에드워드 스노든 그리고 샌드웜

연말에 시간 가는줄 모르고 읽었던 보안관련을 소개한다. 이 두책은 서로 얽혀 있는 부분이 있지만 스노든의 책은 정부의 민간인 감청에 대해서, 샌드웜은 정보기관 사이의 사이버전쟁에 대해서 다룬다. 결론은 IT분야 종사자라면 반드시 한번 읽어 보기를 추천한다. 안타까운건 두책 다 원서인데 스노든의 책은 아마도 번역이 될 것 같지만 샌드웜은 저자가 2014년에 출간한 책도 한국에 없는 걸 보면 번역 될 것 같지 않다.

영구기록(Permanent Record) – 에느워드 스노든

이 책은 스노든의 유년시절부터 시작해서 어떻게 미국 정부의 불법 적인 대중 감시를 폭로하게 되었는지 까지 과정을 설명한 회고록이다. 실제 스파이 업무나 사용한 기술에 대해 깊게 다루진 않아서 누구나 읽을 수 있다.

유년시절

스노든의 유년시절은 많은 IT 종사자들과 닮아있다. 게임을 좋아하고 그게 컴퓨터에 대한 관심으로 커졌으며 학교에서는 크게 인기 있는 유형은 아닌 전형적인 컴퓨터 너드였다. 당시에 해커로 활동하기보단 인터넷 커뮤니티에서 활발한 활동을 한 것 같다. 그리고 이 시절의 경험이 후에 스노든이 미국 정부의 불법에 큰 위기 의식을 느끼도록 만든다. 아마 비슷한 시기에 하이텔,나우누리 같은 PC통신을 해본 사람들은 크게 공감할 이야기 일듯. 현재와 비교해서 가격도 비싸고 접속하기 불편하며 서로 이야기를 나누는 것 외에는 크게 할 것없는 그런 장소였지만 커뮤니티는 지금보다 더 따뜻했으며 익명뒤에서 느끼는 안전함도 더 컸기에 스노든은 포함한 우리들은 그 시절의 인터넷에 낭만을 느낀다.

9/11

그런 스노든의 인생이 확 바뀌게 된 시점은 9/11이다. 그 사건이후 그린베레에 지원했지만 훈련 도중 부상을 입고 전역하게 된다. 그 뒤에 NSA 시설의 경비원으로 1년정도 일한다. 어떻게 보면 스노든은 소위 말하는 고스펙을 가진 인물은 아니다. 부모님이 모두 정부기관에서 일했고 군에 자원한 경험도 있기 때문에 높은 보안 등급을 받을 수 있었고 9/11 이후의 정보기관의 확장 시기와 맞물려서 CIA에서 일하게 된다. CIA라고 해도 막상 컴퓨터에 정통한 사람은 얼마 없었기에 스노든은 곧 두각을 나타낸다.

내부고발까지

그 뒤에 동경으로 옮겨 NSA에서 IT 시스템을 구축하는 업무를 맏게 되는데 거기서 부터 미국 정부의 불법을 알게 된다. 정보기관내의 파편화가 굉장히 심해서 실제 폭로의 대상인 감시 도구 프리즘을개발한 것은 아니었지만 운영을 잠시 도와주며 충격적인 사실을 발견한다. NSA는 우리가 상상하는 지휘통제실 같은 곳에서 구글에 검색하듯이 원하는 사람을 입력하기만 하면 그사람의 메일, 문자등을 전부 보고 있던 것이다. 실제 요원들 중에는 개인 용도로 자기 부인이나 여자친구를 대상으로 사용하는 사람들도 많았고 무작위로 사람들이 주고받는 사진들을 돌려보기도 했다니, 스노든의 폭로후에 제발 변화가 있었길 바란다..참고로 이 시스템은 아직도 운영중이다. 다만 많은 사이트가 HTTPS로 넘어가는 등 서비스 제공자들도 보안을 강화했기 때문에 아직도 그 수준으로 감시가 가능한지는 의문이다.

그렇게 언론에 제보할 결심을 한뒤에는 시스템 내부에서 문서를 크롤링하는 Heartbeat를 개발한뒤 기자에 접근하고 결국 홍콩에서 기사를 작성하기 까지의 상황을 설명한다. 당연하겠지만 정말 많은 고민을 한 것 같으며 미국 정부와 의회가 서로 견제하는데 실패 했기 때문에 이런 방법을 택하게 됐다고 한다. 스노든이 그 고민 속에서 다음과 같은 비유를 했는데 마음에 와 닿았다.

Ultimately, saying that you don’t care about privacy because you have nothing to hide is no different from saying you don’t care about freedom of speech because you have nothing to say. Or that you don’t care about freedom of the press because you don’t like to read. Or that you don’t care about freedom of religion because you don’t believe in God. Or that you don’t care about the freedom to peaceably assemble because you’re a lazy, antisocial agoraphobe.

대충 번역하면 자기는 당당하기 때문에 프라이버시에 별로 신경쓰지 않는다고 말하는 것은 읽는 것을 좋아하지 않기 때문에 출판의 자유도 신경쓰지 않으며 신을 믿지 않기 때문에 종교의 자유도 신경쓰지 않는다고 말하는 것과 별반 다르지 않다는 내용.

스노든의 미래는?

스노든은 대의를 위해 저질러버렸지만 정말 힘든 결정이었음이 책의 후반부에 그대로 드러난다. 스노든은 수사가 시작 됐을때 피해가 갈 수 있기 때문에 다른 가족들과 동거중인 여자친구에게도 단 한마디도 하지 않았다. 하지만 실제 스노든이 홍콩에서 뉴스에 등장했을 때 그들이 겪었을 고충은 상상하기가 힘들다.. 다행히도 여자친구는 스노든이 망명중인 러시아로 건너가 그와 결혼했으며 미국내에서는 스 노든을 사면하기 위한 목소리도 존재한다. 하지만 비슷한 사례를 참고해봤을 때 스노든은 엄청난 중형을 받게될 가능성이 높고 공화당은 물론 민주당에서도 사면을 허용해서는 안된다는 의견도 많다.. 그리고 최근 미국 법원은 책의 인세와 강연료등으로 번 50억 달러를 몰수하는 결정을 내렸다..(기사)

이사건을 계기로 미국 뿐만 아니라 전세계의 많은 사람들이 각자 정부기관의 잘못된 행태에 관심을 가지도록 만들었다. 나도 책을 읽으면서 정부의 잘못된 관행에 견제의 시그널을 – 원래라면 국회가 해야할 – 보내준 스노든에게 크게 감사함을 느꼈다.

관련기사

스노든도 사용한 메신저 ‘시그널’ 보안성 최강

에드워드 스노든 “K방역 정보수집, 효과 확실치 않다”

샌드웜(Sandworm) – 앤디 그린버그

Sandworm

샌드웜은 러시아 GRU소속의 해킹 전담 부대의 코드명이다. 이 책은 최근에 벌어진 일련의 해킹 사건들의 배후를 다루는 논픽션으로 책에서 언급된 사건을 정리한 아래 목록은 기승전러 대부분 러시아가 그 배후에 있다. 많은 사람들이 아래 사건들중 한두가지는 단신 뉴스로 봤을 것이다.

저자는 놀라운 취재력으로 일련의 사건들 사이의 단서를 차근차근 맞춰나간다. 미국과 우크라이나를 포함한 세계 각국의 멀웨어 분석가, 보안전문가와의 심도깊은 취재를 통해 실제 멀웨어의 분석 방법은 물론이고 어떤 원리로 해킹이 작동하는지도 설명하고 있다. 특히나 초반의 흡입력이 대단한데, 실제 사건을 다룸에도 왠만한 소설보다 더 긴장감이 느껴진다. 사이버 워에 관해서 인터넷 기사나 위키피디아의 글로서는 파악하기가 힘든 전체 맥락을 한번에 다 이해할 수 있게된다.

미미카츠

책에서 언급된 대부분의 제로데이 취약점은 윈도우 기반이다. 프랑스 정부기관의 IT매니져로 일하던 델피는 메모리에 사용자의 크레덴셜을 저장하는 윈도우 WDigest 기능의 취약점을 발견하고 이를 MS에 즉각 보고하지만 MS는 해당 취약점은 컴퓨터가 이미 탈취당한 상태에서만 문제가 되기 때문에 당장 큰 문제가 아니다 라는 식으로 대응을한다. 델피는 경각심을 일깨우기위해 POC개념으로 Mimikatz을 깃헙에 공개한다. 그렇게 MS의 무책임한 대응으로 네덜란드의 인증서 발급 업체였던 DigiNotar는 인증서를 부정 발급하게 되고 파산에 이르게 된다.

피해액만 해도 조단위가 넘어가는 페트야는 NSA가 나중에 써먹기 위해 꽁꽁 숨겨뒀던 이터널블루 취약점을 사용해 공격을 사용한다. 이렇게 의도치않게 정보기관끼리 취약점들을 공유해서 더욱 더 발전된 멀웨어가 나오게 한다.

러시아의 사이버 워

러시아는 왜이렇게 해킹을 하는 걸까? 냉전 이후에 러시아의 세계 경쟁력은 내리막길을 걸었고 남은건 막대한 군사력뿐 그마저도 미국 국방비의 1/10에 그치기 때문에 예전같은 영향력을 되찾고 싶어하는 시도라는 분석이다. 2014년에 일어난 러시아 우크라이나 전쟁에서 러시아는 승리했지만 여러가지 판단 착오로 인해 첩보 기관인 GRU는 신뢰도에 큰 타격을 입는다. 이를 복구하기 위해 적은 비용으로 큰 혼란을 일으킬 수 있는 사이버 전쟁에 적극적으로 뛰어들고 있다는 분석이다.

작가는 2015년에 일어난 우크라이나 정전사건때 미국이 조금 더 강력한 메시지를 보냈어야 한다고 말한다. 오바마 정부는 미국내에서 일어난 일이 아니라서 이를 단순히 무시했고 러시아는 우크라이나를 미래의 공격을 위한 놀이터로 적극 활용한다. 책에서는 다루지 못했지만 2020년 다시 한번 러시아발 해킹사건이 발생한다. 그리고 이게 마지막도 아닐 것이다.

배후(attribution)문제

러시아 보안업체인 카스퍼스키의 보안 전문가는 저자와 인터뷰중에 평창 올림픽 해킹은 북한 소행이 아니며 누군가 일부러 그렇게 보이게 설계했다고 말한다. 저자는 그래서 북한이아니라면 누구 소행이라고 생각하냐? 라고 답정남 질문을 하지만 해당 전문가는 가방에서 attribution dice(배후? 주사위)를 꺼내서 보여주는데 이부분은 조금 웃겼다:) 이는 그만큼 해킹의 책임자를 가려내기가 힘들다는 사실을 뜻한다.

arrtibution-dice.jpg
https://www.zdnet.com/article/ten-great-gifts-for-the-hacker-in-your-life/

배후를 밝혀내가 힘든 사이버워의 특성상 앞으로의 세상은 예전 전쟁처럼 개전과 종전으로 명확하게 구분되지 않고 항시 존재할 것이라는 분석이다.

복원력

그리고 저자는 사이버워에 대한 대응으로 댄 지어가 주장하는 복원력(Resilence)를 언급하며 책을 마무리한다. 댄지어는 미국 정보기관의 벤처캐피탈 역할을 하는 비영리기관인 In-Q-Tel 의 최고보안 책임자이다. 많은 보안 전문가들이 해킹 공격에 대해서 더 많은 보안 패치, 머신러닝에 의한 모니터링등 강력한 조치를 이야기 하지만 그는 방지보다는 피해를 최소화하고 복구시간을 줄이는데 더욱 집중해야 한다고 한다. 그 핵심 기념이 복원력으로 독립성을 의미한다. 각 구성요소들이 네트워크에 의존하지 않고 아날로그로도 독집적으로 수행될 수 있어야 한다는 의미이다. 현대 사회는 아주 복잡한 시스템들이 단계적으로 엮여 있어서 그 기반이 무너지면 전체가 다 무너기 쉽다. 그래서 이메일 시스템이 멈추면 우편시스템이 작동해야 하고 이동전화가 작동하지 않으면 유선전화를 사용할 수 있는 사회가 되어야 한다. 그 예로 우크라이나에서 해킹으로 대규모 정전 일어났어도 생각보다 빠르게 복구가 가능했다고 말한다. 우크라이나의 기반 시설들은 선진국보다 평소에도 더 자주 멈추고 많은 부분들이 사람손으로 아직 움직이고 있었기에 해킹하기는 쉬웠지만 피해는 적었다. 하지만 선진국의 시설들은 해킹하기는 더욱 어렵지만 해킹 당해서 멈추게 되면 그 피해는 훨씬 비극적일 것이다.