[기고] 사이버 보안 취약점을 대하는 우리의 자세 ‘의혈궤제’

신대규 한국인터넷진흥원(KISA) 사이버침해대응본부장

1980년대 미국의 범죄학자인 제임스 윌슨(James Q. Wilson)과 조지 켈링(George L. Kelling)은 ‘깨진 유리창 하나를 방치해 두면 그 지점을 중심으로 범죄가 확산되기 시작한다’는 이른바 ‘깨진 유리창 이론(Broken Window Theory)’을 발표했다. 뉴욕시는 연간 60만 건 이상의 중범죄를 줄이기 위해 ‘깨진 유리창 이론’을 이용해 지하철과 차량에 불법으로 도배돼 있던 그래피티를 지우기 시작했다. 그 결과 90년대 들어 중범죄가 75%까지 감소했다.

우리의 생활을 지배하는 스마트폰, PC 등 IT 기기에도 사이버 공격을 유발하는 ‘깨진 유리창’ 즉 취약점이 존재하며 해커는 이러한 취약점을 찾기 위해 고군분투한다. 취약점을 그대로 방치하면 해커는 이를 악용, 대량의 악성코드를 유포하거나 기업 내부망 혹은 심할 경우 국가기반시설까지 침투해 기밀정보 수집, 서비스 마비 등을 발생시킨다. 실제로 홈페이지 위변조, 스피어피싱 이메일, 랜섬웨어 등의 사이버 공격에 다양한 취약점이 악용되고 있다. 따라서 깨진 유리창을 새것으로 교체해 도둑이 들어오지 못하도록 하듯이 제조사는 취약점 패치를 신속하게 개발하고 사용자는 이를 즉시 적용해 침해사고를 예방해야 한다.

그러나 코로나19 사태로 급속화한 디지털 대전환과 안정성이 검증되지 않은 신기술 등장으로 신규 취약점은 매년 증가하는 추세이다. 취약점 전문 업체 CVE디테일(CVE Details)에 따르면 전 세계적으로 지난해 총 2만142건의 취약점이 발생, 전년 대비 약 10% 증가했다.

취약점을 신속하게 발굴·대응하기 위해 한국인터넷진흥원(KISA)과 일부 국내외 기업은 취약점을 찾아준 보안전문가에게 보상을 지급하는 보안취약점 신고포상제를 운영하고 있다. 이는 보안전문가들의 집단지성을 이용해 다양한 취약점을 보다 빨리 찾아내어 조치하려는 목적이다. 버그크라우드(BugCrowd)에 따르면 취약점 신고포상제 운영 시 조직 내부의 보안 인력을 통해 점검을 하는 것 대비 7배 이상 효과적이다.

KISA는 보안취약점 신고포상제를 2012년부터 운영하고 있다. 작년까지 총 8052건을 발굴하고 제조사에 패치 개발 및 배포를 독려했다. 또한 기업이 취약점 신고포상제를 스스로 운영하기 전까지 취약점 신고 접수부터 포상까지 전 과정에 대한 업무를 지원하고 있다. 뿐만 아니라 현행법(정보통신망법)상 위법인 서비스에 대한 취약점 발굴을 원하는 기업과 협업해 ‘핵 더 챌린지’프로그램을 운영하고 있다.

국가, 기업 등이 노력한다고 하더라도 제품 이용자가 보안에 민감하지 않아 취약점이 그대로 남아 있다면 해커는 이를 악용해 침해사고를 발생시킬 수 있다. 2017년에 출현한 워너크라이 랜섬웨어의 경우 3일 만에 150개국 30만 대를 감염시켜 다수의 시스템이 손상됐다. 해당 취약점을 해결하는 패치는 이미 두 달 전에 발표된 상황이었으나 사용자가 업데이트를 적용하지 않은 결과, 대량의 피해로 이어졌다.

미국 국토안보부 산하 사이버보안 및 인프라 보안국(CISA)이 지난해 발표한 ‘가장 많이 악용된 취약점’을 살펴보면 오래된 2018년, 2019년 취약점이 여전히 패치되지 않은 채 악용되고 있다. 관련 기업에서 패치 개발의 역할을 다했더라도 이용자의 역할인 패치의 적용이 아직 해결되지 않아 악용되는 경우가 많다는 것이다.

따라서 이용자는 보안 수칙을 생활화해 취약점에 노출되지 않도록 노력하는 것이 중요하다. 먼저 운영체제 및 소프트웨어에 대해서는 자동 업데이트 및 최신 패치를 적용해야 한다. 또한 보안 업데이트를 지원하는 IoT 기기를 구매하고 펌웨어는 최신 상태로 유지해야 한다. 마지막으로 출처가 불분명한 플랫폼을 통해 애플리케이션 다운로드 및 사용을 자제해야 한다.

전국시대 위나라의 백규는 개미구멍만 한 조그만 구멍이라도 간과하지 않고 수시로 막아, 재상으로 있는 기간 위나라에 한 차례의 수재(水災)도 없었으며 이로 인해 “개미구멍 하나가 큰 제방 둑을 무너뜨린다”는 뜻의 의혈궤제(蟻穴潰堤) 라는 고사성어가 생겼다고 한다. 아무리 비싼 보안 장비, 시스템, 소프트웨어를 도입하더라도 조그마한 구멍, 즉 취약점이 방치된다면 누구든지 해킹에 노출될 수 있다는 점을 명심해야 한다.