[인터뷰] 머드스플래터(Mudsplatter)

"한국, 네트워크 보안만 신경쓰고 물리적 보안은 엉망"

13일부터 14일까지 서울 양재동 서울교육문화회관에서 진행되고 있는 국제 해킹·보안 컨퍼런스 POC2008에서 “재미로 살펴본 물리적 해킹과 보안”(Physical Hacking and Security Just for Fun)이라는 주제로 국내 기업들의 허술한 IDC에 관해 맹공을 퍼부은  ‘Mudsplatter’를 만나봤다. 한사코 사진 촬영은 물론, 닉네임에 대한 설명을 거부한 그는 재미교포 3세로 미(美) 공군에서 5년간 복무 후 최근 국내 보안업체 NSHC에 스카우트되고 이번 POC에도 참가하게 되었는데, “한국은 네트워크 보안에는 많은 공을 들이지만 물리적인 보안에는 신경을 쓰지 않아, 물리적인 침입으로 모든 네트워크를 장악할 수 있다”며 “모래 위에 집을 지을 수는 없다”고 일침을 던졌다.

Q : 우선, 오늘 발표한 내용에 대해 이야기 해보자. 일반 기업의 IDC에 잠입해서 찍은 영상은 상당히 충격적이었다. 잠입 당시 아무도 제지하지 않았다고 했는데?

물론 내가 그곳에서 할 일이 있는 것처럼, 또 그곳을 잘 아는 것처럼 행동했기 때문이기도 했지만 경비원이든 누구든 아무도 내게 왜 왔는지, 무엇을 하려는 건지 묻지 않았다. 설사 내가 백인이나 흑인이라 하더라도, 경비원들이 영어를 전혀 못 한다할지라도 출입을 일단 제지시키고 방문 목적을 물어봤어야 하는 것이 아닌가? 심지어 IDC 내에 감시 카메라도 없었다. 내가 만일 화재 경보를 울리기라도 했다면 그 안의 서버 등이 몽땅 젖어버렸을 수도 있다. 만일 그랬다면 엄청난 금전적인 손실이 발생했을 것이다.

Q : 즉, 당신의 이번 발표 요지는 정보보안에 앞서 물리적 보안이, 정확히는 보안에 대한 교육부터 필요하다는 것인가?

그렇다. 내부자 유출이 큰 문제라면서 IDC가 그렇게 누구에게나 쉽게 접근할 수 있는 곳이어서는 안 된다. 밝힐 수는 없지만 영상으로 공개한 그 IDC는 내부 직원뿐만 아니라 외부인들도 화장실 창문을 통해서 쉽게 들어갈 수 있었다. 건물 주변을 경비하는 인원이 없었을 뿐만 아니라 건물 내에서도 외부인인 내가 카메라를 손에 들고 있는데도 아무도 내가 누구인지, 무엇을 하려는 건지 묻지 않았다. 이것은 엄청난 일이다. 그런데도 강연장 안의 대부분(한국인들)이 경악하지 않는 것이 더욱 충격적인 일이다. 물론, 강연 후에 나를 찾아와 많은 질문을 던지기도 했지만 그만큼 기본적인 것에 대한 인식이 없다는 것을 다시 한 번 확인할 수 있었다. 모래 위에 집을 지을 수는 없다. 기본도 지키지 않으면서 어떻게 그 이상을 얘기할 수 있단 말인가?

Q : 일부에서는 정보보안에 허술한 기업에 대해 정부의 법제도 마련이 부족하다는 의견도 있는데?

왜 정부가 책임져야 하는가? 보안은 정부가 아니라 모든 기업들의 책임이다. 물론 미국에는 관련법들이 있다. 하지만 그런 법률로 데이터 침해를 박을 수는 없다. 미국의 기업들이 얼마나 많이 해킹 당하는지 아는가? ‘공짜로 신용카드를 만들어 드립니다’라는 메일을 받았다는 건 그 카드회사가 이미 해킹을 당했다는 뜻이다. 법 제도만으로는 끊임없이 발생하는 기업의 정보유출을 막을 수 없다.

Q : 해커에 대해 말해보자. 아직 국내에는 해커에 대한 편견이 있는데?

해커는 나쁘지 않다. 개인적으로 미국에서는 해커보다 변호사가 훨씬 나쁜 존재다.

Q : 그렇다면 최근 국내에 증가하고 있는 중국발 해킹이나 사이버 공격은 어떤가? 왜 그들이 특히 한국을 공격한다고 생각하나? 한국의 웹이 취약하기 때문일까?

해킹에는 이유가 없다. 그냥 있으니까 할 뿐이다. 중국의 해커들은 앞으로도 계속 공격할 것이다. 물론 한국의 웹이 취약한 탓일 수도 있지만 그렇지 않을 수도 있다. 그보다는 한국인들의 “자랑”하는 태도가 문제다. 최고 수준의 IT 기술을 갖고 있다고 자랑하고 최고의 인터넷 속도라고 자랑하고...그런 태도는 다른 이들을 자극하게 된다. 예를 들어 당신이 만일 해커라면 ‘난 뭐든지 해킹할 수 있다’라는 식으로 자랑하고 다녀서는 안 된다. 그러다 12살짜리 어린 해커한테 공격당할 수도 있다.

Q : 국내의 해커, 또는 보안 전문가가 되고자 하는 사람들에게 해주고 싶은 조언이 있다면?

12시간씩 (대입)공부하지 말라. 그냥 배워라. 발표할 때도 말했지만 여자 친구를 사귀고 싶다면 직접 가서 말부터 걸어야 한다. 즉, 배우고 싶은 것이 있다면 어떻게든, 어디서라도 찾아내서 배워야 한다. 공부만 한다고 전문가가 될 수 있나? 당신이 대학을 나왔다고 해서 나보다 보안에 대해 잘 안다고 할 수 있나? 결코 그렇지 않다. 공부가 전부가 아니다. 변호사가 되고 싶다면 대학에 가야하고 공부해야하지만 보안 전문가는 그런 식으로 공부한다고 되는 것이 아니다.

Q : 마지막으로 이번 POC 2008에서 가장 관심이 가는 주제가 있다면?

RFID! 루카스 그런왈드(Lukas Grunwald)의 RFID야말로 빅 이슈다. 내 발표는 “들어야만 하는” 강연이라면 루카스의 전자여권에 관한 발표는 “꼭! 들어야만 하는” 강연이다. 내 것보다 훨씬 더 중요한 강연이며 모든 이들이 기대하고 있는 강연이다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>