[칼럼] 보안 패러다임 전환 요구 시대!

[칼럼 박형근 시큐리티플러스 커뮤니티 대표] 날씨도 무더운데 잇따른 크고 작은 보안 사고 소식에 연일 뉴스가 뜨겁다. 그중 두드러진 3가지 보안 사고라면 SK텔레콤, Yes24, 그리고 SGI서울보증보험에서 발생한 사건들을 손꼽을 수 있다.

이들 사건 사고로 인해 누군가는 해킹 피해를 우려해서 새벽에 대리점까지 뛰어가서 유심(USIM)을 구하려고 전전긍긍했고, 누군가는 티켓팅을 하지 못해 우울했고, 또 다른 누군가는 전세 대출을 하지 못해 발을 동동 굴려야 했다. 전 국민이 정보보안의 실패가 자신의 삶에 얼마나 큰 영향을 줄 수 있는지, 그리고 안전하다고 믿었던 많은 우리의 디지털 사회 인프라가 얼마나 취약한지를 여실히 체감할 수 있었던 상반기였다.

특히 비즈니스 관점에서 SK텔레콤 사례는 많은 시사점을 준다. 해킹 사고가 있기 전
SK텔레콤은 국내 시장 점유율 1위인 통신사였다. 그러나 해킹 사고 이후, SK텔레콤은 7%이상 주가가 폭락하며 시가 총액 1조원이 사라졌다. 또한, 10년 동안 40% 이상을 유지했던 시장 점유율은 84만명 이상의 고객 이탈로 30%대로 무너졌다.

또한, 유심(USIM) 지원 및 위약금 면제로 인해 약 2천억원 규모의 비용이 발생될 것으로 예상된다. 또한, 과징금은 전체 매출의 3%를 기준으로 보면 최대 약 5,400여억원에 이를 수 있다. 예전에 모기업의 대표이사께서 기업을 운영하다 보면, 기업이 망할 위험은 수백가지가 넘는다고했던 말이 생각난다.

물론 그 말을 부정하는 것은 아니지만, 정보보안의 위험은 해마다 수많은 비즈니스 위험 속에서 그 우선 순위가 점점 높아지고 있다. SK텔레콤은 그러한 사실을 분명한 결과로 알려 준다. 지금까지 수없이 많은 보안 사고들이 알게 모르게 계속 있어 왔고, 없는 예산과 부족한 인력 속에서 어렵게 대응해 온 것도 사실이다.

그러나, 디지털 전환이 가속화되고, 새로운 혁신을 위해 인공지능 등 다양한 외부 서비스들과 융합되면서 공급망은 점점 더 복잡해지고 있다. 그만큼 보안의 실패로 오는 파급 효과와 영향도는 지금보다도 더 크고 다양해질 것이다. 그럼, 이러한 위험 속에서 우리는 어떻게 대응하고 관리하고, 안전하게 살아 남아야 할 것인가? 그럼, 다시 SK텔레콤, Yes24, 그리고 SGI서울보증보험의 사례로 돌아가 보자.

SK텔레콤 사고의 주요 원인으로는 Github에 소스코드까지 공개되어 있는 BPFDoor라는 악성코드에 대해 연일 지목하고 있다. 특정 악성코드만 지칭하면 사실 대응하는 측면에서는 매우 간편하다. 알지 못한(?) 악성코드를 대응하지 못했으니, 정해진 답안지인 안티바이러스나 EDR(Endpoint Detection Response) 솔루션만 도입해야 한다고 답변할 수 있기 때문이다.

그러나, 악성코드는 공격의 전체 흐름 속에서 드러난 한 현상에 불과하다. 과학기술정보통신부에서 발표한 SK텔레콤 침해사고에 대한 민관합동조사단의 최종 조사결과만 봐도 정보보호 거버넌스 문제, 부실한 계정 관리와 가시성 확보의 부족이라는 또다른 측면을 엿볼 수 있다. 또한 그러한 이유들 때문에 정확한 공격 경로를 파악하기에는 여러가지로 어려움이 있어 보인다.

다음은 Yes24와 SGI서울보증보험이다. 이 두 군데 모두 랜섬웨어에 감염되어 주요 서비스가 중단되었다. 그러나, 이 두 곳 역시 랜섬웨어라는 악성코드라는 드러난 현상만 집중할 뿐 어떻게 감염되었는지 그 경로에 대한 자세한 사항은 아직 분명하지 않다.

사용자 PC 단의 악성코드는 악성파일이 첨부된 공격 메일 내 첨부파일을 잘못 클릭하거나, 공격 코드의 다운로드를 유도하는 이미 해킹된 악의적인 웹 사이트에 접근함으로써 사용자의 부주위한 행위에 의해 악성코드에 감염된다. 물론 관리자가 서버 상에서 부적절하게 웹 서핑과 이메일을 열람하는 경우도 있고, 이러한 경우로 마찬가지로 악성코드에 감염될 수 있지만 이것은 명백하게 관리자의 주의 의무 및 보안 관리 절차에 대한 위반이다.

또한, 대부분의 주요 서비스를 제공하고 있는 서버 상에서의 악성코드는 외부 공격자가 성공적으로 내부에 침투하여 악의적인 활동을 하기 위한 도구일 뿐이다. 즉, 랜섬웨어의 경우에도 그저 공격자가 주요 데이터와 파일들을 암호화하기 위한 툴이다. 따라서, 만일 이미 일어난 사고들에 대해 대응 조치를 하거나 점검을 한다면 보다 전체적인 시각을 갖고 바라봐야 한다.

공격자 관점에서 바라본다면, MIRTE ATT&CK 프레임워크의 정찰, 자원 개발, 초기 접
근, 실행, 지속, 권한 상승, 방어 회피, 자격 증명 접근, 탐색, 수평 이동, 수집, 명령 및 제
어, 유출, 영향의 14가지 단계마다 제시되고 있는 다양한 공격 전술들에 대해 자체적으
로 방어 및 탐지 역량을 갖고 있는지 점검해 봐야 한다.

아울러 내외부의 구분없이 노출된 공격 표면을 줄여 나가야 한다. 또한 방어자 관점에서 바라본다면, 제로트러스트 아키텍처를 통해 현재의 보안 아키텍처와의 차이를 분석하고, 각 리소스 단위마다 그리고 제로트러스트 아키텍처의 각 통제 영역마다 어떤 강화된 인증, 접근 통제, 보안 기능을 제공해야 한다. 이를 통합적으로 어떻게 가시성을 확보하고 사고 대응력을 높일지에 대한 실질적인 계획과 이행 방안이 필요하다.

특히, 사용자 관점에서의 아이디/패스워드 기반의 인증 체계에서 다양한 강화된 인증 체계로의 전환과 함께 Non-Human 아이덴티티에 대한 관리와 이 둘을 통합적으로 인증부터 접근까지 가시성을 확보하고 아이덴터티 기반의 위협을 선제적으로 탐지하고 대응하는 체계가 무엇보다도 시급하다.

이와 더불어 정보보안팀 뿐만 아니라, 모든 임직원들이 정보보안에 대한 책임과 의무가 있으며, 적극적으로 정보보안 활동에 참여할 수 있도록 기업 문화적 접근이 매우 필요하다. 이를 위해서는 다양한 정보보안 교육 프로그램과 커뮤니케이션을 통한 정교한 변화 관리가 필요하다.

또한, 단순한 솔루션 구매보다는 기술의 도입에는 이를 운영할 수 있는 인적 자원에 대한 고려 역시 필요하다. 물론 무엇보다도 경영진이 정보보안의 실패가 중요 비즈니스
위험이라는 인식을 갖고 지속적인 투자와 관심을 갖는 것은 매우 중요하다.

매번 반복되는 말이지만, 이제는 인식의 전환과 함께 실질적으로 보안의 패러다임을 전환시켜야 할 시대임은 분명하다.

Related Materials

SKT, 해킹 사태 이후 보안투자 5년간 7천억원 확대

💡Editor Pick - 고객 안심패키지 강화, ‘사이버 침해 보상 보증 제도’ 도입 예정 - 정보보호 투자 5년간 7천억원 확대, 내∙외부 보안 검증체계 강화 - 약정 고객 해지 위약금 면제 SKT(대표이사 사장 유영상)가 지난 4월 사이버 침해사고에 대한 막중한 책임감과 신뢰 회복을 위한 ‘책임과 약속’ 프로그램을 4일 발표했다.

The Tech EdgeCheifEditor

예스24, 랜섬웨어 감염 인정...개인정보위 조사 착수

💡Editor Pick - 예스24 랜섬웨어 감염 인정 - 데이터 유출, 유실 없으며 백업 통해 복구 진행 중 - 개인정보 위원회 및 경찰 조사 착수 예스24, ”현재 접속 오류는 랜섬웨어로 인한 장애” 지난 9일 새벽부터 시스템이 마비된 예스24가 랜섬웨어 공격을 받은 사실을 인정했다. 11일 예스24 측은 ”현재 접속 오류는 랜섬웨어로 인한

The Tech EdgeCheifEditor

SGI서울보증보험, ‘Gunra’ 랜섬웨어에 당해...백신V3에 잡혀

💡Editor Pick - SGI서울보증보험, 웹·모바일 서비스 중단, 대출·보증 서비스 차질 피해 - ‘Gunra’ 계열 랜섬웨어 감염...Tox 주소 통해 금전 협상 시도 - SGI서울보증보험, 유출 데이터와 2차 피해 가능성 확인 작업 중 SGI서울보증보험이 ‘Gunra’ 계열 랜섬웨어에 감염된 걸로 확인됐다. 해커는 지난 14일 새벽 미확인 경로를 통해 SGI서울보증보험 내부에

The Tech EdgeCheifEditor