2017-11-14-1510634577-7561902-60_00

WPA2, 배신자, 희생양

2017-11-14-1510634577-7561902-60_00

 

‘WPA2(Wi-Fi Protected Access 2)’도 무너졌다. 와이파이 보안 불안이야 늘 뜨거운 화제였지만, 그때마다 WPA2는 유일하게 안전한 방법으로서 권장되었다. 예전 ‘WEP(Wired Equivalent Privacy)’에 비해 WPA2는 이름에서부터 ‘Protected’, 충분히 보호되고 있다는 느낌이 들기도 했다. 보안 전문가들도 WPA2만큼은 안전하다고 말했고, 사용자들은 안심했다.

 

믿었던 WPA2

 

1997년에 도입되었던 WEP 방식은 2001년에 치명적인 보안 취약점이 알려졌고, 이를 대체하기 위해 보안성을 강화한 ‘WPA(Wi-Fi Protected Access)’ 표준이 제정되었다. 하지만 TKIP(Temporal Key Integrity Protocol) 방식의 보안 프로토콜을 사용하는 WPA도 단 60초 내에 해킹 가능하다는 사실이 밝혀졌다.

다행히 그 취약점은 TKIP 암호화 알고리즘이 아니라 AES(Advanced Encryption Standard) 방식을 사용함으로써 회피할 수 있었고, 이에 AES에 기반한 CCMP(Counter Cipher Mode with block chaining message authentication code Protocol)를 기본으로 사용하는 WPA2가 등장했고, 오늘날까지 와이파이 통신 프로토콜 보안 표준으로서 자리매김하고 있다.

그래서 보안 전문가들도 “WPA2를 사용하라!” “WPA2는 안전하다!” 강하게 권장했던 것. 그런데 이제 그 WPA2마저 무너진 것이다. 경위를 살펴보자.

 

‘KRACK’으로 크랙

 

WPA2를 노린 ‘KRACK(Key Reinstallation AttaCK)’은 이름 뜻 그대로 키를 재설정하는 공격이다. WPA2 프로토콜의 키 관리 취약점을 공격한다.

미국 컴퓨터 비상 대응팀(US-CERT: United States Computer Emergency Readiness Team)은 KRACK의 위험성에 대해 “복호화, 패킷 재생, TCP 연결 하이재킹, HTTP 콘텐츠 인잭션 등이 영향을 받는다. 프로토콜 자체의 문제이기 때문에 WPA2 표준의 대부분 또는 모든 부분에 해당한다”고 밝혔다. KRACK 공격자는 와이파이 통신 과정에 개입해 키를 재설정함으로써 지금껏 안전하게 암호화되었다고 믿어 의심치 않던 정보들, 이를테면 신용카드번호, 비밀번호, 이메일, 메시지 등의 민감한 정보를 훔칠 수 있다.

이에 와이파이 사용자들은 혼란에 빠졌다. “WPA2는 믿어도 된다며!” “암호화는 안전하다며!” “AES마저 불안하다는 거냐!” 당연한 반응이다. 그만큼 WPA2에 대한 믿음이 굳건했던 것이다. 그리고 공격에 따른 피해 규모는 감히 상상도 할 수 없을 정도로 심각하다. 생각해 보자. 우리는 와이파이를 통해 얼마나 많은 그리고 위험한 정보를 주고받고 있나. 혼란은 당연하다.

 

혼란과 오해

 

하지만 혼란은 문제에 대한 잘못된 오해를 일으키고 따라서 해법 찾기를 어렵게 만들기도 한다. 당장 “암호화해도 다 뚫리잖아!” 분노를 흔히 볼 수 있다. 결론부터 말하자면, 그렇지 않다. KRACK은 WPA2 보안 프로토콜의 4 웨이 핸드셰이크 과정에 비정상적으로 개입해 무선 액세스 포인트(Wireless Access Point, WAP)가 아닌 사용자 클라이언트에 영향을 미치는 공격이며, 과정의 보안성을 증명하는데 사용되는 수학 즉 암호화를 무용지물로 만드는 공격은 아니다.

“그럼 앞으로는 WPA2를 쓰면 안 되는 건가?” 이 또한, 그렇지 않다. 클라이언트 보안 업데이트 등에 대한 확인 그리고 액세스 포인트 기기의 클라이언트 기능 해제 등의 조치를 취해야 하지만, 당장 WPA2 사용을 중단해서는 안 된다. 다소 거칠게 말하자면, 대안이 없다,,

문득 떠오르는 옛날 이야기,

 

배신자와 희생양

 

첫째, 배신자.

배신은 믿었던 만큼 아프다. 많이 믿었다면 그만큼 많이 아프다. 그렇기 때문에 양측 상호간에 쌓은 도의적 신뢰 관계를 깨는 행위인 배신은 죄질에 비해 억울하다 싶을 정도로 나쁜 취급을 받는다. 고대로부터 배신자는 짐승 이하로 취급했다. 단테가 쓴 ‘신곡’을 보면 지옥은 거꾸로 세운 원뿔 모양으로 되어 있는데, 배신자는 그중 가장 아래층으로 간다. 지옥 밑바닥에는 동생 아벨를 죽인 카인, 자신을 믿었던 카이사르를 암살한 브루투스, 예수를 배신한 가롯 유다가 지옥에서도 가장 지독한 악마들에게 물어뜯기고 있다. 그런 글을 쓸 정도로 배신이라는 행위가 싫은 거다.

둘째, 희생양.

어떤 총체적인 문제가 있다. 대개 사회적, 그러니까 시스템 문제다. 문제를 어떻게든 고치든지 아니면 문제가 아니게끔 서로 합의해서 무시해야 해결되는데, 시스템적 문제가 대개 그러하듯 해결이 어려운 문제다. 그럴 때, 희생양을 이용한다. 고대 이스라엘에서는 속죄일이 되면 양을 세워 두고 사람들의 죄를 이 양이 모두 대신 짊어지고 떠난다고 선언한 뒤 황무지로 내쫓는 풍습이 있었다. 그 시스템의 죄는 양과 함께 시스템 밖으로 떠났으니 죄가 모두 사라졌다는, 지나치게 편리한 해법 아닌 해법이다.

굳게 믿었던 WPA2가 배신했다. 믿었던 것만큼 아프다. 그러나,
WPA2 프로토콜 문제를 암호화에 뒤집어씌우는 건 잘못된 오해다.

과거 WEP 그리고 WPA가 그러했듯 WPA2 또한 방식을 뜯어고쳐야겠지만,
암호화는 여전히 믿을 만한, 사실상 유일한 보안 방법이란 사실은 변함없다.

n-THE-large570

IoT, 미래는 왜 이리 더딘가

n-THE-large570

 

IoT는 미래, 맞다. 이른바,

 

와해성 기술의 대표선수다

 

와해성 기술이란, 널리 확산되기만 하면 기존 시장을 완전히 재편성하고 시장 대부분을 점령하게 될 기술을 뜻한다. 등장 초기엔 시장이 요구하는 상품 조건을 당장 만족시키진 못하지만, 혁신 기업들의 투쟁 그리고 숱한 희생을 통해 존속성을 확보해 가며 전투적으로 시장에 진출, 기존 시장 외곽에서부터 단숨에 중심부를 타격하고 차지한다. 그리고, 시장은 완전히 대체된다. 디지털 카메라 등장으로 필름 시장이 사라지고 MP3 등장으로 LP와 CD 시장이 사라졌듯.

IoT는 클라우드, 인공지능, 무인자동차, 3D 프린팅, 재생 에너지 등의 기술들과 더불어 막강한 와해성 기술로서 그 위세가 아주 당당하다. “이 세상 모든 것들이 인터넷에 연결된다!” 멋지다. 일단 연결되기만 하면 연결되지 않은 것들은 시장에서 싹 사라지게 될 거다. 의심의 여지 없이 확실한 미래, 맞다. 그러나, 언론 플레이는 화려한데 비해 당장 뭔가 눈에 딱 보이는 건 없다 싶다. 맨날 사물인터넷! 사물인터넷! 요란한데 뭐 하나 제대로 볼 만한 건 없다. 왜 그럴까. 왜냐면,

 

연결의 혜택 설득에 성공하지 못했다

 

연결하기만 하면 완전 끝장인데, 연결하지도 못한 것들은 싹 다 사라지게 될 텐데, 정작 연결하면 왜 좋은지를 제대로 말하지 못한 거다. 그러니 소비자 반응은 어째 좀 서먹서먹하다. 이것이 미래라며 막 떠드는데, 감이 영 멀다. 광고를 보자.

냉장고에 붙은 스크린 띡띡띡 눌러 레시피 찾아 국수 삶아 먹으며 자기들끼리 하하호호 웃는다. 이게, 감동이 있나,, 그냥 스마트폰으로 찾아 보면 될 일이다. 소프트웨어와 인터넷을 그리고 게임을 손바닥 위에 올려놓기 위해 얼마나 많은 노력이 있었나. 그에 시장도 아주 화끈하게 반응해 한때 미래의 와해성 기술로 회자되던 스마트폰은 완전한 ‘현재’가 되었다. 기술의 혜택 설득에 성공, 즉 소비자 공감을 얻었기 때문에 가능한 일이었다. 그러니 IoT는 이 아주 단순한 질문에 대답부터 해야 한다.

 

“연결하면 뭐가 좋은데?”

 

지금의 IoT는, 글쎄, “어이쿠, 뭘 이런 걸 다,,” 정도의 느낌, 아닌가. “이것이 IoT입니다!” 열심히들 떠들지만 뭐가 어째서, 어떻게, 왜 좋은지를 모르겠다. 당연한 미래란 건 알겠다. 기존 시장을 완전히 전복할 무시무시한 기술이란 것도 자명하다. 번쩍번쩍 휘황찬란한 IoT 산업 전망, 이를테면 네트워크가 폭발적으로 확장할 거라며 국내외 네트워크 설비 회사들이 잔뜩 들떠 물량전 준비하는 것도 적절한 전략이다. 하지만,

먼저 이 질문에 대답부터 해야 하지 않을까. 연결하면 뭐가 좋은데? ‘IoT’로 검색해 보자. 기사가 정말 엄청나게 많이 뜬다. 하지만 별 감동은 없다. 제조사와 언론 그리고 정부만 잔뜩 흥분해 떠드는 것 같다. 확실한 미래니까 당연한 소란이긴 하다만, 그 소란의 내용은 다시 생각해 봐야 할 듯싶다. 게다가,

 

그 미래, 더디게 와서 차라리 다행이다

 

IoT 보안 사고는 충분히 확산되지 않은 지금도 끊임없이 일어나고 있다. 충분히 확산되고 나서도 지금 같다면, 상상만 해도 정말 무섭다. 지금은 꽤 큰 보안 사고 터져도 기껏 돈 좀 잃으면 그만이다. 하지만 IoT라면, 예컨대 자동차라면! 사람 목숨이 걸린 일이다. 그러니 우선 사후대처 방식에서부터 완전히 뜯어고쳐야 한다. ‘사후’ 따지고 그럴 여유도 없다.

IoT 기기 대부분이 사용자가 직접 패치 업데이트를 하는 사용자 책임 방식으로 되어 있기 때문에 사용자가 알아서 주기적으로 최신 버전 패치 업데이트를 해야 하는데, 그런 거 안 하는 사람들 참 많다. 그리고, 최근 사건들을 보면 해커들은 기기의 취약점보다는 IoT와 연결된 클라우드 환경의 최약점을 노리는 경우가 많다. 따라서 제조사는 디바이스, 애플리케이션, 클라우드 3개 요소의 보안을 모두 다 챙겨야 한다. 대기업 규모라면 각각의 전담 팀을 운영하지만, 작은 회사들 형편으로는 감당하기 쉬운 일이 아니다.

물론 이 문제는 회사 형편 따져 주고 그럴 일도 아닌, 아주 근본적인 문제다.

 

IoT 기기의 분류

 

IoT 기기를 기능에 따라 센싱, 액츄에이팅, 데이터 수집 및 전송 등 맡은 일에 따라 나눌 수 있지만, 그보다는 성능에 따른 분류가 우선이다. 성능에 따라 기기의 성격 자체가 완전히 달라지기 때문이다. IoT 기기는 성능에 따라 0~3등급으로 분류한다. 좀 길지만 중요하니 한 번 쭉 훑어보자면,

‘등급 0’은 초소형 초경량 초절전 저성능, 너무나 보잘것없이 사소해서 기기라고 말하기도 좀 민망한 물건이다. 주로 센서 역할만 맡으며, 메모리 및 프로세싱에 상당한 제한이 걸려 있다. 따라서 안전한 통신, 아니 통신 자체가 매우 제한적이라서 게이트웨이 등 주변 다른 장치가 필수적이다. 센서로 수집한 데이터에 대한 최소한의 보안, 그리고 역시 최소한으로 제한된 최초 설정 파일에 대한 상태 확인 정도의 보안 조치만 가능하다.

‘등급 1’은 8 또는 16비트 프로세서로 작동하는 의료기기, 도어락, 온도조절기, 스마트미터, 웨어러블밴드 등의 기기다. 프로세싱 능력이 제한적이다 보니 HTTP 등 기존의 흔한 프로토콜 통신 또한 제한적이기 때문에 CoAP 등 특수 프로토콜을 사용한다. 게이트웨이 등 기타 장치 도움 없이도 통신이 가능하긴 하나, 보안 기능은 선택적 그리고 제한적으로 가능해 근본적 위험성이 있다. 특수 목적 기기다 보니 전용 어플리케이션 보안이 특히 중요한데, 어플리케이션은 업데이트가 가능하다. 단, 기기 수가 관리하기에 너무 많아지지만 않는다면.

‘등급 2’부터는 그냥 일반 기기라 부를 만하다. 32비트 프로세서로 동작하는 게이트웨이나 스마트폰 등의 기기다. 보안 기능 지원은 충분하지만, 전원 관리 등의 이유로 제한적으로 사용할 때 성능 이득이 있다. 역시 어플리케이션 보안이 가장 중요한데, 등급 1에 비해 전용 어플리케이션이 아닌 경우가 많아서 범용, 즉 본격 헬게이트가 열리는 시작점이라 할 수 있다. ‘등급 3’은 등급 2 이상의 성능을 가진 기기로서 성능 면에서 따로 제한을 두고 생각할 필요가 없다.

자, 이런 사물들에 대해 기존 IT 보안 방법론을 적용해 보자면,

 

너무 작고, 너무 많다,,

 

초소형 초경량 초절전 저성능, 이는 다시 말해 보안 패치 업데이트 등의 조치를 할래야 할 수가 없다는 뜻이다. 애초에 패치가 불가능할 정도로 사소하다. 그러나 기기 수는 아주 많아서 일일이 조치하기가 사실상 불가능하다. 눈에 잘 보이지도 않는 그 쪼매난 물건에다 대고 운영체제 위변조 및 백도어 설치를 방지하고 부정한 비인가 접근을 차단하고 비밀키 유출을 방지하고 애플리케이션 취약점을 탐지해 차단하고 악성코드 감염 시 치료하고 등등등, 이걸 어떻게 하겠나,, 정말 힘든 일이다. 게다가 그런 물건들이 한두 개가 아니다.

작고, 많다. 그러니 도난 및 탈취도 큰 문제다. 따라서 데이터를 수집하되 저장하면 안 되고 송신하되 처리하면 안 된다. 보안의 3대 요소 기밀성 무결성 가용성 뭐 그런 걸 따질 수도 없는 형편인 거다.

세상 모든 사물을 인터넷에 연결했는데, 취약점이 발견되어 기기 업데이트를 해야 한다면, 그건 정말 시작할 엄두조차 나지 않는 어마어마한 일일 거다. 일단 연결하고 취약점이 발견되면 그때 되어서야 보안 조치를 취하는 기존 IT 보안 ‘선연결-후보안’ 방법론을 적용해선 안 되는 이유다. 그래서,

 

IoT는 무조건 ‘선보안-후연결’

 

이거, 아주 심각한 문제다. 예전처럼 그냥 막 연결해선 절대 안 된다. 그럼에도 미래산업 부흥을 위해 일단 띄우고 보자? 그럼 정말 무시무시한 미래가 펼쳐지게 된다. 지금 세상은, 감히 말하건대, 차라리 안전하다. 아직까지는 진짜 아닌 사이버 세계의 위험 정도로 그치고 마니까. 그런데 IoT 세계가 본격적으로 시작되고 그때도 지금처럼 ‘선연결-후보안’ 사후대처 방식으로 안일하게 대처한다면, 그 흔한 사이버 위험들은 고스란히 진짜 세상의 위험이 된다.

IoT는 사람 신체에 직접 영향을 미칠 수 있는 우리 주변 사물들을 동작하게 하는 기술이다. 그 물건들이 오늘날 온갖 사이버 사건사고들처럼 빵빵 터진다면 어떻겠나. 그래서다. 그래서 그 미래, 더디게 와서 차라리 다행이라 말하는 거다. 그래서,

‘선보안-후연결’, 선택이 아닌 필수다.

n-1-large570

IoT 도어락은 안전 문제 해결부터

n-1-large570

IoT 사물인터넷 기술 적용해 그냥 뭐뭐뭐를 스마트 뭐뭐뭐로 바꾸면 이게 좋고 저게 좋고 싹 다 좋다는 이야기, 흔하다. 상당히 사실이긴 하다만, 뭐든 무조건 좋다는 말은 일단 의심하고 봐야겠지. 하지만 IoT가 누구나 입에 담는 지구적 유행어 된 지 한참인데도 안전 이야기는 보기 드물다.

스마트 뭐뭐뭐들 중 스마트 홈, 그중에 스마트 도어락을 보자. 스마트 홈 그러면 전등, 냉장고, 카메라, TV 뭐 그런 물건들 이야기가 많은데, 가장 중요한 건 스마트 도어락 아닐까. 문을 잠그는 행위는 단순한 동작이지만 그 의미는 아주 특별하다. 개인과 가정의 사생활과 재산 보호 및 방범 그리고 독립성 확보의 상징적 행위니까. “엄마 미워!” 외치고 방문 쾅! 닫고 잠그는 의사표현의 방법이기도 하고. 그 단순하지만 아주 특별한 장치가,

 

인터넷에 연결되면, 스마트

그냥 도어락을 스마트 도어락으로 바꾸면 가족 귀가 상황 확인, 비정상적 출입 경고, 방범 카메라 기능, 언제 어디서든 잠금 상태 확인, 방에서 대문 열기, 부재중 대문 열기 등의 편리함이 있다고 한다. 그래, 편리하겠다. 그게 뭐든 인터넷에 연결하기 전에 무조건 보안부터 챙겨야 하는 ‘선보안-후연결’ 원칙을 잠깐 잊는다면, 그저 좋기만 한 미래상 같아 왠지 흐뭇하기도 하다. 그러나,

자물쇠에 있어 가장 먼저 따질 제1의 스펙은 안전 아닌가. 스마트든 아니든 세상 모든 자물쇠들은 안전을 자랑하며 파는 물건이다. 편리는 안전의 맞교환 대상 아니다. 그러니 얼마나 새롭고 편리한 기능들이 추가되었는지에 앞서 얼마나 더 안전해졌는지부터 볼 일이다. 폰으로 문 열기 등은 모두 안전 다음의 일이다. 이것저것 다 되더라도 아무나 문 막 따면 쓸데없다. 자물쇠의 일은 안전이니까.

그래, 지금 쓰는 그냥 도어락의 안전 문제부터 보자면,

 

디지털 도어락은 한국이 1등

한국만큼 디지털 도어락 많이 쓰는 나라가 없다. 한국사람이 쓴 외국 체류기를 보면 디지털 도어락이 없어서 불편하다는 불평이 많다. “이 나라 사람들은 왜 편리한 디지털 도어락을 안 쓰는 걸까? 역시 한국은 IT 강국!” 뭐 그런.

열쇠라는 구식 아날로그 물건에 대한 정서적 애착이 강해서, 나무 문이 많아서 디지털 도어락을 설치할 수 없기 때문에, 대부분이 임대주택이라 집 주인이 따로 열쇠를 가지고 있어야 하기 때문 등, 옛날 열쇠를 고집하는 이유를 이리저리 추리하기도 한다. 그런 짐작이 대개 그러하듯 일부 사실이고 일부 사실 아니다. 실제 가장 큰 이유는,

디지털 도어락은 안전하지 않다고 의심하기 때문이다. 열쇠와 자물쇠는 일종의 인증 장치, 열쇠라는 인증 수단으로 자물쇠라는 인증 과정을 통과한다. 인증 수단은 크게 ‘가진 것’과 ‘아는 것’으로 나뉘는데, 열쇠는 ‘가진 것’ 그리고 비밀번호는 ‘아는 것’의 상징적 수단이다.

‘가진 것’과 ‘아는 것’ 둘 중 뭐가 더 안전하다고 딱 잘라 말할 수는 없다. 가진 것은 뺏기면 그만이고 아는 것은 들키면 그만이니까. 하지만 ‘아는 것’의 안전 한계에 이르면 결국 ‘가진 것’으로 교체하는 추세는 있다. 은행에서 비밀번호 대신 사용하는 OTP 발생기가 그러하고, 최근 온라인 서비스 인증 수준을 높이기 위해 도입되고 있는 보안 동글 등의 장치가 그러한 예다. 이는 뺏기기보다 들키기가 쉽기 때문이기도 하고, 사고 발생 시 뭐든 물건이 있어야 책임 추궁이 편하다는 계산도 있고, 그래서다.

열쇠가 비밀번호보다 안전하다고 단정할 수는 없다. 과거 디지털 도어락이 불안했던 이유, 이를테면 전기 충격을 가하면 문이 저절로 열린다든지 화재 발생 시 작동 불능 상태가 되어 문을 열고 탈출하지 못한다든지 등 문제들은 지금은 대부분 해결되었다. 그럼에도 여전히 디지털 도어락은 불안하다 여긴다. 아주 이상한 걱정은 아니다. 왜냐면,

 

비밀번호를 누가 본다

몰카 비밀번호 유출 사건이 자주 발생한다. 번호 누르는 걸 훔쳐보고 따고 들어온다. 현관 앞 계단에다 스마트폰을 감춘 담배갑을 세워 둔다든지 뻔히 눈에 띄는 짓을 하는 서툰 자들이나 걸려들지, 좀처럼 발견되지 않는 수법도 많다. 아파트 등 공동주택 복도 천장에는 화재탐지기, 스프링클러, 센서 전등, 방범 카메라, LTE 안테나 등이 어지럽게 붙어 있다. 뭐 하나 더 붙여도 알아차리는 사람도 없다. 그런 모양의 몰카는 인터넷 검색하면 쪼르르 뜬다. 특히 화재탐지기나 스프링클러 등 소방설비로 위장한 카메라는 꽤 잘 팔리는 인기템이다. 게다가,

비밀번호 없어도 들어온다. 문 열 때마다 번호 누르기 귀찮다고 문 닫아도 자동으로 잠기지 않게 수동 설정으로 두고 쓰는 사람들이 있다. 그러다 문 잠그는 걸 깜빡 잊고 그냥 외출한다. 열쇠 안 잠그고 그냥 가는 실수보다 번호 안 누르고 그냥 가는 실수가 더 잦은 건 열쇠라는 구체적 물건을 통한 주의 환기 효과 때문이다. 그래서 문고리 돌려 보고 열리는 집만 터는 도둑도 있다.

자동 잠금이더라도 문 닫은 뒤 잠길 때까지 걸리는 시간이 꽤 긴 것도 문제다. 기껏 몇 초 정도지만 후다닥 들이닥치기엔 충분한 시간이니, 이를 악용한 범죄가 흔하다. 대개 혼자 사는 여성을 노린 성범죄다. 그래서 어떤 도어락은 닫는 즉시 잠기는 기능을 자랑하기도 한다. 애초에 왜 그렇게 만들지 않았는지는 모르겠다만.

그래도 여기까진 조심하기만 하면 뭐 어떻게든 될 일이다. 번호 누를 때 몸과 손으로 번호판을 가린다든지, 겉보기 좀 흉하더라도 번호판 가림막을 설치한다든지, 천장이나 벽에 전에 못 보던 수상한 장치가 추가되었는지 늘 관찰한다든지, 문이 잠길 때까지 문고리를 붙잡고 있는다든지 등, 평소 버릇을 고치면 된다. 하지만 버릇만으로는 해결 못할 문제도 있으니,

 

비밀번호는 하나가 아니다

“깜짝 놀랐어요!” 사례들이 있다. 혼자 쉬고 있는데 누가 문을 열고 들어와 깜짝 놀라 달려가 보니 웬 아저씨가 “아, 죄송합니다!” 그러고 나갔다든지, 아이가 장난으로 도어락 번호판을 띡띡띡 눌렀는데 덜컥 문이 열려서 놀랐다든지 등, 이런 일은 왜 생기는 걸까.

디지털 도어락의 비밀번호는 오직 나 그리고 내 가족만 알고 있는 번호라 믿어 의심치 않지만, 비밀번호는 원래 여러 개다. 사용자용 비밀번호 말고 화재 등 비상상황이 발생하거나 세입자와 연락이 되지 않을 때를 대비해 관리자용 비밀번호가 따로 있다. 관리자용 비밀번호는 집주인뿐 아니라 부동산 중개인도 안다. 열쇠는 아무한테나 막 내주진 않아도 비밀번호는 별뜻 없이 그냥 알려 준다. ‘아는 것’은 ‘가진 것’만큼의 경계심 그리고 책임감을 일으키지 못하기 때문이다. 그러니,

비밀번호 조심하느라 아주 복잡한 번호를 짜고 또 자주 바꾸는 등 별짓을 다 해도 그 번호 말고 다른 번호로 열린다. 관리자용 비밀번호는 그저 귀찮다는 이유로 다른 번호로 바꾸지 않고 그냥 쓰는 사람들이 있다. 공장 출시 비밀번호 ‘1234’ 또는 ‘0000’을 그냥 그대로 쓴다. 그러니 공동주택의 경우 같은 번호로 모든 집 현관을 다 열 수도 있고, 공장 번호만 누르고 다니며 빈 집 터는 ‘1234 도둑’도 있다. 명색이 도둑인 주제에 어렵고 복잡한 짓 안 한다. 그냥 1234 그리고 별표 누른다. 안 열리면 0000 누른다. 띠리링, 열린다.

그런데, 이는 모두 디지털 도어락의 작동에 대해 안다면 미리 조심할 수 있는 일들이다. 그런데도 다들 참 태평하게 아무 걱정 없이 그냥 대충 쓴다. 그러고 보면 우리나라 사람들은 어떤 변화든 참 쉽게 받아들인다. 그리고 “원래 그런 것”이란 말도 즐겨 쓰고. 아니, 이상하잖아, 쉽게 변하니 어제 다르고 오늘 다른데 언제부터 그랬다고 원래 그런 거라 그래,,

그래서,

 

IoT 도어락은 그냥 도어락의 문제 해결부터

어떤 기술이든 기존 기술의 문제를 해결하고 가장 중요한 기능을 더 좋게 만드는 일부터 해야지 그건 안 하고 엉뚱한 말만 잔뜩 늘어놓으면 못쓴다. 새 TV는 헌 TV보다 화질부터 좋아야지, 화질 나빠진 대신에 리모콘 버튼 누르기 편해졌다느니 인터넷에 연결할 수 있다느니 뭐 그런 소리만 해선 안 되는 거다. 골수 안전주의자인 내게 디지털 도어락이 딱 그런 느낌이다.

위 디지털 도어락의 안전 문제들은 IoT 기술을 통해 해결할 수 있다. 블루투스나 RFID 등을 이용해 지정된 단말기를 가진 자만 접근이 가능하게 하고 필요에 따라 제한을 임의로 해제할 수도 있고, 지인이나 부동산 중개인 등 방문객에게는 일회용 비밀번호를 따로 만들어 주고, 스마트폰을 통해 비밀번호 외 다른 인증 방법을 선택할 수 있게 하는 등, 종합해 말하자면 ‘가진 것’과 ‘아는 것’의 적절한 조합을 통해 보다 안전해질 수 있다. 무엇보다도,

IoT 보안에 있어 가장 중요한 기술은 인증이다. ‘가진 것’, 이 스마트폰은 그 스마트폰이 맞나, 이 사물은 믿을 수 있는 사물인가, 즉 사물끼리 통신하며 서로를 확인하는 사물 인증이다. ‘가진 것’이 가짜라면 어떤 조치든 애초에 쓸데없어지니까.

IoT 스마트 홈은 좋은 거다. 대문 잠궜나? 가스불 껐나? 에어콘 껐나? 괜한 걱정 안 해도 된다는 점만 하더라도, 아니 이거, 정말 좋지 않나. 한 번 쭉 달려가 볼 만한 방향이다. 단, 충분히 안전하다면.

OLYMPUS DIGITAL CAMERA

싼 게 비지떡, IP 카메라

 

2017-09-22-1506067100-1938966-57_00.jpg

 

“IP 카메라”가 또 털렸다. 그쪽 컴컴한 세계와 전혀 관계 없어 보이는 흔한 대학생과 직장인 몇이서 지난 6개월 동안 일반가정 및 의류매장에 설치된 카메라 1,400여 대의 영상을 녹화하고 배포하다가 적발된 것. 비밀번호 따고 들어간 흔한 ‘디폴트 패스워드’ 사건이다. 그럼에도 이리 뜨거운 화제가 된 건, 털린 곳이 집이기 때문. 노랫말처럼,

 

“집에 있는데도 집에 가고 싶을 거야”

그래, 집이란 그런 곳이다. 집에 있는데도 집에 가고 싶은 곳, 사생활의 집대성이자 마지막 보루. 그런 무조건 은밀해야 할 곳이 털렸으니 이번 사건의 여파가 이리 큰 건 당연한 일이다. 그러니 이 논란엔 지나침이 없다. 엄청 요란하게 호들갑 떨어 온통 어수선하더라도 꼭 바로잡아야만 할 일이다. 집이란 곳은 그래야만 하는 곳이니까.

하지만 혼란 와중에 “이때다!” 달려드는 장사치들이 있다. 그리고 엉뚱한 말로 겁주며 뭘 자꾸 사라고 한다. 대표적인 게 ‘보안칩’ 장사. 이번 사건 경위와 1도 관계 없다. 왜들 이러나, 이 시장은 왜 이리 혼탁한가, 뭘 어떻게 해야 깔끔해질까, 어지럽다. 우선,

 

용어부터 정리해야

일부 보도에서 “가정용 CCTV”란 말을 쓰던데, 잘못이다. CC란 Closed-Circuit, 즉 일반 TV의 개방회로와 달리 특정 대상에게만 한정 제공되는 ‘폐쇄회로’란 뜻이다. 반면 IP란 Internet Protocol, 즉 인터넷으로 연결되었다는 뜻이니 CCTV와는 완전히 다르다. 그걸 자꾸 CCTV라고 부르니 그렇잖아도 헷갈리는데 더 헷갈리게 만드는 꼴. 근데 IP란 말도 어째 좀 어렵다 싶으니 대충 ‘인터넷 카메라’ 정도로 부르면 어떨까.

그리고 CCTV란 말의 뜻도 세월 변화 따라 퇴색해버려 요즘은 뜻하는 바가 보다 명확한 ‘감시카메라’ 또는 ‘방범카메라’라 부르는 추세다. 게다가 CCTV 그러면 중국중앙방송(China Central TV)으로 통하니 이래저래 그 말은 안 쓰는 게 낫겠다.

그리고 이번에 터진 사건은 “해킹”이라 할 만한 짓도 아니다. 그냥 아무데나 들어가 공장 비번 1111 아니면 1234 아무거나 막 눌러 본 거라, 그런 짓까지 해킹이라 한다면, 해커들 섭섭하지,, 이렇듯 용어의 정의와 개념을 혼동하면 이후 대화는 아예 의미가 없어지니 조심할 일이다. 그렇잖아도 안전 의식이 문제라면서 의식의 틀인 용어부터 어지러우니 더욱 노답.

아무튼, 그래서, 구글서 ‘ip c’까지만 쳐도 자동완성 ‘ip camera korea’ 뜬다,,

 

까다로우신 고객님들

당연한 질문이 떠오른다. “공장 비번을 일정 수준의 안전도 확보한 패스워드로 변경하지 않으면 카메라가 아예 작동 안 되게 만드는 등의 조치를 미리 취했어야지!?” 그렇다. “보안은 신경도 안 쓰고 팔고 나면 그만이라는 거냐!” 그만 아니다. 그러나,

공장 입장도 참 난처한 게 제작 공정 추가는 즉 돈인데, 소비자님들께서 ‘가성비’를 그리들 따지시니 싸게 무조건 싸게 단가를 맞춰야 하는데, 뭐든 그냥 싸질 수는 없는 법이니 공정을 뺀다. 무조건 싸게 만들기 위해 이것저것 닥치는 대로 빼되 특히 겉으로 드러나지 않는 보안 관련 공정부터 뺀다. 사고 터지지 않는 한 누가 보안 따위 신경 쓰겠어. 그리고,

적절한 보안 조치 적용해 물건을 만들었다 쳐도 까다로운 소비자님들께서는 이번엔 또 “아니, 이게 왜 안 돼? 그냥 꽂기만 하면 대충 돌아가게 만들지, 왜 이리 고객을 귀찮게 하고 그래!?” 따지신다. “왜 이리 비싸? 저기 저 물건은 싼데!” 화도 내신다. 그러니, 결국 부메랑처럼 되돌아오는 업보다,,

 

보안은 일이고, 일은 돈이 든다

인터넷 카메라, 아니 인터넷에 연결되는 모든 물건에 적용해야 하는 보안 조치는 정말 많다. ‘이딴 초간단한 물건에?’ 싶겠지만, 제아무리 간단해 보이더라도 인터넷에 연결되기만 하면 무조건 꼭 필요한 조치다. 왜냐면,

생활형 IoT 기기들은 표면적으로 하드웨어일 뿐 일종의 앱으로 봐야 하고 앱은 웹으로 연결되니, 보안은 당연한 일이다. 그리고 웹이 앱보다 위험하니 필요한 보안은 겉보기 짐작보다 훨씬 더 많다. 그리고 IoT는 IoT만의 보안이 따로 필요하다. 그리고 무엇보다도 가장 시급한 건 IoT 기술의 이해 아닌가 싶다. (링크 붙이다 보니 어째 잡지 PPL 느낌,,)

당장 필요한 보안 조치들을 떠오르는 대로 쭉 나열해 봐도, 시큐어코딩 취약점제거 물리보안 정기적보안업데이트 정보위변조확인 무결성검증 기기인증 사용자인증 웹어플리케이션보안 전구간데이터암호화 등, 아주 많다. 이게 모두 다 공정이요, 따라서 돈이다. 그럼, 비싸진다. 그런데 비싸면, 안 산다,, 이번에 털린 물건들도 모두 다 중국산 저가품이다.

요즘은 그게 뭐든 제품 관련 문제들의 원인은 모두 다 ‘가성비’란 말로 수렴되지 않나 싶다. 가성비, 가격 대비 성능 비율. 소비자들은 가격 대비 성능을 따진다. 이는 당연한 일이다. 뭐든 싸게 사면 좋지, 까닭 없이 괜히 비싼 걸 누가 사겠어. 그러나,

 

보안도 성능이다

그것도 꼭 필요한 성능이다. ‘안전’이 그러하듯. 당연히 가성비 필수요소로서 따져야.

탈탈 털려 보면 안다. 뭣이 더 중헌지.

2017-09-14-1505349872-2830444-56_00-thumb

“아뇨. 웹이 앱보다 위험하죠.”

 

2017-09-14-1505349872-2830444-56_00-thumb

 

종종 알고 지내는 기자들로부터 기술 관련 질문을 받곤 한다. 나도 딱 당신만큼 기술자가 아니라서 함부로 대답할 수 없으니까 뭘 좀 아는 기술자를 연결해 주겠다고 해도 거절한다. 기술자 말은 어려워서 들어도 무슨 말인지 모르겠다고. 기술입국이 선택 아닌 생존인 시절에, 심각한 문제다. 1)기술자들은 비기술자들도 알아듣게끔 쉽게 말하는 방법을 배우면 좋겠고, 2)명색이 기술 전문기자라면 그쯤은 대충이나마 알아듣는 사람이면 좋겠는데, 1)과 2) 둘 다 그리 쉬운 일이 아닌가 보다. 암튼 이번 질문은,

 

“앱이 웹보다 위험하다고 써도 돼요?”

이런 말 들으면 기분 참, 묘하다. 뭐라 답해야 할지 모르겠다. 우선, ‘앱’은 소프트웨어인데 ‘웹’은 정보체계 그리고 망 개념이라 둘의 비교가 애초에 어울리지 않는다 싶고, 따라서 보안 방법도 완전 다르고, ‘앱’을 원래 뜻 애플리케이션으로 본다 쳐도 요즘 그 말은 특정 모바일 플랫폼에 종속적이고 간단한 기능과 인터페이스를 가진 소규모 소프트웨어의 뜻으로 제한되니 역시 좀 애매하고, ‘웹’이라 불리는 것의 요소들도 대부분 애플리케이션이라 즉 앱이니, 아니 이걸 어찌 그렇다/아니다 쉽게 대답하겠어,, 대충 “앱이 웹보다 위험한 게 아니라 앱의 위험으로 알려진 사고들의 대부분이 실은 웹의 위험인 거죠.” 라고 답하고 만다.

아마 이 정도 뜻으로 하는 말일 거다.

‘앱’ = 폰에 까는 거
‘웹’ = PC로 하는 인터넷

요즘 각종 앱 관련 사고들이 빵빵 터지고 그에 비해 전엔 흔했던 웹사이트 사고 소식은 뜸해 보이니 ‘앱이 웹보다 위험한 건가?’ 뭐 그리 흘러간, 그러니까 “누가 돈을 훔쳤다. 돈이 위험하다!” 이것과 비슷한 흐름 같다. 그러나, 순전히 오프라인에서만 동작하는 단순한 앱이 아니라면 앱은 결국 웹에 연결되고 대부분의 사고는 웹 영역에서 터진다. 최근 떠들썩했던 사고들을 보더라도,

 

“숙박앱이 털렸대! 숙박앱이 위험하다!”

아니다. 웹 해킹이 위험한 거다. 올해 봄에 터졌던 숙박예약 앱 ‘여기어때’ 해킹 사건도 그러하다. 원인은, 처참하다. 또, 이거 정말 위험하니까 정말정말 조심해야 한다고 그렇게나 열심히 떠들었는데 또, ‘SQL 인젝션’에 당했다. SQL 인젝션 수법과 그 대비책에 대해선 2년 전 ‘뿜뿌’ 해킹 때 썼던 “아니? 뽐뿌가 SQL 인젝션에 무너졌다고?” 를 보면 그 얼마나 허무한 수법인지 알 수 있다. 그러니 제발, 이러쿵저러쿵 긴 말 쓸데없다 싶고, WAF를 쓰자. 싸다. 사고 터진 뒤 수습 비용에 비하면, 너무 싸다.

 

“배달앱이 털렸대! 배달앱이 위험하다!”

얼마전 항간에 잠깐 요란했던 ‘난 단지 치킨을 주문했을 뿐인데’ 글이 지적했던 수법 ‘URL 파라미터 변조’ 또한 아주 단순한 형태의 웹 해킹이다. 아니 해킹이라 부를 만한 것도 아니고 정말 단순하게, 브라우저에서 웹사이트 URL 텍스트를 바꿔 입력하는 짓이다. 이거, 옛날에 유료 웹 컨텐츠 공짜로 보려고 URL에 노출된 페이지 넘버만 살짝 바꿔 다음 페이지 넘겨 보던 못된 장난 같은 짓인데, 요즘은 안 통한다. 컨텐츠 팔아서 돈을 벌어야 하니까 다 막았다.

하지만, 돈을 벌어야 하니까 막는다는 말은 다시 말해, 당장 돈이 오가지 않는 곳은 막지 않는다는 뜻이기도 하다. 그러니 그런 초보적 수법에 KT 등 숱한 대기업들, 그리고 작년 가을엔 공기업 코레일까지 당했다. 심지어 문제 많은 주민등록번호를 대체하겠다고 호언장담하던 공공 아이핀 부정발급 사건에도 사용된 수법이다. 이건 뭐, 살얼음판 위를 걷는 듯 정말 무시무시한 사회 아닌가,,

아니, 그런 한심한 짓이 왜 먹히는 걸까. 그 웹사이트 개발자가 정말 순 나쁜 놈이라서 악의적으로 “다 털려라! 다 죽자!” 일부러 구멍을 뻥뻥 뚫어 둔 걸까. 그럴 리가,, 순전히 만악의 근원인 듯싶은 ‘개발의 효율’ 때문이다. 무조건 빨리빨리. 그러니 보안 보안 백날 떠들어 봤자 죽어 봐야 저승을 안다고 사고가 터져 봐야 보안 무서운 줄을 안다. 특히 돈줄 약한 스타트업이 조심할 일이다.

그런데, 소란이 “잠깐”에 그쳤던 까닭도 중요하다. 문제의 위험과 직접 관계도 없는 ‘배달의민족’ 등 업체 PR팀의 빠르고 효과적인 대응은 리스크 관리가 뭔지 제대로 보여 줬다. 칭찬할 일이다. PR이란 일이 기자들 명함 모으며 시시때때로 어울려 밥 먹고 술 마시는 일이 아님을 잘 보여 준 좋은 사례로 남았다.

이렇듯 앱 사고란 게 모두 웹 사고. 그러니, 나도 이래저래 복잡할 것 없이 그냥,

 

“아뇨. 웹이 앱보다 위험하죠.”

이리 답해도 되겠다. 그렇다, 웹이 앱보다 위험하다.

아니 앱이 곧 웹이라고 해야 하려나, 모르겠다. 역시, 기술자들이 나서야.

 

OLYMPUS DIGITAL CAMERA

나라 지키게 백신 좀 파세요

 

OLYMPUS DIGITAL CAMERA

 

국방부 백신 사업이 또 유찰됐다. 이유는 무응찰, 아무도 참여하지 않아서,,

보안회사에게 국방부 일은 여간해선 참기 힘든 유혹이다. “나라를 지킨다!” 자랑할 수 있으니까. 보안회사 홍보에 그보다 더 멋진 타이틀이 달리 또 있을까. 그래서 국방부뿐 아니라 정부기관 납품 실적은 어느 보안회사 회사소개서든 전면에 붙여 자랑한다. 그러나,

앞뒤 맥락 알 만한 사람들은 하나같이 반복되는 유찰은 당연한 결과라고 말한다. 말하자면 ‘독이 든 성배’라는 공통된 인식이다. 그러니 결국 수의계약으로 끝나리라 예상되는데, 그럴 경우 보안 효과의 품질 저하가 걱정스럽다. 예사 기업도 아닌 정부기관, 그것도 무려 국방부 아닌가.

어쩌다 이리 된 걸까. 어째서 다들 무응찰이 당연한 결과라는 걸까. 에둘러 말하자면, 기대가 큰 만큼 실망도 큰 상황이다. 그리고 그 기대는 애초에 잘못된 오해, ‘보안=백신’이라는 잘못된 등식 때문에 부풀려진 오해다.

보안 = 백신 ?

당연히, 백신은 보안의 전부가 아니다. IT 보안은 IT 시스템의 3개 계층 구조에 따라 크게 1)네트워크 보안, 2)시스템 보안, 3)어플리케이션 보안으로 나눌 수 있는데, 백신은 그중 2)시스템 보안의 일부 영역을 맡아 지킬 뿐이다.

공격 수법의 고도화뿐 아니라 공격 물량부터 폭증해 감당하기 벅찬 요즘, 백신이 맡은 영역의 방범 성공률은 대략 40% 정도로 보는 게 현실적 판단이다. 어쩌면 당연한 게 최신 백신의 가장 열정적 사용자는 해커들이니까. 백신도 안 돌려 보고 덤빌까,, 그런데도 전체 보안 책임 100%를 감당해야 하는 것처럼 말하니 이거, 백신 입장에서도, 난 누군가 또 여긴 어딘가, 너무나 부담스러운 노릇이다. 그러다 보니,

“보안은 백신 회사가 다 알아서 해 줘야지?”

백신 공급 외 이것저것 다른 요구들도 많아진다. 사용 단말기 라이센스 관리 및 커스터마이징, 소프트웨어 업데이트, 사고 발생 시 원인 분석 외 정기적 보안 교육까지 맡아야 하고, 기술 지원을 위해 10명의 상주 인력을 배치해야 하는데 나랏일이 대개 그러하듯 해당 인력의 학력 등 스펙이 구체적으로 정해져 있기 때문에 그만큼의 고급 인력을 회사 밖에 둔다는 건 사람값이 가장 무서운 회사에겐 엄청난 부담이다.

백신에 대한 기대가 큰 만큼 실망도 크게 하니까 부담이 엄청난데 그렇다고 큰 기대만큼 돈을 크게 주지는 않는다. 무려 2배로 높였다 하지만 그래도 회사가 져야 하는 부담에 비해선, 싸다. 너무 싸다. 뭐든 희한한 물건들 아무거나 척척 사는 거 보면 돈 참 잘 쓰던데 이런 일은 왜 이리 짜게 구는 건지 모르겠다. 아마도 눈에 보이는 물건이어야 값을 매길 수 있나 보다. 소프트웨어는 고달프다.

보안 = 안전한 시스템 설계 !

백신이 보안의 전부가 아니고 일개 도구일 뿐이라면, 그럼 보안의 전부는 무엇일까. 단 하나가 전부인 뭔가가 따로 있을 거라는 믿음이 곧 위험이다. 여러 가지 도구들을 적재적소에 “잘” 배치하는 일, 즉 보안이란 ‘안전한 시스템 설계’다. 어떤 도구 하나를 맹신하면 전체 설계가 틀어진다. 작년 가을의 군 내부망 해킹 사고를 보더라도 그 원인은 ‘백신’ 그리고 ‘망분리’ 등 어떤 도구의 효과를 지나치게 믿었기 때문 아닌가 싶다.

국방부 전산 시스템에는 다른 정부기관이 그러하듯 내부망과 외부망을 나눠 쓰는 소위 망분리가 적용되어 있다. 안과 밖에 아예 다른 망을 씀으로써 위험을 애초에 차단하자는 의도였을 것이다. 그런데 그 망과 망 중간에다가 백신을 관리하는 중계 서버를 둔 것, 게다가 그 중계 서버만도 800대나 필요한 복잡한 구조였다. 이럴 거면 망분리를 왜 했나, 상식적으로도 이해할 수 없는 일이다. 안전한 시스템 설계의 실패, 즉 보안이 성립하지 않았던 것이다.

사고 경위를 보더라도 바로 그 백신 서버가 뚫렸다. 백신 취약점을 노린 해킹이라고 발표되었지만 아니, 보다 근본적으로는 잘못 설계된 시스템 취약점을 노린 해킹이었던 것으로 봐야 하고, 따라서 대책이라고 내놓은 ‘백신 교체’는 자다가 남의 다리 긁는 엉뚱한 말일 뿐이다. 백신 회사에게도 이는 마치 질 나쁜 개그처럼 허무한 일이다. “너 때문이야! 너 말고 딴 회사 찾을 거야!” 막 뭐라뭐라 했는데, 정작 딴 회사도 못 찾아서 아마도 계속 함께 갈 것 같은, 이 무슨 희비극,,

정보란 원래 쫙 퍼지는 것

망분리를 하든 뭘 어떻게 하든 정보는 어떻게든 연결되고 전달되고 가공된다. 그것이 정보란 것의 애초 속성이다. 폐쇄망이란 것도 말이 폐쇄망일 뿐 제대로 사용하려면 외부와 다수의 접점을 가질 수밖에 없는데, 따라서 그에 대한 보안 또한 그 접점에 대한 전반적 관리 개념으로 다룰 일이지, 어느 한 요소를 딱 찍어 “이게 원인이다!”라고 말하면 이는 순전히 편리를 위해 너무 쉽게 고른 희생양에 그치고 만다.

그래서, 내부망과 외부망에다 각각 다른 백신을 적용함으로써 사고를 방지하겠다고 한다. 그래, 그렇게 하면 결과적으로 완전히 똑같은 사고를 방지하는 효과가 있긴 하겠다. 하지만 근본적..이란 말도 무색하다만 아무튼, 해법은 아니다. 해법은, 안전한 시스템 설계에 대한 고민이다. 너무 원론적이지 않나 싶더라도 어쩌랴, 그것만이 해법이다. 보안 불감증이니 보안의식 부재니 뭐 그런 흔한 이야기는 이제 서로 좀 지겹지. 문제는 그런 흔한 말이 아니라, 그냥 뭐가 뭔지 몰라서 털리는 거다. 그러니까, 알자. 보안은,

안전한 시스템 설계다. 거듭 강조하는 바, 1)네트워크 보안, 2)시스템 보안, 3)어플리케이션 보안 등 IT 시스템의 3개 계층 모두 각각 안전한 시스템의 설계 말이다. 실전적 방법론을 덧붙이자면 가장 사고 발생이 빈번한 어플리케이션 계층부터 막고, 각 계층마다 그리고 각 계층을 오가는 모든 데이터를 암호화하고, 사용자 인증 절차를 다중으로 강화하는 등, 정보보안의 3단 콤보 ‘웹 어플리케이션 보안 + 데이터 암호화 + 인증 보안’ 적용을 이야기할 수 있겠다만 이는 모두,

‘보안=안전한 시스템의 설계’ 등식에 대한 철저한 이해 이후의 일이다.

사이버 전쟁을 위해 돈을 더 쓰자?

이제 사이버 범죄는 범죄 수준이 아니라 사이버 전쟁 수준으로 급부상했다, 그렇다. 이젠 정말 흔한 말장난이 아니라 진짜로 전쟁이다. 그래서 이 나라는 돈 얼마를 쓰고 저 나라는 돈 얼마를 쓰니까 우리도 사이버 전쟁 대비 예산을 그만큼 높여야 한다, 옳다. 이거 정말 심각한 문제다. 하지만, 의문이다. 보안에 대한 이해가 지금 수준에 머무른다면 돈 얼마를 더 붓든 딱 그만큼의 헛된 낭비일 뿐일 테니까. 지금도 나름 돈 쓰고 있다만 결국 삐딱한 댓글이나 달고 있지 않던가,,

어떤 문제든 문제가 있으면 해법 모색은 그 문제를 정확히 아는 일에서부터 출발해야 한다. 거듭 강조하는 바, 지금 이 문제는 돈 문제가 아니다. 돈으로 그냥 해결되기라도 한다면 차라리 낫겠다만.

 

2017-08-31-1504153118-1941-54_00-thumb

IoT 보안은 모바일 보안이 아니다

2017-08-31-1504153118-1941-54_00.jpg

 

 

사물 인터넷 기술 이야기, IoT 담론이 활발하다는 건 좋은 일이다. 감히 거스를 수 없을 만치 크나큰 전 세계적 변화라면 결국 어떤 모습으로든 맞이할 수밖에 없을 테고, 담론이 활발한 만큼 변화의 충격은 덜하고 잘만 하면 무탈히 매끄럽게 적응할 수도 있을 테니까. 그런데,

IoT의 온갖 문제들, 특히 보안 문제를 기존 모바일 보안의 일종에 불과한 것인양 쉽게 말하고 그에 따른 위험만 경고하는 글들이 많아 염려스럽다. 그런 ‘오해’는 글쓴이가 의도한 바 위험 경고 효과도 없을뿐더러 상황을 잘못 그림으로써 오히려 위험을 더 크게 만드는 일이기도 하다. 어떤 큰 변화에 적절히 대응하려면 기존과 아예 다른 사고방식의 변화부터 필요하고, IoT도 물론 그러하다. 이에 중요하다 생각되는 몇 가지 오해들을 짚어 본다.

 

IoT 보안은 모바일 보안과 다르다.

어째서 IoT 보안을 모바일 보안의 일부로만 보는 걸까. 사물 인터넷의 ‘사물’을 무엇으로 보는지, 정체성 문제겠다. 지금은 그저 스마트폰에 연결하는 물건 정도의 뜻. 이를테면, IoT의 대표선수 ‘커넥티드 카’도 그저 스마트폰에 연결해 사용하는 보조적 장치쯤으로 보기도 한다. 아직까진 스마트폰에 연결해 사용하는 ‘테더링’ 방식이 많아서 그럴 텐데, 자동차가 독자적으로 인터넷에 연결되는 ‘임베디드’ 방식의 보급은 지금도 급속히 늘고 있고 머지않아 대세란 말도 초월해 원래 그런 것으로 당연하게 여겨지게 될 것이다. 그럼 저절로 자동차와 전화기는 별개의 것으로 인식되게 될 테니, 자동차 보안을 모바일 보안의 부가적 단편쯤으로 여기는 일은 짧은 과도기적 현상일 뿐일지도 모르지만 이거, 그리 쉽게 볼 일은 아니다. 왜냐면,

IoT 보안을 그저 모바일 보안의 일종으로 본다면, 그리고 그런 인식에 따라 기술이 개발되고 적용된다면, IoT 보안은 지금도 철철 넘쳐 감당 못하는 모바일 보안의 문제를 그대로 이어받게 된다. IoT 보안은 모바일 보안과 달리 애초에 안전하게 설계되어야 한다. 지금의 모바일 보안처럼 취약점을 발견하고 패치를 통해 해결하는 식의 안일한 태도는 절대 금물이다. 애초에 IoT와 모바일은,

 

설계에서부터 접근 방법이 다르다.

스마트폰이란 물건은 간단히 말해 전화가 되는 컴퓨터다. 컴퓨터란 대개 일반적인 도구다. 사용자가 각자 자기 필요에 따라 어플리케이션을 선택적으로 사용함으로써 그 컴퓨터의 용도가 결정된다. 예전엔 ‘OO 전용 컴퓨터’란 말도 흔히 들을 수 있었지만, 그래서 CG 전용 컴퓨터 같은 건 값이 억대에 이르기도 했지만, 기술이 충분히 발전한 요즘은 뭐 그런 거 없다. 누가 어떤 목적에 따라 어떤 어플리케이션을 쓰느냐, 사용자 각자 결정의 문제일 뿐. 반면, IoT는 대개 특수한 도구다. 어떤 목적에 따라 만들어지고 그 목적으로만 사용되어야 한다. 왜?

여러 이유가 있지만 가장 큰 이유는, 사람의 안전 때문이다. 기존 컴퓨터는 주로 추상적 정보만을 다루기 때문에 혹시 문제가 생기더라도 가장 큰 문제, 즉 사람의 안전에 직접 관계된 문제가 일어날 일은 거의 없다. 그러나 컴퓨터가 추상적 정보가 아니라 구체적 사물을 다루게 되면 안전 문제가 치명적으로 부각되게 된다. 이를 도식적으로 단순화해 보자면, 정보를 다루는 IT(Information Tech) 그리고 사물을 다루는 OT(Operation Tech)의 차이로 볼 수 있고, 다시 말해 IoT는 IT와 OT의 결합이라 할 수 있다. 당연한 말이지만 OT는 IT에 비해 보안, 즉 안전의 기준이 훨씬 더 높다. 따라서,

 

IoT는 IT지만 OT로 봐야 한다.

보안 문제가 지금껏 그래왔듯 추상적인 정보를 다루는 일에 대한 안전 문제가 아니라 구체적이고 물리적인 사물을 다루는 일에 대한 안전 문제이기 때문이다. 그 사물이, 자동차처럼 크고 무겁고 빠른 사물이라면.. 해킹이란 말의 의미가 전과 완전히 다른 차원, 즉 사람의 목숨이 걸린 문제로까지 훌쩍 치솟는다. 그렇기 때문에라도 IoT 보안을 기존 IT 시스템 보안, 특히 모바일 보안과 동일시해선 안 될 일이다.

거듭 강조하는 바, IoT 보안은 취약점이니 뭐니 그런 것들 따지는 일이 아니고 아니어야만 한다. 애초에 취약점이 없게끔 설계해야 하는 일이라 그런 여유 부릴 틈도 없다. 그것이, IoT 보안의 제1의 원칙 ‘선보안 후연결(Secure First, then Connect)’ 개발 원칙이다. 커넥티드 뭐뭐뭐들의 가장 큰 문제는 커넥션일까. 아니, 보안 즉 안전이다. 그런데,

 

해커가 따로 있지 않다.

지금까지 해커는 그냥 범죄자였다. (‘화이트 해커’ 등의 말들은 일단 무시하기로 하자.) 국가 정보기관 그리고 무선통신 모듈을 몰래 탑재한 전기주전자를 다른 나라 주요 호텔에 납품한다든지 등 참 희한한 방법으로 정보기관과 결탁해 암약하던 컴컴한 회사 등 특이한 변종들도 있긴 하지만 어쨌든 다 범죄자들이다. 그러나 IoT 해킹, 특히 자동차처럼 사람들 관심이 집중되는 사물의 해킹은 관계된 자 모두 다 해커가 될 수 있고, 심지어 소유자도 그러하다.

우선 제조사의 해킹, 한창 요란했던 독일 폭스바겐의 ‘디젤 게이트’ 사건이 그러하다. 그 일을 부품 교체 등 하드웨어 문제로 오해하는 사람들도 있지만, 소프트웨어 해킹 사건이다. 디젤 게이트란, “클린 디젤!” 외치며 디젤 자동차를 광고하던 폭스바겐이 검사 주행인지 일반 주행인지를 판단해 검사 주행이다 싶을 때만 질소산화물 배출량을 낮추는 일종의 치팅 소프트웨어를 차에다 탑재했던 사건이다. 일반적 매연 기준치의 수십 배 오염물질을 막 내뿜고, 리콜 받아 타고 다녀도 자동차 수명이 단축되는 등 최악의 짓을 저질렀던 것. 워낙 큰 기업이다 보니 이런저런 복잡한 어른의 사정까지 더해져 수사도 제대로 진행되지 않아 백 년 쌓은 명성이 일순간에 송두리째 무너진 판국이다. 도대체 왜 그랬는지 정말 모르겠다,,

그리고, 자동차 기술이 점차 고도화됨에 따라 중요성이 급부상하게 될 정비소도 마찬가지, 경쟁을 위해 차에다가 무슨 짓을 저지를지 모른다는 위험이 있다. 심지어,

 

사용자가 해커일 수도 있다.

해킹이 ‘튜닝’처럼 될 위험이 있다. 튜닝은 기계의 성능이 나의 성능이라고 믿는 좀 딱한 심리 때문에라도 절대 사라지지 않을 마약 같은 충동이다. 지금은 거친 사내들의 소소한 취미 정도의 뜻이고 그래서 ‘마개조’ 등 장난스러운 말이 오가기도 하지만, 자동차의 소프트웨어적 성질이 커짐에 따라 뜻이 변하게 된다. 마치 컴퓨터의 CPU나 그래픽카드를 오버클러킹 하듯 자동차 튜닝도 오남용될 위험이 있다. 컴퓨터 부품의 기본 연산 속도인 클럭을 사용자가 임의로 끌어 올리는 오버클러킹, 그거 정말 참기 힘든 유혹이긴 하다. 하지만 컴퓨터 오버클러킹은 자칫 회로가 홀라당 타 버려도 자기 손해로 그치고 그 피해도 그냥 새 거 사면 그만인 수준이지만, 자동차는 그렇지 않다. 사람이 죽거나 다친다. 나 말고 다른 사람도.

부품 조립산업 쪽에서는 공정 효율을 위해 동일한 하드웨어에 대해 소프트웨어적으로 성능을 제한함으로써 제품군의 가격대를 나누기도 한다. 주로 전자제품 쪽에서 흔히 볼 수 있는 일인데, 이제 자동차도 전자제품으로 봐야 하니 이도 예의주시할 일이다. 지금 전자제품들이 그러하듯 전 세계 아마추어 자동차 해킹 대회가 열리게 될 수도 있다,, 음향 장비 등 흔하고 사소한 물건이라면 몰래 즐기는 소소한 취미일 뿐이라고 우길 수도 있겠지만, 자동차처럼 나 말고 남의 인생에까지 영향을 미칠 수 있는 물건이라면 완전히 다른 이야기가 된다. 자동차는 예일 뿐, 사물을 다루는 IoT 전반에 대해 그러하다. 따라서,

 

개조 단속이 달라지고, 절대불가 영역도 정해야 한다.

단속 기준과 방법이 달려져야 한다. 지금까지는 지적재산권 등 제조사의 권리 보호를 위한 단속이 주였다면, 앞으로는 임의 개조의 위험 차단을 위한 단속이 되어야 한다. 서로 크게 문제 될 게 없다는 안일한 태도로 모든 요소가 순정 상태일 거라는 전제 하에 정기적 검사 등 단속을 하고 제조사의 서비스 기준도 그러한데, 이는 보안의 가장 심각한 문제인 “이상 무!” 확신과도 비슷하다. 오직 해킹 방어에만 집중하며 ‘해킹은 없다’는 전제에 따라 보안정책을 세우지만, 당연한 말이다만 해킹은 있다, 것도 아주 많다. 그러니 사고 발생 시 사고가 발생했다는 사실 자체를 모르게 되거나 알더라도 원래 상태로 되돌리는 회복력이 떨어지는 등, 순진한 확신은 보안의 가장 심각한 문제다. 현실을 제대로 인식해야.

그리고, 건드릴 수 있긴 하지만 우리 이것만큼은 건드리지 않기로 해요 식의 합의는 당연히 깨지기 마련이니, 아예 못 건드리는 영역도 지정해야 한다. 결국 IoT 보안은 순정 영역에 대한 확실한 지정인 듯싶다. 절대 건드려선 안 되고 건드리고 싶어도 건드릴 수 없는 영역. 이 또한 IoT 보안의 ‘선보안 후연결(Secure First, then Connect)’ 원칙의 바탕이다.

 

지금도 복잡한 책임 문제가 훨씬 더 복잡해진다.

법적 책임의 문제, 정말 어렵지만 어떻게든 풀어야 할 숙제다. 예를 들어, 자율주행 자동차 사고 시 그 책임은 누구에게 따질까. 자동차 제조사? 프로그래머? 운전자? 아니면, 자동차? 책임 문제가 지금보다 훨씬 더 복잡해져, 자동차의 기술적 문제인지 운전자의 과실 문제인지를 따지는 법정 다툼의 양상도 크게 달라진다. 모든 법적 문제는 결국 사람 중심으로 해결하는 전통이 있다. 그래서 조직 대 조직의 문제도 조직을 ‘법인’이라는 이름으로 인격화해서 사람 대 사람 문제로서 해결한다. 그러니 이 문제는 결국 기계의 인간성 문제로 풀어야 할 지도 모르겠다. 그럼, 법인 말고, 기인?

IoT 보안 이거, 엄청나게 복잡한 문제다. 뭐 그런 미래가 오고 있다고들 하니 그냥 그런가 보다 여기고 말 일이 아니다. 일상생활의 바탕 사고방식 자체를 바꿔야 할 판이라 사회 각계각층의 관심이 절실한데도 왜 이리들 한가한지, 정말 모르겠다. 이거, 엄청나게 심각한 문제인데,,

2017-07-21-1500597132-9864308-53_00-thumb

클라우드 시대의 보안, 간단히

2017-07-21-1500597132-9864308-53_00.jpg

 

IT 보안, 어렵다. 쉽다더라도 제대로 해내기 힘든 일일텐데 어려우니까 더 힘들다. 고작 서버 하나 운영하려 해도 해야 하는 일들이 너무나 많다. 게다가 요즘은 클라우드가 대세다. 기업의 컴퓨팅 환경을 기업이 직접 관리하지 않으니 기존 온갖 보안 문제들로부터 자유로워진 셈일까. 그렇지 않다. 클라우드 서비스 제공자는 하드웨어 수준에서의 보안은 제공해 주지만 어플리케이션 그리고 데이터 보안은 여전히 서비스 이용자의 몫이다. 이에, 오늘날 IT 보안의 핵심, 정말 필수적인 핵심만 간단히 짚어 보자. 물론 이게 IT 보안의 전부는 아니다. 하지만 이 정도만 따르더라도 대부분의 IT 보안 사고는 가볍게 막을 수 있다.

 

막을 수 있었던 사고들 : WAF

보안 사고의 종류는 다양하다. 뉴스를 봐도 매일 이런 사고 저런 다양한 사고들이 끊임없이 터지니까, 저 수없이 많은 공격들을 어떻게 일일이 다 막아 낸단 말인가, 애초에 포기해야 하나 싶은 생각마저 들 정도다. 하지만 최근 일어나는 모든 보안 사고의 90% 이상은 웹 어플리케이션을 통해서 일어난 사고다. 사고 종류는 다양하지만 그 시작점은 웹 어플리케이션, 특히 웹 컨텐츠 레벨에서의 취약점에서부터 시작되어 이후 여러 다양한 종류의 사고로 이어진 것들이다. 즉, 진작에 웹 어플리케이션 방화벽만 가동했더라도 충분히 막을 수 있었던 사고들이다.

 

그럼에도 막지 못한다면? : 암호화

그럼에도 사고는 꼭 발생하고야 만다. 이는 아주 중요한 시각이자 인식이다. 흔히 IT 보안은 사고가 아예 일어나지 않을 것을 전제하고 하는 일이라고 생각한다. 그렇지 않다. IT 보안은 사고가 일어날 것을 전제하고 하는 일이다. 무조건 완전한 방어만을 전제한다면 만약의 사고 발생 이후 원상으로의 회복력이 현저히 떨어지기 때문에 기업에 있어 가장 중요한 일인 비즈니스 연속성을 유지할 수 없다. 따라서 사고 발생을 전제한 채 “문제는 회복력”, 이것이 요즘 IT 보안의 패러다임이다. 세상 모든 방어망은 뚫릴 가능성을 가지고 있고 모든 데이터는 유출될 가능성을 가지고 있다. 그것이 데이터란 것의 애초 성질이다. 따라서 데이터 유출을 막기 위해 최선을 다하되, 동시에 데이터가 유출되는 경우까지 대비해야 한다. 그런 일이 벌어졌을 때에도 최악의 상황, 즉 데이터 내용의 노출을 막을 방법은 데이터 암호화뿐이다. 범죄자들이 데이터를 훔치는 일까지는 혹시 성공하더라도 데이터의 내용을 볼 수는 없게끔, 즉 훔친 데이터를 써먹을 수는 없게끔 만들어야만 피해를 최소화할 수 있다.

 

클라우드는 클라우드로 : 클라우드 보안

클라우드 컴퓨팅에 대한 의심은 아직 완전히 사라지지 않은 것 같다. 클라우드는 아직 완성도가 낮은 기술이고 기존 시스템 사용에 비해 쓸데없이 복잡하기만 할 뿐 왠지 안전하지 않을 것 같다는 부정적 편견이 여전하다. 하지만 이는 아직 클라우드를 써 보지 않은 사람들의 오해일 뿐, 실제로 클라우드를 도입해 사용해 본 기업은 태도가 완전히 반대로 바뀌어 완전 찬양 일색으로 돌아선다. 특히 클라우드를 통해 신규 어플리케이션 및 서비스 적용에 소요되는 시간이 전과 비교할 수 없을 정도로 단축되고 유지 및 보수 비용 또한 크게 절감했다며 만족한다. 그리고 아직 클라우드로 전환하지 않은 기업들은 이미 클라우드로 전환한 기업의 비즈니스 속도를 따라잡지 못할 것이라고 한 목소리로 답한다. 즉, 클라우드는 확실한 대세다.

그래서 요즘은 서버 등 전산 시스템을 직접 관리하지 않는 기업이 많다. 그리고 세계적으로 아주 유명하고 거대한 클라우드 회사가 대신 맡아서 처리해 주고 있으니까 보안 문제도 아예 없을 거라고 믿는다. 하지만 이는 아주 심각한 오해다. 클라우드 서비스 제공자는 하드웨어 및 네트워크 수준의 보안만을 제공한다. 어플리케이션 그리고 데이터 보안에 대한 책임은 순전히 서비스 사용자의 몫이다. 이는 컴컴한 비밀도 아니고 서비스 제품 설명서에 명백히 쓰여져 있는 사실이다. 그럼, 무엇을 어떻게 해야 할까. 이를테면 웹 어플리케이션 보호를 위해 예전처럼 WAF 하드웨어를 직접 설치해 운용할 수 없을 때, 어떻게 해야 할까. 클라우드는 클라우드로 막는다. 클라우드 환경에 부합하는 클라우드 보안 시스템을 도입해 운영할 수 있고, 복잡한 설치 과정 없이 단지 클릭 몇 번으로 기존 하드웨어 WAF와 동일한 클라우드 보안 서비스를 제공 받을 수도 있다.

 

스타트업의 보안 : 클라우드 보안 서비스

아주 중요한 주제가 또 있다. 스타트업이다. 스타트업은 파괴적 혁신과 아이디어를 통해 단기간 초고속 성장을 지향하는 신생 기업이며 대개 자유로운 기업 문화를 자랑한다. 이는 다시 말해 보안이나 안전을 크게 신경 쓰지 않을 위험이 크다는 뜻이기도 하니, 스타트업의 보안 사고는 정말이지 끊임없이 일어난다. 사업 확장과 마케팅에만 집중하다 보니 보안을 중요하게 여기지 않는 것이다. 그러다가 다른 스타트업이 보안 사고 때문에 와르르 무너지는 걸 보고 그제서야 보안의 필요를 깨닫곤 한다. 그러나, 깨닫기만 한다.

하지만 규모가 작은 스타트업이 대기업 수준의 보안 시스템을 갖출 방법이 없다는 호소도 무시할 수는 없다. 대기업 수준의 보안 시스템은 돈이 아주 많이 드는 일인데, 사업을 시작할 때부터 돈이 많은 스타트업은 거의 없으니까. 그러나, 방법은 있다. 클라우드 시대라, IT 보안 또한 클라우드 서비스로 제공된다. 클라우드 서비스란 네트워크를 통해 컴퓨팅 환경과 기능을 제공하는 서비스다. 기술적으로 말하자면 ‘탄력적 온-디맨드 가상 머신’이며, 따라서 사용량에 따라 자원량이 늘기도 줄기도 하는 신축성을 지니므로 서비스를 사용한 양만큼만 비용을 지불하면 된다. 요즘은 기업정보보안의 가장 중요한 3대 요소 웹 보안, 데이터 암호화, 인증 보안 모두 다 클라우드 서비스 형태로 제공되므로 스타트업이더라도 얼마든지 대기업 수준의 보안 역량을 갖출 수 있다.

 

클라우드 시대의 보안

요약하면,

– 사고는 대부분 웹 어플리케이션에서 일어난다. WAF를 이용해 방지하자.
– 그럼에도 사고가 일어난다면 데이터 암호화를 통해 최악의 상황을 피하자.
– IT 보안 시스템을 직접 운영할 수 없는 상황이라면 클라우드 보안을 적용하자.
– 비용 때문에 보안을 제대로 할 수 없는 스타트업은 클라우드 보안 서비스를 쓰자.

클라우드 시대의 보안, 이렇게 하면 된다.

2017-07-07-1499410057-7433309-52_00-thumb

웹 공격은 생물이다

2017-07-07-1499410057-7433309-52_00-thumb

 

먼저, ‘웹 공격’이란 말은 어려울 것도 없는 말인데 괜히 어렵게 느껴진다. (보다 정확하게는 ‘웹 어플리케이션 공격’이지만 그럼 더 어려워 보인다.) ‘웹’은 ‘월드 와이드 웹(World Wide Web, WWW, W3)’의 줄임말로 우리가 흔히 쓰는 ‘인터넷’보다 더 적절한 말인데도 흔히 쓰이지 않고, ‘공격’이란 말도 왠지 기술자들끼리 나누는 말 같다.

그래서 소통 위해 ‘웹 공격’ 말고 다른 말을 찾아보려 해도 달리 적당히 쓸 만한 말이 없다. 인터넷 해킹? 왠지 좀 편하게 들리긴 하지만, 웹 공격을 그저 듣기 편하라고 흔한 말인 ‘해킹’이라고 부르는 건 뜻이 좀 다르니 무책임한 일이다. 총에 맞고도 뭐에 당했냐는 경찰의 질문에 “칼!” 그러는 셈. 아무튼,

웹 공격은 정보보안 위험의 일부다. 그러나 그저 ‘일부’라고 하기엔 사고 발생 수가 너무나 많다. 거의 전부다. 오늘날 정보 환경의 거의 전부가 웹으로 이루어져 있기 때문인데, 그래서 언제 어디서든 정보보안 사고가 났다 하면 열에 아홉은 웹 공격으로 인한 사고다. 그러니 사고 없이 보다 안전한 세상을 이루려면 웹 공격의 정체를 어느 정도는 이해해야만 한다.

웹 공격 정체를 파악하려면 우선 관련 데이터가 무조건 많아야 한다. 이에 아시아-태평양 시장 1위 웹 어플리케이션 방화벽으로 수집한 방대한 정보를 바탕으로 제작된 ‘웹 공격 동향 보고서 (WATT: Web Application Threat Trend Report)’를 참조해, 최근 웹 공격의 현황과 특이점을 분석해 보자.

 

단순하지만 위험한 무기

뉴스를 보면 온갖 현란한 초첨단 무기들이 치열하게 성능을 경쟁하는 것 같지만 가장 많은 사상자를 내는 무기는 여전히 총이나 칼 등 아주 단순한 무기다. 단지 범행 동기 등 행태가 복잡해질 뿐. 웹 공격도 그러해, ‘SQL 인젝션’이나 ‘XSS(Cross Site Scripting)’ 등 아주 단순한 공격이 여전히 주된 공격 수법이다. 전에 썼던 SQL 인젝션 사고 글을 보면 그 허무할 정도로 단순한 그러나 강력한 공격 방법을 그려 볼 수 있다. 놀랍게도 이런 단순한 공격이 아직까지도 잘 통한다. 왜? 대비를 안 하니까,

 

보안 전쟁

공격이 출발한 국가, 즉 공격자의 국적에 따라 즐겨 쓰는 수법이 다르다는 점도 눈여겨볼 만하다. 이는 공격자들이 각자 노리는 바 목적이 다르기 때문인데, 목적에 따른 공격 방법의 선택에 대해선 아래 다시 살펴보겠다. 그리고, 공격자 국가의 변화는 늘 예의주시해야 한다. 기존 공격자의 다수를 차지하던 미국, 중국, 한국, 러시아 등 기존 위험 국가들 외, 말레이시아 등 아시아 국가들의 공격 수 증가가 두드러진다. 전체적으로는, 공격 출발 지점이 단 몇 개 국가라는 점에 집중해 각 국가 공격자들의 공격 목적 등 특성에 따른 효율적 대비책 마련이 필요하다. 저절로 생겨나는 공격은 없다. 모두 다 사람이 악의를 품고 저지르는 짓이다. 그리고 공격자들은 점점 집단화되어 국제적 범죄 조직으로서 행동하므로 특정 국가 공격의 증가 등 사소해 보이는 특이점도 무시해선 안 된다.

 

나태할 때 위험하다

웹 공격은 마치 생물처럼 상대의 경계가 느슨해질 때를 노려 치고 들어온다. 늘 집적집적거리는 게 아니라 호시탐탐 기회를 엿보다가 관리자가 퇴근한 때쯤인 18시 전후로 평소의 2배가 넘는 공격을 집중하는 등 상대의 방어가 소홀한 틈을 노린다. 물론 이는 공격자 국가 기준 시간이 아니라 피공격자 기준 시간이다. 그리고 관리자가 퇴근한 뒤 19시 이후에도 평균 이상의 꾸준한 공격이 발생하니 조심해야 한다. 퇴근하지 말고 지키라는 말이 아니라,, 부재 시 허점 노출을 막아 두는 등 평소 방비를 철저히 해 둬야 한다는 뜻이다.

 

붕어 잡는 붕어떡밥, 맞춤형 공격

흔히 웹 공격을 획일화하여 일반적인 것으로 보려 드는데, 웹 공격은 노리는 대상의 산업 분야별 특수성에 따라 공격 방법을 바꾸는 등 획일적이지도 일반적이지도 않다. 이를테면, 운수업, 건설업, 여가 및 요식업 등 많은 고객 정보를 다루는 산업 분야를 노릴 때는 대량의 정보 탈취에 용이한 ‘SQL Injection’ 공격 등을 주로 이용한다. 반면 연구소나 개발업 등 고객 정보가 적어서 상대적으로 웹사이트를 허술히 관리하는 분야를 노릴 때는 ‘Cross Site Scripting(XSS)’ 공격 등 수법을 쓴다. 이는 방어가 허술한 웹사이트를 경유해 해당 웹사이트에 연결되는 클라이언트 PC 등 개인 단말기를 노리는 공격으로 볼 수 있다. 특히 금융업이나 교육업 분야에서 ‘파일 업로드’ 공격이 높게 나타나는 점에 유의할 필요가 있다. 악성 파일을 통해 서버 시스템의 권한을 얻고 이를 통해 널리 확산하려는 수법인데, 이런 경우 이후 매우 치명적 피해가 발생하기 때문에 각별한 주의를 요한다.

 

웹 공격은 생물이다

그렇다. 생물이다. 생명을 가지고 영양, 운동, 생장, 증식을 하며 스스로 생활 현상을 유지한다. 주변 환경에 적응하며 보다 유리하게끔 스스로 변화한다. 웹 공격은 그 바탕인 웹과 뗄레야 뗄 수 없는 유기적 관계로 맺어져 있으니, 웹이 하루가 멀다 하고 늘 변함에 따라 웹 공격도 시시때때로 변한다. 이를 그저 ‘해킹’이라는 흔한 말로 일반화 획일화해서는 안 되는 까닭이다.

대부분의 정보보안 공격은 웹 어플리케이션 공격이니, 정보보안의 최선도 웹 어플리케이션 보호다. 끊임없이 치고 들어오는 웹 공격 속에서 어떤 패턴을 읽어내고 그 패턴을 분석해 웹 보안 도구가 작동하는 논리에 반영해야만 웹 공격이라는 생물의 변화에 대응할 수 있다. 그런 점에서 웹 공격 동향은 정보보안 위험의 일부가 아니라 거의 전부임을 절감해야 우리는 보다 안전한 웹 세상을 영위할 수 있을 것이다.

2017-06-23-1498181516-7998094-51_00-thumb

랜섬웨어, 몇 가지 드는 생각

 

2017-06-23-1498181516-7998094-51_00-thumb

 

무기는 어쨌든 가치중립적이다. 어떤 가치관이나 태도에 치우치지 않는다고 일단 우긴다. 반면, 애초에 남을 해하는 물건이니 싹 다 없어져야 한다는 말 또한 어쨌든 옳다. 아름답고. 하지만 무차별 난사해 무고한 시민을 마구 학살하는 테러리스트가 든 총과 그를 체포하기 위해 투입된 경찰이 든 총의 뜻이 결코 같을 순 없다. 결국엔 칼자루를 누가 쥐느냐의 문제. 복잡하게 말할 것도 없이 강도 사건에서 가장 흔한 흉기는 부엌칼이다.

랜섬웨어가 악용하는 암호화가 그렇다 싶다. 암호화는 정보의 안전을 관리하는 가장 강력한 도구이자 사실상 유일한 방법이다. 그 유용한 도구를 악용하면, 랜섬웨어가 된다. 나의 정보를 사용할 수 없게끔 암호화해버리고 인질로 삼아 돈을 요구한다. 게다가 돈을 줘도 풀어주지 않는 경우가 대부분이다. 아주 악랄한 짓인데, 반면교사로 삼자고 할 것까지야 없겠다만 달리 뜻하는 바가 아주 없진 않다. 이에 요즘 한창 요란한 랜섬웨어 사건들을 보며 든 생각들을 기해 둔다.

 

늘 정보보안 떠들던 자로서 “허무하다”

정말 허무하다. 맨날 “보안! 보안!” 떠드는데 아무도 거들떠보지도 않더니, 랜섬웨어라는 나온 지 10년도 넘은 수법에 당한 피해자들이 속출하자 다들 “보안! 보안!” 그런다. 어떤 유형의 정보보안 사고든 그저 ‘해킹’이라 부르며 이제 그 효력을 거의 상실한 안티바이러스 백신 이야기만 하는 언론 기사에도 ‘암호화’에 이어 ‘AES’ ‘RSA’ 등 용어들이 나타난다. 심지어 ‘키 관리’까지.. 피해자들에겐 그저 미안한 말이지만, ‘죽어 봐야 저승을 안다’는 옛말이 떠오르는 시절이다. 보안 업데이트 공지 뜨면 귀찮다며 우회하던 무사안일 안전불감증을 탓하는 경각심 자체는 사실 좀 반갑기마저 하다.

어디 나뿐이랴. 정보보안을 홍보하는 게 일인 사람들 모두 좀 들떴다. 다들 그렇게나 열심히 보안을 외쳤는데 이제야 세상 사람들이 들어 준다. 일단 너무너무 고맙긴 한데,, 그런 사회적 관심이 정확하게 핵심을 바라보고 있는지는 또 의문이다. 문제의 본질이 아닌 엉뚱한 쪽을 바라보며 답을 찾는다면, 이 뜨거운 관심은 이번에도 또 별 소득 없이 무위로 그치고 말 것이다.

 

악당들이 “똑똑해졌다”

정말 똑똑해졌다. 과거 공격자들은, 사실 좀 이상했다,, 악성코드들은 악하긴 한데, “아니 그래서 당신들이 노리는 바가 뭔데?” 좀 애매했다. 그냥 프로그램을 파괴하거나 변조해 사람을 괴롭히기만 할 뿐 도대체 뭐 때문에 이런 짓을 하는지 도대체 알 수 없었는데, 이제 달라졌다. 확실한 목적이 있다. 바로, ‘정보=돈’이라는 사실을 깨달은 것. 당하는 입장에서도 마찬가지다. 이 또한 좀 허무하다. 그렇게나 “정보의 금전적 가치를 인식해야 보안의 진짜 필요를 알게 된다!” 열심히 떠들었는데, 그 가치가 뻔히 눈앞에서 샥샥 사라지는 걸 목격하고 나서야 이리도 아프게 깨닫다니, 아니 이거, 너무 허탈하지 않나,,

개인정보 탈취가 큰 사회적 문제인 시절이 있었다. 요즘 그쪽은 어째 좀 한산하다. 문제가 해결되지도 않았지만 하도 흔히 벌어지다 보니 그냥 무시하게 된 듯싶기도 하고, 그렇게 탈취한 개인정보를 거래하는 시장 자체가 시시해졌기 때문이기도 하다. 시장 매물이 너무 많아 가격 형성이 안 되는 것. 그래서 랜섬웨어가 뜬 것으로 봐도 될 듯싶다. 특정 정보를 훔쳐서 팔아 돈을 버는 짓에 비해 불특정 다수를 마구 노려 정보를 못 쓰게 만들고 돈을 요구하는 짓이 훨씬 더 손쉬운 일이기도 하고 돈도 더 번다.

이 또한 늘 말하던 바 ‘보안의 경제학적 논리’다. 정보범죄자들은 매우 경제학적으로 행동한다. 그저 남을 괴롭히려는 지나친 장난쯤으로 보이던 범죄도 많아 좀 헷갈렸지만, 요즘은 확실히 노릴 것을 노린다. 바로, 정보의 금전적 가치. 다시 말해 정보보안이란, 공격 비용이 정보 가치보다 더 커지도록 만드는 일이다. 정보를 탈취하는데 드는 비용이 정보의 가치보다 크다면 그 정보는 노릴 만한 정보가 아니다. 그런데 공격 비용은 점점 싸지고 정보 가치는 점점 높아지니 사고가 자꾸 일어난다.

 

대책이 “없다”

그런데, ‘랜섬웨어 대책’이라고 내놓은 것들에 문제가 있다. 우선, “전원선을 뽑거나 배터리를 제거하고”, 그러면 안 된다. 아니, 선택의 문제다. 현존 랜섬웨어 복구 툴은 모두 다 메모리에 남아 있는 암호화 키를 찾아서 복호화를 시도한다. 그런데 컴퓨터를 껐다가 다시 켜면? 메모리에 든 내용은 모두 다 지워져 복구 툴을 아예 사용할 수 없다. 선택의 문제란, 당장은 포기하고 복구를 시도해 볼 것인지 암호화 하느라 미친 듯 돌아가는 컴퓨터를 일단 끄고 볼 것인지 결정을 해야 한다는 뜻이다. 하지만 현실적으로 일반 개인 사용자 입장에서 보자면 둘 다 별 의미가 없다. 그 공포의 현장을 그저 바라보고 있을 용감한 사람도 거의 없을 것이고, 깜짝 놀라 컴퓨터를 껐다가 켜도 컴퓨터는 이미 정상 상태가 아니니 랜섬웨어는 다시 돌아간다.

랜섬웨어가 윈도우 운영체제의 파일 공유 SMB(Server Message Block) 취약점을 악용하므로 해당 프로토콜이 사용하는 TCP 그리고 UDP 135번~139번, 445번 포트를 윈도우 방화벽에서 막자는 임시조치 또한 말이 좀 이상하다. SMB 차단을 통한 예방법은 랜섬웨어가 아니라 랜섬웨어의 일종인 ‘워너크라이(Wannacry)’에만 해당하는 대처법일 뿐이다. 랜섬웨어들은 대개 암호화 기능은 비슷하게 갖되 그 전파 방법에서 서로 다른 변종들이다. 따라서 SMB 차단은 ‘워너크라이’ 등 마치 웜 바이러스처럼 스스로 복제해 네트워크를 통해 전파되는 방식의 랜섬웨어에만 통하고, 비슷한 방식이라 하더라도 해당 취약점을 악용하는 방식이 아니면 통하지 않는다.

워너크라이 같은 것들의 감염성은 그 자체로 큰 문제이긴 하다. 하지만 이는 감염성 자체, 즉 다운로드로 받은 파일을 실행하는 등 자기가 직접 어떤 행동을 해야 감염되는 소위 ‘드라이브 바이 다운로드(Drive by Download)’ 등 흔한 방식이 아니라 ‘드라이브 바이 멀웨어 인펙션(Drive by Malware Infection)’ 등 간접적 감염 방식에 따른 위험성 문제로 볼 일이다. 그러니 다소 치사하게 말하자면 “인터넷에 연결하기만 해도 걸려!” 식의 사회적 공포는 차라리 반갑기마저 하다,, 정보보안 사고는 무섭다. 정말 무서운데 아무도 공포를 느끼지 않는다면, 그게 가장 위험한 일 아닌가. 고통은 아프니까 싫지만, 사람이 고통을 느끼지 못한다면 정말 목숨이 위험해지듯.

대책은 그저 예방뿐. 그런데 그게 참, 애매하다,, 평소 의심스러운 사이트 접속을 피하고, 조금이라도 수상해 보이는 파일은 함부로 열지 말고, 데이터 백업 자주 하고, OS 업데이트 자주 하고, WAF 등 컨텐츠 수준에서의 웹 보안 조치 철저히 해 두고, 클라우드 서버에 저장해 뒀다고 그냥 막 안심해버리진 말고 등, 병에 걸리지 않으려면 평소 건강한 생활 습관을 가져야 한다 정도의 이야기뿐이다. 그러나 어쩌랴, 현실이 그러하다.

 

이쯤 되면 “지구적 문제”

세상의 모든 음모론자들에게 묻고픈 바가 있다. 그들은 늘 “아무리 암호화 열심히 해도 NSA CIA FBI 국정원 그런 무서운 조직들은 다 풀 수 있다!” 라고 말하는데, 정말 그렇다면, 랜섬웨어 암호화는 왜 못 푸는 걸까? 아주 특별한 암호화라서? 아니, 애초에 특별한 암호화 같은 건 없다. 암호화란 충분히, 정말 충분히! 검증된 뒤에야 쓸 수 있기 때문에 모두 다 옛날 기술들이다. 따로 특별히 그리고 은밀히 찾을 것도 없이 어떤 프로그래밍 언어든 그 정도 암호화 함수는 이미 다 갖추고 있다. 랜섬웨어 암호화도 그냥 흔한 암호화다. 그런데도 못 푸는 건 암호화란 게 원래 풀 수 없는 것들이기 때문이다. NSA든 CIA든 FBI든 국정원이든.

그럼에도 그런 정보 관련 기관들이 나서 해 줄 일이 있긴 하다. 바로 랜섬웨어의 유통망에 해당하는 비트코인 추적. 비트코인이 완전한 익명성을 갖췄기 때문에 범죄에 악용된다는 말은 흔한 오해다. 비트코인의 거래는 애초에 투명하기 때문에 범죄에 악용된 비트코인의 블록체인에 기록된 거래 내역을 확인해 추적할 수 있다. 비트코인의 이러한 ‘반익명성(Pseudo Anonymity)’ 성질을 이용해 거래를 시각화해 관찰하는 ‘체이널리시스(Chainalysis)’ 등 기술이 각국 경찰에 도입되어 있고, 우리나라 경찰도 시범 운영하고 있다. 그리고 비트코인을 일반 화폐로 현금화 할 때 계좌 추적 등을 통해 수사할 수 있다. 다만 돈의 흐름이 워낙에 국제적으로 움직이니 추적이 어려운 건데, 이를 각 국가가 아닌 지구 전체의 문제로 인식하고 어서 해결해야 한다 싶을 정도로 아주 심각해진 것. 올해 전 세계 랜섬웨어 피해 액수는 50억 달러를 훌쩍 넘어갈 것으로 추정되고 있다. 문제를 이대로 방치한다면 피해는 점점 더 커질 것이다.