[최혜빈 기자/스포츠닷컴]
☞ 국 내 클라우드 서비스 10개중 8개 원시적 해킹에도 무방비
☞ KT ‘uCloud’. LG U+ ‘U+ Box’ 기본보안 설정(패스워드 반복 공격 방어)도 안 돼
☞ 브루투포스 공격에 의한 클라우드 해킹, 사용자 인지 어렵고 단 한번 유출로 대량피해
☞ 장병완 의원, “클라우드 보안 강화 위해 관련 법 개정을 추진”
지난달 3일 일어난 헐리웃 스타들의 ‘아이클라우드’(애플) 정보유출로 사건으로 클라우드 보안에 대한 우려가 높아지고 있는 가운데 국내 대부분의 클라우드 서비스역시 기본적인 해킹공격에도 취약한 것으로 드러났다.
국회 미래창조과학방송통신위원회 장병완 의원(광주 남구)이 인터넷진흥원(이하 KISA)에서 제출받은 자료에 따르면 국내 상위 클라우드 서비스 10개 중 8개인 80%가 지난 달 헐리웃 스타들이 당한 브루투포스 공격에 대한 보안 조치가 미흡한 것으로 나타났다.
장병완 의원실 자료에 따르면 국내의 대표적 통신사인 KT(uCloud)와 LG U+(U+ Box)의 클라우드 서비스마저도 가장 원시적 해킹 공격인 무차별 암호대입 공격 일명 브루트포스에 대한 보안조치(그림자 암호 확인)가 되어 있지 않아 충격을 주고 있다.
이 밖에도 모바일 앱(안드로이드 기준)에서는 Daum(Daum 클라우드)을 비롯한 총 5개 서비스의 보안대비가 부족한 것으로 밝혀졌다.
장병완 의원은 “‘브루투포스’에 의한 클라우드는 해킹은 사용자 인지도 어렵고 개인정보 대량 침해의 위험이 있다며 그럼에도 국내 80% 이상의 업체가 가장 기초적인 보안조치(브루투스 공격방어)조차 하지 않은 것은 심각한 문제”라고 말했다.
특히 장 의원은 “알파벳 6글자만으로 이루어진 패스워드 조합은 일반 듀얼 프로세서 PC의 경우 브루트포스의 공격에 대한 패스워드 복원에 30초내 해킹이 가능하다”며 “브루트포스 공격에 대한 보안설정은 반드시 필요한데 이런 기본적인 보안도 국내 대기업들이 지키고 있지 않아 문제가 심각하다”고 지적했다. ※ 참고 : 붙임 2) 무차별 대입 공격에 대한 패스워드 복원 속도 자료
장병완 의원은 “ISMS 제도 등 클라우드 보안규정이 권고 수준에 그치고 있어 업계의 보안 수준을 강화하기에 무리가 있다”며 “향후 관련 법 개정을 통해 브루투포스 공격 방어를 강제하는 방안을 마련하겠다.”고 밝혔다.
최혜빈 기자 chb0508@hanmail.net
기사 제보 및 보도자료/ 스포츠닷컴&추적사건25시
