주간동아 455

2004.10.14

온라인 보안의식 ‘낙제점’

모의해킹 대응훈련서 개인용 컴퓨터 대부분 악성 프로그램에 노출

  • 김영철·IT 컨설턴트 kyc7481@nate.com

    입력2004-10-07 16:41:00

  • 글자크기 설정 닫기
    온라인 보안의식 ‘낙제점’
    온라인 세상에는 악성 프로그램(Mal-ware)이 돌아다닌다. 전문가들은 이런 악성코드가 사이버 세상을 병들게 한다는 뜻에서 이를 ‘컴퓨터 페스트(흑사병)’라고 부른다. 물론 이 같은 전염병의 확산이 보안업체들에는 새로운 시장이 열렸음을 의미한다. 스파이웨어, 바이러스, 웜, 스팸메일이 하루가 다르게 늘어나자 보안업체들은 이에 발빠르게 대처하면서 시장을 키울 수 있었다.

    전 세계적으로 가장 많은 사용자를 확보하고 있는 마이크로소프트(MS)사는 9월28일부터 자사의 윈도우(Windows) XP의 최신 업그레이드 버전인 ‘SP2’를 윈도우즈 업데이트 사이트를 통해 윈도우XP 사용자들에게도 자동으로 배포하겠다고 밝혔다.

    SP2는 지난해 인터넷 대란을 일으켰던 블래스터 웜 바이러스와 같은 악성코드 및 해킹으로부터 윈도우 사용자들을 보호하고자 개발됐다. 주요 기능은 무단침입 및 백도어를 통한 해킹을 방지하는 개인 인터넷 방화벽과 인터넷 서핑 중에 정보 유출 가능성이 있는 임의의 팝업 창 및 ActiveX 프로그램 차단, OS(운영체제)가 직접 바이러스 프로그램을 관리하는 것 등이다.

    이것은 실제로 사용자 환경에서 발생할 수 있는 대부분의 가능성을 방지할 수 있는 모든 기술이 포함된 것이나 다름없다. 또한 각종 악성 프로그램에 대비하기 위한 네트워크 장비 및 보안 솔루션들은 나날이 업그레이드돼 사용자들에게까지 문제 현상(바이러스나 해킹 시도)이 발생하기 전에 대부분 차단할 수 있게 됐다.

    그러나 기술로도 해결되지 않는 문제가 버티고 있다. 바로 보안의식 없는 개인 사용자들의 무책임한 행동이다. 지난 8월, 정보통신부 주관으로 시행된 사이버전(戰) 대비 을지훈련(모의해킹 대응훈련) 결과는 예상과 판이하게 달랐다. 보안조치 미비로 인한 정보의 무단 외부 유출이 빈번했기 때문이다.



    보안 수시 점검 등 보안의 생활화 절실

    모의해킹 대응훈련이 시작되기 한 달 전부터 훈련 내용이 사용자들에게 충분히 공지됐다. 바이러스나 해킹으로 의심되는 시도를 발견했을 경우 바로 통제센터로 통보하도록 여러 차례 숙지시킨 것. 결과는 시스템적인 해킹 시도는 각종 보안장비와 모니터링 장비, 그리고 최신 보안솔루션 프로그램에 의해 발견되어 깔끔하게 처리됐으나, 대부분의 개인 사용자들의 PC는 악성 프로그램에 고스란히 노출되고 말았다.

    사용자들은 ××은행, 쫛쫛항공, 국민연금관리공단 등으로부터 한 통의 메일을 받았는데, 실제로 이 메일들은 최신 이메일 해킹 기법인 ‘피싱’ 방법으로 작성된 것으로 공공기관이나 기업체에서 발송한 것처럼 위장된 것이다(국가정보원이 ‘참여연대’의 명의를 도용한 사건 역시 이 와중에 발생했다).

    피싱은 개인정보를 불법으로 얻으려는 피셔(phisher)가 불특정 다수에게 전자우편을 보낸 뒤 사용자가 메일을 여는 순간 첨부파일이 실행되면서 사용자가 관리하는 ID와 비밀번호 등 개인정보를 빼내는 해킹 기법이다. 엄밀히 얘기하면 기술이 아니라 사기수법에 가깝다.

    국민연금관리공단에서 발송한 것처럼 보이도록 한 메일은 정교하게 꾸며져 실제 공지메일처럼 보였고, ‘지금까지 납입하신 국민연금 액수와 지급될 연금액을 조회하시겠습니까’라는 문구까지 포함돼 있었다. 이를 클릭하면 이름, 주민등록번호, 전화번호 등 개인자료를 입력하는 창으로 연결돼 개인정보가 고스란히 외부로 유출될 수 있었던 것. 물론 이는 가상의 훈련 상황이므로 실제 사용자들의 정보가 유출되지는 않았지만, 만약 실제 상황이라면 누구나 알고도 당할 수밖에 없었을 것이다.

    단지 메일을 열어보는 것만으로 개인정보가 빠져나가거나 웹사이트에 접속만 해도 감염돼 ‘좀비사이트’로 연결되는 링크들을 클릭했을 때, 첨단 장비와 솔루션들은 바로 무용지물이 되고 만다. 아무리 보안 솔루션이 발달하고 백신 프로그램이 모든 바이러스를 잡는다 해도 사용자들의 보안의식이 이를 따라가지 못하는 한, 언제나 구멍은 있게 마련이다. 때론 이 구멍이 너무도 치명적일 수 있다.

    따라서 개인 사용자들은 더욱 철저한 보안의식을 가지고 일상생활에서 악의적인 바이러스 등에 대비한 복구디스크를 만들거나 최신 보안사항을 업데이트하고, 개인정보를 입력할 때는 여러 내용을 자세히 확인하는 등 ‘보안’을 생활화해야 한다. 물론 이것은 조직 내부의 강압적인 요구인 셈이다.



    댓글 0
    닫기