보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[한 주를 관통하는 보안 소식] 2024년 4월 1주차, “Supersize”

입력 : 2024-04-06 08:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
어지간하면 모두가 크기를 키우고 싶어한다. 나쁜 건 아니다. 하지만 정도가 지나칠 때 책임질 수 없는 큰 문제가 되기도 한다. 너무 큰 형벌부터 차고 넘치는 데이터베이스 문제까지, 파란만장한 한 주가 지나갔다.

[보안뉴스 문가용 기자] 2024년 4월 1주차 <보안뉴스>가 선정한 키워드는 ‘Supersize’이다. 크기를 키우려는 것에 대한 지나친 집착이 문제로 불거진 일이 유난히 많이 보도됐기 때문이다. 그 소식들을 모아보니 이 Supersize라는 단어 뒤에 이번 한 주를 아우르는 진짜 배후 세력이 모습을 드러내는데, 그것의 이름은 Greed(탐욕)다. 탐욕의 결과 혹은 탐욕의 매커니즘을 엿볼 수 있는 한 주의 소식을 정리해본다.

규격 외 형벌
비트코인에 투자하지 않으면 멍청이라는 소리가 유행할 당시 암호화폐 투자 광풍을 누가 막을까 했었는데 그 어려운 걸 해낸 사람 중 하나는 샘 뱅크먼프리드(Sam Bankman-Fried)이다. FTX라는 대형 암호화폐 거래소 창립자다. 그는 투자자들의 돈을 가지고 위험한 투자를 동의 없이 감행했다가 천문학적인 손실을 일으켰고, 지난 주말 결국 25년의 징역형을 선고받았다. 자신의 이름 그대로 은행가들(Bankman)을 튀겨낼(Fried) 기세로 차세대 금융 시장을 일으키며 주목받던 그였기에 투자자들은 그를 믿었고, 그는 중앙에서 관리하지 않는다는 암호화폐 생태계의 특징을 악용했다.

[이미지 = gettyimagesbank]


25년은 꽤나 상징적인 기간이다. 미국 법정에서 화이트칼라 범죄자들에게 이렇게까지 긴 징역형을 선고한 사례가 많지 않다. 폰지 사기범인 버나드 마도프(Bernard Madoff)가 150년 형을, 역시 폰지 사기범인 앨런 스탠포드(Allen Stanford)가 110년 형을 받은 것 외에는 화이트칼라 범죄자들 중 뱅크먼프리드보다 무거운 벌을 받은 사람이 없다. 150년과 110년은 사실 종신형이기 때문에 실질적 유기 징역형 중에서는 뱅크먼프리드가 가장 긴 옥살이를 하게 된 것이라고 볼 수 있다. 범죄의 상징성이나 사이즈가 남다르다 싶더니 형벌의 사이즈도 가장 컸다.

규격 외 생산 문화
요즘 가장 뜨거운 관심을 받고 있는 기업 중 하나는 보잉이다. 보잉의 기체가 요 몇 년 동안 계속해서 심각한 사고를 일으켰기 때문이다. 연쇄적으로 추락하기도 하고 날아가던 비행기 문이 갑자기 뜯겨져 나가질 않나 일부 시스템이 오작동을 일으키는 바람에 조종사가 비상 탈출을 해야만 하기도 했다. 3만 7천 피트 상공에서 갑자기 엔진이 꺼진 사례도 있었다. 유명한 사건들도 있고, 공개되지 않았다가 국가에서 조사를 하는 과정 중에 드러난 사건들도 있다. 자연스럽게 보잉 비행기의 품질 문제가 불거졌고, 보잉의 주요 고객사들은 보잉과의 거래 중단 의사를 나타내기 시작했다.

[이미지 = gettyimagesbank]


수개월의 조사 끝에 나온 결과는 ‘품질보다 속도를 우선한다’는 뿌리 깊은 기업 분위기가 문제라는 것이었다. 사업의 크기를 키우고 유지하는 데 몰두하면서 비행기 생산마저 대강대강 해버렸다는 것이다. 이러한 조사 결과를 보도한 뉴욕타임즈의 기사 제목은 “여기도 지름길 저기도 지름길”이었다. 빠르게 처리할 수 있다면 앞뒤 가리지 않고 속도를 높였던 보잉의 생산 문화를 지적하는 것이었다. ‘속도’라는 단어가 전면에 나오긴 했지만 덩치 부풀리기에 여념이 없었던 경영진의 태도가 문제의 근원이다. 속도와 성능, 기능성 등을 안전보다 먼저 따지는 거, 보안 분야에서는 너무나 친숙한 이야기다.

규격 외 가격
덩치 부풀리기에 여념이 없는 회사 혹은 산업에 대한 고발이 하나 더 등장했다. 제약 산업이었다. 당뇨병 환자들이 먹는 약품의 가격을 정상가보다 400배나 높게 책정하고 있다는 내용의 조사 결과가 발표된 것이었다. 여기서 정상가는 생산가가 아니다. 회사가 이윤을 내기에 충분한 적정 가격이라고 한다. 즉 이미 이윤을 낼 수 있는 가격대가 있는데, 그것보다도 400배 높게 시장에 요구하고 있다는 충격적 사실이 대대적으로 보도된 것이다. 적정가를 유지하기만 해도 개발도상국과 후진국들의 가난한 환자들도 충분히 약을 쓸 수 있다는 내용도 덧붙었다. 이를 조사해 발표한 연구원들은 “사람의 생명보다 이익을 중요시하는 행태”라고 직설적으로 비판했다.

[이미지 = gettyimagesbank]


회사들 나름이겠지만 제약 산업은 코로나 시대를 지나면서 큰 돈을 번 것으로 알려져 있다. 하지만 사업이라는 것이 한 번 호황기를 누린 것으로 만족하지 못하게 만든다. 특수를 누려 평소보다 100배 높은 수익을 거둔 사업자 대부분 호황기가 지나가더라도 이를 인정하지 못하고 특수 그대로 100배 높은 수익을 유지하려고 한다. 코로나가 시들해갈 무렵 제약 회사들은 앓는 소리를 냈었다. 주요 수익원이 사라지는 걸 눈 뜨고 지켜보자니 힘들었을 것이다. 때 마침 체중 감량에 효과적인 약품들이 나오면서 제약 산업은 더 큰 호황기를 누리게 됐다. 거듭되는 호황기가 오히려 ‘유지’에의 부담이 되었을까. 이익을 남길 수 있는 가격보다 400배나 높은 가격을 책정했다는 건 어떻게 이해해야 할까.

규격 외 선박들...아니 교각들
대형 사고가 세계 무역과 선박 산업에서 발생했다. 미국 볼티모어의 주요 교각을 커다란 화물선 한 대가 들이받아 무너진 것이다. 이 때문에 다리를 건너던 사람들과 자동차들이 강으로 추락했고 여섯 명이 사망했다. 무너진 다리는 키브리지(Key Bridge)인데, 1977년에 완공됐다. 충돌을 일으킨 선박인 달리 호(Dali)는 2015년에 건조된 신형 화물선이다. 이 년도의 차이가 중요하다. 약 40년의 차이가 있는데, 그 기간 동안 다리는 그대로 남아있는데 배들이 어마어마하게 커져버렸기 때문이다. 1977년 당시 가장 큰 배는 최대 3천 개의 컨테이너를 실을 수 있는 규모였다. 달리 호는 1만 개 이상이 실리는 배다. 이게 지금 가장 큰 배도 아니다.

[이미지 = gettyimagesbank]


40년 동안 이렇게까지 화물선이 커진 이유는 무엇일까? 바닷길은 멀고 멀어 왕복하는 데 들어가는 비용이 어마어마하기 때문이다. 즉 한 번 갈 때 짐을 많이 싣고 가면 갈수록 선주들에게는 이득인 것이다. 단순하다. 운영비를 아끼려는 선주들은 큰 배를 선호하기 시작했고, 그러면서 1977년 당시의 배들은 나룻배처럼 보일 정도로 현대의 배들은 벌크업을 하는 데 성공했다. 그 기간 동안 다리들은 커지려야 커질 수가 없었다. 배들은 앞으로도 더 커질 것이다. 효율은 중요하기 때문이다. 2016년 파나마 운하도 너비를 확장했는데, 적어도 그 공간을 채울 때까지는 덩치 큰 배들이 계속 등장할 것으로 예상된다. 앞으로 화물선이 아래로 지나다니는 다리를 지나야 한다면, 차라리 다른 길로 돌아가는 편이 안전할 지도 모르겠다.

규격 외 브랜드 전략
최근 미국 청소년들과 20대 사이에서 크게 유행하는 의류 브랜드가 하나 있다. 브랜디멜빌(Brandy Melville)이라는 이름을 가진, 이탈리아의 가족 사업으로 소소하게 출발한 기업이다. 브랜디멜빌의 옷이 크게 유행하기 시작한 건 사이즈 때문이다. 이렇게까지 말하면 덩치가 어마어마하게 큰 사람들도 입을 수 있는 옷을 출시해 인기를 끈 과거 의류 브랜드들이 떠오를 것이다. 브랜디멜빌은 정확히 반대 노선을 밟았다. 이들은 마르고 날씬한 체형의 사람들만 입을 수 있는 옷을 만들어 판매한다. 그래서 브랜디멜빌의 옷을 입고 다닌다는 건 ‘날씬한 사람’ 공인 인증서를 받은 것과 마찬가지가 된다.

[이미지 = gettyimagesbank]


이번 주 이 브랜드가 논란의 중심에 서 있다는 문제 제기가 있었다. 사람을 체형에 따라 차별한다는 것인데, 사실 주요 뉴스 매체 중에는 월스트리트저널 정도만 이 내용을 다뤘다. 미국 현지에서 실제 이게 논란이 되고 있는지도 확인이 되지 않는다. 대부분은 특이한 옷 가게가 구사하는 일종의 브랜드 전략 정도로만 인식하는 듯하다. 덩치 큰 사람들이 입는 슈퍼사이즈 옷들을 판매한 의류 회사들은 칭찬을 받았는데, 날씬한 사람들만 입을 수 있는 옷을 파는 건 논란의 중심에 선다니, 모순이다. 그러고 보니 요즘은 키가 작다는 말이 모욕적이라 ‘수직적으로 어려움을 겪고 있는(vertically challenged)’이라는 표현을 권장한다는데, 장난인지 진지한 건지 헷갈린다.

규격 외 투자
인공지능 때문에 투자자들과 투자 산업의 펀드 매니저 등은 신바람이 났다. 전 세계 투자 가능한 돈이 전부 인공지능 분야로 쏟아지고 있는 듯한 분위기다. 팬데믹이 진행되던 3년 동안 침체되어 월급마저 크게 삭감된 금융 분야 종사자들로서는 지금의 시기가 더욱 귀중하다. 그래서 더 많은 투자자들을 설득하고, 더 많은 돈을 끌어낸다. 마침 인공지능을 앞세운 스타트업들도 계속해서 등장하고 있으니 연결시켜줄 곳은 모자라지 않다. 돈의 급격한 팽창을 보고 싶다면 인공지능 분야의 투자 시장을 가보라. 내 돈은 아닐지언정 이 많은 돈이 세계 어딘가에 있었구나, 하는 경이로움을 느낄 수 있을 것이다.

[이미지 = gettyimagesbank]


그런 가운데 인공지능 업체이자 구글의 자회사인 딥마인드(DeepMind)에서 이번 주 파이낸셜타임즈와의 인터뷰를 통해 찬물을 투척하려 했다. 지금 인공지능 분야에 불어닥치고 있는 열기는 흡사 비트코인이 한창 인기몰이를 했을 때의 광풍과 같다고 경고한 것이다. 돈 바람이 불어올 때 냉정하지 못한 판단으로 손실을 보기 쉽고, 각종 사기마저 성행할 수 있으니 주의하라는 내용이었다. 비트코인이라는 새로운 생태계가 단 몇 사람에 의해 어떻게 농락을 당했는지, 그래서 발생한 피해가 얼마나 큰지 잊지 말라고 딥마인드의 공동 창립자 데미스 하사비스(Demis Hassabis)는 강조했다.

그는 특히 ‘돈과 관련된 열기가 뜨거우면 과학과 연구의 본연이 힘을 잃는다’고 경고했다. 하긴, 위에서 언급한 보잉의 경우 엔지니어가 아니라 자본가가 회사를 이끌면서 서서히 문제가 생겨나기 시작했다는 말도 나오고 있다. 보잉은 자본으로 돈을 굴리는 회사가 아니라 비행기를 만드는 엔지니어링 회사다. 사이즈 타령에 그것이 간과되었을 때 수많은 사람들이 목숨을 잃었다.

규격 외 정성
이런 supersize의 흐름을 보안도 타기 시작했다. XZ유틸즈(XZ Utils)라는 거대 오픈소스 생태계에서 악성 스크립트가 발견되면서 리눅스 생태계 전체에서 난리가 난 것이다. XZ유틸즈는 오픈소스 프로젝트 중 하나이며, 오픈소스 중에서도 꽤나 평판도 좋고 규모도 크고 사용자도 많은 프로젝트였다. 오픈소스의 대표 프로젝트, 더 나아가 오픈소스의 얼굴이라고 해도 될 정도의 유틸리티였던 것이다. 그러므로 이 프로젝트에 관심을 가진 사람도 많고 지켜보는 눈도 많고 감시자도 많고 기여자도 많았다. 그런데 공격자는 어떻게 그 모든 눈을 피해 악성 코드를 심을 수 있었을까?

[이미지 = gettyimagesbank]


공격자는 규격 외의 정성을 쏟았다. 이 백도어 한 번 심기 위해 최소 2년 동안 XZ유틸즈 커뮤니티의 일원으로 활동했다. 공격 사전 준비 기간만 최소 2년이라니, 이미 규격 외다. 여러 가지 활동을 통해 신뢰까지 쌓았고, 이를 통해 메인테이너 지위까지 얻어냈다. 실제 그는 어느 정도 평판을 쌓은 뒤 ‘메인테이너가 더 필요하다’는 주장을 계속해서 해왔다고 한다. 메인테이너의 규모를 늘리면서 스스로가 메인테이너가 된 것이다. 그러면서 리눅스 생태계 전반에 영향을 줄 만한 악성 코드를 심고서 시치미를 뚝 떼고 있었다. 그러다가 MS의 한 개발자가 우연히 이상한 점을 발견하면서 그는 차단됐다. 누구나 이 정도 정성만 쏟으면 어떤 오픈소스라도 공략할 수 있다는 교훈과 경고를 남겼다.

규격 외 취약점 정보
그 동안 잘 버텨왔던 미국 표준기술연구소(NIST)가 터졌다. NIST는 NVD를 관리하던 기관이다. NVD는 취약점 정보를 모아둔 데이터베이스다. 단순히 취약점 번호를 엑셀에 날짜별로 입력해둔 게 아니라 어떤 소프트웨어에 어떤 공격을 가능하게 하며, 어떤 식으로 패치해야 하고, 어떤 방비를 취해야 하는지, 또 어떤 공격 시나리오가 있을 수 있는지, 발견자는 누구이며 평가자는 누구이고 등록자는 누구인지 등 관련 데이터를 빼곡하고 상세하게 포함시킨다. 그래서 취약점이 발견되고서 NVD에 등록되기까지 1~2주의 기간이 걸리는 편이다.

[이미지 = gettyimagesbank]


그런데 요 몇 개월 NVD는 전혀 업데이트 되지 않았다. NIST는 처음에 안심하라고, 괜찮다고 하더니 이번 주 “취약점 수가 너무 많아 더 이상 내부적으로 다 처리할 수 없는 상황에 이르렀다”고 고백했다. 사실 언젠가 이런 날이 올 걸 보안 업계는 알고 있었다. 취약점의 수가 매년 증가하는데, 그 증가 그래프가 너무나 가파랐기 때문이다. 그러고 보니 NVD에 입력되는 취약점 정보의 품질이 하락한다는 지적이 나오기도 했었다. NIST는 “이제 같이 관리합시다”라고 손을 내밀었다. 보안 업계가 답을 줄 차례다. 응할 것인가, NVD를 포기할 것인가.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)