낮에는 사용 중인 우리 나라 모 은행에서, 사용하지 않은 현금카드가 중지된다는 제목의 이메일이 왔었는데, 내용은 "안전하게 암호화"했단다. 그러니, Windows PC에서 ActiveX 설치한 뒤, 주민등록번호 앞 여섯 자리 넣고 보란다.
왜 우리 나라 사이트들만 이 지랄인지 모르겠다. 법적으로 정해져 있는 건가, 아니면 한 군데에서 하면 다들 따라 하는 건가?
비밀 번호는 이미 통제 불능 상태이다. 대안책이나 마련해라.
이미 대부분의 사람들이 최소 100개 이상의 웹 사이트나 온라인 서비스를 이용하고 이용하고 있을 것이다. 100개를 전부 추측하기 어려운 것으로 만들고, 6개월에 한 번씩 바꿔 봐라. 물론, 대형 사이트가 하나 유출되면 모든 사이트 비밀 번호를 다 바꾸기를 권장받는 것은 보너스이다. 비밀 번호를 쉽고 빠르게 바꿀 수 있는 무슨 통합 인터페이스가 있는 것도 아니고, 하나하나 사이트 로그인해서, 또 비밀 번호 바꾼다고 휴대전화 인증이나 i-Pin 인증 거치고, 다시 비밀 번호 넣고 저장하고 해 봐라. 한 사이트 당 5분밖에 안 걸린다고 치고, 쉬지도 않고 그 짓거리만 계속 하고 앉아 있는다고 쳐도 100*5= 8시간 걸린다. 6개월에 한 번 씩 하루 종일 걸려 비밀 번호 바꾸라고? 현실적으로 가능한 소리라고 보는가?
비밀 번호를 저렇게 바꿔야 한다고 메일 보내는 담당자는 정말 그렇게 바꿔 가며 생활하고 있는가? 정부 관계자 중 직접 저 짓거리 하고 있는 인간 있으면 나와 봐라. 없을 수밖에 없다. 뭐, 돈 많으면 비서 시켜서 하고 있는 인간이 있을 수는 있겠지만.
우리 나라에 똑똑한 사람 많이 있지 않나? 비대칭 암호화 원리 등을 이용해 일회용 비밀 번호를 만들어주는 하드웨어 키를 모든 한국 사이트가 똑같이 도입하게 한다거나, 무슨 현실적인 방안을 마련할 생각은 안 하나? 언제까지 비밀 번호 복잡하게 하고 자주 바꾸라고 권유만 하고 앉아 있을 것인가?
그리고 비밀 번호 주기적으로 바꾸라고 귀찮게 이메일 보내는 것도 한국 사이트들밖에 없다. 아마존 등 외국의 대형 쇼핑몰 등은 저런 짓 안 한다. 얼마 전에 읽은 외국 기사에 따르면, 사용자에게 주기적으로 비밀 번호를 강제적으로 바꾸게 하면 오히려 보안성이 떨어진다고 한다. 사용자들이 어차피 자주 바꿔야 하니 기억하기 귀찮아서 기억하기 쉬운 것에다가 숫자만 하나 증가시킨다는가 하는 방법을 쓰기 때문이란다. 예를 들면 password1, 그 다음 번에는 password2 이렇게. 어차피 인간의 기억 능력은 정해져 있고, 모든 인간은 귀찮음을 이길 수 없다. 사용자의 편의성을 고려하지 않는 보안 정책은 성공하기 힘들다.
보안 메일은 도대체 어느 인간이 개발한 것인가?
오늘 받은 보안 메일을 어떻게 해서 열어 보니 별 것도 없었다. 카드 중지를 막기 위한 방법 (전화 걸어 무슨 코드 입력)이 솔직하게 내가 알고 싶은 것이었고, 그건 그냥 공개 정보였다. 보안 메일 속의 개인 정보라고는 카드 끝 네 자리와, 카드 개설일 뿐이었다. 별로 내가 알고 싶은 정보도 아니었다. 그 정보 빼고 그냥 카드 중지 막는 법만 메일로 보냈어도 됐을 것이다.
카드 중지에 관한 안내를 읽기 위해서, ActiveX를 설치하고 주민등록번호 앞자리 (즉, 생년월일)을 넣으라는 것인데, 도대체 이게 무슨 효과를 가진 것일까? 해커가 저 안내 메일을 열어 보았다고 치자. 그렇다면 이미 해커가 사용자의 메일 계정에 대한 권한을 가졌다는 것이 된다. 그 상태에서 해커가 그 사용자의 생년월일을 모를까? 받은 메일함을 뒤지거나, 소셜 사이트만 뒤져도 생일은 금방 알 수 있고, 생년은 대강 추측하면 된다. 20대로 보인다면 96부터 86까지 10번만 시도하면 될 것이다.
요즘 세상에 이미 메일 계정이 뚫렸다면 거의 더 이상 털릴 게 없는 상황인데, 거의 아무런 보안 효과도 없는, 생년월일 넣는 보안 메일이 도대체 무슨 의미를 가지는가? 그 짓거리 하기 전에 보내는 사람이 은행임을 증명할 수 있게, 메일이나 인증서로 서명해서 보내라. 저런 메일을 볼 때마다 드는 생각은, "아, 이거 응용하면 피싱 크게 해 먹을 수 있겠군" 이런 것이다. 아직도 대부분의 사람은 IT에 무지하고, 메일 내용을 의심하지 않고 첨부 파일도 그냥 열어 본다 (오늘 본 뉴스에 따르면 50% 사용자가 아무 첨부 파일이나 열어 본다고 한다). "카드 사용 중지 됩니다"라는 제목으로 스팸 메일을 만들어, "보안 메일입니다. 내용을 보시려면 보안 프로그램을 설치해야 합니다"라고 내용을 적고 바이러스에 걸린 파일을 넣어 뿌리면 분명 전국에서 수 백 명은 걸려 들겠지. 우리 나라 기업들의 보안 메일은 저런 상황을 조장하는 꼴밖에 안 된다.
외국의 유명 사이트를 많이 이용하지만 보안 메일이라는 개 쓰레기 같은 것을 보내는 사이트는 우리 나라 사이트들 뿐이다. 하다못해 휴대전화요금 고지서도 보안 메일로 보낸다. 내 휴대 전화 요금 얼마 나왔는지 해커가 알아서 어디에 써 먹는다고. 내 메일 계정 보안에 신경 쓰지 말고, 당신네 회사 보안 유지에만 신경 써라. 인터파크처럼 직원이 IT 기초 지식도 없어서 이메일에 첨부된 스크린세이버 (Windows 프로그래밍 해 본 사람이면 스크린세이버는 exe를 src로 확장자만 바꾼 것이라는 것을 안다) 실행해서 천 만 명 고객 정보 유출되게 하지 말고.
No comments:
Post a Comment