지난번 글을 마지막으로 문법적인 비교 얘기는 더 아는 것도 이젠 없는 듯해 그만하고, 경험을 통해 참고할 수 있는 몇 가지 부분들에 대해서 얘기할 까 한다. 

이번에 얘기할 내용은 어느 언어나 다 똑같겠지만 서로 다른 영역의 컨텐츠를 접했을 때 얻을 수 있는 부분, 놓칠 수 있는 부분에 대해서 예제를 가지고 얘기를 한번 해보려 한다. 현실적인 얘기기 때문에 이전 보다 문장들이 조금 더 어려워 질 수도 있겠지만, 문장 자체를 하나하나 뜯어 보기 보다는 흐름을 보는 방향으로 글을 읽어주었음 한다^^

경험을 못해본 부분을 얘기하는 건 큰 의미가 없으므로 그나마 조금씩 맛봤다고 할 수 있는 시험, 노래, 게임, 드라마, 책 다 섯 가지를 대상으로 짧은 예를 들어보려 한다.



우선 시험은 일단 내용들이 다른 영역들에 비해서 딱딱하고 공식 적이다. 
중국어 5급, 6급 읽기 영역 문제 중에 발췌한 내용을 한번 봐보자.

[5급]

• 朋友买了一辆新车。周末，我和他一起去试车。为了试车的性能，我们把车开得很快。

朋友(péngyǒu, 펑요우, 친구) 买了(mǎile, 마이러, 샀다) 一辆(yī liàng, 이 량, 한 대의) 新车(xīnchē, 신처, 새 차를)。

周末(zhōumò, 쪼우 모, 주말에)，我和他(wǒ hé tā, 워 허 타, 그와 나는) 一起(yīqǐ, 이치함께) 去试车(qù shìchē, 취 스처, 시차를 하러 갔다)。

为了(wèile, 웨이러, ~을 위해서) 试(shì, 스, 시험하다), 车的性能(chē de xìngnéng, 처 더 싱넝, 차의 성능)，我们(wǒmen, 워먼, 우리는) 把(bǎ, 바, 사역의 의미), 车(chē, 처, 차) 开得很快(kāi dé hěn kuài, 카이 더 헌 콰이, 빠르게 운전했다)。

• 친구가 새 차를 샀다. 주말에 우리는 함께 시차를 하러 갔다. 차의 성능을 테스트 하기 위해서, 우리는 차를 빠르게 운전했다.

[6급]

• 一个年轻人获得一份销售工作，勤勤恳恳干了大半年，却接连失败。而他的同事，个个都干出了成绩。他实在忍受不了这种痛苦。

一个(yīgè, 이거, 한) 年轻人(niánqīngrén, 니엔칭런, 젊은이가) 获得 (huòdé, 후어더, 얻었다) 一份(yī fèn, 이 펀, 양사) 销售工作(xiāoshòu gōngzuò, 샤오쇼우, 꽁쭈어, 영업직)，勤勤恳恳(qínqínkěnkěn, 진진컨컨, 근면 성실하게) 干了(gànle, 깐러, 일했다) 大半年(dà bànián, 따 반니엔, 반년이 넘는 기간 동안)，却(què, 췌, 하지만) 接连(jiēlián, 지에리엔, 계속해서) 失败(shībài, 스 바이, 실패하다)。

而(ér, 얼, 하지만) 他的同事(tā de tóngshì, 타 더 똥스, 그의 동료는)，个个(gègè, 꺼거, 각각(하는 일마다)) 都(dōu, 또우, 모두) 干出了成绩(gànchūle chéngjì, 깐추러 청지, 성과를 내다) 。

他(tā, 타, 그는) 实在(shízài, 스 짜이, 정말로) 忍受不了(rěnshòu bùliǎo, 런쇼우 부랴오, 참을 수 없다) 这种(zhè zhǒng, 쩌 종, 이러한 종류의) 痛苦(tòngkǔ, 통 쿠, 고통)。

• 한 젊은이가 영업 업무를 얻게 되었다, 반년 이상 근면 성실하게 일을 했지만, 계속해서 실패 했다. 그러나 그의 동료는 손대는 것 마다 모두 성과를 냈다. 그는 정말로 이러한 괴로움을 참을 수 없었다.

다음은 일본어 N2, N1 읽기 문제의 일부이다.

[N2]

• 「ルール」はなぜあるのでしょうか？
  スポーツを理解するために最初に確認しておきますが、スポーツは人間が楽しむためのものです。これが出発点です。

「ルール」(루-루, 룰) は(와, 은) なぜ(나제, 왜) あるのでしょうか？(아루노데쇼우까, 있는 것일까)

スポーツ(스포-츠, 스포츠) を(오, 를) 理解(りかい, 리카이, 이해) する(스루, 하기) ために(타메니, 위하여) 最初(さいしょ, 사이쇼, 제일 처음), に(니, 으로) 確認(かくにん, 확인), して(하여) おきますが(오키마스가, 두겠지만)、スポーツ(스포-츠, 스포츠) は(와, 는) 人間(にんげん, 닌겐, 인간) が(가, 이) 楽しむ(たのしむ, 타노시무, 즐거움) ための(타메노, 위해서의) ものです(모노데스, 것 입니다)

これ(코레, 이것) が(가, 이) 出発点(しゅっぱつてん, 슛파츠텐, 출발점) です(데스, 입니다)。

• 「룰」은 왜 있는 것일까요? 
  스포츠를 이해하기 위해서 우선 확인해 두겠지만, 스포츠는 인간이 즐겁기 위한 것 입니다. 이것이 출발점 입니다.

[N1]

• 教師＝話す人、生徒＝聞く人という構造が知らず知らずのうちに教室空間にできあがり、そして固定化してしまうのは恐ろしいことではないかと思う。

教師(きょうし, 쿄우시, 교사)＝話す(はなす, 하나스, 말하다) 人(ひと, 히토 사람)、生徒(せいと, 학생)＝聞く(きく, 키쿠, 듣다) 人(ひと, 히토, 사람) という(토이우, 이라는) 構造(こうぞう, 코우죠우, 구조) が(가, 가)

知らず知らずのうちに(しらずしらずのうちに, 시라즈시라즈노우치니, 자기도 모르게) 教室空間(きょうしつくうかん, 쿄유시츠쿠우칸, 교실공간) に(니, 에) できあがり(테키아가리, 만들어지고)、

そして(소시테, 그리고) 固定化(こていか, 코테이카, 고착화) してしまうのは(시테시마우노와, 되버리는 것은) 恐ろしい(おそろしい, 오소로시이, 무서운) こと(코토, 일) ではないかと(데와나이카토, ~가 아닌가 라고) 思う(おもう, 오모우, 생각한다)。

• 교사=말하는 사람, 학생=듣는 사람 이라는 구조가 자신도 모르게 우리의 교실 안에 형성되고, 고착화 되버리는 것은 무서운 일이 아닌가 하는 생각이 든다.

다시 봐도 참 재미없는 문장들이다.

시험은 어쨌거나 해당 시험에서 다루는 읽기, 듣기, 쓰기, 말하기 등이 특정한 수준에 도달했음을 체크하는 부분이기 때문에 다양한 어휘를 어느 수준까지 골고루 읽히는 데는 많은 도움이 된다고 본다. 특히 취미로만 공부한 사람들은 정말 편식하지 않고 높은 수준으로 까지 가진 않은 이상 만나보기가 힘든 어휘들을 시험을 통해 한번 쯤 겪어보는 것도 나쁘진 않다고 본다.

하지만 단점은 시험 공부에 대한 스트레스와 떨어졌을 때의 우울함이 있을 수 있고, 전체 과정에 거쳐 참 재미를 느끼긴 힘들다는 단점이 있다.

두 번째로 노래를 봐보자. 노래는 시험에 있는 문어체나 딱딱한 어휘는 거의 볼 수 없고, 거의 감정을 표현하거나, 시적인 감상을 표현하는 경우가 많다고 본다.

물론 뭐 사회의 비판이나 랩 같이 좀 직설적인 표현을 하는 경우도 있지만, 그 쪽도 표현이 마냥 직설적이기만 하면 안 되며, 결국은 서정적인 노래 가사 비슷하게 어떤 식으로든 느낌을 담아야 한다고 보기 때문에, 그렇게 많이 벗어나진 않는다고 본다.

개인적으로 언어를 배우면 제일 먼저 관심이 가지는 부분이 노래라서, 별도의 주제로 노래방에서 불러볼 만한 일본, 중국 노래를 정리해 볼까 한다.



그럼 일단 중국 노래 두 곡의 일부 가사를 봐보자. 좋아하는 노래는 각자의 취향인 부분은 이해해 주길 바란다.

[陌生人- 蔡健雅 (mò shēng rén - Cài Jiàn Yǎ, 모셩런 - 차이 지엔 야, 낯선 사람)]

• 一朵云能载多少思念的寄托
• 在忽然相遇街头

一朵(yī duǒ, 이 뚜어, 한조각, 한송이) 云(yún, 윈, 구름) 能(néng, 넝, 가능보어) 载(zǎi, 짜이, 실다) 多少(duōshǎo, 뚜어샤오, 얼마나), 思念(sīniàn, 스니엔, 그리움) 的(de, 더, 의) 寄托(jìtuō. 지투어, <기대 희망을> 걸다)

在(zài, 짜이, ~에서) 忽然(hūrán, 후란, 갑자기) 相遇(xiāngyù, 서로 만나다) 街头(jiētóu, 지에토우, 거리)

• 한 조각의 구름은 얼마나 많은 그리움을 실어 나를 수 있을까? 
• 갑자기 만나게 된 거리에서...

[慢慢喜欢你 - 莫文蔚 (mànmàn xǐhuān nǐ - mò wén wèi, 만만시환니 - 모 원 웨이, 천천히 너를 좋아하게 됬어)]

• 刚才吻了你一下你也喜欢对吗
• 不然怎么一直牵我的手不放

刚才(gāngcái, 깡차이, 막) 吻了(wěn le, 원러, 입 맞추다) 你(nǐ, 니, 너) 一下(yīxià, 이샤, 한번) 你也(nǐ yě, 니 예, 너도) 喜欢(xǐhuān, 씨환, 좋아하다) 对吗(duì ma, 뙤이 마, 맞지?)

不然(bùrán, 부란, 그렇지 않다면) 怎么(zěnme, 쩐머, 왜) 一直(yīzhí, 이즈, 줄곳) 牵(qiān, 치엔, 손을 잡다) 我的手(wǒ de shǒu, 워 더 쇼우, 내 손) 不放(bù fàng, 부 방, 놓치 않다)

• 방금 내가 입 맞췄을 때 당신도 좋았던 거 맞죠? 
• 그렇지 않다면 내 손을 왜 줄곧 잡고 있겠어요.

다음은 일본 노래 두 곡의 일부 가사를 봐보자.

[ハッピーエンド - Back number (핫피-엔도, 해피엔드)]

• こんな時思い出す事じゃ ないとは思うんだけど
• 一人にしないよって あれ実は嬉しかったよ

こんな(곤나, 이런) 時(とき, 도키, 때에), 思い出す(おもいだす, 오모이다스, 생각해 내다) 事(こと, 고토, 일) じゃないとは(쟈나이토와, ~은 아니라고) 思うんだけど(おもうんだけど, 생각은 하지만)

一人に(ひとりに, 혼자서) しないよって(두지않는다고 해서) あれ(아레, 그거) 実(じつ, 지츠 사실) は(와, 은) 嬉しかったよ(うれしかったよ, 우리시깟다요, 기뻤었어)

• 이런 때에 떠올릴 만한 일은 아니라고 생각하지만
• "혼자 두지 않을게" 라고 해서, 그 것 사실은 기뻤었어

[世界が終わる夜に - chatmonchy(チャットモンチー) (せかいがおわるよに, 세카이가 오와루 요니, 챗토몬치 - 세계가 끝나는 밤에)]

• わたしが神様だったら こんな世界は作らなかった
• 愛とゆう名のお守りは 結局からっぽだったんだ

わたし(와타시, 내) が(가, 가) 神様(かみさま, 카미사마, 신) だったら(닷따라, 이였다면), こんな(콘나, 이러한) 世界(せかい, 세카이, 세상) は(와, 은) 作らなかった(つくらなかった, 쯔쿠라나깟다, 만들지 않았어)

愛(あい, 아이, 사랑) とゆう(토유우, 라고 하는), 名の(なの, 이름의), お守りは(おまもりは, 오마모리와, 부적은) 結局(けっきょく, 결국) からっぽ(카랏뽀, 텅 비어있음) だったんだ(~였었다)

• 만약에 내가 신이었다면 이 따위 세상은 만들지 않았어
• 사랑이라고 부르는 이름의 부적은 결국 텅 비어있었어

노래는 거의 시적인 영역에 가깝다 보고, 언어가 서로 완전하게 표현이 대칭이 안 되는 일도 있기 때문에 해석도 좀 가지가지인 편이다. 인터넷의 외국 노래를 번역한 내용 들을 보면 의미는 맞지만 느낌이 밋밋한 경우도 있고, 해석이 정확하진 않지만 좀 더 느낌을 잘 나타내는 경우도 있는 듯 해서 케바케 인 거 같다. 한국말을 잘해도 노래 가사를 쓰는 건 또 다른 문제니 그러려니 하자.

좋아하는 음악이나 가수가 있다면 여러 노래를 즐겨보는 동기 부여도 되고, 무엇보다 노래방에 가서 부른다면 가장 활동적인 스터디 활동이 되기도 하고 스트레스나 정서 면에서도 나쁘진 않아 보인다. 요즘은 가끔 엉뚱하지만 미묘한 표현들의 해석이 막힐 때 의견을 물어 볼 AI 엔진도 있어 더 좋은 것 같다. 다만 최초에 너무 모르는 단어가 많은 시기에는 들이는 시간에 비해 아웃풋이 적을 수 있고, 표현들이 은유 적이라 일상 대화와는 조금은 거리가 멀다고 생각한다. 

세 번째는 게임을 보자. 게임은 보통 여러 종류의 판타지와 많이 결합되기 때문에, 앞에 얘기한 영역들의 표현에 더해 여러 현실에서 잘 만나기 힘든 다양한 표현들을 체험하기 쉽다.

비속어 같은 표현도 종종 만날 수 있고 구어체 표현도 많다. 장르에 따라서 얼마든지 특정 분야의 사실적인 어휘들과 표현들을 익힐 수 있다는 장점이 있고, 무엇보다 하면서 재밌다는 장점이 있다. 

단 이 쪽도 어느 정도 읽지 못하는 단계에서 처음부터 시작 하면, 사전 찾아 보다가 재미가 반감될 위험이 있다. 하지만 요즘은 인터넷 사전이나 키보드 등의 도구가 워낙 좋고, AI님도 도와주고 해서 취향만 맞는 다면 공부를 하면서도 동기부여도 되고 재미 또한 실시간으로 느낄 수 있는 좋은 분야라 생각한다.

[대만 모바일 게임인 소드 오브 콘발라리아 라는 게임의 대사이다(SRPG 좋아하면 괜찮다)]

• 但在战术博弈里，调用全部兵力与我们真面对冲，无比是上策。

但(dàn, 딴, 하지만) 在(zài, 짜이, ~에서) 战术(zhànshù, 짠슈, 전술) 博弈(bóyì, 보이, 게임) 里(lǐ, 리, 안)，

调用(diàoyòng, 띠아오용, 동원하다) 全部(quánbù, 췐부, 전) 兵力(bīnglì, 빙리, 병력) 与(yǔ, 위, ~와) 我们(wǒmen, 워먼, 우리) 真面对冲(zhēn miànduì chōng, 쩐 미엔뛔이 총, 정면충돌하다)，

无比(wúbǐ, 우삐, 비할바 없다) 是(shì, 스, ~이다) 上策(shàng cè, 샹처, 상책)。

• 하지만 전술 게임에서, 전 병력을 동원해 우리와 정면 충돌하는 것은 아주 좋은 상책이지.

• 咳咳，该死的咳嗽，偏偏是这个时候·····

咳咳(kèké, 커커, 콜록콜록)，该死(gāisǐ, 가이스, 젠장할/빌어먹을) 的(de, 더, ~의) 咳嗽(késou, 커소우, 기침)，偏偏(piānpiān, 피엔피엔, 하필이면) 是(shì, 스, ~이다) 这个时候(zhège shíhòu, 쩌거 스호, 이 때)·····

• 콜록콜록, 빌어먹을 기침, 하필이면 이럴 때에......

[일본 게임인 잔다르크라는 게임의 대사이다]

• あんなケ違いの奴相手に見事なもんだったぜ。

あんな(안나, 저렇게나) ケ違い(ケちがい, 케치가이, 대단한) の(노, ~의) 奴(やつ, 야츠, 놈) 相手に(あいてに, 아이테니, 상대로) 見事な(みごとな, 미고토나, 훌륭한) もんだったぜ(몬닷다제, 것 이였어)。

• 저렇게 대단한 녀석을 상대로 아주 훌륭하던데..
  
  
  
• なかなかじゃねーか？

なかなか(나카나카, 꽤) じゃねーか(쟈네-카, 하지 않은가)？

• 꽤 잘 하는데?

위의 표현들은 사실 드라마나 영화와는 약간 결이 다른 표현이라고 보지만, 요즘은 장르도 워낙 세분화 되어 다양하고 만화가 드라마나 영화가 되는 경우도 많으니, 그런 경우 예외도 있을 것은 같다.

개인적으로 게임은 뭔가 막 섞어 놓은 말 장난들을 만나는 듯한 느낌이 있다. 현실이나 드라마에서 나온다면 오글거리겠지만 게임이라서 용서가 되는 그런 표현들 말이다. 취향이 맞는다면 SRPG 같은 대사가 많은 게임을 일부러 하면 좋고, 요즘의 게임들은 가챠 뽑기를 위한 캐릭터 서사를 만드느라 대사도 많은 편이다. 외국 버전 게임을 하게 되면 공지나 공략 등도 게임을 하기 위해 궁금해서 막 찾아보게 되는 동기 부여 측면도 있다(개인적으로 텍스트 위주로 이루어진 방치형 게임 공략을 보다가 카다카나가 많이 늘었었다).

다만 아쉽게도 현재는 중국 내수 환경의 게임은 중국 핸드폰이 없으면 플레이조차 할 수 없기 때문에(청소년 시간 제한 때문일지는 모르겠지만 시작할 때 본인 인증을 해야해서 외국인 입장에서는 당황스럽다), 대안으로 PC 나 스팀 버전의 해외 판으로 플레이 하면 언어나 성우 선택이 보통 일본어/중국어가 다 된다. 뭐 원한다면 그 외의 다른 다국어 들도 풍성하게 있는 경우가 많다.

처음에 글을 더듬더듬 읽을 때라 엄두도 안 난다면, 보통 요즘은 여러 나라에 동시나 몇 개월 간격으로 다국적으로 게임 론치를 하기 때문에 같은 게임의 한국 버전과 다른 나라 버전을 동시에 깔아서 한글과 비교하면서 하는 방법도 괜찮다고 본다(덤으로 미래시라는 재밌는 경험도 하게 된다). 다만 요즘은 거의 과금 모델이 가챠라서 가챠에 빠지진 않도록 조심은 하자.

다음으로 드라마나 영화는 워낙 좋아하는 사람이 많지만 순식간에 대사가 흘러가기 때문에 난이도는 꽤 높다고 생각한다. 처음에 중국 드라마나 일본 드라마를 보게 되면 대사가 자막에 비해 정말 순식간에 지나간다. 특히 중국어의 경우 좀 더 그렇게 느껴진다. 

이쪽은 장르도 다양하고 현실의 많은 모습을 모방하거나 창조하기 때문에 소화할 수만 있다면 가장 현실적인 교재라고 생각한다. 다만 드라마나 영화를 좋아하는 사람들은 볼 컨텐츠 들이 너무 많기 때문에 굳이 스트레스를 받으며 이렇게 봐야 하냐는 생각이 들 수도 있어 보인다.



중국 드라마의 일부 대사를 봐보자

[三十而已 (sānshí éryǐ, 싼스 얼이, 겨우 삼십)]

• 现在的世道，都是多一事不如少一事。

现在(Xiànzài, 시엔짜이, 현재) 的(de, 더, ~의) 世道(shìdào, 스따오, 세상의 상황)，都是(dōu shì, 도우스, 모두) 多一事(duō yīshì, 뚜어 이스, 일이 있는 것) 不如(bùrú, 부루, ~만 하지 못하다) 少一事(shǎo yīshì, 샤오 이스, 일이 적은 것)。

• 요즘의 세상은 모두들 일이 많은 것보다 적은 것이 낫다고 생각해(괜히 남의 복잡한 사정에 얽히거나 관심 같지 않고, 조용히 지내는 것이 가장 좋다고 생각한다는 뜻).

• 可是去了运营组，我这三个月得累吐血了。

可是(kěshì, 커스, 하지만) 去了(qùle, 취러, 간다면) 运营组(yùnyíngzǔ, 윈용주, 운영팀)，我(wǒ, 워, 나) 这(zhè, 쩌, 이) 三个月(sāngeyuè, 싼거웨, 3개월) 得(děi, 데이, ~할 것이다) 累吐血(lèitǔxiě, 피를 토할만큼 피곤하다) 了(le, 러, 변화의 의미)

• 하지만 운영팀에 간다면, (나는) 아마 첫 3개월은 너무 힘들거예요.

다음 일본 드라마의 일부 대사를 봐보자

[ぼくは明日、昨日のきみとデートする (ぼくはあした、きのうのきみとデートする, 나는 내일 어제의 너와 데이트를 한다)]

• 一目ぼれをした。

一目ぼれ(ひとめぼれ, 히토메보레, 첫눈에 반함) を(を, 오, 을) した(시타, 했다)。

• 첫 눈에 반해버렸다.

• 本当のこと言っていい？私ずっとあなたのことみてたんだよ

本当(本当, 혼토, 정말/진심) の(노, 의) こと(고토, 것) 言って(いって, 잇떼, 말해도) いい(이이, 좋아)？私(わたし, 와따시, 나) ずっと(즛또, 계속) あなたのこと(아나타노고토, 당신) みてたんだよ(미테딴다요, 보고 있었어)

• 솔직하게 말해도 되? 나 계속 너를 보고 있었었어.

드라마는 좋아하는 드라마의 자막을 특정해서 구하기가 어렵다는 단점이 있지만, 요즘의 넷플릭스 드라마들은 자막이 기본으로 내장되어 있고, 완벽하진 않지만 Whisper AI 같은 자막을 추출해 주는 무료 툴 들도 많아서 상황에 따라 적절히 잘 이용해 보면 어떨까 싶다. 물론 제일 좋은 건 막힐 때 부담 없이 마음 편하게 물어볼 수 있는 지인이 있는 거라고 생각하긴 한다.

마지막으로 책은 드라마와 비슷하지만 글자를 기반으로만 소화를 해야 한다는 단점이 있다(그래도 화면을 오래 보는 것 보다는 눈이 편안해, 머리를 쉬게 해주는 장점은 있다고 할까?). 

장르도 다양하고 전공 서적 까지 범위가 다양하기 때문에 가장 한계가 없지만, 나의 어휘에 기반해 상상력과 이성 및 감성에 의지해서 진행 되는 정면 승부의 측면이 있다.



프랑스어를 몰라서 어린 왕자의 대사를 원문으로 시작 못하는 게 아쉽긴 하지만, 개인적으로 같은 계열이라 그런지 가장 표현이 괜찮다고 생각하는 영어에서 시작해 보자. 물론 일본어의 미묘한 표현과 중국어 한자의 말랑말랑 함을 아직 이해 못해서 그렇게 느끼는 걸 수도 있다.

[어린왕자 - 생텍쥐페리]

• "Goodbye," said the fox. "And now here is my secret, a very simple secret: It is only with the heart that one can see rightly; what is essential is invisible to the eye."
  "What is essential is invisible to the eye," the little prince repeated, so that he would be sure to remember.
• "안녕" 여우가 말했다. "그리고 이제 이것이 나의 비밀이야. 아주 간단한 비밀이지. 마음으로 봐야만 올바르게 볼 수 있어. 중요한 것은 눈에는 보이지 않거든"
  "중요한 것은 눈에 보이지 않아" 어린 왕자는 기억에서 잃어버리지 않도록 반복했다.

중국어 번역 본의 같은 구절을 보자. 读客三个卷经典文库 출판사에서 나온 책이다. 번역에 다시 한글 번역을 다니까 좀 이상하긴 하다 --;

• “再见。” 狐狸说，“我要告诉你的秘密很简单：只有用心，才能看清。本质的东四。肉眼是看不见的。"
  “本质的东四，肉眼是看不见的。“ 小王子重复了一遍，为了记住这句话。

“再见(zàijiàn, 짜이찌엔, 작별인사"。” 狐狸(húlí, 후리, 여우) 说(shuō, 수어, 말하다)，

“我(wǒ, 워, 나) 要(yào, 야오, 의지의 느낌) 告诉(gàosù, 까오수, 알려주다) 你(nǐ, 니, 너) 的(de, 더, ~의) 秘密(mìmì, 미미,비밀) 很(hěn, 헌, 매우) 简单(jiǎndān, 지엔단, 간단하다)：

只有(zhǐyǒu, 즈요우, ~해야만) 用心(yòngxīn, 용신, 마음을 쓰다)，才(cái, 차이, 비로소) 能(néng, 넝, 가능보어) 看清(kàn qīng, 칸 칭, 분명히 보다)。本质(běnzhì, 뻔즈, 본질) 的(de, 더, ~의) 东西(dōngxi, 똥시, 물건/것)。肉眼(ròuyǎn, 로우옌, 맨 눈) 是(shì, 스, 강조문법) 看不见(kàn bùjiàn, 칸 부찌엔, 볼 수 없다) 的(de, 더, 강조문법)。"

"本质(běnzhì, 뻔즈, 본질) 的(de, 더, ~의) 东西(dōngxi, 똥시, 물건/것)。肉眼(ròuyǎn, 로우옌, 맨 눈) 是(shì, 스, 강조문법) 看不见(kàn bùjiàn, 칸 부찌엔, 볼 수 없다) 的(de, 더, 강조문법)。" 小王子(xiǎowángzi, 샤오왕즈, 어린왕자) 重复(chóngfù, 쫑푸, 반복하다) 了(le, 러, 완료?) 一遍(yībiàn, 이삐엔, 한번)，为了(wèile, 웨이러, ~을 위하여) 记住(jìzhù, 지주, 기억하다) 这句话(zhè jù huà, 쩌 쥐 화, 이 말)。

• "잘 가", 여우가 말했다, "나는 너에게 매우 간단한 비밀을 알려주고 싶어: 마음을 써야만 비로서 분명하게 볼 수 있어. 본질 적인 것은 맨 눈으로는 볼 수 없거든" 
  "본질적인 것은, 맨 눈으로는 볼 수 없어" 어린 왕자는 이 말을 기억하기 위해서 계속 반복했다. 

다음은 일본어 번역 본을 보자. 岩波少年文庫 2010 출판사에서 나온 책이다.

• 「さよなら」と、キツネがいいました。「さっきの秘密をいおうかね。なに、なんでもないことだよ。心で見なくちゃ、ものごとはよく見えないってことさ。かんじんなことは、目に見えないんだよ」
  「かんじんなことは、目に見えない」と、王子さまは、忘れないようにくりかえしました。

「さよなら(사요나라, 안녕)」と(토, ~라고)、キツネ(키츠네, 여우) が(가, ~가) いいました(이이마시다, 말했습니다)。「さっき(삿키, 아까) の(노 ~의) 秘密(ひみつ, 히미츠) を(오, 를) いおうかね(이오우카네, 말할까 해)。なに(나니, 뭐)、なんでもない(난데모나이, 아무것도 아닌) こと(고토, 것) だよ(다요, ~이야)。心(こころ, 코코로, 마음) で(데, ~으로) 見なくちゃ(みなくちゃ、미나쿠챠, 보지 않으면)、ものごと(모노고토, 본질) は(와, 은) よく(요쿠, 잘) 見えないって(みえないって, 미에나잇데. 보이지 않는) ことさ(고토사, 것이야)。かんじんな(칸진나, 중요한) こと(고토, 것) は(와, 은)、目(め, 메, 눈) に(니, ~에는) 見えないんだよ(みえないんだよ, 미에나잉다요, 보이지 않는다고)」고

「かんじんな(칸진나, 중요한) こと(고토, 것) は(와, 은)、目(め, 메, 눈) に(니, ~에는) 見えない(みえない, 미에나이, 보이지 않아)と(토, ~라고)、王子さま(おうじさま, 오-지 사마, 어린왕자) は(와, 는)、忘れない(わすれない, 와쓰레나이, 잊지 않다) ように(요우니, ~하도록) くりかえしました(쿠리카에시마시다, 반복했습니다)。

• "잘 가"라고 여우가 말했습니다. 아까의 비밀을 말할까 해. 뭐, 별거 아니야. 마음으로 보지 않는다면, 본질은 잘 눈에 보이지 않는 다는 거지. 소중한 것은 눈에는 보이지 않는다고"
  "소중한 것은 눈에는 보이지 않는다", 어린왕자는, 잊어버리지 않기 위해서 반복했다. 

공감했을진 모르겠지만, 결론은 골고루 섞어 경험하면 된다는 얘기를 하고 싶다. 뭐 두 언어 모두 그다지 잘하지도 못하는 처지에 이런 얘기를 하는 건 좀 민망하긴 하지만, 각각의 장르는 서로 다른 어휘와 표현, 특유의 재미 들을 가지고 있다. 많이 들 얘기하지만 결국 언어 공부는 (좋아하든 싫어하든) 그 나라의 문화와 사람을 이해하는 과정이라는 측면도 있기 때문에 다양한 부분을 활용하며 경험하는 것이 좋다고 본다.

다만 현실에서의 우리는 소모할 수 있는 시간이 제한되어 있고, 보통 한 번에 2~3가지 정도의 활동만 꾸준히 관심을 가지고 할 수 있기 때문에, 해당 부분도 항상 생각하면서 선택해 보자. 생각보다 시간은 빠르게 흘러가니까 말이다.

- Fin -

첫 번째 글에서 일부는 언급된 얘기 이기는 하지만, 두 나라 언어 속의 한자와 우리나라 한자와의 차이 부분에 대해서 조금 더 얘기를 하는 것도 의미가 있을 것 같다.


우선 일본어는 대부분의 한자 단어에서 특별히 우리나라 개별 한자의 뉘앙스나 한자 단어의 의미 상에서 차이를 느끼기가 힘든 것 같다. 또 한참 일본어 공부를 할 때에는 중국어를 배우기 전 이였기 때문에 그냥 한자가 너무 많아서 힘들다고 느끼면서 별 생각 없이 받아들였던 것 같다. 그래서 이 글을 정리하면서 이런 부분들이 있구나 하는 걸 알게 된 부분들도 있다.

그렇게 많진 않은 것 않지만, 일본어의 한자가 우리가 쓰는 한자와 다른 의미로 쓰이는 예제들을 몇 개 봐보자.

• 大丈夫(だいじょうぶ, 다이 죠 부) - 한국어로는 "대장부"라는 의미지만 일본어로는 "괜찮아"의 의미이다. 저 "대장부"란 의미가 엄청 호탕하고 시원시원한 남자를 의미 했었으니까, 그 의미에서 "나는 외-내적으로 튼튼해서 문제 없어"의 의미가 되지 않았을까 싶다.
• 愛人(あいじん, 아이 진) - 한국에서는 "애인"이라고 쓰지만, 일본에서는 부적절한 관계의 상대를 지칭한다고 한다. 한국과 같은 좋은 의미로 쓰려면 연인의 한자어로 恋人(こいびと, 코이 비토) 나 彼氏 (かれし, 카레시, 남자친구), 彼女 (かのじょ, 카노조, 여자친구) 라고 해야 한다.
• 迷惑(めいわく, 메이 와쿠) - 한국어로는 "미혹"이란 말로 무언가에 홀리는 것을 얘기하지만, 일본에서는 남에게 폐를 끼치거나, 번거롭게 한다는 의미로 쓰인다. "당신을 헤메고 혹하게 해 미안합니다"의 의미로 받아 들임 어떨까 싶다.
• 真面目(まじめ, 마 지 메) - 한국어로는 "진면목"이란 단어로 "무언가의 진짜 모습(좋거나 나쁠 수 있음)" 이라는 느낌이지만 일본어로는 착실하다, 진지하다의 표현으로 쓰인다.

경험이 많진 않지만, 이렇게 완전히 다른 의미로 쓰는 단어들은 아주 많진 않은 듯 하긴 하다.


그 다음으로는 우리가 쓰는 한자와 다른 한자 단어를 쓰는 경우의 몇 가지 예를 봐보자

• 風邪(かぜ, 카제, 감기) - 우리는 감기(感氣) 라고 표현한다. "(차가운) 바람(風)으로 생기는 나쁜 일(邪)" 이니 감기의 의미는 맞을 듯 하다.
• 紅葉(こうよう, 코우 요우, 단풍) - 우리는 단풍(丹楓)이라고 표현한다. "붉은 잎"이니 단풍의 느낌이 난다. 같은 한자를 단풍잎을 의미할때는 (もみじ, 모미지) 라고도 읽는다.
• 郵便局 (ゆうびんきょく, 유우 빈 쿄쿠, 우체국) - 우리는 우체국(郵遞局) 이라고 쓰는데, 여기는 우편국 이라고 쓴다.
• 長所(ちょうしょ, 쵸우 쇼, 장점) - 우리는 장점(長點)이라고 표현하는데, 여기서는 "잘하는 바(所)" 라고 표현한다. 해석 측면에서는 비슷하다.
• 日傘(ひがさ, 히 가사, 양산) - 마찬가지로 우리는 양산(陽傘)이라고 표현하는 데, 일본은 "날 일"자(우리도 일출, 일광욕 등에서는 해를 의미한다)를 써서 "일산" 이라고 쓴다.

또 일상어 중에 아예 영어로 대신 표현하는 가타가나 단어를 쓰는 경우도 많은 듯하다.

• ピアス (피 아 스, 뚫는 귀걸이) - 영어의 pierce 에서 왔다고 한다, 귀에 거는 귀걸이는 (イヤリング, 이야링구, earring) 라고도 한다.
• ハンカチ (한 카 치, 손수건) - 영어의 handkerchief 에서 왔다고 한다.
• スーツ (수- 츠, 양복) - 영어의 suit 에서 왔다고 한다.
• デパート (데 파- 토, 백화점) - 영어의 department store 의 앞 부분에서 왔다고 한다.

아래와 같이 한국에서는 좀 낯선 단어도 외래어로 자연스럽게 사용한다.

• アイロン (아이 론, 다리미질) - 영어의 iron 에서 왔다. アイロンをかける(~오 카케루) 하면 다리미질을 하다의 의미가 된다.

그 다음엔 우리 한자 단어에는 없거나 잘 안 쓰이지만 일본어에는 잘 쓰이는 단어들이 있다. 

• 邪魔(じゃま, 쟈 마, 폐) - 우리나라에서는 환타지나 무협 소설에서나 쓸 "사마"라는 단어이지만, 일본어에서는 폐를 끼치거나 방해하는 것을 의미한다. 뭐 "나쁜 일"을 끼친다고 생각하면 어떨까 싶다. 
• 結構(けっこう, 겟 코우) - 이것도 예전 고전 시구에서나 언급 될 "결구"라는 단어이지만, 일본어에서는 "괜찮다"는 의미거나, "꽤" 라는 의미로 쓰인다. "무언가를 얽어서 구조를 만드니" 모양이 잘 잡혀서 괜찮다는 정도의 느낌이라고 생각함 어떨까 싶다. 
• 大切(たいせつ, 다이 세츠) - 우리나라 한자로 읽음 "대절"이라고 특별한 의미를 띄지 않지만, 일본어에서는 중요하거나 소중한 것을 얘기한다. 우리도 "절박(切迫)" 하다는 표현을 쓰기도 하니 "크게 절박한 것" 정도의 의미일 것이다
• 残念(ざんねん, 잔 넹) - 이것도 심령 드라마에서 나올 "잔념"이라는 단어지만, 일본어에서는 아쉽거나 안타까움을 표현한다. "(아쉬운) 생각이 남는다" 정도면 말이 될 것 같다.
• 我慢(がまん, 가 만) - 우리나라 한자로는 "아만" 이라는 말로 특별한 의미가 못 되지만, 일본어에서는 무언가를 참거나 견디는 것을 얘기한다. 이건 "자신의 오만함"이라는 불교의 번뇌 중 하나를 나타내는 말이라는데, 오만함이 자존심을 지키는 참을성의 의미로 반어적으로 바뀐 걸까 싶다.

여담으로 우리가 일상에서 많이 보는 일본어도 어원을 따지고 보면 단순해서 재밌는 경우도 있다.

• お好み焼き (おこのみやき, 오 코노미 야키) - 좋아하는 것을(お好み) (모아서) 굽기(焼き)
• とんかつ (豚かつ, 톤 카츠, 돈까스) - 돼지고기(豚)로 만든 커틀렛(カツレツ, 카츠레츠, cutlet)
• 照り焼き (てりやき, 테리 야키, 데리야키) - 소스를 발라 반짝거리게(照り) 굽기(焼き)
• 居酒屋 (いざかや, 이 자카 야, 일본식 술집) - 술(酒)을 마시면서 머무르는(居) 집(屋)

비슷한 지역과 문화권 이기 때문에 속담이나 사자성어 등도 비슷하거나 같은 경우가 당연히 있을 것이다.,아래와 같이 완전 같거나 어디서 들어본 듯한 비슷한 표현도 있고,

• 花より団子 (はなよりだんご, 하나 요리 단고) - 예쁜 꽃(花) 보다는(より) 경단(団子)이 좋다. 금강산도 식후경. 요즘으로 따지면 좀 더 실속 있는 것을 추구하는 부분이라고 볼 수 있다.
• 苦あれば楽あり (くあれば らくあり, 쿠 아레바 라쿠 아리) - 고통이(苦) 있다면(あれば) 즐거움(楽)도 있다(あり). 고생 끝에 낙이 온다.
• 灯台下暗し (とうだいもとくらし, 토우다이 모토 쿠라시) - 등잔(灯台) 밑이(下) 어둡다(暗し)
• 泣き面に蜂 (なきつらにはち, 나키 츠라니 하치) - 우는(泣き) 얼굴(面)에(に) 벌(蜂)이 쏜다. 엎친 데 덮친 격 또는 설상가상 정도.
• 猿も木から落ちる (さるもきからおちる, 사루 모 키 카라 오치루) - 원숭이(猿)도(も) 나무(木)에서(から) 떨어진다(落ちる).

실제 동일한 사자성어 등도 꽤 많은 듯 한다.

• 五十歩百歩 (ごじゅっぽひゃっぽ, 고 쥿 뽀 햣 뽀) - 오십보백보
• 自業自得 (じごうじとく, 지 고우 지 토쿠) - 자업자득
• 以心伝心 (いしんでんしん, 이 신 덴 신) - 이심전심
• 天真爛漫(てんしんらんまん, 텐 신 란 만) - 천진난만

반대로 일부의 표현이 다른 사자성어도 있다.

• 一喜一憂(いっきいちゆう, 잇 키 이치 유우) - 일희일비(一喜一悲) 로 "근심 우(憂)"가 아닌 "슬플 비(悲)" 를 우리는 쓴다
• 他山の石(たざんのいし, 타 잔 노 이시) - 타산지석(他山之石) 으로 之(~의)의 일본 뜻인 の 로 대체했다.
• 鬼に金棒(おににかなぼう, 오니 니 카나보우) - 우리로 따지만 금상첨화(錦上添花) 정도로 도깨비가 방망이를 들었으니 원래도 훌륭한데 더 없이 완벽하다는 얘기다.
• 一炊の夢(いっすいのゆめ, 잇 수이 노 유메) - 일장춘몽(一場春夢) 을 "한 바탕의 꿈이" 아니라 "불땔 취(炊)" 를 사용하여 "한번 불이 붙었다 사라지는 꿈"으로 표시한다.

중국어도 비슷하지만, 사람들의 생각과 삶은 사실 많이 비슷하기 때문에, 결국 한자 단어나 일본어 자체를 가지고 비슷한 표현들을 한다고 보면 될 것 같다.

다음엔 중국어를 봐보자. 중국어도 처음 시작하면 우리나라 한자를 좀 안 다는 가정에서 뭔가 버프를 받는 듯한 느낌이 들지만, 세상엔 공짜는 없어서 그 때문에 진행하다가 종종 이게 뭐지 하는 당황스런 상황도 만나게 된다.

생각해 보면 우리가 쓰는 한자는 중국의 어떤 시대의 한 스냅샷을 가져와서 한글과 결합해서 의미를 담아 오면서 내려왔고(이건 일본도 마찬가지다), 중국의 한자 단어는 우리의 고어와 지금의 말이 많이 차이나 듯이, 이후에도 계속적으로 현대까지 변했을 테니까 당연할 것 같긴 하다. 게다가 중국어의 한자는 좀 더 말랑말랑 하기까지 하니까 말이다. 이 부분은 그냥 두 한자가 조금은 쓰임이 다르다고 받아들여 보자.

그래서 아예 모르는 신규 글자의 단어라면 그냥 받아들이면 되는데, 한자를 아는 입장으로 우리가 아는 한자 단어와 아예 다른 뜻으로 쓰이는 경우도 있고, 우리가 쓰는 의미를 가지면서 동시에 때론 다른 뜻으로 많이 쓰이는 경우도 있다. 


딱딱한 얘기를 하기 전에(뭐 이것도 딱딱할 수 있겠지만) 우선 드라마의 대사 몇 개를 보자. 偷偷藏不住(tōutōucángbùzhù, 토우 토우 창 부 주) 라는 중국 드라마이다. "몰래(偷偷) 좋아하는 감정을 숨길 수 없음(藏不住)" 이란 뜻으로 한국 제목은 "너를 좋아해"이다. 기존 예를 들었던 문장들 보다는 조금 길게 되지만, 뒤에서 얘기하고 싶은 내용이 이 몇 개의 대사에 함축되어 있다. 

• 我爸妈今天临时要去工地。(Wǒ bà mā jīntiān línshí yào qù gōngdì, 워 빠 마 진티엔 린스 야오 취 공띠). 

남자 주인공이 말썽을 부린 여자 주인공 학교에 친 오빠인 척 가서 선생님과 면담하는 장면이다. 아는 한국 한자의 뜻을 기반으로 해석하면 "엄마 아빠가(我爸妈) 오늘(今天) 임시로(临时) 공사장(工地)에 가야 해서요(要去)" 가 되는데 이럼 문장이 뭔가 이상한 느낌이 든다. 이 경우 임시(临时)는 "임시 -> 평소가 아닌 상황 -> 갑자기" 라는 의미로 중국어에서는 많이 쓰이기 때문에, 대사의 뜻은 "엄마 아빠가 오늘 갑자기 공사장에 가야되서요(드라마 내의 부모님 직업이 건설 쪽 인 듯 싶다)"가 된다.

• 让他好好做做桑椎的思想工作。(ràng tā hǎohǎo zuòzuò sāngzhì de sīxiǎng gōngzuò, 랑 타 하오하오 쭈어쭈어 쌍즈 더 스샹 꽁쭈어)

"그로 하여금(让他) 샹즈(桑椎, 여자 주인공)를 사상공작(思想工作)을 잘(好好) 하게 해라(做做)"라는 해석이 된다. 연애 드라마에 무슨 스파이 장르 대사가 있냐 싶지만, 말랑말랑한 중국 한자의 의미로는 思想工作 는 "마음(思想)을 돌리도록 누군 가를 잘 타이르거나 설득한다(工作)"는 의미가 있다. 그래서 위의 표현은 상황에 따라 "그 한테 샹즈를 잘 다독거려 설득하도록 해봐" 정도의 부드러운 일상 표현이 된다. 

• 我的心里也踏实。(wǒ de xīnlǐ yě tāshi. 워 더 신리 예 타스)

뒤에 한국에서는 처음 보는 踏实 라는 단어가 온다. 근데 한자의 의미를 생각해 본다면 밟을 답(踏)에 열매 실(实) 이다. 이렇게 보면 뭔가 차곡차곡 밟아서 튼실하게 되는 건가 싶은데, 중국어에서 踏实 의 뜻은 "발 밑이 단단하다 > 단단한 땅을 딛고 있다 > 마음이 편하다"의 의미로 "마음이 놓이다, 안정되다"의 의미라서 해당 문장의 의미는 "내(我的) 마음(心里)도(也) 편안해(踏实)" 정도가 된다.

• 所以...你刚刚是专门去给我买糖去了？(suǒyǐ...nǐ gānggāng shì zhuānmén qù gěi wǒ mǎi táng qùle?, 수어 이... 니 깡깡 스 쫜먼 취 게이 워 마이 탕 취러?)

아는 한자 뜻 대로 해석하자면 "그럼(所以)...너(你) 방금(刚刚) 나에게 전문적으로(是专门去) 사탕(糖) 사주러(买) 간거야(去了)?" 야 되는데 이렇게 해석함 일단 연애 드라마 속의 대화 느낌은 아닌 듯 싶다. 여기서도 专门 이라는 의미가 무언가를 전문적으로 한다는 거에서 더 나아가 "전문적으로 > 오로지 > 일부러", 또는 "~를 위해 특별하게" 정도의 의미가 되어서 "너 방금 나 주려고 일부러 사탕 사러 갔다 온 거야?" 의 의미가 된다. 

이렇게 보면 기존의 한자를 아는 게 오히려 발목을 잡는 듯한 느낌도 조금 생긴다. 이런 뉘앙스가 다른 한자를 사용하는 문장들은 한국 사람 입장에서는 왠지 어휘를 잘못 쓴 뜻이 어색한 문장 같은 위화감이 느껴지기 때문이다. 

그럼 이제 위의 대사를 마음에 두고, 한자의 차이에 따라 개인적으로 나눠 본 몇 가지 한자 단어 그룹 들을 봐보자

 
우선 한자가 우리나라와 같은 모양이지만 다르게 쓰이는 경우가 있다(때로는 비슷하게도 쓸 때도 있다).

• 礼物 (lǐwù, 리 우, 선물) - 한자만 보면 우리가 결혼식 등에서 보는 예물(禮物)이다. 중국어에서는 보통 일반적으로 주는 "선물"의 의미로 쓰이는 듯 하다.
• 清楚 (qīngchu, 칭 추, 분명하다/뚜렷하다) - 이 표현은 여자나 자연 등에 대해서 "청초(淸楚)하다" 라는 표현으로 쓰지만(아침 이슬이 청초하다), 중국에서는 "분명하거나 뚜렷하다"는 의미로만 쓰인다.
• 明白 (míngbai, 밍 바이) - 중국에서는 한국어에서 쓰이듯 "명백"하다는 의미로는 거의 안 쓰이고, "알다, 이해하다"의 의미로 자주 쓰이는 듯하다. 我明白了(wǒ míngbái le, 워 밍바이 러) 하면 "알겠습니다"라는 의미가 된다.
• 结实 (jiēshi. 지에 스, 튼튼하다) - 우리나라에서는 "결실을 맺다"라는 의미로 쓰지만, 중국어에서는 해당 의미로는 안 쓰고("결실을 맺다"의 의미로는 "과실 과"를 뒤에 넣어 - 结果, jiéguǒ, 지에 구어 - 를 대신 쓰는 듯 하다), 보통 물건이 튼튼하거나 질긴 상태를 표현한다.

뜻은 같지만 순서가 반대로 뒤집힌 한자들도 종종 있다. 한자가 해석되는 순서 땜에 그렇다고도 하고, 전해 내려오면서 그렇게 굳어졌을 수도 있지만 이 경우도 은근 헷갈리는 경우가 많다. 게다가 온라인 중국어 사전에는 반대 순서의 단어도 사용하고 있다고 같이 검색되거나, 관련 예문이 있는 경우도 많은 듯해 확실하지도 않고, 특히 작문 같은 거 할 때는 쥐약이다. 이것도 결국 문장 속에서 익혀야 하는 부분 같고, 요즘 같은 경우는 AI 검색 엔진한테 물어보면 거짓말도 자연스럽게 하지만 몇 번 집요하게 물어도 강한 어조로 얘기 한다면 참고할 만 하며, 가장 좋은 방법은 감이 있는 그 나라 사람한테 물어보는 것일 것이다.

• 避免 (bìmiǎn, 비 미엔, 모면하다) - 한국어에서는 면피(免避)로 쓰인다. 
• 命运 (mìngyùn, 밍 윈, 운명) - 한국어에서는 사주에서 쓰는 명운이라는 용어도 있지만, 운명(運命)으로 보통 쓰인다.
• 缩短 (suōduǎn, 수오 똰, 단축하다) - 한국어에서는 단축(短縮) 으로 쓰인다.

낯설지만 한자의 뜻을 알면 우리가 사용하는 한자의 뜻과 비슷해 유추할 수 있는 단어들도 있다. 해석의 전개는 마음대로 해봤다.

• 后果 (hòuguǒ, 호우 구어) - 뒤 후(后), 실과 과(果) -> 뒤의 결과 -> (주로 나쁜) 일의 결과
• 怀念 (huáiniàn, 화이 니엔) - 품을 회(怀), 생각할 념(念) -> 마음을 품다 -> 그리워 하다
• 失去 (shīqù, 스 취) - 잃을 실(失), 갈 거(去) -> 잃은 상태로 지나가다 -> 잃다, 잃어버리다
• 事先 (shìxiān, 스 시엔) - 일 사(事), 먼저 선(先) -> 일에 앞서서 -> 사전에
• 受伤 (shòushāng, 쇼유 샹) - 받을 수(受), 다칠 상(伤) -> 상처를 받다 -> 상처를 입다, 손상을 입다
• 完善 (wánshàn, 완 샨) - 완전할 완(完), 착할 선(善) -> 완전하게 좋다 -> 완전하다, 완비하다 
• 估计 (gūjì, 구 지) - 값 놓을 고(估-추측하다), 셀 계(计) – 추측하고 계산하다 -> 추측하다, 예측하다

한국에서는 사용되지 않는 낯설게 느껴지는 중국어 조합 단어들이 있다. 다만 말랑말랑한 한자를 느낄 수 있다면 유추가 가능할 것은 같다.

• 倒闭 (dǎobì, 다오 비) - 넘어질 도(倒-실패하다), 닫을 폐(闭) -> 넘어져서 닫다 -> (기업체가)도산하다
• 不耐烦 (búnàifán, 부 나이 판) - 아닐 부(不), 견딜 내(耐), 괴로워할 번(烦) -> 괴로움을 견디지 못하다 -> 못 참다, 성가시다
• 超级 (chāojí, 차오 지) - 뛰어넘을 초(超), 级(등급) -> 뛰어넘은 등급 -> 뛰어난, super, 초~
• 拐弯 (guǎiwān, 과이 완) - 속일 괴(拐-방향을 바꾸다), 굽을 만(弯) -> 굽으면서 방향을 돌다 -> 방향을 바꾸다, 모퉁이
• 救护车 (jiùhùchē, 지우 후 처) - 구원할 구(救), 지킬 호(护), 수레 차(车) -> 구해서 지켜주는 차 -> 구급차
• 体会 (tǐhuì, 티 회이) - 몸 체(体-체득하다), 모일 회(会-이해하다) -> 체득하다, 이해하다
• 销售 (xiāoshòu, 시아오 쇼우) - 녹을 소(销-팔다/소비하다), 팔 수(售) -> 팔다, 판매하다
• 满意 (mǎnyì, 만 이) - 찰 만(满), 뜻 의(意) -> 가득찬 마음 -> 만족하다, 맘에 들다
• 排队 (páiduì 파이 뛔이) - 늘어설 배(排), 대오 대(队) -> 늘어서 열을 이루다 -> 줄을 서다

우리나라는 옛날 사극에나 나오거나 사자성어나 설명체 등의 무거운 뉘앙스로 쓰는데 중국어는 평상어 인것도 종종 보인다.

• 允许 (yǔnxǔ, 윈 쉬) – 윤허하다(임금이 신하한테 허락하는 거) -> 허가하다, 허락하다
• 前途 (qiántú, 치엔 투) – 전도양양 하다는 표현으로 주로 씀 -> 유망한 앞길, 진로
• 留言 (liúyán, 리우 옌) – 우리나라는 죽을 때 남기는 유언이지만 -> 중국은 메시지를 남겨주세요 같은 걸 남긴다.
• 转移 (zhuǎnyí, 쫜 이) – 병이 전이 되거나, 물체가 옮겨가는 것 -> 옮기다, (화제 등을) 바꾸다 정도인 듯하다

물론 아래와 같이 간체로 모양만 조금 다르지, 뜻이 동일한 경우도 많이 있다. 이게 딱 분리되어 다르게 쓰는 한자와 구분이 잘 안된다는 게 문제이긴 하지만 말이다. 그리고 간체에 익숙해질 수록 가끔 원래 번체와 다른 단어인가 하고 같은 글자임을 인지 못 할 때도 있다.

• 促进 (cùjìn, 추 진) – 촉진하다(促進)
• 记忆 (jìyì, 지 이) – 기억하다(記憶)
• 会计 (kuàijì, 콰이 지) – 회계(會計)
• 平安 (píng’ān, 핑 안) – 평안하다
• 色彩 (sècǎi, 서 차이) – 색체

한국에서는 쓰지만 중국어에서는 사용 안 하는 단어들도 있다. 이런 거 섞어 쓰면 조금 이상한 외국 사람 되는 걸거다.

• 대학교(大學校) – 大学(dàxué, 따 쉐)
• 학부모(學父母) – 家长(jiāzhǎng, 찌아 장) 집의 어른이라는 의미이다
• 이사(移徙) – 搬家(bānjiā, 반 지아) 집을 옮기다는 의미이다
• 선배 (先輩) – 前辈(qiánbèi, 치엔 베이, 보통 직장에서의 선배) 한국 사람에게는 무협소설에서나 나올 한자 조합이다. 이것도 사실 잘 안 쓰고 哥(gē, 꺼), 妹(mèi, 메이)를 쓴 다고도 한다. 우리가 일본식 한자 표현 얘기하듯이, 중국에서도 한국식, 일본식 한자 표현이라고 얘기를 하나 보다.
• 우유 (牛乳)- 牛奶(niúnǎi, 니우 나이) - 젓 유(乳)가 아닌 젓 내(奶)를 쓴다

특정한 이미지를 나타내어 결합하기 때문에 알아 두면 이곳 저곳에서 응용해 쓸 수 있는 한자들이 있다. 

• 死 (si, 스, ~해서 죽겠다) - 急死(jí‧si, 지 스, 급해 죽겠다), 想死(xiǎngsǐ, 샹 스, 보고 싶어 죽겠다)
• 白 (bái, 바이, 헛수고 했다는 것) - 白搭(báidā, 바이 다, 소용 없다, 헛수고하다), 白干(báigàn, 헛 일 하
• 小 (xiǎo, 샤오, ~군, ~양 정도) - 小王(xiǎowáng, 샤오 왕, 왕 군), 小李(xiǎolĭ, 샤오 리, 이 양)
• 红 (hóng, 홍, 인기 있다) - 网红(wǎnghóng, 왕홍, 인터넷에서 유명한 사람, 인플루언서)
• 花 (huā, 화, 돈을 쓰다) - 花钱(huāqián, 화 치엔, 돈을 쓰다), 花光(huāguāng, 화 꽝, 앞의 光와 결합하여 돈을 모두 탕진하다)
• 吃 (chī, 츠, 받다/감수하다) - 吃亏(chīkuī, 츠 쿠이, 손해를 보다), 吃苦(chīkǔ, 고생하다)

영어 동사처럼 여러 의미로 확장되는 한자들이 있다. 뭐 한글에도 그렇게 비유적인 표현들이 있기도 하고, 뭐 앞에서 얘기했듯 말랑말랑한 한자이다. 

• 偷 (tōu, 훔칠 투) - 훔치다 > 남몰래
• 瞎 (xiā, 시아, 애꾸눈 할) - 눈이 멀다 > 뵈는 게 없다 > 아무렇게나, 제멋대로
• 挣 (zhèng, 타툴 쟁) - 다투다 > 필사적으로 애쓰다 > 돈을 벌다
• 仍 (réng, 인할 잉) - 그대로 따르다 > 빈번하다 > 아직도
• 捐 (juān, 버릴 연) - 버리다 > 바치다 > 기부하다 捐款(juānkuǎn, 좐 콴)
• 图 (tú, 그림 도) - 그림을 그리다 > 도모하다, 계획하다
• 脆 (cuì, 추이, 연할 취) 무르다 > 푸석푸석하다 > 사각사각 하다

한자도 읽을 수 있고 한자의 뜻도 알고 있지만, 어떤 뜻으로 쓰이는지 문장을 이해하기 전에는 알 수 없는 단어들이 있을 수 있다(다만 알고 나서 뜯어 보면 그럴 수 있겠다 라는 생각은 든다).

• 外行 (wàiháng, 와이 항) - 줄 항(行-직업, 업무의 의미도 있음), 밖 외(外) -> 업무의 바깥에 있다, 동업자가 아니다 -> 잘 모르거나 아마추어의 의미로 확장됨, 문외한이다
• 在行 (zàiháng, 짜이 항) - (반대로) 업무에 자리하고(在) 있다 -> 능하다, 정통하다
• 粗心 (cūxīn, 추 신) - 거칠 조(粗-거칠고 조잡하다, 꼼꼼하지 못하다), 마음 심(心) -> 꼼꼼하지 못한 마음 -> 부주의하다/세심하지 못하다.
• 小票 (xiǎopiào, 샤오 피아오) - 작을 소(小), 쪽지 표(票-증서) -> 작은 증서 -> 영수증
• 熬夜 (áoyè, 아오 예) - 볶을 오(熬-오랫동안 끓이다, 달이다), 밤 야(夜) -> 밤에 오랫동안 달이다 -> 밤새다
• 借口 (jièkǒu, 지에 코우) - 빌릴 차(借), 입 구(口) -> 입(口)에 의지해서 요리조리 빠져나가다 -> 구실로 삼다, 핑계로 삼다
• 零食 (língshí, 링 스) - 나머지 령(零-아주 자질구레한 것), 먹을 식(食) -> 자질구레한 식사 -> 간식
• 小气 (xiǎo‧qi, 샤오 치) - 작을 소(小), 기운 기(气) -> 기질이 작다 -> 인색하다
• 难看 (nánkàn, 난 칸) - 어려울 난(难), 볼 간(看) -> 좋지 않게 보인다 -> 안색이 좋지 않다, 못생기다
• 养车 (yǎngchē, 양 처) - 기를 양(养), 수레 차(车) -> 차를 부양하다(아이, 동물 처럼 잘 키우다, 쓰다) -> 차를 정비하고 관리하다
• 麻花 (máhuā, 마 화) - 삼 마(麻), 꽃 화(花) -> 마를 꼬듯이 꼬아 놓은 꽃 모양의 음식 -> 꽈배기

마지막으로 사자성어 들을 살펴 보면서 마무리 하자. 한국과 같은 사자성어들도 있다.

• 同病相怜 (tóng bìng xiāng lián, 통 빙 샹 린) - 동병상련
• 自暴自弃 (zì bào zì qì, 즈 빠오 즈 치) - 자포자기

문제는 일본어 때도 그랬지만 미묘하게 일부 글자를 다르게 쓰는 사자성어들이 종종 보이게 된다.

• 表里不一 (biǎo lǐ bù yī, 비아오 리 부 이) - 한국은 표리부동(表裏不同) 으로 "한 일" 대신 "같을 동"을 쓴다
• 好事多磨 (hǎo shì duō mó, 하오 스 뚜어 모) - 한국은 호사다마(好事多魔)에서 "마귀 마"가 아닌 "갈 마(시련이 많다)"를 쓴다.
• 坐收渔利 (zuò shōu yú lì, 쭈어 쇼우 위 리) - 한국의 어부지리(漁夫之利)가 아닌 "앉아서 물고기를 줏는 이득을 얻다" 이다.
• 目中无人 (mù zhōng wú rén, 무 쫑 우 런) - 한국은 안하무인(眼下無人) 으로 "눈 아래"가 아닌 "눈 안"에 사람이 없다로 표현한다.
• 独一无二 (dú yī wú èr, 두 이 우 얼) - 한국은 유일무이(唯一無二) 로 "오직 유(唯)" 대신 "홀로 독(独)"을 쓴다.

일단 시험을 보거나 게임을 하거나 드라마를 보게 되도 사자성어는 정말 많이 나온다. 중국에서의 사자성어는 많은 속담이나 생활의 느낌, 특별한 생각들이 몇 글자로 압축되어 있다고 보면 어떨까 싶다. 우리가 걍 말 버릇처럼 "시작이 반이다", "집에서 새는 바가지..." 어쩌고 하는 것과 비슷하다고 생각하면 된다.

• 半途而废 (bàn tú ér fèi, 반 두 얼 페이) - 중간(半途)에서(而) 그만두다(废)
• 不屑一顾 [bú xiè yí gù] 가루(屑) 하나도 거들떠볼(一顾) 필요도 없다(不)
• 得不偿失 [dé bù cháng shī] 얻는 것(得)이 잃는 것(偿失)보다 못하다(不)
• 急功近利 [jí gōng jìn lì] 눈 앞의(急) 성공(功)과 당장의(近) 이익(利)에만 급급하다
• 争先恐后 [zhēng xiān kǒng hòu] 앞을 다투고(争先) 뒤로 처지는 것을 두려워 하다(恐后)
• 马马虎虎 [mǎ‧mǎhūhū] 대충대충 하다 - 말을 그리던 화가가 다른 사람이 호랑이를 그려달랬더니 두 개를 섞어 대충대충 그리고 얼버무렸다고 해서 생겼다는 설이...

- Fin - 

이번엔 명확한 규칙이 있다고는 할 순 없겠지만 한자의 발음에 대해서 한국어 발음이랑 비교해 한번 얘기해 보려 한다.
앞에서 한국어와 일본어는 문법이 엄청 유사하다고 얘기했지만, 거기에 추가로 한자의 발음도 꽤 유사하다. 
발음이 비슷하게 들린다는 측면도 조금은 있긴 하지만, 한자 단어의 경우 글자가 다르더라도 같은 한국어 발음으로 시작되는 서로 다른 한자들이 일본어에서도 한 두 개 정도의 그룹으로 묶이는 경우가 많다.

예를 들어 한국어에서 "과" 발음의 한자 단어 들을 보자(서로 다른 글자가 같은 발음으로 묶인 다는 걸 보이기 위해서 예제를 일부러 좀 많이 넣었다)

• 科学 (과학, かがく, 카 가쿠)
• 果汁 (과즙, かじゅう, 카 쥬우)
• 課題 (과제, かだい, 카 다이)
• 過程 (과정, かてい, 카 테이)
• 過去 (과거, かこ, 카 코) 
• 効果 (효과, こうか, 코우 카)
• 寡黙 (과묵, かもく, 카 모쿠) 
• 製菓 (제과, せいか, 세이 카)

발음이 달라지는 한자들도 있는데, 이 경우라도 "카" -> "코" 정도로 뭐 이해해 줄만 하다. 

• 誇張(과장, こちょう, 코 쵸우)

다른 예로 "문"이라고 발음 되는 한자들을 보자.

• 文章 (문장, ぶんしょう, 분 쇼우)
• 新聞 (신문, しんぶん, 신 분)
• 紊乱 (문란, ぶんらん, 분 란)
  
  
• 専門 (전문, せんもん, 센 몬)
• 質問 (질문, しつもん - 시츠 몬)
• 紋様 (문양, もんよう - 몬 요우)

이 경우도 "분" 이나 "몬" 으로 발음 되기 때문에 기존 한글 발음인 "문"의 범위 내에서 유사하게 발음 되는 느낌이 있다. 그래서 일본어를 좀 많이 듣다 보면 한자 단어의 경우 이 단어 같다는 추측이 가능하게 되는 상황이 생긴다.


다만 아쉽게도 한자에 따라서 뜻을 이용해 읽는 경우는 예외적인 상황이 생긴다. 아래와 같이 明 한자는 めい(메이), 日 한자는 にち(니치) 라고 한자 발음으로 읽히는데 

• 明白 (명백, めいはく - 메이 하쿠)
• 明細 (명세, めいさい - 메이 사이)
  
  
• 日時 (일시, にちじ - 니치 지)
• 日曜 (일요, にちよう - 니치 요우)

두 개의 단어가 결합된 明日는 めいにち(메이 니치) 라고 되면 참 좋을텐데, 내일이라는 고유어를 표현하는 あした(아시타) 라고 읽는다.


게다가 조금 더 불행한 부분은 위의 日 경우도 어떤 소리와 한자와 결합되느냐에 따라 마치 우리나라 된소리 비슷한 촉음화라는 받침이 생기기도 하고

• 日記 (일기, にっき - 닛 키)
• 日課 (일과, にっか - 닛 카)

아래와 같이 같이 반대로 발음이 부드러워 질 수도 있다.

• 日本 (일본, にほん - 니 혼)

또한 이렇게 다양하게 변하는 경우가 일반적인 케이스는 아니지만, 아래와 같이 다양한 예외가 나올 수 있다.
음 독 이면서도 다른 발음 일수도 있고,

• 休日 (휴일, きゅうじつ, 큐우 지츠)

다른 훈 독 인 해라는 의미와 결합되면 아래와 같이 히나 비로 발음 된다.

• 日差し (햇볕, ひざし, 히 자시)
• 記念日 (기념일, きねんび - 키 넨 비)

단어 중 한자의 모양을 갖추었지만 고유어의 의미로 읽히는 경우가 많이 있는데, 뭐 이건 그때 그때 보면서 외워야 하는 거지 싶다. 언어가 뭐 항상 논리적으로 설명되진 않으니까 말이다.

• 大人 (어른, おとな, 오토나)
• 下手 (서툴다, へた, 헤타)
• 紅葉 (단풍, もみじ, 모미지)
• 着物 (키모노, きもの, 키모노)

중국어는 약간 상황이 달라서 처음 배우게 되면 발음이 많이 다른 것 같이 느껴진다.

예를 들어 "우"라는 한자를 보자

• 优秀(우수, yōuxiù, 요우 시우) - 우수하다
• 右 (우, yòu, 요우)
  
  
• 雨伞 (우산, yǔsǎn, 위 산)
• 待遇 (대우, dàiyù, 따이 위)
  
  
• 牛肉 (우육 niúròu, 니우 로우)

이렇게 보면 "요우"랑, "위" 는 그러려니 하는데, "니우" 발음으로 가면 발음이 완전 다른가 하는 생각이 들 수 있지만, 일본어 보다 조금 가지가 몇 개 더 늘어나는 측면이 있다고 받아들이면 매칭 되는 부분이 비슷하게 있는 것 같다.


그럼 그런 생각 하에 다른 발음 "과" 하나를 더 보자 

• 水果 (과일, shuǐguǒ - 수이 꾸어)
• 过去 (과취, guòqù, 꾸어 취) - 지나가다의 의미
• 通过 (통과, tōngguò - 통 구어) - 통과하다의 의미
  
  
• 西瓜 (시과, xīguā, 시 과) - 수박
• 黄瓜 (황과, huángguā - 황 과) - 오이
  
  
• 夸张 (과장, kuāzhāng - 콰 장) - 과장하다의 의미
• 跨行 (과행, kuàháng, 콰 항) - 타행의 의미

이럼에도 불구하고 일본어 보다 하나 좋은 점은 음 발음, 뜻 발음 같은 베리에이션이 없기 때문에 항상 일정한 발음으로 읽혀지는 부분이지만, 추가로 성조라는 게 있기 때문에 또 그만큼 주의해야 할 건 늘어나서 비슷한 것 같기도 하고, 밑에서 얘기하는 대로 살짝 예외가 있다.


하나의 글자의 발음은 항상 일정하다는 생각을 가지고 공부하다 보면 글자가 분명이 같은데, 발음이 달라지거나, 성조가 달라져서 이게 뭐지 하고 헷갈리는 경우가 있다. 

해당 상황이 발생하는 이유는, 간체를 만들면서 서로 다른 글자가 합쳐지거나 하는 이유로 글자 모양은 같지만 실제는 서로 다른 한자의 뜻으로 쓰여질 때 그런 것 같다. 이런 하나의 글자가 성조나 발음이 서로 다른 경우는 아주 많진 않아서(아마 100개 미만 이지 않을까 싶다), 이상할 때 마다 정리하거나 그냥 아무 생각 없이 단어를 외거나 하면 될 정도인 것은 같다.

발음이나 성조가 달라지는 몇 개의 예를 보자.

발음 까지 달라지거나 

• 长 (cháng, 창, 길 장, 延长, yáncháng, 옌 창, 연장하다) - 한국 한자로는 镸 로 표기한다.
• 长 (zhǎng, 짱, 어른 장, 成长, chéngzhǎng, 청 짱, 성장하다, 자라다) - 한국 한자로는 𠀋 로 표기한다
  
  
• 行 (xíng, 걸을 행, 旅行, lǚxíng, 뤼 싱, 여행)
• 行 (háng, 줄 항, 银行, yínháng, 인 항, 은행)
  
  
• 乐 (lè, 러, 즐거울 락, 快乐, kuàilè, 콰이 러, 즐겁다) - 한국 한자로는 둘 다 樂 로 표기한다.
• 乐 (yuè, 웨, 풍류 악, 音乐, yīnyuè, 인 웨, 음악)

때론 성조만 달라지기도 한다. 뭐 모양만 같지 서로 다른 한자이니, 두 한자가 발음이 같으면서 성조만 다른 경우라고 보면 된다.

• 假 (jiǎ, 지아, 거짓 가, 假装, jiǎzhuāng, 지아 쫭, 가장하다, ~인 체하다) 
• 假 [jià, 지아, 틈 가, 请假, qǐngjià, 칭 지아, 휴가를 내다) - 한국 한자로는 暇 로 표기한다.
  
  
• 中 (zhōng, 쫑, 가운데 중, 中间, zhōngjiān, 쫑 지엔, 중앙, 중간)
• 中 (zhòng, 쫑, 맞을 중, 命中, mìngzhòng, 밍 쫑, 명중하다)

정리해 보면 한국인 입장에서 한자 발음을 읽을 때 두 언어다 어느 정도 공부하다 보면 발음이 어느 정도 유추가 되는 시점이 오는 것은 맞는 듯 싶다. 사실 이건 두 나라 모두 특정 시대의 중국 한자 발음을 나름 들리는 대로 가져와 고유 말 발음과 매칭 시켰을 터이니 당연한 것 같기도 하다. 다만 일본어의 경우는 훈독이, 중국어의 경우는 성조가 이 편안함에 조금 후추 가루를 뿌리는 경향이 있다.

강사 분의 얘기로는, 요즘 사람들은 한자 자체를 잘 모르는 경우도 많기 때문에 그냥 한국 한자의 뜻을 모르고 아예 다른 글자라 생각하고 접근하는 경우도 많다고 얘기한다. 그래서 이렇게 따져가며 고민할 시간에 그냥 단어나 더  외우라는 구박을 종종 듣곤 하지만, 이렇게 기존에 알고 있는 한국 한자와 비교하는 것을 안 하고 순수하게 한자를 바라보기가 개인적으로는 무척 힘든 거 같다. 

이번엔 외국어 표기에 대해서 얘기해 보자. 아마도 아는 범위 상 거의 영어에 대한 얘기일 거 같긴하다.

우선 우리말인 한국어는 외래어라고 분류하긴 하지만 요즘은 그런 공식적인 경계가 조금 허물어진 느낌이다. 다르게 생각하는 입장도 있을 수 있겠지만 개인적으로는 어떤 영어든 뭐 한국 발음으로 바꾸어 쓰고, 그걸 상대가 알아들을 수 있다면 그게 외국어의 한글 표기이지 않을까 하는 생각이 든다.

특히 단어의 경우는 더더욱 그래서 예를 들어, "이 문제는 델리케이트(delicate)한 측면이 있고, 크리티컬(critical)한 결과를 가져올 수 있으니 조심스럽게 어프로치(approach) 해보자" 라고 얘기한다면 국어의 순화를 중요하게 생각하는 입장에서는 무슨 근본 없는 표현이냐고 볼 수도 있겠지만(이 문제는 미묘한 측면이 있고, 중대하고 심각한 결과를 가져올 수 있으니 조심스럽게 접근해 보자), 많은 전문 분야(특히 IT 쪽을 생각해 보면 많이 그렇다)에서 어쩔 수 없이 외국어를 많이 섞어 쓰고 있다.

한국어의 "귀엽다"는 표현과, 일본어의 "可愛い(かわいい, 카와이-)" 하는 표현과, 중국어의 "可爱(kě'ài, 커아이)하는 표현은 일-중 두 나라의 경우는 한자가 같은데도 불구하고 무언가 서로 비슷하면서도 다른 느낌이 있다. 또한 한 언어의 표현으로는 엄청 길게 설명해야 되는 표현도 다른 언어에서는 하나의 짧은 단어나 사자성어로 함축이 되기도 하고, 그 반대로 장황해 지기도 하는 것 같다.

• 自生自灭 (zìshēngzìmiè, 즈 셩 즈 미에) - 스스로 생겨나고 스스로 사라질 정도로 신경을 안 쓰고 내버려 두다.
• 切ない (せつない, 세츠 나이) - 무언가 이루어지지 못하는 것에 대한 가슴 아프고, 안타깝고 애틋함에 대한 표현

하나 하나의 단어와 발음에는 특정한 나라 사람들의 감정이나 느낌이 시간과 엉켜서 압축되어 담겨져 있다고 생각한다. 특히 노래 가사 들을 보다 보면 이 가사는 다른 언어로는 이 느낌을 표현할 수 없겠구나 라는 생각이 드는 경우가 가끔 있기도 하고, 또한 게임 쪽에서는 농담 반 진담 반으로 게임 계의 라틴어가 일본어라고 하 듯 각 언어가 표현하는 고유의 느낌과 외국인 입장에서의 환상 비슷한 부분이 있다.



또한 우리말로 대체하려다 보면 이미 단어의 형태로 결합하여 뜻이 제한되어 버린 한자를 다시 쪼개서 결합하거나 순수 우리말로 표현해야 하는데, 이것도 좀 결이 잘 안 맞는 경우가 많다고 본다(레고의 부품이 다양하지 않은데 이걸로 뭔가를 만드는 느낌이라고 할까?).

인터넷을 찾아보면 아래와 같은 우리말로 표현하는 시도가 실패했다고 하는데, 원어의 느낌을 떠올려 보면, 틀린 표현은 아니지만 원래의 그 느낌을 충분히 표현하진 못한다는 생각이 든다. 

• 참살이 (Well-being)
• 맨손 음식 (Finger food)

뭐 그래서 적절한 외국어를 가져다 쓰는 게 어찌 보면 다른 나라에서 오랫동안 키워온 맘에 드는 생각의 파편들을 주워와 사용하는 거라고 생각해 보는 것도 어떨까 싶다. 그렇게 되면 외국어를 공부하는 부분에 좀 더 다른 의미도 생기고 말이다.

일본어는 아마 오래전부터 한자의 주석을 가타카나로 표시해 왔기 때문에 외국어도 자연스럽게 가타카나로 표기하지 않았나 싶긴 하다. 그래서 외국어를 구분하기가 너무 쉽다. 물론 강조어나 의성어/의태어도 가타카나로 표현하지만 영어 표현이 압도적으로 많다. 다만 일본어를 배우는 다른 나라 사람 입장에서는 히라가나의 46개의 글자를 다시 또 가타카나 라는 다른 글자로 외어야 하는 1.5배 정도의 부담이 생기고, 또 가타카나는 특정한 분야에 많이 퍼져있어 배우는 루트에 따라서 정말 늦게 나 본격적으로 경험하게 될 수도 있다. 대부분의 나라가 그렇겠지만 순수 문학으로 갈 수록 점점 보기 힘들어 지고, 반대로 기술이나 게임, 패션 같은 쪽으로 갈 수록 점점 많아질 것이다. 좀 있어 보이는 측면을 찾아보려면 의학 드라마나 경제 방송의 대화를 보면 될 거고 말이다.

그래서 일반적으로 학교, 학원을 통해 모범적인 방식으로 공부하거나, 본인의 예능이나 게임 등 특정 분야에 관심이 전혀 없다면 아마 가타카나가 공부하는 과정에서 많이 노출될 가능성이 낮아지게 되어, 나중에 어느 정도 한자와 히라가나를 잘 읽고 쓰면서도 가타카나가 나오면 아 이게 뭐였지 하는 당황스런 상황에 놓이게 될 가능성이 높다. 그런데 일반적으로 일본어는 취미가 공부를 이끄는 경우도 많은 것 같아서 오히려 이런 경우가 드문 것 같기도 하다.



우선 게임에서 자주 만나는 가타카나를 보자.

• スタート (스타-토, Start, 스타트)
• セーブ (세-부, Save, 세이브)
• ロード (로-도, Load, 로드)
• エネミー (에네미-, Enemy, 에너미)
• メイジ (메이지, Mage, 메이지)
• クエスト (퀘스토, Quest, 퀘스트)
• ファイアボール (화이아보-루, Fireball, 파이어볼)
• ライトニング (라이토닝구, Lightning, 라이트닝)
• ヒール (히-루, Heal, 힐)

요즘 같이 글로벌 시장을 목표로 다국어 번역과 음성을 기본으로 지원하는 게임이 많아진 환경에서는 이해가 안 될 수도 있겠지만, 위를 보면 이걸 읽지 못하면 일본어로만 이루어진 게임을 하긴 힘들겠구나 라는 생각이 들지 않나 싶다. 그래서 예전에 수많은 1세대 게임 회사 사람들이 게임(특히 RPG)을 하기 위해 일본어를 사전을 찾아가며 열심히 노력할 수 밖에 없었던 상황도 있었었다.



그 다음엔 패션 쪽을 몇 개 봐보자 

• コート (코-토, Coat, 코트)
• スカート (스카-토, Skirt, 스커트)
• Tシャツ (T샤츠, T-shirt, 티셔츠)
• シンプル (신푸르, Simple, 심플)
• オーバーサイズ (오-바-사이즈, Oversize, 오버사이즈)

이 쪽도 뭐 우리나라랑 비슷하게 여러 영어 단어들을 자연스럽게 가져다 쓴다. 



IT 쪽도 함 봐보자

• ノートパソコン (노-토파소콘, Notebook PC, 노트북 컴퓨터)
• キーボード (키-보-도, Keyboard, 키보드)
• マウス (마우스, Mouse, 마우스)
• プログラム (프로그라무, Program, 프로그램)
• システム (시스테무, System, 시스템)
• パスワード (파스와-도, Password, 패스워드)
• データ (데-타, Data, 데이터)

우리나라 사람 입장에서 보면 뭔가 발음이 하나 빠져있는 거 같은 어색함이 있지만 양 쪽 다 각자 들리는 발음으로 최대한 비슷하게 표현한 부분이고, 외국 사람 입장에서는 어차피 비슷비슷 한 발음이라고 하니 그러려니 하자. 일단은 대충 비슷하게 매칭 되는 듯한 느낌이 있다.



마지막으로 경제 쪽을 봐보자.

• マーケット (마-켓토, Market, 마켓)
• ビジネス (비지네스, Business, 비즈니스)
• コンシューマー (콘슈-마-, Consumer, 컨슈머)
• キャッシュフロー (캿슈후로-, Cash Flow, 캐시 플로우)
• ファンド (환도, Fund, 펀드)
• トレンド (토렌도, Trend, 트렌드)

개인적으로는 일본어 쪽이 좀 더 영어 단어를 적극적으로 가져다 쓴다고 보는데, 최근 (어색해서 그랬는지) 한자 표현으로 바뀌었지만 현금 없는 버스 안에 붙여 있는 포스터의 문구를 보면 아래와 같은 표현이 있었다(구글 이미지를 찾아보면 둘 다 있으니 궁금하시면 검색을...)

• 当バスはキャッシュレスに運営され,
• 当(토우, 이)バス(바스, 버스)は(와, 는)キャッシュレス(캿슈레스, cashless)に(니, 로)運営(운에이, 운영)され(사레, 사역형),
• 이 버스는 현금 없이(cashless) 운영 되어,

이런 걸 보면 우리나라 보다는 좀 더 적극적으로 일본 쪽이 영어를 일상에 적용하여 사용하는 것 같긴 하다.

중국어는 영어를 어색한 한자로 바꾸어 쓴다는 식의 인식을 받기도 하지만, 그건 아마도 순수한 자국어를 최대한 지키려 하는 정부의 문화 정책이 영향을 미치지 않을까 싶다. 그리고 문화에 보수적인 사람들이 영향을 크게 줄 수 있는 환경이라면, 우리말 지키기 운동 같은 강한 흐름이 주도권을 가지면서 그렇게 된 게 아닌가 싶다. 뭐 하지만 세상일이 그렇듯이 항상 절대적으로 옳거나 틀린 건 없을 테니 그냥 현재 상태가 그렇다고 보면 될 것 같다. 그리고 그쪽에서는 한자와 같이 숨 쉬며 살기 때문에 앞에서 얘기했듯이 한자를 조합해 외국어를 표현하는 부분이 우리가 느끼듯이 딱딱하게 느껴지지 않을 수도 있어 보인다. 우리나라나 일본이 한글을 조합해 영어를 만들면서도 자연스럽게 느끼듯 말이다.



우리나라의 경우도 중국보다 수는 적은 듯 하지만 현재는 많이 안 쓰이거나, 비슷하게 영어와 혼용해 쓰는 한자 말이나 순수 우리 말들이 꽤 존재하는 듯 하다.

• 昇降機(승강기 vs 엘레베이터)
• 管絃樂團(관현악단 vs 오케스트라)
• 畫廊(화랑 vs 갤러리)
• 房(방 vs 룸)
• 내려받기 vs 다운로드
• 누리사랑방 vs 블로그

이렇게 변화하게 되기 까지 꽤 많은 시간이 흘렀다는 것을 생각해 보면, 몇 십 년 후의 세상일은 역시 모를 것 같다.



우선 중국에 진출한 외국 기업의 상표를 중국어로 표현한 부분을 보자. 많이 알려 지듯이 브랜드의 독특함을 비슷하게 표현하면서 한자에 브랜드와 어울리는 뜻을 담으려고 했다고 이해는 하지만, 외국 사람 입장에서는 좀 희화화된 예시들로 받아들이는 경향이 있어 보인다.

• 可口可乐 (kěkǒu kělè, 커코우 커러, Coca-Cola, 코카콜라, 입에 맞고 즐겁다 라는 의미가 있다)
• 优衣库 (Yōuyīkù, 요우 이 쿠, Uniqlo, 유니클로, 우수한 옷 창고라는 의미가 된다)
• 麦当劳 (Màidāngláo, 마이 당 라오, McDonald', 맥도날드, 이건 뜻보다는 음만 중시한 표현이라고 평가된다고 한다)

단순히 발음을 가차 한 표현들도 있다고 한다. 이 경우는 한자에 크게 뜻은 없다. 아예 해당 발음을 위한 한자를 새로 만들기도 하고 말이다.

• 咖啡 (kāfēi, 카페이, Coffee, 커피)
• 巧克力 (qiǎokèlì, 치아오커리, Chocolate, 초콜릿)
• 比萨 (bǐsà, 피사, Pizza, 피자)
• 沙发 (shāfā, 샤파, Sofa, 소파)

여기까지는 뭔가 중국어로 영어를 표기하려 하는구나 라는 생각이 드는데, 좀 더 전문적인 분야로 가면 오히려 영어 발음을 느낄 수 있는 단어들은 점점 사라지게 된다. 

IT 쪽을 보면

• 软件 (ruǎnjiàn, 롼 지엔, Software, 부드러운 부품, 소프트웨어)
• 硬件 (yìngjiàn, 잉 지엔, Hardware, 딱딱한 부품, 하드웨어)
• 电脑 (diànnǎo, 디엔 나오, Computer, 전기 뇌, 컴퓨터)
• 网站 (wǎngzhàn, 왕 짠, Website, 그물같은 세상의 역, 웹사이트)
• 互联网 (hùliánwǎng, 후 리엔 왕, Internet, 상호 연결된 그물, 인터넷)
• 代码 (dàimǎ, 따이 마, Code, 대신하는 부호, 코드)
• 大数据 (dàshùjù, 따 수 쥐, Big Data, 큰 숫자, 큰 데이터, 빅데이터)

패션도 그렇다. 

• 鞋子 (xiézi, 시에 즈, Shoes, 슈즈)
• 包 (bāo, 빠오, Bag, 뭔가 감싸는 것, 발음도 은근 비슷하다, 백)
• 品牌 (pǐnpái, 핀 파이, Brand, 물건의 (품질을 나타내는) 명패, 브랜드)
• 模特 (mótè, 모 터 Model, 특별한 본보기, 발음도 좀 비슷하게 하려 한듯 하다, 모델)

경제 쪽도 애매해서

• 市场 (shìchǎng, 스 창, Market, 시장, 마켓)
• 风险 (fēngxiǎn, 펑 시엔, Risk, 위험, 리스크)
• 成本 (chéngběn, 청 뻔, Cost, 이루는데 드는 본전, 코스트)
• 基金 (jījīn, 지 진 Fund, 기반이 되는 돈, 펀드)
• 比特币 (Bǐtèbì, 비 터 비, Bitcoin, 비트 코인)

한국인 입장에서 좀 헷갈리는 부분은 저 한자 단어들이 진짜 영어를 나타내기 위해 만들어진 새로운 단어인지, 원래 사용하던 일반적인 단어들이 영어의 의미까지 포함하게 된 건 지를 직관적으로 알기 힘들다는 것이다. 그래서 드라마 같은 걸 보다 보면 AI, NPC 같은 단어를 영어로 발음하면서, 실제로 자막의 경우는 아래와 같은 한자 단어로 나오는 경우를 보면 이게 뭐지 하는 혼란이 생긴다.

• 人工智能 (réngōng zhìnéng, 런꽁 쯔넝, 인공 지능, AI)
• 非玩家角色 (fēi wánjiā juésè, 페이 완지아 줴써, NPC<non-playable character>)
• 非(아니다), 玩家(노는사람->플레이어), 角色(배역->캐릭터)

실제 특정 분야에서 중국어로 일을 하는 사람들은 경험 상 자연스럽게 습득이 되겠지만, 그것도 결국은 그 분야의 분위기에 따라서 영어로 발음하거나 중국어로 발음 하는 등 상황이 다를 것도 같아서, 이 부분도 여러 매체를 통해서 분위기를 봐가면서 감을 획득할 수 밖에 없는 부분 같다. 이 쪽은 충분히 확신을 가질 만큼 직-간접 경험을 못해봤기 때문에 이런 것이 아닐까 추측을 해 보면서 마무리를 하려 한다.

- Fin -

이번엔 조금 자신은 없긴 하지만 기존 우리가 익숙한 언어에 비교해서 두 언어의 어순에 대해서 얘기해 보려 한다.

우선 일본어는 우리말과 두 개의 언어가 어순이 이렇게 맞을 수 있을까 할 정도로 어순이 같다고 볼 수 있다. 기본적인 어순도 같지만 동사를 활용하는 여러 변화 측면이라든지, 말의 끄트머리 같은 부분이 다르지만 같은 성격을 가졌다는 느낌을 많이 가진다. 물론 어휘나 세부적인 조사 등의 뉘앙스는 다르다고 할 수 있지만 전체적인 문장의 흐름 면에서는 정말 많이 닮아있다.

일본 영화 제목인 "나는 내일, 어제의 너와 만난다"의 원 제목을 보면

• ぼくは明日、昨日のきみとデートする
• ぼく(보쿠, 나) は(와, 는) 明日(아시타, 내일), 昨日(키노우, 어제) の(노, 의) きみ(키미, 너) と(토, 와) デート(데-토, 데이트) する(쓰루, 한다)

로 대응되는 조사까지도 1:1 매칭이 된다.


이번에는 pretender 라는 노래의 첫 소절을 보면 

• 君とのラブストーリー
• それは予想通り
• いざ始まればひとり芝居だ

• 君(키미, 너)と(토, 와)の(노, 의)ラブストーリー(라브스토-리-, 러브스토리)
• それ(소레, 그것)は(와, 은)予想(요소우, 예상)通り(-도오리, 대로)
• いざ(이자, 막상)始まれ(始まる, 하지마[루], 시작하다),ば(바, ~하니)ひとり(히토리, 혼자)芝居(시바이, 연극), だ(다, ~다)

한국어만 빼내 보면

• 너와의 러브 스토리, 그것은 예상대로, 막상 시작해보니 혼자만의 연극이야

여기다 동사나 형용사의 변화를 보게 되면 외국 사람이 한국어 할 때 힘들다고 하는 부분과 비슷해 보이지 않나 싶다.

• 食べる(타베루, 먹다) 의 동사로 시작해 보면
• 食べます(타베+마스、먹습니다) / 食べながら(타베+나가라, 먹으면서)、
• 食べなさい(타베+나사이, 먹으세요/먹어라) / 食べて(타베+테, 먹고/먹어서/먹어)、食べた(타베+타, 먹었다)
• 食べない(타베+나이, 먹지 않다) / 食べなかった(타베+나깟다, 먹지 않았다)
• 食べよう(타베+요우, 먹자/먹으려고 한다)

한국어의 먹고, 먹어서, 먹지만, 먹어봐, 먹으려고, 먹을 수 없는, 먹었다 등등의 변화 느낌과 비슷하다.


小さい(ちいさい, 치이사이, 작다) 의 형용사로 시작해 보면

• 小さいだろう(치이사이+다로우, 작을 것이다) / 小さかった(치이사+깠다, 작았었다)
• 小さくない(치이사+쿠나이, 작지 않다) / 小さく(치이사+쿠, 작게)
• 小さくて(치아사+쿠테, 작고/작아서) / 小さい人(치이사이+히토, 작은 사람)
• 小さければ(치이사+케레바, 작다면/작으면)

역시 마찬가지로 작은, 작아서, 작다면, 작았었다 등등의 한국어 어미 활용과 비슷한 느낌이 있다.


그래서 일본어의 경우 우리나라의 말과 비슷하게 "그게 맞는다고 생각할지도 모른다는 바가 맞지 않을지도 모르겠다고는 할 수 없겠지만" 같은 약간 괴랄한 표현이 가능하고 시험에도 요런 부분에 익숙한 지를 보기 위해서 종종 이런 꼬인 표현들이 나오는 듯 싶다.

물론 우리말에 해당 하는 자연스럽고 우리가 보기에는 미묘해 보이는 일본어 표현들을 선택하는 것은 여전히 어려운 일인 건 맞긴 하겠지만, 어순이나 문법 요소들이 같다는 것은 무조건 언어를 익히는 데 장점이 되는 게 아닌가 싶다. 그 반대 급부로 어순을 맞추기 쉽기 때문에 자신이 좀 더 저쪽 사람들이 느끼기 보다는 잘한다고 생각하게 되는 착각에 빠질 가능성도 조금은 높지 않을 까 하는 생각도 들기도 한다^^;

다음으로 중국어는 처음에 배울 때 동사가 먼저 나오는 특성 상 영어랑 같은가 보다 했다가 돌을 맞았던 경우라고 볼 수 있다. 아직도 말할 때는 많이 헷갈려서 회화 연습을 하다가 초급 때 배우던 부분도 모르냐고 많이 야단을 맞고 소심해 지는 편이다. 우선 중국어와 영어와 비슷하다 생각할 수 있는 부분 부터 얘기해 보자.

우선 많이 나오는 얘기 중 하나는 영어, 스페인어, 프랑스어 등의 언어에서 보이는 주어 + 동사 + 목적어 순서이다(이번에 궁금해서 찾다 보니 저 언어들도 생각보다 형용사나 동사의 변화 등이 틀리고 그런 듯해서, 저 나라 사람들은 앞의 우리나라 사람의 입장에서의 일본어 처럼 어순이 거저 먹기는 아니겠구나 싶었다. 뭐 물론 동사들의 어원 같은 면에서는 이쪽의 한자의 익숙함 같이 유리하겠지만 말이다). 

• I like her
• 我喜欢她。(Wǒ xǐ‧huan tā, 워 시환 타, 나는 그녀를 좋아한다)
• 我(I) 喜欢(like) 她(her)

개인적인 느낌으로는 동사가 먼저 나오는 언어 들이 자신을 표현하는데에 있어서는 조금 더 자기 중심적인 포지션을 가진 것은 아닌가 싶기는 한다. 언어가 만들어지는 순서를 보면 

• "I like..., 我喜欢" 인 경우는 이미 내가 무언가를 좋아 한다는 것을 알지만 무엇인지는 아직 모르는 상태이고,
• "나는 그녀를..." 이라고 하면 나와 그녀는 어떤 배경에 그려졌지만 둘과의 관계는 알수 없는 상태이다.

여튼 이래서 중국어가 어순이 어렵나 하는 생각을 한다는 핑계일 뿐이고, 또 비슷한 어순이라고 생각이 드는 부분은 사역 같은 부분이다. 아래의 "나는 그녀를 숙제를 하게 했다" 라는 문장의 예를 보자.

• I made her do her homework.
• 我让她做作业。(Wǒ ràng tā zuò zuòyè, 워 랑 타 쭈어 쭈어예)
• 我(I) 让(made-사역동사) 她(her) 做(do) 作业(homework)

여기까지도 일치해 보인다. 여기까지 보면 중국 사람들이 영어할 때 참 좋을 거 같고(앞의 2편에서 얘기했던 실제 발음은 좀 다르다곤 하지만 p,f 나 z, j 발음, r, l 발음 등의 구분을 하는 부분도 있고), 반대로 영어를 하는 사람들도 중국어를 할때 참 좋을 거 같긴 하지만 다른 문장 요소가 들어가면 이제부터 헷갈리기 시작한다.


우선은 의문문을 보자. "너 언제 가?" 라는 표현을 보자.

• When are you going?
• 你什么时候走?(Nǐ shénme shíhou zǒu?, 니 션머 스호우 조우?)
• 你(you) 什么时候(when) 走(go, leaving)

여기서 보면 완전 어순이 어긋 나는 것을 볼수 있다.

근데 여기서 다시 보게 되면, 이 경우는 한국어랑 어순이 같다--;

• 你(너) 什么时候(언제) 走(가)?

지금도 헷갈리지만 이래서 처음에 너무 헷갈렸다.


그럼 또 다른 예제로 가서 날짜와 시간, 장소를 넣어보자.
"나는 7월 7일 11시에 집에 있을 것이다."

• I will be home on July 7th at 11 AM.
• 我7月7号上午11点会在家。(Wǒ qīyuè qīhào shàngwǔ shíyīdiǎn huì zài jiā, 워 치웨 치하오 샹우 스이디엔 훼이 짜이 지아)
• 我(I) 7月 7号(July 7th) 上午 11点(at 11 AM) 会(will) 在家(be home)。

여기서 보면 on, at 같은 문장 요소도 생략되어도 괜찮고, 어순도 완전 헷갈리게 된다.

여기서는 한국어와 비슷해지긴 하지만 또 동사나 조동사의 위치 관계 때문에 또 다르게 된다.

• 我(나는) 7月7号(7월 7일) 上午 11点(오전 11시) 会(있을 것이다) 在家(집에)。

그리고 한국어는 아무래도 날짜나 시간 같은 건 사실 좀 위치가 어느 정도 왔다 갔다 할 수도 있다.
나는 7월7일 11시에 집에 있을 것이다 -> 나는 집에 7월7일 11시에 있을 것이다. -> 7월7일 11시에 나는 집에 있을 것이다.
라고 해도 딱히 틀리다고 얘기할 순 없다고 본다.


과거나 지속의 표현도 다르다. 
"나는 게임을 하고 있다" 라는 지속 표현을 보자

• I am playing a game.
• 我在玩游戏。(Wǒ zài wán yóuxì, 워 짜이 완 요우시)
• 我(I) 在(-ing) 玩(play) 游戏(game)

a 같은 부정 관사 같은 거는 없고, 동사의 변형이나 어미의 변화를 이용해서 과거나 진행을 표현하는 영어나 한국어와는 달리 在 라는 말 뒤에 동사를 쓰면 진행의 의미가 된다.

이번엔 과거 표현인 "나는 빵을 먹었다" 라는 표현을 보자

• I ate bread.
• 我吃了面包。(Wǒ chī le miànbāo, 워 츠 러 미엔빠오)
• 我(I) 吃(eat) 了(eat 동사의 과거표현) 面包(bread)

동사 뒤에 了를 붙여 과거로 만드는 것은 조금 억지를 부려 생각하면 한국어에서 과거형 어미를 붙이는 거랑(먹다 -> 먹었다) 비슷하다고 볼 수도 있다. 물론 동사가 먼저 나오는 특성 땜에 한국어와는 순서가 완전히 다르긴 하다.


조동사 같은 건 뉘앙스는 약간 틀리지만 또 비슷한 경우가 많다

• I will protect you.
• 我会保护你的(Wǒ huì bǎohù nǐ de, 워 훼이 빠오후 니 더)
• 我(I) 会(will) 保护(protect) 你(you) 的(이건 없어도 되지만 문장을 좀더 자연스럽게 만들어 준다고 한다)

한국어에서는 -ㄹ 같은 걸 붙여서 "하다"를 "할 것이다" 로 바꾼다. 앞에 얘기했듯이 일본어도 비슷하고 말이다.


영어의 전치사와 비슷한 느낌을 주는 결과보어라는 문법도 있다. 이것도 한국어를 쓰는 입장에서 입에 잘 붙지 않는 표현이다.

• I ate up the cake.
• 我把蛋糕吃完了。(Wǒ bǎ dàngāo chī wán le, 워 빠 단까오 츠 완 러)
• 我(I) 把(사역 make 정도의 느낌) 蛋糕(cake) 吃(eat) 完(up)了(eat 의 과거)

게다가 이런 경우는 관례 적으로 내가 해당 케이크를 다 먹어 처리했다는 뉘앙스로 "把" 를 붙인 사역형으로 표현한다.
(完 같은 결과 보어도 그렇지만, 드라마를 보면 대화에 한국 사람 입장에서는 붙여야 하나 싶은 저 把를 붙인 표현도 정말 많다)


이런 면에서 보면 중국어는 영어를 기본적으로 많이 배워 문법에 익숙한 한국인 입장에서 영어 같기도 하면서, 또 많은 부분에서 한국어 같기도 해서 처음에 많이 어순이 헷갈리는 것 같기도 하다. 반대로 생각하면 영어도 잘하고 한국말도 잘하는 사람 입장에서는 두 언어에 유사한 부분을 잘 조합해서 습득하면 쉽게 이해할 수 있다고 생각할 수도 있고 말이다. 강사 분은 중국어가 한국어랑 엄청 문장 구조가 비슷하다고 느낀다고 하는 데 개인적으로 볼 땐 그냥 그 사람은 언어에 감이 뛰어난 것 같긴 하다^^;

또한 중국어는 그냥 우리가 생각하는 일반 문장보다 앞의 把 문이라든지, 조동사 라든지, 是~的 구문이라든지, 결과 보어 같은 요소를 이용한 관례 적인 표현을 엄청 많이 사용 하기 때문에, 그냥 한국어를 문장으로 기반으로 만들면 영어, 일본어와 똑같이 어색한 표현이 되어버리는 거 같다. 여하튼 너무 어려운 부분이긴 한데, 많이 경험하고 자연스러운 표현을 익히는 수 밖에 없지 않나 싶다. 

그럼 위에서 얘기한 是~的의 예제를 하나 보면서 마무리를 하자.

• "나는 <어제> 왔다" 라는 어제를 강조하는 의미가 된다.
• 我是昨天来的。(Wǒ shì zuótiān lái de, 워 스 쭈어티엔 라이더)
• 我(나) 是(是~的 구문) 昨天(어제) 来(오다) 的(是~的 구문)

그리고 글을 쓰면서 서로 표현하기 어려운 발음이 있는 현실 상, 한글 발음을 적는 게 좀 맞나 싶긴 한데, 그래도 중국어나 일본어를 잘 모르는 분들 상황에서는 외국어만 쓰는 것보다 한글 발음이 있는 게 뭔가 더 도움을 줄듯해서 넣으니 조금 맘에 안 드셔도 이해해 주시길 바란다. 

- Fin - 

한국어는 한글이 만들어지기 전까진 이두 문자라는 방식으로 한자어를 가차해 우리말을 표현했다고 한다. 궁금해서 찾아보니 지금 한글 같이 음과 1:1로 매칭되는 요소는 아니고, 한자의 뜻과 일부 한자를 문법적 요소로 차용해서 섞어 쓰는 지금 보면 묘한 표기인 것 같다. 어찌보면 일본어에서 한자에 고유 글자인 히라가나가 붙은 것과도 비슷하다. 
  예) 王是(왕 왕, 이 시) - 왕이다, 見古(볼 견, 옛 고) - 보고

위를 표현을 보면 기본적으로 한자 자체를 모르면 한자를 이용해 글을 적거나 반대로 해당 표기에서 우리말의 뜻을 알아내는 건 무척 힘들었을 것으로 생각되며, 그런 측면에서 "나라의 말이 중국과 달라 문자와 서로 통하지 아니하니" 라는 훈민정음 반포문의 시작 부분이 공감이 가는 듯 하다. 또 한편으로 처음 한글을 도입하려 했을때, 얼마나 기존 표기에 익숙해진 나라 전체의 사람들의 반대가 심했을까 싶다. 

또한 이후에도 바로 한글만 사용하진 않고 많은 신문 등에서도 한자를 한글이랑 한참 섞어쓰는 시기도 오래 있었다. 여러 과정을 거쳐 90년대 정도 부터 순수 한글 표기를 했다고 하는데, 어찌보면 이러한 표현 방식은 이두 표기와 현실의 한글이 타협했던 느낌같기도 하다.
  예) 護國의 烈士를 기리다 - 호국의 열사를 기리다

지금 시대에 와선 크게 의미없어 보이지만 그때는 한자를 읽고 쓸수 있는게 글을 읽을 수 있는 교양의 기준을 나타내는 지표이던 때도 있던거 같다(뭐 이 기준은 항상 시대에 따라 달라지는 거지만 말이다).


일본어는 한자, 그리고 고유 글자인 히라가나, 그리고 애니메이션이나 게임, 노래 등 오타쿠 입문이 아닌 순수한 상태로 일본어를 공부할때 제일 어려워할 가능성이 높은 카타카나 라는 히라가나와 음은 같고 모양이 틀린 고유의 글자가 섞여 사용된다. 
  히라나가 예) あ　い　う　え　お (아 이 우 에 오)
  카타가나 예) ア　イ　ウ　エ　オ (아 이 우 에 오)

개인적으로는 일본어에서의 한자는 익숙하다는 가정하에 글의 가독성을 높여준다고 생각하지만 이것 또한 우리나라의 한자 섞어 쓰기가 어느 시점에 사라진거 같이 편견일 수도 있을거 같다
한자 버전) 世界で最も美しい顔100人をもしも、すっぴんで選んだらこうなる
히라가나 버전)せかいでもっともうつくしいかお100ひとをもしも、すっぴんでえらんだらこうなる！
  해석) 세계에서 제일 아름다운 얼굴을 가진 100인을 만약, 화장을 안한 얼굴로 선택을 한다면 이렇게 된다.
  世界(세계), 最(가장 최), 美(아름다울 미), 顔(낯 안) , 人(사람 인), 選(가릴 선)

또한 일부 일본에서만 사용하는 고유한자가 있는데 수가 작고 약간 뜻만 다를뿐 모양이 비슷해서 특별히 공부할 때 큰 영향은 주지 않는듯 싶다.
 예) 働 (はたらく, 하타라쿠, 일하다) - 사람(人)이 움직이다(動, 움직일 동)

히라가나는 우리가 가장 일본어를 보면서 많이 볼수 있는 글자이며 단어 뿐만 아니라 문장 성분은 모두 히라가나로 표시한다. 우리말의 한글 포지션 이라고 생각하면 맞을 듯한다. 얘기로는 한자의 초서에서 시작되어 주로 문학 작품이나 편지에서 쓰다가 현대는 일본어의 중심이 된것 같다.
 예) 学校に行く(がっこう に  いく, 갓코우 니 이쿠, 학교 에 가다)

카타카나는 불경의 주석이나 한문의 표기 등에 썻다고 하며, 일본어에서는 영어 단어를 표기하거나, 의태어, 의성어, 특정한 뉘앙스를 강조할때 쓰는 편이라 한다. 마지막 뉘앙스 강조 부분은 감이 없어 생략한다.
  영어) ナイト(나이토, night, 밤)
  의성어) ニャーニャー (냐- 냐-, 고양이 울음)
  의태어) ドキドキ (도키도키, 두근두근)

발음은 자신 없어서 얘기하긴 좀 애매하지만, 받침을 거의 보기 힘들어서 우리말 보다는 한음절 더 긴 느낌들이 있고, 몇 가지 특이한 부분은 아래와 같다. 나머진 열심히 반복해 외는 수 밖에 --;
1) 원래 글자로도 쓰고 조그매져서 받침으로도 쓰는 경우(つくえ, 츠쿠에, 책상 vs がっこう, 갓 코우, 학교)
2) 위에 더해 유일한 받침 같은 느낌의 글자 ん (みんな, 미 ㄴ 나, 민나)
2) 점이 두개(゛) 붙거나, 작은 동그라미(゜)가 하나 붙어 발음을 바꾸는 애들이 있음(は-ば-ぱ, 하-바-파)


마지막으로 중국어를 보자. 중국어는 한자 밖에 없긴하지만 번체(정체), 간체, 이체 라고 구분되기는 한다. 번체나 정체는 아마도 각자의 입장에 따른 차이가 있을 것 같은데, 훈민정음의 취지 비슷하게 사람들이 읽고 쓰기 힘들었던 복잡했던 번체(繁體, 번성할 번, 몸 체)를 간체(簡體, 간략할 간)로 간단하게 만들어, 읽고 쓸수 있는 사람을 늘인다는 좋은 의미의 입장을 옹호하기 위한 측면이 있다고 보이고, 정체(正體, 바를 정)는 반대로 기존의 전통 한자의 모양을 지키고 쓰는 게 맞다고 생각하는 홍콩, 대만, 마카오 등의 철학이 부딪치는 부분이라고 이해하면 될 듯 하다.  

그래서 번체(정체)는 한국, 홍콩, 대만, 마카오, 일본 등 에서 사용하는 오래전 부터의 중국한자라고 볼수 있고, 간체는 중국에서 기존한자를 간략하게 축약한 형태의 한자라고 보면 된다. 그리고 이체는 한자의 사투리 글자 정도로 보면 되지 않을까 싶다. 현재는 우리나라에서는 중국한자라고 하면 당연히 간체로 생각하지만 역사적인 이유로 예전에는 학교에서 대만어 기준으로 중국어를 교육하던 시기에는 번체로 배우는 경우도 있었다.

회화 측면에서는 대만은 번체(정체)를 쓰지만, 표준 말은 북경을 기반으로 한 방언이라서 어조나 일부 단어들에 차이가 있지만 중국의 표준어인 북경어와 거의 통한 다고 한다(별개로 대만 쪽 사투리도 있다고 한다). 반대로 홍콩이나 광동성, 마카오 등지에서는 광동어라는 다른 계통의 회화를 사용해서, 표현 자체가 많이 다르다고 한다(궁금하면 유투브를 찾아보자). 간체를 쓰더라도 정상적으로 교육은 받은 경우라면 번체를 보통 읽을 수는 있다고 하고, 다른 지역 지역들도 표준어 또한 배울 거긴 때문에 젊은 사람들은 다들 아마도 공통적으로 북경어가 통하지 않을까 싶기는 추측한다.

번체와 간체의 차이는 한국 사람이 중국어 공부를 시작할때 가장 눈앞에 맞이하게 되는 장벽일거 같다. 그런데 알고 보면 전혀 다른 글자가 아니라 번체를 기준으로 복잡한 한자 요소들을 좀더 간략한 요소로 대체하는 컨셉으로, 구조는 유지하면서 글자를 단순하게 만들었다고 보면 된다. 간단히 줄이거나, 고대 글자를 채용하거나 하는 등의 학자들의 견해가 적용되었다는데 예제를 보면서 대충 감을 느껴보자
  1) 요렇게 소심하게 변해 간단하게 이해가 되는 부분부터 
     語 → 语(말씀 어), 談 → 谈(말씀 담)
     銀 → 银(은 은), 銅 → 铜(구리 동)
     飲 → 饮(마실 음), 飯 → 饭(밥 반)
     門 → 门(문 문), 問 → 问(물을 문)
  2) 조금 더 과감한 애들도 있고
     開 → 开(열 개), 關 → 关(닫을 관)
     龍 → 龙(용 용), 飛 → 飞(날 비), 學 → 学(배울 학), 雲 → 云(구름 운)
  3) 두개를 하나로 간략히 합치는 경우도 많지는 않지만 있으며
     髮/發 → 发(터럭 발, 필 발)
  4) 결국 복잡한 한자에서는 위의 줄임 현상들이 겹쳐서 일어나게 된다. 
     識 → 识(알 식), 譯 → 译(번역할 역)

한자는 개인적으로 이런 특정한 부수 형태의 글자들이 2차원 형태로 배치된 거라고 보기 때문에, 작은 크기의 간체에 익숙해 지다 보면 복잡한 글자도 나중엔 4번 같이 부분 부분에 대한 치환이 일어나는 것으로 보여져 그러려니 설득이 되는 것 같다. 한국인이기 때문에 번체를 같이 공부하는 부분은 요즘 온라인 사전 보면 번체가 같이 표기되서 한번씩 간체 찾으면서 비교해 보면 더 좋을 듯 하다. 아래와 같이 일부 간단한 글자 위주로 번체랑 간체가 같은 경우도 있긴 하다(가끔 조금 복잡한 글자가 번체와 간체가 같으면 왜 안 줄였지 신기하기도 하다)
  예) 我, 鼎, 好

뭐 요즘은 스마트폰으로 글자를 쓰기 때문에 외국인 입장에서 번체나 간체나 모양만 알고 있음 쓰는 데는 큰 차이는 없는 듯한데, 다만 노안이 오기 시작하면 아무래도 획수가 작은 간체가 좀 더 눈에 잘 보이지 않을까 하는 소심한 의견을 내본다. 개인적으로 아래 한자를 처음 봤을 때 장난인가 했었다 --;
凹, 凸 (오목할 요, 볼록할 철)

마지막으로 중국어 발음은 영어와 다르긴 하겠지만 p, f 및 z, j 및 l, r 발음이 각각 있다. 또 조금 특이한 발음으로는 zh, ch, sh 과 z, c, s 발음이 구분된다. 그래서 은근 많이 틀리기도 하고 어려운 것 같다. 조금 특이한 발음 기호로는 ü 도 있다. 

그리고 성조는 높은 성조(--) 올라가는 성조(↗) 내려갔다 올라가는 성조(↘↗), 내려가는 성조(↘), 짧게 끊어지는 성조가 있다. 발음과 성조는 회화의 영역이라서 선생님께 열심히 배우자^^;

- Fin -
 

세 나라가 모두 한자를 기반으로 사용하고 있는 편이기는 하지만, 한자의 의미를 사용하는 범위의 측면에서 보면 차이가 나는 부분이 있어 그걸 첫 글의 주제로 하려 한다.

우선 한국어는 거의 모든 한자 단어를 명사적 의미를 기준으로 사용하고 있다고 본다. 예를 들면 "행복(幸福)"이라는 단어를 기본적으로는 명사적인 느낌으로 사용하면서, "하다" 라는 어미를 붙이면 "행복하다"라는 형용사가 된다. 또는 "행복한", "행복하게" 등의 다른 조사로 다른 역할로 만들 수 도 있다. 또는 동사의 경우도 "추억(追憶)"은 하나의 명사적 의미로, "추억하다"는 동사가 된다. 어찌보면 엄청 심플하게 명사적 의미의 한자 단어 + 한국어를 붙여서 자연스럽게 어휘를 만들어 낸다. 명사가 아닌 식으로 쓰이는 경우는 "과연(果然)" 와 같은 부사 같은 단어들이 있는 듯하다.

이렇게 한글과 1:1로 매칭되는 단어의 특징 및 두개 이상의 한자를 단어로 결합해 쓰는 특성 상 일반적으로 뜻이 명확하게 제한된다고 본다. 약간의 베리에이션이 있는 경우도 사실 거의 의미상으로 아주 이상하지 않은 정도의 이질감만 있다고 본다. 그래서 "다행 행, 복 복" 와 같이 한자 하나하나의 의미를 명확하게 인지해 외우는 것이 명확한 것을 지향하는 한국어에서의 한자 단어를 이해하는데 도움을 준다고 생각한다.


일본어 같은 경우도 한 쪽 측면에서는 한국어와 비슷하다. 무리(無理, むり) 라는 단어를 가지고, 無理です(무리데스, 무리입니다) 라고 표현 할 수도 있고, 無理な(무리나, 무리한) 이라고 표현할 수도 있다. 無理な要求(무리한 요구) 같이 말이다. 여러 단어의 뜻이나 문장 성분들이 한국어랑 아주 많이 유사하기 때문에 여기까지는 큰 위화감이 느껴지진 않는다. 게다가 읽다 보면 발음 또한 받침이 거의 없는것을 빼면 은근 1:1 에 가깝게 비슷해서 어느 정도 한자 읽기가 익숙해짐 한글 한자로부터 일본 음을 유추하거나 반대로 유추하는 작업도 비교적 쉬운 편이다.

하지만 일본 한자의 다른 특징인 "음(音読み, おんよみ, 온요미) 및 뜻(訓読み, くんよみ, 쿤요미)" 으로 표현되는 부분과 만나면 차이가 시작되게 된다. 꽃을 나타내는 花(화)는 우리나라의 순수 우리말 같은 뜻을 얘기하는 히라가나 표현으로는 "はな-하나" 라고 읽히며, 花(はな, 하나, 꽃), 花火(はなび, 하나비, 불꽃놀이), 花屋(はなや, 하나야, 꽃집) 같은 단어들로 파생된다. 반대로 한자 음을 이야기하는 "か, 카" 라는 발음이 되면 花瓶(かびん, 카빈, 화병), 開花(かいか, 카이카, 꽃이 피다) 같이 표현이 된다. 또한 더 나아가면 앞의 花火(하나비, 불꽃놀이) 같은 경우는 앞(하나)은 뜻, 뒤(비)는 음이라, 음과 뜻의 발음이 하나의 한자 단어에 뒤 섞인 경우도 많다. 여기서 부터 왠지 일본어의 한자 사용에 대한 차이가 시작되지 않나 싶다.

차이가 더 확대되는 부분은 한 글자의 한자가 중심 의미를 담당하고 순수 일본어인 히라가나와 합쳐져서 한자의 뜻을 차용한 한자어와 고유어를 섞어 놓은듯한 단어를 만드는 부분이다. 위에 얘기한 우리나라의 "한자+한글" 조합과는 조금 다른 것은 보통 한 글자의 한자가 기본적인 한자의 뜻을 나타내고 히라가나 어미가 붙어서 뉘앙스를 변화 시키기 때문에 두 개의 한자로 이루어진 단어보다 뜻의 확장이 좀더 자유로워 보인다.

예를 들어 우리 나라의 明(밝을 명)으로 이루어진 단어를 보면 명확(明確), 명백(明白), 조명(照明), 명랑(明朗) 등 무언가를 밝히거나 분위기가 밝다는 의미를 단어 하나하나가 명확하게 가지고 있지만, 일본어의 경우는 明かす(あかす, 아카스) 는 비밀등을 밝히다, 밤을 밝혀 새우면서 무슨일을 하는 것을 얘기하고, 明るい (あかるい) 는 성격이나 공간이 밝다는 것을 얘기한다. 둘다 밝다는 명(明) 한자의 의미의 확장이지만 좀더 자유분망한 느낌이 있다.

하나 더 예를 들자면 우리나라에는 거의 단어로 안 쓰이는 込(혼잡할 입) 같은 경우는 込む(こむ, 코무)에서는 혼잡한 상태, 또는 무언가 (복잡하고) 깊은 상황으로 들어가는 것을 얘기하지만, 込める(こめる)는 무언가를 담거나 넣는 것을 얘기한다. 이렇게 되면 뭔가 한자가 하나의 의미로 명확한 의미가 아닌 느낌이 생기면서 일본어를 자연스럽게 표현하는 부분의 어려움이 시작되는 것 같다. 만약 위의 한자를 우리나라에서 인지하는 단일 한 뜻인 "혼잡할 입"으로만의 의미로 생각한다면 込める 같은 단어를 볼 경우 한자를 알더라도 쉽게 의미를 파악하기는 힘들게 될것이다.

마지막으로 중국어는 우리나라와 일본 같이 기댈 수 있는 다른 순수한 말이 없다. 한자 자체로 모든 조사나 접속사, 형용사, 동사, 명사 등의 역할을 다양하게 표현해 전달해야 한다. 그래서 처음에 읽을 수 있는 한자가 적은 상태에서는 문장 구조 자체가 잘 보이지 않기 때문에 한자로 이루어진 빽빽한 문장들을 보게 되면 어디서 읽기를 시작하고 끊어야 할지 막막한 느낌이 든다.

다른 측면에서 일본이나 우리나라의 한자로만 구성되고, 특히 일본의 경우 한자 발음으로만 읽히는 단어들을 보면 무언가 순수한 우리말 단어보다 더 추상적인거나 무거운 느낌으로 인식해 쓰는 경우가 많다. 그런데 중국 사람들이 우리와 똑같이 그렇게 무거운 느낌으로 한자 단어들을 사용을 한다면 아마 일상 대화들이 엄청 딱딱하고 힘들게 느껴지는 모순이 생길 수 밖에 없을것이다. 이러한 데서 단어의 무게에 대한 차이가 존재하게 된다.

예를 들어 유쾌(愉快, 즐거울 유, 쾌할 쾌)하다는 단어는 우리 말에서는 약간 (현학적으로) 통쾌 하면서 재밌다는 느낌에 가깝게 쓰긴 하지만(ex: 유쾌한 친구네. 유쾌한 대화였어), 애들이 "오늘 친구네 집에 가서 유쾌하게 놀았어" 하면 너무 표현이 점잖아져서 많이 어색한 느낌이 있다. 이 때는 "오늘 친구네 집에 가서 즐겁게 놀았어"가 뭔가 좀 더 자연스러울 것이다. 하지만 중국어로는 즐겁다는 우리말이 없기 때문에 周末愉快(zhōumò yúkuài, 쪼우모 위콰이) 라고 하면 느낌에 따라 "주말 즐겁게 보내"라는 아주 가벼운 말이 된다.

또는 원래 뜻으로는 거의 안 쓰면서 가벼운 뜻이 되는 경우도 있다. 우리나라의 법적 용어인 고소(告訴, 고할 고, 호소할 소)라는 단어는 중국어에서는 간체로 모양만 조금 다른 告诉(gàosu-까오수, 고할 고, 아뢸 소) 라는 같은 단어로 알려주다/말해주다의 가벼운 의미로 사용되거나, 조금 무겁게 되면 무언가를 시키거나 전달해 주는 의미로도 쓰인다. 告诉我(Gàosu wǒ, 까오수 워, 나에게 알려줘) 같은 표현 같이 말이다.

마치 영어 단어에서 많이 보이는 것 처럼 한자의 의미를 여러가지 뉘앙스로 확장하는 단어들도 많아서, 교대(交代, 사귈 교, 대신할 대) 같은 경우는 우리나라에서는 "교대로 OO을 하다", "그와 근무를 교대하다" 식으로 무언가가 번갈아 가거나 순서를 넘기는 의미로 쓰지만, 중국에서는 책임을 인계해 명확히 넘긴다는 의미가 좀 더 강조되거나, 누군가에게 보고 및 설명하거나, 어떤 일을 맡기거나 부탁한다는 의미가 있다. 给我一个交代!(gěi wǒ yī gè jiāodài, 게이 워 이거 찌아오따이, 나에게 설명을 해봐!) 같이 말이다. 이런 문장을 기존 한자의 뜻에 익숙한 한국인 입장에서 처음 보면 익숙한 단어 인데도 무슨 말인지 이해가 안 가고, 특히 말할 때는 더욱 선뜻 이런 표현은 나오기 힘들게 된다. 이런 차이 때문에 영어에서 콩글리쉬를 사용하는 것이 같이 한자를 잘 알고 있어도 말도 안되는 문장을 만들거나, 중국 사람은 잘 안 쓰거나 다른 의미로 쓰는 한자 단어를 섞어 쓰면서도 이상함을 모르는 상황이 되긴 한다. 뭐 이건 어느 언어나 마찬가지지만 상황과 동떨어진 뉘앙스의 어휘를 사용해 표현을 하게 되는 문제 인것 같긴하다. 이런 면에서 AI는 참 상황에 따른 적절한 어휘를 확률적으로 잘 선택하도록 훈련되어 있어 부럽긴 하다.

특히 한 글자로 된 把(bǎ, 빠, 잡을 파), 了 (le, 러, 어조사 료), 光(guāng, 꽝, 빛 광) 같은 여러 단어들에 대해서는 영어의 get, take, make 같이 다른 한자와 결합되거나 문장에서의 위치에 따라 현란하게 의미가 변하는 단어들이 많은 듯 한다. 또한 단어에 따라서 관례적으로(그쪽 사람들은 당연히 그렇게 느끼겠지만) 명사나 동사로만 쓰이는 단어도 있고, 양쪽 용도로 모두 쓰일 수 있는 단어가 있어서, 하나의 한자 단어를 조사에 따라 자유롭게 명사, 동사 등으로 전환해 쓰는 한국 사람 입장에선 많이 헷갈린다. 이 부분은 종종 사전이나 예제에서 보는 것과 실제 강사분이 느끼는 부분이 다른 경우가 많아서 뭔가 사전을 찾아가며 교정하기도 어려운 부분이다. 이 부분도 경험적으로 하나하나 상황을 겪으며 깨달는 수밖에 없는 부분 같이 보인다.

예로서 参加(cānjiā, 찬지아, 섞일 참, 더할 가, 참가하다)와 같은 단어는 한국어로는 명사와 동사 모두로 사용이 가능하지만, 중국에서는 동사 형태로만 보통 쓴다고 한다. 我参加比赛(Wǒ cānjiā bǐsài, 워 찬지아 비싸이, 나는 시합에 참가하다)같이 말이다. 또한 굳이 참가라는 명사적 표현이 필요하면 동사를 이용하는 방식으로 표현 한다고 한다. 이런 것도 참 기존 한국어의 한자를 쓰던 방법에 익숙한 입장으로는 캐치하기 힘든 부분인 것 같다.

결국 이런 부분은 어느 언어나 마찬가지 겠지만 실제 해당 나라 사람들과의 대화나 경험, 드라마나 책, 게임 같은데서 간접적으로 경험하면서 하나하나 습득할 수 밖에 없는 부분 같아서, 더 갈 길이 멀어 보이기는 한다. 특정한 경우에는 서로 다른 언어 사이에 감정이나 관념적으로 완벽히 대치되는 표현이 없는 경우도 있긴 하겠지만, 한자어로 그 수많은 사람들이 사는 환경에서의 여러 일들과 감정등을 완전하게 표현하기 때문에 중국어를 공부하는 외국인 입장에서는 애매한 영역들이 아주 많아 보인다. 특히 한국 사람들이나 일본 사람들 입장에서는 한자 단어를 많이 아는 게 시작할 때 분명히 도움이 되긴 하지만, 위의 뉘앙스 적인 차이 문제 때문에 자연스러운 중국어를 사용한다는 부분에서는 나중에는 반대로 발목을 잡는 아이러니도 있는 듯 하다.

- Fin -

우선 이렇게 서문을 적는 이유는 어떤 배경을 가지고 두 개의 언어를 비교하려 하는지는 간단히 설명하고 글을 진행하는 게 좋을 듯 해서이다.

예전에 취미로 언어 공부를 하고 싶어서 무작정 주말에 일본어 학원을 다니게 되었다. 8~9년 정도 정말 가볍지만 그만두진 않고 다니면서, 주로 회사 다니는 지하철에서 단어장을 읽고, 게임 대사를 정리하고, 노래 가사를 외고, 일본어 책도 몇 권 읽고, 드라마도 보고 하다가 어느날 시험을 보러가 볼까 하는 생각이 문득 들어서 JLPT N2 시험을 보러 갔다 엉결겹에 붙고 말았다(학원 선생님 중에 한 분이 신기해 하면서, 저 같이 열심히 안 하는 사람도 꾸준히만 하면 N2 시험에 붙을 수 있다고 수강생 들한테 희망 섞인 얘기를 해줘야겠다고 하던 기억이 있다).

이후 왠지 일본어는 혼자 공부할 수 있을 것 같은 근거 없는 자신감이 생겨서, 중국어 학원을 비슷하게 주말에 다니기 시작했는데 한자와 성조 외는 게 처음에 스트레스가 심해서 일본어 보다는 많이 적응하기 힘들었던 같다. 2~3년쯤 시간이 지나니 새로운 한자에 대한 스트레스는 조금씩 사라지고 오히려 궁금증으로 바뀌기는 했는데, 처음에 노래 가사 위주로 외워 공부하다 성조를 안 외워서 지금까지도 고생하고 있기도 하고, 어순도 계속 감이 안 잡혀 헷갈리고 비슷하게 또 8년의 시간이 흘러온듯 하다(강사분은 저한테 창피하다고 어디가면 2~3년만 공부했다고 하라고 한다)

그러다 3년전 정도 쯤에 취미긴 하지만 뭔가 공식적인 기록이 없음 공부했던 시간에 대한 설명을 하기 힘들다고 생각하게 되어, 당시엔 나름 제일 높은 급수였던 JLPT N1 과 HSK 6급(요건 지금 7~9급이 결정되는 시험이 하나 새로 생겨서 조금 상황이 달라졌다)을 목표로 시험을 보기 시작했다. 일본어는 보러갔다 바로 떨어지고, 어휘가 너무 부족함을 느껴서 N2, N1 시험서를 사서 취미 공부의 부작용인 이가 빠진 단어들을 보충했고 다행히 다음 시험에서 턱걸이로 붙게 되었다.

중국어의 경우는 4, 5급은 강사분의 뛰어난 가르침 때문인지 공부를 열심히 한 후 나름 한 번에 붙었지만, 6급에서 계속 허들을 못 넘는 부분이 있어서, 최근에는 너무 언어에 대한 접촉 량이 부족해 그런가 해서 일본어 때를 거울 삼아 취미인 게임도 중국어 언어로 바꿔 해보고, 드라마도 중국어 자막으로 봐보고, 주말에 나름 시험 공부도 틈틈히 해서, 이번 5월에 거의 2년만에 운좋게 시험에 합격 하게 되었다.

무엇보다 이제 딱딱한 시험공부는 안 하고, 이것저것 게임이나 노래, 드라마를 통해서 자유롭게 공부를 할수 있게 된 게 제일 기뻤고, 예전부터 두 개의 언어를 비교해 글이나 영상을 올리고 싶었는데, 생각했던 최소한의 자격을 갖추게 된것 같아서 기뻤다(이젠 누가 뭐라 해도, 이 정도면 N1 이랑 6급은 붙을 수 있을 정도는 된다고 변명하면 되니까...). 두 개의 자격증을 딴 개인적인 느낌은 이제 혼자 공부를 할 수 있을 출발점에 설 수 있게 되었다는 안도감과 동시에 앞으로 갈 길에 대한 막막함도 있다.

여행 다니기를 크게 좋아하지 않는 성격상 중국과 일본에는 강사분들의 구박(언어를 그렇게 오래 배우러 다니면서 왜 자기 나라에 한번도 안 가 보냐는) 및 배우는 언어에 대한 예의로 상하이와 도쿄에 한번씩만 가봤을 뿐이고, 친한 그 나라 사람도 일본 쪽은 아쉽게도 연락이 끊기고, 현재는 중국어 강사 한 분 밖에 없는 상태에서, 업무나 실 생활에서 언어를 쓰고 있는 사람들에 비해선 한없이 아는게 부족한 것은 잘 알고 있다. 그래도 기술적 배경을 가지고 있는 사람이 두 언어를 취미로 나름 천천히 배워서 (아마도 지금 쓰고 한국어를 포함해) 차이를 설명하는 글은 없는 것 같기 때문에, 두 개의 언어와 오랫동안 같이 헤메온 세월을 자격으로 해서 개인적으로 느낀 언어들의 차이를 비교하는 글을 써보려 한다.

추가로 두 언어의 키보드 사용이라든지, 일/중 노래나 한국/일본/중국 노래방 갔을 때의 차이라든지, 게임, 드라마, 두 개의 언어를 동시에 공부할 때의 장 단점, 그리고 꼭 붙은 후 한번 투덜대 보고 싶었던 중국어 시험 내용에 대한 잡담을 섞어서 열 몇 편 정도를 목표로 진행 해보려 한다. 

지인이 새로 책을 냈다고 그래서, 관리가 안되 방문이 드문 블로그 이긴 하지만 간단히 책 소개를 하려고 한다.

예전에 테스트를 직업으로 가졌던 시절만 하더라도(벌써 10년이 조금 더  넘은듯 하다), 임베디드와 관련된 테스트를 하게 되는 것은 일반적으로 경험하기 힘든 영역이였던 것 같은데, 요즘은 모바일 기반으로 중계되는 여러 현실 비즈니스 및 퀵보드 같은 사물 인터넷 기반의 사업 때문에, 소프트웨어 자체가 아닌 연결된 사물의 특성 및 주어진 환경과 같이 테스트 설계 적으로 고려해야 할 부분들이 더 많이 늘어난 것 같다. 추가로 IT쪽의 핫한 추세였던(요즘은 기업들도 몇년 전처럼 맹목적인것 같진 않지만) AI 및 자율주행 등과 같이 센서와 데이터를 통한 자동적인 규칙의 해석이라는 측면에서, 처음부터 요구사항에 의해 개발된 제품에 기반하여 이루어졌던 테스트 영역에 대해서 변화가 생긴 측면도 있는 것 같다.

그 하나하나의 주제에 대해서는 각각의 산업들의 히스토리 및 자체 기술이 있고, 해당 기술적인 측면은 업무적 경험과 공부를 통해 하나하나 쌓아갈 수 밖에 없는 것 같긴하지만, 여러 산업 분야에서 다양한 측면으로 경험했던 저자의 배경을 기반으로 전체적인 테스팅 쪽 산업의 모습을 정리해 주는 것에 이 책의 강점이 있는 것 같다. 이미 QA 팀이 오래 동안 성숙되온 커다란 회사는 나름의 철학 등을 가지고 있겠지만, 아마도 그 연혁이 짧거나 겸업의 개념으로 그 직무를 유지해온 회사들은 여전히 여러가지 오해 속에서 헤메면서 QA와 테스팅 업무를 수행하고 있을 것 같다. 이 책은 그렇게 헤메는 사람들에게 업계 전체의 표준과 객관적인 시각으로 자신의 위치를 바라보게 하는 참고 자료가 될 수 있을 것 같다. 개인적으로 개발이나 보안이나, 테스팅 모두 같은 기반을 가진 관점만 다른 분야이긴 것 같긴 하지만 말이다.

책을 읽으면서 프로세스와 기법적으로 해석 되어지는 테스팅 전반의 사전적 지식들을 기존의 실무적 경험과 당위성을 기반으로 쉽게 엮어 설명하려고 하는 저자의 노력을 엿볼 수 있었으며, 프로젝트 관리 경험과 컨설팅 경험이 풍부한 저자의 관점에서 테스팅 산업 전반에 대한 숲을 관찰할 수 있게 해준다. 테스팅에 대한 의미와 경향, 버그 및 품질에 대한 이해, 테스팅 계획 및 프로세스, 케이스 작성, 수행, 결과보고, 결함의 원인에 대한 고찰, 팀에 대한 관리, 여러 테스팅 업무 포지션에 대한 현실적으로 주어진 환경 및 장 단점을 이 책을 통해서 경험해 볼수 있다.

다만 한가지 실제 개발 코드 예제에 기반하여, 세부적인 다양한 테스팅 설계에 대한 예제 및 자동화 예제가 있다면 좀 더 좋았겠다는 생각이 들지만, 해당 부분은 현재 책과는 다른 방향의 영역이며, 현재도 국, 내외에서 그런 종류의 지식을 디테일하게 설명하는 테스팅 관련 책을 찾아보기는 어렵다 생각하므로, 저자의 다음 책의 서브 주제로 확장되어 발간되기를 기대하는 바램을 가지며 소개를 마쳐본다. 

블로그 내용을 기반으로 책이 나오게 되었습니다.

http://www.yes24.com/Product/Goods/103385806

전체적인 흐름을 유지하면서 다음과 같은 사항들이 업데이트 되었습니다.

• 전체 예제를 파이썬 코드로만 진행하도록 변경 하였으며, 내용에 맞추어 예제 코드를 개선 및 추가 하였습니다.
• 컨텐츠 전체가 바뀌거나 추가된 챕터들이 있으며, 글의 전개나 표현을 가독성 있게 다듬었습니다.
• 설명을 돕는 120장의 예쁜 삽화들을 지인분이 그려주셨습니다~

  이번 시간에는 잘 아는 분야는 아니라고 생각하지만 악성코드라는 분야를 어떻게 바라보면 될지에 대해서 나름의 관점에서 얘기해 보려 한다.

[목차]

1. 보안을 바라보는 방법

2. 보안에서의 코드 읽기

3. 인젝션(Injection) 살펴보기 #1, #2

4. 암복호화

5. 클라이언트 코드

6. 업로드, 다운로드

7. 스크립트 문제

8. API

9. 하드닝(Hardening)
10. 보안 설계 문제
11. 스캐너 vs 수동 테스트

12. 자동화 잡

13. 리버싱과 포렌식

14. 모니터링 문제

15. 악성코드

16. 보안과 데이터

1. 들어가면서

  앞의 글에서도 한 얘기지만 소프트웨어 보안에 마술 같은 부분은 없다. 모든 건 컴퓨터와 연결된 환경내에서 일어나는 일이며, 결국은 코드에 기반하여 논리적으로 설명이 가능해야 방어나 절충이 가능하게 된다. 그건 악성코드와 같은 분야에서도 마찬가지로 적용된다. 악성코드는 비 기술 적이거나 보안을 잘 모르는 사람들에게는 이해할 수 없는 어려운 현상일 수 있다. 악성코드가 컴퓨터에 설치되는 과정에 대해서는 하나하나 취약점의 기술적 측면을 살펴보며 이해해야 하는 문제(물론 이걸로 밥 먹고 사는 사람들이 있는 어려운 분야이긴 하지만)겠지만, 일단 설치된 후에 하는 행동은 일반 프로그램의 경우와 크게 다른 부분이 없다.

  예로서 요즘 많은 화제가 되고 있는 우리에게 익숙한 랜섬웨어의 행동을 살펴보자. 걸리면 특별한 경우가 아님 무조건 포맷을 해야 해결이 가능한 악명 높은 이런 악성코드도 사실 동작은 아주 단순하다고 볼 수 있다. 한번 랜섬웨어의 행동을 사람이 따라해 본다고 해보자.

  “누군가 골탕을 먹이고 싶은 사람이 컴퓨터를 로그인 해 놓은채로 자리를 비웠다 하자. 해당 컴퓨터로 재빨리 다가가서 그 사람이 소중하게 생각할 만한 문서 파일이나, 데이터 파일들을 찾아 선택하여 zip으로 압축을 해본다. 확장자도 zip 보다는 다른 누군가가 악의로 했다는 것을 명확히 알아챌 수 있게 “lupine” 이라고 만들어 보자. 내가 아니면 압축을 풀 수 없도록 압축 파일에 나만 아는 복잡한 암호를 걸어서 압축한다(Brute force 공격에 의해서 쉽게 뚫어지지 않도록). 내가 암호를 알려주지 않는다면 아마 영원히 해당 파일의 원본을 찾을 순 없을 것이다. 이후 압축이 안된 원본 파일을 삭제하는데 가능한 복원이 안 되도록 단순히 지우지(delete) 말고, wiping 을 해서 원복 하기 어렵게 만든다. 주의할 점은 시스템에서 사용하는 중요한 파일들은 압축하거나 삭제하면 안된다. 운영체제 동작 자체가 망가져 켜지지 않는다면 상태가 골탕을 먹었는지도 모르게 되니까 말이다. 메모장을 열어 패스워드가 적힌 종이가 적힌 장소를 알려주는 퀴즈를 적은 후, 압축된 파일과 같은 폴더에 “복구방법.txt” 라는 이름으로 저장해 놓는다. 뭐 운이 좋음 암호를 찾을 수도 있겠지”

  위에 사람이 했던 것과 같은 행동을 랜섬웨어는 기존의 악성코드들과 동일한 방법으로 컴퓨터에 설치된 후, 프로그램 코드를 통해서 자동으로 수행한다. 그리고 최종 목표는 상태의 멸망(모든 것을 새로 설치하고 데이터를 날려버리게 하는)이나, 패스워드를 인질로 하고 비트 코인 등을 송금하도록 요구를 한다.

2. 백신 프로그램의 입장에서 상상해 보기

  그럼 반대로 이러한 악성코드를 문제가 일어나기 전에 적절히 찾아야 하는 백신 프로그램의 입장은 어떨까? 총기가 허용된 사회에서 테러를 저지를 수 있는 위험한 사람을 찾아내야 하는 것 같은 모호한 입장에 있다고 생각한다.

  왜 모호할까? 겉에서 보이는 행동이외에 사람의 마음속이나 행동의 의도를 알아내긴 힘들기 때문이다. 우선 총을 가지고 있다고 위험한 사람일까? 물론 가능성은 높을 것이다. 하지만 테러를 일으킬 수 있는 사람일 수도 있지만, 단순히 사복을 입은 경찰관일 수도 있고, 사회 분위기가 어수선해서 자신을 보호하기 위해 총기를 휴대한 사람일 수도 있다. 그럼 총기 허가증이 있거나, 경찰이라면 안심할 수 있을까? 반대로 테러를 위해서 치밀하게 준비된 시나리오일 수도 있다. 그럼 어떻게 해야 할까? 1시간 정도만 그 사람의 행동을 관찰하면 될까? 아니 어쩌면 그 사람의 작전 D-day는 10일 뒤이기 때문에 하루 종일 살펴봐도 이상한 징후는 없을지도 모른다. 총을 주머니 바깥으로 빼내서 겨눈다고 나쁜 사람일까? 아니 무언가 수상한 범죄자를 보고 총을 겨누고 있는 형사일수도 있다.

  마이너리티 리포트 영화 같은 대상의 악의성을 판단하는 이런 판단의 문제는 백신 업체를 무척 머리 아프게 만드는 측면일 것이다. 그래서 백신이 멀쩡히 깔려 있는 컴퓨터에서 새로운 랜섬웨어가 걸리는 것 같은 이해할 수 없는 일들도 일어 날테고 말이다. 위의 테러범을 찾는 문제로 간다면, 검출이 안되는 플라스틱 총이나, 케익 상자로 위장 할 수도 있고, 경찰이 테러범과 비슷한 형태로 행동할 수도 있는 상식적인 선을 넘는 여러 시도가 일어날 수 있기 때문이다. 심지어는 테러범을 수색하는 사람으로 위장한 사람이 나타날 수도 있다. 영화나 부패한 나라에서 일어나는 일이지만 아래와 같이 현실 상에서도 소프트웨어 세계에 비슷한 일이 발생할 수가 있다.

[PC방 PC에 검색어 조작 해킹 툴 심은 일당 검거 - 아이러브피씨방]

http://www.ilovepcbang.com/news/articleView.html?idxno=73794

[사설 보안 연구소장이 해킹.. 국내 PC방 절반 감염 - YTN]

https://www.ytn.co.kr/_ln/0115_201611142210438443

[허위 백신 - 나무위키]

https://namu.wiki/w/%ED%97%88%EC%9C%84%EB%B0%B1%EC%8B%A0

3. 백신 프로그램이 할 수 있는 전략을 상상해 보기

  최신의 백신 프로그램이 어떤 무기와 전략을 가지고 돌아가는 지는 해당 회사에 있지 않은 이상은 모를테지만, 책이나 기사에서 본 것을 토대로 상식적으로 접근해 볼 순 있을 것이다. 먼저 정적 분석이라고 하는 분야가 있다. 상식적으로 이해하기 위해 위의 테러범을 찾는 문제의 과점에서 생각하면 이해가 좀더 쉬울 것이다.

  먼저 의심이 가는 사람의 외모적 특징을 본다. 그 담에 지문이나 신분증을 확인하며 이상한 이력이 없는지 전산을 조회해 본다. 이후 소지품 검사를 해서 총이나 수상한 물품을 소지했는지 체크하고, 총기 허가증을 체크한다. 상황에 따라 일반적으로 차별이 금지되어 있지만 테러 의심자를 조사하는 특수한 경우에만 허용된 여러 편향적인 부분 또한 체크할 수도 있을 것 같다(국적, 종교, 지인, 직업 등).

  그 다음은 동적 분석인데, 해당 부분으로 통과된 사람이라도 뭔가 의도적으로 정상적으로 위장한 사람일 수도 있기 때문에 여러 동적인 행동도 체크해 본다. 위험하다고 분류된 특정한 행동을 한다든지, 불안한 패턴을 보인다든지, 특정한 사람과 연락이나 대화를 한다든지 하는 부분 말이다. 데이터 분석 및 머신러닝 등을 이용해 해당 패턴들을 과거의 테러범들의 데이터에 비교하거나 특이한 부분을 찾아 수상한 패턴을 찾을 수도 있을 것이다.

  비슷하게 백신 프로그램도 실행이 가능한 파일들에 대해서 같은 조사를 할 수 있다. 파일내의 특정 이미지나 텍스트를 검사하거나(외모), 파일의 해시 값(지문, 주민번호)을 알려진 악성코드의 해시 값과 비교하거나, 특정 바이트의 특징(신체적, 사회적 특징)을 찾거나, 프로그램 코드를 따라가며 위험한 행동을 하는 코드를 찾거나 할 수 있다. 조금 더 나아가 사용하는 라이브러리나 패커 등의 패턴 등을 기존에 구축된 악성코드 데이터베이스를 기반으로 비교해 수도 있을 것이다.

  나아가 샌드박스 등으로 제한된 환경에서 프로그램을 실행 시켜 이상한 행동을 하는지 지켜보거나, 수상한 외부 사이트와 연결해 데이터를 주고 받거나 하는지도 체크할 수 있을 것이다.

4. 프로그램 행동 분석의 명암

  이상적으로는 위의 액션들을 통해 위험한 것을 전부 발견할 수 있겠다고 하고 싶겠지만, 여기에는 몇 가지 제약들이 얹어지게 된다. 분석을 방해하는 암호화된 팩커들이 존재하고(이건 뭐 실행 시점엔 원래대로 돌아오니 본질적으론 괜찮다고 싶다하고), 분석시간에 제한도 생긴다(백신 파일이 내가 실행하려는 파일을 한없이 잡고 있는 걸 바라는 사용자는 없다), 감시 당한 다는 것을 알고 감시 안 당할 때 행동을 시작하려는 악성코드도 있을 수 있고, 특정 조건 하에서만 특정한 코드를 실행하는 경우도 많을 것이다. 앞의 피씨방 프로그램처럼 대부분의 기능은 정상적인 프로그램이고 그 안에 숨어 못된 행동을 할 수도 있다.

  결국 위의 정적인 분석, (세미) 동적인 분석, 디버거, 디스어셈블리 툴 같은 것을 이용한 파일 분석 등이 필요할 텐데 디버거나 디스어셈블리 툴을 통한 분석은 가장 해당 프로그램의 진실에 가깝게 접근하겠지만 아무리 자동화로 구축을 하더라도 분석 하는 사람의 경험&재능 및 어느 정도의 인력, 시간 등의 제약요소를 가진 노동 집약적인 특징을 피할 수는 없을 것 같다. 머신러닝 등의 데이터를 기반한 분석을 하더라도, 수많은 악성코드 데이터를 모두 모으고 신규 생성되는 코드 또한 실시간으로 수집해 데이터베이스를 재 구축하는 부분도 역시 쉽지 않은 도전이 될 것 같고, 그렇게 하더라도 앞으로 일어날 새로운 패턴의 공격을 막을 수 있을지는 확실히 자신하긴 힘들 것 같고 말이다. 그래서 아무래도 방어하는 쪽 보다는 공격하는 쪽이 맘이 많이 편하긴 할 듯 싶다.

5. 동적 분석의 예 및 회피 시도 해보기

  파일내의 문자열이 패턴 분석 같은 정적 분석에 대한 예제 보다는, 동적 분석의 예를 보이면 좋을 것 같아서 처음엔 Cuckoo Sandbox 같은 오픈소스 샌드박스를 구축해 파일을 실행해 볼까 했지만, 찾아보니 원하는 결과를 얻기까지 가야 될 길이 꽤 복잡해 보이고, Virus Total 사이트를 보다 보니 기본적인 동적 분석을 제공 해주는 것 같아서 해당 사이트를 이용해 가볍게 시연을 해보려고 한다.

  시연에 사용할 악성 파일 샘플의 경우도 굳이 백신을 잠시 꺼야 할지도 모르는 실제 덜 위험한 악성코드나 자바나 C언어 등을 이용한 실행 파일을 만들기는 번거로울 듯 해서, 12교시 리버싱과 포렌식 편에서 만들었던 엑셀의 최근 열린 파일을 알아내기 위해 레지스트리 키를 읽어왔던 아래의 파이썬 샘플을 파이썬 인터프리터가 포함된 하나의 exe 파일로 만들어 해당 파일을 이용하도록 해본다 (실행 파일이 레지스트리를 읽는 동작도 동적 동작에 포함되기 때문에 샌드박스에서 찾아낼 것이다).

[show_excel_recently.py]

  현재 진행을 하고 있는 버전이 python 3.6.4 버전이라는 것을 잊지 말고(다른 버전에서는 아래 방식이 지원이 안되면 다른 방법으로 exe 를 만들어야 할 수도 있다), 우선 pyinstaller 를 설치해 보자.

c:\Python\code\>pip install pyinstaller

  이후 13교시에 만든 show_excel_recently.py 파일을 아래 명령어를 통해서 하나의 exe 파일로 만들어 보자

c:\Python\code>pyinstaller --onefile -w show_excel_recently.py

  해당 명령어가 잘 돌아가게 되면, "c:\python\code\dist" 폴더에 “show_excel_recently.exe” 파일이 생성되어 있을 것이다(해당 파일을 실행한다고 커맨드 창에 결과를 뿌리진 않는다. 아마 그렇게 보여주려면 파이썬 파일 수정이 좀 필요할 듯 보이는데 금번 시연 과정에서 굳이 그럴 필요는 없는 것 같아서 그냥 안 되는채로 두려고 한다)

  이제 바이러스 토탈 사이트로 이동해 보자. “Choose File” 버튼을 클릭해 방금 전에 만든 exe 파일을 업로드해 보자. 분석이 시작되고 조금 후에 결과 화면이 나온다.

https://www.virustotal.com/gui/home

  기본적인 정적 분석 결과가 나오고, 판단 이유는 모르겠지만, 69개 중 4개의 바이러스 엔진이 이 파일이 좀 위험한 거 같다고 얘기했다고 한다. “BEHAVIOR” 탭을 클릭해 본다(처음 올렸다면 분석 후 결과가 표시되는데 조금 시간이 걸릴 수도 있다)

  그럼 해당 exe 프로그램이 생성 수정한 파일들 이라든지, 레지스트리 키, 프로세스, 사용한 DLL, 특이한 액션 등 여러 정보 들이 표시되게 된다. 이 파일이 뭔가 특별한 일은 하는게 아니고 레지스트리만 읽어 왔기 때문에, “Registry Actions” 파트 쪽을 보자. 그럼 두 번째 줄에 우리가 코드를 통해 접근한 엑셀 키가(HKCU\…\Excel\File MRU) 보이게 된다.

 그럼 앞의 테러범 얘기로 돌아가서 한번 더 역으로 악성코드 입장에서 생각해 보자. 내가 동적 검사를 당했을 때, 거기에 검문당하지 않고 순진한 파일로 인식되려면 어떻게 해야 할까? 가장 좋은 방법은 지금 감시당하고 있다는 것을 인지하고 발톱을 숨기는 것일 테고, 아주 단순한 방법은 적당히 단속이 끝날 시간까지 몸조심하면서 아무 일도 하지 않는 것일 것이다.

  파일을 올린 후를 생각해 보면 우리가 동적 분석 결과를 얻기까지 그렇게 오랜 시간이 걸리지 않았고, 그렇게 오랫동안 관찰하는 방식은 검사하는 프로그램의 ROI 나 파일이 실행되기를 기다리는 사용자의 불편을 초래하기 때문에 힘들듯 싶으니, 우리가 원하는 레리스트리 키를 읽는 동작을 하기 전에 일정 시간 쉬었다 읽게 됨 동적 검사를 빠져나갈 수 있지 않을까 싶다.

  그럼 그 가설을 한번 체크해 보기 위해서 파이썬 코드를 조금 수정하여, 1분 동안 잠시 쉰 후(sleep), 동작을 하게 하도록 만들어 보자. show_excel_recently_sleep_1m.py 이라는 새 이름으로 저장해 보자.

[show_excel_recently_sleep_1m.py]

  이후 다시 exe 파일을 만들어 본다. show_excel_recently_sleep_1m.exe 라는 이전 파일과 하는 동작은 같지만 1분 정도 멈췄다 레지스트리 키를 읽는 파일을 만들어 본다.

c:\Python\code>pyinstaller --onefile -w show_excel_recently_sleep_1m.py

  같은 방식으로 바이러스 토탈 사이트에 해당 exe 파일을 업로드 후 결과를 보면, 우리가 기대했던 바와 같이 레지스트리의 엑셀 정보를 접근한다는 정보는 보이지 않는다. 이렇듯 검사하는 쪽은 시간에 쫒길테지만 공격하는 쪽은 1분후에 공격한다고 뭐 특별히 문제가 있지 않는 상황이 된다. 그래서 공격하는 쪽이 압도적으로 회피를 하기엔 유리하다고 본다.

6. 마무리 하면서

  생각하면 할수록 악성코드에 대한 전쟁은 방어하는 쪽이 압도적으로 불리한 영역 같다는 생각이 든다. 그래서 자동화 파트에서도 비슷한 얘기를 했었지만 이제는 작은 개인은 백신과 같은 지식 집약적 영역에서 빛을 발하기는 힘들다. 백신 프레임워크를 개발하는 것에 대한 실력의 문제가 아니라 앞서 얘기한 방대한 데이터들과, 악성 행동들에 대한 정의의 모호함, 순진한 프로그램과 유사하게 보이는 사회공학적, 현실적 측면(점유율 높은 PC방 프로그램 회사를 인수해 악성코드를 심으리라고 누가 쉽게 생각하겠는가?)을 추가해 점점 정교해지는 공격 패턴 등에 대한 집단 지성에 가까운 다양성 및 양적 범위를 커버하기 힘들 것 같기 때문이다. 어찌 보면 기술과 돈과 전략을 겸비한 거대한 단체들의 물량과 물량의 싸움으로도 보인다.

  악성코드에 대한 안전함은 현실적으로는 OS 개발 사의 취약점 패치와, 잘 알려진 공격 패턴들에 대해 빠르고 정확하게 방어하는 백신, OS 단에서 악성코드와 정상코드의 행동 구분을 원활하게 만드는 보안 설계 등에 의존할 수밖에 없는 것 같다. 그래서 OS 나 프로그램 패치를 열심히 하고, 백신 패턴을 최신으로 유지하며, 불법적인 무료 이익을 주는 프로그램이나 사이트를 이용하지 말고, 랜섬웨어 같은 단순하지만 강력한 무기들을 대비해 백업을 안전하게 해놓는 것이 개인으로선 최선인 것 같다(여러가지 예외 상황 때문에 백신만으로는 100% 못 막을 것이라는 것을 가정하는 게 더 현명한 방어 전략일 것 같다). 방어를 하는 입장에서의 여러 기술들의 최적화와 자동화에 대해서는 우리가 모르는 각 보안 회사들만의 여러 노하우들이 많이 있을 것 같고 말이다.

  소극적인 편법의 측면으로는 공격자가 가치를 모르게 데이터를 잘 위장해 놓는 것도 하나의 방법이 될 것 같기도 하다. 공격자 입장에서는 은폐와, ROI를 위해 최소한의 타겟팅 공격을 하는 편이고, 한편으로는 어차피 속고 속이는 싸움 같아 보이기 때문이기 말이다. 방어자 또한 꼭 정직하게 행동해야 할 필요는 없어 보인다. 뭐 하지만 위장 방법의 깊이가 깊지 않다면, 또는 위장이라는 것은 zip 파일의 복잡한 패스워드처럼 (현실적으로) 완벽한 노출에 대한 대응 수단은 아니기 때문에, 수법이 드러나는 순간 당한지도 모르고 당하게 되는 리스크가 있기 때문에 기본적인 정책에 추가해 상대를 어렵게 만드는 보조적인 수단으로만 생각해야 할 듯도 싶다. 원숭이도 나무에서 떨어지는 법 이니까 말이다. 자기확신만큼 무서운 건 없다.

  중국어를 공부하다 일본어 학원을 다시 잠시 다녔을 때 만난 고등학생 애한테 요즘 듣는 가수들 추천을 해달랬더니, 정리해준 가수들이 모두 락 쪽이였다. 락은 나한테 조금 힘든데 하는 맘은 있었지만, 정리해 준 것에 대한 고마움과 예의 때문에 유투브를 통해 하나하나 가수를 찾아 들어봤다(요즘은 사람들이 좋아하는 취향들에 대해서는 내가 이해를 못하더라도 나름 시간을 들여 이해할수 있다면 그들이 좋아하게 되는 특별한 매력이 있겠지 하는 생각이 든다). 그 중 조금 맘에 드는 노래가 있어서 마침 코인 노래방에도 있고 해서 도전. 막상 불러보니 들을 때 잔잔한 느낌과는 다르게, 후렴에서 뭔가 가볍게 지르는 느낌에 부르는 재미도 있었다. 그래서 곡이 영화의 OST 인것 같아 좀 더 노래의 느낌을 이해하고 싶어서 영화를 찾아 보게 됬다.

ぼくは明日、昨日のきみとデートする(나는 내일 어제의 너와 만난다)

https://namu.wiki/w/%EB%82%98%EB%8A%94%20%EB%82%B4%EC%9D%BC%2C%20%EC%96%B4%EC%A0%9C%EC%9D%98%20%EB%84%88%EC%99%80%20%EB%A7%8C%EB%82%9C%EB%8B%A4(%EC%98%81%ED%99%94)

  영화는 라이트 노벨을 원작으로 한 거라 해서 그닥 거슬리진 않는 약간의 판타지가 섞여 있다. 다만 조금 일본 드라마, 영화 특유의 미약한 사람의 손이 닿지 않는 커다란 운명의 열려있는 결말로 끝나서, 보고나면 마음 한쪽이 시큰거리는 허무함이 있다. 아마 왠지 이 노래는 영화를 보고 만든건 아니였을 것도 같은데, 가사랑 영화의 내용이 은근 잘 매치가 된다. 다만 영화쪽이 좀 더 깊고 섬세한 감정이라 노래가 좋다면 영화도 봐보는 것을 추천 한다. 아는 지인은 반대로 영화를 보고 엔딩 부분에 나오는 이 노래가 좋아 찾아봤다는 경우도 있다. 코인 노래방을 좋아하는 사람이라면 코로나 끝나면 꼭 가서 도전해 보기를(요즘 지역 경제엔 미안하지만 주변의 안전을 위해 코인 노래방을 몇달째 못 가서 금단 현상이 가득하다)...

  중국 노래는 성조 때문에 노래로 언어를 배우는 것에 찬반이 있는 것 같다. 하지만 개인적으로는 아무거라도 해당 언어의 교과서 공부 틀을 벗어나는 경험을 하는 것은 나쁘진 않은거 같다. 노래 안에서도 성조가 들린다는 것은 아직 이해가 잘 안가지만 말이다. 경험상 노래엔 필요없어 보여서 성조를 같이 안외고 발음만 외어버리면 나중에 엉터리로 각인되버린 성조들을 다시 교정하느라 돌 엄청 맞게되니 모르는 한자가 많이 나오고 노래속에선 성조를 표현을 못하더라도 성조를 같이 외자. 다른 한편으로는 회화는 형편없는 편이라 해당 가설이 맞나 싶기도 하다.

  하지만 일본어의 경우는 노래를 보다보면 동사의 변형, 원형 등도 반복해 유추하게 되고 교과서엔 안 나오는 단어나 어휘도 많이 보게되서 장점이 더 많은 듯 싶다. 또 빠른 노래를 연습 하다보면 한자 읽기에 대한 순발력이 길러지지 않나도 싶다. 노래할 때 도움을 주는 히라가나로 된 한자 발음이 오히려 귀찮게 눈에 자꾸 거슬리게 된다면 나름 성공이다. 중국 노래와 마찬가지로 나름 해석 해보고 애매하거나 자신 없는 부분은 지인한테 물어서 보충했다. 다른 일도 마찬가지 겠지만 언어를 공부할 때 편하게 물어볼 수 있고, 귀찮아 하지 않고 알려주고 싶어하는 사람이 있는 건 정말 좋은일 같다.

さよならが喉の奥に つっかえてしまって

안녕이라는 말이 목 안에 걸려 버리고,

咳をするみたいに ありがとうって言ったの

기침을 하는 것처럼 고맙다고 말했어

次の言葉はどこかと ポケットを探しても

다음엔 어떤 말을 할까 하며 주머니를 뒤져봐도

見つかるのはあなたを好きな私だけ

찾을 수 있는 건 너를 좋아하는 나 자신 밖에

平気よ大丈夫だよ

아무렇지 않아, 괜찮아

優しくなれたと思って 願いに変わって最後は嘘になって

상냥하게 되었다고 생각하고, 소원으로 변해, 마지막엔 거짓말이 되어

(뭔가 이별을 예고되 맘이 아프지만 상대방이 알아채지 못하게 친절하고, 다정하게 대하려고 노력했지만 결국엔 모든 게 현실의 무게에 치여 거짓말이 되어버렸다 정도로 이해하면 어떨까 싶다)

青いまま枯れてゆく あなたを好きなままで消えてゆく
푸르른 채로 시들어 가, 당신을 좋아하는 채로 사라져 가

(이게 정말 푸르다는 건지 아직 다 익지 못한 설익은 단계라는 건지는 알송달송)

私みたいと手に取って

나 처럼 손에 쥐고

奥にあった想いと一緒に握り潰したの

안에 있던 마음과 함께 쥐어 부셔 버렸어
(위의 두 줄은 어떤 이미지를 표현하는 가사인지 잘 모르겠음)

大丈夫 大丈夫

괜찮아 괜찮아

今すぐに抱きしめて

지금 바로 껴안고 싶은데

私がいれば何もいらないと それだけ言ってキスをして

내가 있으면 아무 것도 필요 없다고 그렇게 말하며 키스를 해줘

なんてね 嘘だよ ごめんね

농담이야 거짓말이거든 미안해

こんな時思い出す事じゃ ないとは思うんだけど

이런 때에 생각이 날 일은 아니라고 생각하지만

一人にしないよって あれ実は嬉しかったよ

혼자 있지 않아도 되서 그거 사실은 기뻤어

(しないよって 해석이 애매함)

あなたが勇気を出して 初めて電話をくれた

당신이 용기를 내서 처음으로 전화해 줬던

あの夜の私と何が違うんだろう

그 밤의 나와는 무엇이 다른 것  일까?

どれだけ離れていても  どんなに会えなくても

얼마나 멀리 떨어져 있더라도, 아무리 못 만나게 되더라도

気持ちが変わらないから ここにいるのに

마음이 변하지 않기 때문에 여기에 있는 거니까

青いまま枯れてゆく あなたを好きなままで消えてゆく

푸르른 채로 시들어 가, 당신을 좋아하는 채로 사라져 가

私をずっと覚えていて

나를 계속 기억해 줘

なんてね 嘘だよ 元気でいてね ああ

농담이야 거짓말이거든 건강하게 잘 지내줘

ララララ ララララ

ララララ ララララ

泣かない私に少し ほっとした顔のあなた

울지 않는 나에게 조금은 안심한 얼굴의 너

相変わらず暢気ね そこも大好きよ

여전히 느긋한 거 같아 그 것도 너무 좋아

気が付けば横にいて 別に君のままでいいのになんて

맘에 걸린 다면 옆에 있어줘, 그냥 당신 그대로 괜찮으니까

勝手に涙 拭いたくせに

제멋대로 눈물을 훔쳤던 주제에

見える全部聴こえる全て 色付けたくせに

보이는 것 전부, 들리는 것 전부 색칠해 버린 주제에

(아마 실제와는 다르게 상대방의 맘이 편하게 괴롭지 않은 척 연극했다는 것 같음)

青いまま枯れてゆく あなたを好きなままで消えてゆく
푸르른 채로 시들어 가, 당신을 좋아하는 채로 사라져 가

私みたいと手に取って

나 처럼 손에 쥐고

奥にあった想いと一緒に握り潰したの

안에 있던 마음과 함께 쥐어 부셔 버렸어

大丈夫 大丈夫

괜찮아 괜찮아

今すぐに抱きしめて

지금 바로 안고 싶은데

私がいれば何もいらないと そう言ってもう離さないで

내가 있으면 아무 것도 필요 없다고 그렇게 말하며 더 이상 떠나지 말아줘

なんてね 嘘だよ さよなら

농담이야 거짓말이거든 그럼 안녕

[서비스] 한자 발음 및 원형

喉(のど), 奥(おく), 咳(せき), 言う(いう)

次(つぎ), 言葉(ことば), 探す(さがす), 見つかる(みつかる), 好き(すき), 私(わたし)

平気(へいき), 大丈夫(だいじょうぶ)

優しい(やさしい), 思う(おもう), 願い(ねがい), 変わる(かわる), 最後(さいご), 嘘(うそ)

青い(あおい), 枯れる(かれる), 消える(きえる), 手(て), 取る(とる)

想い(おもい), 一緒(いっしょ), 握り潰す(にぎりつぶす)

今(いま), 抱きしめる(だきしめる), 何(なに)も, 嘘(うそ)

時(とき), 思い出す(おもいだす), 事(こと), 一人(ひとり), 実(じつ), 嬉しい(うれしい)

勇気(ゆうき), 初め(はじめ), 電話(でんわ), 夜(よる), 違う(ちがう)

離れる(はなれる). 会う(あう), 気持(きもち), 覚える(おぼえる), 元気(げんき)

泣く(なく), 少し(すこし), 顔(かお), 相変わらず(あいかわらず), 暢気(のんき), 大好き(だいすき)

横(よこ), 別に(別に), 君(きみ), 勝手(かって), 涙(なみだ) 拭く(ふく)

全部(ぜんぶ), 聴く(きく), 全て(すべて), 色付ける(いろづける), 離す(はなす)

  역사적인 관계가 얽혀있는 다른 나라의 언어를 배운다는 것은 종종 묘한 부분이 있다. 특히 두 나라 사이의 감정이 격해 질때면, 관련된 언어를 공부하고, 해당 언어로 만들어진 여러 문화적인 부분을 경험하고 노출하는 것 조차 괜히 눈치가 보일때가 있다(개인적으로는 코인 노래방에서 중국-일본 노래 부르기, 지하철에 앉아 해당 언어 펼치고 공부하기 등). 뭐 살아가면서 역사적 관계나 이익의 충돌이 전혀 없는 나라의 언어를 배우게 될 일이 있을지는 모르겠지만, 하나의 언어를 배우면서 그 나라 사람들을 만나게 되면 추상적으로 생각해 오던 해당 나라가 구체적인 모습으로 다가 오게 되는 측면도 있는 것 같다.

  이 노래는 강사분이 추천해 줬던 노래로 이미 여러 블로그에서 소개되어 있지만, 처음으로 스스로 번역해서(이상한 곳 체크를 받고) 올렸다는 데에 의미가 있을 듯 싶다^^. 워낙 노랫말처럼 가랑비에 옷 젖듯 천천히 공부해온 탓에 그렇긴 하지만, 노래 가사는 시와 비슷하게 생략된 문장 형태인 경우가 많고, 중국어 특유의 함축적이고 중의적인 한자의 느낌 때문에, 원래 쓴 사람의 의도를 잘 파악하기 어려운 때가 많은 듯 싶다. 뭐 그것은 이 글의 해석의 어딘가가 매끄럽지 않은데에 대한 변명이기도 하다--;

  개인적으로 중국은 고전적인 가치관이 여전히 사회의 많은 부분을 감싸고 있는 것으로 보인다. 현재의 시대를 살아감에 있어 고전적이라는 것은 구닥다리 느낌의 부정적인 측면도 있지만, 나아가는 것이 꼭 좋아지는 것만은 아니라는 측면에서는 긍정적인 부분도 동시에 존재하는 것같다. 물론 한 개인이 사회에서 둘 사이에 적당한 균형을 이루고 살긴 많이 어려운 것 같지만 말이다. 이 노래는 중국 사회의 고전적인 감정에 담긴 잔잔한 우아함을 한자에 담아 표현하고 있다고 생각한다. 참고로 한국 노래방 기계에는 없는 듯해서 많이 아쉽다^^~

书里总爱写到喜出望外的傍晚
Shūlǐ zǒng àixiědào xǐchūwàngwài de bàngwǎn

책속에는 항상 뜻밖의 기쁨을 주는 저녁 무렵의 풍경이 담겨 있죠.

骑的单车还有他和她的对谈
qí de dānchē háiyǒu tā hé tā de duìtán
자전거를 타거나 그와 그녀가 이야기를 나누는 모습

(책 속에 담긴 여러 사랑 이야기 들의 장면을 떠올리는 듯...)

女孩的白色衣裳男孩爱看她穿
nǚhái de báisèyīshang nánhái àikàn tā chuān

하얀 옷을 입은 여자아이를 바라 보는 것을 좋아하는 남자아이

好多桥段    好多都浪漫
hǎoduō qiáoduàn   hǎoduō dōu làngmàn
얼마나 많은 일들이,  얼마나 많은 낭만이

(桥段 은 보통 영화 연극 등의 scene 같은 것을 말하는 듯. 특정한 갈등이 있는 상황이나 계기 등? 적당한 표현할 단어가 생각 안나 함축적으로? "일"이라고 해석. 연인들 끼리의 친해지는 과정이나, 다툼에 대한 에피소드라고 보면 어떨까 싶다)

好多人心酸    好聚好散
hǎoduō rén xīnsuān    hǎo jù hǎo sàn
얼마나 많은 사람이 가슴이 아프고, 모였다 흩어졌을까요

好多天都看不完
hǎoduō tiān dū kànbùwán

여러 날이 지나도 다 못볼 만큼 많죠

(위와 같은 많은 감정의 편린들이 있어서 여러 날을 봐도 못 볼만큼 많다는 의미)

刚才吻了你一下你也喜欢对吗
gāngcái wěn le nǐ yīxià nǐ yě xǐhuān duì ma
방금 내가 입맞췄을 때 당신도 좋았던거 맞죠? 

不然怎么一直牵我的手不放
bùrán zěnme yīzhí qiān wǒ de shǒu bù fàng

그렇지 않다면 내손을 왜 줄곧 잡고 있겠어요.

你说你好想带我回去你的家乡
nǐ shuō nǐ hǎoxiǎng dài wǒ huíqù nǐ de jiāxiāng
당신은 나를 고향으로 데리고 가고 싶다 말했죠

绿瓦红砖    柳树和青苔

lǜ wǎ hóng zhuān    liǔshù hé qīng tái
녹색기와와 붉은 벽돌, 버드나무와 푸른 이끼

过去和现在    都一个样
guòqù hé xiànzài    dōu yī gè yàng
과거와 현재, 모두 한결같죠 

你说你也会这样
nǐ shuō nǐ yě huì zhè yàng

당신은 당신도 그렇게 변하지 않을거라고 말했죠

慢慢喜欢你    慢慢的亲密
mànman xǐhuān nǐ    mànman de qīnmì
천천히 당신을 좋아하고, 천천히 가까워지고

慢慢聊自己    慢慢和你走在一起
mànman liáo zìjǐ    mànman hé nǐ zǒu zài yīqǐ
천천히 자신에 대해 얘기하고,  천천히 당신과 걸어가기

慢慢我想配合你    慢慢把我给你
mànman wǒ xiǎng pèihé nǐ   mànman bǎ wǒ gěi nǐ

천천히 당신과 어울리고, 천천히 당신에게 나를 주고 싶죠

慢慢喜欢你    慢慢的回忆
mànman xǐhuān nǐ    mànman de huíyì
천천히 당신을 좋아하고, 천천히 추억하고

慢慢的陪你慢慢的老去
mànman de péi nǐ mànman de lǎoqù

천천히 당신과 함께 있고, 천천히 나이를 먹어가기

因为慢慢是个最好的原因

yīnwèi mànman shì gè zuì hǎo de yuányīn

왜냐하면 느리다는 건 아주 좋은 이유 중 하나기 때문이죠

(原因 은 "원인"이라는 뜻이긴 하지만, "느리게" 무언가를 쌓아가는게 무언가 하나의 두 사람 사이의 완전한 사랑을 만들게 된다는 의미로 생각하면 어떨까 싶다. 같은 완전함 이래도 불 같은 사랑과 반대라고 할까? 그래서 사랑이 이루어지게 되는 "이유" 중 하나라고 옮김)  

晚餐后的甜点就点你喜欢的吧
wǎncān hòu de tiándiǎn jiù diǎn nǐ xǐhuān de ba
저녁 식사 후의 디저트는 당신이 좋아하는 걸로 주문해요

今晚就换你去床的右边睡吧
jīnwǎn jiù huàn nǐ qùchuáng de yòubiān shuì ba

오늘 밤엔 당신이 오른 쪽에서 잠을 자요

(아마 침대 오른쪽이 벽이고, 평소에는 바깥 쪽에서 남편이 자다가 뒤에 나오 듯 내일은 여행을 가는 일에 설레는 부인이 먼저 일어나서 준비하며 기다리기 위해서 바깥 쪽인 왼쪽에서 자겠다는 의미로 추측) 

这次旅行我还想去上次的沙滩
zhècì lǚxíng wǒ hái xiǎngqù shàngcì de shātān
이번 여행 때 지난번 갔던 그 해변에 다시 가보고 싶어요.

球鞋手表    袜子和衬衫都已经烫好    放行李箱
qiúxié shǒubiǎo    wàzi hé chènshān dōu yǐjīng tànghǎo    fàng xínglǐxiāng
운동화와 시계, 이미 다려놓은 양말과 셔츠는, 트렁크에 넣어놨어요.

早上等着你起床
zǎo shang děng zhe nǐ qǐ chuáng

아침에 당신이 일어나기만 기다리고 있어요.

[이 후는 반복]

因为慢慢是个最好的原因
yīnwèi mànman shì gè zuì hǎo de yuányīn

왜냐하면 느리다는 건 아주 좋은 이유 중 하나기 때문이죠

书里总爱写到喜出望外的傍晚
shū lǐ zǒng ài xiě dào xǐ chū wàng wài de bàng wǎn

책속에는 항상 뜻밖의 기쁨을 주는 저녁 무렵의 풍경이 담겨 있죠.

  이번 시간에는 모니터링 이라는 주제에 대해서 얘기해 보려 한다. 사실 모니터링은 보안 뿐만 아니라 모든 IT 영역에서 관심을 가지는 부분이기도 하지만, 간단한 예제와 함께 보안에서의 모니터링이란 무엇일까에 대해서 가볍게 생각해 보려 한다.

[목차]

1. 보안을 바라보는 방법

2. 보안에서의 코드 읽기

3. 인젝션(Injection) 살펴보기 #1, #2

4. 암복호화

5. 클라이언트 코드

6. 업로드, 다운로드

7. 스크립트 문제

8. API

9. 하드닝(Hardening)
10. 보안 설계 문제
11. 스캐너 vs 수동 테스트

12. 자동화 잡

13. 리버싱과 포렌식

14. 모니터링 문제

15. 악성코드

16. 보안과 데이터

1. 들어가면서

  흔히 물리적 보안을 소프트웨어 적인 보안 분야보다 명확하고 쉬운 분야로 취급하는 경향이 많은 것 같긴하지만, 두 개의 분야는 무척 유사하고 구분 하긴 힘든 연결 고리를 가지고 있다고 생각한다. 예로서 특정한 가게를 도난에 안전하게 지키려고 노력한다고 생각해 보자. 가장 기본적으로는 CCTV, 동작 감지기 등의 가게 주변의 환경의 변화를 모니터링 하고 알려주는 센서들을 설치 할텐데 왜 그러한 센서들을 설치하려 하는 걸까? 결국은 특정한 상황을 알려주는 데이터를 얻기 위해서 라고 볼수 있을 것이다.

  만약 CCTV 가 적절하지 않은 장소에 설치된다면 어떤 일이 벌어지게 될까? 잘못되거나 의미 없는 데이터를 가지고 판단(또는 모니터링) 하는 결과를 가지게 될 것 이다. 또한 현실적으로 사람이 잠시도 빼먹지 않고(또는 지치지 않고) 모니터링 하는 모든 데이터들을 100% 보고 있을 순 없기 때문에 여러가지 데이터에 여러 소프트웨어 적인 요소들을 적용하여 이상 현상을 찾으려고 한다. CCTV 를 예로 들면 화면의 변화, 화면안의 객체의 움직임, 해당 움직임의 의미 등을 프로그래밍(나아가 데이터의 통계나 구조적인 의미를 알려주는 머신러닝)을 통해 해석해서, 침해가 일어난 다고 의심되는 특정 이벤트 만을 알람으로 발생하게 하여 효율적인 모니터링을 하려고 한다. 이러한 관점을 생각하게 되면 물리적 모니터링은 소프트웨어 적인 모니터링과 문제의 성격으로 보아 별 차이는 없어 보이게 된다.

  또한 이러한 데이터 부분은 현실적인 행동이 있어야만 의미가 있을 수도 있다. 경험상 가게 자체적인 CCTV 의 구축이 효율이 적은 이유 중 하나는 누군가 계속 제대로 모니터링을 해야하며, 사건이 발생했을 때 조치할 방법이나 즉각적으로 행동할 사람이 없다면 효용성이 많이 떨어지기 때문이다(몇일 치의 CCTV 를 뒤지면서 원하는 장면을 찾아본 경험이 있다면 사후 조치란 의미로 원인을 찾기 것이 얼마나 피곤하게 만드는 일인지 알수 있을 것이다). 이러한 부분이 보호해야할 자산을 가진 사람들이 중앙 집중적인 관제 및 조치하는 사람이 있는 서비스를 제공하고 있는 **원 같은 보안 서비스 들을 사용하는 이유라고 생각된다. 해당 서비스에서 이상적으로 영상 및 이벤트 데이터 들은 실시간으로 원격에 저장되어 안전하게 보존, 백업 되며, 각 이벤트 들은 관제사 및 프로그램들에 의해서 체크 되며, 문제가 있을 시 물리적 조치를 행사할 수 있는 인원들이 움직이기 때문일 것 같다. 물론 실제로는 상징적인 효과일 수도 있고 비용이나 프라이버시 문제가 있을 수도 있을 것이다.

2. 결국 중요한 것은 데이터

  이 글의 맨 처음에서 보안의 주요한 부분중 하나는 데이터의 흐름을 따라다니는 일 이라고 얘기 했었는데, 모니터링도 크게 그 범위를 벗어나지는 않다고 본다. 앞의 리버싱과 포렌식 글에서 컴퓨터는 0과 1로 이루어진 세계로 얘기 했는데, 점점 시간이 지날 수록 현실의 많은 데이터는 이 0과 1로 이루어진 형태로 등가적으로 변형되어(디지털 화) 컴퓨터 안에 들어가고 있다.

  CCTV 의 영상도, 다른 여러 센서의 데이터도, 사람들의 행동들도 모두 디지털화 됨으로서, 어떻게 보면 현실의 많은 부분들이 이젠 컴퓨터내의 문제로 등가적으로 치환되었다고 볼수 있을 듯하다. 그렇게 컴퓨터 내의 데이터 문제가 되어, 그 동안 사람들이 고안해낸 여러 컴퓨터 내의 데이터 문제를 해결하는 기법들을 사용할 수 있게 됬지만, 그렇게 됨으로서 몇 가지의 새로운 차원의 문제도 발생하게 되었다고 본다.

  첫째로 정확하게 현실의 특징을 충분히 반영하여 디지털로 변환 되었냐는 문제가 있다. 예를 들어 예전의 해상도가 낮았던 시절의 CCTV는 나중에 해당 데이터를 가지고 100% 정확한 판단을 하기 힘든 문제가 있었다. CCTV 위치가 잘못 되어 태양 빛이 너무 밝게 들어와 영상을 제대로 인지 못했을 수도 있고, 센서가 고장날 수도 있으며, 센서의 설계가 처음부터 적합치 않았을 수도 있다.

  이건 소프트웨어 보안 쪽에서도 마찬가지 라고 보는데, 우리는 모든 데이터가 로그나 데이터베이스의 형태로 쌓였다고 생각하지만, 실제 그 데이터를 일으키게 한 대상은 컴퓨터 바깥 세상의 존재일 가능성이 높다. 그럼 그 데이터를 만들어낸 대상이 가진 특징을 올 해당 데이터를 기준으로 올바르게 판단 가능할 정도로 정확히 가지고 있는가를 우선적으로 따져봐야 한다. 영화에서 나오는 CCTV 나 센서를 보고 있는 감시 요원들이 주인공을 놓치게 되는 이유는 이 판단을 위한 원천 데이터 자체가 왜곡되는 경우라고 볼수 있을 것 같다. 

  혹은 아예 처음 부터 소프트웨어에서 자체에서 생겨난 데이터일 수도 있겠지만 그 경우도 우리가 최종 모니터링에 사용할 기반 데이터를 제대로 만들어낸 것인 지에 대해서 항상 여러 측면에서 고민을 해봐야 하는것 같다. 그래서 데이터를 만들어낸 도메인을 제대로 이해한 상태에서, 데이터의 수집부터 판단에 필요한 데이터를 만들어 내고, 위의 소프트웨어 적인 해결 도구들을 적절히 사용했는지를 잘 검토해야 하는 것 같다.

  둘째로 첫번째와 비슷하지만 우리가 현재 데이터라고 믿고있는 기준이 실제 우리가 원하는 현상을 모니터링 하기에 충분하냐는 문제가 있다. 세상이란게 실제로 많은 부분 근사와 추정으로 이루어져 있긴 한듯 하지만, 가능한 현재 모니터링 하고 싶은 부분에 대해 적절한 이벤트를 만들어 낼 수 있는 데이터를 수집하고 있는지는 체크해 봐야 한다.

  보안이나 QA가 좀 그런 면이 있긴 하지만, 시스템을 움직이는 데이터와 시스템을 모니터링 하는 데이터는 겹칠때도 많지만 별개일 수도 있다. 시스템의 여러 동작 간에 모니터링을 위한 데이터를 일부러 쌓아야 하는 경우도 있고, 뒤에서 천천히 집계하여 효율성 있게 모니터링 하기 위한 기반 데이터를 만들어야 하는 경우도 많아 보인다. 이러한 부분은 저장 비용, 퍼포먼스와도 밀접히 연관되어 있는 경우도 많으므로, 뻔한 얘기긴 하지만 새로운 시스템이 만들어지고 적절한 보안적인 모니터링이 필요하다면 설계 단계 부터 여러 측면에서 설계나 예산 측면에서 고려를 해야 하는 부분 같다. 일단 시스템이 본 궤도에서 돌아가게 되면 모니터링을 끼워넣기는 엄청 힘들어지는 것 같다.

  셋째로 과거의 데이터를 기반으로 만들어낸 규칙이 새로운 데이터에 얼마나 적합한지에 대한 부분이다. 머신러닝에서도 학습된 모델이 현재 얼마나 유효한 지에 대해 항상 고민을 하긴 하지만, 굳이 그렇게 복잡한 상황이 아니더라도 기본적인 모니터링 판단에서도 마찬가지다.

  만약 CCTV 를 열심히 설치해 놨는데 새로운 문이 생기면 어떻게 될까? 새로운 권한을 가진 사람들이 같이 근무하게 될수도 있을 것이다. 회사의 근무시간이 고정된 시간에서 자율 출퇴근 제로 바뀌어도 마찬가지 일것이다. 또한 재택근무가 된다면 등등... 현재의 고정된 판단을 가졌던 데이터의 규칙이 언제라도 특정 시점에 바뀔 수 있을 것이다. 기존 모니터링 시스템에서 받아들이 데이터 들의 그런 변화를 적절히 2차 모니터링 하여 데이터의 대상 및 룰에 대한 변화를 알려 줄수 있는 부분도 필요할 수 있다. 물론 그렇게 변할 가능성이 있는 데이터를 판단의 기준으로 삼지 않는 접근 방법도 있지만, 당장 효과가 있는 판단 기준들을 쉽게 빼는 것은 쉽지 않은 일이다. 애시당초 부터 적절한 판단을 할 수 없을 지도 모르고 말이다.

   여러 현실의 트랜드나 구조의 변화 때문에 생성되는 데이터의 성격이 충분히 변할 수 있기 때문에 이러한 변화를 모니터링 하는 부분도 역설적으로 모니터링을 구축하는데 또 다른 숙제가 되는 듯하다. 

  넷째로는 데이터가 조작에 얼마나 취약하느냐를 따져봐야 한다. 보안 쪽 모니터링을 하면서 데이터가 항상 주어진 그대로의 특성을 유지할 것이라고 믿는 것은 피해야할 시각이다. 앞에서 얘기한 인젝션 같은 문제로 기대하지 않은 데이터가 들어와 순진한 프로그램을 악용하는 것처럼, 순진한 모니터링 프로그램은 조작된 데이터를 그대로 놓쳐버릴 수 있다. 특히 외부의 움직임에 의해 생성되어 들어오는 데이터를 기반으로 모니터링을 할때는 항상 이런 부분을 더 신경써야 하는 것 같다. 

  다섯째로 만들어진 모니터링 프로그램은 대부분 명확한 답이 없이 "임계점"을 기준으로 Alert 을 띄우는 경우가 많으므로, 해당 임계점을 어떻게 조정하느냐도 민감한 주제가 될것 이다. 좀더 확실히 놓치지 않기위해 임계점을 낮추게 되면 수많은 Alert 의 늪에 빠지게 될것이고, 운영의 효율을 위해서 높이게 되면 삶의 질은 나아지겠지만 문제를 놓치게 될 가능성이 높아지기 때문이다. 

  마지막으로 결국은 모니터링은 사람의 문제로 귀결된다는 거다. 그건 모니터링 하는 입장이나 해당 처리를 하는 입장에 모두 해당 된다. 아무리 잘 만들어진 시스템이 많이 이벤트와 좋은 대시보드 화면을 보여준다고 해도 결국 최종적으로 오탐인지, 위험이 있는지 판단하는 부분은 사람일 수 밖에 없다. 또한 많은 부분에서 주어진 데이터에 대해 알고있는 도메인 지식을 기반으로 해석해야만 정상적인 판단을 할 수 있는 경우도 많다. 

  사람이란게 필연적으로 먹고 자는 존재이며, 기분에 따라 컨디션이 많이 달라질 수 있는 존재이기 때문에, 그러한 부분에 따른 판단 오차 및 대응 지연을 최소화 시킬 수 있는 시스템 및 모니터링 리소스의 배치도 마찬가지로 필요한 듯 싶다. 시스템 적인 입장만 생각하자면 최종 결과를 메일, SMS, 메신저 등의 연락처로 보내고 관련된 데이터와 그래프를 보여주면 된다고 생각할 수 있지만 그 메시지와 데이터를 보고 판단하는 사람들이 처한 환경을 간과 해서는 안된다. 물론 그러한 판단을 모니터링 하는 사람들이 힘을 덜 들이면서도 정확하고, 오차없게 하게 하는 여러 노력들은 필요하겠지만 말이다.

  때로는 100% 자동으로 이루어지는 선처리도 있긴 할테지만(예를 들어 과열시의 차단), 어쨋거나 해당 원인을 밝혀 개선하거나, 적절한 차단인지 되돌아 검토하거나, 룰을 수정하는 등의 일은 사람의 판단이 결국 필요하게 된다. 그래서 모니터링은 어찌보면 데이터의 생성 방식부터 최종 판단 까지 전체를 물리적, 디지털 적으로 잘 케어해야 하는 종합적인 분야같다.  

3. 간단한 모니터링 예제 보기

  어떤 예제를 보여줄까 고민하다가, 결국은 데이터의 한 측면을 보고 판단을 하는 예제를 간단히 보여주는 것으로 결정했다.

  우선 모니터링 대상은 파이썬으로 웹페이지를 하나 만들며 해당 페이지는 호출 할때마다 1부터 하나씩 숫자가 증가하면서 해당 숫자를 <td> 태그 안에 넣어 보여준다. 다음은 모니터링을 하는 프로그램인데, 해당 페이지를 1초 마다 한번 호출 하면서 5가 발견되면 SQLite 디비에 해당 결과를 저장 후, 화면에 읽어 표시한다.

3.1 모니터링 대상 웹 페이지 만들기

  우선 숫자를 표시해 주는 flask 웹 페이지를 보자. 내용을 보면 global 변수를 이용하여 계속 0부터 1을 증가 시키면서 monitoring.html 을 랜더링 하면서 해당 값을 웹페이지에 표시해준다(코드가 이해 안가는 경우는 파이썬 플라스크 편을 보고 오자).

   해당 파일을 c:\python\code 폴더에 "flask_monitoring.py" 이름으로 "UTF-8" 포맷으로 저장한다.

  다음은 해당되는 템플릿 파일을 보자. 정말 간단하게 <td> 태그 하나만 하나 있다. class 이름으로 check_point 를 지정한 이유는 나중에 beautifulsoup 라이브러리로 가져올때 td 태그가 여러개 있을 때 기준을 가지고 쉽게 가져오기 위해서이다.

   c:\python\code\templates 폴더에 "monitoring.html" 이름으로 "UTF-8" 포맷으로 저장한다.

  이제 커맨드 창에서 실행 시켜 페이지가 잘 동작하나 본다.

c:\Python\code>python flask_monitoring.py
....
 * Running on http://127.0.0.1:5000/ (Press CTRL+C to quit)

  브라우저로 웹페이지를 띄워 리프레시를 해보면 호출할 때마다 1씩 숫자가 증가됨을 볼 수 있다.

http://localhost:5000/monitoring

3.2 모니터링 대상 웹 페이지 만들기

  이제 해당 페이지를 모니터링 하는 프로그램을 만들어 보자. 해당 프로그램은 http://localhost:5000/monitoring 페이지를 30번까지 호출 하며, class 가 check_point 인 <td> 태그의 내용을 가져와 5를 발견하게 되면 로컬 SQLite 디비에 이벤트와 시간을 저장하고 for 루프를 먼춘 후, 해당 디비에 저장한 내용을 읽어와 화면에 표시한다.  

  c:\python\code 폴더에 "flask_monitoring.py" 이름으로 "UTF-8" 포맷으로 저장 후 커맨드 창에서 실행해 보자(아래와 같이 1부터 다시 나오게 하려면 앞의 웹 서버 실행을 취소했다 다시 시작하면 된다)

c:\Python\code>python monitoring_job.py
1
no event
2
no event
3
no event
4
no event
5
find it: 5
('2019-10-13 20:48:09.088506', '5', 'find it')

4. 마무리 하면서

  사실 예제처럼 웹 호출을 기반으로 데이터를 가져와 모니터링 하는 것은 마이너한 경우일 테지만, 꼭 가져오는 방식이 중요한 것은 아니다. 웹에서든, 디비든, 장비든, 로그 파일이든 결국은 파이썬 1교시의 프로그래밍의 입력과 같이 형태만 다를뿐 결국 파싱해 가져오고 싶어하는 건 최종적으로 데이터라는 데엔 변함이 없다. 모니터링은 과감히 간략화 하자면 컴퓨터 내에 적재한 여러 데이터를 기반으로 적절한 체크 포인트를 찾아서, 특정한 데이터의 변화가 일어났을때 알려주며, 종종 그래프 같은 시각적인 형태로 모니터링하는 사람에게 데이터의 추이를 설명해주는 단순한 작업이다.

  생각보다 모니터링 업무를 하는 사람에게는 지루하거나 스트레스를 받는 일이며, 발생하는 이벤트를 수동적으로 계속 따라가게 됨으로서, 그다지 생산적이지도 않게 느껴진다. 일적으로도 대상을 지키는 업무라는 인식이 강하기 때문에 하는 일의 중요도에 비해 많은 인정을 받지도 못하는 경향도 있다. 때로는 자신의 메인 업무에 부록처럼 따라오는 시간을 조금씩 갏아가는 귀찮은 일일 수도 있다. 또한 운영 업무의 대부분은 이런 모니터링과 일부 또는 전부 연관되어 있다.

  반면에 모니터링을 정확히 잘하려면 대상 데이터를 정확히 이해해야 하며, 데이터를 정확하게 이해하기 위해서 데이터를 만들어내는 전반적인 도메인과 관련된 시스템, 사물, 사람의 행동을 이해해야 하기 때문에, 깊이 들어가고자 하면 생각보다 복잡한 일이기도 하다(예를 들어 SQL 을 모니터링 하려면 기본적인 SQL 문법과 사용자 들이 사용하는 패턴의 이해, 해당 SQL의 대상이 되는 서버, 디비, 테이블, 컬럼의 성격을 이해해야만 한다). 뭐 하지만 이런 부분은 IT를 포함한 어떤 분야의 일이나 마찬가지인듯 하다. 다들 익숙하게됨 지루하게 보자면 무척 지루한 일일 수도 있지만, 의미를 가지고 데이터의 원천에 관심을 가진다면 다른 차원의 일로도 볼수도 있다. 스스로 모니터링 시스템을 설계하거나 개선하는 업무의 롤이라면 더 더욱 그럴 것이고 말이다.

  모니터링 업무를 도메인의 데이터를 이해하고 적절하게 데이터를 해석할수 있는 툴을 적용하는 일이라고 정의해 보면 어떨까 싶다. 그러면 보안의 다른 분야와 마찬가지로 무척 공부할 것이 많아지는 듯 싶다.

  이번 시간에는 리버싱(리버스 엔지니어링: Reverse Engineering)과 포렌식(Forensic)에 대해서 이야기 해보려 한다. 시작하기 전에 먼저 양해를 구하고 싶은 부분은 이 두 분야에 대한 실무를 해본적이 없기 때문에 그다지 자신이 없다. 다만 어떻게 이 두 분야를 바라봐야 할까에 대해서 간단한 예제들를 중심으로 이야기를 풀어보려 한다.

[목차]

1. 보안을 바라보는 방법

2. 보안에서의 코드 읽기

3. 인젝션(Injection) 살펴보기 #1, #2

4. 암복호화

5. 클라이언트 코드

6. 업로드, 다운로드

7. 스크립트 문제

8. API

9. 하드닝(Hardening)
10. 보안 설계 문제
11. 스캐너 vs 수동 테스트

12. 자동화 잡

13. 리버싱과 포렌식

14. 모니터링 문제

15. 악성코드

16. 보안과 데이터

1. 들어가면서

  위의 두 개의 큰 주제를 하나의 파트로 묶은 이유는, 결과적으로 생각했을 때 두 분야의 연결점이 무척 많다고 생각하기 때문이다. 둘 중 한 쪽 분야에 대한 탄탄한 지식은 다른 분야를 접근 할때 허들을 많이 낮출테고, 일을 함에 있어서도 공통이 되는 지식 분야가 분리하기 힘들 정도로 많이 겹친다고 본다. 비유하자면 포렌식이 생태계과 생물들이 살아갔던 흔적에 주로 관심이 있다면, 리버싱은 생태계 안에서 살아가는 생물들의 행동 관찰에 관심이 있는 분야라고 본다. 생물을 이해하려면 생물들이 살아가는 환경을 이해해야 하고, 환경의 변화를 추적하려면 환경안에서 살아가는 존재들의 상호작용을 이해해야 할 것이다.

  사실 그것은 보안 전체에 대해서도 마찬가지인 부분 같다. 편의상 여러 분야로 나누어서 보안 지식을 분류하긴 하지만, 크게 보면 모든 분야가 유기적으로 얽혀 있다고 볼 수 있기 때문에, 어디나 분위기는 비슷비슷 하다고 본다. 반대로 여러 분야의 지식이 어느 정도 골고루 쌓여있지 않다면 뭔가 구멍이 뚫려 있듯이 어설픈 상태에 놓였다는 느낌이 들게 된다. 개인적으로 이 두 부분은 스스로 그렇게 느끼고 있는 구멍나 있는 부분들이기도 하다^^ 

2. 리버싱 예제 만들어 보기

  어딘가에서 만들어 놓은 샘플을 하나 가져와도 좋겠지만, 좀 더 간단하지만 통제가 되고 이해가 되는 예제를 예로 들기 위해서, 직접 C++ 로 프로그램을 하나 만들어서 비주얼 스튜디오의 정적 환경(뭐 디버깅 중이라서 동적이라고 볼 수도 있겠다)과 디버거 상에서 동적으로 실행되는 2개의 환경에서 코드를 비교해 볼까 한다. 윈도우즈 환경이기 때문에 요즘은 무료로 제공되고 있는 비주얼 스튜디오 커뮤니티(Visual Studio Community) 버전을 설치해 보도록 한다.

  구글에 "visual studio community" 라고 적으면 아래의 다운로드 링크를 찾을 수 있다.

[visual studio community - microsoft 홈페이지]

https://visualstudio.microsoft.com/ko/vs/community/

  다운로드 하여 실행하면 설치 화면이 나오는데, 설치를 진행하면서 Workload 탭 에서 "desktop development with c++" 기능을 체크해서 설치한다(이미 설치한 상태라서 스크린 샷은 못찍었는데 아래의 블로그를 참조하면 비슷한 듯 싶다). 뭐 다른 언어도 이것저것 공부할때 필요할 듯 하다면 설치해도 좋다.

[비주얼 스튜디오 2017 커뮤니티에서 c/c++ 프로그래밍 하기 - 모두의 코드님 블로그]

https://modoocode.com/220

2.1 리버싱 예제 만들기

  이후 프로그램을 실행을 시키고, "새 프로젝트 만들기" 를 선택한다. 위쪽 검색 메뉴에서 "c++" 를 입력하면, 아래와 같이 c++ 로 콘솔 앱을 만드는 항목이 보이게 된다. 해당 항목을 선택하고, "다음" 버튼을 누른다.

  프로젝트 이름을 "ReversingSample" 로 위치를 매번 파이썬 파일을 만들던 "c:\Python\Code" 로, 솔루션 이름을 "ReversionSample" 로 한 후, "만들기" 버튼을 누른다(나중에 디버거 툴로 선택할 exe 파일을 잘 찾을 수 있다면 기본값으로 설정 하거나 임의로 생성해도 된다)

  아래와 같이 정말 간단한 샘플 코드가 만들어져 나오는데, 간단히 기본 커맨드 화면에 "hello world" 를 뿌려주는 코드다(파이썬 코드의 print("hello world\n") 문이 하나 있다고 보면 된다)

코드 부분만을 분리해 보면 아래와 같다.

  위의 코드 자체에서 바로 살펴봐도 되지만, 그러기에는 뜯어 볼 게 너무 없는 코드이므로, 해당 내용을 모두 지우고 아래와 같이 for 문을 돌면서 Hello World 문구를 4번 입력하는 코드로 대체해 보자. 마지막에는 출력후 커맨드 창이 바로 종료되지 않도록 getchar() 함수를 넣어 사용자가 글자를 하나 입력해야 종료되도록 만들었다.

2.2 정적인 코드 보기

  정적인 분석을 하기 위해서 이제 화면에서 c++ 코드에 해당 하는 어셈블리 코드를 봐보자. 원래는 cl.exe 라는 명령어를 사용해서 컴파일을 해서 보는 방법을 많이 쓰는 거 같은데, 구글을 찾다보니 IDE UI 에서 편하게 볼 수 있는 기능이 있어서 해당 방식으로 보려 한다.

  아래의 그림과 같이 for 문 코드의 왼쪽 공간의 영역에서 마우스 왼쪽 버튼을 클릭해 빨간 브레이크 포인트를 찍는다. 이후 위쪽 Debug 드롭박스 옆의 환경을 64비트 어셈블리 코드를 보기위해서 "x86 -> x64" 로 바꾼다. 이후 그 옆의 "로컬 Windows 디버거" 버튼을 눌러서 디버깅 모드로 들어간다.

  그러면 컴파일 및 빌드가 진행 된 후, 아무것도 표시되지 않는(브레이크 포인트 땜에 아직 for 문이 돌아기지 못했으므로... 피들러에서 브레이크 포인트를 건 것과 비슷하다) CMD 창이 하나 뜨면서, 비주얼 스튜디오 창의 브레이크 포인트를 찍은 for 문 코드에서 멈춰 있게 된다.

  이 후, 해당 for 문 코드 위에서 마우스 오른쪽 버튼을 누르면, "디스어셈블리로 이동" 이라는 메뉴가 보이게 된다. 해당 메뉴를 클릭하면, 탭이 하나더 열리면서 현재 코드에 해당하는 어셈블리 코드가 보이게 된다(마치 브라우저에서 요소검사를 했다고 생각해도 될듯 싶다).

  그럼 위와 같은 처음 보게 된다면, 조금은 암호와 같이 느껴질수 있는 코드가 보여지게 된다. 화면을 보면 코드를 비교해 편하도록 기존 c++ 코드를 흰색 글자로 보여주고, 그에 해당하는 어셈블리 코드를 회색 코드로 보여주고 있다. 어셈블리 코드 쪽을 문법을 보면 크게 3가지의 섹션으로 나누어 지는데, 첫번째 섹션이 메모리 주소(00007FF... 같은거), 두번째 섹션이 명령어(mov, jmp 같은거), 세번째 섹션이 인자(eax)라고 보면 된다.

  컴파일을 하게 되면 0과 1로만 이루어진 기계어로 된 코드가 만들어 지는데 해당 코드가 CPU 쪽으로 전달되게 되어 정해진 명령어들을 수행하면서 컴퓨터가 동작하게 된다. CPU 를 0과 1로 이루어진 코드를 이용해 움직이게 하는 부분이 상상이 안간다면 파이썬 글에서도 추천했던 아래와 같은 책을 한 권 읽어보길 권한다.

• CODE 코드 : 하드웨어와 소프트웨어에 숨어 있는 언어

  그런 0과 1로 된 코드를 보면서 동작을 상상하는 것은, 사람들에게는 낯설기도 하고 코드도 너무 복잡해 져서 하기 힘든 일이기 때문에, 조금 더 CPU 와 상호 작용하는 부분을 동작에 따라 분류해서 사람이 읽기 쉽도록 정리한 언어가 어셈블리어이다. 지금은 일반적으로는 고대어 처럼 취급되긴 하지만, 처음 컴퓨터가 개발됬을 때에는 기계어가 지금의 c 언어 정도이고, 어셈블리어가 자바나, Python, NET 같은 사람에게 가독성과 프로그래밍을 쉽게 하도록 만들어주는 언어 였을 것 같다. 프로그래머들은 아마도 기계어를 안봐도 되는, 어셈블리 언어가 있는게 무척 고마웠을 것이고 말이다. 그런 어셈블리 언어를 다시 한번 감싼게 c, c++ 같은 언어이고, 그 것을 한번 더 추상화 한게, Java 나 Python 같은 언어일 것이다.

  현재는 프로그래밍 분야에서는 컴파일러의 동작을 배우거나, 임베디드 프로그래밍을 하지 않는 이상 어셈블리어를 배울일은 거의 없을 것이다(위키를 보다보니 요즘은 사물인터넷 때문에 작은 하드웨어에 최적화된 프로그래밍을 하기위해서 어셈블리어가 다시 사용이 늘고 있다고는 한다). 파이썬의 numpy 같은 특정 모듈이 성능을 위해 c 언어로 개발됬듯이, 종종 c 프로그램의 성능과 효율성을 높이기 위해서 특정 모듈을 직접 어셈블리어로 개발하는 경우도 있다곤 하지만, 꽤 드문 일일 것같다. 그래서 특정한 분야에 일하지 않고는 해당 언어를 사용하거나 볼 수 있는 기회가 드물다는게 어셈블리어를 배우는데 동기부여가 힘든 부분 중 하나인것 같다. 예를 들면 어떤 사람들에게는 평소에 전혀 안 쓰는 예전의 라틴어 같은 언어를 배우는 거와 비슷한 일이 되버릴 수 있다.

  또한 어셈블리어와 기계어는 1:1 의 매칭이 될테지만, 상위 수준의 언어와는 1 대 多, 또는 多 대 1의 관계가 될 수도 있다. 예를 들면 고 수준 언어로 갈수록 객체 지향 같은 구조적인 프로그램밍이나 코딩의 편의를 위해서 생긴 여러가지 추상적인 요소가 있을 수 있겠지만, 컴파일이 되어 실제 실행을 하는 기계어 코드 입장에서는 그런 사람을 위한 머리 꼬리들은 모두 띄어내고 실행에 필요한 요소들만 코드화 하게 할 것이다. 그렇게 됨으로서 한번 컴파일 된 언어는 다시 돌아갔을때, 원래 언어의 모양 그대로 복원하기 힘들게 되는 일이 생겨버리게 된다(아주 예쁘게 데코한 케잌을 일하면서 한 손으로 효율적으로 먹기위해 꽁꽁 뭉쳐버렸다고 생각해 보자. 원래 모양에 대한 정보가 없기 때문에 완전한 복원은 힘들다--;).

  또 자바나 Python 같은 언어를 사용해 보면 c 같은 언어에 비해서 사용자 코드만 만들면, 나머지 모든 것은 자동으로 연결해 움직이게 해주는 경향이 있다. 그러다 보니 실제 코딩을 한 코드가 빌드 될때, 기계어로 바뀐 후, 여러 미리 만들어진 외부 코드를 링크 하여 사용하기 때문에, 실제 기계어 입장에서 실행되는 코드는 처음 코드보다 몇 배는 부풀려져 있다. 보통 디버거를 돌릴때, 우리가 찾으려는 코드에 닿기 전에, 앞에 OS에서 움직이기 위해서 필요한 여러 코드(또는 디버깅을 방해하기 위한 방어코드)의 숲을 빠져나오는 여러가지 요령을 배우게 된다. 

  IDE 의 Hex-Rays 라는 플러그인을 사용하면 어셈블리어가 좀더 가독성이 높은 c++ 로 보여진다고는 하지만, 밑의 블로그에서 볼수 있듯이, 사람이 만든 변수명 등의 추상적인 정보가 다 기계어 쪽에 남아있진 않기 때문에 복원이라기 보단 어셈블리어가 문법만 c++ 로 보이도록 재구성 했다고 보는게 맞을 듯 싶다. 그리고 어째거나 c++ 도 엄청 잘해야 해당 코드를 잘 볼수 있을 테고 말이다.

[Reversing C++ programs with IDA pro and Hex-rays - ARIS's Blog]

https://blog.0xbadc0de.be/archives/67

  자바같이 여러 환경에서 자바 가상환경만 설치하면 그 위에서 호환되어 돌아가는 언어는, 컴파일을 하면 기계어가 아닌 가상환경에서 해석되는 공통 코드로 만들어지기 때문에 원래의 자바 언어로 디컴파일이 좀더 쉬운 편이다. 하지만 뭐 항상 그렇지만 코드는 점점 복잡해 지고 있고, 해당 언어를 아주 잘하지 않는 이상 남이 만든 코드를 보고 주어진 시간내에 이해하는 건 쉬운일은 아닌 것 같다.

[컴파일러 - 나무위키]

https://namu.wiki/w/%EC%BB%B4%ED%8C%8C%EC%9D%BC%EB%9F%AC

  사족이 길었지만 다음 이야기를 진행하기 전에 프로그램의 리버싱에서 왜 어셈블리어를 사용해야 하는지를 이해하고 넘어갔음 해서 그랬다. 그럼 비주얼 스튜디오에서 만든 코드를 보면서 이미 알고 있는 c++ 코드에 기반해서 어셈블리 코드의 동작방식을 해석해 보자.

  실제 편집창을 보면 저 잘라낸 코드 말고도 전체 코드는 엄청 길지만 앞뒤의 코드는 앞서 말한 "윈도우즈 환경에서, 커맨드 창을 통해서 해당 코드가 실행하기 위한 행사코드(행사 코드는 개발자인 임백준씨의 표현인데 이 경우 적절한 표현같다)" 라고 생각하면 될것 같다.

  다음 부터 나오는 모르는 어셈블리 키워드 들은 구글에서 "어셈블리 eax" 등으로 찾아 퍼즐을 맞춰보면 된다. 코드를 보면 rbp, eax, rcx같은 애들이 나타나는데, 이들은 모두 레지스터를 나타낸다. 레지스터는 CPU 입장에서 보면 프로그램의 변수와 같다. 이 변수들에 메모리에 있는 주소 번지, 숫자들과 잘 조합해서 명령을 실행한다.

  rbp, rcx 같은 경우는 64비트에서만 해당 표현을 볼수 있는 레지스트로 만약 앞에서 x86 으로 드랍박스를 선택했다면 나오지 않을 레지스트 이름이다(x86에서는 ebp, ecx등으로 e 로 시작되게 지칭한다). 앞으로 코드를 보면 알겠지만 64비트에서는 rcx 도 32비트에서의 동급인 레지스트인  ecx 표현으로도 같이 사용한다(코드 흐름상 추측하면 64비트에서는 rcx 사용 공간을 반만 사용하면 ecx 같다). 각 변수들은 미리 잘 쓰는 용도를 정해 놓은 편인데, 그건 어셈블리 코드를 많이 보면서 패턴상에서 감으로 익혀야 될 문제 같다.

   2번째 라인을 보면 "mov  dword ptr [rbp+4],0" 이 있다. 대충 살펴보면 rbp 라는 메모리 스택의 주소를 관리하는 레지스트가 가르키는 스택 위치에 0을 넣는다. 위에서 보면 c++ 코드의 "for (int count = 0; count < 4; count++)" 의 count=0 에 해당하는 주소 같아 보인다. 이후 3번째 줄의 "jmp   main+3Bh (07FF799ED185Bh)" 의 점프(jump=jmp) 명령을 통해 해당 주소인 7번째 줄(07FF799ED185B 주소)의 "cmp   dword ptr [rbp+4],4" 로 간다. 보면 아까 넣어놨던 0을 4와 비교(compare=cmp) 하는 라인이다.

  그 다음 8번째 줄을 보면 "jge main+4Fh (07FF799ED186Fh)" 로 앞 줄에서 비교한 결과가 크거나 같으면 루프를 벗어나 다음 코드(07FF799ED186F 주소 - c++ 코드로 보면 getchar())로 점프하는(jump if great or equal = jge) 코드가 있다. 지금은 0과 4를 비교했기 때문에 당연히 만족이 안 될 것이므로 점프 하지 않고 9번 줄로 넘어 갈것이다.

  9 번째 줄로 가면, 문자열 "Hello World\n" 가 담긴 주소를 rcx 레지스터로 담는다(Load Effective Address = lea). 이후 10번째 줄에서 "call  printf (07FF799ED11D1h)" 를 통해 윈도우즈의 printf api 를 호출해서 화면에 "Hello World" 를 뿌린다. 이후 11번째 줄에서 다시 루프의 시작에서 실행이 안됬던 4번째 줄로 점프한다(jmp  main+33h (07FF799ED1853h)

  4번째 줄을 보면, 아까 스택에 넣었던 0값을 eax 레지스터로 옮긴 후(mov  eax,dword ptr [rbp+4]), 5번째 줄 "(inc  eax)" 에서 1을 증가(increment = inc) 시키고, 6번째 줄에서 다시 1이 더해진 eax 값을 아까는 0이 들어있던 스택 주소로 보내 값을 0->1로 업데이트 한다(mov  dword ptr [rbp+4],eax)

  이후 7번째 줄로 가면 다시 위에서 설명했던 비교 명령을 통해서 1과 4를 비교하게 된다. 이렇게 계속 반복되다보면 스택의 0 값은 0, 1, 2, 3, 4, ... 가 되고, 0~3까지는 계속 Hello World 를 4번 표시하다가 4가 담기면서 4보다 크거나 같다는(jge) 조건을 만족하게 되서, 비로서 루프를 빠져나가서 14번 줄의 "call  qword ptr [__imp_getchar (07FF799EE02F0h)]" 을 통해 getchar() API 를 호출하게 된다. 이후 16번 줄의 "xor  eax,eax" 을 통해(자기자신을 xor 하면 0이 되니까 뭐 대충 c++ 의 "retrun 0" 의 느낌이 난다) retrun 0 을 통해 메인 프로그램 함수를 종료하게 된다. 이렇게 저렇게 꼬인 점프 루프 부분만을 빼면 아래와 같은 그림으로 정리함 어떨까 싶다.

  이렇게 어셈블리 코드를 보게 되면 기존 고수준 언어랑 많이 다르다는 느낌이 든다. 절대 쓰지 말라고 권고하는 점프도 마음것 사용 하고, 무언가 빠른 실행 속도만을 위해 최적화된 코드의 느낌이다.

  그럼 마지막으로 한가지만 더 생각해 보자. 아래와 같이 다른 코드를 그대로 유지하면서, for 문의 2번째 "<" 만 "<=" 로 바꾸면 어떻게 될까?

  유추해 보자면, 어셈블리어에는 jg (jump if greater than)라는 명령어가 있으므로, 기존 코드는 그대로 유지되면서 jge 가 jg 로만 바뀌면 한번 더 루프를 돌게 됨으로서 같아지지 않을까 싶다. 실제 코드를 수정하고 디버그 모드에서 어셈블리 코드를 보면 아래와 같이, jge 가 jg 로만 바뀐 어셈블리 코드가 나온다. 상황에 따라 두꺼운 책을 지루하게 보는 것보다는 이렇게 c 코드와 비교해 가면서 스스로 원본 코드의 난이도를 조정하면서 어셈블리 공부를 하는 것도 나쁘진 않을 것 같다.

2.3 동적으로 보기

  이번에는 여러 리버싱 책에서 하는 것처럼, 디버기를 이용해서 같은 코드(다만 앞에 본것은 디버깅 빌드 버전이고, 이번엔 릴리즈 버전으로 만들어 본다. 디버깅에 필요한 사족이 다 제거된 버전이라고 보면 될 듯 하다)를 봐보자.

  우선 디버깅을 할 exe 파일을 만들어 내보자. 위쪽의 네모난 정지 버튼이나 "Shift+F5" 를 눌러 디버깅을 중지한다. 이후 아까 Debug 상태의 드롭박스를 "Release" 로 바꾸고, "빌드>솔루션 빌드" 명령어를 통해 빌드를 한다.

1>코드를 생성했습니다.
1>ReversingSample.vcxproj -> C:\Python\Code\ReversingSample\x64\Release\ReversingSample.exe

  이제 디버거 프로그램을 다운받도록 해보자. 구글을 찾아보니 요즘은 64비트 환경에서는

x64dbg 라는 프로그램을 많이 쓰는 것 같다. 아래의 페이지에서 zip 파일을 다운로드 받아서 적당한 폴더에 압축 해제 한다.

[x64dbg]

https://x64dbg.com/#start

  이후 release\x64 폴더내에 있는 x64dbg.exe 파일을 실행 시킨다. 디버거 창이 뜨면 "파일 > 열기" 명령어를 통해서 아까 만들어 놓은 C:\Python\code\ReversingSample\x64\Release 폴더에 있는, "ReversingSample.exe" 을 선택한다. 아래와 같이 디버깅이 시작되는 화면이 열린다.

  디버거는 프로그램이 시작되면서 cpu 에서 실행되는 명령어 들에 대해서 어셈블리 레벨에서 가로채서 보여주는 프로그램이다. 그러다 보니 특정 명령어를 찾아 건너 뛰거나, 프로그램에서 사용하는 여러 값을 변경하거나 하는 일을 자유롭게(잘 이해만 한다면) 할수 있다. 앞에서 얘기한 웹에서의 피들러로 조작했던 클라이언트 코드와 비슷하지만, 보다시피 어셈블리와 그 어셈블리와 상호작용하는 시스템 자체의 동작을 이해해야 그것이 가능하기 때문에 자유롭게 구사하기 위해서는 브라우저로 실행 공간을 추상화 시킨 웹보다는, 배우서 익숙해야 할 부분이 더 많이 필요하다고 생각한다. 다만 그 더 많이 필요한 부분은 보안 기술 자체의 난이도 라기 보다는 앞 시간들에서 얘기했던 대상을 이해하기 위한 난이도인것 같다. 어셈블리나 해당 어셈블리가 돌아가는 환경들을 이해하는 부분은 보안의 측면이라기 보다는 기본적인 IT 기술의 이해쪽에 좀 더 가깝다고 본다. 다시 한번 강조하지만 보안 쪽은 대상의 기술적 측면을 이해하지 못한다면 할수 있는 것이 아주 적어진다.

  아까의 비주얼 스튜디오 환경에서는 원하는 코드에 대응하는 어셈블리 코드를 바로 볼수 있었지만(브라우저에서 요소 검사를 통해 해당 코드 위치로 이동한 것과 비슷하다고 볼 수 있다), 실행 파일에서는 우리가 작성한 코드가 실행되기 전에, 윈도우 환경에서 프로그램이 실행되기 위한 여러가지 행사코드들이 먼저 실행 될 것이기 때문에 한줄 한줄을 실행하게 되면 한참을 따라 가야한다. F8(건너서 단계 진행) 같은 키를 눌러 나름 큰 발자국으로 한 단계씩 이동하다가 원하는 코드를 만날 수도 있겠지만, 그러다 보면 원하는 지점을 놓쳐 몇번 시행 착오도 겪을수 있으므로 디버거에는 특정한 문자열이나 명령어, 패턴 등의 어셈블리 코드 요소를 기준으로 원하는 위치를 찾을 수 있게 검색 기능이 제공되어 있다. 해당 코드 화면에서 마우스 오른쪽 버튼을 누르고 "다음을 찾기 > 모든 모듈 > 문자열 참조" 를 선택하면 아래와 같은 프로그램이 가지고 있는 문자열들을 리스팅 하는 화면이 나온다.

  오른쪽 문자열 팬에 보면 우리가 뿌려주는 "hello, world\n" 문자열이 보인다. 해당 항목을 더블 클릭 해보자. 자 그럼 아까 비주얼 스튜디오에서 봤던 코드와 비슷하지만 조금은 모양이 다른 코드가 보이게 된다.

  그럼 한번 코드를 살펴보자. 비주얼 스튜디오와 비슷한 모양이 되도록 16진수 코드가 나오는 중간 부분은 편집해 제거했다.

  뭔가 첨에는 조금 달라 보였지만, 루프 코드를 보면 3번째 라인에서 ebx 레지스터에 5 값을 넣는다(mov ebx,5). 그리고 4, 5번 라인의 앞에서 이미 봐서 익숙한 패턴의 코드를 통해서 "hello world" 를 출력해 준다. 그리고 7번 라인을 보면 rbx(ebx 와 동일한 레지스트의 64비트 이름)에 1씩 빼준다(sub rbx,1). 이후 jne(jump not equal) 가 호출 되어 rbx 가 0인지 체크하여 0일 때까지 다시 5번째 라인인 7FF62C5F1080 주소로 점프하며 프린트를 반복한다.

  결국 실제 릴리즈 되어 실행되는 코드는 아까 디버깅에서 봤던 어셈블리와 모양은 다르지만 하는 일은 같은 등가의 코드라는 것을 알 수 있다.

3. 리버싱에 대해 생각해 보기

  앞의 예제를 통해서 짧게 격투기 선수의 초보 줄넘기 같은 짧은 리버싱 과정을 살펴 봤다. 그럼 다시 근본적인 문제로 돌아가서 왜 우리가 저렇게 귀찮은 과정을 거치면서 리버싱을 해야할까? 가장 큰 이유는 프로그램 소스가 없기 때문이다. 소스가 있는 프로그램을 굳이 리버싱을 하는 것는 KTX 열차 표가 있는데 뛰어서 서울에서 부산까지 가려하는 행동하고 비슷할 것이다.

  보통 리버싱 작업의 유용성을 예로 드는 데 사용하는 악성 코드는 소스를 모르는 채로 시스템을 공격하는 대상이고, 해당 실행 코드의 동작을 예측하고 방지하기 위해서는 내부 동작을 알아야 하기 때문에 궁극적으로는 리버싱 밖에는 방법이 없다(물론 여러가지 정적인이거나 해시 값을 체크하는 등의 히스토리에 기반한 방법도 있겠지만 그 쪽은 운이 좋은 편이라고 봐도 될듯 하다). 물론 악성 코드 분석과 같이 일정한 가상환경에 넣어놓고 동작을 관찰하는 보조적인 방법도 충분히 의미는 있을 것이다.

  리버싱 책을 보면 보면 보통 간단하게 어셈블리 코드의 동작 원리에 대해 설명한 후, 코드에서 원하는 위치를 찾아 로직을 이해하거나, 값이나 기능을 원하는 대로 패치하는 부분을 설명하고, 이후 PE파일의 구조, DLL 인젝션이나, API 후킹, 리버싱을 방해하는 방어수단에 대처하는 방법들을 설명하곤 한다.  그런데 사실 그러한 측면에서의 리버싱은 합법과 불법을 넘나들기도 한다. 같은 기술을 이용하여 타사의 프로그램의 동작 원리를 이해하여, 카피하고자 하는 용도로도 마찬가지로 사용될 수 있기 때문이다. 또한 긍정적인 측면으로는 많은 백신이나, 보안 툴들이 시스템 사용자의 허가(설치와 동의)를 기반으로 시스템을 보호하는데도 사용되며, 반대로 악성코드들은 그런 기술을 이용하여 사용자가 인지 못하는 사이에 동의를 얻어(택배문자를 클릭해 가짜 택배 프로그램을 설치한다던가) 자신을 숨기거나 사용자가 모르는 사이에 사용자의 자료나 행동을 기반으로 나쁜 행동을 벌이곤 한다.

  나아가 파이썬 시간에도 얘기했지만, 프로그램은 혼자서 움직이지 못하는 존재이다. 사용자가 직접 만든 코드 로직은 정말 적은 핵심 부분에 불과하고, 나머지는 타인이 만들어 놓은 모듈을 사용하고 있고, 해당 모듈도 해당 모듈의 언어에서 제공하는 라이브러리나, OS에서 제공하는 API(이것도 마찬가지로 코드라고 볼수 있다)를 사용해 해당 행동을 하게된다. 이 먹이사슬과도 같은 관점에서 보게 되면 여러분이 어셈블리를 잘 이해하고 미지의 프로그램을 잘 이해하려 한다면 해당 프로그램을 구성하는 언어 및 OS 의 API, OS의 동작 원리에 대해 잘 이해해야 한다는 결론이 나오게 된다. "Windows Internal" 같은 OS 동작을 설명하는 책부터, 시스템 프로그래밍 책 들과 같은 부분이 그런 시도의 출발점이 아닐까 생각한다. 좀 더 낮은 레벨에서 시스템을 안전하게 하려고 하면 할 수록, 이러한 평소에는 상위 언어에 감싸여 신경쓰지 못했던 부분들에 익숙해 져야 하는게 어쩔수 없는 면 같다.

  추가로 많은 악성 코드의 같은 경우는 외부와의 통신을 통해서 주요 로직 모듈을 다운 받거나 데이터를 받거나 전달하는 일도 많기 때문에, "통신" 이라는 개념에서 웹이나 다른 소켓 프로토콜과도 연관이 되어 버리게 되는 부분 같다. 그러다 보면 데이터 은닉(data hiding) 이라는 정상적인 것으로 위장해 하는 행동을 숨기려고 하는 쪽과도 주제가 만나게 된다.

4. 다른 측면의 리버싱

  위에는 코드에 기반한 얘기만 했지만, 블랙박스 테스트를 잘하면 화이트박스 기법과는 다른 측면에서 적절하게 주요 코드의 동작을 예측할 수 있고, 자바스크립트를 잘 분석하면 서버 사이드의 로직을 어느 정도 예측할 수 있듯이, 외부에서 관찰을 하여 분석하는 리버싱 영역도 있을것 같다.

  종종 만나는 부분이 게임 커뮤니티 같은데에서 사용자가 여러 실험을 통해서, 데미지 규칙을 유추 한다는지, 하는 부분이다. 사실 이런 부분은 서버 사이드 로직이기 때문에, 클라이언트를 아무리 분석해 봤자, 코드가 없을 테니 알 수가 없다.

["랩이 깡패다" 분석 실험 - 인벤]

http://www.inven.co.kr/board/lineagem/5056/4500

  뭔가 잘 짜여진 시나리오로 이런 반복적인 테스트를 하는 부분은 충분히 다른 측면의 리버싱이기도 하고, 클라이언트의 기반의 리버싱의 한계를 넘을 수 있게 하는 부분이기도 하다. 마치 별의 움직임을 관찰해서 행성들의 움직임의 규칙에 대한 가설을 세우는 일과 비슷하다고 보면 너무 거창한가는 싶지만 말이다.

5. 포렌식 예제 만들어보기

  뭐 예제라고 그러긴 좀 민망하긴 하지만, 포렌식의 측면을 살짝 엿볼수 있는 2개의 예제를 파이썬 코드로 만들어 살펴 보려고 한다.

5.1 특정 파일에 대한 생성, 수정, 접근 시간 보기

   첫번째는 파일의 생성일과 수정일 히스토리를 살펴보려고 한다. 우선 메모장을 열어서 "test" 라고 적고 c:\python\code 폴더에 test.txt 라고 저장한다(create). 이후 다시 해당 파일을 열어 "modify" 라고 다음 줄에 적고 다시 저장을 한다(modify). 이후 다시 해당 파일을 열어서 본다(access). 우리는 파일을 수정해서 저장하면 해당 파일만 남는 다고 생각하지만, NTFS 시스템은 해당 파일에 대해 생성, 수정, 접근에 대한 기록을 저장해 놓는다.

  "test.txt" 파일에 대한 해당 속성을 보기 위해 아래와 같은 파이썬 코드를 생성해 보자.

  내용을 보면 os모듈을 이용해서, 각 속성을 얻어와서 화면에 뿌린다. c:\python\code 폴더에 "UTF-8" 포맷으로 "show_timestamp.py" 라고 저장한다(잘 모르겠으면 파이썬 2교시를 참조). 이후 해당 파일을 실행 한다.

  근데 내용을 보면 이상하게 맨 마지막으로 파일을 열어본 시간이 안 찍히고 있다. 구글을 찾아보면 윈도우즈 7부터 성능을 위해서 파일이나, 디렉토리가 접근되었을때는 해당 정보를 업데이트 안한다고 한다. 이를 수정하기 위해서는 NtfsDisableLastAccessUpdate 레지스트리 키를 0으로 하면 된다고 한다. 뭐 해보고 싶으면 해봐도 좋을듯 싶다.

[Enable last access time - Open Tech Guide 사이트]

https://www.opentechguides.com/how-to/article/windows-10/129/enable-last-access-time.html

5.2 엑셀의 최근 항목을 레지스트리에서 찾아보기

   두 번째는 엑셀의 최근 접근 문서를 찾아보자. 엑셀을 열어보게 되면, 아래와 같이 최근 열었던 문서가 표시된다(오피스 16버전 기준).

  구글을 찾아보면, "HKEY_CURRENT_USER\Software\Microsoft\\Office\16.0\Excel\\File MRU" 경로에 있다고 나온다. 여러 전문적인 포렌식 툴도 있겠지만, 실행 창에서 "regedit" 를 입력하여 레지스트리 편집기를 열어 해당 경로로 이동해 보면, 아래와 같이 엑셀 창에서 봤던 최근 문서들이 키/값 으로 저장되어 있다.

  그대로 끝내긴 좀 그래서, 파이썬으로 해당 레지스트리 키를 가져와서, 최근 문서 값 만을 뿌려주는 코드를 하나 작성했다.

  역시 c:\python\code 폴더에 "UTF-8" 포맷으로 "show_excel_recently.py" 라고 저장 후 실행해 보자. 아래와 같이 원하는 결과가 나온다.

C:\Python\code>python show_excel_recently.py
Item 1: [F00000000][T01D415FA193618D0][O00000000]*C:\Python\code\07교시\result.xlsx
Item 2: [F00000000][T01D37D59BFAC7C70][O00000000]*C:\Backup\code\result2.xlsx
Item 3: [F00000000][T01D37D59BBFEB6B0][O00000000]*C:\Backup\code\result.xlsx

6. 포렌식에 대해 생각해 보기

  예제를 보았으니, 앞의 리버싱 얘기에 연결해서 전혀 다른 분야 같이 보이는 포렌식(forensic)에 대해 생각을 해보자

  포렌식의 가장 기본이 되는 형태는 삭제된 파일을 복구하는 undelete 작업일 것이다. 속도의 문제 때문에 컴퓨터에서 파일을 삭제할때(휴지통에 남기지 않더라도), 시스템에 등록된 파일에 대한 정보 위주로 삭제하고, 실제 파일 내용이 저장된 디스크의 자기 공간 부분은 그대로 남겨두게 된다. 

  왜 전체 내용을 다 지우지 않냐고 생각할 수도 있겠지만, 파일이라는 것은 디스크 내에 0과 1로 저장된 정보의 형태고, 그것을 완전하게 지우기 위해서는 랜덤한 형태로 (여러번) 덮어 씌워야 한다. 그렇다는 것은 몇 기가 정도의 파일을 완전히 삭제하려면 적어도 해당 파일을 디스크 사이에서 복제하는 시간만큼 동일하게 소요되게 된다는 것이다.

  매번 파일을 지울때마다(이건 사용자의 파일도 있을 수 있고, 시스템이 사용하는 파일일 수도 있다) 그렇게 번거로운 작업이 일어난다면 지금의 컴퓨터는 휠씬 더 많이 느려질 것이다(큰 파일 복사를 할때나 큰 용량의 파일을 여러개 다운로드 받을때 컴퓨터가 느려지는 현상을 생각함 될듯 하다). 그래서 파일을 지운 후 딱히 컴퓨터를 더 사용되지 않아 해당 파일이 저장되 있던 디스크 영역이 덮어써 지지만 않는다면, 원래의 파일로 복구가 가능할 가능성이 높게 된다. 물론 삭제를 해도 기존에 저장되었던 잔여 자기장에 기반하여 복구가 가능하다고는 하지만, 현실적으로는 가용 가능한 정보가 얼마나 복구될까는 싶다. 

[소거 프로그램 - 나무위키]

https://namu.wiki/w/%EC%86%8C%EA%B1%B0%20%ED%94%84%EB%A1%9C%EA%B7%B8%EB%9E%A8

  앞의 어셈블리(또는 c++같은 낮은 수준의 프로그래밍 언어) 코드를 보면 알수 있지만, 컴퓨터는 의외로 생각보다 단순한 동작의 반복으로 우리가 보는 이 운영체체와 프로그램의 동작들을 구현한다. 단순하게 본다면 레지스트, 메모리, 디스크에 데이터를 썼다 지우거나 하는게 전부라고 봐도 될지 모른다. 그러한 과정에서 파일 삭제의 경우와 같이 무언가 완전히 덮어지지 않고 디스크 내에 남거나, 운영체제나 어플리케이션 들이 모니터링이나, 디버깅, 사후 추적의 목적으로 사용자 몰래 남기거나, 사용자가 부주의 해서 또는 필요해서 남긴 부분들이 존재하게 될 것이다. 또한 특수한 경우를 빼고는 메모리 상에는 대부분의 보호장치가 풀어지고 실행가능한 코드만 남게 되기 때문에 접근이 가능하다면 의미 있는 정보를 추출하는 것이 가능하다. 이런 부분들에 대해서 살펴보고, 복구하고, 시간의 측면에 따라 재구성 하여 사용자의 행동을 이해하고 증명하는 작업이 포렌식이란 영역이 아닐까 싶다.

  조금 공식적으로 얘기하자면, 그러한 데이터들을 이쪽에서는 아티팩트(artifact) 라고 부르는 것 같은데 그 아티팩트들이 존재할 수 있는 장소는 메모리 상의 여러 요소(실행되는 프로세스, 문서들), 평문으로 저장된 패스워드, 채팅 등 사용자간에 전달되는 데이터, 네트워크 커넥션 로그, MBR , 레지스트리, 로그 및 컨피그 파일, 프로그램 파일, 임시 파일, 데이터 파일, 삭제 후 유지되는 데이터 공간 등이 있을 것이다.

  앞에서 보안은 데이터의 흐름을 따라가는 일이라고 생각한다고 말했었는데, 모든 보안의 분야가 그렇겠지만 포렌식 분야야 말로 데이터에 포커스를 두고 흔적을 따라가는 일이라고 본다. 이상적으로는 데이터가 담긴 메모리, 디스크에 모든 필요한 정보가 담겨있다고 볼수 있지만, 해당 데이터들이 구체적인 사용 주체들과 연결되지 않는다면 0과 1로 만들어진 숫자에서서 쉽게 의미를 찾을 순 없을 것이다. 그렇게 하기 위해 OS 에 따른 디스크 및 메모리의 사용 방식, 프로그램이 동작하는 방식, 사용자가 생각하거나 움직이는 방식(사용자가 생성하는 데이터를 이해하거나, 사용자가 컴퓨터를 사용하는 용도나 스타일에 따라서도 접근이 달라질 수 있다고 본다)까지도 이해할 필요가 있다고 생각한다.

  나아가 명시적이진 않은 어플리케이션의 데이터를 추적하고 찾기 위해서는(역시 앞의 리버싱과 마찬가지로 소스를 모르니까) 앞 단에서 다르게 느껴졌던 리버싱 영역의 스킬들이 필요하게 될 가능성이 높아진다. 여기서에 두 개의 영역이 결국 만나게 된다고 생각하는데, 프로그램이나 운영체제의 행동을 쫓던 리버싱은 대상이 만들어내거나 접근하는 데이터에 관심을 가지게 되고, 데이터를 쫓아가던 포렌식은 데이터를 만들어 내는 프로그램이나 운영체제의 행동에 관심을 가지게 되어버린다. 결국 두 개의 분야의 지식이 만나 상호 작용하며 균형을 이루어야만 각 분야가 완전하게 될수 있는 것 같다.

5. 마무리 하면서 

  처음부터 많이 돌아오긴 했지만 리버싱과 포렌식은 서로 거리가 있는 분야가 아니며 서로의 영역의 지식이 필요한 연결되어 있는 분야라는 얘기를 하고 싶었다. 더 나아가면 보안의 다른 분야에서도 이러한 낮은 레벨의 지식이 필요한 분야가 전체적인 보안의 균형과 응용을 만들어 주는데 꼭 필요하다는 생각을 한다.

  그리고 현실적으로는 포렌식 같은 증명을 하는 작업은 객관적이고 표준적인 방법이 필요하므로(법적으로 증명해야 되는 경우도 점점 더 늘어나고 있을테니), 개인의 특별한 지식 보다는 공인된 기관에서 보안적으로 인증된 툴을 사용하여 증적을 만들어야 하는 경우도 많을 것 같다(회사가 인증이나 감사를 받을 때의 기준을 생각하면 이해가 될 것이다).

  다만 해당 툴의 결과를 올바르게 해석하거나 툴의 한계를 극복하는 부분은 앞의 스캐너 부분에서 얘기한 스캐너와 수동 테스트의 관계와 마찬가지라고 본다. 또 다른 측면에서는 취미나, 새로운 방법론을 연구하거나, 자동화 때처럼 공식적인 툴들이 지원하지 않는 마이너한 영역에 대해서 연구하는 측면도 있을 것 같다. 이렇게 보면 보안은 결국 컴퓨터라는 세상을 이해하는 일인 것 같기도 하다.

  이번 시간에는 자동화에 대해서 얘기하려 한다. 보안은 많은 부분이 자동화를 기반으로 구축되어 있는 분야기도 한것 같긴 하지만, 그러한 부분을 조망하는 얘기를 하려는 것은 아니고, 한 개인의 입장에서 생각 할 수 있는 부분이 어떤가에 대해서 이야기 하려 한다. 

[목차]

1. 보안을 바라보는 방법

2. 보안에서의 코드 읽기

3. 인젝션(Injection) 살펴보기 #1, #2

4. 암복호화

5. 클라이언트 코드

6. 업로드, 다운로드

7. 스크립트 문제

8. API

9. 하드닝(Hardening)
10. 보안 설계 문제
11. 스캐너 vs 수동 테스트

12. 자동화 잡

13. 리버싱과 포렌식

14. 모니터링 문제

15. 악성코드

16. 보안과 데이터

1. 들어가면서

  자동화에 대해서는 이전의 파이썬 글에서도 많이 언급이 된 주제이다. 웹 자동화에 대해서는 8교시 정규표현식, 11교시 웹 페이지 파싱, 12교시 웹 자동화편을 걸쳐서 얘기를 했고, 13교시에서 윈도우즈 자동화를, 14교시에서 작업에 대한 자동화를 이야기 했다. 10교시의 Whois API 이용도 API 를 호출해 자동화 한다는 측면에서 마찬가지이다(마음의 여유가 있다면 이번 시간을 보기전에 해당 글들을 가볍게 보고 왔음 한다)

  파이썬 글에서는 그렇게 나눠 놓긴 했지만, 지금와서 드는 생각은 실제 자동화는 저 부분들이 서로 섞여서 진행되는 것이라는 것이다. 조금 더 나아가면 우리가 프로그래밍 한 줄을 실행하는 시점 부터 자동화를 수행하고 있다고 봐도 될 듯 하다. 지금 이 글을 쓰고있는  컴퓨터 자체나, OS, 브라우저, 엑셀 포토샵, 일러스트레이트 같은 디자인, 편집 프로그램, 매일 재미있게 하고 있는 게임 등도 결국은 자동화의 결정체라고 보는게 맞지 않을까 싶다. 사람은 항상 효율성을 추구하는 방식으로 생각하기 때문에(어쩌면 사회적 훈련의 결과일지는 모르겠지만), 사람이 하는 많은 일들은 점점 성숙이 되다보면 자동화로 귀착되어 버리는 것 같다.

  보안쪽에서 흔히 솔루션이라고 얘기하는 많은 하드웨어(보통 소프트웨어가 기반이긴 하지만)와 소프트웨어도 결국은 보안 업무의 자동화가 구현된 결과라고 볼수 있다. 우리가 당연한게 사용하고 있는 백신이나, 각종 제어 솔루션, 모니터링 시스템, 방화벽, IPS, 여러 회사들의 보안 솔루션들도 결국은 보안적 지식을 자동화 하여(결과적인 판단 부분에서는 아직 사람들이 많이 관여해야 하겠지만) 구현한 결과라고 볼수 있다. 이 부분에 대해서는 파이썬 21교시의 "The five orders of ignorance" 에서 소개한 지식을 담는 매체의 관점으로 이해하면 어떨까 싶다.

2. 보안에서의 자동화 

  맨 처음 부분에서 "한 개인의 입장에서"라고 범위를 좁혀놓은 이유는 이젠 보안 쪽에 있는 많은 자동화의 부분이 개인이 감당하기에는 범위 및 정보가 너무 커졌다고 생각하기 때문이다. 백신 같은 분야만 봐도 예전에는 한명의 개인이 만들어 유지보수가 가능한 부분이였다면, 현재는 수많은 사람들이 해당 회사에 속해서 24시간 돌아가면서 새로운 악성코드 들에 대응을 해야되는 분야가 된것 같다. 또한 백신이 최신의 악성코드 공격을 따라기기 위해서 수집 해야하는 다양한 데이터의 양도 이제 한 개인이 수집하기 에는 너무 다양한 환경과 분석해야 될 데이터의 양이 존재한다(데이터를 준다해도 저장한 서버를 살 돈이 없어서라도 못할듯 싶다--;). 백신 회사들이 개인에게는 대부분 무료 백신을 제공하는 부분도 점유율을 높인다거나, 위험한 PC 들이 너무 늘어나게 되는 것을 기본적으로 방지하는 목적도 있겠지만, 다양한 사용자들의 환경과 그곳에서 발견되는 악성코드를 수집하기 위한 목적도 큰 부분을 차지할 것 같다. 그렇게 보면 세상에 공짜는 없어 보인다. 

  이러한 부분은 네트워크, 스캐너, 디비 접근 제어 및 모니터링, 매체제어 솔루션, 패치 등의 관리도 그렇고, 포렌식이나 리버싱 툴도 마찬가지인것 같다. 이젠 작은 개인이 이러한 부분에 대해서 무언가 의미있는 성과를 내기에는 관련된 환경과 데이터가 감당할 수준을 넘어버렸고 ROI와 계속적인 유지보수 측면에서 어려운 시기가 된것 같다. 또한 만들어 놓은 부분에 대해서 잘 동작하느냐를 증명하는 QA 부분도 더더욱 해당 부분을 어렵게 만든다. 또한 필요한 기술의 광범위 함도 한 몫 한다.

  예로서 만약 디비 접근 모니터링 솔루션을 만들고 싶다면 여러 데이터베이스의 통신 패킷들을 파싱하고 원하는 값들을 뽑을 수 있어야 한다. 물론 현재에 딱 맞는 오픈 라이브러리가 있을지는 모르지만 그 라이브러리가 적용 후, 새로운 데이터베이스 버전이 나왔을 때 더이상 업데이트가 안된다면 어떻게 하겠는가?(다른 많이 사용되는 오픈소스 라이브러리들도 마찬가지라고 생각될지 모르지만, 수많은 사람에게 필요한 데이터베이스에 쿼리를 날리는 범용의 목적을 가진 라이브러리와, 데이터베이스 패킷을 파싱하는 특수한 라이브러리는 유지보수가 계속 될 확률이 많이 차이가 난다고 본다). 물론 커다란 인력 풀을 가진 회사들에게는 직접 개발 및 유지보수에 대한 제약이 적을지는 모르겠지만, 일반적으로는 성숙된 분야의 툴을 스스로 만드는 것은 힘든 부분 같다.

  그렇다면 작은 개인은 무엇을 자동화 해야할까? 이 부분은 틈새 시장이라는 표현으로 생각함 어떨까 싶다. 아직 변동성이 크거나 시장성이 없어서 정식의 외부 솔루션들이 개발되지 않거나, 솔루션이 있더라도 많은 투자를 하지 않아서 어설픈 분야들이 있다. 또는 솔루션을 들여놓기에는 너무 부담이 되서 부족하게 나마 유사한 효과를 가진 프로그램을 만들고 싶을 때도 있을 것이다. 또는 솔루션의 기능이 부족해서, 뭔가 추가적인 보충을 해보고 싶을 때, 솔루션 개발사나 오픈 소스에서는 보통 해당 부분의 개선이 여러 이유로 쉽지가 않다(수많은 요청을 하나하나 들어주다가는 수 백개의 유지해야할 소스 트리가 생길 수도 있다). 아님 최악의 경우 예산이 없어서 몸으로 때울 수는 없고 비슷하게 라도 만들어 땜빵을 해야 할지도 모르겠다.

  또 다른 측면에서는 일상의 모든일이 해당된다고 봐도 괜찮을 듯 싶다. 엑셀 작업을 돕는 수많은 매크로 및 함수들이 있듯이, 파이썬 같은 간편한 언어를 가지고 일상의 작은 일들을 자동화 하는 것도 괜찮아 보인다.  처음부터 거창한 무언가를 만들려 하는 것보다는 이러한 작은 조각 조각들을 구현 하다보면, 언제가 꽤 큰 퍼즐에 대해서도 그 동안 모은 조각들을 기반으로 처음 생각보다 어렵지 않게 만들어 낼 수도 있다. 개인적으로 생각하기엔 이런 접근이 프로그램을 주 직업이 아닌 보조 기술로 접근하는 사람들에게는 현실적일 듯도 싶다.

  예를 들어 데이터베이스의 모든 테이블에 대해서 특정 쿼리를 날려서 원하는 정보를 가져오는 일을 해야 하는 경우, 쿼리 분석기에서 일일히 쿼리를 만들어낼 수도 있겠지만(SQL 이나 텍스트 편집기들을 잘 쓰는 사람들은 여러 팁을 통해서 모든 테이블에 대한 쿼리를 일괄로 만들어 낼수도 있긴 하겠지만), 파이썬으로 데이터베이스에서 테이블 목록을 얻어낸 후, 적당히 조건에 맞는 문법과 조합하여 쿼리를 만든 후, 각각의 쿼리로 조회하여 결과를 엑셀 등에 정리하면 좀더 편할 것이다. 추가로 해당 작업이 매일매일 일어나거나, 쿼리가 자주 특정 패턴으로 변경 되거나, 대량으로 일어난다면 시간을 아끼게 된다고 느껴 매우 만족하게 될 수도 있다.

  여러 오픈 소스로 제공되는 대시보드 같은 프로그램 들도 결국은 이러한 자동화에 대한 장벽을 해당 분야에 익숙한 전문가들이 낮춰주려 하는 노력인것 같다. 그렇게 보면 Redis 나 Elastic Search 같은 데이터베이스도 키, 값을 쉽고, 효율적으로 저장하게 해주는 많은 노력들이 자동화의 산물로 만들어져 제공 된다고 보면 된다. 파이썬 같은 프로그래밍 언어나 거기에 속해져 전세계 사람들에 의해 무료로 개발되어 제공되고 있는 모듈들도 마찬가지 인것 같다. 우리 중 일부는 가끔 자동화의 1차 생산자가 되기도 하지만, 대부분의 사람들은 2차 생산자나 3차 생산자인 경우가 많은 것 같다.

  이렇게 보면 특정 분야의 자동화라는 말은 별 의미는 없는것 같기도 하다. 적용되는 형태는 다를지 몰라도, 적용되는 기술의 배경은 많은 부분들이 서로 겹치게 되는 것 같다. 결국은 자동화는 프로그래밍 또는 프로그래밍으로 감싸진 좀더 사용자 친화적인 2차 기술 들을 이용하여 일을 하는 방식 같다.

3. 자동화 예제 구현해 보기 - 데이터베이스에서 개인정보 찾기

  보안 쪽에서 가장 많이 쓰인다고 생각되는 자동화 프로그래밍 요소중 하나는 패턴에 대한 해석인것 같다. 그 중에서도 으뜸은 파이썬 8교시에 얘기한 정규 표현식 이라고 본다. 나중에 얘기할 모니터링과도 연결될 내용이긴 하지만, 결국 데이터를 기반으로 모든걸 자동으로 검사할 수 밖에 없기 때문에, 결국 통계든 Raw 데이터 자체든 패턴을 찾아야 한다. 물론 특정한 데이터베이스 안의 숫자의 변화를 체크하는 경우도 있긴 하겠지만, 그 숫자가 만들어지는 배경을 살펴 보게 되면 특정한 조건이 발생할때 쌓이는 경우라고 볼 수 있고, 그런 특정한 조건이 주어지는 상황 또한 패턴이라고 볼수 있다고 본다.

  여하튼 현재 보여줄 예제는 데이터베이스 안의 모든 테이블에 대해서 10건씩 데이터를 조회해서, 모든 컬럼에서 개인정보를 검사한 후, 결과를 반환하는 프로그램이다.

1) 데이터베이스내의 테이블을 가져오는 쿼리는 구글에서 "mssql get tables" 로 조회해 얻었다.

2) 기본적으로 테이블에 조회 쿼리를 만들고 행을 가져오는 부분은 파이썬 7교시의 내용을 pyodbc 모듈을 사용하는 것으로 변환해 적절히 만들었다(책에는 pyodbc 로 진행되게 됬어서 해당 샘플을 가져왔다). 예전 댓글이 생각나서 가능한 인자가 호출되는 부분은 parameterized query 로 만들었긴 했는데, 사실 어플리케이션 관점에서 보면 작업의 시작인 테이블 리스트를 가져오는 함수에 인자 자체가 없고, 테이블 이름이나, 컬럼 이름은 데이터베이스 내부에서 가져온 값이기 때문에 조작 가능성은 거의 없다고 봐도 될듯하다.

3) 개인정보 패턴을 찾는 정규 표현식은 구글에서 찾다가 행정 자치부에서 배포한 "홈페이지 개인정보 노출 가이드라인"의 83페이지를 참조했다(개인적으로 언어별로 최신 패턴으로 유지보수 되는 라이브러리를 제공하면 더 좋을 것 같다).

https://www.privacy.go.kr/nns/ntc/selectBoardArticle.do?nttId=5952

4) 마지막으로 어떻게 테이블, 컬럼, 10개 행을 어떤 자료구조에 넣어서 적절히 루프를 돌리면서 개인정보를 찾은 후 결과를 정리할 수 있을까 생각하다보니, Pandas의 Dataframe 을 사용하면 어떨까 싶었다. 개인적으로 dataframe 은 메모리에 떠있는 디비라고 생각하며 사용하고 있는데, 파이썬에서 간단하게 세로 열을 순서대로 가져와 검사할 수 있기 때문이다(예: A 테이블의 10개 행 중에 메모 컬럼에 해당하는 10개 데이터). 왠지 RDB 에서 가져온 결과를 담은 결과 리스트를 인덱스를 통해 조작하는 것보다는, openpyxl 같은 엑셀 형태의 객체나 pandas 같은 데에 넣는 것이 좀 더 편하게 원하는 값을 선택을 할 수 있을 것 같았다.

  위에 얘기한 것을 그림으로 정리하면 아래와 같다. 

  코드를 보기전에 개인정보가 담긴 테이블이 있어야 결과가 나올 것이기 때문에, 우선 MSSQL Management Studio 를 실행하여 기존 데이터베이스에 테이블을 2개 추가하고 데이터를 넣자)쿼리를 실행할 줄 모른다면 3교시를 다시 참고한다)

  테이블을 생성하고 조회하면 아래와 같이 조회 데이터가 나온다. 내용을 보게 되면 Secret_A 테이블에는 2개의 행에 모두 핸드폰 번호가 있고, Secret_B 테이블에는 1개의 핸드폰 번호가 있다. 파이썬과 보안 글을 모두 실습했다면 이 두개의 테이블을 포함해 7개의 잡다한 테이블이 있을 것이다. 

  그럼 파이썬으로 만든 코드를 봐보자. 위에 그린 그림과 비슷하게 get_table_names 함수에서 테이블 이름들을 가져오고, get_column_names, make_column_query 함수를 이용해 make_dataframe 함수가 데이터베이스에서 조회한 내용을 dataframe 에 담는다. 이후 check_personal_pattern 를 이용해 각 컬럼별 데이터들에 대해서 루프를 돌리면서 개인정보를 찾아 반환한다.

  c:\python\code 폴더에 인코딩은 UTF-8 로 해서 dbsearch.py 란 이름으로 저장 후 실행해 본다.

c:\Python\code>python dbsearch.py
[supermarket]
[order_record]
[escape_test]
[play]
[sms_cert]
[Secret_A]
['Secret_A', 'MobileTel', '핸드폰번호', '010-1111-2222 / 010-3333-4444']
[Secret_B]
['Secret_B', 'Memo', '핸드폰번호', '011-1234-5678']

  결과를 보면 개인정보 패턴이 없는 위의 supermarket 같은 테이블들은 그냥 넘어갔고, 개인정보가 들어있는 Secret_A, B 테이블에서만 개인정보를 찾아서 결과를 보여준다.

4. POC 이상의 것

  위의 코드는 어찌보면 POC(Proof of Concept) 레벨이라고 볼수 있다. 실제 환경에서는 몇가지 추가적인 확장점들이 필요하다.

  첫 째, 위에는 핸드폰 번호 하나밖에 없지만, 여러 개인정보 패턴을 넣도록 해야한다. 가이드에서 제시된 패턴이 실제 필드의 환경에 맞는 적절한 패턴인지도 검증도 해야된다. 특정 필드에서 쓰는 개인정보 패턴은 가이드에도 없을 수 있으므로, 정규 표현식으로 찾을 수 있는지 고민하고 구현을 해야할지도 모른다. 다른 개인정보 패턴을 넣게 되면 핸드폰 패턴을 검사하는 코드가 아마 더 복잡하게 되어버리게 될것 이다. 추가로 파이썬에서 쓰는 정규표현식 표현으로 일부 조정해야할지도 모른다.

  둘 째, 범위의 확장도 해야된다. 지금은 데이터베이스 하나밖에 없다고 가정하지만, 수많은 서버가 있고 해당 서버내에 데이터베이스가 복수개 있다면, 서버 목록을 관리하고, 해당 서버에서 데이터베이스를 찾는 부분이 확장되서 만들어져야 한다.

  셋 째, 아마 실제 필드에서 위의 프로그램을 돌리게 되면 수많은 false postive 들이 나올 것이다. 해당 부분이 패턴으로 찾는 방식의 맹점중 하나인데 그러한 부분들을 감소시켜 최종적으로 봐야할 데이터를 줄이는 여러 노력들이 필요하다. 안전한 컬럼명의 제외라든지, 특정 패턴의 예외라든지, 패턴들의 통계적 분포 라든지 등등, 패턴이 찾았지만 실제 개인정보가 아닌 데이터들을 자동으로 예외처리하는 여러가지 로직이 있어야 해당 툴을 사용하는 사람이 현실적으로 스트레스를 안 받고 유용하게 쓸수 있게 된다.

  넷 째, 결과를 어떻게 관리하고 보여줄지도 고민해 봐야 된다. 엑셀로 담을지 데이터 베이스로 담아 웹 페이지에서 관리하게 할지 등등, 히스토리나 결과에 대한 관리 및 검증에 대해서도 생각해 보면 좋을 것이다.

  다섯 째, 오라클, MySQL 같은 RDB 라면 위의 MSSQL 에 대한 코드를 비슷하게 수정해 쓸 수 있겠지만, Redis, MongoDB 같은 NoSQL 데이터베이스라면 앞의 데이터를 가져와 개인정보 검출 함수에 던지는 부분에 대한 정리를 해당 데이터베이스의 형태에 맞게 고민해 봐야한다. 쿼리 형태도 다를 뿐아니라, 넘어오는 데이터도 Json 베이스의 키, 값 데이터가 여러 깊이로 쌓여있는 경우가 많기 때문에 어떻게 파싱을 해야할지도 고민해야 한다. 또한 위의 테이블, 컬럼, 값에 대한 개념에 NoSQL 데이터베이스의 요소들을 어떻게 매칭 시킬지, 아니면 분리해 다룰지를 고민해야 한다. 인코딩, 디코딩에 관련된 데이터 깨짐 문제도 발생해 해결해야 할 수 있다.

  여섯 째, 검사해야 되는 대상자체를 유사도에 따라서 제외해야 할수도 있다. Elestic Search 의 날짜 별로 쌓이는 인덱스 라든지, Redis 의 캐시 성격의 키 같은 경우는 모든 것을 검사안하고 샘플링 하여 검사하는게 현실적일 수도 있다.

  일곱 째, 만들어진 프로그램에 대해서 어떻게 동작을 보장할 수 있을지에 대해서 검증 계획도 세워야 한다. 버그가 있을지도 모르는 프로그램이라면 안심하고 있다 뒷통수를 맞게 되거나, 프로그램의 효과를 자신하기 힘들게 된다.

  이렇게 열거하고 보면 할일이 엄청 많이 보이지만, 기본이 되는 POC코드가 만들어 졌으므로 하나하나 살을 붙여 보는 것도 꽤 재밌는 과정이 되리라 생각한다. 파이썬 글에서 얘기했던 여러 잡다한 주제들이 이런 과정에서 다들 현실화가 되서 하나의 툴로 동작하게 되는 것을 볼 수 있을지도 모른다.

5. 마무리 하면서

  자동화라는 망망한 바다 같은 주제를 짧은 예제하나로 요약해 소개해 좀 그렇긴 하지만, 앞에서 얘기했듯이 프로그래밍 자체가 자동화 이고, 이전 파이썬 글들도 결국은 자동화에 대해서 얘기한 것이라고 봐도 될듯 하다. 무언가 대단한 결과를 꿈꾸기 보다는 자신 주변에 있는 작은 자동화 요소들을 찾아서 조금씩 연습을 하면서 자동화의 씨앗을 키워보는게 어떨까 싶다. 

  이번 시간에는 보안 쪽에서 백신 프로그램 만큼 자주 볼수 있는 스캐너(Scanner)에 대해서 이야기 하고, 사람이 직접 수행하는 수동 테스트(Penetration Test)에 비해 어떤 측면에서 장점이 있고, 어떤 측면에서 단점이 있는지를 살펴 보려 한다. 그렇게 함으로써 사람으로서 잘 할 수 있는 테스트가 무엇일지 생각해 보는 시간이 될 수도 있을 것 같다.

[목차]

1. 보안을 바라보는 방법

2. 보안에서의 코드 읽기

3. 인젝션(Injection) 살펴보기 #1, #2

4. 암복호화

5. 클라이언트 코드

6. 업로드, 다운로드

7. 스크립트 문제

8. API

9. 하드닝(Hardening)
10. 보안 설계 문제
11. 스캐너 vs 수동 테스트

12. 자동화 잡

13. 리버싱과 포렌식

14. 모니터링 문제

15. 악성코드

16. 보안과 데이터

1. 들어가면서

  스캐너는 무언가를 쭉 훝어 가면서 필요한 정보를 체크하는 이미지가 있다. 해당 정보는 문자 인식등에 필요한 글자 영역(광학 스캐너)일 수도 있고, 이상한 징후가 보이는 위치(공항 수하물 스캐너)일수도 있다. 보안 쪽에서 많이 쓰이는 스캐너들 또한 비슷한 역활을 한다. 웹페이지나 서버 등을 스캔하면서 이상하게 열린 포트는 없는지, 알려진 취약점 들이 없는지 체크를 하고 리포팅을 한다.

  이런 이상적인 관점으로 봤을 때엔 스캐너를 사용하면 모든 문제가 해결될 것처럼 생각되지만, 현실상으로는 많은 부분에서 제약이 있을 수 있다. 이번 장에서는 github에 공개된 간단한 스캐너 프로그램을 기준으로 스캐너 엔진의 기본적인 동작 원리를 이해하고, 여러 상용, 비상용 스캐너들을 어떤 관점에서 접근하면 좋은지에 대한 이야기를 하려한다. 

2. 공개된 스캐너 돌려보기

  처음엔 Acunetix 같은 상용 웹 스캐너의 트라이얼 버전으로 얘기를 풀어볼까도 했는데, 그렇게 되면 메인 주제를 벗어나 세팅 등 너무 설명할 부분이 많아질 것 같은 생각이 들었다. 또 아래 OWASP 의 정리된 페이즈를 보면 알겠지만, 윈도우즈 환경의 무료 스캐너 툴은 거의 없다고 봐도 될듯 싶다. 윈도우, 리눅스 양쪽을 지원한다고 했던 툴도 몇 개 다운로드 받아봤는데, 점점 리눅스 쪽만을 정식으로 지원하는 분위기로 가는 듯 싶다.

[Vulnerability Scanning Tools - OWASP]

https://www.owasp.org/index.php/Category:Vulnerability_Scanning_Tools

  그래서 "python 3 web scanner" 같은 키워드로 이리저리 찾다가 보니, 아래의 github 에 올려진 웹 스캐너가 괜찮아 보였다. 물론 상용 스캐너에 비해서는 좀 많이 어설프고(이 부분은 소스를 살펴보면서 얘기할까 싶다), 2017년 후에는 전혀 업데이트가 전혀 되지 않아 개선할 점이 많아보이는 소스이긴 하지만, 그 덕분에 소스가 복잡하지 않아 대략 전체적인 구조의 흐름을 따라갈 수 있을 것 같고 해서, 해당 스캐너를 다운받아 현재 진행 중인 파이썬 3.6.4 버전에 맞춰 고쳐서 실행해 보려고 한다.

[simple web scanner - lotusirous 님 github] 

https://github.com/lotusirous/simple-web-scanner

2.1 다운로드와 압축 풀기

  우선 해당 github 의 오른쪽에 있는 "Clone or download" 버튼을 클릭 한 후, "Download ZIP" 버튼을 클릭하여 zip 파일을 c:\Python\Code 폴더에 다운 받는다.  

   이후 바로 압축을 풀면 c:\Python\code 밑에 아래와 같은 폴더 구조가 될 것이다.

2.2 소스 조정 하기

  3.6.4 환경에서 돌려보니 에러가 나는 부분이 있어서, 소스를 조금 수정해야 한다.

  첫번째로 parser.py 이름이 파이썬 내부 모듈과 이름 충돌이 나서 HtmlParser 를 못찾는다고 나오는거 같으니, 파일 이름을 parser_x.py 라고 변경 한다.

  다음으로 해당 모듈을 불러오는 파일들도 같이 수정해야 한다. 우선 "xss_scanner.py" 와 "crawler.py" 파일을 열어, 처음에 모듈을 읽는 문장인 "from parser import HtmlParser" 문장을 "from parser_x import HtmlParser" 로 수정한다.

  이후 "scanner_core.py" 파일을 열어 import 문 아래에 "from urllib.error import URLError, HTTPError" 를 추가한다(돌릴 때 HTTPError 가 정의 안됬다는 에러가 났다).

2.3 샘플 사이트 만들기

  이제 스캔 대상이 되는 사이트가 있어야 하는데, 3교시에 사용한 인젝션 페이지를 쓰면 될거 같은데, 이 스캐너가 몇가지 구조상 제약(개발이나 도메인 특성 반영이 덜 된 부분)이 있다.

  일단 처음에 HREF 태그를 기준으로 링크들을 크롤링 해서 가져오는데(상용 스캐너들은 이 스캐너와 달리 자바스크립트로 이루어진 동적인 링크 등도 모두 파싱해 가져온다), 테스트 할 페이지의 인자들을 리스트업 할때, Form 내의 값이나 헤더 값 등이 아닌, GET 으로 날라가는 인자(예: test.asp?name=tom) 를 기준으로 파싱한다. 그래서 "http://localhost/injection_test.asp" 식으로 링크 경로를 주게 되면, 페이지는 인지하지만, 따로 인자가 없다고 판단에 인자에 대한 스캐닝을 하지 않고 그냥 스캐닝이 종료되어 버린다.

  그래서 부득이하게 샘플 페이지를 스캐너에 맞추는 작업을 하려 한다. 3교시의 파일을 실습 했다는 가정하에(injection__test.asp 가 있다는 가정하에), c:\inetpub\wwwroot 에 ANSI 인코딩으로 "web_main.asp" 페이지를 하나 만든다. 해당 페이지는 크롤링시 injection_test.asp 페이지를 인지시키기 위해서 인자를 포함한 href 링크 하나만 달랑 가지고 있는 아래와 같은 페이지 이다.

2.4 스캐너 소스 구조 설명

  일단 다른 사람이 만든 소스긴 하지만^^, 돌리기 전에 스캐너 구조에 대해서 이해는 하기위해 간단히 도표를 통해 설명하려 한다.

  전체적인 구조는 위의 그림과 같다고 보면 된다. 기능이 작은 쪽부터, 큰 쪽으로 보는게 날거라고 보는데, xss_vectors.txt, sqli_vectors.txt 파일을 보면 정말 간단하지만 XSS 취약점과, SQL Injection 취약점을 체크할 수 있는 몇 개의 인자 패턴들이 정의되어 있다(한번 열어서 내용을 보자). parser_x.py 는 페이지 소스에서 HREF 태그를 파싱하거나, <script> 태그 안의 내용을 가져오는 라이브러리로 크롤링이나 결과 판단시 사용된다.

  앞에 얘기한 2개의 txt 파일을 읽는 xss, sqli_scanner.py 파일에서는 txt 파일의 패턴을 가져다가 주어진 URL 뒤에 인자로 결합하는 작업을 하거나, 결과 값에서 공격이 맞다고 하는 패턴을 찾는 역활을 한다.

  Crawler.py 파일이 처음 명령어로 주어진 시작 URL 에서 유효한 링크들을 찾는 역활을 하며(확실친 않지만 depth 는 하나만 들어가는 걸로 보인다), 이후 scanner_core.py 파일에서 앞에 설명했던 기능들을 조합해 URL 에 공격 인자를 넣어 던진 후, 결과 페이지에서 해당 공격이 유효한지 소스 기반으로 체크하고 유효할 경우 결과를 화면에 뿌려준다.

2.5 스캐너 돌려보기

  그럼 스캐너를 함 돌려보자. 단순히 스캐너만 돌려서 결과를 보는 것은 큰 의미가 없고, 실제 어떤 요청들이 날라가는지를 함께 보려고 한다. 대량 건이라면 IIS 로그를 남겨서도 확인 할 수 있지만, 몇 건 안날아 갈거기 때문에 피들러를 켜서 보려 한다.

  우선 필요한 모듈을 설치하자. 설명서에 나온것에 추가해 html5lib 하나를 더 설치해야 한다.

c:\Python\code\simple-web-scanner-master>pip install bs4

c:\Python\code\simple-web-scanner-master>pip install html5lib

  피들러를 실행 후, 아래와 같이 xss 테스트를 하는 명령어를 넣어보자.

c:\Python\code\simple-web-scanner-master>python scan_cli.py --seedurl http://localhost/web_main.asp --engine xss
SELECTED xss engine
Crawl:  http://localhost/web_main.asp
Crawl:  http://localhost/injection_test.asp?txtBuyerID=tom
http://localhost/injection_test.asp?txtBuyerID=tom HTTP Error 500: Internal Server Error
http://localhost/injection_test.asp?txtBuyerID=tom HTTP Error 500: Internal Server Error

 !! REPORT !!
http://localhost/injection_test.asp?txtBuyerID=<script>alert("XSS")</script>

  결과를 보면 web_main.asp 에서 injection_test.asp 페이지를 크롤링 해서 가져오고, 뒤의 인자를 기준으로 공격할 포인트를 찾는다(앞에도 얘기했지만 원래는 페이지 자체를 분석해서 폼이나 AJAX 방식의 공격 인자들을 하나하나 찾는게 정석이다). 이후 공격 패턴(보통 고급스럽게 페이로드-payload 라고 많이 불린다)들을 하나하나 조합해서 보내면서, 결과의 script 태그 안에 XSS 라는 공격이 성공했다는 시그니쳐가 있는지 찾는다(xss_scanner.py).

  피들러로 보게 되면 아래와 같다.

2.6 스캐너 구조에 대한 문제 생각해 보기 

  자 여기서 스캐너가 잘 돌아가는거 같다고 덜컥 쓰는건 아마추어가 할 행동이다(물론 상용 스캐너인 경우는 프로인 사람들이 만들었기 때문에 스캐너 자체를 의심하기 보다는, 뒤에 얘기할 옵션들과 필터들을 잘 조정하는게 맞다)

  여기서 한번 생각해 봐야할 문제는 만약 원래 페이지의 스크립트 태크안에 "XSS" 라는 문구가 있다면 오탐이 나올 수가 있다는 것이다. 보통 그래서 시그니쳐는 우연히 겹치기 힘든 기괴한 문자열 일수록 더 좋긴 하다. "False Positive(진짜라고 하지만 실제 아닌 것)"가 생기는 문제가 된다.

  한발 더 나아가, 위의 필터 중 나머지 하나인 sql injection 을 테스트하는  필터를 돌려서 다른 문제를 봐보자.

c:\Python\code\simple-web-scanner-master>python scan_cli.py --seedurl http://localhost/web_main.asp --engine sqli
SELECTED sqli engine
Crawl:  http://localhost/web_main.asp
Crawl:  http://localhost/injection_test.asp?txtBuyerID=tom
http://localhost/injection_test.asp?txtBuyerID=tom HTTP Error 500: Internal Server Error
http://localhost/injection_test.asp?txtBuyerID=tom HTTP Error 500: Internal Server Error

 !! REPORT !!

  문제가 없다고 나온다. 그런데 해당 페이지는 사실 예전에 SQL Injection 을 시연하기 위해 만들었던 페이지므로 SQL Injection 이 있을 수는 없다. 그럼 왜 일까? 실제 해당 페이지를 열어 홑따옴표(') 를 넣어보면 아래와 같은 에러 페이지가 나온다.

  해당 원인은 sqli_scanner.py 페이지를 보면 알 수 있다. 거기 정의된 SQL Injection 을 판단하는 시그니처는 아래 3가지 이다.

'SQL syntax', 'MySQL server', 'mysql_num_row',

  위의 에러 페이지에는 해당 문구가 포함되지 않기 때문에 안 나나 싶다면, 페이지에 나타난 "SQL Server 오류" 같은 시그니처를 하나 더 추가해 볼수도 있겠지만, 피들러로 호출된 내용을 보게 되면 근본적인 문제는 현재 페이지는 SQL Injection 이 나게 되면 500(Internal Server Error) 에러가 나게 되는데, 현재 해당 웹 스캐너의 코드(scanner_core.py 의 analyze 메서드)를 보면 에러가 나면 그냥 화면에 출력을 하고 멈춰 버린다(False Negative-괜찮다 하지만 실제 안괜찮은 것).

  이 경우는 아래와 같은 코드에서 에러가 난 경우에도 에러 상세 결과를 변수로 받아서 시그니처를 찾아보거나(해당 페이지에서 사용한 urllib 이 에러시에도 결과를 얻을 수 있는지는 고민해 봐야한다. 최악의 경우 사용하는 라이브러리를 다른 걸로 교체해야 될수도 있다), 그게 안된다면 차라리 500 에러가 났을 때 SQL Injection 이라고 판단하는게 좀더 합리적이지 않을까 싶다. 

  마지막으로 해당 SQL Injection 의 시그니처를 만나게 되려면 에러가 발생시 데이터베이스 오류에 대한 자세한 에러 페이지를 보여줘야 한다. 에러시 공통 에러 페이지로 가게 되다면 안전하다고 판단 하는 오류를 가지게 된다(물론 SQL Injection 도 처리 안된 사이트라면 저렇게 라이브한 에러가 날 가능성도 높긴하지만 --;)

3. 상용 툴(또는 사람들이 많이 쓰는 오픈소스)과의 비교

  위의 간략한 POC 개념의 스캐너를 기준으로 상용툴과 비교하는 것은 좀 그렇긴 하지만, 어차피 상용툴도 첨에 이렇게 작은 프로그램 으로부터 시작되어 왔을꺼기 때문에 한번 비교를 해보자. 개인적으로 사용해 본 Aucnetix 를 기준으로 말해 보지만, 사용한지 몇년이 지났기도 하고, 툴마다 장단점들도 서로 있긴 한테니 참고만 하길 바란다. 

[Acunetix 페이지]

https://www.acunetix.com/ordering/ 

3.1 크롤링 측면 

  우선 크롤링 측면을 보자. 페이지 안의 링크에 걸린 페이지를 무조건 따라가는 것은 조금 위험한 측면이 있다. 사이트 외부로 링크가 나가게 되면, 외부 페이지의 링크를 다시 추적하게 되는 과정에서 과장한다면 www 전체를 돌아다닐 수도 있게 된다. 보통 스캐닝 툴에선 크롤링 시 따라가는 도메인의 제한과, 처음 페이지에서 들어가는 깊이의 제한으로 이슈를 풀어가는 듯 싶다. 

  또한 앞에서 얘기한 스크립트 기반으로 동적으로 생성이 되는 링크(폼 버튼을 누를 때의 validation 후  전송하는 스크립트 라든지),  AJAX 기반의 기능 호출의 경우는 단순히 HREF 만을 파싱해서는 찾아낼 수 있다. 좀더 자바스크립트 문법을 이해하는 정교한 크롤링 코드가 필요할 듯 싶다. 

3.2 스캐닝 측면 

  다음은 스캐닝 측면이다.

  첫 째, 스캐닝 측면에서는 차원의 축소 문제가 있다. 보통 큰 페이지에서는 인자로 취급될 수 있는 form 값이나, http header 값들이 수백개가 되는 경우가 있다. 그런 규모의 페이지가 100개라면 XSS 하나의 필터에 관해서만 500개의 테스트를 한다면 5만개의 리퀘스트가 날라가게 된다. 그런 필터가 수십개라면 몇 백만개의 쿼리가 날라가는 사태도 벌어지게 된다.

  그래서 얼마나 효율적으로 인자와 필터를 선택하고, 필터 안에서도 해당 도메인이나 페이지에 유효한 필터만을 날리느냐에 대한 문제가 있다. 그런 부분을 위해서 인자들을 정규식 패턴 등으로 예외처리 하거나, 해당 도메인에 의미있는 필터만을 선택하거나, 도메인 특성에 따라(예 ASP 라면 PHP 용 SQL Injection 을 날릴 필요가 없을 것이다) 자동으로 날릴 Payload 들을 선정 하기도 한다. 다만 해당 부분은 툴 자체에만은 맡길 순 없고, 도메인을 소스 레벨에서 이해한 상태에서 조정을 해야하는 부분 같다.

 둘 째, 앞과 연결되지만 크롤링된 모든 파일에 모든 필터를 꼭 점검해야 하느냐 하는 이슈가 있다. 점검할 가치가 없는 파일들을 적절한 도메인 지식하에 제외하거나, 특정 필터만을 돌리는 작업도 꼭 필요하다. 예를 들어 SQL 호출을 안하는 페이지에 SQL Injection 필터를 돌리는 것은 시간 낭비이다. 다만 그렇게 정교하게 필터 정책을 주는 것과 어차피 기계가 돌리는 거는 시간이 걸리더라도 덜 제외하는 데 필요한 노력을 들이지 않고 돌리느냐에 대해 유리한 쪽을 잘 판단해야 한다. 어디서나 ROI 문제는 생긴다.

  셋 째, 아무리 앞에 말한데로 조정을 하더라도 사이트가 크거나 복잡한 페이지가 많을 수록 필연적으로  많은 쿼리가 날라가게 됨을 피할 수는 없다. 그 경우 적절히 병렬로 쿼리를 날리면서도 부하 조절을 하는 등의 경감 정책도 필요할 것 같다(조그만 사이트는 DDOS 공격을 맞은 듯이 뻗을 수도 있고, 개발 팀이나 모니터링 팀에서 장애가 난다고 문의가 날라올 수도 있다)

  넷 째 필터에 포함된 쿼리가 얼마나 객관적이고 많은 이슈들을 담았느냐도 중요하다. 자질구레한 레벨의 실제 위협을 가져올 가능성이 거의 없어 수정하기 애매한 취약점들을 모두 찾기 위해서 모든 필터를 돌리는게 의미 있는지도 생각해 봐야한다(이건 사람마다 입장에 따라 의견이 다를 듯은 싶다). 상용 프로그램의 경우 상용이라는 부담감 때문에 기존에 나왔던 모든 이슈에 대한 필터가 너무 과도하게 진행되는 감도 있다. 특히 오픈 소스를 쓰는 것이라면 해당 스캐너의 동작을 깊진 않더라도 가능한 소스 레벨에서 이해해서, 앞에서 생기는 여러 문제들을 해결할 수 있도록 조정하고, 적절히 개조해 보려 하는 것도 나쁘진 않을 것 같다.

  다섯 째, 스캐너의 결과가 통과되었다고 100% 안전하다는 보장은 하진 못할수도 있다. 예를 들어 디폴트 패스워드나 디렉토리 검사를 통과했다고 하더라도, 사용자가 패스워드를 "안녕" 이라고 만들거나 폴더를 01022223333(본인 핸드폰 번호) 이런식으로 만들어 놨다면 스캐너가 통과됬다고 본질적인 디폴드 패스워드 개념에서는 안전하다고는 못할 것이다. 어찌보면 많은 필터들이 사전적 Brute Force 같은 성향을 가지고 있기 때문에 적절히 결과의 유효성을 판단해야 한다. 

  여섯 째, 비단 스캐너뿐 아니라 유명한 보안 상용 솔루션이나 장비를 쓰는 경우는 인증 및 감사 측면에서 유리한 면도 있는 듯 하다(감사시 ** 스캐너를 사용해서 매번 스캔하고 있어요 같이...). 실제로 많은 보안 장비가 해당 장비 자체가 이미 법이나 인증 획득에 필요한 기능을 구현해 인증 받아놓았기 때문에 여러 감사 측면에 유리하게 대응하기 위해서 도입 하는 경우도 있다. 다만 아무리 그렇더 라도 유명도나 인증, 레퍼런스가 해당 스캐너의 효율성과 등가라고는 할수 없기 때문에, 실무자 입장에서는 해당 필터가 정말로 의미있는 건지, 해당 디폴트 방식의 스캐닝이 의미 있는 건지는 잘 이해하고 따져봐야 한다.

  마지막으로 사이트에 로그인과 비로그인 시에도 미묘한 문제가 생긴다. 로그인 후 스캐너를 돌리다가 게시판 같은데 이상한 게시물을 잔뜩 달아 열심히 지워본 기억은 한번씩쯤 겪게 될 것이다. 반대로 로그인을 안한 상태에서 돌리게 되면 테스트 하는 페이지가 확연하게 줄어 실효성에 의문이 생길 수도 있다. 여러 상황에 맞춰 선택을 해야한다(테스트 환경에서만 로그인해 돌린다든지...).

  또한 스캐너가 날리는 페이로드는 기괴한 문법 문자가 많기 때문에, 당하는 프로그램 입장에서 에러처리가 안되서 프로그램이 죽거나 에러가 빵빵 나 버릴 수도 있다. 해당 부분은 페이로드를 바꾸던지 에러가 나는 쪽을 설득해 에러처리를 제대로 하게 해야한다.

4. 스캐닝 결과 검증 자체의 이슈

  위에서 봤듯이 스캐너의 원리는 적절한 인자를 찾아 페이로드를 보내고, 결과 페이지에서 내가 의도한 패턴을 찾는 것이다. 이것은 비단 웹 뿐만 아니라 네트워크나 다른 물리적인 스캐너도 마찬가지 이다(예를 들어 공항 투시 스캐너는 약한 X선이나 자기를 보내서 반사되는 형태를 기반으로 판단한다고 한다).

  앞의 스캐너 소스에서 봤듯이 어떤 가정을 하느냐에 따라서 결과가 의미가 있을 수도 없을 수도 있다. 막상 스캐너를 처음 돌려본 사람들은 쏟아지는 취약점 숫자에 깜짝 놀라다가도, 실제 의미 있는 결과인가를 체크해 보면서 스캐너가 얘기하는 수많은 False Postive 에 또 한번 놀라게 된다. 

  하지만 이건 스캐너가 판단 할수 있는 영역이 블랙박스라서 어쩔 수 없다고 봐야 된다. 사람처럼 블랙박스 테스트를 한다는 의미가 아니라, 리퀘스트와 해당 결과로 브라우저에 전달된(리스폰스) HTML 소스를 기반으로 열심히 판단하긴 하지만, 서버 내의 로직을 보거나 이해할 수 없다는 태생적 한계를 가지고 있다는 것이다. 다만 블랙박스 측면에서도 제대로 테스트를 하면 서버의 내부 로직을 유추할 수 있듯이, 스캐너도 필요한 측면에서 잘쓰면 마찬가지의 효과는 있다.

  또한 여기에서도 도메인, 프로그래밍적 지식이 필요한데, 왜 스캐너가 해당 페이지에서 해당 패턴의 취약점을 발견했다고 주장하는 지를 스캐너와 페이지 측면 양쪽 모두에서 이해하고, 유죄를 선고할지, 무죄를 선고할지를 판단할 수 있어야 한다. 해당 지식이 앞 시간에 나온 여러 주제들에 대한 지식에 추가해, 스캐너가 테스트를 할수 있다고 주장하는 필터에 대한 동작 원리에 대한 지식이다.

  많은 부분 판단이 힘든 경우 스캐너가 어떤 요청을 날렸고 어떤 결과를 받았는지 부터 자세히 살펴보는 것도 도움이 된다고 생각한다. 그게 스캐너가 바라보는 세상의 전부이니까 말이다. 

5. 수동 테스트(펜테스트)와의 차이

  그럼 사람들이 펜테스트 하는 방식이 이런 스캐닝 툴과 다른 점은 뭘까?

3.1 수동 테스트의 장점 

  첫 째, 6교시에서 얘기했던 업로드 같은 부분을 생각해보자. 페이지를 분석하고, 업로드할 악성 파일을 탑재하고, 프록시 단계에서 파일 이름이나 자바스크립트를 바꾸면서 이런저런 조작을 하는 부분을 스캐너 판단하에 자동으로 일어나도록 만들기는 참 어려울 것이다.

  일단 업로드 하기 전까지를 구현하는 것도 어렵지만, 업로드된 파일이 실제 어떤 경로에 저장되었음을 판단하는 것도, 업로드 후 업로드된 경로를 명시적으로 알려주는 사이트가 아니라면 자동으로는 많이 힘들 듯 싶다. 물론 100% 불가능 하게는 안보이지만 페이지에서 업로드 기능을 찾아내고, 웹 프록시를 이용하는 과정을 자동으로 구현한다고 생각하면 머리가 많이 아프다. 이런 측면은 수동 테스트가 휠씬 효율적인 부분이라고 생각한다.

  둘 째, 위와 비슷하게 여러개의 중간 단계를 거치면서 각 중간 단계에서 계속적으로 validation 을 하는 설계를 가진 페이지에는 적용하기 힘들다(요즘은 마이크로 서비스나, 도메인으로 나눠진 서비스가 많아서 페이지 호출이 복잡한 구조가 많다. 많이 가는 큰 사이트를 가서 피들러로 한번 살펴보면 하나의 페이지를 들어갈때 눈이 아플 정도로 많은 호출이 있을 것이다).

  위의 어려움 더하기 모든 validatio 포인트를 클라이언트 코드를 통해 회피해주는 작업이 필요하기 때문이다. 일반적으로 스캐너는 요청과 최종적으로 대상쪽에서 온 응답에 기반에 동작하기 때문에, 서버에서 일어나는 여러 단계의 중간 단계에는 관심이 없다. 사실 자동화의 복잡성 대응의 한계 때문에 그렇다고 보는게 맞을 듯도 싶다. 뭐 AI 를 이용한 보안 테스트가 많이 연구된다니 혹시 패턴이 많이 모인다면 나중엔 어쩔진 모르겠지만 말이다.

  셋 째, 마찬가지로 위와 연결되는 이슈인데, 수동 테스트는 블랙박스와 그레이, 화이트 박스의 조합을 적절히 취할 수 있다. 웹 호출을 보다가 데이터베이스의 변화를 관찰 할 수도 있고, 미심적은 처리 부분의 프로그램 소스를 열어서 볼수도 있다. 물론 자동화된 테스트도 디비를 참고하거나 프로그램 내부를 참조할수 있겠지만 그건 저런 스캐너 같은 도구는 아니고, 테스트를 위해 잘 디자인된 프로그램을 직접 제작하는 경우일 것이다. 또한 이해가 잘 안된다면 개발자와 의논할수도 있다^^.

  넷 째, 수동 테스트는 단순히 페이지의 분석에서 벗어나, 기존 도메인에 대한 지식과 경험이 녹아있는 테스트를 통해 실시간으로 전략을 바꿀 수도 있다. 이것은 언젠가 AI 가 따라 잡을 분야일진 모르겠지만, 지금 상태로는 죽기전엔 구경 못할 듯은 싶다.

3.2 자동 테스트의 장점 

  첫 째, 자동은 우선 빠른 실행 속도가 장점이다. 서버의 부하나 에러가 허용되는 만큼 병렬로 돌릴 수도 있고, 명확히 문제와 검증 방식이 정의된 영역 부분에 대해서는 장점이 있다.  

  둘 째, 파이썬 마지막 교시에 얘기했던 five orders of ignorance 에서 얘기한것 처럼 모든 소프트웨어는 지식의 결정체 이다. 솔루션이라는 것은 우리가 가진 보안 지식을 정리하여 소프트웨어 형태로 만들어, 컴퓨터의 파워를 이용해서(어찌보면 밝음을 구현하는 손전등을 위해 건전지를 사용하는 것과 비슷하다) 자동화된 지식을 반복적으로 재사용 하는 것이다.

  지식이나 물리적인 힘(물리적 장치와 연결되면 힘의 움직임도 에너지는 다르겠지만 재사용 할수 있다)을 재사용 한다는 측면에서의 자동화는 정말 우수한것 같다. 여러 공장 자동화들의 예에서 이런 것들을 많이 볼수 있고, 몇몇 천재들이 자신의 지식을 잘 담아서 상용화 시킨 편하고 감탄이 나는 소프트웨어들을 많이 볼수 있다.

  셋 째, 변경이 적은 지식의 영역에서는 일단 세팅이 완료되면 우수한 ROI 가 이루어 진다. 예전 회사에서 같이 일하던 사람이 여러 나라의 언어로 이루어진 설치 프로그램을 자동화 툴을 이용해 검증해 돌렸는데, 한번 만들어 놓으면 약간의 코드 수정만으로 본전을 뽑는 다는 느낌이 들었었다. 게다가 자꾸 만들다 보면 자신만의 라이브러리도 쌓이고, 이미 해결해 놓은 지식들이 많기 대문에 ROI 의 I(Investment) 부분이 점점 줄어들 것이다. 

  IT 쪽에서 사람들을 겪어 본 사람들은 프로그래머나 다른 인력이나 사람들마다 많은 속도나 품질, 타인의 대한 좋은 태도의 차이가 난다는 것을 많이 느꼈을 거다. 자신이 평균 이상의 속도나 품질, 타인의 대한 좋은 태도를 가지도록 계속 노력해 보자.

  넷 째, 객관적인 증명이 된다. 사람은 피곤하면 잘못 보기도 하고, 실수도 하고, 슬쩍 해야될 점검을 모르는 척 빼먹을 수도 있지만(생각보다 종종 일어나는 일이다),  기계의 장점은 항상 객관적이라는 것이다. 물론 설계를 잘못했거나 어설프게 검증하도록 만들었을 경우에도 지나치게 객관적이여서 문제다(gabage in garbage out 이 여기도 적용된다). 앞에서 얘기한 소프트웨어를 구성해야할 올바른 지식들이 필터나 스캐너 프로그램의 철학에 잘 담겨져 있는지를 꼭 확인해 보자. 

3.2 자동 테스트 vs 수동 테스트 

  이건 "엄마가 좋아 아빠가 좋아" 문제이다. 서로의 단점을 보안해줄 좋은 수단이 동시에 있는데 굳이 하나를 외면 해야할 필요가 있는가? 수동 테스트에 익숙한 사람은 스캐너를 잘 다루도록 노력하고 자기만의 스캐닝 정책을 커스터마이즈 하거나, 불편한 부분을 개선하거나 하는 노력을 해야한다. 스캐너는 어찌보면 수동 테스트에서 귀찮았던 부분을 해결하기 위해 만들었기 때문에 업무의 중요한 부분에 집중하는데 많은 도움이 될것이다.

  반대로 스캐너에 주로 익숙한 사람들은, 테스트 페이지를 제작해 스캐너가 날리는 쿼리에 대해 웹서버 로그로 저장하거나 피들러로 살펴보면서, 하나하나의 필터가 하는 일을 명확하게 이해해야 한다. 해당 부분을 이해하는 과정에서 결국은 스캐너의 한계를 깨닳고 수동 테스트로 어떻게 보강을 해야될지를 고민하면서 자동으로 공부를 많이 하게 될 것 같다.

  양쪽 다 서로 자신을 알면 알수록 상대방을 잘 이해할 수 있고, 상대방을 잘 이해할 수록 자신의 일도 더 잘 이해할 수 있게되는 측면이 있다고 본다.

6. 마무리 하면서

  스캐너 쪽이나 펜 테스트 쪽이나 아주 깊게 아는 편은 아니기 때문에, 어설프게 얘기하거나 빠뜨린 부분이 있는지도 모르겠다. 하지만 결국 소프트웨어는 지식을 담아 재사용하는(나아가 제작의도와 다르게 응용해 사용하기도 하는) 부분이기 때문에 스캐너를 해당 관점으로 보면서 스캐너 자체의 빤짝거림 보다는 안에 담긴 지식의 알맹이들에 관심을 가졌음 하는 바램을 가지며 이 글을 마치려 한다.

  보안 설계(security by design) 문제 부분도 설명하기는 좀 애매한 분야이기는 하지만 1~9교시가 모두 종합된 분야라고 볼수 있고, 앞으로 진행될 모든 사항들에도 해당될 듯한 주제이니까, 여기 쯤에서 한번 언급하고 뒤를 진행하는게 맞을 것 같아서 넣게 되었다.

[목차]

1. 보안을 바라보는 방법

2. 보안에서의 코드 읽기

3. 인젝션(Injection) 살펴보기 #1, #2

4. 암복호화

5. 클라이언트 코드

6. 업로드, 다운로드

7. 스크립트 문제

8. API

9. 하드닝(Hardening)
10. 보안 설계 문제
11. 스캐너 vs 수동 테스트

12. 자동화 잡

13. 리버싱과 포렌식

14. 모니터링 문제

15. 악성코드

16. 보안과 데이터

1. 들어가면서

  보안 설계 문제는 어떻게 보면 보안 문제를 예방하기 위한 가장 첫번째 단계라고 볼수 있다. 앞의 모든 시간에 다루었던 주제들을 각각 다른 취약점 타입으로 볼수도 있겠지만, 사실 모든것은 상호 연관되어 있기도 하고, 동시에 일어나기도 하며, 각각의 측면을 종합해서 접근해야 할 필요가 있다. 마치 운동을 배울때 기초체력 부터 하나하나 기술을 배우기는 하지만 결국은 실전에서는 모든게 한꺼번에 조합되어 필요한 것과 마찬가지라고 생각된다.

  그래서 하나하나의 주제에 대해서 주의 깊게 바라 보는 것도 중요하지만, 항상 모든건 포괄적으로 움직이는 시스템을 위한 것이라는 것을 잊으면 안된다. 업로드에 대한 보안지식은 업로드 기능이 없는 시스템에서는 생각할 필요도 없는 것처럼(하지만 기술은 보통 다른 기술을 많이 참조하기 때문에 이해한 원리는 다른 기술을 이해할때 도움이 된다), 보안은 대상 자체가 없으면 아무 의미가 없다.

  또한 설계라는 것도(조금더 고급스럽게 얘기하면 아키텍쳐) 사실 어딘가에서 빵 나타나는 고급스러운 존재는 아니라고 본다. 하나하나 작은 기술의 경험이 합쳐져서 전체를 이루는 흐름을 파악할 수 있게 될때, 설계라는 일종의 선택 가능한 패턴으로 만들어지는 것이라고 본다. 고급 스러운 설계 작업이나 일반 적인 설계나 멀리 떨어진 시각에서 보게 되면 도토리 키재기 일수도 있다.

2. 보안 설계가 연관된 부분

  해당 문제는 여러 분야에 관련되어 있을 수 있으며 종종 버그라 불리우며 QA쪽 영역과 오버랩 되기도 한다(어떤 회사들은 보안 쪽 관련된 팀이, 어떤 회사에서는 QA 쪽 관련된 팀이 연관될 수도 있을 같다). 

  간단한 예로는 모바일 게임등에서 종종 나타나서 게임사를 당황하게 하고 유저의 신뢰를 떨어뜨리는 이벤트 중복 참여 라든지, 아이템 복사 등 부터, 서버와 클라이언트 상의 왔다갔다 하는 호출들의 보호문제, 비밀번호 찾기나 본인인증 창 설계, 주문서 설계 등이 있다.  크게는 하나의 도메인(회원, 결제, 등록) 등의 전체적인 흐름을 잡아야 할 경우도 있을 거고, 작게는 설치되는 여러 데이터베이스나 서버등의 설정 및 호출 방식등이 연관될 수 있다. 또한 외부 회사와의 전문, 키 교환 등의 상호 연동 부분도 있을 수 있다. 추가로 물리적인 보안 부분도 맡고 있는 팀도 있긴 하지만 그건 여기서는 좀 별개로 하려 한다.

2.1 간단한 설계예제

  그럼 어떤 움직이는 예제를 보이면 좋을까 생각하다가, 은행이나 웹 사이트 등에서 특정한 행동을 하기전에 본인인증 수단으로 사용하는 핸드폰 전송 문자를 입력 후, 결제를 하는 예제를 간단하게 만든 후, 보안적으로 잘못된 부분을 패치해 보려고 한다.

  아래와 취약한 플라스크 코드의 예제를 한번 보자. 먼저 design 이라는 경로를 호출하게 되면 flask_design.html 템플릿 파일이 읽혀진다(이것은 뒤에서 본다).

  checkSMS 는 넘어온 인자 중 smsNum 이라는 이름이 "7777" 이라는 값이면(문제를 간단히 하기위해 핸드폰에 "7777" 이라는 문자가 전송되어 왔다고 가정한다), Ture 값을 아니라면 False 값을 보낸다. 적절한 핸드폰 문자를 받지 못한다면 서버 쪽에서 체크하는 로직이기 때문에 이 부분을 통과할 수 없을 것이다. 

  doPayment 는 넘어온 price 값을 따로 쓰진 않고^^ True 값을 바로 호출한다. 원래 대로라면 금액은 맞는지, 잔고는 있는지 등등을 체크를 하고, 데이터베이스에 이런 저런 데이터를 넣어 결제를 해야 하지만, 간략히 하기위해서 해당 부분을 처리 했다고 하고 결과만을 성공으로 리턴한다.

[flask_design_before.py]

  c:\python\code 폴더에 UTF-8 포맷으로 flask_desing_before.py 라고 저장한다.

  다음으로 템플릿 파일 쪽을 보자. 처음 로딩 되면 인증번호 입력 하는 텍스트 박스가 있고 인증하기 버튼이 있다. 그 밑에는 금액과 결제하기 버튼이 보인다.

  그 중간에  있는 히든필드인 id 가 isCert 인 필드가, SMS 인증이 됬는지를 몰래 숨겨 가지고 있는 중이다. 해당 히든필드가 필요한 이유는 페이지가 일단 로딩 되게 되면 그 후에는 DOM 과 자바스크립트의 세상이기 때문에, 인증이 됬는지 안됬는지를 판단하기 위해서 어딘가에 값을 가지고 있어야 한다(물론 어떻게 만드느냐에 따라서 결제하기 버튼을 눌렀을때 서버 쪽으로 AJAX 호출을 해서 인증 했는지 체크하고, 이후 인증 창을 보여줄수도 있지만, 앞의 클라이언트 코드에서 봤듯이 조작하는 수준은 비슷하다).

  자바스크립트 쪽을 보면 "인증 번호 입력" 버튼(id = checkData)를 눌렀을 때, checkSMS API를 호출하면서, 사용자가 입력한 smsNum 값을 넘겨준다. 결과 값이 True 로 오면 isCert 히든 필드 값을 "Y" 로 바꾸고, 인증 완료하고 표시해 주며, 아니라면 다시 입력해 달라는 문구를 표시한다.

  "결제 하기" 버튼을 누르면 isCert 값을 체크하여 디폴트 값이 N 그대로 라면 SMS 인증을 받으라는 Alert 을 띄우고, 만약 앞에서 미리 인증 번호를 넣어서 Y 로 바뀌어 있는 상태라면, 바로 doPayment API 를 호출해 결제를 하게 된다.

[flask_design.html]

  c:\python\code\templates 폴더에 UTF-8 포맷으로 flask_design.html 이름으로 저장한다. 이후 cmd 창에서 실행 시킨다.

c:\Python\code>python flask_design_before

  브라우저에서 http://127.0.0.1:5000/design 주소를 입력하고, 결제하기 버튼을 바로 누르면 앞의 스크린 샷과 같은 얼랏 창을 보게 된다.

  위의 로직을 대충 도표로 그리면 아래 정도가 아닐까 싶다.

2.2 해당 설계의 문제

  해당 설계의 문제는 무엇일까? 앞의 클라이언트 코드 쪽을 이해한 경우 쉽게 보안적으로 취약한 부분이 무언지 알수 있다. isCert 히든필드는 사용자에게 Alert 안내를 하기위한 자바스크립트에서는 유용하다. 하지만 해당 값은 "인증 번호 입력" 버튼을 눌러 AJAX 호출을 이용해 수정하는 값이므로, 브라우저 개발자 도구나, 피들러 등으로 결제 하기 버튼을 클릭하기 전에 임의로 "Y"로 수정해 버린다면, 인증번호 체크를 안한 상태로 결제가 가능하다(또한 스크립트 조작 때 처럼, 체크하는 스크립트를 아예 제거해도 된다).

  한번 피들러로 조작을 해보도록 하겠다. 피들러를 킨채로 Rules > Automatic Breakpoint > After Responses 를 선택한다(조작 방법이 기억이 안나면 5교시를 다시 보고 오자).

  이후 페이지를 로드하고, 피들러가 리스폰스를 잡은 상태에서, 오른쪽 하단의 Response 섹션에서,  Textview 탭을 클릭 후, isCert 히든필드 값을 그림과 같이 "Y" 로 바꾸어준다. 이후 Run to Completion 버튼을 눌러 브라우저로 데이터를 전송해 준다. (위의 브레이크 포인트는 이제 다시 Disabled 로 바꾸어 풀어준다).

  이제 브라우저 소스를 보면 해당 값이 "Y" 로 바뀌었기 때문에, 인증 번호 입력 없이도 아래와 같이 결제가 되어버린다. 이런 스타일의 조작은 팝업 형태로 띄워지는 통신사 등의 외부 본인 인증 창의 회피 등에서도 마찬가지로 쉽게 적용할 수 있다.

2.3 설계 패치하기

  그럼 해당 설계의 문제는 무엇일까? API 로 SMS 문자를 체크한 부분은 서버 사이드 인증이 맞지만, stateless 인 웹의 특성 상, 두번째 API 호출인 결제하기에서는 SMS 문자를 제대로 체크했는지를 기억하지 못한다는 것이다.

  사실 보안 설계의 재밌는 점 중 하나는 이러한 문제를 해결하는 방법이 하나는 아니라는 것이다. 여러가지 등가적인 안전한 방법을 만들 수 있고 그 중 가장 현재 코드나, 설계, 주어진 리소스에 적절한 방법을 선택할 수 있다. 하지만 등가적인 부분의 원리는 모두 같다고 보면 된다(물론 가끔은 행운?을 바라며 차선을 선택할 때도 있다).

  위의 예에서는 첫번째 API 안에서 SMS 문자를 인증 후, 공격자가 건드릴 수 없는 어딘가에 해당 사실을 저장하고, 결제 API 로직 안에서 해당 정보를 체크해서, 현재 사용자가 올바르게 인증한 사용자인지를 검증하는 방법을 쓸수 있다. 해당 검증 정보는 암호화된 쿠키(재사용을 경계해야 한다)나, 데이터베이스나, 서버 단(AJAX가 아니다) 로직에서 호출해서 체크할 수 있는 다른 API 의 어딘가 내부 공간 등에 자유롭게 저장할 수 있겠지만, 보통 데이터베이스를 이용하는 것이 제일 간단할 듯 싶다.

  아래의 수정된 flask_design_after.py 파일을 보자. 템플릿 파일은 어차피 클라이언트 코드므로 서버 사이드 로직이 들어있는 쪽을 수정하면 될듯 싶다. 우선 보면 3교시에서 사용했던 MSSQL 서버를 그대로 이용한다. 하나 가정하는 것은 원래 어떤 사용자 인지는 랜덤 값이 섞여 암호화된 쿠키를 베이스로 가져와야 변조가 안되지만 여기서 로그인 쿠키 코드까지 고려하면 복잡해 지니 암호화된 쿠키를 가져와 현재 사용자인 tom 을 member_id 라는 변수에 넣은걸로 하자^^ 

  checkSMS 쪽을 보면 사용자가 입력한 번호가 맞다면, sms_cert 라는 테이블에 ("사용자 아이디", "Y", "인증시간") 을 넣어주는 것을 볼수 있다.

  이후 doPayment 쪽에서는 sms_cert 테이블을 뒤져 사용자 아이디가 현재 로그인한 "tom" 이고, 인증 결과가 "Y" 이고, 인증 시간이 15분 이내 인지를 체크한다. 인증 시간 조건을 넣은 이유는 어제 인증을 했는데도 인증 했다고 판단하면 공격자가 다음날 공격해도 성공이 되기 때문에, 사용자가 인증하자마자 15분내에 공격 받는 일은 거의 없다고 보자. 저 시간을 너무 짧게하면(예를 들면 1분) 사용자가 인증 후 결제 버튼을 누를까 말까 고민하다가 1분이 지나면 인증이 안됬다고 나오는 사용성 문제가 생기게 된다. 

  만약에 해당 15분 간격도 맘에 걸린 다면 조금 더 나아가 SEQNO 같은 고유값을 sms_cert 에 추가해도 괜찮을 거 같다. 그럼 공격자가 15분내에 시도 한다고 해도, 이전 사용자가 인증 받을때 사용한 SEQNO 를 모른다면, 맞는 SEQNO 를 찾아내기는 거의 불가능할 것이다.