이유는 간단하다. 보안 방법이 단순히 비밀을 유지함으로써 가능한 방법을 선택할 뿐이라는 것이다.
기술적으로 안전을 확보하는 Secure 의 개념이 아니라,
시스템을 보호하는 Security 의 개념이기 때문이다.
그럼 화이트 해킹(White Hacking)은 기술을 선의로 사용하는 것이다. 시스템이 안전한가 검증해 주고 문제가 발견되면 이를 알림으로써 사고를 예방하는 효과를 목적으로 하는 행위이다.
화이트 해킹에 대해서 정부에 민원을 넣고, 보안 솔루션을 사용하고 있는 기업에 지적을 하면 돌아오는 답변은 간단하다. 법적으로 불법이니까 하지 말라고 한다.
과연 화이트 해킹이 불법일까?
정확한 법적 개념으로 이야기하자면, 화이트 해킹 자체는 불법이 아니다. 화이트 해킹을 정부나 기업이 받아 들여서 진행하는 것이냐 아니야에 의해서 불법이냐 아니냐가 결정될 뿐이다. (시스템을 소유한 곳에서 문제를 찾을 생각이 없다고 하는데, 그것에 대해서 문제를 찾겠다고 시스템을 분석하는 작업이 진행되서 만약에 위해-문제를 건드려서 작동 불능 또는 데이터 손실-이 발생했다면 위법으로 간주되기 때문이다.)
화이트 해킹을 받아 들이지 않는 시스템을 Secure(안전)하다고 평가할 수 있을까?
솔직히 이 질문에 대해서는 단순 명료하게 이야기할 수 있다. 절대로 안전하지 않기
때문에 받아 들이지 않는다고 말할 수 있으며, 문제가 표면화되기 전까지 안전하게
만들 생각이 없다라고 스스로 자인하는 것과 같다는 것이다.
화이트 해킹의 기본 기술 중에 리버스 엔지니어링이 있다. 이 리버스 엔지니어링의
가장 쉽게 노출되는 것이 바로 ActiveX 기술이다. 서버와 클라이언트가 통신하는
방법론 자체에 대한 기술을 클라이언트에서 알 수 있게 해 주기 때문이다.
WWW의 기술적인 내용을 보면 클라이언트는 서버가 어떻게 동작하는 지 알 수 없도록
하는 부분이 중요한 요소를 차지하고 있다.(솔직히 클라이언트 단에서 데이터 처리가
많을 수록 WWW-웹의 보안을 해친다는 것도 알고 있을 것이다. 과도한 JavaScript도
이에 해당한다고 보고 있습니다.)
재화와 관련해서 가장 많은 정보가 왔다 갔다 하는 것이 바로 금융기관이라고 할 수
있다. 근데 대한민국 금융 기관의 보안 사고는 생각보다 많으며, 그 피해도 매우 크다.
왜 그럴까? 그 원인을 파악하기 위해서 금융기관이나 이에 대한 감독 기관인 금감원에
화이트 해킹 이야기를 꺼내는 순간 매우 불쾌하게 생각할 것이다. (자신들이 추구하는 보안-안전이 아님-이 그렇게 허술해 보이냐고 말이다.) 그럼, 그렇게 자신 있으면 화이트 해킹을
허락해 줄 수 있냐고 물어 보면, 한번도 허락을 한 적이 없다는 사실이 논리적 반증이 된다는것을 그들도 알고 있을 것이다.
화이트 해킹을 통해서 안전한 시스템을 만들 수 있는 기술을 확보해 나갈 수 있다는
사실을 언제나 인정할 지에 대해서는 알 수가 없다. 대한민국에서 화이트 해킹에 대한
인식과 제도적으로 보장되는 상황이 되어야 한다는 것은 동의하지만, 불법도 아닌데
불법으로 몰아가는 정부나 기관, 기업들의 태도는 고쳐져야 한다는 생각을 전하고
싶을 뿐이다.
2013년 1월 13일 일요일
2013년 1월 1일 화요일
다수의 취약 서버를 경유한 개인 계정 해킹
대한민국에서 몇몇 개인정보 유출 사고가 있었는데, 이 중에는 사용자 아이디와 암호까지 고스란히 노출이 된 경우가 있었습니다.
유출이 일어난 해당 서비스에서는 사용자 암호는 암호화가 되어 있어서 안전하다고 이야기하지만, 보안 쪽에서 본다면, 단방향 암호화를 사용하지 않았다면 해당 암호는 안전하다고 볼 수 없다는 게 통상적입니다. 거기다가, 다른 서비스에서 유출된 정보와 연계해서 분석하면 사용자 암호를 유추할 수 있는 경우는 매우 많습니다. 이렇게 해서 확보한 개인 정보를 통해서 다양한 해킹이 시도되고 있습니다.
국내에서 이러한 해킹을 직접적으로 시도할 경우에 해당 계정의 사용자가 이를 탐지해서 경찰에 신고할 경우에 추적 당하게 되어 적발당할 수 있다는 사실을 해커들도 잘 알고 있습니다. 그래서, 여러 단계를 거쳐서 해킹을 해오고 있는데, 최근에 발견한 유형에 대해서 설명을 하고자 합니다.
0.서버 경유 해킹 방법
일반적으로 서버를 경유해서 하는 해킹은 아래와 같은 방법을 선호해 왔었다
그러나 포털이나 인터넷제공회사에서 중국에서 접근해 오는 해킹 시도를 차단하면서,
이를 우회하는 방법으로 취약서버를 이용하는 방향 쪽으로 전환을 했다.
취약점은 여러가지가 있으나, 접근 권한 또는 백도어 등을 활용하는 경우가 많았습니다.
취약 서버로 활용되는 서버를 지금까지 취합해 보면, 주로 IDC에 있는 서버가
1차적으로 손 꼽히고, 다음으로 개인 사무실에 설치된 서버, 다음으로 관리가
부실하다고 판단되는 사이트의 서버라고 할 수 있을 것입니다.
직접 해당 방법으로 개인 메일 계정에 대한 해킹 시도를 경험했었고, 취약서버
리스트까지 정리해서 경찰 신고까지 접수하였으나, 취약 서버에 접속한
최종 위치가 중국이었기 때문에 그 이상은 추적하지 못한다 하여 조사가 종료가
된 상태입니다. (추적이 아예 불가능하냐고 물으신다면? 뒤에 조금 첨부되어
있습니다.)
1.스팸 메일 발송 및 불법 광고 게시물
가장 많이 이루어지는 행위가 바로 스팸메일 발송입니다. 포털 대부분 '화이트 리스트'를
스팸 메일 분류에 활용하고 있기 때문에 스팸 메일 서버를 별도로 만들어서 메일을 보내는
것은 의미가 없는 상황입니다.
또한 포털에 구축되어 있는 많은 커뮤니티들에 불법 게시물을 올려서 광고하는 것은
꽤 효과가 있는 영업 방식입니다.
이를 위해서 개인정보를 이용해서 이러한 기능을 수행하는 것을 목적으로 해킹하는 경우가
가장 많은 경우였습니다.
2. 개인 정보 - 사생활 추적
다음으로 가장 문제가 되는 것은 바로 사생활 추적입니다. 많은 사이버 흥신소가
특정 상대방의 메일이나 주소록 정보를 확보하기 위해서 이러한 시도를 하는 것으로
확인이 되었습니다.
본인의 동의를 거치지 않거나, 수사기관의 도움 없이 개인의 메일 계정에서 메일이나
주소록을 가져오는 행위는 매우 큰 불법 행위입니다. 이를 사용하는 행위도 당연히
불법적인 것에 해당을 하지요.
사이버 흥신소는 자신들이 어떤 경로를 통해서 이러한 개인 정보-사생활을 확보했는지
당연히 밝히지 않지만 현재 대한민국 몇몇 포털과 서비스에서 유출된 정보라면
이메일의 암호를 파악하거나 유추해서 사용하는 것은 어려운 일이 아닙니다.
개인정보를 파악하지 않은 것처럼 보이기 위해서 스팸메일을 발송하거나 불법
게시물을 올리는 행위를 함께 수행하는 듯 합니다.
취합을 위해서 기본으로 사용해 온 것이 바로 '주민등록번호' 입니다. 주민등록번호를
통해서 자주 사용하는 아이디를 알게 되면, 몇몇 사이트는 주민등록번호 만으로 암호를
알려 주기 때문에 암호를 유사하게 사용하는 경향을 이용해서 다른 사이트도 확인을
하게 됩니다.
기존에 유출된 개인정보를 취합해서 개인정보 조사 자료를 만들어서 활용합니다.
개인정보 조사를 위한 자료를 만들어서 판매하는 브로고커도 있으며, 해킹하는 쪽
입장에서도 이러한 자료가 있는 것과 없는 것의 차이는 매우 큽니다.
3. 이러한 해킹 시도를 법적으로 막을 수는 없나?
완벽하게 막는 것은 불가능합니다. 하지만, 이러한 방법으로 해킹하는 사람을
찾아내서 법적으로 처벌함으로써 막아 나가는 것은 가능합니다.
해당 타이밍에 취약서버에 접근한 중국서버에 접근하는 한국 내 IP 정보를 통해서
추적을 해 나가는 일입니다. 이러한 일은 현재 대한민국의 ISP가 크게는 3개 업체의
국제망을 통해서 연결되고 있기 때문입니다.
취약 서버의 숫자를 줄여 나가는 것도 중요하지만, 서버 관리나 보안 컨설팅과
관련해서 업체들이 제대로 된 비용 지불을 할 용의가 없기 때문에 대부분의
웹 에이전시나 SI 회사에 이러한 역할을 기대하는 것은 무리가 있습니다.
꽤 오래된 일인데 이제서야 글을 올리네요.
피드 구독하기:
글 (Atom)