2019-11-17 22:21 (일)
[김정혁 금융보안칼럼-13] ‘블록체인 보안 공유 플랫폼’이 미래다
상태바
[김정혁 금융보안칼럼-13] ‘블록체인 보안 공유 플랫폼’이 미래다
  • 길민권 기자
  • 승인 2019.05.28 17:47
이 기사를 공유합니다

선의의 해커와 IT 전문가들이 참여하는 공유 보안플랫폼은 미래형 보안솔루션

▲ 영화 ‘Who Am I’ 포스터 이미지 캡처
▲ 영화 ‘Who Am I’ 포스터 이미지 캡처
“해킹은 마술과 같아, 둘 다 상대를 속이는 것”

어린 시절 늘 외톨이에다 소외된 삶이었던 벤야민. 14살 이후로 컴퓨터 앞에서 시간을 보내면서 프로그래밍 언어와 해킹기술을 배워 나간다. 처음으로 시스템 해킹을 성공하는 순간 자신의 재능에 눈 뜬다. 현실에서는 사회성이 부족한 아웃사이더, 부적응자라는 꼬리표가 붙었지만 인터넷이라는 가상세계에서는 현실에 없던 브랜드 파워와 자신감을 찾아간다.

2014년 제작된 독일 영화 ‘Who Am I’의 주인공 벤야민은 사이버 공간에서 자신과 같은 해커들의 도피처를 찾아다닌다. 밤낮으로 온라인에서 시간을 보내다 보니 특별한 직업이 없다. 해커들 세계에서는 슈퍼 히어로가 있다. 그들의 우상이 되기 위해 우상으로부터 인정받기 위해 난이도 높은 해킹 실력을 과시하여야 한다.

벤야민은 짝사랑하던 마리의 관심을 받기 위해 대학 시험을 도와주려 한다. 어둠 속 대학 전산실에 침입해 중앙 서버에 보관된 시험문제를 빼내는 순간 자신의 운명을 바꿀 극한직업이 펼쳐지라곤 예상을 못한다. 제로데이 공격을 통해 서버 접근권한을 얻어내 시스템을 살펴가면서 원하는 정보를 쏙쏙 노트북에 담아낸다. 일부러 메시지를 남기고 더러는 기념품도 챙겨 빠져 나오는 해커들처럼 그는 자취를 남긴다. 급기야 해커들 모임 사이트에 출입하면서 최고의 해커 “MRX”를 만난다. 모든 해커들의 영웅인 MRX는 3가지 원칙을 주입시킨다. 첫째 뚫지 못하는 시스템은 없다. 둘째 불가능을 목표로 하라. 그리고 사이버 공간과 현실 서계 모두를 접수하라. 해커들의 우상이자 히어로는 가상세계에서만 즐기지 말라고 강조한다.

2002년 “해킹, 속임수의 기술(The Art of Deception)”이라는 책이 발간된다. 저자는 해커의 레전드, 케빈 미트닉이다. 미국 역사상 가장 집요하게 추적당한 전설적인 해커 미트닉은 수차례 체포돼 징역형을 선고 받는다. 미트닉은 펜타곤과 국가안보국, 모토로라, 선마이크로시스템즈, 퀄컴 등 전산망을 침입하여 기밀정보와 소프트웨어를 훔쳐낸다. 덕분에 통신망 사기, 불법 감청으로 5년 가까운 시간을 연방 구치소에서 지낸다. 2000년에 석방되고도 법원 명령에 따라 3년 동안 컴퓨터와 인터넷 접속이 가능한 모든 전자장비 접근은 물론 IT회사와 컴퓨터 이용이 가능한 직장마저 금지된다.

▲ 캐빈 미트닉 시큐리티 홈페이지 캡처
▲ 캐빈 미트닉 시큐리티 홈페이지 캡처
2004년 보호관찰이 해제된 이후 현재는 보안업체 “미트닉 시큐리티 컨설팅”을 운영하고 있다. 미트닉은 “고통을 만들어내던 과거의 취미를 버리는 대신 내가 가진 기술과 지식으로 정부와 기업이 자신의 자산을 지킬 수 있는 방안을 찾는데 도움을 주겠다.”고 밝힌다.

미트닉은 글로벌 네트워크를 침입하고 소스코드를 복제한 것에 대해 엄청난 대가를 치렀다. 이제 그의 인생목표는 악명 높은 해커라는 이미지를 지우고 긍정적인 이미지로 바꾸는 것이다. 실제로 수많은 전직 블랙 해커들은 기업의 보안 사고를 예방하고 IT리스크를 줄이는 합법적인 보안 관리자로 변신하고 있다. 이제 정보보안은 보안업체나 쇼핑몰에서 구입할 수 있는 상품이 아니다. 보안은 데이터라는 메인 재료에 정책, 사람, 프로세스, 테크놀로지를 잘 버무리고 경험이라는 소스가 잘 숙성된 레시피이다.

“속임수의 기술”이란 책에서는 ‘도둑을 잡으려면 도둑이 필요하다’라는 교훈을 설명해 나간다. 하지만 가장 큰 위험은 인간의 본성을 이용한 취약점이라고 강조한다. 그 시절 습득한 프로그래밍과 보안회사, 해커 동호회 그룹을 통해 얻은 해킹 지식은 서버와 네트워크, 소스코드 취약점을 이용하기 보다는 물리적 보안 취약점과 사회공학을 주로 이용하였다. 방화벽과 칩입방지, 안티바이러스, 서버보안 같은 보안솔루션을 구축하면 안전하다고 믿는 기업들은 여전히 많다. 이 세상 어떤 테크놀로지도 사람이 속임수에 넘어가면 답이 안나온다. 어느 보안 사이트에 새겨진 "멍청함에는 어떤 패치도 필요 없다"라는 문구는 무엇을 의미하는지 되새겨야 한다. IT기술이 향상되고 보안이 고도화더라도 우리의 시스템과 네트워크는 여전히 매일같이 공격당한다.

미트닉은 자신의 컴퓨터 해킹 행위를 비롯한 지난날을 후회한다. 법에 저촉되는 일을 했고 따라서 벌을 받아 마땅했다. 하지만 그는 타인의 재산권을 침해하지도 어떠한 불법 행위를 선동하거나 주도한 적이 없다고 강변한다. 불법이거나 비윤리적이 아닌 면에서의 해킹을 여전히 옹호하고 있다. 하지만 시대가 바뀌었다. 개인의 정보는 물론 기업이나 공공의 정보 모두 보호받아야 하고 침해받아선 안 된다. 고의든 아니든 그 어떤 이유라도 합리화 할 순 없다.

지난 1월 발간된 “2018년 사이버위협 분석보고서”는 한 해 동안 사이버 공간에서 발생한 범죄와 추적, 검거 그리고 신종 사이버위협 전망을 담고 있다. 4차 산업시대와 초연결사회 도래, 신종 해커 집단 증가, 다크넷 암시장 규모 확대, 사물인터넷 지능형 범죄, 가상화폐 거래 등 기존에 없던 사이버범죄와 진화하는 악성코드의 경고는 빠지지 않는다.

컴퓨터 바이러스라는 단어가 처음 등장 한곳도 어김없이 공상 과학소설이다. 1972년 데이비드 제라드가 출간한 “When Harlie was One(할리가 하나였을 때)”에서 생물학적 세균이 아닌 컴퓨터간 공격과 방어의 중개자로 사용되었다. 소설 속 컴퓨터 바이러스는 스파이로 시작하다가 이제 지구촌 곳곳에서 생화학전을 일으키는 대량 살상무기가 되어가고 있다. 아날로그 컴퓨터에 심어 놓은 사이버 세균이 21세기 디지털문명의 강력한 인플루엔자가 될 줄 상상은 한 것일까.

▲ 영화 ‘Who Am I’ 한 장면
▲ 영화 ‘Who Am I’ 한 장면
현실 속 컴퓨터 바이러스 원조는 1981년 8비트 애플 컴퓨터가 무대였다. Richard Screnta가 퍼트린 “Elk Cloner 바이러스”는 어셈블리코드로 제작된 부트바이러스이지만 디스크나 네트워크를 통해 감염되지는 않았다. 누군가에게 해를 입히려고 만든 역사상 최초의 컴퓨터 바이러스는 1987년 미국 델라웨어 대학에서 발견된다. 파키스탄 알비 형제는 자신들이 개발한 소프트웨어가 팔리지 않고 복제되어 나가자 앙심을 품은 코딩을 제작한다. 이들이 제작한 앙갚음 “브레인 바이러스”는 오늘날 컴퓨터 바이러스의 시초이다. 악의적이지 않았지만 불법복제에 대한 확실한 레드카드를 보여준 것이다. 이후 변종된 컴퓨터 바이러스들이 지구촌 곳곳에서 빈발한다. 예루살렘 바이러스, 13일의 금요일, CIH, 멜리샤, 코드레드, 아이러브유 바이러스 등 해독제도 없이 전 세계로 퍼져 나간다.

국내에도 1988년 브레인 바이러스가 상륙하고 이듬해 국내산 LBC 바이러스가 첫 등장한다. 당시 청계천 세운상가 컴퓨터 가게 잡지에서 접한 컴퓨터 바이러스에 흥미를 느낀 사람이 있었다. 의대 박사과정이던 그는 감염된 디스켓의 프로그램을 분석하여 백신을 개발해 나간다. 이를 계기로 사람을 구하는 의술 대신 컴퓨터를 치료하는 보안의 길을 선택한다. 당시 대기업과 정부기관이 관심 1도 없던 시절이라 결국 ‘한글과컴퓨터’의 지원으로 1995년 서초동에 안철수컴퓨터바이러스연구소를 설립한다. 우리는 과거 ‘잘알못’ 바이러스를 지우려고 얼마나 많은 백업과 포맷을 했는지 헤아릴 수 없다. V3, 닥터, 터보백신, 바이로봇, 알약 같은 국산 백신들이 없었더라면 피해규모는 가늠하기 어렵다. 이메일 사용이 잦아지면서 아이러브유, 러브레터와 같은 사랑으로 위장한 바이러스를 쿨하게 대응하지 못해 곤경에 빠지기도 했다.

악성코드(Malware: Malicious Software)는 일명 악성 소프트웨어이다. Virus, Worm, Trojan 등과 같은 유해한 컴퓨터 프로그램을 통틀어 일컫는 용어다. PC 보편화와 닷컴 버블시기에 잠복해 있던 바이러스들은 놀라운 속도로 퍼져 나갔다. 인류가 겪어보지 못했던 디지털 바이러스 출현은 정보보호라는 신산업을 이끌어냈다. 초기 바이러스는 백신 보안업체들이 서로 협력하면서 치료와 구호활동에 전념하였다. 하지만 방대해진 바이러스와 글로벌 악성코드들이 유입되면서 우리 힘으로 감당하기 어려워졌다. 최근 악성코드 프로그램은 통제권을 조종하고 운영체제를 뒤트는 공격으로 더욱 복잡해져 간다. 개별 클라이언트의 보안 결함을 이용해 악성 네트워크로 유인하는 봇(Bot)의 감염은 인지하기 조차 어렵다. 봇마스터(Botmaster)와 봇넷(Botnet)은 상품화 되어 또 다른 범죄자에 비도덕적인 목적으로 사용된다.

hacker-symbol-2714262_640.jpg
지난 수년 동안 악성코드의 가장 큰 손은 랜섬웨어(Ransomeware)다. 데이터를 암호화해 볼모로 잡고 가상화폐로 몸값을 지불하라고 한다. 랜섬웨어로 인해 기업, 쇼핑몰, 병원, 금융 등이 심각한 피해를 입는 경우가 많다. 데이터를 암호화하기 전에 오랜 시간 내부자를 모니터링 하면서 어느 정도의 대가를 지불할 수 있는지 결정한다. 랜섬웨어는 일단 실행되면 정상적인 백업장치 말고는 피해를 회복하기 어렵다. 항상 중요한 모든 정보는 적절한 오프라인 백업을 확보하는 것이 최우선이다. 그동안 대형 보안사고의 단골이었던 APT(Advanced Persistent Threat) 공격은 트로이목마를 사용해 수많은 기업에 잠입하여 디지털 자산을 빼내고 흔적을 지워나간다.

이처럼 거대해지고 지능화된 사이버 범죄는 현재의 시스템과 솔루션으로 대응하기 쉽지 않다. 지하 세계의 커뮤니티나 다크넷을 통해 거래되는 악성코드는 지상에서 파악조차 어렵다. 더구나 가상화폐까지 스며들어 추적이 불가능한 익명성으로 더욱 활발해지고 있다. 점차 강해지는 악성코드를 담당하는 역할은 이제 보안전문기업과 정부만의 몫이 아니다.

바이러스와 악성코드에 대한 탐지와 백신 공급은 보안업체들에 의해 주도되고 있다. 또한 기업의 보안조직에서 악성코드를 전담으로 분석하고 제거하는 자체 전담인력은 전무하다. 수집된 악성코드를 기반으로 룰 세팅과 차단 시그니처를 배포하고 업데이트하는 시간과 노력은 절대 빈약하다. 글로벌 보안 기업은 경쟁력 강화를 위해 국가별 지역별 악성코드 창구를 만들어 실시간 정보수집에 전력하고 있다.

늘어나는 악성코드로 보안취약점이 증가하고 해당 취약점을 기반으로 더 많은 악성코드가 기하급수적으로 발생하는 악순환에서 얼마나 신속한 대응을 하느냐가 중요하다. 이를 해결하기 위해서는 보안전문기업에만 의존하는 시장구조에서 탈피하여야 한다. 영화 속 벤야민이나 현실 속 케빈 미트닉 같은 지하 해커들이 공공의 안전을 위해 선의의 해커로서 역할을 하도록 유도하여야 한다. 악성코드 수집을 위해 화이트 해커와 정보보호 전문가뿐만 아니라 일반 사용자들의 광범위한 참여가 필요하다. 해외에서 활약하는 숙련된 보안전문가의 조언과 룰 세팅을 이끌만한 명분도 필요하다. 실시간으로 만들어지는 보안 룰을 검증하고 오류를 최소화하는 룰 검증가의 역할도 중요하다.

이러한 참여자들의 집단 지성과 신속한 대응에 대한 적절한 보상이 이뤄지는 공유보안 플랫폼은 블록체인 기술로 구현이 가능하다. 날로 증가하는 신종과 변종 악성코드에 대한 대응으로 건전한 의식과 안전한 정보망을 함께 만들어가는 공동체 네트워크에 기대해 본다.

세상 어디에도 완벽한 보안시스템은 없지만 보안을 지키려는 시민들이 함께 참여하는 블록체인 시큐리티 플랫폼은 우리 사회의 든든한 정보 감시망이 될 것이다. 영화 “Who Am I”에서는 해킹은 마술과 같고 동전처럼 진실과 거짓 양면성을 모두 보여주고 있다. 마술은 하루아침에 이루어지지 않는다. 누구에게는 경이로움과 즐거움을 주고 누구에게는 치명적인 피해를 입히고 그 사실을 숨겨 나간다. 경험과 실패를 반복하는 트릭을 지켜보는 관객의 몫이다.

▲ 김정혁 금융보안전문 칼럼리스트
▲ 김정혁 금융·보안전문 칼럼리스트
※필자. 김정혁 데일리시큐 금융·보안전문 객원기자

△현 지란지교시큐리티 기술고문 △한국블록체인협회 자문위원 겸 자율규제위원 △한국정보호산업협회 블록체인전문위원



★정보보안 대표 미디어 데일리시큐!★



관련기사