데이터 침해 여부를 무료로 확인할 수 있게 해 주는 ‘해브 아이 빈 폰드’ 웹사이트의 개발자가 블랙햇 아시아라는 보안 행사에 초대돼 기조 연설에 나섰다. 그는 이 자리에서 보안 업계가 해결해야 할 당면 과제들을 짚어냈다.
[보안뉴스 문가용 기자] 데이터 침해 여부를 확인할 수 있게 해 주는 사이트인 ‘해브 아이 빈 폰드(Have I Been Pwned, HIBP)’는 2013년 처음 시작된 이후 현재까지 110억 건의 침해 기록들을 처리했다. 사용자의 데이터를 위험에 노출시키는 공격과 보안 사고의 일면을 엿볼 수 있게 해 주는 역할을 담당해왔다.
[이미지 = pixabay]
HIBP의 창립자이자 보안 전문가인 트로이 헌트(Troy Hunt)는 “재미로” HIBP를 시작했다고 블랙햇 아시아(Black Hat Asia)의 기조 연설 자리를 통해 밝혔다. 그저 사람들이 자신들의 정보를 검색함으로써 침해 여부를 확인할 수 있도록 해 주는 것이 목표였다. 처음 HIBP 데이터베이스에 저장되어 있던 기록은 1억 5500만 개였다. 그리고 지금까지 수없이 많은 침해 사고가 발생했다. DB도 기하급수적으로 늘었고, 트로이 헌트에게는 각종 사연과 교훈도 늘었다.
“프로젝트를 시작하고 7년이 조금 더 지났습니다. 큰 목표 없이 시작한 작은 일이 지금은 제 상상을 훌쩍 뛰어넘을 정도로 성장했고, 저도 덩달아 입지가 달라졌습니다. 최근에는 FBI와 네덜란드와 독일 경찰 및 사법기관들이 HIBP에 침해 정보를 전달하기 시작했습니다. HIBP를 통해 피해자에게 피해 사실을 알리기 위해서죠. 꿈도 꾸지 못했고, 계획도 하지 않은 일이 벌어진 것입니다.”
이처럼 HIBP가 중요한 프로젝트로 성장할 수 있었던 건, 역설적이게도 수많은 조직의 보안 수준이 높지 않기 때문이라고도 볼 수 있다. “HIBP를 운영하면서 요 근래 일어났던 보안 사고들의 이유를 한 마디로 정리할 수 있게 되었습니다. 그건 바로 ‘공격이 너무 쉽다’는 것입니다. 2015년 영국 통신사 토크토크(TalkTalk)는 해킹 기술 수준이 대단히 낮은 17세에 당해놓고 처음에는 러시아 APT 조직이나 이슬람 사이버 테러 단체를 용의선상에 올려놓았죠. 당시 피해 규모는 7700만 파운드에 달했고요.”
너무 많은 데이터베이스가 인터넷에 고스란히 노출되어 있다는 것도 HIBP를 성장시킨 원동력 중 하나다. 이런 DB들에 개인정보가 담겨 있는 경우가 부지기수였다. “2016년 한 보안 전문가가 연락해 왔습니다. 호주 적십자의 DB가 인터넷에 노출되어 있다는 내용이었습니다. 여기에는 55만 명의 기부자 개인정보가 저장되어 있었습니다. 제보자는 단순 IP 주소 스캐닝을 통해 이러한 상황을 발견한 것이고요.” 이 DB에는 헌트 자신의 정보도 저장되어 있었다고 한다.
“제가 이러한 사건들을 몇 년 동안 목격하면서 느낀 건, 데이터가 너무나 온 세상에 산재해 있어 아무리 열심히 노력해도 데이터를 보호하는 게 불가능한 시점에 도달했다는 겁니다. 지금쯤이면 거의 모든 사람들의 디지털 발자국이 누군가의 손에 들어갔다고 봐도 무방합니다. 다만 그것이 곧바로 ‘매우 민감한 정보까지도 도난당했다’라는 의미는 아닙니다. 그러므로 지금 우리가 할 수 있는 건, 지금부터라도 웹 공간에 입력하는 데이터의 양을 최소화 해서 민감한 정보에까지 공격자들이 도달하지 못하도록 하는 겁니다.”
그러면서 헌트는 “조금이라도 수상해 보이는 웹사이트라면 무조건 빠져 나오는 것이 가장 안전한 방법”이라고 강조했다. “그러나 그것이 최고의 방법은 아닙니다. 정상적인 기업과 서비스들이 실수로 수상해 보이는 사이트를 만들고 메일을 보내기도 하거든요. 예를 들어 호주의 ANZ 은행의 경우, 고객들에게 앱 하나를 다운로드 받아 설치하라는 메일을 발송한 적이 있습니다. 보낸 링크를 누르면 c00.adobe.com이라는 URL로 연결시켰죠. 누가 봐도 가짜처럼 보이는 내용에 링크였습니다. 그런데 나중에 보니 ANZ가 진짜로 보낸 메시지였습니다.”
그러면서 헌트는 “사람들한테 의심스러운 메일과 링크를 피하라고 가르치면서, 정작 산업들에서 가짜와 진짜를 구분하기 힘들 정도로 혼란을 야기한다”고 주장했다. “정상적인 서비스와 소통을 비정상적인 모양으로 전달하니 헷갈릴 수밖에 없죠. 그리고 그 혼동이 바탕이 되니, 나중에 진짜 악성 메일이나 서비스가 전달되어도 구분할 수가 없게 됩니다.” 그러면서 그는 진짜가 좀 더 진짜다워져야 할 필요가 있다고 주장했다.
헌트는 기조 연설을 통해 비밀번호를 언급하기도 했다. “비밀번호는 점점 더 보안 전문가들의 골칫거리가 되어가고 있습니다. 비밀번호를 쉽게 설정하는 것이 도무지 고쳐지지 않거든요. 그래서 조직들은 각종 규칙을 도입했죠. 대문자, 소문자, 특수기호를 반드시 섞어서 설정하라는 식으로요. 그랬더니 어떻게 됐나요? 사람들이 기억하기 좋은 ‘패턴’을 발달시키기 시작했습니다. 포스트잇에 붙여놓는다거나, P@ssword1에서 숫자만 매달 바꾼다거나 하는 식으로 말이죠.” 그러면서 그는 비밀번호를 대체할 기술들을 도입하는 게 안전한 길이라고 주장했다.
그가 지적한 업계 내 또 다른 문제는 ‘취약점 공개’였다. 그는 펜테스트파트너즈(Pen Test Partners)의 보안 전문가 켄 문로(Ken Munro)와 함께 호주의 아동용 IoT 손목시계 제조사인 틱톡트랙(TicTocTrack)의 취약점 연구를 공동으로 진행했던 사례를 예로 들었다. 사용자의 위치가 실시간으로 노출되는 취약점이 있었고, 이를 회사에 알려 조치를 취하도록 했다. “최악의 사건은 아니었습니다만, 회사에 이 문제를 알리고 이해시키는 게 매우 어려웠습니다.”
그러면서 헌트는 “책임감 있는 공개라는 게 취약점 공개의 원칙이 되고 있는데, 이는 단순히 취약점을 몇 개월 먼저 제조사에 알려주느냐 마느냐의 문제가 아니”라고 주장했다. “취약점이나 버그를 찾아내 제기한 측과, 그것을 접수하는 측의 상호 신뢰가 형성되어야만 하는 게 궁극적인 목표입니다. 제도적으로 3개월이라든가 하는 기간을 일률적으로 정해두는 것보다 사이버 환경을 안전하게 만든다는 것이 공동의 목표가 되어야 합니다.”
그러면서 그는 하나의 사례를 공개했다. “한 유튜버가 생체 인증 기반 자물쇠를 드라이버 하나로 제거하는 걸 공개한 적이 있었습니다. 드라이버 하나만 있으면 열리는 자물쇠라는 게 얼마나 취약한지 상상이 가십니까? 그런데 제조사는 어떤 답장을 보냈는지 아세요? ‘드라이버 없는 사람에게는 완벽히 안전한 제품’이라고 주장했답니다. 안전에 대한 인식 차이가 얼마나 심각한지, 그런 상태에서 ‘책임감 있는 취약점 공개’가 얼마나 유명무실한지 보여주는 사례라고 생각합니다.”
3줄 요약
1. 침해 여부 무료로 확인해 줄 수 있는 HIBP 프로젝트의 창시자, 블랙햇 아시아에 출연.
2. 현재 보안 업계가 잘 못하고 있는 건, 진짜를 좀 더 진짜처럼 보이게 만드는 것.
3. 비밀번호는 다중인증으로, 취약점 공개는 접수자 측의 인식 제고가 필요.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 데이터 침해 여부를 확인할 수 있게 해 주는 사이트인 ‘해브 아이 빈 폰드(Have I Been Pwned, HIBP)’는 2013년 처음 시작된 이후 현재까지 110억 건의 침해 기록들을 처리했다. 사용자의 데이터를 위험에 노출시키는 공격과 보안 사고의 일면을 엿볼 수 있게 해 주는 역할을 담당해왔다.
[이미지 = pixabay]
HIBP의 창립자이자 보안 전문가인 트로이 헌트(Troy Hunt)는 “재미로” HIBP를 시작했다고 블랙햇 아시아(Black Hat Asia)의 기조 연설 자리를 통해 밝혔다. 그저 사람들이 자신들의 정보를 검색함으로써 침해 여부를 확인할 수 있도록 해 주는 것이 목표였다. 처음 HIBP 데이터베이스에 저장되어 있던 기록은 1억 5500만 개였다. 그리고 지금까지 수없이 많은 침해 사고가 발생했다. DB도 기하급수적으로 늘었고, 트로이 헌트에게는 각종 사연과 교훈도 늘었다.
“프로젝트를 시작하고 7년이 조금 더 지났습니다. 큰 목표 없이 시작한 작은 일이 지금은 제 상상을 훌쩍 뛰어넘을 정도로 성장했고, 저도 덩달아 입지가 달라졌습니다. 최근에는 FBI와 네덜란드와 독일 경찰 및 사법기관들이 HIBP에 침해 정보를 전달하기 시작했습니다. HIBP를 통해 피해자에게 피해 사실을 알리기 위해서죠. 꿈도 꾸지 못했고, 계획도 하지 않은 일이 벌어진 것입니다.”
이처럼 HIBP가 중요한 프로젝트로 성장할 수 있었던 건, 역설적이게도 수많은 조직의 보안 수준이 높지 않기 때문이라고도 볼 수 있다. “HIBP를 운영하면서 요 근래 일어났던 보안 사고들의 이유를 한 마디로 정리할 수 있게 되었습니다. 그건 바로 ‘공격이 너무 쉽다’는 것입니다. 2015년 영국 통신사 토크토크(TalkTalk)는 해킹 기술 수준이 대단히 낮은 17세에 당해놓고 처음에는 러시아 APT 조직이나 이슬람 사이버 테러 단체를 용의선상에 올려놓았죠. 당시 피해 규모는 7700만 파운드에 달했고요.”
너무 많은 데이터베이스가 인터넷에 고스란히 노출되어 있다는 것도 HIBP를 성장시킨 원동력 중 하나다. 이런 DB들에 개인정보가 담겨 있는 경우가 부지기수였다. “2016년 한 보안 전문가가 연락해 왔습니다. 호주 적십자의 DB가 인터넷에 노출되어 있다는 내용이었습니다. 여기에는 55만 명의 기부자 개인정보가 저장되어 있었습니다. 제보자는 단순 IP 주소 스캐닝을 통해 이러한 상황을 발견한 것이고요.” 이 DB에는 헌트 자신의 정보도 저장되어 있었다고 한다.
“제가 이러한 사건들을 몇 년 동안 목격하면서 느낀 건, 데이터가 너무나 온 세상에 산재해 있어 아무리 열심히 노력해도 데이터를 보호하는 게 불가능한 시점에 도달했다는 겁니다. 지금쯤이면 거의 모든 사람들의 디지털 발자국이 누군가의 손에 들어갔다고 봐도 무방합니다. 다만 그것이 곧바로 ‘매우 민감한 정보까지도 도난당했다’라는 의미는 아닙니다. 그러므로 지금 우리가 할 수 있는 건, 지금부터라도 웹 공간에 입력하는 데이터의 양을 최소화 해서 민감한 정보에까지 공격자들이 도달하지 못하도록 하는 겁니다.”
그러면서 헌트는 “조금이라도 수상해 보이는 웹사이트라면 무조건 빠져 나오는 것이 가장 안전한 방법”이라고 강조했다. “그러나 그것이 최고의 방법은 아닙니다. 정상적인 기업과 서비스들이 실수로 수상해 보이는 사이트를 만들고 메일을 보내기도 하거든요. 예를 들어 호주의 ANZ 은행의 경우, 고객들에게 앱 하나를 다운로드 받아 설치하라는 메일을 발송한 적이 있습니다. 보낸 링크를 누르면 c00.adobe.com이라는 URL로 연결시켰죠. 누가 봐도 가짜처럼 보이는 내용에 링크였습니다. 그런데 나중에 보니 ANZ가 진짜로 보낸 메시지였습니다.”
그러면서 헌트는 “사람들한테 의심스러운 메일과 링크를 피하라고 가르치면서, 정작 산업들에서 가짜와 진짜를 구분하기 힘들 정도로 혼란을 야기한다”고 주장했다. “정상적인 서비스와 소통을 비정상적인 모양으로 전달하니 헷갈릴 수밖에 없죠. 그리고 그 혼동이 바탕이 되니, 나중에 진짜 악성 메일이나 서비스가 전달되어도 구분할 수가 없게 됩니다.” 그러면서 그는 진짜가 좀 더 진짜다워져야 할 필요가 있다고 주장했다.
헌트는 기조 연설을 통해 비밀번호를 언급하기도 했다. “비밀번호는 점점 더 보안 전문가들의 골칫거리가 되어가고 있습니다. 비밀번호를 쉽게 설정하는 것이 도무지 고쳐지지 않거든요. 그래서 조직들은 각종 규칙을 도입했죠. 대문자, 소문자, 특수기호를 반드시 섞어서 설정하라는 식으로요. 그랬더니 어떻게 됐나요? 사람들이 기억하기 좋은 ‘패턴’을 발달시키기 시작했습니다. 포스트잇에 붙여놓는다거나, P@ssword1에서 숫자만 매달 바꾼다거나 하는 식으로 말이죠.” 그러면서 그는 비밀번호를 대체할 기술들을 도입하는 게 안전한 길이라고 주장했다.
그가 지적한 업계 내 또 다른 문제는 ‘취약점 공개’였다. 그는 펜테스트파트너즈(Pen Test Partners)의 보안 전문가 켄 문로(Ken Munro)와 함께 호주의 아동용 IoT 손목시계 제조사인 틱톡트랙(TicTocTrack)의 취약점 연구를 공동으로 진행했던 사례를 예로 들었다. 사용자의 위치가 실시간으로 노출되는 취약점이 있었고, 이를 회사에 알려 조치를 취하도록 했다. “최악의 사건은 아니었습니다만, 회사에 이 문제를 알리고 이해시키는 게 매우 어려웠습니다.”
그러면서 헌트는 “책임감 있는 공개라는 게 취약점 공개의 원칙이 되고 있는데, 이는 단순히 취약점을 몇 개월 먼저 제조사에 알려주느냐 마느냐의 문제가 아니”라고 주장했다. “취약점이나 버그를 찾아내 제기한 측과, 그것을 접수하는 측의 상호 신뢰가 형성되어야만 하는 게 궁극적인 목표입니다. 제도적으로 3개월이라든가 하는 기간을 일률적으로 정해두는 것보다 사이버 환경을 안전하게 만든다는 것이 공동의 목표가 되어야 합니다.”
그러면서 그는 하나의 사례를 공개했다. “한 유튜버가 생체 인증 기반 자물쇠를 드라이버 하나로 제거하는 걸 공개한 적이 있었습니다. 드라이버 하나만 있으면 열리는 자물쇠라는 게 얼마나 취약한지 상상이 가십니까? 그런데 제조사는 어떤 답장을 보냈는지 아세요? ‘드라이버 없는 사람에게는 완벽히 안전한 제품’이라고 주장했답니다. 안전에 대한 인식 차이가 얼마나 심각한지, 그런 상태에서 ‘책임감 있는 취약점 공개’가 얼마나 유명무실한지 보여주는 사례라고 생각합니다.”
3줄 요약
1. 침해 여부 무료로 확인해 줄 수 있는 HIBP 프로젝트의 창시자, 블랙햇 아시아에 출연.
2. 현재 보안 업계가 잘 못하고 있는 건, 진짜를 좀 더 진짜처럼 보이게 만드는 것.
3. 비밀번호는 다중인증으로, 취약점 공개는 접수자 측의 인식 제고가 필요.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
