IT's Fun2016.06.29 09:17

근래에 가장 화두가 되고 있는 해킹 공격은 역시 누가 뭐래도 랜섬웨어(Ransomware)를 통한 공격입니다. 랜섬웨어 공격은 메일이나 토런트, 메신저 등으로 유포된 악성 코드가 실행되면 로컬 디스크에 저장되어 있는 중요한 파일들이 암호화되고 이를 복호화 하기 위해서는 비트코인이나 비용을 요구하는 방식의 실직적인 경제 이득을 노린 방식으로 그 피해가 날로 커지고 있습니다. 랜섬웨어 뿐만 아니라 전통적인 해킹 공격 역시 지속적으로 발생하고 있는데요, 때문에 많은 사람들이 안티바이러스 프로그램이나 멜웨어 검출 프로그램을 통해 피해를 입지 않도록 준비하는 것을 많이 볼 수 있습니다.


강력한 소프트웨어나 보안 패치 등을 통해 지속적으로 보안 위협에 대응하는 것은 중요한 절차입니다. 하지만 우리가 가장 먼저 신경써야 하는 것은 컴퓨터를 부팅하고 로그인하는데서부터 사내 서비스나 외부의 인터넷 서비스에 접근하기 위해 사용하는 패스워드에 대한 보안일 것입니다. 많은 보안 보고서들이 기본적으로 "강력한 패스워드를 사용하는 것"이 보안의 출발점이라는 이야기를 하고 있기 때문입니다. 시스템에 엑세스 하기 위한 가장 기본적인 절차가 보안되지 않는다면 그 이후에 준비한 수많은 보안 절차, 통제는 무용지물이 될 수 있기 때문이지요!


패스워드를 건초더미(Haystack)에 숨겨두세요! (출처 : GRC 웹 사이트)



패스워드 보안에 대한 의식을 고취(?)하기 위해 일종의 정신교육처럼 활용할 수 있는 웹사이트가 있어서 소개해 드리고자 합니다. 이 사이트를 통해 지금 사용하고 있는 몇 가지의 패스워드만 입려개 보더라도 "나의 계정은 언제 털릴 것인가?"를 예상해 볼 수 있고 무언가 패스워드에 충분한 조치를 취해야 겠다는 생각이 들게 해주는 소중한 곳입니다. 간단하게 영문 소문자와 숫자만으로 구성된 패스워드를 입력해보니 정말 부지불식간에 유추가 가능하다는 결론이 내려져 간담이 서늘합니다.



패스워드를 전문적인 툴이나 시행착오형 공격에 대해 방어하는 가장 좋은 방법은 길게 그리고 다양한 문자 (대문자, 소문자, 숫자, 특수문자 등) 를 섞어서 만드는 것입니다. 꼭 길지 않더라도 몇 가지 가능한 조합을 적절히 사용하는 것 많으로도 공격자들이 패스워드를 유추하고 탈취하는 것을 굉장한 수준으로 지연시킬 수 있습니다. 간단한 조합으로 만들어본 아래의 결과를 위의 단순한 패스워드 결과와 한번 비교해 보시기 바랍니다.



늘상 사용하는 패스워드이다보니 기억하기 편리한 것을 오랫동안 여러 서비스에 걸쳐서 사용하는 것이 불행히도 현실입니다. 하루 아침에 모든 패스워드를 복잡하게 변경했다가는 패스워드를 찾기 위해 아이핀에 가입하고 모바일 메세지로 보안 문자를 입력하고 수많은 번거로움을 거쳐야만 하기 때문에 망설여지기도 합니다. 원패스워드(1password)와 같은 훌륭한 툴을 이용하면 그나마 상황이 나아지긴 합니다만 이래저래 복잡한 패스워드를 만들고 관리하는 것은 영원한 챌린지(Challenge)가 될 수 밖에 없는 것 같습니다. 여러분의 패스워드는 얼마나 안전하십니까?


내 패스워드의 보안강도는 얼마나 충분할까? 테스트 하러 가봅시다! [바로가기]



저작자 표시 비영리
신고
Posted by 노피디
IT's Fun2014.02.18 06:40
킥스타터(Kick Starter, http://www.kickstarter.com)는 수많은 스타트업들이 성공을 위해 거쳐가는 소셜 펀딩(Social Funding) 플랫폼으로 자리잡고 있습니다. 재미있는 아이템과 상업적으로 성공 가능성이 보이는 수많은 아이디어들이 킥스타터를 통해 펀딩을 받고 실제 제품화까지 성공한 사례들이 점점 많아지고 있습니다. 웨어러블(Wearable) 디바이스 분야의 선두주자인 페블 워치(Pebble Watch)는 가장 대표적인 사례이기도 합니다.

그런데 지난주 중반쯤 킥스타터가 해커들의 공격을 받아 개인정보가 유출되는 사고가 발생했습니다. 수요일경 킥스타터는 해킹이 발생한 사실을 인지했고 사고 내용에 대한 조사 및 유출된 정보를 확인한 후 우리나라 시각으로 어제(2월 16일) 새벽에 전체 공지 메일과 공식 블로그를 통해 개인정보 유출 사실에 대한 소식을 전했습니다.

출처 : Banklesstimes (http://goo.gl/TzD4eu)


킥스타터는 그 자신부터가 스타트업으로 시작한 서비스이고 아직까지 작은 기업임에도 불구하고 개인정보 유출에 대응하는 자세는 우리나라의 많은 기업들이 본받아야 할 정도로 체계적이고 신속했습니다. 무엇보다도 이용자들에게 정확한 사실을 알려줌으로써 정보유출에 대한 불안감을 벗어버릴 수 있도록 해주는 모습이 우리나라의 개인정보 유출 사고에서 "절대 그럴리 없다"고 발뺌하는 모습과 무척 대조적이어서 강한 인상을 주고 있습니다.

유출된 개인정보는 아이디와 이메일, 암호화된 패스워드 등으로 알려졌고 펀딩시 사용하고 있는 개인들의 신용카드 정보는 유출되지 않았다고 밝혔습니다. 해킹 사실을 인지한 지난주 수요일 킥스타터는 페이스북 등의 소셜 로그인 정보를 초기화하고 패스워드 암호화 방법을 변경하는 등 즉각적인 조치를 통해 추가적인 정보 유출을 막고 보안 취약점에 대한 보완 조치를 진행했다고 합니다.


이 모든 과정은 킥스타터의 공지메일 및 공식 사과 메일이 발송된 이후 인터넷을 통해 투명하게 처리되고 있으며 중간중간 조치된 내역들이나 사용자들의 질문에 대한 답변을 공식 블로그 포스팅에 지속적으로 업데이트 하면서 불안감을 불식시키고 있습니다. 또한 트위터 공식 계정을 통해서 수많은 질문과 DM 에 대한 답변을 주고 있으며 지속적으로 사용자들과 커뮤니케이션 하려는 모습을 보이고 있습니다.

해커들은 해킹을 통해 돈이 될 수 있는 정보를 빼내기 위해 점점 지능화되고 복잡한 방법을 사용하고 있습니다. 해킹을 원천적으로 막을 수 있다면 좋겠지만 플랫폼이나 시스템의 제로데이(Zeroday) 취약점(발견된지 얼마되지 않아 보완책이 나오지 않은 취약점을 이야기함)을 이용하여 공격하는 경우 이를 막아내는 것은 기업의 입장에서는 쉽지 않은 일입니다.

따라서 이용자들의 정보는 나누고 암호화하여 저장을 해야 하고 행여나 사고가 발생했을 경우 어떤 조치들을 취할 것인지 명확하게 매뉴얼화 되어 있어야 합니다. 킥스타터의 움직임과 대응은 그들이 잘 준비되어 있었다는 것을 보여주고 있기에 우리나라의 개인정보 유출 사고들과 대비하여 개인적으로 큰 불만이 없습니다. 최소한의 정보만을 가지고 있더라도 이런 기민함을 보이는 그들과 우리나라 최고의 금융기관, 인터넷 서비스 기업들의 차이가 너무나도 크다는 것에 왠지 씁쓸함이 느껴집니다.

마이크레딧에서 개인 신용관리 서비스 및 명의도용 차단 서비스 살펴보기 [바로가기]
싸이렌24를 통해 명의도용 방지 서비스 1개월 무료체험 신청하기 [바로가기]




저작자 표시
신고
Posted by 노피디

티스토리 툴바