피싱 범죄, 상상 초월 국경 초월 충격 실태

보안라이프/이슈&이슈 2011. 7. 8. 06:30

국내뿐만 아니라 세계 곳곳에서 피싱 피해가 계속 발생하고 있다. 최근에는 신종 피싱이 세계적인 금융 중심지인 영국을 휩쓸고 있다. 이른바 '신용 피싱'으로 개인정보를 탈취해 금융자산을 탈취하거나 차량을 구입하는 등의 행위를 하는 것이다. 

신용 피싱은 영국 국민의 1/4이 피싱 메일을 수신한 경험이 있고, 이 중 1/3이 피해를 당한 것으로 영국 금융당국과 경찰이 특별수사팀까지 만들어 수사에 힘을 쏟을 정도로 현지에서는 대단한 이슈이다. 더욱이, 전화 통화를 한 사람이 중동계 사람이라 추측되고, 영국이 주요 해적국과 테러국의 브로커, 전세계 금융 자산이 모여있다는 점에서 한 건의 피해와 파급력은 무시할 수 없는 상황이다. 어떤 수법을 쓰는지 직접 확인하고자 피싱 범죄자와 직접 메일, 전화를 주고받았다. 


1단계 - 무작위 메일 발송

지금껏 발생한 메일 피싱은 메일에 악성코드가 포함되었거나 금융사 웹사이트로 위장해 개인정보를 입력하도록 유도했다. 따라서 V3 같은 백신 프로그램의 실시간 감시로 막을 수 있었다. 또한, 다양한 이메일 호스팅 회사의 자체 필터링으로 스팸메일로 분류되어 고객이 메일을 읽는 것조차 쉽지 않았다.

하지만, 이번 신용 피싱의 경우 패턴이 일정하지 않고 동일한 내용의 메일이 두 번 다시 오지 않는다. 2개월 간 살펴본 결과, 매번 발송되는 메일의 내용은 변경되고 발송 주기도 규칙적이지 않았다. 그렇기 때문에 패턴을 통해 예방을 하는 보안 소프트웨어에 걸리지 않았다.

(요약) 사업 제안을 하겠다. 나는 Eddie Shileds이고, 런던의 금융 회사 책임자이다. $4.500만 달러에 해당하는 보험 예수금이 한국 국적의 김우철이라는 사람 앞으로 있는데, 그는 교통사고로 10년 전 사망했다. 아무리 친인척을 찾아도 찾을 수 없었다. 영국 금융법 상 10년이 넘어가는 보험금은 정부로 귀속되는데, 함께 보험금을 찾아 50%씩 나눠 갖자. 돈은 아무 문제 없이 당신에게 전달될 것이다. 이 거래는 100% 비밀로 해야 하며, 관심이 있으면 아래의 메일 주소로 연락 바란다.


2단계 - 가짜 신분증으로 믿음을 낚시질

기자가 답신을 보냈다. 좀더 자세한 이야기를 듣고 싶고, 무엇보다 내 연락처를 어떻게 알았는지 궁금하다고 썼다. 그러자 다음과 같은 답이 왔다. 

 

인터넷에서 당신의 주소를 찾았고 내 영혼의 방향에 따라 특별히 당신을 선택했다. (말도 안 되는 답변이 무성하다.)

 

런던에 있는 금융 회사의 회계 감사 책임자로서 고객들의 계좌를 감독 관리하고 있다. 금융 업계에서 20년 여의 경험을 쌓았으며 현재 52살이다.

 
그 밖에 돈의 성격, 사고 경위, 앞으로 일 처리에 대한 세세한 일정도 메일에 적었다. '거래의 성격상 신뢰가 중요하다'고 강조하며 자신의 여권과 신분증을 스캔해서 보내기도 했다.

주목할 것은 Eddie Shield라는 사람 역시 피해자라는 것. 분실된 신분증이 인터넷으로 전세계 각지에서 범죄에 악용되어 금전적 피해뿐 아니라 신상정보나 명예가 훼손되는 피해도 겪게 된 것이다. 이 신분증이 복제되어 테러국에서 사용된다면 더 끔찍한 상황까지 벌어질 수 있는 것이다. 영화에서 보던 일을 실제로 보니 간담이 서늘해졌다. 

3단계 - 영국 계좌 만들라고 요구

1번의 메일에서 Eddie(로 가장한 범죄자)는 보험금을 수령한 뒤 그것을 서로 나누자고 제안해 왔다. 그는 보험금 수령을 위해 메일을 주고받던 중, 한국의 계좌로 바로 받으면 영국 금융당국에서 감시를 받을 수 있고 무엇보다 세금에 대한 우려가 있으니 영국 계좌를 만들어야 한다는 새로운 제안을 했다. 바로 이 대목이! 이 계좌를 만들기 위해 상대방의 여권과 신분증 사본, 그리고 각종 개인 정보를 요구한다.  

기자는 이름과 전화번호는 실제 정보를 건네고 나머지는 허위 정보를 보내주었다. 그 결과 전화가 왔다. 그 전화번호는 추적이 불가능한 인터넷 전화로서 국가번호 44번(영국)을 사용하는 번호였다. (44)7759120060을 사용하고, 
검색 엔진으로 검색하면 아무것도 안 나온다. 최신 전화번호를 사용해 피싱임을 눈치 못 채게 하는 매우 치밀한 수법이다. 

이후, 더 이상의 메일이나 전화 통화는 없었다. 재미있었던 점은, 전화가 국가번호 44번인 영국에서 전화를 했다가 어느 국가 번호인지 알 수 없는 번호로 발신되기도 한다는 점이다. 그리고, 영국이나 미국의 영어가 아닌 알자지라 방송의 중동 사람 인터뷰 장면에서 들었던 발음이라는 것.

내 개인정보가 국제 범죄에 악용될 수도

이제는 자신도 모르게 해외에 있는 자산에 변동 사항이 생기거나, 본인 이름의 대포통장이 해적이나 테러범의 손에 들어가 이용당하는 것을 걱정해야 하는 시대이다.

이런 피해를 당하면 어떻게 해야 할까? 
경찰청에 문의하니, 경제적인 피해가 발생하지 않으면 사이버수사대나 언터폴이 수사에 나서기는 어려우므로 주기적으로 신용정보가 변경되었는지 점검하라고 권고했다. 그리고 외교통상부는 '특별한 주의'밖에 없다며, 유출된 여권을 재발급해 피해를 최소화하는 수밖에 없다고 답했다. 개인정보가 국외로 유출되면 뾰족한 대책이 없으니 예방이 최선이다. 

<신용 피싱 예방법>
1. Dear로 시작되지 않고 From으로 시작되는 불특정 다수를 향한 메일은 No!

2. 상식을 언제나 생각하고, 검색 엔진을 활용해 동일 사례를 검색해볼 것.
3. 안티 피싱 커뮤니티 등에서 정보를 얻을 것. 
4. 보안 장치가 없는 상태에서는 개인정보를 함부로 노출하지 말 것. 
5. 국제전화는 추적이 불가능한 인터넷 전화가 있음을 염두에 두고 유의할 것.


SCAM, Phishing과 같은 키워드로 검색 엔진에서 검색만 해도 여러 사례를 볼 수 있다. 그 기법이 점점 지능화하는 피싱은 인터넷이 공간에서 막대한 피해를 발생시킨다. 지능적인 사이버 범죄의 피해자가 되지 않도록. Ahn

 

댓글을 달아 주세요

  1. 하나뿐인지구 2011.07.08 13:31  Address |  Modify / Delete |  Reply

    아주 가끔씩...subway라는 가게에서...점심용 빵을 포장해서 와서 점심때 먹는데...
    카드 영수증 안 챙겨가는 사람이...대부분이더군요...

  2. 카레 2011.07.08 16:44  Address |  Modify / Delete |  Reply

    개인영수증이나 - 카드 명세서는 그냥 버리면 안되고 ..파쇄기를 이용하세요 -_-;그리고 취업 볼때 꼭 원청에서 사람을 구하는지 확인한다음 면접보시구요. 그게 아니라면은 100% 개인정보 먹고 그냥 나몰라라 합니다.

  3. jjongmi 2011.07.13 10:37  Address |  Modify / Delete |  Reply

    이런 무시무시한 범죄자들이 하루 빨리 다 근절되어야 할텐데......

집과 공공장소에서 내 정보 지키는 간단한 방법

보안라이프/리뷰&팁 2011. 7. 5. 06:30

A군은 최근 매신저에 접속했다가 당황스러운 일을 겪었다. 누군가가 자신의 아이디로 접속해서 메신저에 등록 된 사람들에게 외설적인 내용의 쪽지를 전송한 것이다. 개인정보 유출과 더불어 이상한 사람으로 오해를 받는 아찔한 상황이 연출 되었다. 오랫동안 비밀번호 변경을 하지 않고 관리를 하지 않았던 것이 화근 이었다. A군은 억울한 오해와 어디선가 팔리고 있을 자신의 개인정보 생각에 걱정이 되었다.

최근 금융권이나 대형 웹사이트들에서 개인정보가 유출되는 일들이 빈번히 발생하고 있고 아직도 웹사이트로 보내는 아이디와 비밀번호가 암호화 되지 않아 앞의 사례처럼 피해가 속출하고 있다. 더 큰 문제는 사생활침해, 메신져피싱, 스팸메일, 그리고 보이스피싱 등의 2차 피해가 함께 증가하고 있다는 점이다. 

어쨌든, A군과 같은 상황에 처하지 않으려면 개인정보를 어떻게 지켜내야 할까? 이 피해를 최소화하기 위해 아이디와 비밀번호를 쉽게 노출 하지 않도록 개인 스스로가 할 수 있는 일에는 다음과 같이 간단한 방법들이 있다.

출처 - http://www.y2kers.com/tag/password

 

■ 집에서


1) 가능하면 자주 바꿔준다!
많은 곳에서 말하고 있는 방법이다. 비밀번호에 대한 암호화가 되어 있더라도 오래 된다면 언젠가는 이를 복호화할 수 있는 약점이 생기기 마련이다. 중요한 정보를 가지고 있지 않다고 생각되는 아이디라도 비밀번호를 자주 바꿔줘야 한다.

2) 웹사이트마다 다르게 한다!
웹사이트마다 아이디와 비밀번호를 다르게 하면 수많은 웹사이트들을 어떻게 다 관리하느냐는 의문이 들 것이다. 하지만 이러한 방법을 쓰면 어떨까? 예를 들면 다음이라는 웹사이트의 비밀번호는 '다음1234', 티스토리는 '티스토리1234'처럼 개인적인 알고리즘을 만들어 관리에 어려움이 없도록 한다. 물론, 이 예를 보고 비슷한 패턴으로 비밀번호를 설정한다면 더 큰 문제점이 발생할 것이다.

3) 단어나 숫자만 사용하지 말자!
만들고, 기억하기 쉽다고 해서 단어나 숫자로만 된 아이디와 비밀번호를 만드는 사람이 많은데, 이는 개인정보보호에 가장 위험한 것 중 하나다. 무차별로 아이디나 패스워드를 넣어보는 brute force 공격이나 사전에 있는 단어들로 넣어, 공격을 한다고 해서 붙여진 dictionary 해킹방법에 취약하기 때문이다. 그렇기 때문에 반드시 가능한 길게 단어, 숫자를 조합해야 하며 할 수 있다면 대소문자를 구별하거나 특수기호를 넣어주는 것이 좋다.

4) 생년월일 등의 정보는 넣지 않는다!
가끔 보면 아이디에 개인 생년월일 (예를 들면 apple1986) 혹은 전화번호를 넣어 만드는 경우가 있다 하지만 이것은 마케팅이 대상이 될 수 있다. 아이디에 따라 스팸메일이나 스팸문자 등의 광고지들로 홍수를 이룰 수 있으니 이러한 가능성 또한 줄여야 한다!


모 사이트에 공개된 당첨자들 - 전화번호, 생년월일을 유추할 수 있다



■ 공공장소에서


공공장소 (학교, PC방, 도서관 등)에서의 비밀번호 관리는 힘들다.
컴퓨터 안에 어떤 프로그램이 설치되어 있는지 모르기 때문이다. 개인이 할 수 있는 일들은 다음과 같다.

1) 로그아웃, 생활화하자
어쩌면 가장 쉬운 일이지만 어려운 일이기도 하다. 웹사이트나 메신저의 로그아웃을 하지 않은 것을 공공장소에서 쉽게 볼 수 있다. 이는 아이디와 비밀번호를 모르고도 계정에 접근할 수 있는 방법이며 의도하지 않은 사람이 해커가 되어 버리는 상황까지 생기기 때문에 공공장소에서 로그아웃은 필수사항이다!

2) 작업표시줄, 작업관리자 확인하자
내 컴퓨터가 아니기 때문에 어떠한 프로그램이 설치되어 있는지 실행되어 있는지 모르는 경우가 태반이기 때문에 이를 항상 확인해야 한다. 특히 최근에는 키보드의 단순한 조작으로 작업표시줄에 표시된 실행되고 있는 프로그램을 감춰주는 프로그램들이 많이 나와 있어 해킹 툴을 감추는 것에 대비해야 한다. 

작업표시줄을 감춰주는 프로그램

3) 나의 데이터가 어디로 흐르는지 확인하자
공공장소 혹은 검증되지 않은 아무 무선 인터넷에 접속하는 것은 간단한 해킹 툴로도 내가 보낸 정보가 정상적으로 가지 않고 해커의 컴퓨터를 거쳐 가는 ARP spoofing 같은 공격에 취약하다. 웹사이트나 프로그램마다 다르겠지만 내가 보낸 데이터가 해커의 컴퓨터를 거친다면 아이디 비밀번호를 쉽게 알아낼 수 있다. 

4) 백신 프로그램 설치하자
물론 가정집에서도 반드시 설치되어 있어야 한다. 공공장소에는 백신 프로그램이 설치되지 않는 컴퓨터들이 부지기수다. 따라서 컴퓨터를 잠깐 사용하더라도 위와 같은 해킹 툴이나 악성코드에 대응하기 위해서는 백신 프로그램을 설치 후 사용하는 것이 좋다. 

V3 Internet Security 8.0 - 실시간으로 네트워크를 감지한다

이 외에도 다양한 방법들로 다운로드(Active X  등) 함부로 받지 않기, 검증되지 않은 URL 클릭하지 않기, 자주 사용하지 않는 사이트는 탈퇴하기 등의 방법이 있다. 이처럼 스스로 개인정보를 보호할 수 있는 여러 가지 방법이 있고 어쩌면 누구나 알고 있는 방법이지만 이 중 하나라도 소홀히 한다면 다른 노력이 헛수고가 될 수 있다. 따라서 ‘자나 깨나 불조심'이 아닌 ‘자나 깨나 개인정보조심’을 생각하며 언제나 어디서나 개인정보보호에 주의를 기울이자! Ahn

대학생기자 김형준 / 원광대 정보전자상거래학부

스물 여섯!

키에 대한 성장판은 이미 닫혔지만
KEY에 대한 성장판은 이제 시작입니다!


 

댓글을 달아 주세요

  1. 영원~* 2011.07.05 12:00  Address |  Modify / Delete |  Reply

    좋은정보감사

  2. 보안짱 2011.07.05 12:01  Address |  Modify / Delete |  Reply

    간만에 좋은글 읽고 갑니다.
    다음에도 더 좋은글
    부탁드립니다.

  3. 홍홍 2011.07.05 13:41  Address |  Modify / Delete |  Reply

    좋은 정보 감사해요
    실천해봐야겠네요~!!

  4. 하나뿐인초록별 2011.07.05 15:56  Address |  Modify / Delete |  Reply

    요새 트위터 보면...
    해킹 사건들도 발생하고...
    가짜 연예인들 트위터도 그렇고...
    ...
    개인정보가...주민번호/비밀번호에만...
    국한되는 것은 아닌 것 같아요...
    ...
    해킹/보이스피싱/플래시 취약점 등등...

  5. jjongmi 2011.07.13 10:39  Address |  Modify / Delete |  Reply

    비밀번호 자주 바꿔야 하는데.... 그게 참 쉽지않은거같아요 ㅠㅠㅎㅎ

트위터, SNS에서 많은 친구보다 중요한 것은

현장속으로/세미나 2010. 4. 11. 09:43

스마트폰의 본격적 보급으로 한동안 주춤하던 트위터 사용자가 급격히 늘었다. 소셜 네트워크 서비스가 각광받는 환경이 된 것이다. 이런 트렌드에 맞춰 얼마 전 안철수연구소 '안랩 R&D 스쿨'에서는 소셜 컴퓨팅 주제로 소셜웹연구소의 초대 회장인 한상기 KAIST 문화기술연구대학원 교수의 강의가 진행되었다소셜 컴퓨팅의 특징과 소셜 네트워크 서비스의 예를 들어보고 변해가는 컴퓨팅 환경에 대비하기 위한 의미 있는 주제들을 접할 수 있는 시간이었다. 한상기 교수의 강의를 요약했다.

 

웹2.0 다음은 '웹 스퀘어드' 


웹2.0의 핵심인
참여와 개방성은 사용자로 하여금 타인과 관계를 형성하고 이를 활용하게 함으로써 그 규모와 영향력이 점점 커지고 있다.
이 때문에 웹2.0 이후의 모습은 웹 스퀘어드(Web Squared)라고 할 수 있다. 웹 스퀘어드에서 중요한 점은 웹을 통한 관계의 확장이다. 이는 스마트폰을 비롯한 다양한 웹 접속 기기의 출현으로 능동적인 참여가 가능해짐으로써 점점 더 가속화한다. 또한 기존 데이터를 융합하여 새로운 정보를 제공하는 서비스가 증가하고 있다.

 

플리커 + 지오테깅 결합 서비스

소셜 네트워크란 공개/비공개 프로파일(개인정보)을 만들어 친구를 연결시키고, 그 관계를 통해 새로운 정보에 접근(traverse)할 수 있는 구조라고 할 수 있다. 소셜  네트워크에서는 개인의 신상 정보라고 할 프로파일(profile, social graph)가 가장 중요한 자산이다.

 

복합적인 서비스가 증가하고 웹 사용 패턴이 변화하면서 단순히 컴퓨터 과학 기술만으로는 설명이나 이해하기 어려운 현상들이 나타나기 시작했다. 따라서 소셜 네트워크에서 일어나는 현상은 사회문화적 관점의 접근이 필요하다.

 

소셜 네트워크 상의 친구는 양보다 질


소셜 네트워크의 중요성은 온라인/오프라인의 생활이 분리되지 않는다는 점에 있다. 온라인이 가진, 활용도 높은 각각의 서비스가 서로 연계되어 사회적 이슈와 행동을 유발함으로써 뉴스가 생성되고 소비되기도 한다.

 

또한 정보의 전달/접근 단계에서 사람을 유도하는 과정이 프렌드 캐스팅(Friend casting;지인을 통한 전달)으로 변하고 있다. 단순한 검색은 기존 검색 엔진을 사용하지만, 관심 분야에 대한 정보는 소셜 네트워크(친구의 블로그, 트위터)의 링크로 접근하는 경우가 많다. 쇼핑몰처럼 상업적인 목적이 강한 서비스일수록 프렌드 캐스팅이 해당 서비스의 성패에 중요한 요소로 작용할 수 있다.

 

정보의 전달과 공유 관점에서는 '얼마나 많은 친구가 있느냐'가 아닌 '얼마나 중요한 친구를 가지는가'가 중요하게 되었다. 다시 말해, 정보감염성(나에게 얼마나 중요한 정보를 제공할 수 있는가)이 어느 정도인지가 더욱 중요하다는 관점이 생긴 것이다.

 

소셜 네트워크 상에서 정보의 다양성은 밀접한 관계가 아닌 옅은 관계에서 나타나는 특징이 있다. 이러한 점에서 쉽게 관계를 맺고 끊을 수 있는 서비스를 통해 더욱 다양한 정보의 생산과 소비가 이루어질 수 있다. 트위터가 영향력있는 미디어가 된 것도 관계의 연결과 끊음을 쉽게 할 수 있다는 특성 때문이다.

 

또 하나의 예로, SNS(소셜 네트워크 서비스)인 페이스북과 대표적인 검색 엔진인 구글의 검색 접속량의 변화를 들 수 있다. 일시적이긴 했지만 페이스북을 이용한 검색 시도가 구글을 이용한 검색량을 넘는 상황도 발생한다.

 

소셜 네트워크와 관련하여 고민해볼 만한 주제

- 소셜 컴퓨팅, 가령 자신의 삶을 블로그에서 공유하거나 공개 게시판에 참여하는 일을 왜 하는가?

- 지역성, 나이 별로 성공하는 서비스와 그렇지 않은 서비스가 존재하는가?

- 소셜 네트워크에서 관계에 대한 진지한 고민이 필요하다.

- 소셜 네트워크 분석 : 누가 네트워크 상에서 가장 중요한 요소인가? 데이터의 흐름이 어떻게 이동하고 확산되는가?

- 분산된 커뮤니티들을 어떻게 종합적으로 분석할까?

- 신뢰성에 대한 고민(트위터에 위치 정보를 포함하려는 시도가 있다.)

- 소셜 검색 : 유사한 소셜 그래프를 바탕으로 한 검색 및 추천 서비스. 

 

웹을 통한 참여의 증가는 구성원의 요구를 더욱 다양하게 만든다. 소셜 네트워크에서 발생하는 문제와 요구사항은 컴퓨터공학, 과학기술과 함께 다양한 인문사회 관점에서 함께 연구해볼 만한 가치가 있다. 기업에서는 소셜 네트워크에서 이루어지는 사람의 행동양식이나 관계를 충분히 이해해야 소셜 컴퓨팅 환경에 효과적인 서비스를 개발할 수 있다.

 

프라이버시 공개 문제 사회적 합의 필요


SNS에서 개인정보와 사생활이 무분별하게 노출될 우려가 있다고 문제제기를 할 수 있다. SNS에서 동의 없이 개인정보가 공개되는 것을 당연하게 여기는 환경을 조성하는 것은 아닌지, 공개된 프로파일이나 프라이버시를 악용하는 문제가 발생할 수 있기 때문이다.

 

지금은 프라이버시의 공개 수준에 대한 사회적 합의가 이루어지는 과정에 있다. 공개를 요구하는 서비스에 대해서는 사용자가 사용 여부를 결정하거나 공개 수준에 대한 조절을 요청할 것이다. 프라이버시 공개 수준은 사용자가 조절하고 결정해야 한다. 보안 관점에서는 프로파일을 보호하려는 사람들을 어떻게 보호해줄 것인가를 고민해야 한다. Ahn

 

 

사내기자 김현철 주임연구원 / 기반기술팀

'나에게 주어진 모든 상황은 생각하기에 달려있다.'는 마음으로 항상 행복하고 즐거운 순간을 살아가는 자기합리화의 달인. 자신이 가진 기술이나 능력이 우주평화에 조금이나마 도움이 될 것이라는 희망을 가지고 살아가는 중

 

댓글을 달아 주세요

  1. 악랄가츠 2010.04.11 10:32  Address |  Modify / Delete |  Reply

    단순한 팔로우의 수보다,
    역시 한 명이라도 제대로 소통할 수 있는 관계가 중요하네요!

  2. 아이프리드 2010.04.11 22:06  Address |  Modify / Delete |  Reply

    너무 팔로수에만 의존하다보면 폭풍속에서 고독감을 느끼기도 한답니다 =_=;; 너무 많은 트윗에 타임라인이 폭주하고 왠지 소외되는 느낌이 강해진다는...

  3. yemundang 2010.04.12 12:33  Address |  Modify / Delete |  Reply

    프로파일이 중요하군요. 저 역시 처음에는 무조건 팔로잉 수를 늘리려고 했지만, 요즘은 프로파일을 보고 신중하게 팔로잉을 하고 있습니다. 양적 성장으로 가려다보니, 가벼운 잡담 속에서, 중요한 이야기들을 많이 놓치게 되더라구요. 트위터에 관심갖게 된지 한달쯤 되었는데, 좋은 소개 감사드립니다.

    최근에 안연구소와 김홍선 대표님의 블로그를 알게 되었는데,
    좋은 소개 많이 해주셔서 넘 반갑습니다.
    블로그, 트위터, 아이폰이... 육아에 지친 저에게.. 활력소가 되고 있습니다.
    감사합니다. ^^

    • 보안세상 2010.04.12 14:02 신고  Address |  Modify / Delete

      이렇게 방문해주셔서 감사합니다^^ 앞으로도 다양하고 좋은 내용으로 보답하기 위해 노력하겠습니다. 그럼 좋은 하루되세요~*

올해 바뀌는 정보보호 정책 5가지 쉽게 알아보기

보안라이프/이슈&이슈 2010. 2. 13. 06:30

안녕하세요? B군입니다.
오늘은 2010년에 새롭게 바뀌는 정보보호 정책을 쉽게 설명해드리겠습니다.

올해에는 개인뿐 아니라 공공기관에서도 정보보호를 강화할 수 있는 다양한 방안과 대책이 추진됩니다. 또한 중소기업을 위한 'DDoS 사이버 긴급대피소'가 구축되며 보안 제품에 대한 평가 제도도 변경됩니다.    


자, 큰 흐름을 아셨다면 
이제부터 하나하나 차근차근 살펴볼까요?                    

출처 : http://danmee.chosun.com/site/data/img_...30_0.jpg

                

1. 주요 개인정보의 암호화 저장 의무화


1월 29일부터 주요 개인정보의 암호화 저장이 의무화됩니다. 포털, 쇼핑몰, 게임 등
인터넷사업자는 주민등록번호, 신용카드번호, 계좌번호 등의 중요 개인정보를 보관할 때 반드시 암호화하여 저장해야 합니다.

(만약 유출된 주민등록번호가 고대 수메르어로 써있다면 도용하고 싶어도 못하겠죠?)

이를 통해
주민등록번호 도용 등의 피해를 막을 수 있을 것으로 기대됩니다. 하지만 역시 제일 중요한 것은 개인정보가 유출되지 않도록 막는 것이겠죠?   

2. 국내외 웹사이트 개인정보 노출 대응 강화


국내외 웹사이트의 개인정보 노출의 대응이 강화됩니다. 한국인터넷진흥원(KISA) 내에 구축된 개인정보 노출 대응 시스템 및 개인 정보 노출 대응 상황실이 올해부터 본격 가동됩니다.

이에 따라 
국내 인터넷 상에 노출된 개인정보를 365일, 24시간 자동 검색하여 삭제 등 필요한 조치를 취합니다. 또 KISA와 주요 포털 간의 핫라인 운영으로 유사시에 신속한 협력과 대응이 가능할 것으로 기대됩니다.

한편, 중국 등 국외 사이트에 노출된 우리 국민의 주민등록번호 문제를 해결하기 위해 해당 국가와 협력 체계를 한층 강화할 예정입니다.      
                                   

3. 기업 및 공공기관의 정보보호 관리체계 인증 의무화  

 
올해부터는 전자정부 대민 서비스를 제공하는 행정기관을 대상으로 ‘정보보호관리체계 인증(G-ISMS)’이 의무화됩니다. 행정안전부는 행정기관의 정보보호 관리 수준을 좀더 객관적이고 체계적으로 점검·관리하기 위해 G-ISMS를 마련했습니다. (한마디로 행정기관에 우리의 개인정보를 안심하고 맡길 수 있나 없나 검사하는 제도입니다.)

또 KISA는 민간기업을 대상으로 한 개인정보보호 관리체계(PIMS) 인증제도를 신설, 하반기부터 시작합니다. 개
인정보보호 관리체계를 수립, 인증받길 희망하는 기업을 대상으로 자율적으로 시행될 ‘PIMS’는 기업이 개인정보를 안전하게 수집·이용하기 위해 구축, 운영하는 관리체계의 적합성을 검증해 인증서가 부여될 예정입니다.

이 인증을 획득하는 기업은 개인정보 수집·이용·보유·제공·파기 등 라이프사이클 전 과정에서 개인정보에 대한 안전성과 신뢰성 및 이용자 권리 보호를 위한 전사적인 활동을 공인받게 됩니다.


(설명이 길다고 긴장하지 마세요!!! 포털 등의 민간기업이 개인정보를 잘 관리하고 있는지 검사하는 제도입니다. 검사를 통과한 기업은 국가에서 정보보호 잘하는 것을 인정해주지요.)

4.  DDos 사이버 긴급대피소 구축


분산서비스거부(DDoS) 대응 장비 구매가 어려운 영세 기업을 지원하기 위해 인터넷침해센터(KISC)에 대하여 광대역 회선, DDoS 대응장비 및 인력을 갖춘 사이버 긴급대피소가 구축, 운영됩니다.

(요새 기업마다 DDoS 장비 하나쯤은 다 있잖아요? DDoS 장비를 구입할 여력이 안 되는 조금 불행한 기업들을 위한 제도라 이겁니다.
  
  
                                        

5. 정보보호 제품의 CC인증 변경 승인 절차 변경


정보보호 제품이 획득한 국제공통평가기준(CC) 인증 효력를 유지하기 위한 변경 승인 절차가 변경됩니다. 이전까지는 CC인증 제품에 대한 인증 효력을 유지하기 위해서는 인증 기관인 국가정보원에 신청 접수했지만 앞으로는 KISA, 한국산업기술시험원(KTL) 등 5개 정보보호 제품 평가기관에 접수 수 있습니다.

또한 특정 제품의 인증서 효력이 정지된 경우엔 인증 제품 목록에서 정지 기간을 표시하고, 이를 인증 기관 홈페이지에 공지하는 내용도 신설됐습니다. 이 밖에도 정보보호 제품 평가기관은 내년 하반기부터 CC 3.1버전(V)만 적용해 평가를 수행합니다. 상반기까지는 CC V2.3과 V3.1 기준을 병행 적용할 예정입니다.

출처 : http://ask.nate.com/qna/view.html?n=8100852

                   
이 외에도 올 한 해 우리나라를 정보보호 강국으로 만들어 줄 많은 정책들이 준비 중입니다. 여러분도 개인 정보보호를 위해 노력하는 것 잊지 마세요 ^^ Ahn

- B군


댓글을 달아 주세요

  1. 악랄가츠 2010.02.13 15:42  Address |  Modify / Delete |  Reply

    하하 이제 범죄자들은 특강으로 고메 수메르어를 공부해야겠네요! ㄷㄷㄷ
    해석하는 자! 성공하리라! ㄷㄷ

  2. 요시 2010.02.16 22:45  Address |  Modify / Delete |  Reply

    감ㅅㅏ합니다^_^

  3. 스마일맨 2010.02.18 12:28  Address |  Modify / Delete |  Reply

    정보보안 강국 코리아...
    멋져요 ^^

  4. 2010.02.18 19:30  Address |  Modify / Delete |  Reply

    비밀댓글입니다

  5. Mr.Pro 2010.03.03 02:04 신고  Address |  Modify / Delete |  Reply

    머...그냥 읽다가 생각난건데..수메르어로 되어있어도..
    숫자와 수메르어 대조해가면서 풀면 되지 않을가요...
    에이 모르겠다..ㅋㅋㅋ