드라마 '유령' 속 사이버 테러 어디까지 사실일까

안랩人side/포토안랩 2012. 6. 18. 06:00

최근 인기리에 방송 중인 소지섭, 이연희 주연의 드라마 유령의 한 장면. 촉망 받던 여배우 신효정이 어느 날 갑자기 죽었다. 트위터에 자살을 암시하는 글을 남겼지만 명확한 증거를 찾아야 하는 상황. 디지털 증거 분석력이 뛰어난 유강미(경찰청 사이버범죄수사대 경위)는 신효정 노트북의 하드디스크를 복사한 후 증거분석(포렌식) 장비에 연결해 신효정이 죽기 직전 어떤 파일을 열어보고 인터넷으로 어떤 단어를 검색했는지 기록(로그)을 샅샅이 살펴본다.

 

그 결과 트위터에 글을 남긴 그 시각에 이메일을 쓰고 있었다는 사실을 발견한다. 그렇다면 노트북이 아닌 다른 기기로 트위터에 글을 올렸다는 것인데, 신효정의 스마트폰은 고장난 상태였고 사건 현장에서 다른 태블릿PC나 스마트폰은 발견되지 않았다. 유강미는 제 3자가 트위터에 유언을 남긴 것이고 신효정의 죽음을 자살이 아닌 타살이라고 추정하기 시작하는데...     

 

 

드라마 리얼리티 살리는 데 안랩이 한 몫

충격적인 사건의 실마리를 풀어가는 스토리로 보는 이를 사로잡는 이 드라마는 국내 최초의 사이버 범죄 드라마라는 점에서 의미가 있다. 사이버 범죄 수사관이 주인공이고, 컴퓨터를 이용한 지능적인 범죄가 벌어지고 디지털 증거를 분석해가는 과정이 그려진다. 의학 드라마가 그러하듯 전문적인 분야를 다루는 만큼 철저한 고증이 필수적이다. 이를 위해 안랩(구 안철수연구소) 시큐리티대응센터를 비롯해 많은 기관이 기술 자문을 하고 있다. 그만큼 제작진이 많은 노력을 기울이고 있다.

드라마의 극적인 전개를 위해 세부적인 부분에서 현실과 다른 부분이 있을 수밖에 없다. 하지만 대부분의 내용이 과학적이고 기술적인 사실에 기반해 스토리가 전개된다. 6회까지 방송된 내용 중 어느 것이 현실적으로 가능한지 짚어보자.

디도스 공격, 스턱스넷 모두 현실

우선 디도스 공격을 이용해 사이버 테러를 벌이는 상황. 디도스 공격은 많은 사람이 익히 아는 사이버 테러 방식이다. 수백 혹은 수천 대의 컴퓨터를 좀비 PC로 만들어 공격 대상 사이트에 순간적으로 감당하지 못 할 패킷을 동시에 범람시켜 시스템을 마비시키는 공격이다. 우리나라에서도 2009년 7월 7일과 2011년 3월 4일에는 실제로 디도스 공격이 발생해 청와대를 비롯하여 주요 언론사, 정당 및 포털 사이트가 시스템 장애를 일으킨 사례가 있다.

다음으로 스턱스넷 악성코드. 디도스 공격을 하던 무리의 아지트를 찾아가 조사를 하던 김우현은 사이버 공격범들이 '스턱스넷' 악성코드를 이용해 사회 기간망을 공격하려는 사실을 알게 된다. 김우현은 대한전력의 보안팀 직원의 집에 도둑이 들었다는 사실을 통해 보안팀 직원의 USB에 '스턱스넷' 악성코드가 감염되어 있을 것이라는 사실을 추측해 낸다. 하지만 그때는 이미 악성코드에 감염된 USB가 대한전력 중앙 통제실 컴퓨터에 꽂힌 후였다. 그 후 도시의 전력망은 공격을 당하고 '블랙 아웃' 사태가 벌어진다.

다행히 현실 세계에서는 드라마의 상황과 같이 국가의 기간망이 동시에 장악되는 상황까지 벌이지기는 힘들다. 현실 세계에서 국가 중요 기간망은 독립적으로 운영되고 있다. 웬만한 중요 시설은 모두 일반 네트워크와 분리돼 있어 외부에서 침투하기가 쉽지 않다. 그리고 드라마에서 대한전력의 보안 직원이 집에서 가져온 USB를 중앙 통제실 컴퓨터에 꽂는 장면이 나오는데 그것은 현실에서 불가능하다. 실제 국가 기간망 통제실에는 외부에서 반입한 USB를 갖고 나가거나 출입하는 것은 엄격하게 금지된다. 


그러나 '스턱스넷' 악성코드는 현실 세계에서도 존재하는 아주 정교한 악성코드이다. 실제로 2010년 준공식을 앞둔 이란 부셰르의 핵발전소에 '스턱스넷' 악성코드가 침투한 것으로 알려져 있다. 

 

안랩 사옥에서 촬영하던 날  

 

김우현의 모습으로 살아가는 박기영이 어떻게 진실을 밝혀나갈지 갈수록 흥미진진해지는 '유령'의 다음 회를 기대하며 안랩 사옥에서 진행된 촬영 모습을 공개한다.

 

6월 2일 토요일 오후


보안관제 룸에서 진행된 촬영. 원활한 촬영을 위해 안랩인도 토요일 오후에 출근을 해 도움을 주는 모습이다.

디도스 공격용 악성코드가 급격히 증가하는 것을 눈으로 보여주려면 어떤 화면이 적당할지 시큐리티대응센터 이호웅 센터장(가운데)이 연출자(오른쪽)와 상의 중이다.


촬영을 위한 세트장이 아닌 실제 안랩 SOC룸의 대형 관제 모니터의 모습이다.

촬영 시간은 오후여서 해가 떠 있을 때였는데, 밤 장면이라 창문에 빛이 안 들어오도록 다 막아 놓은 상태에서 촬영했다.


단역 배우들이 극 중 '백신연구소' 연구원 역할을 하고 있다. 세강증권을 디도스 공격했던 악성코드의 변종이 퍼지고 있음을 발견하고 대화하는 장면. 직접 우리 안랩인이 촬영을 했더라면 더 자연스럽고 멋있지 않았을까.^^

모니터 화면을 촬영하는 모습. 겉보기에도 굉장히 비싸 보이는 카메라다.
 

6월 14일 목요일 오후


이번 촬영 때는 드디어 연예인만 탄다는 대형 밴이 카메라 앵글에 들어왔다. 


스태프들이 타고 온 걸로 보이는 '드라마 유령 촬용차량'이라는 푯말을 붙인 버스도 안랩 사옥 옆에 주차가 되어 있었다.


SBS에서 온 봉고 차도 안랩 사옥 앞에 있었다.


사옥 앞에 쭉 늘어서 사람들이 보였다. 드라마 촬영을 위한 단역 배우들이었다. 아무리 눈에 힘을 주고 찾아봐도 아는 얼굴은 없다.

 

드디어 촬영 시작. 야외 촬영이라 더운 날씨에 고생스러워 보인다.

같은 장면을 찍고 또 찍고, 또 찍고, 좀 쉬었다 또 찍고. 차에서 내려서 인사받는 장면이었는데, 촬영은 몇 시간 동안 이어졌다.


드디어 저 멀리서 아는 얼굴이 보이기 시작했다.


그 검정색 밴을 타고 온 연예인은 배우 엄기준이었다! Ahn


사내기자 류석 / 안랩 커뮤니케이션팀

사내기자 황미경 / 안랩 커뮤니케이션팀 부장

댓글을 달아 주세요

  1. 라이너스 2012.06.18 08:11  Address |  Modify / Delete |  Reply

    잘보고갑니다. 행복한 하루되세요^^

  2. 지나가는이 2012.06.18 12:29  Address |  Modify / Delete |  Reply

    아 이게 안랩에서 촬영한 거였군요.

    유령 재미있게 보고 있고요.

    앞으로도 사이버 보안을 위해서 불철주야 힘 써주시길 바랍니다!

  3. 감사합니다 2012.06.18 13:57  Address |  Modify / Delete |  Reply

    잘봤습니다. 이 장면 드라마로 봤어요. 여기가 안랩이군요.
    우와 알고보니까 더 멋진것 같아요.
    저기....혹시....소지섭씨는 못보셨...죠?
    사이버세상이란건 저랑 별 관계없는 별세곈줄 알았는데
    이번에 드라마보면서 느끼는게 많습니다.
    안랩같은 곳이 얼마나 중요한 곳인지 새삼 실감합니다.

  4. 오경선 2012.06.20 08:31  Address |  Modify / Delete |  Reply

    ㅋㅋㅋ 볼 때마다 그냥 안랩에 애착이 가고 막.. 인턴시절 생각나고 해요 요즘. ㅎㅎㅎ
    AhnLab 벽에 붙은거 화면에서 쓰윽 지나갈 때 nLab 만 나왔던가 했는데
    뭐. 그런다고 못알아보나요. CI 특유의 폰트가 있는데. ㅋㅋ 유후- 오늘은 유령보는 날.

  5. 김재기 2012.06.27 09:16  Address |  Modify / Delete |  Reply

    기사 잘 보고 갑니다 ^^ 오늘도 유령하는 날이네요 ㅎㅎ 좋은 하루보내세요

셜록 홈즈가 사이버 범죄 수사한다면 필요한 것은

현장속으로/세미나 2011. 9. 6. 08:53

90년대에 유명했던 만화, ‘소년탐정 김전일’을 아는가. 명탐정의 손자인 김전일은 각종 사건에 휘말리지만 사건 현장의 작은 단서들을 이용하여 큰 그림을 그리고 결국 난해하기 그지 없는 범인들의 트릭을 척척 풀어낸다. 그리고 전집까지 있는 유명 소설책인 셜록 홈즈에서 또한 주인공인 셜록 홈즈는 명쾌하게 여러 사건들을 해결해 낸다. 그렇다면 갈수록 발전하는 기술만큼이나 사이버 범죄가 급증하는 요즘, 이러한 사이버 범죄는 어떻게 대처되고 있을까.

 

  사이버 범죄의 증거를 찾는 디지털 포렌식

 

제 아무리 명탐정이라고 해도 정확한 증거가 없으면 문제를 해결할 수 없다. 범죄를 확정하기 위해서는 그 범죄를 입증할 증거가 있어야 하기 때문이다. 사이버 범죄에서 이러한 증거를 찾기 위한 기법을 바로 디지털 포렌식이라 말한다.

 

이때 증거가 되는 자료들을 디지털 데이터(digital data)라고 부르는데 디지털 데이터는 현실의 물건과 다르기 때문에 몇 가지 특징을 가진다. 가장 큰 특성은 무제한적으로 복사할 수 있다는 점이다. 용량이 허락하는 한 복사가 가능하며 또한 복사본과 원본의 구분이 불가능 하다. 또한 다양한 디지털 기기(컴퓨터, 휴대폰, MP3 )에 동일한 자료를 넣을 수 있는 다양성을 가지고 있다.

 

그러나 기기를 보는 것만으로 확인할 수 없기 때문에 어떤 기기에도 필요한 디지털 데이터가 있을지 모르는 잠재성과 쉽게 변조가 가능하기 때문에 취약성을 가지고 있다. 또한 메모리의 데이터는 쉽게 없어지는 휘발성이 가지고 있어서 취급하는 과정에서 주의를 기울여야 하기 때문에 디지털 포렌식에서도 어떻게 정보를 취급할 것인가가 큰 이슈 중 하나이다.

 

  디지털 포렌식의 진행

 

이러한 디지털 데이터의 특성상 디지털 포렌식은 투명하고 검증되는 과정을 거쳐서 진행된다. 현재에는 수집, 조사, 분석, 보고의 과정으로 진행된다. 수집의 과정에서는 말 그대로 증거가 되는 기기 및 자료를 수집한다. 이후 조사의 과정에서는 수집한 자료가 지워진 경우 복구하고 증거화하기 위해 변경이 불가능한 이미징 처리를 하게 된다. 이와 같은 증거 가시화의 과정을 거친 이후에는 증거의 가치를 분석하고 결과를 보고하게 된다.

 

디지털 데이터의 특성은 디지털 포렌식의 과정뿐만 아니라 디지털 포렌식의 특성에도 영향을 미친다. 우선 디지털 포렌식은 그 증거자료를 찾고 분석하는 처리과정을 거치기 위한 기기가 요구된다. 이러한 기기가 없으면 자료를 처리할 수 없기 때문에 디지털 포렌식은 매우 도구 의존적이다. 그러나 반대로 말하면 그러한 도구가 있으면 누구라도 자료에 접근이 가능하기 때문에 이러한 자료를 매우 폐쇄적으로 보관하며 외부로부터의 접근을 방지하고 있다.

 

또한 디지털 포렌식은 사이버 범죄에 대응하는 것이기 때문에 사이버 기술의 발전에 따라 범죄 방법도 다양화 되어가고 그에 대응하는 기술도 계속해서 발전한다. 그리고 그 가운데에는 포렌식 기술에 대응하기 위한 안티 포렌식 기술도 있다. 최근의 포렌식은 이러한 점에서 크게 정보 수집 방법, 정보 처리(복구, 해석) 방법, 안티 포렌식 대응이라는 3가지의 이슈를 가지고 있다.

 

  계속되는 디지털포렌식 기술 발전 노력

 

며칠 전, 고려대학교에서 디지털 포렌식 기술 워크샵이 있었다. 한국 디지털 포렌식 학회에서 주최한 이 행사는 디지털 포렌식의 현 시점과 앞으로의 발전 방향을 확실하게 알 수 있는 자리였다. 또한 그 외에도 관련 자격증이나 도구, 특정부문에 대한 전시도 함께 이루어져 전문성을 더했다.

 

인상깊었던 발표 중 하나는 네트워크 포렌식에 관한 것이었다. 네트워크 포렌식의 경우 가장 대표적인 것이 최근에 발생한 3. 4 DDos 사태이다. 이러한 경우, 네트워크의 특성상 파일 등의 형태로 남아있지 않기 때문에 패킷을 분석하여 조사를 진행하게 된다.

 

예를 들어 특정 포트 번호를 통해 외부에서 내부로 진입을 시도하였음을 확인할 수 있고, 포트가 임시 포트인지 정식 포트인지를 확인하여 잘못된 접근인지 등을 확인할 수 있다. 그러나 암호화된 트레픽이나 터널링된 패킷에는 대응이 아직 어렵다는 점에서 문제점은 남아있다 

 

예를 든 것은 네트워크에서 과정이었지만 이 외에도 모바일에서 백업 데이터를 이용하는 등 다양한 기술에 대한 워크샵이 이어졌다. 이 같이 연구가 계속해서 활발하게 진행되는 것은 기술의 발전과 함께 늘어나는 사이버 범죄가 현실에서의 범죄보다 오히려 더 큰 피해를 줄 수 있는 소리없는 전쟁이기 때문이다.

 

안철수연구소에서도 얼마 전 A-First 팀을 조직하여 현장 대응 능력을 늘리면서 포렌식에 대한 관심을 보였다. 최근 보안 관련 사고가 일어나면서 보안에 관한 관심이 늘어나고 있는데 이런 때일수록 서로 협조해 보안을 지켜나가는 노력이 필요하다. 하지만, 기술의 발전은 계속해서 이루어지며 그에 대응하는 방법으로는 범죄를 막을 수 없다. 무엇보다 중요한 것은 결국 이 모든 행동을 직접 행하는 우리 자신이다. 우리 모두가 범죄의 중요성을 공감하고 방지하려는 노력을 계속 해나갈 때 범죄 없는 사회를 이룩할 수 있을 것이다. Ahn

대학생기자 최승호 / 고려대 컴퓨터통신공학부

모두가 열정적으로 살지만 무엇에 열정적인지는 저마다 다릅니다.
당신의 열정은 당신의 꿈을 향하고 있나요?
이제 이 길의 끝을 향해 함께 걸어나가지 않으시겠습니까.

댓글을 달아 주세요

  1. Jack2 2011.09.06 10:36 신고  Address |  Modify / Delete |  Reply

    이제 사이버 범죄뿐만 아니라 컴퓨터 사용 증가로 인해 모든 범죄수사에서 포렌식을 이용하는데 이번워크샵과 같은 포렌식을 다루는 워크샵이 점점 더 많아졌으면 하네요. 좋은 내용의 글 잘 읽고 갑니다 ^_^

    • 최승호 2011.09.07 10:56  Address |  Modify / Delete

      활발한 워크샵으로 범죄수사에 대처할 기술 논의가 많이 이루어진다면 정말 좋겠네요^^

  2. 카레 2011.09.06 14:38  Address |  Modify / Delete |  Reply

    착한놈보다 나쁜놈이 주목받는 현실이 무섭습니다. ㄷㄷㄷ

  3. 마야 2011.09.07 04:32  Address |  Modify / Delete |  Reply

    오, 나름 추리물 무지 좋아해서 제목만 보고 클릭! 디지털 포렌식에 관한 거였군!!
    꽤 흥미가 가는 기술 @.@

    • 최승호 2011.09.07 10:57  Address |  Modify / Delete

      갈수록 중요해지는 디지털 포렌식이라 생각합니다.ㅎㅎ