같은 양의 독성 물질이라도 체외에 노출 됐을 때와 체내로 들어왔을 때의 파괴력은 후자가 훨씬 크다. 해킹도 그렇다. 단순히 외부에서 접근하는 공격을 막는 것은 쉽지만 정상 이용자인 것처럼 가장해 들어오는 공격은 적발하거나 방어하기도 그만큼 어렵다. 일단 뚫린 후의 피해도 그만큼 더 크다.
사이버공격이 날이 갈수록 지능화되고 수법도 교묘해지는 가운데 이에 대한 대응 전략으로 ‘제로트러스트'(Zero Trust) 원칙을 바탕으로 한 보안 패러다임의 전환도 대대적으로 추진되고 있다.
최근 과학기술정보통신부, KISA(한국인터넷진흥원) 주최로 열린 ‘제로트러스트·공급망보안 포럼 발족식’에서는 정보보호 전문가 60여명이 참가해 공공·민간 보안 패러다음의 전환을 위한 전략을 논의했다.
━
내부자인 척 속여서 공격, “아무도 믿지 말아야”
━
제로트러스트란 ‘아무도 신뢰하지 않는다’는 것을 전제로 하는 사이버 보안 모델이다. 사용자나 기기의 접근을 철저히 검증하고 검증 후에도 최소한의 권한만 부여하는 방식이다.
기관·기업 등 조직을 내부와 외부로, 정보통신 서비스 생태계의 주체를 제공자와 이용자로 이분법적으로 나누는 종전까지의 ‘영역 중심’ 보안 패러다임이 최근의 사이버 공격에 대응하기에 적절치 않다는 반성에서 태동된 것이다.
국내에서 이슈가 된 여러 해킹 사건들에서도 공격자들의 수법이 교묘해지고 정교해진 것을 잘 보여준다. ESRC(이스트시큐리티 대응센터)가 올해 북한발 공격으로 추정한 일련의 사이버공격은 △국립외교원 구글 설문지로 위장한 공격 △논문심사 사례비 지급으로 위장한 공격 △카카오페이로 위장한 공격 등이 있었다. 피해자를 속여 정보를 캐내기 위한 수법이다.
글로벌 랜섬웨어(Ransomware) 조직 랩서스(Lapsus$) 역시 본격적인 공격에 앞서 내부자 정보를 입수하는 데서 시작한다는 점에서는 같다. 랩서스는 다크웹 등을 통해 입수한 내부자 계정으로 기업·기관 시스템에 침투, 악성코드를 심는 방식을 쓴 것으로 조사됐다. 삼성전자, LG전자 등 국내 유수 기업들은 물론이고 미국 엔비디아·마이크로소프트 및 브라질 보건부 등이 랩서스의 이같은 수법에 당했다.
북한발 해킹시도나 랩서스의 공격은 최근의 사이버 공격이 상대방의 방화벽을 뚫기 위한 고도의 기술을 기반으로 자행되는 게 아니라 사람을 속여 내부로 침투하는 식으로 자행된다는 점을 보여주는 사례다. 이 때문에 기존처럼 외부 공격을 방어하기 위한 영역보안이 아니라 네트워크 각 단계별 취약요소에 전부 대응할 수 있는 보안 패러다임으로 무게추가 옮겨가야 한다는 데 공감대가 커지고 있다.
임종철 디자이너 /사진=임종철 디자이너
━
납품받은 SW에 심은 악성코드, 피해 일파만파
━
정상 권한을 보유한 내부자인 것으로 위장하는 공격만 있는 게 아니다. SW(소프트웨어) 개발·운영·유지·보수 등 과정에서 수많은 관계자들이 관여하는 점을 악용해 SW 생산·공급과정에 침투, 악성코드를 심는 공격도 최근 눈에 띈 양상들이다.
고려대 SW보안연구소 최윤성 교수에 따르면 지난해에만 △MS 익스체인지 △솔라윈즈 △코드코브(Codecov) 등에서 SW 공급망 관련 대형 사고들이 터졌다. IT SW공급업체의 SW배포시스템에 악성코드를 심거나 SW 취약점을 공략해 수만여 피해자를 초래한 사건들이다.
특히 IoT(사물인터넷) 고도화로 네트워크에 연결돼 있는 모든 전자기기들이 SW로 동작되고 있어 이 과정에서의 취약점이 악용되면 그 피해도 훨씬 커질 수 있다. 이에 미국에서는 연방기관에 SW 내장 제품을 납품할 때 SW 구성요소를 식별하기 위한 명세서인 SBOM(Softeware Bill of Materials)을 의무적으로 제출토록 하는 규제를 시행하기도 한다.
━
산·학·관 협력, 제로트러스트·공급망보안 구체화 개시
━
과기정통부, KISA가 산업계·학계 등 전문가들과 ‘제로트러스트·공급망 보안 포럼’을 꾸린 것도 이같은 동향에 발맞춰 국내 보안 패러다임의 전환을 도모하기 위한 것이다.
제로트러스트·공급망 보안 포럼은 운영위원회, 제로트러스트 분과(2개), 공급망 보안분과(2개)로 구성되며, 각 분과별로 정책·제도, 기술·표준과 산업 등의 관점에서 보안 관련 현안을 정책과제로 정해 관련 기술개발 연구, 실증사업 등을 통해 검증을 진행하고, 최종적으로는 국가 표준화를 목표로 추진할 계획이다.
제로트러스트와 관련해서는 올해 중 또는 내년 초에 걸쳐 국가 제로트러스트 아키텍처 가이드라인 개발을 마치고 지침서를 내년부터 개발한다는 방침이다. 관련 표준화 논의도 진행된다.
제로트러스트 기술이나 산업 동향도 연내 공유하고 보안기술 로드맵 수립 및 연구개발도 올해부터 내년 상반기에 걸쳐 진행된다. 내년 상반기 중에는 또 제로트러스트 보안모델에 따른 실증사업도 추진된다.
공급망보안 부문에서도 SBOM 체계 도입 및 표준화 방안 마련, 국내 SW 공급망 보안체계 구축 등에 대해 구체적 대안을 모색한다는 방침이다.
26일 열린 제로트러스트 및 공급망 포럼 발족식에 정보보호 전문가와 산업계 관계자 60여명이 참석했다. / 사진제공=과학기술정보통신부
<저작권자 © ‘돈이 보이는 리얼타임 뉴스’ 머니투데이, 무단전재 및 재배포 금지>
황국상
- IT 아웃소싱 판 뒤집은 중개 플랫폼…투자자도, 대기업도 러브콜
- 충북 괴산서 4.1 지진, 올해 최대 규모…”흔들렸다” 신고 65건
- “모짜르트도 과소비로 불행해” 억만장자 멍거의 7가지 지혜 [김재현의 투자대가 읽기]
- “핼러윈 파티서 아무거나 먹지마”…코로나 공포 대신 ‘마약 공포'[르포]
- “거의 도플갱어”…넷플릭스 ‘코리아 넘버원’ 연경·광수 닮은 꼴 화제
