보라빛 소를 만나기 위한 도약

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1870호(2018. 10. 31. 발행)에 기고한 원고입니다.

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

페이스북에 16억 달러 벌금 부과 가능성, 현실화 된 EU의 GDPR 리스크.pdf

[ 요 약 ]

[ 본 문 ]

◾ 이용자 2,900만 명의 개인정보가 누출된 페이스북 사태가 유럽연합(EU)의 새로운 개인정보보호 정책인 ‘보편적데이터보호규정(GDPR)' 적용의 첫 시험대가 될 것으로 보임

▸ 페이스북은 지난 9월에 사용자 2,900만 명의 이름과 연락처 정보가 노출되었다고 인정했으며, 이 중 1,400만 명은 성별, 거주지 등의 개인정보가 추가 도난당했다고 밝혔음

<자료> TechCrunch

[그림 1] GDPR을 위반하게 된 페이스북

▸ 사건이 터지자 베라 주로바 EU 법무 담당 집행위원은 ‘유럽연합은 매우 엄격한 규정을 가지고 있으며, 페이스북을 포함해 개인정보를 위험하게 취급하는 기업들을 징계할 수 있는 강력한 수단을 가지고 있다’는 입장을 표명하였음

▸ 외신들은 EU가 해킹당한 유럽인 이용자의 규모에 따라 처벌 수위를 정할 것이라고 내다보고 있는데, 페이스북이 유럽 피해자의 규모를 정확히 밝히고 있지 않은 가운데, 해킹 피해 계정의 10~15%인 300~500만 개가 유럽 이용자의 것이라는 보도들이 나오고 있음

▸ GDPR에 따르면 유럽인들의 개인 정보를 필요로 하는 기업들은 그 정보의 보유와 보안에 대한 엄격한 요구사항을 준수해야 함

▸ 만일 이를 지키지 못하면 EU는 GDPR에 의거, 전년도 기업 매출의 최대 4%를 벌금으로 부과할 수 있는데, 페이스북의 경우 2017년 매출이 406.53억 달러이므로 벌금은 최대 16.26억 달러에 달할 수도 있음

◾ GDPR은 유럽연합의 규정이므로 다른 지역과는 무관할 것이라 생각할 수도 있는데, 페이스북의 사례에서 보듯 유럽 거주자의 정보를 보유한 기업이라면 고객정보 유출시 GDPR의 대상이 됨

▸ 올해 5월 25일 시행된 GDPR은 유럽연합 거주자의 개인정보보호를 목적으로 제정된 법률이지만, 인터넷 시대에는 어떤 기업이든 용이하게 글로벌 서비스를 전개할 수 있고 유럽인들을 서비스 회원으로 받아들일 수 있기 때문에 사실상 EU라는 지역적 제한은 없는 셈

▸ GDPR은 여러 면에서 논란이 있는데, 대표적인 것이 고객정보 유출 사고에 관한 것으로 페이스북 사례에서 보듯 EU 거주자가 포함될 경우 EU 내에 있는 기업이 아니더라도 정보 누출 사실을 신속하게 신고하지 않으면 최소 1천만 유로의 벌금을 부과하게 되어 있음

▸ 기업 입장에서 더욱 조심해야 할 것은 자신들이 직접 해킹을 당한 것이 아니라 정보 업무를 대행해 주는 기관에서 발생한 해킹 사건으로 인해 고객 정보가 유출되었을 경우에도, 정보 업무를 위탁한 기업에게 신고 의무를 규정하고 있다는 사실임

▸ 실제로 지난 6월 말 호텔 예약 시스템을 운영하는 ‘프랑스 패스트 부킹’ 사이트에서 정보 누출 사고가 있었는데, 이 호텔에 예약 업무 대행을 맡긴 전세계의 호텔들 대부분이 GDPR 당국에 사고 사실을 통지하지 않았음

▸ 이 경우는 정보 대행업체로부터 개인정보가 누출된 것이지만, GDPR은 이때도 위탁원에 통지의무가 발생한다고 규정하고 있어, 통지하지 않거나 통지가 늦어지면 GDPR 위반으로 고액의 벌금을 부과 받게 되는 것임

◾ 이처럼 의도하지 않게 GDPR 규정을 위반할 수 있다는 위험 때문에, 준비해 온 서비스 런칭을 포기하는 기업의 사례나, 위반 사실을 빌미로 돈을 요구하는 협박 사례도 나오고 있음

▸ 서비스와 관련된 정보 처리를 모두 직접 수행하지 않고, 일부 프로세스를 외부와 연계하여 처리하는 기업이라면 GDPR 규정에 특히 주의를 요할 필요가 있음

▸ 대개 정보처리를 위탁받거나 하청받은 업체는 사고가 발생할 경우, 이 사실을 드러내지 않고 신속히 수습하려는 시도를 먼저 하기 마련임

▸ 이는 기업 내부가 아니라 기업 외부에서 GDPR이 위반될 위험이 상존한다는 것을 의미하는 것이며, 정보보호 컨설팅 기관으로부터 이런 위험을 지적받은 업체들 중에서 준비해 온 서비스를 포기하거나 보류하는 사례도 나오고 있음

▸ GDPR은 사고 발생 통지 의무뿐 아니라 개인정보의 취급이나 사용자에 대한 대응, 보안 대책 등에 많은 의무를 부과하고 있고, 위반하면 고액의 벌금을 부과 할 수 있기 때문에 GDPR 규정 위반 사실을 볼모로 기업에 협박을 하는 사례도 발생하고 있음

▸ 불가리아에서는 기업에 대해 ‘당신들 서비스의 개인 정보를 훔쳤으며, 이 개인 정보들이 공개되는 걸 원하지 않으면 지정된 시간 안에 돈을 입금하라’고 협박하는 사건이 있었는데, 요구 금액은 기업 규모에 따라 1천~2만 달러 수준이었음

▸ 이 사건을 공개한 불가리아의 보안 기업 TAD 그룹에 따르면, 대부분의 기업은 어떤 식으로든 GDPR 위반 가능성이 있으며, 누군가 정보 유출 사실을 알고 GDPR 감독 기관에 알려주면 적발될 수 있는데, GDPR의 제재금은 최소 1,000만 유로임

▸ 이 제재금에 비하면 협박범의 요구 금액은 상당히 약소한 수준이기 때문에, 보안상 취약점을 알리겠다는 협박을 받으면 실제 돈을 지불할 것을 고려하는 기업들이 있다고 함

▸ 이런 위험 때문에 정보보호 컨설팅 기관들 중에는 외국의 이용자 비중이 많지 않은 서비스라면, 특히 유럽 이용자의 비중이 낮은 서비스를 운영하는 기업이라면, 아예 유럽에서는 사업을 전개하지 않거나 서비스 접속을 차단하는 것이 나을 수도 있다고 조언하고 있음

◾ GDPR은 최악의 경우 기업의 존폐에까지 영향을 미칠 수 있는 중요한 규정이기 때문에, 내용을 정확히 파악해 두어야 할 필요가 있는데, 가장 유념해야 할 조항은 크게 5가지임

▸ GDPR은 유럽 의회에서 2016년 4월 27일 채택되어 약 2년간의 준비 기간을 거쳐 시행된 것인데, 이 만큼의 준비 기간이 있었음에도 상당수의 기업, 특히 비유럽권 국가의 기업들 대부분은 대응 태세를 갖추고 있지 못하고 있음

▸ GDPR 시행 직전인 올해 4월경에 미국에서 시행된 설문 조사 결과들에 따르면 ‘GDPR의 내용을 이해하고 있다’고 응답한 기업은 조사 대상의 약 3분의 1 수준이었으며, 시행 후 5개월이 지난 9월말에 GDPR 대응을 마쳤거나 마쳐가는 기업은 약 45% 수준임

▸ GDPR에 대해 무관심한 이유는 대부분의 국가에서 어떤 형태든 개인정보보호법을 시행하고 있고, GDPR은 유럽 지역의 개인정보보호법일 뿐이라 생각하기 때문

▸ 가장 위험한 오해는 GDPR이 요구하는 것이 단순히 비유럽 지역 국가의 개인정보보호법 보호 대상에 EU 시민들을 포함시켜 달라는 것 정도로만 이해하는 것임

▸ 이런 접근은 자칫 큰 문제로 이어질 수 있어 정확히 이해할 필요가 있는데, 특히 5가지 포인트에 유의하지 않으면 스타트업들은 문을 닫아야 할 위험에 처할 수도 있음

[표 1] 국내 기업이 유의해야 할 GDPR 규정의 5가지 포인트

◾ 우선 가장 크게 오해하고 있는 것은 ‘대상이 되는 개인의 범위’인데, GDPR은 유럽의 거주자뿐 아니라 EU 국적이 없더라도 단기간 EU에 체류하는 사람까지를 포함함

▸ GDPR의 보호 대상은 정확하게는 ‘유럽경제지역(EEA)’에 ‘있는 사람’인데, EEA는 EU에 가입하는 28개국에 아이슬란드, 노르웨이, 리히텐슈타인의 3개국을 더한 것으로, EU를 탈퇴한 영국을 뺀 사실상 유럽 전역으로 생각하면 됨

▸ 혼란이 발생하는 지점은 ‘있는 사람’에 대한 해석인데, EU 국적과 주소가 없어도 EU를 방문한 사람은 모두 대상이 되며, 며칠간의 단기 출장이나 여행으로 방문한 사람도 대상이 될 수 있기 때문에 EU 거주자로만 한정하는 것은 잘못된 이해임

◾ 다음은 GDPR의 적용 대상인데, EU 내에서 운용되는 서비스 외에 지리적 한계와 상관없이 EU에 있는 사람과 관련된 서비스를 모두 포함하고 있음

▸ GDPR은 서비스 대상으로 「EU에서 개인정보를 관리하고 처리하는 서비스」, 「EU 거주자에게 제공되는 서비스」, 「EU 거주자의 행동을 모니터하는 서비스」의 세 가지를 들고 있음

▸ 즉, EU에 비즈니스 거점이 없는 서비스 사업자라 할지라도, 「EU 거주자에게 제공되는 서비스」와 「EU 거주자의 행동을 모니터하는 서비스」라는 조항의 적용을 받게 되는 것임

▸ 구체적으로는 가령 클라우드 서비스나 전자상거래 사이트, 암호화폐 거래소 등이 모두 해당하며, 국내용 서비스라 하더라도 이용자가 EU 거주자 혹은 EU에 잠깐 머문 사람이라면 적용 대상이 된다는 점을 유의해야 함

▸ PwC 컨설팅은 ‘자국 언어(비유럽권 언어)로만 되어 있는 서비스이므로 EU 거주자를 대상으로 한 것이 아니다’는 논리로 GDPR 법 적용을 피할 가능성은 낮다고 보고 있음

▸ 따라서 적용을 받지 않으려면, ‘EU 거주자는 사용할 수 없는 서비스’임을 고지하거나 혹은 ‘EU 거주자를 위한 서비스가 아님’을 명시할 필요가 있음

◾ 보호 대상이 되는 개인정보를 ‘개인 식별 정보’로 오해하는 경우도 많은데, 실제 범위는 더 넓어서 GDPR은 하드웨어 식별 정보나 쿠키까지도 정보보호 대상으로 규정하고 있음

▸ GDPR는 개인 정보로 이름과 식별번호, 위치 정보, 이메일 주소, IP 주소, 쿠키 등을 명시하고 있는데, 특징적인 것은 IP 주소와 쿠키로 하드웨어를 식별하는 정보는 대부분 국가의 개인정보보호법에는 포함되지 않는 것임

▸ 쿠키는 모르겠으나 IP 주소에는 개인정보가 없다고 판단해 정보를 획득하고 있는 서비스도 적지 않은데, GDPR에 개인정보의 하나로서 명시되어 있기 때문에 IP 주소를 받을 경우에 반드시 사용자의 동의를 얻을 필요가 있음

◾ GDPR은 정보처리를 기업 외부에 위탁하는 경우 위탁자와 수탁자(실제 처리자)의 의무를 각각 규정하고 있는데, 비교적 잘 알려진 72시간 이내 통지 의무는 대표적인 관리자의 의무임

▸ GDPR는 개인정보 취급 방안을 ‘관리자(controller)'와 ’처리자(process)'라는 두 주체의 관점으로 나누어 각각 의무를 규정하고 있는데, 72 시간 이내에 통지 의무는 관리자의 의무임

▸ 관리자는 개인정보를 주체적으로 취급하고 개인에게 서비스를 제공하는 조직과 사람을 가리키며, 처리자는 관리자를 대신해 개인정보를 처리하는 조직과 사람을 가리키는데, 통상 관리자는 여러 처리자와 계약을 하기도 하며 처리자는 다시 부처리자와 재계약을 하기도 함

▸ 관리자가 직접 개인정보를 처리하면 처리자는 없게 되지만, 관리자가 자신을 대신해 외부에 개인정보 처리를 일부라도 위임하게 되면 관리자와 처리자가 각각 존재하게 됨

▸ GDPR에서는 72시간 이내 통지 외에도 다양한 관리자의 의무를 명시하고 있는데, 개인정보를 취득 할 때 이용 목적 및 보관 기간 등의 조건을 제시하고, 본인의 요청이 있으면 보관하고 있는 개인정보를 공개하는 것 등이 대표적임

<자료> Delete Agency

[그림 2] 데이터의 ‘주체-관리자-처리자’ 관계

◾ 관리자의 경우 ‘통지’가 구체적으로 어떤 작업인지를 정확히 알아야 하는데, 우선 GDPR의 감독기관은 한 곳이 아니라 EU의 각국에 산재해 있다는 것을 알 필요가 있음

▸ GDPR 대응을 지원하는 개인정보보호위원회의 웹사이트에 가면 감독기관 목록을 확인할 수 있는데(현재 67개 기관이 지정되어 있음), 유의할 것은 통지에 사용하는 포맷이 감독기관에 따라 다르고 각 나라의 언어로 작성할 것을 요구하는 경우가 많다는 점

▸ 정보 유출이 발생했을 때 어떤 감독기관에 통지해야 할지도 이슈가 되는데, EU 내에 거점이 있는 사업자는 그 거점이 있는 국가의 감독기관에 통보하면 되지만, EU에 사업 거점이 없는 사업자들이라면 상당히 불편을 겪을 수 있음

▸ GDPR는 원칙적으로 유출된 개인정보의 소유자가 거주지한 곳의 감독기관마다 통지하도록 규정하고 있는데, 정보 누출 피해자가 여러 국가에 걸쳐있는 경우 그 국가 수만큼의 기관에 통지해야 한다는 뜻임

▸ 결론적으로 피해자가 여러 국가에 걸쳐 있는 경우, 각국의 감독기관에 각 나라의 언어로 통지서를 작성해 알려야 한다는 것으로, 이는 기업 입장에서는 불합리하게 느껴질 수 있는 점이나 현실이 이러하므로 72시간 내 통지가 그리 넉넉하지 않을 수 있다는 것을 인식해야 함

◾ 72시간 이내 통지 의무에서 또 하나 이슈가 되는 것은 ‘기산 시점’ 즉 ‘언제부터 72시간 이내’인가 하는 것인데, 이에 대해서는 명확한 규정이 아직 없음

▸ 일단은 사업자가 ‘이때부터’라고 결정한 곳이 기산점이 되는데, 자체적으로 시스템을 운용하는 경우 시스템이 이상 징후를 발견하면 경고 메시지를 보내고, 관리자는 사실 확인을 통해 정보 누출 가능성을 판단할 수 있는데, 이런 판단 시점이 기산점이 될 수 있음

▸ PwC 컨설팅은 누출 가능성을 인지했을 경우는 사 내에서 회의를 열어 기점을 언제로 할지 정하는 것이 좋다고 조언함

▸ 또한 누출 가능성은 있으나 흔적을 발견하지 못했을 때는 흔적을 찾는 시한을 정해 놓고, 시한 때까지 흔적을 찾지 못하면 누출 가능성이 있다고 일단은 통지할 필요가 있다고 조언

▸ 누출 흔적이 발견될 때까지 통지하지 않는 것은 위험할 수 있는데, 최종적으로는 GDPR 당국이 판단을 하겠지만 가능성을 인지한 시점과 실제 흔적을 발견할 때까지의 시간이 상식선을 넘어간다면 통지 의무 위반으로 결정될 가능성이 높기 때문임

▸ 처리자로부터 정보 유출이 발생한 경우는 그 보고를 받은 때가 기점이 될 것인데, 처리자로부터 보고가 신속히 올라오지 않을 가능성이 있기 때문에, PwC는 정보처리 위탁계약을 할 때 정보 유출 발생부터 보고까지 소요 시간을 계약내용에 포함시키는 것이 좋다고 조언

◾ 마지막으로 제재금의 엄중함도 반드시 염두에 두어야 하는데, 벌금 없이 주의로 끝날 수도 있지만, 일단 범금이 부과될 사안이라고 판단되면 최소 1천만 유로가 부과되기 때문

▸ GDPR 위반이 발생한다고 해서 즉시 벌금이 부과된다는 것은 아니며, 감독기관이 위반 내용과 상황을 확인하고 주의만으로 끝내는 경우도 있음

▸ 주의 수준을 넘어서는 경우, 경미한 위반은 1천만 유로 또는 전년 매출의 2% 중 높은 금액, 중대 위반은 2천만 유로 또는 전년 매출의 4% 중 또는 높은 금액을 부과하게 되어 있음

▸ 주의와 경미한 위반 및 중대 위반 사이에 다른 유형은 존재하지 않기 때문에 정상참작의 여지가 있어도 제재금을 낮춰줄 방법이 없기 때문에 일단 위반하지 않는 것이 중요함

▸ 경미한 위반은 관리자 및 처리자의 의무를 위반하는 경우로, 가령 관리자의 72시간 내 통지 의무 위반은 경미한 위반으로 간주되며 중대 위반은 아님

▸ 중대 위반은 ‘동의’를 비롯한 개인정보 처리의 기본 원칙을 위반한 경우, 정보주체의 권리를 보장하지 않는 경우, 제3국이나 국제기구에 개인정보를 이전할 때 준수해야 할 규정을 위반한 경우 등 개인 정보권을 침해할 때 적용됨

◾ 인터넷을 통해 모든 기업, 특히 콘텐츠와 서비스 기업들의 용이한 글로벌 비즈니스가 가능하게 된 지금, GDPR이 사업의 중대 위협이 되지 않도록 보다 철저히 준비할 필요가 있음

▸ 내수 시장의 한계라는 구조적 문제를 겪고 있는 우리나라의 기업들은 필연적으로 글로벌 서비스를 전개할 수밖에 없는데, 인터넷 시대의 도래로 그 어느 때보다 용이한 글로벌 사업의 전개가 가능해진 것은 국내기업들에게 호조건이 되고 있음

▸ 특히 현지에 직접 진출하지 않더라도 서버 운영만으로 수출 효과를 낼 수 있다는 것이 인터넷 비즈니스의 장점이며, 영어가 사실상 세계 공용어의 역할을 하고 있기에 영어로 서비스만 운영하면 전세계 사람을 소비자로 맞이할 수 있는 것도 장점임

▸ 그러나 이런 장점들은 GDPR의 발효에 따라 글로벌 비즈니스를 전개하는 국내 기업들에게 동시에 위협 요인으로 전환될 가능성이 생겼는데, 직접 유럽을 대상으로 서비스를 운영하지 않더라도 GDPR을 위반할 수 있기 때문

▸ K-팝을 위시해 최근 유럽 내에서 K-콘텐츠에 대한 관심이 커지며, 유럽의 이용자들 중에는 미국의 서버에 접속하거나 심지어 한글을 배워 한국 서비스에 직접 접속하는 경우도 생겨나고 있음

▸ 따라서 유럽을 직접 겨냥한 서비스를 운영하지 않는 곳이라도, 현재 GDPR 규정 준수 태세를 갖추고 있는지 점검할 필요가 있는 것임

◾ 아울러 GDPR을 과도한 규제정책으로만 치부하고 외면할 것이 아니라, 개인의 정보권 보호라는 측면에서 국내의 개인정보 취급 관행에 대해서도 성찰하는 계기로 삼는 노력도 필요할 것임

▸ 인터넷으로 인해 사람들이 얻고 있는 혜택은 가늠할 수 없을 만큼 크지만, 그 과정에서 벌어진 부작용과 폐해를 바로 잡고자 하는 노력들도 한편에서 시작되고 있으며, 그 중 GDPR은 개인의 정보권을 보호하기 위한 강경한 흐름을 대변하고 있음

▸ 특히 GAFA(구글, 애플, 페이스북, 아마존닷컴)로 대표되는 미국 기업들에 의한 개인정보 집중화의 폐해를 막기 위한 유럽의 대응이라는 측면에서, GDPR의 기조가 변할 가능성은 별로 높지 않으며 오히려 강화될 가능성도 있음

▸ 보기에 따라 GDPR의 규제 내용이나 제재 수준이 과하다고 느낄 수도 있지만, GDPR이 요구하는 것은 데이터를 다루는 행정적인 절차가 아니라 개인정보 데이터를 대하는 기본 입장과 철학에 관련된 이슈임을 인식할 필요가 있음

▸ GDPR이 요구하는 개인의 정보권리 강화는 사실 당연한 것인데, 이것이 과도하게 느껴진다는 것은 반대로 생각하면 그 동안 개인의 정보권 보호보다 기업의 이익을 앞세운 행위들이 당연한 듯이 행해져왔음을 방증하는 것임

▸ 이는 비단 GAFA 같은 글로벌 거대기업에만 해당하는 것은 아니며, 크던 작던 규모에 상관없이 국내용 서비스를 운영하는 업체들 모두가 짚어 보아야 할 지점임

▸ 향후 서비스 모델 경쟁의 한 축은 개인의 정보권 강화 흐름을 수용하면서 동시에 고객 가치와 편의성을 어떻게 제공할 것인지가 될 것이며, 이 난제를 영리하게 해결하는 기업들만이 성장을 지속할 수 있을 것으로 보임

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1858호(2018. 8. 8. 발행)에 기고한 원고입니다.

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

개인정보보호를 장점으로 내세운 인도산 웹브라우저 &lsquo;에픽&rsquo;.pdf

◾ 4대 브라우저들이 각각의 전문성을 앞세워 점유율 경쟁을 벌이고 있는 가운데 신생 브라우저들도 꾸준히 개발되고 있는데, 개인정보보호를 앞세운 ‘에픽(Epic)’도 그 중 하나

▸ 대부분의 인터넷 이용자들이 크롬(Chrome), 파이어폭스(Firefox), 엣지(Edge), 사파리(Safari) 등 소위 4대 웹브라우저를 이용하고 있지만, 특색 있는 기능을 앞세운 신생 웹브라우저들은 끊임없이 개발되고 있음

▸ 가령 비발디(Vivaldi) 웹브라우저는 하드코어 파워유저를 대상으로 하고 있으며, 브레이브(Brave)는 온라인 광고 생태계를 재편할 수 있다는 점을 어필하고 있음

▸ 그리고 개인정보보호를 특색으로 내세운 웹브라우저들도 일부 있는데, 대중적으로는 별로 알려지지 못했지만 인도 기업 ‘히든 리플렉스(Hidden Reflex)'가 개발한 ‘에픽(Epic)’도 그 중 하나임

▸ 에픽 웹브라우저는 해당 웹사이트(https://www.epicbrowser.com)에 접속해 다운로드 받아 설치할 수 있음

<자료> Technix Update

[그림 1] 에픽 웹브라우저의 인터페이스

◾ 에픽은 구글이 지원하는 오픈소스 프로젝트인 ‘크로미움(Chromium)’을 기반으로 하는 웹브라우인데, 크로미움의 소스코드는 크롬에도 사용되고 있음

▸ 에픽 이외에 크로미움을 베이스로 하는 웹브라우저로는 오페라(Opera)와 브레이브, 그리고 중국 기업이 만든 치후 360(Qihoo 360) 등이 있음

▸ 에픽이 크로미움을 기반으로 하기 때문에, 블링크(Blink) 렌더링 엔진과 V8 자바스크립트 엔진 등 크롬을 작동시키는 백엔드 기술들은 에픽에서도 사용되고 있음

▸ 그렇다고 에픽이 항상 크롬 최신 버전과 궤를 같이 하는 것은 아닌데, 에픽의 개발자들은 크로미움 정식 버전의 소스코드를 입수한 후 그 프레임워크에 에픽의 고유 요소를 구현해 나가기 때문에 소스코드는 통상 크롬 최신 버전보다 늦어지게 됨

▸ 이와 같은 지연은 크로미움 기반의 다른 브라우저에서도 볼 수 있는 현상으로, 가령 오페라 현재 버전의 기반이 되는 것은 ‘크로미움 65’이지만, 현재 크롬 브라우저는 ‘크로미움 67’을 기반으로 하고 있음

◾ 현재 모든 웹브라우저들이 개인정보보호 강화를 주창하고 있음에도 에픽이 프라이버시 보호를 특색으로 내세우는 이유는 외부로 내보내는 정보량을 최소화하기 때문임

▸ 에픽 브라우저의 웹사이트에 있는 FAQ에는, ‘우리는 당신이 무엇을 탐색하고 검색하는지가 마땅히 비공개여야 한다고 믿는다. 그것은 다른 누군가의 일이 아닌 바로 당신의 일이다. 아주 명료한 것이다’라는 내용이 있음

▸ 이를 위해 에픽은 외부에 제공하는 정보량을 줄이기 위한 방안을 최대한 강구함으로써 개인정보보호 수준을 타 브라우저들보다 높이려는 시도를 하고 있음

▸ 가령 크롬의 인코그니토 모드(Incognito Mode)나 파이어폭스의 프라이빗 브라우징(Private Browsing)처럼 메이저 브라우저들은 인터넷 사용 기록을 자동 삭제하는 모드를 수동으로 활성화 시켜주어야 하지만 에픽은 당초부터 이런 모드에서만 실행됨

▸ 즉, 사용자가 에픽을 종료하면 모든 쿠키, 사용 기록, 캐시 등 모든 웹브라우징 관련 데이터들이 자동으로 삭제되도록 기본 설정해 놓았음

◾ 에픽 브라우저는 또한 검색엔진이 사용자의 실제 IP 주소를 알 수 없게 함으로써, IP. 주소 역추적을 통한 사용자 추적을 불가능하게 하고 하였음

▸ 에픽은 개발사인 히든 리플렉스가 자체적으로 운영하는 프록시 서비스(내장 VPN)를 이용할 수 있는데, 즉 모든 검색 요청을 프록시를 통해서 실행하기 때문에 검색엔진 측에 사용자의 IP 주소를 알리지 않을 수 있고, 따라서 IP 주소 추적을 피할 수 있음

▸ 내장 프록시/VPN 기능은 검색 주소창 옆에 있는 아이콘을 클릭하면 수동으로 설정할 수 있는데, 접근하려는 웹사이트, 서비스, 온라인 앱들로부터 실제 IP 주소를 숨길 수 있기 때문에 사용자의 위치를 추적하는 것을 막을 수 있음

▸ 이렇게 되면 사용자의 정보가 누군가의 서버 측에 기록으로 남거나, 원치 않는 상대방의 푸시 메시지를 받지 않을까 하는 우려를 없앨 수 있음

<자료> ComputerWorld

[그림 2] 빌트인 VPN의 수동 설정 기능

◾ 이 외에도 에픽 브라우저는 모든 광고를 차단하는 것은 물론 광고 추적기와 광고 추적 기술을 차단하는 강력한 프라이버시 보호 기능을 실행하고 있음

▸ 4대 브라우저들 역시 광고 차단 및 추적 제한 기능을 구현하고 있는데, 가령 파이어폭스는 광고 차단 기능을 연내에 탑재할 계획이며, 사파리는 애플의 ‘지능형 추적 방지(Intelligent Tracking Prevention)’ 기술을 시험적으로 도입하고 있음

▸ 그러나 에픽처럼 광고 차단 기능과 추적 방지 기능을 둘 다 수행하는 브라우저는 없고, 에픽만큼 방지 기능의 수준을 강력하게 구현한 브라우저도 없음

▸ 에픽은 다양한 형태의 광고 추적기 및 추적 기술을 모두 차단하고 있는데, 여기에는 스크립트를 사용하여 사용자의 '지문'을 비밀리에 채취하려는 여러 기술들이 포함됨

▸ 이는 인터넷에서 사용자가 취한 행동의 처음부터 끝까지를 추적하거나, 본인임을 알아차릴 수 있도록 범위를 좁혀 특정하는 등의 행위를 막기 위해서임

▸ 또한 에픽은 사용자가 링크를 따라 다른 페이지로 이동할 때 이전 사이트를 식별하는 리퍼러 헤더(referrer header) 데이터도 전달하지 않는데, 대부분의 경우 이전 페이지는 검색 엔진 결과 페이지일 경우가 많기 때문임

▸ 웹페이지 접속 시 브라우저의 종류를 알려주는 사용자 에이전트 스트링을 알려줄 때는 구버전의 크롬이라고 알려주기 때문에, 만일 에픽 브라우저의 사용이 늘어나더라도 사용자 점유율 통계에는 잡히지 않음

▸ 넷 애플리케이션스(Net Applications) 같은 앱 사용 점유율 시장조사 기관들은 모두 사용자 에이전트 스트링을 이용해 접속한 브라우저의 유형을 파악하고 있기 때문

◾ 에픽 브라우저가 크롬을 베이스로 하고 있기 때문에 구글에 데이터를 보내는 것 아니냐는 의문이 들 수는 있는데, 이에 대해 개발사인 히든 리플렉스는 절대 그렇지 않다고 설명

▸ FAQ 페이지에는 ‘에픽은 기본적으로 크로미움에서 구글의 전체 서비스를 삭제하므로 사용자의 브라우저는 전혀 구글의 서버를 통과하지 않는다’고 설명되어 있음

▸ 이는 에픽의 단점이 될 수도 있는데 실용적인 측면에서 본다면, 주소창의 자동 완성 기능이나 번역 기능 같이 구글의 서버에서 실행이 이루어지는 서비스는 에픽에서 이용할 수 없거나, 아니면 에픽이 로컬에서 처리해야 하는 부담을 안아야 하기 때문

▸ 물론 에픽의 이런 조치에도 불구하고 구글이 에픽에서 정보를 수집하지 않는다는 보장은 없는데, 정보 수집 여부는 대부분 사용자의 의향에 달려있기 때문

▸ 가령 FAQ 페이지에는 지메일 계정에 로그인하지 말 것을 권고하고 있는데, 구글의 새로운 프라이버시 정책은 구글의 모든 서비스에 걸쳐 개인 정보 수집을 인정하고 있기 때문에, 구글은 지메일에 로그인한 사용자의 검색을 추적할 수 있는 것으로 알려져 있음

◾ 앞에서도 잠시 언급한 것처럼 대부분의 기능을 아예 차단한다는 것이 에픽 브라우저의 단점인데, 아주 유용하게 사용하는 크롬의 확장 기능을 에픽에서는 이용할 수 없음

▸ FAQ에 따르면, ‘브라우저 확장 기능은 아주 유용할 수는 있지만 보안 및 프라이버시 관점에서는 매우 큰 위험 요인이 되므로, 에픽은 신뢰할 수 있는 몇 가지 애드온(add-on) 기능만을 허용’하고 있음

▸ 에픽에서 이용할 수 있는 몇 안 되는 부가 기능으로는 암호관리 도구인 라스트패스(LastPass)와 로보폼(RoboForm), 웹 콘텐츠를 잘라낼 수 있는 에버노트 웹 클리퍼(Evernote Web Clipper), 북마크 동기화 도구인 엑스마크(Xmarks) 등이 있음

▸ 에픽 브라우저는 2013년부터 운영되어 오고 있지만 비즈니스 모델이 결여되어 있기 때문에 앞으로도 계속 운영되리라는 보장은 없음

▸ FAQ에 따르면 무료 브라우저를 운영하면서 사업을 유지할 방안을 현재 한창 마련 중에 있으며, 히든 리플렉스는 프리미엄 프라이버시 서비스, 새 탭 페이지의 스폰서, 비공개 검색 스폰서 등의 가능성에 대해 언급한 바 있음

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1849호(2018. 6. 5. 발행)에 기고한 원고입니다.

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1831호(2018. 1. 31. 발행)에 기고한 원고입니다.

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

구글 이미지 인식 교란 스티커 발표, AI 해킹에 대비할 필요.pdf

[ 요 약 ]

[ 본 문 ] 

ž 구글 리서치 그룹은 논문을 통해 이미지 인식 인공지능(AI)의 알고리즘을 오작동시킬 수 있는 스티커를 발표하였음

Ø  논문에 따르면 ‘애드버세리얼 패치(Adversarial Patch, 적대적 스티커)’라 불리는, 추상화를 연상시키는 디자인의 원형 스티커를 사물 옆에 붙여 두면 이미지 인식 알고리즘이 제대로 작동하지 않게 된다고 함

adversarial patch.pdf

Ø 이 스티커를 바나나 옆에 붙이면 이미지 인식 앱은 바나나를 토스터으로 잘못 인식하게 되는데, 만약 이를 길거리에 붙여둔다면 자율운전 자동차가 객체를 오인식해 제대로 주행할 수 없게 될 우려가 있음

Ø 논문에 소개된 실험결과에 따르면 바나나가 놓여 있는 테이블에 스티커를 붙이면 97%의 확률로 바나나로 인식하던 A가 99%의 확률로 토스터로 인식하는 것으로 나타남

Ø 놀라운 점은 실물 바나나 옆에 토스터 기기가 인쇄된 스티커를 붙인 경우에도 거의 100%의 확률로 바나나를 인식하던 인공지능이 애드버세리얼 패치를 붙이자 거의 100% 확률로 토스터 기기라고 인식했다는 점

Ø 토스터 스티커를 붙인 경우 후보 군에 토스터 기기가 제시되기는 하지만 그 확률은 1% 내외로 오인식 가능성이 없지만, 애드버세리얼 패치를 붙인 경우 바나나로 인식할 확률 역시 1% 내외에 불과해 무조건 오인식이 된다는 것을 보여 줌

ž 애드버세리얼 패치의 등장에 주목해야 하는 이유는, 이 스티커가 인터넷을 통해 공유되면 기술에 대한 지식이 없는 사람도 누구나 다운받아 인쇄한 후 사용할 수 있기 때문

Ø 구글이 공개한 이 스티커는 누구나 인쇄하여 자신의 스마트폰에 설치된 이미지 인식 앱을 교란할 수 있는지 실제로 실험해 볼 수 있음

Ø 한 네티즌이 아이폰용 이미지 인식 앱으로 유명한 ‘데미태스(Demitasse)’를 이용해 실험한 결과 역시 애드버세리얼 패치를 붙이면 바나나를 토스터로 잘못 인식했으며, 심지어 후보 군에는 아예 ‘바나나’가 제시되지도 않았음

Ø 데미태스 앱은 옥스퍼드 대학의 비주얼 지오메트리 그룹이 개발한 ‘VGG-CNN’을 이미지 인식 알고리즘으로 탑재하고 있으며, 사진에 찍힌 객체를 파악해 판정하는 기능이 있음

Ø 이 앱은 VGG-CNN 외에도 이미지 인식 알고리즘의 표준으로 사용되고 있는 ‘VGG-16’ 등도 탑재하고 있는데, 스티커가 데미태스 앱의 오작동을 유발했다면 사실상 현재 사용되고 있는 모든 이미지 인식 앱에 교란을 일으킬 수 있음을 뜻함

ž 이미지 인식 기능의 근간인 신경망을 쉽게 속일 수 있다는 문제 제기는 그 동안 많았지만, 구글의 스티커는 실생활에서 손쉽게 피해를 야기할 수 있다는 점에서 매우 심각함

Ø 많은 논문에서 이미지 인식 알고리즘을 속이는 수법이나 네트워크의 취약점을 지적했고 구글이 공개한 이번 논문도 그 중 하나지만, 지금까지 논의와 크게 다른 점은 이 스티커를 인쇄해 붙이는 것만으로도 AI의 오작동을 일으켜 사회에 문제를 일으킬 수 있다는 것

Ø 애드버세리얼 패치는 마치 추상화 같아서 사람의 눈으로는 특정 개체가 그려져 있다고 인식 할 수 없기 때문에, 만일 누군가 이미지 인식 오작동을 목적으로 붙여 놓을 경우 아무도 오작동의 위험성이 있다고 느낄 수 없으나 실제로는 큰 위험을 야기하게 될 것임

ž 예상해 볼 수 있는 위험 중 하나가 자율운전 자동차의 운행을 방해하는 것인데, 이 스티커만 붙여 놓아도 도로 교통표지판을 제대로 인식할 수 없게 되기 때문

Ø 자율운전 자동차는 카메라로 포착한 이미지를 이미지 인식 알고리즘으로 분석하여 차량 주변의 개체를 파악하는데, 만약 도로 교통 표지판에 애드버세리얼 패치를 부착하면 자동차는 이를 토스터 기기로 잘못 인식할 수 있음

Ø 테슬라의 자율운전 지원 기능인 ‘오토파일럿(Autopilot)’은 도로 표지판을 읽어 속도 제한 여부를 파악하는데, 이 스티커가 부착되면 오토파일럿의 기능에 장애가 초래되며, 당연히 표지판에 스티커를 붙이는 것은 중대 범죄 행위로 처벌 대상이 될 것임

Ø 2017년 7월 워싱턴 대학의 한 연구팀은 교통 표지판에 정교하게 만든 스티커를 붙여 넣으면 이미지 인식 알고리즘이 속아 ‘정지’ 표지판을 ‘속도 제한’ 표지판으로 오인식 한다고 발표한 바 있는데, 구글의 스티커는 이 보다 훨씬 더 간단한 오작동 유도가 가능함

Ø 집의 지번 표지판에 이 스티커를 붙여두면 구글 스트리트 뷰를 이용한 도로 지도 작성에도 문제가 발생하는데, 스트리트 뷰는 위치정보를 핀 포인트로 파악하기 위해 건물에 부착되어 있는 지번 표지를 카메라로 촬영한 후 이미지 분석으로 번지를 파악하기 때문

Ø 지번 표지판의 숫자 옆에 이 스티커를 붙여두면, 이미지 분석 알고리즘은 이를 토스터 기기로 잘못 인식하게 되는데, 단 지도 서비스 입장에서는 오류가 발생하는 것이지만 거주자 입장에서는 스티커 부착이 효과적인 개인 정보 보호 수단이 될 수도 있음

Ø 이처럼 이미지 인식 알고리즘이 인식하는 데이터(example)에 노이즈를 추가해 오류를 일으키는 공격 기법을 ‘애드버세리얼 이그잼플(Adversarial Example, 적대적 사례)’이라 하는데, 구글의 스티커는 이 공격을 누구나 쉽게 할 수 있는 환경이 되었음을 의미함

ž 구글 리서치 그룹은 논문을 통해 스티커 제작 방법도 공개했는데, 애드버세리얼 패치를 생성하는 독특한 알고리즘을 교육하여 생성한다고 함

Ø 스티커는 여러 가지 이미지 인식 알고리즘을 오작동 시키도록 디자인되는데, 스티커의 효과는 디자인뿐만 아니라 객체에서의 위치, 스티커 방향, 스티커 크기 등에 따라 달라짐

Ø 가령 스티커의 방향을 바꾸는 것 만으로 인식 속도가 달라지며, 스티커의 크기를 크게 할수록 효과가 커지는데, 너무 크게 하지 않으면서 최대의 효과를 얻을 수 지점은 객체 크기의 10% 정도로 오작동 확률이 90% 정도가 됨

Ø 논문에 따르면 애드버세리얼 패치 공격은 ‘큰 변화량(large perturbation)’을 활용하는데, 작은 변화량의 감지에 초점을 맞추고 있는 현재의 방어 기술들은 이런 큰 변화량에 대해 오히려 강력한 방어 기제로 작동하지 못하게 됨

Ø 스티커는 ‘변신에 대한 기대(Expectation Over Transformation)’라고 불리는 특수한 알고리즘으로 생성되는데, 스티커를 붙일 객체의 위치, 크기 등의 조건을 감안하여 교란 효과가 최대가 되도록 스티커 생성 알고리즘을 교육함

Ø 이미지 인식 오작동 유도 효과의 검증에는 현재 사용되는 대표적인 이미지 인식 알고리즘인 Inceptionv3, Resnet50, Xception, VGG16, VGG19 등 5개를 사용하였음

Ø 스티커는 ‘Whitebox-Ensemble(화이트박스-앙상블)’이라는 방식으로 생성되며, 이것이 5개의 이미지 인식 알고리즘을 오작동시키는지 실증 실험을 하게 되는데, 논문에서는 토스터를 적대적 사례로 만들었지만 모든 객체를 스티커를 만들 수 있다고 함

<자료> Research at Google

[그림 5] 모든 사물을 개로 인식하게 만들 수 있는 애드버세리얼 패치

ž 구글이 애드버세리얼 패치에 대한 논문을 공개한 이유는 AI를 이용한 공격의 위험성을 경고하고, 이에 대한 방어를 위해 이미지 인식 알고리즘의 개선을 촉구하기 위해서임

Ø 구글이 특히 우려하는 것은 이미지 인식 클라우드 서비스가 아니라 네트워크나 컴퓨팅 자원 이용의 제약으로 인해 디바이스 내에서 이미지 인식 알고리즘이 실행되는 경우임

Ø 이미지 인식 클라우드 서비스들은 대부분 고급 알고리즘을 도입하고 있는데, 가령 구글의 ‘클라우드 비전(Cloud Vision)’ 이미지 인식 서비스에 스티커를 붙인 사진을 입력해도 오작동이 일어나지 않고 사진의 객체를 제대로 인식한다고 함

Ø 그러나 농장 작업에 쓰이는 자율주행 트랙터나 공사 현장에서 자동으로 작업을 하는 불도저에 탑재된 이미지 인식 알고리즘은 클라우드가 아니라 차량이나 장치 내에서 실행되는데, 이러한 엣지(edge, 최종 단말기)에서는 대규모 연산 환경 제공이 어려운 한계가 있음

Ø 이런 경우 오작동 가능성이 높아 실시간으로 정확한 객체 판정을 할 수 있는 이미지 인식 알고리즘과 이를 지원할 고급 AI 전용 프로세서의 개발이 필요하다는 것이 구글의 제안임

Ø 드론, 로봇, 자율운전 자동차 등이 일상생활 속에서 이용이 확산될 경우 AI를 악용한 공격은 현실적 문제로 대두될 것이기 때문에 이를 방어하기 위한 대책 강구, 특히 이미지 인식 알고리즘의 정확도를 개선하는 것이 아주 중요한 과제가 된다

는 것

Ø 이제는 보안업체뿐 아니라 해커들도 AI를 이용하므로 이미지 알고리즘 정확도 개선 노력이 요구되며, 애드버세리얼 패치 기술도 계속 고도화될 것이기 때문에 향후 AI를 이용한 공격과 방어 수단 개발의 치열한 전투가 본격적으로 시작될 전망

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1828호(2017. 12. 27. 발행)에 기고한 원고입니다.

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

아마존 히트상품 권총 보관 케이스, 블루투스 보안 결함 발견.pdf

ž 아마존닷컴의 인기 상품인 총기 보관 케이스에서 PIN(개인식별번호) 코드 입력 없이 원격으로 손쉽게 잠금을 해제할 수 있는 보안 결함이 발견되었음

Ø 총기 소유가 허용되는 미국에서는 어린 아이가 실수로 총을 만지는 것을 방지하기 위해 총을 보관하는 케이스가 여럿 판매되고 있는데, 아마존닷컴 히트 상품 중 하나인 ‘블루스틸 볼텍(BlueSteal Vaultek) VT10i’ 케이스에서 치명적 보안 결함이 발견

Ø 이 권총 보관 케이스는. 230 달러라는 저렴한 가격에도 불구하고, PIN 코드 인증, 지문 인증, 블루투스 앱 지원 등의 고성능으로 인기가 높아 아마존닷컴에서 평균 4.5의 고평가를 받았음

Ø 그러나 보안업체인 ‘투 식스 랩(Two Six Labs)’은 자사 공식 블로그를 통해 VT10i가 PIN 코드 입력 없이도 원격으로 잠금 해제되어 버리는 취약점을 가지고 있다고 공개하였음

ž 투 식스 랩에 따르면 이 취약점은 VT10i 가진 블루투스 기능의 보안 부족 허점을 공략한 것으로 스크립트만 쓸 수 있으면 누구나 몇 초 만에 잠금을 해제할 수 있다고 함

Ø VT10i의 잠금을 해제하는 스크립트를 작성하는 데 중요한 정보의 대부분은 현재 투 식스 랩의 공식 블로그에 게재되어 있으며, 프로그래머라면 누구나 부족한 몇 가지 정보를 스스로 보완해 1시간 정도면 잠금 해제 스크립트를 만들 수 있음

Ø VT10i의 보안상 취약점으로는 블루투스 기능이 암호화 되어 있지 않은 것과, 블루투스 페어링 작업을 누구나 제한 없이 시도 할 수 있다는 점이 지적되고 있음

[동영상] 권총 보관 케이스 해킹 장면

Ø 블루투스 보안 취약점을 지적 받은 제조업체는 펌웨어 업데이트를 계획 중이라고 밝혔지만, 투 식스 랩에 따르면 VT10i 모델은 펌웨어 업데이트 메커니즘을 갖추지 못한 것으로 보이며, 따라서 제품의 리콜 없이는 취약점을 해결할 수단이 없을 우려가 제기되고 있음

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1826호(2017. 12. 13. 발행)에 기고한 원고입니다.

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

웹사이트 방문자의 CPU 파워를 몰래 빌려 가상통화를 채굴하는 수법.pdf

ž 웹사이트 방문자의 PC 자원을 이용해 가상화폐를 채굴하는 스크립트가 더욱 악성화 되어, 브라우저를 닫아도 비밀 리에 PC 자원을 활용해 채굴을 계속하는 수법이 발견되고 있음

Ø 2018년부터 나스닥 선물 거래를 시작한다고 보도된 비트코인 같은 가상화폐의 가격이 폭등함에 따라 해커는 물론 합법적인 웹사이트 운영자들조차도 마음을 뺏기고 있음

Ø 비트코인 및 다른 가상통화를 마이닝 하기 위한 시스템 파워를 웹사이트 방문자의 컴퓨터에서 빌려 주는 자바스크립트 기반의 가상통화 마이닝 서비스는 이미 사이트가 이용하고 있음

Ø 전세계에서 가장 인기 있는 토렌트 다운로드 사이트인 ‘파이어릿 베이(The Pirate Bay)’는 브라우저 기반의 가상통화 마이닝 서비스인 ‘코인하이브(Coinhive)’를 사용하는 것으로 알려져 있음

Ø 그 밖에도 방문자 트래픽이 많은 수천 개의 웹사이트들은 이제 배너 광고 대신에 브라우저 기반의 가상통화 마이닝 서비스를 이용하여 수익을 얻고자 하고 있음

Ø 이런 방식의 가상통화 마이닝 서비스는 방문자가 웹사이트에 접속해 있을 때에만 가상통화를 채굴할 수 있어서, 브라우저 창을 닫아 사이트를 떠나 버리면 채굴을 위한 컴퓨터 자원에 접근할 수 없게 되어 마이닝 작업이 멈춰 버리는 단점이 있었음

Ø 그러나 보안 소프트웨어를 개발 기업인 ‘멀웨어바이트(Malwarebytes)’에 따르면, 방문자가 브라우저 창을 닫아도 백그라운드에서 가상통화 채굴 소프트웨어를 계속 실행시키는 교묘한 속임수를 갖춘 웹사이트들이 최근 발견되고 있음

[이미지 원본 보기 클릭]

ž 멀웨어바이트에 따르면, 어떤 웹사이트들은 작업 표시줄의 뒤에 숨겨진 ‘팝 언더’ 창을 이용해 방문자 PC의 컴퓨터 파워를 사용해 가상통화 마이닝을 계속한다고 함

Ø 알고 나면 매우 간단한 방법으로 보이지만, 보안 연구원들에 따르면 이 방법은 알아차리기 어렵고, 교묘하게 숨어 있어 대부분의 광고 차단기를 우회한다고 함

Ø 가상통화 채굴 서비스는 아마존 웹서비스에서 호스팅 되는 엔진에서 실행되고 있으며, 팝 언더 창에서 실행되는 코드는 CPU 사용률 게이지가 움직이는 것이 보여 발각되지 않도록 임계값을 중간 레벨로 유지하도록 설정하는 교묘한 기법을 사용하고 있음

Ø 대책 방법은 작업 표시줄에 브라우저 아이콘이 남아 있다면 닫아버리거나, 작업 관리자를 실행하여 실행중인 브라우저 프로세스가 남아 있지 않은지 확인하는 것이라고 함

Ø 또한 브라우저 자체는 가상통화 마이닝을 차단하지 않기 때문에 접속하는 웹 페이지의 가상통화 마이닝을 자동으로 차단해주는 바이러스 백신 프로그램을 사용하거나, ‘노코인(NoCoin)’ 같은 브라우저 확장 기능을 사용해 마이닝을 차단하는 방법도 있다고 함

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1820호(2017. 11. 1. 발행)에 기고한 원고입니다.

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

악성 코드 설치 없는 시스템 해킹 방법, &lsquo;파일 없는 공격&rsquo; 증가 추세.pdf

[ 요 약 ]

[ 본 문 ] 

ž 발자국 없는 공격(Zero-footprint attack), 매크로, 비멀웨어 공격(non-malware attack) 등으로도 불리는 ‘파일 없는 공격(fileless attack)’에 대한 경고의 목소리가 커지고 있음

Ø 이런 공격은 사용자의 컴퓨터에 소프트웨어를 설치하는 행위를 수반하지 않기 때문에 바이러스 백신 도구들이 놓칠 확률이 다른 유형의 공격보다 높음

Ø 파일 없는 공격은 또한 승인된 애플리케이션만 시스템에 설치되도록 허용하는 화이트리스팅(whitelisting)도 빠져나가고 있는데, 이미 설치된 응용프로그램을 이용하거나 화이트 리스트 목록에 올라 있는 승인된 앱을 이용하기 때문

Ø 하지만 파일 없는 공격이나, 발자국이 없다거나, 멀웨어 방식이 아니라는 표현은 엄밀히 말해 정확한 것은 아닌데, 이런 공격은 종종 사용자의 악성 첨부파일을 다운로드 행위를 틈타기 때문이고, 시스템 상의 해당 위치를 보면 찾아 보면 흔적이 남아있기 때문

Ø 보안 전문가들에 따르면 완전히 흔적 없는 멀웨어란 실제로는 존재하지 않으며, 비록 하드 드라이브에 자신을 설치하지 않더라도 멀웨어를 감지하는 방법이 있다고 함

Ø 또한 안티 바이러스 프로그램들 역시 확장자가 ‘exe’인 파일이 설치되지 않더라도 악성 첨부파일이나 악성 링크를 찾아낼 수 있기 때문임

Ø 그러나 해커들은 파일 없는 공격을 통해 자신들이 침입에 성공할 가능성이 높아진다는 것을 알고 있으며, 그런 생각을 가지고 있다는 사실이 바로 진짜 위험이라고 전문가들은 지적함

[표 1] 파일 없는 공격의 작동 방식 사례

<자료> CSO, IITP 재정리

ž 보안 솔루션 기업 카본 블랙(Carbon Black)에 따르면, 파일 없는 멀웨어 공격의 비율은 최근 1~2년 새 급증하고 있음

Ø 카본 블랙이 자사 보안 솔루션을 이용하는 기업의 실제 사례를 근거로 집계한 데이터에 따르면, 2016년 1월에 3%였던 파일 없는 공격의 비율은 작년 말에 13%로 크게 증가하였음

Ø 이런 증가 추세는 올해도 계속되고 있는데, 현재 시스템 감염 피해건수 3건 중 하나는 파일 없는 공격과 관련된 요소를 가지고 있음

Ø 보안 프로그램의 설정을 너무 엄격히 해 놓으면 업무에 지장을 줄 수도 있어, 일부 기업들은 외부의 모든 공격을 차단하도록 설정하는 대신 경고 메시지만 띄우는 것을 선택하기 때문에, 카본 블랙은 파일 없는 공격의 영향력이 실제로는 더 크다고 보고 있는데, 시스템 침입에 성공한 공격의 절반 이상이 파일 없는 공격이라고 함.

Ø 카본 블랙은 허니팟(honeypot), 즉 비정상적인 접근을 탐지하기 위해 의도적으로 설치해 둔 시스템을 이용함으로써 공격이 나타나기를 가만히 기다렸다가 공격자가 무엇을 하려 하고 어떻게 확산되어 가는지를 추적하는 것도 좋은 대응 방법이라고 조언함

Ø 이렇게 함으로써 허니팟을 제외한 나머지 시스템 환경 전체를 확실하게 공격으로부터 보호할 준비를 마칠 수 있다고 함

ž 해커의 입장에서 보면 피해자의 컴퓨터에 새로운 소프트웨어가 설치되도록 하는 것은 주의를 끄는 일이기 때문에, 파일 없는 공격을 선호할 수밖에 없음

Ø 피해자의 시스템에 파일을 놓지 않으면 보안 프로그램이 엄격히 작동하지 않기 때문에, 해커가 파일 없는 공격이나 인메모리 공격 방식을 선택한다면 기업이나 보안 회사로서는 훨씬 더 골치를 썩게 되며 해킹의 성공 가능성은 더욱 높아짐

Ø 이 때문에 해커들은 파일 없는 공격을 선호하게 되는데, 카본 블랙이 1천개 이상의 고객 기업을 대상으로 자사 솔루션의 보호를 받는 250만 개 이상의 컴퓨터에 대해 분석한 결과 2016년에 거의 모든 기업과 컴퓨터가 파일 없는 공격을 받은 것으로 나타났음

Ø 공격자 입장에서 보면 파일 없는 공격이라고 해서 성능이 떨어지는 것도 아니고 페이로드는 완전히 똑같기 때문에 훨씬 더 매력적인 기법임

Ø 보안 기업 맥아피(McAfee) 역시 파일 없는 공격이 증가하고 있다는 점을 보고하고 있는데, 파일 없는 멀웨어의 상당한 비중을 차지하고 있는 매크로 멀웨어는 2015년 말 40만 개에서 2017년 2분기 현재 110만개 이상으로 증가하였음

ž 맥아피에 따르면 이처럼 매크로 멀웨어가 늘어난 이유 중 하나는 파일 없는 공격 기법의 취약점 공략을 포함하는 사용하기 편한 도구들이 등장했기 때문임

Ø 그 결과 이전에는 주로 국가 주도의 공격을 비롯한 고급 공격자들만 사용할 수 있었던 파일 없는 공격이 지금은 민주화 되어 누구나 접근할 수 있게 되었음

Ø 이 파일 없는 공격을 위한 도구들은 금정적인 이익을 목적으로 한 공격에서 널리 사용되고 있으며, 사이버 범죄자들은 이를 활용해 랜섬웨어를 확산시키고 있음

Ø 급증하는 파일 없는 공격에 대처하기 위해 맥아피 등 주요 바이러스 백신 제공업체들은 기존의 서명 기반 방어 기법에 더해 행위 기반(behavior-based) 분석을 도입하고 있음

Ø 행위 기반 방어 기법이란 가령 파워셸 접속이 이루어지는 것을 보자마자 MS 워드가 실행된다면, 이를 매우 의심스러운 행위라 판단해 그 프로세스를 격리하거나 혹은 중지시키기로 결정함으로써 시스템을 보호하는 것을 말함

ž 파일 없는 공격은 이미 사용자의 컴퓨터에 설치된 안전하다고 생각되는 응용프로그램을 이용하는 것이므로, 방어를 위해서는 애플리케이션의 보안 업데이트가 아주 중요함

Ø 파일 없는 공격 도구에 포함된 취약점 공략 키트는 가령 웹 브라우저의 취약점을 희생양으로 삼아 브라우저에서 악성 코드가 실행되도록 할 수 있고, MS 워드의 매크로나 파워셸의 기능 등을 이용할 수도 있음

Ø 파일 없는 공격이 실행되기 위해서는 이미 설치되어 있는 소프트웨어에 존재하는 취약점이 필요기 때문에, 시스템 방어에 있어 가장 중요한 것은 OS뿐만 아니라 응용프로그램도 같이 패치 하거나 업데이트를 적용하는 것임

Ø 특히 웹 브라우저 플러그인은 패치 관리 프로세스에서 가장 간과되기 쉬운 부분이며, 파일 없는 감염 공격에서 가장 표적이 되는 취약점임

Ø MS 오피스의 매크로를 활용한 공격은 매크로 기능을 해제함으로써 위축시킬 수 있는데, 사실 이 기능은 디폴트로 비활성화 되어 있으므로 만일 공격자가 감염된 문서가 열리게 한다면 사용자가 해당 매크로를 활성화 하는데 명시적으로 동의를 해주어야 함

Ø 그럼에도 일부 사람들은 별 생각 없는 동의로 감염 문서를 열고 있으며, 특히 아는 사람으로 위장하여 매크로 문서를 열도록 공격하는 스푸핑의 경우에 더욱 그러함

Ø 해커들은 어도비 PDF 뷰어의 취약점이나 자바스크립트의 취약점도 표적으로 삼을 수 있는데, 피해망상이 큰 사람일수록 감염되지 않으려고 브라우저의 자바스크립트 실행을 꺼버리는 경우도 있지만, 그런 경우는 사이트 이용이 아예 불가능해진다는 또 다른 문제가 발생함

ž 최근 파일 없는 공격은 특히 금융기관이나 신용정보 기관을 대상으로 이루어지고 있어 자칫 대규모의 치명적 피해가 발생할 가능성이 있으므로 이들 기관의 각별한 주의가 필요함

Ø 지난 9월 발생한 미국의 대형 신용정보 회사 ‘이퀴팩스(Equifax)’의 정보 유출 사건도 파일 없는 공격의 사례인데, 이 사건은 웹 애플리케이션 개발 프레임워크인 아파치 스트럿츠(Apache Struts)의 명령어 주입 취약점을 이용하였음

Ø 이런 유형의 공격은 취약점이 있는 응용프로그램에서 사용자의 입력을 제대로 검증하지 않음으로써 일어나는데, 사용자의 입력에 OS 명령이 포함되어 있는 경우가 있고, 그 결과 이 명령어들은 취약한 애플리케이션과 동일한 권한 레벨로 피해자의 시스템에서 실행됨

Ø 이런 메커니즘은 안티 멀웨어 솔루션들을 완전히 사각 지대에서 공격하는 셈인데, 백신 프로그램들은 그 애플리케이션이 자연스러운 코드를 실행하고 있지 않은지 여부를 결정하기 위해 해당 애플리케이션의 실행 경로를 주목하고 있지는 않기 때문임

Ø 아파치 스트럿츠의 보안 패치가 올해 3월에 공개되었으므로 이퀴팩스가 패치를 했더라면 9월의 정보 유출 사건은 막을 수 있었을 것임

Ø 올해 초에 파일 없는 공격이 40개 나라에서 은행, 통신사, 정부 기관을 포함해 총 140개 이상의 기업을 감염시켰는데, 보안기업 카스퍼스키 랩은 감염된 기업들의 네트워크 상에 있는 리지스트리에서 악성 파워셸 스크립트를 발견하였음

Ø 카스퍼스키에 따르면 파일 없는 공격의 탐지는 오로지 RAM, 네트워크, 리지스트리에서만 가능

Ø 카본 블랙에 따르면 또 다른 잘 알려진 파일 없는 공격의 예로는 미국 민주당 전국위원회에 대한 해킹이 있는데, 가능한 한 오랫동안 감지되지 않고 남아 있기를 바라는 해커 입장에서 파일 없는 공격은 레이더 망에 걸리지 않게 해주는 기술임

Ø 침입 감지를 회피하기 위해 파일 없는 공격 기술을 활용하는 사이버 스파이 활동도 다수 목격할 수 있는데, 최근의 사례로는 중국과 북한 팀의 공격이 있었다고 함

ž 파일 없는 공격을 부당한 금전적 이익을 얻기 위해 응용하는 새로운 시도는 비트코인을 채굴하기 위해 감염된 머신을 사용하는 것임

Ø 비트코인 채굴자들은 메모리에 직접 로딩되는 채굴 프로그램을 실행을 시도하고 있는데, ‘이터널 블루(Eternal Blue)’를 이용해 기업 전체에 수십 만개의 채굴 프로그램을 확산시키고 있음

Ø 이터널 블루는 마이크로소프트의 서버 메시지 블록(SMB) 프로토콜 구현에 존재하는 보안 취약점을 공략하는 것으로 미 국가안보국(NSA)가 개발한 것으로 알려져 있음

Ø 비트코인 채굴 난이도는 계속해서 높아지고 있는데 비트코인의 가치가 높아지는 속도를 훨씬 웃돌고 있으며, 이에 따라 비트코인 채굴자들은 전용 하드웨어를 구매하거나 전기 요금을 지불해야 하기 때문에 이윤을 내는 것이 매우 어려워지고 있음

Ø 그러나 기업의 PC와 서버를 하이잭킹 함으로써 비트코인 채굴자들은 하드웨어 구매 비용이나 전기요금을 감당할 필요가 없어지게 됨

Ø 강력한 병렬 처리가 가능한 CPU의 사용을 최대 한도로 끌어 올릴 수 있다면 누군가의 노트북을 사용하는 것보다 훨씬 낫다는 말이 있는데, 기업들은 시스템이 비트코인 채굴에 이용되고 있는 징후를 알아내기 위해 CPU 사용률이 비정상적이지 않은지 살펴볼 필요가 있음

ž 파일 없는 공격의 탐지와 대응은 기업의 노력 만으로는 부족하며, 이용자들이 특이한 동작이 발생했을 때 즉각 알아차릴 수 있도록 평상시 경각심을 가지는 것이 중요함

Ø 행동 기반 분석 시스템이 적용되어 있다고 해도 파일 없는 공격을 모두 탐지 할 수 있는 것은 아니므로, 이용자들 각자가 평소와 다른 비이상적 이벤트가 언제 발생하기 시작했는지를 알아차리는 것이 중요함

Ø 예를 들어, 나의 사용자 계정이 무단으로 사용되고 있다든지, 지금까지 이전에는 통신하지 않았던 다수의 시스템들과 접속을 시작하는지 등을 잘 알아차려야 함

Ø 파일 없는 공격은 경고가 작동하기 전까지는 잡아내기 어려우며, 또한 행위 기반 알고리즘이 감시 대상으로 삼고 있지 않은 방식으로 작동한다면 알아차리기 어려움

Ø 공격자가 눈에 띄지 않게 신중하고 더디게 공격하는 데 많은 노력을 들이는 경우에도 공격을 탐지하기란 훨씬 어려워짐

Ø 사람은 자신의 눈에 보이는 것을 선택하는 편향이 있기 때문에 우리가 볼 수 있는 것은 우리 눈에 쉽게 발각되는 어설픈 것들뿐이며, 상대방이 매우 은밀하게 조심스럽게 움직인다면 우리는 그것을 볼 수 없음

Ø 파일 없는 공격이 위협적인 이유는 바로 그런 인간 감각의 한계를 공격자는 잘 알고 활용하는 반면 희생자들은 전혀 자각하지 못하기 때문임

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1813호(2017. 9. 13. 발행)에 기고한 원고입니다.

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

초음파에 취약점 드러낸 드론과 VR 헤드셋 - 센서의 외부 조종 가능.pdf

ž 알리바바의 보안 연구원들은 드론이나 VR 기기 등에 탑재되는 위치 계측 센서에 초음파를 쏘면 센서 측정에 오류가 발생하고 최악의 경우 외부 조종될 수 있다고 밝혔음

Ø 보안 컨퍼런스 ‘블랙햇(Black Hat) 2017’에 강연자로 나선 알리바바의 보안 부문 ‘알리바바 시큐리티’는 드론의 자세 유지 및 VR(가상현실) 헤드셋의 위치 계측을 위한 필수 부품인 ‘가속도 센서’와 ‘자이로 센서’에 뜻밖의 약점이 존재한다고 발표하였음

us-17-Wang-Sonic-Gun-To-Smart-Devices-Your-Devices-Lose-Control-Under-Ultrasound-Or-Sound.pdf

Ø 연구원들은 드론, VR 기기, 스마트폰, 전기 스쿠터 등에 탑재되는 ‘MEMS 가속도계’와 ‘MEMS 자이로 센서’에 초음파에 대한 물리적 취약점이 있다고 밝히고, 자신들의 실험 결과 발표와 함께 현장에서 실제 초음파 장비를 통해 기기 오작동을 일으키는 데모를 시연하였음

Ø MEMS 가속도계는 MEMS(미세전자기계시스템) 기술을 사용하여 반도체 칩 속에 작은 스프링과 추를 형성하고, 추의 변위를 정전 용량과 저항 값의 변화로 읽어 내 가속도를 계측하는 센서임

Ø 또한 MEMS 자이로 센서는 반도체 칩 속에 복수의 스프링과 추를 형성하고 조합함으로써 기기의 전후 좌우 기울기(각속도)를 측정 할 수 있는 센서임

Ø 최근 다양한 기기들이 자세 감지 및 위치 측정을 위해 MEMS 센서를 사용하고 있는데, 드론이 안정된 자세로 비행 할 수 있는 것이나 VR 헤드셋의 ‘화면’이 사용자의 움직임과 자세를 따라 보여지는 것 등이 모두 MEMS 센서 덕분임

Ø 이와 동시에 MEMS 센서가 초음파를 가속도나 각속도로 잘못 감지하는 문제점이 있다는 것도 밝혀지고 있는데, 이미 2015년에 한국 KAIST의 보안 연구원들이 MEMS 자이로 센서를 탑재한 드론에 초음파를 쏘면 ‘서비스 거부(DoS)’ 공격이 가능함을 입증하였음

Ø 또한 올해 3월에도 미국 미시간 대학 연구자들이 초음파에 의해 MEMS 가속도계의 측정 결과를 외부에서 조종할 수 있음을 보여준 바 있음

ž 이번 알리바바 시큐리티의 발표는 새로운 발견은 아니지만, 초음파에 의해 MEMS 센서의 측정 결과를 외부에서 조종할 수 있는 장치가 매우 다양하다는 것을 보여 주었음

Ø 이들에 따르면 스마트폰 중에는 아이폰 7과 삼성전자 갤럭시 S7, VR 헤드셋 중에는 페이스북의 오큘러스 리프트와 MS의 홀로렌즈, 드론 중에는 DJI의 팬텀 3 등 인기 기종들이 모두 초음파에 의해 센서 측정 결과를 외부에서 조종할 수 있는 문제가 있는 것으로 밝혀졌음

Ø 그 밖에도 샤오미의 전동 스쿠터 및 중국 제조업체들의 자율주행형 로봇 완구 등이 물리적 취약점을 보였는데, 샤오미의 전기 스쿠터는 그들이 인수한 세그웨이의 명칭을 그대로 사용해 ‘나인봇 세그웨이(Ninebot Segway)’라는 브랜드로 판매하는 기기임

Ø 알리바바 시큐리티는 실증 실험 동영상이나 현장에서 실시된 데모를 통해 초음파를 쏘인 스마트폰의 나침반 표시가 이상해지고 VR 헤드셋의 화면 표시가 흔들리는 것을 보여주었음

Ø 또한 드론의 카메라가 촬영한 동영상이 흔들리는 것과 샤오미 전동 스쿠터 및 자율주행 장난감 등이 초음파를 쏘이고 나면 자세가 흔들리고 넘어지는 것을 보여주었음

[동영상] 주행 장난감을 초음파 공격으로 넘어뜨리는 모습

[동영상] 세그웨이를 초음파 공격으로 넘어뜨리는 모습

ž 이번 발표는 드론이나 스마트폰에 대한 공격이 반드시 네트워크를 통해서만 이루어지는 것이 아니며, 기기 보안 대책으로 초음파 공격도 대비해야 하는 시대가 오고 있음을 시사

Ø 알리바바 연구원들은 이번 실증 실험에서 극히 근거리에서 초음파를 쏘아야 MEMS 센서의 측정 결과를 조종할 수 있었으며, 멀리서 드론을 초음파로 저격하는 것 등은 보여주지 못했음

Ø 그러나 그렇다고 안심할 수 없는 이유는 이번 실험에서 사용한 장비는 겨우 320 달러의 초음파 발생기와 2 달러짜리 앰프였기 때문이며, 만일 보다 고가의 대용량 장비를 사용해 초음파 공격을 하는 경우에는 심각한 문제가 발생할 우려를 배제할 수 없음

Ø 연구원들은 이제 MEMS 센서 탑재 기기들은 초음파에 의한 공격에 대비할 필요가 있다고 호소했는데, MEMS 센서는 자율주행차에도 탑재되므로 큰 위험요인이 될 수 있기 때문

Ø 대응책 중 하나는 초음파가 MEMS 센서에 도달하지 못하도록 외장을 장착하는 것이며, 또한 MEMS 센서 사용시에 마이크도 같이 사용하도록 하여 초음파에 의한 공격을 탐지하거나 상쇄하는 등의 대책을 강구하면 초음파에 의한 공격을 막을 수 있다고 함

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1812호(2017. 9. 6. 발행)에 기고한 원고입니다.

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

희대의 신용카드 정보 절도 해커가 체포된 이유는 &lsquo;동일 암호 사용&rsquo;.pdf

ž 미국 법무부는 세계 최대 보안 컨퍼런스 블랙햇(Black Hat) 2017에 참여하여 지난 2014년 체포한 러시아의 신용카드 정보 절도 해커 로만 셀레즈네프의 체포 과정을 설명하였음

Ø 셀레즈네프는 2005 년경부터 미국의 호텔과 레스토랑, 소매점 등의 POS 단말기 시스템에 멀웨어를 감염시켜 신용카드 번호를 훔친 후 이를 러시아 등의 암시장에서 판매한 혐의로 지난 2014년 체포되었으며, 작년 말 징역 27년의 유죄 판결을 받아 현재 미국에서 복역 중

Ø 셀레즈네프는 290만 개의 신용카드 정보를 훔쳐 판매하였고, 판매된 카드 번호는 부정 청구 등에 악용되어 카드를 발급한 3,700개 금융기관에 1억 6,900만 달러의 손실을 입혔으며, 체포 당시 그의 컴퓨터에는 추가로 170만 개의 신용카드 번호가 남아 있었다고 함

Ø 온라인 범죄는 ‘멀웨어 개발자, 멀웨어로 신용카드 번호 등을 훔치는 자, 도난 카드번호를 악용하는 자’ 등으로 분업화 되어 있는데, 셀레즈네프는 카드 번호를 훔치는 ‘카더(Carder)’였고, 수백만 건의 카드번호를 훔쳤다고 해서 미 법무부는 그를 ‘메가 카더(mega carder)’라 불렀음

Ø 셀레즈네프의 범죄 행위는 개인정보가 유출된 고객들은 물론 피해자들이 카드를 이용했던 매장들에도 지대한 손실을 입혔는데, 시애틀의 피해 매장들 중에는 개인정보가 유출된 고객들이 아예 발길을 끊는 바람에 결국 문을 닫아야 하는 곳이 많아 사회 이슈가 되기도 하였음

Ø 로만 셀레즈네프는 러시아의 의원인 발레리 셀레즈네프의 아들이기도 하며 몰디브 공항에서 체포되어 미국으로 이송되었기 때문에, 체포 당시 러시아는 미국이 초법적 수단을 이용해 납치를 했다고 강하게 비판해 양국 사이에 긴장 관계가 형성된 바도 있음

Ø 미 법무부는 블랙햇 2017의 세션에 강연자로 참여해 셀레즈네프의 체포 과정과 범죄 소명을 위한 증거 확보 과정에 대해 자세히 설명하였음

[사진] 27년 형을 선고 받은 셀레즈네프

ž 셀레즈네프는 두 개의 닉네임을 이용해 카드번호 해킹 범죄를 저질러 왔으나, 꼬리가 밟힌 이유는 보안성 없는 이메일을 사용했고 범죄에 이용한 서버를 개인 업무에도 썼기 때문

Ø 1984년생인 셀레즈네프는 미성년자였던 2002년경부터 ‘nCuX’라는 닉네임으로 해킹 커뮤니티에서 활동했으며, 처음에는 온라인 서비스의 사용자 아이디와 암호를 훔치는 활동을 했지만 2005년부터는 많은 돈을 벌 수 있는 신용카드 번호 절도에 손을 대기 시작하였음

Ø 미 사법당국은 2009년에 닉네임 nCuX의 동향에 집중했고 그를 체포하기 위해 러시아 연방 보안국(FSB)과 회의를 가진 적이 있었는데, FSB와 회의가 있은 직후 nCuX가 온라인 범죄 커뮤니티에서 홀연 모습을 감췄고 이 때문에 체포 계획은 실행에 옮겨지지 못했다고 함

Ø 그 후 셀레즈네프는 ‘Track2’와 ‘Bulba’라는 두 개의 닉네임으로 온라인 범죄 커뮤니티에서 활동을 재개했는데, Track2와 Bulba는 온라인 암시장에서 신용카드 번호를 대량으로 판매하는 ‘대물 카더’로 유명세를 얻게 되었음

Ø 미 사법당국이 Track2와 Bulba가 동일인임을 눈치챈 것은 2010년경으로 아이다호주의 한 레스토랑 POS 시스템에 멀웨어가 설치되고 대량으로 카드번호가 도난 당한 것이 계기가 되었음

Ø 당시 POS 시스템을 조사한 결과, POS 시스템에 설치된 멀웨어가 인터넷을 통해 두 개의 서버와 통신하고 있던 것이 밝혀졌는데, 하나는 ‘Track2.name’이라는 도메인이었고 또 하나는 ‘Bulba.cc’이라는 도메인이었기에 미 사법당국은 Track2와 Bulba를 동일 인물이라 추측하였음

Ø 미 사법당국은 Track2와 Bulba가 사용한 서버의 정보 등으로부터 셀레즈네프의 범죄 IT 인프라를 규명해 갔고, 서버의 IP 주소 정보 추적을 통해 Track'와 Bulba가 도메인 등록 시 사용했던 이메일 주소를 알아냈는데, 양자 모두 동일한 야후의 무료 이메일 계정을 사용하고 있었음

Ø 흥미롭게도 셀레즈네프는 범죄에 이용했던 야후 이메일 주소를 다른 용도로도 사용했고 그 중 하나가 페이팔이었는데, 아마 페이팔을 이용해 금전을 교환했던 것으로 보임

Ø 사법당국은 페이팔과 주고받은 이메일을 통해 셀레즈네프의 이름과 주소를 쉽게 알 수 있었는데, 이는 이메일이라는 암호화되지 않은 통신 수단을 통해 셀레즈네프가 계정의 암호를 포함한 다양한 정보를 교환하고 있었기 때문임

Ø 더욱 흥미로운 것은 셀레즈네프가 범죄에 이용하던 렌탈 서버를 개인 용무에도 사용했는데. 인도네시아에 보유 중이던 저택으로 가기 위한 항공권 예약에 해당 서버를 사용했기에, 미 사법 당국은 서버 통신 등을 분석해 그의 여권 번호와 얼굴 사진까지 찾아낼 수 있었다고 함

ž 체포 이후 그의 범죄를 소명하는 작업은 의외로 손쉬웠는데, 그 이유는 셀레즈네프가 모든 기기와 이용 중인 하나로 단일화하여 동일한 암호를 사용했기 때문임

Ø 서버 분석을 통해 셀레즈네프를 식별한 미 사법당국은 2011년 3월경 체포 준비를 마쳤으나, 셀레즈네프 역시 이 즈음부터 미국 법원의 ‘Pacer Case Locator’라는 웹 서비스에 자신의 이름을 자주 검색하며 자신에 대한 체포 영장이 발급되었는지 여부를 지속적으로 확인하였음

Ø 셀레즈네프가 2011년부터 미국에 입국하지 않고 전세계 리조트를 여행함에 따라 미국 정부도 러시아 국외에서 체포하기 위한 준비에 들어갔는데, 그 즈음 모로코 여행 중에 발생한 테러로 큰 부상을 입은 셀레즈네프가 러시아 밖으로 나오지 않아 체포가 이루어지지 못했음

Ø 2013년부터 부상에서 회복한 셀레즈네프가 국외 여행을 재개함에 따라 미 사법당국 추적을 재개하였으며 마침내 2014년 몰디브에서 체포할 수 있었음

Ø 체포 이후 셀레즈네프는 너무도 쉽게 유죄 판결을 받게 되었는데, 그가 가지고 다니던 PC 와 스마트폰에 170만 건의 신용카드 번호가 고스란히 ‘증거’로 남아 있었기 때문

Ø 사법당국이 암호가 걸려 있는 PC와 스마트폰에서 증거를 손쉽게 찾아낼 수 있었던 것은 셀레즈네프가 야후 이메일과 여러 온라인 서비스에서 이용하던 ‘OCHKO123’라는 비밀번호를 PC와 스마트폰에도 동일하게 사용하고 있었기 때문이라고 함

ž 셀레즈네프 사건은 동일한 암호를 여러 곳에 사용하는 것의 위험성을 역설적으로 보여주고 있으며, 간단해 보이는 것이라도 보안 조치를 취하는 것이 쉽지 않음을 보여 줌

Ø 셀레즈네프 사건은 비밀번호 설정과 관련해 가장 빈번히 지적되는 두 가지 취약점을 잘 보여주는데, 하나는 멀웨어 감염의 대상이 된 POS 시스템 등의 기기는 비밀번호가 없거나 너무나 간단히 유추할 수 있는 것이라는 점이고, 또 하나는 동일한 비밀번호를 여러 곳에 쓰는 것임

Ø 미 법무부는 ‘해킹 제국을 유지하기 위해서는 OCHKO123라는 암호를 반복해서 사용해서는 안 된다'라는 유머로 강연을 마무리하였음

Ø 무고한 사람들의 보안 허점을 공격해 불법으로 돈을 벌고 있던 범죄자가 그 자신의 사소한 보안 의식 결여로 인해 유죄 판결을 받은 것은 아이러니라 할 수 있으나, 그 만큼 그 사소한 보안조치를 실행에 옮기는 것이 사실은 매우 어려운 것이라는 점을 새삼 환기시켜 주고 있음

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1811호(2017. 8. 30. 발행)에 기고한 원고입니다.

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

구글 랜섬웨어 몸값 경로 추적, 월 100만 달러를 번 것도 존재.pdf

ž 구글이 2016년부터 급증하고 있는 랜섬웨어의 몸값 지불 프로세스를 추적한 결과, 2천 5백만 달러 이상이 실제 범죄자들에게 지불된 것으로 나타남

Ø 구글의 보안 연구원 3인은 세계 최대 보안 컨퍼런스인 ‘블랙햇(Black Hat) 2017’에서 이러한 조사 결과를 발표했는데, 발표에는 비트코인 조사 기관인 체이낼러시스(Chainalysis)와 캘리포니아 대학 샌디에이고, 뉴욕 대학 등이 함께 참여했음

us-17-Invernizzi-Tracking-Ransomware-End-To-End.pdf

Ø 구글의 조사 내용은 두 가지였는데, 우선 미끼 PC에 일부러 랜섬웨어를 감염시켜 랜섬웨어의 구조를 해독했으며, 동시에 몸값을 실제로 비트코인으로 지불하여 범인이 사용하는 비트코인 지갑을 색출한 다음 범인이 사용한 지갑의 거래 이력을 조사하였음

Ø 범인의 지갑 거래 내역을 통해 랜섬웨어로 벌어 들인 몸값 금액을 산출했는데, 비트코인 거래이력 추적은 체이낼러시스가 담당하였음

Ø 구글에 따르면 비트코인으로 몸값 지불을 요구하는 랜섬웨어는 2013년경부터 나타났으나 본격화 된 계기는 2016년에 등장한 랜섬웨어 ‘락키(Locky)’였다고 함

Ø 2013년 3분기부터 2017년 2분기까지 2,525만 달러가 넘는 몸값이 비트코인으로 지급되었으며 비트코인 거래소에서 환전되었음

Ø 랜섬웨어로 벌어들인 금액이 100만 달러가 넘는 ‘밀리언 달러 플레이어’들도 차례로 나타났는데, 받아 낸 몸값 총액을 보면 락키 780만 달러, 케르베르(Cerber) 690만 달러, 크립토락커(CryptoLocker) 200만 달러, 크립트XXX(CryptXXX) 190만 달러 순서임

Ø 한편 최근 전세계적으로 감염 우려를 낳으며 논란을 일으켰던 워너크라이(WannaCry)가 받아 낸 몸값은 의외로 10만 달러에 불과하였음

ž 한편 랜섬웨어를 유포한 범인들은 거의 대부분 러시아인이 운영하는 비트코인 거래소 ‘BTC-e’를 통해 환전하는 것으로 조사됨

Ø 랜섬웨어에 감염된 피해자가 몸값 지불에 사용할 비트코인을 구입한 비트코인 거래소로는 1위가 ‘LocalBitcoins.com’, 2이 ‘Bithumb.com’, 3위 ‘Coinbase.com’이었음

Ø 랜섬웨어 공격자는 지불 받은 비트코인을 ‘BTC-e’라는 거래소에서 환전하는 것으로 나타났는데, 이번 조사에서 추적할 수 있었던 몸값의 무려 95%가 러시아인이 운영하는 이 거래소에 예치되어 있었다고 함

Ø 구글이 이번 조사를 발표하기 하루 전날 BTC-e의 운영자인 러시아인 알렉산더 비닉이 그리스의 한 휴양지에서 미 FBI와 그리스 당국에 의해 체포되었는데, 뉴욕타임스에 따르면 비닉은 2014년 벌어진 ‘마운트 곡스(Mt. Gox)’ 거래소의 비트코인 도난 사건에도 연루되어 있음

Ø 일부 보안 전문가들은 랜섬웨어 같은 아이디어는 과거에도 있었지만, 최근 들어 랜섬웨어가 만연하게 된 것은 비트코인이라는 익명성 높은 송금 수단이 등장했기 때문이라 지적하기도 함

Ø 그러나 이번 구글의 추적 조사에 의해 비트코인에 의한 몸값 지불을 추적 할 수 있다는 것이 알려졌고, 몸값의 환전이 이루어지던 거래소가 운영자의 체포로 조만간 폐쇄되면 익명성이 크게 약화될 것으로 보여, 최소한 당분간은 랜섬웨어의 기승이 덜할 것으로 예상됨

ž 구글은 이번 조사결과 발표와 더불어 3가지 종류의 랜섬웨어 ‘락키, 케르베르, 스포라’의 구조를 예로 들며 랜섬웨어의 기술 수준이 빠르게 향상되고 있음을 보여주었음

Ø 2016년에 등장한 락키는 랜섬웨어의 피해가 확대하는 계기가 된 동시에, 사상 처음으로 한달 동안 100만 달러 이상의 몸값을 받아 낸 것으로도 유명함

Ø 락키에 관해서 지적된 것은 이 랜섬웨어는 ‘네커스(Necurs)’라는 봇넷을 이용해 확산된다는 점인데, 봇넷은 멀웨어(악성 소프트웨어)에 감염된 다수의 컴퓨터로 구성된 네트워크인데 랜섬웨어를 확산시키는 ‘전달 서버’로 변할 수 있다는 것임

Ø 케르베르는 ‘랜섬웨어 애즈 어 서비스(RaaS)’의 대표격인데, RaaS는 말 그대로 랜섬웨어를 빌려 쓸 수 있게 해주는 서비스라는 뜻으로, 랜섬웨어와 함께 희생양을 노리는 피싱 메일을 전송하는 방법을 제공해 주는 것임

Ø 이러한 RaaS를 이용하여 기술을 잘 알지 못하는 범죄자라도 랜섬웨어를 악용 할 수 있게 됨에 따라 랜섬웨어의 피해가 더 커지고 있는 것인데, 케르베르는 감염 후 1 분 이내에 사용자의 데이터를 암호화 해 버리는 것이 특징임

Ø 스포라(Spora)는 랜섬웨어의 비즈니스를 더욱 진화시킨 것으로, 이 랜섬웨어에 감염된 피해자에 대해 비트코인을 이용한 지불 방법 등을 가르쳐 주는 온라인 채팅을 제공하는 등 매우 진화된 사용자 인터페이스(UI)를 갖추고 있음

Ø 구글이 공개한 스포라 피해자를 위한 UI에는 ‘완전 복구는 79 달러’, ‘파일 복구는 30 달러’, ‘랜섬웨어 제거는 20 달러’라는 메뉴 버튼과 비트코인을 사용한 결제 화면까지 제공되고 있음

ž 구글 연구원들은 이처럼 랜섬웨어가 진화하고 있는 반면 많은 사용자들이 데이터를 외부 매체에 백업하지 않기 때문에 피해가 확대되고 있다며, 백업의 중요성을 강하게 호소

Ø 앞서 일부 전문가들의 지적처럼 비트코인의 등장이 랜섬웨어의 확산을 가져왔다는 분석은 일견 타당한 면이 있으나, 마치 비트코인 때문인 것으로 오해해선 안 된다는 견해도 있음

Ø 비트코인이 익명성 기반 결제 방식이기 때문에 해커들이 비트코인을 선호한다고 생각할 수 있지만, 사실 익명성만 놓고 본다면 추적 위험 없이 우편물로 보낼 수도 있고 전세계 어디서나 사용이 가능하며 재판매도 가능한 선불카드라는 보다 뛰어난 선택지가 있기 때문

Ø 또한 이번 구글의 추적에서 드러났듯 비트코인 거래는 비록 가명일지라도 블록체인에 그 흔적을 남기게 되므로, 해커가 환전을 할 때 부주의 하게 이름이나 IP 주소를 입력하게 된다면 자신의 정체가 드러날 수도 있고 이것이 빌미가 되어 체포될 가능성도 있는 수단임

Ø 해커들이 비트코인을 선호하는 실제 이유는 피해자가 언제 돈을 지불했는지 간단히 블록체인만 보아도 알 수 있고, 피해자마다 개별 계좌번호를 만들어 몸값을 지불한 피해자의 파일을 자동으로 암호 해제할 수 있는 편리함이 있기 때문

Ø 또한 범죄를 통해 불법적인 수익을 취하는 것이기 때문에 시스템이 제대로 작동하지 않을 경우 기술 지원이나 법적 지원을 받을 수 없는 치명적인 약점이 있기 때문에 사용 도구를 신중히 선택해야 하는데 그런 점에서 비트코인은 안정적인 시스템이기 때문임

Ø 결국 랜섬웨어 문제는 피해자들의 보안 의식이 부족해서 생기는 것이며, 민감한 정보에 접근하려는 해커들이 이용할 수 있는 사회공학적 기법과 피싱 메일에 대해 더 잘 이해하려는 노력이 부족한 데서 발생하는 것이라는 점을 명확히 인식할 필요가 있음

Ø 구글이 제시한 피해 방지 방법도 결국 데이터 백업을 하라는 매우 기본적인 것인데, 강력한 비밀번호를 사용하고 이를 노출하지 않으며, 그럴 듯한 이메일이라도 발신자가 수상하면 열어보지 않는 등의 기본적인 행위야말로 가장 강력한 보안 대책인 것임