‘제로데이 공격’은 공격을 시작한 후 방어조치가 취해질 때 까지 공격하는 기법으로 다양한 IT 기술과 공격 기법을 이용한다. IT 기술 없이도 공격을 진행할 수 있는데, ‘제로데이 서비스 공격’이라고 불릴 수 있는 수법도 등장한다.
김휘강 고려대학교 교수는 8일 서울 삼성동에서 열린 '코드게이트 2015' 기조연설을 통해 ‘제로데이 서비스 공격’ 개념을 소개하면서 “보안 기술 없이 금전적으로 이익을 얻을 수 있는 공격으로, 국가간, 서비스간 다른 정책과 규제를 악용한다”고 설명했다.
제로데이 서비스 공격의 예를 들어보면, 대포폰을 이용해 유료 게임 앱을 다운받아 설치한 후 아이템을 구입한 다음, 앱스토어를 통해 앱 환불을 신청한다. 앱스토어 정책에서는 게임사가 게임앱 취소 사실을 2개월 후 알게 되는데, 2개월 동안 사용자는 게임을 진행하면서 아이템을 구입하고 다른 가짜 계정으로 판매하면서 일종의 세탁 과정을 거친 후 현금화 한다.
김휘강 교수는 “온라인이나 오프라인 모두 공격자에게 일방적으로 유리한 환경이 만들어졌다. 공격자들은 여러 서비스의 갭을 악용하고 있지만, 방어하는 쪽에서는 부정한 거래가 있다는 사실을 알면서도 대처하지 못하는 상황”이라며 “현재는 공격자에게 유리한 상황으로 부정거래 정황을 인지할 수 있는 시스템이 필요하다”고 말했다.
FDS, 만능 보안 시스템 아니다
최근 사이버 공격은 정교하게 설계된 해킹 기술만을 사용하는 것이 아니라 사회공학적 기법을 이용해 기술 없이도 공격에 성공하게 된다. 앞서 예로 든 제로데이 서비스 공격을 비롯해 최근 우리나라에서 많이 발생하는 보이스피싱, 전자금융사기 등도 비 기술적인 사기 기법이나 초보적인 공격으로도 범죄자가 금전적인 이익을 얻을 수 있게 된다.
이러한 공격을 방어하기 위해서는 사기거래탐지시스템(FDS)이 필요하며, 국내에서도 금융권을 중심으로 FDS 구축 움직임이 활발하게 진행되고 있다. 특히 공공아이핀 해킹사고 후 정부에서 아이핀 발급 시스템에 FDS를 도입하기로 하는 등 비금융 분야에도 FDS 적용 움직임이 활발하게 진행되고 있다.
그러나 FDS가 모든 보안 공격을 다 탐지할 수 있는 ‘만능 시스템’으로 인식되는 것은 위험하다. 김 교수는 “FDS가 시큐리티 시어터(Security Theater)로 작용하는 것을 경계해야 한다”고 주장했다.
시큐리티 시어터는 보안이 잘 돼 있는 것처럼 인식되도록 한 상황을 말하며, 사고가 났을 때 서비스를 제공하는 조직이 보안에 대한 책임을 다했다고 주장할 수 있는 근거를 마련해 준다.
김 교수는 캡챠 기술을 대표적인 예로 설명했다. 캡챠는 공격자나 봇이 캡챠 때문에 공격을 진행하는 것을 막지 못하는데도 사용자를 불편하게 하면서 보안에 많은 투자를 진행한 것 처럼 보이게 한다는 설명이다.
ID/PW 방식의 인증이 위험하다는 사실을 알리면서 복잡한 비밀번호 체계를 강요하고, 웹서비스마다 다른 비밀번호를 사용하며, 3개월에 한번씩 바꾸도록 한다. 사용자들은 비밀번호를 외우지 못하고 종이에 써서 관리하다가 분실하거나 실수로 다른 사람에게 노출시키기도 한다. 강력한 보안규정으로 보안위협이 더 높아지는 경우도 시큐리티 시어터라고 할 수 있다.
“핀테크, 시큐리티 시어터 현상 심각해 질 것”
김 교수는 핀테크의 시큐리티 시어터 현상은 더욱 심각해질 것이라고 경고했다. 핀테크의 한 모델로 제안되는 인터넷 전문은행은 비대면 인증을 통해 금융서비스를 제공하며, 비대면 인증을 위한 다양한 기술이 소개되고 있다. 그러나 각 인증방식은 치명적인 보안 취약점을 갖고 있다는 사실은 쉽게 간과된다.
간편결제 서비스의 경우도 마찬가지다. 본인인증과 거래사실에 대한 부인방지 기능을 하는 프로세스가 노출되기 쉬운 ID/PW에 의존하거나 단말정보만으로 인증하도록 하는 경우는 쉽게 사기거래에 이용된다.
김 교수는 “안전한 거래를 위해 인증을 복잡하게 만들고, 침해사고 정보를 공유하는 등 다양한 절차를 만들고 있지만 현재 인증 기술은 쉽게 우회할 수 있으며, 침해사고 정보공유는 국가간 협조가 필요한 부분이 있어 현실적으로 어려운 상황”이라며 “사기거래 방지를 위해 기술에만 의존해서는 안된다”고 말했다.
사기거래 방지를 위해 지정단말서비스, SMS·ARS 인증, USIM 칩에 공인인증서를 USIM 스마트 인증, 대포통장이나 사기거래가 이뤄진 IP 주소에 대한 정보공유 등 사기거래를 탐지하고 방지하기 위한 다양한 기술과 기법이 적용되고 있지만, 모두 다 무력화 할 수 있는 방법이 있는 것이 사실이다.
김 교수는 “현재 보안 기술 중에서는 의미 없는 시큐리티 시어터가 너무 많다. 사용자는 불편하지만 공격에는 전혀 영향을 미치지 못하는 복잡한 기술에 천착하기보다, 산업 생태계적인 관점에서 사기거래를 막을 수 있는 방법을 생각해야 한다”고 주장했다.
