한편에서는 '왕의 남자'가 관객 천만을 넘어섰다는 뉴스가 나오고, 한편에서는 스크린쿼터 논란으로 시끌벅적합니다. 깜찍한 여배우 문근영은 '국민 여동생'으로까지 불리고 있습니다. 영화는 그만큼 우리에게 가까이 와있는 매체입니다. 세상이 다양한 만큼 영화도 다양하고, 그 속에는 우리가 살아가고 있는 모습도 있고 우리가 그려보는 환상도 공존하고 있지요. 그렇다면 그 속에 '보안'은 어떻게 나타나고 있을까요? 오늘은 영화 속에 반영된 '보안'을 찾아봄으로써 결국 '보안'이라는 것이 우리의 현실과 환상에 어느 정도까지 자리매김하고 있는지 알아보기로 하겠습니다.
1. '폼으로 넣어봤다' 유형
영화의 특정 소재를 다른 관점(또는 그 소재에 대한 전문가적인 관점)에서 살펴보자는 이야기가 나왔을때 가장 먼저 생각해볼 수 있는 내용이 이 부류입니다. 특정 분야에 대한 전문가일 리가 없는 영화쪽 사람들이 그 내용을 어떻게 끼워넣었는지에 대해 딴지를 걸어보노라면 이런저런 씹을 내용도 생기고 거들먹거릴 재료가 많아지게 마련이겠죠. 영화와 보안. 과연 그렇습니다.
오늘은 이 유형에서 스워드피쉬(Swordfish)라는 영화를 살펴보기로 합니다.
영화를 간단하게 소개하자면, 주인공은 천재적인 해커(엑스맨에서의 울버린, 휴 잭맨이 등장합니다)로서 정체불명의 악당(뚱뚱해져버린 존 트라볼타)에게 해킹 의뢰를 받아 거액의 휴면계좌를 빼돌리는 내용으로 되어있습니다.
'스탠리 잡슨'이 휴 잭맨이 맡은 주인공의 이름인데, '스티브 잡스'라는 이름에서 왔다는 것은 자명하고, 영화 초반에 나와서 죽어버리는 또 한명의 핀란드에서 온 세계 최고 해커의 이름은 '엔젤 토발즈'. 물론 이 이름은 리눅스의 아버지 리누스 토발즈를 생각나게 하지요. 제법 그럴듯한 이름을 따왔지만 이 뒤로 벌어지는 어설픈 해킹 놀이를 보고있다면 그 이름들이 아까울 뿐입니다. 이쯤에서 결론부터 얘기하자면, 이 영화에 나오는 보안은 그저 '폼'입니다. 이를 단적으로 보여주는 다음 장면을 보시죠.
스탠리를 데려온 악당이 그의 해킹 실력을 시험하겠다며 60초 안에 국무성(이던가?) 시스템에 로그인 성공하라는 장면이 있는데 키보드를 마구 두드리며 엔터를 몇번 치고는 로그인에 성공한 주인공이 어떤 방법을 썼는가라는 물음에 대답하는 장면입니다. 별다른 툴도 없이 그저 로그인 아이디와 패스워드가 떠있는 화면에서 쓸 수 있는 방법이란게 뭐 뾰족한게 있을리가 없지요. 그 장면에서 스탠리에게 겨눈 총이 장전되지 않은 빈총이었듯이, 이 장면에서 나오는 '보안'이란 그저 폼일 뿐입니다. 그리고 미안하게도 이 영화에서는 내내 이 모양이지요.
다음 장면에서 보여지는 것은 그렇게 테스트에 통과한 스탠리를 악당의 소굴로 데려와서는 큰 건이 있다며 대대적인 해킹을 제의하면서 주어진 조건이 어렵다는 주인공에게 제시하는 '멋진 시스템'입니다. 자그마치 7개의 LCD 모니터! 멋지지 않습니까? 영화를 만든 작자도 이것만으로는 좀 심했다 싶었는지, 이게 다가 아니라며 이 시스템은 동시에 7개의 네트웍에 동시에 접속할 수 있다는 알듯 모를듯한 설명을 덧붙이고 있습니다. 그게 무슨 뜻인지도 정확히 파악이 어려운 얘기지만, 극단적으로 일반 PC에서 어려운 상황을 가정해서 좋게 생각해봐야 랜카드 7개 꽂으면 되는 얘기지요. 랜카드 7개에 LCD 7개... 이 세계 제일의 해커 양반이 고개를 절레절레 젖던 상황이 '한번 해볼만한' 일이 되는 순간입니다. 물론 보수는 빠방하게 준다고 하네요. 역시 그것인가...
대충 이정도 얘기가 해킹과 관련해서 흘러가는 사이에 영화는 어여쁜 할 베리 언니가 속옷 입고 한번 설쳐주고, 심지어 토플리스도 한번 보여주면서 정신없이 흘러가기 시작합니다. 어느덧 해킹이고 나발이고 폭탄과 총으로 은행에 난입해서 인질극까지 벌인다. 이제와서 '주인공'이 할일이 없어져버리면 곤란하니까 그렇게 무사 진입해버린 은행 안까지 들어와서 해킹 어쩌구를 진행하도록 하고 있습니다. 이쯤되면 '폼'이 거추장스러워지기까지 할 지경이네요.
어쨌든 중요한 것은, 나중이 되면 대형 헬기로 버스를 통째로 들어서 날기까지 하는 (아는 형님이 이 영화 찍을 당시 그 동네에 살았다는데 정말로 헬기가 버스를 매달고 하늘을 날더라는군요) 이 대형 블럭버스터 영화에서 주인공이 '해커'이고 꾸준히 '해킹 음모'와 각종 '보안 이슈'들을 이용해서 폼을 잡고 있다는 사실입니다. 실제로 이 영화를 만든 사람들이 보안이라는 것을 얼마나 이해하고 있는지는 상당히 의심스럽지만, 그러한 것들이 제법 먹히는 '폼'이 되었다는 것에는 주목해볼만 하다고 생각합니다. 이쯤이면 '보안'이라는 것이 많은 사람들에게 '뭔가 중요한 것', '잘은 알수없지만...'이라는 정도의 인상을 주고 있다는 것을 우리는 이 영화를 통해 알수있을 것 같네요. 그리고 아직은 많은 영화들이 이 수준에 머물고 있는 것이 사실이고, 또 그만큼 '보안'이라는 것이 아직은 그런 정도 수준으로 사람들에게 인식되어있다는 것을 가장 '정직'하게 말해주고도 있다고 볼 수 있다는 생각을 하게됩니다.
2. '공부 좀 했다' 유형
앞서는 가장 많은 유형이지만 실상과는 좀 거리가 있는 그런 유형을 살펴보았는데, 이번에는 실제로 사람들이 표면적으로 느끼는 '보안'에 대한 느낌에서 한발 더 나아가서 그래도 이 정도면 꽤 맞는 이야기를 하고 있는 영화를 살펴보기로 합니다.
이제는 처음 이 영화 시리즈가 나왔을 때만큼의 충격은 가라앉았지만 그래도 당시로서는 정말 충격적이었던 영화 - 바로 '매트릭스'입니다. 솔직히 이 영화가 2, 3편 가면서 부터는 말이 너무 많아지는 바람에 좀 식상한 느낌이 들기도 했지만 그래도 여러가지 면에서 준비 많이 하고 놀라운 것을 많이 보여줬던 것에는 분명합니다. 그리고 놀랍게도 이 영화는 '보안'에 대해서도 나름 일가견이 있는 사람들의 조언을 제대로 들어본 것 같습니다. 다음 장면을 보시죠.
매트릭스2-리로디드의 한 장면인데, 여주인공인 트리니티가 발전소를 해킹하는 장면입니다. 화면 상에서는 정말 군더더기 없이 빠르게 지나가는 장면이라 놓치기 쉬운 장면이기도 합니다만, 이 화면에 나오는 메세지들은 정말 실제로 쓰이는 해킹도구들이고 실제로 일어날 수 있는 해킹 사고를 시연하고 있는 장면입니다.
첫번째로 사용된 툴인 Nmap은 실제로 쓰이는 포트 스캐닝 툴이고, 이 영화에 대한 상세자료를 찾아보면 실제로 Nmap version 2.54BETA25 버전을 사용했다고까지 되어있습니다. 포트 스캔이란 특정한 대상을 공격하기 위해서 그 대상 컴퓨터에 침투가 가능한 포트가 있는지 찾아보는데 사용하는 도구이며 가장 기본적이고도 널리 쓰이는 해킹 방법입니다. 트리니티는 Nmap을 이용해서 뚫고 들어가고자 원한 발전소 시스템에 ssh 서버가 열려있다는 것을 발견해내고 있습니다. 공격대상을 찾아내자 해당 ssh 서버의 알려진 취약점인 crc32를 공격해서 패스워드를 리세팅하는데 성공하고 있습니다. 물론 이 취약점도 알려져있는 실제 있는 보안 이슈입니다. 그리고는 유유히 해당 시스템에 root 권한으로 로그인하고 있지요.
-----------------------------------------------------------------------------------
[여기서 잠깐!]
대개의 해킹은 이렇게 IP 스캔이나 port 스캔을 통해 시작되는 경우가 많으며, 특정한 해킹 툴을 이용하기도 하고, 알려진 보안 취약점을 공격하는 exploit 코드를 통해 이루어진다는 것을 볼 수 있습니다. 그리고 이러한 사실은 똑같이 이러한 해킹을 막아내는 방법으로도 쓰이고 있습니다. 안철수연구소에서 작년에 내놓은 네트웍 보안 장비인 TrusGuard 시리즈는 이러한 해킹 시도들을 막아주고 있습니다. IP및 port scan을 방어해서 해커가 공격대상을 찾아내지 못하게 하고, 특정한 해킹 툴이 침입하는 패턴과 이미 알려져있는 각종 보안 취약점들에 대한 패턴을 보유하고 있어서 해당 패턴이 포함된 패킷들을 차단해줍니다. 매트릭스 안에서 트러스가드가 사용되었다면 트리니티는 좌절하고 말았을꺼예요. ^^
-----------------------------------------------------------------------------------
여기에서 다시 1번 유형을 돌아보면 재미있는 대조를 볼 수 있습니다. 스워드피쉬에서도 포트스캔이라는 말이 나옵니다. 그때 비치는 화면은 이렇습니다.
어디서 포트 스캔이라는 말은 줏어들은 모양입니다만, 포트 스캔은 저렇게 3D(3차원) 그래픽으로 하는게 아닙니다. 오히려 3D(더렵고 어렵고 위험한) 텍스트와 숫자와 수식의 나열 쪽에 가까운거죠.
이 두번째 유형을 통해서 우리는 보안의 어떤 모습을 볼 수 있을까요? 사실 영화 매트릭스 안에서 보안 이슈가 언급된 부분은 분명히 제대로 공부한 흔적이 있는 멋진 모습입니다만, 그것이 의미하는 바는 해당 장면이 충분한 설명 없이 - 앞서서는 군더더기 없이 빠르게라고 표현했습니다만 - 지나갔다는 점을 다시 주목해봐야할 것 같습니다.
사실 이 영화를 만든 사람들은 보안에 대해서 공부를 한 이외에도 이러한 디테일을 자세히 늘어놔봐야 일반 관객들에게는 먹히지 않는다는 사실도 잘알고 있었다고 보입니다. 치밀한 준비를 해서 낚시밥을 슬쩍 던져두는 것이지요. 그리고는 그러한 디테일을 발견한 몇몇들에게 눈짓을 보내는 것입니다. '응, 형이 신경 좀 썼어.' 어김없이 이런 밑밥을 무는 '전문가'들이 있고 그들의 입에 의해서 (이 기사처럼) 떠벌여지는 것이 영화에서 그 디테일을 자질구레하게 설명하느라 시간을 쓰는 것보다 효과적이라는 것을 아는 사람들입니다. 위의 켑춰 사진과 설명을 보시면서 '역시 매트릭스'라는 생각이 한번쯤 안드셨나요? ^^
사실 2번 유형도 넓게 보아서는 1번 유형처럼 '폼잡기'의 하나라고 생각합니다. 다만, 1번 유형은 여전히 보안을 잘 모르는 사람들이 대충 폼을 잡아 놓아서 결과적으로 '보안'이라는 것이 사람들에게 제대로 알려지는 데에는 별다른 역할을 못하는 반면에, 공부 좀 해서 고급스럽게 폼을 잡아준 2번 유형은 조금이나마 보안의 이해에 도움이 될 가능성이 있겠지요.
3. '절정 고수의 풍모' 유형
2번 유형에서 '보안을 좀 알고 하는' 영화를 만나보셨습니다. 그런데 사실 그 정도는 동네에 하나쯤은 있는 고수 정도의 레벨이라고 말할 수 있겠습니다. 놀랍게도 저는 기연(奇緣)을 만나 절정의 고수쯤 되는 영화를 보게된 적이 있습니다. 몇해전의 전주국제영화제에서 상영되었던 독일의 디지탈 영화 '1/2 the Rent'라는 영화가 그 주인공입니다. 번역된 제목으로는 "기묘한 동거"라는 제목이었죠.
이 영화의 주인공도 역시 해커입니다. 하지만 이 주인공은 놀라운 웜이나 새로운 해킹 도구를 개발해내는 것도 아니고, 크게 한 건 한다거나 겹겹이 쳐진 보안 장비들을 뚫고 어딘가로 접속을 하거나 하지 않습니다. 무언가에게 쫓기고 있는 설정에서 시작된 이 영화는 주인공이 낯선 도시로 가서 조용히 살아남는 법을 잔잔한 톤으로 그려가고 있습니다. 그리고 그 방법이라는 것이 제가 보았을 때에는 진정한 '보안 이슈'이고 가장 효과적인 '해킹법'에 기초한 것이었습니다. 생활 속에 녹아든 보안의 모습을 이 주목받지 못한 영화는 그야말로 숨어사는 절정 고수의 풍모로 보여주고 있던 것이죠.
이제 이 영화의 본질을 이야기할 때가 되었군요. 주인공은 무언가에 쫓기고 있습니다. usb 메모리에 파일 하나를 서둘러 담고 나서는 서둘러 집을 나서는 데서 영화가 시작됩니다. 그리고는 무작정 다른 도시에 내려 헤메기 시작하죠. 그리고는 어느 집앞에 섭니다. 아마도 묵을 곳을 찾는 모양입니다. 주인공은 당연하다는듯이 대상으로 삼은 집 앞의 카페트를 뒤집어 보고, 문위쪽의 공간을 뒤져봅니다. 별다른 것이 나오지 않자 옆집에 가서 똑같은 일을 반복합니다. 과연, 집 열쇠가 나옵니다.
너무나 간단하게도 주인공은 '남의 집'에 무사히 들어가게 됩니다. 그리고는 조용히 구석에서 잠을 자고, 먹을 것을 꺼내 먹고, 집 주인이 들어오면 몸을 숨깁니다. 몇개의 집을 그렇게 열고 들어가서는 각각의 집주인들이 집에 들어오고 나가는 시간을 봐두었다가 적당히 주인이 없는 시간을 돌아가며 각각의 집에서 묵어 지냅니다. 너무나도 당연한 듯이 진행되는 모습입니다만, 보고 있노라면 억지가 조금도 느껴지지 않는 상황입니다. 그리고 보안이라는 것은 이러한 간단하고 기본적인 사실에 가깝습니다. 제가 이 영화에게서 '절정 고수의 풍모'라고 이야기 했던 부분은 이러한 너무나도 쉽고 당연한, 하지만 충분히 있을 수 있고, 실제로 존재하는 일들을 이 영화가 보여주고 있기 때문입니다.
세상에서 가장 강력하고 간단한 패스워드 해킹방법은 '1234' 또는 '1111'을 시험해보는 일입니다. 놀랍게도 너무나도 많은 아이디와 비밀번호 체계의 보안이 이러한 방법으로 간단하게 뚫립니다. 그리고는 조용히 그 아이디의 주인이 눈치채지 않는 한도에서 먹을 것을 꺼내 먹고 구석방을 차지하고 있으면 됩니다. 매트릭스에서 보여준 해킹 툴이나 전문가들 사이에서 공유되는 "취약점 정보' 같은 것들도 충분히 유용한 보안 이슈입니다만, 보다 더 근본적이고 보다 더 중요한 것은 이러한 간단한 보안의식인 것이지요. 열쇠로 문을 잠궈봐야 그 열쇠를 집앞 카페트 아래 넣어둔다면 그게 무슨 소용이 있겠습니까?
-----------------------------------------------------------------------------------
[여기서 잠깐!]
안철수연구소 APC3.0의 proactive defance 기능은 이러한 사용자의 보안의식 부재에서 인한 허점을 막아주도록 하고 있습니다. 공유 폴더의 무분별한 사용이나 너무 간단해서 노출되기 쉬운 패스워드의 사용 같은 것을 체크하여 사용자에게 알려주고 경우에 따라서는 그러한 것을 금지하도록 해줍니다. 얼핏 보기에는 쉽고 간단한 일이지만, 문단속을 잘하면 도둑은 보다 들어가기 쉬운 다른 집을 찾아가기 마련입니다. ^^
-----------------------------------------------------------------------------------
이제까지 영화속에 '보안'의 모습을 세가지 유형의 영화들로 나누어보았습니다. 사실 많은 영화들에게서 아직은 첫번째 유형을 보게 되는 것이 사실이고, 조금 더 잘만든 영화들에게서 2번 유형을 보게되는 것도 그리 쉬운 노릇은 아닙니다만, 보안세상을 소개하고자하는 입장에서는 세번째 유형의, 정말 보안이라는 것을 이해하고 영화 안에서 이를 쉽고 자연스럽게 녹여낸 영화가 반갑기 그지 없습니다. 아직은 그런 영화들이 많지 않은 것은 사실이지만, 또 그러한 영화들을 찾아내고 소개함으로써 보안이라는 것이 우리에게 성큼 더 다가올 수 있게 되지 않을까 하는 생각에서 어설프게나마 소개해보았습니다. 읽어주셔서 감사합니다. ^^
(전에 다니던 회사의 사보에 썼던 글이네요...)
