2018
9-10월(합본호)

인터넷은 불안하다
앤디 보흐만(Andy Bochman)

인터넷은

불안하다

아무리 많은 돈을 들여 방어한다 해도 회사를 해커로부터 완벽히 보호할 수는 없다. 이제 새로운 접근법이 필요하다.

앤디 보흐만

 

먼저 잔인한 진실부터 짚고 가자. 당신의 조직이 최신 사이버 보안 하드웨어와 소프트웨어를 갖추고, 사이버 보안 훈련을 실시하고, 전문인력을 배치하는 데 얼마나 많은 돈을 쓰는지는 상관없다. 조직의 가장 중요한 시스템을 다른 시스템과 분리했는지 아닌지도 상관없다. 업무를 수행하는 데 없어서는 안 될 핵심요소, 미션 크리티컬mission-critical 시스템이 디지털화했고 어떤 식으로든 인터넷에 연결돼 있다면(인터넷에 연결돼 있지 않은 듯한 시스템도 자세히 보면 연결돼 있을 가능성이 크다), 시스템은 절대 완벽하게 안전할 수 없다.

 

 

이 점이 매우 중요하다. 인터넷에 연결된 디지털 시스템이 사실상 미국 경제 전 분야에 퍼져 있고, 특히 민족국가, 범죄조직, 테러조직의 기술적 정교함과 적대행위가 최근 몇 년 사이 상당히 증가했기 때문이다. 미국에서는 애틀랜타 시 정부를 대상으로 한 공격과, 천연가스 파이프라인 회사 4곳이 공유하는 데이터망을 노린 공격이 있었다. 신용평가사 에퀴팍스Equifax에서는 데이터 유출 사건이 발생했다. 악성코드 워너크라이WannaCry와 낫페트야NotPetya가 전 세계적으로 피해를 입혔다. 최근 일어난 가장 악명 높은 사건의 피해 기업 다수는 자사의 사이버 방어 역량을 철석같이 믿고 있었다.

 

나는 아이다호국립연구소Idaho National Lab·INL산하의 한 연구팀에 속해 있다. 우리 팀은 미국 경제와 국가 안보에 매우 중요한 조직들이 사이버 공격을 막아낼 수 있는 최선의 방법을 연구해 왔다. 이를테면 전기 유틸리티와 정유공장의 열과 압력을 조절하는 시스템 등 산업제어 시스템에 의존하는 조직을 집중 연구해서, 기존의 관습적인 해결책에 정면으로 도전하는 솔루션을 찾아냈다. 즉 고장이 날 경우 조직이 위태로워질 수 있는 기능을 파악해서 되도록 인터넷에서 격리시키는 한편 디지털 기술 의존도를 최소한으로 낮추고, 모니터링 및 제어작업을 아날로그 장치와 믿을 만한 인력으로 보강하는 방법이다. 아직 시범단계지만 이 방식을 구성하는 수많은 요소는 지금 당장 어느 조직에나 적용 가능하다.

 

물론 이 전략은 순전한 정보기반 사업에는 적용할 수 없다. 어떤 경우, 운영비가 증가하고 효율성이 낮아질 수도 있다. 하지만 미션 크리티컬 시스템을 디지털 수단의 공격으로부터 확실히 방어할 수 있는 길은 이것뿐이다. 나는 이 아티클에서 INL의 방법론을 통해 미션 크리티컬 시스템을 파악하는 방법을 소개하려 한다. 이 방법을 적용하면, 경영진이 지금까지 그 중요성을 깨닫지 못했지만 손상될 경우 기업의 존폐를 위협할 수도 있는 취약한 기능이나 프로세스를 알게 될 것이다. 우리는 지난 몇 년간 이 방법론의 여러 요소를 기업과 미군에 적용했다. 또 미국의 거대 전기 유틸리티 기업 중 하나인 플로리다 파워 앤드 라이트Florida Power & Light에 이 방법을 1년 동안 시범 적용해 큰 성공을 거뒀다. 현재는 미군 조직 한 곳에서 2차 시범 적용을 하고 있다. INL은 이 프로세스를 널리 보급하는 방안도 모색 중이다. 몇몇 엔지니어링 서비스 기업을 파트너로 선정해, 이 방법론을 적용할 수 있도록 라이선스와 교육·훈련을 제공하는 방안이 가장 유력하다.

 

  

THE AUTHOR

앤디 보흐만Andy Bochman

아이다호국립연구소 국가보안·국토보안부 선임 그리드전략가

 

앤디 보흐만은 말한다. “저는 쓸데없이 불안을 조장하는 사람이 아닙니다. 오히려 그 반대가 되려고 애쓰죠.” 하지만 알려야 할 위험이 있을 때는 그가 나선다. 보흐만은 INL의 선임 그리드전략가로 일하면서 미국에 존재하는 가장 중대한 사이버 취약점들을 봐왔고, 이런 취약점을 표적으로 한 많은 공격이 초래한 결과를 목격했다. 하지만 보흐만은 위험을 알리는 일이 역효과를 낳는다는 사실을 알았다. 그보다는 위험을 직접 막는 편이 훨씬 나았다.

 

이번 아티클에 소개된 사이버 보안 문제해결 프레임워크를 보흐만은거울mirror이라고 부른다. 임금님이 벌거벗었다는 사실을 깨닫게 만드는 거울처럼, 기업들이 자사의 보안 실태를 깨닫게 해주기 때문이다. 보흐만은 말한다. “하지만 이런 장점도 있습니다. 거울은 당신과 당신 회사가 훨씬 잘 맞는 옷으로 재빨리 갈아입을 수 있도록 현실적인 방법을 보여줍니다.”

 

보안문제에 대한 보흐만의 종합적 접근방식은, 코딩이나 해킹이 아니라 보존과 자연에 대한 애정에서 비롯됐다. 미국판동물의 왕국이라 할 수 있는 ‘Mutual of Omaha’s Wild Kingdom’을 애청하고, 어린이 자연과학잡지를 정기 구독했던 유년시절의 경험이 이런 애정을 싹트게 한 계기였다. 환경에 대한 보흐만의 관심은 학업으로도 이어져, 낮에는 미 공군에서 컴퓨터 관련 일을 하고 밤에는 하버드 익스텐션스쿨에서 환경경영학을 공부해 석사학위를 받았다. 보흐만은 에너지의 지속가능성과 보안이라는 두 가지 이슈에 대한 열정을 바탕으로, 스마트그리드 보안을 주제로 한 블로그를 개설하기도 했다.(지금은 블로그 운영을 중단한 상태다.) 보흐만은 자신과 관심사를 공유하는 많은 이들을 만나면서 놀라운 경험을 했고, 드디어 자신의 천직을 찾았다는 확신을 굳히게 됐다. INL에 입사하기 전에는 IBM에서 글로벌 에너지 및 유틸리티 보안책임자로 일했다. 지금은 사이버 보안에 관한 강연 및 집필 활동과 함께, 본 아티클에서 소개한 방법과 같은 새로운 방어전략을 개발하는 데 힘을 더하고 있다.

 

보흐만은 사이버 보안에 대한 위협이 날로 높아지고 심각성도 고조되고 있다고 보지만, 지나친 공포감을 조성하는 일은 피하고 싶다. 그는 현존하는 모든 리스크를 인식하는 일과, 이런 리스크를 해결하는 현실적 방법 사이에서 균형을 찾으려고 애쓴다.

“사이버 보안에 관해서는 앤디 그로브Andy Grove전 인텔 최고경영자의오직 편집광만이 살아남는다라는 말을 항상 새겨들어야 합니다.” 보흐만은 말한다. “그리고 자동화와 인공지능에 대한 기업들의 믿음이 커질수록 저의 편집증은 점점 더 심해지고 있습니다. 물론 기업들은 엄청난 혜택을 얻을 수 있을 겁니다. 하지만 이런 시류에 편승하다 보면 기술에 대한 의존도가 상당히 높아질 겁니다. 사이버 보안 분야의 권위자 대니얼 기어Daniel Geer가 얼마 전에 말했듯이,

‘의존성은 리스크의 원천입니다.”

 

현존하는 위협

지난날 산업체에는 기계식 펌프, 압축기, 밸브, 계전기, 액추에이터만 있으면 됐다. 아날로그 측정기를 통해 현황을 파악했고, 숙련되고 믿을 만한 엔지니어들이 유선전화로 본부와 연락을 주고받았다. 악당들이 기업 운영을 방해하기 위해 할 수 있는 일이라고는 공급망에 혼란을 주거나, 내부 직원을 꼬드기거나, 공장의 3대 물리적 중추인 정문, 경비, 총을 피해 내부로 침입하는 길밖에 없었다.

 

오늘날에는 미 국토안보부가 중요하게 여기는 16개 인프라 가운데 12개 부문의 기업이 디지털 제어·안전 시스템에 전체 또는 부분적으로 의존한다. 16개 인프라 부문은 그물리적 또는 가상의 자산, 시스템, 네트워크가 미국의 중핵이기 때문에, 이 중 어느 하나라도 무력화되거나 파괴될 경우 보안, 국가 경제안보, 국가 공공보건, 공공안전을 하나 이상 약화시키는 사태를 유발할 수 있다는 점에서 중요하게 간주된다. 비록 디지털 기술이 놀랍도록 새로운 기능과 효율성을 가져다 주기는 했지만, 사이버 공격에 매우 취약하다는 사실이 드러났다. 대기업, 정부기관, 교육기관의 시스템은 다크웹[1]에서 손쉽게 구할 수 있는 자동 프로브로 인해 끊임없이 취약성을 간파당하고 있다. 자동 프로브는 대개 무료로 제공되지만, 개중에는 수십만 달러에 이르는 것도 있다. 고가인 경우 기술 지원까지 제공한다. 대부분 최고의 사이버 보안 조치를 통해 저지할 수 있지만, 수년까지는 아니더라도 수개월에 걸쳐 치밀하게 계획·실행되는 표적공격을 막아내기란 현실적으로 거의 불가능하다.

 

사이버 공격이 조직의 재정상황에 미치는 영향도 급격히 커지고 있다. 지난 2년 동안에만 워너크라이와 낫페트야 관련 사이버 공격으로 발생한 피해액이 각각 40억 달러와 85000만 달러를 넘어선다. 미국과 영국이 북한의 소행이라고 주장한 워너크라이 공격의 경우, 미 국가안보국에서 빼낸 툴을 이용했다고 한다. 워너크라이는 마이크로소프트 보안 패치를 설치하지 않은 윈도 컴퓨터의 허점을 악용해 데이터를 암호화하고, 150개국의 병원, 학교, 기업, 가정의 컴퓨터 수십만 대를 감염시킨 뒤 돈을 요구하는 수법을 썼다. 러시아가 우크라이나를 위협하기 위해 실행했다고 추정되는 낫페트야 공격은, 한 우크라이나 회계법인의 소프트웨어 업데이트를 통해 이뤄졌다. 이후 우크라이나 정부와 컴퓨터 시스템 공격을 시작으로 전 세계로 퍼졌고, 덴마크 해운사 머스크, 제약회사 머크, 초콜릿 제조사 캐드버리Cadbury, 거대 광고회사 WPP 등 수많은 기업에 피해를 입혔다.

 

점증하는 취약성

디지털 변혁의 속도는 자동화, 사물인터넷, 클라우드 프로세싱 및 저장, 인공지능 및 머신러닝의 성장과 함께 가속화되고 있다. 인터넷에 연결된 복잡한 소프트웨어 집약적 디지털 기술이 보급되고 이에 대한 의존도가 높아지면서, 심각한 사이버 보안상의 약점을 수반하고 있다. 신미국안보센터Center for a New American Security·CNAS 2014년 발표한 글에서, 해군성 장관을 지낸 리처드 J. 댄지그Richard J. Danzig CNAS이사는 디지털 기술의 역설에 대해 다음과 같이 기술했다.

 

이들(디지털 기술)은 전례 없는 힘을 부여하는 한편, 사용자의 안전을 약화시킨다. 이들의 통신능력은 협업과 네트워킹의 길을 열어 주지만, 이로 인해 무단 침입도 가능해진다. 이들의 데이터 집중과 조작 능력은 기업의 능률과 규모를 크게 향상시키지만, 데이터를 훔치거나 파괴하려는 시도가 성공할 경우 피해를 입는 데이터의 양 역시 기하급수적으로 증가하게 된다. 이들의 하드웨어 및 소프트웨어의 복잡성은 엄청난 역량을 창출하는 한편 취약성을 낳고, 무단 침입의 가시성을 낮추는 결과를 가져온다…. 요약하면 사이버 시스템은 우리에게 약과 병을 동시에 주고 있다.

 

이런 디지털 기술은 상상을 초월할 만큼 복잡해서, 기술을 개발하고 누구보다 잘 알고 있다는 판매업체조차 그 취약점을 완전히 이해하지 못한다. 소프트웨어 개발·판매 업체는 보통 실수가 잦은 인간이 제기하는 위험을 없애는 방편으로써 자동화를 홍보한다. 하지만 자동화는 인간이 초래하는 위험을 다른 형태의 위험으로 대체할 뿐이다. 사생활, 데이터 보호, 정보보안 정책에 대한 독자적 연구를 수행하는 포네몬연구소Ponemon Institute에 따르면, 오늘날 정보 시스템은 너무 복잡해서 기업들이 시스템이 뚫렸다는 사실을 알아내는 데만 평균 200일 이상이 걸린다. 게다가 이런 피해 사실을 기업이 자체로 알아내기보다는 제3자의 통보를 통해 알게 되는 경우가 훨씬 많다.

 

타겟, 소니픽처스, 에퀴팍스, 홈디포, 머스크, 머크, 사우디아람코Saudi Aramco등 전 세계 기업들을 노린 치명적인 대규모 사이버 공격의 횟수가 그 어느 때보다 늘어나고 있지만, 기업의 리더들은 디지털 기술과 그것이 제공하는 혜택의 매력을 쉽게 거부하지 못하고 있다. 디지털 기술은 효율을 높이고, 필요인력을 줄이고, 인간의 실수를 줄이거나 없애고, 품질을 향상시키고, 고객에 관한 정보를 더 많이 얻을 수 있게 하고, 신규 상품·서비스의 개발역량도 제공하기 때문이다. 리더들은 지금까지 해오던 대로, 해마다 새로 나온 보안 솔루션과 몸값이 비싼 컨설턴트에게 들이는 돈을 늘리면서 모든 일이 잘되리라고 낙관한다. 하지만 이런 전망은 결국 희망사항에 그칠 뿐이다.

 

‘사이버 위생의 한계

사이버 보안 업계에서위생hygiene이라고 부르는 이런 전통적 접근방식은 다음과 같은 활동을 포함한다.

•기업 내 하드웨어 및 소프트웨어 자산의 포괄적 목록을 만든다.

•엔드포인트 보안[2], 방화벽, 침입 탐지 시스템 등 최신 방어용 하드웨어 및 소프트웨어 툴을 구매해 배치한다.

•직원들이 피싱 이메일을 알아차리고 공격을 피할 수 있도록 정기 교육을 실시한다.

•에어 갭air gaps, 즉 망 분리 환경을 만든다. 이론상으로는 주요 시스템을 다른 시스템 및 인터넷과 분리하는 일이 가능하지만, 현실 세계에서 진정한 에어 갭은 존재하지 않는다.

•대규모 사이버 보안 인력을 구축하고, 다양한 서비스와 위에 나열한 활동을 모두 제공하는 서비스 제공업체를 통해 이들의 업무를 보완한다.

 

수많은 조직이 국립표준기술연구소의 사이버 보안 프레임워크나 산스연구소의 20대 보안 통제 항목 같은 모범적인 프레임워크를 충실히 이행하고 있다. 이런 프레임워크를 따르려면 수백 가지 활동을 한치의 실수도 없이 지속적으로 수행해야 한다. 이 활동에는 복잡한 비밀번호를 사용하고 수시로 변경하도록 직원들에게 지시하기, 전송 데이터 암호화, 네트워크 간 방화벽 구축을 통한 네트워크 분할, 신규 보안패치 즉시 설치, 민감한 시스템에 접속 가능한 사람 수 제한, 공급업체에 대한 면밀한 조사 등이 포함된다.

 

많은 CEO가 모범적인 사이버 위생 관행을 따르면 조직이 심각한 피해를 입을 위험에서 벗어날 수 있다고 믿는 듯하다. 하지만 세간을 떠들썩하게 했던 수많은 유출 사건이 이런 가정의 오류를 극명하게 보여준다. 앞서 언급한 피해 기업 모두 데이터 유출 당시에 대규모 사이버 보안 전담직원을 두고, 막대한 돈을 사이버 보안에 쓰고 있었다. 사이버 위생은 평범한 자동 프로브와 아마추어 해커의 공격을 막는 데는 효과적이지만, 점증하는 형태의 공격, 즉 고도의 해킹 실력을 갖춘 적들이 조직의 중요 자산을 표적으로 삼고 지속적으로 가하는 위협을 막기에는 역부족이다.

 

에너지, 운송, 중공업 같은 자산집약적 산업에서는 인재나 돈이 아무리 많아도 일정한 모범 관행을 오류 없이 따를 수 없다. 사실 대다수 조직이 모범 관행의 첫 단계인 하드웨어 및 소프트웨어 자산의 포괄적 목록을 작성하는 일조차 제대로 수행하지 못한다. 이 실패는 상당한 결점으로 작용한다. 현재 조직이 갖고 있는지조차 파악이 안 되는 자산을 안전하게 지킬 수는 없기 때문이다.

 

게다가 모범 관행에 내재된 한계도 있다. 보안 업그레이드 작업을 하려면, 보통 프로그램을 설치하기 위해 시스템을 중지시켜야 한다. 하지만 모든 시스템을 중지시킬 수 있는 것은 아니다. 유틸리티회사, 화학회사처럼 산업 프로세스나 시스템의 가용성과 신뢰성을 중시하는 곳에서는, 소프트웨어 업체가 신규 보안패치를 내놓을 때마다 매번 시스템을 중지시킬 수 없다. 그래서 정기 가동중지 시간에 맞춰 한꺼번에 여러 패치를 설치하곤 한다. 이 때문에 몇 개월 전에 출시된 패치를 뒤늦게 설치하는 경우도 많다. 널리 흩어져 있는 자산을 보호하는 것도 문제다. 이를테면 대형 유틸리티기업은 수천m2 넓이에 산재한 변전소 수천 개를 운영한다. 변전소의 시스템 업데이트는 진퇴양난의 문제를 가져온다. 네트워크를 통해 소프트웨어에 접근해 업데이트를 실행할 수 있다면, 솜씨 좋은 적들도 이 네트워크를 통해 소프트웨어에 쉽사리 접근해서 악용할 소지가 있다. 그렇다고 회사 직원이 모든 변전소를 일일이 찾아가 업데이트를 시행한다면 막대한 비용이 소요될 수 있다. 이 작업을 여러 독립업체에 하청을 주는 경우, 모든 업체를 철저히 조사하는 것도 현실적으로 어렵다.

 

설사 모범 관행을 완벽하게 실행한다 해도 재원이 넉넉하고, 끈기 있고, 부단히 진화하고, 언제나 시스템을 뚫을 방법을 찾아내는 고도의 해커를 당해내기란 쉽지 않다. 사이버 위생이 아무리 철저한 기업이라도 네트워크와 시스템은 반드시 표적공격에 뚫리게 돼 있다. 몇 주 혹은 몇 개월이 걸릴지도 모르지만 해커들은 결국 해낸다.

 

이는 나만의 생각이 아니다. 미국 최대 전력회사 아메리칸 일렉트로닉 파워American Electric Power의 최고보안책임자를 지낸 마이클 어샌티Michael Assante산스 연구소장은 나에게 이렇게 말한 적이 있다. “온라인상의 성가신 말썽꾼들을 물리칠 때는 사이버 위생이 도움이 될 수 있습니다. 이상적인 세계에서는 사이버 위생을 철저히 실천할 경우 공격자의 95% 정도를 막을 수 있을지도 모르죠.” 하지만 현실 세계에서사이버 위생은 특정 표적을 노리는 정교한 공격자를 막기보다는, 공격 속도를 늦추는 과속방지턱 역할밖에는 못합니다.” 야후와 트위터에서 보안책임자로 일했던 밥 로드Bob Lord도 지난해 월스트리트저널과의 인터뷰에서 이렇게 말했다. “기업 보안책임자들을 만나 이야기할 때면가장 정교한 국가 차원의 공격은 막을 수 없어. 그러니까 이건 이길 수 없는 싸움이야. 그러니 나는 이 문제에 대해 깊이 생각하지 않을 거야라는 체념 어린 태도를 보게 됩니다.”

 

2012년 사우디아라비아의 국영 석유기업 사우디아람코의 철저한 보안 시스템을 뚫고 들어간 샤문 바이러스가 좋은 예다. 미국 관료들이 이란의 소행으로 추정한 이 공격으로 인해, 아람코 사내 컴퓨터에 들어있던 데이터의 4분의 3이 지워지는 피해를 입었다. 더 최근에 발생한 사이버 공격 중에는 2018 3, 한 사우디아라비아 석유화학공장의 안전 제어장치를 조작해 폭파시키려는 시도가 있었다. 뉴욕타임스는 해커의 코드에 오류가 없었다면 이 시도는 성공했을지도 모른다고 전했다. “공격자는 시스템에 침투할 방법을 알아내는 한편, 플랜트 설계를 충분히 숙지해서 시설 배치를 파악해야만 했다. 즉 어느 배관이 어디로 통하고, 어떤 밸브를 열어야 폭발을 유도할 수 있는지 알아내야 했다.”

 

 

아이다호국립연구소는

어떻게 산업 시스템 사이버 보안을 주도하게 됐을까?

 

맨해튼 프로젝트를 통해 제2세계대전에서 일본의 항복을 이끌어낸 원자폭탄을 개발한 뒤, 미국 정부는 소량의 우라늄에 담긴 대량의 에너지를 활용하는 다른 방법들을 강구했다. 정부는 인구 밀집지역에서 멀리 떨어져 있으면서 수톤의 필수장비를 운반할 수 있는 철도 기반시설을 갖춘 지역을 물색했다. 그래서 선정된 곳이 아이다호였다. 1949년 아이다호는 국립원자력시험장National ReactorTesting Station의 본거지가 됐다. 2년 뒤 국립원자력시험장은 핵반응을 통해 사용할 수 있는 전기를 최초로 생산하는 데 성공했다. 이후 20세기 말까지 시험원자로 수십 기가 건설되면서 이 지역은 아이다호국립연구소(INL)로 불리게 됐다.

 

방사능을 다루는 일이 워낙 위험하다 보니 극도로 강력한 안전문화가 발달하는 한편으로, 제어시스템의 이론과 실제를 발전시키려는 동기가 높을 수밖에 없었다. 시간이 갈수록 시험원자로를 지원하는 프로세스와 안전시스템은, 통신능력이 없는 아날로그 기계장치에서 소프트웨어 중심적 디지털 플랫폼으로 진화해 갔다. 그러나 오래지 않아 INL의 엔지니어와 보안 연구자들은 외부인이 이들 시스템에 접근해 무단으로 침입하고 마음대로 조작할 가능성이 있다는 사실을 깨달았다.

1990년대 말 INL은 미국 내 공공 및 민간 산업 제어시스템의 사이버 보안 강화를 위한 활동에서 주도적 역할을 맡게 됐다. 이로써 다른 어느 누구도 할 수 없거나(INL만큼 국가정보, 장비, 툴에 접근할 수 있는 권한이 없으므로), 하려 들지 않거나(재정적 인센티브가 없으므로), 해서는 안 되는(다루는 물질, 정보, 상대해야 할 적들이 지나치게 위험하므로) 중대한 국가적 문제를 풀어야 한다는 필요에 부응할 수 있었다.

 

이후 10년간 INL은 산업 네트워크, 하드웨어 및 소프트웨어 시스템의 보안 취약점을 찾아내는 업무를 전담하는 미국 최초의 테스트 베드를 운영했다. 국토안보부의 의뢰를 받아 미국과 전 세계의 주요 기반시설 현장에서 수백 건의 보안 평가를 진행하면서, 각 현장의 시스템이 공격자가 접근하기 쉽게 설계, 배열,

전개돼 있다는 점을 분명히 보여줬다.

INL 소속 엔지니어들은 이들 시스템이 고도로 복잡하기 때문에 제대로 이해하기 어렵고, 완벽히 방어하기가 거의 불가능하며, 소프트웨어 기반의 보안 제품을 적용하면 복잡성이 더해지면서 상황을 악화시킬 뿐이라고 결론지었다. INL은 이런 경험을 바탕으로 가장 핵심적인 프로세스와 기능을 파악한 뒤, 공격자가 이 프로세스와 기능에 접근하기 위해 악용할 소지가 있는 디지털 경로를 선별적으로 줄이거나 없앨 수 있는

‘결과 주도적 사이버 정보 기반 엔지니어링 방법론을 개발했다.

 

INL의 급진적 발상

이제는 디지털의 복잡성과 연결성에 완전히 의존하던 방식을 선별적으로 바꾸는 전혀 다른 접근법을 수용할 때다. 가장 중요한 프로세스와 기능을 파악한 뒤, 공격자가 여기에 접근하기 위해 악용할 수 있는 디지털 경로를 줄이거나 없앤다면 가능한 일이다.

 

INL은 결과 주도적 사이버 정보 기반 엔지니어링consequence-driven, cyber-informed engineering·CCE이라는 단계적 접근방식을 개발했다. CCE는 일회성 위험평가를 목표로 삼지 않는다. 그 대신 고위경영진이 자사의 전략적 사이버 리스크를 가늠하고 고찰하는 방식을 영구히 전환하는 것을 목표로 한다. 아직은 시범 단계지만 지금까지 결과는 좋았다. 2019년에는 CCE 적용 준비를 마치고 2020년까지 여러 서비스기업에 적용할 계획이다. 하지만 CCE 접근법의 핵심 원칙은 지금 당장이라도 어느 조직에나 적용할 수 있다.(INL은 사이버 정보 기반 엔지니어링cyber-informed engineering·CIE이라는 프레임워크도 개발했다. CIE는 여러모로 CCE와 비슷하지만, 엔지니어링 라이프 사이클 전반에 사이버 리스크 완화 조치를 포함시키는 방법을 담았다).

 

CCE 방법론은 4단계로 구성돼 있다. 각 단계를 실시하려면 다음에서 언급하는 사람들끼리 긴밀히 협업해야 한다.

CCE 마스터. 현재는 INL에서 파견된 인력이 CCE 마스터 역할을 하고 있으나, 향후에는 INL의 훈련을 거친 엔지니어링 서비스기업 인력이 담당할 예정

•최고경영자(CEO), 최고운영책임자(COO), 최고재무책임자(CFO), 최고위험관리책임자(CRO), 법무자문위원(GC), 최고보안책임자(CSO) 등 규정 준수, 소송, 리스크 완화 업무를 담당하는 모든 리더

•핵심 운영 기능을 관리·감독하는 사람들

•안전 시스템 전문가, 사내 핵심 프로세스에 가장 정통한 오퍼레이터와 엔지니어

•시스템과 장비가 어떻게 악용될 수 있는지 잘 아는 사이버 전문가와 프로세스 엔지니어

 

이들 중 여러 사람이 CCE 접근법을 실행하는 과정에서 스트레스를 받을 것이다. 예를 들면 지금까지 몰랐던 기업 차원의 리스크를 처음 접하는 CSO는 당혹감을 느낄 것이다. 그렇다고 창피해 할 필요는 없다. 어떤 CSO도 가용 자원이 넉넉한 적들의 공격에서 회사를 완벽히 보호할 수는 없기 때문이다.

 

 

1. 가장 중요한 프로세스 파악하기

INL에서 결과의 심각성에 따른 우선순위 매김consequence prioritization이라고 부르는 첫 번째 단계에서는 개연성 있는 재앙적 시나리오, 즉 심각한 폐해를 가져오는 가상 시나리오를 만들어본다. 여기에는 이상이 생길 경우 치명적 영향을 끼쳐서 회사의 존폐를 위협할 수 있는 기능과 프로세스를 파악하는 작업이 뒤따른다. 예컨대 변압기를 공격해 특정 전기 유틸리티가 한 달간 전기를 공급할 수 없게 하거나, 승압기지compressor stations를 공격해 천연가스 공급업체가 가스 공급을 할 수 없게 만드는 경우를 생각해 볼 수 있다. 화학공장이나 정유공장의 안전 시스템을 공격해 압력이 한계치를 초과하게 만들어서 폭발을 일으킬 수도 있다. 이 경우 사상자가 수백, 수천 명에 달할 수 있다. 이에 따른 소송으로 회사가 파산에 이를 정도로 시달린 결과, 회사의 시가총액이 타격을 입고 경영진이 자리에서 물러나는 상황이 발생할 수도 있다.

 

고도의 사이버 범죄자들의 수법을 잘 아는 애널리스트의 도움을 받으면 잠재적 공격자의 최종 목표를 더 쉽게 가늠해 볼 수 있다. ‘당신이 회사의 프로세스를 교란하거나 파괴하려는 해커라면 어떤 방법을 쓸까?’ ‘가장 먼저 큰 타격을 입히고 싶은 시설을 고른다면 어디가 좋을까?’ 같은 질문에 답함으로써, 공격받았을 때 가장 파괴적인 영향을 끼치는, 따라서 공격받을 확률이 가장 높은 표적을 파악할 수 있다. 이 표적과 관련한 공격 시나리오를 개발해서 고위경영진이 이에 대해 논의하게 할 수도 있다. 이런 과정은 회사의 규모에 따라 몇 주 혹은 몇 달이 걸릴 수 있다.

 

2. 디지털 지형도 작성하기

다음 단계는 회사를 망하게 할 수 있는 시나리오와 관련된 모든 하드웨어와 소프트웨어, 통신기술, 지원인력, 3자 공급업체와 서비스를 포함한 프로세스의 지도를 만드는 일이다. 이 작업은 보통 일주일 정도 소요되지만, 더 오래 걸릴 수도 있다. 여기에는 생산과정을 단계별로 표시하고, 제어·자동화 시스템이 배치된 모든 장소를 상세히 문서화하고, 기능 또는 프로세스에 투입해야 하는 모든 물리적 인풋이나 데이터를 표시하는 활동이 수반된다. 이런 연결지점은 공격자의 잠재적 침입 경로로, 많은 기업이 이런 부분을 완벽히 인지하지 못하고 있다.

 

이런 요소를 표시해 둔 기존 지도는 현실을 결코 온전히 반영하지 못한다. ‘장비를 누가 만지는가?’ ‘정보가 회사 네트워크를 통해 어떻게 움직이며, 이런 정보를 어떻게 보호하고 있는가?’ 같은 질문을 던져보면 항상 뜻밖의 답을 얻게 된다. 예를 들어 매우 중요한 어떤 시스템이 운용 시스템 네트워크뿐만 아니라 지급계정 및 수취계정, 지불 시스템, 고객정보 시스템, 더 나아가 인터넷과 관련된 비즈니스 네트워크에까지 연결돼 있다는 사실을 네트워크 아키텍트나 컨트롤 엔지니어를 통해 알게 될 수 있다. 벤더 관리자에게 질문을 하면, 이 시스템을 공급한 업체가 원격 분석·진단을 수행하기 위해 언제라도 시스템에 무선 접속할 수 있다는 사실을 새로이 알게 될 수도 있다. 안전시스템 공급업체는 장비에 직접 접속할 수 없다고 하겠지만, 메커니즘과 업데이트 프로세스를 찬찬히 살펴보면 접속이 전혀 불가능하지만은 않다는 사실을 알게 될 수도 있다. 이런 과정을 통해 회사는 미처 몰랐던 중요한 사실을 깨달을 수 있다.

 

3. 가능성 있는 공격 경로 파악하기

그 다음은 록히드마틴이 개발한 방법론을 변형한 방식을 이용해, 공격자가 제1단계에서 파악된 표적에 도달하기 위해 활용할 가능성이 가장 높은 경로를 찾아내는 단계다. 이렇게 찾은 경로는 난이도에 따라 순위를 매긴다. CCE 마스터는 물론이고, 공격자 및 공격 수법과 관련된 민감한 정보에 접근할 수 있는 이들을 포함한 외부 전문가들이 이 단계에서 주도적 역할을 맡는다. 이들은 전 세계에서 일어난 비슷한 시스템 대상 공격에 관한 정보를 정부 소식통으로부터 입수해 공유한다. 안전 시스템과 관련된 추가 정보, 사이버 위협에 대한 회사의 대응능력 및 절차 등을 참고해서 공격경로 목록을 완성해 나간다. 이 목록은 제4단계에서 경영진이 우선적으로 실행할 개선 조치를 고려할 때 활용된다.

 

4. 완화와 보호를 위한 옵션 만들기

이제는 가장 심각한 결과를 가져올 수 있는 사이버 리스크를 제거하기 위한 방안을 찾아야 한다. 만일 어떤 표적에 이르는 10가지 경로가 있고 모두 특정한 교점node을 지난다면, 트립와이어tripwire를 당연히 그 교점에 설치하는 게 좋다. 트립와이어는 문제가 발생했다는 초기 신호가 나타나면 신속대응팀에 경고를 보내주는 밀착 감시센서다.

 

놀랄 만큼 간단하고 저렴하게 실행할 수 있는 해결방안도 있다. 악의적인 디지털 명령을 받은 유닛이 스스로를 손상 또는 파괴할 가능성이 있을 때, 이 유닛의 작동을 늦추거나 오작동하게 만드는 진동 센서를 예로 들 수 있다. 이 센서는 소프트웨어가 필요 없는 하드웨어 기반이다. 반면 시간과 자금이 훨씬 많이 드는 방안도 있다. 중요한 기능의 작동이 멈추는 상황에 대비해, 원래 시스템과 똑같지는 않지만 낮은 성능으로나마 작동을 지속시켜 줄 백업시스템을 갖추는 방법을 예로 들 수 있다. 운영 효율성과 비즈니스 기회에 어떤 부정적인 영향도 끼치지 않는 해결방안도 많지만, 그렇지 않은 경우도 있다. 결국 리더는 감수할 수 있는 리스크, 피해야 하는 리스크, 전가할 수 있는 리스크, 경감해야 하는 리스크를 신중하게 고려한 뒤, 이에 따라 향후 추진방법을 결정해야 한다.

 

결정된 프로세스가 단순히 제어 신호를 모니터링 또는 전송하기 위한 디지털 채널을 필요로 한다면, 중요한 프로세스로 통하는 디지털 경로 수를 최소한으로 줄여서 비정상 트래픽을 더 쉽게 파악할 수 있도록 하는 것을 목표로 잡아야 한다. 또 특정 시스템이 재앙적 상황을 불러올 수 있는 디지털 명령을 받을 경우에 대비해 시스템을 보호하는 장치, 이를테면 압력이나 온도가 일정 한도를 초과하는 것을 방지하는 기계 밸브나 스위치를 추가로 설치할 수 있다. 경우에 따라서는 믿을 만한 사람을 재투입해 기계식 온도계나 압력계를 모니터링하게 해서, 디지털 기기가 제대로 작동하는지 확인할 수 있다. 아직 심각한 사이버 사건을 경험한 적 없는 기업들은 시스템 연결을 최소화하고, 구식 기계장치를 설치하고, 자동화 기능에 인력을 투입하는 방식을 퇴행적이라고 느낄지도 모른다. 하지만 이런 방법을 선제적 리스크 관리 결정이라는 각도에서 달리 생각해봐야 한다. 효율성이 떨어질 수도 있다. 하지만 비용을 조금 더 들여서 기존 방법으로는 절대 막을 수 없는 재난의 발생 가능성을 현저히 줄일 수 있다면, 오히려 현명한 조치가 아닐까.

 

CEO COO가 이런 프로세스를 회의적으로 바라본다 해도 그리 놀랍지 않다. 지난 수십 년간 충실히 따라온 방식에 대한 미련을 버리고 새로운 관리방식을 도입하는 일은 본래 무척 어려운 일이다. 반발 가능성도 염두에 둬야 한다. 특히 초반에 일어날 확률이 높다. 자사에 대한 많은 양의 정보를 공유하고, 지금까지 몰랐거나 생각하고 싶지 않았던 약점을 인정하는 일은 심리적 부담이 크다. 후기 단계에 접어들면, 기존 시스템과 관행에 존재하는 약점을 자세히 들여다보는 과정에서 관리하던 엔지니어들의 사기가 흔들릴 것이다. 따라서 가장 엄격한 시스템 평가가 진행되는 동안에도 직원들이 불안해하지 않도록 신경 써야 한다. 적들의 접근방식과 이들이 회사에 끼칠 수 있는 피해에 대해 자세히 알고 나면 직원들은 깨닫게 될 것이다. 가장 심하게 반발하는 팀원일지라도 어떤 리스크가 있고, 이를 줄이는 최선의 방법이 무엇인지 알게 된 이상 이 프로세스에 동참할 수밖에 없다.

 

지금 할 수 있는 일

적들처럼 생각하는 법을 배워야 한다. 더 나아가서는, 중요한 표적에 접근하는 시도를 통해 조직의 방어능력을 끊임없이 평가하는 전담 팀을 사내에 둘 수도 있다. 이런 팀에는 문제의 프로세스, 제어·안전 시스템, 운영 네트워크를 잘 아는 전문가를 반드시 투입해야 한다.

 

설사 최상의 사이버 위생을 유지할 수 있는 조직이라도 균열에 대비해야 한다. 가장 좋은 방법은 최고의 화학공장과 원자력발전소에 존재하는 사이버 안전 문화와 비슷한 조직문화를 조성하는 것이다. 조직 최상층에서 말단에 이르는 전 직원이, 자신이 사용하는 컴퓨터 시스템이나 기계가 비정상적으로 작동할 경우 재빨리 대응하는 일이 얼마나 중요한지 인식해야 한다. 이런 현상은 장비 고장 때문일 수도 있지만 사이버 공격의 조짐일 수도 있기 때문이다.

 

마지막으로 조직에서 가장 중요한 기능을 지원하는 시스템을 더 이상 신뢰할 수 없는 상황에 대비해 차선책을 마련해야 한다. 차선책은 회사의 핵심 업무를 부족하게나마 유지하는 것을 목표로 설계해야 한다. 디지털 기술에 의존하지 않고 어떤 네트워크에도 연결되지 않은, 특히 인터넷에 연결되지 않은 백업시스템을 갖추는 방법이 가장 이상적이다. 그러나 문제의 시스템을 똑같이 복제한 백업시스템은 절대 안 된다. 이유는 분명하다. 공격자가 기존 시스템에 침투하는 데 성공했다면, 이와 동일한 백업시스템에 침입하는 일은 식은 죽 먹기이기 때문이다.

. . .

디지털 기술과 인터넷에 의존하는 조직은 모두 치명적 사이버 공격에 취약하다. 최상의 사이버 위생을 유지한다 해도 러시아, 북한, 고도로 숙련되고 가용자원도 풍부한 범죄조직과 테러조직의 공격을 막을 수 없다. 언뜻 기술적 퇴보처럼 보이지만 실제로는 스마트한 엔지니어링 방법을 최대한 적용하는 것이 회사를 보호하는 유일한 길이다. 조직 내 중요한 기능의 디지털 기술 의존도와 인터넷 연결성을 완전히 없애지는 못하더라도 줄이는 것이 그 목적이다. 기존 방어전략을 고수하다가 치를지 모르는 엄청난 비용과 비교한다면, 이 방법을 적용하는 데 드는 추가비용이 그리 많지 않다는 사실을 알게 될 것이다.

 

 

[1] dark web. 특정 프로그램에서만 접속할 수 있는 지하세계 웹

[2] endpoint security. 컴퓨터, 휴대전화, 태블릿 등 네트워크와 연결돼 있는

개별 디바이스의 보안을 철저히 해서 네트워크 보안을 강화하는 접근방식

 

  • 아티클 다운로드
    (PDF)
    5,000원

    담기바로구매

  • 2018년 9-10월호
    25,000원
    22,500원

    구매하기

  • 디지털서비스
    1년 150,000원

    디지털서비스란

    신청하기

운영관리 다른 아티클

무료 열람 가능 아티클 수 0/1 회원가입 | 서비스상품안내