해커에게 필요한 웹 구조 해부하기 6

사정권 재조준

---

IT 정보보안업계로 직종을 전환하기 전에 국비지원으로 ‘정보보안 전문가 양성과정’을 어느 오라클 공인시험센터에서 받은 적이 있었다.

그 수강 기간 가운데 시스코 CCNA를 가르쳐줬던 강사한테 뭔가 좀 집요하게 물어봤던 적이 있었는데, 그 강사의 답변이 마치 중언부언하는 것처럼 보이기에 직언을 날린 적이 있었다. 그 당시 서로 정보보안기사도 준비하는 시기라서 최신 회차의 필기 기출문제도 공유해줬었는데 답변의 질이 형편없어서 불만을 토로했었다.

어쨌든 수강기간 동안은 별 탈 없이 지내다가, 막판에 팀별 프로젝트 수행 결과물에 대한 프레젠테이션 타이밍이었다. 필자의 DB 보안 파트 부분에 대한 발표를 끝으로 팀 발표가 끝나자, 그 강사가 질문이 있다며 약 5분 동안 질의하였다. 본인이 발표를 마치고 질문이나 이의가 있으신 분은 해달라고 했더니 아마도 후자를 겨냥하고 질문 하나를 혼자서 남발하였다.

어쨌든 같은 팀의 다른 애가 그 질문에 대한 답변을 대신했다. 아마도 수강기간 동안 내내 질문했던 나의 집요함에 대한 그 강사의 카운터였던 걸로 지금 와서 되돌아보니 느껴졌다. 현업에서 보안에 대해 아주 조금은 알고 있는 지금에야 본인의 성격 그대로 질문을 했었던 게 좀 심했나 싶기도 하지만, 본인은 질문할 때 배운 내용의 사정거리 내에서 질문을 조준했었다. 하지만 듣는 사람에 따라 질문의 범위는 다르게 해석될 수 있기에 본인이 선을 넘었었을 수도 있었겠다.

어쨌든 그 팀 프로젝트 경쟁에서 필자가 속한 팀이 최우수를 수여했다. 그 강사는 네트워크 담당이었기에 당시 본인이 수행했었던 오라클 DB 보안에 대한 파트에 대해서는 마이너스를 크게 주지 못했던 거 같기도 하지만, 강사라면 본인 업의 사명이 뭔지 한 번쯤 되돌아보았으면 좋겠다는 게 또 필자의 레퍼토리이다.

이 섹션의 제목은 웹 구조에 대한 일명, 해부(dissect, 통달)을 해서 해커가 알아야 할 취약점에 대한 분석에만 그치는 것이 아니다. 앞으로 웹상에서 오고 가는 디지털 데이터의 저작권(DRM 보안 솔루션의 약자와 동일함)에 있어서는 취약한 자바스크립트의 API가 많이 사용되는 현재의 웹 응용 기술의 대안으로 블록체인의 활용방안까지 알아보고 이것의 취약점에 대해서도 스스로 진행해 보고자 한다.

키워드는,

링크드 데이터(linked data), 데이터베이스 포렌식 그리고 블록체인 취약점 분석이다.

참조할 책은 아래와 같다.

이 중 조지 길더의 ‘구글의 종말’이라는 책에서 자바스크립트를 개발한 브렌던 아이크가 상용화시킬 ORBX.js 자바스크립트 라이브러리를 통해 데이터 저작권 관리의 필요성을 무용지물로 만들 수 있다는 대목은 괄목할만하다. 왜냐면 지금의 데이터 자체에 보안 기술인 DRM(디지털 저작권 관리)이나 워터마킹 솔루션을 대체할 미래 보안 산업의 캐시카우가 될 것이기 때문이다. 저자의 예측대로라면 말이다.

1) 조지 길더(2019), Life After google 조지 길더 구글의 종말 : 빅데이터에서 블록체인으로 실리콘밸리 제국의 충격적 미래, 한국판 역자 이경식(2019). 서울 : 청림출판(주).

2) 데이비드 우드 외 3(2014), Linked Data: Structured data on the web 링크드 데이터, 한국판 역자 오원석 외 3(2017). 서울 : 공존의 미학

3) 이별, 안소현(2020), 데이터베이스 포렌식, 서울 : @Beom