2010년, 이란의 핵 시설이 마비되는 사고가 일어났다. 스턱스넷이란 악성 프로그램의 공격으로 생긴 일이다. 2017년, 워너크라이 랜섬웨어는 150여 개국 20만 대가 넘는 컴퓨터를
감염시켰다. 영국 병원을 비롯해 세계 각지의 많은 시설이 피해를 보았다. 인터넷으로 연결된 삶은, 인터넷을 지키지 않으면 쉽게 무너진다.
갑자기 인터넷이
멈춘다면 어떻게 될까? 게임 계정이 해킹당하면? 업무용 데이터가 사라진다면? 생각하기도 싫지만, 사이버 공격은 실존하는 위험이다.
인터넷을 지켜야 삶을 지킨다
사이버 보안Cyber Security이란 단어를 들으면 가장 먼저 떠오르는 것은? 해킹이나 개인정보 유출, 랜섬웨어, 인터넷 장애, 백신 프로그램 등이 생각날 것이다. 실제로도
그렇다. 사이버 보안은 해킹이나 랜섬웨어 같은 악의적 행위나 프로그램에 대항해 네트워크, 소프트웨어 및 중요 시스템과 개인정보 등을 지키고, 인터넷 장애 같은 파생 사고를 막기 위해 이뤄지는 모든
일을 가리킨다. 컴퓨터 보안이나 정보 보안, IT 보안 같은 말과 함께 쓰이는 경우도 많다. 다만 사이버 보안에는 스마트폰이나 스마트TV 같은 스마트 기기, 클라우드 컴퓨팅, 사물인터넷 기기 보안이
포함되어 있기에 요즘에는 주로 사이버 보안이라고 한다.
핵심은 안전하게 컴퓨터와 인터넷을 쓸 수 있는 환경을 만드는 것이다. 사람으로 따지면 건강한 신체와 정신을 유지하는 일과 같다. 바이러스가 몸에 들어오면 면역체계가 작동해 퇴치하는 것처럼, 사이버 보안은 악성 사용자와 프로그램으로부터 시스템과 데이터, 이용자를 보호한다. 재밌게도, 컴퓨터 바이러스라는 이름도 생물학적 바이러스처럼 감염을 일으킨다는 이유로 채택됐다. 이를 방어하는 프로그램을 백신이라 부르는 이유이기도 하다.
핵심은 안전하게 컴퓨터와 인터넷을 쓸 수 있는 환경을 만드는 것이다. 사람으로 따지면 건강한 신체와 정신을 유지하는 일과 같다. 바이러스가 몸에 들어오면 면역체계가 작동해 퇴치하는 것처럼, 사이버 보안은 악성 사용자와 프로그램으로부터 시스템과 데이터, 이용자를 보호한다. 재밌게도, 컴퓨터 바이러스라는 이름도 생물학적 바이러스처럼 감염을 일으킨다는 이유로 채택됐다. 이를 방어하는 프로그램을 백신이라 부르는 이유이기도 하다.
바이러스와 함께 성장한 사이버 보안
사이버 보안은 사이버 공격과 함께 성장했다. 다만 컴퓨터 바이러스가 처음부터 다른 컴퓨터를 해치려고 만들어진 것은 아니다. ‘자신을 복제하며 확산하는 프로그램’의 개념은 인터넷의 조상 격인 아르파넷
시기부터 있었다. 1971년에 등장한 세계 최초의 컴퓨터 바이러스 ‘크리퍼Creeper’는 그저 ‘자가복제 프로그램’이 가능하다는 걸 보여주기 위해 만들어졌다.
컴퓨터의 데이터를 파괴하는 프로그램이 등장한 것은, 1980년대 들어와 개인용 컴퓨터가 보급되고, 아르파넷이 인터넷으로 바뀐 이후다. 1986년에 발견된 브레인Brain
바이러스는, 당시 즐겨 쓰던 저장장치였던 플로피디스크를 고장 냈다. 소프트웨어를 불법 복제한 이용자들을 골탕 먹이기 위해 만들었다지만 큰 피해를 안겨줬고, 다음 해에 많은 백신 프로그램이 출시되는
계기가 됐다.
정보통신 세계에서는 아이디어가 중요하다. 하나의 아이디어가 인기를 얻으면, 곧 그 아이디어에 영향을 받은 제품이 등장한다. 1988년에 나와 큰 충격을 안겨준 모리스 웜Morris Worm이 좋은 사례다. 당시 여러 컴퓨터 서버를 망가뜨려 인터넷을 못 쓰게 만들었지만, 나쁜 의도는 없었다. 그저 인터넷에 몇 대의 컴퓨터가 연결되어 있는지 궁금했는데, 프로그램을 잘못 짰을 뿐이다. 하지만 이 바이러스 제작자가 미 법원에서 재판받으며 유명해졌다. 덕분에 안티바이러스 프로그램 산업이 빠르게 성장할 수 있었지만, 범죄 모방 욕구에도 불을 지폈다. 인터넷 기반 공격, 다시 말해 사이버 공격의 물꼬를 텄다. 이 가운데 1999년에 공개된 멜리사 바이러스The Melissa Virus는 가장 잘 알려진 존재다. 세계의 이메일 시스템을 망가뜨려서, 피해 복구에 들어간 비용만 8000만 달러(현재 가치로 한화 2120억 원) 정도 된다고 알려졌다.
정보통신 세계에서는 아이디어가 중요하다. 하나의 아이디어가 인기를 얻으면, 곧 그 아이디어에 영향을 받은 제품이 등장한다. 1988년에 나와 큰 충격을 안겨준 모리스 웜Morris Worm이 좋은 사례다. 당시 여러 컴퓨터 서버를 망가뜨려 인터넷을 못 쓰게 만들었지만, 나쁜 의도는 없었다. 그저 인터넷에 몇 대의 컴퓨터가 연결되어 있는지 궁금했는데, 프로그램을 잘못 짰을 뿐이다. 하지만 이 바이러스 제작자가 미 법원에서 재판받으며 유명해졌다. 덕분에 안티바이러스 프로그램 산업이 빠르게 성장할 수 있었지만, 범죄 모방 욕구에도 불을 지폈다. 인터넷 기반 공격, 다시 말해 사이버 공격의 물꼬를 텄다. 이 가운데 1999년에 공개된 멜리사 바이러스The Melissa Virus는 가장 잘 알려진 존재다. 세계의 이메일 시스템을 망가뜨려서, 피해 복구에 들어간 비용만 8000만 달러(현재 가치로 한화 2120억 원) 정도 된다고 알려졌다.
사이버 공격을 하는 방법
인터넷이 널리 보급되던 시기, 멜리사가 미친 파급력은 컸다. 백신 프로그램의 필요성이 대두되면서 사이버 보안 산업이 몸집을 키웠고, 사이버 범죄Cyber Crime란 단어가
대중에게 각인됐다. 사이버 범죄자들에게도 영감을 줬다. 수지맞는 장사가 될 가능성이 생기면서, 공격이 크게 늘었다. 아예 사이버 공격을 위한 프로그램을 판매하는 사람도 생기는 등 사이버 공격이
사업으로 변하고 있었다.
사람들의 삶에 컴퓨터와 스마트폰이 녹아든 지금은 어떨까. 우리나라 국가정보원이 밝힌 공공분야 대상 사이버 공격만 2023년 기준으로 하루 162만 건에 달한다. 국가 안보 차원에선 비전통적인 안보 위협 중 가장 심각한 위협으로 여기고 있다. 글로벌 사이버 보안 매체 <사이버크라임 매거진Cybercrime Magazine>에 따르면 2024년 사이버 공격으로 인한 전체 피해 규모는 약 9조5000억 달러(1경2500조 원)에 달할 것으로 예상된다.
사람들의 삶에 컴퓨터와 스마트폰이 녹아든 지금은 어떨까. 우리나라 국가정보원이 밝힌 공공분야 대상 사이버 공격만 2023년 기준으로 하루 162만 건에 달한다. 국가 안보 차원에선 비전통적인 안보 위협 중 가장 심각한 위협으로 여기고 있다. 글로벌 사이버 보안 매체 <사이버크라임 매거진Cybercrime Magazine>에 따르면 2024년 사이버 공격으로 인한 전체 피해 규모는 약 9조5000억 달러(1경2500조 원)에 달할 것으로 예상된다.
사이버 공격 형태도 변했다. 예전에는 주로 악성 프로그램(Malicious Software, 멀웨어)을 많이 썼다. 자가복제가 가능한 컴퓨터 바이러스나 여러 기기를 감염시키는
웜Worm, 정상 프로그램으로 위장한 악성 프로그램 트로이 목마Trojan Horse 등이 여기에 속한다. 예전에는 개별 프로그램이었지만 이제는
악성코드 기본 기능으로 취급된다.
최근에는 PC의 데이터를 못 쓰게 만든 다음, 복구하고 싶다면 돈을 내라는 랜섬웨어Ransomware가 크게 악명을 떨치고 있다. 민감한 정보를 몰래 수집하는 스파이웨어Spyware나 가짜 메시지로 이용자를 속이는 수법인 피싱Phising, 컴퓨터의 접속 권한을 빼돌리는 루트킷Rootkit도 많이 쓰인다. 거기에 국가 지원 해커 그룹이 물류나 철도 같은 사회 인프라망을 노리는 공격도 늘었다.
인공지능AI사이버 공격도 문제다. 생성 AI를 이용해 가짜 댓글을 쓰거나 진짜 사람인 것처럼 채팅한다. 이걸로 피싱 이메일이나 악성코드를 만들기도 한다. 딥페이크 영상을 만들어 사기를 치고, 인간의 행동을 모방해 사이버 보안으로 탐지하기 어려운 멀웨어도 만든다. 클라우드 서비스로 멀웨어나 랜섬웨어를 제공하는 사업도 등장했다.
최근에는 PC의 데이터를 못 쓰게 만든 다음, 복구하고 싶다면 돈을 내라는 랜섬웨어Ransomware가 크게 악명을 떨치고 있다. 민감한 정보를 몰래 수집하는 스파이웨어Spyware나 가짜 메시지로 이용자를 속이는 수법인 피싱Phising, 컴퓨터의 접속 권한을 빼돌리는 루트킷Rootkit도 많이 쓰인다. 거기에 국가 지원 해커 그룹이 물류나 철도 같은 사회 인프라망을 노리는 공격도 늘었다.
인공지능AI사이버 공격도 문제다. 생성 AI를 이용해 가짜 댓글을 쓰거나 진짜 사람인 것처럼 채팅한다. 이걸로 피싱 이메일이나 악성코드를 만들기도 한다. 딥페이크 영상을 만들어 사기를 치고, 인간의 행동을 모방해 사이버 보안으로 탐지하기 어려운 멀웨어도 만든다. 클라우드 서비스로 멀웨어나 랜섬웨어를 제공하는 사업도 등장했다.
공격을 막아내는 사이버 보안
이젠 PC와 스마트폰, 사물인터넷을 통해 수없이 많은 기기가 인터넷에 연결되어 있다. 디지털 전환Digital Transformation으로 업무나 생산 과정을 디지털화하는 일도
진행되고 있다. 코로나19 확산으로 인해 재택근무, 원격 수업 등이 늘면서 이런 변화는 더 빨라졌다. 이렇게 변해가는 세상을, 날로 거세지는 사이버 공격에서 어떻게 지킬 수 있을까?
가장 기본적인 원칙은 CIA 트라이어드CIA Triad다. 승인받지 못한 사람은 절대 데이터를 열람할 수 없다는 기밀성Confidentiality, 데이터가 무단으로 변경되는 걸 막아야 한다는 무결성Integrity, 필요할 때는 쓸 수 있어야 한다는 가용성Availability 세 단어를 줄인 말이다. 우리말로 ‘정보 보안 3요소’라고도 부른다.
이런 원칙에 기반해 기본적으로 쓰이는 기술은, 먼저 데이터 암호화가 있다. 최신 암호화 기술로 데이터를 아무나 읽을 수 없게 만들면, 데이터를 훔쳐도 쓸모가 없다. 흔히 방화벽이라 불리는 침입 차단 시스템도 중요하다. 네트워크로 드나드는 데이터를 감시해 위험 요소를 사전에 차단한다. 방화벽 성능을 높이기 위해 침입 탐지 및 방지 시스템도 함께 쓴다. 침입 차단 시스템이 감지할 수 없는 잠재적인 공격이나 불온한 움직임을 찾아내, 이를 운영자에게 알리거나 차단한다. 최근에는 AI 기능도 탑재되어 보다 지능적으로 공격 낌새를 잡아내고 있다.
또 다른 방법도 있다. 보안 약점이 있는 소프트웨어를 업데이트하는 것은 기본이다. 아예 악성코드가 실행되지 못하게 바꾸기도 한다. 윈도에 기본적으로 백신 프로그램을 탑재하거나 스마트폰에서 앱의 사용 권한을 계속 확인하는 것도 사이버 공격의 문턱을 높이기 위해서다. 가상 사이버 공격을 하는 팀을 만들어서 보안 테스트를 하기도 한다. 여러 다른 보안 기술을 엮어서 한 몸처럼 쓸 수 있는 보안 솔루션이나 플랫폼도 많이 쓰고 있다.
정책 차원의 대응도 있다. 암호와 함께 지문이나 인증 앱을 요구하는 다중 인증이 도입되고 있다. 아예 암호를 없애는 것이 목표인 패스키 같은 암호 대체 수단도 나왔다. 아무것도 믿지 않고 항상 확인한다는 철학을 가진 제로 트러스트 보안 모델을 채택하는 곳도 많아지고 있다. 예전에는 고려하지 않던 백업 시스템이나 대응 계획에 대한 인식도 높아졌다.
가장 기본적인 원칙은 CIA 트라이어드CIA Triad다. 승인받지 못한 사람은 절대 데이터를 열람할 수 없다는 기밀성Confidentiality, 데이터가 무단으로 변경되는 걸 막아야 한다는 무결성Integrity, 필요할 때는 쓸 수 있어야 한다는 가용성Availability 세 단어를 줄인 말이다. 우리말로 ‘정보 보안 3요소’라고도 부른다.
이런 원칙에 기반해 기본적으로 쓰이는 기술은, 먼저 데이터 암호화가 있다. 최신 암호화 기술로 데이터를 아무나 읽을 수 없게 만들면, 데이터를 훔쳐도 쓸모가 없다. 흔히 방화벽이라 불리는 침입 차단 시스템도 중요하다. 네트워크로 드나드는 데이터를 감시해 위험 요소를 사전에 차단한다. 방화벽 성능을 높이기 위해 침입 탐지 및 방지 시스템도 함께 쓴다. 침입 차단 시스템이 감지할 수 없는 잠재적인 공격이나 불온한 움직임을 찾아내, 이를 운영자에게 알리거나 차단한다. 최근에는 AI 기능도 탑재되어 보다 지능적으로 공격 낌새를 잡아내고 있다.
또 다른 방법도 있다. 보안 약점이 있는 소프트웨어를 업데이트하는 것은 기본이다. 아예 악성코드가 실행되지 못하게 바꾸기도 한다. 윈도에 기본적으로 백신 프로그램을 탑재하거나 스마트폰에서 앱의 사용 권한을 계속 확인하는 것도 사이버 공격의 문턱을 높이기 위해서다. 가상 사이버 공격을 하는 팀을 만들어서 보안 테스트를 하기도 한다. 여러 다른 보안 기술을 엮어서 한 몸처럼 쓸 수 있는 보안 솔루션이나 플랫폼도 많이 쓰고 있다.
정책 차원의 대응도 있다. 암호와 함께 지문이나 인증 앱을 요구하는 다중 인증이 도입되고 있다. 아예 암호를 없애는 것이 목표인 패스키 같은 암호 대체 수단도 나왔다. 아무것도 믿지 않고 항상 확인한다는 철학을 가진 제로 트러스트 보안 모델을 채택하는 곳도 많아지고 있다. 예전에는 고려하지 않던 백업 시스템이나 대응 계획에 대한 인식도 높아졌다.
사이버 보안의 미래
기술은 강력하지만, 문제는 사람이다. 보안에는 최소한의 투자만 하는 기관이나 회사가 여전히 많다. 강력한 보안과 편리한 사용은 동전의 양면 같아서, 보안을 강화하면 쓰기가 불편하고, 사용이 편하면
보안이 약해진다는 문제에 부딪히기도 한다. 최근 출판 물류 솔루션 기업이 랜섬웨어의 공격을 받아 도서 배송에 지장이 생긴 것도, 사이버 보안을 중요하게 생각하지 않았기 때문이라고 알려졌다.
많은 사이버 보안 담당자가 사이버 보안은 회사의 정책 결정과 직원 교육부터 시작해야 한다고 입을 모아 말한다. 신뢰할 수 있는 자체 보안 정책을 수립해 실시하고, 사이버 공격을 당해도 큰 피해가 없도록 백업 및 복구 계획도 미리 정해놓는 것이 필요하다는 말이다. 또 직원들에게 규정을 알리고, 보안 교육을 통해 피싱 사기 같은 사이버 공격을 식별, 보고 및 예방할 수 있도록 해야 한다.
미래는 어떻게 될까? 핵심은 AI다. AI가 인간 보안 전문가와 함께 보안 시스템 강화를 돕고, 더불어 여러 AI 시스템이나 AI 모델을 지키는 쪽으로 개발될 것이다. 국가적 위협에 맞서 싸우고, 우주 인터넷과 양자 컴퓨터 등 신기술에 대응할 필요도 점점 커지고 있다. 앞으로 사이버 보안 기술은, 컴퓨터와 데이터만 보호하는 것이 아니라, 사회 전체를 보호하는 기술로 진화하지 않을까.
많은 사이버 보안 담당자가 사이버 보안은 회사의 정책 결정과 직원 교육부터 시작해야 한다고 입을 모아 말한다. 신뢰할 수 있는 자체 보안 정책을 수립해 실시하고, 사이버 공격을 당해도 큰 피해가 없도록 백업 및 복구 계획도 미리 정해놓는 것이 필요하다는 말이다. 또 직원들에게 규정을 알리고, 보안 교육을 통해 피싱 사기 같은 사이버 공격을 식별, 보고 및 예방할 수 있도록 해야 한다.
미래는 어떻게 될까? 핵심은 AI다. AI가 인간 보안 전문가와 함께 보안 시스템 강화를 돕고, 더불어 여러 AI 시스템이나 AI 모델을 지키는 쪽으로 개발될 것이다. 국가적 위협에 맞서 싸우고, 우주 인터넷과 양자 컴퓨터 등 신기술에 대응할 필요도 점점 커지고 있다. 앞으로 사이버 보안 기술은, 컴퓨터와 데이터만 보호하는 것이 아니라, 사회 전체를 보호하는 기술로 진화하지 않을까.
이요훈 IT 칼럼니스트
전 아리랑TV 비즈테크코리아 MC, 한양대 미래인문학융합학부 IAB 자문교수, 한국과학기술평가원KISTEP 전문위원이었으며, 현재 IT 칼럼니스트로 활동하고 있다.