Home > 전체기사
[어록위클리 9-3] “인간의 학습 능력, 생각보다 떨어져”
  |  입력 : 2019-09-22 07:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
에콰도르 전 국민의 개인정보 노출된 경악스러운 사건
전문가들, “애초에 존재 자체가 의문스러운 DB”...각종 권고 사항 나오기도


[보안뉴스 문가용 기자] VPN 전문 업체 vpn멘토(vpnMentor)가 이번 주 에콰도르 전 국민의 개인정보가 담겨있는 데이터베이스를 발견하는 사상 초유의 일이 발생했다. 엘라스틱서치(ElasticSearch) 기반 데이터베이스가 비밀번호 설정도 없이 인터넷에 고스란히 노출되어 있었고, 여기에는 2천만 명의 정보가 저장되어 있었다. 에콰도르의 인구는 1천 6백만이다.

[이미지 = iclickart]


이 정보들은 미국 플로리다 주 마이애미에 있는 서버에 저장되어 있었다. 소유자는 에콰도르의 컨설팅 업체인 노바에스트라(Novaestrat)였다. 현재 노바에스트라는 각종 무더기 고소를 당하고 있는 것으로 알려져 있다. ‘사상 초유’라는 표현이 아깝지 않은 사건이고, 여러 보안 전문가들이 이에 대한 의견을 피력하고 나섰다.

“클라우드 컴퓨팅의 접근성과 확장성은 실로 대단한 강점이다. 하지만 클라우드 관리자들 편에서의 실수가 너무나 잦다. 아직 클라우드라는 환경에서 작업이 이뤄지고 있다는 자각이 없든가, 클라우드를 잘 이해하지 못하고 있는 것으로 보인다. 완벽한 사람도 없고, 완벽한 시스템도 없다. 클라우드가 아무리 신기술이고, 대형 기업이 서비스를 제공한다고 해도, 데이터 보호까지 저절로, 완벽하게 이뤄지는 건 아니다. 데이터 보안의 가장 으뜸이 되는 규칙은, 데이터를 갖지 않는 것이다. 특히나 사적인 정보라면 얼른 사용하고 지우는 게 가장 안전하다. 또한 이번 사건은 과거의 에퀴팩스(Equifax) 사건을 떠올리게 한다. 인간의 학습하는 능력이란 건, 우리 생각보다 떨어져 있는 것이 분명하다.”
벡트라(Vectra)의 분석 책임자, 크리스 모랄레스(Chris Morales)

“엘라스틱서치와 같은 노출된 형태의 DB는 현재 데이터 유출을 유발하는 가장 큰 요인이다. 관리자의 설정 실수로 중요한 정보가 새나가는 일은 도저히 멈출 기미를 보이지 않고 있다. 올해만 해도 이런 식으로 노출된 파일이 작년보다 7억 5천만 개가 늘어났다고 한다. 대부분 기술의 원 제공자가 의도하지 않은 기능이나 설정이, 구축 단계에서 추가되면서 이런 일이 발생한다. 그러므로 가장 중요한 디지털 자신이 저장되어 있는 환경에 대한 지속적인 모니터링과 점검은 필수다. 그나마 에콰도르 DB 사건에서 아직까지 실제 공격과 익스플로잇의 정황이 없다는 게 다행이다.”
디지털 셰도우즈(Digital Shadows)의 전략 분석가, 해리슨 반 리퍼(Harrison Van Riper)

“경악스러운 소식이다. 수많은 사람들과 아동들이 앞으로 신분 탈취를 비롯한 각종 사기 범죄에 노출될 것이다. 물리적 피격을 당하는 이들이 나올 가능성도 높게 보고 있다. 누군가를 표적 삼아 빈 집을 턴다거나, 취약한 시간대에 쳐들어가 누군가를 납치하는 것도 가능하다. 이런 개인정보가 노출되는 것에 대해 우리는 너무 ‘사이버 공간’ 안에서만 생각한다. 하지만 에콰도르 사건에서처럼 상세한 정보가 새나갈 경우라면, 물리적 여파도 반드시 고려해야 한다. 게다가 요 몇 년 전부터 기승을 부리고 있는 BEC(비즈니스 이메일 침해) 공격에 새로운 연료가 들어간 것이나 다름이 없기도 하다. 앞으로 에콰도르 기업들은 대단히 그럴듯한 스피어피싱에 계속 찔림을 당할 것이다. DMARC와 같은 강력한 이메일 보안 장치가 필요하다.”
발리메일(Valimail)의 CEO, 알렉산더 가르시아 토바(Alexander Garcia-Tobar)

“그리 놀랄 일도 아니다. 클라우드 러시는 지금도 이어지고 있는 현상이고, 그러면서 이해도가 부족한 사람들이 자꾸만 정보를 외부로 노출시키고 있는데, 이 역시 예상된 수순이다. 클라우드의 좋은 점에만 취한 사람들이 보안에 대해 알아볼 생각도 하지 않는데 아무런 사고가 없을 거라고 예상하는 게 더 이상한 거다. 클라우드로 이전할 때 가장 먼저 생각해야 할 건 생산성이나 가용성이 아니라 보안성이다. 그러므로 클라우드 환경 자체가 안전한지도 챙겨야 하지만, 관리자가 올바른 보안 절차와 개념을 가지고 있는지도 살펴야 한다. 또한 조직 차원에서 주기적으로 클라우드와 데이터의 상태를 점검하는 것도 필요하다.”
트러스트웨이브(Trustwave)의 EMEA 국장, 에드 윌리엄즈(Ed Williams)

“일반적으로 보안은 굉장히 귀찮은 일이고, 그래서 간과되고 일이 터진다. 아직도 이 틀에서 우린 못 벗어나고 있다는 게 이번 사건으로 드러났다. 우리는 여전히 아이디와 비밀번호를 입력해 로그인 하는 걸 귀찮게 여기고, 이걸 한 번 더 하게 하는 이중인증은 더더욱 불필요하게 생각한다. 매주 서버 설정 사고가 뉴스에 보도되는데도 마찬가지다. 이제는 이중인증 과정이 귀찮지 않도록 하는 방법을 연구할 때가 됐다. 지금의 방법을 유지하면서 아무리 설득해봐야 사용자들은 듣지 않을 것이다. 유저프렌들리 개념이 아직 보안에 너무 부족하다.”
원 아이덴티티(One Identity)의 IAM 전문가, 토드 피터슨(Todd Peterson)

“디지털 경제 시대에는 ‘신원’이야 말로 진정한 화폐다. 디지털 경제가 커질수록 이 화폐의 중요도가 커지고, 그렇기 때문에 신원과 관련된 사기가 증가할 수밖에 없다. 이런 때 개인정보 유출 사고란, 결국 화폐가 공짜로 풀린 것이나 다름이 없다. 이 화폐를 적극적으로 활용하려는 사업 시도, 즉 각종 사기 범죄가 증가할 것이라는 건 익히 예상이 가능하다. 이런 신원 도용 사기는 사실 실제 피해자가 자신의 피해를 인지하고 신고해야만 끝이 난다. 범죄자들이 뒤에서 들키지 않을 정도로만 범죄를 이어간다면 꽤나 꾸준하고 지속적으로 공격할 수 있다는 뜻이다. 에콰도르 사건의 경우 수많은 아동들이 피해를 입었다. 이들은 자신의 신원이 도용되고 있다는 걸 확인하기 힘든 부류다. 사기꾼들에게 더없이 좋은 기회가 열렸다. 이 다음이 어떤 나라가 될 지만 모를 뿐, 이 사건이 반복될 것이라는 걸 우린 다 알고 있다.”
아르코스 랩스(Arkose Labs)의 CEO, 케빈 고스초크(Kevin Gosschalk)

“회사가 고객 전체의 데이터를 실수로 유출시키는 사례는 많이 봤어도, 한 나라의 전 국민이 한꺼번에 피해를 입은 사례는 처음이다. 클라우드 환경에서 일어나는 설정 오류는 굉장히 흔한 일이다. 심지어 막을 수 없다는 의견들도 존재하는 것으로 알고 있다. 하지만 환경설정 문제는 효과적으로 방어하는 게 가능하다. 데이터베이스의 설정 상태를 점검해주는 자동화 클라우드 보안 솔루션들이 있기 때문이다. 처음부터 이런 솔루션들을 알아보고 투자하는 게, 일개 담당자의 실수로 돌이킬 수 없는 실수를 저지르는 것보다 낫다. 작은 투자가 큰 차이를 만든다는 걸 왜 그리 이해하지 못하는가.”
다이비클라우드(DivvyCloud)의 CTO, 크리스 드라무스(Chris DeRamus)

“이런 DB는 처음부터 존재하면 안 됐다. 권한이 있는 사람들, 정상적으로 로그인해서 들어갈 수 있는 사람들만 접속한다고 해도, 이런 DB는 존재 그 자체가 문제다. 그리고 그런 폭탄과 같은 DB를 인터넷에 연결할 생각을 했다는 것이 두 번째 문제다. 설정을 제대로 하든 말든, 일단 이런 DB를 어떻게 공공 인터넷에 연결할 생각을 했는지, 도무지 이해할 수가 없다. 이 두 가지 큰 사고를 치고도 환경설정을 신경 쓰지 않았다는 건, 어떤 말로 표현해야 할지 감도 오지 않는다. 데이터에 대한 감각이 아무리 사람마다 다르다지만, 이번 건은 너무했다.”
아웃포스트24(Outpost24)의 보안 관리자인 휴고 반 덴 투른(Hugo van den Toorn)

“데이터 유출 사고에 무감각해져서는 안 된다. 조직의 명성이 떨어지는 것도 문제지만, 개개인에게 돌아가는 피해가 너무나 크다. 개인정보는 대단히 조심스럽고 꼼꼼하게 다뤄야 한다. 그 어떤 경우에도 개인정보가 일반 인터넷에 노출되어서는 안 되고, 여기에는 변명의 여지가 없다. 실수가 전혀 용납되어서는 안 되는 부분이라는 것이다. 왜냐하면, 이런 종류의 사고는 절대로 돌이킬 수 없기 때문이다. 또 하나 중요한 건 망분리다. 망분리는 내부 인프라의 완전 노출을 방지한다. 하지만 이번 사건을 통해 나오는 각종 권장 사항들이 또 휴지조각처럼 버려질 것이 눈에 선하다. 그래도 말하고 또 말하는 것이 우리의 임무겠지만.”
화이트햇 시큐리티(WhiteHat Security)의 앱 보안 전문가, 오스카 토바(Oscar Tovar)
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 10월 정보보호정책관을 정보네트워크정책관으로 변경하는 과학기술정보통신부의 조직 개편 움직임이 논란이 된 바 있습니다. 과기정통부에서 정보보호 업무를 총괄하는 조직 위상에 대한 견해는?
과기정통부에서 분리해 별도의 정부부처가 전담해야
과기정통부 내 정보보호정책실(실장급)로 격상시켜야
지금처럼 정보보호정책관(국장급) 조직을 유지해야
네트워크 업무를 통합시키되, 정보보호네트워크정책관(국장급)으로 명명해야
과기정통부의 초안처럼 정보네트워크정책관(국장급)으로 해야
기타(댓글로)
      

이스온
원격감시 / 안전관리

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

AVIGILON
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

피엔에이
CCTV / IP 카메라 모듈

테크스피어
손혈관 / 차량하부 검색기

쿠도커뮤니케이션
스마트 관제 솔루션

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

링크플로우
이동형 CCTV 솔루션

한국씨텍
PTZ CCTV

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

트루엔
IP 카메라

씨오피코리아
CCTV 영상 전송장비

CCTV협동조합
CCTV

디비시스
CCTV토탈솔루션

도마카바코리아
시큐리티 게이트

다민정보산업
기업형 스토리지

테크어헤드
얼굴인식 소프트웨어

에스카
CCTV / 영상개선

브이유텍
플랫폼 기반 통합 NVR

윈스
지능형 차세대 방화벽

포티넷
네트워크 보안

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

수퍼락
출입통제 시스템

구네보코리아
보안게이트

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

파이브지티
얼굴인식 시스템

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

지와이네트웍스
CCTV 영상분석

두레옵트로닉스
카메라 렌즈

지에스티엔지니어링
게이트 / 스피드게이트

이후커뮤니케이션
전송장치/CCTV

창우
폴대

넷플로우
IP인터폰 / 방송시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

DK솔루션
메트릭스 / 망전송시스템

싸이닉스
스피드 돔 카메라

다원테크
CCTV / POLE / 브라켓

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트