지난 1월 25일의 인터넷 대란은 특정 서버가 아닌 무차별한 대상을 향한 공격이었고, 그 대상에 금융권이라고 예외가 될 수는 없다. 다행히 토요일에 벌어진 사건이라 어느 정도 수습이 되었지만 이번 경우보다 더 가공할 영향력을 가진 공격이 있을 것이라는 경고라고 여기고 대책을 소홀히 해서는 안될 것이다. 이 글에서는 이번 인터넷 대란에서 맹위를 떨친 웜 공격에 대한 효과적인 대응 방향에 대해 말하고자 한다.
어느 분야나 그렇겠지만 특히 금융권에서는 정보보안은 잘해봐야 본전이라는 생각을 하게 마련인데, 오히려 이러한 위협 상황에 대한 사전 대응을 잘하는 것이 이익을 창출하는 기회라고 여기는 역발상이 필요하다고 본다. 고객과 금융기관과의 관계는 신뢰와 안정성이 생명이다. 가뜩이나 금융권에 대한 온라인 범죄가 늘어가고 있는 상황에서, 1.25 인터넷 대란과 같은 사건에서 공격을 막거나 피한 금융기관은 고객으로부터 거래의 신뢰성과 안정성을 획득할 수 있을 것이고, 방어에 실패한 금융기관은 고객과의 관계에서 기회를 잃게 되는 것이다.
이러한 상황에서 정보보안 관리자들은 인터넷으로의 접속이라는 것은 불특정 다수의 공간과 사적 공간이 연결된다는 것을 항상 염두에 두어야 한다. 불특정 다수의 인터넷 공간에서는 늘 새로운 공격방법이 만들어지고 있으며, 그 진원지는 항상 자신의 네트워크와 연결되어 있다는 것이다.
과거에는 1세대 보안 장비라고 할 수 있는 방화벽이 보안 문제를 해결할 수 있을 것 같았지만, 해커나 크래커들은 다양한 방법으로 방화벽을 무력 또는 우회하는 수단을 만들었고, 이에 대응하기 위해 최근에는 2세대 보안 장비인 침입탐지시스템(Intrusion Detection System, IDS)이 등장하였다. 그러나 고도의 전문인력들이 모여있는 정보보안전문업체조차 비정상적이거나 불법적인 침입을 감지하고 이를 차단하는 데에 어려움을 겪는 것이 현실이다. 하물며, 정보보안전문가가 없거나 있더라도 유사시에 대응하기에는 인원이 여의치가 않은 대부분의 기업이나 금융권의 입장에서는 IDS로 공격이나 침입을 감지했다고 하더라도 이에 대응하는 일련의 과정은 한마디로 버스 지나고 손 흔드는 격으로 더디고 정확하지 않을 수 밖에 없다.
이러한 문제에 대응하기 위해 최근의 정보보안 경향은 능동적 대응 또는 실시간 방어라는 개념이 도입되는 추세이다. 즉, 인터넷으로부터 흘러 들어오는 비정상적인 흐름 또는 접속을 감지하고 능동적으로 차단하는 보안 장비에 대한 연구, 개발이 활발히 이루어지고 있으며, 작년부터 네트워크 기반의 침입방지장치(Intrusion Prevent System, IPS)가 등장하기 시작했다.
IPS는 1세대 방화벽, 2세대 IDS에 이어 3세대 보안 솔루션이라고 불리는데, 지능화된 공격 패턴을 감지하여 패킷을 차단시키거나 의심스러운 세션을 종료시키고 공격에 대처하는 기타 조치들을 취하는 등 적극적으로 네트워크를 보호하는 역할을 하기 때문이다. DDoS, 웜, 해킹 공격 등 네트워크에 대한 다양한 공격을 실시간으로 차단할 수 있다.
아래의 그림에서는 네트워크 상에서 IPS를 활용할 수 있는 다양한 구성을 보여주고 있다. 기존의 방화벽처럼 네트워크 트래픽과 동일선 상에 위치하기 때문에 지나가는 모든 패킷의 이상 유무를 검사하는 것이다.
그림 1) IPS 구성 적용도-탑레이어네트웍스 자료 인용
IPS는 알려진 공격 패턴 뿐만 아니라 알려지지 않은 공격 패턴도 감지하여 차단하며, 공격 패턴을 지속적으로 업데이트하여 효과적인 차단이 이루어지도록 한다. IPS가 갖추어야 할 또다른 중요한 능력으로는 탐지 능력의 정확성이 제공되어야 하고, 트래픽을 검사하므로 네트워크나 다른 시스템의 성능에 지장을 주어서는 안된다.
금융권에서 유용하게 활용할 수 있는 또 다른 솔루션은 바이러스 월이 있다. 바이러스 월은 기존의 안티바이러스 소프트웨어 처럼 서버나 PC에 설치하는 것이 아니라, IPS나 방화벽처럼 네트워크 길목에 설치하는 제품이다. 즉, 네트워크 길목에서 웜, 바이러스 혹은 감염된 메일 들을 감지하고 차단한다. 어떤 제품은 SYN attack, 버퍼 오버플로우 같은 해킹 공격을 차단하는 기능도 가지고 있다.
위에서 소개한 기술 및 솔루션은 금융권 정보보안의 유용한 수단 중 하나일 뿐이다. 금융권은 유출되어서는 안 될 기밀 데이터를 가지고 있기 때문에, 그리고 고객 서비스를 위해 무정지 시스템, 무정지 네트워크를 유지할 필요성이 있기 때문에 특히 인터넷을 통한 최신 공격 패턴에 대한 정보를 입수하는데 게을리 말아야 하며, 공격을 막을 수 있는 다양한 방법(서버 패치, 신기술/장비 도입, 통합보안관리, 인력 보강 등)을 준비해야 한다.
소 잃고 외양간 고친다는 속담이 있는데, 일부 전산 관리자들은 ‘설마 내가 소를 도둑맞겠어?’ 하는 생각과 소를 잃고 나서도 ‘설마 또 소를 도둑맞겠어?’ 하는 막연한 확률 게임에 빠져드는 경향이 있다. 확률은 많은 시도가 있으면 높아지는데, 인터넷으로부터의 공격 회수와 확산 속도는 급격하게 많아지고 빨라지고 있다. 그 설마의 확률은 점점 높아지고 있다는 것을 잊지 말아야 한다.
<에프네트> |