지난 3월 20일 KBS, MBC, YTN, 농협, 신한, 제주은행 총 6개사가 해킹당한 지 석 달 가까이 됐다. 민ㆍ관ㆍ군 합동 조사팀에 따르면 3ㆍ20 사이버테러는 북한이 최소 8개월 전부터 치밀히 준비한 고도 ’APT(Advanced Persistent Threat)형’ 표적공격이라고 한다.

3ㆍ20 사태는 오늘날 ’디지털 정보경제’ 환경에서 사이버 공격이 얼마나 큰 사회적 혼란과 금전적 손실을 야기할 수 있는지 다시 한번 일깨워주는 계기가 됐다. IT 시스템은 기업 비즈니스를 유지, 성장, 발전시키는 가장 기본적이고도 핵심적인 요소인 만큼 안정적인 IT 지원 없이는 비즈니스 수행 자체가 불가능하기 때문이다.

 

APT와 같은 고도 표적공격 사례들을 살펴보면 몇 가지 공통점을 찾을 수 있다. 우선 사이버 공격자와 방어자 사이에 ’정보의 비대칭성’이 존재한다는 점이다. 2010년 7월 발견된 ’스턱스넷(Stuxnet)’은 공격자와 방어자 간 기술 비대칭성을 잘 보여주는 사례다. 전 세계 에너지 회사들을 대상으로 한 고도 표적공격용 웜 바이러스인 ’스턱스넷’은 기존에 알려지지 않은 4개 제로데이 취약점을 이용해 폐쇄망으로 운용되는 원자력, 전기, 철강 등 기간산업 제어시스템에 침투해 작동 교란을 유도했다. 또 다른 공통점은 사람의 심리를 파고드는 사회 공학적 기법, 즉 휴먼 해킹이 큰 역할을 한다는 점이다. 보통 표적공격은 표적으로 삼은 조직이나 기업에 침투하기 위해 치밀한 사전 조사를 거쳐 공격 대상의 심리를 파고들 수 있는 정보를 파악한 후 해킹에 악용한다.

세 아이를 둔 IT 담당자에게 세 자녀 이상 보험 혜택 문서에 악성코드를 심어 이메일로 보내는 식이다. 중소기업을 겨냥한 표적공격도 증가하고 있는 실정이다. 보안 시스템이 강력한 대기업을 직접 공격하는 대신 보안이 취약한 중소기업을 일차로 공격한 후 이를 발판으로 협력관계에 있는 대기업을 우회적으로 공격하기 위함이다.

이처럼 갈수록 지능화, 정교화, 표적화되고 있는 고도 사이버 공격들을 개별 보안 솔루션이나 서비스로 막기에는 역부족일 수밖에 없다. 더구나 중소기업뿐 아니라 대기업도 최신 보안 공격에 대응할 수 있는 충분한 보안 리소스를 독자적으로 보유하기 어렵고 보안 전문인력도 충분치 않다.

국경을 초월해 이뤄지는 각종 사이버 보안 위협에 효과적으로 대응하기 위해서는 ’보안 빅 인텔리전스’와 같은 보다 혁신적인 글로벌 차원의 접근법이 요구된다.

’보안 빅 인텔리전스’란 전 세계에서 발생하는 보안 빅데이터를 활용해 각종 사이버 보안 위협에 대비하는 것이다.

훨씬 더 많은 정보와 리소스를 갖고 있는 공격자에 맞서 차세대 보안 서비스는 ’보안 빅 인텔리전스’를 기반으로 최신 보안 기술과 전문 인력을 서비스 형태로 제공할 수 있어야 한다. 이를 통해 기업ㆍ개인 사용자들은 현재와 미래에 대두될 수 있는 각종 보안 위협에서 IT시스템을 보다 효과적으로 보호하고 대비할 수 있을 것이다.