2021-10-22 22:20 (금)
암호화, 하드웨어와 운영체제 하위 공격 방어 위한 마지노선
상태바
암호화, 하드웨어와 운영체제 하위 공격 방어 위한 마지노선
  • 길민권
  • 승인 2015.12.01 02:42
이 기사를 공유합니다

“규제 때문에 암호화를 하던 것은 옛말”
[기고. 젬알토 IDSS부서 박종필 이사. 사진] 연말이 되면 분야별 새해 전망이 쏟아져 나온다. 보안 분야 역시 마찬가지다. 2016년 보안 위협 동향에 대한 전망 보고서를 보면 한 가지 공통점이 있다. 예전과 비교해 볼 때 암호화가 근본적인 해결책인 위협들이 늘고 있다는 것이다.
 
◇암호화를 바라보는 관점의 변화
보안 담당자들에게 암호화가 화두로 떠오른 배경에는 규제가 있다. 개인정보보호법 등 주로 민감한 데이터 보호 관련 규제가 암호화 시장을 이끌었다. 2016년 암호화 시장을 이끄는 동인은 규제가 아니라 새로운 공격의 증가가 될 전망이다. 최근 보안 업계가 주목하는 해킹 동향은 공격 대상의 증가다. 관련해 많은 이들이 주목하는 부문은 하드웨어와 운영체제 하위 공격이다. 새삼스러울 것 없다고 볼 수 있지만, 실제 현장에서는 장치와 펌웨어 수준의 공격이 느는 것을 부담스럽게 느끼고 있다. 자연스럽게 암호화를 바라보는 관점이 규제 대응이 아니라 실질적인 공격을 막기 위한 수단으로 변하고 있다.
 
◇하드웨어와 운영 공격이 인기를 끄는 이유
하드웨어와 운영체제 하위 공격에 대한 우려의 목소리가 커지는 데에는 다 이유가 있다. 지금까지 해커들이 주요 공격 대상으로 삼았던 운영체제, 비즈니스 애플리케이션, 데이터베이스 등은 날이 갈수록 취약점을 찾기 어려워지고 있다. 요즘 운영체제와 애플리케이션 업체에서 보안 패치를 내는 속도를 보면 무슨 소리인지 바로 이해될 것이다. 취약점을 열심히 찾아내면, 이를 막는 이들이 발 빠르게 대응한다. 이런 치열한 경쟁(?)을 하는 판은 해커 측면에서 보면 매력이 없다. 더 작은 노력으로 더 큰 보상을 얻을 수 있는 공격 대상을 찾는 것이 속 편하다. 이런 이유로 하드웨어와 운영체제 하위 공격이 인기를 끄는 것이다.
 
◇암호화 관련 비용은 낮아지는 추세
하드웨어에 대한 공격은 서버부터 모바일 장치, 사물인터넷 장치 등 다양하다. 이들 장치는 기능 개선이나 보안 패치 등의 이유로 정기적으로 업데이트를 받는다. 이 틈을 노리면 해커는 쉽게 목표한 바를 이룰 수 있다. 공격의 예를 들자면 시스템 펌웨어 루트킷을 이용해 가상 머신을 공격한다거나, POS나 의료 장치 등의 펌웨어에 악성 코드를 심어 배포한다거나 하는 등의 공격을 생각해볼 수 있다. 하드웨어 및 운영체제 하위 공격을 통해 해커가 얻을 수 있는 것은 많다. 데이터를 빼내거나 조작하는 것, 장치에 대한 제어권 획득 등 원하는 데로 할 수 있다. 이런 변화 속에서 보안 업계는 위협 정보 공유를 더 긴밀히 하는 가운데 암호화를 가장 기본적인 대응책으로 제시하고 있다. 암호화를 더 많은 곳에 적용하면 관리가 더 복잡해 지고, 비용도 많이 들지 않을까? 다행히 암호화의 중요성이 커지는 가운데 IT 업계에서는 관리 복잡도를 낮추고 비용을 줄 일 방안을 제시하고 있다. 최근 암호화는 실리콘 수준에서부터 다루어지고 있다. 범용 프로세서에서 암호화 관련 가속 기능을 지원하는 것은 기본이 된 지 오래다. 비즈니스 애플리케이션의 경우 암호화 관련 표준 API를 지원한다. 데이터베이스 역시 기업에서 주로 쓰이는 오라클과 마이크로소프트는 TDE를 통한 암호화의 길을 열어 놓고 있다. 즉, 암호화를 위해 추가적인 비용을 지급할 일은 점점 줄고 있다.
 
◇모든 것에 대한 암호화 로드맵을 마련해야 할 때
해킹 기법의 변화 그리고 이에 대한 비용 대비 효율이 높은 대응책인 암호화 적용 확대를 기업은 어떻게 받아들여야 할까? 모든 것에 대한 암호화(End to End Encryption) 로드맵을 전사 차원에서 마련하는 것이 가장 처음 해야 할 일이다. 암호화를 업무, 시스템, 서비스 단위로 적용하다 보면 나중에 너무 복잡해져 관리가 안 된다. 복잡성이 커지면 암호화 키 관리와 보관에 허점이 생기고, 이 허점은 또 다른 공격 목표가 된다. 이런 문제를 사전에 방지하는 유일한 방법은 중앙집중적인 암호화 적용, 키 관리, 암호화 요소 저장을 하는 것이다. 이런 인식은 보안 담당자만 가지면 안 된다. 각종 보안 사고가 기업의 존폐에까지 영향을 끼친다는 사실을 조직원 모두가 인식하고, 암호화를 업무에 불편을 주는 것이 아니라 모든 비즈니스 활동의 안전을 보장하는 토대로 받아들여야 할 것이다.

★정보보안 대표 미디어 데일리시큐!★

[글. 젬알토 IDSS부서 박종필 이사 / kevin.park@safenet-inc.com]