우키의 보안이야기

▶ 사건발생:  국민은행 인터넷 뱅킹, 바이러스에 의해 뚫리다.
KBS뉴스 보도에 따르면 국민은행의 인터넷 뱅킹 이용자들이 해킹피해를 입어서  7천만원을 불법인출 당했다고 합니다. 
http://news.kbs.co.kr/article/economic/200802/20080224/1515188.html

지금까지 개인의 금융정보가 유출된 것으로 확인된 피해자는 12명이고 , 이 가운데 4명의 인터넷 뱅킹 계좌에서 모두 7천만 원이 인출된 것으로 파악되었습니다.  해킹피해자중 한명인 배두열씨는 하루아침에  1,700만원이라는 돈이 통장에서 불법인출된것을 발견하였습니다.  경찰에 바로 신고했지만 수십군데의 대포통장으로 불법인출된 돈은 이미 사라진 뒤였습니다.

  인터넷 포털 사이트를 통해 바이러스를 퍼뜨린 해커가 보안카드의 정보를 모아 조직적인 예금 인출을 시도하고 있는 것으로 보고 있습니다.  중국에 있는 IP 주소의 해킹 용의자들은 멀드롭 형태의 바이러스에 감염된 국내 PC의 정보를 외국에 있는 서버로 자동 전송시키는 방법으로 예금 인출에 필요한 정보를 얻어왔던 것으로 전해졌습니다.

▶ 멀드롭 형태의 바이러스 기승
  멀드롭(Trojan.MulDrop.80):  이 바이러스에  감염되면 원격제어 도구(RAT)의 한 종류인 해킹 프로그램 서버가 사용자 PC에 설치되고, IP주소, 컴퓨터 이름 등이 제작자 이메일로 전송됩니다.  악성코드를 제작한 해커는 실행중인 프로세스나 프로그램 관리, 화면 캡처 등을 마음대로 할 수 있고  감염된 시스템을 완벽히 장악하게 됩니다.  심지어 키보드 해킹기능(키로깅)을 통해 이용자가 키보드에 입력하는 주민등록번호나 게임 아이디, 비밀번호 등의 개인정보도 몰래 빼갈 수 있습니다.

 이런 바이러스들은 인터넷 게시판, P2P 프로그램을 통해 정상 파일로 가장해 배포되거나 제작자가 직접 이메일을 보내는 형식으로 전파되고 있는것으로 보입니다.

▶ 어떻게 해야 안전해 질까요?
 인터넷뱅킹의 경우  접속시 해킹소프트웨어를 검사하기도하고 사이트에 따라서는 OTP까지 사용하여 인증의 수준을 높이고는 있지만  여전히 취약점은 존재하고 이번 국민은행 인터넷뱅킹 사고같은 일이 일어나게 됩니다.  사실 국민은행만의 문제는 아니라고 보여집니다.  다른 은행도 얼마든지 겪을수있는 사고라고 할수있다는 사건의 심각성이 있습니다. 

비지니스뿐 아니라 일상의 사회생활들이  IT에 점점 의존해가는 이 시점에 있어서  보안은 더이상 다른 사람의 일은 아닌듯합니다. 컴퓨터앞에 앉아있는 모든 사람이 각자가 책임감을 가지고 자신의 정보를 지키지 않으면  안되는 세상이 코앞에 다가와 있는 것입니다.  많이들 경험하듯 백신이 결코 바이러스를 다 막아줄수 없다는 것이 이미 기정 사실화 된 지금.. 

이젠 컴퓨터 자원의 변화관리를 해야 할것 같습니다. 인터넷을 할때 어떤 프로그램이 설치되고 있는지 분명히 알필요가 있습니다. 아무 생각없이 무심결에 OK를 클릭하고 있는 당신은 분명 해커의 좋은 먹이감일것 입니다.  회사 PC이든  가정에서 사용하는 개인 PC이든  정말 잘 관리해야 할듯 합니다.

▶ 안전해지기 위한 습관
1. 불필요한 인터넷 사이트를 최대한 가지 않는다.
   (인터넷사이트에 접속만 해도 바이러스에 걸리게 되는 경우도 있습니다.)
2. 항상 보안패치를 최신으로 유지합니다. (특히 인터넷 브라우저는 최신 버전)
3. ActiveX설치를 요구할때 메시지를 잘 확인합니다.  일단 No하세요.. 
    정말 꼭 필요한게 아니면 설치하지 마세요.. 불필요하거나 해로운 것도 많습니다.
4. 일반 인터넷 사이트 서핑할때는 파이어폭스를 사용하는것을 추천합니다.
   파이어폭스라고 안전한 것은 아니지만 ActiveX의 피해로부터 조금은 자유롭죠.. ^^
5. 백신소프트웨어는 최신패턴 유지하고 실시간 감시기능을 꼭 사용해야합니다.
6. P2P사용시 특히 주의해야 합니다. (많은 바이러스가 숨어있죠..) 
    자료 다운로드후 반드시 스캐닝하는 것을 권합니다.
7. TCPview같은 패킷뷰어를 사용할 것을 권합니다.
    백도어가 설치될 경우 인터넷상의 특정 사이트로 접속하는 것을 볼수있습니다.
8.  레지스트리 감시프로그램의 사용을 권합니다.
     레지스트리의 변화가 있을 때 alert을 주는 프로그램은 많은 도움이 됩니다.
9. 평소에 작업관리자를 봐두세요..  어떤 작업(서비스)들이 있는지 파악해두면
     바이러스 발생시 쉽게 정체를 파악할 수있습니다.

마이크로소프트(MS) 연구원들이 SW 패치 방법으로 ‘해롭지 않은 웜(friendly worms)’의 도입을 고려하고 있다고 합니다.    ‘전염성 정보 유포에 대한 MS의 샘플링 전략(Microsoft’s Sampling Strategies for Epidemic-Style Information Dissemination)’라는 문서에  그 제안이 들어있습니다.원문은 아래 pdf를 보세요.
http://research.microsoft.com/~milanv/MSR-TR-2007-82.pdf

   간단히 말하면 ‘MS 취약점을 감소시키기위해  일종의 Good worm을 이용하여 패치를 배포하고자 하는’  연구라고 볼수 있습니다.    MS의 연구원 밀란 보노비치는  인터뷰를 통해 “패치를 배포하는 데 있어서 네트워크 효율을 극대화할 것이며  …. 특정 시나리오나 데이터 형식에 얽매이지 않고 현존하는 모든 기술을 검토해야 한다”고 했다고 합니다.  참고로 이것은 결정된 전략이 아니며 연구중인 전략이라는 것입니다 .

  보안전문가들이 이에 대해 ‘멍청한 짓’이라며 많은 비판을 하고 있는 상황입니다. 

브루스 슈나이어:   “사용자 허락 없이 패치를 배포하는 것은 절대 옳지 않으며 웜의 옳고 그름은 그 안에 무엇이 들었는지가 결정하는 것이 아니라 사용자가 원하는가 여부에 달려 있다”

니샤드 헤라스 :  “사용자 동의나 적절한 교육 제공 없이 무단으로 패치가 들어간다면 모두들 ‘자동 업데이트’를 당연한 듯 받아들일 것이며 이렇게 되면 정상적인 업데이트로 가장한 악성코드가 판을 칠 가능성이 크다”

제임스 터너:  “컴맹들에게는 이 방식이 유용할 수 있으나  반드시 사용자에게 신속한 패치를 원하는지 동의를 받아야할 것이다.     기업의 관점에서 보았을 때 이는 악몽일 수 있다. 비단 통제 문제 때문만이 아니다. MS는 항상 소비자들이 최신 버전을 사용하도록 유도해 왔다. 하지만 기업 입장에서는 최신 버전을 적용하기 보다는 현 기업 환경에 맞추어진 상태를 일정하게 유지하는 것을 선호한다.   사용자도 모르는 사이에 패치가 진행되어 버린다면, 기업 조직 내에 통일되어 있었던 소프트웨어 사양 및 기능들이 일관성을 잃어버릴 가능성이 높을 것이다.

▶ 과거 Good worm의 악몽 
   2003년의 나치(Nachi)를 기억하는지 모르겠습니다.  Nachi는 MS 웹사이트로부터 윈도우 패치를 다운 받는 역할을 수행했습니다. W32.Welchia, W32/Nachi, Worm. MSBlast.D 웜은 선한 목적으로 만들어졌습니다.  하지만  이 웜은 곧 악용되기 시작했고  결국 50만명이 넘는 피해자를 양산하는 악몽으로 변신하였습니다.

  이때 당시 올리버 프리드리히 (시만텍 보안 대응 센터 수석 매니저) “패치를 배포하는 데 웜을 사용하는 것 자체가 부적절하다“고 지적한바 있었습니다.   “비록 특정 유저의 시스템을 감염시키고, 소프트웨어를 설치, 컴퓨터를 리부팅 시키는 일련의 작업들이 선한 목적으로 행해지는 것이라 하더라도 여전히 이러한 웜들이 인터넷 상에 존재하는 다른 사용자들을 공격할 가능성이 높다”라고 말했다고 합니다.

▶  허용해야 할 유익한 웜은 없다
  자동으로 네트웍에서 활동하며 시스템들을 패치하는 웜방식의 시도는   종종 심각한 네트웍 대역폭 소모를 일으킬수있으며 ,패치로 인해 시스템을 리부팅하게 하고, 결정적으로 컴퓨터 소유자 또는 사용자의 동의 없이 무단으로 그런 일이  이루어지게 됩니다. 그렇다고 한다면  우리는 아무리 Good Worm이라고 할지라도  그 웜(?)에 반대해야 합니다.

  보안전문가는 “아무리 좋은 목적이 있다고 할찌라도 사용자의 동의없이 무엇인가를 해서는 안된다” 는 철학을 가져야 할 것입니다.   프라이버시와 보안과의 관계 또한 잘 생각해야할 문제입니다.  보안을 하기 위해서  사용자의 권리를 무시하고 동의없이 뭔가를 진행한다면  보안강화를 위해 얻으려고 했던 좋은 목적보다  더 큰 부정적인 악영향이 초래될 수 있다는 점을 잊어서는 안될 것 같습니다.  

옥션이 해킹되어서 개인정보가 빠져나간 사실은 매우 우려할 만한 사실이었습니다.
이 일로 회사내부에 전체메일로 공지를 해야 했죠…  (주의하라는… ^^)
인터넷에 보니 이일을 부정적으로만 볼일은 아니라는 생각이 드는 글이 있더군요..

<< 보안뉴스 ( 그럼에도 불구하고 옥션에 박수를 보낸다 ) >>
  사실 많은 회사들이 이런 류의 해킹 공격을 당하면 쉬쉬하며 정보공개를 하지않는 경우가 많습니다.  이런 사실을 숨기게 되는데 그러면 아마도 피해는 더욱 늘어날거라는 생각이 듭니다.   어찌보면 해킹사실을 숨기는 것은  두번 피해를 주는 일이라는 생각이 듭니다.  옥션의 사과문이 공개됨에 따라서  고객들은 자신의 정보에 대해 보호하고자 하는 의도를 갖게되고 추가적인 피해를 줄일수 있다고 생각이 듭니다.

  옥션은 침해사실을 알고나서 비교적  즉각적으로 사과문을 게시하였습니다.   기업주의 입장에서 인터넷 상거래 업체로서 치명적일수도 있는 [고백]을 했다고 볼수있습니다.  보안문화가 크게 개선되어야할 우리나라의 실정에선 고무적인 일이라고도 볼수있을것 같습니다. 물론 대다수의 고객들은 당장은 옥션을 좀더 불신하게 되겠지만  장기적인 면에선 오히려 신뢰할수 있을거라는 생각이 듭니다.  저도 옥션에서 구매를 자주 하는 고객으로서 옥션의 고백에 대해  긍정적으로 생각합니다.

  대신 옥션이 이번 일을 기회로 더욱 책임감있게 잘 관리하여  고객들의 정보를 잘 지켜야 하겠습니다.  우리나라엔 많은 IT기업이 있습니다.  IT강국이라고 자랑스러워도 합니다.  하지만 보안문화라는 면에 있어선 너무도 빈약한 실정인것이 사실입니다.   피해사실을 숨기기 보다는 공유하고 이를 바탕으로 국가 산업전체가 보안을 공고히 해나가는 그런 용기와 결단이 있어야 한다는 생각이 듭니다.  

 아래에 옥션에서 게재했던 사과문의 이미지를 올려봅니다.

■  CISA 합격 발표 나다…

2007년 12월 8일  연세대에서 CISA시험에 응시를 했더랬습니다….
발표가 오랫동안 안나고 있었는데 두달걸려 드디어 발표가 났습니다…
구정연휴가 끝나갈 무렵… 메일을 확인하다 보니. 드뎌 축하메일이 왔더군요…
We are pleased to inform you that you successfully PASSED the exam …..

작년6월 CISSP시험에 합격한바있어서 CISA준비는 수월할거라 생각했었는데
작년 하반기에 CISA를 준비하면서  그다지 쉽지않다는 생각을 많이 했습니다.
실제로 어렵다고 생각해서 매달렸던 과목은 잘 나오고 (감사,IT서비스,SDLC)
쉽다고 생각했던 과목에선 점수가 오히려 안나왔답니다. ㅠㅠ (정보자산보호,BCP)
CISSP와 과목이 겹치는 보안과목이 더 안나오다니..  ㅋㅋ

■  CISA 공부 이렇게 했다.

학원을 다녔는데, 이유는 라이센스를 따는 기간을 단축하고 싶은 생각때문이었습니다.
학원비용이 들기는 하지만  시간을 많이 절감할수있다고 생각합니다.
실제로 작년 1년동안 CISSP와 CISA를 모두 준비해서
시험을 봐서 성공했으니깐..  잘했다고 봅니다.
상반기엔 CISSP공부로 바빴고  하반기엔 CISA준비로 바빴죠..ㅋㅋ

CISSP때 했던 것처럼 자신만의 요약 노트를 만들어서  중요내용은 잘 숙지했구요…
인터넷에서 도는 요약판도 있지만 다 무시하고 제가 직접 요약판을 만들어보았습니다.
실제로 시험장에 도착해서  입실하기전 한시간동안 
이 요약판을 다시 읽어보아서 기억을 새롭게 했죠…
CISA교재를 2번 숙독했고   문제집 1200제는 세번 풀어 보았습니다.
문제집을 풀때는 정답이 뭔지보다는 오답이 왜 오답이 되었는지
이해하는데 주안점을 두었답니다.
특히 문제를 풀때 혼동되거나 틀린것에 별도의 체크표시를 해서 
그것만 별도로 2번정도 더 풀어보았습니다.
그리고 시험전 2일은 연차를 내서 독서실에서 최종 집중 Study를 실행했습니다.
–> 시험을 보시는 분들에게 강추입니다. 아무리 바빠도 연차내서 독서실에서 파세요
리뷰메뉴얼을 읽어보려고 했는데 마음뿐이었구요.. 
리뷰메뉴얼의 문제풀이 부분만 읽어 보았답니다.

특히 공부할때 IS감사의 관점을 이해하려고 노력했습니다.
단순 암기보다  이해에 중점을 두었다는…
CISA 시험은  정답이란게 없고 가장 가까운 답만 존재할 뿐이기 때문입니다.
뭐랄까 그 관점을 이해하게 되면 뭔지는 모르지만
가장 가까운 답을 고를수있게된다고 봅니다. ^^

■  CISA,  시험장에서

CISA는 오후에 시험이 시작이라서 아침에 비교적 여유가 있었습니다. 오전시간 3시간정도를 예전에 문제집풀때 틀렸거나 혼동되었던것을 다시  Review 했습니다.
(별표해두었었고…  문제옆에 정답뿐 아니라 연관내용까지 표시,  이것이 도움됨…)
연세대에서 시험을 치렀는데  시험시작 전 2시간여유를 두고 현장에 도착했습니다.
CISSP의 경우 시험장에 미리 들어가서 내부에서 책을 볼수있는 여유가 있었는데
CISA는 시험장에 입실할때 책을 가지고 들어갈수 없더군요…
그래서 복도에 있는 책상에서 한시간 가량  요약노트를 다시금 공부했습니다.
시험이 시작되었는데 혼동되는것들이 다수 있었습니다.
명확하게 아는것부터 다 풀어놓고….
혼동되는 것은 재차 확인하였습니다.  고민을 오래한다고 해결되는 것은 아니라서…
IS감사입장에서 가장 가깝다고 생각되는것을 골랐습니다.
3시간만에 시험장을 나섰는데…
다들 고민이 많은지 일찍 자리에서 일어나는 분이 거의 없더군요..
제가 2등으로 나왔답니다. ㅋㅋ
제가 스스로 시험장에서 계수해보니 합격권엔  들어갈것 같긴했지만…
그래도 혼동되는 문제들이 많은지라    안심할수는 없었습니다. 
하지만 감을 믿고 나와버렸습니다
너무 오래 고르면 오히려 틀릴수도 있다는 생각입니다. 
홀가분한 느낌으로 시험장을 나섰습니다

■  CISA,  그 이후….

사실 라이센스를 딴것은 시작이라는 생각이 듭니다.
회사에서도 보안업무를 담당하지만 업무에서 보안을 적용,실천하고
확산시키기는 매우 어렵습니다.
회사의 경영자들은 그런 원론적인 보안의 필요성엔 귀기울이지않죠..
보안관련 사항들은 돈이 많이 드는 경우가 많아서…
경영자를 설득하는것이 매우 힘든것이 현실입니다.
올해에는 비지니스 마인드와  프리젠테이션 스킬을 올리는데 
시간을 많이 들이려고 합니다.
경영학책을 많이 읽을 계획을 세웠구요..
실제로 [이기는 습관]이라는 책을 읽고 있답니다. ^^

합격자 발표가 너무 늦어서 지루한 감도 있었는데… ^^
기쁩니다. 구정연휴 끝이라서 더욱 좋습니다.