보안 인증 위한 질문들, 개인정보 및 민감한 정보 많이 캐내
굳이 진짜 답 제공할 필요 있을까? 사이트마다 다른 답 제공해야
[보안뉴스 문가용 기자] 유출 사고가 일어나기만 하면 보안 커뮤니티는 들끓는다. 사건이 크면 클수록 해당 사건에 대한 나름의 견해와 분석 결과와 교훈과 통찰이 연일 인용되고 공유되고 신문에 실리고 재가공 된다. 마치 사고를 접하고, ‘이 때가 기회다’ 싶어 솔루션을 광고하고 전문가로서 자신의 식견을 알리고 싶어 하는 것 같아 보이기도 한다. 그리고 썰물 후 해변처럼 조용해진다. 늘 같은 풍경이다.
[이미지 = iclickart]
사고를 직접 겪은 기업들도 어떻게 그리도 똑같은지 모르겠다. 별 다른 정보가 새나가지 않았다, 고객의 데이터는 안전하다는 말부터 일단 보도자료로 내보내고, 추가 수사로 더 많은 자료가 유출됐다는 게 드러나면 그제야 미안하다는 대표 인사말이 발표되고, 보상안으로는 항상 무료 신용 조회 서비스가 나온다. 왜 이런 일들이 계속 똑같이 반복되어야만 할까?
이것뿐만이 아니다. 후속 조치나 권고사항도 늘 똑같다. 비밀번호를 강력한 것으로 새롭게 만들라, 이중인증 시스템을 사용하라 등등 지난 몇 년 동안 들었던 조언들을 지금도 들어야 한다. 하지만 ‘보안 전문가의 양심’에 손을 얹고 생각해보라. 정말 이런 천편일률적인 조언들이 사용자들에게 올바른 것인지를 말이다.
‘유출 사고’라고 모든 걸 아울러서 한 단어로 표현하지만 사실 새나가는 정보의 유형은 사고마다 다르다. 비밀번호, 계좌 정보, 개인 식별 정보, 금융 관련 정보, 개인정보 등 우리가 ‘도난당했다’고 하는 정보의 종류들이 많다는 것이며 어떤 정보가 유출되었느냐에 따라 다른 방어책을 강구해야 한다는 것이다. 그런 의미에서 모두에게 통용될만한 방어 수단을 소개해보고자 한다. 바로 ‘거짓말’이다. 얼마 전에 발생한 에퀴팩스 사고를 통해 이 전략을 좀 더 자세히 설명해보겠다.
먼저, 에퀴팩스에서의 유출 사고로부터 파생할 수 있는 공격은 크게 세 가지로 나눌 수 있다. 1) 금융 정보 및 개인정보를 활용한 사기 : 이 경우 금융기관을 통해 신용도를 동결시켜 놓음으로써 방어가 가능해진다.
2) 금융 정보를 통해 주요 표적이 될 만한 인물 선별 후 추가 공격 : 이건 해커가 노릴만한 인물들 스스로가 보안을 과도하다 싶을 정도로 철저히 지키는 수밖에 없다.
3) 잊어버린 비밀번호를 기억나게 해주는 ‘보안 질문’들에 대한 힌트들이 다량으로 노출된다. 거짓말이라는 방어법을 통해 이 리스크를 줄일 수 있다.
많은 웹사이트들이 인증 수단의 하나로 ‘보안 질문’을 차용한다. 그리고 사용자들은 여기에 자기 자신만 알 수 있는 개인사를 은근히 많이 인용한다. 웹사이트가 제공하는 디폴트 보안 질문들도 마찬가지다. “가장 좋아하는 동네 이름은?” “고향이 어디인가?” 등 개인정보나 그에 준하는 민감한 정보를 제공해 주어야만 회원 등록이 가능한 곳도 있다. 이미 에퀴팩스에서 흘러나온 정보들을 통해 사이버 범죄자들은 드디어 그 수많은 회원들 중 당신과 당신의 가족을 정확히 짚어낼 수도 있을 지도 모른다. 당신이 살고 있는 곳, 거리 이름, 소셜 미디어 계정, 애완동물 이름도 모두 그들의 손에 쥐어져 있다.
불안한가? 그렇다면 그건 – 물론 에퀴팩스가 보안을 허술하게 하긴 했지만 – 당신이 ‘보안 질문들’에 굳이 정직하게 대답했기 때문이다. 당신이 진실 되게 적어놓았기 때문에 위협들이 눈 앞에 다가온 것이다. 이러한 질문들에 거짓 정보를 제공하면 어떨까? 해커들이 정보와 정보 사이에서 나와 내 가족을 찾아낼 만큼 명료한 근거를 갖지 못하게 된다. 물론 당신도 답을 기억하지 못해 해당 사이트로부터 서비스를 받지 못하게 될 수도 있지만, 솔직히 ‘보안 질문’에 답을 해본 게 벌써 몇 년 전의 일인가?
중요한 건 사용하는 웹사이트들에마다 다양한 ‘거짓 답’을 제공해야 한다는 것이다. 아무리 거짓말이라고 해도 ‘같은 답’을 반복하다보면 결국에 추적당할 수 있게 된다. 필자 역시 어떤 웹사이트에서는 어머니의 성함을 블루 디스펩틱 월러비(Blue Dyspeptic Wallaby)라고 적었고, 또 다른 웹사이트에서는 인비저블 오렌지(Invigible Orange)라고도 했다.
‘뭐야, 결국 비밀번호를 다 다르게 바꾸라는 건과, 비현실적인 조언과 뭐가 다른가?’라는 생각이 들 수도 있다. 그래서 한 가지 더 제안한다. 바로 비밀번호를 위한 금고를 사용하라는 것이다. 기기들마다 싱크를 맞추고 비밀번호를 강력하게 생성해주고 저장해주는 장치가 있다. 개인적으로 필자가 가장 좋아하는 솔루션은 1패스워드(1Password)와 대시레인(Dashlane)이다. 물론 양 회사에 투자를 했다거나 주식을 구매했다거나 하는 건 전혀 아니다.
그리고 질문과 답은 정말 필요할 때를 대비하여 노트에 적어놓는 것을 권장한다. 사용자 이름과 비밀번호는 솔루션들이 싱크를 맞추도록 하고, 보안 질문들은 사용자가 직접 관리하는 것이다. 거짓말 잘 하려면 기억력이 좋아야 한다는 말 기억하시는지. 웹사이트에마다 거짓말을 하려면 어지간한 기억력 가지고는 안 된다. 노트 필기가 중요하다.
현재 이 글을 읽고 있는 당신은 몇 개의 계정을 보유하고 있는가? 지금 보니 필자는 약 1천 개 정도 가지고 있는 것 같다. 찾아보면 우리 모두 생각보다 많은 수의 계정을 보유하고 있다. 이 모든 걸 다 한꺼번에 바꿀 필요는 없다. 가장 많이 사용하는 웹사이트부터 시작해 천천히 바꿔나가라. 금융 관련 웹사이트를 1순위에 놓는 것도 괜찮다. 이것만 해도 당신의 보안은 상당히 단단해져 있을 것이다.
글 : 랜스 코트렐(Lance Cottrell), Ntrepid
[국제부 문가용 기자(globoan@boannews.com)]
굳이 진짜 답 제공할 필요 있을까? 사이트마다 다른 답 제공해야
[보안뉴스 문가용 기자] 유출 사고가 일어나기만 하면 보안 커뮤니티는 들끓는다. 사건이 크면 클수록 해당 사건에 대한 나름의 견해와 분석 결과와 교훈과 통찰이 연일 인용되고 공유되고 신문에 실리고 재가공 된다. 마치 사고를 접하고, ‘이 때가 기회다’ 싶어 솔루션을 광고하고 전문가로서 자신의 식견을 알리고 싶어 하는 것 같아 보이기도 한다. 그리고 썰물 후 해변처럼 조용해진다. 늘 같은 풍경이다.
[이미지 = iclickart]
사고를 직접 겪은 기업들도 어떻게 그리도 똑같은지 모르겠다. 별 다른 정보가 새나가지 않았다, 고객의 데이터는 안전하다는 말부터 일단 보도자료로 내보내고, 추가 수사로 더 많은 자료가 유출됐다는 게 드러나면 그제야 미안하다는 대표 인사말이 발표되고, 보상안으로는 항상 무료 신용 조회 서비스가 나온다. 왜 이런 일들이 계속 똑같이 반복되어야만 할까?
이것뿐만이 아니다. 후속 조치나 권고사항도 늘 똑같다. 비밀번호를 강력한 것으로 새롭게 만들라, 이중인증 시스템을 사용하라 등등 지난 몇 년 동안 들었던 조언들을 지금도 들어야 한다. 하지만 ‘보안 전문가의 양심’에 손을 얹고 생각해보라. 정말 이런 천편일률적인 조언들이 사용자들에게 올바른 것인지를 말이다.
‘유출 사고’라고 모든 걸 아울러서 한 단어로 표현하지만 사실 새나가는 정보의 유형은 사고마다 다르다. 비밀번호, 계좌 정보, 개인 식별 정보, 금융 관련 정보, 개인정보 등 우리가 ‘도난당했다’고 하는 정보의 종류들이 많다는 것이며 어떤 정보가 유출되었느냐에 따라 다른 방어책을 강구해야 한다는 것이다. 그런 의미에서 모두에게 통용될만한 방어 수단을 소개해보고자 한다. 바로 ‘거짓말’이다. 얼마 전에 발생한 에퀴팩스 사고를 통해 이 전략을 좀 더 자세히 설명해보겠다.
먼저, 에퀴팩스에서의 유출 사고로부터 파생할 수 있는 공격은 크게 세 가지로 나눌 수 있다. 1) 금융 정보 및 개인정보를 활용한 사기 : 이 경우 금융기관을 통해 신용도를 동결시켜 놓음으로써 방어가 가능해진다.
2) 금융 정보를 통해 주요 표적이 될 만한 인물 선별 후 추가 공격 : 이건 해커가 노릴만한 인물들 스스로가 보안을 과도하다 싶을 정도로 철저히 지키는 수밖에 없다.
3) 잊어버린 비밀번호를 기억나게 해주는 ‘보안 질문’들에 대한 힌트들이 다량으로 노출된다. 거짓말이라는 방어법을 통해 이 리스크를 줄일 수 있다.
많은 웹사이트들이 인증 수단의 하나로 ‘보안 질문’을 차용한다. 그리고 사용자들은 여기에 자기 자신만 알 수 있는 개인사를 은근히 많이 인용한다. 웹사이트가 제공하는 디폴트 보안 질문들도 마찬가지다. “가장 좋아하는 동네 이름은?” “고향이 어디인가?” 등 개인정보나 그에 준하는 민감한 정보를 제공해 주어야만 회원 등록이 가능한 곳도 있다. 이미 에퀴팩스에서 흘러나온 정보들을 통해 사이버 범죄자들은 드디어 그 수많은 회원들 중 당신과 당신의 가족을 정확히 짚어낼 수도 있을 지도 모른다. 당신이 살고 있는 곳, 거리 이름, 소셜 미디어 계정, 애완동물 이름도 모두 그들의 손에 쥐어져 있다.
불안한가? 그렇다면 그건 – 물론 에퀴팩스가 보안을 허술하게 하긴 했지만 – 당신이 ‘보안 질문들’에 굳이 정직하게 대답했기 때문이다. 당신이 진실 되게 적어놓았기 때문에 위협들이 눈 앞에 다가온 것이다. 이러한 질문들에 거짓 정보를 제공하면 어떨까? 해커들이 정보와 정보 사이에서 나와 내 가족을 찾아낼 만큼 명료한 근거를 갖지 못하게 된다. 물론 당신도 답을 기억하지 못해 해당 사이트로부터 서비스를 받지 못하게 될 수도 있지만, 솔직히 ‘보안 질문’에 답을 해본 게 벌써 몇 년 전의 일인가?
중요한 건 사용하는 웹사이트들에마다 다양한 ‘거짓 답’을 제공해야 한다는 것이다. 아무리 거짓말이라고 해도 ‘같은 답’을 반복하다보면 결국에 추적당할 수 있게 된다. 필자 역시 어떤 웹사이트에서는 어머니의 성함을 블루 디스펩틱 월러비(Blue Dyspeptic Wallaby)라고 적었고, 또 다른 웹사이트에서는 인비저블 오렌지(Invigible Orange)라고도 했다.
‘뭐야, 결국 비밀번호를 다 다르게 바꾸라는 건과, 비현실적인 조언과 뭐가 다른가?’라는 생각이 들 수도 있다. 그래서 한 가지 더 제안한다. 바로 비밀번호를 위한 금고를 사용하라는 것이다. 기기들마다 싱크를 맞추고 비밀번호를 강력하게 생성해주고 저장해주는 장치가 있다. 개인적으로 필자가 가장 좋아하는 솔루션은 1패스워드(1Password)와 대시레인(Dashlane)이다. 물론 양 회사에 투자를 했다거나 주식을 구매했다거나 하는 건 전혀 아니다.
그리고 질문과 답은 정말 필요할 때를 대비하여 노트에 적어놓는 것을 권장한다. 사용자 이름과 비밀번호는 솔루션들이 싱크를 맞추도록 하고, 보안 질문들은 사용자가 직접 관리하는 것이다. 거짓말 잘 하려면 기억력이 좋아야 한다는 말 기억하시는지. 웹사이트에마다 거짓말을 하려면 어지간한 기억력 가지고는 안 된다. 노트 필기가 중요하다.
현재 이 글을 읽고 있는 당신은 몇 개의 계정을 보유하고 있는가? 지금 보니 필자는 약 1천 개 정도 가지고 있는 것 같다. 찾아보면 우리 모두 생각보다 많은 수의 계정을 보유하고 있다. 이 모든 걸 다 한꺼번에 바꿀 필요는 없다. 가장 많이 사용하는 웹사이트부터 시작해 천천히 바꿔나가라. 금융 관련 웹사이트를 1순위에 놓는 것도 괜찮다. 이것만 해도 당신의 보안은 상당히 단단해져 있을 것이다.
글 : 랜스 코트렐(Lance Cottrell), Ntrepid
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
