[테크M = 김태환 기자] “방어자 기준으로 바라보고 ‘이렇게 하면 되겠지’ 하다가 털리는 겁니다. 공격자 심리는 방어자 심리와 완전히 다릅니다. 공격자로 생각하고 방어해야 합니다.”

1세대 해커, 백신 ‘바이로봇’ 개발자, 안철수와 쌍벽을 이루는 보안 전문가. 한국 보안업계 전설로 불리는 권석철 큐브피아 대표를 수식하는 말들이다.

권 대표는 해커 침입을 막을 수 있는 시스템은 없다고 단호하게 주장한다. 새로운 악성코드가 생성되는 속도가 대응책을 마련하는 것보다 훨씬 빠르기 때문이다. 그는 또 보안시스템이 악성코드를 분석한 뒤 대응책을 수립하는 후행(後行)체계이기에 방어가 느릴 수밖에 없는 구조라고 밝혔다.

그는 해킹 침투를 막을 수 없다면 “함정을 파고 기다려야 한다”고 주장했다. 해커가 들어온다고 해도 함정에 빠지게 만들어 아무 것도 하지 못하도록 만들면, 사실상 크래킹 피해를 막을 수 있다는 설명이다. ‘권가 솔루션’으로 후행체계에서 선행체계 보안 패러다임을 제시하는 권석철 대표 이야기를 들어봤다.

악성코드 형태 계속 바뀌어 ‘백신 무용론’ 등장

권 대표는 컴퓨터 바이러스와 악성코드의 차이점에 대해 먼저 말했다. 악성코드는 바이러스를 포함한 개념이지만 그는 약간 차이가 있다고 설명했다.

“바이러스는 말 그대로 생물학적 바이러스처럼 감염이라는 개념으로 움직입니다. 사람 병균을 옮기듯 컴퓨터 파일을 감염시켜 달라붙어 있던 파일을 삭제할 경우 자칫 잘못하면 컴퓨터(숙주)가 죽어버리는 효과가 나타납니다. 그래서 바이러스를 정확히 분석해 파일에서 제대로 분리해내는 작업이 필요합니다.”

반면 악성코드는 숙주 개념이 아니라 기생충과 같다고 그는 밝혔다.

“악성코드는 파일을 감염시키는 것이 아니라 따로 옆에 있습니다. 특히 최근 랜섬웨어처럼시스템을 암호화시키는 방법을 통해 아예 컴퓨터를 못 쓰게 만듭니다. 악성코드를 치료하려면 악성코드 파일을 정확히 제거해야 합니다. 바이러스는 치료, 악성코드는 제거를 해야 하죠.”

권 대표에 따르면 과거에는 바이러스가 더 위험했지만 최근에는 악성코드 위험이 더 커졌다고 분석했다. 악성코드 수법이 랜섬웨어처럼 악랄해진데다 잘 알려지지 않은 코드로 동작해 치료가 어렵고, 자칫 잘못하면 컴퓨터 전체를 포기해야 하는 상황까지 만들기 때문이다. 최근에는 크래커를 돕는 자동화 툴(Tool)까지 등장해 악성코드 확산이 더욱 가속화되고 있다고 말했다.

“악성코드를 자동화시키는 툴은 생성 알고리즘을 입력하면 새로운 악성코드를 자동으로 만듭니다. 문제는 이러한 악성코드가 하나하나가 형태와 형질을 다양하게 갖는 다형성을 띠어 지속적으로 변화한다는 거죠. 그만큼 대응하는 보안업체에서는 막기가 어려워져요.”

예를 들어 기존 보안시스템이 코드에서 어떤 문자형이나 특정 문자열이 있으면 악성코드라고 판단하는 방식을 채택했을 때 코드 형태를 지속적으로 바꿔가며 악성코드가 유포되면 더 빠르고 많은 변종코드를 잡아내야 한다. 이런 방식으로는 결국 한계에 부딪힐 수밖에 없다는 설명이다.

가상화는 속일 수 있고, AI는 오판 가능성 높아

“2014년 시만텍 정보보호 수석부사장인 브라이언 다이가 ‘백신은 죽었다(Antivirus is dead)’고 말했습니다. 기존 백신이 열심히 치료해도 발견하지 못하는 것에 대해서는 속수무책이라는 뜻이 담긴 말이에요. 의료계에서도 백신을 쓰지만 새로운 병원균이 나오면 쩔쩔 매는 것과 같은 이치입니다.”

최근 가상화 컴퓨터를 이용해 실제 컴퓨터에는 파일을 다운로드하지 않도록 하며 악성코드를 원천 차단하는 솔루션이 나왔다.하지만 권 대표는 이 방법도 완벽한 대안은 아니라고 밝혔다.

“인터넷을 사용할 때 사용자들은 모르지만 쿠키 파일을 컴퓨터에 다운로드 받은 뒤 작동하는 방식입니다. 그래서 인터넷 접속은 악성코드를 다운받을 수 있는 환경을 조성해 위험하죠. 최근에는 가상화 서버에서만 쿠키파일을 받고 삭제하는 솔루션도 나왔지만 OS나 프로그램을 처음 설치할 때 악성코드가 들어와 있으면 무용지물입니다.”

아울러 그는 악성코드가 더욱 정교하게 지능화해 가상화 서버를 속이는 경우가 나타날 수 있다고 우려했다.

“과거에는 가상화 시스템을 만들고 악성코드가 동작할 때 파일을 격리시켰어요. 하지만 최근에는 악성코드가 가상화 서버 상태에서는 정상적으로 동작하는 방식으로 방화벽을 속입니다. 다운로드 됐을 때 그때 악성코드를 작동시키죠.”

그는 AI기술을 활용한 보안시스템 구축도 한계가 있다고 설명했다. AI가 머신러닝으로 학습하려면 결국 데이터를 입력해야 한다. 해당 데이터 질이 낮을 경우 보안성을 확보하기 어렵다. 특히 최근에 알려지지 않은 공격(Unknowattack)이 강화하고 있다. 기존과 다른 패턴으로 새로운 악성코드가 들어오면 AI 스스로 이를 판단하기가 어렵다.

“공격자가 지능형 지속 공격(APT)을 하려고 이메일을 보내고, 이런 패턴을 데이터로 쌓아가며 딥러닝 해야 합니다. 또 비정형 데이터를 정제해야 하고, 새로운 성향을 파악해야 하는데 이게 어려워요. 그렇다보니 데이터 질이 낮을 수밖에 없고, AI가 단순 패턴으로 판단할 가능성이 커지죠. 무엇보다도 AI의 가장 큰 단점은 AI가 인정하는 순간 더 이상 판단체계가 없어 뚫린다는 겁니다. 백신이 ‘바이러스 아니야’라고 말하면 그냥 통과시켜 버립니다. 이런 AI 취약점을 공격하는 해커도 늘고 있어요.”

파일·프로세서·네트워크 동시 감시 ‘권가 솔루션’

권 대표는 결국 일반 사용자들이 해커 공격에 대응할 방법이 없는 것이나 마찬가지라고 주장했다. 백신을 설치하고 주기적으로 비밀번호를 바꾸는 노력으로는 해커를 막을 수 없기 때문이다. 특히 현 보안시스템은 보안과 편의성을 양립할 수 없다. 그런데 최근에 편의성을 강조하면서 보안이 취약해지는 현상이 나타나고 있다.

권 대표는 방어자 기준으로 생각하기 때문에 이런 문제가 발생한다고 강조했다. 해커의 진짜 목적은 침투가 아니라 정보탈취나 시스템 다운이다. 침투는 목표를 이루기 위한 수단일 뿐인데, 침투 행위를 막는 행위에만 급급하다보니 진짜 피해를 막지 못하게 되는 아이러니한 상황에 처한다는 설명이다.

그는 보안시스템이 악성코드를 막는 것에 집중하기보다 악성코드가 설치되더라도 동작하지 못하게 설계하면 된다고 지적했다.

“암에 걸리는 사람이 있다고 칩시다. 암이 위험한 이유는 생명을 위협하기 때문입니다. 암에 걸려도 살아가는데 지장이 없다면 굳이 암세포를 제거할 필요가 없죠. 즉 암을 아예 이겨버리거나 암이 있더라도 목숨에 지장이 없도록 만들면 됩니다.”

실제 권 대표가 제시하는 이 개념은 보안 분야에서 새로운 트렌드로 자리 잡고 있다. 최근 미국방위고등연구계획국(DARPA)과 조지아공과대는 해커들이 침투한 뒤 체류 시간을 떨어뜨리기 위한 ‘노우먼(Gnomon) 프로젝트’를 진행하고 있다. 이 프로젝트의 가장 큰 특징은 ‘해커 침투 자체는 막을 수 없다’는 사실을 전제하고 있다는 사실이다.

“노우먼 프로젝트는 악성 파일을 탐지하는 활동은 전혀 하지 않아요. 대신 행동 패턴에 기반을 둔 탐지 전략을 통해 침투한 해커가 서버나 컴퓨터 안에서 어떤 행동을 하는지를 탐지하는 거죠. 해커가 침투하도록 놔둬요. 하지만 역설적으로 이렇게 해야 해커를 잡을 수 있어요.”

해커가 침투한 뒤 어떤 행동을 하는지 알려면 어떻게 해야 할까. CCTV로 바라보듯 실시간 감시가 필요하다. 단순히 파일만 확인하는 기존 실시간 감시를 넘어서 파일과 프로세서, 네트워크 세가지 분야에 대해 동시에 모니터링 해야 한다. 큐브피아는 이 기술을 ‘권가 비헤이비어 모니터링 솔루션(KWON-GA Bahevior Monitoring Solution)’을 통해 구현한다.

문은 열어주되 정보 못 가져가는 목적 중심 방어

세부적으로 살펴보면 권가 솔루션은 구분기술, 불독, 해킹추적기술 같은 세 가지 차별적 서비스를 제공한다. 구분기술은 정상적인 사용자가 PC 파일을 정상적으로 이용하도록 만들면서 외부 침입자인 해커만 파일에 접근 자체를 불가능하게 만드는 기술이다. 특히 구분 기술은 사용자가 중요파일을 보호 대상으로 지정하면 외부 침입자 눈에는 보이지 않도록 만드는 ‘스텔스 기능’도 제공한다.

불독은 PC에 인증을 부여해 사용자를 구분하는 기술이다. 불독이 적용된 파일은 인증 받은 PC에서 정상적으로 사용할 수 있지만, 미인증 PC에서는 파일을 복사하거나 실행하면 자동으로 파괴된다.

해킹추적기술은 외부 침입이 발생함과 동시에 경고를 하고, 침입자 IP주소와 더불어 어떤 프로세스를 사용해 해킹 중인지를 모두 보여준다. 이는 해킹추적을 피해를 입은 뒤에 진행하던 기존과 달리 선제적으로 조치해 빠르게 대응할 수 있다는 장점이 있다.

권 대표는 해커를 무력화시키는 가장 큰 무기는 의욕을 상실하도록 만드는 것이라고 주장했다. 해커는 호기심과 실력 과시를 위해 시작했다가 결국 돈을 노리고 범죄를 저지르는 크래커까지 이른다. 침투해서 무언가를 하려고 하는데, 아무것도 못하면 결국 범죄를 포기하게 될 것이라는 전망이다.

“해커에게 겁을 주고 스스로 포기하게 만들어야 합니다. 지금까지 보안은 방어적이었습니다. 해커가 문을 부수고 들어와 폭력을 행사하는 상황이었죠. 특히 침투하는 해커는 자기들을 못 잡는다는 확신을 가지고 들어갑니다. 그런데 이 해커들이 들어왔다가 도구를 모두 빼앗기고 빈손으로 나가야 한다면 어떨까요? 힘이 빠지고 의욕을 잃겠죠. 이제 앞으로 다가올 미래에는 해커를 단순히 막는 것이 아니라 능동적으로 대응해야 지킬 수 있습니다.”

[테크M = 김태환 기자(kimthin@techm.kr)]