지난해 여름, MS블래스터 웜을 연구중이던 몇몇 보안 전문가들은 생소한 ‘식물학’을 파고들기 시작했다. 컴퓨터 바이러스 예방책에 관한 실마리를 찾기 위해서다.
|
|
 수십 년 전 ‘네덜란드 느릅나무 마름병(Dutch Elm Disease)’은 대서양을 횡단해 미국에 상륙, 일부 느릅나무 종을 거의 멸종시키다시피 했다. 과학자들은 이 같은 식물 전염병의 확산에 착안해 컴퓨터 바이러스와의 비교 연구를 진행하기에 이르렀다.
느릅나무 마름병의 감염 행태는 MS블래스터의 그것과 유사하다. 느릅나무 마름병이 일부 품종만 멸종시킨 것과 마찬가지로, MS블래스터는 전체 컴퓨터중 한 종류(이 경우 윈도우를 사용하는 컴퓨터가 해당된다)에 대해서만 감염이 진행됐다.
매사추세츠 대학 생물학과 제프 듀크스 교수는 “생물학자들이 예상하지 못하는 새로운 병균이 나타나는 것처럼 MS가 예상하지 못하는 바이러스가 개발되고 있는 것”이라며 “새로운 병균은 숲에 커다란 충격을 가해 결국 하나의 종이 완전히 사라지게 됐다”고 그 파괴력을 경고했다.
일부 컴퓨터 보안 전문가들은 병균이 식물 품종을 멸종시키는 현상과 바이러스가 인터넷 인프라를 공격하는 것에 유사성이 있다고 주장한다. 하나의 기술, 하나의 소프트웨어, 하나의 프로토콜에 대한 의존이 결국 ‘디지털 단식농법’ 현상으로 나타난다는 것이다. 단식농법은 단일 병균에 해당 생태계 전체가 위협을 받는 구조를 일컫는 식물학 용어다.
그렇게 해야만 특정 버전을 목표로 제작된 하나의 바이러스 때문에 전체 인프라가 위험에 빠지는 일을 막을 수 있다는 것이다.
보안업체 버다시스의 수석 연구가인 댄 기어는 “다수의 대상 개체들이 하나의 특정 병균에 감염될 수 있을 만큼 충분히 유사한 성질을 가질 경우, 대대적인 전염병이 창궐하게 된다”고 지적했다. 그는 IT가 단식농법의 폐해에서 배울 점에 관한 보고서를 공동 작성한 인물이기도 하다.
IT가 아닌 다른 분야의 과학자들도 이 문제에 대해 우려를 제기해왔다. 미국 연방질병통제센터가 발행한 ‘새롭게 부상하는 전염병’에서 트루디 M 와세나르와 마틴 J 블레이저 두 미생물학자는 컴퓨터 바이러스와 실제 병균간의 유사성을 역설했다.
그들은 “실제 병균은 신속하게 변이하고 새로운 발병/전이 경로를 찾고 숙주의 면역성을 피하기 위해 항원변종을 만들어 낸다. 컴퓨터에서의 웜도 이와 비슷한 행태를 보인다”고 썼다.
두 미생물학자는 “웜이 성공적으로 전송되면 그 다음엔 빠른 속도로 변종이 생성된다. 변종은 원래 종자와 피해양태는 비슷하지만 종자를 막기위해 설치된 탐지 및 방지 메커니즘은 피해갈 수 있다”며 “두 분야가 많은 부분 유사한 만큼 생물학 분야의 지식을 치명적인 컴퓨터 바이러스에도 적용시킬 수 있다”고 강조했다.
단일 시스템 의존이 가장 큰 취약점
보안 전문가들은 인터넷을 구성하는 요소들 중 ‘상호 유사성’, 즉 단식농법의 취약성과 같은 약점을 갖는 부분을 파악하고 나섰다. 지난해 11월 미국립과학재단(NSF)은 3명의 대학 연구진에 연구비 75만달러를 지원하고, 정보 인프라상의 취약지점이 어디인지, 또 그 숫자는 얼마나 되는지 파악하도록 했다.
 |  | | | 생물학자들이 예상하지 못하는 새로운 병균이 나타나는 것처럼, MS가 예상하지 못하는 새로운 바이러스가 개발된다
| | | - 매사추세츠 대학 생물학과 교수 제프 듀크스 | | |   | 이 프로젝트에 참여한 연구진 가운데 한 명인 카네기 멜론 대학 컴퓨터공학부 마이크 라이터 교수는 “이 프로젝트는 메모리 레이아웃과 같은 바이러스의 공격대상 지점을 알아내는 것이다. 컴퓨터들은 1차 근사(approximation)에 있어서는 거의 같은 양상을 보이며, 이는 즉 한가지 방식으로 모두 공격받을 수 있다는 의미”라고 설명했다.
라이터 교수를 비롯한 카네미 멜론 대학과 뉴 멕시코 대학의 연구진들은 단식농법 이론을 적용해 문제의 근원을 찾아내고, 나아가 그 해법까지 제시하게 된다.
자연에서 교훈을 얻는다면 그 해법목록의 가장 윗부분은 ‘다양성’이 차지하게 될 것으로 예상된다. 단식농법에 의한 폐해중 가장 유명한 것은 ‘아일랜드 감자 대기근’이다.
19세기 초반까지 아일랜드 농민들은 귀리, 보리, 호밀과 함께 수십종의 감자를 경작했다. 그러나 북유럽 토양과의 궁합 등을 이유로 농민들은 ‘럼퍼(lumper)’라는 감자만 재배하기 시작했으며, 1840년경에 이르러서는 럼퍼 외의 감자는 거의 경작되지 않게 됐다. 당시엔 약 300만명의 사람들이 감자를 주식으로 삼고 있었다.
1845년 병균이 돌아 감자가 말라죽기 시작했고 그로부터 2년이 채 안돼 100만명의 사람들이 영양실조와 기아로 사망했다. 아일랜드 역사학자들은 이 사건을 계기로 아일랜드의 감자 품종이 다양해졌다고 설명한다. 대규모 기아사태가 발생한지 2년 후엔 원래 200만에이커에 이르렀던 럼퍼 감자 경작지는 30만에이커로 줄어들었다.
| | | | 대상 개체들이 특정 병균에 감염될 수 있을 만큼 충분히 유사할 경우, 대대적인 전염병이 창궐하게 된다
| | |  | - 버다시스 수석연구가 댄 기어 |
| | | | 이 같은 교훈에도 불구하고 세계 곳곳에서는 다양성의 결핍으로 인한 생태계 파괴가 계속해서 벌어졌다. 1990년대 초 미국 남부에서는 목화가 꼬투리벌레 감염에 무방비로 노출돼 큰 피해를 입었다.
지금도 마찬가지다. 바나나중 오늘날 가장 많이 재배되고 있는 한 품종은 매년 40∼50%가 병균에 죽어나가고 있어 곧 멸종될 위기에 처했다.
또 브라질 전체 오렌지 나무의 85%를 차지하고 있는 한 오렌지 나무 품종은 ‘서든 데스’로 불리는 전염병에 취약한 것으로 알려졌다. 브라질은 세계 최대의 오렌지 생산국이다.
이 같은 전염병들은 단식농법을 타고 급격히 전파되면서 컴퓨터 보안 분야에 있어서 또하나의 교훈을 던져주고 있다. MS블래스터는 수일만에 인터넷을 쑥대밭으로 만들었지만 그래도 MS SQL 슬래머 웜에 비하면 한참 느린 편이었다. 슬래머 웜은 단 10분만에 인터넷에 존재하는 취약한 서버의 90%를 감염시켰다.
|
자연의 교훈 '다양화'가 해법일수도
생물학자들과 환경론자들의 다양성에 대한 촉구는 컴퓨터 보안 전문가들에게까지 이어지고 있다. 기술에 다양성을 적용하려는 이들은 경제에 있어서 컴퓨터가 대단히 중요한 비중을 차지하게 된 만큼 보안을 위한 다양성의 중요함이 더욱 부각되고 있다고 말한다.
기어는 “우리가 인터넷에 의존하면 할수록 시스템 보안에 대한 필요성은 더 커진다”고 강조했다.
기어가 주축이 된 일단의 보안 전문가들이 지난해 10월 작성한 보고서는 한 종류의 소프트웨어에 지나치게 의존하는 것에 대한 위험을 농업 분야의 예를 들어 설명했다. 이들은 “MS의 시장 지배가 컴퓨팅 세계와 인터넷의 단식농법으로 이어지고 있다”고 경고했다.
보고서 작성인중 한 명인 인터넷 위험관리 전문업체 인터넷페릴즈 사장 존 쿼터맨은 “인터넷에서 발생한 최근 공격의 대부분은 특정 애플리케이션, 즉 MS가 개발한 아웃룩과 인터넷인포메이션서버(IIS)을 목표로 하고있다”고 말했다.
이 보고서는 MS 외의 업체들이 개발한 비윈도우 제품을 포용한다면 현재의 소프트웨어 생태계는 훨씬 다양해지고 따라서 그만큼 안전해질 것이라고 주장했다.
“농민들은 두가지 이상의 품종을 재배함으로써 전염병에 대비한다. 컴퓨터에서도 이와 마찬가지로 다양성을 도입한다면 바이러스 하나에 전체 인프라가 위험에 빠지는 일은 막을 수 있을 것이다”
| | | | 생물학적 다양성과 컴퓨터의 다양성에는 엄연히 차이점이 있다
| | |  | - MS 최고보안전략가 스콧 차니 |
| | | | 한편 이 같은 주장에 대해 MS는 자연과 컴퓨터의 비교는 한계가 있다는 입장이다. 이 회사 최고보안전략가(CSS)인 스콧 차니는 생물학적 다양성과 컴퓨터의 다양성에는 엄연히 차이점이 있다고 반박한다.
그는 운영체제만 바이러스 공격에 취약한 것은 아니라는데 주목했다. 지난해 슬래머 웜은 뱅크오브아메리카, 워싱턴뮤추얼을 비롯한 여러 은행의 ATM을 무력화 시켰는데, 이는 ATM들이 사용한 네트워크의 문제였을 뿐 같은 소프트웨어를 사용한 것은 문제가 아니었다는 설명이다.
또한 생물학적으로 품종을 다양화시키는 것과 달리 기술분야에서 다양성의 증가는 곧 시스템을 그만큼 복잡하기 만드는 것이기 때문에, 결국 보안 강화는 커녕 보안 약화를 초래한다고 차니는 주장했다.
“여러 종류의 감자를 관리하는 것이 한 품종의 감자를 관리하는 것보다 어려운가? 별로 어렵지 않다. 여러 종류의 컴퓨터 시스템을 관리하는 것이 하나를 관리하는 것보다 어려운가? 당연히 그렇다"
기어는 차니의 이 같은 주장을 인정했지만, 제대로 된 방어계획에 덧붙여 MS가 핵심 운영체제 구성요소들을 경쟁사들이 연동할 수 있도록 한다면 차니가 지적한 문제를 개선할 수 있다고 말했다.
그는 “물론 슬래머는 MS 소프트웨어를 사용하는가 여부는 따지지 않는다”며 “하지만 이는 방어계획이 제대로 됐는가의 문제다. 제대로 된 계획이란 깊이있는 방어책을 말한다. 그리고 깊이있는 방어책은 결코 획일적인 시스템 위에서는 구현할 수 없다”고 목소리를 높였다.
MS보다 더 무서운 것은 SNMP
대부분의 보안 문제는 MS에게 화살을 돌릴 수 있지만, 사실 MS의 독점보다 더 심각한 단식농법의 폐해는 따로 있다. 바로 인터넷 라우팅 인프라의 상당부분을 구성하고 있는 SNMP.
2년 전 핀란드의 한 대학 연구진이 SNMP의 보안 결함을 발견하자 통신업체 및 ISP들 사이에서 우려가 확산됐는데, 다행히 이 기업들은 해커가 SNMP 결함을 악용하기 전에 조치를 취해 큰 재앙을 모면할 수 있었다.
사실 생물학적 생태계와 컴퓨터 생태계의 바이러스에 있어 가장 두드러진 차이점은 바로 인간적인 요소다. 해커들은 정보 체계의 최상위 품종에 그만큼 더 많은 관심을 두게 된다. 하지만 생물학적 생태계에는 이런 인간적인 판단의 요소는 없다.
매사추세츠 대학의 듀크는 “자연이 주는 분명한 교훈은 안정성 측면에서 다양성이 더 유리하다는 것”이라며 “바로 이 점이 내가 맥을 계속 고집하고 있는 이유”라고 말했다. @
 | | 단일 재배, 단일 기술, 단일 시스템에 의존한 사례는 역사적으로 수없이 많다. 그리고 그 대부분은 재앙으로 결말이 났다. |  |  | |  | | 아일랜드 농민들은 여러 품종의 감자를 재배하다가 서서히 북유럽 기후에 가장 잘 맞는 하나의 품종만 재배하게 됐다. 결국 이 같은 단식농법은 전염병에 의해 철저히 파괴됐고, 1845년 아일랜드에는 감자 대기근이 닥쳐 2년간 무려 100만명이 사망했다. | | 과거 미국 경제는 남부의 목화 산업에 크게 의존했다. 1892년 멕시코 접경지역에서 발생한 병충해는 미국 남부를 관통, 전체 목화의 10%를 파괴하게 된다. 역사학자들은 미국 남부에 가장 큰 변화를 불러일으킨 사건으로 남북전쟁에 이어 이 목화 병충해를 꼽고 있다. |  | |  | | 느릅나무는 그 아름다운 자태와 공해 정화능력 덕분에 미국의 많은 교외 거리에 심어졌다. 1931년 네덜란드 느릅나무 마름병이 프랑스에서 싣고 온 통나무를 통해 미국에 상륙했고, 이 전염병은 순식간에 미국의 일부 느릅나무 품종을 완전히 파괴시켰다. | | 세계 최대의 오렌지 생산국인 브라질에는 총 2억 8000만개의 오렌지 나무가 심어져 있다. ‘서든 데스’로 불리는 신종 전염병이 창궐, 브라질의 이 오렌지 나무들을 파괴시키고 있다. 브라질의 전체 오렌지 나무의 85%가 서든 데스에 취약한 이 오렌지 나무 품종이다. |
 |  | |  | | MS 윈도우에는 사용자간 파일과 프린터 등을 공유하기 위한 구성요소가 있다. 이 구성요소의 보안 결함이 밝혀진지 한달 후인 2003년 8월, 이 결함을 이용한 MS블래스터 웜이 확산되기 시작해 수많은 컴퓨터를 감염시켰다. | | SNMP는 라우터, 스위치와 프린터 등 네트워크 장비의 상호간 통신에 사용된다. 2002년 봄 SNMP의 보안 결함이 발견되자 통신장비에 대한 대대적인 업그레이드가 진행됐는데, 당시 장비 업그레이드 규모는 사상 최대였다. |
|
|