구독상품안내
GIB
지난해 국정원의 원격조정시스템(RCS) 구입으로 대한민국이 시끌시끌했다(1파트 참조). RCS를 판매한 해킹팀의 고객은 37개 국가, 67개 기관이며 가장 활발히 거래한 국가는 멕시코(11개 기관)로, 해킹팀에 지불한 금액이 무려 580만8875유로(약 72억8200만 원)다. 이렇게 엄청난 돈이 오고 가는 해커들의 거래, 막는 방법은 없을까.
제조사가 모르는 ‘제로데이 취약점’을 경계하라 해킹팀을 포함한 많은 해킹 업체와 해커들은 ‘제로데이(0-day) 취약점’을 이용한다. 제로데이 취약점은 제조사가 해당 오류에 대해 모르거나, 알고는 있지만 아직 오류 수정을 하지 못한 컴퓨터 소프트웨어 또는 하드웨어 상의 보안 취약점을 말한다. 제조사가 보안 취약점에 대응하는 패치를 개발하기 전까지는 누구나 공격 가능한 헐거운 성벽이나 마찬가지다. 이런 취
약점을 노린 해킹기술(스파이앱 등)은 백신프로그램으로도 탐지나 치료가 불가능하기 때문에 피해가 극
심하다. 지난해에는 ‘어도비 플래시 플레이어’의 제로데이 취약점(CVE-2015-5122)을 공격한 해커에 의해 일본의 일부 웹사이트가 특정 사이트로 우회돼(이를 파밍이라고 한다) 사용자들의 단말기에 백도어를 감염시킨 사례가 있었다. 제로데이 취약점만 알면 백도어를 심는 건 아주 간단한 일이기 때문에 해커들 사이에서는 도·감청에 활용할 수 있는 제로데이 취약점을 사고 파는 암거래 시장까지 존재한다. 보안전문가 블라드 서클비치는 “취약점 한 개당 평균적으로 4000만 원에서 1억 원에 거래된다”고 밝혔다.
더 심각한 건 사물인터넷(IoT)이 활성화되면 이런 보안 취약점들이 폭발적으로 늘어날 거라는 사실이다. 영국 텔레그래프는 2014년, 미국의 전자통신 기업 휴렛 팩커드(HP)에서 발표한 보고서를 인용해 “현재 사용되고 있는 IoT 기기에 총 250개 유형의 잠재적인 보안 취약점이 있다”고 전했다. 보고서에 따르면 90%의 기기는 개인 정보를 수집하고 있었고, 이 중 70%는 개인 정보를 암호화하지 않은 상태로 전송하고 있었다. 스마트폰과 같은 단일 기기에 있는 몇 가지 보안 위협이 IoT를 통해 집이나 회사까지 상호 연결되면 50~60가지로 증가할 수 있다.
집단지성의 힘, ‘크라우드 시큐리티’
이렇듯 모든 기기와 응용 프로그램에는 수많은 보안 취약점이 있으며, 이를 한두 개의 기관이나 업체로 막는 것은 사실상 불가능하다. 그래서 등장한 개념이 집단지성을 활용한 보안, 일명 ‘크라우드 시큐리티(Crowd Security)’다. 미국 기술잡지 ‘와이어드’의 저널리스트 제프 하우가 2005년에 만든 용어 ‘크라우드 소싱’을 빗댄 말로, 외부 인력을 활용해 보안성을 강화하는 개념이다.
크라우드 시큐리티의 대표적인 예로는, 기업 등이 자사 서비스 제품의 보안성 강화를 위해 제로데이 취
약점을 찾아 신고해준 사람에게 포상금을 지급하는 ‘버그바운티(Bug Bounty)’가 있다. 외국의 경우 구글, 마이크로소프트, 페이스북, 페이팔 등은 이미 버그바운티를 널리 활용하고 있다. 우리나라에서는 한국인
터넷진흥원(KISA)이 신고포상제를 시행하고 있다. 2012년 23건에 그쳤던 신고 건수는 2015년 195건으로
8배 가량 증가했다. 하지만 일반 대기업 중에는 삼성전자만이 버그바운티를 시행하고 있으며, 그마저도 스마트TV 한 분야에 국한돼 있는 상황이다. 크라우드 시큐리티의 필요성을 알리기 위해 캐나다에서는 국제 제로데이 취약점 찾기 대회인 ‘캔섹웨스트 폰투오운 (CanSecWest Pwn2Own)’이 열린다. 이 대회는 HP, 트렌드마이크로(TrendMicro), ZDI(Zero Day Initiative)가 개최하며, 참가자들은 구글 크롬, 마이크로소프트 엣지, 애플 사파리, 어도비 플래시 등의 제로데이 취약점을 찾아야 한다. 지난해에는 한국의 화이트해커 이정훈 씨(라온시큐어 소속 연구원)가 크롬, 익스플로러 11, 애플 사파리 등의 제로데이 취약점 총 7개를 찾아 약 2억5000만 원의 상금을 차지했다. 우리나라도 KISA에서 ‘시큐인사이드 CTB(SECU INSIDE Capture The Bug)’라는 대회를 후원하고 있으나 외국에 비해 상금규모가 작아 우수한 화이트해커들의 적극적인 참여를 유도하기는 어려운 실정이다.
바야흐로 온라인 세상이다. 사람도 물건도 모두 실시간으로 연결되는 삶은 편리함과 함께 불안함을 동
반한다. 감시 및 도·감청의 위험은 더욱 커질 것이고 제로데이 취약점 거래는 앞으로 더 활발해질 것이다. 해킹팀의 내부정보 유출로 열린 판도라의 상자에 대해 이제는 우리나라도 본격적인 고민을 시작해야 할 때다.
