[박상현의 디지털 읽기] 해커도 바이러스도 '가장 약한 고리'를 뚫고 들어온다

컴퓨터 네트워크에 침입해서 정보를 빼내는 해킹의 역사는 기발한 아이디어들의 전시장이다. 해커들이 아무리 훌륭한 바이러스를 만들어내도 몇 줄의 코드로 이루어진 이 바이러스를 상대방 네트워크에 심기 위해서는 어떻게든 그 네트워크에 접속해야 한다. 그런데 과거에는 보안은 전문가에게 맡기면 끝이라는 생각이 일반적이었고, 침투를 위해 ‘가장 약한 고리(weakest link)’를 찾는 해커들은 여기에서 기회를 찾았다.

그렇게 사용되던 방법 중 하나가 USB 드라이브였다. 가령 침투의 타깃이 되는 은행의 지점 근처에서 USB를 몇 개 놔두고 기다리면 별 의심 없이 자신의 컴퓨터에 USB를 꽂아 바이러스를 감염시키는 은행 직원이 있다는 거다. 소설처럼 들리는 이야기지만 실제로 2008년 미 국방부 네트워크를 상대로 일어난 사상 최대의 사이버 공격도 그렇게 국방부의 주차장에서 누군가 주운 USB 드라이브에서 시작되었다.

인터넷을 통해 네트워크에 들어가는 것은 점점 더 어려워지고 있다. 중요한 정보를 다루는 조직들은 뛰어난 전문가를 고용해 네트워크를 보호하고 있기 때문이다. 하지만 쇠사슬은 항상 가장 약한 고리 때문에 끊어진다. 위의 경우 약한 고리는 호기심 많은, 혹은 공짜를 좋아하는 한 명의 직원이었고, 이런 일이 빈번하게 발생하자 주요 조직들은 직원들을 상대로 정보 보안 교육을 철저하게 수행하고 있다. 그러나 정보 보안에 완벽한 방패는 없고, 약한 고리는 반드시 존재한다. 그걸 잘 보여주는 일이 지난 12월 중순에 미국에서 일어난 주요 정부 기관과 기업 해킹 사건이다.

사건의 개요는 이렇다. 전 세계적으로 유명한 보안 업체인 파이어아이(FireEye)의 한 직원이 “다른 컴퓨터로 당신의 계정에 로그인이 되었다”는 자동 알림 이메일을 받았다. 하지만 그 직원은 다른 컴퓨터로 로그인한 적이 없었고, 이를 수상하게 생각한 그 직원이 회사에 보고했고, 파이어아이는 원인을 찾아 샅샅이 뒤진 끝에 바이러스 코드를 발견했다. 문제는 이 바이러스가 어떻게 다른 회사도 아닌 보안 업체의 네트워크에 들어왔느냐였다. 그 답은 그 회사가 구매해서 사용하는 소프트웨어에 있었다.

문제의 소프트웨어는 솔라윈즈(SolarWinds)라는 기업이 만들었다. 네트워크의 상태를 한눈에 모니터링하게 해주는 ‘오리온’이라는 설루션은 이 기업의 인기 상품으로 많은 정부 기관과 기업들이 사용하고 있다. 해커들은 이 설루션에 업데이트를 통해 침투 가능한 ‘백도어(backdoor)’를 설치했다. 러시아 해커로 알려진 범인은 미국 정부 기관과 대기업에 직접 침투하는 것보다 그 기관들이 구매하는 소프트웨어를 만드는 기업에 침투하는 것이 상대적으로 쉽다고 판단한 것이다. 직원이 3000명이 넘는 솔라윈즈는 소규모 기업은 아니지만, 최고의 보안 수준을 갖춘 조직이 아니었기 때문이다. 즉, 솔라윈즈가 그들이 찾던 약한 고리였던 것이다.

해킹 피해의 규모는 아직 정확하게 파악이 힘들 정도로 막대하다. 미국의 국무부, 국토안보부, 국립보건원 등의 정부 기관과 마이크로소프트, 파이어아이 같은 테크 기업들이 포함되어 있는데, 이 바이러스가 처음 침투한 것으로 알려진 지난해 3월 이전부터 어떤 정보가 얼마나 빠져나갔는지 아직 확인이 되지 않은 것으로 알려졌다.

더 심각한 것은 이번에 해킹 피해를 당한 곳의 44%가 IT 기업들이라는 사실이다. 솔라윈즈의 소프트웨어를 사용하지 않아도 이들이 피해 기업에 판매하는 소프트웨어, 서비스를 통해 바이러스에 감염된 기업과 기관들이 있을 수 있다는 뜻. 그렇게 되면 피해 규모는 상상을 초월하게 된다. 미국 정보 기관들에 따르면 1월에 들어와서도 이번 해킹으로 인한 피해는 계속 진행 중이다.

전문가들은 이를 ‘공급망 공격(supply-chain attack)’이라고 부른다. 소프트웨어가 만들어지는 과정에 바이러스 코드가 삽입되는 바람에 이를 받는 기관에서는 아무런 의심 없이 설치한다. 처음 계약을 맺을 때 안전한 공급 업체로 인증이 된 후에는 특별히 신경을 쓰지 않고 신뢰하는 관례에서 해커들이 틈을 발견한 것이다. 하지만 이런 형태의 공격은 이번이 첫 사례도 아니고, 러시아 해커들만 사용하는 것도 아니다. 미국 정부도 사용한 역사가 있다. 2010년 이란의 우라늄 농축 시설이 원인을 알 수 없는 사고로 심각한 피해를 입고 작동을 멈췄는데 이 사고를 추적한 전문가들은 미국 정부와 이스라엘이 합작으로 만든 스턱스넷(Stuxnet)이라는 웜 바이러스가 원인이라는 결론을 내렸다.

핵 시설과 같은 민감한 곳은 인터넷과 연결되지 않는데 미국은 어떻게 침투할 수 있었을까? 비결은 역시 USB 드라이브였다. 이란 핵 시설의 연구원들도 집에서는 인터넷에 연결된 컴퓨터를 사용할 것이고, 그들의 컴퓨터에 침투해서 바이러스를 심어놓으면 그들 중 누군가 집에서 사용하는 USB 드라이브를 일하는 곳에서 사용하는 컴퓨터에 꽂는 것은 시간문제라는 거다. 긴 시간이 걸리는 작업이지만 치명적인 피해를 입힐 수 있는 무서운 무기가 된다.

컴퓨터 바이러스의 확산을 막는 방법은 궁극적으로 코로나 바이러스 확산을 막는 방법과 다르지 않다. 모든 사람이 잠재적 감염자라고 가정하고 마스크를 쓰는 것처럼, 모든 컴퓨터는 잠재적으로 바이러스에 감염되어 있다고 가정하고 조작해야 하고, 정기적인 검사는 필수다. 하지만 이 단순한 룰을 지키지 않는 사람은 꼭 나온다. 바이러스는 그런 약한 고리를 숙주로 살아남는다.