20221222_연습서버라도 비번 설정을 잘하자

1. 상황

 

한국인터넷진흥원에서 회사로 메일이 날라왔다.

 

우리 회사 아이피 중에 몇개의 포트에서 로그인 비번이 취약하여 개인정보 유출이 우려된다는 것이였다.

 

내가 회사 내부에서 연습용으로 만든 Linux 서버들이였다...

 

배포용 서버의 SSH, DB서버의 SSH의 비번을 너무 쉽게 했던 것이였다.

 

예전에 연습용으로 개발서버의 DB를 Dump했던적이 있던터라 가슴이 철렁했다.

 

멘탈이 터졌다... 왜 그랬을까...

 

다행히 조사결과

 

1) Dump를 하려고 했었지만, 용량이 너무커서 주요 테이블은 덤프 실패, 스키마만 덤프가 됬거나, 개인정보가 없는 아주 작은 테이블에만 정보가 있었다.

 

2)개발DB 덤프였던터라, 털리더라도 직원들의 정보였다.(물론 이것도 개인정보...)

 

3)어플리캐이션 정책상 서버에 개인정보를 보유하지 않고, 암호화되있거나 몇개의 이메일만 존재했을 뿐이였다.

 

4)다행히 DB로 연결하는 포트(3306)는 단순하지 않은 비번으로 했었다.

 

5)다행히 어플리캐이션 배포 서버에도 해당 어플리케이션은 삭제를 해버려 존재하지 않았고 개인연습용으로만 만든 DB들만 존재했다.

 

 

 

2. 원인 

 

공부,연습 으로 하는거였어서 비번 설정이 귀찮고 까먹을까봐 대충 설정을 해놓았었다.

 

그리고 putty같은 프로그램으로 한번 연결 설정을 해놓고 까먹고 있었다.

 

아무래도 자주 연결을 하지 않다보니 까먹을거라 생각했고, 까먹으면 다시 설치해야하니 귀찮았었던 모양이다.

 

그래서인지 DB같은 경우, 자주 connection을 설정해줘야 하다보니 복잡한 문자열을 사용하고 있었다.

 

 

3.앞으로 어떻게?

 

당연한 것이지만, 비번을 습관처럼 해서는 안되겠다.

 

재설치를 하는 한이 있어도 단순하게 하지 말자.

 

그리고 중요정보는 아날로그로 해야겠다.

 

핵무기 암호파일이 플로피디스켓에 있다는 말을 들었다.

 

일본 유명 로보트 제조회사도 보안을 위해서, 생산을 제외한 모든 절차를 아날로그로 바꿨다.

 

그래서 나도 비밀번호를 까먹을 수 있으니 이것들은 수첩에 적어 놓기로 했다.

 

그래서 바로 문구점에 달려가서 계정정보 수첩을 샀다...

 

이 일로 안일했던 나의 보안정신을 일께워 줬다.....