지난 2008년 한국인터넷진흥원에서 발표한 전체 취약점 통계 자료에 따르면 웹과 관련된 취약점이 전체 취약점의 60% 정도를 차지한다. 이 외에 브라우저 관련 취약점과 ActiveX 애플리케이션 취약점까지 합하면 실질적으로 웹을 이용한 공격과 연관된 취약점은 더 많다. 이와 같이 웹이 크래커들의 블루칩이 된 이유는 금전적이익, 즉 돈벌이의 수단으로 변화되었기 때문이다.

모두를 위한 모두에 의한 웹

필자가 처음 웹을 접한 것은 1994년 이었던 것으로 기억된다. 당시 온라인 커뮤니티는 PC통신이라 불리우던 BBS 중심의 시대였는데 그 때 웹은 별도의 절차를 거치지 않고 네트워크를 통하여 자료를 즉시 공유할 수 있다는 것이 흥미로울 뿐 그 이상은 아니었다.

그러나 이제 웹은 정보의 교류뿐만 아니라 인간이 할 수 있는 거의 모든 것, 혹은 그 이상의 것을 할 수 있는 도구가 되었다. 게다가 전문적인 지식이 없어도 누구나 사용할 수 있어 이제는 남녀노소 모두가 이용하는 현대인의 필수품과 같은 것이 된 것을 보고 있노라면 그야말로 격세지감이라 할 만하다.

과연 이전 초창기 웹의 모습을 보고 지금의 이런 상황을 그 누가 상상할 수 있었을까? 그리고 웹은 점점 더 가속력을 높이며 변화의 변화를 거듭하고 있다. 그럼 10년 후의 웹은 어떤 모습일 것일까? 아니면 웹을 뛰어넘는 또 다른 것이 오고 과거 BBS와 같은 사망선고를 받을 것인가? 이러한 물음에 쉽게 답변하기 쉽지는 않다.

크래커들의 블루칩 웹

지난 2008년 한국인터넷진흥원에서 발표한 전체 취약점 통계 자료를 보면 웹과 관련된 취약점이 전체 취약점의 60% 정도를 차지하는 것으로 나타났다. 이외에 브라우저 관련 취약점과 ActiveX 애플리케이션 취약점까지 합하면 실질적으로 웹을 이용한 공격과 연관된 취약점의 수는 더욱 증가할 것이다. 이처럼 웹이 크래커들의 블루칩이 된 이유는 무엇일까? 최근 몇 년 사이 크래킹의 목적은 것은 개인 사용자 정보를 획득한다거나 DDoS 공격에 의해 금전적인 이익을 발생시키는 것으로 변화했다. 결국 공격의 유형은 돈벌이의 수단으로써 어떤 방법을 이용할 것인가 생각해보면 다음과 같이 단순화하여 요약할 수가 있다.

봇을 제작ㆍ배포해 사용자 PC에 봇을 설치함으로써 봇넷을 구축하고 PC에서 개인 정보를 획득한다거나 DDoS 공격을 수행하는 좀비 PC로 이용하게 된다. 이 때 봇은 주로 윈도우 OS용으로 개발되고 배포 방식은 주로 웹을 이용한다. 결국 최근 웹 취약점 연구 및 크래킹이 증가를 하는 근본적인 이유는 봇넷을 구축하기 위한 봇을 배포하기 위해서라고 생각 할 수가 있다.

봇의 배포경로로써의 웹

● 사용자 편의성과 대중성

웹은 쉽다. 단적으로 말해 환갑이 지나신 필자의 부모님조차도 웹 서핑을 즐기는 것을 보면 웹의 대중성은 그야말로 컴퓨터 역사 이래 전무후무하다고 할 수 있지 않을까 한다. 바로 이런 대중성이 강한 웹의 장점의 이면에는 사이트 하나에 악성 스크립트 한 줄만 삽입하면 손쉽게 다수의 좀비를 획득 할 수가 있다는 치명적인 위협이 존재 한다.

● 타 애플리케이션과 연동을 위한 확장성과 유연성

지금의 웹은 단지 웹만으로 발전한 것이 아니다. 웹 기반의 다양한 애플리케이션들이 상호 연동되면서 사용자에게 좀 더 양질의 서비스를 제공할 수 있도록 발전되어 왔는데 이것은 웹이 확장성과 유연성이 강하기 때문이다. 하지만 이러한 장점 때문에 웹 공격을 차단하기 위해 설정된 필터들을 우회할 수 있는 기법들이 다양하게 존재한다.

웹의 이러한 특징 때문에 가장 강력한 온라인 커뮤니티의 도구가 되었다고 볼 수 있다. 반면 이러한 장점들 이면에는 보안을 하는 사람의 입장에서 보면 공격하기는 쉬우나 막는 것은 어려운 애물단지로써의 웹이 되어 버린 그늘이 자리하고 있다.

웹이 위험하면 모든 것이 위험하다

이제 웹은 일상생활의 모든 것과 연결되어 있다. 뱅킹과 쇼핑, 사교 생활, 아파트 관리 등 웹을 통해 모든 것을 할 수 있는 시대가 도래했다. 웹을 통해 개인 생활의 깊숙한 부분까지 연결되어 생활이 편리해졌다고 해서 단지 ‘세상 살기 좋아졌다’라는 정도로만 생각해서는 곤란하다. 조금만 달리 생각해 보면 웹이 공격당하면 그와 연결된 모든 것이 연쇄반응을 일으키며 공격당하게 되는 치명적인 위험이 존재한다는 점을 충분히 유추할 수 있기 때문이다.

나도 모르는 사이에 은행의 계좌에서 돈이 송금 되고 내가 모르는 사이에 내 돈으로 물건이 거래될 수도 있다. 그리고 내 아파트의 감시카메라에 비친 은밀한 사생활이 공개될 수도 있다. 이 모든 것의 시작이 대부분 웹 공격이라는 것을 명심해야 한다.

최근에는 스마트폰이 붐을 이루게 되면서 스마트폰의 위험성도 논의되고 있다. 스마트 폰을 이용하여 웹에 접속하면 백도어나 바이러스가 설치될 수도 있기 때문이다. 아직 스마트폰 크래킹에 대한 연구는 걸음마 단계다. 하지만 아직 뚜렷하게 화제가 될만한 스마트폰 공격 사건이 없는 이유는 기술적인 난이도 때문이 아니다. 아직은 스마트폰을 공격해도 돈이 될만한 것이 없기 때문이다. 만약 스마트폰을 이용한 금융거래가 활성화되고 스마트 폰을 이용하여 중요한 정보를 주고받는 것이 일상화되기 시작하면 스마트폰 백도어, 바이러스가 본격적으로 연구되고 개발되기 시작할 것이다.

해커와 크래커는 다른 의미

마지막으로 굳이 해커라는 편한 단어를 두고 크래커라는 단어를 가져와서 독자들에게 혼란을 가져다주는가, 그에 대한 변명을 하고자 한다. 1990년대 혹은 그 이전 보안을 공부한 사람이면 해커·해킹이라는 단어에 대하여 경외심을 가지고 있다.

‘나는 해커 일까?’라는 의문은 ‘내가 과연 해커라 불릴만한 뛰어난 공학도인가’에 대한 의문이었으며 ‘이건 해킹이 아냐’라는 말은 범죄 행위에 해킹이라는 ‘신성한’ 단어를 갖다 붙일 수가 있느냐는 일종의 반항 심리와도 같은 것이었다.

‘해커가 되는 것’은 보안을 공부하는 사람들의 이상향 혹은 궁극의 목표였기 때문에 공격과 침해 행위에 대하여 해킹이라는 그 신성한 단어가 쓰이는 것을 용납하지 않았지만 세상은 그들의 뜻대로 되지 않았다. 이제는 해킹, 해커는 범죄 행위, 범죄자의 의미로써 세상에 널리 사용되고 있다.

이쯤 되면 그들도 세상의 여론에 수긍해야 하겠지만 아직은 그러지 못하는 것 같다. 필자조차 아직까지 ‘컴퓨터 네트워크/시스템에 대한 공격을 수행하는 자’에게 해커라는 단어를 쓰지를 못하는 것을 보면 해커라는 단어가 가지고 있던 그 강렬한 낭만은 그리 쉽사리 사라지기 어려운 것인가 보다. 물론, 필자 자신에게도 스스로 해커라고 불러본 적도 없다.

<글 : 김태한 파이오링크 보안컨설팅팀 팀장(teran@piolink.com)>

[월간 정보보호21c 통권 제115호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>