서버 클라이언트 관계에서 요청하는 쪽이 클라이언트라고 한다면 서비스를 제공해주는 쪽을 우린 서버라고 합니다. 이러한 서버 가격도 지금은 많이 내려서 거의 피씨 수준이 되어 버렸는데요.. 1년 365일 시스템이 멈추지 않고 운용이 되다보니 하드디스크의 경우에는 많은 애러가 발생합니다.
리눅스서버이며 하드디스크 에러발생된 화면
이러한 상황들은 종종 발생이 되는데 아마도 엑세스가 많은 하드디스크에서 일어나는 경우가 많습니다. 이럴때 우린 시스템 관리자로서 다음과 같은 사항을 꼭 염두를 해 두어야 합니다.
하드디스크는 소모성으로 꼭 백업을 해 두어야 한다. 여기서는 로컬백업도 있지만 원격지 백업을 의미한다.
하드디스크 가격이 많이 저렴해져서 레이드 구성시 미러링 구성을 하는 것이 좋다.
주기적으로 서버에 있는 데이터를 외장형 디스크를 이용하여 백업 받는 것이 좋다.
자주자주 점검해 보는 습관을 가지는것이 좋다.
때로는 아주 중요한 데이터가 있는 하드디스크가 인식이 안되는 경우가 발생이 되어 복구 업체에 맡긴다 하더라도 많은 비용과 또는 비용도 비용이지만 중요한 데이터를 소실하는 경우를 많이 봐 왔습니다.
위 상황도 리눅스 시스템에서 3번째 하드디스크인 SDC 디바이스 장치에서 하드디스크 인식을 하지 못하고 있는 화면입니다. 담당자에 의하면 많은 데이터가 있다고 하는데 참 안타까운 상황이었습니다.
결론은 하드디스크는 언제든지 고장날수 있으니 백업을 철처하게 잘 하자로 결론이 지어질 듯 합니다.
아침출근길에 마주치면서 길바닥에 버려진 껌을 떼고 있는 아저씨, 왜 껌을 떼고 있었을까? 궁금한 나머지 오늘 아침에 출근하다가 잠시 이야기를 들어 보기로 하였습니다.
필자는 대중교통을 이용하여 출.퇴근을 하고 있는 전형적인 직장인입니다. 제가 그분을 처음 보게 된것은 며칠전이었습니다.
아침에 출근을 하는데 길바닥에 앉아서 무엇인가 계속 제거를 하고 있었습니다. 한 눈에 보아도 그것은 껌이라는 것을 알수 있었습니다. 사람들은 저마다 그분 옆을 지나가지만, 그냥 이상한 사람 보듯 휙휙 지나갑니다. 저도 멀찌 감치 지나가다가 그분 옆을 지나면서 보니까 바닥에 버려진 껌을 제거 하고 있었습니다.
길바닥에 버려진 껌을 제거 하고있는 아저씨
그냥 집앞 근처니까 제거 하는 모양이다. 그렇게 생각하고 아침 출근을 했습니다. 그런데 오늘 아침에 출근 하는데 또 앉아서 껌을 제거 하고 있었습니다.
오늘은 일찍 작업을 하셨는지 신문에 제거한 껌이 제법 많이 모아져 있었습니다. 아침 출근길이라 그냥 스쳐지나갔습니다. 하지만 얼마 가지 못해 왜 저분은 앉아서 껌을 제거 하고 있을까? 궁금하기도 하고 블로거로써 좋은 일을 하는 것은 널리 알려야 겠다는 생각도 있었습니다.
아침에 길바닥에서 제거한 껌
하지만 괜히 쓸데없이 접근했다가 당황해 하거나, 화를 내지 않을까 하는 생각에 잠시 머뭇머뭇하다가 그래도 좋은 일을 하는것 같아 다가가서 물어 보았습니다. 대화내용을 정리하기 위하여 필자를 '엔' 그분은 '아저씨'라고 하겠습니다.
엔: 저..아침에 출근하다가 길에서 껌을 제거 하는 것을 어제도 보았는데요..오늘 또 하시길래 한번 여쭈어 보려구요 껌을 왜 제거 하고 계세요?
아저씨: 여기 길바닥에 껌이 너무 많아요. 그리고 출근 하시는 분들 길바닥에 있는 껌이 없으면 아주 깨끗한 길을 거닐며 아침에 출근 할수 있잖아요 (그 근처엔 정류장이 있다)
엔: 그럼 언제부터 이렇게 하셨어요?
아저씨: 3일 되었습니다.
엔: 아..그러세요?
엔: 그런데 무슨 일을 하시길래..?
아저씨: 아~~나도 일하는 사람인데요. 요 근처에 살아요. 그런데 저기 보이는 쪽에서 정류소가 있는데 버스에서 내리자 마자 길바닥에 껌을 버리게 되니 너무 지저분 해서 그냥 운동삼아 제거 하고 있는 거에요.. 그리고 저는 노인회관 같은 곳에서 청소하고 있어요. 조금 있다가 또 일하러 가야 해요. 날씨 더우면 이것도 잘못해서 아침에 조금씩 하는거에요.
엔: 아..네...참 좋은 일 하시네요. 저~ 저는 블로거라고 인터넷에 글도 올리고 사진도 찍고 하는데 선생님 지금 작업 하는거 조금 찍어서 올려도 되나요?
아저씨: 네..그러세요.
껌을제거 하고 있는 모습
길바닥에 버려진 껌을 제거하고 있는 아저씨
엔: 그런데 왜 이런 일을 하세요
아저씨: 저기 한번 보세요..껌이 길바닥에 저렇게 붙어 있으니 얼마나 보기 싫으세요. 운동삼아 이렇게 제거하면 출근하시는 분들도 기분 좋게 출근 할수 있잖아요.
엔: 참..그런데 선생님 성함이 어떻게 되시죠?
아저씨: 000 입니다.
*엔시스생각
누군가 시켜서 하는것이 아닌 그냥 자신이 하는 일이 아무런 보잘 것 없는 것이라 생각해도 자신에게 있어서 보람되고 남에게 떳떳하다면 누가 보던 보지 않던 스스로 만족하겠다라는 생각을 했다. 그것은 필자가 미흡하지만 보안의 중요성을 알릴려고 부족한 한 개인이지만 누가 보던 보지 않던 끊임없이 온.오프라인에서 활동하는 것과 같아서 왠지 그분과 동질감을 느끼게 되었다.
이렇게 하여 불과 약 5분정도 아저씨와 대화를 나누었습니다. 정리하면 자신이 그 길 근처에 살고 있는데 길에 보니까 사람들이 너무 껌을 많이 버려서 길바닥이 거뭇거뭇하게 되는 것이 보기 싫었던 모양입니다. 그래서 3일전부터 아침에 일나가기전에 조금씩 껌을 제거 하고 있다고 합니다.
누가 시켜서 하는 것도 아니고, 누군 버려야 하고 누구는 제거해야 하는 시민의식이 안타깝다는 말씀을 하셨습니다. 필자 스스로도 혹시나 껌을 아무렇게나 버리지 않았나, 또는 아무런곳에 침을 뱉지는 않았나 하는 생각을 하면서 아침 출근길을 재촉 하였습니다.
그 분이 작업을 한후 지나온 길 바닥을 보면 위에 하얗게 표시된 부분들이 껌을 제거한 부분들입니다. 애써 웃으면서 운동삼아 껌을 제거 한다라고는 했지만 누군가 버렸던 껌을 또 다시 그것을 출근하는 아침 출근길에 상쾌한 출근길을 만들려고 열심히 껌을 끌칼로 제거 하고 있는 그분이야 말로 진정한 시민의식을 가지고 계신 분이 아닌가 하는 생각이 듭니다.
짧은 5분정도의 대화밖에 하지 못했지만, 제가 늘상 지나오는 출근길이고 그 길에 버려진 양심으로 뒤 덮힌 껌을 제거 하시는 그분에게 제 자신이 부끄러워지고 작아진다는 느낌이 들었습니다. 그져 남들은 누가 처리 하던지 말던지 그냥 휙휙 지나만 가지 말고 따뜻한 격려의 말 한마디라도 한다면 조금은 훈훈한 느낌이 들지 않을까 하는 생각을 해 보았습니다. 기꺼이 사진촬영에 응해 주셔서 감사합니다. 부산시나 부산시 중구 지자체에서는 이런 보이지 않는 곳에서 노력 하시는 분들에게 아낌없는 격려와 감사의 메세지를 보낼 필요가 있겠습니다. @엔시스.
* 이러한 훈훈한 미담의 주인공은 널리널리 알려야 하니 이 글을 읽는 분들은 손가락 추천꾹꾹 좀 눌러 주시면 좋겠네요.
*트위터 하시는 분들은 무한 RT부탁드립니다.
* 2010.07.30 추가 포스팅
오늘 아침에 출근하는데에도 어제와 어김없이 껌 떼는 작업을 하고 있었습니다. 오늘은 먼 발치에서 한번 찍어 보았습니다. 누가 시켜서가 아닌 스스로가 하고 있는 모습을 보았을때 아무렇게나 껌을 버리는 시민의식에 안타까움을 느끼게 되었습니다.
당신의 ‘사이버 행적’ 은행 손 안에
김인석 IT서비스팀장은 “고객이 언제 어떤 거래를 했는지 알려면 MAC 정보가 필요하다”고 말했다. 또 “전자금융거래법에 ‘기록’을 보관하라는 조항을 적용하면 고객에게 알리지 않아도 불법이라고 볼 수 없다”고 덧붙였다
네티즌의 반응 싸늘~~
이에 각 포털에 검색어에 하루종일 네이트와 맥어드레스 관련 키워드들이 검색이 되고 있습니다. 보안을 위한 조치도 좋겠지만 우선 방법상에 문제점을 지적 하고자 합니다.
네이트,싸이월드 공지내용
맥어드레스만 수집을 한다고 해서 과연 향후에 유사한 경우가 발생하지 않을까요? 그것보다는 우선 일반인들 즉, 보안의식과 마인드가 없는 일반인들에게 왜 맥어드레스와 컴퓨터 이름을 수집해야 하는지에 대한 당위성과 과정 절차를 숙지를 해야 함에도 불구하고 7월21일 공지하고 7월28일부터 시행 하겠다고 하는 것은 아주 근시안적인 방법입니다.
필자가 가장 고민하는 것중에 하나도 바로 이러한 보안인과 비보안인에 대한 인식의 변화를 어떻게 하면 자연스럽게 이끌수 있을까 하는 부분에 봉착하게 되는데 이번의 경우는 제가 봐도 너무 무리인듯 합니다.
위 링크 된 당신의 ‘사이버 행적’ 은행 손 안에 기사를 보면 은행에서는 이미 액티브엑스 설치시에 맥어드레스를 수집하는 것으로 나타났는데 액티브 엑스 설치시에는 이에대한 공지라든지 여러가지 동의 및 사용자가 인지되어야 하는 부분들이 나타나 있지 않습니다.
아마도 같은 도매금으로 여론의 질타를 맞지 않을까 생각합니다. 보안에 중요성은 누구보다도 느끼는 것이지만 일방적인 강요나 사용자의 공감을 이끌어 내지 않고 강제성을 띄는 듯한 느낌을 준다면 당연히 저항감과 반발로 이어져서 기업의 경우 서비스에도 상당한 악영향을 끼치게 됩니다.
이러한 부분들을 왜 급작스럽게 감행을 하게 되었는지, 그냥 살짝 개인정보 수집 약관에 몇줄 넣어서 수집하면 된다라고 생각을 했는지 문제입니다. 쇼셜네트워크 서비스를 하는 기업일수록 이러한 부분들은 신뢰성과 투명성을 기반으로 이루어져야 하고 특히 '보안강화'에 대한 부분은 상담한 시일과 공감을 이끌어 내야 함에도 불구하고 결국 이야기를 꺼내고 여론화가 되고 나니까 지금 현재에는 트위터 등에서 다시 철회 한다는 이야기가 올라 오고 있네요.
마무리 글
급변하는 시대에 뉴미디어의 등장으로 다양한 사용자의 욕구를 충족시키기에는 상당한 기간과 시일이 필요함을 다시한번 보여 주는 사례인듯 합니다. 필자도 보안에 대한 중요성을 인식시키고 전파하고 있지만 사용자에 동의나 사전에 불필요한 오해를 살만한 절차상에 문제점을 간과해서는 안된다고 생각을 합니다. 최종 어떻게 결론이 날지는 모르겠지만 해당 기업에서는 한순간에 판단으로 서비스자체가 흔들리는 상황을 맞이 하지 않길 바랄 뿐입니다. ㅇ
왜냐하면 "네이트온이나 싸이월드와 같은 서비스가 몇년전만해도 대체 할수 없는 서비스가 없었지만 지금은 더 많은 서비스와 사용자들이 쇼셜네트워크와 각종 글로벌 한 서비스로 무장하여 사용자의 욕구를 충족시키기 위해 소리없는 총성을 울리고 있을때 이와 같은 무리한 정책을 감행한다는 것은 사실 이해가 가지 않습니다. " 결국 대체재가 있다는 말이겠지요.
"쓰기싫으면 가라"는 발상 자체는 커다란 화를 불러 올것이라는 것은 추후 후회하게 되겠지요.
특히 약관에 동의 하지 않는 사람은 탈퇴 하라는 식으로의 문구등은 네티즌과 사용자에 대하여 더욱 감정적으로 받아들여져 국내 메신져 시장에서의 시장점유우위와 싸이월드의 쇼셜네트워크 서비스에 대한 자만심으로 비추어질 가능성이 있습니다.
다시한번 심사숙고 하여 내부적으로는 여러가지 상황 판단이 있겠지만 여론과 네티즌의 뭇매를 맞고, 서비스에 영향을 미친다라고 하면 '보안경영'에 대한 깊은 연구가 필요한 시점이 아닌가 생각해 봅니다. @엔시스.
2010-07-27 18:00 추가 포스팅
결국 한발짝 물러서는 sk컴즈
보안은 사전 공감대 형성이 중요합니다. 그렇지 않을 경우 오히려 더욱 반감만 사게 되는 경우가 되죠. 아마도 내부 보안인력들은 결국 상당한 고초를 겪지 않았을까 하는 생각이 듭니다.
이는 의사결정자의 오판으로 받아들여 지겠습니다. 여러가지 사항들이 있겠지만 무리수를 두는 경우엔 자칫 경영에 위기도 올수 있으므로 조금 더 잘 판단 하는 계기가 되었기를 바랍니다. 이러나 저러나 보안을 하시는 분들에게 힘과 용기를 주어야 하는데 이런 케이스가 자꾸 발생이 되어, 안타까울 뿐입니다.
지난번 서울에 다녀 올일이 있어 잠시 인터뷰를 한 적이 있는데 오늘자 전자신문에 나왔네요. 조금은 쑥쓰럽기도 하지만 보안에 대한 중요성과 인식을 널리 해야 한다는 것은 어쩌면 당연한 것인지도 모르겠습니다.
스스로 안된다라고 하기보다는 된다. 할수있다라는 신념으로 하나씩 만들어 가다보니 이런 날도 있네요. 아무튼, 보안은 수도권에서만 이루어져서는 안됩니다.
전국, 이제는 글로벌하게 이루어져야 한다고 생각합니다. 하지만 인프라가 잘 깔린 대한민국은 정보보호에 인색한 것이 참 안타깝기만 합니다..
보안커뮤니티 '보안인닷컴'을 설명하고 있는 운영자
아직은 미흡한 개인이에 힘이지만 , 서로 공감하고 깨닭고 함께 할수 있다면 그것이 진정 대한민국 정보보호, 보안에 무지에서 빠져 나오고 일깨울수만 있다면, 의미 있는 일이라 생각이 드네요..^^;;
저 혼자 이렇게 한다고 해서 많은 것이 바뀌리라 생각은 하지 않습니다. 하지만 그렇다고 아무도 안한다면 누가 나설까라는 생각에 때로는 애로사항과 힘든 점이 있지만, 지금까지 버틸수 있었던 것은 약3만명에 다다른 "보안인" 이었습니다. 보안을 연구하고 이제 무엇인가 배워 볼려고 하는 이들에게 너무 현실적인 냉혹한 부분만을 보여 줄순 없었습니다. 그래서 지금도 실천하고 행동하고 있습니다.
아직도 부족함이 많고, 때로는 어려움도 있지만 누군가 해야 할 일이고, 이젠 수직적구조에서 수평적 구조로, 또한 인터넷에 의존도가 높으면 높을수록 보안에 대한 인식은 더 중요해져야 합니다. 여러분들도 함께 이루어가는 안전한 사이버 세상 만들기에 동참해 주셨으면 좋겠네요.. @엔시스.
처음 커뮤니티라는 것을 접하게 된것이 '카페'를 통해서 접하게 되었다. 그 이후에 여러가지 채널을 통한 '블로그' , '트위터' 등을 통하여 쇼셜네트워킹서비스 (sns)를 통하여 소통을 하고 있다.
일반적인 가십거리에 대한 이야기나 최신 디지털에 대한 이야기가 아니기 때문에 많은 방문자수는 없지만 꾸준히 운영해 오고 있다.
하지만, 주변을 쳐다보면 대부분 보안(정보보호)를 하는 사람들은 '기술'에만 집중을 하는 경우를 많이 본다. 우선 기술적인 부분이 기본이 되는 것은 당연한 것이지만 '서로 함께 소통하고 공유 할수 있는 ' 커뮤니케이션에도 집중을 할 필요가 있다.
아무리 '보안' 이 중요하다고 외쳐도 알려도 모를 경우 다각적인 방법을 통하여 여러가지 툴을 이용하여 알려야 함은 당연한 것이다. 하지만 우리는 그런 일들이 쓸데 없는 일이라고 생각을 한다. 그리고 보안인식이 안된다고 말을 한다.
최근에 활발한 쇼셜네트워킹을 하는 기업과 기관은 '안랩'과 '한국인터넷진흥원'이 적극 나서고 있다. 상당히 고무적인 일이고 더 많은 회사와 기업이 진출을 하여 많은 소통을 해야 한다.
필자는 비록 먼저 보안과 쇼셜네트워크에 진입을 하였지만 아무래도 개인이다보니 업무와 시간 틈틈히 이용하는 것이라 한계에 부딪힌다.
하지만 오늘과 같이 [긴급보안공지]가 올라 올땐 빨리 대처를 하기 위하여 실시간으로 바로 전파를 하는 것이 중요하다. 얼마나 볼지, 또는 얼마나 인식 할지는 모르지만 누군가 즉각적인 대체를 해야 하는것이다. 홈페이지는 사용자가 스스로 그 홈페이지를 방문을 해야 하지만 쇼셜네트워크는 적절한 관계 유지만 하면 어플리케이션을 통하여 자동으로 자신에게 정보가 쏟아진다.
특히 최근에 보안위협은 실시간으로 전파되고 있어 제로데이 어텍이나 기타 사회적으로 혼란을 야기 시킬수 있는 위협은 보안담당자나 관리자가 빠른 대처를 해야 즉각 방어를 할수 있다. 특히 DDoS의 경우는 상당히 위협적이며 이러한 DDoS 공격을 하는 좀비PC를 만드는 악성코드는 빠른 시간에 차단을 해야 한다.
미투데이와 트위터를 통하여 악성코드를 배포하다는 한 기업의 보안공지 사항을 보고 빠르게 트위터를 통하여 전파를 했더니 그에 따른 리트윗이 올라오고, 트위터 상에서 빠른 시간에 공지되는 효과를 직접 체험 한 것이다. 보안에 관심이 없는 일반 사용자들에게도 조금 더 다가설수 있는 보안에 대한 인식과 자세가 필요한 시점이다.
그 분위기를 이끌어 부산에서 마련이 되었습니다. 이러한 세미나는 사실 지방에 거주하고 있는 IT관련된 분들이 보안에 대한 세미나를 접하려고 하면 꼭 서울로 가야만 하는 경우가 있었습니다. 정말 듣고 싶은 세미나가 있어도 많은 비용을 드리고 서울로 가야만 하는경우에 참 애로 사항이 많았습니다.
이제는 지역에서도 함께 고민하고 정보 공유를 할수 있는 그런 세미나가 많이 생겨 나길 바라는 마음에서 아직 시작은 미흡하지만, 하나씩 시도해 보기로 하였습니다.
지난 5월에는 15명정도 참석자가 오늘은 45명정도가 참여 하였습니다. 순수 협찬이나 후원 아무도 없이 보안인닷컴과 구글 그룹스 메일링을 통하여 정보를 접한 분들이 참석 하셨습니다.,
부산에서 이런 기회와 자리가 있다는 것에 대하여 참석하신 대부분의 회원분들은 만족을 하였으며 추후 같은 자리를 마련해달라는 부탁도 있었습니다. 참석하신 지역을 보면 마산,창원, 경주, 진주, 울산, 대구, 심지어는 경기도 일산에서 KTX를타고 역으로 부산으로 세미나를 내려 오신분도 있었습니다. 정말 대단하고 감사하다는 말씀을 드립니다.
이 자리를 빌어 참석하신 모든 분들께 감사의 말씀을 드리고, 이제는 지역 자체적으로 그것도 기업도 아니고 기관도 아닌 커뮤니티에서 자발적인 세미나를 부산에서 스타트 하였다는 것에 대하여 자긍심을 가지고 타 지방에서도 그런 갈망을 해소시키기 위하여 열심히 노력하겠다고 말씀을 드렸습니다. 보안이라는 것은 '서울집중' , 수도권만 있는 것은 아니라 생각을 합니다.
자발적인 커뮤니티에서 행사를 치른다는 것에 대하여 긍정적으로 바라볼 필요가 있고, 추후 참석하는 사람도 발표하는 사람도 진짜 '실무형' 정보를 가지고 교류 할수 있는 그런 자리를 마련하도록 하겠습니다.
다음카페에 "엑티브엑스"를 사칭한 악성코드가 나타나고 있어서 주의가 당부한다는 글이 있습니다. 기존에 엑티브엑스에 길들여져 있던 사람들은 아무래도 많이 위험에 노출되기 쉽겠네요..
이러한 "엑티브엑스"에 의한 위험노출은 특히 많은 주의를 요함으로 사용자가 조심하여야 겠습니다. 이제 엑티브엑스 설치에 대해서는 아무런 생각없이 무조건 클릭보다는 잘 확인을 하고 설치를 해야 합니다. 사실 이렇게 이야기해도 그것을 신뢰된 것처럼 사칭해서 이야기하면 구별하기가 쉽지는 않겠지만 말이죠.
엑티브엑스 사칭하여 악성코드 설치 방지방법 5가지
윈도우 방화벽을 설치하여 팝업창을 자동으로 방지할것
모든 엑티브엑스설치시에는 너무 성급하게 클릭하지 말고 하나하나씩 자세히 살펴보고 특히 설치하고자 하는 곳에 해당 내용이 맞는지, 또는 엑티브엑스 설치시 해당프로그램명, 소프트웨어만든기업등 자세히 살펴볼것.
인터넷서핑 피씨와 작업용 피씨를 분리하여 사용할것, 불가능할경우 가상머신(VMWARE)등을 설치 하여 사용할것
백신은 하나이상은 꼭 설치하고 정기적인 예약점검 시간을 맞추어 점심시간등을 통하여 정기점검하고 최신 엔진으로 업데이트 할것.
6개월에 한번씩은 운영체제 재 설치를 할것.
엑티브엑스제거 프로그램을 이용하여 정기적으로 자신의 피씨에 깔린 엑티브엑스를 전부제거 할것. (다시설치하더라도)
아무튼, 엑티브엑스에 대한 보안에 대한 이야기는 참 말들이 많았습니다. 아직도 이에 대한 이야기는 많이 대두가 되고 있구요.
팁한가지) 자신이 사용하고 있는 피씨와 인터넷 서핑 전용 피씨를 구분해서 사용하시면 좋을것 같구요. 사실 그것이 어렵다고 한다면 요즘 vmware 등 가상머신을 설치하여 그 안에서 사용하는 것도 좋은 방법중에 하나가 아닌가 하는 생각이 듭니다. 아무튼 다음카페를 이용하시는 분들은 주의를 당부하고 다음고객센터나 국가 보안관련 기관으로 2009/02/04 - [Security Site] - 정보보호, 보안관련 싸이트 10선 참고하여 신고해 주면 좋겠지요. @엔시스.
이번주 이슈중에 하나는 단연 "김희정" 키사 원장님이 청와대 대변인으로 내정되었다는 소식입니다. 김희정 원장님은 본인의 트위터를 통하여 다음과 같이 알렸는데.
김희정 청와대대변인 내정자 트위터
지난 1년동안 KISA 대.내외적인 여론을 들어보면 상당히 호평이 있습니다. 특히 지난 1년간 여러가지 기관통합작업과 특히 118 번호 홍보와 그리고 정보보호관련 로고송등 많은 일들이 있었습니다. 전반적인 기관의 이미지 제고를 시켰다고나 볼수 있습니다.
실제 이야기를 들어보면 " 아직도 KISA 가 뭐 하는기관인지 모르는 사람들이 많이 있다" 고 이야기 하시면서 널리 많이 알리겠다고 이야기 한 적이 있습니다. 아마도 그런 일환에 하나로 주력했는거 같다는 생각이 듭니다.
평소 보안에 관심이 있는 사람으로써 저 또한 '보안인닷컴'이라는 보안에 관심있는 커뮤니티를 6년째 운영하고 있지만 힘든것은 마찬가지입니다. 참 사람들 보안이 중요하다는 것은 알지만, 실제로 행동하는데에는 참 어려움이 많습니다. 그러한 현실이 반영하듯 보안은 사명감이 아니면 일 할수 없는 직종이기도 합니다.
잘 하면 본전이고, 잘못하면 내탓이오라는 오명을 쓰기 쉽습니다. 그것은 앞으로 정보보호에 대한 규제는 점점 늘어날 것입니다. 그렇다고 본다면 정보보호 담당자나 보안담당자는 자신이 정보보호를 게을리 하지 않았다는 것을 증빙하지 못하면 처벌에 대상이 되기도 합니다. 그것은 옥션 판례와 (여기에선 관리자가 정당한 조치를 취했다고 인정받아 옥션승), 반면에 '보안담당자도 처벌' 기사를 보면 사실 누가 보안담당을 할것인가? 하는 의구심마져 듭니다. 그것은 시스템 담당자가 아무리 건의를 해도 경영진에서 "NO" 해 버리면 어쩔수 없기 때문입니다.
김희정 청와대 대변인 내정자가 청와대에서 대변인 역할을 한다면 많은 디지털과 정보통신에 관심을 가지고 계신분이고 정보보호에도 남다른 관심을 가지신 분이기에 정보보호와 보안에 대한 중요성과 역할에 대한 사고나 의지 전달은 있지 않을까 기대를 해 봅니다.
아무튼 다시한번 축하드리고, 늘 어렵기만 한 보안업계과 보안을 공부하는 학생, 그리고 전 국민을 대상으로 하는 보안에 많은 인식과 노력을 해 주시길 당부드립니다. 그동안 기관도 아닌 그렇다고 기업도 아닌 자발적인 각 개인들이 모여서 같이 보안에 대한 의견과 토론 그리고 정보공유, 친목도모를 하고 있는 대표 보안커뮤니티인 '보안인닷컴' 에도 일반인들이 많은 인식제고를 하여 보안에 관심있는 그들만에 잔치가 아닌 일반인들에게도 보안에 대한 중요성과 인식제고를 함께 할수 있는 기회가 되었으면 하는 바램을 갖어 봅니다. @엔시스.
한국생산성 본부(KPC) 부산 교육장에서 CISSP 미니 세미나와 설명회 그리고 보안인닷컴 정모를 하고자 합니다.
부.울.경 보안에 관심 있는 분들은 참석하셔서 보안에 대한 고민을 함께 해 보는 기회가 되었으면 합니다.
이러한 취지는 지역에 보안에 대한 세미나와 역량강화를 위한 기회 마련이 적고 또한 교육 역시 마땅하지 않아 애로 사항이 많음을 인지하고 한국생산성본부(KPC)와 보안인닷컴이 함께 하는 부산인근 지역 보안활성화에 앞장 서고자 하는 노력에
일환으로 진행이 됩니다.
지난 5월 부산설영회때 모습 -전주현 지부장
다음과 같은 주제로 진행이 될듯 합니다. 정말 관심 갖어야 할 분들은 아마도 공공에 계신 담당자 및 관심을 가지고 있는 분들이 아닌가 생각을 해 봅니다. 여러가지 이슈 사항들이 있지만 보안은 그러한 키워드만 나열해서는 안되기에 전반적인 내용으로 한번 접근 해 보고자 합니다.
부디 많이 참석 하셔서 좋은 만남의 기회도 가졌으면 하는 바램을 가져 봅니다 . 참고로 CISSP 유자격자의 경우는 CPE도
발급이 되오니 참고 하시면 되겠습니다.
서버도 장비다 보니까 사용중에 에러가 생깁니다. 그중에 하나가 주로 이벤트 로그를 많이 살려 봅니다. 그 가운데에 다음과 같은 이벤트 오류가 떴다고 하면 펌웨어 업데이 조치를 취해야 합니다.
중간에 <경고>와 <오류> 메세지가 상당히 많이 기록됨을 알수 있습니다. 조금 더 자세히 살펴 보면 다음과 같은 이벤트 로그를 보여 주고 있습니다.
하드디스크 콘트롤러에 오류가 있다는 메세지를 보여줍니다. 그러면 관리자는 물리적인 서버에 문제가 있다고 판단을 하게 됩니다. 이러한 이벤트 오류가 발생을 하였을때 운영체제 문제인지, 아니면 하드웨어적인 서버 문제인지를 빨리 판단하는 것이 중요한데 위 메세지로는 우선 하드웨어에 문제가 있다고 보시면 되겠습니다.
특히 다음과 같이 이벤트 ID가 129로 나타날경우에는 콘트롤러 쪽에 무슨 문제가 있는 것처럼 보이는데 이럴때는 하드웨어적인 부분에서 펌웨어가 불안정하여 하드디스크가 인식을 했다 안했다 하는 에러 상황을 이벤트 로그로 보여 주고 있는 것입니다.
특히 이러한 부분들은 HP DL380(G5)와 윈도우2003 R2 버전에서 다음 서버에서도 일어나는 현상들이기도 합니다.
관련 내용에 대한 댓글들이 있는데 다른 분들도 비슷한 모양입니다. 우선 펌웨어 업데이트를 통하여 문제점이 개선 되는지는 조금 두고 봐야겠습니다. 참고 하시기 바랍니다.
그런데 조금 더 확인해 본 바로는 다음과 같은 상황에서는 디비쪽에 백업 받는시간에 일정하게 에러가 뿌려 진다는 것으로 봐서 해당 디비(오라클)와 백업간에 어떠한 충돌 문제인듯 합니다. 이번에는 백업을 하지 않고 동일 시간대에 체크를 해 보기로 하였으니, 추후 확인 해 보고 그결과를 알려 드리도록 하겠습니다. @엔시스.
2010 국가정보보호 백서가 발간이 되었는데 직접 보기엔 분량이 너무 많아 힘드신 분들을 위하여 블로그에서 간단하게 핵심만 짚어서 포스팅 해 드리겠습니다. 참고 하시고 키워드나 흐름만 파악하고 조금 더 자세한 내용을 원하는 분들은 <한국인터넷진흥원 자료실>에서 다운로드 받아 보시면 됩니다. 이는 제가 제목만 보고 내용 구성은 2010 국가정보보호백서를 다시 재 정리함을 밝혀 드립니다. 따라서 제 개인적인 생각이 들어가 있음을 알려 드립니다. <본 포스팅에 사용된 이미지는 국가정보보호백서 2010 본문에 있는 것임을 밝힙니다.> - 운영자 주.
* 2009년 정보보호이슈정리
1. 7.7 DDoS 공격 사고 발생
정부기관,언론사,금융기관 및 주요 기관을 대상으로 하는 분산서비스거부공격 (DDoS)공격으로 좀비PC와 일반인들에 대한 보안 경각심 그리고 주요기관도 타겟이 될수 있고, 이러한 사례를 통하여 안일하게 대처했던 각 공공기관에 경각심을 주었으며 공공기관 사이버위협에 노출될수 있어, 2009년 하반기에는 긴급 예산 200억을 편성하여 디도스 장비 구매에 심혈을 기울였다. 지금 1년이 지난 지금 7/7일 어제 소규모 디도스 공격이 있었다고 언론에서 발표가 있었고, 이는 작년에 좀비PC로 치료되지 않은 잠재된 좀비PC가 아닌가 하는 관측도 나오고 있으나 아직까지는 커다란 공격은 일어나고 있지 않은 상태이다.
2. 쇼셜 메세징 인프라기반 피싱 기승
이제는 메신져는 일상생활 깊숙이 파고 들만큼 메일과 함께 주요 통신 커뮤니케이션 수단으로 활용이 되고 있다. 그런데 작년 한해에는 인터넷 메신져를 통한 피싱이 상당히 많은 기승을 부린 한해이기도 하다. 이로 인하여 친하게 지내던 친구나 친척까지 의심하게 되었으며 새로운 사회 공학적 기법의 사기 형태로 등장 하였다. 아직도 인터넷 메세지 메신져로 피싱이 많이 시도 되고 있으나 서비스 제공업체에서 다양한 방법으로 금전이나 민감한 키워드가 나왔을때 사용자에게 경고문구를 준다든지 하여 최근엔 많이 줄어든 편이지만 아직도 보안사각지대에 있는 사람들에게는 위험에 대상이 된다. 메신져로 돈을 요구시에는 꼭 확인하는 습관을 가져 보자.
3. 허위 보안제품 등장
이는 전문 보안업체가 아닌 곳에서 보안프로그램으로 가장으로 하여 금전적 이득을 취하는 형태를 말한다. 허위로 진단을 보여주거나 과장된 형태로 보여주어 사용자로 하여금 소액결제를 유도하여 금전적 이득을 취하는 것이다. 특히 이러한 부분에는 악성코드나 바이러스 백신의 형태가 많이 있으며 서로 악성코드를 판단하는 기준이 업체마다 다르기 때문에 사용자들의 혼란을 가중시키는 경우도 있다. 보다 객관적인 공통된 기준안이 마련이 되어야 할것이다. 이러한 경우 바이러스나 악성코드 샘플을 채취를 하면 우선 관련 기관에서 먼저 수집후에 백신업체에 배포를 하여 공동으로 개발하는 것이 옳은 것이 아닌가 생각을 한다. 너무 자신만을 위하여 혼자 대응을 하다보면 각기 다른 진단이 나오게 되며 똑 같은 악성코드임에도 불구하는 어떤 제품은 진단을 하고 어떤 제품을 진단을 못하는 해프닝이 있기도 하다.
4. 온라인 게임 해킹 급증
온라인 게임이 급성장 하면서 청소년이나 어른이나 많은 사람들이 게임매니아로 전락이 된다. 이러한 게임은 적당한 수준에서 오락이나 휴식 등 잠시 머리를 식힐정도의 게임으로 사용을 해야지 자신의 생활과 시간이 게임에서 주가 되어서는 안될 것이다. 또한 게임중독에 걸려 가끔 부모를 살해하는 끔찍한 기사도 언론에 나오곤 하는데 이렇다 보니 게임에 대한 아이템들이 수만원에서 수천만원까지 이르게 되고, 이러한 아이템을 훔치기 위한 게임 해킹이 급증하고 있는 실정이다. 보통 게임해킹에 대한 일반적인 방법중에 개인정보 유출이 대다수를 차지하여 다른곳에서의 개인정보 유출로 인하여 공통된 게임계정과 패스워드를 사용하게 되면 온라인 게임제공업체는 아무리 좋은 보안 솔루션과 기술을 적용하여도 소용이 없고 게임업체에 화살이 돌아온다는 볼멘 소리를 하는 경우도 있다. 개인정보 유출을 가볍게 여겨서는 안되는 대목이기도 하다.
5. 성적 조작을 위한 대학 전산망 해킹
이제 사회 곳곳에서 보안이 필요하게 되었는데 아직도 요원하기만 한것이 안타까울 뿐이다. 작년에 한 서울 소재 유명 사립 대학교에서 네트워크 패킷 감시 프로그램을 이용하여 전산시스템을 해킹하는 사건이 발생을 하였다. 취업이 안되고 먹고 사는것이 힘들다 보니 학교 성적까지 조작하게 된 사건이다. 특히 이러한 보안 사각지대는 각종 통계자료나 수치를 볼때 교육기관에서 항상 많이 일어나는 것을 볼수 있는데 필자도 예전에 이러한 부분에 대하여 교육하는 기관이면 오히려 더 잘 되어야 하는데 참 아이러니 하다는 생각을 하게 되었다. 아무튼 이제는 국립,사립 할것없이 대학교,중고등학교, 초등학교등 특히 교육열이 높은 대한민국에서는 또 다른 성적 조작이 없다라는 보장을 할수 없다. 그만큼 전산망 관리에 힘을 기울여야 하는데 과연 그러한 인력이 전진 배치되어 있을지 의구심이 든다.
6. 개인정보 유출 피해자 집단 소송판결
무엇보다도 작년 한해에는 개인정보 유출에 대한 이슈가 많이 되었던 한해이기도 하다. 그중에 하나가 국내 유명한 인터넷 경매사이트에서 1080만명이라는 개인정보가 유출이 되었는데 추후에는 더 많다라는 이야기도 있지만 아무튼 외부 침입에 의하여 유출이 되었는데 이에 피해를 본 사람들이 집단 손해배상 청구 소송을 제기하여 그 판결에 귀추가 주목되는 한해이기도 하였다.
2010년 1월 개인정보 유출에 따른 1심 판결에서 법원은 관련법을 위반하지 않은 점을 고려하여 배상책임을 인정할수 없다고하여 기업에 입장에 손을 들어 주었다. 이를 계기로 두가지 시사점이 있다.
기업담당자 입장 - 기업에 보안담당자가 자신이 정보보호에 소홀이 하지 않았다면 그 책임은 물을수 없다라는 형태이고 각 기업이나 공공기관, 민간기관, 조직에 보안담당자는 정보보호에 만전을 기해야만 하는 인식제고를 하였고, 불가항력적일때에는 책임을 면할수 있다는 계기가 되었다.(단,정보보호 활동에 소홀함이 없었을때)
개인집단소송입장 - 각 개인은 개인정보의 소중함을 금전적 가치로 이용하여 일부 변호사들의 커뮤니티등을 통하여 분위기를 유도 하였으나 판결에 비해 금액이 적고, 시간이 오래 걸리고 또한 변호사에 대한 수임료만 지불하고 정작 자신에게는 보상적 이익이 없다는 분위기가 팽배해서 향후 집단소송에 얼마만큼 참여 할지에 대한 의문이 생겼다.
7. 정보보호 관련 법, 제.개정 활발
DDoS 사태로 인하여 좀비PC법 마련을 위한 움직임이 있었고, 안전진단 제도의 개선, 정보보호관리체계 등급화, 정보보호책임자제도 도입, 그리고 2008년 12월에 정보통신 망법에 '준용사업자' 미비로 인하여 한 정유사 개인정보 유출에도 불기소 처분되는 보안사각지대를 여실히 보여 주었다. 2009년 7월1일부터 '준용사업자'를 8개에서 24개로 늘여 '망법'의 개정 시행이 되었다. 이에 따라서 준용사업자를 대상으로 개인정보보호에 대한 인식제고 및 교육이 활발하게 이루어 졌으며 필자도 이 교육에 강연자로 몇번 참여 하기도 하였다. 또한 '개인정보보호법'이 국회를 통과하지 못해 2010년으로 바톤이 넘어 왔으나 4월 임시국회에도 논의가 되었으나 입장차때문에 의견을 좁히지 못하고 6월 국회에서는 다른 쟁점사안으로 논의가 안되고 이제 10월 국회로 넘어갔는데 분위기가 무르익은 만큼 하루 속히 '개인정보보호법'이 통과가 되어야 할것이다. 혹자는 아직도 개인정보보호를 하고 있느냐? 이제는 털리만큼 다 털린게 아닌가 ? 라는 반문을주는 분도 있는데 그렇다고 대안이나 대책 마련을 하지 않아서는 안된다. 소는 잃었지만 외양간을 고치고 다시 소를 사야 할것이 아닌가?
8. 새로운 IT기술과 정보보호 - 스마트 그리드, 클라우드
여러가지 새로운 IT기술이 지속적으로 나오고 있지만 2009년 후반기에는 아무래도 스마트폰에 대한 관심이 증가되어 아이폰이 국내에 도입이 되면서 2010년에는 스마트폰에 대한 보안이 더욱 중요시 여겨 질 것이다. 또한 새로운 기술중에 클라우드 컴퓨팅에 대한 기술이 활발하게 논의되고 있어 아직 서비스 활성화 단계에서 머물러 있지만 추후에는 곧 보안에 대한 이슈도 거론이 될 것이다. 이러한 스마트 그리드 기술과 클라우드 기술은 2010년 하반기에 더욱 논의가 많이 되고 서비스활성화에 주력이 될 것이다. 아직까지 보안에 대한 큰이슈는 없지만 서비스 활성화가 되기도 전에 보안이 너무 가로 막아 버린다면 그것은 오히려 서비스 자체를 성숙단계까지 끌어 올리지 못하기에 보안에 대한 의미도 없을 것이다.
9. 아이폰 등장으로 인한 스마트 폰 보안증가
위에서도 잠시 언급을 하였지만 아이폰의 도입으로 인하여 스마트폰과 모바일이라는 것에 새로운 패러다임을 썼다라고 해도 과언이 아니다. 아이폰이 도입이 되기 전에 스마트폰이 없었느냐 그것도 아니다. 일부 스마트 폰이 있었고 윈도우모바일에서 동작이 되었다. 그런데 대부분 외국에 출시되는 제품보다 스펙 다운이 되어 와이파이와 GPS 를 빼고 출시하는등 소비자에게 원성을 사기도 하였다. 하지만 아이폰이 도입이 되고 나서 제조사와 이통사들은 상황이 바뀌게 되었고, 오히려 이제는 더 적극적으로 가세를 하고 정부도 여러가지 활성화 방안을 내 놓은것을 보면 참 아이러니 하다는 생각이 든다. 아무튼 하나의 물꼬를 튼것만은 사실이고 이러한 "내 손안에 PC"로 자리 잡은 스마트폰이 많이 보급이 되다보면 이제 "보안"을 생각 하지 않을수 없다. 따라서 개인들의 보안의식이 중요하며 스마트 폰은 특히 내용이 주로 개인정보에 대한 부분과 자료들도 내부에 많이 저장이 되어 있어 더욱 각별한 주의가 당부된다.
10. 응용프로그램 제로데이 공격 증가
제로데이라고 함은 취약점이 발견이 되었지만 해당 소프트웨어 개발사에서 공식 패치가 되기도 전에 공격을 하는 것으로 방어책이 존재 하지 않기에 다른 위협에 비해 상당히 위험하다. 이러한 제로데이 공격은 초반에는 운영체제등에서 많이 나타났으나 지금은 MS 오피스나 PDF 등 사용자들이 많이 사용하는 응용프로그램에서 많이 등장한다. 따라서 흔히 운영체제에 대한 패치만 할것이 아니라 이제는 응용 프로그램에 대한 주기적인 패치를 해야 한다. 앞으로 이러한 부분들은 더욱 가시화 될 듯 하여 응용프로그램도 이러한 유지보수 (패치,업데이트)가 잘 되는 제품이 우수한 제품이 될 것이며, 일반적인 오픈소스도 유지보수를 잘 해야 사용이 될 것이다. 향후 개발비용에는 이러한 유지 보수 비용도 추가가 되어야 질 적인 측면에서 우수한 소프트 웨어가 개발이 되지 않을까 생각을 해 본다.
마무리 글
2009년 정보보호 이슈 10 가지에 대하여 2010 국가정보보호 백서의 내용에서 제목만 인용을 하고 내용은 개인적인 필자의 생각을 가미해 보았다. 보안은 아무리 강조해도 지나치지 않고, 보통 보험적인 성격이 강해서 직접 당해 보지 않으면 그 중요함에 대한 존재감을 알수 없다. 이제는 물리적인 국방 한계선만 지키는 것이 아닌 경계가 없는 사이버전을 통하여 사회를 교란시키고 국론을 분열시켜 대립과 갈등을 조장 시킬우려가 많다. 이러한 가운데에서 수 많은 정보에서 어떠한 것이 옳고 그름인지를 판단할수 있는 판단력과 통찰력을 길러야 할 것이고, 그에 따른 보안에 대한 인식과 제고로 관련기관에서도 많은 노력을 해야 할것이다.
보안이라는 것은 기관만 나선다고 되는 것도 아니고, 기업이 나선다고 되는 것도 아니고 , 우리 모두 다 함께 나서서 각자의 소중한 정보는 자신이 지킨다는 주인의식으로 보안의식을 고취할때만이 보안에 대한 진정한 의미를 깨닭는다고 할 것이다. 비록 작년이 있던 이슈이긴 하지만 2010년 올 한해에도 해당이 될 것이고, 또한 다양한 새로운 보안 위협들이 다가 오고 있다. 이러한 위협에서 자신을 지키고 조직을 지키고 나라를 지키려면 나 부터 보안을 실천하는 마음에 자세를 가져야 할 것이다. 우리모두 작은 것부터 실천하자. "보안은 작은 실천이다 " - @엔시스.
* 다른 포스팅은 잘 모르겠지만 이러한 포스팅은 많은 사람들이 읽혀져서 2010 국가정보보호백서가 나와도 읽지 않는 사람들을 위한 포스팅이니 추천이나 메인공지에 올려 주시면 더 많은 분들이 읽고 보안의 중요성과 경각심을 가지지 않을까 생각을 합니다. 한 사람의 노력으로 더 많은 분들이 읽을수 있도록 적극 추천 버튼 클릭해 주시면 감사하겠네요. *^^* 정리하는 것도 쉽지는 않네요..
지난 주말에 서울에서 보안인닷컴 6주년 기념 세미나 및 정모를 진행하였습니다. 그동안 업무때문에 바쁘기도 하고 나름 이것저것 하느라고 생각을 못했는데 커뮤니티 생성이 7.4일이라 상반기 안에는 반드시 한번은 오프라인 모임을 가지고 회원들과 교류 하고자 하는 것이 상반기 목표 였습니다.
처음 신청하신 분들은 약 150명 수준이었으나 100명 정도 참석해 주셨습니다. 주말임에도 불구하고 시간내어 참석해 주신 분들에게 도움이 된 듯 하여 뿌듯한 느낌이 들기도 합니다.
이번 세미나는 커뮤니티 차원에서 진행 했다는 것에 의미를 두고 있습니다. 처음에 장소섭외와 세미나 참석하면 무엇이라도 하나 손에 들고가야 하는 경품부터를 기획단계에서 고민을 하였는데, 경품은 참여하시는 분들이 기부하는 형태로 진행하여 좋은 반응을 얻었고, 또한 기부해 주신 분들도 기꺼이 즐거운 마음으로 기부를 해 주셔서 감사한 마음이 들었습니다. 일일이 기부하신 분들에게 감사의 말씀을 전했고, 자리에 참석 하지 않는 사람은 전화로, 트위터로 메일로 감사의 말을 전했습니다.
세미나의 현장과 정모 이모저모
세미나 이후의 이모저모를 사진을 통하여 조금 더 분위기를 느껴 보겠습니다. 혹시 초상권에 문제가 있으신 분들은 댓글 달아 주시면 확인 조치를 취해 드리겠습니다.
보안이 중요하다는 것은 누구나 알고 있습니다. 하지만 실천하는 사람은 잘 없습니다. 함께 보안을 연구하고 나누고 실천하여 함께 만들어가는 그런 커뮤니티가 될수 있도록 노력 하겠습니다. 사람이 적어도 걱정, 많아도 걱정이더군요. 한분한분 소중한 분이기에 일일이 챙겨 드리지 못한 점 양해 바라고 대한민국 보안발전을 위하여 더욱 힘을 내었으면 좋겠습니다.
오늘자 신문에 '아이튠즈 해킹' 에 대한 기사가 올라온 것을 보았습니다. 이미 예견된 시나오리며, 보안이라는 것은 인식의 문제이기 때문에 지저분 한 사람이 병에 더 잘 걸리듯이 보안 마인드가 되어 있지 않은 사람은 결국 해킹의 위험에 노출될 가능성이 많다는 것입니다.
그럼 무엇이 문제이고 아이튠즈 해킹은 무엇인가?
아이튠즈 해킹
애플에서 사용하는 디바이스 기기를 사용하려면 일정한 플랫폼을 거쳐야 하는데 그중에 하나가 바로 '아이튠즈'라는 소프트웨어입니다. 이 프로그램을 디바이스기기에 연결을 하고 각종 어플리케이션이나 음악,노래등을 앱스토어나 또는 디바이스기기에서 보내고 받기를 할수 있는 프로그램입니다.
아이튠즈를 통해서 앱스토어에 접속을 하고 접속시에는 아이디/패스워드를 입력후에 로그인하여 무료로 된 어플리케이션이나 유료로 된 어플리케이션은 카드로 결제를 하고 구매를 하게 되는 것입니다.
그런데 누군가에 이러한 계정이 도용이 되거나 누출이 되었다고 한다면 빠른 조치를 취해야 할 것입니다.
아이튠즈 앱스토어 접속화면
여기엔 무료와 유료의 어플리케이션이 있는데 누군가 해킹을 하던 아니면, 개인 정보유출이 되었든 유료 어플을 결제하여 신용카드에서 결재가 되는것이죠.
그럼 어떻게 내 계정이 해킹 당한 것인지 알수 있나요?
오른쪽 상단에 보면 자신의 처음 계정 만들시에 만든 이메일 주소가 보입니다. 즉 자신의 계정이 되겠지요..
클릭을 하면 로그인 하기 위하여 다음과 같이 암호를 물어 봅니다. 그럼 암호를 입력해 주고 로그인을 하여 <계정보기>를 합니다.
그러면 잠시후에 <계정정보>를 확인해 보면 다음과 같습니다.
1)의 경우에는 지금 저의 경우에는 한곳에의 컴퓨터에서만 아이튠즈 구입을 할수 있는 인증으로 걸어 놓았습니다. 그러니 여러곳에서 인증하여 구매 할수 없도록 해 놓았습니다.
2)의 경우를 보면 쉽게 자신의 어플리케이션 무료,유로 구입 이력이 나오기 때문에 바로 알수 있는 것이죠. 쉽게 말하면 물품 구입 명세서 같은 것이라 보시면 되겠습니다.
그럼 2번을 클릭해 보시기 바랍니다.
최근 자신이 구입한 <무료> <유로> 어플 이력을 상세히 보여줍니다. 이렇게 보았을때 자신이 유료나 무료어플리케이션을 다운로드 받은 적이 없는데 있으며, 또는 유료 어플리케이션을 결제하여 다운로드 받은 적이 없으면 분명히 다른 누군가가 이용을 했다는 증거가 되겠지요. 이제 좀 이해가 되셨나요?
그럼 어떻게 하면 아이폰/아이패드/아이튠즈 해킹을 예방 할수 있는 방법은 없나요?
아마도 이러한 질문과 궁금증을 많이 가지실텐데요..그것을 우선 살펴 보면 다음과 같습니다. 가장 원론적인 부분이라 하더라도 자신의 신용카드나 결제로 많은 어플리케이션이 무단 다운로드 당하지 않을려면 꼭 실천해야 하는 것 중에 하나입니다.
아이디 /패스워드 관리를 잘 하여야 합니다. - 특히 대부분의 사람들은 아이디/패스워드를 동일한 것을 많이 사용합니다. 무슨 말인가 하면 포털에 쓰는 아이디와패스워드를 그대로 여러곳에 동일하게 사용을 많이 하게 된다는 것입니다. 그러면 아이디와 패스워드만 알면 얼마든지 남의 계정에 들어가서 어플리케이션을 이용할수 있습니다.그러니 유료로 결제가 되는 곳에 아이디/패스워드는 꼭 각각의 것으로 이용하셔야 합니다. 불편하셔도 어쩔수 없습니다. 해킹을 당해서 수십수백만원이 결제되는것 보다는 불편함이 더 낫지 않겠습니까?
남에게 아이디/패스워드를 알려주어서는 안됩니다. - 보통 아이튠즈를 이용하다보면 무료 어플리케이션을 다운로드 받게 마련인데 그러다보면 더 나은 어플을 사용하기 위하여 유료로 결제를 해야 합니다, 그런데 편법을 사용하여 누군가 유료결제를 한번 하고 난 이후에 그계정과 패스워드를 이용하면 또 다시 무료로 다운로드 받을수 있다는 것입니다. 다시 말해 A가 B 어플을 유료로 결제하여 다운로드를 받아 잘 쓰고 있던차에 C가 그 어플을 설치하고 싶어서 C가 가기고 있는 기기에 A계정으로 아이디패스워드를 가지고 로그인하여 B 어플을 다운로드 받으면 유로로 결제 하지 않고 다운로드 받을수 있다는 것이죠. 이러한 부분은 상당히 조심해야 할 부분이며, 실제 애플에서는 어떻게 대응을 할지는 모르겠습니다만 자신의 아이디패스워드를 남에게 알려주는 것은 상당히 위험한 일입니다.
아이폰/아이패드 단말기 분실 및 패스워드 관리 - 단말기를 통한 분실에 대비하여 꼭 패스워드를 걸어 두기를 권장 드립니다.
아이튠즈 사용후엔 반드시 로그아웃 할 것 - 보통 아이튠즈 사용후에는 로그아웃을 하지 않고 그냥 프로그램을 종료 하는 경우가 많으데 꼭 로그인후에 사용하는 모든 웹이나 어플리케이션 또는 프로그램은 종료시에 로그아웃 하는 습관을 들이는게 좋다. 그렇지 않으면 만인에 대비하여 다른 사람이 자신의 pc를 사용하거나 누군가 원격에서 로그인이 된다면 그래도 접속 가능할수 있기 때문이다. 반드시 로그아웃을 하자.
신뢰된 링크를 따라가는것도 자제하자 - 전 웹과 마찬가지로 앱에서도 동일합니다 복합적 보안이슈가 생길 수 있기때문입니다 XSS,CSRF,MITM 같은 공격과 같이 생길수 있습니다. (이 부분은 트위터 이웃인 미니어스님이 추가로 제보해 주셨습니다. -감사합니다.)
마무리글
보안이라는 것은 아주 사소한 것에서 부터 출발을 합니다. 따라서 무엇보다 혹시 이렇게 하면 보안에 대한 위험성을 없을까 라고 생각하는 평소에 보안에 대한 경각심이 중요하고, 조심을 해야 합니다. 그렇지 않은 사람이 학교를 졸업을 하고 회사에 취직을 하면 그 회사는 언젠가 중요한 자료가 유출될지도 모릅니다. 결국 보안이라는 것은 '사람' 에 의한 것이므로 사람에 대한 집중적인 교육과 의식 개혁이 필요한 것입니다.
앞으로 보안을 무시하거나 비효율적이고 비용낭비적인 생각과 마인드를 가지고 있는 기업의 경영자는 비지니스에서 절대 성공하지 못할 것입니다. 최근 ddos 1주년이라고 해서 이래저래 말들이 많은데 꼭 그렇게 호들갑 떠는 것보다는 평소 보안에 대한 충분한 마인드와 기술적 부분이 보강이 되어 준비가 된다면 정보보호의 강국으로 발돋움은 충분하리라 생각해 봅니다. 아이튠즈도 그맥략에서 사용하시는 모든 분들 아무렇게나 넘기지 마시고 잘 관리하여 해킹당하여 피해를 보는 일이 없도록 해야 겠습니다. 저도 또 한번 조심해야 겠습니다. @엔시스.
지난 금요일 휴가를 내고 서울 출장이 있었다. 보안전문커뮤니티 "보안인닷컴" 6주년 세미나를 진행하기 위한 진행자로서 서울에 출장을 가게 되었다. 벌써 보안커뮤니티를 운영한지 6년이 되었다는 것이다.
그런데 한가지 세미나도 진행도 있었지만 예전부터 자동차에 대한 전문적인 블로그를 운영하고 계신 전명헌 회장님을 뵙고 싶은 생각도 있었기 때문이다. 평소 블로그를 통하여 알게 되었으며 , 회장님은 자동차에 대한 상당한 지식과 또한 블로그 운영 방식, 그리고 아무리 늦어도 꼭꼭 댓글을 달아 주는 그래서 더욱 친근감이 가는 분이시다.
연락처를 몰랐기에 사전에 블로그에 한번 뵐수 있는지에 대한 의견을 여쭈었는데 흔쾌히 응해 주셨고, 점심 약속을 하였다.점심사를 하기로 한 곳은 바로 "일품당" 광화문 8번 출구에 있다. 서울지리를 잘 모르는 나로서는 처음 뵙는 약속시간에 늦지 않으려고 택시를 타고 갔다. 중간 중간 차가 막히는 것 같아 약속시간에 늦을꺼 같아 조마조마 했지만 다행히 제 시간에 도착을 하였고, 약속 시간 10분전에 도착 할수 있었다.
광화문 8번출구 일품당
잠시 들어가기 전에 사진을 한껏 찍어 보았다. 블로거의 본능이라고나 할까? 사실 일품당이라는 식당이 지하철 입구 바로 앞에 있지만 난 이미 스마트폰으로 검색을 하여 위치 파악에 나서 쉽게 찾을수 있었고 택시기사에게도 바로 이야기 할수 있었다. 이것이 스마트폰에 위력이 아닐까?
반갑게 맞이해 주신 전명헌 회장님
멀리서 반갑게 맞이해 주시면서 " 엔시스" 라고 닉네임을 불러주시며 악수를 하고 식당안으로 들어가서 맛있는 점심식사를 하였다. 그날따라 유독 날씨가 더웠고, 난 정장차림에 더워서 난감해 하고 있을때 회장님께서는 편안하게 배려 해 주시며, 분위기를 유도해 주어서 가벼운 마음으로 응대할수 있었다. 사실 명사분을 직접 뵌다는 것이 그리 쉽지 않은 일이거니와 직접 블로그를 통하여 오프라인에서 뵐수 있는 것은 영광이었기에 사실 긴장이 조금 된 것이 사실이었다.
하지만 점심 식사내내 편안하게 해 주셨고, 블로그에 대한 이야기, 또한 자동차에 대한 이야기, 인생에대한 좋은 조언을 해 주시고 배려를 해 주셨다. 회장님은 스마트폰에 대한 관심도 가지고 계셨는데 꼭 시연해 보일려고 할땐 시연 타이밍이 안되어 (그공간이 3G망이 잘 안터짐) 그냥 말로만 설명을 드렸는데 최근 '증강현실'에 대한 말씀도 드렸더니 추후 스마트폰 구매를 고려 해 보신다고 하셨다. 난 적극 추천을 하였다.
그렇게 소중한 점심시간이 어느덧 흘렀고, 회장님에 대한 첫인상은 "포스작렬(?)" 이었고, 열정적이시고 또한 후배에 젊은이들에게 배려를 할 줄 아시는 분이셨다.
그동안 블로그를 통하여 이런 저런 내용을 알고 있었기에 근황도 여쭈어보고, 보안에 대한 중요성 그리고 제 개인적인 조언도 아끼지 않으셨다.
오랜 경험과 노하우, 명사들의 연륜에 묻어나는 조언 받아야
대체로 앞 시대를 겪어오신 선배분들이 계셨기에 지금 대한민국이 발전을 해 왔다. 산업역군으로 앞장서서 '사우디아'로 일하러 가고, 새마을 운동, 자동차수출등 노력이 있었기에 오늘날 눈부신 발전을 해 왔다. 또한 이 시대가 지나고 나면 나 또한 그런 한시대를 살아 왔다라고 이야기 할 것이다.
전명헌 전 회장님과 함께
출처: Mark Juhn's Blog
그런 연륜과 노하우 경험에서 묻어나는 지식을 우린 배울 필요가 있다. "현재는 과거의 산물이다" 과거에 노력이 있었기에 현재가 존재 하는 것이지..과거에 노력이 없다는 현재는 존재 하지 않는다. 그래서 현재를 '선물'이라고 하지 않는가?
난 늘 아름다운 선물(오늘)을 만들려고 노력하고 있다.
블로그는 온라인과 오프라인을 연결하는 연결고리
그렇게 1시간여 짧은 시간 회장님을 만나서 점심식사를 했지만 나에게 있어서는 정말 소중하고 귀중한 만남이었다. 그것이 더욱 소중한 것은 바로 '블로그'를 운영하였기 때문이다. 물론 회장님도 블로그를 운영 하였기 때문이다. 개인적으로 오프라인에서 블로거와의 만남은 제가 3번째 만남이었다고 말씀 하신다. 지방에서 살고 있지만 온라인과 오프라인. 물리적인 지역적 거리를 허물수 있는 그런 계기가 된 것은 바로 내가 블로그 운영을 꾸준히 성실하게 운영하였기에 가능했으리라. 사실 세미나만 아니면 조금더 여유롭게 뵙고 싶었지만 그렇지 못해 못내 아쉬움도 남았다. 회장님께 죄송한 마음도 있었다.
전명헌 회장님 블로그 특징
오랜 해외 생활을 하셔서 한글과 영문을 섞어서 운영하고 있다. 가끔 한글에 표현을 영어로 어떻게 하는지에 대한 것을 알수 있다. 그것은 해외에서 블로그를 방문하시는 분들도 있어서 하는 배려차원이라는 말씀도 있으셨다.
일일이 댓글을 달아 주신다. 직접 여쭈어 본 바로는 먼저 다른 블로그에 가서 댓글을 달아 주신다고 하신다. 나또한 어떨경우 방문하지 못할때면 직접 나의 블로그에 방문하셔서 댓글을 달아주시기에 감사할때가 있었다. 그만큼 관심과 배려를 해 주신다.
가끔 주말이 되면 회장님 블로그에서 서비스(?)를 해 주신다. 그것이 궁금하신분들은 꾸준히 방문해 보면 안다. 혹 자동차, 여행.산 . 그리고 가끔 인생에 대한 조언을 듣고 싶은 분들은 파워 블로거이신 전명헌 전회장님 블로그를 방문해 보길 적극 권해 본다. 그래서 지금도 많은 블로거들이 회장님 블로그에 방문을 하여 서로 소통 하는 모습이 멋지기만 하게 보인다.
세상을 점점 가까워 지고 있고, 이제는 '소통경영'을 외치고 있어 너도 나도 커뮤니케이션 하려고 뛰어 들고 있다. 하지만 진정한 소통은 자신의 가장 솔직한 모습을 보여주고 인간미를 보여주는 것이 소통이 아닐까 생각을 한다. 그러면에서 늘 젊게만 살아가시는 전명헌 전회장님이야 말로 진정한 블로그를 통하여 소통을 할줄 아는 파워 블로거가 아닐까 생각을 한다. 이자리를 빌어 일산에서 광화문까지 오셔서 귀중한 시간내어주시고 맛있는 점심도 사주신 전명헌 전 회장님께 진심으로 감사의 말씀을 드린다.
2박3일간에 서울출장 도중에 노트북 배터리팩을 가지고가지 않아 배터리가 없어서 하는수 없이 이 블로그 포스팅은 부산집에서 도착하자마자 바로 씻고 포스팅 하고 있다. 그래서 회장님께서 올린 포스팅에 대한 댓글도 지금에야 달게 됨을 알려 드립니다. 그리고 세미나를 잘 하고 내려갔는지까지 챙겨 주시는 회장님께 감사의 말씀을 드립니다.
지식경제부와 한국인터넷진흥원(KISA, 원장 김희정)은 오는 8월 9일부터 정보보안 기업들에게 취업할 수 있도록 지원하는 ‘지식정보보안 전문가 취업 준비를 위한 OJT과정’을 실시한다.
본 교육과정은 지식경제부의 사이버보안전문가 양성 정책에 따라 전액 무료로 진행되며, 강남역 KISA 아카데미에서 진행된다. 교육신청은 7월 23일까지 지식정보보안산업협회 홈페이지(www.kisia.or.kr)에서 할 수 있으며, 자체 심의 후 대상자를 선정할 계획이다. -출처 : 보안뉴스
그나마 방학중이라 조금 나을 듯 하지만 , 지방에서도 관련 내용을 들을 수 있다면 굳이 서울에 가지 않고도 자신의 전공이 정보보호학에 대한 의미와 자부심을 가지고 취업에 더 다가갈수 있을 것이다. 무엇보다 지방에서 필요한 것은 '관련 정보와 교육' 이며, 정보보호 업체가 전부 서울에 있는 만큼 관련 기관과 교육도 지역에 맞게 서울비중과 지방에도 약간의 비중을 둔다면 실질적인 정보인력에 대한 케어가 되지 않을까 생각한다.
그냥 '사이버 보안전문가 3000명 ' 양성해야 한다고 하니까 이리저리 아무나 지원하면 교육하기보다는 정작 '정보보호학과'가 많이 있는 지역에 안배를 하여 실질적인 '사이버 보안전문가 양성'을 위한 교육과 ojt가 시행이 되면 좋겠다.
한가지 덧붙인다면 이러한 기회가 지역이 있다고 하면 지역 관련 학교나 정보보호학과가 연계를 하여 관련 기관에서 하고자 하는 취지의 목적에 부합하도록 같이 동참하고 응원하고 참여를 해야 할것이다. 그렇지 않고서는 수도권에 교육과 동등하게 받으려고 하는 것은 욕심일 것이다. 가끔 이러한 행사나 교육을 기획하는 담당자도 과연 지방이나 지역에서 얼마나 많은 수요나 관심이 있을지에 대한 의구심 때문에 진행 하지 못하는 경우가 있는데 절실한 만큼 그에 따른 관심도 커야 진행 될수 있을 것이다. @엔시스.
2010_국가정보보호백서.pdf
