시스코가 보는 한국 보안, 기본이 안되어 있다?

보안기업 시스코가 최근 금융권 정보유출 사건 등으로 경각심이 높아진 한국 기업의 보안에 대해 뼈아픈 충고를 했다.

2014년 1월 27일, 아셈타워에서 열린 기자간담회에서 성일용 시스코 부사장 기술 및 프로덕트 마케팅 총괄은 한국 보안상황에 대해 역사적 비유를 들어 설명했다.

부사장은 “중국이 만리장성은 왜 만들었을까요? 이민족을 막기 위해 만들었습니다. 그런데 막상 이민족이 쳐들어올 때 내부 공모자가 그 문을 열어주었습니다. 이렇듯 아무리 좋은 방패를 가지고 있어도 누군가 그 방어를 열어주면 소용이 없습니다”라고 밝혔다.

한국의 보안문제점을 묻는 질문에 성일용 부사장은 “보안솔루션 사이의 연계가 없습니다. 한 가지 솔루션을 가지고 있다고 보안이 완벽하다고 생각하면 안됩니다”라고 진단하면서 “보안영역이 넓은데 하나의 벤더가 모든 것을 해결할 수는 없습니다. 결국 전체를 관장할 수 있는 솔루션을 도입해야 합니다”고 대책을 제시했다.

시스코는 이 자리에서 2014년 연례 보안 보고서를 발표했다. 시스코 홍보담당 이은미 이사의 인사말에 이어 시스코 성일용 부사장이 기술적인 설명을 시작했다.

시스코는 2014년이 가장 보안위협이 큰 한 해로 판단하고 있다. 데이터를 노리는 위협이 보다 정교해지고 지능적으로 변하고 있기 때문이다.

보통 회사에서 가장 중요하면서 위험한 부분이 데이터 센터 내의 핵심정보다. 요즘 악성코드는 바로 그것을 먼저 공격하기 시작했다. 특히 공격자는 신뢰성 높고 필수적인 애플리캐이션을 이용해서 취약점을 노려 침입하려 한다.

악성코드 침입수단의 91%가 자바 관련 취약점이다. 자바 6.0 이하를 쓰는 기업을 노린 것인데 이런 기업들이 어플리케이션의 업데이트를 잘 안하기 때문이다. 업데이트만 잘해도 이런 공격은 훨씬 줄어들 것이다.

요즘은 워터홀 어택이 가장 많이 쓰는 방법이다. 워터홀 어택이란 특정한 사람의 관심사를 노려 그 주변에 함정을 파두고 기다리는 방법이다. 직접 대상에게 공격을 하는 것이 아니다. 에를 들어 공격대상이 은행권 직장에 다닌다면 IT에 취미가 있을 수 있다. 그렇다면 IT인력들이 자주 가는 사이트를 노려 그곳에 침입코드를 감염시켜놓고 기다린다.

작년 4월에서 5월 사이에는 미국 원자력 에너지 관련 군 사이트에 갑자기 많은 접속이 몰렸다. 재미있는 건 국방이나 에너지와 전혀 관련이 없는 곳에서 트래픽이 대량으로 온 점이다. 무엇인가 그런 우회로를 이용해서 침입을 시도하는 것이라 해석할 수 있다. 이와 관련해서 시스코가 약 30개의 글로벌 회사를 점검해보니 전부 공통적으로 회사 내부의 트래픽이 멀웨어 사이트로 가고 있었다. 이것은 언제든지 우리도 보이지 않는 대상에게 공격을 받을 수 있다는 위협이다.

크게 발달한 모바일 기기 역시 보안 관련해서 새로운 위협이다. 개인이 쓰던 모바일 디바이인 스마트폰, 태블릿을 들고 회사로 들어와 어플리케이션에 접속한다. 그러면서 자연스럽게 다른 디바이스에 악성코드 침해사례를 만들고 있다. 이런 모바일 디바이스에도 회사와 똑같은 레벨의 관리를 해줘야 한다는 것이 시스코의 주장이다. 밖에서 취약점이 생기면 결국 데이터센터도 공격받게 되기 때문이다. 좀더 구체적으로 모바일 악성코드 99%가 안드로이드 디바이스를 통하고 있으며 웹기반 악성코드의 71%가 안드로이드다.

성일용 시스코 부사장은 특히 공격하는 방법도 다양하고 정교해졌다는 점을 강조했다. 하나의 정확한 방법을 가지고 있는 게 아니라 취약점이 있으면 무엇이든지 이용한다는 것이다. 때문에 궁극적으로 회사 보안담당자들이 내부 회사가 반드시 지켜야 하는 정보가 무엇인지 인식하고 보안방법을 제대로 세워야한다는 인식을 해야 한다는 주장이다.

예전에는 물리적 보안이 문제가 되었지만 지금은 네트워크 보안이 더 문제다. 모바일 기기와 외부기기의 상황을 정확히 파악하고 어떻게 관리할 것인지 생각해야 한다. 요즘은 클라우드를 쓰면 간단히 데이터 센터를 만들 수 있다. 하지만 클라우드 회사의 유동적 서버 사이에는 문제가 없을까? 클라우드 사이에는 서로 엿볼 수 없는 충분한 방어벽이 세워져 있는가 하는 점도 점검해야 한다.

보안 문제는 한 두 가지가 아니다. 요즘은 모든 서비스가 웹기반이 되고 있다. 다양한 가상머신도 생긴다. 따라서 보안 솔루션도 하나의 툴 가지고 모든 것을 막을 수 없게 되어가고 있다. 설령 각 분야 베스트 솔루션을 전부 구입해 적용한다고 해도 상호간에 결합의 문제가 생길 수 있다.

과연 어떻게 대비해야 할까? 시스코에서는 이런 다양성과 복잡성에 대한 대책으로 ‘사람’과 ‘기본’을 강조했다.

“데이터 안에 어떤 문제가 있는 지 파악하는 사람이 필요합니다. 현재 산업계에 100만명의 보안인력이 필요하고 특히 분석능력을 가진 사람이 절실합니다” 라는 부사장의 말은 마치 임진왜란과 관련된 이이의 10만 양병설을 떠올리게 한다.

시스코에서는 보안을 단순한 하드웨어와 솔루션의 문제가 아니라 시스템 모든 과정을 관리할 수 있느냐하는 차원의 문제로 해석한다. 

“한국 업체들이 아웃소싱을 많이 하는데 중요한 아웃소싱을 하는 사람이 범죄의 대상이 될 수 있습니다. 최근 한국의 보안 사건도 이것과 관련이 있습니다. 중요한 일을 맡길수록 당연히 목표이 됩니다”라는 조언은 정보유출을 발생시킨 금융권 업체들이 새겨들었어야 할 내용이다.

결국 회사는 전사적인 측면에서 조직, 도덕, 운영체제 등을 감독할 시간과 시스템을 구축하고 관리해야 한다. 최근 은행권 정보유출 사건에서 보듯이 기업 보안에 대한 신뢰가 무너지고 있다.

최근 한국에서 금융권 개인정보가 유출당한 사건에 대해 성일용 부사장은 “최근 정보 유출에 대해서 안심하라고 말할 수는 없다”고 전제하고는 “최근 악성코드는 주변정보를 기초로 관심사를 알아내고는 매복하고 있다가 다시 핵심정보를 알아내는 방법을 쓰고 있다”고 주의를 환기시켰다.

이번 보고서를 통해 시스코는 데이터의 흐름을 책임지는 네트워크에 주목하고 있다. 악성코드는 오히려 기업 내부에서 활동을 시작한다는 점은 시스코가 네트워크 기반의 분석과 트래픽 분석을 통해 알아낸 정보였다. 모든 정보망이 세계와 연결되어 개방과 공유를 외치는 글로벌 시대에 시스코가 외치는 보안 경고 메시지는 한국 업계가 새겨들어야 할 내용이 아닐까.