2016.10.26

글로벌 칼럼 | 인터넷이 망가져도 아무것도 할 수 없는 이유

Glenn Fleishman | Macworld
 "노래하라, 오 뮤즈, 아카마이(Akamais)의 분노를 노래하라." 필자가 호머도 아니고 오딧세이 이야기를 할 것도 아니지만, 우리 보통 인간들은 우리가 시작하지 않은 전쟁, 아마도 트로이 전쟁보다 더 오래 치러질 전쟁의 희생양이다. 이 글을 쓰는 10월 21일 현재 여기저기의 인터넷이 비틀거리고, 상당수 주요 사이트가 접속하기 어렵거나 아예 불가능한 상황이다. 공격을 받고 있는 대상은 이 사이트들이 아니다. 인터넷을 연결하는 일종의 배관이다.

금요일 Dyn을 상대로 DDoS 공격으로 미국 인터넷의 상당 부분이 다운됐다. Dyn은 다수의 주요 인터넷 기업을 상대로 한 덩어리로 연결된 네트워킹을 제공하기 때문에 동부 해안 지역부터 시작된 공격은 이어 서부까지 강타했다. Dyn은 DNS(도메인 네이밍 시스템) 호스트로, 전세계 곳곳의 컴퓨터 또는 모바일 기기가 사람이 읽을 수 있는 도메인 이름(예를 들어 macworld.com)을 인터넷 숫자 주소로 변환하고 적절한 메일 서버를 찾거나 기타 도메인 관련 정보를 추출할 때마다 발생하는 작업인 조회를 처리하는 기업이다.

Dyn을 이용했던 많은 기업이 다른 모든 기업들과 함께 한 바구니에 달걀을 담고 있는 현재 상황에 대해 아마 재고 중일 것이다. Dyn은 견고하고 전세계적으로 분산된, 이중화된 서버 네트워크와 공격 완화 옵션을 보유하고 있다. Dyn과 계약한 모든 기업들의 철저한 조사를 통과했을 테니 당연히 그럴 것이다. 그런 만큼 공격이 이처럼 큰 영향을, 이렇게 오래 유지했다는 사실이 더욱 무섭게 느껴진다.

가장 우울한 소식은 처음에 썼듯이 이것은 천상의 전쟁이 땅 위에서 벌어지는 형국이며 개개인으로서 우리가 이 전쟁을 멈추기 위해 할 수 있는 일은 거의 없다는 점이다. 우리 주변에서, 위에서 지금 벌어지는 이 전쟁에는 우리 집을 가득 채운 스마트, 또는 인터넷 연결 사물들이 대대적으로 동원되고 있다.

조잡한 싸구려 사물들의 인터넷
사물인터넷(IoT)의 약속은 집안의 모든 물건이 인터넷에 연결된다는 것이다. 온도 조절기, 보안 카메라, 경보 시스템, 텔레비전, DVR, 주방 저울, 욕실 저울, 냉장고 등이 모두 모니터링과 스트리밍, 제어를 위해 데이터를 주고받게 된다.

몇몇 IoT 기기는 실제로 효과적이다. 필자는 몇 년 전에 집안의 경보 시스템을 인터넷에 연결된 시스템으로 교체했다. 덕분에 먼 반대쪽 해안에 있고 아내도 외출하고 집에는 아이와 장모님만 계시던 상황에서 경보가 울렸을 때 집에서 전송된 문자를 받을 수 있었다. 장모님에게 연락해서 아무 일 없는지 확인한 다음 스마트폰에서 경보를 끄고 경비 회사에 전화했다.

그런가 하면 언뜻 그 필요성을 이해할 수 없는 IoT 기기도 있다. 예를 들어 냉장고가 인터넷에 연결되어야 할 이유가 무엇인가? 사실 현대식 자동 성에 제거 냉장고는 얼음을 녹이기 위해 잠시 코일을 가열하곤 한다. 그 시점은 냉장고의 작은 두뇌에서 적절한 시점이라고 판단할 때다. 따라서 대낮에, 폭염 경보 중에, 전력 사용량이 최대치에 달한 중에도 작동할 수 있다. 인터넷을 통해 약간의 스마트함을 갖게 되면 냉장고는 이 코일 가열 작업을 나중으로 미루고 그 대가로 전기 회사와 요금 할인을 협상할 수 있다. (농담이 아니다. 이와 같은 실험이 실제로 몇 년째 진행되고 있다.)

문제는 대부분의 "스마트" 기기가 보안에 대해서는 아무 생각이 없다는 것이다. 많은 기기가 기본 관리 암호가 설정된 채로 판매되며 사용자에게 암호 변경을 요구하지도 않는다. 원격 접속을 위해 UPnP(범용 플러그 앤 플레이)를 사용해서 네트워크 방화벽을 통과한다. 암호화되지 않은 인터넷 연결을 사용한다. 또한 많은 경우 장기간 업데이트되지 않은, 악용의 소지가 다분한 임베디드 운영 체제와 네트워크 접속용 오픈 소스 모듈을 실행한다.

이러한 장비는 대량으로 팔려나가고 연구원이나 보안 업체에서 공격이 발생했음을 발견하더라도 소프트웨어 업데이트를 받는 일은 거의 없다. 업데이트가 나온다 해도 대부분의 소비자는 그 사실조차 모르거나, 설치를 위해 필요한 기술이 없다. 설치 기술이라고 해봐야 그냥 파일을 다운로드해서 웹 기반 관리 프론트 엔드에 연결하고 암호를 입력한 다음 파일을 업로드하는 게 전부지만, 이 칼럼을 읽는 여러분조차 그 과정에서 수시로 실패를 겪을 정도니 보통 사람들이야 말할 필요도 없다.

이러한 기기는 하이재킹이 가능하고 실제로 최근 놀라울 정도로 광범위하게 하이재킹이 벌어지고 있다. 수천만 개에서 수억 개의 IoT 기기에 악성코드가 설치되어 원격 조작을 통해 DDoS에 사용되는 "봇넷"이 된다. 이러한 기기의 상당수는 DVR과 가정용 및 기업용 보안 카메라다.

과거의 봇넷은 컴퓨터를 하이재킹했다. 컴퓨터 봇넷은 지금도 여전히 존재하지만 개선된 OS 보안 덕분에 대량으로 통제 권한을 가져오기가 쉽지 않게 됐다. 반면 IoT 기기는 취약점이 많아 비교적 탈취가 용이하고 소유자가 전혀 눈치 채지 못하게 공격에 참여할 수 있다. 공격은 다운스트림 연결이 아닌 업스트림을 폭주시키고 기기의 기능이나 사용자 네트워크에 영향을 미치지 않을 때도 있기 때문이다. 또한 단순히 수만 보더라도 컴퓨터보다 다른 기기가 더 많다. 전세계적으로 이미 수십억 개의 IoT 기기가 존재하며 그 수는 앞으로 몇 년 후면 수백억 개로 늘어날 것이다.

필자는 몇 주 전에 저널리스트 브라이언 크렙의 사이트가 역사상 가장 큰 규모의 DDoS 중 하나에 공격당했을 때 보안 전문가 브루스 슈나이어와 이야기했는데, 슈나이어는 "문제는 생태계 패치가 실행 가능성을 갖기 위해서는 어느 정도의 가격대가 필요하다는 데 있다. 그러나 시장은 그 가격대 아래로 떨어지는 중"이라며 "사물인터넷은 보안을 신경쓰기에는 너무 싸다"고 말했다.

슬프게도 유명 브랜드 기업이 제품을 팔고 업데이트를 제공하더라도 이 기업들 역시 무료 또는 라이선스된 구성 요소를 제품에 포함할 수 있고, 이 구성 요소에는 장비 제조업체가 테스트하지 않은 보안 문제가 있을 가능성이 상존한다. 2015년 중반 넷USB(NetUSB) 사태가 대표적인 예다. 제조업체들은 큰 문제가 있었음을 몰랐고 문제에 대한 통지를 받은 후에도 즉각적인 패치는 없었다. (지금도 얼마나 많은 넷USB 탑재 장비가 취약한 채로 사용되고 있는지 아무도 확실히 모른다.)

방어책은 없다. 미국도, 가전제품의 자유로운 사용을 허용하는 다른 어떤 국가도 보안 테스트를 의무화하지 않는다. 거의 모든 국가가 신호 방출에 대한 규정을 두고 있고 대부분의 제조업체가 자발적으로 보험업자 연구소(UL)와 함께 전기 테스트를 수행하는 것과 대비된다. 연방통상위원회(FTC)는 업계에 대책을 촉구했지만 강제할 만한 힘은 없다.

일개 보병이 할 수 있는 일은?
우리가 손에 쥔 도구는 거의 없다. 필자가 천상의 전쟁이라고 표현한 이유도
그래서다. 오직 대군만이 결과에 영향을 미칠 수 있다. 장비에 대해 공부해서 예를 들어 새 암호를 사용하거나 라우터의 방화벽 설정을 강화하는 긍정적 변화를 꾀하는 사용자들도 있지만, 취약한 스마트 기기가 네트워크를 관통해 원격 연결을 허용하고(이것이 IoT 기기에서는 '기능'으로 통함) 변경할 수 없는 숨겨진 암호를 사용한다면(그런 사례가 실존함) 별 소용이 없다.

인터넷 서비스/네트워크 업체들은 IoT 기기에 의한 공격을 포함한 모든 DDoS 공격의 영향을 줄일 수 있는 기술적 변화를 상술한 계획을 몇 년 전에 작성했다. 그러나 이러한 변화는 복잡한데다 비용을 더하거나 네트워크 성능을 저하시킨다. 모든 업체에게 의무화되지 않는 한, 치열한 경쟁 환경에서 이 안이 진척될 가능성은 거의 없다.

물론 하드웨어 제조업체가 제품을 개선할 수 있지만 슈나이어가 지적하듯 IoT는 대부분 싸구려 장비로 구성된다. 무료 소프트웨어와 값싼 부품, 약간의 커스텀 또는 라이선스된 소프트웨어를 사용해 인터넷 연결 비디오 카메라나 DVR을 만들기는 비교적 쉽다. 그러나 사전에 보안 테스트를 하고 지속적인 시스템 개발과 업데이트를 수행하려면 많은 비용이 든다.

지금 필요한 것은 업계의 IoT 보안 인증 제도, 그리고 보안 업데이트를 제공할 최소 기간에 대한 제조업체들의 합의다. 아직 이를 추구하는 조직 자체가 존재하지 않으므로 개인적으로 후원하고 싶어도 할 데가 없다. 아마존과 같은 거대 소매 기업이 자체 테스트 프로그램을 시작하거나 공급업체 및 주요 제조업체들과 협력해 그 기준을 충족하는 전자제품만 직접 판매하거나 판매하도록 허용한다면 가능해질 수도 있다. 하지만 이것도 아직 상상일 뿐이다. 보도를 보니 아마존은 아마존 판매자가 위조 애플 케이블을 판매하는 것을 막을 능력조차 없어 보인다.

민간 기업이 보안을 개선할 방법을 찾지 못한다면 그 다음 전개는 뻔하다. 공격으로 사설 인프라와 공용 인프라가 파괴되면 시장이 실패하므로 정부가 개입한다. 정부가 항상 효과적인 대책을 내놓는 것은 아니므로 선호할 만한 해결책은 아니지만 그렇다고 기업들과 전체 산업계가 과제 해결에 나서지도 않는다. 시장은 여전히 무기력한 상태로 남는다.

변화가 일어날 때까지 벼락은 계속 우리 같은 보통 사람들 위로 쏟아지게 될 것이다. editor@itworld.co.kr
 


2016.10.26

글로벌 칼럼 | 인터넷이 망가져도 아무것도 할 수 없는 이유

Glenn Fleishman | Macworld
 "노래하라, 오 뮤즈, 아카마이(Akamais)의 분노를 노래하라." 필자가 호머도 아니고 오딧세이 이야기를 할 것도 아니지만, 우리 보통 인간들은 우리가 시작하지 않은 전쟁, 아마도 트로이 전쟁보다 더 오래 치러질 전쟁의 희생양이다. 이 글을 쓰는 10월 21일 현재 여기저기의 인터넷이 비틀거리고, 상당수 주요 사이트가 접속하기 어렵거나 아예 불가능한 상황이다. 공격을 받고 있는 대상은 이 사이트들이 아니다. 인터넷을 연결하는 일종의 배관이다.

금요일 Dyn을 상대로 DDoS 공격으로 미국 인터넷의 상당 부분이 다운됐다. Dyn은 다수의 주요 인터넷 기업을 상대로 한 덩어리로 연결된 네트워킹을 제공하기 때문에 동부 해안 지역부터 시작된 공격은 이어 서부까지 강타했다. Dyn은 DNS(도메인 네이밍 시스템) 호스트로, 전세계 곳곳의 컴퓨터 또는 모바일 기기가 사람이 읽을 수 있는 도메인 이름(예를 들어 macworld.com)을 인터넷 숫자 주소로 변환하고 적절한 메일 서버를 찾거나 기타 도메인 관련 정보를 추출할 때마다 발생하는 작업인 조회를 처리하는 기업이다.

Dyn을 이용했던 많은 기업이 다른 모든 기업들과 함께 한 바구니에 달걀을 담고 있는 현재 상황에 대해 아마 재고 중일 것이다. Dyn은 견고하고 전세계적으로 분산된, 이중화된 서버 네트워크와 공격 완화 옵션을 보유하고 있다. Dyn과 계약한 모든 기업들의 철저한 조사를 통과했을 테니 당연히 그럴 것이다. 그런 만큼 공격이 이처럼 큰 영향을, 이렇게 오래 유지했다는 사실이 더욱 무섭게 느껴진다.

가장 우울한 소식은 처음에 썼듯이 이것은 천상의 전쟁이 땅 위에서 벌어지는 형국이며 개개인으로서 우리가 이 전쟁을 멈추기 위해 할 수 있는 일은 거의 없다는 점이다. 우리 주변에서, 위에서 지금 벌어지는 이 전쟁에는 우리 집을 가득 채운 스마트, 또는 인터넷 연결 사물들이 대대적으로 동원되고 있다.

조잡한 싸구려 사물들의 인터넷
사물인터넷(IoT)의 약속은 집안의 모든 물건이 인터넷에 연결된다는 것이다. 온도 조절기, 보안 카메라, 경보 시스템, 텔레비전, DVR, 주방 저울, 욕실 저울, 냉장고 등이 모두 모니터링과 스트리밍, 제어를 위해 데이터를 주고받게 된다.

몇몇 IoT 기기는 실제로 효과적이다. 필자는 몇 년 전에 집안의 경보 시스템을 인터넷에 연결된 시스템으로 교체했다. 덕분에 먼 반대쪽 해안에 있고 아내도 외출하고 집에는 아이와 장모님만 계시던 상황에서 경보가 울렸을 때 집에서 전송된 문자를 받을 수 있었다. 장모님에게 연락해서 아무 일 없는지 확인한 다음 스마트폰에서 경보를 끄고 경비 회사에 전화했다.

그런가 하면 언뜻 그 필요성을 이해할 수 없는 IoT 기기도 있다. 예를 들어 냉장고가 인터넷에 연결되어야 할 이유가 무엇인가? 사실 현대식 자동 성에 제거 냉장고는 얼음을 녹이기 위해 잠시 코일을 가열하곤 한다. 그 시점은 냉장고의 작은 두뇌에서 적절한 시점이라고 판단할 때다. 따라서 대낮에, 폭염 경보 중에, 전력 사용량이 최대치에 달한 중에도 작동할 수 있다. 인터넷을 통해 약간의 스마트함을 갖게 되면 냉장고는 이 코일 가열 작업을 나중으로 미루고 그 대가로 전기 회사와 요금 할인을 협상할 수 있다. (농담이 아니다. 이와 같은 실험이 실제로 몇 년째 진행되고 있다.)

문제는 대부분의 "스마트" 기기가 보안에 대해서는 아무 생각이 없다는 것이다. 많은 기기가 기본 관리 암호가 설정된 채로 판매되며 사용자에게 암호 변경을 요구하지도 않는다. 원격 접속을 위해 UPnP(범용 플러그 앤 플레이)를 사용해서 네트워크 방화벽을 통과한다. 암호화되지 않은 인터넷 연결을 사용한다. 또한 많은 경우 장기간 업데이트되지 않은, 악용의 소지가 다분한 임베디드 운영 체제와 네트워크 접속용 오픈 소스 모듈을 실행한다.

이러한 장비는 대량으로 팔려나가고 연구원이나 보안 업체에서 공격이 발생했음을 발견하더라도 소프트웨어 업데이트를 받는 일은 거의 없다. 업데이트가 나온다 해도 대부분의 소비자는 그 사실조차 모르거나, 설치를 위해 필요한 기술이 없다. 설치 기술이라고 해봐야 그냥 파일을 다운로드해서 웹 기반 관리 프론트 엔드에 연결하고 암호를 입력한 다음 파일을 업로드하는 게 전부지만, 이 칼럼을 읽는 여러분조차 그 과정에서 수시로 실패를 겪을 정도니 보통 사람들이야 말할 필요도 없다.

이러한 기기는 하이재킹이 가능하고 실제로 최근 놀라울 정도로 광범위하게 하이재킹이 벌어지고 있다. 수천만 개에서 수억 개의 IoT 기기에 악성코드가 설치되어 원격 조작을 통해 DDoS에 사용되는 "봇넷"이 된다. 이러한 기기의 상당수는 DVR과 가정용 및 기업용 보안 카메라다.

과거의 봇넷은 컴퓨터를 하이재킹했다. 컴퓨터 봇넷은 지금도 여전히 존재하지만 개선된 OS 보안 덕분에 대량으로 통제 권한을 가져오기가 쉽지 않게 됐다. 반면 IoT 기기는 취약점이 많아 비교적 탈취가 용이하고 소유자가 전혀 눈치 채지 못하게 공격에 참여할 수 있다. 공격은 다운스트림 연결이 아닌 업스트림을 폭주시키고 기기의 기능이나 사용자 네트워크에 영향을 미치지 않을 때도 있기 때문이다. 또한 단순히 수만 보더라도 컴퓨터보다 다른 기기가 더 많다. 전세계적으로 이미 수십억 개의 IoT 기기가 존재하며 그 수는 앞으로 몇 년 후면 수백억 개로 늘어날 것이다.

필자는 몇 주 전에 저널리스트 브라이언 크렙의 사이트가 역사상 가장 큰 규모의 DDoS 중 하나에 공격당했을 때 보안 전문가 브루스 슈나이어와 이야기했는데, 슈나이어는 "문제는 생태계 패치가 실행 가능성을 갖기 위해서는 어느 정도의 가격대가 필요하다는 데 있다. 그러나 시장은 그 가격대 아래로 떨어지는 중"이라며 "사물인터넷은 보안을 신경쓰기에는 너무 싸다"고 말했다.

슬프게도 유명 브랜드 기업이 제품을 팔고 업데이트를 제공하더라도 이 기업들 역시 무료 또는 라이선스된 구성 요소를 제품에 포함할 수 있고, 이 구성 요소에는 장비 제조업체가 테스트하지 않은 보안 문제가 있을 가능성이 상존한다. 2015년 중반 넷USB(NetUSB) 사태가 대표적인 예다. 제조업체들은 큰 문제가 있었음을 몰랐고 문제에 대한 통지를 받은 후에도 즉각적인 패치는 없었다. (지금도 얼마나 많은 넷USB 탑재 장비가 취약한 채로 사용되고 있는지 아무도 확실히 모른다.)

방어책은 없다. 미국도, 가전제품의 자유로운 사용을 허용하는 다른 어떤 국가도 보안 테스트를 의무화하지 않는다. 거의 모든 국가가 신호 방출에 대한 규정을 두고 있고 대부분의 제조업체가 자발적으로 보험업자 연구소(UL)와 함께 전기 테스트를 수행하는 것과 대비된다. 연방통상위원회(FTC)는 업계에 대책을 촉구했지만 강제할 만한 힘은 없다.

일개 보병이 할 수 있는 일은?
우리가 손에 쥔 도구는 거의 없다. 필자가 천상의 전쟁이라고 표현한 이유도
그래서다. 오직 대군만이 결과에 영향을 미칠 수 있다. 장비에 대해 공부해서 예를 들어 새 암호를 사용하거나 라우터의 방화벽 설정을 강화하는 긍정적 변화를 꾀하는 사용자들도 있지만, 취약한 스마트 기기가 네트워크를 관통해 원격 연결을 허용하고(이것이 IoT 기기에서는 '기능'으로 통함) 변경할 수 없는 숨겨진 암호를 사용한다면(그런 사례가 실존함) 별 소용이 없다.

인터넷 서비스/네트워크 업체들은 IoT 기기에 의한 공격을 포함한 모든 DDoS 공격의 영향을 줄일 수 있는 기술적 변화를 상술한 계획을 몇 년 전에 작성했다. 그러나 이러한 변화는 복잡한데다 비용을 더하거나 네트워크 성능을 저하시킨다. 모든 업체에게 의무화되지 않는 한, 치열한 경쟁 환경에서 이 안이 진척될 가능성은 거의 없다.

물론 하드웨어 제조업체가 제품을 개선할 수 있지만 슈나이어가 지적하듯 IoT는 대부분 싸구려 장비로 구성된다. 무료 소프트웨어와 값싼 부품, 약간의 커스텀 또는 라이선스된 소프트웨어를 사용해 인터넷 연결 비디오 카메라나 DVR을 만들기는 비교적 쉽다. 그러나 사전에 보안 테스트를 하고 지속적인 시스템 개발과 업데이트를 수행하려면 많은 비용이 든다.

지금 필요한 것은 업계의 IoT 보안 인증 제도, 그리고 보안 업데이트를 제공할 최소 기간에 대한 제조업체들의 합의다. 아직 이를 추구하는 조직 자체가 존재하지 않으므로 개인적으로 후원하고 싶어도 할 데가 없다. 아마존과 같은 거대 소매 기업이 자체 테스트 프로그램을 시작하거나 공급업체 및 주요 제조업체들과 협력해 그 기준을 충족하는 전자제품만 직접 판매하거나 판매하도록 허용한다면 가능해질 수도 있다. 하지만 이것도 아직 상상일 뿐이다. 보도를 보니 아마존은 아마존 판매자가 위조 애플 케이블을 판매하는 것을 막을 능력조차 없어 보인다.

민간 기업이 보안을 개선할 방법을 찾지 못한다면 그 다음 전개는 뻔하다. 공격으로 사설 인프라와 공용 인프라가 파괴되면 시장이 실패하므로 정부가 개입한다. 정부가 항상 효과적인 대책을 내놓는 것은 아니므로 선호할 만한 해결책은 아니지만 그렇다고 기업들과 전체 산업계가 과제 해결에 나서지도 않는다. 시장은 여전히 무기력한 상태로 남는다.

변화가 일어날 때까지 벼락은 계속 우리 같은 보통 사람들 위로 쏟아지게 될 것이다. editor@itworld.co.kr
 


X