글을 읽기 시작하기 전에 우선 아래 뉴스를 확인해보자.
교통카드 해킹… 삐뚤어진 천재소년 - 2014년 6월
우선 위 두 기사는 유사한 내용이다. 스마트카드가 아닌, 특정 회사의 메모리 방식 RF 카드를 사용하고 있다면 복제는 피할 수 없다. 특히 최근에는 이베이 같은 사이트에 가 보면 해당 방식의 카드를 복제하는 도구를 $50 내외면 손쉽게 구할 수 있다. (2015년 1월 뉴스에 보이는 도구와 유사하다)
특히, 교통카드도 아닌 일반 사무실 출입카드나 집의 키 카드 등은 오히려 더 손쉽다. 그나마 메모리 카드의 경우 안에 있는 암/복호화 키(key)를 해독을 하는데 시간이 조금 소요되지만, 다른 경우는 단순히 칩의 시리얼 번호 (CSN : chip serial number) 만을 읽어서 해당 번호가 출입이 가능한지 여부를 확인하고 출입문, 스피드게이트 등이 열리게 된다. 이런 방식은 CSN을 쉽게 변경할 수 없고, 속도가 빠르다는 장점 때문에 대부분의 출입통제 방식에서 활용이 되고 있다. 하지만 이런 CSN도 요즘에 손쉽게 복사가 되고 있는 것이 현실이다.
자, 이런 상황에서 "위험(Risk)"에 대해 이야기 해보고자 한다. 우선 위험을 산출하기 위한 여러 방식이 존재하지만 그중 가장 많이 알려진 것을 확인해보자.
- 위험(Risk) = 자산 X 취약점 X 위협 (Asset x Vulnerability x Threat)
- 위험(Risk) = 영향 X 발생가능성 (Impact x likelihood)
위 두가지 산식을 가지고 출입증 복제의 보안 위험에 대해서 이야기해보겠다.
취약점 (Vulnerability)
우선 위의 출입증 복제의 경우 아주 옛날부터 위험하다고 이야기가 나왔었던 내용이다. 내가 2004년 서울시 교통카드 프로젝트를 수행 할 때만 해도, 이미 당시 폭넓게 사용되고 있던 선불카드인 Mifare® 카드는 실험실 수준에서 복제가 가능했으며 외국 보안 컨퍼런스 등에서도 마찬가지로 다양한 복제 방식 및 무력화 방식을 발표했었다.
그리고 2008년 즈음, 영국의 교통카드인 Oyster 카드가 복제가 된다는 사실이 증명됐다.
Hackers ‘prove Oyster cards could be cloned’
이렇듯 스마트카드가 아닌, 메모리 방식의 카드가 복제가 되는 경우는 아주 예전부터 있었다고 볼 수 있다. 즉, 취약점(Vulnerability)은 변함 없이 계속 있어 왔다는 사실이다. 하지만 이러한 취약점이 개선 없이 머물러 있었느냐 하면, 사실 그것은 아니다. Mifare® 쪽에서는 조금 더 보안에 안전한 카드들을 만들어 내기 시작했으며, 더 안전하다고 알려진 스마트카드를 이용해야 한다는 움직임이 일기 시작했다. 하지만 기업들은 카드 자체에 내재되어 있는 이러한 취약점이 "위험"으로 피부에 와닿지 않았기 때문에 계속해서 상대적으로 훨씬 저렴한(스마트카드에 비한다면 거의 1/10 가격인) 메모리 방식의 RF 카드를 계속 이용해왔다.
이런 기업은 당시로서는 위험의 정도가 낮았다고 보았을 것이다. 즉, 충분히 발생은 가능하지만 그러기 위해서는 고가의 장비(실험실 수준)와 공격 시도자의 아주 집요한 의도가 필요한 만큼, 위험에 대응을 하기 위해 1,000원짜리 ID카드를 8,000원짜리 ID카드로 바꾸는데 소요되는 비용을 고려했을 때 기업에 미칠 수 있는 위험 수준이 너무 낮았다고 판단했을 것이다.
위협 (Threat) / 발생가능성 (likelihood)
이야기 했던 것 처럼, 이런 메모리 방식 RF 카드에 대한 공격시도는 지속적으로 발생하고 있었으나, 해커의 수준이 날로 향상됨에 따라 다양한 자동화 된 도구들이 나오기 시작한다. 그리고 지금과 같이 아주 저렴한 가격의 복제 도구들이 시장에서 구입 가능한 시기가 도래한 것이다. 예전에는 실험실 수준의 장비들이 필요했던 것이 최근에는 기술의 접근성과 하드웨어 성능 증가에 힘입어 누구나 마음만 먹는다면 복제 도구를 만들 수 있게 되었으며, 심지어는 이렇게 만든 도구들을 인터넷을 통해 전세계 누구에게나 판매를 할 수 있게 되었다.
이러한 외부 환경의 변화에 대해 우리는 흔히 "위협(Threat)"이 증가한다고 표현한다. 예전에는 흔하지 않았던 공격이 해커의 수준과 하드웨어 성능 증가에 따라 점점 손쉬워지고 흔해지게 되는 상황이다. 마찬가지로 발생가능성(likelihood)이 증가한다는 표현도 같은 의미이다.
여기까지만 본다면 이제는 당연히 안전하지 않은 메모리 방식 RF 카드를 스마트카드로 전부 전환을 해야 한다고 생각을 할 수 있겠지만 그렇게 쉽지 않다. 아직 수 배의 비용이 소요되는 것에 비해 어떤 효과가 있는지가 피부에 와닿지 않기 때문이다. (사실 보안에서 가장 힘들고 어려운 부분의 하나이다. ROI(Return of Investment) 라던지 비용대비 효과 등을 경영진에게 설득하기란 보안의 특성상 무척 어렵다. 그래서 이런 "위험" 측면에서의 접근을 요즘 많이 하고 있다. (물론 예전 부터 위험 형태의 접근은 있어 왔지만, 예전에는 "보안 위험" 이었다면, 최근에는 "경영 위험" 형태로 보고를 하는 경우가 많다.)
자산(Asset)과 영향(Impact)
이제 남은 것은 자산(Asset)과 영향(Impact) 이다. 자산은 말 그대로 개인/기업이 지켜야 할 것이라고 생각하면 된다. 그래서 자산평가를 할 때는 가장 흔하게 사용하는 방식이 CIA(기밀성-Confidentiality, 무결성-Integrity, 가용성-Availability) 속성으로 점수를 매겨 해당 자산의 중요도를 평가하는 방식이다. 영향(Impact)는 해당 자산이 손실(파괴, 변조, 노출)되었을 때의 영향도라고 생각하면 된다. 기업 경영에 너무너무 중요한 자산의 경우 영향도도 함께 매우 커지게 된다.
그런데, 이렇게 자산의 중요도와 이런 자산에 피해가 갔을 경우의 영향이 기업이 가장 산정하기 어려운 것 중 하나이다. 여태까지의 보안컨설팅 경험에서, 해당 기업이 자신이 보호해야 할 대상이 무엇인지 정확히 알고 있었던 적은 거의 없었던 것 같다.
그러다보니, 출입증을 일반 메모리 방식의 RF카드에서 10배 정도 비싼 (최근에는 4~6배 정도로 가격 차이가 줄어 든 것 같기는 하지만, 어쨌든 비싸다) 스마트카드로의 전환이 가져올 수 있는 이익을 산정하지 못하는 것이다.
단순히 생각해보면, 건물 내 중요 자산이 존재하고 해당 자산에 피해를 입게 되면 손해가 10억이다라고 분석이 되어 있다면, 임직원의 출입증 전체를 교체하는데 소요되는 비용은 그에 비하면 무척 적기 때문에 교체를 하는데 전혀 문제가 없게 된다.
하지만, 손해가 얼마이다라는 것이 산정이 되지 않는다면 모든 초점은 출입증 교체에 소요되는 비용에만 맞춰지므로 이를 설득하기란 쉽지 않다. 이럴 경우 많이 하게 되는 실수 중 한 가지가 아주 발생 가능성이 적지만 영향이 매우 큰 시나리오를 제시하여 설득하려고 하는 경우다. 예를 들어, 사무실 건물에 폭탄테러범이 침투하여 폭발이 일어났을 경우 그 막대한 피해에 대해서 설명을 시도한다. 하지만 이럴 경우 위협/발생가능성 측면에서 현저하게 낮기 때문에 설득력을 가지기가 어렵다.
위험평가는 주기적으로 지속성을 가지고 수행하자
보시다시피 위험평가는 이렇게 보호대상과 위협 등을 가지고 평가를 하는 것이라고 생각하면 된다. ISMS, PIMS, 그리고 ISO 27001 등 국내외 정보관리체계 인증 요건에도 보면, 위험 평가는 주기적으로 하게 되어 있다. 이런 평가는 시간의 흐름에 따라 계속해서 변하고 있기 때문에 한번만 수행하지 않고 주기적으로 지속성을 가지고 수행하는 것이 중요하다. 출입증 복제의 위협은 과거에는 발생가능성이 현저히 낮았지만, 지금은 높아진 것과 같이 말이다.
