박지훈

펜타시큐리티 보안연구소 편집장

한국예술종합학교 영상원 졸업. TV, 영화, 광고, 애니메이션, 게임, 출판 등 대중문화 컨텐츠 기획자. 현재 정보보안 전문기업 펜타시큐리티의 지원을 받아 운영하는 IT&보안 잡지 'decodr' 편집장으로서, 복잡하고 난해한 IT 기술을 비기술자들도 쉽게 이해할 수 있게끔 돕는 스토리텔링 프로젝트를 맡고 있다.
보안이 중요한 사물인터넷, 대기업만 할수

보안이 중요한 사물인터넷, 대기업만 할수 있을까?

IoT 보안에 있어 사물 그리고 사용자를 인증하는 일은 가장 먼저 일어나고 또 가장 중요하다. 그리고 그 중요성은 앞으로 IoT 기술이 점차 발전해 사람:사물 연결을 넘어 사물:사물 연결로 향해 갈수록 더욱 커질 것이다.
2017년 12월 14일 12시 33분 KST
WPA2, 배신자,

WPA2, 배신자, 희생양

와이파이 사용자들은 혼란에 빠졌다. "WPA2는 믿어도 된다며!" "암호화는 안전하다며!" "AES마저 불안하다는 거냐!" 당연한 반응이다. 그만큼 WPA2에 대한 믿음이 굳건했던 것이다. 그리고 공격에 따른 피해 규모는 감히 상상도 할 수 없을 정도로 심각하다. 생각해 보자. 우리는 와이파이를 통해 얼마나 많은 그리고 위험한 정보를 주고받고 있나. 혼란은 당연하다.
2017년 11월 14일 16시 04분 KST
IoT, 미래는 왜 이리

IoT, 미래는 왜 이리 더딘가

세상 모든 사물을 인터넷에 연결했는데, 취약점이 발견되어 기기 업데이트를 해야 한다면, 그건 정말 시작할 엄두조차 나지 않는 어마어마한 일일 거다. 일단 연결하고 취약점이 발견되면 그때 되어서야 보안 조치를 취하는 기존 IT 보안 '선연결-후보안' 방법론을 적용해선 안 되는 이유다.
2017년 11월 09일 14시 34분 KST
IoT 도어락은 안전 문제

IoT 도어락은 안전 문제 해결부터

조심하기만 하면 뭐 어떻게든 될 일이다. 번호 누를 때 몸과 손으로 번호판을 가린다든지, 겉보기 좀 흉하더라도 번호판 가림막을 설치한다든지, 천장이나 벽에 전에 못 보던 수상한 장치가 추가되었는지 늘 관찰한다든지, 문이 잠길 때까지 문고리를 붙잡고 있는다든지.. 그런데 그게 끝이 아니다.
2017년 10월 26일 11시 06분 KST
싼 게 비지떡, IP

싼 게 비지떡, IP 카메라

"IP 카메라"가 또 털렸다. 혼란 와중에 "이때다!" 달려드는 장사치들이 있다. 그리고 엉뚱한 말로 겁주며 뭘 자꾸 사라고 한다. 물론 헛소리다. 이번 사건 경위와 1도 관계 없다. 왜들 이러나, 이 시장은 왜 이리 혼탁한가, 뭘 어떻게 해야 깔끔해질까, 어지럽다. 이번에 터진 사건은 "해킹"이라 할 만한 짓도 아니다.
2017년 09월 25일 12시 19분 KST

"아뇨. 웹이 앱보다 위험하죠."

요즘 각종 앱 관련 사고들이 빵빵 터지고 그에 비해 전엔 흔했던 웹사이트 사고 소식은 뜸해 보이니 '앱이 웹보다 위험한 건가?' 뭐 그리 흘러간, 그러니까 "누가 돈을 훔쳤다. 돈이 위험하다!" 이것과 비슷한 흐름 같다. 그러나, 순전히 오프라인에서만 동작하는 단순한 앱이 아니라면 앱은 결국 웹에 연결되고 대부분의 사고는 웹 영역에서 터진다. 최근 떠들썩했던 사고들을 보더라도
2017년 09월 18일 16시 51분 KST
나라 지키게 백신 좀

나라 지키게 백신 좀 파세요

작년 가을의 군 내부망 해킹 사고를 보더라도 그 원인은 '백신' 그리고 '망분리' 등 어떤 도구의 효과를 지나치게 믿었기 때문 아닌가 싶다. 국방부 전산 시스템에는 다른 정부기관이 그러하듯 내부망과 외부망을 나눠 쓰는 소위 망분리가 적용되어 있다. 안과 밖에 아예 다른 망을 씀으로써 위험을 애초에 차단하자는 의도였을 것이다. 그런데 그 망과 망 중간에다가 백신을 관리하는 중계 서버를 둔 것, 게다가 그 중계 서버만도 800대나 필요한 복잡한 구조였다. 이럴 거면 망분리를 왜 했나, 상식적으로도 이해할 수 없는 일이다. 안전한 시스템 설계의 실패, 즉 보안이 성립하지 않았던 것이다.
2017년 09월 08일 17시 24분 KST
IoT 보안은 모바일 보안이

IoT 보안은 모바일 보안이 아니다

사물이, 자동차처럼 크고 무겁고 빠른 사물이라면.. 해킹이란 말의 의미가 전과 완전히 다른 차원, 즉 사람의 목숨이 걸린 문제로까지 훌쩍 치솟는다. 그렇기 때문에라도 IoT 보안을 기존 IT 시스템 보안, 특히 모바일 보안과 동일시해선 안 될 일이다. 거듭 강조하는 바, IoT 보안은 취약점이니 뭐니 그런 것들 따지는 일이 아니고 아니어야만 한다. 애초에 취약점이 없게끔 설계해야 하는 일이라 그런 여유 부릴 틈도 없다. 그것이, IoT 보안의 제1의 원칙 '선보안 후연결(Secure First, then Connect)' 개발 원칙이다. 커넥티드 뭐뭐뭐들의 가장 큰 문제는 커넥션일까. 아니, 보안 즉 안전이다.
2017년 09월 01일 11시 33분 KST
클라우드 시대의 보안,

클라우드 시대의 보안, 간단히

요즘은 서버 등 전산 시스템을 직접 관리하지 않는 기업이 많다. 그리고 세계적으로 아주 유명하고 거대한 클라우드 회사가 대신 맡아서 처리해 주고 있으니까 보안 문제도 아예 없을 거라고 믿는다. 하지만 이는 아주 심각한 오해다. 클라우드 서비스 제공자는 하드웨어 및 네트워크 수준의 보안만을 제공한다. 어플리케이션 그리고 데이터 보안에 대한 책임은 순전히 서비스 사용자의 몫이다. 이는 컴컴한 비밀도 아니고 서비스 제품 설명서에 명백히 쓰여져 있는 사실이다.
2017년 07월 21일 16시 52분 KST
웹 공격은

웹 공격은 생물이다

뉴스를 보면 온갖 현란한 초첨단 무기들이 치열하게 성능을 경쟁하는 것 같지만 가장 많은 사상자를 내는 무기는 여전히 총이나 칼 등 아주 단순한 무기다. 단지 범행 동기 등 행태가 복잡해질 뿐. 웹 공격도 그러해, 'SQL 인젝션'이나 'XSS(Cross Site Scripting)' 등 아주 단순한 공격이 여전히 주된 공격 수법이다. 전에 썼던 SQL 인젝션 사고 글을 보면 그 허무할 정도로 단순한 그러나 강력한 공격 방법을 그려 볼 수 있다. 놀랍게도 이런 단순한 공격이 아직까지도 잘 통한다. 왜? 대비를 안 하니까,,
2017년 07월 10일 14시 03분 KST
랜섬웨어, 몇 가지 드는

랜섬웨어, 몇 가지 드는 생각

개인정보 탈취가 큰 사회적 문제인 시절이 있었다. 요즘 그쪽은 어째 좀 한산하다. 문제가 해결되지도 않았지만 하도 흔히 벌어지다 보니 그냥 무시하게 된 듯싶기도 하고, 그렇게 탈취한 개인정보를 거래하는 시장 자체가 시시해졌기 때문이기도 하다. 시장 매물이 너무 많아 가격 형성이 안 되는 것. 그래서 랜섬웨어가 뜬 것으로 봐도 될 듯싶다. 특정 정보를 훔쳐서 팔아 돈을 버는 짓에 비해 불특정 다수를 마구 노려 정보를 못 쓰게 만들고 돈을 요구하는 짓이 훨씬 더 손쉬운 일이기도 하고 돈도 더 번다.
2017년 06월 23일 17시 33분 KST
자동차회사=소프트웨어회사?

자동차회사=소프트웨어회사?

지금도 차량 1대에 100개 정도의 ECU와 1억 줄 정도의 코드가 탑재된다. 고가의 차량일수록 탑재된 전장부품의 수가 많고 더 많은 코드를 넣었다고 자랑 아닌 자랑을 하기도 한다. 하지만 통계적으로만 보자면 상업용 소프트웨어는 일반적으로 코드 1,000줄에 7개의 버그를 가지고 있다. 그렇게 보자면 자동차에는 10만 개의 버그가 있다고 가정할 수 있다. 지금도 끊임없이 발생하는 원인을 알 수 없는 온갖 사고들이 이와 무관하지 않을 것이다.
2017년 06월 15일 14시 26분 KST
암호화,

암호화, 국가안보vs사생활보호

어떤 제품에든 사용된 암호화 수준으로 강력한 암호화 기술은 이미 숱하게 공개되어 있다. 정부가 어떤 물건에 뒷문을 만들었다고 의심되면, 그거 말고 다른 물건을 사용하면 그만이다. 그러니 세상의 모든 암호화 기술에 대한 만능 열쇠가 아니라면 뒷문 요구는 애초에 무의미한 것이다. 그리고, 그런 짓 저지르는 자들은 정부만큼이나, 아니 정부보다 훨씬 더 온갖 편법 악용에 능한 자들이다. 그럴 거 같지 않지만 정부가 만약 정직하게 '제한적 사용' 약속을 지킨다면, 정부는 아주 가끔 드나들고 범죄자들은 항상 들락거리는 문을 만드는 거나 마찬가지다.
2017년 05월 26일 14시 08분 KST
인증이란? '인증-수단'과

인증이란? '인증-수단'과 '인증-체계'

"OTP 카드만 있으면 인증은 뭐든 다 된다고 하던데, 정말 그런가요?" 현장에서 종종 듣는 질문이다. 'OTP 카드' 자리에 든 말만 계속 바뀔 뿐이다. 'USB 인증서'만 있으면, '스마트카드'만 있으면, '지문인식기'만 있으면 식으로. 뭐라고 대답하기 좀 곤란한 질문이다. 원론적으로 맞다고 답할 수도 있고 실무적으로 아니라고 답할 수도 있다. '인증'이라는 기술의 정의가 구체적으로 명확하기 않기 때문이다.
2017년 03월 03일 16시 27분 KST
자동차보안, '선보안 후연결'

자동차보안, '선보안 후연결' 원칙

인터넷에 연결되는 사물은 애초에 특수한 목적에만 충실하게끔 설계되어야 한다. 그렇기 때문에, 로지컬 방식이 시그니처 방식보다 우수하거나 효율적이기 때문에 더 적합한 게 아니라, 애초에 IoT보안은 로지컬 방식이어야만 하는 것이다. 그리고 그 '로직(Logic)'은 해당 'IoT 디바이스'에 대한 총체적 보안의 일부로서 동작해야 한다.
2017년 02월 15일 17시 51분 KST
2016년 IT보안

2016년 IT보안 동향

1,000만 명의 개인정보를 훔친 해커는 회사에 메일을 보내 정보를 인질 삼아 30억원을 요구했다. 아마 애초 의도는 다크웹 등 해커들 장터에 올려 팔 계획이었을 것이다. 그런데 요즘 한국인 개인정보는 완전 헐값이다. 아예 값이 없을 정도다. 그도 그럴 것이, 중국 해커마을에서는 경로당 노인들도 "한국 민쯩 50만명 받고 30만명 더!" 그러며 마작판을 벌인다는 소문도 있을 지경이니, 그딴 게 팔릴 리 없다. 한국인 개인정보는 완전한 공개를 통해 비로소 안전해졌다고나 할까,,
2016년 12월 26일 17시 18분 KST

"뭐? 디피-헬먼 성이 무너진다고?"

별 뜻 없이 가벼운 기사 한 줄이지만 그 내용에 해당하는 업계에는 청천벽력 같을 때가 있다. 대개 외국 기사 번역한 기사인데, 깜짝 놀라 원문 찾아 짧은 영어로 열심히 번역해 보면 이런, 완전 다른 내용이다. 그저 기자, 아니 번역자가 보다 성실해 주길 바랄 따름,, "암호 알고리즘 '디피-헬먼'을 깰 수 있는 백도어 개발"이란 기사가 떴다. 이게 만약 사실이라면 보안 업계 전체에 엄청난 충격이다. 지진 나서 원전 터진 바닷가에 서서 쓰나미 밀려오는 걸 바라보는 공포와 마찬가지. 기사 내용을 보자.
2016년 11월 10일 17시 56분 KST
자동차보안, 꼭 알아야 할 6가지

자동차보안, 꼭 알아야 할 6가지 핵심기술

자동차용 AFW 기술에 있어 가장 중요한 판단기준은 지능형 기술이냐 아니냐의 차이다. 지금도 어플리케이션 공격은 분야를 가리지 않고 모든 정보보안 공격의 절대적 다수를 차지한다. 그리고 커넥티드카가 완전히 실용화 그리고 대중화된 근미래 시점의 어플리케이션 공격의 양은 지금과는 비교도 할 수 없을 정도로 훨씬 더 많아질 것이다. 그렇게 되면 통신 내용을 이미 알려진 공격의 목록과 일일이 대조하며 위험성을 판별하는 기존의 시그니처 방식 방법론으로는 제아무리 열심히 막으려 해도 도저히 막아 낼 수가 없다.
2016년 10월 14일 17시 15분 KST
'ISEC 2016', 어째 좀 아쉽지만

'ISEC 2016', 어째 좀 아쉽지만 그럼에도..

이번 행사 일반 어젠다 내용을 종합하면, "저 어마무시한 공격을 우리가 도대체 어떻게 막아낼 것인가?" 정도로 정리할 수 있겠다. 결론부터 말하자면, 막아낼 수 없다. 안타깝지만 사실이다. 제아무리 최선을 다해 막아도 사고는 결국 발생하고야 만다. 이는 단순히 말하자면, 물량 문제다. 어떤 집단이 정보보안에 투자할 수 있는 최대 비용과 역량을 10이라 치면, 최대값 10의 힘으로 막아도 100의 힘으로 쳐들어온다. 해킹 기술이 점점 저렴해짐에 따라 적의 수는 앞으로 훨씬 더 많아질 것이다. 간단한 인터넷 검색만으로도 누구나 해킹을 할 수 있는 시절이다.
2016년 09월 13일 16시 30분 KST

"또?" 흔하지만 위험한 개인정보 유출사고

예전에는, 그러니까 인터넷 대중화 이전에 이런 사고가 발생하면 사회 전체가 분노로 끓어오르곤 했는데, 요즘은 하도 자주 일어나니까 아주 익숙해져버려 다들 그저 "뭐? 또?" 잠깐 짜증만 내고 금방 잊는다. 개인정보는 나만의 것이 아니라 아무나 막 가져다 쓰는 공공재가 되었다는 비웃음마저 흔히 들을 수 있다. 하지만 개인정보 유출사고는 그렇게 가볍게 여기며 대충대충 웃고 넘어갈 그런 일이 결코 아니다. 정말정말 위험천만한 일이기 때문이다.
2016년 08월 05일 10시 58분 KST