‘해커’라는 표현, 아직도 껄끄러운 느낌이 나는 게 사실

공격의 방법과 경로가 무수히 많아져 해커의 기술이 필요

[보안뉴스 문가용] 지난 2000년도의 일이다. 보안 전문가인 마이클 머레이(Michael Murray)는 짜증이 잔뜩 나서 키보드를 내리쳤다. 뭘 해도 텔넷 세션 연결을 끊을 수 없었던 것이다. 당연히 무슨 키가 눌렸는지 알 도리가 없었다. 하지만 일단 텔넷 세션은 멈춰버렸다. 그러더니 리눅스 커널의 기능 오류를 일으키는 버그가 드러났다. 버그트랙(Bugtraq)에 이를 신고하긴 했지만 스스로도 “바보 같은 짓을 했을 뿐인데”라며 버그의 발견 계기를 설명할 정도로 우연한 일이었다.

그런데 그 우연이 현재까지 그의 생계로 이어졌다. GE 의료 기기와 장비들을 해킹하면서 돈을 받기 때문이다. 머레이가 발견하는 버그는 환자의 생명을 좌지우지 하기 때문에 이는 텔넷 연결과는 차원이 다른 중요성을 가지고 있다. 물론 아직도 키보드를 내리치는 것 또한 아니다. 그로부터 15년 동안 이 분야에서 경험을 쌓아온 그는 기기 및 솔루션의 개발 과정 전체를 관찰하고 검토한다. “소스 코드를 분석하고 보안 테스트를 실행합니다. 생산 절차에 차질을 거의 주지 않게끔 고려하면서요. 침투 테스트를 마지막으로 실행합니다.” 의료기기라는 특성상 해킹 후 충격완화보다 사전방지가 훨씬 중요하다.

“아직도 그때 그 키보드처럼 많은 물건을 부숩니다. 다만 다른 게 있다면 소비자가 구매를 하기 전에, 혹은 기기를 사용하다가 나쁜 일이 일어나기 전에 부숴본다는 것이죠.” 물론 구체적으로 무슨 기기를 해킹해봤는지, 혹은 하고 있는지, 어떤 취약점이 발견되었는지는 언급하기가 곤란하다. 다만 GE에서 나온 환자 감시기, 의료 이미징, 기타 치료 장비라고만 한다.

보안 전문가들은 소프트웨어와 하드웨어에 있는 구멍들을 막으면서 먹고 산다. 머레이가 이런 보안 전문가들과 다른 점이 있다면, 그 구멍들을 스스로 찾아내는, 마치 해커와 같은 일을 한다는 것이다. 이른바 화이트 해킹. 아직 여러 산업 분야에서 화이트 해킹이란 것에 대한 인상은 그리 좋지 않은 게 사실이다. 진지하게 일에 임하는 것 같지 않은, 오히려 문제만 늘리는 듯한 느낌이 분명히 있다. 하지만 화이트 해커는 인터넷 환경에서 나고 자란 다음 세대 소비자들이 사용할 제품을 보다 단단하고 안전하게 만드는 데 힘을 보태고 있다.

취약점을 먼저 발견한다는 건 사이버 범죄자들보다 한발 먼저 움직일 수 있다는 뜻이 된다. 그리고 이게 그다지 어려운 일도 아니었다. 하지만 사물인터넷 시대가 오면서 이야기가 달라졌다. 취약점의 절대량도 늘어났을 뿐 아니라 인슐린 펌프, 자동차, 위성 터미널, 핸드폰, 가정 자동화, 보안 시스템 등 대중의 안전에 심각한 영향을 미치게 되었기 때문이다. 해킹 기술이 자연스럽게 요구될 수밖에 없는 흐름이다.

“부모로서, 또 시민으로서 사물인터넷 시대가 걱정이 됩니다.” 보안 전문가인 조슈아 코르만(Joshua Corman)의 설명이다. “특히 올해를 지나오며 이런 걱정은 더 커졌습니다. 한 번은 자동차를 사려고 알아보는데 자동차의 기능이 지나치게 자동화 되었더라고요. 하는 일이 보안 쪽이다보니 그런 기능들이 ‘편리’보다는 ‘공격거리’로 보이더군요. 가족의 안전에 대해 안심하거나 확신할 수 없을 것 같았습니다.” 과연 그의 말대로 올해는 자동차들이 가지고 있는 치명적인 취약점에 대해서는 전문가들이 낱낱이 밝혀온 바가 있다.

소나타입(Sonatype)의 CTO인 코르만과 래피드7(Rapid7)의 부회장인 퍼코코(Percoco)는 2013년 아이앰더캐벌리(I Am The Cavalry)라는 비영리단체를 설립해 일반 대중에게 보안에 대해 알려주는 활동을 해왔다. 다 이런 ‘걱정’에서 비롯된 것이다. 그리고 자동차가 가지고 있는 위험성을 올해 데프콘에서 발표했다. 그뿐 아니라 이를 어떻게 타개할 것인지에 대한 방법을 고안해 미국 대형 자동차 생산업체에게 보내기도 했다. 이에 대해서는 본지에서도 언급한 바 있다.

전기 자동차를 주로 만드는 테슬라 모터스(Tesla Motors) 역시 이런 잠재적 위험성을 간과하지 않겠다는 의지를 보였다. 올해 유명 화이트 해커인 크리스튼 패짓(Kristen Paget)을 고용해 자사의 자동차에 대한 보안 점검을 맡긴 것이다. 크리스튼 패짓은 윈도우 비스타의 보안을 점검하고 GSM 프로토콜의 약점을 발견한 것으로 유명하다. 또한 가짜 기지국으로 스마트폰 트래픽을 끌어와 스푸핑할 수 있다는 것을 2010년 데프콘에서 시연해 큰 화제를 불러일으켰다. 크리스틴 패짓의 성과가 좋았던지 테슬라는 올해 데프콘 행사에 들려 해커를 추가로 고용하기도 했다.

병원 해킹

루크 맥오미(Luke McOmie)는 파이로(pyr0)로 유명해진 화이트 해커이자 보안 전문가로 올해 대형 병원에서 6개월간 모의 해킹의 공격팀을 이끌었다. 그리고 각종 의료 기기와 기구들을 뚫어내고 감염시키는 데 집중했다. 그렇게 최근 6개월의 파견근무를 끝내고 돌아온 맥오미는 다시 독립 상담가로서 활동을 시작했다.

맥오미의 공격팀은 먼저 흔히 알려진 취약점들을 활용해 병원에서 소유하고 있는 기구 및 기기의 구멍들을 찾아 나섰다. 그리고 몇몇 기기에서 제로데이 취약점을 발견했다. “심각한 결과를 초래할 수 있는 것들도 상당 수 있었습니다. 그런 일이 실제로 일어나는 걸 방지하는 게 저희의 목표였죠.” 즉 사고가 일어날 수 있는 경로를 최대한 미리 파악해 차단하는 것이 6개월간 진행된 모의 해킹의 목적이었다는 것이다.

의료 기기를 해킹한다는 건 굉장히 조심스러운 일이었다고 한다. 일단 당연한 얘기지만, 기기를 환자에 연결시킨 상태에서 테스트를 할 수 없었다. 그래서 소형 및 휴대용 기기들부터 조사해나가기 시작했다. MRI나 CT 스캐너처럼 큰 기기들은 오프라인으로 만들어둔 상태에서 테스트를 했다. “말이 쉽지 이렇게 큰 기구 하나 조사하는 데에는 적어도 3일이 걸렸습니다.”

알아내는 것도 까다로웠지만 그에 대한 해결책을 마련하는 건 더 어려웠다. “솔루션들이 시중에 없진 않습니다. 하지만 그 어떤 솔루션이라도 그 병원의 그 기기에 맞게 적용하려면 굉장히 꼼꼼한 검토 과정이 선행되어야 했습니다. 먼저는 치료 행위에 지장이 없게 해야 했고, 기기와 솔루션을 접목하는 과정에서 추가로 취약점이 발생하지 않도록 마무리해야 했거든요. 예를 들어 의료진들이 암호를 길고 복잡하게 설정하도록 할 수는 없었습니다. 치료에 지장을 주니까요.”

빙산의 일각

호요스 랩스(Hoyos Labs)의 CISO인 저스틴 아이텔(Justin Aitel)은 보안 전문가들이 이제 일반 소비자들에 대한 관심을 더 깊이 가져야할 때라고 강조한다. 당연하게 들리는 이야기이기도 하지만 보안 전문가들이 쉽게 놓치고 어려워하는 부분이기도 하다. “공격이 좀 더 매력적으로 보이는 건 사실입니다. 하지만 방어 역시 매력적인 일입니다. 그걸 간과하지 않아야 합니다.”

아이텔은 윈도우를 해킹하며 보안 전문 지식을 익혀왔다. 그것도 독학으로 말이다. 그 지식을 바탕으로 도우 존스(Dow Jones) 등에서 CISO로 근무할 수 있었고, 동시에 화이트 해커에 대한 긍정적인 측면을 부각시키는 데 일조했다. 또한 일반 소비자와 직접 만나는 사업체에서 근무했던 경험이 바탕이 되어 일반인들이 체감할 수 있는 분야의 ‘보안’에 관심이 많다. “BYOD 환경에 대한 우려의 목소리는 많지만 사실 이에 대해 해커들만큼 진지하게 파고드는 전문가들은 그리 많지 않습니다. 새로운 안드로이드 버그를 찾고, iOS 취약점을 찾아내서 알리는 데서 그치죠. 한 발 더 나아가야 합니다.”

보안 전문가가 일반 사업 및 소비자의 세계로 뛰어 들어가기, 즉 대중화란 쉽지 않다. 어쩌면 노력보다 시간의 문제일 수도 있는 부분이다. “보안 분야에 있으면서 정말 많은 사람들을 만나봤고, 대중에게 다가가려다가 실패한 사람도 수두룩하게 봐왔습니다. 대부분은 돈이 안 돼서 포기하고, 대중에게 멋지게 보이지 않아서 포기하는 사람들이 많았습니다. 하지만 방어자로서 보안 전문가들이 바라봐야 하는 건 우리가 대중에게 미칠 수 있는 ‘잘 보이지 않는 영향력’입니다.”

해킹을 하다 보안업계로 들어섰을 때 가장 큰 차이가 무엇일까? 머레이는 “정장을 입어야 하는 것뿐”이라고 답한다. “하지만 윈도우를 해킹하던 때의 젊은 저나 20년이 지난 후의 저의 모습이나 본질은 크게 달라지지 않았습니다.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>