보안 개념 없이 제조되는 사물인터넷... 공격 효율 올려줄 머신 러닝
지정학적 관계 속에 파괴적으로 벌어지는 사이버전

[보안뉴스 문가용 기자] 보안 전문가들이 항상 집중하고 있는 건 무엇일까? 시시각각 변하는 위협 요소들과, 새로운 기법의 공격 방법들, 그리고 새롭게 떠오르는 신기술들이다. 그런데 이런 요소들은 대부분 ‘섞여서’ 나타난다. 새로운 기술이면서 새로운 공격방법이며, 그러므로 새로운 위협거리로서 다가온다는 것이다.


일례로 사물인터넷이 있다. 이젠 ‘신기술’이라고 보기엔 우리에게 너무나 익숙한 용어가 되어버렸지만, 등장한 때부터 새로운 위협거리였으며 공격 통로였다. 사업의 확장과 업무 수행의 용이성을 위해 각종 신기술들이 들어올 때 위협거리들도 함께이며, 여기에 여러 지정학적 관계들도 엮여들기에 위협을 판단하는 일은 생각보다 복잡하고 쉽지 않게 된다. 지금 이 시각 보안 전문가들의 가장 큰 관심사들을 꼽아보면 다음과 같다.

사물인터넷
사물인터넷이라는 이름부터 너무 성급하게 대중에게 풀려버리는 바람에 문제는 전혀 해결되지 않은 채 ‘익숙한 것’이 되어버렸다. 뭔가에 익숙해질 때 사람들은 실수를 저지르거나 해이해지고 그럴 때 공격 성공률이 높아진다. 그런데 사물인터넷이란 게 실제로는 전혀 익숙한 것이 아니라는 것도 큰 문제다. 익숙하지 않은 것에 이른 익숙함을 느낀다는 건, 사고의 전초다.

사이버 보안 전문업체인 옵티브(Optiv)의 CISO인 돈 마리 허친슨(Dawn-Marie Hutchinson)은 “사람들이 사물인터넷에 대한 이해를 전혀 못하고 있다는 것도 놀랍고, 그러면서도 사물인터넷은 한물 간 소재라고 생각하는 것은 더 놀랍다”며 “사람들의 이런 태도가 불길하게만 느껴지는 건 비단 내가 보안과 관련된 직업을 가지고 있어서만은 아닐 것”이라고 말한다.

사물인터넷에 대한 기업들의 관심은 고조되고 있다. ‘스마트’한 기기들을 구입하는 기업들은 늘어만 가고 있으며, 이런 기기들이 소비되는 속도는 보안 문제가 해결되는 속도를 크게 상회한다. 사물인터넷 기기를 만드는 사람이나 사는 사람이나, 보안이라는 개념은 전혀 탑재하지 않고 있는 것도 현실이다.

KPMG의 위협 첩보 전문가인 셰릴 비스와스(Cheryl Biswas)는 “사물인터넷을 통한 발전과 혁신을 꾀하는 마음은 알겠고, 그걸 동력삼아 성장하는 시장이 있다는 것도 이해하겠는데, 누굴 위한 발전이고 혁신인지 모르겠습니다. 솔직히 사물인터넷 기기가 정말 꼭 필요한 필수적인 요소인가요? 그거 없으면 세상이 멈추나요? 아니죠. 그저 발전만을 위한 발전, 관성에 의한 제조일 뿐입니다”라고 말하기도 한다.

경쟁 원리에 입각해 시중에 나오는 사물인터넷이란 발명품들에는 보안이라는 요소가 전혀 첨가되지 않고 있는데, 이는 소비자나 기업들에게 시한폭탄을 하나씩 안겨주는 것이나 다름이 없다. 째깍째깍 시간만 보내고 있던 사물인터넷 폭탄이 처음 팡 하고 터진 것이 바로 작년 말 발생한 미라이(Mirai) 봇넷 사건이며, 이번 달 초 발견된 페르시라이(Persirai) 봇넷이다.

파이어아이(FireEye)의 CEO인 케빈 맨디아(Kevin Mandia)는 사물인터넷이란 멋진 공격거리를 확보하게 된 공격자들은 앞으로 창조적인 능력을 더 발휘할 것이라고 경고한다. 특히 사용자들간에 형성되어 있는 ‘신뢰’를 적극 공략할 것이라고 설명한다. “왜냐하면 사물인터넷의 기본바탕은 ‘통신’이며, 우리가 가지고 있는 통신 체계는 ‘신뢰’를 바탕으로 이루어지고 있기 때문입니다. 웨어러블이 유행하기 시작한 이 때, 이는 너무나 치명적인 결과를 낳을 것입니다.”

머신 러닝
사이버 범죄자들의 행위는 크게 두 가지로 나눌 수 있다. 기존의 잘 알려진, 쉽고 빠른 방법으로 공격을 성공시키는 것과 새로운 방법과 기술들을 실험해보는 것이 바로 그것이다. 그리고 그들은 현재 우리만큼이나 인공지능이나 머신 러닝에 몰두하고 있다. 물론 우리와는 사뭇 다른, ‘공격’이라는 방향에서의 접근이긴 하지만.

“현재 인공지능이나 머신 러닝이 대두되는 이유는 생산되는 정보가 너무 많아서입니다. 사람이 아무리 동원돼도 처리할 수 없는 양의 정보가 쌓여만 가니까 기계의 힘을 빌려보고자 하는 건데요, 이는 우리에게도 좋은 소식이긴 하지만 악성 행위자들에게도 마찬가지입니다. 그들도 정보 처리가 빠르게 되면 될수록 공격 대상자들을 더 빨리 가려내고 공격 효율을 높일 수 있으니까요.”

맨디아는 “미래의 공격자들은 머신러닝과 사람 사이의 관계성에 많이 주목할 것”으로 예상하고 있다. “애초에 의지하기 위해 개발한 머신 러닝이기 때문에, 언젠가 우리 삶은 인공지능과 깊은 관계를 맺게 될 것입니다. 그러나 머신 러닝이 내놓는 결과의 원리를 대부분의 사람들은 이해할 수 없겠죠. 아마 이 부분을 공격자들이 노리고 들지 않을까 합니다. 머신 러닝 알고리즘에 대한 사람들의 신뢰를 깨부수는 게 그들의 공격 원리가 될 것입니다.”

이에 대해 보안 업체인 아노말리(Anomali)의 부회장 안토니 아라그스(Anthony Aragues)는 “머신 러닝은 주어진 모든 정보를 거르지 않고 소화한다”며 “결정을 내리는 원리에 대해 아무도 알지 못하며, 그러므로 전혀 투명하지 않게 결정이 만들어진다”고 말해, 사실상 맨디아의 의견을 뒷받침했다. “공격자들이 머신 러닝 알고리즘 자체를 공격하는 건 쉽지 않을 것이지만, 머신 러닝에 공급되는 정보를 조작할 수는 있을 겁니다. 이 부분에서의 공격이 우려됩니다.”

국가 간 사이버전
사이버전이 더 극심해질 것이라는 것도 보안 전문가들의 골칫거리이다. 신용도 평가 기업인 트루스타(TruSTAR)의 CEO 폴 커츠(Paul Kurtz)는 “곧 데이터 유출 사고가 빈번히 일어나던 때가 그리워질 시기가 올 것”이라고 말한다. “여태까지 우리가 다뤄왔던 보안 사고들은 아무 것도 아닙니다. 국가들이 적국을 겨냥해 해킹하면 어떤 일들이 벌어지는지 아세요? 데이터만 잃어버리고 마는 게 아니라 시스템 전체가 사라집니다. 게다가 이런 수준의 공격 툴이 자꾸만 공개되는 바람에 사이버전 수준의 공격이 곧 일상화될 예정이기도 하죠. 사실 지금이 평화로운 때였다, 라고 토로할 날이 올 겁니다.”

커츠는 특히 중국과 러시아가 이 부분에 있어서 국제사회의 커다란 위협거리로 이미 자리 잡았다고 주장한다. “이들의 사이버전 수행 능력은 상식처럼 누구나 아는 것이 되었어요. 그것만으로도 이미 외교나 국제 정세에 영향을 미치고 있죠. 또 북한과 이란도 무섭게 치고 올라오고 있습니다. 이들까지 중국과 러시아처럼 행동하기 시작하면 어떨까요? 그 날이 곧 옵니다.”

맨디아는 “이미 그런 시대가 왔다”는 입장이다. “사이버전 수행자들 역시 우리의 기본적인 ‘신뢰 구조’를 공격합니다. 이것이 가장 적나라하게 드러나는 게 바로 스피어피싱 공격이죠. 아는 사람인 것처럼, 익숙하게 방문해왔던 사이트인 것처럼 위장해 특정 인물을 현혹시키는 행위 말입니다. 이게 바로 신뢰를 노리는 겁니다. 사이버전의 90%는 이 스피어피싱을 통해 이뤄집니다.”

또한 맨디아는 “현재 파이어아이는 금전적인 목적을 가진 일반 사이버 범죄보다 국가 간 사이버전 관련 사건을 더 많이 수사하고 있다”며 사이버전이 양적으로 증가했음을 표현했다. 맨디아는 사이버전이 증가할 수밖에 없는 게 “아무런 리스크가 없기 때문”이라고 분석하고 있다. “공격이 실패하거나 발각되었을 때 감수해야 할 것이 아무 것도 없습니다. 그냥 ‘우리가 아니다’라고 발뺌하거나 ‘왜 우리한테 근거 없이 비난하냐’고 오히려 화를 내면 됩니다.”

어떻게 대처해야 하나
보안 전문가들의 현 시점 최고 관심사는 사물인터넷, 인공지능, 사이버전이다. 그만큼 그 세 가지가 위험하다는 뜻이다. 일반 사용자들은 여기에 어떻게 대처해야 할까? “사물인터넷의 경우 사실상 우리 주위의 모든 물건들이 디지털화 되고 있다고 생각해야 합니다. 생각지도 못한 것들이 디지털 기능을 입고 나와요.” 아이오액티브(IOActive)의 다니엘 미슬러(Daniel Miessler)가 설명한다.

“구매하겠다는 것까지 막을 순 없어요. 하지만 충분히 조사를 해보고 샀으면 좋겠고, 구매 후에도 충분한 실험 기간을 갖고 나서 사용하기 시작하기를 권장합니다. 특히 회사라면 더더욱이요. 구입한 사물인터넷 기기에 어떤 데이터가 저장되거나 송신되는지, 어떤 센서를 통해 어떤 정보가 수집되는지, 송신 시 데이터가 어디로 어떻게 가서 어떻게 저장되는지 등을 살펴야 합니다.”

머신 러닝(인공지능)의 경우는 어떨까? 아라그스는 “머신 러닝이 내놓은 결과를 다 믿어버릇하지 말라”고 경고한다. “인공지능이나 머신 러닝의 알고리즘은 일반인이 이해하기 매우 어렵습니다. 그렇지만 사용자로서 머신 러닝이나 인공지능이 대략 어떤 원리로 결과를 내놓는지는 유추해볼 수 있습니다. 마치 수학 시험볼 때 문제를 보고 대략의 답을 예상할 수 있다면 결과가 더 정확해지는 것처럼, 머신 러닝을 몇 번 사용해보고 나온 결과에 대해 곰곰이 생각해볼 필요가 있다는 것이죠. 알고리즘을 다 이해하라는 게 아니라, 머신 러닝이 내놓는 답이 평소와 같은지 다른지 정도는 파악할 정도로 생각해가며 사용하라는 겁니다.”

또한 IBM의 보안 책임자인 다이애나 켈리(Diana Kelley)는 “일반 사용자를 대상으로 한 보안 교육도 이뤄져야 한다”고 주장한다. “앞으로 사이버 공격은 보다 파괴적이고 폭력적으로 변할 것인데, 이에 대해 일반인들에게 경고해주는 게 마땅하다고 봅니다. 그들이 듣기 싫어하고 귀찮아해도, 우리가 할 일은 해야죠.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>