유진 카스퍼스키 "망분리, 지금도 값싸고 효율적 수단"

3.20 사이버테러와 지난해 말 한국수력원자력 정보유출 등 사고를 겪으면서 국가기반시설은 물론, 개인정보를 다루는 주요 민간기업들에게까지 망분리가 의무화됐다.

내부망과 인터넷과 연결된 외부망을 서로 분리해 정보유출이나 해킹 등 공격을 막겠다는 취지는 좋으나 실제 관련 업무를 담당하고 있는 직원들은 업무가 번거롭고 불편하게 됐다는 하소연도 늘었다.

이런 와중에 유명 보안회사 카스퍼스키랩을 이끌고 있는 유진 카스퍼스키 회장이 망분리의 중요성을 강조하는 발언을 해 눈길을 끈다. 그는 일반 업무환경보다는 발전소나 공장과 같이 원격감시제어(SCADA)시스템을 운영하고 있는 핵심시설에 대한 보호에 초점을 맞췄다.

미국 지디넷에 따르면 그는 호주에서 열린 'AusCERT2015 정보보안컨퍼런스'에서 "전력시설이나 기타 산업시스템 등을 보호할 때 망분리(air gap)은 여전히 매우 좋은 아이디어"라고 강조했다. 네트워크 보안분야에서 에어갭(air gap) 혹은 에어월(air wall)이라고 쓰이는 용어는 망분리를 의미한다.

그의 설명에 따르면 전통적인 망분리는 발전소나 공장 등과 같이 기기를 제어하는 원격감시제어(SCADA) 시스템이나 핵심산업시스템을 갖춘 곳에서 사용된다. 설비운영자가 내부시스템을 제어하기 위해 쓰이는 윈도 기반 워크스테이션이 대표적이다. 물론 이러한 워크스테이션은 외부 인터넷을 통해서는 접속이 불가능하다.

유진 카스퍼스키는 "원격교통관제센터 등과 같이 핵심네트워크에 인터넷 연결이 필요한 경우가 생기는데 이러한 경우에도 교통량을 통제하는 용도로만 시스템이 활용될 수 있도록 엄격히 제한해야 한다"고 말했다. 이어 그는 "제어에 필요없는 데이터들이 핵심네트워크에 존재하는 일이 생길 수 있는데 이 역시 방지해야한다"고 말했다.

그러나 망분리가 돼있는 환경이라고 해도 내부시스템에 대한 업데이트가 필요하거나 외부 자료를 내부에서 사용해야하는 상황이 생기게 마련이다. 이럴 경우 USB드라이브, 하드디스크, CD 등 저장매체가 활용될 수 있다. 실제로 이란 핵시설을 마비시킨 스턱스넷은 내부 운영자가 쓰는 USB드라이브에 악성코드를 주입시켜 내부 시스템을 감염시켰다.

그는 이러한 문제를 해결하기 위해 "외부로부터 유입되는 데이터를 같은 메모리에 두지 말아야하며, 서로 다른 운영체제(OS)를 사용해야 한다"고 조언했다.

예를들어 시스템운영자가 자신의 노트북에서 윈도OS를 사용하고 있다면 내부시스템 소프트업데이트를 위해 해당 업데이트를 다운로드 받은 뒤 다시 리눅스, OS X가 설치된 기기로 복사한 뒤에 핵심네트워크에 옮겨야 한다는 것이다.

그는 "이러한 방법을 사용하면 모든 알려진 혹은 미래에 닥칠 공격을 99.99%까지 막아낼 수 있을 것"이라며 "비용도 저렴하다"고 설명했다.

물론 이 방법이 100% 공격으로부터 보호할 수 있는 것은 아니다. 공격자가 제대로 시스템을 공격하기로 마음먹었다면, 윈도와 리눅스 등에서 모두 작동하는 악성코드를 설계할 수도 있기 때문이다. 그럼에도 불구하고, 그는 "여전히 핵심네크워크를 거의 완벽에 가깝게 보호할 수 있는 방법"이라고 밝혔다.

그가 보기에 완벽한 보안은 시스템을 잘 보호해, 공격자가 대상을 공격하기위해 훨씬 많은 비용을 감수해야만하도록 하는 것이다. "단순히 공격을 설계하기 위해 드는 돈 뿐만 아니라 공격자들이 체포될 수 있다거나 발각될 수 있는 등 공격자들 스스로 입을 수 있는 피해를 감당하기 어렵게 해야한다"는 설명이다.

또 다른 효과적인 보안대책으로 그는 직접 설비를 움직이는 SCADA 컨트롤러와 이를 제어하는 기기들 사이에 시큐어OS를 적용한 별도 기기를 통해 명령을 필터링하는 방법을 적용해 볼 수 있다고 설명했다. 만약 공격명령이 떨어지더라도 시큐어OS를 적용한 기기가 위험한 작업이 발생하지 않도록 중간에서 필터링 역할을 할 수 있게 한다는 것이다.