업무 프로세스 정립하는 과정에 대한 생각

 최근에 몇몇 업무를 보면서 느끼는 생각을 정리해 보려고 합니다.

 업무 들어가기 전에 업무 프로세스를 미리 설계하고 들어가는 편이었는데, 최근에 일들은 일정 관계상 그런 절차를 밟을 수가 없었습니다. 그러면서, 문제들이 터져 나왔습니다. (일정을 고려하기 보다는 일정을 최대한 확보하는 쪽으로 먼저 고민을 했어야 하는데, 일정 내에 일정 수준까지만 맞추려고 했던 것이 문제로 가시화 된 것으로 보입니다.)

 그래서, 업무 프로세스를 정립하는 과정에 대해서 생각을 해 봤고 이를 정리해 놓으려 이 글을 올립니다.
 글을 시작하기 전에 업무를 큰 단위로 보고 그 업무를 세분화한 단위를 작업이라고 지칭합니다.

1. 업무 정보 파악
 업무에 대한 구체적인 사항을 파악하는 일이 될 것 같습니다. 이 구체적인 사항의 깊이는 깊을 수록 좋겠지만, 시간 제약으로 인해서 완벽하게 파악할 수 없을 때가 많습니다. 그렇다면, 업무를 하나 하나 작업으로 세분화시키고 그 세분화된 것의 중요도를 먼저 파악하고 구체적인 사항을 파악하는 쪽으로 접근을 해야 한다고 봅니다.
 이 과정에서 가장 민감하게 다루어질 부분은 위협 요소(Risk)라 할 것입니다. 이로 인해서 업무 요구 강도의 예상 범위를 결정할 수 있기 때문입니다.
 구체적인 사항으로 내려 갔을 때 해당 작업을 위해서 필요한 능력 부분에 대한 것도 구체적일 수록 좋기는 합니다. 다만 정확히 그 능력을 파악하기 어려운 경우가 많은데, 그럴 경우에는 다른 유사 작업에서 요구했던 경험을 바탕으로 해서 능력을 파악해 놓기만 해도 도움이 될 수 있습니다. (설마 전혀 유사 경험이 없는 작업이 포함된 업무를 진행하는 경우라면, 해당 작업에 필요한 지식을 습득하기 위한 시간을 충분히 고려해야 합니다.)


2. 업무 내 작업 관계 파악
 업무 내에서 작업은 1차적으로 시간에 의한 순서 관계 또는 작업이 요구하는 전제 조건에 따르는 선후 관계가 만들어 집니다. 이 선후 관계를 정확히 알지 못하면, 해당 작업 사이의 문제 유발이 될 경우에 이를 수정하기 위해서 앞뒤 작업을 지속적으로 반복하는 사태를 겪게 될 수도 있습니다.
 다음으로는 작업의 성격에 따라서 영향을 미치는 범주를 고려해야 합니다. 해당 작업이 영향을 미치거나 영향을 받는 것에는 작업이 가지는 성격(특이성)이 있습니다. 작업의 진행에서 발생할 수 있는 다양한 상황이 그러한 성격(특이성)을 만들어 냅니다. 그러한 부분을 고려한 관계를 파악하고 명시해야 합니다.
 작업의 선후 관계와 동시에 진행 가능한 작업과 불가능한 작업, 동시에 진행하기 위해서 필요한 전제 조건 등에 대해서 파악이 가능해 집니다.


3. 작업이 요구하는 노동 강도
 각 작업은 업무 내용에 따라서 요구하는 노동 강도가 다르게 됩니다. 동일한 작업이라 해도 업무 내용에 따라서 요구되는 노동 강도의 차이가 발생한다는 점이 주요한 부분이 됩니다.
 노동 강도는 동일한 시간 기준으로 했을 때 투입되는 에너지 또는 집중 등으로 인해서 육체 또는 정신이 소모되는 정도에 대한 부분입니다. 업무에 투입되는 인력에 따라 허용 가능한 노동 강도가 다르다는 점을 생각을 해야 합니다.
 특정 작업에 요구되는 노동 강도가 투입되는 인력이 허용 가능한 노동 강도 이상이면, 그 작업에는 무리가 따르게 되고 문제가 생기게 됩니다. 또, 다른 방향으로 보면 예상했던 노동 강도보다 실제 노동 강도가 크면, 작업 자체가 지연되거나 또는 인력 이탈 등의 문제를 유발할 수 있습니다.
 그런 문제를 막기 위해서 작업이 요구하는 노동 강도를 정확히 파악하고, 이를 적합한 인력에게 배분해서 작업 지연이나 인력 유출 등의 문제를 최소화할 수 있습니다.


4. 작업의 배치
 작업의 배치는 위의 전제 조건을 바탕으로 해서 몇 가지 방식으로 나누어 지게 됩니다. 각 현장의 특성에 맞춰서 이를 선택하게 됩니다.
 가장 먼저 고려되는 것은 인력에게 작업을 배치하는 것입니다. 이는 각 작업의 유기적 관계가 적을 경우에 적합한 시간을 배정해서 인력이 이를 완수하게 하는 것입니다.
 그러나 작업이 유기적으로 연결되어 있고 영향이 많이 미칠 경우에는 우선은 시간 순서및 작업 간의 관계로 나열을 시킨 후에 각각 가능한 작업 인력을 배치하고 그 뒤에 이를 적합하게 소화할 수 있는 노동 강도로 분산시켜서 인력을 배치하는 것입니다.
 작업의 배치의 마지막은 해당 작업의 일정을 취합해서 업무를 마무리할 수 있는 일정을 확보하는 것입니다. 마무리할 수 있는 일정에는 각 작업의 위험 요소 발생 확률과 이를 처리할 수 있는 시간까지 포함이 되어 있어야 합니다.


 전체적으로  다룰 수는 없어서 간략하게 정리를 해 보았습니다.

대한민국 사용자를 대상으로 성적 소재를 다루는 사이트의 수익 창출 방법

 이런 민감한 사안을 다루는 것에 대해서, 고민을 많이 했던 적이 있다.
 하지만, 실제로 일어나고 있는 일이고 그들은 수많은 피해자를 만들어 내고 있다.

 성적 소재(성매매, 성범죄)를 이용해서 상업적인 사이트를 만들고 이를 이용해서 수익을 창출하고 있다면, 이는 반드시 엄벌해야 하는 대상이라고 볼 수 있다.
 개인 간에 일어나는 일에 대해서 공권력이 개입할 수도 없고 없어야 하지만, 기업이나 조직이 개입되서 일어나는 일이라면 반드시 일벌백계해야 한다고 생각한다. 그래서, 그런 사이트들이 어떤 식으로 수익을 발생시키는 지에 대해서 이야기를 하고자 합니다.

1. 그런 목적의 사이트를 해외에 개설한다.
• 사용자가 원활하게 접근하는 것이 전제가 되어야 하므로, 인프라가 어느 정도 확보되어 있는 지역에 개설을 한다.(주로 미국 또는 북미가 많으나, 도메인 주소나 소유권 등은 페이퍼 컴퍼니를 활용한다.)
• 결제가 비트코인으로 되는 호스팅 업체를 선호한다. 특히 서버 규모를 조절할 수 있는 클라우드를 선호하는 편이다.
• 특히 특정 지역에 존속되는 클라우드가 아닌 글로벌하게 센터가 위치한 클라우드를 선호한다. 문제가 생긴 지역에서 다른 지역에서 빠르게 이동할 수 있기 때문이다.
2. 사용자 확보를 위해서 자극적인 몰카를 유포한다.
• 사이트를 개설하면, 커뮤니티처럼 보이게 만들어 놓고, 개인이 촬영한 몰카라고 하면서 자극적인 소재들을 올린다.
• 이를 위해서 그런 소재를 생성해 낼 수 있는 사용자를 금전을 사용해서 영입한다.
• 소재를 올릴 경우에 조회 수 단위로 비용을 주는 계약을 체결하는 경우가 많다.
• 해당 비용은 비트코인을 이용해서 지급한다.
• 사용자가 어느 정도 확보되면, 소재 관련 컨테스트나 이벤트를 개최한다.
3. 해당 사이트의 사용자 유입 통계를 이용해서 영업한다.
• 신뢰할 수 있는 사이트 통계 툴의 결과를 바탕으로 성매매 또는 관련 업소에 영업을 한다.
• 해당 업소는 광고를 게재하고 영업 및 판촉 활동을 한다.
• 해당 광고에 대한 조회수 기반으로 해서 국내에서 비용을 받는다. (이 과정은 2~3단계 정도 돈세탁을 거치고 브로커가 활동하는 것으로 알려져 있다.)
4. 사이트가 차단되는 것을 감안해서 SNS를 운영한다.
• SNS 자체는 자극적인 내용을 다루지 않고 사이트의 도메인 변경이나 운영 관련 이슈 등만을 전달해서 SNS 사용 정책을 지키는 쪽으로 운영한다.
• 또한 다른 SNS 사용자들이 적극적으로 그런 정보를 유포하도록 유도한다.
5. 지속적인 유입을 위해서 새로운 소재를 요구한다.
• 경쟁 사이트들이 존재함으로 자신들의 가치를 유지하기 위해서 2번에서 고용된 사용자들에게 더욱 높은 비용을 지급하고 요구한다.
• 해당 사이트가 위치한 국가의 법률에 저촉될 수 있는 사안이 발생하거나, 또는 경찰 수사로 인해서 접촉이 발생할 경우에 사용자에게 소재 제한을 시키거나 콘텐트를 삭제해서 증거를 인멸한다.

 현재 위와 같은 형태로 운영되는 사이트가 상당수이며, 여기에 고용되서 활동하는 사용자 숫자도 꽤나 된다. 직접 고용된 경우도 있지만, 해당 사이트에서 진행하는 소재 구하는 작업에 참여해서 돈을 받는 경우도 꽤나 많다.

 해당 소재를 보는 행위 자체가 범죄가 된다는 이유는 위의 구조와 같이 금전적 목적으로 활용이 되기 때문이다. 해당 소재를 통해서 조회 수 증가가 성매매 업소의 광고 영업의 자료로 활용되는 악순환을 이룬다는 점을 인지하지 못한다는 것은 매우 안타까운 부분이다.

 이런 구조에서 소재에 노출되는 피해자는 주로 여성이 될 수 밖에 없다. 2번에서 소재를 만들어내는 사용자는 주로 픽업아티스트라고 불리는 사람들이며, 꽤 전문화된 형태로 이런 일을 벌인다. 여성을 유혹해서 사귀거나 또는 즐기는 과정에서 영상을 촬영하고 이를 활용하는 방식이다.

 해당 여성이 유포된 것을 알면, 해킹 당했거나 핸드폰을 잃어 버렸다고 주장하는 등의 수법을 쓰는 편이다. 피해 여성들이 적극적으로 경찰 신고를 해야 하지만, 대한민국 사회 정서상 피해 여성을 공범으로 몰아 붙이거나 행동거지 등에 대해서 논하는 등 더 피해를 볼 게 두려와서 인상 착의나 자신을 알아볼 수 없다고 판단되면, 신고를 하지 않는 등의 대처가 더 눈에 띈다.

 남성들이 이런 구조에 대해서 인식하고 몰카를 멀리하고 해당 사이트들에 대해서 접근하지 않는 것은 중요한 부분이다. 자극적인 소재를 찾아서 움직이는 습성을 버리는 것이 얼마나 중요한 것인지 인식이 필요하다.

 앞으로도 이런 범죄에 대해서 수사가 진행되서 운영자가 처벌되고, 직접적으로 참여를 한 사용자들까지 모두 처벌이 되어야지 어느 정도 진정세가 되지 않을까 싶다.

대한민국 국내 인터넷 뱅킹에 대한 해킹 시뮬레이션 - 개인정보+공인인증서+보안카드

 2013년 5월 28일 매일경제 신문 1면에 올라온 기사 - '뻥 뚫린' 공인 인증서 - 에 대한 분석 차원에서 작성한 것이다.

- 해당 내용은 2006년 및 2011년 이전 에 금융감독위원회 및 경찰청, 다수 금융기관에 그 가능성에 대해서 알린 바가 있으므로, 이를 모방한 범죄가 발생하는 모든 상황의 책임은 이를 예방하기 위한 활동을 해야 하는 정부 기관 및 수사기관에 있다고 할 것이다. -


 특정 사건에 대해서 해킹을 시뮬레이션 하는 목적은 해당 사건을 방지할 수 있는 기술을 만들고 제도를 보완해서 동일한 수법을 이용한 사건이나 유사한 사건을 막자는 것이 가장 큰 목적임을 미리 밝힌다. 그러므로, 해당 방법을 이용해서 범죄를 계획하거나 실행하는 경우에 법에 저촉될 수 있음을 미리 밝힌다.

1. 타겟 선정 기준
• 가장 큰 전제는 대한민국 국민 대다수의 개인 정보는 유출되어 있다는 점이다.
• 쇼핑몰 거래 내용 및 안전 거래 등의 정보를 통해서 계좌 정보를 확보할 수 있다는 점이다.
• 개인 간의 이메일을 감시하거나 문자 메시지를 감시함으로써 간단하게 계좌 정보를 확보할 수 있다.
• 거래가 지속적으로 있는 계좌는 쉽게 닫히지 않으며, 항상 여유 잔고가 충분하게 존재할 가능성이 있다. 
• 인터넷 뱅킹 및 텔레뱅킹을 주로 사용하고 있음을 확인한다. 
• 다른 접근 방식으로 이미 설치되어 있는 좀비 프로그램을 이용해서 수집된 정보를 기반으로 해서 접근하는 방법이다.
2. 접근 방법 설계
• 사용자 컴퓨터 및 스마트폰에서 사용 기록을 확보해 줄 좀비 프로그램의 삽입이다.
• 좀비 프로그램의 삽입을 위해서 가장 많이 사용하는 방법이 지인을 사칭해서 좀비 프로그램이 설치되는 코드가 포함된 플래시 파일 또는  ActiveX 설치를 유도하는 사이트 접근이다.
• 최소한 1년 이상(공인 인증서 갱신을 포착해야 함으로)의 시간을 투입해서 해당 사용자의 정보를 걸러낼 필요성이 있다.
• 공인인증서 암호는 키보드 입력을 통해서 확보가 가능하다. 대부분의 공인인증서 접근은 ActiveX를 이용한 프로그램을 통하는데, 보안이 아무리 잘되어 있어도 키입력을 전달하는 파이프라인 메모리를 직접 감시하면 현재 환경에서 구별하는 것이 거의 힘들다. (키보드 I/O를 가로채는 키로거는 대부분 안티바이러스 프로그램이 찾아 내지만, ActiveX에 직접 파이프 라인 메모리를 확인하는 것을 감지하는 안티바이러스 프로그램은 매우 드물다. 일단 Microsoft사가 이에 대한 감지 및 보안 방법이 없음을 이미 공표한 바 있다.)
• 공인인증서 암호 확보에 실패 했다면 공인인증서 재발급 프로세스를 위해서 접근하게 된다. 재발급하게 되면 암호를 임의대로 입력할 수 있다.
• 최근에는 국내 안티바이러스 프로그램 들이 공인인증서 파일에 대한 접근을 감시하기 때문에 쉽지 않지만, 안티바이러스 프로그램이 설치되어 있지 않거나, 무력화가 가능한 경우에 공인인증서 파일을 유출해서 전송한다. (공인 인증 시스템을 위한 전송이 아니어도 파일 자체만으로 공인인증서 효력이 나타나게 되는 은행 시스템도 있다.)
3. 보안카드 작성
• 은행 거래 시에 요구되는 보안카드의  번호 위치는 빈번하게 일치하기 때문에 하나의 번호 위치키인 4자리를 확보하는데 오래 걸리지 않는다.
• 좀비 프로그램이 설치되어 있는 경우에  은행 거래 시마다 이를 기록해서 해당 사용자의 보안카드를 작성하게 된다. (주로 URL을 감시해서 기록 정보를 확보하는 형태가 이용된다.)
•  보안카드의 완성도가 75% 이상이 되면, 거래 시에 보안카드 번호 입력 제한 횟수 이내에 완료를 할 수 있다.
• 가상키보드나 스마트폰을 사용하는 경우에는 화면 캡쳐와 입력 좌표를 대조해서 해당 위치의 이미지를 활용한다.
• 보안카드 작성과 관련해서는 이전에 텔레뱅킹과 관련된 사건도 있다. 아파트 건물의 전화단자함에 일종의 도청 장치를 해놓고 텔레뱅킹을 사용하는 신호만 걸러내서 계좌번호와 비밀번호, 보안카드 번호를 확보한 사건이었다.)
4. 공인 인증서 재발급
• 공인인증서를 확보했으나, 암호를 확보하지 못한 경우에 선택을 하게 된다.
• 공인인증서 재발급을 위해서는 이름, 주민등록번호와 해당 명의의 계좌번호, 보안카드 발행번호, 보안카드 키값이 필요하다.
• 1년 정도 시간 동안에 감시를 했다면 충분히 확보할 수 있는 정보 들이다.
• 이 정보를 이용해서 공인인증서를 발급 받는다.
5. 계좌 인출 시도
• 개인 계좌의 1회 인출 한도 금액은 천차 만별이다.
• 그러므로, 최대한 적은 횟수에 가능한 많은 금액을 빼내야 한다.
•  차명 계좌(대포 통장)나 가상 계좌 등을 이용해서 인출 시도 후 성공하면 즉시 현금 인출하는 방식을 사용한다.

 위의 방법을 현재 100% 막을 수 있는 방법이나 시스템을 갖추고 있는 은행은 현재로서는 없다.

 여기에 추후 쓸 스미싱 기법을 합쳐 놓으면, 과연 막을 수 있을까 싶다.

Game에서 통계의 의미?

 통계는 Game을 기획하는 단계에서 가장 고려가 되지 않는 부분이지 않을까 해서 Server 개발자로서 기획에 바라는 Game에서 통계의 이야기를 해 보기로 한다.


 1. 통계에서 중요한 것은 핵심 요소 이다.

Game에는 다양한 요소가 어우러져서 이루어집니다. User, Rule, Character, Play, Money, Manage 등 Game 장르 나 플랫폼에 따라서 각각 다른 중요도를 띄게 됩니다. 통계를 먼저 요구할 때는 이 중에서 어느 것을 핵심 요소로 삼아서 다른 요소를 끼어 맞출 것이냐가 전제가 되어야 합니다.
 예를 들어서, RPG Game이라면 실제로 User는 Character에 의존해서 Game을 진행합니다. 그렇기 때문에 User의 Game Pattern을 분석하고 싶다면, Character를 핵심으로 해서 통계를 작성함으로써 User가 Character를 어떻게 Play하고, 어떤 Rule은 존중하고 어떤 Rule은 무시하는지 알 게 됨으로써 새로운 Rule을 만들고, 그 Rule을 Character에 어떻게 적용함으로써 재미 요소를 끌어낼 것인지 결정할 수 있게 됩니다.
 이렇게 운영되고 있는 Game의 재미 요소를 극대화하기 위해서 필요한 것이 통계라는 점을 고려한다면, 어떤 것을 핵심 요소로 삼아야 하는 지에 대해서는 기획 단계에서 먼저 고민을 해 주는 것이 맞지 않을까?
-핵심 요소만 부각시키고 나머지 요소를 낮추어서 보겠다는 이야기가 아니라, 핵심 요소를 기반으로 해서 다양한 요소를 통계로 묶어서 보여주겠다는 이야기라는 점을 인식해야 합니다. 경제나 사회 쪽에서 사용하는 통계 툴처럼 다양성을 모두 고려한 통계 작업을 진행하는 것은 Game에서는 어렵습니다. 대신 사용자가 어떻게 Game을 하는 지 Data를 수집하는 것은 매우 쉬운 일이니 이를 바탕으로 해서 Game 기획과 System을 개선해 나갈 수 있다면 가장 좋은 모범이 되지 않을까 싶다. 


 2. 통계에서 불변의 요소는 바로 시간이다.

인간도 시간에서 자유롭지 못하듯, Game도 시간에서 자유로울 수는 없다. User마다 Game에서 제공되는 시간이 다르다면, User간의 교류는 불가능하게 될 수 밖에 없다. 또 System에서 시간에 따라 User에게 제공되는 결과도 모두 다르게 인식된다는 것을 의미 한다.
통계에서도 마찬가지 이유로 시간은 불변의 것으로 취급받아야 한다. 시간을 중심으로 해서 변화되는 요소를 확인하고자 하는 통계라면, 그 대상에 대해서 시간은 동일한 규칙으로 작용되어야 한다. 동일한 규칙이 아니라면 혼돈으로 가득차게 되어서 결과적으로 모든 행위가 의미가 없어지게 될 것이기 때문이다.
통계에 시간적 혼돈이 개입된다면 통계 자체의 의미가 사라지게 되기 때문에 혼돈을 덜 일으키기 위해서 가장 먼저 해야 할 일이 바로 모든 요소에서 시간은 동일하다라는 것을 확인하는 것부터 시작해야 한다.
기획의 설계 단계에서 시간을 어떤 식으로 다루어야 할 지에 대해서 고민할 필요성은 없지만, 설계가 완료된 시점에서 운영으로 넘어가는 단계에서 시간이 가장 큰 고려 대상이 된다. 설계에서 부각된 요소를 운영에서는 관리 측면에서 점검을 하고, 이를 가능하게 할 수 있는 통계를 요구하게 된다. (개발 입장에서는 설계 단계에서 통계에 필요한 요소를 먼저 언급해 주면 운영 단계에서 논의하는 것이 빠르게 된다.) 고정된 시간 축을 중심으로 어떤 요소에 대해서 통계를 작성해야 할지 결정할 수 있게 된다.


 3.통계가 Server Resource를 소모하는가?

당연히 Program이 돌아가면 System의 Resource를 사용하게 되는 것은 당연하다. 그런데, 통계 때문에 Game을 운영해야 하는 Resource가 부족해진다면 문제가 되지 않을까? 통계와 관련된 작업이 많아진다면 당연히 System을 별도로 배정해야 하는 것으로 해결될 수 있을 것이라고 생각을 많이 한다. 그러나, 통계에 필요한 내용이 작성되는 순간은 Game의 진행 과정에 이루어지기 때문에 이미 Game을 운영하는 Resource에 포함이 되어 있다는 것이다. (보통 통계 결과를 보기 위해서 사용되는 Resource 만을 생각하는데, 통계에 필요한 Data를 작성하는 데 들어가는 Resource에 대해서도 생각을 해야 한다.)
 통계 작성을 위해서 필요한 Data 수집은 주로 Database를 통해서 이루어지게 된다. 통계를 위해서 필요한 특정 요소에 대해서 어떤 식으로 Data를 처리할 지에 대해서 구체적인 사항이 결정이 되어 있다면, Database 수준에서 1차적인 Data 확보가 완료될 수 있다. 그러나, 이 부분에 대해서 구체적으로 결정이 되어 있지 않다면, 통계를 위해서 관계를 만드는 작업이 System의 Resource를 소모할 수 밖에 없게 된다. 통계를 보는 동안 Game 진행에 영향을 줄 수 있는 요소가 발생할 수 있다는 것으로 받아 들여도 된다.
 통계에 반영되어야 할 Data를 Game 진행 과정에 녹이는 것도 Server 개발에서 중요한 요소가 된다는 것을 이해했을 것이다. 아무리 작은 통계라 해도, 그 Data를 만들기 위해서 Database 전반과 System Resource를 할당해야 한다면, 문제가 된다는 것이다.


 4.통계 요소를 개발 완료 후 추가하게 되면?

Server 개발이 완료된 후에 통계에 대해서 추가를 하게 된다면, 경우에 따라서는 기존 개발 내용을 번복하거나 전면적으로 수정해야 하는 일이 발생할 수도 있다는 것이 문제의 핵심이다.
기획에서 해당 통계 자체의 기술적 난이도만 고려해서 추가를 요구하게 된다면, 실제 개발에서 해당 통계 요소를 위해서 Game System에서 건드려야 할 Data와 통계를 위해서 어떻게 가공해야 할 지에 대해서는 면밀하게 고려하지 않은 요구라고 할 수 있다. 기획에 이러한 세세한 부분까지 고려해 달라고 이야기하는 것이 아니라, 통계 요소의 추가를 기획하는 단계에서 기존의 Game System에 대해서 조금 더 이해하고 접근하게 된다면, 현재 요구하는 통계 요소를 위해서 필요한 작업에 대해서 목록이 나오지 않을까?
통계 요소의 추가에 대해서는 신중하게 고려해야 하며, 전체적인 System의 변경까지 고려해 가면서 천천히 진행해야 할 요소이다.


 5. 통계를 보기 위해서 별도의 Tool이 필요한가?

통계 결과가 어떤 형태로 표시되는 가는 관리자나 경영 쪽에서 본다면 중요할 수 있다. 하지만, 유의미한 통계 결과를 보여주는 데 있어서 특별한 Tool은 필요하지 않다고 본다. Web 환경에서 실시간으로 통계를 봐야 한다고 해도, Web 기술로 충분히 진행이 가능하다. 그런 상황에서 별도의 Tool을 고집할 이유는 없다고 본다.
특히 Tool을 통해서 Game Server에 접근하는 것은 System Resource와 보안 측면에서도 그렇게 바람직한 것은 아니다. 다수의 사용자가 원하는 때에 통계에 접근할 수 있게 하는 것도 중요한 요소이기 때문에 Tool로 통계를 만드려고 하기 보다는 Web 환경에서 만드는 것이 더욱 효율적일 수 있다. (보통 Tool을 고집하는 이유는 다수의 사용자에 대해서 편리한 관리를 하고 여기에 통계를 붙이겠다는 생각 때문이다. 그러나, 실제로 Tool을 이용하면 복잡도만 높아질 뿐 절대로 편리한 관리가 이루어지지는 않는다.)


 Game 통계와 관련해서 주저리 주저리 글을 써 보았는데, 업무 진행하면서Architect로서 미리 조언하지 못한 부분도 많이 발견이 되어서 좋은 듯 싶다. 의견이 있으면 내용을 더 추가해 나가야 할 것 같다. (아직은 중구난방, 중언부언도 좀 많기는 하지만, 필요한 글인 듯 싶어서 쓰기 시작했다.)

대한민국의 정부와 보안업체는 왜 화이트 해킹을 무서워 하는가?

 이유는 간단하다. 보안 방법이 단순히 비밀을 유지함으로써 가능한 방법을 선택할 뿐이라는 것이다.

 기술적으로 안전을 확보하는 Secure 의 개념이 아니라,
 시스템을 보호하는 Security 의 개념이기 때문이다.

 그럼 화이트 해킹(White Hacking)은 기술을 선의로 사용하는 것이다. 시스템이 안전한가 검증해 주고 문제가 발견되면 이를 알림으로써 사고를 예방하는 효과를 목적으로 하는 행위이다.

 화이트 해킹에 대해서 정부에 민원을 넣고, 보안 솔루션을 사용하고 있는 기업에 지적을 하면 돌아오는 답변은 간단하다. 법적으로 불법이니까 하지 말라고 한다.

 과연 화이트 해킹이 불법일까?
 정확한 법적 개념으로 이야기하자면, 화이트 해킹 자체는 불법이 아니다. 화이트 해킹을 정부나 기업이 받아 들여서 진행하는 것이냐 아니야에 의해서 불법이냐 아니냐가 결정될 뿐이다. (시스템을 소유한 곳에서 문제를 찾을 생각이 없다고 하는데, 그것에 대해서 문제를 찾겠다고 시스템을 분석하는 작업이 진행되서 만약에 위해-문제를 건드려서 작동 불능 또는 데이터 손실-이 발생했다면 위법으로 간주되기 때문이다.)

 화이트 해킹을 받아 들이지 않는 시스템을 Secure(안전)하다고 평가할 수 있을까?
 솔직히 이 질문에 대해서는 단순 명료하게 이야기할 수 있다. 절대로 안전하지 않기
때문에 받아 들이지 않는다고 말할 수 있으며, 문제가 표면화되기 전까지 안전하게
만들 생각이 없다라고 스스로 자인하는 것과 같다는 것이다.

 화이트 해킹의 기본 기술 중에 리버스 엔지니어링이 있다. 이 리버스 엔지니어링의
가장 쉽게 노출되는 것이 바로 ActiveX 기술이다. 서버와 클라이언트가 통신하는
방법론 자체에 대한 기술을 클라이언트에서 알 수 있게 해 주기 때문이다.
 WWW의 기술적인 내용을 보면 클라이언트는 서버가 어떻게 동작하는 지 알 수 없도록
하는 부분이 중요한 요소를 차지하고 있다.(솔직히 클라이언트 단에서 데이터 처리가
많을 수록 WWW-웹의 보안을 해친다는 것도 알고 있을 것이다. 과도한 JavaScript도
이에 해당한다고 보고 있습니다.)

 재화와 관련해서 가장 많은 정보가 왔다 갔다 하는 것이 바로 금융기관이라고 할 수
있다. 근데 대한민국 금융 기관의 보안 사고는 생각보다 많으며, 그 피해도 매우 크다.
왜 그럴까? 그 원인을 파악하기 위해서 금융기관이나 이에 대한 감독 기관인 금감원에
화이트 해킹 이야기를 꺼내는 순간 매우 불쾌하게 생각할 것이다. (자신들이 추구하는 보안-안전이 아님-이 그렇게 허술해 보이냐고 말이다.) 그럼, 그렇게 자신 있으면 화이트 해킹을
허락해 줄 수 있냐고 물어 보면, 한번도 허락을 한 적이 없다는 사실이 논리적 반증이 된다는것을 그들도 알고 있을 것이다.

 화이트 해킹을 통해서 안전한 시스템을 만들 수 있는 기술을 확보해 나갈 수 있다는
사실을 언제나 인정할 지에 대해서는 알 수가 없다. 대한민국에서 화이트 해킹에 대한
인식과 제도적으로 보장되는 상황이 되어야 한다는 것은 동의하지만, 불법도 아닌데
불법으로 몰아가는 정부나 기관, 기업들의 태도는 고쳐져야 한다는 생각을 전하고
싶을 뿐이다.

다수의 취약 서버를 경유한 개인 계정 해킹

 대한민국에서 몇몇 개인정보 유출 사고가 있었는데, 이 중에는 사용자 아이디와 암호까지 고스란히 노출이 된 경우가 있었습니다.
 유출이 일어난 해당 서비스에서는 사용자 암호는 암호화가 되어 있어서 안전하다고 이야기하지만, 보안 쪽에서 본다면, 단방향 암호화를 사용하지 않았다면 해당 암호는 안전하다고 볼 수 없다는 게 통상적입니다. 거기다가, 다른 서비스에서 유출된 정보와 연계해서 분석하면 사용자 암호를 유추할 수 있는 경우는 매우 많습니다. 이렇게 해서 확보한 개인 정보를 통해서 다양한 해킹이 시도되고 있습니다.
 국내에서 이러한 해킹을 직접적으로 시도할 경우에 해당 계정의 사용자가 이를 탐지해서 경찰에 신고할 경우에 추적 당하게 되어 적발당할 수 있다는 사실을 해커들도 잘 알고 있습니다. 그래서, 여러 단계를 거쳐서 해킹을 해오고 있는데, 최근에 발견한 유형에 대해서 설명을 하고자 합니다.


0.서버 경유 해킹 방법
 일반적으로 서버를 경유해서 하는 해킹은 아래와 같은 방법을 선호해 왔었다

 그러나 포털이나 인터넷제공회사에서 중국에서 접근해 오는 해킹 시도를 차단하면서,
이를 우회하는 방법으로 취약서버를 이용하는 방향 쪽으로 전환을 했다.

 취약점은 여러가지가 있으나, 접근 권한 또는 백도어 등을 활용하는 경우가 많았습니다.

 취약 서버로 활용되는 서버를 지금까지 취합해 보면, 주로 IDC에 있는 서버가
1차적으로 손 꼽히고, 다음으로 개인 사무실에 설치된 서버, 다음으로 관리가
부실하다고 판단되는 사이트의 서버라고 할 수 있을 것입니다.
 직접 해당 방법으로 개인 메일 계정에 대한 해킹 시도를 경험했었고, 취약서버
리스트까지 정리해서 경찰 신고까지 접수하였으나, 취약 서버에 접속한
최종 위치가 중국이었기 때문에 그 이상은 추적하지 못한다 하여 조사가 종료가
된 상태입니다. (추적이 아예 불가능하냐고 물으신다면? 뒤에 조금 첨부되어
있습니다.)


1.스팸 메일 발송 및 불법 광고 게시물
 가장 많이 이루어지는 행위가 바로 스팸메일 발송입니다. 포털 대부분 '화이트 리스트'를
스팸 메일 분류에 활용하고 있기 때문에 스팸 메일 서버를 별도로 만들어서 메일을 보내는
것은 의미가 없는 상황입니다.
 또한 포털에 구축되어 있는 많은 커뮤니티들에 불법 게시물을 올려서 광고하는 것은
꽤 효과가 있는 영업 방식입니다.
 이를 위해서 개인정보를 이용해서 이러한 기능을 수행하는 것을 목적으로 해킹하는 경우가
가장 많은 경우였습니다.


2. 개인 정보 - 사생활 추적
 다음으로 가장 문제가 되는 것은 바로 사생활 추적입니다. 많은 사이버 흥신소가
특정 상대방의 메일이나 주소록 정보를 확보하기 위해서 이러한 시도를 하는 것으로
확인이 되었습니다.
 본인의 동의를 거치지 않거나, 수사기관의 도움 없이 개인의 메일 계정에서 메일이나
주소록을 가져오는 행위는 매우 큰 불법 행위입니다. 이를 사용하는 행위도 당연히
불법적인 것에 해당을 하지요.
 사이버 흥신소는 자신들이 어떤 경로를 통해서 이러한 개인 정보-사생활을 확보했는지
당연히 밝히지 않지만 현재 대한민국 몇몇 포털과 서비스에서 유출된 정보라면
이메일의 암호를 파악하거나 유추해서 사용하는 것은 어려운 일이 아닙니다.
 개인정보를 파악하지 않은 것처럼 보이기 위해서 스팸메일을 발송하거나 불법
게시물을 올리는 행위를 함께 수행하는 듯 합니다.

 취합을 위해서 기본으로 사용해 온 것이 바로 '주민등록번호' 입니다. 주민등록번호를
통해서 자주 사용하는 아이디를 알게 되면, 몇몇 사이트는 주민등록번호 만으로 암호를
알려 주기 때문에 암호를 유사하게 사용하는 경향을 이용해서 다른 사이트도 확인을
하게 됩니다.
 기존에 유출된 개인정보를 취합해서 개인정보 조사 자료를 만들어서 활용합니다.
개인정보 조사를 위한 자료를 만들어서 판매하는 브로고커도 있으며, 해킹하는 쪽
입장에서도 이러한 자료가 있는 것과 없는 것의 차이는 매우 큽니다.


3. 이러한 해킹 시도를 법적으로 막을 수는 없나?
  완벽하게 막는 것은 불가능합니다. 하지만, 이러한 방법으로 해킹하는 사람을
찾아내서 법적으로 처벌함으로써 막아 나가는 것은 가능합니다.
 해당 타이밍에 취약서버에 접근한 중국서버에 접근하는 한국 내 IP 정보를 통해서
추적을 해 나가는 일입니다. 이러한 일은 현재 대한민국의 ISP가 크게는 3개 업체의
국제망을 통해서 연결되고 있기 때문입니다.
 취약 서버의 숫자를 줄여 나가는 것도 중요하지만, 서버 관리나 보안 컨설팅과
관련해서 업체들이 제대로 된 비용 지불을 할 용의가 없기 때문에 대부분의
웹 에이전시나 SI 회사에 이러한 역할을 기대하는 것은 무리가 있습니다.


 꽤 오래된 일인데 이제서야 글을 올리네요.

SNS 심의안에 대한 방송통신심의위원회의 답변!

 방송통신심의위원회에 SNS 심의안과 관련해서 헌법 위배 여부에 대한 검토 자료를 요청하는 민원을 제출하였습니다.
 해당 법률에 대해서만 검토하고 헌법 위배에 대해서는 검토하지 않았음을 보여주는 내용만을 보내 주었습니다. 그래서 다시 한법 위배 여부에 대한 검토 자료를 요청하는 민원을 제출하였습니다.
 헌법 위배 여부 조차 검토하지 않고 법률과 제도를 만들어 나간다면, 당연히 민주주의를 저해할수 있는 요소로 다분히 이용될 가치가 있다고 판단이 됩니다.

 해당 법률의 오류는 다음과 같습니다.

1.  SNS 대부분은 전체 공개 또는 부분 공개로 운영되고 있으나 개인의 사적인 공간으로 분류된다.
2.  사적인 공간에서 개인적으로 생각한 것을 쓰는 것에 대해서 현행법을 적용해서 이야기한다는 것은 개인적인 상상이나 창작 등도 하지 말라는 이야기와 같은 것이다.
3. 불법성이라고 표현하는데, 그것을 적발하거나 실제로 단속할 능력도 안되는 상황에서 강제적으로 법 적용을 하겠다는 것은 결과적으로 개인에게 이러한 요소를 부각시켜서 서비스 사용을 저해하겠다는 취지라 할 수 있다.

 헌법 위배 여부 검토 자료에 대해서 계속적인 요구를 할 예정입니다. 모든 법률은 헌법 위배 여부 검토를 해야 합니다.


----------------------------------------------------------------

안녕하십니까?

  방송통신심의위원회입니다.

  귀하께서 문의하신 사항에 대하여 다음과 같이 답변을 드립니다.

  저희 방송통신심의위원회는「방송통신위원회의 설치 및 운영에 관한 법률」제21조에 따라 방송프로그램 및 정보통신망(인터넷 및 모바일 등)을 통해 유통되는 정보에 대한 심의를 하고 있습니다.

「정보통신에 관한 심의규정」에 의거한 인터넷 상의 불법/유해정보 등에 대한 심의가 이루어지며,

「방송 심의에 관한 규정」에 의거하여 방송프로그램의 공공성, 공정성, 선정성 및 권익침해 등의 사항을 심의합니다.

  저희 위원회는 SNS(Social Network Service)를 통해 유통되는 ‘모든 정보’를 심의하는 것이 아니라, 방송통 신위원회설치법 제21조에 의거하여 △일반에게 공개되어 유통되는 정보 가운데 △정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 44조의7에 해당하는 ‘불법정보’ 및 ‘청소년유해정보’에 국한하여 심의하고 있습니다.

  즉, ‘공정성’과 ‘객관성’을 심의하는 ‘방송’과 달리 ‘불법성’이 명백하여 현행법이 그 유통을 금지하고 있는 정보만 심의대상으로 하고 있습니다.

  ※ 불법정보의 유형
△음란물, △허위사실 유포 명예훼손, △사이버스토킹, △해킹, △청소년보호법 위반, △사행행위, △국가보안법 위반 △각종 범죄를 목적으로 하거나 교사, 방조하는 내용

  만약 SNS를 통해 유통되는 정보가 ‘선거의 공정성을 훼손하는 내용’에 해당하더라도, 이에 대한 규제는 공직선거법 제82조의4에 따른 선거관리위원회의 직무이므로 우리 위원회의 심의대상에서 제외됩니다.


  기타 자세한 문의는 (국번없이) 1377로 전화주시기 바랍니다.