알려지지 않은 위협도 막는 선천 면역 보안의 힘

"랜섬웨어는 100% 막을 수 없으니 백업으로 복구하는 게 최선이에요."

얼마 전까지만 해도 이 말이 보안 업계의 '진리'처럼 여겨졌어요. 하지만 이제 그 '진리'가 무너지고 있습니다. 왜 그럴까요? 뉴스에서 이런 헤드라인 자주 보셨죠? "ㅇㅇ기업, 해커에 의해 고객 정보 대량 유출 위기" 언론에 해커들이 정보를 흘리고, 그제서야 "어라? 우리가 해킹당했네?"라며 부랴부랴 확인하는 기업들의 모습이 이제 익숙해질 지경입니다.

트루컷 시큐리티의 심재승 대표님은 이렇게 말합니다.

이미 우리의 기밀 설계나 영업 계획을 가져갔으면 우리가 그걸 갖고 있는 게 아무 의미가 없잖아요. 누군가가 이미 똑같은 걸 만들어낼 거고, 우리는 뒤통수 맞는 거죠.

1년 동안 밤낮없이 개발한 신제품 설계도가 경쟁사 손에 들어간다면? 시스템을 백업으로 복구해봤자 소용없을 거예요. 이제 보안의 패러다임이 바뀌어야 합니다. '백업해서 복구하자'가 아니라 '아예 뚫리지 말자'라는 '원천 차단'이 핵심이 된 거죠. 그런데, 이게 진짜 가능할까요?

방어자 입장에서는 어디서 어떻게 공격해 들어올지를 몰라요. 공격자는 수만 번 공격해서 한 번만 뚫으면 되지만, 우리는 모든 공격을 다 막아야 하니까요.

이런 불공평한 게임에서 우리 기업의 소중한 데이터를 지킬 방법은 정말 없을까요? 있습니다. 그래서 이번 글에서는, 지난 3월 26일에 진행했었던 '생각을 바꾸면 길이 보인다! 궁극의 엔드포인트 보안, 파라솔' 웨비나의 주요 내용을 정리하면서 관련 내용을 자세히 살펴보려고 합니다. 목차는 아래와 같습니다.

​

1. 진화하는 해커들의 전략

"돈만 주면 데이터 복호화 키를 드립니다. 48시간 내 응답이 없으면 데이터는 영원히 잠깁니다."

불과 몇 년 전까지 랜섬웨어 공격은 이렇게 단순했어요. 그런데 지금은 어떨까요?

"지불하지 않으면 탈취한 귀사의 고객 정보 2TB를 다크웹에 공개하겠습니다. 샘플 파일 확인하세요."

해커들이 한 수 더 떠버린 겁니다. 트루컷 시큐리티의 심재승 대표님 설명을 들어볼까요?

불과 2~3년 전부터 랜섬웨어는 먼저 자료를 훔쳐가요. 탈취하고 나서 암호화 시켜놓고, 돈 안 주면 내가 가져온 거 폭로하겠다고 하죠.

왜 이렇게 전략이 바뀌었을까요? 기업들이 똑똑해졌기 때문입니다. 백업 솔루션을 도입하고, "몸값 안 줄 테니 알아서 해~"라고 무시하는 회사들이 늘어났어요. 그러니 해커들도 새로운 압박 카드가 필요했던 거죠.

해커 입장에서는 '이렇게 열심히 공격했는데 돈을 안 주네, 어떡하지? 그럼 언론에라도 알려서 망신이라도 줘야겠다' 이런 심리인 거예요.

흥미로운 점은, 이 때문에 최근 해킹 사고가 급증한 것처럼 보인다는 사실입니다. 실제로 공격이 늘어났다기보다, 해커들이 자기 소행을 공개적으로 떠벌리는 경우가 많아진 거죠. 즉, 실제 공격이 예전보다 더 많아서라기보다는 열받은 해커들이 더 많아진 것이 아닐까 싶습니다. 이처럼, 오늘날 해커들은 목표가 분명합니다. 과거에는 기술 과시나 명성을 위해 공격했다면, 요즘은 돈이 목적입니다.

최근에는 자기 과시 공격은 거의 없어졌어요. 분명한 목표를 가지고 공격하죠. 정보를 탈취하거나, 금전을 요구하거나, 아니면 국가적 혼란을 야기시키거나 등등...

이들은 목표 달성을 위해 무슨 수를 써도 괜찮다고 생각합니다. 한 방법이 막히면 다른 방법을 시도하고, 필요하다면 여러 기법을 조합해요. 그래서 "올해는 이런 공격이 유행할 예정입니다."라는 예측은 이제 별 의미가 없습니다. 어차피 해커들은 목적을 달성하기 위해 수단과 방법을 가리지 않으니까요. 자동화 기반 공격으로 수백 수천만번 공격해서 딱 한 번만 뚫리면 되거든요.

그렇다면 해커들이 가장 탐내는 것은 무엇일까요? 바로 데이터입니다.

공격자 입장에서는 고객의 데이터만큼 확실한 담보가 없어요. 대부분의 기업은 자기 기밀이 외부에 나가는 걸 절대 원치 않으니까요.

데이터 탈취는 해커에게 일석이조입니다. 몸값을 요구할 카드가 되면서, 동시에 다크웹에서 판매할 수 있는 상품이 되거든요. 개인정보, 신용카드 정보, 기업 기밀은 암시장에서 꽤 비싼 값에 팔린답니다.

이렇게 끊임없이 진화하는 해커들의 전략 앞에서, 기업들은 더 이상 '공격 트렌드'만 좇아다녀서는 안 됩니다. 이제는 우리의 가장 소중한 자산인 데이터를 어떻게 보호할지, 그 핵심에 집중해야 할 때입니다. 그런데 이게 말이 쉽지, 실천하기 꽤나 어렵습니다. 왜 그럴까요? 그 이유를 알아봅시다.

​

2. 현재의 보안 접근법이 가진 문제점

"랜섬웨어는 100% 막을 수 없으니, 백업하고 빠르게 복구하세요."

서두에 언급했던 이런 조언, 많이 들어보셨죠? '레질리언스(회복력)'라는 멋진 단어로 포장된 이 접근법, 과연 충분할까요? 제이커넥트의 이기복 부장님은 이렇게 말합니다.

요즘 보안 업체들이 이슈화시키는 키워드가 레질리언스예요. 결론적으로는 막질 못하니까 '복원시켜준다' 그런 트렌드를 만들어서 본인들의 역할을 대체하는 느낌이 들어요.

이런 접근법의 가장 큰 문제는 데이터 탈취라는 현실을 간과한다는 점입니다. 백업의 문제가 아닙니다. 우리의 중요한 설계나 계획을 가져갔으면 우리가 그걸 가지고 있는 게 아무 의미가 없죠. 유출된 데이터로 누군가가 그걸 똑같이 만들어내면, 백업본이 있다 한들 무슨 의미가 있을까요?

그래서, 데이터 유출은 단순한 업무 중단보다 훨씬 심각하게 바라봐야 합니다. IBM 조사에 따르면, 데이터 유출 비용은 시스템 다운타임 비용의 3배가 넘어요. 백업으로 시스템을 복원해도, 경쟁 우위 상실, 지적재산권 피해, 고객 신뢰 하락은 복구할 수 없습니다.

그리고, 또 다른 문제는 '제로데이' 같은 알려지지 않은 위협에 대한 취약성입니다.

제로데이 영화 속에서는 그 한순간의 공격으로 수많은 사상자가 발생해요. 비행기가 마비되고, 철도가 충돌하고... 이런 경우엔 백업이 무슨 소용이 있겠어요?

전통적인 보안 도구들은 알려진 공격 패턴에만 대응할 수 있습니다. 이는 마치 백신이 이미 알고 있는 바이러스만 막는 것과 같죠. 즉, 일반적인 보안 솔루션들은 공격을 한번 당한 이후에야 그 공격을 막을 수 있다는 소립니다.

마지막으로, 보안과 업무 효율성 사이의 균형 문제가 있습니다. 막는 것도 중요하지만 업무 연속성이 더 중요하게 여기는 기업들도 많거든요. 컴퓨터가 느려지거나 업무가 안 된다면, 결국 보안보다 업무 편의성의 손을 들어주는 선택을 하게 된다는 겁니다. 그럼 보안은? 자연스럽게 수준이 약화되는 거죠.

많은 보안 솔루션이 이 균형을 잡기 매우 어려워 합니다. 너무 강력한 보안은 업무를 방해하고, 반대로 업무 효율성만 강조하면 보안에 허점이 생기죠. 이러한 현실 때문에, 기업들에게 새로운 보안 패러다임이 필요합니다. "어차피 막을 수 없으니 복구하자"는 접근법으론 더 이상 충분하지 않다는 것입니다. 그럼, 어떻게 해야 할까요?

​

3. 외부 공격을 원천 차단하는 것이 중요한 이유

"해커들의 공격은 결국 뚫린다, "100% 막을 수 없다" 

보안 세계에서 오랫동안 받아들여진 이 '불편한 진실', 정말 바꿀 수 없는 현실일까요? 사실, 사이버 보안은 근본적으로 불공정한 게임입니다. 심재승 대표님 표현대로 "기울어진 운동장"이죠.

공격자는 수만 번 공격해서 한 번만 뚫으면 되고, 방어자는 모든 공격을 다 막아야 해요."

그렇다고 이 불리한 게임에서 포기할 수는 없습니다. 앞서 언급한 것처럼, 데이터 유출의 대가가 너무 크기 때문이에요. 디도스(DDoS) 공격이나 일시적인 서비스 중단은 시간이 지나면 복구할 수 있죠. 하지만 데이터 유출은 다릅니다.

자료를 뺏긴 자료는 되찾아볼 방법이 없어요. 이미 남의 손에 넘어간 자료, 어떻게 찾아와요? 그건 찾아올 길이 없는 거죠.

그래서, '원천 차단'이 중요합니다. 해커로부터 자행되는 외부 공격을 원천적으로 차단하는 겁니다. 데이터 탈취가 발생한 후에는 어떤 조치도 이미 늦습니다. 유출된 데이터는 다크웹에서 팔리거나, 경쟁사에 넘어가거나, 대중에 공개될 수 있고, 그 피해는 계산할 수 없을 정도로 크기 때문이죠. 

전통적인 보안 도구들은 알려진 공격 패턴에만 대응할 수 있습니다. 이는 마치 백신이 이미 알고 있는 바이러스만 막는 것과 같죠. 즉, 일반적인 보안 솔루션들은 공격을 한번 당한 이후에야 그 공격을 막을 수 있다는 소립니다.

마지막으로, 보안과 업무 효율성 사이의 균형 문제가 있습니다. 막는 것도 중요하지만 업무 연속성이 더 중요하게 여기는 기업들도 많거든요. 컴퓨터가 느려지거나 업무가 안 된다면, 결국 보안보다 업무 편의성의 손을 들어주는 선택을 하게 된다는 겁니다. 그럼 보안은? 자연스럽게 수준이 약화되는 거죠.

막는 것도 중요하지만 업무 연속성이 더 중요해요. 막는다고 컴퓨터가 느려지면 결국 업무부터 되게 만들어야 하니까요.

많은 기업들이 강력한 보안 조치를 도입했다가 직원들의 불만과 생산성 저하로 결국 완화하거나 포기하는 경우가 많습니다. 반면, 업무 효율성만 강조하면 보안의 구멍이 생기고 해커들에게 기회를 제공하게 되죠.

특히 '제로데이(Zero-day)' 공격은 전통적인 방어 방식의 한계를 보여줍니다. 소프트웨어나 하드웨어의 취약점이 발견된 당일(즉, 개발자들이 패치할 시간이 0일)에 이루어지는 이런 공격은 방어자 입장에서는 이전에 본 적 없는 완전히 새로운 공격 방식이기 때문에 특히 위험합니다.

<이미지 출처 : Netflix, 제로데이>

심재승 대표님은 넷플릭스 드라마 '제로데이'를 언급하며 중요한 질문을 던집니다.

"정말로 알려지지 않은, 전에 없던 공격을 막을 수 없는 걸까요? 아니면 단지 준비를 제대로 하지 않은 걸까요?

이런 상황에서 필요한 것은 기존의 방어 패러다임을 완전히 뒤집는 접근법입니다. 알려진 위협 시그니처에 의존하는 대신, 행동 패턴과 의도를 분석하여 알려지지 않은 공격까지 탐지하고 차단할 수 있는 방식이 필요하다는 거죠. 이런 새로운 패러다임은 '선제적 보안(Proactive Security)' 또는 '행동 기반 보안(Behavior-based Security)'이라고 불리며, 전통적인 '반응적 보안(Reactive Security)'과 대비됩니다. 

심재승 대표님 말씀처럼, 이제 기업들은 "업무 연속성과 데이터 안전을 둘 다 고려해야" 합니다. 이제는 업무 방해를 최소화하면서도 강력한 보안을 제공할 수 있는 새로운 접근법이 요구되고 있다는 것인데요. 그게 무엇일까요? 이어서 살펴보겠습니다.

​

4. 선천 면역 엔드포인트 보안: 새로운 패러다임

"우리 몸은 한 번도 만나지 않은 바이러스도 어떻게 막아낼까요?" 

인체의 면역 시스템은 놀라운 방어 체계를 갖추고 있어요. 새로운 바이러스에도 즉각적인 방어 반응을 보이는 것은 '선천성 면역(Innate Immunity)'이라는 첫 번째 방어선 덕분입니다. 사이버 보안의 세계에도 이런 형태의 방어법이 존재합니다. 트루컷 시큐리티는 인체 면역 시스템에서 영감을 받은 '선천 면역 엔드포인트 보안'기법을 개발해 특허까지 받았는데요. 이 기술은 어떻게 기존 보안 솔루션의 한계를 뛰어넘는 것일까요?

인체의 면역 시스템은 크게 두 가지로 나뉩니다.

• ●선천 면역 : 태어날 때부터 가지고 있는 기본 방어 체계로, 이전에 경험하지 못한 위협에도 즉각 대응 
  

• ●후천 면역 : 특정 병원체에 노출된 후 발달하는 방어 체계로, 같은 위협에 더 효과적으로 대응
  

전통적인 사이버 보안 솔루션들은 '후천적 면역' 모델에 기반합니다. 먼저 공격을 당해봐야 대응법을 만들 수 있다는 거죠. 알려진 위협의 시그니처나 패턴을 인식하여 차단하는 방식이 바로 이겁니다. 그래서 '제로데이' 공격에는 취약할 수밖에 없는 한계가 있는거예요. 그럼, 웨비나에서 소개된 "선천 면역 엔드포인트 보안" 기술은 어떤 특징을 가지고 있을까요? 

① 행동 기반 탐지

전통적인 안티바이러스가 알려진 악성코드의 '서명'을 찾는다면, 선천 면역 보안은 프로그램이 실제로 무엇을 '하려고 하는지'에 집중합니다. 악성 행동의 패턴을 인식하고, 그 의도를 분석하여 위험한 활동을 사전에 차단하는 거죠.

② 제로데이 공격 방어 

이전에 본 적 없는 새로운 위협에도 효과적으로 대응할 수 있어요. 알려진 위협 시그니처에 의존하지 않기 때문에, 제로데이 공격도 비정상적인 행동 패턴을 통해 식별하고 차단합니다. 

③ 낮은 시스템 부하

경량화된 설계로 시스템 성능에 미치는 영향을 최소화합니다. 심재승 대표님이 언급했듯이, 막는 것도 중요하지만 업무 연속성을 더 중요하게 여기는 기업들이 여전히 많죠. 컴퓨터가 느려지거나 다운된다면 막을 수가 없으니까요.

④ 데이터 유출 방지

선천 면역 보안 시스템은 데이터 유출 시도를 모니터링하고 차단함으로써, 가장 중요한 자산인 데이터를 보호합니다. 

이처럼, 선천 면역 엔드포인트 보안과 기존 솔루션의 가장 큰 차이점은 접근 철학에 있습니다.

• ●사전 예방 : 피해가 발생한 후 복구하는 것이 아니라, 피해 자체를 원천적으로 방지
  

• ●행동 기반 : 알려진 위협 패턴에 의존하지 않고, 행동의 의도와 패턴을 분석
  

• ●단순성 : 복잡한 설정 없이, 직관적이고 효과적인 보안을 제공

심재승 대표님이 강조했듯이, 자료 탈취를 막지 않으면 다른 어떤 공격을 다 막아도 의미가 없죠. 그래서, 선천 면역 엔드포인트 보안은 바로 이 핵심 문제, 데이터 탈취를 원천적으로 차단하는 데 초점을 맞추고 있습니다.

​

5. 결론: 데이터 보호를 위한 새로운 접근법이 필요한 때

"백업으로 복구할 수 없는 것들이 있어요." 

이 간단한 문장이 현대 사이버 보안의 패러다임 전환을 요약합니다. 우리는 랜섬웨어를 '데이터를 사용할 수 없게 만드는 공격'으로 접근했지만, 실제로는 '데이터를 탈취하고 유출하는 위협'으로 진화했기 때문이죠. 이미 남의 손에 넘어간 자료를 찾아오기란 불가능에 가까우니까요. 

더 이상 "어차피 공격은 발생할 것이니 복구하자"는 접근법은 충분하지 않습니다. 데이터 유출은 회복 불가능한 피해이기에, 원천적인 예방이 필수적이에요. 그래서, 기업들은 다음과 같은 데이터 보호 전략을 취해야 합니다. 

• ●보안 철학의 전환 
  

"100% 막을 수 없다"는 체념적 접근에서 "핵심 자산을 반드시 보호한다"는 적극적 태도로 전환

• ●다층 방어 전략 구축
  

선천 면역 엔드포인트 보안을 중심으로, 여러 방어층을 유기적으로 통합하는 전략 수립

• ●데이터 중심의 보안 관점
  

데이터의 중요도에 따른 분류, 최소 권한 원칙 적용, 데이터 유출 경로 모니터링 등 데이터 중심의 접근법 마련

• ●보안과 사용성의 균형
  

업무 연속성 플러스 데이터를 안전하게 지키는 것까지 둘 다 고려해야 

사이버 보안은 근본적으로 불공정한 게임이에요. 방어자는 모든 공격을 막아야 하고, 공격자는 한 번만 성공하면 됩니다. 하지만 선천 면역 엔드포인트 보안과 같은 혁신적 접근법은 알려지지 않은 위협까지 차단할 수 있는 가능성을 제시합니다. 

데이터 보호는 선택이 아닌 필수가 된 지금, 랜섬웨어와의 전쟁에서 진정한 승리는 공격 후 빠른 복구가 아니라, 중요 데이터의 탈취와 유출을 원천적으로 차단하는 것에 있다는 것은 여러번 강조해도 지나치지 않습니다. 그리고, 선천 면역 엔드포인트 보안 솔루션, 파라솔로 해커의 공격을 잡아내고 차단할 수 있습니다. 보다 자세한 내용이 궁금하신 분들은 아래의 웨비나 영상을 시청해 보시기 바랍니다.

더불어, 정말 파라솔 솔루션이 외부 공격을 잘 잡아내고 차단할 수 있는지 테스트해 보고 싶으신 분들은 아래의 전문가에게 요청해 보실 것을 권합니다.

• ●제이커넥트 이기복 부장, [email protected], 010-8815-9186

이 글이 보다 안전한 보안 환경 마련에 고민이 많은 IT 보안 담당자 분께 조금이나마 도움이 되었으면 좋겠습니다.

끝!