[CEO Column] ‘다이하드 4.0’의 경고

2012.09.05

 

미국 정부의 전산 시스템을 설계했던 엔지니어가 해커로 변신해 교통•통신•방송•전기 등 기간망을 장악한다. 그는 교통신호를 마음대로 조작하고, 통신망을 도청하고 심지어는 전투기를 원격 조종하기도 한다. 그의 최종 목적은 하나. 자신이 설계한 시스템에 침투해 미국 전체의 금융자산을 모두 자신의 소유로 만드는 것이다.

　

 

<사진출처 - 구글이미지>

 

 

2007년 제작된 영화 '다이하드 4.0'에 나오는 무시무시한 스토리다. 물론 상상으로 만들어낸 얘기다. 그러나 이 영화가 나오자 이런 공격이 실제 가능한지에 대한 논의가 무성했다. 다행히 현실 세계에서 국가 중요 기간망은 독립적으로 운영되고 있어 이를 동시에 장악하는 것은 사실상 불가능하다. 웬만한 중요 시설은 모두 일반 네트워크와 분리돼 있어 외부에서 침투하기가 쉽지 않다.

　

 

이번에는 실제 사례다. 2010년 6월 이란의 우라늄 농축 공장이 '스턱스넷(stuxnet)'이라는 고도의 악성코드에 감염된다. 스턱스넷은 원자력 발전소의 우라늄 연료를 처리하는 과정을 장악함으로써 기계의 작동을 빠르게 조정하거나 파괴했다. 이로 인해 이란의 핵 개발 프로그램이 여러 달 지연됐다. 충격적인 것은 이 감염된 PC가 외부 망과는 분리 운영됐다는 사실이다. 인터넷을 통해 부지불식간에 악성코드에 감염되는 상황과는 차원이 다르다.

　

 

 

<사진출처 - 구글이미지>

 

 

 

사이버 공격의 심각성을 설명하면 혹자는 위협을 지나치게 과장하는 것 아니냐고 반문한다. 하지만 과연 그럴까. 글로벌 에너지 업체들의 정보를 노린 '나이트 드래건'(Night Dragon)이나 구글•어도비•주니퍼 등 글로벌 업체를 대상으로 정보 수집을 시도한 '오퍼레이션 오로라'(Operation Aurora)의 사례를 보면 결코 과장이 아님을 알 수 있다. 이처럼 전 세계를 놀라게 한 사건들이 2010년부터 최근까지 실제로 발생했다.

　

 

우리나라에서도 DDoS나 개인정보 유출 사건이 종종 사회적 이슈가 된다. 물론 DDoS도 막고 개인정보도 보호해야 한다. 그러나 여기에만 너무 집중하다 보면 정작 중요한 것을 놓칠 수 있다. 더 중요한 것은 기업의 핵심 자산인 지적재산권과 영업기밀, 각종 노하우 등이다. 이는 기업의 존립 자체를 좌우할 수 있는 자산들이다.

　

 

최근의 사이버 공격은 APT(Advanced Persistent Threat)라는 용어로 설명된다. 요즘 해커들은 지능적이며 집요하고 오랜 기간에 걸쳐 공격한다. 여러 시스템이 있어도 공격자의 관심은 오직 하나다. 자신이 얻으려는 정보가 있는 컴퓨터다. 그것을 장악하기 위해 해커는 수개월 혹은 최장 2년 가까이 잠복하면서 공격 대상에 접근한다.

　

 

공격자는 보안 솔루션의 존재도 파악하고 있다. 그래서 항상 새로운 취약점을 이용해 보안 시스템을 무력화하거나 우회한다. 고도의 악성코드로 입체적 공격을 감행하기 때문에 전체 공격의 맥락을 봐야만 파악이 가능하다. 그래서 APT를 방어하기 위한 신개념의 제품과 다단계 방어대책이 개발되고 있다.

　

 

오늘날 우리의 기업 환경은 정보기술(IT) 없이는 한시도 운영될 수 없다. 본래 IT는 기업의 생산성을 향상시키고 비용을 절감하기 위해 도입됐다. 모든 직원이 컴퓨터를 사용하고, 정보를 DB화하고, 고객과의 소통도 인터넷을 통해 이뤄진다. 기업들은 IT 인프라에 꾸준히 투자해 왔고 이는 경영 혁신의 견인차 역할을 해왔다. 이 자원이 공격을 받아 영업기밀이 유출되면 기업의 자산이 사라지고 프로세스가 멈춘다. 이는 곧 조직의 정지를 의미한다.

 

해커들의 표적, 금융 - 사이버 보안에 각별히 신경 써야

 

앞서 영화의 사례에 나온 해커의 목표는 금융자산이다. 오늘날 경제가 돌아가는 모든 금융 프로세스는 컴퓨터를 통해 이뤄진다. 부동산이나 현금은 그 컴퓨터에 저장된 정보가 실물화하는 것이다. 역사적으로 컴퓨터의 위상은 이렇게 바뀌었다.

　

 

금융은 경제의 동맥이다. 전산 장애로 몇 시간만 작동을 멈춰도 막대한 피해가 생긴다. 개인의 삶, 기업 운영, 경제 시스템이 모두 금융 시스템과 밀접하게 연결돼 있다. 금융기관들이 보안에 각별한 신경을 쓰지만 적은 언제 어디서 어떤 형태로 공격을 감행해 올지 알 수 없다.

 

　

기업들의 사이버 보안의식이 바뀌어야 한다. 최근의 사이버 공격은 조직의 작은 취약점을 입체적으로 파고들어 조직 전체에 치명적인 위해를 가한다. 그런 지능성 때문에 특정인이 모든 책임을 질 수 있는 문제가 아니라는 것도 인식해야 한다. 끊임없이 새로운 방어 대책을 연구해서 도입하고, 조직 전체가 잘 훈련돼 있도록 신경 써야 한다. 충분한 투자도 뒤따라야 한다. 최고경영자의 의지와 책임감이 보안 대책의 핵심이다. <Ahn>

 

* 이 칼럼은 2012.04.16 일자 중앙일보에 실린 칼럼입니다