‘다크 호텔’의 위험

다크 호텔
보안칼럼 main 201411

5성급 호텔에 투숙한 엘리트를 작정하고 노린 정보보안 집단범죄의 정체가 드러나다.소위 ‘다크 호텔 APT’ 사건.’APT’는 Advanced Persistent Threat의 약어로서 흔히 ‘지능형 지속 위협’으로 번역된다. 어감이 어째 좀 ‘무섭긴 한데 그게 뭔지 정체는 모르겠음’의 뜻을 품고 있는 듯하고, 실제로도 대략 그러하다.APT란, 금전적이든 정치적(이라고 해도 대개 실상은 금전적)이든 특정한 목적을 달성하기 위해 공격대상을 정해 두고 장기간에 걸쳐 지속적 공격을 가해 허점을 발견하고 목표했던 바 정보를 탈취하거나 파괴하는 등의 공격을 말한다. 노리는 바가 비싼 정보다 보니 흔한 해킹 수법으로 그치지 않고 ‘사회공학’ 등 여타 수법을 총동원하는, 일종의 정보범죄 총동원령이라 할 수 있다.사회공학이란, 전통적 도청이나 IT기술 등 기술적 수법이 아니라 사람과 사람 사이의 신뢰를 기반으로 어떤 사람을 속여 정보에 접근하는 수법을 말한다. 사람과 사람 사이 선의에 의한 상호작용을 악용한다는 점에서 죄질이 매우 나쁘다. 하지만 수법의 효율성만 따지자면 매우 효과적인 접근방법이라 보안수준이 높은 곳일수록 사회공학 없이는 접근이 불가능할 정도.

‘다크 호텔’ 건에서 사회공학의 도구는, 호텔 자체의 높은 신용도다. 살펴보자.

정보의 값

이들은 미리 고급 호텔에 잠입해 밑작업을 해 두고 먹이를 기다린다. 일본>대만>중국>러시아>한국 순으로 많은, 주로 아시아 지역의 고급 호텔에 투숙하는 방산 금융 자동차 제약 등 정보가치가 높은 회사의 C레벨급 임원진과 최고위급 연구원이 먹잇감이다. 주요국가 고위당국자와 세계적으로 영향력이 큰 비정부기구 NGO 간부도 적절한 표적.

비싼 정보만 골라서 노렸다는 점이 가장 중요하다. 2011년 2월 16일 서울 소공동 롯데호텔에서 일어났던 인도네시아 특사단 숙소 침입사건만 보더라도, 호텔에 투숙하는 외국 엘리트가 가진 정보의 가치는 ‘노릴 만하니까’ 노리는 자들이 많다.

브랜드 신뢰성 악용

‘비싼 사람들’이 비싼 호텔에 머물며 호텔 공용 와이파이(Wi-Fi) 네트워크에 접속하면, 접속을 위해 입력한 객실 번호를 통해 신원을 파악한다. 호텔이 통째 이미 털렸으니 신원 확인이 어려운 일도 아니다. 싼 사람은 건드리지 않는다. 이건 순전히 비즈니스니까. 괜히 아무나 건드려 봐야 얻을 게 없고 또 발각 위험만 커지기 때문이다.

그리고 인터넷 사용을 위해 필요하다며 구글, 마이크로소프트, 어도비 등 유명한 회사의 이름을 도용한 가짜 팝업 창을 띄운다. 대개 의심 없이 ‘확인’을 누른다. 혹시 의심한다더라도 일본어 중국어 한국어를 모르니 그냥 누를 수밖에 없다. 외국의 분위기에 따른 소위 ‘객기’도 방심의 이유다. 클릭 즉시, 백도어가 설치된다.

대규모 조직적 범죄

정체가 드러난 백도어는 기술 수준이 꽤 높다. 디지털 서명과 PKI (Public Key Infrastructure, 공개 키 기반구조) 인증까지 포함한 모든 입력정보를 수집하고 전송할 수 있는 키로거와 Tapaoux, Pioneer, Karba, Nemim 등 여러 정보탈취 도구로 구성된 종합선물세트. 일단 설치되면 피해자가 사용하는 시스템 상태를 파악하고 허점을 찾아내 각종 개인정보를 뽑아간다.

호텔 체크아웃 이후엔 안전한가? 그럼 이 정도 규모의 비용을 투자할 가치가 없다. 앞서 언급했듯 호텔은 호텔의 신뢰를 무기로 삼은 사회공학의 도구일 뿐, 발각될 때까지 계속해서 정보를 빼낼뿐더러 소속집단 전체를 대상으로 먹이 수를 늘인다.

게다가 임원이란 자들은 원래 말을 좀 안 듣는다. 보안점검 있으니까 기계 좀 보자고 해도 “내가 얼마나 중요한 사람이고 여기 얼마나 중요한 기밀이 들어 있는데!” 라며 거부한다. 그리고 임원이 단체 메일을 보내면 아랫것들은 안 열어 볼 수가 없다. 그러면? 회사 전체가 탈탈 털리는 거.

어떻게 이런 일이 가능한가? 가능하다. 이번에 드러난 건만 보더라도 최소 4년 이상을 치열하게 작업한 결과다. 지능형 “지속” 위협이란 게 원래 그런 대규모-장기간 공작이다.
그럼, 이 사건이 시사하는 바 핵심을 훑어보자.

정보보안의 가장 중요한 질문,
“보안을 꼭 해야만 하나? 한다면 비용을 얼마나 투자해야 하나?”
이 질문은 아래 질문으로 바꿔야 보다 본질에 가까워진다.

“얼마나 중요한 정보인가?”
정보 보안 정책 수립에 있어 최우선으로 고려할 것은 정보의 중요도, 즉 가치에 대한 판단이다. 자신에게 얼마나 중요한 정보인가, 그리고 또 해커에게 얼마나 매력적인 정보인가. 정보를 보호하는 데에도 비용이 들기 때문에 보안 노력과 비용 결정에 앞서 가장 먼저 판단해야 하는 점이다.

결론적으로 말해, 보안 대상인 정보의 가치가 보안 비용보다 크면? 보안을 해야 한다.
하지만 모든 상황에서 늘 최고 수준의 보안이 필요한 건 아니다. 개인이 재미로 수집한 정보의 가치와 기업 및 정부의 정보 가치는 완전히 다르다. 특히 개인 해커뿐만 아니라 각국 정보기관이 노골적으로 노리는 목표인 군사 관련 정보는 보안전쟁의 최전선. 모든 국가는 타국 정부의 컴퓨터를 공격하는 데 믿을 수 없을 정도로 많은 자원을 투자하므로, 정부 관할 시스템은 상상 가능한 모든 공격을 막아낼 수 있도록 철저하게 설계되고 운영되어야 한다.

해커 입장에서는 어느 쪽 정보를 탐내겠는가?

보안이란 결국 정보의 가치 문제인 것이다. 즉, 방어자 입장에서도 선택과 집중이 필요해지는 것.

보안칼럼 2 201411

경제학적으로 보안이란, 공격 비용이 정보 가치보다 더 커지도록 만드는 일이다.

정보를 탈취하는데 들인 비용이 정보의 가치보다 크다면? 그 정보는 노릴 만한 정보가 아니다. 사실 일반 사용자들은 보안에 대해 크게 고민할 필요가 없다. 일반 사용자가 가진 정보는 자신 외 다른 사람에게 특별한 가치가 없는 경우가 대부분이라 노리는 자도 없다. 물론 여기에도 웹 시대의 함정이 있다. 네트워크 컴퓨터 사용자의 정보는 여타 시스템을 공격하기 위한 발판으로 악용되므로 위험.

개방성과 접근성은 웹 시대의 밑바탕이자 가장 위대한 기능이다. 하지만 동시에 정보 보안을 해치는 위협 요소이기도 합니다. 세상에는 너무나 많은 컴퓨터 사용자가 있으며, 일부 사용자는 악의를 가지고 있다. 웹이란 애초에 수많은 익명의 사용자가 서비스를 요청할 수 있게끔 만들어진 것. 요청의 대부분은 합법적이고 이미 예측되어 설계에 반영된 것이지만, 불특정 다수를 향해 열어 둔 시스템에 정당하지 않은 방법으로 접속하려는 사람은 당연히 존재한다.

정보보안 위험에 대한 무차별 공포 확산은 사회적 경계심 각성 효과만 따지더라도 긍정적이긴 하나 전략적으로 본다면 그리 좋기만 한 일은 아니다. 전선을 지나치게 확장함으로써 각 지점의 경비수준은 오히려 떨어뜨린다. 전략적 요충지 개념이 필요하다. 5성급 호텔은? 당연히 최전방.

해커는 노릴 만한 정보를 노린다. 이는 ‘다크 호텔’ 사건의 가장 큰 교훈이고, 앞서 이야기한 ‘비대칭성 전략의 등장, 루크트라 전투’의 교훈이 뜻하는 바와 일맥상통한 이야기다.