[보안뉴스 문가용] 매년 이맘때쯤 되면 한 해에 대한 마무리로 바쁘다. 특히 올해를 통해 어떤 것을 배웠으며, 어떤 것을 내년에 계속해서 배워나가야 하는지 정리하는 게 고민의 주제가 된다. 2015년은 보안 업계에게 있어 배울 것투성이 해였고, 그러므로 그것을 정리해보는 건 나름 뜻 깊은 일이 될 것이다. 지난 한 해, 우리는 뭘 배우고 뭘 놓쳤을까?
1. 이제 숙박할 때는 현금으로
2014년, 사이버 공격에 가장 많이 시달린 사람들은 도소매 업자들이었다. 2015년에도 이들을 겨냥한 공격은 계속되었지만, 해커들은 여기서 멈추지 않고 공격의 범위를 넓혔다. 특히 호텔 숙박업에 대한 공격이 눈에 띄는 한 해였다. 지난 주 목요일에만 하더라도 하이야트 호텔에 해킹 공격이 들어왔다는 사실이 밝혀졌다. 그 전에는 힐튼, 만다린 오리엔탈, 스타우드, 셰라튼, 웨스틴, W 등에 비슷한 공격이 있었다. 해커들이 노린 건 당연히 신용카드 정보. 하지만 고급 호텔의 단골 고객 명단에 올라와있는 부유하거나 고위직에 있는 인물들에 대한 개인정보도 비싼 값에 암시장에서 거래되고 있다.
2. 자동차 대신 기차는 어떨까?
2014년까지만 해도 ‘가능성’에서 그친 자동차 해킹 범죄가 2015년에는 더욱 구체화되었다. 특히 지프 셰로키를 원격에서 해킹해 제어권을 완벽히 가져온 것은 자동차 산업이나 일반 소비자 모두를 충격에 빠트렸다. 버지니아 경찰국은 자신들의 순찰차가 얼마나 해킹에 취약한지 직접 시연하기까지 했다. 크라이슬러는 바로 이런 문제로 1백 4십만 대의 차량을 리콜했으며 인텔은 자동차 보안을 연구할 계획으로 Car Security Review Board를 설립하기도 했다.
3. 애플은 단단하고 안전하다?
물론 많은 보안 전문가들이 안드로이드보다는 애플이 더 안전한 환경이라고는 말한다. 그러나 그 차이가 올해 들어 현격히 줄어들었다. 절대 침입이 불가능할 것 같았던 공식 앱 스토어에 엑스코드고스트(XCodeGhost)가 침입해 엄청난 양의 트로이목마를 퍼트렸다. 보안이 주 목적인 게이트키퍼(Gatekeeper)는 허가되지 않은 코드가 OS X에서 실행되도록 방치하는 치명적인 취약점을 드러냈고, 무엇보다 iOS나 맥킨토시용 멀웨어가 지금까지도 빠르게 증가하고 있다.
4. 암호화 관련 논쟁, 끝이 없어라
미국 정보관련 기관들은 올 한 해 동안 계속해서 암호화 기술에 ‘태클’을 걸어왔다. 약한 암호화 기술만을 적용해 복호화하는 걸 쉽게 해달라든가 혹은 암호화를 거치지 않아도 되는 백도어를 설치해서 시민의 안전을 보장할 수 있게 해달라는 게 그들이 하는 주장의 요지였다. 마치 각종 테러나 범죄 사건에 대한 분노를 암호화 기술에 쏟는 것 같아 보였다. 그 이야기는 아직까지도 계속되고 있다. 특히 세계적인 테러 사건들이 발생할 때마다 이들의 주장에 힘이 더 실리고 있다. 프라이버시 및 개인의 자유와 밀접한 연관이 있는 암호화 문제는 더 이상 보안 업계 내에서만 화두가 되는 문제가 아니다. 그러니 현재 미국 대통령 후보자들이 모두 이 문제와 관련된 공약을 내걸고 토론회를 열고 있는 것이다.
5. 아프지 말 것
트렌드 마이크로에 의하면 지난 10년간 정보 유출 사고의 1/4은 의료 업계에서 발생했다고 한다. 이는 올해 들어 크게 증가했다. 먼저 엑셀루스 블루 크로스 블루 쉴드(Excellus Blue Cross Blue Shield)에서 천만 건의 정보가 유출되었고, 뒤이어 케어퍼스트(CareFirst)에서 1천 1백만 건, 프리메라(Premera)에서 1천 1백만 건이 유출되었다. 얼마 지나지 않아 라이프와이즈(LifeWise)에서 25만 건이 유출되었으며 앤섬(Anthem)에서는 무려 8천만 건의 개인정보가 유출되기도 했다. 의료 업계에서 치료를 받느니 집에서 앓는 게 더 낫다는 말이 나올 정도이며, 아예 아프지 않는 게 더없이 중요한 해였다.
6. 익스플로잇과 제로데이는 거래 품목이 아니다. 정부는 빼고...
바세나르 조약(Wassenaar Arrangement)이 미국 보안 업계를 들썩였다. 두 가지 이상의 기능을 가진 솔루션이나 제품은 해외로 수출하지 못하도록 하는 거였는데, 이 때문에 침입에도 사용이 가능하고 침투 실험에도 사용이 가능한 보안 솔루션들의 수출길이 막혔기 때문이다. 이런 와중에 이탈리아의 해킹팀(Hacking Team)이란 보안 기업이 해킹을 당하는 일이 발생했다. 수출을 금지시켜놓은 솔루션들인 익스플로잇 툴, 감시 기능 솔루션 뿐 아니라 제로데이 취약점 등까지 정부들이 구매하고 있다는 사실이 드러났다. 최근 FBI는 제로데이 취약점을 사들이고 있다는 사실을 시인하기도 했다. NSA는 자신들이 찾아낸 취약점 중 90%만 공개한다고 해서 물의를 빚었다.
7. 플래시는 살아남을 것이다
취약점 관련 소식에 어도비의 플래시처럼 자주 이름을 올린 소프트웨어는 올 해 없었다. 해킹팀 사건이 터지면서 플래시에 대한 지탄은 더욱 거세졌다. US-CERT는 플래시에 대한 권고문을 발표하고, 모질라는 플래시를 호환하지 않도록 조정했으며 페이스북의 보안 담당자는 어도비(Adobe)에 플래시 언제 생산중단할 거냐고 물어봤다. 그럼에도 플래시는 살아남았다. 정말 표현 그대로 바퀴벌레처럼 말이다. 오래오래 살려두고 싶은 콘텐츠가 있다면 플래시로 제작하라.
8. 정부가 하는 일이라고 보안이 단단하지는 않다
미국 인사관리처(OPM)의 유출사고로 대단히 많은 사람들의 개인정보가 유출되었다. 현직에 있는 공무원들뿐 아니라 2000년부터 OPM이 신상조회를 해본 사람까지도 무사하지 못했다. 지금까지 밝혀진 것만 총 2천 1백 5십만 명의 사회보장번호, 근무이력, 이주이력, 가족관계, 건강상태, 금융정보가 지금도 어디에선가 거래되고 있으며 5백 6십만 명의 지문정보도 이미 남의 것이 되어버렸다.
9. 백업이 중요하다고 언제부터 말했는데...
2015년은 랜섬웨어의 해였다. 하나도 제대로 막은 게 없고, 그러므로 2016년이라고 이에 대처할 수 있을 리 만무하다. 랜섬웨어를 사용하는 해커들도 늘어나고 있는데, 랜섬웨어의 기술력도 날이 갈수록 좋아지고 있다. 심지어 이를 활용하는 방법 자체도 다양해지고 있다. 이렇게까지 랜섬웨어가 발전하고 있는 건 수익률이 높기 때문이다. 방어법이 딱히 마련되어 있지 않으니 공격 성공률도 훌륭하고 말이다. 이들이 요구한 돈을 속수무책으로 줄 수밖에 없었다는 경찰서도 있다니 무슨 설명이 더 필요할까.
10. 게다가 랜섬웨어 말고도 더 있다
랜섬웨어도 다 해결 못하고 있는데 해커들의 무기는 이게 다가 아니다. 돈 안 주면 디도스 공격을 하고 신상을 털고 애슐리 메디슨 사건에서처럼 협박 메일을 온라인과 오프라인으로 보내기도 한다. 애슐리 메디슨 사건으로 유출된 신상이 한두 건이 아닌지라 앞으로 한동안은 계속해서 이런 협박 관련 사건들이 터질 것으로 보인다. 그러게 그런 데 왜 가입을 했어...
11. 사용자나 계정의 권한이 관건이다
결국 계속된 실패와 연구의 거듭/반복/Repeat으로 사고의 핵심에 ‘권한’이 있다는 결론에 이르렀다. 피싱 메일이든 스피어 피싱이든 소셜 네트워킹이든 결국 한 사람이나 한 부분을 뚫어 권한이 높은 계정(관리자나 임원급 등)을 겨냥하는 경우가 많기 때문이다. 게다가 계정마다 권한은 다른데, 보안 조치까지 다르지는 않은 경우가 대다수고, 무엇보다 회사 내에서 관리자 계정은 암암리에 누구나 사용이 가능하게끔 공유되는 회사도 많다. 권한을 가진 계정 소유자가 퇴직할 때의 관리도 소홀한 것이 현실이다.
12. 지금 당신의 옆 자리에는
2015년 보안 업계의 첫 뉴스는 모건 스탠리(Morgan Stanley)의 한 근무자가 고객 정보를 함부로 유통시켰다가 해고를 당했다는 것이었다. 권한이 높은 사람이기에 가능한 범죄였다. 권한이 높은 계정을 관리하는 건 반드시 그 계정을 소유하고 있는 인간도 관리해야 한다는 걸 뜻한다. 사람은 함부로 의심해서도 안 되지만, 함부로 믿을 수도 힘든 존재다.
13. 연방거래위원회와 친해져야 편해질 듯
미국의 법정은 윈덤 월드와이드 호텔 대 연방거래위원회 사건에서 연방거래위원회의 손을 들어주었다. 윈덤 호텔에서 발생한 고객정보 유출사건의 책임을 제대로 관리하지 않은 호텔에게 물어야 한다고, 제 3자인 연방거래위원회가 고소를 한 건데, 여기에서 연방거래위원회가 이긴 것이다. 이는 무슨 뜻인가? 미국에서 사업하려면 연방거래위원회와 친해져야 한다는 거다. 이제 연방거래위원회가 모든 사기업의 보안에 대해 감 놔라 대추 놔라 할 수 있게 되었으니까 말이다.
14. 곧 사방에서 그놈들이 들이닥칠 거야
자동차와 드론. 핏비트와 스마트 냉장고. 유아 모니터와 헬로 바비. 위성과 스마트 도시... 사물인터넷과 함께 우리 생활 곁으로 바짝 다가앉은 것들이다. 더불어 온갖 취약점들도 딸려왔다. 여기서 발견된 취약점들은 물리적인 위해로까지 이어질 가능성이 높아 FBI는 사물인터넷 기기들이 가지고 있는 위험성에 대해 경고를 발령하기도 했다. 다행히 이들을 보완하려는 움직임들이 연구자들과 사업자들 사이에서 있긴 하지만 속도로 봤을 때 아직 안전한 사물인터넷은 거리가 먼 이야기인 것처럼 보인다.
15. 불 조심, 공장 조심, 인프라 조심
전쟁도 처음에는 병사들끼리 넓은 전장에서 마주쳐 서로를 죽이는, 그들만의 일이었다. 그러나 이것이 점점 민간인들이 사는 지역에까지 흘러들어오고, 특히 현대에 들어서는 시가전이 생겨날 정도로 민간인들의 피해가 전쟁의 당연한 결과로 받아들여지기 시작했다. 사이버전도 마찬가지다. 정부기관이 상대 국가의 정부기관만 노리지 않는다. 좀더 직접적인 타격을 위해 상대 국가의 공장이나 교통시설 등 주요 사회 기반시설을 노리는데, 이런 기반시설이 터졌을 때 누가 제일 먼저 직접 타격을 받는가?
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>