“보안장벽 우회로 찾는 건 쉬운 일”

인터뷰 | 권석철 큐브피아 대표

▲ 권석철 큐브피아 대표는“컴퓨터가 악성코드에 의해 오염됐다는 가정 하에서는 어떤 보안제품도 소용이 없다”고 말했다.[사진=지정훈 기자]

상당수 금융회사가 사용하는 가상키보드가 해커의 공격에 무기력한 것으로 나타났다. 특히 이 가상키보드가 공인인증서 입력절차에 깔려 있어, 얼마나 많은 금융정보가 해킹됐을지 알 수도 없다. 보안솔루션업체 큐브피아의 권석철 대표는 “가상키보드 등 보안제품을 우회하는(뚫는) 길을 찾는 건 그리 어려운 일이 아니다”고 말했다.

✚ 가상키보드가 해커의 공격에 취약하다는 주장이 나온다.
“보안의 생명은 공격을 방어하는 것이다. 가상키보드의 원리는 사용자가 A를 입력했을 때 공격자에게는 A가 아닌 B, C, D가 보이도록 해 정보의 유출을 막는 것이다. 하지만 이는 가상키보드를 컨트롤하는 프로그램을 분석해 취약점을 찾아내면 우회로를 찾을 수도 있다.”

✚ 악성코드가 깔려 있다면 가상키보드도 무용지물 아닌가.
“물론이다. 컴퓨터가 악성코드에 의해 오염됐다면 어떤 보안제품도 소용 없다.”

✚ 백신프로그램이 악성코드를 걸러내지 못하는 건 아닌가.
“공격자는 개발단계에서 백신이 막을 수 없는 악성코드를 만들어 사용한다. 악성코드를 테스트하는 과정에서 기존에 배포된 방어프로그램으로 성능을 테스트를 하기 때문이다. 악성코드와 백신의 싸움에서는 공격자인 악성코드가 앞서 갈 수밖에 없다.”

✚ 악성코드를 막을 방법이 없다는 건가.
“악성코드에 오염된 사용자의 컴퓨터가 다른 서버나 웹사이트에 접속하지 못하게 만들어야 한다. 문제는 악성코드에 감염된 컴퓨터를 격리하는 게 사실상 불가능하다는 데 있다. 악성코드에 오염된 컴퓨터라고 하더라도 실행에 문제가 없어 정상적으로 보이는 경우가 많아서다.”

✚ 해킹 피해가 발생하면 책임공방이 벌어질 때가 많다.
“해커가 금융사의 메인 서버를 공격해 피해가 발생했다고 치자. 그럼 해당 금융회사에 책임을 물을 수 있다. 하지만 악성코드가 금융회사의 서버에서 작동했는지, 사용자의 컴퓨터에서 작동했는지는 알기 어렵다.

✚ 금융회사가 제공한 해킹 방지프로그램과 백신프로그램을 사용했다면 서비스 제공자에 책임이 있는 것은 아닌가.
“가상키보드, 가상 서버, 가상 OS(operat ing system)ㆍ백신 등 방어에 사용되는 프로그램을 한번을 뚫기가 어렵지 뚫기만 하면 다음번 공격이 쉽다. 하지만 이를 방어하는 것은 사실상 쉬운 일이 아니다. ”

✚ 정부와 금융회사의 보안이 취약한 이유는 무엇이라 생각하는가.
“보안을 강화하려는 의지가 없다. 사실 정부가 요구하는 최소한의 조치를 위한 투자도 안 한다. 외국에선 새로운 보안솔루션을 만들기 위해 혼신의 힘을 쏟는다. 하지만 우리나라는 10년 전 만든 기술을 덧대서 사용하고 있는 수준이다. 보안의 필요성과 중요성에 대한 인식이 여전히 낮다.”

✚ 해커와의 전쟁에서 이길 수 있는 방법은 없는가.
“보안 문제에서도 발상의 전환이 필요하다. 기존의 보안은 방어벽을 쌓고 악성코드 등 외부의 공격이 내부로 침입하지 못하게 하는 데 집중했다. 하지만 이를 완벽하게 방어하는 건 불가능에 가깝다. 실시간으로 해커의 움직임을 감시하는 시스템을 도입해야 하는 이유다.”
강서구 더스쿠프 기자 ksg@thescoop.co.kr

강서구 기자 ksg@thescoop.co.kr

다른기사 보기