국가 재난을 악용한 '세월호 스미싱'

보안라이프/이슈&이슈 2014. 5. 15. 14:22




이도현(ASEC 대응팀) / 사내 기자

 

 

 

댓글을 달아 주세요

안랩 견문록 (영남이공대 사이버보안학과 학생 방문)

4월의 첫날, 영남이공대 사이버보안과 학생들이 안랩 사옥에 찾아왔습니다.

 

학생들 모두 미래의 사이버보안 전문가를 목표로 하는 만큼 저희 안랩에 대해 굉장히 큰 호기심을 가지고 있었습니다 ^^

 

학생들을 위해 무엇을 준비하면 좋을까 생각하다가 사이버보안 분야 실무자의 강의를 준비하였습니다.

관심있는 분야인 만큼 학생 모두가 집중에 집중으로 경청해 주었습니다^^ 

 

 

강의를 마치고 우리 안랩의 자랑인 안랩 스페인 계단으로 이동해서, 안랩이 학생들 대상으로 매년 진행하고 있는 보안 UCC콘테스트 영상을 같이 시청하였습니다.

 

그리고 종전에 들었던 사이버보안 강의 내용을 토대로 퀴즈를 내어 상품이 걸려있는 보안 퀴즈 타임!

 

 

정답을 맞추고 상품을 받자 입이 귀에 걸린 한 학생 입니다 ^^

 

 

 

그리고 마지막으로 영남이공대 학생들, 교수님과 안랩 직원 모두가 함께 단체 사진 찰칵 !

 

안랩은 대한민국 사이버 보안의 미래를 짊어질 학생들에게 언제나 열려 있습니다.

무궁무진한 발전가능성이 있는 모든 학생들에게 안랩이 도움이 될수 있다면 저희는 언제나 노력하겠습니다. 감사합니다 ^^ Ahn.

 

 

 

박종욱 / 안랩 커뮤니케이션실

 

 

 

 

댓글을 달아 주세요

지능적 해커, 복잡한 IT 환경 사이에서 보안 지키기

현장속으로/세미나 2013. 11. 26. 14:33

Responsive Security, Be Ready to be Secure 

당신은 보안에 대해 즉각 반응할 수 있는가? 또한 당신은 보안에 관해 지금 당장 준비가 되어 있나

아마 보안에 관해서 항상 따라다니는 문구일지도 모른다. 

11월 18~19일 코엑스 그랜드볼룸에서 미래창조과학부와 안전행정부 주최로 열린 <제7회 국제 사이버 시큐리티 컨퍼런스(ISEC)>에서 시스코시스템즈 싱가포르의 Meng-Chow Kang은 이 주제로 강연을 했다. 


Meng-Chow Kang "방어를 통해 시스템에 대한 이해가 필요하다. 또한 모든 계층에 관해 보호가 필요하다. 만약 한 계층이 보안이 잘되어 있지 않아 취약하다면 그 곳으로 침투가 가능하다. 하지만 방어는 매우 복잡하며, 복잡하다는 것은 새로운 이슈를 찾을 수 있다는 의미이다."라고 하였다. 다음은 주요 내용.

인간의 행동은 매우 예측하기 힘들며, 이런 복잡성으로 불확실성이 야기된다. 이처럼 컴퓨터 또한 복잡한 시스템 내에서 알 수 없는 미래가 예측된다. 예측을 하고 방어를 해도 100% 정확할 수는 없다. 만약 예측한 부분을 방어했지만 다른 곳에 변화를 준다면 다른 부분에도 영향을 끼치게 된다. 네트워크 계층은 모두 상호 연관되어 있기 때문이다. 이에 따라 하나의 변화가 나머지 계층에도 영향을 준다. 나비효과가 예가 될 수 있다. 한국에서 어떤 일이 벌어졌을 때 기후 요건이 영향을 줄 수 있다. 하지만 기후는 쉽게 예측할 수 없다. 서로 취약성 연결고리가 매우 취약하다. 


보안을 위해서는 리스크 기반의 접근법을 취해야 한다. 모든 것이 완벽할 수 없기 때문에 평가를 할 수 없다. 평가를 한다는 것은 위험 기반으로 한다는 것이다. 주어진 환경, 시스템, 데이터를 가지고 어떠한 잠재적인 문제점이 있을까탐지 가능한 위험들이 대응 가능한 것인가큰 영향을 줄 것인가 낮은 영향을 줄 것인가?를 차트로 만들어볼 수 있다


이 같은 이슈를 해결할 때 과거의 경험과 지식을 기반으로 하는 접근법을 사용하게 된다. 예를 들어 초보운전자는 경험이 없어 매우 위험하지만 수 년 간의 운전 경험이 있는 사람은 리스크가 상당히 줄어든다. 이처럼 과거의 경험과 지식을 사용하는 접근법은 상당히 주관적이고 몇몇의 상황만으로 분석을 하기 때문에 리스크가 매우 크다. 이 접근법을 보완하기 위해서는 과거의 요소뿐만 아니라 많은 것을 참조해야 한다. 

우리가 아는 것은 제한적이며 해커는 우리가 모르는 것을 알 수도 있다. 따라서 위험을 피해 갈 수 없으므로 새로운 취약성을 겨냥한 기술이 필요하다. 해커는 계속 새로운 취약성을 찾고, 발견하면 이것을 팔기도 한다. 이런 방식으로 암시장이 형성되고 몇 개월 후 새로운 취약성을 판매하고 다시 취약성을 찾는 방식을 사용하기 때문에 우리가 접근하기 힘들다. 이러한 악순환을 우리는 끊어야 한다. 정보가 침해되는 대가가 너무 크기 때문이다. 


이러한 접근 말고 반응형 보안이 있다. 리스크의 보이는 부분을 포착해야 하고 이에 대해 대책을 세워야 한다. 즉, 어떤 식의 공격이 올 것이며, 다음 공격은 어떤 공격인지 항상 생각하고 분석하고 탐지해야 한다.


쓰나미를 예로 들 수 있다. 쓰나미가 오기 전 밀물이 크게 작용하며 닭, 돼지 등 동물은 모두 숨었지만, 인간은 알아차리지 못 했으며 대응하지도 못 했다. 이처럼 이벤트를 간파하지 못 한다는 것, 정상적인 상황과 그렇지 못한 상황의 차이점을 모른다는 것 때문에 반응을 하지 못 한다. 


일반적으로 사람은 다양한 리스크에 반응을 하므로 인식 제고 교육을 하기보다는 자신감을 주어 자신있게 반응하도록 해야 한다. 반응형의 보안을 통해 사건에 대응하는 효율성을 최소화할 수 있고 복구 시간을 단축할 수 있다. 하지만 실제로는 이 같은 모든 이슈를 해결할 수 없으므로 항상 주의 깊게 보고 간파하는 것이 중요하다. 


마지막으로 해커는 모든 힘을 가지고 있고 우리는 그에 대응하기 위해 민감하게 전략을 짜고 반응해야 하며 빠르게 적응을 해야 한다. Ahn

 

대학생기자 최주연 / 서원대 정보통신공학과

 

댓글을 달아 주세요

전세계 연구기관에서 인터넷을 자유롭게, eduroam

보안라이프/IT트렌드 2013. 11. 15. 08:30

"학회장에서 인터넷을 이용하시려면 여기 아이디와 비밀번호를 받아가셔서 접속하시면 됩니다."

"여기에서도 eduroam이 사용 가능한가요?"


지난 7월에 독일 뮌헨에서 열린 C&T(Communities & Technologies) 2013이라는 학회에 참가했을 때의 일이다. 당시에 자원봉사자로 등록데스크에서 일을 하고 있었는데, 어떤 참가자가 eduroam으로 인터넷 사용이 가능하냐고 물었고, 그 사람 말고도 전 세계 많은 나라에서 온 다양한 사람들은 무선인터넷 사용에 대해서 별도로 물어보지 않고도 사용하고 있었다.


요즘 우리는 많은 곳에서 무선랜을 이용할 수 있다. 학교부터 자주 찾는 카페나 식당은 물론 심지어 이동하는 버스나 전철, 기차, 비행기에서도 무선랜의 사용이 가능해진 시대가 되었다. 몇 년 전만 하더라도 이러한 모습을 쉽게 볼 수 없었지만, 이제는 우리의 일상 생활의 일부분이 되고 있다. 그러나 우리가 자유롭게 이용할 수 있는 와이파이는 한정되어 있다. 이것은 장비 운용 등의 비용을 생각하면 매우 당연한 것이지만, 학교와 같은 교육기관이나 연구기관을 생각해보면 의문이 생기게 된다.


우리나라의 대부분의 대학교들은 각자의 무선랜 시스템을 가지고 있다. 무선랜에 연결하면 내부인 인증을 해야 한다고 알려주는 곳도 있지만, 반면 처음부터 아이디와 비밀번호를 입력하지 않으면 접속할 수 없는 그런 ‘불친절’한 무선랜 시스템을 운용하는 곳도 있다. 


시간과 돈 절약되는 연구기관용 무선 인터넷


그래서 만약 출장이나 학회 등으로 다른 학교에 방문을 하게 될 때 무선랜을 이용하기 위해서는 번거로운 과정을 거치게 된다. 초청하는 쪽에서는 사전에 미리 외부인을 위한 무선랜 접속 권한을 얻어두어야 하고, 방문하는 쪽에서는 접속을 위해 필요한 정보들을 계속 숙지해야 하기 때문이다. 


이는 교육기관이나 연구기관은 기본적으로 비영리적인 목적을 가지고 있으며, 특히 상호 교류가 많다는 점에서 시간과 자원을 낭비하는 사례가 될 수 있다. 그렇다면 외국에서는 이러한 문제를 어떻게 해결하고 있을까? 바로 eduroam(에듀롬)이라는 서비스를 통해 이러한 불편함을 줄이고 있다.



eduroam은 education과 roaming을 합친 말로 전세계의 학생, 교육자, 연구자들을 위해서 만들어진 무선랜 로밍 서비스이다. 유럽 지역에서 처음 시작되어 전 세계의 교육/연구 기관으로 확장되어, 2013년 10월 현재 전세계 66개국 1만 곳 이상의 교육/연구 기관에서 eduroam을 이용할 수 있다. 또한 일부 국가에서는 교육/연구 기관이 아닌 공공장소나 기차역 등에서도 eduroam을 사용할 수 있는 곳이 있다. 실제로 독일 뮌헨의 U6 Garching-Forschungszentrum (Garching Research Center) 전철역에서는 역 구내에서 eduroam 서비스를 이용할 수 있었다.



한국에 있는 KAIST(좌)와 독일의 TUM(우)에서 eduroam 서비스를 이용하는 모습


eduroam 사용자는 전세계 어디를 가거나 추가 인증 절차가 없이 바로 다른 기관의 무선랜 자원을 활용할 수 있게 된다. 그렇다고 해당 기관에 원래 소속된 사용자도 반드시 eduroam을 이용해야 하는 것은 아니다. 위에 사진에 있는 두 기관의 사례에서도 확인할 수 있듯 각 기관에서 원래 사용되고 있는 무선랜(KAIST : Welcome_KAIST / TUM : lrz)에 eduroam은 multiple SSID로 작동하고 있다.


전세계 어디서든 편리하게 인터넷을 


그렇다면 eduroam 서비스는 안전하게 이용할 수 있을까. eduroam 기술은 802.1x EAP(Extensible Authentication Protocol) (WPA2-Enterprise) 방식과 RADIUS(Remote Authentication Dial-in User Services) 서버를 통해 구현되고 있다. 사용자가 접속하는 기관이 원 소속 기관과 다른 경우 크게 두 가지 과정을 거치게 된다. 먼저 사용자의 인증 요청이 RADIUS 서버를 통해 사용자의 원 소속 기관으로 보내진다. 이 과정에서 NTLR(National Top-Level RADIUS) 서버를 거치게 된다. 그러고 나서 원 소속 기관에서 해당 사용자의 정보를 확인하고 RADIUS 서버를 통해 방문 기관으로 인증 결과를 보내게 된다. 그 결과에 따라 eduroam 서비스를 이용할 수 있다. 이처럼 eduroam 서비스는 최신의 가장 안전한 보안/인증 방법을 사용하고 있다. 물론 방문 기관의 보안 설정에 따라 방화벽 등의 설정에서 차이가 있을 수 있다. 


또한 eduroam 서비스는 소속 기관과 방문 기관 모두 서비스에 가입되어 있다면, 전세계 어느 기관을 가든지 추가적인 조치가 필요없이 무선 네트워크를 안전하고 자유롭게 사용할 수 있다. 


이 밖에도 다양한 장점이 있다. 해외에서는 비용 문제 때문에 데이터 네트워크에 쉽게 접속하지 못한다는 상황을 생각하면, 해외에 나갔을 때 인터넷을 사용할 수 있는 확실한 곳이 된다. 또한 비상시에도 인터넷을 사용할 수 있는 확실한 장소가 된다. 말도 잘 통하지 않고 위치에 대한 개념이 없을 때 eduroam이 사용 가능한 기관을 찾아 인터넷을 사용할 수 있다면 상당한 도움이 될 것이다. 


실제로 스위스의 로잔에서 친구와 연락이 되지 않았을 때 EPFL(로잔연방공과대학교)에 가서 인터넷에 접속하여 연락을 할 수 있었고, 스코틀랜드의 에딘버러에서도 에딘버러 대학교에 설치된 eduroam 서비스를 길 가다가 우연히 만나게 되어 사용할 수 있었으며, 체코의 프라하에서는 중앙역 근처에서 우연히 eduroam 무선랜을 접속할 수 있어서 꽤나 유용하게 사용했던 기억이 있다.


현재 우리나라는 KISTI(한국과학기술정보연구원)의 주도 하에 2013년 7월부터 GIST(광주과학기술원), KAIST(한국과학기술원), KISTI에서만 eduroam 서비스를 이용할 수 있다. 지난 2013년 1월 국공립대학정보기관협의회와 전남대학교의 주도로 우리나라에 있는 국공립대학교에 keduroam 서비스를 구축하여 현재 시범서비스가 이뤄지고 있다. 그래서 해당 국공립대학교에 소속된 구성원은 keduroam 서비스가 구축된 곳에서 무선랜 자원을 자유롭게 사용할 수 있다. 또한 추후에 국제적으로 사용되는 eduroam에도 연동시킬 수 있도록 한다고 한다. 그렇게 된다면 한국의 보다 많은 학생들이 전세계의 eduroam 자원을 활용할 수 있게 될 것이다.


세상의 변화 속도는 점점 더 빨라지고 있고, 기술의 발전에 따라 많은 경계들이 사라지고 있다. eduroam 서비스는 빨리 변화하는 세상에서 매우 작은 변화일 뿐이다. 하지만 이 서비스를 통해 전세계의 많은 교육/연구 기관의 사람들이 서로 방문하게 될 때 추가로 번거로운 작업을 하지 않아도 되도록 만들어주었다. 


하지만 우리나라에서는 여전히 많은 교육/연구 기관에서 이러한 장점을 활용할 수 없는 상황이다. 물론 우리나라에서는 모바일 네트워크 환경이 좋은 편이기 때문에 상대적으로 활용도는 떨어질 수 있다. 그러나 어느 한 곳이 손해를 보는 것이 아니라 많은 사람들에게 편리함을 줄 수 있고 보다 많은 사용자들이 그 혜택을 볼 수 있는 만큼 이러한 움직임이 더 확대된다면 작은 변화이지만 조금 더 편리한 환경이 될 수 있을 것이다. Ahn


* 2015년 4월 15일 추가 내용

KISTI "연구자 위한 글로벌무선로밍서비스 활성화"

15일 KISTI-전남대, '에듀롬 활용 확대 MOU' 체결

본문에서 한국의 국립대학에서 서비스 중인 keduroam도 추후 전세계에서 이용가능한 eduroam 서비스로 합쳐질 예정이라고 언급하였습니다. 최근에 관련 MOU가 체결되어 빠른 시일 내에 keduroam 이용자도 eduroam 서비스를 이용할 수 있을 것으로 예측됩니다.

* 2016년 1월 28일 추가 내용
전국대학 eduroam 운영센터 홈페이지가 생겼습니다. http://www.eduroam.kr/
이전의 기사에서 언급된대로, 전남대학교의 주도로 운영되는 운영센터로 전남대학교 정보전산원에서 운영중인 페이지입니다.

또한 현재 eduroam을 사용할 수 있는 기관이 이전에 비해 상당히 많이 늘어난 것으로 보입니다. 이용가능 대학은 캠퍼스 기준으로 국내 50개 이상 캠퍼스에서 사용가능한 것으로 확인됩니다. (해당 홈페이지의 이용가능 대학 리스트에는 KISTI, KAIST(대전캠퍼스 및 서울의 경영대학 포함), GIST 등의 과학기술원이나 연구기관이 제외되어 있지만 실제로는 운영중입니다.) 실제로 필자는 2015년 12월 경희대학교에 방문하였을 때 eduroam을 사용할 수 있었습니다.

* 2016년 4월 21일 추가 내용
서울대학교에 방문했을 때, eduroam을 원활히 사용할 수 있었습니다. 1월에 추가한 내용처럼 keduroam을 서비스하던 기관들이 대부분 eduroam으로 전환한 것으로 보입니다.



대학생기자 방기수 / KAIST 항공우주공학전공


지속가능성에 대한 고민을 하고 있습니다.

"우리는 우리가 하는 행동에 의해 우리가 된다." 


gisu.bang@kaist.ac.kr



댓글을 달아 주세요

세계 석학 스패포드 "보안, 기술 아닌 사람을 보라"

카테고리 없음 2013. 10. 28. 12:11

"만약 컴퓨터가 없으면 사이버 보안 사고가 없을 것이다또한 만약 사람이 존재하지 않아도 사이버 보안 사고는 없을 것이다그렇기 때문에 기술에만 초점을 맞춰서 문제를 해결하려고 하는 것은 완전한 해결 방안이 될 수 없고우리는 보안 문제에 있어서 사람을 고려해야 한다."


보안 분야 세계적 석학인 미국 퍼듀대학교 유진 스패포드(Eugene Spafford) 교수가 10 15 안랩 테마특강에서 한 말이다. 


안랩 테마특강은 안랩 임직원에게 다양한 지식과 문화교양에 대한 교육 프로그램. 이번 테마특강은 세계지식포럼 참석차 방한한 유진 스패포드 교수가 기존 사이버 보안의 방식을 깨고자 하는 사람의 사이버 보안에 대한 몇 가지 생각이라는 강연으로 진행되었다


스패포드 교수는 퍼듀대학교 컴퓨터공학과 교수이자 보안연구센터(CERIAS소장으로 컴퓨팅 시스템에 대한 보안 관련 연구 및 강의를 오래 해왔으며미국컴퓨터협회(ACM), 미국과학진흥협회(AAAS) 그리고 국제전기전자기술자협회(IEEE) 펠로우이다.



김홍선 대표의 소개로 단상에 올라선 스패포드 교수는 상당히 푸근한 모습이었다. “Good afternoon!”이라는 인사로 시작했는데, 안랩인들이 다 같이 “Good afternoon!”하고 인사하는 모습은 마치 영어 수업에 온 듯 했다. 하지만 이내 곧 본 강연에 들어갔다



먼저 스패포드 교수가 소장으로 있는 CERIAS에 대한 짧은 소개가 이뤄졌다. CERIAS는 퍼듀대학교에 소속된 곳으로 정보 보호와 보안에 관련된 교육과 연구를 하고 있는 기관이다. 단순히 전산학과와만 관련 있는 것이 아닌 다양한 학과의 분야를 넘나들고 있다. 실제로 보안과 관련된 연구와는 다소 동떨어졌다고 생각할 수 있는 경제학이나 언어학, 원자력공학, 정치학, 심리학, 사회학, 로보틱스 등 다양한 분야를 같이 다루고 있다. 이러한 사실은 강연 뒷 부분에서 다루는 내용과 관련이 있었다.


CERIAS를 소개한 후, ‘사이버 보안에 대한 몇 가지 생각이라는 주제에 대해 본격적으로 이야기하기 시작했다. 이야기는 크게 두 부분으로, 하나현재 발생하는 보안 문제에 대한 기본적인 배경과 현재의 상황, 다른 하나 본인이 생각하는 미래에 발생할 수 있는 새로운 보안 문제였다. 다음은 주요 내용.



대부분의 사람은 큰 그림을 본다든지 장기간의 안목으로 보는 것 대신 문제를 해결하는 것에만 집중한다. 또한 세상이 빠르게 변하는 것에 휩쓸려서 그 순간순간에만 집중을 한다만약 우리가 잠깐 멈추고 한 발짝 뒤로 물러서서 긴 안목으로 본다면 미래에 어떤 일이 발생할 지에 대한 실마리를 얻을 수 있다.


IT로 인해 세상은 어떻게 변화해 왔나


마이크로 칩에 들어가는 트랜지스터의 숫자는 무어의 법칙에 따라 몇 년 전까지 18개월에 2배씩 증가하였고, 가격은 급격하게 떨어졌으며, 매년 생산되는 양은 엄청나게 증가하였다. 또한 저장 장치의 경우 집적도는 증가하고, 가격은 떨어져서 우리가 컴퓨터를 사용하는 환경에 큰 영향을 주었다. 예를 들어 1958 IBM에서 만든 컴퓨터는 건물에서 공간을 많이 차지한 대단히 큰 컴퓨터였는데, 현재 가치로 4300만 달러의 가격이었다


반면 우리가 일상생활에서 쉽게 볼 수 있는, 음악이 나오도록 칩이 들어있는 축하카드는 가격이 보통 10달러 정도이다. 그런데 그 카드에 들어가 있는 칩이 1958년 당시의 비싸고 거대한 컴퓨터보다 성능이 더 좋다. 또한 25년 전 가장 빠른 슈퍼 컴퓨터였던 Cray-1과 현재의 아이폰을 비교해보면 현재의 아이폰이 25년 전 가장 빨랐던 컴퓨터보다 성능이 좋다.


이러한 것을 고려하면 미래엔 더 작아지고 쉽게 사용가능하도록 될 것이라 생각한다. 물론 나도 어떻게 변화할지는 모른다. 하지만 여러분이 그러한 미래를 생각해보면 좋겠다. 왜냐하면 미래에 여러분의 생활이 될 것이고, 그렇게 만들어지는 제품들 역시 안랩인들이 안전하게 보호해야 할 제품들이 될 것이다.



보안을 다룰 때 고려할 문제의 큰 부분이 'Legacy Loop'이다'Legacy Loop'이란 하드웨어의 복잡도가 높아지는 것과 소프트웨어가 진보되는 것이 서로 끊임없이 영향을 준다는 의미이며, 우리 주변에 있는 모든 제품에 적용된다


우리가 소프트웨어에 더 많은 기능을 추가할수록 기능이 느려지고 문제가 생겨서 하드웨어를 업그레이드하면 그 하드웨어의 업그레이드에 맞춰서 다시 소프트웨어가 더 발전한다. 그러면 또 다시 더 높은 성능의 하드웨어가 필요하고 이것이 끊임없이 반복된다과거에 만들어진 틀에 갇혀서 그것을 기반으로만 발전하는 경우가 많아서 과거에 겪은 문제들을 우리는 지금까지도 비슷하게 겪고 있고, 과거의 기준으로 만들어진 것들을 여전히 따라야 하는 경우가 많다.

 

최초의 방화벽은 윈도우의 문제를 해결하기 위해 1989년에 만들어졌다. 또한 모리스 웜이 만들어진 지 벌써 25년이 지났다. 1988년 당시에 알려진 바이러스는 우리가 직접 하나하나 셀 수 있을 정도로 몇 십 개에 불과했지만 현재는 1 8천만 개의 바이러스가 알려져 있고, 매주 180만개씩 증가하고 있다매년 다양한 플랫폼의 소프트웨어에서 8000개의 보안과 관련된 결함이 밝혀지고 있다. 또한 스팸도 꽤나 큰 문제인데, 일반적으로 스팸메일과 스팸이 아닌 메일의 비율이 약 3 1 수준이다


핸드폰이나 모바일 기기에는 3000개가 넘는 악성 소프트웨어가 존재하고, 패스워드를 빼내려는 악성 트로이목마가 매년 1백만 개씩 새로 만들어지며, 가짜 바이러스 백신 프로그램이 150만 개가 넘는다. 또한 2011년에는 475건 이상의 정보 유출 사고가 일어났는데, 그 결과 3천만 개가 넘는 기록들이 유출되었다


하지만 여기에는 문제가 있다. 이러한 모든 위협들이 새로운 것이 아니라는 점이다. 우리는 항상 이런 것을 예측해왔고, 항상 이러한 문제 떄문에 시달려왔다. 전세계적으로 보안 분야 재설계, 보안 관련 시스템 구매 등 매년 수백억 달러 이상이 쓰이지만, 우리는 여전히 계속 새로운 문제를 겪고 있다..



미래에는 어떤 일이 일어날까


이러한 과거를 통해 미래에 어떤 일이 일어날지 예측할 수 있다. 먼저 기술 측면에서 플랫폼의 다양화, 상업적인 측면과 센서, 커뮤니케이션, 저장장치, 의도하지 않은 부작용, 지적 재산권 문제 등을 예측해보겠다.


1. 플랫폼의 다양화 

많은 것이 모바일화함에 따라 기기가 작아지고, 이동성이 높아지고 있다. 또한 대중교통이나 냉장고, 자동차 등 기존 다른 것들에 임베딩되는 것이 많아지고 있다. 많은 장비들이 서로 연결되며, 센서나 원격 제어 및 감시 시스템을 활용하는 것도 많아진다.


2. 상업적인 측면과 센서 

우리가 상상하는 제품이 나올 수 있다. 예를 들면 음악이 나오는 신발이나 RFID 기술을 이용한 칩, 그리고 최근 화두인 몸에 착용해서 사용하는 기기 등으로 우리가 생각하는 제품이 만들어질 수 있다.


3. 커뮤니케이션

IPv6를 기반으로 컴퓨터가 모든 곳에 임베딩되고 있다. 또한 애드혹 네트워크를 기반으로 지금까지 생각하지 못했던 기기 간에 서로 통신하는 것이 많아질 것이다. 중앙에 집중되는 것이 아닌 분산된 네트워크라는 특성 때문에 로그에 남지 않는 것이 많아질 것이다. 이러한 부분은 포렌식(forensic) 분석이나 클라우드와도 관련이 있다. 만약 보안 사고 등이 발생했을 때 어떻게 분석을 할 것인가도 큰 문제가 될 것이다. 또한 애드혹 네트워크에서 어떻게 시스템을 보호할 것인가도 이슈가 될 수 있다.


4. 저장장치

지금까지 저장장치가 발전해왔듯이 앞으로도 많이 발전해 나갈 것이다. 그래서 하나의 기기에서 모든 것을 해결할 수 있는 시대가 될 텐데, 어떻게 나쁜 프로그램을 찾고, 분석할 것인지 그리고 백업이나 프라이버시 문제는 어떻게 할 것인지가 화두가 될 수 있다. 지금은 단지 여러 테라바이트 단위인데, 대역 문제도 생길 수 있고, 지금까지는 단순히 백업하는 것이 가능했지만, 앞으로는 좀 다른 형태로 될 것이다. 또한 클라우드를 통해 저장하는 것이 저장소 장치의 발달에 따라 의미없는 일이 될 수도 있다.


5. 의도하지 않은 부작용 

기술의 발전에 따라서 우리는 많은 것을 가능하게 해 왔다. 예를 들면 OLPC(The One Laptop per Child)라는 운동이 있다. 매우 저렴한 가격에 안드로이드를 기반으로 만들어지는 것으로 아프리카나 남미 등 물이나 전기가 없어도 인터넷이 무선으로 가능하도록 하는 미니 노트북이다. 이것은 새로운 기술에 대한 접근성이 떨어지는 아이들에게 인터넷 연결이나 프로그램, 이메일 등 컴퓨터를 사용하는 방법을 배울 수 있게 해주고, 전세계와 소통할 수 있도록 하고자 만들어졌다. 


그런데 이상적으로는 매우 좋은 프로젝트이지만, 그러한 나라를 보면 많은 아이들이 부모님을 잃고 본인의 의지와 상관없이 소년병이 되는 경우가 많이 있다. 거기에는 법이 없고, 문화적 상식과 매너가 없다. 그런 아이들에게 컴퓨터를 주게 되었을 때 만약 매우 나쁜 해커로 발전하게 된다면 어떨까. 그러한 의도치 않은 부작용 역시 고려할 부분이다.


6. 지적 재산권 문제 

지적 재산권과 관련한 문제는 갈수록 증가하고 있다. 그런데 현재의 방식으로 계속 적용된다면 문제가 많이 생길 수 있고, 저작권과 관련해서 새로운 지식재산권 모델이 필요하다. 현재의 방식은 지속가능성이 부족하고, 개인정보와 관련된 문제도 많이 생기게 한다.



신기술은 나쁜 세력도 활용한다


이처럼 기술의 발전에 따라 미래에는 새로운 것이 많이 생길 것이라 예상된다. 하지만 사람들은 그러한 신기술을 좋은 의도로만 사용하지 않는다. 나쁜 사람들도 새로운 기술을 배우고 있다. 그들은 어떻게 하고 있을까.

 

해킹을 하는 사람들 

그들은 개개인의 정보를 빼내거나, 어떤 기관의 정보를 빼내는 행위, DDoS 공격, 사기, 신원 도용 등의 문제를 일으킨다. 실제로 보이스 피싱과 비슷한 형태의 범죄로 인해 외국의 어떤 은행 지점은 은행의 많은 자산을 잃었다고 한다.


혼란스럽게 만드는 일 

산업 스파이나 국가적 차원에서의 스파이, 기술 이전 등의 문제가 있다. 국가나 기업에서 그러한 사람들을 키우고 있으며, 이것은 안랩 같은 기업에서 막아야 할 사람들이다.


정치적 목적의 해킹을 하는 사람들

이것은 일반적인 범죄 형태와는 다르다. 최근 논란이 되었던 어나니머스나 위키리크스 같은 형태로 나타난다. 그 사람들은 그것을 정치적인 시위라고 생각한다. 우리가 그러한 것들을 모두 추적할 수는 없지만, 점점 이런 일이 많이 일어나고 있다. 이러한 활동의 큰 문제는 이것이 위장이나 속임수로 쓰일 수 있다는 것이다. 그리고 데이터 피난처에 대해서 많은 정부가 그 부분에 대해 행동을 늦추고 있지만, 오히려 그것이 역효과를 불러 일으킬 수 있다. 멕시코 마약 조직의 사례가 그 중 하나인데, 어떻게 데이터 피난처에 있는 것들을 조사할 것인가를 고민해봐야 할 것이다.


사용자가 직접 만들어내는 장비

우리나라에서도 ATM기의 카드 넣는 부분에 추가로 해킹장비를 달아서 카드 정보를 빼내는 일이 종종 발생하였다. 추가로 붙인 장비가 너무나도 감쪽같고 똑같이 생겨서 사람들이 쉽게 인지하지 못했기 때문이다. 또한 일반적인 USB 허브처럼 생겼는데 실제로는 연결하면 모든 정보를 빼내서 전달하는 기기도 있다. 이러한 것이 가능해질 수 있는 이유는 트랜지스터의 가격이 저렴해졌고, 3D 프린터가 많이 보급되고 있기 때문이다. 3D 프린터가 이런 측면의 비즈니스에서 매우 혁명적인 도구가 될 수 있다. 그렇다면 우리는 과연 우리가 가진 기기를 계속 신뢰할 수 있을까라는 질문을 하게 된다. 자신이 늘 사용하던 기기가 항상 같은 자리에 있다고 해서 똑같은 장비라는 것을 보장할 수 있을까. 만약 정교하게 복제되어 가짜이면서도 악성인 기기가 있다면 그것은 어떻게 신뢰해야 하는가. 그러한 고민 역시 필요할 것이다.


나쁜 세력에 대응하려면

대부분의 정부는 나쁜 세력의 공격에 잘 대응하고 있다. 또한 보안 업체가 그러한 역할을 하고 있다. 하지만 법의 집행은 잘 이뤄지지 않고 있어서 정부보다는 기업에서의 대응이 더 많이 있는 편이다. 그런데 어디까지 보안 기업이 보호할 수 있게 해주어야 하는가, 보호하는 것과 조사하는 것의 경계는 어디인가를 고민할 필요가 있다. 나쁜 의도를 가진 세력 역시 미래에 많은 변화가 있을 수 있다. 안랩은 보안 업체의 선도 주자로서 아직 일어나진 않았지만 앞으로 일어날 수 있는 일을 생각해보았으면 좋겠다.



전문가 아닌 최종 사용자를 고려하라


위에서 언급했던 것처럼 우리는 근본적인 변화없이 지금까지 해왔던 것처럼 해왔다. 그렇다면 어떤 측면에서 어떻게 바뀌어야 할까.


지금까지의 보안에 관한 접근은 기술만을 위주로 해서 어떤 부분이 뚫리게 되면 그제서야 그 부분을 막는 식으로 대응이 되어 왔다. 우리는 우리의 이런 상황을 바꾸려고 해오지 않았다매년 8000개가 넘는 결함이 발생하고 있다. 이것은 단지 보안에 관련된 문제만 해당된다. 실제로 어떤 프로그램이나 데이터 등이 작동하지 않는 그러한 보안과 관련 없는 결함으로 인한 문제 역시 많이 존재한다우리는 소프트웨어를 개선하기 위해 어떤 노력을 해왔나. 어떤 기본적인 것들을 가지고 우리가 노력해왔나. 우리는 어떤 연구도 하지 않았고, 노력하지 않았다.


만약 컴퓨터가 없으면 사이버 보안 사고가 없을 것이다또한 만약 사람이 존재하지 않아도 사이버 보안 사고는 없을 것이다그렇기 때문에 기술에만 초점을 맞춰서 문제를 해결하려고 하는 것은 완전한 해결 방안이 될 수 없고우리는 보안 문제에서 사람을 고려해야 한다. 그래서 경제학이나 심리학, 범죄학, 경영학 등 다양한 학문을 통해서도 접근해야 한다.


대부분의 시스템은 전문가에게 맞게 시스템이 디자인되어 있다. 안랩 마케팅 담당자들과 만났는데 '엔지니어는 어떤 것이 어떻게 작동하는지 얘기하는 것을 좋아하지만 그게 무엇인지는 잘 이야기하지 않는다'고 했다. 소프트웨어를 만드는 사람 대부분은 최신의 소프트웨어가 어떻게 작동하는지, 그리고 어떤 알고리즘이 들어있는지 말하는 것을 매우 좋아한다. 하지만 우리는 컴퓨팅 시스템 디자인에서 사용자를 고려하지 않았고, 그래서 그들이 어떻게 사용했을 때 문제가 생기는지 궁금해하지 않았다. 그렇기 때문에 최종 사용자를 고려해야 한다.


CD를 잘 모르는 사람은 설명서가 없다면 CD 트레이에 커피 컵을 꽂아둘 수도 있다. 이것은 매우 우스운 광경이라서 비웃을 수 있지만 그것은 그 사용자의 잘못이 아니다. CD 트레이를 디자인한 사람이 당연히 그 용도를 아는 사람만 쓴다고 가정한 것이 잘못된 것이다.


우리는 이런 것을 매일매일 한다. 컴퓨터나 소프트웨어를 디자인하지만, 그것은 최종 사용자를 고려해서 설계되지 않고 컴퓨터와 관련된 일을 하는 사람에게 초점을 맞춰서 디자인된다. 이것은 바뀌어야 한다.


또 하나 사용자에게 경고를 주는 방법을 보자. 조금은 과격하지만 무서운 문구와 그림을 통해 주의를 주는 것은 상당한 효과가 있다. 사용자가 쉽게 알아차릴 수 있기 때문이다. 하지만 컴퓨터에서는 흔히 팝업에 텍스트를 잔뜩 집어넣어서 주의를 준다. 하지만 그것으로는 사용자가 쉽게 이해할 수 없다. 우리는 리스크의 위험성에 대해서 일반 사용자와 더 소통하려는 노력이 필요하다.


보안은 '아니, 너는 그렇게 하면 안 돼.'보다는 '여기 더 나은 방법이 있다'고 '내가 어떻게 하면 안전하게 사용할 수 있는지' 알려주는 것이 되어야 한다. 어떤 일이든 우리가 직업이나 취미 등으로 그것을 해야 하는 누군가에게 무엇을 할 수 없다고 말하면, 그 사람은 어떻게든 그것을 하려고 하고, 당신의 말을 무시하기 때문이다

 


기술 개발에 그치지 말고 사용하는 사람을 보라


강연을 마무리하며 다음 6가지의 결론을 말하겠다. 특히 첫째 항목은 중요하니 이 부분만큼은 꼭 기억해달라.


첫째, 우리는 기술을 개발함으로써 방어능력을 기르는 것에 한계가 있고, 개발하는 것만으로는 충분하지 않다. 기술은 일반 대중에 의해 사용되며 각자의 상황에 따라 사용된다. 바쁘거나 피곤하거나 졸리거나 그럴 때 실수를 할 수 있는 것이다. 또한 그것을 오남용하려는 사람들 역시 그 기술을 사용한다. 그래서 기술 그 자체로만은 절대 충분하지 않다.

 

둘째, 사이버 보안은 다른 컴퓨팅 분야와 독립되어 있는 것이 아니다. 우리는 반드시 더 나은 소프트웨어를 만드는 것에도 노력해야 한다. 만약 버그나 결함이 없는 소프트웨어를 만든다면 우리는 아마 모든 보안 문제를 해결할 수 있을 것이다하지만 그것을 하기 위해서는 단순히 프로그램이 뚫리는지 여부를 테스트하는 것뿐만 아니라 디자인, 심리학, 경영학 같은 측면에서 접근하는 것도 생각해야 한다.

 

셋째, 사이버 보안은 사회에서 일어나는 일들과 독립된 것이 아니다. 단순히 방화벽을 설치하는 행위 등만으로는 불충분하다우리는 모두 사회와 관련이 있다우리는 경찰이 조사하고 고발하는 것을 도와야 한다. 또한 우리는 컴퓨팅이 우리가 생각하는 긍정적인 부분이 아닌 부분에도 사용될 수 있다는 것을 알아야 한다. 그리고 프라이버시가 중요한 요소라는 것도 고려해야하고, 우리의 지식을 사회에 기여하는데 사용할 수 있어야 한다.

 

넷째, 보호하고 싶다면 접근이 되지 않도록 분리해라. 모든 것은 언제나 뚫리게 되어 있다. 만약 시스템에 접근하는 것이 가능하지 않다면, 해킹 역시 가능하지 않다. 정말 중요한 것은 온라인에 두지 말아야 한다.

 

다섯째, 우리는 컴퓨터를 중심으로 시스템을 구축하기보다는 데이터와 운영하는 것을 중심으로 우리가 만들어놓은 시스템의 구조와 운영 방법을 바꾸어야 한다. 이미 당신의 시스템이 피해를 입은 경우에 물론 누가 어떻게 했는지는 모르지만 그 원인은 다양하다. 많은 시스템이 있고, 많은 결함이 있다. 공격을 하는 사람은 몰래 잠입하는 경우가 많다. 그러한 피해는 외부인이나 유지보수하는 사람들에 의해 혹은 내부인에 의해 어딘가는 이미 그렇게 됐을 것이다.

 

여섯째, 우리가 보호 강도를 높이고, 주의를 집중하는 등 뭘 하더라도 나쁜 사람들이 우리보다 더 빨리 움직인다. 재정적인 부분이나 테스트 같은 것도 더 빠르게 한다. 왜냐하면 그들은 어떠한 규제도 받지 않기 때문이다. 그렇다면 우리도 마찬가지로 규칙을 따르는 것을 멈춰야 하나? 아니다. 우리의 사이클을 좀더 빠르게 해야 한다.

 


지난 30년 간 나는 이러한 점을 자주 말해 왔다. 하지만 세상은 별로 변화하지 않았다사회는 매우 중요한 투자를 해야 한다. 보안은 단순히 방화벽이나 안티바이러스 프로그램 같은 것으로만 해결되는 것이 아니다. 우리 스스로가 지킬 수 있도록 교육, 연구가 이뤄져야 하고, 기본적인 하드웨어와 소프트웨어에 투자해서 근본적으로 바뀌어야 한다. 


우리는 비용이나 시간 문제 때문에 우리가 제대로 이해하지 못 한 채 결함이 있는 것을 사용해 왔다. 이것은 쉽게 해결될 문제는 아니다. 그러나 우리 사회가 만약 보안을 심각하게 생각한다면 우리는 새로운 기초를 세우기 위해 매우 중요한 투자를 시작해야 한다. 그렇지 않다면 모든 것이 지금까지 그래왔던 것처럼 더 나빠질 것이다. 우리는 지금까지 항상 사람들에게 No라고만 얘기해 왔는데, 여러분이 더 좋은 방법을 제시할 수 있길 바란다.


스패포드 교수와 일문일답


- 어떤 계기로 보안에 관심을 갖게 되었나.

어렸을 때 무언가를 고치는 것을 좋아해서 많은 것들을 고쳐보았다. 자동차를 고친다든가, 어떤 문제가 있으면 그것을 해결하는 것을 좋아한다. 그러던 중 컴퓨터 소프트웨어에서 치료하는 것에 관심을 갖게 되었다.  


- 보안 분야에서 언제 보람을 느끼나.

의사소통을 할 기회가 있을 때,  학생들과 같이 일하거나 강의, 강연을 했을 때 상대방에게 설명한 내용을 상대방이 잘 이해했을 때 보람을 느낀다. 또한 가르쳤던 학생이 나중에 졸업 후 찾아와서 '교수님께 예전에 배웠던 것을 삶에 적용해서 지내고 있다'거나 '교수님께 배웠던 것이 가치있었다'라고 얘기할 때 보람을 느낀다.


- 안랩인에게 해주고 싶은 말

지금 하는 직무 외 다른 분야도 공부를 해봤으면 좋겠다. 나는 생물학을 공부하고, 범죄학이나 범죄심리학에 관심을 가졌던 것이 멜웨어에 더 관심을 갖는 계기가 되었다. 또한 서로 모여서 나누고 공유하고 소통하는 것이 매우 중요하다. 엔지니어는 소통을 잘 안 하는 경우가 많은데, 소통이 많아졌으면 좋겠다. 그리고 안랩 차원에서는 교육의 장이 많이 만들어지면 좋겠다. 포럼이나 자격증 등 여러가지의 경험을 할 수 있도록 지원이 되면 좋을 것이다.


- 근본적인 변화를 어떻게 가져올 수 있을까.

소프트웨어와 관련해서 얘기하면, 근본적인 부분에 문제가 있을 때 이것을 한 번에 다 바꿀 수 없다. 작은 것 하나하나 바꿔가는 것이 중요하며, 사고의 전환이 필요하다. 지금 현재 발생하는 여러 문제들은 특정한 소프트웨어만이 사용되기 때문에 발생한다고 볼 수 있다. 예를 들면 윈도우, 워드, 엑셀 등이 독점적으로 사용되고 있다. 만약 어떤 특정한 기능이 필요한 것이 확실하고, 완벽한 보안이 필요하다면 매우 강력한 하드웨어와 소프트웨어를 만드는 것이 좋을 것이다. 그것을 보고 다른 사람들이 좋은 솔루션이라고 생각하면 그들 역시 따라서 도입할 것이다. 하지만 문제는 시간과 비용이 많이 든다는 것이다.


- 스노든 사건을 어떻게 생각하나. 그리고 SNS의 이용이 더 많아지고 있는 지금 어떻게 하면 좋을까.

스노든 사건은 예전부터 경고해왔던 문제이다. 구글이나 페이스북 같은 회사는 더 좋은 서비스를 제공하기 위해 개인정보가 필요하다고 말하고, 그렇게 수집을 하고 있다. 또한 국가 역시 국민의 안전을 위한다는 명분으로 수집이 많이 일어나고 있다. 하지만 이것을 다시 생각해보면 그렇게 수집된 정보는 얼마든지 나쁜 목적으로 사용될 수 있는 것이었다. 또한 많은 사람들이 자발적으로 본인의 정보를 소셜네트워킹서비스 업체에 제공을 하는데, 본인의 프라이버시를 위해서라면 사용을 자제하는 것이 좋다.



이렇게 1시간 반 가량의 강연이 끝났다. 지금까지 사이버 보안이라고 하면 보안 그 자체로만 생각하였고, 그동안 너무나도 당연하게 받아들이던 것을 많이 뒤집을 수 있었다. 우리는 항상 비슷한 방식으로 보안 위협을 받아왔지만, 근본적인 변화 없이 어려움을 겪었고, 사람을 중심으로 접근하기보다는 기술을 위주로 접근하는 방식이 많았다. 또한 사용자에게 안전하게 사용할 수 있는 방법을 알려주기보다는 오히려 그렇게 하면 안 된다는 것만 전달하는 것이 당연하다고 생각하였다. 


보안 분야뿐만 아니라 우리의 일상에서 당연하게 받아들이는 것 중에도 이와 비슷한 사례가 있을 것이다. 그러한 부분에서 근본적인 변화를 일으킬 수 있다면 좀더 나은 세상으로 변화시킬 수 있을 것이다. 보안 분야의 세계적인 석학의 강연을 눈 앞에서 보고 듣고, 직접 얘기해 볼 수 있는 보람찬 시간이었다. 앞으로 다음 테마특강에서 만나게 될 분도 기대가 된다. Ahn



대학생기자 방기수 / KAIST 항공우주공학전공


지속가능성에 대한 고민을 하고 있습니다.

"우리는 우리가 하는 행동에 의해 우리가 된다." 


gisu.bang@kaist.ac.kr






댓글을 달아 주세요

  1. 나의길 2013.10.29 01:52  Address |  Modify / Delete |  Reply

    역시 사람이 문제이군요 ㅎㅎ
    앞으로의 산업은 사람과 관련된 이슈가 많은데 보안 영역도 사람이 중요한가 것 같습니다.

쉽게 뚫리는 패스워드, 좀더 안전한 패스워드

보안라이프/이슈&이슈 2013. 9. 4. 08:11

패스워드란 특정한 시스템에 로그인을 할 때에 사용자의 신원을 확인하기 위하여 입력하는 문자열, 즉 암호다. 보안성을 높이기 위해 사용하는 패스워드, 과연 대부분 안전한 패스워드를 사용하고 있을까?

대부분의 인터넷 유저는 ID와 패스워드 관리에 공을 들이지 않는다. 하지만 해커들은 이러한 틈새를 파고든다. 소 잃고 외양간을 고치지 않으려면 선제적인 암호관리가 필수이다.


가장 보안이 취약한 패스워드는 어떤 조합이 있을까?


‘내가 생각하기 쉬운 패스워드‘는 해커도 생각하기 쉽다. 1234, abcd, qwer을 이용한 패스워드를 사용해본 사람은 매우 많을것이다. 이것들은 해커가 가장 먼저 시도하는 번호라고 생각하면 된다. 또한 한글명사를 영문자판으로 치는 조합, 본인의 이름, 전화번호 같은 개인정보도 사용하지 않는 것이 좋다. https://howsecureismypassword.net/ 에 접속해보면 입력된 패스워드의 안전도를 체크해준다.

실제로 1234는 “Your password would be cracked almost Instantly” 라는 경고창이 뜨고 단순한 이름을 입력하면 “It would take a desktop PC about 52 secondsto crack your password”가 뜬다. 단순한 단어나 이름은 안전하지 않다는 뜻이다. 반면 영문과 숫자를 조합한 14자리의 비밀번호는 "It would take a desktop PC about 48 thousand yearsto crack your password"라는 창이 뜬다. 이를 통해 현재 자신이 사용하고 있는 패스워드를 점검해보길 바란다.


좋은 패스워드 선택하기


그렇다면 좋은 패스워드는 어떻게 만들까? 다음은 안전한 패스워드를 만드는 예이다.

1. 6자는 OK, 10자는 GOOD, 15자는 EXCELLENT

마이크로소포트 윈도우를 사용하고 있다면 15자 이상의 패스워드를 사용하면 특별해진다. 14 이하의 패스워드는 “스크램블(암호화된 눈에 안보이는 으깨진 글자)”가 되어 뒤범벅 되고 숨은 윈도우 시스템 파일로 저장된다. 유능한 해커는 이 글자에 접속 후, 패스워드를 해독할 수 있다. 하지만 마이크로소프트 윈도우는 15자 이상의 스크램블 글자는 저장하지 않는다. 따라서 15자 이상의 패스워드를 쓴다면 해커의 위협으로부터 더 안전해 질 것이다.

2. 의미있는 문구와 숫자, 특수문자 합하기

%^$#등의 특수문자를 패스워드에 포함시키는 경우는 흔치않다. 자신에게 글자, 숫자 한가지로만 이루어진 패스워드는 안전하지 않기 때문에 자신이 잊지않을 의미있는 문구에 숫자를 더한 뒤, 패스워드를 합하면 해커가 패스워드를 알아내기 쉽지 않을 것이다.

3. 주기적인 패스워드 변경

지난 2년 동안 인터넷 해킹으로 인한 개인정보 유출 규모가 약 6,000만 건에 육박하는 것으로 나타났다. 이는 우리나라 국민들 대다수의 개인정보가 유출되었다 해도 과언이 아니다. 따라서 포털사이트들은 패스워드 변경 캠페인들을 진행중이다. 아래와 같은 패스워드변경 팝업창이 뜨면 '다음에 변경하기'가 아닌 패스워드변경을 변경하길 바란다.

수많은 해킹사건과 개인정보유출이 발생하고 있는 지금, 당신의 패스워드는 안전한가? 개인의 지속적인 관심과 노력으로 패스워드를 관리하는것은  필수이며, 개인정보보호의 가장 기본이 될 것이다. Ahn

 

 대학생기자 박서진 / 서울여대 정보보호학과

 끝없이 노력하고 끝없이 인내하고 끝없이 겸손하자.

 


댓글을 달아 주세요

[보안 바로 알기 캠페인] #5 : 인터넷 뱅킹 보안 위협

보안라이프/이슈&이슈 2013. 8. 19. 17:55

예전에 제가 초등학교로 명칭이 바뀌기 전인 국민학교시절에 선생님께서 이런 말씀을 하셨습니다. ‘이제 곧 물도 사먹는 시대가 올 거다.’ 이 말을 들은 -저를 포함한-당시 어린이들은 놀라지 않았습니다. 안 믿었거든요. 하지만 요즘은 생수 브랜드만 해도 수십 개나 있는 세상이 되었습니다.

와 비슷하게 인터넷이 퍼지기 시작한 시절, TV프로그램에서 인터넷으로만 1주일(한 달이었나요?)살아보기 프로그램을 했던 것으로 기억합니다.여기서 인터넷으로 피자를 시키고, 마트에서 장을 보니 배달까지 해주는 등 당시로서는 획기적인패턴에 방송 진행자도 놀랐던 기억이 납니다.하지만 지금은 누구나 쉽게 인터넷으로 물품 구매는 물론 은행업무까지 보는 세상이 되었죠.

 

안랩의 보안 바로알기(Know the security)캠페인의 다섯 번째 이야기는 어쩌면 지금까지 주제 중 우리 생활에 가장 밀접한 주제일 수 있는 인터넷뱅킹 보안위협 바로알기입니다.인터넷 뱅킹 이용자 8,000만명이 돌파한 요즘,아래 몇가지 이야기를 통해 인터넷뱅킹 보안위협에 대한 이해를 높여서더 안전하고 편리한 온라인 생활을 누리시면 좋겠습니다.

 

금융기관이 침해당해 내 돈이 빠져나간다?

현재까지 알려진 바로는 금융기관 침해로 인해 개인 사용자의 금전이 빠져나간 사례는 없습니다. 통계적으로 볼 때, 우리나라 기관들 중에서 보안에 가장 많이 투자하고 관심을 쏟는 곳이 금융업계라는 것은 사실입니다. 다만 이는 상대적인 규모이고, 이에 더해 아직 보안에 대한 더 많은 고민(금액의 문제가 아니라, 운영 및 인식의 문제입니다)이 필요한 것은 사실입니다.

 

사실, 쉬운 돈을 만지고 싶어하는 공격자가 대형 은행에 직접 침투해서 돈을 빼내오기란 쉬운 일이 아닙니다.그래서 해커들은 조금 더 수월한 개인 PC를 노립니다.여기서 개인 PC란 기업에서 직원이 사용하고 있는 PC도 포함되는 개념입니다(어차피 비슷한 공이 든다면 개인 보다 기업이 인터넷 뱅킹을 이용하는 금액이 훨씬 크니까요).

 

, 모든 수단을 동원해 개인(기업 내 개인 포함)의 금융정보를 빼내가려 한다는 것입니다 .먼저, 해커는피싱메일, SNSURL, P2P사이트, 악성코드를 포함한 문서, 배너광고,프로그램의 보안 취약점 등 광범위한 수단을 통해 악성코드를 감염시킵니다. 일단 악성코드가 침투하면,이후엔 금융정보를 채가기 위한 모든 시도를 합니다.예를들어, 키보드로 입력되는 정보를 빼내기 위해 이를 탈취하는 키로거를 설치합니다.화면캡처가 필요하면 화면캡처를 합니다.만약 목표 개인(기업 내 개인 포함)이 사용하는 주거래 은행이 보안카드를 사용한다면 보안카드 정보를 빼내기 위해 자신이 만든 가짜 사이트로 유도하는 악성코드를 심습니다.가끔 이거저거 다 필요없이 보이스 피싱도 합니다.

 

여기에 최근에는 개인 사용자의 PC에 침투해서,감염된 PC로 특정 은행 사이트를 방문할 시,보안을 위해 자동으로 구동되는 키보드 보안솔루션, 공인인증서 등 보안모듈의 메모리를 해킹(수정)해개인의 금융 정보를 유출하는 악성코드도 국내에서 발견되었습니다.,사용자는 정상 은행사이트를 이용하는 과정에서 자기도 모르게 금융정보를 탈취당하는 것입니다.

 

해외 모 기업의 경우 재무 담당직원이 피싱메일에 속아 인터넷뱅킹 접속용 OTP정보를 포함한 로그인 정보가 모두 해커에게 유출되었고, 55만달러가 해커에 의해 해외로 송금되는 결과가 발생했습니다.지루한 법원 공방 끝에 법원은 은행의 책임으로 판단했지만,이는 기업과 은행이 모두 해커에게 속아 넘어간 예시가 되었습니다.물론, 기업과 은행 모두 기업 이미지 실추를 피할 수 없었습니다.

 

이렇게 공격자들은 은행의 시스템을 직접 노리기 보다,개인의 PC에 악성코드를 감염시키는 것을 공격의 첫 행위로 삼고 있습니다.이것은 보안 사고가 개인의 잘못이라는 뜻이 아니라 명백한 현대 보안의 트렌드입니다.

 

여기에도 보안 종결론이 등장?

일전에 저희 보안 바로알기 세 번째 주제가 보안 종결론이었습니다.특정 솔루션을 사용한다면, 혹은 이것을 사용하지 않는다면 은행보안 사고가 대부분 없어질 것이라는 주장입니다.

 

하지만 나름 자신들의 생계가 달린 문제여서일까요?아쉽게도 악성코드 제작자들은 그 정도에 굴하지 않습니다. 예를 들어,다양한 보안 솔루션을 사용하는 다양한 국가에서도 인터넷뱅킹 사고는 지속적으로 발생하고 있습니다.최근 중동에서 500억원 규모의 해킹 및 현금 불법인출 사건이 있었고,미국안티피싱 워킹그룹과 가트너에 따르면 미국 내 2010년 인터넷 뱅킹사고 금액은 기업피해만10억 달러(13백억)로 추정된다고 발표했습니다.일본의 경우도 2007년에 19천만 엔(22억원)을 기록한 후 현재는 소폭 감소추세에 있다고 합니다.

 

이렇게 기업 자율이든,공공기관 주도이든, 각기 다른 인증체제와 보안 정책을 사용하든아니든,는 모든 나라에서 인터넷뱅킹 보안위협은 계속 되고 있습니다.다시한번 강조하자면 악성코드를 이용해 개인 PC로 침입한 후 금융정보를 훔쳐가거나, 해킹을 시도하는 것이 현대 보안의 트렌드입니다.그리고 악성코드 제작자는 침투를 위해 특정 솔루션만 이용하는 것이 아니라, 피싱메일, 악성 URL, 소프트웨어 취약점,웹하드 등의 P2P 사이트, 악성코드를 포함한 문서, 배너광고, 프로그램의 보안 취약점 등 침투할 수 있는 모든 수단을 사용합니다.

 

 

어떻게 막을 수 있나?

그러면, 인터넷뱅킹 보안위협은 어차피 막을 수 없는 것일까요?저희가 이 캠페인을 시작한 시점에 말씀 드렸지만, 완벽한 보안은 없습니다.다만 보안의 취약한 부분(hole)을줄여나가면서 새로운 취약점이 발견되면 최대한 빨리 보완하고 대응하기 위한 노력이 계속 진행될 뿐입니다. 이런 보안의 취약점을 줄이기 위해서는 어느 한 곳만 노력해서는 되지 않습니다.

 

먼저 금융 및 공공기관에서는 현재 보안위협의 트렌드를 이해하고 올바른 정책을 실행해나가는 것이 필요합니다. 특히, 시스템에 보안을 맞추는 것이 아니라, 보안에 시스템을 맞추는 외국의 노력을 본받을 필요가 있습니다.예를 들어, 예전에는 아무리 혁신적이고 믿을 수 있었던 솔루션이라도 만약 악성코드 전파에 많이 이용된다면 이를 수정해 나갈 필요가 있습니다.

 

또한, 보안 솔루션을 도입한 것으로 그치지 말고,이를 적절히 운영할 수 있는 전문 보안인력을 육성하는 것이 필수적입니다. 기관 내에서 지속적으로 임직원 보안 교육을 실시하는 것은 두말 할 것도 없습니다.

 

개인의 경우엔, 어쩌면 듣기 힘든 말일 수도 있습니다만, 한번 자신에게나는 보안을 위해 어느 정도의 불편함을 감수할 수 있을까?”라는 질문을 해보는 것이 시작이 될 수 있습니다. 해외의 모 은행에서는 보안 및 다른 이유로 이체 한도 금액을 매우 축소하거나, 이체 날짜가 3-5일 걸리는 경우도 있습니다(실시간 이체는 수수료가 매우 높습니다).

 

또한, 사전에 이체 계좌를 등록해야 하고, 새로운 이체계좌를 등록할 때마다 계약서를 작성하는 경우도 있습니다. 인터넷 뱅킹 로그인 시에 본인인증을 위해 2-3개의 절차를 거치기도 합니다. 보안과 편리함은 서로 주고 받는 관계라는 인식을 바탕으로 나온 정책일 것입니다.

 

효율성과 편의성을 추구하는 성향이 강한 우리나라에서 이렇게 한다면 얼마나 많은 사람들이 이런 불편함을 기꺼이 감수할 수 있을까요? 개인 PC를 최초 시작점으로 노리는 현대의 보안 트렌드에서 사고의 책임이 개인 혹은 기관 어느 곳에 100%있다고 하기엔 어렵습니다. 기관의 경우엔 보안위협의 트렌드를 이해하고 준비하는 자세가 필요하고, 개인의 경우엔 조금 불편하더라도1) 송신자가 불분명한 수상한 메일의 첨부파일 및 링크 클릭을 자제하거나 2)소프트웨어 업체가 제공하는 보안패치 설치, 3)백신 업데이트 최신 버전 유지 4)사내에서 개인적인 인터넷 사용 자제등 기본적인 보안 수칙만 지켜도 대부분의 보안 위협은 막을 수 있습니다

 

또한, 이렇게만 하면 만사 해결이라는 식의 보안 종결론에 휘둘려서는 안됩니다. 만약 우리가 불의의 피해자가 되었을 때, 그 종결론을 주장하신 분들이 책임져주지 않습니다. 보안 위협은 어떤 시스템, 어떤 환경에서도 반드시 존재하며, 알려진 보안 위협을 막으면 또 다른 지금까지 알려지지 않은 보안 위협이 우리를 기다리고 있습니다. 보안은 함께 고민하고 노력해야 할 우리 모두의 몫입니다. <Ahn>

 


댓글을 달아 주세요

[보안 바로 알기 캠페인] #3 : 보안 종결론

보안라이프/이슈&이슈 2013. 6. 20. 10:00

미모 종결자,게임 종결자, 동안 종결자 등등 참 종결할 일도,종결자도 많은 세상입니다.이런 추세를 탄 것인지 보안 종결론도 스르륵 등장을 했는데요,안랩의 보안 바로알기(Know the security), 캠페인 세 번째 시간은 보안 종결론에 대해 자세히 알아보겠습니다. 

보안 종결론은 그야말로 이것만 하면, 혹은 이것만 했었다면, 반대로 이것만 하지 않으면 보안은 모두 다 해결 된다는 주장입니다.현대의 보안은 다양한 측면을 가지고 있습니다.집을 예시로 들자면,현관뿐만 아니라 창문,담벼락,지붕과 마당 등 수많은 보안 포인트가 있습니다.보안 종결론은 이 수많은 포인트 중 하나만 지키면 절대 도둑이 들지 않는다는 주장과 다를 바가 없습니다.특히, 최근의 보안사고의 피해를 감안할 때 이는 매우 위험한 주장이라 할 수 있습니다. 

특정 솔루션/방법론 종결론

특정 솔루션 혹은 방법론만 도입하면 보안에 대한 걱정은 안하셔도 됩니다!” 이렇게 듣기 좋고, 편한 말이 또 있을까요?하지만 쉬운 길과 어려운 길이 있을 때 대부분의 해답은 어려운 길이라는 말처럼 보안에 왕도 혹은 100% 보안은 존재하지 않습니다. 

최근 대형보안 사고가 생긴 이후, 다양한 국내외 보안업체에서 공격적인 마케팅 메시지를 전파했고, 그 중에는 자사의 특정 제품이나 방법론을 도입하면 모두 해결 된다고 오해할 만한 소지가 있는 내용도 있었습니다. 

예를 들어, 최근 핫 이슈로 떠오르고 있는 망분리라는 방법론이 있습니다. 이는 외부 인터넷망과 내부 업무용 망을 분리해서 인터넷을 타고 들어오는 악성코드가 내부 시스템에 침입하는 위협을 줄인다는 아이디어입니다. 쉽게 말하자면 인터넷 전용 PC와 업무용 프로그램 전용PC, 두 대를 사용한다고 생각하면 되겠습니다. 실제로 두 대를 쓰는 경우도 있고, PC에서 두 대처럼 사용하는 방법도 있습니다. 실제로 두 대를 쓰는 경우도 있고, PC에서 두 대처럼 사용하는 방법도 있습니다. 이런 분리방식은 분명 보안 위협을 많이 줄일 수 있습니다. 

이와 관련해 안랩의 망분리 솔루션의 기획자는망분리가 완료된 영역에 대해서는 지속적인 관리를 하고, 각기 다른 기업 IT 환경에 의해 망분리가 불가능한 영역에 대해서는 집중적으로 방어책을 보완한다면 조직 내 보안 위협을 획기적으로 감소시킬 수 있다고 말합니다. 

하지만도입만 해 놓으면 별다른 노력 없이 모든 보안 공격을 다 막을 수 있다는 생각은 금물입니다. 이는 마치 훌륭한 방패를 사서 유지관리 없이 계속 전쟁에 사용하는 것과 같습니다. 지속적인 관리노력이 없다면 방패는 언젠가 깨져버릴 것입니다. 

백신 종결론도 이와 같은 맥락으로 볼 수 있습니다. 보안 바로알기 캠페인 첫 번째 시간에 백신만으로는 충분하지 않다는 내용을 이미 말씀 드린 바 있지만, (http://blog.ahnlab.com/ahnlab/1777) 아직까지도나는 백신 설치하고 자동 업데이트를 해놨으니까 괜찮아라고 생각하시는 분들이 대단히 많습니다. 

다시 한번 정리를 드리자면. 백신은 알려지지 않은 악성코드(unknown)에 대한 선제적 예방(Proactive)솔루션이 아닌알려진 악성코드에 대한 대응적(reactive) 방어책입니다. 백신의 대응은 새로운 악성코드 수집에서 분석, 엔진 업데이트까지 시간차가 발생할 수 밖에 없습니다. 따라서 백신 설치로만 모든 악성코드와 보안 위협을 모두 막을 수 있다는 생각은 금물입니다. 

이와는 반대로, 백신이 아무 소용 없다는백신 무용론도 등장하고 있습니다. 이는 몇 번 도둑을 맞았다고 현관의 자물쇠를 없애버리는 것과 같은 것입니다. 최근의 APT 공격과 같은 보안 위협은 기업 및 조직의 서버나 네트워크에 직접 침투하는 것이 아니라 개인 PC에 먼저 침투하고, 내부 중요 IT인프라에 침입하는 방식이 주를 이루고 있어, 백신은 기본 옵션으로 생각해야 합니다. 

진정한 보안 종결자는?

여러분입니다.,이 글을 보고 있는 여러분 말입니다.이 말은 모든 보안 사고의 책임이 개인 사용자에게 있다는 말이 아닙니다.이는 기관과 기업,개인이 모두 보안위협과 하루하루 맞서서 보안에 대한 노력을 꾸준히 기울여야 한다는 뜻입니다. 

최근 보안위협의 경향은 상대적으로 보안이 약한 개인 사용자를 노리거나,표적 기업에 종사하는 개인의 PC를 감염시킨 후, 권한 상승을 통해 내부 시스템에 접근하는 방식입니다. 

기업이나 정부 관련 부처의 경우 진정으로 보안을 종결짓기 위해서는 먼저 진화하고 있는 보안위협을 이해하고 이에 대한 최적화된 방어책 및 제도를 수립하는 것이 필요합니다. 여기에 그치지 않고 주기적인 보안교육, 실제와 같은 보안 훈련 및 상황 체크 등을 실시해 보안 위협을 줄여나가는 것이 필요합니다.이 과정에서 보안 책임자에 대한 권한과 책임 부여도 매우 중요한 부분입니다.

개인의 경우,자신의 작은 행동이 조직이나 사회 전체에 대한 보안 위협의 시작이 될 수 있음을 인식하고 보안과 사용자 편의성을 조금 교환하는 자세가 필요합니다.이런 마음과 함께 1) 송신자가 불분명한 수상한 메일의 첨부파일 및 링크 클릭을 자제하거나 2)소프트웨어 업체가 제공하는 보안패치 설치, 3)백신 업데이트 최신 버전 유지 4)사내에서 개인적인 인터넷 사용 자제등 기본적인 보안 수칙만 지켜도 대부분의 보안 위협은 막을 수 있습니다. 

* 보안 바로알기 캠페인의 각각 내용들은 향후 있을 "안랩 UCC 콘테스트"의 소재로도 이용할 수 있습니다

댓글을 달아 주세요

중고생 정보보호대회 수상자가 꿈꾸는 미래

현장속으로/주니어안랩 2013. 2. 26. 07:00

작년 10월 19일' 2012 중고생 정보보호 올림피아드' 본선이 국회의원회관에서 진행되었다. 본선에는 9월 22일 진행된 예선전을 거친 20명의 학생이 참가하였다.

서울호서전문학교 사이버해킹보안과에서 주관하고 안랩(AhnLab), 행정안전부, 한국정보보호학회, 고려대학교 정보보호대학원 등 여덟 곳에서 후원하는 중고생 정보보호 올림피아드는 이번 해로 7회째 개최된 공신력 있는 대회이다.

각종 해킹사건들로 인해 일상생활뿐 아니라 안보에서도 크고 작은 문제들이 발생하는 상황에서 국가의 보안을 짊어지고 갈 미래의 보안 꿈나무들을 발굴하고자 하는 대회의 취지에 공감하며 안랩에서도 꾸준히 중고생 정보보호 올림피아드를 후원한다. 20명의 보안 꿈나무들이 국회에서 열띤 경쟁을 펼친 결과 1등부터 10등까지 최종 순위가 확정되었다. 

이번 대회에서 금상(안랩대표이사상)을 수상한 강명석 학생(한세사이버보안고 3학년)을 만나 당시의 생생한 이야기를 들어보았다.



△ 금상(안랩대표이사장상)을 수상한 강명석군. 오른쪽에서 둘째.

 

어떤 계기로 중고생 정보보호 올림피아드에 나가게 되었나요?

고등학교 1학년 때 처음으로 대회라는 걸 나가게 되었어요. 학교에서 알려줘서 그런 대회가 있다는 걸 처음 알았어요. 그 땐 단 한 문제도 제대로 못 풀었어요. 도움을 좀 받아서 한 문제를 풀고 2번 문제는 1번 문제보다 쉬워서 풀었던 정도였어요. 그래서 그 때부터 그런 비슷한 문제를 풀어볼 수 있게 구현해놓은 사이트에서 많이 연습해봤죠.

어느 날부터는 그런 문제들이 심심해졌어요. 그래서 2012년이 되고나서 순천향대 정보보호페스티벌에 나갔죠. 운 좋게 10등으로 본선에 진출했지만, 본선 가서 한 문제도 못 풀지 못했어요. 10등가서 10등으로 돌아온 거죠. 후회 하지는 않았지만, 집 와서 금방 두 문제를 풀었기 때문에 섭섭하고 아쉬운 마음이 들었어요. 다음에는 더 나은 실력으로 본선에 진출하고 싶다는 생각으로 여러 문제들을 풀어봤죠. 그리고 정보보호 올림피아드 예선에 나가게 된 거예요.

 

- 대회는 어떻게 진행됐나요?

대회는 9시부터 시작이었어요. 국회의사당에서 했던지라, 가방도 이곳저곳 철저히 검사하더군요. 마냥 신기했는데, 막상 들어가서 보니 대회가 시작되지 않았어요. 왜냐면 국회의사당의 보안이 철저해 외부의 컴퓨터를 사용 못한다는 걸 다들 몰랐나 봐요. 그래서 국회의 보안 관련된 사람들이 와서 장내를 정리하느라 대회 시작을 한 10시쯤에 했던 것 같아요. 그러니까 보통 2시에 끝난다고 했었는데 3시에 끝나게 된 거죠.

저는 운이 좋았어요. 그 때 4문제 푼 사람이 유일하게 한 명이라 1등을 했고, 세 문제를 빠르게 푼 사람부터 2등, 한 7등까지 순위가 매겨졌거든요. 문제는 총 10문제였어요. 한 문제는 무선 네트워크에 관련된 문제였다는데, 문제에 결점이 있어 출제가 안됐다고 해요. 그래서 한 문제는 모두 다 푼 셈이 됐어요. 새로 수정돼 나온 문제가 짐작으로 풀 수 있는 객관식 문제 느낌이었거든요.

저를 수상자로 이끈 문제는 그 문제를 제외한 두 문제였어요. 두 문제를 푼 간격이 15분 정도밖에 안됐어요. 열두시에 힌트가 나왔던 문제를 시작으로 두 문제를 15분 동안 풀어버린 거라서 한시에 보니까 그 때부터 3등이더라고요. ‘빨리 좀 끝났으면 좋겠다.’며 애가 타는데 대회가 늦게 시작해 세시로 마치는 시간이 미뤄지니까 더 조급했죠. 두시가 지나니 저와 동일한 문제 수를 맞춘 학생들이 한 3명 정도 나왔어요. 한 명만 추월하면 4등이라 금상이기 때문에 딱 한 명만 추월했으면 좋겠다고 생각했는데, 끝내 아무도 추월 안 하더라고요. 그래서 3등의 영예를 안게 됐죠.(웃음)

그렇지만 이 대회만으로 제가 실력이 굉장히 뛰어나다고는 생각하지 않아요. 저보다 훨씬 잘하는 학생들이 많거든요. 확실히 저희들끼리는 저희들의 실력을 알아요. 왜냐면 보통 대회 입상한 애들은 다 동일 인물이에요. 잘하는 애들이 계속 잘하는 거죠. 저도 이번 대회를 디딤돌 삼아 여러 대회들에서 수상해 실력을 인정받고 싶어요.

 

- 컴퓨터 분야는 언제부터 배우게 됐나요?

초등학교 6학년 때 관심이 생겼던 건 게임이었어요. 보통 애들은 나쁜 것부터 시작한다고, 게임 버그나 핵 같은 것들이 너무 신기했어요. 다른 사람들이 모르는 게임까지 찾아가면서, 많은 게임에 도전해봤어요. 핵 카페 같은 것도 운영하면서, 아는 사람과 회원 만 명 이상도 모아봤죠. 이때까진 그저 재밌다 정도였고, 체계적으로는 못해보다가 고등학교 와서 조금씩 컴퓨터에 대해 알게 된 거죠.

그러다 어느 날 고등학교 친구가 ‘한번 학원을 다녀보자’고 해서, 다니게 된 학원에서 홈페이지를 만드는 언어를 배우게 됐어요. 한번은 담당 강사 형이 ‘우리 오늘 해킹대회 한번 해볼래?’해서 해보겠다고 그랬어요. 형은 ‘너 36시간동안 여기 있어야 된다.’고 겁줬는데 정말로 36시간동안 라면만 먹으면서 깨어있었어요. 나중에는 애들이 저보고 죽을 것 같지 않느냐고 좀 자라고 그러더라고요.

대회 준비를 미리 했던 건 아닌데, 마침 학원 갔을 때가 대회 당일이었어요. 노트북은 항상 가지고 다니니까, 그 때 바로 참가한다고 한 거죠. 그래서 처음으로 팀으로 된 대회를 나가게 된 거예요. 그 때 학원을 운영하시는 해킹보안협회 이사님 덕분에 알게 된 대여섯 명이서 밤을 새면서 일곱 문제를 풀었어요. 그리고 75등을 했죠. 그 대회가 우리나라에서 제일 큰 대회인지라 외국에서도 많이 출전하기 때문에 75등이라는 성적은 제게 정말 대단한 기억으로 남았어요. 그 때부터 본격적으로 정보보안 분야에 발을 담그기 시작했던 것 같아요.

 

- 올림피아드는 어떻게 준비해야 하는지 알려줄 수 있어요?

일단 프로그래밍을 잘해야 하는 것 같아요. 문제를 풀려고 어떤 웹사이트에서 일부터 만까지 대입해야 하는데 사람 손으로 일일이 하면 시간도 많이 걸릴뿐더러 힘들잖아요. 일부터 만까지 대입해주는 프로그램을 만들면 더 쉽겠죠? 이런 편리한 프로그램을 만드는 걸 프로그래밍이라고 해요. 대회에서는 다른 사람이 만들어 놓은 프로그램을 쓰는 문제도 있지만, 기존에 없는 만들어 써야할 때도 있어요. 그렇게 되면 직접 입맛에 맞게 하는 방법밖에 없겠죠. 보통 가장 많이 쓰는 언어는 C언어나 Java가 있어요. 프로그래밍 언어를 하나만 할 줄 알아도 원하는 프로그램은 만들 수 있어요. 저는 그나마 C언어를 잘하는 편이에요.

 

- 졸업하면 구체적으로 어떤 걸 공부하고 싶나요?

일단은 프로그래밍을 좀 더 열심히 하고 싶고요. 영어를 좀 더 완벽하게 하고 싶어요. 왜냐면 실력이 일정 정도 이상으로 올라가면 우리나라에서 배우고 교류하는 데에는 한계가 있기 때문이에요. 외국에서만 찾아 볼 수 있는 것들까지 배우기 위해서 영어를 4년 동안 열심히 배워볼 생각이에요.

저는 나중에 정보보안 전문가가 되고 싶어요. 궁극적으로는 하고 싶은 일을 하면서 살고 싶기 때문에 정보보안을 할 수 있는 IT계열 회사 쪽도 희망하고 있는 곳 중 하나죠. 어렸을 땐 해커가 멋있었어요. 크면서는 해커의 반대쪽에 서있는 정보보안전문가를 알게 되었어요. 해킹할 줄 아는 사람이 보안도 할 수 있는데요, 보안을 하는 사람이 해킹하는 사람을 덮어 싸서 다른 이들을 보호한다는 점이 매력 있었어요.

 

- 지금 정보보안을 막 시작하는 친구들에게 해주고 싶은 말?

정보보안을 진짜 하고 싶어서 하는 친구들이었으면 좋겠어요. 프리랜서로 일하시는 40대 해커 분이 계시는데, 자신의 실력이 너무나 얕다는 걸 알고 다시 공부하시는 분이었어요. 그 분은 40대가 돼서 다시 공부한다는 건 창피하지가 않대요. 다만 그 분이 말씀하시기를 조금이라도 실력이 있고 신념이 있다는 정보보안전문가는 15%밖에 안 된대요. 85%가 그저 남들에게 보이기 위한, 돈만을 위한 사람들인 거예요. 정보보안 분야뿐 아니라 뭐든지 좀 더 열정적으로 하고 싶은 사람들이 했으면 좋겠어요. Ahn

 

대학생기자 김가윤 / 이화여대 정치외교학과

 

정의로우면서도 가슴에는 늘 인간적인 사랑을 품은 기자가 되겠습니다.


댓글을 달아 주세요

개인정보보호법에서 눈여겨볼 핵심 조문

보안라이프/이슈&이슈 2012. 12. 3. 09:16

2011 9 30, 개인정보보호법이 발효됨에 따라 개인정보 침해 대응법도 구체적으로 구현되었고, 정보보호 중요성에 대한 사회의 의식 수준도 높아졌다. 개인정보보호법의 법적 성질과 주요 조문을 분석함으로써 해당 법률의 역할을 살펴보자.

개인정보는 원하지 않은 방식으로 이용되지 않아야

개인정보는 생존하는 개인에 관한 정보로서 성명, 주민등록번호, 영상 등을 통하여 개인을 알아볼 수 있는 정보를 의미한다. 개인정보를 법적 권리로 설정할 때, 일반적으로 헌법 제17조에서 규정하는 프라이버시(privacy)라는 개념으로 접근한다. 개인정보의 법적 권리에는 자신에 관한 정보가 자신이 원하지 않은 방식으로 이용되지 않을 권리,’ ‘자신도 모르는 사이에 정보가 남에게 수집되지 않을 권리등이 포함된다.

개인정보 라이프 사이클은 수집, 저장 및 관리, 이용 및 제공, 파기로 이루어지며, 각 단계별로 침해가 발생할 수 있다.

 

개인정보보호법은 기존에 정보통신, 금융/신용, 공공행정, 교육 등의 분야에서 개별적으로 적용되었던 법률들의 체계를 일원화하여 개인정보의 수집, 처리에 관한 일반법으로 기능한다.

개인정보보호법은 기존 개인정보보호 법안의 적용 대상에서 국회, 헌법재판소 등 행정 사무를 처리하는 기관과 오프라인 사업자, 협회, 시민단체 등 비영리단체까지 그 영역을 넓혔다. 보호 범위도 전자적으로 처리되는 개인정보 외에 수기 문서도 포함된다(동사무소 민원신청 서류 등 공공기관의 종이문서 등).

 

눈여겨볼 개인정보보호법 주요 조문

개인정보보호위원회 설치(7· 8)

개인정보에 관한 주요 사항을 심의 의결하는 대통령 소속 개인정보보호위원회를 두고 위원회에 사무국을 설치하였다. 이는 개인정보 보호 정책의 수립, 결정 및 제도 운영 등 중요 사항에 대한 의사 결정의 신중성, 전문성 및 객관성을 확보하고 이해당사자로부터 독립성을 확보하기 위함이다.

개인정보 처리 단계별 보호 기준 마련(15~22)

개인정보 수집, 이용, 제공, 위탁, 파기 등 단계별 처리 기순을 구체화하였다. 이는 개인정보 수집, 이용, 제공, 위탁, 파기 등 단계별로 개인정보 처리자가 준수하여야 할 처리기준을 구체적으로 규정하고 개인정보처리 과정에서 국민의 개인정보 자기결정권을 강화하기 위함이다.

고유식별정보의 처리 제한 강화(24)

주민등록번호 등 고유식별정보는 원칙적으로 처리 금지되며, 법령에서 고유식별정보 처리를 허용하는 경우는 제외한다. 따라서 개인정보처리자는 홈페이지 회원가입 등 개인의 식별정보가 필요한 경우, 주민등록 번호 외에 방법을 반드시 제공하도록 의무화되어 있으며, 개인을 구별하는 정보의 분실, 도난, 변조, 훼손 등의 방지를 위해 암호화 등 안정성 확보 조치를 규정하고 있다. 이는 주민등록번호의 광범위한 사용 관행을 제한하고 무분별한 오·남용을 방지하기 위함이다.

영상정보처리기기의 설치 제한 근거 마련(25)

범죄의 예방/수사를 위한 경우 등의 법령에서 허용하는 경우 외에 공개된 장소에서는 영상정보처리기기의 설치 및 운영이 제한된다. 영상정보처리기기를 설치하거나 운영할 시에는 안내판, 운영 및 관리지침을 마련하는 조치가 필요하다. 해당 조문은 영상정보처리기기의 설치, 운영 근거 및 보호 조치 사항을 구체화했다는 점과, 영상정보처리기기의 무분별한 설치를 방지하여 사상활 감시에 대한 프라이버시를 보호하는 장치를 마련됐다는 점에서 의의가 있다.

개인정보 영향평가제도 도입(33)

공공기관이 대규모 개인정보 파일 구축을 할 때는 사전에 영향평가를 실시해야 한다(공공기관은 개인정보파일 등록 시 평가 결과를 첨부하여 행정안전부에 제출해야 함). 민간 분야는 자율적으로 수행한다. 이 조항을 통해 개인정보 침해를 예방하기 위하여 사전에 위험요인을 분석하고, 이를 조기에 제거할 수 있다Ahn

 

자유기고. 방지희  

 

댓글을 달아 주세요