그간 옥션 및 네이버 다음의 개인정보 유출 때문에 불안한 마음을 다 가지고 게시리라 봅니다. 정부에서 그나마 미약하나마 뭔가 액션을 취하고 있네요.

행정 안전부(구 행자부)에서 주민번호 클린 캠페인을 합니다.

5월 1일 부터 6월 30일까지 한다고 합니다.(솔직히 상시 운영이 좋은데 말이죠.)
그간 민간업체에서 하던것은 솔직히 또 다른 유출에 불안한 부분이 있었죠. 이제 국가기간에서 하니 이 데이터 가지고 장난치진 않겠지 하는 조금은 더 안심할 수있겠죠(솔직히 50%정도 더 안심한 뿐입니다.)

물론 행안부에서 다른 신용기관가 연계 하여 하는 부분이지만 일단 무료라는것에 한표..

저도 내일 한번 가서 검색 한 후 불필요한 것은 탈퇴 및 계좌 해지를 해야겠네요.
여러분들도 꼭 한번 해보시기 바랍니다.

주민번호 클랜 캠페인 바로가기

필자는 보안 솔루션 개발자이기도 하고 또한 보안관리 및 감리 측면에서 공부를 하고 있는중이다.
그런데 올해 들어 보안사고에 대한 기사들이 하루가 멀다하고 나오고 있다.
(물론 필자가 개발만 할때와의 시각차이가 있기도 하겠지만 말이다.)

해킹대란이라고 불릴만큼의 해킹사건이 많이 일어나고 있다. 다음, NHN, 청와대, 옥션 등등..
그러나 이것은 최근에 알려진 케이스이고 기존에도 많인 해킹 사례가 알려지지 않았지만 많았을 것이다. 오죽하면 한국은 공격경유지라는 이야기가 있을까...

이는 전 세계적으로 앞서는 네트워크 인프라의 발전으로 볼 수 있다. 다만 기술적 발전만 있었다는 것이 현재 해킹대란이 일어나고 있는 것이다.

현재 필자가 생각하는 문제점 몇개를 짚고 넘어가보겠다.

1. 기업의 보안 마인드

 현재 대부분의 기업들은 보안에 대한 인식을 잘 하지 못한다. 경영진들은 보안에 대한 투자를 아까워 한다. 즉 그 돈으로 실제 수입이 생기는 곳에 쓰고 싶어 한다는 것이다. 특히 덩치가 커질수록 보안 투자되는 비용은 증가 되는데 경영진입장에서는 수익도 생기지 않는 곳에 더 많은 투자를 하기에는 배가 아플 것이다. 이것을 고치지 않는 한 언제나 해킹 사고는 발생 할 수 있다.

2. 서비스 업체의 마인드

현재 우리나라는 네트워크 인프라를 바탕으로 만은 인터넷 서비스를 한다.개인 고객의 DB를 자산의 일부로 생각을 하고 고객을 유치하려고 한다. 이는 스스로 개인정보가 돈이라는 것을 알고 있다. 그러나 이것에 대한 보호에 대해선 등한시 한다. 어떻게 하던 데이터만 느리려고 한다는 것이다.이것을 자의에 의해 다른 곳에 넘겨도 엄청난 수익이 발생 할 수있다. 즉 서비스 업체의 윤리적인 문제가 있다는 것이다. 또한 그런 생각을 하지 않는 업체라 해도 이 데이터가 돈이라고 생각을 하면서 보호하려고 하지 않는 다는 것이다. 특히 요즘 같이 협업이 많은 경우 관련 업체들까지 관리를 하여야 하는데 그것은 그 업체 사정이라고 뒷짐만 지는 것 또한 자신의 일을 다하지 않은 즉 Due care에 문제가 있는 것이다.

3. 일반 개개인의 보안 마인드

기업들의 보안 마인드 이상으로 문제가 되는 것이 이것이다. 일반 사용자들은 가입시 자신의 정보를 아무 거리낌 없이 쓰고 이 데이터가 설마 유출 되겠느냐는 생각을 한다. 그리고 이런 데이터로 무엇을 할 수 있냐는 생각을 한다. 그러나 조금만 생각하면 주민번호와 이름만 있으면 못할 것도 없는게 이 대한민국이다. 자신의 정보를 보호하기 위해 스스로가 서비스 업체에게 요구하거나 좀더 능동적으로 행동을 해야 한다. 또한 자신의 아이디와 비밀번호를 친한사람에게 알려주는 등에 대하여 부담스러워 하지 않는 경우도 있다. 이 또한 얼마나 위험한 짓인가 말이다.

4. 개발자의 보안 마인드

해킹방법은 크게 두가지로 볼수 있다. Social Engineering(사회 공학적 기법)과 테크니컬한 기법으로 구분 할 수 있다. 사회 공학적 기법은 개인들의 보안 마인드가 없는 것을 이용 하는 기법이다.(메일을 통해 사람을 속여 웜을 심는다던가, 고객센터에 전화를 하여 정보를 취한다던가 전화 피싱등이 이에 속한다.) 이것은 뚜렷한 해결책은 없지만 계속적인 계몽이나 교육으로 해결 해야 하는 부분이라 쉽지 않은 부분이다. 그러나 테크니컬한 기법은 개발자가 보안에 대해 생각하여 개발을 한다면 충분히 막을 수 있다. 개발시 SQL INJECTION이나 XSS 취약점에 대해 충분히 생각하고 개인정보에대한 암호화라던가 충분히 보안 할 수 있는 부분들이 있다. 그러나 여러 환경에 의해 이런것이 등한시 되어 개발 되는 것이 대부분이다. 이것은 개발자와 개발 회사 모두가 책임을 저야 하는 사항이다. 결국 몇일 공기를 당기려다가 추후 더 큰일이 발생할 수 있는 공간을 만드는 것이다. 이것은 개발자 스스로 반성 하고 더욱더 노력 해야 할 것이다.


지금까지 필자가 생각하는 현재 우리나라 IT 보안의 문제점을 나열 해보았다. 결국 이 모든 해킹 사건은 누구하나의 잘못만으로 발생 하는 것이 아니다. 총체적인 IT 인프라의 문제점으로 발생 하는 것이다.
이제는 이런 IT의 환경을 변화하려고 노력 해야 한다. 제도적으로 보안을 하지 않는한 이 환경은 변하지도 않을 것이고 변화 하기도 힘들다.
오히려 요즘의 해킹 대란은 IT환경이 변화 할 수 있는 기회로 여기고 좀더 발전할 수 있는 방향으로 변화하였으면 한다.

몇달전 옥션 해킹 사건이 이슈화 되었을때 우리나라는 정말 허울만 좋은 IT강국이라고 생각을 하였다.그리고 옥션측에서 최근에 이 사고에 대한 대응을 보고 있으면 옥션은 사후 대응을 그나마 괜찮다는 생각을 한다.

얼마전 다음, LGT에 대한 개인정보 유출 사고와는 판이하게 다른 대응을 보면서 그래도 축소하거나 쉬쉬 하지 않는 것만 해도 다행이다 생각을 한다. 이 기회에 많은 사용자들과 또한 쇼핑몰등 개인 정보를 취급하는 사이트에서 좀 더 보안 의식을 고취 시킬수 있는 계기가 되었으면 한다.

물론 옥션을 옹호하지 않는다. 애초에 보안쪽에 많은 투자를 하여 이런 사건이 일어나지 않게 했어야 한다. 이것은 옥션이 피 할수 없는 가장 큰 문제점이다. 그러나 보안 윤리 차원에서 보면 사후 대응은 그래도 괜찬았다 라고 필자는 생각한다. 단 현재까지이다...

앞으로 피해자들에게 어떻게 할 것이며 향후 보안에 대해 어떻게 할 것인지에 대한 구체적인 계획들이 어떻게 나오느냐를 보고 최종 판단해야 하지 않을까 한다.

그러나 원천적으로 이 문제를 해결 하려면 회원가입시 요구하는 사용자 정보가 문제이다.
필자도 포털의 악플등으로 인하여 어느정도 제도적 장치가 필요 하다는 생각을 하지만 그것을 개인정보를 이용한 실명제로 하는 것은 옥션과 같이 기존의 보안 사고의 피해를 보고 있노라면 다른 방안을 강구 해야 하지 않을가 한다. 단순히 탁상공론으로 편안한 방법인 개인정보 입력받는 방식은 모든 인터넷을 사용하는 인구들의 정보가 무한한 인터넷 세상에 오픈된것과 같아진다.
뭐 이렇게 생각 하는 사람이 있을 수 있다. 애초에 잘 막으면 되지 않냐고.. 그러나 이것은 정말 모르고 하는 이야기다. 100% 보안은 없다. 이것은 확실하다. 사용자들의 무지로 인하여 보안이 뚤릴수 있고 보안기술보다 더 뛰어나 해킹 기술이 있어서 그럴 수 있다.

해킹의 위험률은 데이터 가치와 비례한다.
즉 데이터의 가치가 적으면 해커들은 관심을 가지지 않는다.
이 관점에서 봤을 시 현재 존재하고 있는 거의 모든 국내 웹사이트를 보자. 개인정보를 요구 하지 않는 곳이 거의 없다. 대한민국에서 주민번호와 연락처만 있으면 왠만한 것들은 다 할 수 있다. 즉 이 개인정보는 엄청난 데이터 가치가 있다는 것이다. 그렇다면 당연히 해커들은 관심을 가지는데 그렇다고 각 웹 사이트들의 보안은 강력하나? 그렇지 않다는 것이다. 즉 개인정보를 담고 있는한 결국 국내 사이트들은 언제나 해킹의 위험에 놓여져 있는 것이다.

이제는 단순히 개인정보를 받아 편하게 인증하는 방식은 버려야 할때가 되었다. 해외사례를 보더라도 개인정보를 요구하는 곳은 없다. 이제 인식 전환이 필요 할때다. 이젠 사이트 관리자, 보안담당자등 모여서 개인정보를 사용하지 않으면서 사용자들을 인증 할 수 있는 좀더 나은 방법을 강구 할때인 것이다.

덧붙임) 필자도 옥션 조회를 해보니 계좌번호까지 유출되었다. 필자는 예전에 많은 사이트를 가입했기에 내 개인정보는 이미 많은 유출이 잃어 난것으로 판단하여 젠장 또야라 했지만 이번엔 계좌정보까지 오픈 되었다니 할말을 일었다.
이 글을 읽는 독자들도 꼭 한번 확인 하기 바란다. --> 옥션 유출 정보 확인하기.

최근 다음/ 미래엣세등 다양한 보안 사고가 발생을 하고 있다. 그리고 얼마전 LG텔레콤의 개인정보 유출 사고까지....

지금까지 필자가 보안에 관련하여 회사의 문제점들을 언급하였다면 오늘은 조금은 다른 입장에서 이야기 해보고자 한다.
필자가 개발자이고 최근에 보안 관련 지식에 대해 공부하고 있는 시점에서 개발자들의 보안 인식에 대해 한번 이야기 해보고자 한다.

과연 개발자들의 보안 의식은 과연 어떠한 수준일까?

나의 개인적 생각으로 평균적으로 따질때 50%의 레벨도 안된다 생각한다. 아니 어쩌면 너무 후하게 준것이 아닐가도 생각을 한다.
과연 개발과정에서 보안에 대해 얼마나 주안점을 두고 생각을 하는가? 이다.
개발자들의 가장 기본적인 접근 방법은 기능이다. 기능 우선에 일정에 쫗기다 보니 보안 관련하여 생각을 하지 않는다.(개발 일정과 환경을 탓 할 수 있지만 이것은 어쩜 핑계가 아닐가 하는 생각도 든다.)

과연 버퍼오버런에 관련 한 코드를 생각하고 개발을 할까? SQL 인젝션이나 XSS 취약점에 대해 생각하고 개발을 할까? 분명 예라고 말하는 개발자들 또한 많을거라 생각을 하지만.. 글쎄...

필자도 개발자지만 1차도 기능과 퍼포먼스요 2차도 기능과 퍼포먼스만 생각한다. 그러나 이것은 보안적인 입장에서 볼때 가장 보안을 위협할 수 있는 가장 기본적인 위치라는 것이다. 이론 적으로는 프로그램 설계부터 테스트 단계까지 보안의 모든 항목들이 포함되어야 한다는 것이다. 개발자의 메인터넌스 홀도 보안의 홀이요 Logic Bomb이 들어갈 수도 있다.

정리 하는 의미에서 스스로에게 질문을 한번 던져보자.

당신은 개발할 때 보안요소에 대해 생각을 하는가? 이런 이야기를 들을 때 '에이 그런거 필요하나?'라는 생각이 드는 지 한번은 돌이켜 봐야 하지 않을까 한다.

‘다음’ 일부 시스템 작년 10월께 해킹

도대체 어떤 방식으로 뚤렸을까 하고 찾아봤더니 결국.. 다음과 같이 귀결 되네요.

다음은 고객상담 업무를 외주 업체에 맡겨 왔으며, 해당 시스템에는 적절한 보안시스템이 구축되지 않은 상태였다.

결국 관리자가 시스템 관리를 하지 않아 보안패치등을 하지 않고 취약점 파악을 하지 않았다는 이야기가 된다.

아무리 외주 업체라지만 이것은 다음의 1차적인 문제이다. 이것을 외주업체에서 관리 한다면 그 업체의 보안 까지 같이 봤어야 한다. 그러나 그것을 무시한 다음이 가장 큰 문제이다.(물론 외주업체 또한 보안 의식 없는것은 우리나라에 공공연한 보안 문제점이다.)

몇년전 새해가 밝을 쯤에 인터넷 대란이 있었던것이 기억나실겁니다. 그런데 이때도 패치등을 하지 않아 문제가 발생을 하였습니다. 그게 불과 몇년전인데 그때나 지금이나 변화된게 없습니다.

그런데 문제는 이게 다음만의 문제가 아니라고 생각이 듭니다. 이 사람의 PC에 NHN의 데이터도 들어있었다고 하니깐요. 그렇다면 계속적으로 왜 이런일이 발생 하는 것인가? 보통 기업들은 돈과 관련된 데이터에 대해서만 민감합니다. 아직 개인정보 유출에 대해 설마 하면서 별로 신경쓰지 않는듯합니다.(그래도 예전보다는 많이 좋아졌겠지만요..)

아마 지금도 그렇게 생각하겠지요.개인정보 유출에 대한 데이터에 대해 걱정 하는 것이 아니라 해당 업체의 인지도에 타격을 입지 않을까 하며 전전긍긍 할것 같네요.

덧붙임) 보안 제품들을 설치 한다 해도 완벽하게 막을 수 있는 보안 제품들은 없습니다. 사용자들(개발자, 경영진 등등)의 인식변화가 있어야 그나마 완벽에 가까운 보안이 될 수 있습니다.