보라빛 소를 만나기 위한 도약

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1776호(2016. 12. 14 발행)에 기고한 원고입니다. 

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

사람돈물건 흐름분석으로 금융범죄와 테러 탐지.pdf

◈ 에스토니아의 ‘리얼시스템(RealSystem)’은 관계 기관의 협력을 얻어 사람·물건·돈의 흐름을 시각화하여 내부자 거래 및 불법 송금 등의 징후를 탐지해 내는 솔루션을 제공 중

• 솔루션의 명칭은 ‘VizKey(비즈키)’로 개인과 회사 간의 자금 이동과 전화, 물류 등의 데이터를 관계 기관의 협력을 얻어 수집한 후 사람·물건·돈에 대한 다양한 데이터를 분석하여 언뜻 알기 힘들었던 개인과 기업의 관계를 그래프로 도식화 함

• 분석 대상 데이터에는 은행계좌 간 입출금 내역, 통화 기록, 편지나 물품의 배송 기록, SNS 게시물, 휴대전화의 위치 정보, 주소, 친족 관계를 나타내는 호적 정보 등이 포함

• 문자 또는 숫자라면 종류와 형식을 불문하며, 비공개 데이터와 관련해서는 경찰 기관과 은행, 증권사 등에서 범죄 수사에 관한 비밀 유지 계약을 맺고 제공하게 된다고 함

• 누가 누구와 서로 연락을 하고 있는지, 돈의 입출이나 주식 거래가 빈번한 사람의 친척 중에 내부자가 있는지 등의 관계를 그래프화 하는데, 예를 들어 어떤 종목의 주식을 단기간에 매매한 증권 계좌 보유자 간의 관계성을 분석함

◈ 리얼시스템은 수작업으로 하는 범죄 수사는 한계에 가까워지고 있으며 데이터를 바탕으로 정확한 팩트를 알아내는 작업이 필요하다며 개발 배경을 설명

• 지금까지는 대상 종목의 거래 이력을 개별적으로 살펴봐야 했고, 계좌 보유자에 대해서 등록하는 데이터는 친족의 근무처 정도여서 수작업으로 찾아낼 수 있는 것은 주로 직접적인 인간 관계에 불과했으므로, 이런 문제를 해결하기 위해 개발했다고 함

• 서비스의 응용 범위는 넓어서, 내부자 거래와 불법 송금, 돈세탁(자금 세탁) 등 금융 범죄 외에도, 여러 국가에서 마약 수사와 인신 매매, 밀수, 스파이, 테러 등 범죄 수사에 사용되고 있다고 함

• 예를 들어 선박의 화물의 내용과 선주의 신원, 해당 은행계좌 등의 데이터를 분석하고 경찰 기관이 가진 범죄자 목록(블랙리스트)과 비교하여 용의자를 추려 낸다고 함

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1776호(2016. 12. 14 발행)에 기고한 원고입니다. 

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

ARM IoT 보안 강화.pdf

◈ ARM의 연례 행사인 ‘ARM 테크 심포지아 2016(ARM Tech Symposia 2016)’에서 르네 하스 부회장은 소프트뱅크에 인수 된 이후의 사업 계획에 대해 기조 연설

• 기조 연설은 ARM의 IoT 전략, M&A 이후 소프트뱅크 그룹의 역할에 초점이 맞춰졌는데, 양사의 비전은 동일하며 이번 인수를 통해 ARM의 IoT 전략이 더욱 공격적으로 전개될 수 있는 환경이 구축되었다고 M&A의 의의를 평가

• 소프트뱅크와는 10년 전부터 파트너십이 형성되어 왔기 때문에, 양사의 임원들 사이에서는 ARM이 소프트뱅크 그룹 산하로 편재되는 것에 전혀 위화감이 없다고 설명

• 소프트뱅크는 ARM 인수를 추진하며 영국 정부와 인원을 두 배로 늘린다고 약속하고 있으며, 이에 따라 ARM은 향후 5년 안에 글로벌 인원을 2천명 규모로 늘릴 예정

• 일반적으로 기업 인수 시에는 조직과 인력의 구성에 효율화를 명목으로 감원을 수반하는 경우가 많지만, ARM은 IoT 전략을 추진하기 위해 고용을 늘릴 방침이라고 함

◈ ARM은 2013년과 2016년에 자체적으로 실시한 IoT 관련 보고서를 소개하며, IoT의 확산에 있어 ‘보안’이 필수적인 요소가 될 것으로 전망하였음

• ARM의 자체 보고서에 따르면 2013년 조사 때 3년 이내에 IoT를 검토하겠다고 응답 한 기업은 90% 이상에 달했으며, 2016년에 IoT가 실제로 비즈니스에 영향을 미치고 있다고 응답한 기업은 75%에 달했음

• ARM의 보고서에 따르면, IoT의 진전에 따라 보안 강화의 필요성을 검토하는 기업이 많았으며, 이에 따라 ARM에서는 IoT 장치뿐만 아니라 네트워크 및 클라우드 보안을 고려한 플랫폼 개발을 목표로 한다고 밝힘

• 하스 부회장은 구체적으로는 칩에 ‘트러스트 존(Trust Zone)’이라는 보안 기능을 탑재하여 세 가지 차원의 보안을 강화하겠다고 밝혔음 우선 ‘장치 보안’을 위해

• 첫번째는 ‘장치 보안’을 보장하는 것이고, 두 번째는 ‘통신 보안’인데, 이를 위해 통신사 등 협력업체와 연계해 암호화, 와이파이 기술, 보호 프로토콜 등을 공동 개발

•  IoT 기기는 종류에 따라서 수십 년 동안 사용되는 제품도 있으므로, 보안 업데이트 및 장치 관리를 보장하는 구조가 반드시 필요하다는 것

• IoT는 농업, 의료, 자동차 등으로 응용 범위가 점점 넓혀가고 있는데, 이들 분야는 동시에 사람의 건강과 목숨과 관계되는 분야이므로, 앞으로 모든 IoT 기기의 보안 대책 마련이 필요하다고 강조

◈ 하스 부회장은 ARM 칩의 IP(지적 재산권) 라이선스 사업에서와 마찬가지로 혁신적 IoT를 위해서도 최적의 생태계 구축이 필요할 것이라 전망

• 전형적인 수직 통합 비즈니스였던 휴대전화 사업과 달리, 스마트폰 분야는 단말기, 반도체, 앱 등 연관 업계가 생태계를 구축함으로써 성공을 거두었는데, IoT 비즈니스에서도 ARM 혼자 뭔가를 이룰 수는 없으며 다양한 산업과 연계가 필요할 것이라 말함

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1772호(2016. 11. 16 발행)에 기고한 원고입니다. 

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

CCTV 내 특정인물 검색.pdf

◈ NEC는 보안 카메라 등의 영상에서 특정 패턴으로 출현하는 인물을 빠르게 검색할 수 있는 소프트웨어의 판매를 시작

• ‘네오페이스 이미지 데이터 마이닝(NeoFace Image Data mining)’이라는 이름의 이 소프트웨어는 범죄 수사나 미아 찾기, 고객 서비스 등에 이용할 수 있다고 함

• 네오페이스 이미지 데이터 마이닝은, ‘이곳에 여러 번 온 사람’이나 ‘이 시간대에 나타나는 사람’, ‘이 사람과 항상 함께 있는 사람’ 등을 특정해서 검색 할 수 있음

• 요소 기술은 두 가지인데, 첫번째 요소인 얼굴 인식 및 얼굴 대조 엔진 네오페이스는 촬영한 영상이나 사진에서 얼굴을 검출하고 등록된 인물 여부를 판별하는 것으로, 2장의 얼굴 사진이 동일 인물인지를 판정하는 1:1의 인증 오류율은 0.3%라고 함

• 지금까지는 얼굴 인증 기술을 사용해도 다른 사진에 나타난 인물이 동일인인지 여부를 대조하기가 어려웠는데, 무차별 형식으로 굉장히 많은 경우의 수를 조합해 대조하기 때문에 엄청난 시간이 걸려 버리기 때문임

• 그러나 시공간 데이터 횡단 프로파일링 기술은 ‘남자인가 여자인가’, ‘머리는 짧은가 긴가’ 등의 특징을 트리 구조로 관리하여 대조하는 횟수를 줄였는데, 무차별 대조 방식으로 100만 건의 얼굴 데이터 검색에 1시간이 걸리던 것을 10 초로 단축했다고 함

※ 다음 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1764호(2016. 9. 21 발행)에 기고한 원고입니다. 

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

양자 컴퓨팅 실용화에 위기 느끼는 사이버 보안업계.pdf

◈ 양자 컴퓨터 실용화가 조금씩 다가오면서 보안 전문가들은 현재의 사이버 보안 기술 중 많은 부분이 쓸모 없어질 가능성을 우려하고 있음

• 미국 국립표준기술연구소(NIST)가 지난 5월 이 문제에 대해 협력을 호소한 데 이어, 전세계 금융산업의 위험 관리를 연구하는 캐나다의 Global Risk Institute(GRI)도 최근 이 문제에 대한 우려를 나타내는 조사 보고서를 발표하였음

• 보고서 집필자는 GRI에서 사이버 보안 부문 특별 고문을 맡고 있는 미셸 모스카로, 캐나다 워털루 대학의 양자 컴퓨팅 연구소 공동 설립자이기도 함

• 보고서 따르면 현재 기반으로 사용 중인 공개키 암호화 도구가 양자 컴퓨팅 기술에 의해 뚫릴 가능성은, 2026년에 약 14%이며, 이 가능성은 2031년에 50%까지 급상승

• 양자 공격은 현시점에서는 아직 일어나고 있지 않지만, 향후 이러한 위협에 대응할 수 있도록 하기 위해 중대한 결정을 내릴 필요가 있다는 것이 보고서의 결론

◈ 양자 컴퓨팅이 현재의 보안 시스템에 중대 위협을 야기하는 이유는 양자 컴퓨터의 구조가 기존 컴퓨터와는 근본적으로 다르기 때문

• 기존의 컴퓨팅과 달리 양자 컴퓨팅은 ‘큐비트’라 부르는 마이크로 세계의 구성 요소를 사용해 0과 1을 동시에 나타내는 ‘중첩’ 상태를 취할 수 있는데, 그 결과 성능 및 처리 효율이 극적으로 증가하지만, 반면 부정적인 측면도 야기함

• 양자 컴퓨팅이 의도하지 않았지만 발생시키는 부정적 영향 중 하나가 바로 현재의 사이버 보안 기반에 이루는 암호화 도구의 일부가 깨지는 것임

• 가령, 현재의 암호화 기술은 거대한 수의 소인수 분해가 어렵다는 점을 기초로 성립되고 있는 경우가 많지만, 미국 MIT 연구팀은 올해 3월 이러한 암호화 방법을 깰 수 있는 능력을 가진 5 큐비트의 양자 컴퓨터를 처음 개발했다고 발표

• 사이버 시스템의 기저를 이루는 암호화 기반이 근본적으로 깨진 상황에서, 통상 개발 기간이 여러 해 걸리는 장해 극복 대체 방법이 제 때 이용할 수 없는 상태가 된다면, 시스템은 긴급 대응을 하지 못하고 완전히 망가질 수 있다는 것이 보고서의 지적

• 따라서 단기적으로 ‘암호화 기술 측면에서 민첩한 시스템’, 즉 다른 암호화 도구로 즉시 교체할 수는 시스템을 설계하는 작업이 필요하며, 장기적으로는 양자로부터 안전성을 가지는 암호화 도구의 개발이 필요하다는 것이 보고서의 권고

• 이런 맥락에서 NIST는 최근 전도 유망한 새로운 암호화 기법을 공개적으로 모집하는 콘테스트의 실시하고 있으며, 민간 보안업체들도 이 문제 해결에 발빠르게 나서고 있음

※ 다음 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1761호(2016. 8. 31 발행)에 기고한 원고입니다. 

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

블랙햇과 데프콘_IoT와 자동차 해킹 초점.pdf

[요 약 ]

[ 본 문 ]

• 블랙햇이란 해킹 사실을 피해자에게 알리지 않고 다른 해커나 일반인에게 전파하여 해당 기관이 보안 대책을 세우기 전에 그 약점을 이용하도록 하는 해커나 크래커를 일컫는 업계 용어임

• 명칭에서 알 수 있듯, 당초 블랙햇은 해커들의 이벤트라는 색깔이 강했으나, 현재는 IBM, RSA, 마이크로소프트 등 대기업들도 참여가 허용되고 있음

• 올해 블랙햇에는 전세계 100여 개 국에서 역대 최고인 1 만 1천 명 이상의 보안 전문가와 기업 관계자가 참가했는데, 120 개 이상의 세션과 70 개 이상의 기술 교육이 열렸으며, 250 개 이상의 기업이 부스를 개설해 방문자에게 자사 제품을 어필하였음

◈ 개막 기조 연설에는 컴퓨터 보안 연구자 댄 카민스키 씨가 등단했는데, 그는 인터넷 환경의 변화 속도 증가를 지적하며 보안을 위해 소스 코드 공유를 권고

• 카민스키는 2008 년에 ‘DNS 캐시 포이즈닝(DNS Cache Poisoning Attack)’을 발표한 것으로 유명한데, 후에 ‘카민스키 공격’이라 불린 이 기법은 DNS 캐싱에 있던 취약점을 악용하여 캐시 DNS에 저장된 쿼리 정보를 위, 변조하는 것임

• 캐시 포이즈닝 공격은 도메인 이름을 탈취하여 본래 목적지로 향하는 통신을 차단하며, 이 공격을 받으면 유해 사이트로 유도하거나 이메일 내용을 도청 당할 수 있음

• 카민스키는 인터넷을 둘러싼 환경 변화 속도가 급격히 빨라지고 있음을 지적했는데, 인터넷을 이용한 여러 프로젝트들이 이전에는 1 개월 정도 실시된 것에 비해, 지금의 모바일 앱 업데이트는 몇 분 단위로 실행되고 있는 상황임

• 이런 변화의 속도를 받아들여, 보안 유지를 위한 결정을 신속하게 내릴 필요가 있다는 것이 카민스키의 주장

• 또한 그는 건전하고 안전한 인터넷 환경은 정부 및 공공기관 등의 규제에 의해 실현되는 것이 아니며, 엔지니어와 보안 전문가들이 인터넷 전반에 관한 정보를 공유하고 취약점 대책을 강구하여 실현할 것을 목표로 삼는 것이 보다 유익하다고 주장

• 웹 서비스 등의 엔지니어들이 소스 코드를 공개하기 전에 공유하여 취약점을 발견하게 되면 인터넷의 안정성은 높아지는 대신, 개발 비용을 절하고 혁신도 진전시킬 수 있다는 것

• 이러한 과제는 IoT(사물인터넷) 분야에도 해당되는데, 특히 소비자용 제품은 소스 코드의 보안 검사가 허술해 취약점을 내포한 채 출시되는 경우가 많으며, 이처럼 보안이 담보되지 않은 제품이 인터넷에 연결되면 그 제품을 트리거 한 공격 위험이 증가함

• 인터넷이나 스마트폰의 경우 등장한 지 얼마 안된 무렵에는 보안 위험을 걱정하지 않았으나, IoT는 등장하자마자 보안 위험에 노출되어 있다며, 소스 코드의 공유를 통해 제품의 보안성을 향상시킬 필요가 있다고 호소

◈ 블랙햇에서는 매번 자동차와 의료기기에 대한 해킹 사례나 소프트웨어 및 웹 서비스의 새로운 취약점이 보고 되는데, 올해도 예외는 아니었음

• 작년 대회에서는 보안 연구자 찰리 밀러와 크리스 밸러섹이 주행 중인 지프 체로키 차량에 전화선을 통한 원격 조작으로 액셀레이터과 브레이크 기능을 무력화하는 실증 실험을 선보인 바 있음

• 올해도 두 연구자는 ‘Advanced CAN injection Techniques for Vehicle Networks(차량 네트워크를 위한 개선된 CAN 인젝션)’이라는 제목으로, 차량 정보를 취득하는 ‘OBD2’ 커넥터를 통해 액셀레이터와 브레이크의 기능을 비활성화하거나 임의로 조작할 수 있음을 실증 실험을 통해 증명하였음

<자료> EE Times

[그림 2] 커넥티드 카의 노출된 약점 15개

◈ 하드웨어 전문 보안 연구자인 콜린 오플린은 필립스가 출시한 스마트 IoT 조명 시스템을 드론을 이용해 원격 해킹하는 방법을 소개

• 필립스는 집 안의 전기를 스마트폰으로 조작할 수 있는 ‘필립스 휴 시스템(Philips Hue system)’을 내놓았는데, 오플린은 10~20 미터 떨어진 곳에서 단거리 무선통신 규격인 지그비(ZigBee) 보드와 USB 전원 장치 만으로 해킹해 전기를 온·오프하는 방법을 소개

• 영상으로 공개된 데모에서 오플린은 필립스 휴 시스템을 이용하고 있는 오피스 빌딩 근처에서 직접 만든 해킹 장치를 탑재한 드론(무인 항공기)을 비행시켜, 5~6층의 전기를 점멸시키는 것을 보여주었음

◈ 개별 세션에서는 해킹 사례 외에도 사용자의 보안 의식에 관한 연구도 발표되었는데, 구글의 연구자는 인간 심리의 허점을 교묘히 찌르는 소셜 엔지니어링 기법을 소개

  ※ 발표자료 링크 : Does Dropping USB Drives In Parking Lots And Other Places Really Work?

• 구글의 엘리 부르츠타인 연구자는 소셜 엔지니어링 연구의 일환으로 ‘주차장이나 공공시설에 떨어져 있는 USB 메모리를 주운 후 자신의 PC로 연결해 보는 사람은 있는가’에 대한 조사 결과를 발표

• 조사 결과 미국 일리노이 대학 캠퍼스에 뿌려진 297 개의 USB 메모리 중 48%가 PC에 연결되어 USB 메모리에 있는 파일이 클릭되었으며, 이들 중 20%가 1 시간 이내에 50%가 7 시간 이내에 연결되었음

• 부르츠타인은 ‘USB 메모리를 사용한 공격은 대표적인 소셜 엔지니어링 공격 기법이지만, 이렇듯 단시간에 PC에 연결된다는 것은 놀라운 일’이라고 평가

• 지난 2010년 6월에 발각된 이란의 핵 시설을 겨냥한 사이버 공격 ‘스턱스넷(Stuxnet)’의 발단은 시설 내에 떨어진 USB 메모리를 통한 감염이라고 알려져 있음

• 부르츠타인은 이번 연구가 다수의 보안 사건 및 사고가 사람에 의해 발생할 수 있다는 것을 환기시킬 수 있는 연구 결과라고 총평

◈ 블랙햇 참가자들의 즐거움 중 하나는 ‘포니상(The Pwnie Award)’ 시상인데, 지난 1년 동안 보안에 기여한 연구자와 보안상 구멍이 뚫린 제품이나 서비스를 표창하는 것임

• 올해 컨퍼런스에서도 서버 및 클라이언트 접근 권한, 백도어 등 17 개 카테고리에서 각각 수상자가 표창되었음

• 서버 부문에서는 시스코 시스템즈가 자사 보안 제품인 ‘적응형 보안 어플라이언스(Adaptive Security Appliance)’에서 올해 2월 발견된 취약점으로 수상했는데, 이는 정교한 UDP 패킷을 보내면 임의의 코드를 실행시킬 수 있는 취약점임

• 시스코는 보고 즉시 ‘심각한 취약점’이라고 판단해 패치 파일을 전격 공개한 바 있으며, 이번 시상식에도 시스코 직원들이 등단해 ‘취약점을 보고한 연구원에 감사 드리며, 이를 교훈 삼아 보안을 더욱 강화하기 위해 노력하겠다’는 수상소감을 발표

◈ 한편 블랙햇 개최에 즈음해 또 하나의 국제 보안 이벤트인 "DEF CON(데프콘)"의 24번째째 행사가 블랙햇과 마찬가지로 미국 라스베이거스에서 개최되었음

• 미국의 해커 제프 모스(Jeff Moss)가 창설한 데프콘은 전세계 해커들이 해마다 모여 기술력을 겨루는 국제 대회로, 데프콘이란 명칭은 영화 ‘워게임(WarGames)’에서 따왔다고 하며, 제1회 대회는 1993년 개최되었음

• 컴퓨터 보안 관련 교수와 학생, 저널리스트, 법률가, 정부 및 민간 관계자들이 대거 참관하는 데프콘은 ‘해커 올림픽’이라고도 불림

• 데프콘은 블랙햇과 더불어 세계 최대의 보안 이벤트로 자리 매김하고 있으며, 개최 시기와 장소가 겹치는 덕분에 블랙햇 참가자의 절반 이상이 데프콘에 참여하고 있는데, 올해는 전년 대비해서도 24% 증가한 2만 2천여 명이 컨퍼런스에 참여

• 데프콘이 블랙햇과 크게 다른 점은 자원 봉사자들에 의해 운영되고 있다는 것이며, 해골 모양을 본뜬 노출된 기판으로 만든 입장 뱃지의 제작이나 ‘빌리지(village)’라 부르는 워크숍 모임의 기획·운영 모두 자원 봉사자들이 담당하고 있음

• 참가 비용에도 차이가 있는데, 블랙햇이 1,895~2,595 달러로 비교적 고가인 반면, 데프콘은 240 달러로 저렴한 편

◈ 테마별 워크숍이라 할 수 있는 데프콘의 빌리지는 다양한데, 올해 컨퍼런스에서는 전자제어 카드 키 시스템 해킹을 소개한 빌리지가 인기를 모았음

• “자동차 해킹 빌리지(Car Hacking Village)”에서는 워크샵 주최자가 자동​​차 내부 네트워크인 CAN(Car Area Network)에 공격 코드를 보내 해킹하는 기법을 소개하고, 키리스 엔트리(Keyless Entry)를 구현한 도요타의 취약점을 설명하는 등 지금까지 밝혀진 자동차 해킹의 구조 등을 다루었음

• 키리스 엔트리란 차 키를 이용해 문을 열거나 시동을 걸지 않고, 키를 몸에 키를 지니고 있기만 하면 차에 다가갈 때 문의 잠금이 해제되고, 키를 꽂지 않아도 시동 스위치를 돌리면 시동이 걸리게 만드는 시스템을 말함

• IoT 빌리지에서는 의료기기 및 가전 제품, 공공 시설에 설치되어있는 네트워크 감시 카메라 등의 취약점을 설명했는데, 실제로 일반 가정에서 사용하는 무선 랜 라우터의 취약점을 해킹하는 워크숍도 열렸음

• 빌리지 중에서 인기가 높았던 것은 “자물쇠 따기 빌리지(Lock Picking Village)”였는데, 특수 도구를 사용해 자물쇠를 따거나 호텔 등에서 이용되는 전자제어 카드 키 시스템을 해킹 하는 방법이 소개되었음

• 지난 2012년 휴스턴의 하얏트 호텔에서 카드 키 회로 기판의 취약점을 노린 사이버 공격에 의해 객실 기물 파손 사건이 여러 건 발생한 바 있음

• 카드 키의 해킹 수법은 이미 공개되어 그 대책이 강구되고 있지만, 카드 키에 적용되는 암호화 방법은 간단한 무차별 대입 공격에 깨지는 수준임에도, 취약한 카드 키 시스템을 이용하고 있는 호텔들이 여전히​​ 존재한다고 함

◈ 데프콘 24에서는 참가자들의 안이한 보안 의식에 긴장감을 주기 위해 참가자들의 PC나 스마트폰을 고의로 해킹하는 이벤트도 있었음

• 대회장에는 여러 개의 개방형 액세스 포인트(AP)가 존재했는데, 게 중에는 부주의하게 접속한 사용자의 PC나 스마트폰을 해킹하기 위한 것도 있었음

• ID나 패스워드를 암호화하지 않고 액세스 포인트에 연결할 경우 ‘Wall of Sheep(양의 벽)’이라는 대회장의 스크린에 사용자의 이름과 ID, 패스워드가 가차없이 노출되었는데, 이는 자동으로 개방형 와이파이에 접속할 경우 해킹의 위험이 있음을 환기시키기 위한 것

◈ 블랙햇 뿐만 아니라 데프콘에서도 100개 이상의 데모와 세션이 개최되었는데, 특히 커넥티드 카에 대한 해킹에 많은 관람객이 몰렸음

• 데프콘 시연회의 특징은 테마의 범위가 넓은 것인데, 자동차나 ATM(현금 자동입출금기) 등 전통적인 테마는 물론, 태양전지 패널, 웹 캠, 통신 기능을 가진 성인용품까지 해킹 대상이 되었으며, 각각의 취약점과 일부 해킹 기법이 시연과 더불어 소개되었음

• 시연회 중에서도 이목이 집중된 것은 커넥티드 카에 탑재된 레이더와 카메라를 해킹하는 시연을 상세한 설명과 곁들인 세션이었음

• 중국의 인터넷 보안업체인 ‘치후 360 테크놀로지(Qihoo 360 Technology)’에서 자동차의 사이버 보안 부문을 담당하는 패디 류 교수는 테슬라 모터스, 폭스바겐, 아우디 등의 차량이 탑재한 ‘고급 드라이빙 지원 시스템(ADAS)’을 오작동시키는 데모를 선보였음

※ 발표자료 링크 Can You Trust Autonomous Vehicles: Contactless Attacks against Sensors of Self-driving Vehicle

• ADAS는 레이저를 이용한 레이더인 리다(LiDAR), 초음파 센서, CCD(전하결합소자) 카메라 등을 이용해 다른 차량이나 장애물을 감지해 추돌 전에 자동 브레이크로 정지나 감속시키는 시스템

• 류 교수는 초음파 센서에 대한 ‘방해 공격’을 통해 ADAS가 장애물을 인식하지 못하게 하는 데모를 선보였는데, 방해 공격은 초음파 센서와 동일한 주파수 대역의 전파를 대상물의 근처에서 발생시킴으로써 초음파 센서를 오작동시키는 것임

• 또한 장애물을 인식하는 CCD 카메라에 일정한 파장의 빛을 비춰 주위의 장애물을 인식할 수 없게 만드는 데모도 공개했으며, 리다를 향해 유사한 패턴을 가지는 펄스 신호를 전송하여 스푸핑 하는 것도 가능하다고 소개하였음

• ADAS를 오작동 시키기 위한 가장 저렴한 도구는 초음파 센서의 음파를 흡수하는 ‘흡음 소재’인데, 류 교수는 흡음 소재를 품에 안은 사람이 자동차의 앞을 가로질러 가도 ADAS가 작동하지 않고 자동차가 계속 주행하는 영상도 소개하였음

◈ 데프콘 행사의 메인 이벤트는 상호 공격과 수비 실력을 겨루는 ‘깃발 잡기(CTF, Catch The Flag)’이지만, 올해는 인공지능이 참여해 인간과 겨룬다고 해서 화제가 되었음

• CTF는 자신들의 서버는 방어하면서 다른 팀의 서버를 공격하며, 시스템 내에 숨겨진 취약점(깃발)를 발견하고 수정하는 기술을 겨루는 경기로, 데프콘 CTF에는 전세계 각 지역의 예선을 통과한 14개 팀이 참여하였음

• 올해 데프콘 CTF에는 카네기멜론대학 ‘포올시큐어팀(Team ForAllSecure)’이 만든 슈퍼컴퓨터 ‘메이험(Mayhem)’이 본선 경연자로 참가했는데, 인공지능(AI) 슈퍼컴퓨터가 데프콘에서 인간들과 해킹 방어 대결을 펼친 것은 이번이 처음임

• 메이험은 보안 취약점 발견에는 인간 해커들보다 실력이 떨어졌지만, 취약점을 보완하고 수정하는 패치 능력은 매우 높은 수준을 보여줘 경연 참가자들을 놀라게 했으며, 향후 해킹 분야도 인공지능이 사람을 능가할 가능성이 있다는 평가를 이끌어냈음

◈ 올해는 데프콘 CTF 보다 같은 장소에서 미 국방부 방위고등연구계획국(DARPA)이 주최한 ‘사이버 그랜드 챌린지(Cyber​​ Grand Challenge, CGC)’가 더 큰 주목을 받았음

• CGC는 데프콘 행사와 관련이 없지만, CGC의 최종 결승전이 데프콘과 같은 장소에서 개최되었고, 데프콘에서도 CGC와 관련한 여러 세션이 열리면서, 자연스레 두 행사가 하나로 묶여 진행이 되었음

• DARPA는 2013년 10월에 CGC의 개최를 발표하며, ‘제로데이 공격에 신속하게 대응할 수 있는 프로그램 개발이 목적’이

라고 했는데, 취약점의 발견과 수정을 자동화함으로써 강력한 사이버 공격 자동방어 시스템을 구축하려는 정부 정책의 일환이라고 함

• CGC에 대한 미국 정부와 국방부의 관심은 대회 예산 규모에서도 드러나는데, DARPA는 CGC에 약 5,500만 달러를 투자하였음

• CGC 예선에는 미국 전국에서 104 팀이 참가하였으며, 최종적으로 7개 팀이 결승전을 벌였는데, 이 7개 팀은 사전에 DARPA가 제공 한 75만 달러의 연구지원금을 바탕으로 프로그램을 개발해 결승전에 임했음

• CGC에서 우승한 컴퓨터가 바로 카네기멜론대학 포올시큐어팀의 메이험이었으며, 우승 상금 200만 달러와 함께, 데프콘 CTF에 참가할 수 있는 기회를 부여 받았음

※ 다음 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1759호(2016. 8. 17 발행)에 기고한 원고입니다. 

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

랜섬웨어_몸값지불_불가_이유.pdf

◈ 랜섬웨어의 몸값을 지불해야 하는 지에 대해서는 쉽게 답하기 어려운데, 대체적으로 보안업계 전문가들 대부분은 지불하지 않는 것이 보다 이상적이라는 입장임

• 기업의 의사결정권자들은 예스 혹은 노의 단순한 답을 듣기 원하지만, 보안과 관련된 이슈 중에 단순한 것은 하나도 없음

• 가장 이상적인 것은 대기업이든 중소기업이든 랜섬웨어의 공격에 대비해 두어, 몸값을 내지 않고도 데이터를 복원할 수 있는 준비를 갖추는 것임

• 그러나 완벽한 대비를 갖추지 못한 상태에서 랜섬웨어의 공격을 받고 난 후라면, 몸값을 지불해야 하는가라는 질문은 답하기가 매우 어려워지는데, 왜냐하면 선택할 수 있는 옵션이 없는 상황에 처할 수도 있기 때문

• 미국의 보안업체 레드팀 시큐리티(RedTeam Security)에 따르면, 랜섬웨어에 대해 우선 알아야 할 것은 이것은 여러 면에서 테러 행위와 비슷하다는 것이며, 미국은 테러리스트와는 협상하지 않는다는 정책을 취하고 있다는 점을 상기할 필요가 있음

• 국가 차원에서 이런 정책을 취하고 있는 데에는 다 이유가 있는데, 악당들은 신뢰할 수 없으므로 그들이 말하는 것을 곧이곧대로 믿을 수 없기 때문이며, 따라서 랜섬웨어의 경우도 몸값을 지불하더라도 데이터를 복원해 준다는 보증은 없다고 보아야 함

• 그 시점에서는 몸값을 지불하는 것이 현실적 대안이었다고 주장하는 사람도 있겠지만, 일단 지불하고 나면 악당을 신뢰해야만 하는 상황에 처하게 된다는 것을 인지해야 하며, 확실한 것은 데이터 인질 행위가 반복해서 벌어질 것이라는 점

• 설사 몸값을 내고 데이터 암호화가 풀리더라도, 이것으로 랜섬웨어가 시스템에서 완전히 사라진 것이라고 믿을 수 있는 증거는 없으며, 악당들은 자신들이 만족할 때까지 몇 번이고 더 돈을 요구할 수도 있음

◈ 몸값 지불 여부의 판단은 가정이 아니라 현실의 이야기가 되면 훨씬 더 어려운데, 최근 자주 랜섬웨어의 표적이 되고 있는 병원이나 의료기관이 처하게 되는 상황이 그러함

• 의료기관들은 랜섬웨어 공격을 받게 되면 데이터 복원이라는 결과물과 지불해야 하는 비용 사이에서 중대한 고민을 할 수밖에 없음

• 의료기관의 경우 데이터에 접근이 차단되는 상황이 발생하거나 차단 시간이 길어지면, 화자의 목숨과 생명에 직접적인 영향을 미칠 수도 있기 때문

• 레드팀 시큐리티는 결국 경우마다 다를 수 밖에 없으며, 인명이 위험에 노출되는 상황에서 어떤 것이 올바른 것이라고 쉽게 조언할 수 없겠지만, 그럼에도 불구하고 몸값 지불은 위험한 선례를 만들게 되기 때문에 권장할 수는 없다는 입장임

• 시스코 시큐리티 서비스 역시, 어떤 업계이든 자신들이 돈줄이 될 만한 표적으로 찍힐 선례를 만들고 싶어하지는 않을 것이며, 몸값 지불 여부를 흑백논리로 몰아 붙이는 형태의 대화는 현실성이 없다는 입장임

• 정부 기관이냐 민간 기업이냐에 따라서도 견해가 다른데, 정부 기관은 랜섬웨어에 대해 테러 행위에 준해 대응해야 하는 반면, 민간 기업은 주주와 고객에 대한 책임을 먼저 생각할 수밖에 없음

◈ 랜섬웨어 몸값 지불 여부는 조직이나 기업의 성격에 따라 크게 달라지므로, 랜섬웨어가 조직에 미치는 영향을 이해하는 것이 중요하며, 과도한 두려움에 휩싸이지 않는 것도 필요

• 보안 침해의 위험성에 대한 판단도 전문가 별로 엇갈리는데, 보안 기업 듀오 시큐리티(Duo Security)를 비롯한 많은 사람들은 병원에 대해 반복적으로 일어나고 있는 공격에 대해 우려를 표명하며, 랜섬웨어의 공격이 환자의 건강에 직접 연관성을 가진다고 보고 있음

• 반면 시스코 시큐리티 서비스는 랜섬웨어 공격과 환자의 건강 사이의 상관 관계에 대해 그렇게까지 ​​확신할 수 없다는 입장인데, 그렇게 될 가능성이 있기는 하지만 지금까지 실제로 화자의 생명에 위험이 발생한 사례는 본적도 들은 적도 없다는 것

• 범죄자들이​​ 랜섬웨어가 환자의 건강과 주주의 이익에 영향을 미치는 것 아니냐는 피해자의 두려움을 먹이로 하고 있다는 점도 정확히 인지할 필요가 있음

• 데이터에 접근할 수 없는 1분 1초마다 어떠한 손실이 발생할 것을 알기에, 범죄자들은 피해자들이 몸값을 지불할 것이라는 기대를 걸고 있는데, 이런 이유로 인해 몸값을 지불하는 선택은 최후의 수단이 되어야만 함

• 물론 어떠한 경우에도 절대 몸값을 지불하지 않는다는 입장을 취하는 것은 현실적이지 않으며, 지불할 수밖에 없는 상황이 있기에 랜섬웨어가 범죄자들에게 이익이 떨어지는 비즈니스 모델이 성립되는 것임

• 그러나 반대로 생각하면 랜섬웨어의 몸값지불은 잘 작동하는 모델이라는 것이 입증되었으므로, 이번 한 번만 지불하고 다시는 지불하지 않겠다는 생각이 현실화될 가능성은 높지 않으며 따라서 몸값 지불에 신중을 기해야 할 필요가 있음

◈ 결국 가능하지 않은 몸값 지불의 원칙을 수립해 놓는 대신 기업에 필요한 것은 임박한 공격에 대한 대비이며, 공격을 당하더라도 잘 복구할 수 있는 준비를 제대로 해놓는 것임

• 보안 기업 플래시포인트(Flashpoint)는 랜섬웨어는 더 큰 문제가 나타날 증후의 하나라고 지적하는데, 랜섬웨어가 오기 전에는 정보를 훔치는 멀웨어들이 먼저 침투하며, 따라서 시스템은 이미 감염이 되어 있고 데이터들은 도난을 당하고 있다는 것

• 기업들은 몸값을 지불하지 않아도 신속하게 복구할 수 있는 성태를 갖추어야만 하며, 랜섬웨어가 침입했다는 것은 이미 보안상의 결함이 있다는 것이므로, 몸값 지불은 경솔한 판단이 될 수 있다고 지적

• 플래시 포인트는 랜섬웨어 ​​공격을 이미 받은 경험이 있는 기업이라면 랜섬웨어 공격을 기업 보안 환경 상의 문제로 바라보는 데 초점을 맞추어야 한다고 조언

• 아직 피해를 입은 적이 없는 기업이라면, 랜섬웨어 ​​공격에 대한 대비를 서버 크래싱(서버의 갑작스런 닫힘 문제)에 대비하듯 할 필요가 있음

• 즉, 평상시 중요한 파일이 어느 것인지를 생각해 놓을 필요가 있으며, 만일 중요 데이터들이 침해를 당했을 때 다른 방법으로 확보할 수 있는가를 생각해 두어야 함

• 모든 파일에 대해 중복된 복사본이나 섀도우 카피를 가지고 있거나 데이터를 추출하여 네트워크와 분리 된 장소에 두어 

랜섬웨어의 위험이 미치지 않도록 하는 노력도 필요함

◈ 랜섬웨어 공격으로 범죄자들이 큰 돈을 벌 수 있는 것은 피해자들과 심리전에서 이기고 있기 때문이므로, 심리적 압력에 굴복하지 않고 합리적으로 대처하려는 강인함이 필요

• 범죄자들은 아무도 랜섬웨어의 공격을 받은 바보들이라는 비웃음을 받고 싶어하지 않다는 점을 잘 알고 있으며, 이 때문에 실제로 많은 피해자들은 공격을 받았으며 비밀리에 몸값을 지불했다는 것을 숨기기 위한 거짓말을 하고 있음

• 플래시포인트는 심리적 압력에 굴복할 것이 아니라, 상황 인식을 깊게 할 필요가 있다고 조언하는데, 즉 공격을 받아도 무방하며, 침해 사실에 대해 공표하고, 숨기지 않고 복구 계획을 수립해도 전혀 문제가 없을 것이란 태도를 견지할 필요가 있다는 것

• 기업이나 조직은 몸값을 지불한다고 해서 데이터의 잠금이 해제된다는 보장이 없고 뒤끝 없이 잠금 해제가 된다는 보장도 없다는 것을 기억해 둘 필요가 있는데, 결국 이러니 저러니 해도 거래 상대방은 범죄자들인 것임

• 랜섬웨어 공격을 당하고 난 뒤에 접하게 될 골치 아픈 선택을 하고 싶지 않다면, 범죄자들에게 돈을 지불하지 않기 위해서라도 엔드 포인트를 방어하기 위한 비용을 사전에 투자하는 것이 효과적이란 것을 의사결정권자들이 이해해야 함

• 또한 침해를 당한 경우, 몸값 지불보다는 복구의 도움을 얻기 위해 신뢰할 수 있는 법의학 팀에 비용을 지불하는 것이 보다 효과적일 수 있다는 점도 잊지 말아야 함

• CNN 보도에 따르면 지난 1년간 미국 기업의 40%가 랜섬웨어의 공격을 받은 것으로 나타났는데, 이는 랜섬웨어에 대한 대응과 침해 시 대응방안 마련이 이제 기본적인 보안 활동이 되어야 함을 보여주고 있음

• 보안 이슈의 처리에는 정답이 없으며, 기업이나 조직 별로 보안 침해의 영향력이 다르기 때문에, 평소 자기 조직에 대한 충분한 이해를 하는 것이 보안에서도 매우 중요함