모의해킹 통해 앱·시스템 취약점 연구
물샐틈없는 방어벽 만들기 위해
쪽잠으로 버티는 일 다반사
공격방법 알아야 방어도 가능
100가지 공격형태 상상하며
0.01%의 뚫릴 가능성까지 대비
‘째깍째깍’ 시계 초침 소리만이 새벽 2시의 적막을 깨운다. 시간이 벌써 이렇게 됐나. 밤을 새운 지 꼬박 이틀이 지났다. 한 금융권 기업으로부터 시스템 취약점을 찾아 달라는 부탁을 받고 모의 해킹을 하고 있지만 좀처럼 답이 보이지 않는다. 별 수 없이 여느 때처럼 자기 최면에 들어간다. 출발은 ‘내가 공격자라면 어떻게 할까’이다. 상상의 나래는 ‘내부 시스템은 어떻게 구성되고, 네트워크 환경은 어떤지, 서비스 프로그램은 어떻게 개발됐는지’로 이어진다. 최면에 걸리면 무한 상상에 빠진다. 화장실에 가도, 쪽잠에 빠져도, 컵라면을 들이마시는 순간에도 똑같은 상상을 한다. ‘나라면 어떻게 할까.’
기업이나 정부기관 의뢰를 받고 가상으로 해킹 공격을 감행하는 사람들이 있다. 악의적인 목적으로 시스템을 마비시키는 ‘블랙해커’와 달리, 취약점을 발견해 방어책을 찾는다고 해 ‘화이트해커’라고 부른다. 최근 연이은 국가적 사이버테러로 화이트해커가 새롭게 조명받고 있다. 이에 현장에서 활동 중인 2명의 화이트해커를 인터뷰해 그들의 이야기를 들어봤다. 화이트해커는 한 마디로 분석가보다 사색가에 가까웠다. 이들은 암호를 풀기 위해 데이터보다 상상에 더 많이 의존하고 있었다.
화이트해커들이 기본적으로 하는 가상 공격은 대부분 깊은 밤에 이뤄진다. 조주봉 라온시큐어 화이트햇센터 보안기술교육팀장은 “고객 요청으로 시스템이나 애플리케이션에 대한 취약점을 점검하는 모의 해킹을 하는데 주로 대상이 서비스가 운영 중인 시스템이기 때문에 낮을 피해 하는 경우가 많아 화이트해커 대부분은 야행성”이라고 말했다. 권석철 큐브피아 대표는 “취약점을 발견하고 방어 체계를 만들기까지 긴장의 연속이라 며칠 밤을 새우더라도 잠이 오지 않는 편”이라고 말했다.
공격을 시도할 때 주의점은 두 가지다. 시스템이 파괴될 수 있거나 서비스에 큰 문제를 유발할 수 있는 부분을 제외시켜야 한다. 이를 뺀 나머지 부분에 대해서는 실제 해커가 돼 사정없이 공격한다.
기존에 알려진 공격 툴을 잘 사용하지 않는 것이 이쪽 업계의 특성이다. 공격 툴을 이용하다 데이터가 삭제되거나 유실되는 사례가 실제 발생했기 때문이다. 조 팀장은 “기존 공격 방식대로 스캐너(취약점 점검 소프트웨어)를 돌리면 기대했던 취약점이 잘 포착되지 않아 화이트해커가 하나하나 손으로 입력하는 경우가 더 많다”고 설명했다. 다만 블랙마켓에서 거래되는 해킹 툴에 대해서는 “전문지식이 없는 사람도 쉽게 이용할 수 있도록 상세하게 설명돼 있을 정도로 퀄리티가 높다”고 말했다.
 |
| 화이트해커들에게는 하루 24시간 컴퓨터 앞에만 붙어 있을 것 같다는 고정관념이 따라다닌다. 하지만 이들이 제일 많이 하는 것은 머릿속으로 여러 가정에 대해 상상하는 일이다. 그래서 상상병에 걸렸다는 우스갯소리도 나온다. 사진은 라온시큐어에 고용된 화이트해커가 업무를 보는 모습. |
공격 방식은 크게 두 가지로 나뉜다. 하나는 의뢰인이 네트워크 소스 코드를 보여준 상태에서 진행하는 화이트박스 테스트다. 이미 소스 코드를 보고 시작하기 때문에 네트워크 설계를 통해 미처 찾아내지 못한 취약점을 발견할 수 있다는 장점이 있다. 다른 하나는 모든 것이 가려진 상태에서 무작위로 공격하는 블랙박스 테스트다. 이는 모든 가능성을 열어두고 공격하는 식이라 예상외의 수확을 할 수 있다는 특징이 있다. 업계서는 이 두 가지를 접목하는 것이 가장 이상적인 방식으로 평가한다.
이와 함께 매달 마이크로소프트 보안 업데이트가 이뤄지는데, 특히 미공개 취약점 보안이 강화되면 이전 파일과 비교해 이를 토대로 가상의 공격 코드를 만들어내는 작업도 한다.
화이트해커 업무는 각자의 특기에 따라 웹 모의 해킹, 악성 코드 분석, 네트워크, 모바일 등으로 나뉜다. 따라서 이들에게 정보 교환은 필수다. 운영 체제, 프로그래밍 개발, 메모리 구조 등 여러 사항에 대해 파악하고 있어야 하기 때문에 커뮤니티를 통해 여러 문서를 공유하고 이를 통해 새로운 기술을 만들어내고 있다.
개별적으로 정보를 수집하는 것은 통상 다른 직업군과 비슷하다. 이들은 날마다 e-메일ㆍ페이스북ㆍ트위터 등을 통해 최신 해킹정보를 확인한다. 하지만 조직적으로 깊이 있는 분석을 시도하는 길목은 따로 있다.
권 대표는 “시큐리티소프트나 빛스캔 등의 사이트를 통해 기술이나 악성 코드 정보를 수집한다”며 “최근에는 중국이 미국 기업을 해킹했다고 밝힌 미 보안기업 맨디언트(mandiant) 사례 분석을 했다”고 말했다.
하지만 무엇보다 화이트해커들이 가장 많이 하는 일은 다름 아닌 상상이다. 공격자는 100개 중 1개의 취약점만 집중하지만 방어자 입장의 화이트해커는 모든 100개의 경우의 수에 대해 따져봐야 한다. 13년 경력의 조 팀장은 “안 풀리면 꿈에서도 상상한다. 그래서 멍하게 있는 경우가 많고, 심지어 아내가 밥상을 차려줘도 밥먹는 것을 잊어 떠먹여준 적도 있다”고 말했다.
화이트해커들의 상상은 0.01% 가능성까지도 뻗기도 한다. 권 대표는 “최근 잇따른 화학물질 누출이나 공장 폭발 사고 뉴스를 유심히 지켜보고 있다. 물리적으로 발생한 일이지만 해킹으로도 가능한 일이기 때문”이라고 말했다. 권 대표는 2011년 9ㆍ15 정전 사고 때 사이버테러 가능성을 제기하기도 했다.
정태일 기자/killpass@heraldcorp.com
사진=이상섭 기자/babtong@heraldcorp.com
