[세계 컴퓨터 과학자대회] "DDoS 공격 개인이 막기엔 한계"
입력
수정
몇 년 전만 해도 해킹은 컴퓨터 전문가들의 전유물처럼 여겨졌다.자기 실력을 과시하기 위해 해킹을 하곤 했다.하지만 요즘 해킹은 그렇게 낭만적이지 않다.해킹은 이제 남의 개인정보와 돈을 빼내기 위한 도구가 됐다.
국내에서도 은행 사이트를 가장하거나 신용카드번호와 계좌번호 등을 해킹으로 알아내 남의 돈을 탈취하는 사례가 끊이지 않고 있다.한국정보보호진흥원이 일반인 2500여명과 220여개 기업 전산담당자들을 대상으로 실시한 '2006년 정보보호 실태조사'에 따르면 응답자의 96.5%가 개인정보 유출 문제가 '매우 심각하다'고 답변했다.
'세계 컴퓨터과학자 서울대회'에 참가한 컴퓨터 전문가들이 13일 행사장인 서울 코엑스 컨벤션센터에서 정보보안 문제를 놓고 토론했다.
<참석자>마커스 로저스 교수 (미국 인디애나 퍼듀대 컴퓨터학과)
브라젠드라 판다 교수 (미국 아칸소주립대 컴퓨터학과)
홍지만 교수 (숭실대 정보통신대학 컴퓨터학부)
사회:신승윤 교수 (미국 사우스다코다주립대 컴퓨터학과, 서울대 컴퓨터공학부 초빙교수)
▶사회=컴퓨터 범죄로 인해 정보보안 문제가 심각하다고 하는데 어느 정도입니까.
▶로저스 교수=피싱,파밍,이메일 가로채기 등이 자주 일어납니다. 한 명의 해커가 수백만,수천만달러를 쉽게 훔쳐낼 수 있는 상황입니다. 한국도 피싱과 파밍 공격이 미국 못지않은 것으로 알고 있는데요.▶홍지만 교수=최근 국민은행 사이트를 가장한 파밍 공격으로 5000개가 넘는 공인인증서가 유출된 사건이 있었지요.
▶사회=문제는 누구든지 피해자가 될 수 있다는 것입니다. 보안 조치를 마련해도 그걸 뚫는 방법이 곧이어 나오니….해킹과 보안은 쫓고 쫓기는 체이싱 게임 같아요.
▶판다 교수=미국에서는 피싱 사이트가 일반인이 도저히 분간하기 어려울 정도로 유사합니다. 피싱 같은 불특정 다수에 대한 공격뿐 아니라 특정 사이트를 겨냥한 DDoS 공격(분산 서비스 거부 공격:서버에 데이터를 폭주하게 해 시스템이나 인터넷 서비스를 마비시키는 공격)도 있죠.이것은 2000년 2월 야후,이베이,아마존,CNN 등 미국 주요 사이트를 공격하면서 알려졌죠.이 공격은 지금도 막을 방법이 없어요.▶사회=미국에서는 노인 개인정보 도용도 문제가 된다고 들었습니다. 또 기업이 개인정보를 의도적으로 유출하는 경우도 있다고 하는데 실제로 그런가요.
▶로저스 교수=요즘 웜이나 바이러스는 대개 정교한 DDoS 공격을 동반합니다. 시스템을 무력화한 다음 정보를 빼내가는 거죠.이렇게 얻은 정보를 다른 사람에게 판다면 문제가 심각해집니다. 병원,정부,기업 등에 저장돼 있는 모든 개인정보가 무방비로 노출된다고 생각해 보세요.
▶홍 교수=인터넷 사용자와 피해자는 어떻게 대처해야 하나요.
▶판다 교수=개인정보를 취급하는 모든 회사에 대해 눈을 부릅뜨고 감시해야 합니다. 인터넷을 이용하다 보면 개인정보를 제공하지 않을 수 없지요. 또 글로벌 시대라서 한국인 중국인 인도인의 개인정보도 미국에서 얼마든지 사용될 수 있죠.개인정보는 '관할(jurisdiction)의 문제'입니다. 개인정보를 보관하는 모든 기업은 철저한 대책을 강구해야 합니다.
▶로저스 교수=맞습니다. 정보보안은 전적으로 관할의 문제입니다. 미국 연방정부는 신용정보를 취급하는 기관들의 시스템을 일원화하고 공조체제를 강화했지요. 사고 발생시 정보를 공유해 신속히 대처하기 위해서죠.개인이 자기 정보를 보호하는 데는 한계가 있어요. 정부가 나서서 정보 유출 경위를 추적하고 방지해야 합니다.
▶사회=개인정보 유출 경로를 찾기가 쉽지 않으니 모든 기관이 협력해야 합니다.
▶로저스 교수=저는 경찰에서 범죄과학수사를 한 적이 있습니다. 범죄자들의 공격에 노출됐던 모든 응용 프로그램과 하드웨어의 취약점을 없애지 않으면 나중에 다시 공격을 당하더군요. 한 번 노출된 개인정보 전표를 분쇄기에 넣고 완전히 없애지 않으면 안 되는 것처럼 말이죠.
▶사회=자물쇠를 채우고 또 채우는 수밖에 없네요.
▶로저스 교수=무조건 20자리 비밀번호를 쓰게 하고 매일 바꾸게 하면 어떨까요. 완벽한 보안 조치일 것입니다. 하지만 누가 그렇게 하겠어요. 개인들이 받아들이지 않으면 의미가 없죠.결국 맡겨진 개인정보를 보물단지처럼 다루도록 인센티브를 주는 수밖에 없습니다. 보안담당자들의 처우를 개선하는 것도 방법이겠죠.
▶홍 교수=앞으로 10년 동안 보안 시장은 어떻게 될까요.
▶사회=최근 정보기술(IT) 산업이 더 이상 성장동력이 아니라는 말이 나오는데 그것은 IT 산업에 대한 기본적인 인식 부족에서 비롯한 것입니다. 정보보안,임베디드 시스템,시맨틱웹(지능형 검색) 등 성장력이 무한한 IT 분야는 대부분 소프트웨어 쪽에 있어요. 휴대폰 반도체 등 하드웨어는 IT 산업의 일부일 뿐입니다.
▶판다 교수=미국의 경우 보안 인력에 대해 충분히 보상하고 지원하고 있습니다. 소프트웨어와 하드웨어는 두 개의 수레바퀴와 같이 맞물려 돌아가야 합니다. 한 쪽으로 치우치면 의미가 없지요.
▶사회=한국 보안기업들은 대체로 규모가 작습니다. 미국은 어떤가요.
▶로저스 교수=미국 보안기업들은 대개 전 세계를 무대로 사업을 합니다. 보안 공격은 항상 글로벌하게 이뤄지기 때문이죠.보안만큼 선점 효과가 큰 분야도 없어요. 시만텍,맥아피 등 전 세계 1,2위를 달리는 보안기업은 모두 '규모의 경제'를 통해 성장했습니다. 안티바이러스,방화벽 등 개별 분야를 완전히 선점한 다음에 이것을 기반으로 다른 분야로 진출하는 거죠.통합 보안을 제공한다면 투자 대비 효과가 커집니다. 보안은 모든 게 연결돼 있는 전체적인 개념이니까요.
▶홍 교수=그럼 한국 보안기업들은 어떻게 해야 합니까.
▶로저스 교수=시장을 철저히 조사해 경쟁력 있는 분야를 찾아내야 합니다. 안티바이러스에서 시만텍을 이기기란 쉽지 않죠.특화 분야에 눈을 돌려야 합니다.
특별취재팀=고기완 차장(팀장)/이해성/김보라/안상미/이미아/정호진/성선화/박민제/황경남 기자 dadad@hankyung.com
[ 용어풀이 ]▶피싱 : 은행 카드사 등으로 위장한 가짜 사이트를 만들어 이 사이트에 입력한 개인정보(아이디, 패스워드), 계좌번호 카드번호 등을 가로채 자금을 빼가는 공격기법.
▶파밍 : 피싱에서 진화한 수법. 인터넷 프로토콜(IP)주소 자체를 변경해 'www'로 시작하는 주소를 정확히 입력해도 가짜 사이트가 뜨게 해 개인정보를 빼가는 수법.
국내에서도 은행 사이트를 가장하거나 신용카드번호와 계좌번호 등을 해킹으로 알아내 남의 돈을 탈취하는 사례가 끊이지 않고 있다.한국정보보호진흥원이 일반인 2500여명과 220여개 기업 전산담당자들을 대상으로 실시한 '2006년 정보보호 실태조사'에 따르면 응답자의 96.5%가 개인정보 유출 문제가 '매우 심각하다'고 답변했다.
'세계 컴퓨터과학자 서울대회'에 참가한 컴퓨터 전문가들이 13일 행사장인 서울 코엑스 컨벤션센터에서 정보보안 문제를 놓고 토론했다.
<참석자>마커스 로저스 교수 (미국 인디애나 퍼듀대 컴퓨터학과)
브라젠드라 판다 교수 (미국 아칸소주립대 컴퓨터학과)
홍지만 교수 (숭실대 정보통신대학 컴퓨터학부)
사회:신승윤 교수 (미국 사우스다코다주립대 컴퓨터학과, 서울대 컴퓨터공학부 초빙교수)
▶사회=컴퓨터 범죄로 인해 정보보안 문제가 심각하다고 하는데 어느 정도입니까.
▶로저스 교수=피싱,파밍,이메일 가로채기 등이 자주 일어납니다. 한 명의 해커가 수백만,수천만달러를 쉽게 훔쳐낼 수 있는 상황입니다. 한국도 피싱과 파밍 공격이 미국 못지않은 것으로 알고 있는데요.▶홍지만 교수=최근 국민은행 사이트를 가장한 파밍 공격으로 5000개가 넘는 공인인증서가 유출된 사건이 있었지요.
▶사회=문제는 누구든지 피해자가 될 수 있다는 것입니다. 보안 조치를 마련해도 그걸 뚫는 방법이 곧이어 나오니….해킹과 보안은 쫓고 쫓기는 체이싱 게임 같아요.
▶판다 교수=미국에서는 피싱 사이트가 일반인이 도저히 분간하기 어려울 정도로 유사합니다. 피싱 같은 불특정 다수에 대한 공격뿐 아니라 특정 사이트를 겨냥한 DDoS 공격(분산 서비스 거부 공격:서버에 데이터를 폭주하게 해 시스템이나 인터넷 서비스를 마비시키는 공격)도 있죠.이것은 2000년 2월 야후,이베이,아마존,CNN 등 미국 주요 사이트를 공격하면서 알려졌죠.이 공격은 지금도 막을 방법이 없어요.▶사회=미국에서는 노인 개인정보 도용도 문제가 된다고 들었습니다. 또 기업이 개인정보를 의도적으로 유출하는 경우도 있다고 하는데 실제로 그런가요.
▶로저스 교수=요즘 웜이나 바이러스는 대개 정교한 DDoS 공격을 동반합니다. 시스템을 무력화한 다음 정보를 빼내가는 거죠.이렇게 얻은 정보를 다른 사람에게 판다면 문제가 심각해집니다. 병원,정부,기업 등에 저장돼 있는 모든 개인정보가 무방비로 노출된다고 생각해 보세요.
▶홍 교수=인터넷 사용자와 피해자는 어떻게 대처해야 하나요.
▶판다 교수=개인정보를 취급하는 모든 회사에 대해 눈을 부릅뜨고 감시해야 합니다. 인터넷을 이용하다 보면 개인정보를 제공하지 않을 수 없지요. 또 글로벌 시대라서 한국인 중국인 인도인의 개인정보도 미국에서 얼마든지 사용될 수 있죠.개인정보는 '관할(jurisdiction)의 문제'입니다. 개인정보를 보관하는 모든 기업은 철저한 대책을 강구해야 합니다.
▶로저스 교수=맞습니다. 정보보안은 전적으로 관할의 문제입니다. 미국 연방정부는 신용정보를 취급하는 기관들의 시스템을 일원화하고 공조체제를 강화했지요. 사고 발생시 정보를 공유해 신속히 대처하기 위해서죠.개인이 자기 정보를 보호하는 데는 한계가 있어요. 정부가 나서서 정보 유출 경위를 추적하고 방지해야 합니다.
▶사회=개인정보 유출 경로를 찾기가 쉽지 않으니 모든 기관이 협력해야 합니다.
▶로저스 교수=저는 경찰에서 범죄과학수사를 한 적이 있습니다. 범죄자들의 공격에 노출됐던 모든 응용 프로그램과 하드웨어의 취약점을 없애지 않으면 나중에 다시 공격을 당하더군요. 한 번 노출된 개인정보 전표를 분쇄기에 넣고 완전히 없애지 않으면 안 되는 것처럼 말이죠.
▶사회=자물쇠를 채우고 또 채우는 수밖에 없네요.
▶로저스 교수=무조건 20자리 비밀번호를 쓰게 하고 매일 바꾸게 하면 어떨까요. 완벽한 보안 조치일 것입니다. 하지만 누가 그렇게 하겠어요. 개인들이 받아들이지 않으면 의미가 없죠.결국 맡겨진 개인정보를 보물단지처럼 다루도록 인센티브를 주는 수밖에 없습니다. 보안담당자들의 처우를 개선하는 것도 방법이겠죠.
▶홍 교수=앞으로 10년 동안 보안 시장은 어떻게 될까요.
▶사회=최근 정보기술(IT) 산업이 더 이상 성장동력이 아니라는 말이 나오는데 그것은 IT 산업에 대한 기본적인 인식 부족에서 비롯한 것입니다. 정보보안,임베디드 시스템,시맨틱웹(지능형 검색) 등 성장력이 무한한 IT 분야는 대부분 소프트웨어 쪽에 있어요. 휴대폰 반도체 등 하드웨어는 IT 산업의 일부일 뿐입니다.
▶판다 교수=미국의 경우 보안 인력에 대해 충분히 보상하고 지원하고 있습니다. 소프트웨어와 하드웨어는 두 개의 수레바퀴와 같이 맞물려 돌아가야 합니다. 한 쪽으로 치우치면 의미가 없지요.
▶사회=한국 보안기업들은 대체로 규모가 작습니다. 미국은 어떤가요.
▶로저스 교수=미국 보안기업들은 대개 전 세계를 무대로 사업을 합니다. 보안 공격은 항상 글로벌하게 이뤄지기 때문이죠.보안만큼 선점 효과가 큰 분야도 없어요. 시만텍,맥아피 등 전 세계 1,2위를 달리는 보안기업은 모두 '규모의 경제'를 통해 성장했습니다. 안티바이러스,방화벽 등 개별 분야를 완전히 선점한 다음에 이것을 기반으로 다른 분야로 진출하는 거죠.통합 보안을 제공한다면 투자 대비 효과가 커집니다. 보안은 모든 게 연결돼 있는 전체적인 개념이니까요.
▶홍 교수=그럼 한국 보안기업들은 어떻게 해야 합니까.
▶로저스 교수=시장을 철저히 조사해 경쟁력 있는 분야를 찾아내야 합니다. 안티바이러스에서 시만텍을 이기기란 쉽지 않죠.특화 분야에 눈을 돌려야 합니다.
특별취재팀=고기완 차장(팀장)/이해성/김보라/안상미/이미아/정호진/성선화/박민제/황경남 기자 dadad@hankyung.com
[ 용어풀이 ]▶피싱 : 은행 카드사 등으로 위장한 가짜 사이트를 만들어 이 사이트에 입력한 개인정보(아이디, 패스워드), 계좌번호 카드번호 등을 가로채 자금을 빼가는 공격기법.
▶파밍 : 피싱에서 진화한 수법. 인터넷 프로토콜(IP)주소 자체를 변경해 'www'로 시작하는 주소를 정확히 입력해도 가짜 사이트가 뜨게 해 개인정보를 빼가는 수법.