호 재발급과 행정목적 이외의 민간 주민번호 수집·사용 금지와 사실상의 인터넷실명제인 제한적 본인확인제 폐지를 해결책으로 제시하고 있습니다.

지난 2008년 옥션을 비롯해 하나로텔레콤 등에서 잇달아 개인정보 유출 사고가 이어졌을 때부터 시민단체는 줄곧 민간·인터넷상의 주민번호 수집 금지, 주민번호 변경·재발급을 포함한 주민번호제도 개선·폐지 등을 요구해 왔습니다. (관련기사 “개인정보유출, 주민등록번호 수집이 문제”)

당시 정부에 주민번호 변경을 신청했던 진보넷은 지난 2일부터 주민번호 변경을 요구하는 청원 운동을 다음 아고라(http://agora.media.daum.net/petition/view.html?id=110274)에서 시작했습니다. (관련기사 개인정보유출 피해자 10명, 주민번호 변경 청구)

개인정보가 유출된 피해자들인 청원 참가자들로부터 주민번호 변경 청구서를 받아 행정안전부에 제출할 계획입니다.

진보넷은 주민번호 변경 청원운동 대국민 제안서에 “공공기관에, 은행에, 인터넷사이트에 앞으로도 주민번호를 계속 써야 한다. 전국민의 주민번호가 이미 유출됐는데 평생 이 번호를 그대로 쓰라는 건 말도 안된다”고 강조했습니다.

이를 요구하는 성명서에서는 “주민번호는 해당 유출사이트 뿐 아니라 대한민국 모든 민간과 공공 사이트에도 접속할 수 있는 만능 인증키이며 원격 거래에도 사용되고 있기 때문에 주민번호 유출은 추가적인 중대 피해로 이어질 수밖에 없다. 그런데도 주민번호를 변경할 수 없기 때문에, 유출 피해자는 주민번호의 도용을 속수무책으로 당할 수밖에 없다”고 지적했습니다.

이번 사건으로 사실상 전국민의 주민번호가 유출된 상황에서 그로인한 피해를 최소화할 수 있는 유력한 방법이 주민번호 변경이라는 것입니다. 

아이핀이 대안이 될 수 없는 이유로는 “아이핀은 정부가 인터넷에 주민번호 대신 보급중인 13자리 가상 주민번호로 5개 민간 신용정보회사들이 발급하고 있다. 아이핀 역시 식별번호이고,  아이핀은 본인확인정보를 5개 민간 신용정보회사로 집중시킨다는 점에서 오히려 부당한 표적이 될 가능성을 높다”고 밝혔습니다. 

이에 대해 행정안전부는 주민번호 변경을 허용하지 않는다는 입장을 내놨습니다. 

주민번호를 변경하려면 막대한 사회적 비용을 초래할 수 있고 자동차 면허, 부동산 등기, 예금 등 광범위하게 사용해 왔기 때문에 오히려 불편을 겪을 우려가 있다는 이유에서입니다. 

대신에 개인정보보호를 위해 주민번호 대체수단이 필요하다는 인식을 갖고 주민등록번호와 증 발행번호로 이원화한다는 계획입니다.

주민등록번호를 대체하는 역할로, 개인정보를 식별하거나 유추할 수 없는 체계로 증 발행번호를 구성해 필요시 변경을 허용한다는 방안입니다.

이미 작년 9월 주민등록증 수록항목에 발행번호를 추가하는 주민등록법 개정안을 국회에 제출했습니다.

또 유예기간을 두고 향후 주민번호 사용을 원칙적으로 제한하는 방안도 검토 중이라고 밝혔습니다.

이에 대해 진보넷은 아이핀과 발행번호 발급을 통해 주민번호를 이원화한다는 방침이 근원적인 대책이 되지 않는다는 입장을 이렇게 말하고 반문하며 다시 확인했습니다.

“행안부가 주민증 발행번호 제도 도입을 명시했다는 법안은 바로 전자주민증 도입 법안”
“행안부는 주민증 발행 번호 제도를 도입하겠다면서 주민번호 병행 사용 방침을 밝히고 있다. 이게 대체 무슨 대책이란 말인가?”
“이번 개인정보 유출 사고를 전자주민증 도입의 계기로 삼으려 한다는 사실이 매우 유감스럽다”며, “정부망을 포함해 어떤 시스템도 완벽한 보안이란 존재하지 않으며 불필요한 개인정보의 전자적 유통을 최소화하는 것이 정답”

반면에 행안부는 전자주민증에 있는 보안성 높은 IC칩에 주민등록번호 등 민감한 개인정보를 내장하고 증 발행번호를 고유번호로 쓰면 주민등록번호의 역할을 대신할 수 있어 해결책이 된다는 것입니다. 따라서 주민등록번호 변경 등에 따른 큰 사회적 혼란을 없애고 주민번호 유출에 따른 오·남용 문제도 해결될 수 있다는 입장입니다.

시민단체와 정부는 이렇게 팽팽하게 맞서고 있습니다.  

이번 사고 이후 정부가 최근 내놓은 대책은 미흡하다고 여겨지는 것은 사실입니다.

또 시민단체가 제시한 주민번호 재발급이 너무 엄청나다는 생각이 들어서인지 다음 아고라 주민번호 재발급 청원운동 참여자 수도 그리 크게 늘고 있지는 않습니다.

과연 털려나간 개인정보 유출 피해를 막고 향후 이런 사태를 방지할 수 있는 근본 해결책이 되면서도 실현할 수 있는 방안을 찾을 수 있을까요?

2011/08/15 22:19 2011/08/15 22:19
스마트시대가 진전될수록 사이버범죄, 보안위협은 더욱 커질 것이란 전망이 우세합니다.

지금도 악성코드, 해킹, DDoS(분산서비스거부), APT(지능적지속가능위협) 등과 같은 각종 사이버공격이 거세지면서 전세계 각국 정부와 기업, 보안업계 등은 대책 마련에 고심하고 있습니다.

올 상반기만 해도 우리나라는 DDoS 공격, 해킹으로 인한 현대캐피탈 고객정보유출, 농협 전산망 장애 등 금융권에서의 잇단 대형 보안사고로 사회적 불안감이 커졌습니다.

더욱이 안드로이드를 주축으로 한 스마트폰 악성코드도 급증하고 있습니다.

악성코드, DDoS, 해킹같은 침해사고는 특정 국가만의 문제는 아닙니다. 

악성코드는 전세계 PC, 모바일 기기, 인터넷 사용자에게 삽시간에 전파되고 있고, DDoS 공격도 전세계 각지의 서버를 경유`악용하면서 공격근원을 찾아내기 어렵게 만듭니다.

몇 년 전 이슈화 됐던 ‘중국발 공격’처럼 해외에서 우리나라를 대상으로 한 공격도 많이 발생합니다.

사이버범죄자가 우리나라 사람이고 우리나라 기관·기업의 사이트를 대상으로 했더라도 해외에서 공격하거나 수사기관에 검거당하지 않도록 숨어버립니다. 

작년 하반기에 이슈화 됐던 ‘스턱스넷’도 이란뿐만 아니라 중국, 인도네시아 등 많은 국가에서 동시에 영향을 미쳤던 것으로 분석됐습니다.

요즘 국내 언론에도 오르내리며 유명해진 ‘어나너머스’나 ‘안티섹’, ‘룰즈섹’과 같은 해커집단들도 나라와 정부, 기업을 가리지 않고 전세계 무대로 활동하고 있지요.

국경이 없는 사이버범죄의 이런 특성 때문에 사이버위협과 범죄에 대응하기 위해선 ‘국제공조·협력’의 중요성은 점점 더 커지고 있습니다.

현재 유행하고 있거나 새로운 위협동향을 알고 대처하기 위해서뿐만 아니라 사이버공격자들을 소탕하기 위해선 세계 각국이 서로 협력하고, 각자 위치에서 모두가 노력해야 합니다.

사용자 삽입 이미지
그 점에서 최근 있었던 한 정보보호 행사에서 염흥열 순천향대 교수(한국정보보호학회장)가 국제공조 협력을 강화하기 위해 국제 사이버범죄조약에 가입하자는 제안을 한 것에 관심이 쏠렸습니다.

지난 5일 한국인터넷진흥원 주관으로 열린 ‘정보보호 심포지움(SIS) 2011’에서 축사를 맡은 염 교수는 ‘스마트 환경에서의 사이버 위협과 보안대책’인 이날 행사 주제에 맞춰 5가지 방안을 제안했는데요.

▲스마트 위협에 적합한 연구개발·기술표준 강화 ▲사이버보안 인력 양성 선순환 육성체계 운영 ▲침해사고 대응시 각 기관, 특히 법 집행기관과 연구기관 등의 만·관 협력체계 강화 악성코드 방지를 위한 법적기반 마련 ▲국제공조·협력 강화입니다.

염 교수는 ‘국제공조·협력 강화’를 이야기하면서 “특히 부다페스트 사이버범죄조약 가입을 적극 검토해야 한다”고 목소리를 냈습니다.

이 사이버범죄 조약, 일명 부다페스트 조약은 사이버범죄에 대응하기 위한 최초의 국제조약이랍니다.

지난 2011년 11월 23일 헝가리 부다페스트에서 열린 사이버범죄 국제회의에서 전세계 30개국이 조약에 서명해 ‘부다페스트조약’이라고 불리고 있답니다.

이 조약은 인터넷상의 모든 범죄행위에 대해 상세한 규정을 두고 이를 처벌하도록 했습니다. 

컴퓨터 시스템이나 데이터에 대한 불법 접속, 지적재산권 침해, 컴퓨터바이러스 개발 및 유포, 아동 포르노그래피 배포 등을 범죄행위로 규정하고 조약 참가국들이 국내법으로 이를 금지하도록 의무화했습니다.

이 조약에 서명한 국가들은 사이버범죄에 대응하기 위해 법규정을 표준화하고, 핫라인 설치 국제공조체제를 구축하고 있는데, 현재 유럽을 중심으로 캐나다, 일본, 미국, 멕시코, 이스라엘 등 40여개국이 가입돼 있는 것으로 알려져 있습니다. 

염 교수는 “사이버공격이 발생하면 증거자료 수집체계가 중요한데, 이 프레임워크도 공동 제공하고 있다”며, “사이버범죄 위협 대응을 위한 국제 공조와 협력을 강화하는 차원에서 정부 관계자들이 이 조약가입을 적극 검토했으면 한다”고 말했습니다.

그동안 정부가 내놨던 정보보호 중기 정책이나 종합계획에도 국제공조·협력 강화는 항상 포함돼 있었습니다. 사이버범죄 수사에 실질적인 국제공조가 절실한 경찰도 국제 심포지움 개최 등으로 각국의 수사기관 등과의 교류를 강화하는데 힘을 기울이고 있습니다.

KISA(인터넷진흥원)도 APCERT(아태침해사고대응센터협의체)에 참여해 중추적인 역할을 담당하는 등 민간 차원의 국제협력에 매진하고 있지요.

주요국가들이 참여해 만들고 강화해온 부다페스트 조약을 비롯해 어떠한 국제적인 협력체계라도 국경없는 사이버범죄 대응과 근절에 효과적이라면 시급하고도 구체적으로 검토해보는 것이 필요할 것 같습니다.

2011/07/11 11:03 2011/07/11 11:03