한국에서 본, 일본연금기구 해킹 사건
한국에서 본, 일본연금기구 해킹 사건
일본연금기구의 연금정보 관리 시스템에 해킹당해 125만 명 이상의 개인정보가 유출되는 대형사고가 발생했다. 일본 공공기관으로는 사상 최대 규모의 사건이고 이후 피해가 더 확산될 가능성이 있어 마이넘버 제도의 실시를 앞두고 개인정보 관리에 대한 국민의 우려와 불신이 매우 높아졌다고 한다.
늘 보던 장면이 외국서 벌어진 걸 보니 기분이 참 묘하다. “어서 와. 지옥에 온 걸 환영해.”
정황의 상세한 내용은 여러 언론을 통해 자세히 드러났으니, 사건의 본질과 핵심만 짚어 보자. 드러난 정황만 봐서는 보안대책 마련 시 집중할 초점 잡기가 영 애매해 보인다. 하지만 하나하나 꼼꼼히 짚다 보면 핵심에 근접할 수 있을 것이다.
현재 제기된 문제와 예상되는 해법은 대략 아래와 같다.
“출발점이 바이러스 감염이니까, 안티바이러스가 대책의 핵심인가?”
“조직 내부 네트워크를 통한 전파니까, 네트워크 보안에 집중해야 하나?”
“데이터 암호화를 안 했던 게 문제니까, 데이터를 암호화하면 해결될 일인가?”
1. 안티바이러스는 대책이 아니다.
최초 바이러스 발견 시 안티바이러스 회사는 ‘정보탈취 바이러스는 아니니 안심해도 좋다’라고 판정했다. 아마도 기존 존재 미미한 바이러스로 위장한 악성 변종일 것이다. 안티바이러스는 기존 목록만 뒤지는 시그니처 기반 방식이다 보니 애초에 한계가 있다. 요즘 정보보안 추세에 따르자면 ‘안티바이러스는 일단 기본으로 설치해 두는 것’ 정도의 의미로 볼 수 있다. 하지만 대부분의 경우 대책이 될 수 없다. 생각해 보라. 누군가 전신전령 최선을 다해 공격을 꼭 해내고야 말겠다 작정했다면, 이미 알려진 공격을 시도하겠나? 다들 백신 제품별로 싹 다 돌려 보고 공격한다. 물론 백신도 꼭 설치해야 한다. 그 수가 결코 적지 않은 아마추어 고등학생 해커들의 공격을 막는 일에는 충분히 효과적이니.
2. 네트워크 보안만으로 해결될 문제가 아니다.
거의 모든 웹 해킹은 1차 공격과 2차 공격으로 나누어 이루어진다. 1차 공격을 통해 네트워크 내부에 잠입하고, 2차 공격으로 네트워크와 시스템을 장악해 목적을 달성한다. 목적이란? 데이터의 탈취다. 한참 예전에 유행했던 것처럼 그저 악의적인 훼방을 위해 시스템을 망치려는 시도도 없진 않으나, 대규모 시스템을 노리는 공격비용을 감안해 보면 얻을 게 없으면 노리는 자도 없다는 게 정설이다. 얻을 것? 물론, 개인정보 등 돈이 되는 데이터다.
거의 모든 웹 해킹은 1차 공격과 2차 공격으로 나누어 이루어진다. 1차 공격을 통해 네트워크 내부에 잠입하고, 2차 공격으로 네트워크와 시스템을 장악해 목적을 달성한다. 목적이란? 데이터의 탈취다. 한참 예전에 유행했던 것처럼 그저 악의적인 훼방을 위해 시스템을 망치려는 시도도 없진 않으나, 대규모 시스템을 노리는 공격비용을 감안해 보면 얻을 게 없으면 노리는 자도 없다는 게 정설이다. 얻을 것? 물론, 개인정보 등 돈이 되는 데이터다.
1차 공격이 이메일을 통해 이루어졌다는 점에 집중해 보자. 네트워크 보안장치로는 이메일 등 웹을 통해 전달되는 웹 컨텐츠를 막을 수 없다. 컨텐츠는 네트워크의 L7 계층에 이르러서야 그 정체가 드러나는데, 주로 L4 계층을 관리하는 네트워크 보안장치로서는 해당 컨텐츠의 유해성 여부를 판단할 수 없기 때문이다. L7 계층을 감시할 수 있는 ‘WAF(Web Application Firewall, 웹 애플리케이션 방화벽)’을 통해서만 막을 수 있다.
따라서 단지 ‘네트워크 보안’만으로 해결될 수 있는 문제가 아닌 것이다. 최초 감염된 후쿠오카 지부의 직원 컴퓨터를 네트워크에서 완전히 격리했음에도 얼마 지나지 않아 동경 지부에서 발견되고 곧 전국으로 확대되었다는 점을 보더라도, 네트워크 보안의 계층 허점을 의도적으로 노렸다는 사실을 짐작할 수 있다. 제발 좀 WAF를 도입하라. 이 당연한 조치를 왜들 그리 안 하는지 도대체 모르겠다.
3. 단순한 데이터 암호화만으로는 충분하지 않다.
듣기 불편하겠지만 먼저, 애초에 데이터 암호화 작업을 아예 하지 않았다는 건 사실 수치스러운 일이라는 점을 지적해 둔다. 이제 일본도 한국처럼 개인식별번호인 마이넘버 제도 시행을 앞두고 있기 때문에 개인정보 암호화 관련 법규 등 사회적 장치를 정비하고 구체적인 방법론을 강제하는 등 조치를 취해야 할 것이다. 여기까지는 지극히 당연한 일이라 더 붙일 말도 없다.
데이터 암호화란 사실 참 복잡한 일이다. 암호화 알고리즘은 간단하지만, 암호화는 복잡하다. 왜?
이후 유사한 사고가 얼마나 일어나는지에 따라서 기존 개인식별번호를 다른 번호로 대체해야 하는 상황이 벌어질지도 모른다. 한국도 그러했다. 그리고 번호를 다루는 시스템이 번호 체계의 형식에 민감하다면 ‘FPE (Format Preserving Encryption, 형태보존암호화)’ 등의 보다 복잡한 기술을 동원해야 하는 상황도 꼭 발생한다. 향후 부정한 명의도용을 방지하는 동시에 다양한 환경에 대응도 해야 한다. 보안이 강조되면 사용환경이 좁아지는 경향이 있다. 하지만 요즘 누가 사용자에게 고정 PC 사용만을 강요할 수 있겠는가. 그러니 모바일 환경에도 대응해야 하고 개인정보가 오가는 POS (Point Of Sale, 판매시점정보관리) 시스템 등에도 대응해야 한다. 즉, 단순한 암호화가 아니라 ‘데이터 암호화 플랫폼’을 구축해야 한다는 뜻이다. 개인정보는 이미 탈취당했으니 당분간 본인 확인절차를 대폭 강화해야 할 것인데, 그러기 위해서라도 데이터 암호화 체계는 전체 ICT 시스템에 고루 적용되어야 한다. 단순한 데이터 암호화 제품은 흔하다. 하지만 데이터 암호화 플랫폼 전체를 감당할 수 있는 암호화 전문기업은 흔하지 않다. 전문기업과 상담하라.
대략 벌어진 사고와 관련 대책을 검토해 보았다. 거듭 말하는 바, 늘 보던 장면이다. 익숙하다 못해 차라리 오랜 친구처럼 정겹게 느껴진다.
일본의 개발자 그리고 개인정보 관리책임자들이여, 한국을 보라. 10여 년 전부터 매일같이 겪는 일이다. 참으로 눈물겹다. 그런데 이제 아픔을 나눌 동지가 생겼으니 좀 위로가 된다.