아파트 10층에 사는 일가족이 며칠 동안 해외로 여행을 가게 됐다. 공항에서 체크인을 마치고 탑승 수속을 기다리던 집주인은 불현듯 창문을 열어두고 온 게 떠올랐다. 

 

‘누군가가 창문으로 집에 들어갈 수 있다.’ 

 

이 상황에서 열린 창문은 집주인에게 취약점(vulnerability)이다. 이제라도 창문을 열어놓았다는 사실을 기억해낸 게 그나마 다행이었다.

 

취약점을 해결하는 방법은 친구나 지인에게 집에 가서 창문을 닫아 달라고 부탁하거나(물론 현관 비밀번호를 알려주어야 한다), 그냥 ‘별일 없겠지’하며 잊어버리는 것이다. 

 

집주인은 곰곰이 생각해봤다. 아무래도 타인에게 현관 비밀번호를 알려준다는 게 마음에 걸려서 ‘누가 대낮에 아파트 10층 창문으로 들어가겠어?’라는 생각에 그냥 놓아두기로 결정했다. 그러나 불행히도 그 동네 아파트 구조를 훤히 꿰고 있는 도둑이 있었다. 

 

 

도둑은 열려 있는 창문을 유심히 바라보더니 옥상에서 창문을 넘어 집 안으로 들어가는 경로를 찾아냈다. 이처럼 취약점을 뚫고 들어갈 수 있는 방법을 익스플로잇(exploit)이라고 한다.

 

집 안으로 들어가는 방법을 알아냈다고 해서 도둑이 바로 행동으로 옮기진 않는다. 언제든 사람 눈에 띌 우려가 있고 그 집에 탐나는 물건이 없어 허탕으로 끝날 수도 있기 때문이다. 

 

이제 집주인의 리스크는 도둑의 의지에 달려 있다. 도둑은 집 안으로 들어가는 게 별로 내키지 않았다. 그러던 중 문득 다른 생각이 떠올랐다. 이왕 침입 방법을 알아낸 김에 친구들에게 선심이나 쓸까? 

 

 

도둑이 정보를 누군가에게 알려주는 순간 그 집이 털릴 리스크는 그 정보를 받은 사람 수만큼 커진다. 아예 취약점을 뚫는 방법 즉 익스플로잇을 인터넷에 올려 만천하에 공개하면 누구든지 범행을 저지를 수 있으니 리스크는 무한대로 커진다.

 

옥상에서 집으로 들어가는 방법이 공개됐다는 소식을 접한 집주인은 소스라치게 놀랐다. 집주인은 급하게 국제전화를 걸어 친지에게 도움을 요청했다. 

 

문제는 조치할 시기다. 이미 누군가가 공개된 방법을 이용해 집 안에 들어가서 값나가는 물건을 들고 유유히 사라졌다면 소 잃고 외양간 고치는 격이다. 

 

범죄는 일어나기 전에 막아야 의미가 있다.

 

만일 집주인이 취약점을 아예 모르고 있었다면 어떻게 될까? 공격자는 약점을 아는데 공격받는 대상이 전혀 모르고 있으니 그야말로 무주공산이다. 이처럼 취약점을 깨닫기 전에 가해지는 위협을 제로데이(zero-day) 공격이라고 한다. 취약점을 조치할 시간이 ‘제로’라는 의미다. 

 

대비가 안된 상태에서 갑작스레 당한 격이니 치명적이다. 

 

 

 

취약점, 익스플로잇, 제로데이

보안 사고가 나면 낯선 용어가 종종 등장한다. 게다가 vulnerability(취약점)나 exploit(익스플로잇)은 평소에 잘 안 쓰는 영어 단어다. 이런 용어는 보통 사람이 보안을 더욱 어렵게 느끼게 한다. 

 

보안 문제의 근원은 소프트웨어 취약점이나 잘못된 시스템 설정에 있다. 사이버 위협은 이러한 취약점을 파고든다. 심각한 취약점일수록 위협 가능성이 높아지고 그로 인한 위험이 커진다. “취약점을 조치하면 되는 것 아닌가?”라고 쉽게 반문할 수 있다. 그러나 우리의 정보 시스템 환경은 그리 단순하지 않다. 

 

취약점을 알아도 바로 고칠 수 없는 상황이 있다. 보통 신체 부위에서 작은 혹을 발견하더라도 곧바로 수술해서 제거하지 않는다. 혹이 어느 부위에 있는지, 악성인지 양성인지, 어떻게 전개될지 예의 주시하면서 의사의 조언에 따라 약물 치료나 수술 여부를 결정한다. 

 

마찬가지로 IT 취약점은 리스크를 종합적으로 판단해서 관리할 문제이지 기계적으로 단순히 조치해버릴 사안이 아니다. 위험도가 높다면 즉각 조치하지만 그렇지 않다면 취약점의 심각성에 따라 순차적으로 조치할 계획을 세운다. 

 

수술한 부위가 신체의 다른 부분에 영향을 줄 수 있듯이 조치하다가 장애가 일어날 가능성도 있다. 이런 요소를 종합적으로 고려해 우선순위를 정한다.

 

소프트웨어 취약점을 해소하기 위해 보안패치를 적용한다. PC나 스마트폰에서 소프트웨어 업그레이드를 하라는 경우가 종종 있는데 기능을 추가하거나 취약점을 없애기 위함이다. 긴급 업데이트는 십중팔구 보안패치다. 때로는 심각한 취약점이 세상에 드러났는데도 패치를 하지 않아 큰 낭패를 보는 경우가 있다. 

 

랜섬웨어

2017년 5월 12일 30만 대가 넘는 컴퓨터가 랜섬웨어에 감염됐다. 랜섬웨어란 컴퓨터 파일을 암호화해 몸값(ransom)을 지불해야만 암호를 풀 수 있는 키를 알려주는 해커의 협박 수단이다. 어느 날 아침에 출근해서 컴퓨터를 켰는데 파일을 하나도 열 수 없다고 생각해보라. 

 

 

영국 국립보건서비스(NHS) 산하 병원의 기기 약 7만 대가 랜섬웨어 공격을 받았고 그중 3분의 1이 다운됐다. 병원에서 진료 기록을 보지 못하면 환자의 생명은 위협받을 수밖에 없다. 이 사건으로 진료 약속이 취소됐고 하루 종일 수술이 이뤄지지 않았다. 

 

이 사이버 공격이 전 세계를 떠들썩하게 한 워너크라이(WannaCry) 랜섬웨어다. 워너크라이는 제로데이 공격이 아니다. 그해 3월에 이미 취약점이 발견됐고 익스플로잇이 공개됐으며 마이크로소프트가 긴급 보안패치를 발표했다. 

 

워너크라이에 사용된 취약점은 심각한 사안이어서 조치를 바로 해야 했지만 ‘별일 없겠지’하며 차일피일 미루다가 심한 타격을 입은 것이다. 보안패치가 나왔는데 왜 바로 적용하지 않았을까? 

 

스마트폰 운영체제를 업그레이드하려고 해도 최소 몇 분 이상 걸린다. 다운로드해야 할 소프트웨어 사이즈가 크면 와이파이가 되는 곳을 찾아야 한다. 하물며 기업의 중요 시스템에 보안패치를 적용하려면 어떻겠는가? 

 

패치 작업을 위해서는 관련 서비스를 일시 중단시켜야 하고 고객에게 미리 공지를 띄워 양해를 구해야 한다. 당연히 업무에 영향이 제일 적은 시간을 선택하고 패치하는 과정에 장애가 날 수 있어 백업 계획까지 치밀하게 준비해야 한다. 서비스가 중단되면 매출에 직접적인 영향을 줄 수 있다. 

 

사업을 책임지는 임원이 난색을 표명한다면 어떻게 설득하겠는가? 영업 실적은 당장 눈에 보이지만 보안 사고는 날 수도 있고 안 날 수도 있다. 과연 CEO는 이 상황에서 누구의 손을 들어줄까? 현장에서는 총론과 각론이 다르다. 취약점을 바로 없애고 싶어도 못하는 현실을 인정해야 답이 나온다. 

 

 

취약점은 사이버 보안과 한 배를 탄 영원한 동반자다. 취약점은 계속해서 나올 수밖에 없다. 문제는 취약점이 기술에 머물러 있으면 경영진은 그 어려움을 알 수가 없다. 

 

따라서 IT 및 보안 담당자는 회사 경영진이 기술을 잘 이해하지 못하더라도 꾸준히 경영 언어로 소통하는 방법을 익혀야 한다. 이를테면 취약점 문제만 해도 경영 언어, 즉 리스크로 치환하고 경영자가 이해할 수 있는 지표를 만들어 설득해야 한다. 

 

경영자도 최소한 기본 보안 개념을 알아야 한다. 설령 보안 용어가 어렵더라도 결국 최종 권한과 결정은 사업을 관할하는 경영자의 몫이지 기술자만의 문제가 아니다. 안전에 대한 이해와 정확한 소통이 문제 해결의 시작이다. 

 

---

 

이 글은 <보이지 않는 위협> 도서 내용 일부를 발췌하여 작성되었습니다. 국내 보안 1세대의 대명사 김홍선 저자의 오랜 경험과 그만의 시각으로 엮어낸 IT 분야의 다양한 인사이트는 하기 링크에서 만나볼 수 있습니다. 

 

 

 『보이지 않는 위협』