[김홍선의 보안이야기]국가차원의 강력대응 필요


정보 보안의 산업 특성(5): 영원한 수비(Defense)

어떤 고객으로부터 다음과 같은 얘기를 들은 적이 있다. “현재 대부분의 해킹 공격은 중국, 러시아와 같은 국가로부터 들어옵니다. 그들은 조직적 범죄의 수준인데 정부 차원에서 해당 국가에 강력히 항의해야 하는 것 아닌가요? 선량한 기업들이 피해를 받는 것을 보호해 주는 게 국가의 책무 아닌가요?”

공감이 가는 말이다. 사실 정보 보안에 관한 한 우리는 100% 수비에 치중하고 있다. 축구 경기에서는 ‘최선의 수비는 공격이다’라고 한다. 야구 경기도 매회 공격과 수비를 번갈아 한다. 그렇지만 사이버 보안의 경우는 우리가 일방적으로 공격을 당한다고 해서 반격을 할 수 없는 억울한(?) 양상이다.

현재 사이버 공격의 심각성은 아무리 강조해도 지나치지 않는다. 해킹을 감행하는 범죄 조직이 대기업 수준을 능가한다는 것은 공공연한 사실이다. 정보 보안의 어려움이 여기에 있다.

중국, 러시아와 같은 국가는 인구나 잠재적 경제력 측면에서 막대한 영향력을 가지고 있다. 그래서, 정부 차원에서 강력한 항의를 하기 어렵다는 것은 일면 이해가 간다. 그렇지만 국가 차원에서 조직 폭력 집단으로 발전한 사이버 범죄를 근절하기 위해 적극 협력을 요구하는 것은 충분히 정당성이 있다. 특히 IT 강국이라고 자부하는 한국이 이를 주도함으로써 리더십을 보이는 것은 의미가 크다.

나이지리아에서 날아온 메일

한때 아프리카 나이지리아에서 날아온 유혹의 메일이 화제가 된 적이 있다. 이 메일을 받지 않은 사람이 거의 없을 정도로 광범위하게 전달되었다. 편지 내용은 약간씩 차이가 나지만 대체적인 요지는 다음과 같다. ‘나이지리아에서 군부 쿠데타가 났는데, 우리는 왕족으로서 왕실의 막대한 재산을 모처에 은닉하고 있다. 이 돈을 합법적으로 세탁해서 스위스 은행으로 옮기고자 한다. 개인적인 계좌를 통해 이 과정을 도와주면 막대한 커미션을 약속한다.’ 정황을 보면 그럴 듯하다.

특히 아프리카는 정국이 불안하다는 인상을 은연중에 풍기고 있고, 무언가 막대한 돈이 숨겨졌을 것 같은 인상을 가지기에 편지 내용을 읽으면 혹하게 된다. 여기에 반응을 보이면 어떤 유혹이 숨겨져 있을까? 이러한 메일에 답변하면 구체적인 내용을 그럴 듯하게 제시하면서 몇 만 달러 정도의 관리 비용(administration fee)을 요구한다고 한다. 또한 개인 계좌를 이용해야 한다는 명목으로 개인 정보를 요구하기도 한다. 막대한 돈을 세탁하게 도와주는데 그깟 몇 만 불이나 개인 정보가 대수인가 하는 생각이 드는 게 인간의 심리다.

영화의 내용 같은 이런 스토리로 전개된 사기성 메일 형태가 훗날 피싱(Phishing)으로 발전하게 되었다. 개인의 금융 정보를 유도하는 덫의 개념에서 시작했으니 이를 더욱 고도화된 수법으로 진화시킨 것은 어찌 보면 자연스러운 일이다. 그 결과, 오늘날 나이지리아는 피싱(Phishing)과 파밍(Pharming)의 대표적인 온상이라는 오명을 쓰게 되었다. 실제로 피싱 서버가 나이지리아에서 운영되는 경우가 많다고 한다. 이미 막대한 메일 주소를 보유하고 있기에 범죄의 방식은 날로 지능화할 것으로 예상된다.

오늘날 공격이 얼마나 조직적이고 국제적인가는 (그림)을 보면 알 수 있다. 이웃 나라인 중국의 해커들은 사이버 공격을 감행하고 훔친 돈은 오프라인 조직을 통해 빼낸다. 가히 국제적 범죄 조직의 모습이다. 사이버 범죄와 오프라인 범죄가 결합하니 다양한 시나리오로 공격이 이루어지고 있다. 그러다 보니 소규모로 시작했던 사이버수사대는 이제 각종 범죄를 수사하는 데 주도적인 역할을 하고 있다.

범죄의 형태도 분산서비스거부(DDoS) 공격을 미끼로 한 금전 탈취부터 개인 정보 거래, 불법 계좌 이체, 해킹 도구 판매 등으로 다양화되고 있다. 이런 범죄에 대한 국가적 어젠다가 필요할 만큼 우리는 심각한 위협에 직면해 있다. 그런 점에서 국가적으로 이런 심각성에 대한 컨센서스를 이루어 해당 국가와 체계적으로 논의할 수 있는 조직이 필요하다. 최악의 경우 우리가 구축한 전자정부, 지식 기반 사회의 위상이 뿌리째 흔들릴 수 있기 때문이다.

조그마한 취약점과 버그가 공격 포인트

보안 공격의 목표는 취약점이다. 취약점은 두 가지 관점에서 발생한다. 인간이 실수로 허점을 만드는 경우가 있고, 시스템의 구성상의 취약점(vulnerability)으로 인해 발생하기도 한다. 전자가 주로 정책과 관리적인 측면이라면 후자는 주로 IT 실행적인 측면에서의 문제다. 어떤 경우이든 간에 적어도 이론적으로는 정책과 실행이 잘 구비되면 공격에 충분히 대응할 수 있다.

영화 ‘매트릭스 2’의 마지막 부분에는 주인공 네오(Neo)가 매트릭스를 설계한 아키텍트(architect)를 만나는 장면이 나온다. 그 설계자는 매트릭스를 구축할 때 피할 수 없는 비정형(anomaly)이 발생하고, 그것이 인간들의 세계인 시온(Zeon)이 생길 수밖에 없는 구조적 원인이라고 설명한다. 그 영화를 보면서 ‘소프트웨어 설계 과정에서 과연 그렇게 구조적으로 차단할 수 없는 오류가 있을까’ 궁금해한 적이 있다. 만일 이런 오류가 피할 수 없다면 보안은 구조적으로 취약할 수밖에 없다.

그러나, 그건 어디까지나 영화 속의 이야기이다. 오늘날 우리가 규정하는 취약점은 충분히 예방 가능한 것이다. 보안 가이드라인을 잘만 지키면 웬만한 공격은 충분히 막을 수 있다. 결국 보안에 대한 관심과 투자가 근본적인 처방이 된다. 특히 소프트웨어의 개발 과정에서 보안 가이드라인이 잘 갖춰지면 상당히 많은 보안 문제를 예방할 수 있다. 안타깝게도 프로젝트 구현 과정에서 소프트웨어의 무결성보다 속도와 겉모습에 더 관심을 두는 경우가 많다. 바로 그런 마인드가 보안 측면의 암적인 요소이다.

보안 취약점은 프로젝트 과정에서 발생

IMF 이후 IT 강국으로 변신한 우리의 모습은 세계가 주목할 만큼 자랑스럽다. 짧은 시간에 우리는 전자정부, 인터넷뱅킹, 전자상거래 등 다양한 온라인 서비스를 우리의 생활 공간에 정착시켰다. 그러나, 불행히도 ‘빨리 빨리’로 대표되는 국민적 특성으로 신속하게 IT를 구축한 과정은 보안 측면에서는 부정적 요소가 되었다.

예를 들어 어떤 온라인 서비스 프로젝트를 수행한다고 하자. 일단 프로젝트 범위가 확정되면 이를 수행하기 위해 SI 업체들이 제안을 하기 시작한다. SI 업체는 급히 팀을 조직해서 주어진 시간 내에 일을 마무리해야 한다. 비용을 줄이기 위해서 협력업체(혹은 하청업체)의 인건비를 조이기 시작한다. SI 업체 간에는 입찰 경쟁이 벌어지고 결국 한 업체가 수주한다.

온라인 서비스의 주체인 고객은 어떠한가? 이들에게 가장 중요한 것은 서비스의 오픈 시기와 화려한 외형이다. 이를 위해 SI 업체를 다그치고 서비스 오픈 시기를 맞추기 위해 밤낮 없이 일한다. 특히 디자인과 사용자 인터페이스로 서비스의 성공 여부를 가늠하기 때문에 디자이너와 개발자는 수시로 바뀌는 고객의 취향을 맞추느라 밤을 지새운다. 결국 이 프로젝트는 성공적으로 마무리되어 멋있는 오픈 행사를 하게 된다.

이 과정을 살펴보면 보안이 끼어들 틈이 거의 없다. 고객이나 SI 업체나 소프트웨어 개발 업체를 막론하고 이 서비스의 사용자에게 직접적 피해를 줄 수 있는 보안의 가이드라인을 생각할 여유가 없다. 소프트웨어를 급히 개발하다 보니 오류(bug)가 발생하기도 한다. 소프트웨어 설계 과정에서 중요한 것은 정확한 데이터 구조의 정의와 일관성 있는 논리의 흐름이다. 그런데, 표면적인 서비스에 집중하다 보면 설계부터 구현 과정에서 수시로 변형이 일어나고, 본래의 설계 철학이 흔들리게 된다. 아주 극단적으로 표현하기는 했지만 이러한 프로젝트 수행 과정이 보안의 취약점을 드러내는 원인이 된다.

모든 IT 수행자, 감독자가 보안에 공감대 이뤄야

정보 보안은 취약점을 노리는 공격과 끊임없이 전쟁하는 과정이다. 그것도 공격은 없는 일방적 수비의 전쟁이다. 특히 얼굴도 모르는 멀리 떨어져 있는 공격자와의 국제적 전쟁이다. 이런 전쟁에 우리가 임하려면 IT 구축 과정을 세밀하게 살피고 설계부터 구현까지 ‘보안’이라는 개념이 명확하게 자리잡아야 한다. 모든 것이 끝난 후의 보안 대책은 땜질일 뿐이다.

아무리 막강한 보안 장비로 에워싼다 해도 내부 소프트웨어가 오류(bug)와 취약점을 지닌 한 보안의 한계가 있을 수밖에 없다. 그렇기에 정보 보안은 모든 IT의 수행자와 감독자가 공감대를 이루어야 한다. 그것이 전쟁에 임하는 최소한의 자세다.

/김홍선 안철수연구소 대표이사 column_phil_kim@inews24.com






포토뉴스