2011년 7월 26일, 대한민국 IT 역사상 최대 규모의 개인정보 해킹 사고가 발생했다. 대한민국의 중딩(?) 이상 국민이라면 하나쯤 ID를 갖고 있는 네이트닷컴과 싸이월드에서 발생한 보안사고 이기에 그 심리적인 충격은 상상하기 어려울 만큼 크다.
“공지확인”을 타고 들어가면 다음과 같이 개인정보 유출 여부를 확인할 수 있다.
아무짝에도 쓸모없는 패스워드 암호화 ?
SK컴즈는 유출된 정보에 ID와 패스워드가 포함되어 있으나 패스워드는 암호화되어 있으므로 아무문제가 없다고 말한다. 하지만 SBS의 기자가 테스트한 결과 숫자와 알파벳으로 구성된 6자리의 패스워드의 경우 짧으면 3초, 길면 30여초 내에 패스워드를 확인할 수 있다고 한다. (남들 다 쓰는 단순한 hashing알고리즘만을 썼다면 당연한 결과다.)
관련기사
인터넷에는 여러가지의 패스워드 크래킹 툴들이 공개되어 있다. 이 크래킹툴들을 이용하면 “암호화된 패스워드”만 알고 있다면 패스워드가 아무리 복잡하고 길어도 이론적으로 해킹이 가능하다. 더군다나 8자리 이하에 숫자와 알파벳으로만 구성되어 있다면 요즘 판매되는 PC의 우수한 성능을 감안할 때 한시간이내에 뚫린다고 보면 된다.
만약 여러 패스워드 크래킹 툴을 무력화 할 수 있는 더욱 안전한 암호화 방법을 사용했다면 SK컴즈의 말대로 훨씬 안전할 수 있다. 하지만 그렇다고 확신할 수는 없다. 네이트의 암호화 방식이 안전하다고 누가 책임진다고하던가?
개인정보를 보관하고 있는 포털에서 개인정보를 허술하게 관리하여 해킹에 무기력하게 데이터를 탈취당한 상태에서 패스워드가는 안전하다고 외치는 것을 과연 신뢰할 사람이 몇이나 되겠는가 ?
이번에도 좀비PC 때문이다 ?
또 나왔다. DDOS 공격때문에 발생한
77인터넷 대란
, 그 후에 발생한 몇몇 공공기관의 서비스 마비,
농협의 270대 서버의 파일삭제로 인한 사고
, 그리고 이번 네이트닷컴과 싸이월드의 해킹사고까지 단골 손님(?)으로 등장하는 것이 좀비PC다.
현재까지의 네이트닷컴의 해킹사고에 대한 조사결과를 정리하면 다음과 같은 해킹 과정이 추측된다.
1. 이메일을 통해 개발자의 PC에 원격제어가 가능한 프로그램이 설치되었다.
2. 해커가 개발자의 PC에 연결하고 서버의 관리자(root 혹은 db접근가능한 ID) 계정과 패스워드를
획득하였다.
3. 해커가 개발자 모르게 서버에 접속하여 DB까지 접속하였다.
4. 3500만명의 정보를 파일로 Export하였다.
5. PC로 Export된 파일을 가져오고…
(혹은 서버에서 직접 중국의 해커가 관리하는 서버로 접속하여 파일 직접 전송)
6. PC로 가져온 파일을 해커의 PC혹은 서버로 전송
이번에도 역시 서버의 책임보다는 개발자 개인의 PC로 그 책임이 귀결되어지는 양상이다. Windows가 설치되는 PC는 근본적으로 보안에 취약할 수 밖에 없다. 역시 이번에도 백신이 설치되어 있었지만 무용지물이었다. 알려지지 않은 공격도구를 백신은 탐지하지 못하기 때문이다. 그리고 이 사실은 SK컴즈의 보안책임자도 잘~알고 있을 것이다.
그리고 이메일로 전파되는 공격도구를 차단할 방법은 사실 없다고 봐도 무방하다. 메일월이나 IPS등등 많은 네트워크 보안도구들이 있지만 이번처럼 새로운 공격도구를 만들어 공격하면 차단이 불가능하다. 이러한 사실 또한 보안전문가들은 잘~알고 있다.
결국 이러한 보안사고를 예방하기 위해서는 좀비PC가 되는 개인PC와 그 PC의 주인인 개인만 조질(?)것이 아니라 중요한 데이터가 저장된 서버의 보안을 강화하는 것이 보다 효과적임은 자명한 사실이다.
서버의 보안을 강화하지 않으면 이번 SK컴즈의 해킹사고와 같은 보안사고는 계속 발생할 것이다.
아니… 언론에 공개되지 않는 수많은 보안사고가 이미 발생하고 있다. 지금도 발생하고 있을 수 많은 보안사고 중 하나가 “네이트닷컴” 개인정보 DB 해킹사고 일 뿐이다.
별로 새로운 이야기는 아니다.