최근 중국 360시큐리티가 개최한 ‘차이나 인터넷 시큐리티 콘퍼런스(ISC)’에 다녀왔다. 올해로 3회째를 맞는 ISC는 첫해 1만5000명, 이듬해 2만명, 올해는 2만5000명이 참석했다. 특별히 미국 사이버 컨트롤타워로 알려진 키스 알렉산더를 초청했다.
미국과 중국 사이에는 끊임없이 해킹 사고가 발생한다. 미국 정부는 많은 해킹 사고를 중국 정부가 사주한다며 책임을 추궁하고 있다. 이런 와중에 미국 인사를 초청한 ISC 측이나, 이를 받아들인 키스 알렉산더가 놀라웠다. 물론 9월 말 미중 정상회담에서 오바마와 시진핑은 사이버 보안에 협력하기로 했다.
알렉산더는 미국과 중국이 사이버 보안 분야에서 협력하면 엄청난 힘을 발휘할 수 있다는 긍정적인 방향으로 발표를 끝냈다. 이외에도 안드로이드, 사물인터넷(IoT) 등 많은 발표가 있었다. 알렉스 할더만 미국 미시간대 교수 발표가 가장 기억에 남는다. 그는 현재까지 다양한 선거 시스템과 공항 검색장비, 인터넷 검열, 임베디드 기기 난수발생기 등 많은 분야를 연구했다.
그는 지맵(https://zmap.io)이라는 시스템과 응용을 설명했다. 지맵은 1초에 140만개 패킷을 보내 인터넷 전체 IPv4 공간(40억개의 IP 주소)을 5분 이내 스캔하는 시스템이다. 10Gbps 이더넷 통신을 이용한다. 이 시스템은 새 프로토콜이 얼마나 많이 사용되는지, 어떤 시스템이 잘 서비스되는지, 인터넷 레벨 시스템 이해를 돕는다.
취약점이 발견됐을 때 해당 취약점을 가진 모든 시스템을 찾아낸다. 특정 리눅스 서버 취약점이 있으면 해당 서버 로그인 배너를 가지고 서버를 찾는다. 미시간대에서는 지맵을 이용해 오랜 시간 동안 수행한 인터넷 전체 스캔 결과를 ‘인터넷 와이드 스캔 데이터 리포지토리(Internet-Wide Scan Data Repository)’에 저장했다.
이 중에는 기반 시설에 많이 사용되는 모드버스(Modbus) 프로토콜을 사용하는 시스템, 하트블리드(Heartbleed) 취약점을 가진 시스템, FTP 서버 결과 등 다양한 결과를 포함한다.
지맵과 같은 시스템은 앞에서도 언급했듯이 원격에서 접근할 수 있는 취약점이 발견되면 그 취약점을 가진 모든 시스템을 찾는 데 매우 유용하게 사용할 수 있다. 반대로 지맵은 범죄자가 해킹 목표물을 찾는 데 악용할 수 있다.
강의 후 할더만 교수와 이야기를 나눴다. 범죄에 악용될 가능성을 지적하자 미시간대 변호사와 협의했다고 말했다. 그는 “이 시스템 가이드라인에 나라마다 법이 다르니 이를 따라야 한다”고 밝혔다. 지맵으로 취약점을 해킹하는 것은 불법이며 나쁜 목적으로 쓰는 것은 자신의 책임이 아니라고 설명했다. 미국에서 연구 목적 스캔은 합법이다.
하지만 국내는 국가기관도 전혀 이런 일을 할 수 없다. 한국에서 인터넷을 스캔하는 것은 정보통신망법과 밀접한 관계가 있다. 정보통신망법은 ‘정당한 접근권한 없이 또는 허용된 접근권한을 초과해 정보통신망에 침입’하는 행위를 금지한다. 이에 따라 IP와 포트 스캔이 불법이라고 알려져 있다. 그러나 미국은 다르다. 많은 사용자가 지맵을 이미 사용하고 있고 IMC(Internet Measurement Conference)에 발표되는 반 이상의 논문은 지맵을 사용한다.
취약점 검색 엔진이라고 알려져 있는 쇼단은 간단한 검색을 매우 쉽게 구현했다. 즉, 전 세계(해커를 포함한)를 대신해 스캔한다. 작년에 만난 쇼단 운영자가 “한국 A통신사는 왜 인터넷에 연결되면 안 될 장비를 이렇게 많이 연결했냐”고 질문해 당황스러웠다. 즉, 외국에서는 지맵이나 쇼단으로 취약점이 있는 국내 장비를 손쉽게 찾을 수 있다.
최근 우리나라는 KTX, 서울메트로, 한국수력원자력 사고 등 다양한 기반 시설이 해킹 대상이 되고 있다. 이런 사건들은 국민 안전과 직결될 사고를 일으킬 수 있다는 점에서 주목해야 한다. 하트블리드 취약점이 공개됐을 때 지맵을 사용하면 국내서 패치가 안 돼 있는 서버를 찾는 것은 10분이면 가능하다. 해커는 지맵을 이용해 한국 문제점은 10분 이내에 찾아내고 우리는 국가기관조차도 법 저촉 여부 때문에 이런 서버를 찾을 수 없다. 이러한 비대칭성은 우리 기반 시설과 컴퓨팅 환경을 약하게 만들 수밖에 없다. 과감하게 정보통신망법의 모호함을 탈피하고 우리도 취약한 우리 환경을 감시할 수 있어야 한다. 그렇지 않으면 앞으로도 우리는 끊임없는 공격에 희생양이 될 수밖에 없다.
김용대 KAIST 전자공학과 교수 yongdaek@kaist.ac.kr