최근 이렇게 고도화되고 치밀해진 해킹 수법은 지능형 지속 위협(APT)이라고 통합해 명명되고 있으며 '다양한 보안 위협을 특정 대상에게 지속적으로 가하는 일련의 행위'라고 포괄적으로 정의되고 있다. 해커들은 지정된 타깃 정보를 수집한 후 신속하고 은밀하게 공격하며 성공할 때까지 사람의 심리를 이용한 사회 공학적 공격 기법을 사용한다. 공격 기법이 매우 정교하고 차단이 어려우며 기존 사례를 보면 사고가 알려지기 전까지 공격당한 사실조차 모르는 경우가 대부분이다.
이처럼 지능화, 광역화, 범죄화돼 가는 APT 공격에 대응하기 위해서는 한두 가지 해킹 대응 방법으로는 방어가 불가능하므로 해킹 가능 단계별로 보안 솔루션을 체계적으로 활용하고 지속적인 보안정책과 인프라의 업그레이드가 필요하다. 해킹 가능 단계별로 탐지, 차단, 방해, 완화, 속임이라는 일련의 대응 과정으로 구성돼 국방에서 운용되는 사이버 킬 체인도 유용한 수단이 될 수 있다.
또 유사하거나 동일한 업무 환경 및 정보통신기술(ICT) 환경을 갖춘 분야의 경우 취약점이나 침해 요인과 그 대응 방안 역시 유사하거나 동일할 수밖에 없다는 점에서 APT 공격을 위한 집단적 예방 및 대응 체계가 필요할 것이다. APT 공격에 악용되는 각종 취약점 및 그 대응 방안에 대한 정보를 신속하게 수집ㆍ분석해 공유ㆍ전파하고 APT 공격에 의한 침해 사고 발생 시 조기에 사고 원인을 분석해 해당 분야의 피해 확산을 차단할 수 있도록 분야별 정보공유분석센터(ISAC)를 통한 통합보안관제 체계를 구축ㆍ운영할 필요가 있다.
마지막으로 기술적인 보안과 더불어 전자금융 수단을 활용하는 '사람'에 대한 관리이다. 전설적인 해커 '케빈 미트닉'이 '보안의 최대 위협은 허술한 보안 제품이 아니라 사람이다. 나는 시스템을 해킹한 것이 아니라 사회 공학을 이용한 것이다'라고 적시했듯 APT 공격은 휴먼 해킹을 주로 사용하기 때문에 아무리 인프라를 보호한다고 해도 자료가 유출될 약점이 존재한다. 따라서 관리자는 정보보호 역량을 강화시키기 위한 교육을 개발 및 시행함으로써 보안을 생활화하는 노력이 필요하다. 또 각 기관의 최고 경영자, 정보보호 책임자, 감사위원회, 이사회, 실무관리자 등의 책임과 권한이 분명히 정의되고 실천되는 노력이 필요하다. 해킹 공격을 근원적으로 또는 기술적으로 완벽하게는 막을 수 없을지라도 예방하고자 최선을 다하는 자세와 사고 대처능력 배양이 무엇보다도 필요하다.
김영린 금융보안원장
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>