국방부 사이버 개념연구 - 6
상태바
국방부 사이버 개념연구 - 6
  • 이승준 기자
  • 승인 2020.04.12 00:28
  • 댓글 0
이 기사를 공유합니다

국방부 사이버 개념 연구 2.0 (제4화)

대중문화와 사이버 개념 이해
 
   국방부 사이버 개념 연구회에서 활약 중인  민종근, 홍성협, 장형석 연구위원을 만났다.

민종근 연구위원은 대중문화 중 영화 ‘매트릭스’를 통해 ‘보안 프로그램의 악용’에 대해서 강조하였다.

홍성협 연구위원은 ‘소드 아트 온라인’을 통한 ‘가상현실에 대한 답은 인간에 뇌에 있다’를 연구했고, 장형석 연구위원은 ‘웹툰 ‘씬커’를 통한 디폴트 해킹‘에 대해 강조하였다.

 이들의 인터뷰를 중심으로 그들이 대중문화에 담긴 질의문답식 사이버 개념 2.0 소개한다.

(사진: 디펜스 투데이)
(사진: 디펜스 투데이)

 

가. ‘매트릭스’를 통한 보안프로그램의 악용

  질문 : 보안프로그램을 설치하면 안전한가?

  민종근 연구위원 : 안전하지만 또 오진이 나올 수도 있다.  최근 언론보도에도 발표되었듯이, 외국인 A씨는 크롬브라우저를 이용해 법무부에서 운영하는 외국인 대상 온라인 민원 사이트인 ‘하이코리아’에 들어갔다가 ‘다음 사이트에 악성코드가 있습니다.’라는 경고 화면이 떠서 접근이 제한되는 황당한 일을 겪었다고 한다. 크롬 브라우저의 해당 사이트가 유해성 및 악성코드에 감염 여부를 1차적으로 차단해주는 기능인 ‘세이프브라우징’의 오진 때문에 생긴 일이다.

  질문 : 보안 프로그램의 오진, 있을 수 있는 일인가?

  민종근 연구위원 : 결론적으로 말한다면 보안 프로그램도 오진을 할 수 있다. ‘세이프브라우징’은 악성코드를 유포·경유하는 사이트를 차단하는 좋은 취지의 보안프로그램이다. 하지만 이러한 사례는 국내 웹사이트에서 많이 사용되는 플러그인을 악성코드로 의심하여 차단한 것이다. 소명을 통해 차단 해제하여 해프닝은 끝났지만, 해커에게 악용되어 정상적인 사이트를 차단하여 접근을 통제하게 되면, 서비스가 거부되어 금전적인 피해를 입거나  사회적 혼란을 야기할 수 있는 문제가 있다.

  질문 : 보안 프로그램 역이용 사례를 소개한다면?

  민종근 연구위원 : 보안 프로그램의 역이용에 대한 위험은 1999년 개봉한 영화 ‘매트릭스’를 통해 엿볼 수 있다. 영화 ’매트릭스‘ 줄거리는 AI기계들에 의해 인간들은 캡슐 속에서 에너지원으로 사육된다. 인간들은 캡슐 속에 갇혀서 가상의 세계 ’메트릭스‘를 현실로 인식하며 살아간다. 그 중에서 현실이 아님을 인지하고 깨어난 인간들이 반란군을 이루어 기계들과 싸워 인류를 구원하는 내용이다.

여기에 등장하는 스미스 요원처럼 보안 프로그램의 기능이 악용될 수 있다. 이는 매트릭스 속 보안 프로그램인 스미스 요원이 본래 목적을 벗어나 의도하지 않은 프로그램으로 변하는 과정에서 나타난다. 매트릭스 속에서 요원들은 오류를 제거하는 보안 프로그램이다. 그 중 스미스 요원은 주인공 네오가 그의 몸 속(코드 속)으로 들어오면서 파괴된다. 하지만 네오라는 변수의 일부가 스미스 요원에게 복사되어, 프로그램 오류가 발생하여 되살아난다. 스미스 요원은 매트릭스 체계의 통제에 벗어나 독자적으로 움직이고 판단하는 변종 프로그램이 되어 네오뿐만 아니라 매트릭스 체계를 공격한다.

   영화 ‘매트릭스’ 속에서 보안 프로그램이었던 스미스 요원이 매트릭스 체계를 공격하여 체계를 장악해 나갔던 것처럼 실제 사용하는 보안 프로그램이 해커에 의해서 악용될 수 있다. 즉 스미스 요원이 변수를 만나 프로그램의 오류가 생기듯 해커는 프로그램을 분석하고, 변수를 입력하여 오류를 만들고 권한을 획득한다. 해커는 이러한 일련의 과정을 통해 프로그램 흐름을 조작하고 자신이 원하는 결과를 만들어 낸다.

(사진: 디펜스 투데이)
(사진: 디펜스 투데이)

질문 : 실제 사례가 있다면?

민종근 연구위원 : 2011년에 발생한 ‘일부기업 개인정보 유출 사건’ 통해 악용되는 사례를 알아볼 수 있다. ‘일부기업 개인정보 유출 사건’에서도 국내 일부 백신업체의 업데이트 중계서버가 탈취되어 악용되었다. 공개형 백신은 무료로 배포하는 대신 프로그램 실행 시 광고가 게시되어 수익을 얻다. 해커는 이점을 노려 변수(악성코드)가 삽입된 똑같은 이름의 파일을 제작하고 백신을 무료로 이용하는 사용자의 PC를 감염시킬 계획으로 업데이트 중계서버에 올려두었다. 그 중에서 기업의 내부 사용자도 공개 백신을 사용하여 감염되었고 해커에 의해 기업의 전산망은 장악되었고 개인정보가 유출되게 되었다. 이는 백신의 순기능을 악용하여 역이용할 수 있는 사례이다.

  해커가 백신 프로그램을 파고들어 업데이트 기능 등을 이용하여 사용자들의 PC를 장악하면, 매트릭스 체계를 장악하는 스미스 요원처 럼주기적으로 사용자를 관찰하며 주민번호 등의 개인정보를 빼앗아 갈 수도 있다. 

  질문 : 이에 대한 대비책이 있다면?

  민종근 연구위원 :  보안 프로그램뿐만 아니라 프로그램 악용을 막기 위해서는 기본적인 보안부터 충실해야 한다. 영화 ‘매트릭스’를 통해 알 수 있듯이 보안 프로그램이 해커에 의해 악용되면 시스템을 장악할 수 있다. 이에 대비해 보안업체는 새로운 공격기법과 취약점에 대비해 새로운 대책을 강구하고 투자하고 있다. 예를 들면 악성코드를 탐지하는 방법도 기존에 사용하던 패턴기반 탐지에서 행위기반 탐지로 진화하고 있다. 하지만 기술이 발전되더라도 가장 중요한 것은 기본적인 보안에 충실해야한다. 백신을 비롯한 소프트웨어를 최신버전으로 유지해야하고 정품 소프트웨어를 사용하는 등 기본 보안수칙을 생활하여 사이버 공격에 대한 피해를 예방해야 할 것이다.

 

나. ‘소드 아트 온라인’을 통한 가상현실의 답

질문 : 가상현실 게임에 대해 한 마디.

(사진: 디펜스 투데이)
(사진: 디펜스 투데이)

홍성협 연구위원 : 가상현실(VR, Virtual Reality) 이란 컴퓨터 등을 사용한 인공적인 기술로 만들어낸 실제와 유사한 특정한 환경이나 상황 혹은 그 기술 자체를 의미한다. 가상현실 게임이 지속적으로 출시되고 있는데 HMD(Head Mounted Display)를 쓰고 3D 영상을 보며 플레이 하는 방식이다. 게임 사용자들은 현실과 같은 게임을 원한다. 현실적일수록 몰입도, 체감도가 높아지기 때문이다. 게임의 그래픽 기술은 날이 갈수록 좋아지고 있어서 현실처럼 느낄 수 있지만 결론은 현실 세계를 재현했다고 보기는 어렵다.

질문 : 가상현실의 궁극적인 목표와 과제는?

홍성협 연구위원 : 당연히 궁극적 목표는 현실세계의 재현이다. 이런 게임들이 직접적인 경험을 위해서는 시청각 위주의 제한사항을 극복해야 한다. 하지만 향후 미각, 촉각, 후각적 효과를 위해 많은 수의 센서를 장착하는 것은 매우 불편하다. 1인칭 시점으로 진행되기 때문에 3D 게임을 할 때 나타나는 3D 멀미와 HMD를 장시간 착용함에 따른 목에 무리를 주는 무게 문제도 해결해야 할 과제이다.

질문 : 대중문화에서 예를 든다면?

홍성협 연구위원 : 애니매이션 ‘소드 아트 온라인’을 통해서 엿볼 수 있다. 주인공은 머리에 쓰는 접속기 ‘너브기어’를 착용하고 침대에 누워 가상현실 게임 ‘소드 아트 온라인’ 에 접속한다. 이 가상세계에서는 현실세계처럼 오감을 실제로 느낄 수 있고 사람들과 그룹을 맺고 괴물들을 무찌르고 물건도 사고 팔 수 있다. 갑자기 ‘소드 아트 온라인’을 개발한 천재 과학자가 망토를 두른 저승사자의 모습으로 나타나 게임종료 메뉴를 없애버려 아무도 현실세계로 돌아올 수 없게 된다. 이후 주인공이 최종보스를 물리치고 현실세계로 돌아오는 줄거리다.

질문 : 여기에서 주목할 점은?

홍성협 연구위원 : 애니메이션 ‘소드 아트 온라인(SAO)’를 통해서 뇌 해킹의 가능성을 엿 볼 수 있다. 애니메이션 속에서 나타난 뇌 해킹을 살펴보면 게임 사용자들은 현실세계로 돌아가기 위해 게임종료 메뉴를 찾다가 없어짐을 알고 당황스러워한다. 일부 사람들이 현실로 돌아오지 않는 사용자의 ‘너브기어’를 강제로 벗기는데 사망하는 여러 장면을 저승사자의 모습을 한 천재 과학자가 모든 사용자들에게 영상으로 보여주며 현실세계에서 누군가 접속기인 ‘너브기어’를 강제로 풀려고 하면 고출력 마이크로파를 발생시켜 뇌를 파괴할 수 있다고 경고한다. 그리고 게임에서의 죽음은 곧 현실세계의 죽음이라고 알려준다. 게임이 곧 현실이 된 것이다.

질문 : 여기서 너브기어의 역할은?

홍성협 연구위원 :  ‘너브기어’는 게임 사용자의 뇌를 제어하여 몸과의 통신을 차단시켜 통제권을 가져간다. 지금은 게임 서버가 해킹을 당해도 금전적인 부분만 피해를 입을 수 있지만 미래에는 사람의 생명을 빼앗아 갈 수 있음을 알 수 있다.

질문 : 가상현실을 직접적으로 느끼려면?

홍성협 연구위원 : 가상현실을 직접적으로 느낄 수 있으려면 우선 뇌를 이해할 필요가 있다. 사실 우리가 느끼는 오감은 눈, 코, 입, 손이라는 센서를 통해 뇌로 들어온 전기신호를 해석해서 알게 되는 것이다. 센서를 거치지 않고 직접 뇌로 전기신호를 보내주면 현실과 유사한 가상세계를 경험할 수 있지 않을까? 우선 뇌의 각 영역이 어떤 기능을 하는지 알 수 있도록 하는 뇌 활동 지도가 우선 필요하다.

질문 : 뇌에 대한 연구는 어느 정도?

홍성협 연구위원 : 미국은 2013년 브레인 이니셔티브(Brain Initiative)를 출범시켜, 본격적으로 뇌과학 연구를 지원하겠다고 밝혔고 미래창조과학부는 2016년 ’뇌과학 발전전략‘을 수립하여 발표하였다.  또한 미국의 정보기술 연구회사 가트너는 매년 ’하이프 사이클‘을 발표해왔다. 여기에서는 수천여 개 이상의 기술들을 분석해 기술의 성숙도를 그래프로 표현해준다. 2016년 10월 발표할 당시에  BCI(Brain-Computer Interface)라는 기술명칭으로 명명되었다. 기술 수준이 아직 초기단계이고, 가야할 길은 멀다. BCI는 뇌의 신호를 컴퓨터가 해석하는 것이고 CBI(Computer-Brain Interface)는 컴퓨터 신호를 뇌가 해석하는 것인데 의료 및 재활 분야에서 쓰임새가 매우 크다.

질문 : 실제 사례도 있는지?

홍성협 연구위원 : 중증 마비환자가 자신의 뇌를 컴퓨터에 연결해 자신의 생각대로 손과 팔을 움직이는데 성공했다. 뇌에 칩을 이식하여 마비된 팔에 전극을 주도록 하여 1년간의 훈련을 통해 이후에는 스스로 먹는 게 가능해졌다. 이 기술이 발전하여 칩이 온라인으로 연결되어 컴퓨터와 상호작용 할 때 원격지에서 뇌를 파괴하거나 정보를 빼가는 것을 가능하게 할 수 있다.

질문 : 당부하고 싶은 말은?

홍성협 연구위원 : 뇌와 컴퓨터의 연결은 올바른 목적으로 활용되어야 한다.  애니매이션 ‘소드 아트 온라인’을 통해 알 수 있는 것은 가상현실 기술의 유익함이다. 기술 자체는 선악이 없다. 인간의 통제범위 안에서 발전하고 정당한 목적으로 활용되어야 한다.  애니메이션 속 주인공은 어려운 일들을 겪었음에도 불구하고 같은 종류의 다른 게임을 다시 시작한다. 가상현실은 인간에게 무한한 가능성을 실현할 수 있도록 하고 무엇보다도 희망을 주기 때문이다.

(사진: 디펜스 투데이)
(사진: 디펜스 투데이)

장형석 연구위원 : 그러한 기기는 수없이 많다. POS(Point of Sales)기는 카드 결제라는 시장을 열어주었고, 공유기는 우리에게 무선인터넷을 제공하여 스마트 시대가 열리게 도와주었다. 또한 현재 사물인터넷(인터넷과 통신을 할 수 있는 사물)은 스마트 시티, 건강관리 등 새로운 패러다임을 열고 있는데, 시장조사업체인 BI Intelligence에 따르면 2015년 약 100억 개에서 2020년 340억 개 이상의 사물인터넷이 등장할 것으로 예측했다. 이처럼 주변에서 사용되는 전자기기의 수는 증가하고 있다.

질문 : 전자기기의 수가 증가한다면 그에 따른 위험성은?

장형석 연구위원 : 전자기기의 수는 증가하고 있지만 정작 보안 관리 의식은 제자리에 멈추어 있다. 전자기기 구입 이후 디폴트(Default) 계정과 설정을 그대로 사용하고 있다. 이를 그대로 사용하는 것은 매우 위험하다. 기본 계정(아이디, 패스워드)을 그대로 사용한다면 제품 설명서 검색을 할 수 있는 사람이라면 누구나 해킹할 수 있다. 웹에서 제품에 대한 설명서를 찾아 접속방법을 숙지하고 디폴트 계정에 대한 정보를 입력한다면 쉽게 해킹을 할 수 있다. 이를 디폴트 해킹이라고 한다. 또한 정당한 접속 루트를 이용하여 계정에 로그인을 시도하기 때문에 침입을 발견하기 쉽지 않다.

질문 : 대중문화에 나타난 디폴트 해킹은?

장형석 연구위원 : 디폴트 해킹은 2014년 연재를 시작한 웹툰 ‘씬커’를 통해서 알 수 있다. 웹툰 ‘씬커’의 주인공은 어릴 적 연구소에서 몸속에 서버를 구성하는 연구에 성공하게 된다. 주인공은 전파를 자유자재로 사용하는 능력으로 해킹의 세계에서 히어로가 되는 이야기다. 웹툰 ‘씬커(7화)’에서는 디폴트 해킹의 과정을 볼 수 있다. 고등학생인 주인공은 해킹 동아리 입단 심사로 데이터 센터 대표의 주민등록번호를 알아내라는 임무를 받는다. 하지만 해킹에 대한 지식이 없던 주인공은 데이터 센터에 직접 침투해 USB를 꽂는 것으로 임무를 대체한다.

그 과정에서 해킹 동아리 대표는 주인공이 데이터 센터 침투에 성공하였는지 확인하기 위해 데이터 센터 CCTV를 해킹한다. 해킹 동아리 대표는 데이터 센터 견학에서 알아낸 와이파이에 접속하여 CCTV가 망에 연결되어 있는지 스캔을 통하여 확인한다. 그리고 디폴트 계정으로 CCTV 접속에 성공하여 주인공의 행적을 지켜본다. 웹툰 속 디폴트 해킹에 사용된 CCTV 접속 계정은 제품 설명서에서 찾을 수 있다. 그 외에도 서버 접속 포트, 관리 URL 등은 제품 설명서 속에 포함되어 있다. 따라서 해킹에 대한 지식이 없더라도 손쉽게 시도해 볼 수 있다. 실제로 웹툰 속에서 공격에 성공한 친구는 아직 고등학생일 뿐이지만 디폴트 계정 정보를 이용하여 손쉽게 데이터 센터 CCTV 접속에 성공한다.

질문 : 제품설명서 외에도 디폴트 계정 정보를 얻을 수 있나?

장형석 연구위원 : 그렇다. 제품 설명서뿐만 아니라 간단한 키워드(default account list 등) 검색을 통해서 디폴트 계정 정보들을 얻을 수 있다. 인터넷 사이트 인세켐(www.insec m. com)의 경우 네트워크의 CCTV를 스캐닝하여 디폴트 해킹 공격에 성공한 CCTV를 실시간으로 보여주는 사이트로 유명하다. 현재 한국 국적의 IP로 추정되는 CCTV 400여 대 이상이 등록되어 중계 중이다.

디폴트 해킹에 대한 방어 방법은 간단한데, 사용자가 디폴트 정보들을 변경해주면 된다. 그럼에도 불구하고 아직 사용자는 기기 설정에 대한 관심이 높지 않다. 그리고 정부 차원에서는 IOT, 공유기 등에 대한 인증 산업 표준을 마련하는 것이다. 제조사 차원에서는 전자기기를 구매하거나 처음 받은 사용자는 계정 비밀번호를 최소 한 번은 변경하도록 유도해야 한다.

질문 : 강조하고 싶은 말은?

장형석 연구위원 : 웹툰 ’씬커(7화)‘를 통해 알 수 있는 것은 디폴트 설정을 변경하지 않는다면 사이버 보안에 취약하다는 것이다. 전자기기는 편리성을 주지만 사용자가 기기를 관리가 되지 않는다면 오히려 악용될 수 있다는 것이다. 따라서 사용자는 디폴트 설정을 이해하고 변경을 통해서 해킹에 대비해야 한다.

(국방부 사이버 개념 연구 2.0은 다음에도 계속됩니다.)

[디펜스투데이]

 

 

 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.