세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[추석특집] 왜 보안은 계속해서 당하기만 하는 걸까?
  |  입력 : 2017-10-04 13:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안의 관점에서 대략적으로 훑어보는 컴퓨터의 역사
처음부터 보안의 개념 들어있지 않아... 보안에 있어서는 기울어진 운동장


[이미지 = iclickart]

[보안뉴스 문가용 기자] 서당 개도 3년이면 풍월을 읊는다고 한다. 귀동냥도 오래하면 그럴듯하게 전문가를 흉내 낼 수 있다는 건데, 이건 함정이다. 흉내 좀 낸다고 개가 벼슬길에 오를 지식이나 덕을 갖출 수 있는 것도 아니고, 훈장이 될 만한 그릇이 될 것도 아니기 때문이다. 변화, 발전의 속도가 귓속에서 바람 이는 소리를 살벌하게 풍기는 IT 분야에 있다 보면 이 함정에 빠지기 쉽다. 특히 현장에 발만 살짝 거치고 있는 이 분야 기자들은 자신들이 읊은 풍월에 스스로 도취되어 이제 좀 안다고 착각하기 쉬운데, 요즘 SNS에서 가장 많이 달리는 기자 관련 댓글은 “기자가 공부를 하지 않아요”다. 이게 현실이다.

반성하는 의미에서, 연휴도 마침 길겠다, 지난 몇 년 어깨너머로 전해 듣기만 해 파편처럼 흩어진 보안 관련 지식들을 정리해보는 시간을 가져보기로 했다. 오늘부터 추석 기간 동안 보안의 기초 개념부터 시작해서 요즘 한창 유행하는 파일레스(fileless) 공격의 통로가 되어주는 파워쉘, 온라인 공간에서 스스로의 자취 감추는 방법, 가장 ‘핫’한 분야인 데이터 과학의 기초까지 짚어볼 예정이다. 순서와 주제(제목 아님)는 다음과 같다.

1. 공격과 네트워크와 관련된 조각난 기본지식들 모아보기(화)
2. 왜 보안은 그다지도 약한 것인가?(오늘)
3. 해커란 누구인가?(목)
4. 사이버 범죄 일상화의 시대에서 개인의 보안 지키기(금)
5. 온라인에서 존재를 완전히 감추는 방법(토)
6. 윈도우 파워셸에 관해 알아보자(일)
7. 요즘 각광 받는 데이터 과학의 기본기(월)

보안, 순수의 몰락
지난 80년 동안 진행된 컴퓨터의 역사를 한 마디로 표현하면 “순수의 몰락”이라고 할 수 있다. 컴퓨터의 탄생은 에덴동산처럼 사이버 범죄라는 것이 하나도 없는 환경 속에서 이뤄졌지만, 컴퓨터의 가능성에 대해 파고들면 들수록 깨끗하지만은 않은 생각들이 하나 둘 생겨났다. 그러면서 순수와는 거리가 먼 사람들이 모습을 드러내기 시작했고, 이들을 맞을 준비가 되지 않았던 컴퓨터 관련 공동체는 혼란에 빠지게 되었다. 컴퓨터 보안은 왜 그토록 약해서 당하기만 하는가? 우린 아직도 이 혼란에서 벗어나지 못하고 있기 때문이다. 혼돈으로 가는 그 과정을 짚어 보았다.

찰스 배비지와 에이다 러브레이스
프로그래밍이 가능한 기계의 창시자로는 찰스 배비지(Charles Babbage)가 꼽힌다. 에이다 러브레이스(Ada Lovelace)는 최초의 컴퓨터 프로그래머로 알려져 있다. 놀랍게도 19세기 사람들이다. 즉 프로그램 창시자이자 프로그래머였던 이들의 실제 영향력은 미미하다. 다만 컴퓨터의 발명에 있어 가장 최초의 의미 있는 업적을 이룬 인물들이라는 것은 분명하다.

배비지는 1822년 차분기관 혹은 미분기라고 해석되는 Difference Engine을 만들었다. 빅토리아 시대의 기술을 계승하면서도 혁신적으로 발전시킨 이 기계는 대수 및 삼각법 계산을 처리하는 새로운 계산기였다. 대수와 삼각법은 당시 탐험이 한창 진행되던 때라 중요한 학문이었다. 그러나 아직 프로그래밍이 가능한 것은 아니었다. 10년 후인 1832년 배비지는 해석기관(Analytic Engine)이란 걸 만들었는데, 프로그래밍 가능 개념은 여기서부터 시작됐다. 이 해석기관을 위한 프로그램을 처음 짠 것이 바로 에이다 러브레이스다.

물론 해석기관이 가졌던 ‘프로그래밍’ 기능은 오늘날의 디지털 컴퓨터의 그것과 많이 다르다. 해석기관의 ‘프로그래밍 가능성’이란, 한 문제가 아니라 다양한 수학적 문제를 풀 수 있다는 뜻이었다. 오늘날 과학자들이 이 해석기관을 새롭게 구축했는데, 현대의 디지털 컴퓨터가 풀 수 있는 모든 문제를 해석기관도 해결할 수 있다는 걸 증명하는 데 성공했다. 물론 너무나 느려서 사실상 사용이 불가능하다는 결론도 같이 내렸지만 말이다.

이 ‘프로그램 가능함’ 혹은 programmability라는 개념을 실제 구현해냈다는 것에서 배비지는 컴퓨터 개념의 중요한 개척자 중 한 사람이 되었다. 해석기관을 위한 프로그램을 만들던 에이다는 숫자로 만들어진 코드로 특정 글자들을 나타낼 수 있다는 개념을 발견했다. 이는 현대 코딩의 근간이 되는 것으로, 이 발견 덕분에 에이다 역시 매우 중요한 인물이 됐다. 하지만 당시 이 기계를 공격할 이유가 없었기에 ‘보호’ 혹은 ‘보안’이라는 건 아예 생각나지도 않았다. 당시 ‘보안의 아버지’가 같이 있었다면 지금 컴퓨터 환경은 어땠을까.

제2차 세계 대전
현대의 컴퓨터와 비슷한 기계가 등장한 건 세계적인 비극이 인류의 손에 자행되고 있던 때였다. 배비지의 기계가 탐사를 목적으로 만들어졌다면 전쟁 한복판에서 태어난 기계들은 군사적 목적을 가지고 출현했다. 좀 더 구체적으로 말하자면 1) 거대한 대포의 타격 위치를 정밀하게 계산하기 위해서와 2) 적군의 암호를 해독하기 위해서였다. 숫자 계산에 많은 사람들의 목숨이 달려있던 때였다.

컴퓨터가 등장하기 전 이런 정밀 계산과 암호 해독은 당시의 계산기를 다룰 줄 알던 행정요원들이 맡았다. 그러나 컴퓨터의 조상이 등장했다고 해서 갑자기 포격이 정확해진 건 아니었다. 계산은 느렸고 오류는 빈번했다. 그 결과 우리 편 배가 가라앉고, 우리 편 영토가 움푹 파이고, 우리 편 건물이 무너져 내려다. 그래서 행정요원들이 컴퓨터의 계산 결과를 검산해야 했다. 잠재력이 워낙에 거대했기에 활용을 멈추지 않았다.

그래서인지 40년대에는 컴퓨터들이 아날로그로부터 완전히 벗어나기 시작했다. 에드박(EDVAC : Electronic Discrete Variable Automatic Computer)이라는 컴퓨터가 존 폰 노이만(John von Neumann)에 의해 만들어졌는데, 이 때문에 노이만은 ‘프로그램을 데이터로 저장하는 최초의 아키텍처’를 만든 발명자로 기록됐다. 배비지와 러브레이스의 상상 속에 존재하던 기계가 드디어 구현된 것이다.

배비지가 ‘프로그램 가능성(programmability)’의 아버지라면 폰 노이만은 가변성(malleability)의 아버지다. 저장 공간과 메모리라는 한계성이 컴퓨터라는 아키텍처에 존재하지만, 기계 한 대로 여러 다른 목표를 세워두고 다양한 알고리즘을 실행할 수 있다는 뜻이다. 컴퓨터의 무궁무진한 가능성에 대해 사람들이 여기서부터 희미하게 눈을 뜨기 시작했다. 이 가변성 개념이 없었다면 오늘날의 컴퓨터는 지금과 상당히 달랐을 것이다.

그런데 이 가변성 때문에 드디어 컴퓨터에 대한 ‘위협’들이 이론적으로 생겨났다. 미사일을 발사하기 위한 계산 프로그램을 누군가 몰래 바꾼다면 어떻게 될까, 하는 우려가 군 작전 회의 중에 나오기 시작했다. 그렇지만 높은 가능성을 두고 거론된 것은 아니었다. EDVAC을 다룰 줄 아는 사람이 사실상 존재하지 않았고 군 시설 내에 들어올 수 있는 외부인도 희박했기 때문이다. 그래서 경계 근무자를 따로 배치하는 것으로도 충분한 ‘보안’이 되었다. 내부자의 위협에 대비한 철저한 감시도 병행됐다.

메인프레임
도표 작성 기기와 시계 등 사업적인 장치를 만들어 제공하던 IBM은 2차 대전 전까지 회계 작업을 원활하게 만들기 위해 도표 장치와 계산기를 제작해왔다. 전쟁이 터지기 직전에는 프로그래밍 기능을 갖추지 못한 전자 컴퓨터를 만들기까지 했는데, 전쟁 발발 이후에는 국방 산업에 투입됐다. 그러는 와중에도 컴퓨터 개발에 대한 노력을 멈추지 않았다. 그리고 홀러리스 펀치 카드의 특허권을 취득했다. 홀러리스 펀치 카드는 메인프레임 컴퓨터를 위한 입력 및 출력 방식이었다. 메인프레임 시스템에서는 키보드와 비슷한 역할을 했다고 볼 수 있다. 메인프레임 컴퓨터란 하드웨어 크기가 엄청나게 큰 대형 컴퓨터를 말한다.

컴퓨터 활용이 늘어나면서 시장의 요구에 의해 크기가 작아지기 시작했다. 값도 내려갔다. 컴퓨터 스태프 규모도 점점 줄어들었다. 메인프레임에 대치되는 ‘미니컴퓨터’라는 용어가 등장했다. 작아졌다고 하지만 아직 데스크톱 수준은 아니었다. 이 미니컴퓨터들은 보통 다중 사용자 체계로 설정됐다. 컴퓨터 처리 시간을 다자간에 분포시켜 여러 사람이 ‘마치 자기의 것인 것처럼’ 컴퓨터를 사용할 수 있도록 해놓은 것이다. 그런데 이렇게 여러 사람이 사용하도록 하니까 보안 문제가 생기기 시작했다. 각 사용자가 저장하거나 사용한 데이터를 잘 관리해야 할 뿐만 아니라 일부 데이터의 경우는 다른 사람의 접근을 막아야 했던 것이다.

이 문제는 당시 AT&T에서 개발한 유닉스(UNIX)라는 운영 체제가 등장하면서 해결됐다. AT&T는 유닉스의 소스 코드를 교육 기관에 배포하기도 했다. 그러자 유닉스의 혁신이 진행되기 시작했고, 이는 오늘날의 리눅스로까지 이어졌다. 현대 운영 체제의 시초인 유닉스에는 보안 개념이 어느 정도 뒷받침 됐다는 것이다.

개인용 컴퓨터
개인 컴퓨터를 최초로 만든 것이 IBM은 아니지만, 여러 작업 공간에서 업무를 위한 도구로서 도입된 것은 IBM의 개인용 컴퓨터였다. 1981년 8월의 일이었는데 당시에는 일반적인 가전 기기 이상도 이하도 아니었다. 특히 타이핑 기계의 놀라운 발전이라고 보는 시각이 만연했다. 오타가 나도 종이를 새로 끼고 처음부터 타이핑을 시작해야 할 필요가 없는 편리한 기계였다. 또한 자동으로 스프레드시트를 만들어주고, 기록들을 도표로 만들어주기까지 하니 가히 혁신적인 제품이었다.

당시는 부팅이나 중요한 정보 저장을 위해 플로피 디스크가 활용됐다. 하드드라이브가 등장한 것은 IBM이 2세대 PC를 개발하면서부터였다. 그 전에는 플로피 디스크를 지키는 것이 곧 보안이었다. 이 당시 컴퓨터를 접해본 사람들은 기억하겠지만 플로피 디스크의 머리 부분에 있던 노출 부위에 지문 자국이 나면 디스크가 망가진다고 해서 종이 봉투에 디스크를 한 장 한 장 보관했었다. 덮어쓰기를 막기 위해 테이프를 붙이기도 했다. 이 보관용 종이 케이스와 테이프가 디지털 컴퓨터 환경 내의 데이터 보안의 시초라고 볼 수 있다.

하지만 네트워크의 개념은 없었다. 즉 PC와 PC끼리 연결시키는 것은 흔치 않은 개념이었던 것이다. 다만 메인프레임 컴퓨터에 개인용 컴퓨터를 연결시키는 경우는 왕왕 있었다. 그나마도 대부분 컴퓨터 관련 연구실 내에서나 있는 일이었다. 중요한 플로피 디스크들은 컴퓨터 주인의 책상 서랍 속에 ‘오프라인 상태로’ 보관됐다. 데이터에 접근하기 위해서는 사용자의 책상에 물리적으로 접근해 책상을 열어야만 했다. 그러니 이 단계에서도 보안은 진지하게 고려되지 않았다.

근거리 통신망(LAN)과 광역망(WAN)
개별 PC의 때까지만 해도 ‘순수의 시대’가 유지됐다. 그런데 그런 PC들을 연결시켜 네트워킹을 하면서부터 ‘순수의 몰락’이 빠르게 진행되기 시작했다. 처음 근거리 통신망은 개인 PC의 기능을 조금 더 향상시킨 것에 불과했다. 경제적으로 자연스러운 흐름이었다. 왜냐하면 하드디스크 등 컴퓨터의 자원을 공유할 수 있어 비용을 아낄 수 있다는 개념에서 출발한 것이기 때문이다. 즉, 경제적 향상을 위한 시장의 요구를 반영해서 나온 게 LAN이기 때문에 ‘순수의 몰락’이 아무도 모르게 싹을 틔우고 있음에도 보안은 여전히 진지하게 생각되지 않았다.

아직 인터넷이 없었던 시대였기 때문에 WAN이라는 것도 등장했다. LAN과 LAN이 연결되어 더 복잡한 망이 만들어졌던 것이다. 그러나 대부분 대기업들만이 사용할 수 있던 것으로 일반 가정집이나 소규모 사업장에서는 상상할 수도, 필요하지도 않은 기능이었다. 한 컴퓨터에서 만들어진 문서가 기업 내 다른 부서로 빠르게 전송되는 개념은 획기적이었다. 그래서 발전에 가속이 붙었다.

그러나 위에 언급했다시피 보안이 ‘심각한 문제’로 대두된 건 아니지만 보안에 대한 새로운 개념이 등장한 것도 이 때다. LAN과 WAN이 나오기 전까지는 컴퓨터 보안이라고 해봐야 물리 보안과 그리 다르지 않았다. 문을 잠그고 철조망을 치고 사람이 24시간 지키는 게 곧 컴퓨터 보안이었다. 하지만 이 컴퓨터 저 컴퓨터로 문건들이 빠르게 전달되다보니 ‘물리적’이 아니라 ‘논리적’으로 데이터와 자산을 보호해야 했다.

그래서 등장한 것이 이더넷(Ethernet)이라는 프로토콜이다. 전선 내에서 비트와 바이트가 어떤 식으로 전달되고 파악되고 받아들여지는지 지정됐다. 이러한 규약의 개념 자체는 70년대 중반에 제록스(Xeorx) 실험실에서 탄생했으나 정식으로 공표된 건 1983년, IEEE에 의해서였다. 이로써 논리적인 보안의 개념이 도입된 것이다.

이 이더넷 개념은 ‘경계선 보안(perimeter security)’이라는 형태의 보안에 잘 들어맞았다. 이때까지만 해도 컴퓨터 네트워크가 ‘회사’라는 물리적 공간과 맞아떨어졌기 때문에 결국 누군가 회사에 몰래 들어와 네트워크에 접속하는 것만 막으면 됐다. 즉 이더넷이란 것이 도입될 정도로 논리적인 보안의 개념이 일부 연구자들에 의해 언급되긴 했지만 큰 틀에서 보면 여전히 컴퓨터 보안은 물리 보안의 영역에 속한 것이었다는 뜻이다.

그러나 WAN은 대기업에게만 대부분 허락된 기술이었다는 걸 기억해보자. 대기업들은 이미 세계 이곳 저곳에 사무실을 차리고 있었다. 즉, 물리 보안 체계를 구축한다는 게 말처럼 쉽게 이행되지 않았다. 게다가 WAN의 편리성을 극대화시키기 위해 보안보다는 연결성에 기업들이 모든 자원을 투자했다. 당시 LAN과 WAN을 연구하던 개발자들은 공격 방법과 취약점들을 알고 있었다. 그러나 보안으로 연구의 방향을 틀기에는 부족했다. 내부자들만 잘 관리한다면 물리적으로 방어가 가능한 것이 대부분이었기 때문이다. 그러다가 인터넷이 등장하고 클라우드가 나타나면서 보안은 큰 문제가 되기에 이르렀다. 동시에 LAN의 시대까지 유효했던 ‘경계선 보안’의 개념도 낡은 것이 됐다.

다시 처음 질문을 돌아가, ‘보안은 왜 그렇게 약한 것일까?’ 컴퓨터와 그 환경이라는 것이 처음부터 편리와 속도를 위해 개발돼왔기 때문이다. 처음부터 보안 전문가들의 입장에선 ‘기울어진 운동장’이라는 것이다. 그 근간부터 보안이라는 개념이 존재했다면 지금 우리는 조금 다른 세상을 살고 있었을 수도 있다. 내일은 자꾸만 이기고 있기 때문에 상대적으로 우세해 보이는 해커들에 대해 좀 더 알아보도록 하겠다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#추석   #기울어진   #컴퓨터   #역사   #간략   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)