공격적 보안, 능동적 보안보다 크고 보복 해킹까지도 포함한 개념
얼마 전까지만 해도 급진적 개념...철저히 방어를 위해서만 이뤄져야

[보안뉴스 문가용 기자] 부산에서 열린 사이버공격방어대회 보안 컨퍼런스의 강연자로 라트비아 국립 CERT의 보안 수석 책임자인 버나드 블룸버그스(Bernard Blumbergs)가 초대됐다. ‘닥터 블룸버그스’라고 호칭을 하면 손발을 오그리며 ‘제발 버나드라고 불러주세요’라고 말하는 그는 스스로를 ‘테키(techie)’라고 낮춰 부르지만, 보안에 대해 말할 때만큼은 단어 하나하나에 강한 자신감을 심는 사람이었다.


보안뉴스 : 공격적 보안(offensive security)이 전문 영역이라고 했는데, 공격적 보안이란 무엇인가? 알듯 하면서도 낯선 개념이다.
버나드 블룸버그스 : 말 그대로 공격적인 방법을 사용해 방어를 강화하는 것이다. 누군가 나를 공격하려는 징조를 보인다거나 실제로 공격을 실시해 지속적인 피해를 일으킨다면 공격자를 추적해 그들의 C&C 서버나 공격 인프라를 무력화시켜 피해를 줄이는 것을 말한다. 그렇게 하려면 공격할만한 상대를 파악하고, 그들의 전략과 의도를 미리 아는 것이 중요하다. 따라서 끊임없는 첩보 수집과 분석이 필수적일 수밖에 없는데, 당연하게도 머신러닝 등의 고급 자동화 기술이 필요하게 된다.

2014년에만 해도 이는 대단히 급진적인 개념으로 받아들여졌다. 그래서 이를 약간은 부드러운 용어인 ‘대응적 보안(responsive security)’으로 바꿔서 부른 적도 있다. 재미있는 건 사실 세상의 모든 주요 국가들은 이미 이런 공격적 보안을 실시하고 있다는 것이다. 적국이건 우방국이건 늘 정찰하고 첩보를 수집하는 건 공공연한 사실 아닌가? 사실 우리는 이미 공격적 보안이 만연한 시스템에서 살고 있다.

보안뉴스 : 지금도 충분히 급진적으로 들릴 수 있다. 사실 지금 말한 건 에스피오나지(espionage) 개념인데, 그것도 사이버 보안에서는 공격으로 간주되는 행위 아닌가.
블룸버그스 : 어딘가를 항상 두드리고 뚫어내야 한다는 뜻이 아니다. 그리고 법적 테두리 안에서만 이뤄지는 것을 말하는 것이기도 하다. 에스피오나지는 범죄 행위라기보다 ‘회색 지대’에 속한 개념이다. 에스피오나지를 위해 거쳐 가는 과정들이 불법 프로그램을 심는다거나, 네트워크와 컴퓨터에 불법적으로 접근하는 것을 포함시킬 때면 분명한 범죄가 되지만 그런 구분이 애매해지는 경우도 있다. 이미 덩치가 큰 주요 국가들은 이 애매한 회색 영역을 자신들의 이득을 위해 사용할 줄 안다.

나는 흔히들 서방 국가 혹은 민주주의 국가라는 곳이 아직 세계 2차대전으로 생긴 트라우마를 극복하지 못했다고 생각한다. ‘공격’이라는 단어만 들으면 자동반사적으로 범죄 행위를 떠올린다는 것이다. 그런데 지금 사이버 공간에서 고삐가 풀린 것처럼 행동하는 나라들은 그렇지 않다. 적극적으로 공격하고 침해한다. 그래서 공격이란 것에 진저리치는 우리들만 뒤쳐지게 된다. 그들과 똑같은 수준이 되자는 게 아니다. 스스로의 트라우마에 짓눌려 더 효과적인 방어의 기술을 갖추지 못하면 안 된다는 것이다.

보안뉴스 : 보복 해킹(hacking back)과는 어떻게 다른가?
블룸버그스 : 보복 해킹을 포함하는 개념이다. 물론 여러 번 강조하지만 법적인 테두리 안에서 이뤄져야 한다. 요즘은 사이버 디셉션(cyber deception)이라는 것을 더 많이 사용하는 듯하다. 네트워크 여기저기에 정보를 퍼트려 놓는 등 덫을 만들어 공격을 하게 한 다음, 이를 관찰하면서 공격자를 분석하는 것이다. 조심하지 않는 공격자라면 이런 장치에 걸려들 수 있다. 이런 정보를 바탕으로 공격자의 다음 공격을 예상해서 또 다른 덫을 놓거나, 아니면 그 공격자를 역으로 공격함으로서 다음 공격의 기회를 무산시키는 것이 공격적 사이버 보안이다.

공격적 보안은 그 자체로 단 하나의 정답이 아니다. 보안은 다양한 층위(tier)에서 이뤄져야 한다. 전통적인 개념의 보안 장치도 필요하다. 하지만 그것만을 고수해서는 우리가 원하는 효과를 얻어낼 수 없다. 중세 시대도 아닌데 언제까지 성벽만이 최고의 방어법이라고 고집할 텐가. 이제 네트워크의 외곽선이라는 것이 흐릿해져 가는데, 온프레미스 보안 환경에서 사용하던 전략이나 방법들이 최고의 가치로 남아있어서는 안 된다.

보안뉴스 : 그렇다면 능동적인 보안과 공격적인 보안은 어떻게 다른가?
블룸버그스 : 비슷하지만 공격적 보안이 더 포괄적인 개념이다. 능동적 보안은 공격자들이 노릴만한 취약점을 선제적으로 찾는다든지, 공격자들의 최신 동향을 조사한다든지, 여러 외교적 상황에 대해 취합하는 등의 정보 수집을 의미한다. 그런 정보들을 바탕으로 공격 시나리오를 만들고, 공격 루트를 최대한 좁히는 것이긴 하지만, 내 안에서만 문제가 될 부분을 찾는 것이기에 사실은 그리 능동적이지 않다.

반면 공격적 보안은 증거를 찾는 것이다. 어떤 단체나 정부 기관이 나를 공격했다는 정확한 증거를 찾고, 거기에 대응해 상대의 공격 기능을 최대한으로 무력화시키는 것을 말한다. 여기서 우리는 ‘보안 분야에서는 범죄자를 100% 확신할 수 없다’는 문제가 대두될 수 있다. 맞는 말이다. 사이버 공간에서 일어나는 일에 대해 우리는 100% 확신을 가지고 행위자를 찾아낼 수 없다. 그러나 99%는 가능하다. 그렇기에 공격적인 보안이 가능한 것이다. 50/50의 확률 게임이었으면 공격적 보안은 성립되지 않는 개념이다.

보안뉴스 : 공격적 보안이 갖는 가장 큰 장점은 무엇인가?
블룸버그스 : 보안 분야에서 우리가 해커들에게 항상 지는 것처럼 보이는 이유가 무엇인가? 운동장이 기울어져 있기 때문이다. 공격자는 자신들이 원하는 때에 원하는 곳을 선택해서 칠 수 있지만, 방어자는 그 모든 경우를 예상해야 한다. 보이지 않는 곳에서 공격이 들어오기 때문에 늘 불리한 싸움을 할 수밖에 없다.

공격적 보안이라는 개념을 탑재하게 되면 기울기가 조금은 완만하게 된다. 공격자의 공격 시간과 방법을 정확히 맞출 수 있는 것까지는 아니지만 공격에 대한 반격이 반드시 있을 것이라는 부담감을 심어줄 수는 있다. 숨어서 주먹을 뻗는 식의 공격 방법이 허락되지 않고, 자신도 맞을 각오를 해야 공격이 가능하다는 것이다. 공격에 대한 대가를 치르게 한다는 것만으로도 방어자 입장에서는 대단한 ‘플러스’ 요인이 된다.


보안뉴스 : 사례가 있을까?
블룸버그스 : 중국의 해커들이 오로라 작전(Operation Aurora)이라는 걸 실시한 적이 있다. 구글로부터 소프트웨어 소스코드를 훔치는 것이 이들의 목표였다. 구글 측에서는 이를 탐지하자마자 공격자들을 추적했고, 보복 해킹을 실시했다. 공격자들의 서버를 마비시키고, 그들이 가져간 정보를 전부 삭제한 것으로 알고 있다. 구글이 거기에 더 나아가 공격자들의 신상을 공개한다거나, 피해를 입히기 위해 랜섬웨어 공격을 더 한다거나 한 게 아니었다. 오로지 자신들의 지적재산인 소스코드를 보호하기 위한 선까지만 공격적으로 움직인 것이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>