특히 문 대통령은 사이버 보안 빅데이터센터를 강조했다. 사이버 안보를 강화하겠다는 전략이다. 참고로 사이버 보안 빅데이터센터 구축 전략은 국내에서만 추진하는 전략이 아니다. 국외에서도 이와 같은 추진을 검토하고 있다.
2년 전 정부 기관의 요청으로 사이버 보안과 관련해 해외 도서를 추천한 적이 있다. 당시 빌 거츠가 쓴 ‘정보전쟁 : 정보 시대의 전쟁과 평화(iWar : War and Peace in the Information Age)’를 추천했다. 빌 거츠는 이 책에서 “사이버 보안 빅데이터센터를 구축”할 필요가 있다고 주장했다.
이처럼 사이버 보안 빅데이터센터는 국가 안보 강화라는 측면에서 주목받고 있다. 그러면 사이버 보안 빅데이터센터는 어떤 기술일까. 사이버 보안에 빅데이터를 적용해 센터를 구축하는 것은 단어에서 유추할 수 있다. 하지만 필요한 이유와 활용 방안은 궁금할 것이다. 다시 말해 사이버 보안 빅데이터센터가 필요한 이유는 무엇이고 안보 강화에 어떻게 활용할 수 있을까.
4차 산업혁명으로 보안 위험 증가
사이버 보안 빅데이터센터가 주목받는 배경을 이해하기 위해서는 두 가지 측면을 살펴봐야 한다. 수요와 기술 성숙도를 살펴봐야 한다. 우선 수요부터 살펴보자.
수요는 사이버 보안 빅데이터센터가 필요하게 된 배경을 이해하게 한다. 등장 배경은 간단하다. 현재 사이버 보안 체계로는 사이버 위협에 효과적으로 대응할 수 없기 때문이다. 특히 대응력 부족은 4차 산업혁명에 따라 더욱더 심화할 것으로 전망된다.
4차 산업혁명은 두 가지 특성이 있다. ‘초연결’과 ‘지능형’이라는 특성을 가진다. 초연결은 사물인터넷(IoT)에 따라 발생한 특성으로, 모든 사물을 네트워크로 연결하는 것을 뜻한다. 지능형은 인공지능(AI)에 따라 나타난 특성으로, 기기의 지능화를 뜻한다.
두 가지 특성은 사회 발전에 크게 기여한다. 하지만 안타까운 사실은 이러한 기여는 사이버 위협에도 적용된다는 점이다. 초연결은 두 가지 사이버 위협을 불러온다. 사이버 공격에 드는 비용을 낮출 뿐만 아니라 공격 피해를 증대시킨다.
초연결은 여러 사물에 IoT가 부착돼 사물이 네트워크 통신을 할 수 있는 사회를 뜻한다. 수많은 사물이 네트워크로 연결되는 것을 뜻하는데, 이는 해커가 공격할 수 있는 부분이 많아진다는 것을 의미하기도 한다. 인터넷 시절에 해커는 컴퓨터만을 대상으로 사이버 공격을 가했는데 4차 산업혁명 시대에는 자동차·로봇청소기·휴머노이드 등 여러 대상으로 사이버 공격을 가할 수 있다.
보안 전문 기업 ‘체크포인트’는 로봇청소기를 해킹하는 장면을 시연했다. 원격조종뿐만 아니라 청소기에 부착된 영상 IoT를 활용해 집 안을 몰래 촬영하는 모습까지 선보였다. 자동차 해킹 시연도 있다. 화이트 해커는 피아트크라이슬러 자동차를 해킹해 원격으로 운전하는 모습을 선보였는데, 이는 피아트크라이슬러가 미국 내 자동차 140만 대를 리콜하는 사태로 확장됐다.
이러한 해킹 시연은 초연결에 따라 해킹 피해 규모가 증가한다는 것을 보여주기도 한다. 과거에는 컴퓨터를 해킹해 정보를 탈취하는 것이 전부였다. 하지만 초연결 사회에서는 해커가 각종 기기를 해킹해 물리적 피해도 입힐 수 있다. 예를 들어 보안 전문 기업 ‘아이오액티브(iOActive)’는 원격으로 가정용 휴머노이드를 해킹해 드라이버로 토마토를 찌르는 장면을 시연했다.
그뿐만 아니라 IoT 센서는 자체 취약점도 갖고 있다. IoT는 저전력의 저품목 센서다. 이에 따라 적용되는 보안 기술 수준이 낮다. 이는 해킹 난이도를 낮춘다. 2016년 10월 미라이(Mirai) 공격을 대표 사례로 들 수 있다. 미라이 공격은 해커가 10만 개나 되는 IoT를 원격조종해 85개의 미국 주요 사이트를 공격한 사건이다. 놀라운 점은 초보 수법으로 10만 대나 되는 IoT를 쉽게 해킹했다는 점이다. 이는 그만큼 IoT가 보안에 취약하다는 것을 의미한다.
지능형도 사이버 위협을 증대한다. 다시 말해 AI를 사이버 공격에 활용할 수 있다. 2016년 세계 최고 해킹 대회인 데프콘(DEFCON)에서 주목받은 해킹 팀이 있다. 바로 ‘메이헴’이다. 메이햄은 15개 팀 가운데 14위밖에 하지 못했지만 주목받았다. 해커가 AI였기 때문이다.
이는 AI 발전을 보여줌과 동시에 해킹의 대중화를 알린다. 컴퓨터 초보자도 AI에 명령해 해킹을 시도할 수 있기 때문이다. 이러한 추세는 이미 예전부터 진행됐었다. 서비스형 범죄(CaaS)는 사이버 공격 툴을 판매하는 서비스다. 이러한 거래는 다크넷(Darknet)이라는 범죄 전용 익명 사이트에서 이뤄진다. 랜섬웨어, 개인 정보 판매, 취약점 툴 등이 거래되고 있다. 돈만 있으면 해킹 툴을 구입해 쉽게 사이버 공격을 가할 수 있다.
이는 초보자도 쉽게 전문 해커가 될 수 있게 한다. 가장 쉬운 공격인 디도스(DDoS)는 초등학생고 구사할 수 있을 정도로 쉽다. 일반 사이트에서 해당 툴을 쉽게 구할 수 있을 정도다. 앞으로 CaaS는 AI에 힘입어 더욱더 발전할 것으로 보인다. 피싱 공격, 취약점 자동 발견 툴 등에 AI가 접목될 것으로 전망된다.
사이버 공격 증대에도 기여한다. IBM은 지난해 7월 미국 최대 보안 콘퍼런스 ‘블랙햇(Blackhat)’에서 AI를 적용한 랜섬웨어인 딥로커를 선보였다. 공격 대상을 영상 화면 모습과 대조해 AI를 통해 판별한다. 그 후 악성 공격을 가한다. 이 밖에 수많은 AI 악성 코드가 있다. 용도는 보안 시스템 회피용이다.
사이버 위협성은 비용 감소와 공격 피해 증대로 더욱더 커질 것으로 보인다. 따라서 4차 산업혁명은 사이버 공격에도 영향을 줄 것으로 전망된다. 사이버 공격 대중화·전문화를 야기할 것으로 보인다.
4차 산업혁명은 사이버 위협 증대라는 어두운 면을 불러온다. 이에 대응할 기술이 필요하다. 어떤 기술을 활용하면 좋을까. 서두에 언급했듯이 빅데이터를 활용할 수 있다.
빅데이터는 2005년 오라일리 미디어의 로거 더글라스가 처음 언급한 용어다. 2012년 가트너가 규모(Volume)·속도(Velocity)·다양성(Variety)으로 빅데이터의 개념을 정립했다. 이러한 특성을 3V라고 부른다.
빅데이터의 등장은 4차 산업혁명과 관련이 있다. 규모는 대용량 데이터를 의미하는데, 이러한 데이터 생성은 IoT와 관련이 있다. 무수히 많은 IoT가 데이터를 생성하기 때문이다. 속도는 데이터 처리 성능을 말한다. 다양성은 비정형 데이터를 분석하는 기술을 의미하는데, AI가 이에 활용될 수 있다. 정리하면 IoT와 AI가 빅데이터를 등장시킨 주요 요인으로 볼 수 있다.
빅데이터는 데이터 경제라는 현상을 불러왔는데 데이터가 경제적 가치를 지닌 시대가 도래한 셈이다. 참고로 데이터 경제는 일반 데이터를 분석해 유용한 정보로 추출되는 현상을 뜻한다. 예를 들어 사람의 성향 데이터는 의류 성향을 알 수 있게 하는 원천 정보로 활용될 수 있다.
사이버 보안에서도 빅데이터를 이와 같은 방식으로 활용할 수 있다.
다시 말해 악성 코드 정보 외 정보를 활용해 사이버 공격 여부를 판별할 수 있다. 악성 메일을 예로 들어보자. 메일 발신인의 정보를 수집해 파일의 악성 여부를 분석하지 않고도 사이버 공격 여부를 판별할 수 있다. 메일 발신인이 악성 메일을 보낸 이력이 있다면 해당 메일은 악성 메일이 가능성이 높다.
데이터 경제 관점에서 보면 악성 코드 외에 발견되는 데이터는 추후 사이버 공격 여부 판별에 도움이 되는 자료로 활용할 수 있다.
사이버 위협 증가와 데이터 경제 대두는 사이버 보안 빅데이터센터를 주목받게 했다. 어찌 보면 데이터 경제가 사이버 보안 분야로 진출한 셈이다. 참고로 사이버 보안과 데이터 경제가 융합된 기술을 ‘지능형 위협 정보(threat intelligence)’라고 부른다.
지능형 위협 정보는 기존 사이버 공격에 효과적으로 대응할 수 있게 한다. 기존 보안 체계는 탐지 위주였다. 침입 차단 시스템(IPS)·방화벽·백신(AV) 등이 악성 코드 탐지를 위한 보안 솔루션이다. 이 밖에 많은 보안 탐지 솔루션이 있다. 너무 많아 ‘보안 관제 시스템(SIEM)’이라는 보안 관리 시스템이 등장했다.
하지만 악성 코드 정보만으로 사이버 공격을 탐지하는 것은 효과적이지 않다. 그 외 데이터를 수집할 필요가 있다. 지능형 위협 정보가 필요하다. 그뿐만 아니라 이러한 정보는 다른 기관과 공유할 필요가 있다. 참고로 이를 위협 공유(threat sharing)라고 부른다. 이미 이를 위한 표준 체계가 마련돼 있다.
위협 공유는 사이버 공격 대응력을 높인다. 이미 발생한 공격 데이터를 공유해 사전에 대응할 수 있게 하기 때문이다.
그뿐만 아니라 지능형 위협 정보를 바탕으로 사이버 공격 대응력을 꾸준히 높일 필요가 있다. 성벽으로 예를 들면 전쟁 시에 공격을 예상해 취약한 부분을 강화하는 것이다. 위협 사냥(threat hunting)이 이러한 역할을 한다. 위협 사냥은 위협 정보를 바탕으로 보안 시스템 체계를 꾸준히 강화하는 기술이다. 말 그대로 위협을 사냥해 보안 체계 강화로 위협을 없애는 것이다.
지능형 위협 정보는 탐지 강화뿐만 아니라 위협 공유와 위협 사냥으로 사이버 보안을 더욱더 강화한다. 이는 3단계 보안 선순환 모델로 정리할 수 있다. 정보 공유, 탐지 강화, 위협 추적의 순으로 선순환을 거친다.
정보 공유는 위협 공유를 통해 위협 정보를 공유하는 단계다. 이러한 공유는 사이버 공격의 탐지 능력을 강화한다. 다시 말해 탐지 강화로 이어진다. 탐지뿐만 아니라 사전 대응도 필요하다. 탐지하지 못했다고 해서 사이버 보안성을 장담할 수 없기 때문이다. 위협 사냥은 끊임없이 위협을 발견하게 하고 보안을 강화하게 한다. 참고로 해당 단계에서는 위협 데이터를 추출할 수 있는데 이러한 데이터는 공유될 수 있다.
4차 산업혁명 시대는 사이버 공격 위협을 높이고 있다. 이에 따라 사이버 보안 빅데이터센터가 요구된다. 다시 말해 데이터 경제와 접목한 지능형 위협 정보를 활용해 공격에 효과적으로 대응할 수 있다. 4차 산업혁명 시대에 따라 사이버 보안도 새로운 보안 체계가 필요해지고 있다.
[본 기사는 한경비즈니스 제 1234호(2019.07.22 ~ 2019.07.28) 기사입니다.]
© 매거진한경, 무단전재 및 재배포 금지