태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

보안사고 (12)


대한민국 국민의 주민번호는 우리나라에 인접한 중국에서 범죄자들 사이에서 현금으로 거래가 이루어질 만큼 해커들에게는 돈이 되는 정보입니다. 하지만 정작 피해자인 대한민국의 국민들은 심각하게 받아들이지 않고 있습니다. 자신의 개인정보가 범죄자들과 해커들 사이에서 사고 팔리는 상황임에도 그리 심각하게 받아들이지 않는 이유는 무엇일까요? 


주민등록 번호의 위험성


아마도 그 이유는 "주민등록 번호 하나로 뭘 하겠어?" 라는 안일한 생각이 머리속에 자리 잡고 있기 때문일 겁니다. 하지만 그런 생각은 큰 오산입니다. 데이터베이스에 대해 조금이라도 공부를 해본 사람이라면 데이터의 조인(Join)에 대해 배웠을 겁니다. 이 데이터의 Join을 이용하면 주민 번호 하나로 엄청난 정보들을 생산해 낼 수 있습니다.


다음 그림에서 그 예를 들어보이겠습니다.


어떤 사람 A가  K은행과 S보험사 그리고 1 쇼핑몰에 가입하며 아래 그림과 같이 몇개의 정보를 제공했습니다. 그리고 그 정보는 사이트마다 다릅니다.


하지만 A씨는 세 사이트에 공통적으로 "개인을 식별"하기 위해 요구하는 주민등록 번호를 입력했습니다. 해커가 이 세 사이트를 해킹하여 A의 개인정보를 빼냈다면 해커는 A의 주민번호를 기반으로 세 사이트에서 빼낸 정보에서 A의 완벽한 정보를 추출해낼 수 있습니다.


A의 이름과 K은행의 계좌 번호의 잔고는 물론 A의 핸드폰 번호와 가족관계 그리고 사는 곳의 주소까지 한방에 얻어낼 수 있습니다. 이 정보를 이용하면 얼마 전까지도 유행(?)했던 피싱이 가능합니다.


단계 1. A씨의 K은행 잔고를 확인하고 바로 송금할 수 있는 적당한 금액을 예상할 수 있습니다.


단계 2. A씨에게 1 쇼핑몰에서 얻어낸 전화번호로 전화를 겁니다.


단계 3. A씨에게 S 보험사에서 알아낸 자녀 정보를 이용해 자녀를 A씨가 살고 있는 동네에서 납치했다고 협박하고 단계 1에서 설정한 적당한 금액을 대포통장으로 보내지 않으면 자녀를 죽일수도 있다고 강하게 협박합니다.


위의 사례처럼 다수의 웹 사이트에서 빼낸 별 의미 없는 조각난 정보를 주민등록 번호를 통해 엮을 경우(이 엮는 과정을 데이터베이스에선 Join 이라고 부르며 데이터베이스에 대한 초보적인 지식만 있어도 사용할 수 있는 기술입니다.) 해커들이나 범죄자들에겐 매우 유용한 정보가 됩니다.


범죄자는 이미 유출된 매우 다양한 개인정보를 사들여 주민등록 번호를 통해 엮기(Join)만 하면 범죄에 악용할 수 있는 완벽한 개인정보DB를 구축할 수 있습니다. 궂이 새롭게 해킹할 필요가 없습니다. 이미 유출된 개인정보만 해도 충분할 것이기 때문입니다.


주민등록 번호의 위험성을 제대로 알리지 않는 정부


주민등록번호는 과거 간첩 색출을 쉽게 하기 위해 만든 구시대의 유물입니다. 그리고 그 본래의 목적을 다하고 이젠 거의 불필요한 상태입니다. 그럼에도 불구하고 정부는 국민의 통제와 관리에 편리하다는 이유로 주민등록번호의 폐지에 대해 매우 부정적일 뿐만 아니라 그 위험성에 대해서도 국민에게 제대로 알리지 않고 있습니다. 게다가 금융기관, 통신사는 물론 보험사와 여러 공기업과 사기업들이 단지 편의성 때문에 주민등록번호를 남용하는 것을 방관하여 개인정보유출과 보안사고를 방치하고 있습니다. 그러면서 매일 국민들에겐 백신 설치 타령하고 있고 기업들에겐 보안 강화 타령을 하고 있지요. 정작 정부에서 해야 할 일은 하지 않으면서 말입니다.


하지만 이미 유출된 개인정보는 어쩔 수 없다 하더라도 지금의 어린이들과 학생들이 미래에 겪을지도 모를 매우 위험한 범죄의 위협으로 부터 안전을 지킬 수 있는 가장 효율적인 방법은 전 국민에게 공통적으로 적용되고 기업들에 의해 활용될 수 있는 매우 위험한 "개인식별번호"를 만들지 않고 기업들과 공공기관이 함께 사용하지 않는 것입니다.


당연히 지금 현재도 무분별하게 사용되고 있는 주민등록번호의 폐지와 IPIN의 폐지도 긍정적으로 검토해야 한다고 생각됩니다.


연관포스트 : 개인정보의 범위와 무분별한 사용실태


  • 개인이 2015.03.24 02:41 신고

    주민번호 노출이 너무 쉽게 이루어지는 경우가 많져. 며칠전에는 택배를 시켰는데, 사용자의 주민번호가 그대로 노출되어 배달이 되었다는 기사를 본 적이 있는데, 인식개선과 함께 제도적인 측면에서도 대책이 필요할 것같아요. 잘 보고 갑니다 ~

    • taeho Tae-Ho 2015.03.24 12:49 신고

      사이버 세상에도 안전 불감증은 똑같죠..

  • 조아하자 2015.03.24 13:02 신고

    뭐... 실명 다 밝히고 봉사활동에서 만나는 사람에게도 강간당하는 세상인데 이런것쯤이야 예삿일이죠... 너무 세상이 각박해져가는 것 같습니다.

    • taeho Tae-Ho 2015.03.24 13:07 신고

      맞아요..세상 참 각박하죠..
      너무 자기 이익만을 챙기려 하기 때문일거에요..

  • 에스델 ♥ 2015.03.24 15:33 신고

    이미 유출된 개인정보만으로도 충분하다니~
    완전 충격입니다.
    주민등록번호 유출의 위험성에 대해
    더 많은 사람들이 정확히 알게 되길 바랍니다.

    • taeho Tae-Ho 2015.03.24 18:24 신고

      안전불감증이 문제죠... 나만 아니면 된다는 이기심도 문제구요...

  • 지후대디 2015.03.24 21:02 신고

    대비책으로 정부가 예전에 내 놓은 안이 또 다른 체계의 주민번호라 경악을 했던일이 기억납니다

    • taeho Tae-Ho 2015.03.24 21:48 신고

      네..아이핀을 말씀하시는거 같네요.. 아이핀이 한동안 언급되더니..요즘엔 마이핀이라는 것도 나오더라구요.. 하여간 대한민국은 주민등록번호에 중독되어 있는 것 같습니다..
      아이핀이나 마이핀은 주민등록번호를 끊으면서 생긴 금단현상의 산물이 아닐까 생각됩니다. ^^


f

2011년 봄에 발생한 농협의 전산 시스템 장애는 IBM 엔지니어의 노트북(?)에서 원격명령으로 실행된 dd(혹은 rm) 명령에 의해 발생된 것으로 알려져 있다. 이때 장가 발생한 서버는 IBM의 AIX 운영체제가 설치된 Unix 서버 약 270여대다.


rm 명령은....

Unix 서버에서 rm 은 파일과 디렉토리를 삭제하는 명령이다. 윈도에 있는 휴지통..?? 유닉스엔 휴지통 개념이 없다. 파일이나 디렉토리는 무조건 삭제되고 복구도 불가능하다. 그래서 rm 명령을 내리면 파일 하나 하나 "진짜로 지울까요?"라고 물어보도록 강제로 설정하는 것이 기본이다.(하지만 얼마든지 무력화할 수 있다) 따라서 100개의 파일을 지우려면 100번을 y키를 눌러줘야 한다. 농협엔 이 설정이 안되어 있었을 가능성도 있다.

dd 명령은....

dd는 디스크를 이미지화하여 백업하고 문제가 발생하였을 경우 백업 받아둔 이미지로 복구할 수 있는 명령이다. 윈도에서 흔히 사용하는 트루이미지나 고스트 정도로 생각하면 틀리지 않다. 하지만 잘못된 이미지 혹은 /dev/null 을 입력으로 주고 복원하게 되면 스템은 "작살~"이 난다. 디스크의 앞부분부터 로우레벨에서 모두 지워지기 시작한다고 생각하면 된다.(윈도에서 디스크를 로우레벨로 포맷하는 것과 같음) 이경우 리부팅하면 리부팅도 되지 않을 가능성이 거의 100%다.

이 두개의 명령이 농협의 전산망을 마비시켰다고 한다.
 



의문점 1. 어떻게 320대의 서버중 275대에서 rm과 dd가 동시에 실행될 수 있는가?


농협은 275대의 서버에서 rm과 dd 명령이 동시에 실행되었다고 밝히고 있다. 이 rm과 dd 명령은 아무리 서버의 관리자 권한(root)을 갖고 있다고 하더라도 쉽게 사용하는 명령어가 아니다. 더군다나 모든 파일을 삭제하는 "rm -rf *" 명령은 엔지니어들이 쉽게 입력하고 엔터키를 누를 수 있는 명령이 절대 아니다. Unix 서버에서는 한번 삭제된 파일은 복구가 거의 불가능하다는 것을 잘 알고 있기 때문이다.

게다가 275대의 서버에 동시에 로그인하여 이 명령을 실행하는 것은 15년 넘게 엔지니어일을 하고 있는 나로서도 상상하지 못할 일이다. "바보 천치"가 아닌이상 말이다.

나도 수십대의 서버에서 같은 작업을 수행할 때는 이따금씩 여러대의 서버에 동시에 로그인해 동일한 명령을 수행하는 경우가 있다. 하지만 "rm"과 같은 명령을 수행할 땐 등골이 오싹하는 긴장속에서 실행할 수 밖에 없다. 자칫 실수할 경우 내 인생에 되돌릴 수 없는 치명적인 오점을 남기게 될 수도 있기 때문이다.

그런데... 농협의 275대 서버에서 동시에 실행되는 스크립트나 명령을 수행하면서 이런 실수를 한다고 생각하면 ??? 상상만으로도 끔찍한 일이다. 과연 IBM의 엔지니어가 이런 위험천만한 작업을 했을까?


의문점 2. 농협의 550여 명의 IT본부에 "rm, dd" 명령을 수행할 권한을 가진 사람이 없다?

이건...정말...아니다 올시다. 서버의 주인인 농협의 IT본부 550명 인력 중 rm과 dd 명령을 수행할 권한을 가진 사람이 없다니. 이 말을 한 농협 관계자는 IT본부 책임자급인 것으로 알고 있다. Unix의 지식이 전혀 없는 문외한이 아니라면 이런 말은 하지 못한다. dd나 rm은 서버에 접근할 권한이 있는 사람이라면 누구나 실행할 수 있는 명령이며 서버보안S/W를 이용해 파일접근통제 정책이 있더라도 이 명령 자체의 실행을 막을 수는 없다. 그렇게 되면 서버를 운영하기가 현실적으로 불가능하기 때문이다.

게다가 이번 장애는 서버의 Super User계정 즉 root 계정에서 실행된 것으로 보인다. root 계정이 아니라면 아무리 rm이나 dd 명령을 수행하더라도 운영체제 자체에 손상을 주는 것은 100% 불가능하다. Unix 운영체제가 그렇게 허술하게 만들어져 있지는 않다. 따라서 위의 말은 "농협IT본부 직원들은 root 계정을 사용하지 않는다."는 말이다. Unix 서버를 조금이라도 아는 사람이라면 "콧방귀"를 뀔 이야기다.

Unix서버의 root 계정은 협력사 엔지니어는 사용하지 못하게 통제할 수는 있어도 농협의 IT인력 중 최고 권한을 가진 사람에게는 허용하는 것이 기본 정책이 되어야 한다. 위의 언급대로라면 집주인이 "나는 내 집의 열쇠를 갖고 있지 않고 집을 지은 회사가 내 집의 열쇠를 갖고 있어 내 마음대로 집에 들어갈 수 없다"는 이야기와 다를 바가 없는 것이다. 이 언급은 "완벽한 책임 회피성 발언"으로서 모든 책임을 하청업체 격인 협력업체에게 전가하려는 의도가 아닐까 생각된다.

제대로된 보안정책이라면 root 계정에서 수행되는 모든 작업은 농협의 IT 본부 직원이 직접 수행하는 것이 옳다. root 계정은 쉽게 협력사 직원이나 농협IT본부의 아무에게나 허락되어서는 안되는 것이다. root 계정은 서버의 생명줄과도 같은 중요한 계정이다.


의문점 3. 너무도 허술하고 방만한 관리체계

사실 이 부분은 미스테리가 아니라 현실이다. 대부분의 전산센터를 운영하고 있는 공공기관이나 기업, 그리고 금융사들은 "비용절감"을 위해 전산시스템관리의 대부분을 외주업체에 맞긴다. 말이 좋아 외주업체지 하청에 하청에 하청을 주는 경우가 대부분이다. 그리고 3~4단계의 하청을 거쳐 가장 말단의 하청업체조차도 정규직원이 아닌 "아르바이트" 수준의 계약직원을 "파견"하는 경우가 대부분이다.

결국 고임금의 일부 정규직원은 운영체제나 애플리케이션에 대한 관리에서 빠져나가 편한 업무를 수행하고 하드웨어나 운영체제 그리고 시스템관리 소프트웨어의 운영은 하청업체의 엔지니어들이 수행하게된다. 하지만 이들은 그 시스템의 "주인"은 결코 아니다. "결국 객(客)"에게 모든 권한을 주었다는 말이된다. 말그대로 "주객이 전도됐다". 하지만 대한민국 대부분의 전산실은 지금도 "주객이 전도돼 있다."

객이 서버에 "백도어"를 심어놔도 주인은 결코 그것을 찾아낼 능력이 없는 경우가 90%는 된다고 본다. 아마도 그 백도어가 의심되면 또다른 협력업체를 불러 찾아달라고 할 것이다.


농협 전산센터야 말로 대한민국 IT 업계의 참담한 현실을 그대로 보여주는 곳이다.

개발자들 사이에서 피해야할 은행 두곳이 있다고 했다. 그 두곳중의 한곳이 바로 "농협"이다. 하지만 이것은 비단 "농협"만의 문제는 아니다. 대부분의 기업이나 공공기관들이 프로젝트를 진행하면서 엔지니어와 개발자를 너무도 심하게 쥐어짠다. 나도 신입사원시절엔 개발도 했고 지금도 재미삼아 조금씩 코딩도 하곤 하지만 참담한 개발자들의 업무환경을 보고 "개발은 때려죽여도 안한다"는 생각을 갖게 되었다.

적어도 3년은 걸려야 할 프로젝트를 1년6개월에 끝내기 위해 주말은 물론 밤을 꼬박 불태우기(?)를 밥먹듯 해야한다. 게다가 처음 요구사항들에 맞추어 프로젝트 기간과 인력을 확보하고 프로젝트를 시작하지만 이것 저것 추가적인 기능들을 요구해오니 개발시간과 비용은 점점 증가하게 된다. 그렇게 부당한 요구를 "갑"이 해오면 우리나라의 대표적인 "을~병~정~"인 SI업체들에겐 거부권이 없다. 추가되는 기능 하나 하나가 시간이요 비용인데 우리나라 사람들은 S/W는 "금나와라 뚝딱~!"하면 나오는 것으로 안다. 또 그렇게 강압적으로 해야 "일잘한다"는 평가를 받으니 참으로 어이가 없는 현실이다.

우리나라 금융권의 급여는 높기로 유명하다. 1금융권과 증권사들은 그중에서도 높다. 하지만 그 높은 인건비를 감당하기 어려워서 "비용절감... 경영효율화"를 위한다는 명분으로 급여가 싼 하청업체에게 시스템의 관리과 개발을 하청주게 된다. 그리고 그 업체 선정에  "인맥"과 리베이트가 동원될 것은 불을 보듯 뻔하다. 따라서 협력업체 직원들의 인건비는 하청에 하청을 주면서 점점 깎이기 마련이다.

이런 열악한 환경은 결국 IT개발자나 엔지니어의 수명을 짧게 만든다. 초급을 거쳐 중급개발자 혹은 중급엔지니어가 되면 많은 사람들이 높은 업무강도와 낮은 급여수준 그리고 비젼의 없음에 지쳐 IT업계를 떠나거나 마케팅, 제품기획, 영업등으로 보직을 변경한다. 그래서 우리나라에선 노하우와 경험이 풍부한 기술 인력이 부족할 수 밖에 없다. 당연히 많은 프로젝트에서 겪지 않아도될 수많은 시행착오가 반복적으로 프로젝트를 지연시키는 이유가 되곤 한다.

또한 정보시스템과 정보보호시스템에 대한 투자도 인색하기 짝이 없다. 정보시스템은 "쓸데없는, 투자대비 효용성이 떨어지는 비용 소모적인 것"이라는 인식이 강하다. 정보시스템으로 인해 많은 업무들이 신속하고 체계적으로 수행되고 있고 서로 다른 성격의 업무들이 유기적으로 통합되어 비용절감은 물론 시너지 효과를 나타내고 있는 것을 간과하기 때문이다. 

심지어 금융분야 처럼 정보시스템이 없으면 존재할 수 없는 은행이나 증권사에서 조차도 정보시스템과 보안시스템에 대한 투자에 인색한데 다른 산업분야는 언급할 필요도 없을 것이다.


그렇다면 사상최악의 보안사고인 농협의 시스템 장애는 악의적인 해킹?

도무지 이해할 수 없는 시스템 장애상황이다 보니 여러 추측이 난무하는 가운데 이런 추측이 나오기도 한다.

농협에서 일하며 너무도 고생이 심했던 누눈가가 "엿먹어 봐라"하는 심정으로 275대의 서버에서 하드디스크를 초기화하는 장애를 유발시킨것이 아닌가 라고 생각될 수도 있다. rm과 dd 명령을 통한 디스크의 초기화는 운영체제를 잘 아는 사람만이 내릴 수 있는 명령이다.  운영체제를 잘 모르는 많은 엔지니어들 조차 dd 명령어가 생소하다고 생각할 것이다. 그리고 275라는 숫자가 실수로 보기에는 너무도 말도 안되는 숫자이고 하드디스크를 완전 삭제하여 운영체제를 재설치하게 되면 사실상 포렌식이 불가능하기 때문에 그래서 이런 추측이 나오고 있는 듯 하다.

난 충분히 가능한 추측이라고 본다. (하지만 현실적이진 않다. 왜냐하면 아무리 농협에 악의적인 감정이 있더라도 IT 업계에 종사하는 사람이라면 이런 공격이 가져올 여파는 상상을 초월한다는 것을 잘 알기 때문이다.)

그리고  또 하나의 가장 가능성 높은 시나리오는 APT 공격에 의한 악의적 해킹이다.

농협에 자주 드나드는 IBM 엔지니어의 노트북에 원격제어 혹은 작업의 모니터링이 가능한 악성코드를 감염시킨 뒤 장시간 해당 엔지니어의 작업을 분석하고 농협에 들어가 농협의 전산망에 노트북을 연결하였을 때 자동으로 해당 서버들에 접속하여 dd 명령을 root 권한으로 실행하도록 하는 배치작업을 등록하였을 가능성이다. 아주 오래전 부터 치밀하게 준비하다면 충분히 가능한 APT 공격이다.

배치 작업으로 등록만 하게 되면 정해진 시간에 dd 명령이 자동으로 실행되도록 할 수 있기 때문에 수백대의 서버를 동시에 "작살~" 낼 수 있다. 매우 악의적인 공격이라고 볼 수 있다.


어찌됐든 2011년 발생한 농협의 사상 최악의 금융시스템 보안사고는 오늘날 우리나라의 참담한 정보시스템 분야의 특히 서버에 대한 보안 현실을 여실히 드러내는 사건이라고 생각된다.

[2014년 3대 신용카드사 개인정보 유출사고 분석 및 대응] 
포스트로 바로 가기



  • 티스토리 운영자 2011.04.18 11:09 신고

    안녕하세요, TISTORY입니다.



    티스토리 메인에서 '농협 전산장애'를 주제로 회원님의 글을 소개해드렸습니다.^^
    혹시 노출과 관련하여 궁금한 점이 있으시면 tistoryeditor@hanmail.net 메일을 통해 말씀해주세요!


    앞으로도 재미있고 유익한 글로 자주 뵈었으면 좋겠습니다.


    감사합니다.


I.       사건 개요

2013 320일 오후 12시 경 방송사와 금융기관의 내부 네트워크에 연결된 모든 PC를 공격하여 PC의 디스크 파괴를 통해 업무 전산망을 마비시키는 대형 보안사고가 발생하였음.

l  발생일시 : 2013 320일 오후 12 ~ 14

l  공격대상기업 : 3개 방송사(공중파 2, 케이블 1) 3개 금융기관(1금융권)

l  공격대상자원 : 기업 내부의 업무전산망에 연결된 모든 PC

l  공격방법 : PC에 악성코드를 유포하여 PC내의 디스크 파괴

l  공격결과 : 기업 내부의 업무 전산망 마비로 인한 업무 마비 및 중요 데이터 파괴

 

II.     사건 분석

320일 발생한 보안사고는 다음과 같은 절차에 의해 수행된 것으로 보임.

l  공격 대상 기업의 내부 전산망에 위치한 PC용 백신의 관리서버(A사 및 H사 개발 및 판매)기업 내의 모든 업무용 PC에 파일을 배포하고 실행할 수 있는 취약성이 있다는 점을 해커가 인지함.

l  APT 공격을 통해 6개 기업의 백신 관리서버(업데이트용)에 백신 업데이트 파일로 위장한 악성코드 파일 설치

l  백신의 관리서버가 업데이트 파일로 위장한 파일을 하위의 업무용 PC에 배포

l  업데이트 파일로 위장한 악성코드 파일을 실행 à 악성코드 감염

l  정해진 시간 (320일 오후 12 ~ 14)에 백신 프로그램을 강제 종료시키고 하드디스크 의 MBR 및 데이터 파괴 시작 (Windows Vista / 7 은 데이터영역도 파괴, XP는 일부 파괴)

l  하드디스크 파괴 후 PC 종료 메시지를 표시한 뒤 PC 강제 종료

l  PC 부팅 안됨.

 

상기 공격 과정을 도식으로 표시하면 다음과 같다.

KBS MBC YTN 해킹

상기 도식을 통해 다음과 같은 중요한 사실을 확인할 수 있다.

l  APT 공격을 통해 기업의 내부 전산망에 위치한 백신관리서버(업데이트 배포서버)에 관리자 계정의 권한을 해커가 획득하였음.

l  해커가 상용 솔루션인 백신관리서버 솔루션의 동작구조를 이해하고 있으며 공격의 설계에 필요한 이 솔루션의 파일배포 취약점을 파악하고 준비하였음.

l  백신업데이트 파일로 위장한 악성코드가 PC에 배포된 뒤 백신 프로그램을 강제 종료하였음.

l  백신이 PC의 디스크를 파괴하는 신규 악성프로그램을 탐지 및 차단하지 못하였음.

 

320일 발생한 이번 보안 사고는 2년 전 이즈음 발생한 농협의 전산망 마비사태와 큰 유사성을 갖고 있다. 그 유사성은 바로 해킹에 악용된 취약점이 상용 시스템 관리 솔루션의 취약점을 악용하여 최종 공격을 수행하는 명령코드를 최종 공격 대상 기기로 보내 실행했다는 점이다.

농협 전산 사고의 경우 업계에서 많이 사용되는 서버 장애 관리 및 모니터링 솔루션의 관리자 권한을 APT 공격을 통해 획득한 뒤 수백 대의 서버에서 동시에 디스크를 파괴하는 명령을 실행한 것으로 추측되며 이번 사고도 백신 업데이트 관리 솔루션이 설치된 서버의 관리자 권한을 획득하여 내부 전산망의 PC의 디스크를 파괴한 것으로 보이는 매우 중대한 공통점이 있다.

 

III.       대응 방안

앞에서 살펴보았듯 전산망이 마비되는 대형 보안사고는 대부분 APT 공격을 통해 자행되는 경향을 보인다.

특히 하나의 침투대상의 관리자권한을 APT 공격을 통해 확보하면 다수의 하위 공격 대상 장비로 공격을 실행하는 악성코드를 유포할 수 있는 중앙 집중 관리 시스템을 해킹하려는 시도가 증가할 것으로 예상된다.

이러한 공격을 차단하기 위해서는 중앙 집중 관리를 위해 도입된 솔루션별 관리서버에 대한 보안 강화가 필요하다.

이번 사고 사례에서도 알 수 있듯 중앙집중관리 솔루션들은 필수적으로 다수의 서버 혹은 PC에 에이전트(Agent)라 불리는 S/W를 설치하게 된다. 그리고 이 에이전트를 통해 서버나 혹은 PC의 다양한 정보를 수집하고 관리한다. 다음과 같이 매니저-에이전트의 구성을 갖는다.

 

농협사태와 320대란에 악용된 상용솔루션들의 매니저-에이전트 구성에서 보안취약성은 바로 매니저가 설치된 서버에 있다. 그리고 두 사건 모두 해커들은 매니저의 취약성을 파고 들었고 해당 취약성에 대한 공격이 성공하면서 모두 대형 보안 사고로 이어졌음에 주목해야 한다.

매니저가 설치된 서버에 대한 보안을 강화하기 위해서는 RedCastle SecureOS를 이용하여 다음과 같은 정책을 적용하여야 한다.

l  Windows의 주요 운영체제 폴더에서 새로운 파일의 생성/수정/삭제의 차단

è  악성프로그램/코드 및 운영체제 파일의 바이러스 감염 차단을 위해 필수적인 정책

l  Windows의 주요 설정 파일에 대한 수정 차단

è  파밍공격차단 및 악성프로그램의 자동 실행 차단 등

l  위협명령어(net.exe, taskkill.exe, cmd.exe, shutdown.exe, nc.exe, telnet.exe, ftp.exe)에 대한 실행 차단

è  악성코드가 주요 서비스 및 백신 강제종료 차단, 해킹시도를 위한 명령어 실행 차단

è  악성코드 유포 및 외부 연결 시도 차단

l  웹브라우저 실행 차단

è  악성 코드 감염을 유도하기 위한 웹 호출 차단

l  방화벽을 이용한 Outgoing 세션 연결시도 차단

è  서버로부터 외부로의 취약한 서비스포트로의 외부접속 차단

l  방화벽을 이용한 netbios 연결 및 Microsoft-DS, SQL Server 서비스 접속 시도 차단

è  공유 접근 및 DB 접속을 통한 관리서버 해킹 시도 차단

l  터미널서비스 접속 제한

è  관리자 이외의 PC에서 원격접속시도 차단

l  관리솔루션이 설치된 폴더 및 관리솔루션의 관리하에 있는 폴더에 대한 타 계정/IP 등에서의 접근 제한

è  원격접속 등을 통해 접근하였을 경우 접근을 제한하여 APT 공격으로 관리 솔루션이 해킹되는 것을 예방.

 

VI.       결론

2년전 발생한 농협과 3 20일 발생한 대형 보안사고를 통해 관리 솔루션의 도입이 대형 보안사고를 유발하는 커다란 취약성이 될 수 있음을 확인하였다. 하지만 관리 솔루션을 도입하지 않고 대형 다수의 시스템을 관리하는 것은 사실상 어렵다.

그렇다면 결론은 관리 솔루션 취약성의 공격으로 인한 대형 보안사고를 예방하기 위해서라도 관리 서버에 대한 보안을 강화하는 방법 밖에는 없다고 볼 수 있다. 특히 APT 공격을 통해 관리서버에 존재하는 관리자 계정의 권한이 탈취될 수 있다는 가정하에 공격을 저지할 수 있는 방법을 찾아야 하며 그에 대한 해답을 제공할 수 있는 보안강화 수단은 RedCastle과 같은 서버보안SW밖에는 없다고 볼 수 있다.



  • 하얀삼치 2013.04.07 22:56

    정보 감사히 봤습니다. 감사합니다.


밤사이 부지런한 분석가들로 인해 KBS, MBC, YTN 그리고 일부 금융사 해킹으로 인한 전산시스템 다운의 원인이 밝혀진듯 하다. 원인은 각 사에서 사용하는 PMS 서버에 PC로 배포할 프로그램으로 위장하여 침투하고 정해진 시간에 일거에 동작하여 장애를 유발 시킨 지응적인 APT 공격으로 밝혀지는 듯 하다.

PMS (Patch Management System)  ??? 그리고  PMS의 취약점은 ??

Windows에는 제어판의 프로그램 추가/제거 기능이 있고 이 기능은 Windows 자체의 버그패치와 보안패치 그리고 windows 자체의 프로그램 설치와 제거를 할 수 있는 일종의 모듈관리 기능을 갖고 있다. 하지만 일반인 수준의 사용자들은 Windows 자체의 버그패치나 보안 패치를 잘 하지 않는다는 점에 착안하여 여러 보안 업체들이 Windows가 설치된 PC의 패치를 항상 최신으로 유지하기 위해 자동화된 시스템을 개발하여 PMS라는 이름으로 판매하고 있다.

또한 안랩 APC의 경우 윈도의 패치관리는 물론 V3 백신의 업데이트도 함께 수행하고 있다.

자동화하기 위해서는 중앙에 한대 혹은 그 이상의 패치를 배포하는 서버가 있어야 하고 패치 배포서버로 부터 파일을 받아 설치해주는 에이전트(Agent)라 불리는 프로그램이 PC에 설치되어야 한다. 

이번 해킹을 기획한 해커집단은 이 PMS가 갖고 있을 수 밖에 없는 근본적인 취약성을 공격한 것이다. 해커가 PMS 서버에 침투하여 악성프로그램을 모든 PC에 배포할 정상적인 패치파일로 위장할 수만 있다면 특정 기업이나 기관의 대부분의 PC에 악성프로그램을 배포하고 실행하여 장악할 수 있게 되는 것이다.

kbs 해킹

< APC로부터 피해를 입은 PC로 배포된 악성코드의 분석 화면 >

농협 사태와의 비교

이번 사고에서 가장 큰 역할을 한 것은 안랩의 APC 라는 PMS 및 백신업데이트 솔루션이다. 지난 번 농협의 사고 때 악용되었던 IBM의 시스템관리 솔루션이 떠오르는 것은 과연 우연일까 ? 어찌 보면 공격의 대상이 서버에서 PC로만 바뀌었을 뿐 특정 기업의 중앙 집중관리 솔루션이 공격의 대상인 것은 동일한 그림이다.

농협의 경우 IBM에서 공급한 유닉스 서버의 시스템관리솔루션에 의해 수백대의 서버에서 동일한 명령이 실행되어 디스크를 포맷(유사한)하는 공격인 것으로 알려졌다. 한 때 IBM과 방통위와의 격한 싸움(?)이 날뻔 했다는 소문도 있었다. 

이번 사고에서 악용된 솔루션은 PMS와 백신업데이트 서버다. 수백대의 PC에 파일을 배포하고 동시에 실행하는 솔루션이다. 

양쪽 모두 중앙집중관리를 위한 솔루션이라는 점이 공통점이다.


결국은 또 서버 공격이었다.

농협사태를 비롯해 최근 발생하는 해킹사고의 1차 침투 대상은 바로 서버다. 하지만 아직도 많은 전산전문가라는 사람들은 백신타령만 한다. 백신은 PC 보안의 첨병이다. 하지만 사고를 예방하기 위해 PC의 보안만 강조하는 것은 너무도 무책임한 처사다. 

하지만 서버에 대한 보안은 참 어렵다. 전산전문가들과 보안 전문가들 조차도 손대기 어려운 것이 바로 서버의 보안이다. 왜냐하면 우리나라의 IT 업무 풍토상 서버에 보안을 강화하면 개발자나 서버 관리자가 소위 "죽는 소리"를 한다. 일이 힘들어진다고 생각하기 때문이다.

물론 서버에 보안을 적용하는 첫단계는 매우 힘든 것이 사실이다. 서버의 계정에 대한 관리 정책 수립과 권한에 대한 분리, 개발자들의 업무 패턴, 솔루션 관리에 대한 체계 수립, 위험 명렁어에 대한 실행권한 체계 수립 등 보안정책으로 수립되어지고 지켜져야할 것이 꽤나 많기 때문이다.

하지만 이러한 보안관리 체계가 수립되지 않으면 대형 보안사고는 계속 터질 수 밖에 없다.


잔소리) Windows 서버의 보안체계의 문제점

보안쪽 일을 하는 기술자의 입장에서 Windows는 솔직히 썩 권장하고 싶지 않은 운영체계다. Windows의 기초 설계 개념에 보안이 그리 중요시되어 있지 않았다는 것이 눈으로 보일정도이고 제공하는 보안 기능도 그때 그때 필요에 따라 추가한 냄새(?)가 진하게 나기 때문이다. 

보안의 기본인 계정에 대한 권한 분리가 Windows의 기본설계에 제대로 반영되어 있지 않다보니 Windows 운영체계에서 실행되는 많은 솔루션들도 자연스레 보안을 무시하고 개발하게 된다. 예를 들면 백신이나 보안솔루션들이 cmd.exe를 너무도 빈번하게 실행하는 점과 많은 SW들이 system 이라고하는 Windows의 최고 권한의 계정권한으로 실행된다. 이는 해당 솔루션이 해킹을 당하면 Windows의 최고 관리자 권한이 바로 탈취된다는 점에서 무척 위험한 설계라고 할 수 있다.




2013년 3월 20일... 또 보안사고 역사에 길이(?) 남을 만한 보안사고가 발생했다. 조금은 특이한 형태의 공격인 듯 한데 KBS, MBC, YTN 3개 방송사의 내부 전산망이 일시에 다운이 된 사고다.

그런데 이 표현 "방송사 내부 전산망이 일시에 다운"이라는 표현은 참으로 무지한 표현이다. "전산망" 이라함은 "서버와 서버 혹은 서버와 PC를 연결하는 Network"를 일컫는 표현이다. DDOS와 같은 공격에 장애가 발생할 경우 "전산망" 공격이라는 표현이 옳은 표현이겠지만 이번의 경우는 "전산망 다운"이라고 부르면 안된다고 생각된다.

"KBS, MBC, YTN" 공격의 특징

여기 저기서 들려오는 소문과 객관적 사실들을 정리해보면 

1. KBS 아나운서의 트위터 : 오후 2시경 갑자기 PC가 리부팅 한다고 메시지를 띄운 뒤 종료된 뒤 부팅이 안됨.

2. 농협에 갔던 1인(잘아는 지인) : 갑자기 긴급 상황이라며 PC나 노트북에 연결된 랜선을 모두 뽑아달라고 농협 직원이 요청.

3. YTN,MBC, KBS 관계자 (뉴스기사) : 수백대의 PC가 종료된 뒤 다시 켜지지 않음.

4. 모 VAN사 (MS에 문의결과) : PC의 Windows에 부팅파일들이 삭제되는 공격으로 보인다고 답변.

내가 확인할 수 있던 몇몇 상황을 보면 이번 사고는 DDOS와 같은 서버와 네트워크를 마비시키는 공격이 아닌 보다 심각한 상황을 만들기 위해 오래전부터 방송3사 (KBS, YTN, MBC)의 내부 PC들을 공격하기 위해 준비를 한 것으로 보인다. 사실 이 준비단계가 쉬운것은 아니다.

그리고 농협의 경우 직접 공격을 당하지 않았음에도 사고 발생 한시간 남짓만에 PC에 연결된 랜선을 뽑아달라고 요청한 것으로 보아 원인을 이미 알고 있었던 것으로 보인다.



백신이 왜 막지를 못했는가?

PC의 악성코드 감염과 관련된 이슈가 나올 때마다 나올 법한 백신 이슈는 이번에도 잠잠할까?? 의문이다. 왜냐하면 이번 사고를 포함해서 DDOS 공격 등 대형 보안사고의 경우 어김없이 PC에 감염되는 악성코드에 대한 이야기가 표면으로 떠오르기 때문이다. 그럼에도 불구하고 백신에 대한 책임론은 그리 크게 부각되지 않는다. 이런 사고가 발생할 때마다 오히려 백신을 설치하라는 이야기가 더 많이 나오곤 한다. KBS, MBC, YTN 모두 V3 백신이 설치되어 있음에도 PC의 악성코드 감염을 막지 못했는데도 말이다. 역설적이지 않은가???

백신은 새로나온 악성코드는 잡아내지 못하는 너무나 큰 단점이 있다. 이는 백신 자체가 블랙리스트 방식을 취하고 있기 때문이다. 블랙리스트 방식은 "위험한 파일의 패턴" 목록을 갖고 있고 PC내에서 프로그램이 실행될 때마다 "위험한 파일"인지를 이 패턴 목록과 비교하여 차단하는 형태를 말한다.반대의 경우는 화이트리스트 방식이라고 한다. 


예방 대책은 없는가?

 지금까지의 블랙리스트 방식의 백신은 해결책이 되지 못한다. 전혀 새로운 개념의 백신이 필요할 듯 싶다. 인공지능형 백신?? 그런건 아직 실현불가능하다. 어느정도 해결 가능한 아이디어가 있긴 하지만 블로그에 풀기에는 그 무게가 너무 무겁다. 언젠간 그런 제품이 나오지 않을까를 기대해본다.


가장 중요한 "해킹 경로"는 ?

사고 발생 7시간여가 되어가는 지금.. 정확한 해킹경로는 밝혀지지 않고 있다. 하지만 몇몇 해킹가능성이 의심되는 경로가 발표되고 있다. 경로는 불분명하지만 공격 대상은 명확하다. 바로 업무용 "PC"다. 즉 Windows xp/7 등의 OS가 설치되어 있는 PC..그중에서도 Disk 파괴다. 

언론에 언급되는 MBR은 Master Boot Record 의 약자로서 C: 드라이브의 물리적인 가장 앞부분.. Windows가 부팅되는데 가장 필수적인 매우 작은 영역이다. 이곳이 지워지거나 파괴되면 PC는 부팅되지 않으면 일반적인 Windows의 설치 방법으로는 복구가 되지 않을 수도 있다.

그렇다면 해커는 어떻게 PC까지 악성코드를 감염시켰을까?

몇몇 흘러나오는 이야기를 정리하면...

1. 안랩에서 제공하는 PMS (Patch Management System)을 통해 업무용 PC에 배포되었을 거라는 이야기가 있다. 하지만 현실적으로 이런 방식으로는 여러 방송사와 기관을 동시에 해킹하기는 쉽지 않다.

2. URL 해킹이라는 이야기...  솔직히 난 URL해킹이라는 해킹기법은 처음 들어본다. 언론에서 URL해킹 이라는 이야기를 하지만 솔직히... 뭘 의미하는지 이해할 수 없다. URL을 변조하는 공격은 DNS의 주소를 바꿔치기한다는 이야기인지 모르겠다. 바꿔쳤다고 해도 외부에서 웹서버도 아닌 내부 네트워크에 있는 PC까지 URL 바꿔치기로 접근한다는 것은 불가능하다. 뭘 모르는 사람의 말도 안되는 이야기를 언론에서 떠는 것 같다.

3. 고전적 기법의 악성코드 유포.  가장 가능성이 높을 것 같다. 이메일을 통해 첨부파일로 감염을 시키거나 다른 웹사이트.. 예를 들면 방송국 근무자들이 많이 드나드는 웹사이트를 먼저 해킹하여 Java Script 해킹기법 등을 통해 악성코드를 유포하도록 웹페이지를 변조 한 뒤 공격대상인 3개 방송국에 만족할 만한 숫자의 PC를 확보한 순간 일제히 PC를 공격하도록 했을 가능성이 있다.

아직은 정확한 조사결과가 나오지 않아서 잘 모르겠지만 어떤 결과가 나오든 명확한 것은 DDOS에만 관심을 쏟다가 제대로 해킹다운 해킹을 당했다는 것이다. 

DDOS는 사실 단지 서비스를 못할 뿐이다. 중요한 정보가 유출된 것도 아니고 기관 내부의 PC나 서버의 데이터가 훼손된 것도 아니다. 피해는 상대적으로 적을 수 밖에 없다. 하지만 이번 사고처럼 내부의 수백대의 PC가 망가지거나 농협의 경우처럼 서버의 파일이 손상되거나 정보가 유출되면 그 피해는 엄청날 수 밖에 없다. 이번 해킹사고는 정말 중요하게 생각해야할 것이 무엇인지를 보여주는 매우 중요한 사고 사례다.

 








휴대폰이 해킹에 악용되기 시작한 것은 무척 오래되었다. 하지만 스마트폰이 일반화되기 전에는 해킹에 악용이 된다고 해도 문자메시지(SMS)로 URL을 보내 PC에서 특정 웹사이트에 접속하게 하거나 푼돈의 결제를 유도하는 정도에 그쳤었다. 

하지만 스마트폰이 일반화 되면서 무척 다양한 스마트폰 해킹이 시도되고 있다.

스마트폰에 악성코드(프로그램) 설치

스마트폰에 악성프로그램을 설치하면 설치된 악성프로그램에 어떤 기능을 넣느냐에 따라 무궁무진한 해킹이 가능하다. 예를 들면 스마트폰의 주소록 이나 저장중인 문자메시지를 해커가 가져갈 수도 있고 특정 웹사이트를 공격하는 코드를 넣어 DDOS 공격에 스마트폰을 동원할 수도 있다.

게다가 스마트폰을 해커가 원격에서 모니터링하고 제어할 수도 있기 때문에 스마트폰에 저장된 사진이나 동영상이 유출되어 심각한 사생활 침해가 발생할 수도 있다.

금융정보/개인정보 유출 및 금융사고 유발

스마트폰에 악성프로그램이 설치되어 발생되는 가장 심각한 사고는 누가 뭐래도 금융사고다. 많은 사람들이 스마트폰 뱅킹을 이용한다. 그리고 공인인증서와 ISP인증서 게다가 심한경우는 보안카드 비밀번호를 사진으로 찍어 갤러리에 저장해두기도 한다. 이러한 금융정보가 유출되어 불법사기대출이나 현금인출사고가 발생하기도 하며 프로그램을 설치하는 순간 소액결제 기능을 이용해 많게는 수십만원을 


예방법

이러한 보안사고를 방지하기 위해서는 불법적인 악성프로그램을 설치하지 않아야 한다. 대개의 경우 해커들은 문자메시지나 카카오톡을 통해 "좋은 프로그램" 혹은 "돈버는 프로그램" 또는 "성인 동영상" 등이 있으니 설치를 하라고 하는 경우가 많다.

따라서 이러한 조금이라도 의심되거나 정체불명의 앱을 설치유도할 경우 "무조건" 설치하지 말아야 한다.

카카오톡을 이용한 악성프로그램 설치 유도 사례

몇일전 내게도 악성프로그램으로 의심되는 앱을 설치하도록 유도하는 일이 있었다. 문자메시지로 금융정보를 유출을 시도하는 사례(http://cybercafe.tistory.com/256)는 있었지만 카카오톡을 이용하는 경우는 처음이었다. (다른 사람들에겐 많이 있는 듯)

먼저 친구추천이 떳다.. 그런데... 쫌 야한사진이다..

카톡 스팸 친구

일단...친구추가를 했다. 그리고 사진을 크게 봤다. 절대..개인적으로 보고 싶어서 본건 아니다. ㅋ


"모바일"로 접속하라고 sora69.TK라는 모바일 웹사이트로 유도한다. 왜하필 모바일일까? 왜냐하면 해커는 스마트폰을 해킹하고 싶어하기 때문임을 알려주는 것이다.


sora69

모바일브라우저에 주소를 입력하자 바로... 앱을 설치하란다. 앱을 설치하면 무언가를 보여줄 듯한 뉘앙스다. 하지만 여기서 유혹에 넘어가면 안된다. 아마도 심각한 피해를 입힐수도 있는 악성프로그램(해킹프로그램)이 설치될 것이 거의 확실하다.

그래서 취소를 눌렀다. 그런데 해커는 포기하지 않는다. 마치 프로그램을 설치 하지 않아도 되는 것처럼 "성인인증"을 하란다.

그런데..뭔가 이상하다. 일반적으로 성인인증이라 함은 "주민번호"와 "이름"으로 하는 것이 기본인데... "주민번호"와 "전화번호"를 요구한다. 내 전화번호로 뭘하려고...??

이렇듯 해커들은 방법을 바꾸어가면서 끈질기게 해킹을 시도한다. 해커들의 일반적인 특징이다. 그래서 Case-by-Case로 해킹시도에 대응하는 것은 그리 좋은 방법은 아니다. 일반적으로 스마트폰에 스마트폰용 백신을 설치할 것을 권장하지만 사실 해킹시도를 막지는 못하며 효과도 그리 크지 않다고 알려져 있다.

그래서 가장 중요한 것은 스마트폰 "사용자의 주의"다. 송신자/발신자가 누구인지 불확실하고 신뢰할 수 없는자라면 뭔가를 설치하라는 문자메시지나 카카오톡의 메시지는 해킹시도로 판단하고 무시해버리고 삭제해야한다.





  • 2013.02.08 01:38

    비밀댓글입니다

    • taeho Tae-Ho 2013.02.08 09:34 신고

      바로 공장초기화 하셨다면...
      괜찮습니다.

  • 2013.02.11 01:13

    비밀댓글입니다

    • taeho Tae-Ho 2013.02.11 20:18 신고

      정식 앱스토어나 앱마켓이 아닌 곳으로 유도하여 무언가를 설치하라고 하는 경우, 설치를 하지 않는 것이 가장 안전합니다. 정식 앱스토어나 앱마켓은 최소한의 앱에 대한 검사를 하기 때문입니다. 언젠가는 정식 앱스토어나 앱마켓을 흉내내는 악성 프로그램 유포지가 생겨날지도 모릅니다.


홈페이지를 운영하는 많은 쇼핑몰들과 인터넷신문사 홈페이지는 수시로 홈페이지 위변조 및 자바스크립트 위변조 공격에 시달린다. 최근 방문했던 한 인터넷 뉴스사이트도 그런 공격이 너무도 많다는 고충을 토로하기도 했다. 때문에 여러 솔루션들을 사용하지만 보안정책 수립의 어려움, 실시간 모니터링의 어려움 등으로 인해 제대로 대응하지 못하는 경우가 많다고 한다.

사고가 발생하면 다음과 같은 사항들을 해킹이 발생한 서버내에서 신속하게 파악하고 취약성을 제거하고 모니터링을 해야지만 솔루션 부재로 인해 대부분 정확한 경로를 파악하지 못하는 경우가 많다. 

- 침입 경로

- 칩입 후 실행한 명령어

- 수정한 파일

- 작업 과정

대부분 서버내에서는 해킹에 성공하여 수정한 파일"만 원상복구하고 네트워크에서 해당 출발지 IP를 차단하는 정도의 응급조치만을 하게된다. 해커는 공격지IP를 변경하여 재공격을 수행할 수 있고 사고는 다시 발생한다.

2013년 1월 5일... 국내의 대형 인터넷서점 홈페이지의 Java Script 파일이 변조되어 악성코드가 해당 인터넷 서점에 접속한 웹브라우저를 통해 접속자의 PC에 감염되는 심각한 보안사고가 발생했다. 

웹페이지 악성코드

이 사고는 해킹당한 홈페이지의 소스파일 위변조를 통해 웹브라우저를 통해 접속한 사용자의 PC가 악성코드에 감영되는 전형적인 사고사례다. 워낙 유명한 대형 인터넷 서점이고 비교적 모니터링 체계가 잘되어 있어 장시간 유표되는 사태는 막을 수 있었지만 사용자의 접속이 많지 않은 홈페이지의 경우 장시간에 걸쳐 많은 PC에 악성코드를 감염시키게 된다.



이러한 사고를 근본적으로 방지하기 위해서는 서버내의 주요 자산인 홈페이지 소스파일에 대한 철저한 보안이 필요하다. 

1. 웹서버의 취약성에 의해 서버내의 계정 권한이 탈취되는 것을 차단해야하고

2. 웹서버 혹은 WAS 서비스에 웹쉘이 업로드되어 운영체제의 명령어를 실행하지 못하도록 해야하며

3. 만에 하나라도 서버의 웹서버 혹은 WAS서비스의 계정 권한이 탈취되더라도 운영체제의 임시디렉토리에 스크립트 파일을 생성하고 실행하는 것을 차단해야하며

4. 홈페이지 소스가 웹서버 혹은 WAS서버의 구동 계정으로 수정되지 않도록 통제하여야 한다.

이 몇가지 보안정책만 준수할 수 있다면 홈페이지 위변조에 의한 보안사고는 대부분 예방할 수 있을 것이다.


관련포스트

웹쉘의 위험성과 서버보안SW를 이용한 웹쉘 실행 차단

서버보안SW를 이용한 웹서버보안 강화 방안

웹해킹방어사례 - 남다른 끈기를 보여준 해커



  • kmk 2013.01.10 21:57

    사기조직동두천경찰 폭파 Naver ckmk1

  • 1 2013.03.27 20:11

    홈페이지개발자와 작업의뢰인의 거래사이트 "오투잡"

    오투잡은 현재 하루 접속자 3000명이 접속하는 재능거래 사이트 입니다.
    오픈한지 얼마되지 않았지만 부업분야 전체 점유율 2위, 국가지원을 받고있습니다.

    오투잡에서 판매자 대모집 중입니다.
    카테고리 활성화가 시작 되니, 많은 판매 등록 바랍니다.
    오투잡은 네이버에서 "오투잡" 으로 검색 하세요.


이번에는 SK Telecom과 KT가 주인공이다. 바로 개인정보 유출 보안사고의 주인공들이다. 그리고 이번 사고는 유출된 개인정보가 건당 1~2백원이 아닌 최고 수십만원에 거래가 이루어진 명확한 증거까지 경찰이 확보한 모양이다. 게다가 유출된 개인의 위치정보가 거래되어 사용된 곳이 심부름센터였고 목적은 불륜현장 포착이었다고 하니 어이가 없을 뿐이다. 그런데도 정작 이동통신사는 자신들의 책임이 아니라고 발뺌하는 뻔뻔함까지 보이고 있는 모양이다.

이번 사고에서 유출된 정보는 개인의 위치정보다. 얼마전 미국에서 애플과 구글이 스마트폰 사용자들의 위치정보를 수집하다 손해배상 소송에 휘말리고 소송에서 패소하는 상황까지 연출되었던 바로 그 "위치정보"가 유출되어 건당 최고 수십만원에 거래가 이루어졌다고 하니 자칫 소송에 휘말리면 손해배상 청구도 있을 수 있을 것으로 보인다.

어떻게 개인의 현재 위치 정보가 유출되었나 ?

필자가 IT업계에서 처음으로 직장생활을 하면서 했던 일은 데이터베이스(RDBMS)의 기술지원이었다. 그때는 처음 PCS 서비스가 시작되던 시절이었고 함께 문자메시지(SMS) 서비스가 시작되던 시기였다. 휴대폰에서 보낸 문자메시지는 수신자 휴대폰으로 전송되는 과정에서 이통사의 문자메시지 서버에 저장된다. 그리고 그 문자메시지는 상당히 오랫동안 서버의 데이터베이스에 보관되어 진다. 따라서 서버에 직접 접속하는 엔지니어들은 간단한 데이터베이스 프로그래밍 만으로 문자메시지를 조회해 볼 수 있다. 그 시절 이통사에 기술지원을 갔다가 명령어 뒤에 휴대폰번호만 주어 실행하면 해당 번호로 전송된 문자메시지가 주루룩~~~ 출력되는 것을 보고 어이가 없었던 기억이 있다. (십수년도 훨씬 전 일이다.) 

마찬가지로 개인의 위치정보도 이통사의 어느 서버엔가 당연히 저장되어 위치정보 서비스에 활용되어질 것이다. 그리고 이통사 서버 엔지니어 혹은 해당 서버에서 위치정보를 활용하는 앱을 개발하는 엔지니어는 손쉽게 위치정보를 조회할 수 있을 것이 뻔하다.

위치정보를 사용할 수 있도록 이통사의 협력사에 제공하였을 것이고 그 협력사의 엔지니어가 인터넷을 통해 전화번호만 입력하면 위치를 파악할 수 있도록 응용프로그램을 작성한 것이다. 그리고 이 프로그램을 이용해 "불륜"을 전문으로 추적하는 흥신소에  건당 수십만원을 받고 개인의 위치정보를 팔았던 것으로 경찰 조사결과 드러난 것이다.

누구의 책임인가 ?

이통사의 시스템은 철저한 보안속에 운영되지만 이러한 경우 당연히 속수무책으로 당할 수 밖에 없다. 더 나아가 개인의 위치정보가 고가에 거래되는 것을 전혀 알 수 없었던 것이다. 왜냐하면 이번 사고는 외부자의 해킹이 아닌 "내부자의 악의적 정보 유출"에 해당되기 때문이다.

하지만 이통사에서는 "협력사"에서 저지른 사고 이기 때문에 자신들은 책임이 없다고 발뺌하고 있는데 "협력사"에 위치정보를 사용할 수 있도록 "승인"해준 것은 바로 이통사이며 그에 대한 관리적인 책임을 다하지 못하였으므로 이통사에 2차적인 책임이 있는 것이다. 차를 빌려주었고 차를 빌린 사람이 사고를 내면 차를 빌려준 차주에게도 책임을 묻는 것과 같은 이치다.



해킹이나 DDOS 공격보다 더 치명적인 "내부자"의 악의적 공격

이번 사건은 개인정보 중 하나인 실시간 위치 정보를 즉각적으로 현금한 매우 지능적이고 악의적인 보안사고의 좋은(?) 사례다. 게다가 지금껏 발생했던 단순 주민번호, 전화번호와 같은 개인정보가 아닌 아직까지 국내에서는 사례가 없었던 위치정보가 유출되어 불법적으로 사용된 보안 사고 사례다.

또한 외부에서의 공격이나 해킹이 아니라 시스템에 정상적인 접근권한을 갖고 있는 내부 사용자에 의해 발생한 사고라는 점에서 이번 사건은 시사하는 바가 크다.  그것은 바로 서버 자원(파일, 명령어, 서비스 등)에 대한 내부자의 접근 통제가 필요하다는 점이다.

지금껏 보안은 네트워크에 촛점이 맞춰져 있었다. 서버에 접근하기까지의 경로를 통제하면 보안은 끝이라고 여겨져왔다. 하지만 서버에 접근할 수 있는 내부자가 바로 보안 상 가장 심각한 위협이자 취약점이라는 이슈를 이번 사건은 보여주고 있다.



2011년 7월 26일, 대한민국 IT 역사상 최대 규모의 개인정보 해킹 사고가 발생했다. 대한민국의 중딩(?) 이상 국민이라면 하나쯤 ID를 갖고 있는 네이트닷컴과 싸이월드에서 발생한 보안사고 이기에 그 심리적인 충격은 상상하기 어려울 만큼 크다.

 "공지확인"을 타고 들어가면 다음과 같이 개인정보 유출 여부를 확인할 수 있다.



아무짝에도 쓸모없는 패스워드 암호화 ?


SK컴즈는 유출된 정보에 ID와 패스워드가 포함되어 있으나 패스워드는 암호화되어 있으므로 아무문제가 없다고 말한다. 하지만 SBS의 기자가 테스트한 결과 숫자와 알파벳으로 구성된 6자리의 패스워드의 경우 짧으면 3초, 길면 30여초 내에 패스워드를 확인할 수 있다고 한다. (남들 다 쓰는 단순한 hashing알고리즘만을 썼다면 당연한 결과다.)

관련기사
http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1000960683

인터넷에는 여러가지의 패스워드 크래킹 툴들이 공개되어 있다. 이 크래킹툴들을 이용하면 "암호화된 패스워드"만 알고 있다면 패스워드가 아무리 복잡하고 길어도 이론적으로 해킹이 가능하다. 더군다나 8자리 이하에 숫자와 알파벳으로만 구성되어 있다면 요즘 판매되는 PC의 우수한 성능을 감안할 때 한시간이내에 뚫린다고 보면 된다.

만약 여러 패스워드 크래킹 툴을 무력화 할 수 있는 더욱 안전한 암호화 방법을 사용했다면 SK컴즈의 말대로 훨씬 안전할 수 있다. 하지만 그렇다고 확신할 수는 없다. 네이트의 암호화 방식이 안전하다고 누가 책임진다고하던가?
개인정보를 보관하고 있는 포털에서 개인정보를 허술하게 관리하여 해킹에 무기력하게 데이터를 탈취당한 상태에서 패스워드가는 안전하다고 외치는 것을 과연 신뢰할 사람이 몇이나 되겠는가 ?

즉...
네이트와 동일한 아이디를 사용하는 모든 사이트의 패스워드를 즉각적으로 변경하여야 한다. 아직 변경하지 않은 분이 있다면 즉시 변경하길 강력하게 권고한다.

이번에도 좀비PC 때문이다 ?

또 나왔다. DDOS 공격때문에 발생한 77인터넷 대란, 그 후에 발생한 몇몇 공공기관의 서비스 마비, 농협의 270대 서버의 파일삭제로 인한 사고 , 그리고 이번 네이트닷컴과 싸이월드의 해킹사고까지 단골 손님(?)으로 등장하는 것이 좀비PC다.

현재까지의 네이트닷컴의 해킹사고에 대한 조사결과를 정리하면 다음과 같은 해킹 과정이 추측된다.

1. 이메일을 통해 개발자의 PC에 원격제어가 가능한 프로그램이 설치되었다.
2. 해커가 개발자의 PC에 연결하고 서버의 관리자(root 혹은 db접근가능한 ID) 계정과 패스워드를 
    획득하였다.
3. 해커가 개발자 모르게 서버에 접속하여 DB까지 접속하였다.
4. 3500만명의 정보를 파일로 Export하였다.
5. PC로 Export된 파일을 가져오고...
   (혹은 서버에서 직접 중국의 해커가 관리하는 서버로 접속하여 파일 직접 전송)
6. PC로 가져온 파일을 해커의 PC혹은 서버로 전송

이번에도 역시 서버의 책임보다는 개발자 개인의 PC로 그 책임이 귀결되어지는 양상이다. Windows가 설치되는 PC는 근본적으로 보안에 취약할 수 밖에 없다. 역시 이번에도 백신이 설치되어 있었지만 무용지물이었다. 알려지지 않은 공격도구를 백신은 탐지하지 못하기 때문이다. 그리고 이 사실은 SK컴즈의 보안책임자도 잘~알고 있을 것이다.

그리고 이메일로 전파되는 공격도구를 차단할 방법은 사실 없다고 봐도 무방하다. 메일월이나 IPS등등 많은 네트워크 보안도구들이 있지만 이번처럼 새로운 공격도구를 만들어 공격하면 차단이 불가능하다. 이러한 사실 또한 보안전문가들은 잘~알고 있다.

결국 이러한 보안사고를 예방하기 위해서는 좀비PC가 되는 개인PC와 그 PC의 주인인 개인만 조질(?)것이 아니라 중요한 데이터가 저장된 서버의 보안을 강화하는 것이 보다 효과적임은 자명한 사실이다.

서버의 보안을 강화하지 않으면 이번 SK컴즈의 해킹사고와 같은 보안사고는 계속 발생할 것이다.
아니... 언론에 공개되지 않는 수많은 보안사고가 이미 발생하고 있다. 지금도 발생하고 있을 수 많은 보안사고 중 하나가 "네이트닷컴" 개인정보 DB 해킹사고 일 뿐이다.

별로 새로운 이야기는 아니다.




 



또한 번의 보안사고가 전산업계를 뒤흔들고 있다. 하지만 이전의 보안사고들과는 달리 외부(인터넷을 통해)에서 침입하여 현대캐피탈 고객 42만명의 개인정보는 물론 일부 금융정보까지 빼내어간 완벽(?)한 해킹사고라는 점에서 충격의 여파는 상당히 크고 오래 지속될 것으로 보인다. 비록 1금융권이 아닌 대출전문 캐피탈 업체이긴 하지만 업계 1위의 업체인데다가 "현대그룹" 이라는 간판으로 인해 1금융권도 보안에 취약한 것이 아니냐는 우려마저 나오고 있다.

= 대캐피탈 해킹사건의 전말. (이데일리 기사 발췌)=

◇ 해킹 피해 `42만명+α`..신용정보도 새나가

현대캐피탈 고객정보보호를 담당하는 황유노 부사장은 10일 서울 여의도 본사에서 열린 기자회견에서 "해킹 당한 고객 정보가 더 있을 수 있다고 판단하고 있다"고 말했다.
42만명과 프라임론 피해고객이 중복되기 때문에 현재까지 피해고객 총수는 파악하기 어려운 상태다.

현재까지 유출된 고객정보는 기본 정보 이외에 금융 정보가 포함돼 금융사고 피해가 우려되는 상황. 이름, 주소, 전화번호, 이메일, 주민등록번호, 신용등급, 신용대출 `프라임론` 패스카드의 번호와 비밀번호 등이 해킹당했다.

황 부사장은 "프라임론 패스카드 정보는 현대캐피탈과 거래 외에 활용할 수 없다"며 "신용등급 자체도 금전적 손해를 끼칠 가능성이 낮다"고 설명했다.

현대캐피탈은 2차 피해를 막기 위해 고객에게 "전화로 개인정보, 홈페이지 ID, 패스워드 등을 요구할 때 각별히 주의하라"며 "11일부터 프라임론 패스카드를 재발급받고, 홈페이지 비밀번호도 바꿀 필요가 있다"고 당부했다.

또 자동응답시스템(ARS) 거래를 막고, 거래 계좌를 변경하는 고객에게 고객 휴대폰으로 다시 전화해 본인 확인 절차를 강화했다.


◇ 2개월간 해킹 당한지도 몰라..정태영 사장 "수치스러워"

현대캐피탈이 해킹 사실을 두달간 인지하지 못했다는 점에서 문제의 심각성이 크다는 지적이다. 현대캐피탈 고객정보가 해킹당한 것은 지난 2월부터 조금씩 이루어진 것으로 현대캐피탈은 지난 7일 오전 9시 해커의 협박 이메일이 있을 때까지 모르고 있었다. 현대캐피탈 보안시스템에 큰 구멍이 뚫렸던 셈이다.

현대캐피탈은 지난 7일부터 서울지방경찰청 사이버범죄수사대에 해킹수사를 의뢰해 범인 검거를 위해 총력을 기울이고 있지만 현재까지 정확한 피해 규모와 범인의 소재를 파악하지 못한 상태다. 금융감독원은 오는 11일 정보기술(IT) 전문가로 대책반을 구성해 현대캐피탈 특별검사에 나서기로 했다.

정태영 현대캐피탈 사장은 이날 "개인적으로 죄송스럽고 수치스럽다"며 "현재까지 직접적이고 금전적 피해는 없고 고객 피해를 파악하는데 모든 역량을 집중하고 있다"고 사과했다. 또 "지금은 사태 전모를 확실히 아는 것이 중요하다고 생각한다"며 "책임질 일이 있으면 책임지겠다"고 강조했다.

캐피탈업계에선 1위업체인 현대캐피탈이 해킹당했다는 사실이 알려지자 긴장하는 분위기다. 한 캐피탈사 관계자는 "현대캐피탈이 당할 정도면 다른 캐피탈사도 안전할 수 없다"고 우려를 표명했다.

현대캐피탈 신용정보도 유출..`최악의 해킹사고`(종합)

2011/04/10 19:26:47 이데일리


=========================================================================================

최근 주로 발생되는 DDOS 공격은 단순히 공객 대상이 되는 업체의 일부 서버가 서비스를 수행하지 못하도록 비정상적인 과도한 트래픽을 유발시키는 해킹기업이다. 따라서 개인정보 혹은 기타 공공 및 기업의 기밀에 해당되는 정보 유출은 없다.

또한 과거 발생했던 GS칼텍스 등에서 발생했던 대량의 고객정보 유출은 외부에서의 해킹이 아닌 내부자가 연관되어 발생된 "내부 보안 사고"의 성격이 강했다.

하지만 과거 옥션의 개인정보 유출과 이번 현대캐피탈 고객정보 및 금융정보 해킹사건은 내부자가 아닌 외부자가 인터넷을 통해 내부 시스템에 침입한 완벽한(?) 해킹으로 인해 발생한 보안사고이기 때문에 그 심각성은 다른 보안사고와는 차원이 다른 수준이다.


현대캐피탈의 내부통제 수준

몇차례 현대캐피탈의 IT 부서에 방문하여 업무협의와 PT, Demo 등을 진행한 경험이 있다. 공교롭게도 현대캐피탈에서 해킹이 발생했다고 공개한 날짜와 비슷한 시기였다. 결국 담당자가 선호하는 외산 SecureOS를 도입하는 것으로 결정이 되었다는 안타까운(?) 소식을 접하긴 했지만 그 과정에서 경험한  현대캐피탈의 내부통제 시스템은 듣던대로 비교적 잘 갖추어져 있고 적용도 잘되어 있는 듯 했다. 또한 필요한 네트워크 보안 시스템 즉, 방화벽, IPS 등도 운영중이었다.


문제는 서버 및 애플리케이션 보안

이번 해킹사고는 완벽할 것이라고 믿는 네트워크 보안시스템의 한계를 잘 드러낸 사건이다. 방화벽, IPS 그리고 클라이언트와 서버간의 통신 암호화로 대변되는 네트워크 보안이 결코 시스템을 해킹으로부터 완벽하게 보호해줄 수 없다는 일반적인 상식(?)을 증명해준 해킹사건이다.

과거 해커들은 시스템의 취약점을 데이터의 이동 통로인 네트워크서 찾는 경향이 있었지만 최근에는서 서버에서 데이터를 관리하는 애플리케이션에서 찾는 경향이 두드러지게 나타나고 있다. 특히 이번 해킹사건에서 보듯 인터넷에 공개되어 있는 웹서버는 해커들의 주요 공격대상이 되고 있다.

해커들은 집요하게 웹서버를 공격하려 취약성을 찾는다. 이 취약성의 대부분은 웹서버에서 구동되는 서버사이드스크립트인 JSP(Java Server Page) 및 서블릿이 갖고 있게 된다. 결국 웹 응용프로그램 개발자의 보안 수준에 따라 취약성이 많은 시스템을 개발하느냐 아니면 취약성이 거의 없는 시스템을 개발하느냐가 결정되어 진다.



또한 취약성이 발견되어 해커가 해당 취약성을 공격하였을 때 해커가 얻게되는 최초의 서버 접근권한을 운영체제 차원에서 제대로 통제하느냐에 따라 해킹의 성공여부가 판가름 난다. 만약 운영체제 차원에서 적절한 통제를 수행하지 못한다면 해커는 해당 시스템을 장악할 수 있는 발판을 마련하게되고 그때부터 시스템은 해커의 공격에 무방비 상태로 노출되는 것이다. (네트워크 보안 시스템으로는 통제하기 어려움)

해커가 취약성에 대한 공격으로 서버 접근 권한을 얻게 되면 그때부터 원격지에서 서버에 존재하는 수많은 파일을 뒤져 자기가 원하는 추가적인 정보를 얻을 수도 있다. 이때부터 주요 정보의 유출은 시간문제가 된다. 운이 좋다면 root의 패스워드 혹은 다른 서버에 관리자 권한으로 접근할 수 있는 계정정보가 하드코딩된 스크립트를 얻을 수도 있을 것이다.

현대캐피탈의 해킹은 지금까지 설명한 과정을 거쳐 이루어졌을 것으로 보인다. 이러한 과정은 전형적인 웹서버 해킹의 과정일 뿐이다.


또다른 문제... 서버 감사시스템의 부재

많은 금융사에서 고객의 계좌정보를 메인프레임에서 Unix 서버로 다운사이징하여 운영하고 있다. 그리고 계좌정보의 일부가 서비스의 성능을 높이기 위해 기간계 서버에서 각기 다른 Unix 및 Windows 서비스 시스템으로 (예를 들면 이번 해킹사고가 발생한 프라임론 시스템) 분산되어 저장된다.

하지만 Unix 나 Windows 모두 보안에 취약한 운영체제다. 외부로 부터 침입한 해커든, 내부자이든, 아니면 기술지원을 나온 외부의 엔지니어든 서버에 접근하여 무엇을 하는지 통제하고 감사기록을 남길 수 있는 솔루션을 운영체제 자체적으로 제공해주지 않는다.

사실 이번 해킹의 경우도 정확하게 어떤 정보가 유출되었는지 확실치 않다. 또한 해커가 어떤 백도어를 숨겨두었는지 찾아낼 방법도 없다. 아니면 해킹당했다는 프라임론 시스템외에 같은 네트워크내에 있는 다른 어떤 서버가 또 해킹을 당했는지 확인할 완벽한 방법이 없다. 확인할 수 있는 것은 외부의 어떤 IP에서 접근했는지와 다른 서버로 Telnet, FTP, rlogin 같은 단순한 방법으로 로그온을 시도했는지와 그 로그인의 성공여부 정도 뿐이다.

해커가 서버에서 어떤 파일을 열어보았는지, 어떤 명령어를 수행했는지, 어떤 파일을 만들었는지와 같은 구체적인 활동정보는 어디에도 기록되어 있지 않을 것이다. 보안사고 및 침해행위를 감사할 수 있는 기능을 제공하는 솔루션은 현재로서는 SecureOS를 이용하여 감사정책을 적용하는 것이 최선의 방법이나 현대캐피탈에는 아직 적용되어 있지 않은 듯 하다.


= 서버 보안의 강화가 필요한 시점

많은 공공기관과 금융기관 그리고 일반 기업체에서 SecureOS 를 도입하고도 제대로 활용하지 못하는 경우가 많다. 네트워크 보안과는 달리 서버 운영체제, 네트워크, 시스템소프트웨어, 웹응용프로그램에 대한 지식을 비롯한 다양한 경험과 지식을 필요로 하는 것이 바로 SecureOS 제품이다.

하지만 국내의 엔지니어에 대한 정서(?)상 그렇게 다양하고 풍부한 경험과 지식을 갖춘 엔지니어를 찾기는 어렵다. 기술자를 경시하는 풍조가 IT 업계에도 만연되어 있어 엔지니어가 오랫동안 다양한 분야에서 경험과 지식을 쌓기란  무척 어렵기 때문이다. 그리고 그러한 이유에서 제대로 서버보안S/W(SecureOS)를 운영할만한 엔지니어를 찾기란 쉽지 않다.

하지만 주요 데이터가 보관되고 서비스되는 서버의 보안을 서버 내부가 아닌 서버 외부의 네트워크 보안 시스템에게 맞기는 것은 사람이 오리털 파카를 입고 있으면서 그 속에는 홀라당~~ 벗고 있는 것과 크게 다를 바가 없다.

서버와 애플리케이션 보안의 강화....
그것만이 보안이 취약한 Unix/Linux/Windows 서버의 해킹을 막을 수 있는 유일한 해결책이다.


서버 보안 컨설턴트의 입장에서 바라본 Auction(옥션) GS Caltex(칼텍스)의 고객 개인정보 유출 사고


사용자 삽입 이미지
 

언제부터인가 웹사이트에 가입하기 위해서는 개인정보를 입력해야만 하는 경우가 많아지기 시작했다. 특히 인터넷이 활성화 되면서 게시판 등에 글을 쓰거나 보기 위해서 회원가입을 요구하기 시작했고 아주 작은 웹사이트로부터 거대 온라인 쇼핑몰과 은행, 그리고 포털 사이트는 회원 수를 자랑(?)하고 고객 혹은 회원의 관리를 편리하게 하기 위해 이름과 주민번호와 같은 기본적인 정보는 물로 취미, 거주 주택 정보와 보유 차종은 물론 심지어 생일과 가족들의 개인정보 까지도 서슴없이 요구하는 경우도 있다. 하지만 그에 대한 정보보호에는 소홀한 경우가 많다.

 

그 이유는 무엇일까 ?

 

1.       정보보안이 얼마나 중요한 것인지 모른다.

 

수많은 기업 및 공공기관의 서버에 보안 S/W를 설치하고 기술지원과 보안 정책 수립을 지원하는 컨설턴트 입장에서 돌이켜볼 때 가장 큰 이유는 기업의 CEO 그리고 CIO 혹은 전산 정보 관리 담당자들이 정보보호의 중요성을 제대로 인식하지 못하고 있는 것을 가장 큰 이유로 들고 싶다. 특히 이윤 추구가 가장 중요한 목표인 기업의 경우 정보 보호에 대한 중요성은 기업 활동 중에서 무척 낮은 순위에 두고 있거나 아니면 그 순위에도 들지 못하는 경우가 많은 것이 현실이었다. 최근 발생한 옥션의 개인정보 유출 사고를 지켜보면서 2년 전쯤 내가 근무하고 있는 회사의 보안 S/W가  BMT와 프리젠테이션 그리고 여러 번의 업무협의를 거쳐 도입 결정 직전이었음에도 불구하고 결국은 우선순위와 안정성 미흡이라는 이해하기 어려운 이유로 도입이 무산된 기억이 있을 정도로 우리 나라 기업들의 보안에 대한 중요성 인식과 보안 인프라의 투자는 인색하기 그지 없다.

 

비록 옥션의 예를 들었으나 상당수 기업의 정보보안에 대한 마인드는 아직 형편없다라는 한마디로 표현할 수 있다. 그리고 비록 보안이 중요하다는 것은 인식하고 있어도 해킹에 대한 아픈 기억이 없기 때문에 우린 아직은. 이라는 생각을 하고 있다는 것이다. 하지만 한번 해킹을 당해 아픈 기억을 갖고 있는 기업을 방문해 보면 보안 컨설턴트를 대하는 자세가 확실히 다르고 보안의 중요성에 대한 인식도 확연하게 차이가 나는 것을 피부로 느낄 수 있었다.

 

2. 보안 업무에 대한 잘못된 인식

 

우리나라 기업들의 정보 보안 관리에 대한 최고 책임자는 대부분 정보화 부서의 부서장이 겸하는 경우가 많고 서비스에 장애가 생기면 이사진 이상의 최고 경영자 층에서 정보화 부서장을 흔히 족친다. 서비스 장애로 돈 버는데 문제가 된다고 말이다.

 

그게 뭐가 문제냐고 할 수 있다.

 

하지만 보안 사고가 발생할 경우에는 서비스 장애에 비해 조용히 넘어가고 대외적으로 비밀에 부치는 경우가 많다. 한마디로 서비스에 심각한 장애가 생긴 것도 아니고 보안사고로 인해 쪽팔리기 싫은 것이다.

 

따라서 정보화 부서의 부서장은 보안 강화 보다는 서비스 안정화에 더 관심을 갖고 총력을 기울일 수 밖에 없다. 따라서 정보 보안은 상대적으로 뒷전일 수 밖에 없다. 또한 대부분의 보안 솔루션들은 서비스에 필수적인 것이 아니며 운영할 경우 서비스의 장애를 유발하거나 서비스의 성능을 저하시킬 수 있는 하나의 S/W 혹은 H/W이기 때문에 정보화 부서의 부서장에게는 처럼 느껴질 수 있다. 이러한 상황에서 당신이 서비스의 뛰어난 성능과 안정성을 최고의 목표로 삼아야 하는 정보화 부서의 부서장이라면 어떻게 하겠는가?

 

따라서 이러한 조직체계는 옥션이나 GS칼텍스의 개인정보 유출과 같은 큰 보안 문제를 야기시키는 근본적인 원인이 될 수 있다. 보안 업무는 정보화 부서의 부서장이 수행하기에는 업무 특성상 이율배반적인 상황이 발생할 수 있기 때문이다. 따라서 보안 업무의 최고 책임자는 적어도 최고 경영진의 한 사람이어야 하며 가장 적임자는 바로 최고 경영자인 CEO이어야 한다.

 

3. 빠른 업무처리가 최고의 미덕인 우리나라 기업의 업무 스타일

 

흔히 말하듯 보안이 철저하고 강해지면 보안 담당 부서 이외의 타 부서에서 업무가 불편해지고 업무가 편해지면 보안이 약해진다는 속설처럼 보안 업무는 여러 부서에서 고유의 업무를 수행하는데 불편하다라고 느껴 반발을 불러올 수 있기 때문이다. 그 편리함이 바로 보안의 취약성일 수 있는데도 말이다.

 

실제로 강력한 보안정책을 적용했다가도 현업부서 담당자가 업무처리가 너무 불편하다며 반발하자 적용했던 보안정책을 없애버리는 경우를 수도 없이 보는 것은 대부분의 보안 컨설턴트 들이 공감할 것이다. 일선 업무 담당자가 정보화 부서의 부서장이 추진한 보안정책에 반발하고 업무처리 지연에 따른 책임을 물을 것처럼 나오자 정보화 부서의 부서장이 한발 물러설 정도로 우리나라 기업의 최고 미덕은 신속한 업무처리인 것이다. 비록 보안 상 문제가 있어도 말이다.

 

 

4. IT 및 보안 인프라에 대한 인색한 투자

 

우리나라에서 수행되는 수많은 전산 시스템을 구축하는 프로젝트를 지켜보면 가장 중요한 것은 단기간에 시스템을 구축하면서도 안정적인 시스템을 만드는 것이다. 앞에서 언급한대로 전산 시스템에 장애가 생겨서는 안되며 값싼 장비와 적은 인력으로 단기간에 프로젝트를 마쳐서 돈을 아껴야 하는 것이었다. 당연할 것이다. 장애가 발생하면 돈 버는데 큰 지장을 초래할 수 있기 때문이고 프로젝트의 기간이 길어지면 돈이 많이 들기 때문이다.

 

그렇기 때문에 대부분의 프로젝트에서 보안관련 솔루션들은 쓸데없이 돈만 들이는 것으로 인식되고 있으며 한 푼이라도 더 깎으려 눈에 불을 켜기 나름이다. 그래서 우리나라의 보안 솔루션 업체들은 참 먹고 살기 힘든 곳이 많고 기업의 성장이 더디며 많은 기업들은 좋은 솔루션을 갖고도 도산하기 일쑤다.

 

 

이처럼 우리나라의 정보 보안에 대한 인식은 무척 낮은 수준을 벗어나지 못하고 있으며 보안 인프라에 대한 투자 또한 무척 인색하다. 필자의 경우 많은 기업과 공공기관에 서버보안 정책에 대한 컨설팅을 제품에 대한 사후 기술지원 차원에서 하고 있지만 많은 경우 업무에 별 도움이 되지 않고 오히려 방해만 된다며 냉대하는 경우를 이따금씩 목격하고 있다.

 

많은 네티즌과 국민들이 그런 무지한 정보 보안 마인드를 가진 기업과 전산 관리자들에게 소중한 개인정보와 금융정보 그리고 사생활에 관련된 정보를 제공하고 있다는 것은 어떻게 생각하면 무척이나 끔찍한 일이다.

==== 무단 전제 및 배포 금지 ====


  • 케노비 2008.09.08 08:19

    무엇보다도 주민등록번호 하나로 모든 보안 문제를 해결하려는 안일한 생각에 제일 화가 납니다, IT 쪽에는 문외한이지만 한가지에 올인하는게 안좋다는 게 상식적으로도 생각이 드는데도 말이죠,

    • taeho Tae-Ho 2008.09.09 07:27 신고

      맞습니다. 어느 선진국도 우리나라처럼 정확도 높은 인구통계와 지역별 인구 그리고 신상 정보가 정확하게 관리되고 있는 나라는 없습니다. 그만큼 개인이 국가에게 철저하게 통제당하고 파악되고 있다는 것이지요. 그것이 가능한 것이 바로 주민등록번호지요.


이번엔 은행이었다..

금융권... 전산망에 관한한 가장 철저한 보안이 유지되고 있다고 "스스로들.." 자부하는 곳이다. 은행 임직원의 직장에 대한 자부심은 정말 대단하다.  그리고 스스로의 보안은 철저하다고 생각하고 있다. 그리고 실제로도 가장 철저한 보안을 유지하고 있는 곳이 바로 금융권이다.

"루트 권한 획득"

"루트"는 root 이다.

해커에게 root 사용자 계정의 권한이 탈취당했다는 것은... 서버에게는... 사망선고다. 복구..?? 포렌식..?? 다 필요없다. root 계정이 탈취당했다는 사실은 해킹의 흔적도 이미 삭제되고 없다는 것과 마찬가지다. root 계정을 해킹할 정도의 해커라면 게다가 아무리 헛점이 있었다 하더라도 은행의 네트웍을 해킹하고 서버의 root 권한을 획득한 해커라면... 서버에 자신의 흔적을 남길 가능성은 10% 미만이다. 이러한 해킹은 방화벽으로도 IPS로도 웹방화벽으로도 차단하기는 불가능하다.
시스템의 모든 권한을 장악할 수 있는 root(루트) 계정을 해커로부터 보호하기 위해서는 오로지 서버보안S/W (SecureOS : RedCastle)이 서버에 설치되고 최소한의 보안정책이 적용되어 있어야 한다.

이중삼중의 방화벽과 IPS 등으로 무장한 서버에 대한 나의 느낌은...

겉옷은 입었지만 팬티를 입지않은 것과 같지 않을까 생각한다.. ㅋㅋㅋ

아래 기사에서 잡혔다는 J씨는 어딘가.. 모자라는 듯한 느낌을 주고 있다. 실력에 비해 사회적인 감각은 많이 부족하다는 생각이 든다.

----------------------------------------------------------------------------------------

은행전산망 해킹 잇따라…`루트권한 획득' 충격(종합)

2008년 05월 15일 (목) 15:00   연합뉴스


시중은행 2곳 시도·제2금융권 1곳 성공 (서울=연합뉴스) 임화섭 장재은 기자 = 시중은행과 제2금융권 등의 전산망을 해킹했거나 해킹하려고 시도한 용의자들이 경찰에 잇따라 검거됐다. 특히 이 중에는 내부 전산망의 루트 권한(전산시스템의 모든 것을 통제할 수 있는 최고위 관리자 권한)을 획득한 뒤 은행측이 고객정보를 사용할 수 없도록 해 놓고 암호를 풀어 주는 대가로 거액을 요구하는 등 은행측을 완전히 `농락'하는 데 성공한 사례마저 있어 충격을 주고 있다. 경찰청 사이버테러대응센터는 15일 정보통신망 이용 촉진 및 정보보호에 관한 법률 위반 등 혐의로 미국인 J(24)씨에 대해 구속영장을 신청했다.
경찰에 따르면 J씨는 지난달 말 인천에 본사를 둔 모아저축은행에서 대출정보 관리시스템을 해킹해 루트 권한을 획득한 뒤 고객정보가 담긴 파일을 암호화해 사용 불능 상태로 만들고 이를 풀어 주는 대가로 20만달러를 요구한 혐의를 받고 있다. 경찰 관계자는 "해커들이 금융기관 내부 시스템 해킹에 실제로 성공해 모든 정보에 접근할 수 있고 시스템 전체를 좌지우지할 수 있는 루트 권한을 획득한 것은 이번이 처음"이라고 설명했다. 경찰은 J씨를 검거하면서 압수한 컴퓨터와 휴대용 저장장치 등을 정밀 분석하고 있으며 다른 은행을 상대로도 유사한 범죄를 저질렀는지, 해킹으로 확보한 은행 내부 자료를 유출했는지 등 여죄를 추궁할 방침이다.
한편 서울경찰청도 이날 은행의 인터넷뱅킹 고객민원센터에 설치된 무선 공유기를 통해 오가는 데이터를 가로채는 방식으로 해킹을 시도한 혐의(정보통신망 이용 촉진 및 정보보호에 관한 법률 위반)로 이모(51.무직)씨와 전산 기술자 김모(25)씨, 이모(36)씨를 구속했다. 경찰에 따르면 이씨 등은 지난 11일 0시 50분께부터 오전 1시 40분께까지 서울 중구의 하나은행 허브센터와 외환은행 본사 앞에 승용차를 주차해두고 무선 랜카드와 지향성 안테나(AP)를 장착한 노트북 컴퓨터로 인터넷 무선 공유기에서 흘러나오는 데이터를 채집한 혐의를 받고 있다. 조사 결과 이씨 등은 암호화돼 그대로 쓸 수는 없는 데이터를 채집한 뒤 중국으로 건너가 해독해서 고객계좌정보를 알아내 예금을 가로채려고 계획했던 것으로 드러났다.

경찰은 무선 공유기에서 나오는 데이터를 가로채는 수법의 해킹을 시도한 피의자가 검거된 것은 이번이 처음이라고 말했다. 이에 대해 하나은행 관계자는 "우리 경우는 내부 주 전산망에 대한 해킹 시도가 있었던 것은 아니고 인터넷뱅킹 고객민원센터에서 쓰는 무선 공유기에 대한 무단 접속 시도가 있었다가 실패한 경우"라고 설명했다.
solatido@yna.co.kr jangje@yna.co.kr

(끝) 주소창에 '속보'치고 연합뉴스 속보 바로 확인 <연합뉴스 긴급속보를 SMS로! SKT 사용자는 무료 체험!> <저작권자(c)연합뉴스. 무단전재-재배포금지.>