Home > 전체기사

러시아와 우크라이나 전쟁을 맞아 CSO들이 자문해야 할 것 5가지

  |  입력 : 2022-05-17 22:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
요즘의 전쟁은 반드시라고 해도 될 만큼 사이버전 행위를 동반한다. 그리고 사이버전 행위들은 물리적 국경선을 엄격히 지키지 않는다. 공격자가 노리지 않더라도 국경이 없는 사이버 공간의 특성상 엉뚱한 곳에서 피해가 발생할 수 있다. 그렇기 때문에 요즘 세상에서 전쟁이 터지면 보안 강화를 실시해야 한다.

[보안뉴스 문가용 기자] 세계는 적어도 지난 수십 년 동안 한 번도 겪어보지 못했던 지정학적 충돌이 물리적으로 발생하는 상황을 겪고 있다. 그리고 그 충돌로 인해 여러 산업 내 기업들이 신음소리를 내기 시작했다. 이미 2년 이상 끌어왔던 팬데믹으로 경제적 지반이 약화될 대로 약화되었기 때문에 우크라이나와 러시아의 전쟁이 주는 영향이 더 치명적으로 다가오고 있다. 동시에 이런 대립의 분위기 속에서 사이버 공격자들의 악성 행위가 더 위험해질 것으로 예상되고 있기도 하다.

[이미지 = utoimage]


전쟁이 시작된 이후 세계의 정부들은 국가 지원 해커들의 갖가지 사이버 공격이 있을 지 모르니 주의하라는 경고를 냈었다. 4월 20일 미국의 사이버 보안 담당 기관인 CISA는 이른 바 파이브아이즈(Five Eyes)라고 불리는 국가들의 여러 사이버 보안 관련 기관들과 함께 이러한 내용의 합동 보안 권고문을 낸 바 있다. 최근에도 민간 기업들에 사이버 보안을 강화하여 국가 지원 해커들로부터 스스로를 보호하라는 내용의 경고를 했었다.

21세기형 코드 전쟁
사이버 공격은 정보전의 일종으로, 흔히들 5차원 전쟁으로 일컫기도 한다. 하지만 현재에는 일반적인 군사 교전에서 우위를 점하게 해 주는 필수적 전쟁 기능의 일부로 인식된다. 사이버전 능력을 활용해 통신 시설을 마비시킨다거나 에너지 및 운송 시설을 파괴해 사회적 혼란을 가져오고, 이를 통해 적군의 힘이 서서히 빠지도록 하는 것이다.

사이버전 능력을 활용해 전쟁이나 지정학적 충돌 상황에서 유리한 고지를 선점하는 건 더 이상 새로운 일이 아니다. 에스토니아와 조지아에서도 이미 오래 전에 사이버전이라는 것이 등장했고, 십여 년 전부터도 이스라엘과 이란은 서로를 겨냥해 사이버 공격을 일삼았다. 한 번은 이란의 해커들이 이스라엘의 수도 공급 시설을 해킹해 염소의 농도를 높이려 하기도 했었다. 성공했었다면 수천 명의 일반인들에 악영향이 있을 법한 공격이었다.

그리고 오늘, 러시아와 우크라이나의 전쟁이 끝날 줄 모르고 이어지는 상황 속에서 국가의 지원을 받는 사이버전 부대들이 침묵을 지키고 있으리라고 예상하기는 힘들다. 이미 우크라이나의 각종 사회 기반 시설과 단체들에서 사이버 공격이 목격됐다. 우크라이나 최대 통신사도 누군가의 공격을 받았고, 이로 인해 전국 인터넷 접속율이 13% 하락하는 등 여러 가지 사회적 혼란이 야기됐다.

위협 지형도 탐험하기
사이버 공격의 불똥이 우크라이나와 러시아의 국경 안에서만 튀고 바깥으로 전혀 튀지 않을까? 이는 매우 순진한 생각이다. 언제라도 우크라이나와 러시아의 전쟁 때문에 우리 조직에도 영향이 있을 수 있다고 여기고 미리 대비해야 한다. 하지만 어떻게? 모든 조직의 보안 수준이 다르고, 주의해야 할 것이 다르며, 특성도 다 다른데 말이다. 그렇기에 필자는 다음 다섯 가지 질문을 바탕으로 현재 벌어지고 있는 상황 속에서 최대한의 방책을 강구하라고 권하고 싶다.

1. 우리 네트워크의 경계선은 끊임없이 점검되고 보호받는가?
현대의 인프라, 특히 IaaS 형태의 인프라는 자동 확장되고 한시적으로만 형성됐다가 폐기되는 등 전통적 의미의 네트워크에 비해 확고한 모양을 갖추고 있지 않다는 걸 기억하고, 그렇기 때문에 발생할 수 있는 여러 가지 변수에 대비해야 한다. 오늘 날의 하이브리드 업무 환경에서 네트워크 경계선 혹은 외곽선이란, 방금 잠깐 자기 집에서 자기 장비로 회사 네트워크에 연결한 그 지점이다. 언제 나타났다가 언제 사라질 지 모른다. 이런 새로운 패러다임에 적응하는 것이 필요하다. 물론 이렇게 형태가 불분명한 네트워크를 이해한다는 게 말처럼 쉬운 건 아니다. 장기간의 여정이 될 지도 모른다. 하지만 그 시작은 실시간 자산 목록화 혹은 인벤토리 작성이다.

2. 로깅과 탐지는 충분히 이뤄지고 있는가?
만약 그렇지 않다면 지금부터라도 인터넷을 통해 외부로 노출된 모든 영역들과 가장 핵심적인 요소들로부터 로깅을 시작해야 한다. 로깅이 되지 않으면 사고가 발생하거나 의심스러운 일이 발견됐을 때 조사에 착수할 수가 없게 된다. 실제 해킹 공격이 발생했을 때 금보다 귀한 건 로그 데이터라는 걸 기억하자. 로깅 점검을 마쳤다면 다음으로는 탐지 능력 점검이다. 어떤 위협들을 잘 탐지하며, 어떤 부분에 약점이 있는지, 탐지와 대응의 전략이 잘 수립되어 있는지를 평가하고 보강하는 작업이 필요하다.

3. 사건 대응 능력, 어느 정도 수준에 와 있는가?
요즘 보안 트렌드는 사건을 처음부터 완전히 예방하는 것이 아니라 빠르게 대응하여 피해를 최소화 하는 것에 초점을 맞추는 것이다. 빠르고 효과적인 대응은 외부의 전문가 및 유관기관, 내부의 여러 관계자들(IT, 법무, PR, 고객 관리 등)의 유기적인 협조로부터 나온다. 즉 사건이 터졌을 때 누가 어떤 일을 담당할 것인지 시나리오가 갖춰져야 하고, 실제로 훈련까지 되어 바로 움직일 수 있게 해야 한다. 사건 시나리오를 미리 만들어 실제 적용해 보면서 미세 조정까지 마쳤는지, 아니면 대강 머릿속으로만 대처 방안을 한 번 떠올려 본게 고작인지 검토하자.

4. 현재 다중인증 기능이 어느 정도로 적용되어 있는가?
보안 업계에서 몇 년 전부터 유행하기 시작한 말이 있다. 아이덴티티는 새로운 외곽(identity is the new perimeter)이라는 말이다. 너무나 많은 사용자가, 더 많은 장비들을 가지고, 다양한 장소에서 회사 네트워크에 접속하는 게 일상인 시대에 인증 절차를 강화하는 것만큼 중요한 건 없다. 그리고 현재 가장 강력하다고 여겨지는 인증 방법은 다중인증이다. 가장 민감한 부분과 데이터에 다중인증 기능을 마련하고, 각종 접근점에 다중인증 옵션을 걸어두는 건 그리 어려운 일이 아니다. 하지만 대단히 효과적이다. 한 가지 주의해야 할 건 문자 기반 이중인증은 이미 해커들이 곧잘 뚫어낸다는 것이다. 다중인증을 도입하되 문자 기반 이중인증은 되도록 피하는 것이 좋다.

5. 우리 회사의 보안 문화는 어느 정도 수준인가?
보안은 모든 사람들의 책임이며, 누구나 보안 강화에 어느 정도 역할을 담당해야 한다. 하지만 모두가 같은 보안 지식을 가지고 있지도 않고 그럴 필요도 없다. 직위나 직책에 따라 삼엄한 보안의 태도가 요구되기도 하지만, 피싱과 비싱만 구분할 줄 알아도 충분한 경우도 많다. 중요한 건 보안에 대한 거부감이 없어야 한다는 것인데, 이는 ‘보안 문화 정착’으로서 해결을 도모해야 한다. 손을 씻으라는 말에 아무도 거부감을 느끼지 않듯, 아니 오히려 그런 당연한 위생 실천 사항을 지적받았다는 것에 부끄러움을 느끼듯, 보안 실천 사항에 대해서도 당연히 해야 할 것이라는 반응이 나와야 한다. 이는 꾸준한 교육과 보안 관련 정보에 대한 지속적인 노출을 통해 이룰 수 있다.

현재 러시아와 우크라이나의 충돌 때문에 특히 조심해야 하는 건 유럽연합의 단체들과 금융, 석유, 가스, 에너지, 운송, 물류 산업에 속한 기업들이다. 하지만 사이버 공격이라는 건 언제 어디로 추가 피해 혹은 부수적 피해를 일으킬지 모른다는 특성을 가지고 있다. 그러므로 유럽도 아니요, 위에 열거한 산업도 아닌 기업이라고 해서 마냥 안심해서는 안 된다. 어쩌면 당신의 회사를 통해 석유 회사나 은행을 공격하려는 시도가 있을 수도 있다. 그렇지 않더라도, 이러한 상황을 발판 삼아 조직 전체의 보안을 강화하는 것은 언제나 이득으로 되돌아올 것이다.

글 : 요게시 바드웨(Yogesh Badwe), CSO, Druva
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)