.jpg)
.gif)
기술 대홍수의 시대에서 같이 변화하는 정보보안 패러다임
해커와 공격기법이 변화하지만, 사람을 노리는 본질은 같기에 인식 바꿔야
[보안뉴스=이아람 기술사/ 마이리얼트립 정보보안실 매니저] 바야흐로 기술 대홍수의 시대다. 자고 일어나면 새로운 기술이 발표되고, 그 기술을 따라잡을 만하면 곧바로 또 다른 기술이 등장한다. 빠르고 편리한 기술에 호기심 가득한 이들이라면 정말 행복한 시기다. 하루하루 신기한 기술이 쏟아지니, 얼마나 설레고 흥미로운가.
[자료: gettyimagesbank]
하지만 보안을 책임지는 입장이라면 얘기가 조금 다르다. 새로운 기술을 이해하고, 방어 전략을 세우고, 이를 현장에 적용하기까지 고민이 많아질 수밖에 없다. APT(Advanced Persistent Threat)와 클라우드, 인공지능(AI), 제로트러스트, 공급망 보안 등 끊임없이 등장하는 용어와 기술에 정신없이 쫓기다 보면 문득 중요한 것을 놓치고 있는 것은 아닐까 의심이 들기도 한다.
지금 정보보안 패러다임은 단지 기술의 발전만이 아니라, △해커의 변화 △공격 기법의 변화 △보안에 대한 사회적 인식 변화에 기반해 다시 생각해볼 필요가 있다. 이 세가지 변화 축을 짚어보며, 우리가 어떤 대응 방향을 가져야 할지 논의해보자.
해커의 변화: 괴짜에서 범죄자로
80~90년대 해커를 기억하는가? 그 시절 해커는 범죄자라기보다 기술적 호기심으로 가득 찬 ‘괴짜’들이었다. “모든 정보는 공유되어야 한다”는 신념 아래, 이들은 시스템을 해킹하면서 지적인 성취감을 느꼈고, 실력을 겨루기 위해 경쟁 학교나 동아리 시스템에 침투하기도 했다. 당시 공격 의도는 단순 호기심이나 자존심에서 비롯된 경우가 많았다.
수천 대의 컴퓨터를 감염시킨 모리스 웜 역시 마찬가지다. 이를 개발한 로버트 모리스는 자신이 만든 웜이 제어 불가능하게 퍼질 것이라곤 생각하지 못했다. 결과적으로 대규모 피해가 발생했고, 모리스는 사이버 범죄자로 기소된 첫 사례가 됐다. 이 사건을 계기로 미국은 사이버 범죄를 법으로 규정하고, 침해사고대응팀(CERT·Computer Emergency Response Team)을 설립했다.
모리스 웜 사건은 한 개인의 작은 코드가 얼마나 큰 파급력을 가질 수 있는지 모여준다. 인간이 만든 도구가 인간의 통제를 벗어나 확산되는 모습은 지금 우리가 AI를 바라보며 느끼는 막연한 불안감과 닮았다.
시간이 지나면서 사이버공격은 더욱 정교하고 악의적으로 변화했다. 해커들은 정보가 돈이 된다는 사실을 깨달았고, 지금은 ‘사이버 범죄’라는 말이 더 익숙할 정도다. 사업 기밀은 물론, 개인정보까지 점점 더 ‘현금성 자산’처럼 취급되기 시작했다.
또 사이버 범죄는 하나의 비즈니스가 됐다. RaaS(Ransomware as a Service)를 통해 랜섬웨어까지 대신 제작해 주는 구조가 등장했다. 심지어 제작된 랜섬웨어를 활용해 협박하는 데 필요한 법률 상담까지 받을 수 있다. 다크웹 같은 시장도 만들어졌다. 이제 해커들만을 위한 또 하나의 세계가 만들어지고 있다. 어둠 속에 있지만 하나의 ‘비즈니스 모델’을 구축하고 있다는 사실은 아이러니하다.
공격 기법의 변화: 기술은 바뀌었지만, 본질은 같다
지금도 크고 작은 개인정보 유출 사고가 끊이지 않는다. 그러나 사고 원인을 깊이 들여다 보면 예전 공격 기법과 큰 차이가 없는 경우가 많다. 그저 그 당시에는 지금처럼 전문적 용어나 개념이 존재하지 않았을 뿐이다.
2016년 1030만명의 개인정보가 유출된 ‘옥션 사고’는 겉보기에 단순한 악성파일 감염이었지만, 사실 정교하게 설계된 타겟팅 공격, 즉 APT의 전형적인 사례였다.
공격자는 내부 관리자 계정 장악에 초점을 맞췄고, 관리자 개인의 인간관계까지 사전에 조사했다. 특히, 공격자는 관리자의 동생이 자주 개인 메일로 사진과 자료를 주고받는다는 점을 알아낸 후, 화면 보호기로 위장한 악성파일을 첨부해 이메일을 관리자 동생 이름으로 발송했다. 관리자는 의심 없이 파일을 실행했고, 시스템을 장악하는 악성코드가 동작했다. 이후 공격자는 내부 네트워크로 이동해 주요 데이터베이스에 접근했고, 대량의 개인정보를 탈취했다.
이렇게 APT는 최근 등장한 개념이 아니다. 하지만 초기 공격은 불특정 다수를 노렸다면, 지금은 점점 더 전문화됐다. 랜섬웨어만 해도 예전에는 개인 PC를 노리는 것이 일반적이었지만, 이제는 기업을 대상으로 한 정밀 타격이 늘고 있다. 기업을 공격하면 더 큰 몸값을 요구할 수 있고, 협상력도 높기 때문이다.
2011년 발생한 ‘네이트·싸이월드 개인정보 유출 사건’에선 무려 3500만명 이상의 개인정보가 유출됐다. 주민등록번호와 이메일, 휴대전화번호 등 민감한 정보가 포함돼 사회적으로 큰 충격을 줬다.
공격자는 네이트가 사용하던 외부 보안 솔루션 업체의 서버를 먼저 감염시켰다. 이 솔루션은 정기적으로 네이트 시스템에 업데이트 파일을 배포하는 역할을 했는데, 이 업데이트 기능을 악용했다. 감염된 솔루션 서버는 악성코드가 포함된 업데이트 파일을 클라이언트에 전송해 내부망 전체에 대규모 감염이 발생했다. 공격자는 이를 통해 개인정보를 탈취했다.
이 사건은 단순한 해킹을 넘어, 공급망 자체를 공격 벡터로 삼았다는 점에서 시사하는 바가 크다. 지금 우리가 자주 언급하는 공급망 공격(Supply Chain Attack)의 전형적 사례라 할 수 있다. 직접적으로 침입한 것이 아니라 신뢰받는 외부 시스템을 우회 경로로 삼아 내부를 장악한 것이다. 사건 이후 신뢰 기반 업데이트 시스템에 대한 점검과 외부 솔루션 검증 체계의 필요성이 부각됐고, 기업 내부망 보호 개념도 전환점을 맞았다.
보안 인식의 변화: 국민 눈높이가 달라졌다
우리나라는 초고속 인터넷 도입 이후 인터넷 이용자 수가 폭발적으로 증가했지만, 정보보호 인식은 그 속도를 따라가지 못했다. 2000년대 초반만 해도 대부분 웹사이트는 주민등록번호 입력을 요구했다. 이유는 단순했다. 중복 가입 방지였다. 지금은 상상도 못 할 일이지만, 당시에는 당연하게 여겨졌다. 주민등록번호는 변경이 사실상 불가능하다는 특성 때문에, 수많은 유출 사고를 겪으며 개인정보보호법 제24조의2(주민등록번호 처리의 제한)과 같이 법적으로 수집이 제한됐다. 본인 인증 수단도 공동인증서에서 다양한 민간인증서 체계로 확장됐다.
로그인 시스템에도 변화가 있었다. 예전에는 로그인에 실패하면 ‘아이디가 없다’거나 ‘비밀번호가 틀렸다’처럼 구체적 안내 메시지가 표시됐는데, 이는 해커에게 아이디 유무를 알려주는 정보 노출로 이어질 수 있었다. 지금은 ‘아이디 또는 비밀번호가 틀렸습니다’처럼 모호한 에러 메시지가 일반화됐다. 이 역시 다양한 시행착오를 거쳐 형성된 보안 상식 중 하나다.
결과적으로 국민들의 개인정보에 대한 인식은 크게 높아졌다. 단순히 ‘정보를 빼앗기지 않기’가 아니라, 자신의 정보에 대한 통제권과 권리에 대한 의식이 커진 것이다. 자발적으로 지문과 같은 생체인증 등 이중 인증(2FA)을 설정하고, 개인정보가 침해되었을 때 신고하거나 민사 소송을 하는 등 자신의 정보를 보호하려는 인식이 강해졌다. 이러한 변화는 보안에 있어 긍정적 변화다.
앞으로의 대응 방향
지금까지 살펴본 보안의 흐름 속에서 우리는 다음과 같은 대응 방향을 도출할 수 있다.
첫째, 기술이 복잡할수록 기본으로 돌아가야 한다.
정보보안 위험 관리는 위험 대상 식별→위험 분석→대응 전략 수립이라는 기본 원칙에서 시작된다. 하지만 지금 그 기본이 지켜지고 있는가? 예를 들어, AI 모델은 기업 자산으로 식별되고 있는가? 기술 변화에 급급한 나머지 정작 위험의 ‘본질’을 놓치고 있지는 않은지 되돌아볼 필요가 있다.
둘째, 끈질긴 싸움에서 살아남아야 한다.
해커는 지치지 않고 끈질기게 시스템의 틈을 파고든다. 그렇다면 우리도 끝까지 대응해야 한다. 단순히 한 번 막는 것으로 끝나는 것이 아니라, 반복적으로 점검하고 지속적으로 보완하는 것이 생존의 열쇠다.
셋째 결국 보안은 사람이다.
기술은 도구일 뿐, 운용하는 것도, 실수하는 것도 사람이다. 보안 교육과 조직의 문화, 책임 있는 사용자의 태도 없이는 아무리 고도화된 보안 체계도 무용지물이 된다. 사람을 중심에 두는 보안 전략만이 진정한 지속 가능성을 갖는다.
▲이아람 기술사 [자료:이아람 기술사]
지금 우리가 할 수 있는 가장 강력한 대응은 과거를 돌아보고, 반복된 실수에서 교훈을 얻는 일이다. 수많은 ‘기술의 대홍수’를 겪는 동안에도 우리가 결코 놓쳐선 안될 기준은 바로 경험을 통해 얻는 ‘Lesson Learned’다.
[글 이아람 기술사/마이리얼트립 정보보안팀 매니저]
필자 소개_
-한국정보공학기술사회 미래융합기술원 보안분과
-정보관리기술사, 정보시스템 수석감리원, ISMS-P 인증심사원, 개인정보 역량평가 전문인력
해커와 공격기법이 변화하지만, 사람을 노리는 본질은 같기에 인식 바꿔야
[보안뉴스=이아람 기술사/ 마이리얼트립 정보보안실 매니저] 바야흐로 기술 대홍수의 시대다. 자고 일어나면 새로운 기술이 발표되고, 그 기술을 따라잡을 만하면 곧바로 또 다른 기술이 등장한다. 빠르고 편리한 기술에 호기심 가득한 이들이라면 정말 행복한 시기다. 하루하루 신기한 기술이 쏟아지니, 얼마나 설레고 흥미로운가.
[자료: gettyimagesbank]
하지만 보안을 책임지는 입장이라면 얘기가 조금 다르다. 새로운 기술을 이해하고, 방어 전략을 세우고, 이를 현장에 적용하기까지 고민이 많아질 수밖에 없다. APT(Advanced Persistent Threat)와 클라우드, 인공지능(AI), 제로트러스트, 공급망 보안 등 끊임없이 등장하는 용어와 기술에 정신없이 쫓기다 보면 문득 중요한 것을 놓치고 있는 것은 아닐까 의심이 들기도 한다.
지금 정보보안 패러다임은 단지 기술의 발전만이 아니라, △해커의 변화 △공격 기법의 변화 △보안에 대한 사회적 인식 변화에 기반해 다시 생각해볼 필요가 있다. 이 세가지 변화 축을 짚어보며, 우리가 어떤 대응 방향을 가져야 할지 논의해보자.
해커의 변화: 괴짜에서 범죄자로
80~90년대 해커를 기억하는가? 그 시절 해커는 범죄자라기보다 기술적 호기심으로 가득 찬 ‘괴짜’들이었다. “모든 정보는 공유되어야 한다”는 신념 아래, 이들은 시스템을 해킹하면서 지적인 성취감을 느꼈고, 실력을 겨루기 위해 경쟁 학교나 동아리 시스템에 침투하기도 했다. 당시 공격 의도는 단순 호기심이나 자존심에서 비롯된 경우가 많았다.
수천 대의 컴퓨터를 감염시킨 모리스 웜 역시 마찬가지다. 이를 개발한 로버트 모리스는 자신이 만든 웜이 제어 불가능하게 퍼질 것이라곤 생각하지 못했다. 결과적으로 대규모 피해가 발생했고, 모리스는 사이버 범죄자로 기소된 첫 사례가 됐다. 이 사건을 계기로 미국은 사이버 범죄를 법으로 규정하고, 침해사고대응팀(CERT·Computer Emergency Response Team)을 설립했다.
모리스 웜 사건은 한 개인의 작은 코드가 얼마나 큰 파급력을 가질 수 있는지 모여준다. 인간이 만든 도구가 인간의 통제를 벗어나 확산되는 모습은 지금 우리가 AI를 바라보며 느끼는 막연한 불안감과 닮았다.
시간이 지나면서 사이버공격은 더욱 정교하고 악의적으로 변화했다. 해커들은 정보가 돈이 된다는 사실을 깨달았고, 지금은 ‘사이버 범죄’라는 말이 더 익숙할 정도다. 사업 기밀은 물론, 개인정보까지 점점 더 ‘현금성 자산’처럼 취급되기 시작했다.
또 사이버 범죄는 하나의 비즈니스가 됐다. RaaS(Ransomware as a Service)를 통해 랜섬웨어까지 대신 제작해 주는 구조가 등장했다. 심지어 제작된 랜섬웨어를 활용해 협박하는 데 필요한 법률 상담까지 받을 수 있다. 다크웹 같은 시장도 만들어졌다. 이제 해커들만을 위한 또 하나의 세계가 만들어지고 있다. 어둠 속에 있지만 하나의 ‘비즈니스 모델’을 구축하고 있다는 사실은 아이러니하다.
공격 기법의 변화: 기술은 바뀌었지만, 본질은 같다
지금도 크고 작은 개인정보 유출 사고가 끊이지 않는다. 그러나 사고 원인을 깊이 들여다 보면 예전 공격 기법과 큰 차이가 없는 경우가 많다. 그저 그 당시에는 지금처럼 전문적 용어나 개념이 존재하지 않았을 뿐이다.
2016년 1030만명의 개인정보가 유출된 ‘옥션 사고’는 겉보기에 단순한 악성파일 감염이었지만, 사실 정교하게 설계된 타겟팅 공격, 즉 APT의 전형적인 사례였다.
공격자는 내부 관리자 계정 장악에 초점을 맞췄고, 관리자 개인의 인간관계까지 사전에 조사했다. 특히, 공격자는 관리자의 동생이 자주 개인 메일로 사진과 자료를 주고받는다는 점을 알아낸 후, 화면 보호기로 위장한 악성파일을 첨부해 이메일을 관리자 동생 이름으로 발송했다. 관리자는 의심 없이 파일을 실행했고, 시스템을 장악하는 악성코드가 동작했다. 이후 공격자는 내부 네트워크로 이동해 주요 데이터베이스에 접근했고, 대량의 개인정보를 탈취했다.
이렇게 APT는 최근 등장한 개념이 아니다. 하지만 초기 공격은 불특정 다수를 노렸다면, 지금은 점점 더 전문화됐다. 랜섬웨어만 해도 예전에는 개인 PC를 노리는 것이 일반적이었지만, 이제는 기업을 대상으로 한 정밀 타격이 늘고 있다. 기업을 공격하면 더 큰 몸값을 요구할 수 있고, 협상력도 높기 때문이다.
2011년 발생한 ‘네이트·싸이월드 개인정보 유출 사건’에선 무려 3500만명 이상의 개인정보가 유출됐다. 주민등록번호와 이메일, 휴대전화번호 등 민감한 정보가 포함돼 사회적으로 큰 충격을 줬다.
공격자는 네이트가 사용하던 외부 보안 솔루션 업체의 서버를 먼저 감염시켰다. 이 솔루션은 정기적으로 네이트 시스템에 업데이트 파일을 배포하는 역할을 했는데, 이 업데이트 기능을 악용했다. 감염된 솔루션 서버는 악성코드가 포함된 업데이트 파일을 클라이언트에 전송해 내부망 전체에 대규모 감염이 발생했다. 공격자는 이를 통해 개인정보를 탈취했다.
이 사건은 단순한 해킹을 넘어, 공급망 자체를 공격 벡터로 삼았다는 점에서 시사하는 바가 크다. 지금 우리가 자주 언급하는 공급망 공격(Supply Chain Attack)의 전형적 사례라 할 수 있다. 직접적으로 침입한 것이 아니라 신뢰받는 외부 시스템을 우회 경로로 삼아 내부를 장악한 것이다. 사건 이후 신뢰 기반 업데이트 시스템에 대한 점검과 외부 솔루션 검증 체계의 필요성이 부각됐고, 기업 내부망 보호 개념도 전환점을 맞았다.
보안 인식의 변화: 국민 눈높이가 달라졌다
우리나라는 초고속 인터넷 도입 이후 인터넷 이용자 수가 폭발적으로 증가했지만, 정보보호 인식은 그 속도를 따라가지 못했다. 2000년대 초반만 해도 대부분 웹사이트는 주민등록번호 입력을 요구했다. 이유는 단순했다. 중복 가입 방지였다. 지금은 상상도 못 할 일이지만, 당시에는 당연하게 여겨졌다. 주민등록번호는 변경이 사실상 불가능하다는 특성 때문에, 수많은 유출 사고를 겪으며 개인정보보호법 제24조의2(주민등록번호 처리의 제한)과 같이 법적으로 수집이 제한됐다. 본인 인증 수단도 공동인증서에서 다양한 민간인증서 체계로 확장됐다.
로그인 시스템에도 변화가 있었다. 예전에는 로그인에 실패하면 ‘아이디가 없다’거나 ‘비밀번호가 틀렸다’처럼 구체적 안내 메시지가 표시됐는데, 이는 해커에게 아이디 유무를 알려주는 정보 노출로 이어질 수 있었다. 지금은 ‘아이디 또는 비밀번호가 틀렸습니다’처럼 모호한 에러 메시지가 일반화됐다. 이 역시 다양한 시행착오를 거쳐 형성된 보안 상식 중 하나다.
결과적으로 국민들의 개인정보에 대한 인식은 크게 높아졌다. 단순히 ‘정보를 빼앗기지 않기’가 아니라, 자신의 정보에 대한 통제권과 권리에 대한 의식이 커진 것이다. 자발적으로 지문과 같은 생체인증 등 이중 인증(2FA)을 설정하고, 개인정보가 침해되었을 때 신고하거나 민사 소송을 하는 등 자신의 정보를 보호하려는 인식이 강해졌다. 이러한 변화는 보안에 있어 긍정적 변화다.
앞으로의 대응 방향
지금까지 살펴본 보안의 흐름 속에서 우리는 다음과 같은 대응 방향을 도출할 수 있다.
첫째, 기술이 복잡할수록 기본으로 돌아가야 한다.
정보보안 위험 관리는 위험 대상 식별→위험 분석→대응 전략 수립이라는 기본 원칙에서 시작된다. 하지만 지금 그 기본이 지켜지고 있는가? 예를 들어, AI 모델은 기업 자산으로 식별되고 있는가? 기술 변화에 급급한 나머지 정작 위험의 ‘본질’을 놓치고 있지는 않은지 되돌아볼 필요가 있다.
둘째, 끈질긴 싸움에서 살아남아야 한다.
해커는 지치지 않고 끈질기게 시스템의 틈을 파고든다. 그렇다면 우리도 끝까지 대응해야 한다. 단순히 한 번 막는 것으로 끝나는 것이 아니라, 반복적으로 점검하고 지속적으로 보완하는 것이 생존의 열쇠다.
셋째 결국 보안은 사람이다.
기술은 도구일 뿐, 운용하는 것도, 실수하는 것도 사람이다. 보안 교육과 조직의 문화, 책임 있는 사용자의 태도 없이는 아무리 고도화된 보안 체계도 무용지물이 된다. 사람을 중심에 두는 보안 전략만이 진정한 지속 가능성을 갖는다.
▲이아람 기술사 [자료:이아람 기술사]
지금 우리가 할 수 있는 가장 강력한 대응은 과거를 돌아보고, 반복된 실수에서 교훈을 얻는 일이다. 수많은 ‘기술의 대홍수’를 겪는 동안에도 우리가 결코 놓쳐선 안될 기준은 바로 경험을 통해 얻는 ‘Lesson Learned’다.
[글 이아람 기술사/마이리얼트립 정보보안팀 매니저]
필자 소개_
-한국정보공학기술사회 미래융합기술원 보안분과
-정보관리기술사, 정보시스템 수석감리원, ISMS-P 인증심사원, 개인정보 역량평가 전문인력
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)