해커들의 놀이터가 된 한국의 쇼핑몰에서 옥션해킹사건을 소개한지 열흘이 흘렀습니다. 회원 수가 1800만명이나 되는 국내 최대 오픈마켓이 해킹당했는데도 아직까지도 이렇다할 범인검거 소식이나 해킹으로 인한 피해소식도 없고, 그렇다고 어떻게 수사가 진행되고 있다는 일체의 기사를 접하지 못하고 있습니다. 우리나라
국민의 1/3이 가입한 웹사이트에서 회원들의 주민번호와 이름, 아이디, 주소, 전화번호, 이메일 등이 깔끔하게 빠져나갔는데도 왜 이렇게 침묵 중인 것일까요?

옥션뿐만 아니라 경찰청 사이버테러 대응센터에서도 수사에 들어갔다는 소식 이후에 너무나 잠잠하기만 하고 언제나 그렇듯 원인분석과 대책도 발빠른 대응도 없고, 그저 추측만 난무한 상태일 뿐입니다. 드러나지 않았지만 많은 국민들의 정보가 해외에서 떠돌고 판매되고 있을지도 모르는데 그냥 잊혀지기만 기다리는 것일까요? 옥션 측이 카드번호,비밀번호가 안전하다고 했으니 그냥 안심을 하고있는 것인가요?

10만명의 정보가 빠져나갔는지 1800만명의 정보가 모두 빠져나간 건지 그것도 지금까지 정확히 파악하지 못하고 있나 봅니다. 해커가 어눌한 한국말로 옥션에 전화를 걸어 협상을 요구하자 파랗게 질려 해킹사실을 알았다는데, 다시 해커의 연락이 없으면 추적할 수도없고 잡을 단서도 없는 것일까요?

처음에 뉴스에서는 해커가 웹사이트의 취약점을 알아내 내부 데이터베이스(DB)에 접근하는 첨단의 신종 해킹 기법을 써서 막을 수 없었다고 말하다가 나중에 뉴스에서는 개인정보 DB를 관리하는 직원이 악성코드가 첨부된 이메일 열어서 DB 관리 권한을 획득한 해커가 개인정보를 빼내갔다고 했었습니다. 이 역시 아직 진실은 알지 못하는데 수사를 하고 있다면 그 과정부터 밝혀야 하는데 아직도 나는 정확한 뉴스를 찾지 못하고 있습니다.

직원의 실수가 맞다면 옥션 내부의 업무용 PC와 네트워크 보안관리가 제대로 이뤄지지 않았다는 얘기이며, 평소 옥션의 고객정보관리가 얼마나 허술한 의식속에서 관리되고 있었는지 알 수 있게 해 줍니다. 옥션은 한국전자거래진흥원과 동아일보, 한국경제신문, 전자신문이 공동주관하여 시행하고 있는 이트러스트(eTrust) 인증마크를 획득한 인터넷몰인데, 이번 사태로 시스템 성능 및 안전성에 관한 평가 기준 을 통과한 것이 신기하다는 의문까지 들게 하는군요.


명절 전후에 벌어진 사태(이건 사태입니다)인데다가 숭례문소실 등으로 옥션해킹에 대한 심각성이 많이 잊혀지고 있는게 아닐까요?
작년에 개인정보 유출로 SK텔레콤은 이용자 2500명에게 총 1억7500만원의 상품권을 지급해야 했고, 또 LG전자는 신입사원 채용시험에 응시했다가 인터넷 해킹으로 개인정보가 유출된 응시자들 32명에게 70만원씩을 위자료를 지급하기도 했습니다.

옥션은 지난 5일 정보통신부와 한국정보보호진흥원에 신고한 뒤 문제가 됐던 IDC의 서버 리부팅 작업을 완료하고, 방화벽을 다른 제품으로 교체하는 등 보안 프로그램 업그레이드를 8일까지 마쳤고, 관제담당팀, 미국 본사인 이베이에서 파견된 보안 전문가, 외주 보안업체 등 100명 정도가 자체적으로 정보 유출 관련 조사를 진행하고 있으며, 조만간 정보보호진흥원과 공동 조사에 나설 계획이라고 밝혔습니다. 그 과정에서
비밀번호와 계좌번호,카드번호 등 금융정보는 안전한 게 확인됐고, 유출된 DB 경로를 추적한 결과 개인정보에 국한된 것으로 나타났다고 하는데, 옥션의 이야기는 마치 개인정보에 국한되었으니 괜찮다라는 어감으로 들립니다. 또 아직까지 정확한 유출 경로와 규모는 좀 더 시간이 걸릴 것이라는데, 그것을 파악했을 때는 이미 우리나라 국민 1/3의 개인정보가 1인당 10원에 팔려 거래되고 있다면 어찌할 것인지 모르겠습니다.

타인명의로 온라인게임에 가입해 거래사기를 치는것은 애교가 될 것이고, 유출된 주민번호 등 개인정보를 이용하여 쉽게 대포폰을 만들어 금융사기와 각종 범죄에 이용할 수도 있을 것이고, 요즘 계속 증가하고 있는 전화사기는 더욱 쉽게 될 것이고, 원링 스팸에서 발전한 개인정보를 넣은 문자 스팸을 이용한 고액자동결제 스팸이 생길지도 모릅니다.

주민등록번호, 주소, 전화번호 등을 포함한 개인정보 유출로 1인당 10만원 정도 보상되었던 리니지의 판례까지 아니라고 해도, 1인당 1만원만 보상을 한다고 해도 1800만명이면 그 규모는 1800억원입니다. 그렇기에 한 기업을 살려보려고 이렇게 잠잠한 것일까요? 차라리 지금보다 더 적극적으로 나서서 중국에도 협조를 구하고 국제적인 도움을 얻어 하루라도 빨리 범인을 검거하는 것이 중요하다고 생각합니다. 이번 진관희 사진유출 사건처럼 한번 공개된 정보를 회수하기란 물을 다시 담는것과 같이 불가능한 일입니다. 옥션에서도 숨기기보다 수사에 적극 협조해 회원들의 피해를 최대한 막아야 할 것입니다.


대한민국이 1~2년 후에 사기의 천국이 될까 두렵습니다.

와이어샤크를 활용한 실전 패킷 분석(에이콘 해킹 보안 시리즈 16) 상세보기
크리스 샌더즈 지음 | 에이콘출판 펴냄
시나리오에 따른 상황별 해킹 탐지와 네트워크 모니터링! '에이콘 해킹ㆍ보안' 시리즈, 제16권 『와이어샤크를 활용한 실전 패킷 분석』. 시나리오에 따른 상황별 해킹 탐지와 네트워크 모니터링이 가능할 수 있도록 와이어샤크를 활용하여 실전 패킷을 분석하고 있다. 이 책은 세계에서 가장 유명한 네트워크 스니핑 프로그램인 '와이어샤크'를 설치하여 네트워크에서 패킷을 캡처하고 분석하는 방법을 알려준다. 그러한 작업


:
free counters
BLOG main image
樂,茶,Karma by 외계인 마틴

카테고리

전체 분류 (386)
비과학 상식 (162)
블로그 단상 (90)
이런저런 글 (69)
미디어 잡담 (26)
茶와 카르마 (39)
이어쓰는 글 (0)

최근에 올라온 글

최근에 달린 댓글

최근에 받은 트랙백


 website stats
Total :
Today : Yesterday :
TISTORY 2008 우수블로그
TISTORY 2009 우수블로그