우키의 보안이야기

  함께 근무하는 회사의 고참 한분이 아래의 기사를  참고하라고..  저에게 보내셨더군요..  어디서 인용하였는지는 기록이 없어서 pass하겠습니다.

  이번 엠에스의 보안 결함은 세계 어느 나라보다 한국이 취약한 상태다. 국내는 공인인증서가 엠에스의 ‘액티브엑스’를 통해서만 발급되기 때문에 익스플로러 점유율이 98% 수준이고, 그중에서도 세계적으로 퇴출 움직임이 거센 익스플로러6의 비중이 가장 높다. 더욱이 브라우저의 보안 정도를 ‘높음’으로 설정할 경우, 엠에스 스스로 보안 위협을 인정해 액티브엑스를 허용하지 않기 때문에 상거래·금융 등 국내 사이트 대부분은 이용할 수 없다

  사실 IE의 보안취약문제는 어제 오늘의 문제는 아니죠..  특히 ActiveX사용이 큰 문제가 되고 있습니다. IE6.0에 대해서는 글로벌하게 퇴출운동이 벌어지고 있기도 합니다.    사실 MS에서도  IE8.0출시할때 activeX를 기본적으로 쓰지않도록 출시한다고 했었죠. 우리나라 정부에서 MS측에  activeX 지원이 필요하다고 협조요청을 했다는..

  우리나라의 경우  IE에 지나치게 편향된 브라우저 환경을 가지고 있습니다.  IE 6.0 가  전체 인터넷을 사용하는 브라우저의 50.6% 나 차지한다고 합니다. (이 데이타는  인터넷트렌드에서 제공한 것을 참고했습니다.) 해외에선 IE6.0이 20% 정도 사용되는것과 비교하면 정말 많은 차이가 나는 것 같습니다.  최근 한달간의 인터넷 사용통계를 조사해보았습니다.   정부에서는 IE만 호환되는 아이핀을  기업들에 보급시키기 위해서  최근 우선지정기업을 정하고  관련 사업을 진행시키고 있습니다.  이런 조치가  대한민국의 인터넷 발전에 저해가 되지는 않을지  우려가 됩니다.   웹 표준을 준수하여  특정브라우저에 종속적이지 않아야    많은 보안문제에서 자유롭게 되지않겠습니까?   이런 부문은 정부에서 의지를 가지고  진행을 해야하는데 아쉬운 현실인 것 같습니다.

▶ 국내 인터넷 사용환경 조사(2009.12.20-2010.1.17) 
  국내 인터넷 사용현황 통계를 조사해보았습니다. InternetTrend에서 제공하는 분석레포트를 참고했습니다. 이 사이트의 조사내역이 실제로 국내 인터넷환경 전체를 정확하게 모니터링한다고 볼수는 없으나  참고자료로 사용하는데는 그렇게 무리가 없다고 생각합니다.   거의 실시간으로 자료가 제공되고 있기때문에  도움이 됩니다.
<< InternetTrend 분석 리포트 페이지 접속하기>>

 - 브라우저 버전 별 인터넷 사용현황
 IE 6.0 : 50.6%  > IE 7.0 28.82% > IE 8.0 18.47 % > Firefox 3.5 0.7%
 - 브라우저별 인터넷 사용현황
 IE 97.91%  > Firefox 0.97% > Chrome 0.37 % > Safari 0.37%
 - OS 별 인터넷 사용현황
 XP SP2 56.35% > XP SP3 14.86% > XP  12.17 % > Win7 3.36%   > Macintosh 0.54%

▶ 해외 인터넷 사용환경 조사 (2010.1.20일 기준 한달간)
  참고하시라고 해외의 사례도 함께  소개해봅니다.    아래 자료는 엔진•인터넷서비스 제공업체 시장 점유율 등에 관한 정보를 제공하는 리서치 전문 업체 리서치 전문업체인 넷어플리케이션에서 가져온 것입니다.  이 사이트는 유명 사이트들에서도 인용을 많이 하는 공신력이 있는 곳이랍니다. 우리나라와는 달리  Firefox 사용자가  상당수 되는 것을 확인할 수 있습니다.  글로벌로 가려하면..  이런 타 브라우저들에 소홀하면 안되겠죠? ^^
  << 넷어플리케이션에서 제공하는 통계 조회하기 >>

 - 브라우저 버전 별 인터넷 사용현황
 IE 6.0 : 20.99%  > IE 8.0 20.86% > Firefox 3.5 16.32% > IE 7.0 15.53 % > Firefox 3.0 6.91%
 - 브라우저별 인터넷 사용현황
 IE 62.69%  > Firefox 24.61% > Chrome 4.63 % > Safari 4.46%
 - OS 별 인터넷 사용현황
 XP  67.77% > Vista 17% > Win7  5.17 % > Macintosh 4.07%

   지난주간 며칠간 회사를 비웠다가   오늘 출근해보니  아래와 같은 메일이 도착해있더군요..   소만사에서는  기업이 개인정보 보호를 위한 충분한 기술적 관리적 보호조치를 해둔다면..   이런 종류의 보안사고가 일어나더라도  보호받을 수있다고  격려하는  내용의  메일을 보냈더군요..  보안관리자 입장에선  다소간에 안도감을 주는 내용이긴 합니다만..  국민의 한사람으로서는  이번 판결이 조금은 아쉬운 감을 주었습니다.

  일단  옥션의 개인정보 유출에 관한 소송에 참여했던 14만명의 원고는  씁슬할 것 같습니다.  초기에  승소할 것이 확실한 분위기였고   소송에 참여하면   배상금을 확실히 받을 수 있을 것 같은 분위기 였지만    결국  옥션이 충분한 기술적 관리적 보호조치를 했다고  법원이 인정을 해주면서   옥션의 손을 들어주게 되었습니다.   이 같은 사례가  향후 악용의 여지가 있을 수 있다는 생각도 듭니다.   기술적 관리적 보호조치를 충분히 했다는 것이 어느정도의 선인지 명확한 규정이 있어야 할 듯합니다.   산업별로  상이한 기준이 필요할텐데..  어쨋든   많은 숙제를 남겼다는 생각이 듭니다.

   어쨋든 이번 일로   각 기업들의 정보보호 부문의 투자가  이어질 것 같습니다. 

 원문참조: http://www.boannews.com/media/view.asp?idx=19104&kind=0
 
  보안뉴스에서는 국내 보안전문가들에게 설문해  2009년도에 이슈가 된  보안뉴스의  TOP 10을 선정했다고 합니다.  조사대상자가 많지 않은 것이 좀 아쉽습니다.

1위. 7.7 DDoS 대란 (역시 예상대로 입니다. 그만큼 큰 영향을 미쳤죠…)

2008년에는 개인정보 노출과 유용에 대한 사건이 연달아 발생하면서 여론의 도마에 올랐다면, 2009년에는 7.7 DDoS 대란이라는 대형 보안사고가 발생하면서 보안업계를 발칵 뒤집었다. 이번 공격이 더욱 주목을 받았던 이유는, 정부 주요기관과 주요 언론사 및 주요 포털 등이 대상이었기 때문으로, 그동안 DDoS 공격의 타깃이 일부 보안에 소홀한 중소기업에 한정돼 있다는 인식을 바꿔 모든 인터넷 사이트가 공격 대상이 될 수 있다는 경고의 메시지를 남겼다. DDoS 공격은 악성코드의 감염으로 사용자 PC를 좀비 컴퓨터로 만들어 발생시키는 네트워크 공격이다. 이에 따라 네트워크상에서 공격을 방어하는 안티DDoS 솔루션의 필요성과 좀비 컴퓨터의 확산을 방지하기 위한 사용자 PC보안에 대한 관심을 부추겼다.

2위. 메신저 피싱

국내 유명 인스턴트 메신저로 지인을 사칭해 돈을 갈취하는 메신저 피싱은 올해 중요이슈로 부각됐다. 메신저 피싱은, 유출된 개인정보로 메신저 아이디와 패스워드를 유추해 접속한 후, 지인을 사칭해 돈을 빌려달라고 하는 사회공학적인 수법을 이용하고 있다. 최근 들어 보안솔루션에 손이 미치지 않는 사회공학적인 기법을 이용한 보안 위협이 증가하고 있는 가운데, 실질적인 금품 피해가 속출한 메신저 피싱은 IT의 기술적인 문제를 넘어 사회적인 문제로 확산됐었다. 특히 개인정보를 활용했다는 점에서 2008년 이슈가 됐던 개인정보 유출 피해의 연장선상에서 봐야한다는 지적이 나오고 있어, 개인정보 수집 기업들과 이용자들의 개인정보 관리를 당부하고 있다. 

3위. 웜 바이러스의 진화와 컨피커 웜

컨피커(Conficker) 웜은 2008년 10월부터 발견되기 시작해 2009년에 많은 변종 악성코드들이 제작돼 윈도우 시스템에 많은 피해를 주었다. 이 악성코드는 윈도우 ‘MS08-067’ 보안취약점, 이동식 저장 매체(USB) 및 취약한 암호를 가진 공유폴더를 통해서 전파된다. 악성코드는 감염PC의 IP 정보를 서버에 저장하고, 특정 웹 페이지에 접속을 시도한다. 감염시스템의 보안을 취약하게 하기 위해 DNS 관련 API를 후킹해 MS와 안티-바이러스 업체 사이트의 특정 문자열이 들어간 웹사이트에 접근하지 못하게 하는 특징을 가지고 있다. 이 악성코드는 만우절인 4월 1일에 대규모 공습에 대한 우려가 있었으나 다행히 큰 피해는 없었다. 그러나 컨피커의 변종 악성코드가 기승을 부리는 가운데 P2P 네트워크를 이용해 가짜 보안 프로그램을 설치하는 변종 악성코드도 나타나 사용자들의 주의를 요구하고 있다.

4위. 개인정보보호 컴플라이언스 대응

올해에도 개인정보보호에 대한 이슈는 가시지 않았다. 특히 올해에는 개인정보보호법의 통과와 정보통신망법 개정에 대한 이슈가 많은 보안 관계자들에게 관심을 받았다. 안타깝게도 국회에 계류 중인 개인정보보호법이 통과되지 않아 개인정보보호 정책에 대한 불신이 싹트기도 했다. 그러나 정보통신망법의 개정으로 인해, 준용사업자 확대 및 암호화 이슈와 개인정보 취급자, 개인정보처리시스템에 대한 법적 의무사항 적용 등이 2009년부터 시작돼 올해부터 본격화 될 것으로 보이기 때문에, 개인정보보호는 2010년에도 지속적으로 이슈가 될 것으로 예상된다.

5위. 아이폰 등장으로 무선보안 및 스마트폰 악성코드 관심 증가

국내 스마트폰 활성화의 걸림돌이었던 위피(WIPI)의무화가 2009년 4월에 폐지됨에 따라, 국내외 다양한 스마트폰이 국내에서도 출시됐다. 특히 외국에서 선풍적인 인기를 끌었던 애플컴퓨터 아이폰 스마트폰의 국내 출시는 2009년 IT업계의 가장 뜨거운 감자 중 하나였다. 특히 아이폰의 출시는, 무선인터넷(무선랜) 탑재를 지양했던 국내 스마트폰 시장을, 무선 자유 경쟁 체제로 이끌었다는 점에서 의미가 있었다. 그러나 이를 통해 수면 속에 감춰졌던 무선랜 보안 이슈도 정면으로 드러났다. 아울러 스마트폰을 노리는 악성코드도 위협적인 스마트폰 보안문제로 전해지면서 관심을 끌었다.

6위. 정보보호 컨트롤 타워 논란

7.7 DDoS 대란으로 인해, 2008년부터 제기 됐던 보안 컨트롤 타워 도입에 대한 논쟁에 불을 붙였다. 게다가 미국의 오바마 대통령이 취임하면서 제기했던 사이버 안보보좌관(일명 사이버 차르) 제도의 여파가 국내에도 많은 영향을 줬다. 7.7 DDoS 대란에서 대응이 우왕좌왕 했던 이유로 보안 컨트롤 타워의 부재가 거론돼 도입에 대한 목소리가 높아졌기 때문이다. 그러나 초기에 적극적으로 추진될 것만 같았던 보안 컨트롤 타워 도입이 시간이 지날수록 청와대와 각 부처 및 보안업계 간의 의견 차이와 도입이 점차 흐지부지해지는 형국으로 바뀌었다. 이에 따라 2009년에 탄생할 것으로 예상됐던 보안 컨트롤 타워는 차후로 미뤄졌다.

7위. 군 해킹 사건

우리나라 군대의 내부정보인 ‘작계 5027’이 북한군 추정 해커에 의해 해킹당한 사건이 뒤늦게 전해져 논란이 됐었다. 군은 중요한 비밀문서가 많기 때문에 외국 사이버군이나 해커들의 표적이 되고 있어 더욱 보안 강화가 필요하다. 국군기무사령부는 우리나라 군의 해킹시도에 대해 하루 평균 9만 5천 건에 이른다고 전하고 있다. 이는 2008년에 비해 20% 증가한 것으로 앞으로도 계속 증가할 것으로 예측되고 있다.

8위. 우누(Unu)의 보안업체 해킹

루마니아 해커인 우누가 외국 시만텍 사이트를 SQL 인젝션 취약점을 공개한데 이어 국내 보안업체인 잉카인터넷 웹사이트의 보안취약점을 공개해 이슈가 됐다. 국내외 보안업체의 웹사이트의 SQL 인젝션 취약점을 공개한 우누는, 보안업체들이 자신의 웹사이트도 지키지 못하고 있다고 비난하고 SQL 인젝션과 같은 보안취약에 더 많은 관심을 가질 필요가 있다고 역설했다.  

9위. 리눅스 커널 취약점 다수 발견

올해에 리눅스 커널에서 다양한 취약점이 보고돼 관리자들의 간담을 써늘하게 했다. 2009년에 보고된 리눅스 커널 취약점만 해도 수십여 개에 이르며 그중에는 관리자 계정 권한을 탈취할 수 있는 심각한 수준도 적지 않았다. 따라서 많은 보안 전문가들은 인터넷 상에서 커널 취약점이 발견되면, 해당 버전에 대한 취약점 해결 방법을 찾아보고 가급적 최신 커널로 업데이트하라고 조언하고 있다.

10위. 지능적인 이메일 악성코드 증가

2009년에는 크리스마스 축하 메일이나 오마바 암살 등 이용자들에게 관심을 끄는 내용으로 이메일을 클릭해 악성코드에 감염시키는 이메일 악성코드가 유난히 극성을 부렸다. 다행히 이런 악성코드의 대부분은 영문 메일로 영어권 국가를 대상으로 하고 있어 우리나라에서는 큰 영향을 받지 않았던 것으로 전해지고 있다. 그러나 구글과 같은 대형 포털사들의 다국어 번역기술이 보급되면서 비(非)영어권 국가에 대한 공격도 늘 것으로 예상돼 이용자들의 주의가 당부되고 있다.