칼럼 | 이상한 보안 위협의 등장, 그리고 더 이상한 해결책

보안의 세계에 매우 ‘이상한’ 일이 벌어지고 있다. 그 해결책은 이 이상한 위협보다 더 이상한 것일지 모른다.



일부 대형 IT 업체가 사용자 몰래 모바일 운영체제에 보안 취약점을 넣으려다 적발됐다. 구글은 안드로이드 폰에서 GPS 시스템이나 심지어 SIM 카드 없이도 위치 데이터를 전송하도록 한 사실이 드러났다. 구글은 데이터를 저장하거나 사용한 적이 없다고 주장하고 있으며 현재는 데이터 전송을 중단한 상태다.

모바일 앱을 통한 개인 추적은 매우 실질적인 문제다. 특히 BYOD(Bring Your Own Device) 정책을 지원하는 기업이 많다는 점을 고려하면 더 그렇다. 그러나 많은 사람이 이 문제의 심각성을 잘 알지 못하는 것이 현실이다.

미국 예일대(Yale University) 법대 개인정보보호 연구소와 프랑스 비영리 기관 엑소더스 프라이버시(Exodus Privacy)의 자료를 보면, 무작위로 검토한 300개 이상의 안드로이드 앱 중 추적 기능을 포함한 것이 75%가 넘었다. 대부분 광고나 사용자의 행동 분석 또는 위치를 추적하는 것이었다.

위치를 추적하는 데 널리 쓰이는 GPS 정보에 접근하려면 사용자의 사전 동의가 필요하다. 그러나 프린스턴대(Princeton University) 연구진에 따르면 사용자 동의 없이도 이 정보를 수집할 수 있다. 연구팀은 직접 '핀미(PinMe)'라는 앱을 만들어, GPS 정보 없이도 스마트폰의 정보를 수집할 수 있다는 것을 증명했다. 폰의 GPS를 끄면 안전할 것으로 생각을 산산이 부수었다.

보안 관련 기존 생각을 바꿔야 하는 것은 비단 GPS만이 아니다. 2단계 인증에 대해서도 새로운 접근법이 필요하다. 자벨린 전략 연구소(Javelin Strategy & Research)가 11월에 발표한 보고서를 보면, 현재 다단계 인증 응용프로그램이 ‘약해지고’ 있으며, 기업도 충분히 이를 활용하지 않는다. '데이터 및 시스템에 대한 안전한 접근을 위해 2단계 이상을' 사용하는 기업 비율이 고작 1/3에 불과했다.

보안이 강력하기로 명성이 높은 애플 기기는 어떨까? 결론적으로는 ‘높았다’라는 표현이 더 정확하다. 최근 애플은 중대한 보안 결함에 대해 사과하고 패치했다. 맥OS 하이 시에라(High Sierra)를 설치한 애플 컴퓨터에 물리적으로 접근할 수 있는 사람이라면 누구나 암호 없이도 (단순히“root”를 사용자명으로 사용하는 것만으로) 컴퓨터를 구석구석 들여다볼 수 있는 것으로 드러났다.

애플은 이 결함을 수정했다. 그러나 이런 종류의 결함이 존재했다는 사실 자체가 낯설고 이상하다. 애플은 적어도 보안에 관한 한 문제가 없다는 우리의 믿음이 깨졌다.

애플이 새로 내놓은 페이스 ID(Face ID) 인증도 완벽하지 않은 것으로 밝혀졌다. 일부 보안 전문가는 페이스 ID 인증 사용을 거부하고 있다. 페이스 ID는 비슷하게 생긴 사람이 이용하거나 그럴듯한 마스크를 만들어 쓰는 등 다양한 방식으로 속일 수 있기 때문이다. 사이버 범죄자는 마스크를 만들어서 쓸 것이 분명하다.

이밖에도 어떤 인증 시스템은 우리가 처한 보안 위험보다 오히려 더 위험해 보인다. 보도에 따르면, 페이스북(Facebook)은 사용자가 로그인하는 시점에서 셀카를 찍도록 하는 인증 시스템을 테스트하고 있다고 한다. 많은 스마트폰 사진에는 시간과 위치 정보가 포함돼 있는데 이 정보가 어떻게 유통될 지 아찔한 생각이 든다. 이처럼 지난 1~2개월 사이에 보안에 관한 기존 생각이 하나둘씩 뒤집히고 있다. 한 때 안전하다고 믿었던 것이 불안한 것이 됐다.

더 우려되는 것은 이런 문제가 개선되기보다는 악화할 가능성이 더 크다는 점이다. 최근 보안 업체 맥아피(McAfee)가 밝힌 바에 따르면, 2018년은 새로운 강도의 공격이 있을 것으로 보인다. 머신러닝을 활용해 새로운 공격을 만들고 인공지능(AI)까지 결합해 이를 방어하는 보안 모델을 방해하려는 움직임이 본격화될 것이기 때문이다.

우리의 보안 시스템은 고장이 났는데 그 빈팀을 노리는 “상대”는 엄청나게 정교해지고 있다. 이제 우리에게 필요한 것은 더 개선되고 더 극단적인 보안 대책이다. 동시에 일반 사용자가 실생활에 일상적으로 사용 가능한 것이어야 한다. 그리고 여기 약간의 희망을 이야기할 수 있는 기반 기술이 하나둘씩 등장하고 있다.


위협이 이상해지면 해결책은 더 이상해진다
최근 구글 연구자 2명은 누군가 다른 사람이 자신의 스마트폰 화면을 보고 있는 것을 즉각 탐지하는 머신러닝 기술을 개발했다. “어깨 너머로” 누군가 폰 화면을 몰래 훔쳐보지 못하도록 안면 인식(카메라에 비친 사람)과 시선 탐지(그 사람이 보고 있는 대상) 기술을 결합했다. 탐지는 거의 순식간에 이루어진다. 그리고 어깨 너머로 훔쳐보는 누군가를 감지하면 곧바로 화면이 어두워진다.

이 안면 인식 기술은 HBO의 드라마 <실리콘 밸리(Silicon Valley)>에 나온 '핫도그 아님(Not Hotdog)' 앱과 비슷하다. 모든 사람을 다 식별하는 것이 아니라 단지 각 사람이 인증 사용자인지만 판단하는 것이다. 인증 사용자가 아니면 접근이 거부된다.

이는 확실히 스마트폰에 현재 사용되고 있는 안면 인식보다 진화한 개념이다. 현재의 안면 인식 기능은 인증된 얼굴로만 기기 잠금을 해제할 수 있지만, 일단 잠금이 해제되면 아무나 화면을 볼 수 있다. 반면 이 신기술의 핵심 개념은 지속적인 실시간 인증이다. 인증을 한번 한 후에는 누구나 기기를 보거나 사용할 수 있는 기존 방식과 다르다.

특허 문서에 따르면, 구글은 “사용자 탐지 노트북 덮개”도 개발하고 있다. 이 노트북 덮개는 인증 사용자에게는 자동으로 열리고 사용자가 고개를 돌리면 사용자에게 직접 향하도록 위치가 조절된다.

이러한 기능이 가능한 것은 덮개 바깥쪽과 안쪽에 각각 한 대씩 있는 2대의 안면 탐지 및 인식 카메라 덕분이다. 인증 사용자가 픽셀북(Pixelbook)(이 노트북에 구현될 될 가능성이 높다)에 가까이 다가가면 덮개가 실제로 잠금이 풀리고 열린다. 인증 사용자가 자리를 뜨고 일정 시간이 지나면 자동으로 닫히고 실제로 잠긴다.

이 특허는 다른 인증 방식, 즉, NFC, 블루투스(Bluetooth) 페어링, 음성 ID, 홍채 인식 또는 손동작 인식 또는 이를 결합해 사용할 수 있다. 보안 관점에서 보면 인증과 물리적인 잠금을 결합한 것인데, 결과적으로 인증 사용자에게 편리한 자동 잠금 해제 기능을 제공한다.

완성 단계인 인증 형태도 있다. 예를 들어 음성 ID 개념은 훌륭하다. 간단하기 때문이다. 어차피 폰에 대고 이야기를 하게 될 것이므로 음성을 이용한 인증은 자연스럽다. 단점은 속이기 쉽다는 것이다.

그래서 플로리다 주립대학교(State University of Florida) 연구진은 음성 ID 검증 기술을 개발했다. 음성 패턴을 기준으로 한 사용자 검증 기술과 함께 사용된다. 고품질 음성 녹음으로 가능한 속임수를 방지하기 위해 연구진은 보이스제스처(VoiceGesture)를 개발했다. 스마트폰을 이용해 사용자의 얼굴에서 반사된 초음파를 전송하는 기술이다. 인증 음성이 실제 사람이 실시간으로 말하는 것이며 녹음된 것이 아니라는 것을 확인해 준다.

이 모든 기술은 인공지능을 사용한다. 인공지능은 향후 사이버보안 개선의 핵심이 될 것이다. IT 업계에서 유명한 격언 중에 "무언가를 쓰기 쉽게 만들수록 사용자는 더 바보가 된다"는 말이 있다. 즉, 보안 계통에서 가장 취약한 부분이 사용자인 경우가 많다는 뜻이다. 따라서 사용자의 의사 결정을 돕기 위해 인공지능이 활용될 것이다.

예를 들면 노우비포(KnowBe4)라는 기업은 사용자에게 보안 결정에 관한 조언을 해 주는(“데이브 님, 그 첨부파일은 다운로드하지 않는 것이 좋습니다”) 인공지능 가상 비서를 개발 중이다.

명심해야 할 것은 어제의 사이버공격이 향후 예상 못한 이상한 새로운 공격으로 대체될 것이라는 점이다. 그 중에서도 특히 인공지능을 활용한 공격이 늘어날 것이다. 또한 최고의(또는 유일한) 방어책도 인공지능을 기반으로 한 ‘이상한' 해결책이 될 것이다. 보안 분야에서 지금까지 본 것과는 판이한 인공지능 군비 경쟁이 시작됐다. ciokr@idg.co.kr