바이러스, 해킹, 암호해독. 모두 ‘정보 보안’ 하면 떠오르는 단어들이다. 흔히 사람들은 정보 보안이라고 하면, 그 역사의 시작이 최근이라고 생각할 것이다. 하지만 사실상 최초의 정보 보안은 수천 년 전인 기원전 50년 경으로 거슬러 올라간다. 그때부터 시작된 정보 보안의 역사는 현재까지 매우 다양하고 폭넓게 흘러오고 있다. 또한 시대가 정보화 사회로 변함에 따라 자연스럽게 정보 보안 기술도 함께 발전하고 있다. 이번 기획특집에서는 정보 보안 기술의 역사를 짚어보고, 현재 우리대학의 정보 보안 실태도 파악하며, 정보 보안 기술의 미래에 대해서도 다뤄보았다.
<편집자주>
- 정보 보안 기술의 역사
뺏으려는 자와 지키려는 자의 전쟁
카이사르 암호가 역사의 첫 시작현재는 정보 보호하려는 자가 우위
지난 2008년, 인터넷 경매 사이트 옥션은 1081만여 건의 해킹으로 인해 개인 정보가 유출되었다고 발표했다. 그리고 현재는 전체 회원 1863만 명의 정보가 유출되었다고 결론이 난 상태이다. 이와 같은 정보 유출 사건을 막기 위해서는 정보 보안이 필수적이다.
사실 특정 집단의 중요한 정보를 보호하기 위해서 수천 년 전부터 정보 보호 기술이 존재했었다. 기원전 50년 경, 율리우스 카이사르는 멀리 소식을 전하거나 받을 때 비밀을 유지하기 위해서 카이사르 암호를 개발하였다. 카이사르 암호는 알파벳을 숫자에 대응시켜 미리 정해진 수를 더하거나 빼어 다시 알파벳에 대응시키는 방법을 사용한다. 이런 방법으로 정보를 규칙에 맞게 왜곡시켜 정보를 보호하는 방식은 꾸준히 발전하였으며, 16세기에 개발된 비즈네르 암호 등으로 발전하였다.
제2차 세계대전을 거치면서 정보 보호 기술은 획기적으로 발전하였다. 독일군의 에니그마 암호를 해독하기 위해서 폴란드 수학자들과 영국의 앨런 튜링은 수십만 개의 암호문을 수집하였으며 결국 암호를 해독할 수 있었다.
20세기 중반에는 컴퓨터가 등장하면서 대부분의 암호 체계가 쉽게 풀리게 되었다. 하지만 그에 맞게 대칭키 암호 시스템, 공개키 암호 시스템 등이 발전되었다. 현재는 미국의 대칭키 암호 시스템인 AES, 공개키 암호 시스템인 RSA 등이 쓰이고 있다. RSA 암호 방식의 경우, 소인수 분해를 이용해서 암호를 만드는데, 현재까지는 해독이 불가능하다. 하지만 앞으로 양자컴퓨터를 이용하여 소인수 분해를 빠르게 해결할 수 있다면 해독이 가능할 것이라 예상되고 있다.
이와 같이 정보 자체를 보호하는 방식도 있지만 외부의 침입을 차단하는 방식도 있다. 이 방식은 주로 컴퓨터 보안에서 쓰이는 방식이다. 가장 단순한 방식은 사용자만이 아는 암호를 이용해서 접근을 차단하는 것이다. 하지만 이 방식은 다른 사람이 암호를 알게 된다면 무용지물이 된다.
네트워크 보안으로 방화벽을 이용하여 외부의 침입을 차단하는 방식도 있다. 방화벽을 이용해 외부의 접근을 허용하기도 하고, 거부ㆍ검열ㆍ수정도 할 수 있다. 또한 인증서 등을 이용해 인증을 통한 접근 방지ㆍ허용 방식을 이용하기도 한다. 이외에도 시스템의 백업을 통해 만약의 경우를 대비해 정보를 보호할 수 있다.
컴퓨터에서 정보를 빼돌리는 프로그램을 직접 찾아 제거하는 바이러스 백신 프로그램도 있다. V3나 알약, Kaspersky 등 우리에게 친숙한 프로그램들이 바이러스 백신 프로그램의 일종이다. 바이러스 백신 프로그램은 기존에 알고 있는 데이터베이스를 이용해서 비교, 대조하여 바이러스를 찾아 제거한다. 이 외에도 어떤 프로그램이 바이러스로 의심되는 행동을 한다면 바이러스로 판단하여 제거하는 방식도 있다. 또한 샌드박스라 불리는 방식도 있는데, 특정 프로그램을 보호된 영역에서 동작시켜 시스템을 훼손시키려 하거나 정보를 빼돌리는 행동을 취하면 바이러스로 판단하여 차단한다.
하지만 지난 2009년 7월 7일 발생했던 DDoS(Distribute Denial of Service attack) 공격과 같은 매우 단순한 방식으로 공격한다면 효과적으로 정보를 보호하기 힘들다. DDoS 공격은 좀비 컴퓨터라 불리는 여러 대의 컴퓨터를 이용해서 특정 서버에 빠르게 서비스 요청을 보내 서버를 다운시키는 방식이다.
지금까지 정보 보안 기술은 정보를 얻으려는 사람과 정보를 보호하려는 사람 사이의 전쟁을 통해서 발전하였다. 제2차 세계대전 전까지는 정보를 얻으려는 사람이 이 전쟁에서 우위를 점하고 있었고 그만큼 정보 보안 기술의 수준은 낮았다. 이 상황은 에니그마 암호로 인해 반전되는 듯 하였으나, 곧 연합군에 의해서 다시 상황은 바뀌었다. 하지만 현재는 암호 기술의 발달과 컴퓨터 보안 기술의 발달로 인해, 정보를 보호하려는 사람이 조금의 우위를 점하고 있는 것으로 보인다.
언제나 그렇듯, 정보를 보호하려는 사람들이 우위를 점하는 상황은 언제 뒤바뀔지 모른다. DDoS 공격과 같은 단순한 방식일 수도 있고, 양자 컴퓨터와 같은 새로운 기술일 수도 있다. 그러나 한 가지 사실만은 확실하다. 앞으로도 정보를 얻으려는 사람과 보호하려는 사람 사이의 전쟁은 흥미진진한 이야깃거리가 될 것이고, 인류의 큰 관심사가 될 것이다.
- 우리 대학 정보 보안 실태
우리 대학 보안 어디까지 왔나?
“All Deny, Partial Permit”을 기본으로구성원의 관심과 보안수칙 지키기도 중요
최근 특정한 또는 임의의 사용자가 악의적인 공격을 하여 정보를 캐내는 ‘해킹’의 피해가 전 세계적으로 만연하다. 이러한 피해는 국내에서도 발생하는데 최근 DDoS 바이러스로 인한 7.7 대란이 그 대표적인 예이다. 이 소리 없는 전쟁 속에서 과연 우리대학의 보안 상태는 어떠한지 살펴보자.
우리 학교의 정보 보안은 정보시스템 팀에서 맡고 있다. 정보시스템 팀에서는 정보 보안이라는 단어보다 정보 보호라는 단어를 더 선호한다. 정보 보호는 정보 보안을 포괄하는 단어로서, 정보 보안은 정보 보호의 수단이라는 뜻이다. 정보시스템 팀에서는 우리대학의 모든 정보자산을 보호하고 정보 보호 활동에 필요한 업무를 담당한다. 정보자산은 대학에서 정보 보호를 해야 할 대상을 의미하며, 이는 대학이 보유하고 있는 전자적 정보 및 데이터ㆍ하드웨어ㆍ소프트웨어ㆍ물리적 환경ㆍ인적자원 등 정보를 포함하는 모든 자산을 의미한다. 다시 말해서 POVIS 및 각종 인터넷용 서비스가 이루어지고 있는 중앙전산실과 국책연구가 진행되는 연구실, 각 학과 및 교수님 개인 PC까지 학교에 있는 모든 정보를 정보자산이라 정하고 있다.
현재 우리대학의 정보 보안 정책은 “All Deny, Partial Permit”으로 수비적이고 안정적인 정책을 지향하고 있다. 중앙전산실에서는 방화벽을 이용해서 꼭 필요한 서비스 포트 및 IP주소만 허용하고 있고 웹서비스는 따로 웹 방화벽을 설치하여 이중으로 보호하고 있다. 그리고 각 학과와 연구실에서 자체적으로 운영/관리하는 독립 웹서버의 경우 개설을 신청한 곳만 취약점 점검 등을 거친 후 개설을 해주고 있다. 또한 외부에서의 접근은 IPS(침입차단시스템)을 통하여 악의적인 공격을 차단하고 있다. 예를 들어, 외부에서 원격으로 접속할 수 있는 SSH(Secure Shell)는 모두 차단하고 필요한 경우에만 소스와 데스티네이션의 IP를 허용하고 있다. 뿐만 아니라, 국가 사이버 안전센터(NCSC)와 교육 사이버 안전센터(ECSC)가 학교와의 협력으로 외부에서 들어오는, 또는 내부에서 나가는 정보유출을 미연에 차단하고 있다. 이러한 전자적 정보뿐만 아니라 인적자원(교내 구성원, 외부 인력 등)도 보안 등급을 매겨 달리 관리하고 있다.
‘무소식이 희소식이다’라는 말이 있다. 잘 되어있을 때 아무 일도 일어나지 않고, 잘 되어 있지 않으면 손해를 보는 것이 보안이다. 또한 보안과 편의성은 때때로 상반된 위치에 놓여있다. 보안과 편의성을 모두 가져갈 수 있다면 좋겠지만 어떤 경우에는 보안을 강화할수록 구성원이 겪게 될 불편이 커질 수 있다. 그래서 사람들은 보안이라는 것에 가시성이 보이지 않는다고, 또는 보안을 지켜야할 때 드는 노력에 비해 얻는 것이 적다고 생각할 수 있다.
현재 우리대학은 보안 정책과 시스템을 유기적으로 통합하여 실행할 수 있는 환경을 구축하는 단계이다. 이럴 때일수록 구성원들의 관심과 노력이 절실하다. 보안이라는 것은 우리 모두가 책임지고 해야 할 중요한 것이므로 보안이 왜 필요한지, 그리고 어떻게 해야 하는지를 제대로 알았을 때 이상적인 보안이 실현될 것이다. 따라서 교내 구성원들은 정보 보호에 관심을 가지고 조금의 불편함을 감수하더라도 반드시 지켜야하는 기본 보안수칙을 지켜주기를 당부한다.
- 정보 보안 기술의 미래
악성코드 중심으로 본 정보보안의 미래
정보유출에 대부분 악성코드 개입새로운 패러다임의 보안기술 절실
최근 몇 년 동안 가장 중요하게 다뤄지고 있는 정보 보안 분야 이슈 중 하나는 정보 유출에 대한 것이다. 작게는 개인 포탈 계정 정보가 유출되어 도토리나 게임 아이템을 도난 당하는 것부터, 크게는 회사나 국가의 기밀 자료가 외부나 외국으로 유출되어 국부에 손실을 주는 것까지 그 사례와 피해 규모는 천차만별이다.
정보 유출이 되는 원인을 살펴보면 크게 사람이 의도적으로 유출하는 것과 악성코드가 개입되어 발생하는 것으로 나눌 수 있다. 정보를 다루는 사람의 도덕성에 한한 전자의 경우를 제외하면 대부분의 정보 유출에는 악성코드가 개입되어 있다고 봐도 무방할 것이다. 다시 말하면 악성코드에 대해 철저히 대응한다면 대부분의 정보 유출 사태를 막을 수도 있을 것이다. 그러나 악성코드를 분석하고 잡아내는 안티바이러스기술이 발달하는 것 못지않게 악성코드 제작 기술도 발전하고 있다. 안티바이러스 기술이 한 단계 발전했나 싶으면 악성코드 제작 기술은 어느새 한 발 앞서 저 멀리 달아나버리곤 한다. 자동화를 통하여 악성코드를 자동분석하기 시작했더니 악성코드도 자동으로 변종을 생산해 내는 식이다.
안티바이러스 분야의 당면과제에는 기하급수적으로 늘어나는 악성코드의 분석과 진단, 어떤 의심행위 없이 조용히 정보만을 침탈하는 악성코드에의 대응, 보안 제품을 공격하는 악성코드에의 대응, 취약점을 통해 침입하는 악성코드에의 대응, 악성코드의 발견에서부터 진단까지 걸리는 시간의 최소화 등이 있다. 이러한 위협은 전통적인 접근방식으로는 근본적으로 해결되지 않기 때문에 사용자 기반의 위협 탐지 네트워크나 클라우드 개념과 같이 새로운 패러다임을 사용한 접근이 필요하다.
단 한 명의 피해자도 생기지 않도록 하기 위해서는 지명 수배된 악성코드를 진단하는 방식에서 허가된 프로그램만 실행하는 방식으로의 변화가 필요하다. 우리가 많이 사용하는 윈도우와 같은 OS는 범용 운영체제로 임의의 프로그램이 모두 실행 가능하다. 안티바이러스 제품이 설치되어 있지 않은 상태는 우리 집에 아무나 들어와서 무슨 짓이든 해도 되는 상태라고 할 수 있다. 안티바이러스 제품이 설치된 상태는 경찰이 순찰도 하고 경비아저씨가 상주하는 아파트라고 생각할 수 있다. 이것 보다 높은 수준의 단계는 보안 요원이 상주하여 신분이 확인되지 않은 사람은 들어오지 못하게 하는 단계이다. 이런 높은 수준의 보안이 구현되면 악성코드는 발을 들여 놓지 못하게 된다. 발전소와 같이 중요한 시설에는 업무용 PC에서 마땅히 이런 수준의 보안이 실현되어야 한다. 그러나 다수의 일반 회사의 업무환경이나 가정에서는 불편함이 클 수 있다. 보안 요원이 집을 지키고 있으면 옆집 철수가 집에 놀러 오려고 해도 사전에 방문 신청을 하고 허가를 얻어서 신분증을 맡긴 후에나 집에 놀러 올 수 있기 때문이다.
악성코드에 대한 기존의 접근 방법은 한계에 도달했다. 기존의 안티바이러스 제품이 놓치고 있는 보안 위협에 대처하면서도 사용성을 떨어뜨리지는 않는 새로운 패러다임의 보안기술 개발이 당면 과제다. 이러한 시도는 시만텍과 글로벌 보안 기업을 중심으로 이미 시작되고 있다. 기술의 핵심은 평판기반이다. 과거에 평판기반기술들이 사용자들이 매긴 별점과 같은 평가에 의해서 좌우되었다면, 지금 연구되는 평판기술은 사용자들이 의식적으로 개입하지 않아도 된다는 것이 차이점이다. PC와 같은 단말에서 발생하는 프로그램의 의심행위와 프로그램의 출처가 분석/평가되고 중앙에서 통계적으로 다시 처리되어 대응 수준이 결정하여 처리한다는 것이 주요 개념이다. 안철수연구소에서도 관련 연구가 진행 중이다. 이미 개발되어 V3제품에 적용되어 있는 ASD(AhnLab Smart Defense)기술에도 평판기반기술이 녹아 들어가 있다. 평판기반기술이 2~3년 전부터 본격적으로 연구되고 제품에 적용되고 있으나 아직 그 누구도 완전히 구현해 내지 못하고 있다. 평판기반기술은 향후 수년 내에 완성될 것으로 기대되고 있다. 그리고 그 때가 되면 더 이상 악성코드를 뒤쫓지 않아도 될 것이다.
황용석 / 안철수연구소 기반기술팀 선임연구원
