위협정보분석가로 일하는 건 어때?

기업·개인이 유명해지면 사이버 공격의 표적이 되기 쉽다. 공격을 예방하고 그들을 보호하는 것이 업무
해킹 공격이 어떻게 이뤄지는지 파악한 뒤 이 정보를 공유하는 것이 장차 그 피해를 최소화하는 유일한 방법이다. / 사진:GETTY IMAGES BANK

글로벌 사이버보안 선두업체 팰로앨토 네트워크스의 리서치 조직인 유닛 42의 위협정보분석가로 일하는 나의 임무는 사이버 세계에서 누가 누구를 그리고 왜 공격하는지 알아내는 일이다. 특정 사이버 공격이 어떤 형태로 나타나는지도 파악한다.

요즘 같은 디지털 시대에 사이버 공격은 피하기 어렵다. 공격이 어떻게 이뤄지는지 파악한 뒤 이 정보를 공유하는 것이 장차 그 피해를 최소화하는 유일한 방법이다. 정보 순환(intelligence cycle, 정보를 수집해 전파하고 사용하는 과정)은 네트워크에서 악의적인 해커를 색출하는 검증된 전통적 방법이다. 위협이 어떻게 이뤄지는지 피해자 또는 타깃 시스템을 어떻게 이용하는지 목표물을 어떻게 공격하는지 그리고 어떻게 다시 해커와 소통하는지 등에 관한 정보의 수집 등으로 이뤄진다. 이런 의문에 대한 답은 특정 멀웨어(악성 소프트웨어) 유형에 따라 제각각 달라 공격자가 어떻게 활동하는지에 대한 파악이 장차 공격의 적발과 저지에 필수적이다.

나의 일상적인 역할에서 새로 발생하는 공격을 파악하는 방법은 다양하다. 그러나 시발점과는 상관없이 공격 작전 중 적이 어떤 전술·기법·절차(TTPs)를 채택했는지를 더 잘 파악하는 게 내 목표다. 공격자의 온라인 인프라 파악과 도표화 같은 기타 변수들과 함께 이런 요인들을 파악하면 잠재적인 출처 파악에 도움이 될 수 있다.

유닛 42 위협정보팀 소속이라는 것은 전 세계 사이버 위협에 관해 보고하는 작전의 중심을 이룬다는 의미다. 누가 공격의 배후일지 어떤 도구와 멀웨어가 사용됐는지 그리고 공격의 동기는 무엇인지 등의 윤곽 파악이 그런 정보에 포함된다. 가끔씩 수천만 명에게 피해를 입혀온 암호화폐 채굴 같은 대규모 공격도 우리 조사에 포함된다.

팰로앨토 네트워크스는 재건보다는 예방과 보호를 지향한다. 우리는 악의적인 위협으로부터 사업체 그리고 일반 대중을 보호하는 일을 한다. 또한 클라우드든 엔드포인트(네트워크의 말단에 접속된 IT 기기) 기반이든 가장 효과적인 보안 프로그램의 사용을 통해 고객이 디지털 잠재력을 최대한 발휘하고 궁극적으로 네트워크에 대한 공격을 예방하도록 지원한다.

내가 보안업계에서 종사해온 18년 동안 공격의 규모와 수준이 진화하면서 많은 변화가 있었다. 과거 보안 연구원의 역할은 위협 그리고 공격에서 수집한 정보에 대한 대응으로 국한됐다. 그러나 지금은 선제적인 대응이 더 큰 비중을 차지한다. 요즘엔 인간이 직접 모니터하기에는 매일 너무 많은 위협이 발생해 초기 위협감지를 둘러싼 업무는 상당 부분 기계가 담당한다. 오늘날 내 역할의 또 다른 요소는 인공지능(적어도 인공지능의 컴퓨터학습 측면)을 활용해 악의성이 감지되는 데이터의 패턴을 파악하는 일이다. 그에 따라 다른 공격 요소들이 어떻게 서로 연결되는지 파악하는 것과 같은 고차원의 정보에 분석가들이 집중해 정보를 배포하고 궁극적으로 미래의 공격을 예방할 수 있다.

세상에서 발생하는 무수한 사이버 위협 중 한 측면인 사이버범죄에 대한 나의 접근법은 여느 일반 범죄에 대한 경찰의 대응방식과 똑같다. 일차적으로 사이버 수준에서 증거를 수집해 범인이 누구인지를 알아내려 한다. 하지만 공격자가 누구인지 확증을 잡기가 어려울 수 있다. 사이버 공격자들은 신분을 감춰 다른 국적자 또는 다른 나라에 있는 것처럼 위장하는 데 능하다. 대신 우리는 그들이 어떤 전술과 멀웨어 유형을 사용하는지 추적해 그 영향을 줄여 다시 사용할 수 없도록 할 수 있다.

흔히 대량의 멀웨어가 많이 발견되며 그 경우 통상적으로 조직범죄의 소행으로 드러날 수 있다. 그러나 대부분 멀웨어 자체에 표적을 맞춰 해커의 ‘윤곽을 잡는’ 방법은 아무런 효과가 없다. 전반적으로 해킹 공격은 계산되지 않고 무작위로 발생하며 종종 아주 적은 돈으로 인터넷에서 내려받을 수 있는 도구를 이용해 이뤄진다. 위협을 유포하는 사람에게 초점을 맞추기보다 인기를 모으는 멀웨어 트렌드 그리고 그 대책의 윤곽을 잡는 편이 훨씬 더 유용하다.

나는 갭이어(gap year, 고교 졸업 후 대학 입학 전 취업·여행 경험을 쌓는 1년의 기간) 중 바이러스 백신 회사에서 위협정보 분야에 발을 들여놓았다. 그러나 원래부터 컴퓨터와 게이밍에 관심이 많았다. 실제로 버려진 물건들로 하드웨어를 조립하고 여러 가지를 연결하는 기계와 케이블을 만들며 많은 시간을 보냈다. 와이파이가 아직 주류로 자리 잡기 오래 전 일이었다. 내가 매일 맡는 업무에 많은 변화가 있었으며 그런 이유에서 그 뒤 12년 동안 계속 그 회사를 다녔다.

나는 최근에야 학위를 마쳤다. 지난 6년여 동안 개방대학(일하면서 배우는 통신대학)을 통해 컴퓨터학을 공부해 지난해 학위를 받았다. 다니던 회사에서 미국 발령을 받은 뒤 2년 전 팰로앨토 네트워크스로 옮겨 미국과 영국을 오가며 학업과 업무를 병행해야 했다.

그러나 이 일은 흔히 생각하듯 보안의 만능 해결사는 아니다. 그리고 통상적인 위협정보분석가 같은 업무도 없다. 대부분 컴퓨팅과 IT 전공이지만 인문학을 전공한 사람들도 상당한 가치가 있다. 인문학 전공자들은 통상적으로 특정 멀웨어 유형의 과거 패턴을 토대로 어디를 다시 공격할지 예측하는 데 더 능하다. 위협 조사 학위는 사이버보안 업계가 성장을 계속하면서 최근에야 등장하기 시작했다. 그리고 특정 위협정보 업무에는 수학 학위가 분명 필요하지만 마케팅·정치학·심리학 전공자도 위협정보팀에 종종 그에 못지 않게 중요하다.

사이버보안 업계의 기술격차 문제는 갈수록 심각해진다. 그리고 컴퓨팅에 열정을 가진 사람에 대한 수요가 갈수록 커지고 있다. 따라서 그런 사람들은 과거의 어떤 세대보다 자신의 열정을 발전시키고 수익을 올릴 기회가 많다. 컴퓨팅에 대한 관심이 대학 시절에는 취미에 불과했을지 모르지만 졸업한 뒤에는 학위와는 상관없이 더없이 소중한 자산이다.

매일 신기술을 동원한 사이버 위협이 신규 네트워크에 쏟아지는 요즘 상황에 많은 학교에서 조기 컴퓨터 교육을 적극적으로 말리는 현실을 감안할 때 보안 업계에 이런 취약점을 통제할 인력이 부족하다는 사실은 놀랍지 않다.

우리는 갈수록 컴퓨팅 역량과 데이터가 새로운 에너지원으로 부상한 디지털 세계에서 살아간다. 유럽연합(EU)에서 개인정보보호규정(GDPR)이 시행된 이후 사이버 공격의 타깃들은 누가 자신들을 공격했는지에 부쩍 관심을 갖게 됐다. 왜 공격을 받았는가? 타깃이 무엇인가? 어떻게 저지하는가? 이를 위해 우리는 알려졌든 아니든 과거의 공격, 사용된 멀웨어 유형과 도구들, 해커들이 사용한 기법들의 데이터베이스를 작성한다. 그에 따라 대중이 이 정보를 이용할 수 있으며 우리 고객이 공격을 포착해 우리 제품을 이용할 때 더 높은 수준의 지식과 맥락을 파악할 수 있다.

예컨대 어떤 새 IT 기업이 온라인과 언론에 알려질 정도로 유명해질 때마다 정보 분석가들은 사이버 공격이 임박했다고 가정하고 그 전에 취약점을 보완해야 한다. 어떤 기업이나 개인이 유명해지면 위험한 사이버 공격에 취약해지며 그런 상황에 우리가 개입한다.

위협정보 분석의 미래를 전망할 때 분명 우리가 저지하려는 사이버 위협 그리고 그들이 활용하는 신기술과 함께 계속 성장하면서 진화해 나갈 것이다. 예컨대 위협의 규모가 커지고 다수의 가상 환경에 걸쳐 발생할 수 있는 대규모 위협을 인간의 능력으로는 더이상 관리할 수 없을 때 자동화 추세가 특히 두드러질 것이다.

하지만 쏟아지는 경보 세례 속에서 무엇이 단순히 이례적이고 무엇이 정말로 의심스러운지 그리고 언제 고객에게 위험을 통보할지 가려내는 데는 인간의 역할이 절실히 필요하다. 그런 만큼 장차 성공적인 위협 분석은 인간과 기계 간의 공생 관계에서 비롯될 것이다.

– 알렉스 힌클리프

※ [필자는 팰로앨토 네트워크스 유닛 42의 위협정보분석가다.]