해킹 보안 고수 모인 KAIST 동아리를 방문하다

21세기 정보 전쟁의 시대.

점점 발전하는 해킹 기술에 맞서 정보보안을 위해 노력하는 화이트 해커에 관심이 집중되고 있다. 그런 가운데 열린 정보보안 컨퍼런스 '코드게이트 2013'은 보안의 존재감을 한층 더 부각한 의미 있는 행사였다. 컨퍼런스와 함께 열린 국제해킹방어대회에서는 국내 전문가의 활약이 두드러졌다. 그 중 당당히 3위를 차지한 카이스트 GoN팀을 만나보았다. 

리눅스 명령어 cat key를 형상화한 동아리 로고

GoN은 God of Network의 약자로 1999년 창립된 KAIST의 정보보안 및 해킹 동아리로서 국내 대표 대학 보안 동아리로 꼽힌다. 그 명성에 걸맞게  국내뿐 아니라 해외에서도 많은 수상 경력을 쌓아왔다. 이들은 웹 해킹, 시스템 해킹, 애플리케이션 해킹 등 여러 분야를 연구하고 학습한다. 동아리 방에 방문했을 당시에는 팀원들이 각자의 자리에 앉아 4월 3일 개최될 코드케이트 2013 본선준비에 한창이었다.

   

매주 화요일 공지사항 전파와 함께 동아리 활동계획을 논의하는 정기 모임을 하고, 일주일에 2회 SQL injection, XSS과 같은 웹 해킹과 Buffer overflow나 Format String Bug와 같은 시스템 해킹을 강의한다. 그리고 매년 초 KAIST 학생들을 대상으로 해킹을 잘 모르는 사람도 쉽게 이해 가능하도록 최근 보안에 관한 이슈들을 다루는 GOSS(GoN Open Security Seminar)를 개최한다. 

대외적으로 GoN은 매년 7~8회 개최되는 데프콘, CTF 등 국내외 여러 해킹 대회에 참여하며, 국내외 많은 해커들과 실력을 겨루고 상위권의 실력으로 평가받고 있다. 또한 유명 증권사와 국가 기관 사이트에 대한 모의 해킹 계약을 맺어 실제 웹 사이트를 합법적으로 해킹을 하며, 풍부한 경험과 지식을 쌓는다.

  

김도윤(전산학과 ,20) 회장을 만나 좀더 자세한 이야기를 들어보았다.



-SECURITY INSIDE, CODEGATE, DEFCON 등 국제대회에서 꾸준히 높은 성적을 거두는 비결은 무엇인가요?

저희는 비결이랄 것이 없습니다. 그저 자유분방함이 묻어나오는 분위기 속에서 '놀 때는 놀고, 대신에 할때는 하자'라는 마인드를 가지고 동아리 생활을 합니다. 그리고 전문가적인 마음가짐보다도 해킹에 대한 흥미로 자율로 참여하는 팀원들이 있을 뿐입니다. 이러한 팀원들의 생활 스타일이 대회의 수상으로 이어진 것 같습니다.

 -회원 선발은 어떻게 이루어지나요? 

   매년 초, 페이스북에 공고된 페이지에서 가입신청서를 작성합니다. 그리고 GOSS(GoN Open Security Seminar)를 통해 해킹에 대한 기본적인 이해 과정과 최근의 보안 관련 이슈를 익히고, 해킹에 대한 관심이 향상된 대상자들로 면접이 이루어 집니다. 면접은 관련 기술보다도 해킹에 대한 의지와 관심을 보는 것이기에 전산학과 이외의 다른 학과의 학생들도 부담없이 지원 가능합니다.

 -올해의 활동계획은 무엇이 있나요? 

   우선 올해는 4월에 개최되는 카네기멜론대학교 보안 동아리인 Plaid Parliament of Pwning에서 주최하는 'Plaid CTF'  매년 대한민국의 중·고·대학생 및 일반인을 대상으로 한국인터넷진흥원에서 개최하는 'KISA 해킹방어대회' 참가를 계획 중입니다.

 -GoN이 생각하는 '해킹'이란?

   해킹이란 무언가를 깊게 파고드는 것이라고 생각합니다. 다시 말해, 해킹은 C언어에서 어셈블리를 거치며 전체적인 시스템에 대해 배우는 것과 같습니다. 시스템의 바닥부터 서서히 알아가면서 전반적인 구조를 파악해가며, 사이에서 드러나는 취약점을 공략하는 것이지요.

 -마지막으로 해킹 초보입문자에게... 

  주변의 많은 해킹 입문자들은 무엇부터 공부해야 한다 등의 계획부터 세우고 바로 뛰어들곤 합니다. 하지만 그 이전에 해킹의 의미에 대해 가볍게 여기지 말고, 그 의미가 무엇인지부터 아는 것이 중요합니다. 그 이후에는 해킹을 배워서 익힌다는 생각보다는 스스로의 호기심으로 하나씩 알아가는 자세를 갖춘 후에 학습하는 것이 필요합니다. Ahn


        

   대학생기자 김현진/ 충남대 정보통신학과

      Passion makes me sexy, Do dynamic

      열정으로 현재에 안주하지 말고, 진짜를 찾아가는 PD가 되자.     



댓글을 달아 주세요

  1. 오우람 2013.04.12 22:08  Address |  Modify / Delete |  Reply

    해킹 저도 관심이 많은데요 처음시작하기가 너무 어렵네요 ㅜㅜ

  2. 오호광 2015.03.17 23:20  Address |  Modify / Delete |  Reply

    두번째 사진 맨오른쪽에 롤 하고잇는데?ㅋㅋㅋㅋㅋㅋ

실제 상황 같은 영화 속 보안 이야기

현장속으로/세미나 2013.04.08 14:00

드라마 '유령', 영화 '이글 아이', '에너미 오프 스테이트'의 공통점은 무엇일까. 

바로 보안이 소재로 쓰였다는 점이다. 

영화나 드라마에서 다루는 악성코드, 해킹은 어디까지 사실일까. 

현실에서 발생할 가능성은 얼마나 높을까. 

지난 2월 28일 열린 청소년 IT 교육 프로그램 13번째 V스쿨에 그 궁금증을 풀어줄 코너가 있었다. 안랩 보안 전문가가 '영화 속 보안'을 소재로 토크를 진행한 것. 이날 안랩 시큐리티대응센터 정관진 책임연구원과 커뮤니케이션팀 오지나 대리가 Kill With Me, Eagle Eye, 유령, Enemy Of The State 등 다양한 영화, 드라마 속에서 다룬 보안을 쉽게 설명해주었다. 다음은 주요 내용.


Kill With Me

영화에서는 UCC 영상을 띄워놓고 한 사람을 고문한다. 그리고 고문을 목격하는 사람이 많아질수록 피해자가 빨리 죽는다. "선량한 사람들이 이 사이트에 들어가면 더 빨리 죽게 됩니다. 그래도 들어가시겠습니까?" 라는 말에 89%의 사람들이 YES를 눌러서 들어갔다. 피해자가 더 빨리 죽는데도 불구하고 말이다. 대부분의 사람은 글을 제대로 읽지 않고 아무 생각 없이 YES를 누른다.

안 들어가면 되는데 사람들은 계속 들어간다. 영화의 내용은 최근 악성 댓글로 고통받는 사람의 모습과 겹쳐진다. 영화에서는 고문 장면 옆의 인터넷 창에 악성 댓글이 지속적으로 달리고 있다. 인터넷이라는 공간이 사람의 생명까지도 위협할정도로 무시무시한 공간이 되고 있다.

IP 주소를 추적하면 범인을 잡을 수도 있다고 생각할 수 있지만 인터넷 상에서 범인을 잡는 것은 쉽지 않다. 왜냐하면 사이트를 폐쇄해도 IP를 계속 바꾸어 가기 때문에 추적하기가 쉽지 않다.

인터넷이 또 하나의 문화가 되고 있다. 결국 안전한 인터넷 환경은 우리가 만들어 가는 것이다. 사이버 환경은 만들어진 것이 아니라 우리가 스스로 만드는 것이 더 크다.


Eagle Eye

어느날 주인공의 잔고에 75만달러라는 거액이 입금된다. 그리고 나서 놀란 마음에 집으로 갔는데 엄청난 양의 택배가 도착해 있다. 택배 내용물에는 암모니아 질산염, 전자망원경, 총 등 이상한 것들이 많이 포함되어 있다. 갑자기 이때 한 통의 전화가 온다. 그리고 30초 후에 FBI가 들이닥친다고 경고하고 빨리 그곳을 빠져나오라고 한다.

그런데 이 모든것을 조작한 것이 미 국방성에 있는 슈퍼컴퓨터 '아리아(Aria)'이다. 네트워크에 있는 모든 정보를 이용해서 주인공을 조작하고 통제하여 따르게 만단다. 2001년에 아리아와 유사한 슈퍼컴퓨터 '애셜론(Echelon)'이 공개되었는데 이 애셜론 시스템이 실제로 전화, E-MAIL, Fax를 감청한 적이 있었다.

영화에서는 컴퓨터가 주인공에 대한 모든 정보를 수집한다. 이 영화에 등장하는 컴퓨터는 판단도 하고 지각도 한다. 그리고 교통망, 비행기 운행까지 인공 위성을 통해 조작한다. 실현 가능성은 다소 낮지만 실제로 이런 일이 일어날 수도 있다고 한번쯤 상상할 수는 있다.


유령

드라마 '유령'에서는 자동자에 USB를 통해 해킹을 하는 모습을 보여준다. 가속 페달을 밟지 않았는데 차는 끊임없이 전진한다. 이 장면은 악성코드를 자동자에 감염시켜 자동차가 마음대로 움직일 수 있다는 상황을 가정해서 만들어졌다. 최근에 자동차는 컴퓨터 기술이 반영되어 만들어진다. 다만 자동차 회사가 보안을 염려하여 안전장치를 만들기 때문에 걱정할 단계는 아니다.

또한 극 중 대한전력에 악성코드가 감염되어 전국에 전력 공급이 되지 않아 큰 혼란이 발생한다. 이 악성코드는 스턱스넷(stuxnet)으로 국가 기반 시설의 스카다(SCADA) 시스템을 마비시키는 악성코드이다. 발전소, 가스 등 많은 시설이 산업용 시스템에 의해 운영되는데 그러한 것을 제어하는 것이 스카다 시스템이다. 클릭 한 번에 온 도시가 마비될 수 있는 것이다. 2001년에 이란의 원전시설이 이 악성코드의 공격을 받기도 했다. 

비슷한 예로 2003년 1월 25일 우리나라에서 발생한  인터넷 대란도 슬래머 악성코드에 때문에 발생한 것이었다. 같은 달에 미국 오하이호에 있는 핵발전소 모니터링 시스템이 슬래머 웜에 감염되어 5시간 동안 멈추기도 했다.

물론 공공시설은 외부에서 접근하기가 쉽지 않다. 왜냐하면 공공시설은 일반 인프라망과는 다른 시스템을 사용하기 때문이다. 그렇기 때문에 영화에서는 범인들이 직접 침투하는 장면이 종종 나온다.


Enemy Of The State

어느 날 주인공에게 국회의원의 살인 현장이 담긴 비디오 테이프가 전달된다. 주인공은 그 사실도 모른 채 이후에 국가정보기관의 감시를 받게 된다. 영화에서는 첩보위성의 감시를 받기도 한다. 첩보위성은 200~500km 상공의 낮은 고도에 떠 있다. 그리고 지구를 공전하기 때문에 15분 정도의 촬영 가능 시간이 있다. 그러나 첩보위성이 여러 개 있다면 사람의 일거수일투족을 감시할 수 있다.

주인공이 살인 장면을 보여줄 수 있는 기회가 나오는데 여기서 '스테가노그래피(steganography)'라는 기법이 등장한다. '스테가노그래'는 전달하려는 기밀 정보를 이미지 파일이나 MP3 파일 등에 암호화해 숨기는 심층암호 기술이다. 인터넷에는 실제로 이런 프로그램이 존재한다. 일반인도 프로그램만 있으면 간단히 제작할 수 있다. Ahn


대학생기자 장윤석 / 청주교대 초등교육(음악심화)

그들은

모든 꽃들을 꺾어버릴 수는 있지만

결코 봄을 지배할 수는 없을 것이다.

- 파블로 네루다 -


댓글을 달아 주세요

카톡은 어떻게 SNS의 강자가 되었나

현장속으로/세미나 2013.04.05 14:00

지난 2월 28일 열린 청소년 IT 교육 프로그램 13번째 V스쿨은 '무궁무진한 IT 직업의 세계 탐방하기'라는 주제로 다양한 분야의 IT 전문가를 초빙하여 강연 콘서트 형식으로 진행되었다.  

그 중 네오위즈게임즈의 심준형 본부장이 인터넷 포털, 그리고 SNS’라는 주제로 강연에 참여했다. 그는 현재 피망 서비스 플랫폼을 관리하고 있고 특히 일전에 SK커뮤니케이션에서 네이트온을 관리한 경험을 바탕으로 SNS에 대해 주요하게 이야기했다. 그는 SNS가 무엇을 위해 존재하는지를 설명하면서 개발자로서 성공하기 위해서라면 많은 경험을 통해 사람을 알아가라고 이야기했다. 다음은 주요 내용.


SNS는 무엇을 위해 존재하는가 - 관계형성욕구


관계를 맺고자 하는 욕구는 인간의 가장 기본적인 욕구 중 하나다. 그래서 우리는 다양한 형태로 관계를 형성하게 되는데 크게 3단계로 나누어볼 수 있다. 첫째, 파악 단계이다. 파악단계에서 우리는 나에 대한 정보를 노출하면서 상대방의 정보를 얻으려는 행동을 한다. 이 과정에서 나와 맞는 사람인지를 판단하게 된다

둘째, 소통 단계이다. 상대방에 대한 파악을 어느 정도 하면 취미, 날씨, 학연, 지연 등의 이야기를 한다. 그리고 이야기에 대한 덧붙임, 맞장구, 등의 관심표명을 통해서 관계형성은 더욱 성숙기에 이르게 된다. 셋, 확장단계이다. 두 가지 과정을 통해 관계를 형성하였다면, 지인의 지인을 소개받거나 혹은 알게되는 과정을 거치면서 기존의 관계를 확장하는 과정을 거친다.

이 같은 인간의 관계형성은 온라인에서도 똑같이 적용된다. 그것이 SNS 성장의 주요한 이유이다. 먼저, 파악 단계를 보자. 페이스북이나 트위터 등의 SNS는 개개인의 페이지가 있다. 그곳에서 우리는 그 사람의 프로필을 비롯해 관심사, 기분, 일상 등의 정보를 얻으며 그 사람에 대한 파악 단계를 거친다. 다음으론 소통 단계와 관련해서 대부분의 SNS는 상대방과 소통할 수 있는 장치를 마련해놓는다

대표적으로 페이스북을 예로 들면 좋아요, 공유하기, 댓글달기 등의 장치를 통해 우리는 그 사람의 콘텐츠에 대해 이야기할 수 있고, 관심을 표명할 수 있다. 그리고 이 같은 관심표명을 통해 본래 알지 못했던 사람과 단체들에 쉽게 접근할 수 있고, 자연히 관계의 확장을 가져온다.

이처럼 SNS가 성공한 이유는 인간의 관계형성욕구를 충족시켜주기 때문이다. 우리는 SNS를 통해서 타인과의 관계를 새로이 쌓거나 기존 인맥과의 관계를 강화할 수도 있다. SNS가 세계적인 트렌드가 되자, 게임이나 동영상과 같은 영역에서도 SNS적인 기능을 도입하는 사례가 많아지고 있다. 예를 들어, 대표적인 동영상 사이트인 유튜브에서도 개인이 페이지를 가질 수 있고, 그곳에서 각자의 일상이나, 하고 싶은 이야기를 하고 댓글 등을 통해 피드백을 받는 특징을 가진다.


카카오톡이 새로운 SNS 강자가 된 이유


하지만 모든 SNS가 성공하는 것은 아니다. 그 이유는 무엇일까? 커뮤니케이션이 중요한 요소이다. 불과 몇 년 전만 하더라도 사람들은 네이트온 서비스를 썼다. 그러나 지금은 카톡을 한다. 그 이유는 세 가지 정도로 이야기할 수 있다

첫째는 항상성이다. 네이트온과 카톡을 비교했을 때, 네이트온은 PC가 켜져 있을 때만 사용이 가능한 서비스였다. 하지만 스마트폰이 일반화되면서 카톡의 설치와 사용이 쉬워지면서 사용인구가 늘어나고 스마트폰을 통한 채팅이 PC보다 더 접근성이 높기 때문에 네이트온의 사용자 수는 적어질 수밖에 없었다

둘째로는 SNS의 특징상 사람이 모이면 모일수록 더욱 강한 고정성이 생기 때문이다. 다른 SNS가 생기더라도 나와 소통하는 인맥이 다른 SNS를 사용하지 않으면 소용이 없다. 그래서 SNS가 한번 성공하면 웬만하면 다른 서비스는 사용하지 않는 고정성이 생긴다

다음으로는 프로필의 존재다. 이는 카톡에는 네이트온과 마찬가지로 사람들은 그때의 기분과 생각을 표현하거나 사진을 올려 자랑을 할 수 있는 프로필 기능이 있다. 그러나 카톡은 거의 항상 접근이 가능하기 때문에 훨씬 표현하기도, 파악하기도 편한 수단이다.


개발자가 가져야 할 자세


이러한 사례들을 보면 사람의 욕구에 대한 이해가 기저에 깔려있음을 알 수 있다. 그리고 한 예로 라인이 일본에서 성공을 거두고 있는 이유는 기본적으로 일본에서 기획된 서비스이고 그만큼 일본문화에 대한 이해가 바탕에 있었기 때문이다

그리고 한국에서 야후가 철수한 것도 마찬가지로 한국문화에 대한 이해가 부족했기 때문이라 할 수 있다. 서비스의 기술적 발전도 중요하지만 무엇보다도 그 사회에 대한 문화적인 이해가 없으면 성공을 거두기는 어렵다. 이 같은 사실을 차기 개발자가 될 청소년이 잘 알아야 한다. 따라서 가능한 한 많은 경험을 하기를 바란다. Ahn


대학생기자 김서광 / 성균관대 사학과

 

감성을 가지되 환상을 품지 말고 
냉정하되 냉혹하지는 말 것이다.

댓글을 달아 주세요

개인정보 어디까지 보호해야 하나 핵심 문답 4가지

현장속으로/세미나 2013.04.04 07:00

3월 26일, 서울교육문화회관에서 개인정보보호 실무자를 위한 교육 컨퍼런스인 'G-Privacy 2013'이 개최되었다. 무료참관으로 진행되며 전국 공공기관·지자체·교육기관 개인정보보호 담당자, 개인정보취급자, 개인정보처리시스템운영자, 정보시스템운영자 등 500명여 명이 참석하였다.

'키노트1'은 한국인터넷진흥원의 김민섭 책임연구원이 발표한 '공공기관 개인정보 법령상담 사례를 통한 개인정보 보호책임자의 역할'이었다.

발표에 앞서 김민섭 책임연구원은 "이번 진행되는 'G-Privacy 2013 컨퍼런스'가 실질적인 개인정보보호법 시행 1주년을 맞이하는 중요한 행사라고 생각한다"라고 말하였다. 발표는 한국인터넷진흥원에 있는 개인정보침해신고센터에서 작년 한 해 동안 모아온 데이터를 바탕으로 최근 어떠한 쟁점들이 이슈가 되고있고, 공공기관에서 어떠한 민원들이 많이 접수가 되었는지 중점으로 하여 진행되었다.

   개인정보 침해신고센터

  '개인정보에 관한 권리·이익 침해 구제를 위한 국내 유일의 전문기구'

  (전화) 국번없이 118, (인터넷) pricacy.kisa.or.kr

발표 내용을 바탕으로 주요 민원 또는 질의사항과 답변을 정리해 보았다.

1. 상급기관으로부터 감사를 받을 때 성명·주소·주민번호가 포함된 자료의 제출을 요청받은 경우, 자료를 제공할 수 있는가?

개인정보처리자는 다른 법률에 특별한 규정이 있는 경우 개인정보의 목적 외 이용 또는 제3자 제공이 가능하다. 한편, 주민번호 등 고유식별정보는 그 고유식별정보를 이용하지 않으면 감사가 불가능해지는 경우에 한하여만 제공 가능하다.

2. 암호화해야 하는 개인 정보의 범위는 어디까지인가?

모든 개인정보를 암호화해야 한다고는 규정하지 않는다. 암호화 대상은 '고유식별정보 4가지, 비밀번호, 바이오 정보' 이렇게 6가지이며 그 밖의 정보에 대해서는 기업의 여력이 되는 한 암호화를 하면된다.

3. 안전한 암호화 알고리즘의 기준은 무엇인가?

국내외 정보보호 전문기관(우리나라 경우 국가정보원)의 보안성 평가 제품에 들어가는 암호화 알고리즘으로 본다. 하지만 권고이기 때문에 안전한 암호화 알고리즘에 대한 법적인 범위는 사실상 없다. 하지만 최근 법원 판결에서는 권고되지 않은 암호화 알고리즘 사용도 손해배상 책임의 판단 근거로 삼고 있다는 것을 참고하여야 한다.

4. 검·경에서 수사 목적으로 CCTV 영상정보 제공을 요청해온 경우 제공해도 되는가?

범죄 수사, 공 소제기·유지 등을 위하여 수사기관에서 요청하는 경우 정보 주체의 동의가 없더라도 제공이 가능하다. 다만 이 경우에도 그 요청 목적에 따른 필요 최소한의 영상 정보를 제공해야 하며, 요청 기관 측에서도 관련 법령 및 요청 목적을 명확히 하여 요청할 필요가 있다. Ahn


대학생기자 김대희 /  경기대 컴퓨터과학과


댓글을 달아 주세요

개인 정보 유출 사고의 재발을 막으려면

현장속으로/세미나 2013.04.03 07:00

지난 3월 26일, 서울 교육문화회관 가야금홀에서는 전국 공공기관, 기업체, 보안전문가 등을 대상으로 하는 개인정보보호 컨퍼런스(G-PRIVACY 2013)가 열렸다. 

행사는 오전 9시부터 오후 5시 30분까지 이어졌으며, 이 중 KeyNote 3 은 소만사의 최일훈 부사장이 발표한 “최근 판례로 보는 개인정보유출사고 재발방지기능 소개”였다. 보안전문가가 아닌 일반 대학생이, 그것도 보안과는 다소 거리가 먼 전공을 공부하고 있는 내가 듣기에는 다소 어렵고 생소한 내용들이 있었으나, 구체적인 사례를 통해 기업이 어떠한 대응책을 마련해야 하는지를 살펴볼 수 있었던 유익한 발표였다.

2년 전 모 포탈에서 일어난 개인정보유출 사고 관련 법원 판결을 소개한 뒤, 각 기관에서 어떠한 방식으로 개인정보유출사고를 방지할 수 있을지를 이야기했다. 다음은 주요 내용.


*2년 전 모 포탈의 개인정보유출사고에 대한 위자료 배상 판결! WHY?

지난 2011년 7월, 모 포탈사이트가 가지고 있던 3,500만명의 개인정보가 유출되는 사고가 발생했다. 그리고 2년이 지난 2013년 2월, 법원은 집단소송을 건 원고 2800명에게 피고(모 포탈)는 각각 20만원씩 배상하라는 판결을 내렸다. 

이는, 해킹으로 인한 개인정보유출에 대하여 법원이 최초로 배상판결을 내린 사건이라는 점에서 큰 의의를 가진다. 특히 개인정보유출로 인한 정신적 피해나, 제 3자의 도용으로 인한 추가적 피해 등을 재판부가 인정한 것으로 사용자 정보를 보유한 여러 기관에 경종을 울리는 중요한 판결이라고 볼 수 있다.

그렇다면 어떠한 근거로 이러한 배상 판결이 이루어진 것일까? 법원은, 피고(모 포탈)가 선량한 관리자로서 기술적 관리적 보호조치 의무를 다하지 못 한 것으로 판단하였다. DB 관리자가 DB 접속 후 로그인한 상태로 퇴근하여 심야시간에 개인정보를 조회할 수 있도록 방치한 것, 대량의 개인정보를 파일로 생성한 것에 대한 이상징후를 탐지하지 못한 것, 개인정보의 외부유출을 모니터링하거나 통제하지 못한 것 등은 정보통신망법의 몇 개 항목을 어겼기에 피고(모 포탈)에게 책임을 묻게 된 것이다.


*기존의 DLP(Data Loss Prevention, 정보 유출 방지 기술)

이러한 판례를 통해 보았듯이, 각 기관의 보안 담당자들이 가져야 할 책임이 존재하고, 개인정보를 보호하기 위한 대책이 선행되어야 한다. 사실, 이를 위해 DLP(Data Loss Prevention, 정보 유출 방지) 기술이 존재하는데, 크게 4가지로 볼 수 있다.

- Discovery : 어디에 누가 어떤 정보를 가지고 있는지 파악하고, 적절한 조치(암호화, 삭제)를 하는 것 (ex: PC)

- Network DLP : 네트워크를 통해 유출되는 정보를 모니터링하고 차단하는 것

- Endpoint DLP : 단말의 외부 인터페이스를 통해 유출되는 정보를 모니터링하고 차단하는 것 (ex: 매체제어, USB/외장하드)

- DB DLP : DB상의 정보가 유출되는 것을 모니터링하고 차단하는 것


*DLP 개념의 확장이 필요하다!

그렇지만, 기존의 DLP 기술로는 제대로 된 정보 보호를 할 수 없다. 단지 기술에 의존하는 것이 아니라, 보안 관리자가 직접 모니터링하고 통제하면서 개인정보 보호를 위해 최선을 다해야 한다. 특히 기존의 DLP 범위를 뛰어넘어 더욱 넓은 범위로 확장해야만 한다.

Discovery 영역에서는, 누가 어떤 정보를 가지고 있는지 파악하고 조치를 할 때, PC에만 초점을 맞추는 것이 아니라 서버나 데이터베이스, 모바일 등으로 범위를 확장할 필요가 있다. 특히 최근에는 모바일 영역에서 정보 유출에 대한 기술이 아직까지 부족하기 때문에, 각 기관에서는 이에 유념할 필요가 있겠다.

또한, 메일이나 게시판, 웹하드나 각종 App 등의 네트워크를 통해 유출되는 정보를 잘 감시해야 하며, USB나 외장하드 뿐만 아니라 프린트를 통해 정보가 새나가는 것을 주의해야 한다. 특히 프린트물을 통한 개인정보 유출을 막기 위하여, 출력자 이름/일시가 워터마크되어 출력되는 기술적 보완이 필요하며, 개인정보를 출력하는 사람의 정보를 저장하고, 혹 필요 이상의 정보를 출력한다고 여겨질 때에는 차단하는 시스템이 필요하다.

최일훈 부사장의 말에 따르면, 해커의 공격은 이제 불특정 다수를 향하는 것이 아니라, 특정 집단이나 기관을 노리고 이루어진다. 그만큼 각 기관에서는 개인정보 유출을 막기 위한 ‘전쟁’을 더욱 치열하게 해야 한다. 그렇지만, 이를 단지 보안전문가의 몫으로만 돌릴 수는 없다. 우리 모두가 개인정보를 보호하기 위해 노력해야 개인정보유출사고의 재발을 막을 수 있지 않을까. Ahn


대학생기자 김지수 /  서울대 사회교육과,경영학과

댓글을 달아 주세요

경찰청 수사관이 본 사이버 보안의 안과 밖

현장속으로/세미나 2013.04.01 14:00

지난 2월 28일 열린 청소년 IT 교육 프로그램 13번째 V스쿨은 '무궁무진한 IT 직업의 세계 탐방하기'라는 주제로 다양한 분야의 IT 전문가를 초빙하여 강연 콘서트 형식으로 진행되었다. KT뮤직 장준영 이사, 다음커뮤니케이션즈 허진영 게임사업본부장, 네오위즈 게임즈 심준형 본부장, 서울지방경찰청 류정은 경장 등 청소년이 관심 있어하는 음악, 게임, 사이버 범죄 분야 전문가의 구체적이고 심도 있는 강의를 들을 수 있었다. 

그 중 류정은 경장은 안랩 출신이어서 이채로웠다. 그는 2009년 12월 사이버 특채로 경찰이 되었다. 처음에는 용산경찰서 사이버수사팀에서 일하다 현재 국제범죄수사대 산업기술유출팀에서 일하고 있다. 컴퓨터를 이용해 영업비밀들을 외부로 유출하는 것을 막는 것을 주 업무로 하고 있다. 드라마 '유령'에서 이연희가 했던 디지털 포렌식 같은 업무도 하고 있다.

류정은 경장은 신입사원 공채 1기로 안랩에 입사하여 2006년에서 2009년까지 연구원으로 일했다. 남편 역시 안랩 공채 1기 출신이다. 남편과 함께 안랩에 근무하다 남편이 먼저 2008년 사이버 경찰 특채에 지원해서 먼저 합격하고 이듬해 류정은 경장도 같은 길을 걷게 된다.

<출처 : 중앙일보>

사이버 수사 업무는 구체적으로 사기, 저작권법 위반, 주민등록법 위반 등을 수사하는 업무이다. 실제로 압수 현장에 나가기고 하고 잠복근무를 하기도 하고 미행을 하기도 한다. 사이버 수사관이라도 똑같이 다른 수사관과 같은 업무를 하고 있다. 다음은 주요 내용.

1. 사이버 수사관은 어떻게 될 수 있나요?

출처 : Forensic-proof.com


- 특채자격 : IT 업종에서 3년 근무한 사람, 컴퓨터 관련 학과를 졸업하고 IT 업종에서 2년 근무한 사람, 대학원에서 컴퓨터 관련 석사 학위를 지닌 사람   

- 지원분야 : 총 6개 분야(해킹, 악성코드/디지털포렌식/데이터베이스/무선통신/시스템 네트워크 엔지니어링/프로그래밍)

- 시험절차 : 1차 실기시험 - 2차 적성검사 - 체력검정 - 인성면접

2, 사이버 예방 교육

가장 많이 발생하는 사이버 범죄에는 '인터넷 사기, 명예훼손, 저작권법 위반'이 있다.

인터넷 사기

출처 : 전남청 폴알림e


인터넷이 발달하다 보니 쇼핑몰도 발달하고 직거래 사기가 일어나고 있다. 예를 들면 인터넷으로 물건을 주문하고 문자메시지로 가격 협상을 하고 입금을 한다. 택배가 오긴 오는데 벽돌이 오는 경우가 있다. 이러한 것들이 인터넷 사기 범죄에 해당한다.

인터넷 사기를 당하지 않기 위해서는 인터넷 사기 유형을 알아야 한다. 쇼핑몰 사기는 사람을 믿게 하기 위해서 처음에는 물건을 보내 준다. 그러다 물량이 폭발적으로 증가하면 물건을 보내주지 않기도 한다. 그래서 인증된 쇼핑몰을 이용해야 한다.

휴대폰 소액결제 사기는 경품을 준다고 속인 후 개인정보를 입력하라고 한다. 개인정보를 입력한 후 인증번호를 넣으라고 한다. 이때 휴대전화로 온 인증번호를 넣으면 소액결제가 이루어진다. 그리고 기프티콘을 준다고 하고 URL을 누르면 스마트폰에 어플이 깔리면서 연락처, 인증서, 보안카드 사진과 같은 것들이 해킹되는 경우가 있다.

세상에는 절대 공짜가 없다. 공짜라고 속지 말아야 한다.

메신저 피싱도 여전히 발생하고 있다. 너무나 오랜만에 친구가 말 걸어서 돈을 빌려달라고 하면 전화를 걸어 물어봐야 한다. 카카오톡의 경우 본인의 연락처에 등록이 되어 있지 않은 다른 나라의 사람이 말을 하는 경우 인증번호를 확인하여 프로필 사진에 국기를 보여준다.

인터넷 사기를 당하지 않으려면 '애스크로'를 활용해야 한다. '애스크로'는 판매자와 구매자를 매개하는 것으로서 구매자가 돈을 바로 판매자에게 보내지 않고 애스크로를 거쳐서 판매자에게 들어가게 된다. 구매자가 상품을 잘 받고 구매 확정을 한 뒤에 애스크로에서 판매자에게 구매 대금이 이동하게 된다.

인터넷 사이트에서 물건을 구매할때는 판매자의 방문횟수와 게시글, 판매 기록을 확인하여 믿을 만한 판매자인지 확인해야 한다. 가까운 거리에 거주하는 경우 직접 만나서 거래하는 것이 좋다.

명예훼손

명예훼손은 어디까지 가능한가?

이런 질문을 하면 안 된다. 남에게 피해를 주는 일은 절대 해서는 안된다. '명예'란 세상에서 훌륭하다고 인정되는 이름이나 자랑 존엄 품위를 말한다. 법적으로는 타인을 비방하는 목적으로 공연히 사실 또는 허위사실을 적시하여 타인의 명예를 훼손하는 것을 명예훼손이라고 한다.

명예훼손은 대상이 있어야 한다. 사람이 대상이다. 그리고 비방할 목적이 있어야 한다. 인터넷 명예훼손은 공연성이 있는데 인터넷 게시판, 트위터, 페이스북에 글을 올려야 명예훼손이 된다. 이 경우 사실을 올리는 경우에도 명예훼손이 성립한다.

형법과 인터넷상의 명예훼손이 각각 따로 있는데 인터넷상의 명예훼손이 더 큰 처벌을 받는다. 왜냐하면 인터넷 명예훼손의 파급력이 크기 때문에 높은 수위의 처벌을 하고 있다. 명예훼손보다 수위가 낮지만 누군가를 욕하는 것은 '모욕죄'에 해당될 수 있다. 

저작권법 위반

출처 : 문화체육관광부


청소년은 본인이 무엇을 잘못한지도 모르고 저작권법 위반으로 경찰서에 오기도 한다. 교육을 한번이라도 받았으면 오지 않을 텐데 아쉬운 느낌이 있다. '저작물'은 인간의 사상과 감정을 담아야 하고 밖으로 표현해야 한다. 그리고 창작성이 있어야 한다. '저작자'는 저작물을 창작하는 사람이다. '저작권자'는 저작권을 가지는 사람인데 저작자가 아닌 경우도 있다.

저작권에는 영화, 사진, 포스터, 음반, 책 등이 모두 포함된다. 언덕과 하늘이 보이는 윈도우 기본 배경화면의 경우도 저작권이 있다. 이 사진은 세계에서 두 번째로 저작료를 많이 받는 사진이다.

일반인이 P2P에 저작물을 올렸을 때는 저작권자가 고소를 해야 수사가 진행될 수 있다. 그러나 반복적으로 영리를 위해 올리는 헤비 업로더의 경우 저작권자의 신고 없이도 수사를 진행할 수 있다. 웹 사이트에서 파일을 다운로드 받는 것에 대해서는 아직은 저작권법 위반으로 보지 않는다. P2P사이트에서 영화를 다운로드 받아서 개인이 볼 수는 있으나 공개된 장소에서 상영해서는 안된다. 그리고 교육적인 이유로 영리를 목적으로 하지 않은 상태에서 저작물을 사용하면 저작권법 위반이 되지 않는다.

MP3 파일을 구매하여 블로그에 올리는 경우 문제가 될 수 있다. 왜냐하면 소유권과 저작권은 별개이기 때문이다. 소유권은 구매자에게 있지만 저작권은 저작권자에게 있다. 뉴스 기사의 경우 기자의 사상이나 감정이 들어가 있는 기사에 대해서는 저작권을 인정하고 있다.  


이번 강연을 들으며 사람의 가능성이란 예측할 수 없는 것이라는 생각이 들었다. IT 연구원에게 경찰은 또 다른 도전의 장소였고 다른 길을 열어 주었다. 프로스트의 '가지 않은 길(The Road Not Taken)'이라는 시처럼 누구나에게는 선택의 순간이 오고 그 선택에 따라 인생은 다양하게도 그리고 단조롭게도 펼쳐진다. 이번 강의에서 사이버 수사관이라는 새로운 세계를 알게 되었다. 그리고 일상생활에서 실수하기 쉬운 부분을 명쾌하게 알게 되어 참여자에게 도움이 되는 귀한 시간이었다. Ahn


대학생기자 장윤석 / 청주교대 초등교육(음악심화)

그들은

모든 꽃들을 꺾어버릴 수는 있지만

결코 봄을 지배할 수는 없을 것이다.

- 파블로 네루다 -


댓글을 달아 주세요

기업 내부 정보 유출 단속하는 보안 기술

현장속으로/세미나 2013.03.30 07:00

지난 3월 7일, Network Security Vision 2013 세미나&전시가 열렸다. 세미나는 국내외 보안 업체들이 차세대 보안 로드맵을 제시하고, 보안 구축 방법과 업체의 솔루션을 소개하는 구성으로 짜여져 있었다. 보안 솔루션을 필요로 하는 업체는 보안 솔루션에 대한 정보와 신뢰를 얻어가는 시간이 되었으리라 생각한다. 대학생 입장에서는 보안 기술의 트렌드를 읽고, 보안 시장을 체험 할 수 있는 특별한 기회였다.

실무자를 대상으로 한 세미나였기에 발표 내용의 난이도가 높지 않을까 걱정스러웠다. 그러나 생소할 수 있는 용어는 한 번 더 짚어서 설명해 주었고, 관련된 시각자료를 충분히 보여주어 발표 내용을 이해하는데 큰 어려움은 없었다.

첫 발표였던 김홍선 안랩 대표이사는 '패러다임 변화와 차세대 보안전략'을 주제로 기업 보안의 현재와 미래, 2013 보안 트렌드 및 전략 로드맵을 다루며 세미나의 문을 열었다. 이후의 발표 내용들을 어우르는 굵직한 틀을 잡아주어, 다른 발표를 수월히 이해하는 데 많은 도움이 되었다. 전시는 보안 업체의 솔루션을 소개 및 체험하는 것이었으며, 세미나 진행 동안 전시 관람도 진행되었다.

오후에는 '클라이언트 가상화 기반의 정보보호' 발표를 들어보았다.


[클라이언트 가상화 기반의 정보보호]

-미라지웍스의 김해룡 상무

문제 인식: 보안 사고에 따른 업무 환경 전체를 감싸는 솔루션의 필요성


개인정보 유출과 기업정보 유출, 사이버 공격의 증가까지 합세하여 보안 사고 사례가 늘고 있는 실정이다. 최근 2년 간의 개인정보 유출 건수는 6,325만 여건에 달하고, 2012년 방통위의 통계 자료에 따르면 전 국민이 1회 이상 개인정보를 유출당했다.

이렇게 보안 사고의 피해 사례와 범위가 확대됨에 따라, 정부는 개인정보보호법과 정보 통신망법으로 대응하였다. 법적 강화를 통해 보안의 수준을 높이고자 한 것이다. 정보통신망법을 살펴보면 '개인정보 처리 시스템에 접속하는 개인정보 취급자 컴퓨터 등에 대한 외부 인터넷망 차단'이라는 항목이 있다. 업무 환경의 망 분리 대한 필요성을 강조한 것이다.

보안 업계는 사내 업무용 문서를 암호화하고, 외부 장치와 환경을 통제하고, SBC 환경을 구축하는 방식으로 보안 체계를 구축했다. 그러나 이러한 전통적 보안 방식은 업무환경의 일부만이 보호되는 포인트 보안 솔루션이다. 업무환경 전체를 보호하기에는 역부족인 것이다. 따라서 업무 환경 전체를 감싸는 차단 및 격리 솔루션이 필요하다.


해결책 제시: '클라이언트 가상화 기반'으로 하나의 PC를 둘로 쪼개서 쓰기


<Local Desktop / Virtual Desktop>

로컬 데스크탑 / 가상 데스크탑으로 나누어 업무환경을 분리하고 완벽하게 차단한다. 따라서 전체적인 업무환경이 보호된다. 분리되는 것은 파일 시스템, 서비스, 메모리, 프로세스이며, 공유되는 것은 OS와 커널이다.

로컬 PC에서는 클라이언트 기반 워크스페이스를 암호화한 이미지 파일로 인식한다. 예를 들어 1TB의 하드 디스크라면, 500GB 정도를 클라이언트 가상화를 위한 용량으로 잡아두고 사용하게 된다. 이 이미지 파일의 유출을 대비한 보호도 되어있다. 여기서 제시될 수 있는 의문점은 '하드 디스크 내부에서는 가상 데스크탑의 데이터가 어떤 방식으로 분리되는가?' 이다. 

<SandBox>

테두리를 경계로 안에서 모래놀이를 할 수 있는 공간을 샌드박스라 한다. 샌드박스의 테두리는 가상영역, 테두리 안의 모래는 가상 데스크탑의 자료라고 볼 수 있다. 이 가상영역의 데이터는 가상영역 밖으로 빠져나가지 못 한다. 가두리 양식장 안의 물고기가 빠져 나가지 못 하는 것과 비슷한 개념이다.

샌드박스 기반 가상화 기술을 이용하면, 가상 데스크탑의 데이터는 로컬 PC와의 원천적인 격리가 가능해진다. 샌드박스 기술로 구현한 것이 클라이언트 가상화이며, 클라이언트 가상화는 하나의 PC를 두 대처럼 나누어 사용할 수 있는 것을 뜻한다.

<SBC vs CBC>

전통적 보안 방식에서 언급되었던 SBC(Server Based Computing: 서버 기반 데스크탑 가상화)는 가상 머신을 띄워서 가상화하는 것으로 서버망, 네트워크, 스토리지 구축에서 여러 제약 사항을 갖는다. 반면 CBC(Client Based Comeputiog: 클라이언트 기반 워크스페이스 가상화)는 OS와 커널의 공유 외에 파일 시스템, 서비스, 메모리, 프로세스를 완벽히 분리 및 차단하는 기술이다.

<장점>

클라이언트 기상화는 워크스페이스를 분리하여 보안 수준을 높이고, 한 대의 PC만으로 2개의 워크스페이스를 사용함으로써 업무 생산성을 증대하며, 비용을 절감하는 친환경 IT 솔루션이라는 장점을 가진다.


보안 사고는 외부의 침입뿐 아니라 내부에서의 반출 또한 원인이 되므로 업무 환경 자체를 보안의 대상으로 볼 필요가 있다. 따라서 업무환경을 분리하여 관리하는 것은 포괄적이면서도 깔끔한 해결책이라고 생각된다.

한 대의 PC를 두 대의 PC처럼 쓸 수 있다는 점은 기업의 보안 측면에서뿐 아니라 일반 유저에게도 매력적인 장점이다. 좋은 보안 기술에 태클을 거는 것 같지만, 한 가지 우려가 생긴다. 지키는 데 뛰어난 제품은 감추는 데에도 뛰어날 것이라 생각되기 때문이다. 따라서 '도덕적 해이'를 불러 일으키지 못 할 선에서의 유용성을 기대하는 바이다.

이번 세미나와 전시는 다양한 보안 이슈와 함께 솔루션을 체험하며, 보안에 대한 시야를 개인에서 기업으로 넓힐 수 있게 된 좋은 기회였다. Ahn


 대학생기자 이혜림 / 세종대 컴퓨터공학과

나를 바로 세우고, 타인을 존중하는 삶.

오늘도 새겨봅니다.


댓글을 달아 주세요

펀드 투자 전에 반드시 알아야 할 것들

현장속으로/세미나 2013.03.29 14:00

금융투자협회에 따르면 우리나라의 펀드시장의 규모는 2009년과 2012년에 만개를 넘어섰던 펀드의 수가 현재는 9827(공모펀드 펀드수 : 3214, 사모펀드 펀드수 : 6613)를 기록하고 있다. 이처럼 우리나라의 펀드규모는 세계1위의 수준이지만, 이는 금융소비자에게는 그리 달갑지만은 않은 소식이다. 왜냐하면, 펀드가 난립하게 되면 기본적으로 펀드의 수가 증가하게 되고, 평균 순자산 규모의 감소를 불러와 관리비용 증가와 관리 소홀 문제를 유발할 수 있다. 이로 인해 금융소비자가 자신의 자산을 자산운용사에게 믿고 맡기는 것에 있어서 망설일 수 밖에 없으며, 금융전문가도 모르는 상품이 판매되는 상황에서 소비자 역시 판매직원의 화술에 넘어가 귀에 익고 마음이 가는 펀드를 선택하는 일이 생길 수도 있다. 그러나 이러한 펀드의 홍수 속에서도 펀드가 유용한 재테크 수단임은 부인할 수 없는데, 상황이 상황이니 만큼 소비자 스스로가 어떤 펀드가 좋은 펀드인지 판단할 수 있는 능력을 키우는 것이 중요할 것이다. 그래서 처음 펀드를 고르는데 있어서 자칫 간과할 수 있는 몇가지를 이야기하고자 한다.


첫째, 과거의 수익률이 미래의 수익률을 보장해주지는 않는다.

고민하지 마십시오. 수익률이 말해줍니다.”

 이 문구는 눈치챘겠지만, 펀드 광고에서 단골로 등장하는 문구에 해당한다. 하지만 그럴수록 고민을 해야한다. 펀드 출시이후 몇 년간 뛰어난 수익률을 보이고 있다면, 결과적으로는 좋은 펀드이지만, 구매하는 입장에서 이 펀드가 앞으로도 수익을 가져다 줄지는 과거의 수익률 만으로는 결정할 수 없다. 수익률은 영원히 오르지는 않기 때문에 지금 수익률이 좋다고 해도 계속해서 수익률이 좋았다면 앞으로는 오히려 떨어질 확률이 더 높다. 수익률과 관련해서 또 한가지 이야기를 하자면, 예상수익률이 높다는 것은 그만큼 위험률도 높다는 것을 의미한다. 펀드는 크게 주식형과, 채권형, 그리고 혼합형으로 나뉠 수 있는데, 보통 주식형은 고수익 고위험이고 채권형은 저수익, 저위험이다. 흔히 예상수익률만 보고서 선택하는 경우가 있는데 이때도 역시 자신의 투자성향을 반드시 파악해서 자신과 맞는 형태의 펀드를 선택하는 것이 바람직하다고 볼 수 있다.(투자성향파악 테스트는 아래에 있음)


둘째, 수수료는 0.1%라도 낮은 것을 선택해야한다.

둔감해질래야 둔감해질 수 없는 사안이 바로 수수료 문제다. 주식, 펀드, 채권 등등 형태에 상관없이 증권사나 운용사 등을 거치는 거래라면 어김없이 우리는 비용을 지불해야 한다. 펀드 역시 비용을 지불하는데 크게 운용, 판매수탁, 사무관리 등으로 인한 보수, 선취, 후취, 환매 등의 형태로 지불하는 수수료로 나뉜다. 특히, 환매수수료는 90일 이전에 환매를 할 경우, 수익금의 70%를 수수료로 내는 것을 말한다. 이러한 수수료는 수익의 발생과는 상관없이 지불해야하는 것이기 때문에 반드시 그 비중을 비교하여 선택하여야 한다. 이와 더불어 수수료는 매매회전율에 따라서도 발생한다. 매매회전율이란, 100억펀드로 주식을 다 샀는데, 그대로 다 팔면 매매회전율이 100%이다. 이 때, 한번 회전할 때마다 수수료를 지불하는데, 미국의 경우 통상적으로 200%를 기록하지만, 한국의 경우 1000%를 넘기는 경우도 많다고 하니, 그만큼 수수료를 더 많이 내게 된다. 따라서 수수료와 더불어 매매회전율 역시 펀드 선택시 중요한 고려대상이 되어야 한다.


셋째, 이왕이면 다홍치마다.

 같은 펀드라도 신규펀드보다는 오래된 펀드가, 규모가 작은 펀드보다는 큰 펀드가, 대표성이 없는 펀드보다는 대표성이 있는 펀드가 다홍치마다. 이러한 조건들이 수익성을 보장해준다고는 말할 수 없지만, 위험도는 낮춰줄 수 있다. 신규펀드의 경우, 아직 검증이 안된 펀드이기 때문에, 몇 년동안 꾸준히 수익을 내고 있는 펀드일수록 검증이 되있다고 할 수 있다. 그리고 규모가 큰 펀드일수록 분산투자가 잘 되어서 상대적으로 위험이 낮아지게 된다. 운용사 역시 펀드운용규모가 클수록 좋은데, 운영규모가 크면 거래규모도 커서 운용비용이 상대적으로 낮아지고, 대형주 위주로 포트폴리오를 구성할 수가 있어서 안정적일 가능성이 있다. 대표성도 기준이 될 수 있는데, 운용사의 간판펀드일수록 판매율이 높고 전문가의 검증을 많이 받은 펀드다. 만일 비슷한 펀드 중에서 고민 중이라면 다홍치마를 선택하는 것이 나은 선택일 수 있다.


최근에 금융소비자보호법이 발의되어 국회에 계류 중에 있다. 이같은 법적 보호 절차가 마련되는 것은 금융소비자에 대한 사회시스템적 보호가 부족했다는 판단이다. 하지만 금융상품판매에 있어서 소비자가 본인이 가입할 상품에 대해서 정확히 이해를 하였을 때 완전판매라고 하고, 그렇지 않은 경우를 불완전판매라고 한다. 이때, 정보의 비대칭, 전문지식의 증대로 인해 불완전 판매가 대다수다. 그렇기 때문에, 판매자는 상품의 내용과 더불어 장점과 단점 역시도 소비자에게 이해시키려는 노력이 필요하고, 무엇보다도 소비자 스스로가 금융지식에 대해 알려는 노력이 더욱 중요하다고 할 수 있다.


다음 테스트지는 증권사나 은행 등 금융기관의 홈페이지에서 제공하고 있으므로 누구든 손쉽게 이용할 수 있다. 테스트를 통해 자신의 투자성향을 진단해보자.

1 당신의 연령대는 어떻게 됩니까?

① 19세 이하
② 20세~40세
③ 41세~50세
④ 51세~60세
⑤ 61세 이상

2 투자하고자 하는 자금의 투자 가능 기간은 얼마나 됩니까?
① 6개월 이내
② 6개월 이상~1년 이내
③ 1년 이상~2년 이내
④ 2년 이상~3년 이내
⑤ 3년 이상

3 다음 중 투자경험과 가장 가까운 것은 어느 것입니까?(중복 가능)
① 은행의 예·적금, 국채, 지방채, 보증채, MMF, CMA 등
② 금융채, 신용도가 높은 회사채, 채권형펀드, 원금보존추구형ELS 등
③ 신용도 중간 등급의 회사채, 원금의 일부만 보장되는 ELS, 혼합형펀드 등
④ 신용도가 낮은 회사채, 주식, 원금이 보장되지 않는 ELS, 시장수익률 수준의 수익을 추구하는 주식형펀드 등
⑤ ELW, 선물옵션, 시장수익률 이상의 수익을 추구하는 주식형펀드, 파생상품에 투자하는 펀드, 주식 신용거래 등

4 금융상품 투자에 대한 본인의 지식수준은 어느 정도라고 생각하십니까?
① [매우 낮은 수준]투자의사 결정을 스스로 내려본 경험이 없는 정도
② [낮은 수준]주식과 채권의 차이를 구별할 수 있는 정도
③ [높은 수준]투자할 수 있는 대부분의 금융상품의 차이를 구별할수 있는 정도
④ [매우 높은 수준]금융상품을 비롯하여 모든 투자대상 상품의 차이를 이해할 수 있는 정도

5 현재 투자하고자 하는 자금은 전체 금융자산(부동산 등을 제외) 중 어느 정도의 비중을 차지합니까?
① 10% 이내
② 10% 이상~20% 이내
③ 20% 이상~30% 이내
④ 30% 이상~40% 이내
⑤ 40%

6 다음 중 당신의 수입원을 가장 잘 나타내고 있는 것은 어느 것입니까?
① 현재 일정한 수입이 발생하고 있으며, 향후 현재 수준을 유지하거나 증가할 것으로 예상된다.
② 현재 일정한 수입이 발생하고 있으나, 향후 감소하거나 불안정할 것으로 예상된다.
③ 현재 일정한 수입이 없으며, 연금이 주수입원이다.

7 만약 투자원금에 손실이 발생할 경우 다음 중 감수할 수 있는 손실 수준은 어느 것입니까?
① 무슨 일이 있어도 투자원금은 보전되어야 한다.
② 10% 미만까지는 손실을 감수할 수 있을 것 같다.
③ 20% 미만까지는 손실을 감수할 수 있을 것 같다.
④ 기대수익이 높다면 위험이 높아도 상관하지 않겠다.

• 문항별 점수표

구분

문항

1

2

3

4

5

6

7

보기

12.5

3.1

3.1

3.1

15.6

9.3

-6.2

12.5

6.2

6.2

6.2

12.5

6.2

6.2

9.3

9.3

9.3

9.3

9.3

3.1

12.5

6.2

12.5

12.5

12.5

6.2

18.7

3.1

15.6

15.6

3.1


• 투자성향별 점수표

투자성향

점 수

안정형

20점 이하

안정추구형

20점 초과~40점 이하

위험중립형

40점 초과~60점 이하

적극투자형

60점 초과~80점 이하

공격투자형

80점 초과

① 안정형 : 예금이나 적금 수준의 수익률을 기대하며, 투자원금에 손실이 발생하는 것을 원하지 않는다. 원금손실의 우려가 없는 상품에 투자하는 것이 바람직하며 CMA와 MMF가 좋다.

② 안정추구형 : 투자원금의 손실위험은 최소화하고, 이자소득이나 배당소득 수준의 안정적인 투자를 목표로 한다. 다만 수익을 위해 단기적인 손실을 수용할 수 있으며, 예·적금보다 높은 수익을 위해 자산 중의 일부를 변동성 높은 상품에 투자할 의향이 있다. 채권형펀드가 적당하며, 그중에서도 장기회사채펀드 등이 좋다.

③ 위험중립형 : 투자에는 그에 상응하는 투자위험이 있음을 충분히 인식하고 있으며, 예·적금보다 높은 수익을 기대할 수 있다면 일정수준의 손실위험을 감수할 수 있다. 적립식펀드나 주가연동상 품처럼 중위험 펀드로 분류되는 상품을 선택하는 것이 좋다.

④ 적극투자형 : 투자원금의 보전보다는 위험을 감내하더라도 높은 수준의 투자수익을 추구한다. 투자자금의 상당 부분을 주식, 주식형펀드 또는 파생상품 등의 위험자산에 투자할 의향이 있다. 국내외 주식형펀드와 원금비보장형 주가연계증권(ELS) 등 고수익·고위험 상품에 투자할 수 있다.

⑤ 공격투자형 : 시장평균수익률을 훨씬 넘어서는 높은 수준의 투자수익을 추구하며, 이를 위해 자산가치의 변동에 따른 손실위험을 적극 수용할 수 있다. 투자자금 대부분을 주식, 주식형펀드 또는 파생상품 등의 위험자산에 투자할 의향이 있다. 주식 비중이 70% 이상인 고위험 펀드가 적당하고, 자산의 10% 정도는 직접투자(주식)도 고려해볼 만하다. Ahn


대학생기자 김서광 / 성균관대 사학과

 

감성을 가지되 환상을 품지 말고 
냉정하되 냉혹하지는 말 것이다.

댓글을 달아 주세요

스마트폰이 기업 보안에 위협이 될 수 있다?

현장속으로/세미나 2013.03.29 07:00

3월 7일, NETWORK TIMES와 DataNet이 주최하고 안랩이 후원한 '제12회 차세대 정보보안 비전 2013(The 12th Next Generation Network Security Vision 2013)'이 서울 삼성동 코엑스 인터컨티넨탈 호텔에서 열렸다.

세미나는 국내외 여러 보안업체가 참여하여 각종 보안 위협과 그에 대응하는 차세대 보안 대책 방안을 발표하는 자리였으며, 이번 전시를 후원하는 여러 기업들의 보안 솔루션 제품을 만나보고 체험할 수 있는 기회였다.

 

세미나에서는 보안/네트워크/IT담당자들이 참석해 자리를 채웠으며 발표는 9시부터 17시 30분까지 이어졌다.

발표내용 및 순서

 패러다임 변화와 차세대 보안전략 (김홍선 안랩 대표이사)

사용자 중심의 네트워크 접근통제 전략과 대응방안 (신해준 넷맨 최고기술책임자)

차세대 방화벽의 다양한 활용 (이창빈 팔로알토네트웍스코리아 부장)

 트랙A

트랙B 

진화하는 차세대 방화벽의 새로운 기준

고도화된 위협 탐지 및 대응 위한 네트워크 포렌식

차세대 보안관제 서비스 'The Power of Protect'

클라이언트 가상화 기반의 혁신 정보 보안

웹 위협 동향과 통합 웹 보안 전략

엔드 투 엔드 네트워킹 보안 최적화 방안

BYOD 시대 네트워크 가시성 확보 전략

IPS의 진화와 차세대 고성능 IPS

기업 웹 보안 및 클라우드 사용자 보호방안

The Custom Defense:프로파일링 기법 이용한 선제적 APT대응

무선랜 기술 및 보안 기술 동향

차세대 통합 계정 및 접근 관리


가장 기억에 남는 발표 중 하나였던 김현준 한국 주니퍼 부장'엔드 투 엔드 네트워킹 보안 최적화 방안'에서는 현재 IT 트렌드를 소개하며 더욱 더 지능화하는 공격에 대응하는 솔루션이 필요함을 강조했다.

그는 2009년에서 2014년사이 클라우드 컴퓨팅의 시장 성장이 3배 가까이 이루어졌으며, 스마트폰 사용이 이미 PC 수준을 능가했고, 애플리케이션의 다양성과 풍부한 데이터로 인해 그에 따른 보안 위협도 급증하는 추세라고 말했다. 또한 사업 측면에서 직원의 업무 생산성 향상과 만족도를 위해 암묵적으로 BYOD를 무분별하게 허용하는데 이로 인해 보안 쪽에서 생각할 부분이 굉장히 다양해졌다고 지적했다.

고객 환경 전반에 걸친 보안 솔루션                                              

이어서 대해 보안 측면에서 고려할 부분으로 세 가지를 언급했다. 첫째, 사용자와 기기를 더욱 안전하게 연결, 보호, 관리하는 연결 관점의 보안, 둘째, 플랫폼 관점의 보안, 셋째로는 최근 더욱 강조되는 "애플리케이션과 콘텐츠 관점의 보안"이라고 했다.

 

Junos Pulse(주노스 펄스)는 삼성 안드로이드 기반 스마트폰에 탑재되어있는 모바일 보안 솔루션이다. 주노스 펄스는 SSL VPN을 가지고 엔드포인트 사용자가 내부망에 접속할 때 스니핑과 같은 위협에도 내부 자원을 보여주지 않는다. 모바일 보안으로는 분실 위험에 대한 보호를 해준다. 분실 시 내부 데이터를 자체적으로 포맷하고 와이핑한다. 또는 GPS로 위치를 찾아낼 수 있는 기능을 제공한다.


전시부스                                                                          

한편, 전시장에서는 20여 개의 전시 부스를 관람할 수 있었다. JUNIPER NETWORKS는 EX-Switch 시리즈와 SRX 시리즈를 소개하고 있었다. EX-Switch 시리즈의 EX8200은 데이터센터 및 캠퍼스 코어 환경에서 요구되는 포트 집적도, 확장성, 고가용성을 제공하는 모듈형 플랫폼이며, EX4500은 타사의 제품보다 44%이상 전력을 적게 소비하는 경제적인 제품이라고 했다. 그리고 소규모 LAN들에 저집적도 엑세스 구축을 시행하는데 적합한 하이 퍼포먼스 스탠드얼론 솔루션을 제공하는 EX3200등을 소개받았다.

안랩은 이날 APT대응 솔루션 'TrusWatcher'와 네트워크 통합보안 솔루션 'TrusGuard', 지능형 DDoS 공격 방어 전용 장비 'TrusGuard DPX'를 소개하였다.

그 밖에 10여군데의 전시를 관람하였다. 모토로라 에어디펜스 무선침입방지 솔루션, 'WiNG5 무선랜 솔루션'은 구축 및 관리 용이성, 탄력성(보안,RF관리,QoS), WAN 링크 우선 순위 지정 및 트래픽 전달, 문제 해결능력 등 평가항목에서 시스코와 아루바에 비해 기능에서 앞섰다고 말했다. 또한 SECUI의 'SECUI MFI', 'MF2', Geni NETWORKS의 'Genian NAC Suite', 'Genian CAM', BlueCoat의 'ProxySG시리즈' 등 여러 네트워크 보안제품들을 소개 받았다.

네트워크 보안 실무자가 아닌 내가 이런 제품들을 접하고 소개받는 기회가 없었기 때문에 각 전시 부스에서 소개하는 차세대 네트워크 보안 솔루션 제품들이 흥미롭게 느껴졌다. 제품의 운영환경이나 사양보다는 어떤 기능을 제공하고 최근 환경에 어떻게 대응되는지에 초점을 맞추고 봐야 하는 자리라고 생각하고 보았다. 앞으로 IT 발전도 중요하지만 보안을 고려한 발전이 이루어져야 바람직한 발전이 될 것이라고 생각한다. Ahn

 


대학생기자 김대희 /  경기대 컴퓨터과학과

댓글을 달아 주세요

  1. 엄용석 2013.03.29 11:29  Address |  Modify / Delete |  Reply

    스마트폰 보안에도 신경을 많이 써야겠네요!

  2. 유희만 2013.03.29 15:46  Address |  Modify / Delete |  Reply

    역시 스마트폰 보안이 이슈네요~!

지능적 APT 방어에 필요한 네트워크 포렌식

현장속으로/세미나 2013.03.28 07:00

지능화, 고도화, 복잡화하는 보안 위협에 노출된 기업이 체계적이고 능동적으로 대처할 수 있는 차세대 보안 로드맵을 제시해 주는 'Next Generation Network Security Vision 2013' 세미나가 지난 3월 7일 개최되었다. 이번 12회를 맞은 이번 세미나는 총 16개의 세션을 마련하여 보안 위협에 대해 궁금해 하고있는 세미나 참여자들에게 많은 정보를 제공해 주었다. 



먼저, 세미나의 시작을 알린 것은 정보보안 분야 대표 기업인 안랩의 김홍선 대표. '패러다임 변화와 차세대 보안전략'을 주제로 키노트 스피치를 했다. 



김 대표는 최근 화두인 APT의 특징을 소개했다. 

"IT 대중화로 IT의 정보력이 큰 '파워'를 가짐에 따라 보안 위협도 지능화한다. 대표적인 이슈가 APT 공격이다. 이것은 현재까지의 공격 패턴과는 달리 정규적으로 훈련받은 요원과 막대한 자본 그리고 오랜 시간동안 공을 들여 특정 대상을 공격하는 새로운 보안 위협이다."


이어서 "기존 방화벽, IPS 등의 보안 장비들은 알려진 시그니처를 탐지하기 때문에 알려지지 않은(Unknown) 공격인 'APT 공격'에는 취약 할 수밖에 없다."라고 설명했다. 또한 APT가 이루어지는 주된 공격 경로를 설명하고 IT 보안 산업이 나아갈 방향을 제시했다. 더이상 노동집약적인 방향이 아닌 기술적인 방향으로 나아가 'Unknown' 공격을 살펴봐야 하며, 기업에서도 보안의 중요성을 인식하고 계속 정보를 얻는 것이 중요하다고 강조했다.


고도의 위협 대응 위한 네트워크 포렌식 


오후 주제 발표에서는 주남용 한국 EMC 차장의 '고도화된 위협 탐지 및 대응 위한 네트워크' 세션이 ㅣ선을 끌었다. 그는 현존 네트워크 장비가 APT 공격 같은 'Unknown' 공격에 대응하는 데 어떤 한계가 있고 그에 따른 피해 양상이 어떤지, 대응 방법은 무엇인지 이야기했다. 

먼저, 현재의 보안 실태는 '99%의 침입이 수일 이내에 피해를 일으키고, 이 중 85%가 수주 이내에 발견되는 형태'라고 설명했다. 이어서 지금의 보안은 보안 침입이 일어난 후 뒷북 치듯 조치하는 것이라고 비판했다. 


또한 "현재의 네트워크 장비들은 'Attack Free Time' 즉, 공격자가 침입한 후 정보를 탈취할 때까지 시간을 너무 많이 허용한다"라며 전통적인 네트워크 모니터링의 한계를 지적했다. 이어서 지금까지의 네트워크 포렌식과는 다른 '네트워크 포렌식의 새로운 정의'를 설명했다. 즉, 기존 시그니처만을 탐지하는 방법으로는 시그니처에 걸리지 않는 새로운 방법으로 위협해오는 공격자에 무방비 상태가 된다는 것이다.

'Unknown' 공격에 효과적으로 대응하려면 '이상 트래픽'만 저장하던 현행과는 달리 '모든 트래픽'을 저장하고 이를 처리할 수 있는 고속 검색 환경을 구축할 필요가 있다고 밝혔다. 아울러 패킷 기반 분석보다는 세션 기반의 분석을 중심으로 하고, 인바운드(InBound) 트래픽 보안과 함께 아웃바운드(OutBound) 트래픽 보안도 강화해야 하며, 통합 로그 관리의 연계 운영이 필요하다고 제언했다. 


또한, 보안담당자는 보안 침입이 발생했을 때 '선조치 후보고'하는 게 효과적이라며, '보안 위협에 가장 효과적이고도 분명한 방비책은 정보보호 인력 양성'이라고  강조했다. Ahn


           




대학생기자 유희만 / 수원대 컴퓨터학과

The achievement of one goal should be the starting point of another.
(목표의 성취는 또 다른 목표의 출발점이 되어야 한다.)
- 알렉산더 그레이엄 벨 -

현재에 안주하지 않고 항상 색다른! 목표를 향해!                  


댓글을 달아 주세요