2015.07.27

강은성의 보안 아키텍트 | '해킹팀'은 보안업체가 아니다

강은성 | CIO KR
한 정보보안업체에서 연구소장으로 일할 때다. 외부인 대상으로 특강을 할 때 악성코드(컴퓨터 바이러스)를 직접 만들어 배포하지 않느냐는 질문을 받은 적이 있다. 안티바이러스(백신) 제품이 더 잘 팔리게 하기 위해 그럴 수 있지 않느냐는 질문이었다. 답변은 간단했다. 당연히 아니다. 첫째, 보안업체가 굳이 악성코드를 만들지 않아도 대응해야 하는 악성코드가 엄청나게 많고, 둘째, 무엇보다도 보안업체는 고객의 '신뢰'를 먹고 살기 때문에 악성코드를 혹시 제작, 배포했다가 알려지면 회사가 그대로 망할 수밖에 없다. 셋째, 불법이다. 따라서 그런 일은 생각조차 할 수 없다. 어떤 보안업체도 마찬가지 입장일 것이다.

2007년 9월에 한 물리보안업체의 직원이 자신의 담당지역 고객의 집을 턴 강도 사건이 발생했을 때, 이에 책임을 지고 그 회사 사장과 해당 지역 책임을 맡은 전무가 동시에 사임하였다. 직원이 수천 명인 회사에서 사장이 어떻게 한 직원의 일탈까지 책임질 수 있겠느냐마는 고객의 재산과 생명을 지켜야 할 회사로서는 치명적인 일이기 때문에 이러한 강수를 두지 않았나 싶다.

보안회사에서는 개인의 실수나 일탈을 예방하기 위해 직원들을 늘 교육하고 여러 수단과 체계를 운영하지만 각 개인의 행동을 완벽히 통제하는 것은 사실상 어렵다. 그래서 시스템을 갖추는 일뿐 아니라 사람을 뽑는 것이 매우 중요하다는 결론에 이른다. 다른 이들을 돕기 좋아하고, 그들의 생명과 재산을 지키는 것을 자신의 즐거움으로 여기는 사람들이라면 실수로라도 범죄를 저지를 가능성은 훨씬 줄어들기 때문이다.

->한국IDG 보안 컨퍼런스

나 역시 보안업체에 있으면서 악성코드 대응ㆍ분석 인력을 채용할 때에 늘 그 사람의 전력에 관심을 가졌다. 그 바닥이 좁아서 조금 (나쁜) 활동을 했다고 하면 어렵지 않게 알 수 있었다. 해킹 경력이 있으면 보안업체 취직에 도움이 될 거라는 망상을 가진 사람들을 가끔 봤으나 현실은 정반대다. 아무리 뛰어난 기술이 있는 사람이라 하더라도 해킹 범죄를 저지른 경력이 있다면 일반 기업에서도 그런 사람을 뽑을지 고민이 될 텐데, 하물며 고객의 자산을 지키는 것이 사업 모델인 보안업체에서 그러기는 더욱 어렵다. 경찰이 과거 조폭이었던 사람을 정보원으로 활용할 수는 있겠지만 경찰로 채용하지는 않는 것과 마찬가지다. 보안 관련 직업을 갖고 싶은 청소년들이 있다면 행여나 실수로라도 해킹을 하지 말라고 권한다. 한 때의 실수로 그 길로 가기가 매우 어려워진다.

지난 7월 5일에 터진 이탈리아 회사 '해킹팀'에 대한 해킹 뉴스가 꼬리에 꼬리를 물고 세계적인 이슈가 되었다. 트위터 이름이 ‘Hacked Team’(해킹당한 팀)으로 바뀌고 400GB나 되는 엄청난 양의 회사 내부 자료가 인터넷에 올라가면서 "해킹팀이 해킹되었다"는 기사가 인터넷을 뒤덮었다. 언론 기사와 자료를 종합해 보면 이 회사의 제품인 RCS(Remote Control System)는 운영체제나 브라우저의 취약점을 악용해 스마트폰과 PC에 사용자 몰래 설치된다. 안드로이드 스마트폰용 RCS 모듈은 사용자의 메신저, 전화 통화, 문자 메시지, 위치(GPS), 화면(캡쳐), 주소록, 일정표, 저장된 데이터 등을 유출할 수 있다.



어디서 많이 들어 본 기능 아닌가? 맞다. 전형적인 악성코드의 기능이다. 특히 이런 종류는 악성코드 중에서도 스파이웨어로 분류한다. 정보통신망법에서는 악성코드를 ‘'악성 프로그램'이라고 정의하고 이것을 전달 또는 유포하는 자를 5년 이하의 징역 또는 5천만 원 이하의 벌금의 중형에 처하도록 하였다.(제48조 제2항, 제71조 제9호) RCS를 판매하는 행위는 이 조항에 해당한다. 게다가 이 회사는 '고객'이 사이트(URL)를 지정해 주면 그 곳을 해킹하여 이 RCS를 설치해 주기도 한 것으로 보인다. 이른바 청부 해킹이다. 정보통신망법에서는 이러한 행위를 금지하고 있으며 이를 위반하는 자를 3년 이하의 징역 또는 3천만 원 이하의 벌금에 처한다.(제48조 제1항, 제72조 제1호)

정치ㆍ사회적인 목적을 달성하기 위해 해킹을 하기도 하고, 국가 이익을 위한 국가 간 사이버 전이 치열하게 전개되기도 한다. 하지만 여전히 금전을 목적으로 하는 경우가 가장 많다. 스팸을 대량 발송해서 클릭을 유도하거나 여러 경로를 통해 악성코드를 배포하기도 한다. 경쟁업체의 영업을 방해하기 위해 디도스 공격을 하기도 있고, 정보를 빼내기 위해 청부 해킹을 하기도 한다. 하지만 이제까지 이러한 일들은 '음지'에서 이뤄졌다. 떳떳한 일이 아님을, 아니 범죄행위임을 모두 알고 있었기 때문이다.

하지만 해킹팀처럼 이렇게 세계 곳곳에서 열리는 전시회에 출품하면서까지 악성코드 판매와 청부 해킹을 공공연하게 사업 모델로 하는 회사는 처음 들어본 것 같다. 일반 제품과 마찬가지로 브로셔도 있고, 판매자와 구매자의 서명이 있는 계약서도 있으며, 거액의 유지보수비까지 꼬박 챙기는 걸 보면 불법 악성코드라는 인식이 전혀 없이 '사업'을 하는 모양이다. 해킹팀 내부에서 논란이 있었고, 그 과정에서 퇴사한 사람들도 있다지만, 어쨌든 회사 차원에서는 범죄 행위가 수익 모델이라는 점에 별로 거리낌이 없어 보인다. 물리보안 관점에서 본다면 조직폭력배가 회사를 설립해 불법 무기를 만들어 판매하고, 청부 폭력을 휘두르며, 해외 전시회에도 나가는 꼴이다. 상상하기 어려운 일이 벌어지고 있다.


또 한 가지 놀라운 점은 범죄가 사업인 이 회사가 '보안 업체’로 분류되기도 한다는 점이다. 세계 4대 통신사 중의 하나인 영국의 로이터통신과 미국의 주요 경제 잡지인 포춘, 영국 언론인 가디언은 '해킹팀'을 '사이버보안 회사'(Cybersecurity firm)라고 불렀다. 국내 언론에서도 이 회사를 '보안업체'로 지칭한 기사가 보인다. 한 마디로 말도 안 된다. 보안업체에서 고객사 사이트에 보안취약점이 있는지 사전에 점검하기 위해 '모의해킹'이나 '기술취약점 진단'을 하면서 해킹 기술을 일부 활용하기도 하지만, 이것은 고객과 계약을 맺고 고객의 승인 아래 지정된 범위 안에서만 보안취약점을 찾아 보완하려는 목적으로 이뤄진다. 비슷한 기술을 일부 사용하지만, 정보자산의 소유자 모르게 소유자를 공격하는 해킹과는 근본이 다르다.

폭력을 휘두른다고 해서 조폭을 잡기 위해 경찰이 휘두르는 폭력과 자신의 이익을 위해 조폭이 휘두르는 폭력이 질과 양에서 같을 수 없다. '해킹팀'은 사이버범죄 행위를 사업화한 회사다. 해킹팀을 '보안업체'로 분류하지 말아야 한다. 청부 해킹 회사, 스파이웨어 회사, 사이버 범죄 회사 등으로 불러야 한다. 행여나 보안업체가 이런 범죄를 저지를 수 있다고 인식될까 걱정스럽다.

오히려 보안 분야에서 많은 분들이 그리 좋지 않은 여건에서도 우리나라의 기업과 공공, 가정의 정보자산을 보호하기 위해 오늘도 열심히 일하고 있다는 점을 우리 사회가 많이 알아주면 좋겠다.

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 



2015.07.27

강은성의 보안 아키텍트 | '해킹팀'은 보안업체가 아니다

강은성 | CIO KR
한 정보보안업체에서 연구소장으로 일할 때다. 외부인 대상으로 특강을 할 때 악성코드(컴퓨터 바이러스)를 직접 만들어 배포하지 않느냐는 질문을 받은 적이 있다. 안티바이러스(백신) 제품이 더 잘 팔리게 하기 위해 그럴 수 있지 않느냐는 질문이었다. 답변은 간단했다. 당연히 아니다. 첫째, 보안업체가 굳이 악성코드를 만들지 않아도 대응해야 하는 악성코드가 엄청나게 많고, 둘째, 무엇보다도 보안업체는 고객의 '신뢰'를 먹고 살기 때문에 악성코드를 혹시 제작, 배포했다가 알려지면 회사가 그대로 망할 수밖에 없다. 셋째, 불법이다. 따라서 그런 일은 생각조차 할 수 없다. 어떤 보안업체도 마찬가지 입장일 것이다.

2007년 9월에 한 물리보안업체의 직원이 자신의 담당지역 고객의 집을 턴 강도 사건이 발생했을 때, 이에 책임을 지고 그 회사 사장과 해당 지역 책임을 맡은 전무가 동시에 사임하였다. 직원이 수천 명인 회사에서 사장이 어떻게 한 직원의 일탈까지 책임질 수 있겠느냐마는 고객의 재산과 생명을 지켜야 할 회사로서는 치명적인 일이기 때문에 이러한 강수를 두지 않았나 싶다.

보안회사에서는 개인의 실수나 일탈을 예방하기 위해 직원들을 늘 교육하고 여러 수단과 체계를 운영하지만 각 개인의 행동을 완벽히 통제하는 것은 사실상 어렵다. 그래서 시스템을 갖추는 일뿐 아니라 사람을 뽑는 것이 매우 중요하다는 결론에 이른다. 다른 이들을 돕기 좋아하고, 그들의 생명과 재산을 지키는 것을 자신의 즐거움으로 여기는 사람들이라면 실수로라도 범죄를 저지를 가능성은 훨씬 줄어들기 때문이다.

->한국IDG 보안 컨퍼런스

나 역시 보안업체에 있으면서 악성코드 대응ㆍ분석 인력을 채용할 때에 늘 그 사람의 전력에 관심을 가졌다. 그 바닥이 좁아서 조금 (나쁜) 활동을 했다고 하면 어렵지 않게 알 수 있었다. 해킹 경력이 있으면 보안업체 취직에 도움이 될 거라는 망상을 가진 사람들을 가끔 봤으나 현실은 정반대다. 아무리 뛰어난 기술이 있는 사람이라 하더라도 해킹 범죄를 저지른 경력이 있다면 일반 기업에서도 그런 사람을 뽑을지 고민이 될 텐데, 하물며 고객의 자산을 지키는 것이 사업 모델인 보안업체에서 그러기는 더욱 어렵다. 경찰이 과거 조폭이었던 사람을 정보원으로 활용할 수는 있겠지만 경찰로 채용하지는 않는 것과 마찬가지다. 보안 관련 직업을 갖고 싶은 청소년들이 있다면 행여나 실수로라도 해킹을 하지 말라고 권한다. 한 때의 실수로 그 길로 가기가 매우 어려워진다.

지난 7월 5일에 터진 이탈리아 회사 '해킹팀'에 대한 해킹 뉴스가 꼬리에 꼬리를 물고 세계적인 이슈가 되었다. 트위터 이름이 ‘Hacked Team’(해킹당한 팀)으로 바뀌고 400GB나 되는 엄청난 양의 회사 내부 자료가 인터넷에 올라가면서 "해킹팀이 해킹되었다"는 기사가 인터넷을 뒤덮었다. 언론 기사와 자료를 종합해 보면 이 회사의 제품인 RCS(Remote Control System)는 운영체제나 브라우저의 취약점을 악용해 스마트폰과 PC에 사용자 몰래 설치된다. 안드로이드 스마트폰용 RCS 모듈은 사용자의 메신저, 전화 통화, 문자 메시지, 위치(GPS), 화면(캡쳐), 주소록, 일정표, 저장된 데이터 등을 유출할 수 있다.



어디서 많이 들어 본 기능 아닌가? 맞다. 전형적인 악성코드의 기능이다. 특히 이런 종류는 악성코드 중에서도 스파이웨어로 분류한다. 정보통신망법에서는 악성코드를 ‘'악성 프로그램'이라고 정의하고 이것을 전달 또는 유포하는 자를 5년 이하의 징역 또는 5천만 원 이하의 벌금의 중형에 처하도록 하였다.(제48조 제2항, 제71조 제9호) RCS를 판매하는 행위는 이 조항에 해당한다. 게다가 이 회사는 '고객'이 사이트(URL)를 지정해 주면 그 곳을 해킹하여 이 RCS를 설치해 주기도 한 것으로 보인다. 이른바 청부 해킹이다. 정보통신망법에서는 이러한 행위를 금지하고 있으며 이를 위반하는 자를 3년 이하의 징역 또는 3천만 원 이하의 벌금에 처한다.(제48조 제1항, 제72조 제1호)

정치ㆍ사회적인 목적을 달성하기 위해 해킹을 하기도 하고, 국가 이익을 위한 국가 간 사이버 전이 치열하게 전개되기도 한다. 하지만 여전히 금전을 목적으로 하는 경우가 가장 많다. 스팸을 대량 발송해서 클릭을 유도하거나 여러 경로를 통해 악성코드를 배포하기도 한다. 경쟁업체의 영업을 방해하기 위해 디도스 공격을 하기도 있고, 정보를 빼내기 위해 청부 해킹을 하기도 한다. 하지만 이제까지 이러한 일들은 '음지'에서 이뤄졌다. 떳떳한 일이 아님을, 아니 범죄행위임을 모두 알고 있었기 때문이다.

하지만 해킹팀처럼 이렇게 세계 곳곳에서 열리는 전시회에 출품하면서까지 악성코드 판매와 청부 해킹을 공공연하게 사업 모델로 하는 회사는 처음 들어본 것 같다. 일반 제품과 마찬가지로 브로셔도 있고, 판매자와 구매자의 서명이 있는 계약서도 있으며, 거액의 유지보수비까지 꼬박 챙기는 걸 보면 불법 악성코드라는 인식이 전혀 없이 '사업'을 하는 모양이다. 해킹팀 내부에서 논란이 있었고, 그 과정에서 퇴사한 사람들도 있다지만, 어쨌든 회사 차원에서는 범죄 행위가 수익 모델이라는 점에 별로 거리낌이 없어 보인다. 물리보안 관점에서 본다면 조직폭력배가 회사를 설립해 불법 무기를 만들어 판매하고, 청부 폭력을 휘두르며, 해외 전시회에도 나가는 꼴이다. 상상하기 어려운 일이 벌어지고 있다.


또 한 가지 놀라운 점은 범죄가 사업인 이 회사가 '보안 업체’로 분류되기도 한다는 점이다. 세계 4대 통신사 중의 하나인 영국의 로이터통신과 미국의 주요 경제 잡지인 포춘, 영국 언론인 가디언은 '해킹팀'을 '사이버보안 회사'(Cybersecurity firm)라고 불렀다. 국내 언론에서도 이 회사를 '보안업체'로 지칭한 기사가 보인다. 한 마디로 말도 안 된다. 보안업체에서 고객사 사이트에 보안취약점이 있는지 사전에 점검하기 위해 '모의해킹'이나 '기술취약점 진단'을 하면서 해킹 기술을 일부 활용하기도 하지만, 이것은 고객과 계약을 맺고 고객의 승인 아래 지정된 범위 안에서만 보안취약점을 찾아 보완하려는 목적으로 이뤄진다. 비슷한 기술을 일부 사용하지만, 정보자산의 소유자 모르게 소유자를 공격하는 해킹과는 근본이 다르다.

폭력을 휘두른다고 해서 조폭을 잡기 위해 경찰이 휘두르는 폭력과 자신의 이익을 위해 조폭이 휘두르는 폭력이 질과 양에서 같을 수 없다. '해킹팀'은 사이버범죄 행위를 사업화한 회사다. 해킹팀을 '보안업체'로 분류하지 말아야 한다. 청부 해킹 회사, 스파이웨어 회사, 사이버 범죄 회사 등으로 불러야 한다. 행여나 보안업체가 이런 범죄를 저지를 수 있다고 인식될까 걱정스럽다.

오히려 보안 분야에서 많은 분들이 그리 좋지 않은 여건에서도 우리나라의 기업과 공공, 가정의 정보자산을 보호하기 위해 오늘도 열심히 일하고 있다는 점을 우리 사회가 많이 알아주면 좋겠다.

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 

X