한 해가 또 지나고 한 해가 다시 밝았다. 먼저 부족한 이 칼럼을 읽으시는 독자 여러분과 일하기 쉽지 않은 소프트웨어업계, 보안 업계에서 일하시는 모든 분들께 새해가 즐겁고 보람있는 한 해가 되길 빈다.
◆ 보안 위협의 세 가지 흐름
지난 몇 년 동안 IT 보안 산업의 최일선에서 여러 보안 위협과 공격에 대응하면서 최근 보안 위협은 어떻게 발전하고 있고, 그에 대한 방어는 어떻게 이뤄지고 있는지, 우리 사회는 이러한 IT 보안 위협을 제대로 인식하고 대처해 나가고 있는지 눈여겨 볼 수 있었다.
최근 보안 위협은 크게 3가지 특징을 띠고 있다.
(1) 보안 위협 산업의 형성.
(2) 보안 위협 기술의 대중화.
(3) 새로운 제품과 서비스에 대한 보안 위협의 공격
최근 보안 위협의 여러 특징을 관찰할 수 있는데, 가장 눈에 띄는 것은, 보안 위협이 산업으로 형성되었다는 점이다. 그동안 보안 위협이 금전적 이득을 노리고 발생한다는 것이 구체적인 사례를 통해 밝혀져 왔는데, 지난 2년 동안 흐름을 볼 때 이제는 보안 위협이 하나의 산업으로 진화되었다고 판단된다.
◆보안 위협 ‘산업’의 형성
대표적인 사례가 스파이웨어 비즈니스이다. 스파이웨어는 인터넷 비즈니스 모델의 일반적 특성을 그대로 갖고 있다. 인터넷 비즈니스에서는 웹사이트에 ▲방문자 수 ▲가입자 수 ▲배포된 프로그램의 수를 많이 확보하여 이를 통해 유료 모델을 만들거나 가치를 높여 광고나 제휴 사업, 판매 등을 통해 수익을 창출하는 것이 기본 비즈니스 모델이다. 또한 유료 비즈니스 모델로는 ▲소액 결제 ▲무료 진단, 유료 치료를 통한 유료 개인사용자 확보가 일반화되었다.
제휴를 통해 인터넷 카페나 소규모 포털 등지에서 스파이웨어를 무차별 배포함으로써 수익을 얻는 스파이웨어의 비즈니스 모델은 인터넷 비즈니스 모델의 전형을 따르고 있다.
특히 허위 안티스파이웨어는, 안티스파이웨어의 겉모양을 띠면서 실제로는 스파이웨어로서 동작하고, 무료 진단, 유료 치료를 통해 사용자에게 소액 결제를 하도록 유도한 뒤 사용자의 적절한 동의를 받지 않은 채 결제를 자동 연장함으로써 돈을 번다. 홈페이지를 가 봐도 연락처가 없는 것은 물론, 결제를 중단할 수 있는 방법이 없다.
이 때문에 피해를 본 사용자들이 적지 않아 한국소비자원에 상담접수된 것이 2007년 3사분기까지 742건으로 작년 동기 대비 57.2%가 증가하였다. 이 업계의 총 매출액이 따로 잡힌 것은 없지만, 스파이웨어 산업이 정착되었음을 보여 주는 하나의 지표로 볼 수 있다.
온라인 게임 산업에서도 비슷한 징조를 읽을 수 있다. 이미 온라인 게임 아이템 ‘산업’의 규모가 한국게임산업개발원의 공식 통계로 2006년에 8307억에 이르렀기 때문에 2007년에는 1조 안팎이 되었을 것으로 예측된다.
아이템의 수집과 판매를 통해 매출을 올리는 수천 개의 중국과 한국의 ‘작업장’ 역시 하나의 산업 주체로서 기능하고 있다. 게다가 요즘 온라인 게임 아이템을 수집하는 작업장에서 애용되는 오토플레이 – 오토마우스, 자동사냥도구 – 는 게임 아이템 산업의 연관 산업으로 발전하였다. 특히 최근 등장한 오토플레이는 USB 인터페이스로 사용 편의성을 높인 하드웨어 제품들이 주도하고 있다.
포털에서 검색해 보면 오토플레이 쇼핑몰이 버젓이 스폰서 링크로 걸려 있고, 해당 웹사이트에 들어가 보면 사업자 등록번호가 있고, 구매 요청하면 배송도 해 준다. 지마켓이나 옥션 등 오픈 마켓에서도 판매한다. 일반 제품 판매와 다를 게 없다. 이렇게 전문적인 개발과 유통이 이뤄지는 것을 볼 때 그것을 생업으로 삼는 일군의 사람들이 있음을 알 수 있다.
또한 작년에는 국내에서 특정 은행 사용자를 겨냥한 첫 파밍 공격이 있었다. 구현하기 어렵지 않은 기술을 사용하고 있기 때문에 재발할 여지가 있다. 아직 이러한 공격이 많이 발생하지는 않았지만, 은행 사용자의 59%가 인터넷 뱅킹을 사용하는 우리나라 현실에서 특히 은행 사용자에 대한 보안 위협은 국가의 근간인 금융시스템의 혼란으로 이어질 수 있기 때문에 매우 심각하게 받아들여야 한다.
한편, 해외에서는 사이버 블랙 마켓이 형성되어서 봇넷(BotNet)을 사고 판다고 한다. 품질 보증은 물론 임대도 가능하다고 광고까지 하는 것으로 알려져 있다. 또한 남미에서는 은행 계좌를 노리는 악성코드가 많이 발견되어, 이것으로 생활을 영위하는 일군의 세력이 형성되어 있음을 짐작할 수 있다. 전세계적으로 보안 위협 산업이 형성된 게 아닐까 싶다.
◆보안 위협 기술의 대중화
둘째로 보안 위협 기술의 대중화를 들 수 있다. 이것은 보안 위협 산업 형성의 원인이면서 결과이기도 하다. 몇 가지 사례를 살펴 보기로 하자.
첫째, 악성코드를 보자. 2004년 IRC봇 악성코드가 폭발적으로 출현한 주요 원인은 IRC 소스가 공개되어 많은 이들이 접근하기 쉬웠다는 데 있다. 실행압축 기술, 은폐 기술 등도 비슷한 양상을 보이고 있다.
소스가 공개되거나 무료로 사용할 수 있는 실행압축 프로그램(Packer)들이 있고, 아예 악성코드에 이용하기 위해 만들어진 실행압축 프로그램도 나타났다. 또한 작년에는 실행압축 프로그램의 일부를 바꾸어 보안제품이 진단하기 어렵게 하는 방식인 맞춤형 패커(Custom packer)가 자주 사용되었다.
루트킷을 이용한 은폐 기술, 자기 보호 기술 역시 웬만한 악성코드나 해킹 도구가 이용할 정도로 대중화되었다. 심지어는 악성코드에 사용할 수 있는 다양한 도구를 종합선물세트로 만들어 판매하는 것도 등장했다.
둘째, 번성하는 스파이웨어 비즈니스 중 하나인 허위 안티스파이웨어의 기술을 들 수 있다. 이의 기술적인 기반은 누구라도 값싸게 사다 쓸 수 있는 저질의 값싼 안티스파이웨어 엔진이다. 이것들은 분석이나 업데이트도 제대로 이뤄지지 않고 오진도 많이 하지만, 품질 검증 없이 공짜를 선호 하고 무형의 지적자산을 천시하는 사회 풍조에 힘입어서 위세를 떨치고 있다.
셋째, 오토플레이 역시 대중화되었다. 이제 오토플레이는 게임아이템 작업장뿐 아니라 일반인들도 많이 구매하는 것으로 추측된다. 오토플레이 제작 업체의 게시판들을 살펴 보면 개인이 구매하는 것처럼 보이는 글들이 많이 있다. 오픈 마켓에서 10만원 대의 오토플레이 기기들이 올라와 있는 것들도 찾는 이들이 많음을 보여준다. 그동안 소프트웨어 방식으로 이뤄져 왔던 게임 해킹 기술이 하드웨어 기반으로 발전하면서 보안 위협 기술이 한층 더 대중화되고 있음을 알 수 있다.
넷째, 분산서비스 거부(DDoS) 공격은 봇넷을 이용하기 시작하면서 공조할 컴퓨터를 손쉽게 확보할 수 있게 되어서 더 이상 과거처럼 어려운 공격 기술이 아니다. 중국발 DDoS 공격이나 루트 도메인네임서비스(DNS) 서버에 대한 공격은 봇넷을 기반으로 한 것으로 파악되었다. 2007년에는 젤라틴 웜과 같이 P2P기반의 봇넷이 나왔다. 기존 주류를 이루고 있는 IRC형 봇넷에서는 중앙의 제어 서버를 차단하면 전체 봇넷을 차단할 수 있는데 비해 P2P형 봇넷은 차단하기가 좀더 어려워 질 수 있다. P2P형 봇넷이 뚜렷한 흐름이 될지 보안업계에서는 주목하고 있다.
이렇게 보안 위협 기술이 대중화하는 것은 온라인 상에서 정보 공유를 손쉽게 할 수 있기 떄문이다. 매달 몇 건씩 발견되는 윈도 운영체제의 취약점은 패치가 채 나오기도 전에 이를 검증하는 개념 검증(Proof Of Cocept) 코드가 나오고, 곧바로 이를 악용하여 다양한 공격이 이뤄진다. 이러한 공격 기술은 커뮤니티를 통해 공유되어 과거에 서로 다른 영역의 보안 위협이 서로의 기술을 차용하여 공격을 하기도 한다.
대표적인 사례로 온라인 게임핵이 악성코드에서 많이 사용하는 은폐 기술을 차용한 것과, 스파이웨어가 윈도 취약점을 공격하여 감염시키는 기능을 갖추는 것을 들 수 있다. 어느 선두 그룹에서 개발한 공격 기술은 얼마 되지 않아 다른 곳에서도 발견된다. 이렇게 보안 위협 기술의 대중화는 보안 위협 산업화의 기반이 된 한편, 사이버 블랙마켓의 등장으로 보안 위협 기술이 더욱 대중화되는 악순환 고리가 형성되었다.
◆새로운 단말기와 서비스에 대한 보안 위협의 공격
2007년의 보안 위협의 화두는 단연 UCC와 웹2.0을 통한 보안 위협의 증가였다. 보안 위협의 측면에서 보면, 웹2.0은 일반 웹과 비슷하다. 하지만 일반 사용자의 콘텐츠 업로드가 자유로워지고 수많은 사용자들이 UCC를 비롯한 콘텐츠의 다운로드에 익숙해 지면서 UCC를 통한 악성코드의 확산, UCC 재생을 가장한 스파이웨어 배포와 같은 사회공학 공격 증가, 웹을 통한 트로이목마 확산, XSS(Cross-site Srcipting)이나 iframe 태그를 이용한 악성 링크 삽입 등 기존 웹 해킹 방식의 증가로 웹이 악성코드와 스파이웨어 확산의 주요 경로가 되었다.
대중화된 지 채 2년 정도밖에 되지 않은 블로그가 이미 스팸의 온상이 된 것처럼 SNS(Social Networking Service)가 활성화되면 이 또한 보안 공격의 대상이 될 가능성이 충분히 있다.
이처럼 새로운 서비스가 생겨나면 그것을 악용하는 보안 위협이 발생하면서 ‘보안 위협 산업’의 새로운 먹잇감이 되는 현상이 일어나고 있다. USB 메모리가 대중화되자, 이동식 저장장치에서 자동 실행되는 파일인 autorun.inf에 삽입되어 몰래 실행되는 악성코드가 크게 확산되었다. 이제 이동식 저장장치는 CD나 USB뿐 아니라 게임기나 네비게이션, PMP 등 모든 이동단말기에 장착되어 있어서 사용자가 그 단말기를 이동식 저장장치로 활용할 수 있다. 그만큼 이동 단말기에 대한 보안 위협이 늘어나고 있는 것이다.
그런가 하면 VoIP(Voice over Internet Protocol, 인터넷 전화) 업계에서는 올해 1월부터 번호 이동제(070번으로 바꾸지 않고 기존 유선 전화번호를 그대로 인터넷 전화로 이동할 수 있는 제도)의 시행으로 향후 2~3년 내에 인터넷 전화 사용자가 크게 증가할 것으로 기대하고 있다. VoIP는 일반 인터넷 프로토콜 위에서 음성 전화를 구현했기 때문에 인터넷에서 활용할 수 있는 보안 위협 기술을 그대로 사용할 수 있다. 특히 분산서비스 거부 공격이나 도청, 스팸 등이 활성화될 것으로 우려된다.
또한 휴대전화의 경우 국내에는 아직 스마트폰이 대중화되지 않아 악성코드가 발견되고 있지 않지만, 외국에서 많이 쓰이는 심비안 운영체제 기반 스마트폰의 경우 그 기기에서 작동하는 악성코드가 수백 개에 달한다. 그것들은 전화 걸기, 멀티미디어 메시지의 무단 발송 등의 증상으로 사용자에게 금전적 피해를 입힌다.
미국에서 화제를 뿌린 애플의 아이폰(iPhone)이나 구글의 안드로이드(Android) 도 안심할 수 없다. 아이폰을 해킹한 사건이 이미 생겼고, 아이폰 운영체제의 기반인 Mac OS X에도 작년에 트로이목마가 발견되었다. 안드로이드는 리눅스 v2.6을 사용하고 있는데, 그것을 추진한 OHA(Open Handset Alliance)가 모든 기능을 오픈한다고 밝힌 상태여서 응용 프로그램을 어떻게 인증/통제할지, 전화 걸기 등의 기능은 어떻게 접근하게 할 것인지에 따라 심비안 스마트폰보다 더 보안에 취약할 수도 있다는 우려를 낳고 있다. 따라서 이 스마트폰들이 대중화된다면 이들에 대한 보안위협도 활성화될 가능성이 매우 높다.
◆보안 위협 산업이 작동하지 않게 하려면
이러한 보안 위협 때문에 지출하는 사회적 비용은 매우 크다. 수많은 PC 사용자들은 오작동하는 PC를 고치느라 스트레스 받으며 시간을 쏟고 심지어 포맷을 하기도 한다. 자신도 모르게 비용을 지출하거나 자신의 계좌에서 돈이 나가기도 한다.
인터넷 기반의 서비스가 중단되어 사업에 위협을 받는 경우도 있다. 온라인 게임의 근간인 게임의 밸런스가 파괴되어 게임 사용자들이 떠날 수도 있다. 네트워크가 마비되어 업무를 보지 못하고 중요한 정보가 유출되는 경우도 발생한다. 반도체, LCD, 자동차, 조선 등 자동화된 공정이 멈춰서 큰 피해를 입기도 한다.
보안 위협을 줄이기 위해서는 무엇보다도 보안 위협 산업이 작동하지 않도록 법적, 제도적 정비가 이뤄져야 한다. 작년 12월에 정보통신부에서 ‘스파이웨어 기준’을 개정한 것은 이런 측면에서 매우 바람직한 일이다. 특히 액티브/X를 설치할 때 나오는 인터넷 익스플로러의 보안 경고창을 사용자 동의창으로 인정하지 않음으로써 스파이웨어냐 아니냐의 시비를 사라지게 한 것이 눈에 띈다.
그럼에도 아직 한계는 있다. 스파이웨어 사업을 강력하게 차단하기 위해서는 정통부의 기준이 법률로 만들어져야 한다. 정통부가 지난 8월에 ‘정보보호법 발전 방안 마련을 위한 공청회’를 개최하고 정통망법의 전면 개편을 추진한다고 했는데, 최근 이것이 흐지부지되는 듯하다. 국민의 원성을 사고 있고, 정보화의 대표적 역기능인 스파이웨어 산업을 더 이상 방치하지 않고 법률 제정과 엄정한 법 집행을 통해 온 국민이 즐기는 IT 세상을 만들어 나가야 할 것이다.
또한 우리나라가 세계의 원조이자 중심인 온라인 게임산업이 제대로 발전해 나가기 위해서 특정 게임 전용의 하드웨어 오토플레이에 대한 당국의 적극적인 단속이 요청된다. 필요하다면 ‘컴퓨터프로그램보호법’에서 프로그램 저작권 침해 행위에 오토플레이의 행위를 포함시켜 게임 프로그램의 원래의 목적을 보호하는 것도 검토할 필요가 있다. 오토플레이가 근절되지 않고는 온라인 게임 산업이 더 이상 성장하기 어렵기 때문이다.
한편 보안 취약점 측면에서 보면, 국내에서 발견된 보안 취약점이 그에 대한 패치가 배포되기 전에 외부에 공개되지 않도록 체계를 갖추는 것이 필요하다. 특히 이것은 금융 보안에서 매우 중요한 이슈인데, 보안 취약점을 발견한 개인이나 단체의 성취를 적정한 방식으로 인정하고 그 취약점을 금융기업이나 감독기관, 보안업체가 공유하고 해결책을 만들어 냄으로써 사용하는 국민과 금융기업, 감독기관, 발견 주체, 보안업체 모두에게 유익한 방안을 만들어야 할 것이다.
그리고 새로운 단말이나 서비스를 출시하기 위해서는 먼저 해당 제품이나 서비스에 보안 취약점이 있는지 검토하고 이를 사전에 대비해야 한다. 기술적인 대비뿐 아니라 이를 대응할 수 있는 체계와 서비스를 함께 갖출 때만이 국민들이 편리하고 즐겁게 그 서비스를 사용할 수 있고, 서비스 주체는 수익을 얻을 수 있다.
끝으로 보안 위협의 산업화에 대응하기 위해서는 보안산업이 산업으로서 가치를 인정받는 것이 매우 중요하다. 보안 위협의 수익성이 인정되면서 우후죽순처럼 퍼져가고 있는데, 그것을 막는 핵심 주체인 보안산업은 그 가치를 인정받지 못하고 영세한 수준에서 머물러 있다. 이는 국제적인 흐름과는 동떨어진 우리나라의 현실이다. 인수 합병, 기술 개발, 해외 진출을 통한 보안업체의 자생 노력도 필요하지만, IT에 투자하는 것 못지 않게 IT 보안에 투자하는 사회적 분위기가 형성되어야 하리라 생각된다. IT 보안은 IT 산업의 기본 인프라라는 인식의 전환이 필요하다.
/강은성 안철수연구소 상무
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기