2011년 7월 28일 SK컴즈는 네이트와 싸이월드 사용자 3500만명의 개인정보 일부가 유출되었다고 발표했다. 비밀번호와 주민등록번호는 암호화 되어 있는 상태로 유출되었다고 하는데, 어떤 암호화를
법률적으로 이야기해서 주민등록번호를 민간(개인, 기업)이 수집하는 행위는 엄연히 불법이다.
왜 근데, 이대로 방기하고 있는 것일까?
여러 가지 이유가 있을 것이다. 가장 큰 이유는 편의성의 문제라고 간주하고 있는 정부의 안일한 태도가 될 것이다. 정부 입장에서는 인터넷에서 일어나는 각종 문제들을 쉽게 처리하기 위해서는 개인을 식별할 수 있는 수단을 확보하는 것이 중요할 것이다. 즉 통제라는 기본 정서에서 오는 것이다. 정부가 국민을 통제하려고 하는 것은 많은 문제를 야기한다는 사실을 아직 인지하지 못하고 있는 것이다.
근데 이러한 이유보다 실제적으로 주민등록번호를 민간이 확보하려고 하는 이유가 따로 있고 이게 가장 중요한 부분이다. 바로 돈이다. 주민등록번호를 통해서 사용자를 식별해서 고유 사용자 수를 알 수 있어야 가치를 책정할 수 있다고 생각하기 때문이다. 이러한 부분은 주민등록번호가 포함된 개인정보를 해킹하려는 측에서도 마찬가지 논리로 작용한다는 것이다.
자 이런 상황에서 주민등록번호 수집을 민간에서 하도록 나두는 것이 정상적이라고 보이는 사람이라면 통제를 받는 측이 되어도 상관 없다거나, 스스로 통제를 하는 측이기 때문일 것이라고 본다. (근데 통제를 하는 측에 속하는 사람은 극히 소수이지 않을까?)
정부가 나서서 주민등록번호 수집을 조장하는 법률도 여러 가지 만들었다. 그 중에 대표적인 것이 바로 실명인증제이다. 이런 불합리한 제도가 가져온 결과는 개개인을 식별할 수 있는 정보를 국외에 유출하는 사태를 만들었다는 것이다.
이런 상황이라면 주민등록번호는 어떤 공적인 효력을 가질 수 있는 정보가 아니게 된다는 것이다. 누가 어떻게 조작해서 사용할 지에 대해서 예측할 수 없다는 것이다.
과연 정부는 이에 대해서 책임이 없는 것일까? 책임이 있는데 수수 방관하고 있는 것일까? 난 후자라고 본다. 지금까지 책임을 묻는 사람이 없었으니까 말이다.
정부는 기업의 책임이라고 이야기하는데, 기본적으로 법을 위배하는 상황을 수수방관한 책임이 없다라고 이야기할 수 있는 정부 관료가 있으면 제발 나한테 연락을 좀 해주기 바란다.
2011년 7월 28일 목요일
2011년 7월 15일 금요일
Apple의 위치 정보 수집으로 인한 정신적 피해 성립할까?
Apple의 위치 정보 수집으로 인해서 정신적 피해에 대한 손해 배상을 청구하는 집단 민사 소송을 한다고 한다. 일단 어떤 변호사가 진행했던 부분은 공식적인 소송이 아니라, Apple이 대응하지 않고 그냥 요구한 것을 들어 준 것이다. 정식적인 재판이 진행된 것이 아니므로 승소라는 표현을 써서는 안 된다. (승소라는 개념을 제대로 이해해야 한다.)
이번 집단 민사 재판에서 주요한 점은 Apple이 어느 정도 수준의 위치 정보를 수집했는가에 따라서 판결이 달라지게 될 것이라는 점이다. 또한, 개인이 식별이 가능한 정보를 Apple이 자체 서버에 저장했고 그것을 누군가 유용할 가능성이 있었냐는 점이다.
혹시, iPhoneTracker 소프트웨어를 사용해 보았는가? 언뜻 보기에는 장치의 위치를 수집한 것으로 보이는 형태이다. 그러나, 자세히 들어가서 살펴보면 이야기는 달라진다. 해당 정보는 이동통신사의 기지국과 중계기, WiFi Access Point(공유기 포함)에 대한 장치 정보와 출력 정보가 다 일 뿐이다.
그럼 왜 Apple은 iPhone을 통해서 기지국, 중계기, WiFi Access 등과 같은 장치의 정보를 수집한 것일까? iPhone이나 iPad에 있는 GPS는 그렇게 빠르게 반응하는 편도 아니고 정확도도 높은 편이 아니다. Apple 입장에서는 빠르고, 정확도가 높은 위치 정보를 사용자에게 제공하는 것은 매우 중요한 부분이다. 그렇기 때문에, 고정되어 있는 기지국이나 중계기, WiFi Access Point 등의 위치 정보를 기반으로 해서 GPS 신호를 처리하면 더 빠르고 정확도를 높일 수 있다는 점이다.
Apple이 실수한 부분은 iTunes Backup 단계에서 해당 정보가 PC에 저장되었다는 점과 용량 한계를 안 두어서 오랜 기간 쌓였다는 것이다.
그럼 여기서 이것을 위치정보 관련 법률이나 개인정보 보호 관련법에 기반해서 살펴 보도록 하자.
위치정보 관련 법률을 위반한 부분이 없다고는 할 수 없다. 하지만, 개인의 위치 정보를 전송한 것이 아니기 때문에 개인이 피해 대상으로 볼 수 있냐는 부분에 있어서, 의문이 생길 수 밖에 없다. Apple이 개인의 위치 정보를 해당 기술 부분에서 전송한 사실을 입증할 수 있는가에 대해서 생각해 보자. 혹시 iOS 4.3 이전 버전과 iTunes 10.0 이전 버전에서 Test를 해 보면 알 수 있을 것이다. 이 부분에 대해서 이미 미국 FTC의 보고서가 있으니, 확인해 보기 바란다. (여기다 올릴 수 있는 내용이 아니니 언론 보도 자료나 직접 확인해 보시기 바랍니다.)
다음으로 개인정보 보호 관련 법에 저촉이 되려면, 장치 관련 정보나 사용자 정보를 Apple이 송수신한 증거가 있어야 한다. iPhoneTracker를 통해서 확인한 정보에서는 그럴만한 정보가 포함된 증거를 찾을 수가 없었다. iOS 단위에서 일어날 수 있는 부분이 있을까 싶어서 이 부분도 확인해 보았는데 Apple은 이런 부분이 없다고 발표했고, 미국 FTC도 이 부분은 아니라는 입장을 보였다. 자, 여기서 문제다 Apple이 어떤 Server에 수집된 위치 정보를 수집했고 어떻게 관리했는지 솔직히 민사로는 확인이 불가능하다. 형사 사건이라면 전송 증거를 기반으로 해서 Server 수색이라도 할텐데 말이다.
자 여기서 의문을 던져 보자, 개인의 위치 정보가 아닌 시설의 위치 정보를 기록하고 개인 정보와 무관하게 송수신했는데, 피해 유무를 말할 수 있는가?
법적인 판단은 법원이 해야 하는 것이다. 기술적인 면에서 접근하고 이야기하면 여기까지가 결론이다.
집단민사소송 단계에서 우발적인 행위는 하지 말아주었으면 한다. 집단민사소송도 패소했을 경우에 상대방이 피해를 입게 되면 이를 배상해야 한다는 것이 법치 주의므로 말이다. (물론 Apple이 승소했다 해도 집단민사소송을 낸 소비자를 대상으로 소송하지는 않겠지만 말이다.)
이번 집단 민사 재판에서 주요한 점은 Apple이 어느 정도 수준의 위치 정보를 수집했는가에 따라서 판결이 달라지게 될 것이라는 점이다. 또한, 개인이 식별이 가능한 정보를 Apple이 자체 서버에 저장했고 그것을 누군가 유용할 가능성이 있었냐는 점이다.
혹시, iPhoneTracker 소프트웨어를 사용해 보았는가? 언뜻 보기에는 장치의 위치를 수집한 것으로 보이는 형태이다. 그러나, 자세히 들어가서 살펴보면 이야기는 달라진다. 해당 정보는 이동통신사의 기지국과 중계기, WiFi Access Point(공유기 포함)에 대한 장치 정보와 출력 정보가 다 일 뿐이다.
그럼 왜 Apple은 iPhone을 통해서 기지국, 중계기, WiFi Access 등과 같은 장치의 정보를 수집한 것일까? iPhone이나 iPad에 있는 GPS는 그렇게 빠르게 반응하는 편도 아니고 정확도도 높은 편이 아니다. Apple 입장에서는 빠르고, 정확도가 높은 위치 정보를 사용자에게 제공하는 것은 매우 중요한 부분이다. 그렇기 때문에, 고정되어 있는 기지국이나 중계기, WiFi Access Point 등의 위치 정보를 기반으로 해서 GPS 신호를 처리하면 더 빠르고 정확도를 높일 수 있다는 점이다.
Apple이 실수한 부분은 iTunes Backup 단계에서 해당 정보가 PC에 저장되었다는 점과 용량 한계를 안 두어서 오랜 기간 쌓였다는 것이다.
그럼 여기서 이것을 위치정보 관련 법률이나 개인정보 보호 관련법에 기반해서 살펴 보도록 하자.
위치정보 관련 법률을 위반한 부분이 없다고는 할 수 없다. 하지만, 개인의 위치 정보를 전송한 것이 아니기 때문에 개인이 피해 대상으로 볼 수 있냐는 부분에 있어서, 의문이 생길 수 밖에 없다. Apple이 개인의 위치 정보를 해당 기술 부분에서 전송한 사실을 입증할 수 있는가에 대해서 생각해 보자. 혹시 iOS 4.3 이전 버전과 iTunes 10.0 이전 버전에서 Test를 해 보면 알 수 있을 것이다. 이 부분에 대해서 이미 미국 FTC의 보고서가 있으니, 확인해 보기 바란다. (여기다 올릴 수 있는 내용이 아니니 언론 보도 자료나 직접 확인해 보시기 바랍니다.)
다음으로 개인정보 보호 관련 법에 저촉이 되려면, 장치 관련 정보나 사용자 정보를 Apple이 송수신한 증거가 있어야 한다. iPhoneTracker를 통해서 확인한 정보에서는 그럴만한 정보가 포함된 증거를 찾을 수가 없었다. iOS 단위에서 일어날 수 있는 부분이 있을까 싶어서 이 부분도 확인해 보았는데 Apple은 이런 부분이 없다고 발표했고, 미국 FTC도 이 부분은 아니라는 입장을 보였다. 자, 여기서 문제다 Apple이 어떤 Server에 수집된 위치 정보를 수집했고 어떻게 관리했는지 솔직히 민사로는 확인이 불가능하다. 형사 사건이라면 전송 증거를 기반으로 해서 Server 수색이라도 할텐데 말이다.
자 여기서 의문을 던져 보자, 개인의 위치 정보가 아닌 시설의 위치 정보를 기록하고 개인 정보와 무관하게 송수신했는데, 피해 유무를 말할 수 있는가?
법적인 판단은 법원이 해야 하는 것이다. 기술적인 면에서 접근하고 이야기하면 여기까지가 결론이다.
집단민사소송 단계에서 우발적인 행위는 하지 말아주었으면 한다. 집단민사소송도 패소했을 경우에 상대방이 피해를 입게 되면 이를 배상해야 한다는 것이 법치 주의므로 말이다. (물론 Apple이 승소했다 해도 집단민사소송을 낸 소비자를 대상으로 소송하지는 않겠지만 말이다.)
2011년 7월 14일 목요일
모바일헬퍼 - '나무늘보' 케이스를 를 지원해 드립니다.
안녕하세요.
아마 이 글을 보고 계신 분은 검색보다는 트위터를 통해서 보시는 분일 것입니다.
내용을 보시고 필요로 하시는 분은 제 트위터 아이디 (@soundyou) 로 DM을 보내 주시기 바랍니다. 저를 팔로워하고 계신 분들을 대상으로 지원해 드리는 것을 목적으로 합니다.
일정은 2011년 7월 17일가지 받겠습니다.
(팔로윙을 받기 위해서 하는 게 아니라는 점 알아 주시기 바랍니다.)
(DM에는 본인이 아이폰4로 찍으신 사진이나 동영상이 있는 블로그나 홈페이지를 알려 주시기 바랍니다.)
(주)윌비에서 만든 모바일헬퍼 '나무늘보' 는 기능성에 특화된 제품입니다.
사진 및 동영상 촬영을 위해서 사용하기에 좋은 제품이라는 점입니다.
일반 케이스들에 비해서 가격도 고가지만, 그 기능성에 있어서는 탁월한 것 같습니다.
사진 보시면서 판단하시면 될 것 같습니다.
제품 포장 상태는 깔끔한 편입니다. 아이폰용 케이스 제품 들 중에
가격이 나가는 수입 제품들과 비교해서 무난하다고 봅니다.
뒷면에 설명서 부분은 재미있는 내용인데, 아직 다듬어지지 않은
느낌이 있네요. 저런 부분들이 중요한데 아쉽습니다.
케이스를 벗겨 내면 내용 구성물이 보입니다. 뒷면을 보여주고 있는데,
다 이유가 있답니다.
분리를 해 내면 요렇게 나옵니다. 꼬리가 보이네요. 저게 중요한 부분이죠.
안쪽 종이에는 아이폰4 부착 순서가 있습니다. (영어로만 되어 있네요.)
뒷면 하단 확대 부분입니다. 가죽 질감이 아주 죽여 줍니다.
(다른 제품들도 보여 드리고 싶은데 뜯은 거 보내 드리면 그럴
것 같아서 안 뜯었습니다.)
앞쪽 하단 면입니다. 이 부분이 아이폰4를 감싸는 부분이죠.
요건 단추 역할을 하는 부분입니다. 너무 과하게 스왈롭스키 큐빅을 썼다고
하시는 분도 계시고 저것도 멋이지라고 하는 의견이 분분한데, 이거 중요한
역할을 하는 부분입니다.
폰을 잡는 부분입니다. 나무 늘보의 발인거죠. 혹시 이 부분을
왜 보여 드리려구요? 음 제가 만져 보니 이게 부드러운 재질이
아니라, 강한 플라스틱 재질이거든요. 혹시나 저 부분 마감이
좋지 않아서 아이폰에 상처 입히실 것이란 걱정 부분을 덜어
드리려구요. (나눠 드리고 욕 먹기는 싫습니다.)
중간에 끼다 말고 한컷 찍어 보았습니다.
장착 후의 모습니다. 장착 과정은 하단을 먼저 끼우시고 우측 사이드
,좌측 상단 순이라고 되어 있습니다. 근데 그걸로는 좀 모자라더라구요.
마지막으로 스트랩을 버튼에 걸어주시면 됩니다. 아까 보여 드린
버튼의 목적은 바로 저것입니다.
손에 끼고 보여 드리는 전면 부입니다.
손에 끼고 보여 드리는 후면부...제 손이 좀 큽니다..험악하게 생겼나요?
색상은 위와 같습니다. (처음에 찍었던 사진으로 대체 합니다.)
우선 이런 제품입니다.
스트랩으로 폰을 고정시켜 줘서 사진 촬영이나 동영상 촬영에 효과적으로 대응할 수 있습니다. 또는 가방이나 이런 곳에 끼어 놓으실 수도 있구요.
홈페이지 가시면 활용도를 보실 수 잇습니다.
http://www.iwillbee.com
위의 내용 보셨으면 제 트위터로 돌아가셔서 DM 주세요.
사무실로 지원 받은 건데, 너무 많이 주셔서 트위터 팔로워 분들에게 전달해 드리는 것입니다.
우선 신청해 주시면 제가 선정해서 공개적으로 드리도록 하겠습니다.
DM에는 본인의 아이폰으로 찍으신 사진이나 동영상이 있는 블로그나 홈페이지 주소를 알려 주셨으면 합니다. 그래야지, 잘 사용하실 분이 계실 듯 싶어서요.
읽어 주셔서, 관심 가져 주셔서 감사합니다.
PS. 추신 트위터에서 진행한 내용에 따라서 (@pey7858, @designSen, @laneige_, @inselein, @52c, @coconomics, @mtkkyung, @kibeom96, @naeun0318) 이렇게 9분을 선정했습니다.
색상은 스페셜 브라운 1개, 네이비 3개, 라임 2개, 레드 2개, 살구색 2개 이렇게 10개인데,
선착순대로 접수 받아서 드리겠습니다.
아마 이 글을 보고 계신 분은 검색보다는 트위터를 통해서 보시는 분일 것입니다.
내용을 보시고 필요로 하시는 분은 제 트위터 아이디 (@soundyou) 로 DM을 보내 주시기 바랍니다. 저를 팔로워하고 계신 분들을 대상으로 지원해 드리는 것을 목적으로 합니다.
일정은 2011년 7월 17일가지 받겠습니다.
(팔로윙을 받기 위해서 하는 게 아니라는 점 알아 주시기 바랍니다.)
(DM에는 본인이 아이폰4로 찍으신 사진이나 동영상이 있는 블로그나 홈페이지를 알려 주시기 바랍니다.)
(주)윌비에서 만든 모바일헬퍼 '나무늘보' 는 기능성에 특화된 제품입니다.
사진 및 동영상 촬영을 위해서 사용하기에 좋은 제품이라는 점입니다.
일반 케이스들에 비해서 가격도 고가지만, 그 기능성에 있어서는 탁월한 것 같습니다.
사진 보시면서 판단하시면 될 것 같습니다.
제품 포장 상태는 깔끔한 편입니다. 아이폰용 케이스 제품 들 중에
가격이 나가는 수입 제품들과 비교해서 무난하다고 봅니다.
뒷면에 설명서 부분은 재미있는 내용인데, 아직 다듬어지지 않은
느낌이 있네요. 저런 부분들이 중요한데 아쉽습니다.
케이스를 벗겨 내면 내용 구성물이 보입니다. 뒷면을 보여주고 있는데,
다 이유가 있답니다.
분리를 해 내면 요렇게 나옵니다. 꼬리가 보이네요. 저게 중요한 부분이죠.
안쪽 종이에는 아이폰4 부착 순서가 있습니다. (영어로만 되어 있네요.)
뒷면 하단 확대 부분입니다. 가죽 질감이 아주 죽여 줍니다.
(다른 제품들도 보여 드리고 싶은데 뜯은 거 보내 드리면 그럴
것 같아서 안 뜯었습니다.)
앞쪽 하단 면입니다. 이 부분이 아이폰4를 감싸는 부분이죠.
요건 단추 역할을 하는 부분입니다. 너무 과하게 스왈롭스키 큐빅을 썼다고
하시는 분도 계시고 저것도 멋이지라고 하는 의견이 분분한데, 이거 중요한
역할을 하는 부분입니다.
폰을 잡는 부분입니다. 나무 늘보의 발인거죠. 혹시 이 부분을
왜 보여 드리려구요? 음 제가 만져 보니 이게 부드러운 재질이
아니라, 강한 플라스틱 재질이거든요. 혹시나 저 부분 마감이
좋지 않아서 아이폰에 상처 입히실 것이란 걱정 부분을 덜어
드리려구요. (나눠 드리고 욕 먹기는 싫습니다.)
중간에 끼다 말고 한컷 찍어 보았습니다.
장착 후의 모습니다. 장착 과정은 하단을 먼저 끼우시고 우측 사이드
,좌측 상단 순이라고 되어 있습니다. 근데 그걸로는 좀 모자라더라구요.
마지막으로 스트랩을 버튼에 걸어주시면 됩니다. 아까 보여 드린
버튼의 목적은 바로 저것입니다.
손에 끼고 보여 드리는 전면 부입니다.
손에 끼고 보여 드리는 후면부...제 손이 좀 큽니다..험악하게 생겼나요?
색상은 위와 같습니다. (처음에 찍었던 사진으로 대체 합니다.)
우선 이런 제품입니다.
스트랩으로 폰을 고정시켜 줘서 사진 촬영이나 동영상 촬영에 효과적으로 대응할 수 있습니다. 또는 가방이나 이런 곳에 끼어 놓으실 수도 있구요.
홈페이지 가시면 활용도를 보실 수 잇습니다.
http://www.iwillbee.com
위의 내용 보셨으면 제 트위터로 돌아가셔서 DM 주세요.
사무실로 지원 받은 건데, 너무 많이 주셔서 트위터 팔로워 분들에게 전달해 드리는 것입니다.
우선 신청해 주시면 제가 선정해서 공개적으로 드리도록 하겠습니다.
DM에는 본인의 아이폰으로 찍으신 사진이나 동영상이 있는 블로그나 홈페이지 주소를 알려 주셨으면 합니다. 그래야지, 잘 사용하실 분이 계실 듯 싶어서요.
읽어 주셔서, 관심 가져 주셔서 감사합니다.
PS. 추신 트위터에서 진행한 내용에 따라서 (@pey7858, @designSen, @laneige_, @inselein, @52c, @coconomics, @mtkkyung, @kibeom96, @naeun0318) 이렇게 9분을 선정했습니다.
색상은 스페셜 브라운 1개, 네이비 3개, 라임 2개, 레드 2개, 살구색 2개 이렇게 10개인데,
선착순대로 접수 받아서 드리겠습니다.
2011년 7월 8일 금요일
보안 인식 자체가 없는 조직들과 대화는 위험하다.
최근에 해외 Hacking 정보를 공유하는 Site에 올라온 국내 Web Site를 보면, 소규모부터 대규모까지 다양하다. 그 목표도 일반 기업부터 기관, 단체 심지어 교회까지 포함이 된다. (교회에도 주민등록번호 DB가 있는 경우도 있다.)
문제는 보안 인식 자체가 없는 조직들이 많다는 것이다. 심각성이 있어서 경고를 하면 바로 반응을 보여야 하는데 말이다. 경고를 하면 그런가 보다 하고 듣거나 협박하거나 거짓말이라고 생각하는 경우도 많다.
세금이 투입되는 기관이나 단체에 대해서는 알려주는 편인데, 심각하게 받아 들이거나 담당자가 연락이 없는 경우가 많다는 것이다. 이러한 곳에 지원금을 주는 정부 담당자도 책임을 면할 수 없을 것이다.
예를 들어 2011년 7월 4일 Hacking을 당한 월드 사이버 게임즈 (http://sg.wcg.com/r00t.htm)의 경우에 7월 6일 해당 사실을 알렸지만, 2011년 7월 8일 현재까지 그대로인 상태이다. Web Site 운영을 외주에 맡기고 있다고 해도 Hacking 사실을 알리고 조치를 취했어야 하는 부분이다.
이러한 사례는 최근에 비용 때문에 관련 인력을 채용하거나 교육하는 것에 관심을 보이지 않는 경우에 더욱 심각하게 나타나는 것으로 나타나고 있다. 월드사이버게임즈의 경우에 문화관광부나 방송통신위원회로부터 지원을 받고 있는 것으로 알고 있는데, 이런 일이 발생하는 것은 문제가 심각하다. (추가로, WCG와 2011년 7월 8일 18시 40분 경 통화한 결과 해당 사실을 방통위와 보안업체에 연락했는데, 위 사실을 확인하지 못했다고 한다. 그래서, 그냥 허위로 판단했다고 한다. 확인이라도 제대로 해보지. 위의 보안업체와 계약한 업체들은 정말로 불쌍하다.)
보안 인식 자체가 없기 때문에 보안에 관련 어떤 위험을 경고해도 듣지 않는다. 그런 상황의 마지막은 모든 것을 잃는 것인데도 말이다. Unix나 Linux 시스템에서 root 의 권한을 확보했다는 것이 무엇을 의미하는지 아는 사람은 WCG와 같은 상황이 얼마나 위험한지 잘 알 것이다. 근데 오늘(2011년 7월 8일 18시까지)까지 연락이 없다. 아마 정보를 공개해서 외부에서 지적을 심하게 받아야지 아마 정신을 차릴 것이다.
(이러한 정보 공개로 인해서 Hacker가 다른 시도를 할 가능성도 있지만, 난 이미 해 줄 수 있는 일은 다 해줬다. 책임을 묻고 싶다면 연락을 받았던 담당자들에게 물어야 할 것이다.)
보안 인식 자체가 없는 조직들과 대화가 위험한 이유는 위에서와 같다. 그들에게 위험을 경고하고 조치를 요구해도 대답하지 않는다는 것이 더 큰 위험을 초래할 수 있다는 것이다. 보안에 대한 인식이 Hacking이나 보안 위협에 대해서 방어를 하면 된다는 식의 사고로 점철되어 있기 때문이다. 솔직히 IP 단위의 방화벽은 아무 의미가 없다. Server에 접근할 수 있는 IP 정보를 알아내면 그런 방화벽 따위는 아무 의미가 없기 때문이다.
System 설계 단계에서부터 보안을 고려하고 담당자를 배정하고, System 자체에서 보안 요소를 관리하는 것은 매우 중요한 부분이기 때문이다. 그런 부분을 고려하지 않고 설계를 진행하고 관리하는 순간부터 보안의 위험에 빠지게 되는 것이다. 조직이 이에 대해서 관심을 안 가지고 Web Site를 이용해서 홍보하는 것에 집중하고 사용자 정보나 다양한 정보를 Web Site에 등록시키는 행위는 자살 행위가 될 것이다.
WCG는 대표적인 e-Sport 단체이기 때문에 공개적으로 다루었다. 이러한 곳이 너무나도 많다는 사실에 대해서 심각성을 느껴야 한다.
그럼 앞으로 개선되기를 희망해 본다.
문제는 보안 인식 자체가 없는 조직들이 많다는 것이다. 심각성이 있어서 경고를 하면 바로 반응을 보여야 하는데 말이다. 경고를 하면 그런가 보다 하고 듣거나 협박하거나 거짓말이라고 생각하는 경우도 많다.
세금이 투입되는 기관이나 단체에 대해서는 알려주는 편인데, 심각하게 받아 들이거나 담당자가 연락이 없는 경우가 많다는 것이다. 이러한 곳에 지원금을 주는 정부 담당자도 책임을 면할 수 없을 것이다.
예를 들어 2011년 7월 4일 Hacking을 당한 월드 사이버 게임즈 (http://sg.wcg.com/r00t.htm)의 경우에 7월 6일 해당 사실을 알렸지만, 2011년 7월 8일 현재까지 그대로인 상태이다. Web Site 운영을 외주에 맡기고 있다고 해도 Hacking 사실을 알리고 조치를 취했어야 하는 부분이다.
이러한 사례는 최근에 비용 때문에 관련 인력을 채용하거나 교육하는 것에 관심을 보이지 않는 경우에 더욱 심각하게 나타나는 것으로 나타나고 있다. 월드사이버게임즈의 경우에 문화관광부나 방송통신위원회로부터 지원을 받고 있는 것으로 알고 있는데, 이런 일이 발생하는 것은 문제가 심각하다. (추가로, WCG와 2011년 7월 8일 18시 40분 경 통화한 결과 해당 사실을 방통위와 보안업체에 연락했는데, 위 사실을 확인하지 못했다고 한다. 그래서, 그냥 허위로 판단했다고 한다. 확인이라도 제대로 해보지. 위의 보안업체와 계약한 업체들은 정말로 불쌍하다.)
보안 인식 자체가 없기 때문에 보안에 관련 어떤 위험을 경고해도 듣지 않는다. 그런 상황의 마지막은 모든 것을 잃는 것인데도 말이다. Unix나 Linux 시스템에서 root 의 권한을 확보했다는 것이 무엇을 의미하는지 아는 사람은 WCG와 같은 상황이 얼마나 위험한지 잘 알 것이다. 근데 오늘(2011년 7월 8일 18시까지)까지 연락이 없다. 아마 정보를 공개해서 외부에서 지적을 심하게 받아야지 아마 정신을 차릴 것이다.
(이러한 정보 공개로 인해서 Hacker가 다른 시도를 할 가능성도 있지만, 난 이미 해 줄 수 있는 일은 다 해줬다. 책임을 묻고 싶다면 연락을 받았던 담당자들에게 물어야 할 것이다.)
보안 인식 자체가 없는 조직들과 대화가 위험한 이유는 위에서와 같다. 그들에게 위험을 경고하고 조치를 요구해도 대답하지 않는다는 것이 더 큰 위험을 초래할 수 있다는 것이다. 보안에 대한 인식이 Hacking이나 보안 위협에 대해서 방어를 하면 된다는 식의 사고로 점철되어 있기 때문이다. 솔직히 IP 단위의 방화벽은 아무 의미가 없다. Server에 접근할 수 있는 IP 정보를 알아내면 그런 방화벽 따위는 아무 의미가 없기 때문이다.
System 설계 단계에서부터 보안을 고려하고 담당자를 배정하고, System 자체에서 보안 요소를 관리하는 것은 매우 중요한 부분이기 때문이다. 그런 부분을 고려하지 않고 설계를 진행하고 관리하는 순간부터 보안의 위험에 빠지게 되는 것이다. 조직이 이에 대해서 관심을 안 가지고 Web Site를 이용해서 홍보하는 것에 집중하고 사용자 정보나 다양한 정보를 Web Site에 등록시키는 행위는 자살 행위가 될 것이다.
WCG는 대표적인 e-Sport 단체이기 때문에 공개적으로 다루었다. 이러한 곳이 너무나도 많다는 사실에 대해서 심각성을 느껴야 한다.
그럼 앞으로 개선되기를 희망해 본다.
2011년 7월 6일 수요일
ActiveX Hacking Simulation
※ 본 자료는 ActiveX의 보안 취약성을 알리기 위한 목적으로 가상의 Hacking 계획을 수립해서 알리는 것이다. 본 자료를 근간으로 해서 Hacking을 할 경우에 발생할 수 있는 모든 책임은 이를 수행한 사람에게 있다는 사실을 주지하시기 바랍니다.
- Hacking 위한 환경 구성
- 현재의 ActiveX를 활용한 보안 System은 Virtualization에 대한 대응이 완벽한 상태는 아니다. 특히 Linux에서 진행되는 Virtualization에 대해서는 속수 무책인 부분이 많다.
- Virtualization을 이용해서 ActiveX가 설치되는 운영체제인 Microsoft사의 Windows XP 이상과 Internet Explorer 8 또는 Internet Explorer 9를 설치한다.
- Virtualization을 통해서 설치된 운영체제가 사용하는 Network 정보를 모두 외부에 인증될만한 정보로 교체할 수 있도록 한다. IP와 MAC Address가 이에 해당한다.
- Network 사용 정보를 수집하기 위한 중간 Gateway 역할을 할 Server를 구축한다. Network 상의 정보를 수집할 수 있는 Snipping이 가능해야 한다.
- Web 보안의 경우에 https에 비해서는 매우 낮은 수준의 보안을 제공하는 경우가 대부분이다. ActiveX를 통해서 통신이 이루어지기 때문에 ActiveX를 분석하면 어떻게 해석하고 바꿀 수 있는 지 확인이 가능하다. 이에 대한 다양한 방법은 공개되어 있다.
- 가장 어려운 부분이 공인인증서 부분으로 알려져 있는데, 공인 인증서의 보안 취약점은 국내가 아닌 해외에서 이미 공개가 되어 있는 상태이다. 공인 인증서 파일을 취할 수 있다면, 행위 분석을 통해서 동일하게 사용하는 것이 가능하다. 공인 인증서에 대한 내용은 Hacking Simulation 부분에서 직접적으로 다룰 수 없음을 인지하기 바란다. (검색하면 다 나온다, 영어로 번역해서 Google에서 검색해 보면 꽤 많은 자료를 구할 수 있다.)
- ActiveX 분석
- ActiveX 분석 방법은 여러 가지가 제공되는 데, 가장 쉬운 방법은 Visual Studio를 이용하는 것이다.
- Visual Studio의 SPY++ 기능은 해당 실행 파일 및 ActiveX가 어떻게 동작하는지를 알 수 있다.
- 해당 DLL이나 OCX를 IDE에서 Loading하면 구조를 파악할 수 있다. 구조 정보는 SPY++를 통해서 얻은 정보를 참조해서 실행에 필요한 관계를 파악할 수 있다.
- Core에 가까운 부분은 De-Assembler를 이용하는 방법이다. 방대한 양의 Code로 나타나게 되겠지만, 참조하는 DLL(Object)이나 Library 등의 정보가 있다면, C/C++을 기반으로 한 Pseudo Code 수준까지 얻을 수 있다.
- 공격 대상 Site 행위 분석
- Network를 중간에 감시할 수 있는 Server가 구축이 되어 있으며, Snipping은 여기서 진행하도록 한다.
- ActiveX 보안의 취약성이 가장 극대화되는 Browser는 Internet Explorer 9이다. ActiveX를 처리하는 부분이 Browser Engine에서 분리되어 별도의 Plug-in으로 개발이 되었다.
- Internet Explorer 8이나 Internet Explorer 9를 이용해서 해당 사이트에 접근해서 핵심이 되는 업무를 진행하면서 Network에서 처리되는 내용과 호출되는 명령에 대해서 시간을 Matching해서 확인한다.
- 행위 분석을 Flow 개념으로 도식화해서 정리한다. 각각의 예외 경우도 테스트를 통해서 확인한다.
- Virtualization에 대한 원격 정보 수집 및 교체
- Virtualization에 설치된 환경에서 진행되는 정보를 중간에서 수집하거나 변경하는 것을 목적으로 한다.
- ActiveX가 주고 받는 정보를 감시해서 원하는 내용을 수집하거나 변경하는 것을 목적으로 한다.
- Virtualization에 대한 API를 분석하면 이 과정을 쉽게 수행하는 것이 가능하다.
- Virtualization을 직접 원격 제어하는 것이 불가한 경우가 있는데, 이 때는 Snipping을 이용한 Network 상의 정보 수집 및 교체를 수행한다. ActiveX 자체를 변화시킬 경우에 보안에 의해서 실행이 중지되는 경우가 있으며, Network를 통해서 진행되는 정보를 수집하고 변경하는 것은 보안이 감지를 못하는 경우가 많다.
- 공격 행위 Modeling
- Site에 대한 공격은 목적에 의해서 다양한 방법을 동원하게 된다. 위에서 준비된 재료를 잘 활용해서 Modeling을 해야 한다.
- 첫째로 고려해야 할 부분은 추적에 대한 대비이다. IP와 MAC 정보를 변경하는 것으로 1차적인 준비는 끝나 있다고 볼 수 있다.
- 국내가 아닌 해외의 VPN을 이용해서 접근함으로써 추적을 피하기 위한 2차적인 준비는 끝난다.
- 접근 Scenario 맞춰서 Data Modeling을 기획한다. Data Modeling은 ActiveX를 통해서 이루어지는 모든 Data를 대상으로 해서 이루어진다.
- 각 과정에서 발생할 수 있는 예외 상황에 대한 처리를 명시한다.
- 목적 달성의 표지를 설정한다. 행위가 종료될 수 있는 표지를 설정하고,흔적 지우기와 결과물 저장 방법을 처리한다.
- Program 개발
- 공격 행위는 2가지 상황으로 나누어져 있으며, 2개는 개별적인 Program 개발을 요구한다.
- 공인 인증서 무력화보다는 정보 변경을 목적으로 한다면, 일반 사용자 System에 침입하고 설치한 후에 작동하는 구조를 선택한다.
- 공인 인증서 무력화가 가능하다면, 외부 Network를 통해서 Dummy System을 이용해서 원하는 목적을 달성하는 것이다.
- Program 개발 과정에서 회피를 위한 Code 기법을 충분히 구성하며, 자동 소멸될 수 있도록 조건 설정은 필수이다.
- 행위의 실행에 관련해서는 기술하지 않는다.
- 주의 사항
- ActiveX를 통해서 구현되는 경우에도 Site 내에 보안 구조가 설치되어 있는 경우가 있다.이것이 Network를 통하지 않는 보안 구조일 경우(예를 들어 OTP)에 공격을 해도 주요한 요소를 변경시킬 수 없다. 대신, 사용자의 입력 정보를 변경시켜서 목적을 달성할 수도 있다.
- 부당한 이익을 위해서 해당 Simulation 방법을 사용하는 일은 없도록 하자.
- 본 내용은 정말로 행위에 필요한 대략적인 내용만 다루고 있다. 이유는 실제적인 Code 단위의 내용을 다루면 그건 엄연히 불법이기 때문이다.
피드 구독하기:
글 (Atom)