인터뷰 | 권석철 큐브피아 대표
✚ 가상키보드가 해커의 공격에 취약하다는 주장이 나온다.
“보안의 생명은 공격을 방어하는 것이다. 가상키보드의 원리는 사용자가 A를 입력했을 때 공격자에게는 A가 아닌 B, C, D가 보이도록 해 정보의 유출을 막는 것이다. 하지만 이는 가상키보드를 컨트롤하는 프로그램을 분석해 취약점을 찾아내면 우회로를 찾을 수도 있다.”
✚ 악성코드가 깔려 있다면 가상키보드도 무용지물 아닌가.
“물론이다. 컴퓨터가 악성코드에 의해 오염됐다면 어떤 보안제품도 소용 없다.”
✚ 백신프로그램이 악성코드를 걸러내지 못하는 건 아닌가.
“공격자는 개발단계에서 백신이 막을 수 없는 악성코드를 만들어 사용한다. 악성코드를 테스트하는 과정에서 기존에 배포된 방어프로그램으로 성능을 테스트를 하기 때문이다. 악성코드와 백신의 싸움에서는 공격자인 악성코드가 앞서 갈 수밖에 없다.”
“악성코드에 오염된 사용자의 컴퓨터가 다른 서버나 웹사이트에 접속하지 못하게 만들어야 한다. 문제는 악성코드에 감염된 컴퓨터를 격리하는 게 사실상 불가능하다는 데 있다. 악성코드에 오염된 컴퓨터라고 하더라도 실행에 문제가 없어 정상적으로 보이는 경우가 많아서다.”
✚ 해킹 피해가 발생하면 책임공방이 벌어질 때가 많다.
“해커가 금융사의 메인 서버를 공격해 피해가 발생했다고 치자. 그럼 해당 금융회사에 책임을 물을 수 있다. 하지만 악성코드가 금융회사의 서버에서 작동했는지, 사용자의 컴퓨터에서 작동했는지는 알기 어렵다.
✚ 금융회사가 제공한 해킹 방지프로그램과 백신프로그램을 사용했다면 서비스 제공자에 책임이 있는 것은 아닌가.
“가상키보드, 가상 서버, 가상 OS(operat ing system)ㆍ백신 등 방어에 사용되는 프로그램을 한번을 뚫기가 어렵지 뚫기만 하면 다음번 공격이 쉽다. 하지만 이를 방어하는 것은 사실상 쉬운 일이 아니다. ”
✚ 정부와 금융회사의 보안이 취약한 이유는 무엇이라 생각하는가.
“보안을 강화하려는 의지가 없다. 사실 정부가 요구하는 최소한의 조치를 위한 투자도 안 한다. 외국에선 새로운 보안솔루션을 만들기 위해 혼신의 힘을 쏟는다. 하지만 우리나라는 10년 전 만든 기술을 덧대서 사용하고 있는 수준이다. 보안의 필요성과 중요성에 대한 인식이 여전히 낮다.”
✚ 해커와의 전쟁에서 이길 수 있는 방법은 없는가.
“보안 문제에서도 발상의 전환이 필요하다. 기존의 보안은 방어벽을 쌓고 악성코드 등 외부의 공격이 내부로 침입하지 못하게 하는 데 집중했다. 하지만 이를 완벽하게 방어하는 건 불가능에 가깝다. 실시간으로 해커의 움직임을 감시하는 시스템을 도입해야 하는 이유다.”
강서구 더스쿠프 기자 ksg@thescoop.co.kr
저작권자 © 더스쿠프 무단전재 및 재배포 금지
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
그래도 삭제하시겠습니까?
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
댓글을 남기실 수 있습니다.