몇 일 전, 선배의 서버가 뚫렸다는 소식을 들었다. 지인들을 대상으로 일종의 웹하드서비스를 제공하고 있었는데
그 중 몇 개의 계정이 여러사람이 사용하는 것이 있었는데 그 계정으로 인해 불법칩임자가 들어와 크래킹 시도를
한 흔적이 발견되었다. 즉시 계정을 블럭시켰지만 이미 침입하여 흔적을 남긴 후여서 밀고 다시 설치할 듯 보인다.
얘기를 듣고 혹시나 해서 내 서버도 조사해봤다. 마찬가지로 예전부터 침입시도가 여러번 있었고, 결국 모 사용자
의 계정에서 침입흔적을 발견했고, 해당 사용자에게 전화를 걸어 즉시 비밀번호를 변경시켰다. 다행히 뻘짓한 흔적
만 있었기에 별다른 문제는 없지만, 앞으로는 주기적으로 체크하여 "다중사용자"가 있는 지 확인할 것이며, 가급적
혼자사용할 것을 권고할 예정이다. 상습적인 경우 블럭시켜버리겠음-_-. 특히 t모계정 사용자. 하루에 어떻게 접속
하는 IP가 7개가 뜨는건지 원...동에 번쩍 서에 번쩍 로그인인가[...]
로그인 방식을 바꿀까 심각히 고려중에 있다. 패스워드 방식은 알기쉬운 단어 등, 단순하게 입력할 경우 언젠가
뚫릴 수 밖에 없다. 용어로
[Dictionary Attack]이라고 (맞나?) 수많은 단어를 무작위로 시도하여 침입하는 방식
이다. 1234, asdf, 1111 등은 나 잡아잡수 하는 격의 수준이고, 안전한 비밀번호는 보통 한글과 숫자, 더 좋게는
특수문자조합이 있다. 절대 영어단어로 비밀번호를 설정하지 않는 것이 좋다. 굳이 할거면 한글발음으로 설정하여
외국에서 들어오는 무차별 게릴라공격에 당하지 않도록 주의해야 한다. 하지만 이것도
[Keyboard Hooking]과
[Packet Snipping]에는 무력해진다.
[Keyboard Hooking], 보통 공용컴퓨터(공공장소에 위치한 PC)에서 로그인하는 것은 가급적이면 삼가는 것이
좋다. 컴퓨터내에 악성프로그램으로 인해 키보드 입력에 관한 정보를 인터넷으로 빼돌릴 수가 있기 때문이다.
이로인해 PC방 등에서 온라인 게임 등을 즐긴 후 계정안의 아이템을 도난당했다느니, 가정의 PC인데도 불구하고
사용자도 모르게 악성프로그램이 설치되어 키보드입력내용이 고스란히 [크래커]에게 전달되어 계정을 털리고마는
일을 겪게 될 수도 있는 것이다. 따라서 공공장소PC에서는 조심하기 바라며, 가정PC라도 신뢰할 수 없는 사이트에
서 받은 실행파일은(실행파일이 아니라도!) 함부로 열람 또는 실행하지 말기 바란다. 이런 경향은 동양웹에서는
비교적 덜 하지만, 서양 웹에서는 조심해야한다. 특히 토런트 등을 사용하는 사람들은 각별히 주의바란다.
은행 등의 사이트에서 엑티브X 떡칠을 하며 설치하라고 하는 것들만 보면 짜증이 일 것이다. 암호화모듈을 설치
하여 암호화 통신을 한다는 것은 좋은 일이지만, 사용자들에게 강요할 이유까지는 없다. 왜 굳이 깔아야하는가?
서버측에서 알아서 처리해 줄 수는 없는건가? 우리나라의 제도적 문제로 인해 강제적 엑티브X와 공인인증서 없이
금융거래가 불가능한 점은 IT업계에서는 만년떡밥으로 있는 상황인데 반해 외국 금융거래에서는 애초에 사용자의
컴퓨터는 신뢰하지 않는다고 정의하고 서버측에서 모든 걸 알아서 처리한다. 때문에 아무것도 설치할 필요가 없다.
그렇다고 헛점이 있는 것도 아니다. 적절한 암호화통신으로 인해 사용자의 정보가 보호되고 있다.
쓸데없는 소리로 얘기가 길어졌는데, 위의
[Packet Snipping]을 위해 길게 써 놓은 것이다. 간단히 말하면 사용자
의 PC가 아무리 안전하다 하더라도 중간에 신호를 가로채서 도청을 할 수 있기 때문에 암호화를 하는 것이다.
영화 등에서도 전화 도청장면 등이 나올 것이다. 실제로 전화선에 저항을 두고 선을 따서 이어폰이나 헤드폰으로
들어보면(물론 신호는 증폭시켜야 하지만) 그냥 도청할 수 있다. 컴퓨터의 경우도 마찬가지로 A와 B가 서로 통신을
하고있는데 C가 중간에서 신호를 가로채고 있으면(가로챈다고 B가 못받는 건 아니다) 주고가는 내용을 훔쳐볼 수
있다는 소리다. 이 방법을
[Packet Snipping] 이라고 하며, 주된 악용방법은 ID/PW입력 후 전송되는 패킷을 가로
채서 개인정보 등 심하면 계좌의 돈을 빼갈 수 있는 것이다. 이건 사용자의 PC와는 전혀 관계없는 방법으로 암호화
하지 않는 한 속수무책으로 당할 수 밖에 없다. 이런 중요한 문제때문에 좀 잘못된 방법이긴 하지만 금융권에서
암호화모듈을 강제설치하여 암호화통신을 하게 만드는 것이다. 옥션 개인정보 유출 사건으로 인해 포털사이트
등에서 비밀번호 변경 권고와 로그인 시
"보안을 유지한 로그인" 등이 보이는 것이 이런 이유다.
"보안을 유지한 로그인"은 보통 주소창이
http에
서 https로 바뀌며 계정정보를 전송하게 된다. 이것을
[SSL]이라
부르며, 보통 128비트 암호화 통신을 하게 만든다. 이것은 포털사이트에서 검색할 때에도 마찬가지다. 사용자가
검색을 하는 것이 만천하에 드러나는 것이기에 오버해서 말하면 사생활침해에 해당될 수 있다. 이것을 방지하기
위해 사이트 주소를 http가 아닌 https로 접속하여 검색할 경우 문제는 사라진다.(예 : 구글에 SSL을 사용하여 검색
할 수 있다.
https://www.google.co.kr) 특히 "음지의 자료"를 검색하는 사람들은 주의하라. 검색한 내용이 ISP업체
에 전달되어 소송제기를 받을 수도 있다(실제 KT 등 ISP업체가 이런 정보를 패킷스니핑하여 넘겨준 적이 있다는
소문이 있다)
정작 하려는 얘기는 안쓰고 두서가 너무 길어져 버렸는데 내 서버도 일명 "공인인증서 로그인 방식"으로 교체하는
것을 고려중이다. 실제 공인인증서는 아니고, 특정 서버만의 로그인에 필요한 인증서로 비밀번호를 알고있어도
인증서가 없으면 로그인이 불가능한 방식이다. 이로서 더 안전하게 되며 이 인증서가 있을 경우 로그인시에도
암호화하여 계정정보가 전달되기 때문에 중간에 가로채일 염려는 없다. 그래도 이 인증서마저 복제하여 사용할
수는 있지만, 접속기록을 조회하여 다중 동시접속기록이 있을 경우 블럭처리하면 되기에..사용자들이 불편하더라
도 서버의 안전을 위해 정책변경을 할까 고심중이다....실제로 이거로 바꾸면 통신중 누가 중간에 가로채도 알 수
없는 외계어로 바뀐 내용만 볼 수 있기에 안전하여 좋다.
다들 좀 보안의식을 갖기 바란다. 당하고서 후회하지 말고 말이다...
당신의 의견을 작성해 주세요.
살아 있네?
좀비ㅡㅡ