현재 뉴스를 보면 다들 아시겠지만, 네이트의 고객 개인정보 유출에 대한 뉴스글을 보실 수 있습니다.
슬슬 네이트도 뭔가 해킹 사전 터지겠구나 했는데, 실제로 터지니 아이러니 하군요.
네이트도 당했으니 이제 네이버, 다음 등도 타겟이 될 수 있습니다.

얼마전에, 저의 어머니의 친구 분 계정을 도용하여 스팸 메일이 온 적이 있습니다.
그곳에는 달랑 링크 한 줄만 있었습니다.
웬만 해서는 누르는 사람이 없겠지만, 많은 주부나 중장년층은 일단 확인해보려 하는게 주된 반응입니다.
그런데 그 사이트는 없는 존재하지 않는 사이트로 표기가 됩니다만, 진짜로 없는 건지 그렇게 화면만 띄우는 건지 우리가 어떻게 알까요?
도메인은 있고 사이트는 없다고 뜬다라.. 뭔가 이상하지요?
개인정보를 송신하는 프로그램이었을 거라 저는 생각합니다.
다행히 저희 어머니는 가입한 사이트가 적어 금방 바꿀 수 있었습니다.
우연의 일치일까 하고 상대방에게 물어보니 "자신은 그런 메일을 보낸 적이 없다" 며, "자신의 주소록에 있던 모든 사람에게 그와 같은 메일이 도착했다고 한다." 라고 진술하였습니다.

이런 소식은 주변 사람들로부터 듣기만 했지 진짜로 보니 우리나라 포털들은 참 대책이 없다고 생각합니다.
현존하는 암호화 기술 중 가장 보안이 뛰어나다고 하자면 MD5 기술이 되겠습니다.
이는, 단방향 암호화 기술로 암호화는 되지만 다시 원문으로 만들 수 없는 기술입니다.
이 기술은 많은 소형, 중형 사이트에서 쓰이고 있으며, 그 안정성은 널리 알려져 있습니다.

만약.
네이트나 옥션 같은 곳에서 이 기술을 적용했다면 이와 같이 일이 커졌을까요?
제가 알기론 대형 사이트들은 저 기술을 사용치 않는 것으로 알고 있습니다.
자체적으로 개발한 암호화 기술이나 안정성이 뛰어나다고 알려진 다른 기술을 도입합니다.
하지만 결국 복호화(원문으로 만드는 과정)가 된다는 점은 변함이 없습니다.
복호화가 된다는 것은 꼭 해킹이 아니더라도 내부 관계자가 얼마든지 가져다가 해석할 수 있다는 것입니다.
포털에서 주민번호를 복호화가 가능케 끔 저장해서 어디에 쓰려는 걸까요?

우리가 아이디, 비밀번호 등을 찾을 때 주민번호를 입력하는 것은 다들 아실 것입니다.
MD5는 같은 값에 대하여 항상 같은 값을 출력하게 되어져 있기 때문에 MD5를 적용해도 문제가 없습니다.
입력한 주민번호를 MD5로 암호화후 DB의 데이터와 비교하면 되니까요.

미리보기 서비스도 그렇습니다.
일부 문만 요약해서 보여주거나 자체적으로 검열하는 것도 아니고 대부분의 원문을 보여준다는 것은 해킹의 표적이 되고도 남는 일이 아니겠습니까?

우리나라의 많은 금융 기관들은 ActiveX를 이용하여 쓰잘때기 없는 보안 프로그램을 잔뜩 심어두었습니다.
덕분에 Internet Explorer가 아니라면 이용 하지도 못합니다.
과연, 이것들이 실제로 그 효용성이 있는 제품이라면 말도 안하겠습니다만.
해외의 많은 금율 기관은 오히려 ActiveX를 사용하지 않습니다.
그러면서도 우리나라보다 보안은 더욱 뛰어납니다.

왜 그러겠습니까?

첫째로, 우리나라는 표준을 지키지 않습니다.
ActiveX 자체가 표준에 어긋나는 것 이라고 봐도 무방합니다.
표준에 어긋난다는 것은 그만큼 구멍이 많다는 것이고 아무리 보안을 한들 그 구멍이 뚫리면 그것은 있으나 마나입니다.

농협 해킹사건도 그렇습니다.
비밀번호도 비밀번호대로 참 어이가 없었습니다만, Super Admin이 농협 전산망 시스템과 연결된 노트북을 개인 용도로 쓴건 아닌지 의심입니다.
솔직히, 엄무용은 엄무용으로만 사용했다면 Sharebox에서 발발한 바이러스에 걸릴 이유가 없지 않을까요?
엄무용이라면 그 사용되는 포트가 지극히 적겠지요.
하나의 기업의 서버를 총괄 관리하는 자라면 자신이 사용하는 포트 정도는 알 수 있습니다.
그러면 내부 통신용, 서버 접속용 포트를 제외한 모든 포트를 차단 했어야 옳지 않겠습니까?
오히려 그 노트북의 시스템은 무엇을 사용하는지 알고 싶습니다.
당연히도 농협이 ActiveX를 사용하니 윈도우 따위를 사용했을 가능성이 높습니다.
정말로 윈도우 였다면.
나는 그 관리자를 향해 체면 불구 하고 갖은 욕설은 물론 만나면 어떤 짓을 할 지 모르겠습니다.
제 마음은 그리 너그럽지 못하기 때문입니다.
현존하는 OS 중 모바일을 제외하면 윈도우가 가장 취약합니다.
그런데 이것을 썼다면 그 관리자는 자격증 전부 반납하고 업계에서 퇴사하셔야합니다.

이만큼 우리나라는 겉으로는 IT 강국이라지만 껍데기를 벗겨 보면 IT 쓰래기 입니다.
이것은 보안과 조금 무관합니다만, 우리가 흔히 Wi-Fi라고 부르는 기술도 사실 우리나라의 기술입니다.
빠르게 이동하면서도 무선인터넷 일정한 속도로 안정적으로 제공을 하는 차세대 기술들도 우리나라가 개발한 것들이 주를 이룹니다.
그런데 정작, 개발국은 사용도 못하는데 타국은 이미 전국에 빼곡히 도입했다는 사실은 아이러니 할 수 없습니다.
4G만해도 그렇습니다.
우리나라는 이번달에 도입을 했지만 해외는 이미 도입이 되었습니다.
4G또한 우리나라 기술인데 말입니다.

  WEP은 무선 랜을 통해 전송되는 데이터를 암호화함으로써 유선 네트웍의 물리적인 보안 대책에서 제공되는 것과 비슷한 방호를 제정하는 것을 추구한다. 데이터 암호화는 클라이언트와 AP 사이의 취약한 무선 링크를 보호하며, 일단 이 방법이 취해지면 기밀 보호를 확실히 하기 위해 암호 보호, 전구간 암호화, VPN, 그리고 인증 등과 같은 다른 일반적인 랜 보안 절차들이 시행될 수 있다.

  미국 UC 버클리 대학의 한 연구팀은 최근, 공격에 취약한 프로토콜을 사용하는 방치된 무선 랜, 즉 WEP에서의 "중요한 보안 결함들"을 언급한 보고서를 냈다. 그 팀의 기술시험 과정에서, 그들은 전송 중인 데이터를 가로채고 그 내용을 수정함으로써 기밀 네트웍에 접근할 수 있었다. WECA는 많은 네트워킹 제품에 포함되어 있는 WEP을 무선 랜을 위한 독점적인 보안 절차로 하려는 의도는 절대 아니며, 다만 WEP이 전통적인 보안 관례와 함께 매우 효과적이라고 주장한다.