우키의 보안이야기

클라우드 컴퓨팅에 대한 궁금중을 풀어줄 10문 10답을 소개합니다.    아래의 원문을 가져와서 소개해봅니다. 제가 설명하기 보다는  그냥  원문을 소개하는 것이 좋을 듯합니다.  밑줄정도만 제가 표시했어요…

원문참조: http://www.ciobiz.co.kr/news/articleView.html?idxno=1519
              성현희기자 sunghh@etnews.co.kr 

  클라우드 컴퓨팅이 전 세계적으로 큰 파장을 일으키고 있다. 클라우드 컴퓨팅이라는 주제를 가지고 TV 다큐멘터리까지 제작돼 방송됐고, 관련 컨퍼런스에는 수천명의 사람들이 몰려든다.  심지어 미국 실리콘밸리에서는 벤처캐피탈이 중소벤처기업에게 지원하는 자금 중 컴퓨팅 자원 구매 비용은 아예 빠져 있다고 한다.  클라우드 컴퓨팅이 이처럼 높은 관심을 받는 것은 최근의 경제 영향이 크게 작용했다. 기업들은 신규 투자보다는 비용절감에 무게중심을 뒀고 IT 관련 부서 역시 비용절감을 최우선과제로 삼았다. 또한 클라우드 컴퓨팅 환경 구축에 필요한 기반 기술인 가상화, 데이터센터 자동화 등의 기술이 급속도로 발전했고, 무엇보다 서비스 실체가 보이기 시작했다. 아마존과 구글, 세일즈포스닷컴 등의 앞선 사례를 통해 클라우드 컴퓨팅의 잠재적 가능성이 현실화됐다. 이에 많은 기업들이 새로운 영웅을 꿈꾸며 클라우드 컴퓨팅에 도전장을 내밀고 있다.  

1. IT인력 축소 되나?

Q : 클라우드가 확산되면 기업의 IT 조직에는 어떤 변화가 일게 되는가?  외부 자원을 이용한다고 하면 기업내 IT인력의 자리가 축소되는 것이 아닌가.

A : 어떤 클라우드 서비스를 활용하는지에 따라 다를 수 있지만 기본적으로 기존의 시스템 운영 인력은 줄어들 수밖에 없다. IBM의 경우 사내 TAP((Technology Adoption Program) 서비스를 운영하면서 시스템 관리자 수가 15명에서 2명으로 줄어들었다. 직원들의 요청으로 시스템을 설치 구성하는 데 걸리는 시간이 3일에서 1시간으로 획기적으로 단축되면서 관리자의 수도 대폭 줄어든 것이다. IBM의 사례에서 보듯이 클라우드 서비스를 이용하게 되면 시스템 관리 인력은 기존에 비해 대폭 감소된다. 나아가 현업 부서가 사내 IT 부서에 기대지 않고도 퍼블릭 클라우드 서비스를 이용해 IT 자원을 사용하게 되면 기업의 IT 조직은 사실상 기존보다 위상이 크게 줄어들 수밖에 없다.  이에 따라 최고정보책임자(CIO)나 전산 조직의 업무와 역할에도 적지 않은 변화의 바람이 예상된다. 협업 부서의 요구에 따라 IT 시스템을 구현하는 것이 아니라 이들의 요구에 맞춰 최적의 클라우드 서비스를 찾아서 신속히 도입할 수 있도록 지원해 주는 것이 주된 역할로 바뀌게 된다. 다른 측면에서 본다면 클라우드 인프라상에서 손쉽게 창의적인 비즈니스를 시작할 수 있게 됨으로 단순 운영 인력보다 독창적인 벤처 인력들이 육성될 수 있는 기회는 많아진다고 볼 수 있다.
 

2. 정보유출 책임 소재는?

Q : 클라우드 서비스를 이용하면 기업 정보의 안전성을 보장받을 수 있나?  행여 정보 유출이라도 될 경우 궁극적인 책임은 기업 사용자가 지게 되는데, 책임 소재가 명확하지 않다.

A : ‘다이하드 4’나 ‘이글아이’ 같은 영화를 보면 국가 기반 자원에 대한 정보를 담고 있는 시스템에 누군가 해킹을 하거나 시스템 자체를 파괴시키는 장면이 나온다. 이런 공격으로 국가 기반시설인 정부기관과 도로, 은행 등이 순식간에 아수라장이 되는 것을 볼 수 있다. 충분히 현실에서도 가능한 얘기다. 클라우드 컴퓨팅 환경에서는 정보보안에 대한 우려가 크다. 서비스를 받는 입장에서 구름(인터넷) 속에서 어떻게 시스템이 운영되고 있는지 전혀 알 수 없기 때문이다. 또한 클라우드 서비스 제공업체가 갑자기 파산하거나 합병될 경우에도 데이터가 유실될 위험이 있다. 실제 많은 기업들이 클라우드 서비스를 꺼리고 있는 이유도 보안 문제 때문이다. 시장조사기관인 가트너의 조사에서도 클라우드 컴퓨팅의 사용을 막는 가장 큰 요인으로 보안이 74.6%로 높게 지적됐다. 그러나 반대로 높은 보안성을 이유로 클라우드 서비스를 이용하는 기업들도 있다. 자체적으로 기업 내부에서 관리하는 것 보다 철저하게 관리할 수 밖에 없는 클라우드 컴퓨팅 환경에 두는 것이 더 안전하다고 판단하는 것이다. 이처럼 아직 보안 문제에 대해서는 안전한지, 그렇지 않은지 논쟁이 계속 이어지고 있다. 하지만 분명한 것은 보안 문제가 클라우드 컴퓨팅의 확산에 가장 큰 걸림돌로 작용되고 있는 만큼 이에 대한 대응책 마련이 시급하는 시점이다.  

3. IT사용요금 산정은 어떻게?

Q : 클라우드 서비스를 이용하면 비용이 저렴해진다고 하는데, 사용요금은 어떻게 산정하나?  그렇다면 지금 아웃소싱 업체들의 IT 종량제와 다를 게 없지 않나.

A : 클라우드 서비스는 자체적으로 컴퓨팅 자원을 보유하기 어려운 소규모 기업이거나 개인 개발자들을 대상으로 하는 서비스다. 또한 대부분의 사업자들이 규모의 경제를 실현해 비용을 대폭 낮춰 서비스 사용자들이 ‘납득할 만한’ 가격 정책을 내놓고 있다. 아마존의 아마존웹서비스(AWS)의 경우 서버 사양에 따라 시간 사용료가 10~80센트다. 스토리지도 1GB당 한달 사용료가 15센트다. 국내 아웃소싱 업체들의 IT 종량제가 이 정도의 비용 이점을 줄 수는 없을 것이다. 문제는 CPU와 메모리 등의 IT자원의 사용량은 측정할 수 있지만 데이터센터 상면비용과 지원인력 비용 등의 비IT자원은 측정하기 힘들기 때문에 이런 모든 자원을 적정한 수준의 요금으로 산출해 내는 작업이 쉽지 않다는 것이다. 때문에 서비스 제공업체는 납득할 수 있는 수준으로 이런 모든 내용의 사용량을 미터링해서 요금화하는 것이 중요한 성공 포인트가 될 수 있다.  IaaS의 경우 이미 CPU나 디스크 등의 자원사용량을 미터링하고 과금하는 체계가 마련돼 있다. 하지만 CPU의 성능이 계속 개선되면서 과금 체계도 달라질 수 밖에 없자 최근에는 가상화된 버추얼 머신(VM) 이미지를 기준으로 해서 과금 체계를 하는 경우도 많다. 반면, SAAS와 PaaS 서비스의 경우 서비스 제공 업체별로 과금 체계가 다르고, 아직 명확한 기준이 없다. SaaS와 PaaS 서비스를 하고 있는 세일즈포스닷컴의 경우 사용자수와 사용시간 등을 기준으로 해서 요금을 청구하고 있다.  또한 단일 플랫폼하에서는 얼마만큼 사용했는지를 측정하는 것은 어렵지 않지만 멀티 플랫폼 환경 하에는 사용량 기반으로 과금하는 것이 상당히 복잡하다.
 

4. 실제 획기적 성과 이룬 사례 있나?

Q : 클라우드 서비스가 각광받고 있지만 클라우드 서비스를 이용해 실제 획기적인 성과를 이룬 도입 사례가 있는가?  있다고 해도 대부분 웹서비스이고 기업의 핵심 업무 시스템에 적용하기에는 아직 거리가 있는데…

A : 있다. 하지만 미국 사례가 대부분이다. 뉴욕타임즈는 1851년부터 1922년 사이 TIFF 파일로 된 신문기사 1100만개를 PDF 파일로 변환하는데, 아마존의 웹서비스를 이용해 분산병렬처리(하둡) 기술로 36시간만에 작업을 완료했다. 뉴욕타임즈는 이 작업을 위해 별도의 컴퓨팅 자원을 구매하지 않고도 불과 400달러 미만에 해결했다. 워싱턴포스트에서도 힐러리 클린턴 국무장관의 8년간의 공식 일정이 적혀져 있던 1만 7481페이지의 문서를 웹에 공지해 독자들에게 제공하는데 딱 9시간이 걸렸다. 비용은 얼마가 들었을까. 총 150달러 미만이었다. 아마존의 웹서비스를 통해 단시간에 저비용으로 정보를 독자가 이용할 수 있는 형태로 변환한 것이다. 일본 우정국에서는 세일즈포스닷컴의 개발 플랫폼인 포스닷컴(Force.com)을 활용해 2개월만에 금융, 생명보험, 우편서비스 3개의 시스템을 통합해 4만명의 고객에게 서비스를 제공했다. 지금은 사용자 수가 6만명 이상으로, 이처럼 사용자 수가 급격하게 증가해도 확장성이 용이해 안정적인 서비스를 할 수 있다. 핵심업무 시스템으로는 ERP SaaS가 이미 여러 기업들에게 제공되고 있다.

5. 가상화·SaaS 개념과 다른 점은?

Q : 가상화나 SaaS 등 이미 나온 개념을 다시 클라우드로 포장하는 것 아닌가?  사실 그 저변을 들여다보면 온디맨드 컴퓨팅이나 유틸리티 컴퓨팅과 무엇이 다른가.

A : 사실상 그렇긴 하다. 클라우드 컴퓨팅은 인터넷상의 분산된 다양한 자원들을 공유해서 가상의 슈퍼컴퓨터처럼 활용하는 그리드 컴퓨팅과 컴퓨팅 자원을 사용량에 따라 과금하는 유틸리티 컴퓨팅이 합쳐진 것이다.  서비스로서의 소프트웨어(SaaS)는 클라우드 컴퓨팅이 태생하기 이전부터 서비스돼 왔다. 가상화는 클라우드 인프라스트럭처를 구현하는 데 있어 필요한 핵심 기술이다. 자원을 공유하고 효율적으로 사용하기 위해서는 가상화 기술이 필수적이기 때문이다.  삼성SDS 클라우드컴퓨팅기술그룹 성병용 수석연구원은 “올해 초까지만 하더라도 열사람에게 물어보면 열사람 모두 클라우드 컴퓨팅에 대한 정의를 다르게 할 정도였다”며 “하지만 최근 들어서는 개념정의와 분류보다는 이를 활용해 어떤 영역에 비즈니스를 할지를 고민하고 있을 정도로 클라우드 컴퓨팅의 효용성을 확신하고 있다”고 말했다.  지난 3월 매킨지컨설팅에서는 시장에서 설명되고 있는 클라우드 컴퓨팅에 대한 개념을 조사한 결과 20여 가지가 넘었다고 한다. 이에 클라우드 컴퓨팅에 대한 명확한 개념 정의가 필요하다는 의견이 많다.
 


6. 프라이빗과 퍼블릭의 차이점은?

Q : 프라이빗이니, 퍼블릭이니 하는 말이 자주 나온다. 두 가지의 차이점은 무엇인가?

A : 프라이빗 클라우드와 퍼블릭 클라우드, 커뮤니티 클라우드, 하이브리드 클라우드로 총 4개로 나뉜다. 프라이빗 클라우드와 퍼블릭 클라우드는 파이어월을 기준으로, 파이어월 내부에 있는 고객을 대상으로 하는 것은 프라이빗, 외부에 있는 고객을 대상으로 하는 것은 퍼블릭으로 구분한다. 커뮤니티 클라우드라는 것은 하나의 공통된 목적으로 가지고 있는 특정 범위의 고객들을 대상으로 공유하는 형태를 말한다. 예를 들면 그룹사의 IT전문업체가 그룹 계열사를 대상으로 IaaS를 제공하는 경우나 중앙정부 차원에서 정부기관들을 대상으로 서비스 하는 경우가 커뮤니티 클라우드에 속한다. 하이브리드 클라우드는 이런 3가지 실행 모델 중 두 개 이상이 합쳐진 형태를 말한다. 프라이빗 클라우드의 사례로는 IBM의 TAP(TECHNOLOGY Adoption Program)이 대표적이다. 이는 IBM의 2만5000명의 이노베이터(개발자, 얼리 어댑터 등)들이 신기술에 대해 빠르고 쉽게 프로토타이핑할 수 있도록 자원을 제공해 준다. 기존에는 시스템을 설치하고 구성하는데 3~5일에 걸렸다면 IBM TAP 서비스를 통해 1시간으로 단축됐다. 이에 따른 비용 절감 효과도 기존 대비 연간 84%나 줄어드는 효과를 얻었다. 

7. 퍼블릭 서비스에 적합한 업무는?

Q : 퍼블릭 클라우드 서비스로 적합한 업무와 적합하지 않은 업무는 무엇인가.

A : 모든 업무에 클라우드 서비스가 적합한 것은 아니다. 적합하지 않는 서비스도 분명히 존재한다. 특히 높은 성능을 보장해야하는 온라인 트랜잭션 프로세스의 경우에는 자체적으로 운영하는 것이 바람직하다. 또 서비스 가용성이 매우 중요한 업무일 경우 클라우드 서비스 사업자의 서비스수준협약(SLA)이 만족스럽지 않다면 자체적으로 운영하는 것이 더 낫다. 금융권과 같이 법규제상 공용 환경에 데이터를 두는 것이 적절치 않은 경우도 있다. 대신 이메일이나 일정관리, 문서관리 등 정형화된 개인생산성 관련 업무의 경우에는 클라우드 서비스를 운영하는 것이 생산성이 높고, 일시적으로 많은 컴퓨팅 자원이 필요한 업무에서도 효과를 볼 수 있다.

8.  IT업체에 어떤 영향을 미치나?

Q : IT 업체에게 클라우드 컴퓨팅은 어떤 영향을 미치는가?

A : 클라우드 컴퓨팅은 기존 IT서비스의 공급 방법이 크게 달라진다. 기존에는 최종 사용자가 있는 장소에 가서 직접 설치해서 제공하는 방법이었지만 클라우드 환경에서는 중앙의 클라우드 센터 내에 설치를 하고 사용한 만큼의 비용을 요구하는 방식이다. IT 공급업체 입장에서 본다면, 직접 클라우드 서비스를 운영하지 않는 업체라면 다른 클라우드 사업자에게 하드웨어와 소프트웨어를 판매하면 되기 때문에 기존과는 크게 다를 바가 없다. 대신 직접 클라우드 서비스를 제공한다면 클라우드 서비스를 통해 새로운 고객을 창출할 수 있는 기회가 생기는 것이기 때문에 분명히 매출 증대의 기회가 될 수 있다. 전자통신연구원 민옥기 책임연구원은 “하드웨어 업체는 공급 대상이 일반 기업체에서 클라우드 서비스를 운영하는 업체로 바뀌면서 대규모 납품이 주를 이루게 될 것”이라며 “또한 소프트웨어 업체는 패키지 수입은 줄겠지만, SaaS 운영 업체와 계약을 맺고 사용에 따른 수익을 얻게 됨으로 수입이 적어지진 않을 것”이라고 설명했다.  다양한 측면에서 새로운 고객을 창출할 수 있는 기회가 열리는 만큼 SW 개발 업체 또한 클라우드 서비스를 고려해 제품을 출시하는 것이 바람직할 것이다. 준비하지 않는다면 그만큼 경쟁업체에게 고객을 뺏기는 것은 시간 문제일 수 밖에 없다.

9. 전문 IT서비스 업체 설 자리 축소되나?

Q : 클라우드 서비스는 SI 업체처럼 대형 IT 업체, 최소한 자체 데이터센터를 갖고 있는 사업자에게만 해당되는 것 아닌가?

A : 클라우드 컴퓨팅의 경우 ‘규모의 경제’ 산업으로 불리울 정도로 규모와 비례해 이익을 볼 수 있는 분야로 꼽힌다. 규모의 경제가 갖춰지면 그만큼 사용자들의 이용 요금이 내려갈 수 있기 때문이다. 최근 구글과 MS, 아마존 등의 글로벌 업체들이 계속해서 데이터센터를 확충하는 것도 ‘규모의 경제’를 실현하기 위해서다. 상대적으로 우리나라의 경우 규모의 경제측면에서는 다소 경쟁의 한계가 있다. 때문에 이들 글로벌 기업들에게 클라우드 컴퓨팅 시장으로 모두 내줘야 할 상황에 대해서도 우려의 시각이 크다. 하지만 규모의 경제를 실현하더라도 성공에 절대적인 영향을 미치는 것은 아니다. 우리나라는 규모의 경제 측면에서는 많이 뒤쳐져 있지만 킬러 서비스 모델을 개발한다면 얘기가 달라질 수 있다. 국내 기업들은 우선 적은 규모로 클라우드 인프라스트럭처를 만들고 특정 분야의 서비스 제공에 집중 공략할 것으로 보인다. 그 중에서도 테스트 플랫폼을 제공하는 서비스에 관심이 않은 것으로 알려져 있다. 테스트 환경을 제공하기 위한 자원은 초기부터 많은 자원이 필요하지 않다.  

10. 사업자가 되려면 어떻게?

Q : 클라우드 서비스 사업자가 되려면 어떻게 :해야 하는가 ? 또 사업자가 성공하려면 어떤 점을 고려해야 하나 ?

A : 퍼블릭 클라우드 사업자의 성공 조건으로는 크게 5가지로 요약할 수 있다. 첫째로는 높은 브랜드 인지도를 기반으로 한 서비스 지속성과 안정성을 확보해야 한다. 클라우드 서비스의 특성상 갑작스런 서비스 중단이나 사고로 인한 정보의 분실 등은 사용자들에게 엄청난 손실을 야기시킨다. 때문에 서비스 안정성과 지속성을 보장할 수 있도록 신뢰도를 높이는데 많은 신경을 써야 한다. 둘째로는 IT자원에 대한 규모의 경제를 달성해야 한다. 클라우드 사업자는 막대한 물리적인 IT 인프라가 구축돼야 고객들이 요구하는 시스템 확장성과 유연성에 빠르게 지원할 수 있다. 세번째로는 안정된 서비스를 제공하기 위해선 기술력과 전문인력이 필요하다. 특히 가상화된 환경이 많은 만큼 자원 관리 역량도 중요하다. PaaS의 경우에는 플랫폼의 유연성과 안정성을 동시에 만족할 수 있는 기술력이 요구된다. 이 외에도 퍼블릭 클라우드 사업자는 데이터의 저장과 활용, 전송에 대한 법률에 대한 사전 검토를 철저히 해야 한다. 사용자가 어느 지역에서 활용하는지 혹은 사용 기업의 해외 법인이 어디에 위치하는 지 등을 파악해 현지 법률에 맞게끔 지원해야 한다. 소비자 보호법, 정보보호법 등의 법률을 고려해야 한다. 마지막으로 초기 시장 확보를 위한 전략적인 마케팅 역량도 필요하다. 지금까지는 개인 시장을 중심으로 클라우드 서비스가 움직이고 있지만 향후 기업 시장으로 확산될 것으로 전망되기 때문에 시장 선점을 위해선 다양한 마케팅 활동을 펼칠 수 있는 역량도 확보돼야 한다.

아래 글은  보안뉴스의 12월 1일자 기사를  정리한 것입니다….
원문참조: << 보안뉴스 >>

  루마니아 해커 ‘Unu’(우누)에 대한 관심이 높습니다.국내 해커들은 “이름은 들어봤지만 그렇게 유명한 해커는 아니다”라는 반응도 있고 “SQL인젝션(injection) 공격에 있어서는 굉장한 실력가”라는 반응도 나오고 있습니다. 그럴만한 이유가 있습니다.우누는 올해 들어 보안 분야에서 세계적으로 실력을 인정받고 있는 카스퍼스키랩, 빗디펜더, 시만텍 등 쟁쟁한 밴더사들을 SQL인젝션 공격으로 제압했기 때문입니다.또 지난달 27일에는 국내 업체로 잉카인터넷 B2C 고객지원 웹사이트를 SQL인젝션 공격으로 해킹한 바 있습니다.관련 내용들은 그의 블로그와 외신 등에 올라와 있습니다.
  그는 자신의 블로그에 “보안업체들이 정작 자신들의 취약점은 간과하고 있고 DB관리도 엉망이다. 그래서야 보안업체로서 명분이 서는가. 조심하라”는 경고 메시지를 지속적으로 전하고 있습니다.

▶ 우누의 최근 취약점 공개 기록

1.2009년 2월
  1) usa.kaspersky.com : 지난 2월 9일 ‘usa.kaspersky.com’(미국 카스퍼스키) 사이트가 루마니아 해커 ‘Unu’(우누/ 해커의 온라인 닉네임)에 의해 해킹을 당해 대량의 데이터가 노출되는 사건이 발생했습니다.그는 2월 9일 밤 늦게 해당 사이트에 SQL인젝션(injection) 공격을 시도해 해킹에 성공했다고 밝혔습니다.그 공격으로 그는 활성화 코드와 유저 정보, 버그 리스트 등등을 볼 수 있었다고 했으며 매개변수 하나만 바꿔도 유저 정보와 활성화 코드, 관리자, 숍 정보까지 모든 것에 액세스가 가능했다고 말했습니다.덧붙여 그는 시큐리티와 안티바이러스 분야에서 이름있는 기업이 정작 자신들의 데이터 베이스를 보호하는데는 소홀했다고 꼬집었습니다.

2. 2009년 8월
  1) Yahoo! 지역 토론게시판 =8월에 그는 야후가 2007년 서비스한 지역 커뮤니케이션 사이트를 SQL인젝션과 cross-site scripting (XSS) 취약점을 이용해 공격했습니다.이 공격으로 관리자와 이용자의 계정 정보를 읽을 수 있었고 서버(MySQL 5 server)에 쉘을 업로드할 수도 있었습니다.뿐만 아니라 야후 이용자들의 ID, 주소, 국가, 이메일 정보뿐만 아니라 서버에 load_file까지 가능하다는 것을 밝혀냈습니다.그는 “이 사이트에서 우리가(우누의 해킹팀) 원하는 모든 것을 할 수 있었습니다.쉘 업로드, 리다이렉츠, 트로이목마 드롭, 심지어 사이트 전체를 파괴할 수도 있었다”며 “이러한 위험한 취약점에 대해 야후 측에 모두 말해줬다”고 밝혔습니다.

3. 2009년 9월
  1) 벨기에 ING 기프트숍 : 우누는 벨기에 ING 기프트숍 웹사이트의 취약점을 공격해 관리자 계정을 포함한 해당 웹사이트의 모든 계정 패스워드를 알아냈고 이용자 이메일과 풀네임 정보 등도 알아냈습니다.또 서버에 PHP 쉘을 업로드 할 수 있다고 지적했습니다.

  2) 벨기에  Dexia 사이트 : 우누는 동일한 방법으로 Dexia의 취약점을 공격했고 대량의 데이터 베이스에 접근했습니다.물론 이용자들의 정보와 평문 패스워드를 빼내 올 수 있다는 것을 확인했습니다.

  3) HSBC France 웹사이트:  우누는 해당 사이트의 모든 데이터 베이스 접근 권한을 획득했으며 파일 시스템에 접근권한도 얻을 수 있었습니다.또한 SQL인젝션 공격으로 전체 서버(MS SQL)에 손상을 입힐 수 있는 취약점도 발견했습니다.

4.2009년 11월
  1) 일본 시만텍 사이트: 11월 23일 일본 시만텍 사이트가 우누의 블라인드 SQL인젝션 공격에 뚫렸습니다.그는 “off-the-shelf tools (Pangolin and sqlmap)을 사용해 시만텍 서버의 모든 계정에 접근이 가능했으며 서버에 저장된 많은 민감한 데이터들에 접근도 가능했다”며 “시만텍의 노턴이 우리를 막아 주기 원했지만 그들은 자신들의 데이터베이스를 지키지 못했다”고 지적했습니다.

5. 기타 해킹한 웹사이트들…
  우누는 영국 ‘The Telegraph’사와 ‘British Telecom’ 사이트를 해킹해 홈페이지를 손상시킨 바 있으며 영국 의회 사이트와 National Lottery 사이트 그리고 안티바이러스 업체인 F-secure, BitDefender, 한국의 잉카인터넷 B2C 고객지원 웹사이트 등도 SQL인젝션 취약점을 이용한 공격방법을 통해 중요 데이터베이스들이 노출될 수 있다는 것을 공개했습니다.

그는 모든 해킹 과정에 대해 신뢰성을 주기 위해 자신의 블로그에 스크린샷으로 증명하고 있습니다.하지만 정확하게 어떻게 공격을 하는지 그 방법에 대해서는 구체적으로 말해주지 않고 있습니다.물론 악용될 소지가 있기 때문이습니다.”Unu”는 해커스 블로그로 알려진 루마니아의 윤리적 해킹그룹의 일원으로 알려져 있습니다.이 그룹은 세계적으로 주요한 사이트 뿐만 아니라 몇 몇 안티바이러스 벤더사들의 웹사이트 SQL인젝션 취약점을 지속적으로 밝혀내고 공지하고 있습니다.

 ▶ 보안취약점 공개?  한국에서는….

한편 한국에서는 우누의 취약점 발표 방법을 두고 말들이 많습니다.혹자는 “취약점이 발견되면 해당 업체에 우선 알려야 한다”고 말한습니다.하지만 그건 한국의 현실을 모르고 하는 말이라는 반응이 많습니다. 우선 한국 사회는 취약점을 알려주는 것에 대해 색안경을 끼고 본다는 것이습니다.모 유명 해커는 “해당 업체에 취약점 알려줬다가 그걸 당신이 어떻게 알았냐며 오히려 욕을 먹었다.그리고 알려줘도 고마워할 줄도 모르고 제대로 수정이 됐는지 답변도 없다”고 지적하고 있습니다. 그래서 국내 해커들은 대부분 취약점을 혼자만 알고 숨겨버리거나 해외 유명 보안사이트에 닉네임으로 올리고 있는 것이 한국 보안의 현실입니다.그래서 기업간 기관간 정보공유가 안되고 계속 살아있는 취약점 때문에 공격받고 또 공격받고 있는 상황입니다. 해커에게 “왜 업체에 먼저 알려줄 것이지 자기 블로그나 언론에 공개하느냐” 탓하기 전에 우리 사회가 그러한 오픈된 문화가 형성돼 있나를 살펴봐야 합니다. 보안정보 공유 과정에서 문제가 있다면 국가 전반적인 보안환경 개선을 위해서라도 해커와 보안담당자 그리고 정부가 나서 하나씩 개선해 나가는 노력들이 필요할 것입니다.

  지난 11월 23일과 27일, 루마니아 해커 우누(Unu)가 시만텍 일본 고객지원 웹사이트와 잉카인터넷 B2C 고객지원 웹사이트를 SQL인젝션 공격으로 해킹했다고 자신의 블로그에 공개하였습니다.  우누는 그레이해커로 알려져있습니다.  실제로  피해를 입히기위한 것이라기 보다는  내노라하는  보안전문업체들도  SQL인젝션 공격에 의해 침해가 가능하고 민감한 정보들의 유출이 가능하다는 것을 보여주었다고 할 수 있습니다 .  잉카인터넷은  엔프로텍트로 유명한 업제이지요..  인터넷뱅킹시에 많이 보셨을 것입니다….

    SQL인젝션 공격은 새로울 것이 없는 공격방법임에도 불구하고 여전히 대비가 안된 사이트가 많아서   관리자들의  주의가 많이 요구되고 있습니다.  한국이 좋은 공격대상이 되는 것은 발달된 IT인프라와  아직 낮은 보안의식등이  한 몫을 하고 있다고 할 수 있겠네요..  사실 새삼스러울게 없는 내용이지만   그래도 주의가 요구되니  아직 보호대책이 없는 관리자님들은  시급히 대책을 세우시길 바랍니다.

   루마니아 해커 우누의  블로그에 가보세요…   지속적으로 유명사이트들을 해킹하고 있으며  취약점을  자신의 블로그를 통해서  소개하고 있는 것을 보실 수가 있습니다.  자신이 해킹한 사이트들의 스크린샷과   사용한 해킹툴등을 소객하고 있더군요…

Unu의 블로그:   http://unu123456.baywords.com/

 << 우누의 블로그: 잉카인터넷 웹사이트 해킹에 관한 글 보기 >>


 << 우누의 블로그: 시만텍 일본 웹사이트 해킹에 관한 글 보기 >>

인터넷전화 사용자 600만 시대에 맞아서   방통위에서 인터넷전화 보안기술 세미나를 개최합니다.  신청은  Kisa 홈페이지의  초기화면에 보이는 공지글을  열어보시면   하단에  행사참여를 위한 온라인신청폼이 포함되어있습니다.



제 3회 인터넷전화 보안기술 세미나

                                 – 600만 인터넷전화시대의 보안정책과 기술

일자: 2009.12.2(수) 10:00-17:00
장소: 양재동 aT 센터 5층 대회의실
주최: 방송통신위원회
주관: KISA 한국인터넷 진흥원

시 간           주요 내용 및  발표자
09:30~10:00   등 록
10:00~10:40   [Keynote 1] 방통융합환경에서 인터넷전화 동향 항공대 김진기 교수
10:40~11:20   [Keynote 2] 인터넷전화 보안 취약점 소개 및 시연 충남대 아르고스
11:20~11:40   개 회 식 (사회 : KISA 정현철 팀장)
11:20~11:30   개회사 KISA 김희정 원장
11:30~11:40   축 사 방통위 황철증 국장
11:40~13:00   전시부스관람 & 점심식사
13:00~13:40   [세션1] 정부의 인터넷전화 보안 정책 추진 방향(좌장: 순천향대 염흥열 교수)
13:00~13:20   공공․지자체 인터넷전화 구축 방향 행안부 권성수 박사
13:20~13:40   민간분야 인터넷전화 보안 대책 추진 현황 및 전략 방통위 배영식 사무관
13:40~14:00   Coffee Break
14:00~15:00   [세션2] 인터넷전화 서비스 보안성 강화 방안(좌장: 숙명여대 이광수 교수)
14:00~14:20   안전한 인터넷전화 서비스 환경 구축 방안 서울여대 김형종 교수
14:20~14:40   해외 인터넷전화 공격사례 및 보안기술 소개 KISA 김환국 선임
14:40~15:00   인터넷전화 사업자 보안 운영 현황 KT 조현혁 책임
15:00~15:20   Coffee Break
15:20~16:20   [세션3] 인터넷전화 보안제품 적용 방안(좌장: 고려대 이희조 교수)
15:20~15:50   인터넷전화 시스템 기능/성능 검증(BMT) 방안 TTA 이문길 전임
15:50~16:20   인터넷전화 보안제품 동향 및 구축 시 고려사항 모니터랩 안병규 이사
16:20~16:50   [패널토의] “효율적인 공공ㆍ민간 인터넷전화 보안통신 구축 전략”
                  좌장: 충남대 류재철 교수
                  방통위 배영식 사무관, 행안부 권성수 박사
                  KISA 정현철 팀장, KT 임영숙 부장
                  LG데이콤 윤철희 팀장, 제너시스템즈 이도경 실장
16:50~17:00 폐회 (경품 추첨)