2012.04.27

진짜 위험한 해커들의 목표 '돈이 아닌 돈 버는 법'

Thor Olavsrud | CIO
글로벌 페이먼트(Global Payments)의 데이터 침해 사고로 15만 개의 신용카드 번호가 누출된 지 3주가 조금 넘었다. 이런 대형 해킹 사고가 많은 언론의 관심을 독점하고 있지만, 실상 세계에서 가장 위험한 해커들은 '돈'을 노리지 않는다. '돈을 버는 방법'을 훔치기 원한다.

컨설팅 회사인 내비간트(Nabigant)의 사라 로이드 디렉터는 "해커들은 지적 재산권(IPR)을 훔치려고 한다"고 전했다. 내비간트는 행킹 모의 시험, IT 포렌식(IT forensic), 기술 보안 아키텍처, 정보전 등의 분야에 경험을 축적한 회사다. 사라 로이드는 "IPR에 해당하는 것들을 훔치려는 시도야말로 진짜 위협이다. 이들은 기업이 돈을 버는 방법을 훔치기 원한다"라고 말했다.

그녀는 "단순한 '돈'을 훔치려고 하지 않는다. 예를 들어, 신약 제조법을 훔치기 원한다. 상업적으로 이용이 가능한 것들이다. 범죄 단체는 개인의 신용카드 정보를 훔치는데 관심을 갖는다. 하지만 국가는 경제 발전에 도움이 되는 무언가를 훔치는데 관심을 갖는다"라고 설명했다.

중국과 북한 지역이 발원지인 공격
글로벌 페이먼트의 해킹같은 데이터 침해 사고는 많은 비용을 초래할 뿐이다. 그러나 지적 재산을 대상으로 한 데이터 침해 사고는 회사를 무너뜨릴 수도 있다. 많은 사람들이 중국과 북한 같은 국가들이 이런 데이터 침해 공격을 후원한다고 믿고 있다.

그러나 사라 로이드에 따르면, 이런 공격이 중국과 북한의 인터넷 에서 비롯됐다고 전문가들이 확신하고 있기는 하지만, 이곳이 발원지라는 사실을 입증하기는 어렵다. 또 복잡한 국제 정치의 역학 관계 때문에, 서구의 정부들은 이런 공격을 멈출 수도 없고, 그럴 의지도 없다고 그녀는 전했다.

로이드는 "중국과 북한을 발원지로 한 공격이 시작된 지는 10년 또는 15년이 됐다. 그러나 서구 정부의 대응은 완벽하게 실패로 돌아갔다. 아주 친절한 방법으로 대응했을 뿐이다. 따라서 거침없는 공격이 많았다. 전자 세계에 접어든지 이미 오래다. 그러나 법은 이런 현실에서 30년이 뒤쳐져 있다. 정부가 대응을 하기가 아주 어려운 까닭이다"라고 말했다.

이 문제와 관련해 종종 거론되고, 비판의 대상이 되어 왔던 중국 회사 중 하나가 네트워킹 업계의 거인인 화웨이 테크놀러지스(Huawei Technologies)이다.  중국 공산당원인 렌 쳉페이가 지난 1988년 설립한 회사다.

시스코 시스템은 지난 2003년, 라우터와 스위치의 소스 코드를 훔쳤다고 화웨이 테크놀러지스를 고소했다. 그러나 2004년 소송을 취하했다. 어찌됐든, 일부 전문가들은 시스코의 기술이 화웨이가 네트워킹 시장에서 지배적인 기업으로 부상하는데 중요한 역할을 했을 수도 있다고 의심하고 있다.

이 회사는 미국과 영국, 인도, 호주 등 많은 국가의 보안 회사들과 싸움을 벌여왔다. 지난 2008년, 화웨이는 미국의 네트워킹 장비 제조업체인 쓰리콤(3Com) 인수를 시도하다 철회하기도 했다. 미국 규제 당국이 정부가 쓰리콤의 보안 소프트웨어를 광범위하게 사용하고 있어 국가 안보에 위협이 된다는 이유로 거래를 막겠다는 의사를 분명히 표현했기 때문이다.

화웨이는 이어 2010년에도 미국의 쓰리리프 시스템(3 Leaf Systems) 자산 인수 계획을 철회했다. 미국 해외투자 위원회(U.S. Committee on Foreign Investment)의 부정적인 평가가 나온 직후였다. 영국의 보안 전문가들은 화웨이가 지난 2005년 BT와 핵심 통신망을 대체하기로 맺은 계약을 영국 정부가 2009년 승인한 것에 대해 비난하고 있다. 화웨이는 또 인도의 휴대폰 네트워크와 오스트레일리아의 브로드밴드 네트워크에 장비를 공급하는 것도 차단당했다.

화웨이가 이런 공포를 누그러뜨리려고 시도하기도 했다. 화웨이는 쓰리리프 입찰에 실패한 직후인 지난 2011년, 미국 정부에 공개 서한 한 통을 보냈다. 이 서한에는 정상적인 경영 활동을 하는 기업이라는 사실을 증명할 테니 직접 조사를 하라는 내용이 담겨 있었다.

화웨이의 켄 후 본사 부회장 겸 미국 지사 회장은 "불행히도 지난 10년간 미국에서 조사를 받으면서, 화웨이에 대한 많은 오해가 있음을 깨달았다. 중국 군부와 가까운 관계, 지적 재산권에 대한 분쟁, 중국 정부의 재정 지원, 미국 국가 안보에 위협이 된다는 입증되지 않은 오해들이다. 이런 허위 사실들이 화웨이의 기업 활동에 중대하면서도 부정적인 영향을 미치고 있기 때문에, 이를 바로잡을 필요가 있다"고 강조했다. 그는 또 화웨이가 지적 재산권 라이선싱 수수료로 서구 회사들에 지급한 금액이 2010년에만 2억 2,200만 달러에 달한다고 덧붙였다.

판도를 바꾼 취약성 공격 도구(Exploit Frameworks)
지난 10~15년간 국가의 후원을 받은 공격이 늘어난 것으로 분석되고 있다. 같은 기간, 모의 해킹(Penetration testing) 및 해킹 툴의 특징도 크게 바뀌었다.

취약성 공격 도구(Exploit Frameworks) 또한 증가했다. 기본 무료 버전과 보다 정교한 상업 버전이 나와 있는 취약성 공격 도구 들은 적대적인 공격자와 해킹 테스터가 타깃을 대상으로 취약 코드를 만들어 실행시킬 수 있는 일관된 환경을 제공한다. 코드 재사용(Code reuse)과 모듈러리제이션(Modularization)을 사용해 취약 코드(Exploit code)를 만들고 실행시키는 과정을 간소화한 것이 특징이다.

로이드는 "15년 전만 하더라도, 버퍼 오버플로(Buffer overflow) 공격을 원하면, 타깃 시스템을 대상으로 버퍼 오버플로를 장치 코드로 코딩하는 방법을 알아야 했다. 그런데 이제는 그럴 필요가 없다"라고 설명했다. 최근 취약성 공격 도구들은 정교한 해킹을 아이들의 장난 수준으로 만들고 있기 때문이다.

로이드는 초보자들에게 1시간 30분 정도만 프레임워크를 가르쳐도 공격을 할 수 있다고 언급했다. 그녀는 "문제없이 네트워크를 침투해 목표를 점령할 수 있다. 아주 간단하다"고 설명했다.

게다가 국가나 범죄 단체들은 최고로 정교한 취약성 공격 도구룰 쉽게 구입할 수 있다. 가장 비싼 프레임워크는 2만 달러 정도인 것으로 알려져 있다.

데이터 침해 위험을 낮추는 열쇠는 '교육'
이런 공격으로부터 기업을 방어하는'특효약'은 없다. 그러나 위험을 줄일 수 있는 방법들이 있다.

무엇보다 교육이 핵심이다. 직원들이 이런 위험과 공격이 어떤 형태를 갖는지 이해할 필요가 있다. 전화를 걸어 직원들에게 중요한 정보를 빼내는 이른바 소셜 엔지니어링 공격에서 미상의 이메일에 딸려오는 링크까지 속속들이 알아야 한다.

둘째, 보안 전문가들과 시스템 관리자들이 시간을 투자해야 한다.

로이드는 "보안 전문가들뿐만 아니라 시스템 관리자들이 충분한 시간을 투자해 공격 징후를 살피도록 만전을 기해야 한다. 즉, 공격 징후를 제대로 살필 수 있도록 충분한 시간을 줘야 한다"고 설명했다. 새 장비를 구입하는 것만이 전부가 아니다. 이런 문제에 대답이 되지 못한다. 방화벽이나 침입 예방 시스템 또한 마찬가지다. 시스템을 적절히 설정해 네트워크의 신호를 살피는 것은 사람과 관련된 문제이다. 직원들을 교육시키는 것이 중요하다. 사람을 이용한 공격이 가장 쉽기 때문이다.

물론 로그를 파악해 의심스러운 활동이 있으면 경보를 보내는 소프트웨어는 반드시 갖춰야 한다. 로이드는 무료로 쓸 수 있는 오픈소스 솔루션들도 있다고 언급했다. 많은 경우, 서버와 네트워크 장비의 로그 기록 기능을 꺼놓거나, 살펴보지 않고 있다가 덮어쓰기만 하는 때가 많다.

로이드는 "심지어는 방화벽의 로그도 살피지 않는 경우도 있다. 인력을 배치해 로그와 보안 사고를 조사하고, 이를 평가할 필요가 있다"라고 강조했다. ciokr@idg.co.kr



2012.04.27

진짜 위험한 해커들의 목표 '돈이 아닌 돈 버는 법'

Thor Olavsrud | CIO
글로벌 페이먼트(Global Payments)의 데이터 침해 사고로 15만 개의 신용카드 번호가 누출된 지 3주가 조금 넘었다. 이런 대형 해킹 사고가 많은 언론의 관심을 독점하고 있지만, 실상 세계에서 가장 위험한 해커들은 '돈'을 노리지 않는다. '돈을 버는 방법'을 훔치기 원한다.

컨설팅 회사인 내비간트(Nabigant)의 사라 로이드 디렉터는 "해커들은 지적 재산권(IPR)을 훔치려고 한다"고 전했다. 내비간트는 행킹 모의 시험, IT 포렌식(IT forensic), 기술 보안 아키텍처, 정보전 등의 분야에 경험을 축적한 회사다. 사라 로이드는 "IPR에 해당하는 것들을 훔치려는 시도야말로 진짜 위협이다. 이들은 기업이 돈을 버는 방법을 훔치기 원한다"라고 말했다.

그녀는 "단순한 '돈'을 훔치려고 하지 않는다. 예를 들어, 신약 제조법을 훔치기 원한다. 상업적으로 이용이 가능한 것들이다. 범죄 단체는 개인의 신용카드 정보를 훔치는데 관심을 갖는다. 하지만 국가는 경제 발전에 도움이 되는 무언가를 훔치는데 관심을 갖는다"라고 설명했다.

중국과 북한 지역이 발원지인 공격
글로벌 페이먼트의 해킹같은 데이터 침해 사고는 많은 비용을 초래할 뿐이다. 그러나 지적 재산을 대상으로 한 데이터 침해 사고는 회사를 무너뜨릴 수도 있다. 많은 사람들이 중국과 북한 같은 국가들이 이런 데이터 침해 공격을 후원한다고 믿고 있다.

그러나 사라 로이드에 따르면, 이런 공격이 중국과 북한의 인터넷 에서 비롯됐다고 전문가들이 확신하고 있기는 하지만, 이곳이 발원지라는 사실을 입증하기는 어렵다. 또 복잡한 국제 정치의 역학 관계 때문에, 서구의 정부들은 이런 공격을 멈출 수도 없고, 그럴 의지도 없다고 그녀는 전했다.

로이드는 "중국과 북한을 발원지로 한 공격이 시작된 지는 10년 또는 15년이 됐다. 그러나 서구 정부의 대응은 완벽하게 실패로 돌아갔다. 아주 친절한 방법으로 대응했을 뿐이다. 따라서 거침없는 공격이 많았다. 전자 세계에 접어든지 이미 오래다. 그러나 법은 이런 현실에서 30년이 뒤쳐져 있다. 정부가 대응을 하기가 아주 어려운 까닭이다"라고 말했다.

이 문제와 관련해 종종 거론되고, 비판의 대상이 되어 왔던 중국 회사 중 하나가 네트워킹 업계의 거인인 화웨이 테크놀러지스(Huawei Technologies)이다.  중국 공산당원인 렌 쳉페이가 지난 1988년 설립한 회사다.

시스코 시스템은 지난 2003년, 라우터와 스위치의 소스 코드를 훔쳤다고 화웨이 테크놀러지스를 고소했다. 그러나 2004년 소송을 취하했다. 어찌됐든, 일부 전문가들은 시스코의 기술이 화웨이가 네트워킹 시장에서 지배적인 기업으로 부상하는데 중요한 역할을 했을 수도 있다고 의심하고 있다.

이 회사는 미국과 영국, 인도, 호주 등 많은 국가의 보안 회사들과 싸움을 벌여왔다. 지난 2008년, 화웨이는 미국의 네트워킹 장비 제조업체인 쓰리콤(3Com) 인수를 시도하다 철회하기도 했다. 미국 규제 당국이 정부가 쓰리콤의 보안 소프트웨어를 광범위하게 사용하고 있어 국가 안보에 위협이 된다는 이유로 거래를 막겠다는 의사를 분명히 표현했기 때문이다.

화웨이는 이어 2010년에도 미국의 쓰리리프 시스템(3 Leaf Systems) 자산 인수 계획을 철회했다. 미국 해외투자 위원회(U.S. Committee on Foreign Investment)의 부정적인 평가가 나온 직후였다. 영국의 보안 전문가들은 화웨이가 지난 2005년 BT와 핵심 통신망을 대체하기로 맺은 계약을 영국 정부가 2009년 승인한 것에 대해 비난하고 있다. 화웨이는 또 인도의 휴대폰 네트워크와 오스트레일리아의 브로드밴드 네트워크에 장비를 공급하는 것도 차단당했다.

화웨이가 이런 공포를 누그러뜨리려고 시도하기도 했다. 화웨이는 쓰리리프 입찰에 실패한 직후인 지난 2011년, 미국 정부에 공개 서한 한 통을 보냈다. 이 서한에는 정상적인 경영 활동을 하는 기업이라는 사실을 증명할 테니 직접 조사를 하라는 내용이 담겨 있었다.

화웨이의 켄 후 본사 부회장 겸 미국 지사 회장은 "불행히도 지난 10년간 미국에서 조사를 받으면서, 화웨이에 대한 많은 오해가 있음을 깨달았다. 중국 군부와 가까운 관계, 지적 재산권에 대한 분쟁, 중국 정부의 재정 지원, 미국 국가 안보에 위협이 된다는 입증되지 않은 오해들이다. 이런 허위 사실들이 화웨이의 기업 활동에 중대하면서도 부정적인 영향을 미치고 있기 때문에, 이를 바로잡을 필요가 있다"고 강조했다. 그는 또 화웨이가 지적 재산권 라이선싱 수수료로 서구 회사들에 지급한 금액이 2010년에만 2억 2,200만 달러에 달한다고 덧붙였다.

판도를 바꾼 취약성 공격 도구(Exploit Frameworks)
지난 10~15년간 국가의 후원을 받은 공격이 늘어난 것으로 분석되고 있다. 같은 기간, 모의 해킹(Penetration testing) 및 해킹 툴의 특징도 크게 바뀌었다.

취약성 공격 도구(Exploit Frameworks) 또한 증가했다. 기본 무료 버전과 보다 정교한 상업 버전이 나와 있는 취약성 공격 도구 들은 적대적인 공격자와 해킹 테스터가 타깃을 대상으로 취약 코드를 만들어 실행시킬 수 있는 일관된 환경을 제공한다. 코드 재사용(Code reuse)과 모듈러리제이션(Modularization)을 사용해 취약 코드(Exploit code)를 만들고 실행시키는 과정을 간소화한 것이 특징이다.

로이드는 "15년 전만 하더라도, 버퍼 오버플로(Buffer overflow) 공격을 원하면, 타깃 시스템을 대상으로 버퍼 오버플로를 장치 코드로 코딩하는 방법을 알아야 했다. 그런데 이제는 그럴 필요가 없다"라고 설명했다. 최근 취약성 공격 도구들은 정교한 해킹을 아이들의 장난 수준으로 만들고 있기 때문이다.

로이드는 초보자들에게 1시간 30분 정도만 프레임워크를 가르쳐도 공격을 할 수 있다고 언급했다. 그녀는 "문제없이 네트워크를 침투해 목표를 점령할 수 있다. 아주 간단하다"고 설명했다.

게다가 국가나 범죄 단체들은 최고로 정교한 취약성 공격 도구룰 쉽게 구입할 수 있다. 가장 비싼 프레임워크는 2만 달러 정도인 것으로 알려져 있다.

데이터 침해 위험을 낮추는 열쇠는 '교육'
이런 공격으로부터 기업을 방어하는'특효약'은 없다. 그러나 위험을 줄일 수 있는 방법들이 있다.

무엇보다 교육이 핵심이다. 직원들이 이런 위험과 공격이 어떤 형태를 갖는지 이해할 필요가 있다. 전화를 걸어 직원들에게 중요한 정보를 빼내는 이른바 소셜 엔지니어링 공격에서 미상의 이메일에 딸려오는 링크까지 속속들이 알아야 한다.

둘째, 보안 전문가들과 시스템 관리자들이 시간을 투자해야 한다.

로이드는 "보안 전문가들뿐만 아니라 시스템 관리자들이 충분한 시간을 투자해 공격 징후를 살피도록 만전을 기해야 한다. 즉, 공격 징후를 제대로 살필 수 있도록 충분한 시간을 줘야 한다"고 설명했다. 새 장비를 구입하는 것만이 전부가 아니다. 이런 문제에 대답이 되지 못한다. 방화벽이나 침입 예방 시스템 또한 마찬가지다. 시스템을 적절히 설정해 네트워크의 신호를 살피는 것은 사람과 관련된 문제이다. 직원들을 교육시키는 것이 중요하다. 사람을 이용한 공격이 가장 쉽기 때문이다.

물론 로그를 파악해 의심스러운 활동이 있으면 경보를 보내는 소프트웨어는 반드시 갖춰야 한다. 로이드는 무료로 쓸 수 있는 오픈소스 솔루션들도 있다고 언급했다. 많은 경우, 서버와 네트워크 장비의 로그 기록 기능을 꺼놓거나, 살펴보지 않고 있다가 덮어쓰기만 하는 때가 많다.

로이드는 "심지어는 방화벽의 로그도 살피지 않는 경우도 있다. 인력을 배치해 로그와 보안 사고를 조사하고, 이를 평가할 필요가 있다"라고 강조했다. ciokr@idg.co.kr

X