기본분류

[취재수첩] ‘보안사고는 막을 수 없다’는 인식

이유지 기자
[디지털데일리 이유지기자] APT(지능형지속가능위협)로 불리는 지능형 표적공격이 DDoS(분산서비스거부) 공격과 함께 올해 보안업계와 전문가들 사이에 최대 화두가 됐다.

지난해 하반기 이란 부셰르 원자력발전소를 공격한 ‘스턱스넷’ 악성코드가 등장하며 본격적으로 알려지기 시작한 APT라는 용어는 대규모 개인정보를 유출시킨 SK커뮤니케이션즈 사고를 계기로 국내에서도 현실화된 가장 위협적인 공격방식으로 현재 인식되고 있다.

APT 공격은 특정한 대상과 목표를 겨냥한다는 점에서 불특정 다수를 대상으로 한 기존 해킹과는 구별된다. 표적으로 삼은 기업이나 기관 등 조직의 네트워크에 은밀하게 침투해 오랜기간 잠복하면서 기밀정보를 유출하는 식으로 반드시 공격목표를 달성한다. 공격대상의 네트워크나 보안 환경까지 치밀하게 파악해 성공을 거둘 수 있는 수법을 사용하기 때문에 사전에 탐지하고 대응하는 것이 무척 어렵다고 알려져 있다.

공격도 일회성이 아니라 장기간에 걸쳐 이뤄지고, 여러 악성코드나 공격 루트를 이용한다.

김홍선 안철수연구소 대표는 최근 기자와 만난 자리에서 “최근 발생하는 많은 보안사고의 대부분은 APT로 봐도 무방하다”며, “알려지지 않았지만 APT 공격은 무척 많이 발생하고 있다”고 말해, APT 공격이 일반화되는 추세가 되고 있다는 것을 실감하게 했다.

‘10.26 선관위 DDoS’ 사건에 상당히 묻혀버리긴 했지만, 얼마 전 발생한 온라인게임 ‘메이플스토리’ 해킹 사고 역시 운영사인 넥슨 스스로 “APT 공격으로 추정된다”고 밝히기도 했다.

그 이유로 많은 보안업체들이나 전문가들은 APT 공격에 주목하면서 막을 방안을 제시하고 있거나 대응방안 마련에 부심하고 있다.

여러 솔루션과 대책이 제시됐음에도 아직은 시장에서는 일단 APT 공격이 발생하면 이를 막을 뾰족한 대안이 없다는 인식이 팽배하다.

극단적으로 말해 APT 공격은 ‘막을 수 없는 불가항력적인 위협’이란 등식이 성립되고 있는 듯한 느낌마저 받고 있다.

APT와 더불어 올해도 여전히 이슈화된 DDoS 공격 역시 2~3년 전까지만 해도 막을 수 없는 공격으로 인식되는 분위기가 있었다.

그 때문에 일부 전문가들은 APT라는 용어가 보안사고 책임을 면피하는 수단으로 악용(?)되거나 보안사고는 막을 수 없다는 패비의식(?)의식을 낳고 있다는 우려의 목소리마저 나오고 있다. 한 전문가는 우스개 소리로 “북한 소행과 같은 말”이라고 했다.

물론 보안대책을 아무리 잘 적용했다 해도 100%의 보안성은 누구도 자신할 수 없다. 그 점에서 한 보안업계 담당자에게 들은 이 말도 충분히 공감할 수 있다. “기업의 보안담당자를 만나보면 ‘제발 우리회사만은 공격대상이 되는 불운을 피해달라’는 심정으로 운에 맡기고 있더라.”

그럼에도 신종 공격수법에 보안 솔루션, 보안관제 등 다양한 보안대책이 속수무책으로 인식되거나 지능화된 공격이 대규모 고객정보 유출 사고의 책임소재를 불분명하게 만드는 요인으로 작용된다면, 기업이나 국가 차원의 보안수준을 높이는데에는 아무런 도움이 안될 것 같다.

<이유지 기자> yjlee@ddaily.co.kr

이유지 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널