몇 년 전부터 보안 콘퍼런스에는 색다른 문화가 생겨나고 있다. 단조로운 종이 배지가 이제는 형형색색의 하드웨어 뱃지로 변화되어 그 기능을 하고 있다. 컨퍼런스 장에서 뱃지의 역할은 그 사람이 누구이고, 어디 소속이며, 컨퍼런스에 온 참여자임을 나타낸다. 따라서 종이 배지는 간단하게 이름과 소속 그리고 참여자인지 혹은 운영진인지와 같은 특이 사항을 적어놓고 하는데, 사실 종이 배지는 아주 단순하면서도 중요한 역할을 하고 있다. 이런 식으로 종이에 글 몇 자 적어놓은 단순한 종이 배지가 해커들 손에서 다시 태어나 이제는 게임을 하고, LED 불빛을 만들어내는 등 콘퍼런스의 꽃이 되어 가고 있다. 손바닥 정도의 크기, 그건 콘퍼런스에서 한 조각의 기술이었고, 예술 작품이었다. 오늘은 화려한 하드웨어 배지에 대해 소개해볼까 한다.

BadBIOS가 언급된 해는 2013년, 지금으로부터 5년 전 일이다. 지금 그의 이야기를 들어보면 그럴 수도 있겠거니 싶지만, 5년 동안 새롭게 얻은 기술의 지식이 없는 상태에서 그의 이야기를 들었다면 어땠을까. 아마 우리도 그를 미치광이라고 표현했을지도 모른다. 그렇다면 좀 더 그 상황을 이해할 수 있도록 5년 전에는 어떤 보안 이슈가 있었을까. 여기서부터 이야기해보자.

Dragos Ruiu가 말한 BadBIOS는 여러모로 논란이 많다. BadBIOS가 사실인지, 아닌지를 두고 보안업계에서는 여러 말이 오갔는데, 오늘은 그에 대해 얘기를 해볼까 한다. BadBIOS는 사이버 무기인 Stuxnet보다 한 단계 더 발전한 형태의 악성코드로, 어떻게 감염되었고 동작하는지, 무슨 목적으로 배포되었는지 알 길이 없는 악성코드다. Dragos Ruiu는 BadBIOS를 처음 발견하여 발표한 인물로, 그가 얘기하는 악성코드의 특징들이 놀라울 정도다. 악성코드는 설치된 운영 체제를 변경하기 위해 데이터 파일 및 설정을 변경하고 삭제하기도 한다. 또한, 무선 네트워크 및 블루투스 카드를 물리적으로 제거한 상태에서도 어떠한 방식인지 모를 방법으로 데이터를 외부로 유출한다.

어렸을 적, 잠 못 이루고 공포에 떨게 했던 빨간 마스크, 귀신, 도시 괴담, 인신매매에 관련한 괴담 등 심기를 불편하게 만드는 이야기 하나쯤은 들어봤을 것이다. 괴이하고 무서운 이야기를 의미하는 괴담은 대다수 허구성이 짙은 이야기지만, 실제 사건을 기반을 둔 이야기도 많다. 그 이야기도 다양하며, 상당히 자극적이고, 현실적인 이야기가 대다수라 술자리에서 혹은 친구들끼리 재미있는 가십거리가 되곤 한다. 괴담은 보통 우리의 주변 일상에서 나타날 수 있다는 그런 느낌 때문에 더욱 무섭게 다가오는데, 이러한 괴담은 일상에서만 존재하는 것은 아니다. 2013년부터 컴퓨터, 보안 분야에서는 나오던 얘기는 아직도 그 이야기가 진짜인지, 거짓인지 알 길이 없는 괴담이 하나 존재다. 초강력 항생제를 써도 듣지 않는 슈퍼 스트레인 박테리아와 같은 컴퓨터계의 바이러스 바로 BadBIOS에 관한 이야기다.

2016년에는 이전에는 컴퓨터에 있는 스피커를 통해 사람 귀에 들리지 않는 고주파 신호를 내보내어 정보를 유출하기도 하고, 사용자 인증을 하기도 했다. 또한, 컴퓨터 내부에서 발생하는 주파수를 이용하기도 데이터를 송신하기도 하였고, 전혀 생각지도 못하게 인쇄를 하는 레이저 프린터가 데이터 송신기 역할을 하기도 했다. 이렇게 소리를 이용한 해킹은 해킹과 보안을 넘나들며 소리를 이용한 해킹은 발전해오고 있었다. 이 때문에 네트워크와 망을 분리하는 것은 기본으로 물리적으로 지역을 제한하는가 하면 스피커가 없는 컴퓨터를 사용하기도 했다. 그렇다면 2016년에는 소리를 이용한 해킹이 어떻게 발전되었을까.

얼마 전, 영국의 유명 드라마 닥터후의 소닉 스크류 드라이버가 실제로 존재할 수도 있다는 이야기를 담은 기사가 나왔다. 소닉 스크류 드라이버는 소닉을 이용하여 다른 여러 기기를 해킹할 수 있는 도구로, 미시간 대학교와 캘리포니아 대학교가 함께 이를 연구하고 시연을 선보였다. 연구원들은 5달러짜리 스피커를 통해 조작된 음악을 내보내어 주파수에 ‘WALNUT’이라는 글자를 새길 수 있었다. 아직 소리를 이용한 해킹은 이 정도의 수준이지만, 소리를 통해 주파수에 혼란을 주어 해킹을 할 수 있다는 것은 해킹에서 새로운 해킹 가능성을 보여준 것으로 보인다. 모두가 신기해하고 있지만, 사실은 그들의 연구가 소리를 이용한 해킹의 첫 시작은 아니었다. 소리를 통한 해킹은 오래 전부터 연구하던 분야였다. 오늘은 이전부터 있었던 소리를 이용한 해킹에 관해 이야기 하면서, 소리를 이용한 해킹이 어느 정도의 위협적으로 다가올 수 있을지 한 번 이야기해보자.

유명인이나 정치인, 공무원, 활동가, 언론인 등 많은 이의 주목을 받고 있는 그들은 언제 어디서 누구에게 습격받을 지 모른다. 그렇기에 그들 주위에는 큰 보디가드들의 보호를 받으며 활동을 하는데, 웹상에서는 그렇지 못한 것 같다. 최근 들어, FAPPENING, 힐러리 E-Mail 해킹 사건 등 유명인사의 개인 계정을 해킹하여 정보를 유출하는 사건이 자주 발생하고 있다. 인스타그램, 페이스북, 트위터 등 소셜 네트워크의 계정이 주로 해킹당하는데, 거의 대다수가 Gmail의 계정을 이용해서 해킹 당하는 사건이 많은 것 같다. 따라서 비즈니스의 리더, 정치인, 언론인 등 대중들의 주목을 받는 이들을 표적으로 하는 공격으로부터 사용자를 보호하기 위해 구글은 새로운 보안 시스템을 도입했다. 그것이 무엇인지, 어떻게 사용하고, 누구에게 필요한지에 대해 살펴보자.

얼마 전, 삼성에서도 삼성 제품에 한하여 Bug Bounty를 실시하였다. 최근 삼성은 전 세계적으로 급증하는 해킹과 사이버 공격에 삼성에 이름을 걸고 보안에 투자와 관심을 아끼지 않는다. 이는 거의 국내 대기업의 이름을 걸고 시행하는 첫 Bug Bounty였다. 드디어 Google Play에서도 Bug Bounty를 실시한다. 워낙에 해커들이 날뛰던 App 분야였다. 전세계 상위 100개, 우리가 흔히 알고 있는 모바일 앱 대부분이 해킹 경험이 있다. 상위 100개 안드로이드 유료 앱 중 97%가 해킹을 당한 적이 있으며, iOS 유료 앱 87%가 해킹을 당한 적이 있다고 한다. 이 중에는 전자상거래, 금융과 관련된 앱도 포함되어 있다. 상거래와 관련된 앱 중 95%, iOS는 70%가 해킹 시도가 있었다고 한다. 아 이 얼마나 해커들이 날뛰고 있는 곳인가. 이런 통계가 2015년 약 2년 전 이야기다. Google Play는 이렇게 날뛰는 해킹에 자체적인 검열을 통해 Android 애플리케이션이 올라가도록 하였다. 하지만 그것만으로도 역부족이다. 따라서 이제는 해커들의 손을 타고 보안을 더욱 높이려 하고 있다.

최근 미국정부는 러시아 정부의 영향에 대한 우려로 러시아 제품의 소프트웨어 사용을 금지하고, 정부에 판매하지 못하도록 하였다. FBI 역시 미국에 있는 민간 기업에 카스퍼스키 랩 제품의 사용을 중단하라는 촉구를 하며 러시아를 견제하는 모습을 보인 지가 지난 8월이다. 반대로 러시아에서는 마이크로소프트 제품을 러시아 제품으로 교체하고, 마이크로소프트 제품을 삭제하는 등 서로의 소프트웨어 사용에 제재를 가하고 있다. 이처럼 러시아와 미국 사이에서의 보이지 않는 신경전은 각 나라의 기업과 정부가 마치 자식 싸움에 아빠까지 혹은 아빠 싸움에 자식까지 끼어서 싸우는 모양새로 보이기도 하다. 물론, 그들의 행동에는 앞으로 다가올 미국과 러시아의 사이버 전쟁에서 모든 경우를 고려하기 위한 방침 아래에서 나온 것들이라 말하고 있다.[] 그들의 보이지 않는 신경전은 여전히 진행되고 있는 와중에 최근 그들의 신경전에 불씨를 키울만한 사건이 발생했다. 러시아의 사이버 보안 업체 카스퍼스키 랩(Kaspersky Lab)의 백신을 통해 미국 NSA에 있는 정보가 누설되었다는 소식이다.