[기고] 해킹 사고를 기반으로 성장하는 정보보안

[글 신동휘 스틸리언 연구소장]
[편집 최형주 기자]

보안 시장은 사고를 기반으로 발전하고, 도약하는 시장이다. 다시 말해 보안 영역에 필요한 제품 및 기능 개발은 발생한 사건/사고를 기반으로 만들어진다. 그러나 이 같은 현상이 나쁜 것은 아니다. 보안이라는 영역은 100%를 담보하는 것이 불가능에 가깝고, 비용 투자가 적을 수밖에 없다. 본 고에서는 주요 네트워크 사고 사례를 중심으로 보안 시장에 어떤 보안 기술이 등장했는지 알아본다.

1.25 인터넷 대란이 가져온 PMS 시장의 성장

‘1.25 인터넷 대란’은 국내 보안 시장에 네트워크 보안에 대한 경각심을 불러일으킨 사건이다. 2003년 1월 약 9시간여 정도 인터넷 접속이 불가능했던 이 사건의 1차 원인은 슬래머 웜(Slammer Worm) 공격이었지만, 피해를 키운 것은 늦은 서버 시스템 패치였다.

당시 시스템 관리자들에게 패치란 귀찮은 작업으로 인식 됐는데, 패치 시스템이 오늘날처럼 제대로 갖춰지지 않아 환경 자체도 불편했다. 1.25 인터넷 대란은 패치 관리 시스템(PMS)의 발전으로 이어졌고, 이후 PMS 시장은 성장을 거듭해 자동으로 패치를 적용하는 시스템과 프로토콜이 많은 시스템에 적용됐다.

PMS 프로토콜을 살펴보면 중앙에 올려놓은 패치를 클라이언트가 가져가 자동으로 패치하는 방식으로 동작한다. 따라서 많은 이들이 관리자 권한으로 원하는 프로그램을 다운로드 받아서 실행하는 프로토콜을 사용하고 있었는데, 이는 악성코드 중 다운로더(Downloader)와 동일한 프로토콜이다.

다시 말해 PMS라는 시스템의 관리도 최신 패치를 설치하는 것만큼이나 중요하다는 것이다. 만약 공격자가 PMS 시스템 권한을 탈취한다면 PMS 클라이언트를 대상으로 하는 원격 코드 실행 취약점을 찾은 것과 마찬가지다. 이 같은 프로토콜의 오류는 이후 언급할 ‘3.20 사이버 테러’ 또는 ‘네이트 개인정보 유출 사고’의 원인이 되기도 했다.

디도스(DDoS) 공격과 Anti-DDoS

7.7 DDoS, 3.4 DDoS, 10.26 선거관리위원회 DDoS, 3.20 사이버 테러 등의 사고에서 공통적으로 등장하는 단어는 DDoS(Distributed Denial of Service)다. 일련의 사건들로 대중에도 널리 알려지게 된 이 공격 기법은 보안 시장에 큰 변화를 가져왔다.

특히 DDoS 공격은 사용자가 정상적인 서비스를 제공받지 못하므로, 일반적인 사이버 공격과 다르게 사용자가 직접적으로 체감할 수 있다. 이에 정부와 업계는 DDoS 공격에 효과적으로 대응하기 위한 네트워크 보안 제품을 구축하기 시작했다.

위 사고들에서 사용된 DDoS 공격 기법은 네트워크 대역폭을 고갈시키는 방식이 아닌 가용한 세션을 소모하는 방식과 애플리케이션의 오류를 악용했다. 그러므로 L4에서 확인할 수 있는 정보만을 이용한 방화벽 기반의 대응 체계와 대량의 트래픽 처리에 최적화되지 않은 장비들은 자연스럽게 한계를 드러냈다.

이에 대한 자세한 이해를 위해서는 세션에 대해 알아야 한다. 세션이란 사용자가 서비스에 접근할 때 서버에서 할당하는 자원이다. 다른 IP에서 서버에 접근하면 서버는 사용자에게 새로운 세션을 할당한다. 애플리케이션에서 자원을 할당하고 할당된 자원의 반납을 잊거나 자원의 반납에 시간 여유를 주기도 한다. 할당된 자원이 반납되기 전에 다시 요청이 오면 반납하지 않은 자원을 재활용하는 것이 효과적이기 때문이다.

그러나 이는 자원에 대한 요청이 정상적일 경우에만 해당된다. 비정상적인 자원 요청의 경우 할당과 반납이 원활하게 이루어지지 않으면, 할당보다 반납의 주기가 짧기 때문에 가용 자원의 범위를 넘어서는 경우가 발생한다. 네트워크 세션 관리에 존재하는 이 같은 문제를 악용한 것이 앞서 언급한 DDoS 사고 사례들이다.

만약 해당 공격들이 네트워크 대역폭을 고갈시키는 방식이었다면, 대용량의 데이터를 보내거나 짧은 시간 내에 다수의 접속 시도가 있는 IP를 차단하는 방식으로 충분히 대응이 가능했을 것이다. 그러나 해당 사고 중 대부분은 세션과 같은 자원을 소모하기 위해 다수의 좀비 PC를 활용해 소스 IP가 요청을 생성하도록 했다. 기존의 정상 사용자와 비정상 사용자를 구별하기 어렵도록 공격을 시도한 것이다.

이 같은 DDoS 공격에 대응하기 위해서는 정상적인 요청과 비정상적인 요청을 구분할 수 있어야 하며, 이 작업은 사람이 할 수 없다. 또 DDoS에 의한 자원 고갈까지 걸리는 시간이 길지 않기 때문에 장비 내 알고리즘은 상당히 빠른 시간 내에 거의 실시간으로 요청에 대한 정상, 비정상 여부를 판단해야 한다.

그리고 이때 필요한 장비가 바로 Anti-DDoS다. 다수의 DDoS 공격 사고가 있기 전 네트워크 장비는 100Mbps 정도의 성능을 보여주는 장비가 주류였지만, 인라인으로 설치해야 하는Anti-DDoS 장비의 특성상 빠른 처리 속도가 중요한 성능의 지표가 되면서 시장에 Gbps 이상의 제품들도 등장하게 됐다.

이 시기부터 DDoS 방어는 네트워크 기반 보안이 인프라 구축의 필수 요소가 됐고, 더이상 DDoS 공격은 대응이 어려운 사이버 공격이 아니게 됐다. 기업들은 DDoS를 방어하기 위해 단순히 Anti-DDoS 장비만 도입하는 것이 아니라, 클라우드를 통해 대응 서비스를 이용하기도 한다. 아울러 우리나라의 경우 한국인터넷진흥원의 ‘DDoS 대피소’를 통해 공격에 대응할 수 있어, 최근 발생하는 DDoS 공격들이 크게 이슈가 되지는 않고 있다.

개인정보 유출과 망분리

현대인에게 개인정보 유출은 익숙하다. 심지어 경각심조차 사라진 사람들이 많다. 그만큼 개인정보 유출이 일상적으로 발생하고 있기 때문이다. 그렇다고 기업과 정부가 아무런 대응을 하지 않은 것은 아니다. 2000년 후반부터 2010년 초반까지 발생했던 개인정보 유출 사건, 사고는 민간과 공공 양측에 지대한 영향을 끼쳤다.

우선 개인정보 유출 사고는 공공 부문에서 ‘개인정보보호법’을 제정하는 계기가 됐다. 개인정보보호법은 논의부터 제정까지 오랜 시간이 들었고, 2012년에야 시행됐다. 최초의 개인정보보호법은 개인을 식별할 수 있는 이름, 주민등록번호, 영상 등의 정보와 정보의 조합을 개인정보로 보고, 이를 보호하기 위해 조직이 반드시 취해야 하는 조치에 대해 정의했다.

민간 부문에서의 개인정보 유출 사고는 업계에 망분리라는 과제를 안겨줬다. 망분리 또한 관련 내용이 법제화됐고 정보통신망법, 개인정보보호법, 금융위원회의 금융 전산 망분리 가이드라인 등을 통해 규제화가 이뤄졌다.

망분리의 핵심은 인터넷망과 개인정보를 처리하는 업무망 사이의 접점을 최소화하거나 제거해 개인정보 유출 사고에 대처하겠다는 것이다. 이때부터 업계는 이용자들의 요구에 부합하는 다양한 형태의 망분리 솔루션을 출시했다. 그러나 문제는 비용이었다.

망분리를 논의하는 단계에서 가장 효과적인 망분리 방법은 인터넷 PC와 업무용 PC를 물리적으로 분리해 두 대의 PC를 두는 물리적 망분리다. 그러나 물리적 망분리는 구축해야 하는 PC와 회선, S/W 라이선스 등 모든 것이 2배로 들어 큰 비용 부담을 수반한다.

그리고 이 비용 문제 해결을 위해 업계는 서버 가상화 기반 망분리와 클라이언트 기반 망분리를 도입하기 시작한다. 서버 가상화 기반 망분리는 서버팜을 구축하고 서버팜 내에 가상화 솔루션을 올려 사용자들에게 가상화 이미지에 대한 접근 권한을 제공하여 업무를 처리하도록 하는 방식이다. 이는 마치 과거 사용자들에게 컴퓨터 사용을 위한 인터페이스만 제공하여 터미널을 사용하는 것과 유사하다.

그러나 당시에는 관련 비용적인 측면과 간편한 설치 쪽에 초점을 맞추어 사업이 진행되었던 것으로 추정된다. 그 이유는 많은 기업들이 클라이언트 기반 망분리를 선택했기 때문이다. 물론 서버 가상화 기반 망분리 서비스의 성능이 다소 느리다는 이슈도 있었지만, 서버 가상화 기반 망분리 제품의 가용성은 판단하기에 따라 상이한 결과가 나올 것이므로 비용과 편의성 문제가 컸다 볼 수 있다.

서버 가상화 기반 망분리 제품의 사용자가 제공받은 가상화 이미지에 접근하기 위한 인터페이스는 클라이언트에 있지만, 자원들은 서버에 위치한다. 따라서 공격자는 가상화 기반 망분리의 보안성이 우수하다고 평가할 수 있다.

특히 가상화 솔루션이 제어하는 환경 위에서 하나의 가상 이미지에서 다른 가상 이미지로 이동하기 위한 권한이 제한적이며 접점 또한 제한적이므로 공격자 입장에서 활동할 수 있는 영역이 줄어든다. 이는 AWS에서 하나의 EC2 인스턴스 제어권을 가진 사용자가 다른 EC2 인스턴스 제어권을 갖기 어려운 것과 유사하다.

클라이언트 기반 망분리 제품의 경우, 하나의 호스트에 서로 다른 영역을 설정해야 한다. 그러기 위해 하나의 호스트에서 임의로 가상화 영역을 만들어 내야 한다. 이를 위한 ‘커널 드라이버’는 인터넷 영역과 업무 영역을 구분했다. 여기에 제어할 수 있는 기능을 구현해 이벤트가 어떤 프로세스에서 발생했는지 검증하고, 허용된 행위만 가능하도록 구현한다.

이와 같은 클라이언트 기반 망분리 방식은 임직원 PC에 설치만 하면 되기 때문에 사용이 용이하고, 도입 비용이 저렴하다. 그러나 클라이언트 기반 망분리 방식은 결국 시스템에서 실행되는 높은 권한의 프로세스일 뿐이다. 물론 시스템에서 실행되는 단 하나의, 유일한 높은 권한의 프로세스라면 좋겠지만, 시스템에 설치되는 응용프로그램에게 부여된 권한을 다른 프로세스가 갖지 못한다고 보장하기는 어렵다.

따라서 클라이언트 기반 망분리는 솔루션과 동일한 권한을 갖는 사용자 또는 프로세스가 있다면, 해당 프로세스에 접근해 차단 행위를 수행하거나 드라이버를 내리는 방식으로 정보 유출이 가능하다고 볼 수 있다.

양자암호 기술로 진화 중인 무선 네트워크

최근 5G 상용화와 함께 무선 네트워크 기술이 빠르게 발전하고 있다. 그리고 무선네트워크를 이용하는 타인의 ‘패킷 내용’에 물리적으로 접근할 수 있는 공격 기법과 사례들이 다수 발견되고 있어, 무선 네트워크의 물리적 보안 기술도 함께 발전하고 있다.

특히 공유기와 이동통신망에 대한 보안 위협 가능성이 꾸준히 제기되고 있다. 물론 현재까지 가장 널리 사용되고 있는 4G, 5G망의 취약점을 악용하는 심각한 침해사고는 없었지만, 그럼에도 더욱 더 안전한 통신을 담보하기 위한 기술들이 계속 개발되고 있다.

일례로 SKT, KT에서는 5G 양자암호통신의 상용화에 성공했으며, 심지어 우리나라가 양자암호통신의 표준을 주도하고 있다. 양자기술을 기반으로 암호키를 생성하게 되면, 사실상 그 결과값을 예측하기란 불가능하기 때문에 지금까지의 그 어떤 암호키보다 보안 강도가 우수한 강력한 암호를 생성할 수 있게 된다.

이처럼 내용 자체를 보호하는 암호 기술은 물리적인 부분뿐만 아니라 애플리케이션단에서도 강력하게 적용되고 있는 추세다. 애플리케이션단의 대표적인 프로토콜인 DNS의 경우, 현재 평문으로 전송되고 있기 때문에 감청에 취약하다. 이에 대응하기 위해 DNS over TLS와 DNS over HTTPS(DoH)라는 표준이 등장했다(RFC 8310, RFC 8484).

이 표준들은 이용자와 DNS 서버 사이 통신 내용을 암호화해 DNS요청을 감청할 수 없을 뿐만 아니라, 중간자 공격(MITM)을 차단해 DNS 스푸핑(spoofing)을 방지한다. 이러한 암호화 표준들의 확장은 네트워크 보안의 전체적인 기조이며, 통신의 암호화는 가장 필수적으로 적용되어야 하는 보안 기술로 인식이 바뀌고 있다.