• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

NHN, “보안...대응위주로는 한계가 존재한다” 2008.12.23

기업 간 정보 공유, 공동 대응 필요성 증대

 

네이버, 한게임 등을 운영하는 NHN(대표 최휘영)은 올 한해 개인정보보호 활동과 사용자 보안 및 서비스 보안 강화에 주력해 왔다.


NHN 김재동 IT보안실장은 “올해 키워드는 개인정보 유출, 악의적인 목적의 DDoS 공격, 공격도구의 다양화·지능화였던 것 같다”며 “내년에는 전 세계적인 불황으로 인해 생계형 공격자가 많아 질 것이다. 특히 게임과 관련해서 계정 불법 취득, 사이버 재화 불법 획득 등의 공격이 증가하리라 예상된다. 또 대량의 자동화된 스크립트 삽입 공격의 증가, 계정 탈취를 위한 키로거 및 악성 코드가 증가될 것으로 예상한다”고 말했다. 다음은 그와의 인터뷰 내용이다.


[Interview]

김재동 NHN IT보안실장


-올해 NHN의 보안과 관련해 가장 주목할 만한 사항들이 있다면?

개인정보 보호 활동 강화, 사용자 보안 및 서비스 보안 강화가 주요 키워드였다.

NHN에서는 개인정보를 안전하게 보호하기 위해, 서비스 단에서는 i-PIN 전면 도입 (2007년 10월부터 Beta 서비스 시행), 패스워드 변경 캠페인, 개인정보위원회 운영 등 다양한 활동을 해 왔다. 예방 차원에서도 서비스 오픈 전 보안성 검수를 강화하였고 정기 보안 점검을 통해 사전에 보안 리스크를 도출·대응하고 있다. 아울러 주요 개인정보에 대해서는 저장 시 암호화, 전송 시 암호화 등의 안전한 구현 매카니즘을 적용 중에 있다. 


각종 악성 코드 등에 대한 효과적인 예방·대응을 위해서는 사용자 단의 보안 강화가 중요하며 이는 NHN 서비스를 안전하게 활용할 수 있는 근간이 된다. 이를 위해 NHN에서는 PC그린 서비스를 제공하고 있으며 최신 공격 유형에 대해 지속적으로 모니터링 및 대응을 하고 있다.


서비스 보안 강화를 위해, 개발 전 주기에 걸쳐서 보안성 검토를 수행하는 시큐리티 SDLC 프로세스를 운영 중이며 특정 분야에서 제한적으로 이루어지던 Abusing Issue가 보편화 되어 이를 분석하고 대응하는 상시 체계를 운영 중에 있다. 또 게임 보안을 강화하기 위해 개발 단계에서의 시큐어 설계·구현이 이루어지도록 기반 기술도 개발·구현하고 있다.


NHN에서의 보안 강화 활동들은 사용자 입장을 고려한, 즉 안전하게 서비스를 사용할 수 있는 기반을 마련하는 목적이 최우선이며 이를 위해 지금도 다양하고 심도 있는 업무를 수행하고 있다.


-웹 해킹 시도가 여전히 증가하고 있다. 이에 대한 대비는 어떻게 하고 있나?

올 한해 동안 XSS, Massive SQL Injection, CSRF 등 웹 취약점을 이용한 공격 시도가 지속적으로 발생했다. 특히 신규로 발견되는 우회 취약성들을 NHN 주요 서비스에 시험해 보려는 경향도 있었다. 이런 공격들에 대한 효과적인 대응은 예방 및 점검, 두 가지 방법으로 고려할 수 있으며 NHN은 예방에 초점을 맞춰 대응하고 있다. 


점검 부분은 기존 서비스에 대한 주기적인 진단과 서비스 오픈 전 보안 검수로 대응하고 있으며 진단은 최대한 자동화할 수 있게 툴을 개발해서 활용 중이다. 보안 검수는 효과적인 검수가 되도록 소스 코드 기반 보안 검수 방향으로 업무를 진행하고 있다.


앞서 언급한 점검 부분은 사후 대응 이어서 각 취약점들에 대한 예방 차원의 활동으로 공통 필터 적용이나 개발자 보안 교육을 통한 시큐어 코딩 등 체계적인 예방 활동도 같이 수행하고 있다.


-개인정보보호가 이슈다. 개인정보보호와 관련해 NHN의 관리 노하우가 있다면?

우선은 개인정보보호 업무를 수행할 전담·전문 인력 확보에 많은 노력을 기울이고 있다. 다른 기업에 앞서 개인정보보호 팀을 구성했다. 이를 기반으로 정책 및 프로세스에 초점을 맞춰 개인정보보호 정책 수립, 개인정보 관련 취약점 확인·개선, 개인정보 영향 평가 시행 등의 업무를 수행하고 있다.


두 번째로는, 회사 구성원들의 인식 제고를 위해 전 직원 보안 교육을 수행하고 있으며 특히 개인정보 취급자에 대해서는 별도의 개인정보보호 교육을 수행하고 있다. 아울러 전사 개인정보 Q&A를 상시로 운영하여 개인정보보호 주제에 대한 접근 성을 강화했다. 개인정보보호 관련 법규 개정에 따라, 개인정보 취급 가이드라인을 작성·배포했으며 공인된 인증체계(ISO 27001, ISMS, e-Privacy 등)를 획득하여 개인정보 관리를 해오고 있다. 


마지막으로는 개인정보보호위원회를 구성·운영하여 거시적인 개인정보보호 View를 확보하고 학계 및 사용자 시각의 폭 넓은 의견을 수용하여 개인정보보호 정책의 균형을 유지하고 있다. 또한 개인정보보호 실무 위원회도 별도로 운영하여 상시적인 실무 의견을 수렴·적용할 수 있는 기반을 마련하였다.


현재는 앞서 언급한 Policy, Process, Awareness의 시스템화를 위해 다양한 노력을 하고 있다.


-DDoS문제도 주요한 이슈다. 이에 대한 대비책은?

DDOS 공격에 대한 대응은 회사 내 여러 조직이 협력하여야 효과적인 대응이 가능하다. 아울러 엔드포인트, 서버, 네트워크, 애플리케이션 등 다양한 영역에서 각각의 포인트에 맞는 대응이 이루어져야 한다. 이런 부분들의 체계가 이루어지면 공격 피해를 최소화할 수 있을 것이다. 


NHN에서는 조직간 코웍을 위해, DDoS 대응 프로세스를 운영 중에 있으며 외부와의 공조를 위해 ISP, KISA 등과 긴밀한 협조 체계를 유지하고 있다.


이러한 프로세스 기반 위에, 기술적으로는 탐지를 위해 다양한 보안 솔루션을 구축·운영 중이며 애플리케이션 단에서 처리하기 보다는 네트워크나 서버 단에서 처리하기 위해 방안을 구현하였거나 구현 중에 있다. 또 애플리케이션에 대한 테스트 등을 통해 DDoS 공격 시의 영향도를 파악하고 있다.


Bot C&C가 좀비(Zombie)를 이용하여 공격하는 형태가 최근 경향 이어서 엔드포인트(End-Point) 단의 대응이 가장 효과적인 예방·탐지·대응이라고 판단한다. 공격 IP에 대해 외부 기관과 공조하여 분석하고 대응하는 경우도 있다. 


DDoS 공격에 대한 근본적인 예방은 어려운 현실이며 현재는 탐지·대응 위주로 방어하고 있으나 향후에는 사용자 단의 보안을 강화하여 예방하려는 업무도 계획하고 있다.


-NHN에서 보안과 관련해 내년에 가장 중점적으로 준비하고 있는 부분이 있다면?

개인정보보호 강화를 위해, 개인정보 영향 평가 체계를 고도화하고 개인정보를 보유하거나 취급하는 시스템에 대한 고도화된 보안 강화를 위해 다양한 방안을 계획하고 있다.


내부적으로는 외부 환경 변화와 서비스 확대에 따른 보안 리스크를 최소화 할 수 있도록 보안업무 프로세스도 고도화할 생각이다. 회사 구성원의 보안 마인드도 생활화 될 수 있게 다양한 캠페인도 진행할 예정이다. 


서비스에 대해서는, 내년에는 XSS, CSRF 등 취약점을 이용한 단순한 해킹 공격 보다는 악의적인 목적의 악의적 공격 형태가 빈번히 발생될 것으로 본다. 이에 대한 대응 방안을 준비 중에 있으며 알려지지 않은 공격이나 이상 징후를 조기에 탐지하기 위해 다양한 로그 분석도 계획하고 있다.


사용자 보안 측면에서는 기존 PC그린에 대한 지속적인 기능 강화와 사용자 참여를 통한 보안 인식의 확산을 위해 청소년 보안 캠프 등 다양한 사용자 참여 형 캠페인도 고려하고 있다.


-2009년 NHN 보안팀 조직에 어떤 변화가 있나?

큰 변화 없이 내년도에 중점적으로 추진할 보안 업무가 효과적으로 수행될 수 있도록 노력할 예정이다. 


-올해 우리나라 전반의 정보보호에 대한 리뷰를 부탁한다.

키워드는 개인정보 유출, 악의적인 목적의 DDoS 공격, 공격도구의 다양화·지능화 였던것 같다.


개인정보 유출 사고라는 부정적인 측면도 있었으나 이로 인해 사회 전반적으로 보안에 대한 관심이나 인식이 많이 개선되었고 그에 따라 기업들의 서비스 보안 수준도 향상된 것이다. 


금전적인 목적 등 악의적인 목적의 DDoS 공격이 어느 해 보다 많이 발생되었던 것 같다. 지속적으로 피해가 발생되었고 사후 수습 등을 위해 많은 비용 등의 리소스가 투입된 한 해였다. 근본적인 대응이 어려운 공격이기 때문에 다양한 이해 당사자의 노력이 필요한 것 같다.


또 각종 악성 공격 도구들이 많이 발견되었고 단순 공격 형태를 넘어선 지능화된 도구들도 많았던 한 해였다. 이러한 툴들의 구매·취득도 용이해 공격자의 유형도 다양화 되었던 것 같다. 특히 일반 사용자를 매개체로 하여 원하는 악성 행위를 수행하는 경우가 많았으며 이로 인해 일반 사용자들은 자기도 모르게 피해를 보는 경우도 있었다.


그 어느 해보다도 정보보호에 대한 관심이 뜨거웠던 한 해였으며 공격은 계속 고도화 되었고 대응 위주로는 한계가 존재함을 느꼈으며 근본적인 예방을 요구하는 한 해였다.


-내년도 우리나라 정보보호에 대한 전망 한마디 부탁.

전 세계적인 불황으로 인해, 내년에는 생계형 공격자가 많아 질 수 있다. 특히 게임과 관련해서 계정 불법 취득, 사이버 재화 불법 획득 등의 공격이 증가하리라 예상된다. 대량의 자동화된 스크립트 삽입 공격의 증가, 계정 탈취를 위한 키로거 및 악성 코드가 증가될 것으로 예상한다. 


결국 올해 보다 더 많은 자동화된 툴에 의한 스크립트 삽입 공격이 증가할 것이고 블로그, 카페 등을 통한 악성코드 배포도 증가하리라 예상된다. 또한 탈취한 계정으로 2차 공격의 형태를 통해 각종 악성공격이 증가하리라 생각된다. 


또한 사용자에 대한 보안 강화가 그 어느 때 보다 중요한 부분을 차지할 것 같다. 각종 악의적 공격 수단으로, 사용자 PC에 설치된 악성 코드가 많이 활용될 것이며 최근의 추세에 비추어보면 이러한 악의적 행위가 지속적이고 조직적으로 이루어지고 있어 이에 대한 기술적·관리적 조치가 필요할 것 같다.


웹 취약점을 이용한 제로데이 공격(Zero-day Attack)은 계속 발생할 것이다. 기업 비즈니스에 임펙트가 큰 방향으로 공격이 이루어지고 있으며 이런 추세는 내년에도 계속 될 것 같다. 기업 간 정보 공유, 공동 대응 등 큰 틀에서의 대응에 대한 필요성이 증대될 것으로 판단된다.

[길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>