[@클린] 실제 해킹으로 보안 점검하라
| |
| 기사입력 2012.09.03 15:16:26 | |
◆ 보안전문가와 함께하는 해킹 대처 ① ◆
최근 보안전문가들 사이에선 대한민국 국민 주민등록번호와 휴대폰 번호는 전면적인 교체 작업이 없는 한 더 이상 보호의 실익이 없는 정보라는 자조 섞인 얘기들이 나온다. 옥션 해킹으로 1800만명, 네이트 해킹으로 3500만명, 넥슨 해킹으로 1300만명, GS칼텍스 해킹으로 1100만명, 하나로텔레콤 해킹으로 600만명, 이번에 KT 해킹으로 870만명의 개인정보가 노출되었으니 어림잡아도 우리나라 국민은 최근 몇 년간 평균 두 번씩은 개인정보를 도둑질당한 셈이다. 개인정보들이 이미 해커들 손에 넘어가 있는 상황이니 보안이 무슨 의미가 있겠느냐는 논리다. 개인정보 침해와 산업의 뿌리를 갉아먹는 해킹에 어떻게 대처해야 하는지 터보테크 박치민 사장 기고(연재)를 통해 알아본다.
최근 종영된 `유령`이라는 드라마에선 증권사나 한국전력 같은 국가기간망이 해커들에게 공격을 받아 혼란스럽고 마비되는 장면이 방영됐는데, 겁에 질린 시청자들은 이구동성으로 관계 부처에 질의를 했다.
쇄도하는 문의를 견디다 못한 정부 부처가 이러한 일들이 실제에서는 가능하지 않다는 해명성 기자회견을 자청해야 하는 상황까지 발생하기도 했다.
유수 대기업, 금융회사, 국가기관들의 `보안 실패`로 인해 최종 피해자인 고객의 민원과 소송이 줄을 잇고 있다.
하지만 사건 원인 규명, 책임 소재, 사후 처리, 대책 마련을 담당해야 하는 주무부처를 비롯해 수사기관이나 법원마저도 이를 어찌해야 할지 몰라 한숨만 깊어가고 있는 형국이다.
더 이상 해킹사고를 개별 기업이나 개인 문제로 인식하기에는 해킹 규모와 발생 빈도가 심각한 수준에 이르렀다. 그 양상도 이미 국가 시스템 존립과 개인 생존 문제를 좌우할 정도로 복잡다기해진 것은 비단 우리나라에만 국한된 문제는 아니고 전 세계적인 화두가 됐다.
그럼에도 여전히 `우리는 쓰나미 앞에서 조개를 줍는 어린아이`같이 대응하고 있다는 보안업계 원로 말씀이 전혀 과장으로 들리지 않는다.
최근 종영된 `유령`이라는 드라마에선 증권사나 한국전력 같은 국가기간망이 해커들에게 공격을 받아 혼란스럽고 마비되는 장면이 방영됐는데, 겁에 질린 시청자들은 이구동성으로 관계 부처에 질의를 했다.
쇄도하는 문의를 견디다 못한 정부 부처가 이러한 일들이 실제에서는 가능하지 않다는 해명성 기자회견을 자청해야 하는 상황까지 발생하기도 했다.
유수 대기업, 금융회사, 국가기관들의 `보안 실패`로 인해 최종 피해자인 고객의 민원과 소송이 줄을 잇고 있다.
하지만 사건 원인 규명, 책임 소재, 사후 처리, 대책 마련을 담당해야 하는 주무부처를 비롯해 수사기관이나 법원마저도 이를 어찌해야 할지 몰라 한숨만 깊어가고 있는 형국이다.
더 이상 해킹사고를 개별 기업이나 개인 문제로 인식하기에는 해킹 규모와 발생 빈도가 심각한 수준에 이르렀다. 그 양상도 이미 국가 시스템 존립과 개인 생존 문제를 좌우할 정도로 복잡다기해진 것은 비단 우리나라에만 국한된 문제는 아니고 전 세계적인 화두가 됐다.
그럼에도 여전히 `우리는 쓰나미 앞에서 조개를 줍는 어린아이`같이 대응하고 있다는 보안업계 원로 말씀이 전혀 과장으로 들리지 않는다.
필자가 고객 기업 최고경영자나 정부 담당자들을 만나 본 결과 최근 몇 년 동안 발생한 일련의 해킹사고들로 인해 해킹사고에 대한 기업이나 국가의 인식이 많이 개선되고 있는 느낌이다. 하지만 해킹 문제를 쉬쉬하거나 애써 외면하고 싶어하는 사람도 여전히 많다. 어차피 감출 수 없는 병이라면 병을 알리고 치료법을 찾아야 할 것이다. 해킹 문제를 정면으로 돌파하는 나라가 선진국이고, 그런 기업이 일류 기업이다.
국내 최대 기업인 S사 경영진은 "해킹은 불가피한 문제고 우리 시스템도 매일매일 공격을 받고 있으며 결론적으로 뚫린다. 그렇기에 우리는 이를 생존 문제로 보고 총력을 기울여 막고 있다"고 말했다.
해킹 위험에 직면해 있는 기업 임원들은 자주 이런 질문을 한다. "막아도 막아도 끝이 없는데, 도대체 어느 정도 수준까지 얼마를 들여서 막아야 합니까?"
전문가를 빙자해 "끝이 없다. 최대한 노력해야 한다"고 겸손하고 무책임한(?) 답변을 하고 싶은 유혹을 받기도 하지만, 분명한 것은 기업마다 해킹을 막기 위한 최적의 투자 규모는 추정 가능하고 최적의 투자 포트폴리오나 방법론은 존재한다는 것이다.
그럼에도 안타깝게도 많은 기업들이 엉뚱한 투자를 반복하면서 비용 효율성이 현저히 떨어지는 투자를 반복하고 있는 것이 현실이다.
이는 전문가를 자처해 온 대한민국 보안업계가 지난 10여 년간 자초한 부끄러운 결과다. 이참에 대한민국 보안전문가를 자처하는 기업이나 학계에서 이런 담론을 이론적인 측면과 경험적인 측면에서 함께 논의할 것을 제안하고 싶다.
얼마 전 필자는 최근 몇 년간 보안 진단을 수행한 고객사에서 특별한 제안을 받았다.
법령 개정과 내부적인 투자 필요성에 따라 보안 수준을 제고하기 위한 설비투자를 하는데 투자 포트폴리오를 짜서 납품해 달라는 요구였다.
"환자 몸을 샅샅이 진단해서 몸 상태를 정확히 알고 있는 의사, 환자가 앓는 병의 특성을 정확히 이해하는 의사에게 투약과 수술 방법론을 조언 받으라"고 답했다. 해킹에 대한 불안감과 의구심에 쌓인 경영자가 제일 먼저 할 일은 단언컨대 `정확한 건강검진`, 즉 `실제 해킹을 통한 보안 상태 진단`이다. 병도 모르고, 몸도 모르는데 어찌 투약을 하고 수술을 할 것인가.
IT 최강국 대한민국이 해킹으로 `한 방에 훅` 무너지는 위험은 너무도 두렵고 상상하기조차 싫다. 그렇기에 이러한 위험을 극복하기 위해 정부, 기업, 사용자, 언론, 보안전문기업들이 힘을 합쳐 기술적인 측면, 정책적인 측면, 법률적인 측면, 인식 측면에서 더 적극적으로 변화해야 한다고 생각한다.
국가전략적으로 해커를 양성해야 하고, 전자금융거래법, 개인정보보호법 같은 실효성 있는 법들을 더 촘촘히 정비해야 한다. 해킹보험, 사이버안전기금과 같은 사회안전망도 확충해야 한다. 해킹 위협에서 대한민국을 지키기 위해 우리가 해야 할 일이 너무도 많다.
국내 최대 기업인 S사 경영진은 "해킹은 불가피한 문제고 우리 시스템도 매일매일 공격을 받고 있으며 결론적으로 뚫린다. 그렇기에 우리는 이를 생존 문제로 보고 총력을 기울여 막고 있다"고 말했다.
해킹 위험에 직면해 있는 기업 임원들은 자주 이런 질문을 한다. "막아도 막아도 끝이 없는데, 도대체 어느 정도 수준까지 얼마를 들여서 막아야 합니까?"
전문가를 빙자해 "끝이 없다. 최대한 노력해야 한다"고 겸손하고 무책임한(?) 답변을 하고 싶은 유혹을 받기도 하지만, 분명한 것은 기업마다 해킹을 막기 위한 최적의 투자 규모는 추정 가능하고 최적의 투자 포트폴리오나 방법론은 존재한다는 것이다.
그럼에도 안타깝게도 많은 기업들이 엉뚱한 투자를 반복하면서 비용 효율성이 현저히 떨어지는 투자를 반복하고 있는 것이 현실이다.
이는 전문가를 자처해 온 대한민국 보안업계가 지난 10여 년간 자초한 부끄러운 결과다. 이참에 대한민국 보안전문가를 자처하는 기업이나 학계에서 이런 담론을 이론적인 측면과 경험적인 측면에서 함께 논의할 것을 제안하고 싶다.
얼마 전 필자는 최근 몇 년간 보안 진단을 수행한 고객사에서 특별한 제안을 받았다.
법령 개정과 내부적인 투자 필요성에 따라 보안 수준을 제고하기 위한 설비투자를 하는데 투자 포트폴리오를 짜서 납품해 달라는 요구였다.
"환자 몸을 샅샅이 진단해서 몸 상태를 정확히 알고 있는 의사, 환자가 앓는 병의 특성을 정확히 이해하는 의사에게 투약과 수술 방법론을 조언 받으라"고 답했다. 해킹에 대한 불안감과 의구심에 쌓인 경영자가 제일 먼저 할 일은 단언컨대 `정확한 건강검진`, 즉 `실제 해킹을 통한 보안 상태 진단`이다. 병도 모르고, 몸도 모르는데 어찌 투약을 하고 수술을 할 것인가.
IT 최강국 대한민국이 해킹으로 `한 방에 훅` 무너지는 위험은 너무도 두렵고 상상하기조차 싫다. 그렇기에 이러한 위험을 극복하기 위해 정부, 기업, 사용자, 언론, 보안전문기업들이 힘을 합쳐 기술적인 측면, 정책적인 측면, 법률적인 측면, 인식 측면에서 더 적극적으로 변화해야 한다고 생각한다.
국가전략적으로 해커를 양성해야 하고, 전자금융거래법, 개인정보보호법 같은 실효성 있는 법들을 더 촘촘히 정비해야 한다. 해킹보험, 사이버안전기금과 같은 사회안전망도 확충해야 한다. 해킹 위협에서 대한민국을 지키기 위해 우리가 해야 할 일이 너무도 많다.
`IT 아우토반` 걸맞은 보안정책 마련 힘써야
| |
| 기사입력 2012.09.17 15:09:30 | |
해킹의 파괴력이나 피해는 크게 네 가지 측면에서 생각할 수 있다. 국방(해킹을 통한 전쟁 수행 및 억지력), 산업경쟁력(산업(기술)정보 유출), 국가질서(전력망, 금융망,도로망 등 사회기반시설 붕괴), 국민인권침해(개인정보 노출) 등이다.
1991년 이라크 전쟁 당시 이라크군이 스텔스기를 격추시키지 못한 것은 스텔스기가 레이더에 걸리지 않아서가 아니었다. 미국과 프랑스의 연합 해커부대가 이라크군의 방공 전산망을 초토화시켜 이미 이라크군은 미사일을 쏠 수 없는 상황이었다.
최근 들어 북한이 일본이나 미국의 비위를 건드려도 북한을 강하게 압박하지 못하는 것은 북한의 해커부대가 나설 수 있다는 `실체 있는 위협` 때문이라는 설이 있다.
국내 기업 중 해킹을 당했을 때 가장 큰 국부손실을 유발하는 기업은 H조선소라고 한다. 만약 그 조선소의 주요 설계도면이 중국 등 경쟁국가로 유출될 경우 30조원이 넘는 국부손실이 발생한다는 게 국책연구소의 추정이다. 또 국내 최고기업인 S사에는 전 세계에서 하루에 1만건 이상의 해킹 시도가 이어지고 있다고 한다. 최근 모 방송국의 드라마에서 전력망을 해킹해 사회혼란이 일어나는 장면을 보여준 적이 있다. 관계당국은 들끓는 여론에 "그런 염려는 하지 않아도 된다"고 해명했지만 보안전문가들은 가능성이 없다고 생각하지 않는다. 2년 전 모 방송국의 9시 뉴스에서 증권사 홈트레이딩시스템이 해커들의 조작에 의해 변조돼 해커가 남의 계좌에서 무단으로 주문을 내고 자금을 이체하는 상황을 시연한 일도 있었다.
우리나라는 지난 10여 년간 엄청난 투자를 통해 세계 최고 수준의 초고속인터넷망, 모바일망을 갖추게 됐다. `IT 아우토반` 위에서 세계 최고의 자동차들이 쌩쌩 달리고 있는 나라가 대한민국이다. 그러나 세계적 자랑거리인 IT 아우토반의 안전을 담보할 교통법규, 교통경찰, 신호등, 교통표지, 차선 어느 것 하나 온전한 것이 없는 위험한 상태에 처해 있다.
해킹 수법이 고도화하고 빈발하게 되면 중국은 30%의 사회시스템과 국민이 위협을 받고 미국은 국가 구조의 70%가 무너지게 된다고 한다.
더 나아가 대한민국에 이런 공격이 발생한다면 모든 시스템이 정지하는 궤멸상태가 될 수밖에 없다. 더 늦기 전에 온 국민이 힘을 모아 총체적인 보안 정책을 만들어야 한다.
1991년 이라크 전쟁 당시 이라크군이 스텔스기를 격추시키지 못한 것은 스텔스기가 레이더에 걸리지 않아서가 아니었다. 미국과 프랑스의 연합 해커부대가 이라크군의 방공 전산망을 초토화시켜 이미 이라크군은 미사일을 쏠 수 없는 상황이었다.
최근 들어 북한이 일본이나 미국의 비위를 건드려도 북한을 강하게 압박하지 못하는 것은 북한의 해커부대가 나설 수 있다는 `실체 있는 위협` 때문이라는 설이 있다.
국내 기업 중 해킹을 당했을 때 가장 큰 국부손실을 유발하는 기업은 H조선소라고 한다. 만약 그 조선소의 주요 설계도면이 중국 등 경쟁국가로 유출될 경우 30조원이 넘는 국부손실이 발생한다는 게 국책연구소의 추정이다. 또 국내 최고기업인 S사에는 전 세계에서 하루에 1만건 이상의 해킹 시도가 이어지고 있다고 한다. 최근 모 방송국의 드라마에서 전력망을 해킹해 사회혼란이 일어나는 장면을 보여준 적이 있다. 관계당국은 들끓는 여론에 "그런 염려는 하지 않아도 된다"고 해명했지만 보안전문가들은 가능성이 없다고 생각하지 않는다. 2년 전 모 방송국의 9시 뉴스에서 증권사 홈트레이딩시스템이 해커들의 조작에 의해 변조돼 해커가 남의 계좌에서 무단으로 주문을 내고 자금을 이체하는 상황을 시연한 일도 있었다.
우리나라는 지난 10여 년간 엄청난 투자를 통해 세계 최고 수준의 초고속인터넷망, 모바일망을 갖추게 됐다. `IT 아우토반` 위에서 세계 최고의 자동차들이 쌩쌩 달리고 있는 나라가 대한민국이다. 그러나 세계적 자랑거리인 IT 아우토반의 안전을 담보할 교통법규, 교통경찰, 신호등, 교통표지, 차선 어느 것 하나 온전한 것이 없는 위험한 상태에 처해 있다.
해킹 수법이 고도화하고 빈발하게 되면 중국은 30%의 사회시스템과 국민이 위협을 받고 미국은 국가 구조의 70%가 무너지게 된다고 한다.
더 나아가 대한민국에 이런 공격이 발생한다면 모든 시스템이 정지하는 궤멸상태가 될 수밖에 없다. 더 늦기 전에 온 국민이 힘을 모아 총체적인 보안 정책을 만들어야 한다.
해킹은 AIDS 감염과 흡사…숨기지말고 치료책 찾아라
| |
| 기사입력 2012.10.08 15:06:02 | |
◆ 보안전문가와 함께하는 해킹 대처 ③ ◆
해킹은 에이즈와 비슷한 특성이 있는 것 같다. 전염성이 폭발적이어서 피해자가 삽시간에 늘어난다는 점, 좀비 PC 같은 해킹 피해자가 자기도 모르게 다시 해킹 가해자로 둔갑한다는 점, 해킹에 의해 감염되거나 병을 앓고 있으면서도 그 사실을 모른다는 점 등이다.
특히 해킹 피해자가 되었다는 사실을 공개했을 때 엄청난 사회적ㆍ법적 제재가 가해질 수 있기 때문에 대부분 쉬쉬하게 마련인 점은 에이즈 발견 초기에 우리가 환자를 터부시하던 때와 너무도 유사하다.
수년 전 필자 회사는 모 대기업에서 의뢰를 받아 모의해킹(서버침투 프로젝트)을 일주일간 수행한 적이 있다. 어렵사리 그 회사 서버에 침투해 보고 싶지 않은(?) 정보를 포함한 모든 자료를 열람할 수 있게 됐다.
북한 같은 적성국, 중국이나 일본 같은 경쟁국 해커들이 탈취했다면 엄청난 국부가 유출되고 국방기밀 등이 공개될 수 있는 상황이었다. 이러한 사실을 고객사에 알려주었지만 어이없게도 (해킹 기술에 대한 몰이해로)필자 회사 직원들은 고객사 내부직원과 밀통해 정보를 탈취한 혐의로 피의자가 돼 취조를 당하는 낭패를 겪게 되었다.
결국 그 해킹 기술을 시연하고 나서야 풀려나게 됐고 개운치 않지만 사후 조치를 일러줬다. 담당자는 정중하게 사과를 했고 이내 정식으로 계약한 후 컨설팅을 받겠다고 약속했다.
하지만 그 후 그 회사 내부적으로는 필자 회사에 대한 음해성 왜곡보고가 이뤄졌고 필자 회사는 그 담당자에게서 외부에 이 사실을 알리지 말라는 강압과 회유를 받는 씁쓸한 상황을 겪게 됐다.
2~3년 전 필자는 대형 증권사 홈트레이딩시스템(HTS) 해킹 의뢰를 받고 HTS프로그램을 분석한 후 변조함으로써 무단으로 주식 매매 주문이 가능하고 자금까지 이체되는 상황을 시연한 적이 있었다.
HTS가 해킹당할 위험성을 지적한 후 당연히 해결 방안까지 제시했지만 불행히도 필자 회사가 금융질서를 교란할 가능성이 있는 회사라는 악의적인 소문이 퍼지기도 했다.
모르긴 몰라도 이런 경험을 했던 보안회사나 보안전문가들이 여럿 존재할 것이다. 필자는 이러한 현실을 특정 기업이나 개인 탓으로 돌려서는 안 된다고 생각한다. 이는 에이즈에 걸린 환자를 탓할 수도 없고, 이를 은폐하고자 하는 가족들을 탓할 수 없는 이치와 비슷하다.
환자가 자기 몸 상태를 의사에게 과장되게 설명하거나 숨기려고 하면 병을 치유할 수 없다. 해킹 가능성을 발견하기 위한 선제적 검진과 예방 행위에 적극 나서고, 그럴 가능성이 있다면 초기에 적극적인 치료를 해야 한다. 해킹 불감증이 국가적인 대혼란을 야기할 수도 있기 때문이다.
특히 해킹 피해자가 되었다는 사실을 공개했을 때 엄청난 사회적ㆍ법적 제재가 가해질 수 있기 때문에 대부분 쉬쉬하게 마련인 점은 에이즈 발견 초기에 우리가 환자를 터부시하던 때와 너무도 유사하다.
수년 전 필자 회사는 모 대기업에서 의뢰를 받아 모의해킹(서버침투 프로젝트)을 일주일간 수행한 적이 있다. 어렵사리 그 회사 서버에 침투해 보고 싶지 않은(?) 정보를 포함한 모든 자료를 열람할 수 있게 됐다.
북한 같은 적성국, 중국이나 일본 같은 경쟁국 해커들이 탈취했다면 엄청난 국부가 유출되고 국방기밀 등이 공개될 수 있는 상황이었다. 이러한 사실을 고객사에 알려주었지만 어이없게도 (해킹 기술에 대한 몰이해로)필자 회사 직원들은 고객사 내부직원과 밀통해 정보를 탈취한 혐의로 피의자가 돼 취조를 당하는 낭패를 겪게 되었다.
결국 그 해킹 기술을 시연하고 나서야 풀려나게 됐고 개운치 않지만 사후 조치를 일러줬다. 담당자는 정중하게 사과를 했고 이내 정식으로 계약한 후 컨설팅을 받겠다고 약속했다.
하지만 그 후 그 회사 내부적으로는 필자 회사에 대한 음해성 왜곡보고가 이뤄졌고 필자 회사는 그 담당자에게서 외부에 이 사실을 알리지 말라는 강압과 회유를 받는 씁쓸한 상황을 겪게 됐다.
2~3년 전 필자는 대형 증권사 홈트레이딩시스템(HTS) 해킹 의뢰를 받고 HTS프로그램을 분석한 후 변조함으로써 무단으로 주식 매매 주문이 가능하고 자금까지 이체되는 상황을 시연한 적이 있었다.
HTS가 해킹당할 위험성을 지적한 후 당연히 해결 방안까지 제시했지만 불행히도 필자 회사가 금융질서를 교란할 가능성이 있는 회사라는 악의적인 소문이 퍼지기도 했다.
모르긴 몰라도 이런 경험을 했던 보안회사나 보안전문가들이 여럿 존재할 것이다. 필자는 이러한 현실을 특정 기업이나 개인 탓으로 돌려서는 안 된다고 생각한다. 이는 에이즈에 걸린 환자를 탓할 수도 없고, 이를 은폐하고자 하는 가족들을 탓할 수 없는 이치와 비슷하다.
환자가 자기 몸 상태를 의사에게 과장되게 설명하거나 숨기려고 하면 병을 치유할 수 없다. 해킹 가능성을 발견하기 위한 선제적 검진과 예방 행위에 적극 나서고, 그럴 가능성이 있다면 초기에 적극적인 치료를 해야 한다. 해킹 불감증이 국가적인 대혼란을 야기할 수도 있기 때문이다.
댓글 없음:
댓글 쓰기