웹-시대, 웹은 과연 안전한가?
웹의 대중화, 그리고 웹 애플리케이션 서버 WAS가 전산환경의 중심에 서게 됨에 따라 도래한 본격 웹-시대를 맞이하야, 오늘날 기업-보안의 3대 요소는 ‘인증보안 + 웹보안 + 데이터암호화’ 라는 지난 주장의 맥락에 따르자면, 3대 요소 중에서도 가장 중요한 건 웹보안일 것이다. 왜? 웹-시대니까!ICT 기술 발전에 따라 오늘날 대부분의 일상 생활은 웹을 통해 이루어진다. 금융이나 민원 등 다양한 서비스가 온라인화 되었고, 이제 오프라인보다 온라인이 일반적인 것처럼 느껴져서 예전에는 당연히 직접 찾아가던 곳인데도 찾아와서 해결하라고 부르면 왠지 막 귀찮아 “뭐 이딴 일로 사람을 오라 가라 해!” 짜증도 나고, 뭐 그렇다. 일반적으로 ‘인터넷’이라고 부르는 ‘웹’은 과거엔 한 장소에 고정된 PC를 통해서만 사용할 수 있었지만, 스마트폰이나 태블릿 PC 등 모바일 기기의 덕분에 때와 장소에 구애 받지 않고 자유롭게 인터넷을 이용한다.
통계청 자료에 따르면, 2014년 유선전화 가입자수는 16,939,000명으로 전년 대비 3.9% 감소한 반면, 이동전화 가입자수는 전년 대비 4.6% 증가한 57,208,000명을 기록했다. 인구 100명당 무혀 113대! 그중 스마트폰 가입자는 전체의 70.9%를 차지한다. 전화 말고 초고속 인터넷 가입자수도 1,916만명으로 전년에 비해 2.3% 늘었다. 무시무시한 숫자다. 이제 웹은 우리 삶과 뗄래야 뗄 수 없는 존재가 되어버린 것이다.노골적으로 “이건 웹이야!” 알 수 있는 인터넷 익스플로러, 크롬, 사파리 등 웹 브라우저뿐만 아니라 스마트폰에 따로 설치된 카카오톡, 라인, 다음 카페 등의 모바일 ‘앱’들은 독립적으로 보이지만 실은 웹을 통해 통신이 이루어지기 때문에 대부분의 앱 또한 실은 일종의 웹 애플리케이션이다. 하다못해 모바일 게임에서 사탕 하나 부셔도 웹을 통해 기록이 저장되고 경쟁자들에게 “나 여기까지나 깼소!” 알린다. 그야말로 본격 웹-시대.
본격 웹-시대, 웹은 과연 안전한가?
전혀 그렇지 않다,, 웹으로 제공되는 서비스가 다양해진 만큼 웹을 노리는 사이버 공격의 종류가 다양해졌고 사고 발생률 또한 날이 갈수록 증가하고 있다. 그러나 이러한 상황에도 불구하고 대부분의 기업들은 물리적 공간인 회사 사무실의 보안, 또는 네트워크 보안 등 눈에 딱 보이는 곳만 지키려 들 뿐 정작 가장 큰 위험인 웹 보안에는 신경을 쓰지 않는 나쁜 버릇이 있다. 사고 발생 후 분석해 보면 열에 아홉은 데이터 유출 문제가 언제 어디서 일어났는지, 어떤 취약점 때문에 정보 유출이 발생했는지조차 파악하지 못하는 것이 현실이다. 그래서, 데이터 유출이 주로 어디서 일어나는데? 압도적으로 가장 큰 구멍이 바로, 웹이다.
요즘은 금융 거래에서부터 등록증 발급 등 민원 처리까지, 대다수의 업무가 주로 웹을 통해 서비스가 이루어진다. 아니, 웹은 기존의 편리한 부가 서비스 수준을 초월해 이제 웹 아니면 처리할 방법이 없는 경우도 있다.
웹을 통한 서비스 중 가장 대표적인 것이 검색 서비스와 금융거래 서비스다. 금융 거래 서비스 중 가장 대중화된 서비스는 인터넷뱅킹과 모바일뱅킹으로, 한국은행이 발표한 국내 인터넷뱅킹 및 모바일뱅킹 이용 현황 조사에 따르면 (2014년 자료를 못 찾아서,,) 2013년 말 기준 모바일뱅킹을 포함하는 국내 인터넷뱅킹 서비스 등록 고객 수는 전년 말 대비 10.5% 증가한 9,549만 명이었으며, 이 중 스마트폰 기반 모바일뱅킹 등록 고객 수는 전년 말 보다 55.2% 증가한 3,719만 명으로 집계되었다. 동일인이 여러 은행에 가입한 경우 중복 합산된 결과라 하더라도, 3,752만 명의 스마트폰 가입자 중의 90% 이상이 스마트폰 기반의 모바일뱅킹을 이용하고 있는 것이다.
즉, 실제 금전이 오가는 거래에 대해서도 큰 거부감 없이 기술 대중화가 가속화되고 있는 것이다. 하지만 이때 우리가 결코 간과해서는 안 되는 것은, 웹의 대중화 속도가 빨라지면 빨라질수록, 웹 위협의 대중화 역시 빠른 속도로 진행된다는 점이다.
그럼 흔히 ‘사이버 범죄’라 불리는, 웹 공격으로 인한 피해액의 규모는 어느 정도일까? 2013년 시만텍에서 발표한 노턴 사이버 범죄 보고서에 따르면, 사이버 범죄 발생에 따른 연간 피해액은 약 120조 원으로, 하루 평균 1백만 명 이상, 1초당 12명의 사이버 범죄 이용자의 63%, 그리고 소셜 네트워크 이용자 63%가 사이버 범죄를 경험했다고 한다.
듣기만 해도 무시무시한 수치라 이는 완전 전문적인 해커들이 시도하는 공격으로 보인다. 하지만, 최근에는 흔한 검색 엔진을 통한 간단한 검색만으로도 그런 웹 공격 방법뿐 아니라 그냥 다운로드 받아 쓰면 되는 도구들까지 제공하는 곳이 많아서 전문가가 아닌 일반인들도 쉽게 웹 공격을 시도할 수 있다. 편의점에서 핫바 사듯 간단하게 해커가 되는 것이다. 웹의 대중화로 인해 많은 편리함을 얻었지만 동시에, 적절한 대응 시스템을 구축하지 못했기에 웹을 통한 공격 또한 대중화되어 버렸다.
웹은 개인과 기업의 중요 자산으로 연결되는 통로와 같다. 따라서 웹이 공격 당하는 순간 개인정보 유출, 금전적 피해, 내부 시스템 파괴 등 심각한 2차 피해로 이어진다. 하지만 눈에 보이지 않는 웹 위협에 대한 대응 필요성을 인지하지 못하고 기본적인 예방 조치조차 취하지 않고 있는 서비스 현장이 대부분이라, 아주 간단한 공격으로도 공격에 성공하는 것이 작금의 현실이다.
이에, 지난 몇 년간 발생한 웹 공격 사례를 되짚으며 그 유형을 파악해 보고 그 피해의 심각성을 확인, 그리고 나아가 IT시스템을 안전하게 보호하기 위해 필요한 보안 요소들에 대해 알아보자.
웹 공격의 유형, 1차 해킹과 2차 해킹
자, 지피지기면 백전불태라 했으니, 완벽한 웹 보안 구축에 앞서 우선 웹 위협의 유형이 어떤 것들이 있는지부터 살펴보자.
웹 위협은 크게 외부망을 통해 일어나는 1차 해킹과 내부망에서 일어나는 2차 해킹으로 분류된다. 이는 해커들의 작업 순서이기도 하다. 1차 해킹을 통해 내부 시스템에 접근한 뒤, 내부 시스템을 통한 기밀 정보 유출이나 악성코드 삽입 등 2차 해킹을 시도하는 식이다. 지난 해킹 사례들을 대충 보면 다양한 경로를 통해 해킹이 이루어지는 것 같지만, 막상 정리해 보면 이 2개 분류에서 크게 벗어나지 않는다.
일반적인 기업의 네트워크 구성과 웹 위협 유형을 그려 보면,
대략 위 그림과 같다.
1차 해킹, 즉 외부망을 통한 위협에는 크게 웹 서버 해킹과 내부 PC 해킹이 있다.
웹 서버 해킹은 일반적으로 웹사이트를 통해 일어난다. SQL Injection 등의 웹 공격을 통해 웹 서버를 해킹하여 관리자 계정을 확보하고 내부 시스템으로 침투할 수 있는 발판을 마련하는 목적으로 시도된다.
내부 PC 해킹은 주로 집단 내부 PC 사용자의 실수로 웹사이트나 이메일 등을 통해 악성코드가 설치되는 경우가 대부분이다. 그 외에도 비인가 저장매체 사용, 사내 직원 인식 부족, 협력사 직원의 악의적 행동 등으로 기업 내 시스템 침입 등 다양한 위험들이 존재한다. 내부 PC에서 사용하는 특정 애플리케이션의 업데이트 서버가 해킹 당해서, 이 업데이트 서버 접속을 통해 내부 PC가 모조리 해킹 당하는 경우도 있다.
그리 되면,
국내외 해킹 사례
웹 애플리케이션을 노리는 공격 방식 중 널리 알려진 것은 SQL Injection, Cross-Site-Scripting (XSS) 공격 등이다. 이러한 공격은 웹사이트 취약점 파악과 웹 페이지 변조, 주요 정보 유출을 1차 공격 목표로 하며, 1차 공격 성공 후 추가 공격을 통해 기업과 개인의 자산 갈취 및 금전적 손해를 발생시킨다. 전세계적으로 가장 빈번하게 발생하고 있고 피해 규모도 큰 것은 각종 정보 유출 관련 사고로, BYOD(Bring Your Own Device) 시대의 도래와 더불어 기업 현장에서도 보안이 취약한 모바일 기기 사용이 증가하면서 그 피해 규모도 지속적으로 커지고 있다.
특히 우리나라는 문제가 심각해, ‘개인정보 유출사고, 한국이 1등‘ 편에서 말했듯 세계 1위의 불명예를 안고 있다. 대형 사고 10건 중 4건이 한국에서 발생한 사건이라는 사실은 한국이 얼마나 정보 유출의 위험에 과도하게 노출되어 있는지 여실히 드러낸다.
하지만 해외 사정도 딱하게도 우리나라와 크게 다르진 않다. 공격자들은 기업, 정부기관, 단체 등을 가리지 않고 마구 달려들어 개인정보 등 금전적 가치를 지니는 정보를 빼내기 위해 지속적으로 공격을 시도한다. 2005년 미국의 신용카드 결제 업무 대행 업체 CardSystems사에서는 무려 4천만 명의 개인정보가 유출되는 사고를 겪었고, 위 링크 글에서 언급했듯 대형 유통업체 Target사는 웹을 통해 유입된 악성코드로 인해 고객의 신용카드 정보가 유출되는 피해를 입기도 했다. 그 거대한 ebay사도 정보유출 피해로 인해 1억5천만 명에게 비밀번호 변경을 요청하는 등 사회적으로 큰 파장을 일으키기도 하였다.미국 국제전략 연구소 CSIS가 진행한 사이버 범죄 보고서에 따르면, 전 세계 기업들이 사이버 범죄로 인해 지출하는 비용은 연간 4,450억 달러에 이른다. 이 와중에도 한국인터넷진흥원 KISA의 ‘정보보호 실태조사’에 따르면, 국내 기업 중 54.1%가 정보 보호에 전혀 투자하지 않는다. IT 강국이라 우기는 우리나라의 보안 수준이 얼마나 낮은지 절실히 느낄 수 있는 결과다. 또 해당 보고서는 사이버 범죄 피해액이 매년 584조 원에 이르고, 그 중에서도 개인정보 유출로만 152조 원에 해당하는 피해가 발생한다고 말한다. 이는 2002년 발생한 태풍 루사의 피해액이 5조원, 일본 쓰나미 피해액이 226조원 가량이라 했을 때 사이버 범죄로 인한 피해가 어느 정도인지 실감할 수 있다.
아니 그럼 참말로 희한한 게, 이다지도 위험하고 또 중요한 웹 보안을 왜들 그리 죽어도 안 하겠다는 걸까? 근데 그게 그리 희한한 일은 또 아닌 게, 대개 적절한 웹 보안 방법을 모르기 때문이다. 애초에 참 모호한 작업이기도 하고.
이에 앞으로 이어지는 2편의 글을 통해 ‘완벽한 웹 보안 방법’을 알아보겠다. 글은,
2편: “완벽한 웹 보안, 어떤 것들이 필요한가?”
3편: “실제 현장에서 벌어지는, 실전 웹 보안”
..으로 이어진다. 쓰다 보니 어째 좀 시골 장터 약장수 같은 기분 들긴 하지만,,