현직 : “제로데이 없어도 얼마든지 표적 공격 가능해”
전직 : “힐러리 클린턴의 이메일 서버, 체포해도 이상하지 않아”

[보안뉴스 문가용] NSA의 현직 근무자와 전직 근무자가 잇따라 중대한 발언을 했다. 먼저 현직 근무자이자 NSA에서 맞춤형 접근 작전(Tailored Access Operation, TAO) 부서를 담당하고 있는 롭 조이스(Rob Joyce)는 “표적을 공격하는 데에 있어 제로데이 취약점이 대단히 중요하지는 않다”고 발표했다고 테크타임즈(Tech Times)가 보도했다.


“소프트웨어에 있는 제로데이를 통해 네트워크나 기기로 침투하는 것만이 사이버 공격의 유일한 방법은 아닙니다. 제로데이 취약점의 위험성에 대한 업계 및 일반인들의 인식은 과장되어 있습니다.” NSA의 TAO라고 하면 타국가의 정보기관에 침투하여 감시 행위를 일삼는 조직으로 알려진 바 세계 최고의 해킹 단체라고 봐도 무방하다. 이곳의 수장이 ‘제로데이가 소문처럼 위험한 건 아니다’라고 해 파문이 일고 있다.

“결국 표적이 된 네트워크를 뚫고 해킹을 가능하게 하는 건 꾸준함(persistence)과 집중력(focus)입니다. 세상에는 제로데이 말고도 해킹을 가능하게 해주는 방법이 대단히 많습니다. 사실 제로데이보다 효율도 높고 위험성도 낮은 방법이 허다하죠.” 그 허다한 방법 중 하나로 조이스는 사물인터넷을 꼽는다. “사물인터넷 기기가 많이 퍼지면 퍼질수록 저희 일이 쉬워질 겁니다.” 사물인터넷처럼 시대 변화의 특징이 되는 것들 중 그 동안 NSA의 업무부담을 줄여준 것에는 BYOD가 있다고 조이스는 언급한다.

“NSA의 가장 강력한 무기는 참을성입니다. 참고 기다리면서 표적을 감시하다보면 분명히 어느 순간 접근을 허용해줍니다. 그 순간을 포착하기만 하면 됩니다. 저희가 하는 건 그 순간이 오기까지 최대한 다양하고 빈번하게 표적을 자극하고 찌르는 거죠. 그런 방법을 익히고 나면 제로데이는 크게 중요치 않게 됩니다.”

한편 브레이트바트(BreitBart)는 NSA의 전직 요원인 윌리엄 비니(William Binney)의 말을 인용해 보도하면서 힐러리 클린턴 대선 후보자의 이메일 서버가 굉장히 취약하다고 확정을 짓다시피 했다. 힐러리 클린턴의 개인 이메일 서버는 “지금 당장 누구라도 해킹해도 될 정도”의 상태라는 것. 그것도 ‘이상한’ 환경설정 때문이라고 한다.

비니는 “외국에서도 클린턴의 이메일 서버에 얼마든지 해킹할 수 있다”며 “중국, 러시아, 북한 등의 유능한 해커들에게는 아주 간단한 일”이라고 인터뷰를 통해 밝혔다. 게다가 해당 메일 서버를 관리하는 ‘비정부직’ 근무자들 역시 클린턴의 이메일 서버에 얼마든지 접근할 수 있다고, 또 다른 취약성도 드러냈다.

비니에 따르면 클린턴의 이메일 환경설정 상태는 “국가 기밀을 다루는 지위에 있는 사람이 마땅히 지켜야 할 바를 모조리 위반하고 있다”라고 묘사해도 될 정도. 심지어 해당 인터뷰를 통해 비니는 자신의 이메일 서버가 그런 환경설정을 가지고 있었다면 아마 오래 전에 감옥에 갔을 것이라고도 말했다. 이는 지난 주 “적국의 해킹에 노출되었을 가능성이 매우 높다”고 해당 메일 서버에 대해 언급한 로버트 게이츠(Robert Gates) 전직 국방부장관의 말과 일치한다.

이처럼 내부자의 위협, 정책 및 관리체제의 허점, 개개인의 해이 등 사이버 보안이 IT 기술의 그것에서 사람의 문제로 초점이 바뀌고 있는 시점에서 미국 인사관리처는 올해 천명의 보안 전문인들을 채용한다는 계획을 밝혔다. 이에 대해 업계는 한 편으로는 일자리가 늘어난 것에 대해 환영하면서도 다른 한 편으로는 ‘잠재적 문제들만 더 키우는 것 아니냐’는 불안을 제기하고 있기도 하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>