Home > 전체기사
“보안 전문가, 일반인들에게 보다 실질적인 조언을 해야 한다”
  |  입력 : 2019-10-31 17:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사이버 보안 아니라 그냥 보안...사이버라는 말 붙으면 IT 영역만의 일 돼버려
미래에는 심리전 양상 심화될 것...이미 소셜 엔지니어링 공격 급증하는 것이 증거


[보안뉴스 문가용 기자] 부산에서 열리고 있는 사이버공격방어대회 보안컨퍼런스를 위해 에스토니아 기술공대와 영국 캠브리지 대학을 오가며 CERT 팀을 이끌고 있는 키렌 니콜라스 로벨(Kieren Nicolas Lovell)이 방한했다. 장거리 여행을 했음에도 호텔이 아니라 행사장부터 찾은 그를 현장에서 바로 만날 수 있었다.

[이미지 = iclickart]


보안뉴스 : 캠브리지 대학이라고 하면 그 유명한 캠브리지 애널리티카(Cambridge Analytica) 사건이 먼저 떠오른다. 물론 캠브리지 대학과는 큰 상관이 없는 사건이지만 말이다.
키렌 니콜라스 로벨 : 캠브리지 애널리티카라는, 지금은 없어진 회사와 캠브리지 대학 사이에는 연관성이 없다. 늘 받는 오해라 이 점을 분명히 해두고 싶다. 이미 너무나 잘 알려진 사건이라 하나하나 다 말할 필요는 없겠지만, 한 가지 강조하고 싶은 건 아무리 하찮고 작아 보이는 연구라고 하더라도 누군가에게는 무기가 될 수 있다는 걸 기억해야 한다는 것이다. 정보가 화폐가 되고 무기가 되는 시대이기 때문에 아주 작은 가능성이라도 누군가는 비집고 들어온다. 분명 누군가는 당신이 간과한 뭔가를 가지고 무기화할 것이다.

아마 캠브리지 애널리티카도 SNS를 통해 사람들의 심리를 분석할 수 있는 실험이 여론 조작에 활용될 거라고 상상하지 못했을 것이다. 그들을 옹호하려는 게 아니다. 그만큼 동기와 실력을 가진 사이버 공격자들이 예리하고 무섭다는 것이다.

보안뉴스 : 사실 그 사태로 인해 사이버 전쟁(cyber warfare)이라는 것이 보다 눈에 띄게 되었고, 국가들이 노골적으로 사이버 전쟁 행위를 이어가고 있다.
로벨 : 솔직히 말하자면 난 ‘사이버 전쟁’이라는 것이 존재한다고 보지 않는다. 하나의 ‘레이블링’ 즉 이름 붙이기의 결과물이라고 생각한다. 사이버 공격으로 인해 뭔가가 폭파하거나 전쟁과 같은 살상이 벌어진 적이 있나? 여전히 전쟁은 지상과 공중, 바다에서 물리적으로 벌어지고 있다. 사이버 공격과 방어 기능은 전쟁 수행을 위한 하나의 도구로서 녹아들어가고 있을 뿐이다. 적군의 위치를 파악한다거나, IT 시스템을 무력화하기 위해 해킹 기술이 사용될 뿐, 해킹 기술로만 이뤄지는 전쟁은 어디에도 존재하지 않는다.

그렇기 때문에 난 개인적으로 사이버 보안(cybersecurity)이라는 말도 그리 즐겨 사용하지 않는다. 이미 물리 공간과 사이버 공간을 따로 구분하는 것이 의미가 없기 때문이다. 사이버 보안이 아니라 그냥 보안이다. 예를 들어 사이버 공격으로 전력 공급망을 마비시켰다고 하자. 그것이 실제 물리적 생활에 아무런 영향을 미치지 않는가? 정말 사이버 공간에서만 일어나는 해프닝으로 그치는가? 사이버 공격은 이제 물리적인 공격이나 다름이 없다.

보안뉴스 : 그래도 사이버 보안과 물리 보안을 구분하는 것에도 나름의 장점이 있지 않을까?
로벨 : ‘사이버 보안’이라는 용어를 고집했을 때 가장 나쁜 건, 이게 분명 우리의 일상 생활에 영향을 주는 문제임에도 불구하고 IT 전문가들만의 문제로 미뤄진다는 것이다. 그러다 보니 조직에서 생기는 모든 보안 문제에 대하여 보안 담당자들만이 책임을 떠안게 되는 문화가 나라를 막론하고 확산되고 있고, 일반 대중들 사이에서 보안에 대한 인식은 향상되지 않고 있다. 그러니 똑같은 공격에 계속 당하는 것이다. 악순환이 일어나고 있다.

여기에 더해 보안 커뮤니티가 이상한 조언을 대중들에게 하고 있다는 것도 문제다. 정답을 제공하는 게 아니라 정답이라고 스스로 생각하는 걸 자꾸 설파한다. 스스로 실험하고 체험해본 후 확실히 알게 된 것이 아니라, 업계에서 일반적으로 받아들여지고 있는 개념을 답이랍시고 제시한다. 그러니 보안에 대한 전반적인 수준이 향상되지 않는 것이다.

보안뉴스 : 예를 들어줄 수 있는가?
로벨 : 가장 흔한 건 비밀번호다. 일반적으로 비밀번호를 만들 때 어렵게 만들어야 한다는 건 누구나 알고 있다. 그 ‘어렵다’는 게 무엇인가? 특수 기호와 숫자, 대문자와 소문자를 섞어서 만들라고 한다. 예를 들어 ‘!!2iTSec’ 같은 거. 굉장히 어렵게 만들어졌다. 하지만 안타깝게도 공격자들 입장에서 이 비밀번호를 깨는 데 필요한 시간은 9시간일 뿐이다. 효과가 크지 않은데 심지어 사용자 입장에서는 기억하기가 어렵기도 하다.

하지만 아주 간단하게 ‘icametovisitthisevent’라고 비밀번호를 정하면 어떨까? 소문자로만 되어 있고, 문장이기 때문에 기억하기 쉬운 이 비밀번호의 경우 크래킹 하는 데에 4100억년 걸린다. (이 두 가지 계산 모두 https://howsecureismypassword.net/라는 사이트에서 진행됐다.) 비밀번호가 강력한가 아닌가를 결정하는 건 오로지 ‘길이’라는 요소뿐이다. 사용자에게도 친절하고 강력한 비밀번호가 있는데 다들 엉뚱한 데 노력을 기울이고 있다.

또 뭐가 있을까? SNS를 사용하지 말라는 조언도 있다. (기자도 보안을 이유로 SNS를 사용하지 않고 있어서 뜨끔했다.) 특히 페이스북과 같은 경우 최근 프라이버시와 관련된 소란을 많이 겪었기 때문에 더 위험하다는 인식이 있다. 물론 그 인식이 잘못됐다는 건 아니다. 그러나 페북 계정이 하나도 없다는 것은 위험한 일이다. 나는 계정은 만들되 활동은 하지 말라고 권장한다. 누군가 당신 주변 사람이나 조직을 공격하기 위해 당신도 모르는 당신의 계정을 대신 만들어 활동할 수 있기 때문이다. SNS가 찝찝하더라도 계정 하나 정도는 확보해두는 게 그런 가능성을 줄일 수 있다.

보안뉴스 : 빈 계정을 확보해야 될 정도라니, 인터넷 공간이 정말로 위험하긴 한가보다. 정글이나 할렘가에 비교해도 될 정도로.
로벨 : 나는 그것도 좀 과장된 표현이라고 생각한다. 개인적으로 인터넷 공간은 하나의 거대한 도시와 같다. 아주 다양한 사람들이 공존하는 그런 곳 말이다. 물론 완전히 안전한 이상적인 공간은 아니다. 우리가 사는 일반적인 도시들처럼 누군가에게는 나쁜 일도 일어나고, 누군가는 별 피해 없이 살아간다. 그렇기에 각자가 느끼는 바가 다를 수 있다.

국가의 지원을 받는 고급 해커들이 득실대는 곳은 더더구나 아니다. 예를 들어 북한 해커들이 만들었다는 워너크라이(WannaCry)를 보자. 상징적인 공격임에는 분명하지만, 순수하게 표면적으로 드러난 피해 자체는 미비한 사건이었다. 반면 어디에도 보도되지 않는 자잘한 섹스토션. 로멘스 스캠 등의 사기 공격은 천문학적인 피해를 매해 일으키고 있다.

우리가 주의해야 할 건 공격자들의 기술력이 아니라는 결론이 나온다. 러시아 해커들이 실력이 좋다는 이유로, 중국의 해커들이 자꾸만 헤드라인에 나온다는 이유로, 인터넷 공간에서 주의해야 되는 게 아니라는 거다. 우리가 집중해야 할 건 의도와 동기다. 아무리 쉬운 공격 대상이라고 하더라도 공격자가 움직일 동기가 없다면 공격은 발생하지 않는다. 하지만 아무리 어려운 공격 목표라고 하더라도 동기가 충분하면 반드시 뚫린다.

보안뉴스 : 그렇다면 평소 생활 속에서 적을 많이 만들지 않고, 둥글게 살아가는 게 사이버 보안의 최고 실천 사항인가?
로벨 : 보안은 모두가 참여해야 한다는 표현은 어떤가? 사실이 그렇다. 보안의 책무에서 자유로운 사람은 아무도 없다고 나는 믿는다. 그렇기에 나는 앞으로 사이버 공격의 미래가 전자전이나 신무기를 동원한 기술전이 아니라 심리전 양상을 띌 것으로 예상한다. 이제 점점 기계를 감염시키는 건 기술적으로 어려워지고 있다. 자꾸만 사이버 사건이 일어나기 때문에 보안 분야에 발전이 없는 것처럼 느껴질 수 있지만, 그건 사실이 아니다. 기술적인 방법만으로 시스템을 공격한다는 건 몇 년 전에 비해 지금이 훨씬 더 어렵다.

그래서 최근 무슨 공격이 유행하는가? 바로 피싱 혹은 소셜 엔지니어링 공격이다. 각종 취약점을 발굴해 익스플로잇 한 뒤 멀웨어를 심는 것보다, 심리적인 약점을 파고들어 비밀번호를 알아낸 뒤 정상적으로 로그인하는 게 훨씬 편리하고 성공률도 높다. 예전에 보안 전문가들을 대상으로 피싱 메일을 보내는 실험을 해본 적이 있다. 업계에서 경험이 충분히 쌓인 사람들이었고, 어느 시간 즈음에 가짜 메일이 갈 것이니 절대 열지 말라고 경고까지 했었다. 하지만 실험에 참여한 모든 전문가가 메일을 열고 말았다. 100% 말이다. 심리적으로 파고들 여지가 있었기 때문이다. 그래서 대학의 보안 전문 학과에서도 심리학을 포함시켜야 한다고 본다. 보안 담당자들은 개개인을 약하게 하는 심리적 트리거도 볼 줄 알아야 하는 시대가 올 것이다.

▲ 해군 근무 시절의 로벨 교수

보안뉴스 : 모두가 참여하는 보안을 위해 일반인들이 알아야 할 최소한의 것들에는 무엇이 있을까?
로벨 : 잠깐 언급했다시피 먼저는 보안 업계가 실천 가능한 조언들을 준비하는 게 급선무라고 생각한다. 수상한 이메일을 열지 말라거나, 수상한 링크나 첨부파일을 건드리지도 말라는 조언은 도움이 되지 않는다. 보안 전문가라는 사람들도 특정 상화에서는 이를 어기고 공격에 당한다. 차라리 ‘악성 링크를 클릭했거나 첨부파일을 열었다고 생각되는 순간 최대한 빨리 보안 팀에 알려라’라는 조언이 낫다. ‘내가 또 실수했어’라거나 ‘처벌 받으면 어떻게 하지’라는 죄책감 혹은 두려움 때문에 지연되는 시간마저 아낄 수 있게 된다. 대응에 걸리는 시간이 결국 피해 규모를 결정한다는 걸 기억해야 한다.

보안 업계가 하는 조언들 중 이중 인증은 꽤나 좋다고 생각한다. 100% 안 뚫리는 건 아니지만 누구나 보편적으로 이중인증을 사용하게 되면 보안 상황이 지금보다 확연하게 다를 것이다. 모든 사람들이 이제는 이중인증을 친구처럼 여겨야 한다. 비밀번호 관리자를 사용할 줄 안다면 사용을 권장한다. 이 역시 완벽한 솔루션은 아니지만, 꽤나 안전하게 사이버 생활을 할 수 있게 해준다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/AR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제