창과 방패인 해커와 개발자와의 싸움

창과 방패인 해커와 개발자와의 싸움

 

2012년 SBS에서 방영했던 ‘유령’이라는 드라마를 기억하시나요? 해커와 함께 활동하는 사이버수사대에 관련된 내용이었는데, 제 주변엔 초등학교 때 이 드라마를 보고 해커와 프로그래머의 꿈을 키우며 지금 고등학생이 된 친구들이 있습니다. 이 드라마 외에도 해커는 악당이지만 뭔가 전문성을 가지고 멋지게 활약하는 듯 보이는, 영화의 단골 소재이지요. 하지만 해커의 실제는 어떨까요?

올해 초, 직원들이 모두 퇴근하고 집에서 잠자리에 들 시간인 밤 11시쯤, 제가 현재 개발 및 관리하고 있는 쇼핑몰 서비스에 이상한 사용자가 발견되었습니다. 저희 서비스에는 쇼핑몰 내에서 포인트처럼 사용할 수 있지만, 이 포인트를 외부로 출금하면 거래소에서 현금으로 환전할 수 있는 토큰(가상화폐)이 존재합니다. 그런데 누군가 정당한 방법으로 포인트를 쌓지 않았음에도 다른 사람의 포인트를 자신의 것처럼 바꿔치기한 후에 대량의 토큰을 출금한 일이 모니터링 된 것입니다. 저를 비롯한 저희 팀원은 각자 집에서 부랴부랴 문제의 원인을 파악하고 그날 새벽까지 더 이상 출금이 불가능하도록 프로그램을 수정하여 황급히 서비스를 업데이트한 적이 있습니다. 물론 정상적인 사용 방법으로 이런 일이 가능했던 것은 아닙니다. 이 서비스를 개발한 저와 제 동료들이 미처 생각지 못했던 아주 작은 틈새들을 찾아내어 이 경로를 다 조합한 후 해킹에 성공한 것이지요. 대부분의 해킹사건의 경우 누가 그런 일을 벌였는지 그 해커를 찾기가 어려워 더 큰 문제가 되는데, 다행히 이번 사건은 해킹을 벌인 사람의 신원을 파악할 수 있었기에 법무법인에 사건을 의뢰한 상태입니다. 이 사건으로 저희 팀은 비록 작은 송아지를 잃고 외양간을 고친 셈이지만, 보안에 대해 더 공부하며 철저히 신경을 쓰고 있습니다.

이번 일을 겪으면서 드라마나 영화에서는 해커가 다른 목적으로 해킹을 하기도 하지만, 현실에서는 은행강도와 별반 다르지 않다는 사실을 뼈저리게 체감했습니다. 실제 서비스를 만든 우리보다 더 꼼꼼하고 자세하게 서비스를 파악하고, 눈에 보이지 않는 backend api(고객들이 실제 사용하는 웹이나 앱 화면과 그 이면에 눈에 보이지 않게 동작하는 프로그램을 연결하는 통로)까지 모두 완벽하게 분석을 해야 해킹이 가능하기에 그 사람들의 실력이 뛰어나다는 것은 부끄럽지만 인정할 수밖에 없었습니다. 그런 사람들이 자신의 시간과 노력을 들여 해킹을 시도할 때에는 그 대가가 반드시 있어야겠지요. 그게 바로 돈이고요. 은행을 털 수 있다면 제일 좋았겠지만, 그렇게 할 실력은 안되니 다른 서비스를 해킹하고, 부당하고 악한 방법으로 금전적 이득을 취하는 것이 바로 해커의 실체인데, 이 해커에 대한 인식이 일반인들 사이에서는 은행강도보다 미화되어 있다는 생각을 하게 되었습니다.

저희 팀원들도 모두 해커의 악랄한 행동들에 분개하며 사용자들 중에 조금이라도 이상한 낌새가 있다면 자동 감지되도록 눈에 불을 켜고 여러 장치들을 개발해 서비스 안에 심어놓았답니다. 무엇보다 프로그래밍에 뛰어난 실력을 가지고 있으면서 그 재능을 이런 악한 곳에만 사용하는 것이 무척 안타까웠습니다. 돈이라는 욕망으로 가득한 이런 해커들에게 윤리라는 개념이 있을 리 만무하지요.

 

그렇다면 우리 삶 어디든 IT기술이 사용되지 않은 곳을 찾아보기가 힘들 정도가 되어버린 이 시대에 그 최전방에서 노력하고 있는 프로그래머들은 더 이상 해커에게 당하지 않기 위해 어떻게 해야할까요? 한국인터넷진흥원(KISA)에서는 각종 사이버위협으로부터 예방·대응하기 위해 소프트웨어 개발단계부터 보안을 지킬 수 있도록 프로그래머들을 위해 소프트웨어 개발 보안 가이드와 각 언어별 시큐어 코딩 가이드(secure coding guide)를 제공하고 있습니다. 하지만 이를 다 지켜서 프로그래밍을 한다 해도 해커들은 언제나 또 새로운 방법으로 빈틈을 찾아내기에 해커와의 전쟁은 창과 방패의 시간 싸움일 것입니다. 그럼에도 가장 중요한 것은 소프트웨어를 개발할 때 ‘이거 하나쯤이야’로 넘어간 부분이 바로 악당들의 타겟이 되어, 나도 모르는 사이에 나 자신이 악당과 공범이 된다는 사실을 기억하며 책임감을 갖고 프로그램을 개발하는 것이겠지요. 현실은 개발을 완료해야 하는 데드라인에 쫓기고 예상치 못한 버그들이 나를 괴롭게 할지라도 말입니다.

앞으로 우리의 생활에 있어 AI의 활용 비중이 높아질수록 소프트웨어의 보안은 더욱 중요해질 것입니다. 해킹을 통해 얻어갈 수 있는 정보와 이득이 더 많아질테니 해커들은 이때까지 없던 방식으로 우리가 잠자는 사이에 또 활동을 하겠지요. 이런 시대에 한 명의 소프트웨어 개발자로서 더 탁월한 실력을 갖추는 것 뿐 아니라, 비록 하루종일 모니터를 바라보며 기계 앞에서 일을 할지라도 내가 만든 프로그램을 사용할‘사람’들을 생각하고, 그 사람들에게 긍정적으로 도움이 될 수 있는 소프트웨어를 개발해야겠습니다. 

 

IT 프로그래머 이찬휘

 

 

이 글은<행복한 동네문화 이야기 제139호>에 실려 있습니다.

 

< 행복한동네문화이야기 >는 

• '지역적 동네'뿐 아니라 '영역적 동네'로 확장하여 각각의 영역 속에 모여 사는 수많은 사람들의 다양한 스토리와 그 속에서 형성되는 새로운 문명, 문화현상들을 동정적이고 창조적 비평과 함께 독자들에게 소개하는 국내 유일한 동네신문입니다.
• 일체의 광고를 싣지 않으며, 이 신문을 읽는 분들의 구좌제와 후원을 통해 발행되는 여러분의 동네신문입니다.

정기구독을 신청하시면  매월 댁으로 발송해드립니다.
    연락처 : 편집장 김미경 010-8781-6874
    1 구좌 : 2만원(1년동안 신문을 구독하실 수 있습니다.)
    예금주 : 김미경(동네신문)
    계   좌 : 국민은행 639001-01-509699