사이버 테러 막는 망분리 솔루션 어떻게 구축할까

해킹의 패러다임이 변했다. 과거에 실력을 과시하기 위해 벌어졌던 해킹이 이제는 금전을 목적으로 한 해킹으로 탈바꿈했다. 정보는 돈이 되고, 중요한 정보일수록 그 가치는 커진다. 3.20 사건 외에도 크고 작은 보안 사고가 빈번한 요즘, 개인정보 보호는 또 하나의 뜨거운 이슈이다. 


하나에 10원 꼴로 팔려나간다는 개인정보, '중국에 이미 내 개인정보는 다 팔려갔다'는 웃지 못할 말이 현실인 2013년 현재. 어떻게 하면 개인정보를 지킬 수 있을 것인가, 더 나아가서 어떻게 하면 해킹사고를 예방하고 정보보호 시장을 활성화할 수 있을 것인가, 이 뜨거운 이슈에 대한 뜨거운 관심을 증명이라도 하듯 지난 6월 20일에 코엑스에서 열린 '개인정보보호 페어 2013'에는 비집고 들어가야 할 만큼 많은 인파가 몰렸다. 



3.20 사건 이후, 사이버 테러를 대비해 많은 기관과 기업에서 '망분리' 솔루션을 검토하고 있다. 업계 추정에 따르면 2013년 현재 망분리 시장 규모는 200억원, 2016년에는 1000억원까지 성장할 것이라고 예측하고 있다. 2013년 2월 18일, 정부에서 정보보호 등에 관한 법률 시행령을 개정해 일정 규모 이상의 기업이나 기관에서는 망분리를 의무적으로 해야 하는 상황도 망분리 시장 활성화에 한 몫을 했다. 


개인정보보호 페어 2013의 A트랙 마지막 시간, 정보보호의 화두로 떠오른 망분리 솔루션에 대해 안랩의 권진욱 부장의 <효율적인 망 분리 도입을 위한 가이드>는 주제로 발표가 진행되었다. 다음 내용들은 발표의 내용을 정리한 것이다.



망분리 솔루션은 왜 핫한 이슈가 되었나


기존의 사이버 테러는 단일한 악성코드에 의한 것으로, 감염 PC에 국한된 피해를 입히고 불특정 다수를 공격하는 경향을 보였다. 그러나 최근의 사이버 테러는 다르다. 모듈화된 악성코드가 사용되고 그 악성코드가 업데이트되며(Advanced), 장기간에 걸쳐 취약한 곳을 찾기 위해 은닉하며 한번 공격이 시작될 경우 2차, 3차 공격이 이루어지고(Persistent), 불특정 다수에서 특정한 대상을 탐색해 공격하는(Targeted Threat) APT가 행해지고 있다. 


3.20도 마찬가지로 APT 형태의 사이버 테러였다. 다양한 기술과 여러가지 공격 방식으로 특정 대상에게 지속적인 공격을 하는 APT공격. 전통적인 보안 솔루션으로는 방화벽, 차세대 방화벽, 침입차단시스템(IPS), 유해 사이트 차단 시스템, 안티바이러스 등이 있으나, 이들만으로는 더이상 고도로 지능화된 APT에 대응할 수 없다. 


뚫으려는 자의 방식이 발전한다면 막으려는 자의 방식 또한 발전하는 법. APT공격에 대응하기 위해 망분리 솔루션에 관한 관심이 고조되었고, 3.20 이후 망분리에 관한 관심이 달아오르기 시작했다. 알려진 공격에 대해서만 대비할 수 있었던 이전 보안 솔루션에 비해, 망분리는 인터넷으로부터의 보안 위협 자체를 모두 차단하는 것은 물론, 새로운 보안 위협 또한 차단할 수 있고 여러 보안 솔루션으로 구성된 보안 체계보다 훨씬 높은 수준의 보안 체계를 구현할 수 있다는 이점이 있다. 망분리 솔루션은 APT의 효과적인 대응책으로 떠오르며 핫한 이슈가 되었다. 




망분리란 무엇인가


망분리란, 인터넷 영역과 업무 영역을 동일한 하나의 네트워크에서 사용하는 방식 대신 

물리적 또는 논리적(가상화) 기술을 이용하여 네트워크 및 PC를 분리하는 것을 의미한다.


즉, 네트워크 망을 나누어 외부의 침입으로부터 내부의 자료를 안전하게 할 수 있는 방법이 망분리 솔루션이다. 정부는 2006년부터 해킹 대처 방안을 수립해 시법사업을 완려하였고, 2010년부터 망분리 사업을 진행, 확대하고 있다. 2010년 이전까지는 물리적 망분리에 관심이 있었다면, 2010년 이후부터는 논리적 망분리로 관심이 옮겨가고 있다. 물리적 망분리는 2대의 PC를 이용하거나, 망분리 전환 장치를 이용하거나, 멀티 PC를 이용하는 것으로  실행할 수 있고, 논리적 망분리는 SBC(Server Based Computing)방식이나 터미널 서버를 이용하는 것으로 실행할 수 있다. 


2009년까지는 국가 기관의 망분리를 2대 PC를 이용하는 물리적 망분리를 원칙으로 했고, 불가피한 경우에만 논리적 분리가 허용이 되었다. 그러다가 2010년부터 가상화 기술을 이용한 논리적 망분리가 검토되기 시작했고, 2011년부터는 논리적 망분리 도입이 본격화 된 상태이다. 또, 정통망법에 따라 전년 말 기준 직전 3개월간 평균 100만명 이상의 개인정보 보유 사업자, 혹은 정보통신 서비스 부문 전년 매출액 100억 이상인 사업자는 온 오프라인 경로에 상관 없이 망분리를 의무적으로 시행해야 한다.  




망분리 방식 비교 및 고찰


제일 간단한 방식은 물리적 망분리 방식이다. 새로운 망을 구축하고 인터넷만 쓸 수 있는 PC를 따로 두는 것이다. 물리적 망분리는 물리장비가 늘어나는 것이기 때문에 무엇보다도 보안의 가시성 확보가 쉽다. 하지만 치명적인 약점들이 있는데, 대표적인 경우가 USB를 통한 감염이다. 인터넷망에서 USB를 통해 업무PC로 전달되는 케이스들이 발생한다. 그래서 공공기관에서 물리적 망분리를 도입할 경우 보안 USB를 사용하거나 두 영역간의 파일 교환을 위한 부가적인 망 연계 솔루션을 같이 도입하도록 한다. 


다음으로 랜카드를 추가로 설치하는 방법이 있다. 그렇게 되면 업무서버와 인터넷망을 자유롭게 오갈 수 있으나, 관리가 제대로 되지 않는다면 망분리 효과를 볼 수 없게 되는 단점이 있다. 물론, 물리장비를 설치하기 위한 설치공간이 필요하고, 설치한 장비만큼 소비전력도 늘어나게 된다. 또한 운영하기 위한 예산이 많이 필요하다는 단점도 존재한다.


논리적 망분리 방식으로는 서버 기반과 PC기반 두 가지 방식이 있다. 


서버 기반의 논리적 망분리 방식은 인터넷을 연결하는 망 쪽에 가상 서버를 두는 방식이다. 그렇기 때문에 인터넷에서 악성코드가 들어온다 하더라도 가상서버에만 영향을 미칠 뿐, 업무서버에는 영향을 미치지 않는다.  그러나 물리적 망분리 만큼의 예산이 필요하고, 다양한 인터넷 환경에 대한 호환성을 검증해야 한다는 단점이 있다.


PC 기반의 논리적 망분리 방식은 기본적으로 사용자 PC와 인터넷 망 사이에 망분리 게이트웨이를 두는 방식이다. 낮은 비용으로 물리적 망분리 수준의 보안성을 확보할 수 있고, 영역 전환이 편리하여 편의성이 좋다. 또한 구축 기관도 짧은 편이다. 그러나 다양한 PC에 대한 호환성 검증이 필요하다.


어떤 방식이 가장 좋다고 할 수는 없다. 각 기업이나 기관의 업무 스타일에 맞추어 최적의 망분리 방식을 적용해 구축하는 것이 좋다. 물론, 망분리를 구축할 수 없는 사례도 존재한다.




망분리 구축을 어떻게 체계적으로 할 것인가?


망분리 솔루션을 도입하기 위해서는 기존 보안 제품을 도입하는 것과는 다른 프로세스를 필요로 한다. 첫째로 환경분석을 해야하고, 구축을 한 뒤에는 안정화 단계를 거쳐야 한다.


환경분석은 사용하는 소프트웨어, 인터넷 등을 분류하는 단계이다. 쉽게 말해서, 사용자가 사이트에서 쓰는 소프트웨어들, 사용자가 접근하는 인터넷, 우리 업무 서버가 어떤 것들에 접근하는지, 혹시 외부와는 연결이 되어야 하는지, 내부 업무망쪽의 PC들은 어떻게 업데이트 할 것인지 등등을 분석하는 과정이다. 즉 요구사항들을 분석하는 것이다. 망분리 게이트웨이 구성을 위한 네트워크를 분석하고, 업무 및 사용 프로그램 분석을 통해 망분리 환경을 구성하고, 사용자의 업무 연속성을 보장할 수 있는 대책을 마련하는 과정이 모두 포함된다. 


환경분석한 결과를 토대로 망분리 솔루션 및 제반 시스템을 구축한다. 파일럿 운영, 시범 설치를 통해 계속해서 장애를 최소화 한 뒤에 점차 확산을 시키는 것이다. 망분리 솔루션, 망 연계 솔루션을 구축하고 메일 서버를 분리하는 등의 작업이 구축 단계에서 행해진다. 이렇게 인프라 구축을 하고 나면 안정화 단계를 거치게 되면 망분리 솔루션을 통한 보안성을 확보하게 되는 것이다. 로 보안성을 확보하게 되는 것이다.


확실히 다른 일반 IT인프라를 구축하는 것에 비해 힘들고 손이 많이 가지만, 망분리 구축을 하면 많은 보안 위협으로부터 안전해질 수 있다.




이게 최선입니까? 확실해요?


업무서버와 인터넷망을 분리하는 방법이라니. 그럼 망분리만 된다면 보안 이슈는 사라지는 것 아닌가? 애석하게도, 망분리 솔루션이 모든 보안 이슈를 해결하는 솔루션은 아니다. 그럼 소용 없는 것 아닌가? 그건 또 아니다. APT에는 분명히 효과적인 대응 방안이다. 


보안위협은 계속해서 새로워질 것이다. 가장 안전하다고 생각했던 방법도 결국에는 무용지물이 되는 떄가 온다. 뚫으려는 자는 계속해서 새로운 방법을 찾아낼 것이고, 막으려는 자는 계속해서 새로운 공격에 대한 대응을 찾아낼 것이다. 망분리는 분명 현재 APT에 효과적으로 대응할 수 있는 방법이고 최선의 방법일지도 모른다. 하지만 보안의 세계에서 영원히 확실한 방어 방법은 존재하지 않고, 존재하지 않을 것이고, 존재 할 수 없을 것 같다. 우리는 늘 최선의 방법을 찾기 위해 노력해야 하고, 허를 찌르는 공격에 한 번 당하면 반복해서 당하지 않도록 노력해야 한다. 


망분리 솔루션이 효과적인 대응이 되지 못하는, 위태로워지는 날이 언젠가는 올 것이다. 늘 경우의 수를 생각하며 여러가지 방안을 끊임없이 모색하는 것, 그것만이 우리가 할 수 있는 최선의 해결책이 아닐까. Ahn



대학생기자 강정진 / 숙명여자대학교 컴퓨터과학과


學而不思則罔思而不學則殆

배우기만 하고 생각하지 않으면 멍청해지고, 생각하기만 하고 배우지 않으면 위태로워진다.


댓글을 달아 주세요

  1. 정바 2013.07.04 12:34 신고  Address |  Modify / Delete |  Reply

    많이 배우게 되는 글이네요~~

일부 정부기관 디도스 공격 분석 내용 중간 발표

안랩, 25 00시부터 웹하드를 통해 디도스 유발 악성코드 배포 확인
- 좀비PC를 치료하는 것이 근본적인 해결책, 백신 업데이트 후 검사 필요
- 안랩 V3에 긴급 엔진업데이트 완료, 추후 지속적 업데이트 및 상세분석 예정

안랩(대표 김홍선 www.ahnlab.com)은 금일 일부 정부기관을 공격한 디도스(DDoS; Distributed Denial of Service, 분산 서비스 거부) 악성코드에 대한 분석내용을 중간 발표했다.
 
안랩은 이번 디도스 공격을 유발한 악성코드는 25 00시부터 배포되었으며, 25일 오전 10시에 DDoS 공격을 수행하도록 C&C 서버로부터 명령을 받은 것으로 확인되었다. 또한, 2011 3.4 DDoS 때와 같이 웹하드를 통해 악성코드가 배포된 것으로 분석했다.
 
안랩은 "공격자가 웹하드 업데이트 기능을 이용해 개인사용자 PC를 악성코드로 감염시킨 후 좀비PC를 만들고, 이들(좀비PC)을 이용해 다량의 트래픽(DNS(Domain Name System) 쿼리(Query))을 정부기관 네임서버에 일시에 보내 정부기관 접속을 방해한 것으로 분석되었다"고 현재까지의 분석 결과를 밝혔다.
 
한편, 안랩은 이번 디도스 유발 악성코드를 분석하는 한편, 악성코드 샘플과 유포지 정보를 관계기관에 공유했다.
 
안랩은 악성코드들 일부를 이미 진단하고 있었으며, 추가 발견된 악성코드에 대해서 V3엔진에 긴급 반영 했다. 또한 향후 악성코드 추가 발견 시 지속적으로 엔진을 업데이트 할 예정이다.
 
안랩은 "만약 상당히 많은 좀비 PC가 사용되었을 경우 엄청난 트래픽 공격으로 인해 서버 다운 등의 추가 피해가 있을 수 있어 주의가 요구된다" "디도스 공격을 유발하는 좀비PC와 악성코드 유포지를 차단하는 것이 시급하다."라고 밝혔다.
 
또한 PC사용자들이 백신을 최신으로 업데이트해 PC를 정밀검사하는 것이 반드시 필요하다고 당부했다.

현재 안랩은 확보한 디도스 유발 악성코드 샘플을 상세 분석 중이며, 향후 추가적으로 자세한 사항을 공유할 예정이다. <Ahn>


댓글을 달아 주세요

APT를 알면 사이버 테러 이길 해법이 보인다

최근 발생한 3.20 사이버 테러에서 보았듯이 특정 대상을 상대로 핵심 기밀정보를 빼내려는 사이버 위협이 날로 지능화함에 따라 보안의 중요성은 더욱 커지고 있다.

이에 효과적인 대응 방안을 모색하기 위해서 지난 5월 14일 머니투데이와 데일리시큐가  ‘금융보안·개인정보보호 페어’를 열었다. 이 자리에는 안랩을 비롯해 20여 개 보안 전문 업체가 참가해 금융보안과 개인정보보호 관련 최신 제품과 기술을 소개했다. 또한 ‘스마트 융합 시대에 필수적인 개인정보보호와 금융보안’을 주제로 차세대 금융 보안 구축 방법을 비롯해 다양한 보안 사고 예방을 위한 방법을 소개했다.

그 가운데 안랩 마케팅실 윤상인 차장은 ‘다차원 분석을 통한 APT 대응 방안’을 주제로 발표했다. 그는 안랩에서 자체 개발한 다양한 분석 방법으로 보안 위협에 철저히 대응할 해법을 소개했다. 다음은 주요 내용. 

지능적이고 장기적으로 가해지는 APT 공격

최근의 보안 위협은 과거의 것과는 양상이 확연히 달라졌다. 과거에는 단일한 악성코드를 가지고 감염 불특정 다수를 대상으로 PC에 국한된 공격을 했다. 하지만 최근에는 특정 공격 대상을 겨냥해 기존 보안 제품을 우회하고 새로 발견되는 보안취약점을 악용해 모듈화한 악성코드를 생성하고 장기간에 걸쳐 공격 성공 시까지 은닉하는 방법을 사용한다. 이른바 'APT'이다. 

APT(Advanced Persistent Threat)

‘지능형 지속 공격’이라고 하며, 특정 타깃을 노려 지속적인 공격을 하는 것을 말한다. 악성코드를 이용하여 정보 유출뿐 아니라 시스템 파괴를 일으키는 공격이다. 정치적 목적의 사이버 테러, 정보 유출 등 다양한 목표와 방법을 가지고 있다. 일례로 3.20 전산망 마비 사고가 있다. 국내 방송사 및 은행 전산망을 동시에 마비시킨 보안 사고로 32,000여 대의 서버와 PC에서 시스템 장애 현상, 하드 디스크 파괴 현상이 발생하였다.

1~2년 전부터 APT가 언론에서 많이 회자되었지만 실제 APT를 잘 아는 사람이 많지 않다. 2012년 말 ISACA(정보시스템감사통제협회)에서 글로벌하게 1500명의 보안 인력을 대상으로 설문조사를 진행했다. 조사 결과에 따르면 APT를 어느 정도 알고는 있지만, 실제 APT를 어떻게 막을 것인가라는 질문에는 애매한 답변이 대부분이었다고 한다. 

최근 발생한 사고 현황을 보면 2010년 이전까지는 APT 공격의 대상이 주로  정부기관었으나, 구글을 공격한 '오퍼레이션 오로라' 이후 민간까지도 공격이 확장되는 흐름이 있었다. 

APT 공격 배경에는 정치적 목적, 경제적 목적, 군사적 목적이 있는데, 공통적으로 범죄 조직이나 국가 정보기관, 핵티비스트 단체와 같이 막강한 배후 세력이 존재한다. 악성코드를 제작하는 세력은 멀티 엔진 분석 사이트나 언더그라운드 플랫폼 검증을 통해 기존 시그니쳐(signature) 기반 보안 솔루션을 우회하는 신종 악성코드만을 APT 공격에 이용한다. 때문에 방어하기 힘들 수밖에 없다.

APT에 대한 오해와 진실

1. APT 공격은 숙련된 해커만이 가능한가?

NO. 에코시스템처럼 제로도의 취약점을 이용한 악성코드를 사고 팔고하는 블랙마켓이 활성화해 있다. 그렇기 때문에 꼭 숙련된 해커 사이에서만 이뤄지는 게 아니라고 할 수 있다.

2. 알려지지 않은(Unknown) 악성코드가 APT 공격을 일으키는 주범인가?

YES or NO. 주범은 알려지지 않은(Unknown) 악성코드라고 봐도 되지만 기존의 다양한 APT를 분석해보면 알려진(Known) 악성코드와 적절히 조합이 되어서 공격을 했다. 따라서 APT 대응을 위해서는 알려진 악성코드까지도 대응할 수 있는 연계 대응 방안이 필요하다.

3. 기존 보안 솔루션은 알려지지 않은 악성코드를 탐지하고 차단 가능한가?

NO. 기존 시그니쳐 기반 보안 솔루션은 알려지지 않은 악성코드를 탐지하는 데 어려움이 많다.

4. APT 위협은 정부기관 또는 대기업만 타깃으로 하는가?

NO. 보안 취약점을 가진(보안 정책상 허술한) 하위 소규모 기업을 1차 타깃으로 2차 중간 업체, 3차로 그 상위 기관, 최종적으로 상급 기관을 공격하는 것이 최근 APT 공격의 패턴이다.

정부기관, 온라인 뱅킹도 공격 대상

조달청이 운영하는 나라장터 해킹이라고도 알려진 입찰 참여 건설 업체/지자체 PC 해킹 사건이 대표적이다. 정부의 건설 사업 관련해 최저가 입찰을 하는데 모 건설사에서 경쟁사의 입찰 가격을 알아내도록 해커에게 요청한 사건이다. 2007년부터 수십 억원에 달하는 비용을 불법적으로 취득했다. 이는 persistent한 경우는 아니지만 Advanced하고 Targeted한 공격이, 보안이 허술한 하청기관을 뚫는 것이 얼마나 효과적인지 보여주는 사례이다.

온라인 뱅킹 시 파밍 사이트로 접속하게 유도하는 사고도 자주 일어난다.

파밍(Farming)

이용자 PC를 악성코드에 감염시켜 이용자가 인터넷 '즐겨찾기' 또는 포털사이트 검색을 통하여 금융회사 등의 정상적인 홈페이지 주소로 접속하여도 피싱 사이트로 유도되어 범죄 관련자가 금융 거래 정보 등을 몰래 빼가는 수법

일반적으로 사용자의 금융 정보를 가로채기 위해 공격자는 악성코드 감염을 통해 사용자의 호스트(hosts) 파일을 변경하거나, 공격자가 만들어 놓은 서버 IP를 사용자 DNS 서버 IP로 변경하여 정상적인 금융권 사이트 접속 시 공격자가 만들어 놓은 가짜 사이트로 접속하도록 만든다. 그러나 이와 같은 방법은 이미 일반화했기 때문에 대부분의 보안 프로그램은 사용자 시스템의 호스트 파일을 모니터링하여 변경 사실을 사용자에게 알리거나 변경 자체를 방어하기도 한다. 

최근 피해 사례가 증가하는 파밍 사이트로 접속을 시도하는 피해 시스템을 확인한 결과, DNS IP의 변경이나 호스트 파일의 변조가 일어나지 않은 상태에서도 공격자가 만들어 놓은 가짜 사이트로 접속을 시도하는 것을 확인할 수 있었다.

악성코드 다차원 분석이 해법이다  

전통적인 보안 솔루션만으로는 고도로 지능화된 APT를 차단하는 것이 불가능하다. 방화벽(FireWall)은 네트워크 접근 통제로 악성코드 유입을 차단하기 때문에 허용된 주소로 들어오는 악성코드는 차단할 수 없다. 애플리케이션을 통제하는 차세대 방화벽(Next Generation FireWall) 역시 악성코드를 탐지하기 어렵다. 

또한 침입차단시스템(IPS)은 네트워크 기반 툴을 이용해 악성코드 유입을 차단하기 때문에 파일 기반 분석이 필요한 악성코드는 탐지할 수 없다. 악성 URL을 차단하는 유해 사이트 차단 시스템은 허용된 사이트를 거쳐 유입되는 악성코드는 차단할 수 없다. 기존 안티바이러스(AV) 솔루션 역시 알려지지 않은 악성코드는 탐지하기 어렵다.

어떤 과정을 거쳐서 다차원 분석 기술이 나오게 되었을까?

1세대 - 기존의 안티바이러스 제품군

악성코드가 대응센서에 유입이 되면 안랩과 같은 연구기관에 샘플이 전달이 되고 분석이 된 결과에 따라서 악성이라고 판단이 되면 엔진이 업데이트 되는 형식이다

즉, 1세대 시그니쳐 기반 악성코드 대응의 방식에서는 최초의 피해자가 존재해야 한다는게 특징이다. 대응시간도 2-3시간이 걸리므로 현재의 위협이 되고 있는 지능적 공격을 막기에는 역부족이라는 판단이다. 즉 패시브한 방식!

2세대 - 클라우드 기반 악성코드 대응

1세대 방식보다 좀 더 능동적인 방법으로 진화된 것이 많은 글로벌 대응 업체들이 시도를 하고 있는 클라우드 기반 악성코드 대응 방안이다. 클라우드에는 최신의 악성코드 정보가 들어 있게 되고 만약 클라우드 상에 정보가 없을댄 의심 파일을 클라우드 서버로 전송을 하게 되고 클라우드의 백엔드 상에는 다양한 정적 분석엔진 동적 분석엔진 그리고 전문가들의 수동 분석을 통해서

시그니쳐를 자동 또는 반자동으로 추출을 하게 되는 과정을 거치게 되는 것이다.

1세대 시그니쳐 기반 분석에 비해서는 효과적이지만 파일 자체가 유출될 수 있는 보안상의 문제점이 발생할 수 있는 단점이 발생한다.


안랩의 APT 방어 솔루션인 '안랩 트러스와처'

3세대 - 다차원 악성코드 분석 및 대응

1세대와 2세대의 효율성을 유지하면서 언노운(Unknown) 악성코드를 적극적으로 탐지하기 위해서 사용된 방법이다. APT 공격이 순수하게 언노운 악성코드만이 이루어진 공격이 아니기 때문에 최신 악성코드 정보를 가지고 있는 클라우드 또는 시그니쳐 기반의 로컬 데이터베이스를 적극적으로 활용하는 것이 최신의 트렌드이다.

다차원 분석의 핵심은 바로 평판 기반 분석 방법, 행위 기반 분석 방법, URL/IP 탐지, 연관 관계 분석이다. 

평판 기반 분석 방법은 파일 자체가 언제 최초로 유입됐는지, 얼마나 글로벌하게 퍼져 있는지, 혹은 도메인이 언제 등록됐는지 분석하는 것이다. 행위 기반 분석 방법은 분석 머신 자체에서 악성코드를 실행하고 어떤 OS 상의 행위 변화가 일어나는지 분석하는 방법이다. 

URL/IP 탐지 분석 방법은 단순히 특정 IP에 연결이 됐는지, 특정 URL에 접속이 됐는지를 보는 것이 아니라, 특정 IP 또는 URL에 관련된 도메인들이 어떤 개별적인 악성 스코어링을 가지고 있는지 분석하는 것이다. 연관 관계 분석 방법은 A라는 파일을 분석할 때 해당 파일에 관여하는 시스템 파일들 2차 3차 부가적인 연관 파일들까지도 분석하는 것을 말한다.

동적 컨텐츠 분석 엔진(DICA; Dynamic Intelligent Content Analysis)은 문서, 동영상, 스크립트 등 non-PE 악성코드를 탐지하기 위해 최적화된 악성코드 분석 엔진이다. 문서 파일 형태의 알려지지 않은 (Unknown) 애플리케이션 취약점에 대응하기 용이하며 알려진(Known) 취약점을 이용하는 변종 non-PE 악성코드 탐지에 최적화해 있다.

최신 공격 기법 ROP까지 막아내는 '트러스와처'

한편, 최근 들어 해커들이 많이 이용하는 ROP 기술에 주목할 필요가 있다. 

ROP(Return-Oriented Programming) 공격 기법

운영체제(OS) 메모리 상에 존재하는 정상 코드 조각들을 조합해 악의적인 공격 코드를 실행시키는 방법. 최근 APT 공격에 많이 이용된다.

얼마 전 MS사에서 보안 소프트웨어에 대한 컨테스트(BlueHat Prize)를 열었는데, 1~3등 모두 ROP 관련 기술이 들어가 있었다. MS는 이 컨테스트를 개최한 후에 자체 보안 유틸리티에 ROP 방어 기능을 추가하기도 했다. 거대 기업도 주목하는 기술인 만큼 대비가 필요하다. 

안랩의 APT 방어 솔루션인 '안랩 트러스와처(AhnLab TrusWatcher)'(글로벌 제품명 AhnLab MDS)는 ROP 공격 기법을 사용하는 비실행형 악성코드까지 탐지한다. 단순히 탐지에 그치는 것이 아니라 대응까지도 할 수 있는 제품이다. 즉, 탐지된 악성코드를 다운로드한 PC를 찾아 악성코드를 자동/수동 치료한다. 

또한 트러스와처는 다차원 분석(행위 기반 분석, 동적 컨텐츠 분석) 기술로 알려진(Known) 악성코드는 물론 알려지지 않은(Unknown) 악성코드를 모두 탐지하고, 해당 악성코드는 자동 치료/삭제해 실시간 대응이 가능하다. 악성코드 수집-분석-모니터링-대응까지 이어지는 Full Process를 제공하기 때문에 비즈니스 연속성을 도모할 수 있다. 아울러 단일 장비로 다양한 인터넷 프로토콜을 수용하며 비용 효율성이 높다. Ahn



대학생기자 박규영 / 연세대학교 건축학과

                  



댓글을 달아 주세요

‘3.20 사이버 테러’ 보도의 사실과 다른 부분을 바로잡고자 합니다.

최근 특정 방송사 및 일부 언론에서 보도한 ‘3.20 사이버 테러와 관련하여 사실과 다른 부분이 많아 이를 바로잡고자 합니다. 특히 대중의 이해를 돕기 위해 쉽고 단순화하여 보도하는 과정에서 전문적 내용이 너무 포괄적으로 표현되었습니다. 이런 이유로 방송/금융 등 6개사에 대한 사이버 테러는 각기 다른 경로로 이루어졌음에도 모두 안랩의 책임인 것으로 보도되어 많은 오해를 낳고 있습니다. 이에 안랩은 보안 업계 1위 기업으로서 보안에 대한 불필요한 오해를 풀고 보안업계에 대한 정확한 사실을 알릴 필요가 있다고 판단해 아래와 같이 밝힙니다.  

‘3.20 사이버 테러에는 안랩의 백신이 이용되지 않았습니다.

보도에는 북한 해커들이 이용한 침투 통로는 백신 프로그램이라거나 북한이 백신 프로그램을 역이용한 것이라고 표현했습니다. 또한 사이버 테러에서 악성코드를 실어나른 것이 백신 프로그램이라거나 백신 프로그램을 변조 등의 표현도 있습니다.

그러나 이는 안랩에 해당되지 않는 내용입니다.  ‘3.20 사이버 테러를 당한 6개사가 모두 안랩 제품을 사용하는 것은 아니며, 더구나 백신 프로그램의 변조는 안랩의 경우가 아닙니다. 

안랩의 자산 및 중앙 관리서버(AhnLab Policy Center, APC) 백신이 아닙니다.

‘3.20 사이버 테러에서 이용된 것은 안랩의 백신 프로그램이 아니라 APC 서버입니다. 또한 APC 서버의 취약점이 이용된 것은 농협의 경우에만 해당됩니다.

APC 서버는 기업 내부망에서 백신 프로그램이나 일반 소프트웨어가 최신 버전으로 유지되는지 중앙에서 관리하는 소프트웨어 제품입니다. 이는 V3 같은 백신 프로그램이 아니며, 보안 제품도 아닙니다. 

해당 언론사의 비유를 빌어 이번 해킹 사건 수법을 설명하자면 아래와 같습니다.

어떤 집이 재산을 보호하기 위해 담벼락, 창문, 현관 및 방문 등 각 영역 별로 각기 다른 전문 경비업체(보안회사)와 함께 보안 시스템을 구성 및 운영했습니다. 집 주인은 이러한 보안 수단을 효율적으로 운영하기 위해 노력해야 합니다. (실제로 많은 기업들이 개별 PC 백신을 비롯해, 네트워크 보안, 서버 보안 등 모든 분야에 걸친 종합적인 보안 시스템을 구축하기 위해 노력하고 있습니다.)

어느 날, 집 내부의 재산을 파괴할 목적을 가진 범인이 수개월 전에, 경비업체를 피해 집안에 몰래 감시 카메라를 설치했습니다(APT 공격으로 기업의 PC를 최초 장악. 이 수법은 아직 밝혀지지 않았습니다). 강도는 이후 몇 달 간 집 안을 감시하며 집주인의 생활패턴을 모두 파악한 후 집주인처럼 행세하여 재산을 파괴할 수 있는 방법을 찾아 실행했습니다. , 경비업체가 아닌 집 주인을 가장해 내부로 침입했고, 경비업체는 이를 집 주인으로 여긴 것입니다.

여기서 범인은 합동조사단에 따르면 북한 해커이고, 안랩은 경비업체로 대변되는 보안 솔루션 업체 중 하나입니다. 또한, 최초로 언론사 및 금융사 내부 PC를 감염시킨 수법에 대해서는 아직 밝혀지지 않았습니다. 

이전 농협 관련 보도자료에서 안랩의 제한된 책임 부분은 명확히 밝힌 바 있습니다.

안랩은 3 29, 자체 중간조사결과 보도자료로, 이번 농협 공격에서 악성코드 침입 이후 단계에서 악용된 자사의 자산 및 중앙 관리서버(APC)의 제품 기능상 이슈를 밝히고 사과했습니다. 안랩은 자사 백신이 아닌 APC 서버 기능 오류(bug)를 파악한 상황에서 최초 보도자료를 통해 약속한 대로 일부 책임 발표를 검토 중이었습니다. 또한, 당시 방송/금융사 6개사 전산장애의 숙주인 것처럼 오인 받았던 농협의 요청도 있어 중간조사결과 보도자료를 배포하게 되었습니다.

안랩은 앞으로도 명확한 인과관계에 의해 책임이 밝혀진다면 이를 피하지 않을 것입니다. 

해외 보안업체에서 밝힌 악성코드는 이번 공격에 사용된 MBR/HDD 파괴 악성코드가 아닙니다

해외 백신제품이 이번 공격에 사용된 ‘Kill MBR(안랩 진단명: Win-Trojan/Agent.24576.JPG)’을 미리 진단하고 있었다는 부분은 사실과 다릅니다. 해외 보안업체 공식 블로그에도 진단 날짜는 대부분 3 20일 이후로 나와 있습니다(*URL 참고). 해외 보안업체가 지난해 이미 진단했다고 언급한 악성코드는 이번 공격에 사용된 악성코드와 일부 구조가 유사한 변종이지만, 이번 공격에 사용된MBR을 파괴하는 악성코드는 아닌 것으로 확인됐습니다.

* 관련 URL

- http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~MBRKill-A/detailed-analysis.aspx

- http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=2368933 

안랩은 창립 이래 20년 가까이 우리 사회의 안전한 IT 환경을 위해 사명감과 책임감을 갖고 연구개발을 지속해왔습니다. 또한 고객사의 안전을 최우선으로 노력해 왔으며 책임을 회피한 적이 없습니다. 이번 ‘3.20 사이버 테러 직후 고객정보보호 후속조치를 발표하면서 명확한 조사 결과, 안랩에 귀책사유가 있다면 피하지 않고 책임을 질 것이라고 밝힌 바 있습니다. 그러나 책임은 명확하게 입증된 사실을 전제로 한다는 점을 분명히 하고자 합니다.  

이번 방송/금융사 6개사 전산장애는 전형적인 APT(Advanced Persistent Threat 지능적 지속 공격) 방식의 공격입니다. APT 공격은 국가기관의 철저한 감독과 해당 기업의 다층적인 보안 구축에도 불구하고 완벽하게 막아내기엔 부족한 점이 있습니다. 이런 지능적인 공격을 효과적으로 막고자 보안 업계는 수년 전부터 APT 전용 보안 제품을 개발해왔습니다 그러나 APT 공격은 기술력만으로 막기 어렵습니다. 사용자가 관심을 가질 만한 메일이나 메시지, 웹사이트 등 갖가지 수단(사회공학적 기법)을 이용해 현혹하기 때문입니다. 따라서 사용자의 보안 의식이 무엇보다 중요합니다.  

안랩은 국내 1위 보안기업으로서 생활 속의 보안지식 공유를 통해 다음 주부터 보안에 대한 이해를 도와 자신과 직장의 정보와 재산을 보호하기 위한 보안지식 공유 캠페인을 전개하고자 합니다.

덧붙여 일부 의원이 라디오 방송에서 언급한 안랩이 완전히 털렸다거나 북한의 용병이라는 언급은 사실이 아님을 말씀드립니다.

감사합니다. <Ahn>

댓글을 달아 주세요

  1. 엄용석 2013.04.17 17:36  Address |  Modify / Delete |  Reply

    이 글을 통해 많은분들의 오해가 해소되었으면합니다ㅎㅎ

유령, 대본 감수한 전문가들이 모여 나눈 뒷담화

얼마 전 종영된 드라마 ‘유령’은 많은 화제를 낳았다. 드라마 ‘유령’은 그 동안 드라마에서 전혀 다뤄 본 적 없는 ‘사이버 테러’라는 주제를 통해, 시청자들에게 신선한 충격과 새로운 재미를 선사하였다. 사실 그 동안 ‘사이버 테러’ 공격의 대상은 누구나가 될 수 있지만, 아직까지 이는 대중에게 낯선 주제였다.

유령은 대중에게 ‘사이버 테러’라는 주제를 친숙하게 해 줌과 동시에 ‘사이버 테러’에 대한 경각심 또한 일깨워 주는 소중한 계기가 되었다. 그런데 리가 재미있게 본 드라마 뒤에도 과학적인 지식을 전달하기 위한 많은 이의 노력이 있었다. 생소할 수 있는 주제를 쉽게 전달할 수 있었던 중요한 배후(?)에는 안랩(구 안철수연구소)의 자문단이 있었다. 

그 중 안랩 시큐리티대응센터(ASEC) 이상철 책임연구원과 차민석 책임연구원을 만나 자문 과정과 비하인드 스토리를 들어보았다. 그들은 이 드라마가 국민의 보안의식을 고취하는 데 도움이 되었으면 좋겠다고 말했다.

Q : 드라마에 ‘악성코드’라는 단어가 자주 언급되던데, 우리가 아는 ‘바이러스’와 ‘악성코드’는 어떠한 차이점이 있습니까? 

이 : 쉽게 이야기하면 ‘악성코드’가 ‘바이러스’에 비해 더 넓은 범주라고 이해하시면 될 것 같습니다. 우리가 과거에는 흔히 ‘바이러스’라고 많이 이야기했는데, 최근에는 ‘바이러스’라는 단어대신에 ‘악성코드’라는 단어를 주로 쓰고 있습니다.  

Q : 그렇다면 우리가 사용하는 백신 프로그램은 모든 악성코드를 감별해낼 수 있나요?  

이 : 그건 사실상 어렵습니다. 물론 백신 프로그램이 모든 악성코드를 예방할 수 있다면 좋겠지만, 사실상 백신 프로그램은 사후 치료 기능이 강합니다. 우리가 백신 프로그램을 만들 때에도 최근에 나온 악성코드를 분석해 그에 맞는 해결책을 백신 프로그램에 업데이트해 2차 피해를 막을 수 있도록 노력하는 것이지, 백신 프로그램만으로 모든 악성코드로부터 안전할 수 는 없습니다. 또 악성코드는 하루에도 셀 수 없이 많이 생성되고 있습니다. 그러한 악성코드를 기존에 있는 백신 프로그램만으로 해결할 수는 없습니다. 때문에 저희 안랩에서는, 악성코드가 발견될 때마다 그에 맞는 해결책을 백신 프로그램에 업데이트해 2차 피해를 최소화하기 위해 많은 노력을 하고 있습니다.  

Q: 자문을 하면서 조금 당황스러웠거나, 어려웠던 부분은 무엇입니까?  

이 : 기본적으로 작가들과 저희는 전혀 다른 분야에 종사하는 사람들입니다. ‘악성코드’와 전혀 다른 분야에 종사하고 있는 분을 이해시키는 것은 결코 쉬운 일이 아니었습니다. 저희야 ‘악성코드’에 관한 여러 기초지식과 실무경험이 있지만, 그 분들은 ‘악성코들’를 주로 뉴스나 신문을 통해 접하셨기 때문에 저희에 비해 현실감이 떨어지는 것 역시 사실이었습니다.  

차 : 드라마의 시나리오의 허구성과 실제 현실과의 괴리감을 줄이는 데 조금 어려움을 겪었습니다. 하지만 드라마 작가들의 상상력이 뛰어나 저희는 항상 배운 대로 ‘악성코드’에 접근해 가지만, 작가들의 생각지도 못한 접근 방법은 저에게 ‘아, 이렇게도 접근할 수가 있구나!’하는 신선한 충격을 주었습니다.  

Q : 유령에서 사용된 해킹 방식은 주로 아이피를 외국으로 우회하는 방식인데, 실제도로 이런 방식이 가능합니까?  

이 : 물론 얼마든지 가능합니다. 하지만 우리나라에서 벌어지는 스팸전화나 이메일 자체가 외국에서 전달되는 경우가 많습니다. IP에도 엄연한 국경이 있습니다. 우리가 아무리 IP를 추적한다고 할지라도 외국 조사당국에서 협조해 주지 않는 다면 범인을 잡는 것은 드라마에서처럼 쉽지는 않습니다. 드라마에서는 사이버수사대가 외국IP를 침투경로를 그대로 따라가 범인의 위치를 파악하지만 현실에서는 해커들의 IP를 추적하다 외국의 IP로 밝혀지면 그 이상의 수사는 외국 조사당국의 협조가 아니면 불가능합니다.  

 

차민석 책임연구원(좌)과 이상철 책임연구원(우)

Q : 드라마를 보니까, 어느 고등학생이 압수된 다른 학생의 스마트폰을 사용해서 이메일을 발송하는 장면이 있더라고요. 인터넷 로그 기록과 SNS 사용 내역을 통해 어떤 가해학생이 어떤 기기에서 언제 누가 글을 올린 건지 밝혀내던데, 실제로 가능한 일입니까?  

이 : 당연히 가능합니다. 우리가 포털사이트나 검색엔진에서 무엇을 검색했는지는 우리가 사용하고 있는 컴퓨터에 고스란히 저장됩니다. 또한 SNS를 사용할 경우 우리가 어느 장소에서 어떤 기기를 통해 올렸는지 까지 확인이 가능합니다. 포털사이트에 만일 로그인을 하고 검색을 했다면 당연히, 그 검색기록역시 자신의 아이디 몫으로 저장됩니다. 실제로 이러한 검색내역은 범죄수사에 상당부분 도움이 되는 것으로 알려져 있습니다.  

Q : 유령에서 ‘스턱스넷’을 통해 대한전력을 해킹했는데, 실제로 개인 혹은 조직이 국가산업시설을 해킹하는 것이 가능합니까?  

차 : 가능은 하지만 사실상 불가능에 가깝습니다. 저도 작가가 처음에 ‘스턱스넷’을 아이템으로 가져오셨을 때 조금은 당황했습니다. 현실에서는 불가능한 일이기 때문입니다. 그 이유를 차근차근 설명해 드리면 우선 ‘스턱스넷’은 여러 분야를 걸쳐서 만들어집니다. 그런데 중요한 것은 대한전력을 통제하는 ‘스카다 시스템’은 윈도우 기반 시설이 아닙니다. 때문에 스턱스넷이 ‘스카다 시스템’ 속에서 작동해 ‘대한전력’을 마비 혹은 해킹한다는 것, 그것도 몇 명으로만 구성된 해킹조직으로는 사실상 불가능에 가깝습니다.  

Q : 드라마뿐 아니라 현실에서도 해커가 해킹을 통해 얻고자 하는 것은 개인정보인 것 같습니다. 왜 개인정보의 유출이 이토록 위험한 것인가요? 

이 : 사실 우리 개개인은 유명인사가 아니기 때문에 어느 한 개인을 노리고 해킹을 하는 경우는 드뭅니다. 때문에 주로 개인정보가 유출되는 경로 역시 대형 포털사이트 혹은 통신사 서버와 같은 많은 회원이 가입되어있는 서버의 해킹을 통해 유출됩니다. 이렇게 유출된 개인정보들은 새로운 범죄에 이용될 수 있도록 가공될 수 있습니다. 가령 어느 포털사이트의 해킹을 통해 수 만명의 개인정보, 예를 들어 이름, 주민등록번호, 핸드폰 번호, 주소 이 네 가지만으로도 다른 사이트에 회원가입이 가능하고 또한 각종 스팸 메일, 전화, 문자에 활용할 수 있습니다. 결국 사소한 정보라도 해커들 혹은 범죄자들이 어떻게 가공해서 이용하느냐에 따라 그 가치와 범죄의 무게가 달라질 수 있기 때문에 개인정보의 유출은 상당히 위험한 것입니다.  

Q : 드라마 ‘유령’을 보다보니깐 CCTV에 찍힌 범인의 얼굴을 조작하는 장면이 방영된 적이 있습니다. 실제로 가능한 일입니까?

  차 : 그럼요, 이론적으로 모든 디지털 자료들은 조작이 가능합니다. 물론 실시간 CCTV같은 경우는 아직까지 실시간 조작이 불가능합니다. 하지만 과거에 녹화되었던 자료들은 얼마든지 조작이 가능합니다. 그리고 이러한 디지털 조작역시 어떻게 이용하느냐에 따라 그 위험의 무게가 달라지게 됩니다. 아무리 사소한 정보라도 결국 이용하는 사람의 목적과 의지에 따라 충분히 조작될 수 있고, 무서운 범죄의 도구가 되기도 합니다.  

Q : 드라마에서 ‘사이버 수사대’는 마치 모든 사이버 범죄를 단번에 해결할 수 있는 전지전능한 존재로 표현되어 있습니다. 현실에서도 그럴 수 있나요? 

차 : 아니요, 실제로 새롭게 발견된 악성코드 하나를 분석하는 것만도 복잡할 경우 몇 주씩 걸리는 경우가 많습니다. 하물며 현장에서 발견된 악성코드를 그 자리에서 분석해서 대처한다는 것은 사실상 불가능합니다. 드라마의 캐릭터상 사이버 수사대가 현실을 초월한 능력을 갖고 계신다고 생각하시면 쉽습니다. 앞에서 말씀드린 것과 같이 외국에서 침투해오는 IP는 외국 수사당국의 허가가 없이는 수사가 불가능하기 때문에 아무리 사이버 수사대라고 할지라도 그 역할의 범위는 한정되어 있습니다.  

 

 

Q : 드라마 ‘유령’을 자문하면서 가장 뿌듯했던 점은 무엇입니까?

차 : 저는 개인적으로 그 동안 중요하지만 많이 다루어지지 않았던 ‘사이버 테러’라는 분야를 드라마를 통해 새롭게 국민들에게 그 위험성을 알리고 경각심을 불러일으킬 수 있는 계기가 되어서 상당히 뿌듯함을 느끼고 있습니다. 물론 이러한 관심이 단지 드라마에서만 그치지 않고 많은 분들이 개인정보보호를 더욱 확실히 관리하실 수 있게 되는 계기로까지 이어졌으면 하는 바람입니다. 

이 : 저 역시도 이전에는 다루어지지 않았던 부분에 대해 많은 국민들께서 관심을 갖게 되신 것에 대해 상당한 만족감을 느끼고 있습니다. 또 이런 중요한 일에 저희 안랩이 자문 역할을 할 수 있어서 상당히 기쁩니다. 또한 그 동안 많은 분이 ‘해킹’에 대해 막연히는 알고 있었지만 그 자세한 내용은 알지 못했는데, 드라마 ‘유령’이 ‘해킹’과 ‘사이버 테러’를 시각적으로 국민들이 이해하기 쉽게 표현한 점은 상당히 좋더라고요. Ahn



 

대학생기자 류화영 / 연세대 문헌정보학과

지식의 섬이 크면 클수록 미지의 해안선은 더 길어진다. - John Donne
아는 만큼 모르는 것이 많아지겠지만 더 모르도록 정진하겠습니다.

 


 

대학생기자 성해윤 / 한양대 정보사회학과
사람은 사람을 통해서 배우고 그 안에는 감동이 있습니다. 전국을 돌아다니면서 좋은 경치 구경도 하고 자기 분야에서 정말 성실히 보람찬 삶을 살고 계시는 분들의 이야기를 담고 싶습니다. 지친 일상에 단비와 같은 감동을 주는 다큐멘터리 PD가 되고 싶은 꿈 많은 20대 젊은이입니다.

 


사내기자 박정우 / 안랩 A-퍼스트팀

사람이지만 주로 '개구리'로 많이 알려져 있으며,
재밌고 따뜻한 보안세상을 만들기 위해 연구하고 있습니다.


댓글을 달아 주세요

  1. 펄벅 2012.09.06 20:58  Address |  Modify / Delete |  Reply

    안랩 자문단 및 유령 드라마 관계자 분들 덕분에,
    재밌게 잘 봤습니다~ ^^ (동영상 얼굴 증거 조작 부분들 보면,
    현재의 인터넷/전자/모바일 선거 논란 등들도 좀 겁나던데요.)
    .
    진실이 밝혀져서, 다행이었던 드라마였던 것 같습니다.
    .
    북 국회/군/정부/해킹, 중 보이스피싱 등도 더 비중있었다면,하는 개인적인 바램이.

  2. 인신 2012.09.16 10:56  Address |  Modify / Delete |  Reply

    ㅋㅋ 잼있었음

잇단 개인정보유출, 금융권 해킹 어떻게 막을까

현장속으로/세미나 2011.05.17 05:00

징검다리 휴일이 끼어 있는 5월이다. 우리에게는 간만에 찾아온 단비와 같은 연휴이다. 하지만 , ‘사이버 테러리스트’들에게는 ‘하나의 기회’가 될 수 있다. 감시가 소홀해지는 틈을 타서 ‘사이버 테러’를 일으킬 수 있기 때문이다. 두 달 전 각종 언론 매체와 실시간 검색어에서 ‘사이버 테러’와 관련된 말을 볼 수 있었다.

출처 : http://sweetinside.tistory.com/457

바로 '3.4 DDoS 공격'이다. 공격자는 평일 업무를 마감하고 주말이 시작되기 전인 금요일 저녁에 공격을 계획했다. 하지만, 사전에 그 정황이 포착되자 계획을 바꾸어 오전부터 공격을 감행했다. 이처럼 공격자는 보안 관리가 소홀해질 수 있는 시기를 공격 시점으로 계획한 것이다.
 
‘3.4 DDoS’ 외에도 최근에 고객 개인정보 유출, 금융기관의 보안 사고 등이 잇달아 발생했다. 
3월 16일 대한상공회의소에서는 기업 정보보호 이슈를 논하는 ‘Security Forecast 2011’ 세미나가 열렸다. 다양한 주제 가운데
 최근 핫이슈인 개인정보보호법에 근거해 기업이 갖춰야 할 개인정보보호 문제와, 금융 IT의 현재와 미래 전략 내용을 요약 소개한다.
기업이 갖춰야 할 개인정보보호 수준 -  YOUME 법률사무소 전응준 변호사

3월 11일 국회 본회의에서 ‘개인정보보호법’이 통과됐다. 이 법은 어떠한 인식에서 발의되었는가?

첫째, 2009년 통계 결과 개인정보 침해 사고는 3만 건에 달했다. 하지만, 침해 사고 중 68%는 정보통신망법(이하 망법)에 의한 보호를 받지 못했다. 이처럼 개인정보 침해 사고는 그 동안 법의 사각지대에 놓여 있었다. 둘째, 기존 망법은 컴퓨터에 의해 처리되는 개인정보에 대해서만 효력이 있었다.

9월부터 시행되는 ‘개인정보보호법’은 컴퓨터에 의하여 처리되는 개인정보 외 손으로 기록된 문서(오프라인 영역)를 모두 포함한다. (참고: 정보통신 분야는 개인정보보호법 제정 이후에도 망법을 따른다.)

한편, 개인정보 수집 시에 ‘최소한의 개인정보 수집에 대한 입증 책임은 사업자가 부담한다'는 항목이 있다. 이 항목에 때문에 웹사이트에서 회원 가입 시 동의 절차에서 문제가 생길 수 있다. 보통 동의를 하지 않으면 가입이 안 되는데, 만약 이 문제를 개인이 법적 문제 제기를 할 경우 사업자는 ‘최소한의 정보’라는 것을 증명해야 한다.

또한 ‘개인정보 영향평가’라는 항목이 새로 생겼다. 영향평가를 안 하는 기업은 소니, 현대캐피탈 사태와 같은 개인정보 유출 사고 시에 손해배상 책임 범위가 더 커질 것으로 예상된다. 그리고 이전에는 개인정보 유출 사고 시 기업 혼자 끙끙 앓았다. 그리고 기업 자체적으로 문제를 해결한 다음 없었던 일로 해왔던 것이 관례이다. 하지만, 앞으로는 지체 없이 해당 정보 주체에게 사실을 알려야 한다. 그리고 KISA와 같은 전문 기관에 지체 없이 신고해야 한다. 신고를 안 하고 있다가 피해가 확대되면 담당자가 그 부담을 안게 된다.
 
 
개인정보보호법의 의의
1. 법 적용 사업자 영역 확대 : 개인정보 보호를 업무 프로세스에 적용해야 한다.
2. 개인정보의 보호 범위 확대 : 종이 문서에도 보안, 보호를 해야 한다.
3. 개인 고유 식별 번호 보호 강화 : 주민등록번호와 같은 고유 식별 번호를 사용하지 못 하는 경우도 생길 수 있으므로 기업의 비즈니스 모델도 변화할 것 같다.

개인정보보호법이 시행되면 기업의 사회적 비용이 추가될 것이다. 그러나 개인정보 보안은 전세계적인 트렌드이므로 기업이 꾸준히 잘 대응해서 자사에 맞는 사업 모델, 프로세스를 정립하는 것이 좋다.

금융 IT의 현재와 미래 전략 – 고려대 김인석 교수

- 금융 IT의 현재 -
  
금융 거래 이용 수단을 보면 인터넷 뱅킹은 적정선에서 계속 유지되고 있다. 반면, 모바일 뱅킹은 점점 더 늘어나고 있다. 스마트폰 가입자가 늘어나는 것이 모바일 뱅킹에도 영향을 준 것이다.

사고, 장애 현황을 보면 2009년까지는 ‘노출된 개인정보’를 이용한 사고가 많았다. 그러나 2010년부터는 사고 발생 수는 감소했으나 신용카드 복제 사고, 시스템 마비 등의 새로운 사고가 발생했다. 특히 DDoS 공격 시에는 금융업계에서는 항상 대응을 하고 있어서 큰 문제가 없었다. 이번 3.4 DDoS는 7.7 때와 거의 비슷한 공격이 들어와서 큰 피해가 없었다. 하지만, 큰 피해가 없었던 것이 대응을 잘하는 것이라고 볼 수 있을까? 아니다. 지금과는 다른 형태의 공격이 올 수 있다는 것을 생각해서 방어 대책을 마련해야 된다.

- 금융 IT의 변화-

IT 인프라가 변화하고 있다. 그 중 항상 휴대할 수 있는 개인 디바이스(예: 스마트폰)가 눈에 띄게 발전하고 있다. 이로 인해서 편의성과 효율성이 증대했다. 그리고 NFC(Near Field Communication), IPTV 등 신개념의 거래 수단이 확대되고 있다. NFC를 이용해서 신용카드 결제와, 전자화폐 충전(예: T-Money) 등이 가능하다. 현재 IPTV 뱅킹이 있는데, 이것이 활성화하려면 PC와 Phone이 결합된 스마트폰처럼 PC와 TV가 결합되는 IPTV의 업그레이드가 필요하다.

IT 인프라의 변화에 따라 새로운 위협이 발생할 수 있다. 클라우드 컴퓨팅 환경을 겨냥한 위협, DDoS 등 해킹 공격이 증가할 것이다. 그리고 다양한 거래 채널이 만들어진다는 것은 그만큼 다양한 공격 루트(route)가 생긴다는 것으로 볼 수 있다.

한편, 개인정보보호법이 제정됨에 따라 주민등록번호나 계좌번호와 같은 정보를 암호화해야 한다. 하지만, 무조건 법에서 요구하는 대로 한다면 상당한 비용과 시간이 소요될 것이다. 그러므로 현재 시스템에서 수용 가능한지 봐야 할 것이다. 

출처 : http://thetaekwonvlab.tistory.com/45

- 변화에 대한 대응-
 

금융감독원에서는 기존 인터넷 뱅킹과 유사한 기준을 스마트폰 뱅킹에도 적용하기를 바란다. 하지만, 기존 정책을 그대로 적용하면 새로운 기기의 사용과 발전을 저해할 수 있음을 고려해야 한다.

사용자는 우선 확인되지 않은 무선망을 이용하지 말아야 한다. 불법 무선공유기를 이용하여 비정상적인 서비스 접근을 유도하는 위협이 발생할 수 있기 때문이다. 또한 암호화가 제대로 안 된 무선망도 사용하지 말아야 한다. 스마트폰에서 계좌 정보 같은 중요 정보가 빠져나갈 수 있기 때문이다. 한편, NFC를 이용하면 가져다 대기만 해도 결제가 되는데, 이때 본인 확인을 어떻게 할 것인가가 문제다. 이에 대한 해결책으로는 스마트폰에 지문 인식 기능을 넣는 것이 있다. 지문 인식처럼 생체 정보가 보안에 가장 좋을 것 같다.

계속되는 IT 환경 변화에 신속하지 않으면 경쟁을 할 수 없을 것이다. 그리고 신속한 대응이 없다면 사고 및 장애가 일어나기 마련이다. 이런 사고들은 여러 기관에 치명적인 영향을 줄 수 있다. 이처럼 강화되는 IT 거버넌스(Governance)는 피할 수 없는 현실이다. 그 동안 보안에 대한 계획은 많이 해왔다. 앞으로는 그 계획을 실천해야 하는 중요한 시기라고 생각한다. Ahn

대학생기자 김재기 / 한양대 안산 컴퓨터공학과

해보지도 않고 포기하는 것은 현명하지 않은 일이라고 생각합니다.
타고난 천재가 아닌 이상 처음부터 잘하는 사람은 없겠지요.
새로운 것에 도전하고 항상 노력하는 안철수연구소 대학생기자 김재기입니다.


댓글을 달아 주세요

한일 사이버 전쟁, 놀이인가 범죄인가

‘경인대첩’을 아시나요?

살수대첩, 행주대첩도 아니고 경인대첩이라니? 하지만 ‘경인대첩’은 실제로 일어난 전쟁이다. 바로 2010 3.1 한일 네티즌이 벌인 사이버 전쟁을 일컫는 말. 그리고 이들이 무기로 내세운 것은 인터넷과 키보드. 양국 네티즌의 사소한 장난처럼 보일지 모르지만, 이 사건은 10만 명이 넘는 네티즌이 참여해 MBC 9시 뉴스데스크를 비롯한 각종 언론에 보도될 정도로 관심을 모았다.

▲ MBC 뉴스데스크 보도화면

김연아 심판 매수설? 더는 못참아… 10만 명 모여 사이버 공격


- 발단 : 3.1절 사이버 전쟁의 발단은 2월로 거슬러 올라간다. 2월 중순 러시아에서 한인 유학생이 구타로 사망하는 사건이 일어났다. 일본 사이트 2ch에는 이 사건과 관련해 한국인을 비하하는 글이 올라오기 시작했다. (2ch는 일본의 대표적인 익명 커뮤니티 사이트로 영화 <전차남>의 소재로 사용된 곳이기도 하다.) 이 게시물들이 한국어로 번역되어 퍼지면서 한국 네티즌 사이에서 반일 감정이 높아졌다.

- 전개 : 반일 감정에 본격적으로 불을 붙인 것은 밴쿠버 동계 올림픽 피겨 스케이팅 경기였다. 김연아 선수의 쇼트 프로그램 점수를 놓고 2ch 네티즌은 심판 매수설 등 근거없는 루머를 퍼뜨렸다. 디시인사이드, 특히 ‘화력(네티즌들의 수와 세를 이르는 말)’이 가장 강한 코미디 프로그램 갤러리를 중심으로 한국 네티즌이 반격에 나섰다. 이들은 네이버에 ‘테러 대응 연합 카페’를 개설하고 웃긴대학, 오늘의유머, 엽기혹은진실 등의 커뮤니티에 ‘지원군’을 요청했다.

- 위기, 절정 : 2ch 네티즌이 먼저 공격을 시작했다. 2 28일과 3 1일 오전에 디시인사이드를 공격했으나 큰 피해는 없었다. 이에 닉네임 ‘안관이’를 주축으로 한 소수의 한국 네티즌이 ‘선봉대’로 3 1일 오전 11시경부터 2ch 네임 서버를 공격하기 시작했다. ‘테러대응연합 카페’에서 공격 시각으로 정한 3 1일 오후 1. 한국 네티즌은 F5(웹페이지 새로고침) 키 연타와 각종 프로그램을 이용하여 2ch를 공격했고, 4시간 만인 오후 5시에 모든 서버를 다운시켰다
                      

▲ 3월 1일 오후 5시 닉네임 '안관이'가 올린 게시물. 2ch 서버가 모두 다운됐다.


2ch 네티즌도 사이버 외교사절단 반크(VANK)와 청와대 홈페이지를 공격하기 시작했다. 반크는 라우터 4개 중 2개가 망가지는 피해가 있었으나, 청와대는 잠시 사이트가 느려지는 것 외에 별다른 피해가 없었다. 이 과정에서 상대편 웹사이트에 첩자를 파견하거나, ‘지휘부’가 인터넷 방송으로 지시를 내리는 등 실제 전쟁을 방불케 하는 첩보전이 벌어졌다
                                      

▲ 일본 2ch 네티즌의 공격을 받은 반크(VANK) 홈페이지


-
결말 : 오후 8 43분 일본 측이 공격 중지를 선언하고, 이어 오후 9 38분 한국 측이 승리 선언을 함으로써 사이버 전쟁은 끝이 났다. 다음날인 3 2일까지 양국 네티즌의 공격은 3~4차례 계속되었으나, 우려할 만한 큰 충돌은 없었다. 

총성없는 사이버 전쟁, 어떻게 이루어졌나

 

▲ '7.7 DDoS 대란' 당시의 공격 개요도. 출처 : 한국인터넷진흥원(KISA)


한일 네티즌이 사용한 방식은 분산서비스거부공격(DDoS, Distributed Denial of Service)의 일종이다. DDoS는 다수의 PC에서 대량의 데이터를 동시에 전송하여 정상적인 서비스가 불가능한 상태를 만드는 행위를 말한다. DDoS 하면 작년 7월 초 정부 주요기관 및 각종 포털과 은행 웹사이트를 마비시켰던 이른바 ‘7.7 DDoS 대란’을 떠올리는 독자들이 많을 것이다.  

그러나 한일 네티즌이 사용한 방식은 7.7 DDoS 대란 때와는 조금 다르다. 7.7 DDoS 대란의 원인은 해킹된 웹하드 사이트에서 퍼져나간 악성코드 때문이었다. 이용자들이 모르는 사이에 악성코드에 감염된 좀비 PC들이 동시다발적으로 특정 사이트를 공격한 것이다. 반면 3.1절 한일 사이버 전쟁에서는 10만 여명의 네티즌이 동시에 F5 키를 연타하거나, 공격용 프로그램을 자발적으로 설치, 사용하는 방식으로 DDoS 공격이 이루어졌다.

어쨌든 이겼으면 된 거 아니냐고? 글쎄…


3.1
절에 벌어진 한일 사이버 전쟁은 한국 네티즌의 판정승으로 끝이 났다. 이를 두고 네티즌 사이에서는 “일본 네티즌의 모욕적인 글에 대한 정당한 대응” “통쾌하다”는 긍정적 반응과 “그러라고 있는 삼일절이 아닐 텐데?”라는 부정적 반응이 엇갈렸다 


문제는 한일 사이버 전쟁이 가져온 후폭풍이다. F5를 연타하는 ‘고전적인 방식’ 외에도 한국 네티즌은 UDP Flooder라는 프로그램을 배포하고 사용했다. 이것은 서버 테스트에 사용되는 프로그램. 하지만 이것이 사이트 공격 도구로 변조, 악용된 것이다. 이 외에도 사이트 공격용으로 자체 개발한 프로그램들이 네티즌 사이에 급속도로 퍼졌다. 결국 이용자 신고로 현재 네이버에 개설된 ’테러대응연합‘ 카페는 접근이 제한된 상태다
                                        

▲ 한국 네티즌이 사용한 사이버 테러용 프로그램

사이버 전쟁 당시 2ch가 한국 IP를 차단하자, 한국 네티즌은 미국 서버를 경유하는 방식으로 2ch 공격을 계속 했다. 2ch를 관리하는 미국 IT 기업 PIE(Pacific Internet Exchange)사는 이를 미국 기업에 대한 사이버 테러로 간주하여 FBI 샌프란시스코 지국에 관련 자료를 제출한 상태다. 이들이 추산한 피해액은 250만 달러(한화 약 28억 원)에 이른다.

3.1절 사이버 전쟁에 참가한 네티즌이 실제로 법적 처벌을 받을 가능성은 낮다. PIE사는 공식 발표문에서 “공격을 한 사람들에 대한 보복이 아닌, 이러한 행위가 인터넷 세계에서 다시 일어나지 않기를 바라는” 차원에서 FBI에 자료를 제출했다고 밝혔기 때문이다그러나 경찰청 사이버테러대응센터(NETAN)에 따르면, 사이트 마비를 목적으로 특정 홈페이지를 공격하는 행위는 5년 이하의 징역 또는 5천만원 이하의 벌금형까지도 가능한 명백한 범죄다 

정보통신망이용촉진및정보보호에관한법률(약칭 정보통신망법) [전문개정 2008.6.13]  

48(정보통신망 침해행위 등의 금지)

② 누구든지 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조하거나 그 운용을 방해할 수 있는 프로그램(이하 “악성프로그램”이라 한다)을 전달 또는 유포하여서는 아니 된다.

③ 누구든지 정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애가 발생하게 하여서는 아니 된다.

71(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.

9. 48조제2항을 위반하여 악성프로그램을 전달 또는 유포한 자
10.
48조제3항을 위반하여 정보통신망에 장애가 발생하게 한 자


물론 사이버 전쟁의 빌미를 제공한 일본 2ch 네티즌의 책임도 크다. 피살 유학생이나 김연아 선수에 대한 근거 없는 비방은 한국뿐 아니라 일본에서도 범죄에 해당하기 때문이다. 실제로 3 15 일본 최고재판소는 자신의 홈페이지에 허위 사실을 포함한 내용으로 라면 프랜차이즈 기업을 비방한 남성에게 벌금형을 선고한 바 있다. 최고재판소는 판결문에서 “인터넷을 통한 명예훼손은 다른 매체에 비해 그 피해가 더욱 심각할 수 있다”는 점을 분명히 했다.

2001 3월 일본 역사교과서 왜곡 문제, 2004 1월 독도 영유권 문제, 2005 8월 구글의 동해 표기로 인한 ‘반크(VANK)' 공격 등 한일 사이버 전쟁은 연례행사처럼 반복된다. 2010 3.1절 사이버 전쟁은 끝났지만, 양국 네티즌은 8 15일 광복절에 ‘리턴 매치’를 다짐하는 터라 불씨는 여전히 남아있다. 결국 3.1절 사이버 전쟁은 양국 네티즌 사이의 감정의 골이 얼마나 깊은지를 다시 한번 보여주는 사건인 동시에, 사이버 문화의 성숙이 아직까지 요원함을 단적으로 보여주는 사건이라 할 수 있다. 현실 세계의 명예훼손과 업무방해가 불법이듯, 사이버 공간에서의 명예훼손과 사이버 테러 역시 불법에 해당한다는 인식이 필요하다. 현실에서 나쁜 일은 사이버 공간에서도 나쁜 일이다Ahn

대학생기자 양정민 / 서강대학교 정치외교학과

댓글을 달아 주세요

  1. 라이너스 2010.04.14 08:59  Address |  Modify / Delete |  Reply

    정말 예삿일이 아니네요.
    예전에 책에서 볼떄는 게임처럼 두근두근했지만..
    사실은 범죄죠...^^;
    잘보고갑니다. 날씨가 살짝 춥지만
    그래도 마음만은 따뜻한 봄날되시길^^

  2. 나참;; 2010.04.14 10:52  Address |  Modify / Delete |  Reply

    아니 뜬금없이 한달전 이야기를 지금 이슈화 시키는건 대체;;;;

  3. 쿨캣7 2010.04.14 11:20  Address |  Modify / Delete |  Reply

    헉.. 이 내용 제가 다음 칼럼에 쓰려고했는데... 방향을 좀 달리하거나... 참조에 넣어야겠네요 ~ TT 하긴 3월 1일에 발생한거라 시간 좀 지나긴 했죠...

  4. xenerdo 2010.04.14 11:57  Address |  Modify / Delete |  Reply

    잘 읽고 갑니다.. 어쨌든 양국의 앙금이 해결되서 서로를 사이버 상에서 테러하는 일이 사라졌으면 좋겠네요~~ㅜ,ㅜ

    • 하프물범 2010.04.15 16:34 신고  Address |  Modify / Delete

      기사 읽어주셔서 감사드립니다~ 저도 양국의 앙금이 해결되길 바랍니다만, 역사,외교적인 문제와 복합적으로 얽혀있기 때문에 참 어려운 것 같아요^^;

  5. 지나가던이 2010.04.14 15:22  Address |  Modify / Delete |  Reply

    제가 알고 있는 발생원인이랑은 조금 다른 것 같네요. 처음엔 저도 글쓴 분 처럼 악플 때문에 일어난 거라고 알았는데, 자세히 알아보니 일본쪽에서 그 전에도 선제 공격했고 그에 대응하기 위에 네티즌이 만든게 바로 '정당한 테러대응 카페'였더군요. 이름을 자세히 보시면 알겠지만 일본쪽에서 공격해오는 테러에 '정당하게 대응'하려는 목적이었구요. 그 사이버전이 일어날 당시에도 일본쪽에서 선공격하는 걸 감지해서 그 지휘부만 공격한 걸로 알고 있어요. 그 과정에서 디씨나 다른 커뮤니티가 악플 달린거 때문에 연합해서 도와준 거 라더군요. 어느 얘기가 진실인지는 잘 모르겠지만요. 조금 더 자세히 알아보심이 좋을 듯 싶네요

    • 하프물범 2010.04.15 16:35 신고  Address |  Modify / Delete

      '지나가던이'님, 혹시 이미 지나가버리신건 아니죠?^^; 좋은 댓글 감사합니다. 저도 경인대첩 이전의 상황에 대해서는 정확하게 알지 못했는데 댓글 보고 새롭게 알게 된 면이 있네요~

  6. 사자 2010.04.14 21:15  Address |  Modify / Delete |  Reply

    전 그런 일이 있는 줄도 몰랐네요;

  7. 에이 뭘 그정도 갖고.. 2010.04.14 21:58  Address |  Modify / Delete |  Reply

    예전에도 치고 박고 했습니다.

    이번엔 김연아 선수의 악플로 인해

    서로 투닥투닥 거렸던 디시와 웃대가 연합할 정도에 이르렸죠..

    뭐 어쨋든 아마 8월 15일에 뉴스뜰 확률이 좀 있습니다.

    일본에서 공격해올 확률이 좀 높거든요..

    [전 7월에 입대예정인지라..]

    • 하프물범 2010.04.15 16:38 신고  Address |  Modify / Delete

      기사 본문에도 있듯이 이게 몇년째 계속되고 있는건데, 이번 경인대첩은 유난히 규모가 컸던 것 같아요. 한국 네티즌이 이겨서 그런지(ㅋㅋ) 언론에서 좀 더 주목했던 것 같기도 하고요. 광복절에는 어떤 일이 일어날지 저도 궁금합니다.

  8. 하나뿐인지구도용아닌mbti 2010.04.15 10:20  Address |  Modify / Delete |  Reply

    잘 모르는...개인적인 의견이지만...
    국가별 해킹은...아시아쪽은 중국이 문제죠...일본하고, 한국은 하위(?)쯤? ^^;...
    그리고...우던,좌던,민족주의던...뭐든지, 너무 심하면(탈선하면), 좋지 않은...
    ...
    ps>특히...역사왜곡에, 교과서 왜곡까지...반성은 못 해도, 저렇게까지 막 나가면, 안 되죠~

  9. 잡선생 2010.05.16 13:19  Address |  Modify / Delete |  Reply

    3.1때 참전한 용사(?)입니다...
    광복절에는 2ch쪽에서 먼저 공격하면, 우리가 그걸 이유로 반격할거라고 알고있습니다.
    정당한 이유인가요?

    • 보안세상 2010.05.17 11:13 신고  Address |  Modify / Delete

      방어를 하면 정당 할 것 같습니다. 그 방어가 상대의 무력화이고 그 무력와 방법이 상대와 똑같은 수단이라는 것이 매우 아쉬울 따름입니다. 혹여나 광복절에 2ch이 선공을 해와 반격을 하게 된다면, 반격이라는 표현보다는 방어전이라는 표현을 하는게 더 좋을 것 같습니다. 하지만 그것이 정당성을 담보하느냐에 대해서는 사회적 관점과 개인의 신념 등 논의될 부분이 많은 것 같습니다.

  10. 승리의 디씨인 2010.05.30 10:15  Address |  Modify / Delete |  Reply

    승리의 디씨!!!! 2초는 디씨의 적!

  11. asdf 2010.07.28 14:04  Address |  Modify / Delete |  Reply

    오늘 이 전쟁이 끝난 뒤로는 지금 마시는 술이 너무나도 달콤합니다~
    XD

사이버 테러 당했을 땐 이렇게 대처하라


세계 최고의 IT 국가라고 불리는 대한민국. 이제 인터넷은 우리의 생활이 되어 버렸다. 그러나 우리나라의 고도의 정보통신망의 역기능으로 해킹, 바이러스 유포는 물론이고 전자상거래 사기, 명예훼손 등 다양한 수법의 사이버 범죄가 발생하여 사이버 공간의 안전을 위협하고 있다.

특히, 지난해 나라 전체를 혼란에 빠트렸던 7.7 DDoS 공격으로 우리는 사이버 범죄의 위험성을 경험했다. 그렇다면 우리의 사이버 보안은 누가, 어떻게 책임지고 있는 것일까? 민간 부문의 대표가 안철수연구소라면, 공공 부문의 대표 중 하나는 경찰청
사이버테러대응센터(이하 사이버센터)일 것이다. 협력운영팀 김태균 경감의 친절한 안내에 따라 사이버센터가 어떤 일을 하는지, 사이버 테러를 당했을 때 어떻게 대처하는 게 좋은지 들어보았다.

사이버테러대응센터 김태균 경감


-사이버센터가 하는 일은 무엇입니까?


경찰청은 사이버 공간에서 일어나는 범죄를 크게 사이버 테러형 범죄와 일반 사이버 범죄로 구분합니다. 사이버 테러형 범죄는 해킹, 바이러스 유포와 같이 고도의 기술적인 요소가 포함되는 정보통신망 자체에 대한 공격 행위이며, 일반 사이버 범죄는 사이버 공간을 범죄의 수단으로 하는 전자상거래 사기, 저작권 침해, 명예훼손 같은 것입니다. 그런데 사이버 범죄가 사이버 상에서 멈추는 것이 아니라 현실에까지 영향을 미치니 더 큰 문제가 되는 거죠. 이에 저희 사이버 경찰은 사이버센터를 중심으로 일선 경찰서에 이르기까지 국민이 피부로 느낄 수 있는 치안 서비스를 제공하려고 노력합니다.


사이버센터에는 4개의 부서가 있어요. 민원 상담, 사이버 범죄 분석 및 수사 기획을 담당하는 기획수사팀과, 디지털 증거 분석 및 사이버 수사 비법을 개발하는 기술지원팀, 해킹, 악성코드 범죄 등 주요 사이버 범죄를 수사하는 수사팀, 그리고 제가 속한 협력운영팀입니다. 협력 운영팀은 수사팀을 행정적인 면에서 도움을 주기 위해 국내외 협력 업무를 담당합니다. 국내 협력은 보안 업체 등 사이버와 관련되는 민간 공동 기관과 대외 협력을, 국제 협력은 인터폴과 아시아태평양 지역 국가 사이버 수사기관과의 협력을 말합니다.

-사이버센터는 언제 만들어졌고 몇 명이 관련 일을 하는지요?

사이버센터는 1997년에 5명으로 출발했다. 그 후 인원이 늘어 2000년 7월에 지금의 형태를 갖추었다. 사이버 범죄를 담당하는 인원은 경찰청에만 약 70명, 각 지방 청마다 6~10명, 경찰서마다 최소 2명의 사이버 담당관이 있다. 전국적으로 약 900명에 이른다. 

-사이버수사요원이 되려면 어떻게 해야 하나요?

경찰공무원 특별 채용 제도가 있어 매년 15~30명씩 채용합니다. 채용되면 경장으로 임용되어, 향후 5년 간 서울 등 16개 지방청에 배치, 사이버 수사 분야에 전종하게 됩니다. 채용과 관련된 자세한 사항은 웹사이트(http://www.netan.go.kr)에서 볼 수 있습니다. 

자료 수집을 위해 PC 3대를 놓고 작업하는 김태균 경감


-사이버 테러를 당했을 때 어떻게 신고하면 되나요?


신고 방법은 두 가지에요. 관할 경찰서에 신고하는 것과 인터넷 사이버센터 민원방에서 접수하는 것. 행정 업무 처리상 계정지를 관할하는 경찰서로 사건을 보내게 되어 있어서 경찰청으로 들어오는 신고도 분석해서 계정지를 관할하는 경찰서로 보내게 되죠. 계정지가 없는 명예훼손 같은 경우에는 명예를 훼손한 사람이 사는 관할 구에서 사건을 담당하게 돼요.

-접수되는 신고 중에는 어떤 유형이 가장 많은가요? 최근에는 어떤 범죄 유형이 나타났나요?  


들어오는 사건 중 거의 절반인 47%가 사기에요. 최근의 범죄 유형도 사기인데
, 일단은 사기 중에서도 게임 아이템 사기가 제일 많아 60%정도에 달합니다. 그런데 금년 3월에 아이템 거래 사이트가 청소년 유해 매체물로 고시되어서 게임 거래 사이트를 통해서 아이템을 거래할 수 없게 되어 9월부터는 많이 줄었습니다.

그리고 메신저 피싱이 많은데, 피해를 줄이기 위해 지난해 9월부터 SK커뮤니케이션즈와 협약을 맺어 메신저 피싱을 유도하는 문구가 나타나면 경고문이 나오게 했습니다. 또한 경고 문구 끝 부분에 '신고하기' 메뉴도 있어 바로 신고할 수 있게 했습니다.

 

-기억에 남는 사건은 무엇인가요?

 

대표적 온라인 쇼핑몰 해킹 사건, 수능 시험 문제 유출 사건, 영화 '해운대' 사건, GS칼텍스의 정보 유출 사건 등이 기억에 남네요. 사이버 쪽에서의 시끄러운 사건들은 거의 대부분을 우리가 담당하거든요 


사이버 테러 수사의 국제 공조를 위한 네트워크가 지도에 표시돼 있다.


-사이버 테러에 대응하는 데 애로사항은 무엇인가요?

 

일단은 사이버 피해는 신속하고 광범위하다는 특징이 있습니다. 그런 만큼 우리가 신속하게 대응하지 못하면 증거가 사라지기 때문에 신속이 가장 중요합니다. 또한 급변하는 흐름에 맞춰 분석 기법을 빠르게 개발, 적용해야 합니다. 환경의 변화를 따라잡아야 한다는 것이 사이버 범죄를 다루는 수사관들의 애로사항이겠죠

그리고 DDoS 사건과 같이 큰 사건은 미리 치밀하게 설계를 하여 외국 서버를 거치게 됩니다. 따라서 국제 공조를 하지 않으면 사건을 해결하기가 어렵습니다. 세계 각국 수사기관들이 공조를 중요하게 여기지만, 그럼에도 국제 기준이나 절차, 시간 등의 문제로 많은 어려움이 따릅니다. 실제로는 인적 네트워크를 통해 많은 정보를 얻습니다.


-우리나라만의 사이버 수사 분석 기법을 보유하고 있다고 들었습니다. 이런 기법들을 
타국 수사기관에서 배워가는지 궁금합니다.


미국을 비롯해 영국, 프랑스, 독일까지 선진 4개국과 사이버 수사 협력약정을 체결해 주기적으로 주요 사건 개요 및 수사 기법 등을 공유합니다. 2006년 11월 자부심이 강하기로 유명한 미국 연방수사국(FBI)도 '사이버수사대와 사이버 범죄 수사 및 디지털 증거분석 분야'에서 협력약정(MOU)를 체결했고, 2005년 영국 하이테크범죄대책단(NHTCU), 프랑스 경찰청(OCLCTIC)에 이어 2007년 독일 연방범죄수사청 중대범죄조직국과 협력 약정을 체결했습니다. 

-일반인들의 보안의식이 어느 정도이고, 높이기 위해서 어떻게 해야 할까요?

2008년 모 쇼핑몰 개인정보유출 사건과 2009년 DDoS 공격 사건 이후 보안의식이 높아졌다고 느낍니다. DDoS 공격 때는 자신의 PC가 봇(Bot)에 감염이 되었지만, PC가 조금 느려졌을 뿐 직접적인 피해는 없었습니다. 하지만 마지막 단계에서 하드디스크를 파괴하는 직접적인 피해가 있었기에 보안 및 백신에 대한 의식이 높아졌다고 생각됩니다.

보안의식을 높일 수 있는 방안에는 여러 가지가 있겠지만, 정품 소프트웨어 사용을 부탁하고 싶습니다. 운영체제에서 보안상 취약점이 발견될 경우 개발사에서 제공하는 패치를 적용해야 하는데, 불법 복제품 사용자의 경우 패치를 받을 수 없어, 취약점에 노출되기 쉽습니다. 

-일반인이 사이버 테러를 당했을 때 어떻게 대처하는 게 가장 좋은가요? 

일반인이 당하는 피해는 주로 해커의 경유지로 쓰일 때 발생합니다. 이때의 대처 방법은 사실 매우 간단합니다. 경유지로 이용당한다든지, DDoS 공격에 악용되는 경우에는 더 큰 피해가 발생하지 않도록 인터넷 선을 빼고, 최신 보안 프로그램으로 치료해야 합니다. Ahn


대학생 기자 변종민 / 경기대 산업공학
주변 사람들은 나를 보고 근성가이라 한다. 나 또한 가진 것이 젊음과 근성 하나라고 믿고 있다. 지칠 줄 모르는 도전 정신과 끈기로 미래의 정보보안감사사가 되는 것이 목표인 24살 청년. 목표를 이루기 위해 한 단계, 한 단계 나아가고 있는 그는, 대학생 시절 소중한 경험과 추억을 담아가기 위해 보안세상 대학생 기자로 활동 중이다.

대학생기자 대학생기자 허보미 / 이화여대 국어국문학과

봉긋한 꽃망울, 스쳐지나가는 바람에도 애정 갖기.
세상에 대한 호기심을 간직한 채 글로 소통하길 꿈꾼다.




대학생기자 고정선 / 서울시립대학교 경제학부
어둡다고 불평하기보다는 점차 익숙해지기를 기다려 작은 불빛을 내편으로 만드는 것이 더 낫다.  현재에 상황에 불평하기보다는 현재의 상황을 더 즐기는 방법을 찾는 것을 좋아한다.  좋은 시절의 꿈은 위대하듯 지금의 꿈을 더 크게 하기 위해 열심히 노력 중이다.


 



댓글을 달아 주세요

  1. 하나뿐인지구 2010.02.08 11:34  Address |  Modify / Delete |  Reply

    경찰서...신고하러 갔더니...복잡하던데...
    kt에...도용피해가 있어서...제 명의로 가입 못 하게 해달랬는데...그게 안 된다네요...
    이런 것만 있어도...도용피해 사례는 없을텐데요...
    ...
    ps>월드오브워크래프트하는 사람인지...중꿔인지...나쁘다는...

  2. 2010.02.08 11:39  Address |  Modify / Delete |  Reply

    비밀댓글입니다

  3. 스마일맨 2010.02.08 12:03  Address |  Modify / Delete |  Reply

    당하면...
    여기에 말하면 처리해 주시겠죠? ㅎㅎㅎ
    안당하길 바래야 하는데... ㅜㅜ

  4. 악랄가츠 2010.02.09 01:18  Address |  Modify / Delete |  Reply

    인터넷선부터 당장 뽑아야 되는군요! ㄷㄷㄷ
    후우... 아예 정말 중요한 자료는 인터넷 연결하지 않은,
    컴퓨터에서 작업해야겠네요! >.<

  5. 요시 2010.02.11 20:06  Address |  Modify / Delete |  Reply

    유익한 정보군요! ㅎㅎ