우키의 보안이야기

   지난 3월 21일  [강씨]가 운영하는 블로그에  LG텔레콤의 휴대전화 번호를 입력하면 주민등록번호, 서비스 가입일, 휴대폰 모델 등 3개 항목을 조회할 수 있는 페이지가 올려졌습니다.  (고객 이름과 주민번호 뒷자리는 별표처리하여  비노출)    KISA가 이를 경찰에 신고했다고 알려져있습니다.  

   사건발생을 인지한 LG텔레콤은 3월 24일과 25일, 두 차례에 걸쳐 해당 블로그및  CP 접속을 폐쇄시켰는데   가입자 주민등록번호가 조회됐을 수 있는 건은 최대 171건으로 예상된다고 합니다.   더욱 어처구니 없는 것은 애초에  [강씨]가 참조한 엠샵 이란 사이트에서는 휴대폰 번호만 입력하면 URL상에 LG텔레콤 가입고객 정보가 그대로 노출되고 있었다는 사실입니다. 그것도 주민등록번호 뒷번호가지 고스란히 조회가 가능했다고 합니다. 그리고   LG텔레콤은 이것을  5년간동안이나  몰랐다는 것이구요..

   보안 전문가들은 “이번 사건의 핵심은 LG텔레콤측이 CP업체인 엠샵에 고객정보를 그대로 노출되도록 연결시켜 놓은 부분과 서버 접근 관리자 계정을 누구나 볼 수 있는 URL상에 올려놓았다는 점에 대해 무한책임을 져야 한다”라고 이야기 하고 있는 상황입니다.

   이번 사건은 LG텔레콤의  허술한 고객정보 관리와 한 개인의 부족한 윤리의식에서 비롯된 것이라고 할수있을 것 같습니다.   물론  LG텔레콤이 고객정보를 허술하게 관리해 온 것이 가장 문제이죠…     아니라고 하지만 실제로는  고객확보차원에서  알면서도 모르는척 해온것은 아닌지 하는 생각이 드는것은 어찌된 일일까요.  지인의 말에 따르면   전화번호만 있으면 그 사람의 핸드폰 사용기종,생년,가족상황 등등을 모두 조회할수 있다고 합니다. (통신사 협력업체로 일한 한 친구에 들은 이야기라고 합니다.)  사실 LG텔레콤만의 문제가 아닐수도 있을지 모릅니다.    현재 LG텔레콤의 고객정보 노출사건에 대해 집단소송 준비가 진행되고 있다고 합니다.

LG텔레콤 정보유출 소송모임  http://cafe360.daum.net/_c21_/home?grpid=1Dj7p 

  부족한 윤리의식을 여기서 지적하고 싶습니다.   기업이든 개인이든  마땅이  지켜야할 도리가  있다고 생각됩니다.   [강씨]는 인터넷상에  LG텔레콤의 고객정보가 그대로 노출되고 있다는 것을 알고도 신고하기는 커녕  그 고객정보를 인터넷에서 조회할수있게 했습니다.  LG텔레콤 또한 고객들의 소중한 정보를 제대로 관리해야할 책임이 있으나 그렇게 하지않고  방조(?)한 책임이 있다고 할 수 있습니다.  

   [강씨]의 경우  LG텔레콤의 아웃소싱 업무도 한 경력이 있는 경력10년이 넘는 프로그래머였습니다.  [강씨]가 LG텔레콤의 고객정보 관리의 취약점을 바로 알려주었더라면 좋았을 것입니다.    IT 프로그래머들은 이런 류의 정보를 잘 다룰 수 있기때문에  또한  쉽게 악용할 가능성도 있습니다.  [강씨]가  이 정보로 상업적인 이득을 취했다거나 하지는 않았지만   경각심을 갖지 않고  인터넷에 재공개 함으로써  피의자로서  곤욕을 치르고 있는 상황입니다.  [강씨]는 억울함을 토로하고 있는 상황이지만  책임을 면하기는 힘들어 보입니다.

   IT기술을 배우기 이전에  먼저 IT 윤리를 배워야 할 듯  합니다.  이젠 학교의 윤리 시간의 한 과정으로  정보 윤리, 인터넷 윤리가 추가되어야 할 듯 합니다.   정보화시대을 사는 우리가  어떤 책임이 있는지, 어떤 결과를 초래하는지, 함께 사는 사회를 보호하고 유지하려면 어떤 윤리의식을 가져야 할지 어렸을 때부터 교육받아야 할 것 같습니다.   특히  IT 회사에 입사해서  프로그래머나 운영자 또는 기획자로 일하게 된다면  제일 먼저  IT윤리에 대해 교육받아야 할 듯합니다.   성과보다 중요한 것들이  사실 많다는 것을 잊어버리면 안될 듯 합니다.  경영자이든  개발자이든  일반 유저이든 윤리의식을 가지고  행동해야 할 것 같습니다.  고민할 문제가 아닌  당연히 지켜야할 의무요 사명이라고 생각하게끔  되어야 할 듯합니다.  

   그리고 기업들도 이젠 고객정보 관리에 책임감을 갖고  충분한 예산을 투자해서 고객에 대한 도리를 지켜야 한다고 생각합니다.  그것이 기업이  고객에게 지켜야할 윤리라고 생각되어 집니다. 최근 여러가지  정보유출에 대한 소송들이 진행되고 있습니다.  이번 기회를 통해 기업들의  고객정보에 대한 윤리의식이 제고되길 기대해봅니다.
  
  마지막으로  소송을 진행하고 있는 넥스트로 박진식 변호사의 말을 인용하며 글을 맺고자 합니다.  

   “고객의 정보를 노출된 상태로 5년간이나 방치했다는 것은 분명히 LG텔레콤이 법적인 책임을 져야 하는 상황입니다.  ….   법원은 정보를 유출될 수 있는 상황에 놓이게 한 자체만으로도 고객들에게 배상을 판결하고 있다. ….  이번 사건을 통해 대기업들이 얼마나 보안의식이 없고 가입자 유치에만 힘썼을 뿐 소중한 고객의 정보를 엄격하게 보호해야겠다는 의지가 전혀 없었다는 것을 알 수 있었다. ….  사회적 경종을 울리기 위해서라도 반드시 집단소송을 진행해 LG텔레콤이 잘못한 부분에 대해 법적 책임을 묻겠다”

 사실 고객 자료 유출하면  웹해킹부터 생각하곤 했었습니다.  하지만  최근  옥션사태의 경우에는  웹해킹에 의한 자료유출이 아닌  옥션직원들을 대상으로 무작위로 뿌려진 메일상의 악성코드가 관리자PC에 설치된것이 시발이었더군요
관련링크: http://www.boannews.com/media/view.asp?page=&gpage=&idx=9481&search=&find=&kind=13

▶ 유출 경위 
1) 해외 크래커가  ‘fuckkr’이라는 악성코드를  메일로 옥션 직원에게 무작위로 보냄
2) 보안의식이 없는 몇몇 직원이 이를 클릭하여 PC에 해킹툴이 설치됨
3) 키로거에 의해 직원의 아이디와 패스워드를 빼내감 (직원 또는 고객센타)
    이때 관리자의 계정까지 해커에게 노출된 것으로 보임
4) 노출된 관리자계정을 이용하여  고객의 DB를 빼내감

▶ 유출 원인
  웹방화벽을 구축하는데 많은 돈과 노력을 들여왔으리라 생각합니다.    아무리 돈을 들여서 보안시스템을 구축한다고 하더라도  개인의 안일한 보안의식때문에 초래되는 위기를 막을수 없다는 것이 드러났습니다.  직원들의 부주의한 클릭질 한번에 해킹툴이 직원의 PC에 설치되었고  이 해킹툴은 모든 보안노력들을 일거에 무의미한 것으로 만들어 버렸습니다.   보안의식교육이 전방위적으로 이루어 지고   특히  개발자,관리자,기획자들의 보안에서의 Due Care를 정립해야 할 것 같습니다. 관리자가 보안의식을 갖고 제대로 대처했더라면 없었을 사고였습니다.  

▶ 기업의 보안 책임
   성과라는 이름으로 수많은 프로젝트들이 빠르게 진행되고 있고  보안상의 고려사항들이 번번이 무시되고 있습니다.  문제가 생기고 나서야  보안대책을 고려하곤 합니다.    기업에서 보안은 비용으로 느껴지곤 합니다.    비용을 들여도 사고가 일어나지 않는다는 보장을 주지 않는데  왜 해야하느냐고 생각되어지기도 합니다.
  기업의 사회적 책임이 중요해지고 있고 기업들도 차츰 공감하고 있는 요즘 시점에서 볼때 기업이 사회에 져야할 가장 큰 책임 중 하나가 바로  보안의 책임이 아닌가 합니다.  요즘 기업들은 고객의 정보를 너무도 가볍게 수집하고 다루고 있다는 생각을 지울 수 없습니다. 불필요하게 많은 정보를 수집하고,  많은 경우 동의도 제대로 받지않으며  동의없이 제 3자에게 넘기기도 합니다.  이제 기업은  보안의 책임을 다해야 합니다.  기업이 이 의무를 가벼이 할때 어떤 일이 발생하는지 우리는 지금 보고 있습니다.    

▶ 파급 효과
  1000만명의 넘는 회원들의 이름,아이디,주민번호,메일주소,주소,전화번호등이 유출되었고  중국쪽의 사이트에서 판매한다는 글까지 게시되는 초유의 사태가 벌어지고 있습니다.  충격적인 것은  네이버 아이디까지 판매한다고 글이 게시되고 있다는 것입니다.
링크: http://www.boannews.com/media/view.asp?idx=9507&kind=0
  아직 발표가 나지않았지만 그 말이 사실일 경우 그야말로 온 국민의 개인정보가 인터넷에 유출되었다고 할수 있습니다. 사실상 하나의 아이디와 패스워드를 수많은 인터넷 사이트에서 동일하게 사용하는 사람이 대부분이기 때문입니다.  많은 국민들이 매우 불안해 하고 있습니다. 계좌를 바꾸고 전화번호를 바꾸고  비밀번호를 바꾸느라  고단합니다.  IT코리아의 실추된 이름을 분노의 눈길로 바라보고 있습니다.

▶ 국가의 책임 (?)
이젠 기업의 이미지 실추의 차원이 아니라 국가적인 위기 상황이라고 말해야 할 것 같습니다. IT코리아라는 말은 부끄러워서 더 이상 쓸 수 없을 듯 합니다.  이젠 기업차원에서의 대응에 맡길 것이 아니라  국가적인 대책이 필요한 듯 싶습니다.   정통부가 방통위로 통폐합된 지금.  더욱 이 위기 상황이 크게만 느껴집니다.
   모 기사에 인용된  한 회사원의 말을  정부는 잘 들어야 할 것 같습니다.  “정부가 뭐하고 있는지 모르겠다. 세금 걷어서 이런 것들 보호하라고 관련 정부조직 만들고 그런 것 아니냐. 법으로 강하게 규제했다면 기업들이 알아서 보호했을 텐데 기업만 보호하고 고객들의 정보는 소홀히 생각한 관계기관들이 더 반성해야 한다”
관련링크: http://www.boannews.com/media/view.asp?page=&gpage=&idx=9489&search=&find=&kind=13

ISA2006서버에 VPN접속을 하기위해 꼭 필요한 것이 있습니다. ISA서버에  VPN연결이 되지 않을 때 다음의 사항을 점검해 보아야 합니다.

1. 인터넷에 이미 연결되어 있어야 합니다.
  1) 일단 인터넷이 되는 상황에서 시도해야 겠죠?  ㅋㅋ    넘 당연한 말이지만..   인터넷이 되지않는 상황에서  접속을 시도하시는 분도 있으니
  2) 모뎀의 설치된 PC나 노트북의 경우에 반드시 먼저 확인할 것이 있습니다. 
윈도우는 기본적으로 모뎀을 이용해서 VPN서버에 접속하려고 시도하게 됩니다.  사전에 모뎀설정이 안되어 있으면 VPN 연결이 되지않습니다.  VPN접속 프로그램에서 [속성]버튼을 눌러서 [인터넷에 항상 연결되어있음]을 선택해주세요.   이때 나오는 대화상자에서 모뎀설정을 해주시고 난후  VPN연결을 하시면 접속이 잘 될것입니다.
2. PPTP 포트 (TCP 1723)
  TCP 1723포트가 열려있어야 합니다. ISA서버는 내부적으로 IPsec과 PPTP를 둘다 사용하지만  IPSec은 지점간 (ISA서버간) 연결시 사용하고 PPTP는 일반 클라이언트 연결시 사용하게 됩니다.  따라서 노트북을 가지고 이동할 시 해당 지역에서 PPTP포트가 지원이 되어야 합니다. (대부분 지원이 되나   구형 공유기가 사용되고 있거나 방화벽에서 의도적으로 block한 경우 접속할수 없게 됩니다.)
3. GRE 프로토콜 (Protocal 47)
  GRE(Generic Route Encapsulation) 프로토콜은 클라이언트와 서버 간에 VPN을 만들기 위해 PPTP와 함께 사용되어집니다. PPTP 제어 세션을 설정되고 나면  GRE를 이용하여 데이터나 페이로드를 암호화합니다.  이 GRE 연결에 문제가 생기면 Error 721 이라는 값이 반환됩니다.
GRE에 대해 더 알아볼수 있는 링크
http://support.microsoft.com/kb/241251/

ISA server 2006은 VPN서버용도로 훌륭합니다.
   AD를 사용하는 기업에 ISA는 매우 훌륭한 VPN솔루션이 됩니다.  그동안 Nortel Contivity를 사용해왔는데  ISA2006로 이전하는 중이랍니다.  ISA 서버를 vpn서버로 운영하면서 느낀 좋은 점을 정리해보았습니다.  보안이라는 목적을 달성하기에 가장 최적의 VPN 솔루션인듯합니다. 물론 IAG가 있긴하지만  SSL VPN이라서 사용상 제한이 따릅니다. 

▶ VPN서버로서의 ISA server가 좋은점
1. AD사용하는 기업은 ISA 서버로  매우 손쉽게 vpn유저관리를 할수있습니다.
   Nortel의 경우 사용자계정관리가 너무 힘들죠.. 시간이 많이 필요합니다. 거의 관리할수 없는 지경입니다.     퇴사자 계정이 삭제되지않고 남겨질수있습니다.
2. 특정 그룹의 유저들에게 특정 프로토콜,특정서버만 접속하게 할수있습니다.
    터널 구성시 매우 제한적인 통신만 허용함으로서 보안의 목적을 좀더 쉽게 달성하게 해줍니다.  정책을 쉽게 만들수 있고   기존정책을 복사하여 새로운 정책으로 만들수 있어서 정책관리에 용이합니다. 기본적으로 All Deny정책이 적용되어  허용하지 않는 모든 트래픽을 막을수 있습니다.
3. 효과적으로 로드를 분산시킬수있습니다. (Active-Active방식 구성)
   다수의 ISA 서버를 하나의 Array로 묶어서   로드를 효과적으로 분산시킬수있습니다. L4스위치아래 구성하는것을 MS에서도 권장한다고 하지만  별도의 L4가 없어도 ISA만으로 같은 효과를 거둘수있습니다.
4. 클라이언트의 Health상태를 체크하여 문제가 있을 경우 거부할수있습니다.
   쿼런틴 기능을 사용하면 클라이언트의 Health를 체크함으로  비정상적인 것들을 거부함으로  내부 네트웍을 보호할수있습니다. 예를 들자면 AD에 소속되지않는 클라이언트를 거부한단다던지 하는 것을 할수있죠..  이렇게 되면 PC방에서 VPN접속을 못하게 됩니다 .안전한 회사노트북을 통해서만 본사 VPN로그인을 허용하게 할수있는것이죠.. 한단계 나아가서  PC에  특정보안프로그램이 설치되어있지않으면 접속을 불허하게 할수도 있습니다.  또 웜에 걸려서 세션을 동시에 많이 여는 컴퓨터의 경우에도 접속을 자동으로 거부하게 됩니다. 
5. VPN서버의 사용상황에 대한 리포트를 얻을 수 있습니다.
  기본적으로 생성되는 Report는 ISA 서버의 사용상황에 대해 많은 것을 알려줍니다. 일단 DB에 로그가 남겨지고 있기 때문에 추가적인 로그도 확인이 가능할것으로 보입니다. 세부적인…것은 좀더 연구가 필요한듯합니다.

▶ VPN서버로서의 ISA server가 불편한 점
1. PPTP VPN이라는 점은 약점으로 보입니다.
   Nortel의 경우 IPSec방식의 VPN이라서 거의 제한을 받지않고 VPN연결이 가능합니다 .하지만 ISA는 PPTP방식이라서  포트와 프로토콜에서 허용이 되지않은 지역에 있을 경우  VPN연결을 할수 없습니다.  해당 지역의 IT관리자에 요청해서 열어달라고 해야하는 불편이 있습니다.  구형 공유기의 경우 PPTP VPN through를  지원하지 않는 경우도 있습니다.