대중문화와 사이버 개념 이해
 
   국방부 사이버 개념 연구회  박지민, 민종근, 장형석 연구위원을 만났다.

박지민 연구위원은 대중문화 중 영화 ‘아이 인 더 스카이’를 통해 ‘사이버 보안의 구성 3요소’에 대해서 강조하였다.

민종근 연구위원은 책 ‘네트워크 속의 유령’을 통한 ‘해킹의 장기간 과정’에 대해 인터뷰 했고, 장형석 연구위원은 ‘Who Am I’를 통한 ‘드라이브 바이 다운로드‘에 대해 강조하였다.

이들의 인터뷰를 중심으로 대중문화에 담긴 질의문답식 사이버 개념 2.0 소개한다.
 
가. 영화 ‘아이 인 더 스카이’를 통한 사이버 보안의 3요소

질문 : 드론의 보안 취약성에 대해 설명한다면?

박지민 연구위원 : 드론시장이 확대됨에 따라 보안의 필요성이 점점 더 높아지는 추세이다. 드론은 가시권 내에서만 비행이 가능한 라디오 전파로 비행하는 RC(Radio Control항공기처럼 단순한 무인기가 아니다.

드론은 네트워크로 연결된 시스템으로, 원격 데이터 통신을 통해 수천마일 밖에서 운용되기도 하며, 인공지능을 바탕으로 스스로 비행하기도 한다. 드론이 증가함에 따라 드론 통제와 관련된 많은 문제들이 발생했다. 실제로 ’15년에는 드론이 백악관에 충돌한 적이 있고, 일본 총리 관저에서 방사성 물질이 담긴 드론이 발견되기도 했다.

질문 : 드론의 보안사고 유형은

박지민 연구위원 : 사이버 보안 침해의 주요 사례는 대부분이 자료유출이다. 그러나 실제 보안에서 다루어야 할 문제는 유출 방지에만 국한되지 않는다. 2003년도 이후 국내 사이버 사건 사고를 정리해 둔 위키피디아에 의하면 77%의 사고는 자료유출에 해당했지만, 네트워크로 연결된 사이버 공간에서 전산망 마비 등의 정보를 지키는 것 외 다른 사고가 증가하고 있다. 그러므로 공중에서 비행 중인 드론의 경우에는 완벽한 통제권을 유지하는 것이 보안을 유지하는 첫 걸음이라고 할 수 있다.

질문 : 드론과 관련된 영화를 소개한다면?

박지민 연구위원 : 영화 ‘아이 인 더 스카이’이다.‘ 이 영화는 영국에 있는 지휘관이 아프리카 상공에 떠 있는 무인기를 활용하여 테러리스트를 소탕하기 위해 미국에 있는 무인기 조종사와 함께 작전을 수행해내는 내용이다.

물리적으로 3개의 대륙에 떨어져 있음에도 불구하고 실시간으로 소통하며 드론을 통제하고 있다. 영화 속에서 나타난 사이버 보안의 구체적인 장면을 보면, 영국 지휘관은 화상회의를 통해 국가 지휘부로부터 작전을 승인 받고, 지휘관은 미국의 무인기 조종사에게 채팅으로 작전 지시를 하달한다. 그리고 조종사는 아프리카 상공 위에 떠 있는 무인기로부터 작전지역의 영상을 실시간으로 받아보면서 마치 그 곳에 있는 것처럼 꿰뚫어 보며 버튼 하나만으로 원하는 표적을 타격한다.

특히, 무인기 조종사는 수만 km 떨어진 곳의 무인기를 비디오 게임처럼 자유자재로 통제하며, 테러리스트들이 모여 있는 건물을 대상으로 한 치의 오차도 없이 임무를 완수하는데, 이는 무인기를 둘러싼 사이버 공간이 완벽한 보안을 유지했기 때문이다. 여기에서 사이버 보안을 유지하기 위한 3가지 요소들을 생각해 볼 수 있다.

질문 : 사이버 보안의 3요소는 무엇인가?

박지민 연구위원 : 사이버 보안의 3요소는 기밀성, 무결성, 가용성이다. 이를 영화의 장면에 대입해 보면, 영국의 지휘관, 미국의 조종사, 그리고 아프리카의 무인기는 무선통신망을 통해 데이터를 소통 했음에도 불구하고 테러리스트들에게 작전내용이 감청되거나 노출되지 않았다. 이는 사이버 보안의 구성요소 중 하나인 기밀성(Confidentiality)이 잘 유지되었기 때문이다.

조종사의 제어신호가 변조되는 등 무인기가 오작동을 일으키지도 않았다. 이는 무결성(Integration)이 보장되었기 때문이다. 영화 속 조종사는 원하는 시기에 원하는 무장을 순간의 지연이나 방해 없이 성공적으로 발사 할 수 있었다.

이는 마지막 구성요소인 가용성(Availability)이 유지되었기 때문이다. 영화 속 드론과 같이 사이버 공간을 활용하여 물리적 체계를 운영하는 경우에는 보안이 자료유출 방지 이상의 의미를 갖는다. 장비 운용과 관련된 기밀정보를 보호하고, 장비를 의도대로 통제하며, 악의적 방해에도 불구하고 지속적으로 사용하기 위해서는 영화 속에서처럼 이 3요소가 완비되어야 하며, 이 요소들이 모두 충족되었을 때 비로소 작전을 성공시킬 수 있는 것이다.

질문 : 영화를 통해 강조하고 싶은 것은?

박지민 연구위원 : 사이버 보안은 매우 복합적이다. 그래서 사이버 보안의 3요소를 지키는 것은 군사작전뿐만 아니라 실생활에서도 매우 중요하다. 첫째 인터넷 뱅킹 비밀번호를 보호(기밀성)하는 것이 중요한 만큼, 둘째 의도한 금액을 정확히 송금(무결성)하고, 셋째 원하는 시기에 사용(가용성)할 수 있게 되는 것, 이것이 바로 사이버 보안의 3요소가 실생활에서도 활용되고 있다는 실 예이다.

 

나. 책 ‘네트워크 속의 유령’의 장기간의 해킹 과정 

질문 : 해킹의 추세는?

민종근 연구위원 : 미래창조과학부 분석에 따르면 2017년 상반기 국내 전산망에 대한 사이버 공격은 2016년 상반기와 비교해서 2배 증가했다고 한다. 언론을 통해 접하는 해킹 사건들이 최근 영화, 드라마 등 대중 문화물 속에서 나타나 큰 관심을 끌고 있다. 우리는 정보 탈취를 매개로 하는 랜섬웨어, 서비스를 마비시키는 DDoS 공격 등 해킹 관련 사건들에 대해서는 언론매체를 통해서 쉽게 접할 수 있다. 

질문 : 대중 문화물 속에서의 해킹이란?

민종근 연구위원 : 대중 문화물 속에서 해킹은 일부 과정만 단순화해 표현하고 있다. 해커는 짧은 순간에 키보드를 치며 해킹에 성공하는 등 인상적이면서 매력적인 역할로 묘사된다.  짧은 상영 시간의 한계로 인하여 해킹 과정 중 실행하는 단계만 묘사되는 것일 뿐 실제 해킹에서는 정보수집, 취약점 분석 등 여러 과정을 통해 사전에 시나리오를 구상하고 해킹을 시도하게 된다. 즉 해킹의 장기간의 과정과 단계가 생략되어 표현되는 것이다. 
 
질문 : 실제 해킹 과정에 대한 대중문화를 소개한다면?

민종근 연구위원 : 2012년 출판된 케빈 미트닉(Kevin Mitnick)이 지은 ‘네트워크 속에 유령’을 통해 엿볼 수 있다. 이 책은 케빈이 일생동안 겪었던 일에 대해서 쓴 것이다. 그는 1980~90년대 최고의 IT 기업을 해킹하고 미국 전역 전화망을 감청했다. 이러한 불법 해킹으로 5년 동안 감옥서 보낸 후 보안 컨설팅 회사를 운영하고 있다.

질문 : 이 책이 중요한 이유는?

민종근 연구위원 : 대중 문화물에서 생략된 해킹 과정을 이해할 수 있다. ‘케빈’이 해커로서 활동한 시기는 1980~90년대이다. 현재 해킹 방법과는 조금은 차이가 있지만, 해킹을 하는데 필요한 과정은 다르지 않았다. ‘케빈’은 어린 시절부터 ‘프리커(Phreaker: 전화를 본래의 의도와 달리 도용하거나 불법적으로 사용하는 사람)’로 활동했다.

‘케빈’은 전화를 통제하는데 사용되는 시스템에 대해 관심이 많아 이 시스템을 해킹하는 것을 목표로 삼았다. 해킹을 위한 첫 번째 단계로 해킹 대상에 대한 이해력을 높이기 위해 전화회사 매뉴얼을 읽으며 시스템에 대해 공부했고, 다른 해커들과의 교류를 통해 내부직원 사용하는 용어를 익히며 전문 대화가 가능한 수준의 지식을 쌓았다.

두 번째 단계로 목표 대상의 취약점을 파악하기 위해 전화 시스템을 관리하는 부서에 전화를 걸었다. 또 습득한 지식인 전화회사 매뉴얼, 전문용어 등을 언급하면서 관리자에게 신뢰감을 얻어 전화 시스템의 구조, 취약점 등을 얻었다. 세 번째 단계로 수집된 정보를 종합 분석해서 목표한 전화 시스템을 해킹하는데 성공했다. 따라서 해킹을 성공하기까지 대중 문화물 속에서 표현과 달리 현실에서는 장기간의 과정 속에 이루어진 것이다.

질문 : 강조하고 싶은 것이 있다면?

민종근 연구위원 : 최근 정보보호 솔루션의 기술적 발전으로 시스템에 직접 침투하기 힘들다. 해커들은 목표시스템 관리자 또는 내부직원 즉 표적을 선정해 장기간 지속적으로 APT 공격, 지능형 지속 위협 공격 등을 수행한다.

이 공격은 표적을 대상으로 인터넷을 통해 쉽게 수집할 수 있는 온라인 정보 인 메일, 블로그, 카페, 휴대폰번호 등과 오프라인 정보인 가족관계, 출신학교, 동호회 활동 등을 수집한 후 조합해 이용한다.

그리고 수집한 정보를 바탕으로 표적의 가족 혹은 지인을 사칭하여 악성코드가 첨부된 해킹메일을 보내 해킹을 시도한다. 특히, 해킹메일에 사용된 악성코드는 난독화해서 만들어지는데, 악성코드는 ‘백신체계’ ‘메일체계’ 등 정보보호 솔루션에 탐지되지 않고 작동하도록 수많은 테스트를 거친다.

 따라서 2016년에 발생한 대형 쇼핑몰 정보유출 사건도 해커는 이와 같은 과정을 거쳐서 해킹에 성공한 것이다. 해커가 장기간 준비하듯 그에 맞는 대응기술 연구가 지속적으로 이루어져야 한다.

’네트워크 속의 유령‘을 통해 알 수 있는 것은 해킹이 성공하기까지의 과정은 단순하지 않으며, 여러 과정을 통해 장기간 준비를 한다는 것이다. 따라서 대형 해킹 사건들은 절대 단기간에 발생하는 일이 아니므로 이제는 해킹의 전 과정을 이해하고 해커들이 장기간 해킹을 준비하듯 그에 맞는 대응기술을 연구하는 일이 필요하다.

 
다. ‘Who Am I’의 드라이브 바이 다운로드

  질문 : 드라이브 바이 다운로드(drive-by-downloads)란?

  장형석 연구위원 : 드라이브 바이 다운로드는 의도되지 않게 프로그램이 설치되는 것을 말한다. 2015년 모 커뮤니티를 통해 사용자의 파일을 암호화 시켜 인질로 잡아 금전을 요구하는 랜섬웨어가 배포되었다.

이 사건은 단순히 커뮤니티 사이트에 접속하는 것만으로도 감염이 된다는 사실에 큰 이슈가 되었다. 당시 사용자들에게 커뮤니티에 접속하지 말라는 내용이 전파되었지만 이를 믿지 않아 결국 많은 감염자들이 발생했다. 이때 사용된 공격기법이 드라이브 바이 다운로드(drive-by-downloads)다.

즉 웹 사이트를 접속하는 것만으로도 매우 은밀하게 악성 소프트웨어가 사용자의 단말기에 설치되는 것이다.

  질문 : 그 피해는?

  장형석 연구위원 : 보안 솔루션 전문 기업 워치가드 테크놀로지(WatchGuard Technologies) 2017년 보고서에 따르면 웹 브라우저 공격의 73%가 드라이브 바이 다운로드 공격이었다. 드라이브 바이 다운로드 공격 횟수와 피해는 계속 증가하고 있다.
 
  질문 : 이와 관련된 영화를 소개한다면?

  장형석 연구위원 : 2014년 개봉한 영화 'Who Am I'이다. 이 영화는 그저 재미를 위해 모인 해커 4인방이 해킹을 일삼던 중에 진짜 원하는 일이 생기는데, 바로 MRX라고 불리는 해커들의 슈퍼히어로에게서 인정받는 일이었다. 해커 4인방은 해커 조직 클레이로 활동하며 MRX의 관심을 끌기 위해 발생되는 이야기이다. 여기에서 드라이브 바이 다운로드 공격 과정을 볼 수 있다.

  질문 : 구체적인 예를 설명하면?

  장형석 연구위원 : 악성코드 유포 장면을 살펴볼 수 있다. 해커 4인방은 MRX의 관심을 끌기 위해 독일 연방 정보부를 해킹하기로 한다. 연방 정보부 직원에게 친구인체 하며 메일을 발송한다. 연방 정보부 직원은 메일 속에 고양이 사진과 꼭 클릭해 보라는 링크를 함께 받는다. 링크를 클릭하는 순간 직원의 컴퓨터는 고양이 사진들이 모여진 사이트를 보여주는 것과 동시에 악성코드에 감염된다.

하지만 연방 정보부 직원은 악성코드에 감염된 사실을 모르는데 이것이 바로 연방 정보부 해킹의 시작점이 된다. 따라서 링크를 접속하는 순간 바로 고양이 사진이 모여진 사이트로 이동되고, 드라이브 바이 다운로드 공격이 시작되는 것이다. 드라이브 바이 다운로드는 웹 브라우저, 플러그인 또는 브라우저에서 동작하는 컴포넌트의 취약점을 탐색한 뒤 악용하여 프로그램을 설치시킨다. 이 영화처럼 실제 생활에서도 누군가가 사용자의 컴퓨터를 감염시키기 위해 사이트를 악의적인 목적으로 개설할 수 있고, 기존의 합법적인 사이트의 보안 취약성을 이용하여 감염시킬 수도 있다.

  질문 : 또 다른 감염 경로가 있다면?

  장형석 연구위원 : 광고 네트워크를 이용하는 것이다. 광고 속에 드라이브 바이 다운로드 공격을 위한 프로그램을 심어 두고 감염시키는 방법이다. 솔레라 네트웍스 리서치 연구소의 보안 연구 책임자 앤드류 브렌트는 "많은 사람이 접하는 광고인만큼 악성 프로그램을 손쉽게 전파할 수 있으므로, 사이버 범죄자들에 의한 광고 네트워크를 활용한 악성 프로그램 전파는 앞으로도 계속될 것"이라고 예측한 바 있다.

 질문 : 여기에서 강조하고 싶은 말은?

 장형석 연구위원 : 웹페이지에 접속하는 것만으로도 의도치 않은 악성 프로그램에 감염될 수 있다. 드라이브 바이 다운로드 공격은 웹 브라우저, 플러그인, 브라우저에서 작동하는 컴포넌트 등의 취약점 등을 이용하기 때문에 소프트웨어 버전 최신화가 우선시 돼야 한다. 또한 사용자가 모르는 악성프로그램이 설치되지 않게 스스로가 사이버 보안에 깊은 관심을 가졌으면 한다.

(국방부 사이버 개념 연구 2.0은 다음에도 계속됩니다.)

[디펜스투데이]