top of page
컨퍼런스 어울링

NEWS

PHD 2018
- 미국과 중국,"국가 차원의 사이버 보안 방어체계"에 대해

May 21, 2018

러시아 모스크바에서 제8회 Positive Hack Days (PHDays 8) 컨퍼런스가 개최되었다. PHDays 운영위원이자 DarkMatter (다크 메터) 제품 디렉터인 세르게이 고데이칙 (Sergey Godeychik)은 중국, 미국의 국가 차원 사이버 보안 방어접근법에 대해서 발표했다. 다음은 필자가 그의 발표내용을 듣고 정리한 내용이다.

▲ PHDays 운영위원이자 DarkMatter(다크 메터) 제품디렉터인 세르게이 고데이칙(Sergey Godeychik)

그는 중국과 미국의 사례를 상세히 비교 설명했다. 특히 미국의 아인슈타인 프로젝트 (Einstein Project)에 대한 실질적인 장점과 단점 그리고 현재 상황에 대해 구체적인 사례를 제시해 참관객들의 큰 관심을 끌어냈다.


▲ 세르게이 고데이칙 발표 현장. 제8회 Positive Hack Days.

지금까지 많은 컨퍼런스에서 특정 국가의 지원을 받은 타깃 공격과 이를 수행하는 해킹그룹에 대한 정보는 지속적으로 발표되었다. 이를 '네이션-스테이트공격(Nation-State Attack)' 또는 '네이션-스폰서드 공격 (Nation-Sponsored Attack)'이라고 한다. 공격을 지원하는 국가로 언급되는 국가는 중국, 러시아, 미국, 북한, 이스라엘 등이다.

 

최근 한국평창올림픽 기간의 공격, 러시아와 중국의 미국 대선 개입설, 우크라이나 대규모 정전사태, 이란 원전중단(Stuxnet)등이 공격의 배후로 특정 국가 개입에 대한 추측 및 정황들을 언급하고 있다. 이는 주로 사회기반시설이나, 정치적인 목적 또는 사회에 혼란을 초래하는 공격들을 포함하며, 한번의 사건으로 전세계에 영향력을 과시할 수 있는 공격을 선택하고 있다.
하지만 이번 PHDays 8에서는 위와 같은 공격에 대해, 관점을 바꾸어서 국가차원에서는 어떤 사이버보안 방법론을 적용하고 있고, 현재는 어떤 상황인지, '국가 차원의 방어 대책' 입장에서 상세한 정보를 발표했다.
세르게이 고데이칙은 국가 차원의 사이버 보안 방어 실태 사례로, 중국과 미국의 정책을비교했고, 특히 미국의 경우는 아인슈타인 프로젝트(Einstein Project)로 명명된 수년간의 국가 보안 방어 프로젝트에 대한 상세 설명과 함께, 장점과 단점 그리고 현재 상황 및 앞으로 어떻게 진행될 것인가에 대한 구체적인 발표를 진행했다.


중국의 국가 차원 사이버보안 방어 체게 = "골든쉴드 프로젝트 / 그레이트 파이어월"


중국의 대표적인 국가차원 사이버보안 프로젝트는 2003년부터 시행한 '골든쉴드 프로젝트 (Golden Shield Project)'다. 이 프로젝트의 일부로 많이 알려진 하위 프로젝트가 2006년부터 시행된 '그레이트 파이어월(Great Firewall of China)' 프로젝트다. 중국 사용자들이 인터넷을 사용하는 과정에서 정부가 직접 규제하고 컨트롤하는 보안 아키텍쳐다.
외국 사이트로 인터넷접근을 제어, 외국으로 접속하는 인터넷속도의 의도적인 저하, 외국 기업이개발한 인터넷툴의 사용제한, 외국IT 기업에 대한 중국 보안규제 강제적용 등이 핵심요소다.

GFW(Great Firewall of China) 프로젝트는 사용자들이 인터넷을 사용하기 위해서 다음 과정을 자동으로 거치도록 자동화했다.

o Static IP Blocking
o DNS Hijacking
o Keyword 필터링
o TOM-Skype (중국버전Skype– 2013년에,MS가계약파기)
o Anti-VPN (머신러닝으로 기술확대)
o Great Canon of China
(중국 웹서버로 대량 트래픽 유입되면 이를 다시 공격대상 웹서버로 DDoS를 발생시키는 공격시스템)

이와 더불어 중국은 글로벌 벤더사의 제품에 대해 중국 로컬버전을 제공할 것을 강력히 요구했다. 대표적인 것이 중국 국가 소유기업인 CETG(China Electronics Technology Group)의 설립이었다.

글로벌 벤더사는 CETG와 함께 중국 로컬버전의 소프트웨어를 별도로 제작해야 했고 타 국가에서는 사용할 수 없도록 했다. 즉 글로벌 벤더 입장에서는 중국 버전을 만들거나 비즈니스를 포기하든 양자택일할 수 밖에 없는 상황이 만들어졌다. 결론은 중국 정부의 승리였다.

특히 중국 인터넷 사용자들이 사용하는 특정 소프트웨어의 점유율이다. 중국 사용자의 84.3%가 위챗(WeChat) 메신저를 사용하고 65.8%가 큐존(QZone) SNS를 사용 중이다. 중국 국가기반 방어체계의 산물이라고 할 수 있다.


미국 국가 차원의 사이버 보안 방어 체게 = "아인슈타인 프로젝트"


미국의 대표적인 국가 차원의 사이버 보안 프로젝트는 2003년부터 시행한 '아인슈타인(EINSTEIN) 프로젝트'이다.

 

아인슈타인 프로젝트는 중국의 보안체계와는 조금 다르다. 미국 정부기관인 DHS(Department of Homeland Security)에서 주관하며 아래 두 가지 목적을 가진다. 보호대상이 정부기관인 것이다. 즉 사용자들의 인터넷 사용을 통제한 것이 아니라, 공격자가 정부기관을 공격하는 것에 대한 방어체계를 정의한 것이다.

o 정부기관에 대한 사이버 공격을 탐지 및 차단
o 특정 정부기관에 대한 공격정보를 업데이트해서 다른 정부기관에 방어체계 적용 후,
동일한 공격의 확산방지

아인슈타인(EINSTEIN) 프로젝트는 현재까지 3단계로 나누어 시행되어왔고 지속적으로 단점을 보완해 오고 있다.

o EINSTEIN 1
2003년~2006년) 네트워크 흐름 모니터링(Netflow)
o EINSTEIN 2
2008년~2013년) Layer7 IDS 기술적용, TIC(Trusted Internet Connection) 구축
o EINSTEIN 3
Accelerated / E3A (2013년~ ) Prevention 기술적용(Sink Hole, Web, Mail), ISP 동참

 

위 아인슈타인 프로젝트가 가동되는 동안 미국의 소스파이어(SourceFire, IPS 벤더)가 이스라엘의 체크포인트에 인수합병되는 과정에 개입했고, 미국은 이런 합병과정에 대한 거부권을 행사했다. 결과적으로 소스파이어가 미국의 시스코에 합병되는 결과가 만들어졌다.

 

하지만 현재까지 점진적으로 운영해 오고있는 미국의 국가차원 방어태세도 주로 네트워크기반으로 작동하기 때문에 모든 위협에 대해서 대응하는 것이 아니다. 이런 관점에서 미국 주요 기관들의 내부방어체계인 CDM(Continuous Diagnostics and Mitigation)과의 연동과 미국 정부차원의 사용자 이중 인증 및 교육 등과 연계하고 있다.

그렇다면 미국의 아인슈타인 프로젝트는 성공했을까.
대략 10여 년간 미국 정부가 아인슈타인 프로젝트를 적용해 오면서 많은 시행착오를 겪은 것으로 보인다. 미국 정부 입장에서 대처하지 못했던 내용들은 아래와 같았다고 한다.

o 암호화된 트래픽에 대한 모니터링 부재
o Prevention 에 대한 대응미비
o 전체 정부기관중, 오직 20%의 기관만이 아인슈타인 프로젝트 신뢰
o 24%의 정부기관은 그 어떤 정보 공유도 받지못했다고 함(보안위협 정보공유의 방법론 미비)
o 급변하는 최근 위협에 대한 6% 정도의 탐지율(실제 489개 익스플로잇 중에서, 29개만 탐지했음)

아인슈타인 프로젝트는 현재 어떻게 변화하고 있을까.
위에서 보았듯 미국 정부차원의 아인슈타인 프로젝트는 10여 년 이상의 투자에 대비해서 성과가 월등히 좋아진 것은 아닌 것으로 판단된다. 이에 미국 정부는 아래와 같이 2017년 말부터 2018년 현재까지 아래와 같이 특정 인프라 스트럭쳐에 대한 국가차원의 보안강화방안을 제시하고 있다.

o 2017년 5월 11일, 연방 정부 네트워크와 산업시스템(ICS)에 대한 대통령직속 방어체계마련
o 국가선거관리시스템 보호방안 마련
o 국가차원의 침투테스트 지원(DHS 주관 및 하위 정부기관의 요청이 있을 경우)


미국 정부기관과 일반 엔터프라이즈 기업의 협업

미국의 사이버보안 방어체계를 뚫고 들어갈 수 있는 방법 중에서 가장 많이 사용되는 것이 미국 정부가 가장 많이 사용하고 있는 소프트웨어, 애플리케이션 그리고 서비스에 대한 취약점을 이용하는 것이다.​

즉 미국 정부의 국가적 사이버보안의 완성도를 높이기 위해서는 일반 엔터프라이즈 기업의 제품에 보안취약점을 최소화시키는 것이 방법론으로 채택되었다.​

결과적으로 미국 기업들은 정부의 요청사항과 기업 자체의 보안안정성에 대한 두 마리 토끼를 모두 잡기위해서 '버그바운티(Bug Bounty)'를 활성화 시키고 있다. 실제로 상당히 많은 버그바운티 프로그램이 미국에 존재한다는 사실을 한국 독자들도 이미 알고있는 사실이다.


중국 vs 미국, 국가차원 사이버 보안방어 체계 비교

중국과 미국의 현재까지 진행된 국가차원의 사이버보안 방어체계를 직접적으로 비교해 볼 수는 없다. 중국은 일반 사용자들의 인터넷 접근에 대한 방어체계를 구축해 왔고, 미국은 정부기관의 보호를 위한 국가적인 방어체계를 준비해 왔기 때문이다. 그리고 중국은 오직 제어와 차단에 중점을 두었고 업무 생산성, 경제, 규제, 인터넷 자율화, 프라이버시 등의 모든 측면에서 효율적으로 접근한 것은 아니다. 조건이 서로 다르지만 제어와 차단이라는 관점에서는 중국이 미국을 앞서는 것으로 느껴지지만 국가적으로 통제한다는 의견이 맞을 수도 있다고 판단한다.

좀더 객관적인 중국과 미국을 비교하기 위해서 발표자는 아래 내용을 추가로 언급했다.

제로데이 취약점이 발견된 경우, 국가기관의 취약점 DB에 공개되기까지의 시간을 보면 중국이 정말 빠른 속도로 대응하고 있다는 것을 알 수 있다. 취약점 DB에 공개된다는 것은 그 소프트웨어의 제조사가 빠르게 패치를 내어 놓아야함을 의미하며, 만약 취약점 DB에 공개되는 시기가 늦어지면 늦어질수록 그 취약점을 악용한 공격사례가 더 많이 나 올수밖에 없다는 것을 의미한다.
중국은 최초 제로데이 취약점 오픈 이후, CNNVD에 등록되기까지 평균 13일 정도 소요되는 반면, 미국은 NVD에 등록되기까지 평균 33일 정도 소요된다고 한다.


▲ 권영목 파고네트웍스 대표.(필자. PHD 현장에서)

필자는 중국과 미국의 사례로 본 국가적 방어대책을 좀더 체계적으로 알 수 있는 시간이어서 좋은 시간이었다.

 

국가 차원의 타깃 공격이 특정 국가의 지원을 받은 치밀한 타깃 공격이기에 주요 산업시설과 정부기관에 대해서 국가적 차원의 방어대책을 제공하는 것도 상당히 중요한 부분을 차지한다.
하지만 지능화된 분산공격이 여러 기술을 복합적으로 사용해 그들만의 에코시스템을 빠르고 능동적으로 사용하고 있는 반면, 장기적인 전략의 국가적 차원의 보안대책은 상호 에코방어시스템 구축에서 대응속도가 늦어질 수도 있다는 부분을 생각해봐야 할 것 같다.

특히 신기술이 적용된 보안제품이 나오는 상황에서 국가적 방어대책은 신기술을 적용할 타이밍을 놓칠 수도 있다는 점과 엔터프라이즈 보안제품을 제공하는 제조사와의 관계에 대해서도 너무 경직될 수 있다는 생각을 해 본다. 더불어 중국처럼 완전히 통제된 인터넷 접근정책이 한국 정부에 의해서 시행된다면 어떤 파장을 불러일으킬까.

[필자. 권영목 파고네트웍스 대표/데일리시큐 객원기자]

​O 원문 기사 링크 -->  [PHD8-기고] 미국과 중국, 국가 차원의 사이버 보안 방어체계에 대해

bottom of page