아테나, 이란 원전 공격용 악성코드를 막으려면

안랩人side/안랩팀워크 2011. 2. 10. 08:48

최근 드라마 '아테나'에 이란 원자력발전소를 공격하기 위해 '스턱스넷(Stuxnet)' 악성코드를 이용한다는 설정이 등장해 화제가 됐다. 그런데 이는 단순히 드라마 속 이야기가 아니다. 실제로 작년에 이란 원전 시설에서 원심분리기의 오작동이 발생한 바 있기 때문이다. 이는 외부와 단절된 폐쇄망 안에 있는 시설조차 이제는 더 이상 안전하지 않다는 것을 경고한 사건이었다. 또한, 의도적으로 이란 원전을 노렸다는 의혹이 제기돼 스턱스넷의 출현은 사실상 ‘사이버 전쟁의 서막’으로 인식되었다. 그래서 안철수연구소는 스턱스넷의 등장을 2010년 10대 보안 위협 중 1위로 꼽은 바 있다.

안철수연구소는 이 사건이 발생하기 직전인 작년 9월 산업용 보안 전용 솔루션인 ‘안랩 트러스라인(AhnLab TrusLine)’을 출시했다. 이동식 매체와 인터넷 등으로 유포되는 악성코드가 증가하는 가운데, 악성코드에 비교적 취약한 산업 현장 및 POS(Point of Sale) 시스템의 보안체계에 관심이 증가한 데 따른 것이었다. 트러스라인 개발의 주역들을 만나 다양한 이야기를 나누어 보았다.


- 특별히 생산 라인이나 POS 전용 보안 솔루션을 만든 계기가 있나요?

산업용이나 POS 시스템은 주로 특정 애플리케이션을 사용합니다. 예를 들어 생산 현장에서 사용되는 시스템에는 제조에 적합한 애플리케이션을 이용하는데, 그러다 보니 주로 저사양 시스템을 구축하는 경우가 많습니다. 여기에 일반 보안 솔루션을 적용하면 시스템의 리소스를 많이 차지하고, 구동 과정에서 과부하가 발생할 수 있습니다. 그 때문에 산업용이나 POS 시스템에서는 보안 솔루션을 잘 이용하지 않는 경우가 많았지요. 그런데 스턱스넷처럼 이동식 매체나 인터넷으로 확산되는 악성코드가 점차 늘자, 특수한 환경에 적합한 보안 솔루션에 대한 요구가 생겼습니다. 동시에 저희도 산업용, POS용 보안 체계가 필요하다는 인식을 갖게 되었죠.

저사양이란 점에 초점이지만, 기존 고객이 백신을 이용할 때 시스템에 미치는 영향, 그리고 업데이트나 패치에 어려움을 겪거나 잘 안 되는 경우가 많아서 보안 솔루션이 무용지물이 되는 것도 주된 고민거리였는데요. 그래서 가장 중요한 개념으로 그러한 업데이트나 패치 등이 에이전트(Agent; 생산 또는 POS 현장에 존재하는 각 설비의 시스템) 측에서 직접 이루어지는 것이 아니라, 해당 생산 업체나 POS에 위치한 서버에서 클라우드(Cloud) 방식으로 진행되는 것을 고안했습니다. 그러다 보니 에이전트 시스템의 리소스도 많이 차지하지 않고 엔진 업데이트에 대한 부담도 적어지면서, 저사양에서도 구동되기에 적합하도록 된 것이죠.

 


- 많은 인원이 집중되어있고 각각의 역할이 기획, PM, 개발, QA로 나뉘어 있으니, 서로 요구사항이 달라서 불가피하게 의사소통에 차질이나 갈등도 있었을 것 같은데요. 그러한 점을 잘 극복하고 좋은 팀웍을 유지한 비결이 있나요?

서로 다른 일(기획, PM, 개발, QA)을 해온 이들이 모였기 때문에 각자 생각이 달라 초기에는 조율에 어려움이 있었죠. 또 프로젝트 룸에서 오래 생활하니 사회 생할에 대한 그리움(?)과 같은 고충도 있었죠. 그런데 개발 중후반에 접어들면서 최초의 브랜드라는 데 자부심이 생기고, 제품에 생명을 불어넣는 과정을 거치면서 서로 개인의 특성보다는 좀더 팀웍을 중시하는 분위기로 자연스럽게 흘러간 것 같습니다. 제대로 안 하면 혼나야죠, 뭐. ^^

- ‘화이트 리스트(White List)’ 기능이 많이 부각되는 것 같은데, 구체적으로 어떤 기능인가요?

우리가 출입국심사대에서 보면, 블랙 리스트가 존재하잖아요. 블랙 리스트에 있는 사람은 입국이 불가하지만, 블랙 리스트에 없는 위험한 사람은 입국이 가능하다는 의미도 됩니다. 이것이 보안 영역으로 넘어면, 블랙 리스트보다 사람 몇 명을 선정하여 그 사람들만 입국이 가능하도록 하게 한 것이 화이트 리스트이지요. 그렇기 때문에, 악성코드다 아니다를 구분하는 것도 좋지만, 조금의 악성코드도 산업 현장에 큰 위협이 되므로, 실행되어야 하는 응용 프로그램만 실행되게 한 것이 화이트 리스트를 사용하는 트러스라인의 특징입니다.

사실 화
이트 리스트는 우리 제품에만 있는 특별한 기능은 아니에요. 그 리스트를 어떻게 작성하는가가 핵심 기술이라 할 수 있습니다. 우리 화이트 리스트 기술이 의미가 있는 이유도 독립된 서버로 리스트를 만들어서 활용한다는 점 때문이에요. 기존에는 에이전트 각각에 설치된 백신을 업데이트하는 방식이었는데, 우리는 에이전트 시스템이 연결된 서버 한 곳만 업데이트하면 되고, 또 사용자가 새로운 프로그램을 실행할 때 서버에서 실시간으로 결과를 전송해줄 수 있다는 점이 차별점입니다.

또 하나 특이한 것이 잠금(Lock) 기능입니다. 화이트 리스트 기반으로 산업 시설에 안정적으로 운용되고 있으면, 다른 실행 프로그램이나 플러그인이 실행되지 않도록 하는 기능이지요. 산업 라인을 따로 신경 쓸 것 없이 안정적일 때 잠금이 설정되기 때문에 그만큼 안정적입니다. 서버를 통해 에이전트에 대한 검사가 모두 완료되어 안정된 상황이 되었을 때, 해당 시스템에 더 이상의 프로그램 접근을 차단하는 것을 의미합니다.


- 독립된 서버의 개념을 좀더 쉽게 설명해줄 수 있나요?

각각의 에이전트와 그것을 관리하는 단일 서버로 구성된 제품이라고 설명했는데요. 서버에서는 바이러스 총괄 센터에서 받아야 하는 업데이트 등을 수행하면서, 에이전트에서 새롭게 발생된 실행 파일이나 프로그램에 대한 검사를 하고 그 결과를 전달하는 역할입니다.

- QA는 품질관리/보증을 담당한다고 알고 있는데, 구체적으로 어떤 업무를 하는지요?

안랩의 QA는 제품의 퀄리티(Quality)도 중요하지만, 만들어지는 프로세스(Process)도 매우 중요시한니다. 예를 들어 좋은 개발자 한 사람이 있으면 제품은 나올 수 있죠. 하지만 만약 그 개발자가 없어지면 제품은 더 이상 생산되기 어렵습니다. 저희는 그러한 위험을 방지하기 위해 제품 개발의 절차를 만들어 놓습니다. 그래서 그러한 절차들이 제대로 이행되는지 회의를 통해 협의하는 과정을 주로 거치게 되죠.

- 그럼 제품 개발 단계에서 절차 상의 기준점을 점검하는 일을 한다고 볼 수 있겠군요?

네, 맞습니다. 그래서 어떻게 보면 팀원들과 아군이 될 수도, 적군이 될 수도 있는 애매모호한 관계죠.

- 이번 QA를 진행하면서 가장 중요하게 생각했던 점은 무엇인가요?

첫째는 품질이죠. 그게 품질보증팀이 존재하는 이유이기도 하고요. 다음은 그러한 제품이 나오는 과정에서 각각의 절차가 잘 지켜지는지, 또 절차상에 문제는 없는지를 살펴보는 것이었습니다. 일정이 정해져 있다보니 그 기간 내에 효율적으로 테스트가 이루어질 수 있도록 하는 것도 중요한 고려 요소였죠.


또한 개발을 맡은 라완규 책임과 QA 이우범 선임은 이제 막 출시된 트러스라인이 많이 보급되도록 안정성의 확보가 중요한 포인트라고 말하였다. 현장의 시스템에서 직접 구동됨에 따라 개발 단계에서는 예상하지 못했던 변수와 참고자료(Reference) 등이 서버를 통해 전달되고, 그에 대해 대응책을 마련하게 되면서 트러스라인의 안정성이 더욱 향상될 것이라는 점이다.

트러스라인이 갖고 있는 최대 강점에 대해서 한태수 PM은 크게 4가지를 말했다. ‘안랩이라는 브랜드의 신뢰도, 엔진에 대한 높은 대응력, 저사양 환경에서도 뛰어난 구동성, 그리고 해당 시스템에 지장을 주지 않고 운용될 수 있는 가용성’이 그것이다. 특히 가용성은 본래 시스템 업무에 지장을 주지 않은 채 제 역할을 충분히 해낸다는 점에서, 백신이나 보안 솔루션으로 인한 고객들의 불만도 최소화될 것이라고 전했다.

한편 기획을 맡은 김병규 차장은 화이트 리스트 기반의 보안 솔루션이라는 점에 가장 주목한다고 말했다. 일반적으로 화이트 리스트와 블랙 리스트의 개념이 존재하는데, 김 차장은 이를 공항 입국심사에 비유하여 설명하였다. 위험요소만의 진입을 막는 블랙 리스트 방식은 위험요소를 이외에 진입된 다른 요소에서 잠재적 보안구멍이 발생할 수 있다는 약점이 있는데, 이에 반해 화이트 리스트 방식은 허가 받은 요소만을 진입하도록 하기 때문에 추가적인 위험 발생을 막을 수 있다고.

특별히 신입사원도 이번 인터뷰에 함께 했다. 공채 7기 김용규 사원은 안철수연구소와 트러스라인 팀에서 일하면서 개발체계가 잘 잡혀있다는 인상을 받았다고 한다. 그러한 개발 프로세스의 확립을 통해, 처음에는 잘 모르는 사원도 일정한 절차를 숙지하는 과정에서 많은 것을 배울 수 있다고 말했다. 먼저 개발에 참여한 선배들의 조언과 피드백을 얻을 수 있는 멘토 제도와, 사원 개개인의 작은 아이디어에 대한 회사 차원의 지원으로 개인의 역량을 높일 수 있는 iQ제도(소문자 i는 사원들의 작은 아이디어라도 관심 있게 장려하고자 하는 의미가 담겨있다) 역시 안철수연구소에서 만나볼 수 있는 장점이라고 설명했다.

트러스라인은 올해 공장과 산업 생산라인 시장에 주력하여 제품의 기반과 안정성을 확보함과 동시에, 내년에는 금융, ATM, POS, 은행권 등으로도 진출하겠다는 향후 계획을 밝혔다. 이제 막 첫 걸음을 떼었지만, 화이트리스트 기술 적용과 서버중심의 보안 네트워크 등 치밀한 준비작업과 팀원들의 노력을 바탕으로 더 큰 도약을 준비하고 있는 안랩 트러스라인. 다양한 산업현장에서 또 하나의 보안 수호신으로 활약할 트러스라인을 기대해 본다. Ahn

사내기자 오주현 / 안철수연구소 웹플랫폼팀 주임연구원
사진. 사내기자 황미경
/ 안철수연구소 커뮤니케이션팀 차장


대학생기자 한병욱 / 명지대 디지털미디어학과

'1%의 가능성만이 존재하더라도 도전할 수 있는 것이 20대의 특권이다.' 한 소설책에서 본 구절이 문득 떠오릅니다. 열정적이고 순수함으로 가득한 20대의 소중한 시간을, 영혼이 있는 기업 안철수연구소와 함께 할 수 있어 더욱 행복합니다.


 

댓글을 달아 주세요

  1. 김재기 2011.02.10 09:20  Address |  Modify / Delete |  Reply

    화이트리스트라는 개념에 대해 처음 알게 되었네요 ^_^ 좋은 정보 감사합니다

  2. 꼬마낙타 2011.02.10 20:39  Address |  Modify / Delete |  Reply

    잘 보고 갑니다. ^^

  3. 이철호 2012.09.27 17:05  Address |  Modify / Delete |  Reply

    요즘 잘나가시는듯