본문 바로가기

마이크로소프트웨어

구글과 아파치의 사례를 통해 본 정보보안의 중요성

이일민 tobyilee@gmail.com

최근에 정보보안과 관련해서 두 가지 중대한 사건이 발생했다. 오픈소스 프로젝트 그룹인 아파치(apache.com)의 이슈트래커 시스템이 해킹당한 사건과 구글의 스트릿뷰 (StreetView) 촬영 차량의 무선인터넷 데이터 수집 사건이다.
 
아파치 서버의 해킹
아파치는 톰캣과 HTTP서버, 스트럿츠 등의 유명 오픈소스 프로젝트가 활동하는 유명 오픈소스 프로젝트 그룹이다. 아파치의 웹 사이트에는 버그관리나 개발관련 이슈를  관리하는 이슈트래커(issue tracker) 서비스가 있는데, 바로 이 이슈트래커 웹 사이트와 서버가 얼마 전 공격을 당해서 사용자의 일부 비밀번호가 유출되고 서버가 해킹 당하는 사고가 발생했다.
아파치가 사용하고 있었던 JIRA라는 제품의 보안 취약점을 이용한 웹 취약점 공격과 서버의 비밀번호나 권한관리의 허술함이 낳은 결과였다. 비슷한 제품을 사용하는 다 른 많은 사이트들도 공격을 받거나 일부 관리자의 비밀번호가 노출되는 사고가 발생했다. 아파치 그룹의 엔지니어들은 빨리 문제를 파악하고 조치(http://blogs.apache.org/infra/entry/apache_org_04_09_2010)를 취해서 큰 사고는 없이 지나가긴 했지만, 조금만 더 방심했더라면 세계 최대의 오픈소스 프로젝트 그 룹의 모든 서버가 해킹당하는 최악의 상황까지 발생했을 수도 있다.
사용하는 서버 제품의 취약점도 파악하고, 취약점이 노출되더라도 더 이상의 공격은 불가능하도록 근본적인 보안체계를 강화 해놓지 않는다면 아파치 같은 세계 최고의  엔지니어들이 관리하는 서버도 이렇게 어이없는 공격에 넘어갈 수밖에 없다는 충격을 준 사건이었다.
 
구글의 스트릿뷰 데이터 수집
구글의 스트릿뷰 서비스를 위해서 도로를 촬영 하는 차량에서 비밀번호가 걸려있지 않은 가정이나 회사의 무선 인터넷에 접근해서 데이터를 수집해 간 것이 밝혀져서 충 격을 주었다. 구글은 문제가 알려지자, 잘못 수집된 데이터는 모두 삭제했고 앞으로는 아예 무선 인터넷의 정보를 수집하는 일을 하지 않을 것이라고 발표(http://googleblog.blogspot.com/2010/05/wifi-data-collection-update.html)했다.
비록 구글이 의도적인 수집은 아니었다고 부인하기는 했지만, 얼마나 많은 양의 개인 정보가 이 과정에서 구글의 손에 넘어갔고 어떻게 활용되었는지는 알 수 없다. 또,  왜 구글이 사진촬영뿐 아니라 무선 인터넷 정보까지 수집했는지에 대해서도 의심스럽다. 어쨌든, 건물 내부로 침입하지 않더라도 보안이 걸려있지 않거나 잘 알려진 비밀번호를 사용하는 무선 인터넷을 쓴다면 이렇게 개인 정보가 무방비로 제3자의 손에 들어 갈 위험이 있다는 것을 다시금 알려준 사건이었다.
 
성격은 조금 다른 두 가지 사건이지만 동일한 교훈을 준다. 자신의 정보는 스스로 보호해야 한다는 것이다. 출시될 때 설정된 비밀번호가 이미 다 알려진 무선 인터넷  공유기를 그대로 사용하는 것이나, 유명 제품을 사용했으니 보안은 특별히 신경 쓰지 않아도 되겠다는 생각으로 서버 계정관리나 보안 등에 신경을 쓰지 않는 것은 모두 위험하다.
자신의 소중한 정보나 성실하게 운영 중인 서비스를 다른 사람의 손에 넘기지 않으려면 보안에 보다 많은 관심을 기울여야 할 것이다. 기업 또는 가정에서 모 두 보안에 투자하는 시간과 돈을 아깝게 생각해서는 안 될 것이다.

 

자료 제공| 마소인터넷(www.imaso.co.kr)