2005년 5월 9일 월요일

Security : Divide and Conquer






해킹, 침입의 드라마
케빈 미트닉.윌리엄 사이먼 지음, 이성희.송흥욱 옮김/사이텍미디어(희중당)

 최근 케빈 미트닉의 행방을 보면 전업한 해커(혹은 크래커)의 성공적인 사례를 보여주는 듯 하다.

그는 이번 책으로 벌써 두권의 보안관련 서적을 출판했으며, 현재는 보안 컨설턴트로 활동중이기도 하다. 음지에서 생활하던 그가 석방 후 보안분야에서 활동을 하고 보안에 관계된 서적을 출판하는 것을 보면 인생은 새옹지마라고 말할 사람도 있을 것이다.

이런 저런 이야기들을 제쳐두고 그의 책을 들여다보자. 도움이 되는 정보를 많이 얻을 수 있다. 특히 사회공학해킹은 우리나라를 비롯하여 전세계에서 특별한 대비책을 가지고 있지 않는데, 이는 사회공학 해킹이 인간의 본성을 이용한다는데 그 원인이 존재한다고 생각한다.

케빈은 그의 책을 통해서 그러한 사회공학해킹에 대한 유형을 이야기 하고 대비책을 말하고 있다. 물론 그 대비책이란 것들이 실행과 유지를 하는데 많은 시간이 들거나 많은 자금이 드는 경우도 있지만, 간단한 조치를 통해서 큰 효과를 얻을 수 있는 것도 이야기 하고 있다.

네크워크를 통한 침입을 막는 것만이 전부가 아니라는 사실을 알고 다양한 침입을 방지하는 것이 제대로 된 보안을 위한 길이라 볼 수 있을 것이다.

지난번의 책(해킹, 속임수의 예술)을 통해서 자신이 사용했던 혹은 알고 있는 사회공학해킹에 관해서 다루었는데, 이번에는 몇 가지 해킹 에피소드를 분석하면서 보안에 대한 경각심을 불러 일으키고 있다. 책에서 말하고 있는 이야기들은 케빈 자신의 이야기가 아니며(지난번과 달리) 케빈은 그들의 이야기를 검증하고 부연설명과 얻을 수 있는 교훈을 설명하고 있다.

다루는 에피소드의 범위가 상당히 넓어서 11개의 에피소드가 나오는데, 각 케이스가 대부분 중복되는 경우가 아니라 나름데로의 특징을 가지고 있는 경우이다. 아마도 케빈은 자신이 생각한 침입의 경우에 대해서 분류를 나누고 각 분류에 해당되는 에피소드들을 조사했거나 주변의 에피소드들을 수집하고 분류하는 과정에서 책에 나오는 에피소드들을 추렸지 않을까 생각된다.

각각의 에피소드들은 간단한 스크립트를 이용한 크래킹을 비롯해서 치밀하게 계획된 시스템 침입이나 고도의 기술을 이용한 시스템 해킹, 사회공학 해킹기법을 이용한 기술적 해킹, 프래킹, 사회공학 해킹, 모의침입 테스트 등의 광범위한 침입방법들을 다루고 있다.

개인적으로 첫번째 에피소드인 카지노 털기를 재밌게 봤는데 이들의 행위가 전형적인 해커의 모습과 많이 닯아 있어서 그런것 같다. 각 주인공들은 일부는 컴퓨터를 제대로 알고 있는 전형적인 해커가 나오기도 하고 내가 보기에는 다른 사람들의 스크립트나 취약점 문서들만 이용해서 크래킹을 하는 그다지 스크립트 키드(script kid) 수준의 크래커가 나오기도 한다(물론 내 관점이다). 그리고 컴퓨터에 관해서 그렇게 능통하지는 않지만 사회공학 해킹 능력이 뛰어난 사람도 나온다.

각 에피소드들은 상당히 재미있어서(이 부분은 공저자인 윌리엄 사이먼의 도움이 컸을 것이다) 소설처럼 읽기에도 전혀 무리가 없다. 책을 11개의 이야기가 모여있는 모음집 정도로 생각하고 재미있게 읽을 수 있을 정도지만 각 에피소드마다 있는 케빈의 에피소드 분석과 대응방안은 보안책인자나 보안을 담당하고 있는 사람들에게 많은 도움을 줄 수 있을 것이다. 대부분의 회사나 단체들은 보안사고가 발생하는 그 사고를 공개하고 대처방안을 논의하거나 자신들의 대처와 그 결과를 밝히지 않는다. 오히려 그런 사고가 발생했다는 사실을 감추기 위해서 노력하는 경우가 많다. 결국 해킹의 유형들이 공개되는 경우가 드물기 때문에 대처를 확실하게 수립하지 못하는 것이다. 이 책의 에피소드들은 대부분의 공격기법들을 망라하고 있기 때문에 굳이 케빈의 조언을 유념하지 않더라도 책을 읽은 보안담당자들은 각각의 케이스에 따른 대처방안을 스스로 생각해 볼 수 있을 것 같다.

결론


 먼저 출판되었던 케빈의 첫번째 책과 마찬가지로 이번책에도 그가 제시하는 대처방안을 모두 적용한다는 것은 현실적으로 거의 불가능하다. 이러한 문제점 때문에 그의 책은 완벽한 보안 가이드가 되기 힘들다. 하지만 우리는 아마도 그의 책에서 필요한 부분이 집중적으로 보안을 강화할 수 있는 방법 얻을 수 있을 것이다. 하나의 구멍만 있어도 1000의 구멍을 막기 위해 들였던 노력이 수포가 되어 버리는 보안분야에서는 넓은 범위를 방어하기 위한 전략보다는 중요성에 따라 다른 수준의 보안을 적용하는 것이 더 중요하다.

케빈은 단순하게 컴퓨터를 이용한 침입뿐 아니라 사회공학해킹이나 여러기법들을 혼용한 기법 등도 다루고 있는데 그가 제사힌 대처방안들을 이용하면 꽤나 높은 수준의 보안 시스템을 구축할 수 있다. 그러한 보안시스템을 높은 수준의 보안을 요하는 곳에 적절하게 적용하는 것이 이와 같은 책을 보고 얻을 수 있는 것이 아닐까 생각한다. 확실히 넓은 지역을 몇개의 구멍만을 유지한체 힘겹게 방어하는 것보다 필요한 지역만 각각 철통같이 방어하는 것이 유리하다.

2005년 5월 2일 월요일

눈을 뜨고 명확하게 보자.






촘스키, 누가 무엇으로 세상을 지배하는가
레미 말랭그레 그림, 드니 로베르 외 인터뷰 정리/시대의창

노암 촘스키란 이름은 프로그래밍을 공부하면서 AI분야에 사용되곤 하는 생성문법이론의 창시자로 몇번 들어본 적이 있었다. 그리고 가끔 다른 사람들의 글에서 그의 이름이 언급되곤 하는 걸 봤던 것이 내가 그에 관해 들어본 전부이다.가끔씩 듣는 그에 대한 이야기로 인해 막연하게 관심을 가지고 있었다. 우연하게 몇권의 책을 구입하면서 촘스키 3부작이란 이름으로 그를 인터뷰한 내용을 책으로 발간한 내용을 만날 수 있었다. 활발한 활동의 대부분을 저술로 보내는 만큼 그가 직접 저술한 책들이 여러권이지만, 왠지 인터뷰를 통해서 처음 접한다는 것이 좀 더 친근한 첫만남인 것 같은 생각이 들었다.

프랑스에서 출간된 이 책은 촘스키와 프랑스인인 인터뷰어와의 대화를 기초로 작성되었다. 기본적으로 별다른 가감없이 질문과 답변을 정리하고 있으며, 이해를 돕기 위한 주석을 통해서 보충 설명을 하고 있다. 질문에 대한 답변을 통해서 촘스키는 그가 평소 말하고 주장하는 바를 다양하게 표현하고 있다. 다양한 사례를 통해서 우리는 그의 주장을 파악할 수 있으며, 그의 생각을 알아볼 수 있다.

프랑스에서 발간된 책인 만큼(실질적인 저자-인터뷰어-도 프랑스인인 만큼) 미국과 유럽을 비교하면서 설명하고 있는 부분이 많다. 그래서 미국만큼 유럽에 익숙하지 않은 내가 읽기에는 쉽게 이해되지 않는 부분이 몇 군데 있었다. 미국에 대해서도 그다지 많은 부분을 알지 못하기 때문에 이해도가 더 떨어지긴 했으나 맥락을 짚어 가면서 이해하고자 노력하였다.

책의 서두에서는 프랑스에서 많은 화제가 되었던(맥락상으로) 포리송 사건에 대해서 이야기를 하고 있다. 이 부분은 국내에 그다지 소개된 부분이 아니고 관심있을 만한 사건은 아니라서 이부분에 대해서는 표현의 자유에 대한 그의 생각을 엿보는 기회로 생각하였다. 표현의 자유는 그가 이야기 하는 각종 권력을 감시하고 대항하는 활동을 위한 기본적인 전제조건이다. 결국 표현의 자유가 침해받는 어떠한 상황이라도 그는 용납할 수 없었을 것이다. 나 역시 얼마 전에 읽었던 "신문읽기의 혁명(손석춘)"에서 이야기되었던 보도관제 등의 표현의 자유에 대한 억압을 생각해보면 표현의 자유에 대한 억압은 결국 부당한 권력 행사를 돕는 작용을 하게 될 것이라 생각하고 있었다. 아마도 우리가 거대한 권력에 대항(혹은 최소한의 권리행사)을 한다면 표현의 자유만이 도구가 될 수 있을 거라 생각한다.

200페이지 정도의 분량의 이 책에서 그가 이야기 하고자 하는 바는 일관된 한가지 주장이다. 그는 수 많은 권력들로 부터 대중들에게 가해지는 피해들을 경고하고 그들 권력을 감시해야 한다고 말한다. 그의 주장은 언듯보면 황당한 음모이론처럼 느껴지기도 한다. 국가권력, 언론권력, 기업권력과 같은 강한 힘을 가진 자들이 세상을 지배하기 위해서 어떠한 행동을 하고 있다는 그의 주장은 음모이론들과 어느 정도 맥락을 같이 한다고 볼 수도 있다. 그렇다고 그의 주장이 황당하기만 한 이야기인 것은 아니다. 우리의 주변에는 잠시만 생각해봐도 알 수 있는 음모들이 존재한다. 신문은 그들의 생각 혹은 더 큰 권력의 지시에 의해서 기사를 조작(편집 및 모든 조작을 생각해서)하며 기업은 그들의 의도를 관철하기 위해서 폭력이나 권력을 동원하기도 한다.

얼마 전에 삼성에 노조를 만들기 위해서 준비하던 사람들의 휴대폰이 도청당하고 그들에게 유무형적으로 협박이 가해진 사건이 있었다. 실제로 현재까지도 노조없는 기업을 유지하고 있는 삼성이 노조건립을 막기 위해서 다양한 조작을 하고 있다는 사실은 널리 알려져 있다. 불법적인 방법까지 동원하면서 그런 활동을 벌이고 있지만, 언론과 국가의 보호로 이러한 일들은 언론에도 널리 보도되지 않고 재판에서도 유리한 판결을 받는다. 최근 판결에서도 삼성은 기소중지를 얻어냈다(도청및 위치추적 등에 대한 고소).

촘스키는 이러한 권력등에 대항해서 글을 쓰고 연설을 한다. 스스로를 안전한 담장안에서 활동하는 운동가라 말하고 있지만 그는 세상에 진실을 알리고 움직임을 일으키기 위해서 그의 수많은 글에서 주장하고 있다. 권력에 대한 경계심을 가지고 그들을 감시해야하는 의무는 대중에게 있다고 말하고 있는 것이다.

Man of Month를 마치며

벌써 2020년 1월 14일이다. 19년의 마지막 달에 Man of Month라는 팀의 제도를 시작한다고 했었는데, 12월이 지나고 그 다음 달도 거의 절반이 흐른 것이다. MoM을 시작하면서 하겠다고 계획했던 것들도 실제 한 것들과 비교해보니...