금감원에 따르면 이 회사는 해커들이 정보 유출에 곧잘 사용하는 `구조화질의어(SQL·Structured query language)' 입력을 차단하지 않아 회원가입한 고객의 개인정보가 고스란히 빠져나갔다.입력을 차단하지 않았다고 하는데 설마 그럴리가 있을까요. 표현을 쉽게 하기 위해 이렇게 적었겠지만, 시스템 개발사는 왠지 억울할 듯한 내용이네요.
대체로 이런 경우라면 데이터베이스에 질의(SQL Query)를 날릴 수 있는 직접적인 통로를 차단하지 않았다는게 아니라, 특정 경로를 통해 질의문을 보낼 수 있는 보안 헛점을 이용해 해커가 작성한 SQL 문을 끼워 넣는 스타일(SQL Injection) 같은데 말입니다.
SQL은 데이터베이스에 접근해 원하는 정보를 얻을 때까지 질문을 반복하는 프로그램 언어다.약간의 딴지. '질문을 반복'이라는 말은 '언어(Language)'의 정의에 부합하지 않습니다. SQL은 '질의를 해서 정보를 얻거나 정보를 기록하기 위한 데이터베이스 전용 언어'입니다. '질문을 반복' 이라는 부분은 SQL 자체가 아니라 이 SQL을 쉽게 사용할 수 있도록 해 주는 사용자 인터페이스가 담당합니다.
금감원은 대형사를 제외한 대부분 금융회사가 개방형 시스템으로 홈페이지를 운영하는 점으로 미뤄 비슷한 피해를 볼 수 있다고 보고 전체 금융회사에 SQL 입력을 차단하도록 지시했다.개방형 시스템이라는게 잘 이해가 안되네요. 데이터베이스에 직접적으로 접근하도록 열어놨다는 의미인가요? 사실이라면 미친거죠?
사족입니다만, 개방형 시스템 이라는 말은 좀 다른 의미로 사용해야 합니다. 개방형 시스템은 시스템 내부정보를 외부에서 특별한 방법으로 엑세스 할 수 있는 길을 공식적으로 제공하는 경우에 사용해야 합니다. 아무나 마구마구 접속한다는 의미가 아닙니다.
보안을 개방했다고 개방형 시스템이라고는 하지 않습니다. 그냥 보안이 개판인 시스템 이라고 표현하면 어울리겠네요.
이 관계자는 "수사 당국에서 밝혀낼 부분이지만, 해킹 수법이 초보적이고 요구 금액도 적은 점으로 미뤄 현대캐피탈 해킹과 농협 전산사고의 모방범죄일 가능성이 높아 보인다"고 덧붙였다.뭐 직접적인 원인은 해커가 해킹한 것이겠지요.
초보적이라는 말은 안했으면 좋겠는데 말이죠. SQL Injection이라는 굉장히 유명한 스타일입니다. 하지만 방법이 일률적으로 정해진 것은 아니고 보안헛점이 없으면 공격이 불가능합니다. 보안헛점을 찾아내는 건 해커의 역량이고 결코 초보자는 할 수 없을 것입니다.
뚫린 곳들이 전부 같은 곳에서 개발되었거나 같은 프레임웍을 사용했거나 했다면 하나 뚫리면 다른 곳도 순식간에 뚫릴 수 있지요. 관련 정보가 퍼졌다면 초보적인 해커라도 동일한 수법으로 해킹을 할 수 있었겠지요.
중요한 것은
중요한 것은 간접적인 원인입니다. 보안에 투자를 하지 않은 것이지요.
보안은 문제가 터지기 전 까진 안전하다라고 믿는 어이없는 인식이 문제라니깐요. 돈 좀 투자하고 인력 좀 늘리고 전문업체와 잘 상의해서 미리미리 대비하셔야죠 안그래요?
