2018년, 올해의 IT 보안 사건사고들

2018. 12. 21

4차 산업혁명이란 단어가 식상하게 들릴 만큼 IT서비스는 우리 생활 깊숙이 들어와 있습니다. IT서비스의 발달로 간단한 검색, 음악 듣기, 동영상 시청, 길 찾기부터 각종 금융업무, 본인인증, 회사 업무에 이르기까지 일상생활과 관련한 많은 일을 언제 어디서나 편리하게 이용할 수 있습니다.

예로부터 ‘사람들이 있는 곳에 돈이 있고, 돈이 있는 곳에 범죄가 있다’라고 했듯이 이러한 서비스를 이용하기 위해 사람들이 몰리게 되면, 이를 이용해 범죄를 일으키는 사람들도 생기게 마련이죠. 매년 엄청난 보안사고가 끊이지 않은 IT 세상에서, 올해를 달군 사건사고 어떤 것이 있었는지 알아보겠습니다.

PC에서 서버까지 피할 곳이 없었던 멜트다운과 스펙터

▲ 연초부터 전세계를 충격에 빠뜨린 멜타운과 스펙터 보안 취약점. 출처: MIT News

2018년 1월, 새해부터 엄청난 소식이 들려왔습니다. 가정에서 사용하는 PC부터 데이터센터의 서버까지 이제는 사용하지 않는 곳을 찾아보기 힘든 ‘x86 CPU’에 치명적인 보안 결함이 있다는 사실이 밝혀졌습니다. 바로 ‘멜트다운’과 ‘스펙터’인데요. ‘멜트다운’은 악성 프로그램이 운영체제의 권한 영역을 훔쳐볼 수 있었고, ‘스펙터’는 악성 프로그램이 다른 프로그램의 메모리를 훔쳐볼 수 있는 취약점을 가지고 있었습니다.

이 두 가지 모두 CPU의 구조적 취약점이라는 측면에서 모든 보안체계를 무력화할 수 있어 2014년에 발생한 OpenSSL의 하트블리드(Heartbleed) 취약점에 이은 심각한 사태로 인식됐습니다. 당시, 이를 조치하기 위해 인텔 및 주요 서버와 OS업체들이 취약점 보안패치를 내놓았으나, 문제는 이 패치를 적용할 경우 최대 30% 가량의 성능 저하가 예상되면서 전 세계 사용자들과 IT업계가 일대 혼란에 빠진 사건이었습니다.

현재는 인텔의 샌디브릿지 이상의 CPU에 대해서는 모두 패치가 나와 있고, 일반 PC 사용자는 심각한 성능 저하가 없다고 하니 아직 패치를 진행하지 않은 장비가 있다면 지금이라도 패치를 진행하기를 권고드립니다.

* 윈도우즈 사용자들은 다음 링크에서 패치적용 여부를 체크할 수 있습니다.
https://www.grc.com/inspectre.htm

바람 잘 날없는 Facebook. 믿고 쓸 수 있겠어?

▲ 연이은 보안사고로 위기에 처한 페이스북

3월에는 세계 최대의 SNS 서비스인 페이스북에서 개인정보가 유출되어 정치공작, 여론공작에 무단으로 사용됐다는 것이 드러났습니다. 이 사고는 페이스북이 서비스 제공의 대가로 취득한 5천여만 명의 개인 정보가 2016년 미국 대선 당시 트럼프 후보 측 컨설팅 업체인 ‘케임브리지애널리티카’에 제공됐고, 이러한 개인 성향 정보를 활용한 빅데이터가 ‘정치 심리전’ 자료로 활용된 거죠.

개인정보 유출 파문 이후 테슬라와 스페이스X는 회사와 관련한 페이스북 페이지를 모두 삭제했고, 기업뿐 아니라 개인 이용자의 탈퇴운동이 빠르게 확산되면서 큰 위기를 맞았습니다. 사태의 심각성을 인지한 CEO 저커버그는 해당 문제점이 페이스북의 외부 개발사에 제공한 API의 초기 설계오류에서 기인한 것임을 시인하고, 해당 업체가 페이스북 이용자 데이터를 수집했다는 사실을 알게 된 직후 처리했던 방식에 대해서도 잘못을 인정했습니다.

하지만 안타깝게도 이 사고 이후 채 6개월이 지나지 않아 또 하나의 대형 사고가 발생합니다. 바로 ‘계정 미리 보기(View AS)’ 보안 취약점입니다. 해커들이 페이스북의 계정 미리 보기 기능의 코드 결함을 공격해서 다른 사용자의 인증토큰을 탈취했는데, 이 정보를 이용하면 사용자의 패스워드를 몰라도 계정에 접근할 수 있기 때문에 사실상 계정 정보가 유출되었다고 볼 수 있었습니다.

페이스북은 피해 예방을 위해 전 세계 약 9천만 명의 계정을 강제 로그아웃 처리했는데요. 이 사고의 여파로 페이스북은 장중 3%(약 2조 원) 주가가 하락했고, 유럽에서는 개인정보보호법에 따라 최대 16억3천만 달러의 벌금이 책정될 가능성이 있다고 합니다. 안 그래도 지난 7월에 주가가 23%나 하락하는 대폭락을 겪은 페이스북에 연이은 악재가 됐습니다.

Supermicro 스파이칩의 진실은?

▲ 이 쌀 한톨 크기의 칩이 서버의 정보를 빼내는 스파이 칩이라는데… 출처: Bloomberg Businessweek

지난달 초 ‘블룸버그 비즈니스위크(Bloomberg BusinessWeek)’는 메인보드 제조사인 슈퍼마이크로의 중국 현지 생산 공장에서 조직적인 ‘스파이칩 심기’ 행위가 있었다고 보도했습니다. 이 칩은 네트워크를 모니터링하고 제어하는 기능을 가지고 있는데, 블룸버그에 의하면 아마존이 최근 인수한 소프트웨어 업체인 엘리멘탈의 서버를 점검하다가 이 칩을 발견했다고 보도했습니다. 해당 업체에서 제작한 메인보드는 아마존, 애플뿐만 아니라 미국 국방부의 데이터센터, CIA의 드론 운영 서버, 미 해군에도 사용되고 있습니다.

▲ 메인보드 제조사인 슈퍼마이크로가 스파이칩이 설치된 메인보드를 제작해, 전세계에 납품했다고 보도한 블룸버그 비즈니스위크. 출처: Bloomberg Businessweek

보안 전문가들은 쌀 한 톨 만한 크기의 이 칩에 ‘운영체제의 핵(코어)을 변경하는 기능이 있다’고 설명했습니다. 그렇게 함으로써 ‘외부에서 시도하는 변경 내용이 적용될 수 있는’ 건데, 한 마디로 시스템에 다목적 백도어(Backdoor)를 심은 것이라고 요약할 수 있습니다.

이에 대해 아마존, 애플, 슈퍼마이크로는 전부 스파이칩의 설치와 이런 제품을 사용하고 있다는 내용의 블룸버그의 보도 내용을 부인했는데, 그 이후 블룸버그는 추가로 확인된 증거도 있다며 주장을 굽히지 않았습니다.

IT 보안이 생활의 필수가 되는 시대가 온다

오늘 소개해드린 내용 이외에도 가정 내 공유기, CCTV, 웹캠 등 다양한 IT 기기의 확산에 따라 보안 취약점이 있는 제품이나 미흡한 보안 설정의 기기들이 범죄자들에게 목표가 되고 있습니다. 실제로 인터넷에는 공공장소나 가정집에 설치된 CCTV 중 보안 설정이 취약한 장비를 해킹해 실시간으로 중계하는 사이트가 있습니다. 집마다 설치된 무선공유기는 암호가 없거나, 업체에서 제공하는 기본암호를 사용하는 가정도 여전히 많습니다.

이처럼 4차 산업혁명 시대를 맞아 다양한 보안사고를 예방하고 관리하기 위해, 각국 정부는 다양한 사이버 보안 관리 전략과 정책을 발표하면서 안전보장에 힘쓰고 있습니다. 우리 정부 역시 ‘정보보호 로드맵’을 발표하고 보안 내재화를 위한 원칙과 개발/설계 시 활용 가능한 공통보안 가이드를 발표했습니다.

하지만 무엇보다 개개인의 보안 의식 재고가 중요합니다. 아무리 훌륭한 자물쇠를 제공해주더라도 채우고 관리하지 않으면 아무 소용이 없는 것처럼 말이죠. 편리한 만큼 그 이면에 존재하는 위험에 대해서 항상 생각하고 철저히 대비해야 할 것 같습니다.

<정보보호 10대 실천수칙>

1. PC 운영체제 및 소프트웨어 최신 보안업데이트
2. PC 윈도우즈 운영체제 자동보안업데이트 설정하기
3. 백신프로그램을 설치하고 바이러스 검사하기
4. PC 비밀번호 설정기능 사용하고 주기적으로 변경하기
5. 언제 어디서든 신뢰할 수 없는 웹 사이트는 방문하지 않기
6. 공인인증서는 외장매체에 안전하게 저장하기
7. 출처가 불분명한 이메일은 열어보지 말고 삭제하기
8. 정품 OS(운영체제)를 사용하기(스마트폰 탈옥하지 않기)
9. 의심스러운 문자메세지는 열지 말고, 바로 삭제하기
10. 공유기 관리자/WiFi 패스워드 설정하기/WiFi 패스워드 설정하기

참고 : KISA 정보보호 10대 실천수칙