일러스트=박상훈 기자 ps@chosun.com
현업 활동 중인 국내 보안 컨설턴트들 e메일 직격 인터뷰
“아이핀 등 대체수단 해결책 안 돼…보안은 사람이 중요”
“제대로 보안팀 갖춘 곳 없어…직원 보안의식 제고 시급”
“해커와 크래커 구별해야…전문가 키워 사이버전 대비를”
##1> 지난 2월 초 국내 최대 오픈마켓으로 1800만 회원 정보를 가지고 있던 옥션이 한 해커에 의해 뚫렸다. 실명, 주민등록번호, 계좌번호 등 주요 정보가 무기력하게 빠져 나갔다. 경찰이 추정한 정보 유출 건수만 1000만 건이 넘는다. 현재 해킹 및 협박에 가담한 일당 3명이 중국서 붙잡혔지만, 주범은 여전히 오리무중이다.
##2> 지난 3월에는 780만 명에 이르는 LG텔레콤 가입자의 개인정보가 닷새 동안 인터넷에 실시간으로 노출됐다. 고객정보 관리 서버 접속을 위한 ID와 비밀번호, 서버 주소가 아무런 보안 조치 없이 열려 있었던 것. 실제 유출 사고로 이어진 사례는 모두 570건이었지만, 하마터면 대형 사고로 이어질 뻔 했다.
##3> 하나로텔레콤은 지난 2006년 1월부터 지난해 말까지 600만 회원 정보인 8530만 건을 고의로 외부로 빼돌렸다. 고객 정보를 보호해야 할 기업이 오히려 전국 1000여개 텔레마케팅업체에 개인정보를 무단 제공한 것이다. 게다가 구(舊) 정보통신부 직원까지 개입된 것으로 알려지면서 파문이 일파만파로 확산됐다. 네티즌들은 “보이스 피싱의 원인을 제공했다”며 불만을 터뜨렸다.
##4> 지난해 11월 국민은행 인터넷뱅킹 시스템이 악성코드를 통해 해킹 당하는 일이 발생했다. 이 사고로 4명의 계좌에서 7000여만 원이 임의 인출되는 피해까지 입었다. 당국은 해커들이 키보드로 입력된 개인 정보가 E2E 구간(PC와 네트워크가 연결되는 지점)으로 넘어갈 때 보안 처리되지 않은 상황에서 정보를 가로챈 것으로 추정하고 있다.
##5> 지난해 7월 포털사이트 다음도 ‘고객 상담 관리시스템’이 한 전문 해커에게 해킹 당했다. 당시 해커는 고객상담 관리자의 아이디와 비밀번호를 알아내 관리자 페이지에 접근한 것으로 알려졌다. 해커는 경찰에 체포되기 전까지 “고객정보를 외부에 팔아넘길 것”이라며 수천만 원을 요구했다. 그러나 다음은 해커의 접근으로 개인정보 유출 가능성이 있었음에도 불구하고 회원들에게 피해 사실을 8개월 동안 숨겨 비난을 받았다.
##6> 요즘 온라인은 온통 ‘개인정보 유출 소송’으로 얼룩져 있다. 해핑 피해 소송대리 카페가 잇달아 생겨나면서 수수료도 '3만원'부터 성공 보수를 조건으로 '무료'까지 떨어졌다. 현재 변호사들은 옥션 80여개, 하나로텔레콤 30여개, LG텔레콤 10여개를 개설하고 수십만 원~수백만 원 보상을 장담하며 회원들을 끌어 모으고 있다. 수임 경쟁으로 인해 정작 피해를 입는 것은 권리 찾기에 나선 소비자들이다.
이것이 해킹 사고에 처참하게 유린당한 2008년 대한민국 현주소다. 보안 사고가 봇물처럼 터져 나왔지만 불안한 상황은 계속되고 있다. 주민등록번호는 해커들의 주요 수집 아이템으로 전락했고, 1000만 개인 정보를 빼간 중국 해커는 종적을 감췄으며, 지금도 정부기관을 사칭하는 보이스피싱 전화가 걸려온다.
국가공인 정보보호전문가 자격증 모임(http://cafe.naver.com/nsis)에서 활동하는 현업 보안 컨설턴트들의 도움을 받아 주요 현안에 대해 인터뷰를 진행했다. 당사자들의 입장을 고려해 e메일 내용은 모두 익명으로 처리했다.
컴퓨터 해킹 피해가 우려되고 있는 가운데, 국가사이버안전센터 상황실 직원들이 사무실에서 관련 정보를 모니터링 하고 있다. /조선일보 자료사진
#질문 1> 호기심 많은 스크립트 키드(script Kid, 기성 해킹 툴을 사용하는 초보 해커)들이 철창신세를 지는 경우들이 많다. 김홍선 안철수연구소 부사장은 최근 기자 간담회에서 “현재 우리나라 해킹 사건은 일반적으로 인터넷에 돌아다니는 해킹 도구 몇 가지만 있으면 누구나 손쉽게 뚫을 수 있을 정도로 취약하다”고 말하기도 했다.
김철수씨(가명) : ‘해킹은 누구나 할 수 있다’고 본다. 자신이 관심을 가지고 기술력을 갖추기만 한다면 시간문제일 뿐 누구나 해킹 자체는 다 할 수 있다. 그러나 ‘도덕적’인 의식은 죽을 때까지 긴장을 풀어서는 안 된다. 자신이 최고의 '해커'라고 인정받더라도, 윤리에 어긋나는 행동을 단 한번이라도 하게 되면 그 날로 ‘범죄자’가 되기 때문이다. 일반적으로 해킹 툴을 사용하는 사람들이라도 잘만 쓴다면 맨손으로 해킹하는 것 보다는 효율성을 극대화 할 수 있다. 하지만 그 자동 툴의 대상이 얼마나 피해를 입을 지, 그 책임은 어디에 있을지 도덕성이 형성되지 않은 상태에서 실행하게 되면 그 툴이 자신을 찌르게 될 것이다.
이명수씨(가명) : 인프라가 잘 갖춰져 있고, 초고속 인터넷이 널리 퍼져 있는 상황에서 호기심 많은 스크립트 키드들이 활발하게 활동한다. 그러나 우리는 사회의 허용된 법의 테두리 안에서 생활한다는 것을 늘 인지해야 한다. 스크립트 키드들도 그 법의 테두리가 어디까지인지를 분명히 알 수 있도록 해야 하며, 불법적인 ‘스캔’까지도 법에 저촉 될 수 있다는 사실을 알려 줘야 한다. 윤리 교육이 무엇보다도 선행돼야 한다.
#질문 2> 옥션 해킹부터 LGT 고객정보 유출, 그리고 하나로텔레콤 자료 고의 유출까지, 최근 발생하고 있는 일련의 개인정보 유출 사건에 대해 보안 전문가로서 어떤 점이 가장 큰 문제라고 생각하나?김철수씨(가명) : 옥션의 경우는 관리자의 해킹 경유를 통해서 이루어진 것으로 판단되고, 타사 유출 건도 관리자의 보안의식이 근본적으로 문제다. 개인들이 아무리 잘 관리한다고 하더라도 실질적으로 개인정보에 접근할 수 있는 관리자의 양심에 맡길 수밖에 없는 상황이다. 관리자의 책임의식을 높이고, 중요한 정보의 암호저장 방식을 재고해야 한다.
이명수씨(가명) : 가장 큰 문제점은 보안인식 부족이다. 옥션직원들에게 e메일로 악성코드를 뿌려놓고 패치가 되지 않았거나 무심코 열어본 분들로 인해 계정이 유출되고, 이번 사태까지 이어진 것이다. 패치 하나 업데이트 하나 사소하지만 조금씩이라도 신경을 썼다면 이런 사태가 발생하지 않았을 것이다. ‘나 하나쯤이야’라는 안일한 생각으로 이만큼 커진 것을 보면, 평소에 임직원들의 보안인식을 조금이라도 교육시켰으면 하는 아쉬움이 든다.
박길동씨(가명) : 가장 큰 문제점은 개인정보를 너무 많이 수집한다는 것이다. 국내 주요 쇼핑몰이 취급해야 할 개인정보를 신뢰 할 수 있는 기관에서 취급하고, 쇼핑몰이 이를 가져다 쓸 수 있는 방법이 마련돼야 한다. 보안에 대한 투자가 특히 부족한 것 같다. 안철수 의장도 귀국 기자회견에서 “필요한 관리비용을 쓰지 않으니 누구나 예견할 수 있는 일 이었다”고 비판하기도 했다.
> |
이명수씨(가명) : 현재 선진국과 너무 차이가 있다. 미국에서는 현재 해커 육성과 사이버테러를 대비하기 위해 보안연구기관을 국가에서 직접 운영하고 있다. 그러나 현재 우리나라는 침해탐지를 위해 해킹을 해도 불법이기 때문에 쇠고랑을 차는 신세가 된다.
박길동씨(가명) : ‘해킹’ 하면 선입견을 가지고 보는 시각부터 없애면 좋겠다. 해커나 보안전문가는 자신의 홈피나 블로그에 다양한 취약점이나 글을 올리지 못한다. 자칫하다간 오해를 받기 쉽기 때문이다. 우선 해커나 크래커라는 용어 보다는 보안전문가, 정보보호전문가라는 용어를 사용했으면 좋겠다.
#질문 4> 보안 취약점을 찾는 '윤리적 해킹'을 장려하자는 주장도 있고, 국가에서 나서서 전문 인력들을 집중 키워야 한다는 ‘해커 10만 양병설’도 나오는 실정이다.
김철수씨(가명) : ‘해커’라는 한 측면뿐만 아니라 모든 분야에 대한 보안전문가를 양성해야 한다는 의견을 내 놓고 싶다. 우리가 보통 '해커'라고 일컫는 경우에는 기술적인 측면에서만 너무 비중을 두고 있는 듯하다. 기술적인 부분을 관리할 수 있는 정보 관리자가 오히려 더 중요하다. 한국에서 '해커'라는 단어는 아직 부정적인 측면이 많다. 이 업계로 진로를 고민하고 있는 젊은이들도 영화에서나 볼 수 있는 한 면만 보고 선택을 하기 때문에 실제 업무 현장에서도 문제가 많이 발생하고 있다.
이명수씨(가명) : 우리나라에도 언더그라운드에서 상당수의 해커가 활동 중인 것으로 알고 있다. 다만 국내의 경우 모든 해킹을 침입으로 판단하고 적대시하게 되는 게 문제다. 해커와 크래커의 차이를 확실히 알았으면 좋겠다. 요즘 우리나라 진짜 해커들은 과거 철없이 ‘능력 뽐내기’식 해킹을 하지 않는다. 민족애를 고취하고 애국심이 투철한 해커들이 많다. 이들이 밝은 곳으로 나와서 당당히 교육을 받았다면 호랑이에 날개를 달아주는 효과를 얻을 텐데 아쉽다.
박길동씨(가명) : 미래는 사이버전이 될 것이다. 왜 매번 중국 해커들에게 당하고만 있을 셈인가. 정규화 된 인력을 꾸준히 양성하고, 군(軍)에서도 정보보호기술병에 대한 특전과 함께 사회에 나왔을 때 인센티브도 줘야 할 것이다. 공공기관이나 일반 기업체에 정보보호 담당자를 한 명씩 배치하고, 관리를 의무화하는 방안도 좋을 것이다. 수요가 있으면 공급이 생기기 마련이다.
#질문 5> 기본적으로 기업들이 정보 유출 사고가 잦은 까닭은 고객정보 모으기에만 혈안이 돼 있고 모은 정보를 보호하는 데에는 인색한 국내 기업들의 행태에서 비롯된다는 설명이 있다. 하지만 사업자 입장에서는 더 많은 개인 정보가 사업의 기반이 되기 때문에 쉽게 포기하기도 어려울 것이다. 보다 근본적으로 해결할 방법이 있을까?
이명수씨(가명) : 지금 정부에서 발표한 아이핀(I-PIN) 활성화의 경우 어차피 주민등록번호를 모으는 것처럼 한 다리 건너면 개인정보를 알 수 있을 것이다. 게다가 활용도가 너무 낮고 사용하기도 불편하기 때문에 2005년 이후 사용도가 현저하게 떨어지는 것이라고 생각한다. 전자상거래 법에 따라 ‘기록유지’ 규정 때문에 웹사이트들은 어쩔 수 없이 개인정보를 받아야 한다. 개인정보 유통에 대한 근본적인 해결방안은 없을 듯싶다.
박길동씨(가명) : 위에서도 잠시 언급을 했지만, 개인정보를 따로 취급하는 국가기관이 마련되고, 개인정보가 필요한 사업자는 그곳의 개인정보를 가져다 쓰는 방식이 어떨까 생각해 본다. (편집자 주 - ‘오픈 ID’와 같은 개념을 의미하는 듯) 일부에서 가상주민번호를 사용한다고는 하지만 근본적인 문제 해결은 아니라고 본다. 또한 서둘러 개인정보보호법을 제정하여 보다 처벌 수위를 높인다면 나아지지 않을까.
#질문 6> 기업들이 해킹 사고 후 대응을 소홀하게 하면서 비난을 자초한 일이 자주 있다. 보안사고 후 가장 합리적인 기업들의 대응은 어떤 방식인가. 우리 기업들에게는 어떤 것이 가장 문제인가.
이명수씨(가명) : 국민은행 20만원, 리니지 10만원 배상 등 종전의 판결들은 변호사와 기업에의 소송에서 나타나는 결과물일 뿐이다. 기업들이 사태 대응을 너무 소홀하게 하는 경향이 분명히 있다. 반드시 대가를 치르게 하는 것이 가장 좋을 것 같다. 기업들에게 필수적인 보안교육을 소양할 수 있도록 해야 한다.
박길동씨(가명) : 옥션 사건을 계기로, 이제 기업은 사고를 숨기려고만 할 것이다. 보안투자도 하지 않은 기업이 망하길 바라면서 침해 사고 후에 외부에 알리기 어렵게 됐다. 차라리 보안투자를 할 수 있게 정부에서 예산을 지원해 주고 그 기업이 사고를 당할 때 반드시 크게 공지를 하도록 하면 어떨까.
1995년 6월 출범한 '해커잡는 경찰' 역할을 하는 한국보안사고응답센터(CERT) / 조선일보 자료사진
#질문 7> 한국정보보호진흥원(KISA)에 따르면 외국 기업은 최소 5~7% 정도를 보안에 투자하고 있지만, 한국 기업의 보안 투자 비율은 3%에 불과하다고 한다. 국내 기업들이 얼마나 보안에 투자하지 않고 있나?
김철수씨(가명) : 여전히 우리나라 주요 기업에서는 제대로 된 보안 팀을 갖춘 곳이 많지 않다. 보안팀을 갖추고 있더라도 10명 이상이 해야 할일을 1~2명이 모두 맡고 있는 것이 현실이다. 엔지니어링이 실질적인 보안 업무를 맡고 있는 것이다. 실질적으로 모든 부문을 각각 맡을 수 있는 전문가가 없다는 점이다. 문제가 발생하면 그 때부터 다급히 인력을 뽑기 시작한다.
박길동씨(가명) : 일반적으로 ‘보안인력이 없다’고 보면 된다. 보안투자를 왜 하지 않을까. 가장 큰 이유는 비용이 들기 때문일 것이다. 또한 보안에 투자를 하도록 경영진을 설득할 사람이 없다. 보안투자를 할 바에 차라리 직원들 월급을 더 주려고 할 것이다. 하지만 누군가 보안투자를 하지 않아 사고를 당했을 때 더 들어갈 기회비용을 객관적으로 설득 시킬 수 있다면 보안 투자가 조금 더 나아지지 않을까.
#질문 8> 불가피하게 유출 당하는 경우이든, 고의 유출하는 경우이든 다양한 논란이 ‘보안 의식’의 문제로 귀결될 수밖에 없다. 사용자가 보안 절차를 지키면 시스템 침입 사고 이외에는 초대형 사고로 번질 가능성은 낮다는 의견에 대해서는 어떻게 생각하나.
김철수씨(가명) : 나도 보안의식이 없을 때에는 개인PC에 주요 문서들을 별도로 관리하지 않고, 심지어 P2P에도 접근할만한 공간에 보관을 한 적도 있다. 또한 암호저장방식이나 전용 소프트웨어를 이용해 별도 관리를 하면서 주기적인 안전점검(바이러스 점검)등을 수행하고 있다. 윈도 운영체제의 경우 패치만 주기적으로 해 준다면 해킹 위험이 많이 낮아진다. 그러나 공공기관에서는 보안의식에 대한 교육을 간과하고 있다.
이명수씨(가명) : 사용자가 보안절차를 지키는 것은 너무나 당연하다. 예전 직장에서 근무할 때는 신입사원이어서 많은 것을 못 느꼈지만, 지금 돌이켜 보면 문제될 만한 것이 많았다. 해킹, DDoS, 피싱, 파밍 등 수많은 논리적 해킹(?) 보다 가장 근본적이고 중요한 것은 ‘사회 공학적 문제’다. 내부자들에 의해서 복사기, 팩스 같은 이면지 뒷면의 자료유출, 무심코 버린 쓰레기통의 중요문서, 작업의 편리성만 생각해 백업서버가 아니라 개인PC에 백업한 자료, USB 메모리 등의 손쉬운 이동장치 활용 등이 문제다.
박길동씨(가명) : 보안 의식이 강화되면 사고도 당연히 줄어 들 것이다. 보안절차와 관리체계가 확실하게 정해져 있다면 가능하다. 그러나 일반인들은 우선 ‘보안이라는 것이 귀찮다’라고만 한다. 보안과 불편함은 항상 상충관계(Trade-off)이기 때문에 지속적인 의식 교육이 중요하다고 본다.
> |
김철수씨(가명) : 기술적인 해킹은 솔루션이든 하드웨어든 많은 방법이 있기 때문에 어느 정도까지는 100% 효과를 볼 수 있다. 컨설팅을 하는 과정에서도 ‘사회 공학적인’ 부분에서는 막을 방법이 없는 것이 사실이다. 게다가 요즘은 대부분 온라인에서 거의 모든 사무 작업이 이뤄지기 때문에 사용자와 관리자 모두 웹을 통해서 의사소통이 이뤄진다. 이런 경우에 관리자 페이지 쪽에서 취약점이 많이 발생하곤 한다. 밖에서 보여주는 부분만 관심을 가지다 보니, 관리자 취약점을 발견하지 못하는 경우가 있다. 이런 문제점과 사회공학적 구멍과 결합하면 문제는 더 심각해진다.
이명수씨(가명) : 사회 공학적 정보유출은 지인들을 속여 공격하는 것이고, 보이스피싱 등도 사람을 속여서 한다는 점에서 공통적인 성격을 가지고 있다. 따라서 사람에 대한 공격이나 속임수에 당하지 않기 위해 간단한 보안관련 기본지식을 가지고 인식을 고취해야 한다.
박길동씨(가명) : ‘보안=사람’이 가장 중요하겠다. 기술적인 부분은 소프트웨어나 하드웨어로 어느 정도까지 보완할 수 있지만 사람은 정말 어렵다. 특히 치밀하게 계획한 시나리오로 ‘보이스 피싱’을 하게 되면 누구나 한 번쯤은 속을 수밖에 없다.
#질문 10> 이미 인터넷에 둥둥 떠 있는 개인 정보나, 디지털 발자취들을 개인들이 효과적으로 관리할 수 있는 방법이 있을까. ‘디지털 지문’에 대한 이야기를 듣고 싶다.
이명수씨(가명) : 완전하게 관리 할 수 있는 방법은 없다. 일부에서는 최근 회원 가입한 사이트나 자신의 개인정보를 인증한 사이트들을 조회하고 삭제할 수 있도록 이벤트를 진행했다. 나 또한 불필요하거나 예전에 가입하고 사용하지 않는 사이트들을 지웠다. 이런 캠페인을 통해 사용하지 않는 사이트들의 발자취는 삭제하는 것이 하나의 방법이다.
박길동씨(가명) : 국가에서 무료로 개인정보를 사용한 웹사이트를 조회할 수 있는 이벤트를 하고 있다. 지속적인 캠페인을 통해 일반인들의 관심을 이끌어 내고, 무분별하게 퍼져 있는 개인정보를 지속적으로 없애는 방법 밖에는 없을 것 같다.
한 보안 전문가는 일반인들에게 꼭 알려주고 싶은 말이 있다며 e메일을 더 보내왔다. 그는 “내가 생각하는 보안의 핵심은 ‘작은 실천’”이라며 “가장 단순한 원리임에도 불구하고 일반인들이 잘 지키지 않는 것이 문제”라고 했다.
그는 “▲운영체제, 응용 어플리케이션을 패치해 항상 최신으로 유지할 것, ▲의심이 가는 e메일은 열어 보지 말 것, ▲자신의 PC에 최소한 백신과 PC용 방화벽은 설치를 할 것, ▲무리한 개인정보를 요구하는 웹사이트는 가입하지 말 것, ▲개인정보 유출이 발생했다면 관련기관에게 도움을 요청하고 발 빠르게 대처할 것” 등을 조언했다.
글, 정리, 편집 = 인터넷뉴스부 서명덕 기자
'닷컴's_IT > 보안' 카테고리의 다른 글
| DDoS(Distribute Denial of Service attack)- 인터넷 대란 (0) | 2009.07.10 |
|---|---|
| 옥션 해킹범을 잡다... (0) | 2008.05.12 |
| Web Hacking 5탄 Log Injection (0) | 2008.03.11 |
| Web Hacking 4탄 쿠키취약점 (0) | 2008.03.11 |
| Web Hacking 3탄 구멍난 자바스크립트 (0) | 2008.03.11 |