“허술한 보안 사고부터 황당한 시도까지” 2018년 IT 업계를 떠들썩하게 만든 이야기들

Network World
IT 분야에서 올 한 해 가장 멋지고 기상천외했던 이야기들을 선정하기란 쉬운 일이 아니다. 워낙 후보군이 넓기 때문이다. 하지만 올 해는 과거에 하던 것처럼 모든 이야기를 다 소개하려 하는 대신 보다 흥미로운 이야기들을 “엄선”하기 위해 노력해 보았다. 

 

ⓒ Getty Images Bank


1. 커피 배달 드론

첫 번째 이야기는 IBM과 커피 배달 드론의 이야기다. 올해 IBM은 복잡한 센서가 부착된, 커피 배달 드론에 대한 특허를 신청했다. IBM은 커피 배달 드론의 작동 원리를 다음과 같이 설명했다. 조그마한 무인 드론이 사람들이 있는 곳까지 커피를 가져가면, 음료를 원하는 사람이 드론을 멈춰 세운다. 
 
ⓒ IBM

이 드론 시스템은 바보가 아니다. 커피 배달 드론은 사용자가 특정 시간에 어디에 있었는가에 대한 정보를 수집한다. 그리고 거기서 어떤 패턴을(예컨대 오후 3시를 전후로 하여 주기적으로 피로해 진다던가) 찾아내 나중에 가서는 당사자가 요청하지 않아도 같은 시간, 같은 위치로 커피를 배달해 줄 것이다. 과연 상용화가 되겠느냐고? 글쎄, ‘아닐 것’이라고 단언할 수는 없어 보인다. 


2. 허술한 공항 보안

이 이야기는 ‘황당함’ 카테고리에 더 잘 어울리는 이야기다. 런던에서 있었던 일이다. 도서관에 가던 한 남자가, 우연히 도보 위에서 USB 스틱이 굴러다니는 것을 발견했다. 이 USB를 컴퓨터에 연결해 본 남자는 그 안에 런던 히드로 공항의 각종 보안 정보가 담겨있는 것을 알고 깜짝 놀라게 된다. 심지어 여왕을 비롯한 중요 인물들을 보호하기 위한 보안 절차에 관한 사항들, 공항 내 모든 CCTV 카메라의 위치, 그리고 히드로 공항의 터널 및 히드로 고속 열차 역으로 통하는 비상 탈출로 지도에 이르기까지 모든 것이 그 안에 들어 있었다. 

영국 ICO(Information Commissioner’s Office)는 결국 히드로 공항 공사(HAL)에 대해 “공항 네트워크 상의 개인 정보 보안을 소홀히 한 책임”을 물어 15만 4천 달러의 벌금을 부과하였다. ‘더 레지스터(The Register)’에 따르면, ICO 조사 결과 HAL에서 근무하는 6,500여 명의 직원들 중 2%만이 데이터 보호에 관한 교육을 받은 것으로 나타났다. 

ICO는 또한 HAL의 내부 규정에 위반 되는 이동식 저장 장치가 ‘공공연히’ 사용되고 있었다고 지적했으며, 공항 직원들이 그 어떤 암호화도 되지 않은 미 승인 기기에 개인 데이터를 다운로드 하는 것에 대한 그 어떤 예방책이나 제제도 마련되어 있지 않았다고 밝혔다. 당연한 말이지만, 이 사건 이후 히드로 공항 보안에도 많은 변화가 있었다. 


3. 전투기 공격 리스크

ⓒ DARIN RUSSELL
번에도 보안 관련 이야기다. 미군에 대한 차세대 타격 전투기(joint strike fighter)인 록히드 마틴 사의 F-35 라이트닝 II를 지원하는 데 관련된 네트워크에 대한 보안상의 잠재적 취약성에 대한 여러 보고서가 있었다.

"F-35 라이트닝 II는 소프트웨어 기반 항공기이다. 모든 소프트웨어 기반 플랫폼은 해킹에 취약하다"라고 공군 F-35 통합국장 스티판 조스트 장군은 디펜스 뉴스와의 인터뷰에서 말했다.

문제는 항공기 지원 네트워크에 있는 것이 아니다. 포퓰러 메카닉스(Popular Mechanics)의 말마따나, 국적에 상관 없이 모든 F-35비행 중대는 월드와이드 ALIS 네트워크와 연결된 13-서버 ATIS(Autonomic Logistics Information System)을 가지고 있다. 개별 제트기들이 병참 데이터를 해당 국가의 중앙 진입 지점으로 보내고, 이 데이터는 다시 텍사스 포트 워스에 있는 록히드 사 중앙 서버 허브로 전달 된다. 실제로, ALIS가 보내는 데이터 양이 너무 많아서 일부 국가들은 F-35 작전에 대한 너무 많은 정보가 유출되는 것은 아닌가 우려하기도 한다.

ATIS와 마찬가지로, 네트워크에 연결된 또 다른 시스템 중에 JRE(Joint Reprogramming Enterprise)가 있다. 포퓰러 메카닉스는 JRE가 전세계 F-35 함대에 배포될 수 있는 적대적 센서와 무기 시스템의 공유 라이브러리를 보유하고 있다고 전했다. F-35를 사용하는 곳들은 이제 잠재적인 취약점을 보안, 강화하기 위해 노력하고 있다.


4. 120억 달러 규모의 이메일 사기

ⓒ PIXABAY
이번에 소개할 사기극은 정말이지 어처구니 없는 사건이었다. 특히 그 수법이 새로운 것도 아니고, 예전부터 있어 왔던 것이라는 점에서 더 그러하다. 

FBI에 따르면, 2016년부터 지금까지 이 비즈니스 이메일 해킹 사기극으로 인해 약 8만여 명의 피해자와 120억 달러에 달하는 피해액에 발생하였다. 이른바 ‘BEC(business email compromise)’ 사기라 불리는 이 수법은 계속해서 진화하며 중소기업 및 대규모 기업들과 개개인 간 거래를 그 타깃으로 삼고 있다.

2016년 12월부터 2018년 5월 사이 전 세계적으로 알려진 BEC 피해 규모는 136% 증가했다고 FBI는 밝혔다. 미국 내 50개 주와 전 세계 150개 국가에서 BEC 사기 사례가 보고되었다. 인터넷 범죄 신고 센터(Internet Crime Complaint Center)에는 BEC 피해자들의 신고가 빗발치고 있으며 금융 소식통에 따르면 사기 범죄에 연루된 돈들이 전 세계 115개국으로 송금됐다.

FBI에 따르면, BEC 사기 수법은 수 년에 걸쳐 진화해 왔지만 기본적인 형태는 동일하다. 해커가 소셜 엔지니어링이나 컴퓨터 침입 기술 등을 이용해 정상적인 비즈니스 이메일 계정을 해킹한다. 이후 승인되지 않은 자금 이동을 시도한다. 수법에 따라 정상적인 비즈니스 이메일 계정을 해킹하거나, 개인 식별 정보를 요구하기도 하고, 아니면 직원들의 월급 명세서 또는 W2 소득세 서식을 요구하는 경우도 있다. 


5. 양자 컴퓨터에 대한 기대

ⓒ MICROSOFT
아직 현실이 되려면 몇 년은 더 기다려야 하겠지만, 그래도 지난 가을 열린 가트너 사의 심포지엄/IT 엑스포에서 양자 컴퓨팅에 대한 비전을 듣는 일은 무척 흥미로웠다. 

앞으로 5년 남짓한 시간 동안 우리가 보게 될 가장 중요한 잠재적 혁신 기술 중 하나는 문제 해결 및 애플리케이션 제공에 양자 컴퓨팅 및 양자 컴퓨팅 서비스를 이용하는 것이 될 거라고 가트너 애널리스트들은 말했다. 양자 컴퓨팅의 병렬 실행과 기하급수적 확장성은 기존 접근 및 알고리즘만으로는 그 해결책을 찾기가 요원했던 난제들을 훌륭하게 풀어낼 것이다.

자동차 산업, 금융, 보험, 제약, 군사, 그리고 연구 산업 등이 양자 컴퓨팅 발전의 가장 큰 수혜자가 될 것이다. 2022년까지는 대부분 기업들이 양자 컴퓨팅의 개념을 학습하고 기술 변화를 모니터링 하는 시기가 될 것이며, 23년부터 25년 사이에는 이를 적극적으로 도입, 활용하기 시작할 것이라고 가트너 사는 말한다. 이 분야에서 조금이라도 앞서 나가고 싶다면 QCaaS, 깃허브 툴 및 SDK 등을 활용하라고 가트너는 조언했다. 

한편, 올 연말 하버드 대학에서는 하버드 퀀텀 이니셔티브(HQI, Harvard Quantum Initiative)를 발표했다. 양자 기술 발전을 가속화 하기 위한 과학 커뮤니티와 국가적 노력 간 화합을 이루기 위한 이니셔티브이다. 양자 컴퓨팅 분야가 서서히 잠에서 깨어 나는 모습이다. 


6. 거울아, 거울아!

“거울아 거울아, 세상에서 누가 제일 예쁘…고 똑똑한데다 착하기까지 하니?”

멜버른 대학 연구팀이 생체 인식 거울을 제작했다. 생체 인식 거울은 인공 지능 기술을 사용하여 얼굴 사진을 분석하고, 사람의 성격 특성과 신체적 매력도를 보여 준다.

이 거울은 성별, 나이, 민족에서부터 매력도, 괴이함, 정서적 안정도에 이르기까지 개인의 14가지 특성을 드러내 준다. 거울 앞에 서 있는 시간이 길수록 거울이 비추는 특성들은 더 개인적이고 내밀해 진다고 연구팀은 말했다. 

 “우리 연구의 목표는 AI의 경계에 대한 어려운 질문들을 던지게 만드는 것이다. 우리가 개발한 생체 인식 거울은 인공 지능 기술이 얼마나 비윤리적이고 문제적인 방식으로 사람을 구분하고 차별하는 데 쓰일 수 있는지, 그리고 그로 인해 어떠한 사회적 결과들이 나타날 수 있을지를 잘 보여 준다. 프라이버시와 대중 감시에 대한 논의를 부추김으로써 AI 윤리에 대한 보다 심도 깊은 이해에 도달하게 되기를 바란다”고 SocialNUI 센터(Center for Social Natural User Interfaces) 및 사이언스 갤러리 멜버른의 닐스 바우터스 박사는 말했다. 


7. 화장실에서도 블루투스를?

 ‘변기’와 ‘블루투스’ 또는 ‘무선’이라는 단어가 한 단어 안에 쓰일 일은 거의 없겠지만, 2018년만은 예외였다. 

올해 초 열린 CES에서, 콜러(Kohler)가 공개한 누미(Numi) 변기는 “환경 적응 조명에서부터 무선 블루투스 음악 동기화 기능, 온열 시트 및 풋 워머에 이르기까지 모든 옵션을 입맛대로 조정할 수 있는 개인화된 설정이 가능하다. 좋아하는 음악이나 즐겨 듣는 팟캐스트도 블루투스 연결이 가능한 모든 기기에서 무선으로 스트리밍 해 듣거나 MP3 파일로 SD 카드에 저장할 수 있고, 아니면 보조 케이블을 사용할 수도 있다”고 말했다. 

그 외에 에너지 효율을 위한 절전 모드, 정전 시 비상 물 내리기 기능, 직관적인 터치 스크린 리모컨 등의 기능도 있었다. 인상적인 외관과 뛰어난 물 사용 효율에 이르기까지, 누미의 변기는 화장실 영역에서 우수성의 새로운 기준을 세웠다고 할 것이다. 


8. 인간과 기계의 공동 소프트웨어 보안

네트워크 보안 목적을 위해서라면 인간 지능의 전문성과, 고급 컴퓨터 시스템의 인공 지능이 협력하는 쪽이 훨씬 유리할 것이다. 

적어도 DARPA(Defense Advanced Research Project Agency)가 올 해 발표했던 연구 프로젝트의 의도는 그런 것이었다. DARPA의 CHESS(컴퓨터-인간 공동 소프트웨어 보안 점검, Computers and Humans Exploring Software Security) 프로그램은 인간이 시행하는 수동 보안을 넘어서서 컴퓨터와 인간 간의 협업에 기반한 새로운 보안 프로그램을 탄생시키고자 하였다. 

기본 개념은 컴퓨터 툴과 지능을 결합하는 것으로, DARPA의 표현을 빌리자면 “정보 간극으로 인해 발목이 잡혀 있고 인간적 통찰력과 문맥에 기반한 섬세한 추론이 요구되는 보안상의 취약점을 다룰 수 있는 기술”을 만들겠다는 것이다. 


9. 엘론 머스크의 브로드밴드 인공위성 성단

엘론 머스크는 하루 종일 다음엔 어떤 재미있는 걸 해볼까 만 고민하며 사는 게 틀림 없다. 화성에 인류를 보내겠다는 야심 찬 시도나 초고속 열차 제작만 봐도 알 수 있다. 최근에는 또 다른 ‘사고’를 쳐도 좋다는 그린 라이트까지 받았다. 스타링크(StarLink)라는 브로드밴드 서비스에 기반한 저비용 위성이 그것이다.

특히 지난 11월 엘론 머스크는 1만 2,000여 개의 위성으로 이루어진 ‘스타링크 성단’을 형성하기 위하여 향후 6년 동안 7,518개의 위성을 추가적으로 쏘아 올려도 좋다는 FCC의 허가를 받았다. (그는 기존에 4,425 대의 위성 발사 허가를 이미 받아 둔 상태였다.)

인공위성은 약 215마일 높이의 낮은 궤도를 비행할 예정이다. 스페이스 X가 이처럼 낮은 궤도를 필요로 하는 이유는 지구상의 인터넷 사용자들과 위성들 간의 딜레이를 줄여 서핑 속도를 빠르게 만들어 주기 때문이라고 한 언론 보도는 밝혔다. 아직까지 실제로 발사 된 위성은 없다. 


10. 버너스 리, 웹 상의 프라이버시를 촉구하다

월드 와이드 웹을 발명한 장본인을 공동 창립자로 앉힐 수 있는 스타트업은 별로 없겠지만, 올 가을 탄생한 인럽트(Inrupt)는 다름 아닌 팀 버너스-리를 CTO로 영입했다. (IBM의 리질리언트(Resilient) 보안 업체 출신인 존 브루스가 또 다른 공동 창립자이자 CEO를 맡았다.)

인럽트의 목표는 사람들에게 자신의 데이터와 정보를 통제할 수 있는 힘을 되돌려 주는 것이다. 인럽트의 중심에는 솔리드(Solid)가 있다. 솔리드는 버너스-리가 그 동안 작업해 오던 오픈 소스 소프트웨어 프로젝트의 이름이다. 

 “지금까지는 웹 상에서 특정한 가치를 얻기 위해 디지털 거인들에게 개인 사용자들이 자신의 개인 정보를 넘겨야만 했다. 솔리드는 이를 바꾸고자 한다. 기존의 방식은 개인 사용자들에게 결코 유리하다고 할 수 없다. 솔리드는 웹 상에 존재하는 이러한 힘의 불균형을 바로잡아 줄 것이다. 모든 인터넷 사용자 개개인에게 개인적 또는 공적 데이터를 완전히 통제할 수 있는 힘을 되돌려 줌으로써 웹 혁명을 일으킬 것이다”라고 버너스-리는 인럽트와 관련한 자신의 블로그 포스팅을 통해 밝혔다. 

솔리드의 핵심 개념은 다음과 같다. 사용자들은 POD(personal online data) 저장소라 불리는 곳에 모든 사진, 전화번호, 음악 등 개인 정보들을 보관하게 된다. 그리고 “각 사용자는 데이터를 어디에 보관할 지, 누구에게 어떤 데이터에 대한 액세스를 허용할 지, 그리고 어떤 앱을 사용할 지를 모두 사용자가 전적으로 결정할 수 있다. 사용자와 그의 가족, 동료들이 원하는 사람과 데이터를 공유할 수 있다. 각기 다른 앱에서 동시에 같은 데이터를 열람할 수도 있다”고 버너스-리는 말했다. 

물론, 솔리드가 성공을 거두기 위해서는 많은 장애물을 넘어야 할 것이다. 구글이나 페이스북 같은 다른 웹 기반 서비스의 사용자를 끌어오는 것도 그러한 장애물 중 하나이다. 하지만 “세상은 이미 변화를 원하고 있다. 조금만 건드려도 폭발할 것 같은 에너지가 응축되어 있다”고 버너스-리는 말했다. editor@itworld.co.kr