[포럼] 사이버 집단면역, 보안정보공유로 가능하다

염흥열 순천향대 정보보호학과 교수

염흥열 순천향대 정보보호학과 교수

최근 지능형 지속 위협(APT)과 금전을 노리는 랜섬웨어 공격이 개인, 기업과 정부를 가리지 않고 증가하고 있다. 공격 대상이 분명히 결정되어 있고, 취약성은 존재하나 패치가 존재하는 않는 제로데이 악성코드를 이용해 기업이나 조직의 전산망에 침투하고 있다. 내부 네트워크의 구성을 살펴보고 나서 최종적 공격 목표를 찾아 중요 및 기밀 정보를 파괴, 변조, 유출, 또는 암호화한다. 사후 추적을 막기 위해 공격 경로를 숨기는 등 완전 범죄도 노리는 경향이 있다. 공격에 이용되는 경로도 전자메일, 웹, 앱 등을 가리지 않고 있다.

우리나라가 사이버 공격에 이용된 특정 악성코드로부터 집단 면역을 달성하기 위한 지름길이 있는가? 이 질문에 대한 완전한 답을 제시하는 것은 매우 어렵지만, 효과적인 사이버 공격 및 방어 정보를 국내 여러 기관과 기업 간에 공유하는 것에서 시작해야 한다는 것이 필자의 생각이다.

공격자는 특정 악성코드를 여러 다른 공격 대상의 다른 목적의 공격에 사용해야 투자 대비 비용 효과를 거둘 수 있다. 공격자가 하나의 기업의 사이버 공격에 사용했던 악성코드를 다른 기업의 공격에 사용하려 하는 경우를 생각해 보자. 통상 기업 내부로 침투하는 악성코드는 기업내 네트워크 전단에 설치된 침입대응시스템이나 데이터베이스 앞단에 설치된 웹 방화벽 등에 설치된 악성코드 대응시스템에서 탐지되어야 한다. 악성코드 대응시스템은 미리 알려진 악성코드의 특정패턴을 이용해 현재 네트워크나 시스템에 침투하는 악성코드를 탐지하는 기법을 사용한다. 따라서 기존 공격에 이용된 악성코드에 대한 정보를 더 많이 이용하는 악성코드 대응시스템은 현재 공격에 이용되는 악성코드를 더 많이 찾아 낼 수 있어서 현재 사이버 공격을 더 효과적으로 막아낼 수 있다.

공격 받았던 기업에서 이용된 악성코드 정보 등을 아직 공격을 받지 않은 다른 기업에 미리 공유하게 되면, 이후 다른 기업에 실제로 공격이 수행되는 동안 해당 기업의 네트워크나 데이터베이스 서버의 앞단에서 그 악성코드를 탐지할 수 있게 되고, 그 악성코드가 기업의 내부 네트워크나 서버에 침투하는 것을 막을 수 있다. 공격자보다 더 빨리 이전 사이버 공격에 이용된 악성코드를 공격 대상이 될 가능성이 큰 여러 다른 기업에 미리 공유하게 되면 그 악성코드를 이용한 추가적인 사이버 공격을 효과적으로 막을 수 있고, 국내 사이버 공간에서 특정 악성코드로부터 집단 면역을 달성할 수 있다.

여러 다른 기업이나 조직에서 이용된 악성코드를 분석하면, 어떤 공격 그룹이 어떤 목적으로 사이버 공격을 하고 있는지를 알 수 있게 된다. 특히 동종의 시스템을 이용해 서비스를 제공하는 다른 기업이나 조직에 대한 공격 작전의 발생 가능성을 미리 예측할 수 있게 된다. 여러 기업이나 조직이 연합해 공격자의 사이버 공격을 대응하면, 집단지성을 발휘해 공격자의 공격 의도도 파악할 수 있고, 공격에 이용되는 수단이나 방법도 알 수 있으며, 이러한 공격을 막을 수 있는 대응 수단도 알 수 있게 된다.

공격자의 사이버 공격 작전을 효과적으로 막기 위해서는 국가의 주요 기업과 조직의 정보시스템을 사이버 공격으로부터 안전한 영역에 두는 국가 사이버 돔 구축이 필요한 이유다. 국가 사이버 돔은 사이버 공격에 이용된 악성코드와 공격 작전을 사전에 관련 여러 유관 기관과 기업 간에 공유했을 때 달성할 수 있다.

우리나라의 사이버 공간은 정부망, 국가주요기반시설을 이용한 공공망, 일반 기업이나 조직이 이용하는 정보통신망, 군에서 운영하는 정보시스템으로 구성되는 국방망, 은행이나 금융기관으로 구성되는 금융망으로 구분된다. 특정 악성코드로부터 사이버 집단 면역을 달성해 국가 차원의 효과적 사이버 돔을 구축하기 위해선 다음의 사항이 고려돼야 한다.

먼저, 각 영역별로 사이버 보안 정보 공유의 범위가 확대되고 내용이 고도화돼야 한다. 각 영역별 사이버 보안 정보 공유 체계의 효과도 고려해야 한다. 사이버 보안 정보 공유 기법과 프로토콜은 국제 표준에 기반해야 호환성을 달성해야 한다는 것이다. 이를 통한 영역별 사이버 돔은 각 영역 또는 산업 부문별로 구성돼야 한다.

둘째, 각 영역별 구축된 사이버 보안 정보 공유 체계는 서로 연계돼야 한다. 공격자는 사이버 공간에서 영역을 구분하지 않으므로 각 영역간의 사이버 보안 정보 공유 체계로 확대되어야 하며, 사이버 보안 정보 교환은 양방향으로 수행돼야 한다. 영역 간 사이버 보안 정보 공유 체계 구축을 통해 사이버 돔의 방어 영역은 확대를 도모해야 한다.

셋째, 정부는 기업이 자발적으로 사이버 공격 및 대응 정보의 공개 또는 공유를 추진하는 환경을 조성해야 한다. 사이버 보안 정보 공유에 대한 인센티브의 제공이 요구된다. 교환되는 사이버 보안 정보에 포함될 수 있는 개인정보를 비개인정보로 만드는 프로세스도 반드시 필요하다.

넷째, 국가 차원의 사이버 보안 정보 공유를 위한 법적, 제도적 근거를 마련할 필요가 있다. 민간 영역 내에서 기업간 정보공유를 비롯하여, 공공과 민간, 공공과 국방 등의 영역을 넘어가는 사이버 보안 정보 공유를 포함해야 한다. 가칭 사이버보안 기본법의 제정도 필요하다.

다섯째, 이러한 국가 사이버 보안 정보 공유의 효과성을 개선하기 위한 국가 사이버 보안 거버넌스의 강화가 필요하다. 청와대 국가안보실의 사이버보안 컨트롤타워의 강화는 아무리 강조해도 지나치지 않다. 사이버보안 컨트롤타워의 임무를 독자적으로 수행할 수 있는 전문성을 갖출 수 있도록 독립적 사이버보안 비서관의 임명도 필요하다.

사이버 공간의 신뢰성과 안전성의 보장은 디지털 경제 달성을 위한 밑거름이 된다. 이것이 선행되지 않으면 우리가 목표로 하는 제4차 산업혁명 시대는 요원하다. 사이버보안의 세 주체인 사이버 공간을 이용하는 국민, 다양한 혁신 서비스를 제공하는 기업과 조직, 국가 사이버 보안 수준의 향상을 위한 각종 정책을 집행하는 정부의 노력이 합쳐져야 한다.