2018 9-10월(합본호) 능동적 방어와 ‘보복 해킹’에 관한 입문서 스콧 베리나토(Scott Berinato)

ARTICLE

능동적 방어와보복해킹에 관한 입문서

인터넷상에서 악당들의 공격을 막을 수 없다면 우리가 맞서 싸워야 할까?

스콧 베리나토

 

위 사진: 러프 요새와 같은 요새들은 바다로 옮겨와 물속에 고정시키고 30분 이내에 가동준비를 완전히 갖출 수 있어서, 그 시절 방어공학의 경이로움을 보여줬다.

 

번 패키지 기사의 첫 번째 아티클에서, INL의 앤디 보흐만은 도발적인 아이디어를 내놓았다. 그는 많은 돈을 들여서 기술적 보호 조치를 취한다 해도, 조직의 중요한 시스템의 안전을 담보하거나 해커의 진화 속도를 따라잡을 수 없다고 주장한다. 또 조직의 핵심 정보를 보호하려면, 이른바 사이버 위생의 개념을 벗어날 필요가 있다고 말한다. 사이버 위생에서 말하는 보안 소프트웨어와 네트워크 모니터링 프로세스 배치는 물론 필요한 일이지만, 그것만으로는 부족하기 때문이다.

 

보흐만은 효율화가 안겨주는 혜택에서 눈을 돌려, 효율화가 초래하는 비용에 초점을 맞춘 새로운 프레임워크를 제시한다. 이 프레임워크는 시스템의 인터넷 연결을 끊고, 자동화된 시스템을 과거로 되돌려 놓고, 프로세스에 믿을 만한 인력을 다시 투입하는 등 감히 상상조차 할 수 없었던 발상을 오히려 현명한 조치로 간주한다.

 

이뿐만 아니다. ‘능동적 방어active defense역시 관심을 받고 있다. 능동적 방어라고 하면 언뜻 조지 오웰의 이중화법처럼 들리지만, 실제로 이런 전략이 있다. 수동적 모니터링을 넘어, 조직의 네트워크를 겨냥해 거듭되는 공격을 저지하기 위한 선제적 조치를 수반하는 전략이다.

 

단 문제가 하나 있다. 능동적 방어 전략이 인기를 얻으면서 이 용어의 정의와 원칙이 모호해지고 있다. 특히 능동적 방어가 공격자에게 반격하는보복해킹hacking back과 구분 없이 사용되고 있다. 이 둘은 동의어가 아니다. 윤리, 적법성, 효과 측면에서 중요한 차이가 있는 별개의 용어다.

 

능동적 방어 전략은 모든 기업의 주요 기반시설 보호 계획에 포함돼 있다. 그러나 제대로 이해해야만 전략을 효과적으로 적용할 수 있다. 하지만 이는 생각보다 어려운 일이다.

 

우리는 능동적 방어에 대한 믿을 만한 정의를 제공하고, 그 원칙과 적용 방법의 기초 이해를 돕기 위해 이 문제에 관한 최고전문가 두 명에게 도움을 요청했다.

 

도로시 데닝Dorothy Denning은 미국의 국가사이버보안 명예의 전당 초대 헌액자 중 하나다. 미국컴퓨터학회 펠로이자 해군대학원 교수인 데닝은, <Information Warfare and Security> 등 사이버 보안과 관련한 책을 여러 권 썼다. 공동 필자로 참여한 기념비적인 능동적 방어 관련 논문에서 데닝은제대로 이해한다면 능동적 방어가 공격적이거나 꼭 위험한 것만은 아니라는 사실을 알게 된다라고 밝힌 바 있다.

 

로버트 M. Robert M. Lee는 산업보안업체 드라고스Dragos의 공동창업자다. 리는 2011~2015년에 미 국가안보국과 사이버사령부의 사이버 작전을 수행했다. 2017 10월 드라고스는 산업안전시스템을 표적으로 삼은 멀웨어, 즉 사람들을 보호할 목적으로 만들어진 시스템을 손상시키거나 파괴하는 것만을 목표로 하는 악성 소프트웨어를 처음으로 밝혀냈다.(이 멀웨어는 같은해 8월 사우디아라비아의 한 석유화학공장을 공격할 때 사용됐지만, 공격은 실패로 끝났다.) 능동적 방어에 관해 묻자 리는 한숨을 내쉬며 심드렁하게 말했다. “당신은 능동적 방어의 정의가 뭐라고 생각하나요?” 그가 이런 대화를 한두 번 해본 게 아님이 분명했다. 리는 이 용어를 제멋대로 사용하는 사람들에게 진저리가 난 듯했고, 이 개념의 정의를 명확하게 알릴 수 있는 기회를 반가워했다.

 

자주 묻는 질문(FAQ) 형식으로 된 아래 글은 두 사람과의 인터뷰 내용을 바탕으로 작성했다.

 

능동적 사이버 방어active cyber defense라고도 하는능동적 방어가 정확히 무엇인가?

이 질문을 누구에게 하느냐에 따라 답은 달라진다. 능동적 방어라는 용어는 인용되는 횟수만큼이나 다양한 의미로 쓰이고 있다. 북대서양조약기구(NATO)는 능동적 방어를사이버 침입, 사이버 공격, 또는 임박한 사이버 작전에 관한 정보를 탐색하거나 입수하기 위한 사전 조치, 또는 특정 작전의 근원을 밝혀 내기 위한 사전 조치를 말하며, 침입 경로에 대한 선제적 대응작전, 예방적 대응작전 또는 사이버 대응작전 활동을 수반함이라고 정의하고 있다.

 

믿을 만한 실질적 정의는 데닝이 브래들리 J. 스트로저Bradley J. Strawser와 함께 쓴 논문 ‘Active Cyber Defense: Applying Air Defense to the Cyber Domain’에 나와 있다. 이에 따르면능동적 사이버 방어는 아군과 아군의 자산에 대한 사이버 위협의 효과를 없애거나, 무효화하거나, 낮추기 위해 취하는 직접적인 방어 조치를 말한다.

 

얼핏 공격을 이르는 용어처럼 들리지만, 리와 데닝은 능동적 방어가 침입을 탐지했을 때 이에 대한 대응으로 취하는 순전히 방어적인 조치라고 말한다. 리는 누군가가 행정구역, 네트워크 경계 등을 넘어 당신의 공간으로 들어왔을 때 능동적 방어가 성립한다고 주장한다. 그러나 데닝은 이것이 지나치게 단순화된 설명이라고 말한다. 뒤에서 우리는 이런 구분이 모호해지는 사례를 하나 살펴볼 것이다. 리는 이렇게 말한다. “전문가 대부분이 잘 아는 사실이지만, 그래도 반드시 짚고 넘어갈 필요가 있습니다. 특히 일반 대중을 위해서라면 말이죠. 당신의 구역으로 넘어온 악의적 이용자에 대해 당신은 적극적 조치를 취할 준비가 돼 있습니다. 타인의 구역을 향해 미사일을 쏘는 행위는 공격입니다. 미사일이 날아오는 것을 모니터링하는 행위는 수동적 방어입니다. 당신의 영공으로 넘어 온 미사일을 격추시키는 행위는 능동적 방어입니다.”

 

다른 예를 들어줄 수 있는가?

“침입 활동을 모니터링 및 감지하고, 침입이 발생하면 침입 경로와 네트워크의 연결을 차단하고, 시스템 관리자에게 위험을 알리도록 대응하는 시스템도 능동적 사이버 방어 조치 중 하나라고 할 수 있습니다. 디도스 공격에 사용된 봇넷을 찾아내 정지시키는 조치를 예로 들 수 있습니다.” 데닝의 말이다. ‘대응하다respond정지시키다shut down라는 동사가 사용된다는 점에서 이런 경우도 능동적 방어라고 볼 수 있다. 반면에 교신 내용이나 저장된 데이터를 스파이와 도둑이 사용할 수 없게 만드는 암호화 시스템은 수동적 방어에 속한다.

 

능동적 방어는 정보 보안의 의미로만 사용되나?

그렇지 않다. 능동적 방어가 <손자병법>에 나와 있다고 말하는 이들도 있다. <손자병법>의 저자 손무는이길 수 없는 자는 지키고, 이길 수 있는 자는 공격한다라고 썼다. 그로부터 몇 세기가 흐른 뒤 마오쩌둥은적극적 방어만이 진정한 방어라면서 능동적 방어와 적의 공격력을 무력화시키는 것을 동일시했다. 능동적 사이버 방어보다 훨씬 공격적인 전술이다. 능동적 방어라는 용어는 냉전시대에도 사용됐으며, 데닝과 스트로저의 논문에서 분명히 밝히고 있듯이 대공 미사일 방어의 핵심 개념이기도 하다. 전술은 전술일 뿐이다. 단지 그 전술을 어디에 적용하느냐에 따라 달라진다.

 

그리 복잡한 개념이 아니다. 그렇다면 능동적 방어라는 용어가 불분명한 뜻으로 쓰이고 있는 이유는 무엇인가?

앞서도 언급했지만 보복해킹과 혼동돼 쓰이기 때문이다. 보복해킹도 능동적 방어와 마찬가지로 그리 새로운 용어는 아니다. 보복해킹은 본래 공격자의 영역을 공격하는 활동을 말한다. 하지만 사람들이 보복해킹과 능동적 방어를 자주 구분 없이 사용하면서 능동적 방어의 장점을 두고 껄끄럽고 답답하기까지 한 논란이 있었다. 심지어 어떤 연구논문은때로는능동적 방어로도 불리는 보복해킹은…”이라며 두 용어를 동일하게 취급하기까지 한다.

 

이런 혼동은 2017 10월 톰 그레이브스Tom Graves조지아 주 공화당 하원의원과 커스틴 시네마Kyrsten Sinema애리조나 주 민주당 하원의원이 제출한 능동적 사이버 방어 확실성 법안Active Cyber Defense Certainty·ACDC bill으로 인해 더욱 심화됐다. ACDC법안은 기업들이 상황에 따라 승인 없이 다른 이들의 컴퓨터에 접근해 공격을 방해할 수 있도록 허용하는 내용을 담고 있다. 두 의원은 이 방법을 능동적 방어라고 불렀다. 그리고 대중매체는 ACDC법안을보복해킹 법안이라고 명명했다. 이 법안이 무엇을 허용하고 무엇을 허용하지 말아야 하는지를 놓고 뜨거운 논쟁이 벌어졌다.

기업이 타인의 감염된 컴퓨터에 접근하도록 한다는 발상은 그리 환영받지 못했다. 맹렬히 비난하는 이들도 있었다. 다국적 기술블로그 네트워크인 엔가젯Engadget번드르르하고 교만한법안이라고 묘사하며 이렇게 평했다. “‘당한 만큼 되갚아준다는 유치한 발상에 기초해 해킹 관련 법안을 만든다면 보안은 훨씬 더 약화될 것이다. 이는 마치 갱단 간의 싸움을 통해 이득을 얻으려는 시도와 같다.” ACDC법안은 두 차례에 걸쳐 수정됐고, 현재는 계류 중이다.

 

그런데 보복해킹도 능동적 방어에 포함되지 않는가?

그렇지 않다. 리는보복해킹은 결코 능동적 방어가 아닙니다. 아마 합법적이지도, 효과적이지도 않을 겁니다. 보복해킹이 효과가 있다는 증거는 어디에도 없습니다라고 분명히 말한다. 데닝의 의견은 약간 다르다. “보복해킹은 능동적 방어의 한 형태에 불과합니다. 보복해킹은 침입 경로에 대한 정보를 수집해서 누구의 소행인지 밝혀내거나, 어떤 데이터가 도난당했는지 알아내는 데 쓰일 수 있을 겁니다. 공격자의 신원이 밝혀지면 사법당국이 기소할 수 있을지도 모릅니다. 도난당한 데이터가 침입자의 시스템에서 발견되면, 그 데이터를 삭제할 수도 있겠죠. 보복해킹은 공격을 가하는 시스템을 무력화하거나 정지시켜서 추가 피해를 막는 데도 쓰일 수 있습니다.”

 

그런데 리와 데닝은 보복해킹이라는 용어를 다르게 정의하고 있다. 데닝이 말하는 보복해킹은 정부기관의 정식 인가를 받아 실시하는 활동이다. 기업이 수행하는 보복해킹에 대해서는 리와 데닝 모두 입을 모아 반대한다.

데닝은 이렇게 말한다. “기업은 절대 보복해킹을 해서는 안됩니다. 미 법무부는 사이버 공격 피해자들에게침입 혹은 공격에 관여했을 것으로 보이는 시스템에 접근하거나, 그 시스템을 훼손 혹은 손상시키려는 시도를 절대 하지 말도록 권고하고 있습니다. ‘이런 활동이 미국 국내법과 외국법 중 어느 하나에라도 위배될 경우 민형사상의 책임을 지게 될 수도 있기 때문입니다.”

 

누군가는 보복해킹으로 간주할 수도 있는 공격적 형태의 능동적 방어에는 어떤 것이 있을까?

데닝은 말한다. “제가 좋아하는 능동적 방어 사례 중 하나는, 조지아 정부 컴퓨터에 악성코드를 심은 러시아 해커가 발각된 일입니다. 해커의 멀웨어가 ‘USA’ ‘NATO’ 같은 키워드를 검색해서 특정 문서를 찾아낸 다음, 해커의 드롭 서버에 업로드 했습니다. 그러자 조지아 정부는 이미 공격을 받은 시스템 한 곳에조지아-NATO 합의Georgian-NATO Agreement라는 제목의 파일을 만들고 거기에 스파이웨어를 심었습니다. 해커의 멀웨어는 착실하게 그 파일을 찾아내 드롭 서버에 업로드했고, 해커는 그 파일을 다시 자신의 컴퓨터에 다운로드 했습니다. 파일에 포함된 스파이웨어는 해커의 웹캠을 작동시키고, 해킹에 사용된 파일과 함께 해커의 얼굴을 찍은 사진을 조지아 정부로 전송했습니다.

 

이게 보복해킹에 해당할까요? 저는 그렇게 생각하지 않습니다. 누군가가 해커의 컴퓨터에 침입해 스파이웨어를 설치한 게 아니라, 해커 자신이 만든 악성코드와 자신이 저지른 행위로 인해 스파이웨어가 설치됐기 때문이죠.”

 

여기서 국가 정부가 자기국경안에서 실행한 조치라는 점에 주목해야 한다. 조지아

정부는 정부 컴퓨터에 스파이웨어를 심었다.

네트워크 경계를 넘어 다른 시스템을 공격하지는 않았다. 해커가 불법적으로 그 파일을

빼냈기 때문에 신원이 발각된 것이다.

 

보복해킹이 불법적이고 효과가 없는데도 이렇게 많은 관심을 받는 이유는 무엇인가?

기업들이 피로에 시달리고 있기 때문이다. 리는 말한다. “기업들은 끊임없이 공격받고 있습니다. 해커의 수준을 따라잡기 위해 부단히 노력하고 많은 돈을 쏟아 붓고 있지만, 절대로 그들을 따라잡을 수 없었죠. 그래서 지금 우리는 새로운 아이디어를 간절히 원하고 있습니다. 시스템의 인터넷 연결을 끊어버리는, 최고로 효율적인 솔루션과는 거리가 먼 보흐만의 방법에 사람들이 관심을 갖는 이유도 여기에 있습니다. 보복해킹 역시 난국을 타개할 또다른 방법처럼 느껴질 수 있습니다. 사이버 보안은 묘책을 선호하고, 보복해킹이 바로 그 묘책처럼 보이죠. CEO들도 아마어떤 방법도 소용이 없으니 차라리 맞서 싸우자고 생각할 겁니다.” 이런 감정을 토로하는 기업 리더들이 아주 많다. 실제로 공격을 받아 큰 피해를 입은 기업의 리더들이 특히 더하다. “이건 감정적 이슈입니다.” 리는 말한다. “모욕당한 기분이 들죠. 그래서 무슨 조치라도 취해 보려는 거고요.”

 

캘리포니아 폴리테크닉주립대의 패트릭 린Patrick Lin ‘Ethics of Hacking Back’이라는 논문에서, 속수무책이라는 취약감 때문에 일부에서 사적 정의 구현을 갈망하게 되는 현실을 잘 포착하고 있다.

 

사이버 보안에 관해서는 약간의 무력감이 존재한다. 거의 당신 혼자서 해야 하는 일이기 때문이다. 많은 경우에 당신은 당신의 정보통신 기술을 지키는 제1방어선이자 최후방어선이다. 사이버 공간에는 국가가 보호하는 국경, 지역순찰대, 그 밖의 공공 보호장치라고 할 만한 것이 없다.

 

예를 들어 당신의 컴퓨터가랜섬웨어의 공격을 받아 약탈자에게 금전을 지급하지 않으면 시스템에 접근할 수 없게 된다 하더라도, 사법당국은 달리 도움을 줄 수 없을 것이다. FBI가 제시하는 해결책은 다음과 같다. “솔직히 FBI는 해커에게 돈을 주라고 자주 조언합니다.” FBI 사이버 및 대정보활동 프로그램의 조지프 보나볼론타 특수요원 책임보좌관의 말이다.

 

디지털 기병대가 당신을 구하러 때맞춰 도착하는 일은 없을 것이다. 온라인 세계의 시간은 디지털 속도로 흐르기 때문에, 사이버 공격을 예방, 기소, 혹은 저지하는 등의 조치를 취하기에는 사법당국과 국가의 움직임이 너무 느리다. 물론 실제로 기소가 이뤄지는 경우도 있지만 늘 그렇지는 않으며, 진행속도도 더디다. 헤드라인을 장식하는 주요 사건들 가운데 정부당국이 누구의 소행인지 자신 있게 말한 것도 제대로 해결되는 경우는 눈에 띄게 드물다.

보복해킹의 윤리란 무엇인가?

전문가들은 대개 법적 허가나 정부와의 공조 없이 실행하는 보복해킹은 윤리에 어긋난다고 말한다. 그리고 당신의 관할 경계를 벗어난 곳에서 실시한 보복해킹 활동은 쉽게 용서받을 수 없다. 보복해킹의 표적은 포착하기가 아주 어렵다. 네트워크는 너무 복잡해서 해킹과 무관한 시스템과도 얽혀 있고, 그와 관련된 사람들에게도 영향을 끼친다. 게다가 만일 정부기관이 해커들을 추적하면서 이들의 활동을 저지하기 위한 작전을 이미 실행 중이라면,

보복해킹이 그 작전을 방해하는 결과를 가져올 수도 있다. 리는 말한다. “이런 문제는 프로에게 맡기세요.”

 

데닝은 의도하지 않은 폐해가 단지 가능성에 머물지 않고 실제 높은 확률로 나타날 수 있다는 점을 강조한다. “다른 사람의 컴퓨터를 망치려고 들 때 가장 큰 리스크가 따릅니다. 많은 사이버 공격이 과거 같은 공격자에게 공격받았던 기계들을 통해 개시됩니다. 이런 컴퓨터는 병원, 발전소 등 어디에 있을지 모릅니다. 따라서 이들 컴퓨터를 중지시키거나 고장 내는 일은 하지 않는 편이 좋습니다.”

 

윤리와 관련해서 현재 어떤 노력이 진행되고 있나?

 

데닝에 따르면 연구자들은 2006년부터 일찍이 이 문제와 씨름해 왔다. 데닝은 자신이 참가했던 한 워크숍에 대해 이야기하며 이렇게 말했다. “공격의 근원을 알아내기 위해 해커에게 공격받은 기계를 역으로 추적하는 방법을 논의했던 기억이 납니다. 역추적을 하려면 공격받았던 기계에 접근해야 하는데, 이런 기계를 가진 사람이 협조할 의향이 없거나 그들을 신뢰할 수 없는 경우에는 몰래 침투해서 로그를 빼내야 합니다.”

 

그로부터 10년이 지난 뒤 데닝은 스트로저와 함께 방공(防空) 및 전면전 원칙의 윤리를 지침으로 삼아 대대적인 능동적 방어에 관한 도덕적 문제를 연구했다. 두 사람은비전투원non-combatants에게 피해를 가하는 행위, 특히 물리적 피해를 가하는 행위는 결코 능동적 방어 전략이라 볼 수 없다고 썼다. 그러나비전투원의 소유물에 가하는 일시적 피해는 경우에 따라 도덕적으로 허용된다고 말한다.(, 데닝의 일차적 관심이 정부의 능동적 사이버 방어 전략이라는 점에 유의해야 한다.) 데닝은 컴퓨터 수백만 대를 감염시키고 봇넷으로 이용된 멀웨어 코어플러드Coreflood를 퇴치한 사례를 이야기한다. 미 법무부는 이 봇넷의 명령·제어 서버를 압수하기 위한 승인을 얻었다. 그런 다음 봇이 명령을 받기 위해 서버에 접속했을 때작동 중지명령을 내렸다. 다른 비슷한 사례들처럼 코어플러드의 경우에도 감염된 시스템을 손상시키거나, 시스템의 정보에 접속하지 않고도 주요 악성코드를 중지시킬 수 있는 작전이었기 때문에 판사의 승인을 받아냈다.

 

“단순히 봇 코드의 작동을 멈추는 작전이었죠. 다른 기능에는 전혀 영향을 미치지 않았고, 감염된 컴퓨터들도 계속 정상 작동했습니다.” 데닝은 말한다. “심각한 피해는커녕 어떠한 피해도 입힐 염려가 없었죠.”

 

하지만 이 사례가 ACDC법안처럼 더 공격적인 조치를 뒷받침하는 선례가 됐을지도 모른다. 정부가 명령·제어 서버를 제어할 수 있다면, 봇에게 작동을 중지하라는 명령 이상의 일을 시키는 것도 이론상으로는 가능하다. 서버를 제어할 수 있게 된 마당에 로그파일을 빼내는 것도 가능하지 않을까? 아니면 조지아-NATO 사례처럼 웹캠을 켤 수도 있지 않을까? 어떤 능동적 방어 전략이든 간에 관리·감독은 반드시 필요하다.

 

윤리적이고 효과적인 능동적 방어 전략을 실행하려면 어떻게 해야 하나?

디도스 공격을 막고 로그를 생성해줄 수 있는 서비스를 받고 있거나 구독 중이라면, 이미 능동적 방어 전략을 취하고 있다고 봐도 무방하다. 많은 기업이 생각보다 많은 능동적 방어 조치를 취하고 있다고 데닝은 말한다. “기업들은 능동적 방어라고 부르지 않을지도 모르지만, 명칭보다는 실제로 무엇을 하는지가 더 중요하겠죠.”

 

사법당국과의 공조, 해킹 공격에 맞서 싸우는 기업 및 조직의 국제 네트워크와의 공조도 능동적 방어 전략에 속한다고 할 수 있다. 기업과 정부 조직의 공조가 강화될수록 코어플러드 퇴치 작전 같은 능동적 방어 전략을 아무런 피해 없이 실행할 수 있는 가능성이 커진다.

별다른 문제없이 성공적으로 수행된 작전이 실제로도 많다.

 

데닝은 로저 A. 그라임스Roger A. Grimes의 책 <A Data-Driven Computer Security Defense: THE Computer Security Defense You Should Be Using>을 추천한다. 참고로 밝혀 두자면, 책의 서문인하지만 정말 좋은 책!(But the book really is good!)”을 쓴 사람이 바로 데닝이다.

 

ACDC법안이 제안한 것처럼 더 공격적인 전술을 적용할 때는 각별히 주의해야 한다.

사법당국을 비롯한 정부기관과 공조하고,

어떤 리스크가 뒤따르는지 제대로 이해해야 한다. “리스크가 가장 중요한 문제입니다.

기업들은 위협과 취약점을 잘 숙지하고, 보안 사건이 자기 회사와 고객, 파트너사에 끼칠 영향을 제대로 이해해야 합니다. 그런 다음 비용 효율적인 보안 방어조치를 선택해야 합니다. 수동적 방어조치와 능동적 방어조치를 모두 고려해야 합니다.” 데닝의 말이다. 더불어 한계를 설정해야 한다고도 당부한다. “보안 조치는 끝이 없습니다. 하면 할수록 더 해야 할 것들이 보이죠. 하지만 올바른 조치, 효과를 낼 조치를 잘 선택하는 일이 무엇보다 중요합니다.”

 

스콧 베리나토(Scott Berinato) HRB의 선임편집자다.

 

페이스북 트위터

2018 9-10월(합본호) 다른 아티클 보기

목록보기

무료 열람 가능 아티클 수 0/1 회원가입 | 서비스상품안내