말웨어와 그것을 감지하고 파괴하기 위한 싸움이 지속되고 있다. 그래서 침입자들을 모방하여 사용자의 컴퓨터에 피해를 주지 않고 존재할 수 있는 컴퓨터 바이러스를 만들었다. 이것은 그 자체로 코드를 만들며 감지되지 않도록 하는 것이다. Texas대학의 Vishwath Mohan과 Kevin Hamlen이 참여하고 있는 연구팀이 개발한 연구결과는 프랑켄슈타인 몬스터(Frankenstein’s monster)의 사이버 버전이다.

미공군으로부터 일부를 지원받고 있는 이 연구는 올해 USENIX 공격적 기술 워크숍(USENIX Workshop on Offensive Technologies)에 참석한 사람들에게 발표되었다. 여기에서 이 연구팀은 말웨어를 개발하여 단지 기기, 인터넷 익스플로러 또는 노트패드에 일반적으로 설치된 코드만으로 구성된 바이러스를 만드는 것이 가능한지를 보는 것이 목표라고 말했다. 과거 몇 년 동안의 이론적인 연구는 이것의 가능성을 주장하는 밑바탕이 되고 있다.
이러한 프로젝트의 전체적인 목적은 이 기술을 사용하여 기존의 안티 바이러스 프로그램에서 감지될 수 없는 바이러스를 만드는 것이 가능한지를 보는 것이었다. 그리고 만약 그것이 가능하다면 이 연구팀이 개발한 말웨어는 기술적인 개념에서 바이러스가 아닐 것이며, 어떠한 악영향도 발생시키지 않을 것이다. 이것은 단지 개념의 증거이다. 그들의 코드는 두 개의 무해한 알고리즘에서 구동될 수 있는 기기로부터 발생된진 새로운 코드의 생성을 결과로 만들게 된다. 그러나 이러한 알고리즘은 간단하게는 매우 유해하다. 이 연구팀이 개발한 코드의 가장 훌륭한 점 중 하나는 컴퓨터를 감염시킨 부분이 스스로 조정되어 정상적인 기기의 일부와 같게 된다. 그래서 어떤 근거도 남겨놓지 않게 된다.

물론 새로운 종류의 말웨어를 만드는 것이 숨기고 싶어하며, 더 악의적인 소프트웨어를 만드는 사람들보다 한걸음 앞서서 방지할 수 있도록 해주는 것이다. 그리고 연구자들이 말웨어를 피해갈 수 있는 시간을 미리 확보하도록 해주는 것이다. 이러한 경우에, 어떤 사람들은 새로운 말웨어를 감지할 수 있는 최선의 방법은 마커를 감지하기 위해 스캐닝을 하는 것보다 코드에 의한 부적당한 동작을 감지할 수 있는 보안 소프트웨어를 만드는 것이라고 주장하고 있다. 이것은 모든 안티바이러스 소프트웨어가 현재 컴퓨터 시스템에서의 감염을 사실상 발견하는 것이다.

스마트폰과 태블릿을 소유한 이용자들은 애플과 안드로이드 앱에서 자신들이 어디에 있는지에 대한 위치정보를 다운로드 하도록 하고 있는데, 보안 전문가들은 이에 대해 직접적으로 반대의사를 표명하기 보다는 GPS 기능을 반드시 필요한 경우가 아니면 이를 비활성화하라고 주장하고 있다.

Kroll Advisory Solutions社의 수석책임자인 알란 브릴(Alan Brill)은 이용자들이 어디에 거주하는지 알리고 싶어하지 않을 것이라고 말했다. 그는 GPS 칩을 내장한 스마트폰이 위치정보가 입력된 사진을 소셜 네트워크 사이트에 업로드함에 따라 발생할 수 있는 프라이버시 침해 이슈에 대해 제기한 바 있다. 실제로 위치정보를 얻기 위해 군대에서도 상대방이 업로드하는 사진에 대한 분석을 실시하고 있다고 그는 지적했다.

Kroll Advisory Solutions社는 GPS를 비즈니스에 활용하는 것은 분명히 상당한 이익을 가져다주는 측면이 있다고 밝혔다. 그러나 최근 유럽을 비롯한 세계 주요 국가에서는 위치정보를 민감한 정보(sensitive data)로 간주해야 한다는 의견이 모아지고 있다. 이는 즉, 기업들이 마케팅 활동의 일환으로서 수집하고 활용하는 이용자들의 위치정보가 만일 유출된다면 심각한 개인정보 침해 사건으로 이어져서 법적인 손해배상 소송에 직면할 수 있게 된다는 것을 의미한다.

브릴은 특히 어린이들과 십대들이 온라인상에 업로드하는 사진의 위치정보에 대해 우려를 표했는데, 왜냐하면 그들은 이 정보로 낯선 사람들이 그들의 위치를 쉽게 찾아볼 수도 있다는 사실을 충분히 알지 못할 것이기 때문이라고 말했다. 대부분의 경우 GPS 기능은 비활성화되는 경우가 많은데, 이 상태를 권고한다고 그는 말했다. GPS를 통해 길 안내를 받을 수도 있지만, 오늘날 개인의 GPS 정보가 어떻게 수집되어 활용될지에 대해 예상치 못한 결과가 나타날 확률도 적지 않다.

위치정보서비스 업체인 GFI Software社는 최근 미 대선 주자인 오바마 대통령과 미트 롬니 후보의 대선 유세활동을 위해 개발된 앱이 어떻게 유권자의 디바이스에서 GPS 정보를 수집하는지에 대해서 밝힌 바 있다. 구글 안드로이드와 애플의 iOS 앱은 Mitt`s VP, 그리고 Obama for America로 명명되었는데, 이들은 모두 공식 애플과 안드로이드 앱 마켓에서 다운로드할 수 있으며, 이 앱을 통해 대선 유세 활동에 유권자들이 직접 참여할 수 있도록 하고 있다.

그러나 GFI의 악성 소프트웨어 방지 제품 관리자인 도디 글렌(Dodi Glenn)은 오바마와 롬니의 앱 모두 유권자의 태블릿 또는 스마트폰에서 더 많은 유권자 정보를 모니터링하고 통제할 수도 있다고 주장했다. 롬니 앱은 유권자 모바일 디바이스의 카메라와 오디오 마이크를 활성화시킬 수 있다고 글렌은 지적했다. 롬니와 오바마 앱은 모두 이용자의 주소록을 파악할 수 있으며, 이들을 업로드할 수도 있다고 그는 주장했다. 이 앱 모두는 GPS 기능을 활용하여 유권자의 위치정보를 확보할 수 있다고 그는 덧붙였다.

그는 Obama for America 앱이 유권자의 위치정보를 보다 적극적으로 활용할 수 있는 기능을 제공한다고 지적했다. 즉, 오바마 앱은 미국 지도상에서 민주당 지지당원이 어디에 살고 있는지 확인할 수 있다. 오바마 앱은 지원자들에게 이웃들을 일일이 방문하여 그들에게 지지를 이끌어내기 위한 정보를 제공할 수도 있다고 글렌은 말했다. 이는 사실 조금 오싹한 이야기일 수 있다고 그는 덧붙였다.

글렌은 유권자들이 자신들의 디바이스에 추출한 GPS 데이터 수집에 대해 강력한 거부 의사를 표명해야 한다고 주장했다. 그는 앱이 유권자의 위치정보 수집을 허용하는데 대해 명확한 동의절차를 거치도록 하는 것이 필요하며, 이에 대한 유권자들의 판단을 거치도록 하는 것이 중요하다고 말했다. 이는 명확하게 프라이버시와 관련되는 사항이며, 이에 대한 우려를 불식시키기 위한 노력이 뒤따라야 한다고 그는 강조했다. 아울러 그는 유권자 혹은 이용자들은 자신이 무엇을 다운로드하고 있는지에 대해서도 고민하는 자세가 필요하다고 덧붙였다.

가장 정교한 전자 보안조차도 패스워드를 알아내려는 사람들에 의해서 깨질 수 있다. 그러나 민감한 정보가 두뇌에 저장되는 것처럼 의식적으로 공개할 수 없는 방법이 있다면, 침입하지 못하게 될 것이다. 이것은 신경과학과 암호가 결합한 새로운 기술을 약속하는 것이다. 초기 테스트에서 지원자들은 패스워드를 배웠고 후에 테스트를 통과하기 위해서 패스워드를 사용하였다. 그러나 언제 그러한 것을 요청받았는지에 대하여 감지할 수 없었다.

이 시스템은 암묵적 학습(implicit learning)이라는 것에 기초하는 것으로서 이것은 사람들이 무의식적으로 패턴을 배우게 되는 과정을 말한다. 캘리포니아 스탠포드대학의 Hristo Bojinov와 동료들은 키를 눌러서 떨어지는 사물을 가로채는 게임을 디자인하였다. 이 사물들은 각각 다른 키에 대응하는 6가지 위치 중 하나에서 보여진다.

게임을 하는 사람들이 알지 못하는 사물의 위치는 항상 랜덤하지 않다. 게임 안에서 30가지의 연속적인 위치의 순서가 숨겨져 있고 게임을 하는 30~45분 동안에 100회 이상 반복되어지게 된다. 게임을 하는 사람들은 연속된 라운드에서 이러한 순서를 접하게 되었을 때 보다 적은 에러를 만들어내게 된다. 그리고 2주 후에 그들을 테스트했을 때 이러한 학습이 지속되었다.

이 연구결과는 게임이 보안 시스템의 기본을 형성할 수 있다는 것을 주장해주는 것이다. 사용자들은 초기 세션 동안 독특한 순서를 배우게 되며, 나중에 그들은 같은 게임을 하면서 그것을 알게 된다는 것을 증명할 수 있었다. 결정적으로 이전의 연구는 사람들이 이러한 방법으로 배우는 순서들을 연결할 수가 없었다.

이러한 현상은 일상 생활에서 발생하게 된다. 예를 들어, 사람들이 사용하고 있는 문법에 존재하는 규칙을 의식적으로 알지 않아도 문장에서 새로운 단어를 정확히 포함시킬 수 있다.

패 스워드를 가진 사람에게 유사한 게임을 하도록 하거나 몇가지 에러를 만들었을 때 볼 수 보여질 수 있는 순서를 발견하도록 하는 것이 가능할 것이다. 그러나 순서가 6가지의 다른 위치에서 눌러야 하는 30개 키로 구성되어졌기 때문에 순서를 짜깁기 할 기회는 매우 적다. 1년 동안 쉬지 않고 테스트를 한 100명의 사용자들은 순서를 찾아내는데 6만 번의 기회 중에서 1번보다 적은 결과를 갖게 되었다고 개발자들은 추정했다.

이 시스템은 상업적으로 사용되기 전에 더 사용하기 쉬워져야 한다. 그리고 다른 보안 시스템들처럼 사용자들을 인증하는데 사용하는 시스템에서 해킹되어져 깨질 수 있다. 이러한 이유 때문에 Bojinov은 이것이 핵시설이나 군사시설에 들어가는 것처럼 코드가 필요한 높은 위험을 가진 상황에서의 애플리케이션을 찾는 것 같다고 말했다.

이 시스템은 바이오인식에 대한 잠재적인 잇점을 가지고 있다. 이것은 홍채 패턴과 같이 독특한 특징을 인식하는데 의존하고 있다. “인증은 사용자의 일부분에 대하여 특별한 노력을 필요로 하지 않는다. 만약 훈련과 인증을 위한 시간이 감소되어진다면 바이오인식에 대한 몇가지 잇점들은 생체인식이 부족한 특징들과 결합되어질 수 있을 것이다. 그래서 바이오인식을 대체할 수 있는 능력을 갖게 될 것이다.” 라고 메사추세츠주 캠브리지에 있는 RSA연구소장 Ari Juels가 말했다.

Bojinov는 이 연구결과를 8월 8일 워싱턴 Bellevue에서 열리는 USENIX 보안심포지움에서 발표할 예정이다.

usenixsec2012-rubberhose.pdf