양파맨의 겨울나기

오늘 메일을 확인하는데, "타인의 명의도용시도 차단 알림메일" 이 두 통 왔다.


실명인증을 차단해주는 서비스를 유료로 이용하고 있다. 요즘같은 시대에는 이런게 하나쯤 필요하다고 생각하여 꾸준히 사용중이다. 효과가 어느정도 되는지는 모르겠다.

이 메일을 보자마자 든 생각은, '암호화된 네이트 주민번호가 복호화 됐군.' 이었다. (물론 다른 경로로 유출된 민번이 정말 우연찮게도 갑자기 오늘 사용되었을 수도 있지만)

미투데이에 관련 글을 올렸더니 비번 푸는데 30초가 걸렸다고 하는 뉴스가 나왔다고 한다.
어떤 내용인지 예상은 가지만 그래도 한번 찾아봤다.

링크 : http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1000960683

요약하자면 SBS에서는 brute force 방식의 강제 대입식으로 비밀번호를 추출해낸 것이었다. 네이트의 정확한 암호화방식은 모르는 듯 하고 그냥 시청율을 위한 쇼라고 생각되지만 그나마 사람들에게 이번 사태의 위험성을 알리는데 일조했다고 생각하기에 까지는 않겠다.

웃긴건 뉴스 중간에 보안최고책임자라는 사람이 하는 말이다.

[강은성/SK커뮤니케이션즈 보안담당 이사 : 현재 기술로 보았을 때 이것은 안전합니다.]

이해는 한다. 정보를 주면 줄 수록 크래커에게도 힌트를 주는 것이니까. 하지만 현재 기술로 보았을 때, 안전한 영역은 없다. 털린쪽에서 안전하고 싶을 뿐이겠지.

개인정보 유출에서 최대 쟁점은 두가지 이다. 비밀번호와 주민등록번호.

주민번호야 여러가지 부서에서 사용해야 하기 때문에 복호화가 가능한 양방향 암호화를 했을 것이고, 비밀번호는 단방향 암호화를 사용했을 것 이다.

양방향이면 암호화 방식과 암호화에 사용된 key만 찾으면 풀 수 있다는 소리이다. 이미 언론등을 통해서 네이트가 주민번호에 128비트의 AES 암호화를 사용했다고 알려졌다. 게다가 주민번호는 숫자로만 구성되어 있다. 여기서 중요한건 AES 알고리즘으로 만들어진 문자열을 해독할 수 있는 iv와 key 가 함께 노출되었는가 아닌가인데, 노출되었을 가능성이 적다고 해도 안심할 수 없다. 운이 좋으면 짧은 시간내에 복호화가 가능하기 때문이다.

누가 주도하든 자꾸만 비밀번호 쪽으로만 이슈를 몰아가는것 같아 안타깝다. 바꾸면 그만인 비밀번호 보다는 바꿀 수도 없는 주민번호가 더 문제라고 생각된다. 대한민국 웹서비스의 대부분에는 아이디/비밀번호찾기 서비스가 있기 때문이다.

이름과 주민번호만 알 수 있다면 웬만한 사이트의 비밀번호 또는 비밀번호 변경권을 손쉽게 얻어낼 수 있고, 아이디를 다르게 사용하는 사용자의 아이디도 노출되게 된다. 크래커들도 바보가 아닌 이상 얻기 어려운 곳에 투자 하기 보다는 좀 더 똑똑한 방식을 통해서 자신들이 원하는 것을 얻어낼 것이다.

안타깝다. 언론과 SK컴즈 모두 올바른 시각으로, 올바른 방향으로 문제를 해결하려는 모습을 보여줬으면 좋겠다. 옥션도 잘 넘겼고 심지어는 우리 돈과 가장 밀접한 연관이 있는 농협조차 은근슬쩍 잘 넘어갔는데 네이트라고 다르겠냐만. 

여유가 없는 삶을 살다보면, 생활의 많은 것을 포기하게 된다. 자신이 쥐고 있는 것 들을 일열로 나열한 뒤 가장 중요도가 낮다고 생각하는 것 부터 하나하나 버리게 되는데, 물론 순서는 각자의 기준에 따라 바뀐다.

웹서비스를 개발하는 것도 마찬가지이다. 서비스 구상과 아이디어 회의를 하고, 기획안을 작성하고, 디자인을 하고, 개발을 하는데, 모두 다른 각각의 역할에서 한가지 공통점이 있다면 그것은 바로 언제나, 늘 시간이 부족 하다는 것이다.
이렇게 여유가 없는 프로젝트를 진행하다 보면 마찬가지로 프로젝트의 많은 것을 포기하게, 아니 포기해야 된다. 다른 부분은 차치하고라도 개발의 경우는 이런 현상이 꽤 심하다. 

여유 없는 상황에서 개발하는 과정 역시 여유 없는 삶을 사는 것과 마찬가지로 몇가지 것들을 버리게 되는데, (좋지 않은 현상이지만)한가지 다른점이 있다면 최우선순위에 해당하는 몇몇 개를 제외하고는 우선순위에 크게 구애받지 않는 다는 것이다.

어떻게 보면 최우선순위에 속하지만, 우선순위에 크게 구애받지 않는 유력한 후보 중 하나가 바로 보안이다. 이것은 하기 싫어서, 또는 중요하지 않아서 하지 않는다기보다는 예측불가능한 상황이 벌어지고, 자신이 아는 만큼은 했다고 생각하기 때문에 오랜 시간을 투자하지 못하는 것이다.

모든 상황을 예측할 수 없기 때문에 더욱 불안해 지지만, 시간에 쫓기다보면 이런 불안감은 곧 놀이터에 버려진 고양이처럼 방치된다. "에이, 괜찮겠지" 와 같은 생각과 함께.

(오래전부터 있어왔지만) 얼마전 크게 뉴스화 된 큰 쇼핑몰의 개인정보 유출과 같은 사건도 바로 이런 점에서 시작했다고 봐도 과장이 아닐 것이다. 수많은 웹사이트가 죽순처럼 생겨나는데, 보안을 신경쓰는 웹페이지는 얼마 많지 않다.

옥X의 경우 개인정보를 빼내는데, 꽤 힘든 작업과정을 거쳤겠지만, 일반적으로는 현란한 고급 해킹기술이 필요한 것도 아니다. 검색엔진 하나만으로도 얼굴도 모르는 사람의 개인정보를 정말 쉽게 획득할 수 있다.( 참조 : 구글해킹, 에이콘 )

이러한 현상을 최소화 하기 위해서 웹개발자를 비롯한 프론트엔드 개발자들은 특히 이런 보안에 대해 끊임없는 학습을 해야만 한다.

이 책을 소개하기 위해 좀 돌아왔는데, PHP 개발자를 위한 꽤 괜찮은 서적이 출간되었다. PHP보안, (한빛미디어, 2006) 이라는 이름의 책인데, 공격패턴을 소개하고 그에 대한 방어책을 제시해준다.

 주요 이슈로는
XSS 방어,
URL 공격방어,
SQL 삽입공격,
세션 공격방어

가 있는데, 적어도 책에서 설명하고 있는 부분들만 신경쓴다면, 최소한의 보안은 검증된다고 할 수 있겠다.

물론 이 외에 수 없이 많은 패턴이 존재하고, 전혀 생각지도 못한 방법으로 해킹에 성공한다. 

마치 좀 더 강한 금속을 찾아내어 방어구를 만드는 것 처럼 한걸음 한걸음 나아가다 보면, (한동안) 뚫을 수 없는 방패를 만드는 것도 가능하지 않을까?