보안┃2008년 04월 23일 18시 23분
필자는 보안 솔루션 개발자이기도 하고 또한 보안관리 및 감리 측면에서 공부를 하고 있는중이다.
그런데 올해 들어 보안사고에 대한 기사들이 하루가 멀다하고 나오고 있다.
(물론 필자가 개발만 할때와의 시각차이가 있기도 하겠지만 말이다.)
해킹대란이라고 불릴만큼의 해킹사건이 많이 일어나고 있다. 다음, NHN, 청와대, 옥션 등등..
그러나 이것은 최근에 알려진 케이스이고 기존에도 많인 해킹 사례가 알려지지 않았지만 많았을 것이다. 오죽하면 한국은 공격경유지라는 이야기가 있을까...
이는 전 세계적으로 앞서는 네트워크 인프라의 발전으로 볼 수 있다. 다만 기술적 발전만 있었다는 것이 현재 해킹대란이 일어나고 있는 것이다.
현재 필자가 생각하는 문제점 몇개를 짚고 넘어가보겠다.
1. 기업의 보안 마인드
현재 대부분의 기업들은 보안에 대한 인식을 잘 하지 못한다. 경영진들은 보안에 대한 투자를 아까워 한다. 즉 그 돈으로 실제 수입이 생기는 곳에 쓰고 싶어 한다는 것이다. 특히 덩치가 커질수록 보안 투자되는 비용은 증가 되는데 경영진입장에서는 수익도 생기지 않는 곳에 더 많은 투자를 하기에는 배가 아플 것이다. 이것을 고치지 않는 한 언제나 해킹 사고는 발생 할 수 있다.
2. 서비스 업체의 마인드
현재 우리나라는 네트워크 인프라를 바탕으로 만은 인터넷 서비스를 한다.개인 고객의 DB를 자산의 일부로 생각을 하고 고객을 유치하려고 한다. 이는 스스로 개인정보가 돈이라는 것을 알고 있다. 그러나 이것에 대한 보호에 대해선 등한시 한다. 어떻게 하던 데이터만 느리려고 한다는 것이다.이것을 자의에 의해 다른 곳에 넘겨도 엄청난 수익이 발생 할 수있다. 즉 서비스 업체의 윤리적인 문제가 있다는 것이다. 또한 그런 생각을 하지 않는 업체라 해도 이 데이터가 돈이라고 생각을 하면서 보호하려고 하지 않는 다는 것이다. 특히 요즘 같이 협업이 많은 경우 관련 업체들까지 관리를 하여야 하는데 그것은 그 업체 사정이라고 뒷짐만 지는 것 또한 자신의 일을 다하지 않은 즉 Due care에 문제가 있는 것이다.
3. 일반 개개인의 보안 마인드
기업들의 보안 마인드 이상으로 문제가 되는 것이 이것이다. 일반 사용자들은 가입시 자신의 정보를 아무 거리낌 없이 쓰고 이 데이터가 설마 유출 되겠느냐는 생각을 한다. 그리고 이런 데이터로 무엇을 할 수 있냐는 생각을 한다. 그러나 조금만 생각하면 주민번호와 이름만 있으면 못할 것도 없는게 이 대한민국이다. 자신의 정보를 보호하기 위해 스스로가 서비스 업체에게 요구하거나 좀더 능동적으로 행동을 해야 한다. 또한 자신의 아이디와 비밀번호를 친한사람에게 알려주는 등에 대하여 부담스러워 하지 않는 경우도 있다. 이 또한 얼마나 위험한 짓인가 말이다.
4. 개발자의 보안 마인드
해킹방법은 크게 두가지로 볼수 있다. Social Engineering(사회 공학적 기법)과 테크니컬한 기법으로 구분 할 수 있다. 사회 공학적 기법은 개인들의 보안 마인드가 없는 것을 이용 하는 기법이다.(메일을 통해 사람을 속여 웜을 심는다던가, 고객센터에 전화를 하여 정보를 취한다던가 전화 피싱등이 이에 속한다.) 이것은 뚜렷한 해결책은 없지만 계속적인 계몽이나 교육으로 해결 해야 하는 부분이라 쉽지 않은 부분이다. 그러나 테크니컬한 기법은 개발자가 보안에 대해 생각하여 개발을 한다면 충분히 막을 수 있다. 개발시 SQL INJECTION이나 XSS 취약점에 대해 충분히 생각하고 개인정보에대한 암호화라던가 충분히 보안 할 수 있는 부분들이 있다. 그러나 여러 환경에 의해 이런것이 등한시 되어 개발 되는 것이 대부분이다. 이것은 개발자와 개발 회사 모두가 책임을 저야 하는 사항이다. 결국 몇일 공기를 당기려다가 추후 더 큰일이 발생할 수 있는 공간을 만드는 것이다. 이것은 개발자 스스로 반성 하고 더욱더 노력 해야 할 것이다.
지금까지 필자가 생각하는 현재 우리나라 IT 보안의 문제점을 나열 해보았다. 결국 이 모든 해킹 사건은 누구하나의 잘못만으로 발생 하는 것이 아니다. 총체적인 IT 인프라의 문제점으로 발생 하는 것이다.
이제는 이런 IT의 환경을 변화하려고 노력 해야 한다. 제도적으로 보안을 하지 않는한 이 환경은 변하지도 않을 것이고 변화 하기도 힘들다.
오히려 요즘의 해킹 대란은 IT환경이 변화 할 수 있는 기회로 여기고 좀더 발전할 수 있는 방향으로 변화하였으면 한다.
┃http://www.withdev.com/trackback/373
-
북경A4┃2008년 04월 23일 18시 34분 알려지지 않은 무명사이트 들의 해킹 사례가 엄청나게 많다고 생각됩니다.-
낚시광준초리┃2008년 04월 23일 18시 42분 아마 저희 회사부터 해서 작은 기업에서 운영하는 홈페이지 서버 같은 경우나 학교 등등의 전산실등은 대부분 이미 백도어로 운영되지 않을가 하네요..
-
-
둥이┃2008년 04월 23일 22시 17분 그 외에도 고등학교, 초등학교에서 쓰는 홈페이지 구축 솔류션 툴들도 많은 문제를 가지고 있습니다.
간단히 웹 쉘을 올릴 수 있을정도로 보안이 너무 취약 하더군요..
저도 고등학교 홈페이지 몇군데를 한 번 시도해 보았는데 같은 툴로 홈페이지를 구축한 학교는
다 뚫리 더군요...
문제는 이 툴로 홈페이지를 구축한 학교가 무려 약 100개정도 됬었습니다..
디비를 다운받아보니, 주민은 암호화도 안되어 있었고 주소, 전화 번호 심지어 패스워드도 암호화가 안되어 있었습니다..
도대체 어디서부터 어떻게 대책을 마련해야 할지 모르는 대한민국 네트워크의 현실인것 같네요-
낚시광준초리┃2008년 04월 24일 09시 03분 일단 해당 관리팀의 보안 의식 부제와 또한 개발 업체의 보안의식 부제가 합쳐져서 나온 문제가 아닐까 합니다.
대책이라고는 정말 세우기가 암담합니다. 아마 정책적으로 가이드라인이 제시 되어야 하는데 정통부마져 없에는 사항에서 어떻게 기대를 해야할지...
-
