'조직범죄'에 해당되는 글 1

  1. 2009.04.03 "타겟 공격하는 사이버 조직 범죄 심화" (3)

"타겟 공격하는 사이버 조직 범죄 심화"

현장속으로/세미나 2009. 4. 3. 09:06

올해 2009년의 주요 정보보안 트렌드는 어떨까? 디지털 인사이트 코리아가 주최한 ‘정보보안 트렌드 세미나’에서 발표된 내용을 소개한다. 이 자리에서는 올해 예측되는 정보 보안의 핵심 트렌드와 이슈별 대응 방안이 발표되었다.

 

조직 범죄화, 특정 타겟 공격하는 국지성 심화


우선 안철수연구소 조시행 상무는 악성코드의 흐름이 개인 단위에서 돈벌이를 노린 조직 범죄로, 불특정 다수 공격에서 특정 지역이나 기업을 목표(Target) 공격 방식으로 바뀌고, 바이러스에서 웜, 트로이목마, 스파이웨어로 점차 고도화하고 복잡해지고 있다고 언급했다. 또한 악성코드 감염 경로가 다양해지고 사회공학 기법의 악용과 보안 의식 부재 하에 보안 사고가 급증하고 있다고 지적했다.


안철수연구소 조시행 상무


지난해 사용자를 괴롭힌 악성코드 이슈로 가짜 백신의 창궐, 국내 스파이웨어의 감소와 외산 증가, 지속적인 웹사이트 공격을 들었다. 또한 봇넷과 스팸성 사기 메일 증가, 여전한 바이러스의 위세, 이슈를 가장한 악성 코드도 이슈로 꼽았다.
 


이어서 “다변화하는 정보보안 위협에 대한 지속적, 종합적 보안 대응 체계를 마련하기 위해서 국가와 민간 전문 업체 간의 협력 모델을 정립해야 한다.”라고 말했다. 이를 통해 국가 안보 및 국제 사이버 보안을 확립하고 국가 경쟁력을 제고할 수 있다고 강조했다.


아울러 “사실 보안의 주체는 백신 프로그램이 아니라 바로 당신이다. 일주일에 한 번만이라도 백신 업데이트를 한다면 사용자 PC에 악성코드가 침입하는 일은 거의 없을 것이다.”라고 역설했다. 아무리 국가와 보안 솔루션 업체가 협력한다 해도 각 개인의 보안 의식 수준이 낮다면 이 또한 무용지물이라는 것이다. 이런 맥락에서 국가 33%, 회사 33%, 그리고 사용자 33%의 ‘33 법칙’을 제시했다.


기술적 공격 대신 심리 노린 범죄 급증


NHN의 임채호 실장은 기술적인 공격이 퇴색되고 사회공학과 심리적 취약성을 노리는 공격이 심화함에 따라, 신택스(Syntax)가 아닌 시맨틱(Semantic)이 중요한 대응 이슈가 될 것이라고 전망했다. 또한 현대 사회는 기술적 가치가 아닌 돈을 노리는 범죄가 나날이 증가하고 있다고 지적했다. 이어서 악성코드, 웹 공격, DDoS 공격으로 인한 개인 정보 유출과 공갈, 협박 등의 범죄, 내부인에 의한 정보 유출 및 산업 스파이 등이 빈발하는 현황을 분석했다. 공격을 완벽히 차단하기는 어렵다며 향후 보안의 방향을 제시하기 위해 ‘Secure가 아닌 Trust로 보안을 유지하자!’라는 슬로건을 내세우기도 했다. 아울러 완벽한 보안은 무한대의 금액이 필요하고, 제품 기술보다는 보안 관리 및 프로세스 적용이 더욱 중요하다고 역설했다.


DDoS 공격용 악성코드 더욱 지능화  


SK인포섹 윤현호 컨설턴트는 매스 SQL 인젝션(Mass SQL Injection)을 통한 악성코드 유포 사고와, 악성코드에 감염된 PC에 의한 DDoS 공격 유형을 발표했다. 앞으로 다양한 환경에 맞춘 더욱 교묘한 형태의 악성코드를 통한 DDoS 공격과, 사회공학적 기법과 기술적 공격 기법의 접목이 더욱 교묘해질 것이라며 강력한 프로세스 확립이 중요하다고 강조했다.


A3시큐리티 이범석 컨설턴트는 웹 애플리케이션 해킹 동향과 함께 주요 취약점을 분석해 시연했다. 또한 “라이프 스타일 변화로 웹사이트 이용이 급증함에 따라 금전적 목적, 정치/사회적 저항의 일환으로 취약한 사이트를 노린 무차별 해킹이 이루어지고 있다.”라고 지적했다. 이어서 SQL 인젝션, XSS(Cross Site Script), 파일 업로드 시의 웹 취약점을 분석하고 해결책을 제시했다.

소만사 김대환 대표는 “해킹은 100% 막을 수 없다. 개인 정보 유출은 천문학적인 돈을 투자하더라도 언제든지 발생할 수 있다. 그래서 데이터 보호를 위한 내부 관리 계획이 필요하며, 기술적 수단을 이용해 철저한 접근 통제를 해야 한다.”라고 강조했다. 웹 메일, 메신저 등 네트워크 유출 방지 기법과 USB 및 미디어 통제, 파일 암호화를 통해 DB 접근부터 유출까지 일관성 있게 추적하는 시스템을 갖춘다면 정보 유출 사고가 크게 줄어들 것이라고 전망했다.

인터넷과 컴퓨터를 위협하는 공격은 더욱 지능화되고 은밀하게 특정 PC나 지역 국가 등을 대상으로 돈과 정보를 노리고 있다. 과거에는 호기심에서 바이러스를 만들던 수준이었다면 지금은 돈벌이에 혈안이 된 조직범죄화 경향으로 발전해 조금만 방심하면 인터넷 공간은 매우 위험해진 것이다. 각자도 컴퓨터 안전은 스스로 지킨다는 보안의식을 갖고 위험한 사이트는 가지 않는 등 보안관리에도 관심을 기울여야 할 것이다.
Ahn

대학생기자 김태현 / 산업대 컴퓨터공학과

사물을 좀더 섬세하게 다룰 줄 아는 게 장점이다. 틈 많은 정보 보안 분야에 예리한 눈빛으로 정보의 수문장 역할을 하겠다는 게 포부이다. 정보보안 전문가가 되어 우리나라 국민의 개인보안 의식 수준을 높이고 싶다.


 

대학생기자 이대건 / 인하대 전자공학과

평지와 벽이 반복되는 인생에서, 이제 막 첫 계단을 오르는 기분이다. 열정을 가슴에 품고, 현재의 따뜻한 공간에 안주하기보다는 차가운 세상에 던져진 느낌으로 살고 싶다.


댓글을 달아 주세요

  1. 요시 2009.04.03 15:51  Address |  Modify / Delete |  Reply

    메일중에 이벤트 당첨됬다고 해서 슬쩍 봤었는데
    왠지 이상해서 그냥 넘겼었는뎅..
    악성코드가 아닐까 생각도 해봐요 ㅎㅎ ;;

  2. 초록별 2010.07.10 11:37  Address |  Modify / Delete |  Reply

    줄지도 않는...
    보이스피싱, 가짜 바이러스(스파이웨어) 치료 백신, 가짜 트위터(스티브잡스,연예게들 사칭)들...
    때문에 검색하다 보니 이런 기사가...
    ...
    예방,차단 하는 방법이 없는지...몇억 몇조씩...국내 피해가 있다하던데...
    ...
    온라인 금융 사기의 10가지 유형
    http:__news.naver.com_main_read.nhn?oid=001&aid=0002799953
    (...
    영국 더 타임스 소개...금융 위기 때 기승
    ...
    다음은 오라드 부사장이 정리한 대표적인 온라인 사기의 10가지 유형이다.
    ...
    1. 소셜네트워크 이용 수법
    : 페이스북이나 트위터, 마이스페이스 등 소셜네트워크 사이트를 해킹해,
    사이트 내 인맥을 타고 다른 사용자와 접촉해, 위험에 처했으니,
    돈을 보내달라고 요구하는 수법이다.
    ...
    (저는 축구, 야구 안 좋아하고...약간 의아하다는...)
    ...
    3. 경제 사기: 인터넷과 전화를 통해,
    대출과 채무 변제 등을 명목으로 선납금을,
    요구하는 등 고전적 수법이다.
    ...
    4. 보이스피싱: 아시아에서 성행했지만, 서구에서도 점차 널리 퍼지는 수법이다.
    자녀가 교통사고나 납치를 당거나, 비명을 들려주는 등,
    거짓 전화로 놀라게 한 뒤,
    치료비나 몸값으로 거액을 챙기는 방식.
    ...
    5. '거절할 수 없는 제안': 가령 1만달러 짜리 어음을 나눠 주고,
    취업 알선 등의 명목으로 수수료를 20%만 받을 테니,
    8천 달러를 송금하라고 요구해 받아챙기는 방식이다.
    물론 어음은 이미 부도처리된 가짜다.
    ...
    6. 유령 회사 수법: 가짜 서비스 회사를 차려놓고 계좌를 개설한 뒤,
    이용자의 동의 없이,
    요금을 마구 부과하는 방식이다.
    ...
    7. 맨 인 더폰(man-in-the-phone):
    금융기관 직원을 가장해 개인정보를 캐내는 방식으로,
    사기범은 전화를 걸어 은행 계좌에 보안상의 문제가 생겼다며,
    비밀번호, 정보 등을 요구해 돈을 빼간다.
    ...
    8. 트로이 목마: 컴퓨터 사용자의 정보를 빼가는,
    악성프로그램인 '트로이목마'가 담긴 이메일을 보내,
    사용자가 이메일을 확인하는 순간,
    컴퓨터에 침입, 비밀번호 등을 빼가는 수법.
    ...
    9. 가짜 에스크로 서비스: 온라인 쇼핑몰에서 점점 활개를 치는 수법으로,
    가짜 에스크로(조건부 날인) 서비스 회사를 차리는 것이다.
    구매자는 온라인상점에서 물건을 구매하면 대금을 에스크로 서비스로 송금하게 되고,
    이 회사는 판매자가 상품을 소비자에게 보낼 때까지 잠시 보관하는 역할을 하는데,
    ...아예 가짜 에스크로 서비스를 차려 놓고,
    소비자와 온라인 쇼핑몰,
    양쪽을 모두 속이는 대담한 수법이다.
    ...
    10. 피싱: 가장 흔하고 또 가장 당하기 쉬운 수법이다.
    합법적인 회사로 가장하고서, 은행계좌 등이 해킹됐다고,
    거짓말을 해 패스워드를 알아내,
    돈을 빼가는 방법이다.
    ...)