지능형 타깃공격(APT)을 근본적으로 막을 수 있는 ‘인아웃(In-Out)’ 관제 방식 도입이 시급하다. APT 공격으로 3500만 회원정보가 유출된 SK커뮤니케이션즈 해킹사고는 사내에서 외부로 나가는 트래픽만 제대로 관제해도 충분히 막을 수 있었기 때문이다.
24일 보안 관련 전문가에 따르면 외부에서 사내로 들어오는 트래픽만을 관제하는 현행 보안관제 방식에서 벗어나 사내에서 외부로 나가는 비정상적인 트래픽까지 통제하는 ‘인아웃’ 관제 방식 도입이 필요한 것으로 지적됐다.
특정 기업을 타깃으로 한 이번 SK커뮤니케이션즈 해킹사고에서 나타났듯이 하루에 수십기가바이트의 데이터가 유출된 상황에서도 관제시스템은 이를 전혀 감지하지 못했다. 이는 관행적으로 인바운드 트래픽만을 관제하는 기업 보안관제 시스템의 허점을 드러낸 사고다.
이메일, 주소, 암호화된 비밀번호, 혈액형 등 SK커뮤니케이션즈에서 유출된 개인정보는 1인당 2.5킬로바이트 분량으로 추산된다. 3500만명분은 약 87.5GB에 해당한다. 이틀에 걸쳐 이들 정보가 유출됐다면 하루에 약 44GB 데이터가 빠져나간 셈이다.
권석철 큐브피아 사장은 “경찰 수사발표대로라면 지난달 26~27일 양일에 걸쳐 이 정보가 빠져나갔고 하루에 44GB가량의 대용량 데이터가 유출된 셈”이라며 “이를 전혀 알아차리지 못했다는 것은 보안관제의 허점을 드러낸 것”이라고 말했다.
이에 대해 SK커뮤니케이션즈 보안관제를 담당했던 안철수연구소는 “통상 보안관제 대상은 들어오는 이상 트래픽일뿐 기업에서 나가는 트래픽은 관제 대상이 아니다”며 “SK커뮤니케이션즈와도 기업 외부로 전송되는 트래픽은 관제하지 않기로 계약했다”고 설명했다. 또 “87.5GB 정도는 SK커뮤니케이션즈 입장에서 본다면 대형 데이터라 할 수 없는 수준”이라고 덧붙였다.
하지만 관련 전문가들은 “몇개 IP에서 이처럼 대형 트래픽이 유출됐다면 의심을 가지고 조사했어야 한다”고 지적했다. 정석화 경찰청 사이버수사대 실장은 “대부분 보안시스템은 외부로부터 공격을 방어하는 것이 일반적이기 때문에 바깥으로 나가는 트래픽은 정상적일 것이라 믿고 방치한다”며 “과거 옥션 해킹부터 최근의 농협, SK커뮤니케이션즈 등의 사례 모두가 이 때문에 빚어진 사고”라고 말했다.
염흥렬 한국정보보호학회장은 “최근 사이버테러 공격은 특정 기관·기업을 겨냥한 APT 성격을 띠고 있어 더욱 위험하기 때문에 피해를 막을 수 있는 인아웃 방어체계 도입과 더불어 다계층적인 방어능력을 갖춰야 한다”고 말했다. 보안관제 방식 변화 없이는 변화무쌍하고 지능화하는 사이버 위협에 대처하기 어렵다는 지적이다.
김승주 고려대학교 정보보호대학원 교수는 “단순히 보안 솔루션과 장비만을 믿을 것이 아니라 내외부를 포함한 보안관제, 보안인식 교육, 침해사고 대응 프로세스 수립 등 사전적인 예방이 이뤄져야 한다”며 “사고 발생 후에도 명확한 원인 규명을 위해 미리 디지털포렌식을 적용해 두는 것이 좋다”고 강조했다.
장윤정기자 linda@etnews.com