어느 국가 기관 사이트 해킹 무방비
2년 가까이 무방비 상태로 운영에 신고 받고도 4일 이상 고치지 않아
(*) 전에 쓴 글이 명예훼손으로 고발을 한다는 관계로 권리침해센터로부터 임시 접근 금지 조치(30일간 게시보류)당해서 명예훼손을 하지 않기 위한 글을 다시 씁니다.
앞으로도 특정기관을 굳이 지칭하지 않고 글을 쓰도록 노력하겠습니다.
이 글도 명예훼손에 해당한다면... 아! 대한민국 입니다.
혹시나 해서 점검해보니
나는 웹기획자로서 국가의 모 부처가 위탁한 어떤 서비스를 관리하고 있다. 내가 하는 일은 전반적인 웹사이트의 기획, 업무적인 기획 등등 여러가지 일이다. 웹사이트의 보안 테스트나 VISTA 호환성 테스트 등등도 진행한다.
그 부서의 어느 위탁기관에서는... 정보보호에 대한 조치를 강구해야 한다고 되어 있다. 덕분에 전혀 보안과 관련없는 리포팅 툴을 설치해 놓는 헤프닝이 몇년째 계속되고 있다. (그 액티브X가 보안과 상관없음은 여러 글을 통해서 밝혔다.)
그래서, 얼마나 제대로 웹사이트를 방어하는가를 알아보기 위해서, 아주 간단한 테스트를 해보았다. 내가 담당하는 시스템의 보안을 점검할 때하는 가장 간단한 테스트로, 상용 웹사이트의 프로그래머라면 당연히 막아야 할 부분이었다.
그런데, 어이없게도 운영자 모드로 접근이 가능했다. 나는 암호도 모르는데 말이다!
해당 기관과 주무 부처에 알려도 느릿느릿 나흘 걸려
나는 악의적인 해커가 아니기때문에, 이러한 사실을 해당기관에 이메일을 보냈고(2007.7.26. 13:53), 혹시 이메일이 도착하지 않으면 어쩔까싶어서 주무부처에 민원을 넣어서 알려드렸다. 주무부처에서는 "조치하겠다"는 답변도 받았다. 이것이 어제 저녁의 일이다. (2007.7.26일 저녁)
그렇지만, 오늘(2007.7.30) 아침에도 전혀 조치되어 있지 않았다. 계속해서 관리자 페이지는 열리고 있었다. 그래서 아침에 다시 주무부처에 "예제 와 정답"도 알려주었다. 하지만.. 그것이 처리된 것은 그로부터도 몇시간이 지난 오후 4시경이다. 진짜 해커가 경고를 했더라도 이렇게 더뎠을까? 자그마치 나흘이 걸렸다. 해커는 아마 기다리다가 지쳤을지도 모르겠다.
이 웹사이트는 이 디자인으로 무려 2년이상을 운영한 곳으로 알고 있는데, 그럼 그동안 누군가가 들어왔을 수도 있지 않은가?
그 기관의 주장대로라면 Active-X로 보안을 했는데 왜 이런일이 일어났을까? 다시 말하거니와 그들이 설치를 강요하는 Active-X는 보안툴이 아닐뿐더러, 보안툴을 아무리 깔아도, 프로그램에서 체크하지 않으면 안되는 부분이기 때문이다.
큰 대문 열어놓고 창문만 닫은데다 해결 의지도 없어
이 경우를 일컬어 "대문을 활짝 열어놓고" 창문을 꼭꼭 닫고, 창문을 열때마다 비밀번호를 눌러야 하는 장치를 닫고서 "우리집은 안전하다"고 하는 격과 같다. 또한, 그러한 사실을 알려주고, 내 전화번호도 남기면서 "문의사항이 있으면 하라"고까지 해주었지만... 역시... 아무런 문의도 오지 않았다. 의지 자체도 없는 것으로 판단할 수 밖에 없다.
그래서 어쩔 수 없이 며칠이 지난 오늘, 다시 직접 해결책까지 알려준 것이다.
그런데, 이게 무척이나 어려운 부분은 아니었다.
프로그래머가 수정해야 할 부분은 단 몇 줄. 그것도 걸리는 시간은 30분을 넘지 않을 간단한 작업이었다. 사실, 이런 기초적인 부분은 당연히 막혀 있어야 하며, 만약 내가 두리뭉실하게 지적을 했다고 하더라도 금방 알아채야 정상이다. 하지만, 이 곳은 그렇지 못했다.
해킹 경고에도 이렇게 느긋한 곳이, 과연 다른 일에는 얼마나 적극적일까?
이런 기관이 한두개일까?
솔직히, 담당 공무원도 별 관심이 없는 부분인데다가, 위탁 기관의 숫자와 웹사이트의 숫자가 어마어마한 상태이므로 이런 일은 어디나 벌어질 수 있다. 이 부처 산하 기관 뿐만 아니라 많은 사이트가 "대문을 활짝 열고" 있는 실정일 것이다.
앞으로 시간이 날때마다 체크를 해서 국가에 알려주겠지만, 누군가가 마음만 먹으면... 어떤 사태가 벌어질지 뻔하다.
국가는 키보드 보안 Active-X를 도입하라고 강요할 뿐이지, 이런 간단한 체크는 하지 않고 있다. 그리고, 위탁운영기관은 그냥 "그들의 문제"라고 치부하고 관심을 끊고 있는 것은 아닌가? 위탁 운영되고 있는 중요한 곳이 얼마나 많은지 아는가?
제발.. 돈이 없어서 못한다는 소리는 하지말자. 앞서 예로 든 기관의 한 해 예산은 자그마치 몇억원이다.
국가의 예산이 헛되게 사용되지 않았으면 하는 바램이다.
그리고, 해당기관의 각성을 바란다. 만약 이 사태로 키보드 보안등의 Acive-X를 도입하는 식의 이상한 대책을 세운다면... 나는 너무 화가 날 것만 같다.
* 이 글은 해당기관이 내가 지적한 보안문제를 수정하였음을 확인하고 올림을 밝혀둔다. 수정 전에 올렸더라면, 마음씨가 좋지 않은 해커들로 인해, 아마 그 홈페이지는 고난을 겪었으리라. (하지만, 2년 이상 그렇게 운영되었고, 그동안 해커들의 침입이 없었던 점은 하늘의 도우심이라 하겠다.)
세상을 바꾸는 작은 외침
한글로. 2007.7.27.최초 작성. 7.30 최종 작성.
7.31 명예훼손 부분 제거 작성
www.hangulo.kr
http://blog.daum.net/wwwhangulo
같은 글이 연속 이틀 올라와 있는 것에 대해서 이상하게 생각하실지 모르겠습니다.
하지만, 국가기관(혹은 그 기관의 활동을 위탁받은 어느 기관)의 잘못을 찾아서 알려주고,
그 잘못에 대해서 비판한 글에 대해서 '명예훼손'운운 하는 것 자체가
대한민국에 대한 모독이 아닌가 생각됩니다.
이 글의 주제는 해킹에 무방비했던 어느 국가기관의 이야기가 아니라
그것을 명예훼손으로 받아들이고 글쓴이를 고소하기로 한 국가기관의 행태에 대한
분노일 뿐입니다.
'세상에 헛발질 하기' 카테고리의 다른 글
| 제연경계벽, 이름 바꾸기 실패.. 하지만... (1) | 2007.08.07 |
|---|---|
| 블로거 "한글로"의 취재법 노하우 (2) - 결산 과정 알아보기 (1) | 2007.08.02 |
| 찌르찌르, 넌 어디서 왔니? - 문화는 직거래 합시다! (2) | 2007.07.12 |
| 대선 180일전, 정치 이야기는 금물! (1) | 2007.06.21 |
| 7일 지난 뉴스는 지워라? - 인터넷을 모르는 온라인 신문협회의 횡포 (2) | 2007.06.21 |
