최근 보안업체 RSA의 일회용 비밀번호(OTP) ‘시큐어ID’가 해킹당한 사건이 알려지면서, 국내외 기업들의 관심이 집중되고 있다. 현재 OTP는 금융거래 인증수단으로 광범위하게 사용되고 있어 당장의 피해규모뿐 아니라 향후 기업 보안 상황을 예측할 수 없게 됐기 때문이다.
시큐어ID는 접속할 때마다 다른 비밀번호를 써야 하는 토큰 등 이중인증요소에 기반해 기업 데이터와 네트워크를 보호하는 기술이다. 비밀번호나 개인식별번호(PIN)같은 정보를 제공해 모바일 소프트웨어나 전자서명을 구현해준다. 일반인, 금융권, 정부 등에서 100만명 가량이 사용중이다.
온라인 IT미디어 미국 씨넷은 지난 18일 시큐어ID 해킹 사건의 심각성과 국내외 OTP 사용 기업들이 알아둬야 할 세부 정보를 보도했다. 이에 따르면 RSA의 OTP솔루션을 사용하는 기업들에게는 이를 대체할 인증수단이 필요하며 의외로 해킹 사건의 여파가 심각할 수 있다고 한다. 현재 RSA는 세부적인 피해상황 공개를 거부한 상태다.
■OTP유출 피해, 왜 심각한가?
RSA는 시큐어ID가 사용자들을 직접 공격하진 않지만 공격자들이 해킹한 기술을 또 다른 공격에 이용할 수 있다고 경고했다. 아직까지는 고객이나 직원의 개인식별 데이터가 손상되거나 다른 제품이 영향을 받은 증거는 포착되지 않았다.
시큐어ID의 이중인증요소 형식은 정부기관과 금융기관 등에서 문제가 될 수 있다. 씨넷 보도에 따르면 현재 시큐어ID 기반 하드웨어만 약 4천만개, 모바일 기기에는 2억5천만개의 정보가 저장돼 있다.
씨넷은 결국 데이터 유출 현황이 큰 의문점으로 남는다고 지적한다.
전문가들은 공격자들이 유출된 데이터를 이용해 기업 데이터베이스에 접근하기 위해 해킹을 시도하면, 장치에서 60초 안에 가짜 OTP를 만들어 쓸 수 있다고 경고했다. 민감한 네트워크에 접속하기 위한 인증에도 사용할 것이라고 덧붙였다.
■OTP 사용 기업 대응은?
RSA는 기업들에게 소셜미디어 애플리케이션과 웹사이트에 접속 보안에 주의해야 한다고 당부했다. 그런데 정작 데이터 유출에 대한 피해 정보를 숨기고 있어, 이를 사용 중인 기업들은 현 상황에 대처하기 어렵다.
기업보안 컨설팅업체인 시큐로시스의 리치 모굴 최고경영자(CEO)는 이번 피해가 모든 사용자를 노리진 않았어도 안전한 시스템 환경을 유지해야 한다고 강조했다. 주요 목표가 될 수 있는 기업들은 뜻하지 않은 피해 상황에 대비해야 한다는 지적이다.
전문가들이 내놓는 처방은 다음과 같다.
우선 시큐어ID를 사용하는 기업들이 내부 기밀 정보에 접속할 때 OTP가 아닌 패스워드를 쓰는 게 좋다. 이 패스워드는 되도록 어렵고 복잡해야 하며 자주 바뀌어야 한다. 기밀 정보를 다루는 계정의 패스워드는 반드시 변경해야 한다.
또 회사는 계정을 실시간 모니터링하고, 반복적인 인증을 시도할 경우 아예 접근 권한을 차단해야 한다. IT관리자는 기업망에 접근을 적절히 통제하면서 방화벽이 작동시켜 안전한 환경을 지원하고 보안 프로그램과 운영체제를 최신 버전으로 유지해야 한다.
■OTP 대체 기술 있나?
기업들은 내부 상황에 맞게 적절한 보안 인증 방식을 채택해야 한다.
모굴CEO는 “보안 시장에서 인증 제품간 경쟁은 치열하지만 어느 것도 완벽하다고 말할 수 없기 때문에 비싼 시스템으로 인증 방식을 바꾸는 것만이 능사는 아닐 것”이라면서도 “만일 데이터가 유출됐다면 일단 보안 제품을 바꿀 필요는 있다”고 말했다.
한 관련 소식통에 따르면, 모바일 장치에 대한 OTP 생성 및 인증 방식을 도입하는 사례가 늘고 있다. 일례로 최근 오픈소스 기술에 기반한 구글 인증 방식을 적용하는 경우가 많아지고 있다고 외신들은 보도했다.
■배후는 '중국'?
RSA가 이번 사건에 자세한 정보를 내놓지 않는 만큼 공격의 배후도 분명치 않다. 주요외신들은 배후가 중국일 가능성에 초점을 맞추고 있다. 중국의 공격자들은 구글이나 미국의 주요 기관망에 내재한 기술 취약점을 이용해 지속적인 공격을 펼쳐왔기 때문이다.
관련기사
- 'OTP 뚫렸다'…RSA 시큐어ID 사이버 공격당해2011.03.22
- 금융보안연구원, OTP통합인증기술 국제표준 채택2011.03.22
- 금융보안연구원, OTP기술규격 TTA표준 공식등록2011.03.22
- 금보원, 'OTP통합인증센터 비상대응 모의훈련' 실시2011.03.22
모굴 CEO는 중국이 배후라면 은행 계좌 해킹을 시도할 가능성은 적다며 “RSA가 APT 공격을 당했다면 배후는 중국일 가능성이 크다”고 말했다.
이번에 공격자들이 RSA로부터 시큐어ID 정보를 빼낸 수단은 조직내 거점을 만들어 정보를 수집하거나 기밀을 훔치는 ‘APT’ 방식으로 알려졌다. 이 공격은 지난해 구글과 인터넷 익스플로러(IE) 취약점을 이용하기도 했다. 그 결과 다른 회사들에게 모두 이메일을 통해 내부 정보가 유출된 것으로 알려졌다.
