실시간 뉴스



[김홍선의 보안이야기]더 심각한 내부정보 유출


위협의 동향과 특성 (2): 위협의 흐름 (Flow)

공항에서는 안전 지대(Secure Zone)에 들어서기 전에 검색대를 통과해야 한다. 여기에서 자신의 몸과 짐을 각종 센서를 통해 검사 받는다. 간혹 문제가 되는 물품을 가지고 있거나 9/11 테러 이후 실시된 샘플 검사에 걸린 경우 개인별로 별도의 검색을 당하는 경우도 있다. 그러나, 일단 안전 지대로 들어서면 아무런 제약도 받지 않는다. 그 지역에서는 면세점에서 쇼핑을 할 수도 있고, 인터넷을 할 수도 있다. 일부 공항에는 흡연 시설도 있다.

IT 환경도 공항과 비슷한 구조라고 할 수 있다. 외부 인터넷에서 내부 인트라넷이 연결되는 지역에는 다양한 방호 체제가 구성된다. 방화벽, IDS(침입탐지시스템), VPN(가상사설망)의 게이트웨이가 있고, DMZ를 형성한다. 보안 시스템이 잘 구성되어 있는 경우 외부에서 내부 네트워크로 들어오려고 하거나, 외부 협력사가 내부 직원과 소통하려면 각종 보안 절차를 따라야 한다. 그러나, 일단 내부에 있는 직원이나 VPN을 통해 외부에서 합법적으로 내부로 들어온 경우 제약이 크게 줄어든다. 일단 내부 환경은 안전 지대라고 규정하기 때문이다.

지금까지 위협에 대응하는 방식은 이런 구조에 기반했다. 다시 말해서 외부에서 내부로 침투하려는 눈에 보이지 않는 해커나 악성코드에만 신경을 썼다. 그러나, 통계에 따르면 정보 탈취를 위한 공격은 전체 건수의 2/3가 내부자나 내부자와 공조한 자에 의해 이루어진다. 즉, 내부에서 외부로의 정보유출이 더 심각하다는 의미이다. 실제로 보안 시스템이 잘 구성되어 있을 경우 외부로부터의 침투는 결코 쉽지 않다.

이런 맥락에서 해킹을 다룬 고전적 영화 ‘네트(The Net)’의 주인공이 문제를 해결하는 과정을 눈여겨볼 만하다. 산드라 블록이 연기한 보안 전문가 안젤라 베네트(Angela Bennett)는 조직적 해커 집단에 의해 궁지에 몰린다. 이 집단은 합법적인 보안 기업을 운영하면서 ‘게이트키퍼(GateKeeper)’라는 보안 솔루션을 국가에 납품하는데, 이 제품에 백도어(back-door)를 설치하여 모든 정보를 조종하고 국가의 인프라를 좌지우지한다. 자신의 고객으로부터 우연히 이런 정보를 접하게 된 안젤라는 곤경에 처한다. 국가의 모든 정보 시스템의 권한이 점령당했기 때문에 아무도 그녀를 도와 주지 않는다. 결국 그녀 스스로 문제를 해결하는 방법밖에 없다.

그녀는 직접 해커들이 사용한다고 생각되는 사무실에 잠입한다. 내부 경보망을 발동시켜 혼란을 일으킨 틈을 타서 시스템에서 패스워드를 탈취하게 된다. 그 후 범죄 집단의 우두머리가 대기업의 CEO라는 결정적 증거를 찾아낸다. 이 결과를 FBI에 보냄으로써 범죄 조직에 의해 장악된 시스템은 원상 복귀되고, 그녀는 본래의 모습을 찾게 된다. 그녀는 뛰어난 보안 전문가이지만 시스템 외부에서는 아무런 일도 할 수 없었고, 결국 물리적으로 내부 시스템으로 들어가 합법적 권한을 취득하여 역으로 추적을 한 것이다.

오늘날 위협의 진원지는 다양하다. 게이트웨이(Gateway), 엔드 포인트(PC), 웹 등 모든 컴퓨터 기기는 물론 영화 ‘네트’에서처럼 오프라인 세계의 취약점이 이용되기도 한다. 따라서, 위협의 근원지에 대해서는, 일단 생각할 수 있는 모든 장비와 소프트웨어를 대상으로 전방위 스펙트럼 분석을 수행해야 한다. 온라인으로 연결된 장비들은 온갖 해킹 방법을 이용해 취약한 곳을 공격하는 형태로 전개되기 때문이다.

그림. 위협의 흐름 (Flow)

또한 위협이 흘러가는 경로(path)에 대해서도 인식을 바꾸어야 한다. 내부자 관점에서 볼 때에 외부에서 허가되지 않는 접속이 내부로 들어오는(inbound) 것을 경계함은 당연하다. 그러나, 한편으로 내부에 있는 자원에 의해 의도적이든 실수에 의한 것이든 외부로 나가는(outbound) 형태를 동일한 잣대로 분석해야 한다.

필자가 몸 담고 있는 안철수연구소는 얼마 전 어떤 통신 사업자에 IPS를 공급한 적이 있다. 그런데, 그 고객의 가장 큰 고민거리는 외부에서 들어오는 공격이 아니라 사용자 PC에서 발생한 웜이 브로드밴드를 타고 사업자 망으로 유입되는 것이었다. 그렇게 되면 결국 자신들의 망이 오염되고 오작동할 수 있기 때문이다. 그래서, IPS를 외부에서 내부로 들어오는 트래픽보다 사용자로부터 시스템으로 전파되는 트래픽(outbound)을 필터링하고 방어하는 용도로 사용하고 있다.

또한 위협이 전송되는 도구도 이메일(Email) 첨부파일, 메신저, USB 같은 저장 매체 등으로 다양하다. 최근에는 웹 사이트를 보기만 해도 악성코드에 감염되는 아이프레임 인젝션(iFrame injection) 공격이 성행한다. PC에서 발생했던 바이러스와 같은 악성코드는 주로 실행 파일의 형태로 동작한다. 그러나, 웹이 더욱 지능화하고 다이나믹해지자, 또한 프로그래밍 언어나 도구가 다양해짐에 따라 사용자를 공격하는 악성코드의 형태도 정교해졌다.

/ 김홍선 안철수연구소 대표이사 column_phil_kim@inews24.com







alert

댓글 쓰기 제목 [김홍선의 보안이야기]더 심각한 내부정보 유출

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스