[사이버국방리포트] 사이버보안 인텔리전스 기반확보의 필요성

사이버공격 방법·배후의 정확한 분석 위한 키워드는 ‘사이버게놈’

이에 앞서 주로 사용하는 HW 및 SW의 취약점 데이터 축적 선행돼야

[보안뉴스=김휘강 고려대학교 교수] 지능형 지속위협(APT: Advanced persistent threat) 공격은 최근 몇 년간 전 세계 정부와 군수업체 등 주요 기밀정보를 다루는 기관의 네트워크에 실제적이고 지속적인 위협을 가하여 왔고, 많은 보안회사에서도 가장 위협적인 공격 유형으로 분류하고 있다.

과거에는 어디에서 들어온 공격인지 IP 주소를 기반으로 분석하여 해당 IP 주소를 보유한 기관, 국가와 공조하여 수사를 진행하거나, 어떤 유형의 공격이 들어왔는지를 분석하여 피해확산을 막는 쪽에 집중했지만, APT 공격이 지속해서 발생하는 동안 공격자는 끊임없이 공격기법과 IP 주소를 바꿔가면서 공격을 하므로 ‘어디서(IP 주소)’와 ‘어떻게(공격기법)’라는 요소에 기반을 둔 분석 프레임워크로는 한계에 부딪히게 되었다.

그래서 단순히 평면적인 분석이 아니라 과거의 모든 공격 내용, 알려진 공격코드, 해커들의 습성 및 행적을 종합적으로 분석하여 ‘어디서’와 ‘어떻게’에 대한 누적된 데이터 속에서 ‘누가’, ‘왜’ 공격했는지를 입체적으로 추론해내는 것이 필요해지고 있고, 이를 정형화하여 사이버보안 인텔리전스(Cyber Security Intelligence) 체계를 갖추는 것이 중요하게 되었다.

예컨대 2013년 3월 20일과 25일, 26일 연이어 국내에 사이버테러가 발생했다. 이 사건은 국내 언론과 금융에 타격을 주어 대국민 혼란을 초래할 수 있는 상당히 전략적인 공격이었다. 3월 20일 사이버테러가 발생하기 한 달 전 이미 북한 내부 인터넷 주소에서 감염 PC 원격조작 등 명령 하달을 위한 국내 경유지 접속 흔적을 남긴 것을 찾아냈고, 공격 경유지 49개 중 22개가 과거 2010년 해킹 때 사용했던 경유지와 동일하다는 점을, 그리고 북한 해커만 고유하게 사용하는 감염 PC의 식별번호 및 감염신호 생성코드의 일치성을 근거로 하여 북측의 소행이었음을 추론해 내었다. 만약에 이 사건이 어떤 공격기법이 사용됐는지만 밝혀지고 최종적으로 누가 감행한 공격인지를 끝까지 알 수 없었다면 장기적으로 사회에 더 큰 혼란과 불안을 일으키게 되었을 것이다.

어디서 어떤 공격이 날아올지 모르는 상태에서 가상의 적 역시 설정해 두지 않은 상태로 모든 영역에 걸쳐 모든 수단에 대해 방어를 한다는 것은 불가능하다. 즉, 누가 공격을 했는지, 왜 이런 공격을 했는지 특정 지을 수 있어야만 이를 근거로 공격을 감행한 개인 또는 단체, 국가를 특정하고 이에 대한 대응을 취할 수 있기 때문이다. 나아가 예방 및 조기 탐지 역시 누가, 왜라는 컨텍스트의 분석 없이는 불가능하다고 할 수 있다.

미국과 중국은 며칠 전 정상회담을 가졌다. G2간의 논의할 의제들이 다양하게 있었음에도 불구하고, 사이버테러와 관련된 안건이 가장 핵심적인 논의안건이 되었다. 이번 정상회담 전부터 외교적 레토릭과는 거리가 멀게, 척 헤이글 美 국방장관이 공개적으로 중국의 군 당국이 조직적으로 미국의 공공분야 및 주요시설에 대해 해킹을 하고 있다고 밝히기도 했는데, 사이버테러와 같이 확실한 물증을 잡기 어려운 분야에서 미국은 과연 어떻게 확증을 갖고 외교적 마찰을 빚을 수도 있는 저런 발언을 할 수 있었던 것일까?

물론 사이버 상이 아닌 오프라인 상의 전통적인 인간정보(HUMINT)를 이용했을 것이고 더불어 신호정보(SIGINT) 수단들을 동원했을 것이다. 하지만 우리가 주목해야 할 것은 전통적인 방식으로 수집된 정보가 사이버보안의 악성코드 및 해킹기법, 해커들과의 정보와 연계하여 확실한 근거를 도출했다는 점이다. 미국은 국가기관 및 시설에 대한 사이버 공격행위를 ‘전쟁행위’로 간주해 미사일 발사 등 무력 대응을 검토한다고 밝힌 바 있다. 혹여라도 오탐을 하여 엉뚱한 진원지를 공격하게 된다면 이는 심각한 외교적 문제를 일으킬 수 있게 되는 사안이 되므로 무력 대응을 물리적으로 하려면 공격 원점을 정확한 정보에 기반하여 밝혀내야 한다.

그렇다면 이러한 사이버공간에서 발생한 공격정보를 기존의 정보들과 어떤 형태로 결합해 분석하면 될까? 바로 사이버게놈(Cyber Genome)이라는 키워드에 답이 있다.

美 국방성의 방위고등연구계획국(DARPA: Defense Advanced Research Projects Agency)는 어나니머스(Anonymous) 해커 단체에 공격을 받은 이후 2010년 1월 사이버게놈(Cyber Genome) 프로젝트 개발 작업에 착수했다. DARPA의 사이버게놈 프로젝트는 사이버공격의 경로와 배후를 추적하기 위해 악성코드, 해커, 해킹그룹, 유포지, 공격지 등의 특성을 분석·분류하는 연구로 악성코드 및 해킹기법들을 상시 분석하여 공격의 구조, 제작자, 제작목적 등 다양한 특징을 분석하고, 이를 제작한 배후의 해커 및 해킹그룹과 연계한 프로파일링 프로젝트이다.

사이버 공격을 예방하고 사전에 차단하기 위해 해커의 습성과 특징을 파악하고 앞으로 진행될 공격방법과 경로 유추 및 해커의 행동을 실시간 분석할 수 있는 기술은 사이버 공격에 대한 효과적인 대응기술이 될 것이다. 다양한 악성코드 분석과 해킹사건 분석을 통해 도출되는 해커의 아이디, 해킹그룹 식별능력이 있을 때에 분석 및 대응에 소요되는 시간을 절약하여 수많은 공격에 효과적으로 대응할 수 있을 뿐 아니라 잠재적으로 발생 가능한 사이버테러에 대한 억지력을 사전에 확보할 수 있게 된다.

그렇다면 이러한 분석력을 갖추기 위해서는 어떤 투자가 필요할까? 빅데이터 기반의 검색, 데이터마이닝 기반의 추론 등의 고급기술도 물론 필요하겠지만, 보안에 있어 가장 기본이라 할 수 있는 자산, 국내 주요기관에서 사용되고 있는 하드웨어 및 소프트웨어의 취약점들에 대한 데이터부터 축적하는 것이 되어 않으면 아무것도 할 수 없다.

이런 자산들에 대한 분석과 취약점에 대한 장기적인 데이터 축적은 화려하지 않은 연구이고, 채산성이 맞지 않기 때문에 국내에서는 소외된 면이 없지 않다. 즉, 자신이 사용 중인 정보자산의 취약점을 파악하고 이를 공격할 수 있는 기법들은 어떤 것들이 있는지를 알아야, 공격기법으로부터 공격자를 특정해내고 공격의 의도를 추론해낼 수 있는 사이버게놈 시스템을 구축할 수 있게 된다.

사이버 공간상에서도 지피지기면 백전불패라는 말은 여전히 유효한 격언이다. 당장 눈에 보이는 화려한 분야에 대한 투자도 당연히 필요하겠지만, 정보보안의 기초체력이라 할 수 있는 분야들에 투자하여 미래 사이버전에 대비하는 노력이 필요하다 하겠다.

[글_ 김 휘 강 고려대학교 사이버국방학과 교수]

[사이버국방리포트 원본 링크]

www.boannews.com/board/view.asp?idx=42

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)