• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

해킹 사건 시 범인 밝혀내는 것, 필요한 일인가? 2016.03.15

이름 공개, 세간의 이목 이끌어 경각심 높일 수 있어
사이버 범죄 특성상 해커 체포로 얻는 실효 거의 없어

[보안뉴스 문가용] 미국의 사법부는 지난 주 뉴욕에 있는 댐 시스템에 침투한 다섯 명의 이란 해커들에 대한 기소장을 마련했다고 발표했다. 물론 좋은 소식이지만, 보안 전문가로서 두 가지 생각이 동시에 드는 건 어쩔 수 없었다. 하나는 ‘정말 이 다섯 명이 해킹한 게 맞을까?’였고, 또 다른 하나는 ‘해커의 이름을 밝혀내는 게 사이버 보안에서 정말로 필요한 일일까?’였다. 고민을 좀 더 해보자.


1. 이름을 공개한다는 것의 장점
주요 산업 시설에 가해지는 사이버 공격에 대한 경고가 나온 건 이미 오래전의 일이다. 지난 해 말에 있었던 우크라이나의 대규모 정전사태는 그런 공격 가능성이 실제적이며 엄청난 피해로 이어진다는 사실이 잘 드러난 예다. 그것 말고도 독일의 한 공장에서는 사이버 공격으로 인한 물리적인 피해도 발생했었다. 이때 손해액은 무려 1백만 달러에 달한 것으로 알려져 있다. 소비자들 및 대부분 산업 사이에서는 인터넷을 통한 기능수행이 점점 ‘필수적’으로 되어가고 있는 가운데 보안책은 아직도 제대로 수립되어 있지 않다.

그런 분위기 속에서 사법부가 밣힌 다섯 명 해커의 실명은 엄청난 뉴스거리일 수밖에 없었다. 실제로 그 발표 이후 관련 뉴스가 쏟아지기도 했다. 이것의 좋은 점은 무엇일까? 바로 보안과 전혀 상관없는 사람들에게도 경각심을 심어줄 수 있다는 것이다. 보안과 상관없는 사람들이라지만 전부 인터넷 사용자다. 사회기반 시설에 대한 공격뿐 아니라 랜섬웨어, APT, 피싱 등 여러 해킹 공격에 대한 정보보안 방어력을 높이려면 인터넷에 연결된 모든 사람들의 참여가 필요하다. 그렇기에 사법부가 제공한 뉴스거리에는 꽤나 긍정적인 면이 있다.

2. 이름을 공개한다는 것의 단점
댐의 데이터를 상자 안의 쿠키로 바꿔보자. 누군가 상자에 몰래 손을 넣어 쿠키를 가져갔고, 그게 누군지 집요하게 밝혀냈다고 하자. 그런데 누군지 알아내는 데에 3~4년이 걸렸다면? 당장 쿠키를 먹고 싶을 때 이는 아무런 도움이 되지 않는다.

위에서 말한 장점들 외에 이번 댐 사건의 실명이 공개된 시점을 살펴봐야 한다는 주장도 거세다. 해당 사건이 일어나고부터 무려 3년이 지난 시점이다. 스티브 데인스(Steve Daines)라는 연방의원은 “우리나라에서 일어난 악성 공격의 주동자를 3년이나 알아낼 수 없었다는 건 차라리 창피한 일에 가깝다”고 말하기도 했다.

물론 디지털 범죄라는 게 증거인멸과 도주가 매우 간편해 수사가 오래 걸리는 게 보통이다. 심지어 범죄자가 누군지 끝까지 밝혀내지 못하는 경우가 더 많다고도 볼 수 있다. 대부분은 ‘의혹’에 그친다. 그렇기에 데인스 의원의 ‘창피하다’는 의견은 그냥 넘겨들을 수 있다.

그럼에도 이름을 밝히는 게 사이버 범죄 수사에 있어서 큰 의미가 있을까 하는 의문은 가져볼 수 있다. 이름을 밝힌다고 네트워크가 더 강력해지지 않는다. 이번 사건처럼 범인이 해외에 있는 경우, 체포 여부도 불분명하다. 범인 밝히기가 어려운 만큼 시간도 오래 걸리기 마련인데, 그 동안 진범은 얼마든지 도망을 가거나 추가 범행을 하거나 흔적을 더 말끔히 지우는 것도 가능하다. 즉, 이름을 굳이 숨길 필요까지야 없지만 이것 때문에 엉뚱한 힘과 자원이 낭비되는 건 아닐까, 하는 생각이 든다는 것이다.

즉 어떤 면에서 사이버 범죄의 ‘책임자’를 추적하는 건 운전자가 고속도로를 주행하다가 사고 현장을 발견했다며 앞을 보지 않고 고개를 돌려가며, 몸까지 비틀어가며 사고 현장만 계속해서 보는 것과 같을 수 있다는 뜻이다.

3. 가장 이상적인 합의점은?
최소한 현대에서 사이버 공간에서 일어나는 모든 사건 및 사고가 지향해야 할 건 ‘사고? 누가 그랬어? 당장 밝혀내!’가 아니라 ‘사고? 그럼 우리는 제대로 하고 있나?’라는 태도라고 생각한다. 고속도로 주행자라고 치면 사고 현장을 보고 더 핸들을 꽉 움켜잡고 안전벨트를 확인해보라는 것이다. 사이버 공간이나 사물인터넷이 무엇인지 잘 이해하지도 못한 채 달려 나가고 있는 게 지금의 디지털 세상이다. 그것이 우리가 말하는 취약점의 근본이라고 생각한다. 아직은 ‘누가 그랬대?’라는 궁금증보다 ‘그러면 나는?’을 물어야 할 때다.

그렇다면 이번 혹은 3년전 댐 사건에 대해서 우리가 점검해왔어야 하는 건 무엇일까?
- 모뎀과 수문의 통제 시스템이 직접 연결되어 있었어야 했나? 왜?
- 통제 시스템이 방화벽 등을 통하여 인터넷과 분리될 수는 없었나?
- 암호 인증 시스템 외에 더 강력한 인증 원리가 적용될 수는 없었나?
- 모뎀의 연결방식 및 환경설정을 통해 접속자 혹은 접근자를 거를 수는 없었나?
- 이번 사건을 통해서 사회 기반시설이 가진 기술적인 약점들을 얼마나 손보고 해결했나?

글 : 스캇 몽고메리(Scott Montgomery)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>