1. 사이버 위협의 변화
올 여름 우리들을 힘들게 했던 무더위가 끝나가고 있다. 정말이지 더워도 너무 더웠다. 그런데 올 여름 무더위만큼이나 우리를 힘들게 만들었던 것은 또 있다. 갈수록 거세지는 랜섬웨어의 위협이 대한민국의 보안담당자들을 피로하게 만들고 있다. 무더위는 지나갔지만 랜섬웨어는 낙엽이 지고 눈이 내려도 쉬이 물러가지 않을 것 같다. 한 언론기사에 따르면 한국은 전세계 국가들 중 미국, 일본에 이어 세 번째로 많은 피해를 받은 국가라고 하며, 또 다른 기사에서는 올해 국내에서만 랜섬웨어에 의한 피해액이 약 3,000억대에 이를 전망이라고 한다. 이쯤 되면 가히 재난 수준의 위협이며 그 피해는 공공기관, 기업 그리고 개인을 가리지 않고 무차별적으로 확산되고 있다. 더욱더 심각한 문제는 여타의 악성코드와는 달리 대부분의 랜섬웨어는 일단 감염이 되고 나면 악성코드를 제거하더라도 암호화되어 버린 데이터는 복구가 거의 불가능하다는 점이다. 랜섬웨어뿐만이 아니다. 스피어 피싱, 모바일 악성코드 등등 지금의 인터넷은 사상 최악의 ‘나쁜놈’들 전성시대로 보이며 보안담당자들의 일과를 고단하게 만들고 있다.
사실 기술적인 측면에서 따져보면 랜섬웨어는 그다지 대단한 기술이 들어간 해킹기법이 아니다. 이미 오래 전부터 존재해 왔던 흔하디 흔한 악성코드 제작기술에 암호화 기술을 접목시킨 것에 불과하다. 다만 특이한 점이 있다면 랜섬웨어의 경우 인프라가 아닌 데이터의 가용성에 대한 공격을 근간으로 하고 있으며 이는 기존의 가용성에 대한 침해위협의 목표가 DDoS와 같이 네트워크 또는 시스템 자체에 집중되어 왔던 오래된 틀을 파괴했다는 점이다. 일반적으로 해킹공격을 성공시키기 위해서는 취약점(Vulnerability), 실행기법(Delivery Mechanism), 그리고 피해방식 (Damaging Method)의 삼박자를 갖추어야 하는데 랜섬웨어의 경우 피해를 주는 방식에서 기존의 보안위협들에 비해 참신성(?)이 엿보인다.
이처럼 공격자들이 취약점이나 실행기법보다는 새로운 형식의 피해를 창출하는 방법 연구에 더 많은 노력을 기울이고 있다는 점은 비단 랜섬웨어뿐만 아니라 다른 보안위협에서도 찾아볼 수 있다. 기존의 해킹수법이 대체로 개인정보나 영업기밀과 같이 일정 가치를 지닌 정보를 탈취한 후 재판매 하거나 또는 이를 빌미로 피해자를 협박해 금원을 갈취하는 형태가 일반적이었던 것에 비해 근래에 들어 공격자들은 해킹으로 얻은 정보 자체의 가치보다는 해킹의 결과로 파급되는 2차적 피해를 노리는 형태로 진화하고 있다는 점 역시 눈여겨 볼 만하다. 가장 대표적인 예가 바로 피해자의 스마트폰에 악성코드를 심은 후 탈취한 영상이나 사진을 연락처에 포함된 지인들에게 유포하겠다고 협박하여 금품을 갈취하는 속칭 ‘몸캠피싱’ 이며 랜섬웨어 역시 개인에게 매우 중요한 가치가 있는 정보(예컨대 추억이 깃든 사진이나 중요 연구자료 등)를 볼모로 잡는 등, 피해자의 프라이버시, 수치심 또는 추억과 같은 감성적 영역을 자극하는 경우가 빈번하며 기업이나 공공기관의 경우에도 업무마비로 인한 후속피해 또는 대중의 비난과 같은 간접적인 목표를 의도하는 경우들이 이에 해당한다.
그렇다면 과연 기업들은 이처럼 변화하고 있는 사이버위협에 대응하기 위하여 어떤 창의적이고 효과적인 대응책을 마련하고 있는가? 불행히도 여전히 상당수의 기업들이 변화된 사이버위협의 현실 앞에서 속수무책인 것으로 보인다. 랜섬웨어의 피해를 입은 기업들은 실제로 공격자에게 몸값을 지불하거나 또는 민간업체에 의존하여 문제를 해결하는 경우가 대부분이며 정부 역시 이와 같은 문제에 대해서는 별다른 대책을 제시하지 못하고 있는 것이다.
2. 컴플라이언스의 역습
앞서 언급했던 바와 같이 공격자들은 창의성과 상상력을 바탕으로 위협을 진화시키고 있는 것에 비추어 볼 때 기업 보안담당자들이 처해있는 현실은 그들과 맞서기에 필요한 창의성과 상상력을 발휘할 만한 환경은 아닌 것으로 보인다. 필자가 그 원인으로 주저없이 지목하는 최대의 문제점은 다름 아닌 과도한 컴플라이언스 업무다. 언젠가부터 정보보호 컴플라이언스 업무는 기업 정보보호담당자의 주된 업무로 떠오른 지 오래다. 오해는 말아주기 바란다. 컴플라이언스 업무가 중요하지 않다는 이야기를 하고 있는 것이 아니다. 컴플라이언스는 기업의 정보보호 영역에서 기본 중의 기본에 해당한다. 필자의 요지는 다만 현재 정보보호 담당자들의 업무 내용 중 각종 법령들의 내용을 충족시키고 주요 감독당국의 점검에 대비하기 위해 할애하는 시간의 비중이 과도하게 크다는 이야기를 하고 있는 것이다. 그와 같은 상황은 정보보호팀의 규모가 작을수록 더욱 더 심해지는 것으로 보인다.
최근 들어 정보보호 관련 주요 컴플라이언스 요건의 취지가 보호조치의 “구체적인 기준”을 정하는 것에서 “최소한의 기준”을 정하는 것으로 바뀌었다고는 하지만 그 “최소한의 기준” 역시 법령의 제∙개정을 통해서 수시로 바뀌고 있으며 바뀐 법령들을 이해하고 조직의 상황에 맞게 적용하기 위해 이제는 보안담당자들이 법률공부까지 해야 할 지경에 이르렀다. 기업의 보안담당자들은 공격자들의 도전에 맞서 응전해야 할 최전선에 있는 전위들이고 그들의 사고 역시 공격자들에 필적할 만한 상상력과 창의력으로 무장되어도 모자랄 판국에 보안담당자들의 사고와 업무를 컴플라이언스의 틀 안에 가두는 것은 스스로의 역량을 약화시키는 패착으로 작용할 우려가 매우 크다.
3. 이제 보안담당자들을 컴플라이언스의 굴레에서 놓아주자
금융권을 필두로 자율규제의 기조가 확산되고 있다. 기준제시는 완화하되 결과에 대한 책임은 강화하겠다는 정책적 방향이다. 아주 조금만 과장해서 이야기 하자면 컴플라이언스의 실패를 보안의 실패로 보지는 않겠지만 보안의 실패는 컴플라이언스의 실패로 간주하겠다는 것이다. 이와 같은 추세대로라면 앞으로 보안담당자들의 어깨는 더욱 더 무거워 질 것으로 예상된다. 상황은 더 악화될 것이고 공격자들은 더욱 활개칠 것이 자명하다.
교통규칙은 단지 사고를 예방하기 위해 마련된 최소한의 체계일 뿐인 것이지, 교통규칙을 따르는 것만으로 안전한 운행이 보장되지는 않는다. 교통사고를 예방하기 위해서는 교통규칙 준수 이외에도 방어운전, 졸음운전, 음주운전 등 지키거나 또는 하지 말아야 할 것들이 많이 있다. 마찬가지로 정보보호에 있어서도 법규준수만으로는 해킹사고를 막기에는 절대적으로 부족하다.
관련 법규의 준수 이외에도 새로운 위협에 대한 분석과 대응 등 보안담당자들에게 부여된 본연의 임무는 상상하는 것보다 많다. 따라서 보안담당자들이 보다 더 향상된 보안을 구현할 수 있도록 하기 위해서는 보안담당자들을 컴플라이언스의 압박에서 놓아 주는 것이 절대적으로 필요하다. 보안담당자들이 시간을 쪼개어 알아서 컴플라이언스를 챙기고 책임까지 져야 하는 부담에서 자유롭게 만들고 그들이 상상력과 창의력이 뒷받침된 기술력으로 공격자들과 맞설 수 있는 환경을 만들어 주어야 한다.
보안담당자들이 컴플라이언스 관련 업무에 지나친 시간을 할애하고 정작 더 중요한 보안업무를 소홀히 하는 것은 마치 교통신호와 표지판 보기에만 급급해 정작 안전운행에 필요한 나머지 요소들을 놓치는 것에 비견될 수 있으며 이와 같은 상황은 오히려 더 큰 사고로 이어질 수 있다는 것을 명심해야 한다. 끝으로 불철주야 열악한 환경에서도 보안지킴이로서의 역할을 묵묵히 수행하고 있는 이 나라의 수 많은 보안담당자들에게 존경과 응원을 보낸다.
[글. 박종섭 법무법인 광장 정보보호팀 전문위원]
★정보보안 & IT 대표 미디어 데일리시큐!★
