해커를 범죄자로 여기지 말아야

해커는 어떤 사람들입니까? 범죄자로 생각하십니까? 최고급 기술을 갖춘 화이트 컬러 범죄자이거나 혹은 범죄자가 될 수 있는 사람들이라고 생각하는 분들이 많습니다. 하지만 저는 그들을 보안의 전문가라고 이야기 하고 싶습니다. 만약 이들이 연구한 공격 기법을 모른다면 방어기술 제작과 방법을 모르게 됩니다. 사실 악성코드 제작과 유포 문제로 백신업체가 생겨났으며, 공격스크립트 이용으로 침입탐지시스템, 방화벽 개발 업체가 생겨났지요. 사실 실력도 실력이지만 이들이 보는 보안의 시각이 더욱 필요합니다.

예전에 어떤 모 기업 사장께서 회사 침투 점검(Penetration)을 해달라고 하신 적이 있었습니다. S군에게 부탁한 결과 그는 패스워드 추측 10회 만으로 어떤 서버의 루트 권한으로 로그인하고 그 기업의 네트워크를 전반적으로 파악한 후 인사 서버로 들어가 인사 파일을 다운로드 받은 적이 있었습니다. 사실 그 회사로 접근할 수 있는 다른 경로가 2개나 더 있었지요. 사장님은 깜짝 놀라셨습니다. 왜냐 하면 보안담당자로부터 빈틈없이 보안이 운영되고 있다는 보고를 받은 상태이었기 때문입니다.

보안관리자가 보지 못하는 것을 해커들을 볼 수 있습니다. 이것이 방어를 하는 보안담당자와 공격을 하는 해커의 차이입니다. 완벽한 보안을 하고 있다는 대다수의 Security 보안담당자들은 자신의 시스템이나 네트워크에 어떤 허점이 있다는 사실을 잘 모르는 경우가 많습니다. “등잔 밑이 더 어둡다”는 말이 있듯이 해커들의 시각이 아니라면 허점을 찾기가 더욱 어렵습니다. 미국 국방성 망도 해킹으로 F-35 m전투기 설계도면을 유출당하기도 하였습니다. 올해 77 DDOS 공격을 북한이 주도 한 것이 사실이지요. 이들이 공격 역할을 담당하고 있는 해커들입니다. 큰일 났습니다. 일반적인 대한민국 보안담당자들은 어떻게 이들을 막을 수 있을까요? 일반적인 시각의 보안을 하고 있으면 분명히 뚫립니다. 보안담당과 해커, 뗄 수 없는 친밀한 사이가 되어야 대한민국 보안이 건강해 질 수 있습니다.

분명 해커들 중 일부는 범죄자가 되기도 하고, 범죄자의 하수인이 되기도 합니다. 이러한 환경은 IT 분야가 아니더라도 어떤 심리적, 경제적 환경에서도 충분히 일어날 수 있는 일들입니다. 2009년 11월 10자 조선일보를 보면 쇼핑몰을 운영하는 범죄자가 중국에서 “해커”를 고용하였다는 사실을 알 수 있습니다. 이때의 해커는 단순 기술자라고 봐야 합니다. 범죄자가 중국인이나 심지어 미국인을 고용하기도 합니다. 해커가 범죄자이라는 단순 비약은 곤란할 것입니다. 보통은 경제적인 사정으로 하수인으로 전락하거나 범죄행위임을 인식하지 않은 경우가 허다함을 알아야 합니다.

모 매체에서 보도한 “쇼핑몰 수백 곳 해킹”에서 쇼핑몰 업체가 진행한 계좌이체 방식 상의 허점은 해커가 아닌 일반 사람들도 눈치챌 수 있는 허점입니다. 중국에서 해커를 고용하여 웹 서버를 해킹하고 대금을 입금 받을 계좌만 대포통장으로 바꾸었습니다. 웹 서버의 취약점을 많이 알려져 있고 이의 수정이 쉽지 않습니다. SQL injection 취약점, XSS(Cross Site Script) 취약점을 널리 알려지고 국내의 많은 웹 서버들이 취약합니다.(“호스팅 업체 보안성 강화 필요, 호스팅 업체 보안 취약점은 전체 호스팅 사이트에 퍼질 수 있어”, 보안뉴스, 11. 18 자 보도) 국내 많은 해커들이 이를 모를까요? 해커들이 마음만 먹으면 해킹할 수 있습니다. 그런데 왜 중국 가서 고용을 할까요? 국내 해커들이 다 아는 사실이라면 북한의 해커들은 이를 모를까요? 두렵습니다. 우리가 우물쭈물하는 사이에 우리가 해커들을 범죄인으로 보고 이들의 역량을 무시하는 사이에 우리는 어떤 일을 겪게 될지 두렵습니다.

사이버범죄 대다수는 기술이 필요 없는 일반 범죄

최근 논문으로 발표된 “사이버범죄 프로파일링”(임채호, 김지영, 최진혁, 정보보호학회논문지, 제19권 제4호, 2009.8)을 보면 사이버범죄 검거 통계를 보면 사이버범죄 20% 만이 기술자에 의한 범죄이며, 대부분은 기술이 필요 없는 일반 범죄자에 의한 경우가 대부분입니다. 불법 자료 게재, 개인정보 침해, 인터넷 범죄, 불법 복제, 인터넷 사기, 명예훼손, 공갈협박 이런 사이버범죄를 이런 원고에서 이야기 한다는 사실이 부끄러울 정도 입니다. 여러분 이런 범죄에 해커들을 떠올린다면 아니 된다고 봅니다.

기술을 이용한 경우에도 대부분은 일반 범죄자에 의해 조종되거나 아르바이트를 한 경우가 많습니다. 정말 전문적인 대한민국의 해커가 마음을 먹고 대한민국 중요시스템을 해킹한다면 정말 혼란에 빠질 것입니다. 다행히도(?) 7.7 DDoS나 다른 큰 사건 모두 중국이나 외국인 해커들이었습니다. 사실 대한민국 해커들은 엄청난 애국자들입니다. 개인정보 유출하고 협박한 해커, 은행을 해킹한 해커, 이들은 누구나 할 수 있는 일반적인 방법을 인터넷을 통하여 알게 된 초보들입니다. 이들 때문에 전체 해커들이 여겨져 잘 못 판단되어서는 안됩니다.

해커는 대한민국의 보안취약점을 찾아준다

서방국가나 대한민국이 해커를 보는 시각은 비슷하다고 보지만, 사회적인 지위나 대응 역사는 미국 등이 빠르다고 생각합니다. 최근 개최된 POC 2009 행사에서 독일계 해커인 ┖Stefan Esser┖의 인터뷰 기사를 보면 해외에서도 해커를 보는 시각이 개선되고 있음을 알 수 있습니다.

「[POC 2009] “웹 방화벽, 너무 쉽게 해킹 당해”

[Interview] 스테판 에써(Stefan Esser)-독일 “웹보안 제품, 우회 공격에 취약점 많다!”

···중략···

- 한국은 해커에 대해 편견을 갖고 있는데 독일은 어떠한가?

독일도 예전에는 해커에 대한 안 좋은 인식을 가지고 있었다. 그러나 CC클럽이 생기면서 상황은 바뀌었다. CC클럽은 화이트 해커들이 만든 단체로 독일을 비롯, 전 세계 해커에 대한 인식을 바꾸기 위한 홍보를 하는 한편 해커들이 불법적인 일을 하지 못하도록 주지시키고 있다. 이에 따라 독일 사람들도 해커와 크래커의 차이를 알게 돼 지금은 해커에 대한 인식이 많이 바뀐 상태다.」-이상 보안뉴스 기사-

해커라는 용어도 미국에서 시작된 만큼 해커들의 기술적 역량 등은 보다 구조적인 문제를 다루는 편일 것입니다. 해커들이 윈도우 취약점 등을 분석한 후 MS와 상관없이 취약점을 공유하거나 혹은 취약점 발견 후 즉시 공격도구를 만들기 때문에 MS사는 취약점 발견 후 MS에 미리 통보하는 절차를 제안하기도 하고, 상금을 주기도 하는 등 해커에 대한 인지도가 조금은 바뀌고 있음을 알 수 있으며, 아예 공식적으로 Black-box 시험을 하기도 합니다. Black Box Tester인 10대의 해커 연봉이 꽤 높다는 소문도 들립니다.

해커들의 취약점 발표는 신중하여야 한다

사실 해커들은 제어하기 어렵습니다. 대다수가 어리기도 하며, 사회경험이 부족으로 기성 세대나 기업체 등 조직논리가 잘 통하지 않습니다. 그래서 많은 사람들은 이들의 기술을 믿고 활용하다가 주어진 업무가 끝나면 이들을 외면하는 경우가 허다합니다.

인터넷 뱅킹이 해킹당할 수 있다고 경고를 한 해커도 있었습니다. 이 해커는 국민들과 금융기관에 경고를 하였으나, 나중에 무시당하였습니다. 주위에서도 공공장소에서 어떤 기관이 보안 취약성이 있다고 참석자들에게 경고를 주려고 공개적인 Penetration을 하면서 그 기관 보안담당자의 제지를 받는 상황을 몇 번이나 보았습니다. 그 기관이 어떤 면이 취약하다는 사실을 남들도 알아야 한다는 Trusted 논리가 해커에게는 중요하고 그 보안담당자는 왜 공개된 장소에서 다른 사람들에게 보안 취약성을 공개하냐는 Security 논리가 강한 것이지요. 악성코드를 만드는 것은 문제가 없지만 이를 유포하면 남들에게 피해를 직접 주니까 법적 제재를 받는 것이 당연함을 해커는 모른 것이지요.

아래 그림으로 상상해 볼까요?  “X” 사이트가 어떤 취약점이 있는데, “B” 해커는 알고 있지만, “A” 기관 담당자는 모르고, “C” 범죄자는 알고 있습니다. “C”범죄자는 “X” 사이트를 해킹하여 “D” 고객들의 개인정보를 유출하여 Spam 수신인으로 활용하거나 그 DB를 다른 범죄자에게 판매를 할 수 있습니다.

이때 최대 피해자는 D(고객), A(기관 및 담당자) 입니다. 만약 먼저 “B” 해커가 이를 “A”에게 “C”가 알기 전에 미리 알려줘서 취약점을 없앨 수 있도록 도와준다면 “A”는 “B”에게 고마워 하지 않을까요? 그런데 고마워 할까요? 대부분 고마워 하지 않습니다. 왜냐하면 대부분 “A”는 Security 를 하므로 고객과의 Trusted 를 무시하는 경우가 많습니다. ‘B”가 공개적이지 않게 남들이 모르게 “B”가 “A”에게 알려줘도 “A”는 “그렇게 취약하지 않아, Boss는 몰라도 되는 내용이야”라는 경우가 많습니다. 물론 “B”는 정말 신중하게 이런 업무를 하여야 합니다. 혹시 “C”범죄자가 북한일 수도 있고, 중국일 수 있습니다. “X”서버는 일반적인 쇼핑몰이 아니라 금융기관의 서버나 지방자치단체 등 중요한 서버이며, “D” 는 일반 국민일 수 있습니다. 지금 정말 중요한 시기입니다.

다음 그림은 “Y”정부와 “Z” 업체 등이 참여한 경우입니다. “B”가 “Y” 정부에게 알려줘도 “Y”는 “A”나 “Z” 업체에게 곧장 알려주는 경우가 없을 수도 있습니다. 정부는 무한 책임이 있는 것이지요.

아마 “B” 해커는 취약점을 이야기하기 전에 좀더 신중하여야 하며 이후의 파장을 잘 고려하며 제안해야 합니다.

해커들은 긍지를 느껴야 한다

예전 9.11 사태 이후 만들어진 미국 국토안보성(DHS, Department of Homeland Security)은 미국 의회가 실시한 보안 점검에서 “F”를 받은 적이 있습니다. 법무성(DOJ, Department of Justice)은 “A”를 받았습니다. 차이가 뭘까요? 아마 Security를 하였나 봅니다. 취약점 없이 잘 방어를 하였다고 생각하였나 봅니다. 하지만 철통 같은 방어벽도 여지없이 뚫렸습니다. 방화벽, IDS, 웹 방화벽 경계 보안을 아무리 해도 간단한 악성코드가 메일에 첨부되며 뚫렸습니다.

철통 보안을 뚫는 사람, 실력이 뛰어난 사람들은 존경을 받아야 하지 않습니까? 이 해커들이 보다 우수한 보안을 할 수 있도록 해주는 전문가입니다. 하지만 누가 보안전문가입니까? 대학에서 보안 전공으로 학위를 딴 사람? 암호 및 응용과 같은 깊숙한 보안을 연구한 사람? 물론 그런 사람들도 보안 전문가라고 할 수 있지만, 사실은 실무에서 경험을 가장 많이 한 사람이 대한민국에서 더욱 필요한 보안전문가입니다.

이들 실무 전문가들을 존경 받아야만 합니다.

Stefan Esser가 이야기한 해커들에게 대한 당부를 보겠습니다.

최근 골프 신동으로 대한민국의 위상을 드높이고 있는 신지애에 대한 기사를 보았습니다.

대한민국 보안에 관한 한 최고를 꿈꾸는 해커들이 북한의 사이버 공격을 막아내고 중국의 돈벌이 공격을 막아내고, 북한, 일본, 중국 등에서의 기밀 정보 유출 시도를 막아내서 대한민국의 영웅으로 떠오르는 날이 곧 나타날 것이며, 새로운 보안 취약점 발표 등으로 전세계 해커들의 부러움을 받는 날이 곧 올 것입니다. 신지애의 골프 인생은 해커들에게는 해커인생이 될 것 이므로...

<연재 순서>