Security : Divide and Conquer

해킹, 침입의 드라마 케빈 미트닉.윌리엄 사이먼 지음, 이성희.송흥욱 옮김/사이텍미디어(희중당)

 최근 케빈 미트닉의 행방을 보면 전업한 해커(혹은 크래커)의 성공적인 사례를 보여주는 듯 하다.

그는 이번 책으로 벌써 두권의 보안관련 서적을 출판했으며, 현재는 보안 컨설턴트로 활동중이기도 하다. 음지에서 생활하던 그가 석방 후 보안분야에서 활동을 하고 보안에 관계된 서적을 출판하는 것을 보면 인생은 새옹지마라고 말할 사람도 있을 것이다.

이런 저런 이야기들을 제쳐두고 그의 책을 들여다보자. 도움이 되는 정보를 많이 얻을 수 있다. 특히 사회공학해킹은 우리나라를 비롯하여 전세계에서 특별한 대비책을 가지고 있지 않는데, 이는 사회공학 해킹이 인간의 본성을 이용한다는데 그 원인이 존재한다고 생각한다.

케빈은 그의 책을 통해서 그러한 사회공학해킹에 대한 유형을 이야기 하고 대비책을 말하고 있다. 물론 그 대비책이란 것들이 실행과 유지를 하는데 많은 시간이 들거나 많은 자금이 드는 경우도 있지만, 간단한 조치를 통해서 큰 효과를 얻을 수 있는 것도 이야기 하고 있다.

네크워크를 통한 침입을 막는 것만이 전부가 아니라는 사실을 알고 다양한 침입을 방지하는 것이 제대로 된 보안을 위한 길이라 볼 수 있을 것이다.

지난번의 책(해킹, 속임수의 예술)을 통해서 자신이 사용했던 혹은 알고 있는 사회공학해킹에 관해서 다루었는데, 이번에는 몇 가지 해킹 에피소드를 분석하면서 보안에 대한 경각심을 불러 일으키고 있다. 책에서 말하고 있는 이야기들은 케빈 자신의 이야기가 아니며(지난번과 달리) 케빈은 그들의 이야기를 검증하고 부연설명과 얻을 수 있는 교훈을 설명하고 있다.

다루는 에피소드의 범위가 상당히 넓어서 11개의 에피소드가 나오는데, 각 케이스가 대부분 중복되는 경우가 아니라 나름데로의 특징을 가지고 있는 경우이다. 아마도 케빈은 자신이 생각한 침입의 경우에 대해서 분류를 나누고 각 분류에 해당되는 에피소드들을 조사했거나 주변의 에피소드들을 수집하고 분류하는 과정에서 책에 나오는 에피소드들을 추렸지 않을까 생각된다.

각각의 에피소드들은 간단한 스크립트를 이용한 크래킹을 비롯해서 치밀하게 계획된 시스템 침입이나 고도의 기술을 이용한 시스템 해킹, 사회공학 해킹기법을 이용한 기술적 해킹, 프래킹, 사회공학 해킹, 모의침입 테스트 등의 광범위한 침입방법들을 다루고 있다.

개인적으로 첫번째 에피소드인 카지노 털기를 재밌게 봤는데 이들의 행위가 전형적인 해커의 모습과 많이 닯아 있어서 그런것 같다. 각 주인공들은 일부는 컴퓨터를 제대로 알고 있는 전형적인 해커가 나오기도 하고 내가 보기에는 다른 사람들의 스크립트나 취약점 문서들만 이용해서 크래킹을 하는 그다지 스크립트 키드(script kid) 수준의 크래커가 나오기도 한다(물론 내 관점이다). 그리고 컴퓨터에 관해서 그렇게 능통하지는 않지만 사회공학 해킹 능력이 뛰어난 사람도 나온다.

각 에피소드들은 상당히 재미있어서(이 부분은 공저자인 윌리엄 사이먼의 도움이 컸을 것이다) 소설처럼 읽기에도 전혀 무리가 없다. 책을 11개의 이야기가 모여있는 모음집 정도로 생각하고 재미있게 읽을 수 있을 정도지만 각 에피소드마다 있는 케빈의 에피소드 분석과 대응방안은 보안책인자나 보안을 담당하고 있는 사람들에게 많은 도움을 줄 수 있을 것이다. 대부분의 회사나 단체들은 보안사고가 발생하는 그 사고를 공개하고 대처방안을 논의하거나 자신들의 대처와 그 결과를 밝히지 않는다. 오히려 그런 사고가 발생했다는 사실을 감추기 위해서 노력하는 경우가 많다. 결국 해킹의 유형들이 공개되는 경우가 드물기 때문에 대처를 확실하게 수립하지 못하는 것이다. 이 책의 에피소드들은 대부분의 공격기법들을 망라하고 있기 때문에 굳이 케빈의 조언을 유념하지 않더라도 책을 읽은 보안담당자들은 각각의 케이스에 따른 대처방안을 스스로 생각해 볼 수 있을 것 같다.

결론

 먼저 출판되었던 케빈의 첫번째 책과 마찬가지로 이번책에도 그가 제시하는 대처방안을 모두 적용한다는 것은 현실적으로 거의 불가능하다. 이러한 문제점 때문에 그의 책은 완벽한 보안 가이드가 되기 힘들다. 하지만 우리는 아마도 그의 책에서 필요한 부분이 집중적으로 보안을 강화할 수 있는 방법 얻을 수 있을 것이다. 하나의 구멍만 있어도 1000의 구멍을 막기 위해 들였던 노력이 수포가 되어 버리는 보안분야에서는 넓은 범위를 방어하기 위한 전략보다는 중요성에 따라 다른 수준의 보안을 적용하는 것이 더 중요하다.

케빈은 단순하게 컴퓨터를 이용한 침입뿐 아니라 사회공학해킹이나 여러기법들을 혼용한 기법 등도 다루고 있는데 그가 제사힌 대처방안들을 이용하면 꽤나 높은 수준의 보안 시스템을 구축할 수 있다. 그러한 보안시스템을 높은 수준의 보안을 요하는 곳에 적절하게 적용하는 것이 이와 같은 책을 보고 얻을 수 있는 것이 아닐까 생각한다. 확실히 넓은 지역을 몇개의 구멍만을 유지한체 힘겹게 방어하는 것보다 필요한 지역만 각각 철통같이 방어하는 것이 유리하다.