주니어 해킹방어대회 수상자 3인 생생 인터뷰

"무자비한 로봇들의 공격으로부터 세상을 구할 수퍼 해커 여러분...! 역시 다시 와주셨군요.. 감사합니다! 우리는 이제 곧 로봇들의 소굴로 진입할 것입니다. 그 곳엔 다른 모든 로봇들을 중앙에서 컨트롤하는 핵심 로봇들이 있습니다. 이들을 모두 물리치는 것이 우리의 목표입니다. 각각의 로봇은 모두 하나의 네트워크로 연결되어 있습니다. 지금부터 우리는 이 네트워크를 통해 로봇의 취약점을 공격할 것입니다. 이제 인류의 운명은 여러분들의 손에 달려있습니다. 여러분들께서 분명 해낼 수 있을거라 믿습니다!"


영화의 시놉시스 같은 위의 글은 다름 아닌 청소년 해킹방어대회의 시나리오이다. 300명이 넘는 친구들이 모여 치룬 온라인 예선을 거치고, 지난 12일 한국과학기술회관에서 열린 ETRI 주최 '제 1회 주니어 해킹방어대회'의 본선 현장을 다녀왔다. 본선에는 치열한 예선을 거쳐 올라온 30명의 중고생 화이트해커들이 모여 실력을 겨루었다. 



본선에 올라온 30명 모두가 이 대회의 주인공이었지만 그래도 순위는 존재하는 법. 대회가 끝난 후, 난이도 높은 문제들을 돌파하며 금상, 은상, 동상을 거머쥔 친구들과 식사를 하며 대회 참가 후기부터 앞으로의 비전까지, 그들의 이야기를 들어보았다.


아래는 금상, 은상, 동상을 수상한 친구들과 나눈 이야기를 정리한 것이다. (은상 수상자는 동점으로 2명이다. 나머지 한 명은 일산동 고등학교 2학년에 재학중인 진용휘 학생이다. 아쉽게도 인터뷰는 하지 못 했다.) 


금상 - 임정원 (선린인터넷고등학교 2학년)


Q : 문제의 수준은 어땠나요? 특별히 기억에 남거나 재미있는 문제가 있었나요?

A : 마지막까지 풀었던 문제가 제일 기억에 남아요. 스택의 데이터를 다 지워버리는 문제였는데, 결국 풀지 못 했습니다. 예선 문제 수준은 어렵지 않은 편이었는데 본선은 국제대회나 규모있는 대회와 비슷한 수준이라고 생각해요.


Q : 가장 자신있는 분야가 있나요? 특별히 흥미가 있는 분야가 있다면?

A : 시스템 해킹이 가장 재미있어요. 이렇다 할 이유는 없는데 그냥 재미가 있어요. 반면에 암호학이나 포렌식이 조금 어렵다고 느낍니다.


Q :  오늘 참가한 주니어 CTF와 다른 해킹대회의 차이점은 뭐라고 생각해요?

A : 보통 청소년 대회에서는 시스템 해킹 문제가 잘 나오지 않는데 이번에는 그 문제가 나왔습니다. 그래서 좋았습니다.


Q : 대회를 참가하면 실력이 향상되고 있다, 향상에 도움이 된다는 걸 느낄 수 있나요?

A : 대회를 거듭 참여할수록 수월하게 풀리는 문제가 느는 것 같아요. 순위도 점점 올라가니까 실력이 늘고 있구나 하는 것이 느껴지죠. 

 

Q : 이번 대회를 참가하면서 아쉬웠던 점이 있나요? 

A : 마지막까지 붙잡고 있었지만 풀지 못한 그 문제에 자꾸 미련이 남습니다.

 

Q : 이번에 우승했는데, 혹시 라이벌이라고 생각하는 친구가 있다면?

A : 본선에 올라오신 분들 모두가 다 라이벌이죠. 저는 아직 배워야 할 것이 많아요.


Q : 해킹과 보안 분야에 어떤 매력을 느껴서 공부하게 되었나요?

A : 이 분야는 어렵고, 그래서 하는 사람도 많지 않아서 특별하게 느껴져요. 그리고 방어를 뚫었거나, 반대로 공격을 성공적으로 막아냈을 때 뭐라고 설명할 수 없는 즐거움이 있습니다. 그게 매력이라고 생각해요.


Q :  나만의 특별한 공부 방법이 있나요?

A : 저만의 방법까지는 아닌 것 같은데, 우선은 컴퓨터를 많이 해요. (웃음) 다른 해킹대회의 문제를 풀어보기도 하고, 실제 프로그램에서 취약점을 찾으려고 하는 식으로 공부하고 있습니다.


Q : 앞으로의 진로는 어떻게 계획하고 있어요?

A : 우선은 정보보호학과로 대학 진학을 해서 공부를 계속 하고 싶어요. 졸업한 뒤에는 국가기관뿐 아니라 어디에서든 사이버 안보를 지키는 일을 하고 싶습니다.


Q :  우승 상금으로 무엇을 할 거예요?

A : 저축을 할 거예요. 나중에 연구하고 싶은 것을 연구할 때 필요한 게 있으면 살 수 있도록. 그리고 우승할 거라고 미처 생각을 못해서 '우승하면 친구들한테 밥 쏜다'고 그랬는데. 진짜 우승을 해버려서 친구들과 약속도 지켜야 할 것 같아요. 부모님도 좀 드리고요. 


상 - 권혁 (과천고등학교 3학년)


Q : 문제 수준은 어땠나요? 특별히 기억에 남거나 재미있었던 문제가 있나요?

A : 이번 대회 수준은 여태껏 참여했던 청소년 대회 중에 가장 높았던 것 같아요. 독특했던 점이라면, 다른 청소년 해킹대회는 포너블이라고 불리는 시스템 해킹 분야의 문제가 거의 출제되지 않는데, 이번의 이 대회는 포너블 문제도 많이 나왔어요. 난이도 높고 수준 높은 문제들이 많이 나왔다고 생각해요. 포너블 문제 중에 '시크릿 메모'라고 해서, 기계들이 사용하는 비밀 메모 프로그램을 뚫어서 기계 안에 침투하는 시나리오를 가진 문제가 있었는데, 그게 가장 기억에 남습니다. 흔히 말하는 버퍼오버플로우 취약점이 존재하는 프로그램이었는데, 보통이면 간단하게 뚫을 수 있었겠지만 문제에 현재 존재하는 모든 메모리 보호 기법이 적용되어 있었어요. 그걸 모두 우회하는 것이 조금 힘들었습니다.


Q : 가장 자신있는 분야가 있나요? 특별히 흥미가 있는 분야가 있다면?

A : 방금 말했던 문제 유형의 포너블, 시스템 해킹이라고 불리는 분야가 가장 좋아요. 어떤 프로그램의 취약점을 찾아서 공격 코드를 만들거나, 방어하는 방법을 공부하거나 하는 것에 흥미가 많습니다.


Q : 이런 대회를 참가하는 것이 실력 향상에 도움이 되나요? 

A : 제가 지금까지 쌓은 실력은 거의 다 대회를 통해 쌓았다고 해도 과언이 아니예요. 보통 사람들이 말하기를 실무랑 대회랑은 상관이 없다고들 하는데, 실무랑 상관이 없을지는 몰라도 어떤 분야를 연구하는 데 문제를 푸는 건 많은 도움이 된다고 생각합니다.


Q : 오늘 참가한 주니어 CTF와 다른 해킹대회의 차이점은 뭐라고 생각해요?

A : 다른 청소년대회와의 차이점이 있다면 포너블이란 분야가 많이 다뤄졌다는 점이고, 그래서 좋았습니다. 또 이렇게 본선을 진행하는 청소년대회가 많이 없어요. 거기다가 본선에 30명을 데려온 대회도 처음입니다. 예선에서 본선 진출자 30명을 선발할 때 문제 수준을 높게 해서 잘하는 사람만 선발한 게 아니라, 문제 수준을 다양하게 쉬운 것부터 어려운 것까지 배치를 해서 참가자들이 공부를 할 수 있도록 했다는 점도 인상 깊었어요.


Q : 해킹과 보안 분야에 어떤 매력을 느껴서 공부하게 되었나요?

A : 어떤 목적이 있을 때 그 목적을 성취하기 위해서 여러 연구를 진행하고, 마지막에 그 목적을 성취했을 때의 성취감이 정말 좋아요. 그 성취감을 위해서 계속 공부를 하다보니까 여기까지 오게 된 것 같습니다.


Q : 나만의 특별한 공부 방법이 있나요?

A : 솔직히 특별한 공부 방법이라고 할 건 없어요. 일단 대회 문제를 많이 풀어보고, 연구 주제를 하나 잡고 거기에 대해서 이것저것 찾아보고 공부를 해요. 뭐든 꾸준히 하는 게 가장 좋다고 생각해요.


Q. 상금으로 무엇을 할 건가요?

A : 대회에서 탄 상금은 모두 안 쓰고 저축을 해두고 있어요. 차후에 대학 등록금으로 사용하거나, 공부 관련해서 쓰려고 합니다. 

 

Q : 앞으로의 진로는 어떻게 계획하고 있어요?

A : 고려대학교 사이버국방학과에 진학하는 것이 목표입니다. 대학을 간 이후에도 지금처럼 꾸준히 취약점을 찾고, 원하는 연구를 하려고 합니다.


Q : 존경하는 사람을 꼽자면?

A : 찰리 밀러라는 해커요. 제가 가장 관심있어하는 취약점 분야나 이나 시스템 해킹 분야에서 흥미로운 연구를 많이 해요. 예를 들면 맥북 배터리를 해킹해서 불을 붙게 한다거나 하는 독특하고 신기한 연구요. 그런 점에서 존경합니다.


동상 - 김희중 (선린인터넷고등학교 3학년)


Q : 문제의 수준은 어땠나요? 특별히 기억에 남거나 재미있었던 문제가 있나요?

A : 문제 수준은 전체적으로 청소년대회치고 꽤 어려웠던 것 같아요. 어려웠던 문제들이 정말 많아요. 딱히 기억남는걸 꼽을 수 없을 정도로 다 어려웠어요.


Q : 가장 자신있는 분야가 있나요? 특별히 흥미가 있는 분야가 있다면?

A : 역공학이요. 리버스 엔지니어링! 할 줄 아는 게 그것밖에 없어서? (웃음) 


Q : 이런 대회를 참가하는 것이 실력 향상에 도움이 되나요? 

A : 대회 참가를 하면 확실히 실력 향상이 되죠. 개인적으로 혼자 공부를 하다보면 목표 의식이 떨어지기 쉬운데, 대회에 참가를 하면 문제를 시간 안에 풀어야 하고 남들과 경쟁도 해야 하니까 더 집중해서 하게 되거든요. 실력 향상에 많은 도움이 됩니다.


Q : 라이벌이라고 생각하는 친구가 있나요?

A : 모두 다 친구이기 때문에. 라이벌이라고 생각하는 친구는 특별히 없어요. 음, 눈여겨보는 친구가 있다면 이번에 대회에 같이 참가해서 1등한 정원이예요. 같은 동아리에 있는데, 제가 저 친구를 동아리로 섭외를 했거든요. 여러 가지 성장하는 모습들을 눈여겨 보고 있어요.


Q : 해킹과 보안 분야에 어떤 매력을 느껴서 공부하게 되었나요?

A : 원래 처음에는 나쁜 짓 하려고 배웠어요. 아, 물론 처음에 시작할 때요. 게임 핵 같은 것을 만들어보고 싶어서 엄한 것들을 찾아서 배웠는데, 계속 대회에 나가고 공부하다보니까, 그런 짓으로 이득 봐서 좋을 게 하나도 없다는 걸 알았어요. (웃음)

 

Q : 나만의 특별한 공부 방법이 있나요?

A : 공부를 좀 이상하게 시작했잖아요. 게임 핵을 만들어보고 싶어서 시작한 거니까요.  남들은 리버싱 공부할 떄 보통 'Crack Me' 문제를 풀거나 하면서 공부하는데, 저는 게임 핵을 만들어보고 싶어서 '그걸 만들기 위해서는 뭘 알아야 하고 어떻게 해야 하나' 이렇게 생각하고 찾아가는 식으로 공부했어요. 고등학교 1학년 때 리버싱을 처음 공부하기 시작했는데, 애초에 게임 핵을 만들어보자는 목표를 가지고 밤새서 공부했던 것 같아요. 그렇게 공부하다가 지금까지 오게 되었고요.


Q : 앞으로의 진로는 어떻게 계획하고 있나요?

A : 우선은 제가 지금 하는 공부와 관련있는 학과에 진학하고싶어요. 그 후에는 창업을 하고 싶어서 지금 돈을 모으고는 있는데 창업에 돈이 생각보다 많이 필요하더라고요.(웃음) 그래서 일단은 보안 관련의 직업을 가지고 일을 하고, 일을 하면서 모은 돈으로 차후에 창업을 하고싶습니다. 특히 보안 솔루션에 관한 일을 하려고 생각하고 있어요.


이번 대회의 수상자들과 인터뷰가 끝난 후, 이번 대회를 운영한 그레이해쉬(GrahHash)의 운영진과도 이번 대회와 관련해 인터뷰를 진행했다. 아래는 진행한 인터뷰를 정리한 것이다.


Q : 이번 주니어 해킹방어대회의 취지나 목적을 말씀해 주세요.

A : 해킹과 보안을 공부하는 어린 친구들 보면 공부를 어떻게 해야할지도 잘 모르는 친구들이 많습니다. 또 이쪽 공부를 하면서 나쁜 짓을 하는 경우도 발생합니다. 그래서 이런 친구들과 함께 서로 만나서 이야기도 좀 나눠보고, 부족한 친구들에게 조언도 해주고 꿈을 더 심어주고 싶어서 대회를 운영하게 되었습니다. 자신감을 심어주자는 목적도 있었습니다. 


Q : 예선 문제가 쉬웠다는 말이 있어요. 예선 문제 출제의 기준은 무엇이었나요?

A : 보통 해킹대회는 쉘을 따거나, 권한 상승을 시키거나 하는 문제가 주류예요. 하지만 저희는 예선에서는 그런 기술적이고 어려운 문제보다는, 조금만 생각하면 금방 풀 수 있는 문제들을 많이 만들어 냈습니다. 기술적인 부분을 많이 알지 못해도, 머리만 조금 굴려서 생각해보면 쉽게 풀 수 있도록요. 무조건 난이도 있는 부분들을 포함시키기보다는 논리적인 부분을 문제에 많이 포함시키려고 했습니다.


Q : 이번 대회를 운영하면서 특별히 어려웠던 점이 있나요? 

A : 문제 난이도를 정하는게 가장 어려웠습니다. 청소년 해킹대회는 청소년들이 자신감을 얻을 수 있도록 하는게 중요하다고 생각합니다. 하지만 너무 쉬우면 변별력이 없어지는 문제가 생기거든요. 어쨌든 본선에서는 순위를 매겨야 하니까요. 어디에 맞춰야 할까 고민이 많았습니다. 본선은 1,2,3,등을 가리는 대회니까, 조금은 어렵게 낸 것 같습니다.


Q : 해킹을 공부하는 어린 친구들에게 가장 중요한 건 무엇이라고 생각하시나요?

A : 윤리적인 게 가장 중요하다고 생각해요. 실제로 중요한 정보를 테러리스트나 다른 업체에 파는 경우, 그런 경우가 있어서는 절대로 안 되니까요. 취약점을 찾았을 때는 악용하는 것이 아니라 국가기관에 신고를 하는 것, 그런 윤리적인 부분이 가장 중요합니다. 그리고 '사회에 도움이 되어야 한다'는 마음가짐을 가졌으면 좋겠어요. 내가 지금 공부하는 것이 IT 발전, 더 나아가 국가와 사회에 도움이 된다, 사회에 기여를 한다는 마음가짐을 중요하게 생각했으면 합니다. 


Q : 해킹대회 참가자에게 조언해 주고 싶은 것이 있나요?

A : 좋은 성적을 거두고 싶다면 다른 대회의 문제를 최대한 많이 풀어보세요. 과거의 문제를 많이 풀어보면서, 유형도 파악하고 그러면 자연스럽게 경험도 많이 쌓이는 거니까요. 문제 자체를 잘 풀기 위해 많은 문제를 풀어보는 것도 중요하지만, 기초지식을 탄탄히 하는 것이 중요해요. 프로그래밍을 많이 해봤으면 좋겠습니다. 또, 해킹대회와 실무가 다르다, 도움이 안 된다 하는 말을 하는 사람이 있는데, 제가 느낀 바로는 해킹대회 문제를 잘 푸는 사람들이 문제 해결 능력이 좋고, 그래서 일도 잘하는 것을 많이 봤습니다. 많이 문제를 해결해본 친구들이 사회에 나가서도 일을 잘 해결합니다. 해킹대회를 겁먹지 말고 참가했으면 하는 바람입니다.



비록 길지 않은 시간이었지만 서로 다른 개성의 입상자들과 이야기를 나누면서 그들의 열정을 느낄 수 있었다. 나이가 어린 것은 전혀 문제 되지 않는다. 입상자뿐 아니라 본선에 진출한 30명, 그리고 예선에서 대회의 문제를 풀면서 자신의 기량을 발휘한 모든 참가자의 무한한 잠재력을 기대해보자. 그들은 아직 어리고, 발전 가능성은 무궁무진하기에, 지금보다는 그들의 미래가 더욱 기대된다. 미래의 화이트해커를 꿈꾸는 청소년의 자신감과 실력 향상의 발판을 마련해준, 그리고 앞으로도 마련해줄 다음 주니어 해킹방어대회가 더욱 기대되는 이유도 바로 무한한 잠재력을 가진 그들 때문이 아닐까. Ahn



대학생기자 강정진 / 숙명여자대학교 컴퓨터과학과


學而不思則罔思而不學則殆

배우기만 하고 생각하지 않으면 멍청해지고, 생각하기만 하고 배우지 않으면 위태로워진다.


댓글을 달아 주세요

해킹으로 자동차를 훔치는 시대가 다가온다

현장속으로/세미나 2013.08.16 07:00

지난 8월 12일 역삼동 한국과학기술회관에서 산·연 보안컨퍼런스(ESCON)이 열렸다. ETRI는 ESCON을 통하여 ETRI가 개발한 첨단 기술을 활용하여 국내 보안 업체가 괄목할 만한 성과를 이루기 위한 방법을 함께 모색하는 동시에 산업체의 기술적 요구 및 사업화 과정의 애로사항을 효과적으로 수렴하고 해소할 수 있는 산·연 소통의 장을 제공하였다.

초청강연으로 KAIST 김용대 교수는 임베디드 보안기술에 대해 발표해주었다.

" the security mindset involves thinking about how things can be made to fail. It involves thinking like an attacker, an adversary or a criminal. You don't have to exploit the vulnerablilties you find, but if you don't see the world that way, you'll never notice most security problems."

-Bruce Scheneier-

'공격자의 입장에서 생각하지 못 하면 절대로 취약점을 찾을 수 없고, 취약점을 찾을 수 없으면 공격을 막을 수 없다.'라는 김용대 교수의 발표는 해커의 입장에서 생각하기의 중요성을 상기시켜주는 발표였다. 다음은 주요 내용.

 

Who are the attrackers?

과거의 공격자는 script-kiddie, 컴퓨터 잘하는 사람, 사회의 불만이 있는 사람 등이었지만 요즘은 국가가 공격자가 되기도 한다. 또 사회적, 정치적 목적 달성을 위한 Hacktivists, 조직범죄자 + 해커로 개인이 아닌 대규모의 공격이 이루어진다. 이 세 가지 부류의 특징은 엄청난 예산과 규모가 공격에 투입이 된다는 사실이다.

 

Bug Bounty Program

Bug Bounty Program은 취약점을 찾아주는 프로그램으로 취약점을 계속 찾으면 오히려 예산이 줄어들고 결국 보안에 투자할 수 있는 기회를 마련해 준다는 것이다. 글로벌 회사들은 Bug Bounty Program을 하고 있는데 상대적으로 우리나라는 미미하다. 취약점의 개수는 한정되어 있기 때문에 많이 찾아낼수록 장기적인 관점에서 경제적으로 훨씬 도움이 될 것이다. 그렇기에 우리나라의 Bug Bounty Program 도입이 증가됐으면 한다.

 

전세계적으로 취약점을 모아서 파는 프리랜서가 늘고 있는 상황에서 현재는 국가가 취약점을 사주는 역할도 하고 있다. 패치가 알려져 있지 않은 제로데이를 파는 사업이 붐을 이루고, 해커들은 더이상 공짜로 버그를 알려주지 않는다. 이런 시점에서 각 나라들은 내 나라를 지키기 위해서 다른 나라의 취약점을 찾아낸다. 현재 윈도우의 큰 버그는 15만불, 아이폰 iOS 버그는 50만불에 팔리고 있고 브로커는 15%를 가져간다고 한다. 그렇기 때문에 수비하는 것이 굉장히 어렵다. 그래서 취약점을 계속 찾아내야 공격을 막을 수 있을 것이다.

보안을 단순히 컴퓨터 사이언스로 다루는 것이 아니라 physical event로 봐야 보안을 지켜낼 수 있다. 미국에서 BMW 300대를 훔친 사례가 있다. 자동차 보안은 Network Boundary가 안전하면 된다고 생각하기 때문에 Boundary를 뚫고 들어오기만 하면 해커가 어떤 행동을 해도 알 수가 없다.

누군가가 '차 안에 있는 사람은 공격자가 아니다'라는 자동차 설계의 원칙을 이용해서 자동차 잠금 주파수를 중간에 해킹하여 차를 훔쳐온 것이다. 자동차 안에 있는 OBD-ll connector를 이용해서 자동차의 유니크함을 읽어내고 차 키를 복사하고 GPS를 설정하는 등의 조작을 통해 훔친 것이다. 또한 전기를 훔쳐오는 사례도 있었는데 Infrared port를 이용해서 meter를 재프로그램하였다고 한다.

이렇게 소프트웨어와 하드웨어가 하나가 된 것, 전기나 기계에 연결된 것들이 임베디드 시스템인데 모든것이 컴퓨터화는 시점이기 때문에  임베디드 보안 기술이 중요해지는 것이다. 세상의 모든 장비에 OS와 CPU가 들어가기 때문이다. 요즘의 냉장고, 비행기 등 모든 것이 임베디드 시스템으로 이루어져 있다. 더 이상 컴퓨터 보안만이 중요한 것이 아니다. 핸드폰, 선풍기, 냉장고 등 모든 것의 보안이 중요해지고 있다. Ahn

 

대학생기자 임지연/ 덕성여자대학교 컴퓨터학과

댓글을 달아 주세요

  1. 나그네 2013.09.17 13:44  Address |  Modify / Delete |  Reply

    국가가 취약점을 사주고.. 취약점마켓이 활성화된 거랑 취약점을 막기가 굉장히 힘든 거랑 무슨 상관인가요?

  2. 어설 2013.10.05 03:04  Address |  Modify / Delete |  Reply

    국가도 취약점을 사주는건 해당국가의 프로그램과 회사의 보안을 유지시켜주기위한 일환이라고 이해되고, 취약점 마켓이 활성화 됐다는건 그만큼 프로그램의 취약점에대한 공격이 조직적이고 치밀해질 수 있다는 뜻이라 이해됩니다. 따라서 프로그램의 취약점에대한 자체적인 검사와 감시가 매우 중요해졌다 할 수 있습니다. 그 결과 본 기사의 도입부에 나온 공격자의 입장에서 생각하지 않으면 절대 막을 수 없다는 결론이 나왔다고 판단됩니다.

다양한 보안 이슈, 보안 전문가를 한 곳에서 만나다

현장속으로/세미나 2013.07.12 07:00

"큐인사이드는 3년만에 세계 해커들 사이에서 가장 출전하고 싶은 대회가 됐습니다. 글로벌에서 라스베이거스 '데프콘'과 견줄만큼 규모가 큰데다 팀에게 지원도 많이 해줍니다. 1회 때는 입소문이 많이 퍼지지 않았지만 올 해는 다르더군요." 


지난 7월 2일부터 3일까지, 이틀 동안 진행된 '시큐인사이드' 해킹방어대회에서 3연패를 달성한 PPP팀의 팀원 '리키 주' 씨의 인터뷰 내용이다. '국제 규모의 해킹방어대회' 라는 타이틀에 걸맞게 77개국의 나라에서 총 1083팀이 참가했다. 다양한 발표가 이어지는 3일, 서울 콘래드 서울 호텔에 모인 인파에 시큐인사이드의 규모를 짐작할 수 있었다. 시큐인사이드는 화이트해커들을 중심으로 다양한 보안 이슈에 대해 실무적인 정보를 공유하는 국제 컨퍼런스로, 2011년부터 개최되어 올 해 3회를 맞았다. 

 


아침 일찍 도착해 등록을 마치고, 이름표와 발표자료집을 받아 컨퍼런스 홀로 들어갔다. 첫 키노트 세션이 시작되기 전, 10시가 안된 이른 시각부터 홀은 좋은 자리(?)를 찾기가 힘들었다. 가운데 앞자리는 예약석. 꽉 찬 자리의 빈틈을 찾아 두리번 두리번. 


그리고 10시, 시큐인사이드 2013 시작! 컨퍼런스의 시작은 김승주 교수의 <암호학과 해킹의 결합, 가능한가?(Combination of Crypto and Hacking, Possible?)> 라는 주제의 키노트 세션이었다. 그는 암호학, 시스템 보안, 네트워크 보안, 보안 정책은 '보안'을 구성하는 요소이며, 이 요소들을 잘 연결하고 결합시켜야 한다는 것을 강조했다. 또한 '암호학'을 어떻게 해킹과 결합하여 사용할것인지에 대해서도 어필했다. 보안을 위해서는 다양한 분야에 대해 넓은 지식을 가지고 있으면서도 자기 전문 분야를 가지고 있는 'All-Round Player'가 되어야 한다는 많은 전문가의 충고가 다시 한번 생각나는 세션이었다.



두 번째 키노트 세션은 'Beist' 이승진씨의 <소스코드 불법 복제에 대한 이슈(Issues of illegal copy and unauthorized use for source code copyright)>라는 주제로 진행되었다. 그는 한국에서 뿐 아니라 전세계에서 프로그램을 무단으로 사용하고 소스코드를 훔치는 사례가 발생하고 있고, 이런 경우를 분석하기 위해 어떻게 소스코드의 유사성을 평가하는지에 대해 이야기했다. 기술적인 이야기들은 완전하게 이해하지 못해 아쉬움이 남지만, 오픈소스 프로그램의 라이센스 정책에 대해 다시 한번 되새겨보는 계기가 되었던 시간이었다.



키노트 이후에 잠깐의 점심시간을 가지고, 본격적으로 다양한 주제의 발표가 진행되었다. 총 3개의 트랙으로 나누어져 다양한 이슈들을 다루었는데, 한 번에 한 트랙밖에 들을 수 없다는 것이 아쉬웠다. A, B, C 트랙에서 진행된 발표의 주제들은 다음과 같다.


A트랙

최원혁, <한글 취약점을 이용한 APT 공격 사례 및 분석 그리고 대응방안>

Byungho Min, <Security of anti-virus solution>

강흥수(jz), <Sandbox for security (Understanding sandbox and attack examples)>

Long Le, <Exploiting nginx chunked overflow bug, the undisclosed attack vector>

B트랙

안상환, <How to find vulnerability in software>

신정훈(sjh21a), <Hacking smart devices (I just drank c0ffee only!)>

구사무엘(dual5651), <한국형 봇넷 개발&분석>

장상근(maxoverpro), <Mobile game hacking and defense strategy> 

A+B 통합트랙

유동훈(x82), <Writing ARM32 Linux kernel exploitation>

C트랙(Invited Only)

구태인 변호사(태크엔로 법률사무소), <개정 전자금융거래법에 따른 새로운 보안패러다임>

조규민 단장(KISA), <금융분야 개인정보가이드라인>

김기영 실장(AhnLab), <GAP>

이주호 차장(코스콤), <금융 정보보호 참조모델 소개-개발보안프로세스 위주)



C트랙은 초대받은 사람들만들 대상으로 하는 비공개 세미나였기 때문에 내게는 선택권이 없었다. 대신 A, B트랙중에서 좀 더 흥미를 끄는 주제의 발표를 들어보기로 결정했다. 상당히 흥미롭고 다채로운 주제로 발표들이 진행되었지만, 아직 턱없이 부족한 실력으로 발표를 완벽하게 이해하는 것은 무리였다. 모르는 것은 메모하고, 아는 것은 다시 한번 짚는다는 생각으로 발표 듣기 시작!


특히 지난 해 전광판 해킹으로 많은 주목을 받았던 신정훈씨의 Track2에서 진행된 <Hacking Smart Devices> 발표가 기억에 남는다. 많은 사람들이 몰려서 서서 들어야 했던 발표! 카페의 POS, CCTV, Pager(카페에서 쓰는 진동벨을 pager라고 부른다) 해킹에 대해 연구한 발표였다. 카페에서 익숙하게 서비스 받던 익숙한 시스템들을 해킹하는 참신하고 흥미로운 주제라 더욱 관심이 갔던 것 같다. 게다가 재미있고도 다소 충격적이었던 시연영상에 집중할 수 밖에 없던 발표였다. 모든 기기의 경우, 초기에 설치할 당시 설정해둔 디폴트 비밀번호를 그대로 쓰기 때문에 해킹이 가능하다는 공통점이 있었다. Pager 해킹은 실패했다고 했지만, 그렇기 때문에 그의 다음 발표가 더욱 기대된다.


또 하나 재미있었던 발표는 Track2의 마지막 발표였던 장상근씨의 <Mobile game hacking and defense strategy> 였다. 모바일 게임에서 게임핵이 어떻게 돌아가는지, 그리고 어떻게 방어를 해야 하는지에 대한 이야기로 채워진 시간이었는데, 구체적으로 실체 우리가 하는 모바일 게임의 게임핵 적용 사례를 살펴보고 그 시연 영상을 볼 수 있어서 더욱 와닿고 흥미로웠던 세션이었다. 


마지막 세션은 시쳇말로 정말 '멘붕'을 일으켰던 발표였다. A,B 통합 트랙으로 <Writing ARM32 Linux Kernel Exploit>이라는 주제로 진행된 발표였는데, 리눅스 커널의 취약점과 커널을 공격해 권한을 상승시키는 방법에 대해 상세히 분석하고 커널 취약점에 대해 어떻게 대응해야 하는지- 에 관한 내용이었다. 나에게는 상당히 어려웠던 주제였다. 초반이 지나고부터는 무슨 내용을 듣는 것인지 정신 없었던 시간이었다. 한계를 느끼고, 자극을 받고, 이런 발표를 다음에는 조금 더 이해하며 들을 수 있도록 해야겠다는 생각만 줄곧 하다가 끝난 발표 세션이었다. 


폐회식과 함께 시큐인사이드 2013 해킹방어대회 시상식이 있었다. 1위는 대회를 3회째 제패한 미국의 'PPP'팀이 차지했다. 2위는 한국의 '벌레잡이' 팀, 3위는 스웨덴의 'Hacking for Soju' 팀이었다. 치열한 순위경쟁 끝에 PPP팀이 종료 2분을 남겨두고 모든 문제를 'All-Clear' 하는 저력을 보이면서 우승을 차지했다고. 그만큼 뜨거운 대회였고, 작년에 비해 훨씬 다양한 국가에서 많은 팀이 참가했다는 소식이 내년의 대회를 더 기대하게 만들었다. 정말 다들 멋있는 '화이트 해커' 라는 생각이 절로 들고, 동시에 열심히 하자, 즐기자, 이런 긍정적인 에너지를 잔뜩 얻어갈 수 있었던 컨퍼런스였다.


올해의 3.20 사이버 테러, 6.25 사이버 공격 등 크고 작은 사이버 공격이 끊이지 않는 때, 보안 의식을 높이고 다양한 보안 이슈들을 공유할 수 있는 좋은 기회였다는 생각이 든다. 그만큼 마음을 다시 한번 가다듬고, 만만치 않은 보안 이슈에 대해 좀 더, 나름대로 생각해볼 수 있는 시간을 가질 수 있었다. Ahn



대학생기자 강정진 / 숙명여자대학교 컴퓨터과학과


學而不思則罔思而不學則殆

배우기만 하고 생각하지 않으면 멍청해지고, 생각하기만 하고 배우지 않으면 위태로워진다.


댓글을 달아 주세요

  1. 임지연 2013.07.12 23:59  Address |  Modify / Delete |  Reply

    좋은기사 감사합니다~~!

사이버 테러 막는 망분리 솔루션 어떻게 구축할까

해킹의 패러다임이 변했다. 과거에 실력을 과시하기 위해 벌어졌던 해킹이 이제는 금전을 목적으로 한 해킹으로 탈바꿈했다. 정보는 돈이 되고, 중요한 정보일수록 그 가치는 커진다. 3.20 사건 외에도 크고 작은 보안 사고가 빈번한 요즘, 개인정보 보호는 또 하나의 뜨거운 이슈이다. 


하나에 10원 꼴로 팔려나간다는 개인정보, '중국에 이미 내 개인정보는 다 팔려갔다'는 웃지 못할 말이 현실인 2013년 현재. 어떻게 하면 개인정보를 지킬 수 있을 것인가, 더 나아가서 어떻게 하면 해킹사고를 예방하고 정보보호 시장을 활성화할 수 있을 것인가, 이 뜨거운 이슈에 대한 뜨거운 관심을 증명이라도 하듯 지난 6월 20일에 코엑스에서 열린 '개인정보보호 페어 2013'에는 비집고 들어가야 할 만큼 많은 인파가 몰렸다. 



3.20 사건 이후, 사이버 테러를 대비해 많은 기관과 기업에서 '망분리' 솔루션을 검토하고 있다. 업계 추정에 따르면 2013년 현재 망분리 시장 규모는 200억원, 2016년에는 1000억원까지 성장할 것이라고 예측하고 있다. 2013년 2월 18일, 정부에서 정보보호 등에 관한 법률 시행령을 개정해 일정 규모 이상의 기업이나 기관에서는 망분리를 의무적으로 해야 하는 상황도 망분리 시장 활성화에 한 몫을 했다. 


개인정보보호 페어 2013의 A트랙 마지막 시간, 정보보호의 화두로 떠오른 망분리 솔루션에 대해 안랩의 권진욱 부장의 <효율적인 망 분리 도입을 위한 가이드>는 주제로 발표가 진행되었다. 다음 내용들은 발표의 내용을 정리한 것이다.



망분리 솔루션은 왜 핫한 이슈가 되었나


기존의 사이버 테러는 단일한 악성코드에 의한 것으로, 감염 PC에 국한된 피해를 입히고 불특정 다수를 공격하는 경향을 보였다. 그러나 최근의 사이버 테러는 다르다. 모듈화된 악성코드가 사용되고 그 악성코드가 업데이트되며(Advanced), 장기간에 걸쳐 취약한 곳을 찾기 위해 은닉하며 한번 공격이 시작될 경우 2차, 3차 공격이 이루어지고(Persistent), 불특정 다수에서 특정한 대상을 탐색해 공격하는(Targeted Threat) APT가 행해지고 있다. 


3.20도 마찬가지로 APT 형태의 사이버 테러였다. 다양한 기술과 여러가지 공격 방식으로 특정 대상에게 지속적인 공격을 하는 APT공격. 전통적인 보안 솔루션으로는 방화벽, 차세대 방화벽, 침입차단시스템(IPS), 유해 사이트 차단 시스템, 안티바이러스 등이 있으나, 이들만으로는 더이상 고도로 지능화된 APT에 대응할 수 없다. 


뚫으려는 자의 방식이 발전한다면 막으려는 자의 방식 또한 발전하는 법. APT공격에 대응하기 위해 망분리 솔루션에 관한 관심이 고조되었고, 3.20 이후 망분리에 관한 관심이 달아오르기 시작했다. 알려진 공격에 대해서만 대비할 수 있었던 이전 보안 솔루션에 비해, 망분리는 인터넷으로부터의 보안 위협 자체를 모두 차단하는 것은 물론, 새로운 보안 위협 또한 차단할 수 있고 여러 보안 솔루션으로 구성된 보안 체계보다 훨씬 높은 수준의 보안 체계를 구현할 수 있다는 이점이 있다. 망분리 솔루션은 APT의 효과적인 대응책으로 떠오르며 핫한 이슈가 되었다. 




망분리란 무엇인가


망분리란, 인터넷 영역과 업무 영역을 동일한 하나의 네트워크에서 사용하는 방식 대신 

물리적 또는 논리적(가상화) 기술을 이용하여 네트워크 및 PC를 분리하는 것을 의미한다.


즉, 네트워크 망을 나누어 외부의 침입으로부터 내부의 자료를 안전하게 할 수 있는 방법이 망분리 솔루션이다. 정부는 2006년부터 해킹 대처 방안을 수립해 시법사업을 완려하였고, 2010년부터 망분리 사업을 진행, 확대하고 있다. 2010년 이전까지는 물리적 망분리에 관심이 있었다면, 2010년 이후부터는 논리적 망분리로 관심이 옮겨가고 있다. 물리적 망분리는 2대의 PC를 이용하거나, 망분리 전환 장치를 이용하거나, 멀티 PC를 이용하는 것으로  실행할 수 있고, 논리적 망분리는 SBC(Server Based Computing)방식이나 터미널 서버를 이용하는 것으로 실행할 수 있다. 


2009년까지는 국가 기관의 망분리를 2대 PC를 이용하는 물리적 망분리를 원칙으로 했고, 불가피한 경우에만 논리적 분리가 허용이 되었다. 그러다가 2010년부터 가상화 기술을 이용한 논리적 망분리가 검토되기 시작했고, 2011년부터는 논리적 망분리 도입이 본격화 된 상태이다. 또, 정통망법에 따라 전년 말 기준 직전 3개월간 평균 100만명 이상의 개인정보 보유 사업자, 혹은 정보통신 서비스 부문 전년 매출액 100억 이상인 사업자는 온 오프라인 경로에 상관 없이 망분리를 의무적으로 시행해야 한다.  




망분리 방식 비교 및 고찰


제일 간단한 방식은 물리적 망분리 방식이다. 새로운 망을 구축하고 인터넷만 쓸 수 있는 PC를 따로 두는 것이다. 물리적 망분리는 물리장비가 늘어나는 것이기 때문에 무엇보다도 보안의 가시성 확보가 쉽다. 하지만 치명적인 약점들이 있는데, 대표적인 경우가 USB를 통한 감염이다. 인터넷망에서 USB를 통해 업무PC로 전달되는 케이스들이 발생한다. 그래서 공공기관에서 물리적 망분리를 도입할 경우 보안 USB를 사용하거나 두 영역간의 파일 교환을 위한 부가적인 망 연계 솔루션을 같이 도입하도록 한다. 


다음으로 랜카드를 추가로 설치하는 방법이 있다. 그렇게 되면 업무서버와 인터넷망을 자유롭게 오갈 수 있으나, 관리가 제대로 되지 않는다면 망분리 효과를 볼 수 없게 되는 단점이 있다. 물론, 물리장비를 설치하기 위한 설치공간이 필요하고, 설치한 장비만큼 소비전력도 늘어나게 된다. 또한 운영하기 위한 예산이 많이 필요하다는 단점도 존재한다.


논리적 망분리 방식으로는 서버 기반과 PC기반 두 가지 방식이 있다. 


서버 기반의 논리적 망분리 방식은 인터넷을 연결하는 망 쪽에 가상 서버를 두는 방식이다. 그렇기 때문에 인터넷에서 악성코드가 들어온다 하더라도 가상서버에만 영향을 미칠 뿐, 업무서버에는 영향을 미치지 않는다.  그러나 물리적 망분리 만큼의 예산이 필요하고, 다양한 인터넷 환경에 대한 호환성을 검증해야 한다는 단점이 있다.


PC 기반의 논리적 망분리 방식은 기본적으로 사용자 PC와 인터넷 망 사이에 망분리 게이트웨이를 두는 방식이다. 낮은 비용으로 물리적 망분리 수준의 보안성을 확보할 수 있고, 영역 전환이 편리하여 편의성이 좋다. 또한 구축 기관도 짧은 편이다. 그러나 다양한 PC에 대한 호환성 검증이 필요하다.


어떤 방식이 가장 좋다고 할 수는 없다. 각 기업이나 기관의 업무 스타일에 맞추어 최적의 망분리 방식을 적용해 구축하는 것이 좋다. 물론, 망분리를 구축할 수 없는 사례도 존재한다.




망분리 구축을 어떻게 체계적으로 할 것인가?


망분리 솔루션을 도입하기 위해서는 기존 보안 제품을 도입하는 것과는 다른 프로세스를 필요로 한다. 첫째로 환경분석을 해야하고, 구축을 한 뒤에는 안정화 단계를 거쳐야 한다.


환경분석은 사용하는 소프트웨어, 인터넷 등을 분류하는 단계이다. 쉽게 말해서, 사용자가 사이트에서 쓰는 소프트웨어들, 사용자가 접근하는 인터넷, 우리 업무 서버가 어떤 것들에 접근하는지, 혹시 외부와는 연결이 되어야 하는지, 내부 업무망쪽의 PC들은 어떻게 업데이트 할 것인지 등등을 분석하는 과정이다. 즉 요구사항들을 분석하는 것이다. 망분리 게이트웨이 구성을 위한 네트워크를 분석하고, 업무 및 사용 프로그램 분석을 통해 망분리 환경을 구성하고, 사용자의 업무 연속성을 보장할 수 있는 대책을 마련하는 과정이 모두 포함된다. 


환경분석한 결과를 토대로 망분리 솔루션 및 제반 시스템을 구축한다. 파일럿 운영, 시범 설치를 통해 계속해서 장애를 최소화 한 뒤에 점차 확산을 시키는 것이다. 망분리 솔루션, 망 연계 솔루션을 구축하고 메일 서버를 분리하는 등의 작업이 구축 단계에서 행해진다. 이렇게 인프라 구축을 하고 나면 안정화 단계를 거치게 되면 망분리 솔루션을 통한 보안성을 확보하게 되는 것이다. 로 보안성을 확보하게 되는 것이다.


확실히 다른 일반 IT인프라를 구축하는 것에 비해 힘들고 손이 많이 가지만, 망분리 구축을 하면 많은 보안 위협으로부터 안전해질 수 있다.




이게 최선입니까? 확실해요?


업무서버와 인터넷망을 분리하는 방법이라니. 그럼 망분리만 된다면 보안 이슈는 사라지는 것 아닌가? 애석하게도, 망분리 솔루션이 모든 보안 이슈를 해결하는 솔루션은 아니다. 그럼 소용 없는 것 아닌가? 그건 또 아니다. APT에는 분명히 효과적인 대응 방안이다. 


보안위협은 계속해서 새로워질 것이다. 가장 안전하다고 생각했던 방법도 결국에는 무용지물이 되는 떄가 온다. 뚫으려는 자는 계속해서 새로운 방법을 찾아낼 것이고, 막으려는 자는 계속해서 새로운 공격에 대한 대응을 찾아낼 것이다. 망분리는 분명 현재 APT에 효과적으로 대응할 수 있는 방법이고 최선의 방법일지도 모른다. 하지만 보안의 세계에서 영원히 확실한 방어 방법은 존재하지 않고, 존재하지 않을 것이고, 존재 할 수 없을 것 같다. 우리는 늘 최선의 방법을 찾기 위해 노력해야 하고, 허를 찌르는 공격에 한 번 당하면 반복해서 당하지 않도록 노력해야 한다. 


망분리 솔루션이 효과적인 대응이 되지 못하는, 위태로워지는 날이 언젠가는 올 것이다. 늘 경우의 수를 생각하며 여러가지 방안을 끊임없이 모색하는 것, 그것만이 우리가 할 수 있는 최선의 해결책이 아닐까. Ahn



대학생기자 강정진 / 숙명여자대학교 컴퓨터과학과


學而不思則罔思而不學則殆

배우기만 하고 생각하지 않으면 멍청해지고, 생각하기만 하고 배우지 않으면 위태로워진다.


댓글을 달아 주세요

  1. 정바 2013.07.04 12:34 신고  Address |  Modify / Delete |  Reply

    많이 배우게 되는 글이네요~~

기밀 정보 노리는 지능적 APT 잘 막으려면

지난 4월 25일, 서울 JM메리어트 호텔 그랜드볼룸에서 <제 8회 NES 2013-차세대 기업보안 세미나&전시회> 가 열렸다. 올 해 NES 세미나에서는 '지능형 위협과 기업 보안, 안전한 BYOD 환경 구축' 을 주제로 안랩(AhnLab)을 비롯한 많은 IT, 보안 회사들이 급변하는 IT 및 위협 환경에 대응하기 위해 주목해야 할 최신 보안 위협 이슈와 동향, 대응 방안을 논의하였다. 


역시 이번 세미나에서 가장 많이 언급 되었던 것은 'APT(Advanced Persistent Threat, 지능형 지속 공격)' 였을 것이다. 목표로 설정한 기관이나 기업을 오랜 기간에 걸쳐 정보를 수집하고 치밀하게 계획하여 목적을 달성하는 형태의 APT는 근래 발생하는 보안 사고의 핵심이자 화두이다. 이 날 안랩의 정진교 팀장은 이러한 APT 대응과 관련하여 <고도화된 위협 APT 대응을 위한 융복합 보안관제> 라는 주제로 발표를 하였다. 


발표의 내용은 보안 위협의 진화와 현재 대응의 한계, 그리고 컨버전스 보안 관제를 통한 보안 위협 대응 전략이라는 두 가지를 중점적으로 다루었다. 다음은 주요 내용을 정리한 것이다. 


최근 APT 공격 문제가 보안계 최대의 이슈이다. 최근에 발생한 공격들은 한두명의 해커가 공격하는 것이 아니라 강력한 자금력과 조직력을 갖춘 스폰서의 전폭적인 지지를 받으며 치밀하게 계획된 공격을 하고 있다. 당연히 대응도 한두명이 할 수 없고, 개별 솔루션으로 문제를 해결할 수도 없다.


이번 세션의 결론부터 말하자면, 이러한 APT공격을 막기 위해서는 특정한 기술이나 지식의 문제를 다루기 보다는 전반적으로 기업 내에서 가시성을 확보하려는 노력을 해야한다. 또한 기업 내에 존재하는 여러가지 기술, 관리 프로세스들에 대한 전반적인 통제력을 확보해야 한다. 이를 통해 회사에서 어떤 이벤트들이 발생하는지, 회사 시스템에서 들어오고 나가는 정보는 어떤 것들이 있는지 전체적으로 파악할 수 있는 시스템을 구축하는 것이 중요하다. 그리고 이러한 가시성을 확보해주는 보안 시스템이 보안 관제 시스템인 것이다. 



그렇다면 왜 현재 보안 관제 시스템으로는 가시성을 확보할 수 없는가?

2002년과 2012년을 비교해 보면, 안랩에서 관제를 맡고 있는 고객의 숫자는 두 배가 늘었다. 그런데 이벤트의 숫자는 2만배가 늘었다. 시간이 흐를수록 보안 위협이 증가하고 있는 상황이다. 


보안 위협은 외부위협과 내부위협, 컴플라이언스로 구분할 수 있다. 외부위협은 바깥의 해커가 접근하는 위협이고 내부위협은 부주의하거나 악의적인 내부인으로 인해 발생하는 위협이다. 컴플라이언스는 개인정보보호법을 예로 들 수 있는데, 보안과 관련한 법 규제를 말한다. 보안 사고가 이렇게 내부나 외부, 컴플라이언스로 구분되어 발생하면 대응하기도 그만큼 쉽다. 하지만 최근의 APT 공격들은 외부와 내부의 경계가 모호하다. 공격자는 외부에 있는데 공격은 내부에서 일어나기도 하고, 전면전보다는 게릴러성의 성격이 짙다. 개인정보보호라고 하는 부분도 외부로 유출하지 말아야 할 관리 대상이기 때문에 내부통제에 해당하지만, 컴플라이언스 입장에서는 프로세스를 관리해야 하기 때문에 역시 경계가 모호하다. 즉, 보안 관리자의 입장에서는 점점 더 대응하기가 힘들어지는 상황인 것이다.


또한 특정 기관을 노린 악성코드도 증가하고 있다. 내부정보의 유출을 위해서 타겟화 되고 구체적인 목표를 가진 악성코드로 발전하고 있는 추세이다. 이러한 악성코드가 개인과는 관계 없는 일이라고 생각할 수 있지만, 작년에 이러한 부류의 악성코드가 발견된 것만 약 60만 건이다. 어떤 사람이든 부지불식간에 피해를 입을 수 있는 상황인 것이다. 


그리고 사회적 환경의 변화도 고려해야 한다. 2011년 이후로 개인정보 유출과 관련해 큰 사건들이 있었고, 정부에서도 개인정보보호법을 제정해 규제를 강화했지만 보안사고는 그 이후로도 끊임없이 일어났다. 이렇게 보안사고가 반복적으로 일어나게 되면 기존 보안 대책에 대한 신뢰성이 하락한다. 근본적인 변화가 요구되는 상황인 것이다.



근본적인 문제란 무엇인가?

기존 관제 시스템은 각각의 보안 제품으로부터 이벤트를 받아서 이벤트를 처리하는 식이었다. 하지만 APT는 기존 보안 시스템들을 회피하거나 우회하는 새로운 방식의 공격을 하기 때문에 실제적으로 보안 제품이 걸리는 이벤트들이 많지 않다. 게다가 APT는 외부가 아닌 내부쪽에서 문제가 벌어지기 때문에 내부의 엔드 포인트를 보아야 하지만 기존의 관제 시스템들은 네트워크의 경계를 보기 때문에 대응하기가 힘들다. 또한 기업에서 사용하는 보안 제품뿐 아니라 기업 전체의 시스템에 관한 정보도 파악하고 있어야 하는데 현재는 단편적인 정보나 이벤트 탐지 위주로 관제가 이루어지기 때문에 APT 대응이 힘들다. 


임계치 기반의 관제도 한계점이다. 쏟아져 들어오는 정보의 양이 많기 때문에 대부분의 관제 시스템들은 임계치를 두어 그 임계치가 넘는 이벤트만 대응을 한다. 하지만 요즘 공격들은 임계치를 밑도는 수준의 공격에서 사고가 발생하기 때문에 임계치를 기반으로 한 관제 시스템에서 APT를 탐지하는 것은 불가능하다. 


다음은 상관분석이다. 기존 보안 시스템들은 상관분석을 할 수 있는 주기가 길지 않다. 하지만 APT는 상당히 긴 주기를 가지고 발생하는 공격의 형태이기 때문에 상관분석으로는 찾기가 힘들다. 여기서 빅데이터에 관한 문제가 함께 대두된다. 


마지막으로는 내부자로부터 발생하는 문제이다. 내부자가 악의적인 마음을 먹고 정보를 빼돌리게 되면 마땅한 방법이 없는 것이 사실이다. 


3.20 사고와 같은 경우에는 지능화된 공격, 분석할 수 있는 데이터의 부족, 이벤트 탐지 대응방식에 대한 한계, 내부적인 통제가 힘들었다는 요인들이 포함되어 있다.



그렇다면 우리는 어떻게 대응해야 하는가?

우리가 보아야 하는 부분은 이제 단순히 네트워크에 한정되어있지 않다. 내부와 외부를 한꺼번에 관리하고 통제할 수 있어야 한다. 이벤트 중심이 아닌 행위와 정책을 분석하고 시나리오를 기본으로 보안을 바라보아야 한다. 또한 알려지지 않은 공격(Unknown Attack)에 대해 관제 시스템이 어떻게 받아들이도록 할 것인지, 하드웨어 뿐 아니라 내부의 프로세스나 정책에 대해서는 어떻게 파악을 할 것인지도 고려해야 한다.

이러한 대응을 위해서는 3가지 'Every' 를 해야 한다고 말씀 드리고 싶다. 

Everywhere, 내부나 외부의 경계 구분 없이 모든 위협에 대응해야 한다. 

Everything, 단순히 보안 장비만 모니터링 하는 것이 아니라, 시스템 안에서 송수신되는 모든 파일, 트래픽, 관련 로그를 수집하고 모니터링 해야 한다. 또한 네트워크와 관련한 인프라들, 서버 시스템들, 내부 지원에 대한 정보들을 전체적으로 파악해야만 한다.

Everyone, 개인에 대한 부분을 파악해야 한다. 권한있는 사용자, 임원 뿐 아니라 퇴직자까지 모든 사용자의 행위를 수집하고 파악할 수 있어야 한다. 



대응을 하기 위한 시스템을 어떻게 꾸려볼까?

네트워크, 서버와 클라이언트, 그리고 내부 직원과 문서들이 존재한다. 여기서 생성되는 수많은 데이터들을 수집한 뒤, 상관분석을 통하여 외부 위협을 대응하고 내부 통제를 해야한다. 또한 분석한 내용들을 구분하여 대시보드에 올려 통합적인 모니터링을 해야한다. 이를 통해 가시성을 확보하고 문제를 해결할 수 있을 것이다.


안랩은 안랩 보안 프레임워크(AhnLab Security FrameWork)를 통해 컨버전스 통합 보안 관제 시스템을 구현하였다. 시스템 안의 구성요소들을 잘 구축을 해야만 발생하는 이벤트들이 잘 정제되어 수집되고 그래야만 다음 단계로 잘 넘어갈 수 있다. 이러한 컨버전스 통합 관제 시스템이 잘 구축이 되어야 효과적인 보안 솔루션을 도출할 수 있으며 대응을 할 수 있는 선순환적 구조를 가질 수 잇을 것이다. 



컨버전스 통합 보안 관제 체계는 네 가지 구성요소로 이루어져 있다.

컨버전스 통합 보안 관제 체계는 외부 위협 탐지 시스템, 내부 위협 통제 시스템, 통합 관제 시스템 구축, 입체적 대응 체계 및 운영, 지원이라는 네 가지 구성 요소로 이루어져 있다.


외부 위협 탐지 시스템은 새로운 공격에 대해 유연하게 대응할 수 있도록 구축해야 한다. 이를 통해 외부 침해사고에 대한 대응을 강화시킬 수 있다. 내부 위협 통제 시스템은 내부자가 하는 행위가 불법적인 행위인지 아닌지 룰 기반으로 판단할 수 있어야 한다. 또한 쏟아져 나오는 수많은 이벤트들을 한꺼번에 처리하고 인과관계를 이끌어낼 수 있도록 통합 관제 시스템이 탄탄히 구축이 되어 있어야 하는 것은 물론, 이러한 인프라를 관리하고 운영할 수 있는 인력이 있어야 한다.



핵심 요소는 내외부의 모든 로그 수집과 입체적인 상관분석을 통한 통합 모니터링과 대응이다.

관제 시스템을 구축할 때는 양질의 이벤트들이 추출되어야만 대응을 효과적으로 할 수 있기 때문에, 가지고 있던 각각의 시스템들이 잘 갖추어져 있는지를 봐야 한다. 또한 내부의 시스템을 파악하면서 통합된 정보를 수집할 수 있어야 하고, 수집된 정보를 상관분석을 통해 APT 관제나 내부 통제를 실시할 수 있어야 하며, 대시보드를 통해서 현재 상태가 어떠한지 이야기 할 수 있어야 한다.



이벤트 중심에서 시나리오 중심으로!

이제는 시나리오를 중심으로 상관분석을 해야한다. 단편적이었던 과거의 공격과는 다르게, APT는과정이 긴 공격이다. 때문에 공격자가 최초로 보안 시스템에 침입을 하였다 하더라도 그게 끝이 아니라 공격을 업그레이드 하고 또 다시 공격하고 하면서 목적을 달성하기까지 수개월이 걸린다. 따라서 공격 시나리오 중심으로 상관분석을 하여 공격자가 공격의 최종 목표를 달성하지 못하도록 공격의 연결고리를 끊어내는 것이 무엇보다 중요하다. 



내부와 외부의 통합 관제 프로세스는 어떻게 운영할 것인가?

정책, 행위 기반의 상관분석을 통해 관제 시나리오를 제공해야 한다. 룰 분석을 통해 이벤트들을 네트워크에서는 침해 유형별 분류를, 내부 시스템에서는 정책별 분류를 하고 분석할 수 있다. 이러한 결과를 상관분석을 통해 단순히 이벤트에 그치는 것인지, 목적성이 있는 APT 공격의 일부인지 걸러내고, 여기서 APT 대응을 하거나 내부 사용자에 대한 통제로 대응할 수 있다. 가장 중요한 것은 전체적인 것을 파악하고, 어떻게 발전하여 다시 침투할 수 있는지 고려하는 것이다. 



계속 새로워지는 보안 위협에는 어떻게 대처할 것인가?

안랩에서는 스마트 사이트(Smart Sight)를 통해 실시간으로 새로운 악성코드에 대한 위험 정보를 제공하고 있다. 최근의 공격들은 공격이 어떻게 진행되는지 감을 잡기 어렵다. 실시간으로 악성코드를 수집, 분석하고 공격이 어떻게 진행되는지, 공격의 침입 경로는 어디인지, 공격이 어디까지 진행되었는지 파악하기 위한 포렌식 조직도 필요할 것이다. 가장 좋은 것은 대응팀을 내부에 보유하고 있는 것이겠지만, 그렇지 않을 경우에는 정보보호 전문 업체를 통해 보안 관제를 부탁하는 것이 좋다. 또한 제공하고 있는 최신 보안 이슈들을 점검하는 것 또한 필요하다. 



이러한 컨버전스 관제는 제품이 아니라 보안에 대한 방법론이고 보안 컴포넌트들을 통합해서 제공하는 SI이다. 궁극적으로 컨버전스 관제는 그동안 보지 못했던 것들을 모니터링하고, 외부위협에서 내부위협까지 전반적인 가시성을 확보하는 하나의 프로젝트이다. 이것을 통해 IT 자산 및 보안 장비의 활용도를 극대화 할 수 있고, 고도화된 관제를 통해 내부와 외부 위협을 최소화 시킬 수 있으며, 정책 기반 관리로 내부 가시성 확보와 통제력을 강화할 수 있다. Ahn



대학생기자 강정진 / 숙명여대 컴퓨터과학


學而不思則罔思而不學則殆

배우기만 하고 생각하지 않으면 멍청해지고, 생각하기만 하고 배우지 않으면 위태로워진다.





댓글을 달아 주세요

보안 공부 무엇부터 해야 할지 알려주는 해킹 캠프

현장속으로/세미나 2013.03.13 07:00

'해킹캠프(Hacking Camp)'는 해킹과 보안에 대한 관심을 가진 국내 학생들을 위해 H&S와 해커스쿨이 공동으로 매년 2회 씩 진행하는 해킹/보안 캠프이다. 순수 비영리 목적으로 운영되는 해킹캠프는 재미있는 해킹/보안 교육과 실습, 그리고 각종 이벤트를 통해 훌륭한 보안전문가가 되는 길을 스스로 깨닫도록 도와주는 것을 목적으로 한다.

이번에 7회를 맞은 해킹캠프는 2월 23일부터 24일 1박 2일간 경기도 양평에 위치한 셀라리조트에서 80여명의 학생 참가자들과 함께 진행되었다. 필자에게는 해킹/보안 공부를 어떻게 시작해야 할지 막막하던 고등학생 시절에 나아갈 길을 제시해준 의미있는 행사로 이번이 다섯 번째로 참여하는 행사이다.

해킹캠프에서는 전문가뿐만 아니라 일반 참가자도 발표자가 되어 다른 참가자에게 자신이 공부한 내용을 발표하는 자리를 가진다. 이번 행사에서는 다음과 같이 여러 발표자들이 재미있는 주제들을 가지고 발표를 하였다.

발표자 

 발표주제

 반젤리스

 해커윤리 / 해킹공부 시 주의할 것 / 해커들의 직업

 김성우

 버퍼오버플로우 기초

 이재일

 Power Of MITM(Man In The Middle Attack)

 권혁주

 해킹대회 문제 유형별 정리

 박정환, 홍성빈

 카카오톡 프로토콜 분석

 강기훈

 쉽게 혼동하는 암호학의 불편한 진실

 김재기

 안드로이드 앱 디버깅

 김동완

 Binary Diffing

 서인혁

 Code Hook in Windows

 김태욱

 리눅스 메모리 보호기법의 이해

 이석하

 시스템 해킹의 예술

 이주혁

 Goodbye SQL Injection

해킹/보안에 대해 관심을 가지고 있는 학생들은 정말 많으나, 공부하는 방법에 대해 어려움을 겪는 학생들이 대부분이다. 이런 학생들에게 해킹캠프는 방향을 제시해주는 등대와 같은 역할을 해주고 있다.

발표를 열심히 듣고 있는 학생들

캠프가 시작하면서 2일동안 함께 할 조원들이 정해지고, 조 별로 테이블에 앉아 발표를 듣고 있다. 하나라도 더 배워가려고 열심히 발표를 듣는 학생들의 모습이 보기 좋다.

이번 해킹캠프에는 특별한 손님들이 다녀갔다. 보안정보 공유를 위한 온라인 데일리 뉴스 <데일리시큐>의 길민권 기자님이 참석하여, 운영자를 비롯하여 여러 참가자들과 인터뷰 시간을 가졌다. 길민권 기자님의 기사는 국내 보안전문가들에게 빠른 정보를 전달해주어 큰 힘이 되고 있다.

해킹캠프 참가자들과 인사를 주고 받는 데일리시큐 길민권 기자

길민권 기자와 인터뷰 중인 12살 강민준 군

캠프 참가자 중에 화이트해커를 꿈꾸는 최연소 참가자 강민준 군이 눈에 띄었다. 올해 초등학교 5학년인 강민준 군은 2년 전부터 해킹에 관심을 가지고, 해커스쿨을 통해 해킹/보안에 대해 공부를 하였다고 한다. 하루 6시간 정도를 컴퓨터 공부에 매달리는 강민준 군은, 직접 웹 서버를 운영하여 홈페이지를 제작하고 유지관리를 하고 있을 정도로 또래들과 비교할 때 컴퓨터에 대해 아는 것이 많다.

해킹캠프의 DJ, 와우해커 팀의 손충호(StolenByte)

또 한 명의 특별한 손님, 해킹캠프에 즐거움을 더해준 DJ 손충호 군이다. 와우해커 팀 소속의 손충호 군은 지난 해킹캠프 때부터 DJ로 참가하여 참가자들의 흥을 돋구고 있다. 닉네임 StolenByte를 사용하는 손충호 군은 세계적인 해킹대회 데프콘(DefCon) CTF 본선에 참여하기도 한 어엿한 해커이기도 하다. 

해킹캠프에서 발표만 듣는 것은 아니다. 퀴즈, CTF, 포토타임, 장기자랑 등의 여러 행사들이 준비되어 있다. 이러한 여러 재미있는 이벤트들 덕분에 이틀 간의 해킹캠프가 화기애애한 분위기 속에 진행될 수 있었다.

퀴즈 이벤트에 참여 중인 참가자들

자음퀴즈 행사는 참가자들에게 인기가 많았다. 해킹/보안과 관련된 전문용어들을 가지고 게임이 진행되어 참가자들에게 호응을 얻었다. 스태프들이 맞추지 못할 거라 생각할 만큼 어려운 문제들도 쉽게 맞추는 참가자들을 보며 많이 놀라기도 하였다.

해킹대회 CTF에 몰두 하는 반사 팀

수많은 이벤트가 준비되어 있지만, 해킹캠프의 메인 이벤트는 역시 CTF 해킹대회이다. 스태프들이 준비한 해킹문제들을 팀원들과 같이 풀며 다른 팀들과 경쟁할 수 있다. 이 해킹대회에서 우승한 팀원들에게는 매년 H&S에서 주최하는 세계적인 컨퍼런스 PoC의 참가권이 주어지기 때문에 매우 치열하다. 풀다가 막히는 문제가 있으면, 다른 팀원에게 물어가며 풀어가는 모습이 보기 좋다.

캠프의 묘미, 장기자랑 시간

캠프 첫날 밤에는 서로의 장기를 뽐내는 장기자랑 시간을 가진다. 생각지도 못했던 노래실력과 춤실력을 가진 참가자들이 나타나 모두를 놀라게 하기도 하였다. 이렇게 다같이 노래하고 춤추다보면 시간 가는 줄 모르고 금새 새벽이 된다. 장기자랑 행사 후에는 자유롭게 참가자들이 교류할 수 있는 시간을 가진다. 다과와 함께 대화를 나누며 서로를 알아가다 보면 어느새 아침 해가 뜬다.

해킹캠프 포토타임 이벤트의 대상 작품

둘째 날에도 재미있는 이벤트가 많이 준비되어 있었다. 팀 별로 포토타임을 가지며 재미있는 사진들을 많이 남긴다. 참가자들에게 좋은 추억들을 남겨주기 위한 행사이기도 하다. 포토타임에 찍은 사진들 중에 재미있는 사진들을 골라 상을 주기도 한다. 필자가 찍은 'Rush&Cash' 팀의 사진이 대상을 받아 흐뭇하기도 하였다.

캠프 참가자 얼굴 그리기 이벤트에 참여 중인 서한샘 양

해킹캠프에는 독특한 이벤트가 하나 더 준비되어 있었다. 캠프 기간 중, 기억에 남는 참가자들의 얼굴을 그리는 이벤트이다. 여러 참가자들이 운영진들의 얼굴을 우스꽝스럽게 그려 웃음을 터트리기도 하였다. 반면에, 해킹캠프에 숨은 그림실력을 가진 참가자를 찾아낼 수 있었다. 이번에 고등학교를 졸업하고 일본 도쿄 공업대학에 진학하게 된 서한샘(20) 양이 그 주인공이다.

CTP 대회에서 수상한 X팀

참가자 그리기 행사에서 상을 받은 서한샘(20) 양

해킹캠프에서 준비한 여러 행사들이 모두 끝나고 시상식과 함께 제 7회 해킹캠프를 마무리할 수 있었다. 수 많은 이벤트들 덕분에 많은 참가자들이 상을 받아갈 수 있었다. 이틀간의 해킹캠프를 통해 모든 참가자들이 자신들에게 필요한 무언가를 모두 얻어가지 않았을까 싶다.

필자는 고등학교를 졸업한 겨울, 제 2회 해킹캠프에 처음으로 참가하였다. 아는 것이라고는 C언어밖에 없었던 당시에, 해킹/보안을 공부하고 싶은 마음에 지원했던 그 날의 기억이 아직도 생생하다. 필자는 첫 해킹캠프를 통해 나아가야 할 방향을 알 수 있었고, 함께 공부할 수 있는 동료들을 구할 수 있었다. 해킹캠프에서 얻어갔던 많은 것들 덕분에 지금의 나까지 성장할 수 있지 않았나 싶다. 이처럼 남다른 정이 있는 해킹캠프에 매 회 참가하려고 노력하다보니, 이번 제 7회 해킹캠프에서 스태프로서 참여할 수 있는 기회를 얻었다.

이제 해킹캠프는 해킹/보안에 관심이 있는 학생들에게 꼭 한 번 참여해 보고 싶은 행사가 되었다. 앞으로도 해킹캠프가 발전하여, 대한민국의 보안을 이끌어갈 인재들에게 좋은 경험을 줄 수 있었으면 한다.  Ahn

제 7회 해킹캠프 단체 사진


 대학생기자 박병진 / 포스텍 컴퓨터공학과


 Must be the change that you want to see in the world.




댓글을 달아 주세요

유령, 알고 보면 더 재미있는 사이버 보안 세상

2012년 2월, 안랩 시큐리티대응센터(ASEC)는 사이버 범죄를 주제로 한 드라마의 자문을 의뢰 받았다. 드라마 ‘유령’에는 긴박한 스토리라인과 함께 다양한 보안 전문 용어가 곳곳에 등장한다. 일반 시청자들에게는 생소할 수 있는 보안 용어를 최대한 쉽게 설명하는 한편, 사이버 범죄에 이용되는 다양한 해킹 기술 묘사에 대해 검수하는 것이 ASEC의 역할이었다. 


드라마가 방송된 이후 수많은 시청자가 드라마 속의 보안 기술에 상당한 관심을 보이고 있다. ‘실제로 저런 해킹이 가능한가?’라는 궁금증은 물론, ‘자막이 너무 빨리 지나가 전문 용어를 이해하기 어렵다’는 날카로운 지적도 있다. 드라마 ‘유령’에 등장한 사이버 공격 기술 중 현실 세계에 큰 위협이 될 수 있는 에피소드를 중심으로, 개인과 기업의 안전을 위해 주의할 사항을 다시 한번 짚어본다.


무선랜 해킹을 통한 개인정보 유출

 

"2407번 학생, 이 날씨 좋은 날 왜 개떡 같은 사이버 수사 강의를 들어야 하는지 말씀드리죠. (자기 스마트폰을 들어올리고 학생들을 보며)방금 여러분은 스마트폰으로 다른 사람들에게 보내던 무선 정보를 해킹당했습니다. 이런 식으로 불법 수집당한 개인정보들은 주민번호 도용 등의 심각한 범죄에 사용당할 수 있습니다. 이게 바로 사이버 수사가 필요한 이윱니다."



제1화, 경찰청 사이버수사대 수사 1팀장 김우현(소지섭 분)이 경찰대학에서 사이버 수사에 대해 강의를 한다. 김우현은 자신의 스마트폰을 들여다보면서 강의실의 한 학생이 친구에게 보낸 메시지를 정확히 읊어낸다. 스마트폰으로 발송한 무선 정보가 해킹될 수 있음을 ‘시연’한 것이다.

 


[그림 1] 무선랜 해킹을 통한 메시지 감청(출처 : 드라마 ‘유령’ 제1화)

 

얼마 전 뉴스 보도에 따르면, 전 세계적으로 10명 중 9명이 스마트폰을 사용하고 있다. 스마트폰 보급의 확대는 무선랜 보급에도 크게 기여했다. 우리나라만 해도 이제 우리는 집, 회사뿐만 아니라 까페나 거리에서도 수많은 Wi-Fi 신호를 이용할 수 있다. 문제는 안전 불감증이다. 자신도 모르는 사이에 개인정보가 보안에 취약한 무선 네트워크를 통해 빠져나갈 수 있음을 잊어서는 안 된다. 스마트폰 사용자들의 대부분은 다음과 같은 위험에 노출돼 있다.

▶ 무선 AP 접속 비밀번호를 기본(default) 값 그대로 사용
▶ 보안이 전혀 고려되지 않은 오픈-프리 무선 네트워크의 무방비한 사용
▶ 보안성이 낮은 WEP, WPA 암호 프로토콜을 사용하는 무선 네트워크 이용
(*보안이 강력한 WPA2 암호 프로토콜 이용 권장)

 

 

우현 : 신효정이 쓰던 아이피.. 무선 에이피였어..
강미 : (놀라는)무선 에이피요?
우현 : 무선 에이피에 비밀번호를 걸어놓지 않았다면.. 반경 50미터 이내에선 누구나 이 아이피를 쓸 수 있어.

 

드라마 ‘유령’의 본격적인 스토리의 시작은 악의적인 덧글에 시달리던 유명 연예인의 자살이다. 이 사건을 파헤치던 사이버수사대는 그 연예인이 자살을 암시하며 SNS에 올린 글이 다른 사람에 의해 쓰여졌다는 것을 알게 된다. 그 연예인이 사용하던 공유기에 암호가 걸려있지 않아 그의 IP 주소를 이용했던 것이다. 계정과 비밀번호까지 알고 있던 범인은 암호화되지 않은 무선랜을 이용해 온라인상에서 거의 완벽하게 다른 사람 행세를 할 수 있었던 것이다.

 


[그림 2] 비밀번호가 설정되지 않은 무선랜 공유기(출처 : 드라마 ‘유령’ 제2화)

 

[그림 3] 무선랜 해킹 프로그램인 에어크랙

 

참고로 [그림 3]은 무선랜 해킹 프로그램인 에어크랙(aircrack)을 이용해 WEP(Wireless Encryption Protocol)의 암호 키를 추출하는 화면이다. 이로써 모든 송수신 암호화 데이터를 복호화할 수 있다.

 

이러한 해킹을 막기 위해 방송통신위원회는 다음과 같은 ‘안전한 무선랜 이용 7대 수칙’을 권고하고 있다. 
① 무선공유기 사용 시 보안 기능 설정하기 
② 무선공유기 비밀번호 안전하게 관리하기 
③ 사용하지 않는 무선공유기 꺼놓기 
④ 제공자가 불분명한 무선랜 이용하지 않기 
⑤ 보안 설정이 되어있지 않은 무선랜으로 민감한 서비스 이용하지 않기 
⑥ 무선랜 자동 접속 기능 사용하지 않기 
⑦ 무선 공유기의 명칭(SSID)을 변경하고 숨김 기능 설정하기 

 

스테가노그래피를 이용한 정보 은닉 

 

기영 : 스테가노그래피야!

기영을 바라보는 강미, 놀라서 멈칫한다.
-인서트 컷

노트북작업을 하고 있는 생전의 신효정의 모습.
스테가노그래피 툴로 동영상 파일에 다른 파일을 덧입히고 있다.
증거물 보관실로 돌아오면 기영을 반신반의하면서 보는 강미.

강미 : ...신효정이 스테가노그래피 기술로 파일을 숨겼다구요?
기영 : 신효정은 죽기 전에 방송국 뉴스 팀에 메일을 보내려고 했어. 하지만 파일을 첨부하진 못했지. 그 전에 죽임을 당했으니까..



[그림 4] 동영상 안에 다른 동영상을 숨기는 작업(출처 : 드라마 ‘유령’ 제2화)

 

[그림 4]는 드라마 ‘유령’에서 사건의 실마리가 되는 동영상을 발견하는 장면이다. 스테가노그래피 응용 프로그램으로 동영상 파일에 다른 파일을 덧입힌 것을 확인한 것이다. 스테가노그래피(Steganography)란 사진이나 음악 파일 등에 특정한 정보(파일)를 숨기는 기술이다. 실제로 전달하고자 하는 비밀 메시지나 정보 등을 다른 정보에 은닉하는 방법으로 사용되는데, 오사마 빈 라덴이 알카에다 조직원과의 연락을 위해 사용한 것으로 알려지면서 유명해지기도 했다. 드라마 ‘유령’에서는 살인 사건의 목격자가 녹화한 영상을 숨기기 위한 방법으로 사용했다.
 
이 기술 악의적인 목적으로만 사용되는 것은 아니다. 예를 들어 짝사랑하는 사람에게 사랑 고백을 하는 로맨틱한 깜짝 이벤트에도 활용할 수 있다. 일상적인 편지처럼 보이지만, 그 안에 진심이 담긴 사랑의 메시지가 숨어있다면 어떨까? 물론 상대방이 스테가노그래피 기술을 알고 있다는 까다로운 전제가 있어야 한다. 오픈소스 기반의 스테가노그래피 응용 프로그램도 있으니, 한 번쯤 선량한 목적으로 사용해보는 것도 색다른 즐거움이 될 것이다. 

 

원격 취약점을 이용한 공격


기영(소리) : 아이피는 xxx.xxx.xxx.xxx. 스캐닝 프로그램으로 취약점을 찾아서 공격을 시작한다.
기영(소리) : 취약한 xxxx번 서비스 포트로 공격 코드를 보낸다. 모니터를 바라보는 기영의 눈빛, 드디어 성공이다. 노트북 모니터에는 시스템 권한 ‘승인’창이 뜬다.
기영(소리) : 익스플로잇 성공.

드라마 ‘유령’ 제3화에서는 낯선 용어들이 나온다. 또 악명 높은 해커(박기영, 이후 김우현으로 살아가는) 하데스가 다양한 원격 취약점 공격을 시도하는 장면도 드라마 전반에 자주 등장한다.

   


[그림 5] 스캐닝 응용 프로그램(좌)과 취약한 서비스 포트로 공격 코드(Exploit)를 전송하는 장면(출처 : 드라마 ‘유령’ 제3화)

 

일반적으로 사이버 공격은 스캐닝 → 서비스 포트로 공격 코드 전송 → 시스템 권한 상승(공격 성공)의 순서로 진행된다. 기업의 보안 상태를 점검하고 적절한 개선 방안을 찾는 보안 컨설팅의 모의침투 테스트(Penetration Test)도 이와 유사한 과정으로 진행된다. 앞서 언급한 스테가노그래피와 마찬가지로 기술을 사용하는 사람의 목적이 다를 뿐이다.

 

공격의 출발점인 스캐닝(Scanning)은 상대가 노출하고 있는 허점, 즉 약점을 찾는 것이다. 이때 사용되는 것이 스캐닝 프로그램으로, 컴퓨터의 열려 있는 서비스 포트 등을 탐색하는 프로그램이다. 스캐닝 기술을 이용해 오픈(열려 있는) 서비스 포트를 확인할 뿐만 아니라 오픈 서비스에 연결된 응용 프로그램의 버전까지도 파악할 수 있다.

 

서비스 포트란 컴퓨터에서 실행되는 프로그램이 외부와 데이터를 주고 받는 통로라고 할 수 있다. 일반적으로 익스플로이트(Exploit)라고 불리는 공격 코드는 컴퓨터 시스템이나 응용 프로그램의 버그 또는 보안 취약점 등을 이용해 공격자의 의도대로 동작하게 만드는 악의적인 명령을 내린다.
 
공격자는 서비스 포트 혹은 그와 연관된 데몬 응용 프로그램을 확인한 후에는 적절한 공격 무기를 갖춰야 한다. 익히 알려져 있는 무기를 재활용할 수도 있고, 아직 아무도 알지 못하는, 그래서 누구도 막을 수 없는 자신만의 무기를 개발할 수도 있다. 인터넷에 유포되어 있는 악성코드나 공격 툴을 사용하는 것이 전자라면, 아직 알려지지 않은 취약점을 노리는 제로데이 공격(zero-day attack) 공격 코드를 만들어내는 것은 후자의 예이다. 제로데이 공격의 성공률은 100%에 가깝다. 드라마 ‘유령’의 하데스는 세상에 알려지지 않은 제로데이 공격 코드를 상당수 보유한 뛰어난 공격자다. 

 

메신저, 문서 취약점을 이용한 원격 제어 악성코드
 


[그림 6] 문서 취약점 공격 코드 전송(출처 : 드라마 ‘유령’ 제5화)

 

기업 보안 담당자라면 드라마 ‘유령’ 제5화를 관심 있게 지켜볼 필요가 있다. 범죄 조직에 고용된 아르바이트생을 통해 범인들의 아지트를 알아내는 장면에서 흥미로운 해킹 기법이 등장하기 때문이다. 공격자는 메신저를 통해 상대방에게 문서 취약점 공격 코드를 전송함으로써 원격 제어 악성코드(RAT : Remote Administration Tool)를 성공적으로 설치한다.

 

메신저를 통해 전송된 엑셀 파일을 클릭하는 순간, 은밀히 컴퓨터의 웹캠이 돌아가고 범인들의 아지트 모습이 상대방에게 전송되기 시작한다. 엑셀 파일에 원격 제어 악성코드가 숨겨져 있었기 때문이다.

 

 

이것은 최근 기업 내부 시스템에 침투해 주요 정보를 탈취하고 시스템을 파괴하려는 지능형 타깃 공격(APT : Advanced Persistent Threat)에 주로 이용되는 공격 방식이다.

 

또한 드라마 ‘유령’에서는 이메일, P2P 메신저, USB 등이 악성코드 전파 수단으로 많이 이용된다. 실제로 과거에 비해 운영체제의 보안이 크게 강화되면서, 공격자들은 자연스럽게 응용 프로그램 취약점으로 시선을 옮기고 있다. 응용 프로그램의 알려지지 않은 취약점을 노리는 제로데이 공격 활용 빈도가 꾸준히 증가하는 것도 이 때문이다. 

 

DDoS 공격과 좀비 PC


DDoS(Distributed Denial of Service), 이른바 분산 서비스 공격은 여러 대의 컴퓨터에서 일제히 특정 웹 사이트에 접속함으로써 해당 서비스를 다운시키는 것이다. DDoS 공격의 성공은 얼마나 많은 좀비 PC를 확보하느냐에 달렸다. 좀비 PC란 악성코드에 감염되어 사용자의 의도와 상관없이 공격자에 의해 원격으로 조종되는 컴퓨터를 의미한다.

 


[그림 8] USB를 통한 악성코드 감염(출처 : 드라마 ‘유령’ 제5화)

 

드라마 ‘유령’에서는 파일 공유 사이트를 통해 유포되는 연예인 음란 동영상에 악성코드를 삽입해 다수의 PC를 감염시킨다. 실제로 공격자들이 다수의 좀비 PC를 확보하기 위해 이용하는 대표적인 방법은 다음과 같다.

 

① 잘 알려진 웹 사이트를 침해하여 악성코드 유포지로 활용
② 잘 알려진 응용 프로그램의 업데이트 서버를 침해하여 악성코드 유포에 활용
③ 파일 공유(P2P) 사이트에서 많은 사람들의 관심을 끌 만한 동영상으로 사칭하여 악성코드 유포에 활용 

 

스턱스넷, USB, 그리고 스카다 시스템


현재까지 방송된 드라마 ‘유령’에서 가장 충격적인 에피소드로 꼽히는 것은 전력 시스템 중단에 따른 대규모 정전 사태일 것이다(제5~6화).

 

사건의 전말은 이렇다. 어느 날 밤 ‘대한전력’ 보안팀 직원의 집에 도둑이 들었다. 범인의 하수인이었던 그 도둑은 대한전력 보안팀 직원의 개인 컴퓨터에 악성코드를 심어둔다. 그 사실을 알 리 없는 대한전력 보안팀 직원은 전력 시스템을 제어하는 컴퓨터에 개인 컴퓨터에서 사용했던 USB를 꽂았고, 이를 통해 전력 시스템 전체가 감염된 것이다. 전력 시스템 이상으로 전기 공급이 중단되자 도로에서는 교통 신호등이 멈춰 연쇄 추돌 사고가 발생하고, 건물의 엘리베이터 안에 승객들이 갇히는 한편, 병원에서는 정전 때문에 수술이 중단된다. 사이버수사대가 가까스로 공격을 막아냈다고 생각하고 한숨 돌리는 순간, 이번에는 숨어들었던 악성코드가 파괴 명령을 내려 전력 시스템 자체를 파괴하기 시작한다.

 


[그림 9] USB를 통한 악성코드 감염 과정(출처 : 드라마 ‘유령’ 제5화)

 

사실 이 에피소드는 몇 년 전, 이란 원전 공격으로 크게 회자된 바 있는 스턱스넷(Stuxnet)에서 주요 모티브를 따온 것이다. 스턱스넷이란 발전소, 공항, 철도 등 기간 시설을 파괴하기 위해 국가 기반 시설 등에서 사용하는 스카다(SCADA, Supervisory Control Data Acquisition) 시스템을 노리고 특수 제작된 악성코드다. 스턱스넷은 비교적 최근 나타난 악성코드임에도 불구하고 듀큐(Trojan/DuQu), 플레임(Trojan/Flame) 등의 유사한 악성코드가 연이어 나타나고 있어 국내외 보안 업계가 예의 주시하고 있다.

 

전력 시스템과 같은 사회 기간 시설은 외부 인터넷이 연결되지 않는 폐쇄망으로 운영된다. 폐쇄망 환경에서, 외부의 악성코드가 내부로 침투할 수 있는 유일한 감염 경로는 USB다. 악성코드에 감염된 USB를 컴퓨터에 꽂는 순간, USB에 들어있던 악성코드가 오토런(AutoRun) 기능에 의해 자동 실행되어 컴퓨터 본체를 감염시킨다.

 

그러나 USB를 감염 루트로 이용하는 악성코드는 스텍스넷 종류에 한정된 것은 아니다. 이미 수많은 악성코드가 USB 자동 실행 기능을 자기 감염 방식으로 사용하고 있으므로 USB 보안에 대한 특별한 주의가 필요하다. 

 

스피어 피싱, 메일을 이용한 타깃 공격


제6화에서는 주인공들의 과거 회상 장면이 나온다. 경찰대 학생인 박기영은 호기심으로 절친한 동기 김우현의 아버지에게 악성코드를 보내 그의 이메일을 훔쳐본다. 고위 경찰 간부였던 김우현 아버지의 이메일 가운데 <극비문서 3차 수사지침>이라는 제목의 메일이, 박기영이 경찰대를 떠나 해커 하데스가 되는 계기가 된다.

 

[그림 10]은 박기영이 김우현 아버지에게 악성코드를 보낼 때 이용한 공격 기법을 보여준다. 이러한 기법을 스피어 피싱(Spear Phishing)이라고 부른다. 스피어 피싱은 신뢰할 만한 발신인이 보낸 것처럼 위장된 메일을 이용해 웹 사이트로 유도 또는 첨부 파일을 통해 악성코드에 감염시키거나 타깃의 개인정보를 유출하는 일종의 피싱 공격이다. 사람의 관심과 호기심을 자극하는 사회공학적(Social Engineering) 기법을 이용하기 때문에 조금만 주의를 게을리해도 공격의 희생양이 된다. 쇼핑을 좋아하는 이가 할인쿠폰 정보가 담긴 이메일을 클릭하지 않고 그냥 지나치겠는가.

    
 
[그림 10] 스피어 피싱 공격(출처 : 드라마 ‘유령’ 제6화)

 

제6화에서 보여준 스피어 피싱의 과정은 다음과 같다.
① 타인의 전화번호 수첩을 통해 타깃의 이메일 주소 획득
② 타깃이 속한 조직의 인사팀을 사칭하여, 악성코드를 삽입한 허위 인사 파일을 타깃의 이메일로 전송
③ 타깃이 해당 이메일의 첨부 파일을 클릭하여 악성코드에 감염(드라마에서는 이 부분을 생략했다.)
④ 스피어 피싱 성공, 타깃의 이메일 일부가 공격자에게 전달

 

“아는 만큼 보인다”는 말이 있다. 드라마 ‘유령’에서 등장한 컴퓨터 공격 기술과 관련 용어들에 대해 이해하고 시청한다면, 이제 절정을 향해 가고 있는 드라마를 더욱 즐겁게 볼 수 있을 것이다. 물론, 드라마는 드라마일 뿐이다. 기술적인 부분을 지나치게 들춰내기보다는 드라마의 극적 요소와 긴박감을 온전히 즐기는 것이 중요하다. 다만, 드라마가 다루고 있는 일부 위협과 대비책을 인지하고 이에 대비할 수 있다면 금상첨화겠다. Ahn


김지훈 / 안랩 시큐리티대응센터(ASEC) A-퍼스트팀 팀장


댓글을 달아 주세요

안철수연구소 전망, 2012년 예상 7대 보안 위협

안철수연구소 연구개발 총괄 조시행 전무가 1월 4일 TBS 라디오 <열린아침 송정애입니다>에 출연해 올해 예상되는 보안 위협을 설명했다. 정치적 목적의 해킹이 늘어날 것이라고 전망하는 한편, APT 공격이 왜 위협적인지를 설명했다. 이어서 SNS와 스마트폰을 이용한 신종 해킹이 늘어날 것이라고 전망하고, 계속 새로운 악성코드가 만들어지기 때문에 완벽하다는 말은 항상 과거일 뿐이며, 지속적인 관심과 투자가 필요하다고 강조했다. 다음은 방송 내용 전문.

사회 각 분야의 다양한 현안을 깊이 있게 다뤄보는 두 번째 <열린 인터뷰> 시간입니다. 지난 10.26 서울 시장선거 당시 있었던 선관위 디도스 공격 사태가 정치적인 목적에서 의도적으로 자행된 사실로 드러나 충격을 줬는데요. 올해는 총선과 대선이라는 큰 선거를 두 차례나 치르게 돼서 이러한 정치적, 사회적 목적의 해킹이 늘어날 것이라는 전망이 나오고 있습니다. 그리고 디지털, IT 기기의 사용이 늘면서 컴퓨터에 집중됐던 공격이 스마트기기로까지 확대될 것이라는 얘기들도 나오고 있는데요, 우리나라의 IT 환경 보안과 관련해 안철수연구소가 예측 보고서를 내놨습니다. 자세한 내용 안철수연구소 연구개발 총괄 조시행 전무로부터 직접 들어보겠습니다.
 

송정애: 요즘 디도스 공격과 관련한 논란이 많은데요. 우선 디도스라는 것이 무엇인지부터 좀 설명을 해 주세요. 

조시행: 디도스 공격을 설명할 때 도로를 예를 들면 편한데요. 4차선 도로인데 8차선으로부터 갑자기 차가 몰리게 되면 그 도로는 8차선에서 오는 차들을 소화하지 못해서 차가 멈추는 병목현상이 발생해서 일시적으로 도로의 기능을 상실하게 됩니다. 디도스 공격이란 컴퓨터에서 처리할 수 있는 능력보다 더 많은 양을 요청받았을 때 컴퓨터는 정상적인 요청으로 알고 처리하려 하지만 서비스가 늦어지거나 아예 서비스가 멈추게 됩니다. 그 점을 이용해서 공격하는 방법을 디도스 공격이라고 하고 결국 컴퓨터가 서비스를 못하게 방해하는 공격 형태라고 말씀드릴 수 있겠습니다.  

송정애: 쉽게 말하면 과부하가 걸려서 일을 방해하는 거네요. ‘2012년에 우리를 위협할 보안 위협 베스트 7’이라는 보고서를 내셨는데요, 어떤 배경에서 나온 건가요?  

조시행: 예. 그냥 소설 쓰듯이 만든 것은 아니고요. 과거의 보안위협 동향과 우리나라의 IT 환경 등을 고려해서 매년 만들어지는 보고서인데요. 올해 보고서는 주로 2011년 자료를 기반으로 하게 됩니다. 그래서 2012년에 발생할 수 있는 보안위협을 알려줌으로써 보안의식을 높이고 대응책을 만드는 데 도움을 주고자 함입니다.  

정치적 목적 해킹 늘 것

송정애: 이게 매해 나오는 것이었군요. 올해는 ‘정치적 목적의 해킹이 늘어날 것이다’ 이렇게 예측을 하셨어요. 우리나라뿐만 아니라 세계적으로도 선거가 많은 해이긴 한데 그것이 배경이 되었나요? 
 

조시행: 예. 이러한 예측이 현재 세계적인 추세입니다. 해킹이 금전적인 목적에서 이제는 사회적 혼란, 국가적 이슈 등 정치적인 현상들이 늘고 있습니다. 당연히 우리나라의 특성이 2012년에 반영된 것은 맞습니다. 과거 악성코드가 불특정 다수를 공격하는 추세였는데 2,3년 전부터는 특정 타겟을 공격하는 형태로 옮겨졌죠. 그래서 물론 금전적인일 때문이기도 하지만 공격자가 원하는 목적을 위해서는 불특정타겟보다는 목적에 맞는 특정타겟이 대상일 수밖에 없다는 그런 의미로 보시면 될 것 같습니다.  

송정애: 불특정 다수에서 이제는 목적에 맞는 타깃을 공격해오는 건데요. 안철수연구소에서 낸 7가지 항목 가운데 가장 염려되는 것은 어떤 건가요? 

조시행: 세계적인 추세인데 APT 공격이 지속될 것이라는 점입니다.  

송정애: APT 공격이라는 것이 어떤 건가요? 

조시행: 2011년부터 일반화된 용어로 사용하고 있는데 APT에서 A가 Advanced 약자입니다. 지능적이라는 표현으로 해석하면 될 것 같고요. P는 Persistent로 집요한 지속적이라는 의미로 이해하면 되고, T는 Threat로 위협이라는 표현입니다. 특정한 타겟을 정해서 집요하게 성공할 때까지 장기간에 걸쳐서 공격하는 위협을 APT공격이라고 할 수 있겠고요. 이것이 굉장히 지능적인 방법으로 사회공학적인 모든 수단을 사용하기 때문에 방어하기 매우 어려운 것이 현실입니다. 2011년 우리나라의경우를 보면 농협이나 SK컴즈, 넥슨 사고가 대표적인 공격이라고 할 수 있겠습니다.  

송정애: 고도의 지속적인 공격, 그러면 상당히 지능적인 방법이 동원될 거라고 하셨는데 그러면 혹시 예상되는 유형 같은 것이 있나요?  

조시행: 지금 이것의 목적을 보면 직접적이든 간접적이든 돈과 분명히 연관된 것이라고 볼 수 있겠습니다. 그러다보니까 정보를 얻는 것이 가장 큰 목적이 될 수 있겠는데요. 그 정보가 개인정보일 수도 있고 기업, 기관의 기밀정보일 수도 있고, 산업의 원천기술일 수도 있습니다. 그래서 결국 공격당한 조직이나 기관은 당연히 피해자일 수도 있지만 개인한테도 피해가 될 수 있고, 그 목적이 사회적 혼란, 국가적, 정치적으로 확장되고 있다는 것이 굉장히 큰 위협으로 볼 수 있겠습니다.  

APT 공격이 위협적인 이유

송정애: 방법을 보면 메일로 위장하는 것도 있고, 업데이트 관련 파일을 변조하는 경우도 있고 여러 가지가 있더라고요? 
 

조시행: 네. 지금 사용하는 방법은 모든 방법을 다 쓴다고 보시면 될 것 같아요. 저희들이 예상할 수 있는 것, 또 예상할 수 없는 방법으로 공격하는 게 현재의 추세라고 보시면 될 것 같습니다.  

송정애: 이런 식으로 특정목적의 해킹이다 보니까 올해 같은 경우 정치적 목적의 해킹이 늘 수도 있다는 예측을 내놓으신 건데, 컴퓨터에 집중되어 있던 악성코드가 이제는 스마트폰 쪽으로 확산될 것이라는 얘기도 있던데요?  

조시행: 네. 이제는 스마트폰에서도 금전적인 이득을 얻는 것이 가능해졌습니다. 그래서 2011년 하반기부터 스마트폰을 감염시키는 악성코드들의 숫자가 매우 빠른 속도로 증가하고 있습니다. 더구나 스마트폰의 기능이 PC에서 할 수 있는 모든 것을 할 수 있게 되고 스마트폰의 파급 효과가 PC보다 빠르잖아요. 그래서 피해가 발생할 경우 PC보다 더욱 크기 때문에 당연히 심각해질 것으로 예상하는 게 맞고요. 스마트폰 자체가 공격당하는 것도 심각하지만 좀비PC처럼 스마트폰이 좀비화되어서 디도스 공격이라도 하게 되면 문제는 더 심각해질 것으로 봅니다.  

송정애: 그게 아이폰보다 안드로이드폰이 더 취약하다는 얘기를 들었는데, 사실인가요?  

조시행: 아이폰은 현재 좀 폐쇄적인 것이기 때문에 그런 측면이 있고 안드로이드는 완전히 개방형이거든요. 누구한테도 오픈되어 있기 때문에 장점과 단점이 같이 있다고 보면 될 것 같습니다.  

스마트폰, SNS 노리는 위협

송정애: SNS쪽은 어떻습니까? 요즘 SNS가 워낙에 정보를 빠르게 공유하는 창구인 만큼 악용될 사례도 높을 것 같은데요?
 

조시행: 네. 당연히 맞습니다. 악성코드 제작자와 공격자를 보면 항상 사용자가 가장 많이 사용하는 것을 이용해 왔습니다. 당연히 지금 스마트폰에서 가장 많이 쓰고 있는 것들이 페이스북이나 트위터 이러한 것들이잖아요. 거기서 단문을 써야 하는데 URL 주소를 링크를 이용해서 엉뚱한 곳으로 유도해서 감염시킬 수도 있고 또 정보를 빼내갈 수 있는 피싱 공격도 할 수 있는 거죠. 공격자 입장에서 보면 SNS는 너무 매력적인 감염 매개체가 될 수 있고 공격도구일 수밖에 없습니다.  

송정애: 그럼 일반인도 본의 아니게 악성코드를 유포하는 공범이 될 수도 있겠군요?  

조시행: 네. 그렇습니다. 요즘은 피해자가 공격자가 되는 것이 현재의 추세입니다. 

'보안에 완벽하다'는 어제까지일 뿐

송정애: 그렇다면 끝으로 IT 환경 보안의 중요성에 대해서 누구보다 잘 아시는 분으로서 국민이나 기관에 당부하실 말씀이 있다면 어떤 것이 있을까요? 
 

조시행: 보안이 한 번으로 끝나는 것이 아니라 지속적인 관심과 투자가 필요한 분야거든요. 보통 우리 회사는 완벽하다는 말을 많이 할 텐데 그게 어제까지일 뿐이라는 거죠. 내일은 또 다른 위협이 발견되고 새로운 악성코드가 만들어지기 때문에 완벽하다는 말은 항상 과거일 뿐이라는 겁니다. 미래를 위해서는 지속적인 관심과 투자가 필요하다는 얘기를 좀 하고 싶고요. 또 하나는 보안사고가 있을 때만 많은 사람들이 개인이나 기업이 관심을 보이는데 그게 아니라 평상시에 보안에 대한 인식이 높아져야 할 것이라고 봅니다. 개인부터 조직까지 전반적으로 보안에 대한 공감대가 형성되어야 하고 개인, 기업, 기관이 정보보안을 일상생활 및 업무로 인식해서 그것을 실행하는 문화가 절실히 필요합니다.  

송정애: 보안패치도 제대로 하시고 백신검사도 주기적으로 하시면 도움이 되겠네요. 감사합니다. 오늘 말씀 잘 들었습니다. 지금까지 안철수연구소 연구개발 총괄 조시행 전무였습니다. Ahn

댓글을 달아 주세요

진부한 것은 해킹, 안철수연구소 보안 컨테스트 뒷얘기

현장속으로/세미나 2011.11.07 09:43

"해킹" 너무 자극적이잖아.
    진부한 것은
'해킹'이다!                                              
"보안" 기본이 탄탄해야 할 수 있는 일이잖아.
    
IT 전반을 아우르는 문제는 없을까?                        
 
"대회" 그들만의 리그가 되게 할 순 없지.
   더 많은 사람이 참여하는 방법 없을까?  

올 가을은 Conference WAR라고 할 만큼 국내 많은 보안 컨퍼런스들이 즐비했다. 또한 부대행사로 각종 대회들이 열렸다. 안철수연구소는 10월 25일 국내 최초의 SW 기업이 개최한 최초의 개발자 컨퍼런스인 'AhnLab CORE(Conference Of Researchers & Engineers)'를 개최하고, 부대행사로 보안 컨테스트인 'Security WAVE'를 진행했다. 10월 22일 하루 동안 진행된 SECURITY WAVE의 준비 과정, 에피소드를 소개한다.

Security WAVE인가?

WAVE We Appreciate your Value and Effort 의 약자로, IT 소프트웨어, 보안관련 산업에 종사하는 모든 사람의 노고에 보답하기 위해 만든 대회이다
 
해커와 크래커는 이제 더이상 구분되지 않고 사용할 만큼 "해킹"이라는 단어는 종종 자극적인 인스턴트 음식을 먹는 것과 같이 보안기술을 망라한다기보다 필요악처럼 느껴지기도 한다. IT에 종사하지 않는 사람들이나 관련 일을 하고 있는 사람이라도,  "해킹" 이라는 단어를 들으면 긍정적인 생각보다는 왠지 암흑의 세계가 떠오르고 무시무시한 느낌을 지울수가 없을 것이다. 우리는 이 단어만큼은 피하자는 생각이었고, 그래서 탄생한 대회 이름이 Security WAVE이다.

Security WAVE 홈페이지 wave.ahnlabcore.co.kr

보안은 IT 전반에 걸쳐 기본이 탄탄해야 할 수 있는 일이라는 생각에 또 매번 참여하는 사람들만의 리그가 아닌 많은 사람들이 접해 볼 수 있을만한 대회를 만들고자 운영진은 깊은 고민에 빠졌다. 한 달여 간의 대회 컨셉회의 끝에 예선은 OX퀴즈, 본선은 토너먼트라는 새로운 대회 운영방식을 도입했다.
 
예선 OX퀴즈

예선문제는 실제 현업에 종사하는 개발, 분석, QA 등 여러 팀에서 출제하였다. 컴퓨터 전공을 했다면 풀 수 있는 일반 상식문제와 조금 깊이 있는 문제로 난이도별 차별성을 두었다. 또한 주관식으로 본선에 진출해서 제대로 문제를 풀 수 있는 심도 있는 보안 문제를 추가하였다. 단순 복불복 문제가 아니며 실제 예선을 참여했던 많은 사람들에 따르면 결코 쉽지 않은 OX 퀴즈를 통해 예전에 배웠던 것을 상기시킬 수 있어서 좋았다고 전한다. 예를 들어 다음과 같은 문제가 예선에 출제되었다.
 
그레이 코드? 배웠는데.. 어떻게 계산하는 거였지.. 

맛보기 예선문제 - 그레이코드 계산

우리는 얼마나 많은 것을 '기억'하며 살고 있을까? 학계의 정설에 따르면 장기기억은 아주 큰 저장 용량을 갖고 있는데, 그 크기도 무한하다고 한다. 기억해 내지 못한다는 것은 잘 찾아내지 못한 것이고 추후에 어떤 계기나 실마리를 통해 기억해 낼 수 있다고 한다.
 
 
Security WAVE를 통해
 IT실무에 종사하는 사람들과 컴퓨터 전공 학생들은 이 기회로 자신이 알고 있는 지식을 한번 더 점검할 수 있는 계기가 될 수 있을 것이고, 더욱이 보안은 모든 분야와 밀접한 관련이 있고 어떤 위험성이 존재하는지 현재 이슈가 되고 있는 보안문제는 무엇인지 느껴 볼 수 있는 기회가 되었을 것이라고 생각한다
.

# 본선 토너먼트 

예선 상위 16명은 무작위 추첨으로 본선 대진표가 결정되고 각 라운드마다 3개의 문제가 주어진다. 16강은 리버싱, 8강은 네트워크 보안 (무선랜), 4강은 모바일결승전은 포렌직 문제로 승패가 결정되었다

본선 토너먼트 대진표

Security WAVE 시상

결승전에서는 13초 차이로 우승자가 결정되었다. 마지막으로 우승/준우승을 거머쥔 영광의 주인공들에게 소감을 물었다. 

우승자인 황태현(Hangulable)씨는 대학생으로 이런 대회에는 처음 참여해봤는데 우승하게 되어 매우 영광스럽다며 다음과 같이 소감을 말하였다.

  
"문제가 재미있어서 좋았어요. 재미있는 대회에 보안뿐만 아니라 IT전반에 관련된 문제들이기 때문에 컴퓨터 전공한 사람이라면 많이 참여해 볼 수 있을 것 같아요. 하지만 토너먼트인 경우 한번의 기회로 당락이 결정되어 아쉬웠어요. 많은 사람들이 본선을 더 참여했으면 좋겠네요 :)"

 준우승자 김지환(forc1)씨는 보안관련 직종에 종사하고 있으며 기존 해킹대회 다수 참여 및 입상한 경력이 있다. 팀이 아닌 혼자 참여했지만 좋은 결과가 나왔다며 다음과 같이 말했다. 

"예선의 OX문제 형태는 처음 시도된 것으로 참신했어요. 또한 IT 관련 다양한 분야의 문제여서 좋았고요. 본선은 토너먼트 형태여서 긴장감이 더했고요. 추측으로 문제를 푸는 것이 아니라 지식에 근거해서 푸는 문제들로 하/중 문제들이 상을 푸는 힌트가 되는 점도 좋았어요. 하지만 본선 문제가 더 많았으면 합니다. 그리고 저는 이미 방향을 잡고 풀고 있어서 추가 힌트는 안 줬으면 했었어요 :)"

마지막으로, 운영진 중 모든 문제를 검수하고 담당했던 심선영 선임은 처음 시도해보는 문제출제방식이라서 운영진 스스로도 대회 참가자들의 수준을 예상하기 어려워 난이도 조절 및 문제 출제에 매우 곤혹스러웠다고 한다. 그리고 최신 보안 기술 관련 문제가 생각보다 적어서 아쉬웠지만 이점은 내년에 많이 반영할 것이고, 문제출제부터 개발까지 짧은 시간안에 우리 손으로 한땀~ 한땀 만들어낸 대회라 어느때보다 의미있게 느껴진다고 전한다. 
 
처음 열린 Security WAVE 참가 기회를 아쉽게 놓쳤다면, 다음 기회에 도전해보세요. Ahn

사내기자 박정우 / ASEC A-FIRST

사람이지만 주로 '개구리'로 많이 알려져 있으며,

재밌고 따뜻한 보안세상을 만들기 위해 연구하고 있습니다.

 


댓글을 달아 주세요

  1. 날아라뽀 2011.11.07 11:30  Address |  Modify / Delete |  Reply

    잘보고 갑니다.^^
    즐거운 월요일 시작하세요^^

  2. 날아라뽀 2014.11.21 17:42  Address |  Modify / Delete |  Reply

    잘보고 갑니다.^^
    즐거운 금요일 시작하세요^^

당신도 지능적 사이버 공격의 타깃이 될 수 있다!

현장속으로/세미나 2011.10.25 07:00

APT라고 하면 사람들은 일반적으로 아파트를 생각할 것이다. 지능형 타깃 공격인 APT(지능형 지속 보안 위협, Advanced Persistent Threat)은 기업들 사이에서도 골머리를 앓고 있는 문제 중 하나이다. 최근 강력한 보안 위협으로 이슈의 중심에 있는 APT! 안철수연구소에서는 이 APT에 대한 동향과 공격 대응 방안을 제시하기 위해 ‘ISF 2011’을 개최하였다.

10 20일에 열린 ‘ISF 2011’‘Integrated Security Fair 2011’의 약자로 보안 위협에 대한 융합 보안 전략 세미나이다. 이 세미나는 2개의 키노트와 3개의 트랙으로 진행하였는데 특히 APT에 중점을 두었다.

세미나는 이호웅 시큐리티대응센터장의 발표로 시작했다. 고도화된 보안 위협, APT(Advanced Persistent Threat)의 주제로 시작한 발표는 청중의 관심을 한몸에 받았다

APT가 도대체 무엇인가? APT는 정치적, 경제적 등의 목적으로 특정 사람을 공격하여 원하는 정보를 빼내는 공격을 말한다. , 일반적으로 불특정 다수를 공격하는 악성코드와는 다르게 APT는 특정적인 사람이나 목적을 갖고 다양한 위협을 가하는 것이다. 목표물에게만 존재하는 유일한 악성코드인 셈이다. 국내뿐만 아니라 국외의 많은 기업들도 APT로 인해 피해를 입고, 골머리를 앓고 있는 실정이다
 

이호웅 센터장은 APT의 심각성을 시연으로 직접 보여주었다. 시연의 내용은 이러했다. 피해자 A와 공격자 C가 있다. 피해자 A는 페이스북에 자신의 일상을 공개한다. 공격자 C는 목표를 피해자 A로 잡고 미끼를 놓는다. 피해자 A는 그 미끼를 통해 pdf 파일을 다운로드 받고, 파일을 실행한다. 눈으로 보기에는 다른 일반 파일과는 전혀 다르지도 않고, 내용 역시 평범하다. , 피해자 A는 이 파일이 바이러스인 지 인식하지 못한다.

pdf
가 실행되자마자 공격자 C의 화면에는 피해자 A의 화면이 떴다. 공격자 C가 사용하는 툴은 피해자 A의 파일을 확인할 수 있고, 키로그 기능이 가능하며, 심지어 피해자 A가 현재 무엇을 하는지 화면으로 볼 수도 있다. 피해자 A는 감염 사실도 모른 채 기업의 기밀문서를 열람하는 순간 공격자 C에게 포착되어 기밀문서가 공격자 C에게 유출된다. 공격자 C는 원하는 정보를 얻은 후 자신이 공격한 사실과 증거를 지우는 파일을 피해자 A의 컴퓨터에 심는다. 공격자C가 그 파일을 실행하자마자 피해자 A의 컴퓨터는 블루스크린이 뜨고 종료된다.

 

시연이 끝나자 청중들은 단지 pdf 파일 하나 실행했을 뿐인데 저런 피해까지 입을 수 있다는 것에 놀라움을 금치 못했다. 피해자는 자신이 악성코드에 감염이 되었는지, 자신의 컴퓨터에서 기밀문서가 빠져 나갔는지조차 알지 못 하는 것이다. APT는 정상 파일로 위장하고 정상 네트워크 트래픽을 갖고 있어서 백신조차도 잡을 수가 없다.

 

일반적인 바이러스만 인식해왔던 터라 APT의 공격 시연 영상은 굉장히 신선한 충격이었다. 저렇게 특정 목표에게만 공격하고 지우는 것을 반복한다면 완벽히 준비되어 있지 않는 한 누구나 피해를 입을 수 있다는 것을 보여준 것이다. APT가 강력한 보안 위협인 지 알 수 있었다. 또한 의심되는 파일을 다운로드하지 않는 것을 비롯해 모든 보안에 대한 수칙을 인식하게 하는 발표였다. Ahn

대학생기자 윤소희 / 순천향대 정보보호학과


윤소희가 '보안세상'에 왔습니다. 아직도 절 모르신다구요 ? 더 강한 파워, 더 색다른 매력, 더 불타는 열정으로 ! 풋풋함과 눈웃음까지 겸비한 여자! 그리고 뻔뻔함까지 ! 누구라도 기억할 만하지 않나요?



 

댓글을 달아 주세요