바야흐로 국가의 지원을 받는 APT 단체들이 보다 실질적으로 위협이 되고 있는 때다. 그렇기 때문에 이런 자들을 상대해 본 사람들로부터 전문성을 빌려올 필요가 있다. 군과 정부에서 보안 관련 업무를 해본 사람이 귀해지고 있다.
[보안뉴스 문정후 기자] 현재 세계 각지의 다양한 조직들을 위협하는 여러 가지 요소들 중 단연 눈에 띄는 것은 러시아와 중국의 정부 지원 사이버 공격자들이다. 이들은 효율이 매우 높다고 알려진 공급망 공격에 보다 능숙해지고 있으며, 그렇기에 예전과 같은 투자로 훨씬 많은 조직에 피해를 입힐 수 있게 됐다. 이 때문에 정부 지원 해커들이 전혀 관심을 두고 있지 않을 것 같은 조직들도 대량으로 공격에 노출된 상황이다.
![[보안뉴스 / 8.22.] 국가 지원 해커 조직에 대응하기 위해 군에서 배울 수 있는 것](http://www.boannews.com/media/upFiles2/2022/08/68966399_3432.jpg)
[이미지 = utoimage]
보안에 대한 투자 규모는 전 세계적으로 빠르게 늘어나는 중이다. 하지만 이상하게 사이버 공격에 의한 피해액도 빠르게 증가하고 있다. 왜 그런 걸까? 여러 가지 이유가 있겠지만 보안을 위해 조직들이 사용하는 도구들이 대부분 공개되어 있기 때문이다. 정부의 지원을 받는 해킹 부대는 얼마든지 보안 솔루션을 구매해 분석할 수 있다. 공격자들에 의해 분석이 끝난 보안 솔루션들은 무용지물이 될 수밖에 없다.
이런 상황에서 스스로를 보호하려면 위험에 대한 새로운 인지와 사고방식이 먼저 필요하다. 보안 책임자들은 보안 솔루션과 각종 도구들 너머로까지 시선을 확장시켜야 한다. 그리고 조직 내 사람들과 업무 프로세스들에 집중할 수 있어야 한다. 도구와 기술은 그 자체로 해결책이 될 수 없다. 된다고 해도 일시적일 뿐이다. 여기에 한 가지 추가하자면, 군대의 방식을 어느 정도 차용하는 것도 필요하다. 이 추가 사항은 이 글의 목적이기도 하다.
군과 정부에서 근무해 본 경험
도구와 솔루션 너머로 시선을 확장시키고 사람과 업무 프로세서들에 대한 보호를 본격적으로 실시한다고 했을 때, 군이나 정부에서 사이버 보안 업무 경험을 쌓은 사람을 채용하면 큰 도움이 된다. 심지어 클라우드 플랫폼이나 클라우드 기반 솔루션을 위한 보안 솔루션을 개발해 제공하는 업체들도 군과 정부의 보안 요원들을 영입하는 것이 큰 자산이 될 수 있다. 왜일까?
군과 정부 기관들에서 보안 업무 경험을 쌓았다는 것은 그 무엇보다 국가 지원을 받는 해커들에 보다 친숙하다는 뜻이 된다. 정부의 지원을 받는 해킹 단체들은 어떤 특징을 가지고 있으며, 어떤 전략을 부릴 줄 알고, 주로 어떤 기관이나 인물들을 노리는지 잘 이해하고 있다. 그러므로 어떻게 대응해야 하는지도 잘 알고 있다. 정부 지원 해커들은 일반 민간 해킹 범죄 단체와 여러 가지 면에서 차이점을 보이는데, 그 중 하나는 장기적인 공격을 두려워하지 않는다는 것이다. 수년에 걸쳐 첩보를 빼돌리고 치명적인 취약점들을 찾아낸다. 급전에 연연하지 않으며, 따라서 수익과 직접적인 관련이 없는 움직임들을 자주 보인다.
이런 자들을 추적하고 조사하는 것은 일반 사이버 범죄자들을 쫓는 것과 상당히 다른 일이며, 따라서 정부 지원 해커들에 대한 전문 지식과 통찰력을 필요로 한다. 위에 설명한 것처럼 공급망 공격이라는 기법에 능숙해진 정부 지원 해커들의 공격 범위가 넓어진다는 건, 민간 기업에도 정부 지원 해킹 조직에 대한 전문성을 가진 사람들이 필요하다는 뜻이 된다. 그렇기 때문에 군이나 정부 기관에서 보안 업무를 진행해 본 사람을 영입하면 여러 모로 도움이 된다.
그리고 그런 사람들은 부지런히 자신이 가진 지식과 통찰력을 동료 보안 전문가들에게 전수해야 한다. 물론 민간 사이버 범죄 단체에 대한 경험과 지식은 반대로 전직 군/정부 요원들이 민간 기업 보안 전문가들로부터 배워야 하겠지만 말이다. 이렇게 보안이라는 공동의 테두리 안에서 서로 다를 수 있는 전문성을 흡수하는 건 1+1 이상의 효과를 낸다.
한 사람 한 사람이 특수 요원
나라마다 다를 수 있지만 필자가 알기에 군과 정부의 요원들은 대체적으로 자신만의 특기와 고유한 역할을 가지고 임무를 수행한다. 작전 요원은 작전만을 다루고, 군수 요원은 군수만을 다룬다. 장기적으로 보직이 순환될 수야 있지만, 해당 보직에 있는 동안에는 그 일만 한다. 모든 사람이 제너럴리스트가 되어 모든 분야를 조금씩 다 하는 것은 군/정부의 작전 수행 방식이 아닐 때가 많다. 그런데 사기업들은 그렇지 않을 때가 많다. 한 사람에게 여러 역할을 주면서 만능이 될 것을 은근히 강요하곤 하는데 이는 사실 거의 대부분 인건비를 아끼기 위해서다. 보안 팀도 이런 식으로 구성된 경우가 많다.
한 팀이나 한 개인에게는 고유한 책임이 부여되고, 그 책임과 역할들이 특정한 순서대로 발휘되고 맞물리게 함으로써 조직 전체가 움직이는 게 정부 지원 해커들과 일반 사이버 범죄자들 모두를 상대할 때 더 높은 효과를 발휘한다. 그래서 군과 정부가 대부분 그렇게 움직이는 것이다. 아무리 보안 전문가라고 하더라도 포렌식, 사건 대응, 멀웨어 분석, 첩보 분석 등 보안 내 세부 분야를 전부 전문적으로 잘 할 수는 없다. 다크웹의 아마추어 공격자들조차 전문 분야가 점점 세분화 되어 가고 있다.
보안도 결국은 사람이 하는 일이다. 최신 기술을 탑재한 보안 솔루션을 구매하는 것도 중요한 일이지만, 그런 도구들을 다루는 사람 자체가 제대로 운영되지 않는다면 보안 솔루션들도 제기능을 다 발휘하지 못한다. 어떤 사람을 영입하고, 어떤 역할을 맡기고, 조직 내에서 어떤 장점을 발휘하도록 하느냐가 솔루션을 구매하는 것보다 더 중요하다. 정부 지원의 해커들이 기승을 부리는 이 때, 그런 해커들을 전문적으로 다뤄본 경험이 있는 인재들이 절실해진다.
글 : 쉬물릭 예헤즈켈(Shmulik Yehezkel), CISO, CYE
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 6.8.] 혼다의 API 보호 실패, 수많은 정보 자유롭게 열람하게 해](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-1-500x383.png)
![[보안뉴스 / 6.8.] 초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-500x383.png)
![[보안뉴스 / 8.22.] 국가 지원 해커 조직에 대응하기 위해 군에서 배울 수 있는 것](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
