Home > 전체기사
사회 기반 시설 보안, 복구가 아니라 예방을 우선시 해야 한다
  |  입력 : 2020-02-03 17:39
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사회 기반 시설을 직접 타격하지 않아도 그에 준하는 사회적 혼란 일으킬 수 있어
예방을 우선시 하는 보안이란 제로 트러스트라는 개념을 적극 도입한 보안


[보안뉴스 문가용 기자] 미스터 로봇(Mr. Robot))이라는 TV 드라마 시리즈에 한 흥미로운 인물이 등장한다. 낮에는 촉망 받는 사이버 보안 전문가이지만, 밤에는 에프소사이어티(fsociety)라는 단체에 소속된 핵티비스트로 활동하는 자다. 에프소사이어티는 미국의 대기업들을 전복시키고자 하는데, 이들이 목표를 달성하기 위해 취한 방법은 모든 시민들의 빚과 관련된 기록을 삭제하는 것이었다.

[이미지 = iclickart]


핵티비스트들이 성취하고자 했던 건, 금융 인프라를 건드려 세계 경제를 휘젓고, 대 혼란을 가져옴으로써 자신들의 이상과 정치적 목적을 달성하는 것이었다. 물론 가상의 시나리오이긴 하지만, 한 가지 치명적인 현실 하나를 드러내고 있다. 그건 지금 우리가 사는 시대가 너무나 촘촘하게 연결되어 있어, 우리가 생각하는 ‘사회 중요 인프라’의 개념이 불과 몇 년전과 크게 달라졌다는 것이다.

전력 공급소, 화학 공장, 정부 기관 등에 ‘중요 사회 기관’이라는 이름이 붙는 건 예나 지금이나 온당하다. 문제는 초연결 사회가 되면서, 기존 ‘중요 사회 기관’처럼 공격을 받았을 때 사회적 파급력이 큰 시설들이 늘어났다는 것이다. 직접 전력 공급소나 화학 공장 등을 타격하지 않아도 똑같은 효과를 가져갈 수 있는 방법들이 더 많이 생겨났고, 생겨나고 있다.

너무나 밀접하게 연결이 되고, 표적형 공격이 늘어나면서, 위험을 예측 및 평가한다는 게 불가능할 정도로 어려워지는 시대에, 중요 사회 시설을 운영하는 조직들의 보안 업무 난이도는 터무니 없이 치솟고 있다. 이들은 자신과 관련된 생태계를 이전과 비교할 수 없을 정도로 넓은 시각을 가지고 관찰해야 하며, 관련자들의 사이버 보안 교육과 훈련 과정도 고안해야 하고, 사전을 미연에 방지하기 위한 제로 트러스트 모델도 도입해야 한다.

훈련과 인식 제고로 사이버 위험 완화하기
2019년 2월, 미국 콜로라도 주의 포트콜린스 러브랜드워터(Port Collins Loveland Water District)와 사우스 포트 콜린스 새니테이션(South Fort Collins Sanitation District) 지구가 랜섬웨어에 감염됐고, 근무자들은 컴퓨터에 접근할 수가 없었다. 2년 동안 두 번이나 일어난 일이었다. 2019년 9월, 인도에서 가장 큰 핵 발전소인 쿠당쿨람 핵 발전소(Kudankulam Nuclear Power Plant)가 멀웨어 공격에 당했다. 2019년 11월, 멕시코의 석유 업체인 페멕스(Pemex)의 컴퓨터가 다운되는 바람에 5백만 달러라는 돈을 공격자들에게 내야만 했다. 거슬러 올라가면 이런 종류의 사건은 끝도 없이 발견되고 있다.

이런 상황이니 사이버 보안 위험을 줄이고자 하는 많은 조직들이 보안 예산을 증가시키고 있다. 2022년 전 세계 보안 예산은 1388억 달러로 커질 것으로 전망된다. 백악관의 2020년 예산만 보더라도 사이버 보안 관련 활동에만 174억 달러가 할당됐다. 2019년에 비해 5%나 오른 수치다. 나쁜 현상은 아니지만, 돈을 더 쓴다고 반드시 향상되는 것은 아니다.

사회 기반 시설에 대한 표적 공격은 계속해서 증가하고 있다. 국가의 지원을 받는 사이버전 부대들은 정치나 이데올로기 등에 기반한 공격을 감행하기 위해 사회 기반 시설을 표적으로 설정한다. 금전적인 목적을 달성하고자 사이버 공격을 하는 자들 역시 ‘돈을 낼 수밖에 없는 상황’을 만들기 위해 사회 중요 시설을 표적으로 삼는다. 왜? 현대의 사회 기반 시설이 사이버 공격이 활성화 되기 이전 시대의 오래된 시스템들과 현대 IT 시스템들로 구성되어 있기 때문이다.

그러나 공격을 허용하고, 공격자들에게 끊임없는 자신감이 되는 요소는 바로 ‘인간’이다. 위에 언급했다시피 예산이 늘어났기 때문에 보안 솔루션들은 대부분 조직에 있을 만큼 있는 상황이다. 공급망에 대한 방어 시스템도 서서히 완성되어 가고 있고, 파트너사들과의 관계에서도 보안이 중요시 여겨지고 있다. 다만 기초적인 보안 인식 제고와 기본 실천 사항 준수에 있어 교육의 성과가 아직도 선명히 나타나고 있지 않다. 즉, 시스템이 얼마나 단단해지든 간에, 사이버 공격자들이 돌아다닐 길목이 여전히 존재한다는 것이다.

운영진들의 접근 방식에도 문제가 없지 않다. 특히 사회 기반 시설의 사이버 보안을 예방이 아니라 복구라는 방향에서 추구한다는 것이 가장 심각한 문제다. 복구 대신 예방을 추구한다는 건, 인터넷과 인트라넷에 연결 가능한 모든 장비나 소프트웨어를 잠재적 위험 요소로 간주하는 것과 같다. 즉, 최근 흔히들 말하는 제로 트러스트가 예방적 보안의 중추와 같다는 뜻이다. 예방이 최우선의 가치관이라면, 제로 트러스트가 도입되어야 한다. ‘괜찮을 거야’, ‘별일 있겠어’라는 생각이 뿌리를 내리지 않는다는 뜻이다.

임원이나 막내 직원이나, 조직 내 모든 구성원은 기술력과 조우하고, 기술을 활용하는 모든 자리가 잠재적 공격 루트로 활용될 수 있다는 사실을 철저하게 깨달아야 한다. 아니, 마음 깊이에서부터 절감해야 한다. 이를 위해서 보안 교육과 인식 제고 프로그램을 조직이 끊임없이 준비하고 임직원을 참여시켜야 한다. 당신이 보안 담당자가 아니더라도 보안에 지대한 영향을 미칠 수 있다는 걸 알려줘야 한다는 소리다.

사회 인프라 혹은 주요 기반 시설에 대한 공격이 이루 다 보도할 수 없을 정도로 늘어나고 있다는 건 사실이다. 그러나 최근 사회의 밑바탕이 되고 있는 기술적 변화와 사회 인프라라는 특성을 고려했을 때 보안은 일반 기업의 그것과 다른 식으로 접근되어야 한다. 그건 바로 예방에 기초한 ‘탑다운’ 방식이다. 보안의 전략과 문화가 위에서부터 아래로 내려와야 한다는 것이다. 보다 구체적으로 말하자면, 제로 트러스트를 임원들이 교육 등의 방법을 사용해 전사적으로 전파해야 한다.

새로운 시대가 시작되고 있지만 아직 우리에게 알려진 것들보다 알아가야 할 것이 더 많이 남아있다. 예방의 차원에서 사회 기반 시설을 보호해야 한다고는 하지만, 정말 모든 것을 예측해 완벽한 방어를 해야만 한다는 건 아니다. 다만 보안을 대하는 태도가 근본부터 변화해야 하는 건 틀림없다. 사회 기반 시설이기 때문이다.

글 : 베니 차르니(Benny Czarny), OPSWAT
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)