LGU+ 등 국내 클라우드 서비스, 보안 취약…‘브루트포스 공격’에 무방비

실시간
뉴스

침해사고/위협동향

LGU+ 등 국내 클라우드 서비스, 보안 취약…‘브루트포스 공격’에 무방비

디지털데일리 발행일 2014-10-08 07:56:18

이유지

URL복사

[디지털데일리 이유지기자] 다수의 국내 클라우드 서비스 보안성이 크게 미흡한 것으로 드러났다.

국내 10개 클라우드 서비스 가운데 LG유플러스 ‘유플러스 박스’ 등 5개 서비스는 지난달 초 헐리우드 유명 연예인들의 누드사진을 유출한 애플 ‘아이클라우드’ 해킹에 사용된 ‘브루트포스 공격(Brute Force Key-Search Attack)’에 취약한 것으로 나타났다.

7일 국회 미래창조과학방송통신위원회 장병완 의원이 한국인터넷진흥원(KISA)에서 제출받은 자료에 따르면, 국내 상위 클라우드 서비스 10개 중 5개가 지난달 아이클라우드 정보유출로 이어진 브루트포스 공격에 대한 보안 조치(그림자 암호 확인)가 미흡한 상황이다.

‘브루트포스 공격’은 무차별 암호 대입 공격으로 원초적인 해킹으로 평가될 뿐만 아니라 이미 한 달도 전에 헐리우드 배우 등의 사진이 유출로 이어진 보안사고가 발생해 떠들썩했음에도 국내 대표적인 통신사를 포함해 10개 조사대상 서비스 가운데 절반이 여전히 보안조치를 적용하지 않아 충격을 주고 있다. 브루트포스 공격 대응에 취약한 클라우드서비스는 KT, LG유플러스 외에도 위자드웍스, 싸이이비즈, 아이렌소프트가 있다.

보안대비 수준이 양호한 클라우드 서비스 제공업체는 SK텔레콤과 네이버 등이다.

장병완 의원은 “‘브루트포스’에 의한 클라우드는 해킹은 사용자 인지도 어렵고 개인정보 대량 침해의 위험이 있다”며 “그럼에도 국내 50% 이상의 업체가 브루트포스 공격 방어같은 가장 기초적인 보안조차 하지 않은 것은 심각한 문제”라고 말했다.

특히 장 의원은 “알파벳 여섯글자만으로 이뤄진 패스워드 조합은 일반 듀얼 프로세서 PC의 경우 30초 내 해킹이 가능하다”며 “브루트포스 공격에 대한 보안설정은 반드시 필요한데 이런 기본적인 보안조차 국내 대기업들이 지키고 있지 않아 문제가 심각하다”고 지적했다.

장 의원은 앞으로 현재 클라우드 보안규정이 권고 수준에 그치고 있다는 점을 감안, 업계의 보안 수준을 강화하기 위해 향후 관련 법 개정을 통해 브루투포스 공격 방어를 강제하는 방안을 마련할 방침이다.

<이유지 기자>yjlee@ddaily.co.kr