최근에 옥션 해킹피해와 관련한 언론사의 기사 내역을 보면 생각외로 개인 정보 유출 범위가 광범위한 것으로 생각된다. 옥션의 입장에서는 사실 대단히 당혹스러운 일임에는 틀림없으며, 향후 이 사건에 대한 파장과 책임 및 배상의 범위가 어떻게 될지에 대해서는 개인적으로도 상당한 관심을 가지고 있다.
오늘 뉴스를 보니, 옥션에서는 유출된 개인정보 내역을 확인 할 수 있도록 서비스를 제공하는 것을 확인할 수 있었고, 다행스럽게도 나의 정보는 금번 유출 대상과 관련이 없음을 확인할 수 있었다.
도대체 왜 이런 일들이 반복적으로 일어나는 것일까?
중국의 대졸자가 외국 회사에 취직해서 받는 급여(중국에서는 엘리트에 해당하는)가 우리나라 돈으로 몇십만원 수준이라면, 해킹으로 얻어낸 개인정보를 유통하거나, 게임 아이템을 유통시켜서 받는 연간 소득이 중국 대졸자의 급여 수준을 훨씬 능가하기 때문에 악의적인 방법을 통한 공격자의 공격시도는 사실상 향후 늘어나면 늘어났지 줄어들 가능성은 없다.
납성분이 포함된 아이들 장난감을 수출하고, 외국 유명 회사의 디자인을 그대로 배껴낸 짝퉁 상품을 해외에 수출까지 하는 중국의 현실은... "저 나라가 언젠가는 국제사회에서 개망신을 당할 수도 있겠다"는 생각을 하게 된다.
옥션과 동일하거나 유사한 수준 또는 이를 능가하는 침해사고가 이미 지속적으로 발생해 왔다는 점은 정보보호 업계에 종사하는 사람이라면 누구나 알고 있는 사실이며, 내 개인적으로도 침해사고 대응 과정에서 텍스트 파일로 1GB 이상의 개인정보가 크래커에 의해 노출되고 있는 것을 확인한 적도 있다. (텍스트 파일로 1GB면 어느 정도의 개인정보가 포함되어 있을지에 대해서는 알아서 상상하기 바란다. 힌트를 언급하지면... 당연히 옥션은 능가하는 정도의 분량이다. 요즘 공격자는 DB 테이블에서 필요한 정보만 select query해서 빼간다. --+)
사실상 옥션과 같은 해킹피해는 이미 공공연히 벌어지고 있는 현실이었으며, 차이점을 언급하자면... 옥션은 피해 사실을 공개했다는 점이고, 나머지 기업들은 공개하지 않았다는 점이다. 내 개인적으로는 옥션의 개인정보 유출사실 공지 및 이를 확인까지 할 수 있도록 조치한 용기에 대해서는 기립 박수를 보내고 싶은 심정이다. (물론 옥션과 같은 대규모 서비스를 운영하는 회사에서 정보보호 전담조직이 없었던 부분은 비판받아 마땅하다.)
이러한 침해사고 사실에 대해서 그 어떤 누구라도 공개하고 추가적 피해를 막기위해 노력하는 선순환 구조가 우리나라에서 정착이 되었으면 하는 바램을 가져본다. 왜냐하면, 그 어떤 유능한 관리자라도 공격자의 공격을 100% 막아내는 것은 불가능하기 때문이다. 미국의 백악관, CIA, FBI, NASA와 같은 사이트들은 정보보호 분야에 엄청난 투자를 하는 대표적 기관들이다... 결과는? 간혹가다가 신문에도 나온다. 그렇게 투자를 해도... 그래도 뚫린다. 99%의 보안성 강화를 해도 1%의 취약점 때문에 뚫린다.
왜 나머지 1%를 못 막느냐고???
95%의 신뢰성을 갖는 보안시스템을 갖추는데, 95원이 들었다면... 100%의 신뢰성을 갖는 보안시스템을 위해서 5원만더 투자하면 된다고 생각들을 하는데, 95%의 신뢰성을 갖는 보안시스템 구조에서 단 1%의 보안성을 높이기 위해서는 1,000원 이상이 들기도 한다. 이게 보안이다.
옥션과 같은 수준의 침해사고는 사실 일반적인 수준의 침해사고의 결과라는 점... 이러한 점에 대한 공감대가 우리나라에서 형성이 되었으면 하는 바램을 가져본다.
내 개인적으로는 우리나라의 보안담당자들에게 한가지 말을 해 주고 싶다.
침해사고를 당하더라도 보안관리자는 주눅들지 말고 어깨를 펴자. 누구나 당할 수 있는 일이다.
최근 KBS 뉴스에 소개가 되어(2007. 08. 26) 이슈화된 메모리 해킹은 기밀성과 무결성이 가장 중요시되는 인터넷뱅킹 사이트를 주제로 하고 있어 상당한 충격을 주었습니다. 최근 빈번하게 발생하고 있는 침해사고의 대부분은 메모리 해킹 사건과 같이 어플리케이션 영역에서 발생하고 있으며, 이는 인터넷 뱅킹의 서비스가 웹 및 상용 어플리케이션 결합 형태로 제공되고 있다는 점에서 인터넷 뱅킹 사이트의 어플리케이션을 통한 침해사고의 발생 가능성은 무시할 수 있는 수준이 아님은 틀림없습니다. 한국은행의 자료에 따르면 2007년 현재 인터넷 뱅킹은 이미 은행창구 업무를 추월하고 있으며, 최근 금융권의 각종 위변조 관련 이슈가 끊임없이 제기되는 것은 이러한 현실과 무관하지 않습니다. 해외의 현황에 대한 비교를 하는 경우도 많은데, 물론 해외 인터넷 뱅킹 서비스와 국내의 인터넷 뱅킹 서비스의 현황은 달라서 직접적으로 비교하기는 불가능하며, 국내의 금융감독기준을 해외 금융서비스에 적용시켰을 경우, 오히려 해외 금융서비스가 불합격 판정을 받을 가능성이 높다는 것이 많은 전문가들의 의견이기도 합니다.
근대의 모든 컴퓨터는 폰 노이만(Von Neumann) 박사의 Stored Program Architecture 방식에 의해 운영되기 때문에 현대의 모든 컴퓨터를 프로그램과 데이터가 저장되는 ’Von Neumann Machine'으로 불리는 이유가 됩니다. 이러한 이유 때문에 메모리 조작 및 이의 취약점 존재 가능성 여부는 운영체제 종류와 관계없이 모든 종류의 운영체제에서 동일하게 적용이 가능하게 되는 것이죠. 한마디로 근대의 모든 컴퓨터에서 돌아가는 모든 것은 프로그램이죠. 사실 인터넷뱅킹 메모리 해킹 관련 내역은 원래 발생 가능한 취약점 유형이죠. 사실 새로울 것도 별도 없습니다만, 문제는 이게 기밀성과 무결성, 가용성이 최대로 보장되어야 하는 인터넷 뱅킹에서 발생된다는 것이 문제인 것 같습니다.
금번 이슈화된 메모리 해킹과 관련된 대응방안 몇 가지를 알아보고, 이에 따른 장단점을 분석해 보면 아래와 같습니다. 물론 저의 개인적인 견해입니다.
대응방안
장점
단점
메모리 해킹 대응 솔루션 도입
기존의 서비스 아키텍처 변화 없이 당장 수용한 기술
우회 기술 등장 및 완전한 대책이 되지 않음. 지속적인 ActiveX 기술의 추가로 인한 사용자 불편 가중
HSM 방식 도입
하드웨어 보안모듈이 메모리 해킹 해결에 가장 적합
메모리 해킹 이외의 공격에는 대응 불가능
사용자 입력을 이미지 방식으로 대체
기존의 아키텍처 변화 없이 당장 수용이 가능할 것으로 예상
공격을 어렵게 만드는 기술이며, 우회기술 등장 시 문제점 재등장
인증 및 이체 시
별도 매체
(휴대전화 등) 이용
별로 매체를 이용하므로, 본인인증 및 위변조 대응 시 가장 완벽할 것으로 예상
별도 매체 이용으로 인해 해외 동포의 인터넷 뱅킹 서비스 불가능 예상. 웹 서비스의 비표준화 가속
가상화 기술 이용
S/W로 구현된 전용단말기를 사용자에게 배포한 것과 동일한 효과
가상화 기술의 뱅킹 서비스 당장 적용은 무리이며, 가상화+보안이라는 두 가지 요건에 대한 구현 필요
글쎄요. 현실적으로 금번 메모리 해킹과 관련한 이슈에 대해서도 단기적으로는 즉시 적용이 가능한 솔루션을 통해 문제를 해결할 수밖에 없을 것으로 예상됩니다. 이러다가 인터넷 뱅킹 쓰려면 ActiveX 컨트롤을 한 10개 정도는 인스톨해야 하는 시대가 올지도 모릅니다. 정말 우울합니다. 에효...
사실 게임 해킹 방어를 위한 국내 사례와 같이 핸드폰 인증 같은거 쓰는 방법도 있습니다. 사실 이 방법이 가장 확실하기는 합니다만, 인터넷 뱅킹과 게임은 분명히 다릅니다. 핸드폰 없는 사람은 인터넷 뱅킹을 하지 못하게 하거나, 해외동포들의 인터넷 접속이 없거나 외국에서 접속하는 핸드폰을 가진 사용자에게 까지 인증 문자나 각종 메시지 전송이 가능하면 이것도 가능하겠지요. 핸드폰 인증은 인터넷 뱅킹에는 결코 추천할 만한 매체는 아니라는 생각이 강하게 드는군요. 그렇다고 다른 방법을 쓰면 한방에 해결되면 좋겠으나, 그렇다고 한방에 될만한 것도 눈에 띄지는 않는군요.
0
0