“열 사람이 한 도둑을 못 막는다”는 말이 있다. 굴지의 방송사들 컴퓨터가 한꺼번에 다운돼서 부팅조차 안 되는 상황은 정보통신기술(ICT) 강국의 초라한 실상을 드러냈다. 상당수 언론이 벌써부터 북한의 소행일 가능성이 있다는 추측성 기사를 내보내고 있지만 누구의 소행이든 관리 부실의 책임을 피할 수 있는 건 아니다.
20일 대규모 보안 공격을 당했던 KBS와 MBC, YTN의 경우 회사 메인 서버에서 직원들 컴퓨터의 백신 프로그램의 엔진을 업데이트해주는데 백신이 아니라 악성코드를 뿌린 것으로 확인됐다. 안랩(안철수연구소)은 21일 기자회견에서 “업데이트 서버가 공격 당했다는 언론 보도는 사실과 다르다”면서 “해커가 관리자 계정을 탈취해 백신의 구성 파일을 악성코드로 변경했다”고 설명했다.
홍민표 에스이웍스 대표는 “중앙 보안관제 시스템의 구멍이 드러났다”고 평가했다. 관리자 계정이 뚫릴 위험에 충분히 대비하지 못했거나 관리가 부실했을 가능성도 있다. 김인성 한양대 컴퓨터공학과 교수는 “근본적으로 획일화된 인터넷 환경이 문제지만 백신 제조회사들도 책임이 없다고 할 수 없다”고 지적했다.
홍 대표는 세계 3대 해커로 꼽히는 보안 전문가고 김 교수는 디지털 포렌식의 권위자다. 다음은 김 교수와 홍 대표 일문일답.
– 보안 업데이트 서버의 관리자 계정이 뚫렸다고 하는데, 누구 책임일까.
김인성 : “네이트 해킹 사건과 비슷한 방식인데 KBS와 MBC 등 직원의 컴퓨터가 악성코드에 감염돼서 좀비 PC가 되고 이 PC를 이용해 사내 업데이트 서버에 접근했을 가능성이 크다.”
홍민표 : “회사 직원이 100명이라고 하자, 그 100명 컴퓨터를 모두 찾아다니면서 백신을 설치해 줄 수 없기 때문에 이런 시스템을 쓰는 건데 메인 서버에서 최신 백신 엔진을 받아서 그걸 직원들 컴퓨터에 쏘아주는 방식이다. 그런데 백신인줄 알고 뿌렸는데 그게 악성코드였던 거다. 보안 시스템이 보안을 위협하는 역설적인 상황이다. 관리자 계정이 공격 받을 수 있다는 상황을 충분히 예견하지 못했던 것 같다. 키보드 후킹을 당했을 수도 있고 자신도 모르는 사이에 계정 정보가 빠져나갔을 수도 있다.”
– 관리자 책임도 있다는 건가. 안랩이나 하우리 같은 백신 제조회사 책임은 없나.
홍민표 : “회사 내부 서버가 뚫린 거라 일단 안랩이나 하우리의 책임 보다는 관리자 책임이 크다고 할 수 있다. 최악의 경우 관리자가 작정하고 악성코드를 뿌릴 수도 있는 것 아닌가. 그런 상황에 대비가 돼 있어야 한다. 관리자가 공격자로 돌변할 상황에도 대비해야 하고 관리자 아이디와 패스워드가 유출돼서 관리자 권한이 넘어갈 경우에도 시스템 자체를 건드리지 않도록 안전장치가 필요하다. 설령 관리자가 작정하고 시스템을 망가뜨리려고 할 때도 그런 걸 막을 수 있어야 한다는 이야기다. 핵 잠수함의 발사 장치에 열쇠가 두 개 필요하다고 하지 않은가.”
– 상식적으로 이해가 안 된다. 백신인지 아닌지도 모르고 업데이트를 하다니, 이런 걸 막는 안전장치가 없단 말 아닌가.
김인성 : “제로데이 공격이라는 게 있다. 바이러스가 발견돼서 보고되고 보안 패치가 나오기까지 상당한 시간이 걸릴 텐데 그 동안에는 속수무책으로 당할 수밖에 없다. 확산 속도가 중요한데 이번 사태의 경우 보안 서버를 통해 순식간에 모든 직원들 컴퓨터로 악성코드가 뿌려졌다.”
홍민표 : “이런 사태를 막기 위해 이중화 인증이 필요하다. 이 엔진이 진짜 엔진인지 아닌지 최소한 안랩이나 하우리에 확인을 했어야 한다는 이야기다. KBS나 MBC에는 이런 시스템이 없었던 것으로 보인다.”
– 만약 개인 컴퓨터에 안랩이나 하우리 말고 다른 백신을 깔아뒀다면 피해를 막을 수 있었을까.
홍민표 : “어제 같은 경우는 V3를 지웠거나 회사에서 깔아주는 백신 말고 다른 걸 썼더라면 악성코드에 감염되지 않았을 수도 있다. 그렇지만 회사 정책에 위반되니까. 그리고 백신을 두 개 이상 못 깔게 하니까.”
김인성 : “국내 백신이 문제가 외국 백신과 같이 깔면 백신을 악성코드로 인식한다는 거다. 그래서 백신을 두 개 이상 설치하면 안 되는 것처럼 알고 있는데. 그래서 이런 경우도 백신 업데이트를 할 때마다 보안 위험이 있다는 메시지가 뜬다. 어제 같은 경우 보안 경고가 떠도 그냥 업데이트를 했을 가능성이 크다.”
– 깔라면 까는 중앙 보안관제 시스템의 구멍이라고 할 수 있겠다.
김인성 : “맞다. 중앙에서 뚫릴 수 있다는 가능성을 염두해 둬야 한다.”
홍민표 : “이번에도 기술력 자체는 놀라운 게 아니다. 다만 중앙 보안관제 시스템의 구멍을 간파하고 백신 엔진 업데이트를 통해 악성코드를 유포하는 기법 자체는 놀랍다. 아무리 겹겹이 보안을 쳐도 관리자만 뚫리면 다 뚫리는 거다.”
– 이번 사태를 계기로 중앙집중형 보안관제 시스템을 손봐야할 것 같다.
김인성 : “이번에도 맥이나 리눅스를 쓰는 PC는 감염이 안 된 것으로 알고 있다. 90% 이상의 국민들이 마이크로소프트 윈도우즈를 쓰는 나라는 우리나라밖에 없다. 그냥 편리하니까 다들 똑같은 운영체제를 쓰고 똑같은 백신을 깔아서 쓴다. 그런 시스템이 얼마나 취약한지 이번에 교훈을 얻어야 한다. 근본적으로 마이크로소프트 독점을 깨고 다양한 플랫폼이 경쟁하는 시스템으로 가야 이번 사태처럼 시스템 전체가 무너지는 사태를 막을 수 있다. 공인인증서를 폐기하는 게 우선이고 국가 주도의 인터넷 거버넌스를 깰 필요가 있다.”
– 북한의 소행이라는 이야기가 나오는데.
홍민표 : “북한이다, 아니다, 아직은 단정할 만한 근거가 부족하다. 다만 의심을 해볼 수는 있을 텐데. 만약 정보 유출이 목표였다면 시스템을 망가뜨리지 않고 오랫동안 정보를 빼내갔을 텐데 뭔가 과시적인 목적으로 해킹을 한 것 같다.”
– 과거 해킹 사건 때는 북한 체신청 IP가 나왔다고 북한의 소행으로 추정된다는 이야기가 있었다. 북한에는 IP가 없고 중국에서 IP를 할당받는다고 하던데.
홍민표 : “체신청 IP에 대해 알려진 바가 없다. 체신청으로 추정되는 IP가 발견됐다고 해서 북한의 소행이라고 단정 짓기는 어렵다.”
김인성 : “지금 단계에서 북한의 소행 운운하는 건 관리 책임자들이 자신들 책임을 회피하려고 하는 수작이다. 위험을 과장하거나 공포 분위기를 조성할 필요는 없다. 자신들이 무능하다는 이야기를 하고 싶지 않아서 뭔가 엄청난 일이 터진 것처럼 이야기하는데 본질은 간단하다. 관리자 계정이 뚫렸는지 백신 프로그램의 자체의 보안 결함인지 공신력 있는 외부 업체에서 조사해 봐야 한다. 북한의 공격이라 어쩔 수 없다? 그런 무책임한 말이 어디 있나. 적은 내부에 있다. 완벽한 보안은 없다. 관리자 계정이 이렇게 쉽게 뚫릴 수 있다는 데 경각심을 가져야 한다.”
