20090713 :: 머리부터 발끝까지, 우리 나라 보안의 현주소

DDoS 사태가 좀 크게 벌어졌을 때 쓰려고 시작한 글인데 지나친 게으름으로 인해 이제사 완성해서 발행합니다.

그렇게 난리 법석 안 떨어도 됐거든요?

요즘은 슬슬 사그러드는 듯 합니다만, 얼마전까지만해도 분산 서비스 거부(Distributed Denail of Service) 공격 때문에 국내 주요 사이트 및 일부 정부/우익 단체들의 홈페이지가 마비되는 사건이 벌어졌습니다. 사실 인터넷 뱅킹이나 인터넷 쇼핑 및 일부 포털을 제외하고는 머 있으나 마나한 사이트들이라서 신경쓰지 않고 있었습니다만, 아무래도 뭐하나 국민들의 관심을 정치로부터 떼어놓으려는 떡밥만 있으면 미친듯이 몰려들어 지랄 난장을 벌이는 언론들 덕분에 전국이 시끌 시끌했지요. 게다가 몇 년 전 국내에서도 제법 인기를 끌었던 ‘다이하드 4.0’의 상황과 똑같다며 난리 법석을 부리는 모습에는 가뜩이나 더운데 정신까지 끈적이는 불쾌감의 극치를 맛보았습니다. (어디 신문사 중에 PC에서 불꽃이라도 파바박 튄 데가 있나 봅니다)

게다가 안그래도 방학을 앞두고 네이버가 버벅거려 초딩들 마음이 뒤숭숭할텐데 국정원은 난데없이 ‘이번 사이버 테러 배후에는 북한이 있다’는 유언비어를 앞장서서 퍼뜨려 사회적 불안감을 마구 조성해주고 제대로 병신인증 한 번 했습니다. 국정원이 내뱉은 헛소리에 야당을 비롯한 많은 네티즌들이 사이버 보안법을 위한 언론 플레이라며 반발했지만 ‘일부언론’들과 한나라당은 되려 안보 개념도 탑재가 안됐다고 성을 냈지요.

가만히 보니 이 사람들 전쟁 내고 싶어서 안달하는 거 같은데 어쨌든 잠정적으로 공격의 근원지는 영국으로 판명이 난 듯 합니다. 문제는 저열한 국정원의 정치 놀음입니다. 이 사람들은 국가 안보를 그렇게 입에 달고 살고, 심지어는 국민들의 혈세로 스티커까지 만들어서 전국의 시내 버스 내리는 문이며 지하철 문마다 붙여놓지만 스스로의 이성적 사고는 어디 내다 팔아버린 것 같습니다. 실제 공격의 목표가 정부 사이트나 우익 언론 단체가 (역시 포함만 되었을 뿐이고) 되었다 하더라도 그저 ‘홈페이지가 접속이 안되는’ 정도에서 그쳤다는 겁니다. 그나마 치명상을 입은 시스템은 공격에 사용된 좀비PC들 뿐이지요. 이 사실들만 보더라도 어떤 정치적인 목적을 띈다고 판단하는 건 너무나 섣부른 거 아닌가 싶은데, 이러한 양상이 그냥 일반적인 악성코드에 의한 피해와 뭐가 다른가요?

좀비PC – 일부 운이 나빴던 사용자들의 PC

3차 공격의 성과(?)도 미미하여 DDoS  공격이 소강상태에 접어들었고, 영국으로 진원지가 밝혀지고 (어디서는 서버는 미국에 있다는 이야기도 들립니다만, 이 부분은 확인하여 다시 수정하도록 해야겠네요) 어느 정도 사태가 진정되어 가는 것 같습니다. 하지만 제 생각에는 이제부터가 시작이라고 생각이 듭니다.

하지만 너무나 답답하게도 정부는 이런 큰 사고(?)를 계기로도 범국민적인 보안 의식 강화 운동 같은 건 할 생각이 없나봅니다. ‘안보’에는 관심있어도 ‘보안’에는 관심이 없는 그들의 근원적 사고를 반영하는 듯 하네요.

국내에서 이와 같은 대형 DDoS공격에 의한 큰 피해가 발생할 수 있는 가장 큰 이유는 바로 멀웨어에 감염된 PC들이 국내에 있었기 때문입니다. 하다못해 중국에서 대형 DDoS 공격이 감행된다고 하면 그냥 중국 쪽 IP를 일시적으로 차단하여 손쉽게 막을 수 있었겠지만, 국내 정상 사용자속에 섞인 수 만대의 좀비 PC들을 걸러내는 것은 쉽지 않기 때문이죠. 일일이 IP를 등록하는 것도 한계가 있고, 일시에 몰아부치든 밀려들어오는 트래픽 속에서 그런 작업을 해내기란 쉽지 않은 일일테니까요.

은 정말이지 절망적인 수준이거든요. 거의 절대적인 대다수의 사용자들은 ‘편하지 않으면 무슨 신기술이냐’라는 생각과 더불어 ‘인터넷은 편하다’는 막연한 편견을 가지고 있습니다. 그래서 보안이라든지 개인 정보 보호 따위에는 관심이 없습니다. 은 정말이지 절망적인 수준이거든요. 거의 절대적인 대다수의 사용자들은 ‘편하지 않으면 무슨 신기술이냐’라는 생각과 더불어 ‘인터넷은 편하다’는 막연한 편견을 가지고 있습니다. 그래서 보안이라든지 개인 정보 보호 따위에는 관심이 없습니다. 아주 가끔은 ‘가입할 때 주민 번호도 입력 안하는 이메일 서비스를 어떻게 믿을 수 있냐’고 하시는 분도 본 적이 있습니다.

그리고 계속해서 야기되는 ActiveX 문제도 마찬가지 입니다. 무조건 ActiveX가 문제인 것은 사실 아닐 수도 있습니다. 브라우저의 접근 범위를 뛰어넘는 기능을 제공하는 웹 서비스를 제공하려면 쓰지 않을 수 없는 기술입니다. (접근성이나 소프트웨어 종속성은 이 글에서 다루고자 하는 부분이 아니므로 일단 제외하겠습니다.) ActiveX 문제에서 가장 관심을 가지고 까야할 주제는 그 기술 자체가 아니라, 그걸로 서비스를 기획하고 만드는 사람의 사고 방식이 문제라는 겁니다.

ActiveX 문제는 ‘과학 기술’이 가지는 그 속성을 축소하여 담아둔 현상으로 해석할 수도 있습니다. (이 예시는 사실 소설 주라기 공원에 나오는 이야기입니다) 가다데의 고단자는 마음만 먹으면 한 손으로도 사람 목을 꺾어 버릴 수도 있습니다. 하지만 그 정도의 고수들은 쉽게 사람을 죽이지는 않지요, 그것은 그러한 힘을 손에 넣기 전까지는 어마어마한 훈련과 더불어서 자기 자신을 그런 힘을 가질 자격이 있도록, 즉 그것을 통제할 수 있도록 수련을 한다는 겁니다.  하지만 과학 기술은 그렇지 않습니다. 인류가 문자를 발명한 이후로 ‘기술 지식’은 너무나 쉽게 다음 세대에게 전달이 되기 시작했지요. 그래서 뉴튼 이후의 과학자들은 선배들이 평생에 걸쳐 발굴한 성과를 아주 짧은 시간 안에 습득하고 그 다음 레벨의 지식과 기술을 연구하게 됩니다. 그렇게 몇 세대를 지나면서 과학 기술은 엄청난 속도로 발전하지만, 이제는 어느 누구도 그 기술이 올바르게 사용될 거라고 장담할 수 있는 사람은 없게 됩니다. 성찰이나 노력에 비해 몇 배나 큰 힘을 가지게 된 사람이 과연 그 힘을 제대로 통제할 수 있을까요?

ActiveX 문제도 마찬가지입니다. 너무나 쉬운 관문 – 사용자가 팝업창에서 [예]를 한 번 클릭하는 것- 만 통과하면 그 시스템은 이제 ActivX 프로그램이 하고 싶은 대로 할 수가 있습니다. 이렇게 동적으로 코드가 다운로드되고, 설치되어 실행될 수 있도록 하는 것은 개발자 입장에서는 사실 매우 편하기 그지 없는 방식이고, 그래서 10년 전 쯤에 이 기술은 여러 개발자들의 찬양을 받기도 했습니다. 하지만 그렇다고 개발자(여기서는 실제 코드를 짜는 것만이 아닌 서비스를 설계하는 모든 이를 말합니다)들이 모두 ‘보안 의식’이 철저했던 것은 아니었습니다. 하다 못해 모 초대형 사이트에서는 배경 음악 플레이어를 설치했을 뿐인데, 자기 네 사이트가 ‘신뢰할 수 있는 사이트’로 몰래 등록이 되어 있기도 하지요. 이런 식으로 ActiveX를 통해서 사용자 PC의 보안을 완전 무력화하는 서비스도 있었습니다. 심지어는 아예 ActiveX를 물어보지 않고 설치할 수 있도록 설정을 사용자 몰래 변경해버리는 곳도 있습니다. 그 정도 수준이면, 그 얼마나 값어치 있는 서비스를 제공할지는 몰라도, 서비스 제공자로서의 최소한의 상도의도 포기한 양아치라고 밖에는 표현할 수 없지요.

그렇게 거의 10년을 사용자들은 ActiveX를 습관적으로 설치하도록 강제 받아 왔고, 이제 그 대단한 학습효과는 사용자 스스로를 옥죄게 만들게 되었습니다. 서비스 제공 업체들은 ‘문을 허술하게 열어두도록 하는 방법’은 알려주었지만, ‘벽에 구멍이 나는 데 공구리 치는 것’을 알려주지는 않았습니다. 즉 ActiveX로 문은 열되, 사용자 보안 업데이트 같은 것은 어느 누구도 하라고 알려주는 법이 없었지요. 아예 국가가 나서서 윈도 서비스팩 출시를 늦추어 달라는 둥, 이런 밉상 짓을 하고 앉아 있습니다.

분위기가 이렇다보니, 결국 이번 공격에 동원된 PC를 사용하던 사용자들을 비난하기도 참 뭣한 겁니다. 비난의 화살은 결국 국내 사용자의 대다수가 받아야 할 테니까요. 그리고 그들을 그저 무지한 상태로 남아있도록 강요한 온갖 서비스 업체들과 정부도 같이 비난을 받아야겠지요. 그저 아무 것도 모르고 PC를 사용하던 사람들은 그냥 ‘운이 없었을’ 뿐이었습니다. 그럼에도 불구하고 ‘좀비PC 경고 받고도 그냥 PC 사용한 사용자’에 대해서 한심하다는 논조의 기사거리도 보였는데, 그건 정말 나쁜 기사입니다. 참 못되먹었어요. 그 엄한 사람을 그렇게 만들지 않게 할 의무가 정부에게, 언론에게 그리고 최소한의 상도의 차원에서 인터넷 서비스 제공업체에게 있기 때문입니다.

이번에도 정신 못차리는 언론

그럼에도 언론은 더더욱 정신을 못차립니다. 정보 통신 관련 ‘전문 기자’들의 지식 수준이야 사실 더 이상 말할 필요가 없지요. 동네 컴퓨터 학원에서 게임하는 초딩보다, 마을 여성회관에서 독수리 타법으로 인터넷 배우신 주부들 보다도 더 나을 것 없는 수준들 (관련 기사가 삭제되었는지 찾을 수가 없어서 행복한 고니님의 블로그로 링크합니다)을 보여주었으니, 이번 DDoS 사태에 대해서는 뭐 별반 기대하는 것은 없습니다. 하지만, 지금쯤되었으면 최초 악성 코드를 배포한 것으로 알려진 사이트 목록은 공개해야 하는 것 아닙니까? 이 부분은 꼭 저 뿐만이 아니더라도 정말 궁금해 하시는 분들이 많을 텐데요. 이 부분이 가장 의문스럽군요. 어쩌면 제대로 관리 안되기로 유명한 국내 언론사들이 주요 숙주 사이트였기에 이미지 관리 차원에서 자체적으로 공개를 안하시는 건가요? (어쩌면 정부 기관 홈페이지 일 수도 있지요. ) 좀비 PC들이 ActiveX를 통해 감염되었을 가능성이 매우 높고, 1차 공격이 지난 시점에서도 어쩌면 그 사이트들은 계속해서 악성 코드를 사람들의 PC에 심고 있을지 모르는데도 이 부분에 대해서는 계속 함구 하고 있습니다. 마치, 흉악범이 탈옥하여 걸거리를 활보하며 계속해서 피해자를 만들고 있는데도, 언론에서 덮어주는 꼴과 다를 바가 없습니다. 하다못해 경찰이나 국정원에서도 그런 조치를 생각 못했을까 싶기도 할 정도로 기본적인 내용임에도 불구하고 그저 ‘조용히 넘어가면 그만’이라는 냄새를 많이 풍겨주고 있습니다. 하기사, 언론(이라고 하기에도 부끄럽네요)들이 추가 피해 발생이나 그런 거에 관심이 있겠습니까, 그저 북한 배후라는 국정원의 근거 없는 유언 비어만 확대 재생산하는 데 몰두해서 한참 재미봤을 텐데 말이지요. 어쨌거나, 이와 관련된 언론인들은 모두 X잡고 방바닥에 앉아서 잘 반성해야 합니다.

아니, 피해를 주는 사이트를 못가도록 알리고 홍보해야할 사람들이 야동 다운 받아 보지 말라고 설레발을 치는게 말이 됩니까? 그럼 왜 북한이 주도한 겁니까? 일본이면 몰라도.

정부와 국정원 – 어디서 굴러먹던 양아치들

정부의 대응은 정말이지 더더욱 가관입니다. 허둥대기나 했지 제대로 한 게 아무것도 없어요. 거기다 국정원은 아무 근거도 없이 이번 공격이 북한이 주도한 사이버 테러라며 헛소리를 퍼트리기 시작합니다. 만에 하나 북한이 테러를 감행하고자 마음을 먹고 저질렀다면 그 깟 몇 개 홈페이지 다운될 정도로 장난만 치다가 끝냈을까요? 그렇게 ‘강한 부대’를 양성했으면 금융 전상망을 초토화한다거나, 군 기밀을 빼가는 등의 좀 임팩트 있는 공격을 하지 않았을까 싶은데요. 설령 그것이 ‘테러’라고 한다면 그건 국정원으로서도 더더욱 할 말이 없습니다. 국가의 정보 보안 인프라가 그 딴 초보적인 DDoS 공격 따위에 마비가 됐다는 것이니, 이제 북한이 맘먹고 영화처럼 대 혼란을 야기하려고 한다면 정부가 그것을 막을 방법이 없다는 것을 그대로 시인했을 뿐입니다. 비가 와서 눅눅한 공기가 온통 병신 냄새, 바보 냄새로 가득 메워지는 느낌이 듭니다. 그저 조선일보 홈페이지가 마비되었다고 북한은 IP 할당도 못받았는데, 영국으로 진원지가 확인됐는데 계속해서 북한이 저지를 ‘테러’랍니다. 그냥 하는 짓거리가 지나가는 초딩 잡아다가 꼬투리 잡아 돈 뺐는 양아치 이상도, 이하도 아닙니다. 그 딴 소리 계속 지껄이는 걸 보면 국정원의 자작극이 아닌가하는 강한 의혹이 제기되는 것이 그리 억지는 아니라고 생각되는 군요.

이번 사태에서 우리가 배운 것

이런 일련의 사건들을 겪고나서 확실히 확인한 것이 몇 가지 있지요. 첫 째, 우리 나라는 IT 강국은 커녕 베트남만큼도 못한 후진국이라는 점. 둘 째, 정작 맘먹고 누군가가 테러할라치면 그에 대한 대응은 없고 속수 무책으로 당할 수 밖에 없겠구나 하는 점. 셋 째, 사건의 전개와 진화 과정을 지켜본 바로는 앞으로 전혀 개선될 기미는 보이지 않는 다는 것. 넷 째, 이 나라 언론들 중에서 제대로 의식 박혀있는 곳은 한 군데도 없다는 점.

가장 문제가 되는 것은 사용자 개개인의 보안 의식이 없다는 것이고, ActiveX는 그 자체가 좋다/나쁘다의 가치 판단을 할 수 없지만 지금처럼 무작정 예만 클릭하다록 하는 습관을 뜯어고쳐야 한다는 것이 가장 중요한 일이 아닐까 싶습니다. 그렇지만 지금도 ‘유료 백신은 돈 아깝다는 생각하지 말고 까세요’ 소리나 하고 있는 언론이 있고, 또 ActiveX가 얼마나 좋네 나쁘네를 가지고 싸우는 네티즌들을 보면 그저 한숨만 나올 따름입니다. 까놓고 말해서 IE의 점유율이 이렇게 압도적이지 않았다면 네이버가 쓰러질 정도로 큰 파괴력을 가지는 공격이 가능했을까하는 생각도 드네요.

아무튼 ‘세계로 뻗어나가는 한국’ 이런 말만 좋아하는 우리들의 습성 뒤에는 얼마나 병신같은 실체가 숨어있었는지만 확인할 수 있는 매우 부끄러운 요즘이었습니다.