Post "북한 해킹", Fast "대한 민국"

"북한 해킹으로부터 한 걸음 더 나아가기"

원자력연구소의 북한 추정 해킹 관련 보도에서 드러난, 연구소 직원들이 사용했다는 비밀번호에 대해 비난이 빗발쳤다. 키보드 자판 순서대로 쉽게 유추 가능한 1q2w3e4r07! (07은 7월을 의미)라는 비밀번호를 썼다는 이유인데, 사실 보안담당자 입장에서는 그나마 대견한 비밀번호다. 이 비밀번호 조합은 문자와 숫자 그리고 특수문자가 조합되어 관계 법령을 충족하는데다가 아마 내부 규정도 만족할 것이다. (심지어 월별로 바꿔야 한다는 규정이 있는 듯, 07이란 숫자를 넣어 보완하는 노력도 기울였다)

◆ 법령은 Minimun, 지킨다고 100% 안전한 건 아냐

비밀번호를 해킹할 때 보통 두 가지 방법을 조합한다. 사전(Dictionary) 공격과 무작위 대입(Brute Force) 공격이 그것인데, 여기서 "사전" 이란 비밀번호로 자주 쓸 것 같은 문자열을 별도의 리스트로 나열해 놓은 파일을 말한다. 여기서 자동화 도구로 사전의 문자열을 하나씩 대입하는 것이 무작위 대입. 도구의 성능은 숫자 8자리일 경우 어떤 경우든 10초 내로 해독된다. 확률적으로 영어 대문자, 소문자, 숫자, 특수문자의 8자리 조합일 때 같은 방법으로 23년이 걸린다고 한다. 하지만 이것은 도구의 성능만을 의미하는 것이고, 위에서 말한 사전에 1q2w3e4r 그리고 07, !와 같은 "비밀번호로 쉽게 쓰는" 즉, 쉽게 유추 가능한 문자열이 많이 등록되어 있었을 때 확률은 기하급수적으로 낮아질 수 있다. 실제로 예전에 사내 노후 PC를 회수해 보면 실제로 키보드의 이 부분이 많이들 불량했던 기억이 있다. 기사의 많은 댓글들이 저런 비밀번호라면 나도 해킹하겠다고 비난을 퍼붓는 데는 나름의 일리도 있을 것이다.

◆ 법령도 패치도 없는 VPN

비밀번호는 어쨌든 바꾸면 된다. 하지만 그보다 주목할 점은, 보완하는 데 더 큰 시간과 비용이 드는 것은 기사가 주목한 비밀번호가 아니라 VPN(가상사설망)이다. VPN은 원격에서 다른 원격으로의 접속을 안전하게 해 주는 보안 소프트웨어 및 장비를 말하며 코로나 비대면으로 활성화된 재택근무에 필수불가결한 요소인데, 원자력연의 해킹사고는 이 VPN 취약점 때문에 발생한 것으로 다른 전문지에서는 보도했다. VPN 취약점 해킹은 어제 오늘의 일이 아니었다. 재택근무가 활성화된 '20년 이후 전 세계의 해커들이 타겟팅하는 대상이 되었으며, 글로벌 1, 2위 VPN제조사들이 일찌감치 공격을 겪고 패치를 발표한 게 지난 5월. 더불어 이번에 확인하게 된 건 국가기관은 마치 MS오피스 대신 한글 프로그램을 쓰는 것처럼 VPN도 글로벌이 아닌 국산제품만을 쓴다는 사실이다. 어쩌면 7월까지 약 두 달의 시간이 있지 않았을까? 글로벌 제조사들이 서둘러 취약점을 공개하고 패치 개발을 발표하는 건 그들이 선량해서가 아니라 그만큼의 집중적인 공격을 받고 있으며, 자사의 제품이 보안에 취약하다고 알려졌을 경우 세계 시장에서 쉽게 밀려날 수 있다는 것을 알기 때문이다. 국산제품 제조사의 대응에 아직 이 만큼의 경각심은 찾아보기 어렵다.

◆  나아갈 수 있는 방향이 있다

사실 보안은 애시당초 불공정 게임이라 한다. 공격자는 단 하나의 취약점만 알아도 성공하는데, 방어자는 모든 취약점을 다 알고 막아야 한다. 한국은 분명 IT강국이지만 특정 분야에 치중한 경향이 있으며 일부 한국 환경에 최적화되어 크게 성공한 애플리케이션(카카오톡, 쿠팡 등) 외 IT기반 자체가 선진국이라고 보기는 어렵다.

거슬러 올라가면 DJ정부때부터 가야 한다. (이 내용은 舊 공인인증서 문제로 많이 알려져 있기도 하다) IMF를 벤처기업으로 극복하려 했던 DJ정부는 IT 국제표준을 패싱하고 국내표준이란걸 만들어 이것을 준수하는 제품들 위주로 대거 지원을 했으며 이것이 일종의 보호무역처럼 작용해 왔다. 사실 대기업, 중공업 위주로 육성한 한국의 산업화 과정과도 일맥상통하는지도 모르겠지만, 결과적으로 이 우산 아래서 그동안 웃자라거나 덜자란 산업이 같은 IT 안에도 골고루 존재하게 되었으며 언제까지 이것을 방치할 수만은 없다고 생각한다. 비단 VPN에 국한된 얘기는 아닐 것이다. 취약점을 선제적, 적극적으로 찾아내고 이를 공개하며 패치를 위한 개발자까지 공개 모집하는 글로벌 제조사에 비해 아직 한국 제조사들은 사고 발생시까지 이것을 숨긴다(위법사항은 아니다). 보안을 지키기 위한 노력을 다 했을 경우 면책된다는 것에 대한 신뢰나 판례가 거의 없기 때문이다. 이 점에서 기업은 기업대로, 또한 개인정보유출사고를 겪거나 접한 사용자는 사용자대로 불만과 불신이 싹튼다. 하지만 여기서 기업이 해야 할 일은 현재의 제도에 불평만 하는게 아니라 현재가 제시해주지 못하는 방향으로 나아가는 게 맞지 않을까. 다행히 이 방향은 추상적이지도, 일부 전문가들의 머리 속에만 있지도 않다. 보안취약점을 공개적으로 알리고 이것을 데이터베이스화하여 이를 참조하는 타 기업간, 업종간의 보안성도 연계적으로 향상시키는 글로벌 기준, CVE(Common Vulnerabilities and Exposures)방식의 국내 도입이 그것이다.

#CVE(Common Vulnerabilities and Exposures) : 공개적으로 알려진 보안취약점을 가리키는 일관된 규칙의 고유 표기. 예를 들어 2021년에 발표된 1994번째 취약점은 CVE-2021-1994로 표현한다. 관련성이 있는 다른 도구, 서비스 간에 해당 데이터를 공유하는 것이 목표이다. 미국 비영리회사인 MITRE사에서 1999년 처음 만들어 운영하기 시작했으며 이후 미국의 민, 관 협력체계가 구축되어 체계화되어 왔다. 이 글에서는 CVE의 데이터베이스에 한국의 취약점을 포함시키자는 의미가 아니라 이러한 절차와 체계의 접목을 고민해보자는 의미로 사용했다.