금융결제원은 17일 발생한 인터넷 금융고객 1700만명에게 악성코드로 공인인증서를 빼내는 공격의 위험을 경고하는 긴급공지 메일을 보냈다. 이 문제로 금융당국은 비상사태에 빠진 것이다.
한편 공인인증서 유출 문제가 사회적으로 파장을 일으키고 있는 가운데 얼마전 큐브피아(대표 권석철)는 유튜브에 2개의 시연 동영상을 올렸다. 공인인증서 유출 문제와 오버랩 시켜 보면 흥미로운 영상이 아닐 수 없다.
 
큐브피아가 올린 두 개의 동영상은 현재 상용화를 목전에 두고 있는 X-NEO의 여러 기술중 하나로 ‘특정 디렉토리 보호’ 기술과 ‘특정 파일 보호’ 기술을 시연해 보인 영상이다. 
[영상1] 특정 디렉토리 보호: youtu.be/QSNcxVfJ3c0
[영상2] 특정 파일 보호: youtu.be/oHGYZe7L_P0
 
권석철 큐브피아 대표는 “영상1은 사용자가 원하는 특정 디렉토리 안에 있는 데이타 전체를 통째로 보호할 수 있는 개념의 동영상”이라며 “동영상을 보면 큐브피아 솔루션이 적용되기 전의 파일 2개(OriginalSecret.doc / OriginalSecret.txt)가 한 디렉토리 안에 있다. 사용자는 자신의 PC에서는 무슨 작업이든지 편하게 원하는 대로 파일을 사용하면서 모든 업무를 처리할 수 있다. 그리고 이 디렉토리 안의 2가지 파일은 반드시 유출되지 말아야 하기 때문에 보호모드 작동을 했다”고 설명을 시작했다.
 
다음으로 “이 순간부터 해당 디렉토리 안에 있는 2개의 파일은 사용자의 로컬 PC안에서는 원래대로 보이면서 작업이 모두 가능하다. 그러나 만일 악의적 해커가 사용자의 PC에 침입해 이 디렉토리에 접근을 한다면, 디렉토리 자체가 접근을 막는 개념의 방어가 아니라 오히려 해커로 하여금 그 디렉토리에 들어와서 마음껏 작업을 하도록 유인하는 개념의 작전이 이루어진다”고 말을 이었다.  
 
권 대표는 “해커는 그 디렉토리 안의 파일이 2개 있는 것을 확인할 수 있다. 해커는 아마 이 디렉토리가 아무런 보안이 되어 있지 않은 것으로 생각할 것이다. 그래서 그 디렉토리 안의 파일 2개(FakeSecret.doc / FakeSecret.txt)를 보게 된다”며 “기술 설명을 위해서 파일 이름을 Original과 Fake라는 이름으로 비교하면서 설명을 했지만 실제는 이 Fake 파일들이 그럴듯한 어떤 중요한 파일들처럼 위장을 하고 있는 것”이라고 설명했다.
 
이에 “해커는 자신이 완전히 성공을 한 것처럼 생각을 하고 그 파일들을 마음대로 복사도 하고 수정도 하고 삭제도 할 수 있다. 마치 자신이 그 디렉토리에 대한 완전한 권한을 획득한 것처럼 착각을 하는 것”이라며 “바로 이 부분이 큐브피아가 파 놓은 덫에 걸려드는 순간이다. 해커가 그 디렉토리에서 머물러서 행동한 모든 기록은 단 하나도 빠짐 없이 모두 큐브피아 X-neo 컨트롤 타워 서버에 모두 기록이 된다”고 밝혔다.
 
즉 이 기술의 핵심은 X-neo 보호모드를 동작 시키면 PC 주인은 내부에서 아무런 영향과 변화 없이 자신의 디렉토리에서 원래의 중요한 2개의 파일을 가지고 마음대로 작업을 할 수 있다. 하지만 악의적 해커는 자신이 그 PC를 완전히 장악한 것으로 착각하고 계속 네트워크를 통해서 악의적 작업들을 하게 된다. 해커가 하는 작업들은 큐브피아에서 파 놓은 함정 디렉토리 안에서 노는 것에 불과하다. 해커는 자신의 모든 족적을 모두 다 남기게 되어 있다. 자신의 공인 IP, 자신의 사설 IP, 자신이 행한 모든 행위들이 남게 된다는 것이 이 기술의 핵심이라고 큐브피아 측은 밝히고 있다.  
 
권 대표는 “이 기술의 가장 핵심 부분은 바로 로컬 사용자가 사용하는 디렉토리 이름도 c:SecretDirectory이고 해커가 외부에서 침투해 보는 디렉토리도 여전히 똑같은 c:SecretDirectory이다. 내부에서 사용하는 사용자와 외부에서 침투해 들어오는 해커가 동일한 디렉토리를 동시에 보고 있지만, 원래 사용자가 열면 정상 파일들이 보이고 해커가 보면 가짜 파일들이 보인다는 것”이라며 “바로 이 부분 때문에 해커는 이 디렉토리에 어떤 속성이 걸려 있는지 전혀 파악을 하지 못하게 되는 것이다. 아무리 분석해 봐도 모두 진실 같은 속성들만 보이는 정상 디렉토리인 것이다. 그러나 큐브피아 X-neo가 파놓은 완전한 함정에 걸려든 것”이라고 말했다.
 
이번에는 [영상2] 특정 파일 보호에 대해 권 대표의 설명을 들어봤다. 그는 “파일 단위로 해서 각각의 파일들에 대한 보호 모드 샘플 동영상을 올린 이유가 있다”며 “어떤 디렉토리 하나를 만들고 자신이 보호하고 싶은 모든 파일들을 모두 다 넣으면 간단하게 해결이 되는데 왜 굳이 파일 단위로 보호하는 동영상을 올렸을까. 이는 앞서 설명한 특정 디렉토리 보호 기술과 차별점을 설명하기 보다는 정책적으로 앞으로 고객들이 원하는 부분들에 대해 큐브피아가 유연성을 가지고 얼마든지 커스터마이징이 가능하다는 것을 보여주기 위해 작업한 것”이라고 설명했다.
 
그는 이어 “만약 누군가 사용하는 PC에 디렉토리가 50개가 있는데 그 디렉토리들은 각각 나름대로 사용자가 어떤 원칙들을 가지고 구분을 해 놓은 디렉토리들이다. 그러나 각각의 디렉토리들 안에 있는 많은 파일들을 모두 보호하고자 하는 것이 아닐 경우가 있을 것”이라며 “예를 들면 사용자는 A라는 디렉토리 안에 1~50번까지의 파일들이 있는데 1번~10번까지 파일들만 보호하기 원하고 20~50번까지는 내부 및 외부 사용자들과 업무적으로 파일 공유를 해야만 하는 경우가 있을 것이다. 이럴 경우에 사용할 수 있는 것이 바로 두번째 영상이다”라고 덧붙였다.
 
정리해 보면, X-neo 보호모드 미 작동시 원 사용자와 해커 모두 모든 디렉토리 및 파일들은 100% 정상 작동이 가능하다. 하지만 X-neo 보호모드 작동시에는 원 사용자만 모든 디렉토리 및 파일들을 100% 정상 작동할 수 있고 외부 침입자는 모든 불법 행위들을 감시 당하게 되고 외부 해커가 확인하고 있는 보호모드가 적용된 디렉토리 및 파일들은 모두 가짜라는 것이다. 또한 그것들이 가짜인지 진짜인지 침입자는 100% 분석할 수 없다는 것이다.
 
만약 특정 디렉토리에 저장된 공인인증서에 이러한 기술이 적용된다면 어떻게 될까. 공인인증서 유출 문제 뿐만 아니라 PC나 서버에 저장된 중요 정보 유출을 막아야 하는 입장에서는 관심을 가지고 지켜 봐야 할 기술로 보여진다. 이 기술의 제품 상용화가 언제쯤 이루어질지 기대가 된다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com