2011년 4월 15일

현대캐피탈, 농협 사태로 다시금 짚어보는 사회공학(social engineering)

얼마 전 현대캐피탈의 고객 정보를 빼돌려 수억 원의 돈을 요구한 사건이 있었습니다.

무려 42만명에 달하는 고객들의 주민등록번호, 휴대폰 번호 등의 개인정보가 유출됐고, 그 중 1만 3천명은 대출용 계좌번호와 비밀번호까지 유출된 것으로 알려지고 있습니다. 여전히 정확한 사태를 파악하지 못하고 있기 때문에 유출 범위는 더 커질 수 있다고 봅니다.

현대캐피탈과 현대카드의 CEO를 맡고 있는 정태영 사장은 근 몇 년간 회사의 실적을 크게 증대시켜 업계의 스타 CEO로 주목 받고 있었는데, 이번 일로 곤혹을 치르고 있습니다. 슈퍼콘서트, 슈퍼토크 등 마케팅과 이벤트에 치중하면서 정작 중요한 정보 보안에는 소홀했다는 얘기도 나오고 있습니다.

그런데 현대캐피탈 사건이 발생한 지 얼마 지나지 않아 농협 전산장애 사태가 터졌습니다. 수일 동안 아예 시스템이 다운되는 지경에 이르렀는데, 농협이 밝힌 바로는 그 원인이 가관입니다. 협력업체 직원의 노트북PC를 통해 275대 서버의 시스템 파일이 삭제되었다고 하는군요.

관련기사: [연합뉴스] 농협, 전산망 관리 총체적 부실 드러나

역시나 이러한 틈을 노려 농협 피싱 사이트도 등장하였습니다.

관련기사: [ZDNET] 감쪽같은 농협 피싱사이트

또한 언제나처럼 더욱 진화된 보이스 피싱도 등장하고 있는 상황이죠.

관련기사: [TV리포트] 농협 신종보이스피싱 '주의'

최근의 기사에 따르면, 시스템 파일뿐만 아니라 거래 내역까지 서버에서 삭제돼 수작업으로 데이터를 확인 중이라고 합니다. 정말 심하군요. 100% 완전 복구가 어려울 것이라는 얘기가 나오고 있습니다.

관련기사: [파이낸셜뉴스] 농협 ‘카드거래내역’ 손실..수작업 대조중

이번 사태의 원인이 서버의 시스템 파일 삭제라니 그런 일이 생겼다는 것도 놀랍지만, 재해복구 서버까지 피해를 입었다는 게 더욱 놀랍습니다. 재해복구 서버란 모든 피해 상황에서 바로 투입될 수 있어야 하기에 물리적인 공간, 접근 권한 등에 있어서 운영 서버와 분리해 안전하게 관리되어야 합니다.

이것은 보안 정책 수립 시 아주 기본적인 지침입니다. 운영 서버가 어떤 피해를 입을 때 재해복구 서버까지 영향을 받는다면 도대체 재해복구 서버를 왜 마련해 놓겠습니까? ㅠㅠ

이번 사태가 누구의 소행이고 어떤 목적으로 그랬는 지에 대해서도 의문이 증폭되고 있습니다. 이번 일은 농협 직원의 소행일까요? 아님 협력업체 직원의 소행일까요? 아님 외부 해커에 의해 협력업체 직원의 노트북PC가 이용당한 걸까요? 또는 악의에 의한 일이 아니라 작업 중 실수였을까요? 확실한 내용은 아직 밝혀지지 않고 있으므로 조사 결과가 나와봐야 할 거 같습니다. 어느 쪽이든 농협은 엄청난 책임을 져야 할 것입니다.

여담입니다만, 사실 IT 업계에서 농협은 여러모로 악명이 자자한 곳입니다. 농협정보시스템에 근무했던 한 개발자의 일이 꽤 이슈화된 적도 있었죠(이 글의 관련 링크를 보세요). 또한 농협은 많은 파견 개발자들이 절대 피해야 할 고객사 중 하나로 꼽는 곳이기도 합니다.

IT를 홀대한 기업이 IT로 크게 당한 걸까요? 이 점은 각자 생각해 보시고요.

본 글의 주제는 보안이니까 보안 관련 얘기를 하겠습니다. 제가 지금은 주로 기술과 비즈니스 전략에 집중하고 있지만, 예전에는 몇몇 벤처기업의 CTO로서 개발, 아키텍처, 보안 분야에 많은 관심을 갖고서 일했던 적이 있습니다.

그 당시 기술 발전에 따라 많은 보안 이슈가 발생할 것으로 예상했고, 예전에 칼럼 형태로 쓴 글이 있는데 지금도 여전히 유효하다는 생각에 다시금 소개해 봅니다.

엔지니어나 개발자가 아니더라도 보안 상식상 한번 읽어보시기 바랍니다. 첫 번째 글의 주제는 “보안은 사슬이다. 사슬의 가장 약한 고리만큼만 안전하다. 보안은 제품이 아니라 프로세스다.”입니다.

그리고 대부분의 상황에서 가장 약한 고리는 ‘사람’입니다. 2004년에 쓴 글인데 지금은 상황이 더 나빠져 있군요.

보안은 제품이 아닌 프로세스

두 번째 글은 ‘사회공학(social engineering)’에 대한 글입니다. 사회공학은 오래 전부터 보안 분야에서 쓰이고 있는 전문 용어입니다.

그런데 사회공학은 날이 갈수록 인간의 심리를 교묘하게 이용하는 방향으로 끊임없이 진화(?)하고 있습니다.

디지털 시대의 그림자, 사회공학

앞서 기사에 나온 농협 고객 대상의 신종 보이스피싱이 바로 사회공학의 대표적인 사례죠. 첫 번째 피싱 시도 직후 경찰을 사칭한 이가 전화를 함으로써 교묘하게 신뢰를 획득하고 있습니다.

사회공학의 기술은 나날이 발전하고 있습니다. 특히 블로그, 트위터, 페이스북과 같은 소셜미디어가 대중화되면서 개인정보를 획득하기가 점점 쉬워지고 있고, 그런 개인정보를 이용해 피싱을 하는 일도 생기고 있습니다. 하단은 작년에 트위터에서 이슈가 된 사건입니다.

소셜미디어를 이용한 보이스피싱 사례와 예방법

아무리 IT 기반의 보안 시스템을 막강하게 갖추어 놓는다고 하더라도 인간의 취약한 심리를 공략하면 보안 시스템은 무용지물이 될 수 있습니다. 이 말은 기술적 통제와 물리적 통제가 중요하지 않다는 뜻이 아닙니다. 아주 중요합니다. 하지만 그것은 관리 통제, 즉 사람이라는 취약한 요소를 반영한 보안 프로세스와 교육이 함께 할 때 비로소 제 역할을 한다는 뜻입니다.

정부기관과 기업들은 이번 사태를 통해 보안 정책을 새롭게 수립하길 바랍니다. 기술이나 제품의 도입도 중요하지만, 더 중요한 건 사람입니다. 이번 일을 계기로 초/중/고/대학교에서는 이 시대에 필요한 성숙한 시민 의식의 하나로서 보안 교육을 의무화하고, 성인을 대상으로도 기업 또는 지자체 등에서 보안 교육을 정기적으로 했으면 좋겠습니다(성희롱 예방 교육처럼 말이죠).

소프트웨어의 버그나 보안 취약점은 발견 즉시 신속하게 패치를 하면 되지만, 인간의 어리석음에는 패치가 없습니다. 오로지 사전 교육만이 유효할 뿐입니다.

디지털 세상을 살아가는 한 사람의 인간으로서 알아야 할 최소한의 보안 기술과 사회공학에 대한 대처법을 보급하는 것만으로도 상당한 사회적/개인적 비용을 절감할 수 있다고 생각합니다.

지금 당장, 작은 실천을 할 수 있습니다. 혹시 여러분의 가족이나 친구가 보안 지식이 부족하다고 생각된다면, 이 글을 전달하는 것도 하나의 방법이 될 거에요.

이 글의 링크는
http://bobbyryu.blogspot.com/2011/04/social-engineering.html 입니다.

댓글 1개:

바비(Bobby) :

결국, 카드결제 원장까지 훼손된 것으로 밝혀지는 상황이네요. http://bit.ly/fNTCkv

댓글 쓰기

댓글을 환영합니다.

스팸으로 인해 모든 댓글은 운영자의 승인 후 등록됩니다. 스팸, 욕설은 등록이 거부됩니다. 구글의 블로그 시스템은 트랙백을 지원하지 않습니다.