넥슨 사고에 대한 여러가지 시사점

넥슨 개인정보 유출 사고에 대한 기사들 중 내용을 한번 정리해 보았습니다. 기사들 보면 유출했다 넥슨 대응이 안일했다, 이런 대형 게임사도 뚫린다, 전 국민 개인정보 유출 등 유출된 사고 내용에 관한 기사들이 대부분 입니다.

좀 더 사고 원인과 대응체계 문제점 등에 대해 분석하는 기사들이 많이 나왔으면 하고, 여러 보안전문가들의 의견도 반영된 기사도 나왔으면 합니다. 


1. 보안팀의 고충


모 사이트 보안담당자는 “불가항력적인 사고가 계속 발생하니 정말 보안팀 일하기가 무섭다. 평상시에 뭐 좀 하자고 제안하면 반응도 없다가 사고 발생하면 원인파악하라고 하고 실제로 사고가 발생하면 회사의 원흉으로 낙인찍혀 얼굴들고 다닐 수도 없다”며 “매일 이 일 그만해야지라는 생각만 든다”고 탄식한다.


이런 얘기 들으면 넥슨 보안 담당자들 억울하겠다는 심정이 들것 같습니다. 맨날 서비스에 지장준다고 보안이 밀리는데, 사고나면 다 보안팀 책임으로만 돌리는 말입니다.

최근 대형 해킹사고를 당한 모 기업 보안담당자는 해킹당한 당시의 심정을 이렇게 말한다. “해커와 싸움에서 졌다라는 기분에 너무 화가났고 한편으로는 고객들에게 미안한 마음, 이 두가지가 가장 컸다”며 “막상 사고가 터지고 나니 그동안 고려하지 못했던 것, 아쉬운 부분들이 마음이 아팠다. 이것을 했으며 막았을 텐데라는 아쉬움도 있었고 반면 너무 완벽하게 보안을 적용하면 직원들이 너무 힘들어하기 때문에 보안담당자 입장에서는 어디가 위험한지 알면서도 우선순위에서 밀리는 경우가 많았다. 그런데 꼭 그 부분에서 사고가 발생한다. 그때 그것만 했더라면 막을 수 있었는데란 생각이 들어 마음이 더 아프다”고 밝혔다.

이런 얘기 들으면 기업에서 또 조직간에 보안을 바라보는 시각이 커다는 것을 느낄 수 있습니다.

매출을 올려야 하고, 적시에 최고의 서비스를 제공해야하는 서비스 부서의 요구는 이해는 하지만 좀 더 보안팀에 협조할 수 있는 기업문화가 확산되어야 되지 않을까 합니다.

역시 이부분에 대한 지원은 경영자 의지가 가장 중요한데요. 서비스와 보안을 동등한 입장에서 관리할 수 있는 조직 및 관리체계가 중요하다고 느낍니다.
 

2. 넥슨 보안팀이 해커보다 실력이 모자랄까?

“나보다 우리 회사 전체 시스템을 해커가 더 잘고 있다는 것을 느낄때가 있다. 섬뜩하다. 사내 PC에 돌아다니는 악성코드를 잡기 위해 백신을 아무리 돌려도 나오지 않는다. 그런데도 이상징후들이 발견될때가 많다. 바로 제로데이 공격들이다. 너무 지능적으로 공격한다. 현재 해킹 범죄자들은 상상을 초월하는 방식으로 정보를 수집해 DB관리자가 누구인지, 넥슨의 경우라면 백업서버에 접근할 수 있는 자가 누구인지 먼저 파악한 후 공격하는 형태를 취했을 것이다.” 26일 기자와 통화한 모 사이트 보안담당자의 한숨섞인 말이다.

해커의 능력은 우수하겠죠. 그럼 넥슨의 보안팀 실력이 모자라서 해킹을 당한걸까요? 전 꼭 그렇다고 생각하지 않습니다.

원칙적으로 공격하는자 보다 막는자가 몇배는 훨씬 더 힘든 작업입니다. 만약 이번에 넥슨을 해킹한자가 넥슨 보안담당자였다면 똑같은 공격을 막아낼 수 있었을까요?

결코 쉽지 않았을거라고 생각합니다. 해커는 취약점이 있을만한 곳만 집요하게 파고 들어 찾아냅니다. 시간을 두고 혹시라고 기술적으로, 관리적으로 취약안 곳이 발견될때까지 기다리는 거죠.

그러나 막는자 입장에서는 회사의 모든 보안자산에 대해 관리하고 취약점을 발견해야될 곳이 너무나 많습니다. 어디에서 어떻게 뚫고 들어올지 모르기 때문에 전체적으로 대응을 해야 되는데 그게 어디 쉬운일이겠습니까?

또 앞서 보안담당자가 말한 대로 보안을 완벽하게 적용하려고 하면 서비스 부서에서 싫어한다는 거죠. 보안이 후순위로 밀려 결국은 취약이 있더라도 그냥 가는 경우도 있습니다.

이런경우까지 보안팀의 잘못 또는 실력이 떨어져서 그렇다고는 할 수 없는 것입니다.
 

3. 결국은 기술이 아니라 관리문제

넥슨은 웬만한 보안장비는 다 도입되어 있고, 망분리도 되어 있고, 게임별로도 서버가 분리되어 있고, 업무용 PC와 개발용 PC로 분리되어 있다고 합니다.

경찰청 사이버테러대응센터와 방통위는 넥슨 메이플스토리 전용 백업서버와 악성코드에 감염된 것으로 추정되는 임원 PC를 조사중에 있다고 합니다.

더 조사해봐야 알겠지만, 이번 사고 지점은 백업 서버와 임원PC에 있는 것 같군요.

정황상 넥슨 내부자 PC에 악성코드를 감염시킨 원인이 이메일에 의한 악성코드 감염이란 것이다. 첨부파일인지 악성URL인지는 명확하지 않다.
 
한 보안전문가는 “악성코드가 내부에 유입된 것 보다 더 큰 문제는 DB접근권한 통제가 제대로 안된 것”이라며 “임원에게 모든 권한을 준 것이 문제다. 개인정보가 저장된 DB서버나 백업서버 접근은 역할별로 권한통제가 이루어져야 하는데 그것이 안된 것이다. 모든 접근 통로와 접근자를 단일화하고 거기서 통제하고 감시해야 하는데 그 부분이 제대로 되지 않아 해커가 쉽게 백업서버에 접근할 수 있게 된 것”이라고 지적했다.

이번 사고도 어찌보면 기술적 조치가 미약해서 그런것 보다는 결국 관리적 문제가 제대로 되지 않아 발생한 것 같습니다.

지난 네이트 사이월드 해킹도 직원용PC에 개인용 알툴바를 사용하므로써 발생되었는데, 이는 직원에 대한 보안인식교육 실패사례로 볼 수 있습니다. 직원용PC에서는 라이센스를 위반하지 않도록 허용되지 않은 응용SW를 사용하지 말도록 하며 중앙에서 관리하고 항시 모니터링을 해서 직원들이 허용되지 않은 행위를 하지 않도록 하는 관리체계에 허점이 발생된 것이 원인이라고 볼 수 있습니다.

그럼, 결국 넥슨도 백업서버에 접근통제 규칙이 잘못되었다는 것으로 볼 수 있겠네요. 임원은 백업서버를 직접 들여다 볼 필요가 없습니다. 어떤 임원인지는 모르겠으나 임원은 보안정책을 관리하고 정책이 제대로 적용되는지 보고를 받고 감시하는 역할이지 개발서버 또는 운용서버 접근하는 역할이 아닌 것입니다.

즉, 역할에 따른 접근통제 규칙이 제대로 지켜지지 않았다는 것입니다. 더구나 그러한 접근통제 규칙이 제대로 지켜지고 있는지 감시해야 될 역활에 있는 임원이 그러한 접근통제 원칙을 위배했다는 것이 문제인 것 같습니다.

아직 사고 원인이 밝혀진 것이 아니라 단정할 수는 없지만 현재 보도되는 기사들에 의하면 이러한 문제점을 지적하고 있습니다.

넥슨은 백업서버에 대한 사용자 분리와 권한통제 부분에서 허점을 드러냈다고 볼 수 있습니다.    

4. 백업서버도 운영서버와 동등한 보안유지가 필요, 결국은 투자인식 부족문제

또 그는 “메인 DB서버에는 상대적으로 사용자 분리와 접근통제가 잘 이루어지고 있었을 것이다. 그래서 해커가 노린 것이 비교적 보안적용이 부실한 백업서버를 공격했을 가능성이 크다”고 밝히고 “DB쿼리에 대한 제한도 이루어지지 않은 것 같다. 정형화된 쿼리만 허용해야 한다. 게임에서 쿼리날리는 것과 전체 조회를 위해 쿼리를 날리는 것을 구분해야 하고 거기서 이상징후를 파악해 조치를 취했어야 한다. 또 조회 쿼리를 날릴 수 있는 사내 PC도 지정돼 있어야 한다. 넥슨은 결정적으로 백업서버에 대한 접근통제와 쿼리제한에 허점이 있었던 것”이라고 설명했다.

운용서버 못지않게 백업서버도 동등한 수준으로 보안이 유지되어야 합니다. 아마 넥슨도 백업서버는 보안유지를 운용서버만큼은 하지 않았나 봅니다. 이것은 비용대비 효과의 문제인데, 백업서버에 대한 비용투자가 미흡했음을 알 수 있습니다.


5. 메일관리의 어려움

또 다른 관계자는 메일관리의 허점을 지적했다. 그는 “넥슨이 사내 메일이 들어올 때 메일내부에 있는 코드들을 메일서버에서 체크를 했어야 한다. 메일을 사용자가 열어보기 전에 보안점검이 이루어져야 한다”고 지적하고 “이상행위가 있고 의심스러운 파일이나 URL이 첨부돼 있으면 삭제한 후 전달했어야 한다”고 전했다.
 
그는 “메일로 오는 공격은 언제든 당할 수 있다. 공격자는 타깃 직원이 열어볼 수밖에 없도록 사회공학적 방법으로 메일을 발송하기 때문에 주의해야 한다. 규모가 있는 회사들은 웬만한 보안장비들을 대부분 갖추고 있기 때문에 공격자들은 당연히 우회공격을 시도하고 그 방법중 하나가 악성코드가 삽입된 메일발송 방법”이라고 설명했다. 전형적인 방법이면서도 가장 많이 당하는 공격수법이기도 하다.

넥슨도 메일코드를 검사하는 시스템이 없진 않았겠죠. 좀 더 검사가 철저해었야 합니다. 악성코드나 바이러스 같은 경우 기존에 알려진 패턴을 최신으로 업데이트 해서 검사해야 되는데, 이게 기존에 알려지지 않은 패턴인 경우에는 사실 검사가 어렵겠죠. 이런 경우를 대비해서 검사방식에서 휴릭스틱 방식(패턴을 스스로 학습해서 탐지)을 쓴다고 하는데 시스템이 만능도 아니고 모든 이상징후를 다 파악할 수는 없을 것 같습니다.

특히 넥슨은 해외 지사가 여러곳 있기 때문에 공격자들은 해외 지사를 먼저 해킹해 메일 계정을 탈취한 후 탈취한 메일계정으로 넥슨 본사 임원에게 메일을 보내게 되면 임원 입장에서는 열어볼 수밖에 없다.  
 
현재 국내 백신들이 이 역할을 일부하고 있지만 최근 공격이 대부분 백신이 탐지할 수 없는 악성코드를 사용하고 있기 때문에 탐지가 어려운 상황이다.

해외 지사에서 보낸 메일은 당연히 의심하지 않고 열어볼 수 밖에 없죠. 이런걸 사회공학적 해킹이라고 합니다. 해킹자는 서버를 직접 뚫거나 메일을 직접 탐지하거나 그런 기술적 방법을 쓰는 것이 아닙니다. 방화벽 등 많은 보안장비들이 기술적으로 직접 해킹하는 것은 잘 막고 있기 때문에 해킹이 쉽지 않습니다.

따라서, 다른 사람을 가장하거나, 속이거나, 위장하는 사회공학적 전술을 사용하는 것입니다.

즉, 기업들은 악의적이든 그렇지 않든 시스템에 변화를 주는 것은 무조건 캐치를 해야 합니다. 메일이 전달되기 전에 메일서버에서 시스템에 어떤 행위를 하는지 검사가 이루어져야 하는 것입니다.

6. 보안비용투자에 인색한 경영진의 책임

그럼에도 불구하고 넥슨이 쓴소리를 들어야 할 몇가지 사항이 있다. 우선 매출액 규모에 비해 상대적으로 보안투자는 약했다는 점이다. 2010년 기준으로만 봐도 넥슨의 매출액은 9,343억원이었으며 순이익은 3,427억원 규모다. 올해는 더 늘어날 것이다. 매출액 5,150억, 순이익 1740억 규모의 엔씨소프트보다 순이익이 두배 가까이 많다. 그럼에도 불구하고 엔씨소프트의 보안인력에 비해 넥슨은 적은 규모로 보안팀이 운영돼 왔다.
 
넥슨은 2008년에는 8명, 지난해까지는 10여 명만이 보안을 담당해 왔다. 일부에서는 일본 상장을 앞두고 여러 해킹사고에 시달리던 넥슨이 지난 6개월 전부터 보안팀 인력을 보강하기 시작했다고 전한다. 

엔씨소프트는 QA 직원만 100명이라고 합니다. 넥슨이 매출규모에 비해 상당히 적은 보안인력을 운영해왔다는 사실은 반성해야 될 것으로 보고, 이는 경영진의 책임이라고 말씀드리고 싶습니다.

<파란색으로 표시한 부분은 데일리시큐 기사 원문 발췌입니다.>

 

개인정보 안심 진단 개인정보보호 컨설팅 - 케이핌(www.kpim.co.kr)