스마트 시대를 사는 우리가 알아야 할 보안 이슈

현장속으로/세미나 2011.05.04 07:36
시공간의 제약 없이 모두가 스마트 기기를 통해 원하는 서비스를 활용한다. 국가 주요기반시설 역시 네트워크를 활용해 효율적으로 관리하고, 스마트 워크의 도입으로 진정한 원격근무가 자리 잡는다. 이런 상황이 꿈 같이 느껴지는가? 많은 사람들이 곧 실현되리라 믿지 않을까 싶다. 스마트 폰, 스마트 TV, 스마트 그리드...언제 여기까지 왔나 싶을 정도로 네트워크를 활용한 '똑똑한' 기술들이 상용화 되거나 상용화를 앞두고 있다.

문제는 스마트 시대에 접어들면서 그 중요성을 더해가는 네트워크 및 스마트 기기에 대한 보안이다. 특정 세력이 네트워크에 테러를 가한다면? 스마트 그리드 전력망에 문제가 생겨 전력공급이 끊긴다면? 스마트폰에 담긴 개인 정보가 해킹당하거나, 유출된다면? 충분히 발생 가능한 이러한 문제들을 알아보고 대응책이 제시되는 자리가 있어서 참석해 보았다.


한국인터넷진흥원(KISA)이 주최하고, 방통위 등이 후원하는 NETSEC-KR(Network Security Workshop-Korea) 2011 행사의 캐치프레이즈는 "스마트 환경을 위한 보안 - 도전과 과제"였다. 이틀 일정으로 진행된 본 행사의 첫날은 튜토리얼 트랙으로 구성되었다. 총 6개 섹션 중 4개 섹션을 참관하였다.

총성 없는 미래 사이버 전쟁 - 최첨단 미래 전쟁 도구


다이하드, 스워드피쉬 같은 영화 속 이야기가 아니다. 해커들의 실력 과시용으로 시작된 사이버 공격은, 어느덧 그 주체와 목적에 따라 다양한 유형을 가진 광범위한 형태로 발전되었다. 네트워크를 이용한 사이버 공격이 직접적으로 사람을 죽이거나 다치게 하지는 않는다. 하지만 막대한 경제적, 정신적 손실을 끼치고 엄청난 파급력을 지닌다는 점에서 심각한 공격행위라고 할 수 있다.


정보보호기술 류동주 팀장은 사이버 공격을 크게 세 가지로 분류했다. 사이버 범죄, 사이버 테러, 사이버 전쟁이 그것이다. 이번 튜토리얼의 초점은 사이버 전쟁에 맞춰졌다. 사이버 전쟁은 말 그대로 국가와 국가 사이에 벌어지는 가상 전쟁이라고 볼 수 있다. 지금까지 발생한 사이버 전쟁은 대부분 타국의 기밀 정보를 빼내는 첩보전 형태였다고 류 팀장은 설명했다.

네트워크로 침투해봤자 얼마나 피해를 입히겠냐고? 류 팀장이 발표한 국내외 사례만도 50건이 넘는다. 러시아 해커들이 에스토니아에 대규모 사이버 테러를 감행해 2개월 간 행정업무를 마비시킨 경우가 있는가 하면, 중국으로 추정되는 스파이가 미국 국방부 연구개발망에 침투해 엄청난 양의 정보를 빼간 사례도 볼 수 있었다. 최근 두 차례에 걸쳐 DDoS 공격을 겪은 우리나라 역시 예외는 아니다.
 
이와 같이 사이버 공격에 의한 피해가 늘어나면서, 우리나라는 사이버사령부를 국방부 직할 부대로 개편하는 등의 대책을 내놓았다. 문제는 사이버 공격 대응 및 위기 관련 체계가 중구난방 흩어져 있다는 점이다. 컨트롤타워 없이 각개 대응하고, 여기에 부처 이기주의와 정보공유 기피 현상이 결합되면서 '외부로 나가는 정보를 내부에서는 공유가 안 되는' 상황이 발생한다고 류 팀장은 지적했다. 따라서 일원화한 대응 체계를 구축하고, 체계적인 정책 및 투자를 통해 위기 대처 능력을 키워야 한다고 역설했다.

차세대 전력망 스마트 그리드도 사이버 공격 대상


뉴스에 관심이 많다면 '스마트 그리드'라는 단어를 한 번쯤 들어봤을 것이다. 스마트 그리드는 IT 기술을 전력망에 접목해 전력 공급자와 소비자가 실시간으로 정보를 교환해 에너지 효율을 최적화하는 차세대 전력망이다. 실시간으로 정보를 주고받으며 전력 수요 및 공급을 최적화하는 전력 시스템이라고 보면 된다. 직접적으로는 에너지 효율이 향상되면서 낭비 및 오염이 줄어들고, 길게는 다양한 산업 발전을 유도할 수 있는 신성장동력이라고 한다.

이런 스마트 그리드와 보안이 무슨 상관이냐고 물을 수 있다. 국가보안기술연구소 서정택 연구원은 "국가기반시설인 전력망은 늘 보안을 염두에 두어야 한다"고 강조했다. 지난 1월 여수산단에서 발생한 정전으로 인한 피해규모가 약 700억 원이었다. 네트워크를 통해 쉽게 시스템 접근이 가능한 스마트 그리드 특성상, 사이버 공격 발생 가능성이 적지 않다.


스마트 그리드 분야 선도국 중 하나로서, 국가 단위 스마트 그리드 망 도입을 꿈꾸는 우리나라는 스마트 그리드 보안에 신경 쓰고 있으며 얼마 전 관련 법률이 국회에 상정되기도 했다. 이 안에는 개인정보 및 스마트 그리드 망 보안 대책 수립이 반드시 필요하다는 내용이 담겨 있다. 정부는 표준화한 보안 체계를 산학연 공동 연구로 마련할 계획이다. 이를 통해 국재 표준화 기구의 인증을 받아, 후발주자에게 수출할 수 있을 만큼 안정적이고 높은 수준의 보안 기술을 완성할 것이라고 서 연구원은 밝혔다.

오는 6월 제주도 구좌읍에 있는 세계 최대 규모의 스마트 그리드 실증단지가 운영을 시작한다. 서 연구원은 안정적인 스마트 그리드 구축을 위해서 보안 시스템을 고려한 체계적인 준비가 반드시 필요하다며, 참가자의 지속적인 관심을 부탁했다.


사용자 인증? 이제는 디바이스 인증!


인터넷 쇼핑을 해봤다면, 공인인증서가 없어서 불편을 겪은 경우가 한 번쯤 있을 것이다. 스마트 워크의 정착과 함께 더 이상 공인인증서로 골머리 썩힐 필요가 없어질 가능성이 높다. 그보다 안전하면서 사용하기 편리한 디바이스 인증 시대가 열리기 때문이다.

스마트 워크는 IT 기술을 활용해 공간 제약 없이 업무에 종사하는 미래지향적 업무 환경을 총칭한다. 영어권에서는 흔히 '모바일 오피스'라고 부르는데, 이는 각종 모바일 기기를 활용해 실시간으로 업무를 처리하는 근무 형태를 뜻한다. 노트북, PDA, 스마트폰, 태블릿의 보편화 덕분에 항상 미래를 그릴 때마다 단골로 등장했던 스마트 워크가 드디어 실현 단계에 접어들었다고 볼 수 있다.


당연히 스마트워크에서 보안이 차지하는 비중은 절대적이다. 기기 분실은 고급 정보 유출을 부를 수 있고, 각종 사이버 공격에 노출될 가능성 역시 높기 때문이다. 박현주 엠큐릭스 대표이사의 발표 중 가장 인상 깊은 부분은 바로 '디바이스 인증'이었다. 디바이스 인증은 스마트 워크에서 사용하는 각종 기기, 즉 디바이스 및 애플리케이션 자체에 인증 시스템을 설치하는 것이다. 기존 사용자 인증 시스템에서는 사용자 신원 정보만 알 수 있다면 쉽게 접근이 가능하다. 하지만 디바이스 인증이 도입된다면 해당 기기가 아닌 다른 기기에서는 접근이 원천 차단된다.

스마트 워크를 사용하는 업체 직원은 필연적으로 복수 기기를 사용하게 된다. 디바이스 인증은 선택이 아닌 필수라고 볼 수 있다. 현존 디바이스 인증 시스템의 문제점을 해결하기 위한 연구는 지금도 계속되고 있다. 박 대표는 더 안전하고 사용자 친화적인 통합보안 솔루션 및 보안 플랫폼 개발 전쟁이 치열하다고 밝혔다. 

스마트 워크를 구현하는 과정에서 반영해야 할 보안 요소는 기존 업무 환경보다 훨씬 많다. 특히 스마트 워크가 대부분 무선 환경이라는 점을 고려해야 한다고 박 대표는 지적했다. 스마트 워크에 적용될 보안 시스템은 더욱 사용자 친화적이면서도 디바이스 성능 저하를 최소화하면서 안전해야 한다. 하지만 공존하기 힘들 것 같은 요구들을 고루 충족하기 위한 관련 업계의 노력 덕분에, 우리는 곧 안전하고 편리한 스마트 워크 환경 속에서 일할 수 있지 않을까 기대된다.

일거수일투족을 감시하는 스마트폰? - 위치정보 서비스와 프라이버시 이슈

 
최근 IT 관련 핫이슈 중 하나가 애플사의 개인정보 수집 논란이다. 정확히 말하면 '개인 및 물건을 식별할 수 있는 정보'를 뜻하는 개인정보 중에서도 뜨거운 감자가 위치정보다. 위치정보를 통해 구현되는 위치기반서비스(LBS)는 스마트폰이 '스마트'할 수 있는 핵심 포인트다. 쟁점은 두 가지다.

개인정보이용에 관한 법률은 나라 별로 차이가 있지만, 공히 정보 주체의 동의를 요구한다. 또한 수집된 개인정보의 저장을 엄격히 규제한다. 이번 논란의 핵심이 이 부분이다. 미국 네티즌이 "위치서비스 이용을 동의하지 않았는데 내 위치정보가 저장되었다"고 애플을 제소한 것이다. 이를 지켜본 방통위에서는 애플코리아에 해당 내용에 대한 공개 질의서를 보낸 상태다.


이민영 가톨릭대 교수는 "특히 아이튠즈를 통해 모든 기기를 동기화하는 애플 디바이스 특성을 고려해볼 때, 사용자의 동의 없이 저장된 정보가 업체에게 넘겨질 가능성이 높다"고 지적했다. 나도 모르는 사이에 내 정보가 기업들에 전달될 수 있다는 말이다. 이 교수는 "만약 네티즌의 주장이 진실로 밝혀진다면 스마트폰 사용 자체를 멈추는 게 나을 수 있다"고 말했다.

이러한 문제가 생긴 원인은 무엇일까? 업체와 사용자 사이에 이견이 있기 때문이다. 업체는 더 좋은 서비스를 제공하기 위해 되도록 자유로이 개인정보를 사용하고 싶어한다. 반면 사용자는 프라이버시가 지켜지길 원한다. 여기에 IT 환경 변화를 예측하지 못한 법률이 혼란을 부추긴 양상이다.

그 해결책으로 이 교수는 법률 수정과, 이해당사자 간의 협의를 통한 가이드라인 제정을 제시했다. 이를테면 암호화 같은 기술적 보호 조치를 명시해서 프라이버시를 확실히 보호하고, 나머지는 풀어줌으로써 IT 산업 촉진과 개인정보 보호라는 두 마리 토끼를 동시에 잡는 것이다. 모바일 시장은 변화 주기가 빠르고 그 폭도 엄청나다. 지금 당장이 아닌 미래를 내다본 혜안이 필요하다고 이 교수는 결론 내렸다. 이 문제에 대한 사용자의 꾸준한 관심도 당부했다.


평소 큰 관심 없는 경영학도가 보안 관련 워크샵을 이해할 수 있을까 걱정이 앞섰다. 하지만 튜토리얼 섹션은 이름답게 해당 주제를 알기 쉽게 설명하는 자리였다. 질의응답 및 토의에 적극 참여하는 참여자의 모습도 인상적이었다. 아쉬운 사실은 참가자가 해당 분야 종사자 및 학계로 국한된 것으로 보인다는 점이다. 경영, 사회과학, 인문학 같은 다양한 분야 전문가들이 함께 했더라면 더 재미있고 활발한 시간이 되지 않을까 생각해본다. Ahn

대학생기자 임종헌 / 충남대 경영학과

댓글을 달아 주세요

  1. 러브드웹 2011.05.04 13:06  Address |  Modify / Delete |  Reply

    보안 이슈가 중요하단건 부정하지 않습니다.
    그런데 뻑하면 북한을 언급하는데 그게 이젠 초딩도 비웃더라고요.
    이것이 문제 같습니다.

  2. 엔시스 2011.05.10 18:42  Address |  Modify / Delete |  Reply

    좋은 글 잘 읽었습니다.!~!

  3. ADT캡스 2012.09.21 13:40  Address |  Modify / Delete |  Reply

    기술이 발전함에따라 보안이라는 키워드가 매우 이슈가 되고 있는게 사실인 것 같습니다. 요즘같이 스마트폰이 기승을 부리고 있는 시대에는 개인정보에 대한 보안 또한 무게를 두어야 하는 점 중 하나이겠지요?? 좋은 글 잘 읽고 추천과 구독 누르고 갑니다. 맞구독 부탁드려요~

해킹과 보안, 창과 방패의 무한 충돌 현장

현장속으로/세미나 2010.03.18 09:09
얼마 전 국내 보안 컨퍼런스로 유명한 'Paradox Confernece 2010'(이하 파도콘 2010)이 서울 양재동 AT센터에서 개최되었다. 파도콘은 2005년부터 올해로 6번째 열렸다. CTF(Capture The Flag; 팀 간 상호 공격과 방어를 하며 점수를 획득하기)와 같은 해킹대회부터 보안 관련 이슈들에 대해 세미나와 다양한 이벤트까지 열정적인 행사들로 가득했다.


파도콘은 2005년 국내 해킹 및 정보보호 동아리들이 연합하여 만든 해킹/보안 컨퍼런스로 매년 초미의 관심사인 보안 이슈를 연구하고, 그 결과를 세미나 형식으로 발표하는 자리이다. 무엇보다 등록비도 없고, 누구나 참여할 수 있다는 점이 큰 매력이어서, 학생부터 전문가까지 많은 사람들이 참여한다. '파도콘 2010'은 이틀 동안 두 개 세션으로 나누어 진행되었다.


모바일 기기 해킹


국내 해커 그룹으로 유명한 beistlab의 멤버 osiris는 윈도 모바일이 가진 위험성을 시연과 함께 언급했다. 발표자는 윈도 모바일에 악성코드를 이용해서 SMS 서비스를 스니핑하는 등 예상할 수 있는 위험을 언급하고 사용자의 주의를 당부했다.
 

        


또한 binoopang은 최근 많이 사용되는 모바일 기기 아이팟 터치(iPod touch)에서 BOF(Buffer OverFlow; 메모리를 다루는 데에 오류가 발생하여 잘못된 동작을 하는 프로그램 취약점)를 이용하여 원격에서 코드를 실행해 리버스 바인드 셸코드(reverse bind shellcode)를 시연해 보였다. 그동안 애플의 정책상 불가하다고 알려진 원격 공격을 직접 시연해 충격을 주었다.


IPTV 해킹 및 ECU(전자제어장치) 해킹




그동안 IPTV의 해킹 위험성이 많이 알려져 관련 기관에서 보안에 힘쓰고 있지만, 상용 제품에 한해서는 아직 보안이 부족하는 발표가 눈길을 끌었다. 전북대 정보보호 동아리 IS(Invisible Sheild)의 이강욱씨는 IPTV에 보안에 매우 신경쓰고 있지만, 아직까지 부족하는 말과 함께 유료 컨텐츠에 대한 보호를 우회하는 방법을 직접 시연해 보였다.


또한, 동명대 정보보호 동아리 THINK의 최영남씨는 차량 안에 들어가는 ECU(전자제어장치)를 해킹해서 원하는 행동을 유발하는 하드웨어 해킹을 선보였다. 차량 안에 들어가는 ECU 역시 시스템의 일종이니 해킹이 가능하다는 것이 업계의 통념이었는데, 이를 직접 시연해서 도난방지 장치가 되어있는 차량의 시동장치를 우회하는 것을 동영상으로 시연했다.     

 

더 발전한 해킹 기법, 새로운 위협


영남대 정보보호 동아리 @Xpert의 이대규씨가 최신 안티 디버깅 기법들을 우회하는 방법들을 소개하고, 경북대 정보보호 동아리 KERT의 송석우씨가 악성코드(루트킷)을 감추는 최신 기법을 소개했다.


또, 동명대 정보보호 동아리 THINK의 심영진씨는 이제까지의 무선랜 해킹 기법과는 생각의 원리를 반대로 하는 'Passive War-Driving'을 선보여, 공개된 AP(Access Point; 무선 랜 구성 장치 중 하나로 유선 랜과 무선 랜을 연결해줌)가 아직까지 얼마나 많은 위협이 되고 있는지를 시연했다.


이제는 고전 해킹 기법인 BOF나 FSB(Format String Bug; 입력값을 다루는 데에 오류가 발생하여 잘못된 동작을 하는 프로그램 취약점)들이 최신 윈도에서도 아직 통용된다는 사실을 자세히 보여준 충남대 정보보호 동아리 ARGOS의 심준보씨는 윈도 비스타 커널에서 BOF를 통해 쉘코드를 실행하는 시연을 보여준 뒤, “보안은 끝이 없다. 계속해서 대비해야 한다.”라고 말했다.


그 밖에도 보안 업체 nchovy의 양봉열씨는 Kraken이라는 새로운 보안 프로그램 개발 프레임워크를 선보이고, 편의성에 중점을 둔 개발이 어떤 것인지 깊이 있게 설명했다.


참여하는 세미나, 재미있는 이벤트


파도콘에서는 매우 다양한 참여 형식의 이벤트를 준비했다. 인상적인 이벤트로는 주어진 개수의 메모리(RAM)을 최대한 높이 쌓아올리는 RAM stager, 어셈블리 코드를 프린트물로 나눠준 뒤 손과 머리로 리버싱해 답을 구하는 핸드 리버싱(Hand Reversing), 행사장 안의 AP로 도전하는 해킹대회인 라이브 해킹, 분해된 키보드를 다시 맞추어서 재조립하는 키보드 어셈블링(Keyboard assembling) 등이 있었다.

   

 

그리고 올해 역시 파도콘에서는 CTF 방식의 해킹대회를 개최했다. 행사장에서는 본선을 진행했는데, 누구나 구경할 수 있어서 다른 참가자의 해킹 과정을 실제로 관람할 수 있었다. 본선에서는 beistlab 멤버들이 출전한 ADNIM 팀이 1위를, 고등학생들의 연합팀인 1234팀이 2위를 거머쥐었다. 크지 않은 상금이었는데도 CTF장에서는 매우 뜨거운 열기를 느낄 수 있었다. 

  

 

많은 사람들이 열정적으로 정보보호의 의미를 되새기고 그곳에서 재미를 찾아 순수하게 움직이는 모습이 무엇보다 좋아 보인 행사였다. 행사가 끝나고, 뒤풀이에서 많은 사람을 만나면서 꿈나무로 자라는 학생들이 있어서 우리나라 보안 업계의 미래는 매우 밝다는 생각이 저절로 들었다. 항상 열정을 잃지 않는 파도콘이 되길 바란다. Ahn

     

 


심준보 / 파도콘 회장

댓글을 달아 주세요

  1. 라이너스™ 2010.03.18 17:05 신고  Address |  Modify / Delete |  Reply

    정말 흥미진진했겠어요?
    창과 방패라... ^^

  2. 요시 2010.03.19 23:51  Address |  Modify / Delete |  Reply

    해킹에 관심이 많았는데 ^^
    관심 가는 내용이 많네욥^^