유명백화점 3사가 어이없는 일을 벌였네요..아니 어쩌면 경쟁 하다보니 상대적 입장에서는 당연한지도 모르겠습니다.. 조금 보안 관점으로 접근해 보겠습니다..

우선 각 백화점마다 인트라넷으로 id/password 를 알아 냈다고 하는데 이것은 기본적으로 조금만 보안 마인드가 있으면 방어를 할수 있습니다.

우선 간단히 살펴 보겠습니다.. 다음과 같은 가상 시나리오가 작성이 되겠지요...

어느날  백화점 입점해 있는 거래처 A씨를 통하여 상대 백화점 인트라넷 아이디와 패스워드를 알아 내겠지요...그런데 보통 인트라넷은 ID/PASSWORD 를 알아야 접근이 가능하게 됩니다..

  • 이럴땐 당연히 허용된 IP에서만 인트라넷이 접근 할수 있도록 해야 합니다. 만약 그냥 웹에 오픈한 상태에서 집에서도 아이디와 패스워드만 알면 접근할수 있게 끔 설계를 했다면 잘못 설계가 된 것이겠지요..
  •  그런데 조금 더 예시를 들어보면 보안 마인드가 철저한 관리자가 위에 언급한 형태로 하여 특정 IP에서만 인트라넷에 접근하도록 만들었습니다..그러면 안전할까요?

    아니겠죠..거래처 A씨를 만나러 왔다가 차 한잔하면서 컴퓨터에 접근하여 매출정보를 알아낸다면 할수 없겟죠..물론 이럴땐 A씨는 알면서도 모르는척 하는거죠.

    만약 이럴땐 1주일이면 1주일마다 패스워드 변경 작업을 강제적으로 하게끔 변동을 해야 할 것입니다. 뭐..어떤것이든지 사람을 매수한다면 패스워드 바꾼다고 해서 해결 될 것은 아니지만 보안관리자로서는 최대한 조치를 취해야 할 것입니다.

         
제 개인적인 생각은 이러한 부분이 간과 되고 그저 인트라넷이 아이디와 패스워드로 보호 되었지 않았나 하는 생각이 듭니다. 서로 물고 물리는 세상 , 뺏고 뺏기는 세상에서 조금은 보안적인 마인드를 가지고 결국 정보가 유출이 되면 본인 책임이라는 책임의식을 가지고 임해야 겠습니다. 도덕성 문제도 있기 때문에 철처한 교육도 필요 하겠습니다.@엔시스







댓글을 달아 주세요

  1. Favicon of https://toyvillage.net BlogIcon 라이너스™ 2009.04.15 12:59 신고  댓글주소  수정/삭제  댓글쓰기

    참 치사한 세상이네요..;
    역시 동종업계끼리가 더 무서운걸까요? ^^;
    좋은 오후되세요~

  2. 김재현 2009.04.15 14:07  댓글주소  수정/삭제  댓글쓰기

    개인적인 생각에.. 이런 사회공학적 해킹은.. 아무리 보안관리자가 준비를 하더라도 막을수가 없을 것 같습니다.

    상대 백화점에 들어가 있는 입점업체의 ID를 통해 접근을 하는 내역이니.. 내부에서의 접근은 결코 막을수가 없으니까요.. 패스워드 변경을 한다고 하지만.. 그 변경된 패스워드도 입점업체의 담당자는 알고 있으니.. 어쩔수 없지요..

    물론 외부에서 인트라넷 접근은 반드시 막아야 하는 부분이구요... 일종의 도둑질인데.. 이걸 당연히 하고 있었던 그들이 문제가 있는거지.. 보안의 어떤 부분이 잘못되었다는 생각은 들지 않네요....

    • Favicon of https://www.sis.pe.kr BlogIcon 엔시스 2009.04.15 14:26 신고  댓글주소  수정/삭제

      옳으신 말씀입니다..그래서 도덕성이 중요시 되는 경우죠..따라서 전 늘 보안=사람 사람=교육이라고 외치는 것 중에도 하나가 지속적인 교육이 필요합니다. 왜냐구요? 사사람이니깐요..댓글 감사합니다..