2010 국가정보보호 백서가 발간이 되었는데 직접 보기엔 분량이 너무 많아 힘드신 분들을 위하여 블로그에서 간단하게 핵심만 짚어서 포스팅 해 드리겠습니다. 참고 하시고 키워드나 흐름만 파악하고 조금 더 자세한 내용을 원하는 분들은 <한국인터넷진흥원 자료실>에서 다운로드 받아 보시면 됩니다. 이는 제가 제목만 보고 내용 구성은 2010 국가정보보호백서를 다시 재 정리함을 밝혀 드립니다. 따라서 제 개인적인 생각이 들어가 있음을 알려 드립니다.  <본 포스팅에 사용된 이미지는 국가정보보호백서 2010 본문에 있는 것임을 밝힙니다.> - 운영자 주.

* 2009년 정보보호이슈정리

1. 7.7 DDoS 공격 사고 발생

정부기관,언론사,금융기관 및 주요 기관을 대상으로 하는 분산서비스거부공격 (DDoS)공격으로 좀비PC와 일반인들에 대한 보안 경각심 그리고 주요기관도 타겟이 될수 있고, 이러한 사례를 통하여 안일하게 대처했던 각 공공기관에 경각심을 주었으며 공공기관 사이버위협에 노출될수 있어, 2009년 하반기에는 긴급 예산 200억을 편성하여 디도스 장비 구매에 심혈을 기울였다.  지금 1년이 지난 지금 7/7일 어제 소규모 디도스 공격이 있었다고 언론에서 발표가 있었고, 이는 작년에 좀비PC로 치료되지 않은 잠재된 좀비PC가 아닌가 하는 관측도 나오고 있으나 아직까지는 커다란 공격은 일어나고 있지 않은 상태이다.


2. 쇼셜 메세징 인프라기반 피싱 기승

이제는 메신져는 일상생활 깊숙이 파고 들만큼 메일과 함께 주요 통신 커뮤니케이션 수단으로 활용이 되고 있다. 그런데 작년 한해에는 인터넷 메신져를 통한 피싱이 상당히 많은 기승을 부린 한해이기도 하다.  이로 인하여 친하게 지내던 친구나 친척까지 의심하게 되었으며 새로운 사회 공학적 기법의 사기 형태로 등장 하였다. 아직도 인터넷 메세지 메신져로 피싱이 많이 시도 되고 있으나 서비스 제공업체에서 다양한 방법으로 금전이나 민감한 키워드가 나왔을때 사용자에게 경고문구를 준다든지 하여 최근엔 많이 줄어든 편이지만 아직도 보안사각지대에 있는 사람들에게는 위험에 대상이 된다. 메신져로 돈을 요구시에는 꼭 확인하는 습관을 가져 보자.


3. 허위 보안제품 등장

이는 전문 보안업체가 아닌 곳에서 보안프로그램으로 가장으로 하여 금전적 이득을 취하는 형태를 말한다. 허위로 진단을 보여주거나 과장된 형태로 보여주어 사용자로 하여금 소액결제를 유도하여 금전적 이득을 취하는 것이다. 특히 이러한 부분에는 악성코드나 바이러스 백신의 형태가 많이 있으며 서로 악성코드를 판단하는 기준이 업체마다 다르기 때문에 사용자들의 혼란을 가중시키는 경우도 있다. 보다 객관적인 공통된 기준안이 마련이 되어야 할것이다. 이러한 경우 바이러스나 악성코드 샘플을 채취를 하면 우선 관련 기관에서 먼저 수집후에 백신업체에 배포를 하여 공동으로 개발하는 것이 옳은 것이 아닌가 생각을 한다. 너무 자신만을 위하여 혼자 대응을 하다보면 각기 다른 진단이 나오게 되며 똑 같은 악성코드임에도 불구하는 어떤 제품은 진단을 하고 어떤 제품을 진단을 못하는 해프닝이 있기도 하다.



4. 온라인 게임 해킹 급증

온라인 게임이 급성장 하면서 청소년이나 어른이나 많은 사람들이 게임매니아로 전락이 된다. 이러한 게임은 적당한 수준에서 오락이나 휴식 등 잠시 머리를 식힐정도의 게임으로 사용을 해야지 자신의 생활과 시간이 게임에서 주가 되어서는 안될 것이다. 또한 게임중독에 걸려 가끔 부모를 살해하는 끔찍한 기사도 언론에 나오곤 하는데 이렇다 보니 게임에 대한 아이템들이 수만원에서 수천만원까지 이르게 되고, 이러한 아이템을 훔치기 위한 게임 해킹이 급증하고 있는 실정이다. 보통 게임해킹에 대한 일반적인 방법중에 개인정보 유출이 대다수를 차지하여 다른곳에서의 개인정보 유출로 인하여 공통된 게임계정과 패스워드를 사용하게 되면 온라인 게임제공업체는 아무리 좋은 보안 솔루션과 기술을 적용하여도 소용이 없고 게임업체에 화살이 돌아온다는 볼멘 소리를 하는 경우도 있다. 개인정보 유출을 가볍게 여겨서는 안되는 대목이기도 하다.





5. 성적 조작을 위한 대학 전산망 해킹

이제 사회 곳곳에서 보안이 필요하게 되었는데 아직도 요원하기만 한것이 안타까울 뿐이다. 작년에 한 서울 소재 유명 사립 대학교에서 네트워크 패킷 감시 프로그램을 이용하여 전산시스템을 해킹하는 사건이 발생을 하였다. 취업이 안되고 먹고 사는것이 힘들다 보니 학교 성적까지 조작하게 된 사건이다. 특히 이러한 보안 사각지대는 각종 통계자료나 수치를 볼때 교육기관에서 항상 많이 일어나는 것을 볼수 있는데 필자도 예전에 이러한 부분에 대하여 교육하는 기관이면 오히려 더 잘 되어야 하는데 참 아이러니 하다는 생각을 하게 되었다. 아무튼 이제는 국립,사립 할것없이 대학교,중고등학교, 초등학교등 특히 교육열이 높은 대한민국에서는 또 다른 성적 조작이 없다라는 보장을 할수 없다. 그만큼 전산망 관리에 힘을 기울여야 하는데 과연 그러한 인력이 전진 배치되어 있을지 의구심이 든다.



6. 개인정보 유출 피해자 집단 소송판결

무엇보다도 작년 한해에는 개인정보 유출에 대한 이슈가 많이 되었던 한해이기도 하다. 그중에 하나가 국내 유명한 인터넷 경매사이트에서 1080만명이라는 개인정보가 유출이 되었는데 추후에는 더 많다라는 이야기도 있지만 아무튼 외부 침입에 의하여 유출이 되었는데 이에 피해를 본 사람들이 집단 손해배상 청구 소송을 제기하여 그 판결에 귀추가 주목되는 한해이기도 하였다.

2010년 1월 개인정보 유출에 따른 1심 판결에서 법원은 관련법을 위반하지 않은 점을 고려하여 배상책임을 인정할수 없다고하여 기업에 입장에 손을 들어 주었다. 이를 계기로 두가지 시사점이 있다.

  • 기업담당자 입장 - 기업에 보안담당자가 자신이 정보보호에 소홀이 하지 않았다면 그 책임은 물을수 없다라는 형태이고 각 기업이나 공공기관, 민간기관, 조직에 보안담당자는 정보보호에 만전을 기해야만 하는 인식제고를 하였고, 불가항력적일때에는 책임을 면할수 있다는 계기가 되었다.(단,정보보호 활동에 소홀함이 없었을때)
  • 개인집단소송입장 - 각 개인은 개인정보의 소중함을 금전적 가치로 이용하여 일부 변호사들의 커뮤니티등을 통하여 분위기를 유도 하였으나 판결에 비해 금액이 적고, 시간이 오래 걸리고 또한 변호사에 대한 수임료만 지불하고 정작 자신에게는 보상적 이익이 없다는 분위기가 팽배해서 향후 집단소송에 얼마만큼 참여 할지에 대한 의문이 생겼다.


7. 정보보호 관련 법, 제.개정 활발

DDoS 사태로 인하여 좀비PC법 마련을 위한 움직임이 있었고,  안전진단 제도의 개선, 정보보호관리체계 등급화, 정보보호책임자제도 도입, 그리고 2008년 12월에 정보통신 망법에 '준용사업자' 미비로 인하여 한 정유사 개인정보 유출에도 불기소 처분되는 보안사각지대를 여실히 보여 주었다. 2009년 7월1일부터 '준용사업자'를 8개에서 24개로 늘여 '망법'의 개정 시행이 되었다. 이에 따라서 준용사업자를 대상으로 개인정보보호에 대한 인식제고 및 교육이 활발하게 이루어 졌으며 필자도 이 교육에 강연자로 몇번 참여 하기도 하였다. 또한 '개인정보보호법'이 국회를 통과하지 못해 2010년으로 바톤이 넘어 왔으나 4월 임시국회에도 논의가 되었으나 입장차때문에 의견을 좁히지 못하고 6월 국회에서는 다른 쟁점사안으로 논의가 안되고 이제 10월 국회로 넘어갔는데 분위기가 무르익은 만큼 하루 속히 '개인정보보호법'이 통과가 되어야 할것이다. 혹자는 아직도 개인정보보호를 하고 있느냐? 이제는 털리만큼 다 털린게 아닌가 ? 라는 반문을주는 분도 있는데 그렇다고 대안이나 대책 마련을 하지 않아서는 안된다. 소는 잃었지만 외양간을 고치고 다시 소를 사야 할것이 아닌가?


8. 새로운 IT기술과 정보보호 - 스마트 그리드, 클라우드

여러가지 새로운 IT기술이 지속적으로 나오고 있지만 2009년 후반기에는 아무래도 스마트폰에 대한 관심이 증가되어 아이폰이 국내에 도입이 되면서 2010년에는 스마트폰에 대한 보안이 더욱 중요시 여겨 질 것이다. 또한 새로운 기술중에 클라우드 컴퓨팅에 대한 기술이 활발하게 논의되고 있어 아직 서비스 활성화 단계에서 머물러 있지만 추후에는 곧 보안에 대한 이슈도 거론이 될 것이다.  이러한 스마트 그리드 기술과 클라우드 기술은 2010년 하반기에 더욱 논의가 많이 되고 서비스활성화에 주력이 될 것이다. 아직까지 보안에 대한 큰이슈는 없지만 서비스 활성화가 되기도 전에 보안이 너무 가로 막아 버린다면 그것은 오히려 서비스 자체를 성숙단계까지 끌어 올리지 못하기에 보안에 대한 의미도 없을 것이다.




9. 아이폰 등장으로 인한 스마트 폰 보안증가

위에서도 잠시 언급을 하였지만 아이폰의 도입으로 인하여 스마트폰과 모바일이라는 것에 새로운 패러다임을 썼다라고 해도 과언이 아니다. 아이폰이 도입이 되기 전에 스마트폰이 없었느냐 그것도 아니다. 일부 스마트 폰이 있었고 윈도우모바일에서 동작이 되었다.  그런데 대부분 외국에 출시되는 제품보다 스펙 다운이 되어 와이파이와 GPS 를 빼고 출시하는등 소비자에게 원성을 사기도 하였다. 하지만 아이폰이 도입이 되고 나서 제조사와 이통사들은 상황이 바뀌게 되었고, 오히려 이제는 더 적극적으로 가세를 하고 정부도 여러가지 활성화 방안을 내 놓은것을 보면 참 아이러니 하다는 생각이 든다. 아무튼 하나의 물꼬를 튼것만은 사실이고 이러한 "내 손안에 PC"로 자리 잡은 스마트폰이 많이 보급이 되다보면 이제 "보안"을 생각 하지 않을수 없다. 따라서 개인들의 보안의식이 중요하며 스마트 폰은 특히 내용이 주로 개인정보에 대한 부분과 자료들도 내부에 많이 저장이 되어 있어 더욱 각별한 주의가 당부된다.





10.  응용프로그램 제로데이 공격 증가

제로데이라고 함은 취약점이 발견이 되었지만 해당 소프트웨어 개발사에서 공식 패치가 되기도 전에 공격을 하는 것으로 방어책이 존재 하지 않기에 다른 위협에 비해 상당히 위험하다. 이러한 제로데이 공격은 초반에는 운영체제등에서 많이 나타났으나 지금은 MS 오피스나  PDF 등 사용자들이 많이 사용하는 응용프로그램에서 많이 등장한다. 따라서 흔히 운영체제에 대한 패치만 할것이 아니라 이제는 응용 프로그램에 대한 주기적인 패치를 해야 한다. 앞으로 이러한 부분들은 더욱 가시화 될 듯 하여 응용프로그램도 이러한 유지보수 (패치,업데이트)가 잘 되는 제품이 우수한 제품이 될 것이며, 일반적인 오픈소스도 유지보수를 잘 해야 사용이 될 것이다. 향후 개발비용에는 이러한 유지 보수 비용도 추가가 되어야 질 적인 측면에서 우수한 소프트 웨어가 개발이 되지 않을까 생각을 해 본다.




마무리 글


2009년 정보보호 이슈 10 가지에 대하여 2010 국가정보보호 백서의 내용에서 제목만 인용을 하고 내용은 개인적인 필자의 생각을 가미해 보았다.  보안은 아무리 강조해도 지나치지 않고, 보통 보험적인 성격이 강해서 직접 당해 보지 않으면 그 중요함에 대한 존재감을 알수 없다.  이제는 물리적인 국방 한계선만 지키는 것이 아닌 경계가 없는 사이버전을 통하여 사회를 교란시키고 국론을 분열시켜 대립과 갈등을 조장 시킬우려가 많다. 이러한 가운데에서 수 많은 정보에서 어떠한 것이 옳고 그름인지를 판단할수 있는 판단력과 통찰력을 길러야 할 것이고, 그에 따른 보안에 대한 인식과 제고로 관련기관에서도 많은 노력을 해야 할것이다.

보안이라는 것은 기관만 나선다고 되는 것도 아니고, 기업이 나선다고 되는 것도 아니고 , 우리 모두 다 함께 나서서 각자의 소중한 정보는 자신이 지킨다는 주인의식으로 보안의식을 고취할때만이 보안에 대한 진정한 의미를 깨닭는다고 할 것이다. 비록 작년이 있던 이슈이긴 하지만 2010년 올 한해에도 해당이 될 것이고, 또한 다양한 새로운 보안 위협들이 다가 오고 있다. 이러한 위협에서 자신을 지키고 조직을 지키고 나라를 지키려면 나 부터 보안을 실천하는 마음에 자세를 가져야 할 것이다. 우리모두 작은 것부터 실천하자.  "보안은 작은 실천이다 "   - @엔시스.

* 다른 포스팅은 잘 모르겠지만 이러한 포스팅은 많은 사람들이 읽혀져서 2010 국가정보보호백서가 나와도 읽지 않는 사람들을 위한 포스팅이니 추천이나 메인공지에 올려 주시면 더 많은 분들이 읽고 보안의 중요성과 경각심을 가지지 않을까 생각을 합니다.  한 사람의 노력으로 더 많은 분들이 읽을수 있도록 적극 추천 버튼 클릭해 주시면 감사하겠네요. *^^* 정리하는 것도 쉽지는 않네요..



신고
Posted by 엔시스