엔비디아·삼성·MS는 왜 10대 해커조직에 당했나

기사등록 2023/09/17 12:00:00 최종수정 2023/09/17 13:24:31

전통 보안 체계의 한계…"웹서버·데이터 시스템까지 신원 위조에 취약"

"아무도 믿지마라" 제로트러스트 보안 패러디임 전환 확산

최영준 KISA 팀장 "가이드라인 1.0 버전 이어 2.0도 준비 중"…보안 업체들과 실증 中

최영준 KISA 정책대응팀장이 15일 광화문 인근에서 기자들과 만나 제로트러스트가이드라인에 대해 설명하고 있다.(사진=KISA 제공)  *재판매 및 DB 금지

[서울=뉴시스]송혜리 기자 = 지난해 엔비디아, 마이크로소프트(MS), 삼성전자, LG전자 등 글로벌 대형 정보기술(IT) 기업이 연달아 해킹 공격을 받아 일부 회사정보가 유출되는 사고가 발생했다. 영국·브라질 출신 10대들이 핵심 멤버인 것으로 알려진 신생 해커그룹 랩서스가 벌인 일이다.

이들은 엔비디아 시스템에 침입해 그래픽처리장치(GPU) 회로를 포함한 기밀 데이터 1테라바이트(TB)를 훔치고, 삼성전자를 해킹해 190기가바이트(GB)에 이르는 갤럭시 소스코드를 빼냈다. LG전자에서는 임직원 이메일 계정·비밀번호 약 9만건을 탈취하고 MS에서 빙, 코타나 소스코드를 들고 나왔다.

랩서스의 해킹 방식은 다크웹, 피싱 이메일, 가짜 웹 사이트 등을 통해 공격 타깃 기업 임직원 계정정보(아이디·패스워드)를 취득한 후, 내부 기밀정보를 탈취한 것으로 알려졌다.

◆문만 열면 사달 났던 전통 보안 모델…"아무도 믿지 마라" 제로트러스트 '주목'

첨단 보안시스템과 전문 인력을 갖춘 글로벌 대기업들이 나이 어린 해킹조직에 속수무책으로 당했던 이유는 뭘까. 전문가들은 전통적인 보안 체계의 한계라고 입을 모은다. 근본적인 보안 패러다임을 바꾸지 않는 한 이런 사고들은 반복될 수 밖에 없다고 지적이다.

최영준 한국인터넷진흥원(KISA) 미래정책연구실 정책대응팀장은 "코로나19확산 이후 비대면·디지털 전환 가속화, 지능화기술 확산 등에 따라 기존 보안체계로는 막기 어려운 사이버 공격이 출현하고 있다"며 "제로트러스트(Zero Trust) 보안 모델이 전세계적으로 주목받고 있는 이유"라고 말했다.
 
제로트러스트 보안모델은 말 그대로 '아무도 믿지말라'는 원칙을 기본 전제로 시스템 접근부터 데이터 열람까지 신원 확인과 검증을 반복하는 새로운 보안 체계를 말한다.

기존 전통적인 보안체계는 '입구만 잘 지키는' 형태다. 내부망과 외부망 사이에 보초를 세우고 접근권한이 확인된 사용자를 내부 시스템에 들어올 수 있도록 하는 형태다. '경계 기반 보안모델'이라고도 부른다. 침입자가 내부자와 공모하거나 내부자 계정을 탈취할 경우가 문제다. 만약 신원 확인과정만 통과할 경우 내부 서버·컴퓨팅 서비스·데이터 등에 추가 인증없이 접근할 수 있다. 해커 입장에선 '문만 열면 끝'인 셈이다.

반면 제로트러스트 보안모델은 시스템 관문마다 문지기를 세운다. 서버, 컴퓨팅 서비스·데이터 등을 각각 분리·보호하기 때문에 특정 시스템이 뚫려다 해도 다른 시스템은 지킬 수 있다. 신원이 확인된 사용자라할 지라도 최소한의 접근권한만 부여하고, 다양한 추가인증 절차를 두기 때문에 내부자와의 공조도 쉽지 않다.

이 때문에 미국, 유럽 등에서는 다양화·지능화되는 사이버위협에 대응할 수 있는 보완 수단으로 제로트러스트 보안 모델을 앞다퉈 도입하고 있다.

◆정부도 '제로트러스트 가이드라인' 업데이트 中

우리 정부도 지난 7월 '제로트러스트 가이드라인 1.0'을 마련해 발표했다. 가이드라인은 제로트러스트 기본 개념과 핵심 원칙, 접근 제어 원리 등이 담긴 '제로트러스트 보안 백서'다.

특히 ▲아이디, 패스워드 외 다양한 인증 정보를 활용하는 '인증 체계 강화' ▲각각의 IT자원을 단독적으로 배치하고 각종 접근에 대해 지속적으로 검증하는 '마이크로 세그멘테이션(Micro Segmentation)' ▲소프트웨어 기반으로 보호 대상을 분리·보호할 수 있는 경계를 만드는 '소프트웨어 정의 경계'등 핵심 원칙을 준수해 구현하도록 권장하고 있다.

아울러 접근제어 시스템 운영 시 '제어영역'과 '데이터 영역'을 구분토록 하고, 자원에 대한 접근 요구가 있을 때 접속을 결정하는 정책결정지점(PDP)과 접속을 시행하는 정책시행지점(PEP)을 두도록 했다.

과학기술정보통신부와 KISA는 가이드라인 차기 버전도 준비 중이다. 민간에서 참고 할 수 있는 사례를 제시하기 위해 보안기업들과 제로트러스트 도입 전후 보안 효과성에 대한 실증을 진행 중이다.

통신·금융·공공 분야 IT환경에 제로트러스트 보안모델을 구현하고, 세계적 수준의 화이트해커들이 보안 효과성을 검증하는 형태다. 현재 SGA솔루션즈 컨소시엄, 프라이빗테크놀로지 컨소시엄이 보안 모델을 구축하며, 엔키가 화이트해커들과 검증모델을 만들고 있다.

KISA는 제로트러스트 확산을 위한 예산 62억원을 신규로 확보한 상태다. 최영준 KISA 팀장은 "내년부터 원활한 기술 고도화·실증지원을 통해 제로트러스트의 보안 효과성을 검증하고, 글로벌 시장으로의 보급 확산을 본격화할 계획"이라고 설명했다.다.


◎공감언론 뉴시스 chewoo@newsis.com