국내 클라우드 서비스 10개중 5개 원시적 해킹에도 무방비
브루트포스 공격 사용자 인지 어렵고 단 한번 유출로 대량 피해

[보안뉴스 민세아] 지난 9월 3일 발생한 헐리웃 스타들의 ‘아이클라우드’(애플) 정보유출 사건으로 클라우드 보안에 대한 우려가 높아지고 있는 가운데 국내 대부분의 클라우드 서비스 역시 기본적인 해킹공격에도 취약한 것으로 드러났다.

국회 미래창조과학방송통신위원회 장병완 의원이 인터넷진흥원(이하 KISA)에서 제출받은 자료에 따르면 국내 상위 클라우드 서비스 10개 중 5개인 50%가 브루트포스 공격에 대한 보안 조치가 미흡한 것으로 나타났다.


▲브루트포스 보안대비 내역 및 임계치에 대한 KISA의 점검 결과


장병완 의원실 자료에 따르면 국내의 대표적 통신사인 KT(uCloud)와 LG U+(U+ Box)의 클라우드 서비스마저도 가장 원시적 해킹 공격인 브루트포스에 대한 보안조치(그림자 암호 확인)가 되어 있지 않아 충격을 주고 있다.

이 밖에도 모바일 앱(안드로이드 기준)에서는 Daum(Daum 클라우드)을 비롯한 총 5개 서비스의 보안대비가 부족한 것으로 밝혀졌다.


▲그림자 암호 확인 표시


※ 기본적 보안이 된 사이트의 경우 위의 사진처럼 특정 비번 오류 5회 이상이면 그림자 암호 확인 문구가 보임

장병완 의원은 “알파벳 6글자만으로 이루어진 패스워드 조합은 일반 듀얼 프로세서 PC의 경우 브루트포스의 공격에 30초 내 해킹이 가능하다”며, “브루트포스 공격에 대한 보안설정은 반드시 필요한데 이런 기본적인 보안도 국내 대기업들이 지키고 있지 않아 문제가 심각하다”고 지적했다.

또한 장병완 의원은 “ISMS 제도 등 클라우드 보안규정이 권고 수준에 그치고 있어 업계의 보안 수준을 강화하기에 무리가 있다”며, “향후 관련 법 개정을 통해 브루트포스 공격 방어를 강제하는 방안을 마련하겠다”고 덧붙였다.

※ 브루트 포스 공격(Brute Force ‘Key-Search Attack) : 무차별 키 대입 공격으로 가장 원초적인 해킹 공격
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>