티스토리 뷰

 회손녀 사태는 언급하기에 깔끔한 사례가 아니지만 보안 위협이라는 관점을 놓고 봤을 때 시사점이 있어서 글을 올립니다.

 회손녀가 '크래커'[각주:1]들에게 당당하게 나섰음에도 크래커들의 공격 성과가 시원찮았던 이유는 회손녀에 대한 정보가 극히 적었기 때문입니다. 회손녀의 개인정보를 캐고 싶었던 크래커들도 싸이월드 미니홈피에 나타나는 실명과 생년만으로는 할 만한 게 적었지요.

Yes24의 Timeout 오류 메시지 출력

출처: http://monac.egloos.com/2001355


 기업의 보안도 마찬가지입니다. 외부로 시스템 내부의 정보를 내보이는 걸 막아야 합니다. 그런데 꽤 많은 웹사이트들이 각종 에러 메시지들을 통해 시스템 정보를 외부에 노출 시키는 게 현실입니다. 시스템 관리자에게 충분한 시간을 주거나 프로젝트를 만들어서 노출된 부분을 전부 닫는 게 좋습니다.

 회손녀의 첫 번째 실수는 친구들을 공개했다는 것입니다. 덕분에 먼저 까발려진 친구들이 뭔가를 실토하는 경우도 생겼습니다. 마찬가지로 그까짓 웹 페이지 해킹 좀 당하면 어떠냐며 안일하게 생각할 수도 있는데 크래커들은 웹 서버 계정 등의 정보를 있는 대로 수집해서 연결된 서버를 찾아내곤 합니다. 그러다 보면 아닌 밤중에 홍두깨라고 원래 목표가 아닌 만만해진 서버가 먼저 공격을 당하기도 하는 것이지요. 크래커들은 목표에 도달하기 위해 우회하는 것을 두려워 하지 않습니다.

Three cushion

출처: http://flickr.com/photos/14917128@N04/1631971387/ 오히려 직접 맞추지 않는 게 정석이다.


 만약 크래커가 여기 저기 헤집고 다니다가 정 할게 없어서 메일 서버까지 해킹해서 임원진 주소로 시스템 관리자에게 계정 정보를 요구하면 어떻게 될까요? EIS에 들어 가게 되면 기업내부정보를 속속들이 알게 될 것입니다. 인트라넷을 돌아 다닐수록 정보는 계속 많아지지요. 실제 사건에서도 다수의 크래커들은 회손녀의 친구들을 들쑤시기 시작했고 점차 회손녀에 대한 정보가 많아지기 시작합니다.

 회손녀의 두 번째 실수는 얼굴을 공개하며 도발했다는 것입니다. 이렇게 되면 그 동안 상관하지 않던 크래커들이 더 붙기 시작합니다. 뚫릴 위험이 더 커지는 결과를 낳지요. 결국 어떤 개념 없는 공익근무요원이 주민등록번호 등 개인정보를 공개해 버렸습니다. 이게 결정적이었습니다.

 더군다나 얼굴을 공개했다는 얘기는 친구들의 정보를 확인하기 더 쉬워지는 결과를 낳았습니다. 회손녀가 구체적 혹은 직접 언급하지 않은 친구들까지 크래커들이 찾아내고 얼굴이 나온 사진으로 확인했지요. 회손녀와 관련이 깊을 친구들의 정보를 알아내고 보니 결국 회손녀의 정보와 일치할 거라 여겨지는 정보도 많아졌고 급기야 학교, 학과가 모두 밝혀지고 말았습니다.

 '그래서 뭘?'이라고 생각할 분들이 아직도 계시겠지요? 크래커들은 회손녀를 뻔히 알 만한 교수들에게 메일을 보내기도 하는 등 회손녀의 생활 반경에 전방위적인 테러를 감행했습니다. 회손녀가 다니는 대학에는 회손녀에 대해 모르는 사람이 거의 없을 겁니다. 한동안 괴로울 거예요.
 
 기업도 마찬가지입니다. 옥션도 개인PC가 해킹 당하면서 서버까지 뚫리고 개인정보가 털리는 등 피해를 주고 입혔지요. 웬 약삭빠른 법무법인이 수수료 받아가며 소송도 걸었고요. 옥션은 소송에 대응을 해야 하는 비용을 지출해야 했습니다.[각주:2] 들이지 않아도 되는 비용이었지요. 신용도 추락은 말할 것도 없습니다.  저 같은 경우는 옥션의 싸가지 없는 대응[각주:3]에 질려 엄청나게 싼 가격이 아닌 이상 옥션 물건 사지 않습니다.

 회손녀처럼 공개적으로 나서지 않더라도 기업은 공격 받기 마련입니다. 지금까지 괜찮았으니까 앞으로도 괜찮을 거라고 생각한다면 직무유기입니다. 실은 벌써 뚫려서 크래커들의 우회 도구로 써먹히고 있는지도 모릅니다. 보안에 들이는 비용이 부담 된다면 차라리 외주 이메일[각주:4]과 전화, 팩스만 쓰세요. 그게 차라리 나을 겁니다.[각주:5]


  1. 딱히 떠오르는 말이 없네요. '네티즌'은 포괄적인 어휘라 어울리지 않는다고 봅니다. [본문으로]
  2. 말마따나 라스베가스 같았으면 피똥 쌌을 겁니다. [본문으로]
  3. 돈 나갈 일만 무섭고 개인 피해에는 무관심한 [본문으로]
  4. 다음, 파란, 구글 등은 기업고객에게 무료로 메일호스팅 서비스를 제공합니다. [본문으로]
  5. 목돈 들이는 게 아까워서 그랬다면 IBM, KT, MS 등이 제공하는 여러 가지 종류의 SaaS/On Demand 서비스를 이용하세요. [본문으로]
신고

'기획' 카테고리의 다른 글

이뻐 죽겠네  (1) 2008.08.25
회손녀 사태로 보는 보안 위협  (0) 2008.08.18
전산 서비스의 지속성 유지  (0) 2008.05.30
보안 이전에 보안 의식  (3) 2008.05.19
댓글
댓글쓰기 폼