비밀번호의 함정

      비밀번호의 함정에 댓글 없음

http://hanafos.org/technote/read.cgi?board=board02&y_number=600
비밀번호관리에 대해 경종을 울려주는 좋은 글이어서 올려봅니다.
원래의 출처는 주간조선의 백강녕기자의 글로 되어있습니다. ^^
중간 중간의 빨간색 밑줄등은 제가 이해를 돕기위해 첨가했답니다.^^


컴퓨터 비밀번호의 함정

내가 쓰기쉬운 패스워드는 해커들에게도 쉽다…

가장 많이쓰는 패스워드: ‘0000’아니면 ‘1111’…30~40%는 ‘1234’나 ‘asdf’

한 증권사 직원이 PC방에서 회사가 관리하는 기관투자가의 계좌를 도용해 작전세력이 매집한 증권 258억원 어치를 사들이고 해외로 도주했다가 붙잡힌 사건이 발생했다.

사고를 낸 대우증권 안 모 대리가 이용한 현대투신운용 계좌의 비밀번호는 ‘0000’이었다. 수사기관 조사에 따르면 그는 여러 기관의 계좌번호와 사업자등록번호를 확보했다. 증권사 직원에게 그다지 어려운 일은 아니었다. 그리고 PC방에서 증권사 사이트에 접속해 비밀번호 ‘0000’과 ‘1111’을 차례로 두드렸다고 한다.

상식적으로 생각하면 그는 바보짓을 한 것이다. 비밀번호를 여러 차례 입력했다는 것은 그가 계좌의 비밀번호를 모르고 있었을 가능성이 크다는 것을 말해준다. 수백억원을 순식간에 결제할 수 있는 계좌의 비밀번호가 0000 아니면 1111일 가능성을 믿고 범행을 저질렀다는 이야기다.

그러나 그 와중에 현대투신운용 계좌가 열렸다. 그리고 안씨는 불과 90초 만에 작전세력이 사두었던 주식 258억원 어치를 매수했다. 더 놀라운 것은 경찰 조사 결과 현대투신운용뿐 아니라 다른 기관투자가 계좌의 비밀번호도 0000이 많은 것으로 나타났다는 점이다.

개인들의 허술한 보안의식이 문제의 시작
보안? 나 몰라…:모니터위에 아이디와 패스워드를 적어놓는 친절함(?)

보안 전문가들은 국내 비밀번호 관리체계가 엉망이기 때문에 일어난 사고라고 입을 모아 말한다. 정보보안 컨설팅을 하고 있는 보안 전문 기업 코코넛의 이정훈 기술기획팀장은 “암호에 대해 아무 생각도 하지 않는 경우가 많다”고 지적했다.

우선 개인들의 보안 의식이 문제다. 보안 전문가들은 현장에서 어처구니없는 패스워드를 자주 접한다. 지란지교 소프트 윤두식 보안기술팀장은 “컨설팅을 할 때 보면 패스워드가 ‘1234’나 ‘asdf’처럼 키보드를 차례로 누르면 되는 엉성한 비밀번호를 사용하는 사람이 30~40%”에 달한다고 말했다.

시큐컴 김종후 사장은 “모니터 위에 서비스 이름과 아이디, 비밀번호를 써넣은 포스트잇을 붙여 놓은 사람들을 자주 본다”며 “이런 경우 뭐라고 할 말이 없다”고 했다. 코코넛 이정훈 팀장은 “아이디와 비밀번호가 같은 경우를 너무 많이 봐서 이젠 황당하다는 생각도 들지 않는다”고 말했다. 회사가 보안 원칙을 아무리 강조해도 직원들 가운데는 지키지 않는 사람이 반드시 있다는 것이다.

초기암호를 그대로 쓰는 네트웍장비들
관리자의 무관심:기본암호는 그대로 사용해주는 센스?

더 큰 문제는 개인용 컴퓨터보다는 인터넷 장비들이다. 인터넷용 장비 제조업체들은 제품을 출시할 때 같은 초기 암호를 사용한다. 물론 제품을 구입한 업체나 기관은 그 암호를 다시 설정해야 한다. 이정훈 팀장은 “국내에 깔린 장비 가운데 절반 이상이 이 초기 암호를 그대로 사용하고 있다”고 지적했다.

예를 들어 세계 최대 인터넷 장비 업체인 시스코사가 만든 장비의 기본 암호는 주로 ‘cisco’다. 또 쓰리콤의 경우는 ‘synnet’이 많다. 모토롤라가 만든 케이블라우터 암호는 말그대로 라우터(router)다.

장비에 따라 약간씩 차이가 있지만 해당 분야 지식이 있는 사람들은 이 암호를 쉽게 알 수 있다. 인터넷 장비들의 초기 암호를 모아 놓은 인터넷 사이트도 있다.

인터넷 장비 암호를 관리하지 않는 관행은 대형 사고를 초래할 수 있는 불씨다. 한국정보보호진흥원 해킹바이러스상담 지원센터 정현철 선임연구원은 “예를 들어 라우터의 비밀번호를 치고 들어가면 그 라우터를 사용하는 컴퓨터들이 인터넷을 사용하지 못하도록 만들 수 있다”고 말했다.

라우터는 인터넷상에서 데이터가 어디로 흘러갈지를 결정하는 장비다. 라우터 없이는 인터넷을 사용할 수 없다. 정 선임연구원은 또 “라우터를 조작하면 데이터가 항상 원하는 곳을 통과해 나가도록 할 수도 있다”고 지적했다. 이 경우 특정 네트워크에서 흘러 나오는 정보를 볼 수 있다는 것이 문제다. 즉 해커들은 이를 이용해 각종 비밀번호를 쉽게 볼 수 있다는 것이다. 게다가 이 작업을 위해 반드시 라우터에 물리적으로 접근해야 할 필요도 없다. 라우터도 일종의 컴퓨터이기 때문에 인터넷을 통해 원격으로 접속해 조종할 수 있다.

장비뿐 아니라 프로그램에서도 비밀번호 문제가 발생한다. 예를 들어 마이크로소프트사의 데이터베이스 서버용 프로그램 MS SQL은 처음 설치할 때 암호를 설정하지 않도록 설계돼 있다. 사용자들은 프로그램 설치 후 암호를 설정해야 한다. 그러나 실제로 이런 작업을 하지 않는 경우가 많다. MS SQL 프로그램은 기업이 고객과 가입자의 개인 정보를 관리하는 대표적 프로그램 가운데 하나다.

코코넛 이정훈 팀장은 “실제로 한 대기업의 보안 취약 상태를 점검하기 위해 가상 해킹을 실시하다가 수만개의 고객 리스트를 볼 수 있었다”고 말했다. MS SQL 패스워드를 설정하지 않았기 때문이었다. 이런 업체가 많아 올해 5월에는 아예 패스워드를 설정하지 않은 서버를 찾아내 해킹할 수 있는 프로그램인 스피다 윔(Spida worm)이 유행하기도 했다.

컴퓨터 보안업체인 지텍 인터내셔널 노정호 이사는 “네트워크 장비의 암호를 초기화 상태로 사용하는 경우가 전체의 절반 이상일 것”이라고 말했다. 가장 중요한 이유는 암호의 관리가 어렵기 때문이다. 예를 들어 라우터를 관리하는 직원이 계속 바뀔 경우 황당한 일들이 일어나기도 한다. 전임 직원이 설정한 암호를 알지 못하기 때문이다.

요즘 사람들은 워낙 많은 암호를 사용한다. 특히 인터넷의 발전으로 사용하는 암호 숫자가 크게 늘었다. 전자결제를 할 때, 이메일을 볼 때 암호가 필요하다. 접속할 때 암호를 요구하는 사이트와 서비스도 크게 늘었다.

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.