[보안 상반기 결산] 인텔 CPU 보안 취약 등 '사고' 잇달아

사이버위협 피해 최소화 방안으로 이용자 개인정보를 보호하는 규제를 강화하고 IT 및 보안업계 민간 기업들이 기술의 부작용을 줄이려는 움직임을 보이고 있다.

이처럼 상반기 보안업계의 비상한 관심은 새로운 하드웨어 보안취약점 발생과 전세계 영향을 미치는 정보보호 관련 법안의 집행에 따른 규제대응에 쏠렸다.

평창동계올림픽과 깃허브, 클라우드 서비스 등에 운영장애를 초래한 해킹 공격이 발생했고, 해외서 불특정 다수에 피해를 미치는 정부 배후 사이버공격을 억제하자는 민간 차원의 협력 움직임도 가시화하기 시작했다.

사이버공격 예방과 피해 복구에 이용자 개인의 자구적 노력만을 요구할 때가 아니라는 판단에 무게를 싣는 사례가 많아지고 있다. 우선 현존 대다수 컴퓨터에 탑재된 중앙처리장치(CPU) 하드웨어에 소프트웨어(SW) 업데이트만으로 처치곤란한 보안 결함이 있었다는 사실이 연초 공개됐다.

1988년 서울하계올림픽에 이어 30년만에 열린 평창동계올림픽에선 개막식을 망칠 뻔한 해킹공격이 감행됐다. 한국을 비롯 세계각지 유명 사이트를 겨냥해 역대 기록을 경신한 대규모 분산서비스거부(DDoS) 공격도 벌어졌다.

정부 지원을 받는 해킹 그룹이 일반인과 민간 기업에 피해를 주는 사이버공격을 벌이기도 한다. 이런 '사이버 전장'에서 선의의 일반인과 민간 기업을 보호하자는 취지로 IT 및 사이버보안 업체들이 손을 잡았다. 꼭 의도된 해킹이 아니더라도 개인정보 침해에 따른 일반인들의 피해 우려는 커지고 있다. 유럽에선 현지 시민의 개인정보 보호와 기업의 활용간 균형을 추구하는 새 법을 집행하기 시작했다. 이와 별개로 한국에서 SW보안취약점을 추적관리하는 국제표준 식별번호체계를 활용하려는 움직임이 구체화하고 있다.

2018년 1월부터 6월까지 국내외서 벌어진 사이버보안 관련 사건과 규제환경 및 동향 6가지를 정리했다.

■ CPU 보안취약점 멜트다운-스펙터 파장…인텔 칩 설계 변경 예고

1월초 구글이 3가지 CPU 취약점 공격 기법 분석 결과를 발표했다. 대다수 인텔, AMD, ARM CPU에서 캐시메모리 데이터를 노출시키는 취약점이었다. 인텔 CPU에서만 발견된 1가지 취약점은 '멜트다운', 인텔, AMD, ARM CPU에서 발견된 2가지 취약점은 '스펙터'로 명명됐다.

3사 CPU를 탑재한 현존 대다수 PC, 서버, 모바일 기기가 영향권에 놓였다. 이에 CPU 및 컴퓨터 하드웨어 제조사가 패치 또는 펌웨어 업데이트를 배포했다. 윈도, 리눅스, 맥OS, 안드로이드 등 운영체제(OS) 공급업체와 주요 브라우저 개발업체도 일제히 SW업데이트를 내놨다.

그중 인텔이 자사 CPU 취약점을 해결하려고 패치는 시스템 불안정, 성능 저하 등 부작용을 보이면서 경쟁사 AMD의 추격을 허용하기도 했다. 인텔은 CPU 취약점을 막도록 새로운 설계를 적용한 8세대 CPU를 올하반기부터 출하한다. 추락한 위신을 회복할 수 있을지 주목된다.

■ 평창동계올림픽 개막식 망칠 뻔한 해킹 공격…배후는 안갯속

2월초 평창동계올림픽 개회식에서 현장 유무선 네트워크 시스템에 장애가 발생했다. 메인프레스센터(MPC) 영상 전송과 공식 홈페이지의 입장권 판매 및 출력, 올림픽 개최공간의 무선랜 서비스가 원활하지 못했다. 이는 '올림픽 파괴자'라는 악성코드 감염에 따른 해킹 피해였다.

직후 미국 시스코시스템즈는 악성코드의 동작 특성을 분석한 결과를, 3월초 러시아 카스퍼스키랩 연구원들은 악성코드 감염 및 확산 경로를 추적한 결과를 제시했다. 올림픽 운영망을 표적 삼아 이메일 계정을 수집하려 했던 스피어피싱 이메일이 공격의 시작점으로 지목됐다.

세간의 관심은 올림픽 파괴자 악성코드 공격의 배후였다. 카스퍼스키랩 분석 결과 중 북한 지원 해커그룹과 연관성을 보이는 단서는 위조됐다는 진단이 나왔다. 러시아, 중국, 북한 등 국가 배후 해커 조직의 소행일 가능성이 여러 분석 주체를 통해 제기됐지만, 단정할 수 없었다.

■ 유명 사이트에 대형 DDoS 공격…보안 관리 허술한 멤캐시드 서버 원인

3월초 한 미국 업체를 노린 1.7Tbps 규모 DDoS 공격이 최대 기록을 경신했다. 2월말 소스코드 공유사이트 깃허브(GitHub)가 직전 사상최대 규모인 1.35Tbps 규모 DDoS 공격에 운영장애를 일으킨지 1주일만이었다. 두 사이트에 행해진 DDoS 공격을 유발한 기법은 동일했다.

공격 표적도 한둘이 아니었다. 구글, 아마존, 치후360 등의 인터넷 및 클라우드 서비스가 포함됐다. 오늘의유머, 인벤, 디씨인사이드, 일베 등 유명 인터넷커뮤니티도 공격에 노출됐다. 중국 '넷랩' 분석 결과 10여일간 웹사이트 7천여곳에 1만5천번에 달하는 DDoS 공격이 있었다.

공격자는 공개된 멤캐시드(memcached) 서버로 가짜 요청을 보내 표적에 과도한 트래픽을 보낼 수 있었다. 보안 전문가들은 기본 보안설정을 개선한 멤캐시드 새 버전으로 업그레이드할 것, 트래픽을 보내고 있는 멤캐시드 서버에는 캐시 무효화 명령어로 대응할 것을 조언했다.

■ "민간 피해 막아야"…글로벌 사이버보안·IT업체 34곳, 사이버보안 기술협정

올해 4월 미국서 열린 정보보안전시회 'RSA컨퍼런스2018'에서 IT 및 사이버보안 업체 34곳이 '사이버보안 기술 협정(Cybersecurity Tech Accord)'에 서명했다. 무고한 시민과 기업에 사이버공격을 행하려는 정부에 협조치 않고 어떤 이용자와 고객이든 보호하겠단 내용이었다.

협정은 2017년 상반기 세계를 휩쓴 워너크라이, 낫페트야 등 랜섬웨어 사태와 맞물려 관련 기술을 연구하고 개발하는 기업들이 사이버보안 문제의 책임의식을 공유해야 한다는 관점에서 추진됐다. 당시 피해는 컴퓨터뿐아니라 그 시스템을 이용하는 조직과 사회 전반에 미쳤다.

마이크로소프트(MS)는 1년전 '디지털 제네바 협약'을 제안하기도 했다. 국가간 또는 국가가 지원하는 해킹그룹으로부터 민간 피해를 막고자 이를 관리감독할 국제기구 및 규약을 갖추자는 게 골자였다. 사이버보안 기술 협정으로 이 협약이 공감대를 얻을 수 있을지 주목된다.

■ '세계매출 4% 과징금' EU GDPR 시행…한국 적정성평가 연내 승인에 촉각

5월 25일부터 유럽에서 일반개인정보보호법(GDPR)이 집행되기 시작했다. 법은 유럽연합(EU) 거주 시민의 개인정보를 보호할 목적으로 2년전 제정됐다. 현지 사업장을 둔 기업뿐아니라, 유럽 밖에서 온라인으로 현지 이용자에게 재화 및 서비스를 제공하는 곳에도 적용된다.

GDPR 미준수시 세계 매출 4%에 달하는 과징금이 부과돼, 다국적 기업과 현지 진출을 고려하는 중소기업에 걱정거리가 되고 있다. IBM은 상반기 34개국 15개 업종 GDPR 대응 책임자 1천500명 설문 결과 '대비를 잘 했다'고 자신하는 응답이 불과 36%란 조사 보고서를 내놨다.

법 집행은 이미 시작됐지만, 특정 기술의 도입 이슈와는 달리 구체적인 영향이 가시화하진 않은 상황이다. 일단 정부는 한국 기업이 EU지역 밖으로 개인정보를 이전시 EU 안에서처럼 추가 동의나 개인과의 협약을 요구치 않는 '적정성평가' 승인을 연내 받도록 하겠다고 예고했다.

■ SW보안취약점 국제표준 식별체계 CVE 부여기관 공공·민간에 2곳 탄생

6월 네이버가 국내 민간기업 최초로 'CVE번호부여기관(CNA)' 자격을 취득했다. 이는 SW보안취약점 국제표준 관리체계인 공통보안취약점공개항목(CVE) 번호를 부여할 수 있는 권한을 의미한다. 이로써 네이버는 자체 개발 SW의 보안취약점에 CVE를 붙여 발표할 수 있게 됐다.

관련기사

한국 최초 CNA는 정부 산하기관 한국인터넷진흥원(KISA)이다. KISA는 지난해 5월부터 CNA 취득을 추진해 올해 2월초 공식 인정을 받았다. KISA 측은 한컴 등 기존 'SW보안취약점 신고포상제' 공동운영사들과 협의해 국내 기업 SW제품에 CVE 번호를 부여할 계획이라고 밝혔다.

CVE는 세계 각국 보안업계, 담당자들과 통용되는 일련번호이자 단일 식별체계다. SW보안취약점에 CVE가 부여되면 관련 정보를 명세화하고 이슈 공유, 패치 등 관련 보안문제 추적과 관리 효율을 높일 수 있다. 국내도 CVE 체계가 활성화될지 지켜볼 일이다.