해커들의 총반격이 시작됐다.

 

보안업체인 인터넷 시큐리티 시스템즈(ISS)의 보안 전문가 로버트 그래험은 해킹분야가 올해 중대한 전환점을 맞을 것으로 보고있다.

그는 수많은 해커들의 이미 프로급으로 성장했다고 말했다. 이는 기업 보안측면에서 걱정스러운 일이 아닐 수 없다.

과거 침입 방지 시스템(IPS)의 개발 분야에서 중요한 책임을 맡았던 그래험은 "지난해만 해도 이들을 대수롭게 여기지 않았지만 올해 들어서 전문적인 해커가 부쩍 늘어나고 있음을 실감하고 있다"고 말했다.

 

수년 동안 해커들은 단순히 남의 시스템을 침입하는데서 스릴을 느끼거나 그런 행적을 통해 남들에게 인정받고 싶어 하는 정도로 만족했다. 하지만 이제는 그런 해커들의 공격 방식이나 동기도 달라지고 있다고 그래험은 설명했다. 기술의 발전으로는 해커들은 이제 더 이상 남의 유틸리티를 모방하지 않으며 무작위로 아무나 해킹하지도 않는다. 그 중에는 해킹으로 돈벌이를 하려는 매우 위험한 의도를 가진 해커들도 있다고 그래험은 전했다. 최근 그래험은 씨넷과의 인터뷰를 통해 보안과제의 변화에 대해 말했다.

 

해커들도 돈을 받고 일하는가?

누가 이들에게 돈을 주며 해킹을 의뢰하는 것은 아니지만 그들이 해킹 작업으로 돈을 버는 것은 사실이다. 그들은 피싱(phishing)과 같은 공격을 통해 스스로 돈을 벌어 들이기도 한다. 그러나 누군가로부터 돈을 받고 공격을 하지는 않는다.

 

'프로 해커'란 무엇인가?

지난 해 까지만 해도 해커들은 재미로 해킹을 해왔다. 그들은 인터넷에서 해킹 유틸리티를 다운로드 받아 해킹을 즐겼을 뿐 그 행위가 무엇인지 정확한 개념조차 없었다. 또한 그들은 비교적 서투른 편이고 도구를 실행시킨다고 해도 침입할 수 있는 컴퓨터는 1000대 중 1대 꼴로 적었다. 더욱 중요한 것은 그들이 범죄의 목적을 품고 접근하지 않는다는 것이다. 지금까지도 그들에게 해킹은 일종의 게임인 것이다. 이 행위가 심각한 범죄로 다루고 있음에도 불구하고 해커들은 크게 개의치 않았다.

 

그러나 올해에는 이런 모든 것이 달라지고 있다. FBI가 해커들을 제재하기 위해 본격적인 활동을 시작했기 때문이다. FBI는 최근 한 해커를 체포했는데 그는 스팸을 배포하기 위해 수천대의 기계를 마음대로 해킹했다,

 

해킹의 형태로 그들이 프로라는 것을 알 수 있는가?

요즘 해커들은 대부분 필요한 프로그램을 스스로 만들 수 있다. 과거에는 유명한 해킹방식을 따라가는 수준이어서 새로운 버그가 있을 때마다 누가 먼저 새로운 버그을 이용할 수 있는 해킹 프로그램을 만들어 내는가와 그 프로그램을 웹사이트나 벅트랙(BugTraq)이나 풀 디스클로져(Full-Disclosure)와 같은 메일 리스트나 웹사이트에 발표할 것인지를 두고 경쟁이 치열했다. 그리고 나면 해커들은 다시 이런 해킹 프로그램을 다운받는 방식이었다.

 

그러나 오늘날에는 훨씬 많은 해커들이 필요한 프로그램을 자급자족한다. 이는 시간이 흐를수록 스스로 해킹 프로그램을 만들 수 있을 정도의 기술이 생기기 때문이다.

 

점점 버그의 변종들이 늘어나는데 대해서는 어떻게 생각하는가?

과거에 백신 판매업체들은 새로운 바이러스가 나오면 어떤 회사가 먼저 백신 프로그램을 만드느냐를 두고 경쟁을 했다. 그러나 넷스카이와 베이글의 경우에는 정반대 현상이 나타나고 있다. 이제는 바이러스를 만드는 해커들이 새로운 백신 프로그램이 나올 때마다 얼마나 빨리 바이러스를 업데이트 시키는가를 놓고 경쟁한다. 이 때문에 넷스카이 a, b, c, d 등의 변종들이 많은 것이다.

 

왜 해커들은 이렇게 변종 만들기에 갑자기 관심을 가지게 됐는가?

이전에 해커들은 바이러스를 퍼트린 후 사람들의 반응을 살펴보기 위해 그것을 만들었다. 또한 그들은 비교적 거기에 만족해왔다. 그러나 이제는 해커들의 생각도 바뀌고 있다. 넷스카이와 베이글의 경우 경쟁관계에 있기 때문에 이 바이러스의 추종세력들은 서로를 견제하고 새로운 변종 만들기에 집중하는 것이다.

 

이들은 얼마나 위험한가? 바이러스들이 빠른 속도로 복잡해지는 것은 아닌가?

그렇지는 않다. 오늘날의 바이러스가 지난 몇 년 간 나타났던 것들보다 더 발달 됐다고는 말할 수 없다. 사실 넷스카이와 베이글도 매우 단순한 형태다. 보안 전문가들도 고도의 바이러스를 만들어낼 수 있다. 또한 바이러스를 만드는 해커들은 별로 뛰어난 사람들이 아니다. 이들은 보호 장치를 해지하는 데만 집중한다. 그런 다음 한 단계 정도 더 내딛는 식이어서 해킹 기술이 갑자기 큰 폭으로 발전하지는 않는다. 점차적으로 발전할 뿐이다. 대부분의 바이러스 작성자들은 한 번에 한 단계씩 더 나아가는 식이지 5단계나 10단계씩 뛰어 넘지는 않는다.

 

현재 가장 중요한 보호 장치는 방화벽이다. 이 기술은 어떻게 발전할 것으로 보는가?

방화벽은 IPS을 기반으로 구축됐다. 과거에는 문만 잠그면 충분했지만 오늘날에는 그것만으로 보안문제가 해결되지 않는다. 또한 문이 잠겨있지 않은 경우를 위해 보호 장치도 필요하다. 이것은 은행과 비슷하다. 문이 잠겨있지 않은 대낮에 강도들이 들어오는 것처럼 말이다. 문제는 현관문을 항상 닫아둘 수 없다는 것이다. 이 때문에 더 큰 열쇠를 채우는 것만으로 부족하다 . 고객들이 출입을 해야 하기 때문이다. 방화벽이란 결국 잠겨있는 문과 같다.

 

이와 달리 IPS은 열려있는 문으로 들어오는 공격을 막을 수 있다. 머지않아 IPS와 방화벽은 한 제품으로 통합될 것으로 보인다. 방화벽 만으로 보안을 책임지기에는 무리가 있다. 이것은 이미 상용화됐다.

 

발전의 여지는 없는가?

방화벽에는 더 이상 새로운 가능성이 보이지 않는다. 실제적으로 방화벽 기능이 더 복잡해지면 보안이 더 강화되기보다는 오히려 떨어지는 결과를 가져온다.

 

왜 그런 것인가?

만약에 방화벽에 관한 규정들이 더 복잡해지면 사용자들의 불편이 커진다. 본래 방화벽이란 불법 트래픽을 중지시키기 위해 사용되는 툴이다. 또한 그것이 얼마나 효과적이냐 하는 것은 사용하는 측의 기술과 깊은 관련이 있다. 방화벽이 복잡해지면 복잡해질수록 그것을 제대로 사용하기 위해 더 많은 교육을 받아야 하는 것이다.

 

지금까지 몇 가지 경우를 통해 일부 기관이나 회사에서 방화벽을 올바로 사용하지 못한 사례를 본 적이 있다. 한번은 방화벽으로 충분히 막을 수 있는 슬래머 웜이 침입한 것을 본 적이 있다. 이유는 다양하겠지만 가끔 열어서는 안 되는 포트를 여는 이들이 있다. 또한 누군가 방화벽의 전체 사양을 다 제거해버린 후 기본 값인 ‘오픈’으로 리셋을 해놓는 경우도 있다. 물론 다시 사양을 적용하는데 몇 초 밖에 걸리지 않지만 이는 슬래머가 들어오기에는 충분한 시간이다. 이런 일이 벌어지는 이유는 오늘날의 방화벽이 너무 복잡하기 때문이다. 좀 더 간단한 시스템을 사용한다면 이런 실수도 없을 것이다.

 

향후 방화벽은 얼마나 중요해질 것이라고 보는가?

그다지 중요하지는 않을 것이다. 애플리케이션 방화벽 공간은 웹 애플리케이션을 보호하기 위한 것이다. 이들 방화벽은 html이나 http를 프록시로 설정한 것이다. 그리고 어떤 웹 애플리케이션에도 버그가 있을 수 있다. 일부 애플리케이션에는 사람들이 잘 알고 있는 버그가 있기도 하다. 애플리케이션 방화벽이 이런 버그들을 해결할 수는 있겠지만 다 해결할 수는 없다.

 

내가 경험한 일을 예로 들어보겠다. 얼마 전 온라인으로 애틀랜타에 있는 한 회사에 플라스마 스크린을 주문한 적이 있다. 이 회사는 내게 6자리 주문번호를 주었지만 내가 그만 실수로 온라인 추적 시스템에 잘못된 번호를 입력했다. 6자리 숫자란 그리 많지 않은 숫자지만 이로써 다른 사용자의 계정 정보에 들어간 셈이다. 그렇게 된 이유는 사람들이 사용자 ID를 6자리부터 점점 늘려가는 식으로 설정해 놓았기 때문이다.

 

회사 측 내부 시스템은 모두 암호화 해 놓았기 때문에 암호화된 출하 번호가 해킹당할 확률은 아주 희박하지만 그럼에도 불구하고 나는 쉽사리 다른 사람의 ID를 입력했던 것이다.

 

이런 문제를 해결해줄 수 있는 애플리케이션 방화벽은 없다. 사람들이 웹에서 사용하는 애플리케이션으로는 우리가 가지고 있는 기본적인 문제를 치유해 줄 수 없다.

 

보안 기술에서 도전하고 있는 분야는?

VoIP와 패킷 전송 라디오(GPRS)가 현재 가장 큰 이슈다.

 

얼마나 큰 규모인가?

몇 년 전 ISS는 MS의 원격 명령을 연구하며 이것이야 말로 미래의 가장 큰 이슈며 과거에 우리가 보아왔던 웜은 앞으로 RPC(윈도우에서 원격 시스템의 서비스에 사용할 수 있도록 해주는 프로토콜)에 나타날 것에 비하면 아무 것도 아니라고 말한 적 있다. 이것으로 블래스터와 새서웜이 등장했다. 이제 우리는 VoIP와 GPRS에 대해서도 같은 말을 할 수 있다.

 

VoIP의 내막은?

VoIP는 무엇보다 큰 보안문제를 안고 있다. 프로토콜 차원에서 VoIP는 암호화나 인증이 안 되기 때문에 내가 누구인지 증명할 길이 없다. 내가 미 대통령, 혹은 CIA를 사칭해서 콜러 ID를 보낼 수 있는 것이다. 아무도 내가 누군지 알 수 없기 때문이다. 그리고 콜러ID는 쉽게 해킹이 가능하고 신분을 쉽게 속일수 있다.

 

GPRS은 어떤가?

GPRS(General Packet Radio Service)를 이용함으로써 모바일 업체들이 서로의 시스템을 자유롭게 공유할 수 있게 됐다. 지금까지 이들은 신뢰 관계를 유지하며 서로에게 해킹을 자제해 왔다. 일반 인터넷상의 해커들은 이 시스템에 접근할 수 없지만 모바일 업체들은 가능하다. 그러나 일단 한 업체에 침입하면 모바일 업체들이 서로 공유하는 백본을 통해 다른 회사들에까지 침입할 수 있다. 일단 게이트웨이 기기가 감염되면 해커들은 인터넷이나 헤드셋을 통해서도 해킹을 할 수 있으며 회사 내부 네트워크까지 침투할 수 있다.

 

-출처 ZDnet-