KAIST教授警告:对检查通关的执念而非真正的安全,正在助长黑客攻击的恶性循环
韩国正遭受着一波网络攻击的冲击,数百万人个人信息遭泄露,举国对数字防御体系的信心摇摇欲坠。电信巨头SK电信与KT相继沦陷,乐天信用卡、电商平台Yes24接连中招——这个曾被奉为全球IT标杆的国度,暴露出根深蒂固的安全隐患。
系列事件引爆舆论海啸:加强监管!严惩企业!重构关键基础设施防护体系!但核心谜题仍未解开:为何漏洞屡修不止?企业究竟该如何破局?
为探寻答案,《韩国先驱报》独家对话韩国科学技术院(KAIST)信息安保研究生院金容大特聘教授,直指韩国黑客顽疾的病灶与解药。
问:大企业接连被黑引发全民震动,为何它们反复沦为靶子?
攻击手段虽花样翻新,病根始终如一:资产管控失明+账户管理溃堤。老旧系统因“尚能运转”持续带病上岗,企业不愿断更赚钱业务进行系统升级,导致新旧基建层层堆叠。数字资产如野草疯长,安全团队却追不上扩张速度。没有清晰的资产清单与升级路线图,漏洞自然堆积成山。
更致命的是,人员流动或外包合同终止后,服务器运行知识随之蒸发。明码密码、僵尸账户就此成为黑客的温床。
尽管科技部在SK事件报告中强调应急响应薄弱与加密不足,但我认为数字资产管理缺失才是元凶,账户管理松懈紧随其后。
问:韩国监管模式是否也是帮凶?
正是!现行法规常迫使企业为通关认证而采购特定工具,却无视深层架构缺陷。安全合规沦为采购任务,企业盖章后便将漏洞抛诸脑后。更荒谬的是强制使用指定工具的政策——这催生了“低价中标”的畸形市场。企业只会选择最便宜的合规方案,而非真正提升安全的利器。
此外,韩国互联网振兴院的渗透测试工具完全公开,黑客可下载扫描、量身定制攻击方案。现实中,拥有数千服务器的企业仅靠单次KISA扫描就能“通关”,大部分基础设施实则门户大开。
这些政策让企业把网络安全当作打勾任务。曾有KISA官员主动上门为某知名路由器厂商讲解漏洞,竟遭闭门羹,事后厂商连补丁都拒绝安装。
问:银行税务系统要求安装客户端与数字证书,为何仍防不住黑客?
因为这些防护依赖于脆弱的客户端机制。数字证书与插件仅在软件运行时起效,但普通人每年仅登录银行网站一两次,极易错过更新。企业应将防护移至服务器与网络层,通过浏览器实现中央监控,建立清晰资产清单与流量基线,才能精准捕捉异常行为。
问:政策如何倒逼企业真正重视安全?
美国经验值得借鉴。法律不强制安装特定软件,而是通过激励引导企业加入安全强化计划。美国网络安全局推行“网络卫生计划”,定期扫描全国暴露IP并通知企业修复漏洞——当警告接踵而至,企业自会行动。
漏洞披露政策则开辟合法上报通道,让企业能按优先级打补丁。研究者受保护,企业获预警,实现双赢。
采购环节更是重拳出击:美国政府供应商须提交长篇报告证明产品“设计即安全”“默认即安全”。缺陷过多者面临召回或巨额赏金索赔——这种财务风险迫使厂商从源头植入安全基因。
韩国至少应对政府供应商实施同等标准,要求产品通过安全验证并制定入侵应对预案。食品安全尚需强制检测,网络安全岂能降格?
目前KISA运营国家漏洞赏金计划,三星、Naver等企业也自建赏金体系。
问:韩国政府层面亟需哪些变革?
需建立类似美国CISA的网络安全总指挥部。当前权责碎片化:SK电信遇袭由科技部牵头,但攻击源至今成谜。若发现是朝鲜所为,国情院是否事后介入?加密货币被盗案该归金融监管部门还是企业自身?这种条块分割体制下,全面提升安全标准举步维艰。
网络安全攸关国本,应探讨设立“网络重大事故法”——让CEO为导致大规模数据泄露或严重损失的黑客事件承担刑责,如同对重大生产安全事故负责。但仅靠惩罚不够,政府需逐步指导企业整改。否则企业只会砸钱采购海外硬件假装进步。我们需要精准投资,而非盲目烧钱。
问:AI将如何改变安全格局?
AI终将发挥作用,但现有漏洞已足够致命。未打补丁的服务器、失控的账户、走过场的审计——这些基础防护失守为攻击者敞开后门。在解决根本问题前,AI并非最紧迫的威胁。
“飞蛾实验室”的破界之路
金教授的实验室因追逐高风险创新理念被称作“飞蛾实验室”,在国际舞台屡获认可。2012年他发表论文揭示恶意电磁波可干扰心脏起搏器,一战成名。此后连续发布轰动学界的颠覆性研究:声波击落无人机、自动驾驶激光雷达致盲术、伪造障碍物欺骗自动驾驶系统等。
金容大现任KAIST特聘教授,同时出任SK电信安全创新委员会委员——该委员会正是在该公司遭遇黑客攻击后紧急成立。
暂无评论
发表评论