'보안'에도 뒷좌석 안전벨트가 필요한 이유?

2011.05.14

 

 올해 4월1일부터 자동차 관련 제도 중 바뀌는 것 하나가 뒷좌석 안전벨트이다. 자동차만 전용으로 다닐 수 있는 최고 속도 90Km/h 인 자동차 전용도로에서도 뒷좌석에 안전벨트를 매야 하며, 매지 않은 경우 3만원의 과태료가 부과된다고 한다. 자동차 전용도로에서도 고속도로 만큼의 위험성이 높아졌기 때문인데, 이 글을 보는 독자분들도 뒷좌석 안전벨트를 잊지 않기를 바란다.

 

그런데 보안컬럼에 왠 자동차 안전벨트 이야기일까?
최근 국내에서 벌어진 현대캐피탈, 농협사태 그리고 해외에서도 역시나 많이 발생하고 있는 개인정보 유출 및 해킹 이슈가 큰 화제이다. 이런 보안 관련 사건/사고를 바라보다 보니 4월부터 시작한다는 자동차 뒷좌석 안전벨트 의무화가 생각이 났다. 요지는 이렇다. 자동차 뒷좌석뿐 아니라 우리가 흔히 말하는 이 '보안' 이라는 것에도 안전벨트가 필요하다는 것이다.

 

서비스를 구현하고 운영할 때 기본적으로 보안은 고려하고 시작하기 마련이다. 방화벽, 안티바이러스 프로그램, 침입탐지 시스템, 보안정책 등이 바로 그것이다. 기본적으로 고려되고 있는 이런 시스템이 자동차 앞 좌석에 안전벨트를 맨 것과 같이 느껴진다. 그런데, 최근 발생하는 보안적 이슈가 이런 기본적인 문제 발생원인보다도 내부자 소행, 외부 협력업체 관리자, 내부 관계자를 대상으로 한 소셜엔지니어링 기법, 이동매체와 같은 외부 디바이스, 내부 데이터의 일부 외주 관리 등에 의한 문제로 인해 더욱 커지고 있다는 것이다. 바로 이런 부분들이 자동차 뒷좌석과 같다. 이러한 이유로 뒷좌석의 안전벨트가 보안에도 적용되어야 하고 다시 한번 점검을 해 볼 수 있는 계기가 마련되어야 한다고 생각한다.

 

앞에서는 다양한 솔루션을 통해 침입을 차단하고 있지만, 오히려 보안에서 보면 뒷좌석에 앉아 있는 이런 이슈들이 문제로 더욱 크게 떠오를 수 있기 때문이다. 보안은 단지 어느 특정 부분, 통로가 될 수 있는 대표적인 부분만 제대로 차단한다고 되는 것도 아니다. 쉽게 지나칠 수 있는 작은 한 곳을 통해 문제가 더욱 커질 수 있다.

 

이번, 현대캐피탈과 농협사태를 보면 우리나라 보안이 안전할까 하고 의구심을 가질 수 있겠지만 이런 문제는 비단 국내만의 문제가 아니다. 최근에 필자가 접한 해외 유명사이트의 침해 및 개인정보 유출 사고가 꽤나 크게 발생하고 있다는 것이다. 오늘은 이 사이트였는데, 다음날 기사를 보니 또 다른 유명 사이트가 기사에 오르내리는 걸 보면 이런 정보유출이 참 심각하다는 것을 다시 한번 크게 느끼게 만들었다. 필자가 보았던 최근 사례를 한번 아래와 같이 정리해 보았다.

 

 

사고발생	사이트	설명
2011년3월	MySQL.com	오픈소스 DB 로 유명한 MySQL 의 멤버,직원 이메일 주소, 아이디, 패스워드등이 유출되어 웹에 공개됨
2011년3월	Play.com	Play.com은 영국에서 규모가 큰 DVD, CD, 책, 전자제품 소매점으로, 마케팅 파트너인 Silverpop 에서 고객 이름과 이메일 주소가 유출됨
2011년3월	TripAdvisor.com	TripAdvisor 는 여행 사이트로 고객의 이메일 주소가 유출되었으며, 얼마나 유출되었는지는 알려져 있지 않다. 다만, 이 사이트에 가입되어 있는 사용자수는 약 2천만명에 이른다고 한다.
2011년4월	Epsilon	온라인 마케팅 업체로 은행부터 소매점, 호텔, 통신에 이르기까지 규모가 큰 업체를 고객으로 가지고 있다. 이름과 이메일 주소등이 제한적으로 유출되었다고 한다. 미국내 가장 큰 무선전화 사업자인 Verizon 도 Epsilon 의 고객이다.
2011년3월	전기전자협회(IEEE)	IEEE 멤버 828 명의 정보가 유출되었다. 이름, 신용카드 번호, 만기일, 사회보장번호 등이며, 실제 이 사고는 2010년11월 확인되었으나, 수사 관계로 언론에 알려진 것은 2011년 3월이다.
2011년1월	혼다	혼다 미국법인의 DB 정보 유출로 이름, 이메일 주소, VIN(Vehicle Identification Numbers) 220 만개의 정보가 유출됨
2011년4월	유럽우주국(ESA)	ESA 의 FTP 시스템에 침입해 정보를 빼내감. 200명 이상의 아이디, 패스워드 그리고 이메일 주소, 서버 로그등이 유출되었다. 유출된 아이디, 패스워드 정보가 웹에 공개되었다.
2011년4월	소니 플레이스테이션 네트워크	해커의 공격으로 플레이스테이션 네트워크가 1주일 넘게 복구되지 못했으며, 약 7700 만명에 이르는 개인정보가 유출된 것으로 알려지고 있다. 유출된 정보는 이름, 주소, 국가, 이메일주소, 플레이스테이션/큐리오시티 계정,패스워드 그리고 플레이스테이션 네트워크 아이디 이다.

 

 

[그림] 인터넷에 공개된 유럽우주국의 유출된 정보 일부

 

작지 않은 규모의 기업 또는 기관들인데도 해킹에 의해 정보가 유출된 것이다. 이중, Play.com 은 이메일 마케팅 업체인 Silverpop 에 의해 정보가 유출되었고, Epsilon 또한 이런 마케팅 업체이다. 업체들이 마케팅을 위해 일부 고객 정보를 업체와 공유하였고, 마케팅 업체의 정보가 유출되면서 해당 기업의 고객이 피해를 받게 된 것이다. 전형적으로 필자가 이번 컬럼에서 말하고자 하는 부분이기도 하다. 일상 진행되던 보안의 영역이 큰 부분에만 집중되다 보니, 앞에서 언급한 자동차 뒷좌석과 같은 부분에는 신경이 덜 간 것이다.

자동차에만 안전벨트를 할 것이 아니라, 보안에도 안전벨트를 반드시 해야 하는 이유이며 꼭 해야 하는 필수보안의 범위를 넘어서 더 넓은 관점에서 보안을 들여다 보아야 할 것이다. 그리고, 안전벨트가 왜 그렇게 중요한지는 보안을 관리하는 담당자부터 직원, 관리자 등 모두가 알 것이다. 안전벨트, 이제는 구속에 의해 해야 하는 것이 아니라 스스로가 해야 하는 것이다. 차량에서의 안전벨트는 탑승자의 생명을 보호하기 위함이지만, 보안에서의 안전벨트는 회사의 자산과 고객의 정보까지 안전하게 지키기 위함을 잊지 말아야 한다.

 

 정관진시큐리티 분석가 필자의 다른 글 보기  

 현재 안철수연구소의 시큐리티대응센터에서 취약점, 악성코드 및 네트워크 위협 분석을 담당하고 있다. 안철수연구소의 “안랩 칼럼니스트”뿐만 아니라, 다수의 보안 강연 및 컬럼니스트로 활동하고 있다. 특히 오픈소스(Open Source)에 많은 관심을 가지고 있어 아파치 웹 서버의 정보를 제공하는 아파치사용자그룹(http://www.apache-kr.org) 사이트를 운영하고 있다.

보안정보의 저작권은 저자 및 ㈜안철수연구소에 있으므로 무단 도용 및 배포를 금합니다.