이번 여름은 굵직한 보안 사고로 국내외가 떠들썩하다. 우리나라와 미국에 집중된 분산서비스거부(DDoS) 공격에 이어 지난주 미국에서 발생한 개인 신용정보 해킹 및 유출 사건은 유례없는 사상 최대 규모여서 미국 전역이 또 한 번 충격을 받았다.
미 연방 검찰은 마이애미 주에 거주하는 앨버트 곤잘레스와 러시아인 동료 2명 등 3명을 신용정보 해킹 및 유출로 기소했는데, 무려 1억3000명의 개인 신용정보를 해킹해 유출했다. 이들은 포천 500대 기업 중 해킹 대상을 골라 사전에 웹사이트 보안 상태를 점검했으며, 보안이 허술한 기업 사이트를 해킹해 고객 신용정보를 빼냈다.
특히 보안이 허술한 것으로 판단, 해킹한 기업 중에는 세계 최대 결제시스템 개발업체인 하틀랜드 페이먼트 시스템즈가 있어서 충격적이다. 그 외 세계 최대 편의점 체인 중 하나인 세븐일레븐, 오피스맥스, 반스앤노블, 한나포스 브러더스 등이 지난 2006년 말부터 지난해 초까지 해킹당했다.
곤잘레스 사건뿐 아니다. 7월 말에는 미국의 유명 도메인등록기관이자 전자상거래 호스팅 업체인 네트워크솔루션이 자서 서버 해킹으로 57만여명의 신용카드 데이터가 유출됐다고 보고했다. 이 회사는 정기적인 유지보수 작업 중에 고객용 전자상거래 호스팅 서버에서 이상한 코드가 발견됐으며, 외부 업체에 포렌식 조사를 의뢰했다고 전했다.
비슷한 시기에 버클리대 저널리즘대학원에서도 개인정보 유출이 보고됐다. 이 대학원 웹사이트에 침입한 해커는 2007년 9월부터 올해 5월까지의 대학원 지원자 493명의 사회보장번호와 생년월일에 액세스한 것으로 밝혀졌다. 이 사고는 지난번 발생한 정보 유출 사고에서 1년이 채 지나지 않아 발생한 것이어서 논란이 일고 있다.
전문가들은 대학 특성상 애플리케이션 프로세스 일부로서 개인 정보 데이터가 요구되며, 그럼에도 금융권이나 일반 기업보다 정보보호 체계가 상대적으로 허술하기 때문에 대학은 해커들의 좋은 먹잇감이 되고 있다고 설명한다.
◇아마추어 수법에 대기업들 보안 뚫려=연거푸 대규모 개인 신용정보 해킹 및 유출 사건이 터지면서 CIO와 IT 부서들에게도 비상이 걸렸다. 미국 유력 IT 전문지 eWEEK는 “이 소식을 보면서 남의 일로 생각하는 CIO도 있겠지만 다음 정보유출 사건 소식으로 바로 당신 얼굴이 신문 1면에 게재될지도 모른다”며 기업 IT 부서의 경각심을 촉구했다.
줄을 잇는 개인정보 유출 사건에서 흥미로운 점은 고난도의 해킹 기술이 사용된 게 아니라는 것이다. 사상 최대의 해킹 및 정보유출 사건으로 세계를 놀라게 한 곤잘레스 일당은 해킹 수법으로 비교적 아마추어적인 방법을 사용했다. 이미 널리 알려진 워드라이빙(wardriving)과 SQL 인젝션(SQL Injection) 공격으로 1억3000만명의 개인 신용정보가 해킹된 것이다.
워드라이빙은 사무실과 쇼핑센터 근처를 차량으로 배회하면서 노트북에 잡히는 회사의 무선랜을 해킹하는 수법이다. 무선 액세스포인트(AP)에 접근해 네트워크 취약점을 파악한 후 그곳에 공격을 시도한다. 곤잘레스 일당은 일단 기업 사설 네트워크에 연결되면 SQL 인젝션 공격을 감행해 웹 애플리케이션이 개인정보를 분기하도록 유도해 정보를 유출해냈다.
SQL 인젝션 공격은 DB 서비스인 SQL의 쿼리 문자열 사이에 특정 악성코드를 몰래 삽입한 뒤 실행시키는 해킹 공격 방법으로, 꽤 오래된 수법이다. SQL 인젝션은 OSI(Open System Interconnection) 모델 7계층 중 최상위인 애플리케이션 계층에 대한 웹 기반 공격이다. OSI는 네트워크 소프트웨어 스택을 보호하기 위한 유명한 레퍼런스 가이드다.
애플리케이션 계층에 대한 보안은 기업 보안 정책 중 기본에 해당된다. 때문에 왜 다수의 신용카드 관련 업체들이 이 기초적 수준의 보안에 취약점을 갖고 있는지 보안 전문가들은 의문을 제기하고 있다.
곤잘레스 사건을 두고 포브스닷컴과 인터뷰한 시트릭스시스템즈의 최고 보안전략가인 커트 로메르는 해킹당한 업체들이 취약점 점검을 꾸준히 해오지 않은 것으로 추정된다고 의견을 밝혔다. 시트릭스는 PCI(Payment Card Industry) 보안표준위원회의 자문위원 중 하나이기도 한데, PCI 보안표준위원회는 신용카드 업계의 보안 시스템을 강화하기 위한 노력을 하고 있다.
전문가들은 기업들이 SQL 인젝션 공격을 막기 위해서는 웹 애플리케이션 스캐너나 웹 애플리케이션 방화벽 중 하나는 사용할 필요가 있다고 조언한다. 웹 애플리케이션 스캐너는 SQL 인젝션 공격의 대상이 되는 취약점이 어디인지 파악할 수 있게 해준다.
아니면 애플리케이션 방화벽이 대안이 될 수 있다. 애플리케이션 방화벽은 기업 네트워크에서 숙주가 된 부분을 다른 네트워크로부터 고립시키는데, 해커가 설령 네트워크에 침투해 들어왔다고 하더라도 만족할만한 결과를 얻지 못하도록 만든다.
PCI는 특히 애플리케이션 방화벽을 권고하고 있다. 웹 애플리케이션 방화벽은 기존 애플리케이션을 수정하지 않고 취약점에 대한 능동적인 방어가 가능하다는 장점이 있다. 그러나 보안 관리자에게 네트워크뿐만 아니라 웹 애플리케이션에 대한 지식도 요구되므로, 실제 적용 시에는 보안 담당 부서와 웹서비스 담당 부서의 긴밀한 협조가 필요하다.
이외에 PCI는 워드라이빙의 위협을 최소화하기 위한 방안으로, 단 몇 분이면 풀 수 있는 WEP 암호화를 무선 네트워크에서 사용하지 않는 것을 요구하고 있다.
◇안티DDoS 장비·웹방화벽 등 이미 수년 전 출시=보안과 해킹은 쫓는 자와 쫓기는 자의 관계라고 말한다. 새롭게 등장한 해킹 기술을 막기 위해 보안 기술이 발전하고, 또 아무리 발전된 보안 기술이 등장해도 그 기술을 우회하거나 기술상 허점을 찾아내 공격을 감행하는 해킹 기술이 바로 등장한다. 보안 관련 업계에서는 해킹 기술을 보안 기술이 영원히 못 따라갈 것이라는 진심 어린 우스갯소리도 한다.
하지만 최근의 DDOS 공격, 정보유출 사고는 최신 첨단 기술에 의한 보안 사고가 아니다. DDoS, SQL 인젝션은 수 년 전 등장해 많은 매체에서 거론됐고, 관련 보안 솔루션인 안티DDoS 장비와 웹 애플리케이션 방화벽, 웹애플리케이션 스캐너는 신기술 축에 끼지도 못한다. 그럼에도 내로라 하는 대기업, 그것도 신용카드 등 민감한 금융거래가 주 업무인 기업들이 기초적인 보안 체계를 갖추지 않아 많은 개인 정보 유출과 금전적 피해를 초래했다.
웹 애플리케이션 방화벽만 갖춰도 올 여름 우리나라와 미국을 강타한 DDoS 공격을 막을 수 있다. 웹 서비스 공격에 대한 방어 체제를 갖추는 것과 함께 데이터 보안 체제도 필요하다.전문가들은 1차적으로 디지털저작권관리(DRM) 솔루션, 데이터유출방지(DLP) 솔루션을 사용해 데이터 보안 체계를 갖추면 설령 해커가 기업 네트워크에 침투해 정보 유출에 성공했다고 하더라도 유출된 정보는 사용할 곳이 없다고 조언한다.
박현선기자 hspark@etnews.co.kr