방송통신위원회와 한국인터넷진흥원(KISA)은 최근 발생한 사이버침해사고와 국내외 보안업체들의 전망을 분석해 올해 대두될 7대 사이버위협을 선정해 발표했습니다.

최근의 사이버공격의 특징은 지능화, 복합화입니다. 그 중에서도 올해에는 ▲총선과 대선 등 국가 주요 행사를 겨냥한 사이버공격 증가 ▲웹하드·소셜네트워크서비스(SNS) 악성코드 유포 증가 ▲국가·기업·개인 정보탈취형 지능형지속위협(APT) 공격 지속 ▲모바일 악성코드로 인한 보안위협 현실화 ▲한글 프로그램 등 이용자가 많은 국산 소프트웨어 취약점 공격 ▲클라우드 서비스 보안위협 증가 ▲DNS 서버 대상 DDoS 공격 위협 증가가 전망됐습니다. (관련기사 선거·엑스포 등 올해 국가 주요행사 겨냥 사이버위협 증가)

방통위와 KISA는 이같은 전망에 따른 위협 예방 및 대응 활동을 강화할 계획입니다. 현재 추진 중인 대응방안을 각 위협 전망 항목별로 살펴보겠습니다.

1. 국가 주요 행사 겨냥 공격 대비체계 강화

올해에는 주요한 국가 행사가 줄줄이 이어집니다. 3월 서울 핵안보정상회의, 4월 국회의원 선거 5~8월 여수 세계박람회 12월 대통령 선거 등이 있지요.

최근 사회 혼란을 유발하거나 정치적인 목적으로 국민들이 높은 관심을 갖는 주요 행사가 있을 때를 노려 사이버공격이 많이 발생하고 있습니다.

DDoS 공격이 대표적이고, 행사 안내나 선거 정보 등 관심사를 악용해 사용자들에게 메일을 보내 악성코드에 감염시켜 다른 공격에 이용하는 일도 빈번히 벌어져 왔죠. 

국가 주요행사를 겨냥한 공격 증가 예상이라는 문구를 접하니 가장 먼저 작년 10.26 보궐선거 때 발생했던 중앙선거관리위원회 홈페이지 DDoS 사건이 떠오르더군요. 검찰 수사도 종료됐지만, 지금까지 논란은 계속되고 있습니다. 많은 의구심이 해소되지 않았기 때문이지요. 과거사(?) 정리를 확실히 해야하겠지만, 앞으로 이런 일이 다시 발생하지도 않길 바랍니다.

KISA 인터넷침해대응센터는 행사 관련 웹사이트를 집중 모니터링할 계획이라고 합니다. 특별히 홈페이지 접속장애나 악성코드 은닉여부 조기탐지, DDoS 탐지해 대응할 계획이라고 합니다.

이상징후가 포착되면 정보통신서비스사업자(ISP)를 통한 초동대응과 함께 해당 사이트 운영기관 등에서 조치를 취하도록 알려주는 역할을 할 수 있습니다. 이를 위해 행사 관련기관과는 비상연락망을 운영하고, 국가사이버안전센터·경찰청 등 관련기관과 ISP·보안업체 등과의 공조도 강화할 방침입니다.

2. 웹하드, SNS 악성코드 탐지 강화

웹하드나 P2P 사이트 등에서의 악성코드 유포 문제가 심각하지요. DDoS 공격이나 대규모 개인정보유출 사건과 같은 대규모 보안사고가 발생하면, 악성코드 유포 경로가 웹하드 프로그램인 경우가 많았습니다.

공격자들은 사용자들이 파일을 다운로드하기 위해 설치하는 웹하드 전용 프로그램을 변조하거나 업데이트 프로그램을 다운로드하는 것처럼 속여 악성코드를 유포하는 방식을 많이 이용하고 있습니다. 이렇게 내려받은 악성코드에 감염되면 좀비PC가 돼 DDoS 공격에 이용되고, 회사 내부시스템에 침투해 개인정보 등을 유출하거나 이를 위해 시스템 관리자 계정을 탈취하는데 악용됩니다.

방통위와 KISA는 190개 웹하드 사이트의 전용 프로그램 변조여부 탐지 활동을 2월부터 시작할 예정입니다.  이를 위해 웹하드 은닉형 악성코드 탐지 시스템도 작년에 개발했습니다.

웹하드 프로그램에나 게시물, 컨텐츠에 숨겨진 악성코드 여부를 탐지, 위험도를 판별할 수 있는 이 기술을 활용해 업체들에게 알려주고, 기술지원도 강화할 계획입니다.

방통위는 작년 12월에 웹하드 사업자를 대상으로 실태점검을 실시했습니다. 협조가 잘 안돼 대상사업자 106개 중 결국 8곳만 점검을 벌인 수준이미에도, 점검 결과 보안장비를 전혀 갖추고 있지 않는 등 보안체계는 매우 취약했다고 합니다.

지난해 개정된 전기통신사업법에 따라 작년 11월 21일부터 웹하드 등록제가 시행됐는데요. 현재까지 등록한 웹하드 업체는 전무하다고 합니다.

기존 업체들은 법에서 정한 불법 저작물 청소년 유해정보 유통방지 및 정보보호를 위한 기술적 조치요건를 이행할 계획을 마련해 6개월 이내에 등록을 마쳐야 합니다. 법적 효력은 오는 5월 20일 이후에는 발생하게 될텐데요. 이를 통해 연내에는 웹하드 보안수준도 강화될 수 있길 기대해봅니다.

방통위와 KISA는 포털 등의 인기 검색어를 통해 유포되는 악성코드 탐지 활동도 강화하고 있습니다.

검색엔진에서 제공하는 실시간 검색어를 악용해 악성코드를 유포하는 URL를 수집, 점검할 수 있는 기술도 보급하고 있습니다. 인기가 많은 SNS 게시글 내에 포함된 URL이나 단축 URL의 악성코드 은닉여부도 알 수 있는 기술이라고 하는데요. 포털 ‘다음’이 이 기술을 이전받기로 계약한 상태랍니다.

특히 단축 URL의 경우는 사용자들이 신뢰된 URL인지 여부를 쉽게 판별할 수 없기 때문에, 사용자 수가 대형 포털과 같이 많은 웹사이트 운영사들의 자발적인 정화 노력에 한층 힘을 기울여야 할 것으로 보입니다.

3. APT 공격 대응 전략

사실 방통위와 KISA도 APT 공격 대응 전략은 딱히 없습니다. APT 공격은 중요 국가 기반시설이나 기업 등 특정한 표적을 겨냥해 중요 정보 유출이나 시스템 마비와 같이 공격 목적을 달성하기 위해 은밀하게 오랜 기간 동안 공격을 수행합니다. 기존 공격 기법뿐 아니라 새로운 공격기법 등 여러 기법을 이용하고, 심지어 공격 대상이 가진 보안체계를 알아내 우회할 수 있는 수법을 이용해 공격을 성공시킵니다. 기업이 공격 사실을 인지하는 시점은 이미 피해가 발생한 때라고 보면 된다고 하지요.

하지만 KISA는 기업이 APT 공격을 예방할 수 있도록 가이드라인을 개발해 보급할 예정입니다. 5월 경으로 예상하고 있고요. APT 공격 대응을 위해서 어디서부터 손을 대야 할지, 무엇을 해야할지 잘 모르는 기업들은 참조가 될 수 있겠습니다.

조만간 공포될 개정된 정보통신망법에 따라 기업의 정보보호관리체계(ISMS) 인증이 의무화되면 전반적인 보안체계가 기존보다 강화될 수 있다는 점에서 일정부분 효과가 있을 것으로도 판단하고 있습니다. (관련기사
방통위, 기업 정보보호 관리제도 전면 개편, 새해 강화된 개인정보보호 법 시행, 무엇이 달라지나)

이밖에도 지능화된 공격에 신속하게 대응할 수 있는 해킹 피해시스템 분석, 은닉회피·커널감염 등 악성코드 분석기법 연구 등도 진행해 신규 공격기법 대응방안을 마련하는데 주력할 계획이라고 합니다.

4. 모바일(스마트폰) 이용자 보호 방안

모바일 악성코드 위협이 점점 현실화되고 있습니다. 올 1월 초에 ‘New Year 2012 Live Wallpaper’라는 이름의 악성 안드로이드 애플리케이션(앱)이 정상 앱으로 위장해 안드로이드 마켓과 국내 인터넷 자료실에서 유포되는 사례가 발생했었죠.

이 악성코드에 감염되면 이메일 주소 등 개인정보가 유출될 수 있었는데요. 다행히 일찍 발견, 조치해 KISA에 접수된 국내 피해 사례는 없다고 합니다.

스마트폰·태블릿 등 모바일 기기 사용자가 급증하고 있기 때문에 모바일 악성코드 위협으로 인한 피해 현실화는 시간 문제로 보입니다. 보안업체들이 집계하는 모바일 악성코드 수도 최근 크게 늘어나고 있는 것도 사실이고요.

일단 KISA는 안드로이드 마켓의 악성 앱을 팀지, 차단할 수 있도록 모바일 악성코드 수집분석 시스템을 구축하고 있습니다. 이 시스템을 바탕으로 안드로이드 마켓에서 유통되는 앱을 수집·분석해 현재 무료 배포 중인 스마트폰 자가점검앱(S.S Checker) 등을 통해 악성 앱 정보를 전파할 계획입니다.

또 방통위와 KISA, 3개 이동통신사, 단말기 제조사, 보안업체가 공동 참여하고 있는 스마트폰 정보보호 민관합동 대응반을 통해 모바일 악성코드가 출현하면 이용자 피해를 최소화할 수 있도록 체계를 마련해 놓고 있습니다.

5. 국산 SW 취약점 사전조치

작년에 한글과컴퓨터의 한글 프로그램에서 보안취약점이 여러 번 발견됐었습니다. 알툴즈 업데이트 프로그램이 SK커뮤니케이션즈 이용자 대량 개인정보 유출 공격에 악용되기도 했죠.

국내 이용자가 많은 소프트웨어의 보안취약점을 악용한 공격을 예방할 수 있도록 신규 취약점 탐지·분석 활동을 강화하고, 취약점정보공유시스템을 통해 취약점 정보를 공유하도록 시도하고 있습니다. 

일단은 KISA에서 취약점정보공유시스템을 구축해 소프트웨어 개발업체, 백신 및 보안 솔루션업체 등이 발견한 취약점 정보를 등록하고 확인해 전파하거나 대응할 수 있는 체계를 구축해 놨습니다.

민간업체들이 얼마나 자발적으로 취약점 정보를 제공하고 공유할 수 있을지는 두고 봐야 할 것 같은데요. 우선 시범 운용형태로 해보고 장기적으로 ‘취약점정보공유분석센터’ 구축도 검토한다고 합니다. 취약점정보공유분석센터 등과 같은 체계를 만든다는 계획은 서종렬 KISA 원장 등이 앞서 언급한 적이 있는데, 올해 예산 편성에서 누락됐다고 합니다.

6. 클라우드 서비스 보안대책

모바일과 함께 클라우드 컴퓨팅도 대세이지요. ‘보안’은 기업이 클라우드 도입에서 가장 우려되는 항목 1~2순위로 꼽힙니다. IT자원 가상화 및 공유, 정보 집중화와 같은 클라우드의 특징이 보안 문제를 걱정하게 만드는 요인입니다. 이에 대한 보안 방안이 제대로 갖춰져 있지 않는다면 정보 유출 우려가 있고 서비스 가용성과 비즈니스 연속성 문제로 크게 타격을 입을 수도 있기 때문입니다.

지난해 아마존 등 해외 클라우드 서비스에서 장애가 나 서비스 이용 기업들이 피해를 본 사례도 있었죠. 클라우드 서비스 신뢰성 확보는 필수사항입니다.

방통위는 클라우드 품질이나 보안에 대한 이용자 불안감을 해소하기 위해 클라우드 서비스 제공업체를 대상으로 클라우드서비스 인증제를 2월부터 실시할 계획입니다. (관련기사 ‘클라우드 서비스 인증제’ 시행, 실효성 있을까, 2월부터 클라우드서비스 인증제 본격 시행)

산하기관인 클라우드서비스협회를 주축으로 전문가들이 참여하는 인증위원회를 두고 품질, 정보보호, 기반 등 3대 분야의 ▲가용성 ▲확장성 ▲성능(속도) ▲데이터 관리 ▲보안 ▲서비스 지속성 ▲서비스 지원의 7개 항목을 심사해 인증서를 발급할 예정인데요. 민간 인증이니 사업자들이 자발적으로 참여해 받게 됩니다.

방통위는 클라우드 서비스 사업자의 정보보호 관리 등급제도 도입할 예정입니다.

2월 중 공포될 것으로 예상되는 개정 정보통신망법에 신설된 정보보호관리체계(ISMS) 의무화(안전진단 폐지) 관련 조항(제47조의5)을 적용해 클라우드서비스 사업자들이 ISMS를 받도록 함으로써 안전한 클라우드 서비스 활성화를 위한 기반 환경 조성에 기여한다는 방침입니다. 

이 점에서 클라우드 인증제의 운영주체는 클라우드서비스협회이고, ISMS는 KISA가 담당하고 있으니 이 부분에 정리가 필요할 것이란 생각이 드는군요. 

방통위는 “정보통신망법에 따라 ISMS를 통해 정보보호 등급제를 적용받은 클라우드 서비스 사업자는 클라우드 인증제 보안 심사 항목은 갈음할 수 있는 방식 등 중복으로 받지 않도록 제도를 연동 운영할 방침”이라고 말했습니다.

KISA도 “이와 관련해 추가 협의가 필요하다”는 입장입니다.

이같은 제도가 잘 운영되고 홍보효과까지 결합된다면, 이용자들이 서비스 사업자의 정보보호 수준을 고려해 인증받거나 정보보호 등급이 높은 클라우드 서비스를 선택할 수 있겠네요.

7. DNS 대상 DDoS 공격 대응 기반 마련

작년에 게임사들의 DNS 서버를 대상으로 DDoS 공격이 발생한 사고가 몇 차례 발생했다고 합니다.

그동안 DDoS 공격은 네트워크 대역폭 이상의 공격을 폭주시키거나 웹서버를 대상으로 사이트를 마비시키는 공격 형태가 많았는데요. KISA는 여러 서버 시스템을 한꺼번에 마비시키는 효과를 올릴 수 있다는 점에서 연동돼 있는 DNS 서버를 대상으로 한 DDoS 공격이 많아질 것으로 예상하고 있습니다. ‘이왕이면 한방에 큰 피해를 유발하자’는 생각이라면 웹 호스팅 업체나 IDC 내 DNS 서버, DNS 서비스 업체들의 시스템을 대상으로 공격을 벌일 수 있겠다 싶네요. 납득이 됩니다.

문제는 아직까지 DNS DDoS 방어체계가 제대로 구축돼 있지 않다는 점입니다. 

KISA에서 운영하는 사이버대피소도 웹서버 대상 DDoS 공격 대피소체계만 운영돼 있다고 하는데요. 원유재 KISA 인터넷침해대응센터 본부장은 “DNS DDoS 공격은 공격 패킷이 달라 사이버대피소도 새롭게 구축해야 하지만 예산 문제가 있다”고 설명했습니다. 그래서 유사시에 현재의 체계를 활용해 DNS DDoS 공격을 방어할 수 있는 방안을 찾고 있다고 합니다.

이를 운영해본 후 내년에 예산을 확보해 DNS DDoS 방어체계를 구축할 계획입니다.

방안이 마련되기 전에 큰 피해를 유발할 수 있는 심각한 DNS DDoS 공격이 발생하지 않았으면 하네요.

[기획/보안강국을 위한 쓴소리-보안관제 현황 진단①]

3500만명의 고객정보가 유출된 SK커뮤니케이션즈(SK컴즈)의 네이트·싸이월드 해킹 사고를 계기로 우리나라 ‘주민등록번호’ 제도가 또다시 핫이슈로 부상하고 있습니다.

단일 보안사고로 개인정보 유출 규모가 사실상 인터넷을 사용하는 모든 국민의 개인정보가 유출된 것으로 간주할 수 있다는 점에서 이번 사고 직후 보다 획기적이고 근본적인 개인정보보호 대책이 필요하다는 공감대가 형성됐기 때문입니다.  

주민번호 제도 자체를 손질하건, 수집·활용 관행을 바꾸건 간에 주민번호는 개인정보보호 방안의 중심에 있는 것이 사실입니다.

주민등록번호제도는 1962년 제정·공포된 주민등록법에 따라 50년 가까이 운영돼 왔습니다. 행정업무를 쉽게 처리할 수 있게 하고 범죄 발생시 범인 검거에 결정적인 역할을 하는 등 긍정적인 면도 많지만 지나친 국가통제·감시 수단이라는 비판도 꾸준히 제기돼 왔습니다.

주민번호는 가장 확실한 개인 식별, 본인확인 수단이니 온·오프라인을 막론하고 광범위하게 활용돼 왔습니다. 그러다보니 이를 유출해 악용하는 사례가 많아졌습니다. 특히 오프라인에서의 관행이 그대로 인터넷에 적용되면서 문제는 더욱 심각해졌습니다.

지난 2008년 발생한 옥션 해킹 사고는 1870만명의 회원정보를 통째로 유출하는 첫 대형 개인정보 유출 사례가 됐고, 그 전후에도 계속해서 인터넷상에 개인정보가 노출되거나 해킹 등으로 유출돼 왔습니다.

이제 우리나라 인터넷 사용자 대다수는 영구불변하고 가장 확실한 신원확인 수단인 내 주민번호가 제대로 보호받지 못한 채 불법 유출돼 마케팅에, 범죄에 불법 활용되고 있고 인터넷상에 떠돌고 있다는 것을 알고 있습니다.  

해외 웹사이트에서는 한국인의 주민번호를 쉽게 찾아볼 수 있습니다. 그만큼 우리나라 국민이 스팸이나 피싱, 금융사기를 비롯한 다양한 범죄에 노출돼 있다는 것을 의미합니다. 

누구나 합의하고 있는 기본 원칙은 온·오프라인을 막론하고 사회적으로 광범위하게 사용하고 있고 명백하게 개인을 식별할 수 있는 주민번호의 수집·활용·보관을 최소화해야 한다는 점입니다. 

그 이유로 이번 사고 발생 이후 방송통신위원회와 행정안전부, 여당(한나라당)까지 나서 여기에 초점을 둔 개인정보보호 강화 대책을 잇달아 내놓고 있습니다. (당정, 주민등록번호 활용 최소화 합의, 방통위 “인터넷상 주민번호 수집 원칙적 금지”)

정부의 대책은 인터넷상의 개인정보 수집·활용을 최소화하도록 하고(추가방안 마련 중), 인터넷상의 식별번호 수단인 ‘아이핀(i-PIN)’ 사용을 확대하고 보호조치를 강화하는 게 골자입니다.

하지만 진보네트워크센터(진보넷) 등 시민단체는 주민번호 재발급과 행정목적 이외의 민간 주민번호 수집·사용 금지와 사실상의 인터넷실명제인 제한적 본인확인제 폐지를 해결책으로 제시하고 있습니다.

지난 2008년 옥션을 비롯해 하나로텔레콤 등에서 잇달아 개인정보 유출 사고가 이어졌을 때부터 시민단체는 줄곧 민간·인터넷상의 주민번호 수집 금지, 주민번호 변경·재발급을 포함한 주민번호제도 개선·폐지 등을 요구해 왔습니다. (관련기사 “개인정보유출, 주민등록번호 수집이 문제”)

당시 정부에 주민번호 변경을 신청했던 진보넷은 지난 2일부터 주민번호 변경을 요구하는 청원 운동을 다음 아고라(http://agora.media.daum.net/petition/view.html?id=110274)에서 시작했습니다. (관련기사 개인정보유출 피해자 10명, 주민번호 변경 청구)

개인정보가 유출된 피해자들인 청원 참가자들로부터 주민번호 변경 청구서를 받아 행정안전부에 제출할 계획입니다.

진보넷은 주민번호 변경 청원운동 대국민 제안서에 “공공기관에, 은행에, 인터넷사이트에 앞으로도 주민번호를 계속 써야 한다. 전국민의 주민번호가 이미 유출됐는데 평생 이 번호를 그대로 쓰라는 건 말도 안된다”고 강조했습니다.

이를 요구하는 성명서에서는 “주민번호는 해당 유출사이트 뿐 아니라 대한민국 모든 민간과 공공 사이트에도 접속할 수 있는 만능 인증키이며 원격 거래에도 사용되고 있기 때문에 주민번호 유출은 추가적인 중대 피해로 이어질 수밖에 없다. 그런데도 주민번호를 변경할 수 없기 때문에, 유출 피해자는 주민번호의 도용을 속수무책으로 당할 수밖에 없다”고 지적했습니다.

이번 사건으로 사실상 전국민의 주민번호가 유출된 상황에서 그로인한 피해를 최소화할 수 있는 유력한 방법이 주민번호 변경이라는 것입니다. 

아이핀이 대안이 될 수 없는 이유로는 “아이핀은 정부가 인터넷에 주민번호 대신 보급중인 13자리 가상 주민번호로 5개 민간 신용정보회사들이 발급하고 있다. 아이핀 역시 식별번호이고,  아이핀은 본인확인정보를 5개 민간 신용정보회사로 집중시킨다는 점에서 오히려 부당한 표적이 될 가능성을 높다”고 밝혔습니다. 

이에 대해 행정안전부는 주민번호 변경을 허용하지 않는다는 입장을 내놨습니다. 

주민번호를 변경하려면 막대한 사회적 비용을 초래할 수 있고 자동차 면허, 부동산 등기, 예금 등 광범위하게 사용해 왔기 때문에 오히려 불편을 겪을 우려가 있다는 이유에서입니다. 

대신에 개인정보보호를 위해 주민번호 대체수단이 필요하다는 인식을 갖고 주민등록번호와 증 발행번호로 이원화한다는 계획입니다.

주민등록번호를 대체하는 역할로, 개인정보를 식별하거나 유추할 수 없는 체계로 증 발행번호를 구성해 필요시 변경을 허용한다는 방안입니다.

이미 작년 9월 주민등록증 수록항목에 발행번호를 추가하는 주민등록법 개정안을 국회에 제출했습니다.

또 유예기간을 두고 향후 주민번호 사용을 원칙적으로 제한하는 방안도 검토 중이라고 밝혔습니다.

이에 대해 진보넷은 아이핀과 발행번호 발급을 통해 주민번호를 이원화한다는 방침이 근원적인 대책이 되지 않는다는 입장을 이렇게 말하고 반문하며 다시 확인했습니다.

“행안부가 주민증 발행번호 제도 도입을 명시했다는 법안은 바로 전자주민증 도입 법안”
“행안부는 주민증 발행 번호 제도를 도입하겠다면서 주민번호 병행 사용 방침을 밝히고 있다. 이게 대체 무슨 대책이란 말인가?”
“이번 개인정보 유출 사고를 전자주민증 도입의 계기로 삼으려 한다는 사실이 매우 유감스럽다”며, “정부망을 포함해 어떤 시스템도 완벽한 보안이란 존재하지 않으며 불필요한 개인정보의 전자적 유통을 최소화하는 것이 정답”

반면에 행안부는 전자주민증에 있는 보안성 높은 IC칩에 주민등록번호 등 민감한 개인정보를 내장하고 증 발행번호를 고유번호로 쓰면 주민등록번호의 역할을 대신할 수 있어 해결책이 된다는 것입니다. 따라서 주민등록번호 변경 등에 따른 큰 사회적 혼란을 없애고 주민번호 유출에 따른 오·남용 문제도 해결될 수 있다는 입장입니다.

시민단체와 정부는 이렇게 팽팽하게 맞서고 있습니다.  

이번 사고 이후 정부가 최근 내놓은 대책은 미흡하다고 여겨지는 것은 사실입니다.

또 시민단체가 제시한 주민번호 재발급이 너무 엄청나다는 생각이 들어서인지 다음 아고라 주민번호 재발급 청원운동 참여자 수도 그리 크게 늘고 있지는 않습니다.

과연 털려나간 개인정보 유출 피해를 막고 향후 이런 사태를 방지할 수 있는 근본 해결책이 되면서도 실현할 수 있는 방안을 찾을 수 있을까요?

국가정보원 IT보안인증사무국이 새해 들어 국가기관에 도입되는 정보보호 제품 등에 적용해온 보안성 검증제도를 대폭 흔들었습니다. (관련기사)

이번 변경으로 우리나라 정보보호 제품 평가·인증, 보안적합성검증제도는 사실상 지난 2006년 5월 공통평가기준상호인정협정(CCRA)에 우리나라가 가입하기 이전 상황으로 돌아갔습니다.

정보보호제품 인증기관인 국가정보원과 당시 평가정책 주무부처였던 정보통신부는 지난 2004년 9월 CCRA 가입 신청을 한 뒤, 2005년 5월에 정보보호 제품 평가·인증제도를 CC로 일원화한다는 방침을 수립했습니다. 평가대상도 방화벽, 침입탐지시스템, 운영체제보안솔루션 등 6종에서 정보보호 제품 전체로 확대했습니다.

물론 CCRA 가입으로 인한 평가적체와 혼란, 업계의 부담이 가중되면서 지난 2009년까지 꾸준히 이같은 문제를 해소하기 위해 정보보호 제품 평가인증제도와 국가기관 도입절차를 손질해 왔습니다. 그 과정에서 해외에서는 인정되지 않는 ‘국내용 CC’란 제도도 생겼지요.

그런 측면에서 이번 국정원의 ‘보안적합성 검증제도 개선’은 그 완결판이라고 할 수 있겠습니다.

제도가 계속 변경되면서 정보보호 제품의 국가기관 도입 절차가 한층 간소해지고, 업계의 부담이 한층 덜어지게 된 것이 사실입니다.

이번에 평가대상으로 지정된 25개 정보보호 제품 중 스마트카드만 제외하면 EAL(평가보증등급)2 등급의 CC인증을 받으면 국가기관에 납품할 수 있습니다. 예전에는 비교적 높은 등급인 EAL3+, EAL4가 기준이었고, 2008년에 대거 한단계씩 낮춰 업체들을 평가제출물을 간소화시켰습니다. 이제는 EAL2가 기준이 됐습니다.

또 국내용 CC인증이나 암호검증을 받은 정보보호 제품은 국가기관에 설치된 후에 보안적합성 검증을 다시 받을 필요가 없게 됐습니다. 보안적합성 검증도 제품마다 딱 한번만 받으면 됩니다.

이번 제도 변화가 효율성과 편의성 측면에서는 긍정적일 수 있겠습니다. 그러나 장기적으로 정보보호 산업계와 국가 정보보호 수준제고에 어떤 좋고 나쁜 영향을 미칠지는 의문입니다.

현재 시점에서는 사실 CCRA 가입을 준비하면서 5년 전에 엄청난 혼란을 겪으며 제도를 전혀 새롭게 바꿨던 과정이 의미 없게 느껴지기도 합니다.

CCRA 가입과 CC 평가인증제도 시행에 관해 국가정보원은 “국제수준에 부합한 평가체계를 갖추게 된 것”이라는 의미를 부여했었습니다. 글로벌 수준에 맞는 평가체계 운영으로 정보보호 제품의 품질과 안전성을 더욱 높임으로써 결과적으로 산업 경쟁력과 활성화를 높일 수 있게 될 것이라는 겁니다. 당연히 수출에도 도움이 될 것이고 그 평가체계를 기반으로 안전성과 신뢰성을 확보한 정보보호 제품을 쓰는 국가기관의 보안수준을 높이는 데에도 큰 역할을 할 것이란 논리를 갖고 있었습니다.

국내용 CC를 만들어 평가·인증제도를 이원화하는 것을 기점으로 계속된 제도 변화는 여러 면에서 국정원 스스로 CCRA 가입 취지를 무색하게 만들었고 제도의 정합성을 잃어버리고 있다고 평가합니다.

국내용 CC의 평가방식은 갈수록 ‘진짜’ CC와 멀어지고 있다는 점을 업계의 인증담당자들도 인정하고 있습니다.

작년에도 정보보호 제품 평가기관을 담당하는 한국인터넷진흥원(KISA)에서 평가방식을 변경해 한단계 더 앞으로 나아갔었지요. 제출문서 평가는 대폭 간소화하고 취약점 점검 중심으로 변화됐습니다. (관련기사 정보보호 제품 국내용 CC평가 수수료 줄인다, KISA, 정보보안 제품 평가제도 변경 추진)

이번에는 더 심해졌습니다.

국내용 CC와 국가용 암호제품은 이제 보안적합성 검증을 받지 않아도 된답니다. ‘국내용이 아닌’ CC를 받은 제품은 보안적합성 검증을 받아야 한다는 의미가 숨겨져 있는 것으로 풀이됩니다. 외산 제품들은 받아야 한다는 것이겠죠.

또 국내용 CC가 만들어진 후, 가뜩이나 국산 제품들은 국내용 CC만 받고 있는데요. 이 정책 때문에 보안적합성 검증을 한번 더 거치지 않기 위해서라도 업체들은 국내용 CC를 받고자 할 것입니다.

지금까지 ‘수출’과 CC 제도와는 아무런 연관성이 없었다는 의미로도 해석될 수 있겠습니다.

한가지 더 의아한 점이 있습니다. 보안적합성 검증제도 변화와 관련한 점인데요. 국정원은 이번에 1년 반 전에 폐지했던 검증필 제품목록을 부활시켰습니다.

지난 2008년 6월부터 ‘선 도입 후 검증’정책을 시행하면서 국정원은 보안적합성 검증은 ‘운용상 잠재할 수 있는 보안취약점을 개선하는 절차’로 운영해 왔습니다.

CC인증 제품에 한 해 국가기관이 제품을 도입할 수 있도록 하고, 해당 제품이 설치된 운영환경 전체를 검증을 신청토록 바꿨던 방침을 이번에 전면 수정한 것입니다. 다시 제품별 검증체계로 돌아왔습니다. 그렇다면 앞으로는 국내용 CC 대상 25개 제품이 아니거나 국가암호제품으로 등재되지 않는 제품은 도입 전에 제품별로 보안적합성 검증을 받아야 하는 걸까요?

그렇다면 앞으로는 국가기관에서 나타날 수 있는 운용상의 취약점 점검은 시행하지 않는 것인가요?

국정원 IT보안인증사무국은 좀 더 명확하고 구체적인 절차를 내놓을 필요가 있습니다.

사실 국정원의 보안성 검증 관련제도는 이전에도 일관성 없는 정책이 도마에 올랐었습니다. 가까운 일은 지난 2009년 7월 7일부터 3일 간, 7.7 DDoS(분산서비스거부) 공격 사고가 발생한 뒤에 DDoS 대책을 수립하면서 DDoS 대응 장비에 적용했던 ‘별도지정’제도 때문이었습니다. (참고하세요) 그 별도지정 제도도 이번에 폐지했습니다.

이번 건으로 또 다시 일관성 없는 정책을 운영하고 있다는 비판이 제기될만합니다.

성균관대 김승주 교수도 같은 문제를 지적합니다. 국정원이 일관성 없이, 예측 가능하지 않게 정보보호 제품 평가·인증 제도를 운영하고 있다는 점입니다. 앞서 쓴 기사에 언급한 내용입니다.

성균관대 김승주 교수는 “정부가 제도를 만들고 운영할 때에는 일관성과 예측가능성이 중요한데, CC 등 정보보호 제품 보안성검증제도는 이 두가지 기본원칙이 전혀 지켜지지 않고 있다”며, “이번에 변경한 제도는 국가기관의 보안이라는 당초 운영 취지보다는 업계의 편의성과 부담을 해소하는 것에 맞춰졌지만, 오히려 시장을 교란할 수 있다”고 지적했다.

김 교수는 “처음 CC제도를 시행하면서 대상 제품을 6개로 운영해오다 IT 전 제품으로 확대했다 이번에 다시 25개 정보보호 제품으로 한정했다. 기본적으로 일관성에 문제가 있다”고 말했습니다.

이어서 “향후 국정원은 CC 대상을 추가할 수 있다고만 밝혔는데, 현재 존재하지 않은 신기술을 개발했거나 새로운 사업을 할 경우엔 어떤 제도를 따라야 하는지 모를 수 있다”고 덧붙였습니다.

보안적합성 검증에 대해서도 김 교수는 “보안적합성 검증제 운영 취지는 국가기관의 보안성이지, 업계의 편의성을 봐주는데 있는 것이 아니다”라고 일침을 가했습니다. 더불어 “공공기관의 모바일 업무환경 도입에는 보안을 문제로 완강한 입장을 보이는 국정원이 맞지 않은 모습을 보이고 있다”며, 사안별 방침에 대한 일관성 부족도 지적했습니다.

무엇보다 김 교수는 “정보보호 제품 평가·인증 제도는 예전 그대로 돌아왔다”고 일갈했습니다.

작년 G20 의장국 지위를 가졌던 우리나라, 한·미 FTA 한·EU FTA 체결에 적극적으로 나서면서 글로벌 위상, 해외 수출에 힘쏟는 우리나라가 이 문제도 진지하게 고민해봐야 하지 않을까요...?

보안적합성 검증개선.pdf

2011년, 정보보호 분야에서 달라지는 제도는 무엇일까요?

개인정보보호법이 작년에 국회를 통과했다면 많은 변화가 있었겠지만 올해에는 그간 시행돼 왔던 정보통신망법 등 정보보호 법제도와 정책을 강화하는 차원입니다.

한국인터넷진흥원 e콜센터 118에서 공인인증서 분실신고를 할 수 있도록 제공하는 것 외에는 이미 알려진 내용들이지만, 한눈에 살펴볼 수 있도로 정리해보겠습니다.

개인정보의 기술적 관리적 보호조치 기준 고시 개정

개인정보 출력·복사물 보호 조치와 관련해 방송통신위원회가 2010년 12월 28일 의결한 사항입니다.

개인정보 출력·복사물 보호 조치 의무사항과 관련해 사업자들이 구체적인 보호조치 방식을 자율적으로 적용할 수 있도록 변경됩니다. 

현 규정은 개인정보 출력 복사물에 대해 개인정보관리책임자의 사전승인을 받고 일련번호, 목적, 담당자, 파기일, 파기 책임자 등 8가지 항목을 의무적으로 준수하도록 규정돼 있습니다.

이같은 규정은 사업자들이 현실적으로 준수하기 어려운 부분이 있다는 점을 감안해, 개인정보의 출력 복사물 보호조치 의무는 유지하되 구체적인 보호조치 방식에 대해서는 해당 사업자에게 자율성을 부여하도록 변경키로 했습니다. 이에 따라 사업자는 자사 환경에 적합한 보호조치를 적용할 수 있도록 개정해 부담을 덜 수 있을 것으로 보입니다.

정보통신망법상 준용사업자 개인정보보호조치 세부기준 고시

행정안전부는 2010년 12월 30일 '사업자의 개인정보보호조치 세부기준'을 제정 고시했습니다.

이는 백화점·학원·병원·부동산중개업 등 준용사업자가 개인정보 취급 시 반드시 준수해야 할 세부 보호조치 기준을 별도로 마련한 것으로, 개인정보 암호화, 보안프로그램 설치 등 기술적 분야와 내부관리계획 수립, 책임자 지정 등 관리적 분야를 포함해 총 10개 항목으로 구성돼 있습니다.

특히, 부동산중개업과 같은 소상공인과 대기업이 처한 상황을 고려했고, 실태점검을 통해 확인된 업종별 특성을 반영해 보다 쉽게 사업자들이 개인정보보호조치 기준을 이행할 수 있다고 행정안전부와 한국인터넷진흥원(KISA)는 설명했습니다.

이번 기준 고시로 기존의 '개인정보의 기술적·관리적 보호조치 기준(방통위 고시)'는 앞으로 정보통신서비스 제공자만을 대상을 하게 됩니다.
 
e콜센터 118, 공인인증서 분실신고 가능

1월 31일부터 공인인증서를 분실할 경우 한국인터넷진흥원(KISA)이 운영하는 e콜센터 118 전화로 신고할 수 있습니다.

KISA는 5개 공인인증기관과 공인인증서 분실신고를 연동해 가입자들이 지역번호 없이 전국 어디서나 118로 전화하면 심야 시간대 등 업무시간 이후에도 공인인증서 분실신고를 접수해 공인인증서 효력정지나 폐지 처리할 예정입니다.

이에 따라 가입자 본인이 공인인증서 분실 시, 발급받은 공인인증기관을 알지 못하거나 공인인증기관 업무시간 이외에도 신속하게 신고 처리할 수 있어, 공인인증서 도용과 같은 사고 예방에 도움이 될 것으로 전망됩니다.

4월부터 안전성 강화된 신규 공인인증서 발급

공인인증서 안전성을 강화하기 위해 전자서명키를 1024비트에서 2048비트로 상향하고 해쉬 알고리즘도 SHA-1에서 SHA-256으로 교체한 신규 인증서가 4월 1일부터 발급됩니다.

이같은 암호체계 고도화로 2030년까지 공인인증서를 안전하게 이용할 수 있는 기술적 기반이 마련됩니다.

기존에 발급받은 공인인증서는 교체없이 유효기간 만료일까지 사용할 수 있으며, 신규 공인인증서를 보안토큰 등 보안 매체와 함께 사용하면 인증서 유효기간이 1년에서 2년으로 확대할 수 있습니다.

이밖에도 개인정보보호관리체계(PIMS) 인증이 올해부터 본격 시행됩니다.

PIMS는 기업이 고객 개인정보를 안전하게 수집 이용하기 위해 구축 운영하는 관리체계의 적합성을 검증해 일정 수준 이상의 기업에 인증을 부여하는 것으로, 인증 기업은 고객정보를 안전하게 관리하는 기업이라는 이미지를 제고할 수 있습니다.

방송통신위원회가 국민의 정보보호 인식제고를 위해 정보보호 홍보 TV방송을 시작합니다.

작년 7.7 분산서비스거부(DDoS) 공격 사태를 거치면서 이용자들의 PC보안 인식과 보안생활화가 아주 중요하게 부각된 것이 계기가 됐습니다.

이번 7월에도 작년에 치료되지 않은 좀비PC가 주요 국가기관, 은행, 포털 등의 웹사이트에 DDoS 공격을 가했었죠. 

방송통신위원회는 지상파 TV(KBS, MBC, SBS)와 보도전문채널(YTN, MBN)을 통해 평시엔 사이버침해 유형, 안전한 PC 이용방법, 악성코드 감염 방지 요령 등 정보보호 실천수칙을, 비상시에는 사이버침해 관련 상황과 대국민 행동요령을 신속히 전파한다는 계획입니다.

우선은 정보보호의 중요성을 알리기 위한 캠페인방송, 시사/교양정보 프로그램, 다큐멘터리 등의 형태로 시작될 예정입니다. 

원래는 TV 뉴스에서 제공하는 일기예보처럼 매일 국민들이 알아야 하는 정보보호 동향이나 사이버위협, 조치방안 등을 알려주는 형태로 기획이 됐었던 것으로 알고 있었습니다만, 아무래도 사회적으로 심각한 파급력을 주는 사이버공격은 예기치 않게 생겨 그런지 예보 보다는 홍보방송 형태가 되는 것 같습니다.

그래도 1.25 인터넷대란이나 전자금융거래 관련 보안사고, 7.7 DDoS 공격, 대규모 개인정보유출 사고처럼 큰 사건이 나지 않는 이상, 평소에 TV방송에서 정보보호를 이슈로 집중적으로 다뤄지진 않았던 점을 생각하면 고무적입니다.

일단 시작할 방송사별 프로그램입니다.

13일 청와대가 발표한 수석급 인사 명단에 김희정 한국인터넷진흥원(KISA) 원장이 올랐습니다. <관련기사 김희정 KISA 원장, 청와대 대변인 내정, KISA, 당분간 원장 직무대행체제…신임원장 공모 진행 예정>

김 원장은 작년 7월 23일 출범한 통합 한국인터넷진흥원 초대원장 자리를 물러나 청와대 대변인으로 옮기게 됩니다.

원장 임기 3년 중 1년도 다 채우지 못하고 가게 됐습니다. 이제는 인터넷진흥원 ‘원장’이 아니라 청와대 ‘대변인 내정자’로 불러야겠습니다.

이번 인사까지 포함해 김 대변인 내정자는 이제 항상 화제를 몰고 다니는 인물이 되고 있군요.

서른세살의 나이로 17대 한나라당 국회의원이 됐을 때에는 최연소 당선자였던 것을 비롯해 작년에 한국정보보호진흥원, 한국인터넷진흥원, 정보통신국제협력진흥원이 통합해 출범하는 거대 정부의 IT산하기관 초대원장으로 최초의 여성원장, 가장 젊은원장이 됐습니다.

젊은 나이와 경험, ‘한나라당’ 국회의원 출신이란 점이 더해져 원장 선임과 취임까지 많은 우려와 함께 뒷말도 많았었습니다. 이번에도 김 원장의 청와대 인선을 두고 결국은 한국인터넷진흥원장직이 경력을 잠깐 만들어 주기 위해 활용됐다는 식의 이야기도 물론 나오고 있습니다.

그러나 김 원장의 지난 1년간의 평가는 대체로 좋습니다. 기관 통합작업을 성공적으로 수행했고, 국회의원 출신으로 인터넷진흥원 위상을 높이는데도 상당히 기여했다고 평가됩니다. 대국민 정보보호 인식제고 등에서도 아주 열정적이고도 두드러진 활동을 보였습니다.

특히, 그가 가진 뛰어난 언변을 보면 앞으로 청와대에서 맡을 ‘대변인’의 역할을 잘 해낼 수 있을 것으로 보입니다.

가장 문제는 출범 1년도 안돼 한국인터넷진흥원 원장직에 공백이 생기게 됐다는 점입니다.

한국인터넷진흥원은 최근 직급 및 임금체계 일원화까지 마치면서 출범 당시 가장 핵심과제였던 ‘통합’의 한고비는 넘겼지만, 현실적으로 신임원장 공모와 선출에 소요되는 두세달 정도의 공백기간, 그리고 향후 성향이 다른 신임원장과 조직원의 적응기간이 필요해 앞으로 어떤 영향을 미치게 될지 아무도 모르는 상태입니다.

현정부에서 챙겨야 할 사람의 자리를 봐주는식과 같은 합리적이지 못한 인선이 된다면 상황은 아주 나빠질 것입니다. 

사실 김 내정자가 원장임기 3년을 채울 것이란 생각은 안했습니다. 저뿐 아니라 많은 분들이 정치인 출신인 김 원장이 당연히 다음 국회의원 선거에 출마할 것이라고 예상을 했을 겁니다.

3년의 임기는 아니더라도 2년 가까이는 채울 수 있지 않을까 싶었는데요. 11개월 반은 너무 이르긴 합니다.

어찌됐든 나라에서 더 큰일에 쓰겠다고 부르니, 응해야겠지요.

김 내정자도 이러저러한 면에서 부담이 되는 듯, 트윗터에 이런 글을 남겼습니다.

“정말 긴 하루가 지나고 있습니다. 이제 더 긴여정을 가려합니다. 두렵고 설레이고 무겁고..... 함께 해주는 친구가 많았으면 합니다. 함께라면 어떤 길이라도 헤쳐갈 수 있는 그런 친구. 그런 친구가 되어 주실거죠?”

그리고 이런 글도 남겼습니다. “트윗 친구분들 중에 보안하시는 분들 많으시죠. 푸른지붕집에 정보보호를 잘 이해하고 전파시키려는 사람 한 명이 더 생겼다고 생각하고 저 응원 좀 해주세요. 이제 좀비PC 척결과 정보보호는 홍보수석실에서부터 많이 많이 전파해야죠.”

보안하는 사람들이 혹시라도 힘이 빠질까봐서일까요? 아니면 힘주기 위해서였을까요?

원장 자리를 떠나 청와대 대변인으로 가더라도 정보보호 인식제고와 관련정책에 계속 매진하겠다는 스스로의 의지를 더욱 다지고 명분도 얻고자 함이었을까요...

개인적으로는 보안인들을 생각하는 마음과 의지의 표현이 모두 함께 담겼다는 긍적적인 생각이 듭니다.

한국인터넷진흥원장으로 있으면서 했던 경험과 지식, 마음이 이후 청와대와 향후 (가능하다면)국회에서의 활동에서 더욱 빛나게 발휘되길 바랍니다.

행정안전부와 한국인터넷진흥원이 조달청을 통해 30개 기관이 제공하는 전자정부 서비스에 정보보호관리체계를 적용하는 G-ISMS 인증 컨설팅 사업을 최근 발주했습니다. (관련기사)

추정 사업규모(예산) 12억원으로, 정보보호컨설팅 사업으로는 역대 최대규모로 꼽힙니다.

물론 경영·IT컨설팅 등 다른 분야 컨설팅 사업과 비교하면 우스운 규모 수준이겠지만, ‘이젠 단일 정보보호컨설팅 사업도 10억원이 넘는 규모로 진행될 만큼 중요해지고 있구나.’라는 생각이 들 정도 입니다.

이 사업은 전자정부 정보보호 수준제고를 목표로 중앙행정기관과 그 소속기관, 광역·기초자치단체, 국공립 대학이 제공하는 30개 서비스를 대상으로 합니다.

그런데 이 사업은 유찰됐습니다. 지식정보보안컨설팅 전문업체들 아무도 이 사업에 참여하지 않았기 때문입니다.

보통 대규모 사업이 나오면 당연히 업체들이 너도 나도 참여해 수주전을 펼칠 것으로 예상했는데요. 의외입니다.

관련업계에서는 당연히 이 사업에 정말 참여하고 싶지만 현실적으로 참여하기 어려운 사업이라고 입을 모으고 있습니다.

그 이유는 입찰 제안조건이 아주 까다롭기 때문입니다.

정부의 정보보호컨설팅 사업 입찰은 일단 '지식정보보안컨설팅 전문업체'로 지정받은 업체만 참여할 수 있도록 돼 있습니다.

현재 전문업체는 롯데정보통신, 시큐아이닷컴, 안철수연구소, 에이쓰리시큐리티, 인젠, 인포섹, STG시큐리티 7곳입니다.

이 중에서 시큐아이닷컴과 인젠은 사실상 컨설팅 사업에 참여할 수 없는 상황입니다. (시큐아이닷컴은 컨설팅 사업을 접은 거나 다름없다할만큼 크게 축소한 상태이고, 인젠은 내부 사정이 복잡합니다.)

그렇다면 5개 업체만 주사업자로 참여할 수 있습니다.

사업 규모가 큰 만큼 투입해야 하는 컨설팅 인력이 많기 때문에 이 사업에는 단일 업체가 자사 인력만으로 참여할 수는 없는 상태라고 하는데요.

컨설팅 투입 및 상주 인력 수와 등급을 정해놓은데다, 주사업자 투입인력을 전체의 50% 이상으로 정해놨기 때문에 부담스럽다는 것이 업체들의 이야기입니다.

정보통신기반시설 취약점 진단 등 공공과 민간 분야에서 정보보호 컨설팅 사업이 최근 많이 발주되고 있는데, 다른 사업을 포기하고 이 사업에 ‘올인’할 수는 없기 때문입니다 .

그렇다고 이 사업을 위해서 컨설팅 인력을 왕창 뽑기도 어렵지만, 뽑더라도 하반기 수요가 가뭄일 때는 그 인력을 유지하는 것이 힘들기 때문입니다.

이해를 돕기 위해 관련 제안요청서 내용을 붙여보겠습니다.

- 컨설팅 투입인력은 기관당 중급인력 4인 이상을 원칙으로 하되 투입인력 중 2명 이상은 최근 3년 이내에 ISMS, ISO27001 분야의 보안컨설팅 경험이 있는 인력으로 배치하여야 하며,

- 상주인력 중 1명은 고급이상의 인력으로 투입하여야하며, 인력 상주로 발생하는 모든 비용은 제안사에서 부담하여야 함

- 주사업자 투입인력은 전체인력의 50% 이상이어야 하며, 투입인력 전원은 입찰마감일 현재 당해 소속사의 직원으로 1년 이상 근무한 경력이 있어야 함

- 본 사업에 참여하는 인력 중 50% 이상은 국내 또는 국외 정보보호 관련 자격증(ISMS, ISO27001, SIS, CISA, CISM, CISSP 등)을 보유하여야 함

20일이 조달청 전자입찰 마감시한이었습니다. 입찰 마감 이후 일주일이 다돼가도 아직도 이 사업 재공고가 뜨지 않고 있는데요.

재공고가 나도 업체들이 참여하기 힘들 것을 알기 때문일 겁니다.

이 사업을 주관하고 있는 한국인터넷진흥원(KISA)도 고민이 될 것입니다.

전자정부의 정보보호수준제고를 위한 사업이기 때문에 컨설팅 수준을 낮출 수는 없는데, 업체들이 사업에 참여할 수 없는 현실적인 면을 고려하지 않을 수도 없기 때문이지요.

아무리 좋은 사업이 진행되더라도 현실과의 괴리가 크다면 결국 죽도 밥도 지을 수 없다는 것을 이번 사업이 보여주고 있습니다.

행정안전부, KISA, 그리고 정부가 지정한 지식정보보안컨설팅 업체들이 함께 지혜를 모아 봉착한 현실적인 어려움을 잘 해결할 수 있는 방안을 찾았으면 합니다.

이 사업이 결국 진행되지 못하고 표류할 것이 아니라 반드시 성사시켜 전자정부 보안수준을 더욱 높이는 기회가 될 수 있길 바랍니다.

얼마전 한 소규모 별정통신사업자가 사용 중인 VoIP(인터넷전화) 교환기가 해킹당해 쓰지도 않은 국제전화 요금이 대량 발생, 총 1억원 이상의 전화요금이 통신사업자로부터 부과되는 피해가 발생했습니다. <관련기사>

말그대로 충분히 예상됐던 ‘위협’이 현실적인 피해로 나타난 것이라 볼 수 있습니다. VoIP 보안위협으로 가장 빈번히 지목됐던 것이 통화 방해, DDoS(분산서비스거부)공격으로 인한 마비, 해킹으로 인한 과금 우회 등이었습니다.

이같은 내용을 제보로 받아 취재하는 과정에서 이 회사(I텔레콤) 말고도 C사와 I별정통신사업자가 앞서 같은 피해를 당해 KT와 납부할 요금에 대한 합의를 봤다는 이야기를 들었습니다.

인터넷침해대응센터를 운영하고 있는 한국인터넷진흥원(KISA)에는 아직까지 VoIP 보안사고 신고가 접수된 사례가 없다지만, 알려지지 않은 해킹 피해는 이보다 많을 것이란 생각이 듭니다.

VoIP를 도입하는 가장 큰 이유는 아마도 비용을 절감할 수 있기 때문일 겁니다. 전화요금 절감을 위해 도입한 VoIP의 보안을 등한시하면 이같은 해킹 사례처럼 더욱 막대한 비용을 지불해야 하는 일이 발생할 수도 있습니다.

제보자는 KT와의 요금합의가 제대로 이뤄지지 않자 답답한 마음에서 자료를 보낸 것이기도 하지만 VoIP를 사용 중인 많은 기업들이 해킹으로 인해 이같은 막대한 요금청구 피해를 당하지 않기 위해 이 일을 알려달라고 했습니다.

그래서인지 VoIP 서비스와 해커의 침입경로, 교환기 담당자가 해킹 방지를 위해 숙지해야 할 사항까지 자료로 보내왔습니다.

만일 기업에서 IP PBX 등 VoIP 장비를 구축해 사용하고 있는데, 그동안 보안에 크게 신경쓰지 않았다면 한번 참고해보시고 필요한 조치를 해둘 필요가 있습니다.

원문 그대로 붙여보겠습니다.

먼저, 아래는 이 업체에서 분석한 VoIP 교환기의 침입 경로입니다.

◎ 기존 VOIP서비스와 해커의 침입 경로

현재 기업의 인터넷통화에서 많이 쓰이고 있는 인터넷 전화 서비스 도식입니다. 도식을 보시면 아시겠지만 교환기 해킹 사건은 Voip전화 도입사용자에게 언제든지 발생할 수 있는 일입니다.

개별 기업의 교환기가 해킹 당하게 되면 개별기업의 통신담당은 알기 힘듭니다. 뿐만 아니라 저희와 같이 요금청구가 일방적으로 되어서 피해를 볼 수 있습니다.

기존의 인터넷 전화 서비스 도식표<본지사간 무료, 시외구간 할인 유료통화>

◊해킹가능경로◊

◎ 교환기 담당자가 해킹방지를 위해 숙지해야 할 사항

-교환기 보안설정

제가 해킹을 당한 것도 교환기에 Access List나 call-barring 같은 보안설정을 세팅해 놓지 않아서입니다. 이 기능은 특정 ip의 패킷을 차단시키거나 허용하는 기능입니다. Voip 교환기에는 위의 기능이 있으니 제조사에 문의 하여 꼭 세팅해 두시길 바랍니다.

- Active call 비교

billing의 active call과 교환기의 active call을 항상 비교하시기 바랍니다. 교환기가 뚫려 버리면 billing상에 아무 조짐이 없기 때문에 해킹을 조기에 판단하기 어렵습니다. Token 같은 프로그램으로 교환기에 접속하면 보기 편합니다.

- Prefix세팅

prefix는 가능한 특수문자(#,*)를 포함하여 어렵게 사용하는 것이 좋습니다. 회사 자체망으로 보내는 prefix는 누구에게도 알려주어서는 안 되며 ip도 마찬가지입니다.

- Root password 관리강화

매주 또는 매일 패스워드 변경을 하여야 하며 책임을 명확히 하기위하여 한정된 인원에 한에서 서버나 교환기의 비밀번호를 알고 있어야 합니다.

-00으로 시작하는 다이얼 통제 강화

교환기가 해킹을 당하게 되거나 다른 업체에서 00으로 시작하는 다이얼이 들어올 경우 예상치 못한 손해가 발생하게 됩니다. 다이얼이 00으로 시작되면 해당 전화를 차단하는 기능을 적용해 주면 예상하지 못한 손해를 막을 수 있습니다.

이와 관련한 기사를 쓴 다음날이 공교롭게도 방송통신위원회와 한국인터넷진흥원(KISA)이 개최한 ‘VoIP 보안기술 세미나’가 있던 날입니다.

이 자리에서 김희정 KISA 원장은 이같은 피해를 막기 위해 영세 VoIP 별정 사업자의 보안 강화 대책을 강화하겠다고 크게 강조했다고 들었습니다.

방통위 담당 사무관은 영세 VoIP 별정 사업자의 VoIP 정보보호 조치계획을 수립할 수 있도록 지원하고, 전문교육도 실시한다는 방침을 밝혔습니다.

또 VoIP 서비스 사업자들이 보안체계를 운영토록 하기 위해 현재 주요정보통신기반시설 지정과는 별개로 정보보호 안전진단 대상에 포함시키는 방안도 적극 검토할 예정이라는군요.

이밖에도 VoIP 침해사고에 대응할 수 있도록  KISA와 함께 많은 대책을 준비중인 상태입니다. 

VoIP를 사용할 때도 인터넷, PC, 네트워크와 마찬가지로 보안은 필수입니다!