• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[대중문화와 사이버 개념 이해] 20화. 사이버 정보 훼손 차단방법 2018.01.16

영화 ’아이언맨3‘를 통한 무결성(Integrity)의 이해

[보안뉴스= 박지민 공군 소령, 사이버개념연구회2.0/국군사이버사령부] 사이버 공간에는 복잡한 DB를 비롯해서 다양한 정보가 소통된다. 이 중 우리에게 가장 익숙한 ‘정보’의 형태에는 한글, 워드 등에서 작성되는 ‘문서’가 있다. 몇 년 전부터 구글은 별도의 프로그램 설치 없이 인터넷에 접속해서 바로 문서를 작성할 수 있는 ‘구글 독스(Google Docs)’를 제공하고 있다. 구글 독스와 기존 워드프로세서의 차이점은 ‘협업’이다. 모든 문서는 온라인에서 관리되며, 권한 가진 사용자는 동시에 문서에 접속해 마음대로 수정할 수 있다. 팀 단위 협업 프로젝트에 매우 유용한 기능이다.

▲ 영화 ‘아이언맨3’ 포스터(좌), 악당이 착용하고 있는 아이언 패트리어트 수트(우)[이미지=네이버영화]


무결성을 갖춘다는 것은 비권한자의 무단조작을 방지하는 것이다
만약 같은 협업자의 계정이 노출되어 프로젝트와 관련 없는 사람이 해당 내용을 무단으로 바꾸어 버리면 어떤 일이 벌어질까? 사이버 공간에서는 이렇게 권한이 없는 주체로 인해 정보가 위변조 되는 사례가 발생할 수 있으며, 이것이 무결성이 침해되는 경우이다.

정보보호 개론의 정의에 따르면 무결성은 ‘권한을 가진 사용자에 의해 인가된 방법으로만 정보를 변경할 수 있도록 하는 것’을 말한다. 즉, ‘의도치 않은 수정을 방지하는 것’을 의미한다. 이는 저장되어 있는 정보자료 뿐만 아니라 전송 중인 이메일, 또는 설치 프로그램 등에 다양하게 해당된다. 친구에게 ‘오늘 오후 3시에 만나자’라고 보낸 이메일 메시지가 전송 중에 ‘4시’로 변조되는 것도 무결성 침해에 해당하고, 바이러스를 탐지하기 위해 설치한 백신이 PC 내부에 저장된 파일을 외부로 전송하는 의도치 않은 기능을 수행하는 것도 이 경우에 해당 된다. ‘당연하게 믿었던 것에 의해 발등 찍히는 경우’로 이해할 수 있다.

영화 ‘아이언맨3’를 통해 무결성이 유지되는 것이 왜 중요한지를 이해해 볼 수 있다. ‘아이언맨3’는 테러리스트 집단으로부터 안전을 지키는 아이언맨을 그린 영화이다.

‘아이언맨3’를 통해 무결성의 중요성 이해할 수 있다
영화 속에서 무결성과 연관된 사례는 후반부의 클라이막스에서 나오는데, 아이언맨의 친구인 ‘아이언 패트리어트’가 테러리스트에게 수트를 빼앗긴다. 그리고 악당은 그 수트를 입고 원래 ‘아이언 패트리어트’의 임무였던 ‘대통령 경호’ 수행을 위해 에어포스 원에 탑승한다. 모두가 당연하게 우리 편이라고 믿고 있는 아이언 패트리어트 수트 안쪽에는 악당이 숨어 있었지만, 그 누구도 의심하지 않았고, 에어포스 원은 수천 피트 상공을 비행한다. 결국 미국 대통령을 비롯한 고위인사들은 큰 위협에 빠지게 된다.

여기서 ‘아이언 패트리어트의 수트’를 착용하고 있는 악당은 ‘무결성이 침해’된 상황을 보여주는 좋은 예이다. 원래 이 수트는 아이언맨의 친구인 로드 중령이 탑승하고 있어야 했다. 그래서 사람들은 수트만으로도 그를 신뢰했던 것이다. 하지만, 탑승자는 악당으로 바뀌어져 있었고, 수트로 가장했기 때문에 아무도 이 사실을 눈치채지 못했다. 이것은 파일이나 이메일 변조, 응용 프로그램에 은닉된 악성코드 등과 같은 맥락이다.

▲ 공군 소령 박지민
사이버개념연구회2.0

일반적으로 보안의 제1요소로 기밀성을 언급하지만, 때로 무결성이 더욱 중요한 요소가 된다. 금융사례를 생각해보면, 내가 누구에게 얼마를 이체하는지 노출이 되었을 경우의 피해보다 내가 의도한 금액과 다른 금액이 송금되거나, 내가 의도한 계좌가 아닌 타인에게 이체가 되는 경우에 발생하는 피해가 더 크기 때문이다.

이를 방지하기 위해서 사이버 공간에는 많은 기술들이 적용되어 있다. 데이터를 고유하게 식별할 수 있게 해주는 해시(Hash) 값을 활용하여, 저장 또는 전송자료의 위변조 여부를 검증하는 기술부터, 중간에 트래픽이 탈취되더라도 변조 되지 않도록 공개 키를 활용하여 암호화 하는 방법 등 다양한 기술이 있다.

진짜 같아 보인다고 하더라도 진짜가 아닐 수 있다
영화 ‘아이언맨3’를 통해 알 수 있는 것은 보안의 2번째 요소인 무결성은 1번째 요소인 기밀성보다 더욱 관리가 어려운 보안요소이다. 개인 사용자들은 일반 사용자의 입장에서 자료가 어떤 과정을 거쳐 전송되는지 또는 프로그램 설치를 위해 어떤 파일이 사용되는지를 전반적으로 확인하는 것은 어렵다. 즉, 셀 수 없는 수치가 오고가는 금융 DB라면 숫자 한 두개 바뀌는 것을 개인의 노력으로 찾아낼 수는 없다.

따라서 개인사용자들은 디지털 서명과 같은 검증체계를 적극 활용하고, 신뢰할 수 있는 출처에서만 소프트웨어를 사용하는 보안의식이 필요하며, 체계 개발 및 관리자들은 단순한 기밀유출 방지에서부터 무결성까지 고려한 아키텍처 구상이 필요하다.
[글_ 박지민 공군 소령, 사이버개념연구회 2.0/국군사이버사령부]

▲ 대중문화와 사이버개념 이해 시즌 2 참여 안내문

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>