지난 3월 20일 발생한 사이버공격으로 방송사를 비롯해 은행 전산망이 피해를 당한 가운데 보안 사고가 금융소비자들의 피해로 직결될 수 있다는 우려가 높아지고 있다.

금융권에 대한 사이버공격은 비단 어제 오늘 일이 아니다. 지난 2009년과 2011년의 디도스 사건, 모 캐피탈사의 고객정보유출 사건 등을 겪은 바 있으며 이를 전후해 사이버공격 대응 방안 마련 및 보안체계 강화에 상당한 노력을 기울여왔다. 그럼에도 불구하고 이번 3.20 전산망 대란으로 보안 체계를 잘 갖추고 있던 기관들 조차 피해를 입었기 때문에 금융소비자를 위한 더욱 철저한 보안 체계와 정책 수립 마련을 고민해야 할 시기다.

이번 3.20 전산망 대란은 공격자들이 공격 상대를 미리 정하고 목적이 달성될 때까지 다양한 최신 악성 코드 기술을 활용해 수개월, 수년에 걸쳐 조직적이고 사회공학적으로 해킹을 시도하는 전형적인 APT 공격 형태이다.

특히 기업 내부에서만 사용되는 백신 관리·업데이트 서버를 통해 악성코드가 배포됐다는 점에서 많은 시사점을 제시하고 있다. 기업들이 보안 솔루션을 구축해 사이버공격을 미리 차단하고 대응하는데 총력을 기울였지만 APT 공격은 그보다 더 빠른 속도로 진화하고 있는 것으로 드러났다. 다시 말해 침입에 대비해 일정한 공격 패턴(또는 시그니처)을 미리 인지 및 정의하고 이에 따라 정형화된 탐지를 행하던 기존의 대응 방식에 변화가 요구된 것이다.

우선 많은 보안 업체들이 제각기 다른 APT 대응 솔루션을 제시하고 있지만 모든 APT 공격을 한번에 막을 수 있는 솔루션은 없다는 사실을 염두할 필요가 있다. 흔히 APT 공격에 대한 대응은 ‘건초더미에서 바늘을 찾는 것’으로 비유될 정도로 ‘바늘’ 즉 악성 공격을 탐지하는데 엄청난 시간과 노력이 투입된다.

하지만 기업의 집약적인 투자에도 불구하고 그 정확성과 효용성에는 항상 많은 의문이 따라왔던 것이 사실이다. 따라서 보안 담당자들은 더 이상 바늘을 찾지 말고 건초더미를 걷어내는 작업을 먼저 수행해 날로 지능화되고 첨단화되는 공격자들에 유연히 맞설 수 있는 효율적인 대응 체계를 갖춰나가야 한다.

이러한 작업의 시작은 네트워크의 트래픽 분석을 통해 가시성을 확보하는 것부터 시작해야 한다.

공격자는 악성코드에 감염된 PC를 원격 조종해 내부 네트워크에 장기간 은밀히 침투하고 원하는 정보를 수집하고 있다. 이에 대응하기 위해 보안 담당자들은 모든 트래픽을 저장하고 세션 단위로 재조합해 트래픽 내용까지 상세 분석할 수 있는 체계를 마련해야 한다.

정상적인 네트워크 접속을 걸러낸 후 비정상적인 트래픽을 파악해 공격 초기에 이상 징후를 빠르게 판담함으로써 공격을 조기에 차단하는 것이다.

또한 IT환경이 급변하면서 보안에 있어서도 빅데이터의 영향력이 더욱 커질 것으로 예상됨에 따라 기업 보안 담당자들은 방대한 양의 로그와 트래픽을 빠르고 정확히 분석해 낼 수 있는 빅데이터 기반의 보안 모델을 갖춰야 한다.

빅데이터 분석을 보안에 접목시킴으로써 조직의 보안 취약점과 위협 요인을 보다 빠르고 효과적으로 탐지하는 동시에 수일 걸리던 분석 기간을 수분 단위로 단축시킴으로써 공격 탐지의 효율성을 획기적으로 높일 수 있다.

한국EMC 보안사업본부는 네트워크 트래픽 수집과 저장을 통해 정교한 신규 공격을 탐지하는 EMC RSA 넷위트니스(NetWitness)의 아키텍처에 통합로그 관리시스템(SIEM) 기능과 빅데이터 분석 플랫폼을 업계 최초로 접목시킨 ‘EMC 시큐리티 애널리틱스(Security Analytics)’ 보안 플랫폼을 제공하고 있으며 신속하고 정확한 보안 대응 체계 구축을 위한 다양한 방안을 제시하고 있다.

이번 3.20 전산망 대란은 사이버 위협이 얼마나 빠르게 진화하고 있는지 여실히 보여주고 있다. 공격자의 창날이 더욱 날카로워질수록 우리의 방패는 더욱 단단하게 만들어져야 한다. 조직의 취약점을 명확히 파악하고 최신 공격 유형에 맞춰 여러 보안 솔루션을 능동적으로 운영할 수 있는 전문적인 보안 체계 마련에 기업의 관심이 필요한 이유다.