유명 중고 투표 기기 브랜드, 대부분 쉽게 뚫려
오래된 OS 및 취약점 보유한 경우 많아...일반 범죄자도 공격 가능해
[보안뉴스 문가용 기자] 올해의 데프콘(DEF CON)에서는 사상 처음으로 투표 기계 해커 마을(Voting Machine Hacker Village)이라는 것이 도입되어 눈길을 끌었다. 전 세계에서 온라인 투표 시스템이 서서히 도입되고 있으며, 이에 대한 각종 사이버전과 찬반 여론이 들끓고 있는데, 이러한 트렌드를 잘 반영했다는 평이 주를 이루고 있다.
[이미지 = iclickart]
데프콘의 창립자인 제프 모스(Jeff Moss)는 최근 중고 투표 기기를 이베이에서 여러 대 구입해 데프콘에 참석한 해커들에게 마음껏 뜯고 물고 맛보라고 건네주었다. 물론 전자 투표 시스템이란 것을 더욱 강력하고 단단히 만들기 위함이었다. 이 ‘마을’에 설치된 투표 기기는 대략 30대였는데, Sequoia AVC Edge, ES&S iVotronic, Diebold TSX, Winvote, Diebold Expresspoll 4000라는 제조사의 이름을 가지고 있는 것들이었다.
그런데 문제는 해킹이 너무나 빠른 시간 안에 성공했다는 것이다. 윈도우 CE 등의 오래된 소프트웨어가 설치되었거나 PCMCIA, 시리얼 포트, WEP 기반 와이파이 기능 등 하드웨어를 노출시키는 통로가 많은 시스템들은 과장 좀 보태서 개장하자마자 뚫리다시피 했고, 이를 기점으로 대부분의 투표 시스템들이 차례로 해커들에 무릎을 꿇었다. (‘대부분’이라고 한 건 기사가 현지에서 송고된 시점에서의 이야기)
제일 먼저 해킹당한 시스템의 경우, 한 해커가 WinVote라는 OS에서 원격 접근 오류를 발견한 것으로부터 공격은 시작됐다. 이 취약점을 통해 해당 해커는 기기 안에 저장되어 있던 여러 선거 관련 데이터를 수확해냈다. 또 다른 해커는 Express-Pollbook 시스템을 크래킹해 OpenSSL 오류(CVE-2011-4109)를 통해 내부 데이터 구조를 노출시키기도 했다. 역시 원격에서의 공격을 가능케 하는 것이었다. 90분만에 벌어진 일이었다.
“미국이라는 국가가 수개월에서 수년 동안 보유하고 있었던 중요한 시스템을 공격하는 방법을 알아내는 데에 두 시간도 걸리지 않았다는 겁니다. 보통 선거 시스템과 기기들을 공격하는 건 적국의 사이버전 부대라고 생각하는데, 그냥 일반적인 사이버 범죄자들도 얼마든지 공격이 가능하다는 점도 증명된 것과 같습니다. 지금 세계는 투표와 관련된 해킹 사고만 일어나면 러시아를 쳐다보는데, 그렇게까지 이 투표 시스템이 대단한 건 아니라는 것이죠.”
모스는 “내년 데프콘에서는 실제 전자 투표 과정을 시뮬레이션 해서, 그걸 해킹 타깃으로 삼을 생각을 하고 있다”고 밝혔다. “즉 모의 선거를 현장에서 실제로 해보고, 그 시스템 전체에 대한 공격을 허가하는 겁니다. 이러면 전자 선거와 관련해서 더 많은 정보를 파악할 수 있겠죠. 단순히 기기의 취약점에 그치지 않고요.”
아직까지 투표 시스템 전반을 아우르는 보안 평가가 진행된 예는 없다. 현재까지는 일부 기계나 일부 투표 과정에만 국한된 것이 거의 전부였다. “전체 시스템을 구축할 계획을 이미 세우고 있습니다. 다만 백엔드에 필요한 기기들을 정확히 파악하는 게 현재로서는 힘든 상황입니다. 그러나 내년 데프콘 전까지는 해결할 수 있을 듯 하고, 실제 선거와 똑같은 일을 여기서 진행할 수 있을 것입니다. 제가 일단 후보로 직접 나설 텐데, 아직 경쟁자를 정하지 못했습니다.” 모스의 설명이다.
데프콘이 투표 기계 해커 마을이라는 콘셉트를 준비한 건 당연히 러시아와 미국 사이의 선거 개입 논란 때문이다. 하지만 그것만이 전부는 아니다. “블랙햇에서 페이스북의 CISO인 알렉스 스타모스(Alex Stamos)가 ‘보안 업계가 해킹해서 뚫고 막는 방법에 대해서만 고민할 게 아니라 혁신적이고 거시적인 방어를 고민해야 할 때가 되었다’고 주장했습니다. 그 의견에 동의하며, 선거 시스템 역시 보안 업계의 혁신이 필요한 부분일 거라고 생각해서 준비한 것입니다.”
또한 모스는 “영화에서 보듯 뛰어난 해커 한 명이 모든 공격을 다 진행할 수 있는 시대는 지났다”고 말했다. “현대의 해커들은 집단으로 움직입니다. 그것이 이번 데프콘의 핵심 메시지라고도 볼 수 있어요. 집단으로 움직이는 해커들의 모든 것을 보안 담당자 혹은 업체가 개별적으로 파악할 수 없습니다.” 계속해서 모스는 “이미 해커들은 구글이 등장하기 이전부터 정보를 공유하고, 멘토를 찾아 실력을 올리곤 했다”며 “이들의 이 ‘멘토십’이 다음 보안 혁신의 키워드가 아닐까 한다”는 의견도 피력했다.
그렇다고 보안 전문가들이 해킹을 그만두어야 한다는 뜻은 아니라고 모스는 강조했다. “여기서 제가 해킹을 하라 마라 한다고 해서 그만둘 것도 아니고, 해킹 실험을 해보는 게 의미가 없어지는 것도 아닙니다. 다만 보안 담당자가 하는 해킹이라면, ‘타당성’을 갖추고 있어야겠죠. 법적인 타당성도 중요하지만 보안 범죄자들의 추세에 맞출 수 있는 시대적 타당성도 중요합니다. 아직도 보안을 20년전과 똑같은 개념과 마인드로 할 수 없다는 뜻입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
오래된 OS 및 취약점 보유한 경우 많아...일반 범죄자도 공격 가능해
[보안뉴스 문가용 기자] 올해의 데프콘(DEF CON)에서는 사상 처음으로 투표 기계 해커 마을(Voting Machine Hacker Village)이라는 것이 도입되어 눈길을 끌었다. 전 세계에서 온라인 투표 시스템이 서서히 도입되고 있으며, 이에 대한 각종 사이버전과 찬반 여론이 들끓고 있는데, 이러한 트렌드를 잘 반영했다는 평이 주를 이루고 있다.
[이미지 = iclickart]
데프콘의 창립자인 제프 모스(Jeff Moss)는 최근 중고 투표 기기를 이베이에서 여러 대 구입해 데프콘에 참석한 해커들에게 마음껏 뜯고 물고 맛보라고 건네주었다. 물론 전자 투표 시스템이란 것을 더욱 강력하고 단단히 만들기 위함이었다. 이 ‘마을’에 설치된 투표 기기는 대략 30대였는데, Sequoia AVC Edge, ES&S iVotronic, Diebold TSX, Winvote, Diebold Expresspoll 4000라는 제조사의 이름을 가지고 있는 것들이었다.
그런데 문제는 해킹이 너무나 빠른 시간 안에 성공했다는 것이다. 윈도우 CE 등의 오래된 소프트웨어가 설치되었거나 PCMCIA, 시리얼 포트, WEP 기반 와이파이 기능 등 하드웨어를 노출시키는 통로가 많은 시스템들은 과장 좀 보태서 개장하자마자 뚫리다시피 했고, 이를 기점으로 대부분의 투표 시스템들이 차례로 해커들에 무릎을 꿇었다. (‘대부분’이라고 한 건 기사가 현지에서 송고된 시점에서의 이야기)
제일 먼저 해킹당한 시스템의 경우, 한 해커가 WinVote라는 OS에서 원격 접근 오류를 발견한 것으로부터 공격은 시작됐다. 이 취약점을 통해 해당 해커는 기기 안에 저장되어 있던 여러 선거 관련 데이터를 수확해냈다. 또 다른 해커는 Express-Pollbook 시스템을 크래킹해 OpenSSL 오류(CVE-2011-4109)를 통해 내부 데이터 구조를 노출시키기도 했다. 역시 원격에서의 공격을 가능케 하는 것이었다. 90분만에 벌어진 일이었다.
“미국이라는 국가가 수개월에서 수년 동안 보유하고 있었던 중요한 시스템을 공격하는 방법을 알아내는 데에 두 시간도 걸리지 않았다는 겁니다. 보통 선거 시스템과 기기들을 공격하는 건 적국의 사이버전 부대라고 생각하는데, 그냥 일반적인 사이버 범죄자들도 얼마든지 공격이 가능하다는 점도 증명된 것과 같습니다. 지금 세계는 투표와 관련된 해킹 사고만 일어나면 러시아를 쳐다보는데, 그렇게까지 이 투표 시스템이 대단한 건 아니라는 것이죠.”
모스는 “내년 데프콘에서는 실제 전자 투표 과정을 시뮬레이션 해서, 그걸 해킹 타깃으로 삼을 생각을 하고 있다”고 밝혔다. “즉 모의 선거를 현장에서 실제로 해보고, 그 시스템 전체에 대한 공격을 허가하는 겁니다. 이러면 전자 선거와 관련해서 더 많은 정보를 파악할 수 있겠죠. 단순히 기기의 취약점에 그치지 않고요.”
아직까지 투표 시스템 전반을 아우르는 보안 평가가 진행된 예는 없다. 현재까지는 일부 기계나 일부 투표 과정에만 국한된 것이 거의 전부였다. “전체 시스템을 구축할 계획을 이미 세우고 있습니다. 다만 백엔드에 필요한 기기들을 정확히 파악하는 게 현재로서는 힘든 상황입니다. 그러나 내년 데프콘 전까지는 해결할 수 있을 듯 하고, 실제 선거와 똑같은 일을 여기서 진행할 수 있을 것입니다. 제가 일단 후보로 직접 나설 텐데, 아직 경쟁자를 정하지 못했습니다.” 모스의 설명이다.
데프콘이 투표 기계 해커 마을이라는 콘셉트를 준비한 건 당연히 러시아와 미국 사이의 선거 개입 논란 때문이다. 하지만 그것만이 전부는 아니다. “블랙햇에서 페이스북의 CISO인 알렉스 스타모스(Alex Stamos)가 ‘보안 업계가 해킹해서 뚫고 막는 방법에 대해서만 고민할 게 아니라 혁신적이고 거시적인 방어를 고민해야 할 때가 되었다’고 주장했습니다. 그 의견에 동의하며, 선거 시스템 역시 보안 업계의 혁신이 필요한 부분일 거라고 생각해서 준비한 것입니다.”
또한 모스는 “영화에서 보듯 뛰어난 해커 한 명이 모든 공격을 다 진행할 수 있는 시대는 지났다”고 말했다. “현대의 해커들은 집단으로 움직입니다. 그것이 이번 데프콘의 핵심 메시지라고도 볼 수 있어요. 집단으로 움직이는 해커들의 모든 것을 보안 담당자 혹은 업체가 개별적으로 파악할 수 없습니다.” 계속해서 모스는 “이미 해커들은 구글이 등장하기 이전부터 정보를 공유하고, 멘토를 찾아 실력을 올리곤 했다”며 “이들의 이 ‘멘토십’이 다음 보안 혁신의 키워드가 아닐까 한다”는 의견도 피력했다.
그렇다고 보안 전문가들이 해킹을 그만두어야 한다는 뜻은 아니라고 모스는 강조했다. “여기서 제가 해킹을 하라 마라 한다고 해서 그만둘 것도 아니고, 해킹 실험을 해보는 게 의미가 없어지는 것도 아닙니다. 다만 보안 담당자가 하는 해킹이라면, ‘타당성’을 갖추고 있어야겠죠. 법적인 타당성도 중요하지만 보안 범죄자들의 추세에 맞출 수 있는 시대적 타당성도 중요합니다. 아직도 보안을 20년전과 똑같은 개념과 마인드로 할 수 없다는 뜻입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(0).jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
