지난해 1.25 대란을 통해 보안의 중요성은 한층 높아졌다. 기업, 기관들은 보안 컨설팅을 통해 다양한 보안 솔루션을 구매해 보안을 강화하는데 분주했다. 하지만 보안 솔루션보다 중요한 것은 장비를 관리하고 보안을 책임지는 사람이라는 것을 간과하고 있는 것이 지금의 현실이다. 지금까지 있었던 보안 사고를 점검하고 기업의 보안을 위해 해결해야 할 점은 무엇인지 짚어본다.
지난해 보안 사고를 생각하면 단연 인터넷 대란이라 불리는 1.25 사건을 손꼽을 수 있다. 이는 마이크로소프트 SQL 서버의 취약점을 노린 슬래머 웜으로 인해, 전세계적으로 많은 기업의 시스템을 다운시키고 개인 사용자의 인터넷 접속을 차단했다.
그렇다면 1.25 대란을 일으킨 슬래머웜 이후에는 어떤 보안 공격이 사용자들을 당혹하게 할지 궁금하다. 보안 전문가들에 의하면, 2003년부터 2008년까지 선을 보이는 최고의 위협은 수퍼 웜, 스텔스(stealth) 웜, 자동 업데이트 기능, 라우팅/DNS 공격, 혼재된 사이버/물리적 공격 등이라고 밝혔다. 슈퍼웜은 패치가 등장하고 얼마의 시간을 두지 않고 바로 공격하는 악성 코드로, 일정한 운영체제에 기생하는 것이 아니라 다양한 운영체제의 취약점을 노려 공격하는 것이다. 따라서 공격을 방어, 대응, 치료할 만한 시간을 주지 않기 때문에 피해 규모는 상상을 초월한다. 스텔스 웜은 공격 흔적을 남기지 않고 시스템을 파괴하는 공격으로, 다양한 모양으로 관리자가 알아차리지 못하게 공격해 방어도 제대로 할 수 없는 특징이 있다.
사이버 국토로 불리는 인터넷을 통해 윔이 유포되고 해킹이 이뤄지고 있다. 이는 실제로 무기를 사용하지 않지만 키보드와 마우스만을 조작해, 사회를 혼란하게 할 수도 있고 사람까지 죽일 수 있는 무시무시한 존재로 부각되고 있다.
웜으로 공격받는 인터넷
최근 한국정보보호진흥원(이하 KISA)는 2003년도 해킹 바이러스 동향을 통해, 2003년에는 총 2만6179건의 해킹 피해가 발생했다고 발표했다. 이는 지난 98년의 158건과 비교하면 5년 만에 무려 165.7배나 증가한 수치다. 98년 158건에서 99년 해킹 피해는 572건으로 3.6배 정도 늘어났고 다시 2000년에는 1943건으로 3.4배 가량 증가했다. 이런 피해 증가 추세는 계속 이어져 2001년 5333건으로 2.7배, 2002년 1만5192건으로 2.8배 많아졌으며 2003년에도 1.7배 정도 증가했다. 특히 지난해에는 윈도우 기반 컴퓨터와 개인의 해킹 피해가 두드러졌다. 이는 해커들이 보안이 강화된 유닉스 계열의 운영체계보다는 상대적으로 보안이 취약한 윈도우를 주 공격 대상으로 삼았기 때문으로 분석된다.
구체적으로 살펴보면, 전체적으로 전년 대비 해킹 공격은 증가했으나, 블래스터, 소빅.F, 웰치아 등 강력 악성 코드가 잇달아 등장한 8월부터는 급격히 증가했다. 9월과 11월에는 각각 소빅.F와 두마루.9234의 영향으로 15522건, 13309건에 달하는 기록적인 신고가 접수됐다. 5대 악성 코드는 공통적으로 웜으로서 전자우편으로 자동 발송될 뿐 아니라 아웃룩 주소록은 물론 다양한 파일에서 주소를 추출해 웜 메일을 발송한다. 따라서 동시에 다수의 사용자에게 웜 메일이 발송돼 피해의 규모가 컸다.
한편, 2001년에 비해 2002년에 한풀 꺾였던 바이러스 피해도 2003년에는 다시 2배 이상 증가했다. 국내에서 발생한 바이러스 피해는 2001년 6만5033건을 기록한 후 2002년에는 3만8677건으로 줄어들었지만 2003년에는 8만5023건으로 다시 급증했다.
해킹의 위협은 개인뿐만 아니라 기업은 신뢰도를 하락시켜 그 심각성이 높다. 모든 인터넷 사용자를 공포에 질리게한 웜은 몇번의 해킹을 통해 취약점을 확인한 후 짧게는 몇주 길게는 십수개월의 잠복기를 통해 유포되는 악성 코드이다. 때문에 해킹은 개인의 신상 정보나 기업의 중요 정보를 빼내는 것 이외에도 앞으로의 큰 위험 요소를 보유한 시한폭탄 같은 것이다. 하지만 사건 사고에 대한 통계는 발표되지만, 일반적으로 보안 사고에 대한 피해는 공개되지 않는다. 이는 기업이나 기관의 신뢰성을 떨어뜨리기 때문에, 대부분 비공개로 처리, 수습되고 있다.
해킹으로 인한 개인정보 유출 '빨간불'
지난해 공개된 해킹 사례를 살펴보면, 우선 전자상거래 등으로 홈페이지를 해킹, 개인 신상정보를 수집해, 팔거나 그를 이용해 범죄에 악용하는 경우가 많다. 전자상거래와 같은 민감한 정보를 취급하는 인터넷 사이트는 악의적인 해커들의 표적이 되고 있다. 지난해 6월에 경제관련 전문 뉴스를 제공하는 A사는 해킹을 당했는데, 범인은 일반에 공개되기 전의 증시 관련 뉴스를 빼내 주식투자를 함으로써, 4개월 동안 무려 150배에 달하는 시세차익을 챙겼다. A사는 파이어월을 설치하고 보안 컨설팅까지 받는 등 상당한 수준의 보안시스템을 갖추고 있었으나, 피의자들은 상대적으로 보안이 취약한 홈페이지와 PC의 취약점을 이용한 것으로 밝혀졌다.
지난해 2월에는 미국의 전자상거래에 참여한 비자 및 마스터 카드의 고객 정보가 전자상거래 업체의 고객 데이터베이스 서버를 통해 대량 유출되는 해킹사고가 발생했다. 이 사고로 누출된 정보는 카드번호와 유효기간, 거래내역 등으로 국내에도 수백여 명에 이르는 고객정보가 노출됐다. 고객이 인터넷을 통한 결제시 입력하는 신용카드번호와 유효기간 정보만 알아도 국내외의 일부 인터넷 쇼핑몰에서 얼마든지 제 3자에 의한 결제를 할 수 있다는 점에서 심각하다.
2003년 5월에는 유명 결혼업체가 보유하고 있는 구체적인 고객 신상정보 28만여 건이 해킹당했다. 이 해킹 사고를 일으킨 범인들은 인터넷 ID를 포함한 개인정보를 해킹한 대상 인물이 다른 인터넷 게임 사이트에 사이버머니를 적립하고 있을 경우를 노려 이를 현금화할 계획을 세웠던 것으로 조사됐다. 또한 동일 범인들은 5월 초에도 부동산사이트를 해킹해 부동산 매물정보 10만 건과 간략한 개인정보 5000건을 입수했다.
2003년 7월에는 한 고교생이 게임 아이템을 얻어 현금거래를 하기 위해 온라인게임 '리니지'를 해킹을 시도해 구속되는 사건이 있었다. 조사결과 이들은 리니지 회원이 알아드민이 설치된 컴퓨터에 접속하면 '싸울아비 장검' 등 게임 아이템을 자동으로 잃어버리게 되는 것을 이용, 아이템을 가로채 수십~수백만원을 받고 다른 사람에게 파는 수법으로 현금을 챙겼다고 한다.
최근에는 해킹이 아닌 검색엔진을 통해 개인 정보가 유출되고 있어 보안에 각별한 관심을 쏟아야 한다. 웹 검색엔진의 성능이 과거에 비해 월등히 향상되면서 일부 검색엔진에서는 HTML로 작성된 웹페이지의 내용은 물론 웹사이트에 올려놓은 PDF나 워드 같은 문서파일 내용까지도 검색이 가능해지고 있다. 지난해 5월 한 유선방송사의 웹사이트에서 고객 6000여 명의 개인정보 명단이 인터넷 검색엔진을 통해 유출된 것도 바로 이런 경우다.
특히 가족·동창회·동아리 홈페이지 등은 주소록이나 회원 근황 파일을 자료실 등에 올려놓은 경우가 비일비재해 검색엔진을 통한 개인정보 유출위험도 증가하고 있다. 이에 따라 검색엔진 전문가들은 정보유출을 방지하기 위한 일반 홈페이지 운영자들의 각별한 주의와 기술적인 대비책 마련이 필요하다고 지적한다.
| ||||||
| ||||||
|
공공, 교육 기관 보안성 허점 보여
보안 사고를 적절하게 대응하기 위해 만든 KISA의 보안 포털인 '보호나라' 역시 지난해 4월에 해킹을 당한 어처구니없는 사건이 벌어졌다. 보호나라 오픈 첫 날인 4월 28일 이 사이트에서 제공하는 서비스 중 하나인 '취약점 DB'를 클릭하면, 관련 IP 어드레스가 떴는데, 이 어드레스를 통해 초보 해커들도 내부 데이터베이스 접근할 수 있는 권한을 획득할 수 있었기 때문이다. 다행히 큰 사고는 없었지만 정보보호 포털사이트가 해킹의 위협에 그대로 노출됐다는 점이 시사하는 바가 크다.
최근 국가정보원이 발표한 '국가기관 침해사고 대응현황'에 따르면 작년 11월 말까지 일선 학교를 포함한 국내 공공기관에서 총 1259건의 해킹사고가 일어났다. 이 가운데 초?중?고교와 대학, 교육청에서 1131건이 발생, 공공기관 전체 해킹건수의 90%에 육박했다. 이는 공공기관 가운데 교육기관이 해킹에 가장 취약하다는 증거다. 교육청과 대학의 경우 개강이나 시험 등 학사일정에 따라 월별 해킹 발생 변동이 심하다는 특징을 보이고 있다. 특히, 대부분의 교육기관은 해외 해커가 다른 나라의 기업이나 공공기관을 해킹하기 위해 경유지로 이용하는 것으로 나타났다.
학교는 다수의 학생들이 시스템, 네트워크를 활용하면서 사용자들이 곧 해커가 되는 사건, 사고가 끊이지 않고 일어난다. 지난해 1월에는 서울대학교의 2003학년도 정시모집 최종합격자 발표 인터넷사이트가 해킹을 당해 수험생과 학부모의 항의가 잇따랐다. 서울대는 해킹 사실을 발견한 직후인 이날 오후 10시경 원인 조사를 위해 사이트를 폐쇄, 자정이 지나도록 합격여부 확인이 일시적으로 불가능했다. 서울대에 따르면 합격자 발표를 시작한 오후 7시 이후 일반전형 합격자 발표 사이트가 몇 분 간격으로 해킹을 당해 '합격자 공지사항'에는 "방법(네티즌 사이에서 쓰는 말로 '혼내주다'는 뜻) 당했다"는 내용과 함께 "축하해용"이라는 농담글이 게재됐다. 또 '불합격자 공지사항'에는 "힘내세요, 파이팅이에요~!" 등의 글이 올랐다. 학교측은 이 조롱조의 글이 외부에서 해킹을 통해 삽입된 것으로 드러났고, 다행히 합격자 명단은 훼손되지 않았다고 밝혔다.
또한 다른 대학교의 보안 관련 학과에서도 LAB실의 컴퓨터가 접속이 안되는 해킹을 당한 사고가 있었다. IP 어드레스 추적 결과, 신촌의 어느 PC 방으로 사고의 결론은 지어졌지만, IP 어드레스 추적하는 것 조차 신빙성을 믿지 못하고 있다고 의견을 내놓고 있다.
해킹 사실을 모르고 있는 관리자
이같은 해킹 사건은 경찰청 사이버테러대응센터에 의해 밝혀지고 있다. 답답하게도 사이버테러대응센터가 알려주기전에는 관리자도, 전문 보안 업체도 해킹 사실을 모르고 있는 것이 다반사이다. 결혼정보회사의 경우는 홈페이지를 관리해주는 보안업체가 있었음에도 불구하고, 해킹이 일어난 사실을 모르고 있어 심각성을 더하고 있다.
또한 어느정도 보안 장비를 구축해 놓고, 관리 업체도 따로 두고 있는 공공기관의 보안 업무는 더욱 심각한 상황이다. 서울 모구청은 지난 7월에 새로운 건물을 완공하고, 그 건물과 기존 건물간의 네트워크를 연결하기 위해 스위치를 새롭게 구축했다. 대학생인 A군은 스캐닝을 통해, 전산실 네트워크 상황을 살펴볼 생각을 했다. 하지만 네트워크 장비의 취약점이 밝혀져 있는 상황에서도 보안 패치를 하지 않아 취약점을 이용해, 구청의 네트워크에 침입할 수 있었다. A군은 그 이후에도 서너번 구청 네트워크에 침입해 들어갔으나, 관리자는 그에 대한 파악조차 못하고 있었다고 전한다. 또한 다른 방법으로 패스워드를 입력하고 들어가는 방법도 시도했으나 패스워드 역시 너무 쉬워 유추할 수 있었다고 한다.
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
A군은 여러번 들어갔어도 패스워드가 바뀌지 않고, 패치가 설치되지 않아 경고하기 위해 배너를 바꾸고, 메시지를 남겼다. 그때서야 전산 관리자는 알아챘고, 그 이후 관리자는 네트워크 장비를 패치하고 패스워드도 바꿨다. A군은 "일부러 로그를 지우지 않고 나왔지만, 로그 관리를 따로 하지 않는 것 같아 나중에는 경고했다. 하지만 전산 담당자는 대응에 대해 힘쓰기보다는 책임자를 추궁하는데 보다 적극적인 모습을 보이고 있는 것 같아 씁쓸했다"고 말한다.
보안 전담 인력의 부재
하지만 전산 담당자들 역시 할말은 있다. 국가정보원이 300개 공공기관을 대상으로 설문 조사한 결과를 보면 응답기관의 3%만이 보안 전담조직을 보유하고 있으며 전담인력을 보유하고 있는 기관은 16%에 불과했다. 정보화예산 대비 정보보호 예산은 2001년 1.8%와 2002년 1.9%에 이어 2003년에는 2.2%로 증가했으나 선진국의 8% 수준에 비해서는 여전히 미흡한 상황이라는 것이다.
전산담당자들의 최종 미션은 네트워크와 시스템의 장애를 일으키지 않는 것이다. 따라서 지금까지 전산담당자는 보안에 신경을 쓸 이유가 없었다. 지금까지의 바이러스나 공격은 개인 사용자의 컴퓨터를 공격했고 적어도 네트워크의 장애를 일으키지 않았기 때문이다. 현재는 인터넷을 통해 유입되는 웜은 네트워크의 버퍼 오버플로우 공격으로 네트워크의 부하를 일으켜 네트워크 장애로 이어지기기 때문이다. 장애를 일으키는 것도 시스템, 네트워크, 데이터베이스 등 다양한 요인이 있다고 생각, 보안도 전체 업무의 한 부분으로만 생각하고 있다.
또한 전산 담당자들은 보안 전문가들이 아니기 때문에 다양한 기술과 기능을 구현하기 어렵다. 시큐아이닷컴의 윤청원 컨설턴트는 "ISO6799에 보면, 보안 관리중 '권한 분리'를 중요하게 여기고 있다"며, "개발자, 운영자 등의 업무를 분리해야 확실하게 다양한 영역의 보안을 확보할 수 있다"고 말한다. 또한 기업의 의사 결정자가 보안에 얼마나 관심을 가지고 있는가에 따라 보안성이 높아질 수 있다고 덧붙인다. 이같은 이유로 전산 담당자는 보안 업무의 중요성을 인식하기 보다는 업무의 일부로 치부하고 일이 터지기전에는 손이 덜가는 것으로 인식하고 있다.
| ||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||
|
하지만 관리자들의 업무 활용면도 보다 능동적으로 바뀌어야 한다는 의견도 만만치 않다. 다양한 보안 장비의 도입에 앞서 공개 소스를 활용하면서 보안을 함께 구현해 가야 한다는 것이다. 따라서 보안 전문가들은 이같은 환경에서 관리자들은 불필요한 솔루션을 제거하고 네트워크를 단순화시키는 것이 중요하다고 말한다. 보안 사고는 어느 장비, 어느 지점에서 발생할지 모르기 때문이다. 또한 보안이라는 것이 꼭 보안 장비나 솔루션을 통해 강화되는 것이 아니며, 지속적인 관리의 중요성도 강조했다. 보안은 리스크 관리(Risk Management)로 이야기되는 것도 이런 이유 때문이다. 따라서 솔루션이나 장비의 취약점을 발견되면 바로 패치를 설치해야 한다.
공격은 패치가 발표된 이후에 짧게는 보름에서 11개월까지 시간을 두고 일어났다. 지난해 일어났던 슬래머 웜 역시 패치가 발표된 후 6개월 이후에나 공격이 이뤄져, 패치만 설치했더라도 그만큼의 피해는 발생하지 않았을 것으로 분석된다.
| ||||||
| ||||||
|
대응 체계의 중요성 '강조'
보안 전문가들은 모든 보안 사고는 패치가 발표될 때마다 꾸준히 업그레이드만 한다고 해도 어느 정도의 보안 사고는 예방할 수 있다는 입을 모으고 있다. 하지만 더욱 문제가 되는 것은 소를 잃고도 외양간을 고치지 않는다는 것이다. 시큐리티맵의 임채호 대표이사는 "최근 공격을 예측해 보안 사고를 막을 수 있는 다양한 솔루션이 선보여지고 있지만, 해킹 공격은 그것까지도 뚫을 수 있는 것이 사실"이라며, "솔루션과 패치 설치도 중요하지만, 보안 사고가 일어났을 때 대응하는 것도 굉장히 중요하다"고 강조한다.
예를 들면, 일반 기업이나 공격을 당한 사이트를 살펴보면, 처음부터 공격을 하는 해커는 없다. 몇번 사이트에 침입해 사이트를 둘러보다가 악의적인 해킹을 시도하는 경우가 대부분이다. 외부에서 스캐닝 기법을 사용한 사이트에 한번이라도 침입한 흔적이 보이면, 전산 담당자는 방어 체계를 만들어가야 한다. 하지만 여러번의 해킹을 통해서도 보안이 이뤄지지 않아 몇 번의 위협(threat)이 위험(danger)으로 변하는 것이다.
이같은 경우에는 네트워크 분석만 꾸준히 이뤄지고, 그에 대한 대응만 해줬다면 큰 사고는 일어나지 않는다는 결론에 이른다. 이는 기본적으로 보안 사고 관련 프로세스와도 연관된다. 보안 사고가 일어나기 전에 보안 사고에 대한 시나리오를 구성하고 사고 후 대응 체계를 연습하는 것도 중요하다. 일례로 모 업체는 전산실에 벽마다 장애가 발생했을 때의 조치 방법을 붙여두었다. 이는 네트워크 관리자만이 아는 해결책이 아니라 모든 직원이 공유할 수 있도록, 민첩한 대응 체계를 보여주는 예이다.
인터넷이라는 사이버 공간은 아직 신뢰 관계가 제대로 구축되지 않았다. 따라서 보안 위협은 지속적으로 이어질 것이며, 전산 담당자들과 사용자들은 보안에 대해 경계심을 늦추지 말아야 할 것이다. 하지만 시작은 그리 어렵지 않다. 전체적인 네트워크와 시스템을 단순화하고, 보안 메커니즘까지 단순화한 프로세스를 만든다면 쉽게 보안 체계를 만들어 갈 수 있을 것이다. 사고가 터진 후에도 보안 시나리오에 맞는 대응 체계를 만들어가야 한다. 또한 전산 담당자들은 자기만의 보안 알고리즘을 바탕으로 패스워드 관리에 신경을 쓰는 것 역시 잊어서는 안될 것이다. @
댓글 없음:
댓글 쓰기