저기, 알고 있나? 지금 현재 지구상에서 3.6초에 한 사람의 비율로 어린아이가 빈곤한 탓에 죽어가고 있지. 

「그건 사실 내 탓이라네」

순수한 "가능성의 문제"지.
만약 내게 충분한 자산이 있고 식량 생산라인을 갖고 있고 유통경로를 갖고 있다면 나는 아사하는 아이들을 구할 수 있었을거야.
그들의 빈곤 문제를 한탄하느라 하는 소리가 아니야.

나는 성자가 아니야.

「다시 말하지만 "순수하게" 가능성의 문제지」

내가 그럴 능력이 있다면, 죽어가는 아이들을 구할 수 있었다. 그렇다면 그들이 죽고만 것은 내 능력이 부족했기 때문이지.

마찬가지로 테러리스트가 여객기를 납치해서 빌딩을 들이받은 것은 내게 그걸 막을 능력이 없었기 때문이지.
지진재해나 쓰나미로 심각한 피해가 생긴 것도 내가 그것을 미리 알 수 있는 능력이 없었기 때문이야.

- 神様のメモ帳、有子(Alice)

현대캐피탈이 해킹에서 얻은 교훈 5가지 - 해킹사고에 대한 우리나라 기업과 CEO가 대처해야 하는 자세

By Evan Ramstad

한국 최대 소비자금융업체인 현대캐피탈의 정태영 CEO는 4월 초 덴마크 출장 중 업무방식에 대전환을 이루게 하는 전화 한 통을 받았다.

현대캐피탈 컴퓨터시스템을 해킹했다는 전화를 받았다고 동료직원이 걸어온 전화였다. 발신자는 돈을 주지 않으면 극비정보를 유출하겠다고 협박했다.

정 CEO는 모든 것이 불확실했기에 깜짝 놀라지는 않았다고 회상한다. “충격받기에는 너무 불확실한 상황이었다. 실제로 무슨 일이 일어났는지 먼저 알아내야 했다.”

그 후 2주에 걸쳐 현대캐피탈은 경찰에 협력해서 사건과 연관된 2개 해커집단을 찾아냈다. 경찰은 한국에 소재를 둔 첫째 집단과 관련된 용의자 3명을 체포했고 다른 집단은 한국사법권 밖인 필리핀에 있다고 밝혔다.

당시 경험을 통해 정 CEO 및 현대캐피탈 관계자는 경영방식에 대한 생각을 바꾸었을 뿐 아니라 회사 구조를 근본적으로 개선했다.

정 CEO는 IT부서를 다른 부서와 마찬가지로 대했다는 점이 가장 큰 실책이었다고 말한다. 현재 그는 IT부서를 현대캐피탈의 중심부로 간주하고 있다. 당시 사건 이래 정 CEO는 수 주에 걸쳐 네트워크 아키텍처 및 보안 인프라, 데이터보호와 고객만족 간 상충관계에 대해 공부했다.

“안방에 있는 보석을 지키기 위해 화장실과 차고문까지 잠그면 가족들이 불평할 뿐 아니라 피해갈 방법을 찾게 된다. 다른 모든 것과 마찬가지로 IT보안에도 철학이 필요하며 최고경영자만이 그러한 결정을 내릴 수 있다.”

보안과가 새로 추가된 IT부서는 CEO 직속부서가 되었다. 현대캐피탈은 보안에 허점이 생기는 것을 방지하기 위해 신규 상품 일부의 출시를 늦추었다.

해커로부터 첫 전화가 걸려온 다음날 귀국한 정 CEO는 다음날 곧바로 기자회견을 열어 무슨 일이 일어났는지, 현재까지 알려진 것은 무엇인지 고객과 투자자에게 공개했다.

한국 업계에서 이러한 개방성은 흔치 않은 것이다. 사건 공개로 인해 미디어와 정부규제기관의 이목이 현대캐피탈에 집중되었다.

현대캐피탈은 현재 해킹사건과 관련해 자사 책임이 있는지 정부기관의 판결을 기다리고 있다.

다음은 정 CEO가 당시 경험에서 얻은 5가지 교훈이다.

-정부를 신뢰할 것

“경찰의 전문성과 신속함에 깊은 인상을 받았다. 경찰인력은 IT시스템에 대해 잘 이해하고 있었으며 예상보다 훨씬 신속하게 움직였다. 문제는 필리핀으로 도망가면 잡을 수 없다는 것이다.

우리는 최우선으로 경찰에 신고하고 계속해서 연락을 취했다. 해킹의 범위는 정확하게 알 수 없었지만 해커 흔적을 발견했다. 해커집단은 내일 전까지 거액을 지불하라고 협박했고 우리는 의논 끝에 일부 금액을 지불하기로 했다. 돈을 다시 찾지 못할 것이라 경찰이 경고했지만 되찾으려는 게 아니라 해커가 더 많은 흔적을 남기게 하는 게 목적이라고 말했다.

요구액 5억원 중 1억원을 보내고 계속해서 해커와 연락을 취한 끝에 경찰이 범인을 붙잡을 수 있었다.”

- 개방성과 투명성을 유지할 것

“고전적인 교훈이다. 우리는 항상 투명성을 유지한다. 사건 다음날 기자회견을 열었고 고객에게 연락을 취해 무슨 일이 있었는지 알렸다. 개방성과 투명성을 유지했기에 많은 도움을 받을 수 있었다. 개방된 상태를 유지하면 도움을 청하기 쉬운 것이다.

현대캐피탈이 사건을 공개한 후 많은 기업들이 해킹당한 사실을 신고한 데는 우리의 공이 있었다고 생각한다. 우리 사건 이후 갑자기 해킹이 증가한 걸까? 아니라고 생각한다. 우리가 깃발을 들고 나선 이후 다른 기업들도 해커에 대한 싸움에 동참하기 시작했다.”

-IT를 익히고 취약성을 파악하라

“오늘날의 CEO는 프로그래밍을 할 줄 모르더라도 해킹의 기본 구조를 이해하고 있어야 한다. 보안과 고객만족 간 상충관계에 대한 결정 및 조직 관련 결정을 내려야 하기 때문이다.

IT에 관심을 기울이지 않는 어리석은 CEO는 없다. 하지만 내가 과거에 그랬던 것처럼 IT부서에 예산을 증편하고 격려해 주지만, 프로그래밍에 대해 모르겠다는 태도를 보이는 CEO도 있을 것이다. 이는 잘못된 생각이다.

IT를 이해하기 위해 시간을 투자해야 한다… 나는 내가 IT보안을 이해하기에는 나이가 너무 많다고 생각했지만 나이나 장소에 상관 없이 모두가 이해할 수 있다는 사실을 알게 되었다.”

-IT 관련 결정의 기반을 이루는 철학을 창조하라.

“몇 년 전까지만 해도 해킹경로는 매우 단순했다. 하지만 요즘은 해킹할 수 있는 틈이 수없이 많다. 스마트폰 앱, 수많은 웹사이트… 따라서 CEO는 여러 결정을 내려야 한다.

일례로, 보안시스템을 대폭 강화할 경우 고객이 웹사이트에 접속할 때마다 몇 분씩 기다리게 된다. 이는 IT문제가 아니다. 어떤 종류의 철학 혹은 정책방향을 선택할지 결정해야 하는 것이다. 모든 기업에게 적용되는 정답이 있는 게 아니다.”

- 제품과 서비스 계획을 재점검하라.

“IT관련 결정의 실제 비용을 생각해 보아야 한다. 예를 들어 새로 웹사이트를 개발하는 비용이 5억원이라고 하더라도 사이트 개설로 인해 추가 해킹경로가 생기기 때문에 관련 비용도 고려해야 한다.

이번 사건 전에는 앱 제작에 집중했었다. 고객과 우리 모두에게 간편한 선택이기 때문이다. 하지만 이제는 앱 하나마다 해킹경로가 늘어난다는 사실을 이해하고 있다. 실질비용은 개발비용 더하기 해킹노출비용이다.

우리는 현재 회사 전체 속도를 늦추어 나가고 있다. 어떻게 보이고 작동하는지는 차후 문제이고 보안이 제1순위이다.”

기사원문 : 코리아리얼타임

지우아빠 : 숨기고 감추는 것은 이제 미덕이 아닙니다. 공개하고 공유하고 도움을 요청하는 자세가 가장 중요한 시대가 아닌가 생각되는 기사입니다.

http://yayatom.blog.me/10111795334

현재 뉴스를 보면 다들 아시겠지만, 네이트의 고객 개인정보 유출에 대한 뉴스글을 보실 수 있습니다.
슬슬 네이트도 뭔가 해킹 사전 터지겠구나 했는데, 실제로 터지니 아이러니 하군요.
네이트도 당했으니 이제 네이버, 다음 등도 타겟이 될 수 있습니다.

얼마전에, 저의 어머니의 친구 분 계정을 도용하여 스팸 메일이 온 적이 있습니다.
그곳에는 달랑 링크 한 줄만 있었습니다.
웬만 해서는 누르는 사람이 없겠지만, 많은 주부나 중장년층은 일단 확인해보려 하는게 주된 반응입니다.
그런데 그 사이트는 없는 존재하지 않는 사이트로 표기가 됩니다만, 진짜로 없는 건지 그렇게 화면만 띄우는 건지 우리가 어떻게 알까요?
도메인은 있고 사이트는 없다고 뜬다라.. 뭔가 이상하지요?
개인정보를 송신하는 프로그램이었을 거라 저는 생각합니다.
다행히 저희 어머니는 가입한 사이트가 적어 금방 바꿀 수 있었습니다.
우연의 일치일까 하고 상대방에게 물어보니 "자신은 그런 메일을 보낸 적이 없다" 며, "자신의 주소록에 있던 모든 사람에게 그와 같은 메일이 도착했다고 한다." 라고 진술하였습니다.

이런 소식은 주변 사람들로부터 듣기만 했지 진짜로 보니 우리나라 포털들은 참 대책이 없다고 생각합니다.
현존하는 암호화 기술 중 가장 보안이 뛰어나다고 하자면 MD5 기술이 되겠습니다.
이는, 단방향 암호화 기술로 암호화는 되지만 다시 원문으로 만들 수 없는 기술입니다.
이 기술은 많은 소형, 중형 사이트에서 쓰이고 있으며, 그 안정성은 널리 알려져 있습니다.

만약.
네이트나 옥션 같은 곳에서 이 기술을 적용했다면 이와 같이 일이 커졌을까요?
제가 알기론 대형 사이트들은 저 기술을 사용치 않는 것으로 알고 있습니다.
자체적으로 개발한 암호화 기술이나 안정성이 뛰어나다고 알려진 다른 기술을 도입합니다.
하지만 결국 복호화(원문으로 만드는 과정)가 된다는 점은 변함이 없습니다.
복호화가 된다는 것은 꼭 해킹이 아니더라도 내부 관계자가 얼마든지 가져다가 해석할 수 있다는 것입니다.
포털에서 주민번호를 복호화가 가능케 끔 저장해서 어디에 쓰려는 걸까요?

우리가 아이디, 비밀번호 등을 찾을 때 주민번호를 입력하는 것은 다들 아실 것입니다.
MD5는 같은 값에 대하여 항상 같은 값을 출력하게 되어져 있기 때문에 MD5를 적용해도 문제가 없습니다.
입력한 주민번호를 MD5로 암호화후 DB의 데이터와 비교하면 되니까요.

미리보기 서비스도 그렇습니다.
일부 문만 요약해서 보여주거나 자체적으로 검열하는 것도 아니고 대부분의 원문을 보여준다는 것은 해킹의 표적이 되고도 남는 일이 아니겠습니까?

우리나라의 많은 금융 기관들은 ActiveX를 이용하여 쓰잘때기 없는 보안 프로그램을 잔뜩 심어두었습니다.
덕분에 Internet Explorer가 아니라면 이용 하지도 못합니다.
과연, 이것들이 실제로 그 효용성이 있는 제품이라면 말도 안하겠습니다만.
해외의 많은 금율 기관은 오히려 ActiveX를 사용하지 않습니다.
그러면서도 우리나라보다 보안은 더욱 뛰어납니다.

왜 그러겠습니까?

첫째로, 우리나라는 표준을 지키지 않습니다.
ActiveX 자체가 표준에 어긋나는 것 이라고 봐도 무방합니다.
표준에 어긋난다는 것은 그만큼 구멍이 많다는 것이고 아무리 보안을 한들 그 구멍이 뚫리면 그것은 있으나 마나입니다.

농협 해킹사건도 그렇습니다.
비밀번호도 비밀번호대로 참 어이가 없었습니다만, Super Admin이 농협 전산망 시스템과 연결된 노트북을 개인 용도로 쓴건 아닌지 의심입니다.
솔직히, 엄무용은 엄무용으로만 사용했다면 Sharebox에서 발발한 바이러스에 걸릴 이유가 없지 않을까요?
엄무용이라면 그 사용되는 포트가 지극히 적겠지요.
하나의 기업의 서버를 총괄 관리하는 자라면 자신이 사용하는 포트 정도는 알 수 있습니다.
그러면 내부 통신용, 서버 접속용 포트를 제외한 모든 포트를 차단 했어야 옳지 않겠습니까?
오히려 그 노트북의 시스템은 무엇을 사용하는지 알고 싶습니다.
당연히도 농협이 ActiveX를 사용하니 윈도우 따위를 사용했을 가능성이 높습니다.
정말로 윈도우 였다면.
나는 그 관리자를 향해 체면 불구 하고 갖은 욕설은 물론 만나면 어떤 짓을 할 지 모르겠습니다.
제 마음은 그리 너그럽지 못하기 때문입니다.
현존하는 OS 중 모바일을 제외하면 윈도우가 가장 취약합니다.
그런데 이것을 썼다면 그 관리자는 자격증 전부 반납하고 업계에서 퇴사하셔야합니다.

이만큼 우리나라는 겉으로는 IT 강국이라지만 껍데기를 벗겨 보면 IT 쓰래기 입니다.
이것은 보안과 조금 무관합니다만, 우리가 흔히 Wi-Fi라고 부르는 기술도 사실 우리나라의 기술입니다.
빠르게 이동하면서도 무선인터넷 일정한 속도로 안정적으로 제공을 하는 차세대 기술들도 우리나라가 개발한 것들이 주를 이룹니다.
그런데 정작, 개발국은 사용도 못하는데 타국은 이미 전국에 빼곡히 도입했다는 사실은 아이러니 할 수 없습니다.
4G만해도 그렇습니다.
우리나라는 이번달에 도입을 했지만 해외는 이미 도입이 되었습니다.
4G또한 우리나라 기술인데 말입니다.