“해킹 100% 방어는 불가능...그렇더라도 대비 또 대비는 필요”

[보안뉴스 김정완] 최근 미국은 룰즈섹(LulzSec)과 어나너머스(Anonymous)라는 해킹그룹들 때문에 몸살을 앓은 바 있다. 그런 가운데 최근 룰즈섹코리아(LulzSecKorea) 트위터가 등장한 것과 관련해 보안업계는 물론 정부 입장에서도 심각한 고민이 필요하다는 주장이 제기됐다.

인터넷상에서 화이트해커로 활동하며 블로그(maj3sty.tistory.com)를 운영하고 있는 닉네임 ‘MaJ3stY’은 “보안에 투자를 하고 있는 미국이 몸살을 앓았던 사건이었는데 이를 추종하거나 이 그룹에 멤버였던 사람이 타깃을 돌려 우리나라로 온 것이 확실하다면 이는 정말 심각한 문제”라고 제기한 것.

특히 그는 실제 룰즈섹이 우리나라를 타깃으로 한 것이란 전제로 “우리나라의 보안 수준은 아직 걸음마 단계일 뿐이라 이러한 그룹의 공격이 본격적으로 감행된다면 우리나라의 대부분의 기업체와 정부기관은 맥없이 당하고 말 것”이라고 경고하며 “정부기관은 물론 기업체들이 자신들의 서버 시스템 등을 점검해보고 정말 기본적인 취약점들을 방어하며 대비를 해야 할 것”이라고 말했다.

현재 룰즈섹코리아 트위터 글로 봤을 때는 장난삼아 해킹을 하고 있고, 여러 사람이 아니라 한 사람일 가능성 높은 것으로 보인다. 트위터 글을 통해 룰즈섹코리아는 숭실대학교를 해킹했으며, 최근에는 제로보드XE 해킹을 언급하고 있다.

이에 대해 그는 “이런 초반상황에 잘 대처를 해야 큰 피해사태를 막을 수 있다”는 생각을 전하며 “주관적인 생각이긴 하지만 룰즈섹코리아의 등장과 데미지로 인해 우리나라 보안수준이 드러나고 한 단계 업그레이드 될 것 같다”고 언급하기도 했다.

아울러 그는 “해킹은 100% 완벽하게 방어하는 것이 불가능한 사실이지만 대비하고 또 대비해서 최소한의 피해만 생기도록 해야 한다”며 다음과 같은 방안을 제시했다.

 
◇ 룰즈섹의 행보를 보면 대부분 LFI(Local File Inclusion), SQL 인젝션(Injection) 공격이 주류였던 것을 감안해 웹 해킹 취약점을 우선순위로 대비해야 한다.

◇ 보안업체 등의 모의해킹을 통해 보안 컨설팅을 받는 것도 아주 좋은 방법 중 하나다.

◇ 취약점 패치 후 마지막으로 DB보안에 만전을 기해야 한다(현대캐피탈 등 일련의 사건을 보면 DB암호화 등의 DB보안이 되지 않아 작은 피해로 끝날 수도 있었던 것이 개인정보 유출사고로까지 이어졌던 점을 잊지 말아야 한다).

◇ 정부기관 등은 이와 관련해 가이드북 등을 만드는 등 홍보·계도를 게을리 해서는 안된다.

◇ 무엇보다 중요한 것은 보안인식이므로 일반인들의 인식 고취가 시급하다.


한편, 룰즈섹은 최근 미국, 유럽 등 전세계를 혼란케 했던 해커그룹으로 미연방수사국(FBI), 미중앙정보국(CIA)까지 이들에 의해 해킹을 당한 바 있다. 룰즈섹이란 명칭은 ‘LOL(Laughing Out Loud)’의 인터넷 은어인 Lulz에 보안(Security)를 합성해 보안을 비웃는다는 의미를 갖고 있으며 지난 5월 폭스TV의 신인가수 발굴 프로그램인 X 팩터 웹사이트를 해킹하면서 이름을 알리기 시작했다.
[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>