본문 바로가기
AhnLab 보안in

과장된 보안위협과 해킹 시연, 윤리적 책임없나?

by 보안세상 2020. 4. 9.

2010.04.28

 

매일 새로운 보안위협이 등장하고 있다. 이중 몇 가지 보안위협은 언론을 통해 일반에 알려지고 큰 반향을 일으키곤 한다. 이들 보안위협은 과연 얼마나 위험할까? 2010년 초에 알려진 보안위협을 통해 현실 보안위협의 필요성에 대해 알아보자.


연이은 각종 보안위협

2010 1 7일 노트북에 내장된 마이크를 이용해 도청하는 기사1가 발표된다. 2 1일 스마트 폰 해킹 시연2 이 있었으며 3월에는 화면 해킹(?)3 과 교통카드 변조4도 이슈가 되었다.


이런 보안위협이 알려지면 기업과 정부에서는 대책 마련에 분주해진다. 일부 기업에서는 노트북 마이크를 제거하는 방안도 마련한 것으로 알려졌다. 하지만, 이런 보안위협 발표 후에 내용에 문제가 있다는 반대 의견도 나온다. 노트북 도청의 경우 공격 프로그램이 실행된 이후이기 때문에 다른 악의적인 행동도 할 수 있는데 단순히 대화를 녹음만 하는 건 공격자 입장에서 불필요하다는 의견이 나왔다.5  스마트폰 해킹에 대해서 마이크로소프트사는 해킹 증명을 위한 테스트 환경에 문제가 있다고 반박했다.6 

다양한 보안위협이 존재하지만 위험의 수준이 모두 같지 않다. 이에 현실 보안위협에 대한 의견이 나온다.7


때로는 비현실적이고 과장된 해킹 시연

 

어떤 보안위협이 존재할 때 이를 기술적으로 증명하는걸 개념증명(PoC: Proof of Concept)이라 한다. 보안위협을 증명할 때 특정 환경에서만 발생하기 때문에 현실에서는 위험성이 떨어질 수도 있다


해킹 시연을 위해 의도된 시험은 때로는 비현실 혹은 과장된 내용일 수 있다. 자칫하면 자동차 사고의 위험을 증명하기 위해 시속 200 km에서 충돌 시험 후 자동차는 안전에 문제가 있으며 안전 장치는 기능을 못했다는 결론을 내릴 수 있다. 충돌 실험은 일반적인 도로 환경에 적합한 속도로 테스트해야 현실성이 있다. 또한, 과속은 아무리 튼튼한 차도 안전하지 않으므로 과속하지 않는 사용자의 안전 운전이 필요하다.


보안위협도 일반 대중에게 발표할 때는 사용자들의 실제 환경과 얼마나 일치하는지가 중요하다.



보안위협 제기에 따른 책임성과 윤리성

현실 보안위협 제기가 필요한 또 한가지 이유는 윤리적인 부분이다. 새로운 보안위협은 매일 발생하고 있다. 이중 일부가 언론을 통해 알려지는데 필요 이상으로 사람들에게 공포감을 줄 수 있다.


세상에 완벽한 보안은 없다. 보안을 흔히 창과 방패의 싸움에 비유하는데 보통 공격하는 창이 더 유리하다. 방패는 알려진 공격 방식만 막을 수 있지만 창은 방패의 약점을 미리 알 수 있기 때문이다. 보안제품은 보안을 보조해주는 역할을 하지 모든 보안위협을 막아 줄 수 없다.


사용자 조작 없이 컴퓨터를 켜놓기만 해도 악성코드가 실행된다면 분명 치명적인 보안위협이다. 하지만, 실험에서는 사용자가 악성코드를 직접 실행한다. 만약 감염되었다고 해도 백신 업체 입장에서는 이런 해킹 프로그램은 전혀 새로울 것도 없으며 샘플만 존재한다면 다른 악성코드와 똑같이 진단에 추가할 수 있다. , 사용자가 의심스러운 파일을 실행하지 않으며 악성코드에 감염되었어도 수상한 파일을 찾을 수 있다면 피해는 줄일 수 있다.


물론, 사용자들의 경각심을 위해 때로는 보안위협 경고가 필요하다. 하지만, 불필요한 발표로 위협이 과장될 수 있으며 이런 점을 이용해 자사 제품을 판매하는 경우라면 더욱 주의해야 한다. 그리고, 그 보안위협이 실제로 얼마나 위험한지 위험성에 대해 경고하는 것에서 끝내지 말고 예방방안이 있다면 함께 제시해야 할 것이다.


프로그램이 비교적 자유롭게 실행되는 환경에서는 악성코드 제작이 상대적으로 쉽다. 만약 사용자가 출처가 불분명한 프로그램을 실행하지 않았다면 해킹 자체가 시연되지 않았을 것이다. 어쩌면 테스트 결과는 기기 자체의 보안취약점이 아닌 사람의 행동에서 발생하므로 가장 큰 보안취약점은 보안에 취약한 사람 자체가 아니었을까? 보안문제를 제기할 때 테스트 시스템뿐 아니라 운영의 주체인 사람의 취약점도 함께 언급해야 하지 않을까 싶다.@

 

 

 

  1 http://news.donga.com/3/all/20100107/25242944/1
  2 http://www.ddaily.co.kr/news/news_view.php?uid=59180
  3 http://news.donga.com/It/PC/3/0808/20100302/26545545/2
  4 http://itnews.inews24.com/php/news_view.php?g_serial=480901&g_menu=020200
  5 http://www.gilgil.net/?mid=communities_kr&page=3&document_srl=2443
  6 http://www.etnews.co.kr/news/detail.html?&mc=m_014_00004&id=201002160072
  7 http://www.gilgil.net/?mid=communities_kr&page=2&document_srl=2810


참고자료


[1] 
노트북 도청, 사실인가? 그 대책은? (http://blog.ahnlab.com/ahnlab/763)

 

 차민석악성코드 분석가 필자의 다른 글 보기

안철수연구소에서 악성코드 분석 및 연구를 하고 있으며 “안랩 칼럼니스트”로 활동 중이다. ‘쿨캣’이라는 필명으로 더 알려져있으며, 보안 업무 외 정치, 경제, 사회, 역사, 상식 등에도 해박한 지식을 갖추고 싶어하는 화려하진 않지만 알찬 30대 미혼 청년이다.

위 글은 안랩닷컴 

 페이지에서도 제공됩니다.
안랩닷컴 보안정보 中 보안포커스 / 전문가 칼럼
보안위협, 전부 다 위험한건가요? - 현실 보안위협의 필요성
 안랩닷컴에서 찾으세요