공학기술특집 사이버 위협 대응의 최일선 현장에서 전 길 수 한국인터넷진흥원 침해사고대응단장 kschun@kisa.or.kr 인터넷침해대응센터 침해사고대응단장 관심분야: 해킹사고분석, 모바일보안, 암호 흔들리는 정보화 강국 방송 및 금융 6개사에 대한 대규모 사이버 공격 발생 2013년 3월 20일 오후 14시 05분, 한국인터넷진흥원 종합상황실은 모방송사의 인터넷 홈페이지 접속불가를 인지하고 원인파악을 시도한다. 관제요원들이 해당사 전산실에 쉴새없이 전화 통화를 시도하지만 연결은 되 지 않고, 다른 대형 방송사와 금융사에서도 서비스 장애 발생이 꼬리를 물고 확인된다. 은행 계좌와 연결된 체 크카드 결재 승인 불가, 특정 은행 영업점 단말기 사용 불가, 언론사 기사작성 서버 장애 발생... 14시 29분 한국인터넷진흥원은 유관기관들에 금융 및 언론사의 연이은 전산장애와 사이버공격 발생 사실을 전파하고 37분 이상징후 발생 기관들에 출동하였으나, 각 피해사의 전산담당 부서는 서비스 재가동을 위해 투 입되어, 원인 파악조차 쉽지 않고, 14시 49분부터 인터넷 을 통해 동시다발적으로 사이버테러 가능성이 제기되기 시작한다. 3.20 사이버공격과 관련하여 집계된 피해만 48,000 여 대(서버, PC, ATM)에 달하였으며, 피해사 들의 장애 복 구가 일주일 이상 소요됨에 따라, 국민들이 감내하여야 하였던 불편은 금액으로 산정할 수 없을 정도로 컸다. 우리나라의 빠른 정보화는 국가 경제 성장의 토대 우리는 인터넷이라는 범 세계적 규모의 네트워크를 통해 이메일, 정보검색, 메신저, SNS, 동영상 감상 등의 다양한 서비스를 이용하고 있다. 유선 네트워크와 무선 네트워크의 구별없이 언제나 사용자가 원하는 시점에 원하는 장비를 사용하여 데이터 전송속도의 제약없이 서비스를 사용할 수 있는 환경이 현실화되어 가고 있다. 국내 인터넷의 역사는 1982년 5월 서울대학교와 한국 전자기술연구소의 컴퓨터간 연결로부터 시작했다. 그 이전에도 컴퓨터간 연결은 있었으나 현재 인터넷의 근 간을 이루는 TCP/IP를 기반으로 FTP, Telnet 등의 응용 30 공학교육
사이버 위협 대응의 최일선 현장에서 그림 1. 우리나라의 정보통신망 발전에 대한 해외의 평가 프로토콜을 사용하는 네트워크가 구축된 것은 처음이었 기 때문이다. TCP/IP를 이용한 연결은 세계 유일의 인터 넷 사용국이던 미국이 군사기밀을 구실로 인터넷 관련 장비 판매를 거부하는 상황에서 국내 독자적인 기술로 이루어낸 값진 성과로서, 이후 우리나라는 현재 전 국민 의 78%가 인터넷을 사용하는 인터넷 선진국으로 성장하 였다. 한국의인터넷은미국에서1969년에ARPANET(Advanced Research Projec Agency Network)의 형태로 인터넷이 시 작된 것에 비해 13년 정도 늦었다. 그러나 미국 오바마 대통령이 국정연설에서 가정의 90% 이상이 초고속 정 보통신망과 연결된 한국을 극찬하며, 어제의 인프라를 유지하면서 내일의 경제를 기약할 수 없다 고 말할 정도 로, 2000년 이후 한국의 통신망은 전세계적인 산업발전 벤치마킹 모델로 평가받고 있다. 사이버 위협 현실화와 대응체계의 변화 정보통신망의 비약적인 발전은 국가의 생산성이나 국 민들의 소득을 향상시키는 중요한 토대를 마련하였으나, 우리나라는 국가 정보통신망의 안정성을 위협하는 많 은 사이버공격을 겪어왔으며, 그에 따라 많은 대책들이 만들어졌다. 아래 표는 최근 10년간 발생한 주요 침해사 고들과 정부에서 추진한 대책들을 보여준다. 해커들의 사이버 공격이 고도화 전문화됨에 따라 국 가의 사이버위협 대응체계와 관련 기술들도 지속적으로 발전하여 왔다. 초창기 침해사고들은 시스템의 보안 취 약점에 대한 조치와 백신 설치만으로도 어느정도 예방 이 가능하였으며, 봇넷의 출현으로 침해사고가 급격히 증가한 도약기에도 국가는 인터넷망 이상징후 모니터링 을 통한 신속한 대응을 통하여 침해사고 피해를 최소화 할수있었다. 그러나 2011년 이후 급격히 증가한 개인정보 유출과 지능형지속위협(APT) 관련 사고들은 어느 한부분에 대 한 보안성 강화만으로는 침해사고를 예방하거나 대응할 수 없었다. 이번 3.20 사이버 공격의 경우에도 피해기관 들에 대한 공격방법들이 모두 달랐으며, 공격에 소요된 제 20권 제 2호 31
공학기술특집 표 1. 주요 사이버 공격 관련 정부의 대책 구분 원인 피해내역 주요 정부 대책 1.25 인터넷 대란 ( 03.1) 7.7 DDoS ('09.7) 3.4 DDoS ('11.3) 농협 해킹 ('11.4) 3.20 사이버공격 ('13.3) 슬래머웜에 감염된 MS SQL 서버가 DNS 서비스를 과도하 게 요청하여 서버 과부화 악성코드에 감염된 좀비PC들 이 우리나라와 미국의 주요 사 이트를 DDoS 공격 웹하드 서비스 이용을 통해 악 성코드에 감염된 좀비PC들이 주요 사이트를 DDoS 공격 전산망 유지보수 협력업체 직 원의 노트북이 악성코드에 감 염되어 정보 유출 및 주요 서 버 파괴 도구로 악용 악성코드를 사내망 소프트웨어 배포서버의 업데이트 파일로 위 장하여 사내에 일괄 배포하고 시스템을 파괴 불과 수십분만에 전세계적으로 7만5천대 의 시스템이 감염되었고, 이중 약 12%에 해당하는 8천8백여대가 국내에서 감염되 어 인터넷 접속 장애 또는 접속지연 발생 악성코드에 감염된 11만5천여대 좀비PC 공격으로 총 36개사이트 접속 장애 발생 및 하드디스크 파괴 1만 6천여대의 좀비PC의 공격으로 총 40개(정부, 공공기관, 금융, 포탈 등) 사 이트 접속 장애 발생 및 하드디스크 파괴 해커는 7개월에 걸쳐 내부망 구성과 패스 워드 등을 수집하고 서버의 모든 파일 삭 제를 시도하여 농협 전산망 파괴 방송 금융 등 6개사 4만8천여대의 서버, PC, ATM 등에서 사내PC 부팅 불가, 금융서비스 장애 등의 피해 발생 피해액 8,000억원 이상 추산 <국가위기관리기본지침 및 국가사이버위기관리 매뉴얼 제정> -보안패치 및 백신업데이트 등 정보보호활동 생활화 -국제회선 장애로부터 국내 DNS 보호를 위하여 루트 DNS 국내 유치 -KISA 인터넷침해사고대응지원센터 설립 (2003. 12. 17) 인터넷망 이상징후 모니터링을 통한 사이버위협 조기 대응체계 구축 <국가 사이버위기 종합대책> -국내 ISP의 인터넷망 연동구간에 DDoS 대응시스템 확대 구축 -영세/중소기업을 대상으로 DDoS 사이버대피소서비스 구축 -좀비PC 대상 감염사실 안내 및 전용백신 보급을 위 한 사이버치료체계 구축 <국가 사이버안보 마스터플랜> -사이버공격 대응을 위한 3선 방어체계 도입을 통한 공 격 트래픽 단계별 탐지 차단 국제관문국 인터넷연동망 인터넷서비스사업자 (ISP) 기업 개인 -주요 핵심 시설에 대한 백업센터와 재해복구 시스템 확 대 구축 -사이버치료체계 제공 범위 확대 전체 1,722만 초고속인터넷 가입자 중 1,192만명 (69.3%)에게 팝업공지 <금융회사 IT 보안강화 종합대책> -IT 보안에 대한 CEO의 역할 및 책임 부여 및 정보 보호최고책임자(CISO) 지정 의무화 -정보화대비 정보보호 인력 및 예산 비율을 일정 수준 이상 유지 의무화 -망분리 등 접속경로 통제 및 고객정보 관리 강화 -IT 아웃소싱 관리 강화 <국가사이버안전전략회의> -사이버 위협에 대한 국가차원의 체계적 대응을 위해 청와대가 컨트롤 타워 역할 담당 -사이버위기 상황 조기경보 전파체계 점검 보완 -주요 정보통신기반시설 지정 확대 및 기반시설 인터넷 망 분리제도 시행 - 13년 상반기중 국가사이버안보 종합대책 수립 및 하반기 본격 시행 기간도 9개월 이상으로 추정하고 있다. 또한 공격 경로 는 해커 시스템으로부터 직접 접속하지 않고, 국내외 수 십개의 시스템들을 공격경유지로 악용하였다. 무엇보다도 최근의 사이버 공격에 대한 대응이 어려 운 가장 큰 이유는 공격 기법 때문이다. 해커는 먼저 공 격 대상 기업의 보안 취약 시스템을 찾아 침투하고 해당 시스템을 통해 사내망을 관리하는 주요 서버까지 장악 함으로써, 사내 전 시스템을 공격 가능하게 된다. 이와 같은 공격을 예방하기 위해서는 사내 전시스템에 대한 보안성을 강화하여야 하며, 한 개의 시스템이 해커에 의 하여 장악되더라도 주요 시스템에 접근할 수 없도록 사 내망에 대한 접근제어가 이루어져야 하며, 주요 서버가 사이버 공격에 악용되지 않도록 보안 취약점 등에 대한 철저한 관리가 이루어져야 한다. 32 공학교육
사이버 위협 대응의 최일선 현장에서 표 2. 사이버 위협에 따른 요구 기술의 변화 시기 주요 사이버 위협 주요 공격 대상 대응 전략 주요 대응 기술 초창기 웜 바이러스, 단순 해킹 이용자 및 기업 대응 지원 보안 취약점 패치 백신 개발 인터넷망 이상징후 모니터링 도약기 좀비PC, DDoS 공격 정부 및 기업 피해 최소화 DDoS 공격 대응 좀비PC 치료체계 성숙기 개인정보 유출 기업 사전 예방 암호화 망분리 및 접근제어 시큐어 코딩 성숙기 지능형지속위협(APT) 사회 인프라 선제 대응 내 외부망 보안관제 침해사고 정보공유 고도화된 사이버 위협에 대한 미국의 대응방향 고도화 전문화된 사이버 공격이 사회기반시설에 큰 위협으로 대두됨에 따라, 우리나라뿐 아니라 세계 각국 은 사이버 보안을 국가 안보의 개념으로 확장함과 동시 에 대응체계 강화에 힘쓰고 있다. 그 내용은 사이버 위협 을 탐지하여 국가 차원에서 신속히 정보를 공유함으로 써 피해 확산을 방지하는 것을 주요 추진 사항으로 한다. 초창기의 사이버 공격들이 비교적 복잡하지 않고 공 격 대상 서버에 직접적으로 이루어졌기 때문에 보안 취 약점 제거 및 백신을 통한 악성코드 제거만으로도 큰효 과를 거두었다. 그러나 현대의 사이버 공격은 보안이 취 약한 단 한부분의 노출만으로도 망 전체를 위험하게 만 들기 때문에 향후 사이버 위협에 대한 대응은 어느 한부 분에 대한 사이버 공격이 성공하였다는 가정 하에 이루 어져야 한다. 즉, 특정 사이버 공격으로 인한 한부분의 피해가 동종 시스템을 이용하거나 동종 서비스를 제공 하는 기관으로 확산되지 않도록 선제적인 대응이 이루 어져야 한다. 금년 3월 12일 미국 오바마 대통령은 2기 임기 첫 국정 연설에서 사이버 공격에 대비한 국가안보를 강화하는 내용을 발표하였으며, 같은 날 오전에는 주요 사회기반 시설을 겨냥한 사이버 위협에 대처하기 위한 행정명령 (Executive Order 13636)을 발동하였다. 행정명령의 주 요 목적은 기업의 자발적인 참여를 이끌어내기 위해 사 이버 위협 정보를 실시간으로 공유할 수 있도록 사이버 보안 서비스 프로그램을 확장하는 것으로, 그 동안 방위 산업에 제한되어 있던 기본정보 공유를 다른 분야에 적 극적으로 개방한다는 방침이다. 이와 관련하여 오바마 행정부는 사이버 위협의 기밀 성을 주제별로 분류하고 미국 기업에 사이버 공격 정보 를 제공하는 정보공유프로그램을 만들 것을 각 정부기 관에 요구하였으며, 강력한 사생활보호는 물론 시민의 자유를 기반으로 한 공정정보이용규칙(Fair Information Practice)을 준수할 것을 지시했다. 또한 사이버보안 프 레임워크 개발을 미 국립표준기술연구소(NIST)에 요청 하였으며, 국토안보부가 기업들의 사이버보안 프레임워 크 채택 증진을 위해 자발적인 프로그램을 수립하고 규 제기관들이 현재 사이버보안 규제의 효과성에 대해 평 가할 것을 지시했다. 미 국립표준기술연구소는 기업 정부 연구소 종사 자들이 참석하는 사이버 보안 프레임워크 워크샵 개최 를 통해 기업에서 운영하는 사회기반시설에 대한 사이 제 20권 제 2호 33
공학기술특집 표 3. 미국 국가 사이버보안 교육계획 주요내용 목 적 내 용 국가 정보보호를 강화하기 위해 건전하고 지속가능한 사이버보안 교육프로그램을 책정한다. 프로그램은 다음 4가지 측면에서 구성한다. Awareness: 국가 사이버보안 의식향상 (국토부 주도) Stop. Think. Connect 캠페인, 10월에는 정보보호의 달 제정 등 일반인을 위한 안전한 인터넷 이용환경 조성 Education: 공적인 사이버보안 교육 (교육부 및 전미과학재단(NSF) 주도) 유치원에서 고등교육, 직업프로그램까지를 대상으로 사이버보안 교육을 실시하여 민간 정부기관에 기능인력을 공급한다. Federal Workforce Structure: 사이버보안 전문인력 양성 (국토부 주도) 사이버보안에 관한 업무와 취업, 캐리어패스 등을 정의한다. Training and Professional Development: 사이버보안 전문인력의 교육과 전문능력 개발 (국토부, 국방부가 주도) 산학연 협력아래 기존 연방정부의 전문인력 강화훈련 및 전문능력개발을 실시한다. 분야는 일반 IT이용, IT인프라, 관리, 보호, 법집행 및 대응활동 보고, 사이버보안 운용의 영역을 포함한다. 버보안 프레임워크 개발과 관련한 요구사항들을 수렴하 였으며, 수렴된 요구사항들을 분석하여 홈페이지에 게 시하는 등의 방법을 통해 기업들이 준용할 수 있는 사이 버 보안 기준을 개발하고 있다. 미국의 이러한 사이버 보안 강화를 위한 노력은 2009 년 오바마 정부 출범부터 백악관이 주도하여 왔으며, 동 년 12월 임명된 하워드 슈미츠(Howard A. Schmidt) 사 이버보안 조정관 주도로 개발되어 국립표준기술연구소 에 의해 2011년 8월부터 추진된 국가 사이버보안 교육 계획(NICE, National Initiative for Cybersecurity Education) 에의한정보보호인력양성이있었기때문에가능하였다. 국가적 사이버위협 대응체계 강화를 위한 우리의 과 제 3.20 사이버공격 이후 우리나라는 전국가적 사이버 위협 대응 역량을 강화하기 위하여 한국형 사이버 아이 언돔 구축을 추진 중에 있다. 아이언돔(Iron Dome)이란 이스라엘의 미사일 방어 시 스템으로 하마스 등 가자지구 중동 무장 조직의 로켓 발 사를 90% 이상 막은 것으로 알려져 있으며, 이스라엘 재 무장관은 지속되는 국방 관련 해킹 공격에 같은 개념의 사이버 방어 시스템을 구축하여 4400만여 건의 공격을 단 한건만 빼고 막아낸 것으로 알려져 있다. 아이언돔의 기본 원리는 적이 발사한 포탄이 레이더에 탐지되면 관 련 데이터를 전투지휘통제소에 전송하고, 지휘통제소가 전송 데이터를 분석하여 미사일을 발사함으로써 적의 포탄을 제거하는 체계이다. 우리나라에 구축될 한국형 사이버 아이언돔의 세부 내용은 아직 확정되지 않았으나, 한국형 사이버 아이언 돔은 국가-통신사-기업 개인 의 3개 계층에서 단계별 로 협력하여 사이버 공격에 대응하는 협력 방어체계로 구성될 것으로 예측된다. 이러한 방어체계의 구축과 성 공적인 운영을 위해서는 아래와 같은 제반 요건과 기술 들이 필요하다. 주요 기업 및 기관들의 대응체계 구축 현재 국가 공공기관은 사이버 공격 발생시 대응할 수 있도록 보안관제센터 설치 운영이 의무화되었으나, 민간 기업들은 아직 보안장비 및 관제센터 등의 설치 의 무 대상이 아니다. 이윤추구를 목적으로 하는 민간 기업 들에 대한 사이버 위협 대응체계 강화를 위해서는 일정 수준의 사이버 위협 대응체계 의무화와 표준화된 보안 프레임워크 제공이 필수적이다. 34 공학교육
사이버 위협 대응의 최일선 현장에서 국가차원의 사이버 위협 정보 실시간 공유 현재 각 기업 및 기관들이 이용하는 상용 보안 제품들 은 탐지 패턴 및 결과의 형식이 상이하여, 이기종 기기간 통신 및 분석이 용이하지 않다. 국가차원에서 계층별 단 계별 대응을 위해서는 사이버 위협 정보의 실시간 공유 및통합분석이가능하도록하는기술개발이필요하다. 정보보호 전문 인력 양성 현재 우리나라에는 침해사고에 대응할 수 있는 전문 인력이 200백명 규모로 알려져 있다. 그러나 각 단위 기 업들에서 사고 대응이 가능하도록 하기 위해서는 많은 중급 이상의 정보보호 인력이 요구됨에 함에 따라, 정부 에서는 2017년까지 5,000명의 화이트해커를 양성하기 위한 계획을 수립하고 있다. 빅데이터 분석과 사이버위협 프로파일링 기술 그러나 이러한 전국가적 사이버 위협 대응체계가 구 축된다 할지라도, 국가에서 발생한 사이버 위협에 대한 정확한 판단을 할수있어야만 효과적인 대응이 가능하 다. 전국가적으로 발생하는 사이버 위협이 실시간으로 전담기관으로 송신될 경우, 그 막대한 양의 데이터들의 신뢰성을 분석하여 단위 사고 발생을 판단할 수 있는 기 술과 발생한 사고들을 프로파일링하여 사고간 연관성을 분석할 수 있는 기술 개발이 필요하다. 제 20권 제 2호 35