사용자 삽입 이미지

보안업체인 소프트포럼과 소프트씨큐리티가 악성 프로그램 유포 구설수에 올랐습니다.

신종 인터넷 사기수법인 ‘피싱(Phishing)’을 방지하는 보안 프로그램(클라이언트 키퍼 피싱프로) 개발사인 소프트씨큐리티와 이 제품 판매업체 소프트포럼이 검찰에 기소됐기 때문입니다. (관련기사 1, 2)

인터넷 보안 프로그램(‘클라이언트 키퍼’ 제품군)에 인터넷 주소창에 입력되는 검색어를 가로채 특정 포털사이트로 연결되도록 하는 악성 프로그램(클라이언트 키퍼 피싱프로)을 삽입, 광고수익을 챙긴 혐의(정보통신망이용촉진및정보보호등에관한법률 위반과 컴퓨터등장애업무방해죄)입니다.  

결과적으로 검찰은 이들 회사가 피싱 방지 프로그램을 통해 특정 포털의 검색결과를 보여줘 사용자를 연결시킴으로서 이득을 취한 행위를 ‘악성’(불법)으로 본 것인데요.

사실 이번 건은 ‘클라이언트 키퍼’ 시리즈의 다른 제품군인 공인인증서 관련 PKI(공개키기반구조) 제품이나 키보드 보안 제품과는 관련이 없어 보입니다. 

문제는 이들 회사와 계약을 맺은 금융사 등의 사이트를 통해 피싱방지 프로그램을 설치한 사용자가 인터넷 주소창에 한글 키워드(검색어) 등을 입력할 경우, 그 입력정보를 확인해 특정 포털사이트(야후)의 검색결과를 보여준 데 있습니다. 

검찰은 이 보안 프로그램이 사실상 검색광고 기능을 한 것으로 판단, 이들 업체가 각 인터넷사업자들과 계약한 광고사업자의 수익을 가로챈 것으로 해석하고 있습니다.

인터넷사업자와 계약해 특정 사이트에 연결되도록 함으로써 광고수익을 얻는 업체의 입장에서는 이 피싱방지 프로그램이 자신들의 ‘밥그룻’을 빼앗는 결과가 됐을 겁니다. 

가뜩이나 경쟁이 심한 인터넷 업계에서 보안 업체들이 보안 프로그램을 통해 자신들의 밥그릇을 빼앗는 것을 그대로 두고 보고 있진 않았을 거란 생각이 듭니다.

그래서인지 이번 기소 이유에는 광고업자의 업무방해 문제도 거론되고 있습니다.

그런데 사실 주소창 한글키워드 입력정보를 소위 ‘가로채기’ 해 특정 포털의 검색결과를 보여주고 수익을 얻는 이러한 일종의 검색광고 사업 방식은 빈번하게, 경쟁적으로 관련 업계에서 이뤄지고 있다고 합니다.

‘사용자 동의’ 절차 없이, 사용자 모르게 프로그램을 설치해 검색결과를 보여주는 경우가 아주 많습니다. 만일 인터넷 주소창에 한글검색어를 입력해 특정 포털에서 결과를 나타낸다면 자신의 컴퓨터에도 연결시키는 프로그램이 깔린 것입니다.

기존까지는 이같은 입력정보 가로채기를 통해 특정 검색결과로 연결시키는 것 자체가 불법은 아니었다는 것이 관련 업계의 이야기입니다. 이를 규제할 법 자체가 없다는데요. 

이번 건으로 볼 때, 계약을 전제하지 않은 이같은 행위는 불법으로 간주되는 것으로 해석됩니다.

이번 기소를 계기로 검찰이 이같은 행위를 통해 수익을 얻는 가로채기 검색광고성 프로그램 관련 업체들을 모두 조사해 불법 행위를 걸러내게 될 지 궁금해지네요. 

검찰은 지속적인 단속과 엄벌로 이같은 인터넷 ‘악성’ 프로그램 유포에 적극 대처할 것이라고 밝혔습니다.

한편, 검찰 발표 직후 소프트씨큐리티와 소프트포럼은 “광고사이트로 자동 연결한 것이 아니라 보안기능에 따라 포털 검색 결과를 보여준 것이기 때문에 악성이 아니다”라며 적극적인 해명에 나섰습니다.

이들의 변을 한번 보시죠.

피싱보안 프로그램은 주소창에 입력되는 정보를 확인해 가짜 피싱사이트가 아닌 정상 사이트로 연결해 주는 프로그램 입니다.

만일, 주소창에 입력된 정보가 정상적인 URL입력이 아닌 단어(검색어) 등인 경우, 후킹 프로그램에 의해 피싱사이트로 유도되는 것을 방지하기 위해 에러 창을 띄워줘야 됩니다.

때문에, 이 기능은 서비스 초기에는 빈 페이지를 제시하는 방식이었습니다만, 고객사 요구로 사용자 편의를 고려하여 고객의 검색 의도에 맞게 정상적인 일반 포털의 검색 결과를 보여주도록 개발이 되었습니다. 사용자 편의를 고려하여 자유롭게 포털을 선택할 수 있도록 기능 지원하였습니다.

해당 제품 기능 자체가 고객사나 개인이용자 피해를 유발하는 것은 아닙니다.

소프트포럼과 소프트씨큐리티는 필요한 책임을 다할 것입니다.

이들 업체는 후킹(가로채기) 기법을 통해 악의적인 피싱 사이트로 연결되는 것을 방지하기 위해 일반적인 포털의 검색 결과가 나타나게 한 것이 보안과 사용자 편의성을 위한 기능이었다고 설명하고 있습니다.  

또한 프로그램 설치는 사용자 선택에 의해 이뤄지고 있고 동의도 받고 있다고 밝혔습니다.

사용자가 다음, 파란, 구글 등 여러 포털을 선택할 수 있도록 돼 있긴 합니다만, 기본 검색결과는 야후에서 보이게 기본값이 설정돼 있습니다. 

피싱방지 보안 프로그램이 특정 포털의 검색결과를 보여주기 전에 또 한 번의 사용자 선택과정이나 동의절차를 가졌거나 포털 검색 결과를 보여주지 않고 검색 도메인으로 바로 가게 했다면 악성이나 불법으로 기소되지 않았을까요?

만약 그렇다면 문제의 시초는 이들 업체의 프로그램이 또 한 번의 사용자 선택과정이나 동의 절차를 빼먹은 데 있을 것입니다. 

이와 비슷한 경우가 스파이웨어, 허위(가짜) 보안 프로그램일텐데요.

지금은 그 수가 크게 줄었지만, 악성코드 제거 프로그램을 표방한 많은 제품들이 기본적으로 설치 시 이용약관·동의절차를 거치지 않거나 다른 추가 프로그램을 설치시키는 경우가 많았습니다.

거기에 본래의 악성코드 제거 프로그램의 기능도 미흡해 사실상 악성코드가 아닌 것까지 치료 명목으로 돈을 챙겨 보안 프로그램이 아닌 ‘스파이웨어’에 더 가까운 제품들이 성행했었습니다.

보안 프로그램은 ‘신뢰성’이 생명입니다. 법을 떠나 생각해도, 당연히 보안 프로그램에는 더 엄격한 기준이 적용되기 때문에 보안 업체들은 아주 조심해야 합니다. 

자칫하면 전체 보안 업계, 시중 공급되는 각종 인터넷 보안 프로그램에도 악영향을 미칠 수 있습니다.

이 제품 개발사인 소프트씨큐리티 또한 이를 걱정하고 있는 모습입니다. 이 회사 관계자는 “자칫 보안업계가 폄하될까 우려된다”면서 소송을 진행하겠다는 뜻을 밝혔습니다.

법원에서 어떤 판결을 내릴 지 귀추가 주목됩니다.

2010/04/19 11:15 2010/04/19 11:15

사용자 삽입 이미지

전자금융거래 공인인증서 의무화 논란이 당분간 이어질 것 같습니다.

31일 전자금융거래 공인인증서 사용 강제 규제를 풀기로 한 정부 방침(관련기사)에 '환영'의 목소리와 함께 일각에선 "실효성이 떨어진다"는 지적이 벌써부터 나오고 있습니다.

전자금융거래에는 '공인인증서와 동등한 수준의 안전성'이 인정되는 보안방법만을 허용한다는 방침 때문입니다.

기업호민관실은 이날 즉각 보도자료를 내고, 전자금융감독규정 제7조 개정안에 대해 “실효성이 우려되는 안”이라고 밝습니다.

보도자료 원문 일부입니다.

이민화 호민관은 현행의 공인인증서 사용을 강제하는 전자금융감독규정 제7조를 공인인증서 이외의 동등한 보안수준 방식의 적용을 가능하게 하고, 이를 금융감독원의 ‘인증방식평가위원회’에서 심의 하도록 규정을 개정하는 것은 실효성이 우려된다고 밝히며,

이는 현 전자금융거래시 감독규정 시행세칙 제31조 9항 ‘금융기관 등이 범위를 정하여 공인인증서 적용을 제외할 것을 감독원장에게 요청하고 감독원장이 이를 승인하는 경우’의 예외조항과 큰 차이가 없다.

또한, 인증방식의 안정성 심사를 공인인증서 방식 이외의 방식에 대해 부정적인 입장인 금융감독원이 주관하는 것은 전자금융감독규정의 개정 취지를 반영하지 못한다 라고 말했다.

일단 최우선 논란거리인 '공인인증서와 동등한 수준의 안전성'을 제공하는 다른 보안 방법이 있는지 여부에 따라 이번 정부 방침의 실효성이 평가될 것으로 예상됩니다.

사실 공인인증서 대안기술로는 그동안 'SSL(암호통신기술)+OTP(일회용비밀번호)' 정도만이 제시됐습니다. 해외에서는 인터넷뱅킹에 'SSL+OTP'가 보안 방법으로 많이 사용하고 있다는 점에서입니다.

오픈웹이나 호민관실 또한 이 방법을 제시했습니다.

그런데 결정적으로 'SSL+OTP'는 공인인증서에 포함된 전자서명이 제공하는 부인방지 기능이 부재합니다.

이 점을 들어 행정안전부와 금융위원회도 기존까지 전자금융거래에서 공인인증서를 사용해야 한다는 완강한 입장을 보여왔습니다.

그렇다면 'SSL+OTP' 이외에 제시될만한 보안 기술 방안이 있는가? 지금으로선 물음표입니다.

그래서인지 금융위원회는 앞으로 관계부처, 금융기관, 보안전문가 등이 참여하는 민관 협의체를 구성해 5월 말까지 안전성 수준에 관한 법적 기술적 가이드라인을 마련하겠다고 밝혔습니다.

금융위원회는 전자금융거래에 필요한 안전성을 정의, 즉 공인인증서가 제공하는 안전성 수준을 파악해 그에 맞는 기술을 가이드라인에 구체적으로 제시할 예정이라고 합니다.

SSL이든, OTP이든, 여러 기술 방안을 검토하게 될 것으로 예상됩니다.

은행이나 사용자가 공인인증서이든, 다른 방안이든 선택할 수 있도록 판단기준을 제시하겠다는 겁니다.

그리고 금융감독규정에도 특정 보안방안이 포함돼야 하는지 여부를 가이드라인이 나온 후 정할 것이라고 설명했습니다.

민관 협의체가 만들 가이드라인이 어떻게 나오는 지가 가장 중요해 보입니다.

또 한가지 논란거리는 스마트폰에서의 소액결제입니다.

이날 정부 발표에서는 "30만원 미만의 온라인 소액결제는 새로운 보안방법 도입과는 상관없이 공인인증서를 사용하지 않고도 결제가 가능하도록" 했습니다. '즉시 허용'이라는 용어도 사용했습니다.

원래 PC 기반 전자거래에서도 30만원 미만은 공인인증서를 안써도 됐습니다. 스마트폰도 기존 방침 그대로 하겠다는 것인데요.

문제는 아이폰에서의 소액결제 부분이 될 것으로 보입니다.

제일브레이크 폰에서도 특정 쇼핑몰 애플리케이션이 동작하게 될 경우입니다.

은행들이 제공하는 스마트폰 뱅킹은 제일브레이크 아이폰에서는 동작이 안되게 막혀있는데, 쇼핑몰 등 다양한 온라인거래서비스의 경우는 어떨까요?

규제는 풀렸지만 여러 난제가 남아있는 듯합니다.

그래도 스마트폰 열풍으로 인터넷거래 사용환경의 현주소와 미래에 대한 논의가 활발히 이뤄졌고, 결국은 11년 간 유지돼 왔던 전자금융거래 공인인증서 유일체제는 허물어지게 됐습니다.

그리고 이런 논란 때문에 액티브X 방식으로만 제공됐던 공인인증서를 여러 플랫폼에서 더 편리하게 이용할 수 있도록 하는 방안도 아주 신속하게 마련된 것 같습니다.

공인인증서가 지금까지 해왔던 역할도 재조명이 됐고, 결국에는 더욱 발전될 계기가 만들어지게 됐다고 평가하고 싶습니다.

호민관실은 앞으로도 한국의 인터넷뱅킹 보안 문제에 대해 심도있는 논의를 이어나갈 예정이랍니다.

빠른 시일 내에 옥스퍼드, 캠브리지 대학교 공동논문 ‘On the Security of Internet Banking in South Korea' 의 저자를 국내로 초청해 공청회를 연다는군요.

5월 말, 금감위 등 민관협의체의 가이드라인과 전자금융거래감독규정 개정이 어떻게 이뤄질 지 주목됩니다. 

그리고 그 이후 전자거래 보안방안에 대한 금융기관과 인터네서비스 기업, 사용자들의 선택이 어디로 향할지 관심이 모아집니다.

2010/03/31 17:22 2010/03/31 17:22


최근 국내 시장에 백신(안티바이러스) 소프트웨어 제품이 때 아닌 홍수를 이루고 있습니다.

개인용 무료백신 시장이 활짝 열리면서 국내 시장에 새롭게 진출하는 백신 제품이 더 많아지는 모습입니다.

3
~4년 전까지만 해도 국산 백신 시장은 안철수연구소 ‘V3’, 하우리 ‘바이로봇’이 대부분을 장악하고 있는 가운데, SGA(옛 에스지어드밴텍)의 ‘바이러스체이서’ 정도만이 두드러진 공급 활동을 벌였습니다.

외산 백신의 경우엔 맥아피, 시만텍, 카스퍼스키, 트렌드마이크로가 전부였지요.

2년 전 NHN과 이스트소프트가 각각 개인용 무료백신 ‘네이버 백신(옛 네이버 PC그린)’과 ‘알약’을 출시해 단숨에 엄청난 사용자를 확보하며 큰 파장을 일으키더니, 갈수록 무료백신 수가 많아지고 있습니다.

‘V3’와 함께 초창기 출발한 에브리존 ‘터보백신’도 최근 ‘터보백신 프리’라는 무료백신을 출시했고, 앞서 마이크로소프트가 ‘MSE(마이크로소프트 시큐리티 에센셜)’을 지난달 공식 발표했습니다.

2일에는 SGA가 유료 제품인  ‘바이러스체이서’와 차별화된 ‘SGA24’라는 브랜드로 무료백신을 발표했습니다.

어베스트, AVG와 같은 외산 유명 무료백신들도 이미 국내 파트너나 지사를 통해 공급되고 있지요.

그런데 국내 업체들이 출시하는 백신 제품명을 나열하다보니 새삼스럽게 독특한 점을 발견했습니다. 안철수연구소 ‘V3’만 제외하고는 하나같이 외산 백신엔진을 탑재하고 있다는 점입니다.

‘네이버 백신’은 러시아 기반 카스퍼스키 엔진을 사용하고 있고, ‘알약’을 비롯해 ‘바이로봇’, ‘터보백신’은 모두 루마니아의 유명 백신인 ‘비트디펜더’ 엔진을 탑재했습니다. 유료로 제공되는 잉카인터넷의 ‘엔프로텍트 안티바이러스’도 ‘비트디펜더’ 엔진을 사용하고 있지요.

러시아 백신 ‘닥터웹’ 엔진이 탑재돼 있던 ‘바이러스체이서’·‘SGA24’ 마저도 최근 들어 업데이트 등 지원이 제대로 이뤄지지 않는 이유로 ‘비트디펜더’로 엔진을 바꿨습니다.

사실상 V3 이외에는 모든 국산 백신이 외산 엔진을 사용하고 있습니다. 모두 동유럽지역 기반의 백신 엔진들이군요. 여러 외국 업체들이 이같은 사업 방식으로 국내 시장 문을 두드렸던 점을 감안하면 NHN 경우만 빼면 비트디펜더의 완승입니다.

비트디펜더는 국내에서 엔진 공급 사업을 아주 잘하고 있군요. 외산이 시장점유율을 갖기 어려운 국내 보안 시장에서 특화된 사업전략으로 성공을 거두고 있다고도 볼 수 있습니다.

국내에 직접 진출하지 않으면서도, 한국지사를 둔 외국 백신업체들보다 더 많은 수익을 거두고 있을 것으로 짐작해봅니다. 특별히 들어갈 제반 비용도 없고요.

국내 업체들의 입장에서 경험이 부족한 사업에 진출하려다 보면 자체 기술력 보다는 많은 노하우가 축적돼 있고 검증된 기술을 사용하는 것이 안전하고 쉬울 것입니다. 개발기간과 투자비용 등 자체 개발에 따른 부담을 크게 줄일 수 있습니다.

‘비트디펜더’는 지난 2007년 11월부터 2008년 9월까지 소비자시민모임이 국제소비자연구검사기구(ICRT) 회원 11개국 소비자단체와 공동으로 전세계 28개 인터넷 보안 제품을 대상으로 실시한 품질 평가에서 지데이타에 이어 두번째 순위에 오른 제품입니다.

작년에 진행된 바이러스블러틴(VB) 100% 테스트에서는 단 한번만 제외하고는 4번의 테스트를 통과했습니다.

비트디펜더는 엔진사업을 벌이는 다른 백신업체보다는 기술지원이 체계화돼 있고 DB 양이 방대하면서 가격면에서도 꽤 경쟁력이 있다고 알려져 있습니다.

‘비트디펜더’를 가장 먼저 채택한 국산 백신은 제가 알기로 ‘하우리’가 최초일겁니다. 2004년 말, 하우리는 국산 백신의 진단능력이 떨어진다는 등의 논란이 지적되던 당시에 과감히 기존 ‘바이로봇’ 엔진과 연동해 ‘비트디펜더’를 탑재해 듀얼엔진 서비스를 시작했습니다.

해외 진출에 힘쓰고 있었기 때문에 해외에서 성공을 거두기 위해 국내용(?) 바이러스 대응에만 특화된 엔진으로는 어렵다는 판단도 작용했을 겁니다.

어느덧 시간이 흘러 국내에 주로 공급되는 백신들 대부분이 모두 ‘비트디펜더’ 엔진을 탑재하게 됐네요.

엔진 공급 사업으로 동유럽 외산 백신들이 국내 백신 시장에 침투한 게 한두 해에 불과한 것도 아니지만 ‘비트디펜더’가 이렇게 장악하고 있다는 점이 새삼 놀랍습니다.

국산 백신 대부분이 이미 ‘외산화된 국산 백신’이 됐다고 표현한다면 너무 과할까요?

요즘 대부분의 백신 제품이 자체 기술 개발에 주력하기 보다는 외국 업체인 기술을 활용해 좀 더 쉬운 길을 찾아가려 하고 있다는 생각이 듭니다.

이를 두고 초창기 백신 개발에 오랜 기간 몸담았던 한 전문가는 “국내 백신 기술력이 약해진 것을 반증하는 것 아니겠냐”며, “국내업체들이 해외에서 유행하는 바이러스 등 악성코드 샘플을 구하기 어렵고 정보력에도 취약해 외산 백신엔진이 도움이 될 수 있겠지만 국내에 주로 공급되는 백신에 외산 백신엔진에 의존한다면 문제가 있다”고 지적했습니다.

조시행 안철수연구소 상무도 “같은 엔진을 쓰더라도 (제품 기능이나 성능에서) 차별점은 있다”면서도 “넓은 의미에서 외산 엔진만 사용하는 것은 바람직하지 않은 것이 사실이고, 경쟁력이나 차별성도 없고 엔진만으로는 한계도 있다”고 말했습니다.

물론 백신업체들은 자사가 공급하는 백신이 ‘비트디펜더’ 엔진에만 전적으로 의존하고 있는 것은 아니라고 이야기하고 있습니다. 자사가 개발한 자체 엔진과 함께 카스퍼스키·비트디펜더 엔진을 함께 탑재하는 듀얼(또는 그 이상) 방식을 채택하고 있습니다.

이스트소프트 알툴즈사업본부를 총괄하고 있는 정상원 이사는 이에 대해 이렇게 설명하더군요.

“웜이나 트로이목마를 비롯해 국내 악성코드는 자체 엔진인 테라(tera)엔진에서 주로 처리하고 있고, 비트디펜더 엔진도 오진이 있기 때문에 이를 보완하기 위해 오진을 줄일 수 있는 업데이트검증시스템과 긴급대응시스템을 구축하는 등 많은 노력을 기울이고 있다.” 다행이 아닐 수 없습니다.

이스트소프트는 지난해 10월 출시한 기업용 ‘알약 2.0’에 영국의 유명백신인 소포스 엔진까지 더해 트리플 엔진을 구현한 바 있습니다.

맞습니다. 모든 백신업체들이 정확도가 높고 폭넓은 진단율, 빠른 성능, 편리한 사용 환경을 제공하는 좋은 제품을 제공하기 위해 갖가지 노력을 하고 있을 겁니다. 그 중 한 가지 방안이 외산 백신엔진을 탑재하는 것이겠지요.

그럼에도 국산 백신 7개 중 6개 모두에 외산 엔진이 탑재돼 있다는 점. 그 중 ‘비트디펜더’가 5개라는 점. 외산 백신엔진을 탑재해 출시하는 백신 제품이 계속해서 늘고 있다는 점이 참 씁쓸합니다.

사업 의지는 있지만 원천기술 개발 여력은 크게 부족한 국내 백신, 보안 제품 개발 현주소를 보여주는 것만 같습니다.


2010/03/02 16:10 2010/03/02 16:10

NSHC와 하우리가 아이폰 전용 백신으로 개발한 ‘바이로봇 산네’가 애플 앱스토어에 공식 등록됐습니다.

‘전자금융서비스 안전점검’을 위해 개발된 제품으로 소개가 되고 있네요.

하우리에 확인한 결과, 구정 전에 등록됐답니다. 지난 12일에 등록된 것으로 보입니다.

NSHC는 지난달 21일 이 제품 출시를 알리면서 애플 앱스토어에 등록을 신청했다고 밝힌 바 있습니다. 그치만 당시 등록이 거절됐지요.

이 발표가 난 이후 아이폰 백신 관련 논란이 일었습니다. 그 때문인지 개발사인 하우리와 NSHC측은 이와 관련한 언급을 아주 조심스러워하고 있습니다.

애플 앱스토어에 등록된 ‘바이로봇 산네’는 파일시스템 점검, 시스템 로그정보, 파일 무결성 점검, 네트워크 상태 점검 등 점검 위주의 기능을 제공하고 있습니다.

비정상 파일이나 프로그램 설치 및 위·변조, 비정상 네트워크 통신 시도를 탐지하며 정상폰 유·무, 원격 포트 사용 점검 등을 확인한다고 소개하고 있습니다. 이렇게 점검하네요.

엔진 업데이트 메뉴를 눌러보면 최신 엔진을 사용 중이라고 나옵니다.

일단 백신으로는 앱스토어 등록이 좌절돼 애플이 수용하는 수준에서 현재 하나은행, 기업은행 등이 제공하는 아이폰 뱅킹의 스마트폰 전자금융거래 사용자 보안 기능을 제공할 수 있는 기능 위주로 반영한 것 같습니다.

효용성에 대한 사용자 평가가 어떨지는 더 지켜봐야할 것 같습니다.
 
더불어 앞으로 나오게 될 많은 스마트폰 보안 보안 솔루션과 정부 대책이 어떻게 나올지도... 
  

2010/02/16 18:26 2010/02/16 18:26

최근 숭실대 컴퓨터학과 이정현 교수팀이 국내 공급되고 있는 삼성, LG의 ‘윈도 모바일 6.1’이 탑재된 스마트폰 4종을 대상으로 해킹에 성공했다고 발표해 화제를 모았습니다. <관련기사>

혹시 자세한 자료를 원하거나 궁금하신 분이 있을까 싶어 이정현 교수가 제공한 해킹 시나리오 플래시를 붙이겠습니다. 물론 실제 시연 동영상은 아닙니다.

일단 단말기 사용자가 웹을 통해 숨겨진 악성코드를 다운로드하는 것에서 감염시나리오가 구성돼 있습니다. 사용자가 클릭한 것이 성인인증을 받아야 하는 콘텐츠일 경우, 개인정보를 입력하게 되고 다운로드·설치돼 있는 악성코드가 정보를 단말기에 저장시킨 환경에서 여러 공격이 성사됩니다.

SMS 결제, SMS 훔쳐보기, 주소록 절취, 휴대폰 단말기 시스템 다운, SMS 공격의 다섯가지 시나리오가 나와 있습니다.


단순화한 자료여서 구체적으로 이용한 윈도 모바일 취약점 등은 알 수 없고 과정과 결과만을 보여주고 있습니다.

숭실대 이정현 교수팀은 이같은 감염 및 공격 시나리오로 아직 애플 아이폰 보다도 더 많이 팔린 삼성 옴니아(1,2)를 비롯해 미라지, LG 인사이트 스마트폰에서 이같은 공격을 성공시켰다고 했습니다.

이번 해킹은 의심스런 파일을 설치하지 안하거나 백신을 설치하는 등 휴대폰 보안관리를 위한 사용자 노력은 일단 배제하고, 윈도 모바일 자체가 취약하다는 사실을 보여줬습니다.

아직까지 이렇다 할 휴대폰-스마트폰 보안 사고가 없었던 국내에서는 많은 사용자들이 그 위험성을 인지하게 되는 계기가 됐을 것임은 분명합니다.

그런데 일각에서는 이번에 이용한 해킹 기법이 실제 일어날 확률은 매우 낮은데 시연을 통해 위험성만을 크게 부각시켰다는 (전문가) 의견이 나오고 있습니다.

또 자칫 국내 사용자들의 인식이 ‘아이폰만 안전하니, 아이폰만 써야겠구나’하는 의도친 않은 방향으로 흐르게 될 수도 있다는 우려가 제기되기도 합니다.

결론적
으로, 개인 스마트폰 이용자들은 어떠한 운영체제가 탑재된 휴대전화를 사용하던 간에 평소 보안관리에 주의해야 하는 것만은 사실입니다. 이게 이번 스마트폰 해킹 시연에서 가장 중요한 포인트라고 생각합니다.

은 분들이 아시다시피, 애플은 앱스토어를 통해서만 애플리케이션 등 무언가를 휴대폰에 다운로드할 수 있도록 하고 있습니다. 누구든 개발한 애플리케이션을 앱스토어에 등록하려면 해당 애플리케이션의 코드를 리뷰하고 일정수준의 정해진 규칙을 따르게 합니다.

애플이 허락하지 않으면 사용자가 원한다고 해도 특정 애플리케이션을 쓸 수 없습니다. (그래서 많은 사용자들이 ‘탈옥(jail break)’에 대한 유혹을 경험하기도 합니다.) 폐쇄적이긴 하지만 보안성은 강합니다.


윈도 모바일을 제공하는 마이크로소프트나 안드로이드를 제공하는 구글은 다릅니다. 오픈 정책이라고 해야 할까요? 사용자가 원하는 애플리케이션 등 다양한 프로그램을 사용하고 또 연결할 수 있도록 열어놓고 있습니다.

글의 경우, 모든 애플리케이션을 안드로이드마켓에 올릴 수 있도록 하고 있습니다. 구글은 이에 대한 사전 필터링 프로세스를 갖고 있지 않지만, 만일 악성코드가 등록되더라도 자연스레 커뮤니티에서 퇴출될 것이기 때문에 자정 노력에 맞기겠다는 입장인 것으로 알고 있습니다.

한마디로 정책이 다릅니다. 플랫폼을 오픈하고 있기 때문인데, 보안에는 취약할 수는 있습니다.

윈도 모바일의 경우는 단말기 성능만 좋아진다면 윈도가 설치된 PC와 같이 무엇이든 사용할 수 있게 될 것입니다. 그리고 PC에서와 같이 악성코드 감염 등 많은 보안위협이 나타날 수도 있습니다.

이에 관해 이정현 교수는 “애플과 같은 프로세스로 보다 안전한 스마트폰을 만들려면 플랫폼이 있어야 하는데, 우리(휴대폰제조사)는 플랫폼이 없어 가슴아프다”라고 말했습니다. (삼성전자가 ‘바다’를 발표하긴 했지만요.) 보안성과 관련해서는 애플의 방식이 맞다는 의미로 해석됩니다. 많은 분들이 동의하실 겁니다.

이번 해킹 결과가 공개된 후 아직까지 마이크로소프트는 공식 입장을 밝히진 않았습니다.

윈도 모바일 휴대폰만 대상이 된 것에, 그리고 현실에서 일어나지 않은 해킹 시나리오를 이용한 것에 약간 억울한 느낌을 감지할 수 있습니다.

아마도 본격적으로 스마트폰 확산기가 도래한 시점에서 애플, 구글과 ‘전쟁’을 벌이는 마이크로소프트로서는 이번 해킹 발표로 인해 상당한 타격을 입게 된 것이 사실입니다. 앞으로 무궁무진한 모바일 분야 경쟁에서 뒤쳐진다면 그동안 PC로 인해 누렸던 영화는 금세 추억으로 남겨지게 될 수도 있겠지요.

더욱이 국내에서는 대부분이 윈도OS가 탑재된 PC를 사용하고 PC 기반 인터넷도 인터넷익스플로러(IE)에만 최적화된 서비스를 제공하는 등 PC용 OS와 인터넷브라우저 시장에서 누구도 따라올 수 없는 ‘제왕’이었던 만큼 “반(反)MS, 반윈도, 반IE”를 외치는 안티세력이나 안티정서도 상당합니다.

특히 윈도를 대상으로 한 수많은 공격으로 드러난 ‘보안 취약성’은 그동안에도 심각한 아킬레스건이었습니다.

안그래도 최근 MS는 중국 공격자들의 구글 해킹으로 IE의 보안취약성마저 도마에 오르고 있는 상황이지요. 심지어 독일, 프랑스 등 유럽 정부가 국민들에게 IE를 쓰지 말라는 권고까지 하고 있다는 기사를 보기도 했는데, 여러모로 난감한 상황일 겁니다.

이번 해킹 대상이 된 휴대폰 제조업체인 삼성전자와 LG전자도 별다른 입장을 내놓지는 않았습니다.

삼성전자는 “삼성 모바일 닷컴 홈페이지에서 안철수연구소 보안 프로그램을 제공하고 있고, 무료로 다운로드를 할 수 있다”면서 윈도 모바일용 백신을 제공하고 있다는 점을 강조했습니다. 그리고 앞으로 윈도, 안드로이드 등 다양한 모바일 OS가 탑재된 스마트폰을 사용자들에게 제공할 예정이랍니다.

LG전자도 “지난달 27일 출시한 스마트폰 ‘210시리즈’는 최신 윈도모바일 6.5 OS가 탑재돼 있고, 안철수연구소의 백신을 이용자들이 다운로드할 수 있도록 제공하고 있다”고 설명했습니다. 앞으로 출시될 다른 모델에도 제공할 예정이고요. 그리고 이번 해킹 대상이 된 휴대폰(인사이트)은 이미 단종된 상태랍니다.

스마트폰 보안 시장은 제조사들이-아직은 안철수연구소 뿐이지만-보안 업체와 계약해 제공하는 B2B2C 모델로 시작하는군요.

SK텔레콤도 어제(4일) ‘모바일 위험관리 종합대책’으로 모바일 백신 등 단말기 보안 솔루션을 개발해 고객에게 제공할 예정이라고 발표했구요.

많은 보안 업체들이 스마트폰 보안 제품 개발에 나선 상황에서, 이러한 B2B2C 모델이 앞으로도 자리가 잡게 될지 또다른 관전 포인트 중 하나입니다.

2010/02/05 16:31 2010/02/05 16:31

시스코시스템즈가 홈페이지에 시스코 분산서비스거부(DDoS) 공격 탐지 차단 제품인 가드·디텍터 장비를 단종한다고 공지했습니다. <관련 기사>

이에 따라 지난 2008년 3월 어플라이언스 제품에 이어 시스코 카탈리스트 6500/7600 시리즈 라우터 모듈형 제품도 단종, 안티DDoS 전용장비 사업을 중단하게 됐습니다. 7월 31일 이후로는 판매도 완전히 중단하게 됩니다.

이와 관련한 시스코 공지 링크합니다. EOL/EOS for the Cisco Catalyst 6500/Cisco 7600 Series Router Anomaly Guard Module and Anomaly Detector Module 그리고 주요 내용을 캡처해봤습니다.


지난 2008년 공지도 함께 링크합니다.

이번 단종 일자가 1월 31일입니다. 이미 단종하고 나서 1일자로 공지했군요.

문제는 소프트웨어 유지보수인데요. 버그 수정을 포함해 소프트웨어 유지보수는 내년 7월까지만 지원됩니다.

반면에 하드웨어 장비 지원은 2015년 7월 말까지입니다.

시스코의 이 안티DDoS 장비는 국내에서 독보적으로 많이 팔린 장비입니다.

DDoS 공격이 이슈가 되기 전부터 시스코는 계속해서 DDoS 공격에 대비해야 한다고 알려왔고 실제 공격 피해사례가 많이 나타나면서 좀 과장을 보태 불티나게 팔렸었습니다.

안철수연구소에 합병된 안랩코코넛과 인포섹이 파트너로서 초기부터 판매를 담당해왔습니다.

아마 작년 하반기 단종 소문이 확산되기 전까지 2008년 한 해 동안과 작년 상반기에 가장 많이 판매됐을 겁니다.

이 제품은 포털, 게임, 쇼핑몰, 아이템거래 등 인터넷서비스 업계를 비롯해 통신, 금융, 정부에 이르기까지 여러 산업군에서 사용하고 있지요.

2008년에 구매한 고객은 2년 남짓, 작년에 구매한 고객은 1년 남짓 사용하고는 소프트웨어 유지보수를 받을 수 없게 됐네요.

시스코는 마이그레이션 혜택 등 이번 단종으로 인해 고객에게 제공할 특별한 지원 프로그램을 갖고 있지는 않은 것 같습니다.

전세계에서 우리나라만큼 안티DDoS 장비 수요가 많은 곳도 없을 정도라는 말이 종종 나왔던 것처럼 아마 다른 지역이나 국가는 크게 이슈는 안될 것 같습니다.

한국 고객이 많다고 해도 외국 기업이 작은 한국 고객만을 위한 지원혜택을 만들어주진 않을 것 같네요.

정부통합전산센터, 한국인터넷진흥원, 행정안전부 등 정부/기관을 비롯해 시스코 고객들이 이 사실을 어떻게 받아들이고 있을지 궁금합니다.

2010/02/03 14:25 2010/02/03 14:25

지난 22일 NSHC가 하우리와 공동으로 개발한 아이폰 전용백신 ‘바이로봇 산네’ 출시가 발표된 직후, 인터넷상에서 논란이 뜨겁게 벌어졌습니다. 

이 백신 제품을 진짜 ‘아이폰 백신’이라고 할 수 있냐 하는 의견에서부터 아이폰의 특성상 악성코드가 발생할 위험이 거의 없는데 백신이 과연 필요한가 등이 주된 논쟁거리로 떠올랐습니다.

상당수의 아이폰 사용자들과 네티즌들은 아이폰 백신이란 개념도, 그 존재도 불가능하다는 의견을 피력했습니다. 현실적으로 아이폰 악성코드가 존재하지 않고, 앱스토어에 악성코드가 등록돼 제공되지 않는 한 ‘아이폰 백신’ 자체가 무의미하다는 이유에서입니다.

그 이유로 앞서 NSHC가 이 백신의 ‘세계 최초’ 출시를 알리며 “앱스토어 등록 절차를 밟고 있다”고 했던 홍보 행위나 기자와 언론이 이 보도자료를 기사로 쓰고 보도하는 것 자체가 ‘무지의 소치’라는 비판을 받았습니다. (고백하자면, 저도 그 기사를 쓴 기자 중 한사람입니다.)

이번 논란과 혼란이 촉발된 가장 중요한 사실은 이 업체가 개발한 백신의 애플 ‘앱스토어’ 등록이 좌절된 데 있다고 봅니다. 너무 단순화하는 것인지는 모르지만 ‘가장 먼저’라는 점을 부각하려다가 오히려 그로 인해 뭇매를 맞게 됐습니다.

이 업체가 개발한 제품이 애플로부터 앱스토어 등록 승인이 거부된 것이 알려진 뒤로, 보안업계와 금융권 등에서 혼란이 계속 커지고 있는 것 같습니다.

아이폰 뱅킹 서비스가 제공되고 있고, 이로 인해 금융감독원이 바이러스 예방 조치 등을 담은 스마트폰 전자금융서비스 안전대책을 내놓았기 때문에 NHSC의 백신의 앱스토어 등록 좌초는 그 사안이 가볍지 않습니다.

또 “아이폰 백신을 개발 중이고, 올해 출시하겠다”고 했던 보안업체들도 문제가 됩니다.

기야는 안철수연구소와 잉카인터넷 등 국내 보안업체들이 준비해온 아이폰 백신 개발을 중단, 관련 사업을 하지 않기로 했다는 이야기까지 나올 정도입니다.

어떤 보안업체는 이제와서 “못해서 안한 게 아니라 이런 상황을 감안해 백신을 성급히 개발하지 않은 것”이라고 이러한 상황을 끼워 맞추기도 합니다.

아이폰 뱅킹 서비스를 제공하고 있는 하나은행, 기업은행도 혼란스러워 하고 습니다. 아이폰 뱅킹 애플리케이션에 백신 등 보안 기술을 적용할 수도, 안할 수도 없는 애매한 상황에 처했습니다.

‘스마트폰 전자금융서비스 안전대책’을 내놨던 금융감독원은 일단 “현재로서는 아이폰 뱅킹 안전성은 보장돼 있는 상태로, 향후 추이를 지켜보고 향후 방송통신위원회 등과 공조해 필요하면 추가로 방침을 정하겠다”는 입장입니다.

저는 이러한 혼란이 ‘애플의 입장’을 제대로 알지 못해서는 아닐까? 하는 의구심이 생깁니다.

현재 아이폰 운영체제 설계 원리나 플랫폼 특성으로 인해, 애플의 정책상 아이폰 백신 등 보안 제품의 앱스토어 등록은 당연히 거부될 것이란 의견이 지배적입니다.

애플의 정책이, 또 백신 등록 승인 거절 이유가 “우리 플랫폼과 애플리케이션의 앱스토어 등록 프로세스로는 아이폰은 안전하니, 백신같은 보안 제품은 필요 없다. 현재도, 앞으로도.”라면, 오히려 해결책은 단순할 수도 있습니다.

보안업체는 백신 개발은 당연히 중단하고 아이폰 백신 사업을 포기한다고 결정할 수도 있을 것입니다. 금융감독원은 스마트폰 전자금융서비스 안전대책 등 보안지침을 수정해야 할테지요. 

그런데 그게 아니라면 어떨까요? 앱스토어 등록이 거절된 이유가 그런 게 아니라 단순한 오류나 테스트 과정에서 생긴 문제라면 어떨까요? 이 또한 가정이지만 말입니다.

그래서 저는 우선 애플의 정책과 입장을 알고 싶었습니다. 이번 아이폰 백신 소동과 관련해 ‘바이로봇 산네’의 앱스토어 등록 승인 거부된 이유나 향후 백신 등 보안 제품의 등록 관련 정책에 관한 애플의 공식적인 입장을 애플코리아에 요구했습니다. 돌아온 답변은 비슷합니다만.

“아이폰은 마이크로소프트 윈도 모바일 운영체제 등과는 달리 무언가를 다운로드하기 위한 통로는 앱스토어 뿐이고, 프로그램이 등록되기 전에 사전검열을 거치므로 악성코드가 들어올 구멍이 없고, 백신도 필요 없다”는 것이 애플코리아 관계자의 설명입니다.

이것도 “공식적인 입장이 아닌, 비공식적인 정보로서”만의 답변이라는 점을 전제로 받았을 뿐입니다.

이대로라면, 현재로선 아무리 백신같은 보안 제품을 개발해도 앱스토어 등록은 어려울 것입니다.

아마 멀티태스킹이 안되므로 하나은행이나 기업은행 아이폰 뱅킹 애플리케이션에 백신을 삽입해 하나의 애플리케이션으로 만들어 업데이트하려고 하더라도 백신 특성상 어려울 테지요.

그런데 미래는 어떤 상황이 벌어질 지 아무도 모릅니다. 맥 OS와 아이폰에서도 취약점이 발견되고도 있고, 아이폰 차기 버전이 어떻게 달라질 지도 모릅니다. 아이폰으로 다양한 연결성과 활용성을 갖고 있는만큼 현재에도 미래에도 100% 안전할 수는 없습니다.

애플의 정책도 상황 변화에 따라 얼마든지 바뀔 수 있다고 봅니다.

보안업계 아이폰 백신 사업 철수설이 오늘 불거지자, 안철수연구소에 확인해 봤습니다.

아이폰 보안 제품을 이르면 1분기, 늦어도 2분기 안에는 예정대로 선보일 예정이랍니다. 기존에 선보였던 심비안용이나 윈도모바일 등 모바일 백신에 국한된 방식이 아니라 아이폰에서 나타날 수 있는 다양한 위협으로부터 보호할 수 있는 보안 솔루션이 될 것이란 이야기입니다. 악성코드로부터 보호할 수 있는 기능도 당연히 포함된답니다.

다행입니다. 이러한 소동이 생겼다고 바로 “포기한다”고 선언했으면 아주 크게 실망했을 겁니다.

물론, 안철수연구소도 이번 이슈가 생긴 뒤 이전보다는 신중하게 접근하고 있다는 것을 느낄 수는 있습니다.

애플이든, 마이크로소프트이든, 삼성전자이든 간에 “우리 제품은 안전하다”고 하더라도, 보안 전문업체들은 새로운 취약점은 없는지, 보안위협은 발생하지 않는지 계속 경계하면서 준비해, 만일의 사태가 발생하면 해결책을 내놔야 할 역할이 있습니다.

잉카인터넷도 내부적으로 먼저 아이폰 보안 제품 관련 정책을 정한 뒤 선보이겠다는 입장입니다.

시만텍에도 물어봤습니다. 시만텍은 오는 7~8월 중 아이폰 백신이 나올 거라네요.

현재 앱스토어 등록 승인이 거절됐음에도 개인적으론 아직 그 시점이 언제이든 향후 아이폰 보안 제품이 상용화될 수 있는 여지는 충분하다고 생각하고 있습니다.

그리고 애플의 정책이 무엇이건 간에, 아니 애플과 협조하는 방안을 강구하면서 보안 업체들이 계속해서 아이폰을 대상으로 나타날 수 있는 잠재위협으로부터 안전하게 보호해 줄 수 있는 보안 기술을 연구 개발해줬으면 좋겠습니다.

이번에 어려움을 겪기도 했지만 많은 것을 배웠을 NSHC와 하우리도 마찬가지입니다. 

2010/01/27 18:05 2010/01/27 18:05


최근 주목되는 신생 보안업체 두 곳이 있습니다.

쉬프트웍스와 NSHC라는 회사인데요, '아이폰'을 비롯한 스마트폰의 등장으로 IT산업에 큰 변화가 일어나고 있는 요즘, 두 업체에 부쩍 관심이 쏠리고 있습니다. 

두 업체는 모두 해커 출신이 설립해 대표로 있습니다. 무척 젊은 대표들입니다.  

무엇보다 아이폰, 안드로이드폰 같은 스마트폰용 보안 솔루션을 앞서 개발했다는 공통점이 있습니다.

프트웍스(대표 홍민표)는 아직 국내 출시되지도 않은 안드로이드 전용 백신(브이가드)을 가장 먼저 개발했습니다.

전세계 이용자들이 다운로드 할 수 있도록 현재 구글 마켓에 등록 절차를 밟고 있다고 합니다. 

안드로이드용 백신은 전세계적으로도 아직 몇 개 없는 것으로 알려져 있는데요, 제품 성능과 수준이 어느정도인지는 모르지만 개발된 것만큼은 세계에서 두세번째 손가락 안에 꼽힐 것으로 추측됩니다.

쉬프트웍스는 아이폰 전용 백신도 이미 개발해 테스트중이고, '애플 앱스토어'에 등록할 절차도 진행하고 있습니다.

이뿐만 아니라 다른 신규 모바일 보안 제품 개발을 계속 추진하고 있답니다.

NSHC(대표 허영일) 역시 아이폰용 백신(악성코드/해킹 방지 프로그램) '산네'와 입력보안 제품(엔-필터)을 개발했습니다. 이중에서 '엔-필터'의 경우는 얼마전 보도자료를 통해 정식으로 출시를 발표했지요.

두 제품은 모두 전자금융거래(인터넷뱅킹) 서비스 제공시 금융기관들이 사용자들에게 의무적으로 내려받아도록 제공해야 하는 보안 솔루션들과 같은 역할을 합니다. 

입력보안 프로그램은 이용자가 인터넷뱅킹에 접속하면 자동으로 내려받는 '키보드 보안' 제품과 같은 역할을, '산네'는 해킹방지프로그램과 같은 역할을 하지요.

'엔필터'는 가상키패드를 이용해 스마트폰에서 입력하는 모든 개인정보, 금융정보 등을 암호화합니다.

이 아이폰용 입력보안 제품의 경우엔 전세계 최초로 개발되지 않았을까 하는 생각이 듭니다.

전자금융서비스에서 사용이 의무화된 탓에 국내 사용자들이 널리 쓰고 있는 키보드 보안 프로그램이 해외에는 거의 없는 것처럼 말이지요.

혹시 은행에서 제공하는 아이폰 뱅킹 서비스에 적용될 수 있을지 관심이 갑니다.

이같은 아이폰용 보안 제품, 안드로이드용 보안 제품은 시만텍도, 안철수연구소도 아직 공식적으로 제공하지 않고 있습니다.

생 업체들인만큼 이미 거대화된 업체들보다 발빠르게 제품을 개발, 출시할 수 있었을 겁니다.

아마 조만간 모든 백신 업체, 다양한 보안 업체들이 이같은 스마트폰용 보안 제품을 출시할 것입니다.

특정 분야에서는 벤처가 대기업보다 더 빠르게 전문화된 제품을 선보일 수 있었던 것처럼 말이지요. 

조금 시간이 지나면 다른 주류 보안업체들도 출시할테니 혹시 인지도나 신뢰성면에서 뒤질 수는 있습니다.

그런데 요즘 나타나는 변화의 물결을 보면 꼭 그렇지만도 않을 것 같다는 생각도 듭니다.

아이폰을 비롯한 스마트폰은 기존 세상에 변화를 일으키고 있습니다. 기존 틀에 박힌 생각대로만은 돌아가지는 않을 것 같습니다.

스마트폰과 '앱스토어' 같은 모바일 오픈마켓이 결합되면서, 휴대폰 사용자들의 이용행태와 소비방식을 크게 바꾸고 산업지형까지 뒤흔들고 있기 때문입니다.

그렇게 몰고 오는 변화는 '혁명'이라는 단어로까지 표현되고 있습니다. 그만큼 파장이 크다는 이야기일 것입니다.

업에 미치는 변화는 (좀 과장하면) 이제 개인들도 이제 마음만 먹으면 누구나 오픈마켓에 자신이 개발한 모바일 콘텐츠와 애플리케이션을 올려 소위 '대박'을 칠 수도 있는 시대가 왔을 정도입니다.

이것이 IT산업에도 모처럼 활력이 되고 있는 것 같습니다.

휴대폰과 통신업계뿐 아니라 소프트웨어, 인터넷서비스 업체들은 이같은 변혁에 주목해 다양한 스마트폰용 모바일 서비스를 잇달아 내놓는 등 발빠른 대응에 나서고 있습니다.

한발 늦었다가는 자칫 향후 산업에서 도태될 수 있기 때문입니다.

그래서 소프트웨어, 포털업체들도 앞다퉈 각종 스마트폰용 서비스를 내놓고 있는 것일테지요.

그런 면에서 기존에 보안 시장에서 1, 2위 하던 업체들이 모바일로 인한 변화에 빠르게 대응하지 못한다면,
앞으로 펼쳐질 무궁무진한 시장에서 쉬프트웍스나 NSHC같은 신생업체들이 그들을 제치고 앞설 수 있는 가능성도 충분하다고 생각합니다.

아마 제가 몰라서 그렇지, 쉬프트웍스나 NSHC같은 회사들이 훨씬 많을 것입니다. 

이들이 보안산업을 더욱 성장, 발전시킬 차세대 주역으로 성장할 수 있길 기대합니다.  모바일로 인한 제2의 '벤처' 신화가 생겨날 지 주목되는군요. 

2010/01/05 15:30 2010/01/05 15:30

- 정부기관 정보보호 전담부서 43곳 중 9곳, 정보보호 전담인력 평균 1.45명

지난 7월 분산서비스거부(DDoS) 공격이 발생해 온나라가 들썩인지 5개월째에 접어들고 있습니다.

청와대와 국가정보원(국가사이버안전센터), 정부통합전산센터, 주요부처 등 정부 주요기관들조차 줄줄이 공격 대상이 됐던 충격 탓인지, 한동안 정부와 여당인 한나라당은 사이버 침해사고에 대한 보안 대책을 마련하겠다는 강력한 의지를 보여줬고, 계획도 냈습니다.

그런데 정부의 사이버 위기 대응 조직체계와 정보보호 전담인력 및 투자는 여전히 크게 미흡한 수준입니다.

이같은 문제점을 지적하고 대책을 제시한 의미있는 보고서를 국회 입법조사처에서 발표했습니다. (관련기사)

이 보고서에는 DDoS 공격 대응 문제점으로 사이버 공격에 대한 훈련 및 국제공조 미흡, 사이버 정보보호 기능의 분산, 장비노후화 및 악성코드 분석 전문인력 부족, 사이버 위협에 대한 인터넷 이용자의 대응 미흡, 정보보호 인력 및 투자 부족 등 5가지를 지적했습니다.

정부의 정보보호 총괄기능이 분산돼 있고 민간부문 정책부서가 축소돼 있다는 점과 정보보호 전담 부서나 인력 부족 문제는 지난 7.7 DDoS 공격 당시 전문가들과 언론이 가장 많이 지적했던 것이 '콘트롤타워 부재'와 '정보보호 전문인력 부족'이었다는 점에서 맥락이 통합니다. 

이것이 현재 정부의 미흡한 정보보호 수준을 보여주는 지표가 되겠지요.

보고서에서는 정보보호 2008년 정부 조직개편에 따라 정보보호 정책기획 기능이 방송통신위원회, 행정안전부, 지식경제부 등으로 분산됨에 따라 사건 발생 후 해당 사안을 주도적으로 관장하는 기관이 없었다고 지적합니다.

또 정보보호 중요성이 증가함에 따라, 공공부문의 사이버위기 대응을 담당하고 있는 행정안전부, 국정원 등은 관련 조직이 지속 확대되고 있는 반면에, 민간부문의 사이버침해 위협수준이 더욱 높아지고 피해규모가 커져가고 있음에도 불구하고 민간부문 사이버위기 대응을 맡고 있는 방송통신위원회 정보보안 정책관련 조직은 옛 정보통신부 시절 국 규모에서 1개 팀 수준으로 축소돼 있다는 점도 문제시 하고 있습니다.

특히, 이 보고서를 보면 정부의 43개 중앙부처 가운데 자체 정보보호 전담부서를 운영중인 부처는 9개에 불과할 정도로 한심한 수준입니다.

자체 정보보호 전담인력 현황은 부처당 평균 1.45명에 불과하네요. 국무총리실(0.6명), 감사원(0.2명) 및 방송통신위원회(0.8명) 등 16개 기관이 1명 이하의 전담인력이 배치되어 있습니다.

보고서에 첨부돼 있는 표를 보시죠.


보고서는 이러한 문제점 지적뿐 아니라 국회에 제출한 내년 정부 예산안과 주요 사업에 대한 분석도 하고 있습니다.

DDoS와 같은 사이버 침해사고 재발방지 방안도 제안하고 있습니다.

보고서에서 제시하는 방안을 참고해 국가 정보보호 정책과 투자현황에서 나타나는 문제점이 신속하게 개선되길 기대합니다.

관심이 있는 분은 전문을 살펴보세요.

보고서 파일을 첨부하겠습니다.
국회입법조사처 홈페이지(
www.nars.go.kr)의 ‘자료마당’에서도 전문을 확인하실 수 있습니다.


2009/12/01 19:14 2009/12/01 19:14

루마니아 해커로 알려진 ‘우누(Unu)’가 최근 보안업체들이 운영하는 웹사이트를 잇달아 해킹해 국내에서 화제가 되고 있습니다.

‘우누’는 지난 24일 자신의 블로그에 전세계 대표 보안업체인 시만텍의 개인용 보안 제품 ‘노턴(Norton)’의 고객지원 사이트를 해킹했다고 올린 데 이어, 지난 27일에는 국내 업체인 잉카인터넷의 ‘엔프로텍트(nProtect)’ 사이트를 해킹했다고 공개했습니다.


해킹한 시만텍의 웹사이트는 일본의 고객지원 사이트로, ‘우누’는 블로그 제목에 패스워드와 제품 시리얼 번호 등 개인정보가 노출됐다는 점을 부각했습니다.
여기에는 일본뿐 아니라 한국 고객 정보가 포함돼 있다는 점에서 국내에서도 이 사실이 급속히 퍼졌습니다.

잉카인터넷 관련 포스팅도 마찬가지입니다.


‘우누’는 지난 2월에는 카스퍼스키랩의 ‘카스퍼스키’ 제품 웹사이트도 해킹했습니다.


해킹 등 보안위협을 막는 기술을 개발하는 이들 보안 업체들은 SQL 인젝션(Injection) 취약점으로 자사 웹사이트가 잇달아 뚫리면서 망신을 당했습니다.

 
아마도 다른 유명 보안업체들도 이같은 구설수에 오르지 않도록 자사가 운영하는 웹사이트에 보안취약점이 없는지 다시 한 번 점검해보고, 보안관리를 더욱 강화하게 될 것 같습니다.


그렇지 않으면 신뢰성과 이미지 타격은 물론, 아무리 훌륭한 보안기술을 개발해 각종 보안위협을 막을 수 있는 제품을 내놔도 고객으로부터 외면당할 수 있기 때문입니다.


웹사이트나 고객 DB관리가 취약해 진짜로 고객정보라도 유출당하는 사고가 발생한다면, 그야말로 회사를 유지하기 힘들게 될 것입니다.


그런 점에서 ‘우누’는 자신의 주장대로 해를 끼치려는 게 아니라 허점을 알려줘 보안업체들에게 경각심을 높이고 이를 보완할 수 있게 하는 계기를 마련했습니다.


‘우누’는 업체들마다 자사 웹사이트에 허점이 있다는 것을 용기 있게 인정했다는 점을 높이 사기도 했고, 나중에 취약점이 보완됐다는 사실도 공지했습니다.  


그런데 왜 전 아쉬움이 있을까요?


‘우누’가 진정한 화이트 해커라면 보안업체들에게 먼저 알려줬으면 더 좋았을 것 같다는 생각이 듭니다.


그런데도 보안업체들이 취약점을 시급히 보완, 조치하지 않는 등 등한시할 경우 공개하는 것이 더 좋지 않았을까 생각합니다.


물론, 업체들마다 필요한 암호화 조치가 돼 있었다거나 개인정보 수집을 최소화해 “고객 개인정보가 유출되지 않았다”고 밝혔지만, ‘우누’의 이야기대로 각 업체의 고객정보가 노출될만큼 위험하다면 더욱 그랬어야 하지 않을까 싶습니다.


그 사이 진짜 악의적인 해커들이 ‘우누’의 블로그에 올려진 글을 보고 고객정보 유출을 시도할 수도 있지는 않을까 하는 우려 때문입니다. 


보안업체들이 가장 무서워하는 것이 바로 ‘해킹 당했다’, ‘제품이 뚫렸다’는 이야기 아닐까요.

 
예전에 해커들은 자신의 이름을 알리기 위해 유명한 사이트를 노렸다고 하지요. 선의로 행한 것이라면 ‘우누’가 알려진 보안업체들의 웹사이트를 잇달아 해킹해 공개함으로써 혹시라도 불필요한 오해를 사지 않길 바랄 뿐입니다. 




2009/11/30 17:01 2009/11/30 17:01