악성코드/짧은생각 긴 얘기

KBS 시사기획 창 '해킹... 금융에서 안보까지'의 아쉬움

쿨캣7 2013. 6. 14. 10:48
728x90
반응형



2013년 6월 11일(화) KBS 시사기획 창에서 '해킹... 금융에서 안보까지'라는 주제로 방송이 있었습니다.




http://news.kbs.co.kr/news/NewsView.do?SEARCH_PAGE_NO=&SEARCH_NEWS_CODE=2673391


약속이 있어 늦게 들어와서 당일에는 빨리 보기로 대충 봤죠.

다음날 페이스북에 보안 관련된 일을 하는 사람들의 평이 꼭 좋은건 아닙니다.









* 언론의 문제



기본적으로 언론의 순 기능에 대해서는 잘 생각하고 있습니다.

하지만, 언론의 부정적인 부분도 분명히 있죠.


가장 큰 문제는 어떤 사안에 대해서 취재하는 기자들은 잘 모른다는 점입니다. 

그러다보면 잘못된 내용이나 그점을 이용하려는 세력(?)에 의해 이용 당할 수 있습니다. 그런데, 문제는 기자들은 그 점을 잘 인정하지 않습니다.


인터뷰만 해도 상당수 기자들은 해당 내용의 전문가에게 의견을 들이려는게 아니라 이미 자신이 생각한 말을 듣기 위해 그 사람을 이용(?) 합니다. 저같은 경우도 언론사와 인터뷰하다보면 저는 그렇게 생각안하는데 대본에 해당 말을 해주기를 바라는 경우가 종종 있어 난감한 경우가 있었습니다.


물론 모든 기자들이 이러는건 아니죠. (피해가기 ~~~)

따라서, 방송을 볼 때는 그점을 생각하고 봐야 합니다.




* 해킹... 금육에서 안보까지


방송 하기 전부터 우려스러운 의견이 많았습니다. 과거 이런 방송의 일반적인 패턴이 있었죠.

이 프로그램도 비슷한데요.


긍정적인 면이라면 보안에 대한 경각심을 줄 수 있습니다.

부정적 내용이라면 지나치게 사람들에게 겁을 주거나 오해 할 수 있거나 혹은 잘못된 내용이 나갈 수 있습니다




* 아쉬움 1 ... 인터넷 뱅킹 해킹


인터넷 뱅킹 해킹은 언론의 단골 소재입니다.


보통 사용자 컴퓨터에 악성코드를 감염 시키고 테스트를 하죠.


다른 분들이 지적한것 처럼 일단 이 방식은 은행의 인터넷뱅킹 시스템이 이 해킹 당한게 아니라 사용자 컴퓨터가 악성 코드에 감염된 겁니다. 예전부터 가장 많은 비판을 받는 부분이죠.

그래도 여기서는 인터넷 쇼핑몰의 액티브X를 통해 악성코드를 감염시키네요.


이 방식은 피해자가 악성코드게 감염되지 않으면 할 수 없는 해킹 방식입니다.

이 얘기를 빼고 마치 인터넷 뱅킹이 보안에 취약하다는 것 처럼 얘기하는건 문제 있겠죠.


정리하자면 이 시연의 문제점은 크게 두가지 입니다.


1. 인터넷 뱅킹 해킹이라고 하지만 사용자 컴퓨터 해킹임

  (은행이 해킹 당한게 아님. 이부분에 대한 언급이 없음)


  기술적으로 사용자가 컴퓨터에서 할 수 있는건 프로그램에서도 그대로 할 수 있기 있습니다. 


2. 해당 쇼핑몰에 방문한 사람들만 악성코드에 감염 됩니다.

   따라서 피해자는 매우 한정적일 수 밖에 없습니다.


   물론 인터넷뱅킹 접속 했을 때 악성코드에 감염되거나 포털 방문만으로 악성코드에 감염되는걸 보여줬으면 더 

대박이었겠죠. (하지만.. 이건 사실 범법행위가 시연에서 보여주기 힘들겠죠.)


그냥 인터넷 뱅킹이 위험하다라고만 하지 말고 이런 부분에 대해서도 언급했으면 더 좋지 않았을까 합니다.

그러면 사람들이 인터넷 뱅킹이 위험하구나하는 생각이 아니라 "내 컴퓨터가 악성코드가 감염되면 위험하구나. 어떻게 감염 안되도록 할 수 있을까 ?"라고 생각하지 않을까요 ?



* 아쉬움 2 ... 최악의 상황을 가정


최악의 상황을 가정해 사이버공격으로 국내가 마비되는 모습을 보여줬습니다.

물론 이런 상황이 발생 할 수는 있지만 이런 일이 발생하기 위해서는 한번에 이뤄지는게 아니라 지속적인 공격 시도가 필요합니다.


언론을 통해서도 얘기되고 있지만 어떤 사이버 공격이 발생하는데는 제법 긴 시간이 걸립니다


이론적으로 이런 방송에서 언급한 대규모 공격도 가능하지만 더 긴 시간이 필요하고 징조도 많이 보일 겁니다. 


이런 부분도 같이 얘기했으면 합니다



* 아쉬움 3 ... 특정 업체 주장


특정 업체에 대한 얘기다보니 여기서 자세하게 반박(?)하는건 기는 힘든데요.

다만 확실한건 특정 업체의 주장일 뿐이며 사실 관계가 확인되지 않았습니다. 홍보목적도 다분히 있을테구요.


현재 발생하고 있는 공격은 특정 업체의 보안시스템만 도입한다고해서 해결 될 수 없습니다.

특정 업체만 해결 할 수 있는 문제였다면 이미 특정 업체가 보안시장을 다 차지했겠죠.

하지만, 현실은 그렇지 않습니다.



* 아쉬움 4 ... 백신에 대한 오해 문제


많은 사람들(심지어 보안일을 하는 사람들 조차!)이 백신이 만능이라고 생각합니다.


안랩의 '백신에 대한 오해와 진실'의 말을 인용하겠습니다.


http://www.ahnlab.com/company/site/pr/comPressRelease/comPressReleaseView.do



 '기본적으로 알아야 할 사실은 백신은 알려지지 않은 악성코드[unknown]에 대한 선제적 예방[Proactive] 솔루션이 아닌 ‘알려진 악성코드’에 대한 대응적[reactive]방어책이라는 것입니다.'



공격자의 공격을 백신으로만 막는다는건 잘못된 생각입니다.



* 아쉬움 5 ... 무료 백신과 국내 보안 경쟁력


보면서 제일 황당한 내용이었습니다.

기본적으로 해킹과 백신에 대한 관계를 몰라서 발생한 부분이라고 생각합니다.


아쉽게도 관계 업체에서 일하다보니 제가 언급할 만한 사항은 아닌 듯해 다른 분께서 언급해 주실거라 생각합니다.


제 예상에는 인터뷰한 하우리 분도 자신의 답변이 저런식으로 나갈지는 예상 못했을 듯 합니다.

(편집의 마술이 있으니까요.)



* 마무리


잘나가다 결론 부분이 이상하다는 얘기를 많이 합니다.


막는 방법이 망분리로 나오는데요.

망분리만으로는 막을 수 없죠. 앞에서 얘기한 Stuxnet이 망분리되어 있는 시스템에 공격한 거니까요.


다시 한번 얘기하자면 현재의 보안사고는 특정 솔루션 도입만으로는 막을 수 없습니다.


그리고 자꾸 500명, 500명이라는데 이 추정 근거도 의문이 듭니다만 단순히 보안인력 양성한다고해서 문제가 해결될까요 ?


보안을 의료와 비교해 보겠습니다.


아무리 훌륭한 의사가 많고 의료시스템이 잘되어 있다고 해도 환자가 찾아오지 않으면 어떻게 될까요 ?

환자가 병원을 찾아가지 않는데 마치 "의사들은 많은데 왜 못 막아 ?"라는 얘기와 같습니다 

시간이 지나 보안인력이 대규모 양상되었을 때도 지금과 같은 문제가 발생할 가능성이 높습니다.


의사들만 양상할게 아니라 사람들도 질병에 걸리지 않기 위해 노력을 해야겠죠. 


예방을 위해 노력한다고 해서 병에 안걸리는건 아닙니다.  이때 필요한건 뭘까요 ? 바로 조기 검진입니다

(대충대충 되는 경우도 많습니다만.. 조기검진을 통해 암 등을 발견해 생존율이 올라가는 부분도 분명 있겠죠.) 



다시 한번 결론을 말씀드리자면 현재 사이버보안은 보안인력만 양상한다고 해서 해결 할 수 없습니다.

보안 업무만 하는(상당수가 다른 업무도 같이하죠) 자체 보안팀은 기본으로 구성원 모두가 보안에 대해 신경쓰는 문화를 가지고 이상 징조가 있을 때는 전문가에게 조언을 구하는 형태의 시스템으로 가야합니다.


이렇게 되어도 질병을 100% 막는건 불가능 하듯 보안사고도 100% 막을 수는 없다는 생각을 가지고 다음 단계로 대비해야 겠죠.





728x90
반응형