처음 전동기가 나왔을 때 지식인이라 불리던 사람들은 남녀노소 가리지 않고 모이기만 하면 전동기의 원리며 작동법을 이야기하는 게 일이었다고 한다.
전기가 가져다준 요술과 같은 생활상의 변화를 생각하면 짐작이 가는 일이다.
그러던 전동기는 이제 주변에서 찾아보기 힘든 물건이 되었고 그것에 대해 이야기하는 이들도 없다.
그저 밤을 밝혀주는 안정된 기술일 뿐이다.
73.6%가 불안, 대책은 19.8% 지금 우리의 화두는 단연 인터넷이다.
그러나 이 또한 변해가는 하나의 기술로 보기에는 의심쩍은 구석이 많다.
우리 생활 깊숙이 들어온 영향력이 기존 기술들과 사뭇 다르고 말하기 좋아하는 사람들의 호사취미거니 구경만 하기에는 진행방향이 너무나 삶의 깊은 부분까지 겨냥하는 것 같다.
특히 ‘해킹’이니 ‘보안’이니 하는 단어가 나오면 불안하고 찜찜하다.
현재 디지털 정보지
8월3일 저녁 9시까지 응답자 604명 가운데 73.6%가 자신의 PC가 해킹 대상이 될 수 있다는 우려를 나타냈다.
그런데도 그들 가운데 19.8%만이 보안대책을 세워두었다고 응답했다.
무심함이 불안감을 키우는 꼴이다.
심심찮게 튀어나오는 해킹 기술을 이용한 범죄 뉴스도 이런 불안감을 증폭시킨다.
여기에 해커들의 비난과 공격에 가장 자주 노출되는 마이크로소프트 운영체제와 인터넷 접속프로그램의 허술한 보안, 최대 그룹웨어 중 하나인 로터스 노츠가 해커들의 공격에 특별한 대책이 없다는 지적 등이 살을 붙여나간다.
이런 상황에서 인터넷 보안위기의 정체는 무엇이고 그 위험은 어느 정도이며 대책은 무엇인지 찬찬히 살펴보는 것이 이 막연한 불안감을 달래줄 수 있을까? 마냥 불안에 떨 일은 아니니 어디 한번 따져보자. 한국은 해킹 연습장? 2000년 여름. 한국은 정보선진국으로 향하는 계단을 올라가고 있다.
초고속통신망 사용이 세계적으로 인정받는 수준이고 PC 보급률도 상당하다.
밤을 새워 영업하는 피시방들도 번창한다.
휴대전화와 PDA 등을 통한 무선인터넷 사용자가 휴대전화의 인터넷 서비스 가입자 기준으로 이미 450만을 넘어섰다.
무선인터넷을 이용한 정보교환과 전자상거래가 조만간 일상화할 태세다.
인터넷 텔레비전이라는 손쉬운 도구까지 더해지면 컴퓨터 없이도 언제 어디서나 네트워크에 접속할 수 있는 환경이 열린다.
산드라 블록 주연의 영화 <넷>의 광경들이 점점 진부해져가는 듯하다.
그리고 세계에 유래없이 전국민의 지문정보까지 전자정보로 관리되고 있다.
주민등록번호를 중심으로 한 개인정보가 은행, 학교, 병원 등의 공공기관이나 각 기업 거래정보에 필수요소로 입력되어 있다.
물론 이런 소중한 정보들은 충분히 보호되고 있으리라 믿어야 좋다.
세계 1위를 달리는 교통사고 사망률에도 불구하고 매일 도로 위를 오가며 살듯, 서핑의 즐거움을 포기할 이유는 없으니까. 오히려 인터넷을 통해 제공할 수 있는 각종 정보들을 더 많이 공개하라고 주문할 수도 있을 것이다.
그런데 지난 1일 강릉의 한 피시방을 통해 외국인 해커가 침투했다.
그는 미국의 인터넷 서비스 공급업체를 통해 피시방에 접속한 뒤, 국내 200개 기업, 30개 대학, 20개 공공기관 등에 해킹프로그램을 설치했다고 한다.
다른 사건들에 비하면 일찍 발견돼 피해는 그리 크지 않을 것이라고 하지만, ‘해킹 천국’ ‘해커들의 연습장’이라는 우리나라의 명성을 확인시켜주는 데는 부족하지 않았다.
이 사건을 보는 언론과 일반의 시각은 정부기관을 포함한 다수 기업들이 해킹 사실조차 몰랐다는 데 대한 놀람이었다.
이에 따른 대책으로 방화벽의 설치 필요성이 대두되기도 했다.
하지만 보안에 전문지식을 가진 해커들은 이번에 공격당한 시스템은 모두 보안 허점이 공개되어, 패치(보완 프로그램)를 설치하는 것만으로도 효과적으로 대처할 수 있었다고 한다.
비용이 만만치 않은 방화벽에 투자할 수 없는 소규모 인터넷기업들이라 해도 보안에 조금만 관심을 기울인다면 피해를 줄일 수 있다는 이야기다.
만만찮은 비용만이 방화벽과 같은 보안 프로그램을 ‘신포도’로 만드는 것은 아니다.
지난 2월 야후, 이베이, 아마존 등 8개 주요 사이트에서 발생한 ‘DoS’(Denial-of-Service, 서비스 거부) 공격 이후 설치된 이 침입탐지 소프트웨어들이 너무나 자주 경고를 울림으로써 ‘양치기 소년’이 될 가능성을 보인다는 것이다.
실제로 네트워크를 오가는 소통량 가운데 불법침입에 해당하는 부분은 미미한데, 침입탐지 소프트웨어들이 툭하면 경보를 보내고 침입기록을 남김으로써 정작 제대로 된 경보에는 무관심하게 대응하도록 한다는 지적이다.
이런 문제점은 현재까지는 소프트웨어만으로 해결하기 힘들다고 한다.
‘인간이 만든 시스템에 허점이 없을 수 없다.
그리고 이를 발견하고 침투하는 해킹 불가능의 영역도 없다’는 식의 보안무용론이 설득력을 얻을 법하다.
차라리 보험을 들라는 권고가 현실적으로 들린다.
실제로 보안감시 서비스를 제공하는 카운터페인 인터넷 시큐리티(Counterpane Internet Security)는 지난 ?월10일 보험회사인 로이즈 오브 런던(Lloyd’s of London)과 제휴해 자사의 고객들에게 네트워크 보안 침해로 인한 수익 및 중요한 데이터 손실에 대비한 보험 서비스를 제공한다고 발표했다.
그렇다고 보험이 보안에 대해서는 아무런 관심도 기울이지 않고 피해는 보상받을 수 있도록 해주지는 않는다.
방화벽이 최선의 대책 아니다 오늘날과 같은 거대한 기술체계에서는 사실 같은 분야의 전문가들이 만든 인터넷기업이라 해도 회사 내에서 보안기술에 전문성을 가진 사람을 쉽게 찾을 수 없다.
비싼 방화벽을 설치하고도 제대로 환경을 잡지 못해 네트워크 속도만 떨어뜨리고 보안에는 여전히 취약함을 드러내는 기업들도 있다.
그래서 전문가들은 단순히 프로그램을 사지 말고, 적절한 보안 상담 서비스를 구입하는 쪽으로 주의를 돌리라고 한다.
잘못된 경보를 줄일 수 있도록 보안 프로그램도 발전하겠지만, 적절한 모니터링과 프로그램의 최적화도 필요하다는 것이다.
지난해 서울 시내 한 사립대학의 서버들이 스팸메일의 공격을 받고 한꺼번에 작동이 중단된 일이 있었다.
정부기관이나 기업과 달리 학교의 경우는 보안환경이 더 열악할 수밖에 없다.
방화벽을 설치할 만한 돈도 없을 뿐 아니라, 대개 학생들이 서버 관리를 맡고 있어 시스템 보안에 힘을 쏟기에는 전문성도 시간도 부족하다.
사고 이후 적절한 조처를 취하지 않으면 네트워크를 끊는 수밖에 없다는 경고를 받은 관리자들은 텔넷과 FTP, 채팅 등의 서비스를 중단하는 것으로 사태에 대응했다.
복구가 불가능해진 시스템에 대해선 운영체제를 다시 깔고 패치를 설치했다고 한다.
여기서 지금까지 드러나지 않은 보안의 허점이 불거진다.
마이크로소프트나 로터스 같은 기업들은 대체 무엇을 하는 것일까. 상업적으로 운영체제와 프로그램을 공급하는 이들은 소비자를 위한 보안 서비스에는 무심하다.
윈도우 98, NT 등은 다양한 패치가 개발돼 인터넷에 등록되어 있지만, 이것을 설치하고 안 하고는 철저히 사용자의 몫이다.
대부분 기업들은 제품을 만들 뿐 보안 측면은 가볍게 여기거나, 아예 무시한다.
지난 3일 디지털해커협회와 ‘2600한국’에서 주최한 ‘The First World WIde Top Hacker's IS2K’ 세미나에 참석한 해커그룹 ‘죽은 소에 대한 숭배’(cCult of Dead Cow·cDc)는 이런 기업의 불성실함을 공격한다.
cDc의 한 해커는 시스템 보안 허점을 대중에게 공개하는 이유가 무엇이냐는 질문에 “기업들은 소비자들이 모르는 문제를 보완하기 위해 돈을 쓰지 않으려고 하기 때문”이라고 말했다.
최근 보안 결함이 발견된 로터스 노츠 관계자도 “보안상의 문제점은 인정하지만, 이를 해킹하는 것은 매우 어려운 일”이라며 책임을 피하려 했다.
그럼 맬리사 바이러스와 같이 마이크로소프트의 메일 프로그램을 실행시켜 주소록에 등록된 사용자 전체에 메일을 보냄으로써 피해를 확산시키는 바이러스에 시스템이 공격당한 경우 이러한 손실은 누가 보상해주어야 할까. ‘SANS’(System Administration, Networking, and Security) 라는 보안업체가 발견한 바에 따르면 ‘마이크로소프트 액세스 97이나 2000, 인터넷 익스플로러 4.0이나 그 이상 버전을 쓰는 사람들은 메일의 첨부파일을 다운받지 않은 채 그냥 열기만 해도 시스템에 영향을 받을 수 있다고 한다.
이런 것을 모르고 마이크로소프트가 조용히 인터넷을 통해 제공하는 패치를 설치하지 않은 대가는 누가 치러야 하는가. 이런 허점을 모르고 그들의 프로그램을 사용한 사용자인가. 물론 제 아무리 뛰어난 기업도 완벽한 프로그램을 소비자에게 제공할 수는 없다.
그러나 그들이 사용자들이 입을 피해를 막거나 줄이기 위한 투자를 아껴가며 개발한 버전을 발표하는 데 기울이는 노력을 보면 그런 일반적 변명으로 책임을 피할 수는 없을 것 같다.
바이러스를 살포하거나 불법적인 목적으로 시스템을 공격하는 크래커들을 감옥에 가두는 것으로 끝내기에는 업체들의 무책임도 가볍지 않은 것이다.
프로그램 판매업체 피해 방지 노력해야 보안문제는 아직까지 뚜렷한 해결책을 갖지 못하고 있다.
당분간은 정답도 없을 것이다.
문제를 피하고 싶다면 컴퓨터를 끄고, 소중한 정보는 종이에 적어야 한다.
그러나 휴대전화도 인터넷 텔레비전도 그렇게 할 수는 없다.
책상 위에 다시 종이뭉치를 쌓아놓을 수도 없다.
교통사고 1위의 도로를 달리는 상상을 다시 해보자. 음주운전을 피하는 것은 적절한 보안 프로그램을 설치하는 것이다.
과속을 하지 않고 주변을 잘 살피는 것은 보안전문가의 도움을 받는 것이 될 것이다.
그렇다면 사고가 자주 일어나는 곳에 표지판을 세우는 것은 보안에 취약한 프로그램을 판매한 업체들의 몫이다.
이 정도의 조심성과 세심함이면 많은 사고를 피할 수 있다.
대표적 해킹유형 | |
| 전자우편 바이러스 | 맬리사 바이러스나 러브바이러스같이 전자우편을 읽거나 첨부파일을 다운받을 때 PC를 감염시킨다. |
| 전자우편 폭탄 | 개인의 전자우편 계정에 한꺼번에 엄청난 양의 메일을 보내 서비스를 마비시킨다. |
| 트로이 목마 | 클라이언트와 서버의 역할을 하는 두가지 프로그램으로 구성돼 있다. 해킹을 원하는 PC에 서버 프로그램을 설치한 다음(이를 통해 ‘뒷문’을 만들어두는 것이다) 자신의 클라이언트 프로그램으로 상대 PC를 자유자재로 원격조종한다. |
브라우저별 프록시 설정방법 | |
| 인터넷 익스플로러 | Tools→Internet Options→Connections을 클릭한 뒤 Settings 버튼을 클릭한다. 그러면 창이 하나 뜨는데, Use a proxy server라는 글자 바로 옆에 있는 체크박스에 V자로 체크하고 Advanced(적용) 버튼을 클릭한다. HTTP란에 프록시 서버와 Port 번호를 기입한다 |
| 넷스케이프 브라우저 | Edit→Preferences에서 Preference를 클릭한 뒤 왼쪽 하단의 Advanced 메뉴를 누른다. 여기서 보이는 서브메뉴 가운데 Proxies를 선택하고, 오른쪽 화면에서 Manual Proxy configuration을 선택한다. 그런 다음 바로 옆에 보이는 View 버튼을 누르고, 프록시를 익스플로러 설정과 같이 하면 된다. |
|
그러나 해커를 자처하는 일부 사람들은 자신들에게 덧씌운 ‘머리좋은 골치덩어리’란 이미지를 거부하고, 해킹의 정확한 의미를 알아달라고 요구한다. ‘The First World WIde Top Hacker’s IS2K’(탑 해커스) 행사에 참석하러 한국에 온 해커그룹 ‘죽은 소에 대한 숭배’ 소속 7명의 해커들은 이구동성으로 “불법적인 시스템 공격이나 개인정보 이용에 관심이 없다”고 말했다. 해킹의 동기를 묻는 질문에 대해서도 답변은 한결같았다. “지적 욕구 때문이죠.” 물론 이들은 시스템을 뚫고들어갔을 때의 쾌감을 부인하지 않는다. 미국 미네소타의 한 보안업체에서 시스템 관리자로 일하는 루카스 제이 디키(20)는 13살 때 처음 시스템을 뚫고들어간 경험을 아주 경이롭게 기억하는 듯했다. 하지만 그들은 그런 쾌감 때문에 쉽지 않은 노력을 계속하는 것은 아니라고 한다. “새로운 것을 알아내고 그것을 공개하여 시스템을 개선하는 즐거움과 그를 통해 사용자들의 이익을 키우는 것이 진정한 해킹의 동기”라고 했다. 이들은 시스템에 해를 입히고 불법적인 행동을 하는 부류를 자신들과 똑같이 해커로 부르는 것을 반대한다. 이들은 이 악동들을 ‘크래커’ 등으로 구별해줄 것을 요구한다. 지난 4일 창립한 디지털해커협회 이길준 회장(그도 해커다)은 “해커에 대한 오해나 관계기관의 보안둔감증에 울분을 느낀다”는 말까지 했다. 해커의 전통은 50년대 MIT대에서 연구실의 컴퓨터를 좀더 사용하기 위해 갖은 노력을 마다 않은 컴퓨터 마니아들로부터 시작됐다. 그들은 ‘컴퓨터 접속시 완전한 자유가 보장돼야 한다’ ‘모든 정보는 자유로워야 한다’ ‘사람은 누구나 컴퓨터로 예술과 아름다움을 만들어낼 수 있다’ ‘컴퓨터는 우리의 인생을 보다 아름답게 변화시킬 수 있다’ 따위의 해커정신을 만들고 지켰다. 정보의 완전한 개방과 공유를 이루려는 그들의 꿈은 최근의 ‘오픈 소스’나 저작권 보호에 반대하는 카피레프트 운동에도 영향을 끼치고 있다. 컴퓨터를 사무실과 가정으로 끌어낸 것도 해커들의 공로였다. 70년대 말 해커그룹의 하나인 홈브루클럽에 참여했던 스티브 워즈니악과 폴 앨런은 공공기관이나 대기업의 전산실에서나 겨우 볼 수 있던 값비싼 컴퓨터를 666달러66센트라는 저렴한 가격의 개인용으로 선보였다. ‘애플’의 탄생이었다. 3세대로 불리는 80년대 초반 해커들은 컴퓨터에 영혼(?)을 불어넣는 데 관심을 쏟았다. 일반인들이 쉽게 사용할 수 있도록 응용 프로그램과 교육, 오락 프로그램들을 만드는 데 공을 들였다. 4세대 해커들은 컴퓨터끼리의 대화에 치중했고, 그 결과 인터넷의 발전을 추동했다. 해커들의 끊임없는 탐구와 열정이 컴퓨터를 인류의 유용한 자산으로 발전시키는 데 중요한 바탕을 이룬 것이다. 그러나 해커들이 스스로를 정당화하기 위해선 먼저 답해야 할 것들이 있다. ‘백오리피스’와 같이 마이크로소프트를 조롱하기 위해 만든 해킹툴들은 별다른 컴퓨터 지식없이도 쉽게 해킹을 할 수 있도록 함으로써 10대 악동들을 크래커로 양산하고 있다. 업체에 대한 경고로 공개하는 보안 허점들이 크래커들의 범죄를 돕기도 한다. 이런 문제에 대한 cDc의 답변은 궁색하다. “현실세계의 범죄를 없앨 수 없는 것과 마찬가지로 그것을 나쁜 용도에 쓰는 사람들이 존재하는 것도 어쩔 수 없는 일”이라는 것이다. |
|
현재 24명의 세계적인 해커로 구성돼 있다. 마이크로소프트의 ‘백오피스’를 조롱하기 위해 만든 해킹툴 ‘백오리피스’를 개발한 것으로 유명하다. 백오리피스를 이용하면 인터넷망을 통해 다른 컴퓨터를 마음대로 원격제어할 수 있다. 이 그룹의 대변인 옥스블러드 러핀은 “마이크로소프트는 PC 시장의 80% 이상을 점유하고 있지만, 사용자의 보안문제는 무시하고 있다. 해커 커뮤니티는 이 문제점을 공개해왔다. 백오리피스 개발은 단순히 감정적 차원에서 나온 것이 아니라, 해커의 오랜 전통을 따른 것이다”고 주장한다. |
저작권자 © 이코노미21 무단전재 및 재배포 금지
