보안전문가가 진단한 최신 해킹 패러다임

해킹은 어떻게 일어날까? 뉴스에서는 국가 간 사이버 테러전이 일어나고 있다는데, 마치 영화 속의 일인 것처럼 들린다. 하지만 아주 먼 이야기는 아니다. 해외에서는 카페라떼 한 잔을 마시는 동안에 스마트폰을 해킹하는 동영상이 유명세를 탔다. 해킹은 이미 일반 사용자도 할 수 있을 정도로 놀랍도록 쉬운 방법이 나와있다. 최근 해킹의 패러다임은 어떻고, 보안 전문가는 무엇을 준비해야 하는지 조주봉 주임연구원을 만나 들어보았다.

 

 해킹, 과시용에서 범죄로

- 최신 해킹은 어떤 양상인가? 

해커가 기술을 내세우기 위해 활동했는데, 지금은 돈 되는 건 다 한다. 범위 없이 모든 곳에서 일어나고 있다. 가장 빈번하게 일어나는 범죄는 개인정보 유출이다. 개인정보를 훔쳐서 외부에 팔고, 해당 사이트에 입막음 하기 위해 돈을 요구하는 범죄, A업체의 경쟁사 B업체의 사이트를 디도스(서비스거부) 공격으로 다운시키고 대가로 돈을 받는 등의 범죄가 빈번하게 일어난다.

- 과거에 비해 해킹 기술이 새로운 게 많이 발견되었나?

아니다. 기존 기술이 업그레이드되어 계속 쓰인다. 이미 해킹 기법은 2000년대 초반 기술이 정립이 된 상태다. 거것이 계속 업그레이드만 되어 오고 있다. 악성코드만 보면, 기존에는 바이러스로 컴퓨터만 망치는 것이 전부였다. 이후 정보를 빼가는 기술과 접목이 되고, 공격할 수 있는 기술이 접목이 되고, 전파할 수 있는 기술이 접목이 되는 등 많은 기법들이 다 합쳐져있다. 옛날엔 바이러스, 트로이목마가 나누어졌는데, 지금은 정확하게 나눌 수가 없을 정도로 모든 것이 합쳐졌다. 악성코드 유형의 구분이 의미가 없는 상황이다.

 

- 인터넷 환경이 변하면서 해커가 예전보다 활동하기 편해졌나? 

그렇다. 디도스(서비스거부) 공격을 예로 들 수 있다. 디도스 공격은 한 번에 많은 사용자의 데이터를 전송시킴으로써 서버를 다운시키는 공격이다. 기존엔 인터넷망이 국도와 같아서 공격을 해봤자 서버에서는 다 받아들일 수 없었기에 무용한 공격이었지만 지금은 인터넷망이 고속도로 8차선처럼 빨라서 많은 양의 데이터도 동시에 보낼 수 있다. 또 해킹을 쉽게 할 수 있게 하는 해킹 툴도 생겼다.

 

- 해킹 툴로 초등학생들도 해킹한다는 뉴스가 있었다. 이런 해킹 툴은 얼마나 쉽게 사용할 수 있나?  
보고 놀랐다. 기술적 해킹이라기보단 남이 만들어놓은 툴을 이용하는  ‘스크립트 키드’ 수준이지만, 이용하기 아주 쉽다. 프로그램을 실행해서 버튼 하나만 누르면 악성코드 파일이 하나 만들어진다. 그 파일을 카페나 블로그에 올려서 사람들이 배려받게끔 사회공학적 기법을 사용해 해킹한다. 악성코드에 감염된 파일을 ‘좋은 상용 툴’이라고 속여 올려놓고 감염시키는 경우다.

 

*사회공학적 해킹: 기술이 아닌 사람의 심리적 취약점을 공략하여 원하는 정보를 얻는 공격을 말한다. 사용자의 궁금증을 교묘히 이용하여 메일을 열어보게 하는 등의 방법이 있다.
 

핵티비즘, 조직적 해킹 집단의 등장

  

- 기업이나 국가기관을 해킹하는 사람은 어떤 사람인가?
어나니머스 같은 해킹 조직은 평소엔 드러나지 않다가 사건이 한 번씩 터지면 드러난다. 대부분의 해킹 조직은 조직적이지만, 악의적 목적이 아니라 취약점을 찾아내고 기술을 연구하며 발전시켜가는 해커가 많다. 중국이 해커 집단이 많은 것으로 유명한데, 예를 들어 보이스 피싱은 해킹하여 개인 정보를 수집하는 팀, 해킹 자료로 협박하는 팀, 돈 찾는 팀 등 세분되어 있다.

 

- 테러 위협도 많을 듯?
국가 간 테러 얘기가 많이 나온다. 최근 미국에서는 사이버 테러 하면 미사일 날리겠다는 발언도 있었고, 영국도 사이버 테러전 대비해서 준비하고 있다는 기사도 있다. 실제로 알게 모르게 중국에서도 있다.  

어나니머스가 소니에 보낸 협박 동영상 일부 장면

- 증거가 남나?

증거가 안 남는다. 초보가 아닌 이상 흔적을 삭제한다. A라는 사이트를 해킹하기 위해서는 직접 자신의 컴퓨터로 들어가는 것이 아니라 B,C,D 서버를 공략해놓고 그것을 경유해서 가는 경우가 많다. 이 경우 중간에 끊기면 전 단계를 찾기가 어려운 상황이 된다. 계속 추적해서 나가다보면 특정 IP를 찾고, 그 사건이 기존의 사건의 IP와 연루되어 있다면 찾을 수 있다. 이렇듯 다양한 정보를 모아 찾는 거라, 기술적 접근뿐 아니라 심리적 추리도 필요하다.  

 

- 기술 쪽 인력이 이제 더 많이 필요할 듯하다.
맞다. 인력이 많이 필요하다. 보안 회사도 인력이 많이 부족하다. 컴퓨터를 좋아하고 기술적 실력을 갖춘 인력을 구하기가 힘들다. 깊숙하게 공부하기보다, 얕게 공부하기 때문에 심도있는 기술을 보유한 인력을 찾기 힘들다. 기술적 역량이 있어야 프로그램을 만들고 분석, 방어도 할 것이다.

 

- 국내에서도 원전과 같은 사회기반 시설이 공격받을 수 있는가?
얼마든지 가능성이 존재한다. 농협의 경우 내부망에 접근 불가능하다는 게 정석이었으나, 그것을 뚫고 들어가는 걸 보면 중간에 걸쳐있거나 사람의 실수도 있을 수 있다. 꼭 컴퓨터만 갖고 해킹하는 건 아니기 때문이다. 가령 사회공학적 기법, 근처 쓰레기통 뒤져서 아이디, 패스워드 찾아내는 해킹도 있다.

  

내부 보안에는 투자를 하지 않는가?

 

- 보안은 성을 어려 겹 둘러싸는 성벽과 같은 개념인가? 

대부분 회사들이 겉 벽만 계속 쌓으면서 '이걸로 모든 게 해결이 될 것'이라고 인식하는 것이 현실이다. 하지만 실제로 지켜야 하는 곳 자체는 굉장히 허술한 경우가 많다. 프로그램이 잘못되었는데 그것을 방어하기 위해 겉만 여러가지 보안장비로 방어하는 경우가 많다. 당연히 외부도 보안이 되어야 하지만, 내부적으로는 프로그램 자체가 먼저 보안이 되어야 한다. 뭔가 뒤바뀌어있는 셈이다. 

- 겉만 단단하고 속은 약하다는 뜻인데, 외부 보안만 준비하는 것은 흔히 알려진 방법이라서인가? 혹은 내부 보안에는 투자를 하지 않는 것인가? 
프로그램 개발 단계에서부터 보안이 고려돼야 맞다고 생각한다. 일반 개발자는 보안을 모르는 상태에서 프로그램을 개발하고, 문제가 생겼을 때 그 프로그램을 고칠 생각보다 보안 장비에 의존하는 경우가 많다.

 

- 보안과 해킹을 보통 창과 방패라고 하는데, 무엇이든 막을 수 있다는 뜻인가 혹은 결국 뚫리는 것인가?
해킹이 앞서갈 수밖에 없는 구조다. 어떤 공격 기법이 나와야 그에 적합한 보안 방법이 생긴다. '미리 예견해서 보안을 한다.'라는 말은 결국 어떤 공격 패턴인지를 알기 때문에 보안을 할 수 있다는 뜻이다. 공격자도 방어하는 사람도 공격에 대해 알고 있어야 한다.

 

- 영화같이, 공격하고 대응하고? 
기본적으로 어떤 공격도 징후나 패턴이 존재한다. 보안 하는 사람이 공격도 할 줄 알면, 공격이 들어왔을 때 특정 패턴을 찾아낼 수 있다. 그 패턴이 발생했을 때 보고하도록 프로그래밍해놓아 같은 패턴이 다시 등장하면 자동 통보하도록 되어있다. 실제 관제센터에서의 상황은 이렇다. 공격이 발생하면 관제센터에서 미리 감지를 한다. 위협 보고가 되면, 보안 팀들이 나서서 방어를 한다. 방어를 해 놓으면 해커가 또 다시 다른 취약점을 찾아 공격한다. 이러한 패턴이 반복된다. 

 

보안 때문에 스마트폰의 사용이 불편해지지 않을까?

 

- 대상이 아닌 게 없는 것 같다? 전기자동차 시대가 와서 데이터화하면 차도 해킹될 수 있다는데?
TV도 안드로이드가 되었고, 홈네트워킹 등 컴퓨터로 컨트롤이 가능한 환경이 되었다. 이미 공격기법도 많이 나왔다. 인터넷만 연결이 되면, 혹은 전자 기계로 연결되 있다면 공격 대상이 된다. 예를 들어 누가 컴퓨터를 사용할 때, 다른 사람이 밖에서 안테나를 들고 전류 전파를 잡아서 모니터 복제를 하는 일도 가능하다.

 

- 인터넷의 문제가 아니라 전류, 전파만 있으면 가능하다는 뜻인가?
그렇다. 외국에서도 이에 대한 보안 대책이 많이 나와 있다. 예를 들어 유리창 보안 필름의 경우 말하는 게 떨림으로 전달되는 것을 컴퓨터로 해석해서 음성으로 변환하고, 컴퓨터에서 나오는 전파를 잡아서 복제하기도 한다. 버려진 인공위성을 해킹하는 경우도 더러 있다.

 

- 스마트폰, 탈옥하면 더 취약하다는데?
탈옥하든 안 하든 위험하다. 폰이 탈옥이 안 되어 있어도 공격자가 탈옥을 시켜서 공격하기 때문이다. 인터넷 쇼핑하다가 공격자가 폰에 들어와서 정보를 가져가기도 하고, 언제든 접속할 수 있게 만들어놓고 위치정보 등 모든 정보를 가져간다.

 

- 유선랜보다 무선랜이 더 위험할 듯하다. 보안 연구가 되고 있는가?

무선랜 환경의 경우 사실 보안 대책은 어느 정도 만들어져 있다. 그러나 그것을 사용하지 않는 경우도 많다. 어쩔 수 없이 오픈해야 하는 서비스가 존재한다. 보안 해결책이 있어도 그것을 활용하지 못 해서 생기는 문제점이 더 많다고 볼 수 있다.

해외에서 카페라떼 한잔을 마시는 동안에 공격한다는 소위 '카페라테 어택' 동영상이 유명세를 탔다. 무선랜 자체의 프로토콜이나 기본적인 보안은 잘 되어있지만, '사회공학적'인 방법으로 인해 문제가 될 수밖에 없는 듯하다.

 

- 단축URL을 사용하면서 출처도 모르고 클릭하여 악성코드에 감염되기도 한다던데, 보안 때문에 스마트폰의 사용이 불편해지지 않을까?

단축 URL에 악성코드가 심어져 있는지 자동으로 검사해주는 보안 서비스도 있다. 편의성 떄문에 기술이 발전하는데 보안 문제 때문에 위축된다면 후퇴할 수밖에 없을 것이다. 기술을 발전시키면서 거기서 보안이 필요한 부분을 찾아내는 게 보안 기업의 임무이지 않나 생각한다. 기술이 후퇴하면 안 된다고 생각한다.

  

- 보안은 빠르게 대응하고 있나?
어떤 공격 기술이 나오면 그에 즉각 보안 대책을 세운다.  더 많이 노력해야겠지만, 어느 정도 수준으로는  따라가고 있다고 생각한다.  

보안전문가는 얼리어답터가 될 수밖에 없다

- 평소에도 바쁜가? 보안전문가의 하루는 어떤가?

평상시에는 분석과 정보 수집을 한다. 공격의 패턴, 악성코드가 어떤 구조인지 분석을 한다. 해킹이 일어날 때는 어떤 기법에 의해 어떤 자료가 빠져나갔는지를 분석한다. 3.4 디도스 공격 같은 사고가 날 경우 거의 전 직원이 밤을 샌다. 

 

- 보안전문가가 갖춰야 할 기본적 학문 지식 외에 무엇이 필요할까?

우선 도덕성, 윤리의식이 필요하다. 둘째로 새로운 정보를 빠르게 받아들일 수 있는 역량이 필요하다. 정보가 워낙 빨리 지나가기 때문에 기존 기술을 지금 100% 사용할 수가 없다. 보안전문가가 얼리어답터가 될 수밖에 없는 게, 애플 아이폰도 써봐야 취약점을 알고 보안 대비책을 찾아내기 때문이다.

  
- 보안전문가나 해커는 모든 지식을 다 알아야 문제를 해결할 수 있을 거라는 생각이 든다. 과학자인가? 기술자인가?

기술자가 더 맞는 의미인 것 같다. 모든 분야를 다 알아야 하지만, 사실 그렇지 못 한 경우도 많고 한 분야에 많이 파고드는 성향이 크다.

 

- 우리나라에 화이트해커가 많은가?

많다고 생각한다. 아예 보안전문가처럼 공식적으로 활동하는 사람 말고도 취미 삼아 해킹을 하는 사람도 많다. 보안전문가라고 해서 무조건 해킹을 할 수 있는 것도 아니다.

 

- 학생들이 방학 동안 시도해 볼 수 있는 공부를 알려달라.

방학이 참 짧지만, 어떤 해킹 기술들이 존재하는지 살펴보면 좋겠다. 온라인 잡지나 KISA 기관 등의 자료로 정보 보호 동향을 보는 것이 많이 도움이 될 것이다. 공부할 때 추천하는 부분은 지속적으로 정보를 축적, 받아들이는 것이다. 해커는 하나의 기술이 아니라 모든 걸 다 알아야 하는 사람이다. 모든 기술을 전부, 얕게라도 습득하고 있어야 그에 대응하는 보안 기술이 나오고 대처할 수 있다. 무조건 많이 접하는 게 최고라고 생각한다. Ahn

 

사내기자 이하늬 / 안철수연구소 커뮤니케이션팀