Desperate Undergraduate!Desperate Undergraduate!

MySQL 설정

[출처:프레시안]
http://www.pressian.com/article/article.asp?article_num=50120928141043

컴퓨터는 책상 앞에서 보내는 내 일상의 중심이다. 모니터는 책상 위에서 다른 문구들을 제치고 중앙의 요지를 차지하고 있다. 컴퓨터를 문서 작업, 이메일, 혹은 웹 검색을 하는데 주로 사용하기 때문에 뛰어난 성능이 그다지 절실하지는 않지만, 작업 속도를 높여 볼 요량으로 최신 OS를 탑재한 새 컴퓨터로 개비를 하곤 한다.

하지만 깔끔한 새 키보드를 두드리며 빨라진 속도를 즐기는 것은 잠깐이고, 얼마 지나지 않아 곧 컴퓨터의 체감 속도는 떨어지게 마련이다. 새 컴퓨터가 예전 것과 별반 다를 것도 없다는 것을 알아채게 되면, 컴퓨터를 개비하느라 들인 비용이 아까워지기 시작하는 것은 물론이고, 세월을 들여 발전시켰다는 새로운 기술은 사용자를 위해 도대체 어떤 이익을 주는 것인지 푸념어린 의구심을 품게 된다. 사용자가 발전된 기술을 체감하기 어려운 것이 그럴 법한 까닭은, 보강된 자원의 대부분이 사실은 컴퓨터의 보안성을 높이는데 쓰이기 때문일 것이다.

이따금 각국 정부 기관이나 유수한 대기업의 전산 시스템들이 해킹을 당해 얼마간 시스템이 마비되어 혼란이 있었다는 보도를 접하곤 한다. 크래커라고 부르는 이들은 의도적으로 정보를 훔쳐 내거나 파괴하기 위해서이기도 하지만, 단순히 해킹 실력을 뽐내기 위해서도 이와 같은 일이 벌어진다.

해킹을 막기 위해 해킹에 쉽게 뚫리지 않는 보안 시스템을 만들기도 하고 법을 제정해서 그와 같은 행위를 범죄시하기도 한다. 하지만 완벽한 보안 시스템이 만들어졌다거나 불법적인 해킹을 근절하는 효과적인 법이 제정되었다는 얘기는 들리지 않고 있다. 보안 시스템이 새로 만들어지면 곧 이를 뚫는 해킹 기법이 등장하고, 또 다시 이를 대비하는 보안 시스템이 뒤따르는 등, 침입자와 보안 전문가 사이의 싸움은 끝없이 꼬리를 물고 이어지는 것으로 보인다.

수많은 사람들이 막대한 시간과 비용을 대가로 치러야 하는 이런 일들이 왜 지속될까? 무엇보다도 공익을 생각하는 합리적인 해커들만 존재하는 사회가 될 수는 없을까? 기실 컴퓨터는 인간이 구상한 단계들을 수행하는 단순한 계산 기계일 뿐인데, 더 이상의 해킹이 불가능한 '완벽한' 설계가 가능해야 하는 것 아닌가?

이 싸움이 컴퓨터 기술의 발전에 공헌을 한다는 긍정적인 의견도 있다. 그렇다면, 지금의 컴퓨터는 이런 싸움을 통해 언젠가 보다 더 완벽한 계산 기계로 진화될 것인가? 혹은 현재의 컴퓨터하곤 전혀 다른 유형의 고안물이 등장해서 우리가 완전히 새로운 어떤 기계에 다시 적응해야 하게 될 것인가?

침입자-보안 전문가의 꼬리를 무는 싸움 속에서 발전하는 컴퓨터의 미래. 이것이 복잡계의 또 하나의 예가 될 수 있다면, 이 싸움의 종말을 예측하지는 못할지언정, 도대체 왜 이런 일들이 벌어지고 있는지를 이해할 수도 있다는 것이 바로 <자연은 어떻게 움직이는가>(페르 박 지음, 이재우·정형채 옮김, 한승 펴냄)의 주제인 복잡성의 원리이다.

복잡계란 계를 구성하는 요소의 수가 매우 큰 계를 말한다. 여기서 구성 요소 간의 관계가 매우 중요하다. 구성 요소는 상호 작용을 통해 서로 영향을 미치는데 상호 작용이 선형적이면 구성 요소가 많더라도 계는 단순한 방식으로 거동한다. 구성 요소 개개의 성질을 이해하면 계의 전체 거동도 이해할 수 있고 그래서 예측이 가능하다. 지휘자의 구령에 따라 움직이는 매스게임 같은 상황이 이런 경우이다.

하지만 상호 작용이 비선형적이면 계의 거동은 다른 양상을 보인다. 구성 요소 개개의 성질을 알더라도 이들이 얽혀 있는 전체가 어떻게 거동할지 예측하는 것은 어려운 문제가 된다. 용량과 속도에서 나날이 발전하는 컴퓨터를 이용한 계산으로 이 거동을 추적해낼 수 있다고 여길지 모르겠다.

하지만 계가 커질수록 계산할 수 없는 한계에 곧 도달하게 된다. 미시적인 관점에서 개개 구성 요소의 거동을 관장하는 원리들이 전체 계의 거동을 이해하는 데는 크게 도움이 되지 않는다. 이것은 전체가 부분의 합보다 크다는 말로 표현되는 상황이며, 개개 구성 요소의 울타리 안에서 하는 환원주의적인 분석은 충분하지 않다. 전체를 보기 위한 새로운 도구가 필요하다.

이 책에서 임계성이란 계가 보이는 현상을 특정지울 수 있는 축척이 존재하지 않는다는 의미로 쓰인다. 예컨대 사람의 키를 생각해보자. 서구인의 키가 대체로 동양인보다 크며, 같은 지역에서도 키가 크거나 작은 사람들이 섞여 있다. 하지만 사람의 키는 대략적인 크기가 있다. 벼룩만한 사람은 없으며, 집채만 한 사람도 없다. 외계인이 지구의 사람들을 보았다면 1~2미터 크기의 생물체로 기록을 할 것이며, 이는 큰 오류 없이 사람을 묘사한 것이 될 것이다.

하지만 이런 특정 축척이 존재하지 않는 경우도 있다. 페르 박의 연구로 유명해진 모래 사태가 그것이다. 모래알 몇 개가 움직이는 작은 사태로부터 받침대 위에 쌓여있는 모래 전체가 쏟아져 내리는 큰 사태도 있다. 최근에 일본의 한 지역을 흔든 강도 5의 지진이 있었지만, 다음에 올 지진에 대해서는 어떤 강도의 것이 언제 올지 알 수가 없다. 더 약한 지진이 올 수도, 훨씬 강한 지진이 올 수도 있다.

강도가 어느 이상의 것만 지진이라고 부르지는 않는다. 지진의 강도에는 특정한 크기가 없는 것이다. 임계성을 보이는 현상들은 공통적으로 멱함수 분포를 따르는 특성을 보인다. 지진의 강도에 대한 빈도의 데이터가 멱함수 분포(대부분의 관측 값은 아주 작고, 소수의 관측 값만이 크다)를 따르는 예이며, 이것이 잘 알려진 구텐베르크-리히터 법칙이다.

임계 현상에 특정 크기가 존재하지 않는다는 것은 큰 현상이나 작은 현상이나 같은 원리에 의해 발생한다는 것을 의미한다. 그러므로 지진의 원인을 밝히려고 할 때 작은 지진들은 무시하고 큰 지진 만에 매달리는 것은 잘못된 생각이다. 오히려 더 자주 일어나기 때문에 통계적으로 의미 있는 결과를 얻을 수 있는 작은 지진들을 연구하는 것이 더 합리적이다.

복잡계에 대한 기존의 학문적 접근 방식이 한계에 부딪히면서 1980년대 중반 다양한 분야의 과학자들에 의해 미국의 산타페 연구소를 중심으로 복잡계 연구의 새로운 패러다임이 태동하였다. 페르 박과 그의 동료들은 1987년 모래 사태 모형과 함께 자기 조직화된 임계성에 대한 개념을 처음으로 제시하였다.

모래 사태는 누구나 쉽게 시도해볼 수 있는 실험이다. 접시 위에 모래를 천천히 떨어뜨려 쌓으면서 어떤 일이 일어나는지 살펴보자. 처음에는 모래가 비교적 평평하게 쌓아진다. 떨어지는 모래알이 바닥의 모래알들을 건드려 구르게 하지만 그 효과는 국소적이어서 멀리 퍼지지 못하고 떨어진 모래알 근처에서만 움직임이 있다.

하지만 떨어지는 모래알이 점점 높이 쌓여 모래가 접시의 가장자리까지 차고 모랫더미가 가파른 경사에 이르게 되면 상황은 달라진다. 떨어지는 모래알 하나가 여전히 국소적인 움직임만을 만들 수도 있지만, 모래 전체가 무너져 접시 밖으로 모래가 쏟아지게 하는 큰 모래 사태를 만들기도 한다.

모래 사태의 크기에 대한 빈도의 분포는 멱함수를 따르며 따라서 모래 사태는 임계성을 띤다. 더해서 흥미로운 것은, 큰 사태 이후에는 떨어지는 모래알이 다시 쌓이면서 사태가 일어났던 경사도를 점차 회복한다는 것이다. 즉 모랫더미는 외부의 조정 없이 스스로 임계성을 향해 구동된다는 것이다. 이것이 자기 조직화된 임계성이다.

모래 사태에 대한 수학적 모형은 놀랍도록 간단한데 이것이 훗날 자기 조직화 임계성 연구의 전형을 제공한 BTW(Bak, Tang, Wiesenfeld) 모형이다. 이 모형은 너무도 간단해서 중학생이라도 이해하고 시뮬레이션을 해 볼 수 있는 정도인데, 물리학의 전형적인 단순화 방식인 '거칠게 갈기(coarse graining)'를 따른 것이다.

물리학자는 어려운 문제를 해결하기 위해 흔히 문제를 단순하게 바라보는데, 이 때 주의할 것은 단순하게 하면서도 해결하고자 하는 현상의 본질은 남긴다는 것이다. 이 작업을 재미있게 표현한 것이 '목욕물은 버리되 아기는 버리지 않는다'는 말인데, 이 표현이 페르 박 자신이 만들어 낸 것인지는 모르겠다.

페르 박과 동료들이 발견한 자기 조직화 임계성은 물론 모래 사태에만 머물지 않는다. 도로 위에서 겪는 교통 체증은 누구에게나 벌어지는 흔한 일이다. 하지만 이것이 이 책에서 말하는 복잡계가 보이는 특성이며, 임계 상태에 도달한 교통 체증이 제한된 교통 환경에서 가장 효율적인 교통 흐름이라는 사실이 물리학 연구에서 밝혀진 것을 아는 사람은 드물 것이다.

페르 박의 첫 발견은 이후 다양한 학문 분야의 많은 연구자들을 자극하여 수많은 연구 결과들을 이끌어 냈으며, 복잡계의 자기 조직화 임계성이 물리학을 넘어 생물학, 뇌 과학, 지구 과학, 경제학, 정치학, 사회학 분야 등 다양한 영역에서 연구되었다.

이 책은 보수 성향이 짙은 학문 세계에서 열린 마음으로 진리를 추구해가는 한 뛰어난 과학자의 연구 역정을 재미있게 기술하고 있다. 또 다양한 분야의 결과들을 일목요연하게 정리하고 있기 때문에, 이 분야의 연구에 뛰어드려는 이에게 이 책은 더할 나위없는 훌륭한 입문서가 될 수 있다.

복잡계 연구자에 의한 번역이라는 점도 언급하고 싶은 이 책의 장점이다. 과학적 사실 전달이 정확한 점이 돋보이며, 번역 문장 또한 매끄럽게 다듬어져서 읽어 내려가며 원저자의 생각을 따라가는데 거침이 없었다.

빈곤의 확산, 자살률 증가, 정권의 득세, 트위터를 통한 여론 형성 등 현재 우리 사회의 뜨거운 이슈들도 복잡계의 시각으로 볼 수 있을 것이다. 우리 사회가 임계 상태에 있는지 밝히기 위해서는 진지한 연구가 있어야 하겠지만, 우리 사회가 개개인 수준의 성향만으로 설명될 수 없는 모습을 보이는 복잡계라는 것은 틀림없는 사실이다.

[출처:SBS뉴스]
http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1001406507

이번에는 카드 고객을 노렸습니다. 지난 7월 'SBS 8 뉴스'와 '취재파일'을 통해 자세히 알려드렸던 금융정보를 빼내가는 악성코드 해킹 조직 이야기입니다. 당시에는 은행 인터넷 뱅킹 이용 고객을 노리고 악성코드를 컴퓨터에 심어놓은 뒤 진짜 은행 사이트를 입력하면 자신들이 만들어 놓은 유사 은행사이트로 연결되게 해 금융정보를 빼내가는 해킹 방식이었습니다. 백신 사이트도 공격 대상으로 삼아서 바이러스 백신의 자동업데이트도 불가능하도록 만들었습니다. 보도 이후 금융감독원이 서둘러 대책을 내놓고 은행들도 잔뜩 신경을 써서 대비를 해서였는지 공격 대상을 카드 고객으로 바꾼 겁니다.

기본적인 수법은 비슷하지만, 감염 방식은 더 정교해졌습니다. 이렇게 악성코드를 심어놓고 금융정보를 빼내가는 피싱 사기를 ‘파밍(Pharming)’이라고 부르는데 인터넷에서 동영상 같은 것을 다운로드 받지 않고 인터넷 사이트에 방문만 해도 그 사람의 컴퓨터에는 자신도 모르게 악성코드가 깔립니다. 이미 주요 사이트들을 해킹해서 악성코드가 뿌려지도록 해 놓았기 때문입니다. 해킹을 당한 사이트도 증권사, 파일공유 사이트 뿐 아니라 신문사, 동창회, 대학교 사이트 등으로 갈수록 숫자가 늘고 있습니다. 단순히 악성코드를 심어놓고 문제를 일으키는 수준이 아니라 심어놓은 악성코드를 해커가 상황에 맞게 변화시킬 수 있도록 진화까지 됐습니다.

9월 17일 카드사에 처음으로 피해 신고가 접수된 뒤 속출하고 있는 피해 사례들은 이렇습니다. 일단 평소처럼 온라인으로 물건을 구입하고 카드 결제를 하면 기존의 결제 과정을 진행하다가 그 동안 못 본 인증 창이 하나 더 나타납니다. 여기서 카드번호와 유효기간을 요구하는데 워낙 똑같이 생겨서 아무런 의심 없이 다들 입력을 합니다. 공인인증서를 이용해서 결제를 했든지 아니면 30만 원 이하 결제에 주로 사용하는 안심클릭을 사용했든지 가짜 인증 창으로 정보를 빼가는 방식은 같습니다. 진화하는 악성코드 해킹이 무서운 것은 이용자 모르게 이렇게 공격 대상 컴퓨터에서 야금야금 금융정보를 수집하다가 공인인증서 암호, 비밀번호, 카드번호, CVC(카드 뒷면 3자리 숫자) 등 카드 결제에 필요한 정보가 모두 확보되면 스스로 악성코드가 컴퓨터에서 사라지기까지 한다는 점입니다. 피해자는 컴퓨터 이용에 아무런 불편을 못 느끼기 때문에 나중에 가서야 자신의 금융정보를 빼앗겼다는 것을 알게 되는 겁니다.

첫 신고 이후 불과 2주만에 100여 명의 피해자들이 신고를 했는데 모두 뒤늦게 피해사실을 알게 된 고객들입니다. 시간이 갈수록 피해자들은 더 늘어날 수 있습니다. 그런데 이렇게 수집한 금융정보를 이용해 해킹 조직이 카드 결제를 몰래 했던 수법에는 공통점이 있었습니다. 주로 게임사이트에서 카드결제로 사이버 머니를 구입했다는 점입니다. 카드번호, 공인인증서 복사(공인인증서도 폴더 전체를 복사해 옮기면 가능), 비밀번호, CVC 번호를 알면 카드 결제가 가능하기 때문입니다. 게임사이트의 사이버 머니를 구입한 이유는 사이버 머니를 사서 다른 계좌로 옮겨놓으면 피해자가 뒤늦게 카드 결제를 시도해도 사이버 머니 구입이 취소되지 않기 때문입니다.

피해 신고가 잇따르자 카드사들은 게임사이트 결제 한도를 제한하고 온라인 쇼핑몰을 최근 6개월 동안 이용한 적이 있는 고객들에게 주의문을 보냈습니다. 뒤늦게 전체 고객을 대상으로 경고문을 홈페이지에 올리기도 했습니다. 하지만 이런 불특정 다수를 노린 공격은 게임사이트 이용이나 결제를 막는다고 피해를 줄이기는 어렵습니다. 이미 은행을 가짜 피싱 사이트와 악성코드로 공격하면서 여러 방식으로 수법을 바꿨던 적이 있는 조직이라 얼마든지 대상을 전환할 수 있기 때문입니다. 정보보안전문가들도 계속 비슷한 사기 조직이 수법과 대상을 바꾸면서 공격하고 있다고 보고 있는 중입니다.

그렇다면 어떻게 해야 피해를 줄일 수 있을까요? 현재로서는 워낙 악성코드를 심어놓은 사이트들이 우후죽순처럼 늘고 있어서 감염을 막을 수 있는 방법이 있다고 쉽게 말할 순 없습니다. 백신 업데이트나 보안패치를 통해 취약점을 보완할 수는 있지만, 전문적인 방법이고 뒤따라가는 방식의 대응이라 한계가 있습니다. 가장 좋은 것은 어떻게든 감염을 막는 방법이겠지만 그게 안 된다면 감염이 됐더라도 결정적인 금융정보가 새나가지 않도록 피싱 사기를 구별하는 방법을 알아두는 것이 좋습니다.

우선 은행사이트의 경우 현재까지는 사기단이 보안카드 번호 전체를 요구하는 방식을 유지하고 있습니다. 은행에서는 결코 보안카드 번호 전체를 요구하지 않고 3~4자리 숫자만 입력하도록 하기 때문에 보안카드 번호 전체를 요구하면 무조건 진행 과정을 중단하고 컴퓨터를 검사해야 합니다. 공인인증서도 다시 발급받는 것이 좋습니다.

카드 고객의 경우 평소 결제했던 과정과 다른 인증 창이 나타난다면 즉시 결제를 중단하고 같은 방식으로 컴퓨터 검사를 합니다. 신용카드도 재발급 받는 것이 낫습니다. 또 카드 결제를 할 때마다 문자메시지가 휴대전화로 오도록 하고, 혹시 판단하기 어렵다면 일부러 틀린 카드 비밀번호를 넣어보고 그래도 정상적으로 결제가 진행된다면 이미 악성코드에 감염돼 금융정보가 새나가고 있다고 보면 됩니다. 번거롭다고 생각할 수 있지만 아차하는 순간에 당신의 금융정보는 빠져나갈 수 있고 그로 인해 볼 피해를 생각하면 충분히 감당할만한 수고라고 생각됩니다.