728x90
반응형
예전 경품으로 받은 상품권을 등록했지만 마땅히 사용할 곳이 없어 계속 두고 있었죠.
며칠 전 접속해 보니 1만원이 2009년 12월 23일에 사용된 겁니다.
'어... 사용했네 ? 사용한 기억이 없는데....'
의아한 생각에 문의해보니 게임 아이템 거래 사이트에서 사용되었다는 겁니다.
저는 현재 온라인 게임을 안합니다.
즉... 아래와 같은 결론을 내립니다.
참고로 제 직업은 보안업체 연구원....
조심하라고 사람들에게 말했는데 이거 참 보기 좋게 당했네요.
* 평소 보안 수칙 실천했으나....
보안업체 직원이다보니 일반인보다는 좀 더 보안에 철저하다고 생각하고 있습니다.
인터넷은 가상 머신에서만하고 가상 머신은 1. 업무용 2. 인터넷용 3. 인터넷 뱅킹용으로 3가지로 분리해 사용합니다
. 그리고, PC방 등 외부 컴퓨터에서는 웬만하면 로그인 안합니다.
- 최근 몇 년 동안 외부 컴퓨터 로그인은 친구와 같이 간 PC방에서 틀린 그림 찾기 게임하기 위해 로그인 1회
또, 사이트 종류에 따라 다른 비밀번호를 사용합니다.
- 뚫려도 상관없는 사이트 (뚫려봐야 저를 사칭한 글이나 올릴 곳)
- 포털 사이트 (포털은 좀 중요하니... 몇가지 암호를 번갈아 이용)
- 네이트 (네이트온 때문에 다른 비밀번호 이용)
- 온라인 게임 (온라인 게임을 거의 안하지만 다른 비밀번호)
- 은행, 증권 (유출되면 금전적 손해가 있는 사이트)
여기서 실수한건 상품권 형태의 사이버캐시를 뚫려도 상관없는 사이트의 비밀번호와 똑같이 둔 겁니다.
(왜 그랬지....)
이 일이 제가 마침 '보안업체 해킹으로 본 보안의 어려움'이란 글을 쓰고 나서 발생해 기분 참 묘하네요.
- 해당 글은 보안업체도 뚫릴만큼 보안은 어렵다 입니다.
이제 해킹은 본인만 조심한다고해서 (물론 뚫려도 상관없는 곳의 비밀번호를 사용한 제 책임이 크지만...) 되는게 아닙니다. 아무리 안전 운전해도 상대방이 차선 위반하면 교통사고 나는 것 처럼요.
다만 해당 사이트에도 아쉬운건 금액을 이용할 때 본인 인증(휴대폰 인증 등)을 하지 않았다는 점입니다. 본인 인증을 한번만 더 했어도 금액 유출은 힘들었을텐데 말이죠.
* 보안을 위해 추가로 할일
평소 보안수칙을 잘 지켰다고 생각했는데...
자기가 조심해도 뚫릴 수 있다는 생각에 보안을 위해 추가로 할일이 생각났습니다.
1. 사이버신고센터에 신고 (http://www.netan.go.kr/)
나름 교훈을 준 범인이지만... 사이트 2곳에 접속했으니 로그인 기록 남아있을테니 추적은 어렵지 않을 듯...
하지만.. 혹시 외국에서 접속을 ?!
2. 뚫려도 상관없는 사이트 비밀번호 이용 금지 및 기존 사이트 비밀번호 변경
뚫려도 상관없는 사이트 비밀번호는 이제 폐기해야 겠네요. 그리고, 기존에 자주 접속하는 사이트 비밀번호도 변경해야겠습니다.
3. 자주 접속하지 않거나 보안이 의심스러운 사이트 탈퇴
제 컴퓨터 이용상 컴퓨터에 악성코드가 감염되어 정보가 유출되었을 가능성은 낮으니 보안에 취약한 웹사이트를 통해 유출되었을 가능성이 높겠네요. 이런 사이트는 탈퇴해야 겠습니다.
4. 사이트에 따라 다른 계정 혹은 비밀번호 방식 사용
각 사이트마다 다른 계정 혹은 비밀번호를 이용하는 겁니다.
이런 방법을 이용할 경우 헷갈릴 수 있기 때문에 생성 알고리즘을 잘 만들어야 합니다.
예전부터 생각했는데 귀찮아서 알고리즘 만들다가 말았는데... 얼른 해야겠네요.
이 방법 역시 알고리즘이 알려질 경우 더 위험해 질 수 있지만 공격자는 몇 개 사이트를 뚫어서 계정과 비밀번호를 얻어야지만 유추 할 수 있으므로 안정성은 올라갑니다.
1만원을 잃고 얻은 교훈으로는 다행이네요 ^^
1만원을 잃고 앞으로 100만원, 1천 만원을 보호할 수 있었다고 생각해야겠습니다.
ps.
1. 이러다... 제가 정말 해당 사이트에서 이용한거면 어쩌지하는 생각도 합니다.
하지만, 전 해당 사이트에 가입도 안되어 있네요....
2. 이걸로 칼럼 글 써서 .. 잃은 1만원 보다는 더 벌겠네요. 쩝
3. 1월 29일 해당 업체는 아래와 같은 메일을 보냈습니다. 대규모 시도가 있는 걸로 보입니다.
며칠 전 접속해 보니 1만원이 2009년 12월 23일에 사용된 겁니다.
'어... 사용했네 ? 사용한 기억이 없는데....'
의아한 생각에 문의해보니 게임 아이템 거래 사이트에서 사용되었다는 겁니다.
저는 현재 온라인 게임을 안합니다.
즉... 아래와 같은 결론을 내립니다.
| 누군가 어떤 웹사이트를 해킹 해서 얻은 ID와 비밀번호로 접속해서 구매했다. |
참고로 제 직업은 보안업체 연구원....
조심하라고 사람들에게 말했는데 이거 참 보기 좋게 당했네요.
* 평소 보안 수칙 실천했으나....
보안업체 직원이다보니 일반인보다는 좀 더 보안에 철저하다고 생각하고 있습니다.
인터넷은 가상 머신에서만하고 가상 머신은 1. 업무용 2. 인터넷용 3. 인터넷 뱅킹용으로 3가지로 분리해 사용합니다
. 그리고, PC방 등 외부 컴퓨터에서는 웬만하면 로그인 안합니다.
- 최근 몇 년 동안 외부 컴퓨터 로그인은 친구와 같이 간 PC방에서 틀린 그림 찾기 게임하기 위해 로그인 1회
또, 사이트 종류에 따라 다른 비밀번호를 사용합니다.
- 뚫려도 상관없는 사이트 (뚫려봐야 저를 사칭한 글이나 올릴 곳)
- 포털 사이트 (포털은 좀 중요하니... 몇가지 암호를 번갈아 이용)
- 네이트 (네이트온 때문에 다른 비밀번호 이용)
- 온라인 게임 (온라인 게임을 거의 안하지만 다른 비밀번호)
- 은행, 증권 (유출되면 금전적 손해가 있는 사이트)
여기서 실수한건 상품권 형태의 사이버캐시를 뚫려도 상관없는 사이트의 비밀번호와 똑같이 둔 겁니다.
(왜 그랬지....)
이 일이 제가 마침 '보안업체 해킹으로 본 보안의 어려움'이란 글을 쓰고 나서 발생해 기분 참 묘하네요.
- 해당 글은 보안업체도 뚫릴만큼 보안은 어렵다 입니다.
이제 해킹은 본인만 조심한다고해서 (물론 뚫려도 상관없는 곳의 비밀번호를 사용한 제 책임이 크지만...) 되는게 아닙니다. 아무리 안전 운전해도 상대방이 차선 위반하면 교통사고 나는 것 처럼요.
다만 해당 사이트에도 아쉬운건 금액을 이용할 때 본인 인증(휴대폰 인증 등)을 하지 않았다는 점입니다. 본인 인증을 한번만 더 했어도 금액 유출은 힘들었을텐데 말이죠.
* 보안을 위해 추가로 할일
평소 보안수칙을 잘 지켰다고 생각했는데...
자기가 조심해도 뚫릴 수 있다는 생각에 보안을 위해 추가로 할일이 생각났습니다.
1. 사이버신고센터에 신고 (http://www.netan.go.kr/)
나름 교훈을 준 범인이지만... 사이트 2곳에 접속했으니 로그인 기록 남아있을테니 추적은 어렵지 않을 듯...
하지만.. 혹시 외국에서 접속을 ?!
2. 뚫려도 상관없는 사이트 비밀번호 이용 금지 및 기존 사이트 비밀번호 변경
뚫려도 상관없는 사이트 비밀번호는 이제 폐기해야 겠네요. 그리고, 기존에 자주 접속하는 사이트 비밀번호도 변경해야겠습니다.
3. 자주 접속하지 않거나 보안이 의심스러운 사이트 탈퇴
제 컴퓨터 이용상 컴퓨터에 악성코드가 감염되어 정보가 유출되었을 가능성은 낮으니 보안에 취약한 웹사이트를 통해 유출되었을 가능성이 높겠네요. 이런 사이트는 탈퇴해야 겠습니다.
4. 사이트에 따라 다른 계정 혹은 비밀번호 방식 사용
각 사이트마다 다른 계정 혹은 비밀번호를 이용하는 겁니다.
이런 방법을 이용할 경우 헷갈릴 수 있기 때문에 생성 알고리즘을 잘 만들어야 합니다.
예전부터 생각했는데 귀찮아서 알고리즘 만들다가 말았는데... 얼른 해야겠네요.
이 방법 역시 알고리즘이 알려질 경우 더 위험해 질 수 있지만 공격자는 몇 개 사이트를 뚫어서 계정과 비밀번호를 얻어야지만 유추 할 수 있으므로 안정성은 올라갑니다.
1만원을 잃고 얻은 교훈으로는 다행이네요 ^^
1만원을 잃고 앞으로 100만원, 1천 만원을 보호할 수 있었다고 생각해야겠습니다.
ps.
1. 이러다... 제가 정말 해당 사이트에서 이용한거면 어쩌지하는 생각도 합니다.
하지만, 전 해당 사이트에 가입도 안되어 있네요....
2. 이걸로 칼럼 글 써서 .. 잃은 1만원 보다는 더 벌겠네요. 쩝
3. 1월 29일 해당 업체는 아래와 같은 메일을 보냈습니다. 대규모 시도가 있는 걸로 보입니다.
728x90
반응형
'보안위협 (악성코드, 취약점) > 짧은생각 긴 얘기' 카테고리의 다른 글
| 국내 악성코드와 액티브X컨트롤로 본 오픈웹에 바라는 점 (5) | 2010.04.03 |
|---|---|
| SBS 뉴스 추적 - 인터넷 해킹 주의보 (17) | 2010.03.25 |
| 인증과 스트레스 (0) | 2009.12.22 |
| 국내 보안 업계 및 업체 그리고 보안 전문가 (4) | 2009.12.07 |
| Avast! Win32:Delf-MZG [Trj] 오진에 대한 단상 (4) | 2009.12.03 |