공유 애플리케이션용 정책과 툴로 예방 …
상태바
공유 애플리케이션용 정책과 툴로 예방 …
  • 데이터넷
  • 승인 2008.07.04 00:00
  • 댓글 0
이 기사를 공유합니다

P2P의 위험
P2P를 통해 회사 기밀 문서가 전세계로 뿌려질 수 있다는 사실을 알고 있는가. 이러한 데이터 누출이 어떻게 발생하는지, 그리고 이런 사태를 막기 위해 어떠한 일을 할 수 있는지 알아보자. <편집자>

“야생의 데이터를 찾아라”
공유 애플리케이션용 정책과 툴로 예방 … 데이터 누출 모니터링도 필수

지난해에 화이자(Pfizer)에서 IT 정책을 사소하게 위반한 것이 결국 1만7천 명의 직원과 전 직원들의 개인 데이터가 P2P(Peer-to-Peer) 네트워크로 누출되는 심각한 보안 사고로 이어진 바 있었다. 코네티컷의 주 법무성에서는 조사에 착수했으며, 최소한 한 명의 화이자 전 직원이 회사를 상대로 소송을 제기했다.
이 모든 것은 한 화이저 직원의 배우자가 회사 노트북에서 다른 P2P 사용자와 음악이나 다른 콘텐츠를 교환하기 위해 파일 공유 소프트웨어를 사용했을 때 시작됐다. 이 노트북 사용자는 자신도 알지 못하는 사이에 2천300개의 업무용 파일을 노출했는데, 여기에는 민감한 화이자 직원의 데이터, 즉 이름, 사회보장 번호, 주소 및 보너스 정보 등이 포함돼 있었다.
이런 식으로 회사의 민감한 데이터를 노출시킨 회사가 화이자만 있는 게 아니다. ABN 암로 모기지 그룹(Amro Mortage Group)에서 근무했던 한 직원은 지난 해 베어셰어(BearShare) 파일 공유 프로그램이 깔린 집 컴퓨터에서 5천 명 고객에 대한 개인 데이터가 담긴 스프레드시트를 노출하기도 했다. 그리고 지난 가을에는 FTA(Federal Transit Administration)와의 연계 하에 부쯔 알렌 해밀턴(Booz Allen Hamilton)에서 완료시킨 시카고 운송 시스템의 테러리스트 위협 평가 자료가 P2P 네트워크에 뜨기도 했다.

P2P로 데이터 누출 심각
의심받지 않는 사용자에 의해 업무용 데이터가 P2P 네트워크로 누출되는 문제는 새삼스러울 게 없지만, 최근들어 사태는 더욱 심각해지고 있다. 다트머스 대학(Dartmouth College) 터크 비즈니스 스쿨(Tuck School of Business)의 디지털 전략 센터 연구원들은 P2P 이용량 증가와 P2P 네트워크의 분산되는 속성을 지적하면서 기업에게 있어 파일 공유가 보안 위협으로 심각하게 부상하고 있다고 결론을 내렸다.
파일 공유 프로그램은 CNET의 다운로드닷컴(Download.
com)에서 상위 10개 애플리케이션 중 세 개를 차지하고 있다. 그리고 이것은 단지 내부적인 문제만이 아니다. 고객과 비즈니스 파트너가 P2P 데이터 노출의 소스가 되는 경우도 빈번하게 발생하고 있기 때문이다.
사태의 심각성을 측정하기 위해 우리는 어떤 종류의 기업 데이터가 그누텔라(Gnutella) 네트워크에서 발견되는지에 대한 조사에 착수했으며, 그 결과 스프레드시트, 빌링 데이터, 의료 기록 같은 것들을 찾아낼 수 있었다.
파일 공유 프로그램이나 P2P 네트워크는 원래의 목적대로라면 사람들이 콘텐츠를 공유할 수 있는 저렴하고 간편한 수단이 되며, 오픈 소스 소프트웨어를 배포하는 데도 인기있는 채널이다. 불법 음원 공유와 연관돼 있긴 하지만 비즈니스 데이터에 있어서는 모든 P2P 네트워크가 똑같이 위험한 것은 아니다. 집중식 서버를 사용하고 있는 비트토런트(BitTorrent) 클라이언트와 프로토콜은 그누텔라 같은 분산식 네트워크보다도 부주의한 파일 공유가 발생할 가능성이 적다.

P2P 노출, 뒤돌릴 수 없다
IT 부서에서 걱정해야 하는 것은 P2P의 부적절하거나 부주의한 사용이다. 어떤 일이 발생할 수 있을까? 실수로 음악 파일을 저장해 둔 폴더에 스프레드시트를 저장하거나, P2P 클라이언트를 구성할 때 회사 문서가 담긴 곳에다 모든 사람들이 볼 수 있도록 체크 표시를 하기도 한다.
IT 부서의 가장 첫 번째 방어책은 회사 PC에서 파일 공유 애플리케이션을 사용하기 위한 파라미터를 설정하고, 이런 정책을 모니터링 및 관리할 수 있는 툴을 사용하는 것이다. 하지만 그 효과는 IT에서 잘 시행하는 만큼, 그리고 직원이 이를 잘 따라주는 만큼만 발휘될 수 있다. 누군가 규정을 위반했을 때 어떤 일이 발생할 수 있는지는 멀리 갈 필요 없이 화이자의 사례만 보아도 충분하다. 하지만 이보다 더 힘든 것은 회사 내부에서 요구하는 것과 같은 수위로 주의를 기울이도록 고객과 비즈니스 파트너를 훈련시키는 일이다.
시그나(Cigna)의 정보보안 수석 임원인 크레이드 슈마드는 “모든 사람이 옳은 일만 하려고 하지는 않는다. 이것이 바로 평균의 법칙”이라고 말했다. 6개월 전 회사 포털들 가운데 시그나의 몇몇 사용자 ID와 패스워드가 파트너에 의해 P2P 네트워크로 우연히 누출된 사실을 알고난 후, 이 의료 관련 보험회사는 이들을 다시 고쳐놓느라 애를 먹었다.
악용에 대한 가능성은 소위 정보 매니아들이 ID 절도, 사기 및 기타 불법적 활용에 사용될 수도 있는 데이터를 찾아 P2P 네트워크를 돌아다니느라 파일 공유 클라이언트를 사용하면서 증폭됐다. 지난 가을 시에틀의 관계당국에서는 라임와이어(LimeWire)를 이용해 연방 납세신고서, 학생 재정지원 신청서, 그리고 신용카드 명세서를 모은 혐의로 35살의 그레고리 코필로프를 체포했다. 코필로프는 죄상을 인정했으며 조만간 여기에 대한 판결이 내려질 예정이다.
IT 부서에서는 이에 대비해야 하는데, 그 이유는 일단 비즈니스 데이터가 P2P 네트워크에 뜨기 시작하면 이것들 다시 돌이킬 수 있는 방법은 없기 때문이다. 침입이 있었다는 사실을 알게 됐을 즈음이면 당신의 스프레드시트나 문서는 아마도 수십 대의 컴퓨터에 이미 뿌려지고 있을 것이며, 거기에는 미국의 법적 관할 구역에서 벗어난 것들도 포함돼 있을 것이다.

IT 정책부터 확인해야
제 1단계는 우선 IT 정책에서 P2P 사용에 대해 다루고 있는지, 그리고 이런 정책을 시행할 수 있는 관리 툴이 있는지를 확인하는 일이다. 오더블매직(Audible Magic), 시스코, 심포닉스, 페이스타임 및 세인트버나드소프트웨어 등 업체의 제품을 이용해 IT 관리자는 P2P 네트워크 액세스를 제한하고 모니터링할 수 있으며, P2P 네트워크 액세스를 관리할 수도 있다. 규정을 위반하는 사용자라면 어떤 사람이든 잡아내야 한다.
페이스타임의 부사장인 프랭크 카브리에 따르면 IT 관리자가 회사 네트워크에 P2P 클라이언트가 실제로 존재하는데도 불구하고 없다고 생각하는 경우도 드물지 않다고 한다. 그 이유는 P2P 애플리케이션이 스스로를 마치 브라우저 트래픽처럼 보이게 할 수 있기 때문이다. 카브리는 “이들은 매우 포착하기 힘들며, 접속할 수 있는 길을 찾아낸다”고 말했다. 페이스타임의 유니파이드 시큐리티 게이트웨이(Unified Security Gateway)는 관리자들에게 130개의 P2P 애플리케이션에 대한 정밀 제어 수단을 제공해 준다.
두 번째 단계는 데이터 누출에 대해 P2P 네트워크를 감시하는 일이다. IT 부서에서는 파일 공유 애플리케이션에 있는 검색 기능을 이용해 주요 네트워크를 정기적으로 모니터링할 수 있지만, 이것은 노동집약적이고 계획성 없는 일이다. P2P 클라이언트는 한 번에 하나의 네트워크만 검색할 수 있게 해주며, 그때조차도 일부 노드의 파일만을 보여준다. 사이빌리언스(Cyveillance) 같은 보안 서비스 회사에서 귀찮은 일을 대신해 줄 수 있겠지만 마찬가지 문제, 즉 한정된 가시성 문제에 부딪치게 된다.
P2P 네트워크에서 비즈니스 데이터를 발견할 경우에는 누출의 소스를 찾아내서 이것을 폐쇄하고, P2P 애플리케이션이 어떻게, 또 왜 사용되고 있는지를 알아내야 한다.
그 외에 또 무엇을 더 할 수 있을까? 피츠버그에 있는 5년된 회사인 티버사(Tiversa)는 실시간으로 P2P 네트워크를 모니터링하는 전용 알고리즘을 개발했다. 이 회사는 그누텔라, 당나귀, 패스트트랙 및 윙크MX 같은 인기 있는 P2P 네트워크에 자사 노드를 만들어 여기서 공유되는 파일들을 볼 수 있게 했다. 그리고 이 정보를 이용해 투자 은행, 신용카드 발급회사, 은행 및 보험회사 등의 기업 고객들에게 P2P 모니터링과 위험 평가 서비스를 제공하고 있다.
티버사 서비스의 얼리 어댑터는 정부 기관들이었다. 이 회사 CEO인 로버트 보백은 티버사에서 2004년 봄, 미국 외 지역에 있는 사람들이 P2P 네트워크에서 폭약, 기폭장치, 리신(ricin), 탄저병 등에 대한 정보를 검색하고 있다는 것을 보여줬을 때부터 이들 기관에서 관심을 갖기 시작했다고 말했다.
그 해 말경에 티버사는 이미 美 CIA, FBI, 국토안보부, 기밀국과 거래를 하고 있었다. 2004년 대통령 선거 캠페인 기간 동안 이 회사는 제나 부시, 에어포스 원, 그리고 백악관의 보안과 연관된 검색을 발견했으며, 동일한 사용자가 저격술에 대한 파일도 갖고 있음을 확인할 수 있었다. 며칠 내에 미 기밀국에서는 그 사람의 집을 방문했는데, 그는 텍사스에 있는 부시 대통령의 크로포드(Crawford) 농장에서 자동차로 불과 한 시간도 채 걸리지 않는 곳에 살고 있었다.
전체 P2P 네트워크에서 키워드 검색 추적
티버사의 경쟁력은 전체 P2P 네트워크에서 키워드 검색을 추적함으로써 IT 부서에서 할 수 있는 것보다 파일 공유 활동에 대해 포괄적으로 볼 수 있다는 점이다. 이 회사는 하루 15억 건의 파일 공유 검색을 할 수 있는데, 이는 구글에서 처리하는 키워드 검색의 몇 배에 달한다. 티버사는 사람들이 찾고 있는 파일의 종류를 보여주는 탐색어(probe term)와, 이들이 찾은 것들인 검색 일치어를 매핑한다.
티버사에서 발견하는 회사 데이터로는 임금 기록, 퇴사 기록, 비공개 협정, 이사회 의사록, 그리고 합병 및 인수 계획 등이 있다. 또한 IT와 관련된 문서들, 즉 암호화 키, 네트워크 다이어그램, 사용자 ID 및 패스워드, 장애복구 계획 등도 찾아낼 수 있다.
티버사는 고객이 자신들의 데이터를 P2P 네트워크에서 찾을 수 있는지를 확인하기 위한 검색을 수행한 다음, 드러난 것들을 공유함으로써 이들이 적절한 행동을 취할 수 있게 해준다. 사실 티버사에서 잠재 고객의 눈길을 끄는 한 가지 방법은 그 회사들과 관련된 정보 검색을 수행한 다음, CSO나 CIO에게 그 결과물을 프리젠테이션하겠다고 요청하는 것이다.
티버사는 현재 약 20곳의 기업 고객을 확보하고 있다. 그 수가 많지는 않지만 이들은 블루 칩 고객들이며, 이들 가운데는 티버사 서비스에 연간 100만달러 이상을 지불하는 곳도 있다. 이들을 위해 티버사는 다양한 언어로 검색을 수행하며, 결과물에 대한 포렌직(forensic) 분석도 하고, 콘텐츠에 위험 레벨을 할당하는 등의 서비스를 제공하고 있으며, 보다 다양한 업계와 중소기업들에게까지 점차 그 고객층을 넓혀가고 있다. 티버사는 심지어 신원정보 절도를 막기 위해 연간 24.95달러로 이용할 수 있는 소비자용 버전의 P2P 모니터링 서비스도 제공하고 있다.

위험은 어디에나
시그나는 지난 해부터 티버사 서비스를 이용하고 있다. 시그나는 회사 PC에서 파일 공유 소프트웨어 사용을 금하고 있지만 CISO인 슈마드는 이것만으로는 문제를 막을 수 없다는 사실을 잘 알고 있다. 1천만 명에 달하는 건강증진계획 회원과 55만 명에 달하는 파트너가 있는 시그나는 자사의 방화벽 외부에서의 파일 공유에 대해서도 또한 걱정하고 있다.
시그나도 자체적으로 P2P 모니터링을 수행하고 있었으며, 슈마드 본인도 얼마간의 조사 작업을 하곤 했다. “거기서 본 정보들 가운데는 정말 충격적인 것들도 있었다”고 그는 회상했다. 하지만 티버사는 보다 폭넓게 그물망을 드리우며, 그 검색어 데이터는 많은 것을 말해줄 수 있다.
슈마드는 익명의 P2P 사용자가 시그나의 불확실한 매출 원가 정보를 검색하고 있다는 사실을 알고 놀라기도 했다. 슈마드는 “왜 누군가가 그런 것들을 검색하고 있겠는가”라고 반문하면서 “그는 분명 무언가를 낚고 있는 중이었을 것이며, 아마도 경쟁업체 사람이었을 것”이라고 회상했다.
P2P 네트워크에서의 기밀 데이터 움직임을 보다 잘 파악하기 위해 티버사는 일련의 ‘허니 팟(honey pot)’ 실험을 하고 있는데, 이것은 파일을 노출한 다음 무슨 일이 생기는지를 두고 보는 것이다. 한번은 creditcardnumbers.doc라는 파일 이름의 50달러짜리 현금 카드가 포함된 테스트가 있었다. 하루만에 파일은 28차례 넘어갔으며, 돈은 다 나갔다. 다른 하니팟은 임원용 문서, HR 파일, IT 관련 정보 및 소비자 데이터로 구성됐는데, 그 결과는 언제나 마찬가지였다. 즉 이들 데이터는 전세계 P2P 네트워크에서 널리, 그리고 신속하게 배포됐다.

P2P 공유 위험성 교육 필수
지난 해 다트머스의 디지털 전략센터 연구원들은 P2P 네트워크에서의 우발적 데이터 노출에 대한 조사 결과를 출간했는데, 여기에는 30곳의 주요 은행과 관련된 P2P 검색어에 대한 7주간의 연구 결과도 포함돼 있다. 이 연구는 미 국가안보부의 자금과 티버사의 도움을 받아 진행된 것이다. 은행의 취약성에 영향을 미치는 요소들로는 글로벌 브랜드 인지도와 직원 및 고객의 수가 포함돼 있었다.
연구원들은 11만4천 개의 은행 관련 파일을 수집했다. 이들의 가장 큰 수확은 이름과 주소, 계좌번호 및 직함이 포함된 2만3천 개의 기업 고객 정보가 담긴 스프레드시트였다.
이들은 또한 각 은행의 ‘디지털 풋프린트(digital footprint)’도 평가해 보았는데, 이것은 P2P 검색에서 문서를 찾아 줄, 은행과 관련된 단어와 문구 측정기를 말한다. 당연한 일이지만 P2P 검색에서는 인기 있는 노래 제목이나 가수와 같은 부분이 이름에 있는 은행이 내부 문서 노출의 위험이 컸다. 예를 들어 PNC 은행은 같은 이니셜의 한 래퍼와 약어가 같기 때문에 래퍼 관련 정보를 찾는 검색 결과에서 은행 문서가 뜨게 될 가능성이 높다.
다트머스 연구원들은 P2P 문제에 대한 해답을 찾고 있는 IT 부서에게 다음과 같은 몇 가지 유용한 조언을 해줬다.

■ 직원, 고객, 공급업체, 그리고 하청업체들에게 P2P 공유의 위험성에 대해 교육을 시켜라.
■ 홈 오피스 PC에서의 누출 위험을 줄이려면 가정용 사용자를 위한 정책을 만들어야 한다.
■ P2P 네트워크에서 발견되고 유포될 가능성이 낮은 것들로 파일 이름을 변환하라.

모든 사람이 음악이나 동영상 공유만을 위해 P2P 네트워크를 사용하고 있는 게 아니라는 증거는 너무도 많다. 수상쩍은 사람들이 재정 기록, 주민등록번호, 사적인 데이터, 그리고 심지어 지하철을 멈추거나 회사를 음해하는 데 사용될 수 있는 문서까지도 검색하고 있다. 티버사의 COO인 크리스 곰레이는 “지금까지 정보에 목숨거는 사람들을 수도 없이 보았다. 이들은 모두 전문가들”이라고 경고했다.
그렇다면 이런 사람들은 자신들이 수집한 디지털 콘텐츠 보물상자를 가지고 무슨 일을 하려는 것일까? 그것은 알 수 없다고 곰리는 말했다. 아마도 이것은 굳이 알려고 하지 않는 편이 오히려 더 나을지도 모른다.

비즈니스 데이터의 진수성찬, ‘P2P 무관심 충격
그누텔라 네트워크를 검색해 본 결과, 수많은 사람들을 파산시키고 수많은 회사들의 광고를 물거품으로 만들어버릴 수 있는 엄청난 양의 개인 및 비즈니스 정보가 발견됐다.

P2P 네트워크가 빼앗기고 남용되기를 얌전히 기다리고 있는 민감한 회사 데이터로 가득차 있다는 게 정말일까? 설마 그럴 리가 있을까. 사람들이 그렇게 조심성이 없을 리가... 19세기의 탐광자라도 된 듯, 과연 여기서 무엇을 찾아낼 수 있는지 본격적으로 알아보기로 했다.
그 결과는 실로 충격적이고 두려울 지경이었다. 수많은 사람들의 생활을 파멸로 몰아가고, 많은 회사들의 PR을 악몽으로 만들어버리기 충분한 정도로 많은 비즈니스 기밀 문서와 개인 정보들이 발견됐기 때문이다. 비즈니스 문서 가운데는 스프레드시트, 빌링 데이터, 의료 기록, RFP, 내부 감사 자료, 제품 명세서 및 회의 기록 등이 있었으며, 이들은 모두 간단한 도구로 금방 찾아낼 수 있었다.
그렇듯 많은 사람들이 그렇듯 민감한 파일을 고의적으로 공유하고 있었는지는 의문이다. 그보다는 사용자들, 혹은 심지어 아이들이 음악이나 TV 프로그램을 다운로드받기 위해 P2P 프로그램을 설치해 두고, 설치 과정에서 모든 질문에 ‘확인’을 눌렀을 가능성이 더 많다. 이런 질문들 가운데는 파일을 공유할 폴더를 묻는 것도 있으며, 그 기본값이 윈도 내문서 폴더로 돼 있는 경우가 많다. 그 결과는 뻔하다.
그리고 이것은 여러 가지 면에서 많은 뉴스거리를 만들었던 노트북 분실보다도 훨씬 더 좋지 못한데, 그 이유는 이런 파일은 전세계를 돌아다니고 이들이 언제 누출됐는지 흔적을 찾을 수가 없기 때문이다. 이런 예로 미뤄 볼 때 이제는 분명 P2P 파일 공유를 보안 위협에 추가해야 할 때다.

네트워크 선택하기
몇 가지 인기 있는 P2P 프로토콜이 있는데, 이들에게는 저마다 네트워크에 액세스할 수 있는 수많은 클라이언트 프로그램이 있다. 정확한 사용자 수는 추측하기 힘들지만 그 트랙커 사이트 중 하나인 ThePirateBay.org의 사용자만 1천만 명이 넘는 비트토런트가 아마도 최고의 네트워크일 것이다(트랙커 사이트는 P2P 파일의 소재를 추적해서 액세스할 수 있게 해주는 곳이다). 비트토런트는 파일을 공유하기 위해서는 사용자가 심의 과정을 밟아야 한다는 점에서 다른 P2P 네트워크와 다르게 운영된다. 이 네트워크는 또한 개발자가 대역폭 비용을 절약할 수 있도록 많은 오픈 소스 소프트웨어들이 비트토런트를 통해 배포되고 있기 때문에 합법적인 용도로 가장 많이 사용되는 곳이기도 하다.
그누텔라에 초점을 맞춘 이유는 클라이언트의 상당수가 오픈 소스기 때문이다. 이상주의에 따라 행동하는 저작자들은 파일이 공유되기를 바라면서 사용자가 의도하는 것 이상의 공유 옵션을 디폴트로 포함시키는 경우가 많다. 다른 몇몇 P2P 네트워크와 마찬가지로 그누텔라는 원격 컴퓨터가 공유하는 모든 파일을 브라우징할 수 있게 해주기 때문에, 가망 있는 검색 결과로부터 같은 사용자의 관련 파일로 피봇(pivot)을 할 수 있다. 가장 유명한 클라이언트인 라임와이어는 전체 P2P 클라이언트 시장 점유율의 1/3 이상을 차지하고 있으며, 전체 컴퓨터의 18% 이상에 설치된 것으로 공식 집계되었다. 그 외 폭넓은 설치기반을 갖춘 클라이언트 소프트웨어로는 카짜(Kazaa), 모페우스(Morpheus), 소울시크(Soulseek) 등이 있다.

절도·사기 등 악의적 이용
라임와이어의 기본 버전은 무료지만 라임와이어 프로를 구입했는데, 그 이유는 이것이 더 많은 서버 접속을 허용하고, 이는 곧 더 적은 시간에 더 많은 결과를 준다는 뜻이기 때문이다. 물론 좋은 검색어를 선택하는 게 필수다. 그누텔라는 파일명 검색만 지원하기 때문에 찾는 파일의 내용보다는 그 이름을 사람들이 어떻게 지었을지를 생각해야만 했다. ‘감사’, ‘RFP’, ‘제안서’, ‘의사록’ 같은 검색어 목록을 모아 놓고 검색 부문을 ‘문서’로 한정시킴으로써 미디어 파일들에 묻혀버리지 않게 했다.
‘감사’로 검색하자 약 20개의 결과가 나왔지만 어떤 것도 가능성이 없어 보였기 때문에 라임와이어의 접속 탭을 이용해 접속돼 있는 모든 서버를 제거함으로써 라임와이어가 다른 서버로 재접속하게 했다. 그누텔라는 공유 파일의 목록을 만드는 중앙 서버가 없고 모든 클라이언트가 하나의 서버이기도 하다는 점에서 독특하다. 한 세트의 서버로 검색한 데서 원하는 결과가 나오지 않을 때는 다른 서버로 시도해 볼 수 있으며, 덕분에 네트워크에 있는 파일들의 다양한 뷰가 제공된다.
그런 다음 ‘더 찾기’를 클릭해서 가능성 있는 이름, 즉 ‘내부 감사 계획’의 파일을 발견했다. 여기서 바로 라임와이어의 ‘호스트 브라우징(Browse Host)’ 버튼의 진정한 힘이 발휘되는데, 이를통해 그 컴퓨터가 공유하고 있는 모든 파일을 조사해 볼 수 있었다. 그 결과 이곳은 정말 나쁜 음악들 몇몇과 함께 문서들이 가득한 보고라는 사실이 드러났다. 언뜻 보기에 큰 회계 사무소의 컨설턴트가 사용하는 컴퓨터 같았다. 여기에는 내부 감사 계획서들 외에도 몇 가지 계약서와 내부 심사 과정에서의 인터뷰 기록들, 그리고 회사의 재무 성과에 대한 것들도 포함돼 있었다.
금새 찾아온 성공에 들떠 나는 다른 검색어도 시도해 보았으며, 하이 스쿨 뮤지컬이나 폴 아웃 보이 같은 꼬리들로 가득한 수십 대의 컴퓨터를 거쳐 갔다. 검색이 가져다 주는 각의 파일을 호스팅하는 컴퓨터의 IP 주소를 보여주는 라임와이어는 미국 사회보장 번호에 대한 결과 페이지를 보여주었는데, 이들의 IP 주소가 모두 같았다. 이것은 ‘호스트 브라우징’을 이용해 발견한 은행 패스워드와 신용카드 번호, 에퀴팩스 신용 보고서 라벨이 붙은 수십 개의 파일들과 약간의 납세 신고서가 있는 광맥이라고 할 수 있다.
소위 정보 컨센트레이터(information concentrator)라는 사람을 만난 것이다. 이들은 바로 내가 하고 있던 것 같은 짓을 하는 사람들이다. 즉 개인 데이터가 있는 파일을 찾아 P2P 네트워크를 돌아다닌다. 하지만 이들의 의도는 훨씬 더 사악하며 보통은 신원정보 절도가 목적인 경우가 많다. 이런 사람들은 자신이 발견한 기밀 정보를 부주의하게 다루어 자신의 희생자가 했던 것처럼 P2P로 똑같은 실수를 하는 경우가 대부분 이다.

데이터의 광맥 ‘P2P’
기술을 터득해가면서 점차 신뢰할 만한 결과를 얻게 됐다. 검색어 ‘의사록’에서는 주 정당의 고위 관직자 컴퓨터 같이 보이는 곳으로 가게 됐는데, 이 컴퓨터에는 의원들의 집 전화와 휴대전화 번호, 기밀 회의 기록, 그리고 자금 조성안 등의 파일들이 들어 있었다.
한 가축 병원 컴퓨터에는 애완동물과 이들 주인의 빌링 정보가 들어 있었다. 한 병원 사무국에서는 환자의 이름과 함께 이들의 HIV와 이들의 간염 정보가 들어 있는 스프레드시트가 보였다. 휴가 사진들 사이에서 이력서 더미들이 발견되는가 하면, 골치아픈 이혼과 관련된 법정 문서들이 가득찬 컴퓨터도 있었다.
이런 모든 것들 사이에서 모범적인 사례도 등장했다. 어떤 사람은 디자인 명세서와 의류 주문서를 공유하고 있었는데, 각각에는 디자인을 주문한 대형 소매업체의 라벨이 붙어 있었으며 그 주문과 관련된 공급업체와 공장들간의 통신 기록들도 보관돼 있었다.
또 어떤 사람은 셀 타워 컨설팅 회사 소유주인 듯, 내 앞에는 사이트 설문조사와 몇몇 국내 전화회사들에 대한 다양한 타워 위치의 가능성 조사 파일들이 펼쳐졌다. 마음만 먹으면 아마 적합한 대체 로케이션이 없는 곳을 미리 샀다가 전화 회사에 비싼 값을 부를 수도 있을 것이다.
몇몇 정부 기관을 대상으로 작업 중인 한 소형 컨설팅 회사의 RFP와 입찰서를 찾은 후 충격을 받았다. 대부분의 큰 회사들은 데이터 누출을 막을 만한 보안 방안을 마련해 두고 있지만 이들은 여러 소형 공급업체나 파트너와 일을 하며, 이들에게 기밀 데이터를 맡긴다. 그리고 이들 대부분은 이런 작은 업체들이며 아마도 IT 지원이나 공식적인 보안 정책이 없을 것이기 때문에 큰 회사의 데이터를 누출시키기 십상이다.
짧은 시간에 간단한 툴로 찾을 수 있었던 것들로 미뤄 볼 때 P2P 네트워크 중요한 회사 데이터의 광맥이 있다는 사실은 확실하다. 회사에서는 자사의 컴퓨터와 네트워크에 대한 강력한 정책과 방어책을 이행해야 할 뿐만 아니라, 파트너와 공급업체의 가정과 현장에 있는 직원들이 사용하는 것들까지 신경써야 할 것이다.

P2P 데이터 노출 테스트하기
야생에 던져진 회사 데이터를 검색하려면 라임와이어를 이용해
다음과 같이 단계별로 접근해 보라

1.중요한 파일 이름에서 키워드 목록을 만들어라. 전문적일수록 좋으며, 그 업계나 회사 고유의 특수용어면 이상적이다.

2. 검색 문구를 짧게 유지하고(라임와이어에서는 30글자로 제한하고 있다) 미디어 파일로 넘쳐나지 않도록 문서만 검색하라.

3. 기밀 데이터를 공유하고 있는 것은 아닌지 확인하려면 Tools > Options > Sharing으로 들어가라. 물론 보다 안전한 것은 데이터가 전혀 없는 VM에서 라임와이어를 돌리는 것이다.

4. 일단 자기 회사에 속한 것처럼 보이는 파일을 찾으면 이것을 선택하고 호스트 브라우징을 택해서 사용자가 공유하고 있는 다른 파일을 조사하라. IP 주소를 기록해 두면 다음에 그 사용자를 추적할 수 있다.

5. 검색 후에는 서버 탭에 있는 모든 목록을 선택해서 삭제 버튼을 클릭하라. 기존의 접속들이 끊어지고 다른 서버가 추가된다. 그런 다음 검색 탭에서 오른쪽을 클릭하고 More > Get More Results를 선택하면 확장 검색을 할 수 있다. 이것을 수 차례 반복함으로써 보다 폭넓은 검색이 가능해진다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.