스미싱 주의! 어떻게 예방해야 할까요?

보안라이프 2019. 2. 7. 00:46


여러분은 모르는 택배를 수령하라는 문자를 받았던  있나요?

평상시라면 의심해  만한 문자라도 많은 택배를 받는 연휴에는 의심 없이 메세지와 함께 도착한 주소(URL) 누르곤 합니다.

 다시 찾아온 연휴를 맞이하여 안부 인사, 택배 배송, 선물 교환권 등을 가장한 스미싱 범죄가 기승을 부리고 있습니다.


오늘은 스미싱과 스미싱에 대처할 수 있는 예방법에 대해 알아보도록 하겠습니다.



| 스미싱(Smishing)이란?


스미싱은 SMS(문자메세지) 피싱(Phishing, 개인정보(Private Data)와 낚시(Fishing)의 합성어) 합친 말로, 문자메세지를 이용한 사기 수법을 의미합니다.

신뢰할 만한 인물 또는 기업이 보낸 메세지인 것으로 가장하여 개인정보를 요구하거나 휴대폰 소액 결제를 유도합니다. 문자메세지에 포함된 주소를 클릭할 경우 악성코드가 설치되어 피해자가 모르는 사이에 각종 정보를 탈취하는 수법입니다.

스마트폰 사용자가 증가함에 따라 링크를 통해 apk 파일을 설치하도록 유도하여 휴대폰  정보를 탈취하는 범죄가 증가하고 있습니다.


그렇다면 교묘한 수법의 스미싱은 어떻게 예방해야 할까요?



| 스미싱 예방 수칙

경찰청 사이버안전국에서는 스미싱 피해를 막기 위해 다음과 같은 예방 수칙과 스미싱으로 인한 피해 최소화 방법을 제공하고 있습니다.


1. 출처가 확인되지 않은 문자메세지의 URL 클릭 지양하기

2. 모바일 백신 설치 및 실시간 감시 기능 설정하기

3. 스마트폰 운영 체제 업데이트하기

4. 스마트폰 기본 운영체제 변경하지 않기

5. 스미싱 차단앱 설치하기

6. 비밀번호가 설정되지 않은 무선 공유기(Wifi) 접속하지 않기

7. 어플 설치 시 공식 어플리케이션 마켓 이용하기


또 다른 예방법에는 휴대폰의 소액결제를 완전히 차단하는 방법이 있습니다. 소액결제 스미싱의 경우 클릭과 동시에 결제가 되기 때문에 소액결제를 막아 놓는다면 실수로 주소를 누른다 하더라도 결제가 진행되지 않습니다.


만약 URL 클릭으로 인해 피해를 입었다면 어떻게 대처해야 할까요?



| 스미싱 피해 최소화 방법


1. 휴대폰 제조사 A/S센터에서 휴대폰 공장 초기화하기

2. 악성 어플리케이션 삭제하기

3. 통신사에 소액결제 여부 확인 후 차단하기

4. 개인정보 도용 확인하기


주민번호클린센터(www.eprivacy.go.kr), I-PIN(i-pin.kisa.or.kr), 명의도용방지서비스(www.msafer.or.kr) 등을 이용해 개인정보 도용 여부를 확인할 수 있습니다.



| 안랩이랑 스미싱 피해 예방하기


안랩에서는 백신 어플리케이션 V3 Mobile Security 무료로 제공하고 있습니다. V3를 이용해 URL이 포함된 메세지의 악성 어플리케이션이나 악성코드를 탐지할 수 있습니다.

문자 메세지(SMS/MMS)에 악성 어플리케이션이나 악성코드 다운로드 URL이 포함된 경우 알림을 통해 사용자에게 정보를 제공합니다.



URL/문자 검사 기능을 사용하기 위한 방법은 다음과 같습니다.


1. V3 Mobile Security 어플리케이션 설치 후, 메인화면의 URL/문자 검사 클릭하기

2. URL/문자 검사 사용 활성화하기

3. 스미싱 검사 결과 확인하기


URL/문자 검사 기능을 활성화하는 즉시 검사가 시작되며 스미싱 위협 여부를 알림메세지를 통해 확인할 수 있습니다. 




지속적으로 사용자를 위협하는 스미싱,

다시 한 번 의심해서 개인정보를 지킵시다!





댓글을 달아 주세요

우리의 일상과 보안이 얼마나 친할까?

카테고리 없음 2015. 5. 30. 03:52

우리 일상생활에서 보안은 얼마나 많은 부분을 차지하고 있을까.

 

미국의 한 드라마 CSI 에서는 컴퓨터를 이용한 최첨단 보안 기술을 사용하는 모습을 자주 볼 수 있다. 정말로 드라마에서 보는 기술들이 우리의 생활 속에서 쓰이고 있을까?

미국 드라마 CSI 의 한 장면이다. 출처 : 네이버

우리 생활에서 보안이 얼마나 영향력을 행사하고 있는지 알아보기 위해, 고려대학교 정보보호대학원의 이상진 교수를 찾았다. 그는 현재 정보보호대학원 디지털 포렌식팀에서 활동하고 있다. 우리나라에서 보안 교육으로 역사가 깊은 고려대학교 정보보호대학원을 찾아가 그를 기습 방문했다

 

 

고려대학교 정보보호대학원 이상진 교수

 

 

Q : 디지털 포렌식, 간단하게 설명부탁드립니다.

A : 포렌식이라 하는 것은, 사건이나 사고가 어떤식으로 일어났는지 분석하기 위한 학문 체계를 디지털 포렌식이라 합니다. 예를 들어, CCTV 영상을 분석해보면 촬영된 사람의 행동을 분석할 수 있고, 하드디스크를 복구할 때에도 흔적을 분석해 과거의 내용을 추적할 수 있습니다.

 

 

Q : 그렇다면 우리 일상생활에서 포렌식이 잘 사용된 사례가 있을까요?

A : 미국의 드라마 CSI 가 포렌식 사이언스가 잘 사용된 예라고 할 수 있겠습니다. 국내 드라마에서는 유령이라는 드라마에서 디지털 포렌식이 잘 사용되었다고 할 수 있습니다. 참고로 유령은 3~4회가 지나면 더 재밌어집니다.(웃음)

 

 

Q : 디지털 포렌식은 사이버 수사쪽으로 많이 쓰이겠군요.

A : 사이버 수사대를 제외하고도 우리 일상 생활의 모든 수사부분에서 사용된다고 볼 수 있습니다. 살인 사건에서도 범인의 흔적을 추적할 때에도 쓰이고요, 특히 교통사고에서 블랙박스의 영상을 분석해 내용 복구를 할 때 많이 쓰입니다.

 

 

Q : 우리나라에서 한 때 다수의 은행의 개인정보 문제로 전국이 들썩인 적이 있었습니다.

A : 소프트웨어나 이런 부분에서의 기술적인 차이는 크게 느껴지지 않습니다만, 보안 관리 부분에서 문제가 발생했다고 볼 수 있습니다. 사실 보안 관리만 잘 되어도 많은 부분을 예방할 수 있는데 우리나라는 어떤 보안 제품을 가져와 마치 그것만 있으면 모든 부분에서 방어를 할 수 있는 것처럼 말하거든요. 이런 부분은 사실 잘못된 것입니다. 지속적인 보안 관리에 신경을 써야겠죠.

 

 

Q : 그렇군요. 우리 실생활에 가까운 기술일수록 최첨단의 기술이라고 생각하는데, 보안쪽을 진로로 생각하고 있거나 공부하고 싶은 사람들이 앞으로 공부해야 할 것들이 있다면 어떤 것들이 있을까요?

A : 저의 개인적인 생각으로는, 컴퓨터를 공부하는 사람들이 기술만 공부하고 원초적인 프로그래밍 공부를 안 하는 것이 안타깝습니다. 이론만 배우고 실제로 구현을 해보지 않는 습관도 좋지 않고요. 그리고 컴퓨터 수업이라면 프로그래밍 실습이 같이 포함된 것이 중요하다고 봅니다. 가장 기초가 되는 공부를 게을리하지 말고 매진하는 것이 최선의 방법이라고 봅니다.

 

 

Q : 기본이 중요하다는 말씀이시군요. 프로그래밍만해도 언어가 여러 가지가 있는데 어떤 것들부터 공부를하는 것이 좋을까요?

A : 다 알면 좋습니다(웃음). 정보 보안이기 때문에, 알고리즘이나 자료구조, 데이터베이스 등과 같은 전산의 기본이 되는 과목들과 그 데이터베이스 위에서 프로그램이 어떻게 동작하는 지에 대한 프로세스를 자세히 공부하면 보안 공부하는 것에 대해 도움이 되지 않을까 합니다. 그래야 해커들이 어떤 방법으로 공격을 하더라도 방어를 할 수 있는 기초 체력이 길러지기 때문이죠.

 

 

Q : 교수님은 그러면 처음부터 컴퓨터 공부를 하셨었나요?


A : 아닙니다. 원래는 수학을 공부를 했었다가 중간에 암호학을 공부를 했었지요. 암호에 대한 학문을 공부를 하다가 대학에 와서 학생들을 가르쳤었습니다. 사실 암호학도 포렌식의 일부분이라고 할 수 있습니다.

 

 

 

Q : 교수님의 학창시절이 궁금합니다.

A : 저라고 특별한 대학생활을 보냈겠습니까(웃음). 술도 많이 먹고 공부도 많이 안 했었고 철이 없었죠. 그래도 수학만큼은 열심히 공부했던 것 같습니다. 왜냐하면 수학은 모든 것의 기초가 되는 아주 중요한 학문이거든요. 제가 공부를하다가 89년도에 취업을 했습니다. 그러다가 90년도에 대학에 와서 암호에 관련된 과목을 학생들에게 가르치기 시작했지요.

 

 

Q : 보안에 관련된 일을 하신지 벌써 20년이 넘었는데요, 보안의 흐름에도 변화가 있었습니까?

A : 많은 변화가 있었죠. 그 때는 주로 컴퓨터가 아닌 통신에 치우쳐져 있었습니다. 그러다가 컴퓨터가 많이 보급이 되고 인터넷이 보급이 되면서 사람들이 더 이상 전화선이 아닌 원격으로 통신을 하게 되었죠. 그 과정에서 암호가 중요시되기 시작했습니다. 같은 시기에 역시 인터넷 뱅킹에서도 중요하게 관련 있는 공인인증서가 도입이 되기 시작했습니다. 암호학에 대한 관심이 높아지면서 동시에 어떠한 목적으로 인해 해킹에 대한 관심도 높아졌습니다. 자연히 보안에 대한 관심도 증가했구요. 컴퓨터 시대에서 이제는 점점 스마트 디바이스를 중심으로 모든 연산이 이루어지는 시대로 가고 있다는 생각이 듭니다.

 

Q : 말씀 감사합니다. 마지막으로 다시 한 번 보안에 대한 직업을 꿈꾸는 사람들에게 한 마디 해주시겠습니까?

A : 자신이 잘 아는 것과 잘 모르는 것을 구분할 줄 알고, 잘 모르는 것에 대해서 부끄러워하지 말고 질문을 끊임없이 할 수 있는 사람이 되었으면 합니다. 물어보는 말에 답을 많이 하기보다는 다른 사람에게 끊임없이 질문을 던지는 사람이 될 수 있으면 좋겠습니다. 고맙습니다.

 

이상진 교수는 인터뷰하는 내내 연신 미소를 지으며 대답했다. 마치 그는 자신의 지난 학창시절을 돌아보는 것 같은 듯 보이기도 했고 한 편으로는 진심으로 학생들을 걱정하고 잘 되길 바라는 마음에서 인터뷰에 응하는 것처럼 보이기도 했다.

 

 

댓글을 달아 주세요

대학생 보안인들을 위한 열린 커뮤니티, SUA!


SUA(SecurityPlus Uion Academy)는 전국적인 대학 정보보안 연합 커뮤니티이다. 정보보안에 뜻이 있는 소수의 대학생들 주도 하에 2013년도에 창립되었지만, 2년 사이에 회원 수가 급증하여 현재회원 수는 약 700명이다. SUA는 서울·경기지부, 충청지부, 호남지부, 영남지부로 이루어져 있으며, 주로 지부 별로 활동을 한다. 신생 커뮤니티지만, 빠르게 성장하고 있는 SUA에 대해 좀 더 알아보기 위해 현재 서울·경기지부장인 정효정(서울여대 3학년)을 만났다.


 

 


 

 

Q) SUA 창립계기는 무엇인가요?

정보보안 개념이 생소하다 보니 동아리에 속하지 않은 소규모 그룹이나 개인들은 정보를 얻고, 공부하는 데 있어서 어려움이 있어요. 또한, 기존의 정보보안 동아리나 그룹에서도 정보를 공유할 열린 공간이 부족해서, 이를 보완하고자 동아리가 아닌 누구나 참여 가능한 커뮤니티 형태로 창립하게 되었습니다.

 

 

Q) 회원모집은 어떻게 하나요?

SUA 2학기부터 시작해서 학기별로 회원 모집을 했는데 3기 추가모집을 시작으로 1년 단위로 연초에 회원을 모집하기로 했어요. 공부하는데 뜻이 있어서 오는 학생들을 면접을 본다거나 서류심사를 하진 않아요. 공부하고자 신청하는 학생들을 전부 모집하고, 거기서 활동을 열심히 하는 학생들에게 더 많은 혜택을 주는 식으로 운영하고 있어요.

 

 

Q) 어떤 스터디가 진행되고 있나요?

초심자를 위한 언어, 정보보안개론 등 기초적인 스터디를 비롯해서 CISSP이나 CPPG같은 자격증 스터디, 디지털 포렌식이나 관제실무기초, 모의해킹, 모바일 악성앱 분석 스터디 등을 진행했거나 진행 중에 있습니다. 또한, 시스템 해킹 & 버그헌팅, 네트워크 인프라 보안관리 등의 다양한 스터디들도 진행 예정입니다. 주기적인 스터디 이외에도 멘토님들과 선배님들의 특강도 간간이 진행됩니다.

 

CISSP스터디 모습 (출처 : SUA 공식 페이스북)

 

 

 

Q) 스터디 이외에는 어떤 활동이 있나요?

스터디 이외에 크게 열리는 행사는 컨퍼런스라고 할 수 있을 것 같아요. 저희는 기존의 딱딱한 기술적인 컨퍼런스가 아닌 대학생들만이 할 수 있는 컨퍼런스를 진행하려고 노력합니다. , 스터디를 주 목적으로 하지만 공부뿐만이 아닌 친목도모를 위한 여름 캠프나 오프라인 모임 등 상시 친목도모를 위한 모임을 진행하고 있어요. 노인분들께 스마트폰 및 인터넷 사용법을 알려드리거나 고등학생들에게 스마트폰 보안 교육을 시행하는 등 지식 나눔 봉사활동도 하고요.


 

 

      △ 지식 나눔 봉사활동 모습 (출처 : SUA 공식 페이스북)

 

 

 

Q) 최근에 열린 그린나래 컨퍼런스는 어떤 컨퍼런스였나요?

3월에 서울경기지부 주최로 그린나래라는 컨퍼런스를 진행했어요. 그린나래는 그리듯 아름다운 날개라는 순 우리말인데, 보안업계에서 비상하는 날개를 달아주자는 취지에서 이름을 그린나래로 짓게 되었어요. 그린나래 컨퍼런스는 크게 내부와 외부로 나눌 수 있어요. 외부는 중고 전공서적 플리마켓과 보안관련 게임이 진행되었으며, 내부에서는 멘토 네 분께서 지금까지 어떻게 공부를 해왔고, 사회 초년생으로서 어떻게 대비를 해야 할지를 학생들의 눈높이에 맞춰서 강연을 해주셨답니다. 마지막 세션에서는 패널토의를 진행했습니다  

 

 

Q) SUA를 운영하는데 있어서 어려움이 있다면 무엇인가요?

학생 주도 커뮤니티이다 보니까 운영하는 데 있어서 비용적인 문제가 가장 커요. 콘텐츠 제작, 강사초빙, 강의실 대여 같은 비용이 드는 부분이 가장 큰 난관이고, 아쉬운 점으로 남아있어요. 그래서, 대학교 강의실을 대여한다든가 현직에 계신 멘토님들의 재능기부로 비용적인 부담을 어느정도 덜고 있어요.

 

 

Q) 앞으로의 계획 및 각오 한마디 부탁드려요.

최근 몇 년간 정보보안이라는 분야가 핫 이슈가 되고 있기 때문에 SUA는 정보보안에 관심 있는 학생들에게 도움이 될 거라고 생각되는데요. 지금까지의 운영 경험들을 토대로 더 좋은 컨텐츠들과 스터디, 다른 활동들을 꾸준히 기획할 예정이에요. SUA는 창립 초기이기 때문에 시행착오를 많이 겪고 있지만, 열정, 도전, 나눔, 사랑이라는 설립 신조에 맞춰서 항상 성장할 것이라고 믿어요.

 


 

 △ SUA 서울경기지부장(서울여대 3)

 

 

 

 

대학생 기자 송지연 / 서울여대 정보보호학과

세상에는 단 두가지 법칙만이 존재한다.

첫째, 절대로 포기하지 말것.

둘째, 첫번째 규칙을 절대 잊지 말것.

-듀크 엘링턴-

sjy0525kr@naver.com

댓글을 달아 주세요

추석에 빈집 보안만큼 챙겨야 할 정보보안 3계명

보안라이프/이슈&이슈 2013. 9. 18. 22:04

올해도 어김없이 민족의 명절 추석이 찾아왔다. 많은 사람이 명절을 맞아 고향에 내려가 친지 또는 고향 친구들과 만나 명절을 보낸다. 설이나 추석 같은 긴 연휴에는 대부분 장기간 집을 비우기 때문에 집을 나오기 전 방범에 신경을 많이 쓰게 된다. 특히나 이번 추석 연휴는 휴가를 이용하여 최대 9일 간 황금연휴를 보낼 수 있기 때문에 더욱 신경을 쓸 수밖에 없는데, 이에 따라 많은 사람이 CCTV 설치나 잠금장치 교체, 방범 업체 의뢰 등으로 자신의 집을 지키고 있다.

그렇다면 추석 기간 내 컴퓨터, 스마트폰의 보안에는 문제가 없을까? 다음은 2010년도 월별 해킹 사고 자료이다.

1

2

3

4

5

6

7

8

9

10

11

12

합계

건수

898

1,076

1,053

1,468

1,062

1,160

1,300

1,644

2,183

1,732

1,412

1,307

11,690

위 표에서 볼 수 있듯 명절이 있는 2(), 9(추석)에 피해 건수가 상당히 많다. 추석 기간에 인터넷 사용량이 급증하는 것도 우려되는 부분이다. 대부분 오랜 시간이 걸리는 추석 귀경길을 스마트폰을 이용하여 무료함을 달래는 경우가 많기 때문에 평소보다 인터넷 사용량이 급증한다. 사용량이 늘어나면 그만큼 위험에 노출되기가 쉽다. 

최근에는 스마트폰 유저가 악성코드 설치를 유도하는 문자 메시지로 인해 이른바 스미싱’의 피해를 입는 경우가 늘고 있다. 추석에는 가족, 친지의 안부를 가장한 스미싱이 많이 발생할 것으로 예상된다.

이러한 위험 요소들이 증가함에 따라, 안랩에서도 추석 기간에 지켜야 할 ‘3X3 보안수칙을 내놓았다. 안랩이 제시한 ‘3X3 보안수칙은 추석 연휴에 개인이 많이 이용하는 PC와 스마트폰에 대한 보안 수칙과, 기업의 보안 담당자가 유의해야 할 가장 중요한 수칙을 3가지씩 선정한 것이다. 안랩이 발표한 3X3 보안수칙을 살펴보고 이것을 지켜야 하는 이유를 알아보자.

* PC 보안 3계명  

1. 윈도우 운영체제, 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 SW 등 프로그램의 최신 보안 패치를 모두 적용한다.

운영체제나 브라우저는 최신 버전을 쓰는 것이 소프트웨어 자체가 가진 취약점을 노린 신종 악성코드, 해킹 방지에 적합하다 

2. 백신 프로그램은 반드시 설치하고 항상 최신 버전의 엔진으로 유지한다. 또한 실시간 감시 기능이 항상 작동하도록 설정한다. 안랩의 대표적인 보안 소프트웨어로는 무료백신 V3 Lite, 방화벽과 백신이 통합된 유료 보안 서비스 ‘V3 365 클리닉등이 있다.

컴퓨터의 효율성을 높이기 위해 실시간 감시 기능이나 백신 프로그램 자체를 꺼두는 경우가 있는데, 기술의 발달로 CPU 점유율은 생각보다 높지 않다. 백신은 최신 버전을 사용해야 연휴를 틈탄 신종 악성코드나 바이러스에 대응할 수 있다. 

3. 제목이 자극적이거나 출처가 불분명한 메일에 첨부된 파일은 실행을 자제하고 링크 주소를 클릭하지 않는 것이 안전하다.

업무메일, 이벤트 당첨 메일, 친구 메일을 가장해 악성코드가 담긴 메일을 보내 사용자의 정보를 빼내는 경우가 늘고 있다. 링크를 클릭하거나 담긴 파일을 열자마자 악성 프로그램이 자동으로 설치되어 피해를 자신도 모르게 입는 경우가 많다. 

* 스마트폰 보안 3계명  

1. 앱은 공식 마켓에서 다운로드해 설치하고 공식 마켓에도 악성 앱이 등록되어 있을 수 있어 평판 정보를 반드시 확인한다.

안드로이드 기반 스마트폰용 앱은 구글 플레이에서 다운로드하는데, 사전 검증 없이 앱을 올리는 구조인 탓에 악성 앱이 업로드되는 경우가 많다. 악성 앱의 증가로 구글에서 ‘App checker’‘Bouncer’라는 보안 시스템을 적용했지만, 악성 앱이 올라오는 것을 완전히 막기에는 아직 어려움이 있다. 따라서 앱을 다운로드하기 전에 자료를 올린 사람이 신뢰할 만한 게시자인지, ‘평판은 어떤지 확인하는 것이 좋다.

다른 방법으로는 삼성전자 앱스토어처럼 안랩의 앱 검증 솔루션이 적용되어 게시하기 전 사전 검증을 하는 마켓에서 다운로드하는 방법도 있다 

2. 부득이하게 문자 메시지 등에서 단축 URL을 클릭해 앱을 설치하거나 의심스러운 파일을 다운로드한 경우에는 반드시 최신 버전의 보안 소프트웨어(V3 Mobile 등)로 악성코드 검사를 해야 한다.

앞서 말했듯 문자 메시지를 이용한 스미싱 피해가 늘고 있을 뿐만 아니라 스마트폰을 대상으로 한 사이버 범죄가 전체적으로 증가하고 있기 때문에, 모바일 백신을 설치하고 사용할 땐 늘 켜두는 것이 좋다. 삼성전자, LG전자 같은 국내 브랜드의 스마트폰에는 V3 Mobile이 탑재되어 있지만, 배터리 사용과 CPU 점유율에 대한 걱정으로 인해 켜두지 않는 경우가 많다. 하지만 V3 Mobile은 CPU 점유율이 1%도 되지 않고 배터리에 미치는 영향도 미미하다고 하니 켜두는 것이 좋다.

3. 중요한 개인정보(타 사이트ID, 각종 비밀번호 등) 및 금융 정보(계좌번호, 보안카드 일련번호, 비밀번호 등)는 스마트폰에 저장하지 않는다.

잦은 비밀번호 변경으로 인해 잊어버리기 쉬운 개인정보를 스마트폰에다 메모하는 경우가 많다. 혹시라도 스마트폰이 감염되었을 시에 정보가 유출될 수 있으므로 스마트폰에 금융정보나 개인정보를 보관하는 것은 바람직하지 않다 

* 기업 보안 3계명  

1. 사내 모든 PC및 서버의 OS(운영체제), 응용 소프트웨어의 최신 보안 패치가 적용될 수 있도록 조치를 한다.

이는 PC보안 3계명 중 첫째 항목과 일맥상통하는 부분이다. 특히 정보 유출의 위협이 많은 기업은 이 원칙을 철저히 지켜야 한다 

2. 연휴기간에 서비스하지 않는 시스템의 경우 기업 네트워크로부터 차단될 수 있도록 정책을 변경하고 장기간 사용하지 않는 PC는 전원을 끄고 네트워크에서 분리해 둔다.

가장 안전한 방법은 물리적으로 네트워크와 분리하여 해커들이 기업의 정보에 접근하지 못하도록 막는 것이다. 기업의 보안담당자가 없는 상황에서 쓰지 않는 사내 컴퓨터를 켜둔 채로 놔두는 것은, 해킹(정보유출)에 그대로 노출되는 것이나 마찬가지이다

3. 보안 담당자들은 비상 연락 체계를 구축하고 유관 부서와 공유해야 한다. 보안관제 서비스를 받고 있는 경우는 해당 보안관제 업체의 24시간 상황실 연락망을 공유하고 자체 보안관제 시스템을 운영하는 경우 자체 비상 연락망을 공유한다.

연휴 동안 혹시 있을지 모를 사고에 발 빠르게 대처하기 위해, 기업의 보안 담당자와 보안 업체와의 비상 연락망을 가지고 있는 것이 사고의 피해를 줄이는 데 큰 도움이 된다. 

안랩은 이러한 위험에 대비하여 연휴 기간 동안에도 24시간 근무 체제를 가동한다. 연휴 기간에 보안 사고가 발생하더라도 신속한 해결책을 제공할 수 있도록 단계별 비상대응체제를 가동하여 긴급한 상황이 발생할 경우

트위터[twitter.com/AhnLab_man]

블로그[blog.ahnlab.com/asec, blog.ahnlab.com/ahnlab],

페이스북[www.facebook.com/ahnlabofficial]

과 같은 다양한 채널로 신속하게 실시간 경보를 울릴 계획이라고 한다. Ahn

 

대학생기자 황윤준 / 홍익대학교 영어교육과

인생은 속도가 아니라 방향이다.

조급해하지 말자.

 

 

댓글을 달아 주세요

[보안 바로 알기 캠페인] #5 : 인터넷 뱅킹 보안 위협

보안라이프/이슈&이슈 2013. 8. 19. 17:55

예전에 제가 초등학교로 명칭이 바뀌기 전인 국민학교시절에 선생님께서 이런 말씀을 하셨습니다. ‘이제 곧 물도 사먹는 시대가 올 거다.’ 이 말을 들은 -저를 포함한-당시 어린이들은 놀라지 않았습니다. 안 믿었거든요. 하지만 요즘은 생수 브랜드만 해도 수십 개나 있는 세상이 되었습니다.

와 비슷하게 인터넷이 퍼지기 시작한 시절, TV프로그램에서 인터넷으로만 1주일(한 달이었나요?)살아보기 프로그램을 했던 것으로 기억합니다.여기서 인터넷으로 피자를 시키고, 마트에서 장을 보니 배달까지 해주는 등 당시로서는 획기적인패턴에 방송 진행자도 놀랐던 기억이 납니다.하지만 지금은 누구나 쉽게 인터넷으로 물품 구매는 물론 은행업무까지 보는 세상이 되었죠.

 

안랩의 보안 바로알기(Know the security)캠페인의 다섯 번째 이야기는 어쩌면 지금까지 주제 중 우리 생활에 가장 밀접한 주제일 수 있는 인터넷뱅킹 보안위협 바로알기입니다.인터넷 뱅킹 이용자 8,000만명이 돌파한 요즘,아래 몇가지 이야기를 통해 인터넷뱅킹 보안위협에 대한 이해를 높여서더 안전하고 편리한 온라인 생활을 누리시면 좋겠습니다.

 

금융기관이 침해당해 내 돈이 빠져나간다?

현재까지 알려진 바로는 금융기관 침해로 인해 개인 사용자의 금전이 빠져나간 사례는 없습니다. 통계적으로 볼 때, 우리나라 기관들 중에서 보안에 가장 많이 투자하고 관심을 쏟는 곳이 금융업계라는 것은 사실입니다. 다만 이는 상대적인 규모이고, 이에 더해 아직 보안에 대한 더 많은 고민(금액의 문제가 아니라, 운영 및 인식의 문제입니다)이 필요한 것은 사실입니다.

 

사실, 쉬운 돈을 만지고 싶어하는 공격자가 대형 은행에 직접 침투해서 돈을 빼내오기란 쉬운 일이 아닙니다.그래서 해커들은 조금 더 수월한 개인 PC를 노립니다.여기서 개인 PC란 기업에서 직원이 사용하고 있는 PC도 포함되는 개념입니다(어차피 비슷한 공이 든다면 개인 보다 기업이 인터넷 뱅킹을 이용하는 금액이 훨씬 크니까요).

 

, 모든 수단을 동원해 개인(기업 내 개인 포함)의 금융정보를 빼내가려 한다는 것입니다 .먼저, 해커는피싱메일, SNSURL, P2P사이트, 악성코드를 포함한 문서, 배너광고,프로그램의 보안 취약점 등 광범위한 수단을 통해 악성코드를 감염시킵니다. 일단 악성코드가 침투하면,이후엔 금융정보를 채가기 위한 모든 시도를 합니다.예를들어, 키보드로 입력되는 정보를 빼내기 위해 이를 탈취하는 키로거를 설치합니다.화면캡처가 필요하면 화면캡처를 합니다.만약 목표 개인(기업 내 개인 포함)이 사용하는 주거래 은행이 보안카드를 사용한다면 보안카드 정보를 빼내기 위해 자신이 만든 가짜 사이트로 유도하는 악성코드를 심습니다.가끔 이거저거 다 필요없이 보이스 피싱도 합니다.

 

여기에 최근에는 개인 사용자의 PC에 침투해서,감염된 PC로 특정 은행 사이트를 방문할 시,보안을 위해 자동으로 구동되는 키보드 보안솔루션, 공인인증서 등 보안모듈의 메모리를 해킹(수정)해개인의 금융 정보를 유출하는 악성코드도 국내에서 발견되었습니다.,사용자는 정상 은행사이트를 이용하는 과정에서 자기도 모르게 금융정보를 탈취당하는 것입니다.

 

해외 모 기업의 경우 재무 담당직원이 피싱메일에 속아 인터넷뱅킹 접속용 OTP정보를 포함한 로그인 정보가 모두 해커에게 유출되었고, 55만달러가 해커에 의해 해외로 송금되는 결과가 발생했습니다.지루한 법원 공방 끝에 법원은 은행의 책임으로 판단했지만,이는 기업과 은행이 모두 해커에게 속아 넘어간 예시가 되었습니다.물론, 기업과 은행 모두 기업 이미지 실추를 피할 수 없었습니다.

 

이렇게 공격자들은 은행의 시스템을 직접 노리기 보다,개인의 PC에 악성코드를 감염시키는 것을 공격의 첫 행위로 삼고 있습니다.이것은 보안 사고가 개인의 잘못이라는 뜻이 아니라 명백한 현대 보안의 트렌드입니다.

 

여기에도 보안 종결론이 등장?

일전에 저희 보안 바로알기 세 번째 주제가 보안 종결론이었습니다.특정 솔루션을 사용한다면, 혹은 이것을 사용하지 않는다면 은행보안 사고가 대부분 없어질 것이라는 주장입니다.

 

하지만 나름 자신들의 생계가 달린 문제여서일까요?아쉽게도 악성코드 제작자들은 그 정도에 굴하지 않습니다. 예를 들어,다양한 보안 솔루션을 사용하는 다양한 국가에서도 인터넷뱅킹 사고는 지속적으로 발생하고 있습니다.최근 중동에서 500억원 규모의 해킹 및 현금 불법인출 사건이 있었고,미국안티피싱 워킹그룹과 가트너에 따르면 미국 내 2010년 인터넷 뱅킹사고 금액은 기업피해만10억 달러(13백억)로 추정된다고 발표했습니다.일본의 경우도 2007년에 19천만 엔(22억원)을 기록한 후 현재는 소폭 감소추세에 있다고 합니다.

 

이렇게 기업 자율이든,공공기관 주도이든, 각기 다른 인증체제와 보안 정책을 사용하든아니든,는 모든 나라에서 인터넷뱅킹 보안위협은 계속 되고 있습니다.다시한번 강조하자면 악성코드를 이용해 개인 PC로 침입한 후 금융정보를 훔쳐가거나, 해킹을 시도하는 것이 현대 보안의 트렌드입니다.그리고 악성코드 제작자는 침투를 위해 특정 솔루션만 이용하는 것이 아니라, 피싱메일, 악성 URL, 소프트웨어 취약점,웹하드 등의 P2P 사이트, 악성코드를 포함한 문서, 배너광고, 프로그램의 보안 취약점 등 침투할 수 있는 모든 수단을 사용합니다.

 

 

어떻게 막을 수 있나?

그러면, 인터넷뱅킹 보안위협은 어차피 막을 수 없는 것일까요?저희가 이 캠페인을 시작한 시점에 말씀 드렸지만, 완벽한 보안은 없습니다.다만 보안의 취약한 부분(hole)을줄여나가면서 새로운 취약점이 발견되면 최대한 빨리 보완하고 대응하기 위한 노력이 계속 진행될 뿐입니다. 이런 보안의 취약점을 줄이기 위해서는 어느 한 곳만 노력해서는 되지 않습니다.

 

먼저 금융 및 공공기관에서는 현재 보안위협의 트렌드를 이해하고 올바른 정책을 실행해나가는 것이 필요합니다. 특히, 시스템에 보안을 맞추는 것이 아니라, 보안에 시스템을 맞추는 외국의 노력을 본받을 필요가 있습니다.예를 들어, 예전에는 아무리 혁신적이고 믿을 수 있었던 솔루션이라도 만약 악성코드 전파에 많이 이용된다면 이를 수정해 나갈 필요가 있습니다.

 

또한, 보안 솔루션을 도입한 것으로 그치지 말고,이를 적절히 운영할 수 있는 전문 보안인력을 육성하는 것이 필수적입니다. 기관 내에서 지속적으로 임직원 보안 교육을 실시하는 것은 두말 할 것도 없습니다.

 

개인의 경우엔, 어쩌면 듣기 힘든 말일 수도 있습니다만, 한번 자신에게나는 보안을 위해 어느 정도의 불편함을 감수할 수 있을까?”라는 질문을 해보는 것이 시작이 될 수 있습니다. 해외의 모 은행에서는 보안 및 다른 이유로 이체 한도 금액을 매우 축소하거나, 이체 날짜가 3-5일 걸리는 경우도 있습니다(실시간 이체는 수수료가 매우 높습니다).

 

또한, 사전에 이체 계좌를 등록해야 하고, 새로운 이체계좌를 등록할 때마다 계약서를 작성하는 경우도 있습니다. 인터넷 뱅킹 로그인 시에 본인인증을 위해 2-3개의 절차를 거치기도 합니다. 보안과 편리함은 서로 주고 받는 관계라는 인식을 바탕으로 나온 정책일 것입니다.

 

효율성과 편의성을 추구하는 성향이 강한 우리나라에서 이렇게 한다면 얼마나 많은 사람들이 이런 불편함을 기꺼이 감수할 수 있을까요? 개인 PC를 최초 시작점으로 노리는 현대의 보안 트렌드에서 사고의 책임이 개인 혹은 기관 어느 곳에 100%있다고 하기엔 어렵습니다. 기관의 경우엔 보안위협의 트렌드를 이해하고 준비하는 자세가 필요하고, 개인의 경우엔 조금 불편하더라도1) 송신자가 불분명한 수상한 메일의 첨부파일 및 링크 클릭을 자제하거나 2)소프트웨어 업체가 제공하는 보안패치 설치, 3)백신 업데이트 최신 버전 유지 4)사내에서 개인적인 인터넷 사용 자제등 기본적인 보안 수칙만 지켜도 대부분의 보안 위협은 막을 수 있습니다

 

또한, 이렇게만 하면 만사 해결이라는 식의 보안 종결론에 휘둘려서는 안됩니다. 만약 우리가 불의의 피해자가 되었을 때, 그 종결론을 주장하신 분들이 책임져주지 않습니다. 보안 위협은 어떤 시스템, 어떤 환경에서도 반드시 존재하며, 알려진 보안 위협을 막으면 또 다른 지금까지 알려지지 않은 보안 위협이 우리를 기다리고 있습니다. 보안은 함께 고민하고 노력해야 할 우리 모두의 몫입니다. <Ahn>

 


댓글을 달아 주세요

보안전문가 되려면 어느 대학 어느 학과 가야 하나

보안라이프/이슈&이슈 2013. 5. 6. 08:29

지난 320일 6개 방송사와 금융사가 해킹 공격을 받았다. 내부 시스템이 파괴되고 전산망이 마비되면서 기업들은 많은 금전적 피해를 입었고, 시민들은 일상생활의 불편함을 겪고, 정보 누출에 대한 불안감에 몸을 떨 수밖에 없었다. 단 한 번의 보안사고로도 커다란 사회적 손실을 야기할 수 있는 두 업계가 공격받았다는 사실은 우리에게 일상생활에서 보안이 얼마나 중요한 것인지를 다시 한번 몸소 깨닫게 해 주었고 이러한 사이버 공격을 차단하기 위해 모두가 힘써야 한다는 사실을 상기시켜주었다. 

사방에서 날아오는 화살로부터 우리의 몸을 보호할 수 있는 가장 훌륭한 도구는 방패이다. 마찬가지로, 사이버 공격을 막기 위한 가장 실질적이고 효과적인 수단은 온라인 상에서 든든한 방패가 되어줄 수 있는 정보보호전문가를 양성하여 사이버 공격을 최소화하고 더 나아가 이러한 사이버 범죄를 미리 예방하는 것이라고 할 수 있다. 대학들은 최근 이러한 경향에 따라 보안학과를 신설하여 정보보호전문가 양성에 앞장서고 있다. 보안 관련 학과들은 어떠한 특징을 가지고 있을까?

 

 (정보보호 및 보안학과를 개설한 대학들)

서울여대 정보보호학과의 설립연도에 오류가 있습니다. <기존>으로 정정하겠습니다.


(보안학과의 커리큘럼표)

위 커리큘럼은 서울에 위치한 모 4년제 대학 보안학과의 커리큘럼이며 다른 학교의 커리큘럼도 위와 크게 다르지 않다. 프로그래밍, 네트워크 보안, 시스템 관리 이렇게 세 부분으로 크게 구분하여 1학년 때는 범학문적인 교양들과 프로그래밍의 기초를 배우고, 2~3학년이 되면 심화이론 및 프로그래밍 지식을 쌓는다. 4학년이 되면 실습 및 평가 분석을 통해 3년 간 배워 온 전공지식을 실질적으로 적용하고 확인할 시간을 갖게 된다이렇듯 체계적이고 실용적인 커리큘럼으로 실전 업무에 바로 투입될 수 있는 인재 양성에 각고의 노력을 기울이고 있다.  

많은 정보보호 학과가 기업들과 산학협력을 맺어 인턴십 프로그램을 운영한다. 이를 통해 학생은 실무지식과 사회 경험을 쌓을 수 있다. 특히 남성은 자신의 전공을 살린 IT 특기병으로 군복무를 할 수 있다. 고려대학교 사이버 국방학과의 경우 학과를 졸업함과 동시에 보안장교로 군복무를 이행할 수 있다. 또한, 현재 보안전문가는 그 수요에 비해 공급이 턱없이 부족하기 때문에 비교적 손쉽게 자신의 전공을 활용할 수 있는 기업에 취업할 수 있다. 전공 분야가 그대로 적용되기 때문에 적응 기간이 매우 짧다는 장점도 있다. 

일상생활에서의 컴퓨터 사용이 보편화되면서 사회 모든 분야에서 보안 인력을 필요로 하고 특히 기업의 경우 내부 기밀이 새어나가게 되면 기업의 본질인 이윤 추구에 심각한 영향을 끼칠 수 있다. 그렇기에 보안의 이론과 실무 그리고 보안 정책 능력을 갖추어 전산망을 안전하게 보호할 수 있는 보호 전문가에 대한 수요가 크게 늘고 있으며, 우리나라뿐 아니라 전세계적으로도 증가하는 추세이다. 

전문성을 갖춘 보안 인력이 많이 양성되면 인터넷 환경의 안전성과 신뢰성이 더 높아질 것이다. 또한 정보보호 산업이 발전하고 국가의 산업 경쟁력이 높아지는 한편, 국가 안보까지 강화할 수 있다. 따라서 대학에서 보안학과를 개설하고 보안 전문가를 육성하는 것은 IT 강국인 대한민국이 나아가야 할 올바른 지향점이라고 할 수 있다. Ahn


  대학생기자 엄용석 / 고려대 화학과

  타인과 지식을 공유하는 기쁨을 온라인 상에서 느껴보고 싶은 대학생기자

댓글을 달아 주세요

  1. 유희만 2013.05.06 09:53  Address |  Modify / Delete |  Reply

    보안학과가 정말 많이 생겼네요~!!

데프콘 점령 꿈꾸는 경기대 보안 동아리 K.knock

K.knock는 2009년도에 학생들의 손으로 창립해 현재 경기대 침해사고대응팀(CERT)으로 활동하는 정보보안 동아리이다. 동아리 이름인 <K.knock>은 경기대학교라는 큰 틀에 모인 학생들이 정보보안 분야를 '두드린다'는 뜻에서 만들어진 이름이다. 

그 이름에 걸맞게 정보보안에 관심 있는 44명의 다양한 학과, 전공을 가진 구성원이 활발하게 활동하고 있다.

경기대 정보보호 동아리 K.knock 회원들

K.knock이 주로 하는 일은 웹, 시스템, 네트워크 보안, 리버스 엔지니어링, 크립토그래피(Cryptograghy) 등의 해킹기술 연구를 비롯해 코드게이트, 데프콘, HUST 해킹 페스티벌 등의 해킹대회 참여, 경기대학교 침해사고대응팀(CERT)으로서 모의해킹, 관련 분야 스터디까지 다양하다. 이뿐 아니라 지도교수인 컴퓨터과학과 김희열 교수의 지원 아래 정기적으로 보안 세미나를 진행한다.  


K.knock의 화려한 수상 이력

2009년 동아리 창단 이래로 다양한 수상이력이 눈에 띈다. 그 중 작년 11월 서울교육문화회관에서 개최된 여성 해커들을 위한 해킹 대회 ‘Power of XX’ 금상의 성적이다. 제 7회 국제 해킹·보안 컨퍼런스 POC2012 이벤트의 하나로 진행되었던 이 대회는 여성 해커가 실력이 낮다는 오해와 선입견을 없애고, 여성 해커 양성의 초석을 다지기 위해 마련된 대회이다. 대부분 학교에 보안동아리라 하면 공과계열이니 남자들이 많을 것이다, 실력은 남자들이 좋을 것이다라는 선입견을 가지고 있다. 하지만 이러한 수상 이력을 보면 경기대학교 정보보안 동아리가 어떤 동아리인지 짐작할 수 있다.


#인터뷰 - K.knock 리더 김낙현

- 개인적으로 동아리 안에서 가장 뿌듯하다고 느꼈을 때

코드게이트 대회 기간 중에 정말 안 풀리는 문제가 있었는데 동아리원끼리 머리를 모아 서로의 부족한 점을 보안해 문제를 풀었을 때가 정말 뿌듯했다. 개개인으로서는 절대 풀 수 없었지만 동아리라서 가능했던 일인 것 같다.

- 동아리를 하면서 기억에 남는 에피소드

2012년 여름에 K.knock에서 안랩을 견학할 기회가 있어서 7~8명 정도가 방문했던 게 생각난다. 회사에 한 번도 들어가본 적이 없는 나로서는 정말 신기한 경험이었다. 먼저 우리를 안내해주시는 분이 정말 친절했다. 그분의 성함은 기억이 나지 않지만 DDoS 공격 때 힘들게 밤샘 작업을 한 분이라는 것은 기억이 난다. 기억에 남는 것은 친절한 사람들뿐 아니라 회사 시설에도 있었는데 회사로 들어갈 때 사원증이 있어야만 열리는 문과 안마의자, 복도에 있는 축구 게임기, 회사 2층에 있는 커피숍과 회사 내부에 헬스장이 있는 게 정말 신기했고 무엇보다도 직원들의 이름이 나무 나이테 형식으로 새겨진 통 유리벽이 가장 인상 깊었다.

- 일반 동아리원에서 동아리 회장까지

2008년 내가 입학했을 때는 경기대학교에 보안 동아리는 없었다. 하지만 군대 전역을 하고 전공 수업을 듣다가 경기대학교에 보안동아리 K.knock이 있다는 것을 알게 되었다. 1학년 때부터 보안에 관심을 가지고 있던 나는 좋은 기회라고 생각하고 아무것도 모른 상태에서 단지 열정 하나만 가지고 동아리에 들어왔다. 그렇게 1년 동안 열심히 하다보니 회장의 중책까지 맡게 되었다. 동아리 활동을 하면서 열정 하나만 가지고 있다면 어떤 시련과 고난이 있어도 극복할 수 있고 재미있을 수 있다고 생각한다.

- 앞으로의 계획

동아리가 만들어진 지는 얼마 되지 않았지만 더욱 더 많은 활동으로 여러 분야에서 두각을 보이며 각종 대회, 특히 데프콘에서 입상하는 것이다. Ahn


대학생기자 김대희 /  경기대 컴퓨터과학과

   

댓글을 달아 주세요

역동적 에너지 가진 서울여대 보안 동아리

SWING은 1996년 당시 전산과학과 20명의 학생과 김명주 교수가 함께 만든 정보보호 동아리이다. 처음에는 인터넷 동아리로 출발하였지만, 인터넷이 대중화함에 따라 특화할 필요성이 있어 보안을 테마로 잡고 본격적인 SWING 활동을 시작하였다.




SWING(Seoul Women's university InterNet&security Group)의 약자이며 단어의 뜻처럼 '역동적인 에너지'를 가지고 정보보호 공부를 하겠다는 의미이다. 현재 32명이 활동 중이며 19년의 전통을 가진 만큼 졸업생 또한 많은 분야로 진출해 있다. 


SWING은 KUCIS(전국대학 보안동아리 연합회)와 U.U.U(전국대학 CERT 연합회)에도 가입해 활동 중이다. 또한 한국정보보호진흥원 주관 정보보호우수동아리 장려상(2010년), 한국인터넷진흥원 주최 제5회 SW 취약점 찾기 대회 우수상(2011년), 2010~2012년 우수소학회 선정 등 많은 수상 이력을 자랑한다.


다양한 세미나와 외부활동으로 크게 이름을 알리고 있는 SWING을 만나러 갔다. 도착한 때는 매주 화요일에 열리는 정기 회의와 세미나 시간. 조용히 사진 촬영을 한 후 회장과 대화를 나눌 수 있었다. 이 날은 웹 보안과 C언어 등을 공부하고, 코딩과 취약점 분석 등을 실제로 해보는 등의 스터디를 하고 있었다. 


SWING의 세미나 모습

 


요즘 하는 스터디 내용과 운영 방식은?

지금까지는 기수 별 스터디로 학기 중과 방학 중 주제를 정하여 운영해 왔지만, 이번 2013년 1학기부터는 1,2,3학년이 모두 모여 진행을 해요. 매주 화요일은 C언어 기초, 수요일은 Web, 목요일은 C언어 심화 내용의 스터디를 진행하고 홈페이지 게시판을 이용해 최신 보안 뉴스를 스크랩하는 스터디도 운영을 하고 있어요. 그 외에도 지금 기수인 19기는  KUCIS의 프로젝트를 진행 중이며, U.U.U의 하반기 프로젝트 또한 진행할 예정이에요.



△ SWING의 세미나 모습


여대 정보보호 동아리의 장점과 단점은? 

먼저, 장점으로는 아무래도 여자로만 이루어져 있다보니 섬세함과 꼼꼼함에서 좀 더 큰 메리트가 있는것 같아요. 보안 분야에서는 섬세함과 꼼꼼함을 요구하는 경우가 많은데, 예를 들어 정보보호관리체계(ISMS) 인증 심사원, 정보보호관리체계 범위 설정, 수립 등에서 큰 장점을 발휘하는 것 같아요. 하지만, 아무래도 남자 멤버가 없다보니 알고리즘 구현과 같은 프로그래밍 업무에서 다른 동아리나 남자 학우들에 비해 이해 속도가 느려 시간이 많이 걸리는 편이에요.


매년 학회 신입생 모집을 위해 일주일 간 아침 8시에 교육을 한다는데 어떤 교육이고 이 교육에서 신입생에게 바라는 점은?

지금까진 국제웹 보안 표준기구인 OWASP가 발표하는 웹 애플리케이션 보안 10대 취약점에 관한 내용을 발표하였지만, 이번부터는 정보보안에 관한 전반적인 내용과 보안 공부 Tip에 관한 내용을 교육을 했어요. 또한 작년 안랩 시큐리티 웨이브 2012 네트워크 분야 문제 풀이도 진행을 했고요. 아무래도 신입생 대상이다보니 다소 어려운 주제를 다루는 OWASP의 취약점보다는 흥미를 느낄 수 있는 해킹대회 문제 풀이 위주로 진행을 하고 있어요. 이런 교육을 통해 새내기는 흥미를 갖고 동아리에 가입하여 여러 대회에 같이 참여를 하면 좋겠어요.


△ SWING 19기 회장 최은영


다양한 학교와 연합 활동의 진행 방식은?

현재는 KISA(한국인터넷진흥원) 지원 정보보호동아리 연합  KUCIS, 학내망 보안을 위한 대학 CERT연합(U.U.U)에 가입하여 활동해요. 또한, 대학 보안 동아리 자체의 힘으로 개최하는 정보보안 컨퍼런스 Incognito에서 활동해요. 먼저, KUCIS는 서울/경기/강원/영남/호남 권역 세미나와 온라인 캠페인 등을 진행하고 U.U.U는 상반기/하반기 2번의 세미나와 오프라인 모임 등 다양한 활동을 해요. 작년에는 U.U.U에서 사용자 선택 암호 알고리즘 앱을 만들어서 발표했어요. 하지만, 암호화한 후 복호화를 구현하지 못 해서 많은 아쉬움이 남았는데, 이번 발표에서는 아쉬움이 남지 않게 최선을 다할 생각이에요! 또한, 추후 다른 학교와 연합 스터디를 만들어 여러 분야 많은 학우들과 교류를 할 생각이에요.


장기 계획 및 앞으로의 각오는?

SW 취약점 찾기 대회나 Power of XX (여성해커대회) 등 다양한 대회가 매년 개최되는데, 이런 대회에 출전하여 좋은 성적을 거두는 것이 목표예요. 또한, 이번 하반기 U.U.U 세미나에서 발표할 주제를 준비할 예정이고요. 현재는 악성코드 분석과 탐지 툴이 목표이지만 아직 정해지지 않았네요. 각오라면, 선배들이 꾸려놓은 SWING에 애착을 갖고 좀더 발전하는 동아리로 만들고 싶어요. 그리고 현재 하는 활동 외에도 많은 대외 활동으로 SWING을 많은 곳에 알리고 싶습니다!


정보보호 전문가를 꿈꾸는 청소년에게 해줄 말은?

먼저, 중고생 정보보호 올림피아드 대회, 청소년 해킹대회, 안랩 V스쿨 등에서 많은 경험을 해보셨으면 좋겠어요. 그리고 프로그래밍 언어까지 공부하면 더 좋겠죠? 하지만, 너무 컴퓨터에만 열중하지 말고 여러 친구들을 사귀고 청소년으로서 누릴 수 있는 경험을 많이 해보는 걸 추천해요. 대학생 되면 항상 청소년 시절을 그리워하게 되니까요. 정보보호 전문가를 꿈꾸는 청소년이 미래에 정보보호 업무에서 큰 몫을 하기를 진심으로 바랍니다^^!


△ 서울여대 정보보호 동아리 SWING


직접 만나본 SWING 동아리원들은 공부만 하는 이미지가 아닌 매우 활동적이고 에너지가 넘치는 동아리였다. 20대의 열정과 패기를 간직한 SWING의 발전과 동아리원들의 꿈이 이루어지기를 진심으로 바란다. Ahn



대학생기자 박서진 / 서울여대 정보보호학과

통(通)하지 않으면 통(痛)한다. <동의보감>

여러분과 통(通)하는 안랩인이 되겠습니다 :)




대학생기자 유희만 / 수원대 컴퓨터학과

The achievement of one goal should be the starting point of another.
(목표의 성취는 또 다른 목표의 출발점이 되어야 한다.)
- 알렉산더 그레이엄 벨 -

현재에 안주하지 않고 항상 색다른! 목표를 향해!                  

댓글을 달아 주세요

개인 정보 유출 사고의 재발을 막으려면

현장속으로/세미나 2013. 4. 3. 07:00

지난 3월 26일, 서울 교육문화회관 가야금홀에서는 전국 공공기관, 기업체, 보안전문가 등을 대상으로 하는 개인정보보호 컨퍼런스(G-PRIVACY 2013)가 열렸다. 

행사는 오전 9시부터 오후 5시 30분까지 이어졌으며, 이 중 KeyNote 3 은 소만사의 최일훈 부사장이 발표한 “최근 판례로 보는 개인정보유출사고 재발방지기능 소개”였다. 보안전문가가 아닌 일반 대학생이, 그것도 보안과는 다소 거리가 먼 전공을 공부하고 있는 내가 듣기에는 다소 어렵고 생소한 내용들이 있었으나, 구체적인 사례를 통해 기업이 어떠한 대응책을 마련해야 하는지를 살펴볼 수 있었던 유익한 발표였다.

2년 전 모 포탈에서 일어난 개인정보유출 사고 관련 법원 판결을 소개한 뒤, 각 기관에서 어떠한 방식으로 개인정보유출사고를 방지할 수 있을지를 이야기했다. 다음은 주요 내용.


*2년 전 모 포탈의 개인정보유출사고에 대한 위자료 배상 판결! WHY?

지난 2011년 7월, 모 포탈사이트가 가지고 있던 3,500만명의 개인정보가 유출되는 사고가 발생했다. 그리고 2년이 지난 2013년 2월, 법원은 집단소송을 건 원고 2800명에게 피고(모 포탈)는 각각 20만원씩 배상하라는 판결을 내렸다. 

이는, 해킹으로 인한 개인정보유출에 대하여 법원이 최초로 배상판결을 내린 사건이라는 점에서 큰 의의를 가진다. 특히 개인정보유출로 인한 정신적 피해나, 제 3자의 도용으로 인한 추가적 피해 등을 재판부가 인정한 것으로 사용자 정보를 보유한 여러 기관에 경종을 울리는 중요한 판결이라고 볼 수 있다.

그렇다면 어떠한 근거로 이러한 배상 판결이 이루어진 것일까? 법원은, 피고(모 포탈)가 선량한 관리자로서 기술적 관리적 보호조치 의무를 다하지 못 한 것으로 판단하였다. DB 관리자가 DB 접속 후 로그인한 상태로 퇴근하여 심야시간에 개인정보를 조회할 수 있도록 방치한 것, 대량의 개인정보를 파일로 생성한 것에 대한 이상징후를 탐지하지 못한 것, 개인정보의 외부유출을 모니터링하거나 통제하지 못한 것 등은 정보통신망법의 몇 개 항목을 어겼기에 피고(모 포탈)에게 책임을 묻게 된 것이다.


*기존의 DLP(Data Loss Prevention, 정보 유출 방지 기술)

이러한 판례를 통해 보았듯이, 각 기관의 보안 담당자들이 가져야 할 책임이 존재하고, 개인정보를 보호하기 위한 대책이 선행되어야 한다. 사실, 이를 위해 DLP(Data Loss Prevention, 정보 유출 방지) 기술이 존재하는데, 크게 4가지로 볼 수 있다.

- Discovery : 어디에 누가 어떤 정보를 가지고 있는지 파악하고, 적절한 조치(암호화, 삭제)를 하는 것 (ex: PC)

- Network DLP : 네트워크를 통해 유출되는 정보를 모니터링하고 차단하는 것

- Endpoint DLP : 단말의 외부 인터페이스를 통해 유출되는 정보를 모니터링하고 차단하는 것 (ex: 매체제어, USB/외장하드)

- DB DLP : DB상의 정보가 유출되는 것을 모니터링하고 차단하는 것


*DLP 개념의 확장이 필요하다!

그렇지만, 기존의 DLP 기술로는 제대로 된 정보 보호를 할 수 없다. 단지 기술에 의존하는 것이 아니라, 보안 관리자가 직접 모니터링하고 통제하면서 개인정보 보호를 위해 최선을 다해야 한다. 특히 기존의 DLP 범위를 뛰어넘어 더욱 넓은 범위로 확장해야만 한다.

Discovery 영역에서는, 누가 어떤 정보를 가지고 있는지 파악하고 조치를 할 때, PC에만 초점을 맞추는 것이 아니라 서버나 데이터베이스, 모바일 등으로 범위를 확장할 필요가 있다. 특히 최근에는 모바일 영역에서 정보 유출에 대한 기술이 아직까지 부족하기 때문에, 각 기관에서는 이에 유념할 필요가 있겠다.

또한, 메일이나 게시판, 웹하드나 각종 App 등의 네트워크를 통해 유출되는 정보를 잘 감시해야 하며, USB나 외장하드 뿐만 아니라 프린트를 통해 정보가 새나가는 것을 주의해야 한다. 특히 프린트물을 통한 개인정보 유출을 막기 위하여, 출력자 이름/일시가 워터마크되어 출력되는 기술적 보완이 필요하며, 개인정보를 출력하는 사람의 정보를 저장하고, 혹 필요 이상의 정보를 출력한다고 여겨질 때에는 차단하는 시스템이 필요하다.

최일훈 부사장의 말에 따르면, 해커의 공격은 이제 불특정 다수를 향하는 것이 아니라, 특정 집단이나 기관을 노리고 이루어진다. 그만큼 각 기관에서는 개인정보 유출을 막기 위한 ‘전쟁’을 더욱 치열하게 해야 한다. 그렇지만, 이를 단지 보안전문가의 몫으로만 돌릴 수는 없다. 우리 모두가 개인정보를 보호하기 위해 노력해야 개인정보유출사고의 재발을 막을 수 있지 않을까. Ahn


대학생기자 김지수 /  서울대 사회교육과,경영학과

댓글을 달아 주세요

기업 내부 정보 유출 단속하는 보안 기술

현장속으로/세미나 2013. 3. 30. 07:00

지난 3월 7일, Network Security Vision 2013 세미나&전시가 열렸다. 세미나는 국내외 보안 업체들이 차세대 보안 로드맵을 제시하고, 보안 구축 방법과 업체의 솔루션을 소개하는 구성으로 짜여져 있었다. 보안 솔루션을 필요로 하는 업체는 보안 솔루션에 대한 정보와 신뢰를 얻어가는 시간이 되었으리라 생각한다. 대학생 입장에서는 보안 기술의 트렌드를 읽고, 보안 시장을 체험 할 수 있는 특별한 기회였다.

실무자를 대상으로 한 세미나였기에 발표 내용의 난이도가 높지 않을까 걱정스러웠다. 그러나 생소할 수 있는 용어는 한 번 더 짚어서 설명해 주었고, 관련된 시각자료를 충분히 보여주어 발표 내용을 이해하는데 큰 어려움은 없었다.

첫 발표였던 김홍선 안랩 대표이사는 '패러다임 변화와 차세대 보안전략'을 주제로 기업 보안의 현재와 미래, 2013 보안 트렌드 및 전략 로드맵을 다루며 세미나의 문을 열었다. 이후의 발표 내용들을 어우르는 굵직한 틀을 잡아주어, 다른 발표를 수월히 이해하는 데 많은 도움이 되었다. 전시는 보안 업체의 솔루션을 소개 및 체험하는 것이었으며, 세미나 진행 동안 전시 관람도 진행되었다.

오후에는 '클라이언트 가상화 기반의 정보보호' 발표를 들어보았다.


[클라이언트 가상화 기반의 정보보호]

-미라지웍스의 김해룡 상무

문제 인식: 보안 사고에 따른 업무 환경 전체를 감싸는 솔루션의 필요성


개인정보 유출과 기업정보 유출, 사이버 공격의 증가까지 합세하여 보안 사고 사례가 늘고 있는 실정이다. 최근 2년 간의 개인정보 유출 건수는 6,325만 여건에 달하고, 2012년 방통위의 통계 자료에 따르면 전 국민이 1회 이상 개인정보를 유출당했다.

이렇게 보안 사고의 피해 사례와 범위가 확대됨에 따라, 정부는 개인정보보호법과 정보 통신망법으로 대응하였다. 법적 강화를 통해 보안의 수준을 높이고자 한 것이다. 정보통신망법을 살펴보면 '개인정보 처리 시스템에 접속하는 개인정보 취급자 컴퓨터 등에 대한 외부 인터넷망 차단'이라는 항목이 있다. 업무 환경의 망 분리 대한 필요성을 강조한 것이다.

보안 업계는 사내 업무용 문서를 암호화하고, 외부 장치와 환경을 통제하고, SBC 환경을 구축하는 방식으로 보안 체계를 구축했다. 그러나 이러한 전통적 보안 방식은 업무환경의 일부만이 보호되는 포인트 보안 솔루션이다. 업무환경 전체를 보호하기에는 역부족인 것이다. 따라서 업무 환경 전체를 감싸는 차단 및 격리 솔루션이 필요하다.


해결책 제시: '클라이언트 가상화 기반'으로 하나의 PC를 둘로 쪼개서 쓰기


<Local Desktop / Virtual Desktop>

로컬 데스크탑 / 가상 데스크탑으로 나누어 업무환경을 분리하고 완벽하게 차단한다. 따라서 전체적인 업무환경이 보호된다. 분리되는 것은 파일 시스템, 서비스, 메모리, 프로세스이며, 공유되는 것은 OS와 커널이다.

로컬 PC에서는 클라이언트 기반 워크스페이스를 암호화한 이미지 파일로 인식한다. 예를 들어 1TB의 하드 디스크라면, 500GB 정도를 클라이언트 가상화를 위한 용량으로 잡아두고 사용하게 된다. 이 이미지 파일의 유출을 대비한 보호도 되어있다. 여기서 제시될 수 있는 의문점은 '하드 디스크 내부에서는 가상 데스크탑의 데이터가 어떤 방식으로 분리되는가?' 이다. 

<SandBox>

테두리를 경계로 안에서 모래놀이를 할 수 있는 공간을 샌드박스라 한다. 샌드박스의 테두리는 가상영역, 테두리 안의 모래는 가상 데스크탑의 자료라고 볼 수 있다. 이 가상영역의 데이터는 가상영역 밖으로 빠져나가지 못 한다. 가두리 양식장 안의 물고기가 빠져 나가지 못 하는 것과 비슷한 개념이다.

샌드박스 기반 가상화 기술을 이용하면, 가상 데스크탑의 데이터는 로컬 PC와의 원천적인 격리가 가능해진다. 샌드박스 기술로 구현한 것이 클라이언트 가상화이며, 클라이언트 가상화는 하나의 PC를 두 대처럼 나누어 사용할 수 있는 것을 뜻한다.

<SBC vs CBC>

전통적 보안 방식에서 언급되었던 SBC(Server Based Computing: 서버 기반 데스크탑 가상화)는 가상 머신을 띄워서 가상화하는 것으로 서버망, 네트워크, 스토리지 구축에서 여러 제약 사항을 갖는다. 반면 CBC(Client Based Comeputiog: 클라이언트 기반 워크스페이스 가상화)는 OS와 커널의 공유 외에 파일 시스템, 서비스, 메모리, 프로세스를 완벽히 분리 및 차단하는 기술이다.

<장점>

클라이언트 기상화는 워크스페이스를 분리하여 보안 수준을 높이고, 한 대의 PC만으로 2개의 워크스페이스를 사용함으로써 업무 생산성을 증대하며, 비용을 절감하는 친환경 IT 솔루션이라는 장점을 가진다.


보안 사고는 외부의 침입뿐 아니라 내부에서의 반출 또한 원인이 되므로 업무 환경 자체를 보안의 대상으로 볼 필요가 있다. 따라서 업무환경을 분리하여 관리하는 것은 포괄적이면서도 깔끔한 해결책이라고 생각된다.

한 대의 PC를 두 대의 PC처럼 쓸 수 있다는 점은 기업의 보안 측면에서뿐 아니라 일반 유저에게도 매력적인 장점이다. 좋은 보안 기술에 태클을 거는 것 같지만, 한 가지 우려가 생긴다. 지키는 데 뛰어난 제품은 감추는 데에도 뛰어날 것이라 생각되기 때문이다. 따라서 '도덕적 해이'를 불러 일으키지 못 할 선에서의 유용성을 기대하는 바이다.

이번 세미나와 전시는 다양한 보안 이슈와 함께 솔루션을 체험하며, 보안에 대한 시야를 개인에서 기업으로 넓힐 수 있게 된 좋은 기회였다. Ahn


 대학생기자 이혜림 / 세종대 컴퓨터공학과

나를 바로 세우고, 타인을 존중하는 삶.

오늘도 새겨봅니다.


댓글을 달아 주세요