봄이 왔음을 알리는 카이스트의 딸기파티

문화산책/여행 2014.04.12 11:46

"봄이 오면 산에 들에 진달래 피네"

평년보다 따뜻해진 요즘, 완연한 봄이 되었다. 봄을 맞아 전국적으로 꽃이 만개하고, 나들이 가기 좋은 날이다. 이러한 날에 카이스트에서는 조금 특별하게 봄을 맞이한다. 거창한 행사는 아니지만, '딸기파티'라는 카이스트만의 독특한 행사가 있다.



딸기파티는 지난 1995년 대전 인근 지역인 논산에 있는 딸기 농가를 돕기 위해 시작되었다. 당시 딸기 값이 폭락하여 어려움을 겪는 딸기 농가를 위해 카이스트 학생들이 판매행사를 마련하였고, 19년이 지난 지금까지 이어져오고 있다. 딸기파티에서는 친구들끼리 모이거나, 학과나 동아리, 연구실의 구성원들이 학교 곳곳에 있는 잔디에 삼삼오오 둘러앉아 같이 딸기를 먹으며 즐거운 시간을 보낸다. 특히 평소 만나지 못했던 사람들이라도 딸기파티를 통해 오랜만에 함께 모일 수 있는 자리가 된다. 그래서인지 학교를 떠난 사람들도 다른 학교에서 혹은 외국에서 친구들과 함께 딸기를 먹으며 모이는 자리에서도 같이 '딸파(딸기파티)'를 한다고 얘기하곤 한다.



딸기파티라고 해서 다 함께 딸기만 먹진 않는다. 주로 딸기와 김밥을 먹는데, 생크림, 초코시럽, 막걸리 등 다양한 음식들이 딸기를 중심으로 펼쳐진다. 그래도 일반적으로 딸기가 많이 남게 되는데 밥 대신 딸기로 배를 채우기도 한다. 이 밖에도 다함께 먹은 딸기를 소화시키기 위해 다함께 게임을 즐기며 친목을 도모하기도 하고, 벚꽃을 비롯하여 봄이 왔음을 알리는 모습이 캠퍼스 곳곳에 있어서 함께 꽃놀이를 하기도 한다.



올해의 딸기파티에는 무인비행기를 이용하여 딸기를 즐기는 조금 특별한 방법이 소개되었다. KAIST 항공우주공학과의 심현철 교수님의 연구실에서 구현한 것으로 무인자동차와 무인비행기를 이용한 딸기 배달을 시연하였다. 사용자가 스마트폰 앱을 이용하여 딸기 배달 주문을 하면 무인자동차가 사용자가 위치한 곳과 가장 가까운 도로변까지 이동하게 된다. 무인자동차를 통한 이동이 끝나면 그때부터 무인비행기가 이륙하여 사용자의 위치까지 배달을 하게 된다.


딸기 배달에 사용된 무인비행기(옥토(Octo)USRG)와 무인자동차(EureCar Turbo)


이것은 얼마 전 아마존에서 선보인 'Prime Air', 드론을 이용한 30분 배송 시스템과 비슷하다. 그러나 이번 시연에서는 무인자동차를 함께 이용하였고, DGPS 시스템을 주변 옥상에 구축하여 많은 사람들이 모여있는 곳에서 위치 정확도를 높였다. 특히 딸기파티와 함께 시연되어 독특한 즐거움을 선사하였다. 어떤 교수님께서는 "현재 카이스트에서는 야식 배달 차량의 교내 통행이 금지되어 있는데, 이러한 야식배달을 드론으로 하면 어떻겠냐"는 생각을 갖고 있다고 하셨다. 현실적으로 법의 규제나 기술적인 문제 등 해결해야 할 점이 많아서 당장은 힘들겠지만 언젠가 먼 미래에는 사용자들을 더 편리하게 할 시스템이 만들어질 것으로 기대한다.



카이스트에서는 오랜 기간 동안 내려오는 딸기파티와 더불어 올해 처음으로 벚꽃축제를 열었다. 이전에도 학교에 있는 벚꽃들은 장관을 이루었지만, 벚꽃을 좀 더 잘 즐길 수 있게 해주기 위해서 여러가지 이벤트를 추가한 것이다. 먼저 산업디자인학과 석박사그룹 동아리 '디자인 특전사'에서는 '환상벚꽃'과 '오늘은 우리 같이 걸어요'라는 설치형 체험 작품과 공중 영사 작품을 비롯하여 벚꽃과 관련된 다양한 전시를 선보였다. 또한 밤에도 조명을 두어서 평소 바쁘게 생활하는 학생들이 기숙사에 들어가는 길에 벚꽃을 좀 더 잘 즐길 수 있게 하기도 했다.



봄이 온 지금, 친구들, 가족들, 그리고 주변 사람들과 함께 소풍을 떠나보는 건 어떨까!




대학생기자 방기수 / KAIST 항공우주공학전공


지속가능성에 대한 고민을 하고 있습니다.

"우리는 우리가 하는 행동에 의해 우리가 된다." 


gisu.bang@kaist.ac.kr



저작자 표시 비영리 변경 금지
신고

창의적이고 특별한 Physical Computing 전시에 가다

문화산책/컬처리뷰 2014.03.10 07:10

산업디자인이라는 말은 "공업 생산품의 장식적 고안이나 설계"(국립국어원 표준국어대사전)라는 뜻으로 어떤 제품을 만드는 데에 사용되는 디자인이다. 그리고 대부분의 산업디자인학과에서는 학과 이름에 맞게 산업디자인을 공부하고, 관련된 일을 하고 있다. 그래서 보통 많은 산업디자인학과에서는 1년에 한 번씩 졸업전시를 통해 학생들의 그러한 활동을 대중에게 선보이곤 한다.


mind dimension 포스터 / 전시장 입구 모습 / 사진: 방기수


그런데 이러한 생각을 넘어선 사람들이 있었다. 바로 KAIST 산업디자인학과에 있는 '디자인 특전사'들이다. '디자인 특전사'는 카이스트 산업디자인학과의 대학원생들이 주축으로 2011년 처음 창설되어 physical computing 작업을 하고 있는 단체로 센서 기술과 프로그래밍, 디자인을 결합한 프로젝트, 워크샵 등의 활동을 진행하고 있다. 그리고 매년 다양한 미디어아트 작품을 전시하고 있다. 공식적으로 말하면 위와 같은 활동을 하고 있지만, 비공식적으론 평소 대학원 생활을 하면서 하고 있는 연구와는 관련성이 다소 떨어지지만 재미있는 활동을 추구하는 단체라고 한다. 하지만 재미를 추구한다고 전시가 가볍지만은 않다. 전시에 활용되는 원리들은 각종 과학적 배경지식을 필요로 하는 등 논문에 나오는 어려울 것만 같은 내용을 전시를 통해 재미있는 방법으로 활용하고 있었다.


mind dimension 전시장 모습 / 사진: 디자인 특전사 제공


이번 2014년 봄 전시는 카이스트 산업디자인학과동 1층 전시실에서 'mind dimension'이라는 주제로 열렸다. 빛, 그림자, 반사를 활용하여 시각적 환상을 다룬 세 작품을 선보였는데 빛과 그림자, 반사를 이용한다는 특성 때문인지 전시장은 검은색으로 둘러싸여 있었다. '암적응을 해야하는건가' 라는 생각과 '과연 이 안에서 어떻게 작품이 표현되었을까?'하며 호기심을 자극하였다.


'회생탄, Reviving shot'(박형근, 허희정 작) / 사진: 방기수 및 디자인 특전사 제공


먼저 전시장에 들어서면 왼쪽에 '회생탄, Reviving shot'(박형근, 허희정 작)이라는 작품이 보인다. 바로 앞에는 두 개의 BB탄 총이 놓여져 있고, 저 멀리에는 사슴 모양과 토끼 모양을 하고 있는 과녁과 그 뒤에는 벽이 위치하고 있다. 벽 앞에 있는 과녁은 위에서 보았을 때 사슴 모양과 토끼 모양이 수직으로 되어 있고, 가운데를 중심으로 회전하도록 되어 있었다. 그래서 평소에는 빛을 통해 벽에 비치는 모습이 온전한 사슴, 토끼의 모습이 아니었다. 그런데 총으로 과녁을 맞추어 벽에 비치는 그림자가 온전한 모습이 되도록, 벽과 사슴, 토끼 모양의 방향이 일치하도록 만들게 되면 순간 벽에 나오는 화면이 변하게 된다. 한낱 검은 그림자의 모습을 하고 있던 동물이 알록달록한 빛으로 변하고, 자연 위로 돌아가 되살아나는 형상으로 바뀌게 된다.

이처럼 회생탄이라는 작품은 기존에 우리가 갖고 있는 개념을 뒤집어 생각하게 한다. 어느 누군가에게 총을 쏘는 것은 일반적으로 생명에 위협을 주거나, 빼앗아가는 행위인데, 과녁에 있는 동물에게 총을 쏘아 오히려 생명을 불어넣는다. 작가는 총이라는 매개가 가진 기존의 부정적이고 파괴적인 이미지와 다시 생명을 갖게 된 동물이 보여주는 다채롭고 화려한 삶의 이미지를 대비시켜서 생명의 의미를 다시 한 번 생각하게 한다고 했다.

사실 처음 전시를 보러 왔을 땐 조금 정신없고, 시간에 쫓겨서 보러와서 별다른 생각 없이 이 전시물을 체험했었다. 그래서 미처 제대로 깨닫지 못했지만, 총쏘는 행위와 잘 어울리지 않는다는 생각이 들긴 했었다. 그런데 여유를 두고 다시 찾아와서 생각을 해보니 총이 가지고 있는 어떤 잔인함과 작품에서 동물에게 생명을 불어넣어주는 것이 매우 비교되면서 생명에 대해 다시 생각해 볼 수 있었다.


'환상의 진자, Phantom of the pendulum'(박철우, 우종범 작) / 사진: 방기수 및 디자인 특전사 제공


두번째로는 '환상의 진자, Phantom of the pendulum'(박철우, 우종범 작)이라는 작품을 만날 수 있었다. 이 작품에서는 앞이 뚫려있는 어떤 긴 상자가 놓여져 있었고, 상자 안에 있는 여러 개의 불빛이 상자의 뚫려있는 부분을 비추고 있었다. 멀리서 봤을 땐 '대체 이게 뭐지?' 싶은 작품이었다. 하지만 그 의문은 곧 풀렸다. 가까이 가니 그저 앞을 비추고만 있다고 생각했던 불빛들이 허공 위에 떠 있는 공으로 변했다. (안타깝게도 사진으로는 제대로 표현되지 않는다) 그리고 앞뒤로 움직이면서 실제로 공이 허공에서 움직이는 것 같은 모습을 하였다. 게다가 사람이 좌우로 움직이니 사람의 움직임에 따라 허공에 있는 공 역시 따라 움직였다.

이 작품의 경우 허공에 한 움큼의 빛을 띄우고, 한 줄로 그 빛이 쭉 서 있으며, 각각 직선운동을 한다. 이때 앞과 뒤로 움직이는 빛은 전시에 참여하는 관람자의 위치에 따라 속도를 다르게 하여 허공 위에 공간을 재구성한다. 이처럼 작가는 눈 앞의 환상과 허영을 신비로운 이야기로 풀고자 하였다고 한다.

이 전시 역시 처음 두 번 관람하러 왔을 때만 해도 '어라 그냥 신기하네'라고만 생각했다. 허공에 있는 공을 잡으려고 해도 잡을 수 없고 그저 눈으로만 볼 수 있는 그런 것일 뿐이었다. 물론 빛으로만 나오던 것이 실제로 손에 잡히면 어떨까 라는 상상을 하긴 했다. 하지만 작가의 작품에 대한 설명을 보고 나니 작품에 대한 많은 상상력이 생겼다. 우리는 눈을 통해 많은 것을 보고 있지만, 그저 환상일 뿐인 것들이 많이 있는데 마치 그런 우리의 모습을 나타낸 것은 아닌가라는 생각 말이다. 게다가 그 구현이라는 것이 그저 센서가 사람의 움직임을 감지하고, 그에 따라 빛이 띄워지는 것을 움직이는, 어떻게 보면 단순한 것으로 생각했다. 그런데 생각해보니 허공에 빛을 띄운다는 것조차도 간단한 일이 아니었다. 알고보니 물리학과 콜로퀴움에서 관련 내용을 듣게 되었고, 관련 논문을 찾아서 구현하게 된 것이라고 했다.


'요지경, Peep Show'(김주환, 차세진 작) / 사진: 디자인 특전사 제공


그리고 마지막으로 '요지경, Peep Show'(김주환, 차세진 작)라는 작품이다. 여기서 요지경이란 "확대경을 장치하여 놓고 그 속의 여러 가지 재미있는 그림을 돌리면서 구경하는 장치나 장난감"을 의미한다. 이 작품은 그런 요지경을 꽤 큰 크기로 만들어놓은 모습이었다. 밖에서 보았을 때 어떤 큰 상자가 있었고, 그 안에 들어가서 머리를 내밀 수 있는 구멍에 머리를 내밀면 그동안 보지 못한 모습이 펼쳐졌다. 나무나 꽃 같은 모습으로 광섬유가 펼쳐져 있었고, 네 방향에 거울이 설치되어 있었다. 그래서 제자리에서 한 바퀴를 돌면서 보면 마치 반짝반짝 빛나는 나무가 사방에 있는 듯 했다. 그러던 중 거위 한 마리가 마치 산책을 나온 듯 잠깐 나타났다가 다시 사라지는 그런 모습을 볼 수 있었다.

이 작품의 경우 일반적인 요지경의 특성을 뛰어넘는다. 요지경은 일반적으로 관람객이 구멍을 통해 다른 세상을 들여다 보는 시각 경험을 제공한다. 그런데 이 작품에서는 들여다 보는 것 대신 관람객이 직접 구멍 속으로 들어가서 다른 세상에 온 것 같은 공간 경험을 유발한다. 내부는 비좁지만 무한하고, 가까우면서도 멀게 느껴진다. 벚꽃 가로수 사이를 거니는 거위에서 시각적 영감을 받았다고 하는 작가는 각자의 꿈 같은 봄날을 낯선 세계에서 마주하게 된다고 이야기 한다.

처음 이 전시를 마주하게 되었을 때 요지경이라는 단어에 대해 어떤 의미인지 헷갈렸다. 요지경이라는 단어는 보통 "세상이 요지경이다"라는 뜻으로 많이 사용되곤 하는데, 여기서의 요지경은 대체 무엇일까 하고 말이다. 그런데 알고보니 단순히 그 장난감을 뜻하는 말이었고, 그때 작품의 제목과 특징을 이해할 수 있었다. 이 전시는 어두운 가운데 거울로 둘러싸인 공간에서 광섬유가 주는 느낌이 신비로웠다. 그 공간에 머리를 집어넣고 제자리에서 뱅글뱅글 도는데, 평소 보던 세상과 느낌이 달라서인지 빠져나오고 싶지 않았다. 관객의 시야가 모두 요지경 안으로 한정되도록 되어 있고, 외부와 차단되어 있어서인지 다른 세상에 온 것 같은 기분을 갖게 했다. 그리고 그런 사이에서 거위가 뿅하고 나타났다가 다시 사라지는 모습을 볼 수 있었는데, 마치 거위가 학교 캠퍼스를 거니는듯한 모습과 여유로움을 볼 수 있었다.


사진: 디자인 특전사 제공


이렇게 '디자인 특전사'의 빛과 그림자, 그리고 반사를 이용한 독특한 전시를 마주할 수 있었다. 생명에 대한 생각이나, 인간이 가진 환상과 허영 그리고 꿈 같은 봄날이라는 이렇게 각각 다른 메시지를 신선하고 재밌는 방법으로 구현한 모습이 매우 인상적이었다. 아직 대학원에서 연구 활동을 하고 있지만 앞으로 각자의 분야에서 활동할 디자이너들의 톡톡 튀는 아이디어와 소소한 즐거움을 확인할 수 있었던 디자인 특전사의 전시. 앞으로도 많은 기대를 갖고 지켜보기를 추천한다.



대학생기자 방기수 / KAIST 항공우주공학전공


지속가능성에 대한 고민을 하고 있습니다.

"우리는 우리가 하는 행동에 의해 우리가 된다." 


gisu.bang@kaist.ac.kr


저작자 표시 비영리 변경 금지
신고

우리는 모든 것을 돈에 맡겨도 괜찮을까

문화산책/서평 2014.03.09 17:27

오늘날 우리가 돈으로 할 수 없는 것은 거의 없다. 최근 KAIST에서는 졸업식장 공간이 협소하다는 이유로 졸업생들에게 입장권을 2장씩 지급했다. 하지만 그 결과 많은 사람들이 다른 사람의 졸업식 입장권을 구매하려고 했고, 무료로 나눠준 입장권이 1장에 최고 4만원에 거래되었다. 학교에서 관련 거래를 하지 말라는 권고는 모두 무용지물이었다. 게다가 학생들의 성적 역시 돈으로 평가받는다. 과거 서남표 총장 시절 학생들을 일찍 졸업시키겠다면서 계절학기 수업료, 재수강료, 등록금을 엄청나게 인상시켰으며, 평점 3.0 미만인 경우 0.01점당 6만 3천원이라는 수업료를 납부하게 하여 한 학기에 최대 800만원에 가까운 등록금을 내도록 한 적도 있다. 이처럼 우리 주변에서 돈을 이용해서 어떤 문제를 해결하려는 움직임을 쉽게 확인할 수 있다. 그런데 이런 변화는 과연 옳은 방향으로 가고 있는 것일까.


작년에 영국에서 열린 TEDGlobal 2013에서 하버드대학교 경제학과 교수인 마이클 포터 교수와 하버드대학교 정치학과 교수인 마이클 샌델 교수의 강연을 들을 수 있었다. 당시 마이클 포터의 경우 비즈니스가 우리 사회가 가지고 있는 문제를 해결할 수 있을거라는 얘기를 하며, 실제로 그러한 사례들에 대해 이야기했다. 하지만 샌델은 그와 반대로 우리 사회에서 시장을 신뢰하면 안 되는 이유에 대해 이야기하며 이대로 시장 사회에 내버려두어도 괜찮은가에 대해 이야기했다. 하지만 당시 강연장에서는 현재 전 세계가 변화하고 있는 방향과는 반대로 샌델 교수의 의견에 대해 동의하는 의견이 더욱 많았고, 관련된 내용을 15분의 강연으로만 듣기에는 너무 짧았다. 그래서 귀국 후 돌아와서 관련 내용을 찾다가 마이클 샌델 교수의 「돈으로 살 수 없는 것들」이라는 책을 발견할 수 있었다. 짧은 강연에서 들었던 내용보다 책에서는 좀 더 세부적이고 많은 내용을 담고 있었다.



오늘날 한국 사회 뿐만 아니라 전 세계의 많은 사회에서는 돈으로 거의 모든 것을 해결하려고 하며, 이것은 우리가 인지하지 못하고 있을 때 언제부턴가 자연스럽게 받아들여지고 있다. 모든 것을 시장 원리에 맡기는 것이다. 과거에는 시장 경제라는 이름으로 생산활동을 조직화하는 효과적인 도구로만 사용되었다면, 현재 사회의 모습은 '시장 사회'의 모습이 되어가고 있다. 효율성을 높인다는 이름으로 모든 것을 사고 팔 수 있고, 시장적 사고와 가치가 우리의 인간 관계, 건강, 교육, 정치, 시민 생활 등 모든 것을 지배하도록 말이다.


샌델은 우리가 이렇게 시장사회로 가도록 하는 것에 대해 걱정해야 하는 이유를 크게 두가지로 설명한다.

첫번째로는 불평등이다. 돈으로 더 많은 것을 할 수 있는 사회일수록 돈의 많고 적음이 중요하게 된다. 단순히 돈이 많다는 것이 요트나 스포츠카를 사는 휴가를 즐길 수 있는 능력을 말한다면 큰 문제가 없다. 하지만 충분한 의료 서비스, 양질의 교육을 받을 기회, 정치적 영향력, 안전과 같은 본질적인 행복한 삶에 영향을 주게 되면 돈이 모든 차별의 근원이 되어 불평등을 심화시킨다.

두번째로는 가치의 변질, 부패이다. 이상적인 시장 경제에서는 시장이 단순히 재화를 분배하는 역할을 하고 효율성을 추구해야 한다. 하지만 실제로는 시장에 의해 매겨진 가격이 그 대상의 가치를 변질시키고, 오염시켜서 우리가 소중히 해야할 것이나 지켜야 할 것을 잃게 만든다. 샌델은 TED 강연에서 참가자들과 토론식으로 강연을 이어가며 교육의 예를 들었다. 실제로 미국의 일부 지역에서는 아이들이 책을 많이 읽게 하기 위해서 책을 읽을 때마다 현금을 지급하는 방법을 사용하였다. 그 결과 아이들이 더 많은 책을 읽는 효과는 있었지만 대신 더 얇은 책을 읽게 되었다고 한다. 또한 성적을 올리고 학습 동기를 유발시키기 위해서 인센티브를 지급하는 사례도 있었는데 대부분 뚜렷한 성과를 거두지 못했다. 이처럼 돈이라는 시장사회적 요소가 교육에 개입함으로 인해 교육의 목적과 가치를 변질시켜버렸다.


지금까지 많은 경제학자들은 시장은 그 자체로 존재하기 때문에 거래하는 대상에 영향을 미치지 않는다고 가정했다. 물론 이것은 유형의 물건에는 어느 정도 맞는 말이었다. 하지만 기존에 돈으로 살 수 없던 가치들까지 시장의 범위로 확장되어 그것이 가졌던 비상업적 가치, 사람들이 내면적으로 가져야 할 마음가짐 등까지 확장되어 상품의 특성이나 사회적 행위의 의미를 바꿀 수 있다는 것을 우리는 많은 부분에서 볼 수 있다. 그리고 지금도 그런 변화는 우리가 인지하지 못할 때에 조금씩 침투하여 변화를 일으키고 있다.


우리는 과거에 부유한 사람이든, 가난한 사람이든 하나의 공간에서 많은 것을 공유하며 지낼 수 있었다. 하지만 오늘날의 우리는 모든 것이 시장의 지배를 받으며 불평등이 커지고, 부유한 사람과 그렇지 못한 사람의 삶이 분리되고 있다. 이것은 민주주의에도 옳은 방식이 아니다. 민주주의는 완벽한 평등을 요구하지는 않지만, 시민들에게 공동체적 생활을 공유하도록 한다. 서로 다른 사회적 배경과 사회적 위치, 태도와 신념을 가진 사람들이 서로 마주치는 것이다. 그래야 서로의 차이를 확인하고, 타협하고 협상하여 공공의 것에 관심을 갖게 한다.


마지막으로 샌델은 우리가 어떻게 함께 살아가야 할지에 대해 묻는다. 모든 것을 사고팔 수 있는 사회를 원하는지, 아니면 공공 도덕이나 시민이 가져야 할 태도와 같은 시장에서 거래되지 않고 돈으로 살 수 없는 것들이 존재하는 사회를 원하는지. 어떤 명쾌한 대답을 내놓기보다는 지금의 변화가 옳다고 생각하는 지에 대해 스스로 생각해보게 한다.


이처럼 우리는 지금처럼 시장 사회가 우리의 삶을 잠식하고 있는 지금의 상황을 그대로 내버려두어야 할까. 돈으로 구매할 수 없어야 하는 것까지 시장에 내놓아도 괜찮을까. 현재 한국이 가지고 있는 많은 문제와도 밀접하게 연관된 이 문제에 대해 샌델은 한 번 더 다시 생각해보게 하고 있다. 그런 고민을 한 번이라도 해보았다면 샌델의 강연과 그의 책「돈으로 살 수 없는 것들」에 나온 많은 사례들을 읽어보길 추천한다. 우리는 어떠한 사회에서 살기를 원하고, 그것을 위해 어떤 가치를 지켜야 할지에 대해.





대학생기자 방기수 / KAIST 항공우주공학전공


지속가능성에 대한 고민을 하고 있습니다.

"우리는 우리가 하는 행동에 의해 우리가 된다." 


gisu.bang@kaist.ac.kr


저작자 표시 비영리 변경 금지
신고

Think Again, TEDGlobal 컨퍼런스 참가기

문화산책/현장속으로 2014.02.28 17:08

TED. 이 세글자를 한 번도 들어보지 않은 사람은 많지 않을 것이다. 18분의 마법이라는 이름으로 언젠가부터 한국에 많이 알려지게 되었고, TEDx 열풍이 불면서 우리나라에도 많은 사람들이 접하게 되었다. 그런데 한국에서 수많은 TEDx 행사가 열리지만, 정작 TED 행사가 실제로 어떻게 열리는지에 대해서는 쉽게 알 수 없었다. 그 이유는 TED가 미국이나 유럽 등지에서 열리고, 참가비가 7-800만원에 이를만큼 무척 비싸며, 에세이를 써서 통과되어야 참가할 수 있기 때문이다.



2013년 봄, 독일로 교환학생을 가게 되었고 우연히 좋은 기회를 얻게 되어 스코틀랜드 에딘버러에서 2013년 6월 10일부터 14일까지 열렸던 TEDGlobal 2013에 참가하게 되었다. TEDGlobal에 참여했던 5일은 그 어떤 놀라운 수식어를 붙여도 모자르지 않을 여정이었다. 하지만 한편으로 그동안 제대로 깨닫지 못했던 불편한 부분도 알게 되었다. 지금부터 그 5일간의 여정을 짧게나마 소개하고자 한다. TEDGlobal 2013에는 전 세계 66개국에서 900여명이 참가하였고, 80여명의 연사가 무대에서 강연을 하였다.


TEDGlobal 2013의 주제는 Think Again이었다. 세상의 변화하는 속도는 점점 빨라지고 있고, 우리가 확신하던 것과 당연시 여겼던 것들이 매일매일 도전 받고 있는 환경에서 잠시 멈추고 다시 생각해보아야 한다는 의미였다. 곰곰히 생각해보니 주변에서도 그러한 사례를 많이 찾아볼 수 있었다. 과학계에서만 해도 시간이 지날수록 새로 발견되는 것들 때문에 기존의 지식이 틀리게 되는 경우를 볼 수 있고, 새로운 기술의 개발로 불가능하다고 여겨지던 것들이 현실이 되고 있다. 그래서 우리는 그저 받아들이는 것이 아니라 고정관념을 깨야 한다.



컨퍼런스 시작 하루 전, 하루 종일 있었던 워크샵에 참여하고 난 뒤 첫째날이 되었다. 첫째날 오전에는 여러가지 투어 프로그램이 제공되었다. 건축 투어, 실험실 투어, 야생의 음식을 체험하는 투어 등이 있었는데 그 중 건축 투어를 선택하여 에딘버러의 몇가지 인상적인 건축물들을 설명과 함께 돌아보는 시간을 가졌다. 투어를 마친 후 오후에는 기업 관계자가 연사로 서는 TED Institute 세션이 있었고, 컨퍼런스 참가자가 직접 연사가 되는 TED University 세션이 있었다. 특히 TED University 세션에서는 Airbus의 엔지니어도 직접 발표를 하기도 했고, 태어날 때부터 병이 있었던 아이가 그것을 극복한 이야기, TED에 처음 온 사람들에게 어떻게 TED를 즐길 수 있는지에 대해 소개해주는 내용이 있었다. 그리고 저녁에는 국립스코틀랜드박물관에서 Welcome Reception이 있었다. 박물관을 통째로 빌려서 박물관의 전시도 보면서 로비에서 새로운 사람들과 이야기를 하며 식사를 하는, 그동안 해보지 못했던 특별한 경험이었다.



둘째날 아침은 TED University 두번째 세션으로 시작했고, 드디어 본 행사의 첫번째 세션을 만날 수 있었다. 본 행사 이전에는 모두 별도의 공간에서 진행되었는데 이제서야 본 행사장의 무대를 확인할 수 있게 된 것이다. 다만 한 가지 특별한 일이 있었는데, 그리스 전 국무총리가 TEDGlobal의 연사로 서는 것에 대해 반대하는 사람들이 시위를 하고 있어서 참가자들의 안전을 조심하라는 얘기가 있었다. 그 시위는 큰 충돌없이 끝났고, 약간 뒤숭숭한 분위기에서 시작하게 되었다. 그럼에도 많은 강연들은 꽤나 흥미로웠다. 특히 두번째 세션에서는 요즘 많이 주목받고 있는 드론에 대해서 주로 언급되었고, 취리히 공대에서 온 교수의 시연은 항공우주공학을 공부하는 학생의 입장에서 정말 대단했다. 또한 뇌과학, 심리학에 대해 이야기하는 세션도 많아서 꽤나 흥미롭게 들을 수 있었다.

이후 금요일까지 진행되는 세션도 모두 비슷했다. 특정 분야에만 치우치지 않고, 다양한 분야의 이야기를 들을 수 있었다. 특히 기억에 많이 남는 강연으로는 중국의 벤쳐캐피탈리스트인 Eric X. Li의 민주주의와 중국의 정치체계에 대한 이야기, 스위스 로잔공대 교수의 척수 손상을 치료할 수 있는 새로운 가능성에 대한 이야기, Sandra Aamodt라는 뇌과학자의 다이어트에 대한 이야기, Joseph Kim이라는 탈북자의 이야기, 마이클 샌델 교수와 마이클 포터 교수의 토론 등 정말 흥미로운 이야기가 많았다.



그런데 이런 강연 말고도 거기에 온 참가자들과 이야기하는 것도 무척 귀한 시간이었다. 전 세계 각지에서 온 다양한 배경을 가진 사람들, 그리고 높은 위치에 있는 사람들도 많이 만날 수 있었다. 특히 기억에 남는 사람 중 한 명은 바로 연사로 섰던 Joseph Kim이었는데, 지금까지 북한에서 태어난 사람을 한 번도 만나본 적이 없었던 탓이었다. 더구나 Joseph Kim의 경우 6-7년 전에 힘들게 북한을 빠져나와 미국으로 보내졌는데, 그래서 처음에는 영어로 대화를 하다가 이내 곧 한국어로 대화를 할 수 있었다. 생각보다 서로의 말은 알아듣기 쉬웠고, 한편으로 한국과 북한이 바로 옆에 붙어 있는데도 바로 볼 수 없고, 이렇게 먼 타지에서 처음으로 볼 수 있다는 것이 참 씁쓸했다.



이 밖에 몇가지를 더 소개하면, TED에서는 오직 TED에서만 만날 수 있는 프로그램을 많이 제공한다. 앞서 언급한 투어프로그램을 비롯하여 빌&멜린다 게이츠 재단에서 제공한 저녁, 각종 체험 환경 등 TED의 행사장에는 각종 부스들이 많이 마련되어 있었다. 앞서 강연에서 소개했던 드론의 동작을 직접 시연하기도 하고, 바퀴벌레에 전기 자극을 주는 것을 시연하거나, 3D Printer 시연 등 다양한 것들을 직접 체험해볼 수 있었다. 또한 각종 음료나 간식들이 무제한으로 제공되었고, 지하에는 편하게 누워서 볼 수 있는 공간도 마련되어 있었다. 이것은 배고픔이나 졸음 등 다른 걱정 없이 편하게 컨퍼런스에만 집중할 수 있도록 만들어주기 위함이라고 한다.



그렇게 마지막 날까지 5일 간 모든 세션이 끝나고, Farewell Picnic으로 꿈 같았던 날들이 마무리되었다. 사실 이 글에 강연에 대한 내용이 많이 언급되어 있지 않은 이유는 이 모든 강연 내용이 온라인에 공개되어 있거나, 공개될 예정이고 그곳에서 들었던 강연의 숫자가 100개에 육박하기 때문이다. 그만큼 밖에서 일어나는 일에 대해 걱정하지 않고 강연과 참가자들간의 교류에만 신경쓸 수 있었던 5일이었다. 또한 한 가지 인상적이었던 점은 TED 관계자나 연사, 참가자 사이에서 어떤 우위의 관계가 없이 행사 중에 동등한 대우를 받으며 동등한 위치에서 교류가 이뤄진다는 것이었다. 한국에서 또는 다른 행사에서는 쉽게 보지 못한 모습이었는데 말이다.


그렇게 다녀오게 되고 나서 그 모든 것이 꿈 같았지만, 한편으로는 비판적인 시선도 많이 갖게 되었다. 아무리 강연에서 좋은 이야기를 한다지만, TED 자체는 참가비도 지극히 비싼데다 너무나도 호화스러웠다. 물론 온라인으로 무료로 시청할 수 있게 하는 비용이 컨퍼런스 참가자와 후원사를 통해 충당된다고도 생각할 수 있는데, 조금 이중적이라는 생각도 들었다. 또한 어떤 강연은 너무나도 수준이 낮은 숫자놀이에 불과한 강연임에도 다들 열심히 박수치면서 보는 것을 보고 정말 실망스러웠고, 모든 것을 무조건적으로 좋게 받아들이지 말아야겠다는 생각도 하게 됐다. TED는 너무나도 미국스러웠고, 미국의 자본주의에서 온 하나의 산물이 아니었을까.


그럼에도 많은 사람들이 좋은 시선으로 바라보는 것은 TED라는 플랫폼 안에 들어있는 강연의 내용이 어느 누군가에게는 영감을 주고, 새로운 아이디어를 주기 때문이 아닐까. 앞으로도 평소에 쉽게 접하지 못하는 새로운 아이디어를 TED를 통해 얻을 수 있길 기대한다.




대학생기자 방기수 / KAIST 항공우주공학전공


지속가능성에 대한 고민을 하고 있습니다.

"우리는 우리가 하는 행동에 의해 우리가 된다." 


gisu.bang@kaist.ac.kr


저작자 표시 비영리 변경 금지
신고

우리나라 항공우주/방위산업의 미래 엿보기

문화산책/현장속으로 2014.02.24 01:33

 지난 2013 10 29일부터 11 3일까지 서울 국제 항공우주 및 방위산업 전시회 2013, ADEX 2013 (Seoul International Aerospace & Defense Exhibition 2013)이 열렸다.

 

 2년마다 성남 서울공항에서 열리던 ADEX가 2013년에는 청주국제공항에서 에어쇼와 항공기 및 장비 전시를, 일산 KINTEX에서는 첨단무기체계와 우주분야 발사체 및 위성 전시로 나눠 열리게 되었다. 전 세계에서 28개국 361개의 항공우주 및 방위산업체가 참가한 ADEX 2013에서는 우리나라의 방위산업체 및  항공우주 관련 업체를 비롯하여 다수의 해외 업체도 참여하여 다양한 제품을 전시하였다.

 

어떤 전시가 있었는지 간단하게 살펴보자


 정부출연연구소, 한국항공우주연구원(KARI)는 우리나라의 항공우주산업을 이끌고 있는 곳이다. 작년 1월 나로호 발사 성공과 더불어 첨단 지구관측위성을 비롯한 다양한 위성들과 앞으로 개발될 한국형발사체(KSLV-1) 엔진, 스마트 무인기(Smart UAV)와 인간동력항공기 경진대회 때 선보였던 항공기 등이 전시되어 있었다. 또한 NASA와 공동으로 달 탐사관을 마련하였고, 요즘 많이 알려져 있는 소형 드론과 같은 신개념 무인 비행체를 선보이기도 했다.


한국항공우주연구원 부스 전시 모습


특히 신개념 무인 비행체의 경우 직접 시연을 하였다. 종류는 크게 5가지로, 소형 무인기 운반선(Flying UAV Carrier), 소형 무인기 '벌새'의 군무(UAV Group Dancing), 단일프롭적용 구형 비행체(Flying Ball), 동축반전로터적용 비행접시, 쿼드콥터 적용 비행자동차(Flying Car), 소형싸이클로콥터(Cyclocopter)가 있었다.

 

 다음 영상은 소형싸이클로콥터(Cyclocopter)의 시연 모습이다.




 다음으로 KAI(한국항공우주산업)의 부스가 큰 규모로 조성되어 있었다. 해외 여러 국가에 수출하였고, 지난 12월에는 방위산업 수출 사상 최대 규모로 이라크에 수출하여 잘 알려진 고등훈련기 T-50과 그 파생형 전투기를 비롯하여, 한국형 헬기사업(KHP)에 따라 개발된 첫 한국형 기동헬기인 수리온이 전시되어 있었다. 또한 국내 최초로 민간 항공기 형식/제작증명을 획득한 나라온(KC-100), 다목적실용위성-3A, 보잉, 에어버스 사의 민항기에 납품하는 항공기 부품 등 다양한 제품을 볼 수 있었다.


KAI 부스 전시 모습




대한항공은 항공우주산업 분야에서 주로 구조와 관련된 부분에 많은 투자 및 개발을 하고 있었다. 현재 개발 막바지에 와 있는 Airbus A350XWB(Extra Wide Body)의 Cargo Door 개발을 담당하고 있고, Boeing 787에서는 Aft Body등에 크게 기여하고 있으며, Airbus A320의 연료절감과 항속거리 증가를 위한 Sharklet을 만들고 있다. 이 밖에도 수직이착륙형 고속 무인항공기 KUS-TR를 비롯한 다양한 무인항공기를 개발하고 있었다.


대한항공 전시 부스 모습



그리고 우리나라의 방위산업을 이끌고 있는 방위산업체의 제품들을 볼 수 있었는데, 한화에서 개발한 차세대다연장로켓 천무와 LIG 넥스원이 세계 최초로 개발한 조류 퇴치 로봇, 기아자동차의 전술차, 현대로템의 K2 전차 등 많은 제품들의 전시를 직접 만나볼 수 있었다.


한화, LIG Nex1, 두산, 삼성 테크윈, 현대로템, 기아자동차 등의 부스 전시 모습


이 밖에도 국방과학연구소(ADD)를 비롯하여, 우리가 자주 타게 되는 민항기를 제작한 보잉이나 에어버스(EADS)사를 비롯하여, 엔진을 제작하는 롤스로이스, 대한민국 차세대 전투기(KFX) 사업에서 잘 알려진 록히드마틴과 유로파이터 등 다양한 외국업체들도 전시를 하고 있었다.


Rolls-Royce, Airbus, Boeing 부스 전시 모습



야외에는 실내에 전시되지 못한 유로파이터 타이푼, 록히드마틴의 F35, 수리온을 비롯하여 전차와 각종 군사 장비, 비행선 등이 전시되어 있었다.


전시장 바깥 전시 모습




위에 언급된 일반적으로 규모가 큰 업체 뿐만 아니라 중소업체들의 전시도 많이 있었다. 어떤 기술은 매우 단순해보이고, 별로 관련없어 보이는 것들도 있었지만 각자의 자리에서 한국의 방위산업을 책임지고 있는 회사들이었다.

 사실 항공우주산업에 쓰이는 기술은 단순히 해당 분야에만 사용되고 끝나지 않는다. 항공우주산업을 위해 개발된 기술이 우리의 일상 생활에 들어와서 조금 더 편리하고, 더 나은 생활을 할 수 있도록 도와준다. 이처럼 중소업체들의 전시를 통해 많은 고부가가치가 생기는 것도 확인할 수 있었다.


ADEX 2013은 우리나라의 항공우주산업과 방위산업의 현 주소 그리고 미래를 확인해 볼 수 있는 좋은 자리였다. 앞으로도 우리나라의 항공우주산업과 방위산업에 많은 발전이 있기를 기대한다.






대학생기자 방기수 / KAIST 항공우주공학전공


지속가능성에 대한 고민을 하고 있습니다.

"우리는 우리가 하는 행동에 의해 우리가 된다." 


gisu.bang@kaist.ac.kr


저작자 표시 비영리 변경 금지
신고

APT 대응을 위한 가트너의 제언

현장속으로/세미나 2014.02.14 18:59

작년 10월 23일에 “Stay Confident, We’ve Got Your Back”이라는 주제로 안랩 융합보안전략 컨퍼런스(ISF 2013 : Integrated Security Fair)가 열렸다. 최근 화두가 되고 있는 APT에 대한 안랩의 대응 전략에 대해 김홍선 대표의 키노트 후 이어진 두 번째 키노트에서는 세계적인 시장조사기관 Gartner의 분석가 로렌스 핑그리(Lawrence Pingree)의 발표가 있었다. ‘APT 대응을 위한 차세대 보안 전략(Best Practices for Mitigating Advanced Persistent Threats)’이라는 주제로 APT에 대한 가트너의 제언을 볼 수 있는 키노트였다.




보안 분야에서 문제를 겪는 것에는 크게 두 가지 요인이 있다. 첫번째는 웹, 웹 사이트 등 사용자 이름, 비밀번호 등과 관련된 것이고, 두 번째로는 멀웨어, 특히 최근에는 진화된 멀웨어가 있다. 이번 발표는 웹보다는 멀웨어와 관련하여 발생하는 문제에 대해 주로 언급하였다. 2013년 한 해 동안 방화벽, IPS(Intrusion Prevention Systems, 침입방지시스템), 엔드포인트, 웹 게이트웨이 솔루션 등에 130억 달러가 투자될 것으로 예상되지만, 여전히 해커들은 계속 공격에 성공한다. 보안에 대한 투자는 상당히 많이 이뤄지고 있지만, 여전히 우리는 그 피해를 보고 있다. 한 예로 2009년부터 2013년 사이에 북한의 사이버 공격에 따른 피해가 8600억원으로 추정된다고 한다.

그래서 핑그리는 APT와 관련하여 크게 3가지로 이야기를 하기로 했다. 첫 번째로는 APT란 무엇이고, 왜 전세계적으로 대단한 위협이 되고 있나에 대한 것이다. 두 번째로는 APT에 대응하는 우리의 적절한 전략은 무엇인가 라는 점이다. 마지막으로 세 번째로는 APT에 대응하는 시나리오에 대해 언급한다고 하였다.

 

1. APT란 무엇인가. 그리고 왜 전세계적으로 대단한 위협이 되고 있나.

APT는 Advanced Persistent Threat의 약자로, 다음과 같이 정의할 수 있다.

A: 기존의 방어체계를 꿰뚫는다.

P: 침투에 성공할 때까지 끊임없이 시도하고, 침투한 후에도 잠복하여 목적을 달성하고자 한다.

T: 피해를 발생시킨다.

이러한 APT는 제로데이 취약점 등 기존에는 시도되지 않은 새로운 공격 벡터 방식을 이용한다. 보안망 아래에서 숨어 있다가 활동하며, 자신들이 얻고자 하는 목표를 달성할 때까지 지속적으로 공격을 한다. 더구나 그 공격의 주체는 체계화되어 있고, 재정적인 여유가 있는 상황으로 원하는 목표를 위해서 쉽게 물러서지 않는다.


APT는 다음과 같은 속성을 가진다. 첫 번째로 APT는 기존의 시그니처 기반의 보안 솔루션으로는 쉽게 탐지되지 않는다. 특정대상을 공격하기 위해 타깃화 되어 있는 악성코드이다. 두 번째로 오랜 기간 동안 은닉하고 숨어있으며, 스스로 업데이트 되는 지능적인 공격 형태를 가진다. 세 번째로는 공격 초기 단계에 설정한 목표물을 탈취하거나 무력화시키는 공격형태를 가진다. 네 번째로 공격을 위한 정보, 취약점을 수집하기 위해 소셜 미디어를 활용하며, VPN 등을 이용해서 내부에 침투한다.

그런데 APT라는 용어는 과거 미군에서 처음 사용된 용어로 주로 국가적인 차원의 공격에 초점을 맞추는 용어이다. 요즘의 타깃화 된 공격은 금전적인 목적을 위한 범죄 행위가 많다. 그래서 가트너에서는 APT라는 용어 대신 ATA(Advanced Targeted Attack)이라는 용어를 제안했다.


그렇다면 위와 같은 특성을 가지는 ATA는 어떤 목적으로 시도되는지에 대해 생각해 볼 필요가 있다. 먼저 ATA를 시도하는 해커는 이전에 시도되는 공격 때와는 다른 성향을 가지는 해커들이다. 목표 지향적이고, 충분한 자금을 가지고 있고 그 자체의 생태계를 가지고 있어서 당장 얻을 수 있는 것보다는 큰 목표를 가지고 행동한다. 두번째로 산업 스파이 같은 형태가 있다. 기업의 지적 재산권이나 비밀을 탈취하려는 목적을 가지고 계획한다. 또한 정치, 사회 운동가 및 테러 단체의 공격으로 시도되기도 한다. 자신들의 주장을 피력하고 위협을 가하려는 목적을 가진 것이다. 대표적으로 북한 시도로 추정되는 사이버 공격이 그러한 사례로 볼 수 있다. 이 밖에도 원래 APT라는 용어의 기원처럼 국가 차원의 정치, 군사, 경제적 목적으로 공격이 이뤄지는 경우도 있다.


2. APT에 대응하는 우리의 적절한 전략은 무엇일까.

일단 APT, ATA의 위협을 알아보았으니 그것에 대해 어떻게 전략을 세울 것인가에 대한 고민이 필요하다. 먼저 우리의 기업도 ATA의 타겟이 될 가능성이 높은지, 기업이 직면하고 있는 위협을 파악하고 그에 맞는 적절한 대응 전략을 수립할 필요가 있다.


먼저 기업이 중요한 국가적, 사회적 인프라와 연관성이 얼마나 있는지에 대한 파악이 필요하다. 만약 기업의 피해가 국가적 손실로 바로 연결된다면 기업과 국가 모두에 큰 타격이 될 수 있기 때문이다. 대표적으로 에너지 관련 기업이나 교통, 금융기관 같은 사회 인프라와 관련된 국가 기간 산업이 있는데, 피해를 받게 되면 여러 다른 산업에까지 줄줄이 피해를 줄 수 있다. 두번째로는 사업의 연속성 중단에 따라 받게 되는 기업의 타격에 대해서도 파악할 필요가 있다. 만약 잠깐 일이 중단되어도 괜찮다면 상관없지만, 잠깐이라도 일이 중단되어서는 안 되는 기업이라면 위협에 대비할 필요성이 더욱 커진다.

그래서 우리는 기본에 충실할 필요가 있다. 비즈니스 관점에서 ATA의 위협에 대한 인식이 필요하다. 그런데 단순한 악성코드를 막고, 제거하는 것만으로는 ATA에 대한 대응이 부족하다. 그렇기 때문에 우리는 위협에 대한 가시성을 증가시키고, 기업의 책임 범위를 좀 더 확대할 필요가 있다. 만약 그러한 사고에 대응하는 역량이 부족하다면 그것은 ATA에 대응하는 데 큰 걸림돌이 된다.


그렇다면 이러한 ATA에 대응하기 위한 솔루션 시장의 상황을 보자. 이러한 솔루션들은 ATA 대응을 위해 여러가지 서비스를 하고 있다. 네트워크 트래픽 분석, 네트워크 포렌식, 페이로드 분석, 엔드포인트 행위 분석, 엔드포인트 포렌식, 이렇게 크게 5가지가 있다. 하지만 많은 솔루션들은 현재에도 사용되는 웹 게이트웨이, 차세대 방화벽, 엔드포인트 보안 등의 방법을 기반으로 ATA 대응 시장에 진출하고 있다. 그래서 ATA에 대응하는 솔루션은 기존의 엔드포인트/시그니처 기반의 솔루션과 함께 상호보완적으로 작동하고 있다. 이러한 상황을 볼 때 ATA에 대응하기 위한 솔루션 시장은 여러 제품의 기능과 성능 그리고 효과가 비교되기 시작하는 단계에 있다고 볼 수 있다. 시간이 조금 지난 후에는 시장 검증을 통해 ATA 솔루션 기술이 개선될 것으로 보인다.

 

3. APT 대응 시나리오

그럼 이제 APT에 어떻게 대응을 하면 좋을까, 그 시나리오에 대해 알아본다. 기업의 규모에 따라 시나리오는 다르게 적용될 필요가 있다. 아무래도 정부기관이나 대기업일수록 중요한 정보가 상대적으로 많고, 공격을 받으면 그만큼 피해의 규모가 더 커질 수 있다. 그래서 더 철저하게 대비를 할 필요가 있다. 한편 기업의 규모가 작을수록 보안에 투자할 수 있는 여력이 상대적으로 부족하다. 따라서 적은 비용으로 효과적인 대처를 할 수 있도록 선택과 집중이 필요하고, 협력이 더 필요하다.


 


지금까지 이렇게 APT에 대응하는 가트너의 차세대 보안 전략에 대해 크게 3가지로 정리를 해 보았다. 이것을 정리하며 가트너는 다음과 같이 제안한다.


먼저 기업이 직면한 위협 수준과 실질적으로 보안에 대한 필요성이 얼마나 되는지를 파악하는 것이 중요하다. 이것은 즉 주목적이 위협에 대한 파악인지, 위협을 제거하고 그에 대한 흔적을 찾고 싶은 것인지 등 보안에 대한 명확한 목표를 설정한 후에 실질적인 대응이 가능하다는 것이다. 두번째로는 예상되는 공격 형태에 따라 균형 잡힌 ATA 대응 전략을 수립할 필요가 있다. 마지막으로 악성코드를 이용한 타깃 공격에 특화된 솔루션에 대한 검토가 필요하다. 악성코드를 이용한 타깃 공격은 모든 기업이 맞이하고 있는 문제로 기업의 특성, 형태에 따라 중요 자산에 대한 파악, 우선 순위를 정하고, 그에 맞춰서 보안 위협을 예측하고 적절한 솔루션 도입 계획이 필요하다.


그러면 이러한 것을 앞으로 어떻게 실행할 것인가. 지금 당장은 ATA 대응 전략 수립을 위한 전사적인 태스크포스 팀을 꾸리는 것이 좋다. 그리고 90일 이내에 실효성 있는 ATA 대응 전략을 수립하고, 효율적인 ATA 대응 솔루션을 검토하며, PoC(Proof of Concept, 개념 증명) 및 평가를 하는 것이 필요하다. 그리고 향후 1년 동안 ATA 대응 솔루션을 구축하고 대응 현황 분석 및 모니터링이 된다면 앞으로 APT에 대해 적절한 대응을 할 수 있을 것이다.



APT는 기업에게 상당히 큰 보안위협이 될 수 있다. 하지만 많은 기업들이 전통적인 대응 시스템을 가지고 전혀 다른 형태의 공격에 대비하려고 하고 있다. 진화하는 위협을 막기 위해서 우리는 더 진화된 대응 시스템을 가지고 미래를 대비해야 할 것이다.




대학생기자 방기수 / KAIST 항공우주공학전공


지속가능성에 대한 고민을 하고 있습니다.

"우리는 우리가 하는 행동에 의해 우리가 된다." 


gisu.bang@kaist.ac.kr


저작자 표시 비영리 변경 금지
신고

개정되는 개인정보보호법, 효과적으로 대응하려면

현장속으로/세미나 2013.12.23 16:30

지난 201312 3, 서울 잠실 롯데호텔에서 2014IT 보안 시장을 전망하는 Security Next Conference 2014가 열렸다. 점차 다각적이고 지능화되는 사이버 공격 위협 환경에서 정보 보안 현안과 해결방안에 대해 모색해보고자 하는 자리였다그 첫번째 순서로 개인정보보호 추진성과 진단 및 향후 과제라는 제목으로 안전행정부 한순기 개인정보보호과 과장의 키노트가 있었다.



20119월에 전격 시행된 개인정보보호법은 시간이 지남에 따라 점차 개정되어 왔다. 최근에는 이 법이 시행된지 2년만에 20138월 새로운 개정안이 발표되어 그에 따라 기업에서 새롭게 대응해야할 것들이 추가로 생기게 되었다. 그래서 이번 키노트 세션에서는 그동안 개인정보보호를 위해 정부에서 어떻게 해왔고, 앞으로 어떻게 해나갈지에 대한 소개가 이뤄졌다.

 

그간 개인정보 보호를 위한 많은 사업들이 추진되었다. 그 결과 개인정보보호에 대한 인식이 강화되었고, 개인정보보호위원회 설립 등 정책 추진을 위한 기본틀이 마련되었다. 또한 개인정보 보호법이 잘 시행되도록 정책적으로 여러가지가 이뤄졌고, 침해대응을 위한 공조체계가 구축, 운영될 수 있도록 하였다. 하지만 개인정보 보호를 위한 법의 경우 일반법과 특별법으로 이원화되어 있어 규제 피로도가 가중되었다. 한 가지 예로 미국의 경우 적절한 보호제도를 마련하여 사용자에게 고지를 하는 것이 중심으로 되어 있고유럽의 경우 개인정보의 중요성에 대한 인식이 높아 사전에 동의를 마련하는 것을 중심으로 법 체계가 되어 있는데우리나라는 이 두 가지를 모두 요구한다는 점에서 까다로운 점이 있었다. 이 밖에도 분야별로 개인정보보호를 위한 수준이 달라서 그 편차가 누적되어 갈수록 커지고 있다는 점, 그리고 개인정보보호에 대한 인식은 높아졌지만, 자율적 실천이나 자율적 문화는 저조한 수준으로 사회 전반적으로 법적 규제가 없는 경우 보호를 위한 노력이 부족하다는 한계가 있었다.



점점 변하고 있는 주변의 환경


그동안 우리 주변의 환경은 어떻게 변화하였을까. 크게 3가지 측면으로 볼 수 있다.

먼저 사회, 문화적 측면에서 보면 국민의 권익의식이 심화되고 고도화되었다는 점과 CCTV 급증, 영상정보 보호요구 증가라는 점이 있다. 개인정보 침해신고나 분쟁조정신청이 이전에 비해 증가하였고, 사생활 침해에 대한 의식이 이전에 비해 높아졌다. 또한 지능형 CCTV, 차량용 블랙박스 등 영상기기가 다양화되고 많아졌다. 현재 우리나라는 CCTV가 가장 많은 국가인데, CCTV가 많아짐에 따라 관제센터도 증가하면서 오남용 우려가 생겼다.

두번째로는 산업, 기술적 측면이다. 빅 데이터, 클라우드 컴퓨팅이 확산되었고, 침해기법은 점점 지능화, 고도화되어 가고 있으며, 개인정보 보호산업의 수요가 증가하고 있다. 빅 데이터는 익명화된 다량의 정보를 사용한다는 특성이 있지만, 오히려 익명화된 정보가 결합되면서 개인정보가 침해될 수 있다. 또한 모바일 기기 이용 증가에 따라 스미싱, 파밍 등 침해 기법도 다양해지고 있다.

세번째로는 국제적 동향을 볼 수 있다. 국가간 교역이나 클라우드 컴퓨팅의 활성화로 인해 개인정보의 국외이전이 확산되었다. 그런데 국가별로 규제가 모두 달라서 그에 따른 피해구제, 분쟁조정 관련 문제가 증가하고 있다. 또한 이러한 환경 변화에 대응하기 위해 국제 표준이 만들어지고 있고, 상호운용성의 개선이 이뤄지고 있다.

 


개인정보보호를 위한 한국의 정책 방향


그럼 우리나라의 정책방향은 어떻게 되고 있을까?

SWOT 분석을 통해 전략을 보면 한국의 경우 강력한 정책 추진 의지와 선진 IT기술을 보유했다는 강점이 있다. 그러나 개인정보 보호에 대한 인식이 부족한 문화와 그에 따라 관련 인력이나 예산이 부족하다는 점은 약점이 되고 있다. 그리고 새로운 기술이 도입됨에 따라 침해가능성이 새롭게 생기고 있고, 침해 기술이 고도화되어 간다는 점은 위협이 되지만, 개인정보에 대한 인식이 향상되고, 기술 수요가 증가되고 있다는 점에서 새로운 기회가 되고 있다.


그래서 현재 정부에서는 '개인의 존엄과 가치가 존중 받는 선진 정보사회'라는 비전 하에 C.A.R.E라는 키워드를 만들었다. 일반국민, 산업계, 정부, 개인정보처리자 등 각 대상별 니즈를 고려하여 각 대상에게 알맞은 목표를 가지고 정책을 추진할 계획이라고 한다.



먼저 정부의 경우, 거버넌스 구조 선진화라는 목표를 가지고 있다. 세부적으로 보면, 현재 일반법과 특별법으로 중복 규제가 되고 있는 부분을 일반법을 중심으로 법체계를 정비할 계획이다. 또한 환경변화에 대응할 수 있도록 기준을 개선하고, 국제 상호 운용성을 제고하며, CCTV가 많이 생기는 환경을 고려하여 개인영상정보 보호, 관리체계를 구축할 계획이라고 한다.

두번째로 산업계에는 개인정보를 선제적으로 보호할 수 있는 기술을 ETRI 등을 통해 개발할 수 있도록 지원하고, 대한변호사협회와 협력하여 전문인력 양성/수급 체계를 구축할 계획이다. 또한 개인정보 보호 서비스 산업을 육성하여 산업계 전반적으로 선순환 생태계를 조성하고자 한다.

세번째로 개인정보처리자에게는 선제적, 자율적 보호활동을 활성화시키고, 전사적으로 개인정보 관리통제체계를 강화하도록 하며 전담체계를 마련하고, 전문역량을 강화하도록 할 계획이다.

그리고 마지막으로 개인정보보호법을 적용 받는 국민들의 의식을 강화하기 위한 방안들이 추진된다. 국민들에게 개인정보보호에 대한 홍보를 강화하고, 침해 예방 및 권리구제의 실효성을 높이기 위한 방안들이 추진된다. 대표적으로 현재도 118로 전화하면 권익침해 구제 지원센터의 도움을 받을 수 있도록 되어 있다. 이러한 것들이 좀 더 잘 홍보될 수 있도록 추진할 계획이라고 한다.



정부와 산업계에만 기대하기보다 일반 국민들도 관심 가져야


개인정보보호법의 시행, 그리고 개정에 따라 산업계에서는 기존에 하지 않았던, 규제에 맞게 대응하는 작업이 많이 필요해졌다. 그리고 정부 또한 새로 만들어지는 규제가 적절하게 적용될 수 있도록 개선을 하고 있다. 이러한 상황에서 일반 국민들 역시 그저 방관하고 바라볼 것만이 아니라 어떻게 새로 만들어지는 법이나, 산업계에서 어떻게 대응하는지 잘 확인하는 것이 좋을 것이다.


최근 개인정보 유출사고가 또 다시 발생하였다. 매번 잊을 만 하면 새로운 사고가 생기고 있다. 큰 규모의 기업이라서 막연히 잘 할 것이라고 믿었지만, 허술한 시스템 때문에 그런 사고가 발생한 것이다. 이러한 사고에 대응하기 위해 정부에서는 새로운 방안을 마련할 것이고, 산업계에서도 물론 일부 개선을 할 것이다. 하지만 우리도 우리의 개인정보를 스스로 지키기 위해 많은 관심을 가져야 하고, 평소에도 개인정보 보호 의식이 요구된다. 그래야 최근 발생한 개인정보 사고의 재발을 막을 수 있고, 우리의 정보도 지킬 수 있을 것이기 때문이다.


정부의 개선된 법과 산업계의 적절한 대응, 그리고 일반 국민들의 의식 향상으로 우리의 개인정보가 더 잘 지켜질 수 있는 미래를 기대해본다.






대학생기자 방기수 / KAIST 항공우주공학전공


지속가능성에 대한 고민을 하고 있습니다.

"우리는 우리가 하는 행동에 의해 우리가 된다." 


gisu.bang@kaist.ac.kr


저작자 표시 비영리 변경 금지
신고

말도 많고 탈도 많은 가상 화폐 비트코인의 정체

보안라이프/IT트렌드 2013.12.10 11:07

가상 화폐 비트코인(BitCoin)의 가치가 치솟고 있다. 처음 발행 당시에는 1비트 당 약 1달러에 불과하던 이 가상 화폐는 최근 최고 1250달러까지 거래되고 있다. 비트코인은 국가의 통제를 받지 않으며 전 세계 어디서나 거래될 수 있는 화폐이다


비트코인은 채굴(Mining) 과정을 거쳐서 발행이 되며 누구나 채굴할 수 있다. , 누구든지 비트코인의 발행주가 될 수 있다. 비트코인을 채굴하려면 컴퓨터로 복잡한 수학 문제를 풀어야 한다. 비트코인의 가치가 상승하면서 수학 문제의 수준이 급격히 높아져 현재는 개인용 컴퓨터로 채굴하기에는 수십 년이 걸릴 정도로 힘든 실정이다. 비트코인은 처음부터 2100만 비트까지만 나오도록 한정되어 있고, 현재까지 반이 조금 넘는 약 1200만 비트코인이 채굴되었다.


비트코인이 기존 화폐를 대신할 수 있을까


비트코인은 환율에 영향받지 않는 등의 장점이 있어 전세계 곳곳에서 화폐로 사용되고 있다. 하지만 비트코인이 기존의 화폐를 대신할 수 있을까에 대해서는 많은 전문가가 회의적이다. 비트코인의 가치가 분단위로 들쑥날쑥하여 변동성이 매우 높기 때문이다. 또한 비트코인의 가격이 지속적으로 상승하는 반면 상품의 가격은 그대로이거나 하락한다면, 사람들은 비트코인으로 물건을 거래하지 않고 투자 목적으로 축적하려는 현상이 일어날 것이라고 전망한다. 그렇게 되면 화폐로서의 기능은 약화될 수밖에 없는 것이다.


또한 비트코인은 익명으로 거래되기 때문에 불법 거래에 악용될 수 있고최근 그 가치가 과도하게 상승함에 따라 투기의 위험성이 있다. 또한 비트코인이 저장된 기기가 해킹당하면 비트코인을 도둑맞을 수 있는 등의 여러 가지 문제가 존재한다.


하지만 비트코인이 화폐의 기능은 약할지라도 획기적인 화폐 시스템임은 명백하다. 얼마 전 미국의 한 부부가 비트코인의 화폐 가능성을 실험하고 증명하기 위하여 비트코인만 가지고 3개월 간의 세계 일주에 나섰다. 미국에서 시작해 스웨덴, 독일 싱가포르를 거치는 여행에서 부부는 식비부터 숙박비, 연료비까지 모든 여행비를 비트코인으로만 결제했다. 이 부부는 비트코인으로만 생활하는 게 불가능하지 않음을, 비트코인이 화폐로서 가능성이 있음을 증명하였다


지난 1 우리나라에서도 비트코인으로 결제를 할 수 있는 첫 점포가 생겨나면서 한국인들의 관심을 끌며 온라인을 뜨겁게 달구고 있다국내에서는 코빗(https://www.korbit.co.kr)에서 비트코인을 거래할 수 있다. Ahn

 

대학생기자 이수정 / 숙명여대 멀티미디어과학과

 

신고

전문가가 말하는 지능적인 APT에 맞서는 방법

현장속으로/세미나 2013.12.09 18:12

11월 18일부터 19일까지 "제 7회 국제 통합 정보보호 구축전략 컨퍼런스(ISEC 2013)"가 코엑스 컨퍼런스룸에서 열렸다. 이 컨퍼런스를 통하여, 각 분야의 보안 실무자는 사회적 이슈인 정보보호의 최신 트렌드를 공유하고 보안 업체로부터 가이드와 솔루션을 제공받을 수 있다. 

APT공격이 지능화되고 피해가 증가함에 따라 APT 대응의 중요성이 높아지는 가운데 트랙B에서 진행하는 안랩 오상언 차장의 "위기로 다가온 APT, 어떻게 맞설 것인가?"를 들어보았다. 그는 APT솔루션이 APT공격에 어떻게 대응하는지와, 안랩 TrusWatcher(글로벌 제품명 안랩 MDS)에서 이루어지는 수집(Collection), 분석(Analysis), 모니터링(Monitoring), 대응(Response)의 4가지 측면을 설명했다. 다음은 주요 내용.

지난 4년 동안 이슈가 된 DDOS공격(2009,2011,2013), 금융기관 해킹 사고(2011), 개인정보유출(2011,2012), 전산망 마비 (2013), J언론 해킹사고(2012)등의 보안문제 가운데, 악성코드에 관하여 많은 논의가 이루어지고 있다. 그렇기 때문에 APT공격에 대하여 무엇을(What), 어떻게(How), 할(DO) 것인지가 중요하다. 

APT솔루션이 APT에 대응하는 4가지 방법

대부분의 APT솔루션은 파일을 모은 후 분석하고, 모니터링한 후, 악성코드가 발견되면 그것에 대응을 한다. APT솔루션이 처음으로 하는 파일 수집(Collection)은 웹이나 FTP 메일등과 같이 네트워크 유입경로를 지나가는 모든파일을 수집하고, 실행파일인 PE파일과 문서형파일인 Non-PE파일로 구분을 하는 것이다. 분석(Analysis)은 가상머신을 이용하여 행위분석을 하는 것이다.  

안랩 APT솔루션인 은 컨텐츠 분석을 추가적으로 수행한다. 이러한 분석을 통하여 Anti-VM에 어떻게 대응할 것인지 방향을 정하고, 지능적으로 악성코드를 탐지하고, 오탐을 최소화할 수 있어야한다. 모니터링(Monitoring)은 APT솔루션이 가상머신을 채택하고 있기 때문에 악성의 여부를 가시성있게 보여줘야한다. 대응(Response)은 악성코드가 발견되면 디스크를 포맷하거나 Malware를 치료나 삭제를 하는 것이다.

안랩의 TrusWatcher는 APT공격에 탐지 및 대응에 특화한 보안 솔루션으로, 다른 APT솔루션과 마찬가지로 수집, 분석, 모니터링, 대응의 4단계로 APT를 막는다. 

<수집>

실제 인터넷과 내부의 pc간의 통신하는 모든 서비스 프로토콜에 대해서 장비가 기본적으로 인식하고 수집된 파일내에서 PE파일과 NON-PE파일로 구분한다. 대부분 인터넷 프로토콜을 인식하여 파일을 수집할 수 있는 지가 중요하다.

<분석>

안랩 TrusWatcher는 모든 정보를 시그니처 기반으로 탐지한다. 시그니처 방식을 채택하는 이유는  고객사의 PC에 유입되는 파일에 악성코드, 신종악성코드, 변성악성코드가 있을 위험이 있기때문에, 모든 파일을 최대한 빨리 악성과 정상인지를 구분하기 위해서이다. 탐지한 파일 중에서 악성파일도, 정상파일도 아닌 알려지지 않은 파일도 발견된다. 이러한 파일은 가상머신에서 행위 기반으로 탐지를 하게된다. 하지만 가상머신은 고객사의 PC와 동일하게 세팅을 할 수 없으므로 오탐이 발생할 가능성이 있다. 

그렇기 때문에 안랩 TrusWatcher는 행위 기반 탐지와 동시에 평판기반 탐지를 한다. 행위 기반 탐지와 편판 기반 탐지 후, 위협과 잠재적인 위협, 정상으로 분류가 된다. 이에 따라 시그니처 기반의 탐지를 통하여 알려진 악성코드를 필터링더라도 평판기반으로 오탐을 최소화할 수 있다.

안랩 TrusWatcher는 파일이 실행하기 전과 연관 행위 종료 후 사이에서 프로세스, 파일, 네트워크, 레지스트리에 대하여 실시간으로 분석한다. 분석한 정보를 악성인지 여부만 탐지하는 것이 아니라 클라우드, 시그니처, 평판 기반 탐지를 종합적으로 연관 분석하여 실질적으로 오탐을 줄인다. 

하지만 타사는 파일이 시작되는 전과 후의 변화에 따라 악성 여부를 판단한다. 즉, 평판 기반 탐지를 하지 않기 때문에 레지스터나 프로세스의 변화만 보고 악성 여부를 판단하여 오탐이 발생할 가능성이 크지만, 안랩 TrusWatcher는 행위분석 외에 크라우드, 평판분석, IP/URL Filtering, 시그니처 방식의 다차원 분석을 통해 오탐을 최소화한다.

앞의 내용은 정적 지능형 컨텐츠 분석의 내용이다. 그럼 가상머신의 엔진 속에서 동적 지능형 컨텐츠 분석은 어떻게 할까? 파일이 실행되면 exe 파일과 DLL#1, DLL#2, DLL#3의 파일이 생긴다. 정상 파일의 경우 exe에서 DLL#1로 갔다가, 다시 exe에서 DLL#2로 가고, 다시 exe에서 DLL#3으로 탐지 한 후 파일이 열린다. exploit 파일의 경우 exe에서 DLL#1으로 갔다가, 특정 시간 이후에, 메모리의 heap 영역에 shell code를 만든 후 exe에서 DLL#2로, 다시 exe에서 DLL#3으로 가는 정상행위를 하다가 exploit이 발생하면 shell code로 점프를 한다. 안랩은 악성코드 분석을 디버깅 프로그램을 통해 한다. 문서파일이면 컨텐츠파일 분석을 하고, exploit이 발생하면 shell code 영역으로 점프를 하여 탐지하고 분석한다.

ROP gadget이란 악성코드 제작자가 정상적인 코드를 악성 shell code로 재사용하는 것이다. 이러한 ROP를 탐지하는 것이 안랩의 동적 콘텐트 분석 엔진(DICA)이다. DICA는 ROP gadget에 의하여 발생하는 가능한 모든 트리거를 모니터링하여 shell code로 실행하는 메모리 영역을 실시간으로 검사한 후, 메모리 영역의 악성 shell code 여부를 판단한다. 또한 DICA 엔진을 통하여 APT에 활용되는 비실행형 악성코드를 탐지가 가능하다. 요즈음 아래한글,워드, 아래한글같은 비실행형 코드를 통하여 APT공격이 이루어지고 있다. 

안랩 TrusWatcher는 워드파일이 수집되면 DICA 엔진으로 동적 컨텐츠 분석을 수행하고, 그 후 실행파일에 대하여 실시간으로 모니터링하고 평판분석하여 오탐을 최소화한다. 타사는 워드나 pdf 파일에 대하여 탐지가 가능하나, 많이 사용되는 아래한글에 대해서는 정확하게 탐지할 수 없다. 아래한글파일이 들어오면 워드파일이라 인식하고, 워드파일로 분석한다. 그러다보니 아래한글파일의 분석결과가 워드파일로 분석되어 보안담당자에게 혼락을 줄 수 있고, 실행 전과 후의 변화로 악성여부를 판단함으로 오탐이 발생할 가능성이 크다. 

APT에 대응하는 솔루션이 많이 나오다보니, 악성코드 제작자 입장에서는 악성코드를 분석하는 엔진이 악성코드를 인식하게 못하도록 압축, 패킹, 가상머신이나 샌드박스가 우회하도록 하는 기술을 발전시키고 있다. 안랩은 이 부분을 정적분석과 동적분석을 통해 막고 있다. 정적분석의 방법으로 알집같은 압축 포맷을 해제하는 것이 중요한데, 알집의 압축 포맷을 해제하는 기술은 안랩만이 가지고 있다.

<모니터링>

대부분의 APT대응 솔루션들은 악성코드 탐지 분석에 대한 내용을 점수를 메기고 위험도를 평가한다. 고객사가 신종/변종 악성코드인지 알려진 악성코드인지 의심스러운 행위파일인지 알 수 있게 가시성을 확보하여야한다. 가상머신으로 나온 결과만으로 교정을 할 수 없기때문에, 보안담당자가 모든 파일을 훑어봐야해서 업무가 더 늘어날 수 있다. 하지만 안랩의 truswatcher은 레벨을 1부터 10까지 나눠서 레벨 1부터 3은 의심스러운 행위파일, 레벨 4부터 7은 알려진 악성코드, 레벨 8부터 10은 신종,변종 악성코드로 나누어 가시성을 확보한다.

<대응>

안랩 TrusWatcher은 에이전트 방식을 채택하고 있다. 실행 보류 기능이 있어, 정상 판정이 나야 실행이 허용되고, 악성 판정이 나면 실행 홀딩이 유지된다. 이처럼 실제 분석된 정보를 바탕으로 하여 에이전트롤 활용해 악성코드에 대응해야 한다.

이어서 미리 페이스북에 받은 질문에 대한 답변이 이어졌다.

Q1.

A. 이 부분은 안랩뿐만 아니라 모든 APT대응 솔루션 업체들의 숙제이다. 비슷한 경우로, 가상머신기반으로 실제 의심되는 파일을 분석하여 분석한 데이터를 봤을 때, 행위기반으로 본다는 것은 악성행위가 나타날 때마다 악성으로 판단할 수 있고, 연관분석을 한다 해도 분명이 오탐이 발생할 수 있다. IBS 시절에 맞춤화했던 것처럼 APT 대응솔루션도 어느 정도 악성코드에 대한 맞춤 기관이 필요하다. 

APT 대응솔루션 하나만으로 모든 APT공격을 차단할 수는 없다. 그러나 기존에 운영하던 방화벽 로그나 네트워크 패킷 분석 시스템 등과 조화하여 지능형 악성코드 시스템에 대하여 대응하고, 기존보안솔루션과 잘 연동하여 사용하는가가 중요하다. ESM/SIM이나 기타 빅데이터 솔루션과 연동하여 시나리오 베이스로 잘 모니터해야 한다.

Q2.  

A. 이 질문은 네트워크 포렌식 장비와 어떻게 연계를 할 수 있는지에 대한 것이다. APT 대응솔루션은 파일에 대하여 수집을 하고 기본적인 패킷 분석을 하지, full packet 이나 double packet에 대하여 실시간으로 정확한 패킷분석을 하지 못한다. 

패킷분석시스템과 APT 보안 솔루션과 함께 방화벽도 이용하여 APT대응을 해야 한다. APT대응솔루션을 통하여 의심스런 파일의 패킷 조합을 살펴서 파일 분석을 해야 한다. APT대응솔루션이 파일을 가상머신에서 돌리면 대부분의 방화벽은 의심되는 외부 IP와 통신하는 것을 탐지한다. APT대응솔루션으로 부터 나오는 파일에 대한 분석대응과 방화벽의 패킷분석 시스템의 분석로그를 조화시켜 APT에 대한 정확한 공격을 할 수 있다. Ahn

대학생기자 윤현정 / 동덕여대 컴퓨터학과 


신고

스마트 사용자 노린 스미싱, 메모리 해킹, 파밍이 온다

개그콘서트의 인기 코너인 ‘황해’는 보이스 피싱(Voice Phishing)을 소재로 공감대를 이끌어낸 뒤 예상되는 상황을 비틀어 웃음을 자아낸다. 이는 그만큼 보이스 피싱이라는 신종 범죄가 일반적인 일이 되었음을 보여주는 증거이다. 

내 어머니도 보이스 피싱을 당할 뻔한 적이 있었다. 2010년 당시 나는 대학교 1학년으로 서울에 올라와 자취를 하고 있었다. 친구들과 술자리를 가진 뒤 잠을 자고 일어나보니 어머니에게 무려 20통이 넘는 전화가 걸려 와 있었다. 정신을 차리고 전화를 해보니, 나를 잡고 있으니 500만원을 입금하라는 유괴범의 전화가 왔었다는 것이다. 어머니는 그 전화를 끊고 내게 전화를 해도 받지 않자, 정말 입금을 하려고 했었다. 다행히 내 대학 동기에게 전화해 집에 잘 들어갔음을 확인하고 피싱에 당하지 않으셨다.

이렇게 신종 사이버 범죄에는 나이와 상관없이 누구나 노출되어 있다. 특히 새로운 범죄 정보에 취약한 노년층조차 스마트폰을 쓰는 시대가 온 이후, 그 위험성은 더욱 심각해졌다. 올해 1월부터 8월까지 보이스 피싱 피해액이 439억 원이나 된다. 이뿐만 아니라, 사이버 범죄가 나날이 발전하면서 보이스 피싱을 넘어 스미싱, 메모리 해킹, 파밍이라는 새로운 범죄가 기승을 부리고 있다. 이러한 범죄를 미연에 방지하는 방법은 그 정보를 많이 알아 놓는 것이다.

신종 사이버 범죄 막아주는 방화벽은 ‘정보’

그림입니다.
원본 그림의 이름: %BB_-%~1.JPG
원본 그림의 크기: 가로 550pixel, 세로 814pixel

스미싱(Smishing)은 보이스 피싱의 발전형으로 문자를 이용한 범죄다. 악성코드가 있는 URL을 문자로 보내 사용자가 그 URL을 클릭하면 악성코드가 자동으로 설치된다. 휴대폰을 감염시키거나, 소액결제를 유도하는 문자를 보내 사용자 본인도 모르는 사이 결제가 되게 하는 방식으로 돈을 갈취한다. 

그림입니다.
원본 그림의 이름: 1.jpg
원본 그림의 크기: 가로 643pixel, 세로 747pixel

파밍(Phaming)은 컴퓨터에 악성코드를 심어 놓은 뒤, 인터넷을 켤 때 해커가 만들어 놓은 가짜 웹사이트로 이동하게 하여 개인정보를 빼내고 그 개인정보를 이용해 금융 사기와 같은 범죄에 이용하는 것이다.

그림입니다.
원본 그림의 이름: imagesCAPI953C.jpg
원본 그림의 크기: 가로 280pixel, 세로 180pixel

메모리 해킹(Memory Hacking)은 스마트폰에 몰래 해킹 프로그램이나 악성코드를 심은 뒤 메모리를 해킹하여, 사용자가 휴대폰으로 하는 모든 정보 빼내 범죄에 이용하는 것이다. 심지어 메시지 해킹, 음성 도청과 카메라 기능을 이용한 몰카, 개인의 위치정보 파악과 같은 심각한 개인정보 침해를 일으키기도 한다. 또 악성 앱을 설치하여 파밍과 같은 범죄를 유발하기도 한다. 안타깝게도 일반 사용자가 자신의 휴대폰이 몰래 해킹을 당했다는 사실을 알기는 힘들기 때문에 더욱 당하기 쉽다. 

사이버 범죄 관련 정보의 진실 혹은 거짓

이제는 많은 사람이 이러한 범죄 관련 많은 정보를 얻고 있지만, 과장되거나 거짓된 정보가 마치 진짜인 것처럼 유통되기도 하므로 주의가 필요하다. 사이버 범죄 관련 정보의 허와 실, 그 예방법을 살펴보자.

1) 정부기관에서 출두명령이나 입금을 문자로 요구한다? 

검찰청 출두, 경찰청 출두를 사칭함으로써 두려움을 주어 사람들의 이성적 판단을 흐리고 범죄에 낚이게 하는 스미싱 범죄가 빈번하게 일어난다. 기본적으로 공공기관에서는 개인에게 출두 명령이나 입금을 요구하는 문자를 보내지 않으니 속지 말아야 한다. URL을 잘 확인하는 것도 중요하다. 정부기관은 government의 약자인 go를 인터넷 도메인으로 사용한다. 그리고 일반 사기업은 corporation의 약자인 co를 사용하기 때문에 정부기관임을 확인하고 싶다면 go.kr인지 co.kr인지를 잘 확인하는 것이 좋다.

2) 스미싱 문자를 클릭만 해도 결제가 되기 때문에 절대 클릭하지 말아야 한다?

스미싱에 담긴 URL을 클릭만 해도 결제가 이루어진다는 글은 허구이다. 클릭을 하면 apk라는 악성코드가 담긴 파일이 저장되는데, 설령 클릭을 했을지라도 즉시 apk 파일을 지우기만 하면 상관없다. 예방하는 가장 간편한 방법은 모바일 백신을 설치하여 이런 프로그램이 다운로드되었을 때 자동으로 삭제하거나 위험한 프로그램임을 알려주는 기능을 이용하는 것이다. 모바일 백신은 대부분의 스미싱을 잡아낸다.

3) 전화를 걸기만 해도 자동으로 결제가 될 수 있다?

최근 SNS로 확산되는 이 이야기 역시 근거 없는 소문에 불과하다. 전화를 걸어서 나오는 안내에 따라 번호를 누르는 것은 물론 위험할 수 있다. 피싱과 관련된 전화를 자동으로 차단하거나 어떤 번호인지 알려주는 Who is call? 과 같은 애플리케이션이 시중에 많이 나와 있으므로 이것을 이용하는 것이 좋다.

4) 스미싱이 파밍보다 악질이다?

사실 스미싱보다 악질적인 것이 파밍(Pharming)이다. 파밍은 컴퓨터와 모바일을 이용한 일종의 금융사기이다. 컴퓨터에 악성코드를 심어 놓은 뒤, 기존 금융 사이트가 아닌 가짜 사이트로 이동하게 하여 ‘보안강화’와 같은 명목 하에 개인금융정보를 빼내는 방법으로 한 번에 수백에서 수천만 원에 이르는 피해를 남기기도 한다. 

금융전문가도 속을 만큼 정교하게 사이트를 제작하여 정보에 무지한 일반인은 더욱 피해를 입기 쉽다. 또한 자주 찾는 포털 사이트에서 긴급조치를 빙자하여 팝업을 띄운 뒤 ‘금융감독원’이라는 이름을 사칭하고 정보를 요구하기도 한다.

 그림입니다.
원본 그림의 이름: CAM00443.jpg
원본 그림의 크기: 가로 4160pixel, 세로 3120pixel
사진 찍은 날짜: 2013년 09월 18일 오후 11:07

▲ 실제 경험한 파밍 화면 

먼저 포털 팝업 창 뜨는 방식일 경우 그 포털 사이트의 모습을 잘 살펴보는 것이 좋다. 가짜 사이트는 특정 날짜의 포털 모습을 이미지로 따온 경우가 많다. 네이버나 다음과 같이 사람들이 주로 쓰는 포털의 경우 오늘의 정보, 뉴스, 인기검색어와 같은 섹션으로 인해  매일매일 전면부가 달라지기 때문에 이러한 팝업창이 떴을 시에 그 부분을 잘 살펴보는 것이 좋다. 역시나 기본적으로 최신 백신을 늘 구동하는 것이 가장 좋은 예방법이며, 걸렸을지라도 경찰청에서 배포하는 현재 파밍으로 인해 비정상으로 뜨는 사이트들이 있다.

 그림입니다.
원본 그림의 이름: CAM00445.jpg
원본 그림의 크기: 가로 4160pixel, 세로 3120pixel
사진 찍은 날짜: 2013년 09월 19일 오후 1:01

▲ ‘파밍캅’으로 감염된 PC를 치료하는 장면 

‘파밍캅’이라는 프로그램을 설치하여 악성코드를 제거하는 방법도 있다. Ahn


그림입니다.
원본 그림의 이름: 황윤준님_증.jpg
원본 그림의 크기: 가로 354pixel, 세로 472pixel
사진 찍은 날짜: 2013년 08월 09일 오후 13:44       대학생기자 황윤준 / 홍익대 영어교육전공

 

신고