"해킹 공격자의 기술을 이해하는 전문가의 조언이 필요하다"

구글 클라우드 시큐리티 아키텍트 강량호

김승준(음주도치) 2023-06-28 10:50:21

"우리는 일반적으로 우리가 무엇을 모르는지 몰라요. 뭐가 취약점인지도, 뭐가 문제인지도 몰라요. 그런데 공격자들은 알고 있어요."

지난 주말 <디아블로 4> 유저들은 디도스 공격으로 서버 접속에 어려움을 겪었다. 디도스 공격을 포함한 해킹은 게임에 치명적인 피해를 남기기도 한다. 강량호 구글 클라우드 시큐리티 아키텍트는 '우리 회사는 해커에게 어떻게 보일까'라는 주제로 강연을 진행했다. /디스이즈게임 김승준 기자

(출처: 구글)

# 해커들은 어떻게 움직이는가?

보안 분야에서 16년의 경력을 가지고 있다는 강량호 아키텍트는 과거 현업에서 보안 담당자로 있던 당시, 자신도 보안과 관련된 귀찮은 숙제를 드리고 요구를 많이 했던 입장이었다고 밝히며 강연을 시작했다.

"1960년대에는 중절모를 쓰고 적진에 집입해서 파괴 공작을 벌이던 007과 같은 요원들이 있었다면, 2023년 현재에는 컴퓨터로 침입하고 정보를 유출하는 시대"라고 말하며, 그는 "해킹이라는 것은 유출과 파괴 공작을 하는 악의적인 활동"이라고 했다. 책만 봐도 누구나 다 할 수 있는 게 해킹이고, 막는 기법도 기술도 다 있지만, 중요한 점은 "해커는 개인이 아니라는 것"이다.

"CTA(Cyber Threat Actor)는 컴퓨터, 기기, 시스템 또는 네트워크를 사용하여 적대적 행동 및 해를 입히려는 의도로 특징지어지는 프로세스의 참여자"라며 이들이 어떤 역할을 나눠서 수행하는지 소개했다. 해킹 팀은 소프트웨어의 취약점을 찾는 리서처, 운영 도구를 만드는 소프트웨어 엔지니어, VPS(Virtual Private Server) 및 인프라를 담당하는 인프라 관리자, 트래픽을 검사하고 데이터를 조사하는 애널리스트 그리고 이들을 이끌며 해킹을 실행하는 오퍼레이터로 구성된다. 즉, 최소 5개 이상의 역할이 필요한 것이다.

파악된 수준에서만 전 세계에 5,000개 이상의 해커 그룹이 움직이고 있다고 한다.

해커는 개인이 아니다. (출처: 구글)

# 해커들의 공격을 막지 못한다면?

해커의 공격에 당하면 해적 서버가 어딘가에 구축되는 피해부터, 소스 코드가 유출되는 등 서비스가 멈추는 것만큼 금전적 피해가 있을 수 있다. 깃허브 계정이 유출되고, 개인정보가 새어나가고, PC가 해킹되면 누구나 다 피해를 입을 수 있다.

소스 코드나 개인정보가 유출되면 누군가는 책임을 져야 한다. 기술적 관리적 조치를 하지 않아 유출된 경우에는 그 법인 또는 개인에게도 해당 조문의 벌금형을 과한다. 누군가는 퇴직을 하게 될 수도 있고, 벌금을 내거나 유치장에 가게 될 수도 있다. 그만큼 보안은 중요하다.

그렇다면 해커들은 어떤 방법으로 우리를 위협하고 있을까? 작년에 가장 많았던 유형은 취약점(exploit)을 노린 것이었다고 한다. 해킹 목적 중 가장 많았던 사례는 데이터 도용이었다. 보안 전문가들이 버전 업을 해라, 취약점 패치를 해라 요구를 하는 것이 이런 이유 때문이라고 한다.

취약점을 노린 해킹, 데이터 도용을 목적으로 한 해킹이 가장 많았다. (출처: 구글)

# 결국 공격자의 기술을 이해해야 한다

공격 표면 관리(Attack Surface Management)라는 말이 있다. 조직의 공격 표면을 시각화하고 우선 순위를 지정할 새로운 방법이 필요하다는 것이다. 공격자 입장에서 우리를 스캐닝해 취약점을 알아내야 한다.

강량호 아키텍트는 구글 클라우드 시큐리티 서비스를 활용해 국내 매출 1, 2, 3등 3사의 대표 도메인 3개를 넣어 간단한 테스트를 시행했다. 그 결과, 인프라 자산이 10,000개 이상, 보안적인 조치사항이 필요한 이슈가 6,478개 발견됐다.

자산 기준, API 엔드포인트에 접근할 수 있는 게 561개 식별됐는데, 인증 체계가 제대로 마련되어 있지 않다면 바로 접근 가능한 상태였다. 소프트웨어는 톰캣 6.0.35버전이었는데, 이는 약 10년 전 버전이라고 한다. 이 안에서는 27개의 CVE(Common Vulnerabilities and Exposure)가 발견됐다.

이런 공격을 막기 위해서는 공격자의 기술을 이해하는 전문가의 조언이 필요하다는 것이 결론이었다. 강량호 아키텍트는 구글 클라우드 시큐리티를 추천했다. 서비스 중에서도 맨디언트는 공격 그룹들을 추적하고 사고 조사를 하는 업체로 작년에 구글의 일원이 된 회사다. 구글 클라우드 시큐리티가 가진 플랫폼 보안의 안정성과 맨디언트가 사이버보안 전선에서 공격자 정보를 직접 수집해온 보안 전문가로서의 식견이 해커들로부터의 공격에서 사용자들을 지켜줄 수 있다는 것이었다.

구글 클라우드 시큐리티 안에는 일반 유저들에게도 익숙한 크롬, 리캡차 등 다양한 파트 및 서비스가 포함되어 있으며, 식별, 방어, 탐지, 복원, 대응 과정이 모두 전문화된 것이 특징이다.