벌써 꽤 지난 내용이지만 계속 벼루다가 이제야 작성 합니다.

세계 해킹·보안의 중심에 선 한국의 ‘Taekwon-V’

음 이 팀에 아는 분이 한 분이 있어 가끔 소식은 접했지만 ㅎㅎㅎ 당당히 세계 4위를 할줄이야.
워낙에 실력을 아는지라 가끔 갈쳐달라고 때를 쓰지만 잘 안갈쳐줘서 조금은 섭섭한 ㅎㅎㅎ

아무튼 이 내용은 내가 아는 분이 이 팀에 있다고 자랑 하고 싶어 작성한 포스트입니다.

필자는 보안 솔루션 개발자이기도 하고 또한 보안관리 및 감리 측면에서 공부를 하고 있는중이다.
그런데 올해 들어 보안사고에 대한 기사들이 하루가 멀다하고 나오고 있다.
(물론 필자가 개발만 할때와의 시각차이가 있기도 하겠지만 말이다.)

해킹대란이라고 불릴만큼의 해킹사건이 많이 일어나고 있다. 다음, NHN, 청와대, 옥션 등등..
그러나 이것은 최근에 알려진 케이스이고 기존에도 많인 해킹 사례가 알려지지 않았지만 많았을 것이다. 오죽하면 한국은 공격경유지라는 이야기가 있을까...

이는 전 세계적으로 앞서는 네트워크 인프라의 발전으로 볼 수 있다. 다만 기술적 발전만 있었다는 것이 현재 해킹대란이 일어나고 있는 것이다.

현재 필자가 생각하는 문제점 몇개를 짚고 넘어가보겠다.

1. 기업의 보안 마인드

 현재 대부분의 기업들은 보안에 대한 인식을 잘 하지 못한다. 경영진들은 보안에 대한 투자를 아까워 한다. 즉 그 돈으로 실제 수입이 생기는 곳에 쓰고 싶어 한다는 것이다. 특히 덩치가 커질수록 보안 투자되는 비용은 증가 되는데 경영진입장에서는 수익도 생기지 않는 곳에 더 많은 투자를 하기에는 배가 아플 것이다. 이것을 고치지 않는 한 언제나 해킹 사고는 발생 할 수 있다.

2. 서비스 업체의 마인드

현재 우리나라는 네트워크 인프라를 바탕으로 만은 인터넷 서비스를 한다.개인 고객의 DB를 자산의 일부로 생각을 하고 고객을 유치하려고 한다. 이는 스스로 개인정보가 돈이라는 것을 알고 있다. 그러나 이것에 대한 보호에 대해선 등한시 한다. 어떻게 하던 데이터만 느리려고 한다는 것이다.이것을 자의에 의해 다른 곳에 넘겨도 엄청난 수익이 발생 할 수있다. 즉 서비스 업체의 윤리적인 문제가 있다는 것이다. 또한 그런 생각을 하지 않는 업체라 해도 이 데이터가 돈이라고 생각을 하면서 보호하려고 하지 않는 다는 것이다. 특히 요즘 같이 협업이 많은 경우 관련 업체들까지 관리를 하여야 하는데 그것은 그 업체 사정이라고 뒷짐만 지는 것 또한 자신의 일을 다하지 않은 즉 Due care에 문제가 있는 것이다.

3. 일반 개개인의 보안 마인드

기업들의 보안 마인드 이상으로 문제가 되는 것이 이것이다. 일반 사용자들은 가입시 자신의 정보를 아무 거리낌 없이 쓰고 이 데이터가 설마 유출 되겠느냐는 생각을 한다. 그리고 이런 데이터로 무엇을 할 수 있냐는 생각을 한다. 그러나 조금만 생각하면 주민번호와 이름만 있으면 못할 것도 없는게 이 대한민국이다. 자신의 정보를 보호하기 위해 스스로가 서비스 업체에게 요구하거나 좀더 능동적으로 행동을 해야 한다. 또한 자신의 아이디와 비밀번호를 친한사람에게 알려주는 등에 대하여 부담스러워 하지 않는 경우도 있다. 이 또한 얼마나 위험한 짓인가 말이다.

4. 개발자의 보안 마인드

해킹방법은 크게 두가지로 볼수 있다. Social Engineering(사회 공학적 기법)과 테크니컬한 기법으로 구분 할 수 있다. 사회 공학적 기법은 개인들의 보안 마인드가 없는 것을 이용 하는 기법이다.(메일을 통해 사람을 속여 웜을 심는다던가, 고객센터에 전화를 하여 정보를 취한다던가 전화 피싱등이 이에 속한다.) 이것은 뚜렷한 해결책은 없지만 계속적인 계몽이나 교육으로 해결 해야 하는 부분이라 쉽지 않은 부분이다. 그러나 테크니컬한 기법은 개발자가 보안에 대해 생각하여 개발을 한다면 충분히 막을 수 있다. 개발시 SQL INJECTION이나 XSS 취약점에 대해 충분히 생각하고 개인정보에대한 암호화라던가 충분히 보안 할 수 있는 부분들이 있다. 그러나 여러 환경에 의해 이런것이 등한시 되어 개발 되는 것이 대부분이다. 이것은 개발자와 개발 회사 모두가 책임을 저야 하는 사항이다. 결국 몇일 공기를 당기려다가 추후 더 큰일이 발생할 수 있는 공간을 만드는 것이다. 이것은 개발자 스스로 반성 하고 더욱더 노력 해야 할 것이다.


지금까지 필자가 생각하는 현재 우리나라 IT 보안의 문제점을 나열 해보았다. 결국 이 모든 해킹 사건은 누구하나의 잘못만으로 발생 하는 것이 아니다. 총체적인 IT 인프라의 문제점으로 발생 하는 것이다.
이제는 이런 IT의 환경을 변화하려고 노력 해야 한다. 제도적으로 보안을 하지 않는한 이 환경은 변하지도 않을 것이고 변화 하기도 힘들다.
오히려 요즘의 해킹 대란은 IT환경이 변화 할 수 있는 기회로 여기고 좀더 발전할 수 있는 방향으로 변화하였으면 한다.

몇달전 옥션 해킹 사건이 이슈화 되었을때 우리나라는 정말 허울만 좋은 IT강국이라고 생각을 하였다.그리고 옥션측에서 최근에 이 사고에 대한 대응을 보고 있으면 옥션은 사후 대응을 그나마 괜찮다는 생각을 한다.

얼마전 다음, LGT에 대한 개인정보 유출 사고와는 판이하게 다른 대응을 보면서 그래도 축소하거나 쉬쉬 하지 않는 것만 해도 다행이다 생각을 한다. 이 기회에 많은 사용자들과 또한 쇼핑몰등 개인 정보를 취급하는 사이트에서 좀 더 보안 의식을 고취 시킬수 있는 계기가 되었으면 한다.

물론 옥션을 옹호하지 않는다. 애초에 보안쪽에 많은 투자를 하여 이런 사건이 일어나지 않게 했어야 한다. 이것은 옥션이 피 할수 없는 가장 큰 문제점이다. 그러나 보안 윤리 차원에서 보면 사후 대응은 그래도 괜찬았다 라고 필자는 생각한다. 단 현재까지이다...

앞으로 피해자들에게 어떻게 할 것이며 향후 보안에 대해 어떻게 할 것인지에 대한 구체적인 계획들이 어떻게 나오느냐를 보고 최종 판단해야 하지 않을까 한다.

그러나 원천적으로 이 문제를 해결 하려면 회원가입시 요구하는 사용자 정보가 문제이다.
필자도 포털의 악플등으로 인하여 어느정도 제도적 장치가 필요 하다는 생각을 하지만 그것을 개인정보를 이용한 실명제로 하는 것은 옥션과 같이 기존의 보안 사고의 피해를 보고 있노라면 다른 방안을 강구 해야 하지 않을가 한다. 단순히 탁상공론으로 편안한 방법인 개인정보 입력받는 방식은 모든 인터넷을 사용하는 인구들의 정보가 무한한 인터넷 세상에 오픈된것과 같아진다.
뭐 이렇게 생각 하는 사람이 있을 수 있다. 애초에 잘 막으면 되지 않냐고.. 그러나 이것은 정말 모르고 하는 이야기다. 100% 보안은 없다. 이것은 확실하다. 사용자들의 무지로 인하여 보안이 뚤릴수 있고 보안기술보다 더 뛰어나 해킹 기술이 있어서 그럴 수 있다.

해킹의 위험률은 데이터 가치와 비례한다.
즉 데이터의 가치가 적으면 해커들은 관심을 가지지 않는다.
이 관점에서 봤을 시 현재 존재하고 있는 거의 모든 국내 웹사이트를 보자. 개인정보를 요구 하지 않는 곳이 거의 없다. 대한민국에서 주민번호와 연락처만 있으면 왠만한 것들은 다 할 수 있다. 즉 이 개인정보는 엄청난 데이터 가치가 있다는 것이다. 그렇다면 당연히 해커들은 관심을 가지는데 그렇다고 각 웹 사이트들의 보안은 강력하나? 그렇지 않다는 것이다. 즉 개인정보를 담고 있는한 결국 국내 사이트들은 언제나 해킹의 위험에 놓여져 있는 것이다.

이제는 단순히 개인정보를 받아 편하게 인증하는 방식은 버려야 할때가 되었다. 해외사례를 보더라도 개인정보를 요구하는 곳은 없다. 이제 인식 전환이 필요 할때다. 이젠 사이트 관리자, 보안담당자등 모여서 개인정보를 사용하지 않으면서 사용자들을 인증 할 수 있는 좀더 나은 방법을 강구 할때인 것이다.

덧붙임) 필자도 옥션 조회를 해보니 계좌번호까지 유출되었다. 필자는 예전에 많은 사이트를 가입했기에 내 개인정보는 이미 많은 유출이 잃어 난것으로 판단하여 젠장 또야라 했지만 이번엔 계좌정보까지 오픈 되었다니 할말을 일었다.
이 글을 읽는 독자들도 꼭 한번 확인 하기 바란다. --> 옥션 유출 정보 확인하기.