[기획/딜라이트닷넷 창간 3주년] 네트워크에 부는 새로운 기술 혁신 바람③

현재 시점에서는 미래를 예측하긴 어렵지만, 시장에서 SDN에 대한 요구, 기대와 관심은 높습니다.

시장조사기관인 IDC는 상반기에 오픈플로우 시장을 예측한 첫 보고서(The Impact of OpenFlow on Datacenter Network Architectures)를 발표했는데요. 이 보고서에서, 오픈플로우 시장은 올해부터 형성되기 시작해 오는 2016년에는 20억달러 규모로 성장할 것으로 전망했습니다. (
관련기사 네트워크 최대 화두 ‘오픈플로우’ …시장 폭발력은 어느정도?)

올해 시장은 5380만 달러 규모로 예측됐고, 5년간 연평균 예상 성장률은 145.5%로 높습니다.

실제로 미국, 일본뿐만 아니라 우리나라에도 SDN, 오픈플로우 바람이 불고 있습니다.

대학에서 이미 활발한 연구가 진행되고 있고, KT·SKT·NHN·다음커뮤니케이션과 같은 통신사·서비스제공업체들이 오픈플로우 관련 테스트와 시범도입을 시작하고 있습니다.

통신3사는 연구소를 주축으로 오픈플로우, SDN 기술을 면밀히 검토해 왔습니다. (
관련기사 통신3사, SDN에 주목…“트래픽 관리, 신규서비스 창출에 적용”)

최근 KT는 SDN을 위한 테스크포스팀(TFT)이 꾸렸고, 이를 위해 외부 전문가도 영입했다고 알려졌습니다.

SKT도 경영진이 높은 관심을 나타내면서 SDN 전략 수립을 진행하고 있다고 합니다.

NHN은 최근 개최한 개발자 컨퍼런스인 ‘DEVIEW 2012’에서 ‘대규모 클라우드 구축을 위한 오픈플로우 활용’을 주제로 한 발표에서 테스트 사례를 공개했습니다. 이 자리에서 향후 퍼블릭 클라우드 망에 오픈플로우 도입 계획도 밝혔습니다. (
관련기사 오픈플로, 네트워크판 어떻게 바꿀까)

정부도 지원에 나섰습니다. ONF에 참여하고 있는 한국전자통신연구원(ETRI)이 적극적으로 산·학·연이 협력해 우리 네트워크 산업이 발전할 기회로 삼아야 한다는 목소리를 내고 있습니다.

방송통신위원회 미래인터넷 PM실, 지식경제부 BcN PD실이 주축이 돼 마련 중인 내년 연구개발(R&D) 과제에 SDN 분야가 본격적으로 포함될 예정입니다. (
관련기사 “SDN은 국내 통신 네트워크 산업 재도약 기회”)

이미 미래인터넷 분야에 스마트 인터넷 플랫폼 구현 기술로 스마트노드 기술과 함께 SDN 기술이 명시됐습니다. 2013년부터 5년간 SDN 컨트롤러 및 운영체계(OS), SDN 스위칭·오버레이 기술 관련 세부과제가 추진될 것으로 예상됩니다.

지경부도 통신사업자(캐리어) 네트워크와 데이터센터, 엔터프라이즈 네트워크에서 활용할 다양한 SDN 기술 개발을 위한 연구과제를 발굴하겠다는 계획을 밝혔습니다.

오픈네트워크 소프트웨어 개발자 커뮤니티 기반 구축 과제도 기획되고 있습니다.

학계와 네트워크 업체와 공동 연구도 진행되고 있습니다. 연세대는 네트워크 업체와 공동으로 오픈플로우 컨트롤러를 공동 개발 막바지 단계에 있습니다.

SDN 조직을 꾸려 컨설팅에서부터 설계, 구축을 지원하는 전문 서비스를 준비하는 업체도 생겨났고, 오픈플로우 관련 지식과 정보를 공유하는 커뮤니티인 ‘오픈플로우코리아’도 개설돼 활동 중입니다.

초기 시장이지만 의미 있는 움직임이 활발하게 이어지고 있습니다.

네트워크 분야에서 거의 30년만에 변혁을 일으킬 기술로 주목되는 SDN이 네트워크 시장에서 애플이 아이폰으로 IT생태계를 뒤흔들어놓은 정도로 파급력을 가질 지 귀추가 주목됩니다.


2012/10/09 14:05 2012/10/09 14:05

사용자 삽입 이미지
세계 정보통신기술(ICT) 발전도와 경쟁력을 평가하는 네트워크 준비지수(NRI)에서 우리나라가 올해 10위권 밖으로 다시 밀려났습니다.

세계경제포럼(WEF)·유럽경영대학원(INSEAD, 인시아드)이 최근 발표한 글로벌 정보기술 리포트(GITR)에서 우리나라는 지난해 3년만에 10위권에 재진입했지만 올해 142개국 중 12위로 다시 순위가 내려갔습니다.

(2007년 122개국 중 19위, 2008년 127개국 중 9위, 2009년 134개국 중 11위, 2010년 133개국 중 15위, 2011년 138개국 중 10위)

작년에는 방송통신위원회가 보도자료까지 냈는데, 순위가 떨어져서 그런지 올해는 조용하네요.

물론 이같은 국가지수나 순위는 매년 조금씩 왔다갔다 할 수 있습니다. 스웨덴·싱가포르·핀란드처럼 선두권에 안착한 국가들이 부럽긴 하지만요. 이들 국가말고도 핀란드, 덴마크, 스위스, 노르웨이, 미국이 지난해에 이어 10위권에 들었습니다. 한국 앞에는 대만과 중국도 있습니다.

더욱이 우리나라는 초고속인터넷에 이어 LTE(롱텀에볼루션) 모바일 브로드밴드까지, 전국 단위의 유·무선 광대역통신망을 앞서 구축하고 있고 많은 이용자(가입자)를 보유하고 있는 ICT 인프라 선도국입니다. 우리나라가 목표로 삼은 세계적인 ICT(정보통신기술) 강국을 유지하려면, 현재의 문제를 인지해 개선해야 합니다.

NRI는 정보통신뿐만 아니라 각국의 정치·규제, 비즈니스 환경과 인프라 및 디지털 콘텐츠·가격적정도·기술 관련 준비도, 개인·기업·정부의 활용(이용), 경제와 사회에 미치는 영향(Impact)을 포괄하는 광범위한 평가지수입니다.

WEF와 인시아드는 GITR 보고서를 낸지 10년을 넘기면서, 그리고 최근 ICT를 주축으로 모든 것이 연결되는 ‘하이퍼커넥티드 세계(Hyperconnected World)’가 가속화되면서 올해에는 평가 프레임워크에 약간 변화도 줬습니다.
사용자 삽입 이미지

‘준비도(Readiness)’ 항목에 ‘가격적정성(Affordability)’을 강조했고 단순한 ‘활용(Usage)수준’보다는 ‘기술(Skill) 활용’에 중점을 두고 있습니다. 

한국은 활용도나 영향도 항목에서 각각 2위와 4위로 높은 순위에 올랐지만, 환경과 이용준비도는 35위와 24위에 그치면서, 지난해보다 종합 순위가 두 계단 아래로 내려갔습니다. 

그 중에서도 시장 및 정치·규제 환경이 열악한 것이 가장 문제입니다. 정치·규제 환경은 43위, 준비도에서 가격적정성은 70위로 낮아 개선이 필요한 상황이라는 것을 확인시켜주고 있습니다.
사용자 삽입 이미지

지난해 10위권에 진입했을 때에도 지수가 낮았던 분야는 지수 순위가 더 하락했습니다. 개선되기는커녕 더 안좋아지고 있는 것입니다. 특히 정치·규제 환경은 지난해에도 전년도보다 낮은 결과가 나왔지만 전혀 개선되지 않고 있습니다.

43위에 그친 시장 및 정치·규제 환경 항목을 구체적으로 살펴보면, 의회 입법활동 효율성(123위), 규제철폐 효율성(97위), 분쟁 해결에서 법체계 효율성(84위), 사법부의 독립성(69위) 순으로 낮게 평가됐습니다.

사법부 독립성, 분쟁해결과 규제철폐 관련 법체계 효율성 항목은 지난해보다 10위 이상 더 떨어졌습니다. 그나마 입법활동 효율성과 ICT 관련법 수준은 전년대비 상승했다는 점에서 위안을 찾아야 할까요.

15위에 오른 비즈니스 및 혁신 환경에서는 벤처캐피털 효용성이 무려 100위입니다. 스타트업이 나오기 어려운 환경이라는 것을 알 수 있습니다. 가격적정성은 70위로, 인프라 및 디지털 콘텐트(18위), 기술(27위)이 상대적으로 상황이 나은 상황이네요.

가격(요금) 문제를 구체적으로 살펴보겠습니다. 이동전화 요금(83위->84위)과 유선 초고속인터넷 요금(67->68위)도 소폭 하락했습니다.

잘 하고 있는 것도 살펴봐야지요? 1위에 오른 항목은 정부의 활용도, 사회적 영향도가 1위로 우수하고요, 개인의 활용도도 2위에 올라 우수한 것으로 평가됐습니다.

세부항목을 보면, 교육수준(Tertiary education gross enrollment rate), 가정 인터넷 접속률, 모바일 브로드밴드 가입자, 전자정부서비스, 전자참여(E-Participation) 분야에서 1등을 차지했습니다. 

정보통신 인프라를 빵빵하게 깔아놓았고 또 가입자가 많다는 것으로는 ICT를 성공적으로 운영하고 있다고 볼 수 없습니다. WEF와 인시아드의 GITR·NRI는 바로 ICT 강국으로 확실히 자리하고자 하는 우리나라에게 주는 교훈이 담겨 있다고 봅니다.

시스코의 전문가는 기업 블로그(원문, 한글)에서 이번 NRI와 관련해 이렇게 분석했습니다.

“인시아드가 방법론을 미묘하게 수정해 얻은 결과처럼 큰 차이는 작은 변화에서 비롯된다. 정책입안자들이 교육시스템을 향상시키고 네트워크 요금을 줄이거나 가정·업무용 컴퓨터 기기에 대한 더 많은 감면 혜택을 주는 등의 아주 단순한 노력이 (NRI) 국가 순위를 올릴 수 있을 것이다.”

이 포스팅에도 첫 문단에 브로드밴드 선도국인 한국이 언급돼 있습니다. NRI가 주는 교훈을 설명하면서 말이지요.

 

2012/06/04 16:55 2012/06/04 16:55

방송통신위원회와 한국인터넷진흥원(KISA)은 최근 발생한 사이버침해사고와 국내외 보안업체들의 전망을 분석해 올해 대두될 7대 사이버위협을 선정해 발표했습니다.

최근의 사이버공격의 특징은 지능화, 복합화입니다. 그 중에서도 올해에는 ▲총선과 대선 등 국가 주요 행사를 겨냥한 사이버공격 증가 ▲웹하드·소셜네트워크서비스(SNS) 악성코드 유포 증가 ▲국가·기업·개인 정보탈취형 지능형지속위협(APT) 공격 지속 ▲모바일 악성코드로 인한 보안위협 현실화 ▲한글 프로그램 등 이용자가 많은 국산 소프트웨어 취약점 공격 ▲클라우드 서비스 보안위협 증가 ▲DNS 서버 대상 DDoS 공격 위협 증가가 전망됐습니다. (관련기사 선거·엑스포 등 올해 국가 주요행사 겨냥 사이버위협 증가)

방통위와 KISA는 이같은 전망에 따른 위협 예방 및 대응 활동을 강화할 계획입니다. 현재 추진 중인 대응방안을 각 위협 전망 항목별로 살펴보겠습니다.

1. 국가 주요 행사 겨냥 공격 대비체계 강화

올해에는 주요한 국가 행사가 줄줄이 이어집니다. 3월 서울 핵안보정상회의, 4월 국회의원 선거 5~8월 여수 세계박람회 12월 대통령 선거 등이 있지요.

최근 사회 혼란을 유발하거나 정치적인 목적으로 국민들이 높은 관심을 갖는 주요 행사가 있을 때를 노려 사이버공격이 많이 발생하고 있습니다.

DDoS 공격이 대표적이고, 행사 안내나 선거 정보 등 관심사를 악용해 사용자들에게 메일을 보내 악성코드에 감염시켜 다른 공격에 이용하는 일도 빈번히 벌어져 왔죠. 

국가 주요행사를 겨냥한 공격 증가 예상이라는 문구를 접하니 가장 먼저 작년 10.26 보궐선거 때 발생했던 중앙선거관리위원회 홈페이지 DDoS 사건이 떠오르더군요. 검찰 수사도 종료됐지만, 지금까지 논란은 계속되고 있습니다. 많은 의구심이 해소되지 않았기 때문이지요. 과거사(?) 정리를 확실히 해야하겠지만, 앞으로 이런 일이 다시 발생하지도 않길 바랍니다.

KISA 인터넷침해대응센터는 행사 관련 웹사이트를 집중 모니터링할 계획이라고 합니다. 특별히 홈페이지 접속장애나 악성코드 은닉여부 조기탐지, DDoS 탐지해 대응할 계획이라고 합니다.

이상징후가 포착되면 정보통신서비스사업자(ISP)를 통한 초동대응과 함께 해당 사이트 운영기관 등에서 조치를 취하도록 알려주는 역할을 할 수 있습니다. 이를 위해 행사 관련기관과는 비상연락망을 운영하고, 국가사이버안전센터·경찰청 등 관련기관과 ISP·보안업체 등과의 공조도 강화할 방침입니다.

2. 웹하드, SNS 악성코드 탐지 강화

웹하드나 P2P 사이트 등에서의 악성코드 유포 문제가 심각하지요. DDoS 공격이나 대규모 개인정보유출 사건과 같은 대규모 보안사고가 발생하면, 악성코드 유포 경로가 웹하드 프로그램인 경우가 많았습니다.

공격자들은 사용자들이 파일을 다운로드하기 위해 설치하는 웹하드 전용 프로그램을 변조하거나 업데이트 프로그램을 다운로드하는 것처럼 속여 악성코드를 유포하는 방식을 많이 이용하고 있습니다. 이렇게 내려받은 악성코드에 감염되면 좀비PC가 돼 DDoS 공격에 이용되고, 회사 내부시스템에 침투해 개인정보 등을 유출하거나 이를 위해 시스템 관리자 계정을 탈취하는데 악용됩니다.

방통위와 KISA는 190개 웹하드 사이트의 전용 프로그램 변조여부 탐지 활동을 2월부터 시작할 예정입니다. 
이를 위해 웹하드 은닉형 악성코드 탐지 시스템도 작년에 개발했습니다.

웹하드 프로그램에나 게시물, 컨텐츠에 숨겨진 악성코드 여부를 탐지, 위험도를 판별할 수 있는 이 기술을 활용해 업체들에게 알려주고, 기술지원도 강화할 계획입니다.

방통위는 작년 12월에 웹하드 사업자를 대상으로 실태점검을 실시했습니다. 협조가 잘 안돼 대상사업자 106개 중 결국 8곳만 점검을 벌인 수준이미에도, 점검 결과 보안장비를 전혀 갖추고 있지 않는 등 보안체계는 매우 취약했다고 합니다.


지난해 개정된 전기통신사업법에 따라 작년 11월 21일부터 웹하드 등록제가 시행됐는데요. 현재까지 등록한 웹하드 업체는 전무하다고 합니다.

기존 업체들은 법에서 정한 불법 저작물 청소년 유해정보 유통방지 및 정보보호를 위한 기술적 조치요건를 이행할 계획을 마련해 6개월 이내에 등록을 마쳐야 합니다. 법적 효력은 오는 5월 20일 이후에는 발생하게 될텐데요. 이를 통해 연내에는 웹하드 보안수준도 강화될 수 있길 기대해봅니다.

방통위와 KISA는 포털 등의 인기 검색어를 통해 유포되는 악성코드 탐지 활동도 강화하고 있습니다.

검색엔진에서 제공하는 실시간 검색어를 악용해 악성코드를 유포하는 URL를 수집, 점검할 수 있는 기술도 보급하고 있습니다. 인기가 많은 SNS 게시글 내에 포함된 URL이나 단축 URL의 악성코드 은닉여부도 알 수 있는 기술이라고 하는데요. 포털 ‘다음’이 이 기술을 이전받기로 계약한 상태랍니다.

특히 단축 URL의 경우는 사용자들이 신뢰된 URL인지 여부를 쉽게 판별할 수 없기 때문에, 사용자 수가 대형 포털과 같이 많은 웹사이트 운영사들의 자발적인 정화 노력에 한층 힘을 기울여야 할 것으로 보입니다.

3. APT 공격 대응 전략

사실 방통위와 KISA도 APT 공격 대응 전략은 딱히 없습니다. APT 공격은 중요 국가 기반시설이나 기업 등 특정한 표적을 겨냥해 중요 정보 유출이나 시스템 마비와 같이 공격 목적을 달성하기 위해 은밀하게 오랜 기간 동안 공격을 수행합니다. 기존 공격 기법뿐 아니라 새로운 공격기법 등 여러 기법을 이용하고, 심지어 공격 대상이 가진 보안체계를 알아내 우회할 수 있는 수법을 이용해 공격을 성공시킵니다. 기업이 공격 사실을 인지하는 시점은 이미 피해가 발생한 때라고 보면 된다고 하지요.

하지만 KISA는 기업이 APT 공격을 예방할 수 있도록 가이드라인을 개발해 보급할 예정입니다. 5월 경으로 예상하고 있고요. APT 공격 대응을 위해서 어디서부터 손을 대야 할지, 무엇을 해야할지 잘 모르는 기업들은 참조가 될 수 있겠습니다.

만간 공포될 개정된 정보통신망법에 따라 기업의 정보보호관리체계(ISMS) 인증이 의무화되면 전반적인 보안체계가 기존보다 강화될 수 있다는 점에서 일정부분 효과가 있을 것으로도 판단하고 있습니다. (관련기사
방통위, 기업 정보보호 관리제도 전면 개편, 새해 강화된 개인정보보호 법 시행, 무엇이 달라지나)

이밖에도 지능화된 공격에 신속하게 대응할 수 있는 해킹 피해시스템 분석, 은닉회피·커널감염 등 악성코드 분석기법 연구 등도 진행해 신규 공격기법 대응방안을 마련하는데 주력할 계획이라고 합니다.

4
. 모바일(스마트폰) 이용자 보호 방안

모바일 악성코드 위협이 점점 현실화되고 있습니다. 올 1월 초에 ‘New Year 2012 Live Wallpaper’라는 이름의 악성 안드로이드 애플리케이션(앱)이 정상 앱으로 위장해 안드로이드 마켓과 국내 인터넷 자료실에서 유포되는 사례가 발생했었죠.

이 악성코드에 감염되면 이메일 주소 등 개인정보가 유출될 수 있었는데요. 다행히 일찍 발견, 조치해 KISA에 접수된 국내 피해 사례는 없다고 합니다.

스마트폰·태블릿 등 모바일 기기 사용자가 급증하고 있기 때문에 모바일 악성코드 위협으로 인한 피해 현실화는 시간 문제로 보입니다. 보안업체들이 집계하는 모바일 악성코드 수도 최근 크게 늘어나고 있는 것도 사실이고요.

일단 KISA는 안드로이드 마켓의 악성 앱을 팀지, 차단할 수 있도록 모바일 악성코드 수집분석 시스템을 구축하고 있습니다. 이 시스템을 바탕으로 안드로이드 마켓에서 유통되는 앱을 수집·분석해 현재 무료 배포 중인 스마트폰 자가점검앱(S.S Checker) 등을 통해 악성 앱 정보를 전파할 계획입니다.

또 방통위와 KISA, 3개 이동통신사, 단말기 제조사, 보안업체가 공동 참여하고 있는 스마트폰 정보보호 민관합동 대응반을 통해 모바일 악성코드가 출현하면 이용자 피해를 최소화할 수 있도록 체계를 마련해 놓고 있습니다.

5. 국산 SW 취약점 사전조치

작년에 한글과컴퓨터의 한글 프로그램에서 보안취약점이 여러 번 발견됐었습니다. 알툴즈 업데이트 프로그램이 SK커뮤니케이션즈 이용자 대량 개인정보 유출 공격에 악용되기도 했죠.

국내 이용자가 많은 소프트웨어의 보안취약점을 악용한 공격을 예방할 수 있도록 신규 취약점 탐지·분석 활동을 강화하고, 취약점정보공유시스템을 통해 취약점 정보를 공유하도록 시도하고 있습니다. 

일단은 KISA에서 취약점정보공유시스템을 구축해 소프트웨어 개발업체, 백신 및 보안 솔루션업체 등이 발견한 취약점 정보를 등록하고 확인해 전파하거나 대응할 수 있는 체계를 구축해 놨습니다.

민간업체들이 얼마나 자발적으로 취약점 정보를 제공하고 공유할 수 있을지는 두고 봐야 할 것 같은데요. 우선 시범 운용형태로 해보고 장기적으로 ‘취약점정보공유분석센터’ 구축도 검토한다고 합니다. 취약점정보공유분석센터 등과 같은 체계를 만든다는 계획은 서종렬 KISA 원장 등이 앞서 언급한 적이 있는데, 올해 예산 편성에서 누락됐다고 합니다.

6. 클라우드 서비스 보안대책

모바일과 함께 클라우드 컴퓨팅도 대세이지요. ‘보안’은 기업이 클라우드 도입에서 가장 우려되는 항목 1~2순위로 꼽힙니다. IT자원 가상화 및 공유, 정보 집중화와 같은 클라우드의 특징이 보안 문제를 걱정하게 만드는 요인입니다. 이에 대한 보안 방안이 제대로 갖춰져 있지 않는다면 정보 유출 우려가 있고 서비스 가용성과 비즈니스 연속성 문제로 크게 타격을 입을 수도 있기 때문입니다.

지난해 아마존 등 해외 클라우드 서비스에서 장애가 나 서비스 이용 기업들이 피해를 본 사례도 있었죠. 클라우드 서비스 신뢰성 확보는 필수사항입니다.

방통위는 클라우드 품질이나 보안에 대한 이용자 불안감을 해소하기 위해 클라우드 서비스 제공업체를 대상으로 클라우드서비스 인증제를 2월부터 실시할 계획입니다. (관련기사 ‘클라우드 서비스 인증제’ 시행, 실효성 있을까, 2월부터 클라우드서비스 인증제 본격 시행)

산하기관인 클라우드서비스협회를 주축으로 전문가들이 참여하는 인증위원회를 두고 품질, 정보보호, 기반 등 3대 분야의 ▲가용성 ▲확장성 ▲성능(속도) ▲데이터 관리 ▲보안 ▲서비스 지속성 ▲서비스 지원의 7개 항목을 심사해 인증서를 발급할 예정인데요. 민간 인증이니 사업자들이 자발적으로 참여해 받게 됩니다.

방통위는 클라우드 서비스 사업자의 정보보호 관리 등급제도 도입할 예정입니다.

2월 중 공포될 것으로 예상되는 개정 정보통신망법에 신설된 정보보호관리체계(ISMS) 의무화(안전진단 폐지) 관련 조항(제47조의5)을 적용해 클라우드서비스 사업자들이 ISMS를 받도록 함으로써 안전한 클라우드 서비스 활성화를 위한 기반 환경 조성에 기여한다는 방침입니다. 

이 점에서 클라우드 인증제의 운영주체는 클라우드서비스협회이고, ISMS는 KISA가 담당하고 있으니 이 부분에 정리가 필요할 것이란 생각이 드는군요. 

방통위는 “정보통신망법에 따라 ISMS를 통해 정보보호 등급제를 적용받은 클라우드 서비스 사업자는 클라우드 인증제 보안 심사 항목은 갈음할 수 있는 방식 등 중복으로 받지 않도록 제도를 연동 운영할 방침”이라고 말했습니다.

KISA도 “이와 관련해 추가 협의가 필요하다”는 입장입니다.

이같은 제도가 잘 운영되고 홍보효과까지 결합된다면, 이용자들이 서비스 사업자의 정보보호 수준을 고려해 인증받거나 정보보호 등급이 높은 클라우드 서비스를 선택할 수 있겠네요.

7. DNS 대상 DDoS 공격 대응 기반 마련

작년에 게임사들의 DNS 서버를 대상으로 DDoS 공격이 발생한 사고가 몇 차례 발생했다고 합니다.

그동안 DDoS 공격은 네트워크 대역폭 이상의 공격을 폭주시키거나 웹서버를 대상으로 사이트를 마비시키는 공격 형태가 많았는데요. KISA는 여러 서버 시스템을 한꺼번에 마비시키는 효과를 올릴 수 있다는 점에서 연동돼 있는 DNS 서버를 대상으로 한 DDoS 공격이 많아질 것으로 예상하고 있습니다. ‘이왕이면 한방에 큰 피해를 유발하자’는 생각이라면 웹 호스팅 업체나 IDC 내 DNS 서버, DNS 서비스 업체들의 시스템을 대상으로 공격을 벌일 수 있겠다 싶네요. 납득이 됩니다.

문제는 아직까지 DNS DDoS 방어체계가 제대로 구축돼 있지 않다는 점입니다. 

KISA에서 운영하는 사이버대피소도 웹서버 대상 DDoS 공격 대피소체계만 운영돼 있다고 하는데요. 원유재 KISA 인터넷침해대응센터 본부장은 “DNS DDoS 공격은 공격 패킷이 달라 사이버대피소도 새롭게 구축해야 하지만 예산 문제가 있다”고 설명했습니다. 그래서 유사시에 현재의 체계를 활용해 DNS DDoS 공격을 방어할 수 있는 방안을 찾고 있다고 합니다.

이를 운영해본 후 내년에 예산을 확보해 DNS DDoS 방어체계를 구축할 계획입니다.

방안이 마련되기 전에 큰 피해를 유발할 수 있는 심각한 DNS DDoS 공격이 발생하지 않았으면 하네요.

2012/01/31 08:05 2012/01/31 08:05

[기획/보안강국을 위한 쓴소리-보안관제 현황 진단④]

안관제 효과를 높이려면 각종 취약점, 보안위협 정보를 신속하게 습득하는 것이 아주 중요합니다.

민간 보안 솔루션, 서비스 제공업체들은 대부분 각자 해외와 국내 관련 정보공유 커뮤니티에 참여하거나 고객사에 설치된 시스템·서비스 인프라, 분석체계 등을 통해 자체적으로 보안위협 정보를 확보하고 분석하기 위해 노력하고 있습니다.

하지만 새로운 공격기술과 이를 통한 심각한 침해사고가 발생할 때에는 각자 정보를 습득하는 것보다는 민간기업과 정부기관, 사고대상 기업, 인터넷서비스제공업체(ISP) 등이 서로 공유하는 것이 더욱 효율적이고, 보다 신속하게 대응할 수 있습니다.

그 때문에 특히 국가 차원에서 심각한 사이버공격이나 위협 상황이 발생할 경우에 신속한 침해사고 대응을 위해서는 정보공유와 협력의 중요성이 강조됩니다.

지능화된 신종 공격기법이 점점 더 빠르게 개발되고 있기 때문에, 새로운 위협에 관한 분석정보를 신속하게 보안업체와 주요 관제업체를 포함한 사이버보안 관련 주체들이 공유, 전파될 수 있는 국가적 체계 마련이 필요하다는 지적이 나오고 있습니다.

물론 그동안에도 국가정보원 국가사이버안전센터(NCSC), 행정안전부, 방송통신위원회 한국인터넷진흥원(KISA) 등에서 민간업체들과의 정보공유체계를 운영해오긴 했는데요. 대체적으로 형식적이거나 정보의 범위가 제한적이라는 평가가 이뤄지고 있습니다.

그 이유 중 하나는 이해를 따질 수밖에 없기 때문인데요.

국가적인 사이버 위기상황 발생시에 사명감과 책임감을 갖고 일하긴 하지만 민간 보안업체들은 엄연히 보안을 사업으로 합니다. 따라서 보안 솔루션이나 서비스 업체들은 사이버위협 정보가 자사의 서비스 품질과 차별성을 좌우하는 중요한 요소가 됩니다. 서로 같은 수준으로 도움이 되는 정보를 공유한다는 것이 쉽지 않겠지요.

서로 각자 다른 쪽에서 나오는 정보를 받으려고만 하는 태도로는 정보공유와 협력은 요원할 것입니다.

정부기관과 민간업체들 간의 정보공유 환경도 비슷하다고 지적됩니다. 민간업체들 입장에서는 ‘정부기관이 일방적으로 받으려 한다’는 볼멘소리가 나옵니다. 아무 대가도 없이 말이지요.

상생할 수 있는 협력과 공조가 이뤄지지 않고 있습니다. 또 국가 안보 차원에서 접근하는 정부기관 입장과 민간업체의 입장이 다르다는 점을 감안하면 모든 정보를 서로 오픈하는 것이 쉽지는 않아 보입니다.

그 때문에 최근 정보공유분석체계 강화 필요성이 제기되는 한편으로, 이는 현실적으로 불가능 하다는 회의적인 시각도 존재합니다.

하긴, 민·관의 협력을 이야기하기에 앞서 정부기관 간 체계적인 협력체계도 미흡했군요. 지난 2009년 7.7 DDoS(분산서비스거부) 공격 당시 문제점이 여실이 드러났었죠. 이 사고 이후 사이버보안 ‘컨트롤타워의 부재’로 인한 문제가 수없이 지적됐습니다.

아직도 사이버위기대응 주체라 할 수 있는 민·관·군(NCSC, 사이버사령부, 보안업체), 더 나아가 수사기관인 검찰과 경찰 간의 정보공유와 협력의 중요성이 크게 강조됨에도 불구하고 원활하고 일사분란한 체계가 운영되지 못했습니다.

민간업체들 입장에서 관과의 협력에 힘들어 하는 이유가 여기에도 있습니다. 한 업체가 여러기관에 불려가다보니(?) 창구를 통일했으면 한다는 바람을 한목소리로 이야기하고 있습니다.

사용자 삽입 이미지

여하튼 현재 국가 사이버 위기관리 차원에서 정보공유와 협력을 강화하기 위한 많은 시도가 현재 이뤄지고 있습니다.

국가정보원은 최근 ‘국가 사이버안보 마스터플랜’을 NCSC를 중심으로 국가 안보차원에서 각 정부부처와 기관이 사이버공격에 공동으로 대응할 수 있는 체계를 강화하고, 이를 위한 실행계획을 구체화하고 있습니다.

그 중 핵심이 바로 각 민·관·군 합동 대응체계, 통합정보공유체계 강화입니다. (관련기사 국정원 “민간전문가 참여, 사이버보안 사고 조사·검증체계 운영”, 국가 사이버안보 마스터플랜 수립…“사이버공간도 국가수호 영역”)

민간 부문의 사이버 침해사고 대응 역할을 담당하고 있는 KISA 인터넷침해대응센터 역시 민간 주요 인터넷서비스사업자(ISP), 백신업체를 비롯한 보안업체, 정부기관과의 정보공유와 협력을 강화하기 위한 활동을 벌이고 있습니다.

국가기관과 민간 주요 보안업체들과의 정보공유가 체계적으로 이뤄지지 못하고 있다는 점에서 내년 초 오픈을 목표로 ‘정보공유체계(가칭)’를 개선하기 위한 시스템을 개발 중에 있습니다.

이 시스템은 보안권고문과 유포 중인 악성코드 등 보안위협, 유포사이트 차단 등 대응조치 사항을 포괄해 양방향 정보공유 체계와 프로세스 자동화를 목표로 하고 있다고 합니다. 

행정안전부 정부통합전산센터 역시 올해 초에 사이버위협 정보 공유시스템을 개통했습니다. 이 시스템은 중앙행정기관, 지방자치단체의 시스템 관제기관이 제공하는 통합 모니터링 자료와 침해 시도 분석결과를 정보보호 전문업체 20곳과 공유해, 사이버위협에 즉각 대응할 수 있도록 지원하기 위해 구축한 것입니다.

이 역시 크게 활성화돼 있지는 못하다는 평가가 나오긴 합니다만, 사이버 공격유형이나 공격 IP, 대응방법을 공유하기 위해 센터는 민간업체들과 MOU를 체결해 체계적인 정보공유 체계를 마련했습니다. 자체적으로 악성코드분석센터도 운영하고 있지요.

*** 참고 : 그림은 지난 7월 국가정보화전략위원회 주최로 열린 ‘제2회 국가정보화전략포럼’ 에서 서종렬 KISA 원장 발표자료임.


2011/10/12 11:24 2011/10/12 11:24

[기획/보안강국을 위한 쓴소리-보안관제 현황 진단②]

지금까지 보안관제시스템 등을 토대로 구축해 놓은 침해사고대응체계를 발전시켜, 각종 공격과 침해사고를 미연에 막을 수 있고 신속하게 조치해 피해를 최소화할 수 있는 방안은 찾기 위해, 현재 부족한 것이 무엇인지 진단해보고자 합니다.

전문가 분들에게 서면을 통해서나 직접 만나 의견을 구해봤습니다. 한국인터넷진흥원 인터넷침해대응센터, 삼성SDS, LG CNS, 싸이버원, 안철수연구소, 윈스테크넷, 이글루시큐리티, 인포섹의 전문가분들과 공공·기업의 보안관제센터 등에서 관제업무를 담당하시는 여러분들이 도움을 주셨습니다.

사용자 삽입 이미지

일단 보안관제의 목표는 중요자산을 보호하는 것입니다. 쉽게 말해 궁극적인 보안관제는 각종 침해사고를 막는데 목적이 있습니다. 그런데 지금의 보안관제체계에서 침해사고를 막을 수 있을까요? 

보안관제가 침해사고를 탐지하고 대응하는데 상당한 효과가 있다는 점은 인정되고 있지만, 공격 예방과 실시간 탐지 측면에서는 아직도 부족하다는 진단이 내려지고 있습니다.

더욱 큰 문제는 알려지지 않은 취약점을 이용한 공격, APT(Advanced Persistent Threat) 공격, 사회공학적 공격 등 지능화된 최신 공격에 한계를 노출하고 있다는 점입니다.

우리가 기억하는 최대규모 고객정보를 유출한 옥션이나 SK커뮤니케이션즈의 사고가 보안관제체계가 부재했기 때문은 아닙니다.

그래서 사고 이후 “보안관제서비스를 받고 있는데 왜 못 막았냐?”, “보안관제 업체의 책임 아니냐”며, 이를 둘러싼 많은 논란이 대두되기도 했습니다. 

전체적으로 보면 보안관제시스템을 제대로 운영해온 기간이 짧기도 하지만, 그동안에는 대형사고 경험 역시 부족한 탓이 있습니다.

또 보안관제를 제대로 하려면 기본적인 보안 투자가 기반이 돼야 하는데, 아직도 정부와 금융기관, 기업의 보안 투자는 부족합니다. 더욱이 지속적으로 새로운 공격수법이 빠르게 개발되고 있는데, 보안시스템을 보강하는 계획을 수립하고 투자를 벌이기 위한 의사결정은 느립니다.

보안관제는 방화벽, 침입탐지시스템(IDS), 침입방지시스템(IPS), 분산서비스거부(DDoS) 공격 대응시스템 등 보안 장비를 기반으로 합니다.

그동안 보안투자는 주로 외부에서 내부로의 차단에 집중한 보안시스템을 구성해 보안정책을 설정하는 분야에서 이뤄져 왔지만, 이 또한 일부일 뿐입니다.

이들 장비에서 나오는 이벤트와 로그를 취합하거나 이상징후를 파악한 뒤 침해 여부를 분석해야 하기 때문에 대부분 보안사고가 발생한 뒤의 시점이 됩니다. 때문에 사전탐지 보다는 보안사고를 확인하고 사후대응하는 것, 같은 유형의 2~3차 피해를 예방하는데 더 기능적이라고 할까요. 

더욱이 관제 대상과 범위는 주로 네트워크 분야로 한정돼 있고 외부로부터 들어오는 공격과 침입에 집중돼 있는 체계여서 내부PC단을 대상으로 하는 최신 공격기법이나 지능형지속위협(APT)과 같은 정교하고 지능적인 위협을 대응하는데 역부족이라고 평가됩니다.

최근의 해킹은 주로 상대적으로 취약한 내부 사용자의 PC를 악성코드 등을 통해 감염시켜 내부 시스템 접근한 후 중요정보를 탈취하는 식으로 이뤄집니다. 이로 인해 보안관제의 내·외부의 균형적인 운영에 대한 필요성과 특정한 부문이 아니라 전체 시스템을 유기적으로 연동하는 노력이 요구되고 있습니다.

즉, 인바운드 트래픽뿐만 아니라 내부에서의 정보 흐름, 아웃바운드 트래픽에 대한 통합된 보안관제의 필요성과 함께 관제의 대상도 단순 네트워크 장비, 서버에서 나아가 PC, 저장매체 활용 등 사용자단까지 확대돼야 한다는 것입니다.

일부 기관 등에서는 이미 PC 보안관제도 함께 수행하고 있다고 하는데요. 백신·PC보안 중앙관리시스템 등을 기반으로 한 PC단과 네트워크단의 포괄적인 탐지·분석이 이뤄져야 합니다.

개인정보유출 문제가 확산되면서 최근 잇달아 출시된 정보유출 방지시스템처럼 사용자들의 행위를 통합적으로 추적·감사하고 외부로의 불법적인 정보유출이나 이상행위를 통제·차단하는 시스템을 도입해 보안관제시스템과 연동하는 작업도 필요할 것입니다.

내부망에서 외부로 나가는 것을 차단할 수 있는 정책 수립도 검토해봐야 합니다.

이를 위해서는 먼저 내부에서 외부로 이루어지는 서비스 정의를 수행한 뒤 외부로 나가는 것에 대한 정책을 수립해야 합니다. 다만 추가적인 보안투자와 함께 사용자의 불편함이 대두될 수 있어 보안 수준 사이에서 정책을 어느 정도로 수립할 것인지 결단이 필요할 듯합니다.

보안관제시스템 자체의 기술적인 한계도 지적됩니다.

먼저 보안관제시스템이 다양한 이기종 보안장비 지원에 한계가 있을 경우의 문제입니다. 또 여러 장비에서 나온 이벤트를 동일한 기준으로 탐지·분석·대응할 수 있는 관리체계를 반영하지 못한다면 전적으로 보안관제서비스 수준 자체에 문제가 됩니다. 

공격 여부 등을 판단하는 기본 정보가 되는 탐지 이벤트에 대한 신뢰성 문제도 크게 지적됩니다. 

공격 탐지센서로 활용되는 각각의 보안 제품의 수준이 떨어지는 것과도 연관돼 있습니다. 오탐지(False Positive)된 이벤트가 많을 경우 실제 위협을 판별해내기는 당연히 어렵습니다.

때문에 최적화 작업이 아주 중요한 것으로 인식됩니다.

보안장비에서 발생하는 엄청난 이벤트를 바탕으로 위협에 대응하기가 매우 어렵기 때문에 현실적으로 커스터마이징 처리된 이벤트를 중심으로 분석이 이뤄지게 되기 때문입니다.

보안장비에서 발생하는 수많은 오탐 이벤트를 커스터마이징 작업을 통해 최적화된 탐지·분석·대응체계를 갖출 수 있다는 얘기입니다.

제로데이 공격에 대한 탐지가 어렵다는 점도 한계로 지적됩니다. 만일 솔루션마다 신규 공격에 대한 패턴 업데이트 주기가 길어지면 최신공격 대응이 어려울 수밖에 없습니다. 

솔루션 업체들의 업데이트, 능력에 대한 의존도가 높기 때문에 만일 솔루션 개발업체에서 신규 공격 패턴을 곧바로 제공하지 못할 경우 보안관제시스템에서도 탐지하는데 한계가 있을 수 있습니다.

따라서 기반이 되는 보안 솔루션의 수준이 아주 중요합니다.

패턴이 제대로 제공된다 하더라도 보안관제시스템의 최적화 작업을 계속해서 벌이지 않을 경우에도 문제는 발생합니다.

백신의 경우 설치만 하고 업데이트를 하지 않게 되면 새로운 바이러스를 막지 못하는 것처럼 보안관제시스템도 지속적인 커스터마이징이 필요하다는 게 전문가들의 지적입니다. 각사마다 IT환경과 사업환경 차이로 인해 같은 패턴을 적용하더라도 시스템상에서 충돌이나 오류가 발생해 오탐지로 이어지는 경우도 있기 때문입니다.

전문 보안관제서비스 업체 역시 침입탐지에 전문성을 갖고 지속적으로 신규 공격 탐지 패턴에 관해 연구하며 이같은 능력을 갖춰야 하는 노력도 요구됩니다.

그래야 예방과 실시간 탐지를 수행할 수 있는 신규 공격을 시스템에 반영할 수 있기 때문입니다.

사전예방 기능을 강화하기 위해 최근에는 보안관제의 범위에 취약점 진단과 모의해킹 업무도 포함되고 있는 추세입니다.

지속적인 신규 패턴 업데이트, 커스터마이징 및 최적화 작업, 사전진단 등을 강화하려면 보안관제서비스 업체나 관제업무 담당자를 대상으로 적절한 보안관제서비스 비용을 지불하고 그 업무의 중요성을 인정하는 것도 반드시 병행돼야 할 것입니다.

2011/10/12 11:23 2011/10/12 11:23

[기획/보안강국을 위한 쓴소리-보안관제 현황 진단①]

사용자 삽입 이미지

사이버위협이 날이 갈수록 심각해지면서 보다 보안관제에 대한 중요성이 어느 때보다 높아지고 있습니다.

기업이나 기관 중요 정보자산을 악성코드, 해킹, 분산서비스거부(DDoS), 정보유출과 같은 악의적인 행위와 위협으로부터 보호하기 위해선 실시간 모니터링을 실시해 공격을 탐지, 분석하고 대응하는 체계를 갖추는 보안관제가 필수적으로 요구됩니다.

그 이유로 정부는 사이버공격이 발생하면 신속하게 탐지·대응하기 위한 각 부처와 시·도 등 각 영역별로 보안관제센터를 구축해 침해사고대응체계를 선도적으로 구축·운영해왔습니다.

보안관제는 방화벽, 침입탐지/방지시스템(IDS/IPS), 그리고 통합보안관리시스템(ESM), 위협관리시스템(TMS) 등 단위 보안시스템과 보안관리시스템에서 발생하는 이벤트, 네트워크 트래픽 정보를 통합 모니터링하고, 상관관계를 분석해 사고를 처리 대응하며, 정보를 공유하는 기능을 포괄적으로 수행합니다. 

2000년대 초반부터 일원화된 보안관리체계 운영과 침해사고 대응협력의 필요성이 대두되면서 금융, 통신 등 각 영역별로 정보공유·분석센터(ISAC)를 만들기 시작했었죠. 벌써 까마득한 이야기입니다. 하지만 원래 목적대로 운영되지 못하면서 크게 활성화되지 못했습니다. 그나마 금융ISAC 정도만 운영이 되고 있다고 할까요.

본격적인 보안관제체계가 마련된 것은 현재 한국인터넷진흥원에서 운영하고 있는 인터넷침해대응센터가 만들어지면서부터가 아닐까 싶습니다. 2003년 12월에 신설됐죠.

이후 2003년 1월 25일, 우리나라 인터넷이 몇 시간 동안 마비되는 사상초유의 사태가 발생합니다. ‘인터넷대란’이라고 불리고 있죠. 이때부터 본격적으로 사이버보안에 대한 국가차원의 종합적이고 체계적인 대응 필요성이 제기됐습니다. 그 이듬해 정부는 국가정보원에 국가사이버안전센터를 설립합니다.  

국가사이버안전센터 운영이 본격화되고, 행정안전부 정부통합전산센터가 출범하죠. 이 때부터 본격적으로 보안관제센터가 정부·공공 분야에서 확산됩니다.

전자정부 보안관제센터가 구축된 2005년부터 지난해까지 정부부처 등 20여개 영역, 16개 시·도 광역자치단체까지 보안관제센터와 사이버안전센터가 마련되면서 실시간 발생하는 사이버위협을 탐지·대응할 체계를 구축했습니다. 

이제는 국가사이버안전관리규정이 개정돼 정부·공공기관은 보안관제센터 구축과 운영이 의무화돼 있습니다.

정부가 이달 중 보안관제 전문업체를 지정하게 되면, 예산과 전문인력 부족 등의 이유로 구축해 놓은 정부·공공기관의 보안관제센터 운영업무를 자체적으로 담당하기 힘들 경우 민간 전문업체에게 위탁하게 됩니다.

그 사이에 은행 등 금융기관, 대기업들도 자회사를 통해 보안관제를 운영할 센터를 구축하면서, 민간분야에서도 보안관제체계 도입이 확대되고 있습니다.

이제는 보안관제 인프라를 제대로 구축해 놓는 것뿐만 아니라 어떻게 하면 제대로 운영해 효과를 볼 수 있을지 총체적인 고민이 시작된 것 같습니다. 과연 보안관제체계를 본래의 목적에 맞게 구축해 운영하고 있는가 하는 점입니다. 

그러면서 짧은 시간 동안 보안관제의 중요성이 강조되는 동시에 한계성 또한 부각되기 시작했습니다. 최근 2~3년 간 발생한 사이버침해사고로 인한 결과는 치명적으로 다가왔기 때문입니다.

분산서비스거부(DDoS) 공격으로 정부기관·은행 등 주요사이트가 다운되고 금융전산망이 마비됐으며, 인터넷사용 인구 대부분이라 할 수 있는 정도의 개인정보가 유출됐습니다.

지난 2009년 발생한 7.7 DDoS 공격, 올해 발생한 농협 전산망 장애, 네이트·싸이월드 해킹사고 이야기입니다.

앞으로 어떤 강력한 공격이 우리나라의 정보통신망이나 시스템을 대상으로 발생할지, 그 피해는 대체 어느 규모가 될지 예측하기 어려운 상황에서 불안감만 커지고 있습니다. 

앞으로 해결해야 할 도전과제는 무엇일까요. 보안관제센터를 중심으로 사이버침해사고 예방과 탐지, 대응조치를 포함해 사이버보안에 대한 전방위적이고 종합적인 역할을 수행할 수 있도록 지속적으로 발전시켜야 할 것입니다. 

사이버위협은 계속 지능화되고 강력해지고 있기 때문에 보안관제체계를 구축했다고 안심할 게 아니라 계속해서 업그레이드, 보강해야 하는 것이 우리가 처한 현실입니다.


2011/10/12 11:23 2011/10/12 11:23

2011년, 정보보호 분야에서 달라지는 제도는 무엇일까요?

개인정보보호법이 작년에 국회를 통과했다면 많은 변화가 있었겠지만 올해에는 그간 시행돼 왔던 정보통신망법 등 정보보호 법제도와 정책을 강화하는 차원입니다.

한국인터넷진흥원 e콜센터 118에서 공인인증서 분실신고를 할 수 있도록 제공하는 것 외에는 이미 알려진 내용들이지만, 한눈에 살펴볼 수 있도로 정리해보겠습니다.

개인정보의 기술적 관리적 보호조치 기준 고시 개정

개인정보 출력·복사물 보호 조치와 관련해 방송통신위원회가 2010년 12월 28일 의결한 사항입니다.

개인정보 출력·복사물 보호 조치 의무사항과 관련해 사업자들이 구체적인 보호조치 방식을 자율적으로 적용할 수 있도록 변경됩니다. 

현 규정은 개인정보 출력 복사물에 대해 개인정보관리책임자의 사전승인을 받고 일련번호, 목적, 담당자, 파기일, 파기 책임자 등 8가지 항목을 의무적으로 준수하도록 규정돼 있습니다.

이같은 규정은 사업자들이 현실적으로 준수하기 어려운 부분이 있다는 점을 감안해, 개인정보의 출력 복사물 보호조치 의무는 유지하되 구체적인 보호조치 방식에 대해서는 해당 사업자에게 자율성을 부여하도록 변경키로 했습니다. 이에 따라 사업자는 자사 환경에 적합한 보호조치를 적용할 수 있도록 개정해 부담을 덜 수 있을 것으로 보입니다.

정보통신망법상 준용사업자 개인정보보호조치 세부기준 고시

행정안전부는 2010년 12월 30일 '사업자의 개인정보보호조치 세부기준'을 제정 고시했습니다.

이는 백화점·학원·병원·부동산중개업 등 준용사업자가 개인정보 취급 시 반드시 준수해야 할 세부 보호조치 기준을 별도로 마련한 것으로, 개인정보 암호화, 보안프로그램 설치 등 기술적 분야와 내부관리계획 수립, 책임자 지정 등 관리적 분야를 포함해 총 10개 항목으로 구성돼 있습니다.

특히, 부동산중개업과 같은 소상공인과 대기업이 처한 상황을 고려했고, 실태점검을 통해 확인된 업종별 특성을 반영해 보다 쉽게 사업자들이 개인정보보호조치 기준을 이행할 수 있다고 행정안전부와 한국인터넷진흥원(KISA)는 설명했습니다.

이번 기준 고시로 기존의 '개인정보의 기술적·관리적 보호조치 기준(방통위 고시)'는 앞으로 정보통신서비스 제공자만을 대상을 하게 됩니다.
 
e
콜센터 118, 공인인증서 분실신고 가능

1월 31일부터 공인인증서를 분실할 경우 한국인터넷진흥원(KISA)이 운영하는 e콜센터 118 전화로 신고할 수 있습니다.

KISA는 5개 공인인증기관과 공인인증서 분실신고를 연동해 가입자들이 지역번호 없이 전국 어디서나 118로 전화하면 심야 시간대 등 업무시간 이후에도 공인인증서 분실신고를 접수해 공인인증서 효력정지나 폐지 처리할 예정입니다.

이에 따라 가입자 본인이 공인인증서 분실 시, 발급받은 공인인증기관을 알지 못하거나 공인인증기관 업무시간 이외에도 신속하게 신고 처리할 수 있어, 공인인증서 도용과 같은 사고 예방에 도움이 될 것으로 전망됩니다.

4월부터 안전성 강화된 신규 공인인증서 발급

공인인증서 안전성을 강화하기 위해 전자서명키를 1024비트에서 2048비트로 상향하고 해쉬 알고리즘도 SHA-1에서 SHA-256으로 교체한 신규 인증서가 4월 1일부터 발급됩니다.

이같은 암호체계 고도화로 2030년까지 공인인증서를 안전하게 이용할 수 있는 기술적 기반이 마련됩니다.

기존에 발급받은 공인인증서는 교체없이 유효기간 만료일까지 사용할 수 있으며, 신규 공인인증서를 보안토큰 등 보안 매체와 함께 사용하면 인증서 유효기간이 1년에서 2년으로 확대할 수 있습니다.

이밖에도 개인정보보호관리체계(PIMS) 인증이 올해부터 본격 시행됩니다.

PIMS는 기업이 고객 개인정보를 안전하게 수집 이용하기 위해 구축 운영하는 관리체계의 적합성을 검증해 일정 수준 이상의 기업에 인증을 부여하는 것으로, 인증 기업은 고객정보를 안전하게 관리하는 기업이라는 이미지를 제고할 수 있습니다.


2011/01/03 16:39 2011/01/03 16:39
사용자 삽입 이미지사용자 삽입 이미지
보안업체인 잉카인터넷의 신뢰성과 이미지가 크게 훼손되게 됐습니다.


잉카인터넷이 20일 방송통신위원회로부터 정보통신망법의 개인정보보호 법규를 위반해 500만원의 과태료와 개인정보 기술적·관리적 조치 수립·시행 등 재발방지 대책 시행에 대한 시정명령 처분을 받았습니다. (이날 KT는 가입자 동의 없이 전국동시지방선거 때 선거홍보용
문자메시지를 발송 상품에 이용돼 10억원의 과징금을 함께 받았죠.)


작년 말 루마니아 해커로 알려진 ‘우누(Unu)’에 자사 제품인 ‘엔프로텍트’ 웹사이트가 해킹된 것이 알려진 적이 있는데요. 당시 22명의 고객 개인정보 일부가 이 해커에 노출돼, 대표이사가 직접 사과와 함께 “웹사이트 개편 중 예전 사이트가 일시적으로 노출했던 것이 원인이고, 고객이 주로 사용하는 금융, 공공기관의 보안 제품에서는 개인정보를 전혀 수집하고 있지 않다”고 해명과 자칫 발생할 수 있는 오해의 소지 차단에 힘을 쏟았습니다.

그런데 이번에 방통위의 행정처분으로 잉카인터넷은 또다시 타격을 입게 됐습니다.

잉카인터넷에 대한 행정처분 이유가 적절한 개인정보 관리 계획과 조치가 없었다는 건데요.

방통위는 지난해 12월 현재 108만 명의 개인정보를 수집, 이용하면서 개인정보관리책임자 지정, 개인정보 기술적·관리적 보호조치 이행 등 개인정보를 안전하게 취급하기 위한 내부관리계획을 수립, 시행하지 않았다고 밝혔습니다.

또 잉카인터넷 개인정보처리시스템에 접근권한이 없는 내부직원 9명이 접속했고, 지난 2005년 9월부터 2009년 11월까지 개인정보를 수집, 이용하면서 회원의 비밀번호를 일방향 암호화 저장하지 않은 사실을 확인했다. 또한 3명의 만14세 미만 아동의 개인정보를 수집하면서 법정대리인의 동의도 받지 않았다고 설명했습니다.  

잉카인터넷은 이번 행정처분이 지난해 11월 27일 우누의 웹사이트 해킹 사고 때문에 방통위가 조사한 결과 내려진 것이라고 해명했는데요.  

당시 방통위가 홈페이지를 조사했고, 이메일과 비밀번호로 회원가입을 받고 있어 개인정보를 다루는 온라인 사업자의 법적 의무에 맞는 개인정보관리체계가 부족했다고 판단했습니다.

잉카인터넷은 “당시 웹사이트 취약점이 발견됐을 때 즉각 수정, 보호조치를 적용한 것이 방통위로부터 확인됐었고, 개인정보관리책임자와 전담팀을 신설해 매월 1회 정기적으로 내부감사도 시행하고 있어 모든 조치를 이행하고 있다”며, “올해 말에는 정보보호관리체계(ISMS) 인증도 획득한다”고 설명했습니다.

권한이 없는 내부직원의 개인정보처리시스템에 접근한 것은 “당시 웹사이트 문제점을 파악하는 과정에서 접속한 것”이라고 말했습니다.

결국 1년 전에 있었던 웹사이트 해킹 사건(?)이 발단이 돼, 지금까지 영향을 미치고 있는 것이네요. 잉카인터넷 입장에서는 기억에서 지우고 싶은 사건이겠지만 한번 엎질러진 물은 다시 담을 수가 없습니다.

방송통신위원회 김광수 개인정보보호윤리과장은 “잉카인터넷도 온라인으로 개인정보를 수집하기 때문에 법 적용 대상 사업자”라며, “이같은 모든 기업은 적절한 개인정보의 내부관리 계획과 보호 조치를 이행해야 한다”고 강조했습니다.

다른 보안업체들도 명심해야겠습니다. 특히 홈페이지에 회원가입을 받고 있다면 법규준수와 이행에 더욱 엄격하게 신경을 써야합니다.

일반 기업보다도 자사 제품에 취약점을 노출시키거나 웹사이트가 해킹을 당할 경우, 사업 자체에 큰 타격을 입을 수 있기 때문입니다.

잉카인터넷은 온라인게임과 인터넷뱅킹 등 금융권 사이트에서 높은 점유율을 가진 인터넷보안 제품인 ‘엔프로텍트’ 때문에 가뜩이나 극심한 ‘안티’에 시달리고 있는데요. 이래저래 수난시대를 겪고 있는 잉카인터넷이 고객 신뢰 회복을 어떻게 벌여나갈 지 주목됩니다.

위기의식을 갖고 뼈아픈 자기반성과 함께 지속적이고도 많은 노력이 필요할 것 같군요.

2010/10/20 16:40 2010/10/20 16:40

방송통신위원회가 국민의 정보보호 인식제고를 위해 정보보호 홍보 TV방송을 시작합니다.

작년 7.7 분산서비스거부(DDoS) 공격 사태를 거치면서 이용자들의 PC보안 인식과 보안생활화가 아주 중요하게 부각된 것이 계기가 됐습니다.

이번 7월에도 작년에 치료되지 않은 좀비PC가 주요 국가기관, 은행, 포털 등의 웹사이트에 DDoS 공격을 가했었죠. 

방송통신위원회는 지상파 TV(KBS, MBC, SBS)와 보도전문채널(YTN, MBN)을 통해 평시엔 사이버침해 유형, 안전한 PC 이용방법, 악성코드 감염 방지 요령 등 정보보호 실천수칙을, 비상시에는 사이버침해 관련 상황과 대국민 행동요령을 신속히 전파한다는 계획입니다.

우선은 정보보호의 중요성을 알리기 위한 캠페인방송, 시사/교양정보 프로그램, 다큐멘터리 등의 형태로 시작될 예정입니다. 

원래는 TV 뉴스에서 제공하는 일기예보처럼 매일 국민들이 알아야 하는 정보보호 동향이나 사이버위협, 조치방안 등을 알려주는 형태로 기획이 됐었던 것으로 알고 있었습니다만, 아무래도 사회적으로 심각한 파급력을 주는 사이버공격은 예기치 않게 생겨 그런지 예보 보다는 홍보방송 형태가 되는 것 같습니다.

래도 1.25 인터넷대란이나 전자금융거래 관련 보안사고, 7.7 DDoS 공격, 대규모 개인정보유출 사고처럼 큰 사건이 나지 않는 이상, 평소에 TV방송에서 정보보호를 이슈로 집중적으로 다뤄지진 않았던 점을 생각하면 고무적입니다.

일단 시작할 방송사별 프로그램입니다.

사용자 삽입 이미지

앞으로 시청자들뿐 아니라 특히, 정보보호 전문가 등 관계자분들이 관심있게 살펴보고 방송사와 방송통신위원회, 한국인터넷진흥원에 의견을 적극적으로 개진하는 것이 중요할 것 같습니다.


 

2010/07/14 13:35 2010/07/14 13:35

해킹 등으로 유출된 주민번호를 이용해 타인의 명의로 ‘아이핀(I-PIN)’을 대량 부정 발급한 사건이 발생했습니다.  

이 사건으로 방송통신위원회가 개인정보보호 대책으로 적극 추진해온 ‘아이핀(i-PIN)’의 발급체계상의 허점이 처음 드러나게 됐습니다.

‘아이핀’은 인터넷상에서 과도한 주민등록번호 수집으로 인해 커지는 개인정보 유출 피해를 근절하기 위해 주민번호를 사용하지 않고도 인터넷사이트 회원으로 가입하고 이용할 수 있는 본인확인수단입니다.

인터넷상에서 주민등록번호 수집·이용이 과도하게 이뤄지는 상황에서 주민번호 대신에 ‘아이핀’을 사용해 심각한 개인정보침해사고의 근원인 인터넷상에서 주민번호 사용을 줄여나가고, 해킹 등으로 유출된 주민번호 도용 피해도 막자는 취지에서 지난 2005년 정보통신부가 만든 것입니다.

그런데 ‘아이핀’이 명의도용, 개인정보침해에 악용됐습니다.

‘아이핀’을 발급하려면 서울신용평가정보, 한국신용정보, 한국신용평가정보, 한국정보인증, 코리아크레딧뷰로 등의 본인확인(인증)기관 사이트에서 주민번호와 성명, 비밀번호 등을 입력한 후, 공인증서나 신용카드, 휴대전화 번호, 대면확인 방식을 골라 신원확인 절차를 거치면 됩니다. 

이번에 경찰에 검거된 일당은 유출된 주민번호와 휴대폰 대리인증, 대포폰과 무기명선불카드(기프트카드)로 아이폰 발급에서의 신원확인 절차를 모두 통과해 총 1만3000여 개의 ‘아이핀’을 발급했다고 합니다.

또 부정발급한 아이핀을 이용해 게임사이트나 포털사이트 계정을 만들고 광고메일을 보내는데 이용됐습니다.

대리인증은 명의도용 우려가 제기돼 지난해 방통위는 청소년과 외국인의 경우에만 허용하는 방식으로 제한했습니다.

문제는 기프트카드와 대포폰인데요. 기프트카드는 한 카드사가 발급하는 기프트카드가 횟수의 제한 없이 사용자의 등록·변경이 가능하다는 허점을 노려 신원확인 방식에 사용했기 때문입니다.

이 카드사는 신용카드번호가 아닌 기프트카드를 ‘아이핀’ 발급을 위한 본인확인 수단으로 사용한 것을 허용했습니다. 신용카드를 이용한 ‘카드인증’ 방식에 기프트카드를 써도 되는 것이 참 의아합니다.  

방통위는 이에 대해 “금융위원회의 판단을 기대하겠다”는 입장입니다. 또 “원래는 기프트카드를 신원확인에 이용하려면 공인인증서를 통한 인증 절차를 거쳐야 하는데, 본인확인 절차를 제대로 거치지 않고도 수수료를 받고 이를 아이핀 발급 수단으로 이용하도록 했기 때문에 해당 카드사에 강력한 제재를 요청할 것”이라고도 방통위 담당과장은 말했습니다.

아이핀 정책을 제대로 펼치기 위해선 주무부처인 방통위와 금융위원회 등 금융감독당국과 세부적인 협조와 그에 맞는 관리감독이 선행됐어야 했는데, 미비했던 것입니다.

대포폰을 이용할 경우에는 완전히 사전에 막기는 어렵고, 다만 스팸 대책과 연관해 대포폰 전화번호로 발급된 아이핀을 추적·검증해 사후에 사용중지 조치를 수행한다는 방침입니다.

결국 이번 사건은 인터넷상에서 주민등록번호를 대체하는 본인확인 수단으로 전국민이 사용할 수 있도록 하려면 총체적인 관리체계를 더욱 개선해야 할 필요가 있다는 점을 보여줬습니다. 

방통위는 그간 ‘아이핀’ 이용을 활성화하기 위해 편의성을 개선하는데 중점을 둬 왔는데요, 총체적인 보안관리체계 수립에도 더 박차를 가해야 할 것입니다.  이번에 발견되지 않은 허점이 있을지도 모릅니다.

또 이미 그간에도 본인확인기관의 보안성, 이들의 법적근거 미비 등 신뢰성 우려가 제기되지 않은 것도 아니기 때문입니다. 

개인정보보호를 위한 ‘아이핀’ 활성화의 선결조건은 다름 아니라 ‘아이핀’ 발급·운영·관리·사용체계 전체의 신뢰성이 담보돼 있어야 합니다. 

더욱이 2015년까지 인터넷상에서 ‘아이핀’을 의무사용토록 하려면, 전국민이 인터넷상의 ‘주민번호’로 대신 사용토록 하기 위해선 안전성이 보장돼야 할 것입니다.

그래도 부정발급으로 확인된 ‘아이핀’을 즉각적으로 사용중지 조치할 수 있다는 게 다행스러운 감은 있습니다. 가능하다면 경찰 수사나 이용자들의 ‘우연한 발견’에 의해서가 아니라도 부정 발급·사용된 ‘아이핀’을 즉각 확인해 걸러낼 수 있다면 좋겠습니다.  

2010/06/07 18:40 2010/06/07 18:40