Home > 전체기사
[어록위클리 7-3] “범죄자들과의 협상은 절대 있을 수 없...”
  |  입력 : 2019-07-21 17:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
은퇴 선언한 해커, 사실상 번복...협상 없다고 선언한 시장들, 현실 속 번복
디지털 생활 공간 늘어날수록 필요한 덕목은 “꼼꼼함”...핸드폰 충전은 어디서?


[보안뉴스 문가용 기자] 지난 한 주 동안 해외 보안 업계에서는 어떤 일들이 있었을까? 7월 3째 주 동안 보안 업계에서 일어났던 사건들의 본질을 꿰뚫는다고 느껴지는 업계 종사자들의 말을 간략하게 정리해 보았다.

[이미지 = iclickart]


‘전염병’같은 것들
“트릭부스터의 가장 큰 특징은 자신의 행위를 감추는 데 특화되어 있다는 겁니다. 자신이 만드는 흔적을 꼼꼼하게 삭제하죠. 그렇기 때문에 대분의 보안 제품으로서는 탐지가 어렵습니다. 스텔스 기능으로서는 꽤나 발전된 모습이고, 앞으로 공격자들 사이에서 유행할 것 같습니다.”
딥 인스팅트(Deep Instinct)의 사이버 첩보 전문가, 숄 빌코미르프레이스만(Shaul Vilkomir-Preisman)과 그의 동료 톰 니프라브스키(Tom Nipravski)

핵심은 마지막 줄에 있다. 사이버 범죄자들끼리는 좋은 걸 서로 잘 나누기 때문에 어떤 멀웨어 하나가 새로운 기능을 가지고 나타났을 때, 방어자들은 전염을 걱정해야 한다는 것이다. 수년 만에 에볼라가 등장하고, 백여 년 만에 콜레라가 다시 나타나고 있으며, 돼지열병이라는 것이 수많은 목숨을 앗아가고 있는 때에, 사이버 범죄자들 역시 아직 백신이 나타나지 않은 전염병처럼 창궐하고 있다. 반면 방어에 있어서의 공유는 아직 갈 길이 멀다.

“그렇게나 돈을 잘 벌고 있던 사람들이 갑자기 ‘충분히 벌었다’고 사라진다? 믿기 힘듭니다.”
보안 전문가 브라이언 크렙스(Brian Krebs)

나쁜 건 자기들끼리 잘도 전파하는 게 사이버 범죄자들의 특성 중 하나라면, 돈에 대해서는 절대 포기하지 않는 집요함을 보여주는 것 역시 이들이 보여주는 특징이다. 충분히 벌었다면서 은퇴를 선언했던 갠드크랩의 공격자들이 사실은 거짓말을 했을 가능성이 높다는 증거들이 이번 주 해외에서 모이기 시작했다. 하긴, 김정은이 평화 무드 조성하는 듯한 움직임을 보이니까 북한이 사실은 깨끗하고 청렴한 곳이라는 둥, 김정은은 멋지고 결단력 있는 리더라는 둥 기억력에 배분된 뇌 세포가 하나도 없는 것 같은 순진함 가득한 소리들을 하는 게 사람이긴 하다.

꼼꼼함이 필요할 때
“변호사 생활을 하면서 정책을 꼼꼼히 읽는 피보험자를 만나본 건 손에 꼽을 정도로 적다. 99%가 보험 정책의 요약본만 읽고 잊어버린다.”
우즈 로저스 PLC(Woods Rogers PLC)의 변호사, 베스 버긴 월러(Beth Burgin Waller)

생활이 디지털 공간으로 옮겨갈수록 ‘기본 사항’으로서 요구되는 항목들이 늘어나고 있는데, 그 중 하나가 꼼꼼함이다. 꼼꼼한 성격도 타고난 것이라고 믿는 경향이 있기도 한데, 평생 덜렁덜렁 구멍만 내고, 책임감 없는 삶을 살 것이 아니라면 설사 꼼꼼함을 타고나지 않았더라도 훈련으로 보충해야 한다. 사이버 공격자들이 천성적으로 덜렁거리는 사람이라고 봐주지 않으며, 그런 성격이라고 책임이 줄어들지 않는다.

“파트너십을 맺었다면, 그 때부터는 주기적인 보안 점검이 이뤄져야 합니다. 즉 ‘상대를 신뢰하긴 하지만, 그래도 확인은 해야 한다’ 혹은 ‘확인을 기반으로 한 신뢰’ 체제가 구축되어야 한다는 것이죠. 아직 ‘확인’ 부분은 정착되지 않았습니다. 서명을 하고 악수를 한 순간부터 서로를 ‘신뢰’하는 데에만 신경을 쓰죠.”,
보안 업체 놈실드(NormShield)의 CSO, 밥 말리(Bob Maley)

이건 사업적인 측면에서의 꼼꼼함을 지적하는 부분이다. 서드파티를 통한 보안 사고가 발생하는 걸 막으려면 계약서 상에 명시하는 것만으로는 모자라다는 것이다. 계약서로 할 수 있는 건 고작해야 사고 발생 시 책임을 묻는 것일 뿐이다. 계약서 작성만으로 안심하고 있다면, 보안을 ‘사고났을 때 책임만 지면 되는 것’ 정도로 인식한다는 뜻이다. 마치 대로변에 아이들이 뛰어 놀게 놔두고, 사고라도 나면 차주인을 경찰서로 끌고가면 되지, 라고 생각하는 것과 같다. 이건 ‘컴플라이언스’가 보안의 전부라고 보는 시각과도 일맥상통한다. 어쩌면 꼼꼼하지 못한 것 자체가 본질을 제대로 이해하지 못하거나 인정하지 않았을 때 발현하는 빈틈일 수도 있다.

결정적인 한 마디, 잔소리 같지 않게
“스마트폰 충전, 침대 옆에서 하지 마세요.”
사업가이자 작가, 아리아나 허핑턴(Arianna Huffington)

중독 산업에 대한 책, 이레지스터블(Irresistible)이라는 책에 나오는 인용구다. 허핑턴은 스마트폰과 태블릿 컴퓨터 등에서 나오는 파란색 불빛이 수면을 방해한다며, 제조사들이 주황색 백라이트가 나오도록 제품을 만들어야 한다고 촉구하면서도 다른 한 편으로는 소비자들에게 기발한 위험 완화 방법을 하나 내놓는다. 결국에는 스마트폰을 잠자기 직전에 사용하지 말라는 건데, 그걸 작가답게 “충전기를 침대 옆에다 두지 말라”고 표현한 것이다.

일반 소비자가 실천할 수 있는 보안의 기본 사항들도 이런 식으로 기발하게 표현할 수 없을까, 고민을 하게 된다. 잔소리처럼 느껴지지 않도록 하면서 비밀번호를 자주 바꾸게 하거나 이메일을 함부로 열지 않게 하려면 우린 어떤 표현을 동원할 수 있을까? 예를 들어 간편 결제 앱 토스(Toss)의 신용석 CISO는 직원들에게 “개인 이메일은 회사 네트워크나 와이파이가 아니라 이동 통신(LTE 등)으로 확인하라”고 권고한다고 한다. 뭔가 일상 속 습관과 맞닿아있는, 그러므로 피부로 느껴지는 권고가 더 필요하다.

말 따로 행동 따로
“랜섬웨어 범죄자들의 요구에 응하지 않겠다.”
약 1400명으로 구성된 미국 시장협의회(US Conference of Mayors)

요즘 미국의 정부 기관들은 랜섬웨어 때문에 만신창이다. 오죽했으면 미국 전국의 시장들끼리 모여서 “절대로 범인들과는 협상하지 않는다”는 멋진 성명까지 발표했을까. 그러나 말은 누구나 할 수 있다는 것만 증명됐을 뿐이었다. 이번 주 인디애나 주 라포트 카운티에 속해 있는 라포트와 미시간의 시장들은 성명서 발표에 잘 참여해놓고는, 정작 자신들이 랜섬웨어에 걸리자 범인들에게 3만 달러를 지급했다.

얼굴 팔리는 걸 정말로 걱정해야 할 때
“연예인 얼굴이 성인물에 합성되어 나가는 일이, 정말 연예인들만의 일일까요? 오바마가 한 번도 하지 않은 말이, 정말 오바마 자신이 한 것처럼 보도되는 게 정치인들만의 일일까요? 나 자신이 포르노 배우가 되고, 특정 사건의 위증인이 된다는 건 끔찍한 피해입니다.”
보안 업체 세이프가드 사이버(SafeGuard Cyber)의 CTO, 오타비오 프레이어(Otavio Freire)

‘얼굴로 먹고 산다’는 말을 할 수 있는 사람은 극히 제한적이었다. 이런 사람들은 얼굴의 상태를 특별하게(유난스럽게) 관리하더라도 용인이 됐다. 반면 기자 같은 사람이 얼굴로 먹고 산다고 말하면 백이면 백, 농담으로 알아듣는다. 팩 같은 걸 사기라도 한다면, 당연히 주변사람을 위한 선물용으로 이해한다. 더는 아니다. 얼굴 관리는 이제 누구나의 필수 생활 지침이 되고 있다. 얼굴 이미지만 있으면 가짜인지 진짜인지 판단하기가 불가능할 정도의 영상을 인공지능이 만들어내기 때문이다. 특히 정치적 공략과 성인물 제작에 활용되고 있어 엉뚱한 일에 휘말려들거나 큰 오해를 살 수 있다. 사진, 음성이 들어간 영상 등을 너무 온라인에 공개할 필요가 있을까 생각해봐야 한다.

신기술도 결국 ‘기술’일뿐
“맹목적인 유행과 잘못된 믿음 - 즉, 광기 - 에는 한계가 없죠.”
브로미움(Bromium)의 CEO, 그레고리 웹(Gregory Webb)

인공지능에 대한 그레고리 웹의 일침이다. 신기술은 분명 강력한 문제 해결책이긴 하지만, 만병통치약은 아니다. 시간이 지나면 그 새롭게 보였던 것도 촌스러운 옛것으로 변한다. 문제는 반드시 다시 나타나고 말이다. 신기술에 대한 맹목적인 믿음이 위험한 건, 신기술이 모습을 제대로 드러낼 때까지 문제는 계속해서 살아있는 상태이며, 그 문제를 해결하기 위해 응당 해야 할 기본적이고 필수적인 것들이 간과되기 때문이다. 기대감과 희망이 나쁜 건 아니다. 오늘 해야 할 일을 5년 후로 미루는 게 문제다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/AR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제