유명 침투 테스터, “해커들은 천재 아니지만 지적 호기심 강하다”
해킹 실력 갖춘 10대들, 부모가 가정에서부터 좋은 방향으로 이끌어야

[보안뉴스 문가용 기자] 각종 사이버 범죄를 저지르는 해커들은 어떤 사람일까? 일반인들에게 ‘해커’의 이미지는 고정적이다. 머리를 풍성히 기르고, 조직이나 일당의 두뇌 역할을 하며, 빠른 타자로 1~2분 내에 세상 모든 금고를 열줄 알고 그 어떤 비밀번호도 순식간에 깨버리는 천재가 바로 그것이다. 게다가 실제로 각종 해킹 사고가 발생하는 통에 이들의 ‘천재 이미지’는 굳어져만 간다.


하지만 어제 추석특집에서 짚었듯이 해커들은 처음부터 유리한 위치에 놓인 이들이다. 가끔 실력이 좋은 해커가 있을 수도 있지만, 보안 전문가들 사이에도 뛰어난 천재들이 많다. 운동장이 기운 탓에 해커들만 부각될 뿐이다. 지난 30년 간 정보보안 분야에서 활동하며 여러 범죄조직의 뒤를 잡고 해커들의 범죄 시도를 무력화시킨 바 있는 로저 그라임스(Roger Grimes) 역시 보안 분야의 ‘고수’ 중 하나다. 본지는 그가 세계적인 보안 교육 전문기관인 (ISC)2를 통해 써낸 저서 ‘Hacking the Hackers’를 바탕 삼아 가상 인터뷰를 진행했다.

보안뉴스 : 해커들은 천재인가, 아닌가?
로저 그라임스 : 컴퓨터 해킹과 관련된 주제로 영화나 소설을 쓰는 작가들이 해커들에 대해 지나치게 로맨틱하다. 그래서 해커들은 무슨 신적인 존재처럼 그려진다. 신비로울 정도로 똑똑하고, 모르는 것이 없고 심지어 꽤나 잘 생기기까지 했다. 해커들 앞에서 비밀 따위는 없을 정도이지만, 밤샘 작업을 해대는 작업장은 지저분하고 온갖 에너지 드링크와 술이 널려 있다. 어두운 세계의 빌 게이츠나 마크 저커버그쯤으로 인식하고 있는 듯 하다.

사실과 크게 동떨어져 있는 이미지다. 나 역시 수도 없이 많은 시스템에 한 번도 실패 없이 침투해봤지만 양자 물리학이나 아인슈타인의 상대성 이론을 이해해본 적이 한 번도 없다. 아니, 심지어 고등학교 때는 영어 시험을 두 번이나 낙제했고, 대학 첫 학기 때 평균 학점은 0.62점이었다. 이런 나를 천재라고 하겠는가? 30년 동안 많은 해커들을 만나봤지만 이들에게서 특이한 천재성을 발견하지는 못했다. 아마도 해킹 기술이라는 것이 일반인들에겐 어떤 신비로운 마술처럼 보이는 것 같다.

보안뉴스 : 그렇다면 보안을 담당하는 자들은 어떤가?
로저 그라임스 : 보안만이 아니라 방어를 하려는 위치에 있는 사람은 누구나 공격자보다 한 발 앞서 있어야 한다. 그들을 머리 꼭대기에서 내려다 봐야 하는데, 그러려면 공격자보다 더 똑똑한 것이 일반적이다. 공격자와 공격 기술에 대해서 잘 이해하고 있어야 함은 물론이고 그걸 막는 방법도 알고 있어야 하니, 보안 담당자가 더 천재에 가깝다. 내가 보안 전문가라서 하는 말이 아니다. 책임을 져야만 하는 위치에 있는 사람과, 그냥 일을 저지르면 되는 사람 사이에는 차이가 있을 수밖에 없다. 내가 머리가 나쁘고 공부를 못해봐서 아는데, 사람을 특정 분야에 한해서라도 똑똑하게 만드는 것에는 ‘성실한 책임감’이란 것이 있다.

보안뉴스 : 그렇다면 해커는 컴퓨터를 일반인보다 조금 더 잘 다루는, 그저 도덕심이 부족한 부류인가?
로저 그라임스 : 약간은 해커를 낮추는 듯한 답을 하긴 했지만 해커들에게는 해커들만의 특별함이 있다. 거의 모든 해커들에게 나타나는 공통점이 있는데, 바로 지적 호기심이 강하다는 것과 정해진 틀 밖으로 걸음을 딛는 것에 두려움이 적다는 것이다. 공인된 길, 모두가 인정하는 길이 아니더라도 그들은 대담하게 걸어갈 줄 안다.

내가 만난 컴퓨터 해커들은 대부분 삶에서도 해커였다. 요즘 영미권에서는 해킹이라는 단어가 삶의 여러 곳에서 ‘요령’ 혹은 ‘이해하기’, ‘파악하기’, ‘익히기’ 등의 의미로 사용된다. ‘농구 해킹’이라고 하면 ‘쉽게 농구 배우기’ 혹은 ‘농구 요령 익히기’ 등의 뜻이 되고, 집에서 직접 가구를 만들거나 캠핑 노하우에 대한 책자들도 ‘해킹’이라는 제목을 달고 나온다. 그러니까 해커들이 삶에서도 해커였다는 건, 컴퓨터 외에 여러 가지 일들에서 요령을 잘 찾곤 한다는 것이다.

공항 검색대를 지날 때 아무런 무기와 공격 의도를 갖고 있지 않음에도 무기를 어떻게 걸리지 않고 빼돌릴까를 상상하곤 하는 게 바로 해커들이다. TV를 살 때면 OS가 궁금해지고, 어떻게 접속할 수 있을까부터 궁리하는 게 해커들이다. 콘서트 티켓을 보면 ‘나도 똑같은 걸 위조할 수 있을까?’를 생각하는 게 해커들이다. 그런 불법 행위나 공격의 의도가 있든 없든 말이다.

또한 해커들은 매우 끈질긴 편이다. 이것은 지적 호기심과도 연결되는 부분인데, 자신이 원하는 걸 이룰 때가지 몇 날 며칠이고 버텨내며, 이뤄냈을 때의 기쁨을 잘 이해하고 있다. 보통 방어하는 자의 실수 한 번으로 보안이 다 허물어진다고 하는데, 이는 그만큼 보안이 어렵다는 뜻이기도 하지만 해커들이 그 실수 한 번을 놓치지 않을 만큼 집요하다는 뜻도 된다. 사이버 공간에서의 공격과 방어는 보통 끈질긴 자가 승리를 차지한다.

보안뉴스 : 아까 침투에 한 번도 실패한 적이 없다고 말했다. 정말인가? 될 때까지, 끈질기게 한 결과인가?
로저 그라임스 : 보안 업무 중 가장 좋아하는 게 바로 침투 테스트다. 난 침투 테스트야 말로 가장 진정한 의미의 해킹에 가깝다고 생각한다. 물론 허가가 합법적으로 떨어진 침투 테스트만을 말한다. 그 외의 것은 전부 - 현재의 법 체제 아래서는 - 불법이다.

아까 말한 대로 한 번도 침투 테스트에서 침투에 실패해본 적이 없다. 그러나 끈기와는 크게 상관이 없는 성공이다. 왜냐하면 대부분의 경우 한 시간도 안 돼서 침투에 성공했기 때문이다. 가장 오래 걸린 게 불과 세 시간이었다. 보안이 튼튼하다고 알려진 은행, 정부 기관, 병원, 대기업에 의뢰를 받았을 때도 마찬가지였다.

내가 뛰어난 해커라서? 아니다. 난 객관적으로 평균보다 아주 조금 더 잘하거나 그와 비슷한 수준의 침투 테스터일 뿐이다. 10점 만점에 6점, 잘 해봐야 7점 정도다. 난 방어에 자신 있지 공격에 자신 있는 사람이 아니다. 그런 내가 1시간 이내에 대부분의 공격을 성공시켰다는 건 시사하는 바가 크다. 어쩌면 해커들이 뛰어난 게 아니라 우리가 허술하다는 의미로도 해석할 수 있으니까 말이다.

보안뉴스 : 아무리 허술해도 그렇지, 그렇게까지 성공률이 높다는 건 해킹 기술이 특별히 발전했다고 볼 수도 있는 부분 아닐까? 해킹은 도대체 어떻게 하는 것인가?
로저 그라임스 : 해킹의 비밀은, 바로 해킹에 아무런 비밀이 없다는 것이다. 해커들도 전기 기술자나 건축자나 에어콘 설치 기술자처럼 자신들이 가진 도구들의 올바른 사용법을 계속해서 익히고 공부해나갈 뿐이다. 해킹은 실제 해커들에게 있어 사실 하나의 학습 과정에 지나지 않을 지도 모른다. 자신들의 지적 호기심을 충족시키는 과정 중에 해킹이 일어나는 것이라고도 볼 수 있다. 물론 금전적 욕심을 충족시키는 과정 중에서도 해킹이 발생하지만 말이다.

그렇다고 해도 해커들이 대략적으로 지켜내는 절차가 있긴 하다. 이는 사람마다 다르고, 작업의 특성에 따라 달라지기에 ‘표준적인 절차’라고까지 말할 순 없지만, 어느 정도 일반화된 과정으로 볼 수도 있다. 그것은 1) 정보 수집, 2) 침투, 3) 미래 공격 위한 통로 확보, 4) 내부 정찰, 5) 네트워크 내 이동, 6) 악성 행위 실시, 7) 흔적 감추기다. 여기서 7번이 간과되곤 하는데, 여기서 프로와 아마추어가 갈리기도 한다.

보안뉴스 : 해커의 기술을 가졌지만 침투 테스트를 합법적으로 하는 당신도 사기 기술에 가까운 소셜 엔지니어링을 구사할 줄 아는가?
로저 그라임스 : 어느 정도는 그렇다. 우리 세계에서 소셜 엔지니어링이란 ‘사람 속이기’에 불과하다는 게 맞다. 해킹 범죄도 따지고 보면 실제 물리 세계에서 일어나는 사기와 속임수 등이 온라인으로 옮겨온 것 뿐이라는 걸 생각해봤을 때, 소셜 엔지니어링 기술이 가장 흔한 해킹 기술 중 하나라는 건 당연한 일이다. 소셜 엔지니어링은 기술력으로 막을 수 없다는 특징도 있어 해커들에겐 매우 유용하다. 요즘은 SNS와 이메일이 활성화 되어 소셜 엔지니어링 대부분이 여기서 일어나는데, 사실은 편지, 전화, 개인적인 만남 등을 통해서도 공격이 가능하다. 가장 흔한 소셜 엔지니어링 공격 기술은 피싱이다. 트로이목마 류의 멀웨어를 사용해 정탐하는 방법도 많이 사용된다.

보안뉴스 : 소셜 엔지니어링은 어떻게 막아야 하는가?
로저 그라임스 : 기술로 어떻게 해볼 수 없는 게 소셜 엔지니어링이라고 밝혔다. 피싱을 막으려면 교육이 반드시 병행되어야 한다. 당대 유행하는 피싱 공격 유형을 알려주고, 실제 사례를 보여주고 ‘민방위 훈련’도 모의적으로 실시해야 한다. 조직들은 비정기적으로 피싱 공격을 가짜로 실시해 직원들이 어떤 것에 가장 많이 속고, 누가 가장 약한지 파악하는 것이 좋다. 솔직히 모두가 거의 매일 항상 인터넷에 연결되어 있는 요즘 시대에, 모든 사용자가 소셜 엔지니어링에 대한 교육을 받는 건 필수라고 볼 수 있다.

많은 사람들이 PC와 모바일에 익숙해지면서 담대해지고 있는 것도 문제가 될 소지가 크다. 특히 모바일을 탈옥시키거나 루팅해서 검증되지 않은 웹사이트에서 애플리케이션들을 아무렇지도 않게 설치하는 사람들이 점점 많아지고 있는데, 대단히 위험한 현상이다. 물론 공식 앱스토어들도 공격에 안 당하는 건 아니지만, 그래도 서드파티보다는 낫다.

사회 전체적으로는 ‘비밀번호’에서부터 벗어나는 것도 필요하다. 소셜 엔지니어링의 목표는 대부분 ‘비밀번호’다. 목표가 없어지면 공격도 줄어들지 않겠나. 게다가 비밀번호가 보안에 미치는 영향이 그리 좋다고 생각하지 않는다. 비밀번호만 있으면 안전하다고 믿게 되는 것도 문제고, 비밀번호라는 게 낡은 보안 체제라는 것도 문제다. 우리에겐 다른 인증 장치가 필요하다.

보안뉴스 : 말이 나온 김에 우리도 교육해 달라. 컴퓨터를 지키려면 어떻게 해야 하는가?
로저 그라임스 : 보안 업계에서는 고전이 되어버린 농담이 있다. 컴퓨터를 안전하게 지키려면 해야 하는 세 가지 일에 관한 것으로, 1) 네트워크 카드를 빼고, 장롱에 넣고 잠그라, 2) 키보드를 없애라, 3) 최종 사용자를 없애라, 인 것으로 기억한다. 농담이긴 하지만 네트워크 카드, 키보드, 최종 사용자가 보안의 가장 큰 구멍인 것은 분명하다. 다만 없앨 수 없다는 게 우리의 딜레마다.

저 세 가지 구멍을 모두 메울 수 있는 건 결과적으로 교육뿐이다. 모든 사람이 사이버 보안에 대한 지식을 상식처럼 가지고 있어야 한다고 생각하지만, 그것이 지나친 이상이라면 현대 보안 학과의 커리큘럼을 고치는 것만이라도 이뤘으면 좋겠다. 몇몇 기술 업체들의 힘만으로 보안이 해결되리라 믿는 사람은 아무도 없다.

하지만 ‘교육’이라고 하면 너무나 광범위한 개념이다. 그래서 나라마다, 학교마다 접근 방법이 다르고 교수들 마다 가르치는 방법도 다르다. (ISC)2의 CISSP처럼, 어느 덧 표준처럼 자리 잡게 된 국제 인증이 그나마 가장 안정적이다. 해커의 입장에서 생각했을 때 사람들이 이런 교육을 받으면 해킹이 쉽지 않겠다고 느껴지는 교육 과정은 다음과 같다.

1) 최종 사용자 보안 인식 교육 : 안전하게 PC와 모바일을 사용할 수 있도록 하는 교육이다. 어떤 행동으로 우리는 해커에게 노출되는지, 해커가 사용자에게 감사함을 느낄 때가 언제인지 알려주는 것이 효과적이다. 모든 일반 사용자들이 받으면 좋을 것이다.

2) 전반적인 IT 보안 총론 : 일반 사용자가 아니라 IT 부서 직원들이 받으면 좋을 것으로 보인다. 해킹 기술에 대해 전반적으로 알려주는 것으로, 전문가의 보안 의식을 전문적인 수준에 맞게 높여주는 것이라고 볼 수 있다. 보안 인력이 모자라는 요즘 좋은 대안이다.

3) 사건 대응 : 이건 조직별로 훈련되어야 한다. 모든 사람이 모든 사건에 대해 알 수도 없고 훈련 받을 필요도 없다. 조직에 특정되는 공격 시나리오에 대해서만 연습하면 된다. 현대의 해킹은 빠르게 대응해야만 피해가 커지는 걸 막을 수 있기 때문에 이 훈련은 매우 중요하다.

4) OS와 애플리케이션 훈련 : 세상엔 OS도 많고 애플리케이션도 많다. 그렇지만 분명히 대다수 인구가 사용하는 주류가 존재한다. 그런 OS와 애플리케이션들에 대해서는 개발업체에서 보안 매뉴얼과 훈련 기회를 제공해야 한다. 사용자들이 어떻게 해야 안전하게 자사 제품을 사용할 수 있는지 알려줘야 한다.

보안뉴스 : 중고등학생들의 해킹 실력도 뛰어난 것으로 알고 있다. 스크립트 키디(script kiddie)라는 말도 있는데, 이들에게는 어떤 교육이 필요할까?
로저 그라임스 : 지난 20년 간 ‘우리 아이가 해킹을 하는 것 같다’는 부모들의 상담 요청을 상당히 많이 받아왔다. 여기서 말하는 해킹은 당연히 ‘나쁜 쪽’의 해킹을 말한다. 부모들은 이들의 기술을 좋은 방향으로 돌리고 싶어 하고, 그건 당연히 정보보안 분야다. 나 역시 그런 부모의 입장이 되어본 적 있다. 아들 녀석이 자꾸만 해킹 장난을 하는 것이었다. 물론 범죄 수준까지는 아니었지만 학교에 심심찮게 불려 갈만한 일이었다. 다행히 초기 단계에서 이를 파악했기 때문에 ‘화이트 해킹’쪽으로 관심을 돌릴 수 있었다.

즉, 아이를 미리 파악하는 게 중요하다. 해킹을 처음 시도해보는 아이들의 특징이 몇 가지 있다. 먼저는, 해킹을 성공한 것에 기뻐서 스스로 말하는 아이들이 있다. 여기에 속하는 아이들은 대부분 ‘해킹 범죄’가 무엇인지 전혀 이해하고 있지 못하다. 그러니 가르쳐주면 된다. 반대로, 지나치게 자신의 온라인 생활에 대해서 감추려는 아이들이 있다. 물론 사춘기 아이들이 대부분 자신의 프라이버시를 지키기 위해 민감하게 굴지만, 더 유별난 경우가 있을 것이다.

예를 들어 꼼꼼하게 매번 쿠키를 지워낸다거나, 브라우저 히스토리를 삭제한다면 뭔가 수상하다. 이럴 땐 부모로서 주의를 기울일 필요가 있다. 이메일이나 SNS 계정이 여러 개 있고, 본 계정 외에 부모에게는 공개하지 않는다면, 이 역시 조금은 이상할 수 있는 일이다. 부모가 나타날 때마다 알트-탭 화면 전환을 한다는 것도 수상한 일이다.

여기서 한 가지 강조하고 싶은 게 있다. 위에서 말한 ‘수상한’ 일들이라는 게 사춘기 아이들에게 흔히 나타날 수 있다는 것이다. 그 나이대의 아이들은 부모들 눈 밖에서 자신만의 세계를 구축해나간다. 그러니 무조건 의심하지 말고 직접적인 증거가 나타날 때까지는 관심을 가져주는 게 먼저다. 게다가 해킹이 무조건 나쁘다고 말 할 수는 없다. 얼마든지 좋은 방향으로 돌려줄 수 있다.

그래서 애초에 집안에 컴퓨터를 들일 때 각자의 방이 아니라 가족들이 오가는 거실에 설치하는 걸 권장한다. 처음 컴퓨터를 접할 때부터 은밀하지 않도록 하는 게 중요하다. 또한 어떻게 해야 안전한 건지 알려줘야 한다. 많은 부모들이 ‘좋은 게 뭔지 알 것이다’라고 지레 짐작한다. 또, 해킹 기술을 가지고 있다는 걸 알았다면 합법적으로 마음껏 해킹할 수 있는 곳을 알려주는 것도 중요하다. 버그바운티를 활용하는 것도 좋은 방법이다.

[추석특집 시리즈]
1. 공격과 네트워크와 관련된 조각난 기본지식들 모아보기(화)
2. 왜 보안은 그다지도 약한 것인가?(수)
3. 해커란 누구인가?(오늘)
4. 사이버 범죄 일상화의 시대에서 개인의 보안 지키기(금)
5. 온라인에서 존재를 완전히 감추는 방법(토)
6. 윈도우 파워셸에 관해 알아보자(일)
7. 요즘 각광 받는 데이터 과학의 기본기(월)

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>