지금까지 정보보호/IT보안과 정치는 큰 관계가 없다고 생각해왔습니다. 하지만 12.3 비상계엄 선포 명분으로 국가정보원과 한국인터넷진흥원(KISA)의 보안점검 조사결과를 제시함과 동시에 중앙선거관리위원회 해킹/데이터 조작 가능성이 본격적으로 제기되면서 논쟁이 되고 있습니다. 여러 언론인들과 유튜버들은 자극적인 보도만 내세우고 있는데요. 하지만 대부분의 모의해킹과 실제 취약점, 그리고 정보보안 사고라는 특수성을 명확하게 설명하지 못하고 있습니다. 사람들은 명확성이 부족함에 따라 불안해질 수밖에 없죠. 실제 모의 해킹을 통한 '해킹이 가능하다'는 가능성과 실제 '해킹을 당했느냐'는 완전히 다른 이야기입니다.

해킹 가능성과 실제 공격: 혼란을 초래한 오해

앞서 정부는 담화문을 통해 "선관위 전산시스템 보안 취약성 등을 더 이상 지켜볼 수만 없다고 판단했다"며 비상계엄 발동 요건에 해당한다고 주장했습니다. 이러한 주장은 국정원이 지난해 10월 발표한 선관위 대상 보안점검 조사결과를 기반으로 하고 있습니다. 간단히 말해, 정보 시스템 취약성 등으로 기술적으로 해킹이 가능하다는 거죠. 하지만 국정원에서도 보고서 내에서 '점검 결과는 데이터(개표값) 조작이 가능하다'일 뿐, '조작당했다'는 의미가 아니며 '실제 조작이 발생한 것은 아니라고’ 선을 긋고 있습니다.

'기술적으로 부정선거가 가능한가'라는 질문에 '그럴 수도 있다'고 대답한거죠. 심지어 수많은 보안 장벽을 모의해킹이라는 특수한 상황을 적용하여 전부 우회하거나, 사전에 핵심권한을 보유한 채 기술적인 취약점만 찾았기 때문에 ‘그럴 수도 있다’라는 대답이 나왔습니다. 실제 '해킹이 가능한가'와 '해킹 공격을 받았는가'는 전혀 다릅니다. 예컨대 원자력발전소도, 혹은 군내부 통신망인 인트라넷도 24시간내내 보안취약점에 노출되어 있고, 해커가 적절한 기술과 방법, 그리고 의도만 있다면 어떤 정보시스템도 해킹할 수 있습니다. 하지만 그럼에도 보안사고는 일어나지 않고 있죠.

선관위 선거정보시스템 보안자문위원회 위원장을 지냈던 김승주 고려대 정보보호학과 교수는 "선관위 보안점검 발표 당시 국정원 3차장의 발언에서 '조사결과를 과거에 제기된 선거결과 의혹과 단순 결부시키는 건 경계해야 한다'고 말했다"며 "취약점이 발견됐으나 투·개표 결과에 유효한 영향을 줄 수 있다고 확대 해석하는 것을 경계"하란 발언에 주목했습니다. 이번 비상계엄 사태는 '해킹 가능성'을 문자 그대로 받아들이고, '부정선거가 일어났다'는 현실에도 없는 일을 만들어 내서 저지른 황당무계한 사건으로 볼수 있습니다.

최악의 시나리오를 대비하는 모의해킹의 역할

실제 모의해킹의 경우  '정보가 해킹 당할수록' 안전해집니다. 모의해킹은 공격하는 해커 관점에서 취약점을 최대한 찾아내고 이를 분석 및 수정하여, 궁극적으로 최적화된 보안시스템 강화를 달성하게 합니다. 과거의 경우 단순히 체크리스트를 활용해 보안 점검했으나, 최근에는 실제와 유사한 루트로 해커들의 실질적인 위협을 파악할 수 있는 '레드팀' 성격의 모의해킹도 대두되고 있죠. 심지어 북한 해킹그룹 김수키, 안다리엘이 사용하는 공격 기술을 가져오거나 실제 취약점 코드(exploit)을 그대로 사용하기도 합니다.

현업에서 수행하는 모의해킹 과정에서는 사전에 점검 서비스 및 시스템을 파악하고, 기능을 사용하기 위한 정보를 수집합니다. 그 과정에서 관리자 계정을 사전에 제공받기도 하고, 소스 코드를 제공받기도 합니다. 심지어 ASM(Attack Surface Management) 등 자동화 도구를 활용해 정보를 수집하기도 하죠. 해커가 해킹을 시도하기 위해 목표하는 정보를 모으는 과정을 보다 더 폭넓게 수행하는 겁니다. 대부분의 경우 공격자들은 시스템의 상세 정보나 관리자, 혹은 내부 이용자 계정 정보 같은 것까지는 알지 못하니까요.

이후 이 데이터를 바탕으로 작성된 해킹 시나리오를 기반으로 개인정보 탈취 가능성이나 정보 임의 변경 가능성, 기업 내부정보 탈취 가능성 등을 식별하게 됩니다. 이 과정에서 보안 취약성으로 일어날 수 있는 피해는 매번 최악의 상황으로 기술되는 경우가 많은데요. 마치 의사들이 담배를 피우면 누구나 폐암에 걸린다고 말하는 것과 같습니다. 누구는 흡연을 해도 심각한 암으로 전파되지 않을 수 있지만, 최악의 경우 암이 조기에 발생할 수도 있으니까요. 실제 국가정보원은 지난 19일 '국정원이 선관위 보안점검 결과 부정선거 의혹을 발견하지 못했다고 국회에 보고했다'는 보도자료에 대해 "당시 국정원의 선관위 보안점검조사 범위가 전체 IT 장비 6,400대 중 317대(5%)에 국한됐다"면서 "부정선거 여부에 대해서는 판단을 내릴 수 없었고, 이런 입장에는 변함이 없다"고 말하면서 "사전 투표한 인원을 투표하지 않은 사람으로 표시하거나 사전 투표하지 않은 인원을 투표한 사람으로 표시할 수 있는 등 다수의 해킹 취약점들을 발견하여 선관위에 개선 조치를 권고한 바 있다"고 말했습니다.모의해킹을 수행한 뒤 최악의 경우를 상정해서 개선 조치 보고서를 제출했다는 의미입니다. 그 과정에서 해킹 흔적이 없었다고 이야기한 것은 덤이죠.

실제 기업내 내부인력만으로 각기 다른 기술과 공격 방식으로 침투하는 사이버 위협자를 완벽하게 막아내는 것은 어렵기 때문에 실제 해킹과 같은 방식으로 취약점을 찾고, 공격 시나리오를 통한 사전 대비를 모의해킹을 통해 수행하는 것입니다. 외부에서 노리는, 또는 노릴 수 있는 취약점을 사전에 식별하고 보완해 자산과 신용을 보호할 수 있게 하는 것이 모의해킹의 목적이죠.

모의해킹 훈련을 통해 발견된 취약점들은 모두 문서화되어 상세 정보로 제출됩니다. 취약점이 발견된 위치와 공격기법, 발생원인이 상세히 기술되고, 피감기관측은 이를 토대로 취약점에 대한 대응 작업을 수행할 수 있죠. 보고서 내용에 따라 개발자에게 시큐어 코딩 교육을 진행하거나, 내부보안팀을 대상으로 해킹 방법론 등의 교육을 진행하기도 합니다. 또한 내부직원 대상으로 사회공학적 해킹대응 등 정보보호 방법을 안내하기도 하죠. 궁극적으로 거버넌스나 컴플라이언스가 포함된 전체적인 보안 아키텍처를 설계, 및 개선하는데 사용됩니다.

모의해킹의 한계와 최신 보안 트렌드: 선제적 보안의 중요성

물론 모의해킹에도 한계는 존재합니다. 대부분의 경우 Injection 등 주로 알려진 취약점 체크리스트를 활용한 점검 형식으로 정형화/기계화된 테스트만 진행했기 때문입니다. 정형화된 체크리스트를 모든 보안시스템에 적용될 수 없다는 한계가 존재하죠. 그래서 최근 들어 진행되는 최신 모의해킹 트렌드는 대상에 제한을 두지 않고, 실제 위협을 파악할 수 있는 ‘레드팀’ 성격의 공격을 하는 경우도 있습니다. 이번에 선관위에서 관리자 계정을 제공하거나 IPS, IDS, 방화벽의 전원을 내린 것도 조금 더 심각한 수준까지 노출되었다는 것을 '가정하고' 최악의 경우를 상정한 것입니다.

당연히 이런 모의해킹이나 버그바운티(bug bounty)와 같은 선제적 사이버보안조치조차 모든 공격을 완벽하게 차단한다고는 말할 수 없습니다. 최근 해커들은 생성형 AI를 통한 APT 공격을 시도하는 등 빠르게 발전하는 기술을 선제적으로 도입하거나, 제로 데이 취약점과 같이 미처 알려지지 않은 보안취약점 및 위협을 공격 수단으로 동원하기 때문입니다. 모의해킹만으로 전부 방어하기는 불가능하죠. 따라서 기본적인 보안수칙을 준수하고, 보안 솔루션을 보다 효과적으로 설치 및 운용하며, 이와 더불어 모의해킹, 버그바운티 등 선제적 보안을 수행해야 합니다. 국가 기관이 군인을 앞세워서 서버를 압수하려 했던 황당무계한 행각 대신 말입니다.