“알려지지 않은 공격이라서”, “고도로 정교한 공격이라서” 보안사고가 날 때 마다 듣는 얘기다. 한번 반문 해 보자. “알려진 공격을 할 해커가 있을지?, 정교하지 않은 공격이 있는지?” 모든 사이버 공격은 알려지지 않고, 정교한 공격이 당연한 것인데도, 우리는 수십 년 동안 이 말을 반복해 오고 있으며, 이 말은 누구도 책임을 지지 않아도 되는 강력한 면죄부의 위력을 발휘해 왔다. 하지만 이 말은 분명 맞는 말이 아니다. 악성코드를 침투시키는 방법을 보면 통상적으로 우리가 알고 있는 방법에서 벗어난 적이 없고, 공격하는 방법도 그다지 정교하지 않았다. 알면서도 뻔히 당한 것일 뿐 그 방법이 기상천외해서는 아니었던 것이다. 사이버공격의 시나리오를 보자. 1단계로 해커는 우리가 알고 있는 방법들을 이용하여 악성코드를 공격 대상에게 침투시킨다. 2단계로는 침투시킨 악성코드를 원격에서 조종하거나 스스로 동작하게 하여 기밀을 빼내거나 시스템을 파괴시키는 등의 공격 목적을 달성한다. 지금까지 발생한 사이버공격의 시나리오는 항상 똑같았다. 즉, 공격도구로 이용되는 악성코드만이 달라졌을 뿐, 이를 침투시키는 과정이나 공격목적을 달성하는 과정은 항상 동일하였다. 지금까지 우리는 1단계에서 방어하는 데에 모든 자원을 투입하였다. 하지만 해커는 1단계 방어의 최대 약점인 알려지지 않은 악성코드를 만들어 방어자를 조롱하듯이 공격을 성공시켜 왔다. 2단계 방어를 생각해 보자. 단순하게 생각해도 1단계에서 막아야 하는 악성코드의 숫자보다 2단계에서 막아야 하는 경우의 수는 훨씬 적으리라는 것이 자명하다. 다시 말해 1단계 방어보다 2단계 방어가 훨씬 수월하다는 얘기다. 이미 앞서서 이런 방어체계를 구축한 기관들에서는 사이버공격으로 인한 기밀유출이나 네트워크 마비 등 실제 피해를 방어하는 사례가 많아졌다는 것이 이를 입증하고 있다. 다만, 이렇게 피해를 잘 막아 효과를 보고 있는 기관들 조차 이 사실을 당당하게 공개하여 정보를 공유하거나 분위기를 선도하지 못하는데 그 이유는 악성코드에 감염된 것 자체를 보안이 뚫린 것으로 간주하는 크게 잘못된 보안인식 때문이다. 인류가 생존해 온 것은 이 세상이 멸균된 공간이라서가 아니라, 우리 몸의 면역체계가 바이러스를 이겨냈기 때문이듯 사이버상에서도 악성코드와의 공존은 피할 수가 없는 것이다. 우리의 목표는 악성코드로 인한 피해를 당하지 않으면 되는 것이지 이 세상 악성코드를 모조리 찾아내어 박멸해야 하는 것은 아니라는 것을 인식해야 한다. 우리가 싸우는 대상은 악성코드가 아니라 해커이며, 해커는 막는 것을 보면서 뚫는 고도로 숙련된 전문가라는 것을 잊지 말아야 한다. 상대가 상대인 만큼 제대로 된 방어를 하기 위해서는 무엇보다도 먼저 보안에 대한 인식을 바로 하는 것이 매우 시급하고 중요한 일이다. 지능적인 공격이라고 하면서 막는 방법이 지능적이지 못하다면 이미 승패는 결정된 것이다. 보이지 않는 허점까지 찾아내어 공격하는 것이 해커들의 능력인데, 이미 허점이 입증된 방법으로 막는다는 것은 어불성설이다. 적용했지만 효과가 없었거나 잘못된 방법은 과감하게 바꾸어야 한다. 방법을 바꾸지 않고 결과가 달리 나오기를 기대하는 것만큼 어리석음은 없다. 사고가 날 때마다 알려지지 않은 공격이라는 위장막으로 덮고 간다면 사이버공격이라는 장벽은 영원히 극복할 수 없을 것이다. 거듭 말하지만 사이버 공격은 전혀 알려지지 않은 것도 아니고, 그다지 정교한 것도 아니며 매우 지능적인 것도 아니라는 사실이다. 우리가 어떤 관점에서 어떻게 접근하느냐에 따라 충분히 방어할 수 있는 것이 사이버 공격이다. [심재승/트루컷시큐리티 대표이사]