Steel Train

본문

(출처 : https://thehackernews.com/2025/06/critical-open-vsx-registry-flaw-exposes.html)

사이버보안 연구원들은 Open VSX 레지스트리("open-vsx[.]org")의 심각한 취약점을 공개했습니다. 이 취약점이 성공적으로 악용될 경우 공격자는 Visual Studio Code 확장 프로그램 시장 전체를 장악하여 심각한 공급망 위험을 초래할 수 있습니다.

Koi Security 연구원 오렌 욤토프는 "이 취약점은 공격자에게 전체 확장 프로그램 시장에 대한 완전한 통제권을 부여하고, 결과적으로 수백만 대의 개발자 컴퓨터에 대한 완전한 통제권을 부여합니다." 라고 말했습니다 . "CI 문제를 악용함으로써 악의적인 공격자는 Open VSX의 모든 확장 프로그램에 악성 업데이트를 게시할 수 있습니다."

2025년 5월 4일에 책임감 있는 공개가 이루어진 후, 유지 관리자들은 여러 차례의 수정을 제안했고, 마침내 6월 25일에 배포되었습니다.

Open VSX Registry는 오픈 소스 프로젝트이자 Visual Studio Marketplace의 대안입니다. Eclipse Foundation에서 관리하고 있으며, Cursor, Windsurf, Google Cloud Shell Editor, Gitpod 등 여러 코드 편집기에서 Open VSX Registry를 자사 서비스에 통합하고 있습니다.

"이처럼 널리 보급된 환경에서 Open VSX가 손상되면 공급망 전체에 악몽과 같은 상황이 벌어질 수 있습니다."라고 Yomtov는 말했습니다. "확장 프로그램이 설치되거나 백그라운드에서 확장 프로그램 업데이트가 자동으로 수행될 때마다 이러한 작업은 Open VSX를 통해 처리됩니다."

Koi Security가 발견한 취약점은 publish-extensions 저장소 에 기인하는데 , 이 저장소에는 오픈소스 VS Code 확장 프로그램을 open-vsx.org에 게시하는 스크립트가 포함되어 있습니다.

개발자는 리포지토리에 있는 extensions.json 파일에 추가하기 위해 풀 리퀘스트를 제출하여 확장 기능을 자동 게시하도록 요청할 수 있으며 , 이후 해당 확장 기능은 승인 및 병합됩니다.

백엔드에서는 매일 오전 3시 3분(UTC)에 실행 되는 GitHub Actions 워크플로 형태로 실행되며, JSON 파일에서 쉼표로 구분된 확장자 목록을 입력으로 받아 vsce npm 패키지를 사용하여 레지스트리에 게시합니다 .

Yomtov는 "이 워크플로는 @open-vsx 서비스 계정의 비밀 토큰(OVSX_PAT)을 포함한 권한 있는 자격 증명으로 실행되며, 이 토큰은 마켓플레이스의 모든 확장 프로그램을 게시(또는 덮어쓰기)할 수 있는 권한을 가지고 있습니다."라고 말했습니다. "이론적으로는 신뢰할 수 있는 코드만 해당 토큰을 볼 수 있어야 합니다."

"이 취약점의 근본 원인은 npm install이 자동 게시된 모든 확장 프로그램과 해당 종속성의 임의의 빌드 스크립트를 실행하면서 OVSX_PAT 환경 변수에 대한 액세스 권한을 제공한다는 것입니다."

즉, @open-vsx 계정의 토큰에 액세스하여 Open VSX 레지스트리에 대한 특권 액세스를 활성화하고 공격자에게 새로운 확장 프로그램을 게시하고 기존 확장 프로그램을 변조하여 악성 코드를 삽입할 수 있는 권한을 제공합니다.

MITRE는 확장 기능으로 인한 위험을 간과하지 않았습니다. MITRE는 2025년 4월부터 ATT&CK 프레임워크에 새로운 " IDE 확장 " 기술을 도입했으며 , 이 기술은 악의적인 행위자가 피해자 시스템에 지속적으로 접근하는 데 악용될 수 있다고 밝혔습니다.

"모든 마켓플레이스 항목은 잠재적인 백도어입니다."라고 Yomtov는 말했습니다. "이것들은 검증되지 않은 소프트웨어 종속성으로, 특권 접근 권한을 가지고 있으며, PyPI, npm, Hugginface 또는 GitHub의 모든 패키지와 동일한 수준의 주의가 필요합니다. 이를 방치하면 공격자들이 점점 더 악용하고 있는 광활하고 보이지 않는 공급망이 형성됩니다."

 

의견

최근 공개된 Open VSX 레지스트리의 취약점은 모든 개발자들의 코드 기반과 시스템을 통째로 위협하는 공급망 공격의 정점이라고 생각한다. Visual Studio Code 확장이 갖는 막대한 영향력과 자동 업데이트 구조를 생각해보면, 이 취약점은 코드 에디터를 통한 루트 권한 획득 시나리오를 현실로 만든다는 것이다.

대부분의 개발자들은 VSCode 확장을 설치할 때 별도의 신뢰성 검증 없이 '편의성'에만 치중되어 클릭만으로 확장을 설치한다. 하지만, 이 확장 하나가 공격자에 의해 조작되면 백도어 심기/환경 변수 탈취/SSH 키 유출 같은 치명적인 결과로 이어질 수 있다고 본다.

또한, CI/CD 파이프라인 상의 토큰 노출 문제에서 기인했다는 점이 중요하다. npm install 명령 실행 중 scripts 필드가 의도치 않은 명령어를 실행할 수 있고, 이 과정에서 OVSX_PAT 토큰이 노출되어 공격자가 모든 확장을 덮어쓰고 악성코드를 주입할 수 있었다는 건 충격적인 점이다.

즉, VSCode 생태계 전체에 악성 확장을 '정상'으로 위장해 자동 배포할 수 있는 특권이 공격자 손에 들어갈 수 있었단 것이다.

지금까지 IDE 확장은 npm패키지나 PyPI 라이브러리보다 한 단계 느슨하게 관리되어 왔다면, MITRE가 이번에 'IDE 확장'을 ATT&CK 프레임워크에 포함한 것은 매우 적절한 것 같다. 앞으로 신뢰된 서명이나 취약점 스캔, 정적 코드 분석 대상에 IDE 확장도 포함되어야 한다고 생각한다.

또한, CI 환경에서의 토큰 노출 방지를 위해 반드시 Build 환경 격리나 안전한 실행 컨텍스트 설계가 변행되어야 한다.

뉴스본문

(출처: https://thehackernews.com/2025/06/new-linux-flaws-enable-full-root-access.html)

사이버보안 연구원들은 주요 Linux 배포판을 실행하는 컴퓨터에서 루트 권한을 얻는 데 악용될 수 있는 두 가지 로컬 권한 상승(LPE) 취약점을 발견했습니다.

Qualys에서 발견한 취약점 은 다음과 같습니다.

• CVE-2025-6018 - SUSE 15의 플러그형 인증 모듈( PAM ) 에서 권한이 없는 사용자가 allow_active로 LPE를 사용하는 문제
• CVE-2025-6019 - udisks 데몬을 통해 libblockdev 에서 allow_active에서 root로의 LPE

Qualys 위협 연구 부서(TRU)의 수석 관리자인 Saeed Abbasi는 "이러한 최신 '로컬에서 루트로' 공격은 일반 로그인 사용자와 전체 시스템 점령 간의 격차를 무너뜨렸습니다." 라고 말했습니다 .

"udisk 루프 마운트 및 PAM/환경 버그와 같은 합법적인 서비스를 체이닝함으로써, 활성 GUI 또는 SSH 세션을 소유한 공격자는 polkit의 allow_active 신뢰 영역을 가로질러 몇 초 만에 루트로 로그인할 수 있습니다."

사이버 보안 회사는 CVE-2025-6018이 openSUSE Leap 15와 SUSE Linux Enterprise 15의 PAM 구성에 존재하며, 권한이 없는 로컬 공격자가 "allow_active" 사용자로 권한을 승격하고 실제로 존재하는 사용자에게만 예약되어 있는 Polkit 작업을 호출할 수 있다고 밝혔습니다.

반면 CVE-2025-6019는 libblockdev에 영향을 미치며 대부분의 Linux 배포판에 기본적으로 포함된 udisks 데몬을 통해 악용될 수 있습니다 . 이 취약점은 "allow_active" 사용자가 CVE-2025-6018과 연계하여 전체 루트 권한을 획득할 수 있도록 허용합니다.

"명목상 'allow_active' 권한이 필요하지만, udisks는 거의 모든 Linux 배포판에 기본적으로 포함되어 있기 때문에 거의 모든 시스템이 취약합니다."라고 Abbasi는 덧붙였습니다. " 여기에 공개된 PAM 문제를 포함하여 'allow_active' 권한을 획득 하는 기술은 이러한 장벽을 더욱 무력화합니다."

루트 권한을 얻으면 공격자는 시스템에 대한 무제한 접근 권한을 갖게 되어 보안 제어를 변경하고 은밀한 접근을 위한 백도어를 이식하는 등 보다 광범위한 침해 후 조치를 위한 발판으로 삼을 수 있습니다.

Qualys는 Ubuntu, Debian, Fedora, openSUSE Leap 15를 포함한 다양한 운영 체제에서 이러한 취약점의 존재를 확인하기 위해 개념 증명(PoC) 익스플로잇을 개발했다고 밝혔습니다.

이러한 결함으로 인한 위험을 완화하려면 Linux 배포판 공급업체에서 제공하는 패치를 적용하는 것이 필수적입니다. 임시방편으로, 사용자는 "org.freedesktop.udisks2.modify-device"에 대한 Polkit 규칙을 수정하여 관리자 인증("auth_admin")을 요구할 수 있습니다.

Linux PAM에서 결함 발견#

이 취약점은 Linux PAM 관리자들이 로컬 사용자가 루트 권한으로 승격할 수 있는 고위험 경로 탐색 취약점( CVE-2025-6020 , CVSS 점수: 7.8)을 해결하면서 공개되었습니다. 이 취약점은 1.7.1 버전에서 수정되었습니다.

Linux PAM 관리자인 Dmitry V. Levin은 "linux-pam <= 1.7.0의 모듈 pam_namespace는 적절한 보호 없이 사용자가 제어하는 ​​경로에 액세스할 수 있으며, 이로 인해 로컬 사용자가 여러 심볼릭 링크 공격과 경쟁 조건을 통해 루트 권한으로 승격할 수 있습니다." 라고 말했습니다 .

Linux 시스템이 pam_namespace를 사용하여 다중 인스턴스화된 디렉터리를 설정하고, 다중 인스턴스화된 디렉터리 또는 인스턴스 디렉터리 경로가 사용자 제어 하에 있는 경우 취약합니다. CVE-2025-6020에 대한 해결 방법으로, 사용자는 pam_namespace를 비활성화하거나 사용자 제어 경로에서 작동하지 않도록 설정할 수 있습니다.

2025년 1월 29일에 관리자에게 해당 결함을 보고한 ANSSI의 올리비에 발 페트레는 사용자 들이 배포판에서 제공하는 스크립트를 사용하지 않는 경우 namespace.init 스크립트도 업데이트하여 두 경로 중 어느 것이든 루트로 안전하게 작업할 수 있도록 해야 한다고 말했습니다.

 

의견

이번에 공개된 CVE-2025-6018, 6019, 6020 취약점들은 그 어느 때보다 "로컬 권한 상승"의 위험성을 실감나게 만든것 같다. 특히, 일반 사용자 계정에서 시작해서 시스템 전체를 장악할 수 있는 루트 권한 탈취 시나리오가 수 초 만에 가능하다는 점은 매우 심각한 보안 위협으로 보인다.

업무 중에 내부 사용자에 의한 보안 위협도 지속적으로 모니터링 하는데, 이처럼 PAM이나 udisks 같은 기본 시스템 구성 요소에서 발생하는 취약점은 일반 사용자 계정이 공격자 도구가 되는 순간 치명적인 위협으로 변질된 다는 것에 공감한다.

이번 취약점들의 공통점은 다음과 같다고 본다.

- Polkit의 allow_active 권한 신뢰 모델을 교모히 우회

- GUI/SSH 세션에서의 사용자 활동을 기준으로 권한을 착각하게 만드는 구조

- PAM의 namespace 기능, udisks의 루프 마운트 기능 등 합법적인 시스템 서비스 체이닝

- PoC 단계에서 주요 배포판(Ubuntu, Debian 등) 전반에 걸친 영향

단순 로컬 취약점이 아니라 모든 시스템 사용자 계정이 사실상 잠재적인 침입 포인트가 될 수 있다는 것을 의미한다고 생각한다. 이미 내부 침투를 당한 상태에서 이 취약점이 결합될 경우, 탐지되지 않은 권한 상승 및 루트 백도어 생성까지 이어질 수 있어 위험도가 매우 높은 것 같다.

신속한 패치 적용도 우선이여야 하며, pam_namespace 비활성화 또는 사용자 제어 경로 차단 설정도 병행해야할 것으로 보인다. 이로 인해, 업무 함에 있어서도 EDR에서 GUI/SSH 로그인 후 루트 전환 행위에 대한 행위 기반 모니터링을 강화할 필요가 보인다.

이번 사례는 분명 우리가 단순 취약점 하나의 CVSS 점수만 볼 것이 아니라, 체인된 공격 경로와 실제 운영 환경에서의 위협 모델을 함께 분석해야 함을 다시금 일깨워 주는 듯 하다.

뉴스 본문

(출처 : https://thehackernews.com/2025/06/qilin-ransomware-adds-call-lawyer.html)

Qilin 랜섬웨어 서비스형(RaaS) 사기의 배후에 있는 위협 행위자들은 이제 가맹점에 법률 자문을 제공하여 피해자들에게 더 많은 돈을 지불하도록 압력을 가하고 있습니다. 사이버 범죄 집단이 활동을 강화하고 경쟁자들이 남긴 공백을 메우려 하는 가운데입니다.

이스라엘 사이버보안 회사인 Cybereason에 따르면, 새로운 기능은 제휴 패널에서 "변호사에게 전화하기" 기능의 형태를 띱니다.

LockBit, Black Cat, RansomHub, Everest, BlackLock 등 한때 인기 있었던 랜섬웨어 그룹들이 갑작스러운 활동 중단, 운영 실패, 그리고 데이터 훼손으로 어려움을 겪으면서, 이번 사건은 이 사이버 범죄 집단이 다시 부활했음을 시사합니다 . Gold Feather와 Water Galura로도 알려진 이 그룹은 2022년 10월부터 활동해 왔습니다.

랜섬웨어 그룹이 운영하는 다크웹 유출 사이트에서 수집된 데이터에 따르면, Qilin은 2025년 4월 72명의 피해자를 발생시키며 1위를 차지했습니다 . 5월에는 55건의 공격을 감행한 것으로 추산되며, Safepay (72건)와 Luna Moth (67건)에 이어 2위를 차지했습니다. 또한, Qilin은 올해 초부터 Cl0p와 Akira에 이어 세 번째로 활동이 활발한 그룹으로, 총 304명의 피해자를 발생시켰습니다 .

Qualys는 이번 주에 이 그룹을 분석하면서 "Qilin은 성숙한 생태계, 고객을 위한 광범위한 지원 옵션, 그리고 막대한 보상을 요구하도록 설계된 매우 집중적이고 영향력이 큰 랜섬웨어 공격을 보장하는 견고한 솔루션 덕분에 빠르게 성장하는 시장 에서 다른 공격자 들보다 우위를 점하고 있다"고 밝혔습니다 .

RansomHub에서 일하는 제휴사가 Qilin으로 이전했다는 증거가 있으며, 이는 최근 몇 달 동안 Qilin 랜섬웨어 활동이 급증하는 데 영향을 미쳤습니다.

"포럼과 랜섬웨어 활동 추적기에서 입지가 확대되면서 Qilin은 Rust와 C로 작성된 페이로드, 고급 회피 기능이 있는 로더, 안전 모드 실행, 네트워크 확산, 로그 정리, 자동 협상 도구를 제공하는 제휴 패널 등 기술적으로 성숙한 인프라를 운영하고 있습니다."라고 연구원 Mark Tsipershtein과 Evgeny Ananin이 말했습니다 .

"Qilin은 악성코드 자체 외에도 스팸 서비스, PB 규모의 데이터 저장소, 법적 지침, 그리고 모든 운영 기능을 제공합니다. 이를 통해 단순한 랜섬웨어 조직이 아닌, 완전한 서비스를 제공하는 사이버범죄 플랫폼으로 자리매김하고 있습니다."

다른 그룹들의 쇠퇴와 몰락은 치린 계열 패널의 새로운 업데이트로 보완되었습니다. 새로운 법률 지원 기능, 사내 기자팀, 그리고 분산 서비스 거부(DDoS) 공격 수행 기능이 추가되었습니다. 또 다른 주목할 만한 추가 기능으로는 기업 이메일 주소와 전화번호를 스팸으로 발송하는 도구가 있습니다.

기능 확장은 위협 행위자들이 랜섬웨어를 넘어 본격적인 사이버범죄 서비스로서 자신들을 홍보하려는 시도임을 보여줍니다.

"대상과 관련된 법률 상담이 필요하면 대상 인터페이스 내에 있는 '변호사에게 전화' 버튼을 클릭하기만 하면 저희 법률팀에서 비공개로 연락하여 자격을 갖춘 법률 지원을 제공해 드립니다." 새로운 기능을 알리는 포럼 게시물의 번역본입니다.

채팅에 변호사가 등장하는 것만으로도 회사에 간접적인 압력을 가하고 몸값도 올라갈 수 있습니다. 회사는 법적 절차를 피하고 싶어하기 때문입니다.

Intrinsec에서는 Rhysida의 계열사 중 적어도 하나가 Eye Pyramid C2 라는 오픈소스 유틸리티를 사용하기 시작했다고 평가한 가운데 이러한 발전이 이루어졌는데, 이는 손상된 엔드포인트에 대한 액세스를 유지하고 추가 페이로드를 전송하는 사후 침해 도구로 사용될 가능성이 높습니다.

Eye Pyramid C2는 2024년 4분기에 RansomHub 조직과 관련된 위협 행위자가 배포한 것과 동일한 Python 기반 백도어를 나타낸다 는 점에 주목할 필요가 있습니다 .

또한 유출된 블랙 바스타(Black Basta) 채팅 로그에 대한 최신 분석 결과 , 온라인 가명 "팅커(tinker)"를 사용하는 위협 행위자가 밝혀졌습니다. 이들의 실제 신원은 현재로서는 확인되지 않았습니다.

인텔 471에 따르면 팅커는 조직의 리더인 트램프의 신뢰받는 보좌관 중 한 명으로 알려졌으며, 사라진 콘티 그룹을 포함한 콜센터 운영 경험과 블랙수트(일명 로열)의 협상가로서의 경험을 쌓은 후 "크리에이티브 디렉터"로 범죄 조직에 합류했습니다.

사이버 보안 업체는 "팅커는 조직에 대한 초기 접근을 확보하는 데 중요한 역할을 했다"고 밝혔습니다 . "유출된 대화 내용은 팅커가 직접 협상하기 전에 재무 데이터를 분석하고 피해자의 상황을 평가했다는 것을 보여줍니다."

위협 행위자는 전화나 메시지를 통해 회사 고위 직원의 연락처 정보를 얻기 위해 오픈 소스 연구를 수행한 것 외에도, 조직을 침해하도록 설계된 피싱 이메일을 작성하는 업무를 맡았습니다.

특히 Tinker는 Microsoft Teams 기반 피싱 시나리오를 고안해냈습니다 . 이 시나리오에서 공격자는 IT 부서 직원으로 가장하여 피해자에게 스팸 공격을 받고 있다고 경고하고, 직원들에게 AnyDesk와 같은 원격 데스크톱 도구를 설치하고 시스템 보안을 위한 액세스 권한을 부여하라고 촉구합니다.

Intel 471은 "RMM 소프트웨어가 설치된 후, 발신자는 Black Basta의 침투 테스터 중 한 명에게 연락했고, 테스터는 시스템과 도메인에 대한 지속적인 접근을 확보하기 위해 움직였다"고 밝혔습니다.

유출된 메시지에 따르면 팅커는 2023년 12월 18일부터 2024년 6월 16일까지 그들의 노력에 대한 보상으로 최소 105,000달러 상당의 암호화폐를 받았습니다. 하지만 그들이 어떤 단체를 위해 일하고 있는지는 현재로선 불확실합니다.

이번 조사 결과는 Ryuk 랜섬웨어 그룹 의 익명의 33세 외국인 구성원이 초기 접근 브로커(IAB) 역할을 하고 기업 네트워크 접근을 도운 혐의로 미국으로 송환된 것과 일치합니다 . 용의자는 지난 4월 초 미국 법 집행 기관의 요청으로 키이우에서 체포되었습니다.

우크라이나 경찰은 성명을 통해 해당 요원이 "피해 기업 네트워크의 취약점을 찾는 데 관여했다"고 밝혔습니다 . "해커가 입수한 데이터는 공범자들이 사이버 공격을 계획하고 실행하는 데 사용되었습니다."

당국은 2023년 11월에 LockerGoga, MegaCortex, Dharma 랜섬웨어 계열의 구성원을 표적으로 삼아 실시한 이전 습격에서 압수한 장비에 대한 법의학적 분석을 통해 용의자를 추적할 수 있었다고 밝혔습니다 .

한편, 태국 경찰은 파타야의 한 호텔을 급습해 중국인과 다른 동남아시아계 용의자 몇 명을 체포했습니다. 이 호텔은 도박장과 랜섬웨어 작전을 위한 사무실로 사용되었습니다.

이 랜섬웨어 공격은 중국인 6명이 운영한 것으로 알려졌으며, 이들은 랜섬웨어 감염을 위해 여러 기업에 악성 링크를 전송했습니다. 현지 언론 보도에 따르면 , 이들은 사이버 범죄 조직의 직원으로, 중국 기업에 악성 링크 배포 대가로 돈을 받았다고 합니다.

태국 중앙수사국(CIB)은 이번 주에 12명 이상의 외국인을 체포했다고 발표했습니다 . 이들은 호주에서 여러 피해자들에게 전화를 걸어 장기 채권에 투자하도록 속인 뒤 높은 수익을 약속하는 방식으로 온라인 투자 사기를 친 혐의로 '파이어스톰 작전'의 일환으로 체포되었습니다.

 

의견

Qilin 랜섬웨어 그룹의 최근 움직임은 단순한 악성코드 유포 수준을 넘어서, 사이버 범죄 조직이 어떻게 하나의 "비즈니스 플랫폼"으로 성장해 가고 있는지를 보여주는 전형적인 사례라고 생각한다. 특히 '변호사 호출' ㅣ능까지 갖춘 제휴 패널은 이제 랜섬웨어 그룹이 단순한 공격자가 아닌, 지능적-심리적 협박 전문가로 진화하고 있다는 점에서 심각하게 받아들여야 할 것 같다.

RaaS(Ransomware-as-a-Service) 위협을 지속적으로 모니터링해 왔는데, Qilin 처럼 다중 언어 페이로드, 고급 회피 기능, 자동 협상, DDoS 연계 공격, 스팸메일 등 종합적 공격 인프라를 갖춘 조직은 점점 더 '사이버 범죄 기업'에 가까워지고 있다. 특히, 피해 기업의 법적 약점을 노리거나 심리적 압박을 가중시켜 몸값을 극대화하는 구조화된 수법은 매우 위험하다고 생각한다.

또한, Eye Pyramid C2, AnyDesk 기반 피싱, Microsoft Teams 위장 공격 등의 사례에서 보듯, 사회공학 + 기술 공격이 결합된 시나리오형 위협이 보편화되고 있다. 이는 기존의 시그니처 기반 보안 체계로는 대응하기 어려운 형태이기도 하고 행위 기반 탐지, 정교한 사용자 행위 분석(UBA), 실시간 EDR/XDR 연동 대응이 절실하다.

무엇보다 크게 보았을때, 랜섬웨어가 단순한 기술 문제를 넘어, 조직 전체의 디지털 리스크 관리 문제로 확장되고 있다는 점을 인식해야만 한다. Qilin은 공격과 동시에 언론 플레이, 법률 압박, 데이터 공개 협박, 협상 전략까지 총동원하는 심리전까지 포함된 통합혁 공격 모델을 운영 중이다. 이런 공격은 이제 단순한 보안 팀의 대응만으로도 막을 수 없을 것으로 생각된다. 그렇기 때문에 법무, PR, 경영진, 인산 전사 보안문화 교육 등을 전반위 적으로 대응할 필요성이 보인다.

뉴스 본문

(출처 : https://n.news.naver.com/mnews/article/015/0005142189)

장용민 삼성SDS 보안사업담당(상무·사진)은 9일 “역사적으로 기술을 악용하는 해커들이 먼저 나타나고, 여기에 대응하는 보안 기술이 뒤따르는 일이 반복돼 왔다”며 이같이 말했다.

장 담당은 2001년부터 24년 동안 액센추어와 IBM에서 사이버 보안 컨설팅 업무를 해왔다. 지난해 삼성SDS에 합류해 보안 컨설팅·솔루션, 보안 관제 등 사이버 보안 사업을 책임지고 있다.

그는 “AI가 아직 최고 수준의 해커를 따라잡지는 못하지만, 중급 수준까지는 AI로 쉽게 접근할 수 있게 됐다”며 “해커가 만든 생성형 AI를 쓰면 아무런 지식이 없어도 악성코드를 쉽게 얻을 수 있다”고 설명했다.

서비스형 소프트웨어(SaaS)처럼 구독료를 내고 랜섬웨어를 쓸 수 있는 ‘서비스형 랜섬웨어(RaaS)’도 흔해졌다. 예전에는 이런 정보를 얻으려면 다크웹에 접속해야 했지만, 최근에는 텔레그램에서 쉽게 접근이 가능하다.

장 담당은 전통적 백신 프로그램으로는 AI 시대의 해커를 방어하기 어렵다고 강조했다. 전통적인 백신 프로그램은 이미 알려진 바이러스, 악성코드를 찾아내는 ‘시그니처’ 방식이다. 누구나 AI로 악성코드를 만들면 이 같은 보안 서비스는 무용지물이 될 수밖에 없다. 장 담당은 “과거의 공격 패턴을 학습해 알려지지 않은 새로운 위협을 모니터링하는 AI 관제 서비스가 필수”라고 설명했다.

기업의 업무 환경이 클라우드 중심으로 바뀌는 것도 보안 위협을 키우는 요인이다. 외부에서 접속할 수 있는 경로가 기하급수적으로 늘기 때문이다. 기업의 정보기술(IT) 부서 모르게 클라우드 상에서 만들어진 ‘섀도 IT’도 보안을 위협하는 요소다.

그는 “계정 정보나 스토리지 설정 하나만 잘못해도 데이터가 전 세계에 공개되는 결과로 이어질 수 있다”고 경고했다. 클라우드상의 데이터를 암호화해 외부로 유출되더라도 승인된 사용자만 열람하도록 하는 방식이나 클라우드 환경에서의 사용자 접근 권한 관리 등이 필요한 이유다.

장 담당은 “정보보안은 기술이 아니라 문화의 문제”라며 “보안 담당 부서가 아닌 조직 구성원 모두가 참여하고 대응할 때 진정한 방패가 된다”고 강조했다. 최신 기술을 도입하는 것 이상으로 조직 구성원의 마음가짐이 중요하다는 얘기다. 그는 “경찰이 제 역할을 하려면 시민들의 협조가 필수적”이라며 “마찬가지로 수상한 이메일의 링크를 클릭하지 않거나 다중 인증(MFA)을 활성화하는 등 직원들이 평소 정보보안에 신경을 써야만 보안 시스템이 성능을 발휘할 수 있다”고 당부했다.

규제 중심으로 이뤄진 보안 체계도 바뀔 필요가 있다고 덧붙였다. 장 담당은 “한국은 보안 사고가 생겼을 경우 얼마나 규정을 잘 지켰나에 따라 처벌이 줄어드는 구조”라며 “해외는 자율적으로 보안을 하는 대신 정보가 유출되면 책임을 강하게 묻는다”고 설명했다. 그는 “촘촘하게 짜여진 보안 관련 규제가 역설적으로 정보보안 산업의 성장을 막고 있다”고 비판했다.

 

의견

장용민 삼성SDS 상무의 인터뷰는 현재 사이버 보안이 단순히 기술 경쟁을 넘어 인식과 문화의 문제로 나아가야 한다는 점을 명확히 짚어주고 있어 인상 깊다. 특히 'AI는 앚기 최고 수준의 해커는 못 따라잡지만, 중급 해커 수준은 누구나 쉽게 넘을 수 있게 됐다'는 말은 현업을 하는 나에게는 매우 현실적인 경고처럼 들렸다.

최근 관제 업무에서도 AI 기반 악성코드가 탐지를 우회하거나 피싱 메일이 ChatGPT 등을 통해 더 자연스럽고 교묘하게 작성되는 사례가 실제로 확인되고 있다. 과거에는 단순 시그니처 기반 탐지 시스템만으로도 많은 위협을 걸러낼 수 있엇지만, 지금은 정적 분석 + 동적 분석 + AI 행위 기반 탐지를 병행하지 않으면 대응이 어렵다. 장 상무가 말한 'AI 관제'가 바로 이런 배경에서 필수가 된 것 같기도 하다.

또한 클라우드 환경의 급속한 확산과 섀도 IT 문제는 개발자로서도 공감이 크다. 업무 편의성을 위해 개인이 생성한 클라우드 리소스가 보안 정책의 사각지대가 되고, 잘못된 권한 설정 하나로 내부 자료가 외부에 노출되는 사례는 생각보다 흔하다. 이를 막기 위해서는 IAM(Identity and Access Management),  클라우드 보안 형상 관리(CSPM) 같은 도구를 넘어, 조직 내부에 '내가 곧 보안'이라는 인식이 스며들어야 한다는 말은 보안 실무자로서 강하게 동의한다.

장 상무의 발언 중 가장 공감이 갔던 대목은 '정보보안은 기술이 아니라 문화다' 라는 부분이었다. 관제 시스템이 아무리 고도화되어 있어도, 누군가 한 번의 클릭으로 랜섬웨어를 유입시키면 모든 게 무너질 수 있다. 그 클릭을 하지 않는 '습관'과 '경계심'이 바로 보안의 가장 강력한 방패라고 생각한다.

뉴스 본문

(출처 : https://n.news.naver.com/mnews/article/003/0013295913)

전 세계 기업의 보안 조직 상당수가 데이터 유출을 경험했음에도 여전히 인공지능(AI) 기술 활용에 신중한 태도를 보이고 있다.

사이버 보안 및 옵저버빌리티 분야 선도기업인 스플렁크가 '2025 보안 현황' 글로벌 연구 보고서를 발표하며, 기업들이 보안 운영 센터(SOC)에서 직면하고 있는 주요 과제들을 조명했다.

10일 보고서에 따르면, 기업의 보안 책임자 66%는 지난 1년간 데이터 유출을 경험했다고 밝혔다. 하지만 핵심 업무에 AI를 전적으로 신뢰한다고 응답한 비율은 조사 대상의 11%에 불과했으며, 다소 신뢰한다는 응답은 61%, 다소 불신 26%, 전적으로 불신 2%로 나타났다.

스플렁크는 "AI 기반 공격 등 새로운 위협이 등장하면서 기업은 자신과 고객을 안전하게 보호할 수 있는 대비가 필요해지고 있다. 이를 위해서는 사람의 전문성과 AI 기술을 결합한 통합형 SOC를 구축하는 것이 핵심 전략으로 떠오르고 있다"고 전했다.

그러나 많은 기업이 위협 방어라는 본연의 역할보다는 보안 도구 관리에 더 많은 시간을 할애하고 있는 것으로 조사됐다. 조사 응답자의 46%가 위협 방어보다 보안 도구 관리에 더 많은 시간을 소비하고 있다고 답해, 보안 운영의 비효율성이 드러났다.

또 SOC 팀은 도구 유지관리, 데이터 사일로(silo), 과도한 알림 등으로 인해 업무 시간을 뺏기고 있다고 호소했다. 57%의 응답자는 데이터 관리의 허점으로 인해 조사 분석에 필요한 시간을 낭비한다고 답했으며, 59%는 알림이 지나치게 많고, 55%는 거짓 양성 알림이 너무 많다고 지적했다.

이에 네이트 레서 미국 국립 어린이 병원 최고정보보호책임자(CISO)는 "사이버 위협이 더 정교해지고 증가하면서 보안 팀의 부담도 커지고 있다"며 "업계는 과도한 업무량, 잦은 알람에서 오는 피로감, 인력 부족으로 어려움을 겪고 있다"고 전했다.

하지만 AI 기술은 이러한 문제 해결에 긍정적인 영향을 미칠 것으로 기대된다. 응답자의 59%는 생성형 AI 덕분에 업무 효율이 중간 이상으로 향상됐다고 답했으며, 56%는 올해 보안 업무 프로세스에 AI를 적극적으로 도입하고 있다. 또한 3곳 중 1곳(33%)은 AI와 자동화를 통해 인력 부족과 기술 격차를 보완할 계획이라고 밝혔다

스플렁크의 최고정보보호책임자(CISO) 마이클 패닝은 이러한 현상에 대해 "기업들이 위협 탐지나 식별과 같은 중요한 업무에 AI를 점차 활용하고 있다"면서도 "SOC 전체가 AI에 의해 완전히 통제되는 일은 없을 것”이라고 강조했다.

또한 "효과적인 사이버 보안의 중심에는 여전히 사람이 있고, AI는 조직 방어의 중요한 순간에 사람의 역량을 보완하는 도구로 자리 잡을 것”이라며 인간의 전문성과 AI 기술을 결합한 통합형 SOC 구축이 핵심 전략임을 시사했다.
 

 

의견

나는 해당 기사가 현재 사이버 보안 산업이 처한 딜레마와 가능성을 동시에 잘 보여주고 있다고 생각한다. 업무 중에 수많은 위협 경고, 과도한 알림, 도구간 연계 부족 등을 겪은 입장에서, 기사에 등장한 '거짓 양성(오탐)으로 인한 시간 낭비'나 '보안 도구 관리에 치우친 업무'는 매우 현실적인 문제이다.

기업 보안 책임자의 66%가 데이터 유출을 경험했음에도, AI 기술에 전적으로 신뢰를 보내는 비율이 11%에 불과하다는 점은 시사하는 바가 크다. 이는 단지 기술 불신이 아니라 AI가 보안 업무의 맥락과 우선순위를 파악하지 못한다는 한계를 반영한 결과라고 생각한다.

실제로 Django 기반 백엔드 개발과 로그 분석 자동화를 진행하면 단순한 자동화 스크립트는 만들 수 있어도 '의심스러운 이상행위가 실제 위협인지 아닌지' 는 결국 사람의 분석 경험에 의존하게 되는 경우가 많았다.

그렇다고 AI가 무용한 것도 아니다. 오히려 생성형 AI, 자동화 기반 SIEM/EDR. 머신러닝 기반 위협 탐지는 보안 인력의 부담을 줄이고, 초동 대응 속도를 높이는 데 결정적인 역할을 한다. 이 부분에서는 AI는 사람이 판단에 집중할 수 있도록 주변을 정리해주는 역할을 수행할 수 있고 이는 단순 자동화를 넘어 협업 파트너로서의 AI 역할이라고 생각한다.

 

뉴스 본문

악성코드를 삽입해 브라우저 데이터를 탈취하는 '루마 스틸러(Lumma Stealer)' 공격이 덜미를 잡혔다. 마이크로소프트(MS)와 주요국 조사기관이 협력해 악성 도메인 차단에 성공한 것이다. 다만 공격 규모와 기법이 진화하고 있어 경계태세를 이어가야 한다는 목소리가 나온다.

29일 보안업계에 따르면, MS 디지털범죄유닛(Digital Crimes Unit)은 이달 루마 운영자와 대리인들이 사용하는 약 2300개 악성 도메인을 압수하고 차단했다. 국가 기관 또한 가세했다. 미국 법무부(DOJ)는 루마의 중앙 지휘 체계를 압수하고, 관련 악성 도구(툴)가 다른 사이버 범죄자에 판매되지 못하도록 감시하고 있다. 유로폴 산하 유럽사이버범죄센터(EC3)와 일본 사이버범죄통제센터(JC3)도 루마 인프라 운영을 중단하기 위해 추적 작업을 진행하고 있다.

'루마C2(LummaC2)' 또는 '룸마'라고도 불리는 루마 스틸러는 브라우저, 애플리케이션, 암호화폐 지갑에 멀웨어를 설치하고 데이터를 훔치는 서비스형멀웨어(MaaS) 제품이다. 주요 개발자는 러시아에 활동하고 있는 것으로 알려졌으며, 보안업계에서는 대표적인 인포스틸러(Infostealer·데이터를 훔치는 악성코드)다. 전문가들은 "기존 인포스틸러들과 다르다"는 평가를 내리기도 한다. 기존 인포스틸러의 경우 악성코드를 대량 유포하는 작업에만 집중하는데, 루마 스틸러는 탐지를 회피하는 작업에도 능숙하기 때문이다. 공격을 분산하는 다중 벡터 전략을 활용하거나, 합법적인 클라우드 서비스를 사용하는 방식으로 추적을 어렵게 하고 있다.

MS에 따르면 올해 3월16일부터 5월16일까지 루마 멀웨어에 감염된 윈도 컴퓨터는 약 39만4000대 수준이다. 주로 유럽, 북미에서 포착되고 있으며 아시아 지역에서는 한국과 일본에서 확산이 빨라지고 있다. 한국은 최근 SK텔레콤에서 BPF도어 공격으로 대규모 해킹 사고가 발생하면서, 루마와 같은 은닉형 악성코드 공격에 대한 경각심이 커지고 있다. 루마 공격 기법이 고도화된다면 한국 또한 확산세를 피하기 어려울 수 있다는 의견이 나오는 이유다.

MS는 "루마는 최소 2022년부터 음성시장(포럼)을 통해 판매됐다"며 "운영자는 수년에 걸쳐 여러 버전을 출시하며 기능을 개선하고 있다"고 말했다. 이어 "루마를 활용한 공격자는 탈취 정보를 악용해 금전적인 이익을 누리거나, 추가 악용이 가능하도록 기회를 노리고 있다"며 "배포가 쉽고 탐지가 어려운 데다, 특정 보안 방어 체계를 우회하도록 프로그래밍될 수 있어 랜섬웨어와 사이버범죄 공격자들이 주로 사용하고 있다"고 부연했다.

보안업계에서는 루마 악성코드가 유명 브랜드를 사칭한 사이버 공격에 활용되는 사례가 많다고 분석한다. 누구나 알 만한 브랜드를 사칭해, 악성코드가 담긴 허위 파일 및 인터넷주소(URL)를 첨부한 스피어피싱(맞춤형 피싱) 및 낚시성 메일을 보내는 방식이다. 대표적으로 올해 3월에는 온라인 여행사 '부킹닷컴'을 사칭한 피싱 캠페인이 포착된 바 있다. 신원 인증이 필요하다며 캡차(CAPTCHA) 인증 메일을 보내는 방식이었다. 해당 공격에는 루마를 포함해 신원 정보를 탈취하는 멀웨어가 다수 포착됐고, 금융 사기가 목적인 것으로 나타났다. 이 밖에도 루마는 제조, 통신, 물류, 금융, 의료 등 중요 인프라를 겨냥한 공격에 사용되고 있다.

가짜 광고로 악성코드를 삽입하는 방식도 두드러지고 있다. 대표적으로 '노트패드(Notepad)++ 다운로드'·'크롬(Chrome) 업데이트' 등 소프트웨어 관련 검색어를 활용해 엔진 결과에 가짜 광고가 뜨도록 하고, 사용자가 링크를 누르면 루마 스틸러를 배포하는 웹사이트로 연결되게 하는 방식이다. 웹사이트는 사칭한 브랜드의 실제 웹사이트와 유사하게 제작돼, 진위 여부를 판별하기 어렵다. 깃허브 등 소스코드 공유 플랫폼에 일반적인 툴이나 유틸리티로 위장해 유포되기도 한다.

이러한 공격은 일반 사용자가 홀로 판별하기 어려운 만큼, 국가 및 보안 전문가들 사이 협력이 관건이 될 전망이다. MS는 "조직과 개인은 다중인증(MFA)을 사용해 최신 멀웨어 방지 소프트웨어를 실행하고 첨부파일과 이메일 링크에 주의를 기울여 루마와 같은 멀웨어로부터 자신을 보호할 수 있다"면서도 "사이버 범죄자들이 창의적으로 변하고 있는 만큼, 업계와 정부 간의 지속적인 협력이 필수적일 것"이라고 강조했다.

 

의견

사실 '루마 스틸러'는 지금의 인포스틸러 트렌드가 단순한 '데이터 탈취'를 넘어서고 있다는 현실을 보여준다고 생각한다. 기존에는 단일 벡터 기반의 단순한 악성코드가 주를 이뤘다면, 루마는 다중 벡터 공격, 탐지 회피, 클라우드 인프라 악용 등 복합적이고 지능화된 전략을 구사하고 있다. 다양한 탐지 시그니처를 다뤄본 입장에서, 이처럼 위협이 계속해서 발전하고 있다는 점은 매우 우려스럽기도 하다.

한국에서도 BPF도어 사건 등 은닉형 악성코드 공격이 잇따라 발생하고 있는 가운데, 루마처럼 MaaS(Malware-as-a-Service) 형태로 판매되는 악성코드는 향후 국내 위협 수준을 한 단계 더 끌어올릴 수 있다고 본다. 이미 브랜드 사칭이나 피싱 이메일, 광고 위장 그리고 깃허브 유포 등 공격의 문턱이 낮아지고, 피해자는 점점 일반 사용자와 중소기업, 병원 등으로 확대되고 있기 때문이다.

기사내에서의 마이크로소프트의 조치나 국제 협력은 분명 긍정적인 사례인 것은 분명하다. 그러나 궁극적인 해결책은 단속에만 의조하는 것이 아니라 사용자 중심의 위협 인식 교육과 선제적인 탐지 체계 고도화 그리고 MDR(Mananged Detection & Response) 서비스 도입처럼 실제 방어력을 갖춘 대응체계의 확산에 있다고 본다.

또한, 루마는 단순 파일 기반이 아닌 메모리 인젝션, 정적탐지 회피 그리고 보안 솔루션 우회 등의 기법을 함께 사용하기 때문에, EDR/XDR 같은 행위 기반 탐지 체계가 더욱 중요해질 것이다. 업무중에 단순한 시그니처로는 지능형 공격을 실시간 탐지하기 어렵다는 점이다. 결국, 대응 체계 역시 AI 기반 분석과 위협 인텔리전스 연계가 필수가 되는 방향으로 가야 한다고 생각한다.

뉴스 본문

텔레그램을 중심으로 허위 제작 영상물이 유포되면서, '딥페이크 근절'이 화두로 떠올랐다. 유명인 뿐만 아니라 가족과 지인의 얼굴을 입힌 딥페이크 콘텐츠가 활개치면서, 진짜와 가짜를 구분할 방법이 필요하다는 목소리가 커지고 있다.

여기에 해답을 내놓은 기업은 라온시큐어다. 라온시큐어는 언제 어디서나 콘텐츠의 진위 여부를 판별할 수 있도록 모바일 백신 앱에 기능을 고도화하고 있다. 생체인증 등에 딥페이크가 악용될 가능성도 있는 만큼, 기업 대상 서비스도 선보일 예정이다.

박현우 라온시큐어 상무(보안개발본부 본부장)는 28일 서울 중구 롯데호텔에서 <디지털데일리>가 개최한 'AI 웨이브(WAVE) 2025'를 통해 "요새는 웹 기반 이미지 한 두장 만으로 딥페이크 영상을 만들 수 있고, (딥페이크 콘텐츠를 생성할) 모바일 앱 서비스도 많이 존재한다"며 "누구나 화질이 좋은 딥페이크 영상물을 바로 만들 수 있다는 의미"라고 밝혔다.

특히 생성형 인공지능(AI) 서비스에 대한 접근성이 높아지면서, 딥페이크 콘텐츠 또한 정교화되고 있다. 음성 및 화상 통화는 물론, 각종 사기와 실시간 공격에도 딥페이크가 활용되고 있다. 국내에는 알려진 사례가 없지만, 금융 등 신원인증이 필요한 영역에서도 딥페이크 공격 피해가 발생할 가능성이 점쳐지고 있다.

딥페이크 콘텐츠로 금전을 갈취하거나 송금하도록 유도하는 공격도 이어지고 있다. 2021년에는 아랍에미리트(UAE) 은행이 고위 임원 목소리를 도용한 딥보이스에 속아 3500만달러(당시 약 420억원)을 송금하는 일이 발생했고, 지난해에는 홍콩 금융회사 직원이 영국 본사 최고재무책임자(CFO)를 사칭한 딥페이크 영상에 속아 2억홍콩달러(당시 약 340억원)을 송금하는 사고가 일어났다.

이날 박 상무는 딥페이크 콘텐츠를 만드는 방식으로 '오토인코더(AutoEncoder)'와 '생성적 적대 신경망(GAN)'을 꼽으며 관련 기법이 고도화되고 있다고 진단했다. 그는 "오토인코더의 경우, 원본 얼굴에서 뼈대를 추출하고 여기에 다시 얼굴을 입혀 학습하는 인코더와 디코더 방식으로 딥페이크를 만든다"며 "여기에 좋은 결과물을 만들 때까지 피드백을 주는 GAN을 통해 경쟁하며 발전하고 있다"고 설명했다.

박 상무는 딥페이크 영상을 ▲시각 ▲주파수 ▲시간 ▲멀티모달 등 네 가지 영역에서 탐지할 수 있다고 강조했다. 피부 질감, 얼굴 경계 흐림, 눈 및 입 움직임 오류 등 시각적인 요인은 물론 주파수 왜곡과 반복 무늬로 탐지가 가능하다는 설명이다. 아울러 프레임 간 얼굴 움직임이 불연속적이거나, 입모양과 음성이 불일치할 경우 탐지가 가능하다고 덧붙였다.

박 상무는 "라온시큐어는 안면 인증과 생체 인증 시스템을 보유하고 있기 때문에, 유사 공격에 대비한 경험이 있다"며 "타인의 사진으로 인증을 우회하는 것을 미리 막을 기능이 필요해졌는데, 대표적으로 '라이브니스 체크(Liveness Check)'가 있다"고 소개했다.

라이브니스 체크는 카메라 앞에 존재하는 모습이 실제 사람인지 사진인지를 AI가 구분하는 기술이다. 딥페이크 영역에서도 AI 모델을 이용해 실제 영상이 진짜인지 가짜인지 구분하도록 학습해, 판단을 내려줄 수 있다.

박 상무는 "(이를 통해) 단순 진짜와 가짜로 구분하는 것을 넘어 GAN, 오토인코더, 앱 등 무엇으로 딥페이크를 만들었는지 구분할 수 있다"며 "특징을 추출하는 데 AI 모델을 이용하는 방식"이라고 말했다. 이어 "멀티모달 방식을 기반으로 이미지 전체와 오디오를 학습하는 것도 방법"이라며 "오디오를 실제 벡터(말)로 변환해, 어떤 입모양으로 이야기할 때 '일치하지 않는다' 혹은 '부자연스럽다'는 결론을 내릴 수 있다"고 부연했다.

이외에도 이미지를 주파수로 변환하는 방식도 탐지에 효과적이라고 설명했다. 박 상무는 "이미지를 주파수로 변환하면 그래프가 나타나는데, 딥페이크 이미지의 경우 고주파수 영역에서 분리되는 것을 볼 수 있다"고 강조했다.

라온시큐어는 이러한 탐지 기능을 담은 백신 앱 '라온 모바일 시큐리티'를 제공하고 있다. 사용자는 앱에 이미지와 영상을 직접 올리거나, 유튜브 환경에서 '공유하기' 기능을 활용하는 방식으로 즉각 딥페이크 여부를 판별해 볼 수 있다. 라온 모바일 시큐리티는 해당 콘텐츠를 분석해 딥페이크 의심 가능성을 퍼센트(%)로 보여주고, 다른 탐지 기록도 살펴볼 수 있다.

현재 해당 서비스는 개인 사용자를 대상으로 제공되고 있고, 기업에서도 이를 사용할 수 있도록 SDK 및 API 형태로 제공될 예정이다. 박 상무는 "라온시큐어는 보안 기업으로서 AI에 대한 역기능을 방지할 서비스를 만들고 있다"며 "첫 번째가 딥페이크 탐지이고, 다음 서비스도 계획 중"이라고 밝혔다.

 

의견

딥페이크 기술이 고도화됨에 따라 사회 전반에 미치는 영향력이 단순한 장난이나 조작을 넘어 실질적인 금전 피해와 사이버 보안 위협으로 이어지고 있는 현실이 두렵다. 

GAN과 오토인코더 기반 딥페이크 생성 기법에 대한 구조적 설명은 이 기술을 정확히 이해하고 대응하려는 보안 기술자와 개발자에게 중요한 통찰을 제공한다. "어긋나는 프레임 분석", "주파수 기반 이상 탐지", "멀티모달 모델을 통한 종합 분석" 등은 실제 침해 사고 대응 시 활용할 수 있는 실질적 기법들이며, 그만큼 AI 기반 정탐,오탑 문제를 줄이는 데 큰 기여를 할 것이라 생각이 든다.

하지만 기술 탐지 그 자체만큼이나 신뢰체계를 어떻게 구축할 것인가 라는 점도 중요하다고 생각한다. 기술적 탐지가 가능한 한계 안에서만 대응할 것이 아니라, 영상 진위 인증 체계의 표준화 또는 API 기분 콘텐츠 등록,검증흐름의 자동화 등으로, "공급자 인증 -> 사용자 검증" 이라는 신뢰 프레임 워크를 사회 전반에 구축해야 한다고 본다.

기업과 기관들이 단순히 앱 형태로 기능을 사용하는 것에 그치지 않고, 이기술을 자사 시스템에 내재화하고 인증 로직과 통합하는 것이 중요하다고 생각한다. 예컨대, Django 기반의 로그인 시스템에서 Liveness Check나 얼굴 인증을 사용하는 경우, 사용자의 생체정보가 딥페이크로 위조되지 않았음을 확인하는 과정을 백엔드 API로 통합해야만 실제적인 보안이 완성된다고 본다.

뉴스 본문

이성엽 고려대 기술경영전문대학원 교수/기술법정책센터장 = 배우자와 다툰 후 가출한 상황에서, 함께 사용하던 노트북에 배우자의 구글 계정이 로그인되어 있는 것을 발견하고 배우자의 허락 없이 구글 계정 사진첩에 접속하여 사진을 보고 일부를 다운로드한 경우 이를 정보통신망에 침입하거나 통신비밀을 침해한 것으로 볼 수 있을까.

최근 SK텔레콤의 유심 정보 유출로 인해 어느 때보다 정보통신망의 안정성이나 개인정보 침해에 대한 관심이 고조되고 있다. 이제 컴퓨터와 인터넷이 일상화되면서 모든 정보는 디지털화된 상태에서 저장된다.

이혼을 원하는 사람은 배우자의 부정행위를 찾기 위해 배우자 이메일이나 스마트폰 사진 등을 뒤지기도 하고, 회사에서 직원의 비위를 찾기 위해 그 직원의 파일을 뒤지는 일이 빈번해지고 있다.

배우자 사진 다운로드 사건의 쟁점은 동 행위가 정보통신망법 제48조 제1항 상 “정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하는 행위“에 해당하느냐는 것이다.

이에 대해 원심은 피고인이 이미 접속되어 있는 상태를 기화로 사진을 탐색했을 뿐 식별부호를 직접 입력하지 않았고, 정보통신망 자체의 안정성이나 정보의 신뢰성에 직접적 영향을 주지 않았다는 이유로 무죄를 선고하였다.

그러나 대법원은 원심판결을 파기하고 사건을 환송하였다. 대법원은 정보통신망법상 '정당한 접근권한'의 판단 기준은 서비스 제공자가 부여한 접근권한이며, 피고인의 행위는 서비스 제공자인 구글의 의사에 반하여 정당한 접근권한 없이 정보통신망에 접속한 것으로 동 법 위반에 해당한다고 판단하였다(대법원 2024. 11. 14. 선고 2021도5555 판결)

그간 법원은 정보통신망 침입을 부정한 방법으로 타인의 식별부호를 이용하거나 보호조치에 따른 제한을 면할 수 있게 부정한 명령을 입력하는 등의 방법으로 침입하는 행위로 보았으나, 본 판결에서 식별부호를 직접 입력하지 않고 이미 로그인된 상태를 이용한 무단 접근도 정보통신망 침입으로 봄으로써, 정보통신망 침입죄의 적용 범위를 실질적으로 확대하였다.

이 판결로 인해 수사기관이나 변호사가 디지털 증거를 수집하는 과정에서 타인의 계정에 접근하여 증거를 수집하는 행위가 정보통신망법 위반으로 평가될 가능성이 높아졌으며, 또한 가족 간이라고 하더라도 디지털 프라이버시 보호가 엄격히 적용될 필요가 있다는 점을 분명히 했다.

다만, 정보통신망법 제48조는 정보통신망의 안정성 및 정보의 신뢰성을 파괴할 수 있는 침해행위를 금지하는 것이다. 여기에서 안정성은 정보통신망 체계의 물리적·기능적 안정성을 뜻한다. 과연 배우자의 사진 다운로드가 과연 정보통신망의 안정성 및 정보의 신뢰성에 영향을 준 것인지에 대해서는 의문이 있다.

오히려 동 행위는 타인의 비밀 취득에 해당하므로, 정보통신망법 제49조상 정보통신망에 의하여 처리·보관 또는 전송되는 타인의 비밀을 침해하는 행위에 해당할 가능성이 높다. 여기서 비밀 침해'란 타인의 비밀을 정보통신망에 침입하는 등 부정한 수단 또는 방법으로 취득하는 행위를 말하므로, 정보통신망 침입에 해당하지 않은 경우에도 비밀 침해가 성립할 수 있다.

양 조문을 비교해 보면 제48조는 정보통신망의 안정성과 신뢰성을 보호하는 반면, 제49조는 정보통신망에 의해 처리·보관·전송되는 타인의 정보와 비밀을 보호한다. 또한 제48조는 정보통신망 자체를 보호 대상으로 하는 반면, 제49조는 정보통신망에 의해 처리·보관·전송되는 정보와 비밀을 보호 대상으로 한다.

또한 제48조는 정보통신망 침입, 악성프로그램 유포, 정보통신망 장애 유발 행위를 금지하는 반면, 제49조는 타인의 정보 훼손, 비밀 침해·도용·누설 행위를 금지한다.

원래 정보통신망법 제48조의 취지는 해킹과 같은 악의적인 정보통신망 침해행위를 규제하기 위한 것으로, 가족 간의 사진 다운로드와 같은 행위를 규제하기 위한 것은 아니다. 가족관계는 친밀한 인적 결합체로서 일반적인 사회관계와는 다른 특수성을 가진다. 헌법 제36조 제1항은 "혼인과 가족생활은 개인의 존엄과 양성의 평등을 기초로 성립되고 유지되어야 하며, 국가는 이를 보장한다"고 규정하여 가족생활의 자율성을 보장하고 있다.

형법은 전통적으로 가족 내 행위에 대한 개입을 일정 부분 자제해 왔다. 예를 들어, 친족간의 재산범죄에 대한 친족상도례가 대표적인데, 이는 가족 내 문제는 가능한 한 가족 스스로 해결하도록 하고, 국가의 형벌권 행사는 최후의 수단으로 제한해야 한다는 사상에 기초한다, 위 대법원 판결은 가족 간의 사진 다운로드를 정보통신망 침입으로 봐서 형사처벌 대상으로 한 것으로 과도한 국가형벌권 개입이라고 할 수 있다.

한편 통신비밀보호법은 통신의 비밀과 자유를 보장하기 위한 입법으로 정보통신망법 제48조, 제49조와 유사한 취지를 지니고 있다. 다만, 통신비밀보호법은 주로 통신이 이루어지는 과정에 중점을 둔다. 동법상 '감청'은 통신 행위와 동시에 이루어지는 현재성이 요구되므로, 송·수신이 완료된 전기통신의 내용을 지득·채록하는 것은 감청에 해당하지 않는다.

즉, 통신이 발신되어 수신되는 과정에서의 비밀, 통신의 내용 자체를 보호하는 데 중점을 둔다. 이에 반해 정보통신망법은 정보통신망에서의 정보 처리 전 과정을 포괄한다. 특히, 정보통신망법 제49조 위반행위의 객체인 '정보통신망에 의해 처리·보관 또는 전송되는 타인의 비밀'에는 정보통신망으로 실시간 처리·전송 중인 비밀뿐만 아니라, 정보통신망으로 처리·전송이 완료되어 원격지 서버에 저장·보관된 것, 사용자의 개인용 컴퓨터에 저장·보관되어 있더라도 정보통신망과 관련된 컴퓨터 프로그램을 활용해서만 열람·검색이 가능한 경우 등 정보통신체제 내에서 저장·보관 중인 것도 포함된다.

또한 통신비밀보호법상 규제 행위는 감청 즉, 전기통신에 대하여 당사자의 동의 없이 전자장치·기계장치 등을 사용하여 통신의 내용을 지득·채록하는 행위, 공개되지 아니한 타인 간의 대화를 녹음 또는 청취하는 행위, 법원의 허가 없이 통신사실확인자료를 제공하는 행위, 통신비밀을 누설하는 행위이나, 정보통신망법상 규제 행위는 정보통신망 침입, 악성프로그램 유포, 정보통신망 장애 유발, 타인의 정보 훼손 및 비밀 침해·도용·누설 행위이다.

결론적으로 통신비밀보호법은 주로 통신의 비밀과 자유라는 헌법상 기본권을 보호하기 위해 통신이 이루어지는 과정에서의 감청 등을 규제하는 반면, 정보통신망법은 인터넷 시대에 정보통신망의 안정성과 신뢰성을 보호하기 위해 정보통신망에 대한 침입, 정보의 훼손, 비밀 침해 등을 규제한다. 행위의 시점이 실시간인지 저장된 정보인지, 대상은 통신 내용인지 정보통신망 자체인지, 방법은 감청인지 침입인지 등의 기본적 차이가 있다.

단, 정보통신망법상 비밀침해 등에 개인의 비밀이 포함되기 때문에 이 점에서 양법은 중첩성을 지닐 수 있다.

최근 SK텔레콤의 사이버 침해 사고와 개인정보 유출로 인해 사이버 보안 거버넌스 개편 등 법제도적 개선안이 논의되고 있다. 차제에 개인정보보호, 통신비밀의 보호, 정보통신망 침입, 정보통신망에 의해 처리·보관·전송되는 타인의 정보와 비밀 보호 등 프라이버시 보호라는 동일한 목적의 복잡한 법제에 대한 정비도 검토할 필요가 있다고 할 것이다.

 

의견

정보통신망법 제48조의 입법 취지가 '망의 안정성과 신뢰성 보호'에 있는 점을 고려하면, 본 사건처럼 정보통신망 자체의 기능에 대한 직접적인 침해 없이 '이미 로그인된 세션'을 이용한 접근까지 침입으로 보는 것은 법의 적용 범위를 지나치게 확장시킨 대목인 것 같다.

본업 근무중에 다양한 침해사고를 분석하면서 '접근의 정당성'이나 '행위의 해악성'을 고려해보지 않았던 것은 아니다. 보안은 기술적으로 위협뿐 아니라 법적, 윤리적 판단 위에 서 있어야 하며, 특히 이와 같은 사례처럼 가정 내 갈등이나 사적인 영역에서의 접근 행위까지 정보통신망 침입으로 단정지어 형사처벌을 한다면, 이는 사생활 보호보다는 국가 형벌권의 과도한 개입이라는 비판을 피하기 어렵다고 본다.

기술적 구조에 대한 법적 판단이 얼마나 중요한지를 보여주는 사례인 것 같다. 구글과 같은 서비스 제공자가 구현한 '자동 로그인 유지'나 '세션 유지 메커니즘'은 보안적으로 엄격히 관리되어야하며, 사용자에게 명확한 로그아웃 권한과 세션 제어 기능을 부여해야만 한다. 그럼에도 불구하고 로그인된 상태에서 단순 열람한 행위가 범죄라면 이것은 시스템 설계의 허점을 개인 책임으로 전가하는 셈이라고 생각한다.

또한 정보통신망법 제49조(비밀 침해)와의 구분 역시 애매해지는 측면이 있다. 비실시간 저장 정보를 무단 열람한 행위가 '통신망 침입'인지 '비밀 침해' 인지 경계가 흐려지게 되며, 이는 유사한 사건에 대한 판단의 일관성을 해칠 우려가 될 것이라고 생각한다.

결국 이 판결 자체는 보안의 본질이 기술적 제약을 넘어 '정당성'과 '책임의 범위'를 어디까지로 설정하느냐에 있다는 점을 보여준다.

뉴스 본문

(출처 : https://www.boannews.com/media/view.asp?idx=137376&page=1&kind=1)

세계 국방의 핵심 화두는 △무인화(Unmanned) △인공지능(AI) △사이버(Cyber)이다. 이는 단순한 기술 발전을 넘어 군사력의 개념 자체를 바꾸고 있는 전략적 대전환이다. 특히 무인화는 병력 손실 없이 전장을 운용할 수 있는 효율성과 유연성으로 거의 모든 국가가 앞다퉈 개발 경쟁에 나서고 있다. 그러나 급속한 무인화 확산과 달리, 그에 수반되는 보안 문제는 아직 충분히 대응되지 못하고 있다.

따라서 여기에서는 무인화, AI, 사이버 세 가지 트렌드 중 가장 근간이 되는 무인화에 따른 보안 위협과 그 대응 전략을 중심으로 짚어보고자 한다.

2000년대 초반 선풍적인 인기를 끈 게임 ‘스타크래프트’에는 다크 아칸(Dark Archon)이라는 유닛이 등장한다. 전투력은 미약하지만, 적 유닛을 아군으로 바꾸는 ‘마인드 컨트롤’(Mind Control) 능력을 가졌다. 통제권 탈취 한 번으로 적의 자산이 곧 아군의 무기가 되는 이 구조는 현실의 무인체계 보안 위협과 매우 흡사하다. 아무리 성능이 뛰어난 무인체계라도 통제권이 적의 손에 넘어가는 순간 우리의 무기가 아니라 적의 무기가 된다. 따라서 ‘통제권 확보’는 이제 무인화 성공의 전제 조건이자, 국가 방위 전략의 핵심 과제가 됐다.

무인체계를 위협하는 3대 보안공백
무인체계의 보안 위협은 크게 통신과 시스템, 기체 유실에 따란 기밀 유츨 등 세 가지로 구분된다.

① 통신 보안 위협 – 조종신호와 위치정보 탈취
무인체계는 원격 통제 기반이라 항상 외부 네트워크에 노출되어 있다. 2011년 이란은 미국의 RQ-170 스텔스 드론을 GPS 스푸핑을 통해 강제 착륙시켰고, 이후 이를 역설계해 자체 무인기로 복제했다는 주장을 하고 있다. 이는 통신 데이터 하나로 수백억 원 규모의 전력자산이 적의 손에 들어갈 수 있음을 보여준다. 러시아는 우크라이나 전쟁에서 수많은 상용 드론을 전파 재밍과 데이터링크 가로채기로 무력화시켰다. 이처럼 무인체계의 통신은 단순 데이터가 아닌 ‘작전권’ 그 자체인 셈이다.

② 시스템 보안 위협 – 내부 침투, 제어권 탈취
무인기는 단순 비행체가 아니라 AI가 판단하고, 센서와 임무 컴퓨터가 복합적으로 작동하는 다계층 소프트웨어 시스템이다. 이는 시스템 구성요소 하나만 뚫려도 전체 기체가 오작동하거나 악의적 제어에 넘어갈 수 있음을 뜻한다. 예컨대 악성 펌웨어 주입, 내부 백도어, 하드코딩된 디버그 포트 등이 실전에서도 문제로 나타나고 있다.

2022년 미 육군은 자율주행 차량 플랫폼에서 제3의 개발자가 설치한 원격제어 인터페이스가 비인가 상태로 외부에서 활성화될 수 있는 취약점을 발견하고 긴급 패치를 수행했다. 이러한 문제는 공급망 보안 및 시스템 분리 설계(Zero Trust Architecture)가 되지 않은 경우 발생할 수 있는 대표적 사례다.

③ 기체 유실 시 기밀 유출 – 안티템퍼링 대응 미비
무인체계는 유사시 기체 유실 가능성이 높다. 자폭드론, 장거리 정찰드론, 심해 탐색 무인정 등은 회수가 불가능한 전장 조건에서 사용되며, 적에게 포획될 경우 내부에 저장된 암호 키, AI 모델, 작전 로그, 통신 패턴 등 고급 정보가 고스란히 유출된다. RQ-170 정찰기 사건 이후 이란은 이를 기반으로 ‘샤헤드-171’을 개발했고, 이는 다시 ‘샤헤드-136’ 자폭 드론의 기술적 토대가 되었다는 분석이 존재한다. 단순한 자산 손실이 아닌 전략 기술 유출과 적의 재무장까지 이어진 사례다.

그렇다면 주요 국가들은 무인화로 인한 보안 위협에 대비해 어떤 방어 전략을 갖고 있을까?

주요국의 대응 : 기술-제도-교리 3중 방어 전략
① 미국 : 제로트러스트와 안티템퍼링의 제도화
미국은 2021년부터 국방부 제로트러스터 참조 구조(Zero Trust Reference Architecture)를 무기체계 전반에 적용하고 있다. 이 모델은 무인체계의 임무 모듈, AI 판단부, 통신 인터페이스 등을 독립된 보안 영역으로 나누고, 각 모듈 간에도 인증·검증·로그 분석을 수행하는 구조다. 또 미국 국방부(DoD)는 모든 무기체계 개발사에게 안티탬퍼링 기능을 계약 요건으로 정하고 있다(DoDI 5200.39). 미 육군 고등연구계획국(DARPA)는 자폭형 저장장치, 안티디버깅 보호, AI 자가소거 알고리즘 등을 결합한 다계층 방어기술을 연구하고 있다.

② NATO & 이스라엘 : 실전 적용과 기술 내재화
북대서양조약기구(NATO)는 ‘Federated Mission Networking’(FMN) 규약을 통해 무인체계 보안성과 상호운용성을 동시에 검증하는 지침을 운영 중이며, PQC 적용 및 사이버 모의훈련을 정례화하고 있다.

이스라엘은 하위 드론까지도 행동기반 이상징후 탐지 알고리즘(Behavioral Anomaly Detection)을 적용하고 있으며, 안티템퍼링 기술은 기체 설계 단계에서부터 칩 수준에서 탑재한다.

③ 국내 : 무인체계의 보안성 강화를 위한 제도적 정책 추진

방위사업청은 최근 국방 디지털전환 정책의 일환으로 무기체계 보안성 시험체계 구축 사업을 추진 중이다. 개발 초기 단계부터 사이버보안 요구 사항을 설계에 반영하도록 유도하고 있다. 특히 2023년부터 무기체계 소요기획 단계부터 사이버위협 모델링, 보안 아키텍처 설계, 기능 점검 등 요소를 포함한 보안성 평가 항목을 명문화하고 있다. 다만 여전히 현장에선 여전히 보안이 ‘사후 보완’ 또는 ‘개발 종료 후 점검’ 수준에 머무는 경우가 많다. 양자내성암호 적용은 대부분 시험 단계에 머물러 있으며, 안티템퍼링 기능 또한 일부 핵심 무기체계를 제외하면 설계 초기 단계에 반영되거나 고려되지 않는 경우가 적지 않다.

제언 : 무인화가 아닌, ‘무인 보안화’가 먼저다
무인체계는 국방 혁신의 상징이지만, 통제권을 상실한 순간 그것은 더 이상 우리 자산이 아닌 적의 무기가 된다. 지금까지의 무기체계 개발이 주로 기능 중심, 전술 성능 중심으로 이뤄져 왔다면, 앞으로는 사이버전 환경에서 생존성과 회복력을 높이는 것을 개발 핵심으로 삼는 패러다임의 전환이 필요하다. 특히 무인화 분야에서는 통신보안 강화, 시스템 분리 기반 설계, 기밀 데이터 자가 소거 체계가 더 이상 선택이 아니라, 방위산업의 기본 요건이 되어야 한다.

이를 뒷받침하기 위해서는 기술뿐 아니라 제도화, 인증체계, 보안 내재화 정책이 유기적으로 연계되어야 한다. 이것이야말로 무인화 성공의 전제 조건이며, 우리 국가 방위의 마지막 보루가 될 것이다.

 

의견

'스타크래프트' 게임 내 '다크아칸' 이라는 유닛에 비유를 통해 무인체계의 통제권 탈취가 가져올 파급력을 직관적으로 설명한 부분들이 보안 실무자로서 매우 공감되었다.

CERT 업무를 수행하며, 실제로 다양한 침해사고를 대응한 경험상, '보안은 사후 보완이 아닌 설계의 시작점부터 녹아들어야 한다'라는 인식이 절실하다는 것을 매일 체감했다. 하지만 현실에서는 여전히 많은 시스템이 개발 후 점검 위주로 보안이 적용되다보니 무인체계와 같은 고위험 시스템에서는 치명적인 허점이 된다.

또한, Django 등 프레임 워크 기반 개발을 경험해보며 오픈소스 생태계 내에서 발생하는 의존성 문제나 백도어 가능성, 인증이나 권한 관리 등 취약점에 대해 실감했던 경험이 있다. 시스템 내부 침투, 백도어 및 디버그 포트 노출등 SKT사태와 같이 위협이 맞닿아 있다고 생각한다. 개발자와 보안 담당자가 유기적으로 협력하지 않으면 무인체계는 그 자체로도 적에게 제공하는 '완성된 무기'가 될 수 있다는 점을 절감한다.

기사에서 강조한 제로 트러스트 구조와 안티템퍼링 기술은 이제 단순한 보안 옵션이 아닌 기본 요건이 되어야 한다는 주장에 전적으로 동의한다. 업무 중에서도 내부망 시스템에서조차 인증과 로그 기반 접근 통제, 모듈 간 경계 구분이 없을 때 발생하는 사고를 간혹 목격했었다. 무인 시스템이 사이버전의 중심이 될수록, 내부 구조 자체를 신뢰하지 않는 설계 사고가 필요하다고 본다.

국내에서도 점차 사이버 보안 요구사항을 반영하는 흐름에 대해서는 긍정적이지만 피할 수 없는 '양자내성암호'나 '자가소거 기술' 등은 실험적 적용에 머무르고 있어, 실전 적용까지는 많은 간극이 존재한다고 생각한다. 그렇기에 보안 실무자와 개발자, 정책입안자가 한 팀처럼 협력하는 '통합 보안 생태계' 구축이 무엇보다 중요하다고 생각한다.

뉴스 본문

(출처 : https://n.news.naver.com/mnews/article/030/0003315550)

갈수록 심화하는 사이버 위협에 대응하기 위해 보안 인증을 넘어 실질적 보안 관리 체계를 마련해야 한다는 의견이 나온다. SK텔레콤이 정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P)를 획득했음에도 초유의 해킹사고를 막지 못했기 때문이다. 정보보호업계는 공공분야 국가망보안체계(N²SF)를 민간영역에도 확산하고 소프트웨어자재명세서(SBOM)를 중심으로 한 공급망 보안 강화에 나서야 한다고 제언한다.

SK텔레콤은 국내 주요 통신 서비스 제공자로서 이동통신서비스 인프라 운용, T전화·누구(NUGU) 서비스 운영에 관한 ISMS와 이동전화 고객관리 서비스에 관해 ISMS-P를 보유했다.

ISMS와 ISMS-P는 과학기술정보통신부와 개인정보보호위원회가 주관하는 국가공인 정보보호 인증제도다. ISMS 인증의 경우 정보자산을 안전하게 관리하기 위한 위험 관리, 사고 예방 및 대응, 복구 등 80개 기준을 통과한 기업에 부여한다. 의무 대상은 주요 정보통신서비스 제공자나 정보통신서비스 매출액 100억원 이상 또는 일평균 이용자 수 100만명 이상인 경우 등이다.

이번 SK텔레콤 해킹사고를 계기로 보안 인증 제도 개편에 나서야 한다고 지적이 나오지만, 기업이 실질적인 사이버 보안 체계를 구축할 수 있는 환경을 조성해야 한다고 목소리에 힘이 실린다.

한 사이버 보안 기업 관계자는 “보안 인증은 '최소한의 보안' 요건을 갖춘 것인데, 기업·기관이 보안 인증 획득으로 '할 일을 다했다'고 여기기 십상”이라며 “실제 개인정보 보호 유출 사고 발생 시 ISMS-P 인증은 과징금 감경 사유가 되는 등 기업에 안 좋은 시그널을 줄 수 있다”고 말했다.

◇N²SF 기반 보안 체계로 나아가야

정보보호업계는 SK텔레콤 해킹 사고를 반면교사 삼아 '경계 기반 방어'에서 '구조 기반 방어'로 전환해야 한다고 강조한다. SK텔레콤 해킹사고는 홈가입자서버(HSS)에 가입자 인증 정보가 집중돼 있고 내부 인증서버 간 신뢰 기반 연동망으로 운영돼 횡적이동(내부확산)을 막지 못해 피해가 커졌다는 분석이 나온다. 특히 BPF도어(BPFDoor) 악성코드 침투 등 네트워크 보안 안에서 공격이 이뤄졌다는 점에서 기존 경계 기반 보안의 한계가 드러난다.

정부가 공공분야를 대상으로 추진하는 N²SF는 기존의 경계 기반 보안을 보완하는 제로 트러스트(Zero Trust) 보안과 다중계층보안(MLS)을 통한 심층방어 체계 등이 담겼다. 제로 트러스트는 '아무것도 신뢰하지 말고 계속 검증하라'는 보안 개념으로, 내부 접속 권한을 획득하면 내부망을 휘젓고 다닐 수 있는 경계 기반 보안 체계와 달리 내부 침입을 가정해 모든 연결을 의심해 보안성을 높인다. 특히 N²SF는 정보시스템 중요도에 따라 기밀(C)·민간(S)·공개(O) 등 세 등급으로 나눠 차등 적용한다. 이를 바탕으로 신뢰할 수 있는 정보기술(IT) 자산과 아닌 자산을 명확히 구분하고 통제해 보안 구조를 촘촘히 설계한다.

정부는 가이드라인 초고를 통해 N²SF 구축 절차도 제시했다. △준비 △C·S·O 등급분류 △위협식별 △보안대책 수립△적절성 평가·조정 등 절차를 거쳐 조직에 N²SF 기반 보안 체계를 구축할 수 있도록 안내한다. 오는 7월 N²SF 가이드라인 1.0을 발간해 N²SF 이해도를 높이는 한편 제도 안착을 유인할 계획이다.

한 보안 전문가는 “N²SF 기반 보안 체계를 구축하면 보안 구역 분리를 통해 공격자의 내부 이동을 막을 수 있다”며 “유출 시 피해가 큰 민감정보를 저장한 IT자산에 강력한 유출 방지 솔루션을 설치하는 등 데이터 중심 보안 체계로 피해 확산을 예방할 수 있다”고 말했다.

◇SBOM 생성 통한 사이버 보안 관리체계 획기적 전환을

실질적 보안 체계를 위한 대안 중 하나로 SBOM 도입이 거론된다. SBOM은 SW 부품을 식별할 수 있도록 돕는 일종의 명세서다. SW 개발·배포·도입·운영 전 단계에 걸쳐 취약점을 식별하고 보안을 강화하는 공급망 보안 도구로 각광 받고 있다.

전문가들은 SBOM 생성이 단순히 공급망 보안과 무벽장벽 해소를 넘어 사이버 보안 관리 체계를 획기적으로 높일 것으로 기대하고 있다. ISMS는 체크리스크 중심이며 획득 후 갱신까지 시차가 있는 사전 점검이라면, SBOM은 선제적으로 형상관리(Configuration Management) 체계 구축을 요구하며 지속적으로 취약점 관리를 할 수 있어서다. 개발사-운영사 등이 SBOM을 기반으로 새로 발견된 취약점 패치와 업데이트를 실시간으로 공유하는 식이다.

궁극적으로 주요 기반시설·SW 운영사, SW 개발사, 오픈소스 SW 커뮤니티, 보안기업에 더해 정부의 사이버 보안 정책, 글로벌 SW 수출까지 여러 이해관계자 간 협력 프로레스를 마련할 수 있다.

최윤성 고려대 SW·AI융합대학원 교수는 “주요국의 SBOM 정책에서 말하는 실사의 증거란, 기업이나 기관이 SW 구성요소의 보안 및 라이선스 컴플라이언스를 점검하고 검증한 사실을 입증할 수 있는 기록을 의미한다”며 “이는 단순히 SBOM을 생성하고 끝나는 것이 아니라, 그 내용을 검토하고 관리하고 있다는 증거가 있어야 함을 뜻한다”고 말했다.

 

의견

보안관제 업무를 수행하면서, ISMS나 ISMS-P와 같은 보안 인증이 실제 보안 수준을 완벽히 보장하지는 않는다는 점을 체감했었다. 인증 획득은 최소한의 보안 요건을 충족했다는 의미일 뿐이지 지속적인 보안 위협에 대응하기 위해서는 실질적인 보안 관리 체계가 필요하다는 것이 나의 의견이다.

기존의 경계 기반의 보안은 내부 침입을 전제로 하지 않기 때문에, 내부에서 발생하는 위협에 취약하다고 생각한다. 제로 트러스트 보안 모델은 모든 연결을 의심하고 검증하는 방식으로 내부 침입을 가정하여 보안을 강화한다. N²SF는 이러한 제로 트러스트 개념을 포함해서 정보 시스템의 중요도에 따라 보안 수준을 차등 적용하는 구조 기반 방어 체계를 제공한다.

난 Django와 같은 프레임 워크를 사용하면서, 다양한 오픈소스 라이브러리를 활용하게 되는데, 라이브러리의 취약점은 전체 시스템의 보안에 영향을 미칠 것이 분명하다. SBOM은 S/W 구송 요소를 명확하게 식별하고 취약점들을 지속적으로 관리할 수 있는 체계도 제공하며 공급망 보안을 강화하는데 중요한 역할을 한다고 생각한다.