상상만 해도 끔찍하지만 실제 해외 해킹 피해사례다. 외부에서 로봇청소기를 조종해 집안을 살피거나 집이 비었는지 확인할 수도 있다. 반려동물이나 어린 자녀의 상태를 확인하기 위해 설치한 폐쇄회로TV(CCTV)가 비슷하게 이용될 수도 있다.
영화나 뉴스에서나 나올 법한 이야기지만 얼마든지 벌어질 수 있는 일이기도 하다. 이런 보안 사고를 사전에 막기 위해 해킹을 하는 조직이 있다. 바로 LG CNS의 ‘레드팀’이다. 더 강한 보안을 위해 ‘공격’을 멈추지 않는 그들. 현직 화이트해커인 레드팀 3명을 만나봤다.
|
◇‘백문이불여일견’…보안 취약점, 직접 뚫어서 보여준다
레드팀은 지난 1월 정식으로 출범했다. LG CNS 보안 사업 강화 정책의 일환이다. 사내 보안 전문가 약 200명 중에서 사이버 보안 ‘K-쉴드’ 인증을 받은 인력 등 최정예 화이트해커 20명으로 구성했다.
고객사에는 얼마나 ‘쉽게’ 중요한 시스템이 뚫릴 수 있는지를 보여줄 수 있고, 이를 통해 어떤 부분이 취약한지를 알게 돼 보강할 수 있다는 장점이 있다. 일종의 충격요법이긴 하지만 백문(百聞)이 불여일견(不如一見)이다.
서혁준 레드팀 팀장은 “실제 사례 중에 정직원도 아닌 협력회사 직원 정도의 권한만 가지고 회사 내부망에 침투해 가장 중요한 정보라고 할 수 있는 설계도 파일을 외부로 전송하는 데 성공한 적이 있다”고 말했다. 해당 회사에서는 당연히 충격에 빠졌고, 담당 임원이 나서서 바로 조치에 나섰다.
정보통신기술(ICT) 의 발달로 일상은 비약적으로 편리해지고 있다. 편리함을 위해 기기들은 더 연결되고 있고, 가상의 공간인 클라우드에 각종 정보가 저장된다. 보안 취약점이 급격하게 늘어날 수밖에 없는 이유다. 공용네트워크, 사물인터넷(IoT), 스마트폰을 이용한 연결 등은 대표적인 포인트다.
이같은 취약점을 공격하기 위한 해커들의 수단도 더 진화하고 다양해지고 있다. 김민성 사원은 “무선 해킹을 위한 불법 도구는 물론이고 공격하고자 하는 IoT 기기와 같은 모델을 사서 뜯어보기도 한다”며 “기기의 회로를 분석하고 정보가 있는 부분을 읽어서 (해킹) 루트를 연구한다”고 설명했다.
최신형 아파트에서 스마트홈의 허브 역할을 하는 월패드도 쉽게 뚫을 수 있다. 이진욱 책임은 “월패드는 공용 네트워크를 쓰기 때문에 망 자체가 취약한 경우도 많다”며 “다른 집의 월패드를 통해 공격하고자 하는 집의 현관문을 열거나 연결된 기기를 조작하는 것도 어려운 일이 아니다”라고 했다.
◇“불가능은 없다”…더 단단한 방패 만들기 위한 과정
해킹 시도가 실패한 적이 없느냐는 질문에 이진욱 책임은 “못 뚫는 시스템은 없다. 시간의 문제일 뿐”이라고 단언했다. 아무리 견고한 방어막이어도 허점은 있기 마련이고, 다양한 루트로 공격하다 보면 가장 내밀한 정보를 탈취하진 못하더라도 시스템 자체를 마비시키는 건 가능하다는 설명이다.
결국 모든 시스템이 뚫린다면 보안을 강화하는 것 자체가 무용한 건 아닐까. 이 책임은 “결국은 시간과 공을 들이도록 만드는 것이 포인트”라며 “해커 입장에서는 10시간 공을 들여 겨우 뚫었는데 그 정보가 그리 가치가 없다면 효율성을 따질 수밖에 없을 것”이라고 설명했다.
아무리 단단한 방패라도 더 예리하게 갈고 닦은 창에는 뚫린다. 그렇다고 해서 어지간한 창에는 뚫리지 않도록 연마하는 노력이 불필요한 것은 아니라는 의미다.
서 팀장은 ‘금융기관 수준’의 보안을 자랑하던 국가 주요 기관의 내부 시스템의 취약점을 단 2시간만에 발견한 사례를 예로 들었다. 그는 “절대 뚫리지 않을 것이라 자신했던 시스템이 깨지자 해당 기관에서도 태도가 달라졌다”며 “지키는 것과 공격하는 것은 기본적으로 관점이 다르다. 양쪽이 함께 고민해야 더 강한 보안이 완성되는 것”이라고 강조했다.
|
▷화이트해커: 금전적인 이익을 얻거나 악의적인 목적으로 인터넷 시스템과 개인 컴퓨터 시스템을 공격하는 해커(크래커)와 대비되는 개념으로 생겨났다. 일반적으로 해커하면 떠오르는 이들을 ‘블랙 해커’라고 하고, ‘화이트 해커’는 이에 대비해 쓰는 개념으로 선의로 해킹을 하는 이들이다. 보안 시스템의 취약점을 발견해 이를 보완해 블랙해커들의 공격을 예방할 수 있도록 한다. 서버의 취약점을 찾아 보안 기술을 만드는 보안 전문가들까지를 통칭하기도 한다. 미국과 중국 북한 등에서는 정부에서 전략적으로 화이트해커를 육성하기도 한다.