필자는 보안 솔루션 개발자이기도 하고 또한 보안관리 및 감리 측면에서 공부를 하고 있는중이다.
그런데 올해 들어 보안사고에 대한 기사들이 하루가 멀다하고 나오고 있다.
(물론 필자가 개발만 할때와의 시각차이가 있기도 하겠지만 말이다.)

해킹대란이라고 불릴만큼의 해킹사건이 많이 일어나고 있다. 다음, NHN, 청와대, 옥션 등등..
그러나 이것은 최근에 알려진 케이스이고 기존에도 많인 해킹 사례가 알려지지 않았지만 많았을 것이다. 오죽하면 한국은 공격경유지라는 이야기가 있을까...

이는 전 세계적으로 앞서는 네트워크 인프라의 발전으로 볼 수 있다. 다만 기술적 발전만 있었다는 것이 현재 해킹대란이 일어나고 있는 것이다.

현재 필자가 생각하는 문제점 몇개를 짚고 넘어가보겠다.

1. 기업의 보안 마인드

 현재 대부분의 기업들은 보안에 대한 인식을 잘 하지 못한다. 경영진들은 보안에 대한 투자를 아까워 한다. 즉 그 돈으로 실제 수입이 생기는 곳에 쓰고 싶어 한다는 것이다. 특히 덩치가 커질수록 보안 투자되는 비용은 증가 되는데 경영진입장에서는 수익도 생기지 않는 곳에 더 많은 투자를 하기에는 배가 아플 것이다. 이것을 고치지 않는 한 언제나 해킹 사고는 발생 할 수 있다.

2. 서비스 업체의 마인드

현재 우리나라는 네트워크 인프라를 바탕으로 만은 인터넷 서비스를 한다.개인 고객의 DB를 자산의 일부로 생각을 하고 고객을 유치하려고 한다. 이는 스스로 개인정보가 돈이라는 것을 알고 있다. 그러나 이것에 대한 보호에 대해선 등한시 한다. 어떻게 하던 데이터만 느리려고 한다는 것이다.이것을 자의에 의해 다른 곳에 넘겨도 엄청난 수익이 발생 할 수있다. 즉 서비스 업체의 윤리적인 문제가 있다는 것이다. 또한 그런 생각을 하지 않는 업체라 해도 이 데이터가 돈이라고 생각을 하면서 보호하려고 하지 않는 다는 것이다. 특히 요즘 같이 협업이 많은 경우 관련 업체들까지 관리를 하여야 하는데 그것은 그 업체 사정이라고 뒷짐만 지는 것 또한 자신의 일을 다하지 않은 즉 Due care에 문제가 있는 것이다.

3. 일반 개개인의 보안 마인드

기업들의 보안 마인드 이상으로 문제가 되는 것이 이것이다. 일반 사용자들은 가입시 자신의 정보를 아무 거리낌 없이 쓰고 이 데이터가 설마 유출 되겠느냐는 생각을 한다. 그리고 이런 데이터로 무엇을 할 수 있냐는 생각을 한다. 그러나 조금만 생각하면 주민번호와 이름만 있으면 못할 것도 없는게 이 대한민국이다. 자신의 정보를 보호하기 위해 스스로가 서비스 업체에게 요구하거나 좀더 능동적으로 행동을 해야 한다. 또한 자신의 아이디와 비밀번호를 친한사람에게 알려주는 등에 대하여 부담스러워 하지 않는 경우도 있다. 이 또한 얼마나 위험한 짓인가 말이다.

4. 개발자의 보안 마인드

해킹방법은 크게 두가지로 볼수 있다. Social Engineering(사회 공학적 기법)과 테크니컬한 기법으로 구분 할 수 있다. 사회 공학적 기법은 개인들의 보안 마인드가 없는 것을 이용 하는 기법이다.(메일을 통해 사람을 속여 웜을 심는다던가, 고객센터에 전화를 하여 정보를 취한다던가 전화 피싱등이 이에 속한다.) 이것은 뚜렷한 해결책은 없지만 계속적인 계몽이나 교육으로 해결 해야 하는 부분이라 쉽지 않은 부분이다. 그러나 테크니컬한 기법은 개발자가 보안에 대해 생각하여 개발을 한다면 충분히 막을 수 있다. 개발시 SQL INJECTION이나 XSS 취약점에 대해 충분히 생각하고 개인정보에대한 암호화라던가 충분히 보안 할 수 있는 부분들이 있다. 그러나 여러 환경에 의해 이런것이 등한시 되어 개발 되는 것이 대부분이다. 이것은 개발자와 개발 회사 모두가 책임을 저야 하는 사항이다. 결국 몇일 공기를 당기려다가 추후 더 큰일이 발생할 수 있는 공간을 만드는 것이다. 이것은 개발자 스스로 반성 하고 더욱더 노력 해야 할 것이다.


지금까지 필자가 생각하는 현재 우리나라 IT 보안의 문제점을 나열 해보았다. 결국 이 모든 해킹 사건은 누구하나의 잘못만으로 발생 하는 것이 아니다. 총체적인 IT 인프라의 문제점으로 발생 하는 것이다.
이제는 이런 IT의 환경을 변화하려고 노력 해야 한다. 제도적으로 보안을 하지 않는한 이 환경은 변하지도 않을 것이고 변화 하기도 힘들다.
오히려 요즘의 해킹 대란은 IT환경이 변화 할 수 있는 기회로 여기고 좀더 발전할 수 있는 방향으로 변화하였으면 한다.

몇달전 옥션 해킹 사건이 이슈화 되었을때 우리나라는 정말 허울만 좋은 IT강국이라고 생각을 하였다.그리고 옥션측에서 최근에 이 사고에 대한 대응을 보고 있으면 옥션은 사후 대응을 그나마 괜찮다는 생각을 한다.

얼마전 다음, LGT에 대한 개인정보 유출 사고와는 판이하게 다른 대응을 보면서 그래도 축소하거나 쉬쉬 하지 않는 것만 해도 다행이다 생각을 한다. 이 기회에 많은 사용자들과 또한 쇼핑몰등 개인 정보를 취급하는 사이트에서 좀 더 보안 의식을 고취 시킬수 있는 계기가 되었으면 한다.

물론 옥션을 옹호하지 않는다. 애초에 보안쪽에 많은 투자를 하여 이런 사건이 일어나지 않게 했어야 한다. 이것은 옥션이 피 할수 없는 가장 큰 문제점이다. 그러나 보안 윤리 차원에서 보면 사후 대응은 그래도 괜찬았다 라고 필자는 생각한다. 단 현재까지이다...

앞으로 피해자들에게 어떻게 할 것이며 향후 보안에 대해 어떻게 할 것인지에 대한 구체적인 계획들이 어떻게 나오느냐를 보고 최종 판단해야 하지 않을까 한다.

그러나 원천적으로 이 문제를 해결 하려면 회원가입시 요구하는 사용자 정보가 문제이다.
필자도 포털의 악플등으로 인하여 어느정도 제도적 장치가 필요 하다는 생각을 하지만 그것을 개인정보를 이용한 실명제로 하는 것은 옥션과 같이 기존의 보안 사고의 피해를 보고 있노라면 다른 방안을 강구 해야 하지 않을가 한다. 단순히 탁상공론으로 편안한 방법인 개인정보 입력받는 방식은 모든 인터넷을 사용하는 인구들의 정보가 무한한 인터넷 세상에 오픈된것과 같아진다.
뭐 이렇게 생각 하는 사람이 있을 수 있다. 애초에 잘 막으면 되지 않냐고.. 그러나 이것은 정말 모르고 하는 이야기다. 100% 보안은 없다. 이것은 확실하다. 사용자들의 무지로 인하여 보안이 뚤릴수 있고 보안기술보다 더 뛰어나 해킹 기술이 있어서 그럴 수 있다.

해킹의 위험률은 데이터 가치와 비례한다.
즉 데이터의 가치가 적으면 해커들은 관심을 가지지 않는다.
이 관점에서 봤을 시 현재 존재하고 있는 거의 모든 국내 웹사이트를 보자. 개인정보를 요구 하지 않는 곳이 거의 없다. 대한민국에서 주민번호와 연락처만 있으면 왠만한 것들은 다 할 수 있다. 즉 이 개인정보는 엄청난 데이터 가치가 있다는 것이다. 그렇다면 당연히 해커들은 관심을 가지는데 그렇다고 각 웹 사이트들의 보안은 강력하나? 그렇지 않다는 것이다. 즉 개인정보를 담고 있는한 결국 국내 사이트들은 언제나 해킹의 위험에 놓여져 있는 것이다.

이제는 단순히 개인정보를 받아 편하게 인증하는 방식은 버려야 할때가 되었다. 해외사례를 보더라도 개인정보를 요구하는 곳은 없다. 이제 인식 전환이 필요 할때다. 이젠 사이트 관리자, 보안담당자등 모여서 개인정보를 사용하지 않으면서 사용자들을 인증 할 수 있는 좀더 나은 방법을 강구 할때인 것이다.

덧붙임) 필자도 옥션 조회를 해보니 계좌번호까지 유출되었다. 필자는 예전에 많은 사이트를 가입했기에 내 개인정보는 이미 많은 유출이 잃어 난것으로 판단하여 젠장 또야라 했지만 이번엔 계좌정보까지 오픈 되었다니 할말을 일었다.
이 글을 읽는 독자들도 꼭 한번 확인 하기 바란다. --> 옥션 유출 정보 확인하기.

오늘 아침 (ISC)2에서 메일이 왔습니다. 지난주에 합격후 필요한 서류를 팩스로 보낸 후 1주일만에 처리 통보가 온것입니다.

CISSP 자격증이 합격만 한다고 발급 되는 것은 아닙니다.
합격 메일을 받으면 기본적으로 요청하는 데이터가 있습니다.

기본적인 자료는 2개입니다.
  1. ENDORSEMENT FORM
  2. RESUME

이 두가지 입니다.

1. ENDORSEMENT FORM은 추천서의 일종입니다.
합격 메일에 보면 이 추천서 양식이 링크가 걸려 있습니다.(https://www.isc2.org/cgi-bin/content.cgi?page=1278)
(ISC)2에서 주관하는 자격증 소지자의 추천서를 받는 것입니다. 만약 주위에 CISSP가 존재 하지 않는다면 (ISC)2에서 추천 해달라고 할 수도 있습니다. FORM에보면 WAVER 부분이 있는데 추천인이 없는 경우 여기에 자신의 이름을 쓰십시오.

2. RESUME는 경력증명서 입니다.
특별한 양식은 존재 하지 않고 경력 및 한 일에 대해 영문으로 상세히 기제 하시면 됩니다.(반듯이 영문) 또한 각 프로젝트던 회사 이력이던 각 항목별로 경력 증멸할 Contact Person의 정보를 입력하셔야 합니다. Contact Person의 정보는 영문 이름, 이메일 주소, FAX 번호 정도입니다.
기존 회사가 문을 닫고 그랬다면 현재 직장의 상사이름을 올려도 됩니다. 즉 경력 증명 할 수 있는 사람이면 되니 자신의 주변인으로 작성하시면 됩니다.(실제 확인하는지는 모르겠고 한다면 이메일로 이사람증명 맞나? 라고 묻는 정도라고 합니다.)

위 사항이 기본적이 자료고 하시다 싶이 CISSP 자격증에 대한 자격요건에 CISSP CBK 도메인에 해당하는 자격경력이 5년이상이어야 하는데 1년을 줄일 수 있는데 이 경우 추가 자료가 필요 합니다.

1. 학사학위 이상 인 경우 영문 졸업 증명서를 같이 동봉 하여야 합니다.
2. MCSE나 CISA같은 자격증이 있는 경우 자격증 사본을 보내면 됩니다.
경력 1년 해택은 둘중에 하나만 되니 두개다 보내봐야 4년입니다. 유념하세요.

자 이제 이 서류를 어떻게 보내냐.. 두가지의 방법이 있습니다.
DHL같은 우편 발송과 FAX로 전송 하는 겁니다. 저 같은 경우 FAX로 전송 하였구요. FAX 전송 시 누락이 될 경우도 있다고 합니다.(다행이 전 없네요.) 대신 빠르게 처리 될수 있습니다. DHL은 안전하게 발송이 될 수 있지만 처리속도가 느립니다.

일단 접수후 사항에따라 저처럼 빨리 처리 메일이 올수도 있고 그렇지 않고 늦을 수도 있지만 발송 메일을 받을 수 있습니다.

발급 되었다는 메일이 오면 이제 CPE 점수와 라이센스 피를 내는 것으로 계속 자격을 유지 할 수 있습니다.

최근 다음/ 미래엣세등 다양한 보안 사고가 발생을 하고 있다. 그리고 얼마전 LG텔레콤의 개인정보 유출 사고까지....

지금까지 필자가 보안에 관련하여 회사의 문제점들을 언급하였다면 오늘은 조금은 다른 입장에서 이야기 해보고자 한다.
필자가 개발자이고 최근에 보안 관련 지식에 대해 공부하고 있는 시점에서 개발자들의 보안 인식에 대해 한번 이야기 해보고자 한다.

과연 개발자들의 보안 의식은 과연 어떠한 수준일까?

나의 개인적 생각으로 평균적으로 따질때 50%의 레벨도 안된다 생각한다. 아니 어쩌면 너무 후하게 준것이 아닐가도 생각을 한다.
과연 개발과정에서 보안에 대해 얼마나 주안점을 두고 생각을 하는가? 이다.
개발자들의 가장 기본적인 접근 방법은 기능이다. 기능 우선에 일정에 쫗기다 보니 보안 관련하여 생각을 하지 않는다.(개발 일정과 환경을 탓 할 수 있지만 이것은 어쩜 핑계가 아닐가 하는 생각도 든다.)

과연 버퍼오버런에 관련 한 코드를 생각하고 개발을 할까? SQL 인젝션이나 XSS 취약점에 대해 생각하고 개발을 할까? 분명 예라고 말하는 개발자들 또한 많을거라 생각을 하지만.. 글쎄...

필자도 개발자지만 1차도 기능과 퍼포먼스요 2차도 기능과 퍼포먼스만 생각한다. 그러나 이것은 보안적인 입장에서 볼때 가장 보안을 위협할 수 있는 가장 기본적인 위치라는 것이다. 이론 적으로는 프로그램 설계부터 테스트 단계까지 보안의 모든 항목들이 포함되어야 한다는 것이다. 개발자의 메인터넌스 홀도 보안의 홀이요 Logic Bomb이 들어갈 수도 있다.

정리 하는 의미에서 스스로에게 질문을 한번 던져보자.

당신은 개발할 때 보안요소에 대해 생각을 하는가? 이런 이야기를 들을 때 '에이 그런거 필요하나?'라는 생각이 드는 지 한번은 돌이켜 봐야 하지 않을까 한다.

‘다음’ 일부 시스템 작년 10월께 해킹

도대체 어떤 방식으로 뚤렸을까 하고 찾아봤더니 결국.. 다음과 같이 귀결 되네요.

다음은 고객상담 업무를 외주 업체에 맡겨 왔으며, 해당 시스템에는 적절한 보안시스템이 구축되지 않은 상태였다.

결국 관리자가 시스템 관리를 하지 않아 보안패치등을 하지 않고 취약점 파악을 하지 않았다는 이야기가 된다.

아무리 외주 업체라지만 이것은 다음의 1차적인 문제이다. 이것을 외주업체에서 관리 한다면 그 업체의 보안 까지 같이 봤어야 한다. 그러나 그것을 무시한 다음이 가장 큰 문제이다.(물론 외주업체 또한 보안 의식 없는것은 우리나라에 공공연한 보안 문제점이다.)

몇년전 새해가 밝을 쯤에 인터넷 대란이 있었던것이 기억나실겁니다. 그런데 이때도 패치등을 하지 않아 문제가 발생을 하였습니다. 그게 불과 몇년전인데 그때나 지금이나 변화된게 없습니다.

그런데 문제는 이게 다음만의 문제가 아니라고 생각이 듭니다. 이 사람의 PC에 NHN의 데이터도 들어있었다고 하니깐요. 그렇다면 계속적으로 왜 이런일이 발생 하는 것인가? 보통 기업들은 돈과 관련된 데이터에 대해서만 민감합니다. 아직 개인정보 유출에 대해 설마 하면서 별로 신경쓰지 않는듯합니다.(그래도 예전보다는 많이 좋아졌겠지만요..)

아마 지금도 그렇게 생각하겠지요.개인정보 유출에 대한 데이터에 대해 걱정 하는 것이 아니라 해당 업체의 인지도에 타격을 입지 않을까 하며 전전긍긍 할것 같네요.

덧붙임) 보안 제품들을 설치 한다 해도 완벽하게 막을 수 있는 보안 제품들은 없습니다. 사용자들(개발자, 경영진 등등)의 인식변화가 있어야 그나마 완벽에 가까운 보안이 될 수 있습니다.