시사 한겨레 ⓘ한마당

오픈소스 소프트웨어 '치명적 구멍'…기업·정부기관 등 대응 분주

국정원 "긴급점검 실시…국가·공공기관 해킹 피해사례 없어"

온라인게임 '마인크래프트' [AP=연합뉴스]

거의 모든 인터넷 서버에서 광범위하게 사용되는 소프트웨어에 치명적 보안 취약점이 발견돼 전 세계 사이버 보안 업계가 발칵 뒤집혔다고 AP통신이 10일 보도했다.

게임 서버나 클라우드 서버를 운영하는 정보기술(IT) 기업체는 물론이고 웹사이트를 운영하는 기업들, 심지어 정부 기관까지 이 소프트웨어를 활용하고 있어 심각한 해킹 위험에 노출될 수 있다는 우려가 제기된다.

AP통신 보도에 따르면 문제가 지적된 소프트웨어는 오픈소스 로깅 라이브러리 '로그4j'(log4j)다. 로깅이란 서버·프로그램 등의 유지 관리를 목적으로 동작 상태를 기록으로 남기는 일을 말하는데, 사실상 거의 모든 서버가 이 라이브러리를 사용하는 것으로 알려졌다.

이날 발견된 취약점을 공격하면, 해커들이 목표 대상 컴퓨터의 모든 권한을 취득할 수 있다.

비밀번호도 없이 서버를 통해 내부망에 접근해 데이터를 약탈하거나 악성 프로그램을 심어 실행시키고, 심지어는 자료를 삭제할 수도 있다고 AP통신은 보도했다.

이 취약점은 역대 비디오게임 판매량 1위인 온라인게임 '마인크래프트'에서 처음 확인됐다.

자바(Java) 언어로 개발된 마인크래프트 버전에서 프로그래밍 코드로 이뤄진 특정 채팅 메시지를 입력하면 대상 컴퓨터에서 원격으로 프로그램을 실행시킬 수 있는 것으로 나타났다.

마인크래프트를 보유하고 있는 마이크로소프트는 즉시 업데이트를 적용하고 "업데이트를 적용한 고객들은 보호받을 수 있다"고 공지했다.

이 취약점은 '로그4셸'이라는 별칭이 부여됐다.

오픈소스 프로젝트를 지원·관리하는 아파치소프트웨어재단은 이 취약점의 보안 위협 수준을 1∼10단계 중 최고 등급인 '10단계'라고 평가했다.

사이버 보안 업체 크라우드스트라이크의 애덤 메이어스 전무는 "서버 관리자들은 패치를 서두르고 있고, 해커들은 취약점 공격을 시도하고 있다"며 "이미 이 취약점이 '무기화'됐다"고 밝혔다. 해커들이 취약점을 공격할 도구 개발을 마치고 이미 공격에 들어갔다는 의미다.

전문가들은 문제가 마인크래프트에서 처음 발견됐을 뿐 사실상 모든 서버가 위험한 상태라고 지적한다.

보안 업체 텐에이블의 아밋 요란 최고경영자(CEO)는 이 취약점에 대해 "지금 위험에 처하지 않은 회사가 없다"며 "최근 10년간 가장 치명적이고 거대한 취약점이다. 현대 컴퓨터 역사를 통틀어 최악의 보안 결함일 수도 있다"고 말했다.

그는 "이미 서버가 공격당한 것으로 가정하고 최대한 조치를 서둘러야 한다"고 강조했다.

특히 애플, 아마존, 트위터, 클라우드플레어 등 거대 IT기업 역시 로그4j를 이용하고 있어 위험에 노출된 상태다.

이 중 클라우드플레어는 자사 서버가 공격받았다는 징후는 아직 파악된 바 없다고 밝혔다. 애플, 아마존, 트위터 등은 AP통신의 관련 질의에 응답하지 않았다.

국내 공공기관 및 정부의 해킹 피해는 아직 없는 것으로 보인다.

국가정보원은 "금일 자정경부터 실태 파악, 정보공유, 보안패치 안내 등 선제적 조치를 취했다"면서 "긴급 점검 결과 현재까지 국가·공공기관 대상 관련 해킹 피해 사례는 없는 것으로 확인됐다"고 밝혔다.

국정원은 피해 예방을 위해 취약점 보안패치 적용 등 보안 대책을 국가 사이버 위협정보공유시스템(NCTI), 인터넷용 정보공유시스템(KCTI)과 사이버안보센터 홈페이지를 통해 안내했다.

로스앤젤레스시 내년 1월 법안 제출

3개 등급 분류 “소통과 대비 쉽게”

전국 대부분 지역에 폭염 특보가 이어진 지난 7월25일 오후 한 시민이 자전거를 타고 가는 서울 영등포구 여의대로 위로 아지랑이가 피어오르고 있다.

미국에서 폭염에 태풍처럼 등급을 매기고 이름을 붙이는 방안이 추진된다.

캘리포니아 로스앤젤레스 시당국은 최근 “시민들에게 폭염 위험을 쉽게 알리고 경각심을 높이기 위해 폭염을 3등급으로 나누고 이름을 붙여 소통하는 법안을 내년 1월 제출할 예정”이라고 밝혔다.

미국에서는 <에이비시> <웨더뉴스> 등 일부 방송사가 허리케인뿐만 아니라 겨울폭풍에도 이름을 붙여 사용하고 있지만, 폭염에 대한 등급과 명명은 이번이 처음이다.

법안을 준비중인 리카르도 라러 로스앤젤레스시 보험담당관은 “폭염 등급화가 입법화하면 지역사회가 폭염 관련 사망자를 줄이려는 노력에 도움이 될 것”이라고 <워싱턴포스트>에 말했다.

로스앤젤레스가 위치한 캘리포니아 남부에서는 지난 50년 동안 폭염이 더 자주, 강하고, 오래 지속되고 있다. 로스앤젤레스의 경우 1980∼2000년에 연평균 6일이던 폭염 일수가 2050년에는 22일까지 늘어날 것으로 예상되고 있다.

그리스·스페인 등 5개 도시도 준비중

폭염 등급화 방법론은 기후변화 적응 및 회복을 위해 활동하는 컨설팅기구인 ‘아드리안 아슈트 록펠러 회복 센터’가 마련했다. 이 기구는 현재 로스앤젤레스를 비롯해 미국 캔자스시티, 밀워키, 마이애미-데이드, 그리스 아테네, 스페인 세비야 등 6개 도시에서 폭염 등급화를 추진하고 있다.

폭염 등급 연구팀의 래리 컬크스테인 수석과학고문은 “폭염 등급은 일종의 기상경보시스템이다. 곧 ‘40도가 될 것’이라고 말하는 대신에 ‘몇 명이 죽을 수 있다’고 알리는 것”이라고 말했다. 연구팀은 현재 3단계 등급을 만들고 있다. 등급 1은 예상 사망자 수가 상대적으로 낮고 일일 사망률이 0~10% 증가할 수 있음을, 등급 3은 올해 6월 발생한 미국 북서부와 캐나다 남서부 지역 폭염처럼 사망자 수가 크게 늘어날 가능성을 나타낸다.

각 등급에 따라 극심한 폭염의 영향을 완화하는 데 도움이 될 조처들이 함께 제시된다. 예들 들어, 등급 3 폭염이 발표되면 시립 수영장을 개방하고 에어컨이 갖춰진 피난처를 제공하며 노인들을 더 자주 찾아가도록 방문 점검 서비스를 활성화하도록 할 수 있다. 또 폭염기간에 언제든지 냉방장치를 틀 수 있도록 전기요금을 미납했더라도 전력회사가 전력 공급을 중단하지 못하도록 한다. 실외 작업자의 일정 변경을 강제하기도 한다.

연구팀은 폭염 경보와 등급 발표에 대한 미국 기상청(NWS)의 승인을 신청해놓은 상태다. 연구팀은 기상정보제공 기관과 관계자들이 접근할 수 있는 대화형 누리집을 구축해 15분마다 갱신되는 정보를 제공하는 것을 목표로 하고 있다.

연구팀은 또 지방정부로부터 허가를 받아 그리스 아테네와 스페인 세비야에서 내년 여름 폭염 등급과 명명 시범 운용에 들어간다고 밝혔다.

“재난 관리와 복구 소통에 도움될 것”

연구팀은 캔자스시티와 밀워키에서 덥고 습한 기단과 뜨겁고 건조한 기단이 높은 사망률과 어떤 관계가 있는지 과거 자료를 분석했다. 캔자스시티에서는 1975년 이후 더 높은 사망률을 초래한 41개의 폭염이, 밀워키에서는 31개의 폭염이 있었다. 예를 들어 캔자스시티에서 1980년 7월17일 폭염은 폭염 기간에 평균 사망률이 425% 증가했다.(일일 사망률 25% 증가) 연구팀은 접근하는 기단(공기 덩어리)이 과거 관측과 유사하면 과거 데이터에 따라 다가오는 폭염을 분류할 수 있다고 밝혔다. 연구팀의 목표는 기상청과 협력해 관측 데이터를 보고 잠재적으로 폭염이 발생하기 최대 5일 전에 예측하는 것이다. 컬크스테인은 “방재 관계자들한테 닷새 전에 ‘등급 3의 폭염이 오고 있다’고 말하며 노인이나 취약한 사람들 집마다 방문해 문을 두드리라고 얘기할 수 있다”고 말했다.

연구팀은 폭염 등급의 기준값(임계값)은 지역의 기상기후 조건과 인구생태학적 조건에 따라 다르기에 과거 자료에 대한 소급 분석이 별도로 이뤄져야 한다고 밝혔다. 연구팀은 또 폭염 등급과 함께 이름을 붙이는 실험을 하고 있다.

우리나라 기상청은 폭염의 수준을 두 단계로 나눠, 특보를 운영하고 있다. 기존에는 일최고기온만을 폭염특보(주의보 33도, 특보 35도) 기준으로 하던 것을 지난해 여름부터 기온 및 습도를 반영한 체감온도로 바꿔 실제 건강에 미치는 영향을 반영해 운영하고 있다. 또 폭염 발생 때 분야별, 계층별로 위험 수준에 따라 대처 방안을 제시하는 폭염영향예보를 병행하고 있지만 폭염에 이름을 붙이지는 않고 있다. 이명인 울산과학기술원 도시환경공학부 교수(폭염연구센터장)는 “폭염 등급화는 고온 현상만이 아니라 사회적 영향까지 고려해 경각심을 갖게 하고, 위기관리 부서가 위험 관리와 사후 복구작업 때 소통을 효과적으로 할 수 있는 장점이 있을 것이다”고 말했다. 이 교수는 다만 “‘소리없는 침묵의 암살자’라 지칭되는 폭염의 경우 피해가 기상 현상이 일어난 이후에도 지속되면서 가중되는 등 태풍처럼 시종이 뚜렷한 기상재해와는 달라 예보나 영향기간 설정이 쉽지 않기에 등급을 매기거나 이름을 붙이려면 선행 연구가 필요하다”고 말했다. 이근영 기자

눈썹 사이 주름근과 뺨의 큰광대근

사람 의지와 상관없이 미세한 변화

인공지능 훈련으로 73% 감지 성공

    거짓말을 하면 어떤 식으로든 얼굴에 표가 난다는 생각은 아주 오래됐다.

얼굴 근육의 움직임을 보고 거짓말인지 아닌지 가려내는 새로운 형태의 안면 인식 기술이 선을 보였다.

이스라엘 텔아비브대 연구진은 기계학습을 통해 훈련한 인공지능으로 안면 근육의 움직임을 분석한 결과, 거짓말 탐지 성공률이 73%를 기록했다고 국제학술지 ‘뇌와 행동’(Brain and Behavior)에 발표했다.

일반적으로 거짓말탐지기는 심장박동이나 혈압, 호흡 같은 생리적 활동의 변화를 통해 거짓말 여부를 판단한다. 그러나 이런 생리 활동은 의식적으로 연습을 하면 어느 정도 조절할 수 있다. 이에 따라 범죄수사에서 사용하는 거짓말탐지기 검사 결과는 대부분의 나라에서 직접적인 증거력을 인정받지 못한다. 미국심리학회는 “대부분의 심리학자들은 거짓말 탐지기 검사가 거짓말을 정확하게 가려낼 수 있다는 증거가 거의 없다는 데 동의한다”고 밝혔다. 이번 연구는 이런 약점을 보완해 사람의 의지와 무관하게 객관적으로 측정, 판별할 수 있는 방식을 찾아냈다는 데 의미가 있다.

거짓말을 하면 어떤 식으로든 얼굴에 표출이 된다는 생각은 진화론을 개척한 찰스 다윈까지 거슬러 올라갈 정도로 오래됐다. 다윈은 1872년 출간한 ‘인간과 동물의 감정 표현’에서 “얼굴 근육은 심장과 마찬가지로 의지로 잘 조절되지 않으며, 약간의 자극에도 무의식적으로 움직인다”고 주장했다.

눈깜짝할 사이에 사라져

그러나 얼굴 근육의 변화를 측정하고 수집하는 것, 인식하는 것은 또다른 문제다. 이 비자발적이면서 제어 불가능한 미세한 변화는 눈깜짝할 사이, 즉 불과 40~60밀리초 후에 사라지고 만다.

연구진은 기존의 안면근전도(sEMG) 기술보다 감지력이 더 좋은 새로운 웨어러블 전극을 개발해 이번 실험에 사용했다. 이 기술은 이미 수면 모니터링 기기로 상품화돼 사용중이기도 하다.

연구진은 40명의 실험참가자들에게 안면 근육의 미세한 움직임을 측정할 수 있는 전극을 부착했다. 전극을 붙인 곳은 찡그릴 때 쓰이는 눈썹 사이 근육, 이른바 눈썹주름근과 미소 지을 때 쓰이는 큰광대근이라는 이름의 뺨근육 두 곳이다.

연구진은 실험참가자 가운데 두 사람씩 짝을 지워 서로 마주앉게 한 뒤, 한 사람에게 헤드폰을 끼고 자신이 들은 단어(진실)를 다시 말하거나 다른 단어(거짓)를 말하도록 했다. 실험에 사용한 말은 ‘선’, ‘나무’ 같은 간단한 단어였다.

상대방은 이 사람의 말을 듣고 거짓말인지 아닌지 판별하도록 했다. 이런 방식으로 역할을 바꿔 또 실험을 진행했다.

연구진의 예상대로 사람들은 상대방이 거짓말을 하는지 여부를 제대로 판별하지 못했다. 사람에 따라 22~73%의 큰 편차를 보여 유의미한 결과로 인정하기 어려웠다. 그러나 얼굴 근육 움직임 패턴을 학습한 거짓말 탐지 알고리즘은 거짓말을 73% 잡아냈다.

거짓말탐지기를 이용해 거짓말 여부를 검사하는 모습.

전극 없이 카메라만으로도 가려낼까

이번 연구의 또 다른 수확은 거짓말할 때 사람들이 자신도 모르게 움직이는 얼굴 부위를 확인했다는 점이다. 그러나 거짓말할 때 움직이는 근육이 똑같지는 않았다. 어떤 이는 뺨 근육을, 또 어떤 이는 눈썹 사이 근육을 실룩거렸다. 물론 거짓말할 때 움직이는 근육이 두 부위만은 아니다. 연구진은 “가능한 여러 후보 영역 중에서 단지 이번 실험에서는 두 가지만을 찾아낸 것”이라고 밝혔다.

연구를 이끈 디노 레비 교수는 “이번 연구는 초기단계이기 때문에 거짓말 그 자체는 매우 단순했다”고 말했다. 실제 생활에서 거짓말할 때는 거짓과 진실을 섞어가며 장황하게 말하기 때문에 거짓말을 가려내기가 훨씬 더 어렵다.

레비 교수는 “앞으로는 전극 없이 카메라만으로 안면 근육의 움직임을 식별하는 기술을 개발하는 것이 목표”라고 말했다. 연구진은 이 기술이 앞으로 은행, 경찰이나 공항 출입, 취업 면접 등에서 유용하게 활용할 수 있을 것으로 기대했다.

그러나 인공지능을 거짓말 탐지에 사용하는 것에는 비판도 있다. 더비대 레이 불 교수(빔죄수사학)는 “사람들의 얼굴에 있는 미세한 표정 변화를 통해 거짓말을 가려내는 것이 정확한 방법이라는 증거가 없기 때문에 이 프로젝트는 신뢰할 수 없다”고 말했다. 거짓말 탐지 알고리즘이 한 명의 거짓말쟁이를 잡아낼 때 무고한 10사람을 지목한다면 이득보다 폐해가 훨씬 클 것이란 지적이다. 곽노필 기자

풀소비 감소로 쌓인 마른 풀이 땔감돼 ‘초원 대화재’

탄소 방출, 포식자 멸종 연쇄 효과 등 지구생태계 바꿔

플라이스토세 말 멸종사태로 많은 털매머드 등 대형 초식동물이 사라졌다. 그 직접적 결과로 대규모 화재가 잦아졌다. 마우리시오 안톤, 위키미디어 코먼스 제공.

기후변화로 세계가 대규모 산불로 몸살을 앓고 있지만 플라이스토세 후기 대멸종 사태 이후에도 비슷한 일이 벌어졌다. 대형 초식동물이 잇따라 사라지자 대륙에 걸쳐 들불이 급증한 것으로 밝혀졌다.

5만년부터 6000년 전 사이 털매머드를 비롯해 코끼리 크기의 땅늘보, 거대한 들소, 원시 말 등 초원을 지배하던 거대한 동물들이 대거 멸종했다. 앨리슨 카프 미국 예일대 박사후연구원 등은 26일 과학저널 ‘사이언스’에 실린 논문에서 “대형 초식동물의 멸종사태가 지구 차원의 화재 증가를 낳았다”고 밝혔다.

초원에서 풀, 덤불, 관목 등을 다량 섭취하던 대형 초식동물이 사라지자 초원에 마른 풀이 쌓이고 나무가 들어섰고 여기에 큰불이 자주 일어났다. 화재는 호수 바닥 퇴적층에 검은 재를 남겼다. 퇴적층의 재 함량을 비교하면 수백∼수천 년 단위로 화재가 얼마나 자주 어떤 규모로 났는지 알 수 있다.

연구자들은 전 세계 410곳의 호수 퇴적층에서 활성탄(숯) 기록과 대형 초식동물의 멸종실태를 비교해 멸종이 초원에 대형 화재를 불렀다는 결론을 얻었다. 화재로 막대한 면적의 초원이 불탔고 다량의 이산화탄소가 방출됐을 것이다. 그러나 “이런 과거의 화재가 지구기후에 끼치는 영향은 제대로 고려되지 않았다”고 논문은 밝혔다.

남미의 멸종한 고대 아르마딜로 도에디쿠루스. 갑옷으로 무장한 거대 초식동물로 무게는 1400㎏에 이르렀을 것으로 추정된다. 위키미디어 코먼스 제공.

이 기간 동안 초원에서 풀을 뜯던 대형 초식동물이 가장 많이 멸종한 곳은 남미로 83%에 이르렀고 이어 북미가 68%로 많았다. 오스트레일리아(44%)와 아프리카(22%)는 상대적으로 적었다. 연구자들은 “대륙마다 멸종 양상이 달랐기 때문에 멸종사태가 화재에 어떤 영향을 끼치는지 지구 차원의 실험을 한 셈”이라고 논문에 적었다.

비교 결과 대형 초식동물이 가장 많이 멸종한 남미에서 화재가 가장 크게 늘었고 이어 북미가 뒤따랐다. 호주와 아프리카에서는 초원 화재에 큰 변화가 일어나지 않았다.

대형 초식동물이 사라지면서 초원에 마른 풀과 덤불, 키 작은 나무 등이 들어차 화재에 땔감 구실을 했기 때문이다. 그러나 연구자들은 마스토돈이나 자이언트땅늘보처럼 숲에서 나뭇잎을 뜯어먹던 대형 초식동물도 멸종했지만 그곳의 산불 증가는 미미했다고 밝혔다. 초원의 화재는 땔감이 좌우하지만 산불은 수분이 좌우하기 때문이다.

남미의 멸종한 거대 초식동물 자이언트땅늘보의 상상도. 길이 6m 무게 4t의 코끼리 크기였다. 위키미디어 코먼스 제공.

대형 초식동물은 생태계 엔지니어로 불린다. 이들의 멸종은 당장 포식자의 몰락을 초래하고 초식동물이 배설물을 통해 씨앗을 퍼뜨리던 식물을 곤란에 빠뜨린다.

카프 박사는 “대형 초식동물의 멸종은 산불을 포함한 연쇄적인 결과를 초래했다”며 “이를 통해 초식동물이 오늘날 지구 생태계 모습을 어떻게 바꾸어 놓는지 이해할 수 있다”고 이 대학 보도자료에서 말했다.

과거 멸종한 대형 초식동물 자리는 대부분 가축이 차지했다. 연구자들은 “가축과 풀을 뜯는 야생동물이 화재 억제와 기후변화에 어떤 영향을 끼치는지는 앞으로 연구할 과제”라고 밝혔다. 조홍섭 기자