“이대로 가만있으면 중국 크래커들 공격에 속수무책 당할 것”

국제 해킹·보안 컨퍼런스 ‘POC2007’(www.powerofcommunity.net)이 오는 11월 15일~16일 양일간 서울 양재동 ┖서울교육문화회관┖에서 개최된다. 이 자리에는 국제적 명성을 얻고 있는 최고 해커들의 해킹 시연과 국내 유명 해커들의 민감한 주제에 대한 해킹 시연 및 보안문제들이 다뤄질 예정이다.

여기서는 이번 ‘POC2007’에서 발표하는 국내 발표자 중심으로 발표내용에 대해 간단히 알아보도록 하겠다. 부득이하게 오해의 소지가 없도록 전혀 편집없이 인터뷰 내용을 그대로 게재했다.  

첫 번째로 “How to Implement COM Monitor(tracing COM modules in real-time)”란 주제로 발표를 할 ‘AmesianX’와의 인터뷰 내용이다.

Interview

발표자: ‘AmesianX’ 

발표 내용에 대해 좀더 구체적인 설명을 부탁한다.

ActiveX(COM) 모듈을 모니터링하는 이론적인 기술설명과 그 구현의 결과물로 실제 모니터링되며 작동하는 모습을 보여줄 것입니다. 제가 알고 있기로는 현재 이러한 구현이 완벽에 가깝게 작동하는 것은 세계 어디에도 아직 없습니다.

 

지금 보여주려는 기술역시 사실은 90% 정도의 정확도를 구현했을 뿐 100%는 존재하지 않는 기술이죠. 가능하다면 재미있는 것들을 많이 보여 주려고 합니다. 지능적인 바이러스의 모습이라고 보실 수도 있습니다.

이를 악용할 경우 어떤 문제점들이 발생할 수 있나?

현재는 웹2.0 시대입니다. 웹2.0 시대의 주 핵심인 XML이 통신을 담당하는데 사람들이 이 웹2.0 기술을 맹신하고 있는 것 같습니다.

 

Internet Explorer에서는 XML도 COM으로 구현되어있다는 것을 간과하면 해커는 이 통신들을 클릭한번으로 모두 다 지켜보고 제어할 수 있습니다. 누군가 악용한다면 웹2.0의 최대 문제점인 보안이란 것에 제동을 걸게 됩니다. 웹2.0이 좋은 것만이 아니라는 것을 알게 되겠죠. 그리고 현재 국내 실정상 ActiveX(COM)가 수도 없이 많이 설치되는데 이러한 ActiveX들이 모두 악용가능성의 대상입니다.

 

현재 금융권의 메모리해킹이라고 이슈를 야기시키게 되었던 것도 ActiveX(COM)때문이며 이를 악용하면 원하는 금액을 사용자의 눈을 속인 체 이체할 수 있습니다. (사실 메모리해킹의 발단이라 할 수 있는 사건은 국내의 유명해커가 몇 년 전에 야기 시켰습니다. 모 업체의 CEO로 있는 분인데 현재는 그 분이 사용한 기술(BHO: Browser Helper Object)과 전혀 다른 기술로 다시 이슈화 시키게 된겁니다.)

 

이미 웜으로 전파되는 과정의 실질적인 시연과정도 금융권에서 보여준 적도 있습니다. 높으신 분들이 믿지 않았기 때문에 눈으로 직접 확인시켜드려야 했습니다. 코드 10줄만 추가로 만들어도 웜을 전파하여 한날한시에 동작되도록 만드는 것이 어려운 게 아닙니다. 그렇게 되면 크래커는 어마어마한 금액을 자신의 통장으로 모두 이체시키고 사용자들은 눈치 채기 힘들기에 그 대처는 매우 늦을 것입니다.

 

그 정도쯤 되면 크래커는 돈을 인출해서 사라질 수도 있는 시간이겠죠. 마치 다이하드4.0 영화에서나 나올법한 금융대란 같은 얘기지만 이미 몇몇 금융권들은 제가 만든 것을 눈으로 직접 다 목격한 것에 부인하지 못합니다. 이 경우는 이번에 만든 것을 사용한 단편적인 예에 불과하구요. 증권사의 HTS(K증권, D증권)들이 COM 모듈을 사용하고 있는 것을 오래전부터 알고 있었습니다.

D증권은 주식주문 모듈을 배포하는데 그것도 COM 모듈입니다. 한가지 상상을 해볼 수 도 있습니다. 앞으로 선거도 인터넷으로 할 날이 올지 모릅니다. 그때도 과연 ActiveX를 사용할지 걱정됩니다. 한 가지 재밌는 점을 말씀드릴까요. MS의 차세대 기술인 닷넷도 COM에 의존하고 있습니다. 현재 이 닷넷에서도 같은 해킹 메카니즘이 통하는지 연구중입니다.

 

금융권에서 주의해야 할 점이 있다면?

금융권에서는 우후죽순으로 뻗어있는 보안모듈에대해서 정리작업이 필요할 것으로 보입니다. 보안모듈이 많아지면 많아질수록 크래커가 공격하기는 매우 좋아집니다. 그 이유는 건드릴 것들이 많으면 얻을 것도 많아지는 해커들의 원리가 있기 때문입니다.

 

만약 저라면 보안모듈을 통합아키텍처로 바꿔서 설계할 것입니다. 너나할 것 없이 별도 모듈로 다 들어가 있기 때문에 보안에 무지 취약합니다. 한군데만 뚫리면 취약하기 때문이죠. 모듈이란 용어는 달았다가 떼어냈다가 할 수 있는 의미가 큽니다. 그럼 해커도 그걸 달았다가 떼어냈다가 할 수 있다는 것을 인지하지 못한다면 보안을 할 필요가 없는 것입니다.

 

그래서 모든 보안모듈은 서로 간에 응집력있게 달라붙어야 강력해지는 것입니다. 현재 발표할 내용뿐만이 아니라 도사리고 있는 위협은 많습니다. 중국 해커들이 한글만 능숙했다면 아마 지금 사용자들은 편안히 인터넷뱅킹을 쓰지 못하고 있을 겁니다. 금융권에 권고하고 싶은 점이나 주의해야 할 점이 있다고 말씀드린다면 절대로 사용자PC를 믿지 말라고 권고드리고 싶습니다.

 

모든 것을 서버단에서 논리적인 설계로 막아낼 생각을 하셨으면 합니다. 모든 것을 서버가 책임져서 부하를 가중하라는 말이 아니라 논리적인 길목만 서버에서 막아내면 해커들이 노리는 위협을 피할 수 있을 것이라고 생각합니다.

이용자들은 어떤 주의를 기울어야 하나?

이용자들은 바이러스에 감염되었을 경우를 대비해서 안티바이러스 솔루션들을 믿고 있지만 사실 알려지지 않은 바이러스에는 속수무책입니다. 정상적인 바이러스를 안티바이러스 솔루션이 잡아줄 수는 없습니다.

 

이용자들은 자신의 PC가 감염되었을 경우에 대해서 대비할 수 있는 방안이 없지만 최소한 자신이 사용하는 서비스에 대해서 한번쯤 의심을 해보는 경각심만 가져도 보안 전문가들이 귀를 기울이고 대처방안들에 대한 논의들을 할 것입니다. 이것이 컴퓨터를 모르는 이용자들이 취할 수 있는 최대한의 주의이고 그렇지 않다면 더 이상 보안을 위해 노력하는 사람들이 없어질 것입니다.

이번 POC2007에 거는 기대가 있다면?

이번 POC2007에서 발표하는 것에 대해서 솔직히 어떤 기대를 갖고 있지 않습니다. 최소한의 것을 알려야할 의무감을 갖고 있을 뿐입니다. 만약 조금이라도 기대가 있다면 그것은 세계적인 엔지니어들이나 국내엔지니어들에게 제가 구현한 부분이 가치있는 것이라는 것을 확인받을 수 있는 기회가 되었으면 합니다.

 

기술쪽 분야에서는 기존에 있는 것을 평가하기가 매우 쉽지만 새로운 것을 평가할 수 있는 시야를 가진 엔지니어가 드물기 때문에 일부러 국내에서 열리는 국제컨퍼런스를 선택한 것입니다. 이번 POC2007은 저에게 있어서는 연구결과에 대한 학술계의 발표이자 평가의 자리입니다.

 

가치가 없다면 평가절하 될 것이지만 중국 해커들이 이와 비슷한 주제를 연구하는 것을 목격한바 있기 때문에 가만히 있을 수는 없었죠. 전 지금 미국의 1999년의 기술을 응용하였습니다. 아무리 응용하여 더 좋은 성과를 내었어도 기반기술은 약 8년의 기술격차가 존재합니다. 중국에서는 이것을 1~2년 안에 다 따라잡아내고 있는 것으로 보아 그냥 넘어가면 분명히 국내에 큰 타격을 입힐 것입니다.

 

굳이 POC2007에 거는 기대라면 적어도 중국 해커들이 빠른 속도로 발전하는 것처럼 국내에서도 해커들의 숨통을 좀 열어줄 계기를 만들어주셨으면 합니다. 그렇게 되면 기술격차를 줄이고 보안을 선도할 수 있는 문화가 분명 도래할 것입니다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>