Jonghyun Woo
Editors of ITU-T X.1220
요약
사이버 공격 중 보안팀과 운영팀이 가장 주목해야 할 것은 소프트웨어 취약점 공격과 멀웨어 공격입니다. 이번 글에서는 이 두 공격이 전체 사이버 공격에서 얼마나 큰 비중을 차지하는지 살펴보고, 두 가지 공격을 동시에 방어할 수 있는 새로운 국제표준 기술에 대해 알아봅니다. 이를 통해 기존의 네트워크 및 엔드포인트 보호 체계를 넘어, 알려지지 않은 사이버 공격(제로데이 공격 등)에 대비한 추가적인 방어 레이어를 구축하는 방법을 제시합니다. 즉, 아직 발견되지 않은 취약점을 이용한 공격이나 탐지되지 않는 형태의 멀웨어 공격이 발생하더라도 중요 데이터를 안전하게 보호할 수 있는 방안을 소개합니다.
사이버 공격의 유형과 유형별 방어 체계
최근 통신사, 의료기관, 정부기관을 대상으로한 다양한 사이버 공격이 잇따르고 있습니다. 이러한 사이버 공격 공격들은 작동 방식을 기준으로 크게 네 가지로 구분됩니다.
1. 소프트웨어 취약점 공격
2. 멀웨어 공격
3. 피싱 공격
4. 디도스(DDoS) 공격
이 가운데 소프트웨어 취약점 공격은 우리가 사용하고 있는 운영체제나 업무 프로그램의 결함을 악용해 공격자가 관리자 권한을 탈취하는 방식입니다. 공격자는 이러한 결함을 통해 PC나 서버의 관리자 권한을 확보하고, 정당한 사용자처럼 명령을 실행합니다. 그 결과 시스템 내부의 데이터를 유출하거나 암호화(랜섬웨어화)하여 피해를 일으킵니다. PC나 서버 운영자는 이를 방어하기 위해 정기적으로 패치와 업데이트를 수행해야 하지만, 실제로는 소프트웨어 벤더가 신속하게 패치를 제공하지 못하거나 아직 공개개되지 않은 제로데이(Zero-day) 취약점을 악용하는 사례가 많습니다.
두 번째 공격 유형은 멀웨어 공격입니다. 멀웨어(악성코드) 공격은 악성 프로그램을 이용해 시스템을 감염시키고, 백그라운드에서 지속적으로 악성 행위를 수행하는 방식입니다. 공격자는 이메일 첨부파일, 악성 링크, 드라이브-바이 다운로드 등을 통해 악성코드를 유포하며, 감염된 기기를 통해 데이터 유출, 정보 수집, 원격 제어, 키로깅 등 다양한 피해를 발생시킵니다. 특히 고도화된 멀웨어는 난독화나 루트킷과 같은 탐지 회피 기술을 사용하여 안티바이러스나 보안 솔루션을 우회하기 때문에 탐지와 제거가 어렵습니다.
세 번째는 피싱 공격입니다. 피싱 공격은 신뢰할 수 있는 발신자나 서비스로 위장해 개인정보나 인증정보를 탈취하는 사회공학적 공격 기법입니다. 공격자는 이메일, 문자(SMS), 메신저, 가짜 로그인 페이지 등을 통해 사용자를 속이고 비밀번호, OTP, 카드정보 등을 입력하도록 유도하거나 악성코드를 설치하게 만듭니다. 피싱은 기술적인 취약점이 아닌 ‘사람의 신뢰’를 노리기 때문에 방심하기 쉽고, 특히 표적형(스피어 피싱) 공격일수록 성공률과 피해 규모가 큽니다. 강력한 인증 수단 적용, 의심스러운 링크 사전 차단, 정기적인 보안 교육 및 피싱 모의 훈련 등을 통해 사용자 취약성을 줄이려는 노력이 이루어지고 있지만, 궁극적으로 사용자가 공격자에 속지 않도록 예방하는 것은 불가능합니다.
마지막으로 디도스(DDoS) 공격은 다수의 분산된 장치를 이용해 특정 서버나 서비스에 과도한 트래픽을 집중시켜 정상적인 서비스 제공을 불가능하게 만드는 공격입니다. 공격자는 봇넷이나 클라우드 자원을 악용해 네트워크 대역폭을 포화시키거나 애플리케이션 자원을 소모시켜 서비스 가용성을 저하시킵니다.
대규모 디도스 공격은 기업의 서비스 중단, 금전적 손실, 평판 훼손을 초래할 수 있습니다. 이를 완화하기 위해 트래픽 스크럽 및 필터링, 엣지 CDN이나 클라우드 기반 완화 서비스를 적용할 수 있지만, 공개된 네트워크를 통해 들어오는 과도한 트래픽 공격을 사전에 차단하는 것은 불가능합니다.
| 구분 | 주요 기법 | 주요 피해 대상 | 목표(결과) | 방어방법 | 비중 |
| 소프트웨어 취약점 | 취약점 익스플로잇 → 권한 상승 | 서버·클라우드·애플리케이션 | 관리자 권한 탈취 → 내부 접근 | 패치/업데이트 | 25% |
| 멀웨어(랜섬) | 악성코드 설치·실행 | 개인 PC·서버·의료장비 | 데이터 암호화·유출·금전 요구 | 안티바이러스/EDR | 30% |
| 피싱·사회공학 | 이메일·메시지 속임수 | 직원·사용자 계정 | 계정탈취 → 내부침투 | Phishing-resistant MFA | 40% |
| DDoS | 대량 트래픽 공격 | 서비스·웹포털 | 접속 마비·업무 중단 | 트래픽 스크럼 | 5% |
4가지 공격중에서 임직원을 속이는 피싱 공격이나 공개된 네트워크로 트래픽을 보내는 디도스 공격을 보안 담당자나 시스템 운영자가 집중적으로 준비하기 보다는 소프트웨어 취약점 공격과 멀웨어 공격을 대비하는 것이 현실적이다. 특히 이 두 가지 유형의 공격이 전체 사이버 공격의 절반 이상을 차지하므로, 이 분야에 대한 방어체계를 강화하는 것이 전체 보안 수준을 높이는 가장 효과적인 방법이다.
기존 방어체계의 한계와 새로운 방어표준이 제정
보안 담당자나 시스템 운영자가 사용하고 있는 예방법은 소프트웨어 보안 취약점을 최소화하고자 꾸주한 업데이트를 수행해야 하고, 네트워크 프로텍션과 엔드포인트 프로텍션을 추가하여 시스템을 보호하는 것이다. 그러나 이러한 체계는 “취약점, 멀웨어, 침해 행동을 미리 알고 있어야”만 패치를 개발하거나 차단할 수 있습니다. 알려진 공격을 차단하는 블랙리스트 방식으로 처음 등장하는 새로운 취약점, 멀웨어, 침해행동 방식을 막기 불가능합니다.
이론적으로는 화이트리스트 방식으로 “등록된 네트워크 패킷”이나 “허용된 프로그램”만 작동하게 구성 할 수 있지만, 모든 시스템들이 함께 사용하는 네트워크 단이나 여러 소프트웨어가 구동되는 엔드포인트단에서 화이트리스트 방식을 구동하기는 현실적으로 매우 어렵습니다. 어떤 시스템의 네트워크 패킷이 바뀔지 예측할 수 없고, 운영체제의 패치가 매일같이 쏟아져 나오고 있는 상황에서 이를 매번 재등록 하는 행위는 효율성이 떨어집니다.
따라서 보안담당자나 시스템 관리자가 보호대상 시스템에 대한 업데이트를 꾸준히 수행하고, 바이러스 백신 패턴을 최신화하면서, 네트워크 트래픽을 모니터링하여 다층 방어를 운영하고 있다 하더라도, 공격자가 우리가 알지 못하는 소프트웨어 취약점을 이용하여 공격을 하거나, 취약점이 발견되었더라도 패치가 준비되고 있는 시기에 공격하거나, 새로운 멀웨어를 개발하여 기존 안티 바이러스의 검사체계를 우회하거나, 새로운 행동 방식으로 작동하는 멀웨어를 배포하여 기존의 행위 탐지 엔진을 우회하게 되면 우리의 소중한 데이터가 탈취되거나 암호화될 수 있습니다.
이 문제를 해결하기 위해 UN산하 국제표준화 기구인 ITU-T에서는 여러 시스템이 함께 사용하는 네트워크나 앤드포인트단이 아니라 데이터가 저장된 스토리지 단에 화이트리스트 접근제어 방식을 적용하는 새로운 스토리지 프로텍션(Storage Protection)을 국제표준 ITU-T X.1220으로 제정했습니다.
이 기술은 단말기와 스토리지 사이에 위치하여, 단말기에서 구동하는 프로그램이 데이터를 요청할 때마다 해당 프로그램이 사전에 등록된 프로그램인지를 검사합니다. 등록된 프로그램은 실제 데이터를 읽고 쓸 수 있지만, 미등록 프로그램은 가짜 데이터만 접근할 수 있습니다.
만약 등록되지 않은 프로그램이 데이터를 요청하는 경우 읽기 전용 속성의 가짜 데이터(fake data)를 제공합니다. 즉, 공격자가 소프트웨어 취약점이나 멀웨어를 PC나 서버에서 구동하여 스토리지 프로텍션내 파일을 탈취하거나 암호화하려 해도 실제 데이터에 접근할 수 없게 한 것입니다.
무엇보다 보안담당자나 시스템운영자가 허용 프로그램을 등록하려고 할때 PC나 서버에서 OTP 코드를 입력하도록 하여 임의로 악성 프로그램을 등록하지 못하도록 합니다. 따라서 단말기가 이미 공격자에게 장악당했다 하더라도, OTP로 등록되지 않은 프로그램은 데이터를 암호화하거나 삭제할 수 없습니다.
따라서 알려지지 않은 취약점을 이용한 공격이나 새로운 멀웨어 공격이 이루어지더라도 스토리지 프로텍션에 저장된 데이터는 허용된 프로그램만 접근할 수 있어 안전하게 보호됩니다.
스토리지 프로텍션으로 확장되는 새로운 사이버 방어 패러다임
전체 사이버 공격 중 소프트웨어 취약점과 멀웨어 공격이 절반을 넘는 상황에서, 그동안 이들 공격에 대한 근본적인 대응책이 부족했다는 점은 사이버 보안의 구조적 한계로 지적되어 왔습니다. 이러한 가운데 UN 산하 국제표준화기구에서 알려지지 않은 공격(Unknown Attack)에 대비할 수 있는 새로운 대안을 제시한 것은 의미 있는 진전이라 할 수 있습니다.
점차 변화하는 사이버 공격에 대비하기 위해서는 네트워크 단이나 엔드포인트 단에서의 방어 중심 접근을 넘어, 스토리지 계층에서도 보안을 고려하는 새로운 관점이 필요합니다. 스토리지를 단순한 데이터 저장 공간이 아닌, 공격이 통과할 수 없는 마지막 방어선으로 설계한다면, 기존 보안 체계가 미처 대응하지 못한 데이터 영역을 보완할 수 있습니다.
앞으로는 이러한 화이트리스트 기반의 데이터 접근 제어 체계를 더욱 발전시켜, 스토리지 수준에서 취약점 공격과 멀웨어 공격을 동시에 차단할 수 있는 새로운 보안 장르(Security Genre) 를 지속적으로 연구하고 확장해 나가야 합니다. 이는 단순히 한 기술의 도입을 넘어, 사이버 보안의 패러다임을 근본적으로 전환시키는 방향으로 나아가는 첫걸음이 될 것입니다.