에버노트가 해킹에 대처하는 법

‘소 잃고 외양간 고친다’라는 속담이 있다. 일이 다 벌어진 뒤에야 방비하는 상황을 비꼰 표현이다. 그만큼 사전 대비가 중요하다는 뜻이리라. 그런데 보안 사고에서는 이 속담이 조금 다르게 해석된다. 소를 잃은 건 잃은거고, 외양간은 외양간이다. 어차피 늦었다며 넋 놓고 외양간을 방치하다가는 소가 아니라 외양간까지 털리는 상황이 발생할 수 있기 때문이다. 외양간마저 털리기 전에 주변을 철저히 손보자는 얘기다.

이런 점에서 최근 이용자 정보 데이터에 대한 해킹 공격을 받은 에버노트의 움직임에 주목할 필요가 있다.

에버노트는 전세계 5천만 사용자를 보유한 클라우드 메모장 서비스다. 현지 기준으로 지난 2월28일 해킹 공격을 받은 뒤 3월2일 자사 블로그를 통해 해킹 사실을 공지하면서, 혹시나 있을지 모를 고객 피해를 방지하기 위해 전 계정의 비밀번호를 초기화하고 비밀번호를 재설정 했다.

에버노트는 해커 개인 또는 단체가 에버노트 계정의 이용자명과 이메일 주소, 암호화된 비밀번호에 접속했다고 발표했다. 사용자가 에버노트에 저장한 정보나 결제정보가 분실되거나 유출된 증거는 발견되지 않았다고 덧붙였다. 현재 에버노트는 어떤 경로로 해킹이 이뤄졌는지 조사 중이다.

evernote main page

에버노트가 어떻게 해킹 공격을 받았는지는 둘째 문제다. 눈여겨 볼 점은 해킹 사고 직후 에버노트가 취한 조치다. 에버노트 사용자가 비밀번호를 변경하지 않으면 더 이상 서비스를 이용할 수 없게끔 만들어 강제로 전 사용자의 비밀번호를 변경했다.

린다 코즐로프스키 애버노트 아태지역 시장개발 이사는 “사용자 데이터에 대한 보안은 에버노트에 최우선적으로 중요한 일로, 비록 비밀번호가 암호화되어 있지만 모든 사용자 계정의 비밀번호를 초기화했다”라며 “보다 강력한 보안수준의 새 비밀번호를 설정하는 간단한 조치만으로도 사용자 계정을 안전하게 지키는데 큰 도움이 된다”라고 블로터닷넷과의 e메일을 통해 설명했다.

사고 발생 후 에버노트는 자사 제품에 대한 전반적인 업데이터를 시도했다. 보안이 강화된 계정 비밀번호를 알리는 메시지를 추가하고, 이런 과정을 더욱 간소화한 게 주요 업데이트 내용이다.

국내에서도 2008년 1971만명의 개인정보를 유출한 옥션, 3500만여명에 이르는 대규모 사용자 정보 유출 피해를 발생시켰던 SK커뮤니케이션즈 등 해킹 사고가 여러 차례 발생했다. SK컴즈의 경우 해킹 피해가 발생한 지 이틀만에 이를 파악하고 이날 오후 웹사이트에 공지했지만, 대부분 기업은 짧게는 4일, 길게는 한 달이라는 시간을 두고 사고 대응에 나섰다. 내부에서야 경찰에게 조사를 의뢰하는 식으로 조치를 취했을 지 모르지만, 소비자에게 사고 소식이 알려지는 데는 시간이 걸렸다.

해킹 사고가 발생한 뒤에도 비밀번호 변경 몫을 사용자에게 넘긴 것도 에버노트 사례와 구분된다. 옥션, KT, 메이플스토리 등 국내 기업은 해킹 사고 이후 로그인을 통해 비밀번호 변경을 안내했지만, ‘변경’ 또는 ‘나중에 변경’ 등으로 소비자 선택에 맡겼다. ‘나중에 변경’ 등을 선택해 비밀번호를 변경하지 않아도 서비스 이용에 문제가 없다. 소비자에게 추가 해킹 피해에 대한 책임을 전가한 셈이다. SK컴즈는 해킹 사고가 난 뒤 로그인 시 비밀번호 강제 변경 화면으로 이동하게 했지만, 이는 사고가 난 지 8일이 지난 뒤에 이뤄진 조치였다.

국내 대표 보안업체의 한 관계자는 “사용자의 개인정보를 담고 있는 시스템이 해킹당했다면, 해킹한 사용자 정보를 사칭해 추가적으로 개인정보를 유출하는 문제가 생길 수 있다”라며 “소비자 반발이 있을지 모르지만, 추가적인 정보 유출 등 2차 피해를 방지하기 위해서라도 비밀번호 강제 초기화가 적합한 조치라고 볼 수 있다”라고 말했다.

물론 서비스 제공업체 시스템의 보안 문제가 발생한 만큼 인프라 자체에 대한 추가적인 보안이 향상되지 않으면 똑같은 해킹 공격이 있을 수 있다. 하지만 최소한 해킹 상황 당시 추가적인 피해를 방지하는 차원에서는 충분히 효과가 있는 예방조치란 얘기다.

또 다른 보안업체 관계자는 “국내 기업 중 해킹 사고 후 비밀번호 변경을 강제로 시도했다는 얘기는 들어본 적이 없다”라며 “빠른 후속조치가 필요한 보안사고에서 자사 기업 이미지 때문에 적절한 사고 대처 시기를 놓치는 기업이 많이 봐 왔다”라고 말했다.

에버노트는 3월5일, 추가 사고를 방지하기 위해 ‘이중인증’을 도입하겠다고 밝혔다. 해킹 사고 후 일주일이 안 돼 나온 발표다. 론다 대변인은 “이미 이중인증을 자사 제품에 녹일 준비를 마치고 도입하는 단계로, 연말이 에버노트 전 사용자들이 이용할 수 있을 것”이라고 말했다.

이중인증은 2개의 표현을 필요로하는 인증 방식이다.  아이디와 비밀번호 외 본인확인 절차를 한단계 더 추가했다고 보면 된다. 이미 구글과 드롭박스는 일회용 비밀번호(OTP), 스마트폰 OTP를 통해 인증수단을 하나 더 추가해 서비스 중이다. 앞선 보안업계 관계자 설명을 들어보자.

“해당 조치가 안전하냐는 다른 문제로, 그 어떤 방식도 100% 보안을 자랑한다고 말할 순 없습니다. 그러나 사고를 예방할 수 있다는 점에서 주효한 수단이지요. 보안사고는 해당 기업이 예방할 수 있는 장치를 얼마나 빨리 도입하냐에 따라 피해 범위가 달라지기도 하니까요.”

보안업계는 대체로 사고를 예방할 수 있다는 점에서 이중인증 도입을 반기는 분위기다. 그러나 국내 현실은 녹록지 않다는 얘기도 함께였다. 국내는 기존에 존재하는 보안 인프라 환경 위에서 문제를 해결하려는 성향이 강하다고 이 관계자는 설명했다. 해킹 사고 후 사내 서버와 네트워크 등 기본적인 보안 인프라 보안 강화에는 비용을 들이면서 웹사이트 보안은 여전히 아이디와 비밀번호 효과에 기대는 이유다.

물론 에버노트의 방식이 완벽한 보안을 자랑하는 것이라곤 말할 수 없다. 그러나 사고가 발생했을 때 고객의 신뢰를 얻으면서 할 수 있는 ‘최선의 조치’가 무엇인지를 보여줬다. 자신의 치부를 드러내는 걸 반기는 기업은 없다. 그러나 해킹 사고를 비롯한 보안사고에 한해선 추가 피해 시간을 줄이기 위해서라도, 사고 직후 쉬쉬하기보다는 이를 공개적으로 적극 알려 사용자 주의를 환기하는 게 중요하다.

국내는 아직 비밀번호 강제 초기화도, 이중인증 암호도 보편화돼 있지 않다. 그렇다고 보안사고에 대해서 재빨리 공지가 되는 것도 아니다. 이번 에버노트 해킹 대처를 놓고 국내 누리꾼들이 엄지손가락을 치켜세우는 이유를 국내 기업들은 잘 생각해봤으면 한다.

블로터닷넷 엔터프라이즈, 클라우드, 기업용 SW를 담당합니다. 하루가 다르게 변화하는 IT 세상에 조금이라도 더 빨리 적응하기 위해 노력중. 마음과 몸이 자라는 기자가 되겠습니다. izziene@bloter.net, @izziene

  • 구글플러스
  • 블로터닷넷 아카데미, 북스, 컨퍼런스 그리고 블로터TV

    아카데미 | Academy

    북스 | Books

    컨퍼런스 | Conference

    블로터 | TV