주민등록번호 대량 유출 사태와 보안 솔루션

2007.10.22

 

인터넷 보급율 세계 최고인 우리나라가 보안 문제로 몸살을 앓고 있다. 인터넷이 발전함에 따라 보안 문제도 함께 커진다는 점은 이미 상식이 될 만큼 보안에 대한 관심은 커 가고 있으나, 실제로 인터넷을 이용하여 사업을 하는 기업이나 그것을 이용하는 사용자 역시 관심에 걸맞은 보안을 마련해 놓고 있지는 못한 것 같다.

 

최근 온라인 게임에서의 보안 문제가 사회적으로 큰 이슈가 되었다. (아마도) 해커들이 관리가 소홀한 사이트의 데이터베이스를 해킹해 주민번호를 대규모로 유출시키고 그것을 악용하여 게임에 등록한 뒤 (아마도) 아이템을 판매하여 돈을 챙겼을 거라는 게 보안업계의 공통적인 시각이다. 이번 사태를 배경으로 하여 필자는 보안업계에 종사하는 한 사람으로서 보안 솔루션 측면에서 이러한 문제에 대처할 수 있는 방안은 어떤 게 있고, 어떤 장단점이 있는지 검토해 보려고 한다.

 

주민번호의 대량 유출을 막기 위해서 해당 데이터베이스를 보호하는 솔루션으로는 ‘데이터베이스 보안’ 제품이 있다. 이 데이터베이스 보안 제품은 크게 데이터베이스에 대한 접근을 통제하여 인증받고 권한이 있는 사용자만 해당 데이터베이스를 사용할 수 있게 함으로써 데이터베이스의 유출을 막는 제품(접근통제형 제품)과, 데이터베이스에 저장되는 내용을 암호화함으로써 이것이 유출되더라도 이를 악용하지 못하도록 하는 제품(데이터베이스 암호화 제품)으로 나눌 수 있다. 접근을 통제하는 제품 역시 패킷을 검사하여 처리하는 방식과 애플리케이션 수준에서 처리해 주는 방식으로 나눌 수 있는데, 각기 장단점이 있기 때문에 각 기업의 인프라와 정책 관점에서 어떤 방식이 적절한지 검토해야 할 것이다.

 

특히 요즘 SQL Injection 등을 이용해 웹을 통해 데이터베이스를 해킹하는 방식이 많이 활용되고 있기 때문에 데이터베이스를 보호하기 위해 웹 방화벽(Web Application Firewall)을 사용하기도 한다. 이것은 데이터베이스만을 보호하기 위한 것이 아니고, 대다수의 온라인 서비스가 웹을 통해 이뤄지는 현실에서 웹을 통한 다양한 해킹을 막을 수 있다는 점이 강점이다. 물론 웹 방화벽은 주로 외부에서 접근하는 시스템을 보호하기 위해 설치하고 있어서 기업 내부에서 웹을 통하지 않고 데이터베이스를 접근하는 경로를 보호하지 못하는 제한을 안고 있다.

 

또 다른 온라인 게임에서 일어 난 아이디 유출은 트로이 목마를 통한 것으로 알려져 있다. 이러한 해킹 방식은 작년에도 계속 있어 왔던 것인데, 이번에는 좀더 대규모인 데다가 해당 업체가 자체 제공하는 전용 보안 솔루션에서 이를 제대로 막지 못했다는 점에서 사용자들이 더 크게 반발하는 듯 하다. 기술적으로 보면, 이것은 게임이 해킹당한 것이 아니라, 그것을 이용하는 사용자의 PC가 어떤 경로를 통해 트로이 목마에 감염되었고, 그것을 통해 사용자의 계정이 도용당한 것이기 때문에 이 문제는 게임 이용자의 PC 보안 문제로 보는 것이 적절하다. PC 보안을 위해서는 백신(안티바이러스) 소프트웨어, 스파이웨어 제거(안티스파이웨어) 소프트웨어, 개인 방화벽, 키보드 보안 제품을 사용할 수 있는데, 요즘 온라인 게임업체나 인터넷 금융업체에서는 이들을 온라인 서비스(ASP)로 제공하기 때문에 이를 잘 활용하는 것이 보안의 한 대책이 될 수 있겠다. 하지만 PC의 성능과 기능이 엄청나게 발전하긴 했지만 근본적으로 안전하지 못한 데다가 거기서 작동하는 윈도 운영체제와 우리나라에서 90% 이상의 점유율을 자랑하고 있는 인터넷 익스플로러 역시 보안 취약점이 많기 때문에 사용자 개인이 스스로 안전을 지킨다는 생각으로 보안에 주의하는 것도 매우 중요하다고 하겠다. – 개인이 보안을 위해 어떠한 점에 주의해야 하는지는 이후 글에서 정리해 볼 계획이다.

 

온라인 게임에서는 일정한 등급이 되어야 아이템을 획득할 수 있다. 일부 게임 사용자들이 게임 핵(game hack)을 이용하는 이유다. 게임업체들은 이러한 게임 핵을 막기 위해 게임 보안 솔루션을 사용하고, 자체 보안 관제 체제나 보안 관제 업체에 위탁해서 게임의 운영 상태를 감시한다. 이 또한 창과 방패의 게임처럼 게임보안 솔루션을 피해 가는 게임 핵이 나오곤 한다. 온라인 게임은 야간에 즐기는 사람들이 많을 뿐 아니라 인터넷만 있으면 온라인 게임은 국경을 넘어 어디서나 접속할 수 있기 때문에 24시간 대응하는 게 주요한 이슈가 되었다. 24시간 365일 대응 개념은 백신업체나 보안관제 업체에게는 일상화된 방식인데, 이제는 게임보안 업체에서도 이러한 방식으로 대응해야 할 필요성이 증가할 것으로 보인다.

 

특히 최근 사태에서는 주민번호의 도용이 문제가 되었기 때문에 주민번호의 대체 수단에 대한 논의가 활발해 지고 있다. 이미 공인인증서, 가상 주민번호, 개인 ID 인증 등 다양한 방식이 제안되고 있는데, 이러한 대체 수단들은 주민번호를 직접 입력하지 않는다는 점에서 보안을 좀더 강화하는 장점이 있기는 하지만, 해당 대체 수단을 PC 오랫동안 저장한다면 이것들이 유출될 수기 때문에 대체 수단의 보안도 고려해야 할 것이다. 주민번호의 보호와 관련해서 주민번호를 통한 실명확인 시 신용평가기관과 협력하여 문자 서비스(SMS)로 본인에게 알려 주는 서비스도 있다. 이것은 주민번호를 보호하지는 못하지만, 주민번호의 도용 여부를 사용자에게 알려 줌으로써 대처할 수 있도록 해 준다. 하지만 좀더 원론적인 측면에서 본다면, 온라인 게임뿐 아니라 온라인 쇼핑, 포털 등 다양한 온라인 서비스에서 주민번호를 입력하게 하고 있는데, 주민번호가 반드시 필요한지 원점에서 재검토하는 것도 필요하리라 생각된다.

 

여기에 나열한 제품이나 서비스를 다 쓴다고 해서 온라인 서비스에서 개인 정보를 보호할 수 있는 것은 아니다. 이 제품들은 특정한 범위에서 특정한 수준의 공격을 막기 위한 것이기 때문이다. 지금도 돈이나 정보를 노리는 해커들은 보안의 취약점을 찾아 공격 방법을 준비하고 있어서, 온라인 서비스 제공 업체, 보안업체, 사용자, 정부 등이 지속적인 노력과 협업을 해야만 해킹을 사전에 막거나 피해를 최소화할 수 있다. 이 지점에서 “완벽한 보안은 없다”는 평범하지만 진리인 보안의 금언이 등장할 수밖에 없다. 보안업계에 몸담고 있으면서 늘 어렵게 느끼는 점이다.

          강은성 상무는 안철수연구소에서 사용자의 IT 자산을 지키는 보람과
          즐거움으로 일하고 있으며, 어린이들도 즐겁게 뛰놀 수 있는 안전하고
          편안한 인터넷 세상을 만드는 꿈을 갖고 있습니다.

출처 : 매경 인터넷 2006년 3월 3일