[2017년 전망, 금융 IT Innovation 컨퍼런스] 고도화 되어가는 사이버 위협환경에 2017년 IT 대응전략은?

현장속으로 2016.12.31 14:50

출처 : http://seminar.ddaily.co.kr/seminar21/

<디지털 데일리 컨퍼런스 소개 페이지 메인>

 

 

지난 12월 15일(목) 오전 9시 10분부터 오후 5시 20분까지 약 8시간 동안 서울 중구에 위치한 서울 플라자호텔 그랜드볼룸에서 인터넷 IT 언론지 디지털데일리가 [2017년 전망, 금융 IT Innovation]을 주제로 제12회 컨퍼런스를 개최했다. 핵심주제로 '금융서비스 고도화 시대와 효율적인 IT 대응전략'으로 정해 금융권의 최신관심사를 중심으로 논의할 계획이라고 밝혔다. 또한, 2017년 금융감독 방향과 금융서비스의 질적 성장을 위해 디지털라이제이션, 클라우드, 빅데이터, 차세대시스템 플랫폼 등 최신 금융 IT 트렌드를 기업 간 공유하고, 폭넓은 마케팅 기회의 장으로 마련하고자 주최했다.

 



행사에 참여한 국내외 기업들의 전시부스는 발표장에 들어서는 복도에 나란히 마련되어있었다. 전시부스에서는 기업에서 가져온 금융IT 기술 전시하고 시연 영상을 보여주는 등 금융 IT 종사자들을 끌어모았다. 종사자들의 질의에 대답해주며 설문조사를 진행하는 등 다양한 활동이 이루어졌고 복도는 그야말로 금융 IT 소통의 장소가 되었다. 

 


[클라우드 정보보호 컨설팅 수행 전략] - 안랩 장진섭 책임

 

 

안랩에서는 클라우드 정보보호 컨설팅을 주제료 발표했다. 클라우드 보안 위협은 데이터, 시스템/네트워크, 관리적 위협으로 분류하고 Gartner와 RSA 그리고 CSA 곳에서 실제로 발표한 취약점을 세부 위협항목으로 식별하게 된다. 클라우드 보안위협 환경에서는 기존에 있던 보안 위협과 클라우드 환경에 특성화된 위협이 존재한다. 그리고 클라우드 서비스는 제 3자가 제공하는 클라우딩 자원을 사용하고 자원을 자신이 통제하지 못하기 때문에 클라우드 서비스 제공자로부터 발생하는 관리적인 위협과 클라우드에 관한 법령 및 규정 준수가 위협으로 다가오고있다.

클라우드 보안 사고·사례를 보면 클라우드 서비스의 멀티테넌시의 특성으로 인한 관리 부주의, 고객정보 집중화로 인한 대규모 서비스 장애 그리고 클라우드 서비스 악용 및 해킹, 외부적으로 DDoS 공격으로 유형을 분류할 수 있다. 실제로 이렇게 발생하는 클라우드 보안 사고·사례를 방지하기 위해서 클라우드 인증에 대한 제도들이 개발되고 운용되고 있다.

국외 클라우드 정보보호 인증제도

국외 클라우드 인증제도는 클라우드 서비스를 제공하는 Provider, 클라우드 서비스를 사용하는 Customer 모두 적용대상이다. 적용되는 클라우드 서비스 모델은 하드웨어 자원을 제공해주는 IaaS(Infrastructure as a Service), 소프트웨어 개발을 위한 플랫폼을 제공하는 PaaS(Platform as a Service), 클라우드 환경에 동작하는 응용프로그램을 제공하는 SaaS(Software as a Service)이다. 클라우드 정보보호에 적용되는 국외 클라우드 인증은 ISO27017과 CSA(Cloud Security Alliance) STAR가 있다. 클라우드 개인정보보호 관련 인증으로는 ISO27018과 금융 관련 클라우드 인증제도로 PCI-DSS가 존재한다. 

국내 클라우드 정보보호 인증제도

국내 클라우드 정보보호 인증제도는 클라우드 발전법을 기준으로 시작되었다. 국내 공공 클라우드 인증제도의 적용대상은 IaaS 민간사업자 대상으로 운용되고 있다. 클라우드 모델의 경우 IaaS로 적용되는 클라우드 서비스 모델 하나이다. 클라우드 정보보호 인증을 받기 위한 조항이 존재하는데 국외 인증제도인 ‘ISO27017’과 유사한 14개의 조항을 가지고 있다. 이 조항 중에 14번째 조항인 공공기관에 특화된 조약을 통과하기 가장 어렵다. 14번째 조항을 통과하기 위해선 물리적 망분리가 요구된다. 즉, 민간과 공공기관은 별개의 클라우드 시스템이 구축되어야만 인증을 받을 수 있다. 

ASEM 안랩의 독자적 정보보호 컨설팅 방법론

클라우드에 관련된 모델 특성들을 분석하고 발생할 수 있는 리스크를 식별해 이에 맞는 대책을 제시하는 것이 클라우드 정보보호 컨설팅이다.
클라우드 구축모델인 Public, Private/Community, Hybrid를 기준으로 실질적인 특성을 분석한다. 그리고 클라우드 서비스 모델이 IaaS,PaaS,SaaS 중 무엇인지 파악한다. 클라우드 구축과 서비스모델에 따라서 통제항목에서 요구되는 사항이 달라지기 때문에 클라우드 모델을 분석한 후 보안위협에 맞추어 COMPLIANCE 모델을 적용해야 한다. 실제로 클라우드 구축모델과 서비스모델을 분석하고 취약점을 찾고 발생할 수 있는 리스크를 분석하는 것이 클라우드 컨설팅의 핵심이다.

안랩은 클라우드 컨설팅을 위해서 독자적인 방법론인 ASEM(AhnLab Security Engineering Method)을 적용했다. ASEM은 계획수립-위험분석-대책수립-구현/관리로 구성된 방법론이다. ASEM 방법론을 통해서 AhnLab은 안랩 클라우드 정보보호 컨설팅 서비스를 실시했다.
클라우드에 리스크를 식별 및 평가하고 보안대책을 수립을 통해 안전한 클라우드의 이용과 제공에 기여한다. 클라우드 모델·유형별 IT 현황분석, 보안 취약점, 위협, 위험분석을 수행하고 보안대책을 수립하는 특징을 가지고 있다. 주요서비스로 Compliance, 정보보호인증, 모의해킹 및 시스템진단이 있다. 

안랩 클라우드 컨설팅 프로젝트는 다양한 클라우드 모델과 유형을 분석 - 관리적/기술적 취약점 진단 - 위험분석 - 보호 대책수립 순으로 수행된다. 특별히 위험분석은 비대칭적으로 수행하게 된다. 위험을 식별하고 위험처리전략을 세우게 된다. 예를 들어 클라우드를 구축을 도입하는 부분에서 너무 리스크가 크고 법률적이 문제가 크게 되면 위험을 회피하는 전략을 수립한다. 즉, 기존의 클라우드 모델을 차용하지 않고 다른 클라우드 모델을 이용하면서 위험을 회피하는 전략이다. 하지만 이 위험을 감수할 수 있다면 여러 가지 보안통제를 통해서 위험을 감소하는 전략을 수립한다.

 

 

[마치며...]

<컨퍼런스 발표장 그랜드볼룸>

 

많은 IT발전으로 금융 서비스는 우리의 삶속에 편리하게 다가와 인터넷을 통한 간편결제 및 은행업무가 가능하고 디지털 서명으로 서류가 아닌 IT 기기만으로 계약서를 장석하는 등 다양한 플랫폼으로 고도화된 금융 서비스를 제공했다. 이에 따른 지능적이고 고도화된 표적공격, 랜섬웨어, 신종 악성코드 같은 요소가 막대하게 증가하는 환경으로  대책을 수립해야한다. 따라서 IT 보안환경에 대해 개인과 기업, 국가적인 측면에서 관심을 가지고 안전하고 편리한 금융 IT시대를 준비해야 할 것 같다.



신고

국내 최초 정보보호학과 순천향대 3대 동아리

순천향대 정보보호학과에는 작지만 힘 있는 3개의 정보보호 학술 동아리가 있다. 2001년 국내최초 학과과정으로 정보보호학과가 세워진 이후, 올해로 13년을 맞은 보안 동아리 Security First부터 하드웨어 보안 및 임베디드를 연구하는 CQRE, 보안 응용기술을 연구하는 정보보호 응용 연구회 LOGOS가 있다. 보안에 대한 각자의 주제를 가지고 있는 세 동아리를 차례로 방문했다.

보안이 최우선, "SecurityFirst"

SecurityFirst는 2001년 3월 27일 염흥열 교수 지도 하에 학부생들이 주축이 되어 생겨난 학술동아리다. "보안이 최우선"이라는 슬로건으로 활동하고 있으며, 주로 보안의 기술적인 부분을 공부하고 있다. 다양한 해킹대회 참가 및 KUCIS, PADOCON과 같은 활발한 대외활동으로 이름을 알리고 있는 SecurityFirst의 운영진과 인터뷰를 해보았다.

- 어떤 활동을 하고 있나요

SecurityFirst는 6명의 운영진과 55명의 회원이 활동하고 있으며 모든 회원은 하나의 팀에 속하여 활동하게 됩니다. 현재는 Windows Reverse, Web, Linux System, Android Kernel을 공부하는 4개의 팀으로 구성되어 매주 1회 세미나와 별도의 팀 세미나를 진행하고 있습니다. 대외적으로는 대학 정보보호 동아리 연합회(KUCIS)와 PAraDOx CONference(PADOCON)에서 활동하고 있으며, 각종 컨퍼런스에 발표하며 참여합니다. 

- SecurityFirst의 강점

무엇보다 한국 인터넷진흥원(KISA)의 대학 정보보호동아리연합회(KUCIS)에 지속적으로 지원을 받고, 우수동아리 수상을 손으로 꼽을 것입니다. 그 만큼 동아리의 활동을 인정받는 것이니까요. 또한 회원들의 노력으로 얻은 다양한 수상 경력 또한 SecurityFIrst의 큰 자랑거리입니다.

2002. KUCIS 대학 지원사업 선정

2005. 제 2회 해킹방어대회 금상

2006. 제 2회 공개웹S/W 취약점찾기 동상, 제 3회 해킹방어대회 특별상, 공군본부 정보기술 실무교육 해킹 시연

2007. 제 4회 해킹방어대회 금상, 국방 정보보호 컨퍼런스 해킹 시연

2009. 국방 정보보호 컨퍼런스, 해병대 사령부 해킹 시연

2010. 정보보호 인력채용 사이트 아이핀 환경 구성, 제 5회 S/W 보안취약점 찾기 우수상, 장려상

2011. ISEC CTF 본선 5위, 제 1회 POC 여성해킹방어대회 1위

2012. EBS 다큐프라임 '불멸의 기록, 당신은 사라지지 않는다' 촬영, 해병대 사령부 해킹 시연

하드웨어 보안 및 임베디드시스템 연구, "CQRE"

CQRE는 Secure Embedded라는 의미로 2004년 임강빈 교수 지도 아래 만들어졌다. 대학원 연구실과 학부생으로 이루어져 있으며, 학부생은 보안에 필요한 기초적인 이론과 실무적인 부분을 함께 공부한다. 교내 융합형 정보보호 설계 경진대회에 매 년 출전하며, 기업체 간의 공통 과제를 수행하면서 경험을 쌓고 있는 CQRE를 살펴보았다.


- 임베디드 시스템이 무엇인가요?
전자장치의 두뇌 역할을 하는 마이크로 프로세서를 장착해 제어할 수 있도록 기기에 내장(Embedded)형태의 장치를 이용한 시스템을 말합니다. 

- 어떻게 활동하고 있나요?

학부생은 네트워크, 포렌식, 모바일 악성코드 분석, 리버싱에 대해 공부하며, 각 주제에 대해 팀을 결성하고 연구한다. 주로 보안USB나 임베디드(ARM CPU)와 같은 하드웨어 보안 중심의 공부를 합니다. 

팀 활동 이외에도 외국(인도네시아 ITB Univ.) 학교 학생들과 함께 융합형 Capstone경진대회에 출전합니다.

- CQRE의 강점

순천향대 공과대 Capstone 경진대회에서 역공학 방지 솔루션으로 최우수, OTP(One Time Pad)를 이용한 USB사용자 인증부문에서 동상을 수상했을 정도로 학부생들의 열정이 대단합니다.

히 KT, LG CNS, 링크로드와 같은 기업과 연계가 잘 되어있어, 각종 특정 업무를 수행하는 시스템 및 서버를 구축하기도 했으며 현재는 임베디드 시스템 보안을 위한 초소형 방화벽 설계와 보안 USB 하드웨어 분석도구 설계 등 각종 지원을 받아 연구에 몰두하고 있습니다.  CQRE 출신 졸업생들은 Ahnlab, A3 Security, 윈스테크넷 등 보안업체에서 근무하고 있습니다.


보안 응용기술을 연구하는 정보보호 응용 연구회, "LOGOS"

사물에 대해 '무엇인가'를 파악하는 인간의 분별, 이성을 의미하는 LOGOS는 2010년 곽진 교수 지도하에 정보보호학을 전공하는 학생들로 구성되어있다. 특히나 대학원 정보보호응용 및 보증연구실[ISAA]와 연계하여 세미나 및 프로젝트를 진행하며, 열린 마음과 적극적인 선후배관계를 통해 정보보호 분야에서는 항상 최고라는 자부심을 가지고 있는 LOGOS를 취재해보았다.

- 공부하는 분야와 활동 소개?

LOGOS는 정보보호응용에 대한 연구 이외에도 학술대회에 논문을 투고하고, 신기술 동향분석 및 최신 해외 기술문서를 번역합니다. 이외에도 정보보호 응용과 관련된 특허를 보유하고 있으며 여러 사업에 참가하여 많은 실적을 내고 있습니다. 

- LOGOS의 강점

정보보호와 관련된 이론적인 부분 뿐만 아니라 실무에서 필요로하는 실용적을 다루고 있습니다. 클라우딩 컴퓨팅과 프로그래밍, 웹 보안을 기초로 한 연구를 하고 있으며 무엇보다 지속적인 졸업생과의 교류로 탄탄한 커뮤니티를 구축하고 있는 것 역시 LOGOS의 강점이라 할 수 있습니다.

2010. 정보보호응용 연구회 신설, 정보기술융합 혁신 아이디어 및 창업아이템 공모전 우수상, 장려상

2011. 한이음 IT멘토링 팀 프로젝트 선정, 순천향대학교 학술제 금상, 은상

2012. 한국 과학기술단체 이공계 과학기술동아리 지원 선정, 제7회 금융정보보호 공모전 장려상

 국가암호기술 공모전 특별상, 한국 정보보호학회 학술대회 발표 및 포스트세션

2013. 한국 과학기술단체 이공계동아리 지원 선정



매년 7월, 이 세 동아리는 SecurityFirst를 주축으로 CQRE, LOGOS가 힘을 합하여 청소년을 대상으로 정보보호 페스티벌 문제를 출제하고 있다.

대회는 온라인으로 36시간 예선이 치뤄지며 이 중 상위 10명을 뽑아 본선을 치룬다. 2012년에는 예선에 80명이 참가했으며 웹, 네트워크, 리버싱, 포렌식, 포너블 등을 기초로 한 문제가 출제된다. 우승자에게는 행정안전부 장관상이 주어지고 있어 많은 청소년들의 이목을 끌고있다. 올해로 11회를 맞고 있는 청소년 정보보호 페스티벌은 많은 호기심 많은 학생들과 숨은 실력자들이 나타나고 있고, 재학생들은 문제를 출제하고 운영하면서 실력을 키우고 있다.

실제로 순천향대 정보보호학과 재학생 중의 60%이상이 보안동아리 활동을 하고있다. 신입생들은 각 동아리에서 보안기초지식을 쌓으며 보안에 대한 꿈을 키우고, 재학생들은 한걸음 더 다가가 다양한 관점의 선택의 폭을 가지고 공부하고 있다. 

각 동아리마다 뚜렷한 개성을 지니고 있고 보안에 대한 열정을 꽃피우고 있는 SecurityFirst, CQRE, LOGOS의 노력과 발전이 지속된다면 정보보호 동아리의 미래는 밝을 것으로 기대된다. Ahn



대학생기자 이수진 / 순천향대 정보보호학과


그럴 만한 가치가 있는 사람이 되자!

언젠가 제 일에 대하여 대가를 얻을 때, 

"저 사람은 그럴 만한 가치가 있는 사람이야."

라는 말이 아깝지 않을 만큼 스스로를 성장시키겠습니다.



신고

데프콘 점령 꿈꾸는 경기대 보안 동아리 K.knock

K.knock는 2009년도에 학생들의 손으로 창립해 현재 경기대 침해사고대응팀(CERT)으로 활동하는 정보보안 동아리이다. 동아리 이름인 <K.knock>은 경기대학교라는 큰 틀에 모인 학생들이 정보보안 분야를 '두드린다'는 뜻에서 만들어진 이름이다. 

그 이름에 걸맞게 정보보안에 관심 있는 44명의 다양한 학과, 전공을 가진 구성원이 활발하게 활동하고 있다.

경기대 정보보호 동아리 K.knock 회원들

K.knock이 주로 하는 일은 웹, 시스템, 네트워크 보안, 리버스 엔지니어링, 크립토그래피(Cryptograghy) 등의 해킹기술 연구를 비롯해 코드게이트, 데프콘, HUST 해킹 페스티벌 등의 해킹대회 참여, 경기대학교 침해사고대응팀(CERT)으로서 모의해킹, 관련 분야 스터디까지 다양하다. 이뿐 아니라 지도교수인 컴퓨터과학과 김희열 교수의 지원 아래 정기적으로 보안 세미나를 진행한다.  


K.knock의 화려한 수상 이력

2009년 동아리 창단 이래로 다양한 수상이력이 눈에 띈다. 그 중 작년 11월 서울교육문화회관에서 개최된 여성 해커들을 위한 해킹 대회 ‘Power of XX’ 금상의 성적이다. 제 7회 국제 해킹·보안 컨퍼런스 POC2012 이벤트의 하나로 진행되었던 이 대회는 여성 해커가 실력이 낮다는 오해와 선입견을 없애고, 여성 해커 양성의 초석을 다지기 위해 마련된 대회이다. 대부분 학교에 보안동아리라 하면 공과계열이니 남자들이 많을 것이다, 실력은 남자들이 좋을 것이다라는 선입견을 가지고 있다. 하지만 이러한 수상 이력을 보면 경기대학교 정보보안 동아리가 어떤 동아리인지 짐작할 수 있다.


#인터뷰 - K.knock 리더 김낙현

- 개인적으로 동아리 안에서 가장 뿌듯하다고 느꼈을 때

코드게이트 대회 기간 중에 정말 안 풀리는 문제가 있었는데 동아리원끼리 머리를 모아 서로의 부족한 점을 보안해 문제를 풀었을 때가 정말 뿌듯했다. 개개인으로서는 절대 풀 수 없었지만 동아리라서 가능했던 일인 것 같다.

- 동아리를 하면서 기억에 남는 에피소드

2012년 여름에 K.knock에서 안랩을 견학할 기회가 있어서 7~8명 정도가 방문했던 게 생각난다. 회사에 한 번도 들어가본 적이 없는 나로서는 정말 신기한 경험이었다. 먼저 우리를 안내해주시는 분이 정말 친절했다. 그분의 성함은 기억이 나지 않지만 DDoS 공격 때 힘들게 밤샘 작업을 한 분이라는 것은 기억이 난다. 기억에 남는 것은 친절한 사람들뿐 아니라 회사 시설에도 있었는데 회사로 들어갈 때 사원증이 있어야만 열리는 문과 안마의자, 복도에 있는 축구 게임기, 회사 2층에 있는 커피숍과 회사 내부에 헬스장이 있는 게 정말 신기했고 무엇보다도 직원들의 이름이 나무 나이테 형식으로 새겨진 통 유리벽이 가장 인상 깊었다.

- 일반 동아리원에서 동아리 회장까지

2008년 내가 입학했을 때는 경기대학교에 보안 동아리는 없었다. 하지만 군대 전역을 하고 전공 수업을 듣다가 경기대학교에 보안동아리 K.knock이 있다는 것을 알게 되었다. 1학년 때부터 보안에 관심을 가지고 있던 나는 좋은 기회라고 생각하고 아무것도 모른 상태에서 단지 열정 하나만 가지고 동아리에 들어왔다. 그렇게 1년 동안 열심히 하다보니 회장의 중책까지 맡게 되었다. 동아리 활동을 하면서 열정 하나만 가지고 있다면 어떤 시련과 고난이 있어도 극복할 수 있고 재미있을 수 있다고 생각한다.

- 앞으로의 계획

동아리가 만들어진 지는 얼마 되지 않았지만 더욱 더 많은 활동으로 여러 분야에서 두각을 보이며 각종 대회, 특히 데프콘에서 입상하는 것이다. Ahn


대학생기자 김대희 /  경기대 컴퓨터과학과

   

신고

역동적 에너지 가진 서울여대 보안 동아리

SWING은 1996년 당시 전산과학과 20명의 학생과 김명주 교수가 함께 만든 정보보호 동아리이다. 처음에는 인터넷 동아리로 출발하였지만, 인터넷이 대중화함에 따라 특화할 필요성이 있어 보안을 테마로 잡고 본격적인 SWING 활동을 시작하였다.




SWING(Seoul Women's university InterNet&security Group)의 약자이며 단어의 뜻처럼 '역동적인 에너지'를 가지고 정보보호 공부를 하겠다는 의미이다. 현재 32명이 활동 중이며 19년의 전통을 가진 만큼 졸업생 또한 많은 분야로 진출해 있다. 


SWING은 KUCIS(전국대학 보안동아리 연합회)와 U.U.U(전국대학 CERT 연합회)에도 가입해 활동 중이다. 또한 한국정보보호진흥원 주관 정보보호우수동아리 장려상(2010년), 한국인터넷진흥원 주최 제5회 SW 취약점 찾기 대회 우수상(2011년), 2010~2012년 우수소학회 선정 등 많은 수상 이력을 자랑한다.


다양한 세미나와 외부활동으로 크게 이름을 알리고 있는 SWING을 만나러 갔다. 도착한 때는 매주 화요일에 열리는 정기 회의와 세미나 시간. 조용히 사진 촬영을 한 후 회장과 대화를 나눌 수 있었다. 이 날은 웹 보안과 C언어 등을 공부하고, 코딩과 취약점 분석 등을 실제로 해보는 등의 스터디를 하고 있었다. 


SWING의 세미나 모습

 


요즘 하는 스터디 내용과 운영 방식은?

지금까지는 기수 별 스터디로 학기 중과 방학 중 주제를 정하여 운영해 왔지만, 이번 2013년 1학기부터는 1,2,3학년이 모두 모여 진행을 해요. 매주 화요일은 C언어 기초, 수요일은 Web, 목요일은 C언어 심화 내용의 스터디를 진행하고 홈페이지 게시판을 이용해 최신 보안 뉴스를 스크랩하는 스터디도 운영을 하고 있어요. 그 외에도 지금 기수인 19기는  KUCIS의 프로젝트를 진행 중이며, U.U.U의 하반기 프로젝트 또한 진행할 예정이에요.



△ SWING의 세미나 모습


여대 정보보호 동아리의 장점과 단점은? 

먼저, 장점으로는 아무래도 여자로만 이루어져 있다보니 섬세함과 꼼꼼함에서 좀 더 큰 메리트가 있는것 같아요. 보안 분야에서는 섬세함과 꼼꼼함을 요구하는 경우가 많은데, 예를 들어 정보보호관리체계(ISMS) 인증 심사원, 정보보호관리체계 범위 설정, 수립 등에서 큰 장점을 발휘하는 것 같아요. 하지만, 아무래도 남자 멤버가 없다보니 알고리즘 구현과 같은 프로그래밍 업무에서 다른 동아리나 남자 학우들에 비해 이해 속도가 느려 시간이 많이 걸리는 편이에요.


매년 학회 신입생 모집을 위해 일주일 간 아침 8시에 교육을 한다는데 어떤 교육이고 이 교육에서 신입생에게 바라는 점은?

지금까진 국제웹 보안 표준기구인 OWASP가 발표하는 웹 애플리케이션 보안 10대 취약점에 관한 내용을 발표하였지만, 이번부터는 정보보안에 관한 전반적인 내용과 보안 공부 Tip에 관한 내용을 교육을 했어요. 또한 작년 안랩 시큐리티 웨이브 2012 네트워크 분야 문제 풀이도 진행을 했고요. 아무래도 신입생 대상이다보니 다소 어려운 주제를 다루는 OWASP의 취약점보다는 흥미를 느낄 수 있는 해킹대회 문제 풀이 위주로 진행을 하고 있어요. 이런 교육을 통해 새내기는 흥미를 갖고 동아리에 가입하여 여러 대회에 같이 참여를 하면 좋겠어요.


△ SWING 19기 회장 최은영


다양한 학교와 연합 활동의 진행 방식은?

현재는 KISA(한국인터넷진흥원) 지원 정보보호동아리 연합  KUCIS, 학내망 보안을 위한 대학 CERT연합(U.U.U)에 가입하여 활동해요. 또한, 대학 보안 동아리 자체의 힘으로 개최하는 정보보안 컨퍼런스 Incognito에서 활동해요. 먼저, KUCIS는 서울/경기/강원/영남/호남 권역 세미나와 온라인 캠페인 등을 진행하고 U.U.U는 상반기/하반기 2번의 세미나와 오프라인 모임 등 다양한 활동을 해요. 작년에는 U.U.U에서 사용자 선택 암호 알고리즘 앱을 만들어서 발표했어요. 하지만, 암호화한 후 복호화를 구현하지 못 해서 많은 아쉬움이 남았는데, 이번 발표에서는 아쉬움이 남지 않게 최선을 다할 생각이에요! 또한, 추후 다른 학교와 연합 스터디를 만들어 여러 분야 많은 학우들과 교류를 할 생각이에요.


장기 계획 및 앞으로의 각오는?

SW 취약점 찾기 대회나 Power of XX (여성해커대회) 등 다양한 대회가 매년 개최되는데, 이런 대회에 출전하여 좋은 성적을 거두는 것이 목표예요. 또한, 이번 하반기 U.U.U 세미나에서 발표할 주제를 준비할 예정이고요. 현재는 악성코드 분석과 탐지 툴이 목표이지만 아직 정해지지 않았네요. 각오라면, 선배들이 꾸려놓은 SWING에 애착을 갖고 좀더 발전하는 동아리로 만들고 싶어요. 그리고 현재 하는 활동 외에도 많은 대외 활동으로 SWING을 많은 곳에 알리고 싶습니다!


정보보호 전문가를 꿈꾸는 청소년에게 해줄 말은?

먼저, 중고생 정보보호 올림피아드 대회, 청소년 해킹대회, 안랩 V스쿨 등에서 많은 경험을 해보셨으면 좋겠어요. 그리고 프로그래밍 언어까지 공부하면 더 좋겠죠? 하지만, 너무 컴퓨터에만 열중하지 말고 여러 친구들을 사귀고 청소년으로서 누릴 수 있는 경험을 많이 해보는 걸 추천해요. 대학생 되면 항상 청소년 시절을 그리워하게 되니까요. 정보보호 전문가를 꿈꾸는 청소년이 미래에 정보보호 업무에서 큰 몫을 하기를 진심으로 바랍니다^^!


△ 서울여대 정보보호 동아리 SWING


직접 만나본 SWING 동아리원들은 공부만 하는 이미지가 아닌 매우 활동적이고 에너지가 넘치는 동아리였다. 20대의 열정과 패기를 간직한 SWING의 발전과 동아리원들의 꿈이 이루어지기를 진심으로 바란다. Ahn



대학생기자 박서진 / 서울여대 정보보호학과

통(通)하지 않으면 통(痛)한다. <동의보감>

여러분과 통(通)하는 안랩인이 되겠습니다 :)




대학생기자 유희만 / 수원대 컴퓨터학과

The achievement of one goal should be the starting point of another.
(목표의 성취는 또 다른 목표의 출발점이 되어야 한다.)
- 알렉산더 그레이엄 벨 -

현재에 안주하지 않고 항상 색다른! 목표를 향해!                  

저작자 표시 비영리 변경 금지
신고

선배 보안 전문가들이 말하는 미래에 대한 준비

현장속으로/세미나 2010.09.01 08:38
"금보원 ! 금보원 ! 금.보.원.!"
금보원은 금융보안연구원의 줄임말이며, 위는 
8 18일부터 20일까지 금보원이 개최한 ' 1 2010 대학생 금융 보안 캠프’의 구호이다. 이 캠프는 미래 정보기술 환경에 능동적으로 대처할 금융보안 전문가 양성을 목적으로 올해 처음 열린 행사이다.

 

18일 첫날, 안성연수원에 도착한 참가자들은 각자 짐을 정리하고, 조끼리 모여 앉았다.
 
첫 강연으로 전자금융 이러면 안전할까?’라는 주제로 김인석 금융감독원 부국장이 강연을 했다. 전자금융의 IT 사고 사례를 들며 그에 대한 조사 방법을 설명했다.

이어서
신기술 기반 금융보안 추진 현황’을 장재환 금융보안연구원 팀장이 발표했다. 신기술 기반 금융보안으로 스마트폰과 IPTV, VoIP에 초점을 두고 그에 대한 금융보안 서비스와 위협 등을 설명했다.

그리고 정보보호 전문 교육 및 자격증 소개’를 맡은 서광석 한국정보보호교육센터 원장의 발표가 진행되었다. 센터가 추구하는 목표를 인성교육, 기술교육, 직무의 전문화라고 소개한 후 보안 기초, 공격 및 침해 대응까지의 교육 과정과, 알아두면 유익한 보안 자격증을 소개했다. 

나를 차별화하기 위해 남보다 2배 더 시간을 써라


약간의 휴식 후 대학생과 전문가 간 만남의 장이 있었다. 가장 많이 나온 질문은 취업 관련 질문보안 캠프가 3, 4학년을 대상으로 한 만큼 당연한 일이었다안철수연구소 조시행 상무는 나를 다른 사람과 차별화할 수 있는 것이 무엇인가? 다른 사람보다 2배 더 시간을 쏟아라.라고 말했다.

또한 이 시간에는 MS사가 추진하는 신뢰할 수 있는 컴퓨팅’이 보안, 개인정보보호 등을 기준으로 둔다는 것, 보안 관제가 여러 시스템의 로그를 분석하고, 실시간으로 문제점을 조사 및 분석하는 업무라는 것을 알게 되었다.
 보안 업계에 관심이 있는 대학생들이 전문가들에게 궁금증을 해결하고, 조언도 얻을 수 있는 흔하지 않은 기회였다.

뒤늦은 개회식에서 한국정보보호학회 임종인 회장은 최근 정보보호 동향 및 향후 과제’를 발표했다. 최근 정보보호 동향으로 스마트폰 보안을 소개하고 스마트폰의 보안 위협 및 대응, 확대하여 모바일 오피스 보안, 그리고 스마트폰 전자금융 서비스 보안까지 설명했다. 스마트폰 관련 주체별 정보보호의 역할을 강조하며 "정부를 비롯하여 금융과 보안업계, 통신업계 등 이해관계자가 적극적으로 참여하여, 신뢰성 있고 안정적인 정보보호 인프라 구축을 해야 한다."라고 말했다.


둘째 날인 19일, 첫 발표는 제 7회 해킹방어대회 최우수상을 수상한 순천향대 최현우씨의 해킹의 이해였다. 해커와 해킹은 무엇인가에서부터 해킹의 역사, 해킹의 사고 사례, 국내외 해킹대회 그리고 해킹방어대회 문제풀이를 설명했다. 같은 대학생이지만 해킹방어대회에서 입상하고, 발표까지 능숙하게 하니 모든 대학생의 부러움을 받았다

이어서  악성코드 현황과 대응 전략’을 주제로 조시행 안철수연구소 상무가 발표했다. 2010 상반기의 주요 보안 위협으로 사회 공학 기법, 허위 백신, 제로데이 취약점, SNS기반의 보안 위협 등을 꼽았다. 그리고 그에 대한 안철수연구소의 대응 방안을 소개했다. DDoS 대응 방안과 위협 관리’를 발표한 박종석 나우콤 과장은 7.7 DDoS 대란 때의 상황과 DDoS 탐지 및 방지 방안, 그리고 보안 관제 시스템을 소개했다.

임형준 이글루시큐리티 과장은 정보보안관리 동향 및 발전 방향을 발표했다. 발표하기에 앞서 흥미로운 퀴즈를 내 흥미를 유발했다.

대학 중퇴자이며 자기 회사에서 쫓겨난 사람은
10
100승은?

그럼 애플과 구글의 공통점은?
.
.
각 질문의 답은 스티브 잡스구글, 차고에서 시작했다는 것.
그렇다면
, 우리의 차고는 어디인가?


마지막으로 ‘IT 컴플라이언스와 보안 컨설팅’을 주제로 최동근 롯데정보통신 이사가 발표했다, IT 컴플라이언스란 금융기관의 임직원 모두 법규 및 규정을 준수하도록 통제 감독하는 것을 의미한다. 이것의 필요성과 구축 사례, 정보보안 컨설팅 방법론 등을 소개했다.

 직접 본 관제센터, 역시 철통 보안


모든 세미나가 끝나고
, 조별로 토론회가 열렸는데 주제는 전자금융 보안 개선 아이디어 토론 및 제안이었다. 5시간에 걸친 이 토론회는 전공자, 비전공자 모두 함께 참여할 수 있고, 더욱 간편하게, 더욱 안전하게 전자 금융 거래를 할 수 있도록 스마트폰, OTP, 공인인증서, 보안토큰 등의 단점을 보완할 수 있는 아이디어들이 많이 나왔다. 또한 현 실무자가 아니기 때문에 아이디어의 참신성도 돋보
였다
.

 

셋째 날인 20, 정든 안성연수원을 떠나 롯데정보통신 통합관제센터를 방문했다. 보안이 생명인 만큼 사진 촬영이 불가능했고, 비밀번호+정맥인식을 통해 출입이 가능했다. 관제센터에는 전세계에 존재하는 운영체제 및 네트워크 장비가 구축되어 있었다. 이어 서버가 있는 전산기계실과 문제 발생 시 배터리를 백업하는 UPS실을 둘러보았다. 그리고 LG CNS에 있는 OTP통합인증센터를 견학했다. 이 곳은 비밀번호 입력, 정맥 인식, 그리고 몸무게 측정을 해야 출입이 가능했다. 현 몸무게와 저장된 몸무게의 오차 범위 내에 비교하는 것이었다관제센터와 클라우드 컴퓨팅, 유비쿼터스 기술과 통합 OTP를 볼 수 있었다.

 

2 3일 간 세미나, 현장 견학으로 금융 보안에 대해 배우고, 최근의 보안 동향까지 알 수 있었다. 또한 새로운 친구를 사귀고, 다른 사람의 생각도 들을 수 있는 자리였다. 첫 발을 뗀 캠프가 잘 자리잡아 많은 대학생에게 좋은 경험과 앞으로 나아갈 발판을 제공했으면 한다. Ahn

대학생기자 윤소희 / 순천향대 정보보호학과


윤소희가 '보안세상'에 왔습니다. 아직도 절 모르신다구요 ? 더 강한 파워, 더 색다른 매력, 더 불타는 열정으로 ! 풋풋함과 눈웃음까지 겸비한 여자! 그리고 뻔뻔함까지 ! 누구라도 기억할 만하지 않나요?



저작자 표시
신고

국제 보안 컨퍼런스에 학생 스탭으로 참여해보니

현장속으로/세미나 2010.04.18 06:30
4 7일과 8일 삼성동 코엑스에서는 지식경제부가 코드게이트 조직위원회와 함께 민관 공동으로 개최한 ‘국제해킹방어대회 및 국제보안컨퍼런스 코드게이트(CODEGATE) 2010’이 열렸. 정보보안 관련 행사여서 정보보호학과 학생으로서 8일에 일일 스탭으로 참여해 행사를 진행했다.

8일 아침 행사장에 도착해 
해킹대회가 진행되는 트랙으로 들어가니 실내는 자주색 조명으로 인해 엄숙하고 웅장한 분위기였다. 중앙엔 인터넷 방송인 아프리카’가 대회를 실시간 방송하기 위해 중계석을 차려놓았고, 그 옆에는 문제 푸는 데 집중해 있는 해커 팀이 여럿 있었다.

온라인 예선을 통과한 해커
여덟 팀은 이틀 동안 본선을 치렀다. 그 결과
스웨덴 팀인
HFS가 1위의 영광을 가져갔다. 이 여덟 팀 중팀은 우리나라 팀이었는데, 비록 순위권 내에는 들지 못했지만 세계적인 대회에서 5, 8위를 했다는 것만으로도 실력과 열정을 인정해줄 만하다.

이번 해킹방어대회는 다른 대회와는 색달랐다. 해커 팀이 문제를 푸는 동안 다른 사람들이 보기 편하도록 대회장 안에 관
람석을 배치했고
, 해킹을 잘 알지 못하는 일반인이 좀더 쉽게 다가가도록 3D 가상 도시를 만들어놓고 해커 팀이 문제를 풀 때마다 크래커가 공격해서 어두워진 가상 도시에 전기가 공급되어 하나 둘씩 불이 밝혀지게 했다. 

트랙 밖으로 나와보니, UCC 공모전과 미래 IT 기업 취업 이벤트, 그리고 기념품 티셔츠 판매 부스 등 볼거리와 정보가 풍성
했다
. 특히 취업을 앞둔 사람은 채용 기회도 얻을 수 있는 자리였다. 또한 UCC 공모전으로 많은 사람이 정보보호에 대한 인식을 갖도록 하고, 참가자가 좋은 작품을 직접 투표하게 해 참여도를 높였다.

컨퍼런스의 오프닝은 화려한
레이저 쇼로 사람들을 압도했다. 해킹방어대회와 UCC 공모전의 시상식을 한 후 주제 발표가 이어졌다

김형종 교수, Jose Duart(Tora), Christofer Hoff 등 유명한 보안전문가가 스마트폰 보안, 클라우드 컴퓨팅 등 최근의 이슈를 발표했다. 최근 스마트폰의 대중화로 좋은 점도 많지만 취약점도 적지 않아서 많은 집중을 받았고, 클라우드 컴퓨팅 또한 많은 사람들이 쉽게 접근하여 IT 자원을 사용하기 때문에 그만큼 보안에 취약할 수 있다는 것이 관심을 모았다. 

이번 행사는 일련의 주제
발표에서 최근의 보안 이슈를 한눈에 파악하고, 보안에 관한 공부를 하거나 관심이 있는 사람을 많이 만난 뜻깊은 시간이었다. Ahn


대학생기자 윤소희 / 순천향대 정보보호학과


윤소희가 '보안세상'에 왔습니다. 아직도 절 모르신다구요 ? 더 강한 파워, 더 색다른 매력, 더 불타는 열정으로 ! 풋풋함과 눈웃음까지 겸비한 여자! 그리고 뻔뻔함까지 ! 누구라도 기억할 만하지 않나요?


저작자 표시
신고

해킹과 보안, 창과 방패의 무한 충돌 현장

현장속으로/세미나 2010.03.18 09:09
얼마 전 국내 보안 컨퍼런스로 유명한 'Paradox Confernece 2010'(이하 파도콘 2010)이 서울 양재동 AT센터에서 개최되었다. 파도콘은 2005년부터 올해로 6번째 열렸다. CTF(Capture The Flag; 팀 간 상호 공격과 방어를 하며 점수를 획득하기)와 같은 해킹대회부터 보안 관련 이슈들에 대해 세미나와 다양한 이벤트까지 열정적인 행사들로 가득했다.


파도콘은 2005년 국내 해킹 및 정보보호 동아리들이 연합하여 만든 해킹/보안 컨퍼런스로 매년 초미의 관심사인 보안 이슈를 연구하고, 그 결과를 세미나 형식으로 발표하는 자리이다. 무엇보다 등록비도 없고, 누구나 참여할 수 있다는 점이 큰 매력이어서, 학생부터 전문가까지 많은 사람들이 참여한다. '파도콘 2010'은 이틀 동안 두 개 세션으로 나누어 진행되었다.


모바일 기기 해킹


국내 해커 그룹으로 유명한 beistlab의 멤버 osiris는 윈도 모바일이 가진 위험성을 시연과 함께 언급했다. 발표자는 윈도 모바일에 악성코드를 이용해서 SMS 서비스를 스니핑하는 등 예상할 수 있는 위험을 언급하고 사용자의 주의를 당부했다.
 

        


또한 binoopang은 최근 많이 사용되는 모바일 기기 아이팟 터치(iPod touch)에서 BOF(Buffer OverFlow; 메모리를 다루는 데에 오류가 발생하여 잘못된 동작을 하는 프로그램 취약점)를 이용하여 원격에서 코드를 실행해 리버스 바인드 셸코드(reverse bind shellcode)를 시연해 보였다. 그동안 애플의 정책상 불가하다고 알려진 원격 공격을 직접 시연해 충격을 주었다.


IPTV 해킹 및 ECU(전자제어장치) 해킹




그동안 IPTV의 해킹 위험성이 많이 알려져 관련 기관에서 보안에 힘쓰고 있지만, 상용 제품에 한해서는 아직 보안이 부족하는 발표가 눈길을 끌었다. 전북대 정보보호 동아리 IS(Invisible Sheild)의 이강욱씨는 IPTV에 보안에 매우 신경쓰고 있지만, 아직까지 부족하는 말과 함께 유료 컨텐츠에 대한 보호를 우회하는 방법을 직접 시연해 보였다.


또한, 동명대 정보보호 동아리 THINK의 최영남씨는 차량 안에 들어가는 ECU(전자제어장치)를 해킹해서 원하는 행동을 유발하는 하드웨어 해킹을 선보였다. 차량 안에 들어가는 ECU 역시 시스템의 일종이니 해킹이 가능하다는 것이 업계의 통념이었는데, 이를 직접 시연해서 도난방지 장치가 되어있는 차량의 시동장치를 우회하는 것을 동영상으로 시연했다.     

 

더 발전한 해킹 기법, 새로운 위협


영남대 정보보호 동아리 @Xpert의 이대규씨가 최신 안티 디버깅 기법들을 우회하는 방법들을 소개하고, 경북대 정보보호 동아리 KERT의 송석우씨가 악성코드(루트킷)을 감추는 최신 기법을 소개했다.


또, 동명대 정보보호 동아리 THINK의 심영진씨는 이제까지의 무선랜 해킹 기법과는 생각의 원리를 반대로 하는 'Passive War-Driving'을 선보여, 공개된 AP(Access Point; 무선 랜 구성 장치 중 하나로 유선 랜과 무선 랜을 연결해줌)가 아직까지 얼마나 많은 위협이 되고 있는지를 시연했다.


이제는 고전 해킹 기법인 BOF나 FSB(Format String Bug; 입력값을 다루는 데에 오류가 발생하여 잘못된 동작을 하는 프로그램 취약점)들이 최신 윈도에서도 아직 통용된다는 사실을 자세히 보여준 충남대 정보보호 동아리 ARGOS의 심준보씨는 윈도 비스타 커널에서 BOF를 통해 쉘코드를 실행하는 시연을 보여준 뒤, “보안은 끝이 없다. 계속해서 대비해야 한다.”라고 말했다.


그 밖에도 보안 업체 nchovy의 양봉열씨는 Kraken이라는 새로운 보안 프로그램 개발 프레임워크를 선보이고, 편의성에 중점을 둔 개발이 어떤 것인지 깊이 있게 설명했다.


참여하는 세미나, 재미있는 이벤트


파도콘에서는 매우 다양한 참여 형식의 이벤트를 준비했다. 인상적인 이벤트로는 주어진 개수의 메모리(RAM)을 최대한 높이 쌓아올리는 RAM stager, 어셈블리 코드를 프린트물로 나눠준 뒤 손과 머리로 리버싱해 답을 구하는 핸드 리버싱(Hand Reversing), 행사장 안의 AP로 도전하는 해킹대회인 라이브 해킹, 분해된 키보드를 다시 맞추어서 재조립하는 키보드 어셈블링(Keyboard assembling) 등이 있었다.

   

 

그리고 올해 역시 파도콘에서는 CTF 방식의 해킹대회를 개최했다. 행사장에서는 본선을 진행했는데, 누구나 구경할 수 있어서 다른 참가자의 해킹 과정을 실제로 관람할 수 있었다. 본선에서는 beistlab 멤버들이 출전한 ADNIM 팀이 1위를, 고등학생들의 연합팀인 1234팀이 2위를 거머쥐었다. 크지 않은 상금이었는데도 CTF장에서는 매우 뜨거운 열기를 느낄 수 있었다. 

  

 

많은 사람들이 열정적으로 정보보호의 의미를 되새기고 그곳에서 재미를 찾아 순수하게 움직이는 모습이 무엇보다 좋아 보인 행사였다. 행사가 끝나고, 뒤풀이에서 많은 사람을 만나면서 꿈나무로 자라는 학생들이 있어서 우리나라 보안 업계의 미래는 매우 밝다는 생각이 저절로 들었다. 항상 열정을 잃지 않는 파도콘이 되길 바란다. Ahn

     

 


심준보 / 파도콘 회장

신고

MIT가 목표인 정보보호 올림피아드 수상 고교생

지난해 서울호서전문대학이 주관해 열린 '중고생 정보보호 올림피아드'의 대상, 금상, 은상, 동상 수상자 11명 중에는 고교 1학년생이 두 명이나 있어 시선을 끌었다. 특히 선린인터넷고 당시 1학년이던 김승연 군은 3학년 학생과 나란히 금상을 수상해 두각을 나타냈다. 

웹운영과에 재학 중인 김군은 선라이저(Sunriser)라는 벤처의 CEO이며, 해킹 팀 'Song of Freedom'의 막내다. 며칠 전에는 정보보호올림피아드 대상을 탄 부산영재과학고등학교 이대근(elnn) 군과 한 팀을 이뤄 참가한 '파도콘(PADOCON) 2010 CTF'에서 준우승을 거머쥐었다.




지난해 '중고생 정보보호 올림피아드'는 145개 학교에서 208명이 출전해 경합을 벌였다. 예선을 온라인으로 치른 후 가장 많은 점수를 획득한 20명이 본선에 진출했다. 본선 문제는 웹 해킹, 시스템 해킹, 프로그램 분석, Steganography(그림이나 음악등에 정보를 숨기는 행위) 분석 등이 나왔다.

참가자 중 가장 어린 나이에 좋은 성적을 거둔 비결을 묻자 "
나이와는 관계 없이 얼마나 공부했느냐가 문제인 것 같다. 공부에 투자한 기간을 따지면 내가 더 오래된 것 같다."라며 자신감을 내보였다. 평소에 해킹, 보안 관련 공부를 꾸준히 하다가 대회가 있으면 참가하곤 하기 때문에 
별도로 준비를 하지는 않는단다.

대회 입상 후 학교나 주변 친구들의 반응이 뜨거웠을 것 같다고 묻자 의외의 답이 돌아온다. "
정보보호 올림피아드 이전에도 여러 대회에 참가했기 때문에 특별한 반응은 없었다."고. 그만큼 당연하게 받아들이는 것 같다.

김군이 앞으로 하고 싶은 일은 본인이 경영하는 회사를 키우는 것. 회사가 커진다면 보안사업부를 만들어 활동하고 싶다고. 방학인 요즘은 주로 소프트웨어 기획을 하며, 미국 MIT 대학에 진학하려고 준비 중이다. 학업과 컴퓨터 공부 시간을 분배하는 게 많이 힘들다고 한다.

그의 컴퓨터 실력보다 놀라운 것은 확실한 꿈을 갖고 도전해 나가는 모습이다. 생물학적 나이는 어리지만, 꿈을 향한 열정의 나이는 절대 어리지 않은 것 같다. 앞으로 본인이 원하는 분야에서 멋지게 활약하기를 기대해 본다. Ahn

대학생기자 전호균 / 배재대 미디어정보·사회학과

 인생에 있어서 디딤돌인지, 걸림돌인지는 자기에게 달려있다고 한다. 
 행운은 우연히 오는 것이 아니라 내가 만들어 간다는 정신으로 열심히 산다. 
 안랩 대학생기자 활동이 인생의 디딤돌이 되었으면 한다.


신고

올해 바뀌는 정보보호 정책 5가지 쉽게 알아보기

안녕하세요? B군입니다.
오늘은 2010년에 새롭게 바뀌는 정보보호 정책을 쉽게 설명해드리겠습니다.

올해에는 개인뿐 아니라 공공기관에서도 정보보호를 강화할 수 있는 다양한 방안과 대책이 추진됩니다. 또한 중소기업을 위한 'DDoS 사이버 긴급대피소'가 구축되며 보안 제품에 대한 평가 제도도 변경됩니다.    


자, 큰 흐름을 아셨다면 
이제부터 하나하나 차근차근 살펴볼까요?                    

출처 : http://danmee.chosun.com/site/data/img_...30_0.jpg

                

1. 주요 개인정보의 암호화 저장 의무화


1월 29일부터 주요 개인정보의 암호화 저장이 의무화됩니다. 포털, 쇼핑몰, 게임 등
인터넷사업자는 주민등록번호, 신용카드번호, 계좌번호 등의 중요 개인정보를 보관할 때 반드시 암호화하여 저장해야 합니다.

(만약 유출된 주민등록번호가 고대 수메르어로 써있다면 도용하고 싶어도 못하겠죠?)

이를 통해
주민등록번호 도용 등의 피해를 막을 수 있을 것으로 기대됩니다. 하지만 역시 제일 중요한 것은 개인정보가 유출되지 않도록 막는 것이겠죠?   

2. 국내외 웹사이트 개인정보 노출 대응 강화


국내외 웹사이트의 개인정보 노출의 대응이 강화됩니다. 한국인터넷진흥원(KISA) 내에 구축된 개인정보 노출 대응 시스템 및 개인 정보 노출 대응 상황실이 올해부터 본격 가동됩니다.

이에 따라 
국내 인터넷 상에 노출된 개인정보를 365일, 24시간 자동 검색하여 삭제 등 필요한 조치를 취합니다. 또 KISA와 주요 포털 간의 핫라인 운영으로 유사시에 신속한 협력과 대응이 가능할 것으로 기대됩니다.

한편, 중국 등 국외 사이트에 노출된 우리 국민의 주민등록번호 문제를 해결하기 위해 해당 국가와 협력 체계를 한층 강화할 예정입니다.      
                                   

3. 기업 및 공공기관의 정보보호 관리체계 인증 의무화  

 
올해부터는 전자정부 대민 서비스를 제공하는 행정기관을 대상으로 ‘정보보호관리체계 인증(G-ISMS)’이 의무화됩니다. 행정안전부는 행정기관의 정보보호 관리 수준을 좀더 객관적이고 체계적으로 점검·관리하기 위해 G-ISMS를 마련했습니다. (한마디로 행정기관에 우리의 개인정보를 안심하고 맡길 수 있나 없나 검사하는 제도입니다.)

또 KISA는 민간기업을 대상으로 한 개인정보보호 관리체계(PIMS) 인증제도를 신설, 하반기부터 시작합니다. 개
인정보보호 관리체계를 수립, 인증받길 희망하는 기업을 대상으로 자율적으로 시행될 ‘PIMS’는 기업이 개인정보를 안전하게 수집·이용하기 위해 구축, 운영하는 관리체계의 적합성을 검증해 인증서가 부여될 예정입니다.

이 인증을 획득하는 기업은 개인정보 수집·이용·보유·제공·파기 등 라이프사이클 전 과정에서 개인정보에 대한 안전성과 신뢰성 및 이용자 권리 보호를 위한 전사적인 활동을 공인받게 됩니다.


(설명이 길다고 긴장하지 마세요!!! 포털 등의 민간기업이 개인정보를 잘 관리하고 있는지 검사하는 제도입니다. 검사를 통과한 기업은 국가에서 정보보호 잘하는 것을 인정해주지요.)

4.  DDos 사이버 긴급대피소 구축


분산서비스거부(DDoS) 대응 장비 구매가 어려운 영세 기업을 지원하기 위해 인터넷침해센터(KISC)에 대하여 광대역 회선, DDoS 대응장비 및 인력을 갖춘 사이버 긴급대피소가 구축, 운영됩니다.

(요새 기업마다 DDoS 장비 하나쯤은 다 있잖아요? DDoS 장비를 구입할 여력이 안 되는 조금 불행한 기업들을 위한 제도라 이겁니다.
  
  
                                        

5. 정보보호 제품의 CC인증 변경 승인 절차 변경


정보보호 제품이 획득한 국제공통평가기준(CC) 인증 효력를 유지하기 위한 변경 승인 절차가 변경됩니다. 이전까지는 CC인증 제품에 대한 인증 효력을 유지하기 위해서는 인증 기관인 국가정보원에 신청 접수했지만 앞으로는 KISA, 한국산업기술시험원(KTL) 등 5개 정보보호 제품 평가기관에 접수 수 있습니다.

또한 특정 제품의 인증서 효력이 정지된 경우엔 인증 제품 목록에서 정지 기간을 표시하고, 이를 인증 기관 홈페이지에 공지하는 내용도 신설됐습니다. 이 밖에도 정보보호 제품 평가기관은 내년 하반기부터 CC 3.1버전(V)만 적용해 평가를 수행합니다. 상반기까지는 CC V2.3과 V3.1 기준을 병행 적용할 예정입니다.

출처 : http://ask.nate.com/qna/view.html?n=8100852

                   
이 외에도 올 한 해 우리나라를 정보보호 강국으로 만들어 줄 많은 정책들이 준비 중입니다. 여러분도 개인 정보보호를 위해 노력하는 것 잊지 마세요 ^^ Ahn

- B군


신고

IT 세상을 지키는 보안 이야기 'IT 시큐리티'를 읽고

안랩人side 2009.05.31 09:53


유비쿼터스 환경이 점점 더 확산됨에 따라 우리는 컴퓨터와 인터넷을 통하여 원하는 정보에 접근하기가 훨씬 더 쉬워졌다. 쇼핑과 은행업무 등 일상생활 대부분을 인터넷으로 해결할 수 있기 때문에 인터넷은 더 이상 없어서는 안 될 존재이자 우리 생활의 일부로 자리잡았다.

이렇듯 우리 생활 속에서 인터넷 의존도가 높아져 가고 있지만, 정보보안에 대한 인식은 아직도 미흡하다. 국내 최대라고 자랑하던 한 쇼핑몰이 해킹을 당해 약 1000만 명 정도의 개인정보가 유출됐다는 사례에서 그 심각성을 알 수 있다. 이러한 큰 사건이 일어났음에도 시간이 지나면 언제 그랬냐는 듯 잊혀지곤 한다. '보안 불감증'이라는 말이 그래서 생겨난 것은 아닐까.

신간 'IT 시큐리티'는 이런 상황에서 정보보호의 기초 지식부터 최신 전문 지식과 정보보호 인력 양성에 이르기까지 생활 속의 정보보호를 쉽게 이해할 수 있도록 쓴 책이다. 저자인 강은성 SK커뮤니케이션즈 CSO(Chief Service Officer)는 22년 간 국방연구원, 삼성전자, 안철수연구소 등을 두루 거치면서 신기술 개발, 보안 소프트웨어 개발, 보안 분석 대응 등 다양한 경력을 쌓았다. 이론과 현장 경험을 바탕으로 우리 사회의 보안 문제를 다양한 시각에서 바라보고 폭넓은 대안을 제시했다.

이 책의 구성은 1부 정보기술과 정보보안, 2부 보안, 창과 방패의 영원한 대결, 3부 보안 전문가를 꿈꾸는 이들에게, 4부 소프트웨어, 보안, 정책으로 구성됐다.

1부에서 눈에 띈 것은 온라인 게임 보안에 대한 내용이다. 우리나라는 'IT 강국', '온라인 게임 강국'이라는 평가를 받는다. 우리나라 온라인 게임은  비약적인 성장 기반을 마련하며 세계 시장을 석권하고, 전체 문화 콘텐츠 산업의 45%, 세계시장 점유율 36%를 차지할 정도다. 이처럼 온라인 게임 시장이 확대되면서 게임 아이템 시장 또한 폭발적으로 증가함에 따라 금전 취득을 노린 웹 해킹, 악성코드, 트로이목마 등도 덩달아 증가하는 추세이며, 특히 '작업장'이라고 불리는 곳에서 이러한 행위들은 은밀하게 일어나고 있다고 한다.

이에 대해 저자는 "게임 아이템 시장에 대한 정부 차원의 통제가 필요하며, 개인정보를 보호하는 일은 보안 업계의 노력만으로는 해결될 수 없으며 정부와 국회, 관련 업계, 개인 등의 참여가 필요하며 총체적인 노력이 필요하다."라고 강조한다.

이 대목에서 많은 공감을 했다. 정부와 국회에서 국민들의 정보보호를 위해 제도와 법규를 정비하고, 관련 업계에서는 법규를 준수하고, 개인들이 동참한다면, "나의 개인 정보는 안전할까?"라는 불안감에서 해방될 수 있지 않을까 하는 생각이 들었다.

나는 특히 3부 테마에 가장 관심이 쏠렸다. 나의 꿈이 바로 보안 전문가이기 때문이다. 바다 한가운데서 멀리 보이는 등대를 본 것처럼 기쁜 마음으로 책을 읽어 내려갔는데, 대부분 처음 알게 된 내용이 많아 조금 놀랐다. 하지만 이제라도 알게 된 것에 감사함을 느꼈다.

저자는 보안 전문가가 되는 첫걸음은 보안 궁금증을 푸는 것이라고 말한다. "웹 쪽에 관심이 있다면, SQL 삽입(SQL injection) 공격, XSS(Cross Site Scripting) 공격이 어떤 건지 알아보는 것부터 시작할 수 있겠다. 좀 더 넓게 보려면 [10대 가장 심각한 웹 애플리케이션 보안 취약점(OWASP TOP 10)]을 찾아보는 게 좋다. 웹 쪽을 보면 자바 스크립트에 대한 공부가 필요함을 느끼게 된다. 자연스럽게 자바 스크립트를 공부하면서 그에 따른 보안 문제도 함께 공부해나간다면 재미있게 웹 보안을 공부할 수 있을 것이다."

보안 분야를 체계적으로 공부하는 방법도 소개했는데, 정보보호 자격증 시험의 과목을 살펴보는 것이다. 자격증을 취득하는 것과는 별개로 보안 공부의 체계를 세우기 위해서는 자격증 시험 출제 기준에 나오는 과목들을 한 번쯤 들여다볼 필요가 있다는 것이다. 그리고 대학에 있는 정보보호학과의 커리큘럼을 찾아보는 것 또한 보안 공부의 체계를 잡는 데 많은 도움을 준다고 한다.

정보보호는 한 기업 혹은 한 개인이 좌지우지하는 것이 아니다. 정부, 기업, 개인이 함께 노력해야 풀 수 있는 숙제인 것이다. "당신의 정보보호 마침표가 없습니다."라는 말이 있다. (정보보호 표어 부문 대상, 2008) 완벽한 정보보호는 없으며, 정보보호는 지속적으로 이루어져야 한다는 뜻으로 해석할 수 있겠다. 우리 모두가 정보보호의 마침표를 찍기 위해 지속적인 노력을 기울인다면 그토록 바라는 안전한 IT 세상을 만들 수 있지 않을까? Ahn

대학생기자 고명진 / 명지대 컴퓨터공학과
‘꿈이 있으면 행복해지고, 꿈 너머 꿈이 있으면 위대해진다.’ 보안전문가를 향해가는 그 발걸음은 행복하다. 하지만 그 행복에서 안주 할 수 없다는 생각이 들었고, 꿈 너머 꿈을 찾기 위해 ‘보안세상’에 동승했다.


신고