잡고 잡아도 어느 덧 더 성장하고 있는 나쁜 것들
미국 정부 낮고 겸허한 자세 취할 준비 갖춘 듯 보여

[보안뉴스 문가용] 주말까지 끼여서 정신없이 RSA 기간이 훅 지나갔다. 여러 큰 대회 및 전시회가 그렇지만 그 현장을 수많은 사람들이 방문하는 것은 거기서 나온 말들 중 허튼 말들이 거의 없기 때문이다. 그 말들은 혹여 놓칠 수 있었던 트렌드나 주요 포인트, 숨어있는 팁과 노하우를 담고 있는데, 이것들을 종합해보면 큰 흐름의 방향이 보인다.
 


올해의 RSA는 어떤 방향을 가리키고 있을까. 기자 개인적으로는 1) 정부의 낮은 자세, 2) 현존 보안 방책은 사실 무용지물이라는 것의 증명이 아니었을까 한다. 아직 더 나와야 할 새로운 것들을 우리는 기다리고 있다. 그리고 그것은 기술이기보다 체제일 가능성이 더 높아보인다.

1. 생각보다 훨씬 심각한 멀버타이징
어도비 플래시 플레이어의 제로데이 취약점을 활용한 멀버타이징 공격이 미국 시민을 노린채 두 달이나 발각되지 않은 채 대형 사이트들에서 활동을 해왔다. 공격 유형은 랜섬웨어였고 CVE-2015-0313 취약점이 악용됐다. 피해 사이트로는 데일리모션, 허핑턴포스트, 앤서즈닷컴(answers.com), 뉴욕데일리뉴스, 하우투긱(HowToGeek.com), 태그드닷컴(tagged.com) 등이었다. 광고업계가 멀버타이징으로 입는 피해는 연간 63억에서 100억 달러에 달한다고 한다.

2. 게임오버 제우스 이후로도 여전한 은행 봇넷의 위협
2014년 초 게임오버 제우스라는 봇넷 때문에 업계와 금융계가 발칵 뒤집혔고 국제 법 집행기관들이 다 모여서 이를 잡아내고 폐쇄시키는 데에 성공한 적이 있었다. 그런데 1년이 지난 시점에서 되돌아보니 봇넷은 오히려 양도 늘고 질도 높아졌다. 게임오버 제우스 사건이 이들에게 약이 된 꼴. 그 1년 동안 1400개가 넘는 금융기관이 공격을 당했고 그 중 90%가 미국 기관이었다. 게다가 이 은행 봇넷이란 게 은행뿐 아니라 여러 다른 분야에도 응용되고 있는 현상들이 발견되고 있다. 위험은 여전한 것을 넘어, 오히려 더 독해졌다.

3. 미국 정부, 더 이상 사이버 범죄에 좌시하지 않겠다는 의지
여태까지 사이버 범죄자들이 법망을 피해가는 건 너무나 쉽고 간단한 일이었다. 하지만 미국 정부는 이제 좀 더 공격적으로 이에 접근하려고 한다. 특히 미국의 기업으로부터 지적재산이나 정보를 훔쳐가는 것에는 반드시 대가가 따를 것이라는 언급도 있었다. 특히 중국의 해커부대인 PLA도 언급되었고, 2014년 말 소니 해킹 사건 때에는 북한을 직접 언급하기도 한 전적을 보면 미국의 이 결단이 단순 으름장은 아닌 듯 하다는 게 중론이다.

4. 행동분석과 바이오 인증의 만남
바이오 인증은 대단히 뚫기가 어렵긴 하지만 정적인 정보라 도난이 가능하긴 하고, 사용자에게 친절하지만은 않은 과정을 강요한다는 큰 단점이 있다. 그래서 나온 것이 행동분석과 바이오 인증의 결합이다. 혹은 수동적 바이오 인증이라고 불리기도 한다. 사용자 자신도 잘 모르는 마우스의 다이내믹, 웹 서핑 습관, 키스트로크 다이내믹(키를 누르는 압력, 속도, 각도 등), 제스처 다이내믹(카드를 스와이핑 하는 속도와 거리 등)을 분석하는 기술로 이스라엘의 바이오캐치(Biocatch), 뉴다타(NuData), 비헤이비오섹(BehavioSec)이 RSA에서 큰 관심을 받았다.

5. 미국 국토안전부, 민간부문에 첩보공유 설득 나서다
오바마 법안으로 유명한 첩보공유 법안이 민간부문에서 많은 의구심을 불러일으키고 있는데, 이를 안다는 듯 국토안전부에서도 나와 민간 업체들을 설득하기 시작했다. 기존에 민간업체들 사이에 정착해있던 ISAC 등의 공유 문화를 방해하려는 목적이 아니라는 것, 고압적인 자세가 아니라 파트너십을 이루고 싶다는 것, 미국 정부 기관들도 이를 보다 잘 다룰 수 있는 전문가들을 고용하기 위해 열심히 인재를 모색 중에 있다는 것을 강조했다. 정부가 민간부문을 설득하려 나섰다는 것 자체가 상당히 이례적이었다.

6. 국방부 장관, 새로운 사이버보안 전략 설명에 나서다
RSA에 직접 등장한 건 아니지만 전시장 바로 근처였던 스탠포드 대학에서 애쉬 카터(Ash Carter) 미 국방부장관이 국가가 여러 해커 및 사이버전에 맞서기 위해 세운 전략을 설명하는 시간을 가졌다. ‘파트너십’과 ‘투명성’을 특히 강조했다고 하는데, 이는 정부가 가지고 있었던 수직적인 태도를 생각하면 크나큰 변화일 수 있다. 또한 정부는 사후 처리보다는 사전예방에 더 관심을 가지고 있다. 정부가 보다 부드러운 태도를 취한 것과 사이버 보안이 가지는 특성에는 어떤 관련이 있는지 곰곰이 생각해볼 문제다.

7. 스마트폰, 사실 거기서 거기
BYOD로 인해 모바일 보안에 대한 이슈가 끝이 없이 터지고 있는데, RSA에서 나온 목소리들은 ‘사실 소문만큼 피해가 크지도 않고 심각하지도 않다’는 것에 가까웠다. 또한 세 가지 대표 OS에서 나타나는 차이도 그다지 크지 않고, 오히려 앱 층위에서 발생하는 취약점이 더 큰 문제다. 즉 애플리케이션 보안이 모바일 보안보다 더 우선시 되어야 한다는 것이다. 눈에 보이고 손에 쥐어진 게 핸드폰이긴 하지만, 더 신경써야 할 것은 그 안에 있는 내용물이다.

8. 그밖에
- 변화는 마음가짐의 문제이지 기술의 문제가 아니다 : 보안업계는 빠르게 변화하는 여러 현상들을 받아들일 수밖에 없다. 싫다고 막을 수 있는 성질의 것이 아니다.
- 공격적인 방어, 영화 <머니볼>에서 힌트를 얻다. 스포츠 계 안과 밖에서 일어나는 온갖 일들의 연계와 시너지가 잘 그려졌는데, 전략 수립에 앞서 한 번 보는 건 어떨까?
- 암호 전문가와 정부 사이의 신경전이 거세지고 있다.
- 아이덴티티 관리가 핵심인 시대다. 로그인 정보 관리만 잘 해도 많은 보안 사고를 막을 수 있다.
- 비접촉 지불 기술은 아직 불완전하다.
- 사물인터넷의 취약점은 치명적인 국가시설과 곧 연계될 가능성이 높다.
- POS는 하나도 나아진 것이 없다. 작년에 그렇게 뚫리고 당했는데도.
- 사이버 보안에서 제일 위험한 건 예나 지금이나 사이버 범죄자들이다. 기술이 무서운 게 아니라 사람이 무섭다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>