“비밀번호체계 6자리로 늘려도 별 소용없어”
“해킹 트렌드 빨리 읽어 피해 최소화 시킬 것”
[일요서울 | 강휘호 기자] 신한·국민·농협카드를 사용하는 10만여 명의 고객 정보가 해킹으로 유출된 사실이 지난 13일 드러났다. 메리츠화재와 한화손해보험도 지난해 각각 내부직원과 해킹 등에 따른 고객정보 유출 사건으로 금융당국으로부터 징계를 받았다. 아울러 얼마 전에는 한 게임업체가 만든 모바일게임이 출시되자마자 일반 사용자들에게 집단 해킹을 당한 것으로 확인됐다. 그야말로 개인정보 유출 범람의 시대다. 해킹으로 인한 피해는 분야를 가리지 않았고 마땅한 대책조차 없어 보인다. 이를 바라보는 해커의 시각은 어떨까. [일요서울]은 세계 3대 해커로 유명한 홍민표 에스이웍스 대표를 만나 이야기를 들어봤다.
홍 대표는 가장 먼저 해킹으로 인한 개인정보 유출의 기술적인 분석이 가능한지에 대해 “상황에 따라서 다르다”면서 “어떻게 보안이 되어 있는가 혹은 어떻게 시스템이 구성되어 있느냐에 따라서 시간이나 방법 등이 천차만별이다”라고 조심스럽게 접근했다.
대신 금융권이 비밀번호를 4자리에서 6자리로 늘려 해킹을 방지하겠다고 밝힌 것과 관련해선 “아쉽게도 숫자로만 구성된다면 4자리나 6자리나 크게 상관이 없다. 특수문자를 포함해 7자리 정도는 필요하다고 본다”며 “기존 비밀번호체계가 숫자로만 되어 있다 보니 문제가 지속적으로 발생하고 있는 상황”이라고 설명했다.
보안의식의 결여가 큰 문제
금감원이 정보유출의 선제적 대응을 위해 해킹으로 유출된 고객 명단을 10개 카드사에 전달해 FDS 시스템을 등록, 정밀 감시하라고 긴급 지시한 것에 대한 설명도 이어갔다.
그는 “FDS(Fraud Detection System)는 전자금융거래에 사용되는 단말기 정보, IP 주소, 거래내용 등을 종합 분석해 의심거래를 탐지하고 이상금융거래를 차단하는 시스템을 말한다”며 “FDS에는 사용자의 스타일이나 각종 패턴을 읽을 수 있도록 가공된 자료가 들어 있어 부정적으로 사용될 경우 이를 탐지할 수 있다”고 조언했다.
아울러 해킹 사태에 대한 근본 원인을 지목했는데 “개인적인 입장에서 확실하게 근본 원인을 말하기가 어렵다”면서도 “사회적으로 여전히 사고가 터져야만 문제점이라고 인식하는 보안인식의 결여가 문제다. 연이은 개인정보 유출사고로 많이 좋아지고 있지만 소 잃고 외양간 고치면 이미 때는 늦다고 본다”고 말했다.
또 화이트해커로서 “기업에서 보안에 투자를 많이 하고 사고가 발생한 직후뿐만이 아니라 지속적으로 관리를 하고 보안에 관심을 많이 가져야한다”며 “그런데 현실은 보안 솔루션을 도입하고 나서 오랫동안 관리를 하지 않는다. 보안솔루션이나 장비는 도입 후 지속적으로 보안 전문가 진두지휘 아래 관리하고 사용을 해야 한다. 솔루션을 도입만한다고 만능이 아니다”라고 덧붙였다.
국내 개인정보 관리와 해외 개인정보 관리의 차이점에 대한 설명도 곁들였다. 홍 대표는 “우리나라는 주민등록번호를 통해 접근할 수 있는 민감한 정보들이 너무나 많다. 하지만 해외에서는 기본적으로 주민등록번호 체계 자체가 없기 때문에 관점이 다르다”고 지적했다.
다만 법적 규제를 묻는 질문엔 “국내 해커들은 일부 규제할 수 있을지도 모르지만 해킹은 국내서만 발생하는 것이 아니다. 해외에서도 수없이 발생할 수 있기 때문에 소용이 없다. 또 지하 세계에서 움직이는 해커들이 오히려 대거 양성될 수도 있다. 실질적으로 기업차원의 보안성을 높일 수 있는 법적인 규제가 필요하다고 생각한다”고 전했다.
해킹 방지의 새로운 대안으로 떠오르는 바이너리 레벨 난독화 기술에 대한 필요성도 제시했다. 실제 에스이웍스는 기존 난독화 기술과는 달리 바이너리 레벨의 난독화 기술을 적용해 아무나 소스코드을 들여다보지 못하게 하는 앱 난독화 보안 서비스 ‘메두사’를 개발하기도 했다.
그는 “메두사를 예로 들면 해커들이 육안으로 볼 수 있는 소스코드가 아닌 기기만 읽을 수 있는 바이너리 레벨과 더불어 보안 난독화 기술을 적용해 소스코드 난독화보다 높은 보안성을 가지고 있어 해커들이 다른 코드를 넣지 못한다”며 “올해까지 글로벌 시장에서 안드로이드 점유율이 80%이상을 차지하면서 안드로이드 앱을 향한 보안 위협이 집중되고 있다. 앱을 이용한 비즈니스를 하고 있는 기업들은 소스코드 복제 등을 통한 보안 위협들에 노출돼 치명적인 손실을 입을 수 있다. 이를 방지하기 위해 바이너리 레벨 난독화 기술이 필요하다”고 밝혔다.
마지막으로 자신의 목표도 뚜렷하게 제시했다. 그는 “대다수 블랙해커들의 궁극적인 목표는 금전적인 이득을 취하는 것일 것이다. 하지만 화이트해커는 세상에 도움이 될 수 있는 보안 연구 활동을 하는 사람들이다. 블랙해커들이 악의적인 행동을 하기 전에 선의를 위한 연구를 지향하기 때문에 해킹 트렌드를 빨리 읽어내 사람들이 피해를 입지 않도록 하는 데 꾸준히 힘쓸 계획”이라고 포부를 알렸다.
한편, 홍민표 에스이웍스 대표는 세계 최고의 화이트해커로 불린다. 고려대학교 대학원 정보보호학 박사과정에 재학중이고 2010년 행정안전부 장관표창, 2011년 대한민국 IT Innovation 대상 특별상을 받은 바 있다.
이력을 살펴보면 1998년 국내 해커 그룹 와우해커를 설립해 활동했고 세계 최고 권위의 국제해킹대회 ‘데프콘 CTF’ 본선에 4회 진출하는 모습을 보였다. 2008년에는 보안업체 쉬프트웍스를 설립하고 2010년 인프라웨어에 매각했다. 당시 쉬프트웍스는 규모가 크진 않지만 보안 기술력만큼은 누구나 인정했다.
인프라웨어에 쉬프트웍스가 인수된 뒤 홍 대표는 그곳에서 잠시 머물다 또 다시 쉬프트웍스 멤버들과 의기투합해 지난 2012년 12월 에스이웍스를 세웠다. 그가 이끄는 에스이웍스의 내부 개발자들 역시 10년 이상 보안업계에 몸담은 전문가들이다.
hwihols@ilyoseoul.co.kr
강휘호 기자 hwihols@ilyoseoul.co.kr
