서울시의회 문성호 의원, 서울시설공단 해킹 대비 물리적 인증 장치 구축 강구 '정답은 토큰에 있었어!'

서울시의회 교통위원회 회의 중 한국영 서울시설공돤 이사장(좌) 문성호 의원(우)

[시사토픽뉴스]서울특별시의회 문성호 의원(국민의힘‧서대문2)이 제334회 서울특별시의회 임시회 제1차 교통위원회 회의에서 진행된 서울시설공단의 업무보고를 받은 후, 최근 보도를 통해 충격으로 다가온 서울시설공단 ‘따릉이’ 회원 정보 해킹 유출 사건의 피의자인 중학생 두 명은 서울시설공단 내 관리자 권한으로 접근 가능한 정보에 인증 장치가 미비하다는 서버 설계상 허점을 노려 제대로 검증하지 않고 무조건 통과하는 구조를 따라 해킹을 시도했다는 점을 설명하며, 이를 근본적으로 대비하기 위해서는 물리적 보안 토큰과 같은 복제나 계정 탈취가 불가능한 2차 인증 체계 구축을 강구했다.

문성호 의원은 교통위원회 회의에서 한국영 서울시설공단 이사장의 업무보고를 받은 후, “지난 보도로 이루어진 서울시설공단 ‘따릉이’를 향한 중학생 두 명의 해킹으로 인해 회원 정보 약 462만 건이 유출되는 충격적인 사건에 깊은 유감을 표한다. 특히나 해당 중학생 둘은 전문적인 해킹 그룹이 아닌, 정보 보안 기술을 독학했고 민간 공유 모빌리티 업체를 대상으로 한 디도스(DDos)공격만 가담한 전력이 있는, 이른바 자신의 해킹 실력을 과시하고 싶은 미성년 아마추어에게 당했다는 것이 더욱 큰 충격이다.”라고 비판하며 발언을 시작했다.

이어서 문성호 의원은 “이 두 미성년 아마추어의 해킹 범행 동기가 그저 과시욕과 호기심 때문이라고 주장하는 바는 그나마 다행인 부분이다. 만약 정말로 회원 정보와 결재 등 정보를 탈취해 범죄에 활용했다면 그야말로 끔찍한 보안 참사가 나는 꼴.”이라며 비판을 이어갔으며, “특히 피해가 발생했을 시 대응하기가 더욱 어려울 수 있는 장애인콜택시는 물론, 시립승화원, 월드컵경기장 등과 같이 회원 개개인의 사생활 내지는 비록 소액결재이긴 하나 결재 정보가 타인에게 넘어가 활용된다고 가정한다면 그야말로 심각한 현상을 초래할 수 밖에 없는 정보에 관리자가 아닌 자가 접근하는 것을 원천 차단해야 한다.”며 서버가 인증 정보를 제대로 검증하지 않고 무조건 통과시키는 구조로 설계되어 있어 발생한 이번 사건의 본질적인 취약점을 꼬집었다.

또한 문 의원은 “해커들이 말하길, 최선의 해킹 방지 대안은 ‘랜선을 뽑아버리는 것’이라고 할 정도로 물리적인 차단이 가장 효과적이고 효율적인 대응 대안이라는 점은 여러 전문가들이 입을 모은 바 있다. 특히 개인정보를 요청할 때 필요한 암호화된 인증 정보 검증 절차가 형식적이었던 약점을 노린 이번 사건에서 크게 두드러진다. 따라서 서울시설공단의 모든 시설 및 회원 관리 서버에 인증 안전 토큰 검증 체계를 구축하고, 접근 전 관리자에게 부여된 비밀 키인 안전 토큰의 서명 정보를 통해 검증을 필수화하며 이것이 올바른 토큰인지 발급처 및 대상을 확인하는 절차를 신속하게 구축해야 한다.”며 이를 대한민국 군인 병영 생활관에서 총기보관함 당직사관과 당직병 둘이 열쇠를 각자 따로 보관하는 방식으로 비유하여 설명을 이어갔다.

문 의원이 제안한 안전 토큰 인증은 보통 USB 혹은 스마트카드 형식으로 된 물리적 장치를 의미하며, 소중한 시민의 정보가 담긴 관리자 권한 구역에 접근하려면 단순히 서버에서 아이디와 비밀번호를 입력하는 것을 넘어 앞서 말한 물리적 장치를 연결해 직접적인 인증을 거치도록 함을 주로 의미한다. 즉, 기기 내부에 자체 CPU와 메모리를 갖춘 보안 칩이 탑재된 하드웨어 기반 보안 장치를 구축해 해당 장치를 직접 강탈하지 않는 이상 절대 복제가 불가능한 물리적 보안 토큰(Hardware Security Module) 인증 체계를 구축함을 강구했다.

실제로, 이러한 물리적 보안 토큰을 통해 관리자 혹은 해당 기관 내 특정 정보에 접근이 가능하게 하여 해당 인증 수단을 보유하지 못한 이용자는 절대 접근이 불가능한 물리적 방화벽을 세운 사례로는 대한민국 국군 모든 정보체계를 포함해 은행을 포함한 금융계 전반이 대표적이며, 구글, 유비키 등에서 제공하는 하드웨어 키(FIDO 방식)를 이용해 계정 로그인을 보호하기도 하는 사례가 존재한다.

덧붙여 문 의원은 서울시설공단 IT 관련 보완 제안으로 ▲클라이언트가 보내는 토큰의 서명(Signature)과 만료 시간(Expiration)을 서버에서 반드시 검증하도록 강제해야 하는 토큰 검증 로직 전수 조사 방식의 도입, ▲서울시와 인근 수도권 근방에서가 아닌 타국에서 접속했거나 비정상적으로 짧은 시간에 많은 데이터를 요청하는 행위를 차단하는 활동에 있어 일정 시간 동안 허용되는 요청의 수를 제한하는 기술(Rate Limiting)의 도입, ▲유출되더라도 내용을 확인할 수 없도록 개인정보 항목(생년월일, 휴대전화 번호, 최근 결재 정보 등)은 반드시 강력한 알고리즘으로 암호화하여 저장해 이와 같은 해커들의 공격에 대비하는 데이터 암호화의 도입을 요청했으며, 한국영 이사장 역시 최선을 다해 신속하게 마무리하겠음을 다짐했다.

마지막으로 문 의원은 “사실상 마음 같아서는 영화 ‘캐치 미 이프 유 캔’에서 나왔던 것처럼 해당 중학생들을 데려와 화이트해커로써 활용하는 방안도 제안하고자 했지만, 무엇보다도 진지하고 냉정하게 이번 사건을 공단 내부에서 철저한 분석을 통해 보완한 뒤, 해당 중학생에게 다시 덤벼보라 해서 이번에는 절대 뚫리지 않도록 한다는 각오로 최선을 다 해 주기 바란다.”며 발언을 마쳤다.