20100123 :: 인터넷상에서 만날 수 있는 위협들 – 1

Posted on 2010년 1월 23일 by sooopd

집에서 사용하는 PC가 결국 그 운명을 맞이했습니다. 자세한 이야기는 다음으로 미루고, 오늘은 지난 번 포스팅에서 이야기한 것처럼 인터넷을 아무 생각없이 사용하면서 만나게 되는 여러 가지 위협에 대해 살짝 살펴보도록 하겠습니다. 여기서 이야기하는 사례는 모두 가상의 사례이며, ‘충분히 이럴 수 있다’는 가정하에 쓰여지긴 하였지만 실제로는 조금 과장된 면도 있을 수 있음을 미리 밝힙니다.

해킹을 당하다

개인이 PC를 사용하면서 본인의 PC를 해킹 당하는 것은 실제로 겪어본적은 없습니다. 하지만 VNC 서버를 사용하거나 하는 경우에는 멋대로 커서가 움직이거나 하는 증상을 경험했다는 사례는 제법 있는 것으로 압니다. 물론 이러한 ‘실시간 해킹’은 일반적으로는 접하기 힘듭니다만, 지난 번에 이야기했던 대로 누군가는 나의 PC에 저장된 공인인증서나 개인정보가 담긴 이력서 파일 등등을 훔쳐가려는 사람이 있을 수 있습니다. 그렇다면 어떻게 그게 가능할까요?

나의 PC가 이러한 해킹의 대상이 되었다라는 것은 원격지에 있는 누군가가 PC의 특정 기능을 사용할 수 있게 되었다는 이야기입니다. 이 경우라면 내 PC가 ‘서버’의 역할을 수행하게 되는 것입니다. 사실 서버라는 것이 대단한 것이 아닙니다. 그저 원격지에 있는 사용자에게 특정 기능을 제공하는 시스템 혹은 프로그램이 바로 서버입니다. 그럼 뭔가 대단한 프로그램을 실행해야 하지 않느냐라고 반문할 수도 있겠지만, 실제로 어떤 기능을 몰래 수행하기 위한 서버는 매우 작은 크기로도 만들 수 있습니다.

그럼 실제로 이러한 프로그램이 내 컴퓨터에서 어떤 일을 하는 지 알아보겠습니다.

네트워크를 통해 해킹의 수단이 되는 악성 프로그램이 유입된다.
악성 프로그램이 실행된다.
악성 프로그램은 자신이 자리를 잡았음을 보스에게 알린다.
보스가 원격에서 명령을 내린다. 혹은 특정 조건이 맞아 떨어져 자동으로 내장된 명령을 수행한다.
못된 짓을 시작한다.

이것이 가장 간단한 악성 코드에 의한 감염 사례입니다. 매우 도식적이지만 대부분의 못돼먹은 프로그램은 이러한 형태로 동작한다고 볼 수 있습니다. 물론 이러한 동작이 항상 못된 프로그램들만 하는 것은 아니지요. 네이트원 원격접속이나 윈도우가 제공하는 원격 지원 등도 이러한 유형으로 동작합니다.

그럼 각각의 단계는 실제로 어떤 식으로 진행될 수 있는지 예를 들어 보겠습니다. 이어질 이야기는 실제 있을 법한 내용을 상상으로 구성해 본 것입니다.

예를 들어…

나는 해커입니다. 나는 돈이 필요합니다. 요즘 같은 세상에는 만만한 웹사이트 DB 뒤져서 주민등록번호 같은 거 캐 봤자, 주민 번호는 워낙 단가가 싸서 팔아도 돈이 안됩니다. 이미 십여년 전부터 수만명~수백만명 단위의 한국인 주민 번호 파일이 중국에서 싼 값에 거래되어 왔기 때문입니다. 그래서 나는 조금 위험한 생각을 하기로 했습니다. 바로 다른 사람의 은행 계좌로부터 돈을 빼내는 방법입니다.

메신저 피싱 같은 것도 생각해 봤지만, 그러려면 알바를 고용해야 합니다. 아, 이건 왠지 비용이 들어가니 좋지 않은 방법입니다. 물론 시간이 많지만 된다는 보장이 없으니 정면 돌파를 생각합니다. 네 그냥 공인인증서와 은행 로그인 아이디, 비밀번호를 훔쳐보기로 합니다. 요즘은 은행 자물쇠 카드를 사진으로 찍어 보관하는 사람도 많으니 한명만 제대로 걸리면 크게 한 건 할 수 있을 것 같습니다.

자, 그럼 이제 어떻게 각각의 정보를 훔쳐낼 수 있을지 생각해 보겠습니다.

1. 은행 로그인 아이디와 비밀 번호 그리고 공인 인증서

로그인 아이디와 비밀 번호를 십여개 가까이 만들어서 조합하여 사용하고, 이를 각 사이트마다 모두 다르게 사용하는 사람은 거의 없습니다. 이런 사람은 보안과 관련된 교육을 빡세게 받고 그런 습관이 체득된 전문가들입니다. 일반인들은 거의 사용하는 아이디가 모두 같은 경우가 대부분입니다. 아이디는 조금씩 달라도 비밀번호는 거의 대부분이 같습니다.

공인인증서 파일은 고맙게도 모든 PC마다 동일한 위치에 저장됩니다. 저는 그냥 FTP 서버만 하나 만들어 놓고, 몰래 동작하는 멋진 프로그램을 하나 작성할 계획입니다. 이 프로그램은 주로 사용자가 두드리는 키보드 키를 모두 기록했다가 제게 건네주는 역할을 하는 키로거(key logger)입니다만, 아주 간단한 기능을 하나 더해서 프로그램이 실행될 때 공인인증서가 저장되는 폴더를 통째로 압축하여 저의 서버로 올릴 수 있도록 만들 것입니다.

2. 악성 코드 배포

하늘이 나를 돕습니다. 가짜 사이트를 하나 만들어서 거기에 음악 공유 프로그램이라 하고, ActiveX를 하나 설치하게끔 합니다. 이 녀석을 실행되면 그냥 오류 메시지를 하나 뿜으면서 더 이상 동작되지 않는 것처럼만 보이게끔합니다. 그런 대신에 몰래 제가 서버에 올려놓은 다른 프로그램을 설치하고, 이를 윈도우 서비스로 등록하여 컴퓨터를 부팅할 때 마다 자동실행되게 합니다.

물론, 이 진짜 프로그램은 실행되고 나서 재밌는 일을 하게 됩니다. 바로 위에서 말한 공인인증서와 키보드 입력 내용을 싸그리 제 서버로 업로드 해 줄테니까요. 그럼 제가 할 일은 간단합니다. 제 프로그램이 서버에 올려줄 정보는 PC의 주인이 컴퓨터를 켜고부터 계속해서 두드리는 키보드의 내용들입니다. 여기서 가장 간단하게는 반복적으로 나타나는 패턴만 찾으면 됩니다. 그 패턴이 로그인 아이디와 비밀번호의 조합일 가능성은 매우 큰데다, 그 전후를 뒤져보면 인터넷 주소로 어디를 입력했는지도 알 수 있으니까요. 물론 대부분의 사용자들은 거의 모든 웹 서비스에서 동일한 아이디와 비밀번호를 사용하기 때문에 이 정도 정보면 은행 로그인까지는 전혀 문제가 없습니다.

3. 은행 보안 카드

그럼 이제 제 손에는 은행 로그인 아이디와, 비밀번호, 공인 인증서가 확보됩니다. 남은 것은 은행 보안 카드입니다. 요즘 이거 들고 다니기가 만만치 않게 귀찮기 때문에, 온갖 포털 사이트를 이 계정 정보로 다 뒤지고 다녀봅니다. 그리고선 메일이나 파일 보관함을 둘러봅니다. 적지 않은 비율로 은행 보안 카드를 디카나 폰으로 찍어서 보관해 두고 계시는 군요. 감사합니다. 이제 계좌 이체를 위한 모든 준비가 끝났습니다.

최악의 보안환경에 대처하는 우리의 자세

혼자 소설 좀 썼습니다만, 위 시나리오는 약간의 프로그래밍 지식만 있으면 충분히 할 수 있을 것 같다는 생각이 듭니다. 실제로 저런 프로그램을 만드는 일은 쉽습니다. 사실 그 외에는 모두 ‘인터넷 사용자의 습관’을 이용한 ‘꼼수’일 뿐입니다. 그만큼 우리 내 인터넷 보안 환경은 취약하기 그지 없습니다. 이는 비단 일반 사용자 뿐만 아니라 실제 웹 사이트 운영자의 보안 의식도 이 지점에서 별반 발전한 바가 없으며, 더더욱 중요한 웹을 통해 사업을 구상하고 정책을 마련하는 이들 (그것이 기업의 중역이든, 국가의 중책을 맡은 사람이든)은 어쩌면 일반 사용자들보다 못한 보안 의식을 갖고 있기 때문이라고 믿어 의심치 않습니다.

그렇다면 일반 사용자입장에서는 어떻게 인터넷을 해야 그나마 조금이라도 안심을 할 수 있을까요? 위의 시나리오에서 발견할 수 있는 취약점들을 최대한 회피하는 방법으로 인터넷을 이용하면 됩니다.

비밀번호 사용

아이디를 모든 사이트마다 다르게 만들기는 솔직히 어렵습니다. 그렇다 하더라도 비밀번호는 가능한 한 다르게 만드는 것이 좋습니다. 최소한 주민등록번호 등 민감한 정보를 건네주고 가입하는 사이트들은 가능한 비밀번호를 다르게 하는 것이 중요합니다.

그리고 또 한 가지, 해커들이 여러분의 계정을 공격할 때 사용하는 것은 고도의 복잡한 프로그래밍 테크닉이 아닙니다. 무슨 프로그램 돌려서 암호 깨고 어지럽게 숫자가 왔다 갔다 하는 것은 영화에서 보기 좋으라고 그렇게 만드는 것일 뿐이지요. 결국 비밀번호는 다음과 같은 방식을 따라 만들고 관리하는 것이 안전합니다.

비밀 번호는 가능한 길게 만듭니다. 짧으면 짧을수록 유추하기가 쉽습니다. 행여 비밀 번호의 일부를 이미 가지고 있을 수 있는 경우도 있습니다. 복잡도를 높이기 위해서는 10자리 이상으로 만드는 것이 좋으며, 숫자나 특수기호를 중간 중간에 섞어 주는 것이 좋습니다. 영문자의 경우에도 대소문자를 섞어서 쓰도록 합니다.
아이디는 가급적 여러개를 만듭니다. 비밀번호도 모든 사이트가 다 다르면 좋겠지만, 그게 어렵다면 최소 4개 이상을 만들어서 아이디-비밀번호 조합을 매번 다르게 사용합니다. 즉 다음 계정이 뚫리더라도 네이버로는 똑같은 아이디와 비밀번호로 로그인 할 수 없도록 해야 합니다.
한 번 만들어진 계정에 대해서는 주기적으로 비밀번호를 변경해 줍니다. 이는 상당히 번거로우며, 변경한 후에는 헷갈리기도 하고 손에 익지 않은 문자 배열을 타이핑하면서 오타도 많이 생길 수 있습니다. 하지만 명심하시길, 자신이 편한 만큼 해커도 편하게 로그인할 수 있습니다.
아이디나 주민번호를 잊어서 찾기 기능을 이용해 보신 적이 있으신지요? 대부분의 사이트는 본인 확인을 위한 질문을 던집니다. 절대, 정답을 기재하지 마세요. 본인 확인용 질문은 본인만 알고 있는 ‘사실’을 묻는 것이 아닙니다. 그 질문에 본인만 답할 수 있도록 해야 합니다. 따라서 당연히 자신과 상관없고, 예측이 불가능해야 안전합니다. ‘가장 존경하는 사람은?’ 등의 질문에 ‘고양이’라고 쓰는 것이 차라리 바람직합니다.
개인정보를 갖다 바친 사이트라면, 자신이 평소에 사용하는 PC가 아닌 경우 가급적 로그인하지 않습니다. 특히 PC 방과 같은 곳에서는 주의해야 합니다. 그리고 가능하면 개인 정보를 갖다 바쳐야 하는 사이트는 아예 가입을 하지 않는 것이 좋습니다. 항상 기억하세요 웹에 올리는 모든 자료는 결국에는 공개되는 자료입니다. 여차하는 사이에는 본인이 아무리 후회해도 사라지지 않는 자료들도 있습니다. 또한 공용 PC 등에서 로그인 해야 하는 경우에는 화상 키보드를 사용하여 문자 입력할 것을 권장합니다. 금융거래나 쇼핑 같은 중요 정보를 입력해야 하는 일은 최대한 피해야 합니다.

액티브엑스 설치

가장 문제가 되는 것은 개인적으로 액티브엑스 설치입니다. 액티브엑스는 그 자체로는 좋다 나쁘다를 딱 잘라 말할 수는 없습니다. 아니, 그 전에 엑티브액스가 무엇을 하는 녀석인지를 먼저 알아야 합니다.

일반적으로 웹 브라우저는 인터넷에 게재된 자료를 보는 뷰어의 역할을 합니다. 그리고 웹 환경은 착한 사이트만 있는 것은 아니지요. 그래서 웹 브라우저는 웹 문서를 표시하는 기능 이외의 기능은 철저히 제한하려 합니다. 즉 멋모르고 웹사이트에 접속하는 사용자들에게 악의적인 사이트 운영자가 나쁜 짓을 할 수 없도록 가능한 한 실행 가능한 코드들은 그 영향력을 웹 브라우저 혹은 웹 페이지 내에 제한하게 됩니다.그러다보니 웹 문서 뷰어의 이상의 기능을 필요로 하는 경우에는 별도의 프로그램을 만들어서 사용하게 되는데, 이 것을 웹 상에서 가능하게 해주는 기술이 액티브엑스입니다. 즉, 브라우저 내의 필폐공간과 사용자 시스템 사이의 다리 역할을 해서 웹 사이트가 사용자 시스템을 제어할 수 있도록 하는 기술입니다.

이 부분은 결국 ‘권한’에 관련된 내용이며, 엑티브엑스는 운영체제 입장에서는 여러분이 직접 내려 받거나 CD로 설치하여 실행하는 프로그램들과 동등한 권한을 갖게 됩니다. 예를 들자면 온라인 게임들은 대부분이 웹 사이트에서 ‘게임 실행’ 버튼을 클릭하여 게임을 실행합니다. 즉 브라우저 내의 버튼으로 브라우저 외부의 다른 프로그램을 실행하는 것이지요. 그런데, 이것이 단순한 실행 뿐만아니라 파일을 새로 내려 받아 설치할 수도 있으며, 기존 파일을 삭제하거나 수정할 수도 있고, 심지어는 레지스트리를 변경할 수도 있습니다. 즉 PC 구석구석을 제어할 수 있는 상당히 큰 권한이 웹페이지 제작자에게 돌아가는 것입니다.

그리고 사용자들이 액티브엑스를 설치하기 전에 만나는 보안 경고창은 이러한 이야기를 전혀 하지 않습니다. 그저 ‘확인되지 않은 소프트웨어 설치가 시스템에 악영향을 끼칠지도 모른다’고만 하지요. 문제는 전문가가 아닌 이상에는 이러한 ‘소프트웨어’를 확인할 방법이 전혀 없습니다. 기껏해야 개발사 명이 무언지만 표시될 뿐이고, 정말 나쁜 놈이 악의를 품고 퍼뜨리는 액티브 엑스라면 거기에 듣보잡 개발사 이름이 아닌 정부 기관이나 대형 소프트웨어 업체의 이름을 사칭하는 것도 어려운 일이 아니라는 것이지요.

사용자가 ‘설치’ 버튼을 클릭하는 그 순간 PC 전체는 위험에 거의 고스란히 노출되게 됩니다. 즉 설치가 너무 쉬워서 탈이지요. 이 때문에 윈도 비스타 이후버전 부터는 UAC라는 것을 적용합니다. 즉 현재 실행 중인 프로그램(브라우저)이 자기 권한보다 더 높은 권한이 필요한 작업을 수행하고자 할 때 사용자의 허락을 받도록 하는 것입니다. 따라서 액티브엑스 설치가 더욱 번거로워지는 것입니다. (같은 말로는 사용자의 PC가 보다 안전해 진다는 의미입니다.) 그런데, 이런 부분은 서비스 제공 업체 (혹은 만에 하나 있을지 모를 악의적인 해커)입장에서는 액티브엑스 설치를 가로막는 장애 요소가 될 뿐입니다. 덕분에 왠지 불법의 냄새가 나는 공유사이트에서부터 금융 업체에 이르기까지 별도의 안내 페이지를 만들어 ‘확인되지 않은 소프트웨어 설치가 용이하도록’ 이러한 옵션을 끄는 안내 페이지를 상세하고 친절한 스크린샷과 함께 제공합니다. 즉 자신들이 ‘믿을만 하다’는 권위를 적용하여 되려 보호해야 할 고객들을 무장 해제 시키고 있습니다.

따라서 다음의 방식을 추천합니다.

인터넷 익스플로러의 도구 > 인터넷 옵션에서 보안과 관련된 항목 중에 ‘서명되지 않은’, ‘확인되지 않은’ 과 같은 항목은 모두 자동 실행이나 설치를 막아야 합니다. 잘 모르겠다면 일단 ‘기본값 복원’이라도 합니다.
액티브 엑스는 일단 설치하지 않고 웹사이트를 사용해 봅니다. 만약 액티브엑스를 설치하지 않으면 안내 페이지로만 이동하고 서비스를 이용할 수 없다면, 비슷한 기능을 제공하는 다른 서비스를 이용하도록 합니다. 최근 네이버의 N드라이브 등의 서비스만 보아도 예전에 엑티브엑스로 떡칠했던 사이트와 똑같은 기능을 플래시로 구현하여 제공합니다. 액티브엑스를 사용하지 않는 똑같은 서비스는 찾아보면 반드시 존재합니다.
아에 보안 경고창을 띄우지 않고 몰래 설치되는 프로그램들도 존재합니다. (아마 이미 설치 승인한 액티브엑스가 몰래 함께 설치하는 경우일 것입니다.) 따라서 인터넷 익스플로러를 아예 사용하지 않을 것을 권장합니다. 훨씬 빠르고 안전한 파이어폭스, 사파리, 오페라, 구글크롬과 같은 브라우저들이 있습니다. 어렵다고요? 설마 여러분은 저 위에 프로그램 메뉴을 통해서 인터넷을 사용하시는 건가요? 웹 브라우저의 경우에는 모두 브라우저가 표시하는 웹 페이지를 이용하는 것입니다. 인터넷 익스플로러를 다른 브라우저로 바꾼다고 이용이 어려울 이유는 전혀 없습니다. 다만 액티브 엑스가 아예 동작하지 않아 일부 사이트에서는 불편함이 따를 수 있습니다만, 바꿔 말하면 그만큼 더 안전하다는 것입니다. (다시 기억하세요, 여러분이 편히 쓰면 해커도 여러분의 PC를 편히 쓰게 됩니다.)
다른 프로그램이 있는 데 웹상에서 같은 기능을 제공한다면 액티브엑스를 설치하라고 하면, 그냥 같은 기능을 하는 프로그램을 직접 설치해서 독립적으로 사용합니다.
평소에 관리자 권한으로 PC를 사용하지 않습니다. 이는 잘 모를 수 있는 부분인데, 지금 당장 ‘제어판’으로 가서 사용자를 열어 새 사용자를 한 만듭니다. 관리자 등급이 아닌 일반 사용자로 설정하고 암호도 설정합니다. 그런 다음 재부팅하여 항상 암호를 입력하고 로그인하여 PC를 사용하는 습관을 들이도록 합니다. 이렇게 해야 만에 하나 여러분이 좋지 못한 프로그램을 설치하는 실수를 저지르더라도 피해를 덜 입을 수 있습니다. 계속해서 강조하지만 ‘안전’하고 싶다면 그만큼 불편해야 합니다. 이건 진리입니다.

데이터관리

끝으로 데이터를 대하는 기본 자세에 대해서 한 말씀 드리고자 합니다. 컴퓨터에 보관되는 데이터는 모두 ‘디지털’ 이라는 특성을 가지고 있습니다. 디지털 데이터의 큰 특징은 원본과 완전히 동일한 복사본을 만들 수 있다는 뜻이며, 이는 누가 훔쳐가도 빈자리가 없기 때문에 훔쳐갔는지 조차 모른다는 뜻과 동일합니다. 따라서 ‘보안’이나 ‘개인의 민감한 정보’와 관련된 데이터는 하드 디스크가 됐든 USB가 됐든 디지털화해서 보관하면 안됩니다. 비밀 번호 여러개 만들어서 관리하기 힘들다고 이걸 텍스트 파일로 만들거나 이메일로 저장해 두는 경우가 있습니다. 이러면 안됩니다. 반드시 종이에 써서 별도로 잘 보관합시다. 특히 이메일에 보관해 두는 것 만큼 바보같은 짓도 없습니다. 그리고 은행의 보안카드 등도 마찬가지 입니다. 절대 카메라로 찍지 맙시다. 휴대폰으로 찍어서 가지고 다니는 분들도 많은데, 큰 일납니다. 핸드폰을 잃어버릴 수도 있고, 새 기종으로 바꿀 때 보통 보상 기변 등으로 기존 핸드폰을 대리점에 갖다 주지 않습니까? 그냥 새어 나가는 겁니다. 지웠다구요? 죄송하지만 요즘은 파일 복원 툴들이 너무 강력해서 말이지요. 몇 분이면 다 되살릴 수 있습니다.

사람에 초점을 맞추어야 한다

구글에서 이야기하는 비밀번호 관리 방법 중에 이런 항목이 있습니다. “앵무새를 조심하세요” 크래커(악의적인 해커)들은 영화에서나 보듯이 암호를 척척 풀어내는 프로그램을 만들어서 활용하는게 아니라, 타겟이 되는 사람의 헛점을 이용합니다. 그게 훨씬 쉽고 싸니까요. 아무리 좋은 보안 시스템을 갖추고 있다한들 시스템 관리 패스워드를 싸이월드에 올려놓고 사용하는 사람이 관리자라면 한 방에 뚫린다는 것입니다. 결국 보안이라는 분야는 기술이 아닌 사람과 사람의 습성을 다루는 분야가 되어야 합니다. 그리고 이러한 부분에 대해서는 아무도 신경을 쓰지 않으며 그저 그 성능조차 의심스러운 보안 플러그인만 덕지덕지 설치하면 안전해졌다라고 생각하는 사람들이 정책을 수립하는 나라에 우리는 살고 있습니다. 덕분에 사용자들은 더욱 더 무심하게 액티브엑스를 설치하며 자신을 마음껏 무장해제 하고 다닙니다. 이것이 우리나라의 현실입니다. 그래서 저는 방송 같은 곳에서 ‘IT 강국’이라는 말이 나올 때 마다 이제는 얼굴이 화끈거리면서 부끄럽습니다.

하고 싶은 이야기는 더 있지만 글이 너무 길어졌기에 오늘은 이만 줄이고자 합니다. 그리고 다음번에는 이러한 보안에 방해가 되는 쓰레기 같은 프로그램들의 행태에 대해서 한 번 다시 살펴 볼까 합니다. 그럼 그 때까지 행복한 나날 되세요.

20100120:: 공인인증서를 USB에 저장하라굽쇼?

Posted on 2010년 1월 20일 by sooopd

갈수록 답이 안나오는 한국 인터넷 진흥원

이미 많은 언론 매체나 블로그를 통해 소식이 알려진 이슈인데, 행정안전부와 한국인터넷진흥원에서 공인인증서를 강제로 USB 메모리 장치에 저장하도록 강제한다는 소식입니다. 빠르면 올해 하반기부터 시행된다고 하는데, 너무나 어처구니 없는 처사가 아닐 수 없군요.

현행 공인인증서의 문제점

개인공인인증서는 개인이 소지하여 본인임을 증명하는 용도로 사용하고자 하는 일종의 본인 확인 수단입니다. 따라서 공인 인증서가 사용되는 모든 온라인 통신이나 거래에 대해 자기 스스로를 증명하는 일종의 전자 신분증인 셈이지요. 그런데 문제는 현행 공인인증서는 단순한 파일 형태로 존재하며, 아무 제약 없이 물리적으로 복제가 가능하다는 점입니다. 따라서 악의를 가진 침입자가 개인 PC의 허술한 부분을 뚫은 다음 해당 파일을 복제해 간다면 손 쓸 방법이 없는 것이지요. 물론 PC 내에 들어있는 파일을 맘껏 액세스할 수 있는 정도라면 불행하게도 여러분의 로그인 비밀번호 따위는 이미 그 해커 손에 들어가 있다는 문제입니다.

더 위험한 것은 공인인증서가 저장되는 폴더는 접근에 아무런 제약이 없으며, 심지어 모든 PC에서 그 위치가 동일합니다. 하드 디스크 내에 공인인증서를 저장했다면 C:\Program Files\NPKI 폴더가 생성되고 여기에 공인 인증서에 필요한 파일들이 모두 저장됩니다. 윈도 탐색기로 해당 폴더에 접근하는 것이 가능하며, 아무 제약 없이 해당 파일을 USB나 다른 하드디스크, 네트워크 드라이브로 복사하고 심지어 전자우편을 사용하여 외부로 발송하는 것도 가능합니다.

저장 경로가 동일하다는 것은 보안상 굉장히 취약한 것입니다. 만약 불특정 다수의 공인인증서 파일을 수집하고자 하는 목적을 가진 누군가가 있다면 다음의 시나리오를 생각할 수 있을 겁니다.

눈뜨고 속는 곳이 인터넷이다

먼저 가짜 사이트를 하나 만듭니다. 파일 공유 혹은 음악 감상 등의 사이트로 둔갑하면 더욱 용이합니다. 그러면서 필수 플레이어를 ActiveX로 설치하라고 합니다. 물론 그냥 플레이어나 다운로더가 아닙니다. 아무튼 사용자들은 아무 생각없이 ‘교육받은’ 대로 ActiveX를 설치합니다. 설치된 프로그램은 실행되자마자, 곧장 “C:\Program Files\NPKI” 폴더가 있는지 탐색해서, 사용자 몰래 해당 폴더의 내용을 압축하여 어딘가 미리 정해놓은 원격 폴더로 업로드합니다. 로그인하라면서 비밀번호 같은 것도 금새 파악해서 같이 저장할 수 있을 겁니다. 물론 이러한 ‘아무 사이트’에서 사용하는 비밀번호가 공인인증서 비밀번호와 일치할 확률은 굉장히 높습니다.

조금 더 억지를 부려보자면 해당 프로그램은 실행되는 동안 샅샅이 사용자 PC의 그림 파일들을 탐색합니다. 모든 그림파일을 업로드할 수는 없기에 해커가 외부에서 그림파일을 확인할 수 있도록 한장씩 한장씩 그림을 원격지로 전송합니다. 그러다보면 은행 보안 카드를 스캔하거나 촬영한 파일을 찾을 지도 모를 일입니다. 아, 물론 공인인증서는 물론이고 보안카드 스캔 파일까지 메일함 같은 곳에 보관하고 있을테니, 해커는 벌써 여러분의 로그인 아이디와 비밀번호를 사용해서 왠만한 포털 사이트를 다 뒤져 봤을런지도 모릅니다.

이쯤되면 공인인증서가 본인 확인을 위한 ‘안전한’ 수단임을 결코 신뢰할 수 없습니다. 물론 이런 시나리오는 제 가정에 불과하지만, 우리 나라 웹 환경이라면 – 그리고 우리 나라의 평균적인 인터넷 사용자의 보안 의식을 생각한다면 충분히 가능한 이야기입니다.

USB에 저장만하면 안전하긴 한거니?

USB에 저장해서 쓰고 계신분들도 많으실 겁니다. 사실 하드 디스크에 공인 인증서를 보관하면 위험하다는 신문 기사는 예전부터 몇 건씩 눈에 띄었거든요. 아 하지만 불행히도 현행 공인인증서는 역시 소용없습니다.

보통, USB 메모리를 PC에 꽂으면 무슨 작업을 할 지 결정하라는 창이 뜹니다. 설정에 따라서는 해당 USB의 파일을 보여주는 탐색기가 바로 실행되기도 하지요. 이는 USB 메모리가 PC에 장착되는 순간 특정한 ‘이벤트’가 발생하여 OS가 이를 감지한다는 의미입니다. 이러한 이벤트를 위에서 언급한 나쁜 프로그램이 놓칠리가 없습니다. 게다가 USB에 저장하는 경우에는 그냥 루트에 NPKI 폴더가 바로 노출됩니다. 덕분에, USB를 꽂는 순간 F:\NPKI 라고 손쉽게 해당 폴더를 찾아 바로 업로드 해버릴 수 있습니다.

공인 인증서가 위험에 처한 상황이라는 것은 사실 어제 오늘의 이야기가 아닙니다. 그리고 이러한 문제는 공인 인증서를 취급하는 방법 자체가 잘못되었기 때문입니다. 그 매체가 PC에 붙어있는 하드 디스크이든, CD-RW이든, USB메모리이든, 외장형 하드디스크이든 간에 해당 장치의 액세스를 OS가 직접할 수 있다면 행여 설치되어 있을지 모를 못되먹은 프로그램 입장에서는 이를 입수하는 것이 누워서 떡먹기일 뿐입니다. 그리고 애석하게도 그 나쁜 프로그램이 은행이나 쇼핑몰에서의 필수 ActivX인 NP******* 같은 프로그램의 이름을 사칭한다해도, 일반적인 인터넷 사용자 입장에서는 이를 확인해 볼 방법이 없기 때문이지요.

설령 본격 안티바이러스 프로그램이나 방화벽을 사용하여 수상한 프로그램이 설치될 때 이를 감지하고 동작하지 못하도록 막아버리면 되지 않느냐구요? 그래서인지 대부분의 ActiveX를 사용하여 브라우저가 제공하는 기능 이상의 기능을 제공하고자 하는 사이트에서는 친절하게 “안티 바이러스의 실시간 감시 기능을 꺼주세요”라고 안내합니다. 덕분에 우리 불쌍한 네티즌들은 은행, 쇼핑몰이 제공하는 빈약하기 그지 없는 보안 ActiveX를 쓰기 위해 그나마 훨씬 더 안전한 보호막을 자기 손으로 벗겨 내고 인터넷을 사용합니다. 정말 미안합니다만, 여러분들이 은행이나 쇼핑몰의 브라우저 창을 닫는 순간-혹은 그 사이트를 떠나 싸이월드로 룰루랄라 일촌 탐방을 떠나는 순간-꺼져버린 본격 안티바이러스 프로그램을 다시 활성화하는 것은 여러분의 책임입니다.

결국 현재의 공인인증서는 아무런 개인 증명도 보호장치도 되지 못하는 상황입니다. 사실은. 그래서 은행에서 인터넷 뱅킹 사고가 터진다면? 은행은 공인인증서를 하드에 보관했는지, USB에 보관했는지, 심지어 웹하드나 이메일로 공유했는지 따위도 신경쓰지 않습니다. (왜? 애초에 신뢰할만한 개인 인증 수단으로 사용될 수 없는 걸 아마 만든 쪽에서도 알고 있을 테니까요. 누군가 훔쳐가기 쉽다는 것을 스스로 인지했을 거에요) 금융기관은 여러분들의 과실을 찾기 위해 오직 한 가지 사실에만 매달립니다. 그것은 바로 여러분들이 보안 카드를 스캔이나 촬영하여 디지털 매체(하드/USB/이메일 등등)에 보관했느냐하는 사실입니다.

보안카드의 내용까지 유출되었다면 (은행이나 보안업체는 이미 여러분들의 별볼일 없는 보안 의식은 간파했기 때문에 여러분의 컴퓨터는 해커의 수중에 들어가서 모든 아이디나 비밀번호 같은 게 다 넘어갔다고 가정합니다.) 손쓸 방법이 없기 때문입니다. 최소한 인터넷 뱅킹에서는 “여러분들만” 알고 있는 정보는 오로지 보안카드의 정보 밖에 없으니까요. (그래서 보안카드 받으면 누구한테 빌려주지 말라고 주의 문구가 써 있습니다. 그런데 촬영이나 스캔하지 말라는 문구는 아직 본 적은 없는 거 같네요)

그럼 어디에 저장하면 되나요?

공인인증서를 저장하는 수단은 크게 두 가지 입니다. 하나는 보안토큰이라는 하드웨어적 보안 장치에 저장하는 방식입니다. 생긴 것은 USB와 비슷하게 생겼으나, 인증서를 저장할 때 하드웨어적으로 내용을 암호화할 수 있습니다. 당연히 액세스하기 위해서는 사용자(주인)가 설정한 암호가 있어야 하지요. 그런데 문제는 이 보안 토큰은 돈주고 사려니 좀 비싸다고 생각될 수 있다는 점입니다. 만약 행안부와 KISA가 조금이라도 의식이 있는 사람들이 모인 집단이라면 USB에 저장할 것이 아니라 보안 토큰에 저장하라고 해야 할 것입니다.

그렇지만 사실 우리는 돈을 안 들이고도, 그것도 하드디스크에 아주 편히 공인 인증서를 저장할 수 있습니다. 파이어폭스나 구글크롬, 사파리, 오페라 등의 브라우저는 이미 브라우저 자체에 소프트웨어적으로 보안 저장 장치를 구현하고 있습니다. IE 계열에서도 이러한 보안 저장소를 지원하는지는 모르겠습니다만, 어쨌든 한가지 확실한 것은 그렇다면 지금의 쓰레기같은 보안 모듈들을 덕지 덕지 ActiveX의 형태로 설치하지 않아도 됩니다.

키보드 보안 프로그램이요? 그래픽으로 처리되는 화상 키보드나 퍼즐조각맞추기 등의 키보드를 사용하지 않는 입력 수단을 사용하면 됩니다. 그러면 제 아무리 키로거라 하더라도 어떤 아이디와 비밀번호를 입력했는지, 입력했는지조차 모를테니까요.

오히려 지금의 방식보다 ‘이미 만들어져있는’ 수단들과 ‘이미 남들이 다 쓰고 있는 아이디어’를 사용하여 구현하는 인터넷 금융 거래 방식이라면 훨씬 더 안전성을 확보할 수 있는 것이 사실입니다.

사람들을 병신으로 교육시키는 보안 전문가님들께

행안부도 그렇고 KISA도 그렇고 여느 보안업체도 그렇고 제발 인정할 것은 인정하고 공익을 위해 조금만 양보했으면 좋겠습니다. 지금 우리 나라 웹 그리고 보안 환경의 현실은 아무것도 모르는 사용자들을 병신으로 교육시키고 있는 꼴과 하나도 다를 게 없습니다. 그리고 이러한 보안 위협 때문에 사회적으로 지출되는 비용은 꽤나 엄청납니다. 모르긴 몰라도 그리하여 기업들은 그만큼 경쟁력을 잃고, 세금도 낭비되고 있겠지요. 얼마전에도 좀비 PC를 통한 DDOS 공격에 온 나라가 발칵 뒤집혀졌지만, 정작 전문가라는 사람들은 너무나 조용합니다. 최소한 저 사태때만큼은 좀비PC를 만든 악성 코드의 감염지가 어딘지, 그리고 방비책은 무엇인지 알려주고 -아니, 최소한 ActiveX는 무조건 설치하지 말라고 뉴스라도 내보내주던가!- 추후에 병신같은 네티즌들이 독인지 똥인지도 모르고 아무거나 집어먹는 사태는 막아야 했던 거 아닌가 싶네요.

부디 보안 전문가 분들도, 보안이라는 것이 단순히 기술적으로 무언가 벽을 쌓고 잠그는 것이 아니라 그 시작점이 ‘사람’이라는 기본에 충실해 주셨으면 하는 바램도 있습니다. 제발 어설픈 기자분 모셔다 놓고 윈도 기본 기능인 원격 지원을 살짝 변형해서 귀신 쇼 같은 거 펼치시지 마시구요. (그건 아이폰이 해킹툴이 된게 아니라 그냥 OS의 기능을 잘 이용하신 거 뿐이라는 거, 본인은 모르셨던 건 아니죠?) 온 나라 대부분의 네티즌은 그 기자분만큼 보안에 대해서는 어리숙합니다. 원격지원으로 PC 안되는 부분 봐주고 있으면 귀신이 붙은 거 같다고 놀라는 친구들이 제 주위에도 많아요. 정말이지 그런 쇼나 펼쳐서 기사로 내보내고 앉아있는 한가한 현실을 보면, 그리고 한 편으로 카드 결제 하나 하려고 하면 PC를 재부팅해야 하는 병신 같은 웹 환경에 이제는 질렸습니다.

20090803 :: 네이트온 비밀번호 변경 캠페인에 부쳐

Posted on 2009년 8월 3일 by sooopd

네이트온이 또 비밀번호 변경 캠페인을 벌이는 군요. 지난 번 소리 소문 없이 묻혀져 버린 개인 정보 유출 의혹 때에도 강제로 비밀 번호를 바꾸라고 하더니만, 실상은 알 수 없지만 최근 국내 최대 사용자를 보유한 네이트온 메신저를 통한 메신저 피싱 피해가 급증하면서 진행하는 캠페인이라고 하는군요.

사실 비밀번호를 자주 바꾸는 것도 중요하지만, 대부분의 사용자는 귀찮기 때문에 두 어개의 비밀번호를 번갈아 교체하면서 사용하는 경우가 너무 많은 것 같습니다. 그나저나 메신저 피싱으로 피해를 보신 분들께는 죄송스런 말씀이지만, 사실 전 이해가 잘 안 가는 군요.

개인 정보 유출로 인한 메신저 피싱 방지 10계명 같은 것도 배포하고 하는 것 같던데, 사실 결론은 단 하나 입니다.

염치없이 메신저로 돈 꾸지 말자. 궁하면 전화하자.

그리고 당연히 성의없이 메신저로 돈꿔달라는 친구한테는 돈을 꿔주지 않는 지킬 것은 지키는 성숙한 시민 의식이 강조되어야 하는 요즘입니다.

20090721 :: 백신 깔아야 인터넷 시켜 주신다굽쇼?

Posted on 2009년 7월 21일 by sooopd

아침 일찍부터 믹시에서 어처구니 없는 소식을 전하는 글을 보고 급 흥분 했습니다. 사실 좀 오래 묵어서 이제는 제대로 발효가 된 떡밥을 어제 입에 문채로 잠이 들었었는데 말이죠. 전자 신문에 완전 사람 뻥지게 만드는 뉴스가 떴더군요. 제목하여 “개인 PC에 백신 안 깔면 포털 접속 못해”]. 아, 먼저 전자 신문 정진욱 기자님께 한 말씀 드리겠습니다. 주제 넘는다고 생각하실지는 모르겠지만, ”백신”은 안 연구소의 “V3″와 같은 제품명입니다. 신문 기사에서까지 이러시면 곤란하죠. 안티 바이러스로 부디 정정해 주시길 바랄게요.

방통위는 도대체

공무원이라는 작자들이 국민들이 낸 세금으로 귀한 쌀밥 드시고 입으로 똥같은 소리만 계속해서 지껄여대고 있습니다. DDoS 공격 때도 책임을 북한이나 멋모르는 일반 사용자들 탓만 하고 있더니, 아예 “그건 니들 탓이었어”라고 쐐기를 박으시는군요.

물론 우리 나라 인터넷 이용 인구중의 절대 다수, 그것도 압도적으로 많은 비율을 차지하고 있는 대다수는 보안이나 관련된 IT 지식이 절대적으로 부족한 계층입니다. 이 들 중 대다수는 ‘윈도우즈 보안 업데이트’가 무엇인지도 모르며, 시스템 트레이 영역에서 자동 업데이트로 설치되려는 보안 패치들이 있음을 알리는 노란 방패를 클릭해볼 엄두를 못내는 사람들입니다. 당연히 이런 사람들이 누가 설치해주지 않는 이상 본격 보안 프로그램(개인 방화벽 프로그램, 안티 바이러스 프로그램, 안티 스파이웨어 프로그램)을 설치해서 쓰리라고 생각하기는 어렵습니다.

따라서 국내에서의 일반 사용자들의 컴퓨팅 환경을 보다 안전하고 쾌적하게 만들기 위해서는 모든 PC(여기서는 MS윈도우가 설치된 것으로만 한정합니다)에 이러한 보안 솔루션이 설치되는 것은 사실상 매우 바람직한 일이기는 합니다. 하지만 위에서 말한대로 이 ‘일반 사용자’들이 과연 이러한 본격 보안 프로그램의 옥석을 가려낼 수는 있을까요? 심지어는 전 정부의 정보통신부와 한국 소비자 보호원에서 발표한 “스파이웨어 제거 프로그램 공동 실태 조사“에서도 사용자 몰래 유료 결제를 연장하여 결국은 구속까지 당한 업체의 프로그램(닥터 바이러스)를 버젓이 ‘우수한 결과를 보였다’며 발표했던 전력도 있지 않습니까. 심지어 2007년의 저 조사 결과는 해당 업체의 대표가 구속된 이후에 발표되어서 더더욱 어처구니가 없고 거기에 충격까지 더해준 것으로 기억하는데요. (사실 전 샘플 선정부터 수상스럽기 그지없었던 저 조사의 ‘우수 제품’으로 선정된 5개 제품 중 “양아치 스피릿”이 깃들지 않은 제품은 없다고 이 자리에서 단호히 말씀드릴 수도 있습니다.)

위에서 링크한 기사에서는 예전에도 한 번 밀어붙여 볼려구 했는데, “쓰레기 같은 외산 백신이 국내 시장을 잠식할까봐” 그러지 못했다는 군요. 말이 나와서 말인데, 쓰레기 같은 보안 프로그램은 국내에도 이미 충분히 많이 있습니다. 개인적으로 참 좋아하는 블로그인 울지 않는 벌새님의 블로그를 방문해 보신다면, 얼마나 많은 쓰레기 같은 보안 프로그램을 가장한 악성 프로그램이 많은지도 알 수 있을 겁니다. 상황이 이런데, 개인 PC에 대한 보안 솔루션 설치를 의무화해서 인터넷 접속을 제한하시겠다구요?

줘패도 답이 안나올 녀석들

뭐 일단 말이 안되는 이야기에 반박을 달려니 너무 귀찮고, 게다가 그 반박 근거도 너무 많아서 참 난감합니다. 하지만 결정적으로 십분 양보 아니 백만분 정도 양보해서 거의 대다수의 사람들이 방통위의 바램대로 보안 솔루션을 설치했다고 칩시다. 그럼 이제 대형 사이트들은 보안 솔루션이 탑재되지 않은 PC의 접근을 제한해야겠지요? 어떻게요?

답은 하나 밖에 없지요. 네, 바로 ActiveX입니다.

일반 사용자들의 보안 의식을 높이고 어쩌고를 외치면서 보안 솔루션 탑재 의무화를 지껄이는 그 스토리의 최종장에는 역시나 ActiveX가 자리잡고 있습니다. 정말이지 우리 나라 공무원들의 AcitveX 사랑은 이제 집착을 넘어 정신병으로 밖에는 보지이 않습니다. 결국 보안 프로그램 깔고 ‘무겁게 인터넷하면서’ 보다 자유롭게 AcitveX를 설치하고 다니라는 이야기로 밖에는 들리지 않습니다. 비닐 빤쮸입었으니 똥묻히고 다니라는 이야기인가요.

당신들이 정말 규제를 하고 의무적으로 금지를 해야하는 일은 바로 이 AcitveX를 함부로 못 쓰게 만드는 겁니다. 잠깐 이 글 한 번 보시고 오실래요? 못되먹은 양아치가 ‘네이버 동영상 다운로드 가속기’라는 제목의 악성 프로그램을 ActiveX로 배포하는데, 사실상 그 실체가 PC에 설치된 보안 프로그램을 무력화시키는 프로그램이라면 어떡하면 좋을까요? 사용자들이 습관적으로 ‘설치’를 누르는 그 순간 당신들이 자신감에 넘쳐 믿고 있을 그 ‘보안 프로그램이 깔려서 걱정 없을 사용자 PC’는 그렇게 좀비PC가 되는 겁니다. 그리고 그러한 당신네들의 두터운 ‘백신에 대한 신뢰’와 그로 인해 이어지는 ‘보안에 대한 나태함’은 이번 DDoS 공격보다 훨씬 더 강력한 후폭풍으로 되돌아 올 것이라는 그런 시나리오가 제 머리속에는 너무나 선명한 1080급 HD해상도의 영상으로 스치고 지나갑니다.

그건 그렇다 치고 그럼 안티 바이러스가 설치될 수 없는 리눅스 계약의 운영체제를 쓰는 사용자들은 어떡할 겁니까? ActiveX로 보안 프로그램이 설치되었는지 검사할 수도 없고, 리눅스용으로는 안티 바이러스 프로그램도 ‘거의’ 없습니다. 있더라도 보통은 다른 플랫폼에서 가져온 파일의 감염 여부를 진단하는 목적으로나 쓰인다 이겁니다. 결국 이건 ActiveX를 너무 사랑한 나머지 국민의 기본적인 권리를 니들 맘대로 제한하겠다는 지랄 낭설에 다르지 않다고 보이네요.

그렇게 원한다면 당신들이 해야할 것은

제발 제정신을 좀 차리고 이를 강제하겠다는 것이 아니라 그럼 정말 사용자들이 믿고 설치할 수 있는 각종 유/무료의 보안 제품 리스트를 만들어서 공개하고 배포하고 사람들을 교육하시기 바랍니다. 그런 노력도 기울이지 않고 단순히 눈 먼 세금 띄어다가 ActiveX로 백신 프로그램 깔렸나 검사하는 모듈 만들 것이 아니라, 어디 또 가짜 백신/가짜 악성코드 제거 프로그램 뿌려서 피해자만 계속 양산하려 드는 양아치 새끼가 없는지 눈에 불을 켜고 샅샅이 인터넷을 뒤지고 다니란 말입니다. 원인이 뭔지, 우리 나라 인터넷 환경에서 보안과 관련하여 가장 문제가 되는 것이 어떤 것인지 진지하게 성찰하고 연구하지 않는 이상, 이 땅의 비루한 네티즌들은 넘쳐나는 사기꾼 양아치들이게 푼 돈/큰 돈을 계속해서 뜯기고도 자기가 피해자 인줄도 모르고 나다닐 거라는 말입니다. 그리고 또 훗날 보안 문제가 터져서 나라가 시끌 시끌한 그 날이 오면 당신들의 무지가 아닌 오늘날 당신들의 나태함과 안이함에 대해서 당신들은 그 책임은 분명하게 물어야 할 것도 기억하시기 바랍니다.

20090713 :: 머리부터 발끝까지, 우리 나라 보안의 현주소

Posted on 2009년 7월 20일 by sooopd

DDoS 사태가 좀 크게 벌어졌을 때 쓰려고 시작한 글인데 지나친 게으름으로 인해 이제사 완성해서 발행합니다.

그렇게 난리 법석 안 떨어도 됐거든요?

요즘은 슬슬 사그러드는 듯 합니다만, 얼마전까지만해도 분산 서비스 거부(Distributed Denail of Service) 공격 때문에 국내 주요 사이트 및 일부 정부/우익 단체들의 홈페이지가 마비되는 사건이 벌어졌습니다. 사실 인터넷 뱅킹이나 인터넷 쇼핑 및 일부 포털을 제외하고는 머 있으나 마나한 사이트들이라서 신경쓰지 않고 있었습니다만, 아무래도 뭐하나 국민들의 관심을 정치로부터 떼어놓으려는 떡밥만 있으면 미친듯이 몰려들어 지랄 난장을 벌이는 언론들 덕분에 전국이 시끌 시끌했지요. 게다가 몇 년 전 국내에서도 제법 인기를 끌었던 ‘다이하드 4.0′의 상황과 똑같다며 난리 법석을 부리는 모습에는 가뜩이나 더운데 정신까지 끈적이는 불쾌감의 극치를 맛보았습니다. (어디 신문사 중에 PC에서 불꽃이라도 파바박 튄 데가 있나 봅니다)

게다가 안그래도 방학을 앞두고 네이버가 버벅거려 초딩들 마음이 뒤숭숭할텐데 국정원은 난데없이 ‘이번 사이버 테러 배후에는 북한이 있다’는 유언비어를 앞장서서 퍼뜨려 사회적 불안감을 마구 조성해주고 제대로 병신인증 한 번 했습니다. 국정원이 내뱉은 헛소리에 야당을 비롯한 많은 네티즌들이 사이버 보안법을 위한 언론 플레이라며 반발했지만 ‘일부언론’들과 한나라당은 되려 안보 개념도 탑재가 안됐다고 성을 냈지요.

가만히 보니 이 사람들 전쟁 내고 싶어서 안달하는 거 같은데 어쨌든 잠정적으로 공격의 근원지는 영국으로 판명이 난 듯 합니다. 문제는 저열한 국정원의 정치 놀음입니다. 이 사람들은 국가 안보를 그렇게 입에 달고 살고, 심지어는 국민들의 혈세로 스티커까지 만들어서 전국의 시내 버스 내리는 문이며 지하철 문마다 붙여놓지만 스스로의 이성적 사고는 어디 내다 팔아버린 것 같습니다. 실제 공격의 목표가 정부 사이트나 우익 언론 단체가 (역시 포함만 되었을 뿐이고) 되었다 하더라도 그저 ‘홈페이지가 접속이 안되는’ 정도에서 그쳤다는 겁니다. 그나마 치명상을 입은 시스템은 공격에 사용된 좀비PC들 뿐이지요. 이 사실들만 보더라도 어떤 정치적인 목적을 띈다고 판단하는 건 너무나 섣부른 거 아닌가 싶은데, 이러한 양상이 그냥 일반적인 악성코드에 의한 피해와 뭐가 다른가요?

좀비PC – 일부 운이 나빴던 사용자들의 PC

3차 공격의 성과(?)도 미미하여 DDoS 공격이 소강상태에 접어들었고, 영국으로 진원지가 밝혀지고 (어디서는 서버는 미국에 있다는 이야기도 들립니다만, 이 부분은 확인하여 다시 수정하도록 해야겠네요) 어느 정도 사태가 진정되어 가는 것 같습니다. 하지만 제 생각에는 이제부터가 시작이라고 생각이 듭니다.

하지만 너무나 답답하게도 정부는 이런 큰 사고(?)를 계기로도 범국민적인 보안 의식 강화 운동 같은 건 할 생각이 없나봅니다. ‘안보’에는 관심있어도 ‘보안’에는 관심이 없는 그들의 근원적 사고를 반영하는 듯 하네요.

국내에서 이와 같은 대형 DDoS공격에 의한 큰 피해가 발생할 수 있는 가장 큰 이유는 바로 멀웨어에 감염된 PC들이 국내에 있었기 때문입니다. 하다못해 중국에서 대형 DDoS 공격이 감행된다고 하면 그냥 중국 쪽 IP를 일시적으로 차단하여 손쉽게 막을 수 있었겠지만, 국내 정상 사용자속에 섞인 수 만대의 좀비 PC들을 걸러내는 것은 쉽지 않기 때문이죠. 일일이 IP를 등록하는 것도 한계가 있고, 일시에 몰아부치든 밀려들어오는 트래픽 속에서 그런 작업을 해내기란 쉽지 않은 일일테니까요.

은 정말이지 절망적인 수준이거든요. 거의 절대적인 대다수의 사용자들은 ‘편하지 않으면 무슨 신기술이냐’라는 생각과 더불어 ‘인터넷은 편하다’는 막연한 편견을 가지고 있습니다. 그래서 보안이라든지 개인 정보 보호 따위에는 관심이 없습니다. 은 정말이지 절망적인 수준이거든요. 거의 절대적인 대다수의 사용자들은 ‘편하지 않으면 무슨 신기술이냐’라는 생각과 더불어 ‘인터넷은 편하다’는 막연한 편견을 가지고 있습니다. 그래서 보안이라든지 개인 정보 보호 따위에는 관심이 없습니다. 아주 가끔은 ‘가입할 때 주민 번호도 입력 안하는 이메일 서비스를 어떻게 믿을 수 있냐’고 하시는 분도 본 적이 있습니다.

그리고 계속해서 야기되는 ActiveX 문제도 마찬가지 입니다. 무조건 ActiveX가 문제인 것은 사실 아닐 수도 있습니다. 브라우저의 접근 범위를 뛰어넘는 기능을 제공하는 웹 서비스를 제공하려면 쓰지 않을 수 없는 기술입니다. (접근성이나 소프트웨어 종속성은 이 글에서 다루고자 하는 부분이 아니므로 일단 제외하겠습니다.) ActiveX 문제에서 가장 관심을 가지고 까야할 주제는 그 기술 자체가 아니라, 그걸로 서비스를 기획하고 만드는 사람의 사고 방식이 문제라는 겁니다.

ActiveX 문제는 ‘과학 기술’이 가지는 그 속성을 축소하여 담아둔 현상으로 해석할 수도 있습니다. (이 예시는 사실 소설 주라기 공원에 나오는 이야기입니다) 가다데의 고단자는 마음만 먹으면 한 손으로도 사람 목을 꺾어 버릴 수도 있습니다. 하지만 그 정도의 고수들은 쉽게 사람을 죽이지는 않지요, 그것은 그러한 힘을 손에 넣기 전까지는 어마어마한 훈련과 더불어서 자기 자신을 그런 힘을 가질 자격이 있도록, 즉 그것을 통제할 수 있도록 수련을 한다는 겁니다. 하지만 과학 기술은 그렇지 않습니다. 인류가 문자를 발명한 이후로 ‘기술 지식’은 너무나 쉽게 다음 세대에게 전달이 되기 시작했지요. 그래서 뉴튼 이후의 과학자들은 선배들이 평생에 걸쳐 발굴한 성과를 아주 짧은 시간 안에 습득하고 그 다음 레벨의 지식과 기술을 연구하게 됩니다. 그렇게 몇 세대를 지나면서 과학 기술은 엄청난 속도로 발전하지만, 이제는 어느 누구도 그 기술이 올바르게 사용될 거라고 장담할 수 있는 사람은 없게 됩니다. 성찰이나 노력에 비해 몇 배나 큰 힘을 가지게 된 사람이 과연 그 힘을 제대로 통제할 수 있을까요?

ActiveX 문제도 마찬가지입니다. 너무나 쉬운 관문 – 사용자가 팝업창에서 [예]를 한 번 클릭하는 것- 만 통과하면 그 시스템은 이제 ActivX 프로그램이 하고 싶은 대로 할 수가 있습니다. 이렇게 동적으로 코드가 다운로드되고, 설치되어 실행될 수 있도록 하는 것은 개발자 입장에서는 사실 매우 편하기 그지 없는 방식이고, 그래서 10년 전 쯤에 이 기술은 여러 개발자들의 찬양을 받기도 했습니다. 하지만 그렇다고 개발자(여기서는 실제 코드를 짜는 것만이 아닌 서비스를 설계하는 모든 이를 말합니다)들이 모두 ‘보안 의식’이 철저했던 것은 아니었습니다. 하다 못해 모 초대형 사이트에서는 배경 음악 플레이어를 설치했을 뿐인데, 자기 네 사이트가 ‘신뢰할 수 있는 사이트’로 몰래 등록이 되어 있기도 하지요. 이런 식으로 ActiveX를 통해서 사용자 PC의 보안을 완전 무력화하는 서비스도 있었습니다. 심지어는 아예 ActiveX를 물어보지 않고 설치할 수 있도록 설정을 사용자 몰래 변경해버리는 곳도 있습니다. 그 정도 수준이면, 그 얼마나 값어치 있는 서비스를 제공할지는 몰라도, 서비스 제공자로서의 최소한의 상도의도 포기한 양아치라고 밖에는 표현할 수 없지요.

그렇게 거의 10년을 사용자들은 ActiveX를 습관적으로 설치하도록 강제 받아 왔고, 이제 그 대단한 학습효과는 사용자 스스로를 옥죄게 만들게 되었습니다. 서비스 제공 업체들은 ‘문을 허술하게 열어두도록 하는 방법’은 알려주었지만, ‘벽에 구멍이 나는 데 공구리 치는 것’을 알려주지는 않았습니다. 즉 ActiveX로 문은 열되, 사용자 보안 업데이트 같은 것은 어느 누구도 하라고 알려주는 법이 없었지요. 아예 국가가 나서서 윈도 서비스팩 출시를 늦추어 달라는 둥, 이런 밉상 짓을 하고 앉아 있습니다.

분위기가 이렇다보니, 결국 이번 공격에 동원된 PC를 사용하던 사용자들을 비난하기도 참 뭣한 겁니다. 비난의 화살은 결국 국내 사용자의 대다수가 받아야 할 테니까요. 그리고 그들을 그저 무지한 상태로 남아있도록 강요한 온갖 서비스 업체들과 정부도 같이 비난을 받아야겠지요. 그저 아무 것도 모르고 PC를 사용하던 사람들은 그냥 ‘운이 없었을’ 뿐이었습니다. 그럼에도 불구하고 ‘좀비PC 경고 받고도 그냥 PC 사용한 사용자’에 대해서 한심하다는 논조의 기사거리도 보였는데, 그건 정말 나쁜 기사입니다. 참 못되먹었어요. 그 엄한 사람을 그렇게 만들지 않게 할 의무가 정부에게, 언론에게 그리고 최소한의 상도의 차원에서 인터넷 서비스 제공업체에게 있기 때문입니다.

이번에도 정신 못차리는 언론

그럼에도 언론은 더더욱 정신을 못차립니다. 정보 통신 관련 ‘전문 기자’들의 지식 수준이야 사실 더 이상 말할 필요가 없지요. 동네 컴퓨터 학원에서 게임하는 초딩보다, 마을 여성회관에서 독수리 타법으로 인터넷 배우신 주부들 보다도 더 나을 것 없는 수준들 (관련 기사가 삭제되었는지 찾을 수가 없어서 행복한 고니님의 블로그로 링크합니다)을 보여주었으니, 이번 DDoS 사태에 대해서는 뭐 별반 기대하는 것은 없습니다. 하지만, 지금쯤되었으면 최초 악성 코드를 배포한 것으로 알려진 사이트 목록은 공개해야 하는 것 아닙니까? 이 부분은 꼭 저 뿐만이 아니더라도 정말 궁금해 하시는 분들이 많을 텐데요. 이 부분이 가장 의문스럽군요. 어쩌면 제대로 관리 안되기로 유명한 국내 언론사들이 주요 숙주 사이트였기에 이미지 관리 차원에서 자체적으로 공개를 안하시는 건가요? (어쩌면 정부 기관 홈페이지 일 수도 있지요. ) 좀비 PC들이 ActiveX를 통해 감염되었을 가능성이 매우 높고, 1차 공격이 지난 시점에서도 어쩌면 그 사이트들은 계속해서 악성 코드를 사람들의 PC에 심고 있을지 모르는데도 이 부분에 대해서는 계속 함구 하고 있습니다. 마치, 흉악범이 탈옥하여 걸거리를 활보하며 계속해서 피해자를 만들고 있는데도, 언론에서 덮어주는 꼴과 다를 바가 없습니다. 하다못해 경찰이나 국정원에서도 그런 조치를 생각 못했을까 싶기도 할 정도로 기본적인 내용임에도 불구하고 그저 ‘조용히 넘어가면 그만’이라는 냄새를 많이 풍겨주고 있습니다. 하기사, 언론(이라고 하기에도 부끄럽네요)들이 추가 피해 발생이나 그런 거에 관심이 있겠습니까, 그저 북한 배후라는 국정원의 근거 없는 유언 비어만 확대 재생산하는 데 몰두해서 한참 재미봤을 텐데 말이지요. 어쨌거나, 이와 관련된 언론인들은 모두 X잡고 방바닥에 앉아서 잘 반성해야 합니다.

아니, 피해를 주는 사이트를 못가도록 알리고 홍보해야할 사람들이 야동 다운 받아 보지 말라고 설레발을 치는게 말이 됩니까? 그럼 왜 북한이 주도한 겁니까? 일본이면 몰라도.

정부와 국정원 – 어디서 굴러먹던 양아치들

정부의 대응은 정말이지 더더욱 가관입니다. 허둥대기나 했지 제대로 한 게 아무것도 없어요. 거기다 국정원은 아무 근거도 없이 이번 공격이 북한이 주도한 사이버 테러라며 헛소리를 퍼트리기 시작합니다. 만에 하나 북한이 테러를 감행하고자 마음을 먹고 저질렀다면 그 깟 몇 개 홈페이지 다운될 정도로 장난만 치다가 끝냈을까요? 그렇게 ‘강한 부대’를 양성했으면 금융 전상망을 초토화한다거나, 군 기밀을 빼가는 등의 좀 임팩트 있는 공격을 하지 않았을까 싶은데요. 설령 그것이 ‘테러’라고 한다면 그건 국정원으로서도 더더욱 할 말이 없습니다. 국가의 정보 보안 인프라가 그 딴 초보적인 DDoS 공격 따위에 마비가 됐다는 것이니, 이제 북한이 맘먹고 영화처럼 대 혼란을 야기하려고 한다면 정부가 그것을 막을 방법이 없다는 것을 그대로 시인했을 뿐입니다. 비가 와서 눅눅한 공기가 온통 병신 냄새, 바보 냄새로 가득 메워지는 느낌이 듭니다. 그저 조선일보 홈페이지가 마비되었다고 북한은 IP 할당도 못받았는데, 영국으로 진원지가 확인됐는데 계속해서 북한이 저지를 ‘테러’랍니다. 그냥 하는 짓거리가 지나가는 초딩 잡아다가 꼬투리 잡아 돈 뺐는 양아치 이상도, 이하도 아닙니다. 그 딴 소리 계속 지껄이는 걸 보면 국정원의 자작극이 아닌가하는 강한 의혹이 제기되는 것이 그리 억지는 아니라고 생각되는 군요.

이번 사태에서 우리가 배운 것

이런 일련의 사건들을 겪고나서 확실히 확인한 것이 몇 가지 있지요. 첫 째, 우리 나라는 IT 강국은 커녕 베트남만큼도 못한 후진국이라는 점. 둘 째, 정작 맘먹고 누군가가 테러할라치면 그에 대한 대응은 없고 속수 무책으로 당할 수 밖에 없겠구나 하는 점. 셋 째, 사건의 전개와 진화 과정을 지켜본 바로는 앞으로 전혀 개선될 기미는 보이지 않는 다는 것. 넷 째, 이 나라 언론들 중에서 제대로 의식 박혀있는 곳은 한 군데도 없다는 점.

가장 문제가 되는 것은 사용자 개개인의 보안 의식이 없다는 것이고, ActiveX는 그 자체가 좋다/나쁘다의 가치 판단을 할 수 없지만 지금처럼 무작정 예만 클릭하다록 하는 습관을 뜯어고쳐야 한다는 것이 가장 중요한 일이 아닐까 싶습니다. 그렇지만 지금도 ‘유료 백신은 돈 아깝다는 생각하지 말고 까세요’ 소리나 하고 있는 언론이 있고, 또 ActiveX가 얼마나 좋네 나쁘네를 가지고 싸우는 네티즌들을 보면 그저 한숨만 나올 따름입니다. 까놓고 말해서 IE의 점유율이 이렇게 압도적이지 않았다면 네이버가 쓰러질 정도로 큰 파괴력을 가지는 공격이 가능했을까하는 생각도 드네요.

아무튼 ‘세계로 뻗어나가는 한국’ 이런 말만 좋아하는 우리들의 습성 뒤에는 얼마나 병신같은 실체가 숨어있었는지만 확인할 수 있는 매우 부끄러운 요즘이었습니다.

Wireframe

숩은 아직 20대

Tag Archives: 보안