사물인터넷 통한 대규모 디도스 공격의 진짜 핵심
2017년, 할렘화 진행되고 있는 인터넷 살릴 수 있을까
[보안뉴스 문가용 기자] 활기 찬 희망과 부푼 가슴으로 새해를 맞이한 지가 언제인지 기억도 나지 않는다. 신정과 구정이 새로 정해진 후부터 으레 며칠 정도는 쭉 쉬어주고 시작해야 하는 미풍양속이 1월말에서 2월초로 미뤄진 탓일까. 그냥 나이가 들면서 새해 결심만큼 강력한 자기기만이 없다는 게 경험으로 탄탄하게 쌓여왔기 때문일까. 아니면 지난 기자 경력이 ‘왜 슬픈 예감은 틀린 적이 없나’라는 진리를 수없이 확인해서일까.
작년 이맘때쯤 많은 전문가들은 ‘사물인터넷을 조심해야 한다’고 강력히 경고했고, 그 말은 올해 늦가을 현실로 다가왔다. 사물인터넷 기기들은 제조사들이 보안에 대한 개념이 없기 때문에 아주 기본적인 것에서부터 취약할 수밖에 없다는 것을 미라이(Mirai) 멀웨어가 만천하에 증명해냈고, 사물인터넷 기기들로부터 시작되는 디도스 공격은 급기야 테라바이트 단위에까지 이르렀다. 2016년, 랜섬웨어가 앞장서서 사이버 보안의 지형을 농락했다면, 디도스 공격은 똬리를 틀고 있다가 부흥의 기회를 놓치지 않았다.
뭐, 여기까지는 그래도 예상했던 시나리오다. 우린 디도스 공격이 알게 모르게 점점 커지고 있다는 것도 알고 있었고, 랜섬웨어에 의료 산업과 교육 산업이 차례로 공략당하는 걸 지켜보고 있었다. 막진 못했지만 모르고 있었던 건 아니다. 알고도 못 막았다고 부끄러워 할 수도 있지만, 어쩌면 알았으니 이 정도 선에서 그친 것일 수도 있다.
하지만 사물인터넷 기기들을 악용한 디도스 공격의 또 다른 측면 – 혹은 본질 - 을 예상한 사람은 몇이나 될까. 사물인터넷 기기가 디도스 공격을 1Tbps 단위로까지 치솟게 할 거라는 걸 대부분 예견했지만, 그 공격이 기기 주인을 직접적으로 괴롭히지 않는다는 사실을 미리부터 지적한 전문가들은 그리 많지 않았다.
이론상 예견되었던 공격을 실제 당하고 보니 ‘테라바이트의 트래픽이 쏟아지는 시대를 드디어 맞이한 것’이 중요한 게 아니라, ‘내가 돈 주고 산 사물인터넷 기기가 제 기능을 발휘만 한다면, 그게 저 먼 나라 어떤 회사의 업무를 마비시키든 말든 내 일이 아니라’는 인간의 마음가짐이 부끄럽게 저격당했다는 것이다. 그것이 이 새로운 공격 양상의 진짜 고약스러운 면이다.
문제는 한 번 더 꼬인다. 지난 수천, 수만 년의 역사를 통해 인간의 이기심에 대한 지적은 별다른 열매를 맺지 못한다는 걸 지겹도록 학습해왔기 때문이다. 그래서 그런지 사물인터넷 디도스 공격이 ‘내 문제 아니니까 괜찮아’라는 걸 파고들어도 그걸 직접 지적하는 목소리는 하나도 없다. 대신 우린 이렇게 말하기 시작했다. “네가 취약하니 우리가 불편하다”고. 내 안에도 분명 도사리고 있는 그 본능과 같은 나쁜 마음을 짚어내기 전에 ‘인터넷은 공공의 장소’라는 걸 갑자기 부각시키고, 그에 맞는 격식과 자세를 갖추라고 훈계한다. 아무도 거리에서 옷을 벗고 돌아다니거나 쓰레기를 휙휙 버리지 않는 것처럼 말이다.
틀린 말은 아니다. 따지고 보면 인터넷은 항상 공공의 장소였고, 다양한 만남과 접촉이 이루어지는 광장이었다. 게다가 수천, 수만 년 동안 ‘너 이기적이니까 고쳐’라고 말해주는 게 거의 아무런 효과가 없었던 것이 분명하니, 인터넷에서의 공중도덕을 부각시키는 게 오히려 효과적인 접근일 수도 있다. 하지만 그렇다 해도 언젠가, 누군가 본질을 지적하지 않는다면, 겉을 맴도는 듣기 좋은 이상론으로만 남아있을 뿐이다.
직설법을 고수해야 한다는 건 아니다. 말에는 지혜가 필요하고, 좋지 않은 측면을 짚어내는 말은 더욱 그러하다. 다만 아무리 지혜로운 방법을 취해 돌고 돌아도 언젠가 본질에 가서 닿아야 한다는 걸 잊지 말아야 한다는 것이다. 우회의 목적은 경로가 아니라 종착지다. 소비자들의 선택을 받아야 하는 보안업계가 친절하고 듣기 좋게, 혹은 이해가 쉽고 소화시키기 용이하게 표현을 한답시고 궤도에만 부유하고 있는 건 아닐까.
사건과 사고가 터지는 곳엔 약점이 있고, 약점들은 항상 더 나은 앞날을 위한 핵심 요소다. 집안에서 가장 약한 막내는 가장 약하기 때문에 온 식구가 놀러 갈 곳을 정하고, 가는 방법을 정하고, 머무르는 기간과 노는 방법을 정하는 기준이 된다. 그런 과정을 거쳐 막내가 잘 성장하면, 그 가족은 더 자유롭게 떠날 수 있게 된다. 환부는 시술이라는 어마어마하게 전문적이고 비싼 기술을 직접 누리는 곳이며, 온전해졌을 때 우린 몸 전체가 건강해졌다고 말한다. 본질을 회피하지 않을 때 우린 더 크고 좋은 것을 거머쥘 수 있게 된다.
사물인터넷을 통한 대규모 디도스 공격의 핵심은 ‘테라바이트’가 아니다. ‘디폴트 암호’도 아니고 미라이도 아니다. ‘나는 불편하지 않으니까 괜찮다’는 그 얕은 마음 씀씀이다. 그러니 ‘당신이 약해 우리가 불편하다’는 말보다 ‘내가 불편하지 않으려 해 우리가 약해진다’는 점을 똑바로 대면해 마음을 더 깊게 깊게 파내려갈 필요가 있다. 그러므로 2016년 끄트머리에 등장한 이 새로운 공격은 수천, 수만 년의 실패를 만회할 수 있는 또 다른 기회이기도 하다.
우리가 해결해야 할 문제는 생각보다 깊은 곳에 박혀 있다. 언저리를 맴도는 사치를 2017년에까지 누리기에 인터넷은 이미 할렘화가 많이 진행되었다. 남아 있는 인터넷 공간이 벌써 좁다랗다. 확장공사가 필요하다.
[국제부 문가용 기자(globoan@boannews.com)]
2017년, 할렘화 진행되고 있는 인터넷 살릴 수 있을까
[보안뉴스 문가용 기자] 활기 찬 희망과 부푼 가슴으로 새해를 맞이한 지가 언제인지 기억도 나지 않는다. 신정과 구정이 새로 정해진 후부터 으레 며칠 정도는 쭉 쉬어주고 시작해야 하는 미풍양속이 1월말에서 2월초로 미뤄진 탓일까. 그냥 나이가 들면서 새해 결심만큼 강력한 자기기만이 없다는 게 경험으로 탄탄하게 쌓여왔기 때문일까. 아니면 지난 기자 경력이 ‘왜 슬픈 예감은 틀린 적이 없나’라는 진리를 수없이 확인해서일까.
작년 이맘때쯤 많은 전문가들은 ‘사물인터넷을 조심해야 한다’고 강력히 경고했고, 그 말은 올해 늦가을 현실로 다가왔다. 사물인터넷 기기들은 제조사들이 보안에 대한 개념이 없기 때문에 아주 기본적인 것에서부터 취약할 수밖에 없다는 것을 미라이(Mirai) 멀웨어가 만천하에 증명해냈고, 사물인터넷 기기들로부터 시작되는 디도스 공격은 급기야 테라바이트 단위에까지 이르렀다. 2016년, 랜섬웨어가 앞장서서 사이버 보안의 지형을 농락했다면, 디도스 공격은 똬리를 틀고 있다가 부흥의 기회를 놓치지 않았다.
뭐, 여기까지는 그래도 예상했던 시나리오다. 우린 디도스 공격이 알게 모르게 점점 커지고 있다는 것도 알고 있었고, 랜섬웨어에 의료 산업과 교육 산업이 차례로 공략당하는 걸 지켜보고 있었다. 막진 못했지만 모르고 있었던 건 아니다. 알고도 못 막았다고 부끄러워 할 수도 있지만, 어쩌면 알았으니 이 정도 선에서 그친 것일 수도 있다.
하지만 사물인터넷 기기들을 악용한 디도스 공격의 또 다른 측면 – 혹은 본질 - 을 예상한 사람은 몇이나 될까. 사물인터넷 기기가 디도스 공격을 1Tbps 단위로까지 치솟게 할 거라는 걸 대부분 예견했지만, 그 공격이 기기 주인을 직접적으로 괴롭히지 않는다는 사실을 미리부터 지적한 전문가들은 그리 많지 않았다.
이론상 예견되었던 공격을 실제 당하고 보니 ‘테라바이트의 트래픽이 쏟아지는 시대를 드디어 맞이한 것’이 중요한 게 아니라, ‘내가 돈 주고 산 사물인터넷 기기가 제 기능을 발휘만 한다면, 그게 저 먼 나라 어떤 회사의 업무를 마비시키든 말든 내 일이 아니라’는 인간의 마음가짐이 부끄럽게 저격당했다는 것이다. 그것이 이 새로운 공격 양상의 진짜 고약스러운 면이다.
문제는 한 번 더 꼬인다. 지난 수천, 수만 년의 역사를 통해 인간의 이기심에 대한 지적은 별다른 열매를 맺지 못한다는 걸 지겹도록 학습해왔기 때문이다. 그래서 그런지 사물인터넷 디도스 공격이 ‘내 문제 아니니까 괜찮아’라는 걸 파고들어도 그걸 직접 지적하는 목소리는 하나도 없다. 대신 우린 이렇게 말하기 시작했다. “네가 취약하니 우리가 불편하다”고. 내 안에도 분명 도사리고 있는 그 본능과 같은 나쁜 마음을 짚어내기 전에 ‘인터넷은 공공의 장소’라는 걸 갑자기 부각시키고, 그에 맞는 격식과 자세를 갖추라고 훈계한다. 아무도 거리에서 옷을 벗고 돌아다니거나 쓰레기를 휙휙 버리지 않는 것처럼 말이다.
틀린 말은 아니다. 따지고 보면 인터넷은 항상 공공의 장소였고, 다양한 만남과 접촉이 이루어지는 광장이었다. 게다가 수천, 수만 년 동안 ‘너 이기적이니까 고쳐’라고 말해주는 게 거의 아무런 효과가 없었던 것이 분명하니, 인터넷에서의 공중도덕을 부각시키는 게 오히려 효과적인 접근일 수도 있다. 하지만 그렇다 해도 언젠가, 누군가 본질을 지적하지 않는다면, 겉을 맴도는 듣기 좋은 이상론으로만 남아있을 뿐이다.
직설법을 고수해야 한다는 건 아니다. 말에는 지혜가 필요하고, 좋지 않은 측면을 짚어내는 말은 더욱 그러하다. 다만 아무리 지혜로운 방법을 취해 돌고 돌아도 언젠가 본질에 가서 닿아야 한다는 걸 잊지 말아야 한다는 것이다. 우회의 목적은 경로가 아니라 종착지다. 소비자들의 선택을 받아야 하는 보안업계가 친절하고 듣기 좋게, 혹은 이해가 쉽고 소화시키기 용이하게 표현을 한답시고 궤도에만 부유하고 있는 건 아닐까.
사건과 사고가 터지는 곳엔 약점이 있고, 약점들은 항상 더 나은 앞날을 위한 핵심 요소다. 집안에서 가장 약한 막내는 가장 약하기 때문에 온 식구가 놀러 갈 곳을 정하고, 가는 방법을 정하고, 머무르는 기간과 노는 방법을 정하는 기준이 된다. 그런 과정을 거쳐 막내가 잘 성장하면, 그 가족은 더 자유롭게 떠날 수 있게 된다. 환부는 시술이라는 어마어마하게 전문적이고 비싼 기술을 직접 누리는 곳이며, 온전해졌을 때 우린 몸 전체가 건강해졌다고 말한다. 본질을 회피하지 않을 때 우린 더 크고 좋은 것을 거머쥘 수 있게 된다.
사물인터넷을 통한 대규모 디도스 공격의 핵심은 ‘테라바이트’가 아니다. ‘디폴트 암호’도 아니고 미라이도 아니다. ‘나는 불편하지 않으니까 괜찮다’는 그 얕은 마음 씀씀이다. 그러니 ‘당신이 약해 우리가 불편하다’는 말보다 ‘내가 불편하지 않으려 해 우리가 약해진다’는 점을 똑바로 대면해 마음을 더 깊게 깊게 파내려갈 필요가 있다. 그러므로 2016년 끄트머리에 등장한 이 새로운 공격은 수천, 수만 년의 실패를 만회할 수 있는 또 다른 기회이기도 하다.
우리가 해결해야 할 문제는 생각보다 깊은 곳에 박혀 있다. 언저리를 맴도는 사치를 2017년에까지 누리기에 인터넷은 이미 할렘화가 많이 진행되었다. 남아 있는 인터넷 공간이 벌써 좁다랗다. 확장공사가 필요하다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
