[디지털투데이 석대건 기자] 역사상 기록된 첫번째 바이러스인 크리퍼 바이러스다. 

1971년에 발견된 크리퍼 바이러스는 자기 복제 프로그램으로, 패킷 스위칭 네트워크 아파넷(ARPANET)의 메인 컴퓨터에 침투해 "I'm the creeper, catch me if you can!"(나는 크리퍼다, 잡을 수 있다면 나 잡아봐라!)라는 메시지를 시스템의 복사했다. 

크리퍼 바이러스가 만들어진 시기가 1971년이니 빌 게이츠가 마이크로소프트를 설립한 1975년보다 4년 앞선다. 게다가 아파넷은 인터넷이니, 바이러스는 인터넷보다 오래됐다고 볼 수 있다. 

길이 본격적으로 깔리기 전부터 길을 달릴 자동차가 만들어진 셈이다. 다만, 그 자동차에는 사람 대신 무기가 탑재돼 있었다.

WMD와 MMD

이제 해킹은 메시지를 복사하는 크리퍼 바이러스와 같은 장난 수준을 넘어섰다. 해킹 무기에 대한 정의는 그 위상 변화를 알 수 있다.

냉전 시대 사람에게 사망 혹은 심각한 부상을 가하도록 만들어진 미사일, 생화학 무기, 핵 폭탄 등 무기를 대량 살상 무기(WMD, Weapons of Mass Destruction)라고 불렀듯, 이제 바이러스, 랜섬웨어와 같이 컴퓨터 시스템에 치명적인 피해를 가함으로써, 인간 생활에 큰 악영향을 끼치거나 민감한 데이터를 탈취해 경제적 피해를 일으키는 대량 파괴 멀웨어(MMD, Malware of Mass Destruction)라고 부른다. 

시대별 사이버공격 변화 (자료=국방/항공 무기체계 SW보안 발전 세미나 발표자료)
시대별 사이버공격 변화 (사진=국방/항공 무기체계 SW보안 발전 세미나 발표자료)

상황이 이렇다 보니 가장 지켜야 할 정보가 많은 국방 보안 분야는 해커가 가장 공격하고 싶은 표적이 됐다.

이한희  전 국군사이버사령부 중령은 “보안 확대는 지켜야할 것과 같이 변화했다”며, “사이버전에 대한 인식 전환이 필요하다”고 강조했다.

첫번째 바이러스가 미국 국방부의 고등 연구 계획국이 만든 아파넷이라는 사실이 이를 상징한다. 이후 IT 발전은 곧 해킹의 역사가 됐고, 사이버 보안 대책의 수준 역시 해킹 기술 발전을 따라가게 된다. 

보안 대응 체계 변화 (자료=국방/항공 무기체계 SW보안 발전 세미나 발표자료)
보안 대응 체계 변화 (사진=국방/항공 무기체계 SW보안 발전 세미나 발표자료)

성명준 한컴MDS 부장은 “지금까지의 보안 대책은 공격을 받으면 보완하는 방식”이었다고 분석했다. 공격기술을 알 수 없고 발전하는 해킹 공격의 특성상 선제적 대응이 아닌, 방어적 대비에 그쳤다는 의미다.

사건이 발생하면 차후에 비슷한 침해를 받지 않으려면 어떻게 대처할지에 국한됐던 것이다. 크리퍼 바이러스의 경우도 아파넷 공격 이후, 리퍼(Reaper)프로그램으로 대처했다.

이제 방어적 보완이 아닌, 선제적 대응으로 노선을 달리해야 한다고 제안한다.

보안 가이드 STIG, 미국 국방 보안 사고 95% 줄여

그렇다면 보안의 선제적 대응 방식에는 무엇을 의미할까?

성명준 부장은 미국의 STIG를 좋은 사례로 들었다. STIG(Security Technical Imprementation Guide)는 미군이 사용하는 모든 IT기기의 보안성 향상을 위한 보안 설정 가이드다. 

즉, 해킹 루트의 취약점을 먼저 분석하고 먼저 방어하여 공격을 사전에 차단한다는 것이다.

심지어 STIG는 미국 국방부 산하 전투지원 기관은 DISA(Defense Information System Agency)에서 작성되어 단순한 가이드가 아닌, 지침 수준으로 볼 수 있다.

2016년부터 2017년 8월까지 우리나라 유형별 사이버 침해 건수(자료=국방부)
2016년부터 2017년 8월까지 우리나라 유형별 사이버 침해 건수(자료=국방부)

STIG가 관리하는 대상은 군 내 정보보증 (IA, Information Assurance)을 실행하거나 지원하는 모든 IT 기기로, 운영체제를 비롯해 네트워크, 애플리케이션, 소프트웨어 등이 포함된다.

STIG의 주요 가이드를 살펴보면, 윈도우10 사용자는 계정의 비밀번호 사용 기간을 반드시 설정하게 하거나 워크스테이션에서 인터넷 정보 서비스(IIS, Internet Information Services)와 그 하위 구성 요소를 설치하지 않게 요구한다.

만약 삼성 안드로이드 기기를 사용한다면 암호를 최소한 6자 이상으로 설정케 하고, 텍스트 자동 완성 기능도 비활성화하게 제안한다. 일반적인 단어를 작성하면서 기밀 관련 단어로 출력되지 않도록 최소한의 유출 가능성도 염두에 둔 것이다.

또, STIG에 따라 LG 스마트폰은 기기의 부팅 또는 잠근 해제시 경고 메시지가 출력되게끔 프로그램화 한다.

STIG에는 이러한 보안 실행 가이드가 약 300개 이상 마련되어 있다. 현재 STIG는 한 달에 한번씩 업데이트를 통해 최신 사이버 보안 취약점 및 대응 가이드로 제시한다.

미국 국방부는 STIG 가이드를 통해 약 96%의 사이버 보안 사고를 감소했다고 밝혔다. 취약점을 미리 알고 막는다는 것 자체가 해커에게 선제 대응인 셈이었다.

2017년 발간된 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드 (사진=한국인터넷진흥원)
2017년 발간된 주요정보통신기반시설 기술적 취약점
분석 평가 방법 상세가이드 (사진=한국인터넷진흥원)

우리 정부 역시 STIG와 비슷한 가이드가 있기는 하다

과학기술정보통신부와 한국인터넷진흥원이 만든 ‘기술적 취약점 분석평가 방법 상세가이드’는 비전문가라 해도 손쉽게 보안을 강화할 수 있는 방법을 제공하고 있다.

그러나 STIG에 비해 현저하게 적은 점검항목 수와 2017년 이후 업데이트 미비로 날로 발전하는 해킹에 대응하기에는 역부족이다.

성명준 부장은 “사이버 보안 위협은 기존의 안보 위협과는 달리 군뿐만 아니라 민간 역시 같은 수준으로 사이버보안에 노출돼 있다”며, “국방부는 보안 취약점을 공개하고 민간과 함께 먼저 취약점을 알고 같이 방어하는 선제적 대응 방식으로 전환해야 한다”고 지적했다.
 

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지

관련기사