iOS / 모바일 / 보안 / 태블릿

글로벌 칼럼 | 악성 코드의 미래 - 당신이 운전하는 동안 자동차 납치도

Jeff Vance | Network World 2011.10.06
메사추세츠 주 법무부 장관은 엄격하게 적용되는 새로운 데이터 침해 보고 법안에서 일부 통계 자료를 인용, 1/3에 해당하는 주민들의 개인 정보가 어떠한 방식으로든 위협받고 있다고 전했다.

데이터 침해, 스마트폰과 소셜미디어 영역까지 확대...갈수록 악화 
RSA는 회사에 가해진 사이버 공격으로 이중 요소 인증 시큐어ID 보안이 위태로워질 수 있다고 최근 발표했다. 또한 소니는 온라인 비디오게임 네트워크 상에 대규모 데이터 침해가 발생해 7,700만 사용자 계정의 이름, 주소, 아마도 신용카드 데이터까지 도둑맞는 사태가 벌어졌다. 이로 인해 소니와 신용카드 회사들은 200만 달러에 달하는 비용을 감수해야 할 상황에 이르렀다. 
 
물론 이 사례들은 최근 침해 사례들의 단편일 뿐이다. 어떤 사람들은 이 정도로도 충분히 불안하겠지만 아직 훨씬 많이 남아있다. 어나니머스(Anonymous) 같은 악의적인 해커 집단들이 온라인 상에 더 많은 정보들을 뿌려대고, 이윤을 추구하는 해커들이 스마트폰과 소셜 미디어까지 영역을 넓혀가면서 상황이 갈수록 악화되고 있다. 
 
한 예로 이제는 해산한 룰즈섹(LulzSec) 그룹과 어나니머스가 결합한 해커 연합인 안티섹(Antisec)이 지난 8월 미국 법 집행기관 70개에서 수집한 10기가바이트가 넘는 개인 정보들을 공개하기도 했다. 
 
데이터 유출 방지 솔루션 제공업체인 아이덴티티 파인더 CEO 토드 파인만은 "안티섹이 돈 때문에 이런 일을 벌인 건 아니었다. 다만 그들은 다양한 법 집행기관들의 운영 방식이 마음에 들지 않는다는 이유로 기관들을 난처하게 만들고 신뢰를 떨어트리고자 했다"고 설명했다.
 
그러나 파인만은 "그들이 민감한 개인 정보를 게시하면 기술 수준이 낮은 사이버 범죄자들이 신원 도용 범죄를 저지르도록 돕는 셈이라는 사실을 미처 깨닫지 못했다"고 덧붙였다. 한 주가 멀다하고 또 다른 대학, 정부 기관, 기업들이 계속해서 데이터 침해를 보고하고 있다. 
 
파인만은 매년 25만에서 50만 건의 데이터 침해가 발생하고 있다고 추정했다. 그러나 이 가운데 인터넷 상에 공개되는 구체적 정보들은 거의 없다. 소니에 가해진 공격처럼 세간의 이목을 끄는 특정 공격들은 기업을 곤란에 빠트리고 변화를 촉진시키기 위한 의도로 감행될 수 있겠지만, 미국 법 집행기관에서 일어난 데이터 침해는 해커들의 사고 전환을 의미하는 것일 수도 있다. 
 
한편 안티섹의 동기는 확실히 다른 듯하다. 공격자들은 의식적으로 부수적 피해를 전략적 무기로 간주하고 있다. 파인만은 "한 온라인 게시글에서 안티섹은 당당히 나와서, 부수적 피해는 상관하지 않는다며 피해는 발생할 것이고 그렇게 내버려두라고 말했다"고 덧붙였다.
 
소셜 네트워킹, 개인 정보의 유출 현장?  
전문가들은 앞으로 악성코드는 그 자체가 '어떻게 설계되느냐'보다는 잠재적인 희생자들이 '어떻게 타깃으로 설정되는가'의 문제가 될 것이라 전망했다. 이로 인해 부수적 피해는 스스로 잘못하지 않더라도 위협받을 무고한 시민들만으로 그치지 않을 것이다. 
 
페이스북에서 친구 초대를 수락하거나 링크드인에서 모르는 사람을 지인으로 등록해본 적이 있는가? 아마도 이 사람이 그새 잊어버린 고등학교 동창이나 이름이 기억나지 않는 예전 사업 피트너라고 생각했을 것이다. 그리고 당신은 무례하게 보이고 싶지 않은 마음에 친구 수락을 해놓고 금방 잊어버렸을 것이다.
 
RSA 컨퍼런스의 의장을 맡은 휴 톰슨 박사는 "사람들이 항상 이로 인한 파급효과를 이해하고 소셜 네트워크와 관계된 신뢰 결정을 내리지는 않는다. 요즘 사람들은 자신을 모르는 누군가에게 과거 그 어느 때보다도 훨씬 쉽게 파악될 수 있다"고 지적했다.
 
아침 식사 메뉴를 정하는 것에서부터 발톱이 살을 파고든 것까지 일상 생활의 모든 것을 소셜 네트워크나 블로그에 이야기하는 사람들을 알고 있을 것이다. 대부분의 사람들은 이들을 단순히 귀찮은 상대로 취급하지만 사이버 범죄자들은 이들을 아주 좋아한다.
 
톰슨은 "이제 비밀번호 찾기 질문은 너무 쉽게 추측할 수 있다. 이러한 목적으로 만들어진 것은 아니지만 해커들은 앤시스트리닷컴과 같은 도구들을 이용, 유용한 정보들을 충분히 구할 수 있다"고 설명했다. 
 
이에 대해 톰슨은 두 가지 영역에서 IT 보안 업계가 필사적으로 혁신해야 한다고 주장했다. 
첫째, 소셜 미디어 보안과 함께 소셜 네트워크 상에서 공유되는 사용자에 관한 정보들의 관리 방법과 둘째, 진화하는 위험을 좀더 구체적으로 측정할 방법 등이다. 
 
나날이 증가하는 '웨일링'을 주의하라
블루 코트 시스템즈 연구소장 크리스 라센은 연구소에서 잡아내는 사회 공학적 공격 가운데 가장 흔한 형태는 가짜 보안 제품들이며 소셜 네트워크는 단순히 개인들을 타깃으로 삼는 데에만 사용되는 것이 아니라고 전했다.
 
라센은 악의적인 무리가 배우자를 통해 대기업 임원들을 겨냥하고자 했던 최근의 공격 시도를 간략히 설명해 주었다. 바탕에 깔린 논리는 이렇다. 임원들 가운데 적어도 한 명은 집에서 기술에 익숙하지 않은 배우자와 함께 보안이 허술한 PC를 사용할 것이다. 이는 곧 해커들에게 필요한 백도어를 제공하여 임원들을 위협하고 타깃 기업에 접근할 수 있게 해준다. 
 
시만텍 닷클라우드의 수석 인텔리전스 애널리스트 폴 우드는 "웨일링이 급증하고 있다. 불과 2년 전만 하더라도 이런 유형의 공격은 하루에 한두 번 꼴로 발생했다. 하지만 요즘엔 매일 무려 80건씩이나 잡아내고 있다"고 말했다.
 
소셜 엔지니어링은 사이버 범죄자들이 가진 모든 수단들 가운데에서도 단연코 가장 강력한 무기이다(널리 이용되는 자동화된 악성코드와 해킹 툴킷들은 그 다음으로 강력하다). 많은 고위 임원들이 최신의, 가장 유행하는 기기들을 사용하기 위해 IT 보안을 회피한다는 사실과 그 무기가 결합되면 사이버 크룩들은 공격하기 쉬운, 아주 소중한 타깃들을 확보할 수 있다.
 
포춘이 선정한 500대 기업들만 타깃이 되는 건 아니다. 우드는 "좀더 넓은 공급망에서 보면 중소 기업이 가장 약한 연결 부위이고, 이로 인해 중소 기업들을 겨냥한 공격이 급격히 증가하고 있다"고 전했다. 
 
현재로서는 이러한 공격을 막아낼 확실한 방법이 없다. 포춘이 선정한 500대 기업들이 파트너와 공급업체들의 사이버 보안을 면밀히 검토하기 전까지는 그들도 스스로가 안전한지 아닌지 확실히 말할 수 없다. GE는 파트너들과 공급업체들에게 공장 방문 시 알리도록 함으로써 보안 방침을 확실히 이행하고 있는데도 사이버 보안에 관해서는 아직 실시하고 있지 않다.  
 
전자 지갑을 조심하라
스마트폰 위협은 확실히 증가하고 있지만 아직 대형 사고는 일어나지 않았다. 그 이유 중 하나는 플랫폼 단편화다. 악성코드 생성자들은 여전히 윈도우 PC나 웹사이트들을 겨냥해 더 많은 이익을 얻고 있다. 
 
블루 코트의 라센은 "플랫폼에 구애받지 않는 웹 기반 웜들이 악성 코드의 새로운 영역을 대표할 것"이라고 주장했다. 플랫폼에 구애받지 않는 악성코드는 합법적인 개발자들이 악성코드 작성자들을 위해 힘든 일들을 대신해주게 만든다. 개발자들이 다양한 기기에서 구동 가능하도록 웹사이트와 앱들을 재설계하고 나면 해커들은 어느 기기에서나, 어디에서나 제공되는 HTML, XML, JPEG 등의 공통적인 형식들을 겨냥할 수 있게 된다. 
 
또한 스마트폰들은 전자 지갑이 될 만반의 준비를 갖추고 있으며, 한 가지 사이버 범죄자들에 대해 확실한 특징은 그들이 간절하게 돈을 추적하고 싶어한다는 점이다. 
 
이아이 디지털 시큐리티 CTO 마크 마이프렛은 "곧 스마트폰에 도입될 NFC 지불 기술의 유비쿼티가 특히 우려된다. 유럽과 아시아에서는 이미 모바일 커머스로의 전환이 심화되고 있지만 미국은 아직 갈 길이 멀다. 미국이 모바일 결제를 상당수 적용하기 시작하면 더 많은 해커들이 이 타깃을 집중 공략할 것이다"고 전했다.
 
시간이 흐르면 스마트폰이 다른 신원 확인 방법들을 대체할지도 모른다. 운전 면허나 여권이 주머니가 아니라 폰에 담길 수도 있다. 비즈니스 세계에서는 이런 일들이 이미 벌어지고 있다. 
 
기업에서의 모든 인증 제도들은 모바일 폰을 제 2의 신원 확인 요소로 사용하고 있다. RSA 시큐어ID와 같은 하드 토큰에 의존해 온 기업들이 점점 소프트 토큰으로 옮기고 있으며, 소프트 토큰은 모바일 폰에 담아 기업 사옥 내에 자리잡고 있는 PC에서만큼이나 쉽게 밖에 돌아다니면서 사용할 수 있다. 
마이프렛은 "원래 이중 요소 인증은 사람들이 컴퓨터를 믿지 못해 생겨난 것이었다. 모바일 폰을 신원 확인 요소로 사용한다는 것은 이중 요소 인증의 본 의도를 저버리는 것"이라고 전했다.
 
소비자에게는 모바일 결제가 꼭 골칫거리인 것만은 아니다. 특히 모바일 커머스가 신용카드 계정에만 제한되고 동일한 소비자 보호를 보장한다면 말이다. 은행들은 최근 몇 년간 적극적으로 고객들을 전자 뱅킹으로 유도해 왔다. 분명 위험을 감수해야 하긴 하지만 전자 뱅킹은 기존의 뱅킹 방식보다 더 나은 ROI를 낸다. 그렇지 않으면 은행들이 그렇게 나서서 유도하지 않았을 것이다. 
뿐만 아니라 모바일 커머스는 향상된 사기 감지 기능과 같이 그것을 둘러싼 보안 혜택들을 뒤에서 제공한다. 물론 그것이 현금 인출을 위한 기능일 리는 없다. 
 
현재 안드로이드는 거대한 스마트폰 타깃이긴 하지만 공격자들이 아이폰으로 관심을 돌린다고 해도 놀라운 일은 아니다. 특히 제 3의 안티바이러스 프로그램들이 안드로이드에서 어느 정도 표준으로 자리잡게 될 경우에는 더욱 그러하다. 공격자들에게 아이폰을 사용하는 인구는 상당히 매력적이며 보안 전문가들에게 이야기해보면 그들은 애플 제품들이 허술한 보안으로 악명 높다는 사실을 알려줄 것이다. 
 
애플은 제 3의 보안 업체에게 아이폰, 애이패드, 맥북 에어 등의 보안을 개선하는데 필요한 플랫폼 접근 권한을 넘겨주는 것에 대해 극도로 꺼려하고 있다. 마이프렛은 "애플은 자사의 보안에 거의 완전히 의존하고 있다. 마치 90년대 후반의 마이크로소프트를 보는 듯 하다. 변화를 불러일으키기 위해서는 아마도 한두 건의 대형 사고가 터져야 할 것"이라고 말했다.

임베디드까지 침투, 자동차 납치의 가능성 선보여
지난 20년동안 디지털 보안에 대해 얻은 한 가지 교훈이 있다면 그것은 또 다른 대형 사고가 새로운 영역에서 항상 터진다는 사실이다. 
 
이제 자동차와 집을 대상으로 새로운 위협이 다가온다. 지난 8월 초에 열렸던 블랙햇(Black Hat)과 데프콘(Defcon) 컨퍼런스에서 전문가들은 충격적인 공격 시나리오들을 다수 선보였다. 특히 한 무서운 해커는 자동차 납치의 가능성을 보여주었다. 해커들은 경보를 사용할 수 없게 하고, 문의 잠금을 풀고, 차량 내의 무선 기기에 연결된 휴대 전화로 문자 메시지를 보냄으로써 이것들을 원격으로 시작할 수 있었다. 
 
이 외에도 위험이 있는 다른 임베디드 장치에는 에어백, 라디오, 파워 시트, ABS 시스템, 전자식 주행 안전 제어장치 ESC(Electronic Stability Control), AICC, 통신 시스템 등이 모두 포함된다. 
 
또 다른 공격 유형은 강력한 원거리 리더기를 통해 타이어 압력을 모니터하기 위한 RFID 태그들을 추적하는 것으로써 운전자의 사생활을 침해할 수 있다. 
 
맥아피 부사장이자 총괄 매니저 스튜어트 맥클루어는 "자동차의 디지털 기술에 더 많은 기능들이 내장되면 될수록 공격이나 악의적인 조종의 위협이 증가한다. 연구 기반 해킹의 많은 사례들은 잠재적 위협과 소비자들이 노출될 수 있는 침해의 정도를 보여준다. 이메일이나 노트북이 침해당하는 것도 물론 위험하지만 자동차가 해킹되는 것은 개인의 안전에 치명적인 위험이 될 수 있다"고 지적했다.
 
물론 자동차는 해킹이 가능한 임베디드 시스템들을 대표하는 한 가지 예일 뿐이다. IBM, 에릭슨, 시스코와 같은 기업에 따르면, IP로 연결된 기기들은 향후 5년에서 10년 사이에 500억에서 1조 개로 증가할 것이라고 예측했다. 이에 따라 미래의 해커들은 가정 경보 시스템에서 항공 교통 관제 시스템까지, 그리고 댐에서의 홍수 조절까지 무엇이든 타깃으로 삼을 수 있다. editor@itworld.co.kr
*캘리포니아주 산타 모니카에 살고 있는 제프 밴스는 저작권 및 콘텐츠 마케팅 회사 샌드스톰 미디어의 설립자다. 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.