2011년 4월 28일

카카오톡 칼럼의 후기와 에피소드

칼럼 원문: [ZDNET] 카카오톡이 맞이한 위기와 기회

ZDNET에는 댓글이 안 달리기에, 네이버 뉴스의 글로 링크를 걸었습니다. 오랜만에 ZDNET에 글을 썼습니다. 글은 사이트에 어제 올라왔는데 제가 계속 지방에 있어서 확인을 못했네요.

이미 볼 분들은 다 보시고 안 볼 분들은 어차피 안보시겠지만 ^^, 블로그에도 남겨 봅니다. 제가 트위터, 페이스북도 합니다만, 그래도 제 근거지(아지트)는 블로그이니까요. 저는 사실, 느슨하게 연결되는 블로그가 좋아요. 휘발성도 덜 하고, 라이프 로그로서의 의미도 있고요.

이번 주제와도 관련이 있어 조금 더 언급하면, 저는 개인적으로 실시간을 별로 좋아하지 않아요. 소셜 미디어에 대한 제 개인적 선호도를 나열해보면, ‘블로그 > 페이스북 > 트위터 > 메신저’랄까요. 맞아요. 실시간 커뮤니케이션일 수록 덜 좋아하죠.

그렇지만 그건 개인적인 기호이고, 연구하고 장단점을 발견하려면 대중적 시각이 필요하니까 적절한 선에서 피로감이 없는 정도로 이용하고 있답니다.

카카오톡과 관련된 작은 에피소드가 있어요. 얼마 전 대학로에서 연극을 보았는데(1시간 30분 정도의 공연이었어요), 제 옆옆자리에 앉은 여성관객(A라고 할게요)이 연극을 보면서 계속 카카오톡을 하더군요.

생각해보세요. 깜깜한 극장에서 스마트폰 LCD 화면은 거의 전등 수준이잖아요! 꽤 거슬렸는데(당연히 배우들도 그랬을 거에요), 제가 소심해서 아무 말도 못했어요. ㅠㅠ

여성관객 A는 일행과 같이 있었는데, 공연이 끝나고 좌석에서 일어날 때 일행 중 한 명으로 보이는 다른 여성관객 B가 외치더군요(B는 스마트폰을 꺼놓고 있었나 봐요).

“카카오톡에 메시지 170개 와있어!”

한 시간 반 동안 170개라. 왜 카카오톡의 일일 메시지 교환 건수가 2억 건에 달하는지 이해가 되는 순간이었습니다.

스마트폰 소지자들은 대부분 카카오톡 이용자들이고, 위의 여성관객 A처럼 중독 수준인 사람들도 꽤 많죠. 결과적으로 충성도가 아주 높은 서비스인 게 사실입니다.

다만, 현재 수익 모델이라고는 기프티콘 정도인데 매출 대비 실제 수익(수수료)이 미약한데다가, 또한 최근에 애플이 자사의 결제방식과 맞지 않는다며 빼라고 했다네요. 하지만 카카오(회사명)는 돈이 많은 회사이니 돈이 벌릴 때까지 버틸 수 있겠죠.

현재 카카오톡의 앞길에 놓인 성공의 장애요인들이 많습니다만, 큰 기회도 열려있어 앞으로 계속 두 눈 크게 뜨고 지켜봐야 할 서비스인 게 사실입니다. 창업자와 임직원들이 현재의 챌린지를 꽤 즐기고 있을 거 같아요. ^^

끝으로, 칼럼에서는 지면의 한계상 언급하지 않았는데요. 카카오의 이사회 의장 김범수님이 정말 대단하기는 대단합니다. 이건 단순히 한게임에 이어 카카오톡을 히트시켰기에 하는 얘기가 아니고요.

현 카카오의 전신인 아이위랩은 사실 2007년에 설립된 회사입니다. 그리고 카카오톡 나오기 전 3년 동안 출시한 서비스나 인수한 회사 등이 거의 성과를 내지 못했거든요. 업계 관계자들이 보기에 “왜 이런 서비스를 하나?” 싶은 것도 있었고요.

그런데 여기에서 중요한 건 바로 “뭘 하든 3년은 해야 한다”는 교훈입니다. 많은 대기업, 벤처들이 조금 해보고 안 되면 포기하는 경우가 많은데, 김범수님은 성과도 안 나오는데 꾸준히 트라이 한 겁니다. 그리고 결국 가시적인 성과를 만들어내기 시작하죠.

함께 기억해요. 김범수님 조차도 카카오톡 만들기 전에 3년 동안 시행착오를 거쳤다는 사실 말이에요. (물론, 돈이 있어야 버틸 수 있다는 사실도 덤으로 기억해야겠죠. ^^)

2011년 4월 15일

현대캐피탈, 농협 사태로 다시금 짚어보는 사회공학(social engineering)

얼마 전 현대캐피탈의 고객 정보를 빼돌려 수억 원의 돈을 요구한 사건이 있었습니다.

무려 42만명에 달하는 고객들의 주민등록번호, 휴대폰 번호 등의 개인정보가 유출됐고, 그 중 1만 3천명은 대출용 계좌번호와 비밀번호까지 유출된 것으로 알려지고 있습니다. 여전히 정확한 사태를 파악하지 못하고 있기 때문에 유출 범위는 더 커질 수 있다고 봅니다.

현대캐피탈과 현대카드의 CEO를 맡고 있는 정태영 사장은 근 몇 년간 회사의 실적을 크게 증대시켜 업계의 스타 CEO로 주목 받고 있었는데, 이번 일로 곤혹을 치르고 있습니다. 슈퍼콘서트, 슈퍼토크 등 마케팅과 이벤트에 치중하면서 정작 중요한 정보 보안에는 소홀했다는 얘기도 나오고 있습니다.

그런데 현대캐피탈 사건이 발생한 지 얼마 지나지 않아 농협 전산장애 사태가 터졌습니다. 수일 동안 아예 시스템이 다운되는 지경에 이르렀는데, 농협이 밝힌 바로는 그 원인이 가관입니다. 협력업체 직원의 노트북PC를 통해 275대 서버의 시스템 파일이 삭제되었다고 하는군요.

관련기사: [연합뉴스] 농협, 전산망 관리 총체적 부실 드러나

역시나 이러한 틈을 노려 농협 피싱 사이트도 등장하였습니다.

관련기사: [ZDNET] 감쪽같은 농협 피싱사이트

또한 언제나처럼 더욱 진화된 보이스 피싱도 등장하고 있는 상황이죠.

관련기사: [TV리포트] 농협 신종보이스피싱 '주의'

최근의 기사에 따르면, 시스템 파일뿐만 아니라 거래 내역까지 서버에서 삭제돼 수작업으로 데이터를 확인 중이라고 합니다. 정말 심하군요. 100% 완전 복구가 어려울 것이라는 얘기가 나오고 있습니다.

관련기사: [파이낸셜뉴스] 농협 ‘카드거래내역’ 손실..수작업 대조중

이번 사태의 원인이 서버의 시스템 파일 삭제라니 그런 일이 생겼다는 것도 놀랍지만, 재해복구 서버까지 피해를 입었다는 게 더욱 놀랍습니다. 재해복구 서버란 모든 피해 상황에서 바로 투입될 수 있어야 하기에 물리적인 공간, 접근 권한 등에 있어서 운영 서버와 분리해 안전하게 관리되어야 합니다.

이것은 보안 정책 수립 시 아주 기본적인 지침입니다. 운영 서버가 어떤 피해를 입을 때 재해복구 서버까지 영향을 받는다면 도대체 재해복구 서버를 왜 마련해 놓겠습니까? ㅠㅠ

이번 사태가 누구의 소행이고 어떤 목적으로 그랬는 지에 대해서도 의문이 증폭되고 있습니다. 이번 일은 농협 직원의 소행일까요? 아님 협력업체 직원의 소행일까요? 아님 외부 해커에 의해 협력업체 직원의 노트북PC가 이용당한 걸까요? 또는 악의에 의한 일이 아니라 작업 중 실수였을까요? 확실한 내용은 아직 밝혀지지 않고 있으므로 조사 결과가 나와봐야 할 거 같습니다. 어느 쪽이든 농협은 엄청난 책임을 져야 할 것입니다.

여담입니다만, 사실 IT 업계에서 농협은 여러모로 악명이 자자한 곳입니다. 농협정보시스템에 근무했던 한 개발자의 일이 꽤 이슈화된 적도 있었죠(이 글의 관련 링크를 보세요). 또한 농협은 많은 파견 개발자들이 절대 피해야 할 고객사 중 하나로 꼽는 곳이기도 합니다.

IT를 홀대한 기업이 IT로 크게 당한 걸까요? 이 점은 각자 생각해 보시고요.

본 글의 주제는 보안이니까 보안 관련 얘기를 하겠습니다. 제가 지금은 주로 기술과 비즈니스 전략에 집중하고 있지만, 예전에는 몇몇 벤처기업의 CTO로서 개발, 아키텍처, 보안 분야에 많은 관심을 갖고서 일했던 적이 있습니다.

그 당시 기술 발전에 따라 많은 보안 이슈가 발생할 것으로 예상했고, 예전에 칼럼 형태로 쓴 글이 있는데 지금도 여전히 유효하다는 생각에 다시금 소개해 봅니다.

엔지니어나 개발자가 아니더라도 보안 상식상 한번 읽어보시기 바랍니다. 첫 번째 글의 주제는 “보안은 사슬이다. 사슬의 가장 약한 고리만큼만 안전하다. 보안은 제품이 아니라 프로세스다.”입니다.

그리고 대부분의 상황에서 가장 약한 고리는 ‘사람’입니다. 2004년에 쓴 글인데 지금은 상황이 더 나빠져 있군요.

보안은 제품이 아닌 프로세스

두 번째 글은 ‘사회공학(social engineering)’에 대한 글입니다. 사회공학은 오래 전부터 보안 분야에서 쓰이고 있는 전문 용어입니다.

그런데 사회공학은 날이 갈수록 인간의 심리를 교묘하게 이용하는 방향으로 끊임없이 진화(?)하고 있습니다.

디지털 시대의 그림자, 사회공학

앞서 기사에 나온 농협 고객 대상의 신종 보이스피싱이 바로 사회공학의 대표적인 사례죠. 첫 번째 피싱 시도 직후 경찰을 사칭한 이가 전화를 함으로써 교묘하게 신뢰를 획득하고 있습니다.

사회공학의 기술은 나날이 발전하고 있습니다. 특히 블로그, 트위터, 페이스북과 같은 소셜미디어가 대중화되면서 개인정보를 획득하기가 점점 쉬워지고 있고, 그런 개인정보를 이용해 피싱을 하는 일도 생기고 있습니다. 하단은 작년에 트위터에서 이슈가 된 사건입니다.

소셜미디어를 이용한 보이스피싱 사례와 예방법

아무리 IT 기반의 보안 시스템을 막강하게 갖추어 놓는다고 하더라도 인간의 취약한 심리를 공략하면 보안 시스템은 무용지물이 될 수 있습니다. 이 말은 기술적 통제와 물리적 통제가 중요하지 않다는 뜻이 아닙니다. 아주 중요합니다. 하지만 그것은 관리 통제, 즉 사람이라는 취약한 요소를 반영한 보안 프로세스와 교육이 함께 할 때 비로소 제 역할을 한다는 뜻입니다.

정부기관과 기업들은 이번 사태를 통해 보안 정책을 새롭게 수립하길 바랍니다. 기술이나 제품의 도입도 중요하지만, 더 중요한 건 사람입니다. 이번 일을 계기로 초/중/고/대학교에서는 이 시대에 필요한 성숙한 시민 의식의 하나로서 보안 교육을 의무화하고, 성인을 대상으로도 기업 또는 지자체 등에서 보안 교육을 정기적으로 했으면 좋겠습니다(성희롱 예방 교육처럼 말이죠).

소프트웨어의 버그나 보안 취약점은 발견 즉시 신속하게 패치를 하면 되지만, 인간의 어리석음에는 패치가 없습니다. 오로지 사전 교육만이 유효할 뿐입니다.

디지털 세상을 살아가는 한 사람의 인간으로서 알아야 할 최소한의 보안 기술과 사회공학에 대한 대처법을 보급하는 것만으로도 상당한 사회적/개인적 비용을 절감할 수 있다고 생각합니다.

지금 당장, 작은 실천을 할 수 있습니다. 혹시 여러분의 가족이나 친구가 보안 지식이 부족하다고 생각된다면, 이 글을 전달하는 것도 하나의 방법이 될 거에요.

이 글의 링크는
http://bobbyryu.blogspot.com/2011/04/social-engineering.html 입니다.