“타깃 정하고 해킹하면 보안망 십중팔구 뚫려”

권석철 큐브피아 대표가 말하는 해킹의 현주소

2012-12-05     심하용 기자


올해 7월 29일 KT 올레닷컴 고객 870만명의 개인정보가 유출되는 사건이 일어났다. 이로써 지금까지 유출된 개인정보는 9000만건이 넘어섰다. 같은 일이 왜 자꾸 반복되는 것일까. 문제는 기업의 보안망이 허술해서다. 권석철 큐브피아 대표를 만나 한국의 보안 실태와 해결책을 물었다.

해커라는 단어는 더 이상 우리에게 낯설지 않다. 각종 드라마나 영화에서 해커는 국가의 기반시설과 교통시스템을 파괴한다. PC 하나로 군대를 장악하기도 한다. 소설에서나 가능한 일이라고 생각할지 모르겠지만 전문가들은 이 모든 게 현실에서도 가능하다고 입을 모은다.

우리나라의 보안의식은 심각한 수준이다. 개인들은 비밀번호 변경화면이 뜨면 아무런 고민 없이 ‘다음에 변경하기’ 버튼을 누른다. 컴퓨터가 느려진다는 핑계로 기본적인 백신프로그램조차 설치하지 않는 사람도 많다.

기업의 보안의식은 더 심각하다. 고객개인정보에서부터 핵심기술까지 지켜야 할 게 한두개가 아닌데 기본적인 보안수칙마저 제대로 지키지 않는다. 때만 되면 고객정보가 유출되는 사건이 터지는 이유가 여기에 있다.

국내 모든 업체 보안망 뚫려…

무엇이 잘못된 걸까. 해커들이 모여 해커를 막는 인터넷 보안 회사 큐브피아의 권석철 대표를 만나 한국 보안의식의 실태와 문제점을 물었다. 훤칠한 키에 마른 체구의 그는 카랑카랑한 목소리로 “타깃을 정하고 집중공격하면 국내 어떤 기업의 보안망이든 뚫린다고 봐야한다”고 말했다. 그는 “가장 큰 문제는 국내 보안책임자들이 방어하는 입장에서만 생각하는 것”이라며 국내 보안실태를 냉정하게 꼬집었다. 큐브피아가 하는 일부터 물었다.

✚ 큐브피아의 주 업무인 ‘침투진단서비스’는 구체적으로 어떤 일인가.
“먼저 기업체 경영진과 업체의 보안망을 해킹하도록 비밀리에 계약을 맺는다. 그런 다음 실제로 해당 업체를 해킹한 후 침투 과정을 보안 실무자에게 알려 취약점을 보완하는 서비스다.”

✚ 지금까지 어떤 기업들이 침투진단서비스를 의뢰했나
“대형 증권사부터 시중은행, 대기업 등 이름만 대면 다 알만한 업체들이다. 20번이 넘는 의뢰를 받으면서 해킹에 실패한 적은 한번도 없다. 이 기업들 중에는 나름대로 보안이 잘 갖춰져 뚫는데 6개월 이상 걸린 곳도 있지만 이틀 만에 모든 전산망을 장악할 정도로 허술한 곳도 있었다.”

✚ 큐브피아에 소속된 화이트 해커들의 실력이 월등한 것인가.
“물론 우리 팀원 개개인의 능력은 매우 뛰어나다.(웃음) 그러나 우리는 침투진단서비스를 제공할 때는 딱히 우리만이 보유한 특별한 기술을 사용하지 않는다. 서비스의 취지가 최대한 실제 상황을 가정하는 것이기 때문에 중급 수준의 해커들이 쉽게 손에 넣을 수 있는 툴을 이용한다. 그런데도 모두 막아내지 못한다.”

✚ 어떻게 이런 서비스를 할 생각을 했나.
“우리나라 기업들의 보안은 기술이 아니라 마인드가 가장 문제다. 경영자가 보안체계를 강화하는데 돈을 투자하는 것을 아까워한다. 돈을 써도 가시적인 성과를 볼 수 없기 때문이다. 그러나 기업의 모든 전산망이 상대에게 장악당하는 것을 두 눈으로 확인하면 상황은 달라진다. 그들의 안일한 보안의식에 이만큼 확실히 경종을 울릴 수 있는 방법은 없다.”

✚ 보안책임자에게 보안망이 뚫린 사실을 알리면 놀라겠다.
“보통 경영자와 보안실무자가 모두 모인자리에서 해킹과정과 취약점을 브리핑한다. 보안망이 뚫린 사실조차 모르고 자리에 앉아 있던 실무자들은 사색이 돼서 눈만 껌뻑거리며 앉아 있다.”

권 대표는 와이파이(Wi-Fi)망을 통해 기업의 내부정보를 조작하는 동영상을 보여주며 “이 방법 역시 대부분의 중급 해커라면 알고 있다”고 말했다. 그가 설명한 해킹수단은 한두 가지가 아니었다. 타깃이 된 업체의 유니폼을 착용한 채 당당히 정문으로 들어가 보안관제에 접촉하기도 하고 협력업체로 가장해 회의실에 설치된 노트북을 활용하기도 한다. 해킹 툴이 들어있는 이동식 저장장치(USB)를 목표 기업 앞에서 홍보물로 나눠주기도 한다. 전산망이 이어져 있는 직원 PC에 단 하나의 USB라도 꽂힌다면 회사의 모든 시스템이 마비되는 지경에 이른다. 권 대표는 “침투하는 방법은 무한한데 보안을 점검하는 방식은 정해져있다”고 꼬집으며 “보안에 관한 법적 규제자체가 잘못됐다”고 말했다.

✚ 무엇이 잘못됐는가.
“정부는 정보 보안 컨설팅 업체를 지정해 주요 정보통신 기반시설에 대한 취약점을 진단하도록 하고 있다. 문제는 이들 정부지정업체들이 대부분 모의해킹을 실시하고 있다는 점이다. 모의해킹은 미리 짜인 시나리오대로 해킹하는 ‘척’만 하고 업체들 역시 미리 알려준 침투경로만 방어한다. 그러다 보니 실제 상황이 발생했을 때 해당업체들이 대응할 수 있는 능력을 정확히 평가할 수 없다. 실제 도둑들은 배기관을 타고 들어오기도 하고 택배직원을 가장하기도 하는데 짜인 각본대로 현관문을 잠그고 창문을 닫아봐야 무슨 소용인가.”

✚ 한마디로 기업들이 최소한의 법적인 조치만 취하고 있다는 것인가.
“그렇다. 보안 실무자들이 감사를 받는 시점에만 반짝 쇼를 하고 있다. 지난해 개인정보보호법이 개정되자 보안체제를 강화하기보다 ‘어떻게 하면 법에서 제시하는 최소한의 기준을 넘을 수 있을까’를 먼저 연구하는 기업들도 있다.”

✚ 듣고 보니 문제가 심각하다. 대책은 없나
“보안에 대한 패러다임을 바꿔야 한다. 우리나라의 보안 담당자는 하나같이 ‘방어하는 시각’에서만 접근해 문제를 해결하려 한다. 그러나 방어하는 측은 공격하는 측을 이길 수 없다. 해외에서는 이점을 인정하고 있다. 공격하는 측은 충분한 준비기간을 갖고 원하는 시간에 원하는 경로를 통해 뚫고 들어온다. 반면 방어하는 측은 모든 바이러스나 악성코드를 분석한 뒤 24시간 365일 방어를 해야 한다. 한계가 있을 수밖에 없다.”

✚ 결국 방어입장만 생각해서는 막을 수 없다는 얘기인가.
“그렇다. 효율적으로 방어하기 위해선 기본적으로 보안담당자들의 공격적인 측면에 대한 충분한 이해가 선행돼야 한다. 기술과 경험이 충분한 화이트해커가 보안업계에 필요한 이유다.”

공격하는 입장에서 생각해야…

✚ 능력있는 화이트 해커의 양성이 필수로 보인다.
“물론이다. 하지만 우리나라 환경은 수사기관의 엄격한 법적용으로 인해 화이트 해커들의 입지가 상당히 축소돼 있다. 한두 명의 실수로 해킹 그룹 전체가 붕괴될 수 있는 현실 때문에 화이트 해커들의 연구 의욕이 떨어지고 있다. 또 해커들에 대한 부정적 선입견도 문제다. 화이트 해커는 보안 취약점을 악의적으로 이용하지 않는데도 각종 보안 사고는 모두 해커가 일으키고 있다고 오인하고 있다.”

최근 수년간 대형 개인정보 유출사건에 대한 피해보상은 전혀 이뤄지지 않았다. 현행법상 기업이 법정 보안기준만 충족하면 기업이 피해보상 의무를 부담할 필요가 없도록 돼있기 때문이다.

권 대표를 만나고 나오는 길에 문득 모든 기업들이 해커의 침입을 막기 위한 것이 아니라 법적 제재를 피하기 위해서 보안시스템을 구축하는 게 아닌가라는 의문이 들었다. 더 큰 해킹사고를 예방하기 위해 기업들의 인식 변화가 시급하다. 지금 바꿔도 빠른 게 아니다.
심하용 기자 stone@thescoop.co.kr | @itvfm.co.kr