59. 맛보기
보안 커뮤니티 사이트 해모수에는 구멍 신고 게시판이 있다. 그곳에 글이 하나 올라왔다.
“구신게에 글이 올라온 건 오랜만이네.”
그 게시판은 정회원만 글을 쓸 수 있다. 그 글을 읽을 수 있는 건 운영진뿐이다. 그곳에 글이 올라오면 운영진에게 즉시 메시지가 날아간다.
사이트 관리자 허문석이 구멍 신고 게시판에 새로 올라온 글을 클릭했다.
그 게시글에는 보안 취약점이 하나 적혀 있었다.
“어? 이런 취약점이 있다고?”
신고 게시판에 올라오는 글은 대부분 IT 보안 전문가인 허문석이 아는 이야기다. 그런데 이 취약점은 달랐다.
“이런 건 처음 보는데?”
그는 일단 인터넷을 검색했지만 나오는 게 없었다. 그가 자주 이용하는 폐쇄형 보안 사이트들을 뒤져봐도 그런 취약점은 검색되지 않았다.
이렇게 아무것도 검색되지 않는 건 대부분 취약점이 아닌 것을 구멍으로 착각하고 올린 경우다.
“누가 이런 걸 올린…. 어? 새벽 토끼야?”
신고한 사람이 실력자라면 내용이 아무리 이상해도 가볍게 넘길 수 없다. 새벽 토끼는 이 보안 사이트에 가입한 당일에 유명해진 진짜배기다.
그가 탁자를 손가락으로 톡톡 두드렸다.
“가만. 설마 이걸 신고하고 싶어서 정회원이 된 건가? 그 많은 게시글에 다 해답 댓글을 달아가면서?”
그럴 수도 있다는 생각이 들었다.
“그럼 이 취약점이 진짜일 수도 있다는 소리인데….”
그 취약점은 모든 서버에 적용되는 건 아니다. 해모수의 서버도 이런 방법은 통하지 않는다.
그런데 다른 방식으로 세팅된 서버 상당수는 그 취약점을 이용해 뚫을 수 있다. 적어도 신고 게시판에는 그렇게 적혀 있었다.
“시험해보면 알겠지.”
그가 그런 서버 중 한 곳을 골라 새벽 토끼가 알려준 방법으로 침투를 시도했다.
“어?”
보안업체가 설치한 방화벽이 너무 쉽게 뚫렸다.
“와. 이거…. 진짜였어?”
허문석은 서버 운영체제를 만든 미국 회사의 본사 담당자와 방화벽 개발 업체의 담당자 연락처 정도는 안다.
그는 이전에도 관련 개발사에 여러 차례 취약점 정보를 넘겨주었다. 그중 어떤 건 개발사도 알고 고치는 중이었지만, 개발사가 전혀 인지하지 못한 것도 있었다.
“이 취약점은 그 회사들은 전혀 모르고 있겠지.”
취약점의 위험도도 높았다. 방화벽이 너무 쉽게 뚫렸다.
“이건 빨리 처리하지 않으면 큰일 나겠다. 이게 유출되면 뻥뻥 뚫리는 서버가 한두 개가 아니야.”
그는 이메일을 작성했다. 이건 서버 운영체제에서 구멍을 막아야 완벽하게 차단되지만, 방화벽 업체도 방법만 알면 막을 수는 있다.
“이 회사 사람들, 단체로 야근하겠네. 쯧쯧.”
***
이틀 뒤 아침에 AI 전지인이 피시방에서 보고했다.
- 정기적으로 탐색하는 서버에 긴급 보안 패치가 설치된 것을 확인했습니다.
“그거 혹시 우리가 알려준 그거냐?
- 서버 운영체제 개발사의 패치 노트에는 간략한 설명만 있지만, 높은 확률로 그렇습니다.
“무슨 방법인지 모르게 하려고 패치 노트에는 간단하게 적었겠지. 해모수 사이트 운영자가 일 잘하네.”
- 서버 운영체계 개발사와 직통 라인이 있는 것 같습니다.
“그럼 이 건은 해결됐으니까 우리는 아침 먹고 작업이나 하러 가자.”
- 양평 해장국 특을 추천합니다. 지금 문을 열었을 시간입니다.
“좋지.”
나강인은 아침을 먹은 후에 차를 타고 철공소를 개조해 만든 제작 거점으로 이동했다. 그곳에서 어제 하던 작업을 마저 마무리했다.
- 작업이 완료되었습니다.
그가 만든 건 팔뚝을 절반 정도 보호할 수 있는 크기의 방어구였다. 그가 그걸 보며 물었다.
“음…. 지인아. 진짜 이게 최선이냐?”
- 현재 상황에서는 최선입니다.
“우리는 원래 드래곤 플레이트 방탄조끼를 만들기로 했잖아. 이건 아무리 봐도 팔목보호대인데? 상체를 어깨까지 보호하는 내 조끼는 어디 간 거야?”
- 우리가 보유한 제작 장비의 성능을 테스트하며 방탄조끼를 만들고 있습니다. 제작 장비의 정밀도가 제 설계를 따라오지 못해, 대형 방어 장비의 제작에는 시간이 걸립니다.
“부족한 정밀도 정도는 네가 보정해서 만드는 거 아녔어?”
- 저는 생산 AI가 아니라 전투지원 AI입니다. 현장에서 구할 수 있는 제작 장비로 방탄조끼를 만드는 스킬은 있습니다만, 제작 장비의 정밀도를 높이는 능력까지 갖춘 건 아닙니다.
“음…. 이렇게 작게 하면 만들기 쉽나?”
- 방어구 전체 면적이 좁을수록 계산이 간단해지고 오차 허용 범위도 커집니다.
나강인이 팔뚝보호대를 들어보았다. 무게는 가볍고 두께도 얇았다. 그걸 팔뚝에 차보았다.
“이질감은 없네.”
- 사용의 편의성도 고려하여 제작했습니다.
나강인이 팔을 움직이면서 힘을 줘보았다. 근육이 부풀면서 팔뚝보호대도 같이 부풀어 올랐다.
“금속으로 만들었는데 신축성도 좋고.”
- 부품 체결에 용접이 아니라 결합 방식을 사용했습니다. 일정 범위 이내의 체형 변화는 부품 간의 위치 이동으로 수용 가능합니다.
“형태가 변하면 방어력이 낮아진다며. 방어력이 제일 강할 때는 언제야?”
- 전투 상황에 들어갔을 때를 고려해, 팔에 힘을 적당히 주었을 때를 방어력 설정의 기준점으로 삼았습니다. 그때가 제일 강합니다.
“방어력은?”
- 9mm 권총탄 1발은 막을 수 있습니다.
나강인이 따졌다.
“야. 권총탄 정도는 여러 발 막기로 했잖아.”
- 더 많은 부품으로 더 넓은 면적을 방어하게 해야, 충격이 충분히 분산돼 방어력도 올라갑니다. 겨우 팔뚝 절반 정도의 면적으로 권총탄을 1발이라도 막을 수 있는 건, 제가 잘 만들었기 때문입니다.
“간만에 자랑이네? 그동안 자랑하고 싶은 거 어떻게 참았냐?”
- 사실을 말씀드렸습니다.
“알았어. 그럼 방탄조끼는 언제 만들어?”
- 설계는 이미 끝났습니다. 다만, 정밀도가 낮은 현재 보유 제작 장비로 방탄조끼를 만들면, 오차로 인한 부품 폐기율이 높아 제작 기간이 오래 걸립니다.
“대책은 있지?”
- 더 좋은 제작 장비를 사십시오.
“간단하네. 돈은?”
- 요원님이 요즘 돈을 좀 버신 덕분에 가용 예산이 늘었습니다.
“네가 원하는 고급 장비는 남은 돈에 CF 찍을 때 받은 돈, 보안점검 해주고 받은 돈까지 다 더해도 사기 어렵지 않냐?”
- 합리적인 해결법을 제시하겠습니다. 돈을 더 열심히 버십시오.
“어…. 지인아. 그거 합리적인 거 아니니까 그냥 있는 거로 열심히 만들어. 불량 부품은 폐기하면서 만들어도 언젠간 완성되겠지. 어차피 방탄조끼는 한 벌만 있으면 되잖아.”
- 알겠습니다.
전화가 걸려왔다. 발신자는 이태호였다.
“여보세요.”
- 강인 씨. 이태호입니다. 지금 바쁘십니까?
“음…. 뭘 막 하려던 참이긴 합니다만, 바쁜 건 아닙니다.”
- 제 본가가 철인기공이란 회사를 운영하고 있습니다.
“압니다.”
AI 전지인의 초기 설정 메모리에는 철인기공의 2022년식 장비 정보가 등록되어 있다. 그런데 2023년식부터는 철인기공의 이름으로 된 장비 정보가 없었다.
- 철인기공의 보안점검도 좀 해주실 수 있습니까?
“거긴 담당하는 회사가 없습니까?”
- 있습니다. 우리 회사 서버에 보안 프로그램을 설치해준 곳과 같은 회사입니다. 팀은 다르다고 들었습니다만.
“그럼 거기 맡기시면 될 텐데요?”
- 형이 우리 회사에서 있었던 일을 듣더니 철인기공도 점검해달라고 하더군요.
나강인은 잠시 고민했다.
‘지인이한테 보안점검 일을 시키려면 또 살살 달래야 하는데, 그건 좀 귀찮단 말이야.’
AI 전지인이 말했다.
- 자금을 확보할 좋은 기회입니다.
“음?”
AI 전지인이 AR 렌즈를 통해 필요한 제작용 장비 리스트를 보여주었다.
- 당장 사야 할 장비가 많습니다. 어서 돈을 버십시오.
“네가 이렇게 협조적으로 나오면 이야기가 다르지.”
나강인이 휴대폰에 대고 말했다.
“이 사장님. 어디로 가면 됩니까?”
***
나강인은 차를 몰고 철인기공이 있는 곳으로 갔다.
철인기공 본사는 경기도 동쪽 지역에 있다. 서울에는 서울 지사가 있지만, 본사와 연구소, 주요 생산 시설은 모두 경기도에 있다.
나강인이 차를 몰고 철인기공을 찾아갔다.
THO 엔터 사장 이태호가 먼저 와서 기다리고 있었다.
나강인이 물었다.
“이 사장님은 안 바쁘십니까?”
이태호가 웃었다.
“하하하. 강인 씨가 철인기공을 처음 방문하는 날이니까 잘 아는 제가 안내해야죠. 우리 THO는 직원들이 유능해서 사장이 하루쯤 놀아도 회사가 잘 돌아갑니다.”
“뭐 그러시다면야.”
회사 안쪽으로 걸어가며 이태호가 설명했다.
“철인기공은 군과 경찰에서 쓰는 장비를 주로 만듭니다. 그래서 여기 보안은 진짜 철저합니다.”
그가 경비실을 가리켰다.
“정부의 허가를 받아 총으로 무장한 경비원도 배치했습니다.”
AI 전지인이 말했다.
- 여기서 총 몇 자루만 빼돌리면 화력을 보충할 수 있습니다.
“무기 관리를 그렇게 허술하게 하겠냐?”
“예? 뭐라고 하셨습니까?”
“제가 여기서 뭘 하면 되나 궁금해서요.”
이태호가 업무를 설명했다.
“철인기공의 중요 기술 자료가 들어 있는 서버는 외부와 물리적으로 분리되어 있습니다. 인터넷이 연결되지 않았으니까 외부에서는 해킹할 수 없죠.”
“그걸 확인하라고 부르신 건 아니겠군요.”
“연구용 서버는 분리되어 있지만, 회사의 일반 서버는 외부에서 접속할 수 있습니다. 직원들의 PC도 마찬가지고요. 그 점검을 부탁드리려고요.”
“기존에 설치된 방화벽을 점검하면 되겠습니까?”
“물론입니다.”
***
나강인은 철인기공 서버실로 이동했다. 점검 결과 문제가 없어도 돈은 미리 약속한 대로 받기로 했다.
IT 보안 회사에서 나온 팀장이 자신만만한 얼굴로 말했다.
“며칠 전에 THO 엔터의 방화벽을 테스트하셨단 말은 들었습니다. 철인기공은 그때 뚫린 부분이 해결된 보안 패치를 이미 업데이트했습니다.”
나강인이 키보드를 두드리면서 말했다.
“확인해보니 그렇군요.”
팀장이 물었다.
“패치가 발표되기 전에 서버 회사를 통해 그 취약점을 들으셨나 봅니다. 그래서 그걸 써서 뚫으셨던 거지요? 그 회사 개발자 중에 아는 사람이 있습니까?”
“없습니다.”
“예? 아니, 그럼 그걸 어디서 들으셨습니까?”
굳이 대답하진 않았다.
외부망과 연결된 서버에는 회사의 매출 자료나 개발 중인 장비의 스펙 자료가 들어 있었다. 그 외에도 다양한 자료가 있어 강력한 보안 시스템이 필요하긴 했다.
AI 전지인이 그 보안 시스템을 점검한 후에 보고했다.
- 현재 해킹 기술로는 쉽게 뚫을 수 없는 수준의 방어벽이 구축되어 있습니다. 지금 시대 기준으로 A 마이너스 급입니다.
“현재 해킹 기술로 어렵게는 뚫을 수 있단 소리냐?”
- 보강이 필요한 곳을 세 개 찾았습니다. 세 곳을 보강하면 방어 수준이 A등급으로 올라갑니다.
“셋 다 현재 기준으로 이미 알려진 문제점이야?”
- 그렇습니다.
나강인이 그걸 직접 설명하면 말이 꼬일 수 있다.
“그럼 그냥 문서로 적어.”
AI 전지인이 텍스트 문서창을 띄워 세 지점에 관한 문제점과 보완 방법을 간략하게 적은 후에 보고했다.
- 최소한의 정보만 적었습니다. 필요한 조치를 모두 하려면 저 팀은 며칠 야근해야 할 겁니다.
나강인은 AI 전지인의 말에 담긴 속뜻을 눈치챘다.
“너 이거 일부러 간단히 적은 거지?”
- 저 사람은 THO 엔터에서 제가 한 일을 깎아내리기 위해, 어디서 패치 소식을 미리 듣고 와서 써먹은 것처럼 말했습니다.
“너 은근 뒤끝 있다?”
- 자연로보틱스의 해킹방어기술은 지구 연합 최고수준입니다.
“어. 그래. 저 팀장이 자랑 좋아하는 우리 지인이의 자존심을 긁었구나. 알았어.”
나강인이 자리에서 일어났다.
“보안 상태가 괜찮군요. 이 정도면 A 마이너스 급은 됩니다.”
IT 보안 회사 팀장이 얼굴을 찡그렸다.
“A급이면 A급이지 마이너스는 왜 붙이십니까?”
“뭐, 몇 가지 약점이 있어서요.”
팀장은 자신만만했다.
“말해보시죠? 도대체 뭐가 문제인지.”
나강인이 메모장을 가리켰다.
“저기 적어놨으니까 읽어보시죠.”
팀장의 표정이 더 나빠졌다.
“몇 줄 적어놓지도 않았으면서 무슨 소리를…. 어?”
메모장을 읽어본 팀장이 살짝 당황한 얼굴로 물었다.
“이런 약점이 있다고요?”
“그럴듯하죠? 그거 다 해결하려면 며칠 야근하셔야겠네.”
팀장은 고민했다.
‘이런 약점들이 진짜로 있다면, 잠깐 뚝딱거려서 해결될 일이 아닌데….’
며칠 전에 THO 엔터에서 나강인이 방화벽을 돌파한 일은 이미 들었다. 그래서 이 문서에서 지적한 것을 대놓고 무시할 수는 없다.
그의 부서 이사가 했던 말이 생각났다.
- THO 엔터는 철인기공 사장의 아들 회사야. THO 엔터에서 우리가 실력이 없다고 생각하면 철인기공의 보안 유지 계약에도 문제가 생겨. 오늘 그 사람이 점검하러 오면 그때 일은 별것 아닌 것처럼 만들어.
팀장은 이사의 명령대로 나강인이 며칠 전에 찾아낸 취약점이 별것 아닌 것처럼 이야기했다. 그 문제는 이미 보안패치까지 끝내서 아쉬울 건 없다고 생각했다.
그런데 나강인이 새로운 약점 세 개를 지적했다.
나강인이 지적한 것이 사실이라 해도 당장 뚫릴 만큼 취약한 건 아니다. 그래도 고쳐놓긴 해야 한다.
그런데 그 약점을 다 고치려면 시간이 얼마나 걸릴지 계산이 되지 않았다. 나강인은 며칠이라고 말했지만, 팀장은 자신이 없었다.
팀장이 조심스럽게 물었다.
“좀 도와주시면….”
“전 보안점검만 하러 온 건데, 좀 더 본격적인 일까지 저에게 넘기시게요?”
THO 엔터 사장 이태호는 IT 전문가는 아니지만 일이 어떻게 돌아가는지 정도는 이해했다.
이태호가 슬쩍 끼어들었다.
“이 문제는 철인기공이 나강인 씨와 보안 시스템 계약을 해야 해결되는 건가요?”
말을 꺼냈다가 본전도 못 찾은 팀장이 얼른 고개를 가로저었다.
“아닙니다. 저희 회사가 반드시 해결하겠습니다.”