세계 보안 엑스포 전자정부 솔루션 페어 스마트팩토리 개인정보보호 페어  세계 다이어트 엑스포  세계 태양에너지 엑스포  국제 사이버 시큐리티 컨퍼런스  INFO-CON
[한국정보보호학회 칼럼] 사이버보안은 시스템 소프트웨어 역량 강화로부터
입력날짜 : 2016-11-22 10:47
트위터 보내기  페이스북 보내기  네이버 밴드 보내기  싸이월드 공감 보내기  카카오 스토리 보내기  구글 보내기   
방어자, 공격자 수준의 시스템 소프트웨어 역량 보유해야

[보안뉴스 = 이정현 숭실대학교 교수] 지난달에 국외출장을 다녀오는 비행기 안에서 평소와 다른 기장의 안내 방송이 몹시 마음을 무겁게 만들었다. “갤럭시 노트7을 휴대한 승객 여러분께서는 전원을 모두 꺼 주시고, 충전을 하지 말아 주십시오.” 그것도 한국어와 영어로 반복하여 강조하면서 까지 말이다. 왜 이런 일이 발생했을까? 정확한 사고 원인은 해당 기업이 밝혀내겠지만, 소프트웨어와 정보보호 관점에서 이 문제를 다시 해석해 보고자 한다.

직전 모델인 갤럭시 S7의 배터리와 아이폰 7을 비교해보면 동일한 방식의 리튬이온 전지를 사용하고 용량은 1.5배 이상 큰 것을 사용한다. 제조사에서 제공하는 배터리 수명에 대한 비교 실험 데이터는 서로 우의에 있다고 말하지만, 다수의 일반 소비자가 체감하는 배터리 수명의 서로 비슷하거나 아이폰이 좀 더 오래간다는 평이 더 많은 것이 사실이다.

고용량 배터리를 사용함에도 왜 더 오래 사용하지 못할까? 그 원인은 다양하게 있겠지만, 필자는 배터리를 제어하고 활용할 수 있는 시스템 소프트웨어 활용 능력의 차이에서 그 원인이 있지 않을까 하는 합리적 의심을 해 본다.

왜냐하면 애플은 1984년 매킨토시 컴퓨터를 출시함과 동시에 맥 시스템이라는 자체 OS를 개발하여 30여 년간 지속적인 개선과 수많은 활용을 통해 내공을 쌓은 시스템 소프트웨어를 보유하고 있다. 이러한 토대 위에서 출시되는 것이 아이폰이다. 반면, 자체 OS가 없는 삼성으로서는 부족한 시스템 소프트웨어 역량을 보완하기 위해 고선명 디스플레이와 고해상도 카메라 등 차별화된 하드웨어 탑재를 바탕으로 시장 지배력을 유지하고자 한다.

거의 동일한 크기의 스마트폰에 1.5배 크기의 배터리를 내장하기 위해서는 얼마나 더 촘촘히 다른 부품들을 배치해야 하겠는가? 하드웨어로 승부하려다 보니 홍채, 방수, 방진 등 신기술을 남들보다 서둘러 탑재해야 하고 그에 따라 더 큰 고용량 배터리가 요구되고 더구나 충분한 테스트 없이 출시한 결과가 비운의 노트7 스토리를 만들어 낸 것은 아닐까?

이러한 맥락에서 정보보호 특히 사이버 보안 분야를 한번 들여 다 보자. 사이버 공간에서 공격과 방어의 끊임없는 전투가 매일같이 일어나고 있는 세상을 우리는 살아가고 있다. 상대적으로 해킹이 빈번하지 않았던 시절에는 암호가 해킹을 방지할 수 있는 근본 대책으로 여겼던 적도 있었다. 하지만, 사실 대부분의 해커들은 암호에 대한 깊은 지식 없이도 적용된 암호 기법을 쉽게 식별하고 우회하여 소기의 목적을 달성하기 때문에 암호의 단순 적용이 해결책이 되지 못하는 게 엄연한 현실이다.

날로 진화하는 해커들의 공격에 신속하게 대응하는 것은 말처럼 쉽지 않은 것이 사실이지만, 해커들이 보유하고 있는 역량의 차이는 무엇일까? 필자가 경험한 해커들은 컴퓨터 시스템 지식, 그 중에서도 OS 커널을 비롯한 시스템 소프트웨어 역량이 상대적으로 뛰어난 사람들이다.

통상 방어기술에 대한 모든 정보는 공격자에게 노출되어 있는 반면 공격기술에 대한 정보는 숨겨져 있어서 항상 불공정한 게임이기도 하다. 그럼에도 불구하고 이러한 공격에 신속한 대응을 하려면 최소한 공격자 수준의 시스템 소프트웨어 역량은 보유하고 있어야 할 것이다. 교과목으로 얘기하자면 어셈블리어, 운영체제, 시스템 프로그래밍, 컴파일러 등에 이해도가 높아야 할 것이다.

하지만, 오늘날 학부 교육에서 시스템 소프트웨어 교육의 현실은 어떠한가? 윈도우가 전 세계 범용 OS 시장을 30여년 지배하고 있었기에, 그래서 응용 소프트웨어 개발에만 치중하고, 또한 학생들이 어려워한다는 그런 핑계로 어셈블리어, 컴파일러, 시스템프로그래밍 과목들을 개설하지 않고 있는 것은 아닌지 반성이 필요한 시점이다. 어셈블리 코드도 해석 못하는 인력이 바이너리 코드를 자유자재로 분석하는 해커들에 어떻게 대응할 수 있겠는가?

소스코드가 어떻게 컴파일되고 커널을 통해 메모리에는 어떻게 로딩되어 동작하는지에 대한 일련의 과정을 꿰뚫고 있을 때 암호를 어느 부분에 어떻게 적용해야 될 것인지도 정확히 파악할 수 있게 될 것이다.

시스템 소프트웨어에 대한 이해 없이 적용되는 암호 기술은 방어 효과는 전혀 거두지 못한 채, 시스템 부하만 발생 시키고 필연적으로 고사양의 하드웨어를 탑재하도록 요구하는 배터리만 소모시키는 천덕꾸러기가 될 지도 모른다. 시스템 소프트웨어 역량이 부족하여 고사양의 하드웨어를 서둘러 탑재해야 했던 갤럭시 노트7에서처럼 말이다.

필자 소개_숭실대학교 이정현 교수는 Univ. of California, Irvine에서 박사학위를 취득하고, ETRI 부호기술부, NIST, 삼성종합기술원을 거쳐 현재 숭실대학교 소프트웨어학부 교수, 융합특성화자유전공학부 정보보호전공 주임교수, 숭실대학교 모바일보안연구센터 센터장을 맡고 있다. 또한, 한국정보보호학회 상임 이사와 논문지 편집위원으로 활동하고 있다.
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

이정현   숭실대학교   공격자   방어자   시스템 소프트웨어 역량                   


정보보안 관련 자격증 가운데 보안 실무에 있어 가장 필요하다고 판단되는 자격증은?
정보보안기사 및 정보보안산업기사
정보시스템보안전문가(CISSP)
정보시스템감사사(CISA)
정보보안관리자(CISM)
산업보안관리사(ISE)
정보보안관제사(ISC)
사이버포렌식전문가(CCFP)
인증심사원 자격(ISMS/PIMS/ISO27001 등)
기타(댓글로)