데이터 보안
Posts
13 posts
쿠팡 개인정보 누출 대처 : 개인통관고유번호 재발급
쿠팡 개인정보 누출 대처 : 개인통관고유번호 재발급 쿠팡에서 인증 업무를 담당했던 중국인 한 명 때문에 온 나라가 난리다. 그도 그럴 것이 3천만 개 이상의 계정에서 개인정보가 유출됐기 때문이다. 결제 정보를 제외한 거의 모든 데이터가 밖으로 빠져나갔다고 보면 된다. 지금 공격자에게만 모든 화살이 쏠리고 있는데 해당 직원이 퇴사 후에도 재직 당시 사용하던 서명키를 통해서 자유롭게 내부망을 들락날락할 수 있도록 방치한 쿠팡의 잘못도 만만치 않다. 아니, 더 크다고 생각한다. 이런 상황에서 쿠팡 직구 서비스를 한 번이라도 이용한 적이 있다면 지금 바로 여러분의 개인통관고유번호로 수입된 해외 물품이 있는지 확인한 뒤 재.......
한심스러운 쿠팡 해킹 사태 한심스러운 대한민국 IT 보안
서버 관리업을 잠시 했었던지라 서버 관리자들의 행태를 아주 잘 알고 있습니다. 서버는 중요한 데이터와 개인 데이터들이 들어 있지만 수시로 관리자들이 접속해야 하기에 자기들 관리 편한 행태로 잘 바꾸어 놓습니다. 그런데 이걸 알아야 합니다. 집에 들어가기 쉬우면 도둑도 들어오기 쉽다 집에 들어가기 쉽고 1단계 인증이라면 도둑도 1단계만 풀면 내 집에 들어올 수 있습니다. 그러나 집에 카드키, 지문키에 비밀번호까지 입력하고 열쇠까지 돌려야 한다면 너무 불편하겠죠. 그런데 그걸 보고 도둑도 다른 집을 털 생각을 할 겁니다. 물론 지문키, 비번키, 열쇠까지 다는 집은 없습니다. 열쇠가 불편해서 지문키를 이용하는 요즘인데요. 그런데 도둑도 지문만 어디서 훔쳐와서 인증에 성공하면 그 즉시로 내 집은 도둑의 집이 됩니다. 온라인 세계는 다를까요? 다른 사이트보다 쉬웠던 쿠팡 접속 우리가 어떤 웹 사이트를 접속하면 가장 짜증 나는 것이 웹 사이트 접속입니다. 자주 들리는 웹 사이트면 몰라도 가끔 들어가는 사이튼 아이디와 비번이 잘 생각 안 나죠. 이럴 때마다 아이디 비번을 다시 찾거나 재설정하고 또 까먹습니다. 정말 기술이 발단해도 이건 쉽게 해결이 안 되나 보네요. 이에 쿠팡은 아이디를 몰라도 내 핸드폰 번호로도 접속이 가능하게 해서 어떤 사이트보다 접속이 쉽고 그래서 쿠팡 이용하는 분들이 많을 겁니다. 저도 쿠팡을 가끔 이용합니다. 아니 전 국민이 거의 다 사용할 겁니다. 워낙 배송도 빠르고 싼 제품들이 많잖아요. 이렇게 큰 회사면 보안이 뛰어날 줄 알았습니다만 저도 해킹 당첨이 되었는지 해킹 사고 이후 저에게 문자가 날아왔네요. 오늘 새벽에 쿠팡에 접속을 하니 저에게 메일이 날아오네요. 새로운 기기에서 로그인 되었다는 안내 메일입니다. 쿠팡이 이런 메일 보낸 적이 없었습니다. 그리고 새로운 기기도 아니에요. 오랜만에 접속해서 IP가 변경되었고 그래서 보낸 메일일 수도 있지만 이전에는 이런 식으로 보안 메일이 온 적이 없었습니다. 쿠팡에 접속한 이력의 디바이스와 IP를 확인하고 로그아웃 하는 것 뿐 쿠팡에서 고객의 개인정보 유출이 무려 3370만 명으로 전체 경제 활동 인구에 버금가는 엄청난 숫자의 개인 정보가 털렸습니다. 그냥 쿠팡 가입 안 하는 노인 분들이나 초등학생 등등 빼고 대부분의 성인 개인 정보가 다 털렸다고 봐야 합니다. 뭐 올 초에 있었던 SKT나 KT 기지국 해킹과 유플러스 해킹을 겪어서 더 놀랄 가슴도 없긴 하지만 그럼에도 이건 엄청난 숫자의 대한민국 전체 성인의 개인 정보가 털린 해킹 역사에 길이 남을 대사건입니다. 그럼 뭐가 유출되었냐? 이름, 전화번호, 이메일주소, 배송주소, 주문 정보입니다. 아이디와 비번이나 개인 카드 정보 같이 결제 관련 중요 보안 정보는 따로 저장되어 있기에 털리지 않았다고 하지만 오히려 아이디아 비번이 털리면 비번을 바꾸면 되고 카드 정보는 그 카드를 새로 발급받거나 해지하면 되지만 이 이름, 전화번호, 메일주소, 배송주소는 고정값으로 우리가 바꿀 수 없는 정보입니다. 이게 아주 더 골치 아픈 일이죠. 해커가 이 정보를 다크웹에 팔면 한국 주소만 입력하면 누가 사는지 알 수 있고 반대로 이름과 핸드폰 번호만 가지고 집주소를 알 수 있습니다. 응용하면 수많은 마케팅할 때 큰 도움이 되거나 직접적으로 금전적인 요구를 할 수도 있습니다. 특히 1층 현관 보안키가 등록되어 있는 빌라나 아파트 현관키도 유출되었다고 하니 더 큰 피해가 일어날 수 있습니다. 쿠팡 고객이 할 수 있는 건 비밀번호 변경뿐 어제 새로운 기기에서 접속했다는 메일 중간에 보니 현재 쿠팡 계정의 접속 이력 링크가 있기에 눌러봤더니 모르는 기기들이 좀 보이네요. 그래서 다 로그아웃 시켰습니다. 이 접속 기록을 쿠팡 안에서 찾아보려고 노력했지만 쿠팡은 유명한 다크패턴 사이트입니다. 쿠팡 해지하려고 해 보세요. 해지 버튼이 해지 기능이 어디에 있는지 안 보입니다. 여기서부터 쿠팡의 보안 태도나 소비자에 대한 태도가 보입니다. 가입은 쉽게 해지는 어렵게 하는 아주 못난 기업입니다. 멜론스럽다고 할 수 있습니다. 이 접속 기록을 살펴보고 모르는 기기를 로그아웃 시키지 말고 그냥 비밀번호를 바꾸면 싹 다 사라집니다. 그러니 지금 당장 비밀번호를 바꾸는 것이 좋습니다. 쿠팡 해킹 사고는 더 심각한 전 내부 직원이라는 점이 더 심각한 문제 아직 수사 단계라서 단정하긴 어렵습니다. 다만 흘러나오는 이야기에 물어보니 전 쿠팡 직원 그것도 중국인 서버 관리자를 통해서 나왔다는 소리가 많죠. 여기서 우리는 2개에 분노하게 되죠. 중국인을 어떻게 중요 서버 관리자로 채용하냐고 할 수 있습니다. 실제로 쿠팡 안에는 중국인 IT 직원이 꽤 많다고 해요. 이유는 모르겠지만 그게 큰 문제라고 느껴지지 않습니다. 물론 퇴사 후에도 한국에서 사는 분은 감히 이런 행동을 하기 어렵겠죠. 반대로 중국으로 튈 수 있는 사람이면 중국 정부와의 협조도 있어야 하고 숨을 곳도 많은 중국이기에 쉽게 잡지 못할 수도 있습니다. 그럼에도 이번 사태의 1차 원인은 쿠팡의 퇴사 프로세스에 있다고 봅니다. 이번 쿠팡 해킹 사고는 외부 해킹이 아닙니다. 전혀 모르는 사람이 쿠팡 서버를 해킹해서 돈을 요구한 것이 아니고 전직 보안 IT 직원이 쿠팡을 퇴사한 후에 보복심으로 했는지는 모르겠으나 퇴사한 직원이 쿠팡 서버를 원격으로 들락거릴 수 있다는 점이 충격적입니다. 보통 우리가 퇴사를 하면 사원증은 기본, 외부 접속 가능한 모든 아이디와 비번을 폐기하거나 접속 차단 시키는 절차가 있습니다. 특히나 서버 관리자면 그 사람이 운영했던 서버 아이디와 비번은 물론 모든 것을 삭제하고 폐기하고 접속 차단 시켜야 합니다. 그걸 확인한 후에 퇴사시켜야 합니다. 그런데 그걸 안 했습니다. 마치 회사에서 퇴사 시켜 놓고 회사에 들락거릴 수 있는 열쇠를 들고나가게 한 겁니다. 그럼 그 직원이 술 먹고 이 놈의 회사 확 불 질러 버리거나 최소한 회사에게 엿 돼 보라고 해코지를 할 수 있습니다.. 지금 그런 꼴입니다. "감히 나를 짤라?" "오늘 들어가서 다 박살내 주겠어"를 실행할 수 있는 보안키를 열어준 꼴입니다. 이건 기본 중의 기본적인 상식인데 국내 매출 1위인 쿠팡이 이런 3류도 아닌 10류 업무 프로세스로 돌아가고 있었다는 것이 더 충격적이네요. 그다음 중국인 직원입니다. 우리는 명예기반 사회에 살고 있습니다. 명예가 없는 무명의 아이디로는 악플을 달다가도 내 아이디가 네임드가 되거나 유명하거나 명성을 쌓게 되면 우리는 그 명성 지키기 위해서라도 상식선에서 비판하고 의견을 제시합니다. 지금 수많은 뉴스 댓글이 악플로 도배되는 것은 그 댓글러들의 명성이 없기 때문입니다. 마찬가지입니다. 국내 직원이면 국내에서 살려면 이런 행동을 하고 싶고 할 수 있어도 안 합니다. 보안 IT 계가 다 그 사람이 그 사람이라서 소문이 쫙 납니다. 그런데 중국인이나 일본인이나 동남아시아 사람이라면 국내에 명성이 없기에 개판을 쳐도 저렇게 해킹을 해도 잡기 쉽지 않습니다. 이는 국가 또는 인종 차별이 아닌 만에 하나 생길 수 있는 일에 대한 대비책으로 IT 서버 관리자들은 중국인 대신 한국인을 채용하는 풍토가 늘어날 것입니다. 전 인건비가 저렴해서 중국인 채용했나 했는데 인건비는 비슷하다고 하네요. 앞으로 피싱 메일, 문자 주의하세요 내 주소, 이름, 핸드폰 번호, 메일 주소가 모든 사람이 알고 있다고 생각하시고 살아야 합니다. 전혀 모르는 사람이 집주소 이름 대고 말해도 일단 의심을 해야 합니다. 또한 모르는 사람이 보낸 메일에 URL이 있으면 함부로 누르지 말고 살펴봐야 합니다. 지금까지는 비밀번호 탈취가 된 것은 아니기에 누군가가 내 쿠팡에 접속할 수는 없습니다. 그러나 다시 말하지만 우리 개인의 고유 값이 모두 유출되었다는 점이 더 심각합니다. 나를 나임을 증명하는 이름 핸드폰번호 주소라는 불변하고 바뀌기 어려운 정보가 털렸다는 것이 너무 심각한 문제네요. 이걸 이용해서 피싱 메일, 피싱 전화가 엄청나게 올 겁니다. 다들 주의하면서 살아야 겠네요. 쿠팡은 이번 사태로 수조원의 벌금을 쳐 맞아야 합니다. 동시에 한국 모든 온라인 사업자들은 보안 인력을 늘려야 합니다. 그러기 위해서는 일벌백계로 이번 사태에 징벌적 손해 배상을 물려서 쿠팡이 휘청이게 하는 걸 보여줘야 합니다. 그래야 다른 기업도 보안 인력 늘리고 철저한 대비를 하게 만들어야 합니다. 한국 최고의 IT 기업들이 보여주는 행동이 참 기가 차네요. 그런면에서 네이버가 여러모로 해킹 관련 일은 잘 대비하네요 보네요. 서비스 안정성이나 보안 쪽에서 일이 터지지 않는 걸 보면 네이버가 역시 어나더 레벨인가 봅니다.
문서 번역 자동화 시대, 데이터 보안까지 잡은 Papago Doc Translation
해당 콘텐츠를 소개하며 소정의 원고료를 제공받았습니다. 따뜻한 곳으로 여행을 준비하듯, 요즘 기업들은 더 넓은 시장을 향해 나아가고 있습니다. 해외 파트너를 만나고 글로벌 서비스를 운영하려면 자연스럽게 다양한 언어의 문서와 마주하게 되는데요. 막상 번역을 해보면 전문 용어가 제각각이거나, 문서 서식이 깨져서 다시 편집하느라 시간을 허비하는 일이 계속 반복되곤 합니다. 저 역시 비슷한 어려움을 겪다가 비로소 실무 부담을 확 줄여주는 도구를 만나게 됐습니다. 바로 네이버클라우드의 Papago Doc Translation이에요. 문서 번역은 단순히 글자를 바꾸는 것이 아니라, 원본의 의미·구조·레이아웃까지 그대로 유지해야 하는 작업.......
UGREEN 유그린 DXP 시리즈 신형 NAS 라인업과 공식 스펙 정리
본 포스팅은 UGREEN으로부터 제품을 제공 받았으나 솔직하게 느낀 부분을 바탕으로 작성했습니다. 요즘처럼 고화질 사진 촬영 파일이 늘어나는 시대에, 크리에이터들은 데이터를 빠르고 안전하게 보관할 NAS 구축의 필요성을 절실히 느낍니다. 저 역시 전문 사진 촬영을 하며 쌓이는 방대한 RAW 파일 때문에 늘 안정적인 스토리지를 고민하고 있었죠. 특히 내년 초 포토 스튜디오 오픈을 준비하면서, 데이터의 안정성과 초고속 접근성이 확보된 새로운 NAS가 절실했습니다. 하지만 기존 장비들은 성능이나 가격 면에서 항상 아쉬움이 있었습니다. 이런 고민을 해소하기 위해, 글로벌 IT 액세서리 강자 유그린이 국내 시장에 나스 제품 3종을 공식.......
