속보
[김석기]한국 보안의 모순2015.07.21 20:07
[김석기의 IT 인사이트]
중국 초나라의 한 상인이 시장에서 창과 방패를 팔면서 어떤 방패로도 막을 수 없는 창이라 하고, 방패는 어떤 창으로도 뚫지 못하는 방패라 선전하였다. 그렇다면 세상에서 어떤 방패로도 막을 수 없는 창으로 어떤 창으로도 뚫지 못하는 방패를 찌르면 어떻게 될까? 이렇게 앞 뒤 말이 안맞는 상황을 창을 뜻하는 모(矛), 방패를 뜻하는 순(盾)을 붙여 모순이라고 한다. 이 이야기는 한비자(韓非子)에 나오는 고사에서 유래하였다. 모순은 각 글자 자체의 뜻은 ‘창과 방패’지만 고사의 의미로서 ‘앞뒤가 맞지 않음’ 이라고 이해해야 한다.



보안이나 해킹 관련 신문기사들을 보면 해커와 이를 막는 보안 전문가의 관계를 들어 ‘창과 방패’라는 표현을 많이 쓰는데 ‘공격과 수비’라는 것을 나타내기 위해서 쓰는 지는 모르겠지만 모순의 원래 뜻을 봐도 그렇고 해커와 보안전문가의 실제 관계를 봐도 올바른 표현이 아니다. 한마디로 잘못 사용되고 있는 비유라 할 수 있다.


해킹과 보안의 관계는 창과 방패 같은 관계가 아니다. 창과 방패는 바로 눈앞에서 공격해 들어오는 것을 1:1로 막아내는 상황이지만 해킹은 그런 방식으로 대놓고 이루어지지 않는다. 오히려 해킹과 보안의 관계를 비유하자면 도둑과 경비업체의 관계와 더 비슷하다. 창과 달리 해킹은 도둑처럼 언제 어디로 들어올 지 알 수 없는 상황이며, 경비 업체처럼 울타리나 문에 이상이 없는 지 계속 확인하면서 언제 올지 모르는 도둑이 들어오는 지를 감시해야 한다.

집이나 빌딩 하나처럼 감시의 범위가 작다면 도둑을 막을 확률이 높겠지만, 도시 하나를 대상으로 도둑을 막아야 한다면 이야기가 달라진다. 도시 안에 있는 어느 건물엔가는 허점이 있게 마련이고 도둑은 그런 허점을 찾아서 감시가 가장 느슨한 시간대를 골라 도둑질을 한다. 해킹은 그런 것이다. 창과 방패처럼 바로 앞에서 공격하고 그걸 막는 게 아니다.

◆우리는 어떤 해킹 위험에 노출되어 있나

큰 도시일수록 절도에 대한 허점이 많듯이, 모든 시스템에는 반드시 허점이 존재할 수 밖에 없다. 해킹이 불가능한 완벽한 시스템은 아직 있어 본적이 없으며, 역으로 생각해 보면 모든 시스템은 해킹이 가능하다고 해도 틀린 말이 아니다. (물론 난이도의 차이는 있겠지만)

해킹의 피해를 줄일 수 있는 가장 확실한 방법은 해킹당할 정보를 되도록 적게 가지고 있는 것 밖에 없다. 한국은 인터넷 사이트에 가입하기 위해서 반드시 주민등록번호를 사용하게 강제한 ‘인터넷 실명제’를 시행했고 그 여파로 각종 서버에 주민번호와 개인정보가 저장되었다가 해커들에게 털린 개인정보들로 인해 수 천 억원의 피해를 고스란히 국민들이 떠안았다.

2015년 7월 6일 금감원 발표에 따르면 2011년 9월 이후 피싱사기에 대한 계좌정지 신청하고 찾아가지 않은 미수령 금액이 530억원이며, 찾아가지 않은 사람의 숫자는 21만 5천326명이다. 이 숫자는 피싱사기를 당하고 빨리 알아차려 계좌정지를 시킨 사람 중 돈을 찾아가지 않은 금액과 숫자로서, 발표하지 않았지만 찾아간 사람과 금액은 두 배 이상일 것이며, 신고했지만 이미 범인들이 돈을 빼가 아예 찾지 못하거나 신고조차 못한 금액은 훨씬 더 많을 것이다.

물론 이러한 피싱 피해가 해킹에 의한 피해라는 것을 입증하기는 어렵다. 몇 개 사이트에서 개인정보가 털린 해킹 사건에 대해 직접적인 해킹에 의한 피해입증을 할 수 없는 관계로 해당 사이트들은 면죄부를 받았다. 해커가 해킹을 한 개인정보를 가지고 직접 피싱 범죄를 일으키는 것이 아니라 브로커에게 넘기고, 브로커는 또 다른 브로커에게 여러 차례 넘기다가 피싱 범죄조직의 손에 들어가기에 이에 대한 입증은 거의 불가능하며, 이런 거래는 국내보다 중국이나 동남아 등지의 해외에서 일어나기에 더욱 입증이 어렵다. 더군다나 공식적으로 알려진 해킹 사건보다 더 많은 해킹 사건들을 해당 기업체가 쉬쉬하면서 덮어버리거나, 심지어는 업체가 자신이 해킹 당한 사실을 모르고 있는 상태도 많기에 해킹에 의한 피해를 정확하게 파악할 수가 없는 것이 현실이다.

보안 전문가들이 하는 권고 중에 ‘정기적으로 비밀번호를 바꾸라’는 것이 있다. 비밀 번호를 자주 바꾸면 해킹에 안전해질까? 또 한가지는 ‘비밀번호를 복잡하게 만들라’는 주문도 있다. 이런 주문은 대체 왜 하는지에 대해 먼저 이해할 필요가 있다.

보통 사람들이 사용하는 사이트 수는 적게는 수 십 개에서 많게는 수 백 개에 이르며, 이 사이트들의 비밀번호를 모두 다르게 한 다음 외워서 사용하는 사람은 없다. 불편하기도 하고 가능하지도 않기 때문이다. 결국 사람들은 자신이 외울 수 있는 한 두 개의 비밀번호를 만들고 모든 사이트에 동일하게 사용 할 수 밖에 없는 구조이다. 그래서 사용하는 수십 개의 사이트 중 한곳만 해킹당해 비밀번호가 빠져나가면 거의 모든 사이트의 비밀번호가 빠져나간 것과 같은 효과가 생긴다. 사이트 로그인하려는데 뭔가 좀 다른 느낌으로 비밀번호를 바꾸라는 팝업창이 뜬다면 그 사이트나 다른 대규모 사이트가 해킹당했을 확률이 높다.

비밀번호를 영어숫자 특수문자를 조합한다고 해서 더 안전한 비밀번호라는 생각은 버리는 것이 좋다. 자전거에 걸어놓은 세자리 자물쇠의 번호를 잊어버렸다면 그 번호를 찾는 방법은 000부터 999까지 하나씩 맞춰보면 열 수 있다. 이 번호를 다시 셋팅했을 때 같은 숫자인 777이나 666 보다 모두 다른 숫자인 273 이나 430 같은 숫자가 더 열기 어려운 숫자 조합일까? PC에게는 영어로만 ?거나 여기에 숫자를 결합했거나 상관없이 키값으로만 인식 할 뿐이다. 물론 복잡한 구성의 비번은 자신의 가족이나 친구, 직장동료와 같이 옆에서 눈으로 보는 사람들로부터 비번을 지키는 정도의 효과는 있을 것이다. 하지만 해커에게는 아무런 의미가 없다. 사실 해커는 일반적인 사용자들의 비번을 따로 해킹할 필요가 없다. 해커의 해킹은 개인단위의 비밀번호 해킹이 아니라 서버를 해킹하여 전체 사용자들의 비밀번호나 개인정보를 가져오기에 개인이 아무리 복잡하게 비밀번호를 조합한다 한들 별 효과가 없다고 볼 수 있다. 해커가 노리는 것은 관리자인 어드민이나 수퍼유저 계정의 비밀번호이지 개인 유저 개개인의 비밀번호가 아니다. 개인 유저 계정을 하나씩 해킹해서 어느 세월에 1천만개 계정의 비번을 해킹하겠는가. 실제로 일어나는 거의 모든 해킹사고는 서버해킹이지 사용자 개인계정의 비번이 단순해서 일어나는 사고는 거의 없다. 비번이 단순해서 일어나는 사고들은 대부분 해커가 아니라 주변 지인에 의해 일어나는 사고들이다. 그렇다고 일부러 단순하게 비번을 설정하라는 권고는 아니다. 다만 복잡하게 설정한다고 더 안전할 것이라는 생각은 하지 않는 것이 좋다는 뜻이다.

개인 PC에서의 해킹은 각종 스파이웨어로부터 시작된다. 스파이웨어란 간첩처럼 몰래 특정한 작업을 수행하는 프로그램들로서 광고를 노출시키는 애드웨어 같은 것부터 시작해서 몰래 PC자원을 사용하는 프로그램 등 종류와 기능이 다양하다. 이러한 악성코드들은 특히 자신도 모르게 좀비 PC로 만들거나 원격으로 감시 당할 수도 있으며 PC에 있는 자료들을 모르게 전송 할 수도 있다. 스파이웨어가 깔려있는 상태에서 사이트를 접속하면 그 사이트의 비번을 그대로 전송한다. 아무리 복잡하고 길게 비번을 조합했다 하더라도 아무런 효과가 없는 이유다.

◆해킹 위험을 줄이기 위해서 무엇을 해야 하나

안타깝게도 해킹의 위험에서 벗어나기 위해 개인이 할 수 있는 일이 별로 없다. 다만 위험을 줄이는 노력은 계속 해야 한다.

첫째 : 보안 업데이트를 최신으로 유지하라
윈도우 같은 OS의 보안 업데이트는 물론이려니와 백신 역시 최신 업데이트를 유지해야한다. 이번 5163부대 사건에서도 나왔지만 최신 업데이트를 함으로서 해킹 위험을 줄이는데 유효하며, 특히 백신의 경우 국정원에서 해킹을 요청한 V3보다는 외국에서 개발된 카스퍼스키 백신을 사용하는 것을 추천한다.

둘째 : 페이스북 또는 트위터 로그인 사용하기
페이스북과 트위터는 자사의 ID를 이용하여 다른 사이트와 서비스들을 이용 할 수 있도록 제공하고 있다. 페이스북 로그인을 사용하면 별도의 가입이 필요없을 뿐 아니라 해당사이트에 비번이나 개인정보를 남기지 않아도 된다.

셋째 : 안정성이 검증된 기기 사용하기
간단히 이야기 해서 삼성폰은 해킹팀에서 해킹했고, LG폰은 해킹하지 않았으며 아이폰은해킹하지 못했다. 어떤 폰이 안전할지는 스스로 판단 할 것.

넷째 : 금융거래는 모바일로
금융거래에서 액티브 X가 사라진 자리에 EXE가 들어섰다. PC에서의 금융거래에 대한 위험이 IE 브라우저에서 PC전체로 확산된 것이다. 더군다나 EXE로 인해 멀웨어나 스파이 웨어가 깔릴 위험성 역시 더 높아졌다. 모바일이 100% 안전하다고 할 수는 없겠지만 PC보다는 훨씬 더 안전하다. 탈옥을 하지 않은 이상 아이폰에 뭔가 깔기 위해서는 앱스토어를 이용해서 깔아야 하기 때문에 APK로 인스톨하는 안드로이드보다 아이폰이 더 안전하다.

다섯째 : 깔기 전에 모든 것을 의심해라
스파이웨어는 말 그대로 스파이웨어이기에 어떤 프로그램에도 올릴 수 있다. 일반적인 프로그램 뿐 아니라 간단한 유틸리티, 동영상 코덱, 하드웨어 드라이버 등 해커가 마음먹고 제작한다면 스파이웨어를 심는데 아무런 제약이 없다. 결국 출처가 중요한데 되도록이면 제작사 홈페이지에서 직접 다운받아 인스톨하는 것이 가장 안전한 방법이며, 그 이외의 웹하드, 토런트 같은 각종 P2P나 블로그 같은 데서 다운받는 것은 되도록 지양해야 한다. 심지어 메일에 첨부된 문서에도 스파이웨어가 있을 수 있다. 모든 것을 의심하라.

한국에서 보안문제는 단순한 기술의 문제가 아니며 이번 국정원 사건과 같은 정치적인 범죄와 국내 보안기업들의 이권문제 등이 얽혀있는 복마전이다.

보안의 본질은 신뢰다. 보안에 대해 정부나 국내 보안 업체들을 믿을 수 없는 것. 이것이 바로 모순이다. 이번 사건으로 드러난 결과를 볼 때, 개인의 안전한 생활을 위해서 국내 업체가 제작한 백신이나 통신기기들을 추천할 수가 없는 현실이 안타까울 뿐이다.

김석기 (neo@mophon.net)

모폰웨어러블스 대표이사로 일하며 웨어러블디바이스를 개발 중이다. 모바일 전문 컨설팅사인 로아컨설팅 이사, 중앙일보 뉴디바이스 사업총괄, 다음커뮤니케이션, 삼성전자 근무 등 IT업계에서 18년간 일하고 있다. IT산업 관련 강연과 기고를 통해 사람들과 인사이트를 공유하고 있다.


관련기사

FASHION LOOK

김석기의 IT 인사이트 많이 본 오피니언