[칼럼]최근 해킹사건에 대한 '마이너리티 리포트'

전상훈

일반적으로 '마이너리티 리포트'라고 하면 톰크루즈 주연의 영화를 떠올리게 마련이다. 범죄가 일어나기 전 범죄를 예측해 범죄자를 단죄하는 최첨단 치안 시스템이 언급된 영화로 알고 있다. 진실로 통용되는 치안시스템의 예지와 무시되는 소수의 진실 간 충돌로 훼손되는 한 개인의 가치를 조명하고 회복하는 과정을 나타내고 있는 영화다. 지금 마이너리티 리포트에 대한 이야기를 꺼내는 것은, 최근 금융권 해팅 사태처럼, 무한한 신뢰가 부여된 시스템이 깨어질 때의 충격을 다루기에 적합한 시점이기 때문이다.

과연 진실은 어디에 있고 무엇을 말하고자 하는 것인지, 또 지금과 같은 위기의 인터넷 상황에서 소수의 의견은 무엇인지 알아 보도록 하자.

마이너리티 리포트를 언급한 것은, 직면한 IT 서비스의 위험 상황에 대해 문제의 근원과 보다 전문적인 이야기들이 부족해 소수의견이 때론 진실에 가까울수 있다는 점을 빌리고 싶어서다.

보안전문가의 관점에서 바라보는 지금의 보안 이슈들은 분명히 가십거리와는 다른 관점에서 바라볼 것을 이야기 한다. 해킹사고가 빈발하고 있는 상황에서 언론에 기사화 된 많은 내용들은 실제 인과관계와 상당히 다른 관점의 이야기들을 많이 하고 있다.

정확한 의견과 그 의견에 기반한 문제점을 해결하는 과정을 통해 만들어야 될 많은 가치들이 있음에도 그릇된 길과 방향으로 목표를 설정하게 되면 한참 틀어지게 마련이다. 지금의 시점이 틀어지기 직전의 시점이라고 보인다.

■사설IP(Private area)는 안전한가?

일반적으로 기업 내부에 구축하는 인터넷 환경을 인트라넷이라 부른다. 외부에서는 접근할 수 없는 영역이고 안전하다고 알려져 있다. 접근이 되지 않는데 어떻게 침입을 받을 수 있겠는가?

전문가나 실무자가 아니라면 인트라넷의 데이터 유출 시 '내부자 공모'로 의심하게 마련이다. 아니면 정보가 외부로 공개돼 있지 않았을까 하는 의심을 할 수도 있다.

그러나 실상은 내부 정보들도 외부와 연결되는 지점이 반드시 존재하고 연동이 돼야만 가치를 지니는 정보들이 대부분이다. 이 연결 지점은 웹서비스에서 맡고 있으며 중요 데이터들은 내부의 데이터베이스(DB) 서버에 보관 되곤 한다.

외부에도 공개되어 있으며 내부의 인트라넷 영역에도 접근이 가능한 지점에 위치하는 웹 서비스 및 대외 서비스들이 위치한 영역을 DMZ 영역이라 부른다. 이 영역에 있는 대부분의 서비스들은 2가지 IP 주소를 가지게 된다. 외부에서 연결이 가능한 외부 IP 주소와 내부로 연결을 하기 위한 IP 주소다. 외부 IP라는 것은 인터넷으로 연결이 가능하고 단일하고 유일한 주소를 인터넷 상에서 가지게 됨을 의미한다. 내부 IP는 인위적으로 내부 통신 연결을 위해 사용하는 것으로 회사로 따지면 회사 내 주소 체계에서만 유일성이 보장되면 된다.

이렇듯 내부 정보들은 사실상 외부와 연결된 통로를 항상 지니게 되고 더 이상 은밀하다고 볼 수 없다. 현대캐피탈과 소니 해킹의 사례가 이를 증명한다. 설마 고객정보와 신용카드 정보를 외부 인터넷에 올려두고 공유했겠는가? 외부에서 직접 접근이 가능한 내부 IP는 없으며 인터넷 상의 직접적인 공격으로부터 보호된다 할 수 있다. 공격자들은 내부 정보를 빼내어 가기 위해 내부의 정보와 연결된 지점을 공격하여 내부로 들어가는 통로를 확보한다.

정확하게는 웹서비스를 직접 공격해(외부 IP 및 내부 사설 IP를 동시에 가지는 웹서비스) 권한을 획득하고 웹서비스의 상태를 이용해 내부망으로 직접 공격이 가능해 진다. 내부에 존재하는 DB의 정보를 빼내어 가는 것은 웹 서비스상에 내부 영역의 DB와 통신을 하고 데이터를 빼내어 웹서비스를 통해 사용자에게 제공하는 부분이 있기 때문에 가능한 것이다.

결론적으로 웹서비스를 공격하게 되면 웹서비스와 연결된 DB는 그것이 어디에 있든 직접적인 피해를 입게 되고 거점으로 삼게 되면 더 은밀한 정보들이 저장된 곳에도 접근 할 수 있는 거점이 된다는 것이다. 웹서비스에 대한 해킹과 악성코드 유포지로 사용되는 웹 서비스들은 이미 DB에 대한 제어권을 상실 했다는 의미와도 동일한 것이다.

■방화벽은 데이터를 보호하는가?

관련 업계에서는 항상 내부의 데이터를 보호한다는 것을 강조하기 위해 몇 단계의 방화벽으로 데이터가 보호되고 있다는 표현을 많이 쓴다. 여기에서 방화벽 단계의 수치가 높을 수록 보호되는 강도가 높다고 인식하는 경향이 있는데 전부 오해다. 방화벽의 역할상 접근제어 이외에는 별다른 기대를 할 수 없다.

접근제어라는 것은 접근이 가능한 서비스나 특정 IP에서만 접근이 가능하도록 통제하는 역할을 수행하는데, 앞서 언급 했던 웹서비스의 역할은 DB와 연결해 정보를 대외에 표시하는 역할이다. 방화벽에서도 웹서비스와 DB의 연결은 차단 할 수가 없다. DB와 웹서비스를 연결하는 지점을 방화벽에서 막을 경우 정상 서비스는 될 수가 없는 것이다. 정상서비스를 한다는 의미는 웹서비스에 대한 공격과 권한 획득을 통해 DB에 대한 접근까지도 손쉽게 이루어 진다는 것이다.

DB 암호화에 대해서 언급하자면, 저장되는 값들을 암호화 한다는 것은 공격자를 한번쯤 더 귀찮게 하는 것일뿐 그것은 절대 장애물이 될 수 없다. 웹서비스의 권한을 획득한다는 것은 모든 권한을 다 가지고 있는 것과 마찬가지이다. DB에 암호화된 값들이 들어 있다해도 이 모든 값들을 비교하고 정상값 유무를 확인 하는 것은 모두 웹서비스의 코드에서 담당한다. 공격자는 이미 웹서비스의 모든 권한을 가지고 있다. 과연 이게 장애물이고 보호 대책이 될 수 있을까? 황당한 이야기일 뿐이다.

내부IP를 가지는 것도 또한 암호화도 DB 앞의 방화벽도 보호의 의미가 완전하지 않음을 앞서 설명했다. DB의 기능제한을 위한 모든 것들도 조회( Select 구문) 구문을 막을 수는 없다. 단지 삭제와 테이블 변경 정도의 치명적인 문제들에 대해 일부 제한을 할 수 있을뿐이다.

내부에 있는 정보를 지키기 위해서는 외부에 노출된 모든 서비스를 안전하게 유지해야 하나, 항상 일정수준 이상을 유지하는 것은 서비스 종류가 많을 수록 어려워 진다. 예산이 많고 가용한 전문인력이 많아도 한계에 부딪힐 수 밖에 없다.

이처럼 기존의 보안기술의 관점에서는 항상 한계를 가질 수 밖에 없을 것이다. 문제 해결을 위해서는 전체의 안정성을 일정수준 이상 올려야 하며, 그 대상은 모든 대외 노출 서비스가 돼야만 한다. 날로 발전하는 공격기술의 수준을 따라가면 모든 서비스의 수준을 높이고 꾸준한 관리가 된다는 것은 병적인 집착과 집요함이 없이는 어렵다. 한 분야만을 깊게 공격하는 공격자들로 부터 모든 범위를 지키기 위해서는 지금과는 다른 관점의 논의가 필요하고 서비스의 패러다임이 필요한 때라 할 수 있다.

■무엇을 해야 하는가?

필자는 지난 2007년 11월경 'IT 서비스의 현재 위험과 향후 대응에 대하여'라는 종합 문서를 작성한 적이 있다.(http://p4ssion.com/199 ) 이미 4년전에 제시한 내용이나 현재까지도 제대로 이루어진 케이스는 없다. 국가전체, 산업 전체적인 대응방향을 제시 하였으나 이 부분을 내부로 한정해 특정 조직 및 기업에 적용하는 것도 문제가 없을 것이다. 당시에도 앞으로 문제는 심각해 질 것이라고 예상을 했었고 준비가 필요하다고 했었지만 과연 지금껏 무엇을 했는지? 또한 진지한 고민이라도 한번 있었는지 의문스럽다.

이에 대한 당장의 대책 부분도 단기간에 보안장비를 도입하고 인력을 뽑고 팀을 운영하고 외부에 컨설팅을 맡기는 것이 대부분이 되겠지만 실질적인 문제의 근본과 문제지점을 모르는 상태에서는 문제는 계속 될 뿐이다.