우키의 보안이야기

가. 무결성(Integrity)

기업과 기업의 소송에서 증거는 가장 확실한 승리를 보장한다. 미국의 E-Discovery는 미국 기업과 특허법이나 기타 민사소송에 휘말릴 수 있는 국내 기업들에게 아주 중요하고 큰 의미를 갖는다. 이를 위해서 미국과 관계된 국내 기업은 전자정보관리정책을 세우고 전자정보를 인덱싱하여 빠른 시간 내 검색할 수 있는 시스템구축이 필요하다.
지난 2005년 미국 월가의 초대형 금융투자회사 모건스탠리가 레블론사에 6억달러를 배상했다. 더 큰 손해는 명성에 입은 타격이었다. 결정적인 패소원인은 법원의 증거개시요청(Discovery)에 응하지 못했기 때문이다. 법원은 자문 내용이 담긴 이메일을 빠짐없이 제출하도록 요구했으나 모건스탠리는 이메일 검색 시스템 매뉴얼조차 갖추지 않고 있었다.또한 2006년 마이크로소프트는 Z4 테크놀로지와의 특허침해소송에서 패소, 250억원을 배상했다. 마이크로소프트 역시, Z4 테크놀로지로부터 이메일과 데이터베이스 증거개시요청(Discovery)을 받았으나 자료를 제출하지 못했다. 미국과 관계된 모든 기업에게 중요한 E-Discovery
미국과 비즈니스로 연결되어있는 모든 기업에게 E-Discovery는 매우 중요한 이름이 될 것이다. 1차적으로는 특허소송에서 위력을 발휘할 것으로 예측된다. 필자는 E-Discovery의 의미를 법률적으로 또 가능하다면 우리 기업에 미치는 경제적 영향까지 연구할 생각이다. 우선, E-Discovery가 과연 무엇인가? E-Discovery가 무엇인지 알기 위해서는 미국 민법에 존재하는 Discovery 절차를 알아야 한다. E-Discovery는 Discovery에 E를 붙인 것이기 때문이다. E-Discovery는 2007년 1월 미국 연방민사소송규칙 개정으로 등장했다. E-Discovery 이전에도 존재했던 E-Discovery에 이메일 등의 Electronic data를 포함시킨 것이 E-Discovery이다. 위 두 소송사례에서 볼 수 있듯이 Discovery의 중요 항목이 이메일과 데이터베이스 등 전자정보였다는 점을 볼 때 시대변화에 따른 법 개정이라 할 수 있다.  ㆍDiscovery는 무엇인가?증거의 발견과 공개이다. 디스커버리는 발견한다는 뜻이다. 법률상 디스커버리는 증거의 발견 및 공개를 의미한다. 미국소송절차는 우리나라 민사절차와 달리 소송에 처하게 된 당사자가 소송과 관련하여 자신이 무엇을 가지고 있는지 발견하여 상대방에게 공개해야 한다. 이 절차가 Discovery이다. ㆍDiscovery는 왜 하는가?시간절약과 깜짝 쇼 방지를 위해서다. 헐리우드 법정영화를 보면 유난히 깜짝쇼나 극적 반전이 많이 나온다. 그러나 실재재판과정에서는 드문 일이다. Discovery 로 미리 서로의 카드를 다 공개하기 때문이다. 증거를 공개하면 쟁점이 명확해지고 시간낭비가 줄어들며 자신이 이 소송에서 이길지 질지 예측도 가능하다. 깜짝 쇼로 인한 소송의 드라마화도 줄어들게 된다. 소송은 게임이 아니며 승패에 의하여 엄청난 재산이 오가는 심각한 일이기 때문이다.

상대방 요구 자료 제공의무 ‘Disclosure’
디스클로저는 상대방이 요구한 자료를 제공해야 하는 의무로 Discovery에 포함된다. E-Discovery상 매우 중요한 조항인 FRCP 26은 보호되거나 공개할 수 없는 정보를 제외한 이용 가능한 모든 정보를 Disclosure해야 한다고 규정하고 있다. ㆍDiscovery는 법원 개입 없이 소송당사자간에 이뤄진다Discovery 절차는 양 당사자 간에 이루어진다. 어느 한쪽의 요청을 상대방이 거부하여 분쟁이 생기면 법원이 개입하게 된다. 한쪽이 고의적으로 비용과 시간이 과중하게 드는 요청을 할 경우, 취소명령을 내릴 수 있고 반대로 한쪽이 Discovery 의무를 다하지 않을 경우, 강제명령을 내릴 수도 있다. Discovery는 요청서, 답변서, 항의서 등의 서면으로 이뤄지며 각 문서마다 변호사가 서명해야 한다. ㆍDiscovery 포함 사항 예 1. 중요정보를 가지고 있을 가능성이 있는 자의 이름, 주소, 전화번호2. 중요서류나 물건의 사본이나 설명3. 배상액의 계산방법과 계산방법의 근거가 된 자료의 사본4. 판결의 일부 혹은 전부를 지불할 보험자와의 보험계약5. 공판에서 이용될 가능성이 있는 전문가 증인의 신원6. 서명된 전문가증인의 자격, 의견, 근거를 포함한 보고서7. 공판에 출석시킬 증인, 증언 녹취 사본 등  ㆍDiscovery 제외 사항변호사와 의뢰인, 부부 등 법으로 보호되는 특별한 관계간의 진술 내용이다. ㆍDiscovery에 응하지 않았을 때는?Discovery에 필요한 증거를 제출하지 못했을 때, 혹은 상대편이 요구한 자료를 제출하지 못했을 때 소송당사자는 법원이 납득할 수 있는 정당한 이유를 댈 수 있어야만 한다. 만일 그렇지 못할 경우, 사실의 고의적 은폐에 해당되어 소송에서 패소할 확률이 커진다.

E-Discovery로 달라지는 것은 무엇인가?

소송비용의 증가이다. 기업 내 문서가 종이로 되어있을 때와 현재처럼 전자데이터로 되어있을 때 가장 큰 차이는 무엇인가? 바로 자료의 양이다. 이메일은 첨부파일의 CC와 포워딩 등을 통해 무한 복제된다.한 사람이 쓰는 이메일, 메신저 정보량만 해도 엄청난데 대기업 전체 네트워크에서 오고간 데이터를 3년에서 5년까지 검색해 법원에 제출해야 한다고 생각해보자. 실제로 판례는 이메일 20만개를 검색하는데 $84,060 우리나라 돈으로 약 8천만원이 들었다는 엄청난 비용자료를 보여준다. [Rowe Entertainment v. The William Morris Agency, 205 F.R.D. 421 (S.D. N.Y., 2002)]   검색 이후 검토 비용은 이 비용의 4배를 상회했다고 한다. 국내 한 대기업에서 소만사 메일아이가 하루에 처리하는 이메일수가 200만개임을 생각할 때 이메일 20만개 검색에 8천만원은 실로 엄청난 비용이다. 또한 Discovery를 위한 자료탐색 및 검토 시간이 길어지면 길어질수록, 변호사비용은 상승한다.  그렇다면 기업은 어떻게 대처해야 하는가? E-Discovery는 법으로는 초기단계이다. 필자 역시, 자료를 통해 앞으로의 흐름을 추측할 뿐이다. 그러나 대체적인 의견은 전자정보는 이메일로 국한되지 않을 것이며 기업이 합리적인 전자정보관리정책을 세우고 전자정보를 인덱싱하여 빠른 시간 내 검색할 수 있는 시스템을 구축한다면 법적 책임을 다할 뿐 아니라 막대한 소송비용 역시 줄일 수 있을 것이라는 것이다. 반대로 평소에 정책이 부재했고 전자정보를 시스템으로 관리하지 않은 기업에게 E-Discovery는 대재앙이 될 것이다.

앞서 언급한 모건스탠리와 마이크로소프트 판례를 다시 보면, 증거개시 즉 Discovery를 하지 못함은 곧 패소판결로 이어졌다. 두 굴지의 기업이 정말 은폐한 것인지, 이메일과 데이터베이스 기록관리 시스템의 문제였는지 알 수는 없다. 그러나 원인에 상관없이 법원은 증거의 고의적 은폐, 의무의 불이행으로 판단, 막대한 손해배상의무를 부과했다. 이는 미국기업과 특허법이나 기타 민사소송에 휘말릴 수 있는 국내기업들에게 의미하는 바가 크다. 결국 기업 대 기업 소송은 증거 대 증거의 싸움일 수밖에 없기 때문이다.

   구글의 암호시스템인 ‘가이아’가 해킹되었다고  얼마전에 보도가 나왔었는데   이제서야 해킹경로가  보도로 알려지 지게 된 것 같습니다.    철통같다고하는 구글의 방어시스템도 결국  직원의 부주의한 실수 하나로   무너졌다는 것을 볼 수 있는 사례인것 같습니다.  예전에 옥션해킹사건도  유사하다고 볼 수 있다고 할때  직원에 대한 보안교육이 얼마나 중요한지  다시 한번 절감하게 되는것 같습니다.

원문링크: http://www.boannews.com/media/view.asp?idx=20540&skind=D 

  뉴욕타임스는 지난해 12월 구글 해킹 당시 전세계 수백만명의 구글 웹서비스 이용을 관리하는 암호체계가 침입자들에게 뚫렸다고 20일 보도했습니다.

 사건의 발단은 마이크로소프트(MS) 메신저 프로그램을 사용하는 중국 소재 구글 직원에게 인스턴트 메시지가 전달되면서 일어났습니다. 이 메시지에는 악성 웹사이트 링크가 담겨 있었고 이를 클릭하면 침입자들이 그의 PC 접근 권한을 가질 수 있게 돼 있었습니다. 침입자들은 구글 직원의 PC를 통해 미국 캘리포니아주 마운틴뷰의 구글 본사에 있는 소프트웨어 개발자 컴퓨터에 접근할 수 있었고 이들은 결국 개발팀이 사용하는 소프트웨어 저장공간의 통제권에까지 접근할 수 있었던 것입니다.  첫 공격 방법은 아주 간단했습니다. 그러나 침입자들은 누구를, 어떻게 해킹해야 하는지 정확히 알았다는 점에서 치밀한 전략을 세운 것으로 보인다. 또한 이들은 소프트웨어 저장 공간의 접근 권한을 얻기 위해 다른 복잡한 해킹 기법을 사용한 것으로 알려졌습니다.

  이들이 공격한 암호체계는 ‘가이아’라고 불리고 있으며 이 프로그램은 인터넷 사용자나 구글 직원들이 이메일이나 비즈니스 앱스 같은 서비스를 이용할 때 패스워드를 입력하도록 하는 소프트웨어입니다. 가이아는 구글 지메일(Gmail) 등의 가입자가 패스워드를 입력하고 로그인을 하면 이를 인증해 가입한 모든 서비스를 원스톱으로 이용할 수 있게 해주는 기능을 갖고 있습니다. 하지만 패스워드를 사용하는 구글의 거의 모든 서비스와 연결돼 있기 때문에 가이아 시스템이 해킹 당할 경우 구글의 모든 정보가 전부 노출될 위험이 있습니다.

  구글측은 올해 초 해킹을 적발한 직후 시스템 보안을 강화했기 때문에 가입자 정보는 안전하다고 밝혔으나 보안 전문가들은 “설계도에 해당하는 소스코드가 유출됐기 때문에 해커들이 이를 분석해 허점을 찾아내고 언제든 해킹을 시도할 수 있습니다”며 우려를 나타내고 있습니다.

원문참조: http://news.joins.com/article/aid/2010/04/08/3679586.html?cloc=nnc

 원 기사제목엔 “해킹당한 좀비 스마트폰 유럽선 흔해“이렇게 되어있던데  내용을 읽어보니 그런 내역은 아니고  이른바 ‘탈옥’한 스마트폰이 많아서  매우 보안에 취약하니 주의가 크게 요구된다는 내용이더군요.. ^^

  호세 두아르(Jose D‘uart·32·사진): 스페인 출신의 해커/  독일 보안업체 자이내믹스의 보안 전문가/ 스페인 정부의 IT 보안담당.  

▶ 두아르가 제시한 스마트폰해킹에 의한 피해 시나리오
  이재현씨는 아이폰 사용자다. 앱스토어에서 게임, 외국어 학습과 관련된 각종 애플리케이션(응용 소프트웨어)을 다운로드받아 쓴다. 어느 날 이씨는 앱스토어에는 없는 애플리케이션을 인터넷에서 발견했다. 다운로드받아 쓰고 싶었지만 아이폰은 앱스토어에 없는 애플리케이션 다운로드를 금지하고 있다. 그는 이른바 ‘탈옥(jail break)’ 프로그램을 아이폰에 설치했다. 이 프로그램은 아이폰 OS(운영체제)에 변화를 일으켜 앱스토어에 없는 애플리케이션도 다운로드받을 수 있게 해 준다. 말 그대로 아이폰이 앱스토어라는 감옥에서 탈출하는 것이다. 며칠 뒤 이씨는 자신의 통장에 있던 돈 수천만원이 모두 누군가에 의해 인출된 걸 알게 됐다


“‘좀비 아이폰’이라고 들어보셨나요? 당신의 아이폰이 누군가에 의해 원격으로 조종되는 일이 곧 일어날 수 있습니다.” 두아르는 “한국에서 아이폰을 비롯한 스마트폰이 보편화되고 있는 것으로 안다. 하지만 휴대전화가 진화할수록 해킹 위험에 더 많이 노출된다”고 말했다. 그는 ‘jail break’로 인한 아이폰 해킹이 가장 우려된다고 경고했다. 아이폰 사용자들은 더 많은 애플리케이션을 다운로드받기 위해 자신의 아이폰에 이 프로그램을 설치한다. 사용자들은 이렇게 변형된 아이폰을 ‘해적판’이라고 부른다. 두아르는 “스마트폰이 먼저 보편화된 유럽에는 해적판 아이폰이 넘쳐난다”고 말했다.

문제는 해적판 아이폰의 보안 기능이 취약하다는 것이다. 두아르는 “아이폰에는 원거리에서 컴퓨터에 접속할 수 있는 기능(SSH)이 있는데 ‘jail break’를 설치하는 순간 이 기능에 필요한 비밀번호가 ‘alpine’으로 자동 설정된다”고 말했다. 그는 “대부분의 아이폰 사용자들이 비밀번호를 바꾸지 않기 때문에, 나쁜 마음을 먹은 해커들이 이 비밀번호를 이용해 해적판 아이폰에 접속할 수 있다”고 덧붙였다.

두아르는 “해커가 원거리 접속을 통해 ‘상상 가능한 모든 것’을 할 수 있다. 문자메시지와 통화기록, 저장된 사진을 보는 것은 물론 통화내용 도청과 인터넷 뱅킹 정보를 빼내는 것도 기술적으로 가능하다”고 말했다. “말 그대로 내 손 안의 아이폰이 ‘좀비’로 변한다”는 것이다.

두아르는 “일반 휴대전화가 ‘개집’이라면 스마트폰은 ‘백악관’에 해당한다”고 말했다. 백악관이 살기에 편리하고 보기도 좋겠지만 창문이 많아 도둑이 들 가능성도 커진다는 것이다. 그는 “편한 생활을 마음 놓고 즐기려면 그만큼 철저한 보안 의식이 필요하다”고 강조했다

MS Technet 링크입니다. 한글이므로 참고가 되겠죠?


1. Forefront TMG Server 2010 계획 및 설계 방법
http://technet.microsoft.com/ko-kr/library/cc441674.aspx

2. Forefront TMG Server 2010 배포
http://technet.microsoft.com/ko-kr/library/cc441445.aspx

  기존에 ISA Server를 이용해서 vpn을 사용하고 있는데요..   외부에 있는 pc나 노트북의 연결을 위해선 L2TP와 PPTP밖에 지원하지 않기때문에  실제로 연결되지않는 곳이 많아서 어려움이 있었습니다. ISA 서버의 업그레이드 버전인  TMG서버에선 SSTP VPN연결을 지원한다고 합니다. 인터넷을 뒤지다보니 관련 문서가 있어서 소개합니다.
  아래 문서에선 TMG beta3를 기준으로  설명이 되어있습니다.  http://www.isaserver.org 에 있던 영문문서입니다. 한글이면 좋겠지만요..  제가 직접 해보면 다시 이 글을 업데이트 하도록 하겠습니다.

<< part 1 >>
<< part 2 >>
<< part 3 >>

한국생산성 본부에서  Security Day 세미나및  CISSP설명회를 한다고 합니다.

주제: 2009년 정보보안위혐결산및 2010년 정보보안 Forecasting
주최: 한국생산성 본부
일시: 2010. 2.27 (토)  14:00-15:00
장소: 한국생산성본부 4층 404호 강의실

CPE도 제공된다고 하니.. 관심있으신 분은 참여하시면 될 것 같습니다.
한시간이라 좀 작죠?
이메일로만 해당내역이 공지가 되어서  웹링크를 하지는 못하고 스크린샷으로 대신합니다.
아래 내역을 확인하시고 이메일로  신청하시면 된다고 합니다.

담당자 메일주소: jehpark@kpc.or.kr