제재와 감시를 뛰어넘은 이란, 인공지능을 팔 것처럼 포장만 하고 최초 출시 시기를 연내로 넘겨버린 애플, 피했으면 좋았을 베트남의 재앙, 물리적으로나 논리적으로 분리된 시스템을 뛰어넘는 방법, 과거 구글의 비즈니스 행적을 간과하지 않겠다는 사법부
[보안뉴스 문가용 기자] 2024년 9월 2주차 <보안뉴스>가 선정한 키워드는 ‘Skip’이다. 뭔가를 무시하여 없는 것처럼 여기거나, 나중에 정식 출시될 서비스를 마치 지금 당장 내놓을 것처럼 대대적으로 포장하거나, 물리적 혹은 논리적으로 분리된 시스템을 겨냥하는 방법이 나오거나, 얼렁뚱땅 넘어가지 못하도록 재판이 시작됐기 때문이다.
[이미지 = gettyimagesbank]
1. 인공지능 그렇게 자랑하더니, Skip
애플이 아이폰16을 발표했다. 모두가 예상했던 그대로, 애플이 그렇게나 자랑해왔던 그대로, 인공지능을 전면에 내세웠다. 심지어 인공지능의 약자인 AI를 Artificial Intelligence가 아니라 Apple Intelligence로 바꿔 쓰기까지 했던 애플이었다. 시리(Siri)라는 인공지능 어시스턴트로 세상을 깜짝 놀라게 했던 애플이, 지금 인공지능 열기와 경쟁이 계속해서 달아오르는 시점에 이렇다 할 성과를 내지 못하고 있다는 게 오히려 이상할 지경인데, 애플 스스로도 조바심을 많이 느꼈던 것으로 보인다. 이번 발표에서 인공지능이 세상에 공개한 건 또 하나의 ‘예고’에 그쳤기 때문이다.
새로운 아이폰에 들어간 새로운 칩셋(A16)에는 인공지능 기능을 위한 코어들이 더 많이 확보되었다고 애플은 운을 뗐다. 그러므로 이번 아이폰은 전작들과 달리 처음부터 인공지능을 위해 만들어진 장비라고까지 표현했다. 모두가 이 새로운 기기를 통해 인공지능의 무궁무진한 잠재력을 즐겼으면 좋겠다고 말했는데, 그게 언제? 출시일로부터? 아니다. ‘올해 내에’라고 한다. 인공지능을 위한 칩셋은 탑재했고, 이제 곧 새 아이폰이 시장에 나와 소비자들의 지갑을 열 것이지만, 거기에는 아직 이번 프레젠테이션의 핵심이자 셀링포인트였던 인공지능은 없을 예정이다. 향후 업데이트를 통해 제공된다나 뭐래나.
결국 애플은 인공지능을 아직 채 갖추지도 못했으면서도 거대한 발표회를 열어 그 인공지능을 한껏 자랑한 것으로, 투자자들은 꽤나 큰 실망감을 감추지 못했다. 있지도 않은(아니면 아직 준비되지도 않은) 인공지능을 열심히 판매하려는 애플의 발표회가 진행되는 와중에 주가가 떨어지기 시작했다. 최대 3%까지 떨어졌다. 물론 지금은 다시 회복세에 접어든 상태이지만, 애플의 인공지능 이니셔티브에 투자자들이 느낀 실망감이 작지 않다는 것이 드러났다.
애플의 인공지능 전문 기기인 아이폰 16은 이번 달부터 판매가 될 예정이지만, 인공지능은 없을 것이다. 대신 업데이트를 통해 미국식 영어권에서부터 제공되기 시작할 것이며, 그 후 영국과 호주, 남아프리카공화국 등의 영어를 이해할 수 있는 인공지능이 순차적으로 탑재될 것이라고 한다. 그 외 비영어인 일본어, 중국어, 스페인어 등을 활용한 인공지능은 내년부터 사용이 가능하다. 인공지능이 핵심인 제품이지만, 그 핵심 기능은 애플이 선택한 언어권에 있는 사용자여야만 내년부터 경험할 수 있다.
2. 이란, 제재를 Skip하고 러시아에 무기 공급
이번 주 이란이 단거리 탄도 미사일을 러시아에 제공하고 있다는 고발이 나왔다. 미국, 영국, 프랑스, 독일은 빠르게 행동을 취했다. 이란에 대한 제재를 화요일부터 강화한 것이다. 이란은 강력히 부인하고 있으며, 이번 서방 세계의 주장에 아무런 근거도 없다고 비판했다. 실제로 아직까지 서방 국가들은 그 어떤 증거를 제시하지 않고 있다. 이란의 무기가 러우 전쟁에서 사용된 적도 아직은 없다. 다만 서방 국가들의 매체들은 “조만간 이 탄도 미사일이 우크라이나를 공략하는 데 사용될 것이다”라는 예고들만 나오는 중이다.
[이미지 = gettyimagesbank]
서방 국가들이 주장하는 내용에 따르면 이란이 러시아에 제공한 탄도 미사일은 200개 정도 된다고 한다. 파스360(Fath-360)이라고 알려진 미사일인데, 최대 사거리가 120km이며, 150kg 정도의 폭약을 싣고 날아갈 수 있는 것으로 알려져 있다. 비행 속도는 음속의 4배 정도 되며, 타격 오차 범위는 30미터도 되지 않는다. 물론 이런 미사일 200개가 전황을 뒤집지는 못할 것이라고 전문가들은 보고 있다. 서방 국가들도 이 무기들로 상황이 바뀔 거라고 보고 있지는 않다. 하지만 러시아가 우세한 상황이기 때문에 그 어떤 무기라도 우크라이나에 치명적으로 작용할 수 있다는 게 문제다.
사실 러우 전쟁이 시작된 이후 이란이 문제가 된 게 한두 번의 일이 아니다. 전쟁이 시작되자마자 러시아는 이란의 드론을 사용해 폭탄을 전장으로 날랐고, 러시아 병력을 훈련시키는 데에 있어서도 이란의 지원이 있었다. 드론 생산 기지를 러시아에 세우는 데 이란이 크게 이바지하기도 했다. 이런 모든 것은 이란산 무기의 흔적들이 전쟁터에서 나오면서 따로 증명할 필요가 없게 됐다. 게다가 전쟁이 시작되기 전에 이란은 이미 러시아에 드론들을 판매하고 있기도 했다.
이란은 군사 무기와 관련하여 여러 가지 제재에 오랜 기간 고통받아 왔다. 하지만 전통 무기와 관련된 제재는 2020년 10월에, 마시알과 관련된 제재는 2023년 10월에 만료됐다. 엄밀히 말하면 이란이 러시아에 무기를 줬다 한들 이러한 제재들을 위반한 것은 아니다. 다만 미국과 유럽 일부 국가들은 국제 기관이 아니라 독자적인 제재를 가동시켜 여전히 이란을 압박하고 있다.
이란은 “러시아에 미사일을 준 적이 없다”고 반박하며 “전쟁을 치르는 나라에 무기를 주는 건, 민간인 시설과 인명 피해를 증대시키는 것과 다름이 없고, 이것은 비인간적인 행위라고 이란은 간주한다”고 발표했다. 스스로 비인간적인 행위라고 정의하는 행동을 이란 정부가 할 일이 없다는 뜻이기도 하지만, 우크라이나에 계속해서 무기를 주는 서방 국가들을 비꼬는 말이기도 하다. 이란의 무기 제공 문제는 당분간 국제 소식들에 계속해서 다뤄질 전망이다.
3. Skip 했으면 좋았을 재앙
중국과 베트남을 할퀸 최악의 폭풍 야기(Yagi)가 어마어마한 피해를 남기고 있다. 베트남에서 특히 피해가 컸는데, 아직까지도 실종자들을 다 찾지 못하고 있으며, 사망자의 수가 매일 빠르게 늘어나고 있다. 야기 상륙 후 1주일도 지나지 않았는데 벌써 공식 사망자가 143명이며, 아직도 58명이 실종 상태다. 중국에서 있었던 피해까지 다 합하면 현재 기준 야기가 앗아간 생명은 150이 넘는다고 한다.
[이미지 = gettyimagesbank]
지난 주말 야기가 베트남에 상륙했을 때 최대 풍속은 149km/h였다. 강수량도 어마어마했다. 이 때문에 여기 저기서 물이 범람하고 홍수가 났다. 그러더니 지반이 버티지 못하고 무너져 내리며 산사태가 일어났다. 강물도 계속해서 불어나 위험 수위를 넘어섰고, 그 영향은 이웃 라우스, 태국, 미얀마에까지 미쳤다. 하노이의 매체들은 2008년 이후 최악의 홍수라고 이번 사태에 대해 보도하고 있으며, 물이 너무 빠르게 불어나는 바람에 아래층으로 피하지 못한 사람들이 건물 옥상으로 피했다. 현재 여러 지역의 사진을 통해 지붕 위에서 구조를 기다리는 사람이 아직 많이 남아있음을 알 수 있다.
야기는 동남아시아/동아시아 지역에서 출몰한 태풍 중 꽤나 규모가 큰 편에 속해 ‘슈퍼태풍’이라는 이름으로 불리기도 했다. 해당 지역에서는 이러한 규모의 태풍이 잘 형성되지 않는다고도 한다. 미국 태풍 분류 기준에 따르면 야기는 4등급 정도가 된다고 하며, 사실상 5등급이 그리 흔히 나타나지 않는다는 걸 감안하면 야기는 정말로 슈퍼태풍이라는 이름이 잘 어울린다. 현재는 계속 대륙 쪽으로 진행하고 있으며, 그에 따라 힘을 크게 잃은 상황이다. 태풍은 바다 위에서 에너지를 끌어모아 강력해지고, 대륙에서는 식어 소멸된다.
4. 이스라엘 벤구리온 대학, Skip의 대가
에어갭(air-gapped)이라는 말이 있다. 대단히 중요한 컴퓨터를 기존 회사 망과 공공 인터넷에서 완전히 분리해 두었을 때, 이 컴퓨터를 air-gapped computer라고 한다. 네트워크와도 연결되어 있지 않으니 원격에서 접속하기가 힘들고, 따라서 원격 해킹 공격은 불가능에 가깝다. 대단히 중요한 정보나 업무 프로세스, 설정 상태 등이 저장된 컴퓨터를 이런 식으로 보호하는 게 보통이다.
[이미지 = gettyimagesbank]
하지만 인터넷이나 로컬 망에 연결되어 있지 않다고 해서 이런 컴퓨터들을 공략하는 방법이 아주 없는 건 아니다. 그 유명한 스턱스넷(Stuxnet) 사건도, 미국과 이스라엘의 사주를 받은 것으로 알려진 해커들이 USB를 통해 air-gapped 처리가 된 시스템을 공격하는 데 성공하면서 발생했다. 악성 내부자를 한 명 확보하는 데 성공해도 air-gapped 시스템은 얼마든지 공격할 수 있다.
이렇게 격리된 채 보관되는 컴퓨터를 공략하는 데 전문인 사람들이 있다. 이스라엘 벤구리온대학의 연구원들이다. 이들은 계속해서 기상천외한 해킹 방법들을 고안해 세상에 발표한다. 망에서 분리된 시스템을 공략하는 것이니 간단치 않으며, 따라서 이 벤구리온대학에서 뭔가를 발표한다고 했을 때 시간 간격은 꽤나 큰 편이다. 참고로 벤구리온대학은 air-gapped 시스템을 공략한다고 했을 때 ‘너무 전문적이거나 너무 비싼 도구를 사용하지 않는다’는 원칙을 지키는 편이다.
그런데 이번 주 벤구리온대학이 무슨 일인지 두 개의 공격 기법을 발표했다. 먼저 공개된 건 람보(RAMBO)라고 알려진 공격법이었는데, 컴퓨터의 RAM이 무선 신호를 발생하도록 유도하고, 그 신호를 잡아 해독하는 것으로 정보를 빼돌리는 기법이었다. 최대 7미터 바깥에서 초당 1천 비트 속도로 데이터를 빼돌릴 수 있다고 한다.
두 번째로 공개된 건 픽스헬(Pixhell)이라는 기법이다. LCD 화면의 픽셀 패턴으로부터 발생하는 소음을 캡쳐하고, 이를 분석함으로써 정보를 얻어낼 수 있다고 벤구리온대학 측은 설명한다. 최대 2미터 바깥에서 초당 20비트의 속도로 데이터를 유출시킬 수 있다고 한다. 마이크로폰이 달린 장비만 있으면 공격을 얼마든지 실시하는 것도 가능하다. 즉 독특하거나 비싼 장비가 필요하지 않고 있다는 뜻이다.
사실 이 두 가지 기법이 실제 공격에 사용될 가능성은 극히 낮다. 아무리 벤구리온 측에서 난이도를 낮추고 공격에 들어가는 투자금을 최소화 했다고 하더라도, 일반적인 해킹 공격과는 비교가 되지 않는다. 엄청난 전문성이 요구되며, 여러 가지 조건이 딱 맞아떨어져야 한다는 어려움도 극복해야 한다. 하지만 이런 공격이 한 번이라도 성공해 우리 회사의 air-gapped 시스템의 비밀번호가 유출되는 일이 발생하면 어떻게 될까? 텍스트로 구성된 지적정보라면? 공격자의 빠른 상향평준화가 이뤄지는 시기에 이런 연구 결과를 Skip해서는 안 된다.
5. 또 다시 시작된 구글 재판, 독점 혐의는 Skip할 수 없어
빅테크인 구글은 이번 주 다시 한 번 재판에 휘말렸다. 얼마 전 구글에 역사적 패배를 안겼던 ‘반독점법 위반’이 다시 화두가 됐다. 당시 재판은 검색엔진 시장에서 구글이 반독점법을 위반한 것이 인정되었다면, 이번에는 온라인 광고 시장에서 구글이 반독점법을 위반한 것 아니냐는 의혹이 판결에 부쳐지게 됐다. 검색엔진 분야에서 구글이 패한 것이 역사적 사건이라고 불리는 것은 구글의 뿌리가 검색엔진 기술이었기 때문이다. 온라인 광고 분야에서 구글이 패한다면 그 역시 역사적 사건이 될 수 있는데, 그것은 구글의 주 수익원이 온라인 광고이기 때문이다.
[이미지 = gettyimagesbank]
미국 사법부는 구글이 온라인 광고 생태계에서 독과점을 이용해 광고주로부터 부당한 금액을 요구했고, 온라인 공간이 온통 광고로 도배되도록 하는 데 상당히 많은 역할을 한 것으로 보고 있다. 따라서 소비자들이 자기도 모르게 내는 비용 역시 부당하게 많았다고 보고 있다. 그 말은, 구글이 이번 재판에서 질 경우 일반 소비자들이 인터넷을 이용할 때 광고를 보는 방식이 달라질 수 있다는 뜻이 된다. 일부 전문가들은 구글이 패소함으로써 사이버 공간이 보다 쾌적해질 가능성이 높다고 보고 있다.
재판부는 구글이 2007년부터 온라인 광고 관련 서비스를 제공하고 있던 기업들을 여럿 매입한 것을 문제 삼고 있다. 15년 동안 온라인 광고 서비스 기업들을 꾸준히 사들이면서 이제 온라인 광고 생태계에서 가장 영향력 있는 단 하나의 기업으로 올라섰다는 것이다.
예를 들어 구글은 2007년 더블클릭(DoubleClick)이라는 기업을 매입했는데, 이 더블클릭은 광고 공간을 판매하고자 하는 퍼블리셔들을 위한 온라인 마켓을 제공하던 회사였다. 그 다음으로는 인바이트미디어(Invite Media)와 애드멜드(AdMeld)라는 기업들을 차례로 인수했다. 이 두 회사는 광고 자리를 구매하려는 광고주들과 퍼블리셔들을 이어주는 서비스를 제공하고 있었다. 이로써 광고 자리를 가지고 있는 퍼블리셔와 그 자리를 사려는 광고주 모두를 구글이 사실상 장악하게 된 것인데, 이는 쉽게 말해 수요와 공급 모두가 구글의 영향권 아래 들어갔다고 할 수 있다.
다만 이러한 사업적 행위가 전부 불법이었느냐, 그렇다고 한다면 어디서부터 어디까지가 불법이고 어떤 부분이 합법이었느냐의 시시비비를 가리는 게 쉽지 않을 것으로 예상된다. 구글이 위에 언급된 M&A를 진행한 것 그 자체로 법을 위반한 건 아니기 때문이다. 한 건 한 건 모두 적법하게 진행됐는데, 모아놓고 보니 시장 독점을 위한 공작이었던 것으로 추정되는 것일 뿐이다.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 2024년 9월 2주차 <보안뉴스>가 선정한 키워드는 ‘Skip’이다. 뭔가를 무시하여 없는 것처럼 여기거나, 나중에 정식 출시될 서비스를 마치 지금 당장 내놓을 것처럼 대대적으로 포장하거나, 물리적 혹은 논리적으로 분리된 시스템을 겨냥하는 방법이 나오거나, 얼렁뚱땅 넘어가지 못하도록 재판이 시작됐기 때문이다.
[이미지 = gettyimagesbank]
1. 인공지능 그렇게 자랑하더니, Skip
애플이 아이폰16을 발표했다. 모두가 예상했던 그대로, 애플이 그렇게나 자랑해왔던 그대로, 인공지능을 전면에 내세웠다. 심지어 인공지능의 약자인 AI를 Artificial Intelligence가 아니라 Apple Intelligence로 바꿔 쓰기까지 했던 애플이었다. 시리(Siri)라는 인공지능 어시스턴트로 세상을 깜짝 놀라게 했던 애플이, 지금 인공지능 열기와 경쟁이 계속해서 달아오르는 시점에 이렇다 할 성과를 내지 못하고 있다는 게 오히려 이상할 지경인데, 애플 스스로도 조바심을 많이 느꼈던 것으로 보인다. 이번 발표에서 인공지능이 세상에 공개한 건 또 하나의 ‘예고’에 그쳤기 때문이다.
새로운 아이폰에 들어간 새로운 칩셋(A16)에는 인공지능 기능을 위한 코어들이 더 많이 확보되었다고 애플은 운을 뗐다. 그러므로 이번 아이폰은 전작들과 달리 처음부터 인공지능을 위해 만들어진 장비라고까지 표현했다. 모두가 이 새로운 기기를 통해 인공지능의 무궁무진한 잠재력을 즐겼으면 좋겠다고 말했는데, 그게 언제? 출시일로부터? 아니다. ‘올해 내에’라고 한다. 인공지능을 위한 칩셋은 탑재했고, 이제 곧 새 아이폰이 시장에 나와 소비자들의 지갑을 열 것이지만, 거기에는 아직 이번 프레젠테이션의 핵심이자 셀링포인트였던 인공지능은 없을 예정이다. 향후 업데이트를 통해 제공된다나 뭐래나.
결국 애플은 인공지능을 아직 채 갖추지도 못했으면서도 거대한 발표회를 열어 그 인공지능을 한껏 자랑한 것으로, 투자자들은 꽤나 큰 실망감을 감추지 못했다. 있지도 않은(아니면 아직 준비되지도 않은) 인공지능을 열심히 판매하려는 애플의 발표회가 진행되는 와중에 주가가 떨어지기 시작했다. 최대 3%까지 떨어졌다. 물론 지금은 다시 회복세에 접어든 상태이지만, 애플의 인공지능 이니셔티브에 투자자들이 느낀 실망감이 작지 않다는 것이 드러났다.
애플의 인공지능 전문 기기인 아이폰 16은 이번 달부터 판매가 될 예정이지만, 인공지능은 없을 것이다. 대신 업데이트를 통해 미국식 영어권에서부터 제공되기 시작할 것이며, 그 후 영국과 호주, 남아프리카공화국 등의 영어를 이해할 수 있는 인공지능이 순차적으로 탑재될 것이라고 한다. 그 외 비영어인 일본어, 중국어, 스페인어 등을 활용한 인공지능은 내년부터 사용이 가능하다. 인공지능이 핵심인 제품이지만, 그 핵심 기능은 애플이 선택한 언어권에 있는 사용자여야만 내년부터 경험할 수 있다.
2. 이란, 제재를 Skip하고 러시아에 무기 공급
이번 주 이란이 단거리 탄도 미사일을 러시아에 제공하고 있다는 고발이 나왔다. 미국, 영국, 프랑스, 독일은 빠르게 행동을 취했다. 이란에 대한 제재를 화요일부터 강화한 것이다. 이란은 강력히 부인하고 있으며, 이번 서방 세계의 주장에 아무런 근거도 없다고 비판했다. 실제로 아직까지 서방 국가들은 그 어떤 증거를 제시하지 않고 있다. 이란의 무기가 러우 전쟁에서 사용된 적도 아직은 없다. 다만 서방 국가들의 매체들은 “조만간 이 탄도 미사일이 우크라이나를 공략하는 데 사용될 것이다”라는 예고들만 나오는 중이다.
[이미지 = gettyimagesbank]
서방 국가들이 주장하는 내용에 따르면 이란이 러시아에 제공한 탄도 미사일은 200개 정도 된다고 한다. 파스360(Fath-360)이라고 알려진 미사일인데, 최대 사거리가 120km이며, 150kg 정도의 폭약을 싣고 날아갈 수 있는 것으로 알려져 있다. 비행 속도는 음속의 4배 정도 되며, 타격 오차 범위는 30미터도 되지 않는다. 물론 이런 미사일 200개가 전황을 뒤집지는 못할 것이라고 전문가들은 보고 있다. 서방 국가들도 이 무기들로 상황이 바뀔 거라고 보고 있지는 않다. 하지만 러시아가 우세한 상황이기 때문에 그 어떤 무기라도 우크라이나에 치명적으로 작용할 수 있다는 게 문제다.
사실 러우 전쟁이 시작된 이후 이란이 문제가 된 게 한두 번의 일이 아니다. 전쟁이 시작되자마자 러시아는 이란의 드론을 사용해 폭탄을 전장으로 날랐고, 러시아 병력을 훈련시키는 데에 있어서도 이란의 지원이 있었다. 드론 생산 기지를 러시아에 세우는 데 이란이 크게 이바지하기도 했다. 이런 모든 것은 이란산 무기의 흔적들이 전쟁터에서 나오면서 따로 증명할 필요가 없게 됐다. 게다가 전쟁이 시작되기 전에 이란은 이미 러시아에 드론들을 판매하고 있기도 했다.
이란은 군사 무기와 관련하여 여러 가지 제재에 오랜 기간 고통받아 왔다. 하지만 전통 무기와 관련된 제재는 2020년 10월에, 마시알과 관련된 제재는 2023년 10월에 만료됐다. 엄밀히 말하면 이란이 러시아에 무기를 줬다 한들 이러한 제재들을 위반한 것은 아니다. 다만 미국과 유럽 일부 국가들은 국제 기관이 아니라 독자적인 제재를 가동시켜 여전히 이란을 압박하고 있다.
이란은 “러시아에 미사일을 준 적이 없다”고 반박하며 “전쟁을 치르는 나라에 무기를 주는 건, 민간인 시설과 인명 피해를 증대시키는 것과 다름이 없고, 이것은 비인간적인 행위라고 이란은 간주한다”고 발표했다. 스스로 비인간적인 행위라고 정의하는 행동을 이란 정부가 할 일이 없다는 뜻이기도 하지만, 우크라이나에 계속해서 무기를 주는 서방 국가들을 비꼬는 말이기도 하다. 이란의 무기 제공 문제는 당분간 국제 소식들에 계속해서 다뤄질 전망이다.
3. Skip 했으면 좋았을 재앙
중국과 베트남을 할퀸 최악의 폭풍 야기(Yagi)가 어마어마한 피해를 남기고 있다. 베트남에서 특히 피해가 컸는데, 아직까지도 실종자들을 다 찾지 못하고 있으며, 사망자의 수가 매일 빠르게 늘어나고 있다. 야기 상륙 후 1주일도 지나지 않았는데 벌써 공식 사망자가 143명이며, 아직도 58명이 실종 상태다. 중국에서 있었던 피해까지 다 합하면 현재 기준 야기가 앗아간 생명은 150이 넘는다고 한다.
[이미지 = gettyimagesbank]
지난 주말 야기가 베트남에 상륙했을 때 최대 풍속은 149km/h였다. 강수량도 어마어마했다. 이 때문에 여기 저기서 물이 범람하고 홍수가 났다. 그러더니 지반이 버티지 못하고 무너져 내리며 산사태가 일어났다. 강물도 계속해서 불어나 위험 수위를 넘어섰고, 그 영향은 이웃 라우스, 태국, 미얀마에까지 미쳤다. 하노이의 매체들은 2008년 이후 최악의 홍수라고 이번 사태에 대해 보도하고 있으며, 물이 너무 빠르게 불어나는 바람에 아래층으로 피하지 못한 사람들이 건물 옥상으로 피했다. 현재 여러 지역의 사진을 통해 지붕 위에서 구조를 기다리는 사람이 아직 많이 남아있음을 알 수 있다.
야기는 동남아시아/동아시아 지역에서 출몰한 태풍 중 꽤나 규모가 큰 편에 속해 ‘슈퍼태풍’이라는 이름으로 불리기도 했다. 해당 지역에서는 이러한 규모의 태풍이 잘 형성되지 않는다고도 한다. 미국 태풍 분류 기준에 따르면 야기는 4등급 정도가 된다고 하며, 사실상 5등급이 그리 흔히 나타나지 않는다는 걸 감안하면 야기는 정말로 슈퍼태풍이라는 이름이 잘 어울린다. 현재는 계속 대륙 쪽으로 진행하고 있으며, 그에 따라 힘을 크게 잃은 상황이다. 태풍은 바다 위에서 에너지를 끌어모아 강력해지고, 대륙에서는 식어 소멸된다.
4. 이스라엘 벤구리온 대학, Skip의 대가
에어갭(air-gapped)이라는 말이 있다. 대단히 중요한 컴퓨터를 기존 회사 망과 공공 인터넷에서 완전히 분리해 두었을 때, 이 컴퓨터를 air-gapped computer라고 한다. 네트워크와도 연결되어 있지 않으니 원격에서 접속하기가 힘들고, 따라서 원격 해킹 공격은 불가능에 가깝다. 대단히 중요한 정보나 업무 프로세스, 설정 상태 등이 저장된 컴퓨터를 이런 식으로 보호하는 게 보통이다.
[이미지 = gettyimagesbank]
하지만 인터넷이나 로컬 망에 연결되어 있지 않다고 해서 이런 컴퓨터들을 공략하는 방법이 아주 없는 건 아니다. 그 유명한 스턱스넷(Stuxnet) 사건도, 미국과 이스라엘의 사주를 받은 것으로 알려진 해커들이 USB를 통해 air-gapped 처리가 된 시스템을 공격하는 데 성공하면서 발생했다. 악성 내부자를 한 명 확보하는 데 성공해도 air-gapped 시스템은 얼마든지 공격할 수 있다.
이렇게 격리된 채 보관되는 컴퓨터를 공략하는 데 전문인 사람들이 있다. 이스라엘 벤구리온대학의 연구원들이다. 이들은 계속해서 기상천외한 해킹 방법들을 고안해 세상에 발표한다. 망에서 분리된 시스템을 공략하는 것이니 간단치 않으며, 따라서 이 벤구리온대학에서 뭔가를 발표한다고 했을 때 시간 간격은 꽤나 큰 편이다. 참고로 벤구리온대학은 air-gapped 시스템을 공략한다고 했을 때 ‘너무 전문적이거나 너무 비싼 도구를 사용하지 않는다’는 원칙을 지키는 편이다.
그런데 이번 주 벤구리온대학이 무슨 일인지 두 개의 공격 기법을 발표했다. 먼저 공개된 건 람보(RAMBO)라고 알려진 공격법이었는데, 컴퓨터의 RAM이 무선 신호를 발생하도록 유도하고, 그 신호를 잡아 해독하는 것으로 정보를 빼돌리는 기법이었다. 최대 7미터 바깥에서 초당 1천 비트 속도로 데이터를 빼돌릴 수 있다고 한다.
두 번째로 공개된 건 픽스헬(Pixhell)이라는 기법이다. LCD 화면의 픽셀 패턴으로부터 발생하는 소음을 캡쳐하고, 이를 분석함으로써 정보를 얻어낼 수 있다고 벤구리온대학 측은 설명한다. 최대 2미터 바깥에서 초당 20비트의 속도로 데이터를 유출시킬 수 있다고 한다. 마이크로폰이 달린 장비만 있으면 공격을 얼마든지 실시하는 것도 가능하다. 즉 독특하거나 비싼 장비가 필요하지 않고 있다는 뜻이다.
사실 이 두 가지 기법이 실제 공격에 사용될 가능성은 극히 낮다. 아무리 벤구리온 측에서 난이도를 낮추고 공격에 들어가는 투자금을 최소화 했다고 하더라도, 일반적인 해킹 공격과는 비교가 되지 않는다. 엄청난 전문성이 요구되며, 여러 가지 조건이 딱 맞아떨어져야 한다는 어려움도 극복해야 한다. 하지만 이런 공격이 한 번이라도 성공해 우리 회사의 air-gapped 시스템의 비밀번호가 유출되는 일이 발생하면 어떻게 될까? 텍스트로 구성된 지적정보라면? 공격자의 빠른 상향평준화가 이뤄지는 시기에 이런 연구 결과를 Skip해서는 안 된다.
5. 또 다시 시작된 구글 재판, 독점 혐의는 Skip할 수 없어
빅테크인 구글은 이번 주 다시 한 번 재판에 휘말렸다. 얼마 전 구글에 역사적 패배를 안겼던 ‘반독점법 위반’이 다시 화두가 됐다. 당시 재판은 검색엔진 시장에서 구글이 반독점법을 위반한 것이 인정되었다면, 이번에는 온라인 광고 시장에서 구글이 반독점법을 위반한 것 아니냐는 의혹이 판결에 부쳐지게 됐다. 검색엔진 분야에서 구글이 패한 것이 역사적 사건이라고 불리는 것은 구글의 뿌리가 검색엔진 기술이었기 때문이다. 온라인 광고 분야에서 구글이 패한다면 그 역시 역사적 사건이 될 수 있는데, 그것은 구글의 주 수익원이 온라인 광고이기 때문이다.
[이미지 = gettyimagesbank]
미국 사법부는 구글이 온라인 광고 생태계에서 독과점을 이용해 광고주로부터 부당한 금액을 요구했고, 온라인 공간이 온통 광고로 도배되도록 하는 데 상당히 많은 역할을 한 것으로 보고 있다. 따라서 소비자들이 자기도 모르게 내는 비용 역시 부당하게 많았다고 보고 있다. 그 말은, 구글이 이번 재판에서 질 경우 일반 소비자들이 인터넷을 이용할 때 광고를 보는 방식이 달라질 수 있다는 뜻이 된다. 일부 전문가들은 구글이 패소함으로써 사이버 공간이 보다 쾌적해질 가능성이 높다고 보고 있다.
재판부는 구글이 2007년부터 온라인 광고 관련 서비스를 제공하고 있던 기업들을 여럿 매입한 것을 문제 삼고 있다. 15년 동안 온라인 광고 서비스 기업들을 꾸준히 사들이면서 이제 온라인 광고 생태계에서 가장 영향력 있는 단 하나의 기업으로 올라섰다는 것이다.
예를 들어 구글은 2007년 더블클릭(DoubleClick)이라는 기업을 매입했는데, 이 더블클릭은 광고 공간을 판매하고자 하는 퍼블리셔들을 위한 온라인 마켓을 제공하던 회사였다. 그 다음으로는 인바이트미디어(Invite Media)와 애드멜드(AdMeld)라는 기업들을 차례로 인수했다. 이 두 회사는 광고 자리를 구매하려는 광고주들과 퍼블리셔들을 이어주는 서비스를 제공하고 있었다. 이로써 광고 자리를 가지고 있는 퍼블리셔와 그 자리를 사려는 광고주 모두를 구글이 사실상 장악하게 된 것인데, 이는 쉽게 말해 수요와 공급 모두가 구글의 영향권 아래 들어갔다고 할 수 있다.
다만 이러한 사업적 행위가 전부 불법이었느냐, 그렇다고 한다면 어디서부터 어디까지가 불법이고 어떤 부분이 합법이었느냐의 시시비비를 가리는 게 쉽지 않을 것으로 예상된다. 구글이 위에 언급된 M&A를 진행한 것 그 자체로 법을 위반한 건 아니기 때문이다. 한 건 한 건 모두 적법하게 진행됐는데, 모아놓고 보니 시장 독점을 위한 공작이었던 것으로 추정되는 것일 뿐이다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
