jeongboboan

사물이, 자동차처럼 크고 무겁고 빠른 사물이라면.. 해킹이란 말의 의미가 전과 완전히 다른 차원, 즉 사람의 목숨이 걸린 문제로까지 훌쩍 치솟는다. 그렇기 때문에라도 IoT 보안을 기존 IT 시스템 보안, 특히 모바일 보안과 동일시해선 안 될 일이다. 거듭 강조하는 바, IoT 보안은 취약점이니 뭐니 그런 것들 따지는 일이 아니고 아니어야만 한다. 애초에 취약점이 없게끔 설계해야 하는 일이라 그런 여유 부릴 틈도 없다. 그것이, IoT 보안의 제1의 원칙 '선보안 후연결(Secure First, then Connect)' 개발 원칙이다. 커넥티드 뭐뭐뭐들의 가장 큰 문제는 커넥션일까. 아니, 보안 즉 안전이다.
요즘은 서버 등 전산 시스템을 직접 관리하지 않는 기업이 많다. 그리고 세계적으로 아주 유명하고 거대한 클라우드 회사가 대신 맡아서 처리해 주고 있으니까 보안 문제도 아예 없을 거라고 믿는다. 하지만 이는 아주 심각한 오해다. 클라우드 서비스 제공자는 하드웨어 및 네트워크 수준의 보안만을 제공한다. 어플리케이션 그리고 데이터 보안에 대한 책임은 순전히 서비스 사용자의 몫이다. 이는 컴컴한 비밀도 아니고 서비스 제품 설명서에 명백히 쓰여져 있는 사실이다.
뉴스를 보면 온갖 현란한 초첨단 무기들이 치열하게 성능을 경쟁하는 것 같지만 가장 많은 사상자를 내는 무기는 여전히 총이나 칼 등 아주 단순한 무기다. 단지 범행 동기 등 행태가 복잡해질 뿐. 웹 공격도 그러해, 'SQL 인젝션'이나 'XSS(Cross Site Scripting)' 등 아주 단순한 공격이 여전히 주된 공격 수법이다. 전에 썼던 SQL 인젝션 사고 글을 보면 그 허무할 정도로 단순한 그러나 강력한 공격 방법을 그려 볼 수 있다. 놀랍게도 이런 단순한 공격이 아직까지도 잘 통한다. 왜? 대비를 안 하니까,,
개인정보 탈취가 큰 사회적 문제인 시절이 있었다. 요즘 그쪽은 어째 좀 한산하다. 문제가 해결되지도 않았지만 하도 흔히 벌어지다 보니 그냥 무시하게 된 듯싶기도 하고, 그렇게 탈취한 개인정보를 거래하는 시장 자체가 시시해졌기 때문이기도 하다. 시장 매물이 너무 많아 가격 형성이 안 되는 것. 그래서 랜섬웨어가 뜬 것으로 봐도 될 듯싶다. 특정 정보를 훔쳐서 팔아 돈을 버는 짓에 비해 불특정 다수를 마구 노려 정보를 못 쓰게 만들고 돈을 요구하는 짓이 훨씬 더 손쉬운 일이기도 하고 돈도 더 번다.
지금도 차량 1대에 100개 정도의 ECU와 1억 줄 정도의 코드가 탑재된다. 고가의 차량일수록 탑재된 전장부품의 수가 많고 더 많은 코드를 넣었다고 자랑 아닌 자랑을 하기도 한다. 하지만 통계적으로만 보자면 상업용 소프트웨어는 일반적으로 코드 1,000줄에 7개의 버그를 가지고 있다. 그렇게 보자면 자동차에는 10만 개의 버그가 있다고 가정할 수 있다. 지금도 끊임없이 발생하는 원인을 알 수 없는 온갖 사고들이 이와 무관하지 않을 것이다.
어떤 제품에든 사용된 암호화 수준으로 강력한 암호화 기술은 이미 숱하게 공개되어 있다. 정부가 어떤 물건에 뒷문을 만들었다고 의심되면, 그거 말고 다른 물건을 사용하면 그만이다. 그러니 세상의 모든 암호화 기술에 대한 만능 열쇠가 아니라면 뒷문 요구는 애초에 무의미한 것이다. 그리고, 그런 짓 저지르는 자들은 정부만큼이나, 아니 정부보다 훨씬 더 온갖 편법 악용에 능한 자들이다. 그럴 거 같지 않지만 정부가 만약 정직하게 '제한적 사용' 약속을 지킨다면, 정부는 아주 가끔 드나들고 범죄자들은 항상 들락거리는 문을 만드는 거나 마찬가지다.
"OTP 카드만 있으면 인증은 뭐든 다 된다고 하던데, 정말 그런가요?" 현장에서 종종 듣는 질문이다. 'OTP 카드' 자리에 든 말만 계속 바뀔 뿐이다. 'USB 인증서'만 있으면, '스마트카드'만 있으면, '지문인식기'만 있으면 식으로. 뭐라고 대답하기 좀 곤란한 질문이다. 원론적으로 맞다고 답할 수도 있고 실무적으로 아니라고 답할 수도 있다. '인증'이라는 기술의 정의가 구체적으로 명확하기 않기 때문이다.
인터넷에 연결되는 사물은 애초에 특수한 목적에만 충실하게끔 설계되어야 한다. 그렇기 때문에, 로지컬 방식이 시그니처 방식보다 우수하거나 효율적이기 때문에 더 적합한 게 아니라, 애초에 IoT보안은 로지컬 방식이어야만 하는 것이다. 그리고 그 '로직(Logic)'은 해당 'IoT 디바이스'에 대한 총체적 보안의 일부로서 동작해야 한다.
1,000만 명의 개인정보를 훔친 해커는 회사에 메일을 보내 정보를 인질 삼아 30억원을 요구했다. 아마 애초 의도는 다크웹 등 해커들 장터에 올려 팔 계획이었을 것이다. 그런데 요즘 한국인 개인정보는 완전 헐값이다. 아예 값이 없을 정도다. 그도 그럴 것이, 중국 해커마을에서는 경로당 노인들도 "한국 민쯩 50만명 받고 30만명 더!" 그러며 마작판을 벌인다는 소문도 있을 지경이니, 그딴 게 팔릴 리 없다. 한국인 개인정보는 완전한 공개를 통해 비로소 안전해졌다고나 할까,,
별 뜻 없이 가벼운 기사 한 줄이지만 그 내용에 해당하는 업계에는 청천벽력 같을 때가 있다. 대개 외국 기사 번역한 기사인데, 깜짝 놀라 원문 찾아 짧은 영어로 열심히 번역해 보면 이런, 완전 다른 내용이다. 그저 기자, 아니 번역자가 보다 성실해 주길 바랄 따름,, "암호 알고리즘 '디피-헬먼'을 깰 수 있는 백도어 개발"이란 기사가 떴다. 이게 만약 사실이라면 보안 업계 전체에 엄청난 충격이다. 지진 나서 원전 터진 바닷가에 서서 쓰나미 밀려오는 걸 바라보는 공포와 마찬가지. 기사 내용을 보자.