오늘은 꽤 오래전에 발생했던 네이트의 개인정보 유출 사건에 대해서 말씀드려볼까 합니다. 벌써 10년전 일인데요.. 그때는 고등학생이기 때문에 내 정보가 유출되든 말든 지금과 같이 보안에는 딱히 관심도 없었는데, 오히려 그래서 개인정보 유출에 있어서 비교적 안전(?)했었던 아이러니한 일이 있었죠. 이게 무슨 말인지는 오늘의 주제인 스니핑과 함께 차근차근 설명드리도록 하겠습니다.
자.. 그럼 일단 네이트 개인정보 유출 사건에 대해 설명드릴텐데, 사실 이 내용은 "페이스북 개인정보 유출 사례"와 동일할 것으로 생각됩니다. 어떤 취약점을 이용했는지 나와있지는 않지만 보나마나, 웹 서버에서 접근제어를 제대로 안했다던지, 관리자 계정의 기본 패스워드를 바꾸지 않아서 해서 해커가 쉽게 권한을 얻었거나.. 파일을 업로드할 때 파일의 실행권한을 없애지 않아서 웹 쉘을 실행시킬 수 있는 등의 취약점을 이용했겠죠. 여기서 말한 시나리오는 기술적인 내용이기 때문에 자세히 설명드리진 않았지만.. 서버의 보안 설정을 하지 않다던지, 당연히 바꿔야할 패스워드를 바꾸지 않아서 발생하는 침해사고도 꽤 많다는 점을 아시면 될 것 같습니다.
2011년에 발생한 네이트 개인정보 유출 사고에서는 3500만명의 이름과 아이디, 비밀번호, 주민등록번호 등의 개인정보가 유출되었다고 하는데, 아마 저 중 상당수는 정보통신망법에 따라 암호화가 되었을 있을 겁니다. 이 암호화된 정보들을 해커가 쉽게 풀 수 있느냐가 관건이겠지만, 여기서 중요한 내용은 아니니 넣어두도록 하죠. 그래서 개인정보 유출 사건이 터진 후, 네이트에서는 가입한 회원이 직접 자신의 정보가 유출되었는지 여부를 확인할 수 있는 페이지를 만들었는데.. 이를 확인하려면 이름과 주민등록번호를 입력해야 했습니다. 문제는 여기에 입력하는 개인정보가 안전하게 보호되지 않았다는데 있었죠.
보통 어느 사이트의 로그인 페이지든 간에 사용자가 아이디와 비밀번호를 입력하면, 이 정보가 맞는지를 서버에서 확인하기 위해서 사용자와 네트워크를 통해 데이터를 주고 받습니다. 이를 네트워크 상에서 패킷(Packet)으로 데이터를 전달한다..라고도 하는데요. 이 패킷 안에 아이디와 비밀번호를 평문으로 넣으면 무슨일이 발생할까요? 네.. 동일한 네트워크 상에 있는 모든 사용자가 이 데이터를 볼 수 있겠죠. 쉽게 생각해서 거리상 멀리 떨어진 친구와 대화를 할 때, 큰 소리로 말하면 주변에 있는 사람들이 모두 들을 수 있는 것처럼.. 같은 네트워크 상에 있는 사용자들도 모든 패킷을 볼 수 있는 겁니다.
그러면 여기서 다른 사람이 친구와 대화하는 내용을 모르게 하기 위해서는 어떻게 해야할까요? 네.. 친구와 나누는 대화를 암호화하는 방법이 있겠죠. 예를 들어 "아이디" = "사과", "암호" = "바나나"와 같이 친구와 규칙을 정해서 다른 사람은 모르게 대화를 주고 받는 겁니다. 마찬가지 맥락으로 네트워크 상에서 패킷을 전달할 때도 데이터를 암호화한다면, 중간에 누가 가로채더라도 무슨 말인지 쉽게 알 수 없겠죠. 여기서 네트워크 상에서 전달되는 메시지(=패킷)을 가로채는 것을 스니핑(Sinffing)이라고 합니다. 원래 sniff가 '냄새를 맡다'라는 뜻인데, 탐지견이 냄새를 맡으면서 사람을 추적하는 것처럼, 스니핑은 네트워크 상에서 메시지를 추적한다..정도로 정리하시면 충분하실 듯 합니다.
위에서 이런저런 예시를 들어가며 암호화와 스니핑에 대해서 설명드렸는데.. 결국 중요한건 네이트의 정보유출 확인 페이지에서 이름과 주민등록번호를 쳐서 네트워크를 통해 서버로 보내질 때, 이 정보들이 암호화되어서 보내졌는지의 여부겠죠. 보통 웹 브라우저에서 서버로 정보를 보낼 때 데이터를 암호화해주는 모듈이 별도로 있는데 이를 SSL(Secure Socket Layer)라고 합니다. 네이버나 구글처럼 웹 주소의 시작이 "https"로 시작하는 경우 거의 대부분 SSL이 적용되어 있다고 보시면 되구요. 기술적인 내용은 추후 다룰테니 여기서는 SSL이 웹 브라우저와 서버 사이에서 전송된 정보를 암호화하는구나..쯤만 알고 계시면 됩니다. 그래서 네이트에서는 이 웹 페이지에 SSL을 적용하지 않았기 때문에 문제가 된건데.. 내 정보가 유출되었는지 확인하기 위해 해당 페이지에서 주민등록번호를 입력했다가 오히려 암호화가 안된 채로 네트워크 상에 정보가 떠도는 일이 발생한거죠. 즉, 해커가 스니핑을 통해 이 정보를 가로챘다면 그대로 범죄에 악용할 수 있게 됩니다.
네이트 유출 여부 확인하려다 오히려 주민번호 샐 수도
자신의 네이트온·싸이월드 개인정보가 유출됐는지의 여부를 확인하려다 오히려 스니핑과 같은 해킹을 당할 수 있어 문제로 지적되고 있다. 26일 네이트온·싸이월드가 해킹되면서 이들 서비스
www.boannews.com
네이트 개인정보 유출 사건은 10년이 된 오래전 일이지만.. 지금도 SSL과 같이 기본적으로 적용되어야 할 보안이 전혀 되지 않는 허술한 사이트들도 꽤 있습니다. 물론 서버와 주기적으로 데이터를 주고 받는데 암호화가 전혀 되지 않는 사이트는 브라우저 상에서 막는다고 하지만 이게 또 100% 막아주진 않기 때문에 문제인거죠. "https" 사이트인데 인증서가 만료되었거나, 아직도 단순히 "http"를 사용하는 사이트는 피하는 것이 상책일 것으로 생각됩니다. 오늘 설명드릴 내용은 여기까지고.. 원래는 대칭키, 비대칭키 암호화와 같은 원론적인 내용까지 설명드리려고 했으나 한 없이 길어질꺼 같아서 다른 글에서 이어가도록 하겠습니다. 그럼 여기서 마치도록 하죠. 감사합니다.
'Security Essay' 카테고리의 다른 글
| 인공지능 챗봇 이루다 앱 개인정보 남용 사례 (0) | 2021.06.13 |
|---|---|
| 사용자 계정을 보호하는 2차 인증의 중요성 (0) | 2021.06.11 |
| 비트코인 계좌 해킹 사례 (0) | 2021.06.07 |
| 오픈소스 취약점 의존성 문제 (0) | 2021.06.06 |
| 보안 사고와 주가의 관계 (0) | 2021.06.05 |
댓글