-
오픈넷이 발표한 RCS 탐지 툴인 '오픈 백신'을 보면서.. 국내의 특수한 환경이 만들어낸 말도 안되는 쇼를 보는 느낌?Security 2015. 8. 13. 08:24반응형
최근 오픈넷과 P2P재단코리아준비위원회이 한달 가까이 국민 백신 프로젝트를 진행하면서 그 결과로 내놓은 안드로이드용 '오픈 백신'이 말이 많다. 오픈 백신은 국정원이 이번에 탈탈 털린(?) 해킹팀이 만든 감시툴인 RCS의 감염 여부를 확인해주는 모바일 앱이다. 해킹팀의 RCS는 주로 안드로이드 단말기를 대상으로 하고 있기 때문에(그런데 해킹팀에서 유출된 자료에 보면 iOS용 RCS도 있다고 한다) 감염 대상 역시 안드로이드 스마트폰, 태블릿PC가 된다. 문제는 국내의 경우 스마트폰의 90% 가까이가 안드로이드 스마트폰이고 해킹팀 RCS를 구입해서 사용한 것이 다름아닌 국정원이라는 것이 문제가 되었다. 가뜩이나 감청에 대한 이슈들이 많아서 말이 많은 국정원인데 이제는 정말로 감청을 하고 있었다는 증거가 나왔으니 더 문제가 되는 듯 싶다.
보안을 하는 입장에서 보면(물론 지금 있는 직장에서 하는 보안 범위는 여기서 얘기하는 RCS, 안티 바이러스, 악성코드 등과는 좀 거리가 있는 네트워크 인프라 보안이지만 -.-) 국정원의 저런 말도 안되는 행동도 어이없지만 오픈 백신이라고 해서 만들어서 내놓은 오픈넷의 행보도 어이가 없는 것이 사실이다. 뭐 국정원의 저런 행보는 이미 여러번 문제가 되었기 때문에 이 포스팅에서 따로 언급을 하지는 않을 생각이다. 국가의 안위를 위해서는 개인의 자유와 권리는 무시되도 좋다는 정부와 정보기관의 저 오만한 행보는 국민이 국가를 상대로 더 이상 신뢰를 할 수 없는 존재라는 것을 다시 한번 깨닫게 만드니까 말이다. 게다가 저번 정부부터 과연 국가의 안위가 정말 국가의 안위인지 아니면 몇몇 특정인과 기업만의 안위인지 무척이나 궁금하고 말이지.
어떤 것이 사실인지는 모르지만 여러 언론을 통해서 나타난 오픈넷의 오픈 백신은 일반적으로 안랩의 V3나 하우리에서 만든 바이로봇, 이스트소프트의 알약, 시만텍의 노턴 바이러스, 카스퍼스키, AVG 등과 같은 안티 바이러스(Anti-virus) 앱은 아니다. 안티 바이러스는 바이러스나 악성코드를 찾고 파일을 제거하던지, 대피소로 옮기던지 하는 역할까지 한다. 즉, 치료의 목적이 있는데 언론을 통해 확인(?)된 오픈 백신의 경우에는 말 그대로 RCS에 감염된 파일을 찾는 역할만 하고 있다. 즉, 안티 바이러스가 아닌 디텍터(Detector) 역할만 한다는 얘기다. 과거 PC용 바이러스 감염 여부를 찾는 어플리케이션 중 Scan이라는 어플리케이션이 있었다. DOS 시절 때의 이야기다(아마 안철수 의원이 V2라는 백신을 만들었을 때의 이야기인 듯 싶다. 20여년 전인듯 싶은데 -.-). 이 앱의 특징은 말 그대로 찾아낸다. 악성코드나 바이러스는 나름대로의 패턴이 존재하기 때문에 그 패턴을 시그니처로 등록해서 DB화 시키고 그것을 기반으로 파일들을 빨리 검색해서 패턴이 맞으면 찾아내는 방식이다. 오픈넷의 오픈 백신은 그런 방식의 RCS 감염 패턴을 시그니처화 해서 DB화 한 후 모바일에 설치된 앱들의 파일을 검색해서 찾는 앱인 것이다.
그런데 문제는 찾기만 하고 그 이후의 조치는 취하지 않는다는 점이다. 하기사 Scan이라는 어플도 찾기만 했고 감염된 파일의 치료는 다른 어플리케이션을 통해서 진행했던 기억이 있다(그 당시에는 컴퓨터 바이러스마다 백신을 따로 만들어서 배포하는 경우도 있었다). DB화 된 시그니처도 4개 정도라고 하며 비교 방식이 SHA1 해시 알고리즘을 통한 비교방식으로 RCS 변종 패턴이 등장하는 경우에는 찾지 못한다는 단점이 있다. 그리고 탐색 대상이 안드로이드 OS의 /system 폴더 안에 있는 파일들이라는 것인데 /system 폴더 안에는 기본적으로 스마트폰 출고 시 기본으로 설치된 내장 앱들이 설치되어있는 폴더라서 구글 플레이나 기타 안드로이드 마켓에서 사용자가 설치한 앱들에 대해서는 감시 대상에서 벗어나기 때문에 제대로 찾을지에 대한 부분도 우려로 남는 것이 사실이다.
오픈백신이 탐지하는 시그니처 해시값(출처 : 엠시큐어)
사실 오픈넷은 다 그런 것은 아니겠지만 보안을 하는 사람들 입장에서 보면 참 어이없는 얘기만 하는 시민단체라는 인식이 강하다. 공인인증서에 대한 이슈를 제기할 때도 그랬고 이번의 오픈 백신을 만들게 된 배경도 들어보면 어이가 없다. 기본적으로 오픈넷은 국내 보안업체들을 신뢰하지 않는다고 본다. 공인인증서 이슈때에는 인증 기관 및 관련 앱이나 모듈을 만드는 기업들이 국가에 로비해서 지금의 시스템을 바꾸지 못하도록 했다고 우기질 않나, 오픈 백신의 경우에도 국내 보안 기업들이 국가의 눈치를 보기 때문에 제대로 된 안티 바이러스 앱을 만들지 않는다고 우기거나(그래서 오픈 백신을 만들고 그것을 오픈소스화 해서 누구든지 참여할 수 있는 국민 백신으로 만들겠다고 하는거 같다), 보안인 입장에서 볼 때에는 어이없는 주장만 하는 경우가 많다.
또 그 외의 이슈들에 대해서도 사용자 편의주의를 우선적으로 얘기하는데 그 기준을 보면 해외, 특히 미국 중심의 사고방식을 많이 강조하는 것을 보게 된다. 물론 사용자 입장에서는 서비스를 사용하는데 있어서 편한 것이 좋지만 그 서비스를 제공하는 기업의 입장은 전혀 고려하지 않는 주장을 한다. 그리고 국산 소프트웨어는 잘 믿을 수 없으니 해외 소프트웨어를 사용하라는 주장도 가끔은 하곤 한다. 하기사 인터넷 비즈니스 시대에 국경의 의미는 없으니 해외 소프트웨어의 사용도 문제는 안되겠지만 국내 솔루션, 서비스 제공 기업 입장에서 볼 때 이미 훌륭한 인프라와 경험, 기술을 갖춘 해외 대기업의 솔루션을 국내의 영세 중소기업의 솔루션과 비교하는 것은 좀 무리가 있지 않을까 하는 생각도 있고. 오픈넷의 주장을 듣다보면 정보보안 솔루션의 카테고리에서만 보면 국내 기업의 제품들은 정부와 결탁해서 정부, 기업의 입장만 기능에 넣는 사용자를 고려하지 않은 앱들을 만들기 때문에 믿을 수 없으니 해외의 우수한 제품들을 써서 고사시켜야 한다는 생각이 강하다는 생각이 든다(물론 내 개인적인 생각이다).
물론 오픈넷의 주장이 다 허무맹랑한 것은 아니고 국내 보안 솔루션 환경이 해외에 비해서 법적인 부분부터 시작해서 여러가지로 특수성을 띄는 것이 사실이기 때문에 아주 무시할 것은 아니다. 현 정부의 행태를 보면 왜 이런 의심을 갖을 수 밖에 없는가를 알 수 있기도 하고 말이지. 또한 소프트웨어 수준이 높지 않은 이유는 그동안의 한국에서 소프트웨어 산업을 어떻게 취급해왔는지를 보면 알 수 있는게 요즘에야 겨우 소프트웨어 산업이 조금씩 각광을 받는다고 하지만 여전히 하드웨어 중심의 산업이 메인임은 거부할 수 없는 사실이다. 상대적으로 소프트웨어 산업이 열세이 있기 때문에 소프트웨어 산업이 상대적으로 발달한 미국에 비해서 평균적으로 성능이나 수준이 조금은 떨어질 수 밖에 없다는 생각이 든다. 물론 몇몇 카테고리의 소프트웨어 산업은 우수하지만 평균적으로는 아직은 어쩔 수 없는 것이 여전히 소프트웨어에 대한 접근 방식이 하드웨어의 부속품 정도로만 생각하는 윗대가리들이 존재하기 때문이다. 어찌되었던 환경 자체가 해외와 국내가 다르기 때문에 지금의 이런 상황이 벌어졌다는 생각도 하고 기업의 이익을 위해서 국민의 편의를 무시하려는 몇몇 어이없는 기업들의 행태 때문도 이런 문제들이 발생했다는 생각도 든다.
하지만 이번 오픈 백신의 상황처럼 전문가, 전문기업이 아닌 시민단체가 전문 어플리케이션을 만들어서 배포하는 행위가 과연 옳은 것인지에 대해서는 생각을 해볼 필요가 있다. 게다가 이번 오픈 백신의 경우 제대로 된 검토가 있었는지에 대한 우려도 있다. 내 개인적인 생각이지만 그저 오픈넷이라는 시민단체를 알리기 위한 쇼가 아닌가 하는 생각도 든다. 이름을 알려서 후원을 끌어내려는 행위가 아닌가 하는 얘기다. 네거티브 마케팅의 방식을 쓰는 것이 아닌가 하는 생각도 있다. 오픈 백신의 경우로 다시 돌아가서 이번의 오픈 백신을 만들 때 물론 이 방면의 전문가가 어느 정도 투입이 되어서 만들었을 것이라 본다. RCS 패턴을 추출해서 시그니처화 시키는 작업은 그리 간단한 작업이 아니기 때문에 그렇다. 하지만 확장성이나 여러가지 부분을 고려하지 않았다는 점에서 졸속으로 만들었다는 느낌은 있다. 오픈 백신을 오픈소스화 시켜서 재야의 고수들이 참여해서 개선해나가기를 오픈넷은 원하고 있겠지만 과연 제대로 관리가 될 것이지도 우려스럽다. 책임지고 관리를 할 주체가 없다는 생각이 들어서 말이지. 이슈 메이킹을 하기 위한 하나의 도구로 오픈 백신을 만들어서 배포하고 언론을 통해서 이슈화를 시켜서 오픈넷이라는 시민단체의 이름을 더 노출시키기 위한 방법일 뿐이라는 생각이 여전히 강하다.
암튼 이번 오픈 백신 사태(?)를 두고 오픈넷과 기존 보안 업체들과의 신경전도 만만치 않다. 오픈넷은 보안 업체들이 정부의 눈치를 보기 때문에 RCS 탐지 기능을 안티 바이러스 솔루션에 넣지 않았다고 얘기하지만 보안 업체들은 해킹팀이 탈탈 털린 이후 공개된 정보를 바탕으로 이미 다 준비를 하고 있는 중이라는 입장이다. 당연한 얘기 아닌가? 악성코드 패턴이 공개되었는데 적용하는 것은 당연한 의무다. 그런데 오픈넷은 그런 것을 '난 국내 보안 업체는 못믿어'라는 생각으로 무시해버리니 이런 상황이 오는 것이다. 보안 업체 입장에서 볼 때 오픈넷은 '그저 튀고 싶어서 안달이 난 꼴통 시민단체'라는 인식이 강할 수 밖에 없는 것이다.
어떻게 보면 정부의 뻘짓으로 인해 야기된 이번 사태에 대해서 우리는 어떻게 판단해야 하고 어떻게 대응해야 할 것인지를 좀 생각을 해봐야 할 듯 싶다.
반응형댓글
