세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[대중문화와 사이버 개념 이해] 8화. 사이버 보안의 기본은 물리적 보안이다
  |  입력 : 2017-04-24 19:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
영화 ‘미션임파서블5’을 통한 물리적 해킹의 고도화 이해

[보안뉴스= 장형석, 사이버개념연구회2.0/국군사이버사령부] 잠금장치나 CCTV가 없는 세상이라면 보호하고 싶은 자산에 인가되지 않은 사람의 접근이 가능하게 되며, 자산을 훔치거나 파괴하는 것도 가능하다. 이것이 바로 물리적 해킹에 관한 내용이다. 인가되지 않은 인원이 물리적 요인에 접근하여 정보적 자산을 탈취하거나 파괴하는 행위 자체를 말한다.

▲ 영화 ‘미션임파서블5’ 포스터(좌), 삽화제작 : 임재준 해군 상병(우)


세계보안엑스포 2017(SECON 2017)의 동시 개최 행사 가운데 ‘물리적 보안의 설계와 유효성 평가도구 개발 컨퍼런스’의 첫 번째 발표자인 정길현 박사(前 산업통상자원부 비상안전기획관)는 “정보보안도 중요하지만 물리보안은 누구도 그리 크게 고민하지 않는 거 같다”고 우려했다. 보안 기술이 발전해도 보안의 기본은 물리적 보안에서 시작된다. 실제로 정보유출의 대부분은 USB, 이메일, 물리적 자산의 출입통제의 허술함 등으로 발생한다.

물리적 해킹 피해가 막대하다
물리적 보안의 중요성은 공공기관과 대기업만의 문제만은 아니다. 경기지방중소기업청에 따르면 물리적 보안이 허술한 중소기업의 경우 산업스파이에 의한 피해액이 900억이 넘는 것으로 드러났다. 저장매체 통제, 출입통제 시스템, CCTV만 제대로 구축되어 있었다면 피해액은 더 크게 줄었을 것이다. 이에 따라 중소기업청은 2017년 물리적 보안 시스템을 구축하기 위한 솔루션 비용의 최대 50%까지 지원을 시작했다. 그렇다면 물리적 보안 시스템에는 무엇이 존재할까?

과거부터 현재를 넘어 미래까지 물리적 보안의 변화와 발전 방향을 2015년 개봉한 영화 ‘미션임파서블5‘를 통해 볼 수 있다. 이 영화는 주인공(톰 크루즈)이 소속되어 있는 첩보기관 IMF(Impossible Mission Force)가 테러조직 신디케이트라에 맞서 첨단 IT기술을 사용해 불가능한 미션에 도전하는 이야기이다.

영화 ‘미션임파서블5’를 통해 물리적 보안을 이해할 수 있다
영화 속에서 나타난 물리적 해킹 장면을 살펴보자. 첩보기관 IMF는 테러조직 신디케이트의 음모에 의해 해체 위기를 맞는다. 주인공(톰 크루즈)은 신디케이트의 내부 정보를 탈취해 첩보기관 IMF의 해체를 막아야 한다. 하지만 정보는 모로코 발전소 내부망(외부 네트워크로부터 분리되어진 망)에 보관중이다. 내부망에 접속 가능한 PC는 모로코 발전소 안에 있다. 정보를 탈취하기 위해 주인공(톰 크루즈)은 물리적 해킹을 시도한다. 내부망 접속 PC에 접근하기 위해서 4가지(출입통제 시스템, 지문인식 시스템, 3중 잠금장치, 걸음걸이 인식 시스템) 물리적 보안을 통과해야만 비로소 내부망에 접속 가능한 PC에 접근이 가능하다.

영화 속에서 사용된 출입통제 시스템과 잠금장치는 과거부터 사용돼 왔다. 출입통제 시스템의 경우 현재 주변에서 회사 사원증과 같은 방식으로 많이 사용된다. 하지만 고유의 ID값(UID, CSN) 복사를 통해 취약점이 노출되기도 했다. 비밀번호 잠금장치의 경우 무작위 대입공격, 사전 공격 등을 통해 공격이 가능하다.

현재에 들어서는 바이오인증(지문, 홍채, 정맥 등 생체 정보를 통한 인증)을 많이 사용한다. 지문복사와 홍채 3D프린팅을 통하여 해킹에 성공한 사례들이 속속히 나오고 있다.

위와 같은 인증 시스템들은 현재 취약점을 보완하고 보안성을 높이기 위해 2-Factor(2단계 인증) 이상을 구현하여 통제한다. 현재 완벽한 물리적 보안은 아니다. 하지만 통제, 지연, 발견, 기록을 위한 시스템이라고 할 수 있다.

▲ 장형석 사이버개념연구회 2.0
국군사이버사령부

특히, 영화 속 걸음걸이 인식 시스템의 경우 미래지향적인 물리적 보안의 비전을 제시해 준다. 여러 가지 형태정보(걸음걸이, 얼굴인식, 살 떨림)를 가지고 다중 단계 인증을 사용하여 사용자를 구분하는 기술이다. 이미 2013년부터 영국 사우스햄튼 대학은 형태인식 인증 시스템을 연구 중이다. 미래에는 형태인증을 이용한 물리적 보안 시스템의 발전이 기대된다.

물리적 해킹이 이처럼 어려운 것만은 아니다. 뒤따라오는 사람을 위해 문 잡아주기와 같은 매너 행동이 물리적 침입의 원인이 될 수도 있다. 이와 같은 행동들은 일반적으로 흔하지만 물리적 보안 관점에서는 위험한 행동이다. 물리적 보안 시스템뿐만 아니라 물리적 보안의식도 중요하다.

물리적 침입의 취약점을 개선할 지속적인 사이버 보안 기술 발전이 필요하다
영화 ‘미션임파서블5’에서 알 수 있는 것은 물리적 보안의 허술함은 해킹으로 이어질 가능성이 높다는 것이다. 물리적 해킹에 대비하여 바이오인증 등 새로운 형태의 인증 시스템이 발전되고 있지만 지속적인 적용과 보완이 필요하다. 물리적 보안 관련 교육과 기술이 함께 발전한다면 좀더 완전한 사이버 보안을 구현할 수 있을 것이다.
[글_ 장형석, 사이버개념연구회2.0/국군사이버사령부]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



정부에서 가상화폐의 거래 투명성을 확보하기 위한 가상화폐 거래소 규제 방안을 마련했습니다. 정부의 가상화폐 정책에 있어 가장 중요한 원칙은 무엇이라고 보시나요?
모든 가상화폐는 시장 원리에 따라 정부의 개입이나 규제는 최소화되어야 함.
모든 가상화폐는 통화로 인정할 수 없다는 것을 전제로 보다 적극적인 규제에 나서야 함.
가상화폐 중 암호화폐의 경우 정식 통화로 인정하고 이에 따른 대안을 마련해야 함.
가상화폐중 비트코인 등의 암호화폐와 그 외의 가상화폐를 분리 대응해야 함.
기타(댓글로)