최근 1,081만명의 온라인 쇼핑몰 회원들의 개인정보가 해킹에 의해 유출당한 충격이 사라지기도 전에 대한민국의 심장부라 할 수 있는 청와대까지 해킹을 당했다는 것은 해킹에 의한 피해와 그 심각성이 얼마나 큰 것인지 말하고 있다. 현재 보안 솔루션들이 넘쳐나고 너나 할 것 없이 모두가 해킹을 막는다는데 정작 해킹사고는 줄지 않고 오히려 급증하고 있는 이유는 무엇인가? 그 진실과 오해를 살펴보자.

먼저 왜 이토록 해커들이 기승을 부리는 것일까? 이유는 간단하다. 하나는 돈이 된다는 것이고 다른 하나는 막는 기술이 없다는 것이다. 나아가 국가나 기업이나 현대는 치열한 정보의 전쟁이다.

정보를 많이 가진 국가나 기업이 경쟁에서 단연 우위를 점하게 마련이다. 과거에는 사람을 매수하거나 스파이를 적진에 침투시켜 정보를 획득하였으나 현대에는 과학적 장비들을 활용함으로써 사람을 직접 위험 지역에 내보내지 않고도 이를 수집한다.

그러나 이것도 옛 말. 지금은 해킹, 이 한 방이면 모든 게 끝난다. 가만히 앉아서 수천, 수만 킬로미터 밖에 떨어진 적진의 상황을 손바닥 들여다보듯이 훤히 알 수 있는 방법이 바로 이 해킹이다. 이토록 엄청난 위력을 가진 해킹, 그 중에서도 자료 절취형 해킹, 그 가공할 위력은 어느 정도이며 이를 막을 수 있는 대책은 무엇일까? 과연 언제까지나 앉아서 당할 수밖에 없는 문제인가.

무엇이 문제이며 얼마나 위험한가

현재는 물론 과거의 피해 상황에 대해서도 아무 것도 정확히 알 수 없다. 가장 심각한 문제는 피해 사실 자체를 알 수가 없다는 점이다. 해킹으로 자료를 빼간 해커가 협박이나 금전전인 요구를 해 오면 그때서야 인지할 수 있는데, 그나마 더욱 중요한 기밀인 국가안보상 문건이나 산업기술 자료 등을 유출한 경우는 이러한 요구 자체를 하지 않기 때문에 피해 사실이 드러날 수가 없고 이로 인한 피해는 더욱 심각하다.

다행히 전문 수사기관이 의심스런 징후를 포착하여 해킹당한 사실을 밝혀낸다 하더라도 언제 어디로 유출되었는지 정도만을 파악할 수 있을 뿐, 정확히 어떤 자료가 어느 정도의 규모로 절취 당했는지는 알 수가 없고 유출된 데이터의 대략적인 크기를 비교해 추정하는 정도가 고작이다.

언제 어떻게 피해를 당하고 있는지를 모르기 때문에 사회적 관심이 매우 저조하고 책임 있는 기관조차도 이런 경우를 불가피한 상황으로 인식한 나머지 책임 추궁을 하지 못하다 보니 해킹에 대해서는 누구도 내 책임이 아니라는 의식이 팽배해 있다.

이러한 가운데 국가의 안보기밀이나 협상전략이 새어 나가고 수 조원을 들여 개발한 산업기술이 유출되는가 하면 수천만 국민의 신상정보가 새어 나가는 등 그 심각성은 이루 말할 수가 없다.

국가간 협상에서 협상전략을 다 빼앗긴 채 협상에 임한다고 가정해 보자. 결과는 백전백패, 국가적으로 엄청난 손실을 초래할 수 밖에 없을 것이다. 인터넷 뱅킹은 해커들이 마음먹기에 따라서는 언제 터질지 모르는 또 하나의 시한폭탄이다. 영화 ‘다이하드 4.0’의 재앙은 결코 영화 속만의 픽션이 아니다.

일단 해커에게 PC를 점거 당하면 피해자가 거의 무한정이라고 볼 수 있다. 해커가 자료를 절취할 대상으로 마음을 먹고 공격하면 언젠가는 걸려들게 되어 있어 오늘 공격하다가 안 되면 내일, 내일 하다가 안되면 모레에 다시 공격한다. 해커의 최고 성공비결은 끈기다. 이 방법, 저 방법, 모든 수단과 방법을 가리지 않고 성공할 때까지 반복해서 끈질기게 공격을 시도 한다. 일단 한 번 걸려들면 표시가 나지 않으니 자료를 도둑맞으면서도 전혀 인지조차 못하고 무한정 피해를 당하게 되는 것이다.

끊이지 않는 해킹사고와 그 대안은

사용자들은 대부분 서버가 해킹당하는 것으로 잘못 알고 있는데 이는 완전히 잘못 알고 있는 오해다. 대부분의 해킹은 PC가 대상이다. 서버해킹이라 함은 키로거 해킹 등에 의해 사용자 계정을 탈취한 후 이를 이용한 것으로, 결국 PC해킹 없이는 서버해킹이 불가능하다.

먼저 대상자에게 이메일을 보내 그 사람의 PC에 해킹 프로그램을 심는다. 이 해킹 프로그램이 트로이목마형인 경우 미리 지정된 중간경유지로 사용자 몰래 자료를 전송한다. 또 해킹 프로그램이 원격지 콘트롤형일 경우 해커가 대상자의 PC를 실시간으로 뒤져 눈으로 확인하면서 필요한 자료를 중간 경유지로 복사해 둔다. 키로거형 해킹의 경우는 일정 기간동안 사용자가 입력하는 키스토록을 저장한 후 이를 가져가서 사용자의 ID/PW를 탈취한다. 탈취한 사용자 ID/PW를 이용해 서버에 접속한 후 필요한 자료를 복사해 간다. 해커는 자신의 위치를 숨기기 위해 중간 경유지를 거쳐서 자료를 가져가므로 추적하기가 어렵다.

해킹을 막는 기술과 솔루션들의 진실을 살펴보자. 현존하는 모든 솔루션이나 제품들이 사용하는 탐지·치료 방식은 소위 지문(指紋)비교 방식으로 공격의 패턴을 DB화 해두고 비교하여 판단하는 방식이다.

여기서 우리는 인간세계에서의 질병의 출현과 그에 대한 치료약의 개발 과정을 생각해 보자. 새로운 질병이 출현하여 감염자가 발생하면 이들은 치료를 위해 반드시 병원을 찾게 되고 이 과정에서 의사는 새로운 질병의 출현을 인지하게 된다. 치료를 맡은 의사는 그것이 새로운 질병임을 발견하면 이를 학계/의약계/관계기관 등에 보고하게 되며 제약회사에서는 그 질병에 대한 치료약을 개발하여 환자를 치료하게 되고 예방을 위해 백신을 만들어 접종을 하게 된다.

한편 사이버 세계에서는 그러한 새로운 질병인 해킹 프로그램을 해커가 의도하면 무수한 변종(이전 해킹 프로그램과 형태를 조금 변형하여 만들어 낸 프로그램)을 만들어 낼 수가 있는데 모든 것이 0과 1로 구분되는 사이버 세계에서는 조금만 변형되어 만들어진 변종이라도 이를 완전히 새로운 것으로 간주하게 된다. 따라서 백신을 가지고 있다 하더라도 변종이 출현하면 그 이전 백신은 아무런 쓸모가 없게 돼 버린다. 하물며 알려지지도 않고 피해자가 인지하지 못하는 경우라면 아예 백신을 만들 생각조차 못하니 무한정 당할 수밖에 없다.

해킹의 경우는 흔적을 남기지 않고 자료만 절취해 가는 경우가 대부분으로, 아예 피해를 당한 사실 자체를 모르기 때문에 알려지기 전까지는 백신을 만들수가 없는 것이다. 따라서 근본적인 치료법을 만들지 못하고 이렇듯 ‘피해자 발생 -> 치료약(백신) 개발 -> 변종 출현 -> 피해자 발생’ 이라는 악순환이 끊임없이 반복되고 있는 것이다. 이렇듯 해킹을 막는 기술 자체가 근본적인 한계를 가지고 있는데도 이 기술을 사용하여 보안솔루션을 만드는 업체들이 무조건 해킹을 막는다고 하는 것은 지나친 과장이 아닐 수 없다.  

해킹을 시도하는 사람은 누구

세계 각국 정보기관에서는 정보전쟁에서 국가적 우위를 점하기 위해 상대국의 정보취득에 심혈을 기울이고 있으며 중국을 비롯해 북한 등 적성국에서는 우리나라의 국가안보와 직결된 정보를 빼내기 위해 혈안이 되어 있다.

이미 중국, 북한은 전문 해커부대를 운영하는 것으로 확인되었고 실제 전 세계에서 확인된 해킹사고의 공격지는 대부분이 중국으로 밝혀졌다. 또한 최근 1,081만 명의 개인정보를 탈취당한 옥션의 사례에서도 볼 수 있듯이 범죄 집단과 연계하여 절취한 정보를 이용해 금전적 이득을 취하려는 시도도 급격하게 증가하고 있다.

산업기밀을 노리는 산업스파이들은 더욱 기승을 부리고 있다. 특히 우리나라는 인터넷 인프라가 발달하여 거의 중국 해커들의 놀이터로 전락되고 있는데 이는 우리나라가 직접적으로 당하는 피해는 물론이려니와 세계적으로 우리나라가 해킹 경유지 국가로 전락됨으로써 국가적 위상에 치명적인 손상을 입을 수도 있다. 

잠재적 피해자 혹은 해커의 목표는 국가안보/국가정책 등을 다루는 정보기관이나 중앙행정기관, 공공기관, 신기술 개발을 담당하는 기업체 연구소, 개인정보를 다루는 포털과 통신 업체, 기타 네트워크에 접속되어 있는 모든 기관과 회사, 그리고 개인 등이다.

이렇게 해커들의 목표가 되는 수 많은 곳에서 실시간으로 해킹을 막는 것은 차치하고라도 최소한 피해사실을 제때에 파악이라도 할 수 있어야 하는데 기존의 모든 솔루션들의 근본이 되는 해킹 프로그램의 패턴을 DB화해 이를 참조하여 비교하는 소위 ‘지문비교’ 방식의 해킹 탐지 기법으로는 결코 알려지지 않은 공격에 의한 피해를 파악하는 것은 거의 불가능하다.

따라서 새로운 대안으로 연구되고 있는 방법이 자료를 전송하는 순간에 사용자의 행위를 탐지하는 Behavior-Based Detection 기법을 채택하면 어떤 프로그램이 자료를 전송하는 순간에 이를 분석하여 사용자의 의도에 의한 것인지, 아니면 사용자 모르게 실행된 해킹 프로그램에 의한 것인지를 구분해 낼 수가 있다.

알려지지 않은 해킹, 앞으로 나타날 미증유의 해킹까지 실시간으로 탐지할 수 있는 가장 완벽한 기법으로 최근 들어 이 방식에 대한 연구가 활발히 진행 중인데 이 방식이 해결해야 할 과제는 바로 오탐(False Alert)의 문제이다. 오탐이란 해킹이 아닌 것을 해킹으로 탐지하는 것을 말하는데 기존 탐지방식인 ‘지문비교’ 방식의 경우에는 지문대장에 등재되어 있느냐 없느냐에 따라 구분하기 때문에 틀린 범인을 잡는 경우는 없다. 하지만, 행위분석의 경우는 행위만을 가지고 판단하기 때문에 사용자 PC의 환경에 따라 행위의 양상이 조금씩 다르게 나타날 수 있어 오탐이 발생할 수 있다.

따라서 알고리즘의 정확성뿐만 아니라 다양한 PC의 환경을 아우르는 경험적인(Heuristic) 튜닝이 관건인데 이에 대한 학술적인 논문들이 속속 발표되고 있으며 이 기법을 채택한 솔루션들이 출시되면서 향후 보안시장의 판도변화를 예고하고 있다. 이러한 행위기반 솔루션인 트루컷시큐리티는 순수 행위기반 기술에 대한 특허를 보유하고 있으며 이 기술에 의한 솔루션인 TrojanCut을 개발 완료하고 GS인증까지 획득했다.

기존 방식의 문제점은 없나

네트워크 이중화는 이중화로 끝나는 문제가 아니고 운용 중 발생할 수 있는 개별 사용자에 의한 인터넷망과의 접속이나 USB사용으로 인한 취약성 문제 등은 여전히 남아있고 구축 및 운영비용이 거의 두배로 늘어난다.

또 Server-Based Computing은 원래의 목적과 달리 해킹에 의한 자료유출 문제가 대두되자 이에 대한 해법으로 등장했는데 내부 사용자에 의한 자료유출 방지에는 효과가 있겠으나 사용자 계정 탈취에 의한 해킹공격에 노출될 경우에 서버를 통으로 내어 줌으로써 오히려 더 큰 피해를 초래하는 절대적인 취약성을 가지고 있다. 또한, 사용자 개인의 지극히 사적인 자료들이 서버에 저장될 경우 전혀 예상치 못한 또 다른 문제의 발생 소지가 있다. 

아울러 보안의 관점에서 보면 USB 메모리는 절대 사용을 허용해서는 안 되는 가장 취약성이 높은 저장장치이다. 따라서 보안을 중시할 경우, 일반 기업에서는 아예 USB 포트 자체를 불능화시키고 있는데 아무리 보안USB를 사용한다고 하더라도 사용을 허용하는 것은 일단 빗장을 열어놓고 도둑을 막겠다는 것과 다를 바가 없다.

또 네트워크 또는 Blade PC는 SBC의 불편함을 보완한 정도로, 역시 내부 사용자에 의한 자료유출 방지에는 효과가 있겠으나 해킹공격에는 일반 PC 환경이나 전혀 다를 바가 없다.

<글·심재승 투르컷시큐리티 대표이사(jsshim@itsoltek.co.kr)>

[정보보호21c (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>