18 October 2024
안녕하세요. 인텔렉추얼데이터입니다.
Web 3.0 보안 프로젝트 CertiK(서틱)은 「Hack3d: 2024년 1분기 Web3.0 보안 보고서」에서 지난 1분기동안 약 5억 달러 이상의 경제적 손실이 발생했다고 밝혔습니다. 전년 동기 대비 54% 이상 증가한 값인데요.
개인 키 유출 사례가 다시금 주요 공격 수단으로 드러나면서 블록체인의 보안도 체인을 생성하는 합의 알고리즘에서의 무결성은 보장될 수 있을 가능성이 있다 해도, 개인 키가 유출되면서 생기는 문제는 해결할 수 없다는 것을 잘 드러냈습니다. 특히 스마트컨트랙트(Smart Contract)를 활용하며 다양한 활동을 하는 이더리움 체인에서 131건의 보안 사고가 발생했는데요.
여기서만 약 1.39억 달러의 손실이 발생했습니다. 스마트컨트랙트를 비롯한 블록체인 거래 활성화 시에 개인 키가 사용되는 것에서 위험에 많이 노출되면 그만큼 사고가 날 가능성이 높아진다는 것을 손쉽게 짐작할 수 있습니다.
보안훈련을 통해 밝혀지는 취약점
가장 보안이 강력하다 하고 복잡한 암호를 사용하는 블록체인 업계에서도 이런 문제가 터지는데, 다른 업계에서도 보안사고가 터지지 않을 리가 없습니다. 이런 사고를 막기 위해 암호를 다양하게 바꾸기도 하고, 엔드포인트 솔루션을 도입해서 유출을 사전에 차단하기도 하지만 가장 선제적으로 수행할 수 있는 것은 취약점을 사전에 막고 이상행동을 탐지할 수 있는 보안훈련인데요.
미국 CISA(Cybersecurity and Infrastructure Security Agency, 사이버보안 및 인프라 보안국)에서는 사이버 스톰(Cyber Storm)이라는 훈련을 준비하고 있습니다. 이 훈련은 매 2년마다 실시되는데, 지난 훈련 강평 과정에서 발견된 문제는 "다양한 관계자들이 계획에 포함된 조치와 프로세스를 완전히 이해하지 못하는 경우가 많다는 것"이었습니다.
시스템 규모와 성능 향상으로 인한 해킹 탐지의 어려움
보안 사고는 가장 취약한 고리를 타고 들어옵니다. 바로 이 말이 가장 잘 들어맞는 강평이 아닐 수 없는데요. 현대 IT 시스템은 굉장히 복잡하고, 연계된 솔루션들도 많으며, 담당자라 하더라도 이를 완벽하게 파악하지 못하는 일이 많습니다.
게다가 전체적으로 시스템 성능이 향상되고 규모가 매우 커지다보니 시스템 한 구석에서 발생하는 브루트 포스 공격이나 레이스 컨디션 공격 같은건 의외로 전체 시스템 성능에 영향을 크게 주지 못하여 파악하기 힘든 경우도 많습니다.
거기다 해킹 역시 굉장히 단시간에 일어납니다. 작년 1월 카카오 개발자 커뮤니티에서 오픈채팅 보안 취약점이 경고된 적 있는데요. 실제 이 취약점을 이용한 모의 공격에서 오픈채팅방에 접근한 해커가 단 2시간만에 해당 닉네임과 연결된 전화번호, 실명, 숫자로 구성된 유저 아이디 등 개인정보를 정확히 추출해낸 적도 있었습니다.
문제는 이것 역시 파악이 힘들다는 겁니다. 전자신문에서 시행했던 이 모의 공격에서 개인정보가 유출된 오픈카톡방을 특정해서 전달 했었으나 다음카카오측에서는 접근 흔적을 알아내는 데 40시간 이상 소요되기도 했었죠. 개설된 오픈채팅방이 너무 많아서 이상 접근에 대한 실시간 모니터링이 불가능하기 때문입니다.
오픈소스와 상호 연계 시스템을 파고드는 해킹 공격
굉장히 극단적인 사례로 얼마 전에 있었던 XZ 오픈소스에 대한 공격 사건을 들 수 있습니다. 이 사건은 마이크로소프트 엔지니어가 평소 SSH 접속에 걸리는 시간이 0.299초인데 0.807초 걸리는 것을 확인하고 조사해서 발견되었는데요.
이 사건은 무려 3년간 준비된 공격이었고 유닉스 계통 시스템에서 거의 표준으로 사용되고 있었다는 점에서 더욱 문제였습니다. 특히 XZ와 같이 믿을 수 있고 널리 사용되는 오픈소스에 의도적으로 접근해 다른 개발자들처럼 애정과 열정을 수년 간 보이며 신뢰를 쌓아오며 메인테이너(Maintainer) 계정까지 획득한 개발자가 몰래 백도어를 심었다는데서 더욱 큰 문제가 되었습니다.
문제는 대부분의 OS, 보안 솔루션, 각종 비지니스 솔루션 역시 오픈소스에 크게 의존하고 있다는건데요. 이러다보니 각 시스템의 연계, 사용 중이던 시스템과 솔루션에 대한 분석, 가장 취약한 고리를 분석하는 과정이 중요하고 보안 훈련을 꾸준히 수행하는 것이 필요해지는 이유입니다.
보안인증 만큼이나 중요한 지속적 보안관리
한번 ISO-27001과 같은 보안 인증을 받았다고 해서 그것이 끝이 아니라, 지속적인 탐지와 감시, 취약점 사례에 대한 분석과 보안 패치 등이 필요한겁니다. 무엇보다 보안 이슈에 늘 관심을 가지고, 최신화된 보안 사고에 귀를 기울이며, 시스템 간 연결되는 취약점을 최소화할 수 있는 사람이 필요해지고 있어요.
2023년 이데일리에서는 정부가 ‘사이버보안 10만 인재 양성’ 사업을 추진하고 있지만 업계 반응은 떨떠름하다고 했습니다. 기사에서는 지니언스시큐리티센터(GSC)센터장의 발언을 인용, "우리나라는 워낙 공격을 많이 받는 입장이다 보니 방어 기술을 익힌 전문인력에 대한 수요가 크다. 이 같은 인력들을 현장에서 구하기도 어렵고, 정부 교육을 수료한 인력들 또한 화이트 해킹이나 취약점 분석 쪽에 치우쳐져 있다는 지적도 많다"고 했는데요.
순천향대학교 염흥열 교수는 "보안인력의 부족은 우리나라만의 문제가 아니며 전 세계적 차원의 문제이고, 앞으로 더 심화될 것"이라 언급한 바 있습니다.
꾸준히 최신화된 보안 훈련을 이수하고, 전문화된 인력을 통해, 지속적인 탐지를 하고, 사고에 대한 대비를 하는 것이 정보보호 관리체계 유지의 필수불가결한 요소입니다. 소송 정보, 아니 소송 자체가 갖는 민감성이 더욱 심화되는 지금, 기업 보안 제고를 위한 선택이 더욱 중요해지는 시점입니다. 전문화된 인력과 믿을 수 있는 사건 담당자들이 체계화된 업무 프로세스를 통해 다양한 공격을 성공적으로 방어하고, 취약점 대비 보안 훈련을 매년 이수하며, 고객들의 정보를 안전하게 관리하기 위해 노력하는 업체가 E-Discovery에도 필요해지는 상황입니다.
인텔렉추얼데이터는 E-Discovery 대표 기업으로써 데이터 보안의 중요성을 인지하고 보안 전문 인력의 배치와 지속적인 사내 보안 교육, 각종 취약점 공격을 대비한 정기적인 훈련을 수행하고 있습니다. 소송과 관련된 기업의 중요 데이터도 안심하고 맡길 수 있는 E-Discovery가 필요하시다면 지금 인텔렉추얼데이터의 전문 컨설팅을 받아보세요.