사람들은 흔히 이렇게 생각한다. 보안을 위해 도입한 제품이나 기술들은 사람들을 더 안전하게 만들어 줄 거라고. 딱히 틀린 말은 아니지만 그렇다고 또 맞는 말도 아니다. 시간의 흐름 속에 어떤 것도 영원할 수 없듯이 기술의 발달 속에 어떤 기술도 같은 효과를 유지할 수 없다. 마치 "과거에는 맞았지만 지금은 틀리다"는 말처럼. 과거에는 안전하고 좋은 기술이었을지 몰라도 상황이 변한 지금은 안전하지 않은 제품 혹은 기술들이 있기 때문이다.
과거에는 좋았으나 지금은 좋지 않은 대표적인 보안기술로 세 개를 거론할 수 있다. (텍스트 기반) 암호, 캡챠, 모의피싱훈련이 그것이다. 모두 현재도 많은 기업들에서 활발하게 활용되고 있는 기술들이라는 특징을 가지고 있다. 그럼에도 지금은 좋지 않다고 표현한 것은 실질적 보안의 효과는 적으면서 기술의 특징이 이미 해커들에게 노출되어 취약해져 버린 기술들이기 때문이다. 이 중 앞의 다른 글들에서 이미 설명한 암호 기술을 제외한 다른 두 기술들에 대해 설명해 보겠다.
캡챠(Captcha)
캡챠는 많은 인터넷 사이트에서 부정에 의한 로그인을 방지하기 위한 방안으로 현재까지도 활발하게 이용되고 있는 기술이다. 로그인 시 아이디, 패스워드 외 이미지 속에 보이는 알파벳문자 혹은 숫자를 입력하도록 요구함으로써 이용자의 아이디, 패스워드를 찾아내고자 자동화도구를 이용하는 공격을 차단하기 위해 도입되었다. 이용자가 육안으로 직접 문자를 보고 입력해야 하는 환경을 제공함으로써 악의적 프로그램을 통한 자동화접속을 차단한 것이다.
게다가 아이디, 패스워드 외 추가 문자 입력을 제공함으로써 2단계 인증을 제공하는 효과까지 간접적으로 가져갈 수 있어 인터넷 서비스를 제공하는 기업들에게 많은 호응을 받았다. 실제 캡챠가 도입된 초기에는 자동 프로그램을 통한 부정접속을 차단하는 효과가 뛰어나 상당한 보안효과를 보이기도 했다.
시간이 지남에 따라 해커들이 캡챠의 효과를 무력화할 수 있는 기술들을 개발해 내면서 상황이 바뀌기 시작했다. 캡챠를 무력화하기 위해 이미지 속에 숨겨진 글자들을 자동으로 읽어내는 프로그램을 개발해 냈고, 자동화 프로그램을 통한 접속을 포기하고 직접 사람들을 이용해 로그인하거나, 머신러닝 또는 인공지능 설루션들을 이용한 기술들로 인해 캡챠는 무용지물이 되었다.
현재 캡챠 기술이 처한 입지는 어정쩡하다. 도입으로 인한 보안효과가 전혀 없다고 할 수는 없겠으나 해커가 마음만 먹으면 저렴한 해킹설루션을 통한 무력화가 언제든 가능하기 때문이다. 캡챠가 이미 보안성을 상실한 기술이라고 불리는 이유다.
모의피싱훈련
정확히 언제부터인지 기억나지 않지만 대부분의 기업들에서 일 년에 한두 번씩 이메일을 통한 모의피싱훈련(또는 모의메일훈련)을 수행하는 것이 당연시되고 있다. 피싱메일을 이용한 악성코드의 내부 침투가 빈번해지고 비례해서 기업들의 피해 역시 증가함에 따라 임직원들에 대한 경각심을 고취하기 위한 방안으로 모의피싱훈련이 도입되기 시작해 지금까지 이어지고 있는 것이다.
문제는 모의피싱훈련 역시 도입 초기와 비교해 점차로 훈련의 효과가 현저히 떨어지고 있는 것이 확인되고 있다는 점이다. 반복된 훈련을 통해 임직원들 역시 훈련에 익숙해져 초기 모의메일 감염자가 주변인들에게 전파해 주의를 주는 등 훈련의 효과를 떨어뜨리는 부작용들이 빈번하게 발생하고 있다.
가장 큰 문제는 모두를 속일 수 있는 모의피싱훈련을 할 수 있음에도 할 수 없다는 것이다. 회사에서 요구하는 '반드시 훈련임을 나타내야 한다'는 제약, '실제 업무에 지장을 주면 안 된다'는 제약 등은 큰 효과를 얻을 수 있는 훈련기술의 도입을 방해하는 요소다.
훈련에 너무도 익숙해져 적응해 버린 임직원들과 훈련 효과가 뛰어난 기술 적용의 제약. 이 두 가지가 모의피싱훈련이 더 이상 보안효과를 기대할 수 없도록 만드는 이유다.
플라세보 효과라는 용어가 있다. 약이 아닌 사탕을 복용했음에도 약을 먹었다고 믿으면 실제로 호전되는 효과가 나타나는 경우를 말한다. 긍정적 생각이 긍정적 결과로, 부정적 생각이 부정적 결과로 이어지는 경우에 사용되는 용어다.
보안의 플라세보 효과는 다르게 적용된다. 실제 보안의 기능을 상당 수준 상실했음에도 기술을 적용했거나 훈련을 했다는 것만으로 안전할 것이라는 잘못된 믿음이나 자신감을 심어주어 오히려 더 취약하고 해이해지게 만드는 작용을 한다. 역효과가 생겨나는 것이다.
세상이 발전함에 따라 기술도 같이 발전해 나간다. 아직 예전의 기술에 머물러 걸어가고 있다면 시대에 한참 많이 뒤처진 것이요 그만큼 취약해진 것이다. 잊지 말라. 해커들은 날아가고 있다.
