해킹 사고 왜 이리 많아? ISACA, “첩보가 문제”
- 위험에 대한 경고, 너무 많아서 문제
- 적절한 질문을 통해 경고를 거르고, 행동까지 결정해야
- 정보의 홍수 속에 살아가는 누구나 기억해야 할 '정보 구체화'의 중요성
Juniors, 안녕!
테크를 가장 날카롭고 가치 있게 읽어주는 더테크엣지 아빠들이야.
요즘 대형 보안 사고가 뻥뻥 터지고 있지? 너희들이 잘 알 만한 KT, SKT, LG 유플러스같은 대형 통신사들에서도 난리가 났고, 요즘에는 쿠팡이 뭇매를 맞는 중이라는 걸 어렴풋하게라도 알고 있을 거야. 요즘 들어 이런 정보 보안 사고(‘해킹 사건’이라고 하면 좀 더 쉬운 표현이 되려나?)가 큼직하게 자주 일어나는데, 이건 한국에서만 그런 건 아냐. 전 세계 곳곳에서 이런 안 좋은 일들은 더 많이 일어나는 중이야. 이런 일들이 일어나지 말라고 돈도 많이 쓰고 똑똑한 사람들이 밤새 연구도 하지만 그 효과는 잘 나타나고 있지 않아.
왜 그럴까? 여러 가지 이유가 있는데, 엊그제 정보 보호와 관련된 국제 단체들 중 꽤나 영향력이 높은 ISACA(‘이사카’라고 발음하면 돼)에서는 “위협 첩보가 문제”라고 지적했어. ‘위협 첩보’라는 것은 쉽게 말해 ‘해킹 사고가 일어날 가능성이 높다’고 미리 알려주는 제보성 정보들이야. 경고라고도 할 수 있지. 예를 들어 네 친구가 길을 가다가 누군가 너희 집에 몰래 쳐들어가서 물건을 훔칠 계획을 세우고 있는 걸 엿들었다고 해보자. 그러면 그 친구는 당장 너에게 그 내용을 알리겠지? 그게 바로 ‘위협 첩보’야.
첩보의 풍요 속 빈곤
ISACA가 ‘위협 첩보가 문제다!’라고 주장했다는 건 어떤 의미일까? 우리가 서로에게 사건 사고와 관련된 정보를 부지런히 알려주면 해커들을 더 잘 막을 수 있는데, 그런 제보 활동을 제대로 하지 않는다는 걸까? 아니야. ISACA는 이렇게 말하고 있어. “위협 첩보가 너무 많아서 문제다.” 어떤 나쁜 놈이 어떤 준비를 하고 있고, 그러니 누가 위험할 수 있다는 내용의 정보가 부족해서 공격을 못 막는 게 아니라는 거야. 너무 많아서 헷갈린다는 거지.
위의 네 친구 예시를 다시 볼까? 친구 한 명이 도둑 두 사람의 사전 계획을 엿들은 걸 너에게 알려줬다면, 네 입장에서 헷갈릴 일은 없어. 당분간 집을 비우면 안 되겠구나, 혹은 문과 창문을 좀 더 단단히 걸어잠가야 하겠구나, 결론을 내리고 그대로 실천하면 돼. 그런데 100명의 친구들이 100명의 도둑들이 세운 100가지 모의를 알아내 너에게 한꺼번에 전달한다고 상상해 봐. 어떨 것 같아? 100가지 위험을 모두 대비할 수도 있겠지만, 대부분은 10번째 제보도 넘기지 못해 피로감을 느끼거나 몰래 카메라 정도로 치부할 거야. 지금 해커들로부터 방어를 담당해야 하는 사람들이 이런 상태라는 게 ISACA의 지적이지.
실제 해커들과 최전선에서 싸워야 하는 ‘보안 담당자’들은 늘 위협 첩보를 수집하고 있어. 위협 첩보를 수집해 유료로 제공하는 회사들도 세상에 엄청나게 많아. 그런 서비스 몇 가지만 구독해도 정보가 모자를 일은 없어. 이미 확보한 정보만 가지고도 앞으로 있을 공격을 예방하기는 충분하지. 그런데 너희들도 유튜브 구독 같은 걸 해봐서 알겠지만, 구독 채널이 점차 늘어나면 늘어나지 줄어드는 일은 많이 없어. 사람은 돈이든 정보든, 지금 가지고 있는 것에 좀처럼 만족하지 않거든. 더 많은 것을 바라고, 더 많이 가지려고 하지.
해커들을 막아야 하는 보안 담당자들도 마찬가지야. 공격자들이 언제 어떻게 들어올지 모르는 상황이니, 늘 최악의 수를 상정하고 준비를 해야 했고, 그러다 보니 더 많은 첩보를 추구하게 됐어. 그러다가 결국 그 첩보에 파묻히게 된 거야. 꼭 필요한 첩보만 취해서, 꼭 맞게 대비해야 하는데, 너무 많은 이야기 속에서 어떤 행동부터 취해야 하는지 판단하기 힘들어진 것이지.
범람의 근본 이유
하지만 ‘첩보의 범람’이 일어나게 된 건 보안 담당자들이 정보 수집에 급급해서 그런 것만은 아니야. ‘당신이 위험할 수 있다’로 풀이될 수 있는 정보의 양 자체가 실제로 크게 증가하기도 했어. 해커라는 사람들이 점점 복잡한 방식으로 일하기 때문이야. 요즘 해킹 공격은 ‘A가 B의 컴퓨터를 해킹했다’는 단순한 도식으로 설명하기 힘들어. ‘A가 B와 C와 D와 공모한 후 E를 공략하기 위해 F와 G와 H 사이트를 뒤져 한 달 동안 배경 정보를 파악하고 나서 I와 J라는 서드파티 업체를 발판 삼아 E의 직원 K의 모바일 장비에 침투한 뒤, K와 연결되어 있는 같은 회사 직원 L, M, N에까지 도달해 결국 O라는 중앙 서버에 들어가 P라는 자신들의 서버로 데이터를 옮겨냈다’ 정도가 요즘 흔히 발생하는 일이지. 복잡하지?
해킹 공격이 ‘복잡해진다’는 건, 일단 참여자가 많아진다는 의미가 돼. 한 사람이 다른 한 사람을 공격하는 일은 거의 없고, 한 단체와 그 조력자들이 다른 단체를 공격하는 게 보통이야. 왜? 이제 해킹 공격이라는 것은 너무나 다양한 기술을 요구하는 행위이기 때문이야. 한 사람이 이 기술력을 죄다 갖출 수는 없어. 그러니 한두 가지 기술을 가진 사람들이, 자신에게 없는 기술을 가진 사람들과 결탁하게 되고, 그런 과정에서 공격을 실행하는 사람들이 ‘다수’로 변모하고 있는 거야.
어떤 사람은 여러 사이트나 소셜미디어에서 누군가의 뒤를 캐는 걸 전문으로 해. 어떤 사람은 다른 사람의 로그인 정보(ID와 비밀번호)를 어디서 그렇게 잘 가져 와. 어떤 사람은 해킹 도구로 사용되는 소프트웨어를 잘 만들어. 어떤 사람은 사람 심리를 잔 건드려 협상에서 항상 좋은 결과를 내. 어떤 사람은 여기 저기 사람들 모집을 잘하고, 어떤 사람은 광고에 일가견이 있어. 어떤 사람은 행동력이 좋아서 실제 은행 같은 데 들어가서 ATM 기계를 재빠르게 털고 도망갈 수 있어. 이런 모든 ‘기능들’이 한데 어우러져서 한 건의 해킹 사건이 완성된다는 의미야.
이 사람들은 자기 맡은 몫을 다 하기 위해 나름대로 움직이면서 협동하겠지? 그럴 때마다 ‘위협 첩보’가 하나씩 발생해. 누군가의 뒤를 잘 캐는 사람이 움직이면 어떤 첩보가 나오겠어? 공격의 표적이 된 사람 입장에서는 갑자기 내 소셜미디어나 블로그 조회수가 크게 증가하겠지. 웹사이트 방문자가 많아질 수도 있고, 갑자기 모르는 사람으로부터 쪽지나 귓말이 날아올 수도 있어. 평소와 달리 내 주변이 조금 시끄러워진다는 것 자체가 하나의 위험 신호일 수 있는 거야. ‘갑자기 내 사이트 접속자가 크게 증가했다’가 하나의 위협 첩보라는 건데, 이것만으로 벌써 첩보가 하나 적립된 거야.
그 다음 누군가 나인 것처럼 내 메일 계정으로 접속을 시도한다면 어떨까? 내가 단골인 인터넷 쇼핑몰이나, 내가 애지중지 키워 온 게임 계정에 낯선 접근 시도가 있었다는 경고가 갑자기 날아들기 시작하면, 그것 역시 좋지 않은 신호겠지. 이런 징조들도 공격이 있을 수 있다는 위협 첩보이고, 이것만으로 첩보 두 개가 적립됐어. 갑자기 내 컴퓨터 백신에서 경고가 빈번하게 뜬다거나, 최근 뉴스에 동종업계 해킹 사고 소식이 나왔다거나, 회사 동료가 낯선 메일을 받았다는 것 모두 각각의 첩보들이야. 해커들이 모여서 우리 회사를 정찰하고 접근해 뚫어보려 하는 시도만으로도 이미 첩보가 여러 개 만들어지니, “첩보가 모자란 게 아니라 남아도는 게 문제”라는 소리가 나오는 거라고 할 수 있어.
다량의 첩보는 RIP, 이제는 PIR
그래서 ISACA는 이렇게 말해. “이제 위협 첩보는 충분하다. PIR이 필요하다.” PIR이라는, 또 어려운 말이 나왔네. 이건 ‘우선순위 첩보 요구’라는 말의 준말인데, 사실 한글로 풀어도 어려워. 한 마디로 그 수많은 정보 중 뭐가 더 중요하고 뭐가 덜 중요한지 구분하는 작업이 필요하다는 거야. 위협 첩보라고 해서 무조건 긁어 모으지만 말고, 그것을 우선순위에 따라 정리해 실제 행동으로 이어져야 한다는 것이지.
이 맥락에서 ISACA는 이렇게 말해. “방향성 없는 첩보는 가치가 없다.” 누가 어떤 정보를 모으고 있다, 누군가 자꾸 접속을 시도하려 한다, 왜인지 모르겠지만 접속자가 갑자기 늘어났다, 등의 조각난 정보들만으로는 아무런 의미를 전달하지 못한다는 거야. 그런 정보들로부터 실제 가치가 있는 결론이 나야 적절한 대책을 수립해 행동으로 옮길 수 있다는 것이지. 그런 ‘구체성’을 곁들이라는 게 ISACA가 말하는 ‘방향성’의 명확한 뜻이라고 할 수 있어.
자, 그럼 예시를 한 번 보자. 위협 첩보는 이런 식의 내용을 담고 있어. “최근 APT41이라는 해킹 단체가 반도체 산업을 겨냥해 스피어피싱 공격을 하고 있으며, 이 때 워드 기반의 가짜 문서를 동원한다. 그 외에도 CVE-2025-nnnnn이라는 취약점을 익스플로잇 하기도 함.” 한 해킹 그룹이 가짜 이메일이나 문자로 사람들을 속이거나, 소프트웨어에들에서 발견되는 구멍을 파고든다는 의미야. 주로 공략당하고 있는 건 반도체 산업이라고 하고.
이런 정보가 아예 무가치하지는 않아. 반도체 산업에 있는 보안 담당자라면 이것을 가지고 경계 태세를 강화할 수 있겠지. 피싱 공격에 당하지 말라고 직원들을 교육하기도 하고, CVE-2025-nnnnn이라는 취약점이 회사 내에 존재하는지 검사해 메우면서 말이야. 하지만 이런 식의 첩보가 매일 50개씩 접수되면 어떨까? 무시되는 게 태반이겠지.
PIR은 매일 접수되는 50개의 첩보들을 ‘질문을 통해 들여다보는’ 과정이라고 할 수 있어. ‘우리 회사가 꼭 알아둬야 할 첩보인가?’ 정도로 시작할 수 있겠지. 만약 내가 요식업계 보안 담당자라면 위 반도체 산업 관련 첩보를 살짝 뒤로 미뤄도 무방할 거야. 반도체 회사와 계약을 맺고 협업하고 있는 IT 기업이라면 더 상세히 알아봐야 할 것이고. 그런 다음 ‘누가 특히 주의해야 하는가?’ 정도의 질문을 통해 주로 임원진들이 공략되고 있는지, 아니면 말단 사원들에서 사고가 터지는 건지 조사할 수 있겠지.
이런 식으로 그 수많은 첩보들을 정리할 때, 어디까지 해야 할까? 취해야 할 행동이 나왔을 때까지야. 공격자가 우리 회사를 친다고 했을 때 어떤 경로로 공격할 것으로 예상되는지 파악한다면, 그 예상 공격 경로를 어떻게 보강할 것인지 구체적으로 계획을 수립할 수 있어야 한다는 의미야. 예시는 다음과 같아. 세세한 내용은 어려울 수 있는데, 그걸 지금 다 이해하지 못해도 돼. 어떤 ‘구조’와 ‘내용’을 가지고 있는지만 눈여겨 봐.
- 설명 : 주요 랜섬웨어 그룹의 도구·전술·협박 수법 관찰- 우선순위 : 매우 높음
- 누가 행동해야 하는가 : CISO, 사건대응팀
- 어떤 행동 취해야 하는가? 대응 플레이북 업데이트, 탐지 규칙(Sigma/YARA) 조정, 백업 주기 조정
- 데이터 출처 : OSINT 보고서, CTI 피드, 내부 IR 기록
- 검토 주기 : 1개월
- 설명 : 지정학적 위험, 규제 변화, 현지 사이버 범죄 그룹 파악
- 우선순위 : 중간
- 누가 행동해야 하는가? : 경영진, 위험 관리 책임자, 법무 책임자
- 어떤 행동 취해야 하는가? : 현지 데이터 보호 전략 조정, 투자 위험 평가 업데이트
- 데이터 출처 : 국가별 위협 보고서, 정부 규제 관련 자료
- 검토 주기 : 6개월
일상에서도 늘 ‘정보’ 주의
너무 많은 정보가 오히려 더 문제가 될 수 있다는 이번 ISACA의 발언은 우리가 일상 생활을 함에 있어서도 되새겨볼 만한 말이야. 정보나 지식은 단편적일 때보다, 실제 행동으로까지 연결될 때 더 큰 힘을 발휘한다는 건, 학교와 학원에서 아침부터 늦은 밤까지 수많은 것을 매일 습득하는 너희 학생들에게 특히 중요한 교훈이 될 수 있어.
예를 들어 영어 단어를 많이 외우면 외울수록 좋다는 것에는 큰 이견이 없을 거야. 하지만 그 많은 어휘를 문장으로 만들어낼 수 없다면 큰 의미가 없겠지. 단어보다는 문장을 익히는 게 더 효과적인 건 이 때문이라고 할 수 있어. 각종 수학, 과학, 화학 공식들을 숫자와 도식으로 익히는 것도 중요하지만, 그 개념을 말로 풀어 쓴 설명(정의)도 동시에 이해할 수 있으면 학습 효과가 배가 되지. 미술사를 연대기별로 암송하면 어디에 가더라도 상식 있다는 소리를 듣겠지만, 각 사조들마다 가지고 있는 독특한 아름다움을 감상할 줄 모른다면 미적 감각이나 예술 행위에 대한 이해도가 깊어질 수 없겠지.
위 PIR 질문과 구조들을 응용해보는 건 어떨까? 예를 들어 ‘intelligence=첩보’라는 영단어를 익혔다면 이런 식으로 풀어보는 거지.
- 설명 : intelligence의 또 다른 의미들을 이해하고, 각 뜻의 예문들까지 찾아내, ‘첩보’로서의 intelligence를 보다 확싥하게 익힌다
- 우선순위 : 높음
- 누가 행동해야 하는가? : 나
- 어떤 행동을 취해야 하는가? : 예문이 풍부한 영어 사전에서 intelligence 찾아보기, 예문들을 하나씩만 골라 노트에 적기, 적어놓은 문장들을 소리내서 10번씩 읽어보기
- 데이터 출처 : 영어 사전, 챗GPT, 제미나이 등
- 검토 주기 : 예문 적어놓은 노트만 이틀 지나 다시 확인
사실 ISACA보다 훨씬 오래 전부터 살고 있던 우리 조상님들도 정보 정리의 중요성을 알고 계셨어. 그래서 옛부터 전해오는 속담이 하나 있지. "구슬이 서말이라도 꿰어야 보배다." 정보를 파편으로 간직하면 구슬처럼 온 방바닥을 굴러다니며 정신만 사납게 해. 줄에 잘 꿰어서 말 잘 듣게 훈련시켜 놓으면, 목걸이라는 더 비싼 가격의 제품으로 판매도 할 수 있을 거야.🆃🆃🅔
by 문가용 기자(anotherphase@thetechedge.ai)
Related Materials
- Threat Intelligence Programs Are Broken – How Priority Intelligence Requirements (PIRs) Fix Them, Help Net Security (ISACA report 요약), 2023년 [1]
- ISACA White Paper Provides Blueprint for Strengthening Threat Intelligence Programs (PIR 수립 강조), ISACA, 2023년 [2]
- Understanding Top Cybersecurity Technology Trends (위협 인텔리전스 활용 방향 논의), ISACA Journal, 2023년 [3]
- The Data Bare Minimum Is Not Enough: From Raw Data to Actionable Intelligence, ISACA Journal, 2024년 [4]
문가용 기자
문가용 기자
![[OWASP 시리즈] OWASP Top10 2025 RC A03, 소프트웨어 공급망의 균열, 이제는 조직 전체의 리스크다](https://images.unsplash.com/photo-1590497008432-598f04441de8?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDIzfHxzdXBwbHklMjBjaGFpbiUyMGZhaWx1cmV8ZW58MHx8fHwxNzY0NzQ1NTY1fDA&ixlib=rb-4.1.0&q=80&w=600)
