본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.


우리나라는 지난 2009년 7월 7일 정부 기관을 포함한 여러 인터넷 사이트가 무차별 디도스 공격을 받아 서비스가 마비되는 초유의 사태를 경험했습니다. 이후에도 이 같은 사이버 공격은 계속 이어졌습니다. 지금 이 순간에도 수많은 지능형지속위협(APT) 공격의 중심에 서 있습니다.


보안업체 분석 보고서와 언론 보도를 통해 알려지는 사례가 있지만 이는 수많은 공격 가운데 극소수에 불과합니다. 그나마 알려진 내용도 대수롭지 않게 여기는 경우가 흔합니다. 공격이 얼마나 위험한지 체감하는 데 한계가 있는 것도 사실이지만 일각에선 보안 불감증이 심각한 수준이라는 지적이 제기됩니다.


보안 위협을 조기에 발견하고 탐지하면 다소 간단한 조치와 대응만으로 침해 사고 예방에 큰 도움이 됩니다. 위협 사각지대를 파악, 취약점을 빠르게 제거하는 데도 효과가 있습니다.


암세포를 조기 발견했을 때 '이건 암이 아니고 말기가 됐을 때 암이라 진단하겠다'고 정의한다면 암 치료가 더욱 어려워질 것입니다. 암세포가 전이되기 이전에 발견해 치료한다면 소요 시간과 치료비 등 여러 측면에서 효과를 볼 수 있을 것입니다.


사이버 위협도 마찬가지입니다. 하인리히 법칙처럼 대형 해킹 사고가 발생하기 전에 사소한 이상 징후나 경미한 이벤트가 여럿 나타날 수 있습니다. 이런 신호를 무시하거나 방관하고 있는 것은 아닌지 종합 점검을 해볼 필요가 있습니다.


우리나라는 정치, 외교, 안보, 통일, 국방 전·현직 종사자와 대북 분야에 종사하는 다양한 직종이 APT 주요 표적이 됩니다. 이런 경험을 통해 값비싼 교훈도 얻고 있습니다. 우리나라를 겨냥한 사이버 첩보 활동은 이미 일상화된 지 오래고, 위험성 역시 갈수록 증대되고 있습니다.



사이버 보안 분야도 현실과 이상에 대한 괴리감이 존재하기 마련입니다. 결과 기반의 단편 접근 및 이해만으론 특정 정부와 연계된 APT 공격 조직이 너무 허술하고 단순해 보일 수도 있습니다. 그러나 실제 공격자 입장에서는 수없이 많이 진행하는 공격 시도의 일부이기 때문에 노출과 흔적에 대한 조심성이 부족할 수 있다는 공감대가 필요합니다.


정치·사회성 오해, 편견, 불신만으로 사이버 공격의 현실과 위험성을 제대로 인식하지 못한다면 그만큼 우리나라 안보의 앞날은 어두워집니다.


이솝우화에 등장하는 양치기 소년처럼 심심풀이로 “늑대가 나타났다”면서 거짓말로 혼란을 일으키는 것도 문제지만 늑대가 바로 옆까지 다가왔는데도 위협에 무감각하거나 아무도 대응하지 않는다면 더 큰 피해를 초래할 것입니다.


보안에는 편의와 속도에 반비례하는 공식이 있어 보안이 좋아질수록 편의와 속도는 낮아질 수 있습니다. 그러나 보안을 반복해야만 우리나라 안보를 지킬 수 있음을 잊지 말아야 합니다.



이스트시큐리티는 외부 보안 위협에 신속하게 대응하고 발견된 보안 위협에 대해 백신 긴급 업데이트 및 보안 공지를 통해 사용자들에게 알리고, 정부 기관에도 위협정보를 공유해 빠른 선제 조처를 할 수 있도록 지속적으로 최선을 다할 예정입니다.


감사합니다.