2014년 2월 14일 발렌타인 데이이자 불타는 금요일이었던 날

오후 4시경에 수많은 금융 정보보호 담당자들과 우리나라 정보보호 담당자들은 매우 황당한 소리를 들었다.


그리고 야근이 결정되었다.

당연히 화가 났다. 

그렇지만 일단 마음을 추스리고 진상 확인에 나섰다.


이유는 이렇다

http://dailysecu.com/news_view.php?article_id=6211

대한민국 주식거래 시스템 해킹시연


당연히 예상한 결과였지만, 시연을 마치고 내려온 나는 많은 기자분들이 하시는

"잠시만, 얘기좀" 을 들을 수 있었다.

일단은 모두 거절했다.

왜냐하면 이제 정부 관계자 분의 "잠시만, 애기좀"을 들어야 하기 때문이다.


이럴경우 내 경험상 정부 관계자 분은 항상 똑같은 특징이 있었다.

1. 반드시 사람을 시켜서 나를 부른다. 직접 찾아오는 경우를 못 봤다.

2. 일단 나를 눈으로 위, 아래를 쭉 훑는다.

3. 절대 명함은 주지 않는다.

이때 상황은 위의 기사를 쓰신 기자분이 정확히 기억하고 계신다.




당연히 많은 언론보도가 나갔다.

http://news.mk.co.kr/newsRead.php?sc=30000001&year=2014&no=242706&sID=

http://www.boannews.com/media/view.asp?idx=39810&kind=1

http://www.ajunews.com/view/20140214162506899

사실상 언론보도의 기사를 내가 써주지 않는한, 아니 내가 쓴다고 해도 정확하게 보도되는 경우는 없다.

반드시 잘못 전달되는 부분이 있다.


사실, 이 취약점을 알게된 계기는 내가 프리랜서를 하기전 업체에서 근무할 때 였다.

엄청 큰 취약점이 있길래 업무중 하나이기도 하고 말해줬다.

취약점이 없도록 해결해 달라길래 해결 방법을 이야기 해주었다.


그리고 몇년 뒤, 다시 확인해보니 그대로 였다.

다시 이야기를 해보니 내 이야기를 잘못 이해하고 전혀 상관없는 부분의 취약점이 제거되었다.

따라서, 다시 말해줬다. 이 때 나는 돈을 벌기 위해 아르바이트를 수도 없이 하고 있을 때다.

물론, 한푼도 받지 않았다. 한 증권사는 고맙다고 명절 선물세트를 주었다.


BoB 프로그램을 진행하면서 강의를 하던 도중 예전에 있었던 이 사건이 생각났다.

당연히 다시 조사해봤다. 여러부분이 막혀있었는데 그 중에 황당하게도 아직 해결 안된 부분이 있었다.

특이하게도 이 증권사는 프로그램이 두개 존재했는데, 그 중에 예전에 쓰던 프로그램을 좋아하는 고객을 위해

예전 버전의 프로그램을 다운로드해서 사용할 수 있게 해 주었다.


왠지 모르게 화가 났다.

그 때 우리 회사 사무실에는 2명의 다른 기관 사람들이 업무상 파견 나와 있을 때였다.

사정을 이야기 하고 하루 동안 14개 증권사의 프로그램을 받아서 기법이 통하는지 안통하면 어떻게 막았는지

가장 중요한 "올바른 인증"을 사용하고 있는지를 검사했다. 계좌도 없이 말이다.


예상했지만, 결과는 역시나 였다.

순간, 잘 알고있는 평소에 친하게 지내고 있는 우리나라 보안을 책임지고 있는 친구들의 얼굴이 

주마등 처럼 지나간다. 


죄없이 보고서 쓰고 있는 친구들.

한번의 실수로 가족들의 얼굴을 떠올리고 있을 보안 담당자들.

곧 결혼할 여자친구와 데이트를 즐길 계획이었던 책임자들.

언제 다시 올지 모르는 휴가를 즐기고 있었던 담당자.


그런데 이상하게 억울했다.

"나"는 없었다.


사실 나는 얼마전 결혼했다.

이제 "나"를 생각할 시점인 것 같았다.

미안하다. 친구들.


시연이 있고나서 나는

이제는 두번째이자 가장 어려운 난이도를 가지고 있는 파도를 기다리고 있다.

바로 진짜 전문가라 칭하는 사람들의 의견.

보통 이런 전문가 집단은 자신의 고집이 있다.

당연히 전문가는 자신의 고집이 있어야만 한다.


사실 이번 사태에서 가장 고생하는 사람들이다. 나는 별로 한게 없다.


이 친구는 엄청난 기간동안 "여자친구 없이" 대한민국 보안을 위해 한국인터넷진흥원에서 일했다.


휴가갔다가 불려나오신 연구원님


너무나 감사하게도 실제 금융권 담당자 분들의 매너있는 대응


실제로 시연에서 사용한 해당 증권사의 담당자 분의 전화를 받았다.

엄청 화가나고 당황스러우실텐데 매우 매너있게 대응해주셨다.

"어려우시더라도 재시연을 부탁드리고 정보를 부탁드립니다. 그에 상응하는 대가도 지불할 계획이 있습니다."

너무 목소리가 안좋으셔서, 그냥 말씀드렸다.


학계에서도 많이 응원해주셨다.


고려대학교 김휘강 교수님


성균관대 김형식 교수님


KAIST 김용대 교수님


시연이 끝나고 날아든 충남대 류재철 교수님으로부터 문자

"오늘 시연 굿!!"


물론 다른 반응도 많았다.


1. 대전제가 생략되어 있는 해킹이다 : 동영상을 자세히 보시길 바랍니다.

2. 그럴리가 없다. 사기다 : 동영상을 자세히 보시길 바랍니다.

3. 메모리 해킹으로 해킹 가능한 것은 이미 알고 있는 사실이다 : 동영상을 자세히 보시길 바랍니다.

4. 의견을 내세우려면 책임감이 있어야 한다. : 동영상을 자세히 보시길 바랍니다.

5. 왜 쓸데없이 위험을 내세워서 국민들의 불안심리를 조장하는가 ? : 동영상을 자세히 보시길 바랍니다.


나는 해커이다.

그것도 잔뼈가 굵은

취약점이 무엇인지 알고 있는 해커이다.

얼토당토하지도 않은 이야기를 하는 것이 아니다.

그래서 예전에 그런 이야기를 했다.



항상 그렇게 이야기를 한다.


그런데 정말 중요한 것은 100%의 보안은 없다는 것이다.

취약점은 반드시 존재한다. 다만 내가 모를 뿐이다.

시스템을 만든사람이 그 시스템의 취약점을 모두 안다면

해킹사고가 왜 발생하겠는가


취약점은 다른 사람이 더 잘 찾게된다.

자신이 묶어놓은 매듭을 다른 사람은 다른 방식으로 풀지도 모른다.


10번 취약점 점검을 위해 모의해킹을 하면

10번 모두다 다른 취약점이 나온다.

심지어 100번을 해도 그럴 가능성이 매우 높다.


그래도 아직 우리는 안일하다.

그래도 자리에 앉아 웃기는 소리 하지 말라고 하면서

대한민국 사이버 안보 불감증이 웃기는 소리라고 헛소리를 해댈텐가


사실 이 모든 것이 먹고 살기 위해 해킹으로 사기를 치며

영업을 해온 일부 몰지각한 보안회사들 탓이라고 해도

이제는 바꿔야겠다고 생각했다.

그야말로 해킹을 "시연"했을 뿐이니까 오히려 다행이라고 생각해주길 바랄 뿐이다.


정말 용기가 있었던 것은 무슨 일을 할지 뻔히 알고도

자신들의 계좌를 빌려준 정현일군과 박찬규군이다.

또, 이 행사를 준비하고 계획해준 강승현 과장님, 센터장님, 두 원장님들 

그리고  best of the best 센터 직원 분들과 학생들

시연을 같이 준비해준 성원이

모두 "나"를 위해 희생해 주었다.


나는 오늘도 취약점을 찾는다.

취약점을 찾는건 나에게 숨을 쉬는 것이랑 별반 다를것이 없다.

돈을 벌기위해, 재미를 위해, 시간이 남아서, 자기 만족 때문에 하는 것이 아니라

이제 그 이유도 불분명할 정도로 그냥 하고 있다.


이제 이 글을

해킹 시연시에는 아무도 신경쓰지 않았던

시연 발표자료의 처음 제목과 함께 끝내려고 한다.

더이상 이와 관련한 일은 말을 아끼도록 하겠다.


 " Beyond Security"

우리는 시큐리티를 넘어 다른 곳을 향하고 있다.















Posted by 알 수 없는 사용자
,