데이터 주권, 어디에 귀속되는가?... 이중 인증 대중화될까?
구글의 덩치와 자주권은 계속해서 불어나고
지독한 랜섬웨어 다시 등장

[보안뉴스 문가용 기자] 연휴가 길면 길수록 일상으로의 복귀가 아쉬워지는 게 일반 직장인의 마음이다. 주말이 낀 이번 4일 연휴 정도면 복귀가 힘들 정도는 아니지만, 휴일과 주말만 주로 노리는 사이버 공격자들의 특성도 그렇고, 음력 설이 해외에서는 명절이 아니기 때문에 업계 내 움직임도 있었을 것이 분명해 4일치 업무가 기다리고 있을 거 같은 기분이 꽤나 묵직하다. 그 묵직함, 조금이라도 가벼워지시라고 지난 4일 동안 업계 내 있었던 주요 소식들을 간추려 모아보았다.

1. 마이크로소프트의 재판
데이터의 프라이버시는 저장 위치에 따라 달라져야 할까? 아니면 저장 관리 기관 및 업체의 국적에 따라 변경될 수 있는 걸까? MS와 미국 정부의 대립이 점점 더 심화되고 있다. MS가 유럽 더블린에 마련한 데이터베이스 내에 저장되어 있는 개인 이메일을 미국 정부가 요청을 했다면 이는 프라이버시 침해다. 하지만 그것이 마약 사건의 수사를 위해서라면 논란이 시작된다.

지난 7월 14일, 미국 순회 재판소는 MS의 손을 들어주었다. 데이터는 미국 영토 바깥에 저장되어 있기 때문에 미국 정부가 이를 열람할 권한이 없다는 것이었다. 하지만 얼마 전 연방 항소법원에서 이 사건에 대한 판결이 정확히 4:4로 갈렸다. MS가 애초에 미국의 기업이고, 해당 사건이 강력 범죄와 연루되어 있기 때문에 수사권이 우선시 되어야 한다는 주장이 어느 정도 설득력을 가졌기 때문이다. 프라이버시와 수사권 문제, 데이터 주권(data sovereignty)이라는 문제가 풀릴 줄을 모르고 있다.

2. 페이스북, 이중 인증 위한 물리키 도입
비밀번호에 대한 사용자들의 안전불감증이 도저히 고쳐지지 않자, 업계는 이중 인증이라는 답을 내놓고 있는 상황이다. 이미 비밀번호를 두 번 입력해야 하거나, 바이오메트릭스 단계를 한 번 더 거치는 인증 방법이 활성화되고 있는 가운데, 페이스북도 새로운 이중 인증 옵션을 마련해 발표했다. 특이하게도 물리키를 활용한 방법이다. 이 옵션을 활용하려면 하드웨어를 따로 구매해야 한다.

이 물리키 하드웨어는 유비코(Yubico) 등과 같은 업체에서 구매가 가능하며, USB 포트에 꽂은 뒤 페이스북 로그인 시 가볍게 터치하는 것으로 이중 인증 과정을 완성시킨다. 또한 FIDO 얼라이언스(FIDO Alliance)에서 발표한 U2F 표준을 따르고 있어, FIDO 얼라이언스 입장에서는 매우 큰 성과라고 볼 수 있다. 구글, 드롭박스 등 주요 온라인 서비스의 이중 인증 옵션과도 호환이 되는 이 물리키가 앞으로 인터넷 인증 문화를 어떤 식으로 변화시킬지 역시 더 지켜봐야 할 부분이다.

3. 구글, 자체 최상위 인증기관 발족
구글이 인증서 문제를 자체적으로 해결하겠다고 나섰다. 구글이 자체적으로 개발하고 공급하고 있는 다양한 온라인 서비스에 대하여 스스로 최상위 인증서를 발급할 수 있도록 구글 트러스트 서비스(Google Trust Service)라는 새로운 조직을 창설한 것. 물론 아무리 구글이라고 해서 이런 기관을 뚝딱 만들어낼 수는 없다. 그래서 최상위 인증 기관인 글로벌사인 R2(GlobalSign R2)와 R4를 인수했다. 현재 구글이 운영하고 있는 인증 기관인 GIAG2는 당분간 유지할 계획이라고 한다.

이에 대해 찬성과 지지를 보내는 이들도 있지만 대부분은 인터넷 공간 전체에서 구글의 영향력이 지나치게 불어나고 있다는 의견이다. 구글은 보안을 이유로 주요 웹사이트들이 HTTP 대신 HTTPS를 도입할 수밖에 없도록 사실상 강제한 바 있으며, 잘못된 인증서를 발급한 세계 여러 인증 기관들을 적발하고 만료 및 철회된 인증서를 관리하자는 인증서 투명성(Certificate Transparency) 로그를 시작해 사실상 인증서마저 관리하는 저력을 보여주기도 했다.

4. 유럽에서는 사이버 테러 위협 증가
미국은 세계 1위의 해킹 피해국이라 늘상 사고가 터지고, 한국은 북한이라는 존재가 호시탐탐 노리고 있어 언제 또 한수원 사태나 농협 사태가 터질지 모르는 곳인 것처럼, 유럽은 무슬림 극단주의자들의 테러 행위에 대한 불안감이 도처에 널려 있는 곳이다. 특히 최근 산업 주요 시설과 사회 기본 인프라에 대한 사이버 공격이 늘어나면서 이를 노린 사이버 테러리즘을 조심해야 한다는 목소리가 커지고 있다.

조금 새삼스러울 수 있는 이런 의견들이 왜 갑자기 불거진 것일까? 랜섬웨어 때문이다. 랜섬웨어가 큰 성공을 거두며 지하 시장에서 다양한 사이버 공격 서비스가 개발되었고, 이 때문에 ‘내가 직접 공격 기술을 가지고 있지 않아도, 누군가 대신해줄 수 있는 사람이 얼마든지 있다’는 걸 범죄자들이 자각하기 시작했다. 여태까지 유럽 사회를 공격하고 싶지만 그럴 기술이 없어서 위협만 했던 지하디스트들이 용병을 고용할 것까지도 고려해야 한다는 것이다. 실제 얼마 전 유로폴에서 이에 대해 철저히 대비해야 한다고 발표하기도 했다.

5. 버락커 랜섬웨어의 귀환
한국의 정보보안 담당자들이 대부분 고향에 내려가 있는 동안 과거에 악명을 떨쳤던 랜섬웨어가 돌아오기도 했다. 바로 버락커(VirLocker)라는 놈으로 기존의 다른 랜섬웨어와는 차원이 다른 번식력으로 꽤나 많은 이들을 고생시킨 멀웨어다. 거의 모든 종류의 파일에 스스로를 복제하기 때문에 피해자가 자기도 모르게 친구의 기기나 회사 데이터 저장소 등에 버락커를 심는 일이 비일비재했었다. 즉 버락커에 감염되면 단 한 개의 파일도 믿어서는 안 되는 상태가 되는 것이다.

결국 백업된 데이터는 물론 시스템에 원래 설치되어 있던 여러 방어 솔루션 자체도 믿지 못하게 되기 때문에 버락커에 걸리면 포맷만이 답이다. 하지만 버락커의 경우 어디에 또 복제되어 있는지 예측하기가 어려워 포맷을 했다손 치더라도 다시 걸릴 확률이 꽤나 높다고 한다. 골치 아픈 멀웨어가 돌아왔다.

그밖에 시스코 제품 일부와 워드프레스, 크롬의 패치 소식과 미국 하원에 커넥티드 자동차들에 대한 사이버 보안 법안이 제출되었다는 소식도 있다. 하지만 다음 5월 연휴가 빨갛게 익기를 기다리는 마음으로 5번에서 끊는다. Welcome back to security!
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>