귀찮음때문에 소홀하게 생각하는 보안, 소 잃고 외양간 고치는 것이 아닌 고칠 외양간마저 소실될 수 있는데..
보안 분야에서 오랫동안 개발자로, 또 설계자, 기획자로 일해왔고 지금도 네트워크 서비스인 DNS와 CDN, DNS 기반 DDoS 방어 서비스를 기획, 설계하고 있는 입장에서 최근에 들려오는 다양한 보안 관련 뉴스들을 보면 흥미롭기도 하고 안타깝기도 하고 그렇다.
인터넷 서비스가 이제는 메인 플랫폼이 되었고 스마트폰이나 태블릿은 일상생황의 필수품이 되었으며 IoT 시장이 본격적으로 열리기 시작한 지금 보안은 선택이 아닌 필수이며 기업의 운명 뿐만이 아니라 개인의 삶까지도 좌지우지하는 필수 요소가 되었지만 여전히 기업이나 개인은 보안에 대한 인식이 부족한 것이 사실이니 말이다. 뭐 당장에 나 역시도 어떤 면에서는 귀찮음때문에 보안을 신경쓰지 않는 상황이니.. -.-;
위험천만한 스마트폰에 사진으로 저장하는 보안카드
앞서 언급했지만 보안을 신경쓰다보면 귀찮은 일이 많이 일어난다. 뭐 대표적인 케이스가 인터넷뱅킹을 할 때의 공인인증서와 OTP, 혹은 보안카드일 것이다. 인터넷뱅킹을 하다보면 공인인증서로 인증함과 동시에 이체 등을 하기 위해서는 OTP나 보안카드가 필요하다. OTP는 별도로 따로 들고 다녀야 하기 때문에 귀찮고 보안카드 역시 따로 들고 다녀야 하기에 귀찮다보니 그냥 보안카드를 사진으로 찍어서 스마트폰에 저장해서 갖고 다니는 경우가 많다. 뭐 당장에 내가 그런걸 뭐. 하지만 보안을 하는 입장에서 볼 때 이는 위험천만한 상황이다.
OTP나 보안카드는 2중 보안을 위한 장치인데 스마트폰에 저장되어 있으면 그 스마트폰을 잃어버렸거나 해킹을 당한다면 그냥 다 털리는 상황이 될 수가 있기 때문에 원래는 별도로 들고 다니고 절대로 스마트폰에 사진으로 저장해서는 안된다고 얘기를 한다. 그런데 뭐 당장에 따로 들고 다니기 귀찮아서 그냥 저장해서 쓰는 경우가 더 많을 것이다. 폰을 안잃어버린다는 생각으로, 또 해킹을 안당한다는 생각을 갖고 말이지. 그러다가 사고가 터지는데 말이지.
보안사고의 2대 스타, DDoS와 랜섬웨어
최근 문제가 되고 있는 보안 사고의 유형을 보면 얼추 2가지다. 하나는 악성코드에 감염되어 서비스 서버를 대규모 악성 트래픽으로 공격하는 DDoS 공격, 그리고 나머지 하나는 PC나 서비스 서버에 감염되는 랜섬웨어 공격이다. DDoS 공격은 뭐 요즘은 하도 많이 당하다보니 뉴스에 언급도 잘 안된다. 하지만 시만텍이나 안랩, 혹은 KISA 등 보안관련 기업들이나 기관에서 제공되는 보고서를 보면 꾸준히 계속 증가하고 있는 상황이다. 어찌되었던 DDoS 공격은 언론에만 노출이 잘 안될 뿐 여전히 기업 입장에서는 위협적인 공격임은 분명하다.
인터넷나야나에 이어 코리아IDC까지 감염시킨 랜섬웨어
요즘에는 랜섬웨어가 아주 기승을 부리고 있다. 이 글을 쓰는 날짜를 기준으로 뉴스를 보니 코리아IDC가 랜섬웨어에 일부 호스팅 서버가 감염이 되어서 문제가 되었다는 내용이 있는 것을 봤다. 참고로 코리아IDC는 이전에 랜섬웨어로 인해 서비스도 접고 회사도 접어버린 인터넷나야나와 같은 업체다. 인터넷나야나를 통해 호스팅을 했던 곳이 코리아IDC인거 같은데 어찌되었던 동일한 곳에서 랜섬웨어 공격이라는(물론 다른 랜섬웨어 공격이겠지만) 해킹 공격으로 인해 피해를 입은 상황이라는 것이 웃기다. 이미 한번 된통 당해서 사업 하나를 접은 상태인데 여전히 랜섬웨어에 대해서 대비를 하지 못했던 것이 원인이 되지 않았을까 하는 생각이 든다.
코리아IDC 랜섬웨어 공지 안내문
뉴스를 보니 아직 인터넷나야나의 랜섬웨어 최초 감염 방식, 수단이 밝혀지지 않은 듯 싶다. 아마도 내부에서 먼저 랜섬웨어가 동작되지는 않았을 것이고 호스팅을 받는 업체 서버에 랜섬웨어가 있는 파일이 업로드가 되었으며 어떤 스크립트에 의해서 수행이 되었을 것이라 생각이 될 뿐이다.
문제는 이런 웹호스팅이나 서버호스팅은 권한이라는 것이 존재하며 아마도 그 권한관리를 제대로 못해 손님 권한으로 수행되어야 할 호스팅 서버에 업로드된 파일이 관리자 권한, 혹은 파일 핸들링이 가능한 권한으로 동작되어서 생긴 문제가 아닐까 하는 생각을 해본다. 인터넷나야나도 그렇고 코리아IDC도 마찬가지가 아니겠는가 하는 생각이다. 그것이 윈도 서버든 리눅스 서버든간에 권한 관리는 기본중의 기본인데 그것을 제대로 수행하지 못해서 생긴 문제가 아니겠는가 싶다. 물론 내 추측일 뿐이지만 말이지.
소 잃고 외양간 고치는 것이 아니라 고칠 외양간 마저 소실되어벌 수 있는..
뭐 얘기가 삼천포로 흘러갔는데 앞서 언급한 스마트폰에 보안카드를 저장하는 것이나 서버의 권한을 관리하는 것이나 둘 다 귀찮기 때문에 편리하게 사용하기 위해 그냥 보안을 무시하고 행해지는 액션들이다.
간단히 얘기하면 보안카드는 스마트폰에 저장하지 않고 들고 다녀야 하며(OTP도 마찬가지) 서버 호스팅이나 웹호스팅을 하는 업체들은 호스팅 서버에 고객들마다 권한을 부여하고 권한 이상의 액션을 취하지 못하게 막아야 한다는 얘기다. 그런데 귀찮아서 그렇게 하지 않다가 문제가 터지는 경우가 발생한다고 생각을 한다. 만약 코리아IDC를 랜섬웨어로 감염시킨 해커가 인터넷나야나 때와 마찬가지로 돈을 요구해서 코리아IDC측에서 또 인터넷나야나와 같이 사업을 접는 상황이 발생하지 말라는 법도 없다.
아무리 귀찮아도 보안에 대해서는 신경을 써야 하는 것이 맞다. 하지만 보안은 막상 당해보지 않으면 그 소중함을 느끼지 못한다. 인터넷나야나와 코리아IDC가 랜섬웨어로 고통을 받는 모습을 보는 다른 기업들은 '뭐 아직은 내가 당한 것이 아니니까'라고 생각할 수도 있어서 보안에 대해서 그렇게 신경을 쓰지 않을 수도 있다. 하지만 그러다가 소 잃고 외양간 고친다는 속담처럼 어쩌면 고칠 외양간마저 소실되어 버리는 상황이 올 수도 있음을 생각해야 할 듯 싶다.
쓰다보니 그냥 두서없는 글이 되었는데 나중에 좀 정리를 해야겠다 -.-;