'정보 도용'에 해당되는 글 2건

  1. 2007.09.03 인터넷뱅킹... 너마저 뚫리다니...
  2. 2007.08.13 한국 IDC의 보안 컨퍼런스 개최

지난 8월 26일 KBS의 [취재파일4321]에서 일반인들에게는 충격적인 사실을 공개했다.
인터넷뱅킹의 기술적인 결점을 보완하기 위해 도입한 OTP(One Time Password)마저도 무력화 시키는
새로운 해킹 기법을 보여줬다. (기사 및 동영상 보기)
주로 게임 아이템을 빼돌리기 위한 수법으로 사용되던 '메모리해킹' 기법을
인터넷뱅킹에 적용해 기존의 모든 기술적 방어벽을 완전히 무력화시킨 것이다.

기사에도 나와 있지만, 이 문제는 지난 7월 국회에서 비공개로 개최된 토론회에서도 제기됐던 문제였다.
나도 참관하러 갔었는데,
당시 토론회를 개최했던 김현미 의원실에서 '메모리해킹'으로 돈을 엉뚱한 곳으로 이체하는 시범을 보였었다.
하지만 토론회는 이미 도입된 기술에 대한 왈가왈부만 있었을 뿐, 정작 '메모리해킹'에 대해서는 논의조차 되지 못했었다.
토론회 말미에 김현미 의원이 "답답하다"라고 마무리 인사를 할 정도였다.

아직은 피해가 없어서 다행이지만,
이미 언론을 통해 철통같은 인터넷뱅킹을 무력화 시키는 방법이 공개된 이상 피해는 곧 발생할 것이다.
금융감독원이 대책을 마련하기 위해 고심하고 있다고 전해 들은 적이 있지만,
'기술' 중심의 패러다임에서 벗어나지 않는다면
결국은 새로운 '방패'를 뚫을 '창'이 등장할 때까지의 시간만 버는 셈이 되지 않을까 걱정스럽다.

Posted by 아우구스투스
,

얼마 전 개최된 [한국 IDC 보안 컨퍼런스]에서 올해 출현할 것으로 예상되는 10가지 중요한 보안 이슈를 발표됐다. 그 중 아래 항목들은 눈여겨 볼만한 대목인 것 같다.


- 사이버 범죄 증가: 관련 IT 서비스 시장 성장할 것
- 정보 도용 문제: 개인에서 기업환경으로 녹아들 것
- 보안은 더욱 강화되고, 성가신 일이 될 것: 많은 벤더와 업체 난립, 복잡성 귀찮음 등을 간편하고 손쉽게 구현해야


솔직히 나에게는 낯선 '보안'이라는 영역에 발을 들여 놓으면서 당혹스러웠던 것은 무엇보다 '어렵다'는 것이었고, 생각보다 주변 IT 서비스가 보안에 '허술'하다는 점이었다.


창과 방패의 싸움 같은 '해킹'과 '보안'의 문제는 지금까지 기술적인 측면에서만 접근되어 왔고, 결국 기술이 기술을 서로 잡아먹는 형국이 되어 버렸다. 그러다보니 보안은 '돈'으로 해결될 수 밖에 없는 '계륵' 같은 존재가 된 것 같다.


문제는... 이 '계륵'을 왠만한 IT 서비스에는 적용하기 어렵다는 것이다. 1차적으로 물론 '돈' 문제이고, 2차적으로는 '난해함'의 문제이다.
중소 벤처 입장에서 수억 원이라는 돈을 투자해서 보안 솔루션을 도입한다는 것은 거의 'mission impossible'에 가까운 일이고, 보안 담당자를 따로 둔다는 것 또한 엄청난 사치(!)로 취급되기 십상이다.


[IDC]의 거창한 발표가 아니더라도, 앞으로 보안 시장은 빠르게 확대될 것이다. 그것은 또 다른 의미로 그만큼 또 많은 피해가 발생하리라는 예견에 다름 아닐 것이다.


그렇다면 우리는 다른 길을 모색해 봐야 하지 않을까?

기술 중심의 보안으로부터 눈을 돌려 보다 쉽고, 저렴한 방법으로 많은 서비스에 보안을 적용할 수 있는 방법이 필요한 시점인 것 같다.


※ 참고: IDC 보안 컨퍼런스 관련 글
https://www.dbguide.net/know/know101003.jsp?IDX=1233&catenum=14

Posted by 아우구스투스
,