13일 청와대가 발표한 수석급 인사 명단에 김희정 한국인터넷진흥원(KISA) 원장이 올랐습니다. <관련기사 김희정 KISA 원장, 청와대 대변인 내정, KISA, 당분간 원장 직무대행체제…신임원장 공모 진행 예정>

김 원장은 작년 7월 23일 출범한 통합 한국인터넷진흥원 초대원장 자리를 물러나 청와대 대변인으로 옮기게 됩니다.

원장 임기 3년 중 1년도 다 채우지 못하고 가게 됐습니다. 이제는 인터넷진흥원 ‘원장’이 아니라 청와대 ‘대변인 내정자’로 불러야겠습니다.

이번 인사까지 포함해 김 대변인 내정자는 이제 항상 화제를 몰고 다니는 인물이 되고 있군요.

서른세살의 나이로 17대 한나라당 국회의원이 됐을 때에는 최연소 당선자였던 것을 비롯해 작년에 한국정보보호진흥원, 한국인터넷진흥원, 정보통신국제협력진흥원이 통합해 출범하는 거대 정부의 IT산하기관 초대원장으로 최초의 여성원장, 가장 젊은원장이 됐습니다.

젊은 나이와 경험, ‘한나라당’ 국회의원 출신이란 점이 더해져 원장 선임과 취임까지 많은 우려와 함께 뒷말도 많았었습니다. 이번에도 김 원장의 청와대 인선을 두고 결국은 한국인터넷진흥원장직이 경력을 잠깐 만들어 주기 위해 활용됐다는 식의 이야기도 물론 나오고 있습니다.

그러나 김 원장의 지난 1년간의 평가는 대체로 좋습니다. 기관 통합작업을 성공적으로 수행했고, 국회의원 출신으로 인터넷진흥원 위상을 높이는데도 상당히 기여했다고 평가됩니다. 대국민 정보보호 인식제고 등에서도 아주 열정적이고도 두드러진 활동을 보였습니다.

특히, 그가 가진 뛰어난 언변을 보면 앞으로 청와대에서 맡을 ‘대변인’의 역할을 잘 해낼 수 있을 것으로 보입니다.

가장 문제는 출범 1년도 안돼 한국인터넷진흥원 원장직에 공백이 생기게 됐다는 점입니다.

한국인터넷진흥원은 최근 직급 및 임금체계 일원화까지 마치면서 출범 당시 가장 핵심과제였던 ‘통합’의 한고비는 넘겼지만, 현실적으로 신임원장 공모와 선출에 소요되는 두세달 정도의 공백기간, 그리고 향후 성향이 다른 신임원장과 조직원의 적응기간이 필요해 앞으로 어떤 영향을 미치게 될지 아무도 모르는 상태입니다.

현정부에서 챙겨야 할 사람의 자리를 봐주는식과 같은 합리적이지 못한 인선이 된다면 상황은 아주 나빠질 것입니다. 

사실 김 내정자가 원장임기 3년을 채울 것이란 생각은 안했습니다. 저뿐 아니라 많은 분들이 정치인 출신인 김 원장이 당연히 다음 국회의원 선거에 출마할 것이라고 예상을 했을 겁니다.

3년의 임기는 아니더라도 2년 가까이는 채울 수 있지 않을까 싶었는데요. 11개월 반은 너무 이르긴 합니다.

어찌됐든 나라에서 더 큰일에 쓰겠다고 부르니, 응해야겠지요.

김 내정자도 이러저러한 면에서 부담이 되는 듯, 트윗터에 이런 글을 남겼습니다.

사용자 삽입 이미지


“정말 긴 하루가 지나고 있습니다. 이제 더 긴여정을 가려합니다. 두렵고 설레이고 무겁고..... 함께 해주는 친구가 많았으면 합니다. 함께라면 어떤 길이라도 헤쳐갈 수 있는 그런 친구. 그런 친구가 되어 주실거죠?”

그리고 이런 글도 남겼습니다. “트윗 친구분들 중에 보안하시는 분들 많으시죠. 푸른지붕집에 정보보호를 잘 이해하고 전파시키려는 사람 한 명이 더 생겼다고 생각하고 저 응원 좀 해주세요. 이제 좀비PC 척결과 정보보호는 홍보수석실에서부터 많이 많이 전파해야죠.”

보안하는 사람들이 혹시라도 힘이 빠질까봐서일까요? 아니면 힘주기 위해서였을까요?

원장 자리를 떠나 청와대 대변인으로 가더라도 정보보호 인식제고와 관련정책에 계속 매진하겠다는 스스로의 의지를 더욱 다지고 명분도 얻고자 함이었을까요...

개인적으로는 보안인들을 생각하는 마음과 의지의 표현이 모두 함께 담겼다는 긍적적인 생각이 듭니다.

한국인터넷진흥원장으로 있으면서 했던 경험과 지식, 마음이 이후 청와대와 향후 (가능하다면)국회에서의 활동에서 더욱 빛나게 발휘되길 바랍니다.




 

2010/07/14 10:13 2010/07/14 10:13

한국IDC가 2009년 국내 정보보안 시장 조사 자료를 토대로 향후 5년 간의 보안 소프트웨어 시장을 전망한 보고서(한국 보안 소프트웨어 분석 및 전망보고서, 2010-2014)를 발간했습니다.

이 자료에 따르면, 일단 보안 소프트웨어 시장은 대체로 전망이 밝습니다. 연평균 7.6% 성장률로 오는 2014년 3161억원 규모의 시장이 형성될 것이란 예측입니다.

그러나 보안 소프트웨어 세부분야별 희비는 엇갈립니다.

IDC의 작년 시장조사 결과에서도 살펴볼 수 있는데요. 백신과 기업DRM을 포함한 콘텐츠보안 및 위협관리(SCTM) 영역은 성장세가 주춤하고(성장률 1%), ESM`TMS 등 보안관리 및 취약점관리(SVM) 분야와 암호화·DB보안·운영체제보안 등 내부보안 및 정보유출방지 영역이 포함한 기타 보안영역이 크게 성장한 것을 볼 수 있습니다.

SCTM의 낮은 성장세는 백신(안티바이러스) 시장의 축소가 가장 큰 요인이라는 점을 알 수 있습니다. IDC는 기업용 DRM 및 모바일 보안 수요에도 불구하고 안티바이러스 영역에서의 가격 경쟁 심화, 무료백신 확산으로 이같이 낮은 성장률을 보였다고 분석했습니다.

그러면 앞으로 보안 소프트웨어 시장이 어떻게 흘러갈 것인가가 더 궁금한데요. 향후에도 마찬가지입니다.

사용자 삽입 이미지

SVM이 연평균 10.7%, 기타 보안 분야가 연평균 9.6%로 가장 많이 성장할 것이라고 예측됐기 때문입니다.

다만 작년에는 기타 보안 분야 성장세가 더 두드러졌지만 향후에는 보안관리 분야가 훨씬 더 성장률이 높을 것 같네요.

SVM에는 기업 보안 시스템의 모니터링, 보안 정책 설정, 구성 결정, 취약점 검사 수행, 패치 관리, 포렌직, SIEM(System Information and Event Management), 보안 로그 통합 및 분석, 이기종 보안 기술의 싱글 포인트 관리를 수행하는 보안관리 분야가 주축입니다.

시장 규모도 2009년을 기준으로 SVM(370억원)과 IAM(360억원)이 비슷하지만, 2014년에는 SVM 시장이 기타 보안에 비해 1.8배가량 크고 IAM 시장 1.2배가량 커질 것이란 예상입니다.

그래도 보안 소프트웨어 시장에서 최대 규모를 자랑하고 있는 SCTM 분야는 2014년에도 1672억원 규모를 유지할 것으로 보입니다.

사용자 삽입 이미지

2010/07/08 08:40 2010/07/08 08:40

'씨큐비스타'라는 국내 보안업체가 DDoS 대응능력을 검증하는 전문 솔루션(넷스피어)을 발표했습니다.

세계 최초로 독자기술로 개발한 DDoS 전용 시험장비랍니다. (관련기사 DDoS 대응능력 검증 전문장비 등장)

제품은 실제와 유사한 각종 DDoS 공격 트래픽을 생성해 각 기업이나 기관의 네트워크 및 보안체계가 제대로 작동하는지, 대응능력을 평가할 수 있는 솔루션입니다. DDoS 공격에 특화돼 있는 전문 시험장비입니다. 

이 제품을 개발한 씨큐비스타의 전덕조 대표이사는 "7.7 DDoS 공격 이후 안티DDoS(DDoS 전용 탐지·차단) 솔루션이나 라우터 등 네트워크 장비, 방화벽, 침입방지시스템(IPS), L4스위치 등을 이용해 DDoS 대응체계를 구축하고 있지만, 실제 DDoS 공격 방어 능력 등을 검증할 방안과 도구가 부재하다"라고 지적했습니다. "DDoS 공격을 예방하기 위해선 대응능력을 효율적이고 제대로 평가, 검증할 수 있어야" 하기 때문에 DDoS 대응능력 검증 전문 솔루션을 개발하게 됐다는 설명입니다.

개발배경과 취지에 공감이 갑니다.

돈을 내고 보안 제품을 구매해 설치하는 이유는 미래에 발생할 수 있는 보안위협을 막고 혹시 있을 지 모를 손실을 최소화기 위해서입니다. 그래서 보안이 '보험'에 비유되기도 하는 거죠.

정부공공기관과 민간에서도 DDoS 대응체계를 구축한 것은 당연히 향후에 발생할 지 모르는 공격을 최대한 막아 피해를 최소화하기 위한 목적이지요.

백신이 악성코드 감염을 방지하거나 치료하기 위한 것이고, PC에 저장돼 있는 개인정보를 암호화하거나 이동식저장매체 등의 사용을 제어하는 이유는 정보유출을 막기 위한 것처럼요.

실제 공격이 현실화된 상황에서 투자된 보안 제품이 효용가치를 발휘하려면 현재 구축돼 있는 대응체계를 제대로 평가, 검증하는 것이 중요합니다. 계속되는 검증과정을 통해 미비점이 있다면 보완해야 보다 완벽한 대책을 마련할 수 있기 때문입니다.

DDoS 방어 장비를 설치하기 전에 제품 성능과 기능을 제대로 평가하는 것도 마찬가지입니다.

정부와 금융권에서 정기적으로 모의훈련을 실시하는 것도 같은 이유라고 생각합니다.

만일 DDoS 모의훈련이 잘못된 평가방식으로, 혹은 형식적으로 치우친다면 실제 상황에 하등 도움이 안될 것입니다.

또한 DDoS 공격 방어 장비를 도입할 때 장비의 성능과 기능에 대한 평가기준·방식이 올바르지 않다면 이 평가도 의미가 없을 것입니다.

그런 점에서 현재 DDoS와 관련한 각종 시험·평가방식은 사실 잘못돼 있습니다.

씨큐비스타도 그 점을 부각했습니다. 현재 국내에서 널리 이용되는 DDoS 대응능력 평가 또는 검증 방식이 잘못돼 있다는 점을 지적했습니다.

예를 들어, DDoS 보안 장비를 도입해 DDoS 대응체계를 구축할 때나 모의훈련을 할 때 주로 이용되는 시험장비는 네트워크 성능을 측정하는 계측기입니다. 익시아, 브레이킹포인트라는 네트워크계측장비가 가장 많이 활용되고 있답니다.

씨큐비스타에 따르면, 네트워크 장비의 쓰루풋과 레이턴시 등과 같은 성능 측정을 목적으로 하는 네트워크 계측장비를 DDoS 대응 시험에 쓰고 있으니 제대로 평가하는 것이 아니라는 겁니다.

전 사장은 "네트워크 계측장비를 이용해 생성한 트래픽은 실제 DDoS 공격 트래픽과는 차이가 있다. 때문에 제한적인 테스트만 가능하며, 또 정형화된 트래픽을 생성하기 때문에 예측가능하다는 단점을 갖고 있다"고 강조했습니다.

또 "현재는 DDoS 대응능력 평가나 검증을 제대로 할 수 있는 도구와 방법론이 없다. 특히 7.7 DDoS 공격에 이용됐던 대규모 봇넷 공격에 대한 평가는 할 수 있는 방법이 없다"라며, "DDoS 대응책을 수립하고 있는 지금 심히 우려되는 상황"이라고 진단했습니다.

그동안 각종 DDoS 대응체계 구축 사업 BMT나 DDoS 전용 방어장비 시험 수행에서 평가방식이 종종 도마에 오르며 관련 업계에서 논란이 일곤 했습니다.

대표적인 것이 국가정보원 DDoS 탐지·차단 장비 시험입니다. 작년 하반기 정부가 범정부 DDoS 대응체계 구축 사업을 긴급히 추진하면서 시중 공급되는 DDoS 보안 장비에 대한 보안성 평가 등 시험이 필요했었습니다. 국정원은 '별도지정' 제도를 통해 DDoS 장비의 시험기준과 방법을 정하고 평가를 수행해 목록에 등재했습니다.

그 때 장비의 성능 측정도 브레이킹포인트 등 두가지 네트워크 계측기를 썼던 것으로 기억합니다. 많은 업체들이 당시 평가에 불만을 드러냈었고, 그 과정에서 포기한 업체들도 있었습니다.

해 진행된 DDoS 관련 사업 BMT 등에서도 이같은 문제는 종종 제기됩니다.

공공기관, 금융기관의 DDoS 모의훈련도 네트워크 계측장비를 이용한다고 합니다.

채문창 씨큐비스타 연구소장은 "네트워크 계측장비를 이용하는 모의훈련 방식은 결국 하나도 효과를 거둘 수 없다"고 설명했습니다.

씨큐비스타는 제대로된 DDoS 공격 및 방어 능력 검증 환경을 구현할 수 있다고 자신감을 드러냈습니다.

"수억원대를 호가하는 네트워크 계측장비보다 저렴한 가격으로 이 제품을 공급해 DDoS 공격 방어를 위한 도전과제를 극복하는데 일조하겠다"는 포부도 밝혔습니다.

앞으로 '세계 최초' DDoS 전용 시험도구인 이 제품의 성능과 기능, 품질에 대한 검증도 필요할 것입니다. 

이 제품 출현이 우리나라가 DDoS 공격 방어체계를 더욱 견고히 수립할 수 있는 토대를 다지는데 기여할 수 있게 되길 바랍니다.

이번 기회에 현재의 DDoS 대응 관련 평가방식에 대한 국가정보원, 행정안전부, 한국인터넷진흥원, 금융감독원 등 관계부처·기관, 기업의 고찰이 이뤄졌으면 합니다.

2010/07/07 10:03 2010/07/07 10:03

보안업체에서 발표한 악성코드 동향 분석자료를 보면, 몇 년 전부터 ‘지능화, 고도화’라는 표현이 계속해서 등장하고 있습니다.

사용자가 인지하지 못하도록 속이기 위해, 보안 제품에 걸리지 않도록 하기 위해 이같은 악성코드 제작 기술의 지능화, 고도화는 당연한 이야기로 받아들여 왔습니다.

이같은 지능화, 고도화된 악성코드 제작 및 유포, 감염 기법은 어디까지 발전할까요?

지난 1일 안철수연구소가 기자들을 초청해 ‘2010년 상반기 보안 위협 동향’을 총정리하는 시간을 가졌습니다. 지난해 7.7 DDoS(분산서비스거부) 공격이 발생한 지 1주년을 앞두고 있는 시점이어서 기자들의 관심은 DDoS에 많이 쏠렸지만, 이 자리에서 사용자PC를 감염시키기 위한 악성 기술이 ‘정말 눈 깜짝할 사이에 정말 고도로 발전하고 있구나.’ 새삼 느낄 수 있었습니다.

악성코드는 모든 사이버공격의 기본이 됩니다. PC나 서버 안에 저장돼 있는 개인정보 등 중요정보를 유출할 수도 있고, 시스템을 손상시킬 수도 있습니다. 스팸 공격이나 DDoS 공격도 유발할 수 있습니다.

그래서 공격자들은 웹사이트나 웹페이지에서, 스팸메일, USB를 통해 사용자PC를 몰래 감염시키기 위해 엄청난 노력을 기울입니다.

사용자가 인지하지 못하게 하기 위해서 악성코드 제작자 등 공격자들은 ‘사회공학기법’을 사용합니다. 안철수연구소는 “사회공학기법은 이제 모든 보안위협의 기본이 됐다.”고 선언하며 상반기 7대 보안이슈 중에서 첫 손에 꼽았습니다.

얼마 전 악성코드를 유포하기 위해 비씨카드 이용대금 명세서로 위장했던 악성 이메일도 수신인 이름만 표시돼 있지 않던 것을 빼면 진짜 이용대금 명세서 이메일과 똑같았습니다. 사전에 이러한 정보를 알고 있지 못했거나 아주 세심한 주의를 기울여 보지 않으면 판별이 누구나 어려웠을 것입니다.

사용자 삽입 이미지

지능적인 수법을 이용하는 대표사례가 바로 가짜백신입니다. 이대로 가다간 조만간 진짜 백신 개발업체(보안업체)가 공급하는 제품의 수준을 따라잡겠다는 생각이 들 정도로 놀랍습니다.

그 첫 번째는 ‘가짜백신의 세계화(?)’입니다. 최근의 가짜백신은 다국어 버전으로 개발되고 있답니다.

안철수연구소에 따르면, 영어, 러시아어, 중국어, 일본어, 한국어 버전까지 개발된 가짜백신이 있답니다.
사용자 삽입 이미지

시중 공급되는 국내 백신제품 중에서 5가지 언어를 완벽하게 제공하는 제품이 몇 개나 될까요?

이같은 가짜백신은 사용자 PC의 언어 환경에 맞게 설치된다고 합니다. 윈도OS 한글버전이 내 PC에 깔렸다면 가짜백신도 한국어 버전이 깔리게 되는 겁니다.

안철수연구소 시큐리티대응센터(ASEC) 전성학 실장은 “하나의 소프트웨어를 여러 언어와 환경에 맞게 통합적으로 개발하는 것이 쉽지 않은데, 가짜백신이 다국어 버전을 지원하고 있다”며, “예전에는 가짜백신 프로그램이 영어로 돼 있으면 악성으로 의심할 수 있었지만 한국어로 돼 있어 사용자는 의심없이 설치할 수 있다”고 설명했습니다.

한 해외 보안전문가가 한 말이 생각이 납니다. (누군지 기억은 안나는군요.) “한국은 최고의 암호기술을 갖고 있어 다른 나라보다 보안위협에 상대적으로 영향을 덜 받을 수 있다. 최고의 암호기술은 바로 한글”이라고. 이 강력한 한글 암호화 기법이 이제 유명 공격자들 사이에서 통하지 않을 만큼 알려져 있나보군요.

두 번째는 가짜백신의 검색엔진 최적화 기법 악용입니다. 가짜백신은 최근 포털 검색 상위에 노출할 수 있도록 인기검색어를 악용하는 ‘블랙햇 SEO(Serch Engine Opimization, 검색엔진 최적화)’ 기법을 이용하고 있답니다.

특정 단어를 검색하면 가짜백신을 설치하는 웹페이지를 상위권에 노출되도록 하기 때문에, 잘 모르는 사용자는 신뢰할 수 있는 포털사이트 검색페이지에서 맨 위에 올라와 있는 백신을 의심없이 클릭할 수 있습니다. 백신인 줄 알고 스스로 악성프로그램을 선택해 설치하게 되는 것입니다.
사용자 삽입 이미지

이 블랙햇 SEO 기법은 악성코드 유포를 노리고 유명 연예인 등의 웹사이트로 가장해 알리는 수법으로 악용되기도 합니다. 마이클잭슨, 김연아 동영상 가장 웹사이트가 알려진 사례였습니다.

트위터, 페이스북과 같은 SNS(소셜네트워크서비스)도 지능적으로 악성코드를 유포하려는 대중적인 통로로 본격 이용되기 시작했습니다.


특히 트위터같은 경우, 글쓰기가 140자로 제한돼 있다는 점을 악용합니다. 간략한 머리글로 호기심을 유발한 후 악의적인 단축 URL을 클릭하도록 하는 방법이죠.

예를 들어 내가 팔로우를 한 사람이 “이것 좀 봐. 대박 ㅋㅋ http://~~~” 이런 식으로 글을 남길 경우, 누구나 링크돼 있는 주소를 클릭할 것입니다. 일단 내가 아는 사람이 남기는 글이라 의심할 여지가 없을 것입니다.
사용자 삽입 이미지

더욱 문제는 단축 URL을 사용하기 때문에 이 주소의 신뢰성을 판단하기 어렵다는 겁니다. 어떤 웹사이트로 연결되는지 알기 힘듭니다.

이미 지난 2~3월에 트위터에서 단축 URL을 이용해 악성코드를 유포하거나 피싱 웹사이트로 유도하는 사례도 발견됐다고 합니다.

제게 이런 일이 닥쳐도 피하기가 힘들 것 같습니다.

안철수연구소는 위험 웹사이트 차단 서비스인 ‘사이트가드’ 기반기술로 이같은 단축 URL의 신뢰성을 검증하는 방법을 연구하고 있답니다. 하반기에는 사업화가 가능할 것이라고 하는데요, 얼른 나왔으면 하네요.

가짜백신이나 피싱 사이트, SNS 악용한 신종 피싱 및 위협은 지난 상반기 두드러졌습니다. 앞으로 악성기법이 계속해서 더 지능적이고 고도화되겠지요.

어렵고 귀찮은 점도 있으나, 이러한 악의적인 기법은 PC와 인터넷을 사용하는 분들도 어느정도 상식적으로 알고 있어야 할 것으로 생각됩니다.

DDoS 공격은 사이버범죄자들이 보안에 취약한 PC를 대거 악성코드에 감염시켜 가해자로 만들었습니다. 앞으로 내 PC를 누군가가 공격에 악용할 지, 내 정보를 갖고 나가 어떤 범죄에 이용할 지 아무도 모릅니다.

*** 이 포스팅에 담긴 그림은 모두 안철수연구소가 제공한 자료라는 점을 밝힙니다.
 

2010/07/05 15:05 2010/07/05 15:05

전세계 4100만명의 블랙베리 스마트폰 사용자를 보유하고 있는 리서치인모션(RIM, 림)이 최근 국내 기자들을 초청해 ‘스마트폰 보안’을 주제로 워크숍을 개최했습니다.

이날 관련기사(RIM “‘보안’은 블랙베리의 DNA”)에 언급하긴 했지만, 림이 제공하는 보안 솔루션에 더 무게를 두다보니 이들이 바라보는 보안위협과 대책을 자세하게 쓰지 못해 영 아쉬웠습니다.

워크숍 때 샌 모이 RIM의 아태지역 이사가 발표한 내용을 주축으로 스마트폰 보안위협과 고려해야 할 방안을 정리해 보겠습니다.

3대 스마트폰 위협요소

1. 분실이나 도난된 기기 안에 있는 데이터를 누군가가 가져간 경우 - 고객정보 유출

2. 탈착 가능한 플래시메모리를 빼내 스마트폰 안의 기업 데이터를 훔쳐가는 경우

3. 해커가 일반 애플리케이션에 악성코드를 집어 넣는 것 - 애플리케이션 스토어를 통한 사용자 악성코드(멀웨어) 다운로드

이같은 보안위협을 최소화하기 위한 방안으로는 가장 먼저 모바일 보안 정책을 수립해야 한다는 점을 강조했습니다.

1. 모바일 보안 정책 수립

스마트폰 사용에서 안전성을 확보하기 위해서는 반드시 모바일 보안 정책을 수립해야 한다. 기존에 데스크톱에 적용했던 보안 정책을 블랙베리와 같은 스마트폰에도 확장 적용해 사용하는 것이 그 출발점이다.

예를 들어, 데스크톱에 비밀번호 사용을 의무화하는 것처럼 스마트폰에도 비밀번호 사용을 의무화하고, 30일마다 변경하도록 하는 것이다. 또 비밀번호를 설정할 때에는 특수문자 등의 조합을 사용해야 한다.

2. 엔드투엔드 데이터 암호화

전송데이터를 암호화하는 것뿐 아니라 스마트폰 내에 저장된 데이터까지 모두 암호화해야 한다.

사용자는 스마트폰에서 인터넷뱅킹 거래 데이터만 암호화하길 원할 수 있지만 기업은 모든 데이터를 암호화하는 것이 중요하다.

3. 악성코드 방지 대책

PC에서 쓰는 안티바이러스 등 악성코드 방지 프로그램을 스마트폰에서 구동하는 것이 힘들다. 악성코드를 방지하기 위해서는 악성코드를 기기에 다운로드 하지 않도록 하는 방안을 다르게 접근해야 한다. 바로 애플리케이션 자체를 통제하는 것이다. 허가/불허된 애플리케이션을 리스트로 정의해 스마트폰에서 불허된 애플리케이션에 접속하는 것을 제한해야 한다.

만일 애플리케이션을 다운받아 설치한 후 나중에 업데이트를 통해 악성코드에 들어오는 경우는 애플리케이션이 액세스하는 수준에 제한을 두면 된다.

사전에 악성코드 감염을 예방할 수 있는 조치다.

4. 기업의 경우- 스마트폰 조달정책 필요

기업이 모바일 오피스 구현 등을 위해 스마트폰을 도입할 때에는 한 두가지 표준모델을 선정해야 보안관리하기 쉽다. 만일 사내에 이기종 스마트폰 모델을 5개 이상, 10여개 이상 사용한다면 보안관리가 어렵다.

기업은 스마트폰 SMS, MMS 및 전화에 대한 로그 감사를 수행하는 것이 중요하다.

애플리케이션 표준화도 중요하다. 최종 사용자가 모든 애플리케이션 사용을 허용할 것이 아니라 표준화되고 승인된 애플리케이션 사용을 허용하고, 다운로드 가능한 애플리케이션 수를 제한하는 것도 고려해볼만 하다.

5. DLP(Data Loss Prevention) 프로그램 필요

기업의 경우엔 직원에 의한 회사정보유출이나 스마트폰 분실시 정보유출을 막기 위해 DLP 프로그램을 반드시 고려해야 한다.

스마트폰에는 개인정보뿐 아니라 회사 정보를 담고있을 수 있다. 직원이 퇴사할 경우 스마트폰 안에 담긴 정보가 유출될 수 있다는 점을 반드시 생각해야 한다. 또 DLP를 적용할 때에는 직원마다 적용 수준을 다르게 둬야 한다.
 

2010/06/21 15:58 2010/06/21 15:58

해킹 등으로 유출된 주민번호를 이용해 타인의 명의로 ‘아이핀(I-PIN)’을 대량 부정 발급한 사건이 발생했습니다.  

이 사건으로 방송통신위원회가 개인정보보호 대책으로 적극 추진해온 ‘아이핀(i-PIN)’의 발급체계상의 허점이 처음 드러나게 됐습니다.

‘아이핀’은 인터넷상에서 과도한 주민등록번호 수집으로 인해 커지는 개인정보 유출 피해를 근절하기 위해 주민번호를 사용하지 않고도 인터넷사이트 회원으로 가입하고 이용할 수 있는 본인확인수단입니다.

인터넷상에서 주민등록번호 수집·이용이 과도하게 이뤄지는 상황에서 주민번호 대신에 ‘아이핀’을 사용해 심각한 개인정보침해사고의 근원인 인터넷상에서 주민번호 사용을 줄여나가고, 해킹 등으로 유출된 주민번호 도용 피해도 막자는 취지에서 지난 2005년 정보통신부가 만든 것입니다.

그런데 ‘아이핀’이 명의도용, 개인정보침해에 악용됐습니다.

‘아이핀’을 발급하려면 서울신용평가정보, 한국신용정보, 한국신용평가정보, 한국정보인증, 코리아크레딧뷰로 등의 본인확인(인증)기관 사이트에서 주민번호와 성명, 비밀번호 등을 입력한 후, 공인증서나 신용카드, 휴대전화 번호, 대면확인 방식을 골라 신원확인 절차를 거치면 됩니다. 

이번에 경찰에 검거된 일당은 유출된 주민번호와 휴대폰 대리인증, 대포폰과 무기명선불카드(기프트카드)로 아이폰 발급에서의 신원확인 절차를 모두 통과해 총 1만3000여 개의 ‘아이핀’을 발급했다고 합니다.

또 부정발급한 아이핀을 이용해 게임사이트나 포털사이트 계정을 만들고 광고메일을 보내는데 이용됐습니다.

대리인증은 명의도용 우려가 제기돼 지난해 방통위는 청소년과 외국인의 경우에만 허용하는 방식으로 제한했습니다.

문제는 기프트카드와 대포폰인데요. 기프트카드는 한 카드사가 발급하는 기프트카드가 횟수의 제한 없이 사용자의 등록·변경이 가능하다는 허점을 노려 신원확인 방식에 사용했기 때문입니다.

이 카드사는 신용카드번호가 아닌 기프트카드를 ‘아이핀’ 발급을 위한 본인확인 수단으로 사용한 것을 허용했습니다. 신용카드를 이용한 ‘카드인증’ 방식에 기프트카드를 써도 되는 것이 참 의아합니다.  

방통위는 이에 대해 “금융위원회의 판단을 기대하겠다”는 입장입니다. 또 “원래는 기프트카드를 신원확인에 이용하려면 공인인증서를 통한 인증 절차를 거쳐야 하는데, 본인확인 절차를 제대로 거치지 않고도 수수료를 받고 이를 아이핀 발급 수단으로 이용하도록 했기 때문에 해당 카드사에 강력한 제재를 요청할 것”이라고도 방통위 담당과장은 말했습니다.

아이핀 정책을 제대로 펼치기 위해선 주무부처인 방통위와 금융위원회 등 금융감독당국과 세부적인 협조와 그에 맞는 관리감독이 선행됐어야 했는데, 미비했던 것입니다.

대포폰을 이용할 경우에는 완전히 사전에 막기는 어렵고, 다만 스팸 대책과 연관해 대포폰 전화번호로 발급된 아이핀을 추적·검증해 사후에 사용중지 조치를 수행한다는 방침입니다.

결국 이번 사건은 인터넷상에서 주민등록번호를 대체하는 본인확인 수단으로 전국민이 사용할 수 있도록 하려면 총체적인 관리체계를 더욱 개선해야 할 필요가 있다는 점을 보여줬습니다. 

방통위는 그간 ‘아이핀’ 이용을 활성화하기 위해 편의성을 개선하는데 중점을 둬 왔는데요, 총체적인 보안관리체계 수립에도 더 박차를 가해야 할 것입니다.  이번에 발견되지 않은 허점이 있을지도 모릅니다.

또 이미 그간에도 본인확인기관의 보안성, 이들의 법적근거 미비 등 신뢰성 우려가 제기되지 않은 것도 아니기 때문입니다. 

개인정보보호를 위한 ‘아이핀’ 활성화의 선결조건은 다름 아니라 ‘아이핀’ 발급·운영·관리·사용체계 전체의 신뢰성이 담보돼 있어야 합니다. 

더욱이 2015년까지 인터넷상에서 ‘아이핀’을 의무사용토록 하려면, 전국민이 인터넷상의 ‘주민번호’로 대신 사용토록 하기 위해선 안전성이 보장돼야 할 것입니다.

그래도 부정발급으로 확인된 ‘아이핀’을 즉각적으로 사용중지 조치할 수 있다는 게 다행스러운 감은 있습니다. 가능하다면 경찰 수사나 이용자들의 ‘우연한 발견’에 의해서가 아니라도 부정 발급·사용된 ‘아이핀’을 즉각 확인해 걸러낼 수 있다면 좋겠습니다.  

2010/06/07 18:40 2010/06/07 18:40

행정안전부와 한국인터넷진흥원이 조달청을 통해 30개 기관이 제공하는 전자정부 서비스에 정보보호관리체계를 적용하는 G-ISMS 인증 컨설팅 사업을 최근 발주했습니다. (관련기사)

추정 사업규모(예산) 12억원으로, 정보보호컨설팅 사업으로는 역대 최대규모로 꼽힙니다.

물론 경영·IT컨설팅 등 다른 분야 컨설팅 사업과 비교하면 우스운 규모 수준이겠지만, ‘이젠 단일 정보보호컨설팅 사업도 10억원이 넘는 규모로 진행될 만큼 중요해지고 있구나.’라는 생각이 들 정도 입니다.

이 사업은 전자정부 정보보호 수준제고를 목표로 중앙행정기관과 그 소속기관, 광역·기초자치단체, 국공립 대학이 제공하는 30개 서비스를 대상으로 합니다.

그런데 이 사업은 유찰됐습니다. 지식정보보안컨설팅 전문업체들 아무도 이 사업에 참여하지 않았기 때문입니다.

보통 대규모 사업이 나오면 당연히 업체들이 너도 나도 참여해 수주전을 펼칠 것으로 예상했는데요. 의외입니다.

관련업계에서는 당연히 이 사업에 정말 참여하고 싶지만 현실적으로 참여하기 어려운 사업이라고 입을 모으고 있습니다.

그 이유는 입찰 제안조건이 아주 까다롭기 때문입니다.

정부의 정보보호컨설팅 사업 입찰은 일단 '지식정보보안컨설팅 전문업체'로 지정받은 업체만 참여할 수 있도록 돼 있습니다.

현재 전문업체는 롯데정보통신, 시큐아이닷컴, 안철수연구소, 에이쓰리시큐리티, 인젠, 인포섹, STG시큐리티 7곳입니다.

이 중에서 시큐아이닷컴과 인젠은 사실상 컨설팅 사업에 참여할 수 없는 상황입니다. (시큐아이닷컴은 컨설팅 사업을 접은 거나 다름없다할만큼 크게 축소한 상태이고, 인젠은 내부 사정이 복잡합니다.)

그렇다면 5개 업체만 주사업자로 참여할 수 있습니다.

사업 규모가 큰 만큼 투입해야 하는 컨설팅 인력이 많기 때문에 이 사업에는 단일 업체가 자사 인력만으로 참여할 수는 없는 상태라고 하는데요.

컨설팅 투입 및 상주 인력 수와 등급을 정해놓은데다, 주사업자 투입인력을 전체의 50% 이상으로 정해놨기 때문에 부담스럽다는 것이 업체들의 이야기입니다.

정보통신기반시설 취약점 진단 등 공공과 민간 분야에서 정보보호 컨설팅 사업이 최근 많이 발주되고 있는데, 다른 사업을 포기하고 이 사업에 ‘올인’할 수는 없기 때문입니다 .

그렇다고 이 사업을 위해서 컨설팅 인력을 왕창 뽑기도 어렵지만, 뽑더라도 하반기 수요가 가뭄일 때는 그 인력을 유지하는 것이 힘들기 때문입니다.

이해를 돕기 위해 관련 제안요청서 내용을 붙여보겠습니다.

- 컨설팅 투입인력은 기관당 중급인력 4인 이상을 원칙으로 하되 투입인력 중 2명 이상은 최근 3년 이내에 ISMS, ISO27001 분야의 보안컨설팅 경험이 있는 인력으로 배치하여야 하며,

- 상주인력 중 1명은 고급이상의 인력으로 투입하여야하며, 인력 상주로 발생하는 모든 비용은 제안사에서 부담하여야 함

- 주사업자 투입인력은 전체인력의 50% 이상이어야 하며, 투입인력 전원은 입찰마감일 현재 당해 소속사의 직원으로 1년 이상 근무한 경력이 있어야 함

- 본 사업에 참여하는 인력 중 50% 이상은 국내 또는 국외 정보보호 관련 자격증(ISMS, ISO27001, SIS, CISA, CISM, CISSP 등)을 보유하여야 함

20일이 조달청 전자입찰 마감시한이었습니다. 입찰 마감 이후 일주일이 다돼가도 아직도 이 사업 재공고가 뜨지 않고 있는데요.

재공고가 나도 업체들이 참여하기 힘들 것을 알기 때문일 겁니다.

이 사업을 주관하고 있는 한국인터넷진흥원(KISA)도 고민이 될 것입니다.

전자정부의 정보보호수준제고를 위한 사업이기 때문에 컨설팅 수준을 낮출 수는 없는데, 업체들이 사업에 참여할 수 없는 현실적인 면을 고려하지 않을 수도 없기 때문이지요.

아무리 좋은 사업이 진행되더라도 현실과의 괴리가 크다면 결국 죽도 밥도 지을 수 없다는 것을 이번 사업이 보여주고 있습니다.

행정안전부, KISA, 그리고 정부가 지정한 지식정보보안컨설팅 업체들이 함께 지혜를 모아 봉착한 현실적인 어려움을 잘 해결할 수 있는 방안을 찾았으면 합니다.

이 사업이 결국 진행되지 못하고 표류할 것이 아니라 반드시 성사시켜 전자정부 보안수준을 더욱 높이는 기회가 될 수 있길 바랍니다.

2010/05/26 16:21 2010/05/26 16:21

사용자 삽입 이미지
조선일보가 20일 ‘스마트폰 도청 위험 청와대 지급보류’란 제목으로 지식경제부가 아이폰으로 도청을 시연했다고 보도했습니다.

국가보안기술연구소(NSRI)의 한 보안전문가가 아이폰에 전송된 이메일을 클릭해 도청 프로그램을 설치해, 도청에 성공했다는 내용이었습니다.

결국 이 기사는 오보로 판명됐고, 이날 조선일보 온라인판 기사에서 표현된 ‘아이폰’은 ‘스마트폰’으로 모두 교체됐습니다.

이 기사가 나온 후 ‘아이폰 도청’, ‘스마트폰 도청’, 그리고 스마트폰 위험성이 다시 이슈화 됐습니다. 여러 언론매체가 이 기사를 그대로 받아쓰기도 했습니다.

몇몇 보안전문가들은 이 보도를 접하고는 곧바로 ‘아이폰’ 도청 시연 여부에 의문을 제기했습니다.

권석철 터보테크 부사장은 “아이폰 운영체제는 구조상 멀티태스킹이 안되고, 애플 앱스토어를 통해서만 프로그램을 배포하기 때문에 도청이 안된다. 만일 시연에 성공했다면 탈옥폰일 것”이라며, “기사 내용이 잘못된 것 같다”고 지적했습니다.

이어 권 부사장은 “도청은 아니지만 아이폰에서 통화를 하다 전화통화 종료 버튼을 누르지 않은 채 홈버튼만 눌러 화면을 전환하게 되면 계속해서 연결돼 있어 자신이 하는 말을 상대방이 들을 수 있게 돼 있어, 사용자는 주의해야 한다”는 말도 덧붙였습니다.

또 이같은 스마트폰 보안문제를 마치 새로운 위협처럼 부각시켰다는 의견도 있었습니다.

신수정 인포섹 사장은 트위터를 통해 “역시 조선일보의 힘은 대단. 보안하는 사람은 누구나 알고 있는 이슈를 새로운 이슈인 것처럼 뒤집어지게 하는군”이라고 평가했습니다.

그래도 신 사장은 “PC해킹은 정보유출이 더 큰 이슈였는데 스마트폰 해킹은 도청이 더 큰 이슈가 될 수 있음... 선정적이긴 하지만 경각심을 주는데 일가견이 있다”며 스마트폰 도청 위협, 스마트폰 보안 인식을 가져야 한다는 점도 강조했습니다.

다른 보안전문가는 “가능성으로는 당연히 스마트폰을 포함한 모든 디지털기기가 해킹이나 도청 위협에 노출돼 있지만, 잘못된 정보를 이용하거나 위험성만을 너무 부추기면 사용자들이 이용을 꺼리게 만드는 결과를 초래할 수 있다”고 지적했습니다.

결국 이날 지식경제부는 이날 이 보도에 대한 해명자료를 내고, 조선일보 기사에 언급된 시연회에서 “아이폰은 시연되지 않았고 타 스마트폰으로 시연한 바 있다”고 밝혔습니다.

또 “일반적으로 스마트폰은 PC기능과 통신의 결합상품으로 PC 보안 위협과 부가적 보안위협(통신기능에 따른 도청, 분실시 정보유출)이 있을 수 있다”면서도 “스마트폰 보안위협에 과도한 우려는 경계할 필요가 있다”는 점을 분명히 했습니다.

스마트폰 악성코드 유포사례가 드물고, 스마트폰 사용 안전수칙 준수시 보안사고는 방지될 수 있다는 것이 그 이유입니다.

최근 스마트폰 열풍이 불면서 연초부터 몇달 간 스마트폰 보안위협이 최고의 화두가 됐었습니다.

그 사이 전문가들은 스마트폰 보안위험성이 너무 과도하게 부각돼 혼란이 더 심해진다는 지적도 함께 제기했습니다.

특히 스마트폰 해킹 공개시연을 통해 위험성을 너무 부각시키는 것은 자제해야 한다는 목소리까지 나왔었습니다.

해킹시연은 특히 전문가들이 통제한 환경에서 이뤄지고, 때로는 의도한 결과를 얻을 수 있게 특별히 제작된 악성코드나 프로그램을 사용할 수 있기 때문이라는 점에서 경각심과 예방을 강조하자는 차원을 넘어선 결과를 불러올 수 있다는 점에서 지적된 것입니다.

결국 이날 조선일보 보도는 오보 해프닝이 됐습니다.

특히 언론이나 전문가들이 정확한 정보를 올바로 전달해야 한다는 점. 그 중요성을 새삼 느끼게 해준 해프닝이 됐다고 봅니다. 저에게도 해당되는 일입니다.

그리고 여전히 보안은 중요합니다. PC나 스마트폰, 인터넷을 이용할 때 사용자는 보안수칙을 염두에 두고 생활에서 실천해야 합니다.

그런 의미에서 방송통신위원회에서 발표했던 ‘스마트폰 이용자 10대 안전수칙’을 붙여보겠습니다.

① 의심스러운 애플리케이션 다운로드하지 않기

- 스마트폰용 악성코드는 위・변조된 애플리케이션에 의해 유포 될 가능성이 있으므로 의심스러운 애플리케이션의 다운로드 자제

② 신뢰할 수 없는 사이트 방문하지 않기

- 의심스럽거나 알려지지 않은 사이트를 방문할 경우 정상 프로그램으로 가장한 악성프로그램이 사용자 몰래 설치될 수 있으므로. 신뢰할 수 없는 사이트 방문 자제

③ 발신인이 불명확하거나 의심스러운 메시지 및 메일 삭제하기

- 멀티미디어메세지(MMS)와 이메일의 첨부파일 기능은 악성코드 유포 수단으로 사용되는 경우가 많으므로 발신인이 불명확하거나 의심스러운 메시지 및 메일은 열어보지 말고 즉시 삭제 필요

④ 비밀번호 설정 기능을 이용하고 정기적으로 비밀번호 변경하기

- 단말기를 분실 혹은 도난당했을 경우 개인정보 유출 및 악성코드 설치 방지를 위하여 단말기 비밀번호 설정 필요

⑤ 블루투스 기능 등 무선 인터페이스는 사용시에만 켜놓기

- 악성코드 감염 가능성을 줄일 뿐만 아니라 단말기의 불필요한 배터리 소모를 막기 위해서는 블루투스 등 무선 인터페이스는 사용 시에만 활성화

⑥ 이상증상이 지속될 경우 악성코드 감염여부 확인하기

- 이상증상 발생 시 스마트폰 매뉴얼에 따라 조치하며 조치 후에도 이상증상이 지속될 경우 악성코드에 의한 감염 가능성이 있으므로 백신 프로그램을 통한 단말기 진단 및 치료 필요

⑦ 다운로드한 파일은 바이러스 유무를 검사한 후 사용하기

- 스마트폰용 악성프로그램은 특정 프로그램이나 파일에 숨겨져 유포될 수 있으므로, 프로그램 및 파일 다운로드 ․ 실행 시 스마트폰용 백신프로그램으로 바이러스 유무 검사 후 사용

⑧ PC에도 백신프로그램을 설치하고 정기적으로 바이러스 검사하기

- 스마트폰과 PC간 데이터 백업, 복사, 전송 등의 작업수행 과정에서 PC에 숨어있는 악성코드가 스마트폰으로 옮겨질 수 있으므로 PC에 대한 백신 프로그램 설치 및 정기점검 필요

⑨ 스마트폰 플랫폼의 구조를 임의로 변경하지 않기

- 스마트폰 플랫폼 구조를 변경(예: Jailbreak) 사용할 경우, 기본적인 보안기능 등에 영향을 주어 문제가 발생할 수 있으므로 이용자 스스로 구조 변경 자제

⑩ 운영체제 및 백신프로그램을 항상 최신 버전으로 업데이트 하기

- 해커들은 보안 취약점을 이용하고 다양한 공격기법을 사용하고 있으므로 이용자는 자신이 사용하는 운영체제 및 백신프로그램을 항상 최신 버전으로 업데이트하여 사용

2010/05/20 18:00 2010/05/20 18:00

사용자 삽입 이미지
[IT 전문 블로그 미디어=딜라이트닷넷] 지난 3월 말 정부가 전자금융거래 공인인증서 의무화 규제를 풀기로 한 뒤, 민관 차원에서 공인인증서를 대체할 수 있는 사용자 보안(인증) 방안에 대한 활발한 조사 연구가 진행되고 있습니다.

명확하게 표현하자면 ‘동등한 수준의 안전성을 가진 공인인증서 대체수단’에 관한 가이드라인을 마련하고 있지요.(기밀성, 무결성, 부인방지, 인증 기능을 충족하는 기술)

그런데 다른 한편으로는 스마트폰에서 모바일 뱅킹 등 다양한 인터넷거래서비스를 이용할 때 사용자들이 공인인증서를 보다 편리하게 쓸 수 있도록 하는 기술도 활발히 모색되고 있습니다. 

공인인증서가 지금까지 주로 마이크로소프트 인터넷익스플로러를 통해 ‘액티브X’라는 플러그인 방식으로만 제공되면서 지적됐던 특정 플랫폼 종속 문제와 이로 인한 사용자 불편을 개선할 수 있는 기술이 잇달아 개발되고 있는 것입니다.

한국인터넷진흥원(KISA)은 이미 스마트폰에서도 PC에서처럼 하나의 공인인증서로 자유롭게 이용할 수 있도록 인증서 저장소와 저장위치를 표준화하는 기술규격을 만들었습니다.

그리고 KT와 함께 하나의 공인인증서를 사용해 여러 뱅킹, 증권, 결제 서비스를 아이폰에서 편리하게 이용할 수 있도록 아이폰용 공인인증서 공용 앱(App)을 개발했습니다. 이름이 SHOW 인증서입니다.

원래는 4월 중순부터 애플 앱스토어를 통해 배포, 서비스한다고 했지만 아직 제공되지는 않고 있습니다.

그 이유를 확인해보니, 좀 지연돼 애플에서 현재 막바지 검수를 받는 단계에 있답니다. KISA와 KT는 조만간, 5월 초 앱스토어를 통해 서비스될 것으로 예상하고 있습니다. 

그리고 KISA는 KT, SKT, LGT 등 이통사들과 안드로이드용 공인인증서 서비스, 대용량 USIM 기반 공인인증서 서비스 개발도 추진하고 있습니다.

민간 보안업체인 비티웍스는 최근 스마트폰 웹브라우저만 있으면 별도의 앱을 설치하지 않고도 공인인증서 기반의 전자서명을 처리하는 기술(‘BTW-SSLSign’)을 개발했습니다.

표준 웹브라우저가 제공하는 SSL(Secure Socket Layer) 프로토콜을 이용하기 때문에 스마트폰 플랫폼이나 웹브라우저 종류에 관계없이 공인인증서 전자서명을 처리합니다.

특정 웹 환경에 종속돼 있지도, 별도의 플러그인이나 앱을 설치할 필요가 없기 때문에 높은 사용자 편의성을 제공하고, 인터넷서비스 제공업체의 개발·관리 부담도 해소할 수 있다는 것이 비티웍스의 설명입니다.

아직은 특정 인터넷서비스에 상용화돼 있지는 않지만 은행, 증권사 등 금융기관을 대상으로 활발히 이 기술을 소개하고 있답니다.

얼마 전에는 한국전자통신연구원(ETRI)도 비슷한 기술을 개발했다고 발표했습니다. 지난 4월 28일 발표된 ‘스마트서명(Smart Sign)’인데요.

하나의 ‘스마트사인앱’을 설치하면 모든 스마트폰 웹브라우저에서 공인인증서 전자서명을 이용할 수 있도록 하는 기술입니다. 모바일뱅킹과 같은 서비스 앱에서도 ‘스마트사인앱’의 전자서명 기능을 호출해 사용할 수 있다고 합니다. 

‘스마트사인 앱’은 공인인증서 비밀키를 각 애플리케이션에 제공 후 전자서명을 수행하는 공인인증서 공통앱 방식과는 달리, 직접 전자서명을 제공하므로 비밀키 유출 위험이 없고 각 애플리케이션이 중복하여 전자서명 기능을 갖고 있을 필요도 없다는 것이 특징입니다.

ETRI는 이번 스마트서명 기술이 특정 플랫폼이나 특정 회사의 기술에 종속되지 않는 중립성을 확보해 모든 환경에서 사용할 수 있는 높은 적용성을 갖는다고 밝혔습니다.

아직은 이 기술은 프로토타입만 개발된 상태랍니다. 6월 중 아이폰용 ‘스마트사인앱’을 내놓고 8월 중에는 안드로이드 버전을 출시한다고 합니다.

또 ETRI는 이미 이 기술에 대한 특허를 출원했고, 국내외 표준화기구를 통해 표준화도 추진할 예정이라고 하네요. 당연히 민간업체에 이 기술을 이전하겠지요.

이 뿐만 아닙니다. ETRI는 전자서명 비밀키를 USIM에 저장하고 USIM 내부에서 전자서명을 수행해 비밀키 유출 가능성을 차단하는 USIM 저장 및 서명 기능을 개발해 하반기 중 발표할 예정이라고 합니다.

이렇게 스마트폰 웹 기반 전자거래를 안전하고 보다 ‘편리하게’ 이용할 수 있는 공인인증서 관련 기술이 활발히 연구개발되고 그 결과물이 나오고 있다는 점, 그 자체는 참 긍정적인 일입니다.  더 나은 기술이 개발되고 있으니 말이지요.

그런데
보기에는 그리 좋지는 않다는 생각이 드는군요.  결과적으로 인터넷과 정보보호 업무를 담당하는 정부 산하기관, 출연연구기관인 KISA와 ETRI가 동시에 같은 목적을 가진 앱을 경쟁적으로 내놓게 되는 형국이 됐기 때문입니다.

그간 공인인증서 관련 논란의 중심에는 KISA가 있었고, 그 때문에 KISA에서는 스마트폰 공인인증서 이용 표준 기술규격을 만들고, 아이폰 공인인증서 공용 앱 등도 개발했습니다.

그래서인지 갑자기 ETRI가 ‘스마트사인’을 개발했다고 발표한 뒤, KISA도 적잖이 당혹스러워하는 눈치입니다.

이미 KISA가 하고 있는 일인데, ETRI가 이 기술을 왜 개발했는지 모르겠다는 겁니다. KISA 관계자 사이에서는 “(공익적으로 제공해야 하는 기술을 개발해) 특허까지 출원한 것은 적절치 못하다”는 반응까지 나왔습니다.

ETRI 발표 이전까지 KISA는 이를 개발한다는 사실을 전혀 알고 있지 못했다고 합니다.

그러나 ETRI는 당연히 해야 할 일을 했다는 입장입니다.

ETRI 관계자는 “원래 공인인증서를 개발한 것이 ETRI이고, 10여 전에 개발한 공인인증서가 최근 사용 환경이 변화함에 따라 새롭게 업그레이드하는 차원에서 작년 말부터 개발을 진행한 것”이라며, “(KISA가 개발한) 공인인증서 공용 앱 등과는 서비스가 다르다”고 설명했습니다.

보도자료를 통해 김흥남 원장은 “10여년 전 공인인증서 기술을 개발해 안전한 인터넷 서비스 발전에 기여했던 ETRI가 스마트폰 사용의 제약 요건이었던 공인인증서 기술을 개발함으로써, 안전한 모바일 서비스 발전에 다시금 기여할 수 있게 된 점을 매우 뜻깊게 생각한다”고도 이미 밝혔습니다.  

앞서 이야기한 비티웍스와 ETRI와의 관계도 남다릅니다. 비티웍스는 ‘ETRI연구소기업’입니다. 

더욱이, 아주 공교롭게도 이 ETRI의 스마트서명 기술은 비티웍스와 BC카드, 케이사인, 숭실대학교가 공동으로 참여하고 있는 지식경제부 지원 과제인 ‘모바일ID 보안 및 프라이버시 보호를 위한 스마트지갑 개발’ 과제를 통해 개발됐다고 합니다.

국가(정부) 예산이 들어간다는 점에서 기관끼리 머리를 맞댔다면... ETRI가 육성하는 ETRI연구소기업이면서 관련 과제를 함께하는 민간기업과 협력했다면... 하는 생각을 지울 수 없습니다.

적어도 기술을 각각 개발하는데 들어가는 비용이나 시간, 인력 등을 효율적이면서도 더 신속하고 보다 나은 결과를 가져오지 않았을까요?

이로 인해 앞으로 혼란이 가중될까 우려됩니다.

조만간 KT와 KISA는 애플 앱스토어를 시작으로 안드로이드 마켓에서 관련 앱을 등록해 제공할 겁니다.

ETRI가 개발한 기술도 조기 상용화해 민간에 기술이전하게 되면 정식 출시되겠지요.

모바일 전자거래 서비스 제공기관은 어떤 방식을 채택하고 지원해야 할 지 고민하게 될 겁니다. 업체별로 선택해 제공하게 되면 또 여러 방식의 스마트폰 공인인증서 처리 기술을 사용자들이 쓰게 되는 결과가 빚어질 수도 있겠습니다. 적어도 경쟁에서 이겨 하나가 대세로 굳어지기 전까지는요. 

앞으로 허용했으니 공인인증서를 대체할 다른 보안 기술도 제공될 텐데요.

여러 웹이나 앱 방식의 스마트폰 공인인증서 처리 기술이 채택된다면 너무 과도한 다양성으로 인한 사용자 혼란을 줄 수 있지 않을지 우려됩니다.  

‘전자금융거래시 공인인증서 사용의무 규제완화 방안’을 마련한 국무총리실과 금융위, 방통위 등 관계부처, 그리고 민·관 협의체에서 스마트폰 공인인증서 처리기술에 대한 대책도 논의가 이뤄져야 할 수도 있겠습니다.


2010/05/03 08:30 2010/05/03 08:30

20일 김을동 의원(미래희망연대) 주최로 ‘스마트그리드 보안 현황과 정책방향’을 논의하는 전문가 간담회가 국회에서 열렸습니다. (관련기사)

현재 정부는 저탄소 녹색성장을 위한 핵심 국정과제로 지능형 전력망인 ‘스마트그리드’를 선정, 연초 스마트그리드 국가로드맵(5개년 계획)을 확정하고 제주에서 스마트그리드 실증단지 사업을 활발히 추진하고 있습니다.

아직은 초기단계이지만 기존 전력공급체계에 ICT 기술이 결합된 지능형 전력망 구축에서 보안대책이 수립돼야 한다는 점은 누구나 공감하고 있습니다.

‘전력’이 아주 중요한 국가기간시설이라는 점에서 만일 사이버공격이나 보안위협에 노출될 경우 국가 존립 자체를 뒤흔들 수 있는 파장을 불러올 수 있기 때문에 스마트그리드 구축에서 보안은 필수적이고도 중요한 요소로 떠올랐습니다.

지식경제부가 내놓은 스마트그리드 국가로드맵과 현재 활발히 추진되는 제주 스마트그리드 실증단지 사업에서도 적합한 보안체계 구축을 위한 사업이 추진되고 있습니다. 

이날 열린 전문가 간담회에서도 앞으로 국가 차원의 스마트그리드 보안을 위한 정책 방향을 그리기 위해 현재 추진되는 관련 보안 현황과 향후 과제, 이슈 등이 발표되고 논의됐습니다.

한 꼭지의 기사로 처리하기에는 방대하고 각 분야 전문가들이 현재 추진되는 스마트그리드 보안 내용과 함께 여러 중요한 의견을 내주셨기 때문에, 이날 간담회에서 발표된 내용을 중심으로 최대한 담을 수 있도록 소개해보려고 합니다.

먼저, 이재일 한국인터넷진흥원 인터넷융합단장의 ‘스마트그리드 보안현황과 정책방향’ 주제발표부터 시작하겠습니다.

- 스마트그리드 보안 이슈

전력망과 인터넷이 연계되는 스마트그리드는 인터넷의 내재적인 취약성으로 인해 외부의 공격 위협에 노출될 가능성이 존재한다.

가장 큰 위협은 전력공급이 중단되는 것으로, 스마트그리드의 통제권이 해커에게 넘어갈 경우엔 전력공급 차단을 넘어선 다양한 사회 인프라 공격으로 확대될 가능성이 있다.

또한 소비자의 전력 사용에 대한 상세정보가 자동으로 양방향 전송됨에 따라 개인정보유출 가능성이 확대된다. 소비자 불만을 해소하기 위해서는 스마트그리드 개인정보유출 우려 등을 해소해야 한다. 전력 이용정보 유출 시에는 개인의 프라이버시가 침해당할 위험성이 나타난다.

소비자의 전력사용 통제권도 상실된다는 문제도 있는데, 전력회사에서 전력수요가 높은 시간대에 소비자 의사와는 별개로 개별 스마트 전자제품의 전력공급을 제어할 수 있기 때문이다. 또한 비정상적인 외부 통제에 의해 소비자가 전력을 자유롭게 사용하지 못한다는 위협도 발생할 수 있다.

특히, 스마트기기의 전력사용량을 모니터링·통제하는 전력 및 중앙관제 시스템에 대한 사이버 테러는 전력공급 차단 등의 전력 통제권 상실로 직결될 개연성이 존재한다.

- 스마트그리드의 기술적 보안

가정용 단말장비에 대한 이용자 인증 및 전력인증이 유무선 환경에서 동시에 수행됨에 따라 상호호환성 문제나 무선기술(와이파이) 보안취약성이 발생할 수 있다.

따라서 소비자 및 스마트기기 인증을 위한 인증시스템이 필요하고, 스마트기기에서의 과도한 개인정보 수집을 최소화할 수 있는 필터링 기술, 무선랜 보안기술(보안설정 강화)이 필요하다.

전력사용량을 측정해 해당 정보를 송수신할 수 있는 전자적계량기인 스마트미터는 전력사용자의 외부통신망과 내부통신망 연결접점으로, 해킹이나 웜바이러스, DDoS 등 공격 타깃이 될 가능성이 높다.

따라서 스마트미터 자체의 취약성을 보완해 외부공격에 대응할 수 있는 보안칩이나 안티바이러스 연구 등이 필요하며, 통신구간 개인정보의 암호화 전송으로 개인정보 유출 가능성을 제거해야 한다. 스마트미터에 대한 접근통제를 위한 물리적 시건장치, 인증 및 로그관리 기술 등도 필요하다.

가정의 전력 사용정보를 제공에 이용되는 가정의 통신망과 전력사업자의 데이터 전송구간인 통신망(WAN) 구간은 전통적인 유무선 통신기술에 내재된 취약성과 해킹공격 등에 노출될 수 있다.

이를 위해 VPN 등을 통한 암호화 통신, 상황관제 및 통합보안관리체계 구축, 전력선 기반 통신의 셀간 위협 차단을 위한 기술 개발이 필요하다.

전력인프라 보안을 위해 송·배전 시스템의 취약성을 보완하기 위한 하드웨어 및 소프트웨어 보안성 평가가 필수적이며, 현재 정보통신기반시설을 추가해야 하고, 이를 위한 기반시설 취약성 분석, 평가기준을 마련해야 한다.

고객정보가 한곳으로 모이기 때문에 대량의 데이터관리 기술도 필요하다.

- 스마트그리드 관련 정보보호 법제도

스마트그리드 정보보호 관련 사항은 기존의 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)과 정보통신기반보호법을 활용해야 한다. 필요 시 이같은 기존 법안을 확대 적용하도록 해 향후 등장할 다양한 IT융복합 서비스를 포함할 수 있도록 검토해야 한다. 

유비쿼터스 도시의 건설 등에 관한 법률은 U-시티의 정보보호를 위해 정보통신망법과 정보통신기반보호법 등 현행 정보보호 관련 법률을 활용한 바 있다.

전력설비 상태감시/관리시스템인 송변전 SCADA시스템, 배전자동화시스템, 전력계통운영시스템 등은 현재 정보통신기반보호법상 기반시설로 지정, 관리되고 있다.

향후 스마트그리드 활성화를 위한 특별법 제정시에는 이같은 정보보호 관련법과의 관계를 고려해 입법 검토해야 한다.

스마트그리드 보안정책 방향은 아래 슬라이드를 참고하세요.

사용자 삽입 이미지

사용자 삽입 이미지

 

2010/04/21 09:00 2010/04/21 09:00