한국IDC, 외부자 침입에 대한 경계 없어...

한국의 기업들은 네트워크적인 보안수준이 높지만 이런 보안 수준을 무력화 할 수 있을 정도로 물리적인 보안수준이 낮다는 문제가 제기 됐다. 이는 아무리 네트워크 적인 보안수준을 높여도 악의적 의도를 가진 한 사람으로 인해 모든 보안이 무력화 될 수 있다는 것을 의미한다.

13일부터 14일까지 서울 양재동 서울교육문화회관 거문고홀에서 열리고 있는 국제 해킹/보안 컨퍼런스 ‘POC2008’에서 ‘Mudsplatter’라는 닉네임을 사용하고 있는 변진수 보안 전문가(NSHC 소속)는 “한국은 네트워크 보안에는 많은 공을 들이지만 물리적인 보안에는 신경을 쓰지 않아, 물리적인 침입으로 모든 네트워크를 장악할 수 있다”며 “이는 어렵게 네트워크 해킹을 하는 것 보다 훨씬 쉬운 방법이며 악의적인 의도를 지닌 단 한사람에 의해서도 가능한 일이다”고 지적했다.

실제로 그는 한국에 있는 한 IDC(인터넷 데이터센터)에 입장하는데도 아무런 제지를 받지 않았으며 그곳에서 네트워크 장비와 서버, 스토리지 등 모른 장비을 살펴보는데도 아무도 관여하지 않았다고 지적했다.

그는 “한국의 IDC나 기업데이터센터에 들어갈 때, 문제를 살피러 온 전문가 행세만 잘하면 아무도 내 행동에 대해 관여하지 않았다”면서 “외국에는 중요한 스위치나 서버, 스토리지 등에 대해서는 자물쇠나 보안인증을 위한 물리적인 장치를 철저하게 하는데 비해, 한국은 이런 물리적인 보안장치가 너무 허술했다”고 꼬집었다.

이는 누군가 기업의 데이터센터에 침입하는 것만으로도 모든 전산망을 해킹할 수 있다는 것. 특히 전산망에 장치를 설치해 외부로 정보를 빼내는 로그 네트워크(Rogue network)를 이용한 물리적 해킹에 대한 취약성을 보여주는 것이라 할 수 있다.

그는 뿐만 아니라 현재 주로 사용하는 물리적인 보안장치에 대한 허점도 공개했다. CCTV의 경우 단순히 레이저포인터를 이용해 무력화 할 수 있다고 주장했다. 더불어 야간에 사용하는 자외선 카메라의 경우도 맞은편에서 같은 자외선 비추면 허점이 나타날 수 있다고 주장했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>