상대를 알고 나를 알면 백 번 싸워도 위태롭지 않다는 뜻으로, 상대편과 나의 약점과 강점을 충분히 알고 승산이 있을 때 싸움에 임하면 이길 수 있다는 말이다.

국내 사이버보안에도 이러한 말을 그대로 적용할 수 있다. 지난해 3월 20일 발생한 전산망해킹 역시 우리가 무엇을 지켜야하는지, 어떤 위협을 받고있는지를 전혀 모르고 있는 상황에서 발생한 사고였기 때문에 피해도 컸고, 대응도 늦을 수 밖에 없었다.

특히 3.20 전산망해킹 사건 이후 국내 보안업계에서는 지피지기에 대한 중요성을 강조하고 있다. 한국의 인터넷 상황을 비롯해 고위공무원을 노린 스피어메일과 같은 공격이 점차 증가함에 따라 우리의 처한 현실을 분석하자는 움직임이 커져가고 있다.

◆불특정다수를 노린 웹 공격 급증, 대안 마련 시급=과거 악성코드의 유포가 불법SW 등을 통해 이뤄졌다면 최근에는 웹페이지를 통한 공격이 증가하고 있다.

드라이브바이다운로드(Drive by download), 워터링홀(Watering Hall) 공격으로 불리는 이 기법은 웹페이지의 취약점을 통해 악성코드를 심어두고 불특정다수에게 악성코드를 유포하는 방식이다. 지난해 6.25 사이버공격에서 특정 공공기관 사이트를 공격했던 수법이 바로 이것이다.

문제는 이러한 웹 공격이 눈에 띠게 증가하고 있다는 점이다. 전상훈 빛스캔 이사는 “지난 1년간 악성코드 링크의 등장빈도가 점점 더 높아지고 있다는 사실에 주목해야 한다”며 “악성코드 유포가 증가한 것과 더불어 공격자들이 더욱 대담해진 것도 특징”이라고 설명했다.

과거 공격자들은 자신의 정체를 드러내지 않기 위해 악성코드 링크 유포가 보안업체들에게 발견되면 그 즉시 유포를 중단하고 숨었다. 최근 공격자들은 여러 경로의 유포지를 사용하기 때문에 보안업체들에게 적발되더라도 유포를 멈추지 않는다.

피해를 입은 업체들이 자신들이 처한 상황을 제대로 인지하지 못하고 있는 것도 문제다. SQL인젝션, 크로스사이트스크립트(XSS) 취약점으로 인해 악성코드 유포지로 악용된 어학원, P2P, 언론사, 종교단체 등은 보안업체에서 알려주기 전까지 해당 사실을 인지하지 못하고 있으며, 후속조치 역시 이뤄지지 않아 꾸준히 피해자를 만들고 있다.

전 이사는 “한국의 인터넷 상황은 최악으로 내딛고 있다. 우린 스스로가 처한 상황을 제대로 알고있지 못하다”며 “악성코드 유포지를 사전에 차단할 수 있는 시스템을 구축해야 제2의 3.20 사태를 겪지 않을 것”이라고 강조했다.

◆“적들은 우리를 너무나 잘 알고있다”=불특정다수를 노리는 악성코드 유포도 문제지만 특정기관, 인물을 대상으로 진행되는 타깃공격도 주의가 필요하다. 지난 몇 달간 발견된 아래아한글 취약점을 악용한 악성파일들이 이를 뒷받침 한다.

문종현 잉카인터넷 팀장은 공격자들이 우리의 정보를 샅샅이 알고 있다고 경고했다. 그는 “특정인을 노린 타깃공격 등으로 인해 우리의 정보가 지금 이 시간에도 빠져나가고 있을지도 모른다”며 “우리가 가진 취약점에 대해 심도있는 고민이 필요하다”고 강조했다.

현재 아래아한글 등 특정 SW의 취약점을 악용한 공격은 증감여부가 제대로 파악되지 않고 있다. 불특정다수를 대상으로 하는 공격이 아니기때문에 그만큼 은밀하게 진행되고, 피해자가 피해사실 여부를 파악하지 못하고 있을 가능성도 높기 때문이다.

실제로 지난 3.20 전산망해킹의 경우 하드디스크를 파괴하는 기능을 갖춘 악성코드가 몇 달간 잠복하고 있다가 공격자가 지정한 시각이 동작한 경우다.

우리가 사용하고 있는 시스템, SW의 취약점을 사전에 파악하고 이에 대한 조치를 반드시 취해야한다고 문 팀장은 강조했다.

자신이 보유한 자산을 식별하지 못한 상태에서 수립하는 정책은 제대로 이행될 수 없다는 지적도 나왔다. 김승주 고려대 정보보호대학원 교수는 “오바마 정부의 경우 미국의 연방정부 시스템을 외부 해커로부터 보호하기 위해 2000년대 초부터 아인슈타인(EINSTEIN) 프로젝트를 수행하고 있다”며 “이 프로젝트는 1단계로 미국 연방정부시스템과 외부와의 접점 개수 파악, 2단계로 그 접점의 개수 최소화, 3단계로 그 접접에 대한 보안대책을 마련하고 있다”고 설명했다.

그는 이어 “최근 발생한 일련의 사건들은 자신들이 보유한 자신이 무엇인지 파악하지 못하고 이에 대한 보안대책을 수립하지 않았기 때문에 발생한 것”이라고 재차 강조했다.

◆“강력한 규제가 오히려 사고 부른다”=정보보호와 관련된 강력한 규제와 정부의 개입이 오히려 사이버보안 체계 구축에 방해가 된다는 지적도 나오고 있다.

심종헌 지식정보보안산업협회(KISIA) 회장은 “보안 사고가 발생할 때마다 정부가 대책을 내놓고 가이드라인을 주문하는 바람에 보안체계가 엉망이 됐다”고 강조했다.

지난해 연이은 사고로 인해 정부에서는 관련 기관을 대상으로 정보보안대책을 수립해 전달했다. 각 기업들의 상황과 환경이 다름에도 불구하고 일괄적인 규제만 내놨다.

심 회장은 “보안사고를 당한 곳은 자신이 어떤 취약점으로 인해 사고가 발생했는 지 알고 있다. 그러나 정부에서 대책을 내놓고 가이드라인을 제시하기 전까지 움직이지 않는다”며 “정부는 큰 틀을 잡아주고 자율규제로 가는 것이 필요하다”고 말했다.

정부가 시시콜콜한 지침을 만들기보다 기업 스스로 보안 수준을 결정하도록 자율적인 규제를 유도하고 사고가 발생하면 엄중하게 처벌하는 방식이 효과적이란 주장이다.

<이민형 기자>kiku@ddaily.co.kr