사용자 삽입 이미지

지난 2009년 오라클의 썬마이크로시스템즈 인수가 발표됐을 때 IT업계에는 적지 않은 우려가 있었습니다. 썬이 보유한 기술들이 IT 산업의 공공재적인 성격을 띤 것들이 많았기 때문입니다. 자바가 대표적입니다.


당시 자바는 널리 사용되는 공개 표준 기반 개발 플랫폼이었습니다. 900 이상의 개발자들이 자바 기반의 프로그램을 제작하고 있고, 기업용 PC 97%  30억대의 이동전화, 50억개의 자바 카드, 80억대의 TV 장치가 자바 기반으로 구동되고 있습니다.


썬은 자바라는 초히트 플랫폼을 개발했지만 이것을 수익으로 연결시키지는 못했습니다. 자바의 주인은 썬이었지만 IBM 등 경쟁사들이 자바 생태계를 키웠다고 평가받았습니다.


반면 썬과 달리 오라클은 IT산업계에서 기술을 수익으로 전환하는데 가장 뛰어난 능력을 발휘하는 회사입니다. 오라클이 자바를 수익창출 도구로 활용하거나, 수익이 크지 않을 경우 자바에 대한 투자를 줄일 것이는 업계의 우려가 적지 않았습니다. 이에 대해 오라클은 '오해'라며 자바에 대한 투자를 더욱 강화할 것이라고 주장해왔습니다.


그러나 최근 자바7에 보안 취약점 문제로 인해 IT 업계의 우려가 현실화 되는 것처럼 보입니다. 오라클이 자바의 보안 문제에 크게 신경쓰지 않는 인상을 주기 때문입니다.


지난 연말부터 자바7의 보안취약점이 업계의 큰 문제로 떠올라 있습니다. 자바7의 업데이트 10에서 심각한 취약점이 노출됐고 이로 인해 애플은 맥컴퓨터에서 자바를 차단하기도 했습니다. 파이어폭스도 기본 설정을 자바가 실행되지 않도록 했습니다. 꼭 필요한 사용자만 자바를 별도로 실행시켜 사용하라는 것입니다.


자바7 업데이트10의 보안 취약점을 해결하기 위해 오라클이 업데이터 11을 내 놓았지만 문제는 해결되지 않았습니다. 업데이트 이후에도 취약점이 계속 나타나고 있습니다.  미국 국토안보부조차 " 브라우저에서 반드시 자바를 써야 하는 경우가 아니라면 '사용하지 않음'으로 기본 설정을 바꾸라" 경고했습니다.


러시아의 보안업체 카스퍼스키 랩의 IT 보안 보고서에 따르면 2012 3분기의 공격 56%가 자바 취약점을 이용한 것이었습니다. 자바는 공격자들의 놀이터였던 것입니다.


문제는 오라클이 자바 보안 취약점 문제 해결에 적극적인 인상을 주지 않고 있다는 점입니다. 이번에 문제가 발생한 이후에도 오라클은 어떤 공식 입장표명도 하지 않았습니다. 취약점이 해결되고 있는지, 해결이 어려운 것인지 아무런 설명도 없었습니다.


지금까지 보안에 취약하다고 많은 지적을 받았던 플랫폼은 마이크로소프트의 윈도와 인터넷익스플로러였습니다. 그러나 카스퍼스키 랩 보고서에 따르면, MS 플랫폼을 통한 공격이 벌어진 사례는 4%에 불과했습니다. MS가 지난 몇년 동안 보안 문제 해결에 엄청난 노력을 펼쳤기 때문에 MS는 보안에 취약한 플랫폼이라는 오명을 벗을 수 있게 됐습니다.


카스퍼스키 랩의 안티바이러스 수석 연구연인 로엘 슈웬버그(Roel Schouwenberg)오라클의 안이한 태도를 노골적으로 비판합니다. 그는 "IT 업체들이 지난 몇 년 동안 자사 제품의 보안 향상을 이뤘는데 오라클은 전혀 움직임이 없다"면서 "소프트웨어의 보안을 강화하기 위해, 적어도 업데이트 방식을 개선하기 위해 오라클은 아무런 노력도 하지 않는다"고 말했습니다.


그는 특히 "오라클은 쉽게 해결할 수 있는 취약점이 있음을 알면서도 몇 달동안이나 수정하지 않고 그대로 사용하고 있다"면서 "보안 취약점 해결을 위한 오라클의 대응이 개선되지 않는다면 자바를 사용하지 않는 것이 최선의 방법"이라고 일갈했습니다.

2013/01/31 12:17 2013/01/31 12:17


사용자 삽입 이미지사용자 삽입 이미지
최근 금융권에서 잇따른 보안사고가 벌어지고 있습니다. 현대캐피탈의 고객정보 유출사건, 농협의 고객 데이터 삭제 사건 등이 대표적입니다. 보안위협은 IT기술 발전의 최대 걸림돌입니다. 많은 정보가 전산화될수록, 정보네트워크가 활성화될수록 보안위협은 커지고 있습니다.

하지만 보안위협이 무서워서 IT기술을 이용하지 않을 수는 없습니다. 그야말로 구더기 무서워 장 못 담그는 격이지요. 그렇다면 이를 막을 기술은 뭐가 있을까요. 이번 포스팅에서는 현대캐피탈이나 농협이 도입했으면 좋았을 데이터 보호 기술들을 살펴보겠습니다.

◆데이터 암호화 - 현대캐피탈 해킹 사고의 피해를 가장 손쉽게 막을 수 있는 기술은 DB 암호화입니다. DB 암호화는 중요 정보를 암호화해 저장하는 기술로, 설사 해커가 정보를 빼냈다고 하더라도 이를 열어볼 수 없도록 합니다. 때문에 암호화는 DB보안의 기본사항으로 인식되고 있습니다.

하지만 DB암호화가 국내에서 활성화 된 것은 아닙니다. 상당수의 금융기관이 DB암호화를 꺼려하고 있다고 합니다.

DB암호화가 인기가 없는 이유는 두 가지입니다. 암호화 솔루션을 도입할 경우 서비스 성능 저하를 가져오고, 기존 응용프로그램과의 호환성 문제를 일으킬 수 있기 때문입니다. 암호화 솔루션을 도입하려고 했더니 속도는 엄청 느려지고, 기존 애플리케이션을 다시 개발해야 하는 상황이 벌어지는 것입니다.

현대캐피탈도 지난 2009년 암호화 솔루션 도입을 고려했었다고 합니다. 그러나 속도 및 비용문제로 실행으로 옮기지는 않았습니다.

이 때문에 DB암호화를 하면서 성능을 유지하고, 애플리케이션 재개발을 방지할 수 있는 기술연구가 시급합니다. 아무리 복잡한 알고리즘으로 암호화를 한다고 해도 서비스 성능에 문제를 일으킨다면 활성화되기 어렵기 때문입니다.

솔루션 업체들은 이에 대한 몇 가지 대안을 제시하고 있습니다. 오라클을 비롯해 수 많은 DB보안 업체들이 자신만의 해법을 제시하고 있습니다.

◆ 접근·권한 제어 - 농협의 데이터 삭제 사건은 아직 정확한 원인이 규명되지 않았지만, 슈퍼 관리자 권한에서 비롯됐다는 것이 정설입니다. 내부자 소행이든, 북한의 해킹이든 데이터를 삭제하려면 슈퍼관리자 권한을 획득해야 가능하기 때문입니다.

역사에 대한 가정은 불필요한 것이라지만, 만약 농협 시스템에 슈퍼관리자라는 권한 자체가 없었다면 고객데이터삭제 사고는 막을 수 있었을 지도 모릅니다.

슈퍼 관리자 권한을 보유하면 어떤 데이터이든 열람하고, 삭제하거나 생성할 수 있습니다. 보통 기업 전산실에서는 DB관리자들이 이 같은 슈퍼 관리자 권한을 보유하고 있습니다.

그러나 과연 DB관리자들이 이처럼 무한한 권한을 가질 필요가 있는지는 의문입니다. DB관리자의 역할은 데이터를 백업하는 것입니다. 이들은 업무상으로 데이터를 생성, 삭제, 열람할 필요는 없습니다. 이처럼 DB관리자조차 DB내의 다른 스키마의 데이터를 볼 수 없게 제어할 필요가 있습니다.

이를 위해 접근·권한 제어 기술이 도입돼야 합니다. 각자 필요한 업무에서만 권한을 가져야 합니다. 필요이상의 권한을 갖게 되면 내부자 정보유출 등의 사고가 발생할 수 있습니다. 예를 들어 고객의 데이터를 보는 일은 콜센터 직원만 합니다. 콜센터 직원들은 고객과 상담하기 위해 고객 정보를 보거나 수정하는 것이 불가피하지만, DBA까지 고객데이터를 볼 이유는 없습니다.

◆DB 감사 - 현대캐피탈은 해킹 사건이 벌어지고 두 달 동안 해킹 사실조차 모르고 있었습니다.  현대 캐피탈은 수억 원을 요구한 협박 메일을 받고서야 해킹 사실을 알았습니다. 범인들이 협박 메일을 보내지 않았다면 끝까지 몰랐을 수도 있습니다.

이는 현대 캐피탈에 DB감사 시스템이 없거나 있더라도 제대로 운영되지 않았음을 말합니다. DB감사는 의심스러운 DB 작업을 선택해 관찰하고, DB 액션을 모니터하며, DB 작업에 대한 자료를 기록하는 작업입니다.

만약 현대 캐피탈이 DB에서 벌어지는 의심스러운 정황을 미리 포착했다면, 피해고객이 42만 명까지는 되지 않았을 수도 있습니다.

물론 위 세 가지 기술을 모두 도입한다해도 완벽한 DB보안이 되는 것은 아닙니다. 이 세상에 완벽한 보안은 없으니까요.
하지만 자물쇠 하나로만 문을 잠그는 것보다는 두 개, 세 개 잠그는 것이 상대적으로는 더 안전하다는 사실은 분명할 것입니다.
2011/05/02 18:43 2011/05/02 18:43
사용자 삽입 이미지
[사진]안철수 연구소 김홍선 대표(左) 한컴 김영익 대표(右)


지난 해 11월 대표적인 국산 소프트웨어 업체들인 안철수연구소(이하 안연구소)와 한글과컴퓨터(이하 한컴)가 전방위적 사업 협력관계 구축을 위한 상호협력 양해각서를 체결한 바 있습니다. 이 협력을 통해 결합제품 출시, 기술개발, 온라인 공동 마케팅 등 포괄적 협력 관계를 구축하겠다고 두 회사는 밝혔습니다.

두 회사의 협력은 1세대 ‘국민벤처’끼리의 협력이라는 점에서 IT업계의 관심을 끌었습니다.

그런데 최근 이 같은 제휴에 금이 가는 모습이 곳곳에서 보입니다. 사실상 양해각서는 없었던 일이 된 것 아니냐는 목소리도 들립니다.

대표적인 사례가 안연구소가 최고마케팅책임자(CMO)로 한컴 출신의 김수진 전무를 영입한 것입니다. 김 전무는 안연구소에서 전사통합 브랜드마케팅 전략 총괄, 제품 로드맵 및 전략 수립, 신선장 비즈니스 발굴 및 기획 등을 담당하게 된다고 합니다.

김 전무는 지난 2006년 12월 한컴 최고운영책임자(COO)에 부임한 이후 제품 개발을 제외한 전 부문을 이끌었던 인물입니다. 지난 해 6월 프라임그룹이 셀런에 한컴을 매각하기 직전에는 대표까지 역임했습니다.

그런데 김 전무와 현재 한컴 경영진과는 매우 사이가 좋지 않습니다. 김 전무가 한컴의 셀런에스엔 유상증자 참여 등에 반대하면서 현 한컴 경영진의 눈 밖에 난 것입니다. 김 전무는 이를 대주주의 전횡이라고 봤습니다. 한컴 김영익 대표도 김 전무가 이런 김 전무가 예뻐 보일 리 만무할 것입니다.

이후 한컴 김 대표가 횡령 및 배임혐의로 기소되면서 사태는 더욱 악화됐습니다. 김영익 대표는 기소된 이후 김수진 전무를 대기발령 내는 등 사실상 해임했고, 이후 김 전무를 따르던 임원도 일부 퇴사한 상태입니다.

이처럼 현재 한컴 경영진과 갈등을 빚어온 김수진 전무를 안연구소가 영입했다는 것은 안연구소가 한컴 경영진과 등을 돌린다는 의미로 받아들일 수 있습니다.

더군다나 안연구소도 한컴에 감정이 좋지 않은 상태입니다. 한컴 대주주인 셀런 김명민 전 대표가 SGA와 한컴 매각에 대한 논의를 했다는 사실이 확인됐기 때문입니다.

SGA는 최근 급부상하는 보안업체로, 지난 1~2년 여러 인수합병을 통해 몸집을 키우면서 안연구소를 위협하고 있는 회사입니다.  만약 SGA가 한컴을 인수한다면 안연구소에 큰 위협이 될 가능성이 높습니다. 한컴이 가진 정부 및 공공기관, 학교 등에 대한 영업망을 SGA가 획득하게 되기 때문입니다.

국내 정보보호 업체 입장에 보면 공공부문은 매우 큰 시장입니다. 안연구소는 이 시장을 장악하면서 국내 최대 보안업체로 성장했습니다.

한컴도 마찬가지입니다. 공공부문에서 가장 많은 매출을 올리고 있습니다. 이는 정부부처에서부터 시골 지방자치단체까지 영업망을 확보하고 있다는 것을 의미합니다. SGA가 한컴을 인수하고 싶어하는 가장 큰 이유도 이 영업망을 얻기 위한 것입니다.

결국 SGA가 한컴을 인수하면 안연구소는 한컴의 영업망과 경쟁해야 합니다. 아마 이는 안연구소로서도 쉽지 않은 경쟁이 될 것으로 보입니다.

이처럼 지난 20년간 국내 소프트웨어 산업을 대표해온 두 회사의 미묘한 관계에 있습니다. 지금까지 두 회사는 친구도 적도 아니었습니다. 친구가 되자고 새끼손가락을 걸었더니, 6개월만에 어느새 적이 될 상황에 놓인 것입니다. 참으로 아이러니한 비즈니스의 세계입니다.
2010/05/07 11:41 2010/05/07 11:41
최근 유행하는 ‘넛지(Nudge)’라는 단어를 아십니까? 넛지는 원래 ‘옆구리를 쿡 찌르다’라는 동사입니다. 하지만 시카고 대학 캐스 선스타인 교수와 리처드 탈러 교수가 공동 집필한 ‘똑똑한 선택을 이끄는 힘, 넛지’라는 책이 등장한 이후 ‘어떠한 선택을 유도하는 힘’이라는 의미로 쓰이고 있습니다.

“어떠한 금지나 인센티브 없이도, 인간 행동에 대한 적절한 이해를 바탕으로 원하는 결과를 얻어내는 힘이자 똑똑한 선택을 유도하는 부드러운 힘”이 바로 넛지입니다.

예를 들어 의사가 환자에게 어려운 수술을 권유할 때  “이 수술을 받은 100명 가운데 90명이 5년 후에도 살아 있었습니다”라고 말하면, 환자가 수술을 선택할 가능성이 높지만, “이 수술을 받은 100명 가운데 10명이 5년 안에 사망했습니다”라고 말하면 환자가 수술을 거부할 가능성이 높습니다. 100명 중 90명이 살아남은 것이나 100명 중 10명이 사망한 것은 같은 사실(fact)인데도, 어떻게 얘기하느냐에 사람들의 행동이 달라지는 것입니다.

제가 책 이야기를 꺼낸 것은 책의 한 대목 중 관심이 가는 부분이 있기 때문입니다.

저자는 이 책의 5장 ‘선택 설계의 세계’에서 어떤 피드백이나 경고가 사람들의 행동을 바꿀 수 있다고 말하고 있습니다. 당연한 이야기이죠.

디지털카메라는 사진 찍을 때마다 방금 전에 찍은 영상을 확인할 수 있습니다. 이를 통해 필름 시대에 흔하게 일어나던 오류, 즉 필름 제대로 끼우지 못하는 것, 렌즈 뚜껑 여는 것을 잊어버리거나, 사진 중앙에 있는 인물의 머리를 잘라버리는 것 등의 오류가 사라졌습니다.

노트북 배터리 잔량이 부족하면 전원을 연결하라는 경고도 사람들이 열심히 작성한 소중한 자료를 허공에 날리지 않도록 도움을 줍니다.

그러나 저자는 경고 시스템이 피해야 할 주요 문제가 있다고 지적합니다. 경고를 너무 많이 제공해서 사람들이 특정 경고를 무시하게 만드는 문제가 바로 그것입니다.

하지만 실제로 이런 일이 소프트웨어 및 웹의 세계에서는 너무 많이 일어나고 있는 것 같습니다. 경고를 너무 많이 해서 사람들이 경고를 무시하게 된 것 말입니다.

이메일 첨부파일을 열 때 컴퓨터는 정말 파일을 열 것인지 물어봅니다. 혹시 바이러스나 악성코드가 첨부된 파일일 가능성이 있기 때문입니다. 하지만 우리는 습관적으로 ‘예’를 누릅니다.

국내에서 특히 문제가 된 액티브엑스컨트롤도 이와 유사한 사례입니다. 인터넷 뱅킹을 하다보면 귀찮을 정도로 많은 보안 프로그램이 액티브엑스를 통해 유포됩니다. 웹브라우저는 우리에게 바이러스 및 악성코드를 주의하라며, 액티브엑스 설치여부를 묻습니다.

하지만 역시 반복되는 경고는 무조건 ‘예’를 누르는 습관만 기를 뿐입니다. 이 같은 문제는 오픈웹 운동을 주도하고 있는 고려대 김기창 교수의 ‘한국 웹의 불편한 진실’이라는 책에서 자세하게 지적되고 있습니다.


저는 현재 윈도7 운영체제를 사용하고 있는데요, 윈도7의 사용자계정컨트롤(UAC)도 비슷한 결과만 낳고 있는 듯 보입니다. ‘다음 프로그램이 이 컴퓨터를 변경할 수 있도록 허용하겠습니까’라는 질문이 반복되면서 부조건 ‘예’를 누르게 됩니다.

넛지의 저자들이 “경고 시스템이 피해야 할 주요 문제”라고 지적한 것을 그대로 행하고 있는 모습입니다.

소프트웨어나 웹 애플리케이션을 공급하는 업체들이” 우리는 보안우려에 대해 경고했으니 할 일은 다 했다”는 식의 접근이 아닌 실질적으로 사용자들의 보안 문제를 해결할 수 있는 방안이 필요할 것 같습니다.
2009/11/24 11:10 2009/11/24 11:10