사용자 삽입 이미지
에릭슨이 최근 발간한 보고서를 통해 2016년 대두될 10대 핫 컨슈머 트렌드(Hot Consumer Trend)를 발표했다.

24개국 소비자를 대상으로 조사한 결과를 바탕으로 한 에릭슨 컨슈머 랩 트렌드 보고서에 따르면, 소비자들은 인공지능(AI)을 사용해 가까운 미래에 스마트폰 스크린을 보지 않고도 사물들과 상호작용할 수 있을 것으로 기대하고 있다. 스마트폰 사용자의 절반가량은 향후 5년 내에 스마트폰이 구식기기가 될 것으로 내다봤다.

또한 네트워크 기술 도입이 어느 때 보다도 빨라지면서 주류 시장의 형성도 더욱 빨라짐에 따라 얼리어답터들이 영향력을 갖는 시간은 점점 짧아지고 있다.

1. 라이프스타일 네트워크 효과
다섯 명 중 네 명은 점점 더 많은 사람들이 온라인 서비스를 사용하게 되면서 더 많은 혜택을 누리고 있다고 봤다. 세계적으로 세 명 중 한 명의 소비자는 다양한 형태의 공유 경제에 참여하는 것으로 나타났다.

2. 스트리밍족
10대들은 다른 연령대에 비해 유튜브 컨텐츠를 더 많이 시청하는 것으로 나타났다. 16~19세의 청소년 중 46%는 매일 한 시간 이상 유튜브를 시청하는 것으로 조사됐다.

3. AI의 등장과 스크린 시대의 종말

인공지능(AI)의 발전으로 스마트폰이 없이 사물과 상호작용 하게 될 것이다. 스마트폰 사용자 두 명 중 한 명은 향후 5년 내에 스마트폰이 구식기기가 될 것으로 전망했다.

4. 가상이 현실로

소비자들은 스포츠 경기를 보거나 화상 통화를 하는 등 일상생활에서 가상 기술을 사용하기를 원했다. 심지어 44%의 응답자는 음식을 출력하는 기술을 원했다.

5. 센싱 홈
스마트폰 소유자의 55%는 5년 내에 집을 짓는 벽돌에 곰팡이, 누수, 전기 관련 문제 등을 모니터링 하는 센서를 내장할 수 있다고 믿었다. 스마트 홈의 개념을 처음부터 다시 정립해야 할 지도 모르겠다.

6. 스마트한 출퇴근길

사람들은 출퇴근 하는 동안 차량에 그냥 몸을 맡기는 대신에 의미 있는 시간을 보내고 싶어한다. 86%는 통근 맞춤형 서비스가 있다면 사용할 의향이 있다고 밝혔다.

7. 비상연락망
앞으로는 소셜네트워크서비스(SNS)가 일차적인 비상연락망으로 쓰일지도 모르겠다. 10명 중 6명의 소비자는 재난 경보 앱에도 관심을 보였다.

8. 내부화(Internables)
체내에서 웰빙 상태를 측정하는 센서가 새로운 웨어러블 기기가 될 지도 모르겠다. 10명 중 8명의 소비자는 시각, 청각이나 기억력 등 감각을 증진하고 인지 능력을 향상시키는 기술을 사용하고 싶다고 밝혔다.

9. 모든 것은 해킹 당한다

대부분의 스마트폰 사용자들은 해킹과 바이러스 문제가 지속될 것으로 보았다. 긍정적인 측면이라면 5명 중 한 명은 해킹을 당했지만 잘 대처한 기관에 대해 더 많은 신뢰를 갖게 됐다고 말했다.

10. 네티즌 저널리스트

소비자들은 과거 어느 때 보다도 많은 정보를 공유하고 이를 통해 사회에 더 많은 영향력을 행사할 수 있다고 믿고 있다. 응답자 중 3분의 1 이상이 부정한 기업을 온라인상에서 고발하는 것이 경찰에 신고하는 것보다 효과적이라고 대답했다.

에릭슨 컨슈머 랩의 미카엘 비욘 연구소장은 “이들 중 몇몇 트렌드는 먼 미래의 일처럼 보일지도 모르지만,  AI나 가상현실(VR)과 같은 새로운 인터액션 패러다임, 그리고 집 안의 벽이나 심지어 인체에 인터넷을 내장하는 새로운 기술에 대한 사람들의 관심은 대단하다”고 말했다. 그는 또 “이러한 변화에 따라 새로운 소비자 제품 카테고리가 생겨나거나 산업 전체가 다른 모습으로 탈바꿈 할 수도 있을 것”이라고 덧붙였다.


2015/12/23 10:33 2015/12/23 10:33
[IT 전문 블로그 미디어=딜라이트닷넷]

국내 정보보호 업계에 ‘젊은’ 해커들이 잇달아 뛰어들어 ‘오펜시브 시큐리티’, ‘오펜시브 리서치’라는 새로운 영역을 개척하고 있다.

‘데프콘’·‘블랙햇’같은 세계적인 해킹·보안 대회에 진출해 이름을 날리거나 국내 해킹방어대회에서 여러 차례 우승한 전적을 가진 해커들이 회사를 설립하면서 생겨나고 있는 새로운 조류다.


몇 년 전만 해도 해커 출신이 설립한 보안업체는 홍민표 대표가 설립한 에스이웍스와 허영일 대표가 이끄는 NSHC만 알려져 있었다. 하지만 이들도 백신, 모바일 보안 제품같은 ‘방어기술’ 영역의 솔루션을 제공하는데 주력했다. (지난 2010년 당시 주목할만한 신생업체로 홍 대표가 에스이웍스 이전에 설립한 쉬프트웍스(인프라웨어에 매각)와 NSHC 두 기업을 <딜라이트닷넷>에서 살짝 다룬 적이 있었다. 관련 포스팅 : 스마트폰 혁명과 함께 주목되는 신생 보안업체)

국내외에서 이름이 알려진 해커인 이승진 대표가 설립한 그레이해쉬나 심준보 기술이사(CTO)가 공동 창업한 블랙펄시큐리티 등은 공격자의 입장에서 공격기법을 연구하는 ‘오펜시브 리서치’ 분야의 전문성을 내세운 기업이다.

이를 바탕으로 기업에 보안수준 진단, 취약점 점검을 비롯한 보안 컨설팅과 교육 서비스를 제공하고 있다. NSHC 역시 기존 솔루션 사업 부문 외에 공격기법을 연구하는 오펜시브 리서치 부문을 강화하고 있다.


해커 출신인 허영일 대표가 해외로 나가 이 부문을 이끌면서 활발하게 오펜시브 리서치 기반의 차별화된 보안 서비스 제공에 나서고 있다. ‘창’과 ‘방패’ 분야의 전문성을 모두 손에 쥐고 국내외에서 한층 경쟁력 있는 보안기업으로 성장해나가겠다는 목표다.

이들 외에는 해킹방어대회 등에서 여러차례 우승하면서 이름을 알린 박찬암씨도 ‘오펜시브 리서치’ 기업인 스틸리언을 창업했다. 와우해커를 이끌며 오랫동안 활동해온 홍동철 에스이웍스 최고기술책임자(CTO)도 최근 엠시큐어를 설립해 해커 출신 기업가 대열에 동참했다.

<딜라이트닷넷>은 창간 6주년 기획으로 이승진 그레이해쉬 대표와 심준보 블랙펄시큐리티 이사, 그리고 NSHC 국내 및 일본 사업을 총괄하는 최병규 본부장을 만나 오펜시브 분야에 대한 견해와 사업 얘기를 들어봤다. 앞으로 다른 해커 출신 기업가들도 만나볼 계획이다.


사용자 삽입 이미지
‘오펜시브(Offensive) 시큐리티’는 공격기법과 공격에 악용될만한 취약점을 연구하는 분야로, 선제적인 보안의 개념이다. 그동안 국내에서는 생소했지만 유명 해커 출신이 설립한 기업들이 잇달아 ‘오펜시브 리서치’ 전문성을 내세우며 등장, 활약상이 알려지면서 최근 한층 활성화되고 있다.

사업 영역은 주로 특정 제품에 대한 취약점을 찾고 시스템을 대상으로 침투테스트를 수행해 결과를 제공해 보안 컨설팅을 수행하는 분야와 해킹·보안 관련 교육 서비스를 제공하는데 집중돼 있다.

주로 기업이나 기관이 자체 시스템이나 제공할 서비스 상품과 인프라의 보안수준을 진단, 부족한 점을 보완해 보안성을 강화하기 위해 채택한다.

NSHC의 문해은 보안연구소 레드얼럿팀장은 ‘오펜시브 리서치’를 백신에 비유하며 “백신은 병에 걸리지 않을 정도로 병원균을 약화시켜 사전에 주입해 우리 몸이 병을 이겨내게 만들어 면역체계를 강화한다. 취약점과 부족한 부분을 찾아내 드러내기 때문에 관계자들(제품 개발이나 인프라 보안담당자)을 심각하게 만들 수는 있지만 결국 보안체계를 튼튼하게 하는 역할을 수행한다”고 설명하기도 했다.

해외에서 ‘오펜시브 시큐리티’ 사업 범위는 국내보다 넓다. 해외 관련업체들은 분석한 취약점을 국가기관이나 기업들에게 판매하거나 공격 도구와 기법을 개발, 판매까지 하는 등 보다 폭넓은 사업 범위를 갖고 있다.

<관련 포스팅>
: 그레이해쉬 “공격 기술을 알아야 방어도 가능”
: 블랙펄시큐리티 “해킹 경험은 보안수준 향상에 기여, ‘오펜시브’ 보안 분야 활성화 필요”

[이유지기자의 블로그=안전한 네트워크 세상]
2015/09/23 14:39 2015/09/23 14:39

3500만명의 고객정보가 유출된 SK커뮤니케이션즈(SK컴즈)의 네이트·싸이월드 해킹 사고를 계기로 우리나라 ‘주민등록번호’ 제도가 또다시 핫이슈로 부상하고 있습니다.

단일 보안사고로 개인정보 유출 규모가 사실상 인터넷을 사용하는 모든 국민의 개인정보가 유출된 것으로 간주할 수 있다는 점에서 이번 사고 직후 보다 획기적이고 근본적인 개인정보보호 대책이 필요하다는 공감대가 형성됐기 때문입니다.  

주민번호 제도 자체를 손질하건, 수집·활용 관행을 바꾸건 간에 주민번호는 개인정보보호 방안의 중심에 있는 것이 사실입니다.

주민등록번호제도는 1962년 제정·공포된 주민등록법에 따라 50년 가까이 운영돼 왔습니다. 행정업무를 쉽게 처리할 수 있게 하고 범죄 발생시 범인 검거에 결정적인 역할을 하는 등 긍정적인 면도 많지만 지나친 국가통제·감시 수단이라는 비판도 꾸준히 제기돼 왔습니다.

주민번호는 가장 확실한 개인 식별, 본인확인 수단이니 온·오프라인을 막론하고 광범위하게 활용돼 왔습니다. 그러다보니 이를 유출해 악용하는 사례가 많아졌습니다. 특히 오프라인에서의 관행이 그대로 인터넷에 적용되면서 문제는 더욱 심각해졌습니다.

지난 2008년 발생한 옥션 해킹 사고는 1870만명의 회원정보를 통째로 유출하는 첫 대형 개인정보 유출 사례가 됐고, 그 전후에도 계속해서 인터넷상에 개인정보가 노출되거나 해킹 등으로 유출돼 왔습니다.

이제 우리나라 인터넷 사용자 대다수는 영구불변하고 가장 확실한 신원확인 수단인 내 주민번호가 제대로 보호받지 못한 채 불법 유출돼 마케팅에, 범죄에 불법 활용되고 있고 인터넷상에 떠돌고 있다는 것을 알고 있습니다.  

해외 웹사이트에서는 한국인의 주민번호를 쉽게 찾아볼 수 있습니다. 그만큼 우리나라 국민이 스팸이나 피싱, 금융사기를 비롯한 다양한 범죄에 노출돼 있다는 것을 의미합니다. 

누구나 합의하고 있는 기본 원칙은 온·오프라인을 막론하고 사회적으로 광범위하게 사용하고 있고 명백하게 개인을 식별할 수 있는 주민번호의 수집·활용·보관을 최소화해야 한다는 점입니다. 

그 이유로 이번 사고 발생 이후 방송통신위원회와 행정안전부, 여당(한나라당)까지 나서 여기에 초점을 둔 개인정보보호 강화 대책을 잇달아 내놓고 있습니다. (당정, 주민등록번호 활용 최소화 합의, 방통위 “인터넷상 주민번호 수집 원칙적 금지”)

정부의 대책은 인터넷상의 개인정보 수집·활용을 최소화하도록 하고(추가방안 마련 중), 인터넷상의 식별번호 수단인 ‘아이핀(i-PIN)’ 사용을 확대하고 보호조치를 강화하는 게 골자입니다.

하지만 진보네트워크센터(진보넷) 등 시민단체는 주민번호 재발급과 행정목적 이외의 민간 주민번호 수집·사용 금지와 사실상의 인터넷실명제인 제한적 본인확인제 폐지를 해결책으로 제시하고 있습니다.

지난 2008년 옥션을 비롯해 하나로텔레콤 등에서 잇달아 개인정보 유출 사고가 이어졌을 때부터 시민단체는 줄곧 민간·인터넷상의 주민번호 수집 금지, 주민번호 변경·재발급을 포함한 주민번호제도 개선·폐지 등을 요구해 왔습니다. (관련기사 “개인정보유출, 주민등록번호 수집이 문제”)

당시 정부에 주민번호 변경을 신청했던 진보넷은 지난 2일부터 주민번호 변경을 요구하는 청원 운동을 다음 아고라(http://agora.media.daum.net/petition/view.html?id=110274)에서 시작했습니다. (관련기사 개인정보유출 피해자 10명, 주민번호 변경 청구)

개인정보가 유출된 피해자들인 청원 참가자들로부터 주민번호 변경 청구서를 받아 행정안전부에 제출할 계획입니다.

진보넷은 주민번호 변경 청원운동 대국민 제안서에 “공공기관에, 은행에, 인터넷사이트에 앞으로도 주민번호를 계속 써야 한다. 전국민의 주민번호가 이미 유출됐는데 평생 이 번호를 그대로 쓰라는 건 말도 안된다”고 강조했습니다.

이를 요구하는 성명서에서는 “주민번호는 해당 유출사이트 뿐 아니라 대한민국 모든 민간과 공공 사이트에도 접속할 수 있는 만능 인증키이며 원격 거래에도 사용되고 있기 때문에 주민번호 유출은 추가적인 중대 피해로 이어질 수밖에 없다. 그런데도 주민번호를 변경할 수 없기 때문에, 유출 피해자는 주민번호의 도용을 속수무책으로 당할 수밖에 없다”고 지적했습니다.

이번 사건으로 사실상 전국민의 주민번호가 유출된 상황에서 그로인한 피해를 최소화할 수 있는 유력한 방법이 주민번호 변경이라는 것입니다. 

아이핀이 대안이 될 수 없는 이유로는 “아이핀은 정부가 인터넷에 주민번호 대신 보급중인 13자리 가상 주민번호로 5개 민간 신용정보회사들이 발급하고 있다. 아이핀 역시 식별번호이고,  아이핀은 본인확인정보를 5개 민간 신용정보회사로 집중시킨다는 점에서 오히려 부당한 표적이 될 가능성을 높다”고 밝혔습니다. 

이에 대해 행정안전부는 주민번호 변경을 허용하지 않는다는 입장을 내놨습니다. 

주민번호를 변경하려면 막대한 사회적 비용을 초래할 수 있고 자동차 면허, 부동산 등기, 예금 등 광범위하게 사용해 왔기 때문에 오히려 불편을 겪을 우려가 있다는 이유에서입니다. 

대신에 개인정보보호를 위해 주민번호 대체수단이 필요하다는 인식을 갖고 주민등록번호와 증 발행번호로 이원화한다는 계획입니다.

주민등록번호를 대체하는 역할로, 개인정보를 식별하거나 유추할 수 없는 체계로 증 발행번호를 구성해 필요시 변경을 허용한다는 방안입니다.

이미 작년 9월 주민등록증 수록항목에 발행번호를 추가하는 주민등록법 개정안을 국회에 제출했습니다.

또 유예기간을 두고 향후 주민번호 사용을 원칙적으로 제한하는 방안도 검토 중이라고 밝혔습니다.

이에 대해 진보넷은 아이핀과 발행번호 발급을 통해 주민번호를 이원화한다는 방침이 근원적인 대책이 되지 않는다는 입장을 이렇게 말하고 반문하며 다시 확인했습니다.

“행안부가 주민증 발행번호 제도 도입을 명시했다는 법안은 바로 전자주민증 도입 법안”
“행안부는 주민증 발행 번호 제도를 도입하겠다면서 주민번호 병행 사용 방침을 밝히고 있다. 이게 대체 무슨 대책이란 말인가?”
“이번 개인정보 유출 사고를 전자주민증 도입의 계기로 삼으려 한다는 사실이 매우 유감스럽다”며, “정부망을 포함해 어떤 시스템도 완벽한 보안이란 존재하지 않으며 불필요한 개인정보의 전자적 유통을 최소화하는 것이 정답”

반면에 행안부는 전자주민증에 있는 보안성 높은 IC칩에 주민등록번호 등 민감한 개인정보를 내장하고 증 발행번호를 고유번호로 쓰면 주민등록번호의 역할을 대신할 수 있어 해결책이 된다는 것입니다. 따라서 주민등록번호 변경 등에 따른 큰 사회적 혼란을 없애고 주민번호 유출에 따른 오·남용 문제도 해결될 수 있다는 입장입니다.

시민단체와 정부는 이렇게 팽팽하게 맞서고 있습니다.  

이번 사고 이후 정부가 최근 내놓은 대책은 미흡하다고 여겨지는 것은 사실입니다.

또 시민단체가 제시한 주민번호 재발급이 너무 엄청나다는 생각이 들어서인지 다음 아고라 주민번호 재발급 청원운동 참여자 수도 그리 크게 늘고 있지는 않습니다.

과연 털려나간 개인정보 유출 피해를 막고 향후 이런 사태를 방지할 수 있는 근본 해결책이 되면서도 실현할 수 있는 방안을 찾을 수 있을까요?

2011/08/15 22:19 2011/08/15 22:19
사용자 삽입 이미지사용자 삽입 이미지
보안업체인 잉카인터넷의 신뢰성과 이미지가 크게 훼손되게 됐습니다.


잉카인터넷이 20일 방송통신위원회로부터 정보통신망법의 개인정보보호 법규를 위반해 500만원의 과태료와 개인정보 기술적·관리적 조치 수립·시행 등 재발방지 대책 시행에 대한 시정명령 처분을 받았습니다. (이날 KT는 가입자 동의 없이 전국동시지방선거 때 선거홍보용
문자메시지를 발송 상품에 이용돼 10억원의 과징금을 함께 받았죠.)


작년 말 루마니아 해커로 알려진 ‘우누(Unu)’에 자사 제품인 ‘엔프로텍트’ 웹사이트가 해킹된 것이 알려진 적이 있는데요. 당시 22명의 고객 개인정보 일부가 이 해커에 노출돼, 대표이사가 직접 사과와 함께 “웹사이트 개편 중 예전 사이트가 일시적으로 노출했던 것이 원인이고, 고객이 주로 사용하는 금융, 공공기관의 보안 제품에서는 개인정보를 전혀 수집하고 있지 않다”고 해명과 자칫 발생할 수 있는 오해의 소지 차단에 힘을 쏟았습니다.

그런데 이번에 방통위의 행정처분으로 잉카인터넷은 또다시 타격을 입게 됐습니다.

잉카인터넷에 대한 행정처분 이유가 적절한 개인정보 관리 계획과 조치가 없었다는 건데요.

방통위는 지난해 12월 현재 108만 명의 개인정보를 수집, 이용하면서 개인정보관리책임자 지정, 개인정보 기술적·관리적 보호조치 이행 등 개인정보를 안전하게 취급하기 위한 내부관리계획을 수립, 시행하지 않았다고 밝혔습니다.

또 잉카인터넷 개인정보처리시스템에 접근권한이 없는 내부직원 9명이 접속했고, 지난 2005년 9월부터 2009년 11월까지 개인정보를 수집, 이용하면서 회원의 비밀번호를 일방향 암호화 저장하지 않은 사실을 확인했다. 또한 3명의 만14세 미만 아동의 개인정보를 수집하면서 법정대리인의 동의도 받지 않았다고 설명했습니다.  

잉카인터넷은 이번 행정처분이 지난해 11월 27일 우누의 웹사이트 해킹 사고 때문에 방통위가 조사한 결과 내려진 것이라고 해명했는데요.  

당시 방통위가 홈페이지를 조사했고, 이메일과 비밀번호로 회원가입을 받고 있어 개인정보를 다루는 온라인 사업자의 법적 의무에 맞는 개인정보관리체계가 부족했다고 판단했습니다.

잉카인터넷은 “당시 웹사이트 취약점이 발견됐을 때 즉각 수정, 보호조치를 적용한 것이 방통위로부터 확인됐었고, 개인정보관리책임자와 전담팀을 신설해 매월 1회 정기적으로 내부감사도 시행하고 있어 모든 조치를 이행하고 있다”며, “올해 말에는 정보보호관리체계(ISMS) 인증도 획득한다”고 설명했습니다.

권한이 없는 내부직원의 개인정보처리시스템에 접근한 것은 “당시 웹사이트 문제점을 파악하는 과정에서 접속한 것”이라고 말했습니다.

결국 1년 전에 있었던 웹사이트 해킹 사건(?)이 발단이 돼, 지금까지 영향을 미치고 있는 것이네요. 잉카인터넷 입장에서는 기억에서 지우고 싶은 사건이겠지만 한번 엎질러진 물은 다시 담을 수가 없습니다.

방송통신위원회 김광수 개인정보보호윤리과장은 “잉카인터넷도 온라인으로 개인정보를 수집하기 때문에 법 적용 대상 사업자”라며, “이같은 모든 기업은 적절한 개인정보의 내부관리 계획과 보호 조치를 이행해야 한다”고 강조했습니다.

다른 보안업체들도 명심해야겠습니다. 특히 홈페이지에 회원가입을 받고 있다면 법규준수와 이행에 더욱 엄격하게 신경을 써야합니다.

일반 기업보다도 자사 제품에 취약점을 노출시키거나 웹사이트가 해킹을 당할 경우, 사업 자체에 큰 타격을 입을 수 있기 때문입니다.

잉카인터넷은 온라인게임과 인터넷뱅킹 등 금융권 사이트에서 높은 점유율을 가진 인터넷보안 제품인 ‘엔프로텍트’ 때문에 가뜩이나 극심한 ‘안티’에 시달리고 있는데요. 이래저래 수난시대를 겪고 있는 잉카인터넷이 고객 신뢰 회복을 어떻게 벌여나갈 지 주목됩니다.

위기의식을 갖고 뼈아픈 자기반성과 함께 지속적이고도 많은 노력이 필요할 것 같군요.

2010/10/20 16:40 2010/10/20 16:40

사용자 삽입 이미지
조선일보가 20일 ‘스마트폰 도청 위험 청와대 지급보류’란 제목으로 지식경제부가 아이폰으로 도청을 시연했다고 보도했습니다.

국가보안기술연구소(NSRI)의 한 보안전문가가 아이폰에 전송된 이메일을 클릭해 도청 프로그램을 설치해, 도청에 성공했다는 내용이었습니다.

결국 이 기사는 오보로 판명됐고, 이날 조선일보 온라인판 기사에서 표현된 ‘아이폰’은 ‘스마트폰’으로 모두 교체됐습니다.

이 기사가 나온 후 ‘아이폰 도청’, ‘스마트폰 도청’, 그리고 스마트폰 위험성이 다시 이슈화 됐습니다. 여러 언론매체가 이 기사를 그대로 받아쓰기도 했습니다.

몇몇 보안전문가들은 이 보도를 접하고는 곧바로 ‘아이폰’ 도청 시연 여부에 의문을 제기했습니다.

권석철 터보테크 부사장은 “아이폰 운영체제는 구조상 멀티태스킹이 안되고, 애플 앱스토어를 통해서만 프로그램을 배포하기 때문에 도청이 안된다. 만일 시연에 성공했다면 탈옥폰일 것”이라며, “기사 내용이 잘못된 것 같다”고 지적했습니다.

이어 권 부사장은 “도청은 아니지만 아이폰에서 통화를 하다 전화통화 종료 버튼을 누르지 않은 채 홈버튼만 눌러 화면을 전환하게 되면 계속해서 연결돼 있어 자신이 하는 말을 상대방이 들을 수 있게 돼 있어, 사용자는 주의해야 한다”는 말도 덧붙였습니다.

또 이같은 스마트폰 보안문제를 마치 새로운 위협처럼 부각시켰다는 의견도 있었습니다.

신수정 인포섹 사장은 트위터를 통해 “역시 조선일보의 힘은 대단. 보안하는 사람은 누구나 알고 있는 이슈를 새로운 이슈인 것처럼 뒤집어지게 하는군”이라고 평가했습니다.

그래도 신 사장은 “PC해킹은 정보유출이 더 큰 이슈였는데 스마트폰 해킹은 도청이 더 큰 이슈가 될 수 있음... 선정적이긴 하지만 경각심을 주는데 일가견이 있다”며 스마트폰 도청 위협, 스마트폰 보안 인식을 가져야 한다는 점도 강조했습니다.

다른 보안전문가는 “가능성으로는 당연히 스마트폰을 포함한 모든 디지털기기가 해킹이나 도청 위협에 노출돼 있지만, 잘못된 정보를 이용하거나 위험성만을 너무 부추기면 사용자들이 이용을 꺼리게 만드는 결과를 초래할 수 있다”고 지적했습니다.

결국 이날 지식경제부는 이날 이 보도에 대한 해명자료를 내고, 조선일보 기사에 언급된 시연회에서 “아이폰은 시연되지 않았고 타 스마트폰으로 시연한 바 있다”고 밝혔습니다.

또 “일반적으로 스마트폰은 PC기능과 통신의 결합상품으로 PC 보안 위협과 부가적 보안위협(통신기능에 따른 도청, 분실시 정보유출)이 있을 수 있다”면서도 “스마트폰 보안위협에 과도한 우려는 경계할 필요가 있다”는 점을 분명히 했습니다.

스마트폰 악성코드 유포사례가 드물고, 스마트폰 사용 안전수칙 준수시 보안사고는 방지될 수 있다는 것이 그 이유입니다.

최근 스마트폰 열풍이 불면서 연초부터 몇달 간 스마트폰 보안위협이 최고의 화두가 됐었습니다.

그 사이 전문가들은 스마트폰 보안위험성이 너무 과도하게 부각돼 혼란이 더 심해진다는 지적도 함께 제기했습니다.

특히 스마트폰 해킹 공개시연을 통해 위험성을 너무 부각시키는 것은 자제해야 한다는 목소리까지 나왔었습니다.

해킹시연은 특히 전문가들이 통제한 환경에서 이뤄지고, 때로는 의도한 결과를 얻을 수 있게 특별히 제작된 악성코드나 프로그램을 사용할 수 있기 때문이라는 점에서 경각심과 예방을 강조하자는 차원을 넘어선 결과를 불러올 수 있다는 점에서 지적된 것입니다.

결국 이날 조선일보 보도는 오보 해프닝이 됐습니다.

특히 언론이나 전문가들이 정확한 정보를 올바로 전달해야 한다는 점. 그 중요성을 새삼 느끼게 해준 해프닝이 됐다고 봅니다. 저에게도 해당되는 일입니다.

그리고 여전히 보안은 중요합니다. PC나 스마트폰, 인터넷을 이용할 때 사용자는 보안수칙을 염두에 두고 생활에서 실천해야 합니다.

그런 의미에서 방송통신위원회에서 발표했던 ‘스마트폰 이용자 10대 안전수칙’을 붙여보겠습니다.

① 의심스러운 애플리케이션 다운로드하지 않기

- 스마트폰용 악성코드는 위・변조된 애플리케이션에 의해 유포 될 가능성이 있으므로 의심스러운 애플리케이션의 다운로드 자제

② 신뢰할 수 없는 사이트 방문하지 않기

- 의심스럽거나 알려지지 않은 사이트를 방문할 경우 정상 프로그램으로 가장한 악성프로그램이 사용자 몰래 설치될 수 있으므로. 신뢰할 수 없는 사이트 방문 자제

③ 발신인이 불명확하거나 의심스러운 메시지 및 메일 삭제하기

- 멀티미디어메세지(MMS)와 이메일의 첨부파일 기능은 악성코드 유포 수단으로 사용되는 경우가 많으므로 발신인이 불명확하거나 의심스러운 메시지 및 메일은 열어보지 말고 즉시 삭제 필요

④ 비밀번호 설정 기능을 이용하고 정기적으로 비밀번호 변경하기

- 단말기를 분실 혹은 도난당했을 경우 개인정보 유출 및 악성코드 설치 방지를 위하여 단말기 비밀번호 설정 필요

⑤ 블루투스 기능 등 무선 인터페이스는 사용시에만 켜놓기

- 악성코드 감염 가능성을 줄일 뿐만 아니라 단말기의 불필요한 배터리 소모를 막기 위해서는 블루투스 등 무선 인터페이스는 사용 시에만 활성화

⑥ 이상증상이 지속될 경우 악성코드 감염여부 확인하기

- 이상증상 발생 시 스마트폰 매뉴얼에 따라 조치하며 조치 후에도 이상증상이 지속될 경우 악성코드에 의한 감염 가능성이 있으므로 백신 프로그램을 통한 단말기 진단 및 치료 필요

⑦ 다운로드한 파일은 바이러스 유무를 검사한 후 사용하기

- 스마트폰용 악성프로그램은 특정 프로그램이나 파일에 숨겨져 유포될 수 있으므로, 프로그램 및 파일 다운로드 ․ 실행 시 스마트폰용 백신프로그램으로 바이러스 유무 검사 후 사용

⑧ PC에도 백신프로그램을 설치하고 정기적으로 바이러스 검사하기

- 스마트폰과 PC간 데이터 백업, 복사, 전송 등의 작업수행 과정에서 PC에 숨어있는 악성코드가 스마트폰으로 옮겨질 수 있으므로 PC에 대한 백신 프로그램 설치 및 정기점검 필요

⑨ 스마트폰 플랫폼의 구조를 임의로 변경하지 않기

- 스마트폰 플랫폼 구조를 변경(예: Jailbreak) 사용할 경우, 기본적인 보안기능 등에 영향을 주어 문제가 발생할 수 있으므로 이용자 스스로 구조 변경 자제

⑩ 운영체제 및 백신프로그램을 항상 최신 버전으로 업데이트 하기

- 해커들은 보안 취약점을 이용하고 다양한 공격기법을 사용하고 있으므로 이용자는 자신이 사용하는 운영체제 및 백신프로그램을 항상 최신 버전으로 업데이트하여 사용

2010/05/20 18:00 2010/05/20 18:00

최근 숭실대 컴퓨터학과 이정현 교수팀이 국내 공급되고 있는 삼성, LG의 ‘윈도 모바일 6.1’이 탑재된 스마트폰 4종을 대상으로 해킹에 성공했다고 발표해 화제를 모았습니다. <관련기사>

혹시 자세한 자료를 원하거나 궁금하신 분이 있을까 싶어 이정현 교수가 제공한 해킹 시나리오 플래시를 붙이겠습니다. 물론 실제 시연 동영상은 아닙니다.

일단 단말기 사용자가 웹을 통해 숨겨진 악성코드를 다운로드하는 것에서 감염시나리오가 구성돼 있습니다. 사용자가 클릭한 것이 성인인증을 받아야 하는 콘텐츠일 경우, 개인정보를 입력하게 되고 다운로드·설치돼 있는 악성코드가 정보를 단말기에 저장시킨 환경에서 여러 공격이 성사됩니다.

SMS 결제, SMS 훔쳐보기, 주소록 절취, 휴대폰 단말기 시스템 다운, SMS 공격의 다섯가지 시나리오가 나와 있습니다.


단순화한 자료여서 구체적으로 이용한 윈도 모바일 취약점 등은 알 수 없고 과정과 결과만을 보여주고 있습니다.

숭실대 이정현 교수팀은 이같은 감염 및 공격 시나리오로 아직 애플 아이폰 보다도 더 많이 팔린 삼성 옴니아(1,2)를 비롯해 미라지, LG 인사이트 스마트폰에서 이같은 공격을 성공시켰다고 했습니다.

이번 해킹은 의심스런 파일을 설치하지 안하거나 백신을 설치하는 등 휴대폰 보안관리를 위한 사용자 노력은 일단 배제하고, 윈도 모바일 자체가 취약하다는 사실을 보여줬습니다.

아직까지 이렇다 할 휴대폰-스마트폰 보안 사고가 없었던 국내에서는 많은 사용자들이 그 위험성을 인지하게 되는 계기가 됐을 것임은 분명합니다.

그런데 일각에서는 이번에 이용한 해킹 기법이 실제 일어날 확률은 매우 낮은데 시연을 통해 위험성만을 크게 부각시켰다는 (전문가) 의견이 나오고 있습니다.

또 자칫 국내 사용자들의 인식이 ‘아이폰만 안전하니, 아이폰만 써야겠구나’하는 의도친 않은 방향으로 흐르게 될 수도 있다는 우려가 제기되기도 합니다.

결론적
으로, 개인 스마트폰 이용자들은 어떠한 운영체제가 탑재된 휴대전화를 사용하던 간에 평소 보안관리에 주의해야 하는 것만은 사실입니다. 이게 이번 스마트폰 해킹 시연에서 가장 중요한 포인트라고 생각합니다.

은 분들이 아시다시피, 애플은 앱스토어를 통해서만 애플리케이션 등 무언가를 휴대폰에 다운로드할 수 있도록 하고 있습니다. 누구든 개발한 애플리케이션을 앱스토어에 등록하려면 해당 애플리케이션의 코드를 리뷰하고 일정수준의 정해진 규칙을 따르게 합니다.

애플이 허락하지 않으면 사용자가 원한다고 해도 특정 애플리케이션을 쓸 수 없습니다. (그래서 많은 사용자들이 ‘탈옥(jail break)’에 대한 유혹을 경험하기도 합니다.) 폐쇄적이긴 하지만 보안성은 강합니다.


윈도 모바일을 제공하는 마이크로소프트나 안드로이드를 제공하는 구글은 다릅니다. 오픈 정책이라고 해야 할까요? 사용자가 원하는 애플리케이션 등 다양한 프로그램을 사용하고 또 연결할 수 있도록 열어놓고 있습니다.

글의 경우, 모든 애플리케이션을 안드로이드마켓에 올릴 수 있도록 하고 있습니다. 구글은 이에 대한 사전 필터링 프로세스를 갖고 있지 않지만, 만일 악성코드가 등록되더라도 자연스레 커뮤니티에서 퇴출될 것이기 때문에 자정 노력에 맞기겠다는 입장인 것으로 알고 있습니다.

한마디로 정책이 다릅니다. 플랫폼을 오픈하고 있기 때문인데, 보안에는 취약할 수는 있습니다.

윈도 모바일의 경우는 단말기 성능만 좋아진다면 윈도가 설치된 PC와 같이 무엇이든 사용할 수 있게 될 것입니다. 그리고 PC에서와 같이 악성코드 감염 등 많은 보안위협이 나타날 수도 있습니다.

이에 관해 이정현 교수는 “애플과 같은 프로세스로 보다 안전한 스마트폰을 만들려면 플랫폼이 있어야 하는데, 우리(휴대폰제조사)는 플랫폼이 없어 가슴아프다”라고 말했습니다. (삼성전자가 ‘바다’를 발표하긴 했지만요.) 보안성과 관련해서는 애플의 방식이 맞다는 의미로 해석됩니다. 많은 분들이 동의하실 겁니다.

이번 해킹 결과가 공개된 후 아직까지 마이크로소프트는 공식 입장을 밝히진 않았습니다.

윈도 모바일 휴대폰만 대상이 된 것에, 그리고 현실에서 일어나지 않은 해킹 시나리오를 이용한 것에 약간 억울한 느낌을 감지할 수 있습니다.

아마도 본격적으로 스마트폰 확산기가 도래한 시점에서 애플, 구글과 ‘전쟁’을 벌이는 마이크로소프트로서는 이번 해킹 발표로 인해 상당한 타격을 입게 된 것이 사실입니다. 앞으로 무궁무진한 모바일 분야 경쟁에서 뒤쳐진다면 그동안 PC로 인해 누렸던 영화는 금세 추억으로 남겨지게 될 수도 있겠지요.

더욱이 국내에서는 대부분이 윈도OS가 탑재된 PC를 사용하고 PC 기반 인터넷도 인터넷익스플로러(IE)에만 최적화된 서비스를 제공하는 등 PC용 OS와 인터넷브라우저 시장에서 누구도 따라올 수 없는 ‘제왕’이었던 만큼 “반(反)MS, 반윈도, 반IE”를 외치는 안티세력이나 안티정서도 상당합니다.

특히 윈도를 대상으로 한 수많은 공격으로 드러난 ‘보안 취약성’은 그동안에도 심각한 아킬레스건이었습니다.

안그래도 최근 MS는 중국 공격자들의 구글 해킹으로 IE의 보안취약성마저 도마에 오르고 있는 상황이지요. 심지어 독일, 프랑스 등 유럽 정부가 국민들에게 IE를 쓰지 말라는 권고까지 하고 있다는 기사를 보기도 했는데, 여러모로 난감한 상황일 겁니다.

이번 해킹 대상이 된 휴대폰 제조업체인 삼성전자와 LG전자도 별다른 입장을 내놓지는 않았습니다.

삼성전자는 “삼성 모바일 닷컴 홈페이지에서 안철수연구소 보안 프로그램을 제공하고 있고, 무료로 다운로드를 할 수 있다”면서 윈도 모바일용 백신을 제공하고 있다는 점을 강조했습니다. 그리고 앞으로 윈도, 안드로이드 등 다양한 모바일 OS가 탑재된 스마트폰을 사용자들에게 제공할 예정이랍니다.

LG전자도 “지난달 27일 출시한 스마트폰 ‘210시리즈’는 최신 윈도모바일 6.5 OS가 탑재돼 있고, 안철수연구소의 백신을 이용자들이 다운로드할 수 있도록 제공하고 있다”고 설명했습니다. 앞으로 출시될 다른 모델에도 제공할 예정이고요. 그리고 이번 해킹 대상이 된 휴대폰(인사이트)은 이미 단종된 상태랍니다.

스마트폰 보안 시장은 제조사들이-아직은 안철수연구소 뿐이지만-보안 업체와 계약해 제공하는 B2B2C 모델로 시작하는군요.

SK텔레콤도 어제(4일) ‘모바일 위험관리 종합대책’으로 모바일 백신 등 단말기 보안 솔루션을 개발해 고객에게 제공할 예정이라고 발표했구요.

많은 보안 업체들이 스마트폰 보안 제품 개발에 나선 상황에서, 이러한 B2B2C 모델이 앞으로도 자리가 잡게 될지 또다른 관전 포인트 중 하나입니다.

2010/02/05 16:31 2010/02/05 16:31

얼마전 한 소규모 별정통신사업자가 사용 중인 VoIP(인터넷전화) 교환기가 해킹당해 쓰지도 않은 국제전화 요금이 대량 발생, 총 1억원 이상의 전화요금이 통신사업자로부터 부과되는 피해가 발생했습니다. <관련기사>

말그대로 충분히 예상됐던 ‘위협’이 현실적인 피해로 나타난 것이라 볼 수 있습니다. VoIP 보안위협으로 가장 빈번히 지목됐던 것이 통화 방해, DDoS(분산서비스거부)공격으로 인한 마비, 해킹으로 인한 과금 우회 등이었습니다.

이같은 내용을 제보로 받아 취재하는 과정에서 이 회사(I텔레콤) 말고도 C사와 I별정통신사업자가 앞서 같은 피해를 당해 KT와 납부할 요금에 대한 합의를 봤다는 이야기를 들었습니다.

인터넷침해대응센터를 운영하고 있는 한국인터넷진흥원(KISA)에는 아직까지 VoIP 보안사고 신고가 접수된 사례가 없다지만, 알려지지 않은 해킹 피해는 이보다 많을 것이란 생각이 듭니다.

VoIP를 도입하는 가장 큰 이유는 아마도 비용을 절감할 수 있기 때문일 겁니다. 전화요금 절감을 위해 도입한 VoIP의 보안을 등한시하면 이같은 해킹 사례처럼 더욱 막대한 비용을 지불해야 하는 일이 발생할 수도 있습니다.

제보자는 KT와의 요금합의가 제대로 이뤄지지 않자 답답한 마음에서 자료를 보낸 것이기도 하지만 VoIP를 사용 중인 많은 기업들이 해킹으로 인해 이같은 막대한 요금청구 피해를 당하지 않기 위해 이 일을 알려달라고 했습니다.

그래서인지 VoIP 서비스와 해커의 침입경로, 교환기 담당자가 해킹 방지를 위해 숙지해야 할 사항까지 자료로 보내왔습니다.

만일 기업에서 IP PBX 등 VoIP 장비를 구축해 사용하고 있는데, 그동안 보안에 크게 신경쓰지 않았다면 한번 참고해보시고 필요한 조치를 해둘 필요가 있습니다.

원문 그대로 붙여보겠습니다.

먼저, 아래는 이 업체에서 분석한 VoIP 교환기의 침입 경로입니다.


◎ 기존 VOIP서비스와 해커의 침입 경로

현재 기업의 인터넷통화에서 많이 쓰이고 있는 인터넷 전화 서비스 도식입니다. 도식을 보시면 아시겠지만 교환기 해킹 사건은 Voip전화 도입사용자에게 언제든지 발생할 수 있는 일입니다.

개별 기업의 교환기가 해킹 당하게 되면 개별기업의 통신담당은 알기 힘듭니다. 뿐만 아니라 저희와 같이 요금청구가 일방적으로 되어서 피해를 볼 수 있습니다.

기존의 인터넷 전화 서비스 도식표<본지사간 무료, 시외구간 할인 유료통화>


◊해킹가능경로◊


◎ 교환기 담당자가 해킹방지를 위해 숙지해야 할 사항

-교환기 보안설정

제가 해킹을 당한 것도 교환기에 Access List나 call-barring 같은 보안설정을 세팅해 놓지 않아서입니다. 이 기능은 특정 ip의 패킷을 차단시키거나 허용하는 기능입니다. Voip 교환기에는 위의 기능이 있으니 제조사에 문의 하여 꼭 세팅해 두시길 바랍니다.

- Active call 비교

billing의 active call과 교환기의 active call을 항상 비교하시기 바랍니다. 교환기가 뚫려 버리면 billing상에 아무 조짐이 없기 때문에 해킹을 조기에 판단하기 어렵습니다. Token 같은 프로그램으로 교환기에 접속하면 보기 편합니다.

- Prefix세팅

prefix는 가능한 특수문자(#,*)를 포함하여 어렵게 사용하는 것이 좋습니다. 회사 자체망으로 보내는 prefix는 누구에게도 알려주어서는 안 되며 ip도 마찬가지입니다.

- Root password 관리강화

매주 또는 매일 패스워드 변경을 하여야 하며 책임을 명확히 하기위하여 한정된 인원에 한에서 서버나 교환기의 비밀번호를 알고 있어야 합니다.

-00으로 시작하는 다이얼 통제 강화

교환기가 해킹을 당하게 되거나 다른 업체에서 00으로 시작하는 다이얼이 들어올 경우 예상치 못한 손해가 발생하게 됩니다. 다이얼이 00으로 시작되면 해당 전화를 차단하는 기능을 적용해 주면 예상하지 못한 손해를 막을 수 있습니다.

이와 관련한 기사를 쓴 다음날이 공교롭게도 방송통신위원회와 한국인터넷진흥원(KISA)이 개최한 ‘VoIP 보안기술 세미나’가 있던 날입니다.

이 자리에서 김희정 KISA 원장은 이같은 피해를 막기 위해 영세 VoIP 별정 사업자의 보안 강화 대책을 강화하겠다고 크게 강조했다고 들었습니다.

방통위 담당 사무관은 영세 VoIP 별정 사업자의 VoIP 정보보호 조치계획을 수립할 수 있도록 지원하고, 전문교육도 실시한다는 방침을 밝혔습니다.

또 VoIP 서비스 사업자들이 보안체계를 운영토록 하기 위해 현재 주요정보통신기반시설 지정과는 별개로 정보보호 안전진단 대상에 포함시키는 방안도 적극 검토할 예정이라는군요.

이밖에도 VoIP 침해사고에 대응할 수 있도록  KISA와 함께 많은 대책을 준비중인 상태입니다. 

VoIP를 사용할 때도 인터넷, PC, 네트워크와 마찬가지로 보안은 필수입니다!

2009/12/08 10:20 2009/12/08 10:20

루마니아 해커로 알려진 ‘우누(Unu)’가 최근 보안업체들이 운영하는 웹사이트를 잇달아 해킹해 국내에서 화제가 되고 있습니다.

‘우누’는 지난 24일 자신의 블로그에 전세계 대표 보안업체인 시만텍의 개인용 보안 제품 ‘노턴(Norton)’의 고객지원 사이트를 해킹했다고 올린 데 이어, 지난 27일에는 국내 업체인 잉카인터넷의 ‘엔프로텍트(nProtect)’ 사이트를 해킹했다고 공개했습니다.


해킹한 시만텍의 웹사이트는 일본의 고객지원 사이트로, ‘우누’는 블로그 제목에 패스워드와 제품 시리얼 번호 등 개인정보가 노출됐다는 점을 부각했습니다.
여기에는 일본뿐 아니라 한국 고객 정보가 포함돼 있다는 점에서 국내에서도 이 사실이 급속히 퍼졌습니다.

잉카인터넷 관련 포스팅도 마찬가지입니다.


‘우누’는 지난 2월에는 카스퍼스키랩의 ‘카스퍼스키’ 제품 웹사이트도 해킹했습니다.


해킹 등 보안위협을 막는 기술을 개발하는 이들 보안 업체들은 SQL 인젝션(Injection) 취약점으로 자사 웹사이트가 잇달아 뚫리면서 망신을 당했습니다.

 
아마도 다른 유명 보안업체들도 이같은 구설수에 오르지 않도록 자사가 운영하는 웹사이트에 보안취약점이 없는지 다시 한 번 점검해보고, 보안관리를 더욱 강화하게 될 것 같습니다.


그렇지 않으면 신뢰성과 이미지 타격은 물론, 아무리 훌륭한 보안기술을 개발해 각종 보안위협을 막을 수 있는 제품을 내놔도 고객으로부터 외면당할 수 있기 때문입니다.


웹사이트나 고객 DB관리가 취약해 진짜로 고객정보라도 유출당하는 사고가 발생한다면, 그야말로 회사를 유지하기 힘들게 될 것입니다.


그런 점에서 ‘우누’는 자신의 주장대로 해를 끼치려는 게 아니라 허점을 알려줘 보안업체들에게 경각심을 높이고 이를 보완할 수 있게 하는 계기를 마련했습니다.


‘우누’는 업체들마다 자사 웹사이트에 허점이 있다는 것을 용기 있게 인정했다는 점을 높이 사기도 했고, 나중에 취약점이 보완됐다는 사실도 공지했습니다.  


그런데 왜 전 아쉬움이 있을까요?


‘우누’가 진정한 화이트 해커라면 보안업체들에게 먼저 알려줬으면 더 좋았을 것 같다는 생각이 듭니다.


그런데도 보안업체들이 취약점을 시급히 보완, 조치하지 않는 등 등한시할 경우 공개하는 것이 더 좋지 않았을까 생각합니다.


물론, 업체들마다 필요한 암호화 조치가 돼 있었다거나 개인정보 수집을 최소화해 “고객 개인정보가 유출되지 않았다”고 밝혔지만, ‘우누’의 이야기대로 각 업체의 고객정보가 노출될만큼 위험하다면 더욱 그랬어야 하지 않을까 싶습니다.


그 사이 진짜 악의적인 해커들이 ‘우누’의 블로그에 올려진 글을 보고 고객정보 유출을 시도할 수도 있지는 않을까 하는 우려 때문입니다. 


보안업체들이 가장 무서워하는 것이 바로 ‘해킹 당했다’, ‘제품이 뚫렸다’는 이야기 아닐까요.

 
예전에 해커들은 자신의 이름을 알리기 위해 유명한 사이트를 노렸다고 하지요. 선의로 행한 것이라면 ‘우누’가 알려진 보안업체들의 웹사이트를 잇달아 해킹해 공개함으로써 혹시라도 불필요한 오해를 사지 않길 바랄 뿐입니다. 




2009/11/30 17:01 2009/11/30 17:01