2017.01.10

칼럼 | 일부 보안 전문가의 그릇된 의혹 제기에 반박한다

Ira Winkler | Computerworld
마치 전세계가 갑자기 보안 전문가들의 말에 귀 기울이는 상황처럼 보인다. 하지만 마냥 좋아하기에는 애매한 상황이 펼쳐지고 있다.



보안 전문가는 수 년 동안 사람들이 자신들의 조언을 듣고 사이버 보안에 적절한 관심을 갖기를 원했다. 사이버 보안 실패가 실제적인 재앙을 불러올 수 있다고 외쳤다. 러시아의 국방성(Pentagon),국무부(State Department), 백악관(White House) 해킹 후 미 정부 측에 부적절한 보안 실태에 대해 경고했다. 하지만 으레 무시당하곤 했다.

하지만 러시아 해커들이 미국 대선에까지 손을 뻗치면서 세상이 보안 전문가들의 말이 귀를 기울이는 형국이다. 그런데 최근 논쟁이 진행되면서 오히려 많은 이들이 혼란스러워 하고 있다. 마치 러시아가 과거에 전혀 해킹한 사실이 없고 허위 정보를 전략으로 사용한 적이 없으며, 마치 정략적 논쟁의 희생양처럼 보이는 국면조차도 나타나고 있다. 일각의 보안 전문가들이 러시아가 정치 조직과 요주의 인물을 해킹했다는 보안 전문 기업들의 결론에 의문을 표하고 있어서다.

신뢰할 만한 이유가 있었다
미국 정보 커뮤니티 다수, 상원 의장, 하원 의장 폴 라이언은 러시아가 도날드 트럼프(Donald Trump)에 유리하도록 선거 결과에 영향을 끼치기 위해 이 같은 일을 저질렀다고 결론지었다. 이에 대해 일각의 비판가들은 증거를 요구하며 의혹을 제기하고 이ㅆㄷㅏ.

그러나 이런 상황에서 모든 것을 공개할 수란 없기 마련이다. 보안 전문가 다수는 항상 동료들 그리고 할 일을 하기 위해 항상 열심히 일하는 전문가들을 신뢰했다. 보안 전문가 다수가 초기 러시아 해킹에 관한 보고에 대해 제 2의 시나리오를 생각하지 않았던 이유이며, 2009년 월 스트리트 저널(Wall Street Journal)의 러시아, 중국, 기타 전력 그리드 해커들에 관한 기사에 이의를 제기하지 않았던 이유다. 보안 전문가 다수는 정부와 기타 조직에 대한 민족 국가의 발전된 공격을 추적, 조사, 대응하는데 오랜 경험을 쌓은 시큐어웍스(SecureWorks), 맨디언트(Mandiant), 피델리스(Fidelis), 크라우드스트라이크(CrowdStrike)의 보고서에 의문을 제기하지 않았다.

하지만 지금은 일부 보안 전문가들의 발언을 인용한 의혹이 지나치게 제기되고 있다. 의심 자체는 문제가 아니다. 훌륭한 보안 전문가라면 당연히 보고서와 발견사항에 대해 의심해야 한다. 하지만 동시에 잘못된 의혹이 제기되는 상황도 인지해야 한다. 러시아의 대선 개입을 조사한 조직 중 어떤 곳도 러시아가 관련됐다는 의견에 반대하지 않았다. 심지어 양당조차도 정치적 논란을 뛰어넘어 이에 동의한 상태다.

이라크 침공에 앞서 이라크의 대량 살상 무기 소유에 관한 문제와 관련된 정보 실패를 언급하는 이들이 있지만, 해당 사례는 이번 경우와 다르다. 이번 경우에는 직접적인 지식을 가진 사람들이 의견을 피력했다.

좀더 구체적으로 예를 들어보자. 일각에서는 DNC(Democratic National Committee)의 해킹에 관한 크라우드스트라이크의 분석 신뢰성을 떨어뜨리려고 시도한다. 몇몇 보안 전문가들은 "누구든 맬웨어(Malware)를 찾아 사용했을 수 있다"라고 말한다. 하지만 크라우드스트라이크의 보고서를 읽어 보면 하나의 맬웨어보다는 훨씬 많은 조짐이 있었음을 알 수 있다. 매우 엄격한 분석이 수행됐던 것이다.
선거에 관해 국토안보부(Department of Homeland Security)와 FBI가 작성한 공동 분석 보고서(Joint Analysis Report)에 대한 의혹도 있다. 일부 비평가들은 JAR이 러시아가 공격에 가담했고 데이터가 명확하지 못함을 입증하지 못한다고 주장한다. 하지만 그것은 핵심이 아니다.

해당 보고서에서는 구체적으로 "본 JAR는 이런 작업의 상당수와 관련된 기술적인 지표, 권장 완화책, 제공된 지표에 대응하기 위한 권장 조치, 미 정부에 대한 이런 사고를 보고하는 방식에 관한 정보를 제공한다"라고 밝히고 있다. 누가 해킹의 범인인지에 관한 증거를 제공한다고 밝히고 있지 않다. 사람들이 스스로가 해킹의 피해자일 수 있는지 여부를 판단하는데 도움이 되는 정보를 제공하기 위한 것이었다.

몇몇 전문가들은 JAR의 데이터가 쓸모 없었다고 말했다. 그들에게는 그럴 수 있다. 그러나 해당 보고서를 적절히 사용하기 위해서는 이것이 해킹의 직접적인 지표보다는 위협 추적을 위한 툴이라는 점을 이해해야 한다.

예를 들어, JAR에 제공된 IP 주소 목록이 공격에 대한 명확한 지표가 아니라고 주장하는 이들이 있다. 사실이긴 하지만 그 목록의 목적이 그것이라는 주장도 없다. 이것은 단지 관리자들이 잠재적인 공격의 검색 범위를 좁힐 수 있는 수단을 제공하기 위한 것이다. 최소한 IP 주소를 공개하면 적들이 인프라를 변경하여 그들의 활동 중 일부가 저지될 것이기 때문이다.

JAR이 좀더 나아질 수 있었다는 의견에는 전적으로 동의한다. 여기에서는 러시아 정보 기관들이 해킹을 실시한 방법에 관한 세부사항을 제공한다고 밝히고 있지만 기껏해야 이런 공격을 간단하게 설명하고 있을 뿐이기 때문이다. 그럼에도 불구하고 JAR은 여전히 중요한 가치를 지닌다. 실제로 버몬트(Vermont)에 위치한 BE(Burlington Electric) 소유의 노트북에서 맬웨어의 존재를 찾는데 중요한 계기가 되었다.

하지만 그들의 주장은 또 다른 논쟁의 뼈대로 이어졌다.

일각의 보안 전문가들은 앞선 보고서들을 경시하면서 노트북이 전력 그리드에 연결되어 있지 않았고 맬웨어가 단일 시스템에서 감지되었다고 설명한다. 그러나 이들 전문가들은 ‘멍청한 사용자들이’ 어떻게 자신의 컴퓨터를 맬웨어로 감염시키는지 그리고 나머지 네트워크를 어떻게 감염시키는지에 대해 한탄만 하는 사람들과 다를 바 없다. 단체로 기억상실증에 걸린 것 같다.

일부 보안 전문가들은 러시아 개입에 대한 모든 주장을 무시해야 한다고 생각하는 것 같다. 하지만 이런 분석을 업으로 삼고 실제 데이터에 접근하는 조직들을 인정하지 않고 기밀 정보에 접근할 수 있는 정부 고위 공화당원들의 의견을 무시하며 정보에 접근하는 미 정부의 모든 기관을 의심한다면 무엇을 믿을 수 있다는 이야기일까? 마치 블라디미르 푸틴이 공격을 지시했다고 직접 밝히더라도 믿지 않을 것처럼 보인다.

의심은 좋지만 냉소와 공개적인 오만함은 위험하다. 보안 분야에서 입지를 갖추고 정보에 대한 접근성과 수십 년의 경험을 토대로 모든 조직의 의견이 일치하는 상황에서는 더욱 그렇다.

모든 전문가들은 생각해 보아야 한다. 갑자기 보안 전문가들의 말에 관심을 갖는 세계는 무엇이 옳고 그른지 분별하기 어렵다. 어쩌면 푸틴이 원하는 것이 바로 이것이다. 그는 사람들이 무엇을 믿을지 또는 누구에게 의지할지 헛갈리기를 원한다. 효과 만점이다. ciokr@idg.co.kr 

2017.01.10

칼럼 | 일부 보안 전문가의 그릇된 의혹 제기에 반박한다

Ira Winkler | Computerworld
마치 전세계가 갑자기 보안 전문가들의 말에 귀 기울이는 상황처럼 보인다. 하지만 마냥 좋아하기에는 애매한 상황이 펼쳐지고 있다.



보안 전문가는 수 년 동안 사람들이 자신들의 조언을 듣고 사이버 보안에 적절한 관심을 갖기를 원했다. 사이버 보안 실패가 실제적인 재앙을 불러올 수 있다고 외쳤다. 러시아의 국방성(Pentagon),국무부(State Department), 백악관(White House) 해킹 후 미 정부 측에 부적절한 보안 실태에 대해 경고했다. 하지만 으레 무시당하곤 했다.

하지만 러시아 해커들이 미국 대선에까지 손을 뻗치면서 세상이 보안 전문가들의 말이 귀를 기울이는 형국이다. 그런데 최근 논쟁이 진행되면서 오히려 많은 이들이 혼란스러워 하고 있다. 마치 러시아가 과거에 전혀 해킹한 사실이 없고 허위 정보를 전략으로 사용한 적이 없으며, 마치 정략적 논쟁의 희생양처럼 보이는 국면조차도 나타나고 있다. 일각의 보안 전문가들이 러시아가 정치 조직과 요주의 인물을 해킹했다는 보안 전문 기업들의 결론에 의문을 표하고 있어서다.

신뢰할 만한 이유가 있었다
미국 정보 커뮤니티 다수, 상원 의장, 하원 의장 폴 라이언은 러시아가 도날드 트럼프(Donald Trump)에 유리하도록 선거 결과에 영향을 끼치기 위해 이 같은 일을 저질렀다고 결론지었다. 이에 대해 일각의 비판가들은 증거를 요구하며 의혹을 제기하고 이ㅆㄷㅏ.

그러나 이런 상황에서 모든 것을 공개할 수란 없기 마련이다. 보안 전문가 다수는 항상 동료들 그리고 할 일을 하기 위해 항상 열심히 일하는 전문가들을 신뢰했다. 보안 전문가 다수가 초기 러시아 해킹에 관한 보고에 대해 제 2의 시나리오를 생각하지 않았던 이유이며, 2009년 월 스트리트 저널(Wall Street Journal)의 러시아, 중국, 기타 전력 그리드 해커들에 관한 기사에 이의를 제기하지 않았던 이유다. 보안 전문가 다수는 정부와 기타 조직에 대한 민족 국가의 발전된 공격을 추적, 조사, 대응하는데 오랜 경험을 쌓은 시큐어웍스(SecureWorks), 맨디언트(Mandiant), 피델리스(Fidelis), 크라우드스트라이크(CrowdStrike)의 보고서에 의문을 제기하지 않았다.

하지만 지금은 일부 보안 전문가들의 발언을 인용한 의혹이 지나치게 제기되고 있다. 의심 자체는 문제가 아니다. 훌륭한 보안 전문가라면 당연히 보고서와 발견사항에 대해 의심해야 한다. 하지만 동시에 잘못된 의혹이 제기되는 상황도 인지해야 한다. 러시아의 대선 개입을 조사한 조직 중 어떤 곳도 러시아가 관련됐다는 의견에 반대하지 않았다. 심지어 양당조차도 정치적 논란을 뛰어넘어 이에 동의한 상태다.

이라크 침공에 앞서 이라크의 대량 살상 무기 소유에 관한 문제와 관련된 정보 실패를 언급하는 이들이 있지만, 해당 사례는 이번 경우와 다르다. 이번 경우에는 직접적인 지식을 가진 사람들이 의견을 피력했다.

좀더 구체적으로 예를 들어보자. 일각에서는 DNC(Democratic National Committee)의 해킹에 관한 크라우드스트라이크의 분석 신뢰성을 떨어뜨리려고 시도한다. 몇몇 보안 전문가들은 "누구든 맬웨어(Malware)를 찾아 사용했을 수 있다"라고 말한다. 하지만 크라우드스트라이크의 보고서를 읽어 보면 하나의 맬웨어보다는 훨씬 많은 조짐이 있었음을 알 수 있다. 매우 엄격한 분석이 수행됐던 것이다.
선거에 관해 국토안보부(Department of Homeland Security)와 FBI가 작성한 공동 분석 보고서(Joint Analysis Report)에 대한 의혹도 있다. 일부 비평가들은 JAR이 러시아가 공격에 가담했고 데이터가 명확하지 못함을 입증하지 못한다고 주장한다. 하지만 그것은 핵심이 아니다.

해당 보고서에서는 구체적으로 "본 JAR는 이런 작업의 상당수와 관련된 기술적인 지표, 권장 완화책, 제공된 지표에 대응하기 위한 권장 조치, 미 정부에 대한 이런 사고를 보고하는 방식에 관한 정보를 제공한다"라고 밝히고 있다. 누가 해킹의 범인인지에 관한 증거를 제공한다고 밝히고 있지 않다. 사람들이 스스로가 해킹의 피해자일 수 있는지 여부를 판단하는데 도움이 되는 정보를 제공하기 위한 것이었다.

몇몇 전문가들은 JAR의 데이터가 쓸모 없었다고 말했다. 그들에게는 그럴 수 있다. 그러나 해당 보고서를 적절히 사용하기 위해서는 이것이 해킹의 직접적인 지표보다는 위협 추적을 위한 툴이라는 점을 이해해야 한다.

예를 들어, JAR에 제공된 IP 주소 목록이 공격에 대한 명확한 지표가 아니라고 주장하는 이들이 있다. 사실이긴 하지만 그 목록의 목적이 그것이라는 주장도 없다. 이것은 단지 관리자들이 잠재적인 공격의 검색 범위를 좁힐 수 있는 수단을 제공하기 위한 것이다. 최소한 IP 주소를 공개하면 적들이 인프라를 변경하여 그들의 활동 중 일부가 저지될 것이기 때문이다.

JAR이 좀더 나아질 수 있었다는 의견에는 전적으로 동의한다. 여기에서는 러시아 정보 기관들이 해킹을 실시한 방법에 관한 세부사항을 제공한다고 밝히고 있지만 기껏해야 이런 공격을 간단하게 설명하고 있을 뿐이기 때문이다. 그럼에도 불구하고 JAR은 여전히 중요한 가치를 지닌다. 실제로 버몬트(Vermont)에 위치한 BE(Burlington Electric) 소유의 노트북에서 맬웨어의 존재를 찾는데 중요한 계기가 되었다.

하지만 그들의 주장은 또 다른 논쟁의 뼈대로 이어졌다.

일각의 보안 전문가들은 앞선 보고서들을 경시하면서 노트북이 전력 그리드에 연결되어 있지 않았고 맬웨어가 단일 시스템에서 감지되었다고 설명한다. 그러나 이들 전문가들은 ‘멍청한 사용자들이’ 어떻게 자신의 컴퓨터를 맬웨어로 감염시키는지 그리고 나머지 네트워크를 어떻게 감염시키는지에 대해 한탄만 하는 사람들과 다를 바 없다. 단체로 기억상실증에 걸린 것 같다.

일부 보안 전문가들은 러시아 개입에 대한 모든 주장을 무시해야 한다고 생각하는 것 같다. 하지만 이런 분석을 업으로 삼고 실제 데이터에 접근하는 조직들을 인정하지 않고 기밀 정보에 접근할 수 있는 정부 고위 공화당원들의 의견을 무시하며 정보에 접근하는 미 정부의 모든 기관을 의심한다면 무엇을 믿을 수 있다는 이야기일까? 마치 블라디미르 푸틴이 공격을 지시했다고 직접 밝히더라도 믿지 않을 것처럼 보인다.

의심은 좋지만 냉소와 공개적인 오만함은 위험하다. 보안 분야에서 입지를 갖추고 정보에 대한 접근성과 수십 년의 경험을 토대로 모든 조직의 의견이 일치하는 상황에서는 더욱 그렇다.

모든 전문가들은 생각해 보아야 한다. 갑자기 보안 전문가들의 말에 관심을 갖는 세계는 무엇이 옳고 그른지 분별하기 어렵다. 어쩌면 푸틴이 원하는 것이 바로 이것이다. 그는 사람들이 무엇을 믿을지 또는 누구에게 의지할지 헛갈리기를 원한다. 효과 만점이다. ciokr@idg.co.kr 

X