인포스캔과의 첫 인연은 알고 지내던 한국모바일인증의 실장님이 새로운 서비스로 인포스캔을 출시했다고, 회사 홈페이지에 도입을 해 보면 어떤가하는 제안때문이었다. 개인적으로 개인정보유출에 관심이 많았고, 최근에 해킹 이슈가 계속 발생하면서 사실 개인정보유출에 대한 관심은 나만의 관심이 아니라, 모든 사람들의 관심인 것이 사실이다.
안철수연구소 김홍선 CEO의 블로그(http://ceo.ahnlab.com/114)에서 가져온 글입니다. 최근 한국 언론을 통하여 스마트폰의 보안이슈가 크게 부각되고 있는 것을 보았습니다.
컴퓨터의 보안문제보다 더욱 심각하게 보안이슈로 부각된면이 있는 것 같아 조금은 걱정이 되기도 했는데.. 이러한 부분에 대해서 너무나 잘 지적해 주신 글인 것 같아 소개해 드립니다.
최근 언론 매체를 통해 스마트폰의 보안에 대한 이슈가 많이 제기되고 있다. 올해 초부터 스마트폰 보안 관련 세미나는 활발했다. “우리가 언제부터 이렇게 보안을 미리부터 걱정했던가?”하는 생각에 보안 전문가로서 반갑기도 하면서 한편으로는 당혹스럽다. 스마트폰의 사용 현황에 비해 보안 문제가 너무 부각되고 있다는 느낌에서다.
스마트폰 보안의 관심 (토마토 TV)
개방형 플랫폼의 스마트폰이 태생적인 보안 문제가 있는 것은 자명하다. 그렇다고 해서 막연히 불안해 하거나 사용을 기피하는 것은 바람직하지 않다. 스마트폰이 우리의 라이프스타일, 업무에 주는 혜택은 지대할뿐더러 제조사나 서비스 사업자가 스마트폰을 경쟁적으로 공급하는 상황에서 사용자에게 스마트폰은 선택이라기 보다 필수에 가깝다. 어찌 보면 선진국에 비해 뒤쳐진 현실에서 스마트폰은 우리 사회에서 더욱 적극적으로 보편화해야 하는 기기다. 그런 점에서 막연한 불안감보다는 실체적 접근이 중요하다.
스마트폰 보안 접근법의 문제
첫째, 보안 이슈는 세분화해서 디테일한 분석으로 시작해야 한다. 전혀 다른 이슈임에도 ‘스마트폰’이라는 단어로 얼버무려 통칭하는 것을 자주 보게 된다. 이를테면 특정 운영체제(OS) 플랫폼에서만 가능한 해킹 수법을 ‘스마트폰의 취약점’이라며 일반화한다. 특정 앱(App)에만 해당하는 보안 이슈를 ‘스마트폰 앱이 위험하다’라며 수많은 앱을 의심의 눈초리로 보게끔 만든다. 이러한 이슈 확대는 뉴스거리는 될지언정 대다수 사용자를 불안하게만 할 뿐이다.
둘째, 위협(Threat)과 위험(Risk)을 명확히 구분해야 한다. 악성코드와 해킹의 위협이 있다고 해서 모두 위험은 아니다. 운영체제나 애플리케이션 해킹이 기술적으로 이뤄질 수 있다 하더라도 보안 솔루션을 갖추고 사용자의 관리와 제도적인 보완 장치가 있으면 위험은 될 수 없다. 무선 인터넷 해킹 같은 문제는 이미 수년 전부터 나왔던 문제인데 이제 와서 무조건 '위험하다'고만 하면 오히려 대책을 세우는 데 장애가 될 뿐이다. 각종 공격 기법에 대해 일희일비 하기 보다는 사이버 안전을 위한 중심 방향과 로드맵을 가지는게 우선이다. 이를 바탕으로 제도와 정책, 기술과 제품의 접목, 사용자의 책임과 관리, 대응 체제를 포함하는 종합적 시각으로 접근해야 한다.
위협(Threat) vs. 위험(Risk)
셋째, 보안 위협은 신속하고 투명하게 소통되어야 한다. “이런 해킹 기법을 나는 잘 알고 있다. 당신은 위험하다” 라는 식의 막연한 문제 제기는 불안감만 부추긴다. 우리가 살다 보면 불확실할 때 가장 불안하지 않은가? 7.7 디도스 대란이 우리를 불안하게 했던 것도 공격자의 의도를 알 수 없어서 였다.새로운 위협, 공격 기법, 악성 코드의 정보가 확보되는 순간 불안감은 급격하게 줄어든다. 따라서, 정보의 공유와 소통이 보안 전문가의 덕목이다.
일반인들이 이해하기 어려운 기술적 용어로 겁을 주면서 적당히 자신을 과시하는 것은 바람직한 자세가 아니다. 이미 국내에도 실력 있는 보안 전문가와 기업이 많이 있어 그런데 흔들리지도 않는다. 보안은 마케팅 도구가 아니다. 현존하는 위협으로부터 어려움에 처한 이들을 구한다는 사명감의 본질에 충실했으면 한다.
보안에 관련된 주체들의 역할 분담 절실
스마트폰의 경우 관련 주체가 많다. 사용자, 서비스 사업자, 단말기 공급자, 스마트폰 운영체제 공급자,앱스토어 운영자, 앱 개발자, 앱 서비스 운영자, 광고주, 보안 솔루션 업체, 정부기관 등. 이들이 보안 문제의 원인 제공자가 될 수도 있고, 어느 정도 책임의 범위가 있다. 개인화와 개방형 시대가 되면서 정보 권력이 분산돼 혼란스런 느낌이다. 이럴수록 역할 분담을 명확히 해야 한다.
오히려 스마트폰의 문제에 국한해서 보지 말고 컨버전스 플랫폼으로서 태블릿 PC, 전자책, 스마트TV와 같은 기기, 클라우드, 소셜네트워크와 같은 서비스를 총괄적으로 보는 긴 호흡이 필요하다. 컨버전스가 진행되어 업종 간 경계가 무너지면서 보안 경계마저 희미해지고 있으며 새로운 문제들도 속속 발견되고 있다. 스마트폰 보안의 이슈도 우리 기업과 사회에 미치는 영향의 전반적 틀에서 보는 것이장기적 해법이다.
마이크로소프트는 지난 금요일 감염된 USB 플래시 드라이브를 이용한 윈도우 취약점을 노린 공격에 대해 경고하고 나섰다.
이 버그는 마이크로소프트가 윈도우 XP SP2에 대한 마지막 패치를 배포한 직후 처음으로 발생한 것으로, 패치를 발표하더라도 XP SP2를 구동하는 컴퓨터에는 제공되지 않을 예정이다.
마이크로소프트는 보안 권고를 통해서 해커들이 윈도우 바로가기 파일의 버그를 악용하고 있다고 밝혔다. 바로가기 파일은 사용자들이 바탕화면이나 시작 메뉴에 주로 넣어놓는 것으로, 이 같은 사실에 대해 전문가들은 거의 한 달간 경고를 해왔다.
마이크로소프트의 TwC(Trustworthy Computing) 그룹의 책임자인 데이브 포스트롬은 “Stuxnet 맬웨어와 결합된 형태로 발견된다”라고 말했다. Stuxnet은 트로이안 목마 등이 포함된 맬웨어의 모음으로 공격의 증거를 숨기는 루트킷도 포함되어 있다.
포스트롬은 이 위협을 “제안되고 타깃화된 공격”이라고 정의했는데, 마이크로소프트는 7월 15일까지 이 공격에 피해를 입은 윈도우 PC 6,000개를 추적했다고 전했다.
지난 금요일 지멘스는 시마틱 윈CC(Simatic WinCC) 사용 고객들에게 주요 공업 회사 등에서 사용되는 대규모 업계 제어 시스템을 관리하기 위해 사용되는 컴퓨터를 노리고, 윈도우 취약점을 활용한 공격이 횡행하고 있다고 경고한 바 인다.
마이크로소프트에 따르면, 윈도우는 .lnk 라는 확장자를 사용하는 바로가기 파일을 정확히 분석하지 못한다. 이 결함은 USB 플래시 드라이브를 통해서 자주 악용되고 있으며, 해커들은 악성 .lnk 파일을 만들어 사용자의 주목을 받지 않은 채 윈도우 PC를 장악할 수 있다.
USB 드라이브뿐만 아니라, 네트워크 공유나 원격 웹DAV 공유를 통해서도 이 같은 악성 바로가기파일이 퍼질 수 있다. 따라서 경우에 따라 매우 안 좋은 상황까지 이어질 수 있다는 분석이다.
마이크로소프트는 아직 이 제로데이 취약점에 대한 패치일정을 밝히지 않았으며, 차기 정기 패치 날짜는 8월 10일이다.
현재로서, 마이크로소프트는 바로가기 표시를 하지 않도록 하거나, 웹클라이언트 서비스를 끄는 것으로 공격을 차단할 수 있다고 전했다. 둘 다 윈도우 레지스트리를 편집해야 하는데, 이것은 컴퓨터에 의도치 않는 영향을 끼치고 싶지 않은 사용자들에게 기피되는 방법 중 하나이다. 또한, 바로가기 파일을 사용하지 않으면 프로그램을 시작하거나 문서를 여는 것이 불편해 질 수 있다.
이번 제로데이 버그에 영향을 받는 시스템 중에는 지난 주를 마지막으로 보안 지원이 되지 않는 윈도우 XP SP2가 포함되어 있어, 사용자들의 주의가 요구된다. 추후에 패치가 나오더라도 윈도우 XP SP3, 비스타, 서버 2003, 윈도우 2000 등과 다르게 XP SP2에는 패치가 적용되지 않을 예정이다.
이에 따라 마이크로소프트는 XP SP2 사용자들이 SP3로 업그레이드 하기를 권하고 있다. gkeizer@ix.netcom.com
언젠가부터 우리 생활이 PC 중심으로 이뤄지면서 그 운영체제(OS)를 독점한 마이크로소프트는 무소불위 권력을 과시해왔다. ‘윈도’라는 OS의
영향력만큼 MS ‘왕권’은 날로 굳건해졌고, 여기에 도전한 기업들은 쓴맛을 봐야했다.
90년대 중반 인터넷이 막 보급되던 시절
브라우저 시장 90% 이상을 차지했던 넷스케이프가 그 대표적 희생양이다. MS가 윈도에 브라우저 ‘익스플로러’를 탑재하자 넷스케이프는 순식간에
무너졌다. 지금도 익스플로러는 시장 점유율 70% 이상을 확보, 경쟁제품 파이어폭스나 사파리의 추격을 불허하고 있다.
이 뿐만이
아니다. 오피스를 비롯한 MS 소프트웨어들은 대부분 윈도, 혹은 도스와 함께 우리에게 친숙해졌고, 코렐·IBM·볼랜드 등은 이 벽을 허물지
못했다.
하지만 2000년대 초 등장한 구글은 달랐다. 단순 검색 사이트인줄 알았던 이 구글이란 ‘괴물’은 MS에게 전에 없던
위기감을 선사했다.
구글독스
왜냐하면 구글은 OS에서 독립된 인터넷이란 공간에서 소프트웨어를
무상 제공하고 있기 때문이다. ‘세계 어떤 PC도 인터넷만 된다면 SW를 이용할 수 있다’라는 것이 구글의 주장이다. 이는 이제까지 MS가 굳게
믿고 있던 ‘윈도’를 하루아침에 무용지물로 취급한 발언이기도 하다.
이제 세계 네티즌들은 인터넷으로 소프트웨어를 대여하는
‘Saas(software as a service)’와 '구글독스'처럼 무료 웹 애플리케이션으로 웹상에서 작업을 하는 ‘클라우드(Cloud)
컴퓨팅'으로 눈을 돌리고 있다. 돈 내고 MS 소프트웨어를 구매해 윈도서 사용하는 방식은 '구형'이 된것이다.
MS도 이런 상황을
감지, 부랴부랴 코드명 ‘앨버니(Albany)’라는 웹 오피스를 준비한다고 발표했지만 정확한 서비스 시기는 알려지지 않았다.
■ 보안 ‘보장’해야 웹으로 간다
이렇게 MS를 압박하는 구글이지만 진정한 웹 중심 세계를 만들려면
넘어야할 산이 아직 있으니, 바로 보안이다.
다스베이더가 경계(?) 선 구글
보안팀.
구글이 제공하는 웹에서의 업무환경이 윈도보다 빠르고 성능이 좋다고 가정해도,
보안을 생각하면 걱정이 되는 것이 사실이다. 내 PC안에 있어도 유출될까봐 불안한 파일을 구글에 맡길 용기가 생길까.
물론 PC도
보안을 안심할 수는 없지만, 그렇다고 웹으로 갑자기 이사하기가 쉬운 것도 아니다.
특히 개인이 아닌 기업들이라면 이런 문제에 더
민감할 수밖에 없다. 비교적 가격이 싼 '구글앱스' 대신 하드웨어와 소프트웨어 구입비용을 내면서 끝까지 윈도를 지키고 있는 기업들이 대부분인
것이 이 때문이다.
이런 상황을 타개하기 위해 구글은 이달 8일 호스팅 형태 기업 보안 서비스(Web Security for
Enterprise)를 출시, MS에 승부수를 던졌다. 웹의 보안마저 강화해 윈도우 입지를 한층 허물겠다는 속셈이다.
■
구글, 기업 보안 서비스…MS에 치명타?
서비스 내용을 살펴보면 웹과 이메일 상 작업에 있어서 악성코드를 비롯한 보안 위협을
차단해 준다는 것. 이는 단순 백신이 아닌 기업 전체 보안체계를 구글이 관제 및 컨설팅하는 형태이다. 여기에는 구글이 지난해 6억2천500만
달러들 들여 인수한 보안기업 ‘포스티니’의 기술이 탑재돼 있다.
구글 보안강화가 윈도를 흔들
것인가.
구글코리아 정김경숙 이사는 “새로 나온 구글의 보안 서비스는 대형/중견 기업을
모두를 대상으로 한다”며 “원거리서 모바일로 작업하는 직원도 보호받을 수 있다”고 밝혔다.
이 서비스는 아직 성능이 검증되지
않았지만 미국 시장서 벌써 큰 기대를 모으고 있다(한국에는 아직 계획이 없다). 씨넷을 비롯한 외신들은 벌써부터 구글이 MS에 치명타를 가하고
있다며 관심을 집중하는 모습이다.
보안기업 퀄리스의 필립 쿠토 대표는 “구글이 보안이 강화된 웹과 검색광고의 시너지로 MS의 목을
조일 것”이라고 예언(?)했다.
하지만 이런 반응은 아직 섣부르다는 목소리도 있다. 한 해외 보안 관계자는 “만약 구글의 보안
서비스 성능이 실망스럽다면, 그나마 웹으로 오던 기업들도 다시 OS로 돌아가는 역효과를 낼 것”이라며 “구글 보안 전략이 불러 올 효과는 좀 더
지켜봐야 한다”고 전했다.
이제 세계 IT 업계는 웹과 OS라는 두 ‘우주’를 내세운 구글-MS 대결에 보안이 어떤 변수로 작용할지
주목하고 있다. @
앞으로는 개인은 인터넷포털을 포함해 인터넷사이트에 가입할 때 주민등록번호를 의무적으로 제공하지 않아도 되고 기업은 반드시 금융정보를 암호화한 후
저장해야 한다. 또 개인정보보호 의무규정을 위반하거나 개인정보 유출 및 노출 등 침해사고가 발생했을 때 사업자에게 부과되는 과태료와 벌칙이 대폭
강화된다.
하지만 이 같은 정부의 개인정보 침해방지 대책에도 불구하고 개인정보 수집 관행을 막는 실질적인 대책이 빠져 있어
개인정보의 악용은 물론이고 해킹 피해를 근본적으로 줄이기에는 역부족이라는 비판이 쏟아지고 있다. 이번 대책은 특히 정보통신망법 개정과 시행에
이르기까지 4∼6개월이 걸릴 예정이어서 상당 기간 피해가 불가피하다는 지적이다.
24일 방송통신위원회는
행정안전부·대검찰청·경찰청·금융감독원·한국정보보호진흥원·통신사업자 및 인터넷사업자 등과 대책 회의를 개최해 ‘인터넷상 개인정보 침해방지 대책’을
발표했다.
그동안 옥션·KT·다음 등 서비스 사업자가 해커의 공격을 받으면서 1000만명이 넘는 개인 정보가 유출됐다. 지난 2월 옥션은 중국에서의 공격에
의해 1081만명에 이르는 개인정보 DB를 해킹당한 데 이어 3월에는 KT와 다음을 비롯한 9개 통신·인터넷 사업자가 해킹을 당해 충격을 줬다.
여기에 하나로텔레콤이 불법으로 고객정보를 유출한 사건까지 발생하면서 온 국민이 개인정보 유출에 떨고 있는 상황이다.
특히
개인정보에는 은행 계좌번호를 비롯한 성명과 주민등록번호 등이 포함돼 있어 이를 악용한 명의도용·전화금융사기 등이 여전히 우려되고
있다.
방통위는 이를 막기 위한 대책으로 △주민등록번호 대체수단(i-PIN) 도입 의무화 △주민등록번호 암호화 보관 및 비밀번호
생성기준 적용 의무화 △개인 정보 유출·노출 시 통지·신고 의무화 △법 위반 사업자에 대한 벌칙·과징금 도입 등 제재수단 상향조정 등을
내놓았다. 대책에 따르면 통신·인터넷 사업자의 주민등록번호 수집이 매우 제한되며, 사업자는 기존 수집된 정보도 암호화를 하는 등 보호 대책을
마련해야 한다. 또 이를 위반하면 강도 높은 처벌을 받게 된다.
조영훈 방통위 개인정보보호과장은 “검·경의 수사, 행안부와
방통위의 실태조사, 금감원과 한국정보보호진흥원의 전문 기술지원 등으로 공조를 강화할 예정”이라고 말했다.
그러나 이번 발표에 앞서
시민단체를 비롯해 개인정보 악용에 불만을 품은 시민들은 근본적인 해결책으로 불공정 약관 규제를 주장했다. 개인이 기업에 정보를 제공할 수밖에
없는 것은 정보를 제공하지 않으면 서비스 자체를 이용하지 못하도록 약관에 규정해 놓고 있기 때문이라는 것이다. 게다가 개인정보 수집 제한을 위한
대책으로 i-PIN 도입 의무화를 제시했지만, 이 대책은 이미 지난해 정보통신망법 개정안으로 나와 국회에 계류 중인
안이다.
개인정보 보관의 불신을 해소하기 위한 방안으로는 개인정보 위험관리제를 도입하고 사업자의 개인정보 유출·노출 사실 통보와
신고 의무화가 제시됐다. 하지만 이 수준으로는 자신의 정보가 어디까지 수집돼 어떻게 관리되고 있는지는 알 수 없어 계속되는 불안을 해소하기
힘들다.
개인정보는 통신사업자뿐만 아니라 수많은 민간 사업자가 보유하고 있는만큼 하루빨리 이의 대책을 내놓아야 한다는 지적도
나왔다. 개인정보 보호 책임은 정보통신망법과 공공기관 개인정보보호에 관한 법률로만 규정돼 있어 이를 피해갈 수 있는 사업자가
많다.
정보보호 업계에서는 개인정보 활용 규제 강화와 함께 근본적인 보안체계 강화를 주장하고 있다. 가장 큰 문제는 대규모 사태가
터졌을 때 일관된 지시를 하고 책임질 조직이 없다는 것이다. 사건이 잇따라 터진 후에야 비로소 대책회의를 열어 이와 같은 대책을 발표한 점은
이를 여실히 보여주고 있다. 또 보안 제품의 점검도 강화해야 한다는 지적도 나왔다. 공급 이전 승인단계는 여러 인증 제도로 인해 매우 까다로운
반면에 사후 관리체계는 허술한 상태다.
accesspv-apxkfwhgdk.zip
