[기고] 이기복 제이커넥트 총괄사업부장
“세상에는 두 종류의 기업이 있다. 해킹당한 기업과 해킹당한 사실조차 모르는 기업.”
존 챔버스 시스코 전 회장이 했던 이 말은 이제 과장이 아니라 현실이다. 최근 국내 한 공공기관은 무려 2년간 해킹 사실조차 인지하지 못한 채, 1014기가바이트(GB) 분량의 민감한 데이터를 유출 당했다.
픽션처럼 보이지만, 현실을 반영한 넷플릭스 시리즈 제로데이(Zero Day)에서도 유사한 시나리오가 등장한다. 공격자는 정치적 목적을 달성하기 위해 알려지지 않은 방식으로 사이버 공격을 감행한다. 핵심은 단순하다. 작정한 공격은 들키지 않도록 설계된다는 점이다. 이러한 사례들은 기존 보안 체계가 이미 알려진 위협에는 효과적일 수 있지만, 새롭고 정체불명의 위협에 대응하기에는 구조적인 한계를 갖고 있다는 사실을 시사한다.
보안 시스템의 허점: 후천면역의 한계
오늘날의 보안 솔루션은 대부분 후천면역(Acquired Immunity) 개념에 기반하고 있다. 1796년 에드워드 제너가 우두 바이러스에서 유래한 백신을 개발한 이후, 후천면역은 인체가 병원체를 ‘기억’하고 재침입 시 항체로 대응하는 방식으로 발전해왔다.
사이버 보안도 이와 유사한 원리를 따른다. 시그니처, 샌드박스, 행위 기반 탐지, 침해지표(IoC), 마이터어택(MITRE ATT&CK), 엔드포인트 위협 탐지 대응(EDR), 인공지능(AI)/머신러닝(ML) 기반 모든 기술이 기존의 위협 데이터를 학습해 동일하거나 유사한 패턴을 대조해 차단하는 방식이다. 혹은 사전에 등록된 소프트웨어만 허용하는 화이트리스트 방식도 포함된다. 이러한 보안 체계는 이미 알려진 공격을 막는 데는 효율적이다. 그러나 아래와 같은 한계가 뒤따른다.
1. 신종 공격에 대한 탐지 지연
새로운 악성코드를 분석하고 탐지 정책에 반영하기까지 시간차가 존재한다. 이 과정에서 공격자는 이미 목적을 달성했을 수 있으며, 데이터 유출은 수개월 후에야 발견되기도 한다.
2. 탐지 우회 기술의 발전
공격자는 바이러스토탈(VirusTotal)과 같은 플랫폼에서 탐지 여부를 사전 테스트하고, 탐지를 회피한 형태로 멀웨어를 유포한다. 이로 인해 기존 솔루션은 실시간 탐지에 실패할 가능성이 높다.
3. 보안 업데이트 의존성
새로운 위협에 대응하려면 지속적인 업데이트가 필요하지만, 네트워크 환경이나 조직 내부 사정상 업데이트가 지연되거나 누락되는 경우가 많다.
4. 화이트리스트의 맹점
사전 등록된 정상 소프트웨어의 취약점을 노린 공급망 공격은 기존 화이트리스트 방식으로는 대응할 수 없다. 허용된 것만 실행한다는 원칙이 오히려 맹점이 되기도 한다.
선천면역 보안: 새로운 접근 방식이 필요하다
인체 면역 체계는 선천면역(Innate Immunity)과 후천면역이 함께 작동한다.
이 중 선천면역은 외부 병원체가 침입하자마자 셀프(Self, 자기)와 논셀프(Non-Self, 비자기)를 식별해, 대식세포·수지상세포·자연살해세포(NK Cell) 등이 즉시 반응하여 위협을 제거하는 1차 방어선이다.
사이버 보안 체계도 이 원리를 참고할 필요가 있다. 후천면역적 대응 방식만으로는 정체불명의 사이버 위협, 이른바 UFO(Unidentified Foreign Object)를 실시간으로 막는 데 한계가 있다.
UFO는 알려지지 않은 악성코드, 제로데이 취약점, 탐지되지 않는 비정상 행위 등으로 구성되며, 기존 솔루션이 이를 기억하거나 학습한 적이 없기 때문에 대응이 늦어진다. 이럴 때 필요한 것이 선천면역 개념의 보안 시스템이다.
조금 더 쉽게 설명하자면 이렇다. 목마른 사람 앞에 정체불명의 물병이 놓여 있다고 가정하자.
후천면역 방식은 이 물을 마셔도 되는지를 판단하기 위해 샘플링하고, 기존 독극물 데이터베이스(DB)와 비교한다. 하지만 데이터에 없는 신종 독극물이 든 경우, 마신 후에야 위험을 인식하게 된다. 반면 선천면역 방식은 “이 물이 내가 가져온 물인가?”라는 질문부터 시작한다. 내가 가져온 게 아니라면 마시지 않는다. ‘셀프(Self)’가 아니면 허용하지 않는 원리다.
이러한 자기 대 비자기((Self vs. Non-Self) 식별을 통해 사용자 직접 실행이 아닌 비정상적 실행을 실시간으로 차단하는 구조가 선천면역 보안의 핵심이다. 공격 시도를 사전에 식별하고 차단함으로써, 탐지 이전에 차단할 수 있는 가능성이 열린다.
국내에서도 이러한 원리에 기반한 보안 기술이 있지만, 국내외 보안 시장은 여전히 후천면역 중심이다. 그리고 새로운 방식에 대해서는 “정말 100% 막을 수 있느냐”는 질문이 반복된다. 하지만 보안은 ‘완벽함’이 아닌, ‘보완과 진화’를 통해 실효성을 높여가는 과정이다. 기존 기술도 완전하지 않다는 사실을 인정하면서, 새로운 방식에는 더 엄격한 기준을 요구하는 것은 기술 진화의 걸림돌이 될 수 있다.
보안의 패러다임 전환이 필요한 시점
랜섬웨어 공격은 더 이상 단순히 파일을 암호화하는 수준이 아니다. 현재는 ▲정보 탈취 ▲파일 암호화 ▲다크웹 공개 협박 ▲해킹 사실 자체의 공개 협박과 같은 다중 협박 모델로 진화하고 있다. 이러한 구조에서는 기존의 ‘복구, 복원(resilience) 중심’ 대응으로는 한계가 뚜렷하다. 이제는 공격 발생 이후의 복원이 아니라 공격 시도 자체를 정확하고 근원적으로 식별하고 사전에 차단하는 방법 모색이 필요하다.
요약하면, 보안의 중심이 되어야 할 질문은 “어떻게 복구할 것인가?”, 그리고 “어떻게 정확하게 침입을 식별할 것인가?”다. 수집·학습·예측 기반의 후천면역 보안 전략만으로는 이 질문에 답할 수 없다.
지금 필요한 것은 정보 시스템에 ‘선천면역’을 더하는 것, 그리고 새로운 기술에 대한 열린 마음으로 보안의 패러다임을 전환하는 것이다.
글. 이기복 제이커넥트 총괄사업부장
[저자 및 회사소개]
2024년 6월 지란지교의 스핀오프 기업으로 설립된 제이커넥트 공동 창업자로, 현재 회사 전체 사업을 총괄하고 있다. 제이커넥트는 엔드포인트 보안부터 개인정보 보호, 문서 보안, 백업, 업무 협업 솔루션까지 다양한 IT 솔루션을 공급하는 전문 기업이다. 기업 조직의 디지털 자산을 보호하고 업무 효율성을 높이는 다양한 솔루션을 제공하며 랜섬웨어, 해킹 등 최신 사이버 위협에 선제적으로 대응할 수 있는 보안 시스템과 안전한 데이터 관리 기술을 지원하고 있다.
![[기고] 우주발사체 기술유출...연구보안법 시급성 대두](https://img.newspim.com/news/2025/02/11/2502110948402740.jpg)
