분류 전체보기 (691)
현재기분 (288)
혼자놀기 (394)
도미노왕 (0)
부끄러워 (6)
보안에 해당되는 글
2007.11.05

공인된 보안조치?


http://bit.ly/NLxafz : 경찰, 넥슨 대표 등 기소의견 검찰 송치


"서 대표 등은 공인된 백신을 사용하지 않는 등 법률에 규정된 기술적 조치 의무를 제대로 이행하지 않다가 해킹을 당해, 지난해 11월 회원 1,320만 명의 개인정보가 유출되도록 한 혐의를 받고 있습니다."


"이에 대해 넥슨 측은 공인된 백신이 보안에 더 취약할 수 있어 다른 방식으로 보안을 철저히 해왔다며 혐의를 부인하고 있는 것으로 알려졌습니다."


 제도적으로 기업의 보안수준을 지정해 놓는건 이해할 수 있습니다. '어느정도까지를 안전하다고 볼수 있을지' 대략적이나마 규격이 있는건 좋은 일입니다.


 하지만 제도가 '어떤 백신을 써야 하는지' 수준까지 정해놓은 경우라면 얘기가 다릅니다. 그런 방식으로는 보안 기법의 발전도 없고, 책임소재도 불분명합니다.


 기사에 따르면, 넥슨의 경우엔 '공인된 보안조치(백신)를 믿을수가 없어서' 자체적인 보안조치를 운영하다가 해킹당한 경우입니다. 자체적인 방식을 운영하다가 사고가 났다면 그건 넥슨의 잘못이 맞습니다. 기업의 책임이 확실해지는 경우입니다.


 하지만 만약 개인정보를 취급하는 기업에서 '공인된 보안조치'만을 운영해 오다가 해킹사고가 발생했다면 어떻게 될까요? '공인된 보안조치가 헛점을 드러낸 경우' 엔 누가 책임져야 할까요? 


 기사 내용대로라면 '공인된 보안조치를 이행하지 않았음' 이라는 혐의는 일단 피해가게 될것입니다. 이런식이라면 '공인된 보안조치' 는 사고 발생시 '책임회피용' 으로 전락하게 될것입니다. '보안 조치' 자체의 문제를 진단할수도 없게 됩니다. 그것은 제도로 '의무' 화 되고 있는 것이기 때문입니다. 기업이 자체적으로 추가 보안조치를 해야 할 필요를 못느끼게 만듭니다. '고객 개인정보 보호' 라는 원래 취지와는 멀어질수밖에 없습니다. 개인정보 유출 사고를 내고도 혐의가 없어서 사고책임을 지지 않아도 되는 기업이 점점 많아질 것입니다.


 제도가 구체적인 보안 기법까지 의무화하거나 간섭하는것은, 기업이 다양한 방식을 도입하거나, 보안 기법들이 서로 우수성을 검증할 수 있는 토양 자체를 없애버리는 바보같은 짓입니다. 책임질 사람도 없고, 기법이 단일화 되면 그것을 과연 보안이라고 할수 있을지요?



꼬리> 

네이트 대규모 개인정보유출 사고 당시, 감사장에 네이트측 책임자를 앉혀놓고는 모 의원님께서 '왜 성능좋은 국산백신(V3 말인지?) 안쓰고 외산백신 썼느냐' 고 묻자 '외산백신(노턴이었던걸로 기억합니다)이 더 좋아서 사용중이었다' 고 대답했던게 생각나는군요. ㅋ

arrstein
0TRACKBACK, 0REPLIES
name
password
homesite

디아블로3 보안문제 관련 기사를 읽고


http://bit.ly/LaRtTI : 디아3 계정 해킹 극성... 알아서 해라?


나는 저 기사가 마음에 들지 않습니다. ㅋ

그러니 오늘은 '보안 뉴스를 다루는 뉴스매체'와 관련된 글을 써보겠습니다.


먹을만한게 있는 곳에는 파리가 꼬인다더니, 국내 IT분야에선 '보안' 분야가 딱 그런 곳인것 같습니다. '보안'과 관련해서는 국내 일부 보안업체와 그 회사들의 의견을 퍼다 나르는 매체들이 굉장히 나쁜 습관을 가지고 있고, 저 기사에서도 그런 문제들을 여전히 발견할 수 있습니다.


보안 뉴스매체들의 문제를 초 간단 요약하면, ['보안 문제' 의 본질을 이야기 하지 않으면서 특정 보안솔루션 판매 업체의 의견을 싣고 그것으로 '퉁' 친다]는 것입니다. 이것은 왜곡이나 다름없는 짓입니다. 지금부터 그것들을 저 기사를 바탕으로 제 나름대로 큼직 큼직한 덩어리로 나누어 짚어보겠습니다.


1. 제목 "해킹극성... 알아서 해라?"


보안은 원래 특정 방식을 강제하는게 아니라, 제각각 알아서 하는게 맞습니다. 게임사(또는 서비스 운영사)는 그들이 가능한 부분까지 알아서 잘 해야하고, 사용자들은 자신의 PC를 알아서 잘 관리해야 됩니다. 그게 정상입니다. 뒤에 의문부호가 참 보기 그렇네요.


2. "현재 계정 탈취를 막을 수 있는 별도의 해킹차단 장치가 마련돼 있지 않아 큰 문제점으로 지적되고 있다"


그 '큰 문제점' 이라는건 ' 해킹차단 장치'를 팔아 수익을 얻는 업체들에게나 큰 문제인 거겠지요. 사용자의 PC단에 무조건' 해킹차단 장치' 설치를 '강제'해야만 '높은 수준의 보안성'이 확보되는 것이 아닙니다. 목표한 보안성을 달성할 수 있는 나름대로의 방식으로 보안 사고가 통제 가능한 수준 내에서 일어난다면, '해킹차단 장치(보안플러그인 말하는듯)'설치를 강제하지 않아도 됩니다.


아니 애초에 '모든 사용자는 우리 서비스를 쓸 때 보안장치를 설치해야 한다'며 강제하는 것은 무책임에 가깝습니다. 그 서비스의 보안 책임을 사용자 PC들에게 강제로 떠넘기는 것이니까요. 그건 처음부터 글러먹은 설계입니다. '모든 이용자 여러분의 PC 환경에 보안플러그인을 설치해서 일부 변형을 가하기만 하면 우리 서비스가 해킹당하는 유혈(?)사태는 일어나지 않을 것입니다' 라니, 이렇게 '무책임하게 강제된' 구조를 어떻게 '안전'하다며 철썩같이 믿고 있을수 있는지 이해할수가 없습니다.


위에서도 말했듯이 보안은 서비스 업자와 이용자가 제각각 알아서 잘 해야 하는 것입니다. '모든 사용자에게 보안플러그인을 강제하지 않으면 안전하지 않은 서비스'는 상식적으로는 존재해선 안됩니다.


보안은 다양한 기법이 목적에 맞게 채택되고 운영되어야 하는 것입니다. 앞으로 어떤 형태의 보안 위험이 생길지 모르는데 서비스 운영사가 자신들 서버와 네트워크 보안조치보다 사용자 개개인의 PC에 보안플러그인 설치를 강제하는데 더 열을 올리고 의존하는게 정상이라고 생각되지 않습니다. 이런 의존적이고 강제적인 구조를 넘어서는 위협이 발생할 경우 제대로 대응하지 못할게 너무 뻔합니다. 그리고 이런 '강제된 '구조를 비웃는 굵직한 사고도 이미 여러차례 발생했습니다. 누구 누구들에겐 어떻게든 잊고 싶은 사건이겠지만요.


3. '디아블로 3 배틀넷 계정이 어떻게 위험에 노출되는지' 설명이 구체적이지 않고 편향적임


기사 본문에는 '잉카인터넷' 이라는 회사의 자문을 구한듯한 그림과 내용이 실려 있습니다. 정리하면 'IE나 윈도우 시스템에 악성코드가 삽입되어 그것을 통해 디아블로 3 계정 접속에 필요한 정보가 유출된다'는 내용입니다.


하지만 어떻게 IE와 윈도우 시스템에 그런 악성코드가 설치 되는지는 제대로 언급하지 않습니다. '해킹차단 장치 설치 강제'에 명분을 주기 위한 기사라는걸 의심해 볼 만 합니다.


게다가 '악성코드로 사용자 개인의 정보가 유출된다'는 건 보통의 경우엔 개인 사용자의 PC에서나 일어날만한 일입니다. '디아블로 3 계정 보안문제' 를 언급하는데 '블리자드사 측에서 책임져야할 보안영역' 문제는 전혀 언급하지 못하고 있어 편향적입니다. 앞에서 말한 '모든 이용자의 PC에 보안플러그인 설치를 강제하는 책임 전가형' 모델로 갈 것을 내심 기대하는 것처럼 보이기까지 합니다.


국내에선 게임사 계정도용, 아이템도난 사건이 사용자 PC단에서 발생한 계정정보 유출때문에 일어난 것이 아니라, 게임사나 포털사이트의 서버가 해킹당해서 개인정보가 대규모로 유출되어 일어나는 경우가 대부분이었습니다. 네이트가 그랬고 넥슨이 그랬습니다. 한국인들은 십여 년 넘게 그들이 뿌리는 각종 보안플러그인들을 때로는 흔쾌히, 때로는 참아가며 깔아주었지만, 정작 굵직한 보안 사고의 대부분은 '사용자'측이 아닌 '서비스 운영사'의 서버나 보안체계에서 발생했습니다. 그럼에도 아직까지 일부 매체나 보안업체가 내는 글의 평균적인 수준이 이정도라면, 이건 귀를 닫고 눈을 감은것도 정도가 있지, 애초에 양심이 없는게 아닌가 하는 생각이 약간 듭니다.


'사용자 모두가 PC를 안전하게 관리할만큼의 지식을 갖고 있는 것은 아니니 보안플러그인이 도움이 될수 있다' 는 지적을 하실 수 있겠습니다. 하지만 그럴수록 '어떤 경우에 악성코드가 PC에 유입되는가' 를 자세히 설명해야 합니다. 그래야 사용자들의 보안의식 자체를 점검하고 환기할 수 있기 때문입니다. '집에 쥐가 안생기게 하려면 어떻게 하나요?' 하고 묻는 사람에게 '쥐를 때려잡으려면 이 몽둥이를 무조건 사세요' 하며 몽둥이 사용을 강제해선 안됩니다.


대응책은 예측과 사고사례가 있고 나서야 생깁니다. '해킹차단 장치'를 설치를 강제하고, 그게 설치되어있는지 아닌지를 파악하는 것이 앞으로 다가올 신종 보안위협까지 알아서 막아주진 못합니다. 뉴스매체가 보안업체의 의견을 전하기보다 '이용자의 안전한 PC 이용 습관'을 환기하는데 더 신경 써야 하는 이유입니다.


4. 기사에 다른 꿍꿍이가 없었다면...


그렇다면, 꼭 저 기사가 아니더라도 '보안 뉴스'를 다루는 매체가 진심으로 요즘 뜨는 게임의 '사용자 계정 보안' 문제를 환기하고자 했다면 어떤 내용이 들어가야 했을까요? 내 나름대로 생각해본 것들을 써보면 이렇습니다.


일단 '디아블로 3 배틀넷 계정'이 어떻게 도용피해를 입을 수 있는지를 생각해 봐야 할 것입니다.

배틀넷에 접속할때는 블리자드의 OTP 인증절차를 거치게 되어 있습니다. OTP는 서비스 운영자와 이용자가 상호작용하는, 나쁘지 않은 인증수단중 하나지요. 하지만 OTP 방식에서도 사고는 납니다.


예를들어 OTP 사용중인데도 계정 자체가 도용당했다면, OTP 번호가 재생성되기까지의 시간이 길어서, 그 사이에 번호가 유출되었을 수가 있습니다. 이 경우 운영사와 서비스 이용자에게 모두 일부 책임이 있을수 있는 복합적인 문제가 됩니다.


그외 OTP 서버의 seed값 자체가 해커에게 유출되어서 OTP가 무력화 됐다거나, 게임 서버측 결함으로 자신과 무관한 계정의 캐릭터에 접근할 수 있게 되는 등의 문제가 있다면 그건 전적으로 블리자드사가 책임져야 할 문제가 되겠지요.


기사가 진심으로 '보안' 에 관심이 있었다면 게임사가 조치가능한 보안영역에 대한 점검을 강조하는 내용도 다루었어야 합니다.


그리고 '사용자측이 조심해야 할 것' 또한 기사 내용에 담아야겠지요?


악성코드는 출처가 불분명한 프로그램을 실행하거나, 악성코드에 감염된 웹사이트에 접속할때 유입되고 설치되는게 일반적입니다. 그러니 [사용자들은 '디아블로3 맵핵'이나 '트레이너', '아이템/게임머니 복사'를 가능하게 해준다는 유틸리티나 웹사이트들을 이용하지 말아야 한다] 식으로, 유의해야 할 악성코드 전파경로를 함께 알려주는 기사가 되어야 합니다.


'IE에 삽입된 악성코드가 계정정보를 탈취한다' 고 할게 아니라, [IE 보안업데이트를 충실히 하고 악성코드 검사를 자주하며, PC방 등 공용 PC에서는 다른 안전한 브라우저를 사용하거나 '시크릿 모드'를 활용할 것]을 권하는 것도 괜찮을 것입니다.


5. 결론


'보안 뉴스' 를 다루는 매체들의 한결같은 기사들이 하루이틀 나온게 아닙니다. 그래서 그것들을 떠올리며 쓰다보니 글이 쓸데없이 길어진 감이 있습니다.


많은 보안사고 뉴스를 보면서 생각한건, '보안은 사람이 먼저'라는 것입니다. 어떤 장치를 가져다 줘도, 어떤 기술이 나와도 그것이 근본적인 해법이 아니며, 완전한 조치가 아닙니다.


그러므로 '보안뉴스'를 다루는 매체는 서비스 운영사와 사용자들이 제각각의 보안 의식, 안전한 PC이용 습관 자체가 향상되도록 점검하고 환기하는 방향으로 발전해 나가야 합니다.


볼사람이 있겠냐마는 ㅋ 긴 글 읽으시느라 수고 하셨습니다.

쓰느라 고생한 나님도 수고.

'혼자놀기' 카테고리의 다른 글

공인된 보안조치?  (0) 2012.06.07
디아블로3 보안문제 관련 기사를 읽고  (0) 2012.06.04
민방위 때문에...  (0) 2012.05.23
여기가 낙원인 것입니다 여러분!  (0) 2012.05.18
arrstein
0TRACKBACK, 0REPLIES
name
password
homesite

이름이 아깝다. Ahnlab



안철수연구소 트위터의 이 트윗이 병*인 이유

1. *긴급 보안경보* 라고 해놨는데 어떤 어플리케이션이 개인정보 유출 시도하는지에 대한 언급이 전혀 없어서 정말 긴급한건지 알수가 없음. ('긴급한 정보' 라고 할만한걸 전혀 담고있지 않음)

2. 트윗에 있는 저 주소( http://ow.ly/2l12x )에 가보면 혹시 관련 언급이 있을까 하여 가봤지만 생뚱맞게 Win32용 Trojan이나 Virus 정보만 링크되어 있음(악성코드 Top5, 보안권고문, 신종바이러스), 공지사항을 읽어보니 '안드로이드 월페이퍼 어플이 개인정보를 유출하는 사례가 발견됐다' 는 식으로 적어놨는데, 자기들이 분류한 진단명(Android-Spyware/Ewalls)만 딸랑 적어놓고 무슨 어플인지는 안적어놓음. 알려줘야 마켓에서 피해가던가 '부적절한 컨텐츠' 신고를 누르던가, 따로 apk를 설치할때 확인을 하던가 할게 아니냐고... '대응을 완료했다' 라는 표현을 쓸 정도면 문제를 일으키는 그 어플에 대한 분석도 마쳤다는건데, PC용 win32 악성코드나 바이러스는 그렇게 빠르고도 상세히 분석해서 정보페이지를 제공하면서, 모바일에선 왜이리 스리슬쩍 넘어가려 하시나요~??

3. '긴급'하다 하고, '전용' 백신까지 무료로 배포한다길래 혹시 그 백신에 관련 '보안경보' 에 대한 좀더 자세한 언급이 있을까 싶어서, 트윗에 적혀있는 주소로 가서 폰에서 V3Mobile_FB를 받아 설치해봄. 역시 없음. 뭘 잡으려드는지 괜히 검사만 하고 잡히는것도 하나 없음.

정리 : '긴급' 하다는데, 뭐가 긴급한지도 안알려주고 무료백신만 받게 함. 모바일 페이지에서 관련정보를 거의 제공안함 . 그저 실효성이 의심되는 지들 모바일 백신(솔직히 백신이라고 불러줘야 하는지도 의문) 홍보용 트윗일뿐. 거기 *긴급 보안경보* 따위를 붙여놓은게 정말 뻔뻔해보임. 잘 모르고 욕하게 될까봐 속아주는 척 하며, 설마 하며 받았지만 그 설마가 실제로 일어났습니다!!!

나의 결론 : 안철수 이름이 아깝다. PC용 백신 좀 쓸만해져서 써주고는 있는데 모바일에서 다시 예전같은 병*짓을 하려는듯. 하긴 안철수 연구소만 그러는건 아니지...이런 수준의 트윗도 보안업계에서 일종의 생존전략이라고 치면, 그저 불쌍할뿐. 정말 고생이 많으십니다....

꼬리1>
이건 아주 단순하게 뒤집어 말하면 문제를 일으키는 그 어플을 설치하지 않거나, 구글 또는 통신사가 마켓,스토어 등에서 그 어플을 삭제해 버리면 이 '백신' 도 아무짝에도 쓸모없게 된다는거다.

실제로 국내의 T스토어 같은곳을 제외하면, 마켓에서는 월페이퍼 기능을 하는 어플의 경우 전용 월페이퍼 어플의 add-on 으로 제공되는게 보통이고, 검색에서 잘 나타나지도 않으며 검색에서 나타나는것들중 위에 나타나는건 대부분 유료 월페이퍼들이고, 그외 월페이퍼들은 마켓의 어플 리스트의 윗쪽에는 거의 나타나지도 않는다, 목록을 한참동안 밑으로 내리면 므흣(?)한 아이콘들과 함께 나타나는게 대부분... 

꼬리2>
꼭 안철수 연구소를 지목해서 하는 말은 아니지만, 저는 일부 해외업체 그리고 국내 보안업체들의 이런 수작과 말장난 -- 보안위험이 사용자의 보안의식이나 노력과는 별개로 필연적으로 발생하며, 전적으로 악성코드,바이러스 등에 의해서 발생하는 것이라고 제한하여 생각하게 만드는 모호한 제품명, 용어, 홍보용 단어의 선택 -- 때문에 국내 관련업계가 상당히 거품이 낀 상태라고 보고 있습니다. 

그리고 이들은 이런 엉터리 짓을 이제 아이폰/안드로이드 같은 모바일쪽에서 똑같이 하려 하고 있지요. 상대적으로 엄격한 어플리케이션 검증체계를 갖고있는 아이폰의 경우엔 이런 (개)수작들이 앱스토어 문앞에서 좌절하거나 겉돌고 있지만, '자유로운 설치, 자율 등록, 사후 조치' 방식의 안드로이드 쪽에서는 벌써부터 시장선점 의도외엔 다른 장점을 전혀 발견할수 없는 '백신' 들이 뻔뻔스럽게도 나타나서 사용자들을 혼란스럽게 하고 있습니다. 덕분에 안드로이드는 상당히 안전한 플랫폼임에도 '백신이 필수인 OS' 정도로 인식되고 있지요. 

사람들이 오래 사용해온 윈모 계열이면 모를까(사실 윈모도 안전한 편입니다).. 흔히 알려진 개념의 '바이러스/악성코드' 라는말을 모바일 환경에서도 아무렇지도 않게 써먹는게 정말 말이 안된다고 생각합니다. 악성 어플리케이션/스파이웨어 라면 또 몰라도...그러니 제품 이름이 '백신' 이 아니라 '악성 어플 검출/삭제 도우미' 쯤으로 되어야 하는거 아닙니까?  안드로이드에서 Win32 바이러스/악성코드 검사치료 하시게요? 

이보시오 보안업체 양반~ 그렇게 사기치는데 자신이 있으세요~?

'혼자놀기' 카테고리의 다른 글

초대장 보내드렸슴  (10) 2010.08.05
이름이 아깝다. Ahnlab  (0) 2010.08.05
내가 뭐라 말해도 되는 일은 아니다만  (0) 2010.08.01
안드로이드 개발도구 + 그외 잡담  (1) 2010.07.19
arrstein
0TRACKBACK, 0REPLIES
name
password
homesite

알약

http://www.alyac.co.kr

광고배너에 '알툴즈 신약개발!!!' 이라고 뜨길래 '이게뭐냐...' 하면서 골라보니 저런게 뜬다.

드디어 알툴즈도 바이러스/악성코드 보안 소프트웨어를 선보이는구나...

뉴스 검색해보니 해외 유명 제품의 검사/치료엔진을 계약해서 탑재했다던데...

나오면 한번 써봐야겠다. 공짜로 쓸수있다니 좋지 아니한가!!

'혼자놀기' 카테고리의 다른 글

고학력덕후  (2) 2007.11.12
알약  (1) 2007.11.05
해적왕이 되실 동무  (3) 2007.10.31
F22 Raptor  (1) 2007.10.24
arrstein
0TRACKBACK, 1REPLIES
  2007.11.05 15:41 신고 | link | edit or delete | write reply 
유수 보안업체들의 다구리를 견뎌내고 무료 실시간 백신을 발표하기까지의 노고를 생각하면.. 이제 pc도사같은건 좀 안봤으면 좆겠네요.
name
password
homesite
*1 
명박스럽다 takeshima japan sea dokdo

티스토리 툴바