매년 발생하는 해킹 사고, 예방할 수는 없을까?

“올해 들어 6개월 간 대응한 국내 해킹 사건만 서른 건 정도 된다”

해킹 사건 사고의 사례를 꼽을 때는 주로 외국의 것이 언급된다. 그러나 우리나라에서도 꾸준히 해킹 사고는 발생한다. 최종필 SK쉴더스 시큐디움센터 팀장(=사진)은 최근 <바이라인네트워크>가 서울 강남구 한국과학기술회관에서 연 ‘클라우드 네이티브 시큐리티 & 제로트러스트 컨퍼런스 2023’에 연사로 참석해 “최근 3년 사이 국내 보안 사고를 보면 제조업, 특히 제약사와 바이오 기업을 대상으로  한 랜섬웨어 사건사고가 많이 늘어났고, 대기업의 1차 협력 벤더사를 타기팅한 공격도 굉장히 많아졌다”고 지적했다.

(자료제공=SK쉴더스 시큐디움센터. 지난 3년간 일어난 국내 주요 해킹 사건)

사고 건수나 위험도를 보면 국내 제조업들은 해킹에 민감해질 수밖에 없는 상황이다. 문제는 어떻게 해킹 시도를 일찌감치 알아채고 이에 알맞은 대응을 하느냐는 것.

해킹 공격의 흐름에서 가장 첫 단계인 초기 침투 과정은, 대체로 공격자가 보안장비를 우회해 들어오는 경우가 많아 사고를 미연에 방지하기 어렵다. 따라서 최 팀장은 해킹 이상징후가 가장 많이 발생하는 구간인 거점확보 시기부터 보안의 가시성을 높여 반드시 이상징후를 탐지해내야 한다고 조언했다.

그러나 아쉽게도 해킹 초기 차단에는 실질적 어려움이 있다고도 토로했다. 예전처럼 웹이나 이메일에 의한 침투도 있지만 최근에는 SNS를 비롯한 소셜네트워크 시스템을 통해 공격하는 형태도 증가하고 있기 때문이다.

지난 2018년부터 해킹 사례를 살펴보고 분석한 결과, 다양한 애플리케이션의 취약점이 지속해 증가하고 있다는 점도 초기 대응의 어려움 중 하나라고 짚었다. 앱 취약점 증가는 계속해 이뤄져 지난 2022년에 최대치에 올랐다. 그중에서는 익스체인지(Exchange) 취약점이 45%, 오라클 웹로직(Oracle Weblogic) 취약점이 30%를 차지했다. 언급된 사례는 알려진 취약점이나, 해커만 알고 있는 제로 데이 취약점 역시 다수 존재한다. 이런 것들이 해킹의 초기 대응을 어렵게 하는 부분들이다.

다만 최 팀장은 “어려움이 있다고 해서 초기 유입 탐지와 방어를 포기하자는 의미는 아니다”라면서 “내부에 침투했다는 가정 하에 방어책이 필요한 것”이라고 말했다.

해커가 내부에 침투해다고 가정한다면, 보안 솔루션에서는 해커가 주로 사용하는 명령어를 탐지, 이를 차단하는 방법을 쓸 수 있다. 최 팀장은 “해커들은 파일리스 공격(**악의적인 기능을 수행하는 코드를 메모리에서만 실행시키면서 시스템에 피해를 입히는 유형의 공격)을 통해서 본인의 모습을 최대한 드러내지 않기 위해 OS에서 제공하는 명령어를 통해 해킹을 수행하고 목적을 달성한다”고 설명했다.

SK쉴더스 시큐디움센터가 지난 3년간 국내 해킹 사고와 관련해 통계를 낸 데이터를 보면, 해커들은 주로 ‘curl’ ‘Wget’ 등과 같은 명령어를 써서 공격 파일을 업로드하거나 다운로드했다.  따라서 최 팀장은 “OS 정상 기능 동작을 모니터링 하고 이상 현상 발생 시 확인 대응하는 체계가 반드시 필요하다”고 강조했다.

중요한 것은 해커가 목적을 달성하기 전에 사고를 대비할 수 있는 방법에는 어떤 것이 있을까? 중요한 것은 해킹사고를 탐지하고 차단할 수 있는 체계의 필요다. 기존의 보안 솔루션 방법론으로는 달라진 사건사고를 막기 위한 체계를 충족하지 못하기 때문에 변화가 필요하다는 것이 최 팀장의 설명이다.

최 팀장은 “기존 방어체계는 유지 및 강화하되 해커가 목표 달성 전 해킹 사고를 인지하는 것이 중요하므로 네트워크 방어 저지선을 엔드포인트로 하향 조정할 필요가 있다”면서 “PC 뿐만 아니라 서버 단에서 엔드포인트 방어 확산이 필요한 것”이라고 덧붙였다.

SK쉴더스는 이와 관련해 침해 사고에 대응할 수 있는 MDR(Managed Detection and Response) 서비스를 올해 출시했다고도 설명했다. 실제 한국에서 벌어지고 있는 해킹 사례를 기반으로 해서 대응 방법론을 연구했다는 것이 특징이다.

예를 들어 MDR 매니지드 탐지 및 대응 서비스에는 ▴엔드포인트 탐지 및 대응 솔루션(EDR) ▴악성메일 탐지 및 대응 솔루션(Email APT) ▴네트워크 탐지 및 대응 솔루션(NDR) ▴확장 탐지 및 대응 솔루션(ASM)과 같은 보안 고도화 솔루션 외에 ▴위협 헌팅 서비스(TH)나 ▴위협 정보 서비스(TI)와 같은 추가 도구도 포함되어 있다.

물론 EDR과 같은  솔루션은 지난 2017년부터 국내 시장에 많이 소개되어 왔다. 보안 담당자들이 도입을 적극 검토해 온 것도 사실이다. 그러나 생각보다 이런 솔루션들이 빠르게 확산되지 못한 데는 기존의 보안 솔루션과는 달리 고도화 솔루션의 경우 전문화 관점, 위협 분석 능력, 노하우가 필요하다는 점이 새로운 솔루션 도입의 걸림돌로 적용되어 왔다.

최 팀장은 “최근에는 이런 어려움을 해결하고 기업들이 고도화된 솔루션을 적극 도입할 수 있도록 SK쉴더스를 비롯한 일부 업체에서 (솔루션을) 상품이 아닌 서비스로 제공하고 있다”면서 “MDR 패키징 서비스를 통해서 전문가 분석과 조사를 진행하고 악성코드를 분석하는 등의 실질적 대응을 할 수 있는 것”이라고 강조했다.

글. 바이라인네트워크
<남혜현 기자> smilla@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다