[기획/보안강국을 위한 쓴소리-보안관제 현황 진단②]

지금까지 보안관제시스템 등을 토대로 구축해 놓은 침해사고대응체계를 발전시켜, 각종 공격과 침해사고를 미연에 막을 수 있고 신속하게 조치해 피해를 최소화할 수 있는 방안은 찾기 위해, 현재 부족한 것이 무엇인지 진단해보고자 합니다.

전문가 분들에게 서면을 통해서나 직접 만나 의견을 구해봤습니다. 한국인터넷진흥원 인터넷침해대응센터, 삼성SDS, LG CNS, 싸이버원, 안철수연구소, 윈스테크넷, 이글루시큐리티, 인포섹의 전문가분들과 공공·기업의 보안관제센터 등에서 관제업무를 담당하시는 여러분들이 도움을 주셨습니다.

사용자 삽입 이미지

일단 보안관제의 목표는 중요자산을 보호하는 것입니다. 쉽게 말해 궁극적인 보안관제는 각종 침해사고를 막는데 목적이 있습니다. 그런데 지금의 보안관제체계에서 침해사고를 막을 수 있을까요? 

보안관제가 침해사고를 탐지하고 대응하는데 상당한 효과가 있다는 점은 인정되고 있지만, 공격 예방과 실시간 탐지 측면에서는 아직도 부족하다는 진단이 내려지고 있습니다.

더욱 큰 문제는 알려지지 않은 취약점을 이용한 공격, APT(Advanced Persistent Threat) 공격, 사회공학적 공격 등 지능화된 최신 공격에 한계를 노출하고 있다는 점입니다.

우리가 기억하는 최대규모 고객정보를 유출한 옥션이나 SK커뮤니케이션즈의 사고가 보안관제체계가 부재했기 때문은 아닙니다.

그래서 사고 이후 “보안관제서비스를 받고 있는데 왜 못 막았냐?”, “보안관제 업체의 책임 아니냐”며, 이를 둘러싼 많은 논란이 대두되기도 했습니다. 

전체적으로 보면 보안관제시스템을 제대로 운영해온 기간이 짧기도 하지만, 그동안에는 대형사고 경험 역시 부족한 탓이 있습니다.

또 보안관제를 제대로 하려면 기본적인 보안 투자가 기반이 돼야 하는데, 아직도 정부와 금융기관, 기업의 보안 투자는 부족합니다. 더욱이 지속적으로 새로운 공격수법이 빠르게 개발되고 있는데, 보안시스템을 보강하는 계획을 수립하고 투자를 벌이기 위한 의사결정은 느립니다.

보안관제는 방화벽, 침입탐지시스템(IDS), 침입방지시스템(IPS), 분산서비스거부(DDoS) 공격 대응시스템 등 보안 장비를 기반으로 합니다.

그동안 보안투자는 주로 외부에서 내부로의 차단에 집중한 보안시스템을 구성해 보안정책을 설정하는 분야에서 이뤄져 왔지만, 이 또한 일부일 뿐입니다.

이들 장비에서 나오는 이벤트와 로그를 취합하거나 이상징후를 파악한 뒤 침해 여부를 분석해야 하기 때문에 대부분 보안사고가 발생한 뒤의 시점이 됩니다. 때문에 사전탐지 보다는 보안사고를 확인하고 사후대응하는 것, 같은 유형의 2~3차 피해를 예방하는데 더 기능적이라고 할까요. 

더욱이 관제 대상과 범위는 주로 네트워크 분야로 한정돼 있고 외부로부터 들어오는 공격과 침입에 집중돼 있는 체계여서 내부PC단을 대상으로 하는 최신 공격기법이나 지능형지속위협(APT)과 같은 정교하고 지능적인 위협을 대응하는데 역부족이라고 평가됩니다.

최근의 해킹은 주로 상대적으로 취약한 내부 사용자의 PC를 악성코드 등을 통해 감염시켜 내부 시스템 접근한 후 중요정보를 탈취하는 식으로 이뤄집니다. 이로 인해 보안관제의 내·외부의 균형적인 운영에 대한 필요성과 특정한 부문이 아니라 전체 시스템을 유기적으로 연동하는 노력이 요구되고 있습니다.

즉, 인바운드 트래픽뿐만 아니라 내부에서의 정보 흐름, 아웃바운드 트래픽에 대한 통합된 보안관제의 필요성과 함께 관제의 대상도 단순 네트워크 장비, 서버에서 나아가 PC, 저장매체 활용 등 사용자단까지 확대돼야 한다는 것입니다.

일부 기관 등에서는 이미 PC 보안관제도 함께 수행하고 있다고 하는데요. 백신·PC보안 중앙관리시스템 등을 기반으로 한 PC단과 네트워크단의 포괄적인 탐지·분석이 이뤄져야 합니다.

개인정보유출 문제가 확산되면서 최근 잇달아 출시된 정보유출 방지시스템처럼 사용자들의 행위를 통합적으로 추적·감사하고 외부로의 불법적인 정보유출이나 이상행위를 통제·차단하는 시스템을 도입해 보안관제시스템과 연동하는 작업도 필요할 것입니다.

내부망에서 외부로 나가는 것을 차단할 수 있는 정책 수립도 검토해봐야 합니다.

이를 위해서는 먼저 내부에서 외부로 이루어지는 서비스 정의를 수행한 뒤 외부로 나가는 것에 대한 정책을 수립해야 합니다. 다만 추가적인 보안투자와 함께 사용자의 불편함이 대두될 수 있어 보안 수준 사이에서 정책을 어느 정도로 수립할 것인지 결단이 필요할 듯합니다.

보안관제시스템 자체의 기술적인 한계도 지적됩니다.

먼저 보안관제시스템이 다양한 이기종 보안장비 지원에 한계가 있을 경우의 문제입니다. 또 여러 장비에서 나온 이벤트를 동일한 기준으로 탐지·분석·대응할 수 있는 관리체계를 반영하지 못한다면 전적으로 보안관제서비스 수준 자체에 문제가 됩니다. 

공격 여부 등을 판단하는 기본 정보가 되는 탐지 이벤트에 대한 신뢰성 문제도 크게 지적됩니다. 

공격 탐지센서로 활용되는 각각의 보안 제품의 수준이 떨어지는 것과도 연관돼 있습니다. 오탐지(False Positive)된 이벤트가 많을 경우 실제 위협을 판별해내기는 당연히 어렵습니다.

때문에 최적화 작업이 아주 중요한 것으로 인식됩니다.

보안장비에서 발생하는 엄청난 이벤트를 바탕으로 위협에 대응하기가 매우 어렵기 때문에 현실적으로 커스터마이징 처리된 이벤트를 중심으로 분석이 이뤄지게 되기 때문입니다.

보안장비에서 발생하는 수많은 오탐 이벤트를 커스터마이징 작업을 통해 최적화된 탐지·분석·대응체계를 갖출 수 있다는 얘기입니다.

제로데이 공격에 대한 탐지가 어렵다는 점도 한계로 지적됩니다. 만일 솔루션마다 신규 공격에 대한 패턴 업데이트 주기가 길어지면 최신공격 대응이 어려울 수밖에 없습니다. 

솔루션 업체들의 업데이트, 능력에 대한 의존도가 높기 때문에 만일 솔루션 개발업체에서 신규 공격 패턴을 곧바로 제공하지 못할 경우 보안관제시스템에서도 탐지하는데 한계가 있을 수 있습니다.

따라서 기반이 되는 보안 솔루션의 수준이 아주 중요합니다.

패턴이 제대로 제공된다 하더라도 보안관제시스템의 최적화 작업을 계속해서 벌이지 않을 경우에도 문제는 발생합니다.

백신의 경우 설치만 하고 업데이트를 하지 않게 되면 새로운 바이러스를 막지 못하는 것처럼 보안관제시스템도 지속적인 커스터마이징이 필요하다는 게 전문가들의 지적입니다. 각사마다 IT환경과 사업환경 차이로 인해 같은 패턴을 적용하더라도 시스템상에서 충돌이나 오류가 발생해 오탐지로 이어지는 경우도 있기 때문입니다.

전문 보안관제서비스 업체 역시 침입탐지에 전문성을 갖고 지속적으로 신규 공격 탐지 패턴에 관해 연구하며 이같은 능력을 갖춰야 하는 노력도 요구됩니다.

그래야 예방과 실시간 탐지를 수행할 수 있는 신규 공격을 시스템에 반영할 수 있기 때문입니다.

사전예방 기능을 강화하기 위해 최근에는 보안관제의 범위에 취약점 진단과 모의해킹 업무도 포함되고 있는 추세입니다.

지속적인 신규 패턴 업데이트, 커스터마이징 및 최적화 작업, 사전진단 등을 강화하려면 보안관제서비스 업체나 관제업무 담당자를 대상으로 적절한 보안관제서비스 비용을 지불하고 그 업무의 중요성을 인정하는 것도 반드시 병행돼야 할 것입니다.

2011/10/12 11:23 2011/10/12 11:23

[기획/보안강국을 위한 쓴소리-보안관제 현황 진단①]

사용자 삽입 이미지

사이버위협이 날이 갈수록 심각해지면서 보다 보안관제에 대한 중요성이 어느 때보다 높아지고 있습니다.

기업이나 기관 중요 정보자산을 악성코드, 해킹, 분산서비스거부(DDoS), 정보유출과 같은 악의적인 행위와 위협으로부터 보호하기 위해선 실시간 모니터링을 실시해 공격을 탐지, 분석하고 대응하는 체계를 갖추는 보안관제가 필수적으로 요구됩니다.

그 이유로 정부는 사이버공격이 발생하면 신속하게 탐지·대응하기 위한 각 부처와 시·도 등 각 영역별로 보안관제센터를 구축해 침해사고대응체계를 선도적으로 구축·운영해왔습니다.

보안관제는 방화벽, 침입탐지/방지시스템(IDS/IPS), 그리고 통합보안관리시스템(ESM), 위협관리시스템(TMS) 등 단위 보안시스템과 보안관리시스템에서 발생하는 이벤트, 네트워크 트래픽 정보를 통합 모니터링하고, 상관관계를 분석해 사고를 처리 대응하며, 정보를 공유하는 기능을 포괄적으로 수행합니다. 

2000년대 초반부터 일원화된 보안관리체계 운영과 침해사고 대응협력의 필요성이 대두되면서 금융, 통신 등 각 영역별로 정보공유·분석센터(ISAC)를 만들기 시작했었죠. 벌써 까마득한 이야기입니다. 하지만 원래 목적대로 운영되지 못하면서 크게 활성화되지 못했습니다. 그나마 금융ISAC 정도만 운영이 되고 있다고 할까요.

본격적인 보안관제체계가 마련된 것은 현재 한국인터넷진흥원에서 운영하고 있는 인터넷침해대응센터가 만들어지면서부터가 아닐까 싶습니다. 2003년 12월에 신설됐죠.

이후 2003년 1월 25일, 우리나라 인터넷이 몇 시간 동안 마비되는 사상초유의 사태가 발생합니다. ‘인터넷대란’이라고 불리고 있죠. 이때부터 본격적으로 사이버보안에 대한 국가차원의 종합적이고 체계적인 대응 필요성이 제기됐습니다. 그 이듬해 정부는 국가정보원에 국가사이버안전센터를 설립합니다.  

국가사이버안전센터 운영이 본격화되고, 행정안전부 정부통합전산센터가 출범하죠. 이 때부터 본격적으로 보안관제센터가 정부·공공 분야에서 확산됩니다.

전자정부 보안관제센터가 구축된 2005년부터 지난해까지 정부부처 등 20여개 영역, 16개 시·도 광역자치단체까지 보안관제센터와 사이버안전센터가 마련되면서 실시간 발생하는 사이버위협을 탐지·대응할 체계를 구축했습니다. 

이제는 국가사이버안전관리규정이 개정돼 정부·공공기관은 보안관제센터 구축과 운영이 의무화돼 있습니다.

정부가 이달 중 보안관제 전문업체를 지정하게 되면, 예산과 전문인력 부족 등의 이유로 구축해 놓은 정부·공공기관의 보안관제센터 운영업무를 자체적으로 담당하기 힘들 경우 민간 전문업체에게 위탁하게 됩니다.

그 사이에 은행 등 금융기관, 대기업들도 자회사를 통해 보안관제를 운영할 센터를 구축하면서, 민간분야에서도 보안관제체계 도입이 확대되고 있습니다.

이제는 보안관제 인프라를 제대로 구축해 놓는 것뿐만 아니라 어떻게 하면 제대로 운영해 효과를 볼 수 있을지 총체적인 고민이 시작된 것 같습니다. 과연 보안관제체계를 본래의 목적에 맞게 구축해 운영하고 있는가 하는 점입니다. 

그러면서 짧은 시간 동안 보안관제의 중요성이 강조되는 동시에 한계성 또한 부각되기 시작했습니다. 최근 2~3년 간 발생한 사이버침해사고로 인한 결과는 치명적으로 다가왔기 때문입니다.

분산서비스거부(DDoS) 공격으로 정부기관·은행 등 주요사이트가 다운되고 금융전산망이 마비됐으며, 인터넷사용 인구 대부분이라 할 수 있는 정도의 개인정보가 유출됐습니다.

지난 2009년 발생한 7.7 DDoS 공격, 올해 발생한 농협 전산망 장애, 네이트·싸이월드 해킹사고 이야기입니다.

앞으로 어떤 강력한 공격이 우리나라의 정보통신망이나 시스템을 대상으로 발생할지, 그 피해는 대체 어느 규모가 될지 예측하기 어려운 상황에서 불안감만 커지고 있습니다. 

앞으로 해결해야 할 도전과제는 무엇일까요. 보안관제센터를 중심으로 사이버침해사고 예방과 탐지, 대응조치를 포함해 사이버보안에 대한 전방위적이고 종합적인 역할을 수행할 수 있도록 지속적으로 발전시켜야 할 것입니다. 

사이버위협은 계속 지능화되고 강력해지고 있기 때문에 보안관제체계를 구축했다고 안심할 게 아니라 계속해서 업그레이드, 보강해야 하는 것이 우리가 처한 현실입니다.


2011/10/12 11:23 2011/10/12 11:23

사용자 삽입 이미지
네이트·싸이월드 회원 3500만명의 개인정보를 유출한 SK커뮤니케이션즈에 법안이 최근 위자료 지급명령을 내리면서, 피해자들의 집단소송 참여가 더욱 확대되고 있는 분위기입니다.

개인정보 유출 피해자들이 모인 대표적인 인터넷 커뮤니티인 ‘네이트해킹피해자카페(네해카)’는 회원이 계속 불어나고 있습니다. 18일 현재 7만8000여명을 넘겨, 조만간 8만명을 넘길 것으로 보입니다.

‘네이트·싸이월드 해킹 피해자 공식카페’ 회원 역시 5만명에 육박하고 있습니다.

법원의 100만원의 위자료 지급명령이 내려진 것에 확신을 얻은 탓인지 집단소송에 참여하고 싶다는 의사를 밝히는 회원들도 부쩍 늘고 있습니다.

더욱이 네해카 운영자는 최근(14일) 소송을 담당할 법무법인을 선정해 구체적인 소송진행 준비절차에 들어간다고 밝힌데 이어, 19일에는 집단소송에 대한 공식표명을 할 것이라고 밝혔습니다.

다음 주부터는 해킹으로 회원 개인정보를 대량 유출한 SK커뮤니케이션즈를 상대로 한 집단소송이 본격화될 것으로 예상되고 있습니다.

이번 사고의 개인정보 유출 피해자가 역대 최대규모인만큼, 옥션 개인정보 유출 피해 관련 집단소송 규모를 넘어선 사상 최대규모의 집단소송이 벌어질 가능성이 높아지고 있습니다. 

하지만 집단소송 참여에 신중해야 한다는 목소리도 있습니다. 대표적인 대규모 집단소송인 옥션 피해자 집단소송을 비롯해 여러차례 진행된 집단소송에서의 경험 때문입니다. 

지난 2008년 옥션 해킹 사고 이후 피해회원 14만여명이 옥션을 상대로 개인정보 유출에 따른 피해배상을 요구하는 집단소송을 제기했지만 1심에서 패소한 전례가 있었습니다.
(관련기사 법원, 개인정보유출 해킹 사고 ‘옥션 과실 없음’ 인정, “옥션 개인정보 유출 배상책임 없다” )

더욱이 옥션 해킹 사고 이후 일부 변호사가 그럴 듯한 명목과 무책임한 배상액을 내세워 피해자들을 부추기면서 돈벌이 수단으로 이용했다는 비판이 많이 제기됐었습니다.

1심 재판이 끝난 뒤엔 아무런 해명이나 의견수렴 절차를 거치지 않고 항소를 포기해버리고 사건을 방치하는 무책임한 행태까지 나타나 많은 피해자들이 또다시 상처를 입기도 했었죠. 그로 인해 변호사들이 많은 네티즌, 피해자들로부터 원성을 샀습니다.  

옥션 관련 소송 결과와 무책임한 변호사들의 행태로 인한 허탈감과 분노감 때문인지, 많은 사람들이 이같은 집단소송이 결국은 원고측과 피고측 변호사들만 배불리는 결과를 불러왔다는 지적이 많았습니다.
(관련글 공돈 100만원이 탐나시나요?

네해카 등도 이런 점을 감안해 법무법인 선정 등 소송 준비 과정을 신중하게 진행하는 듯 보입니다.

네해카 운영자는 18일 올린 공지에서 “피해자들이 법에 기대 위로 받지는 못할망정, 일부 부도덕한 변호사에게 상업적으로 이용당해 다시 한 번 상처받는, 비극적인 일이 없도록 막겠습니다. 집단 소송 잘못된 문화는 네해카가 반드시 바꾸겠습니다”고 밝혔습니다.

또 “네해카는 피해자들이 직접 개설해 운영하는 최초이자 역대 최대 규모의 피해자 카페이며 변호사들에게 이용 당하지 않도록 피해자들을 보호하는 순수 공익 피해자 커뮤니티”라며, “피해자들 입장에 서서 집단소송 과정에서 절대로 실망시켜드리지 않는 철저하고 공정한 소송 진행과 마무리를 약속드립니다”고 강조했습니다. 

변호사들도 이같은 집단소송에 참여하려면 신중해야 한다는 조언을 하고 있습니다. 

지난 16일 열린 ‘3500만명 개인정보 유출 사태의 원인 및 대책 마련을 위한 토론회’에 패널로 참가한 김학웅 법무법인 창조 변호사는 “최근의 집단소송은 현대형 소송의 특징 중 하나인 ‘소액 피해 다수 피해자’가 의뢰인과 변호사 사이에서 발생하는 것은 아닌지 (우려스럽다)”고 지적했습니다.

김 변호사는 “옥션 사고 직후 3만원의 소송비용을 내면 200만원을 받을 수 있다는 이야기가 공공연하게 떠돌았지만 결국 기각됐다. 대규모 원고인단을 모집해 집단소송하는 것은 무리가 있고, 사업자가 기술적 보호조치의무를 이행하면 손해배상 책임이 없어 소송 승패여부가 달라질 수 있기 때문”이라며 신중을 기해줄 것을 당부했습니다.  

그의 조언은 이것입니다. “불법 행위로 인한 손해배상은 안 날부터 3년, 있은 날로부터 10년이며, 상사 채무불이행으로 인한 손해배상 청구소송은 있은 날부터 5년간 유효하다. 그러므로 집단소송은 1심 판결을 지켜본 후에 참여해도 늦지 않다.”

소송에 참여하기 전에 그 결과에 확신을 갖고 싶다면 귀담아 듣는 것도 좋겠습니다.

2011/08/18 15:18 2011/08/18 15:18

3500만명의 고객정보가 유출된 SK커뮤니케이션즈(SK컴즈)의 네이트·싸이월드 해킹 사고를 계기로 우리나라 ‘주민등록번호’ 제도가 또다시 핫이슈로 부상하고 있습니다.

단일 보안사고로 개인정보 유출 규모가 사실상 인터넷을 사용하는 모든 국민의 개인정보가 유출된 것으로 간주할 수 있다는 점에서 이번 사고 직후 보다 획기적이고 근본적인 개인정보보호 대책이 필요하다는 공감대가 형성됐기 때문입니다.  

주민번호 제도 자체를 손질하건, 수집·활용 관행을 바꾸건 간에 주민번호는 개인정보보호 방안의 중심에 있는 것이 사실입니다.

주민등록번호제도는 1962년 제정·공포된 주민등록법에 따라 50년 가까이 운영돼 왔습니다. 행정업무를 쉽게 처리할 수 있게 하고 범죄 발생시 범인 검거에 결정적인 역할을 하는 등 긍정적인 면도 많지만 지나친 국가통제·감시 수단이라는 비판도 꾸준히 제기돼 왔습니다.

주민번호는 가장 확실한 개인 식별, 본인확인 수단이니 온·오프라인을 막론하고 광범위하게 활용돼 왔습니다. 그러다보니 이를 유출해 악용하는 사례가 많아졌습니다. 특히 오프라인에서의 관행이 그대로 인터넷에 적용되면서 문제는 더욱 심각해졌습니다.

지난 2008년 발생한 옥션 해킹 사고는 1870만명의 회원정보를 통째로 유출하는 첫 대형 개인정보 유출 사례가 됐고, 그 전후에도 계속해서 인터넷상에 개인정보가 노출되거나 해킹 등으로 유출돼 왔습니다.

이제 우리나라 인터넷 사용자 대다수는 영구불변하고 가장 확실한 신원확인 수단인 내 주민번호가 제대로 보호받지 못한 채 불법 유출돼 마케팅에, 범죄에 불법 활용되고 있고 인터넷상에 떠돌고 있다는 것을 알고 있습니다.  

해외 웹사이트에서는 한국인의 주민번호를 쉽게 찾아볼 수 있습니다. 그만큼 우리나라 국민이 스팸이나 피싱, 금융사기를 비롯한 다양한 범죄에 노출돼 있다는 것을 의미합니다. 

누구나 합의하고 있는 기본 원칙은 온·오프라인을 막론하고 사회적으로 광범위하게 사용하고 있고 명백하게 개인을 식별할 수 있는 주민번호의 수집·활용·보관을 최소화해야 한다는 점입니다. 

그 이유로 이번 사고 발생 이후 방송통신위원회와 행정안전부, 여당(한나라당)까지 나서 여기에 초점을 둔 개인정보보호 강화 대책을 잇달아 내놓고 있습니다. (당정, 주민등록번호 활용 최소화 합의, 방통위 “인터넷상 주민번호 수집 원칙적 금지”)

정부의 대책은 인터넷상의 개인정보 수집·활용을 최소화하도록 하고(추가방안 마련 중), 인터넷상의 식별번호 수단인 ‘아이핀(i-PIN)’ 사용을 확대하고 보호조치를 강화하는 게 골자입니다.

하지만 진보네트워크센터(진보넷) 등 시민단체는 주민번호 재발급과 행정목적 이외의 민간 주민번호 수집·사용 금지와 사실상의 인터넷실명제인 제한적 본인확인제 폐지를 해결책으로 제시하고 있습니다.

지난 2008년 옥션을 비롯해 하나로텔레콤 등에서 잇달아 개인정보 유출 사고가 이어졌을 때부터 시민단체는 줄곧 민간·인터넷상의 주민번호 수집 금지, 주민번호 변경·재발급을 포함한 주민번호제도 개선·폐지 등을 요구해 왔습니다. (관련기사 “개인정보유출, 주민등록번호 수집이 문제”)

당시 정부에 주민번호 변경을 신청했던 진보넷은 지난 2일부터 주민번호 변경을 요구하는 청원 운동을 다음 아고라(http://agora.media.daum.net/petition/view.html?id=110274)에서 시작했습니다. (관련기사 개인정보유출 피해자 10명, 주민번호 변경 청구)

개인정보가 유출된 피해자들인 청원 참가자들로부터 주민번호 변경 청구서를 받아 행정안전부에 제출할 계획입니다.

진보넷은 주민번호 변경 청원운동 대국민 제안서에 “공공기관에, 은행에, 인터넷사이트에 앞으로도 주민번호를 계속 써야 한다. 전국민의 주민번호가 이미 유출됐는데 평생 이 번호를 그대로 쓰라는 건 말도 안된다”고 강조했습니다.

이를 요구하는 성명서에서는 “주민번호는 해당 유출사이트 뿐 아니라 대한민국 모든 민간과 공공 사이트에도 접속할 수 있는 만능 인증키이며 원격 거래에도 사용되고 있기 때문에 주민번호 유출은 추가적인 중대 피해로 이어질 수밖에 없다. 그런데도 주민번호를 변경할 수 없기 때문에, 유출 피해자는 주민번호의 도용을 속수무책으로 당할 수밖에 없다”고 지적했습니다.

이번 사건으로 사실상 전국민의 주민번호가 유출된 상황에서 그로인한 피해를 최소화할 수 있는 유력한 방법이 주민번호 변경이라는 것입니다. 

아이핀이 대안이 될 수 없는 이유로는 “아이핀은 정부가 인터넷에 주민번호 대신 보급중인 13자리 가상 주민번호로 5개 민간 신용정보회사들이 발급하고 있다. 아이핀 역시 식별번호이고,  아이핀은 본인확인정보를 5개 민간 신용정보회사로 집중시킨다는 점에서 오히려 부당한 표적이 될 가능성을 높다”고 밝혔습니다. 

이에 대해 행정안전부는 주민번호 변경을 허용하지 않는다는 입장을 내놨습니다. 

주민번호를 변경하려면 막대한 사회적 비용을 초래할 수 있고 자동차 면허, 부동산 등기, 예금 등 광범위하게 사용해 왔기 때문에 오히려 불편을 겪을 우려가 있다는 이유에서입니다. 

대신에 개인정보보호를 위해 주민번호 대체수단이 필요하다는 인식을 갖고 주민등록번호와 증 발행번호로 이원화한다는 계획입니다.

주민등록번호를 대체하는 역할로, 개인정보를 식별하거나 유추할 수 없는 체계로 증 발행번호를 구성해 필요시 변경을 허용한다는 방안입니다.

이미 작년 9월 주민등록증 수록항목에 발행번호를 추가하는 주민등록법 개정안을 국회에 제출했습니다.

또 유예기간을 두고 향후 주민번호 사용을 원칙적으로 제한하는 방안도 검토 중이라고 밝혔습니다.

이에 대해 진보넷은 아이핀과 발행번호 발급을 통해 주민번호를 이원화한다는 방침이 근원적인 대책이 되지 않는다는 입장을 이렇게 말하고 반문하며 다시 확인했습니다.

“행안부가 주민증 발행번호 제도 도입을 명시했다는 법안은 바로 전자주민증 도입 법안”
“행안부는 주민증 발행 번호 제도를 도입하겠다면서 주민번호 병행 사용 방침을 밝히고 있다. 이게 대체 무슨 대책이란 말인가?”
“이번 개인정보 유출 사고를 전자주민증 도입의 계기로 삼으려 한다는 사실이 매우 유감스럽다”며, “정부망을 포함해 어떤 시스템도 완벽한 보안이란 존재하지 않으며 불필요한 개인정보의 전자적 유통을 최소화하는 것이 정답”

반면에 행안부는 전자주민증에 있는 보안성 높은 IC칩에 주민등록번호 등 민감한 개인정보를 내장하고 증 발행번호를 고유번호로 쓰면 주민등록번호의 역할을 대신할 수 있어 해결책이 된다는 것입니다. 따라서 주민등록번호 변경 등에 따른 큰 사회적 혼란을 없애고 주민번호 유출에 따른 오·남용 문제도 해결될 수 있다는 입장입니다.

시민단체와 정부는 이렇게 팽팽하게 맞서고 있습니다.  

이번 사고 이후 정부가 최근 내놓은 대책은 미흡하다고 여겨지는 것은 사실입니다.

또 시민단체가 제시한 주민번호 재발급이 너무 엄청나다는 생각이 들어서인지 다음 아고라 주민번호 재발급 청원운동 참여자 수도 그리 크게 늘고 있지는 않습니다.

과연 털려나간 개인정보 유출 피해를 막고 향후 이런 사태를 방지할 수 있는 근본 해결책이 되면서도 실현할 수 있는 방안을 찾을 수 있을까요?

2011/08/15 22:19 2011/08/15 22:19
스마트시대가 진전될수록 사이버범죄, 보안위협은 더욱 커질 것이란 전망이 우세합니다.

지금도 악성코드, 해킹, DDoS(분산서비스거부), APT(지능적지속가능위협) 등과 같은 각종 사이버공격이 거세지면서 전세계 각국 정부와 기업, 보안업계 등은 대책 마련에 고심하고 있습니다.

올 상반기만 해도 우리나라는 DDoS 공격, 해킹으로 인한 현대캐피탈 고객정보유출, 농협 전산망 장애 등 금융권에서의 잇단 대형 보안사고로 사회적 불안감이 커졌습니다.

더욱이 안드로이드를 주축으로 한 스마트폰 악성코드도 급증하고 있습니다.

악성코드, DDoS, 해킹같은 침해사고는 특정 국가만의 문제는 아닙니다. 

악성코드는 전세계 PC, 모바일 기기, 인터넷 사용자에게 삽시간에 전파되고 있고, DDoS 공격도 전세계 각지의 서버를 경유`악용하면서 공격근원을 찾아내기 어렵게 만듭니다.

몇 년 전 이슈화 됐던 ‘중국발 공격’처럼 해외에서 우리나라를 대상으로 한 공격도 많이 발생합니다.

사이버범죄자가 우리나라 사람이고 우리나라 기관·기업의 사이트를 대상으로 했더라도 해외에서 공격하거나 수사기관에 검거당하지 않도록 숨어버립니다. 

작년 하반기에 이슈화 됐던 ‘스턱스넷’도 이란뿐만 아니라 중국, 인도네시아 등 많은 국가에서 동시에 영향을 미쳤던 것으로 분석됐습니다.

요즘 국내 언론에도 오르내리며 유명해진 ‘어나너머스’나 ‘안티섹’, ‘룰즈섹’과 같은 해커집단들도 나라와 정부, 기업을 가리지 않고 전세계 무대로 활동하고 있지요.

국경이 없는 사이버범죄의 이런 특성 때문에 사이버위협과 범죄에 대응하기 위해선 ‘국제공조·협력’의 중요성은 점점 더 커지고 있습니다.

현재 유행하고 있거나 새로운 위협동향을 알고 대처하기 위해서뿐만 아니라 사이버공격자들을 소탕하기 위해선 세계 각국이 서로 협력하고, 각자 위치에서 모두가 노력해야 합니다.

사용자 삽입 이미지
그 점에서 최근 있었던 한 정보보호 행사에서 염흥열 순천향대 교수(한국정보보호학회장)가 국제공조 협력을 강화하기 위해 국제 사이버범죄조약에 가입하자는 제안을 한 것에 관심이 쏠렸습니다.

지난 5일 한국인터넷진흥원 주관으로 열린 ‘정보보호 심포지움(SIS) 2011’에서 축사를 맡은 염 교수는 ‘스마트 환경에서의 사이버 위협과 보안대책’인 이날 행사 주제에 맞춰 5가지 방안을 제안했는데요.

▲스마트 위협에 적합한 연구개발·기술표준 강화 ▲사이버보안 인력 양성 선순환 육성체계 운영 ▲침해사고 대응시 각 기관, 특히 법 집행기관과 연구기관 등의 만·관 협력체계 강화 악성코드 방지를 위한 법적기반 마련 ▲국제공조·협력 강화입니다.

염 교수는 ‘국제공조·협력 강화’를 이야기하면서 “특히 부다페스트 사이버범죄조약 가입을 적극 검토해야 한다”고 목소리를 냈습니다.

이 사이버범죄 조약, 일명 부다페스트 조약은 사이버범죄에 대응하기 위한 최초의 국제조약이랍니다.

지난 2011년 11월 23일 헝가리 부다페스트에서 열린 사이버범죄 국제회의에서 전세계 30개국이 조약에 서명해 ‘부다페스트조약’이라고 불리고 있답니다.

이 조약은 인터넷상의 모든 범죄행위에 대해 상세한 규정을 두고 이를 처벌하도록 했습니다. 

컴퓨터 시스템이나 데이터에 대한 불법 접속, 지적재산권 침해, 컴퓨터바이러스 개발 및 유포, 아동 포르노그래피 배포 등을 범죄행위로 규정하고 조약 참가국들이 국내법으로 이를 금지하도록 의무화했습니다.

이 조약에 서명한 국가들은 사이버범죄에 대응하기 위해 법규정을 표준화하고, 핫라인 설치 국제공조체제를 구축하고 있는데, 현재 유럽을 중심으로 캐나다, 일본, 미국, 멕시코, 이스라엘 등 40여개국이 가입돼 있는 것으로 알려져 있습니다. 

염 교수는 “사이버공격이 발생하면 증거자료 수집체계가 중요한데, 이 프레임워크도 공동 제공하고 있다”며, “사이버범죄 위협 대응을 위한 국제 공조와 협력을 강화하는 차원에서 정부 관계자들이 이 조약가입을 적극 검토했으면 한다”고 말했습니다.

그동안 정부가 내놨던 정보보호 중기 정책이나 종합계획에도 국제공조·협력 강화는 항상 포함돼 있었습니다. 사이버범죄 수사에 실질적인 국제공조가 절실한 경찰도 국제 심포지움 개최 등으로 각국의 수사기관 등과의 교류를 강화하는데 힘을 기울이고 있습니다.

KISA(인터넷진흥원)도 APCERT(아태침해사고대응센터협의체)에 참여해 중추적인 역할을 담당하는 등 민간 차원의 국제협력에 매진하고 있지요.

주요국가들이 참여해 만들고 강화해온 부다페스트 조약을 비롯해 어떠한 국제적인 협력체계라도 국경없는 사이버범죄 대응과 근절에 효과적이라면 시급하고도 구체적으로 검토해보는 것이 필요할 것 같습니다.

2011/07/11 11:03 2011/07/11 11:03

이스트소프트가 개인용 백신(안티바이러스) 신제품 ‘알약 2.0 공개용’을 조만간 선보입니다. 지난 2007년 근 두 달간 베타테스트를 거쳐 12월 26일에 ‘알약 1.0’이 출시됐으니, 3년여 만인데요.

지난달 클로즈드베타테스터를 모집하고 지금 비공개 시범서비스를 진행하고 있습니다. 이달 말께는 오픈베타를 진행해 일반사용자에게 공개하고 4월 정식 출시할 것으로 예상됩니다.

개인용 ‘알약2.0’의 개발과 출시가 예상보다 많이 늦어져 계속 궁금하던 차에 이스트소프트가 베타테스터를 모집한다고 발표해 드디어 개인용 백신 신제품 개발이 완료됐다는 것을 알았습니다. (관련기사
이스트소프트, 개인용 ‘알약2.0’ 공개 임박…베타테스터 500명 모집)

얼마 전(9일)에는 베타테스터를 포함해 사용자, 블로거 등을 대상으로 ‘알약 2.0 간담회’를 갖는다고 해서 다녀왔지요.

베타테스트에는 참가하고 있지는 않지만, 이날 이스트소프트 알약 사업부문의 설명과 제 느낌을 더해 ‘알약 2.0’과 그 개발과정을 소개해볼까 합니다.

개인용 ‘알약 2.0’은 무엇보다 ‘경량화’에 가장 초점을 맞춘 것으로 보입니다.

사용자 삽입 이미지

사실 ‘백신은 무겁고 느리다’는 사용자 인식을 불식시키기 위해 ‘노턴’을 개발·공급하는 시만텍을 시작으로 많은 노력이 이뤄져 왔습니다. 국내에서는 이에 더해 안철수연구소가 개인용 ‘V3 라이트’를 들고 나오면서 이미 3년 전부터 ‘가볍고 빠른’ 백신은 대세가 됐습니다.

이들이 한창 경량화를 외칠 때, 이스트소프트는 이 보다는 악성코드 탐지 등과 같은 보안기능을 통한 품질 향상에 더 무게를 둬 왔는데요. 기업용 ‘알약 2.0’을 출시할 때까지도 사실상 이같은 자세를 견지하고 있었습니다.

당시 경량화 계획을 물어보면, 이스트소프트 관계자들은 경량화보다는 ‘보안수준’을 더 강조했었습니다.

2009년이죠. 그당시 이스트소프트는 알약 사용자 수 1600만을 기록하고 있었습니다. 그 시점에서 악성코드가 폭발적으로 증가하고 공격 기법도 다양하고 치밀해졌습니다. ‘알약’ 자체를 공격하는 악성코드도 나타났지요.

이스트소프트는 이에 대응해 완전히 새로운 엔진을 개발하기로 하고 새롭게 엔진구조를 설계하고 기반 기술, UI, 기능 모두 새롭게 개발해
알약 2.0기업용을 만들었습니다.

그간 국내에서 인정받는 타사 백신, 해외 백신들을 분석해 더 좋은 보안 수준을 제공하기 위한 연구 개발을 진행했다고 하고요. 자가 보호, 실시간 감시 등의 보안 수준을 높이고 다양한 내부 옵션을 추가했습니다.

그 과정에서 ‘트리플엔진’도 적용하게 됐죠. 자체 개발한 알약의 테라 엔진과 비트디펜더 엔진을 기본으로 사용하고, 소포스의 엔진까지 선택해 3개의 엔진을 사용할 수 있도록 한 것입니다.

엔진 재설계 이전에는 긴급대응프로세스도 만들고, 오탐 검증시스템을 구축하고, 보안업체에게는 아주 중요한 정보공유·협력을 위한 기관·ISP 등과의 관계도 맺었습니다.

보안수준을 크게 강화하면서 시스템 부하 문제는 자연스럽게 발생했습니다. 더욱이 경량화는 사용자들의 요구였지요. 백신의 트렌드가 됐습니다.

그 때문에 기업용 출시 이후 곧바로 출시하지 않고 일반 사용자 환경에서 사용할 공개용 알약 2.0은 경량화를 우선적으로 강구하기로 이스트소프트는 결정합니다.

김장중 사장은 이날 “알약 공개용을 왜 이제서야 내는지 궁금하실텐데, 기업용 2.0 버전을 출시할 당시 1700만 사용자에게 공급하기엔 부족하다고 여겼다”며, “원래보다 1년 넘게 추가 개발해 2.5버전 출시한 뒤 이를 보완해 해외로도 들고 나갈 제품으로 완성하게 된 것”이라고 말했습니다.

그래서 수행한 것이 스마트스캔 기술을 연구하고 메모리 점유율도 개선하는 작업입니다. 또 실시간 감시, 검사UI, 업데이트 등에 이르기까지 프로그램 전반에 걸친 경량화 작업이 그동안 이뤄졌습니다.

비트디펜더 SDK 개발자들이 한국을 방문해 비트디펜더 엔진도 역시 경량화됐다고 하는군요.

그래서 기업용 ‘알약 2.5’이 나오게 됩니다. 경량화를 반영해 기업용부터 먼저 출시하고, 이를 기반으로 개인사용자용 ‘알약 2.0 공개용’을 준비한 것이지요.


‘알약’으로 보안 사업을 처음 시작한 (동시에 급속도로 많은 사용자수를 확보했음에도, 이를 지속시키기 위해) 이스트소프트는 그간 수준 높은 악성코드 탐지·차단·대응 능력을 갖추고 보안성 중심의 높은 백신프로그램의 품질을 확보하기 위한 단계와 과정을 밟아왔다고 봅니다.

그럼 ‘알약 2.0’을 자세하게 살펴보겠습니다.

경량화부터 보지요.

메모리 점유율입니다. 알약 1.5에 비해 유저레벨과 커널 메모리 점유율이 모두 크게 떨어진 것을 볼 수 있네요.
사용자 삽입 이미지

<테스트 환경 : 펜티엄 듀얼코어 2.8G, 메모리 1G, 윈도7, 알약 실시간 감시 사용시 점유율>

사용자 삽입 이미지

<테스트 환경 : 펜티엄 듀얼코어 2.8G, 메모리 1G, 윈도7, 55,000개의 파일을 알약으로 정밀검사시 메모리 점유율>

사용자들이 빠른 사용감을 느낄 수도 있다고 합니다.
사용자 삽입 이미지

실시간 감시나 정밀 검사시 실제 검사가 필요한 파일을 분류하고 관리하는 ‘스마트스캔’ 기술을 강화해 CPU 점유율과 디스크 사용량도 감소할 것을 볼 수 있습니다.

사실 간담회에서는 안철수연구소로 보이는 타사(A사) 제품과의 테스트 결과를 보여줬는데요. (안철수연구소는 ‘V3 라이트’를 출시하면서 “세상에서 가장 가벼운 빠른 백신”이라며 경량화에 큰 자신감을 나타냈었지요.)

늦게 출시하는만큼 ‘가장 경량화된 백신’으로 세상에 선보이겠다는 이스트소프트의 의지와 실제 구현했다는 자신감을 동시에 느낄 수 있었습니다.

물론 오픈베타를 거쳐 정식으로 출시된 이후 사용자들이 평가하고 선택할게 될 것입니다.

이밖에도 ‘알약 2.0’은 64비트 윈도OS를 지원해, 64비트 환경에서 동작하는 악성코드를 차단할 수 있습니다. 이스트소프트는 “알약 2.0은 64비트 네이티브(Native) 프로그램'으로 진정한 64비트 OS를 지원한다”고 설명했습니다.

기업용 ‘알약 2.5’에 적용돼 있는대로 공개용 '알약 2.0'에도 트리플 엔진을 사용할 수 있습니다.

이스트소프트는 “소포스엔진까지 추가한 이유는 90% 이상의 방어가 아니라 99.999%의 방어 요구를 위한 것으로, 선택적으로 사용할 수 있다”며, “알약 테라 엔진과 비트디펜더 엔진, 소포스 엔진 3가지는 동시에 검사하는 방식이 아니라 직렬 형태로 구성돼 있어 부하를 최소화하면서 효과적으로 악성코드를 검출해낼 수 있다”고 밝혔습니다.

그동안 알약이 악성코드의 직접 타깃이 됐던 경험이 많이 있었기 때문에 ‘알약 2.0’에는 강력한 자가보호 기능도 탑재돼 있다고 합니다. 잘은 모르지만, 작업관리자에서의 종료 방어와 더불어 해킹툴인 APT(Advanced Process Temination)의 16가지를 다 막아낼 수 있답니다. 또 프로세스 해커(process hacker), 태스크킬러(Taskkiller), 코모도 킬스위치(comodo killswitch) 방어도 추가된답니다.
사용자 삽입 이미지

향후 사용자 편의성과 보안성을 높일 수 있는 몇 가지 기능이 더 추가될 예정이라네요. 한번 기대해보겠습니다.

국내 개인용 무료백신 보급이 본격화되는데 결정적인 역할을 했던 개인용 ‘알약’. ‘알약 2.0’을 기점으로 국내 사용자를 넘어 해외 사용자 PC에까지 널리 각광받을 수 있는 ‘상시복용약’이 될 수 있을지 관심있게 지켜볼 생각입니다.

2011/03/16 08:30 2011/03/16 08:30

사용자 삽입 이미지
지난 15일(현지시간), 미국 샌프란시스코에서 열린 ‘RSA 컨퍼런스 2011’에서 스콧 차니(Scott Charney) 마이크로소프트 TwC(Trustworthy Computing) 부사장이 사이버위협에 보다 능동적이고 사전예방적으로 대응하기 위한 방안으로 공공 보건(publec Health) 모델을 차용한 ‘집단 방어(Collective Defense)’ 방안을 제안했습니다.

이 발표를 들으면서 마이크로소프트(MS)가 인터넷에 적용하자고 강조한 이 진보된 ‘집단 방어’ 모델이 우리 정부가 지난 2009년 7월에 발생한 분산서비스거부(DDoS) 공격 이후 추진하고 있는 ‘사이버치료체계’를 비롯한
좀비PC방지 방식과 아주 유사하다는 인상을 받았습니다.

정부(방송통신위원회·한국인터넷진흥원)가 주축이 돼 추진한 사이버치료체계는 어쩌면 한국판 ‘집단 방어’ 모델이라고 할 수 있겠습니다.

현재 국회에서 ‘좀비PC 방지법’이라고 불리는 ‘악성프로그램 확산 방지 등에 관한 법률’ 제정까지 추진되고 있는 시점에서, MS가 강조하는 이 모델이 무엇인지 살펴보는 것이 중요할 것이라 생각합니다.

이번 발표를 듣기 전에는 몰랐는데, MS의 ‘집단 방어’ 모델은 작년 10월에 공식 발표된 것 같습니다.(읽어보진 못했지만 관련 포스팅이 MS 사이트에 있네요) ‘집단 방어’라는 이름을 사용하진 않았어도 작년 상반기에 개최한 ‘RSA 컨퍼런스 2010’ 기조연설에서 차니 부사장이 비슷한 개념을 언급했다고 하더군요.

MS는 무엇보다 보안과 프라이버시 요구를 모두 충족하는 문제, 인터넷 접속과 보안 사이에서 충돌되는 이슈, 쉽게 체계를 구축하기 위한 방안 등 나타날 수 있는 어려운 문제를 해결하기 위해 고심한 느낌을 받았습니다. 기조연설 후 차니 부사장이 이와 관련해 또 포스팅을 했군요. (아주 부지런하시네요.)

‘집단 방어’ 모델은 기업이나 개인이 사이버위협에 대응하기 위해 방화벽, 안티바이러스, 보안패치 자동업데이트를 사용하고 위험에 대한 교육도 실시하지만, 위협을 막는데 충분치 못하다는데 문제의식이 있습니다. 특히 개인사용자들을 보호하기 위한 접근입니다.

그나마 기업은 CIO나 CSO 조직 또는 개별전문가를 통해 위협을 관리할 수 있지만 IT나 보안을 잘 알지 못하는 개인들은 방치돼 있어, 제로데이 취약점을 악용하는 신종 공격, 분산서비스거부(DDoS)를 유발하는 봇넷에 감염되는 일이 생기죠.

따라서 인터넷에 연결돼 있는 개인의 기기의 안전성(health)를 확실히 함으로써 IT생태계(에코시스템)으로 연결된 환경을 보다 안전하게 하고 새로운 위협에 대한 사전대응체계를 구축하자는 것이 ‘집단 방어’ 모델의 기본 철학입니다.

스콧 차니 부사장의 기조연설을 자세히 살펴보겠습니다.
사용자 삽입 이미지

‘집단 방어’ 전술, 왜 필요한가

그는 “세계 여러 국가들이 사이버보안전략을 고심하고 있지만, 어떤 측면에서는 제대로 작동하지 않고 있다”고 운을 띄웠습니다.

그 이유로 “사람, 조직, 정부가 모두 서로 공유돼 있고 통합된 도메인을 사용하고 있어, 여기에서 공격이 이뤄지기 때문”이라고 분석했습니다.

공공 보건 모델을 적용한 ‘집단 방어’와 같은 새로운 접근이 필요한 배경입니다.

“인터넷은 물리적 환경에서처럼 군대와 국민을 구분할 수 없다. 악성 패이로드와 정상적인 패킷도 혼재돼 있다는 것이 큰 문제이다. 정부가 군에 사이버위협에 대응토록 한다고 해도 프라이버시 문제로 사람들은 원치 않을 것이다.”

“공격의 속도는 아주 빠르다. 우리의 대응 능력을 능가한다. 공격으로 인한 결과, 영향도 예견하기 어렵다. 더욱이 지금 우리가 딛고 서 있는 세상은, 환경은 계속 변화하고 있다. 인터넷 의존도는 이미 커졌고, 컴퓨터나 휴대폰, 인터넷에 연결된 기기가 확산되고 있고 앞으로 모든 기기에 인터넷 센서가 들어갈 것이다.”

위협의 발전, 그리고 환경 변화가 핵심입니다.

차니 부사장이 연설할 때 보여준 데모 영상도 이렇게 시작합니다. “As the Internet and cloud have grown to be part of the fabric of society, societal expectations for security, reliability and privacy are intrinsic.”

차니 부사장은 이런 환경 변화로 “데이터 중심적인 세상(Data-Centric world)이 되고 있다”고 표현했습니다. 여기에서 보안과 프라이버시가 모두 필요하고, 아이덴티티관리의 중요성이 나타난다고 설명했습니다.

‘집단 방어’ 모델의 진화

위협을 집단적으로 방어하기 위한 과정도 소개했습니다.

“1980~1990년대 사이버 위협이 처음 생겨나면서 기업들이 방화벽과 침입방지, 안티바이러스를 구축하고 늘리기 시작했다. 그리고 90년대에 들어 정부와 산업이 서로 협력해 정보를 공유하기 시작하면서 집단 방어를 위한 다양한 방법이 모색돼 왔다.”

이제 MS는 인터넷에 공공 보건 모델에 착안해 인터넷에 적용할 수 있는 ‘집단 방어’ 모델'을 만들어 낸 것입니다.

공공 보건 모델은 이것입니다.
사용자 삽입 이미지

“우리는 건강을 해치는 위험요인에 대한 교육을 받는다. 병을 예방하기 위해 손을 씻어야 하고 소매에 기침해야 한다는 것들이다. 또 백신도 맞는다. 병에 걸려 아프면 치료하고, 또 SARS, H1N1(신종 플루)처럼 병이 아주 빠르게 전파할 때면 대응할 수 있는 국제적인 체계를 만든다. 나라마다 국가건강기구를 두고 있고, 비행기에서 내리는 사람은 기온을 재 높게 나오는 사람, 즉 감염이 의심되는 사람은 격리돼 치료를 받게 하기도 한다. 나 한명이 아니라 다수(the good of many)를 위해서이다.”

이같은 공공 보건 활동을 IT를 활용해 대입해보니 참 비슷합니다. 이렇게 하면 지금까지 한계를 노출했던 사이버위협에 (사후)대응(reactive)하는 방식과는 다른 사전예방(Proactive)하는 방법이 된다는 것이죠.

차니 부사장은 이날 “작년에는 ISP가 공공 부문에서 CIO가 돼야 한다고 말했다. 개인의 기기를 검사해 깨끗한지 확인하고 그렇지 않은 경우 인터넷으로부터 격리해야 한다고 했다”라며, 작년 RSA 컨퍼런스 2010에서 발표한 것 보다 진보된 ‘집단 방어’ 모델을 제안했습니다.

초기 ‘집단 방어’ 모델에서 발견된 문제(flaws)-클레임 기반 아이덴티티관리, 사회적 합의 로 해결

“작년에 말한 이 모델에서 프라이버시 때문에 개인들이 자신의 기기를 원치 않는다는 점과 ISP에 너무 많은 부담을 준다는 점, 인터넷상 컨버전스 이슈로 인한 격리의 어려움-VoIP를 사용할 때, 긴급한 경우 패치를 설치하고 컴퓨터를 리부팅해야 하는 것과 같은-이 있다는 세가지 문제를 발견했다”며, 해결 방안으로 “‘클레임 기반 아이덴티티(Claim based identity)’를 생각했다”고 말했습니다.
(클레임 기반 아이덴티티관리는 MS가 최근 클라우드 컴퓨팅 보안 방안으로 중요하게 제시하는 기술 방안으로 알고 있습니다. 구체적인 것은 향후에 공부를 해봐야겠군요.)

차니 부사장에 따르면, 사용자가 데이터를 통제할 수 있고 ISP가 모든 걸 담당하지 않아도 은행과 같은 특정 조직이나 기구가 사용자의 ‘건강 인증서(health certificate)’를 요구할 수 있다. 또 인터넷에 접속하거나 접속을 차단하는 식의 두가지 차원의 격리가 아니라 문제를 기반으로 맞춤형 위험관리 방안이 적용될 수 있다.

이를 적용하는데 있어 중요한 것은 ‘사회적인 합의’라고 차니 부사장은 강조했습니다.

“개인들이 이 아이디어를 받아들이게 하려면, 기기의 안전성을 인증하는 모델이 왜 좋은지 설명해야 한다”며, 흡연을 예로 들었습니다.

“담배는 암을 비롯해 각종 병의 원인이라는 사실을 누구나 알고 있지만, 그동안 담배를 피우는 것을 인정해 왔다. 그런데 최근에는 나 자신 뿐 아니라 주변사람에게도 해를 입히는 간접흡연 이슈가 생기면서 갑작스레 공공장소에서 흡연이 금지됐다. 사람들에게 담배를 피울 권리가 있지만 이웃에 해를 줄 권리는 없기 때문이다.”

다른 사람에게 피해를 주면서 개인의 ‘인터넷접속 기본권’만을 주장할 수는 없다는 이야기도 돌려 말했습니다.

“인터넷 접속을 기본권이라고 말하는 사람들도 있는데...세계적으로 프레스티지 수준에 올라온 기본권은 많지 않다. 이것이 왜 좋은 모델인지 설명할 것이다.”

“공유돼 있고 통합된 도메인인 인터넷에 접속할 때 내 기기가 이미 봇넷의 일부로 스팸을 유발하고 DoS 공격을 하고 있다면, 이는 전체 생태계의 위험으로 받아들여야 한다. 새롭게 출현할 위협에 대응하기 위해서는 더 스마트해져야 한다는 점을 반드시 이해해야 한다.”

‘집단 방어’의 목표, 그리고 SETIPA-Social, Economic, Political, and IT Alignment 구현
사용자 삽입 이미지

차니 부사장은 “‘집단 방어’의 목표는 모든 위험을 잡는게 아니라 기본 위생수준을 높이고 새로운 위협이 나타날 때 재빨리 대응할 인프라를 구축하는데 있다. 공공 보건 모델은 봇넷 위험과 사용자 프라이버시를 고민하고 IT와 시장, 사회적, 정치적 합의를 같은 선상에 놓는 방법을 배우게 한다”고 강조했습니다.

그리고 “다음 단계로는 아이덴티티관리시스템로 펌웨어의 신뢰성을 쌓는데(Trusted stack) 주력하고, 아이덴티티 솔루션을 위한 건전한 요구를 계속 적용할 필요가 있다”며, “공공보건 모델을 인터넷에 적용할 집단 방어 방안을 고민해 활용해보자”고 제안했습니다.

2011/02/19 16:00 2011/02/19 16:00

사용자 삽입 이미지

국가정보원 IT보안인증사무국이 새해 들어 국가기관에 도입되는 정보보호 제품 등에 적용해온 보안성 검증제도를 대폭 흔들었습니다. (관련기사)

이번 변경으로 우리나라 정보보호 제품 평가·인증, 보안적합성검증제도는 사실상 지난 2006년 5월 공통평가기준상호인정협정(CCRA)에 우리나라가 가입하기 이전 상황으로 돌아갔습니다.

정보보호제품 인증기관인 국가정보원과 당시 평가정책 주무부처였던 정보통신부는 지난 2004년 9월 CCRA 가입 신청을 한 뒤, 2005년 5월에 정보보호 제품 평가·인증제도를 CC로 일원화한다는 방침을 수립했습니다. 평가대상도 방화벽, 침입탐지시스템, 운영체제보안솔루션 등 6종에서 정보보호 제품 전체로 확대했습니다.

물론 CCRA 가입으로 인한 평가적체와 혼란, 업계의 부담이 가중되면서 지난 2009년까지 꾸준히 이같은 문제를 해소하기 위해 정보보호 제품 평가인증제도와 국가기관 도입절차를 손질해 왔습니다. 그 과정에서 해외에서는 인정되지 않는 ‘국내용 CC’란 제도도 생겼지요.

그런 측면에서 이번 국정원의 ‘보안적합성 검증제도 개선’은 그 완결판이라고 할 수 있겠습니다.

제도가 계속 변경되면서 정보보호 제품의 국가기관 도입 절차가 한층 간소해지고, 업계의 부담이 한층 덜어지게 된 것이 사실입니다.

이번에 평가대상으로 지정된 25개 정보보호 제품 중 스마트카드만 제외하면 EAL(평가보증등급)2 등급의 CC인증을 받으면 국가기관에 납품할 수 있습니다. 예전에는 비교적 높은 등급인 EAL3+, EAL4가 기준이었고, 2008년에 대거 한단계씩 낮춰 업체들을 평가제출물을 간소화시켰습니다. 이제는 EAL2가 기준이 됐습니다.

또 국내용 CC인증이나 암호검증을 받은 정보보호 제품은 국가기관에 설치된 후에 보안적합성 검증을 다시 받을 필요가 없게 됐습니다. 보안적합성 검증도 제품마다 딱 한번만 받으면 됩니다.

이번 제도 변화가 효율성과 편의성 측면에서는 긍정적일 수 있겠습니다. 그러나 장기적으로 정보보호 산업계와 국가 정보보호 수준제고에 어떤 좋고 나쁜 영향을 미칠지는 의문입니다.

현재 시점에서는 사실 CCRA 가입을 준비하면서 5년 전에 엄청난 혼란을 겪으며 제도를 전혀 새롭게 바꿨던 과정이 의미 없게 느껴지기도 합니다.

CCRA 가입과 CC 평가인증제도 시행에 관해 국가정보원은 “국제수준에 부합한 평가체계를 갖추게 된 것”이라는 의미를 부여했었습니다. 글로벌 수준에 맞는 평가체계 운영으로 정보보호 제품의 품질과 안전성을 더욱 높임으로써 결과적으로 산업 경쟁력과 활성화를 높일 수 있게 될 것이라는 겁니다. 당연히 수출에도 도움이 될 것이고 그 평가체계를 기반으로 안전성과 신뢰성을 확보한 정보보호 제품을 쓰는 국가기관의 보안수준을 높이는 데에도 큰 역할을 할 것이란 논리를 갖고 있었습니다.

국내용 CC를 만들어 평가·인증제도를 이원화하는 것을 기점으로 계속된 제도 변화는 여러 면에서 국정원 스스로 CCRA 가입 취지를 무색하게 만들었고 제도의 정합성을 잃어버리고 있다고 평가합니다.

국내용 CC의 평가방식은 갈수록 ‘진짜’ CC와 멀어지고 있다는 점을 업계의 인증담당자들도 인정하고 있습니다.

작년에도 정보보호 제품 평가기관을 담당하는 한국인터넷진흥원(KISA)에서 평가방식을 변경해 한단계 더 앞으로 나아갔었지요. 제출문서 평가는 대폭 간소화하고 취약점 점검 중심으로 변화됐습니다. (관련기사 정보보호 제품 국내용 CC평가 수수료 줄인다, KISA, 정보보안 제품 평가제도 변경 추진)

이번에는 더 심해졌습니다.

국내용 CC와 국가용 암호제품은 이제 보안적합성 검증을 받지 않아도 된답니다. ‘국내용이 아닌’ CC를 받은 제품은 보안적합성 검증을 받아야 한다는 의미가 숨겨져 있는 것으로 풀이됩니다. 외산 제품들은 받아야 한다는 것이겠죠.

또 국내용 CC가 만들어진 후, 가뜩이나 국산 제품들은 국내용 CC만 받고 있는데요. 이 정책 때문에 보안적합성 검증을 한번 더 거치지 않기 위해서라도 업체들은 국내용 CC를 받고자 할 것입니다.

지금까지 ‘수출’과 CC 제도와는 아무런 연관성이 없었다는 의미로도 해석될 수 있겠습니다.

한가지 더 의아한 점이 있습니다. 보안적합성 검증제도 변화와 관련한 점인데요. 국정원은 이번에 1년 반 전에 폐지했던 검증필 제품목록을 부활시켰습니다.

지난 2008년 6월부터 ‘선 도입 후 검증’정책을 시행하면서 국정원은 보안적합성 검증은 ‘운용상 잠재할 수 있는 보안취약점을 개선하는 절차’로 운영해 왔습니다.

CC인증 제품에 한 해 국가기관이 제품을 도입할 수 있도록 하고, 해당 제품이 설치된 운영환경 전체를 검증을 신청토록 바꿨던 방침을 이번에 전면 수정한 것입니다. 다시 제품별 검증체계로 돌아왔습니다. 그렇다면 앞으로는 국내용 CC 대상 25개 제품이 아니거나 국가암호제품으로 등재되지 않는 제품은 도입 전에 제품별로 보안적합성 검증을 받아야 하는 걸까요?

그렇다면 앞으로는 국가기관에서 나타날 수 있는 운용상의 취약점 점검은 시행하지 않는 것인가요?

국정원 IT보안인증사무국은 좀 더 명확하고 구체적인 절차를 내놓을 필요가 있습니다.

사실 국정원의 보안성 검증 관련제도는 이전에도 일관성 없는 정책이 도마에 올랐었습니다. 가까운 일은 지난 2009년 7월 7일부터 3일 간, 7.7 DDoS(분산서비스거부) 공격 사고가 발생한 뒤에 DDoS 대책을 수립하면서 DDoS 대응 장비에 적용했던 ‘별도지정’제도 때문이었습니다. (참고하세요) 그 별도지정 제도도 이번에 폐지했습니다.

이번 건으로 또 다시 일관성 없는 정책을 운영하고 있다는 비판이 제기될만합니다.

성균관대 김승주 교수도 같은 문제를 지적합니다. 국정원이 일관성 없이, 예측 가능하지 않게 정보보호 제품 평가·인증 제도를 운영하고 있다는 점입니다. 앞서 쓴 기사에 언급한 내용입니다.

성균관대 김승주 교수는 “정부가 제도를 만들고 운영할 때에는 일관성과 예측가능성이 중요한데, CC 등 정보보호 제품 보안성검증제도는 이 두가지 기본원칙이 전혀 지켜지지 않고 있다”며, “이번에 변경한 제도는 국가기관의 보안이라는 당초 운영 취지보다는 업계의 편의성과 부담을 해소하는 것에 맞춰졌지만, 오히려 시장을 교란할 수 있다”고 지적했다.

김 교수는 “처음 CC제도를 시행하면서 대상 제품을 6개로 운영해오다 IT 전 제품으로 확대했다 이번에 다시 25개 정보보호 제품으로 한정했다. 기본적으로 일관성에 문제가 있다”고 말했습니다.

이어서 “향후 국정원은 CC 대상을 추가할 수 있다고만 밝혔는데, 현재 존재하지 않은 신기술을 개발했거나 새로운 사업을 할 경우엔 어떤 제도를 따라야 하는지 모를 수 있다”고 덧붙였습니다.

보안적합성 검증에 대해서도 김 교수는 “보안적합성 검증제 운영 취지는 국가기관의 보안성이지, 업계의 편의성을 봐주는데 있는 것이 아니다”라고 일침을 가했습니다. 더불어 “공공기관의 모바일 업무환경 도입에는 보안을 문제로 완강한 입장을 보이는 국정원이 맞지 않은 모습을 보이고 있다”며, 사안별 방침에 대한 일관성 부족도 지적했습니다.

무엇보다 김 교수는 “정보보호 제품 평가·인증 제도는 예전 그대로 돌아왔다”고 일갈했습니다.

작년 G20 의장국 지위를 가졌던 우리나라, 한·미 FTA 한·EU FTA 체결에 적극적으로 나서면서 글로벌 위상, 해외 수출에 힘쏟는 우리나라가 이 문제도 진지하게 고민해봐야 하지 않을까요...?


2011/01/21 16:44 2011/01/21 16:44

2011년, 정보보호 분야에서 달라지는 제도는 무엇일까요?

개인정보보호법이 작년에 국회를 통과했다면 많은 변화가 있었겠지만 올해에는 그간 시행돼 왔던 정보통신망법 등 정보보호 법제도와 정책을 강화하는 차원입니다.

한국인터넷진흥원 e콜센터 118에서 공인인증서 분실신고를 할 수 있도록 제공하는 것 외에는 이미 알려진 내용들이지만, 한눈에 살펴볼 수 있도로 정리해보겠습니다.

개인정보의 기술적 관리적 보호조치 기준 고시 개정

개인정보 출력·복사물 보호 조치와 관련해 방송통신위원회가 2010년 12월 28일 의결한 사항입니다.

개인정보 출력·복사물 보호 조치 의무사항과 관련해 사업자들이 구체적인 보호조치 방식을 자율적으로 적용할 수 있도록 변경됩니다. 

현 규정은 개인정보 출력 복사물에 대해 개인정보관리책임자의 사전승인을 받고 일련번호, 목적, 담당자, 파기일, 파기 책임자 등 8가지 항목을 의무적으로 준수하도록 규정돼 있습니다.

이같은 규정은 사업자들이 현실적으로 준수하기 어려운 부분이 있다는 점을 감안해, 개인정보의 출력 복사물 보호조치 의무는 유지하되 구체적인 보호조치 방식에 대해서는 해당 사업자에게 자율성을 부여하도록 변경키로 했습니다. 이에 따라 사업자는 자사 환경에 적합한 보호조치를 적용할 수 있도록 개정해 부담을 덜 수 있을 것으로 보입니다.

정보통신망법상 준용사업자 개인정보보호조치 세부기준 고시

행정안전부는 2010년 12월 30일 '사업자의 개인정보보호조치 세부기준'을 제정 고시했습니다.

이는 백화점·학원·병원·부동산중개업 등 준용사업자가 개인정보 취급 시 반드시 준수해야 할 세부 보호조치 기준을 별도로 마련한 것으로, 개인정보 암호화, 보안프로그램 설치 등 기술적 분야와 내부관리계획 수립, 책임자 지정 등 관리적 분야를 포함해 총 10개 항목으로 구성돼 있습니다.

특히, 부동산중개업과 같은 소상공인과 대기업이 처한 상황을 고려했고, 실태점검을 통해 확인된 업종별 특성을 반영해 보다 쉽게 사업자들이 개인정보보호조치 기준을 이행할 수 있다고 행정안전부와 한국인터넷진흥원(KISA)는 설명했습니다.

이번 기준 고시로 기존의 '개인정보의 기술적·관리적 보호조치 기준(방통위 고시)'는 앞으로 정보통신서비스 제공자만을 대상을 하게 됩니다.
 
e
콜센터 118, 공인인증서 분실신고 가능

1월 31일부터 공인인증서를 분실할 경우 한국인터넷진흥원(KISA)이 운영하는 e콜센터 118 전화로 신고할 수 있습니다.

KISA는 5개 공인인증기관과 공인인증서 분실신고를 연동해 가입자들이 지역번호 없이 전국 어디서나 118로 전화하면 심야 시간대 등 업무시간 이후에도 공인인증서 분실신고를 접수해 공인인증서 효력정지나 폐지 처리할 예정입니다.

이에 따라 가입자 본인이 공인인증서 분실 시, 발급받은 공인인증기관을 알지 못하거나 공인인증기관 업무시간 이외에도 신속하게 신고 처리할 수 있어, 공인인증서 도용과 같은 사고 예방에 도움이 될 것으로 전망됩니다.

4월부터 안전성 강화된 신규 공인인증서 발급

공인인증서 안전성을 강화하기 위해 전자서명키를 1024비트에서 2048비트로 상향하고 해쉬 알고리즘도 SHA-1에서 SHA-256으로 교체한 신규 인증서가 4월 1일부터 발급됩니다.

이같은 암호체계 고도화로 2030년까지 공인인증서를 안전하게 이용할 수 있는 기술적 기반이 마련됩니다.

기존에 발급받은 공인인증서는 교체없이 유효기간 만료일까지 사용할 수 있으며, 신규 공인인증서를 보안토큰 등 보안 매체와 함께 사용하면 인증서 유효기간이 1년에서 2년으로 확대할 수 있습니다.

이밖에도 개인정보보호관리체계(PIMS) 인증이 올해부터 본격 시행됩니다.

PIMS는 기업이 고객 개인정보를 안전하게 수집 이용하기 위해 구축 운영하는 관리체계의 적합성을 검증해 일정 수준 이상의 기업에 인증을 부여하는 것으로, 인증 기업은 고객정보를 안전하게 관리하는 기업이라는 이미지를 제고할 수 있습니다.


2011/01/03 16:39 2011/01/03 16:39
사용자 삽입 이미지사용자 삽입 이미지
보안업체인 잉카인터넷의 신뢰성과 이미지가 크게 훼손되게 됐습니다.


잉카인터넷이 20일 방송통신위원회로부터 정보통신망법의 개인정보보호 법규를 위반해 500만원의 과태료와 개인정보 기술적·관리적 조치 수립·시행 등 재발방지 대책 시행에 대한 시정명령 처분을 받았습니다. (이날 KT는 가입자 동의 없이 전국동시지방선거 때 선거홍보용
문자메시지를 발송 상품에 이용돼 10억원의 과징금을 함께 받았죠.)


작년 말 루마니아 해커로 알려진 ‘우누(Unu)’에 자사 제품인 ‘엔프로텍트’ 웹사이트가 해킹된 것이 알려진 적이 있는데요. 당시 22명의 고객 개인정보 일부가 이 해커에 노출돼, 대표이사가 직접 사과와 함께 “웹사이트 개편 중 예전 사이트가 일시적으로 노출했던 것이 원인이고, 고객이 주로 사용하는 금융, 공공기관의 보안 제품에서는 개인정보를 전혀 수집하고 있지 않다”고 해명과 자칫 발생할 수 있는 오해의 소지 차단에 힘을 쏟았습니다.

그런데 이번에 방통위의 행정처분으로 잉카인터넷은 또다시 타격을 입게 됐습니다.

잉카인터넷에 대한 행정처분 이유가 적절한 개인정보 관리 계획과 조치가 없었다는 건데요.

방통위는 지난해 12월 현재 108만 명의 개인정보를 수집, 이용하면서 개인정보관리책임자 지정, 개인정보 기술적·관리적 보호조치 이행 등 개인정보를 안전하게 취급하기 위한 내부관리계획을 수립, 시행하지 않았다고 밝혔습니다.

또 잉카인터넷 개인정보처리시스템에 접근권한이 없는 내부직원 9명이 접속했고, 지난 2005년 9월부터 2009년 11월까지 개인정보를 수집, 이용하면서 회원의 비밀번호를 일방향 암호화 저장하지 않은 사실을 확인했다. 또한 3명의 만14세 미만 아동의 개인정보를 수집하면서 법정대리인의 동의도 받지 않았다고 설명했습니다.  

잉카인터넷은 이번 행정처분이 지난해 11월 27일 우누의 웹사이트 해킹 사고 때문에 방통위가 조사한 결과 내려진 것이라고 해명했는데요.  

당시 방통위가 홈페이지를 조사했고, 이메일과 비밀번호로 회원가입을 받고 있어 개인정보를 다루는 온라인 사업자의 법적 의무에 맞는 개인정보관리체계가 부족했다고 판단했습니다.

잉카인터넷은 “당시 웹사이트 취약점이 발견됐을 때 즉각 수정, 보호조치를 적용한 것이 방통위로부터 확인됐었고, 개인정보관리책임자와 전담팀을 신설해 매월 1회 정기적으로 내부감사도 시행하고 있어 모든 조치를 이행하고 있다”며, “올해 말에는 정보보호관리체계(ISMS) 인증도 획득한다”고 설명했습니다.

권한이 없는 내부직원의 개인정보처리시스템에 접근한 것은 “당시 웹사이트 문제점을 파악하는 과정에서 접속한 것”이라고 말했습니다.

결국 1년 전에 있었던 웹사이트 해킹 사건(?)이 발단이 돼, 지금까지 영향을 미치고 있는 것이네요. 잉카인터넷 입장에서는 기억에서 지우고 싶은 사건이겠지만 한번 엎질러진 물은 다시 담을 수가 없습니다.

방송통신위원회 김광수 개인정보보호윤리과장은 “잉카인터넷도 온라인으로 개인정보를 수집하기 때문에 법 적용 대상 사업자”라며, “이같은 모든 기업은 적절한 개인정보의 내부관리 계획과 보호 조치를 이행해야 한다”고 강조했습니다.

다른 보안업체들도 명심해야겠습니다. 특히 홈페이지에 회원가입을 받고 있다면 법규준수와 이행에 더욱 엄격하게 신경을 써야합니다.

일반 기업보다도 자사 제품에 취약점을 노출시키거나 웹사이트가 해킹을 당할 경우, 사업 자체에 큰 타격을 입을 수 있기 때문입니다.

잉카인터넷은 온라인게임과 인터넷뱅킹 등 금융권 사이트에서 높은 점유율을 가진 인터넷보안 제품인 ‘엔프로텍트’ 때문에 가뜩이나 극심한 ‘안티’에 시달리고 있는데요. 이래저래 수난시대를 겪고 있는 잉카인터넷이 고객 신뢰 회복을 어떻게 벌여나갈 지 주목됩니다.

위기의식을 갖고 뼈아픈 자기반성과 함께 지속적이고도 많은 노력이 필요할 것 같군요.

2010/10/20 16:40 2010/10/20 16:40