2020 국감에서 해킹이 이슈?

국내 보안 언론사 홈페이지를 둘러보다가 올해 국정감사 관련 기사 하나를 읽었다.

 

www.boannews.com/media/view.asp?idx=92016

[2020 국감] 올해 국감 관통한 해킹 이슈... 대한민국 보안이 위험하다

국회의원들이 매년 때가 되면 해킹 관련 이슈를 부각하는데, 매년 잘못된 표현을 사용하거나 또는 지나치게 과장한다.  물론 목적 달성을 위해 일부러 할 수도 있고 아니면 정치인들은 보안전문가가 아니기 때문에 그들의 이해를 쉽게 하는 과정에서 내용이 변질되었을 수도 있다고 생각한다.

 

하지만 어찌됐던 어떤 주장을 할 때 근거가 타당해야 그 주장에 사람들이 동의를 할 텐데, 근거 자체가 거짓말이거나 과장이라면 주장의 힘이 떨어지지 않나? 이런 상황을 만약에 조사 내용을 작성한 실무자들이 만든 것이라면 무능력한 것이라고 본다.

 

콜라가 몸에 안좋다고 이걸 과장해서 "콜라를 한잔 마실 때마다 수명이 0.5년 줄어듭니다" 라며 국내 콜라 판매를 금지해야 한다고 주장한다면 이게 타당이나 할지 의문이다. 나에겐 국정감사에서 나온 얘기들이 이렇게 어이없게 들린다.

 

일단 김영배 의원이 직접 시연까지 했다는 대법원 사이트 해킹을 보자. 여기서 언급하는 와이어샤크라는 툴은 그냥 네트워크 패킷 분석 툴이다. 결론부터 얘기하면 대법원 사이트가 암호화 통신 프로토콜인 HTTPS를 사용하지 않았다는 것인데, HTTPS를 사용하지 않았다고 해서 웹사이트가 해킹되는 것은 아니다. 김영배 의원이 시연했다는 것은 대법원 사이트 해킹이 아니라 대법원 사이트 계정 정보 탈취다. 굳이 "해킹"이라는 단어를 쓰자면 대법원 사이트 계정이 해킹당한 거지 대법원 사이트가 해킹된 건 아니라는 뜻이다.

 

근데 그렇다면 내가 대법원 사이트 계정이 있다면 무조건 계정이 해킹되는 것일까? 

 

이게 가능하려면 내가 로그인을 시도할때 내 컴퓨터에서 대법원 웹서버로 전송되는 네트워크 패킷을 타인이 와이어 샤크 같은 툴로 볼 수 있어야 한다. 근데 이건 쉬운 일은 아니다. 흔히 얘기하는 MITM(Man in the middle) 공격을 해야 하는데 불가능한 건 아니지만 국감에서 주장한 것처럼 누구나 할 수 있는 시나리오는 분명히 아니며 과장된 측면이 있다.

 

하지만 요즘 대부분의 웹사이트들은 HTTPS를 쓰고 있는 만큼 아직도 HTTP를 쓰고 있는 공공기관 사이트들에 문제가 있는 것은 맞다. 그러나 지나가던 어린아이들도 와이어샤크 프로그램 설치해주면 다 해킹할 수 있다는 식의 공격은 부적절한 것 같다.

 

또 다른것을 볼까?

 

최근 5년간 정부 주요 시스템을 겨냥한 해킹 시도가 무려 41만 140건이라고 한다. "해킹 시도"를 어떻게 정의한 것일까?

 

어깨만 툭치고 지나가도 폭행일까? 아니면 신체에 실제로 상해를 입혀야 폭행으로 간주될까?

 

해킹 시도를 어떻게 정의하느냐에 따라 해킹 시도 수치는 천차만별로 달라질 수 있다. 그냥 해외 IP에서 사이트에 포트 스캐닝만 해본걸 가지고 해킹 시도로 집계했을 수도 있다. 아마 해킹 시도가 많다는 것을 강조하기 위해 기준을 낮췄을 가능성이 많다.

 

보안의 중요성을 강조해서 인식을 제고하는 것은 물론 환영한다.

 

하지만 말도 안되는 근거를 가지고 와서 주장하는 것은 실무자들에게 매우 귀찮은 일을 유발할 수도 있다.