설이 되자마자 슬픈 이야기가 들리더군요. 바로 옥션의 해킹사건입니다. 이 내용에 대해서 많은 기사가 나왔지만, 단순히 당했다는 내용을 넘어 과정까지 자세하게 서술한 곳은 조선일보 쪽이 아닐까 싶습니다. (그나마 추정값입니다만....)

• 회원 1800만명… 개인정보 대거 유출 우려

이 기사에 보면 추정된 고객 정보 유출 과정은 다음과 같습니다.  -조선일보 내용 참고-

 조선일보가 언급한 위 과정대로라면 문제 발생 과정은 네군데로 압축됩니다. 첫번째는 내장된 해킹 프로그램이 어떻게 이메일을 통과 했을까 하는 점. 두번째, 옥션 직원이 어떻게 감염되었는가?라는 사실. 세번째, 직원의 신분으로 어떻게 서버에 접속했을까?하는 부분. 네번째, 내부 직원의 문제는 어떻게 발견했는가?라는 점입니다. 이 문제들 중에서 1~3번까지의 문제점 중에 어느 하나만 끊었더라도 문제가 발생하지 않았겠지요. (설마 이렇게 허술하게 되어 있을까 싶지만...)

1. 내장된 해킹 프로그램이 어떻게 이메일을 통과 했을까?
    옥션은 외부 메일에 대해서는 스팸스나이퍼(SpamSniper)를 통해 스팸은 필터링이 됩니다. 즉, 메일을 통해 메일을 보냈다는 사실은, 최소한 특정 업체를 노리고 해킹하다는 뜻이 됩니다. 이런 식으로 마구잡이가 아닌 특정 업체를 노리고 메일을 보냈다면, 이 이메일은 스팸 필터링을 통과할 수 있습니다. 하지만, 조금 더 생각해 보면 이 이메일이 어째서 내부 직원의 PC를 감염시켰을까?라는 생각입니다.
   
   
2. 내부 직원은 어떻게 감염되었나?
    요즘의 모든 POP3 클라이언트(Outlook, Outlook Express, Thunderbird, Eudora.. etc)는 업데이트만 되었다면 자동 실행을 지원하지 않습니다. 그리고, 보안패치가 안되어 있는 환경이라 할지라도 백신만 잘 설치되어 있다고 해도 어느 정도 막을 수 있을 것이지요. 만약, POP3가 아닌 웹메일을 사용한다고 가정하면, iframe이나 XSS같은 부분의 취약점을 이용한 공격이 가능합니다.
   
    그러나, '정말 백신이 믿을만 한가?', '정상 동작하고 들어온 공격을 막을 수 있을 정도로 빠르게 업데이트를 해주는가?'라는 점을 고민해봐야합니다. 이런 부분이 바로 백신의 핵심이자 최고 중요한 사항입니다. 백신은 바이러스를 바이러스로 인식하기 위해서는 패턴 업데이트가 필수이며, 이 이전에 바이러스가 존재해야만 합니다. 즉, 백신은 이미 피해가 발생하며, 피해가 난 다음에 진행되어야 하기 때문에 언제나 바이러스보다 두세발자국 느릴 수 밖에 없습니다. 더구나, 요즘의 이런 오래된 방법을 사용하는 것은 성공 확률이 낮지요. 이런 낮은 성공 확률을 보이지만, 일단 한번만 실행될 수 있다면, 확실한 효과를 얻을 수 있습니다.
   
    최신의 바이러스나 웜으로 염된 PC는 어설픈 백신으로는 치료가 불가능합니다. 이는 요즘의 감염될만한 바이러스/웜이 루트킷을 이용하여 제작되고 있기 때문이며, 이러한 바이러스/웜에 감염된 PC는 PC가 안뜨거나 파일에 문제가 있는 것이 아니라 지극히 정상적으로 동작하기에 실제 문제 여부를 발견까지 오랜 시간이 소요됩니다.
   
   
   • 2008/02/19 - '중국 크래커에게 IPS와 IDS는 있으나 마나' 기사를 보고
   • 2008/02/04 - 불법 소프트웨어와 백도어
   • 2008/01/03 - 공짜 백신 뜨는데 믿을만 한가?
     
     
3. 외부에서 어떻게 사내 신분으로 어떻게 접속 했을까?
    잘 생각해보면 이미 해킹을 다 당했다 할지라도 방화벽이 있다면 최소한 외부의 불법적인 접근은 막을 수 있지 않았을까?라는 의문은 가질 수 있습니다. 여기서 한가지 우리가 간과하고 있는 사실이 있습니다. 바로 방화벽의 기본 정책이지요. 대부분의 회사에서 방화벽의 기본 정책은 [외부->내부 : 특정 IP+특정 포트]로 제한하지만, [내부->외부 : 모두허용]으로 되어 있습니다. 만약에 감염된 PC의 해킹하는 프로그램이 화면보호기가 뜨는 시간과 같이 한가한 시간에 주기적으로 외부에서 접속해서 원격의 명령어가 모아져 있는 스크립트를 다운로드 받고, 이를 실행하는 것이라면 어떻겠는가? 말도 안된다고 생각하고 있을지 모르겠지만, 이것이 최근 1~2년 사이의 전형적인 좀비PC를 관리하는 방법입니다.
   
    이러한 내용은 (운이 좋다면) IPS나 IDS같은 시스템으로 네트워크 상의 움직임이 확인이 가능한데, 특정 시간, 특정 IP로 접근하는 행동을 감지할 수 있습니다. 하지만, 이것은 진정으로 대단한 고난이도의 작업이며, 네트워크 상에서 쉽게 알아볼 수 없도록 해킹툴도 암호화된 통신을 한다면 분석 역시 쉽지 않지요.
   
   
   • 2007/10/23 - 최근 해킹 분석 - 2007.10.
   
   
4. 내부 직원의 문제는 어떻게 발견했는가?
    보통 외부의 접근은 모두 로그를 남깁니다. 그러면 회사 내부는 어떨까요? 확실히 내부에 있는 직원, 내 옆에 앉아있는 사람은 신뢰할 수 있습니다. 바로 옆에 있으니까요. 그래서 그런지 내부에서 접근하는 직원들은 로그도 안남기고 넘어갑니다. 하지만, 옥션의 사건은 바로 이런 내부 직원이 문제가 되었습니다. 내부 직원을 신뢰하지만, 작은 실수로 이러한 신뢰가 깨진 것입니다. 그 사람의 마우스 하나하나, 손놀림 하나하나를 다 감지하고 모니터링 할 수 있는지요. 이런걸 볼 수 있다면 이런 행위는 관리가 아닌 감시입니다. 결국 이러한 부분은 내부에도 문제가 생겨서야만, 제어를 해야겠다는 생각이 드는 부분입니다.
   
    그리고 로그를 남긴다는 것은 추후 문제 소지를 밝히는데만 도움이 되지, 사전에 문제를 예방하는데에는 전혀 도움이 되지 않습니다.

 아직 옥션에서 공식적으로 어떻게 해킹당했다는 자세한 내용은 밝혀진 것이 없으니(조선일보 측도 아직까지는 우려&가능성으로 이야기를 하고 있으므로...) 아직까지의 내용은 추정에 가깝습니다. 하지만, 이런 사건을 보면 무조건 해킹당한 회사는 나쁜 놈이 된 것처럼 느껴져서 아쉽군요. 현실적으로 어떤 조치를 강구해야 하는지에 대한 답은 없는데 말이죠. 현장에 계시는 분이라면 만약 지금 보안 사고가 발생한다면, 어떻게 막아야 할지에 대해서 한번쯤은 생각해보시는게 어떨까요?