본문 바로가기
AhnLab 칼럼/CEO 칼럼

[김홍선 CEO 칼럼]일반인도 해킹할 수 있는 시대

by 보안세상 2020. 4. 20.

2009.01.20

 

보안에 대한 관점 (3) : 보안 수준은 다양하다

 

사회적으로 파장이 큰 보안 사고가 터지면 언론 인터뷰가 쇄도한다. 그럴 때마다 단골로 나오는 질문이 “우리 나라의 보안 수준은 어느 정도인가?”이다. 어떤 모임에 나가도 보안을 잘 모르는 분들로부터 같은 질문을 받는다. 답변하기에 난감한 질문이 아닐 수 없다.

 

인터넷으로 거미줄처럼 연결된 오늘날의 정보화 사회에서 정보 보안은 모든 조직뿐 아니라 개인에게까지 해당하는 문제다. 따라서 조직의 형태를 띠고 있는 기업과 기관, 각종 공동체부터 각 개인이 사용하는 기기나 서비스, 보안 마인드에 이르기까지 많은 변수가 존재한다. 이런 상황에서 보안 수준은 천차만별일 수밖에 없다. 그러니, 어떻게 보안 수준을 단 한 마디로 규정지을 수 있는가?

세계 일류 수준으로 보안 체계가 잘 되어 있는 기업이 있는가 하면, 인터넷이 들어오는데도 내부시스템을 지키기 위한 최소한의 조치인 방화벽, 아니 그런 역할을 할 만한 체제가 하나도 없는 곳이 허다하다.

 

보안 패치와 백신 업데이트를 수시로 하고 데이터 백업과 PC 튜닝을 정기적으로 하는 사람이 있는 반면, PC 하드웨어를 제외하고는 모든 소프트웨어를 불법적으로 사용하는 사람도 있다. 해킹 도구인 백 도어(Back Door) 프로그램이 여기저기 PC에 설치되어 있는 PC방이 있는가 하면, 공공을 위해 무선랜 제공을 하더라도 허가된 인증이 없으면 접속이 안 되도록 잘 관리하는 장소(Hot Spot)도 있다.

다양한 보안 수준의 조직과 개인이 어울려 사는 정보화 사회

 

이렇게 여러 계층의 조직과 다양한 보안 수준의 개인이 어울려 사는 것이 오늘날 정보화 사회의 풍경이다. 그런데, 이런 환경에서 단정적으로 “우리 나라의 보안 수준은 어느 정도이다”라고 할 수가 있겠는가? 게다가 서비스의 성격도 보안이 아주 중요한 분야, 이를테면 인터넷 뱅킹, 온라인 결제, 전자 정부와 같은 서비스가 있는가 하면, 아주 기초적인 보안 조치만으로도 충분한 공개용 서비스도 있다. 그렇기 때문에 설사 보안 수준이 몇 점이라고 정한다 쳐도, 서비스 별로 보안의 중요도가 다르기 때문에 그 점수 자체에 큰 의미는 없다.

IT는 우리 생활에 스며들면서 PC와 네트워크, 서비스가 정보의 소통 채널을 이루면서 다양한 조합으로 작동된다. 어떤 사용자가 특정 PC를 사용해서 어떤 사이트의 서비스를 이용하기 위해 형성되는 정보 소통 채널을 ‘트랜잭션(transaction)’이라고 한다. 그런데, 이 소통 과정에 참여하는 PC의 보안 수준과 사용자의 보안 마인드, 서비스를 제공하는 사이트의 보안 수준에 따라 트랜잭션(transaction)의 보안성이 결정된다.

 

물론 안전한 PC에서 보안 체계가 철저한 인터넷 사이트로 검증된 프로토콜을 통해 트랜잭션이 진행되는 정상적인 경우가 훨씬 많다. 그러나, 어떤 영역에서 약점이 파악되어 위협에 노출된 경우(영어로 'compromise'되었다고 표현), 다양한 공격 시나리오가 전개된다. 예를 들어, PC를 해커가 이미 점령했을 수도 있고, 전자상거래 사이트가 보안에 아주 취약할 수도 있다. 사용자가 무심코 피싱 사이트에 유인되어 스스로 함정에 빠질 수도 있다. 보안 수준이 이렇게 다양하기 때문에 단일 기준을 정한다는 자체가 의미가 없는 것이다.

정보 유출이나 해킹 사고가 나면 당장 나라가 어떻게 될 것처럼 온 동네가 정신이 없다. 연일 방송과 신문에서 나오는 뉴스에 놀라고, 정부 관리자들은 대책을 준비하느라 정신이 없다. 변호사, 시민 단체, 정치인을 망라해서 평소 보안에 관심있던 분들이 그렇게 많았는지 어리둥절해진다. 그러나, 그러한 아우성 속에 본질적인 문제를 건드리지는 못하고 용두사미로 끝나는 경우가 많다. 앞서 설명한 것처럼 다양한 보안 수준의 컴포넌트(component)들이 복잡다단하게 얽혀 있으니, 일거에 처방을 내리는 것 자체가 실현성이 없다.

 

세분화(Segmentation)와 디테일(Detail)한 분석

이런 문제를 풀려면 차분하게 각 문제를 세분화(segmentation)해서 분야별로 디테일(detail)하게 분석을 하는 자세가 필요하다. 보안 수준에 따라 대책은 다르게 마련이다. 조직 관리 측면에서 바라볼 수도 있고, IT 인프라에 구조적 변화가 필요한 경우도 있다. 예산과 전문 인력부터 준비해야 할 수도 있고, 해결할 수 있는 보안 기술이 아직 없을 수도 있다. 종합적 안목과 집중력, 이 두 가지가 겸비되어야 다양한 보안 수준에 적합한 실효적 대책이 된다.

 

요컨대 우리가 살고 있는 정보화 사회는 너무나도 다양한 보안 수준의 개인과 기업이 함께 어우러져 살고 있다. 특정 기업만 보안을 잘한다고 해서 해결될 문제가 아니다. 강력한 법과 규정을 따르라고 소리친다고 해서 되는 것도 아니다. 정보화 사회를 구성하는 개인과 기업이 ‘보안’이라는 인식을 가지고 보안 정책의 ‘실행(practice)’을 진지하고 체계적으로 수행해야 한다. 이것이 인터넷의 큰 줄기를 중심으로 네트워크화되어 살아가는 시대에 우리가 지녀야 할 성숙한 자세다.

보안에 대한 관점 (4) : 위협은 입체적이고 글로벌하다

 

100% 완벽한 정보 보안은 불가능하다. 그렇다고 100%에 가깝게 하기 위해 무한정 투자를 할 수도 없다. 그렇다면 어느 정도의 보안 수준이 현실적인가 하는 문제가 남는다. 이는 우리를 둘러싸고 있는 위협의 성격과 규모에 따라 다를 수밖에 없다. 정보 보안은 각종 위협에 대한 끊임없는 방어의 과정이기 때문이다.

미국의 서부 시대가 무법 천지였음은 잘 알려져 있다. 법과 질서가 자리를 잡기 전의 선과 악의 끊임없는 결투와 전쟁은 웨스턴 영화의 단골 주제였다. 영화 속의 스토리는 흥미진진했지만, 만일 진짜 그 시대에 살았다면 얼마나 살벌하고 끔찍했겠는가? 범죄는 끊이지 않는데 보안관(sheriff)과 순회 판사 정도가 유일한 법 집행자였으니 말이다. 그렇다면 오늘날 자유롭게 오가는 인터넷 환경에서 벌어지는 위협 상황을 서부 시대에 비유하면 너무 과장된 것일까? 그만큼 현재 우리 나라 사이버 공간에서 벌어지는 절도와 협박, 그리고 도가 지나친 비방은 통제가 어려운 수준이라고 생각한다.

 

정보보안 업체에는 모의 해킹을 통해 공격 가능성을 미리 파악해 대책을 제시하는 컨설턴트들이 있다. 이들과 토의를 하다 보면, 최근의 해킹 위협이 얼마나 분석하기 복잡하고 복합적으로 변해가는지 실감할 수 있다.

예전에는 위협의 대상과 주체가 구분되어 있었다. 이를테면 바이러스는 PC의 약점을 공략하는 악성코드 제작자들이 유포했고, 네트워크와 시스템의 취약점을 공격하는 것은 해커들의 영역이었다. 어느 정도 관련은 있었지만 해커들의 개별적 특성과 멘탈리티(mentality)도 차이가 있었다. 그러나, 브로드밴드의 영향으로 상시접속(Always-On) 상태가 되고, 무선 랜과 같은 다양한 인터넷 접속 옵션이 생기면서 PC, 네트워크, 시스템은 항시 연결이 되게 되었고, 해커는 이 공간을 하나의 운동장처럼 돌아다니게끔 되었다.

 

이렇게 PC와 네트워크를 넘나들다 보니 위협의 특성도 나날이 복잡해지고 있다. 해킹과 악성코드를 결합한 혼합형 위협(Blended Threat)은 분석을 더욱 어렵게 만든다. 진화한 신종 개념들도 지속적으로 나타나고 있다. 봇넷(BotNet)의 경우 각 PC에 봇(Bot)이라는 악성코드를 설치해 은폐한 후, 특정 시간에 스팸 메일 발송이나 네트워크 공격을 감행한다. 이 경우에 봇넷(BotNet)을 PC 공격으로 간주해야 하는가 아니면 네트워크 공격으로 구분해야 하는가?

다양한 도구(Vehicle)를 활용한 공격

 

트로이 성을 함락하기 위한 장치로 그리스가 트로이 목마를 만든 것처럼, 해킹을 위해서는 다양한 도구(vehicle)를 사용한다. 메일에 첨부 파일로 들어갈 수도 있고, 웹 사이트에 보이지 않는 악성코드의 형태로 있다가 부지불식간에 사용자 PC에 다운로드될 수도 있다. 온라인 거래가 일어날 때 키보드 입력 정보를 탈취할 수도 있고, 브라우저에서 입력되는 패스워드를 감지할 수도 있다. 이렇게 사용자가 인터넷 사이트를 접촉하는 모든 통로에 여러 형태의 함정이 설치되어 있다.

이와 같이 위협 기술은 IT의 특정 장비나 서비스에 한정되지 않는다. 취약점만 있으면 집중 공략한다. 최근 웹 공격이 왕성한 이유는 웹 사이트가 인터넷 상에 노출되어 있는 데 반해 프로그래밍 상의 취약점이 많고 보안 장치도 덜 되어 있기 때문이다. 아이프레임 인젝션(Iframe injection) 같은 공격은 사용자가 보안 기술 없이 탐지하기 어려울 뿐더러, 다이나믹하게 변종을 만들어내기 때문에 시그너처 기반의 기술로는 근본적 대책을 제시할 수 없다. 안철수연구소가 사이트가드(SiteGuard)라는 무료 제품을 각 개인에게 배포하는 이유도, 그만큼 취약한 웹 사이트가 많이 존재하기 때문이다.

 

그러면, 해킹을 하는 이들의 기술이 전반적으로 좋아졌는가? 그렇다고 할 수도 있고 아닐 수도 있다. 조직적으로 음성적인 돈을 벌려는 전문 해커들은 끊임없이 새로운 공격 기술을 연구한다. 한편 이들은 자신들이 만든 도구를 보통 사람에게 판매한다. 서버에 보트(Bot)를 설치해 놓고 공공연하게 파는 행위도 비일비재하다. 한 쪽에서는 새로운 기술을 개발하고 다른 한 쪽에서는 이를 찾아 사용하는 것이다. 전문 해커에 국한되지 않고 일반인들까지 해킹을 할 수 있는 충격적인 현실이 벌어지고 있는 것이다.

앞서 설명한 대로 조직이나 개인마다 보안 수준은 각기 다르고 위협의 스펙트럼은 입체적이다. 입체적인 위협에 대한 보안 대책을 다층적 수준의 대상에 적용하려면 문제 하나하나에 세밀한 관심으로 접근해야 한다. 이것이 보안 전문가의 역할이다. 당연히 이런 방대한 보안 문제에 비추어 볼 때에 각 문제를 책임지고 담당하는 보안 전문가는 태부족일 수밖에 없다. 따라서 보안의 정책과 실행의 격차(gap)는 시간이 가도 결코 줄어들지 않을 것이다. 어떻게 보면 인터넷과 IT를 선택한 현대 사회가 피할 수 없는 운명이라고 할 수 있다.@

 

글 : 안철수연구소 김홍선 대표이사