성명훈 교수, 사이버 보안? “중요한 건 예방”

지난 4월 7일 제 60기 경영자 독서모임 MBS 프로그램이 서울과학종합대학원대학교에서 진행됐다. MBS는 매주 월요일 저녁, 경영의 해법과 새로운 통찰을 원하는 경영자들이 한자리에 모이는 독서모임으로 지난 30년간 누적 회원 수 국내 최대 7,500명을 기록했다.

국내 최대 규모의 오프라인 독서모임 MBS에서는 지식의 향연이 펼쳐지며 경영·경제·사회·문화·고전·지역테마 등 각 분야의 저자들에게 직접 강연을 듣고 질문하며, 혼자서는 얻을 수 없는 깊은 경험을 얻을 수 있다.

또한 도서 선정 시 각계 심사위원단의 엄정한 평가를 거쳐 해당 연도에 필요한 도서를 선정함으로써 현재 트렌드뿐만 아니라 앞으로의 트렌드까지 가늠할 수 있어 조직에 필요로 하는 오피니언 리더로서 성장할 수 있는 도약의 시간을 가질 수 있다.

제60기 경영자 독서모임 MBS 프로그램 다섯 번째 강연자로 ‘CEO도 알아야 할 사이버 보안’ 저자이자 서울과학종합대학원대학교 성명훈 교수가 강연을 펼쳤다. 경영진이 사이버 보안을 위해 반드시 IT 전문가가 될 필요는 없다.

‘CEO도 알아야 할 사이버 보안’ 책은 해킹 기술이나 세세한 방어 기술을 설명하는 기술 핸드북이 아니며 CEO가 조직의 자원을 어떻게 배분하고 투입할지 결정해야 할 수 있도록 돕는 책이다. CEO와 경영진이 이 책을 통해 사이버 위협에 어떻게 대비해야 할지, 보안 강화를 어떻게 진행해야 할지에 대해 현실에 근거한 합리적 의사 결정을 하는데 도움을 얻을 수 있다.

‘CEO도 알아야 할 사이버 보안’ 저자이자 서울과학종합대학원대학교 성명훈 교수가 강연을 진행 중이다.

성명훈 교수는 책을 집필하게 된 배경을 설명하며 강의를 시작했다. 그는 “외과 교수로 진료를 했는데 사이버 보안 일을 깊이 하게 되면서 사이버 보안의 필요성을 느껴 책을 쓰게 됐다”라고 말했다. 한국의 사이버 역사를 보면 복사기가 회사에 들어선 순간 복사기를 회사로 들일지 말지에 대한 토론이 많았다. 복사기가 사실은 중요한 해킹의 소스가 됐다.

2000년대가 되면서 사무실에 컴퓨터가 들어서게 됐다. 이 당시 컴퓨터를 도입하는 과정에서 PC를 회사에 도입할 것인지 말 것인지에 대한 이야기들이 있었다. 현재는 개인이 PC를 들고 오게끔 하는 경우도 있다. 지금 회사의 모습은 모니터를 사용하며 각자 개개인의 PC가 있다.

수년간 업무 환경이 발전되어 왔으며 물리적 공간보단 사이버 공간이 더 많은 비중을 차지하고 있다. 1977년 우리나라 전산화 이전 모습만 봐도 지금의 모습과는 상상이 안된다. 성명훈 교수는 “20년 전 서울대학교 병원에선 종이에다가 기록을 했었던 상황이었다. 이후 2004년 전면적으로 EMR(전자의무기록)을 사용하게끔 했다. 큰 병원에서는 세계 최초였다. 20년 전 한국뿐만 아니라 세계 최초로 EMR을 하며 모든 업무 관리의 중요성과 어려움을 느끼게 됐다. 퇴임하면서 개인적으로 사이버 시스템을 관리하면서 책을 쓰게 됐다”라며 재차 설명했다.

캘리포니아주 사우스샌프란시스코에 본사를 둔 미국의 개인 유전체학 및 생명공학기술 23andMe라는 회사가 있다. 우리 염색체를 분석해 혈통을 알고 질병을 예측하는 유망한 회사인데 1년 반 전에 사이버 공격을 받아 한 달 전에 파산을 했다. 이처럼 사이버 해킹을 통한 타격은 아주 크다. 이 당시 해커들이 사용한 수법이 Credential stuffing 수법이다. Credential stuffing 수법이란 공격자가 다른 곳에서 이용자의 계정과 비밀번호 정보를 취득한 후 다른 사이트에도 이를 동일하게 사용해 성공할 때까지 로그인을 시도하는 대입 공격 중 하나다. 로그인 시도 횟수와 로그인 실패율이 급증하는 특징이 있다. 당시 누가 책임질 것인지에 대한 이슈도 있었다.

서울과학종합대학원대학교 성명훈 교수가 강연을 진행 중이다.

사이버 해킹 용어 중에 ‘제로 데이 공격’이라는 용어가 있다. 이는 컴퓨터 소프트웨어의 취약점을 공격하는 기술적 위협을 뜻한다. 즉, 해당 취약점에 대한 패치가 나오지 않은 시점에서 이루어지는 공격을 의미한다.

새로운 시스템이 들어오면 수개월 혹은 수년이 지나 위험성을 발견하는 것이다. 7년 동안 공격받을 위험성이 있다는 말도 있다. 비슷한 말로 ‘Zero-trust policy’라는 말이 있다. 어느 개인도 믿을 수 없다는 개념으로 사이버에 대비를 해야 한다.

사이버 보안 문제가 나오면 많은 대표들은 ‘우리 회사까지 공격하지 않고 사이버 보안에 투자할 필요가 없다’라는 생각들을 많이들 한다. 하지만 자물쇠는 채워 넣어야 한다. 또 공격하는 방법 또한 계속해서 발전을 하고 있다. 성명훈 교수는 해킹에 대한 2023년 MGM 호텔 해킹 사건, 홍콩 회사 해킹 사건, 우리나라 법원에서 발생한 사이버 침해 사건 3가지 사례를 가져왔다.

2023년 MGM 호텔 해킹 사건은 카지노에서 공격을 시도해 전체 시스템이 셧다운, 데이터 갈취, 랜섬, 외부 공개가 된 사건이다. 링크드인에서 MGM 직원에 대한 기초 정보를 획득해 MGM IT 지원 데스트를 통해 온라인 접속 자격 증명 획득했다. Vishing을 이용한 SIM-phishing MGM corporate VPN을 이용 위장 접속해 원격 Malware 작동 시스템 침투 후 5시간 동안 시스템을 장악했다. 그리고 8일 동안 Dwell time이 됐다.

두 번째 사례는 홍콩 회사에서 CFO가 등장해 30억 원을 송금하는 일이 발생한 사건이다. 영국에 본사가 있는 다국적 기업에 영국 본사 CFO 등 6명이 참여하는 그룹 화상 회의를 진행했다. 이중 2명의 재무 직원이 회의에 참석했고 나머지는 모두 가짜였다. 회의 결론에 따라 30억을 송금했고 HK 재무 직원은 자신만 소개하고 상호작용을 통한 확인이 부재해 해킹을 당했던 사건이다.

세 번째 사건은 우리나라 법원에 발생한 사이버 침해 사건이다. 당시 법원이 해킹을 당했으며 1년 전부터 악의적 해커가 수개월간 잠행하며 정탐, 정보 유출, 시스템 장악을 했다. 방위 산업체, 군 레이저 기술 북한 안다리엘 해킹 그룹, 김수키 해킹그룹 악성코드 유포 중, 울산 지역 대규모 정전 사고가 난 사건이다.

서울과학종합대학원대학교 성명훈 교수가 강연을 진행 중이다.

컴퓨터 바이러스, 윔, 트로이 목마가 있다. 바이러스는 스스로 복제하지 못하고 파일이나 코드에 붙어서 사용자가 이들을 운영할 때 복제를 하는 것이다. 윔은 스스로 복제가 가능하며 스스로 네트워크 내에서 확산한다. 트로이 목마는 합법적인 SW로 가장하며 사용자가 이를 실행하면 악성 활동 백도어 설치 등이 있다.

마찬가지로 사이버 공격도 침입을 해 거점을 확보하고 내부에 확산을 하고 서버를 장악하고 공격을 시작한다. 이런 과정에 여러 모델이 있는데 MITRE가 있다. 여기서 TTPS(Tactics, Techniques, and Procedures)가 있다. 정보를 수집하고 정찰한 이후 침투를 진행하고 내부 확산, 내부 해킹/잠행을 시도하고 최종 공격을 하는 순서다. 이외에도 소셜 엔지니어링 수법, 패스워드 갈취, 악성코드 공격, 사이버 하이재킹, 서비스거부 공격, 랜섬웨어, 지능형 지속 위협 공격, 내부자 위협 등 여러 가지 다양한 단계에 다양한 수법이 있다.

이것에 대해 여러 단계의 보안 도구들이 있다. 사이버 보안 도구 중에는 방호벽, 네트워크, 개별 PC, 바이러스 백신 인증 시스템, 서비스거부 공격 탐지 시스템, 호스트 침입 탐지 시스템, 네트워크 침입 탐지 시스템 등이 있다.

해커의 본래 뜻은 다른 사람의 컴퓨터 시스템에 침입해 사용자 행위 및 데이터를 불법으로 열람·변조·파괴하는 ‘블랙 해커’와 이러한 블랙 해커의 공격에 대응하는 ‘화이트 해커’가 있다.

실제로는 블랙햇 해커들이다. 사이버 범죄 집단이며 금전, 개인전 목적으로 국가 수준 해킹 집단을 통해 스파이 행위, 금전 갈취, 인프라 공격을 통해 사회 혼란을 일으키고 여론 조작도 진행한다. 이를 방어하는 윤리적 해커들을 화이트햇 해커라 부른다. 블루팀, 레드팀이 있다. 그레이햇 해커는 기본적으로 윤리적 행동을 하지만 필요에 따라 불법적인 행동을 하는 해커들을 뜻한다.

성명훈 교수 “중요한 건 예방…적극적·공격적 사이버 보안 점검해야”

우리나라 사이버 범죄 유형별 발생 건수는 계속해서 늘어나는 추세다. 랜섬웨어는 컴퓨터 시스템을 감염시켜 접근을 제한하고 일종의 몸값을 요구하는 악성 소프트웨어의 한 종류로 150,000건의 랜섬웨어가 발생했다.

이렇게 많은 문제가 있는데 검토하고 해결하는 데에는 20%만 불과하다. 랜섬 제외하고도 피해액이 20억이 되며 사어버 공격을 받은 중소기업의 60%가 침해 후 6개월안에 파산을 하는 경우가 많다. 중동이 제일 높다. 우리나라 사이버 침해 사건 피해를 보면 2013년 기준 자연재해 피해 액수는 2.7조 원이고 사이버 공격 피해액은 3.6조 원이다. 사이버 공격 피해 금액이 자연 재난 피해 금액보다 더 많다. 문제는 대다수의 기업들이 보안을 비용으로 인식한다는 것이다.

인터넷 세상에 서피스 웹은 5%고 딥웹은 90%, 다크웹은 5%다. 서피스웹은 일반 검색 엔진으로 접근이 가능하다. .com, .net, .org 사이트들, 네이버, 구글 , 유튜브다. 딥웹은 URL, IP 주소로 접근된다. 웹메일, 온라인 뱅킹, 신용카드 구좌, VOD, 클라우드 저장소, 아이디, 패스워드 등 인증 절차로 보호된다.

사이버 공격은 데이터를 빼내기도 하고 침해, 유출, 랜섬웨어, 사이버 테러, 사이버 전쟁이 일어난다. 이에 대비해 보안 방어로 방화벽, 백신, 인증을 사용한다. 이에 교육 보안 의식 보안 문화, 모니터링이 필요하다.

이에 성명훈 교수는 “적극적, 공격적 사이버 보안 점검을 해야 한다. 제일 중요한 건 예방이다. 사이버 보안도 예방이 중요하고 조기에 발견해 퇴치해야 한다. 또한 보안을 점검하고 교육, 훈련 보안 문화를 강화해야 한다. 이를 극복하기 위해선 CEO분들이 건전한 사이버 보안 정책을 통해 효율적인 점검, 관리를 해야 한다”라고 말하며 강의를 마쳤다.

한편, 제60기 경영자 독서모임 MBS 프로그램은 매주 월요일 서울과학종합대학원대학교에서 진행된다.