.gif)
가장 눈에 띄는 건 비트코인의 부활
유럽연합, 애플에 20억 달러에 달하는 벌금 부과 판결
인공지능을 만드는 회사들도 블랙박스가 되어 가고
해커들의 꾸준한 도전장 이른바 ‘공급망 공격’
[보안뉴스 문가용 기자] 2024년 3월 1주차 <보안뉴스>가 꼽은 이 주의 키워드는 establishment다. 사전을 찾아보면 회사나 기관 등 ‘단체’, ‘조직’을 뜻하는 단어라고 나온다. 하지만 보다 넓은 의미에서 사회적 주류 계층이나 기득권도 establishment라고 한다. 2019년에 개봉한 영화 <밤쉘: 세상을 바꾼 폭탄선언>에 대형 TV 채널의 간판 앵커가 기득권들의 부조리를 고민하고 있는 장면에서 그 남편이 “You’re the establishment”라고 하는 장면이 나오는데, “당신이 바로 그 기득권이잖아”라고 해석이 된다. 대표적인 용례라고 할 수 있다. 어쩌다 이런 키워드가 선정이 됐지만, 정부와 의협 간 줄다리기와는 전혀 상관이 없는 내용임을 알린다.
[이미지 = gettyimagesbank]
기득권이라도 가끔은 오아시스가 된다
이번 주는 establishment, 즉 사회 주류 세력이 가진 힘이 가감없이 드러나는 소식이 가득했다. 괜히 establishment가 아니라는 생각이 절로 든다. 가장 눈에 띄는 건 비트코인의 부활이다. 비트코인이 세상에 처음 등장하고서 여태까지 한 번도 기록한 적 없던 성적이 나왔다. 잠시이긴 하지만 1 비트코인의 가격이 무려 68,818 달러가 된 것이다. 비트코인이 되살아나고 있다며 암호화폐 투자자들 사이에서 희망 찬 환호성이 나왔던 올해 초의 가격이 44,000 달러였다는 걸 생각해보면 그 성장세가 얼마나 가파른지 알 수 있다. 작년의 암흑기가 기억나지 않을 정도이며, 조만간 기록이 갱신된다고 해도 이상하지 않다.
비트코인이 되살아난 건 establishment 중 하나인 미국 증권거래위원회가 “일부 암호화폐를 주식 시장에서 주식처럼 거래할 수 있도록 하겠다”고 지난 1월에 발표했기 때문이다. 탈중앙과 탈기득권을 외치면서 죽어가던 암호화폐가 ‘기득권’ 쪽에 살짝 발을 걸치게 된 것만으로 이처럼 바쁘게 되살아난 것은, 중앙의 관리가 없었을 때 얼마나 위험한지가 작년 내내 증명되었기 때문이다. 암호화폐 생태계에서 가장 영향력이 컸던 두 인물인 뱅크먼프리드와 창펑자오가 모두 유죄 판결을 받았는데, 이 두 사람 때문에 수많은 사람들이 천문학적인 돈을 잃었다. 중앙에서 관리하지 않는 환경에서 막강한 영향력을 갖게 된 이들의 선한 의도를 기대하기 힘들다는 뼈아픈 교훈이 퍼졌기 때문에, 아이러니하게도 중앙의 개입 결정은 오아시스와 같았다.
이 싸움, 오래 갈 듯
유럽연합이라는 거대 establishment도 힘을 아낌없이 자랑했다. 그 대상은 수년 전부터 유럽연합이 비공식 주적으로 삼아왔던 미국의 빅테크들이었다. 이번 주 그 빅테크들 중에서도 가장 선두에 있는 애플이 ‘역대급’ 벌금을 내게 됐다. 2019년 스포티파이(Spotify)가 애플이 음악 스트리밍 시장을 독점한다고 주장하며 고소했는데, 5년의 공방을 거쳐 유럽연합은 스포티파이의 말이 맞다며 애플에 20억 달러에 달하는 벌금을 내라고 판결을 내린 것이다. 반독점법과 관련하여 단일 기업이 유럽에서 받은 처벌 중 가장 큰 금액이라고 한다. 이제 애플은 자신의 플랫폼인 앱스토어를 통해서 다른 음악 스트리밍 서비스의 광고를 막을 수 없게 됐다.
구글도 establishment의 판결에 순응하기로 했다. 유럽연합의 ‘디지털시장법(Digital Markets Act)’에 따라 사용자들이 구글 외에 다른 검색엔진을 편리하게 선택할 수 있도록 하는 창을 하나 띄우기로 결정한 것이다. 그래서 이제 유럽의 사용자들은 구글의 서비스를 이용할 때 구글의 브라우저(크롬)이나 구글 검색엔진 외에 다른 서비스들을 선택할 수 있게 됐다. 하지만 그것이 곧 공정한 시장 경쟁으로 이어질 지는 아무도 장담할 수 없다. 왜냐하면 그쪽 세계에서 이미 구글은 스스로 establishment가 되었기 때문이다. 지난 20여년 동안 사실상의 디폴트 검색엔진으로 군림했던 구글인데, 선택창 하나 띄운다고 몇 명이나 다른 생태계에 정착하겠느냐는 것이다. 유럽연합이 법으로 establishment의 힘을 과시했다면, 앞으로 구글은 시장 장악력이라는 establishment의 힘을 보여줄 예정이다.
[이미지 = gettyimagesbank]
생긴 지 얼마나 됐다고 벌써
비교적 신생 분야인 인공지능 쪽에서도 벌써 기득권에 준하는 세력들이 나타나고 있다. 챗GPT로 전 세계적인 생성형 인공지능 열풍을 이끈 오픈AI와, 그 오픈AI의 대주주인 MS가 바로 그들이다. 그 바로 뒤로 메타, 앤트로픽, 구글 등도 줄 서있다. 수년 전부터 내부에서 인공지능을 독자적으로 연구하고 개발해 왔던 회사들이다. 그렇기에 자신들이 개발한 알고리즘과 모델들을 보호하고 싶은 마음은 충분히 이해 가능하다. 그런데 사실 기득권이란 게 분야나 계층을 막론하고 바로 이 ‘보호하고 싶은 마음’에서부터 출발하는 것이다. 확보한 것을 놓치려 하지 않을 때 생기는 각종 부작용을 우리는 익히 알고 있다.
뉴욕타임즈는 최근 ‘챗GPT가 저작권을 침해하는가’를 파악하기 위해 여러 가지 실험을 진행했는데, 오픈AI는 “우리 모델을 해킹했다”고 비판하며 법원에 고소장을 제출했다. 메타는 라마2(LLaMA 2 - 메타의 인공지능 모델) 사용자가 지적재산 침해를 주장하고 나설 경우 라이선스를 취소한다는 항목을 이용자 약관에 새롭게 넣었다. 이미지 생성 인공지능인 미드저니(Midjourney)는 레이드 사우든(Reid Southen)이라는 미술가가 저작권 침해 여부를 실험했다는 이유로 그가 계정을 만들 때마다 차단한다. 그러더니 이용자 약관을 위협적으로 바꾸기까지 했다.
그래서 인공지능 연구자들은 이번 주 공개서한을 작성해 오픈AI, 앤트로피, 구글, 미드저니에 보냈다. 독립적으로 연구를 진행하는 전문가들이 인공지능의 위험성과 결함을 보다 활발히, 그리고 안전하게 연구할 수 있도록 하라는 내용을 담고 있었다. 서한이 공개되자마자 100명이 넘는 인공지능 전문가들이 서명했다. 인공지능 알고리즘 자체도 ‘블랙박스’라 불릴 정도로 그 내부 사정을 인간이 다 알지 못하는데, 그 인공지능을 만드는 회사들도 블랙박스가 되어가고 있다. 자신들의 성과를 보호하려는 속사정이 이해 안 가는 건 아니기 때문에 이 경우 적절한 타협점을 찾는 게 중요해 보인다.
[이미지 = gettyimagesbank]
해커의 간택이 있어야 명실공히 establishment
IT 분야의 또 다른 주류 세력은 개발자들이다. 개발자들을 기득권이라고까지 부르기에는 조금 모자라지만, 최근 유능한 개발자 구하기가 하늘의 별 따기인 분위기이기 때문에 꽤나 힘이 세진 걸 부인할 수는 없다. 그 개발자들이 한데 모이는 공간이 있는데, 바로 공공 리포지터리들이다. 깃허브(GitHub)나 PyPI, npm 등이 대표적이다. 개발을 업으로 삼고 있는 사람들치고 이런 리포지터리를 활용해보지 않은 사람이 드물 정도로 이 리포지터리들은 IT 환경에서 establishment로 자리를 잡고 있다. 거기에 해커들이 꾸준히 도전장을 내밀고 있다. 이른 바 ‘공급망 공격’이 바로 그것이다. 주류가 존재하는 한 도전자는 없어지지 않을 것이고, 따라서 공급망 공격 역시 없어지지 않을 것이다.
하지만 해커들의 ‘도전’은 주류가 되기 위한 것이나 기득권을 빼앗기 위한 것이 아니다. ‘주류’가 되면 사람과 돈(혹은 돈이 될 만한 것)이 쏠린다는 현상에 집중하고 있다. 그래서 이들은 establishment가 establishment 그대로 남아있는 걸 선호한다. 상기한 깃허브나 PyPI, npm 등에서는 거의 매주 공격 시도가 발견되곤 한다. 이번 주도 예외는 아니었다. 최근 몇 개월 동안 깃허브에 등록된 악성 패키지 혹은 가짜 패키지가 무려 10만 개 이상이라는 조사 결과가 이번 주에 나왔다. 이 정도면 깃허브가 지뢰밭으로 변해가고 있다고 말해도 된다. 누구라도 삐끗하면 밟을 수밖에 없다. 개발 쪽 establishment 답게 1억 명이 이 플랫폼에서 활동하고 있다고 하는데, 한 명 정도는 실수하기 마련이다.
이런 리포지터리들 말고 각 회사들이 프라이빗 하게 운영하는 개발 플랫폼들도 존재한다. 팀시티(TeamCity)라는 제품이 그 중 하나이며, 꽤나 많은 사용자 기업들을 보유하고 있기도 한데, 이번 주 이 팀시티에서도 일이 터졌다. 심각한 취약점이 두 개나 발견된 것이다. 공격 목표로 삼은 기업이 팀시티를 사용하고 있다는 걸 확인한 공격자는 이 취약점들을 통해 플랫폼에 접속할 수 있게 되고, 그걸 모르고 팀시티를 이용해 프로그램을 개발하게 되면, 뭔가 잘못된 채로, 혹은 뭔가 수상한 요소들을 탑재한 채로 결과물이 나온다. 팀시티는 배포 플랫폼이기도 한데, 그렇기 때문에 뭔가 이상한 결과물이 팀시티를 타고 빠르게 퍼져 나갈 수도 있다. 이미 팀시티를 노리는 러시아 APT 조직의 행적이 작년에 발각된 적도 있다. 이 경우에도 공격자들은 팀시티가 establishment로서 그대로 남아있어 주기를 바라고 있을 것이다.
[이미지 = gettyimagesbank]
그리고 LCK
일반적으로 ‘기득권’이라고 하면 ‘끌어내려야 하는 대상’으로 받아들인다. ‘카르텔’과 동의어처럼 사용되는 게 요즘이다. 기득권에 대한 조롱과 멸시가 당연한 것이 된 지 오래다. 하지만 비트코인의 상황에서 봤듯이 기득권이 질서를 잡아주어야 안전해지는 경우도 있고, 유럽과 빅테크의 경우처럼 기득권과 기득권의 충돌로 인해 소비자들에게 더 많은 선택권이 주어지는 경우도 있다. 기득권이라는 것에도 여러 사정과 역할, 책임이 있다는 것이다.
그 역할이자 책임 중 하나는 스스로를 보호하는 것이다. 한 번 establishment가 되었다는 건, 그 품에 깃든 사람과 단체가 대단히 많다는 뜻이 된다. 유럽연합의 5억 인구, 깃허브의 1억 개발자, 팀시티의 3만 개 사용자 기업, 챗GPT의 수백만 사용자 등 예시는 끝이 없다. 즉 establishment가 자기를 보호한다는 건 많은 사람을 보호한다는 것과 동일하며, 그만큼 자기 혼자 좋자고 하는 일이 아니라 공익에 가까운 작업이 된다. 그래서 유럽연합은 빅테크의 시장 장악을 필사적으로 막는 것이고, 깃허브도 나름의 악성 코드 탐지기를 가동시키고 있으며 인공지능 개발사들도 안전 장치를 탑재시킨다. 커다란 우산처럼 드리울 때 기득권을 욕할 사람은 거의 없을 것이다.
지난 주에 이어 이번 주까지 우리나라 최대 규모의 이스포츠 리그인 LCK가 디도스 공격을 해결하지 못했다. LCK는 10개 팀이 100억원 씩 가입비를 내고 참가하는 리그다. 각 팀 당 최소 6~7명의 선수와 1~3명의 코지진으로 구성되어 있으니 아무리 적게 잡아도 100여 명이 관여되어 있다. 여기에 협회, 방송사와 방송인들까지 합하면 아무리 보수적으로 잡아도 ‘수백’ 명의 밥줄이 걸려 있는 생태계라고 볼 수 있다. 팬까지 더하면? 그 수는 기하급수적으로 늘어난다. 그런데도 디도스를 2주나 해결하지 못하고 있어 스포츠의 꽃인 ‘라이브 경기 관람’을 녹화 방송으로 대체했다. 그나마도 녹화 방송 시간을 주중 오후 9시와 주말 오후 7시로 잡아 ‘누굴 위한 방송이냐┖라는 성토까지 받고 있다(이 시간에 시작하면 경기 특성상 새벽까지 이어질 가능성이 높다고 한다).
현대 보안 기술을 동원하면 방어가 어렵지 않은 디도스 공격을 허용했다는 것도 문제지만, 이를 2주 간이나 해결하지 못하고 있다는 것, 그래서 리그에서 가장 중요한 콘텐츠를 희생시키고도 시청자들의 편의성을 고려하지 않은 시간대에 대체 방송을 편성했다는 것이 더 큰 문제다. 심지어 LCK 사건을 취재하고 있는 본지 담당 기자의 전화도 받지 않고 있다. Establishment의 역할과 책임을 다하지 못하고 있다고 볼 수 있고, 실제 팬들 사이에서 이번 디도스 공격은 그런 LCK의 기존 태도를 드러내는 계기가 되었다는 분석이 나오는 이유다. 깃허브나 PyPI 등과 마찬가지로 사이버 공격자가 간택을 했으니 LCK는 establishment임이 확실하다. 다만 그 부실함이 같이 드러나버렸다. 깃허브는 10만 개 악성 패키지 중 대다수를 자동으로 찾아내 삭제한다는 사실이 같이 확인됐는데, 그것과 확연히 다른 결과다.
[이미지 = gettyimagesbank]
인공지능 분야에서 벌어지는 일을 통해 볼 수 있듯, 내가 이뤄놓은 것을 놓지 않으려는 본능에서부터 기득권이란 게 탄생하기 때문에 우리는 누구라도 우리가 조롱하는 기득권이 될 가능성이 다분하다고 할 수 있다. ‘높은 자리에 오르지 않아서 망정이지 사실 내 안에도 기득권이 있다’라는 말은 누구에게나 통용된다. 그렇기에 establishment의 여러 면모를 참고해, 나도 모르게 기득권을 발휘하게 되는 위치에 올랐을 때 우산의 역할을 할 수 있도록 준비하는 게 중요하다. 안전의 개념과 보호의 시선을 넓혀가는 방향에서 현재 가지고 있는 권한을 발휘해보는 연습이 필요하다. 내 컴퓨터를 보호하는 데 익숙해졌다면, 내 옆자리 동료의 컴퓨터와 집에 계신 부모님의 효도폰에도 관심을 가져보는 것부터 시작하는 게 어떨까.
[국제부 문가용 기자(globoan@boannews.com)]
유럽연합, 애플에 20억 달러에 달하는 벌금 부과 판결
인공지능을 만드는 회사들도 블랙박스가 되어 가고
해커들의 꾸준한 도전장 이른바 ‘공급망 공격’
[보안뉴스 문가용 기자] 2024년 3월 1주차 <보안뉴스>가 꼽은 이 주의 키워드는 establishment다. 사전을 찾아보면 회사나 기관 등 ‘단체’, ‘조직’을 뜻하는 단어라고 나온다. 하지만 보다 넓은 의미에서 사회적 주류 계층이나 기득권도 establishment라고 한다. 2019년에 개봉한 영화 <밤쉘: 세상을 바꾼 폭탄선언>에 대형 TV 채널의 간판 앵커가 기득권들의 부조리를 고민하고 있는 장면에서 그 남편이 “You’re the establishment”라고 하는 장면이 나오는데, “당신이 바로 그 기득권이잖아”라고 해석이 된다. 대표적인 용례라고 할 수 있다. 어쩌다 이런 키워드가 선정이 됐지만, 정부와 의협 간 줄다리기와는 전혀 상관이 없는 내용임을 알린다.
[이미지 = gettyimagesbank]
기득권이라도 가끔은 오아시스가 된다
이번 주는 establishment, 즉 사회 주류 세력이 가진 힘이 가감없이 드러나는 소식이 가득했다. 괜히 establishment가 아니라는 생각이 절로 든다. 가장 눈에 띄는 건 비트코인의 부활이다. 비트코인이 세상에 처음 등장하고서 여태까지 한 번도 기록한 적 없던 성적이 나왔다. 잠시이긴 하지만 1 비트코인의 가격이 무려 68,818 달러가 된 것이다. 비트코인이 되살아나고 있다며 암호화폐 투자자들 사이에서 희망 찬 환호성이 나왔던 올해 초의 가격이 44,000 달러였다는 걸 생각해보면 그 성장세가 얼마나 가파른지 알 수 있다. 작년의 암흑기가 기억나지 않을 정도이며, 조만간 기록이 갱신된다고 해도 이상하지 않다.
비트코인이 되살아난 건 establishment 중 하나인 미국 증권거래위원회가 “일부 암호화폐를 주식 시장에서 주식처럼 거래할 수 있도록 하겠다”고 지난 1월에 발표했기 때문이다. 탈중앙과 탈기득권을 외치면서 죽어가던 암호화폐가 ‘기득권’ 쪽에 살짝 발을 걸치게 된 것만으로 이처럼 바쁘게 되살아난 것은, 중앙의 관리가 없었을 때 얼마나 위험한지가 작년 내내 증명되었기 때문이다. 암호화폐 생태계에서 가장 영향력이 컸던 두 인물인 뱅크먼프리드와 창펑자오가 모두 유죄 판결을 받았는데, 이 두 사람 때문에 수많은 사람들이 천문학적인 돈을 잃었다. 중앙에서 관리하지 않는 환경에서 막강한 영향력을 갖게 된 이들의 선한 의도를 기대하기 힘들다는 뼈아픈 교훈이 퍼졌기 때문에, 아이러니하게도 중앙의 개입 결정은 오아시스와 같았다.
이 싸움, 오래 갈 듯
유럽연합이라는 거대 establishment도 힘을 아낌없이 자랑했다. 그 대상은 수년 전부터 유럽연합이 비공식 주적으로 삼아왔던 미국의 빅테크들이었다. 이번 주 그 빅테크들 중에서도 가장 선두에 있는 애플이 ‘역대급’ 벌금을 내게 됐다. 2019년 스포티파이(Spotify)가 애플이 음악 스트리밍 시장을 독점한다고 주장하며 고소했는데, 5년의 공방을 거쳐 유럽연합은 스포티파이의 말이 맞다며 애플에 20억 달러에 달하는 벌금을 내라고 판결을 내린 것이다. 반독점법과 관련하여 단일 기업이 유럽에서 받은 처벌 중 가장 큰 금액이라고 한다. 이제 애플은 자신의 플랫폼인 앱스토어를 통해서 다른 음악 스트리밍 서비스의 광고를 막을 수 없게 됐다.
구글도 establishment의 판결에 순응하기로 했다. 유럽연합의 ‘디지털시장법(Digital Markets Act)’에 따라 사용자들이 구글 외에 다른 검색엔진을 편리하게 선택할 수 있도록 하는 창을 하나 띄우기로 결정한 것이다. 그래서 이제 유럽의 사용자들은 구글의 서비스를 이용할 때 구글의 브라우저(크롬)이나 구글 검색엔진 외에 다른 서비스들을 선택할 수 있게 됐다. 하지만 그것이 곧 공정한 시장 경쟁으로 이어질 지는 아무도 장담할 수 없다. 왜냐하면 그쪽 세계에서 이미 구글은 스스로 establishment가 되었기 때문이다. 지난 20여년 동안 사실상의 디폴트 검색엔진으로 군림했던 구글인데, 선택창 하나 띄운다고 몇 명이나 다른 생태계에 정착하겠느냐는 것이다. 유럽연합이 법으로 establishment의 힘을 과시했다면, 앞으로 구글은 시장 장악력이라는 establishment의 힘을 보여줄 예정이다.
[이미지 = gettyimagesbank]
생긴 지 얼마나 됐다고 벌써
비교적 신생 분야인 인공지능 쪽에서도 벌써 기득권에 준하는 세력들이 나타나고 있다. 챗GPT로 전 세계적인 생성형 인공지능 열풍을 이끈 오픈AI와, 그 오픈AI의 대주주인 MS가 바로 그들이다. 그 바로 뒤로 메타, 앤트로픽, 구글 등도 줄 서있다. 수년 전부터 내부에서 인공지능을 독자적으로 연구하고 개발해 왔던 회사들이다. 그렇기에 자신들이 개발한 알고리즘과 모델들을 보호하고 싶은 마음은 충분히 이해 가능하다. 그런데 사실 기득권이란 게 분야나 계층을 막론하고 바로 이 ‘보호하고 싶은 마음’에서부터 출발하는 것이다. 확보한 것을 놓치려 하지 않을 때 생기는 각종 부작용을 우리는 익히 알고 있다.
뉴욕타임즈는 최근 ‘챗GPT가 저작권을 침해하는가’를 파악하기 위해 여러 가지 실험을 진행했는데, 오픈AI는 “우리 모델을 해킹했다”고 비판하며 법원에 고소장을 제출했다. 메타는 라마2(LLaMA 2 - 메타의 인공지능 모델) 사용자가 지적재산 침해를 주장하고 나설 경우 라이선스를 취소한다는 항목을 이용자 약관에 새롭게 넣었다. 이미지 생성 인공지능인 미드저니(Midjourney)는 레이드 사우든(Reid Southen)이라는 미술가가 저작권 침해 여부를 실험했다는 이유로 그가 계정을 만들 때마다 차단한다. 그러더니 이용자 약관을 위협적으로 바꾸기까지 했다.
그래서 인공지능 연구자들은 이번 주 공개서한을 작성해 오픈AI, 앤트로피, 구글, 미드저니에 보냈다. 독립적으로 연구를 진행하는 전문가들이 인공지능의 위험성과 결함을 보다 활발히, 그리고 안전하게 연구할 수 있도록 하라는 내용을 담고 있었다. 서한이 공개되자마자 100명이 넘는 인공지능 전문가들이 서명했다. 인공지능 알고리즘 자체도 ‘블랙박스’라 불릴 정도로 그 내부 사정을 인간이 다 알지 못하는데, 그 인공지능을 만드는 회사들도 블랙박스가 되어가고 있다. 자신들의 성과를 보호하려는 속사정이 이해 안 가는 건 아니기 때문에 이 경우 적절한 타협점을 찾는 게 중요해 보인다.
[이미지 = gettyimagesbank]
해커의 간택이 있어야 명실공히 establishment
IT 분야의 또 다른 주류 세력은 개발자들이다. 개발자들을 기득권이라고까지 부르기에는 조금 모자라지만, 최근 유능한 개발자 구하기가 하늘의 별 따기인 분위기이기 때문에 꽤나 힘이 세진 걸 부인할 수는 없다. 그 개발자들이 한데 모이는 공간이 있는데, 바로 공공 리포지터리들이다. 깃허브(GitHub)나 PyPI, npm 등이 대표적이다. 개발을 업으로 삼고 있는 사람들치고 이런 리포지터리를 활용해보지 않은 사람이 드물 정도로 이 리포지터리들은 IT 환경에서 establishment로 자리를 잡고 있다. 거기에 해커들이 꾸준히 도전장을 내밀고 있다. 이른 바 ‘공급망 공격’이 바로 그것이다. 주류가 존재하는 한 도전자는 없어지지 않을 것이고, 따라서 공급망 공격 역시 없어지지 않을 것이다.
하지만 해커들의 ‘도전’은 주류가 되기 위한 것이나 기득권을 빼앗기 위한 것이 아니다. ‘주류’가 되면 사람과 돈(혹은 돈이 될 만한 것)이 쏠린다는 현상에 집중하고 있다. 그래서 이들은 establishment가 establishment 그대로 남아있는 걸 선호한다. 상기한 깃허브나 PyPI, npm 등에서는 거의 매주 공격 시도가 발견되곤 한다. 이번 주도 예외는 아니었다. 최근 몇 개월 동안 깃허브에 등록된 악성 패키지 혹은 가짜 패키지가 무려 10만 개 이상이라는 조사 결과가 이번 주에 나왔다. 이 정도면 깃허브가 지뢰밭으로 변해가고 있다고 말해도 된다. 누구라도 삐끗하면 밟을 수밖에 없다. 개발 쪽 establishment 답게 1억 명이 이 플랫폼에서 활동하고 있다고 하는데, 한 명 정도는 실수하기 마련이다.
이런 리포지터리들 말고 각 회사들이 프라이빗 하게 운영하는 개발 플랫폼들도 존재한다. 팀시티(TeamCity)라는 제품이 그 중 하나이며, 꽤나 많은 사용자 기업들을 보유하고 있기도 한데, 이번 주 이 팀시티에서도 일이 터졌다. 심각한 취약점이 두 개나 발견된 것이다. 공격 목표로 삼은 기업이 팀시티를 사용하고 있다는 걸 확인한 공격자는 이 취약점들을 통해 플랫폼에 접속할 수 있게 되고, 그걸 모르고 팀시티를 이용해 프로그램을 개발하게 되면, 뭔가 잘못된 채로, 혹은 뭔가 수상한 요소들을 탑재한 채로 결과물이 나온다. 팀시티는 배포 플랫폼이기도 한데, 그렇기 때문에 뭔가 이상한 결과물이 팀시티를 타고 빠르게 퍼져 나갈 수도 있다. 이미 팀시티를 노리는 러시아 APT 조직의 행적이 작년에 발각된 적도 있다. 이 경우에도 공격자들은 팀시티가 establishment로서 그대로 남아있어 주기를 바라고 있을 것이다.
[이미지 = gettyimagesbank]
그리고 LCK
일반적으로 ‘기득권’이라고 하면 ‘끌어내려야 하는 대상’으로 받아들인다. ‘카르텔’과 동의어처럼 사용되는 게 요즘이다. 기득권에 대한 조롱과 멸시가 당연한 것이 된 지 오래다. 하지만 비트코인의 상황에서 봤듯이 기득권이 질서를 잡아주어야 안전해지는 경우도 있고, 유럽과 빅테크의 경우처럼 기득권과 기득권의 충돌로 인해 소비자들에게 더 많은 선택권이 주어지는 경우도 있다. 기득권이라는 것에도 여러 사정과 역할, 책임이 있다는 것이다.
그 역할이자 책임 중 하나는 스스로를 보호하는 것이다. 한 번 establishment가 되었다는 건, 그 품에 깃든 사람과 단체가 대단히 많다는 뜻이 된다. 유럽연합의 5억 인구, 깃허브의 1억 개발자, 팀시티의 3만 개 사용자 기업, 챗GPT의 수백만 사용자 등 예시는 끝이 없다. 즉 establishment가 자기를 보호한다는 건 많은 사람을 보호한다는 것과 동일하며, 그만큼 자기 혼자 좋자고 하는 일이 아니라 공익에 가까운 작업이 된다. 그래서 유럽연합은 빅테크의 시장 장악을 필사적으로 막는 것이고, 깃허브도 나름의 악성 코드 탐지기를 가동시키고 있으며 인공지능 개발사들도 안전 장치를 탑재시킨다. 커다란 우산처럼 드리울 때 기득권을 욕할 사람은 거의 없을 것이다.
지난 주에 이어 이번 주까지 우리나라 최대 규모의 이스포츠 리그인 LCK가 디도스 공격을 해결하지 못했다. LCK는 10개 팀이 100억원 씩 가입비를 내고 참가하는 리그다. 각 팀 당 최소 6~7명의 선수와 1~3명의 코지진으로 구성되어 있으니 아무리 적게 잡아도 100여 명이 관여되어 있다. 여기에 협회, 방송사와 방송인들까지 합하면 아무리 보수적으로 잡아도 ‘수백’ 명의 밥줄이 걸려 있는 생태계라고 볼 수 있다. 팬까지 더하면? 그 수는 기하급수적으로 늘어난다. 그런데도 디도스를 2주나 해결하지 못하고 있어 스포츠의 꽃인 ‘라이브 경기 관람’을 녹화 방송으로 대체했다. 그나마도 녹화 방송 시간을 주중 오후 9시와 주말 오후 7시로 잡아 ‘누굴 위한 방송이냐┖라는 성토까지 받고 있다(이 시간에 시작하면 경기 특성상 새벽까지 이어질 가능성이 높다고 한다).
현대 보안 기술을 동원하면 방어가 어렵지 않은 디도스 공격을 허용했다는 것도 문제지만, 이를 2주 간이나 해결하지 못하고 있다는 것, 그래서 리그에서 가장 중요한 콘텐츠를 희생시키고도 시청자들의 편의성을 고려하지 않은 시간대에 대체 방송을 편성했다는 것이 더 큰 문제다. 심지어 LCK 사건을 취재하고 있는 본지 담당 기자의 전화도 받지 않고 있다. Establishment의 역할과 책임을 다하지 못하고 있다고 볼 수 있고, 실제 팬들 사이에서 이번 디도스 공격은 그런 LCK의 기존 태도를 드러내는 계기가 되었다는 분석이 나오는 이유다. 깃허브나 PyPI 등과 마찬가지로 사이버 공격자가 간택을 했으니 LCK는 establishment임이 확실하다. 다만 그 부실함이 같이 드러나버렸다. 깃허브는 10만 개 악성 패키지 중 대다수를 자동으로 찾아내 삭제한다는 사실이 같이 확인됐는데, 그것과 확연히 다른 결과다.
[이미지 = gettyimagesbank]
인공지능 분야에서 벌어지는 일을 통해 볼 수 있듯, 내가 이뤄놓은 것을 놓지 않으려는 본능에서부터 기득권이란 게 탄생하기 때문에 우리는 누구라도 우리가 조롱하는 기득권이 될 가능성이 다분하다고 할 수 있다. ‘높은 자리에 오르지 않아서 망정이지 사실 내 안에도 기득권이 있다’라는 말은 누구에게나 통용된다. 그렇기에 establishment의 여러 면모를 참고해, 나도 모르게 기득권을 발휘하게 되는 위치에 올랐을 때 우산의 역할을 할 수 있도록 준비하는 게 중요하다. 안전의 개념과 보호의 시선을 넓혀가는 방향에서 현재 가지고 있는 권한을 발휘해보는 연습이 필요하다. 내 컴퓨터를 보호하는 데 익숙해졌다면, 내 옆자리 동료의 컴퓨터와 집에 계신 부모님의 효도폰에도 관심을 가져보는 것부터 시작하는 게 어떨까.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)