사이버 호신술 ① 패스워드 보안의 모든 것

위급 상황에서 스스로의 몸을 보호하는 기술을 호신술이라 한다. 온라인에서의 활동이 ‘또 하나의 현실’이 된 요즈음, 해커나 사이버범죄자들은 물론이고 기업, 국가권력까지도 당신을 노리고 있다. 온라인에서 스스로를 지키는 기술은 점점 필수가 되어가고 있는 것이다. 본지는 6회에 걸쳐 패스워드, 음성통화, 이메일, 문자메시지, 모바일 기기 보안 및 인터넷 검열/감시 회피 방법 등을 상세히 소개할 예정이다.


역시 호신술 하면 전설의 <자기방어술>을 빼놓을 수 없다. (이 그림 꼭 써보고 싶었다...)

우리가 온라인에서 하는 수많은 활동의 기반에는 패스워드가 있다. 패스워드는 웹에서 '나'를 입증할 수 있는 가장 기본적인 방법이기도 하다. 일상에서라면 (웬일로) 초병이 갑자기 암구호를 묻더라도 그냥 웃어보이며 "나야"라고 대답하고 넘길 수 있다. 그러나 웹에서 나의 패스워드를 잊어버리면 할 수 있는 게 별로 없다. 심지어 누군가 내 패스워드를 도용하고 있다면 상황은 매우 심각해진다.

패스워드는 보안의 기본이자 기초이다. 한 달만 지나면 부대 인트라넷에 접속할 때 패스워드를 바꾸라는 메시지가 뜬다. 포탈에서도 몇 개월 동안 같은 패스워드를 사용하고 있으면 로그인할 때 바꾸라는 안내 페이지가 나온다. (흥미롭게도 이는 우리나라에서만 볼 수 있는 일이다. 해외 사이트에서 패스워드를 바꾸라는 메시지가 나오는 경우는 본 적이 없다.) 그럼에도 불구하고 우리는 그냥 '다음에 변경하기'를 클릭하고 넘어가기가 일쑤다.

여기서 먼저 패스워드 보안의 실패가 얼마나 가공할 만한 파국을 초래하는지를 실제 사례로 익혀보는 것이 좋겠다. 어나너머스의 악명을 다시 한번 드높인 2011년의 HB게리 페더럴(HBGary Federal) 해킹 사건이다.

사례: HB게리 페더럴 해킹


HB게리 페더럴의 CEO 애런 바. 패스워드 보안 실패로 그는 회사를 매각하고 이사까지 해야했다.

애런 바(Aaron Barr)는 해군 정보장교로 12년을 복무했다. 그는 당시 암호학을 전문으로 신호정보(SIGINT)를 주로 다루었으며 제대 후 노스롭 그루만 등에서 보안 관련의 일을 하다가 마침내 HB게리 페더럴을 세워 그곳의 최고경영자(CEO)가 되었다. 회사의 실적은 그다지 좋지 못해, 주로 페이스북, 트위터 등의 소셜미디어를 다른 업체 관계자나 직원들을 염탐하는 용도로 활용하는 방법을 회사 중역들에게 교육시키는 등으로 회사를 겨우 운영하고 있었다. 정부기관이나 대기업 같은 '대물'을 낚아야 했다.

그때 애런 바의 눈에 띤 것은 바로 어나너머스였다. 당시 어나너머스는 위키리크스에게 지급을 거절한 마스터카드, 비자, 페이팔의 웹사이트를 디도스(DDoS) 공격으로 다운시키면서 언론의 유명세를 타고 있었다. '익명'이라는 이름에 걸맞게 어나너머스의 핵심 인물들의 정체는 묘연했다. 만일 이들의 정체를 밝혀낼 수 있다면 HB게리 페더럴의 명성은 높아질 것이고 많은 계약을 따낼 수 있을 것이었다.

애런 바는 어나너머스의 멤버들이 자주 이용하는 인터넷 채팅 서비스(IRC)의 서버와 페이스북의 접속 기록들을 대조해 나가면서 어나너머스의 주요 인사들의 정체를 탐색하기 시작했다. 만일 채팅 서버에 접속한 시각과 페이스북에 접속한 시각이 비슷하다면 이 두 명의 사용자가 동일인물일 확률은 높아진다. 이런 식으로 애런 바는 끈질긴 추적 끝에 어나너머스의 핵심 인물들의 신상정보(본명을 포함한)에 대한 보고서를 작성했다.

이제 이 사실을 언론에 흘릴 차례였다. 먼저 보안 관련 행사에서 이 사실을 밝혔다. 이제부터 어나너머스를 적으로 돌리게 되는 것이다. 애런 바는 그점에 대해 잠시 망설이긴 했지만, 어차피 디도스 공격 정도로 회사가 망하지는 않는다. 디도스 공격은 웹사이트를 일시적으로 다운시키는 것에 불과하니까. 애런 바는 <파이낸셜 타임즈>의 기자를 만나 자신의 보고서에 대해 이야기했다. 기사가 나간 후 FBI의 사이버범죄부(e-crime division)에서 관심을 보였다. 애런 바는 FBI 관계자들과 슈퍼볼 경기 다음날인 2월 7일에 만나기로 약속했다.

기사에 관심을 보인 건 FBI만이 아니었다. 어나너머스의 해커들은 기사를 읽자마자 HB게리 페더럴 웹사이트의 약점을 탐색했다. 명색이 보안전문회사임에도 불구하고 HB게리 페더럴의 웹사이트는 심각한 보안상 약점이 있었다. 해커들은 회사의 웹사이트가 해킹에 가장 많이 사용되는 기법인 SQL 삽입(SQL injection)에 취약하다는 것을 발견했다. SQL 삽입은 데이터베이스를 비정상적으로 조작하여 침투하는 기법이다.

2월 5일, 마침내 어나너머스의 해커들은 애런 바를 비롯한 회사 중역들의 사용자 아이디와 패스워드를 훔치는 데 성공한다. 한가지 문제는 패스워드가 암호화되어 있었다는 사실이었다. 애런 바의 패스워드는 가장 보편적인 암호화 방식인 MD5를 사용하여 '4036d5fe575fb46f48ffcd5d7aeeb5af'로 암호화되어 있었다. 두어 시간 동안에 해커들은 이를 해독하여 패스워드가 'kibafo33'이라는 것을 알아냈다.

어나너머스는 애런 바의 회사 이메일 계정에 접속하여 모든 이메일 내역을 내려받았다. 그 와중에 어나너머스의 한 해커가 혹시나 싶어 애런 바의 트위터 계정에 똑같은 패스워드를 넣어보았다. 접속이 되었다. 보안전문회사의 최고경영자임에도 불구하고 애런 바는 트위터, 페이스북, 야후!, 플리커(사진 앨범 서비스), 심지어 <월드 오브 워크래프트> 게임의 계정에까지 똑같은 패스워드를 쓰고 있었다. 어나너머스는 애런 바에게 가할 수 있는 최대한의 복수를 계획했다.


어나너머스의 로고

패스워드를 동일하게 설정했다가 회사까지 매각

2월 6일, 미국의 최대 스포츠 게임인 슈퍼볼 게임의 시작을 기다리다가 애런 바는 자신의 아이폰을 들여다보다가 이메일 계정에 접속이 안 된다는 사실을 깨달았다. 어나너머스의 공격이 시작되었나 싶어 그는 페이스북에 접속하여 자신과 연락하던 어나너머스 관계자에게 공격에 대해 물어보려 했다. 그러나 접속을 할 수가 없었다. 그는 트위터 계정에도 접속이 되지 않음을 알고 나서는 자신의 실수에 경악하는 것 외에 별다른 할 수 있는 일이 없었다.

어나너머스는 HB게리 페더럴의 홈페이지 내용을 삭제하고 메인 화면에 어나너머스의 로고를 올렸다. 그 아래에는 애런 바를 비롯한 회사 중역들의 68,000개에 달하는 이메일 내역을 내려받을 수 있게 링크를 걸었다. 애런 바의 트위터 계정에는 음란한 욕설을 비롯하여 그의 집 주소와 휴대전화 번호, 사회보장번호(우리나라의 주민등록번호와 유사)까지 공개되었다. 이 사건은 언론에 대서특필되었고 애런 바는 최고경영자직을 사임했다. 회사는 곧 매각되었으며, 새벽에 걸려오는 장난전화에 시달리던 그는 집 주소도 공개되는 바람에 가족을 이끌고 이사까지 해야 했다.

이 사건에서 우리는 두 가지의 교훈을 얻을 수 있다. ▲똑같은 패스워드를 쓰는 것은 매우 위험하며 ▲단순한 영문자와 숫자의 조합은 얼마든지 해독이 가능하다는 것이다. 만일 독자가 이용하는 서비스에서 보다 철저한 암호화 방식을 사용하고 있다면 상대적으로 안전할 수 있겠지만, 심지어 소니 같은 대기업에서도 사용자들의 패스워드를 암호화하지 않고 보관하고 있었다는 사실이 어나너머스의 해킹으로 밝혀진 바 있다. 국내의 실정에 대해서 알려진 바는 많지 않으나, 국내 업계의 희박한 보안 의식으로 미루어 볼 때 소니와 유사한 사례가 다수 있을 수도 있다.

시나리오: 스트랫포 해킹과 청와대 내부망 침투

패스워드 보안에 실패하면 아무리 해당 서버 자체의 보안이 철저하더라도 얼마든지 침투 당할 수 있다. 보다 쉬운 이해를 위해 실제 사례를 기반으로 한 시나리오를 꾸며 보았다.

어나너머스는 작년말 민간 정보부문 씽크탱크인 스트랫포(Stratfor)를 해킹하여 스트랫포의 유료 회원들의 신상정보 및 내부 이메일을 유출시켰다. 스트랫포는 국제 정세에 관한 정보수집 및 분석을 전문으로 하는 씽크탱크로, 9/11 이후 빈 라덴 관련 분석 자료를 언론에 제공하면서 유명세를 탔으며 국내에서도 많은 유료 회원을 확보하고 있다. 어나너머스는 크리스마스 이브에 유료 회원들의 카드번호와 패스워드까지 포함한 신상정보를 인터넷에 공개했고, 이듬해 2월에는 위키리크스를 통해 내부 이메일까지 공개했다.

재미언론인 안치용씨가 운영하는 <시크릿 오브 코리아> 블로그에서는 이 자료를 분석하여 스트랫포에 유료 회원으로 가입한 사람들 중에 국가안전보장회의(NSC) 직원, 주이스라엘 한국대사관, 각종 언론사 기자들, 삼성과 현대 등의 대기업 관계자들이 있음을 확인했다. 국가안전보장회의 직원의 경우, 회원정보에서 이메일 주소와 전화번호, 팩스번호 모두 청와대 것을 사용하고 있었다. 그리고 패스워드는 MD5로 암호화되어 있었다. HB게리 페더럴 해킹 사건을 통해 우리는 이 패스워드가 수 시간 내로 해독될 수 있음을 알고 있다.

물론 패스워드가 단순한 영문자와 숫자의 조합으로 이루어져 있을 때의 이야기이다. 여기서부터는 확률의 문제이다. 이 기사를 읽는 독자들께서는 패스워드를 단순한 영문자와 숫자의 조합으로 사용하고 있는지, 각기 다른 사이트마다 똑같은 패스워드를 사용하고 있는지 한번 자문해 보기 바란다. 만일 독자의 답이 '그렇다'라면 이제 해커는 청와대 내부망에 접속할 수 있는 수단을 획득한 셈이다.

청와대 내부망(인트라넷)은 외부의 인터넷망과 물리적으로 분리되어 있기 때문에 외국의 해커가 직접 접속할 수는 없다. 하지만 이러한 정보를 이용하여 청와대 내부에 심어 놓은 첩자를 활용하여 국가안전보장회의 자료에 접근하는 것은 가능할 수 있다. 혹은 해당 사용자가 민간 웹메일 서비스에서도 동일한 아이디와 패스워드를 사용할 경우 우회적으로 비밀정보에 접근할 가능성도 있다. 많은 정부 관계자들이 외부 접속 문제나 복잡한 보안 절차, 또는 국내 수사기관의 감시 때문에 구글, 네이버 등의 민간 웹메일을 종종 이용한다는 사실은 잘 알려져 있다.

전산망 자체의 보안이 아무리 철저하다고 하더라도 사용자의 패스워드가 유출되어 있다면 얼마든지 접속이 가능할 수 밖에 없다. 패스워드 보안이 보안의 시작점이자 마침표인 것은 바로 이런 이유에서다.

강력한 패스워드, 어떻게 만드나

가장 강력한 패스워드란 가장 해독될 확률이 낮은 패스워드를 의미한다. 그렇다면 어떻게 해야 강력한 패스워드를 만들 수 있을까?

암호화된 패스워드의 해독에는 주로 대입법(동일한 암호문이 나올 때까지 기계적으로 대입)이 사용된다. 패스워드가 만일 한 글자이고, 영문자(소문자)와 숫자만을 사용했다고 가정하면 무작정 대입하여 해독에 성공할 확률은 1/36이 된다. 두 글자를 사용한다면 확률은 제곱이 되어 1/72가 된다. 다시 말해 패스워드가 길어질수록 패스워드가 해독될 확률은 낮아진다.

그러나 패스워드에 사전에 있는 단어를 사용하면 그 확률은 다시 높아진다. 패스워드 암호문을 해독할 때 가장 먼저 대입하는 것이 바로 사전에 나와 있는 단어들과 숫자들의 조합이기 때문이다. 패스워드에 특수문자(@, #, % 등)와 대소문자를 혼용하면 확률은 더 줄어든다. 많은 보안 관련 매뉴얼에서는 패스워드에 꼭 대소문자와 특수문자를 혼용할 것을 권하고 있다.

패스워드 설정의 딜레마

그러나 패스워드를 설정하는 사용자들 중 위의 사실을 아예 모르는 사람은 없을 것이다. 그럼에도 패스워드를 단순하게 설정하고, 각기 다른 사이트마다 동일한 패스워드를 사용하는 이유는 간단하다. 기억하기가 어렵기 때문이다. (본지의 독자들 중에 패스워드를 모니터에 메모지로 적어 놓는 만행을 저지르는 분들은 없으리라 믿는다)

패스워드의 보안성과 편리성은 트레이드오프(trade-off) 관계에 있다. 패스워드를 쉽게 만들면 기억하기는 쉬우나 해킹당할 위험성은 높아지고, 패스워드를 어렵게 만들면 해킹은 어려워지나 기억하기가 어려워진다.

중요도에 따라 패스워드의 난이도를 달리 하는 것이 효율적이다. 중요한 정보를 주고 받는 메일 계정이나 회사 또는 기관 계정의 패스워드는 특수문자와 대소문자, 숫자를 혼합하여 8자 이상으로 설정해야 한다. 그보다 덜 중요한 계정이라면, 문장 형태를 사용하는 것이 기억하기 쉬우면서도 충분히 강력한 패스워드를 만드는 팁이 될 수 있다. 예를 들어, '사과03' 같은 패스워드 보다는 '어디로갈까요?' 같은 패스워드가 더 대입해서 때려 맞추기가 어렵다. 그러면서도 'fTiw#32hQ!' 같은 패스워드 보다는 훨씬 기억하기 쉽다.

패스워드, 어떻게 보관하는 게 안전한가

문제는 이렇게 어렵게 만든 패스워드는 잊어버리기가 쉽다는 것이다. 이용하는 계정이 여러가지일수록 각각의 패스워드를 모두 기억해야 하는 고충은 더하다. 하지만 중요한 계정일수록 패스워드를 복잡하게 설정해야 하는 것은 필수적이다. 결국 머리 속에 기억을 할 수 없다면 외부의 장치를 동원해야 한다.

시중에는 이런 패스워드들을 일괄적으로 관리해 주는 프로그램이 많이 있다. 그러나 온라인에 연결되어 있는 컴퓨터는 단지 시간의 문제일 뿐 언제든 해킹의 위협에 노출되어 있음을 상기할 필요가 있다. 특히 이 관리용 프로그램 자체가 해킹당하는 경우, 사용자의 모든 계정이 위험에 노출될 수 있기 때문에 이 방법은 별로 추천하지 않는다.

물리적으로 인터넷과 완전히 분리되어 있는 쪽을 선택하는 것이 안전하다. 어나너머스의 해커들은 인터넷 접속도 되지 않는 구형의 휴대폰에 패스워드들을 기록해 두거나, 암호화된 SD카드에 저장 후 MP3플레이어에 보관하였다고 한다. 우리에게는 보다 간편하고 안전한 방법이 있다. 바로 종이에 적어두는 것이다.

보안 전문가 브루스 슈나이어(Bruce Schineier)는 종이에 적어둔 다음 지갑 등에 보관하는 것을 추천한다. 패스워드 관리 프로그램을 개발한 적이 있는 그가 결국 종이를 추천하는 이유는 간단하다. 컴퓨터와 물리적으로 완벽하게 분리되어 있기 때문에 해킹 당할 위험이 없다. 항상 가지고 다니는 지갑 등에 보관하면 어디에서나 꺼내어 확인이 가능하다. 어디서나 확인이 가능하다는 것은 그만큼 패스워드를 복잡하고 어렵게 설정해도 괜찮다는 뜻이기도 하다. 또한 만일 잃어버린 경우, 그 사실을 곧바로 확인할 수 있다. 컴퓨터에 저장한 경우, 이미 해킹을 당했음에도 그 사실을 인지하지 못하는 경우가 허다하다는 점과 비교하면 이 또한 상당한 메리트라 할 수 있다. 물론 이 종이에는 사이트 이름과 패스워드를 곧이곧대로 적으면 안 되며 나름대로 암호화를 하는 것이 좋다.

[참고자료]

- The Surveillance Self-Defense Project by the Electronic Frontier Foundation (http://ssd.eff.org)

- Parmy Olson, We Are Anonymous: Inside the Hacker World of LulzSec, Anonymous, and the Global Cyber Insurgency (2012)

Tag