반응형
해킹과 보안은 관점의 차이일뿐이다
'마지막 잎새'로 우리에게도 잘 알려진 미국의 단펴소설 작가 '오 헨리'의 단편 되찾은 인생은 참 재미있는 소설입니다.
80년대 수사반장의 소재로도 쓰였던 이 소설의 내용은 이렇습니다.
'지미 발렌타인'은 금고 털이범입니다. 그는 교도소를 뻔질나게 들락거리는 인물이죠. 그가 출소 한 후 다시 은행금고가 털렸습니다. 형사는 그를 끝까지 쫒아갑니다. 그러나 지미 발렌타인은 새 삶을 살고 싶어 했습니다. 금고 털이범이 아닌 근사하고 멋진 청년으로 아름다운 여인과 살고 싶어 하고 그렇게 금고 털이 인생을 끝낼려고 했습니다.
형사 벤은 그를 끝까지 추적했고 지미가 새 삶을 살려는 동네에 까지 찾아갑니다. 벤은 지미로 의심되는 사람 주변에서 서성입니다. 그러나 결정적인 증거도 없고 그게 지미인지도 확신이 서지 않습니다.
그러나 사건이 터지죠.
꼬마아이가 금고를 가지고 놀다가 금고안에 갖히는 사건이 터집니다.
아이 부모는 살려달라고 울먹이죠. 그때 지미가 그 금고앞에 다가갑니다. 벤이라는 형사가 지켜보고 있는 가운데 지미는 갈등하게 됩니다. 금고를 열게 되면 벤은 지미에게 수갑을 채울 것 입니다. 그 금고를 여는 자체가 바로 지미임을 인증하는 것과 동시에 금고터는 기술을 인증받기 때문이죠
하지만 지미는 교도소에 갈수 있다는 것을 알면서도 아이를 위해 금고를 엽니다.
그러나 벤은 그 모습에 감동해서 지미의 삶을 축복해 주고 그 마을을 떠납니다.
금고털이범이나 금고전문가나 갖춘 지식은 똑 같습니다. 다만 그게 합법이냐 불법이냐 차이죠
제가 이 이야기를 왜 꺼내냐면 보안이 이와 비슷합니다. 해커와 보안전문가는 같은 사람이라고 하죠. 단지 한 사람은 불법을 저지르는 데 그 기술을 사용하고 보안전문가는 해커의 그 기술을 방어하는 것이고요.
실제로 보안전문가 출신중에는 전직 해커가 많습니다. 해커가 정확하게 나쁜 용어는 아닙니다. 크래커라고 해서 시스템을 파괴하고 해킹을 통해 수익을 내는 악덕한 놈들이 있는가 하면 화이트 해커라고 해서 당신네들 서버에 결함이 많으니까 보안조치 하라고 메일을 보내는 착한 해커도 있죠. 뭐 화이트 해커가 그렇게 조언해주면 멍충한 보안팀이 그 화이트 해커 신고하는 촌극도 벌어지는게 한국입니다.
보안과 해킹 이건 창과 방패의 싸움입니다. 그러나 항상 해커가 한발 앞서죠. 해커가 한발 앞선 네트워크 기술을 선보이면 거기에 맞는 보안 대책을 세우는게 현실입니다. 따라서 정말 유능한 해커는 자신이 해킹한 흔적을 전혀 남기지 않고 남의 시스템을 자유롭게 돌아다니고 나온다고 하죠. 로그 파일 위변조는 기본중의 기본이고 IP세탁은 해킹 1장1절에 나와있습니다.
보안은 항상 해커의 뒤를 따라 갈 뿐
세계 최고의 해커였던 케빈 미트닉은 IP스푸핑의 대가였죠. IP스푸핑은 TCP/IP의 결함을 이용해서
내가 상대인것 처럼 속이는 기술입니다. 예를 들어 청와대에 들어갈려면 청와대 보안패스가 있어야 하고 출인인증을 받은 사람인지를 철저하게 조사하고 대조하죠. 그런데 IP스푸핑이 그런 인가된 자의 IP를 알아내서 자신이 그런 출입증이 있는 사람인양 속여서 시스템에 접근합니다.
이 케빈 미트닉이 대단했던 것은 휴대폰을 이용해서 인터넷을 접속했고 수시로 장소를 이동하면서 무선 통신으로 접속해서 잡기 힘들었습니다. 그런데 이 대단한 케빈 미트닉을 일본계 미국인 보안전문가가 잡아 냅니다.
이렇게 항상 보안전문가들은 해커들의 뒤를 따라갈 뿐입니다
그래서 정말 중요한 자료는 외부에서 접속할 수 없게 물리적 보안으로 철저하게 차단시켜놓아야 합니다.
만약 발전소 같은 국가 기관산업을 직원들이 편리하게 관리하라고 외부에서 접속해서 벨브나 여러가지 장치를 작동하게 해놓아 봐요. 해킹당하면 큰일납니다. 영화 다이하드 4.0에서는 실재로 외부에서 접속해서 발전소 폭파시키기도 하던데요. 그런 일이 일어나면 안되겠죠
현대캐피탈 해킹사고 다음은 은행?
현대캐피탈이 털렸습니다. 많은 고객들의 정보가 해킹당했다고 하네요. 보안역사상 최악의 국내사건이 될듯 합니다.
지금까지 인터넷뱅킹이다 뭐다 할때 불안불안했지만 사람들이 인터넷 뱅킹을 많이 사용한 이유는 은행권의 해킹이 없었기 때문이죠. 또한 은행들은 불가능한 일이라고 일축했죠
솔직히 국내 최고의 보안시스템을 갖춘곳이 은행권 아닙니까?
옥션이 지난 2년전에 털렸을 때도 옥션은 사과공지 한조각만 내놓고 사건을 무마했습니다.
금전적인 피해 그것도 직접적인 피해가 있어야지만 손해배상이 돌아가는데 그런 직접적인 피해는 없었기 때문입니다.
또한 법적으로 해킹 당했다고 그 해당 업체가 손해배상하게 되어 있지도 않습니다. 만약 손해배상을 하라고 되어 있다면 오히려 보안전문가나 보안 공부를 하는 사람들은 보안공부와 함께 사법공부까지 해야 할껄요
그리고 해킹당하면 회사 짤릴것 입니다. 그러면 누가 보안전문가 쪽으로 공부를 하겠어요.
따라서 옥션의 해킹을 옥션이 도의적으로 사과하는 것으로 마무리 할 수 밖에 없는게 현실입니다.
그러나 문제는 옥션의 해킹을 통해서 나간 아이디와 비번등이 다른 범죄로 연결될때가 문제죠
솔직히 저도 그렇지만 대부분의 사람들이 한가지 아이디와 비밀번호가 인터넷 싸이트 다 가입하고 있는게 현실입니다.
저는 은행과 관련된 즉 결제와 관련된 비번은 따로 만들어서 사용하고 있지만 그렇지 못한 사람들이 문제죠
이번 현대캐피탈도 아이디 비번 계좌번호등 암호화안된 정보가 해킹당했다고 합니다.
해킹당해도 DB를 암호화 했다면 그나마 다행인데 그것도 안되어 있다고 하네요. 그냥 DB 훔쳐다가 들여다 보면 한글과 숫자가 다 보인다고 하니 큰일은 큰일입니다.
돈거래를 하는 은행업계가 이렇게 보안이 허술하다니 놀랬습니다.
국민들의 인터넷 보안 의식을 스스로 높여야 한다
이제 은행만 믿고 허술하게 대처하면 안될것 입니다. 국민들 스스로 인터넷 보안의식을 높여야 합니다.
어렵지 않고 간편한 보안 업그레이드 방법을 몇개 소개하겠습니다
1. 돈거래에 관련된 비밀번호는 다른 것으로 만들어라
많은 사람들이 한가지 아이디와 비밀번호로 모든 것을 통해서 씁니다. 은행싸이트 까지 비밀번호가 똑같은데 비밀번호가 참 싸구려들이 많습니다. 그중 대표적인게 자기 주민등록번호 뒷자리를 쓰는 분도 있는데 앞자리를 쓰는 분보다는 보안의식이 높다고 해야 하나요? 또한 자기 이름과 생년월일 조합도 참 많습니다.
어떤 분은 자동차 번호를 비밀번호로 쓰더군요. 이러지들 맙시다. 그렇게 신상털기로 나오는 정보를 조합해서 만들면
금방 비밀번호를 유추해 낼수 있습니다. 그리고 비밀번호를 두가지를 만드세요
네이버나 다음등 해킹당해도 큰 피해가 없는 싸이트들과 은행등 금전거래를 할때 쓰는 비번 즉 공인인증서나 카드인증번호등 여러가지 금전이 왔다갔다 하는 비번은 다른 번호로 만드세요. 이렇게 비밀번호를 분리해 놓으면 해킹당해도 어느정도 안심할 수 있습니다.
2. 최소한 한달에 한번정도는 백신프로그램으로 PC내 악성바이러스를 제거하세요
예전엔 V3도 돈주고 샀지만 이제는 편해졌습니다
다음툴바나 네이버 툴바 깔면 백신도 깔수 있습니다. 여기에 알약이라는 공짜 백신도 있고요. 저는 알약을 쓰고 있는데 편한것 쓰시고 깔아 놓았다고 끝내지 말고 1주일에 한번 정도는 기본검사 정도를 돌려서 악성코드나 바이러스를 수시로 제거해 주세요. 그 좀비같은 놈들이 언제 내 패스워드를 주인에게 상납할지 모릅니다.
3. 일회용 비밀번호 생성기 OTP로 은행거래를 하자.
인터넷 뱅킹 보통 보안카드 이용하시죠? 예전엔 4자리 번호 입력하게 되어 있었는데 이것도 유출되고 문제가 되자 앞에 두자리 뒤에 두자리를 입력하는 방식으로 좀 복잡해졌죠. 그래도 그 조합 다 풀수가 있습니다.
그것보다는 은행에 가서 5천원을 내고 1회용 비밀번호 생성기인 OTP를 구매하세요.
은행공통이니까 여러 은행 거래하는 사람들에게는 더 좋습니다. 보통 돈을 계좌이체할때나 송금할때 이 1회용 비밀번호 생성기로 비밀번호 생성후에
위와 같이 일회용 비밀번호 입력란에 입력하면 됩니다.
PC의 공인인증서가 해킹당하고 공인인증서 비밀번호가 해킹당해도 이 일회용 비밀번호를 알아야 돈이 인출되는데요
물리적 보안력도 강한 1회용 비밀번호 생성기가 아주 좋습니다. 저도 애용하고 있는데 배터리도 길어서 3년 넘게 잘 쓰고 있습니다.
특히 3번은 보험든다 생각하시고 은행갈때 하나 만들어서 쓰세요. 이동하면서 인터넷뱅킹 한다면 항상 휴대해야 하는 불편이 있긴 하죠. 하지만 분실하면 바로 신고하면 되니 큰 위험은 없습니다.
스스로 보안의 생활화를 통해서 스스로 방어하십시요. 은행만 믿다가는 낭패 볼 수 있습니다. 물론 해킹의 책임이 은행으로 판명나면 손해배상을 은행에서 해주겠지만 그 원인제공자가 고객인지 은행인지 구분하는데 시간도 많이 걸리고 고객이 잘못했다고 하면 돈을 못 받을 수도 있습니다.
따라서 스스로 미리미리 챙기는게 좋습니다.
반응형