[전문가 칼럼] 사이버 보안 위협에 대응하기 위한 기술발전 현황

ⓒshutterstock

│비즈니스 생태계 발전과 사이버 보안의 중요성

인공지능, 블록체인, 클라우드 등 차세대 기술 발전은 산업 간 융복합으로 경계가 허물어지는 빅블러 현상을 가속화했다. 정보기술(IT) 영향도가 산업 전반으로 확산되며 단일 라이브러리나 소프트웨어에서 발생한 보안위험도 연쇄적으로 작용함에 따라 ‘위험 체인화(Risk Chaining)’가 유발되었다. 하드웨어나 소프트웨어를 특정 공간에 구축해서 운영되던 종전의 온프레미스(On-Premise) 환경을 벗어나 분산 클라우드(Distributed Cloud)로 시간적, 지역적, 환경적 제약이 해소되면서 융합 인프라로 확장되고 있는 것도 위험 체인화에 일조하고 있다. 

인프라의 변화는 소프트웨어 생태계에도 영향을 미쳤다. 클라우드 기반의 마이크로서비스 아키텍처(MSA)가 확산되고, 유연성과 편의성, 안전성을 도모하기 위해 응용프로그램인터페이스(API)나 프로그래밍을 도와주는 서드파티(3rd Party) 사용이 증가되었다. 오픈소스 생태계를 통해 체계화된 소프트웨어가 안정적으로 공급되면서 높은 기술 성숙도가 필요한 시드 기술이 공유되어 시장 활성화 및 개발비용 절감의 긍정적인 효과를 가져왔다. 

문제는 비즈니스 생태계 전반에서 IT와 소프트웨어의 영향도가 높아지면서 취약점의 위협이 상호 종속적인 관계로 얽히면서 공급망 보안을 위협하고 국가 안보를 저해하는 새로운 공격요소로 작용되고 있다는 점이다. 예를 들어 솔라윈즈(Solarwinds) 제품 공격, 카세야(Kaseya) 공급망 공격 사태가 일어나거나, 마이크로소프트의 이메일 교환용 서버인 마이크로소프트 익스체인지 서버(Microsoft Exchange Server)의 취약점, 자바 언어 기반의 로그 프로그램인 아파치(Apache) Log4Shell의 보안 취약점이 발견됐다.

 솔라윈드(Solarwinds) 공급망 공격 방법. ⓒIGLOO Corp.

│사이버 보안위협 최소화, 대응기술의 발전 현황

비즈니스 생태계의 신(新)성장동력인 IT가 비단 보안위협의 트리거로만 작용하는 것은 아니다. 보안위협의 대응기술에도 중요한 역할을 하고 있다. 최근 인공지능, 머신러닝, 블록체인, 양자암호 등이 접목된 차세대 보안기술이 발전하고 있다. 사이버 보안의 대응기술은 통합화, 자동화, 지능화의 키워드로 정리해 볼 수 있다.

안전한 사이버 보안 대응체계를 구축하기 위해서는 비즈니스 인프라를 구성하는 자산을 식별하고 관리적, 물리적, 기술적인 보안 아키텍처를 도입해야 한다. 일반적으로 조직에서 관리하고 운영하는 보안 솔루션은 평균적으로 50개 이상이다. 보안 솔루션들은 동일 벤더라고 하더라도 이벤트나 로그 형태가 표준을 따르지 않는 경우가 일반적이고, 다수의 이기종 보안 솔루션들을 유기적으로 관리하고 운영하는 것이 어렵기 때문에 자연스럽게 통합화의 필요성이 높아지게 되었다.

 사이버 보안위협에 대응하기 위한 보안관제 기술의 발전 방향. ⓒIGLOO Corp.

다수의 보안 솔루션이나 비보안 솔루션에서 발생되는 대용량의 이벤트나 로그를 수집하고 분석하여 알고 있는 보안위협(Known Threat)과 알려지지 않은 보안위협(Unknown Threat)을 식별하기 위해서는 조직의 업무 프로세스에 맞게 단순 반복적인 업무를 체계화하고 구체화하여 자동화하는 것이 필요하다. 자동화된 보안위협 대응 솔루션 ‘보안 오케스트레이션, 자동화 및 대응(Security Orchestration, Automation and Response, SOAR)’은 수많은 요소를 하나의 과정으로 묶은 플레이북(Playbook)을 기반으로 이러한 요구사항을 수행하게 된다. 이를 통해 보안 사고(인시던트, incident) 관리와 대응을 자동화함으로써 가시화되지 않은 잠재적인 보안위협을 발견하거나(위협헌팅, Threat Hunting) 선제적인 보안위협을 예측하고 분석하기 위한 보안관제 방안을 구축하는 데 일조할 수 있다. 

자동화된 보안위협 대응 솔루션 SOAR 구축 시 효과. ⓒIGLOO Corp. 

사이버 공격자들 역시 통합화되고 자동화된 보안체계에 대응하기 위해 공격 정확도를 향상시키고 조직의 보안체계를 무력화하거나 우회하기 위한 새로운 무기로 인공지능을 활용하기 시작했다. 인공지능을 이용한 스피어 피싱(Spear-Phishing) 로봇 ‘SNAP_R’ 등장 이후에도 인공지능 해킹 공격 컴퓨터 ‘메이헴(MAYHEM)’, 인공지능 악성코드 ‘딥락커(DeepLocker)’ 등은 인공지능으로 인한 사이버 위협의 심각성을 경고하는 사례라고 할 수 있다.

‘구글은 끝났다(Google is done)’라는 영국 일간지의 헤드라인처럼 인공지능 모델의 퍼펙트스톰인 ChatGPT는 무기화된 인공지능의 위험성을 알리는 대표적인 사례라고 할 수 있다. 미국의 인공지능연구소 ‘오픈AI(OpenAI)’에서 2022년 11월에 발표한 ChatGPT 3.5는 발표 이후 공개 5일 만에 100만 명의 유저가 가입하면서 산업 전반에 화제를 불러일으키고 있다. 문제는 이러한 관심이 항상 긍정적인 영향을 미치지 않는다는 점이다. 해킹포럼에서는 ChatGPT를 이용한 악용사례를 공유하였다. 정보탈취형 악성코드인 인포스틸러(Infostealer)의 소스코드 구현, 문서형 악성코드 제작, 스피어 피싱 등의 공격코드 생성 같은 사례들을 보면, 인공지능이 사이버 범죄의 진입장벽을 낮추는 데도 ‘일조’하는 것 같아 우려의 목소리가 높아지고 있다. 물론 ChatGPT에서 불법적인 목적으로 사용되는 것을 제한하기 위한 노력을 지속하고 있다.

이처럼 인간의 영역이라고 할 수 있는 해킹의 전문지식이나 독창적인 공격기법이 인공지능으로 대체될 수 있음이 증명되면서 지능화된 사이버 공격으로 인한 해킹 속도와 규모가 우리의 상상을 초월할 수 있다. 이 때문에 인공지능 역기능으로 인한 부작용을 막기 위한 보안강화 논의와 대응기술 분야의 인공지능 연구가 본격화되고 있다.

│사이버 보안 전문가로 거듭나기 

편의성과 효율성을 무기로 디지털 전환 시대가 본격화되었다. 산업 간 융복합은 보안(Security)을 넘어 안전(Safety)을 위협하는 트리거로 작용하고 있다. 이와 함께 공격기술이 발전함에 따라 인공지능, 머신러닝, 블록체인, 양자암호 등 새로운 사이버 보안기술 연구와 실무적 역량 강화가 중요해지고 있다.

급변하는 사이버 보안기술 분야에서 전문성을 강화하기 위해서는 기존의 IT 환경과 관련 기술을 이해하고 새로운 기술을 접목하는 자세가 중요하다. 접근통제 보안모델(임의적 접근통제(MAC), 강제적 접근통제(DAC), 역할 기반 접근통제(RBAC))을 이해하지 않은 상태에서 클라우드 IAM(Identity and Access Management)의 메커니즘을 이해하는 것은 한계가 있으며, 단방향 암호화나 양방향 암호화의 특성이나 한계점을 이해하지 못한다면 양자내성암호(Post Quantum Cryptography), 동형암호(Fully Homomorphic Encryption), 형태보존암호(Format Preserving Encryption), 경량암호(Lightweight Cryptography)처럼 기존 암호 알고리즘의 한계를 해결한 차세대 암호기술을 이해하는 것도 쉬운 일이 아닐 것이다.

하지만 가장 중요한 점은 사이버 보안의 본질적인 목적을 잃어서는 안 된다는 것이다. 2021년 11월경 가정용 IT 기기 관리 단말기인 월패드를 해킹해 사생활이 담긴 영상을 유출한 혐의로 체포된 보안전문가의 보도를 보면, 사이버 보안 전문가에게 필요한 것은 전문적 기술 이면에 직업적 윤리의식과 소명의식이 반드시 존재해야 한다는 점이다.

합법과 불법의 경계를 명확히 인지할 수 있는 윤리의식을 바탕으로 기술적 전문성과 경쟁력을 발전시킨다면 사이버 전쟁터의 치열한 전투 속에서 피어난 사이버 보안이라는 꽃의 매력을 느낄 수 있을 것이다.

글_김미희 이글루코퍼레이션 보안분석팀 책임컨설턴트, 팀장