유령, 드라마 속 사이버 범죄는 100% 리얼?

보안라이프/이슈&이슈 2012. 7. 26. 08:35

2012년 5월 30일 수요일부터 시작된 SBS 드라마 '유령'은 경찰청 사이버테러대응센터를 배경으로 사이버 범죄를 다루고 있다. 특히 경찰과 보안 업체 등에서 기술 자문을 받아 현실성을 높였다. 하지만, 드라마는 기본적으로 허구이기 때문에 기술 자문을 받아 제작되어도 극적 재미, 시간적 제약, 시청자 이해 등의 이유로 과장되거나 생략되기도 한다.

 

드라마 '유령'에 나온 내용 중 일부에 대해 실현 가능성을 알아보자. 관련 내용을 알고 다시 본다면 더욱 재미있지 않을까 싶다. 현실 위험도는 별 1~5개로 구분했다. 현실 위험이 높을수록 별이 많다. 그러나 이것은 어디까지나 현재 기준이며, 여러 가지 요인에 의해 앞으로 바뀔 수 있다는 점을 밝혀둔다. 
 

메일을 이용한 악성코드 감염(제3화, 제4화)

• 현실 위험도: ★★★★★

 

'유령'에서는 메일의 첨부 파일을 통해 상대방 컴퓨터에 악성코드를 감염시키는 방법이 여러 차례 나온다. 제3화에서는 악성코드가 첨부된 메일을 발송하는 장면이 나오고 제4화에서도 악플을 단 사람들에게 ‘마술사의꿈 무료초대권.jpg’라는 파일이 첨부된 메일이 발송된다. 


[그림 1] 메일의 첨부 파일을 이용한 악성코드 감염

 

일반적으로 사용자 컴퓨터에 대한 악성코드 감염은 불특정 다수를 상대로 이뤄지지만 드라마처럼 특정인에 대한 공격은 타깃 공격(Targeted attack) 혹은 스피어 피싱(Spear Phishing)이라고 부른다. 이 경우에는 해킹할 대상을 미리 정해 놓고 공격하기 때문에 메일을 보낼 때는 주변 사람 혹은 관심을 가질만한 내용으로 메일이 작성된다.

 

실제 타깃 공격 대상에 보내지는 첨부 파일은 실행 파일보다는 변조된 문서 파일일 가능성이 높다. 사용자가 문서를 열어볼 경우 취약점을 이용해 사용자 모르게 악성코드를 감염시킬 수 있다. 메일을 통한 악성코드 감염은 매우 흔하므로 현실 위험은 별 5개이다. 

 

야동에 악성코드가?(제5화)

• 현실 위험도: ★★

 

제5화에서는 연예인 K양 비디오에 악성코드가 포함되어 유행한다는 내용이 방송됐다. 동영상 파일 자체에 악성코드를 포함하는 건 기술적으로 가능하지만 어려운 일이므로 일반적이지는 않다. 대부분 동영상 파일로 위장한 실행 파일이다. 하지만, 드라마에서는 기술적으로 뛰어난 ‘대형’이라는 해커 그룹에서 만들었다는 설정을 하고 있기 때문에 불가능하지는 않다. 이 경우, 동영상 파일을 변조한 후 국내에서 많이 사용되는 동영상 플레이어의 취약점을 이용해 악성코드를 퍼뜨렸을 가능성이 높다. 
그러나, 공격자 입장에서 동영상 파일 자체에 악성코드를 넣는 건 쉽지 않으므로 현실 위험은 별 2개이다. 

 

엑셀 파일에 악성코드를?(제5화)

• 현실 위험도: ★★★

 

친구 김우현(소지섭 분)으로 살고 있는 박기영(최다니엘 분)은 제5화에서 K양 동영상 업로드 아르바이트생으로 가장해 하나의 엑셀 파일을 보낸다. 엑셀을 열어본 사람의 컴퓨터가 악성코드에 감염되어 노트북 카메라로 조직의 아지트 내부가 촬영된다.

 


[그림 2] 엑셀 파일을 이용한 악성코드 전파

 

박기영은 아직 알려지지 않은 엑셀 프로그램의 취약점을 이용한 걸로 보인다. 대형의 멤버라면 프로그램의 취약점을 해결해 주는 보안 업데이트를 항상 최신으로 유지할 가능성이 높기 때문이다. 이처럼 프로그램 취약점을 해결하는 보안 업데이트가 나오지 않은 취약점 공격은 막을 방법이 많지 않다. 이런 해결되지 않은 취약점을 이용한 공격을 제로데이 공격(zero-day attack)이라고 한다. 박기영은 다수의 제로데이 취약점을 알고 있는 것으로 추정된다. 실제 제로데이 공격에 사용되는 취약점 중 일부는 암시장에서 수천만 원에서 수억 원에 거래되기도 한다. 제로데이 공격이 그리 일반적이지는 않지만 일 년에 몇 번씩 실제 공격에 사용되므로 현실 위험은 보통으로 별 3개이다. 

 

국가 기반 시설 공격 가능성(제5화, 제6화)

•현실 위험도: ★

 

대한전력에 대한 사이버 공격은 매우 흥미롭게 진행됐다. 드라마를 보고 많은 문의가 있었는지 제6화에서는 드라마 시작 전에 픽션(Fiction)이라는 자막이 포함되었다. 지식경제부에서도 이례적으로 관련 보도자료를 배포했고, 언론도 관심을 갖고 보도했다. 

- 지경부 발끈 “드라마 ‘유령’ 같은 일 없다” (조선비즈, 2012년 6월 20일)

 

- ‘유령’ 사이버테러 해킹 장면의 진실과 거짓~! (한국일보, 2012년 6월 20일)

- 드라마 나온 전력해킹 정부가 해명한 이유는 (국민일보, 2012년 6월 20일)

- SBS 드라마 ‘유령’ 진실 혹은 거짓은 (세계일보, 2012년 6월 20일)

드라마에서 대한전력으로 설정한 기간 시설 공격에는 크게 두 가지가 현실성 논란이 있었다.

 

첫째, USB 메모리 반입

 

현재 주요 기간망뿐만 아니라 보안이 필요한 기업에서는 USB 메모리 등의 저장 매체 반입이 엄격히 금지되어 있다. 따라서, 원칙적으로 드라마처럼 집에서 가져온 USB 메모리가 내부 시스템에 연결될 수는 없다. 하지만, 모두 보안 규정을 철저하게 지킬 때 이야기이다. 현실에서는 그렇지 않은 경우가 많다. USB 메모리에 업무용 자료를 담아 집에서 작업하기 위해 몰래 들고 갔을 수도 있고, 등록된 USB 메모리를 사용하다가 깜박하고 들고 갔을 수도 있다. 2008년 미국 국방부 시스템에 유입된 악성코드가 2011년까지 해결되지 않았다는 기사가 있다.  해당 악성코드는 USB 메모리로 전파되는 악성코드로, 기사의 내용이 사실이라면, 미국 역시 외부 저장 매체를 몰래 반입하는 사람들이 있다는 증거가 아닐까.

 

내부 시스템의 USB가 봉인되어 있다고 해도 업데이트, 시스템 유지 보수 등의 이유로 외부에서 시스템이나 프로그램을 반입해야 한다. 만약 콤팩트디스크(CD)에 프로그램을 담아 반입하려 했다면 극중 재희가 관련 업체에 침입해 CD를 바꿀 수도 있지 않았을까 싶다.

 

둘째, 외부와 통신

 

많은 사람들이 의아해하는 것 중 하나가 망이 분리되어 있는데 외부에서 내부 시스템을 원격 제어하는 내용이다. 드라마에서 이 부분에 대한 설명은 없지만 몇 가지 가능성을 생각해 볼 수 있다.

 

우선 내부망과 인터넷망이 물리적으로 완전히 단절돼 있는 것처럼 보이지만 실제로는 일부 시스템이 외부와 연결되어 있고 방화벽으로 차단되어 있을 수 있다. 악성코드가 내부 시스템을 감염시키면서 이런 방화벽 설정을 무력화시켰을 수 있다. 하지만, 대한전력 정도라면 이렇게 허술하게(?) 네트워크를 구성하지는 않았을 듯하다.

 

내부망이 물리적으로 아예 단절돼 있다면 악성코드만으로는 불가능하다. 박기영의 대사처럼 소설을 써보자면, 공격자가 경찰이나 백신 업체로 위장한 후 전화 통화로 내부에서 인터넷을 연결하게 만드는 건 어떨까? 일반적으로 해킹이라고 할 때 디지털적 요소만 생각하기 쉽지만 전화를 통해 사람을 속이는 아날로그적 해킹도 여전히 존재한다.

 

외부와 통신 부분은 악당과의 대결이라는 극적 재미가 가미되었다고 할 수 있다. 하지만, 미리 내부 시스템을 파악해서 프로그램에 넣어두었다면 외부 통신과 상관없이 내부 시스템 제어를 통해 악의적인 기능을 수행할 수 있다.

 

결과적으로 기간 시설 시스템 공격은 이론적으로 가능하지만 실제로는 쉽지 않다. 드라마상 허구가 가미되었다고 생각하면 된다. 하지만, 다수의 인원이 충분한 자본과 시간이 있다면 불가능한 것도 아니다. 실제 스턱스넷 웜은 국가가 지원했다는 의혹이 있어 망이 분리되어 있다고 마냥 안심할 수는 없다. 다양한 유형의 침입에 대비하고 내부에 침입했을 때 빨리 대처할 수 있는 체계를 마련해야 할 것이다.

 

기간 시설 공격에는 많은 자본과 시간과 인력이 필요해 기술적으로 가능하지만, 실현 가능성은 낮아 별 1개를 줬다. 하지만, 실제로 발생했을 때 파급력은 어마어마하다.

 

지금까지 드라마 '유령'에 나온 보안 위협의 실현 가능성에 대해 살펴보았다. 드라마는 시청자의 흥미를 유발하기 위해 극적인 요소가 포함되기도 한다. 앞서 언급했듯이 현실 위험에 대한 별점은 어디까지나 현재 기준이며, 여러 가지 요인에 의해 얼마든지 달라질 수 있다. 관련 일을 하고 있는 사람으로서, 이 드라마를 통해 보안 위협에 막연한 두려움을 갖는 것이 아니라 보안에 대한 중요성과 관심이 높아지기를 기대해본다. Ahn

 

차민석 / 안랩 시큐리티대응센터(ASEC) 책임연구원

댓글을 달아 주세요

  1. earth 2012.08.09 23:11  Address |  Modify / Delete |  Reply

    유령 마지막회 잘 보았습니다~ ^^

유령, 알고 보면 더 재미있는 사이버 보안 세상

보안라이프/이슈&이슈 2012. 7. 25. 08:38

2012년 2월, 안랩 시큐리티대응센터(ASEC)는 사이버 범죄를 주제로 한 드라마의 자문을 의뢰 받았다. 드라마 ‘유령’에는 긴박한 스토리라인과 함께 다양한 보안 전문 용어가 곳곳에 등장한다. 일반 시청자들에게는 생소할 수 있는 보안 용어를 최대한 쉽게 설명하는 한편, 사이버 범죄에 이용되는 다양한 해킹 기술 묘사에 대해 검수하는 것이 ASEC의 역할이었다. 


드라마가 방송된 이후 수많은 시청자가 드라마 속의 보안 기술에 상당한 관심을 보이고 있다. ‘실제로 저런 해킹이 가능한가?’라는 궁금증은 물론, ‘자막이 너무 빨리 지나가 전문 용어를 이해하기 어렵다’는 날카로운 지적도 있다. 드라마 ‘유령’에 등장한 사이버 공격 기술 중 현실 세계에 큰 위협이 될 수 있는 에피소드를 중심으로, 개인과 기업의 안전을 위해 주의할 사항을 다시 한번 짚어본다.


무선랜 해킹을 통한 개인정보 유출

 

"2407번 학생, 이 날씨 좋은 날 왜 개떡 같은 사이버 수사 강의를 들어야 하는지 말씀드리죠. (자기 스마트폰을 들어올리고 학생들을 보며)방금 여러분은 스마트폰으로 다른 사람들에게 보내던 무선 정보를 해킹당했습니다. 이런 식으로 불법 수집당한 개인정보들은 주민번호 도용 등의 심각한 범죄에 사용당할 수 있습니다. 이게 바로 사이버 수사가 필요한 이윱니다."



제1화, 경찰청 사이버수사대 수사 1팀장 김우현(소지섭 분)이 경찰대학에서 사이버 수사에 대해 강의를 한다. 김우현은 자신의 스마트폰을 들여다보면서 강의실의 한 학생이 친구에게 보낸 메시지를 정확히 읊어낸다. 스마트폰으로 발송한 무선 정보가 해킹될 수 있음을 ‘시연’한 것이다.

 


[그림 1] 무선랜 해킹을 통한 메시지 감청(출처 : 드라마 ‘유령’ 제1화)

 

얼마 전 뉴스 보도에 따르면, 전 세계적으로 10명 중 9명이 스마트폰을 사용하고 있다. 스마트폰 보급의 확대는 무선랜 보급에도 크게 기여했다. 우리나라만 해도 이제 우리는 집, 회사뿐만 아니라 까페나 거리에서도 수많은 Wi-Fi 신호를 이용할 수 있다. 문제는 안전 불감증이다. 자신도 모르는 사이에 개인정보가 보안에 취약한 무선 네트워크를 통해 빠져나갈 수 있음을 잊어서는 안 된다. 스마트폰 사용자들의 대부분은 다음과 같은 위험에 노출돼 있다.

▶ 무선 AP 접속 비밀번호를 기본(default) 값 그대로 사용
▶ 보안이 전혀 고려되지 않은 오픈-프리 무선 네트워크의 무방비한 사용
▶ 보안성이 낮은 WEP, WPA 암호 프로토콜을 사용하는 무선 네트워크 이용
(*보안이 강력한 WPA2 암호 프로토콜 이용 권장)

 

 

우현 : 신효정이 쓰던 아이피.. 무선 에이피였어..
강미 : (놀라는)무선 에이피요?
우현 : 무선 에이피에 비밀번호를 걸어놓지 않았다면.. 반경 50미터 이내에선 누구나 이 아이피를 쓸 수 있어.

 

드라마 ‘유령’의 본격적인 스토리의 시작은 악의적인 덧글에 시달리던 유명 연예인의 자살이다. 이 사건을 파헤치던 사이버수사대는 그 연예인이 자살을 암시하며 SNS에 올린 글이 다른 사람에 의해 쓰여졌다는 것을 알게 된다. 그 연예인이 사용하던 공유기에 암호가 걸려있지 않아 그의 IP 주소를 이용했던 것이다. 계정과 비밀번호까지 알고 있던 범인은 암호화되지 않은 무선랜을 이용해 온라인상에서 거의 완벽하게 다른 사람 행세를 할 수 있었던 것이다.

 


[그림 2] 비밀번호가 설정되지 않은 무선랜 공유기(출처 : 드라마 ‘유령’ 제2화)

 

[그림 3] 무선랜 해킹 프로그램인 에어크랙

 

참고로 [그림 3]은 무선랜 해킹 프로그램인 에어크랙(aircrack)을 이용해 WEP(Wireless Encryption Protocol)의 암호 키를 추출하는 화면이다. 이로써 모든 송수신 암호화 데이터를 복호화할 수 있다.

 

이러한 해킹을 막기 위해 방송통신위원회는 다음과 같은 ‘안전한 무선랜 이용 7대 수칙’을 권고하고 있다. 
① 무선공유기 사용 시 보안 기능 설정하기 
② 무선공유기 비밀번호 안전하게 관리하기 
③ 사용하지 않는 무선공유기 꺼놓기 
④ 제공자가 불분명한 무선랜 이용하지 않기 
⑤ 보안 설정이 되어있지 않은 무선랜으로 민감한 서비스 이용하지 않기 
⑥ 무선랜 자동 접속 기능 사용하지 않기 
⑦ 무선 공유기의 명칭(SSID)을 변경하고 숨김 기능 설정하기 

 

스테가노그래피를 이용한 정보 은닉 

 

기영 : 스테가노그래피야!

기영을 바라보는 강미, 놀라서 멈칫한다.
-인서트 컷

노트북작업을 하고 있는 생전의 신효정의 모습.
스테가노그래피 툴로 동영상 파일에 다른 파일을 덧입히고 있다.
증거물 보관실로 돌아오면 기영을 반신반의하면서 보는 강미.

강미 : ...신효정이 스테가노그래피 기술로 파일을 숨겼다구요?
기영 : 신효정은 죽기 전에 방송국 뉴스 팀에 메일을 보내려고 했어. 하지만 파일을 첨부하진 못했지. 그 전에 죽임을 당했으니까..



[그림 4] 동영상 안에 다른 동영상을 숨기는 작업(출처 : 드라마 ‘유령’ 제2화)

 

[그림 4]는 드라마 ‘유령’에서 사건의 실마리가 되는 동영상을 발견하는 장면이다. 스테가노그래피 응용 프로그램으로 동영상 파일에 다른 파일을 덧입힌 것을 확인한 것이다. 스테가노그래피(Steganography)란 사진이나 음악 파일 등에 특정한 정보(파일)를 숨기는 기술이다. 실제로 전달하고자 하는 비밀 메시지나 정보 등을 다른 정보에 은닉하는 방법으로 사용되는데, 오사마 빈 라덴이 알카에다 조직원과의 연락을 위해 사용한 것으로 알려지면서 유명해지기도 했다. 드라마 ‘유령’에서는 살인 사건의 목격자가 녹화한 영상을 숨기기 위한 방법으로 사용했다.
 
이 기술 악의적인 목적으로만 사용되는 것은 아니다. 예를 들어 짝사랑하는 사람에게 사랑 고백을 하는 로맨틱한 깜짝 이벤트에도 활용할 수 있다. 일상적인 편지처럼 보이지만, 그 안에 진심이 담긴 사랑의 메시지가 숨어있다면 어떨까? 물론 상대방이 스테가노그래피 기술을 알고 있다는 까다로운 전제가 있어야 한다. 오픈소스 기반의 스테가노그래피 응용 프로그램도 있으니, 한 번쯤 선량한 목적으로 사용해보는 것도 색다른 즐거움이 될 것이다. 

 

원격 취약점을 이용한 공격


기영(소리) : 아이피는 xxx.xxx.xxx.xxx. 스캐닝 프로그램으로 취약점을 찾아서 공격을 시작한다.
기영(소리) : 취약한 xxxx번 서비스 포트로 공격 코드를 보낸다. 모니터를 바라보는 기영의 눈빛, 드디어 성공이다. 노트북 모니터에는 시스템 권한 ‘승인’창이 뜬다.
기영(소리) : 익스플로잇 성공.

드라마 ‘유령’ 제3화에서는 낯선 용어들이 나온다. 또 악명 높은 해커(박기영, 이후 김우현으로 살아가는) 하데스가 다양한 원격 취약점 공격을 시도하는 장면도 드라마 전반에 자주 등장한다.

   


[그림 5] 스캐닝 응용 프로그램(좌)과 취약한 서비스 포트로 공격 코드(Exploit)를 전송하는 장면(출처 : 드라마 ‘유령’ 제3화)

 

일반적으로 사이버 공격은 스캐닝 → 서비스 포트로 공격 코드 전송 → 시스템 권한 상승(공격 성공)의 순서로 진행된다. 기업의 보안 상태를 점검하고 적절한 개선 방안을 찾는 보안 컨설팅의 모의침투 테스트(Penetration Test)도 이와 유사한 과정으로 진행된다. 앞서 언급한 스테가노그래피와 마찬가지로 기술을 사용하는 사람의 목적이 다를 뿐이다.

 

공격의 출발점인 스캐닝(Scanning)은 상대가 노출하고 있는 허점, 즉 약점을 찾는 것이다. 이때 사용되는 것이 스캐닝 프로그램으로, 컴퓨터의 열려 있는 서비스 포트 등을 탐색하는 프로그램이다. 스캐닝 기술을 이용해 오픈(열려 있는) 서비스 포트를 확인할 뿐만 아니라 오픈 서비스에 연결된 응용 프로그램의 버전까지도 파악할 수 있다.

 

서비스 포트란 컴퓨터에서 실행되는 프로그램이 외부와 데이터를 주고 받는 통로라고 할 수 있다. 일반적으로 익스플로이트(Exploit)라고 불리는 공격 코드는 컴퓨터 시스템이나 응용 프로그램의 버그 또는 보안 취약점 등을 이용해 공격자의 의도대로 동작하게 만드는 악의적인 명령을 내린다.
 
공격자는 서비스 포트 혹은 그와 연관된 데몬 응용 프로그램을 확인한 후에는 적절한 공격 무기를 갖춰야 한다. 익히 알려져 있는 무기를 재활용할 수도 있고, 아직 아무도 알지 못하는, 그래서 누구도 막을 수 없는 자신만의 무기를 개발할 수도 있다. 인터넷에 유포되어 있는 악성코드나 공격 툴을 사용하는 것이 전자라면, 아직 알려지지 않은 취약점을 노리는 제로데이 공격(zero-day attack) 공격 코드를 만들어내는 것은 후자의 예이다. 제로데이 공격의 성공률은 100%에 가깝다. 드라마 ‘유령’의 하데스는 세상에 알려지지 않은 제로데이 공격 코드를 상당수 보유한 뛰어난 공격자다. 

 

메신저, 문서 취약점을 이용한 원격 제어 악성코드
 


[그림 6] 문서 취약점 공격 코드 전송(출처 : 드라마 ‘유령’ 제5화)

 

기업 보안 담당자라면 드라마 ‘유령’ 제5화를 관심 있게 지켜볼 필요가 있다. 범죄 조직에 고용된 아르바이트생을 통해 범인들의 아지트를 알아내는 장면에서 흥미로운 해킹 기법이 등장하기 때문이다. 공격자는 메신저를 통해 상대방에게 문서 취약점 공격 코드를 전송함으로써 원격 제어 악성코드(RAT : Remote Administration Tool)를 성공적으로 설치한다.

 

메신저를 통해 전송된 엑셀 파일을 클릭하는 순간, 은밀히 컴퓨터의 웹캠이 돌아가고 범인들의 아지트 모습이 상대방에게 전송되기 시작한다. 엑셀 파일에 원격 제어 악성코드가 숨겨져 있었기 때문이다.

 

 

이것은 최근 기업 내부 시스템에 침투해 주요 정보를 탈취하고 시스템을 파괴하려는 지능형 타깃 공격(APT : Advanced Persistent Threat)에 주로 이용되는 공격 방식이다.

 

또한 드라마 ‘유령’에서는 이메일, P2P 메신저, USB 등이 악성코드 전파 수단으로 많이 이용된다. 실제로 과거에 비해 운영체제의 보안이 크게 강화되면서, 공격자들은 자연스럽게 응용 프로그램 취약점으로 시선을 옮기고 있다. 응용 프로그램의 알려지지 않은 취약점을 노리는 제로데이 공격 활용 빈도가 꾸준히 증가하는 것도 이 때문이다. 

 

DDoS 공격과 좀비 PC


DDoS(Distributed Denial of Service), 이른바 분산 서비스 공격은 여러 대의 컴퓨터에서 일제히 특정 웹 사이트에 접속함으로써 해당 서비스를 다운시키는 것이다. DDoS 공격의 성공은 얼마나 많은 좀비 PC를 확보하느냐에 달렸다. 좀비 PC란 악성코드에 감염되어 사용자의 의도와 상관없이 공격자에 의해 원격으로 조종되는 컴퓨터를 의미한다.

 


[그림 8] USB를 통한 악성코드 감염(출처 : 드라마 ‘유령’ 제5화)

 

드라마 ‘유령’에서는 파일 공유 사이트를 통해 유포되는 연예인 음란 동영상에 악성코드를 삽입해 다수의 PC를 감염시킨다. 실제로 공격자들이 다수의 좀비 PC를 확보하기 위해 이용하는 대표적인 방법은 다음과 같다.

 

① 잘 알려진 웹 사이트를 침해하여 악성코드 유포지로 활용
② 잘 알려진 응용 프로그램의 업데이트 서버를 침해하여 악성코드 유포에 활용
③ 파일 공유(P2P) 사이트에서 많은 사람들의 관심을 끌 만한 동영상으로 사칭하여 악성코드 유포에 활용 

 

스턱스넷, USB, 그리고 스카다 시스템


현재까지 방송된 드라마 ‘유령’에서 가장 충격적인 에피소드로 꼽히는 것은 전력 시스템 중단에 따른 대규모 정전 사태일 것이다(제5~6화).

 

사건의 전말은 이렇다. 어느 날 밤 ‘대한전력’ 보안팀 직원의 집에 도둑이 들었다. 범인의 하수인이었던 그 도둑은 대한전력 보안팀 직원의 개인 컴퓨터에 악성코드를 심어둔다. 그 사실을 알 리 없는 대한전력 보안팀 직원은 전력 시스템을 제어하는 컴퓨터에 개인 컴퓨터에서 사용했던 USB를 꽂았고, 이를 통해 전력 시스템 전체가 감염된 것이다. 전력 시스템 이상으로 전기 공급이 중단되자 도로에서는 교통 신호등이 멈춰 연쇄 추돌 사고가 발생하고, 건물의 엘리베이터 안에 승객들이 갇히는 한편, 병원에서는 정전 때문에 수술이 중단된다. 사이버수사대가 가까스로 공격을 막아냈다고 생각하고 한숨 돌리는 순간, 이번에는 숨어들었던 악성코드가 파괴 명령을 내려 전력 시스템 자체를 파괴하기 시작한다.

 


[그림 9] USB를 통한 악성코드 감염 과정(출처 : 드라마 ‘유령’ 제5화)

 

사실 이 에피소드는 몇 년 전, 이란 원전 공격으로 크게 회자된 바 있는 스턱스넷(Stuxnet)에서 주요 모티브를 따온 것이다. 스턱스넷이란 발전소, 공항, 철도 등 기간 시설을 파괴하기 위해 국가 기반 시설 등에서 사용하는 스카다(SCADA, Supervisory Control Data Acquisition) 시스템을 노리고 특수 제작된 악성코드다. 스턱스넷은 비교적 최근 나타난 악성코드임에도 불구하고 듀큐(Trojan/DuQu), 플레임(Trojan/Flame) 등의 유사한 악성코드가 연이어 나타나고 있어 국내외 보안 업계가 예의 주시하고 있다.

 

전력 시스템과 같은 사회 기간 시설은 외부 인터넷이 연결되지 않는 폐쇄망으로 운영된다. 폐쇄망 환경에서, 외부의 악성코드가 내부로 침투할 수 있는 유일한 감염 경로는 USB다. 악성코드에 감염된 USB를 컴퓨터에 꽂는 순간, USB에 들어있던 악성코드가 오토런(AutoRun) 기능에 의해 자동 실행되어 컴퓨터 본체를 감염시킨다.

 

그러나 USB를 감염 루트로 이용하는 악성코드는 스텍스넷 종류에 한정된 것은 아니다. 이미 수많은 악성코드가 USB 자동 실행 기능을 자기 감염 방식으로 사용하고 있으므로 USB 보안에 대한 특별한 주의가 필요하다. 

 

스피어 피싱, 메일을 이용한 타깃 공격


제6화에서는 주인공들의 과거 회상 장면이 나온다. 경찰대 학생인 박기영은 호기심으로 절친한 동기 김우현의 아버지에게 악성코드를 보내 그의 이메일을 훔쳐본다. 고위 경찰 간부였던 김우현 아버지의 이메일 가운데 <극비문서 3차 수사지침>이라는 제목의 메일이, 박기영이 경찰대를 떠나 해커 하데스가 되는 계기가 된다.

 

[그림 10]은 박기영이 김우현 아버지에게 악성코드를 보낼 때 이용한 공격 기법을 보여준다. 이러한 기법을 스피어 피싱(Spear Phishing)이라고 부른다. 스피어 피싱은 신뢰할 만한 발신인이 보낸 것처럼 위장된 메일을 이용해 웹 사이트로 유도 또는 첨부 파일을 통해 악성코드에 감염시키거나 타깃의 개인정보를 유출하는 일종의 피싱 공격이다. 사람의 관심과 호기심을 자극하는 사회공학적(Social Engineering) 기법을 이용하기 때문에 조금만 주의를 게을리해도 공격의 희생양이 된다. 쇼핑을 좋아하는 이가 할인쿠폰 정보가 담긴 이메일을 클릭하지 않고 그냥 지나치겠는가.

    
 
[그림 10] 스피어 피싱 공격(출처 : 드라마 ‘유령’ 제6화)

 

제6화에서 보여준 스피어 피싱의 과정은 다음과 같다.
① 타인의 전화번호 수첩을 통해 타깃의 이메일 주소 획득
② 타깃이 속한 조직의 인사팀을 사칭하여, 악성코드를 삽입한 허위 인사 파일을 타깃의 이메일로 전송
③ 타깃이 해당 이메일의 첨부 파일을 클릭하여 악성코드에 감염(드라마에서는 이 부분을 생략했다.)
④ 스피어 피싱 성공, 타깃의 이메일 일부가 공격자에게 전달

 

“아는 만큼 보인다”는 말이 있다. 드라마 ‘유령’에서 등장한 컴퓨터 공격 기술과 관련 용어들에 대해 이해하고 시청한다면, 이제 절정을 향해 가고 있는 드라마를 더욱 즐겁게 볼 수 있을 것이다. 물론, 드라마는 드라마일 뿐이다. 기술적인 부분을 지나치게 들춰내기보다는 드라마의 극적 요소와 긴박감을 온전히 즐기는 것이 중요하다. 다만, 드라마가 다루고 있는 일부 위협과 대비책을 인지하고 이에 대비할 수 있다면 금상첨화겠다. Ahn


김지훈 / 안랩 시큐리티대응센터(ASEC) A-퍼스트팀 팀장


댓글을 달아 주세요

세계서도 당당한 아시아 대표 우리 IT 기업의 활약

안랩人side/포토안랩 2012. 7. 4. 07:00

글로벌 보안 기업 안랩이 6월 11일(현지시각)부터 14일까지 미국 워싱턴DC에서 글로벌 보안 컨퍼런스인 ‘가트너 시큐리티 & 리스크 관리 서밋 2012’에 참가했습니다.

안랩은 국내 대표 보안 업체로서 아시아에서는 최초로 '가트너 서밋'에 참가했습니다. 아시아 최초라는 점에서 안랩이 국내뿐만 아니라 아시아를 넘어 세계 대표 보안 업체로 뻗어나갈 수 있는 가능성을 옅볼 수 있는 자리였습니다.

또한 '가트너 서밋 2012’는 세계 최대의 시장조사기관 가트너가 주최하는 세계적 규모의 보안 컨퍼런스로 순수 국산 보안 기술력을 소프트웨어의 중심인 미국에 소개한다는 데 의미가 컸습니다.

지금부터 세계 무대에서 당당했던 안랩의 모습을 사진으로 살펴보겠습니다! ^^ 

이곳이 '가트너 서밋'이 열린 워싱턴D.C의 gaylord national hotel의 모습입니다. 역시 세계적인 보안 컨퍼런스답게 행사가 열리는 호텔의 모습도 정말 멋있었습니다.  

행사장 바로 앞, 수 많은 요트들이 정박해 있는 멋진 항구의 모습이 펼쳐져 있었습니다.

     

행사 당일에는 날씨가 무척 좋았습니다. 햇볕이 좋기로 유명한 워싱턴답게 정말 풍광이 멋졌습니다. 안랩이 이렇게 좋은 곳에서 열리는 컨퍼런스에 당당히 참가했다고 생각하니  정말 자랑스러웠습니다.

우리 한강에서도 수상 택시가 다닌다는데 워싱턴에서도 수상택시가 운행을 하고 있습니다. 왕복 16$정도 하는 것 같은데, 한번 타볼 만한 것 같습니다.

     

밤에는 사람들이 모여서 음식도 먹고 즐기는 모습을 볼 수 있었습니다.

다시 본론으로 돌아와 컨퍼런스 현장을 소개해 드리겠습니다. 위에 보이는 공간이 등록 창구의 모습입니다. 이른 시각이라 사람들이 그렇게 몰리지는 않았습니다. 

조금 시간이 지나자 넓은 홀이 사람들로 가득 찼습니다. 세계적인 보안 컨퍼런스인 만큼 관심이 대단했습니다.

가트너의 애널리스트들이 나와 스피치를 하는 모습입니다. 좌석은 금방 가득 찼고 중간중간 서서 스피치를 듣는 사람도 많았습니다.

컨퍼런스에 참가하는 기업들을 소개하는 장면입니다. 당당하게 실버 스폰서로 참가한 안랩의 로고도 보입니다. 안랩도 멀지 않은 미래에 PRIMIER 스폰서로 가트너 서밋에 참가하는 날이 올 것이라고 확신합니다!  

'기업 보안 로드맵'에 대해 오프닝 키노트를 하고 있는 가트너의 부대표인 Andrew Walls의 모습입니다.

미국 최고의 컴퓨터 제조회사에서 보안 소프트웨어 영역으로 사업을 빠르게 확장하고 있는 DELL사의 CEO 마이클 델의 모습입니다. 마이클 델과 정보보안에 대한 토크쇼 형식의 인터뷰가 진행되었습니다.

수많은 글로벌 보안 기업과 어깨를 나란히 하며 안랩도 전시장 한 코너를 차지했습니다. 많은 바이어에게 관심을 받아서 행복한, 세일즈마케팅팀 이상국 팀장입니다! ^^ 

이번 가트너 서밋에서의 안랩 부스의 모습입니다.  

700여 명의 안랩인을 대신해 이번 가트너 서밋에서 안랩을 알리기 위해 수고한 안랩인들의 모습입니다. 우리 안랩인이 1995년도 안랩이 설립되었을 때의 열정과 희망을 갖고 최선을 다해 나아간다면 글로벌 탑 보안회사로 도약할 날도 멀지 않았다고 생각합니다. 모두들 수고하셨습니다! 짝짝짝!  Ahn 

사내기자 류석 / 안랩 커뮤니케이션팀


댓글을 달아 주세요

IT인이라면 주목할 만한 코드엔진 컨퍼런스

리버스엔지니어링 기술은 마치 의사가 병의 원인을 파악하고, 그에 적절한 처방전을 내리듯이 사회의 악인 악성코드나 프로그램에 존재하는 취약점들을 분석하고, 그것을 치료하기 위해서 백신을 만들어내거나 취약점을 없애기 위해서 노력하는 것이라 할 수 있다.



악성코드, 바이러스 분석, MS 취약점 분석, 키보드 보안, 온라인 게임분석, 보안을 고려한 프로그램 개발을 위한 소프트웨어 크랙과 같은 다양한 분야에서 리버싱 인력이 취약점 분석을 위해서 일하고 있다. 하지만 리버싱 인력이 겪는 고난 중 하나가 리버싱 엔지니어링 분야의 자료 부족이다. 이러한 문제점을 해결하고자 '코드엔진 리버스엔지니어링 컨퍼런스'가 2007년 시작되었다.


 

코드엔진(CodeEngn)의 운영자인 이강석씨는 대학교 4학년 때 데프콘 15회 국제해킹대회에 song of Freedom 팀의 멤버로 참가한 바 있다. 그는 컨퍼런스 참가 당시 느낀 것이 있다.

"데프콘처럼 다양한 주제를 다루는 컨퍼런스는 아니지만 국내에도 RECON(recon.cx)처럼 리버스엔지니어링을 전문적으로 다루는 컨퍼런스가 있었으면 좋겠다." 

그래서 만든 것이 코드엔진 컨퍼런스다.

'2012 6th Code Engn Conference' 포스터

 

오는 7월 7일 6번째로 'Codeengn RCE Conference'가 열린다고 하여 그를 만나보았다.

- CodeEngn은 상업적으로 운영되는 것인가요?

코드엔진은 상업적 컨퍼런스가 아닙니다. 실무자의 눈으로 컨퍼런스를 준비해왔고 매년 개최될 것입니다. 컨퍼런스에 항상 쟁쟁한 발표주제가 있으니 리버스엔지니어링을 공부하고 싶은 분의 많은관심과 참여를 부탁드립니다.


-CodeEngn 사이트는 어떠한 컨텐츠로 구성되어 있나요?

사이트에 들어오시면 현재까지 개최된 컨퍼런스의 발표자료를 열람하실 수 있고, 리버싱을 공부하시는 분께 도움이 되고자 basic 문제부터 Advance문제까지 40여개의 문제가 제공됩니다. 악성코드분석, 암호학문제도 제공됩니다. 또한 서로의 자료를 공유하는 Archive 페이지가 있으며 현재 337개의 문서가 등록되어 있습니다.


-CodeEngn 컨퍼런스에는 주로 어떤 분이 참여하시나요?

작년 컨퍼런스에는 200여 명이 참석했고 직장인이 80여 명, 대학생과 고등학생 등 학생이 120여 명 참여했습니다. 또한 보안동아리에서 단체로 참여하기도 하였는데요, 많은 학생들이 리버싱에 관심이 많아 많은 참여가 있었던 것 같습니다.


-CodeEngn 컨퍼런스는 어떤 의미를 가지나요?

코드엔진 컨퍼런스는 실무 차원에서 기술적인 배움을 얻어 갈 수 있도록 실무자 입장에서 기획을 하고 있습니다. 목표는 소프트웨어 보안입니다. 보안을 하기 위해 리버스엔지니어링 기법에 대한 공부가 필수적입니다. 공격자들이 다양한 방법으로 리버스엔지니어링 기법을 활용해 공격을 해오고 있기 때문에 컨퍼런스에서 실제 어떤 공격들이 가능한지 공부하고 실무적으로도 적용할 수 있도록 하기 위함입니다.


-CodeEngn 운영 시 어려운 점은 무엇인가요?

초기에는 발표 인원부터 발표 장소까지 많은 어려움이 있었습니다. 첫 회 코드엔진 컨퍼런스 때는 운영상 미흡한 점이 아주 많았지만 주변에서 많은 분이 도와주시고 노하우가 생겨 현재는 어려운 점 없이 컨퍼런스를 개최하고 있습니다. 


-올해 CodeEngn 컨퍼런스는 어떤 발표주제로 구성되었나요?

우선 세계적으로 가장 권위 있는 보안 컨퍼런스 중 하나인 데트콘의 CTF 예선문제 풀이와 필자의 본선 경험을 토대로 테프콘 CTF 대회의 전체적인 흐름과 운영 방식, 전략에 대한 발표인 'Defcon 20th : The way to go to Las Vegas'를 박병진님께서 발표 해주시고, 연합해킹그룹 HARU와 고려대 정보보호대학원에서 주관하는 국제 해킹대회 예선전 문제풀이인 'Secuinside 2012 CTF 예선 문제풀이' 를 권혁씨가 발표합니다.

또 '모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석'에 대해서 유동훈 연구소장이 발표하고, 마지막으로 퍼징 기술의 입문자, 중급자에 초점을 맞춘 퍼징 기술에 대한 백그라운드 설명부터 최근 기술에는 어떠한 것이 있는지를 'Everyone has his of her own fuzzer'라는 제목으로 이승진씨가 발표합니다.

한 사람의 생각이 실천으로 이어져 독립적, 개인적으로만 연구하던 리버스엔지니어링 분야에 큰 빛을 가져다 준 CodeEngn!!! 



 

코드엔진 운영자 이강석씨는 "리버스엔지니어링을 공부하고 싶은 많은 분의 참여로 국내의 많은 리버싱 인력이 세계적인 리버싱 인력으로 성장하고, 미래의 보안전문가를 꿈꾸는 학생들 또한 많은 기술을 습득하여 훌륭한 실무자가 되길 바랍니다" 고 말했다. Ahn

대학생기자 김성현 / 수원대 컴퓨터학과

눈앞에 보이는 결승점을 향해 달리는 100m 선수가 아닌 저 멀리 열망하는
목적지를 향해 뚜벅뚜벅 걸음을 욺기는 우둔한 답사자가 되자.


댓글을 달아 주세요

직장인 자기개발의 좋은 예, 업무 서적 번역하기

최근 수없이 발생하는 해킹 사건들 때문에 IT에 종사하는 사람은 눈코뜰새없이 바쁘다. 해킹을 미리 예방하는 사람해킹이 발생했을 때 대응하는 사람, 발생 후 처리하는 사람까지 모두 우리의 안전한 IT세상을 위해 힘쓴다

 

안랩(구 안철수연구소)에도 여러 위협에 대응하기 위해 밤낮없이 일하는 이들이 많다. 이러한 바쁜 업무에도 IT 서적을 번역해 출판한 이들이 있다. 바로 '해킹과 침투 테스트'를 번역한 김선국, 양우철 컨설턴트이다현재 기술컨설팅팀에서 모의해킹 및 취약점 진단 업무를 하는 이들은 6개월에 걸쳐 본인들이 하는 업무와 관련된 서적을 번역했다.

좋아하는 일을 직업으로 삼기는 쉽지 않고, 직업으로 삼는다 해도 관심과 사랑을 오래 유지하기는 더욱 쉽지 않다스스로 하는 일에 대한 애착, 그리고 그 일을 왜 하는지에 대해 스스로 답할 때, 그 일의 진정한 의미를 느낄 수 있지 않을까자신이 하는 일에 대한 애착으로 빚은 이들의 책은 그래서 더 값진 성과라고 할 수 있겠다. 좋아하는 일을 즐거운 마음으로 해나가는 두 사람을 만나 번역서를 출판한 동기와, 그들이 하는 모의해킹 업무의 매력을 들어보았다.

왼쪽부터 양우철, 김선국 컨설턴트

 

-번역서를 출간한 계기는 무엇인가요?

사실 이 분야를 공부하는 데 마땅한 교재가 없는 게 현실이에요. 있다고 해도 분량이 상당히 방대하고 내용이 난해하기 때문에 쉽게 접근하는 것이 어렵지요. 그러다 보니 이 분야에 관심이 있고 또 공부하고 싶어하는 사람에게 조금이나마 도움을 주고 싶었어요. 그런 차원에서 직접적인 도움은 아닐지라도, 이 분야에 대한 전반적인 큰 그림을 쉽게 설명해 주고 싶었어요  

-다른 책과 비교해 차별되는 점은 무엇인가요?

다른 보안 서적과 달리 대상을 정하는 것부터 보고서 작성까지 전체적인 아웃라인을 그려줘요. 어떤 과정을 거치고 무엇을 하게 되는지 단계별로 잘 정리했어요. 모의해킹을 업으로 하는 이에게 많은 도움이 될 것이고, 보안에 관심 있는 사람은 이 책을 시작으로 여러 공부를 할 수 있어요 

-번역서를 출간하는 과정에 어떤 어려움이 있었나요?

평소 다른 번역서를 읽어보면 번역의 내용이 어색하고 서툴게 느껴지는 것들이 있었어요. 그런데 막상 저희가 번역서 출간을 준비하다 보니, 원문을 우리말로 바꾸는 작업이 생각보다 너무 어렵더라고요. 영어 원문의 뜻을 그대로 살려 번역하면 너무 번역한 티가 많이 나고, 반대로 원문의 뜻을 어느 정도 유지한 채 우리말에 익숙한 표현으로 하면 원문의 뜻이 잘 살지 않더라고요. 한국 사람이 읽기에 가장 알맞은 한국어를 선택하는 작업이 가장 중요하고 또 어려웠어요. 

-번역서를 출간하고 나서 얻은 것이 있다면 어떤 것인가요?

기본에 조금 더 충실해질 수 있었던 것 같아요. 사실 무슨 일이든지 기본이 가장 중요하지만, 가장 소홀해질 수 있거든요. 그런 점에서는 이번 번역을 통해 기본에 더 충실할 수 있었던 것 같아요. 마치 예전으로 돌아가서 학생이 된 것처럼 처음부터 차근차근 다시 돌아볼 수 있는 소중한 시간이었어요 

-평소 어떤 책을 보시나요?

다양하게 많이 읽으려고 해요. 최근에는 미래학과 관련된 <드라이브>를 읽었어요. 그 책을 읽으면 원하는 목표를 성취하는 데 가장 큰 동기가 무엇인지 잘 나와 있지요. 아주 흥미롭게 읽었어요.

  

   


   -모의해킹은 어떤 매력이 있나요?

새로운 지식을 습득하고 탐구하는 측면에서 많은 매력적이고, 모르던 것을 알게 되는 성취감이 참 매력적이에요. 수학 문제를 한 시간 동안 끌다가 딱 푸는 순간의 쾌감과 유사한 면도 있어요.

-모의해킹 시 힘든 점은 무엇인가요?

, 네트워크, 시스템, 정보보호 장비를 포함해서 요즘에는 모바일 쪽도 다루고, 모의해킹 범주에 포함되진 않지만 리버스 엔지니어링 분야까지도 다루어요. 이처럼 다루는 기술이나 범위가 많기 때문에 그것을 습득해야 하는 지식의 양이 많을 수밖에 없어요. 한번 익히면 잊어버리면 안 되는데 시간이 지나면 어느 정도는 기억해도 세부적인 건 잊어버리게 돼요. 한번 공부하면 끝이 아니라, 새로운 것을 계속 습득해야 하니 그 점이 힘든 것 같네요.

-컨설턴트가 되려면 어떠한 준비가 필요할까요?

꼭 컨설턴트가 아니더라도 IT나 보안 분야에서 일하기를 원한다면 영어 공부를 많이 했으면 좋겠어요. 유용한 기술 문서가 주로 영어로 되어 있거든요. 저는 영어를 번역하지 않고 그 자체로 이해하는 연습을 많이 했어요.

그리고 새로운 기술을 부지런히 공부하려는 자세, 공부하다 막히는 부분이 있어도 끝까지 하려는 자세 등 마음가짐이 중요해요. 도전하고, 생각하는 마인드가 중요한 거지 공부는 두 번째인 것 같아요.

-앞으로 목표는 무엇인가요?

더 배우고 싶어요. 배움을 멈추는 순간 도태된다는 말처럼 끊임없이 배우고 싶어요. 스스로를 향해 끊임없이 발전을 요구하는 사람이 되고 싶어요. Ahn

 

사내기자 박정우 / 안랩 A-퍼스트팀

사람이지만 주로 '개구리'로 많이 알려져 있으며,
재밌고 따뜻한 보안세상을 만들기 위해 연구하고 있습니다.

 

대학생기자 김성현 / 수원대 컴퓨터학과

눈앞에 보이는 결승점을 향해 달리는 100m 선수가 아닌 저 멀리 열망하는
목적지를 향해 뚜벅뚜벅 걸음을 욺기는 우둔한 답사자가 되자.

대학생기자 엄석환 / 숭실대 영어영문학과


댓글을 달아 주세요

  1. 탐진강 2012.06.07 14:35  Address |  Modify / Delete |  Reply

    자기 일에 충실한 것은 물론 업무에 연관된 책 번역까지 하다니 놀랍습니다.
    멀리서 응원합니다.^^*

IT의 오늘과 내일 조명한 월드IT쇼 현장(1)

현장속으로/세미나 2012. 5. 27. 16:35

IT의 오늘과 내일을 간략히 정리해 볼 수 있는, 'World IT show 2012'가 5월 15, 코엑스에서 개최되었다. 이번 전시회의 주제는 'Beyond IT, IT를 넘어서'였다. 최근, 스마트폰 및 트위터, 페이스북 등 소셜 네트워크 열풍이 불며, IT에 대한 관심도 급증해왔다. 이러한 추세 속에서 이번 전시회는 최신 트렌드를 발 빠르게 읽어낼 수 있는 기회의 장이었다.

전시회에는 18개국 300여 개 기업이 참가했으며, 모바일/통신/방송 및 산업가전, IT 융합, 클라우드 컴퓨팅/스마트 워크, 소프트웨어/디지털 콘텐츠 등 5개 분야로 구분하여 전시를 진행했다.

 

코엑스 전시장의 1A, B홀 그리고 3층의 C홀에서 전시가 이루어졌다. 홀 별로 주제를 다르게 하여 관람객은 각자의 취향에 맞게 관람 동선을 짤 수 있었다. 1층에선, ‘녹색인증관’을 비롯한 여러 중소기업 및 대학교의 IT 기술을 살펴볼 수 있었다. 3층은 스마트 TV 등을 중심으로 한 국내 대기업의 상품 및 IT 제품을 전시하여 관람객의 호기심을 샀다.

 

신기하고 새롭게만 느껴지는 아이디어부터, 당장이라도 구입할 의사가 샘솟는 제품군까지 다양한 기술들이 총집결되어, 현 시점에서 사람들의 니즈를 충족하기 위한 수많은 아이디어를 한눈에 살펴볼 수 있었다.

 

이번 전시회에서 무엇보다 눈여겨볼 만했던 것은 개인정보의 중요성, 즉 보안에 대한 인식이 나날이 높아진다는 것이었다. 최근 개인정보와 관련된 사고가 잇따라 발생한 여파 때문인지, 보안과 관련된 IT 융합기술이 상당수 소개되었다. 개인정보의 검색/암호화/삭제를 지원하는 기술부터, 웹 취약점 분석도구 및 위협 요소에 대한 효과적인 검색 및 분석 서비스까지, 보안 관련 IT 기술이 고객의 입맛에 맞게 개발되어 다양하게 선보이고 있었다. 이는 하드웨어적인 부분에만 무게를 두던 과거의 시각이 점차 확대되어 이제는 소프트웨어적 부분의 중요성에도 초점을 맞추고 있음을 여실히 보여주는 증거였다.

A, 이성을 사로잡다

보안과 IT를 접목한 기술이 주를 이루는 전시장에서 단번에 눈길을 사로잡은 회사는 일본계 회사인 기겐 트라스템이었다. 기겐 트라스템은 1966년에 설립된 회사로 객수정보 시스템, 구매과정 평가 시스템, 남녀 성별 및 연령층 분석 시스템, 입점율 계측 시스템을 주력 상품으로 판매한다.

객수정보 시스템은 물체형상을 인식하여 사람의 움직임을 추적하여 처리하는 기술이다. 서비스업, 제조업을 불문하고 고객의 관심도를 정확히 예측하고 이를 경영에 반영하는 것은 기업 및 소매업을 운영할 때 매우 중요한 부분이다. 객수정보 시스템은 이러한 작업을 고속 화상처리 방식을 이용해 소매업자 및 기업에 데이터로 제공한다.

 

기겐 트라스템 관계자에 따르면 시설에 대한 지지도와 매력도 측정뿐 아니라 프로모션의 효과 파악, 고객 수에 맞춘 최적화된 직원 수 측정 등의 장점이 있다고 한다. 단순한 숫자로 정보를 제공하는 것이 아니라 재가공될 수 있는 정보로 제공한다는데 큰 장점이 있다고 생각한다.

입점율 계측 시스템은 객수정보 시스템을 기반으로 하는 시스템이다. 이는 매장 외부에 장착된 화상장치를 이용해 길가에서 매장으로 진입하는 고객의 움직임을 파악하여 전체 통행자 중 매장에 관심을 가지고 매장을 방문하는 사람들의 수를 표현한다. 이는 점포 및 브랜드 매장이 주변 매장에 비해 얼마나 경쟁력이 있는지를 판단하는 중요한 지표로 활용될 수 있다.

자신도 모르게 자신의 모습이 카메라에 담길 수 있는 시대이다. 하지만 기겐 트라스템은 계측 이미지를 개인정보 보호를 위해 계측처리와 동시에 파기하여 따로 저장하지 않고 데이터로만 저장하기 때문에 개인정보와 관련된 문제는 발생하지 않는다.

셋째 기술은 AIDMA Search이다. AIDMA란 기간 트라스템에서 만들어낸 말로 Attention(주목하는 단계), Interest(흥미를 가지는 단계), Desire Motive Action(구입확정 단계)의 약자다. 이 프로그램은 고객들의 구매단계를 세 가지로 구분하고 고객이 상품 주변에 머무르는 시간, 행동양식 등을 연구하여 점포의 매력, 상품의 매력, 매장의 가치 등을 판단하는 데이터를 제공한다. 이는 일시적인 판단 및 상품의 매출결과로밖에 알 수 없었던 정보를 객관적으로 제공할 수 있다는 점에서 눈길을 끌었다.

마지막으로 눈길을 끌었던 것은 Demographic FACIA라는 시스템이다. 이는 매장을 방문한 고객의 남녀 성별 및 연령층의 추정 데이터를 제공한다. 화면으로 인식한 사람은 특별한 기술을 통해 중복으로 인식하지 않는다. 실제로 필자가 이 시스템 화면에서 20분 동안 머물러서 확인한 결과 중복인식은 없었고 남녀 성별도 확실히 판단하였다. 연령층 파악은 오차범위가 크지는 않았지만 연령층에 대한 데이터에 약간의 편차는 존재하였다.

국내외의 여러 기업들이 다채로운 기술들을 선보였지만 이 기술을 꼽은 이유를 독자들도 느끼길 바라는 마음에 기간 트라스템의 기술에 대한 설명을 해보았다. 더 자세한 정보는 http://www.trastem.co.kr에서 얻을 수 있다.

 

한편, 전시회에는 다수의 IT 전문 업체뿐 아니라, 대학교 혹은 대학원에서도 많은 IT 품과 기술을 소개하였다. 그 중, 많은 사람들에게 인기가 좋았던 팀 중에 한 팀인 숭실대 I3-로봇연구센터를 소개하고자 한다.

 

로봇이 10대 차세대 성장동력으로 선정된 지 약 10년이 지났다. 그 동안 스마트폰, 클라우드 융합 시대가 도래했고, 로봇 강국들의 경쟁은 심해졌다. 또한 국방, 의료 등 로봇이 활용되는 분야는 점차 다양화해 기술 시장의 대내외 여건도 크게 변하였다.

 

숭실대 I3-로봇연구센터는 이를 잘 반영하여 거동이 불편한 사람을 위한 HRI 기반 서비스 로봇과 그에 관련된 기술을 소개하였다. 우리는 이를 통해 음성, 촉각, 영상 등과 같은 다양한 매체를 이용한 로봇과 인간의 상호작용이 적용된 로봇 개발 정도를 눈으로 확인할 수 있었다. Ahn

 

IT의 오늘과 내일 조명한 월드IT쇼 현장(2)

 

대학생기자 유남열 / 경희대 경영학과

< 毋自欺(무자기) - 나 자신을 속이지 말라> - 大學

 

대학생기자 박선민 / 서울여대 정보보호학과

배는 항구에 있을 때 가장 안전하겠지만,

그것은 배가 존재하는 이유가 아니다.
더 많은 보안 이야기를 세상에 알리기 위해 나아가겠습니다! ;-D


댓글을 달아 주세요

알아두면 유용한 생활법률 상식 - 신용카드 편

보안라이프/이슈&이슈 2012. 5. 23. 07:00

2011년 금융위원회의 발표에 따르면 대한민국 국민 1인당 카드 보유 수는 4.9개로 꾸준한 증가세를 보이고 있다. 지난 3일 취업포털 인크루트가 직장인 269명에게 ‘평소 가장 주로 사용하는 결제수단’이 무엇인지 묻자 5명 중 3명에 해당하는 60.2%가 ‘신용카드’를 꼽았다연차별로 차이는 있었지만 현금을 사용하는 비율은 5.2%에 불과하여 직장인의 신용카드 의존 정도가 높은 것으로 나타났다.

 

그런데 신용카드 때문에 생기는 피해 또한 적지 않은 게 사실이다. 법전과 생활과 법률에 관한 책을 참고해 피해 사례를 알아보고 사례별 해결책을 정리해보았다.




전문가가 말하는 9가지 신용카드 사고 예방법

 

① 발급 즉시 신용카드 뒷면에 서명한다.

신용카드를 수령하면 신용카드 앞면에 영문 이름이 새겨져 있는지 확인한 후, 신용카드 뒷면에 자필 서명하여야 한다. 서명 없는 신용카드는 부정 사용 시 피해보상을 받을 수 없다

② 회원약관을 꼼꼼히 살핀다.

회원약관에는 각종 유용한 정보 외에도 신용카드 사고 시 회원의 귀책사유가 열거돼 있다.

③ 필요 없는 신용카드는 소각하거나 집에 보관한다.

사용하지도 않는 신용카드를 지갑에 넣고 다니는 사람이 지갑을 분실할 경우 사고액은 신용카드 수에 비례할 수밖에 없다

④신용카드 한도액을 가능한 한 낮춘다.

수입에 비하여 터무니없이 높은 한도액을 받았을 경우 신용카드사에 연락하여 낮춰 놓도록 한다.

⑤신용카드의 대여 및 양도는 절대 금한다.

신용카드를 다른 사람에게 빌려줌으로써 발생한 부정 사용액은 어떤 경우에도 피해보상을 받을 수 없다.(여신전문금융업법 제 15) 배우자나 자녀, 부모 등 직계가족에게 대여 또는 양도한 경우에도 피해보상을 받을 수 없다.

⑥신용카드의 거래승인과 매출전표 작성 등은 본인이 보는 앞에서 작성하도록 한다.

특히 국외에서 여행사 가이드나 점원 등 다른 사람에게 신용카드를 건네주어 매출전표가 작성될 경우 허위,중복 청구는 물론 신용카드 위조범죄에 악용될 수 있다.

⑦매출전표는 신용카드대금 청구서가 올 때까지 보관한다.

회원용 매출전표는 카드대금 청구서가 올 때까지 보관하였다가 청구금액을 확인하고 청구금액이 다를 경우에 증빙서류로 활용하여야 한다. 카드이용 후 매출을 취소할 경우에는 반드시 취소 전표를 별도로 요구하도록 한다.

⑧신용카드사 SMS서비스를 이용한다.

휴대폰을 통해 부정 사용 여부를 곧바로 확인할 수 있다.

⑨메신저나 인터넷 채팅 시 신용카드번호나 비밀번호를 알려주지 않는다.

신용카드는 절대 노출하여서는 안 된다. 회원의 귀책사유로 비밀번호를 노출 시 피해보상을 받을 수 없다

 

사례로 알아보는 신용카드 문제 해결법

 

[사례 1 - 신용카드의 양도

2012 3 4부인 김모 씨는 남편 박모 씨의 신용카드를 사용하다가 분실하였다. 이 경우 남편 박모 씨는 신용카드회사에 분실전의 사용대금과 분실에 따른 손실액을 요청할 수 있는가?

 

▶신용카드는 카드회원 본인만이 사용할 수 있는 것이므로 비록 부부간이라 할지라도 부인에게 카드를 양도한 상태에서는 분실사실에 관계없이 분실전의 사용대금과 분실에 따른 손실금액 모두를 회원 본인이 부담하여야 한다. 따라서 이 사례의 경우 남편 박모씨는 신용카드회사에 분실전의 사용대금과 분실에 따른 손실금액을 요청할 수 없다

 

요즘 고등학생들이나 대학생 자녀를 둔 부모님들이 자녀의 학습재료비, 식비 등을 위해서 본인의 신용카드를 양도하는 경우가 있다. 하지만 이 경우 분실의 경우 구제를 받을 수 있는 방법이 없다. 자녀가 18세 이상이라면 부모의 동의하에 신용카드를 개설하거나 체크카드를 사용하는 방법을 권한다.  

 

[사례 2 - 신용카드의 도난과 부정 사용] 

2011 9 15, 이재하 씨는 백화점에서 지갑을 소매치기 당했다. 신속한씨는 3시간 후 신용카드가 분실된 것을 알고 곧바로 신용카드회사에 분실신고를 하였다. 그런데 이미 2000만 원의 부정매출이 발생하였다. 이 경우 이재하 씨는 보상받을 수 있을까?

 

▶「소비자분쟁해결기준」에 의하면 분실,도난 신고를 통지한 날로부터 60일 전까지 제 3자가 부정 사용한 경우 전액 보상을 받을 수 있다. 이재하 씨의 과실이 없다면 분실신고 전 60일간 발생한 부정 사용 금액은 신용카드회사로부터 전액 보상받는다. 보상신청시에는 신용카드 1매당 2만 원의 수수료를 회원이 부담하여야 한다. , 이재하 씨는 수수료 2만 원을 내고 보상신청서를 작성하여 200만 원을 보상받을 수 있다

 

[사례 3 - 할부거래와 항변권] 

김항아씨는 K컴퓨터학원에 1년 과정을 등록하고 등록금 360만 원을 12개월 할부로 결제하였다. 그러나 학원 강의가 시작된 지 3개월 만에 학원 사정을 이유로 정상적인 강의가 이뤄지지 않더니 급기야 문을 닫고 말았다. 신용카드회사에서는 학원 쪽에서 계약을 이행하지 않아 발생한 문제이기 때문에 전적으로 당사자와 학원이 알아서 해결할 사항이라고 한다. 신용카드회사는 계속해서 대금 청구서를 보내오고 있다. 이 경우 김항아 씨는 어떻게 하여야 할까?

 

▶현행 「할부거래에 관한 법률」은 소비자가 신용카드회사에 할부금의 지급을 거절할 수 잇는 항변권을 인정하고 있다. 다만 항변권은 매수인이 신용카드회사에게 목적물의 대금을 2월 이상의 기간에 걸쳐 3회 이상 분할하여 지급하고 그 대금의 완납 전에 매도인으로부터 동산의 인도 또는 용역의 제공을 받기로 하는 계약에만 적용한다. 지급거절은 할부가격이 20만 원 이상인 경우에 한하며, 할부기간 이내에 카드사에 서면으로 요청하여야 하고, 카드사의 요청이 있는 경우에는 항변사유를 제시하여야 한다.

 

이 사례의 경우 김항아씨는 신용카드회사에 항변권을 행사하여 할부금 지급거절 의사를 통지한 시점 이후에 도래하는 할부금에 대한 지급거절을 할 수 있다. 이 때 할부금 지급거절 통보서를 보낸 날을 기준으로 그 이전에 지급한 할부금은 돌려받을 수 없으며, 앞으로 내야 할 할부금에 대해서만 지급거절을 할 수 있다

 

사례 3을 봤을 때 신용카드를 사용하여 거래를 하는 경우 사용대금이 크면 일시불로 결제하지 않고 할부로 결제하는 것이 혹시모를 피해를 줄이는 한 방법이 될 수 있다

 

[사례 4 - 할부거래와 철회권] 

은시경씨는 2012 3 27일 통신판매로 조선왕조실록 전집을 48만원에 12개월 할부로 결제하였다. 이 후 은시경씨는 이틀 뒤에 교재를 받았지만 생각이 달라졌고 그 다음날 교재를 반송하고, 동시에 구매계약을 철회해 달라고 가맹점에 통보했다. 하지만 이후 가맹점과 연락이 끊어졌고 카드사로 부터 대금납부 독촉을 받고 있다. 이 경우 구제방법은 무엇일까?

 

▶현행 「할부거래에 관한 법률」은 매수인은 계약서를 받은 날 또는 계약서를 받지 아니한 경우에는 목적물의 인도 등을 받은 날부터 7일 이내에 할부계약에 관한 청약을 철회할 수 있다. 이 때 자동차, 냉장고 및 세탁기, 전기 냉방기, 보일러, 등은 포함되지 않고 할부 금이 20만원 이하일 경우에는 그러하지 아니하다

 

매수인이 계약에 관한 청약을 철회하고자 하는 때에는 7일 이내에 철회의 의사표시가 기재된 서면을 발송하여야 한다. 이때 서면은 매도인과 신용카드회사 모두에게 보낸다.  따라서 은시경씨는 계약서를 받은 날 또는 교재를 받은 날로부터 서면으로 7일 이내에 신용카드회사에 할부계약에 관한 청약을 철회하면 대금납부를 거절할 수 있다 

 항변권

20만원 이상인 경우
㉡가급적 빠른 시일 내의 할부기간 내
㉢일정한 사유  

 철회권 

20만원을 초과한 경우
7일 이내 
㉢조건없이 가능  

신용카드 개인회원이 카드 사용 시에 간과하기 쉬운 유의점과 그 사례를 바탕으로 올바른 사용법과 피해구제 방법을 알아보았다. 신용카드라는 것이 개인의 신용평가와 밀접하게 관련되어 있어 관계 법률이 상당히 많지만 위의 9가지 유의점을 명시한다면 앞으로 일어날 불의의 사고를 미리 방지할 수 있을 것이다사소한 부분이라 생각할 수 있지만 큰 문제를 일으킬 수 있는 요인들이기 때문에 꼭 숙지하여 올바른 신용카드 사용이 이뤄지길 바란다Ahn 

 

대학생기자 유남열 / 경희대 경영학과

< 毋自欺(무자기)  - 나 자신을 속이지 말라> - 大學

 

 

댓글을 달아 주세요

  1. 라이너스 2012.05.23 08:32  Address |  Modify / Delete |  Reply

    알아두면 유용할 정보네요.^^
    잘보고갑니다 행복한 하루되세요~

  2. 2012.06.13 16:40  Address |  Modify / Delete |  Reply

    비밀댓글입니다

  3. 방정석 2012.06.14 10:23  Address |  Modify / Delete |  Reply

    감사합니다..

기업체 대학생기자로 경험한 우리만의 힐링캠프

안랩人side/안랩팀워크 2012. 5. 21. 07:00

계절의 여왕이 5월이라면, 5월의 여왕은 워크숍(?)란 데 이의를 제기할 사람이 있을까?
따스하게 내리쬐는 햇볕, 기분 좋게 불어오는 바람이 떠나라고 재촉하는 5. 5월이 왔다. 계절이 되면 계절 과일을 먹듯 5월을 맞이하여 안랩 커뮤니케이션팀, 대학생기자, 사내기자가 워크숍을 향해 떠났다.

경춘선을 타고 함께 가기로 한 대학생기자는 마치 새내기라도 된 양 들뜬 마음으로 가평으로 향하는 열차에 몸을 실었다. 함께 모여 가는 동안 수다는 멈출 줄을 몰랐고, 웃고 떠드는 시간 속에서 워크숍에 대한 기대가 점점 자라났다.

우리가 머물렀던 펜션의 경치

한바탕 떠들고 나니 어느새 열차는 가평역에 도착.
펜션은 물 좋고 공기 좋은 한적한 곳에 고즈넉하게 자리하고 있었다. 그곳에 머물기만 해도 마음이 평온해질 것만 같았다. 모두가 펜션을 구경하며 감탄사를 연발하는 모습을 보며 워크숍을 준비했던 8기 기장의 입이 귀에 걸려 내려올 줄을 몰랐다.

그렇게 풍광에 흠뻑 빠진 사이 어느덧 밖은 어둑어둑해졌다.
자자, 워크숍도 식후경이라~

무려 바비큐 무한제공~ 식사 마저도 열심히 하는 모습이 인상적이다.

바비큐가 무한 제공됐던 펜션에서의 식사~!
다들 원~없이 그리고 정신없이! 배를 채웠다. 젓가락을 놀리는 속도가 LTE도 울고 갈 뻔할 정도.

, 이제 배는 두둑해졌으니 이제 머리를 채워볼 차례!
워크숍을 가장 워크숍답게 만들어주는 시간
!
그 스타트는 보안 업체의 CSI라 불리는 A-퍼스트 팀에서 화려한 입담을 담당하는 김진국 주임연구원이 끊었다. 김진국 주임은 <사이버 CSI, 디지털 포렌식 이야기>란 다소 생소한 주제로 강의를 진행했다. 허나 디지털 포렌식이란 단어를 처음 듣는 사람도 쉽게 이해하게, 심지어 재밌게 들을 수 있게 설명해주었다. 순발력과 재치를 겸비한 말솜씨 덕분에 청중을 한번에 사로잡았다.

김진국 주임의 강의를 들으며 마치 그 이야기 속으로 빨려 들어갈 것 같은 대학생 기자들!

최근 크고 작은 보안사고 발생이 잦아지면서 보안에 대한 사람들의 인식이 다소 높아지긴 했으나 여전히 미흡하긴 마찬가지다. 하지만 보안은 우리 일상생활과 매우 밀접하게 연관돼 있으면 시간이 흐를수록 그 중요성은 더 커지고 있다. 개인정보유출 등 보안은 우리가 우리 것을 지키는 것처럼 중요하다. 우리가 얼마나 보안을 가까운 존재로 인식해야 하는지를 배울 수 있는 값진 강의였다.

또한 곧 SBS에서 방영될, 블록버스터급 스케일로 많은 사람의 기대를 한몸에 받는 드라마 <유령>에 안랩이 기술고문을 하게 된 이야기도 들을 수 있었다. 드라마 엔딩 크레딧에서 안랩의 로고도 볼 수 있다고 하니 드라마가 시작되면 꼭 찾아보자! 강의가 끝난 뒤 질의응답 시간엔 대학생기자의 열띤 질문공세가 이어지기도 했다.

이어 번뜩이는 아이디어를 주체하지 못 하는 대학생기자를 위한 자리!
바로 <글로벌 사용자 타깃 바이럴 마케팅> 아이디어 회의 시간이 이어졌다
.

4명씩 두 팀으로 나눠 이뤄진 이 회의에선 마케팅의 ‘마’ 자를 모르는 이도 백지장도 맞들면 마케팅 아이디어가 나온다는 걸 배울 수 있었다. 생각보다 다채롭고 기발한 아이디어가 나와 다들 놀랐다. 다른 방향으로 의견을 제시하기도 하며 서로에게 배움을 선사하고 생각지도 못 했던 다양하고 톡톡 튀는 의견이 나오며 공부가 되기도, 자극제가 되기도 한 시간이었다.

그 어느 때보다 승부욕을 불태웠던 밤!

그리고 이어진 워크숍의 꽃! 바로 친! ! ! !
다년간의 반장 생활과 숱한 경험으로 다져진 유남열 기장의 진행 솜씨 덕분에 당시 자리에 있던 사람 모두 본 적 없던 워크숍을 경험했다.

‘몸으로 말해요’, ‘절대음감’, ‘일심동체’ 등 서로의 친목을 넘치고 넘치게 쌓을 수 있는 게임들이 가득했다. 어쩜 이렇게 야무지게 준비해왔는지 그 준비성에 입을 다물지 못 했다. 승부욕이 넘치는 대학생기자들의 열기가 워낙 뜨거워 좀처럼 밤이 찾아올 기미가 보이지 않았다.

워크숍의 새아침이 밝았다.

아침 식사 후엔 사보 아이템 아이디어 회의가 진행됐다. 지난 4월 모임에서 나눈 팀들의 역량을 발휘할 절호의 찬스였다. 이번 아이디어 회의는 부상이 걸려 있었기에 집중도는 엄청났다. 그 열기는 회의실 내 공기를 꽉 채우고 있었다.

누가 더 회의를 열심히 하나~?

기발하고 때론 고개가 끄덕여지는 아이디어가 많이 나온 이 회의 역시 전날 저녁과 같이 오고가는 아이디어 속에 배움이란 꽃이 피었다.

'나는 발표왕이다' 아이디어 회의 결과를 발표하는 모습들

이 회의에서 나온 아이디어가 궁금한가? 곧 기사로 만나볼 수 있을 테니 손꼽으며 기다려주시길!

우리의 행복한 시간을 남기며

이제는 우리가 헤어져야 할 시각.

모든 일정이 끝났지만 우린 블로그를 통해 만날 수가 있다.

이번 워크숍을 축약한다면 그 짧은 시간 안에 그토록 많은 걸 할 수 있었다는 것, 배우며 한 뼘 더 성장할 수 있었다는 것, 좋은 사람들과 함께한 시간이란 그저 보낸 시간의 양으로만 표현할 수 없다는 것이라 표현할 수 있을 것 같다. 마치 한여름 밤의 꿈처럼 달콤했던 워크숍이었다. 안랩 커뮤니케이션팀, 8기 대학생기자, 사내기자가 함께 했던 이 워크숍이 모두에게 일상에서 지쳐있던 우리의 심신을 달래준 힐링캠프였길. Ahn

대학생기자 하수정 / 국민대 언론정보학부

사내기자 류석 / 안랩 커뮤니케이션팀

 

댓글을 달아 주세요

  1. Gorgeous!! 2012.05.21 11:44 신고  Address |  Modify / Delete |  Reply

    석 인턴님, 수정아 고생했어! 칭찬이 많아서 부끄럽게 읽었어요 ㅋㅋㅋㅋ
    워크샵의 그 느낌은 활동이 끝나도 잊지 못할 것 같아요! 대학생기자단, 커뮤니케이션팀, 사내기자 화이팅!

  2. earth 2012.05.22 12:39  Address |  Modify / Delete |  Reply

    하하하...능력자들...
    저는...(놀고 어울리는데) 무능력(젬병)...또한 방콕족ㅋ^^...
    ...
    유령이라...(품절남) 장동건 나온다는 드라마인가요? ^^...
    ...
    유쾌하거나, 해피엔딩으로 끝나는 드라마가 보기엔 더 좋다는...

    • 하수정 2012.05.22 17:08  Address |  Modify / Delete

      장동건씨가 나오는 드라마는 <신사의 품격>이고 <유령>에는 소지섭씨가 나오신다네요! 5월 30일 첫방이래요^_^

회장이 직접 소개하는 수원대 보안동아리 FLAG

보안동아리? 정보보호동아리? 이 단어들의 첫 느낌은 딱딱하고, 칙칙하고, 공부만 할 것 같고, 어두운 방 안에서 컴퓨터만 할 것 같은 느낌이다. 하지만 이런 선입견의 틀을 깨버린 동아리가 있다바로 수원대학교 FLAG!! 

[FLAG 로고]

FLAG는 보안, 해킹 쪽에 관심이 있지만 현실 여건상 다가갈 수 없는 학우를 위해 2006 6 1일 수원대학교 컴퓨터학과 내에 창단한 보안동아리다. "정보보호의 선두에서 앞장서는 보안동아리"를 표방하며 현재 정보보호학과 고승철 교수 지도 아래 졸업생, 재학생을 포함해 60여 명으로 구성되어 있다.

FLAG 다른 보안동아리와 달리 IT 학과 학생뿐 아니라 보안에 관심이 있는 여러 학과 인원을 모집한다. 실제로 국어국문학과, 경영학과, 전자통신학과가 있으며, 작년에는 중국 유학생이 회원으로 있어 중국 문서를 번역하는 등의 활동을 했다

또한 보안 분야 특성상 남자의 비율이 높아 보안 동아리 대부분의 분위기가 칙칙한 게 이상할 리 없다. 하지만 FLAG는 남녀 비율이 1 : 1.5인 데다 회원 간 유대 관계를 돈독하게 하는 다양한 활동을 펼친다.회장과 부회장, 홍보부장이 직접 발벗고 나서 홍보물에 사탕을 붙여 정문에서 나눠주는가 하면, 동아리원끼리 맛집탐방, 각 부서별 점심 같이 먹기 인증샷 이벤트를 하기도 한다. 동아리 유니폼을 만들어 입고 동아리 MT를 함으로써 적지 않은 인원이 서로 친분을 쌓도록 많은 기회를 제공한다

[FLAG MT 단체사진]

그렇다면 FLAG는 놀고 먹기만 하는 동아리일까전혀 그렇지 않다매주 1회 교내 강의실에서 세미나를 하고Network, php&mysql, WebHacking 스터디를 구성하여 매주 모여 공부하며, 선배들을 스터디장으로 뽑아 공부의 능률을 높인다동아리 회장인 나는 학교에서 하는 멘토링 장학생에 선발되어 과를 대표하여 C언어 강의를 하고 있다.

[FLAG 세미나]

이 밖에도 우물 안 개구리가 아닌 넓은 곳을 바라보기 위해 외부 세미나 참여나 기업 방문으로 견문을 넓힌다.

[외부 세미나 참가, 기업 방문]

이처럼 인맥, 공부, 놀이 3박자를 두루 갖춘 수원대학교 보안동아리 FLAG는 앞으로 더 넓은 활동을 위해 인근 지역에 위치한 한양대학교 보안동아리 HY_Cube와 연합해 한 학기 4회의 세미나, 연합 MT, 스터디 활동을 하고 있다. 또한 포항공대와 카이스트에서 매년 열리는 '카포전'과 같은 형식으로 오는 10월 쯤 "한양대 vs 수원대 해킹방어대회"를 열 예정이다. 또한 학교에서 하는 '취업동아리 지원사업'에 참여해 3, 4학년 학생에게 취업 정보를 제공하여 취업에 한 걸음 더 다가가게 하기도 한다.

FLAG는 회원 모두가 동아리의 발전을 위해 항상 기획하고 계획하는, '개인을 위한 동아리'가 아닌 '모두를 위한 동아리'이다. "일이 즐거움이라면 인생은 낙원이다. 일이 의무라면 인생은 지옥이다." 라는 속담이 있듯이 앞으로도 즐기면서 스스로를 발전시켜나가는 그런 동아리가 되었으면 한다. Ahn

대학생기자 김성현 / 수원대 컴퓨터학과

눈앞에 보이는 결승점을 향해 달리는 100m 선수가 아닌 저 멀리 열망하는
목적지를 향해 뚜벅뚜벅 걸음을 욺기는 우둔한 답사자가 되자.

  

댓글을 달아 주세요

스마트폰 와이파이 안전 수칙 9가지

보안라이프/리뷰&팁 2012. 5. 16. 08:21

스마트폰을 손에서 놓지 않는 요즘 스마트폰만 있으면 못 할 것이 없다. 결제부터 계좌이체까지 대부분의 서비스를 스마트폰 하나로 다 처리할 수 있는데, 이를 위해 필요한 것이 하나 있다. 바로 네트워크 연결! 우린 네트워크 연결을 위해 3G, LTE, 와이파이(Wi-fi)를 사용하는데 그 중 사용자 비율이 가장 높은 것이 와이파이다.

 

[스마트폰의 여러 서비스]
출처 : http://newsshare.co.kr/sub_read.html?uid=13584

스마트폰 사용자가 점차 늘어남에 따라 카페나 지하철, 버스 등에서 와이파이의 사용은 점차 늘어나고 있다. 그러나 사용자는 와이파이가 무엇인지 어떤 원리로 네트워크에 연결하게끔 하는지 전혀 모른 채 사용한다. 와이파이가 무엇이고 보안성은 어떠한지, 어떻게 하면 안전하게 사용할 수 있는지 알아보겠다. 

와이파이는 Wireless fidelity의 약자로, IEEE 802.11 통신규정을 만족하는 기기끼리 무선으로 데이터를 주고받을 수 있도록 하는 기술이다. 와이파이를 사용하려면 무선 접속 장치(AP : Access Point)가 있어야 하는데무선 인터넷은 초당 11Mbps의 속도를 제공하며 최적의 조건에서는 반경 500m 안에는 어디서든지 사용할 수 있으나 이 범위를 벗어나면 사용할 수 없다.

[AP(Access Point)의 사용범위]

그렇다면 우리가 평소 사용하는 3G와 와이파이에는 어떠한 차이점이 있을까

[3G와 와이파이의 차이]

위 그림의 원 안에서 통신이 가능하다고 할 때 3G는 거의 모든 지역에서 연결이 가능한 반면 와이파이는 신호를 보내는 AP가 설치된 근처에서만 통신이 가능하다. 제한된 지역에서만 사용 가능한데도 와이파이를 사용하는 이유는 비용이 들지 않으며 속도가 3G보다 빠르기 때문이다.

와이파이의 보안 취약성

노트북 1대만 있다면 우리는 카페 안에서 와이파이 사용자가 어떤 웹사이트에 들어가는지, 어떠한 검색을 하는지 알 수 있다. 더 나아가 와이파이 사용자의 계정으로 로그인도 할 수 있다. 아래 그림은 실제 본인의 스마트폰을 이용하여 실습해본 화면이다

[side jacking 모습]

위 그림과 같이 side jacking 기술을 이용하여 스마트폰 사용자가 와이파이에 접속하여 검색한 기록을 확인할 수 있다이 외에도 가짜 AP를 설치해 해킹하는 방법도 존재하고, 스마트폰 자체로도 안드로이드 기반의 FaceNiff 툴을 이용하여 아이디와 패스워드를 가로챌 수 있다.

[FaceNiff 화면]

FaceNiff는 와이파이를 이용하여 여러 사이트(Facebook, Twitter, Youtube, Amazon )에 로그인 하는 단계를 스니핑하는 툴이다. 아이디와 패스워드를 가로채는데, 오픈된 와이파이뿐 아니라 보안 네트워크(WEP, WPA-PSK, WPA2-PSK ) 상에서도 가로채기가 가능하다.

와이파이 안전하게 이용하려면

와이파이는 전파를 통신 매개로 이용하므로 보안을 고려하지 않고 이용할 경우 유선랜에 비해 많이 취약하다. 와이파이를 안전하게 사용하기 위한 첫 단계는 AP를 관리 권한과 접속 방법을 제한하는 것이다.

(1) 처음 구입한 AP는 제조사마다 지정된 디폴트 값의 계정과 패스워드가 있다. 이러한 디폴트 값은 검색으로 쉽게 찾을 수 있으므로, 계정과 패스워드를 반드시 본인만 알도록 변경한다.

(2) AP
의 관리자 페이지에 접근할 , 무선으로 접근하는 것을 차단하고 유선으로만 접속을 가능하게 한다. 그렇지 않으면 외부에서 얼마든지 관리자 페이지에 접근하여 관리자 계정의 패스워드를 뚫어 AP 설정을 변경할 수 있다.  

다음으로 와이파이에 관련한 스니핑, 스푸핑 해킹 툴에 대비하여 보안설정과 암호설정에 신경 써야 한다. 이는 방송통신위원회에서 제시한 7대 수칙을 참고하면 된다.

<방통위 권장 안전한 와이파이 이용 7대 수칙>

무선공유기 사용 시 보안기능 설정하기

무선공유기 패스워드 안전하게 관리하기

사용하지 않는 무선공유기 꺼놓기

제공자가 불명확한 무선랜 이용하지 않기

보안 설정 없는 무선랜으로 민감한 서비스 이용하지 않기

무선랜 자동접속 기능 사용하지 않기

무선공유기의 SSID를 변경하고 숨김 기능 설정하기

 

대학생기자 김성현 / 수원대 컴퓨터학과

눈앞에 보이는 결승점을 향해 달리는 100m 선수가 아닌 저 멀리 열망하는
목적지를 향해 뚜벅뚜벅 걸음을 욺기는 우둔한 답사자가 되자.

 

댓글을 달아 주세요

  1. 2012.05.16 09:38  Address |  Modify / Delete |  Reply

    비밀댓글입니다

  2. earth 2012.05.17 18:45  Address |  Modify / Delete |  Reply

    하하하...저는 아직까지 2g 피쳐 폰(와인폰2)인데...
    제 동창 친구들 ㅜㅜ...대부분 스마트폰으로 옮겼더군요...
    보안은 걱정 없지만...
    2g에서 고객센터 무료접속에서...웬만한 거 텍스트로 조금만 해주면...
    좋을 것 같은데...
    ...
    무선 공유기는...무선 사용시...머리 좀 띵해지는 것 같아서 사용 안 한다는...^^

  3. 2013.11.22 23:08  Address |  Modify / Delete |  Reply

    비밀댓글입니다

  4. Gaeohgle 2017.05.16 19:10  Address |  Modify / Delete |  Reply

    ㄱㅅ