안전한 금융 거래 위한 금감원 정책 5가지

현장속으로/세미나 2013. 7. 5. 07:00

금융보안 & 개인정보 페어(FPIS2013) 5월 14일 양재동 엘타워에서 개최되었다. 이 날 컨퍼런스에는 금융권 CISO, 금융보안담당자, 금융기관 개인정보책임자 및 담당자, 보안시스템 운영자 등 기타 여러 IT실무자들이 참가하였다. 지난 3.20 전산망 대란 이 후로 높아진 관심 때문에 금융사관계자 들이 많이 참석한 모습을 엿볼 수 있었고, 국내 경제지 중에서는 최초로 머니투데이에서 개최하는 보안 컨퍼런스라는 점 등 여러가지로 뜻 깊은 자리였다.

 ▲ FPIS 2013 행사모습

우리나라 인터넷뱅킹 이용고객은 등록고객 수 기준으로 현재 8600만명을 초과하였고 은행권의 전자금융거래 규모도 전체 금융거래 대비 건수기준으로는 80%, 금액기준으로는 30%에 달하고 있다. 스마트폰을 이용한 금융거래도 크게 증가하고 있다. 이와 같이 금융산업과 정보통신기술간의 융·복합으로 인해 전자금융 이용자가 증가하고 금융소비자의 편의가 크게 높아졌으나, 해킹으로 인한 금융 정보유출과 전자금융사고발생 등 보안 위험이 증가하고 있다. 특히 파밍, 피싱, 스미싱 등 새로운 금융사기범죄가 증가하고 있어 금융정보보호에 대한 중요성이 증대되고 있다.

금융보안과 개인정보보호를 주제로한 이번 행사에서 김영린 금융감독원 부원장보는 오프닝 연설에서 안전한 전자금융거래의 기반을 마련하기 위해 금융당국은 다섯 가지에 중점을 두고 금융IT감독 정책을 추진한다고 말하였다. 다음은 주요 내용.

 

1. 개인정보보호 대책을 강화하겠다.

정부는 개인정보의 불법적인 수집·유출 등으로부터 사생활을 보호하기 위해서 개인정보 보호법을 제정하고 2012년 3월 30일 부터 본격적으로 시행해 나가고 있다. 이와 관련해서 금융감독원도 작년 5월 전담조직을 구성하여 금융권 개인정보제도의 안정적인 정착을 위해 노력하고 있다. 

2012년 6월 금융인 금융협회와 합께 금융권 개인정보 협의회를 구축해서 금융에서의 개인정보의 과도한 수집을 근절하였다. 또한 금년에는 개인정보 보호 가이드라인을 마련하여 금융 실무 처리 기술을 제시하는 등 앞으로도 개인정보 보호대책을 지속적으로 추진할 예정이다.

 

2. 전자금융거래의 안정성 확보를 위해 노력하겠다. 

모바일 전자결제, 전자지갑 등 다양한 금융IT신기술의 홍수 속에서 안전한 전자금융 서비스를 제공하기 위해서는 개별적인 보안위협에 임기응변적으로 대응하기보다는 중장기적인 인식전환이 필요하다. 이에 따라 금융기관의 최고 의사결정자가 정보보안에 대해 적극적으로 관심을 갖고 적정수준의 인력과 예산을 확보하는 한편 체계적인 조직운영을 통해 직무 담당자의 업무를 명확히 하고 오류와 실수를 최소화하는 기본을 확립하는 것이 중요하다. 

이러한 인식 하에 금융당국은 현대캐피탈 정보유출, 농협의 전산장애 사고 등을 계기로 IT보안업무모범기준을 제정하였다. 금융회사에 대해 최고 정보보호책임자(CISO)를 임명하고 적정 수준의 IT보안인력과 예산을 적정한 수준을 유지하도록 감독해 나가겠다. 또한 금융회사 CIO간담회, IT보안실무자 세미나 등을 통해 학계, 산업계 및 금융회사 간의 소통을 강화하고 상호협력 체계를 갖추겠다.

 

3. 전자금융사고 및 사이버 테러에 선제 대응하겠다.    

3.20에 대한민국은 큰 충격에 빠졌다. 사이버 공격으로 인해 일부 언론사와 금융회사의 전산망이 마비되는 사태가 발생하였다. 몇 시간 안에 고객의 직접적인 피해는 크지 않았지만 금융회사의 보안능력 및 전자금융거래의 안정성에 대한 국민들의 불안감이 높아지게 되었다. 이러한 사고를 재발하지 않게 하기 위해서는 보안취약점에 대해 신속히 대처하는 한편 예방대책을 마련하는 것이 중요하다.

2013년 5, 6월 중 전 금융권에 대한 IT보안실태 테마 검사 및 IT모범기준 이행 실태 점검을 실시하여 IT보안강화대책을 마련할 예정이다. 피싱, 파밍 사이트 등을 통한 고객정보 유출에 대해서는 금융감독원은 고객의 부주의로 고객정보가 유출되더라도 금전적인 피해가 최소화 되도록 공인인증서 재발급하거나 일일 누적 300만원 자금이체를 하는 경우에는 지정된 단말기에서만 가능토록 할 예정이다. 또한 SMS 본인인증 등 추가적인 인증서비스를 금년 중에 시행할 예정이다.

 

4. IT 부분 검사를 강화해서 금융 회사의 수준을 제고하겠다.    

최근 발생하는 해킹 유형은 지능형 지속형 공격(APT)이다. 작은 취약점을 장시간에 걸쳐 공략하여 전체 시스템을 무력화하고 주요 정보를 채취한다. 이에 금융감독원은 2013년 중 사고발생 금융회사에 대한 현장검색을 통해 IT내부통제, 취약점 및 조치현황을 점검하고 미흡한 부분은 신속히 개선하여 금융회사의 보안수준을 제고하겠다.

 

5. 전자금융을 이용하는 소비자 보호를 강화하겠다.               

전자금융이용과 관련해 발생할 수 있는 위험요인과 예방대책에 대해 홍보를 지속적으로 강화하는 한편, 장애인에게 좀더 편리한 전자금융서비스를 제공할 수 있도록 하는 등 상대적으로 전자금융이용에 취약한 계층에 대해서도 전자금융환경 개선을 위한 노력도 지속하도록 하겠다. 

이러한 정책과 제도가 성공하려면 현장에서 정책을 직접 수행하는 금융회사 임직원들과 금융소비자의 역할이 중요하다. 금융회사 임직원은 고객정보가 반드시 지켜져야 할 고객자산이라는 점을 명시하고 스마트 금융확산등 급변하는 전자금융환경에 적극 대응함으로써 IT보안 또는 고객정보유출 등의 사고가 발생하지 않도록 유념해야 한다.

금융소비자도 전자금융사고 예방을 위해서 보안인식전환이 필요하다. IT 및 통신기술의 발달과 융합으로 이루어진 오늘의 전자금융환경을 안전하게 이용하기 위해서는 무엇보다도 보안사고의 예방과 개인정보관리가 중요할 뿐 만아니라 다소의 불편과 비용지출이 불가피하다는 것을 명심해야 한다. Ahn

 

 

대학생기자 김대희 /  경기대 컴퓨터과학과

 

댓글을 달아 주세요

대학생 정보보안 수준 10점 만점에 몇 점?

안랩이 묻고 대학생이 답하다: 보안 의식편

IT 강국에서 이제는 스마트폰 강국으로 진화한 대한민국, 그 광경을 제대로 보고자 한다면 수업이 한창인 대학강의실을 찾으면 된다. 많은 대학생이 손바닥만한 스마트폰에 많은 것을 쏟아 넣고 있다. 스마트폰의 보급 시기는 살짝 주춤했지만 고속성장의 대명사처럼 우리나라의 절반 이상이 현재 스마트폰을 사용하고 있다.

그러나 고속성장의 뒷면에는 부실공사의 이름표가 있는 것처럼 빠른 성장에는 부작용이 있기 마련이다. IT와 스마트폰도 예외일 수 없다. 빠른 속도와 유비쿼터스한 와이파이가 가능하지만 그러한 속도를 보안의식이 따라가지 못하고 있는 실정이다. 그래서 대학생 설문조사를 통해 전국의 총 391명의 대학생들로부터 정보보안에 대한 이야기를 들을 수 있었다. 이를 통해 현재 대학민국의 정보보안 지수를 이해하고 앞으로의 대처 방안을 생각해볼 수 있는 계기로 삼아보고자 한다.

 

각종 인터넷 사이트에 회원 가입할 때 패스워드 설정을 어떻게 하고 있습니까?

인터넷 상에서 회원가입 등을 위해 개인정보를 입력할 때, 해당 사이트의 보안 정책을 어느 정도 고려하십니까?

우선 회원가입 시 패스워드 설정방법에 대한 물음에 많은 사람들이 영문, 숫자, 특수 문자를 조합하는 방식을 이용하는 것을 알 수 있다. 이는 많은 웹사이트에서 권장하는 방법인만큼 보안도가 높지만, 주기적으로 바꾼다는 답변은 전체의 8%에 지나지 않았다. 회원가입시에는 권장하는 비밀번호를 선택하지만 자신의 패스워드에 대한 주기적인 노력은 다소 부족하다고 이해할 수 있다.

그리고 회원가입시 보안 정책 고려사항에서는 대부분의 사이트를 보안정책에 상관없이 개인정보를 입력하는 것으로 나와있다. 보안정책을 읽어보는 의견과 보호할 수 있는 기술을 확인한다는 답변은 12%로 상당히 낮은 비중을 차지한다.

 

인터넷에서 사용하는 아이디 및 패스워드를 다른 사람에게 알려주는 것을 어떻게 생각하십니까? 

인터넷에서 프로그램을 다운로드할 경우, 어떤 점을 고려하십니까?

아이디나 패스워드를 알려주는 것에 대한 문항에서는 꼭 필요한 경우에 알려준 다음 다시 패스워드를 변경한다는 의견이 절반을 차지했다. 그러나 친한 사이일 경우에 상관없이 알려준다거나 절대로 알려주면 안된다는 의견이 같은 비중을 차지할 만큼 패스워드에 대한 보안의식이 다소 부족하다고 해석된다.

또, 프로그램 다운시 인지도가 높은 사이트에서는 필요한 프로그램을 다운로드한다는 의견이 가장 많았지만 필요한 프로그램은 무조건 다운로드한다는 의견이 뒤를 이었다. 이는 대학생의 보안의식이 낮은 수준을 유지하고 있음을 시사한다.

 

SNS(메신저, 트위터, 페이스북)나 이메일로 링크 주소나 첨부 파일이 올 경우 어떻게 하십니까? 

악성코드 감염을 방지하기 위해 어떤 방법을 사용하십니까? 

첨부 파일에 대한 대처를 묻는 문항에서는 아는 사람이 보낸 경우에만 클릭한다는 답변이 높았다. 더불어 무조건 클릭하는 비중이 낮게 나와 첨부파일에 대한 보안의식은 다소 높게 나타났다.

악성코드 감염 방지를 위한 방법으로는 무료 백신과 정기적인 검사를 통한 방법이 높은 비율을 차지했다. 단, 유료 백신을 사용하는 대학생 수는 불과 2%에 부족했다.

 

MS 윈도우 보안 패치가 발표되면 어떻게 조치하십니까?

포털이나 뉴스 사이트, 카페 등 웹에 접속만 해도 악성코드에 감염되는 일이 많습니다. 이에 어떻게 대비하십니까? 

MS 윈도우 보안 패치가 무엇인지 상당수의 대학생들이 모르고 있었다. 보안패치를 모르거나 알고는 있으나 설치한 적이 없는 대학생 수가 절반을 넘었다. 또, 바로 설치한다는 대학생수가 불과 20%였다.

웹 접속만으로 악성코드에 감염되는 것에 대해 어떻게 대비하냐는 문항에는 위험성은 알지만 제대로 대체하지 못하는 수가 68%를 차지했다. 미리 예방을 하고 있는 비율도 18%인만큼 악성코드 감염에 대한 대처가 부족한 상황이다.

 

스마트폰 애플리케이션 중 악성 앱이 많이 발견됩니다. 이에 어떻게 대비하십니까?

노트북, 스마트폰, 태블릿PC 등 모바일 기기 보안을 위해 가장 많이 실행하는 조치는 무엇입니까?

최근에 사용자수가 급격히 증가하고 있는 모바일 기기의 대한 보안의식도 측정해보았다. 우선 스마트폰 사용 중 악성 앱이 발견될 경우 어떻게 할 것이냐는 질문에 수동적인 대처가 많은 답변을 차지했다.

또, 모바일 기기 보안을 위해 가장 많이 실행하는 조치로는 초기화면 패스워드처럼 개인정보 보호에만 집중하는 경향을 보였다. Ahn

 

대학생기자 노현탁 / 건국대 기술경영학과


댓글을 달아 주세요

손석희, 4년 연속 V3 닮은 명사로 선정

안랩이 묻고 대학생이 답하다(2) 안랩에 대한 생각

자국 시장을 50% 이상의 시장점유율을 지키는 국내 최고 보안 소프트웨어인 V3가 올 6, 25번째 생일을 맞이했다. 이를 기념하여 한국 IT 보안 업계의 최고로 손꼽히는 기업인 안랩(AhnLab)’ 대한 대학생들의 인식을 조사하는 이벤트를 마련하였다. 전국 391명의 대학생이 안랩에 어떠한 인식을 지니고 있는지 알아볼 수 있었다.

 

 안랩을 어떠한 경로로 알게 되셨는지요?

대학생들이 안랩을 알게 된 주된 매체는 TV로 꼽혔다. 절반 가량의 대학생들이 TV를 통해 안랩을 알게 되었으며, 두 번째 주요 매체로는 인터넷 신문이 약 15%의 비율을 차지하였다. 대학생들의 휴식 시간에 자주 이용되는 텔레비전과 인터넷, 스마트폰이란 사실을 상기시켜주는 결과였다. 반면 실제로 보안 프로그램을 다운받는 절차를 통해 알게 되는 경우는 0%로 집계되었다. 이미 매체를 통한 안랩에 대한 인식을 바탕으로 V3 보안 프로그램을 다운로드했을 것으로 예상된다.

 

 '안랩'하면 가장 먼저 떠오르는 건 무엇인가요?

 

안랩하면 가장 먼저 떠오르는 것으로는 60%가 넘는 학생들이 V3를 꼽았다. V3가 안랩의 대표적인 보안 소프트웨어인 프로그램인 만큼 가장 높은 인지도를 지닌 것으로 나타났다. 두 번째로 높은 인지도를 나타낸 건 1995년 안랩의 최초 창립 이래 십수 년간 안랩의 발전을 위해 일하셨던 안철수 의원이었다.

 

 안랩과 관련된 책 중 읽은 책이 있다면 표시해주세요.

안랩과 관련된 책을 읽은 대학생은 약 20% 정도였다. 안랩을 알게 되었던 경로를 조사한 통계 수치를 비교해보았을 때, 방송에서 안랩에 대한 소식은 자주 접하지만, 책과 같은 인쇄매체로 접하는 사례는 비교적 적은 것으로 나타났다. 통계 결과 안랩에 관련된 책을 찾아 읽어본 학생은 5분의 1정도에 불과했다.


사용 중인 랩의 보안 소프트웨어(or서비스)를 모두 적어주세요.(복수응답) 

대학생이 가장 많이 사용하는 안랩의 보안 소프트웨어는 64%의 비율로 집계된 V3 라이트로 꼽혔다17%의 비율을 차지한 75명의 학생은 안랩의 보안 프로그램을 사용하지 않는다고 답하였다.

 

 V3를 의인화한다면 어떤 사람일까요? 

  

 

 

V3를 의인화할 경우, 성별이 남자일 것 같다고 답한 학생 수는 340명으로 87%란 높은 비율로 집계되었다.

V3가 사람들을 바이러스로부터 보호하고 지켜낸다는 사실이, 사람들로 하여금 V3를 남성으로 연상되게 해 준 것으로 추정된다.

 

 

 

V3의 연령을 비교적 젊은 세대로 연상한 대학생은 320명으로, 30대 연상 비율 42%, 20대 연상 비율 40%로 집계되었다. 순간순간의 위기 상황에 빠르게 대처해야 하는 보안 프로그램 특성상, 에너지가 넘치고 활발한 세대인 20-30대를 꼽는 사람이 많은 듯하다.

 

 

 

작년 24주년 기념 설문조사 때는 캐주얼이 1위를 차지하였으나, 이번엔 42% 가량의 대학생이 정장을 1위로 채택하였다. 바이러스를 없애고 PC를 보호하는 역할을 하는 만큼 깔끔하고 스마트한 의상이 잘 어울릴 것 같다는 생각에서 비롯된 결과로 추정된다. 그 뒤를 이어 캐주얼 의상일 것이란 답변이 31%2위 자리를 차지하였다 

 

V3의 성격에 대한 설문 결과는 흥미로웠다. 외향적이라는 답변과 완벽주의자일 것 같다는 답변이 가장 높은 확률을 차지하였다. V3가 꼼꼼히 세부적인 감염까지도 체크해야 하기 때문에 완벽주의자일 것이란 답변이 많이 채택되었던 것으로 추정된다. 그 외 민첩하다, 수수하다 등의 다양한 답변이 선택되었다.    

손석희 JTBC 보도부문 사장이 4년 연속 V3를 닮은 명사로 선정되었다. 작년 V3 탄생 24주년을 맞이하여 실시했던 설문조사 결과 32%의 지지율로 1위를 차지했는데, 올해에도 이와 비슷한 31%의 지지율로 논리적이며 완벽한 지성인인 손석희 사장이 1위에 올랐다. 개그맨 유재석 역시 4년 연속 2위에 올랐다. 눈에 띄는 변화는 지지율이 지난해 12%에서 올해 27%로 껑충 뛰었다는 점.

 

 V3에 응원 한 마디, 또는 바라는 점

국내 소프트웨어의 상징이자 대표 보안 소프트웨어 기업인 안랩.

현재 수많은 대학생은 안랩이 국민의 보안의식을 일깨워줄 중요한 보안 기업이라 굳건히 믿고 있다. 우리나라의 대표적인 보안 브랜드인 만큼, 우리 모두를 위한 백신 개발을 위해 더욱 노력해 주기를 희망한다는 메시지가 가장 많았다. 일반 국민의 보안 의식 향상을 위한 더 많은 노력을 바탕으로, 앞으로 더욱 빛나게 성장해 나갈 안랩의 밝은 미래를 기대해 본다. Ahn 

 


대학생기자 윤덕인/ 경희대 영미어학부

항상 배우는 자세를 잊지 말고 자신을 아낄 것

온몸을 던져 생각하고, 번민하고, 숙고하자

 

 

댓글을 달아 주세요

스펙 쌓기보다 중요한 대학 졸업 전에 할 일 6가지

현장속으로/세미나 2013. 6. 15. 07:00

지난 5월 11일 연세대학교에서 3인3색이라는 주제로 자신만의 색을 찾기 위한 강연이 열렸다. 한국대학생 IT경영학회에서 주최한 강연으로 '스펙'에서 벗어나 자기만의 색깔을 가질 수 있도록 도와주기 위한 목적을 가지고 있다. 

3개의 세션 중 공연기획사 스테이지원 박진학 대표의 '예술 경영이란 무엇인가?'가 인상적이었다. 박 대표는 성공한 삶은 일과 사랑이 균형을 맞춘 조화로운 삶이라고 말했다. 그리고 대학 졸업 전에 해야 할 일 여섯 가지를 강조했다. 다음은 주요 내용.

 

성공한 삶은 무엇인가? 

성공한 삶이란 일과 사랑이 균형을 맞춘 조화로운 삶이다. 일과 사랑이 균형을 이룰 때 심신이 편안하고 행복한 상태가 유지될 수 있는 것이다. 그렇다면 어떻게 하면 행복할 수 있는 것일까? 

순간순간 행복함을 느낄 수 있다면 그것이 행복이라고 생각한다. 좋은 경험과 좋은 기억, 행복한 기억이 쌓이면 그것이 바로 행복인 것이다. 행복한 경험이란 결국 선택의 문제인 것인데 선택에는 돈, 시간, 노력이 필요하다. 같은 조건에서 더 나은 선택을 한다면 더 좋은 경험을 얻는 것이고  더 행복한 삶을 살 수 있는것이다. 그런 차원에서 문화예술의 향유라는 접근이 필요하다.

특히 한국적 특수 상황을 보았을 때 문화예술의 필요성을 느낄 수 있다. 직장인을 대상으로 설문조사를 한 흥미로운 결과가 있다. 대한민국에서의 중산층 기준은 30평대 이상의 집을 갖고 있고, 월 급여가 500만 원 이상이며, 2000cc급 이상 중형차를 보유하고, 1억 원 이상의 예금 잔고가 있으며, 1년에 한 번 이상 해외여행을 다니는 사람이다. 

하지만 영국의 기준은 언제 어디서 무슨 일을 하든 페어플레이를 하고, 자신의 주장과 신념을 갖고 있으며, 독선적인 행동을 하지 않고, 약자를 두둔하고 강자에 대응하며 불의 불평등 불법에 의연히 대처하는 사람이 곧 중산층이다. 

프랑스에선 외국어 하나 정도는 할 수 있고, 직접 즐기는 스포츠가 있으며, 남과는 다른 맛을 낼 수 있는 요리를 하나쯤 만들 수 있어야 한다. 또한 대중의 분노에 의연히 참여하고, 약자를 돕고 봉사활동을 꾸준히 하는 사람이다.

미국의 공립학교에서 가르치는 중산층의 기준도 크게 다르지 않다. 자신의 주장을 떳떳하게 표현하고 사회적인 약자를 도우며, 부정과 불법에 저항할 줄 알며, 테이블 위엔 정기적으로 받아보는 비평지가 놓여있는 사람이 중산층이다. 

또한 이들 선진국에선 문화예술의 중요성을 느끼고 시민에게 예술을 경험하는 기회를 제공하려고 노력한다. 삶에 다양한 경험을 제공할 수 있기 때문이다. 이것은 행복지수가 높아지는 길이다.

"문화와 문화교육은 한 사회를 유지하고 좀더 가치있는 곳으로 만드는 중요한 사회적 유산을 후세에 전달하는 역학을 한다." 

-독일 문화부 장관 버언 노이만 Berned Neumann-


"모든 경제적 번영은 문화에서 기인한다."

 -새뮤엘 헌팅턴/로렌스 해리슨 공저 <Culture matters -문화 원인론>

대학 졸업 전 꼭 해야 하는 것

1.꿈을 가져라.

내가 시간 가는 줄 모르고 집중하는 것, 힘든 줄 모르고 신나게 할 수 있는 것을 찾아야 한다.

2.자기의 성향을 파악하라.

평생 가지고 가야 할 재료를 확인하는 것으로 남들과 다른 나를 파악하는 것이다. 요즘 사람들은 자꾸 자신의 단점을 보완하고 극복하려 하는데, 이보다 자신의 강점을 찾고 이를 더 발전시키려 노력하는 게 중요하다.

3.가능한 다양한 경험을 하라.

연애, 여행, 봉사, 아르바이트 등 독립된 삶을 살기 위한 리허설을 해야 한다. 다양한 경험을 해봐야 자신의 강점이 무엇인지 알 수 있다. 이것은 자신이 혼자 생각한다고 알 수 있는 것이 아니라 직접 부딛혀 보아야 한다.

4.자신감을 갖는 훈련을 하라.

사람마다 다른 재능을 가지고 있기에 타인과의 비교는 무의미하다. 자신감은 성공을 부르는 가장 중요한 자산이므로 같은 재능도 더 근사하고 멋지게 보일 수 있는 힘이다. 남과의 비교보다 더 중요한 것은 자기 자신과의 비교를 통해 발전해 나가는 것이다.

5.독서

독서는 최고의 자산으로 대학생 시기에 버릇을 들여야 한다. 책을 많이 읽다보면 어떤 책이 좋은 책이고 어떤 책이 아닌지 구별하는 시야가 생긴다. 또한 자신에게 필요한 책이 무엇인지 어떤 글이 좋은 글인지 판단하는 안목이 생긴다. 일단 책을 많이 읽어야 한다.

6.롤모델을 정하라.

자기가 원하는 이미지, 자기가 원하는 사람이 있다면 그 사람이 무엇을 하는지 어떤 말을 하는지 잘 살펴보면 어느새 그런 모습과 닮아있는 자신을 발견할 수 있다. 

행복한 삶, 성공한 삶을 살려면 내가 무엇을 좋아하는지 아는 게 가장 중요하다. '스펙'과 '대기업 취직'을 좇는 게 아니라 자신이 좋아하는 일을 해야 한다. '돈'에 현혹되면 안 된다. 돈은 일정 시간이 지나면 누구나 다 얻을 수 있다. 연봉이든 경력이든 다 맞춰지게 되어있다. 그렇기에 지금은 자신이 진정으로 원하고 좋아하는 것이 무엇인지 생각하는 시간을 가져보길 바란다. Ahn


대학생기자 임지연/ 덕성여대 컴퓨터학과


진심을 다해 행동하면 무엇이든 해낼 수 있다. 



댓글을 달아 주세요

  1. 소중이 2013.07.10 08:15  Address |  Modify / Delete |  Reply

    유익한정보 감사합니당~

  2. ㅂㄴ 2013.09.09 08:19  Address |  Modify / Delete |  Reply

    군대제대하고. 복학해서 다니고있는데
    지금다니는 대학. 토익에 학점관리땜에 스트레슨데
    열정이이끄는곳으로가야하나요?

선량한 관리자가 되기 위한 필요조건

현장속으로/세미나 2013. 6. 14. 08:43

지난 5월 14일, 양재동 엘타워에서 '스마트 융합 시대에 필수적인 개인정보보호와 금융보안'이라는 주제로 'FPIS 2013 금융보안&개인정보보호 페어'가 열렸다.

오전 세션에는 오프닝 연설과 기조연설이 진행되었고, 오후 세션에는 트랙A와 트랙B로 나뉘어 발표가 구성되었다. 발표장 바깥에는 전시부스가 마련되어 개인정보보호 관련 솔루션 등 다양한 프로그램의 체험이 가능했다.

소만사(소프트웨어를 만드는 사람들)의 김대환 대표의 기조연설 '컴플라이언스와 개인정보보호 2.0'를 들어보았다. 아래는 주요 발표 내용.

<개인정보 / 보안 침해사고 동향>

개인정보 유출사고의 원인에는 크게 두 가지가 있다. 첫째는 경제적 목적, 둘째는 정치적 목적이다. 개인정보를 통해 얻게 되는 이득이 커짐에 따라 개인정보 침해사고의 방식은 더욱 다양하고 치밀해지고 있다. 개인정보 침해사고의 신규 동향을 살펴보자. 

1. 웹서버나 어플리케이션에서의 개인정보 취득 : 어플리케이션 서버를 경유하여 개인정보를 조회한 후, 유출한다. 한번에 한 두건씩, 누적시켜 수십만건의 정보를 조회한다. 기존의 탐지 방식으로는 사용자의 이상조회를 식별할 수 없으므로 피해가 발생하게 된다.

2. APT 공격 : DB접속 권한자의 PC를 악성코드 배포를 통해 해킹하고, 권한자가 부재중일때 DB에 접속하여 개인정보 파일을 취득한 후 외부로 전송한다.

3. 웹서버에서의 개인정보 취득: 사용자들에게 활성화 되어 있지 않은 개발용 웹서버도 타겟이 된다. 웹어플리케이션 서버는 외부에 노출되어 있으므로, 가장 손쉬운 해킹의 대상이며, 웹서버 해킹만으로 수백만건의 개인정보 유출사고가 발생할 수 있다.

<개인정보 법적 분쟁 분석>

카드사, 증권사, 통신사 등 다양한 업종의 회사로 부터 개인정보가 유출된 사례가 있으며, 경로는 출력물, 웹서버, 이메일, FTP, 어플리케이션 등으로 다양하다. 이는 개인정보 집단 소송으로 불붙어 보안 사고 후의 화두가 되고 있다. 소송에 대한 법원의 판단 근거는 '선량한 관리자로서의 기술적 관리적 보호조치 의무를 다하였는가?' 이다. '선량한 관리자로서의 기술적·관리적 보호조치 의무'는 아래와 같다.


<개인정보 컴플라이언스>

개인정보에 대한 통제 체제(가버넌스)를 획득하기 위해서는 개인정보 보유 현황을 분석하고, 개인정보 조회와 취득을 통제하고, 개인정보 전송과 유출의 3단계에 대한 통제 및 감사가 이루어져야 한다. 

개인정보 보유 현황 파악 및 보호 조치 단계에서는 PC뿐 아니라, DBMS나 서버의 개인정보 보유현황을 체크해야 한다.

다음으로 개인정보 조회와 취득에 대한 통제 단계에서는 쿼리툴을 통한 개발자/DB관리자 접근, 어플리케이션을 통한 일반 취급자 접근, Shell service를 통한 시스템 관리자 접근에 대한 분리가 이루어져야 한다.

마지막으로 개인정보 전송과 유출 통제 단계에서는 인터넷을 통한 개인정보 전송, USB등 미디어를 통한 복사 및 전송, 망분리 요건, 비업무 사이트 통제 등의 통합 관리 체제가 이루어져야 한다.

<개인정보 기술적 보호조치 기술적 신동향>

사례 몇 가지만 살펴보자. 사례1의 'Content-Aware DB 접근통제'는 쿼리 자체의 통제가 아닌 개인정보 응답값 분석을 통한 통제를 통해 이루어진다. 사례4의 '개인정보화일 (웹)서버 저장 현황 분석'은 어플리케이션 서버, 파일 서버, 웹서버, 개발 서버에 무단보관된 개인정보 파일 분석/삭제/암호화를 활용한다. 사례5의 '출력물 개인정보 감사 통제'는 텍스트나 이미지 형태로 추출하여 로그를 저장하여 선별한다. 이 과정에서 개인정보가 포함된 것이 발견되면 결재를 필요로 하게 된다. 사례 6의 '오픈 소스코드 기반 분산병렬처리 분석(빅데이터 분석)'은 검색 조건에 따른 필드별 집계 표시로 상관 관계를 분석하여 실행한다.

발표를 통하여 개인정보 유출을 다루는 법적인 시각과 기술적인 부분을 모두 알아볼 수 있었다. 다양한 개념에 대해 심도있는 설명으로 뒷받침 하여, 가벼운 내용들이 아님에도 쉽게 이해할 수 있었다. 
잃고 나서 수습하는 것을 '소 잃고 외양간 고친다'라고 한다. 그러나 보안의 경우 '소를 잃고도 외양간을 고치지 않는' 기업들이 많다고 한다. '선량한 관리자의 의무'를 법적, 기술적으로 피해를 줄일 수 있는 방안이라 여기고 미리 지킬 수 있도록 해야 할 것이다. 알아야 지킬 수 있고, 지켜야 지킬 수 있다.Ahn

 

 대학생기자 이혜림 / 세종대 컴퓨터공학과

나를 바로 세우고, 타인을 존중하는 삶.

오늘도 새겨봅니다.


댓글을 달아 주세요

안전한 인터넷 플랫폼은 어떻게 해야 가능할까

현장속으로/세미나 2013. 6. 11. 15:09

지난 5월 9일, 논현동 파티오나인에서 ‘실제 사례를 통해 보는 빅데이터ㆍ클라우드ㆍHTML5’ 란 주제로 ㈜아이뉴스24가 주관하는 『2013 NEXCOM Tech Market』 이 열렸다. 안랩 융합제품개발실 김기영 실장은 ‘HTML5 기반 웹/웹앱 보안’을 주제로 발표하였다.

김기영 실장은 HTML5에 기반 한 웹 플랫폼의 변화와 그에 따른 웹 보안 이슈, HTML5 보안 이슈 그리고 보안 강화 방안의 순서로 발표를 진행하였다. 웹 플랫폼이 발전함에 따라 사용자와 개발자 모두 더 빠르고 편리하게 웹을 이용하게 되었지만, 공격 기법과 취약점은 훨씬 증가하였다. 사용자와 개발자 모두 항상 보안에 대한 긴장을 늦춰서는 안 되는 이유이다. 다음은 김기영 실장의 주요 발표 내용. 

HTML5에 기반한 웹 플랫폼의 변화

웹 플랫폼의 발달은 다양해진 기술만큼 이에 따른 취약점을 이용한 공격들이 많아졌다. HTML5는 사용하지 않아도, 브라우저가 HTML5를 지원하고 있기 때문에 공격코드를 HTML5로 하면 동작이 가능해 모두 HTML5의 보안 문제에 대비해야 한다. 

웹 보안 이슈

 Phishing 

주로 이메일/메신저/SMS 등을 통해 사용자를 가짜 사이트로 이끈 뒤 개인정보와 금융정보 등을 탈취하는 공격

 Pharming

악성코드를 통해 Host file 조작, API Hooking 이나 DNS 조작 등을 통하여 사용자를 다른 사이트로 접근하게 하여 피싱과 같이 정보를 탈취.

 Session Hijacking

유효한 세션의 정보를 탈취하여 인가되지 않은 접속을 하는 공격

 Click Jacking

사용자가 의도한 클릭과 다른 동작을 하도록 하는 공격

 XSS (Cross Site  Scripting)

다른 사람이 보는 웹화면에 client-side-script를 삽입하여 접근 제어를 우회하고 해당사이트의 개인정보나 개인의 쿠키정보 등을 탈취하는 공격

 SQL Injection

입력 필드에 SQL문의 일부를 삽입하여 서버에서의 SQL의 동작을 바꾸는 방법으로 인증우회를 하며 또 다른 공격괴 연결되도록 한다.

 Web Shell

웹 기반의 shell로서 웹서버의 다양한 취약점을 통해 server page를 업로드하고 브라우저를 통하여 명령전달 및 그 결과를 받아보는 공격 방식.

Phshing은 스마트폰의 발전으로 SMS+Phsing라 불리는 Smishing으로 휴대폰 해킹이 늘어가며 문제가 되고 있다. 또한 클라이언트에 침투해서 클라이언트시스템을 바꾸어 사용자가 마치 가짜사이트를 진짜사이트처럼 접속하게 속이는 Pharming으로 Phishing이 더욱 강력해지고 있다.

Session Hijacking에는 공격기법이 자신의 세션으로 정상 사용자가 로그인 하게 하는 방법인 Session Fixation, packet sniffing을 통해 유효 session cookie를 가져오는 방법인 Session Sidejacking, 공격자가 웹사이트에 client-side-script를 삽입하여 사용자의 입력정보나 세션정보를 취하는 방법인 Cross-site scripting(XSS)로 세 가지이다.

Click Jacking은 페이스북에서 이용된 사례가 있으며, 뉴스피드에 뜬 성인 동영상을 호기심에 play하면 곧바로 “공유하기”나 “좋아요”로 동작이 된 것이다. 이를 통해 동영상은 많이 퍼져나가 공격자들은 돈을 벌게 된다.이와 같은 공격이 빈번히 발생하자 페이스북에서는 Click Jacking을 차단한 것으로 보인다.

SQL Injection공격에 이용되는 쿼리문의 예시는 아래와 같다.

statement = "SELECT * FROM users WHERE name = '" + userName+ "';“\

SELECT * FROM users WHERE name = '' OR '1'='1';

구문에서 뒤의 OR '1'='1'; 은 무조건 참이 되게 하는 쿼리문이다. 이러한 쿼리문으로 SQL의 조건을 변경하여 이상한 결과가 출력되도록 한다.

Web Shell은 사이트의 안전성을 평가하는 항목 중 필수적으로 들어갈 정도로 중요하며, 개발자가 만들지 않은 업로드페이지를 호출하여 공격자가 원하는 쉘 명령을 실행을 한다. 그 결과 정보를 삭제 및 추가 등 심각한 문제가 발생한다. 

HTML5 보안 이

HTML5의 기본사항은 WEB as CS로, HTML5의 기능이 매우 다양해졌다. 이러한 기능들의 조합으로 이전에 불가능 했던 공격들이 가능해지며 공격접점이 증가하였다.

위 그림과 같이 매우 다양한 방법의 공격이 HTML5에 존재한다. 공격은 어마어마한 기술을 사용하는 것이 아닌, 대부분 개발의 허점을 찾아 단순하게 이뤄지기 때문이다. 이러한 공격은 Bug를 통해 많이 이루어진다. Bug가 꼭 취약점을 의미하지는 않지만 기능이 많을 수록 취약점도 많아진다. 이러한 Bug를 몇 가지 살펴보면 브라우저와 멀티미디어가 있다. 브라우저에서는 Use After Free와 Buffer Overflow, 멀티미디어는 웹과 브라우저가 아닌 수많은 어플리케이션과 시스템이 취약점으로 확장을 가져온다. 

보안 강화 방안

 Secure Coding

개발자들은 머릿속에서만 만들어 둔 전제를 코드로 구현해야 한다.            텍스트를 받아서 처리한다고 생각을 하면, 해당 데이터가 텍스트인지 여부, 글자의 길이를 확인하는 코드 등 머릿속 전제를 코드로 구현한다면 보안성이 월등히 높아질 것이다.

 Secure Channel

 HTTPS는 SOP를 강제하는 효과가 있다. 따라서 대부분의 HTML 보안 이슈를 원천 차단하는 효과가 있다. 따라서 페이스북, 구글과 같이 HTTPS로 접근하는 사이트를 이용할 것을 권유한다. 이를 이용하면 중간에 데이터가 들어와 변조가 되는것은 막아준다.

 클라이언트 side에서의

 컨텐츠 검증

Channel이 보호된 상태라면 클라이언트에서 스크립트 실행 전 점검하는 코드를 삽입해준다. 악성코드에 삽입되는 코드를 필터링하는 코드나 데이터의 길이를 체크하는 코드를 삽입해 주는 것이 좋다.

 웹방화벽

웹방화벽을 이용해 SQL Injection, XSS 등 다양한 웹 취약점에 대한 공격을 방어한다. 하지만 방화벽을 너무 믿는것 보다는 정기적 점검과 코드수정이 더 중요하다.

 웹 취약점 점검

자동 점검 도구나 서비스를 통한 정기적이고 지속적인 점검이 필요하다.

 웹 앱 검증

애플은 앱검증을 철저히 하기 때문에 악성코드가 없다. 사전검증은 악성코드를 줄일 수 있기 때문에 앱 검증을 철저히 해야 한다.

Ahn


 대학생기자 박서진 / 서울여대 정보보호학과

 끝없이 노력하고 끝없이 인내하고 끝없이 겸손하자.

 


댓글을 달아 주세요

안랩이 묻고 대학생이 답하다(1) 스마트폰에 대한 생각

6월은 대한민국 대표이자 글로벌 소프트웨어 브랜드인 V3가 개발된 지 25주년이 되는 달이다. 이 시기에 맞추어 5월 한 달 간 전국 총 391명의 대학생을 대상으로 IT 기기 사용 패턴에 대해 설문조사를 진행했다. 

 

대학생들은 인터넷을 주로 어떤 용도로 사용하고, 그들이 가장 많이 사용하는 스마트폰 기능은 어떤 것일까? 특히 스마트폰의 가까운 미래에 대한 예측을 들어봄으로써 다양한 IT 트렌드에 대한 이해가 가능했다.

 

 인터넷을 사용하는 주된 용도는 무엇입니까?

대학생들은 인터넷을 사용하는 주된 용도로 뉴스와 자료검색을 꼽았다. 과거부터 인터넷이 가지고 있던 자료검색의 능력은 현재까지도 높은 비율을 차지하고 있었다. 그러나 과거와 비교해서 그 비중이 절반에 미치지 못하는 동시에 페이스북 사용 용도가 상당히 증가했다는 점은 시사하는 바가 크다. 특히 중복 선택이 안되었다는 점을 감안했을때, 페이스북의 사용시간이 인터넷 사용시간에서 차지하는 비중은 상당할 것으로 예상된다.

 

스마트폰 사용 시 가장 많이 이용하는 메뉴나 기능은 무엇입니까?

사람들이 가장 많이 사용하는 스마트폰 기능은 SMS, 카톡 등 모바일 SNS 기능이었다. 압도적인 77%의 비중을 차지하고 있을 정도로 스마트폰에서는 커뮤니케이션 기능이 많이 강조되는 것으로 이해할 수 있다. 특히 인터넷 사용 용도와 달리 SNS기능의 비중이 높고 정보검색 비중이 상대적으로 적은 점은 주목할만 하다.

 

다양한 기능을 가진 스마트폰에 부가장치로 무엇이 가장 필요하다고 생각하십니까?

대학생들이 생각하는 부가장치와 앞으로의 추가될 기능에 대한 동향을 들을 수 있었다. 우선 스마트폰 부가장치로는 꽂으면 PC화면에 그대로 디스플레이되도록 한 도킹 스테이션이 가장 선호도가 높았다. 그 다음으로는 음악, 영상 공유가 가능한 스피커, 그리고 블루투스 키보드 순이었다.

 

스마트폰은 가까운 미래에 어떤 기능을 추가로 흡수할 거라고 보십니까?

미래에 어떤 기능이 스마트폰에 추가될 것인가 하는 물음에는 모바일 금융카드와 USB나 외장 하드 기능이 높은 점유율을 차지했다. 이는 스마트폰이 앞으로 신용카드나 휴대용 외장하드를 흡수할 것으로 예상해볼 수 있다. 또 기타 의견으로 컴퓨터 자체를 대체한다는 의견과 스마트폰이 추후 아이언맨의 자비스가 될 것이라는 재밌는 답변도 있었다.

 

다양한 모바일 기기 중 분실 시에 개인정보유출 등 가장 심각한 피해가 예상되는 것은 무엇입니까?

또, 분실 시 개인정보유출이 가장 심각할 것으로 예상되는 기기로는 많은 대학생이 스마트폰을 뽑았다. 그만큼 스마트폰의 중요한 개인정보가 많이 포함되있고, 동시에 많이 이용하기 때문으로 판단된다. 그러나 실제 스마트폰의 보안을 지키기 위한 행동은 이러한 심각성 인지를 따라가지 못하고 있다고 생각된다.

 

컴퓨터(정보) 보안 업체로 어떤 업체를 알고 있습니까? 

컴퓨터 보안 프로그램 하면 어떤 제품이 가장 먼저 생각나십니까?

그리고 주관식으로 물어봤던 컴퓨터, 정보 보안 업체는 안랩과 Avast, 이스트소프트, 하우리, KISA 순으로 꼽혔다. 특징적인 것은 모른다는 답변을 많이 찾아볼 수 있었다는 점이다. 실제로 대부분의 사람이 컴퓨터, 정보 보안 프로그램을 이용하고 있음에도 업체에 대한 정보를 모른다는 것은 개별 사용자들이 보안 업체에 대한 인지가 낮다는 사실을 알 수 있다.

또, 떠오르는 보안 프로그램의 대한 제품이 무엇인가에 대한 질문에는 V3, 알약, 카스퍼스키 순으로 꼽혔다. 이 역시 모른다는 답변이 많았으며 그 밖에 다음PC클리너, 노턴안티바이러스, 네이버클리너 등의 답변도 확인할 수 있었다. Ahn

 

대학생기자 노현탁 / 건국대 기술경영학과
 


댓글을 달아 주세요

  1. 윤덕인 2013.06.04 23:00 신고  Address |  Modify / Delete |  Reply

    현재 대부분의 사람들의 실생활에 많은 영향을 미치고 있는 '스마트폰'의 사용에 대하여 통계로 정리하여 볼 수 있니 좋네요. 좋은 기사 감사합니다.^^

IT는 우리 실생활에 어떻게 응용될까

현장속으로/세미나 2013. 6. 3. 08:30

지난 5.21부터 5.24일까지 COEX Hall B에서 Security Korea 2013가 열렸다. K.FAIRS, 한국감시기기공업협동조합, CCTV저널이 공동 주최하는 이번 전시회는 7개국, 120업체, 300부스가 참여했다.

전시 품목에는 보안기기부분 - 보안장비 시스템(화상감지 시스템, 출입통제 시스템, 생체인식 시스템, 보안장비 시스템), 빌딩자동화 시스템(홈 네트워크 시스템, 홈 시큐리티 시스템, 무인 전자경비 시스템, RFID), 홈랜드시큐리티 시스템(위치추적 시스템, 안전/화재 및 방재 시스템, 경비 및 테러보안장비), 정보보호 - 정보보호 솔루션(PC보안, 인증 및 암호 솔루션, 네트워크 보안 솔루션, 오피스 시큐리티 솔루션)이 있다.

동시 개최 행사로 ICT 기반의 융,복합 보안 시장 전망 세미나, Mobile OS보안 시장 전망 세미나, 스마트 기기 시대의 무선커터넥티비티 시장 전망 세미나가 열렸는데 Mobile OS 보안 시장 전망 세미나에 안랩역시 참가하여 발표를 진행했다. 

시큐리티 코리아는 business day와 public day로 나누어 진행하였는데 public day에는 일반인도 함께 참여 할 수 있게 진행되었다. 인터넷으로 미리 등록하면 입장시간도 단축할 수 있을 뿐 아니라 입장료도 면제된다.

많은 기업들이 전시를 하고 있는 모습이다.

 

하드디스크 및 저장매체 파쇄기 

파쇄된 하드디스트 잔해들

저장매체 파쇄기 개발, 제조사 모세시큐리티는 최근 상용화한 하드디스크 및 저장매체 파쇄기 하드브레이커를 선보였다.

이 회사는 세단기 렌탈, 콘솔박스 서비스 등 문서보안 솔루션을 비롯해 문서 및 하드디스크 파쇄설비 구축과 유지보수 전문업체로 자체 기술 연구소를 두고 산업용 파쇄기, 파쇄차량, 각종 파쇄 설비류를 개발, 생산하고 있다. 이번 전시회에는 하드디스크 및 저장매체 파쇄기 하드브레이커(Hard Breaker) ‘AX-1’, ‘AX-2’ 신제품 2개 모델과 해외 카지노 업체에 납품하는 커스터마이징 모델 ‘AX-11’이 공개됐다. 관객이 직접 파쇄하는 장면을 볼 수 있어 흥미로운 전시였다.

화질의 차이가 거의 없이 용량을 최대 7배 가량 줄여주는 프로그램이다. AtomJPEG의 특징은 장치에서 사진을 가져오는 속도가 빠르며 핸드폰이나 디지털 카메라 같은 장비에 업로드할 수 있다는 것이다.

직접 사진을 가지고 시연을 해주기 때문에 쉽게 이해할 수 있는 설명이었다. 이제는 적은 용량으로도 많은 사진을 확보할 좋은 기회가 생길 것으로 기대된다.

위의 사진은 스마트폰 충전을 위한 제품이다. 각각의 제품을을 미리 충전시켜 놓고 하나씩 가져가 핸드폰 단말기에 연결하면 충전이 되는 기능으로 카페나 음식점등 다양한 곳에서 사용될 것으로 보인다. 저런 제품만 있다면 가게에 갔을 때 핸드폰 충전을 따로 부탁하지 않아도 될 것이다.

카메라 속에 잡힌 사람들의 얼굴을 자동으로 모자이크 처리해주는 카메라이다. 지나가는 사람들의 얼굴이 자동으로 모자이크 처리가 된다.

회사나 학교 등 출입문을 관리하는 보안 출입문제품도 전시되어 있다. 직접 체험해 볼 수도 있어 흥미롭다.

 

터치 능력을 보여주는 것으로 하나의 그림을 확대하면 수 차례 확대된다. 많은 사람이 흥미를 가지고 체험할 수 있게 전시해 놓은 것이다. 모자이크 같은 사진을 각각 확대하면 사진이나 영상을 볼 수 있다.

보안 카메라의 여러가지 기능을 보여주고 있는 모습이다.

 

코엑스에서 열린 Security Korea는 주로 제품을 소개하는 전시회라 회사에서 주로 참가하여 보는 것 같다. 학생이 둘러보기엔 다소 생소하고 어려운 부분도 많았지만, 현재 우리가 공부하고 있는 IT가 실생활에서 어떤 식으로 응용되고 사용되는지 알 수 있는 좋은 기회였다. 또한 이곳 저곳 둘러보며 많은 것을 체험해 볼 수 있어 흥미로웠다. Ahn

 

 

대학생기자 임지연/ 덕성여대 컴퓨터학과


진심을 다해 행동하면 무엇이든 해낼 수 있다. 

 

 

 

 

댓글을 달아 주세요

  1. 어설 2013.06.04 22:05  Address |  Modify / Delete |  Reply

    깔끔하게 보기좋네요
    근데 기자님 좀 이쁘신듯...ㄷㄷㄷ

  2. ㅇㅅ 2013.06.05 00:25  Address |  Modify / Delete |  Reply

    신기방기하네요 기사잘봣어요 기자님
    사진의컨셉은뭔가여?

  3. ㅇㅅ 2013.06.05 00:25  Address |  Modify / Delete |  Reply

    신기방기하네요 기사잘봣어요 기자님
    사진의컨셉은뭔가여?

국내 최초 정보보호학과 순천향대 3대 동아리

순천향대 정보보호학과에는 작지만 힘 있는 3개의 정보보호 학술 동아리가 있다. 2001년 국내최초 학과과정으로 정보보호학과가 세워진 이후, 올해로 13년을 맞은 보안 동아리 Security First부터 하드웨어 보안 및 임베디드를 연구하는 CQRE, 보안 응용기술을 연구하는 정보보호 응용 연구회 LOGOS가 있다. 보안에 대한 각자의 주제를 가지고 있는 세 동아리를 차례로 방문했다.

보안이 최우선, "SecurityFirst"

SecurityFirst는 2001년 3월 27일 염흥열 교수 지도 하에 학부생들이 주축이 되어 생겨난 학술동아리다. "보안이 최우선"이라는 슬로건으로 활동하고 있으며, 주로 보안의 기술적인 부분을 공부하고 있다. 다양한 해킹대회 참가 및 KUCIS, PADOCON과 같은 활발한 대외활동으로 이름을 알리고 있는 SecurityFirst의 운영진과 인터뷰를 해보았다.

- 어떤 활동을 하고 있나요

SecurityFirst는 6명의 운영진과 55명의 회원이 활동하고 있으며 모든 회원은 하나의 팀에 속하여 활동하게 됩니다. 현재는 Windows Reverse, Web, Linux System, Android Kernel을 공부하는 4개의 팀으로 구성되어 매주 1회 세미나와 별도의 팀 세미나를 진행하고 있습니다. 대외적으로는 대학 정보보호 동아리 연합회(KUCIS)와 PAraDOx CONference(PADOCON)에서 활동하고 있으며, 각종 컨퍼런스에 발표하며 참여합니다. 

- SecurityFirst의 강점

무엇보다 한국 인터넷진흥원(KISA)의 대학 정보보호동아리연합회(KUCIS)에 지속적으로 지원을 받고, 우수동아리 수상을 손으로 꼽을 것입니다. 그 만큼 동아리의 활동을 인정받는 것이니까요. 또한 회원들의 노력으로 얻은 다양한 수상 경력 또한 SecurityFIrst의 큰 자랑거리입니다.

2002. KUCIS 대학 지원사업 선정

2005. 제 2회 해킹방어대회 금상

2006. 제 2회 공개웹S/W 취약점찾기 동상, 제 3회 해킹방어대회 특별상, 공군본부 정보기술 실무교육 해킹 시연

2007. 제 4회 해킹방어대회 금상, 국방 정보보호 컨퍼런스 해킹 시연

2009. 국방 정보보호 컨퍼런스, 해병대 사령부 해킹 시연

2010. 정보보호 인력채용 사이트 아이핀 환경 구성, 제 5회 S/W 보안취약점 찾기 우수상, 장려상

2011. ISEC CTF 본선 5위, 제 1회 POC 여성해킹방어대회 1위

2012. EBS 다큐프라임 '불멸의 기록, 당신은 사라지지 않는다' 촬영, 해병대 사령부 해킹 시연

하드웨어 보안 및 임베디드시스템 연구, "CQRE"

CQRE는 Secure Embedded라는 의미로 2004년 임강빈 교수 지도 아래 만들어졌다. 대학원 연구실과 학부생으로 이루어져 있으며, 학부생은 보안에 필요한 기초적인 이론과 실무적인 부분을 함께 공부한다. 교내 융합형 정보보호 설계 경진대회에 매 년 출전하며, 기업체 간의 공통 과제를 수행하면서 경험을 쌓고 있는 CQRE를 살펴보았다.


- 임베디드 시스템이 무엇인가요?
전자장치의 두뇌 역할을 하는 마이크로 프로세서를 장착해 제어할 수 있도록 기기에 내장(Embedded)형태의 장치를 이용한 시스템을 말합니다. 

- 어떻게 활동하고 있나요?

학부생은 네트워크, 포렌식, 모바일 악성코드 분석, 리버싱에 대해 공부하며, 각 주제에 대해 팀을 결성하고 연구한다. 주로 보안USB나 임베디드(ARM CPU)와 같은 하드웨어 보안 중심의 공부를 합니다. 

팀 활동 이외에도 외국(인도네시아 ITB Univ.) 학교 학생들과 함께 융합형 Capstone경진대회에 출전합니다.

- CQRE의 강점

순천향대 공과대 Capstone 경진대회에서 역공학 방지 솔루션으로 최우수, OTP(One Time Pad)를 이용한 USB사용자 인증부문에서 동상을 수상했을 정도로 학부생들의 열정이 대단합니다.

히 KT, LG CNS, 링크로드와 같은 기업과 연계가 잘 되어있어, 각종 특정 업무를 수행하는 시스템 및 서버를 구축하기도 했으며 현재는 임베디드 시스템 보안을 위한 초소형 방화벽 설계와 보안 USB 하드웨어 분석도구 설계 등 각종 지원을 받아 연구에 몰두하고 있습니다.  CQRE 출신 졸업생들은 Ahnlab, A3 Security, 윈스테크넷 등 보안업체에서 근무하고 있습니다.


보안 응용기술을 연구하는 정보보호 응용 연구회, "LOGOS"

사물에 대해 '무엇인가'를 파악하는 인간의 분별, 이성을 의미하는 LOGOS는 2010년 곽진 교수 지도하에 정보보호학을 전공하는 학생들로 구성되어있다. 특히나 대학원 정보보호응용 및 보증연구실[ISAA]와 연계하여 세미나 및 프로젝트를 진행하며, 열린 마음과 적극적인 선후배관계를 통해 정보보호 분야에서는 항상 최고라는 자부심을 가지고 있는 LOGOS를 취재해보았다.

- 공부하는 분야와 활동 소개?

LOGOS는 정보보호응용에 대한 연구 이외에도 학술대회에 논문을 투고하고, 신기술 동향분석 및 최신 해외 기술문서를 번역합니다. 이외에도 정보보호 응용과 관련된 특허를 보유하고 있으며 여러 사업에 참가하여 많은 실적을 내고 있습니다. 

- LOGOS의 강점

정보보호와 관련된 이론적인 부분 뿐만 아니라 실무에서 필요로하는 실용적을 다루고 있습니다. 클라우딩 컴퓨팅과 프로그래밍, 웹 보안을 기초로 한 연구를 하고 있으며 무엇보다 지속적인 졸업생과의 교류로 탄탄한 커뮤니티를 구축하고 있는 것 역시 LOGOS의 강점이라 할 수 있습니다.

2010. 정보보호응용 연구회 신설, 정보기술융합 혁신 아이디어 및 창업아이템 공모전 우수상, 장려상

2011. 한이음 IT멘토링 팀 프로젝트 선정, 순천향대학교 학술제 금상, 은상

2012. 한국 과학기술단체 이공계 과학기술동아리 지원 선정, 제7회 금융정보보호 공모전 장려상

 국가암호기술 공모전 특별상, 한국 정보보호학회 학술대회 발표 및 포스트세션

2013. 한국 과학기술단체 이공계동아리 지원 선정



매년 7월, 이 세 동아리는 SecurityFirst를 주축으로 CQRE, LOGOS가 힘을 합하여 청소년을 대상으로 정보보호 페스티벌 문제를 출제하고 있다.

대회는 온라인으로 36시간 예선이 치뤄지며 이 중 상위 10명을 뽑아 본선을 치룬다. 2012년에는 예선에 80명이 참가했으며 웹, 네트워크, 리버싱, 포렌식, 포너블 등을 기초로 한 문제가 출제된다. 우승자에게는 행정안전부 장관상이 주어지고 있어 많은 청소년들의 이목을 끌고있다. 올해로 11회를 맞고 있는 청소년 정보보호 페스티벌은 많은 호기심 많은 학생들과 숨은 실력자들이 나타나고 있고, 재학생들은 문제를 출제하고 운영하면서 실력을 키우고 있다.

실제로 순천향대 정보보호학과 재학생 중의 60%이상이 보안동아리 활동을 하고있다. 신입생들은 각 동아리에서 보안기초지식을 쌓으며 보안에 대한 꿈을 키우고, 재학생들은 한걸음 더 다가가 다양한 관점의 선택의 폭을 가지고 공부하고 있다. 

각 동아리마다 뚜렷한 개성을 지니고 있고 보안에 대한 열정을 꽃피우고 있는 SecurityFirst, CQRE, LOGOS의 노력과 발전이 지속된다면 정보보호 동아리의 미래는 밝을 것으로 기대된다. Ahn



대학생기자 이수진 / 순천향대 정보보호학과


그럴 만한 가치가 있는 사람이 되자!

언젠가 제 일에 대하여 대가를 얻을 때, 

"저 사람은 그럴 만한 가치가 있는 사람이야."

라는 말이 아깝지 않을 만큼 스스로를 성장시키겠습니다.



댓글을 달아 주세요

젊은 보안인의 모임, 전국 대학 연합 동아리 U.U.U

현장속으로/세미나 2013. 5. 28. 08:45

정보보안 전문가를 꿈꾸는 젊은 보안인이 한자리에 모여 지식을 공유하며 즐거움을 함께 나누는 축제인 전국대학CERT연합 U.U.U(Union of the Universal University for CERT)의 제 16회 상반기 정기 워크샵이 지난 5 11일 서울여자대학교에서 개최되었다. 12개의 대학 중 칭화대를 제외한 국내대학 11개의 130명이 참여하여 자리를 빛냈다.


U.U.U 공식 로고

 

이번 워크샵에는 총 6개의 주제로 서로의 지식을 공유하는 시간을 가졌다. U.U.U는 매년 상반기와 하반기를 나누어 각 대학에서 한 가지씩 주제를 마련하여 그 해의 보안 이슈, 각종 해킹 기법과 대응 방안, 소프트웨어 등에 대해 발표를 한다 U.U.U의 회장인 홍익대 신상윤 군을 만나 U.U.U에 대해 자세히 알아보았다.


16회 U.U.U 정기 워크샵 주제


-U.U.U가 만들어진 배경이 있다면 어떤 것이 있을까요?


초기 몇 개의 대학이 따로 공부하다가 보안이라는 공통 관심 분야를 공부하는 것을 알게 되고 친분을 쌓게 된 각 대학 회장들이 CERT 활동을 중심으로 같이 활동하고자 하는 마음으로 시작을 하게 되었어요.


-U.U.U는 현재 어떤 방식으로 세미나를 진행하고 있나요?


현재 U.U.U는 상반기와 하반기로 나누어 1학기, 2학기 중간고사가 끝나는 5월과 10월에 워크샵을 진행해요. 현재는 총 12개의 대학이 참여를 하고 있는데 각 대학 별로 자신이 연구하는 분야를 발표하여 세미나를 진행하며 세미나가 끝난 후에는 질문시간을 따로 가지면서 서로 연구한 분야에 대해 의견을 나누고 있어요.

U.U.U 회장단


-학내 보안 동아리인데 구체적으로 학교에서 어떤 활동을 하고 있나요?


먼저 CERT(Computer Emergency Response Team)를 주제로 활동 하는 만큼 대학교의 전산망을 대상으로 보안 관제, 침해대응, 로그분석, 모의해킹 등의 활동을 진행하고 있어요. 물론 사정상 학교에서 직접적인 CERT업무를 수행하지 못하는 학교는 동아리홈페이지를 대상으로 CERT업무를 수행하거나 CERT활동을 하고 있는 대학교를 벤치마킹하여 실습 과정을 공유하려고 노력하고 있어요.


-학교 공통으로 수행하고 있는 프로젝트가 있거나 계획하고 있는 것이 있을까요?


오픈소스, 매거진, 외국문서 번역 총 3가지를 진행하고 있어요. 오픈 소스 같은 경우는 U.U.U안에서 간단한 보안 프로그램을 만들어 U.U.U안에서 소스를 공유하는 프로젝트이지만 추후 SourceForge 같은 곳에 오픈 소스로 등록하려고 하고 있습니다. 매거진은 각 대학 들이 연구하고 있는 분야에 대하여 자세한 기술문서를 작성하여 하나의 보안 기술 문서 한 권을 만드는 프로젝트이고, 마지막으로 외국문서 번역 같은 경우는 보안공부를 하다 보면 외국문서를 봐야 되는 상황이 자주 생기는데 그런 경우를 대비해 외국문서를 번역하여 다같이 공유하고자 하는 목적에서 시작된 프로젝트에요. 저희 U.U.U에는 특이하게 중국의 칭화대가 포함되어 있는데 이 분들을 통해 영어권 외국문서뿐만 아니라 중국어로 된 외국문서도 번역하여 볼 수 있다는 점이 특징이에요.


-연합 동아리 회장으로서 힘든 점이 있다면?


사실 저희 동아리가 전국 연합 동아리라 서로 친해지려고 노력을 하지 않으면 꾸려나가기가 힘들어요이런 부분에서 가장 고민을 많이 하게 되고요물론 이런 점을 보완하기 위해 여름에는 전체 대학의 회장단뿐만 아니라 회원들까지 참여하는 여름 MT를 진행하여 친목을 도모하고 있어요.


-앞으로 U.U.U가 어떤 방향으로 발전했으면 하나요?


학술적인 목적이 강한 연합동아리이지만 참여 대학들의 신입회원까지 모두가 친해지고 공통 관심 분야인 보안에서 다른 대학교라는 벽을 허물고 이야기를 나누었으면 좋겠어요. 지식을 공유하되 친목이 강한 가족 같은’ 동아리 모임으로 만들고 싶어요.


U.U.U 단체사진

 

실제 워크샵에 참여하기 전에 공부만을 위해 모여서 딱딱한 분위기면 어쩌나 했던 걱정은 기우에 지나지 않았다. ‘보안이라는 공통된 주제로 모인 젊은 보안인들의 축제는 예상 외로 매우 활기차며 역동적이었다. 1년에 2번의 적은 만남에도 각 대학이 책임감을 가지고 자료를 만들며 그 자료들 또한 한눈에 보더라도 매우 많은 노력이 들어갔다는 것을 알 수 있었다


한 대학의 동아리에서 벗어나 연합 동아리라는 큰 무대에서 활동하는 이들의 열정이 지금의 U.U.U를 있게 만든 것이라 짐작해 본다. ‘젊음보안이라는 공통점을 가진 U.U.U가 지금처럼 훌륭하게 진행되길 바라며, 추후에는 더욱 많은 대학, 젊은 보안인이 참여하는 지식의 장으로서 발전하길 기대한다. Ahn



대학생기자 유희만 / 수원대 컴퓨터학과

The achievement of one goal should be the starting point of another.
(목표의 성취는 또 다른 목표의 출발점이 되어야 한다.)
- 알렉산더 그레이엄 벨 -

현재에 안주하지 않고 항상 색다른! 목표를 향해!                  

댓글을 달아 주세요