2024-03-29 02:50 (금)
김혁준 대표 "지난 10년간 사이버 공격자와 방어자의 상호작용...거기에 해답있다"
상태바
김혁준 대표 "지난 10년간 사이버 공격자와 방어자의 상호작용...거기에 해답있다"
  • 길민권 기자
  • 승인 2018.11.26 13:12
이 기사를 공유합니다

"공격과 방어의 상호작용 이해하면 앞으로 발생할 수 있는 공격에 효과적 대응 가능해"

▲ 김혁준 나루씨큐리티 대표가 K-CYBER SAFETY 2018에서 '사이버전쟁, 우리는 이기고 있는가?'란 주제로 강연을 진행하고 있다.
▲ 김혁준 나루씨큐리티 대표가 K-CYBER SAFETY 2018에서 '사이버전쟁, 우리는 이기고 있는가?'란 주제로 강연을 진행하고 있다.
행정안전부, 산업통상자원부, 경기도 주최 K-SAFETY EXPO 2018이 지난 11월 14일~16일까지 킨텍스 제1전시장에서 개최됐다. 이 가운데 15일 킨텍스 제1전시장 3층 그랜드볼룸에서 개인정보보호 및 정보보안 등 사이버안전을 중심으로 실무자 대상 ‘대한민국 정부, 공공, 지자체 사이버안전 컨퍼런스’<K-CYBER SAFETY 2018>이 200여 명의 실무자가 참석한 가운데 개최됐다.

이 자리에서 김혁준 나루씨큐리티 대표는 '사이버전쟁 우리는 이기고 있는가?'란 주제로 강연을 진행했다.

김혁준 대표는 "지난 2009년 7.7 DDoS 공격 이후 우리가 경험한 다수의 대형 침해사고들은 사이버공간에서 공격자와 방어자의 격차는 점점 더 커져 가고 있고 방어자들이 아무리 많은 노력을 들여도 신출 귀몰한 공격자의 아이디어에 속수무책인 것으로 느껴지게 했다"며 "최근 사회적으로 큰 이슈가 되고 있는 공급망공격이 최초로 발생한 것은 어쩌면 2009년 7.7DDoS 당시 이미 국내에 50만 이상의 사용자를 확보하고 있는 웹하드의 업데이트 모듈을 하이재킹해 침해사고 역사상 가장 큰 규모중 하나의 일회성 서비스거부공격망을 구성한 후 다수의 국내 주요 사이트에 대한 분산서비스거부공격을 수행한 사례로 볼 수 있다"고 설명했다.

kim-2-1.jpg
그의 말에 따르면, 당시 국내 ISP에는 증가하는 침해사고 위협에 대응하기 위해 국제 관문국에 대역폭 기반서비스거부공격에 대응하기위한 방어체계를 운영하고 있었으며 또한 한국인터넷진흥원에서는 도메인 기반 악성봇넷 대응을 위한 도메인싱크홀 체계를 갖추고 있었다. 당시 공격자는 먼저 대다수 국내 사용자를 확보한 웹하드를 공격해 운영중인 서비스거부공격 대응체계가 대응할 수 없도록 관문 내부에서 공격트래픽을 발생시켰으며, 일반 공격사례를 통해 예상된 대역폭 소진공격이 아닌 어플리케이션기반 공격을 수행하였고, 해외 61개국에 435대의 서버를 이용해 도메인명에 의존하지 않은 일회성명령제어체널을 구성해 악성 봇넷대응체계를 우회했다.

그 결과 발생한 공격은 당시 방어자가 예상했던 모든 공격경로에 운영중인 방어체계를 우회했으며 공격 발생 3일동안 국내 전반에 큰 혼란을 발생시켰다.

이후 발생한 3.20사이버테러 등 다수의 침해사고는 역시 기존 발생사례를 기반으로 침해사고 대응능력을 강화하기 위해 구성된체계를 역이용해 국내 주요 기관에 침투했고 최근 발생하는 다수의 사례들은 국내의 근본적 침해사고 대응능력에 대한 깊은 불신을 초래하고 있다고 밝혔다.

그는 "과연 우리는 보편적 인간의 능력을 넘어서 보이는 신출귀몰한 적에 속수무책인것인가? 이러한 문제에 대한 답을 찾기 위해서는 발생한 침해사고 각각에 대한 분석을 넘어 2009년 이후 발생한 일련의 공격자와 방어자의 상호작용을 긴호흡으로 살펴보아야 한다"며 "2009년 이후 공격자는 새로운 아이디어를 통해 국내 방어체계를 우회했지만 하나의 공격을 수행할 때마다 자신의 아이디어를 소진시켜 왔으며 방어자는 이전에 발생한 사고의 재발을 막기 위해 체계적 맞대응을 수행해 왔다"고 말했다.

일례로 2011년 발생한 3.4 서비스거부공격은 이후 국내 주요 분야에 도입된 HTTP 기반 서비스거부공격 체계 및 한국인터넷진흥원의 사이버대피소를 통해 성공적으로 방어되었고 이후 공격 성공에 회의적인 공격자는 HTTP 기반의 서비스거부공격을 수행하지 않고 있다.

또한 2011년 발생한 농협전산망 해킹사건 이후 강화된 인적, 물리적 보안의 강화로 유사한 공격의 공격표면이 최소화되었으며 이후 발생한 피싱 및 문서기반 악성코드 공격 역시 사용자 보안의식 강화 및 대응체계의 운용을 통해 이러한 공격대상에 대한 범용적 침투가 점점 더 어렵게되었다는 것이다.

김혁준 대표는 "우리는 지난 10여 년 간 발생한 공격과 방어의 상호작용의 이해를 통해 방어자의 행위를 단편적 대응이 아닌 일련의 활용 가능한 공격표면의 축소로 이해한다면 앞으로 발생할 수 있는 공격에 보다 효과적으로 대응할 수 있을 것"이라고 강조했다.

김혁준 나루씨큐리티 대표의 K-CYBER SAFETY 2018 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★