본문 바로가기

Security Indicator

한국의 보안 10점 만점에 5점!


프리토리의 오류?

 

한국의 보안 점수는 5~6점이라고 말한 것은 zone-h 에 리스트 되는 다수의 사이트들을 보고 내린 결론입니다. 최근 해킹 되는 국내 사이트를 보면 소액의 금액으로 호스팅 서비스를 해주는 호스팅 서버가 주로 해킹을 당합니다. 호스팅 서버 한 곳 마다 최소 몇 십개에서 몇 백개 가량의 사이트를 서비스 해주고 있습니다. 또 저렴한 비용으로 하다보니 APM 을 선호하죠. 대부분 리눅스 머신에 말입니다.

 

APM(Apache + PHP + Mysql) 조합을 사용하는데 최근 발견되는 취약성의 대부분은 PHP 관련된 Injection 및 외부 파일 실행에 관련된 문제들입니다. 또 국내에서 주로 사용하는 zeroboard 및 phpbb 관련된 게시판이 해외에서 부터 분석이 되어져서 취약성이 나오는 관계로 서버 권한 획득이 매우 쉬운 상태입니다.

 

계속 문제가 발생할 수 밖에 없고 모든 운영자가 보안의 전문가 일 수가 없으므로 당연히 많은 문제가 있습니다. 버전 관리 부터 일상적인 운영에 이르기 까지 문제가 있고 수시로 발생하는 문제들에 대해서 모니터링 하는 인력도 거의 없는 형편입니다.

 

하루에도 몇 천통씩 날라오는 버그트랙이나 취약성 관련된 메일을 모니터링 할 수 있는 사람이 얼마나 될까요?.. 의문입니다.

 

Internet business 가 활성화 되다 보니 우후죽순으로 호스팅 업체가 생겨 났고 기본적인 솔루션 설치만 가능하면 다들 전문가 입니다. 해외 그 어느 곳보다도 저렴한 비용으로 웹 서비스를 운용하는 기업 및 개인 , 사업체가 많습니다. 저렴한 비용에 걸맞는 낮은 보안도 있구요.

 

이런 사이트들을 비교하여 보안 수준을 높이기 위해서는 한국내의 3세대 혹은 4세대 유비쿼터스 망상에서의 수많은 어플리케이션에 대한 검증을 하고 보안성을 높이기 위해서는 전세계의 보안 전문가들 다 끌어 모아도 어려운게 사실 입니다.

 

프리토리가 보는 관점은 서버가 해킹 당하는 비율을 보고 객관적으로 나열하는 것에 지나지 않고 몇년 동안 꾸준히 지켜본 바에 의하면 국내 주요 서버들의 보안성은 대폭으로 신장이 되어 있습니다. 세계 수준에 별로 뒤쳐지지 않습니다.  해킹 당한 곳들도 대부분 보면 영세한 호스팅 업체가 대부분입니다.

지난해 까지만 해도 Apache 및 리눅스 데몬 취약성을 이용해서 해킹을 해서 리스트가 그리 많지 않았으나 지난해 말 부터는 PHP 취약성을 이용해서 대규모로 해킹을 하는 실정입니다. 아마 올 상반기만해도 지난해의 몇배 정도는 되었을 것으로 보입니다.

 

한국의 보안 점수를 정량화 할 수 있느냐 하는 면에 있어서는 좀 의견이 있습니다. 정성적으로 봤을때는 진보 하고 있고 전체적인 수준은 높아지고 있으나 각 분야의 전문가들의 폭이 너무 좁다 보니 ( 또 키우지를 않았죠.. ^^)  몇 몇 전문가들에게 과도한 요구들이 몰리는 경향이 있어서 그나마 있는 인력풀도 흩어지는 경향이 있습니다. 세계적 수준을 요구하면서 대우는 그렇지 못하기도 하지요.

 

무선관련된 이슈 및 피싱 및 개인정보 도용에 관련된 문제는 아직 문제가 많습니다. 또 유비쿼터스 환경의 위협은 이미 3년전에 공개적으로 언급 하였지만 아직도 그리 나아지지는 않았습니다. 전체적인 위협 대응은 나아지고 있으나 전문화된 영역의 대응이 떨어지고 있습니다.

 

세계에서 인증서를 가장 많이 사용하는 나라는 어딜까요?..

PKI 관련 솔루션이 기업환경에 일반화된 나라는 어디 일까요?..

도토리 키재기 이지만 거의 모든 분야의 보안 솔루션을 자체 기술력으로 보유한 나라는 어디 일까요?..

무선 AP가 가장 많이 설치된 도시는 어디 일까요?..

 

프리토리의 오류는 기술의 발전 및 분화를 제대로 보지 못한채 한면 만을 보고 판단한 것에 지나지 않습니다. 그렇다고 우리가 잘하느냐..그것도 아니죠.

 

인력을 키우지 못했고 환경을 조성 하지 못했고 무조건 기술의 발전에만 매달려 앞으로만 달린 후유증은 앞으로 계속 있을 것입니다. 얼마나 그 후유증을 극복하느냐가 중요한 과제인데 과연 어떻게 풀 수 있을까요?.. 무조건적인 기술 적용이 대안은 아닌데도 말입니다.

 

언젠가 말했듯이 분야의 활성화 만이 대안이 될 것이고 보안이나 크래킹이라는 부분이 비즈니스에 치명적인 결과를 초래할 수 있는 부분이여서 충분한 비용을 들여야 한다는 인식이 기업이나 사회 전반에 걸쳐 공감대가 이루어 져야만 합니다. 물론 지금의 비즈니스도 충분히 위험 하구요.

 

편리함이 있으면 그에 따른 위험요소도 있게 마련입니다.

이익이 있으면 그만큼의 위험이 있는 것이 당연 합니다.

 

성장에는 후유증이 따르게 마련이고 지금 우리의 IT 산업 특히 인터넷 관련 분야는 실감할 때 인 것 같습니다. 

 

얼마나 최소화 할 수 있는지가 가장 중요한 관점입니다.

 

http://news.naver.com/news/read.php?mode=LSS2D&office_id=008&article_id=0000557191&section_id=105&section_id2=283&menu_id=105