해킹을 통해 국가 전체가 일시에 마비될 수 있을까? 헐리우드 영화 '다이하드4.0'과 '트랜스포머'는 이 같은 상상력에 기반한 영화다.
만일 해커가 모든 시스템을 장악한다면 어떤 일이 벌어질까.
보안 전문가들은 정부와 공공기관,기업을 대상으로 한 해킹은 얼마든지 가능하다고 한다.
두 영화 속으로 들어가 보자.
#트랜스포머
이 영화는 모든 기계에 생명을 불어넣을 수 있는 절대적 에너지원인 '큐브'를 탈취하려는 두 개의 외계 로봇진영 간 대결을 다룬다.
정의의 군단 '오토봇'과 악의 무리 '디셉티콘'이 그것이다.
디셉티콘 진영의 해킹전문 로봇 '프렌지'는 라디오로 변신해 미국 대통령 전용기 '에어포스 원'에 몰래 잡입해 미국 국방부 시스템에 대한 해킹을 시도한다.
디셉티콘 진영이 찾고 있는 실종된 절대적 에너지원 '큐브'에 대한 정보가 미 국방부 안에 있기 때문이다.
프렌지는 네트워크의 고성능 방화벽을 순식간에 뚫는다.
이어 미국 국방부 시스템을 해킹한다.
이에 당황한 미 국방부는 관련된 서버를 끊어버릴 뿐 속수무책으로 해킹공격에 당한다.
#다이하드4.0
이 영화에서는 교통 금융 전기 통신 가스 등 국가 주요 인프라의 운영권한이 범인의 손안에 들어가 국가 전체가 공황상태에 빠진다.
미국 정부시스템을 설계한 바 있는 천재 과학자 가브리엘은 정부 보안시스템에 심각한 결함이 있다는 자신의 주장을 상부에서 받아들이지 않자 측근을 데리고 미국 전역을 상대로 테러를 일으킨다.
그는 자신이 설계했던 시스템의 취약점을 이용해 전방위로 해킹을 시도한다.
그 결과 교통 통신 전기 가스 수도 방송 등 국가 기간망에 대한 운영권한을 장악한다.
가브리엘은 뉴욕시의 신호시스템을 모두 녹색불(진행)로 통일해 순식간에 뉴욕을 교통지옥으로 만든다.
방송송출 시스템도 해킹해 방송시간대에 자신이 편성한 방송을 내보내는가 하면 한 도시의 전기를 한 순간에 끊어버리기도 한다.
증권거래소의 거래시스템을 조종해 주가를 폭락시키고 도시가스관의 가스 진행경로까지 조종한다.
#영화가 현실에서 일어날 수 있을까?
보통 공공기관은 외부에서 접속할 수 있는 외부망과 내부 관리자만 접근이 가능한 내부 업무망을 분리해 놓는다.
따라서 통신망이나 금융망이 일시에 마비되는 일은 현실에서는 잘 일어나지 않는다.
단 하나의 기간망 내부로 침투하기도 그리 쉽지 않다는 뜻이다.
하물며 교통 금융 가스 전기 통신 등 여러 개의 내부망 운영권한을 동시에 가져오는 것은 거의 불가능에 가깝다.
각각의 운영권한이 내부망과 관리자별로 분리돼 있을 뿐 아니라 연결고리를 동시에 찾아낼 수가 없기 때문이다.
또한 연결고리가 아예 없는 경우도 있다.
하지만 전문가들은 부분별 시스템 침투는 가능하다는 입장이다.
전체 시스템을 일시에 공격해 해킹할 수는 없지만 교통이나 금융 등을 개별적으로 공격해 해킹할 수는 있다는 것.국가기관을 대상으로 모의해킹을 해본 경험이 있는 보안전문가 B씨는 "이론적으로 개별 시스템을 대상으로 한 내부침투는 충분히 가능하다"고 말했다.
강은성 안철수연구소 상무(연구소장)역시 "내부망과 외부망의 완충지대(웹서버가 위치함)가 웹해킹으로 뚫리면 결국 내부망도 뚫릴 수 있다"고 지적했다.
해커가 완충지대에서 '원격 익스플로잇(exploit)'이나 '리버스(역방향) 커넥션' 등 해킹기법을 이용해 내부 서버를 우회적으로 침투하는 길을 찾아낸다면 내부망이 뚫려 버릴 수 있다는 말이다.
다이하드4.0의 범인처럼 국가 시스템을 실제로 거의 설계하다시피 한 천재 컴퓨터과학자라면 전체 시스템이 해킹에 노출될 가능성이 전혀 없는 것은 아니다.
내부 시스템의 취약점을 누구보다도 잘 알기 때문에 다이하드4.0의 상황은 허무맹랑한 시나리오만은 아니라는 얘기다(실제로 한 사람에게 다 맡기지는 않겠지만).실제로 올해 상반기에 국가정보원은 미래에 이들 두 영화와 유사한 상황이 일어날 수도 있다고 경고한 적은 있다.
국정원의 정보보호담당기관인 국가사이버안전센터는 올해 4월 개최한 '사이버안전의 날 행사'에서 영화 같은 사이버전쟁 가능성을 경고했다.
복합적 악성코드를 활용한 취약점 공격으로 작전 및 군수품의 위치 등 군사기밀정보가 유출되는 일이 발생할 수 있다는 것.국정원은 지난 5월 국회,행정자치부 등 주요 57개 공공기관의 보안실태 점검결과를 발표하면서 "적대적 해킹 공격에 의해 국정이 순식간에 마비될 수도 있다"고 지적하기도 했다.
보안전문가 B씨는 "정부나 기업의 시스템 개발자들이 해킹에 대한 지식이 없는 경우가 많고 지속적인 보안 교육과 점검이 이뤄지지도 않는다"며 "모의해킹을 해보니 공공기관 10곳 중 8곳 정도의 내부 데이터베이스(DB)까지 침투할 수 있었다"고 말했다.
DB까지 침투할 수 있다는 것은 모든 기밀자료가 유출된다는 뜻이다.
특히 내부망을 뚫기 위한 전 단계인 웹서버공격은 웜과 IRC봇을 이용한 분산서비스거부(DDoS)공격이나 스팸 폭주공격,SQL 인젝션 등의 복합공격으로 가능하다.
중국발 해킹이나 국정원 국가사이버안전센터에 매달 접수되는 피해들이 바로 이런 경우다.
보안제품을 제대로 쓰지 않고 보안담당 전문인력이 거의 없는 지방 공공기관이나 기업,학교 등은 이런 공격에 더욱 속수무책이다.
강은성 안연구소 상무는 "공공기관이든 기업이든 웹 프로그래밍을 할 때 외주에 외주를 주다 보면 이 같은 취약점이 생길 수밖에 없다"며 "다이하드와 트랜스포머 같은 초대형 재난을 막으려면 보안인력과 기술에 대한 인식을 근본적으로 바꿔야 한다"고 말했다.
