스미싱 주의! 어떻게 예방해야 할까요?

보안라이프 2019.02.07 00:46


여러분은 모르는 택배를 수령하라는 문자를 받았던  있나요?

평상시라면 의심해  만한 문자라도 많은 택배를 받는 연휴에는 의심 없이 메세지와 함께 도착한 주소(URL) 누르곤 합니다.

 다시 찾아온 연휴를 맞이하여 안부 인사, 택배 배송, 선물 교환권 등을 가장한 스미싱 범죄가 기승을 부리고 있습니다.


오늘은 스미싱과 스미싱에 대처할 수 있는 예방법에 대해 알아보도록 하겠습니다.



| 스미싱(Smishing)이란?


스미싱은 SMS(문자메세지) 피싱(Phishing, 개인정보(Private Data)와 낚시(Fishing)의 합성어) 합친 말로, 문자메세지를 이용한 사기 수법을 의미합니다.

신뢰할 만한 인물 또는 기업이 보낸 메세지인 것으로 가장하여 개인정보를 요구하거나 휴대폰 소액 결제를 유도합니다. 문자메세지에 포함된 주소를 클릭할 경우 악성코드가 설치되어 피해자가 모르는 사이에 각종 정보를 탈취하는 수법입니다.

스마트폰 사용자가 증가함에 따라 링크를 통해 apk 파일을 설치하도록 유도하여 휴대폰  정보를 탈취하는 범죄가 증가하고 있습니다.


그렇다면 교묘한 수법의 스미싱은 어떻게 예방해야 할까요?



| 스미싱 예방 수칙

경찰청 사이버안전국에서는 스미싱 피해를 막기 위해 다음과 같은 예방 수칙과 스미싱으로 인한 피해 최소화 방법을 제공하고 있습니다.


1. 출처가 확인되지 않은 문자메세지의 URL 클릭 지양하기

2. 모바일 백신 설치 및 실시간 감시 기능 설정하기

3. 스마트폰 운영 체제 업데이트하기

4. 스마트폰 기본 운영체제 변경하지 않기

5. 스미싱 차단앱 설치하기

6. 비밀번호가 설정되지 않은 무선 공유기(Wifi) 접속하지 않기

7. 어플 설치 시 공식 어플리케이션 마켓 이용하기


또 다른 예방법에는 휴대폰의 소액결제를 완전히 차단하는 방법이 있습니다. 소액결제 스미싱의 경우 클릭과 동시에 결제가 되기 때문에 소액결제를 막아 놓는다면 실수로 주소를 누른다 하더라도 결제가 진행되지 않습니다.


만약 URL 클릭으로 인해 피해를 입었다면 어떻게 대처해야 할까요?



| 스미싱 피해 최소화 방법


1. 휴대폰 제조사 A/S센터에서 휴대폰 공장 초기화하기

2. 악성 어플리케이션 삭제하기

3. 통신사에 소액결제 여부 확인 후 차단하기

4. 개인정보 도용 확인하기


주민번호클린센터(www.eprivacy.go.kr), I-PIN(i-pin.kisa.or.kr), 명의도용방지서비스(www.msafer.or.kr) 등을 이용해 개인정보 도용 여부를 확인할 수 있습니다.



| 안랩이랑 스미싱 피해 예방하기


안랩에서는 백신 어플리케이션 V3 Mobile Security 무료로 제공하고 있습니다. V3를 이용해 URL이 포함된 메세지의 악성 어플리케이션이나 악성코드를 탐지할 수 있습니다.

문자 메세지(SMS/MMS)에 악성 어플리케이션이나 악성코드 다운로드 URL이 포함된 경우 알림을 통해 사용자에게 정보를 제공합니다.



URL/문자 검사 기능을 사용하기 위한 방법은 다음과 같습니다.


1. V3 Mobile Security 어플리케이션 설치 후, 메인화면의 URL/문자 검사 클릭하기

2. URL/문자 검사 사용 활성화하기

3. 스미싱 검사 결과 확인하기


URL/문자 검사 기능을 활성화하는 즉시 검사가 시작되며 스미싱 위협 여부를 알림메세지를 통해 확인할 수 있습니다. 




지속적으로 사용자를 위협하는 스미싱,

다시 한 번 의심해서 개인정보를 지킵시다!





댓글을 달아 주세요

우리의 일상과 보안이 얼마나 친할까?

카테고리 없음 2015.05.30 03:52

우리 일상생활에서 보안은 얼마나 많은 부분을 차지하고 있을까.

 

미국의 한 드라마 CSI 에서는 컴퓨터를 이용한 최첨단 보안 기술을 사용하는 모습을 자주 볼 수 있다. 정말로 드라마에서 보는 기술들이 우리의 생활 속에서 쓰이고 있을까?

미국 드라마 CSI 의 한 장면이다. 출처 : 네이버

우리 생활에서 보안이 얼마나 영향력을 행사하고 있는지 알아보기 위해, 고려대학교 정보보호대학원의 이상진 교수를 찾았다. 그는 현재 정보보호대학원 디지털 포렌식팀에서 활동하고 있다. 우리나라에서 보안 교육으로 역사가 깊은 고려대학교 정보보호대학원을 찾아가 그를 기습 방문했다

 

 

고려대학교 정보보호대학원 이상진 교수

 

 

Q : 디지털 포렌식, 간단하게 설명부탁드립니다.

A : 포렌식이라 하는 것은, 사건이나 사고가 어떤식으로 일어났는지 분석하기 위한 학문 체계를 디지털 포렌식이라 합니다. 예를 들어, CCTV 영상을 분석해보면 촬영된 사람의 행동을 분석할 수 있고, 하드디스크를 복구할 때에도 흔적을 분석해 과거의 내용을 추적할 수 있습니다.

 

 

Q : 그렇다면 우리 일상생활에서 포렌식이 잘 사용된 사례가 있을까요?

A : 미국의 드라마 CSI 가 포렌식 사이언스가 잘 사용된 예라고 할 수 있겠습니다. 국내 드라마에서는 유령이라는 드라마에서 디지털 포렌식이 잘 사용되었다고 할 수 있습니다. 참고로 유령은 3~4회가 지나면 더 재밌어집니다.(웃음)

 

 

Q : 디지털 포렌식은 사이버 수사쪽으로 많이 쓰이겠군요.

A : 사이버 수사대를 제외하고도 우리 일상 생활의 모든 수사부분에서 사용된다고 볼 수 있습니다. 살인 사건에서도 범인의 흔적을 추적할 때에도 쓰이고요, 특히 교통사고에서 블랙박스의 영상을 분석해 내용 복구를 할 때 많이 쓰입니다.

 

 

Q : 우리나라에서 한 때 다수의 은행의 개인정보 문제로 전국이 들썩인 적이 있었습니다.

A : 소프트웨어나 이런 부분에서의 기술적인 차이는 크게 느껴지지 않습니다만, 보안 관리 부분에서 문제가 발생했다고 볼 수 있습니다. 사실 보안 관리만 잘 되어도 많은 부분을 예방할 수 있는데 우리나라는 어떤 보안 제품을 가져와 마치 그것만 있으면 모든 부분에서 방어를 할 수 있는 것처럼 말하거든요. 이런 부분은 사실 잘못된 것입니다. 지속적인 보안 관리에 신경을 써야겠죠.

 

 

Q : 그렇군요. 우리 실생활에 가까운 기술일수록 최첨단의 기술이라고 생각하는데, 보안쪽을 진로로 생각하고 있거나 공부하고 싶은 사람들이 앞으로 공부해야 할 것들이 있다면 어떤 것들이 있을까요?

A : 저의 개인적인 생각으로는, 컴퓨터를 공부하는 사람들이 기술만 공부하고 원초적인 프로그래밍 공부를 안 하는 것이 안타깝습니다. 이론만 배우고 실제로 구현을 해보지 않는 습관도 좋지 않고요. 그리고 컴퓨터 수업이라면 프로그래밍 실습이 같이 포함된 것이 중요하다고 봅니다. 가장 기초가 되는 공부를 게을리하지 말고 매진하는 것이 최선의 방법이라고 봅니다.

 

 

Q : 기본이 중요하다는 말씀이시군요. 프로그래밍만해도 언어가 여러 가지가 있는데 어떤 것들부터 공부를하는 것이 좋을까요?

A : 다 알면 좋습니다(웃음). 정보 보안이기 때문에, 알고리즘이나 자료구조, 데이터베이스 등과 같은 전산의 기본이 되는 과목들과 그 데이터베이스 위에서 프로그램이 어떻게 동작하는 지에 대한 프로세스를 자세히 공부하면 보안 공부하는 것에 대해 도움이 되지 않을까 합니다. 그래야 해커들이 어떤 방법으로 공격을 하더라도 방어를 할 수 있는 기초 체력이 길러지기 때문이죠.

 

 

Q : 교수님은 그러면 처음부터 컴퓨터 공부를 하셨었나요?


A : 아닙니다. 원래는 수학을 공부를 했었다가 중간에 암호학을 공부를 했었지요. 암호에 대한 학문을 공부를 하다가 대학에 와서 학생들을 가르쳤었습니다. 사실 암호학도 포렌식의 일부분이라고 할 수 있습니다.

 

 

 

Q : 교수님의 학창시절이 궁금합니다.

A : 저라고 특별한 대학생활을 보냈겠습니까(웃음). 술도 많이 먹고 공부도 많이 안 했었고 철이 없었죠. 그래도 수학만큼은 열심히 공부했던 것 같습니다. 왜냐하면 수학은 모든 것의 기초가 되는 아주 중요한 학문이거든요. 제가 공부를하다가 89년도에 취업을 했습니다. 그러다가 90년도에 대학에 와서 암호에 관련된 과목을 학생들에게 가르치기 시작했지요.

 

 

Q : 보안에 관련된 일을 하신지 벌써 20년이 넘었는데요, 보안의 흐름에도 변화가 있었습니까?

A : 많은 변화가 있었죠. 그 때는 주로 컴퓨터가 아닌 통신에 치우쳐져 있었습니다. 그러다가 컴퓨터가 많이 보급이 되고 인터넷이 보급이 되면서 사람들이 더 이상 전화선이 아닌 원격으로 통신을 하게 되었죠. 그 과정에서 암호가 중요시되기 시작했습니다. 같은 시기에 역시 인터넷 뱅킹에서도 중요하게 관련 있는 공인인증서가 도입이 되기 시작했습니다. 암호학에 대한 관심이 높아지면서 동시에 어떠한 목적으로 인해 해킹에 대한 관심도 높아졌습니다. 자연히 보안에 대한 관심도 증가했구요. 컴퓨터 시대에서 이제는 점점 스마트 디바이스를 중심으로 모든 연산이 이루어지는 시대로 가고 있다는 생각이 듭니다.

 

Q : 말씀 감사합니다. 마지막으로 다시 한 번 보안에 대한 직업을 꿈꾸는 사람들에게 한 마디 해주시겠습니까?

A : 자신이 잘 아는 것과 잘 모르는 것을 구분할 줄 알고, 잘 모르는 것에 대해서 부끄러워하지 말고 질문을 끊임없이 할 수 있는 사람이 되었으면 합니다. 물어보는 말에 답을 많이 하기보다는 다른 사람에게 끊임없이 질문을 던지는 사람이 될 수 있으면 좋겠습니다. 고맙습니다.

 

이상진 교수는 인터뷰하는 내내 연신 미소를 지으며 대답했다. 마치 그는 자신의 지난 학창시절을 돌아보는 것 같은 듯 보이기도 했고 한 편으로는 진심으로 학생들을 걱정하고 잘 되길 바라는 마음에서 인터뷰에 응하는 것처럼 보이기도 했다.

 

 

댓글을 달아 주세요

대학생 보안인들을 위한 열린 커뮤니티, SUA!


SUA(SecurityPlus Uion Academy)는 전국적인 대학 정보보안 연합 커뮤니티이다. 정보보안에 뜻이 있는 소수의 대학생들 주도 하에 2013년도에 창립되었지만, 2년 사이에 회원 수가 급증하여 현재회원 수는 약 700명이다. SUA는 서울·경기지부, 충청지부, 호남지부, 영남지부로 이루어져 있으며, 주로 지부 별로 활동을 한다. 신생 커뮤니티지만, 빠르게 성장하고 있는 SUA에 대해 좀 더 알아보기 위해 현재 서울·경기지부장인 정효정(서울여대 3학년)을 만났다.


 

 


 

 

Q) SUA 창립계기는 무엇인가요?

정보보안 개념이 생소하다 보니 동아리에 속하지 않은 소규모 그룹이나 개인들은 정보를 얻고, 공부하는 데 있어서 어려움이 있어요. 또한, 기존의 정보보안 동아리나 그룹에서도 정보를 공유할 열린 공간이 부족해서, 이를 보완하고자 동아리가 아닌 누구나 참여 가능한 커뮤니티 형태로 창립하게 되었습니다.

 

 

Q) 회원모집은 어떻게 하나요?

SUA 2학기부터 시작해서 학기별로 회원 모집을 했는데 3기 추가모집을 시작으로 1년 단위로 연초에 회원을 모집하기로 했어요. 공부하는데 뜻이 있어서 오는 학생들을 면접을 본다거나 서류심사를 하진 않아요. 공부하고자 신청하는 학생들을 전부 모집하고, 거기서 활동을 열심히 하는 학생들에게 더 많은 혜택을 주는 식으로 운영하고 있어요.

 

 

Q) 어떤 스터디가 진행되고 있나요?

초심자를 위한 언어, 정보보안개론 등 기초적인 스터디를 비롯해서 CISSP이나 CPPG같은 자격증 스터디, 디지털 포렌식이나 관제실무기초, 모의해킹, 모바일 악성앱 분석 스터디 등을 진행했거나 진행 중에 있습니다. 또한, 시스템 해킹 & 버그헌팅, 네트워크 인프라 보안관리 등의 다양한 스터디들도 진행 예정입니다. 주기적인 스터디 이외에도 멘토님들과 선배님들의 특강도 간간이 진행됩니다.

 

CISSP스터디 모습 (출처 : SUA 공식 페이스북)

 

 

 

Q) 스터디 이외에는 어떤 활동이 있나요?

스터디 이외에 크게 열리는 행사는 컨퍼런스라고 할 수 있을 것 같아요. 저희는 기존의 딱딱한 기술적인 컨퍼런스가 아닌 대학생들만이 할 수 있는 컨퍼런스를 진행하려고 노력합니다. , 스터디를 주 목적으로 하지만 공부뿐만이 아닌 친목도모를 위한 여름 캠프나 오프라인 모임 등 상시 친목도모를 위한 모임을 진행하고 있어요. 노인분들께 스마트폰 및 인터넷 사용법을 알려드리거나 고등학생들에게 스마트폰 보안 교육을 시행하는 등 지식 나눔 봉사활동도 하고요.


 

 

      △ 지식 나눔 봉사활동 모습 (출처 : SUA 공식 페이스북)

 

 

 

Q) 최근에 열린 그린나래 컨퍼런스는 어떤 컨퍼런스였나요?

3월에 서울경기지부 주최로 그린나래라는 컨퍼런스를 진행했어요. 그린나래는 그리듯 아름다운 날개라는 순 우리말인데, 보안업계에서 비상하는 날개를 달아주자는 취지에서 이름을 그린나래로 짓게 되었어요. 그린나래 컨퍼런스는 크게 내부와 외부로 나눌 수 있어요. 외부는 중고 전공서적 플리마켓과 보안관련 게임이 진행되었으며, 내부에서는 멘토 네 분께서 지금까지 어떻게 공부를 해왔고, 사회 초년생으로서 어떻게 대비를 해야 할지를 학생들의 눈높이에 맞춰서 강연을 해주셨답니다. 마지막 세션에서는 패널토의를 진행했습니다  

 

 

Q) SUA를 운영하는데 있어서 어려움이 있다면 무엇인가요?

학생 주도 커뮤니티이다 보니까 운영하는 데 있어서 비용적인 문제가 가장 커요. 콘텐츠 제작, 강사초빙, 강의실 대여 같은 비용이 드는 부분이 가장 큰 난관이고, 아쉬운 점으로 남아있어요. 그래서, 대학교 강의실을 대여한다든가 현직에 계신 멘토님들의 재능기부로 비용적인 부담을 어느정도 덜고 있어요.

 

 

Q) 앞으로의 계획 및 각오 한마디 부탁드려요.

최근 몇 년간 정보보안이라는 분야가 핫 이슈가 되고 있기 때문에 SUA는 정보보안에 관심 있는 학생들에게 도움이 될 거라고 생각되는데요. 지금까지의 운영 경험들을 토대로 더 좋은 컨텐츠들과 스터디, 다른 활동들을 꾸준히 기획할 예정이에요. SUA는 창립 초기이기 때문에 시행착오를 많이 겪고 있지만, 열정, 도전, 나눔, 사랑이라는 설립 신조에 맞춰서 항상 성장할 것이라고 믿어요.

 


 

 △ SUA 서울경기지부장(서울여대 3)

 

 

 

 

대학생 기자 송지연 / 서울여대 정보보호학과

세상에는 단 두가지 법칙만이 존재한다.

첫째, 절대로 포기하지 말것.

둘째, 첫번째 규칙을 절대 잊지 말것.

-듀크 엘링턴-

sjy0525kr@naver.com

댓글을 달아 주세요

추석에 빈집 보안만큼 챙겨야 할 정보보안 3계명

올해도 어김없이 민족의 명절 추석이 찾아왔다. 많은 사람이 명절을 맞아 고향에 내려가 친지 또는 고향 친구들과 만나 명절을 보낸다. 설이나 추석 같은 긴 연휴에는 대부분 장기간 집을 비우기 때문에 집을 나오기 전 방범에 신경을 많이 쓰게 된다. 특히나 이번 추석 연휴는 휴가를 이용하여 최대 9일 간 황금연휴를 보낼 수 있기 때문에 더욱 신경을 쓸 수밖에 없는데, 이에 따라 많은 사람이 CCTV 설치나 잠금장치 교체, 방범 업체 의뢰 등으로 자신의 집을 지키고 있다.

그렇다면 추석 기간 내 컴퓨터, 스마트폰의 보안에는 문제가 없을까? 다음은 2010년도 월별 해킹 사고 자료이다.

1

2

3

4

5

6

7

8

9

10

11

12

합계

건수

898

1,076

1,053

1,468

1,062

1,160

1,300

1,644

2,183

1,732

1,412

1,307

11,690

위 표에서 볼 수 있듯 명절이 있는 2(), 9(추석)에 피해 건수가 상당히 많다. 추석 기간에 인터넷 사용량이 급증하는 것도 우려되는 부분이다. 대부분 오랜 시간이 걸리는 추석 귀경길을 스마트폰을 이용하여 무료함을 달래는 경우가 많기 때문에 평소보다 인터넷 사용량이 급증한다. 사용량이 늘어나면 그만큼 위험에 노출되기가 쉽다. 

최근에는 스마트폰 유저가 악성코드 설치를 유도하는 문자 메시지로 인해 이른바 스미싱’의 피해를 입는 경우가 늘고 있다. 추석에는 가족, 친지의 안부를 가장한 스미싱이 많이 발생할 것으로 예상된다.

이러한 위험 요소들이 증가함에 따라, 안랩에서도 추석 기간에 지켜야 할 ‘3X3 보안수칙을 내놓았다. 안랩이 제시한 ‘3X3 보안수칙은 추석 연휴에 개인이 많이 이용하는 PC와 스마트폰에 대한 보안 수칙과, 기업의 보안 담당자가 유의해야 할 가장 중요한 수칙을 3가지씩 선정한 것이다. 안랩이 발표한 3X3 보안수칙을 살펴보고 이것을 지켜야 하는 이유를 알아보자.

* PC 보안 3계명  

1. 윈도우 운영체제, 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 SW 등 프로그램의 최신 보안 패치를 모두 적용한다.

운영체제나 브라우저는 최신 버전을 쓰는 것이 소프트웨어 자체가 가진 취약점을 노린 신종 악성코드, 해킹 방지에 적합하다 

2. 백신 프로그램은 반드시 설치하고 항상 최신 버전의 엔진으로 유지한다. 또한 실시간 감시 기능이 항상 작동하도록 설정한다. 안랩의 대표적인 보안 소프트웨어로는 무료백신 V3 Lite, 방화벽과 백신이 통합된 유료 보안 서비스 ‘V3 365 클리닉등이 있다.

컴퓨터의 효율성을 높이기 위해 실시간 감시 기능이나 백신 프로그램 자체를 꺼두는 경우가 있는데, 기술의 발달로 CPU 점유율은 생각보다 높지 않다. 백신은 최신 버전을 사용해야 연휴를 틈탄 신종 악성코드나 바이러스에 대응할 수 있다. 

3. 제목이 자극적이거나 출처가 불분명한 메일에 첨부된 파일은 실행을 자제하고 링크 주소를 클릭하지 않는 것이 안전하다.

업무메일, 이벤트 당첨 메일, 친구 메일을 가장해 악성코드가 담긴 메일을 보내 사용자의 정보를 빼내는 경우가 늘고 있다. 링크를 클릭하거나 담긴 파일을 열자마자 악성 프로그램이 자동으로 설치되어 피해를 자신도 모르게 입는 경우가 많다. 

* 스마트폰 보안 3계명  

1. 앱은 공식 마켓에서 다운로드해 설치하고 공식 마켓에도 악성 앱이 등록되어 있을 수 있어 평판 정보를 반드시 확인한다.

안드로이드 기반 스마트폰용 앱은 구글 플레이에서 다운로드하는데, 사전 검증 없이 앱을 올리는 구조인 탓에 악성 앱이 업로드되는 경우가 많다. 악성 앱의 증가로 구글에서 ‘App checker’‘Bouncer’라는 보안 시스템을 적용했지만, 악성 앱이 올라오는 것을 완전히 막기에는 아직 어려움이 있다. 따라서 앱을 다운로드하기 전에 자료를 올린 사람이 신뢰할 만한 게시자인지, ‘평판은 어떤지 확인하는 것이 좋다.

다른 방법으로는 삼성전자 앱스토어처럼 안랩의 앱 검증 솔루션이 적용되어 게시하기 전 사전 검증을 하는 마켓에서 다운로드하는 방법도 있다 

2. 부득이하게 문자 메시지 등에서 단축 URL을 클릭해 앱을 설치하거나 의심스러운 파일을 다운로드한 경우에는 반드시 최신 버전의 보안 소프트웨어(V3 Mobile 등)로 악성코드 검사를 해야 한다.

앞서 말했듯 문자 메시지를 이용한 스미싱 피해가 늘고 있을 뿐만 아니라 스마트폰을 대상으로 한 사이버 범죄가 전체적으로 증가하고 있기 때문에, 모바일 백신을 설치하고 사용할 땐 늘 켜두는 것이 좋다. 삼성전자, LG전자 같은 국내 브랜드의 스마트폰에는 V3 Mobile이 탑재되어 있지만, 배터리 사용과 CPU 점유율에 대한 걱정으로 인해 켜두지 않는 경우가 많다. 하지만 V3 Mobile은 CPU 점유율이 1%도 되지 않고 배터리에 미치는 영향도 미미하다고 하니 켜두는 것이 좋다.

3. 중요한 개인정보(타 사이트ID, 각종 비밀번호 등) 및 금융 정보(계좌번호, 보안카드 일련번호, 비밀번호 등)는 스마트폰에 저장하지 않는다.

잦은 비밀번호 변경으로 인해 잊어버리기 쉬운 개인정보를 스마트폰에다 메모하는 경우가 많다. 혹시라도 스마트폰이 감염되었을 시에 정보가 유출될 수 있으므로 스마트폰에 금융정보나 개인정보를 보관하는 것은 바람직하지 않다 

* 기업 보안 3계명  

1. 사내 모든 PC및 서버의 OS(운영체제), 응용 소프트웨어의 최신 보안 패치가 적용될 수 있도록 조치를 한다.

이는 PC보안 3계명 중 첫째 항목과 일맥상통하는 부분이다. 특히 정보 유출의 위협이 많은 기업은 이 원칙을 철저히 지켜야 한다 

2. 연휴기간에 서비스하지 않는 시스템의 경우 기업 네트워크로부터 차단될 수 있도록 정책을 변경하고 장기간 사용하지 않는 PC는 전원을 끄고 네트워크에서 분리해 둔다.

가장 안전한 방법은 물리적으로 네트워크와 분리하여 해커들이 기업의 정보에 접근하지 못하도록 막는 것이다. 기업의 보안담당자가 없는 상황에서 쓰지 않는 사내 컴퓨터를 켜둔 채로 놔두는 것은, 해킹(정보유출)에 그대로 노출되는 것이나 마찬가지이다

3. 보안 담당자들은 비상 연락 체계를 구축하고 유관 부서와 공유해야 한다. 보안관제 서비스를 받고 있는 경우는 해당 보안관제 업체의 24시간 상황실 연락망을 공유하고 자체 보안관제 시스템을 운영하는 경우 자체 비상 연락망을 공유한다.

연휴 동안 혹시 있을지 모를 사고에 발 빠르게 대처하기 위해, 기업의 보안 담당자와 보안 업체와의 비상 연락망을 가지고 있는 것이 사고의 피해를 줄이는 데 큰 도움이 된다. 

안랩은 이러한 위험에 대비하여 연휴 기간 동안에도 24시간 근무 체제를 가동한다. 연휴 기간에 보안 사고가 발생하더라도 신속한 해결책을 제공할 수 있도록 단계별 비상대응체제를 가동하여 긴급한 상황이 발생할 경우

트위터[twitter.com/AhnLab_man]

블로그[blog.ahnlab.com/asec, blog.ahnlab.com/ahnlab],

페이스북[www.facebook.com/ahnlabofficial]

과 같은 다양한 채널로 신속하게 실시간 경보를 울릴 계획이라고 한다. Ahn

 

대학생기자 황윤준 / 홍익대학교 영어교육과

인생은 속도가 아니라 방향이다.

조급해하지 말자.

 

 

댓글을 달아 주세요

[보안 바로 알기 캠페인] #5 : 인터넷 뱅킹 보안 위협

예전에 제가 초등학교로 명칭이 바뀌기 전인 국민학교시절에 선생님께서 이런 말씀을 하셨습니다. ‘이제 곧 물도 사먹는 시대가 올 거다.’ 이 말을 들은 -저를 포함한-당시 어린이들은 놀라지 않았습니다. 안 믿었거든요. 하지만 요즘은 생수 브랜드만 해도 수십 개나 있는 세상이 되었습니다.

와 비슷하게 인터넷이 퍼지기 시작한 시절, TV프로그램에서 인터넷으로만 1주일(한 달이었나요?)살아보기 프로그램을 했던 것으로 기억합니다.여기서 인터넷으로 피자를 시키고, 마트에서 장을 보니 배달까지 해주는 등 당시로서는 획기적인패턴에 방송 진행자도 놀랐던 기억이 납니다.하지만 지금은 누구나 쉽게 인터넷으로 물품 구매는 물론 은행업무까지 보는 세상이 되었죠.

 

안랩의 보안 바로알기(Know the security)캠페인의 다섯 번째 이야기는 어쩌면 지금까지 주제 중 우리 생활에 가장 밀접한 주제일 수 있는 인터넷뱅킹 보안위협 바로알기입니다.인터넷 뱅킹 이용자 8,000만명이 돌파한 요즘,아래 몇가지 이야기를 통해 인터넷뱅킹 보안위협에 대한 이해를 높여서더 안전하고 편리한 온라인 생활을 누리시면 좋겠습니다.

 

금융기관이 침해당해 내 돈이 빠져나간다?

현재까지 알려진 바로는 금융기관 침해로 인해 개인 사용자의 금전이 빠져나간 사례는 없습니다. 통계적으로 볼 때, 우리나라 기관들 중에서 보안에 가장 많이 투자하고 관심을 쏟는 곳이 금융업계라는 것은 사실입니다. 다만 이는 상대적인 규모이고, 이에 더해 아직 보안에 대한 더 많은 고민(금액의 문제가 아니라, 운영 및 인식의 문제입니다)이 필요한 것은 사실입니다.

 

사실, 쉬운 돈을 만지고 싶어하는 공격자가 대형 은행에 직접 침투해서 돈을 빼내오기란 쉬운 일이 아닙니다.그래서 해커들은 조금 더 수월한 개인 PC를 노립니다.여기서 개인 PC란 기업에서 직원이 사용하고 있는 PC도 포함되는 개념입니다(어차피 비슷한 공이 든다면 개인 보다 기업이 인터넷 뱅킹을 이용하는 금액이 훨씬 크니까요).

 

, 모든 수단을 동원해 개인(기업 내 개인 포함)의 금융정보를 빼내가려 한다는 것입니다 .먼저, 해커는피싱메일, SNSURL, P2P사이트, 악성코드를 포함한 문서, 배너광고,프로그램의 보안 취약점 등 광범위한 수단을 통해 악성코드를 감염시킵니다. 일단 악성코드가 침투하면,이후엔 금융정보를 채가기 위한 모든 시도를 합니다.예를들어, 키보드로 입력되는 정보를 빼내기 위해 이를 탈취하는 키로거를 설치합니다.화면캡처가 필요하면 화면캡처를 합니다.만약 목표 개인(기업 내 개인 포함)이 사용하는 주거래 은행이 보안카드를 사용한다면 보안카드 정보를 빼내기 위해 자신이 만든 가짜 사이트로 유도하는 악성코드를 심습니다.가끔 이거저거 다 필요없이 보이스 피싱도 합니다.

 

여기에 최근에는 개인 사용자의 PC에 침투해서,감염된 PC로 특정 은행 사이트를 방문할 시,보안을 위해 자동으로 구동되는 키보드 보안솔루션, 공인인증서 등 보안모듈의 메모리를 해킹(수정)해개인의 금융 정보를 유출하는 악성코드도 국내에서 발견되었습니다.,사용자는 정상 은행사이트를 이용하는 과정에서 자기도 모르게 금융정보를 탈취당하는 것입니다.

 

해외 모 기업의 경우 재무 담당직원이 피싱메일에 속아 인터넷뱅킹 접속용 OTP정보를 포함한 로그인 정보가 모두 해커에게 유출되었고, 55만달러가 해커에 의해 해외로 송금되는 결과가 발생했습니다.지루한 법원 공방 끝에 법원은 은행의 책임으로 판단했지만,이는 기업과 은행이 모두 해커에게 속아 넘어간 예시가 되었습니다.물론, 기업과 은행 모두 기업 이미지 실추를 피할 수 없었습니다.

 

이렇게 공격자들은 은행의 시스템을 직접 노리기 보다,개인의 PC에 악성코드를 감염시키는 것을 공격의 첫 행위로 삼고 있습니다.이것은 보안 사고가 개인의 잘못이라는 뜻이 아니라 명백한 현대 보안의 트렌드입니다.

 

여기에도 보안 종결론이 등장?

일전에 저희 보안 바로알기 세 번째 주제가 보안 종결론이었습니다.특정 솔루션을 사용한다면, 혹은 이것을 사용하지 않는다면 은행보안 사고가 대부분 없어질 것이라는 주장입니다.

 

하지만 나름 자신들의 생계가 달린 문제여서일까요?아쉽게도 악성코드 제작자들은 그 정도에 굴하지 않습니다. 예를 들어,다양한 보안 솔루션을 사용하는 다양한 국가에서도 인터넷뱅킹 사고는 지속적으로 발생하고 있습니다.최근 중동에서 500억원 규모의 해킹 및 현금 불법인출 사건이 있었고,미국안티피싱 워킹그룹과 가트너에 따르면 미국 내 2010년 인터넷 뱅킹사고 금액은 기업피해만10억 달러(13백억)로 추정된다고 발표했습니다.일본의 경우도 2007년에 19천만 엔(22억원)을 기록한 후 현재는 소폭 감소추세에 있다고 합니다.

 

이렇게 기업 자율이든,공공기관 주도이든, 각기 다른 인증체제와 보안 정책을 사용하든아니든,는 모든 나라에서 인터넷뱅킹 보안위협은 계속 되고 있습니다.다시한번 강조하자면 악성코드를 이용해 개인 PC로 침입한 후 금융정보를 훔쳐가거나, 해킹을 시도하는 것이 현대 보안의 트렌드입니다.그리고 악성코드 제작자는 침투를 위해 특정 솔루션만 이용하는 것이 아니라, 피싱메일, 악성 URL, 소프트웨어 취약점,웹하드 등의 P2P 사이트, 악성코드를 포함한 문서, 배너광고, 프로그램의 보안 취약점 등 침투할 수 있는 모든 수단을 사용합니다.

 

 

어떻게 막을 수 있나?

그러면, 인터넷뱅킹 보안위협은 어차피 막을 수 없는 것일까요?저희가 이 캠페인을 시작한 시점에 말씀 드렸지만, 완벽한 보안은 없습니다.다만 보안의 취약한 부분(hole)을줄여나가면서 새로운 취약점이 발견되면 최대한 빨리 보완하고 대응하기 위한 노력이 계속 진행될 뿐입니다. 이런 보안의 취약점을 줄이기 위해서는 어느 한 곳만 노력해서는 되지 않습니다.

 

먼저 금융 및 공공기관에서는 현재 보안위협의 트렌드를 이해하고 올바른 정책을 실행해나가는 것이 필요합니다. 특히, 시스템에 보안을 맞추는 것이 아니라, 보안에 시스템을 맞추는 외국의 노력을 본받을 필요가 있습니다.예를 들어, 예전에는 아무리 혁신적이고 믿을 수 있었던 솔루션이라도 만약 악성코드 전파에 많이 이용된다면 이를 수정해 나갈 필요가 있습니다.

 

또한, 보안 솔루션을 도입한 것으로 그치지 말고,이를 적절히 운영할 수 있는 전문 보안인력을 육성하는 것이 필수적입니다. 기관 내에서 지속적으로 임직원 보안 교육을 실시하는 것은 두말 할 것도 없습니다.

 

개인의 경우엔, 어쩌면 듣기 힘든 말일 수도 있습니다만, 한번 자신에게나는 보안을 위해 어느 정도의 불편함을 감수할 수 있을까?”라는 질문을 해보는 것이 시작이 될 수 있습니다. 해외의 모 은행에서는 보안 및 다른 이유로 이체 한도 금액을 매우 축소하거나, 이체 날짜가 3-5일 걸리는 경우도 있습니다(실시간 이체는 수수료가 매우 높습니다).

 

또한, 사전에 이체 계좌를 등록해야 하고, 새로운 이체계좌를 등록할 때마다 계약서를 작성하는 경우도 있습니다. 인터넷 뱅킹 로그인 시에 본인인증을 위해 2-3개의 절차를 거치기도 합니다. 보안과 편리함은 서로 주고 받는 관계라는 인식을 바탕으로 나온 정책일 것입니다.

 

효율성과 편의성을 추구하는 성향이 강한 우리나라에서 이렇게 한다면 얼마나 많은 사람들이 이런 불편함을 기꺼이 감수할 수 있을까요? 개인 PC를 최초 시작점으로 노리는 현대의 보안 트렌드에서 사고의 책임이 개인 혹은 기관 어느 곳에 100%있다고 하기엔 어렵습니다. 기관의 경우엔 보안위협의 트렌드를 이해하고 준비하는 자세가 필요하고, 개인의 경우엔 조금 불편하더라도1) 송신자가 불분명한 수상한 메일의 첨부파일 및 링크 클릭을 자제하거나 2)소프트웨어 업체가 제공하는 보안패치 설치, 3)백신 업데이트 최신 버전 유지 4)사내에서 개인적인 인터넷 사용 자제등 기본적인 보안 수칙만 지켜도 대부분의 보안 위협은 막을 수 있습니다

 

또한, 이렇게만 하면 만사 해결이라는 식의 보안 종결론에 휘둘려서는 안됩니다. 만약 우리가 불의의 피해자가 되었을 때, 그 종결론을 주장하신 분들이 책임져주지 않습니다. 보안 위협은 어떤 시스템, 어떤 환경에서도 반드시 존재하며, 알려진 보안 위협을 막으면 또 다른 지금까지 알려지지 않은 보안 위협이 우리를 기다리고 있습니다. 보안은 함께 고민하고 노력해야 할 우리 모두의 몫입니다. <Ahn>

 


댓글을 달아 주세요

다양한 보안 이슈, 보안 전문가를 한 곳에서 만나다

현장속으로/세미나 2013.07.12 07:00

"큐인사이드는 3년만에 세계 해커들 사이에서 가장 출전하고 싶은 대회가 됐습니다. 글로벌에서 라스베이거스 '데프콘'과 견줄만큼 규모가 큰데다 팀에게 지원도 많이 해줍니다. 1회 때는 입소문이 많이 퍼지지 않았지만 올 해는 다르더군요." 


지난 7월 2일부터 3일까지, 이틀 동안 진행된 '시큐인사이드' 해킹방어대회에서 3연패를 달성한 PPP팀의 팀원 '리키 주' 씨의 인터뷰 내용이다. '국제 규모의 해킹방어대회' 라는 타이틀에 걸맞게 77개국의 나라에서 총 1083팀이 참가했다. 다양한 발표가 이어지는 3일, 서울 콘래드 서울 호텔에 모인 인파에 시큐인사이드의 규모를 짐작할 수 있었다. 시큐인사이드는 화이트해커들을 중심으로 다양한 보안 이슈에 대해 실무적인 정보를 공유하는 국제 컨퍼런스로, 2011년부터 개최되어 올 해 3회를 맞았다. 

 


아침 일찍 도착해 등록을 마치고, 이름표와 발표자료집을 받아 컨퍼런스 홀로 들어갔다. 첫 키노트 세션이 시작되기 전, 10시가 안된 이른 시각부터 홀은 좋은 자리(?)를 찾기가 힘들었다. 가운데 앞자리는 예약석. 꽉 찬 자리의 빈틈을 찾아 두리번 두리번. 


그리고 10시, 시큐인사이드 2013 시작! 컨퍼런스의 시작은 김승주 교수의 <암호학과 해킹의 결합, 가능한가?(Combination of Crypto and Hacking, Possible?)> 라는 주제의 키노트 세션이었다. 그는 암호학, 시스템 보안, 네트워크 보안, 보안 정책은 '보안'을 구성하는 요소이며, 이 요소들을 잘 연결하고 결합시켜야 한다는 것을 강조했다. 또한 '암호학'을 어떻게 해킹과 결합하여 사용할것인지에 대해서도 어필했다. 보안을 위해서는 다양한 분야에 대해 넓은 지식을 가지고 있으면서도 자기 전문 분야를 가지고 있는 'All-Round Player'가 되어야 한다는 많은 전문가의 충고가 다시 한번 생각나는 세션이었다.



두 번째 키노트 세션은 'Beist' 이승진씨의 <소스코드 불법 복제에 대한 이슈(Issues of illegal copy and unauthorized use for source code copyright)>라는 주제로 진행되었다. 그는 한국에서 뿐 아니라 전세계에서 프로그램을 무단으로 사용하고 소스코드를 훔치는 사례가 발생하고 있고, 이런 경우를 분석하기 위해 어떻게 소스코드의 유사성을 평가하는지에 대해 이야기했다. 기술적인 이야기들은 완전하게 이해하지 못해 아쉬움이 남지만, 오픈소스 프로그램의 라이센스 정책에 대해 다시 한번 되새겨보는 계기가 되었던 시간이었다.



키노트 이후에 잠깐의 점심시간을 가지고, 본격적으로 다양한 주제의 발표가 진행되었다. 총 3개의 트랙으로 나누어져 다양한 이슈들을 다루었는데, 한 번에 한 트랙밖에 들을 수 없다는 것이 아쉬웠다. A, B, C 트랙에서 진행된 발표의 주제들은 다음과 같다.


A트랙

최원혁, <한글 취약점을 이용한 APT 공격 사례 및 분석 그리고 대응방안>

Byungho Min, <Security of anti-virus solution>

강흥수(jz), <Sandbox for security (Understanding sandbox and attack examples)>

Long Le, <Exploiting nginx chunked overflow bug, the undisclosed attack vector>

B트랙

안상환, <How to find vulnerability in software>

신정훈(sjh21a), <Hacking smart devices (I just drank c0ffee only!)>

구사무엘(dual5651), <한국형 봇넷 개발&분석>

장상근(maxoverpro), <Mobile game hacking and defense strategy> 

A+B 통합트랙

유동훈(x82), <Writing ARM32 Linux kernel exploitation>

C트랙(Invited Only)

구태인 변호사(태크엔로 법률사무소), <개정 전자금융거래법에 따른 새로운 보안패러다임>

조규민 단장(KISA), <금융분야 개인정보가이드라인>

김기영 실장(AhnLab), <GAP>

이주호 차장(코스콤), <금융 정보보호 참조모델 소개-개발보안프로세스 위주)



C트랙은 초대받은 사람들만들 대상으로 하는 비공개 세미나였기 때문에 내게는 선택권이 없었다. 대신 A, B트랙중에서 좀 더 흥미를 끄는 주제의 발표를 들어보기로 결정했다. 상당히 흥미롭고 다채로운 주제로 발표들이 진행되었지만, 아직 턱없이 부족한 실력으로 발표를 완벽하게 이해하는 것은 무리였다. 모르는 것은 메모하고, 아는 것은 다시 한번 짚는다는 생각으로 발표 듣기 시작!


특히 지난 해 전광판 해킹으로 많은 주목을 받았던 신정훈씨의 Track2에서 진행된 <Hacking Smart Devices> 발표가 기억에 남는다. 많은 사람들이 몰려서 서서 들어야 했던 발표! 카페의 POS, CCTV, Pager(카페에서 쓰는 진동벨을 pager라고 부른다) 해킹에 대해 연구한 발표였다. 카페에서 익숙하게 서비스 받던 익숙한 시스템들을 해킹하는 참신하고 흥미로운 주제라 더욱 관심이 갔던 것 같다. 게다가 재미있고도 다소 충격적이었던 시연영상에 집중할 수 밖에 없던 발표였다. 모든 기기의 경우, 초기에 설치할 당시 설정해둔 디폴트 비밀번호를 그대로 쓰기 때문에 해킹이 가능하다는 공통점이 있었다. Pager 해킹은 실패했다고 했지만, 그렇기 때문에 그의 다음 발표가 더욱 기대된다.


또 하나 재미있었던 발표는 Track2의 마지막 발표였던 장상근씨의 <Mobile game hacking and defense strategy> 였다. 모바일 게임에서 게임핵이 어떻게 돌아가는지, 그리고 어떻게 방어를 해야 하는지에 대한 이야기로 채워진 시간이었는데, 구체적으로 실체 우리가 하는 모바일 게임의 게임핵 적용 사례를 살펴보고 그 시연 영상을 볼 수 있어서 더욱 와닿고 흥미로웠던 세션이었다. 


마지막 세션은 시쳇말로 정말 '멘붕'을 일으켰던 발표였다. A,B 통합 트랙으로 <Writing ARM32 Linux Kernel Exploit>이라는 주제로 진행된 발표였는데, 리눅스 커널의 취약점과 커널을 공격해 권한을 상승시키는 방법에 대해 상세히 분석하고 커널 취약점에 대해 어떻게 대응해야 하는지- 에 관한 내용이었다. 나에게는 상당히 어려웠던 주제였다. 초반이 지나고부터는 무슨 내용을 듣는 것인지 정신 없었던 시간이었다. 한계를 느끼고, 자극을 받고, 이런 발표를 다음에는 조금 더 이해하며 들을 수 있도록 해야겠다는 생각만 줄곧 하다가 끝난 발표 세션이었다. 


폐회식과 함께 시큐인사이드 2013 해킹방어대회 시상식이 있었다. 1위는 대회를 3회째 제패한 미국의 'PPP'팀이 차지했다. 2위는 한국의 '벌레잡이' 팀, 3위는 스웨덴의 'Hacking for Soju' 팀이었다. 치열한 순위경쟁 끝에 PPP팀이 종료 2분을 남겨두고 모든 문제를 'All-Clear' 하는 저력을 보이면서 우승을 차지했다고. 그만큼 뜨거운 대회였고, 작년에 비해 훨씬 다양한 국가에서 많은 팀이 참가했다는 소식이 내년의 대회를 더 기대하게 만들었다. 정말 다들 멋있는 '화이트 해커' 라는 생각이 절로 들고, 동시에 열심히 하자, 즐기자, 이런 긍정적인 에너지를 잔뜩 얻어갈 수 있었던 컨퍼런스였다.


올해의 3.20 사이버 테러, 6.25 사이버 공격 등 크고 작은 사이버 공격이 끊이지 않는 때, 보안 의식을 높이고 다양한 보안 이슈들을 공유할 수 있는 좋은 기회였다는 생각이 든다. 그만큼 마음을 다시 한번 가다듬고, 만만치 않은 보안 이슈에 대해 좀 더, 나름대로 생각해볼 수 있는 시간을 가질 수 있었다. Ahn



대학생기자 강정진 / 숙명여자대학교 컴퓨터과학과


學而不思則罔思而不學則殆

배우기만 하고 생각하지 않으면 멍청해지고, 생각하기만 하고 배우지 않으면 위태로워진다.


댓글을 달아 주세요

  1. 임지연 2013.07.12 23:59  Address |  Modify / Delete |  Reply

    좋은기사 감사합니다~~!

보안전문가 되려면 어느 대학 어느 학과 가야 하나

지난 320일 6개 방송사와 금융사가 해킹 공격을 받았다. 내부 시스템이 파괴되고 전산망이 마비되면서 기업들은 많은 금전적 피해를 입었고, 시민들은 일상생활의 불편함을 겪고, 정보 누출에 대한 불안감에 몸을 떨 수밖에 없었다. 단 한 번의 보안사고로도 커다란 사회적 손실을 야기할 수 있는 두 업계가 공격받았다는 사실은 우리에게 일상생활에서 보안이 얼마나 중요한 것인지를 다시 한번 몸소 깨닫게 해 주었고 이러한 사이버 공격을 차단하기 위해 모두가 힘써야 한다는 사실을 상기시켜주었다. 

사방에서 날아오는 화살로부터 우리의 몸을 보호할 수 있는 가장 훌륭한 도구는 방패이다. 마찬가지로, 사이버 공격을 막기 위한 가장 실질적이고 효과적인 수단은 온라인 상에서 든든한 방패가 되어줄 수 있는 정보보호전문가를 양성하여 사이버 공격을 최소화하고 더 나아가 이러한 사이버 범죄를 미리 예방하는 것이라고 할 수 있다. 대학들은 최근 이러한 경향에 따라 보안학과를 신설하여 정보보호전문가 양성에 앞장서고 있다. 보안 관련 학과들은 어떠한 특징을 가지고 있을까?

 

 (정보보호 및 보안학과를 개설한 대학들)

서울여대 정보보호학과의 설립연도에 오류가 있습니다. <기존>으로 정정하겠습니다.


(보안학과의 커리큘럼표)

위 커리큘럼은 서울에 위치한 모 4년제 대학 보안학과의 커리큘럼이며 다른 학교의 커리큘럼도 위와 크게 다르지 않다. 프로그래밍, 네트워크 보안, 시스템 관리 이렇게 세 부분으로 크게 구분하여 1학년 때는 범학문적인 교양들과 프로그래밍의 기초를 배우고, 2~3학년이 되면 심화이론 및 프로그래밍 지식을 쌓는다. 4학년이 되면 실습 및 평가 분석을 통해 3년 간 배워 온 전공지식을 실질적으로 적용하고 확인할 시간을 갖게 된다이렇듯 체계적이고 실용적인 커리큘럼으로 실전 업무에 바로 투입될 수 있는 인재 양성에 각고의 노력을 기울이고 있다.  

많은 정보보호 학과가 기업들과 산학협력을 맺어 인턴십 프로그램을 운영한다. 이를 통해 학생은 실무지식과 사회 경험을 쌓을 수 있다. 특히 남성은 자신의 전공을 살린 IT 특기병으로 군복무를 할 수 있다. 고려대학교 사이버 국방학과의 경우 학과를 졸업함과 동시에 보안장교로 군복무를 이행할 수 있다. 또한, 현재 보안전문가는 그 수요에 비해 공급이 턱없이 부족하기 때문에 비교적 손쉽게 자신의 전공을 활용할 수 있는 기업에 취업할 수 있다. 전공 분야가 그대로 적용되기 때문에 적응 기간이 매우 짧다는 장점도 있다. 

일상생활에서의 컴퓨터 사용이 보편화되면서 사회 모든 분야에서 보안 인력을 필요로 하고 특히 기업의 경우 내부 기밀이 새어나가게 되면 기업의 본질인 이윤 추구에 심각한 영향을 끼칠 수 있다. 그렇기에 보안의 이론과 실무 그리고 보안 정책 능력을 갖추어 전산망을 안전하게 보호할 수 있는 보호 전문가에 대한 수요가 크게 늘고 있으며, 우리나라뿐 아니라 전세계적으로도 증가하는 추세이다. 

전문성을 갖춘 보안 인력이 많이 양성되면 인터넷 환경의 안전성과 신뢰성이 더 높아질 것이다. 또한 정보보호 산업이 발전하고 국가의 산업 경쟁력이 높아지는 한편, 국가 안보까지 강화할 수 있다. 따라서 대학에서 보안학과를 개설하고 보안 전문가를 육성하는 것은 IT 강국인 대한민국이 나아가야 할 올바른 지향점이라고 할 수 있다. Ahn


  대학생기자 엄용석 / 고려대 화학과

  타인과 지식을 공유하는 기쁨을 온라인 상에서 느껴보고 싶은 대학생기자

댓글을 달아 주세요

  1. 유희만 2013.05.06 09:53  Address |  Modify / Delete |  Reply

    보안학과가 정말 많이 생겼네요~!!

데프콘 점령 꿈꾸는 경기대 보안 동아리 K.knock

K.knock는 2009년도에 학생들의 손으로 창립해 현재 경기대 침해사고대응팀(CERT)으로 활동하는 정보보안 동아리이다. 동아리 이름인 <K.knock>은 경기대학교라는 큰 틀에 모인 학생들이 정보보안 분야를 '두드린다'는 뜻에서 만들어진 이름이다. 

그 이름에 걸맞게 정보보안에 관심 있는 44명의 다양한 학과, 전공을 가진 구성원이 활발하게 활동하고 있다.

경기대 정보보호 동아리 K.knock 회원들

K.knock이 주로 하는 일은 웹, 시스템, 네트워크 보안, 리버스 엔지니어링, 크립토그래피(Cryptograghy) 등의 해킹기술 연구를 비롯해 코드게이트, 데프콘, HUST 해킹 페스티벌 등의 해킹대회 참여, 경기대학교 침해사고대응팀(CERT)으로서 모의해킹, 관련 분야 스터디까지 다양하다. 이뿐 아니라 지도교수인 컴퓨터과학과 김희열 교수의 지원 아래 정기적으로 보안 세미나를 진행한다.  


K.knock의 화려한 수상 이력

2009년 동아리 창단 이래로 다양한 수상이력이 눈에 띈다. 그 중 작년 11월 서울교육문화회관에서 개최된 여성 해커들을 위한 해킹 대회 ‘Power of XX’ 금상의 성적이다. 제 7회 국제 해킹·보안 컨퍼런스 POC2012 이벤트의 하나로 진행되었던 이 대회는 여성 해커가 실력이 낮다는 오해와 선입견을 없애고, 여성 해커 양성의 초석을 다지기 위해 마련된 대회이다. 대부분 학교에 보안동아리라 하면 공과계열이니 남자들이 많을 것이다, 실력은 남자들이 좋을 것이다라는 선입견을 가지고 있다. 하지만 이러한 수상 이력을 보면 경기대학교 정보보안 동아리가 어떤 동아리인지 짐작할 수 있다.


#인터뷰 - K.knock 리더 김낙현

- 개인적으로 동아리 안에서 가장 뿌듯하다고 느꼈을 때

코드게이트 대회 기간 중에 정말 안 풀리는 문제가 있었는데 동아리원끼리 머리를 모아 서로의 부족한 점을 보안해 문제를 풀었을 때가 정말 뿌듯했다. 개개인으로서는 절대 풀 수 없었지만 동아리라서 가능했던 일인 것 같다.

- 동아리를 하면서 기억에 남는 에피소드

2012년 여름에 K.knock에서 안랩을 견학할 기회가 있어서 7~8명 정도가 방문했던 게 생각난다. 회사에 한 번도 들어가본 적이 없는 나로서는 정말 신기한 경험이었다. 먼저 우리를 안내해주시는 분이 정말 친절했다. 그분의 성함은 기억이 나지 않지만 DDoS 공격 때 힘들게 밤샘 작업을 한 분이라는 것은 기억이 난다. 기억에 남는 것은 친절한 사람들뿐 아니라 회사 시설에도 있었는데 회사로 들어갈 때 사원증이 있어야만 열리는 문과 안마의자, 복도에 있는 축구 게임기, 회사 2층에 있는 커피숍과 회사 내부에 헬스장이 있는 게 정말 신기했고 무엇보다도 직원들의 이름이 나무 나이테 형식으로 새겨진 통 유리벽이 가장 인상 깊었다.

- 일반 동아리원에서 동아리 회장까지

2008년 내가 입학했을 때는 경기대학교에 보안 동아리는 없었다. 하지만 군대 전역을 하고 전공 수업을 듣다가 경기대학교에 보안동아리 K.knock이 있다는 것을 알게 되었다. 1학년 때부터 보안에 관심을 가지고 있던 나는 좋은 기회라고 생각하고 아무것도 모른 상태에서 단지 열정 하나만 가지고 동아리에 들어왔다. 그렇게 1년 동안 열심히 하다보니 회장의 중책까지 맡게 되었다. 동아리 활동을 하면서 열정 하나만 가지고 있다면 어떤 시련과 고난이 있어도 극복할 수 있고 재미있을 수 있다고 생각한다.

- 앞으로의 계획

동아리가 만들어진 지는 얼마 되지 않았지만 더욱 더 많은 활동으로 여러 분야에서 두각을 보이며 각종 대회, 특히 데프콘에서 입상하는 것이다. Ahn


대학생기자 김대희 /  경기대 컴퓨터과학과

   

댓글을 달아 주세요

역동적 에너지 가진 서울여대 보안 동아리

SWING은 1996년 당시 전산과학과 20명의 학생과 김명주 교수가 함께 만든 정보보호 동아리이다. 처음에는 인터넷 동아리로 출발하였지만, 인터넷이 대중화함에 따라 특화할 필요성이 있어 보안을 테마로 잡고 본격적인 SWING 활동을 시작하였다.




SWING(Seoul Women's university InterNet&security Group)의 약자이며 단어의 뜻처럼 '역동적인 에너지'를 가지고 정보보호 공부를 하겠다는 의미이다. 현재 32명이 활동 중이며 19년의 전통을 가진 만큼 졸업생 또한 많은 분야로 진출해 있다. 


SWING은 KUCIS(전국대학 보안동아리 연합회)와 U.U.U(전국대학 CERT 연합회)에도 가입해 활동 중이다. 또한 한국정보보호진흥원 주관 정보보호우수동아리 장려상(2010년), 한국인터넷진흥원 주최 제5회 SW 취약점 찾기 대회 우수상(2011년), 2010~2012년 우수소학회 선정 등 많은 수상 이력을 자랑한다.


다양한 세미나와 외부활동으로 크게 이름을 알리고 있는 SWING을 만나러 갔다. 도착한 때는 매주 화요일에 열리는 정기 회의와 세미나 시간. 조용히 사진 촬영을 한 후 회장과 대화를 나눌 수 있었다. 이 날은 웹 보안과 C언어 등을 공부하고, 코딩과 취약점 분석 등을 실제로 해보는 등의 스터디를 하고 있었다. 


SWING의 세미나 모습

 


요즘 하는 스터디 내용과 운영 방식은?

지금까지는 기수 별 스터디로 학기 중과 방학 중 주제를 정하여 운영해 왔지만, 이번 2013년 1학기부터는 1,2,3학년이 모두 모여 진행을 해요. 매주 화요일은 C언어 기초, 수요일은 Web, 목요일은 C언어 심화 내용의 스터디를 진행하고 홈페이지 게시판을 이용해 최신 보안 뉴스를 스크랩하는 스터디도 운영을 하고 있어요. 그 외에도 지금 기수인 19기는  KUCIS의 프로젝트를 진행 중이며, U.U.U의 하반기 프로젝트 또한 진행할 예정이에요.



△ SWING의 세미나 모습


여대 정보보호 동아리의 장점과 단점은? 

먼저, 장점으로는 아무래도 여자로만 이루어져 있다보니 섬세함과 꼼꼼함에서 좀 더 큰 메리트가 있는것 같아요. 보안 분야에서는 섬세함과 꼼꼼함을 요구하는 경우가 많은데, 예를 들어 정보보호관리체계(ISMS) 인증 심사원, 정보보호관리체계 범위 설정, 수립 등에서 큰 장점을 발휘하는 것 같아요. 하지만, 아무래도 남자 멤버가 없다보니 알고리즘 구현과 같은 프로그래밍 업무에서 다른 동아리나 남자 학우들에 비해 이해 속도가 느려 시간이 많이 걸리는 편이에요.


매년 학회 신입생 모집을 위해 일주일 간 아침 8시에 교육을 한다는데 어떤 교육이고 이 교육에서 신입생에게 바라는 점은?

지금까진 국제웹 보안 표준기구인 OWASP가 발표하는 웹 애플리케이션 보안 10대 취약점에 관한 내용을 발표하였지만, 이번부터는 정보보안에 관한 전반적인 내용과 보안 공부 Tip에 관한 내용을 교육을 했어요. 또한 작년 안랩 시큐리티 웨이브 2012 네트워크 분야 문제 풀이도 진행을 했고요. 아무래도 신입생 대상이다보니 다소 어려운 주제를 다루는 OWASP의 취약점보다는 흥미를 느낄 수 있는 해킹대회 문제 풀이 위주로 진행을 하고 있어요. 이런 교육을 통해 새내기는 흥미를 갖고 동아리에 가입하여 여러 대회에 같이 참여를 하면 좋겠어요.


△ SWING 19기 회장 최은영


다양한 학교와 연합 활동의 진행 방식은?

현재는 KISA(한국인터넷진흥원) 지원 정보보호동아리 연합  KUCIS, 학내망 보안을 위한 대학 CERT연합(U.U.U)에 가입하여 활동해요. 또한, 대학 보안 동아리 자체의 힘으로 개최하는 정보보안 컨퍼런스 Incognito에서 활동해요. 먼저, KUCIS는 서울/경기/강원/영남/호남 권역 세미나와 온라인 캠페인 등을 진행하고 U.U.U는 상반기/하반기 2번의 세미나와 오프라인 모임 등 다양한 활동을 해요. 작년에는 U.U.U에서 사용자 선택 암호 알고리즘 앱을 만들어서 발표했어요. 하지만, 암호화한 후 복호화를 구현하지 못 해서 많은 아쉬움이 남았는데, 이번 발표에서는 아쉬움이 남지 않게 최선을 다할 생각이에요! 또한, 추후 다른 학교와 연합 스터디를 만들어 여러 분야 많은 학우들과 교류를 할 생각이에요.


장기 계획 및 앞으로의 각오는?

SW 취약점 찾기 대회나 Power of XX (여성해커대회) 등 다양한 대회가 매년 개최되는데, 이런 대회에 출전하여 좋은 성적을 거두는 것이 목표예요. 또한, 이번 하반기 U.U.U 세미나에서 발표할 주제를 준비할 예정이고요. 현재는 악성코드 분석과 탐지 툴이 목표이지만 아직 정해지지 않았네요. 각오라면, 선배들이 꾸려놓은 SWING에 애착을 갖고 좀더 발전하는 동아리로 만들고 싶어요. 그리고 현재 하는 활동 외에도 많은 대외 활동으로 SWING을 많은 곳에 알리고 싶습니다!


정보보호 전문가를 꿈꾸는 청소년에게 해줄 말은?

먼저, 중고생 정보보호 올림피아드 대회, 청소년 해킹대회, 안랩 V스쿨 등에서 많은 경험을 해보셨으면 좋겠어요. 그리고 프로그래밍 언어까지 공부하면 더 좋겠죠? 하지만, 너무 컴퓨터에만 열중하지 말고 여러 친구들을 사귀고 청소년으로서 누릴 수 있는 경험을 많이 해보는 걸 추천해요. 대학생 되면 항상 청소년 시절을 그리워하게 되니까요. 정보보호 전문가를 꿈꾸는 청소년이 미래에 정보보호 업무에서 큰 몫을 하기를 진심으로 바랍니다^^!


△ 서울여대 정보보호 동아리 SWING


직접 만나본 SWING 동아리원들은 공부만 하는 이미지가 아닌 매우 활동적이고 에너지가 넘치는 동아리였다. 20대의 열정과 패기를 간직한 SWING의 발전과 동아리원들의 꿈이 이루어지기를 진심으로 바란다. Ahn



대학생기자 박서진 / 서울여대 정보보호학과

통(通)하지 않으면 통(痛)한다. <동의보감>

여러분과 통(通)하는 안랩인이 되겠습니다 :)




대학생기자 유희만 / 수원대 컴퓨터학과

The achievement of one goal should be the starting point of another.
(목표의 성취는 또 다른 목표의 출발점이 되어야 한다.)
- 알렉산더 그레이엄 벨 -

현재에 안주하지 않고 항상 색다른! 목표를 향해!                  

댓글을 달아 주세요

개인 정보 유출 사고의 재발을 막으려면

현장속으로/세미나 2013.04.03 07:00

지난 3월 26일, 서울 교육문화회관 가야금홀에서는 전국 공공기관, 기업체, 보안전문가 등을 대상으로 하는 개인정보보호 컨퍼런스(G-PRIVACY 2013)가 열렸다. 

행사는 오전 9시부터 오후 5시 30분까지 이어졌으며, 이 중 KeyNote 3 은 소만사의 최일훈 부사장이 발표한 “최근 판례로 보는 개인정보유출사고 재발방지기능 소개”였다. 보안전문가가 아닌 일반 대학생이, 그것도 보안과는 다소 거리가 먼 전공을 공부하고 있는 내가 듣기에는 다소 어렵고 생소한 내용들이 있었으나, 구체적인 사례를 통해 기업이 어떠한 대응책을 마련해야 하는지를 살펴볼 수 있었던 유익한 발표였다.

2년 전 모 포탈에서 일어난 개인정보유출 사고 관련 법원 판결을 소개한 뒤, 각 기관에서 어떠한 방식으로 개인정보유출사고를 방지할 수 있을지를 이야기했다. 다음은 주요 내용.


*2년 전 모 포탈의 개인정보유출사고에 대한 위자료 배상 판결! WHY?

지난 2011년 7월, 모 포탈사이트가 가지고 있던 3,500만명의 개인정보가 유출되는 사고가 발생했다. 그리고 2년이 지난 2013년 2월, 법원은 집단소송을 건 원고 2800명에게 피고(모 포탈)는 각각 20만원씩 배상하라는 판결을 내렸다. 

이는, 해킹으로 인한 개인정보유출에 대하여 법원이 최초로 배상판결을 내린 사건이라는 점에서 큰 의의를 가진다. 특히 개인정보유출로 인한 정신적 피해나, 제 3자의 도용으로 인한 추가적 피해 등을 재판부가 인정한 것으로 사용자 정보를 보유한 여러 기관에 경종을 울리는 중요한 판결이라고 볼 수 있다.

그렇다면 어떠한 근거로 이러한 배상 판결이 이루어진 것일까? 법원은, 피고(모 포탈)가 선량한 관리자로서 기술적 관리적 보호조치 의무를 다하지 못 한 것으로 판단하였다. DB 관리자가 DB 접속 후 로그인한 상태로 퇴근하여 심야시간에 개인정보를 조회할 수 있도록 방치한 것, 대량의 개인정보를 파일로 생성한 것에 대한 이상징후를 탐지하지 못한 것, 개인정보의 외부유출을 모니터링하거나 통제하지 못한 것 등은 정보통신망법의 몇 개 항목을 어겼기에 피고(모 포탈)에게 책임을 묻게 된 것이다.


*기존의 DLP(Data Loss Prevention, 정보 유출 방지 기술)

이러한 판례를 통해 보았듯이, 각 기관의 보안 담당자들이 가져야 할 책임이 존재하고, 개인정보를 보호하기 위한 대책이 선행되어야 한다. 사실, 이를 위해 DLP(Data Loss Prevention, 정보 유출 방지) 기술이 존재하는데, 크게 4가지로 볼 수 있다.

- Discovery : 어디에 누가 어떤 정보를 가지고 있는지 파악하고, 적절한 조치(암호화, 삭제)를 하는 것 (ex: PC)

- Network DLP : 네트워크를 통해 유출되는 정보를 모니터링하고 차단하는 것

- Endpoint DLP : 단말의 외부 인터페이스를 통해 유출되는 정보를 모니터링하고 차단하는 것 (ex: 매체제어, USB/외장하드)

- DB DLP : DB상의 정보가 유출되는 것을 모니터링하고 차단하는 것


*DLP 개념의 확장이 필요하다!

그렇지만, 기존의 DLP 기술로는 제대로 된 정보 보호를 할 수 없다. 단지 기술에 의존하는 것이 아니라, 보안 관리자가 직접 모니터링하고 통제하면서 개인정보 보호를 위해 최선을 다해야 한다. 특히 기존의 DLP 범위를 뛰어넘어 더욱 넓은 범위로 확장해야만 한다.

Discovery 영역에서는, 누가 어떤 정보를 가지고 있는지 파악하고 조치를 할 때, PC에만 초점을 맞추는 것이 아니라 서버나 데이터베이스, 모바일 등으로 범위를 확장할 필요가 있다. 특히 최근에는 모바일 영역에서 정보 유출에 대한 기술이 아직까지 부족하기 때문에, 각 기관에서는 이에 유념할 필요가 있겠다.

또한, 메일이나 게시판, 웹하드나 각종 App 등의 네트워크를 통해 유출되는 정보를 잘 감시해야 하며, USB나 외장하드 뿐만 아니라 프린트를 통해 정보가 새나가는 것을 주의해야 한다. 특히 프린트물을 통한 개인정보 유출을 막기 위하여, 출력자 이름/일시가 워터마크되어 출력되는 기술적 보완이 필요하며, 개인정보를 출력하는 사람의 정보를 저장하고, 혹 필요 이상의 정보를 출력한다고 여겨질 때에는 차단하는 시스템이 필요하다.

최일훈 부사장의 말에 따르면, 해커의 공격은 이제 불특정 다수를 향하는 것이 아니라, 특정 집단이나 기관을 노리고 이루어진다. 그만큼 각 기관에서는 개인정보 유출을 막기 위한 ‘전쟁’을 더욱 치열하게 해야 한다. 그렇지만, 이를 단지 보안전문가의 몫으로만 돌릴 수는 없다. 우리 모두가 개인정보를 보호하기 위해 노력해야 개인정보유출사고의 재발을 막을 수 있지 않을까. Ahn


대학생기자 김지수 /  서울대 사회교육과,경영학과

댓글을 달아 주세요