'해킹 ... 금융에서 안보까지'에 해당되는 글 1건

  1. 2013.06.14 KBS 시사기획 창 '해킹... 금융에서 안보까지'의 아쉬움 (5)



2013년 6월 11일(화) KBS 시사기획 창에서 '해킹... 금융에서 안보까지'라는 주제로 방송이 있었습니다.




http://news.kbs.co.kr/news/NewsView.do?SEARCH_PAGE_NO=&SEARCH_NEWS_CODE=2673391


약속이 있어 늦게 들어와서 당일에는 빨리 보기로 대충 봤죠.

다음날 페이스북에 보안 관련된 일을 하는 사람들의 평이 꼭 좋은건 아닙니다.









* 언론의 문제



기본적으로 언론의 순 기능에 대해서는 잘 생각하고 있습니다.

하지만, 언론의 부정적인 부분도 분명히 있죠.


가장 큰 문제는 어떤 사안에 대해서 취재하는 기자들은 잘 모른다는 점입니다. 

그러다보면 잘못된 내용이나 그점을 이용하려는 세력(?)에 의해 이용 당할 수 있습니다. 그런데, 문제는 기자들은 그 점을 잘 인정하지 않습니다.


인터뷰만 해도 상당수 기자들은 해당 내용의 전문가에게 의견을 들이려는게 아니라 이미 자신이 생각한 말을 듣기 위해 그 사람을 이용(?) 합니다. 저같은 경우도 언론사와 인터뷰하다보면 저는 그렇게 생각안하는데 대본에 해당 말을 해주기를 바라는 경우가 종종 있어 난감한 경우가 있었습니다.


물론 모든 기자들이 이러는건 아니죠. (피해가기 ~~~)

따라서, 방송을 볼 때는 그점을 생각하고 봐야 합니다.




* 해킹... 금육에서 안보까지


방송 하기 전부터 우려스러운 의견이 많았습니다. 과거 이런 방송의 일반적인 패턴이 있었죠.

이 프로그램도 비슷한데요.


긍정적인 면이라면 보안에 대한 경각심을 줄 수 있습니다.

부정적 내용이라면 지나치게 사람들에게 겁을 주거나 오해 할 수 있거나 혹은 잘못된 내용이 나갈 수 있습니다




* 아쉬움 1 ... 인터넷 뱅킹 해킹


인터넷 뱅킹 해킹은 언론의 단골 소재입니다.


보통 사용자 컴퓨터에 악성코드를 감염 시키고 테스트를 하죠.


다른 분들이 지적한것 처럼 일단 이 방식은 은행의 인터넷뱅킹 시스템이 이 해킹 당한게 아니라 사용자 컴퓨터가 악성 코드에 감염된 겁니다. 예전부터 가장 많은 비판을 받는 부분이죠.

그래도 여기서는 인터넷 쇼핑몰의 액티브X를 통해 악성코드를 감염시키네요.


이 방식은 피해자가 악성코드게 감염되지 않으면 할 수 없는 해킹 방식입니다.

이 얘기를 빼고 마치 인터넷 뱅킹이 보안에 취약하다는 것 처럼 얘기하는건 문제 있겠죠.


정리하자면 이 시연의 문제점은 크게 두가지 입니다.


1. 인터넷 뱅킹 해킹이라고 하지만 사용자 컴퓨터 해킹임

  (은행이 해킹 당한게 아님. 이부분에 대한 언급이 없음)


  기술적으로 사용자가 컴퓨터에서 할 수 있는건 프로그램에서도 그대로 할 수 있기 있습니다. 


2. 해당 쇼핑몰에 방문한 사람들만 악성코드에 감염 됩니다.

   따라서 피해자는 매우 한정적일 수 밖에 없습니다.


   물론 인터넷뱅킹 접속 했을 때 악성코드에 감염되거나 포털 방문만으로 악성코드에 감염되는걸 보여줬으면 더 

대박이었겠죠. (하지만.. 이건 사실 범법행위가 시연에서 보여주기 힘들겠죠.)


그냥 인터넷 뱅킹이 위험하다라고만 하지 말고 이런 부분에 대해서도 언급했으면 더 좋지 않았을까 합니다.

그러면 사람들이 인터넷 뱅킹이 위험하구나하는 생각이 아니라 "내 컴퓨터가 악성코드가 감염되면 위험하구나. 어떻게 감염 안되도록 할 수 있을까 ?"라고 생각하지 않을까요 ?



* 아쉬움 2 ... 최악의 상황을 가정


최악의 상황을 가정해 사이버공격으로 국내가 마비되는 모습을 보여줬습니다.

물론 이런 상황이 발생 할 수는 있지만 이런 일이 발생하기 위해서는 한번에 이뤄지는게 아니라 지속적인 공격 시도가 필요합니다.


언론을 통해서도 얘기되고 있지만 어떤 사이버 공격이 발생하는데는 제법 긴 시간이 걸립니다


이론적으로 이런 방송에서 언급한 대규모 공격도 가능하지만 더 긴 시간이 필요하고 징조도 많이 보일 겁니다. 


이런 부분도 같이 얘기했으면 합니다



* 아쉬움 3 ... 특정 업체 주장


특정 업체에 대한 얘기다보니 여기서 자세하게 반박(?)하는건 기는 힘든데요.

다만 확실한건 특정 업체의 주장일 뿐이며 사실 관계가 확인되지 않았습니다. 홍보목적도 다분히 있을테구요.


현재 발생하고 있는 공격은 특정 업체의 보안시스템만 도입한다고해서 해결 될 수 없습니다.

특정 업체만 해결 할 수 있는 문제였다면 이미 특정 업체가 보안시장을 다 차지했겠죠.

하지만, 현실은 그렇지 않습니다.



* 아쉬움 4 ... 백신에 대한 오해 문제


많은 사람들(심지어 보안일을 하는 사람들 조차!)이 백신이 만능이라고 생각합니다.


안랩의 '백신에 대한 오해와 진실'의 말을 인용하겠습니다.


http://www.ahnlab.com/company/site/pr/comPressRelease/comPressReleaseView.do



 '기본적으로 알아야 할 사실은 백신은 알려지지 않은 악성코드[unknown]에 대한 선제적 예방[Proactive] 솔루션이 아닌 ‘알려진 악성코드’에 대한 대응적[reactive]방어책이라는 것입니다.'



공격자의 공격을 백신으로만 막는다는건 잘못된 생각입니다.



* 아쉬움 5 ... 무료 백신과 국내 보안 경쟁력


보면서 제일 황당한 내용이었습니다.

기본적으로 해킹과 백신에 대한 관계를 몰라서 발생한 부분이라고 생각합니다.


아쉽게도 관계 업체에서 일하다보니 제가 언급할 만한 사항은 아닌 듯해 다른 분께서 언급해 주실거라 생각합니다.


제 예상에는 인터뷰한 하우리 분도 자신의 답변이 저런식으로 나갈지는 예상 못했을 듯 합니다.

(편집의 마술이 있으니까요.)



* 마무리


잘나가다 결론 부분이 이상하다는 얘기를 많이 합니다.


막는 방법이 망분리로 나오는데요.

망분리만으로는 막을 수 없죠. 앞에서 얘기한 Stuxnet이 망분리되어 있는 시스템에 공격한 거니까요.


다시 한번 얘기하자면 현재의 보안사고는 특정 솔루션 도입만으로는 막을 수 없습니다.


그리고 자꾸 500명, 500명이라는데 이 추정 근거도 의문이 듭니다만 단순히 보안인력 양성한다고해서 문제가 해결될까요 ?


보안을 의료와 비교해 보겠습니다.


아무리 훌륭한 의사가 많고 의료시스템이 잘되어 있다고 해도 환자가 찾아오지 않으면 어떻게 될까요 ?

환자가 병원을 찾아가지 않는데 마치 "의사들은 많은데 왜 못 막아 ?"라는 얘기와 같습니다 

시간이 지나 보안인력이 대규모 양상되었을 때도 지금과 같은 문제가 발생할 가능성이 높습니다.


의사들만 양상할게 아니라 사람들도 질병에 걸리지 않기 위해 노력을 해야겠죠. 


예방을 위해 노력한다고 해서 병에 안걸리는건 아닙니다.  이때 필요한건 뭘까요 ? 바로 조기 검진입니다

(대충대충 되는 경우도 많습니다만.. 조기검진을 통해 암 등을 발견해 생존율이 올라가는 부분도 분명 있겠죠.) 



다시 한번 결론을 말씀드리자면 현재 사이버보안은 보안인력만 양상한다고 해서 해결 할 수 없습니다.

보안 업무만 하는(상당수가 다른 업무도 같이하죠) 자체 보안팀은 기본으로 구성원 모두가 보안에 대해 신경쓰는 문화를 가지고 이상 징조가 있을 때는 전문가에게 조언을 구하는 형태의 시스템으로 가야합니다.


이렇게 되어도 질병을 100% 막는건 불가능 하듯 보안사고도 100% 막을 수는 없다는 생각을 가지고 다음 단계로 대비해야 겠죠.





Posted by mstoned7

댓글을 달아 주세요

  1. ㅎㅎ 2013.06.17 17:47  댓글주소  수정/삭제  댓글쓰기

    그런데 인터넷뱅킹/개인PC 해킹이든 단어 쓰임이 잘못되었기는했어도.
    전체적으로 볼때는 결국 인터넷뱅킹의 보안시스템이 형편없다는건 뭐 잘표현은했더군요.
    그도그렇고 농협도 서버가 두번이나 뻥뻥 뚫려대는데.
    개인PC해킹이다 뭐다 따지는게 뭐 그리 크게 의미가 없네요.
    그리고 저런 식으로 해킹당해서 인출당한사례가 수년전부터 있었어요.

    지금도 저런 자잘한 딴지거는 순간에도 많은 사람들이 예금이 빠져나가는 피해가 생겨나고 있지요.
    기존에 개인사용자들의 v3같은 방어솔루션은 무용지물인건 뭐 알만한 사람들은 어차피 다들 아실테고.

    전체적으로 본다면 저는 KBS에 손을 들어주고 싶네요.

    지금 상황이 아주 심각하죠. 아주 뽕을 뽑으려고 주말/평일 가리지 않고 신종악성코드를 뿌려대는데.
    피해자가 지금도 계속 발생하고 있고. 은행은 책임지지 않고. ㅎㅎㅎ


    • mstoned7 2013.06.17 20:56 신고  댓글주소  수정/삭제

      좋은 지적입니다. 해당 프로그램은 사이버 보안에 대한 전반적인 관심 촉구 목적으로는 괜찮다고 생각합니다. 그래서 아쉬움이라고 표현했죠. 또 의도가 좋다고해도 오해를 일으킬 수 있거나 잘못된 정보에 대해서는 언급이 필요하다고 생각합니다.

      그리고 이제는 모두 보안에 대해 고민 해야겠죠.

  2. K1SOLO 2013.07.12 18:01  댓글주소  수정/삭제  댓글쓰기

    인터넷뱅킹의 보안취약구간/공격대상을 서비스 이용자인 사용자의 pc로 보고 보도한 내용입니다.
    이미 알려지다시피 백신으로 다 막을수는 없구요....최대 90~95% 수준..
    방송된것은 요즘 사용자 pc해킹 사고유형으로 사용자의 화면을 실시간 원격으로 해킹하는 방법이구요...
    방송에서 나왔던 가상키보드도 과거 물리적 키보드의 보안 헛점에 대한 방비책으로 금융권에서 도입한것이구요 ... 보도한 지금의 해킹공격에는 방어가 어려운게 맞는말이죠..

    근데 방송중 나온 내용을 보면 인터넷뱅킹 시스템의 내부공격까지 된것처럼 애매하게 얘기한 부분이 있는데...이 부분은 방송사에서 내용을 정정보도해야 할 것 같네요...서비스 이용자가 공격을 당한것이지 은행내부 시스템이 해킹 당한것처럼 오해할 소지가 있네요....ㅉㅉ

    어쨌든 인터넷뱅킹을 이용하는 개인사용자가 보다 안전하게 사용할 수 있는 환경이 필요한것은 사실입니다. 악성코드에 감염되는게 개인사용자 문제라고들 하고 개인 PC관리에 대한 방법을 많이들 얘기하는데...
    과연 저희 나라 국민중 얼마나 많은 사람들이 그 부분을 이해하고 실핼할 수 있을까요...
    메일이나, 쇼핑몰,유튜브 동영상 한번만 잘못봐도 감염이 되고....악성코드 소스까지 인터넷에 유포되어 돌아다니는 세상인데요...인터넷뱅킹전용PC를 따로 놓고 쓰란말인가요.
    방송사도 사용자가 감염이 되도 최대한 안전하게 할 수 있는 방법에 대해 찾아서 보도해야지요..



  3. 2013.07.29 11:19  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

    • mstoned7 2013.08.05 08:31 신고  댓글주소  수정/삭제

      정보보안 영역은 매우 넓습니다. 그중에 어떤 분야를 할지 먼저 결정하셔야 합니다.보통 TV나 언론에서 나오는 분야는 이른바 해킹쪽인데요. 그분야를 하시려면 먼저 리버스엔지니어링을 알아야 합니다.