#5월, 미국 콜로니얼 파이프라인 사건. 최대 송유관 기업의 시스템이 랜섬웨어에 감염되며 가동이 6일간 전면 중단됐다. 암호화 통신을 악용해 공격 징후를 발견하고 대응하기까지 시간이 지연되며 피해 규모만 50억원에 이른다.

#11월, 국내 아파트 홈 네트워크 기기 월패드가 사이버 공격에 노출되며 수많은 개인의 정보와 사생활이 노출되는 피해를 입었다. 사생활이 담긴 영상이 불법 유통되며 주민들의 불안도 급증했다.

암호화 통신 피해 사례다. 산업분야와 일상의 통신이 암호화로 빠르게 진행되면서 암호화 통신 피해도 급증하는 추세다. 코로나19로 비대면 서비스가 확산되며 관련 서비스 공격도 반복되고 있다. 사물인터넷 적용으로 무차별 공격과 보안에 취약한 중소기업은 피해복구조차 어려운 게 현실이다. 

과학기술정보통신부 자료에 의하면 사물인터넷 기기 관련 해킹이 2019년 100건에서 지난해 117건, 올해 138건으로 증가하며 위협이 현실화되고 있다. 우리나라는 국가차원에서 서비스, 플랫폼, 인프라 등 클라우드 기반의 디지털 대전환이 빠르게 추진되며 사이버 위협 우려도 커지는 모양새다.

암호통신은 데이터를 암호화해 전송하면서 정보 안전성이 보장된다는 강점이 있다. 문제는 사이버 공격자도 암호통신을 이용해 들어오면서 공격여부를 외부에서 쉽게 확인할 수 없다는 것이다. 

예를 들어 자율주행 자동차의 사물, 교통신호, 차로 인식기능을 방해하거나 인공지능 성능을 떨어뜨리는 오류 데이터를 지속적으로 입력할 경우 오류가 발생할 수 있다. 이전에는 평문전송으로 내용을 알 수 있어 즉각 대응이 가능했다면 지금은 암호화 상태로 전송되며 실시간 확인이 어렵다. 

현재 대응 기술은 기존 평문 탐지 기반에 맞춰져 있다. 암호화 이전에는 탐지규칙을 활용한 트래픽 간 패턴매칭이 가능했다. 하지만 암호 트래픽은 기존 탐지규칙 적용이 불가하다. 때문에 암호통신 사이버 공격자의 활동 패턴, 움직임 등 형태적 요소로 감지하는 상황이다. 대응이 느릴 수 밖에 없는 이유다.

송중석 KISTI 과학기술디지털융합본부 과학기술사이버안전센터장은 "인터넷 상 공격할 수 있는 공개 소스가 많다. 이전에는 평문이라 사이버 공격시 내용을 바로 볼 수 있었다. 즉 자판기에 동전을 넣으면 어떤 제품이 나올지 알 수 있었다면 지금은 모르는 상황이다"면서 "암호화 데이터 전송으로 보안이 강해진만큼 공격자도 그 암호화 통신을 이용해 들어오면서 외부에서 공격자가 어떤 내용으로 공격하는지 내용은 알 수 없다. 월패드 공격, 상수도 공급 제어 등 문제가 발생한 이유"라고 설명했다.

그는 "일부 암호화 된 부분을 복호화(가시화) 할 수 있지만 시간이 많이 걸리고 개인정보 침해 등 문제가 있다"면서 "각국이 이를 대비하기 위한 기술 개발에 박차를 가하고 있다. 아직 원천 기술이 나오지 않은 상태다. 국내에도 정보보호 기업들이 많이 있지만 이를 준비하기에는 쉽지 않다. 정부의 대응이 필요하다"고 덧붙였다.

◆ 사이버 공격 대응도 골든타임 필요

"이전에는 평문이라 공격자가 어떤 데이터를 심는지 볼 수 있었다면 지금은 암호화 통신으로 들어오면서 내용을 알 수 없다. 사이버 공격 피해를 최소화하거나 막기위해서는 생명을 살리는데도 골든타임이 있듯이 빠른 대응이 필요하다."

송중석 센터장은 암호통신으로 빠르게 전환되는만큼 해킹 대응 속도도 빨라야 한다고 강조한다. 송 센터장에 의하면 전 산업분야 인터넷 통신의 85%는 암호화 통신을 이용한다. 스마트시티가 추진되며 사물인터넷 디바이스, 플랫폼의 33% 이상이 암호화되고 있다. 앞으로 누구도 사이버 공격을 피할 수 없게 된 셈이다.

암호통신 사이버 공격 대응 기술은 미국의 시스코가 2017년부터 연구개발에 들어갔다. 현재 시스코에서 사용하는 대응 기술은 일부 특정 악성코드 탐지 기술을 개발해 자체 시스템에 적용, 시뮬레이션 데이터로 공격 행위를 탐지하는 방식이다. 실제 상황 데이터가 아니라 시뮬레이션으로 해킹 발생시 오류가 존재할 수 있다. 원천기술로 볼 수 있는 기술이 개발된 것은 아니라는 의미다. 

송 센터장은 "기본적으로 디바이스 시스템이 다양하고 많아 암호통신의 복호화가 쉽지 않고 별도의 복호화 기술 개발도 어렵다. 지금 방식은 수십 분 동안 공격을 수치화하고 모델 시스템에 넣어 정상, 이상을 판별한다"면서 "생명을 살리는 골든타임이 있듯이 5분안에 피해를 발견해 대응할 수 있어야 피해를 최소화할 수 있다. 관련 기술 개발이 시급하다"고 강조했다.

그는 이어 "인터넷에 연결된 모든 시스템이 사이버 공격자의 공격 대상이 될 수 있다. 점점 암호화 되면서 어디를, 어떻게 공격했는지 모른다"면서 "개인은 시스템 패치를 사용하거나 암호를 복잡하게 하면 피해를 일부 막을 수 있지만 정부의 다양한 ICT 서비스가 많아질수록 안전성, 보안성도 같이 가야 한다"고 덧붙였다.

◆ 폭증하는 데이터 누구도 예외 없어

               KISTI사이버안전센터 종합상황관제실. 관제중인 62개 기관의 해킹 시도를 실시간 볼 수 있다.[영상= 길애경 기자]

송 센터장에 의하면 데이터 증가량의 폭증도 사이버 공격 판단을 어렵게 한다. 그는 "우리가 62개 공공기관을 관제중인데 데이터 발생이 분당 1~2만건에 이른다. 관제인력 5~8명이 수작업으로 분석하기를 어려워 자동 분석하는 SOAR기술을 개발에 들어갔다"고 설명했다.

SOAR 기술은 사이버보안자동대응 기술로 실제 보안관제 데이터 수집·가공·공유와 AI 기반 이상행위 탐지기술 개발, 실증이 핵심이다. KISTI를 중심으로 한국인터넷진흥원(KISA), 시큐레이어, 윈스, 모비젠, 성균관대, 상명대 등 산학연이 뭉쳤다. 올해 4월부터 2024년 12월까지 총 95억원 규모의 정부예산이 투입될 예정이다.

송 센터장은 "스마트 교통, 선박 해양, 스마트 시티, 지능형 ICT 등 대국민 공공 서비스와 인프라도 증가하고 있어 암호통신의 사이버 안전이 중요해지고 있다"면서 "국가 사이버 보안 협력, 연계가 요구된다. 과기부를 비롯해 해수부, 국토부, 세종시 등 부처와 지자체, 산업계, 학계 등이 공감하며 대응 기술을 개발하고자 한다"고 언급했다.

그는 "암호화데이터에 대한 보안관제 기술을 개발하는 것이다. 비복호화 기반에서 암호화 트래픽을 분석하는 원천기술 개발"이라면서 "IoT, 5G 등 모든 스마트 서비스가 포홤된 네트워크, 시스템의 암호화 트래픽을 활용해 원천 기술을 개발 하는 것으로 세계 최고 수준이 될 것이다. 암호화 통신 기반 보안 관련 시장을 선점 할 수 있을 것"이라고 강조했다.

수학을 좋아했던 송 센터장은 정보보호를 공부했다. 그러나 2003년 인터넷 마비 상황을 지켜보면서 암호에서 네트워크 방어로 전공을 바꿨다. 그러면서 인공지능 정보보호 융합연구로 박사학위를 받았다.

그는 "연간 수천 건의 해킹을 탐지하고 예방으로 방어하며 보람을 느낀다(물론 사고가 안일어나면 아무도 알아주지 않는다)"면서 "북한의 미사일 발사 등으로 경계가 강화될 시기 구성원 모두가 센터 뒤쪽 패널기기 공간에서 쪽잠을 자며 몇 개월간 지냈는데 지금도 잊을 수 없는 경험이다. 사명감이 필요한 부분"이라고 말했다.

그는 "지금은 4차산업, 디지털뉴딜 등 패러다임 전환 시기로 그에 맞는 보안 대응 기술 개발이 중요하다. 암호화체계로 빠르게 통신이 바뀌는만큼 그에 맞는 대응 기술도 같이 가야한다. 과제를 제안 중인데 꼭 선정되길 희망한다"고 계획을 밝혔다.