본문 바로가기

현장속으로/세미나

페이스북 보안담당자가 밝힌 회원 정보보호 정책

올해로 20회를 맞이한 VB(Virus Bulletin) 국제 컨퍼런스가 9월 29일부터 10월 1일까지 캐나다 벤쿠버에서 열렸다. VB 컨퍼런스는 전세계 보안 업체뿐 아니라 다양한 분야의 보안전문가들이 모여 기술적인 측면과 사회적인 측면의 논문들을 발표하고 토론을 하는 자리이다. 이번 컨퍼런스는 20주년을 맞이하여 행사 둘째 날 보안 분야에 공을 많이 세운 몇 사람에게 상을 주는 시상식도 열렸다. 특히 올해 컨퍼런스에서는 현재 사회적으로 큰 이슈인 스턱스넷(Stuxnet)의 분석 논문이 큰 화두가 되었다.

첫째 날 : 페이스북의 인상적인 보안 정책
이번 컨퍼런스의 첫 포문은 SNS(Social Network Service)의 선두주자인 페이스북(facebook)의 보안 담당자가 열었다. 그는 페이스북의 보안 기술과 정책을 이야기했다. 재미있었던 부분은 다른 사용자가 자신의 ID로 페이스북에서 활동하지 못하도록 친구 5명의 얼굴을 모두 맞춰야 인증을 통과하는 절차가 존재한다는 것이다. 또한 자신이 페이스북을 처음 등록한 나라와 접속하는 나라가 다를 시에는 똑같이 인증 절차를 통과해야 페이스북에서의 활동이 가능하다고 한다.


리셉션 시간은 국제 컨퍼런스에 처음 참석하는 나로서는 조금은 낯선 분위기였으나, 참석자 간 인적 네트워킹이 참 중요하다는 것을 깨달았다. 그냥 혼자서 돌아다니거나 단순히 같은 나라 사람들과 어울리는 사람은 별로 없었다. 오히려 여기저기 사람들과 어울려 돌아다니면서 인사도 하고 간단한 질문들을 하면서 나중에는 서로 친해져 다양한 정보를 얻었다. 국제 컨퍼런스가 단순히 발표의 목적이 아닌 인적 인프라를 늘릴 수 있는 좋은 계기가 된다는 것을 실감했다.
 
둘째 날 : 스턱스넷에 열광하다

둘째 날 셋째 세션은 금년 보안 분야 우수 교육자상을 받은 에프시큐어(F-Secure)의 Mikko Hyppönen이 발표를 했다. Mikko는 스마트폰에 어떻게 악성코드를 삽입하여 사용자가 모르게 가상 전화번호로 전화를 걸어 돈을 가로채는지를 설명했다.

이날의 최고 하이라이트는 단연 스턱스넷이었다. 시만텍, 카스퍼스키, 그리고 마이크로소프트가 합작으로 분석한 악성코드를 실제 재현했다. 스턱스넷은 현재 널리 쓰이는 산업 장비(Programmable logic controller)를 공격하는 악성코드이다. 특히 전세계적으로 많이 사용되는 독일의 지멘스 장비를 공격한다. 물론 해당 공격이 가능하려면 굉장히 많은 조건이 충족되어야 하지만 현재까지 나온 악성코드 중에서 산업 장비를 공격하는 악성코드는 이번이 처음이었기에 컨퍼런스 참가자의 관심이 정말 대단했다.

시만텍의 Liam O'Murchu는 Stuxnet에 감염된 PC를 통해 PLC 장비가 어떻게 공격되는지를 시뮬레이션하였다. 해당 장비는 하나의 풍선에 딱 3초만 바람을 넣는 것이었는데 스턱스넷이 사용하는 기법으로 해당 장비에 바람을 10초 간 불어넣었더니 풍선이 터져버렸다. 그는 이게 만약 원자력 발전소에서 사용되는 장비에 감염되었다면 상상할 수 없는 재앙이 발생하였을 것이라고 설명했다.
 

Liam의 발표가 끝나고 카스퍼스키의 Alexander Gostev와 마이크로소프트의 Peter Ferrie가 각각 스턱스넷을 분석한 결과를 공유했다. 세 사람의 발표를 연속으로 한 이후 컨퍼런스 참가자의 질문이 쇄도했다. 이렇게 발표가 끝나고 여러 가지 질문이 나오면서 발표자가 아닌 컨퍼런스 참가자들과 패널 토의를 한 것은 이례적인 일이라고 한다. 나도 발표를 들으면서 영화 '다이하드4'가 생각났다. 현재 저런 악성코드가 나올 정도라면 파이어 세일도 불가능은 아니겠구나 하는 생각에 소름이 돋았다. 이런 발표들이 VB 컨퍼런스를 더욱 값어치 있게 만들고 설레게 만드는 요소가 아닌가 생각했다.

마지막 날 : 우리가 하는 일의 의미를 되새기다

마지막 날은 둘째 세션이 인상적이었다. 한 대학 교수가 현재 거의 모든 안티바이러스 업체가 사용하는 시그니처 기법을 조금 더 스마트하게 개선하고 적은 수의 시그니처로 더욱 많은 악성코드를 진단할 수 있는 모델을 선보였다. 이른바 “스마트 시그니처”였다. 발표가 끝나고 참가자 중 한 사람이 발표자에게 “혹시 예전에 Peter Szor가 발표한 다형성의 시그니처 패턴을 아느냐?”고 질문을 던졌다. 발표자가 듣지 못했다고 하니, 조심하라는 말을 남겼다. "보안 업계에 종사하는 사람이 아니면 우리를 스마트하지 못하다고 생각할지도 모른다. 그러나 우리도 그것을 생각 안 해본 것이 아니다.'라는 메시지였다. 

Peter Ferrie가 스턱스넷에 대한 자신의 발표가 끝나고 질문자에게 대답했던 말을 되새겨본다.
“아직까지 누가 어떤 목적으로 이것을 만들었는지는 모른다. 그러나 이런 악성코드를 막기 위해서 우리 안티바이러스 업계는 더 많은 정보를 서로 공유하고, 피해를 최소화하는 것이 우리가 할 일이라고 생각한다.”
악성코드에 맞서 고객의 피해를 최소화하는 것, 그것이 우리가 현재 하고 있는 일이고 앞으로도 계속 해야 하는 일이다. 우리가 이 일을 조금 더 잘하기 위해 보안 업계에서 인맥을 넓혀 더 많은 정보를 빠르게 수집하는 일이 얼마나 중요한가를 이번 컨퍼런스에서 깨닫게 되었다. Ahn

정택준 / 안철수연구소 ASEC 연구원