2011.12.23

2011년 국내 IT 보안 사건 총정리

편집부 | ITWorld
올해 국내 IT분야에서 가장 이슈로 대두된 것은 바로 보안이다. 그것도 좋은 의미가 아니라 나쁜 의미로... 3월부터 연이어 터지기 시작한 대형 정보보안 사고는 뇌리에서 사라지기도 전에 다시금 재각인시키는 데 충분했다. 연쇄 정보보안 대란이 대한민국을 강타했던 2011년, 되짚어 보자. 
 
보안 사고들을 복기하는 관점에서 보면, 미디어들은 다들 '그 사고는 인재(人災)'라고 비판을 일삼는다. 과연 인재일까? 일선 보안 담당자들은 해킹의 대상이 우리였다면, 당할 수 밖에 없다고 털어놓는다.  
 
어떤 시스템이든, 완벽한 보안을 장담할 수 있는 시스템은 없다. 하드웨어 보안에서부터, 네트워크, 미들웨어, 애플리케이션 그리고 인적 보안에 이르기까지 전체를 완벽하게 막을 수 있다고 장담하는 이가 있다면, 보안을 모르거나, 아니면 거짓말이다. 이는 보안 업체한테도 적용된다.
 
말그대로 현존하는 기업 가운데, 어느 곳도 우리 기업의 정보 보안은 100%라고 장담할 수 없다는 것이다. 다만 최선을 다할뿐이라는 원론적인 답변만을 주고받을 수 있을 것이다. 기업에서의 보안 정책은 '투자 대비 최고 효율의 보안 대책'이 가장 최선이었다. 
 
이 설명은 보안사고 관련 보안 담당자에게 면죄부를 주기 위함이 아니라 이제 보안은 말 그대로 '물샐틈 없는' 방어와 철저하고도 세심한 보안 관제가 기본이 됐다는 것을 알리기 위함이다.  
 
2012년 보안 경고 가운데 가장 선두에 있는 것이 바로 APT다. APT는 특정 목적을 갖고 지정된 타깃을 대상으로 방어벽이 뚫릴 때까지 다양한 해킹 방법을 통해 시도하며, 뚫린 이후에는 몰래 잠입해 원격으로 특정 데이터를 삭제하거나, 혹은 빼낸 뒤에 전체 시스템을 파괴하고 달아난다. 
 
지금까지 드러난 보안 사고, 특히 올해 밝혀진 정보유출 사고를 토대로 파악해 보면, 현재 해커들은 불특정 다수를 상대로 찔러보기 식의 해킹을 하는 게 아니라, 특정 대상이 뚫어질 때까지, 어쩌면 대상군을 선정해 여러가지 공격 방법을 시도해 먼저 뚫리는 곳을 들어가 은밀히 정보를 빼내는 것이 일반적인 방법이 됐다고 봐야 한다. 
 
물론 분산 서비스 공격을 위한 좀비 PC를 만들 때나 경로 추적을 뿌리치기 위한 개인 PC 해킹은 논외로 하자.   
 
정보가 유출됐다고 발표한 곳은 그나마 정보를 빼내고 있는 과정에서 잡아낸 것이다. 그러나 해커가 얼마나 많은 정보를 빼갔는지 모르기 때문에 해당 서버에 있는 모든 데이터를 빼갔다는 전제 하에 피해 규모를 발표한다. 
 
이 관점에서 본다면 보안 사고 가운데 가장 무서운 것은 시스템이 파괴되어 시스템 운영 자체가 마비됐을 때다. 이는 해커들이 자신이 원하는 모든 목적을 달성한 뒤, 자신의 흔적을 없애기 위해 파괴했을 가능성이 높기 때문이다. 
 
보안 전문가들은 농협 전산망 마비 사건의 경우가 최악의 사태라고 봐야할 것이라고 주장했다. 특정 목적 달성이후 유유히 사라진, 해커 입장에서는 완벽한 성공 사례였다. 
 
현대캐피탈, 리딩투자증권, 한국전자금융을 비롯한 다수의 제2 금융권들과 네이트, 넥슨 등의 게임업계의 정보유출 사고는 그 해킹 방법은 다르지만, 제2 금융권을 대상으로 고객 정보를 훔치겠다는 목적과, 지속적인 공격을 감행한 것까지 전형적인 APT 공격이다.   
 


2011.12.23

2011년 국내 IT 보안 사건 총정리

편집부 | ITWorld
올해 국내 IT분야에서 가장 이슈로 대두된 것은 바로 보안이다. 그것도 좋은 의미가 아니라 나쁜 의미로... 3월부터 연이어 터지기 시작한 대형 정보보안 사고는 뇌리에서 사라지기도 전에 다시금 재각인시키는 데 충분했다. 연쇄 정보보안 대란이 대한민국을 강타했던 2011년, 되짚어 보자. 
 
보안 사고들을 복기하는 관점에서 보면, 미디어들은 다들 '그 사고는 인재(人災)'라고 비판을 일삼는다. 과연 인재일까? 일선 보안 담당자들은 해킹의 대상이 우리였다면, 당할 수 밖에 없다고 털어놓는다.  
 
어떤 시스템이든, 완벽한 보안을 장담할 수 있는 시스템은 없다. 하드웨어 보안에서부터, 네트워크, 미들웨어, 애플리케이션 그리고 인적 보안에 이르기까지 전체를 완벽하게 막을 수 있다고 장담하는 이가 있다면, 보안을 모르거나, 아니면 거짓말이다. 이는 보안 업체한테도 적용된다.
 
말그대로 현존하는 기업 가운데, 어느 곳도 우리 기업의 정보 보안은 100%라고 장담할 수 없다는 것이다. 다만 최선을 다할뿐이라는 원론적인 답변만을 주고받을 수 있을 것이다. 기업에서의 보안 정책은 '투자 대비 최고 효율의 보안 대책'이 가장 최선이었다. 
 
이 설명은 보안사고 관련 보안 담당자에게 면죄부를 주기 위함이 아니라 이제 보안은 말 그대로 '물샐틈 없는' 방어와 철저하고도 세심한 보안 관제가 기본이 됐다는 것을 알리기 위함이다.  
 
2012년 보안 경고 가운데 가장 선두에 있는 것이 바로 APT다. APT는 특정 목적을 갖고 지정된 타깃을 대상으로 방어벽이 뚫릴 때까지 다양한 해킹 방법을 통해 시도하며, 뚫린 이후에는 몰래 잠입해 원격으로 특정 데이터를 삭제하거나, 혹은 빼낸 뒤에 전체 시스템을 파괴하고 달아난다. 
 
지금까지 드러난 보안 사고, 특히 올해 밝혀진 정보유출 사고를 토대로 파악해 보면, 현재 해커들은 불특정 다수를 상대로 찔러보기 식의 해킹을 하는 게 아니라, 특정 대상이 뚫어질 때까지, 어쩌면 대상군을 선정해 여러가지 공격 방법을 시도해 먼저 뚫리는 곳을 들어가 은밀히 정보를 빼내는 것이 일반적인 방법이 됐다고 봐야 한다. 
 
물론 분산 서비스 공격을 위한 좀비 PC를 만들 때나 경로 추적을 뿌리치기 위한 개인 PC 해킹은 논외로 하자.   
 
정보가 유출됐다고 발표한 곳은 그나마 정보를 빼내고 있는 과정에서 잡아낸 것이다. 그러나 해커가 얼마나 많은 정보를 빼갔는지 모르기 때문에 해당 서버에 있는 모든 데이터를 빼갔다는 전제 하에 피해 규모를 발표한다. 
 
이 관점에서 본다면 보안 사고 가운데 가장 무서운 것은 시스템이 파괴되어 시스템 운영 자체가 마비됐을 때다. 이는 해커들이 자신이 원하는 모든 목적을 달성한 뒤, 자신의 흔적을 없애기 위해 파괴했을 가능성이 높기 때문이다. 
 
보안 전문가들은 농협 전산망 마비 사건의 경우가 최악의 사태라고 봐야할 것이라고 주장했다. 특정 목적 달성이후 유유히 사라진, 해커 입장에서는 완벽한 성공 사례였다. 
 
현대캐피탈, 리딩투자증권, 한국전자금융을 비롯한 다수의 제2 금융권들과 네이트, 넥슨 등의 게임업계의 정보유출 사고는 그 해킹 방법은 다르지만, 제2 금융권을 대상으로 고객 정보를 훔치겠다는 목적과, 지속적인 공격을 감행한 것까지 전형적인 APT 공격이다.   
 


X