.jpg)
사이버 보안 사건에서 범인을 구체적으로 찾아낸다는 게 얼마나 어려운지 우리는 익히 알고 있다. 하지만 그렇기에 더 이 부분에 신경을 써야 한다. 누가 나를 공격했는지를 아는 것이 다음 사건의 예방과 더 나은 방어의 첫 걸음이 되기 때문이다.
[보안뉴스=찰스 가르조니 부 CISO, Centene Corporation] 사이버 보안에서 공격자를 식별하고 찾아낸다는 그리 쉬운 일이 아니다. 수많은 정보들의 조각을 모으고 연결시켜야만 하며, 그럼에도 완전한 그림이 나오지 않을 때가 부지기수다. 정보의 조각들이라는 것도 그 출처가 너무나 다양하다. 각종 첩보, 포렌식을 통해 나온 증거, 인적 정보, 예기치 않았던 변수 등 사건 하나에도 알고 취해야 할 것이 무궁무진하다. 기술적인 측면도 능숙하게 다룰 수 있어야 하는데, 사람의 심리와 행동 패턴 등도 꿰뚫어볼 수 있어야 한다.
[이미지 = gettyimagesbank]
또 하나 기억해야 할 건, 사이버 공격자를 식별하는 것과 식별한 사이버 공격자를 세상에 알리는 것은 전혀 다른 차원의 일이라는 것이다. 사이버 세상에서 공격자를 식별한다는 건 어디까지나 ‘추정’에 불과하다. 가장 가능성이 높은 자나 세력을 짚어내는 것이다. 그러므로 이것을 대중에게 공개한다는 건 꽤나 깊은 고민을 필요로 한다. 주로 기소나 제재 등 정치 및 외교적 장치들을 활용하는 게 보통인데 이 때문에 국력이 센 쪽에서는 용의자 공개에 대한 부담이 덜한 게 사실이다.
예를 들어 2013년 보안 업체 맨디언트(Mandiant)는 APT1이라는 해킹 조직에 대하여 발표한 적이 있다. 이 때 맨디언트는 중국 정부와 관련이 있는 단체라고 분명하게 짚었다. 그러자 미국 사법부가 APT1의 멤버들로 보이는 자들을 기소했다. 미국 국무부는 중국 정부에 적대적인 정책을 적용하기 시작했다. 세계가 중국 정부의 위험한 해킹 행위에 대해 잘 알 수밖에 없게 됐다. 그런데 이렇게 일사천리로 움직이기 위해 맨디언트는 수년 간의 확인 작업을 거쳤다고 한다. 확신이 있었기에 정치적 도구들까지도 발동시킬 수 있었던 것이다.
증명에 대한 표준
사이버 사건을 특정 사이버 공격자나 세력과 관련을 지으려면 ‘증거’가 확보되고 제시되어야 하는데, 여기에도 일종의 표준과 같은 것들이 존재한다. 첫 번째는 ‘확신의 단계’라는 것과 ‘확률 진술’이라는 것을 따르는 것이 보통이다. 첩보를 다루는 조직들이라면 잘 알고 있는 ‘인텔리전스커뮤니티디렉티브 203(Intelligence Community Directive 203, ICD 203)에 따라 ‘확률 진술’은 다음과 같이 표현된다.
A라는 사건에 대해 B가 관여했을 가능성이 :
- 거의 없다면 : remote
- 매우 낮다면 : highly improbable
- 대략 반반 정도라면 : roughly even odds
- 존재한다면 : probable
- 꽤 높다면 : highly probable
- 거의 확실하다면 : nearly certain
대중들에게 발표할 때에는 ‘확신의 단계’를 Low, Medium 혹은 Moderate, High로 표현한다. ‘확률 진술’과 헷갈릴 수 있기 때문에 같은 문장에 ‘확신의 단계’를 같이 쓰지 않는다. 물론 이러한 표현들로 특정 인물이나 조직이 범인일 가능성을 표현한다는 것 자체에 대한 논란이 없는 건 아니다. 하지만 지금으로서는 이 가이드라인이 가장 보편적으로 사용되고 있긴 하다.
법적 요소들에 대한 표준
그러나 이러한 증명에 대한 표준은 법정에서 효력을 갖지 못한다. 법문서를 작성할 때나 재판에 참석해서 ‘이 자가 용의자일 가능성이 nearly certain이고, 여기에 대해 우리는 high level로 확신한다’고 해봐야 큰 참고가 되지 않는다는 것이다. 그렇기 때문에 위에 제기된 언어로 구성된 보안 전문가의 보고서를 가지고 기소문을 쓰기는 어렵다. 법쪽에서는 크게 세 가지 표준이 존재한다.
가능성이라는 측면에서 낮은 것에서부터 높은 순서대로 다음과 같다.
1) 증거우월성(preponderance of evidence)
2) 명확하고 설득력 있는 증거(clear and convincing proof)
3) 합리적 의심(beyond a reasonable doubt)
기술적 표준
종합적인 첩보 분석에 의해 특정 용의자나 세력이 범인일 가능성을 나타냈고, 이를 법적으로 해석해 셋 중 하나로 표기했다면, 기술적 지표에 의한 가능성을 드러내야 할 때도 있다. 하지만 기술적 지표들은 대부분 그 수명이 그리 길지 않다. 잠깐 나타났다 사라지는 것들도 많다. 그렇기에 기술적 지표들은 꾸준히 모니터링하고 평가해야 한다. 아무런 맥락 없이 평가될 때 잘못된 결과를 주기도 한다. 어떤 기술적 지표들은 사건과 전혀 상관이 없는 시스템에서도 똑같이 재현되기도 하기 때문이다. 즉, 기술적으로 증거처럼 보이는 것 그 자체만 가지고는 잘못된 결과를 나타낼 때가 많으므로 전체적인 맥락과 결합해서 고려하는 것이 안전하다.
다음과 같은 순서로 일이 진행되는 것이 바람직하다.
1) 조사를 통해 아티팩트들이 생성된다.
2) 아티팩트들이 지표를 만든다.
3) 맥락과 지표들을 결합해 사건의 앞뒤를 구성한다.
4) 이 과정에서 공격자의 전략과 기술, 공격 실행 순서가 윤곽을 드러낸다.
5) 전략과 기술, 실행 순서는 여러 가지가 복합적으로 있을 수 있다. 이것이 시간의 흐름과 어떤 관련이 있는지를 파악한다.
6) 필요하거나 가능하다면 5)번에서 취득한 정보를 빠르게 공유해 피해 확산을 막는다.
범인을 왜 굳이 지목해야 하는가
매번 체포로 이어지는 것도 아니고, 체포한다고 해도 동료들이 계속해서 범행을 이어가는데, 굳이 범인이 누구인지를 알아내고 발표까지 해야 하는가, 하는 의문들이 제기되곤 한다. 그 노력을 오히려 사고 후속 조치나 예방에 쏟는 게 더 생산적이지 않은가 하는 지적이기도 하다. 하지만 당신의 집을 일면식도 없는 사람이 터는 것과 옆집 사람이 터는 것은 완전히 다른 이야기가 되지 않을까? 앞으로 또 일면식도 없는 완전한 타인이 우리 집에 침입할 수 있다는 두려움에 방비책을 마련하는 것과, 이웃을 경계하여 대응하는 것 사이에는 큰 차이가 존재한다. 사이버 사건도 마찬가지다.
확률적으로 ‘누가 날 공격했든 상관없고, 어쨌든 사업이 중단되지 않고 빠르게 이어지는 것이 중요하다’고 주장하는 조직은 그 뒤에도 사이버 공격의 피해자가 될 가능성이 높다. 진짜로 복구나 예방이 중요하다고 생각해서 후속 조치를 하는 게 아니라, 생산과 사업에 초점이 맞춰져 있기 때문이다. 성숙한 조직일수록 좀 더 실질적이고 효과가 확실한 대응책을 마련해 도입하려 하고, 그 고민이 진지하면 할수록 당연히 ‘이번에 우리를 공격한 자들이 누구인가?’가 궁금할 수밖에 없다. 이건 자연스러운 의식의 흐름이다. 그 ‘누군가’를 알아야 그들이 어떤 부류들인지 파악이 되고, 그런 부류들이 왜 우리 회사를 공격했고, 어떻게 막아야 하는지가 구체적인 지식이 된다. 이런 구체적인 지식이 추가 공격을 막는다.
글 : 찰스 가르조니(Charles A. Garzoni), 부 CISO, Centene Corporation
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스=찰스 가르조니 부 CISO, Centene Corporation] 사이버 보안에서 공격자를 식별하고 찾아낸다는 그리 쉬운 일이 아니다. 수많은 정보들의 조각을 모으고 연결시켜야만 하며, 그럼에도 완전한 그림이 나오지 않을 때가 부지기수다. 정보의 조각들이라는 것도 그 출처가 너무나 다양하다. 각종 첩보, 포렌식을 통해 나온 증거, 인적 정보, 예기치 않았던 변수 등 사건 하나에도 알고 취해야 할 것이 무궁무진하다. 기술적인 측면도 능숙하게 다룰 수 있어야 하는데, 사람의 심리와 행동 패턴 등도 꿰뚫어볼 수 있어야 한다.
[이미지 = gettyimagesbank]
또 하나 기억해야 할 건, 사이버 공격자를 식별하는 것과 식별한 사이버 공격자를 세상에 알리는 것은 전혀 다른 차원의 일이라는 것이다. 사이버 세상에서 공격자를 식별한다는 건 어디까지나 ‘추정’에 불과하다. 가장 가능성이 높은 자나 세력을 짚어내는 것이다. 그러므로 이것을 대중에게 공개한다는 건 꽤나 깊은 고민을 필요로 한다. 주로 기소나 제재 등 정치 및 외교적 장치들을 활용하는 게 보통인데 이 때문에 국력이 센 쪽에서는 용의자 공개에 대한 부담이 덜한 게 사실이다.
예를 들어 2013년 보안 업체 맨디언트(Mandiant)는 APT1이라는 해킹 조직에 대하여 발표한 적이 있다. 이 때 맨디언트는 중국 정부와 관련이 있는 단체라고 분명하게 짚었다. 그러자 미국 사법부가 APT1의 멤버들로 보이는 자들을 기소했다. 미국 국무부는 중국 정부에 적대적인 정책을 적용하기 시작했다. 세계가 중국 정부의 위험한 해킹 행위에 대해 잘 알 수밖에 없게 됐다. 그런데 이렇게 일사천리로 움직이기 위해 맨디언트는 수년 간의 확인 작업을 거쳤다고 한다. 확신이 있었기에 정치적 도구들까지도 발동시킬 수 있었던 것이다.
증명에 대한 표준
사이버 사건을 특정 사이버 공격자나 세력과 관련을 지으려면 ‘증거’가 확보되고 제시되어야 하는데, 여기에도 일종의 표준과 같은 것들이 존재한다. 첫 번째는 ‘확신의 단계’라는 것과 ‘확률 진술’이라는 것을 따르는 것이 보통이다. 첩보를 다루는 조직들이라면 잘 알고 있는 ‘인텔리전스커뮤니티디렉티브 203(Intelligence Community Directive 203, ICD 203)에 따라 ‘확률 진술’은 다음과 같이 표현된다.
A라는 사건에 대해 B가 관여했을 가능성이 :
- 거의 없다면 : remote
- 매우 낮다면 : highly improbable
- 대략 반반 정도라면 : roughly even odds
- 존재한다면 : probable
- 꽤 높다면 : highly probable
- 거의 확실하다면 : nearly certain
대중들에게 발표할 때에는 ‘확신의 단계’를 Low, Medium 혹은 Moderate, High로 표현한다. ‘확률 진술’과 헷갈릴 수 있기 때문에 같은 문장에 ‘확신의 단계’를 같이 쓰지 않는다. 물론 이러한 표현들로 특정 인물이나 조직이 범인일 가능성을 표현한다는 것 자체에 대한 논란이 없는 건 아니다. 하지만 지금으로서는 이 가이드라인이 가장 보편적으로 사용되고 있긴 하다.
법적 요소들에 대한 표준
그러나 이러한 증명에 대한 표준은 법정에서 효력을 갖지 못한다. 법문서를 작성할 때나 재판에 참석해서 ‘이 자가 용의자일 가능성이 nearly certain이고, 여기에 대해 우리는 high level로 확신한다’고 해봐야 큰 참고가 되지 않는다는 것이다. 그렇기 때문에 위에 제기된 언어로 구성된 보안 전문가의 보고서를 가지고 기소문을 쓰기는 어렵다. 법쪽에서는 크게 세 가지 표준이 존재한다.
가능성이라는 측면에서 낮은 것에서부터 높은 순서대로 다음과 같다.
1) 증거우월성(preponderance of evidence)
2) 명확하고 설득력 있는 증거(clear and convincing proof)
3) 합리적 의심(beyond a reasonable doubt)
기술적 표준
종합적인 첩보 분석에 의해 특정 용의자나 세력이 범인일 가능성을 나타냈고, 이를 법적으로 해석해 셋 중 하나로 표기했다면, 기술적 지표에 의한 가능성을 드러내야 할 때도 있다. 하지만 기술적 지표들은 대부분 그 수명이 그리 길지 않다. 잠깐 나타났다 사라지는 것들도 많다. 그렇기에 기술적 지표들은 꾸준히 모니터링하고 평가해야 한다. 아무런 맥락 없이 평가될 때 잘못된 결과를 주기도 한다. 어떤 기술적 지표들은 사건과 전혀 상관이 없는 시스템에서도 똑같이 재현되기도 하기 때문이다. 즉, 기술적으로 증거처럼 보이는 것 그 자체만 가지고는 잘못된 결과를 나타낼 때가 많으므로 전체적인 맥락과 결합해서 고려하는 것이 안전하다.
다음과 같은 순서로 일이 진행되는 것이 바람직하다.
1) 조사를 통해 아티팩트들이 생성된다.
2) 아티팩트들이 지표를 만든다.
3) 맥락과 지표들을 결합해 사건의 앞뒤를 구성한다.
4) 이 과정에서 공격자의 전략과 기술, 공격 실행 순서가 윤곽을 드러낸다.
5) 전략과 기술, 실행 순서는 여러 가지가 복합적으로 있을 수 있다. 이것이 시간의 흐름과 어떤 관련이 있는지를 파악한다.
6) 필요하거나 가능하다면 5)번에서 취득한 정보를 빠르게 공유해 피해 확산을 막는다.
범인을 왜 굳이 지목해야 하는가
매번 체포로 이어지는 것도 아니고, 체포한다고 해도 동료들이 계속해서 범행을 이어가는데, 굳이 범인이 누구인지를 알아내고 발표까지 해야 하는가, 하는 의문들이 제기되곤 한다. 그 노력을 오히려 사고 후속 조치나 예방에 쏟는 게 더 생산적이지 않은가 하는 지적이기도 하다. 하지만 당신의 집을 일면식도 없는 사람이 터는 것과 옆집 사람이 터는 것은 완전히 다른 이야기가 되지 않을까? 앞으로 또 일면식도 없는 완전한 타인이 우리 집에 침입할 수 있다는 두려움에 방비책을 마련하는 것과, 이웃을 경계하여 대응하는 것 사이에는 큰 차이가 존재한다. 사이버 사건도 마찬가지다.
확률적으로 ‘누가 날 공격했든 상관없고, 어쨌든 사업이 중단되지 않고 빠르게 이어지는 것이 중요하다’고 주장하는 조직은 그 뒤에도 사이버 공격의 피해자가 될 가능성이 높다. 진짜로 복구나 예방이 중요하다고 생각해서 후속 조치를 하는 게 아니라, 생산과 사업에 초점이 맞춰져 있기 때문이다. 성숙한 조직일수록 좀 더 실질적이고 효과가 확실한 대응책을 마련해 도입하려 하고, 그 고민이 진지하면 할수록 당연히 ‘이번에 우리를 공격한 자들이 누구인가?’가 궁금할 수밖에 없다. 이건 자연스러운 의식의 흐름이다. 그 ‘누군가’를 알아야 그들이 어떤 부류들인지 파악이 되고, 그런 부류들이 왜 우리 회사를 공격했고, 어떻게 막아야 하는지가 구체적인 지식이 된다. 이런 구체적인 지식이 추가 공격을 막는다.
글 : 찰스 가르조니(Charles A. Garzoni), 부 CISO, Centene Corporation
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
