최근 미국의 소니픽처스와 한수원에 대한 해킹공격이 발생했다. 이번 해킹사태로 인해 국민들의 보안에 대한 경각심이 높아지고 있다. 고려대 정보보호대학원 이상진 교수는 소니에 대한 해킹은 단시일 내에 급진적으로 이루어진 반면, 한수원에 대한 해킹은 공격자가 특정 대상을 정하고 장기간에 걸쳐 지속적으로 공격을 감행했을 것으로 추측하고 있다. 한수원에 대한 공격패턴은 지능형 지속 위협공격으로 불리는 APT(Advanced Persistent Threat)공격과 유사하다는 것이 그의 설명이다.

장기간 지능화 해킹프로젝트, APT 

APT공격은 기존 해킹기법들이 단시일 내에 공격 대상에 침투하는 것과는 달리, 장기간에 걸쳐 특정 타겟을 공격해 소기의 성과를 달성하는 공격기법이다. 따라서 공격자는 짧게는 수개월 만에 공격목표를 장악할 수도 있지만, 어떤 때는 수년에 걸쳐 공격을 감행하기도 한다. APT공격은 스피어피싱(Spear-phishing)이라는 피싱공격으로부터 출발한다. 스피어피싱은 열대지방의 작살낚시라는 말에서 유래했으며, 불특정 다수가 아닌 특정인을 대상으로 그들이 잘 아는 사람의 이메일을 이용해 악성코드를 발송하는 해킹방법이다. 고려대 정보보호대학원 이상진 교수는 한수원의 해킹사태는 퇴직자의 이메일에 악성코드를 심어 발송했다는 점에서 스피어피싱 기법이 사용됐음을 지적했다.

최근 해킹사고는 이와 같이 집요하고 지능화된 공격패턴이 급증하는 추세에 있다. 한국인터넷진흥원의 ‘최근 주요 해킹사고 사례와 대응전략’ 보고서에 따르면, 2000년대 초반 해킹사고는 주로 바이러스나 웜과 같이 개인 PC에 악성코드를 감염시키고 이를 통해 발생하는 피해가 주를 이루었다. 하지만 오늘날에는 공격기법이 점차 고도화·지능화되면서 APT공격이나 개인정보유출, DDoS공격이 증가하는 추세에 있다. APT공격은 정치·사회적 목적을 성취하기 위해 국가기관이나 기업 등의 웹사이트를 해킹하는 ‘핵티비즘’과도 맞닿아 있다. 따라서 APT공격은 단순히 1차 공격만으로 끝나지 않고, 소기의 목적을 달성하기 위해 2차·3차공격으로 이어지는 경우가 흔하다.

보안책임자들의 입장에서는 여간 골칫거리가 아닐 수 없다. 더군다나 APT공격을 100% 차단할 수 있는 방법은 없다는 것이 업계의 정설이다. 미국에서는 대형쇼핑몰 타겟이나 홈디포, 종합금융투자사인 JP모건체이스가 APT공격을 받기도 했다.

알려지지 않은 공격을 예측하는 빅데이터 보안 

APT공격은 기존에 개인적인 목표로 이루어진 공격들에 비해서 사전조사, 알려지지 않은 공격, 사회공학적 기법, 정상 사용자로의 은닉, 탐지기능에 대비하는 적응, 지속적인 공격관리 등의 기법들을 복합적으로 사용하므로 기존 방어기술로는 대응하기에 한계가 있다. 한국전자통신연구원 네트워크보안연구실 김익균 실장은 APT공격은 기존의 사이버보안 프로그램인 파이어월(방화벽)과 같이 명시적으로 알려진 패턴이나 악성코드를 차단하는 방식으로는 찾기 어렵다고 말했다. APT공격과 같이 알려지지 않은 공격은 패턴이 없으므로, 이와 유사한 징후를 판단해야 한다. 그 동안 관리자나 사용자들의 컴퓨터 사용 및 접근 정황을 판단하여 해킹공격과 유사한 정황이 있으면 그걸 예측의 근거로 판단해서 해킹공격을 찾아내는 기술이 필요하며, 이 경우 방대한 데이터를 살펴봐야 하므로 빅데이터 처리기술을 활용하게 된다.

빅데이터를 활용한 보안기술은 보안프로그램들이 과거의 공격과 유사한 정황을 파악하도록 하기 위해 프로그램에 지능을 부여하는 기계학습 기술을 적용하게 된다. 기계학습기술은 그 학습 방법에 따라 크게 감독학습과 비감독학습으로 나뉜다. 감독학습은 해당 자료에 대한 지식을 기반으로 학습하는 방법이며, 비감독학습은 이러한 지식의 도움없이 스스로 학습하는 방법이다. 김익균 실장은 감독학습법이 비감독학습법에 비해 정확도가 높으나, 새로운 유형의 공격감지에는 비감독학습법이 효과적이라고 밝혔다.

방대한 양의 데이터에서 특정한 패턴을 추출하는 기술인 데이터마이닝(Data Mining)도 빅데이터를 활용한 보안기술에서 활용되고 있다. 데이터마이닝 기술은 데이터베이스에서 과거에는 미처 깨닫지 못했지만 데이터 속에 숨겨진 패턴이나 유사한 정황들을 포착해 해킹위험을 탐지하는 기술이다. 이처럼 빅데이터 보안 기술은 과거의 정형화된 공격패턴에만 얽매이지 않고, 방대한 데이터의 조합을 비교 분석해서 공격과 유사한 정황을 포착하고 이를 분석해 해킹공격을 방어하는 기술이다. 따라서 오늘날과 같이 장기간에 걸쳐 특정목표에게 치밀하게 공격을 가하는 해킹을 방어하는 데는 최상의 보안기술이라 할 수 있다

글로벌 시대에 적합한 빅데이터 보안 

빅데이터를 활용한 보안기술은 세계 곳곳에서 지사를 운영하는 글로벌 업체에도 유용한 것으로 알려져 있다. 해외 지사의 경우 워낙 광범위하고 방대한 데이터량을 쏟아내며 원격지로 떨어져 있다보니 보안 시스템을 구성하기가 어렵다. 그래서 클라우드로 데이터를 전송하는 경우가 많으며, 이때 클라우드에 있는 빅데이터를 분석함으로써 보안위험에 대비하게 되는 것이다.

또한 전 세계에 데이터센터를 만들고 중앙에서 실시간으로 빅데이터를 수집해서 분석한 후 실시간으로 고객사에 있는 장비에 보안관련 자료들을 보내는 방법도 있다. 예를 들어서 중국에서 어떤 미국사이트를 공격하는 IP주소를 발견하면, 공격에 사용한 IP주소를 고객들의 장비에 서비스형태로 전달하게 된다. 그러면 실제로 공격을 받지 않고도 위험한 IP주소를 사전에 식별하고, 해당 IP주소에서 통신이 시도될 경우에는 이를 차단할 수 있는 기술이다. 보안전문기업인 인포섹의 유종훈 부장은 “대규모의 글로벌 기업에는 클라우드와 빅데이터로 인해 방대한 자료가 축적되므로 명확하게 공격패턴이 보이지 않는 경우가 많다”며, “이 많은 양의 데이터를 처리하여 알려지지 않은 공격패턴을 사전에 감지하는 보안기술이 최근 많이 사용되고 있다”고 밝혔다.

빅데이터 보안의 유형

APT공격처럼 알려지지 않은 공격에 대비하기 위해서는 빅데이터 처리기술을 활용해 사용자의 응용프로그램상의 활동을 항상 모니터링할 필요가 있으며, 비정상적인 패턴을 발견하는 기술적 기반이 뒷받침되어야 한다. 또한 이렇게 수집된 다양한 소스 정보의 특성을 분석해 이상 유무를 판단할 수 있어야 한다. 한국전자통신연구원은 ‘빅데이터를 활용한 사이버 보안 기술동향’ 보고서를 통해 빅데이터를 활용한 보안기술의 유형을 설명했다.

그 첫 번째 유형은 실시간 모니터링이다. 시스템 구성요소에 대한 공격상황을 추적하고 분석하거나 응용프로그램 상에서 사용자의 활동성을 모니터링하기 위하여 다양한 소스로부터 데이터를 수집하고 관리하는 기술이다. 둘째, 위협에 대한 지능(Thread Intelligence)이다. 비정상적인 활동을 보다 정확히 인식할 수 있게 하는 기술로, 다양한 위협과 공격패턴에 대해 빠르게 인지하는 기능이다. 예를 들어, 외부 IP주소에 대한 소량의 트래픽이 정상 트래픽으로 위장되어 간과될 수 있는 경우에 이를 공격제어와 관련된 위협 정보로 인지할 수 있다.

셋째, 행위 프로파일링이다. 비정상에 대한 조건들이 잘 정의되어 있을 경우에는 일련의 특정 조건들을 찾기 위한 연관 규칙을 정의하는 것이 가능하다. 하지만, 이런 규칙기반의 방법론으로는 모든 비정상 행위를 탐지하기 어려우므로 행위 프로파일링 기반의 이상징후 탐지분석기법을 사용하는 것을 말한다. 넷째, 데이터 및 사용자 모니터링이다. 사용자 및 데이터의 콘텍스트를 포함한 데이터 및 사용자의 활동성을 모니터링하는 것은 침투 탐지 및 오용 탐지에 필수적이라 할 수 있다. 또한 특권 사용자와 민감한 데이터 접근을 모니터링하는 데에도 사용된다.

다섯째, 응용모니터링이다. 응용 프로그램의 취약점은 표적공격의 주요 타겟이므로 비정상 응용 프로그램의 활동성을 모니터링하는 기술이 빅데이터를 활용한 보안에 사용된다. 여섯째, 최종적으로 모든 데이터를 분석하는 것이 필요하다. 기계학습, 데이터 마이닝, 네트워크 마이닝 기법 등을 활용하여 다양한 소스 정보의 특성을 분석하고 이상 유무를 판단하는 기술로 빅데이터 보안기술의 핵심기술이다.

빅데이터 보안의 성패는 탐지율에 좌우돼

보안업계에서 탐지율이란 “공격의 가능성이 몇 프로이다”라는 식으로 알려지지 않은 공격을 사전에 차단하는 것으로, 기존의 파이어월 같은 보안장비들이 명확한 것만 비교해서 차단하는 것과는 개념이 다르다. 빅데이터를 활용한 보안기술에서는 이 탐지율을 향상시키는 것이 향후 이 보안기술의 성공여부를 좌우한다고 해도 과언이 아니다.

그 근거는 음성인식 기술의 발전과정에서 찾아볼 수 있다. 10년 전 삼성전자는 핸드폰에 음성인식 기능을 탑재했으나 인식률이 낮아 소비자 사이에 반응이 좋지 않았다. 음성인식기술이 다시 쓰이기 시작한 건 애플이 시리를 들고 오면서부터다. 애플은 음성인식률을 한층 향상시킨 시리를 아이폰에 탑재했고, 사람들은 시리의 기능에 만족하게 되었으며 지금은 다양한 분야에서 음성인식 기능이 사용되고 있다. 김익균 실장은 빅데이터 처리기술을 활용한 보안프로그램들도 아직까지는 탐지율 자체가 높지 않으므로 함부로 운용할 수 없는 게 현실이라고 강조했다. 보안프로그램이 잘못 판단해서 시스템 파일을 지우면 기업에 막대한 손실을 줄 수도 있기 때문이다. 그러므로 보안업체와 정부가 알려지지 않은 공격에 대한 탐지율을 높이기 위한 투자에 적극적으로 나서야 할 것으로 보인다.

<알아두면 유용한 보안 Tip> 

1. 스팸차단을 위한 보안앱 설치

한국인터넷진흥원은 스팸이나 스미싱 차단을 위한 보안앱을 설치할 것을 권고하고 있다. 또한 각 스마트폰의 설정단계에서 ‘알 수 없는 출처(혹은 출처를 알 수 없는 앱)’을 설치하지 않도록 체크 해제해야 하며, 부재 중 전화(원링), 지인 가장, 호기심 자극 등의 문자나 이메일에 대한 회신을 금지할 것을 권유했다. 한국인터넷진흥원이 무료로 배포하고 있는 ‘폰키퍼’는 시시각각 발생하는 사이버보안 문제를 실시간으로 스마트기기 유저들에게 알려준다.

2. 비밀번호 해킹가능성 알아보기

자신의 PC가 해킹되지 않기 위해서는 비밀번호를 안전하게 설정해야 한다. “HOW SECURE IS MY PASSWORD?” 사이트에서는 개인이 설정한 비밀번호가 얼마 만에 해킹가능한지를 알려주는 서비스를 제공하고 있다. 홈페이지 주소는 https://howsecureismypassword.net이며, 홈페이지 내의 검색창에 비밀번호를 입력하면 ‘abc12345'는 즉시(Instanly), ’darev357’은 11분 만에 해킹가능하다는 식으로 비밀번호가 해킹되는데 걸리는 시간을 알려준다.

MeCONOMY Magazine January 2015