얼마전 국내 대학교에서 특정 스마트폰에 대해 취약점이 존재한다는 기사가 나간 적이 있었습니다.


숭실대 이정현 교수팀이 공개한 스마트폰 해킹 시나리오


단순화한 자료여서 구체적으로 이용한 윈도 모바일 취약점 등은 알 수 없고 과정과 결과만을 보여주고 있습니다. 숭실대 이정현 교수팀은 이같은 감염 및 공격 시나리오로 아직 애플 아이폰 보다도 더 많이 팔린 삼성 옴니아(1,2)를 비롯해 미라지, LG 인사이트 스마트폰에서 이같은 공격을 성공시켰다고 했습니다. 



그리고 오늘 그에 반박하는 기사가 나왔네요.


한국MS, 숭실대 스마트폰 해킹 테스트 반박


한국MS는 이 교수 보안연구팀에서 시연한 해킹이 가능하려면 △특정 프로그램(닷넷 프레임워크3.5)이 설치돼 있어야하며 △사용자가 휴대폰번호를 스마트폰에 입력해 놓은 상태에서만 가로채기 수법이 가능하고 △악성코드 설치도 특정포트가 열려있어야 된다고 밝혔다. 그러나 현재 윈도모바일 스마트폰에는 ‘닷넷 프레임워크3.5’가 설치돼 있지 않은데다가 사용자의 대부분이 본인 휴대폰에 번호를 입력하지 않아 실효성이 크게 떨어진다고 설명했다.



Windows Mobile 기반의 옴니아 폰을 많이 사용해 본 사용자라면 모를까 제대로 사용해 보지 않은 입장에서 뭐라 딱 꼬집어서 누구의 말이 정답인지는 알 수가 없겠습니다.

관련된 얘기를 해 보겠습니다. 네트워크 해킹 기법중에서는 10년도 더 된 고전적인 기법들이 널리고 널렸습니다. 국내에서도 이와 관련된 보도들이 나온 것이 제 기억만으로도 수십건은 되는 것 같습니다. 국내에서 보도가 되는 경우에는 Attacker와 Victim 컴퓨터(요즘에는 스마트폰)를 준비하고 데모를 진행합니다. 아는 사람의 입장에서는 저것이 무엇인지를 금방 알 수가 있지만, 컴퓨터를 잘 모르를 사람에게는 그러한 데모 동영상이 무엇을 뜻하는지 제대로 알기가 힘듭니다.

반대로 똑같은 시연을 커피 전문점과 같은 공공 장소에 가서 한다고 가정을 합니다. 거기에서 익명의 사용자를 대상으로 공격을 가하고 해킹에 성공하는 모습을 동영상으로 찍습니다. 그리고 그 동영상을 대외적으로 공개를 합니다. 어떻게 될까요?  Youtube에서 "hacking"으로 검색해 보면 해킹과 관련된 많은 동영상이나 Tutorial을 볼 수 있습니다. 물론 그중에서는 낚시성 정보도 있기는 하지만 많은 동영상들이 실제 해킹(Real Hacking)을 하는 모습을 보여 주고 있죠. 그것(실제 해킹)을 봤을 때에는 위에서 언급하는 일련의 모든 논의(진짜 위험하냐, 그냥 해프닝이냐?)는 한꺼번에 잠식되어질 수 있습니다. 왈가왈부할 필요도 없죠.

국내에서 해킹이나 보안과 관련된 컨퍼런스에서 발표를 하거나 관련 문서를 공개하게 되면 "본 자료는 연구 차원에서만 활용되어 져야 하며 실제 환경에서 테스트하였을 경우 일어나는 모든 일에 대해서 저작자는 책임을 지지 않습니다." 라는 경고성 문구를 붙이는 것이 일반적입니다. 또한 PoC를 입증하는 프로그램을 직접 만드는 경우에도 발표에서만 사용되어 지고, 대외적으로 해당 프로그램을 공개하게 되면 그것때문에 야기되어 질 수 있는 문제점들을 우려하여 프로그램을 공개하지 못하게 되는 경우가 있죠. 참, 그런데 우스운게 똑같은 프로그램이나 기법들이 해외 컨퍼런스에서 아주 적나라하게 언급이 되고 관련 프로그램도 소스까지 포함하여 공개되어 지는 경우를 종종 보게 됩니다. 최초 발견자 입장에서는 좀 허탈하겠죠.

다소 위험한 생각일 수도 있지만 이러한 Real Hacking에 다가가기 위한 시도는 필요하다고 봅니다. 물론 불법을 저지르고 실제 피해 사례가 나와서는 안된다는 것을 가정으로 해야 겠죠. 하지만 많은 사람들이 저의 생각에 모든 사람들이 100% 동의하지는 않은 것으로 봅니다. 해킹과 보안을 하는 사람들의 생각이 모두 같지는 않으니까요. 그래도 지금처럼 너무나 수동적이고 방어적인 접근에 의해서는 지금까지의 수많은 논쟁의 결론을 낼 수가 없다는 생각이 듭니다.

해킹/보안과 관련된 수많은 논쟁들, 이슈들... 딱 한마디로 다음과 같이 결론을 내릴 수 있다면 어떻게 될까요?

"일단 한번 보시라니깐요"

You would..