월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

Transcription

1 안랩 온라인 보안 매거진 Patch Management System

2 월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호 법령 사항 5가지 10 CASE STUDY 대림대학교, 안랩 제품으로 보안 철옹성 구축 14 FOCUS IN-DEPTH IoT 환경의 스마트홈 보안을 말하다 18 TECH REPORT 비트코인과 블록체인, 미래를 지배할까 21 IT & LIFE 나만 궁금할까? PC 활용 기초 5가지 23 STATISTICS 2016년 1월 보안 통계 및 이슈 25 AHNLAB NEWS AWS 고객 원격보안관제 서비스 파트너 협약 체결 안랩, 2016 네트워크 파트너 킥오프 투어 프로그램 진행 2

3 EXPERT COLUMN Jumper 영화 점퍼 와 트로이목마 2008년에 개봉한 영화 점퍼(Jumper) 는 초능력을 가진 주인공의 이야기이다. 마블 코믹스에 나오는 다양한 슈퍼히어로에 익숙한 사람들에 게는 낯설지 않을 순간이동 능력 을 가진 주인공이 등장한다. 어린 시절 물에 빠진 주인공은 깊은 호수 바닥으로 가라앉고 있었는데, 어느 순간 학교 도서관 서고의 한가운데로 주변의 물과 함께 순간이동 을 하게 된다. 그는 점프, 즉 다른 공간으로 이동할 수 있는 자신의 초능력을 발견한 것이다. 주인공은 이 능력을 이용해 은행의 금고 안에서 돈을 자유롭게 꺼내 오고 뉴욕, 도쿄, 이집트, 로마 등 원하는 곳으로 순간 이동을 하면서 화려한 생활을 즐기고 조용히 있고 싶을 땐 높은 협곡 위로 순간이동 하여 석양을 만끽하기도 한다. 그러나 주인공이 자신과 같은 순간이 동 능력자(일명 점퍼)들을 알게 되면서 점점 복잡한 일들에 엮이게 된 다. 이 영화는 점퍼 를 차단하기 위해 비밀리에 조직된 팔라딘 과 점 퍼 의 쫓고 쫓기는 추격전이 주요 줄거리이다. 이야기의 결말부로 가 면 주인공은 여자친구를 구하기 위해서 자신의 주변부가 아닌 방 하 나를 통째로 순간이동 시키게 된다. 순간이동을 하는 점퍼의 능력의 가장 큰 단점은 자신이 가본 곳으로 만 이동이 가능하고, 다른 점퍼와 연결이 되면 그 점퍼가 열어놓은 순 간이동 파동을 타고 이동할 수 있는 점이다. 이렇게 이동의 연결적인 특징은 트로이목마와 유사하다. 트로이목마는 사용자의 시스템에 들 어온 후에 백도어의 역할을 하는데, 처음 정찰병 역할을 수행하면서 시스템을 파악하고, C&C(Command & Control) 서버와 통신을 하면 서 새로운 역할을 추가하게 된다. 일반적으로는 C&C 서버로 연결하 여 향후 다른 악성코드를 가져오는 다운로더의 역할을 수행하게 된다. 이 영화의 남자 주인공인 헤이든 크리스텐슨은 스타워즈 에피소드에 서 아나킨 스카이워커, 즉 다스베이더 역을 했던 배우이다. 그 외에도 빌리 엘리어트의 주인공인 제이미 벨, 너무나도 유명한 사무엘 잭슨, 다이안 레인 등이 출연하니 출연진을 보는 재미도 꽤 있는 영화로 추 천한다. 영화 점퍼 공식 포스터 3

4 SPECIAL REPORT PMS 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 최근 청와대를 사칭해 다수의 공공기관 관계자들에게 악성 한글 파일을 첨부한 메일이 유포된 사실이 알려져 적지 않은 파장을 야기 했다. 얼마 전에는 모 설계용역 회사의 업무 시스템에 매크로 취약점을 이용한 악성 엑셀 파일이 유입된 일도 있다. 이처럼 공공기관 뿐만 아니라 금융 및 일반 기업에서 소프트웨어의 취약점을 이용한 보안 침해 사고가 지속적으로 발생하고 있다. 문제는 알려지지 않 은 새로운 취약점, 즉 제로데이(Zero-day) 취약점을 이용한 공격뿐만 아니라 이미 수년 전에 발견되어 보안 패치까지 제공된 알려진 취약점을 이용한 공격이 상당한 비율을 차지한다는 점이다. 수많은 보안 전문가들의 권고에도 불구하고 여전히 보안 패치 적용에 소 홀하고 패치 관리가 미흡하다는 방증이다. 여러 정보보호 관련 규제에도 불구하고 패치 관리가 미비한 이유는 무엇일까? 이 글에서는 여러 정보보호 관련 규제에도 불구하고 기업 및 기관의 패치 관리가 어려운 이유를 살펴보고, 실질적이고 효율적인 패치 관리 방안에는 무엇이 있는지 알아본다. 마이크로소프트(Microsoft, 이하 MS)가 지난 1월 12일을 기점으로 구버전 인터넷 익스플로러(Internet Explorer, 이하 IE)에 대한 기술 지원 및 보안 업데이트를 중단함에 따라 기관 및 기업이 상당한 부담을 느끼고 있다. 일부 공공기관 및 기업의 대고객 서비스를 위한 웹사이트가 구 버전의 IE 환경에 최적화되어 있으며 상당수 기업에서는 인트라넷 등 업무 프로그램과의 호환성을 이유로 구버전의 IE를 사용하고 있기 때문이 다. 최근 미래창조과학부가 발표한 2015년 하반기 국내 인터넷 이용환경 현황조사 에 따르면 국내 기업에서 구버전 IE를 사용하는 비율은 약 50.34%로, 절반 이상의 기업에서 구버전 IE를 이용하는 것으로 나타났다. 더 이상 보안 업데이트가 지원되지 않는 구버전 IE를 계속 사용한다는 것은 심각한 보안 위협에 노출될 가능성이 높아진다는 의미다. 대부분의 악성코드가 소프트웨어의 취약점을 이용하고 있기 때문이다. 악성코드가 악용하는 소프트웨어 취약점은 IE에 한정된 것은 아니다. 공격자들은 윈도우(Windows) 등 주요 OS와 MS 오피스, 어도비 플래시 플레이어(Adobe Flash Player), 자바(Java) 등 많은 사용자들이 이용하는 소프트 웨어의 취약점도 악용하고 있다. 특히 어도비 플래시와 자바의 경우, 현재 대부분의 웹사이트가 이들을 기반으로 하고 있어 공격자들이 집요하 게 파고든다. 국내에서는 한글 프로그램의 취약점을 이용한 악성코드 유포도 지속적으로 이루어지고 있다. 이 외에도 최근 공공 기관 및 기업 의 클라우드 및 가상화 도입이 증가함에 따라 베놈(VENOM) 취약점(CVE ), VM웨어 워크스테이션 취약점(CVE ) 등도 발 견됐다. 알려진 취약점을 이용한 공격은 언제나 유효하다, 왜? 한국인터넷진흥원(KISA)이 최근 발표한 악성코드 은닉 사이트 탐지 동향 보고서 를 살펴보면 현재 유포되고 있는 악성코드들은 최신 취약점이 아닌 이전의 취약점을 이용하는 경우가 더 많다는 것을 알 수 있다. [표 1]은 지난 2015년 12월 한 달간 유포된 악성코드가 이용한 주요 취약 점으로, 2015년 이전에 발견된 취약점이 대부분이며 심지어 6~7년 전에 발견된 취약점까지 여전히 이용되고 있다. 4

5 소프트웨어 취약점 소프트웨어 취약점 CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE 인터넷 익스플로러 (Internet Explorer) CVE CVE CVE CVE 어도비 플래시 플레이어 (Adobe Flash Player) CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE MS OLE CVE CVE MS Windows Media CVE 자바 애플릿 (Java applet) CVE Adobe reader (PDF) CVE CVE MS XML CVE CVE MS Silverlight CVE CVE CVE CVE [표 1] 2015년 12월 악성코드 취약점 악용 현황 (*출처: 한국인터넷진흥원) 공격자들이 최신 취약점이 아닌 패치까지 배포된 오래된 취약점을 이용하는 이유는 무엇일까? 우선 공격자 입장에서도 새로운 취약점을 발견 하는 게 쉬운 일은 아닐 것이다. 알려진 취약점을 이용해 악성코드를 자동으로 생성하는 공격 툴을 암시장에서 쉽게 구할 수 있다는 점도 공격 자들에게 매력적인 부분이다. 결국 새로운 취약점을 찾아내기 위해 시간과 노력을 들이기 보다는 이미 알려진 취약점을 이용하는 것이 가성비 대비 효과가 훨씬 좋다는 의미다. 게다가 알려진 취약점에 대한 패치가 배포되었더라도 전세계 모든 사용자가 동시에 패치를 적용한다는 것은 현실적으로 불가능하다. 소프트 웨어 업체들은 취약점을 최소화하는 한편 취약점의 신속한 제거를 위해 주기적으로 보안 패치를 배포하는 등 사용자 보호를 위해 노력하고 있 다. 문제는 패치의 배포 속도와 실제 사용자들이 패치를 적용하는 속도에 상당한 차이가 존재한다는 점이다. 취약점을 악용한 공격은 빠르게 증가하고 있는데 보안 패치를 적용하는 속도는 상대적으로 느리다 보니 취약점이 누적되어 위협에 노출되는 범위도 확대된다. 기업의 경우에는 전사에 보안 패치를 적용하는 것부터 쉽지 않다. 임직원들이 사용 중인 소프트웨어도 다양할 뿐만 아니라 사용 중인 버전도 제각각인 경우가 많아 이를 보안 관리자가 일일이 확인하고 최신 패치를 적용하도록 강제하는 것은 사실상 불가능에 가깝다. 게다가 기업에서 자체적인 업무용 프로그램을 사용하는 경우, 상용 소프트웨어에 최신 보안 패치를 적용했을 때 프로그램간의 호환성 및 충돌 등의 문제가 발 생할 수 있다. 그리고 공격자들은 이러한 상황과 오래된 취약점을 이용하는 공격이 여전히 유효하다는 것을 잘 알고 있다. 컴플라이언스 강화로 PMS 도입 늘어 실제 효과는? 패치가 적용되지 않은 시스템을 노린 알려진 취약점을 이용한 공격이 지속적으로 발생함에 따라 개인정보보호법 등을 비롯한 다수의 정보 보 안 관련 규제들이 패치 관리 또는 패치 관리 시스템(Patch Management System, 이하 PMS) 도입을 강제화하는 추세다. 최근에는 은행뿐만 아니라 보험, 카드사를 중심으로 망분리 환경에도 PMS를 도입하는 움직임이 확대되고 있다. 5

6 관련 규제 내용 요약 <제8조, 악성프로그램 등 방지> 개인정보보호법 (행정자치부고시, 개인정보의 안전성 확보조치 기준) 개인정보처리자는 악성프로그램 등을 방지 치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설 치 운영하여야 하며, 다음 각 호의 사항을 준수하여야 한다. 1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1회 이상 업데이트를 실시하여 최신의 상태로 유지 2. 악성프로그램 관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트를 실시 전자금융 안전성 제고를 위한 금융전산 보안 강화 종합대책 (금융위원회) 내부 업무용 시스템 인터넷 접속 차단 내부망에 설치된 패치 관리, 그룹웨어 등 내부 업무용 시스템은 원칙적으로 외부 인터넷 접속을 차단 - 업데이트용 패치 파일 등 외부에서 파일 전송이 필요한 경우, 관리자가 수동으로 다운로드하고 무결성 검증 및 확인 후 적용 요양기관 개인정보보호 자율점검 (행정자치부, 건강보험심사평가원) < 제29조 안전조치의무> 개인정보처리시스템에 백신 프로그램 등 최신의 보안 프로그램을 설치하여 관리 보안 프로그램을 정기적(일 1회이상)으로 업데이트 [표 2] 주요 정보보호 관련 규제 중 패치 관리에 관한 규정 그러나 기업 및 기관의 규모, 비즈니스 특성, IT 인프라 등 PMS 도입에 앞서 고려해야 할 사항이 적지 않다. 은행 등 금융 기관에서는 폐쇄망 환경에서의 오프라인 패치 지원 및 패치 검증 지원 여부 등도 꼼꼼히 따져봐야 한다. 지난 2013년 발표된 금융전산 보안 강화 종합대책 에서 는 업데이트용 패치 파일의 경우 무결성을 검증 및 확인 후 적용하도록 규정하고 있기 때문이다. 또한 다수의 지점을 운영해야 하는 경우, 전 지점망으로 패치 적용 시 네트워크 과부하가 발생할 가능성 등도 필수 고려 사항이다. 한편 보안 관리자 입장에서는 관리해야 할 패치의 종류와 범위도 다양해 이를 파악하기도 쉽지 않을 뿐더러 기존에 도입된 다수의 보안 솔루 션에 PMS까지 추가되면서 업무 부담이 늘어나기 때문에 컴플라이언스 준수를 위해 관리를 위한 관리만 하는 꼴 이라는 불만도 적지 않다. 안랩 패치 매니지먼트가 주목받는 이유는? 보안 및 소프트웨어 패치 관리 솔루션인 안랩 패치 매니지먼트(AhnLab Patch Management, APM) 는 기업 내 PC의 각종 소프트웨어 패치 를 실시간으로 중앙에서 관리할 수 있을 뿐만 아니라 보안 정책에 위배되는 PC에 대한 인터넷 접근 차단 등의 조치가 가능해 사용자들의 적극 적인 참여를 유도할 수 있다. 특히 국정원 권고 패치 자동 적용 네트워크 대역폭(QoS) 설정 기능 패치랩 및 테스트 그룹 기능 등을 통한 안정적인 패치 제공 등에 고객 만족도가 높다. [그림 1] 안랩 패치 매니지먼트 관리자 화면 1. 국정원 권고 패치 자동 적용 안랩 패치 매니지먼트는 한글, 어도비 등 국정원 권고 패치를 제공할 뿐만 아니라 이를 검증하고 자동으로 적용할 수 있도록 지원한다. 핵심은 국정원 권고 패치 제공이 아니라 이들 패치를 적용하는 방식이 자동화 되어 있다는 점이다. PMS 제품 중에는 일부 프로그램의 경우 메일이나 오프라인 방식으로 패치를 전달해 보안 관리자가 서버에 올리거나 공유 폴더를 통해 사내 배포를 하는 등 일정 수준 이상의 관리자의 조작이 요구된다. 이에 반해 안랩은 AST 서버를 통해 고객사의 APM 서버로 패치 파일을 자동으로 전달하며 이 APM 서버를 통해 사내 시스템에 패치 를 자동으로 업데이트할 수 있다. 타 PMS 제품은 한글 프로그램의 패치에 대해 강제 업데이트 기능을 제공하지 않는 반면 안랩 패치 매니지먼트는 서버를 통해 한글 패치를 에이전트 시스템에 강제로 적용할 수 있다. 또한 안랩은 실제 사용자들의 불편을 최소화하기 위해 한글 패치에 대한 사일런트 패치(Silent Patch) 기능을 연내 제공할 예정이다. 이 기능을 이용하면 신규 한글 패치 발생 시 사용자에게 알림창이 보여지는 것이 아니라 백그라운드에 서 자동으로 업데이트되기 때문에 사용자의 별도 조작이 필요 없게 된다. 사용자 편의성은 높이고 한글 패치를 강제로 적용할 수 있어 한글 프 로그램을 주로 사용하는 공공기관에 더욱 유용하게 활용될 전망이다. 6

7 2. 네트워크 대역폭 설정 기능을 통한 QoS 보장 안랩 패치 매니지먼트의 네트워크 대역폭 설정 기능은 특히 은행 등 금융권에서 각광받고 있다. 네트워크 대역폭 설정 기능이란 말 그대로 패 치 적용 시 사용할 네트워크 대역폭을 설정하는 QoS(Quality of Service) 기능으로, 기업의 환경에 따라 패치 적용을 위한 대역폭 조정이 가능 해 패치 적용 시 네트워크 과부하를 방지한다. 은행들이 전국에 걸쳐 운영하고 있는 수 천대의 ATM 기기들도 패치 관리의 대상이다. 문제는 ATM 기기가 사용하는 네트워크 대역폭이 작아 모든 ATM 기기에 패치를 한 번에 내리면 네트워크 장애가 발생 가능성 높다는 점이다. 안랩 패치 메니지먼트는 네트워크 대역폭을 초당 기본 200KB, 필요에 따라 초당 100 ~ 1024KB 범위로 설정할 수 있어 업무망을 안정적으로 유지하면서 패치 적용이 가능하다. 네트워크 대역폭 설 정 기능은 주로 은행권에서 사용되고 있지만 지점망을 갖고 있는 곳이라면 모두 활용할 수 있다. 3. 패치랩 및 테스트 그룹 기능을 통한 안정성 안랩은 전문 인력을 기반으로 한 자체 패치랩을 통해 패치 검증을 수행한다. 패치 검증이란 MS 오피스 등 상용 프로그램의 최신 패치와 ERP 시스템, 사내 메신저 등 고객사에서 사용하는 주요 애플리케이션과의 호환성을 사전에 확인하는 것으로, 프로그램 충돌로 인한 장애를 방지하 는데 있어 매우 중요한 절차다. 안랩의 패치랩은 별도의 전담 인력으로 운영되고 있어 탁월한 안정성을 제공한다. 또한 테스트 그룹 설정을 통해 업무 중요도나 민감도에 따라 부서 또는 팀 단위, 또는 적용 시간대를 단위로 순차 적용 및 차등 적용이 가능하 다. 일부 기업의 경우 사내에서 사용 중인 그룹웨어 호환성 문제 등을 우려해 즉각적인 최신 패치 적용을 부담스러워하는 경우가 있다. 이때 안랩 패치 매니지먼트의 테스트 그룹 설정 기능을 통해 최신 패치를 순차적으로 적용함으로써 시스템 및 업무 장애 등을 미연에 방지할 수 있다. SW 저작권 점검까지, 패치 관리 그 이상의 가치 안랩 패치 매니지먼트가 각광받는 이유는 탁월한 패치 관리의 안정성과 편의성 때문만이 아니다. 공공기관 및 대기업에서는 사내 소프트웨어(이 하 SW) 라이선스 수량 점검에도 안랩 패치 매니지먼트가 적극 활용되고 있다. 현재 한국저작권위원회는 SW 저작권 점검을 강력하게 권고하고 있다. 최근 주요 소프트웨어 제공사들이 라이선스 관리를 강화함에 따라 계약 위반 사례에 따른 분쟁이 증가하고 있다는 점이 큰 영향을 끼친 것으로 보인다. 공공기관의 경우 SW 저작권 점검이 법적으로 강제되어 있으며, 그 결과가 대통령에까지 보고된다. 일반 기업의 경우 강제 규정은 없으나 소프트웨어 라이선스 사용 위반이 확인될 경우 상당한 금액의 위약금 이 발생할 수 있다. 실제로 얼마 전 모 항공사에서는 문서 작성 프로그램의 라이선스를 구매한 수량보다 초과하여 사용 중인 것을 미처 확인하 지 못 해 수백만 원에 달하는 벌금을 물기도 했다. [그림 2] 소프트웨어 저작권 점검 관리 화면 안랩 패치 매니지먼트는 한국저작권위원회의 점검 항목을 기준으로 소프트웨어 현황을 점검하고 관리한다. 별도의 에이전트 프로그램을 설치할 필요 없이 안랩 패치 매니지먼트의 SW 저작권 관리 점검 기능을 이용해 각 PC에서 사용 중인 소프트웨어 현황을 손쉽게 파악할 수 있다. 또한 금지 소프트웨어가 설치된 PC의 인터넷 사용을 제한할 수도 있어 적극적인 사용자 참여를 유도할 수 있다. 이 밖에도 기업에서 권장하는 소프트웨어를 자동으로 배포하고 다각도로 사용자의 참여 및 설치 유도가 가능하다는 점도 장점이다. 통합 콘솔로 보안 관리자의 운영 부담도 적어 V3를 비롯해 개인정보보호 솔루션인 안랩 프라이버시 매니지먼트 스위트(AhnLab Privacy Management Suite), PC 취약점 점검 및 자동 조 치 솔루션 안랩 내PC지키미 등과 연동을 통해 통합적인 엔드포인트 보안 관리가 가능하다. 특히 이들 솔루션을 하나의 통합 콘솔을 통해 중 앙에서 사내 보안 현황을 한눈에 파악하고 효율적으로 관리할 수 있다는 점이 가장 큰 매력이다. 이 외에도 안랩의 지속적이고 안정적인 서비 스로 안전한 비즈니스 운영이 가능하다는 점도 다양한 산업군에서 안랩 패치 매니지먼트를 찾는 이유다. 안랩 홈페이지를 통해 안랩 패치 매니지먼트에 대한 보다 자세한 내용을 확인할 수 있으며, 상담 신청이나 견적 문의 등도 가능하다. 안랩 패치 매니지먼트 더 알아보기 7

8 HOT ISSUE Privacy & Compliance 2016년에 챙겨봐야 할 개인정보보호 법령 사항 5가지 우리나라 법 중에서 개정 이력이 가장 많은 법은 아마도 정보통신망법 이용촉진 및 정보보호 등에 관한 법(이하 정통망법) 이 아닐까 싶다. 2015년 한해 동안에도 5차례나 개정이 이루어졌다. 개인정보에 관한 일반법인 개인정보보호법 또한 2015년에 한 차례 개정 되었다. 개정 즉시 효력이 발생하는 고시와 달리, 법률과 시행령은 조항에 따라 시행 시기가 공포 시기와 다를 수 있다. 이 글에서는 올해 시행되는 개인정보보호 관련 법령의 중요한 개정 사항 중 5가지를 살펴본다. 1. 매출 1,500억원 이상 기업은 주목! 년부터 ISMS 인증 의무 대상 확대 정보보호 관리체계(Information Security Management System, ISMS) 인증은 정통망법 제47조 에 따라 일정 기준에 부합되는 기업이 의무적으로 취득해야만 하는 인증이다. 기존에는 의무 대상을 정보통 신 서비스 관련 업종으로 한정하였고, 인증 취득 의무 위반 시 처벌은 1,000만원 이하의 과태료가 전부였다. 그러나 2016년 6월 2일부터 시 행되는 개정 정통망법은 ISMS 인증 의무 대상을 온 오프라인 사업 구 분 없이 매출 1,500억원 이상인 모든 기업으로 확대했을 뿐만 아니라 과태료 금액도 최대 3,000만원으로 상향 조정되었다. 중요한 점은, 우 리는 인터넷 홈페이지도 없고 IT 서비스 사업을 하는 것이 아니다 라고 해도 ISMS 인증 및 과태료 면제 대상이 되지 않는다는 것이다. 전년도 매출액이 1,500억원 이상이면 기본적으로 의무 대상에 해당된다. 다만, 일일 평균 이용자수가 1만명 미만인 경우에는 예외가 될 수 있다. 그러 나 금융 및 의료 업종은 이 예외 대상에 해당되지 않는다. 금융 및 의료 업은 홈페이지 이용자 수와 상관없이 ISMS 인증 의무 대상이다. 2. PIMS와 PIPL이 하나로! - 개인정보보호 관리체계 인증 통합 PIMS(Personal Information Management System) 인증은 정책 기 관인 방송통신위원회가 정통망법을 중심으로 심사하며, PIPL(Personal Information Protection Level) 인증은 행정자치부가 정책기관으 로 개인정보보호법을 기준으로 심사한다는 차이가 있을 뿐 내용은 거 의 같아서 따로 유지할 필요가 없다는 의견이 적지 않았다. 결국 지난 2015년 12월 31일 개인정보보호 관리체계 인증 등에 대한 고시 개 정안을 통해 이들 두 인증이 하나로 통합되었다. 통합된 인증 기준은 2017년부터 적용되지만 2016년 1년 동안 기존 PIMS 인증(124개 통 제 항목)이나 PIPL(65개 심사 항목)로도 인증 신청이 가능하며, 통합된 기준(86개 통제 항목)으로 신청할 수도 있다. PIMS 인증은 취득 후 3 년간 유지가 되기 때문에 2016년에 새로 취득하려는 기업이라면 통합 기준으로 인증을 받는 것이 바람직하리라 본다. 구분 내용 구분 시행 시기 내용 2016년 6월 2일부터 의무 대상 기업은 법 시행 후 6개월 이내에 인증을 받아야 함 시행 시기 2016년 1월 1일부터 적용 대상 개인정보보호 관리체계 인증을 받고자 하는 기업 또는 기관 처벌 사항 없음 (법적 의무 사항 아님) [표 2] 개인정보보호 관리체계 인증 통합 주요 사항 적용 대상 적용 예외 처벌 사항 1 매출 또는 세입이 1,500억원 이상인 경우 2 정보통신서비스 부문 전년도 매출액 100억원 이상, 또는 3개월간 일일 평균 이용자수 100만명 이상인 경우 금융/의료 업종이 아닌 기업으로서 일일 평균 이용자수가 1만명 미만인 경우 3,000만원 이하의 과태료 [표 1] 정통망법 ISMS 인증 주요 사항 여기서 잠깐, 이것이 궁금합니다! Q. 우리 회사도 이번에 ISMS 인증 대상이 되었습니다. 솔직히 보안이 잘 되 어 있다고 보기 어려운 상황인데 ISMS 인증을 받으려면 보안 수준이 매우 높아야만 하는 것은 아닌가요? A. ISMS(정보보안관리체계) 인증은 기업의 현재 보안 수준을 측정하기보다 는 기업이 스스로 보안을 챙길 수 있는 체계를 갖추고 있고 위험을 통제하 8

9 려는 노력을 지속해 오고 있는지 판단하는 것이 더 큰 목적이라고 볼 수 있 습니다. 사람으로 비유하자면, 지금 당장 완벽하게 건강한 상태이고 멋진 몸 매를 가졌는지 판단하는 것이 아니라 건강관리를 위해 주기적으로 건강검진 을 하고 발견된 병에 관련해서 적절한 치료를 하며 평소엔 식사조절과 운동 을 꾸준히 하는 등 체계적인 노력을 지속하고 있는지 보는 것입니다. Q. ISMS와 PIMS의 차이를 모르겠습니다. 어떤 점이 다른 건가요? A. ISMS(정보보호 관리체계)를 유지하는 목적은 기업의 사업상 가치를 감 소시키는 위험을 통제하는 것입니다. 이를 위해서는 사업에 필수적인 정보 자산의 가용성과 기밀성, 무결성 등을 보호해야 하고 위협과 취약점 등 위 험요소를 식별하여 회피, 감소, 전가 등 대책을 적용해야 합니다. 이에 반해 PIMS(개인정보보호 관리체계)는 기업에서 취급하는 정보 중 개인정보 라는 특정한 정보 유형에 한정된 정보보호 관리체계를 심사하는 것입니다. 굳이 개인정보 를 별도로 취급하여 인증 제도가 있는 까닭은 정보보호의 목적이 ISMS와 다르기 때문입니다. ISMS가 기업의 이익을 보존하는데 핵심 목적 이 있다면 PIMS는 개인정보의 주인인 정보주체 의 권리가 침해되지 않도 록 보호하는데 초점이 맞춰져 있다고 이해할 수 있습니다. 3. 1년간 접속하지 않은 이용자 정보는 파기하세요! - 유효기간제 적용 강화 정통망법 제29조2항은 정보통신서비스의 이용자가 일정한 기간(대통 령이 정한 기간)동안 이용하지 않을 경우 이용자의 개인정보를 파기 또 는 분리 보관 하도록 규정하고 있었다. 이용자가 이용하지 않는 기간 이란, 회원제 서비스인 경우 통상적으로 사용자의 마지막 로그아웃 이 후 경과된 시간을 의미한다. 단, 서비스에 로그인하지 않더라도 콜센터 상담 등 어떤 방식으로든 접촉한 정황이 있으면 서비스를 이용한 것으 로 본다. 이전까지는 정통망법 시행령 제16조를 통해 이 기간을 1년으 로 규정했다. 그러나 지난 2015년 12월 1일 개정된 정통망법 개정안 에서는 1년 이란 기간을 시행령이 아닌 법률 제29조 제2항안에 명시 하였고, 기간 만료 30일 전까지 파기 사실에 대하여 정보주체에게 통 보하도록 제29조 제3항을 신설했다. 구분 시행 시기 적용 대상 처벌 사항 내용 2015년 12월 1일부터 (*제29조제2항 및 제3항만 공포일부터 시행 적용) 정보통신서비스 사업자 3,000만원 이하의 과태료 [표 3] 정통망법 개인정보 유효기간제 주요 내용 여기서 잠깐, 이것이 궁금합니다! Q. 인터넷 서비스사업의 경우 보유 회원수가 사업에 미치는 영향이 매우 큰 데 개인정보 유효기간제를 준수하려면 회원의 개인정보를 파기하는 것 이 외에는 방법이 없는 것인가요? A. 정통망법 제29조제2항에서는 대통령령에 따른 파기 등 의 조치를 요구 하고 있습니다. 이때 ~등 이란 표현은 파기 외에 다른 방법도 있을 수 있다 는 뜻을 의미합니다. 또한 시행령 제16조에서는 파기 외에 다른 이용자의 개인정보와 분리하여 별도로 저장ㆍ관리하는 방법을 허용하고 있습니다. 이 용기간에 대해서도 무조건 1년이 적용되는 것이 아니라 이용자의 요청에 따라 달리 정한 경우에는 그에 따른다 는 단서 조항을 두고 있기 때문에 이 용자와 동의 절차를 통해 좀 더 여유 있는 이용기간을 설정하는 방법도 가 능할 것으로 보입니다. 4. 손해배상 책임은 최대 300만원, 피해액의 3배까지! - 손해배상 제도 강화 개인정보 유출 사고가 발생하면 개인이 입은 피해를 산정할 구체적인 기준이 없고, 따라서 적절한 손해배상 규모를 정하는 데도 어려움이 있 었다. 2016년 7월 15일부터 시행되는 개인정보보호법 개정안에서는 이에 대해 최대 300만원의 법정손해배상 금액과 피해액의 3배 이내 범 위에서 손해배상액을 정할 수 있도록 제39조2항과 제39조의2가 신설 되었다. 이 경우 정보처리자는 고의나 과실이 없음을 입증하지 않으면 책임을 면할 수 없다 고 명시되어 있다. 정보처리자 입장에서 눈 여겨 보아야 할 또 다른 사항은 기존 법률 제39조2항 개인정보처리자가 이 법에 따른 의무를 준수하고 상당한 주의와 감독을 게을리하지 아니한 경우에는 개인정보의 분실 도난 유출 변조 또는 훼손으로 인한 손해배 상책임을 감경받을 수 있다 는 내용이 개정 법률에서 삭제되었다는 사 실이다. 대량의 개인정보 유출 사고가 발생했음에도 불구하고 법에 따 른 의무를 준수하고 있었기 때문에 손해배상청구 소송에서 기업이 승 소했던 이전 사례들과 달리, 이제 단순히 법적 의무를 준수했다는 것만 으로 감경받을 수 있는 근거가 사라져 버린 것으로 보이는 만큼, 기업 에서는 좀 더 긴장할 필요가 있겠다. 구분 시행 시기 2016년 7월 25일부터 내용 적용 대상 모든 개인정보처리자 (공공기관, 기업, 비영리기관 등) 법 위반에 따른 피해 발생 시, 정보주체의 피해액의 3배 또 처벌 사항 는 300만원 이하의 손해배상 청구 가능 [표 4] 개인정보 유출 시 손해배상 제도 주요 사항 년부터 내부 시스템 내 주민등록번호도 암호화 조치 필수! 개인정보 중 고유식별정보 란 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호를 뜻한다. 고유식별정보는 수집 이용 동의를 받을 때 도 다른 개인정보와 별도로 처리해야 하며, 개인정보처리시스템이나 업무용 PC에 저장할 때 반드시 암호화하도록 규정되어 있다. 다만 이 전까지는 외부에서 접속이 되지 않는 내부 시스템(예: 인사관리시스템 이나 그룹웨어)은 위험도분석 이란 절차를 통해 결함이 전혀 없는 경 우 고유식별정보 암호화를 하지 않는 것이 허용되었다. 그러나 2015 년 7월 24일 개인정보보호법이 개정되면서 주민등록번호는 무조건 암 호화를 적용해야 하는 것으로 변경되었다. 이 개정 조항의 시행 시기는 2016년 1월 1일이며, 개인정보보호법 시행령 제21조의2에 따라 100 만명 미만의 주민등록번호를 보관하는 경우에는 2016년 12월 31일까 지, 100만명 이상인 경우엔 2017년 12월 31일까지 주민등록번호 암 호화 조치를 끝내야만 한다. 주민등록번호 암호화 조치 미이행 시 과태 료 3천만원 이하의 처벌을 받지만, 보호조치가 미흡한 상태에서 고의 또는 과실로 인해 주민등록번호 유출 사고가 발생할 경우 최대 5억원 까지 과징금이 부과될 수 있으니 각별한 주의가 필요하겠다. 구분 시행 시기 적용 대상 조치 완료 시기 2016년 1월 1일부터 내용 주민번호를 전자적으로 보관ㆍ이용하는 개인정보처리자 주민등록번호 100만건 미만 보관한 경우: 2016년 12월 31일까지 암호화 완료 주민등록 번호 100만건 이상 보관한 경우: 2017년 12월 31일까지 암호화 완료 [표 5] 주민등록번호 암호화 조치 관련 주요 사항 9

10 CASE STUDY DAELIM UNIVERSITY COLLEGE V3 APM APrM Suite 내PC지키미 등 연동해 엔드포인트 통합 관리 플랫폼 구축 대림대학교, 안랩 제품으로 보안 철옹성 구축 대학 내 서버와 PC들이 악성코드 유포지로 악용되는 사례가 늘고 있다. 특히 입시철이나 수강신청 시즌에 대학 사이트의 접속자가 증 가하는 점을 노려 수많은 좀비PC를 양산해 내는 것이다. 문제는 하위 도메인이 많은 대학의 특성상 하위 도메인에서 악성코드가 유포 되는 걸 탐지하기란 결코 쉽지 않다는 점이다. 실제로 모 대학의 경우 웹사이트가 해킹돼 좀비PC를 통해 7주 연속 악성코드가 유포되 기도 했다. 이처럼 보안의 사각지대에 있는 대학 내 PC들은 공격자들에게 최고의 먹잇감인 셈이다. 그러나 이를 사전에 철저히 예방하 고 있는 대학이 있어 눈길을 끈다. 대림대학교에 구축된 엔드포인트 보안 통합 관리 플랫폼은 가히 보안의 철옹성이라고 해도 과언이 아니다. 대림대학교의 보안 시스템 구현 사례를 들여다 본다. 대학, 보안의 사각지대 오명 벗어라! 국내의 대학들이 보안의 사각지대로 불리는 이유는 무엇일까. 대학 캠퍼스는 누구나 출입이 자유로울 뿐만 아니라 PC들이 일반인들에게 쉽게 노출될 수밖에 없다는 게 가장 큰 이유이다. 또한 대학 임직원들의 낮은 보안 인식으로 인해 정보보호 분야에 예산과 인력이 투입되어야 함에 도 불구하고 대부분의 사립대학들은 서버나 네트워크 같은 외형만 치중했지 보안은 나중의 일 로 제쳐두는 게 또 다른 이유로 꼽힌다. 이 같은 이유로 인해 대학 등 교육기관에서 2012년부터 지난해까지 이름이나 주민번호 등 개인정보가 노출된 건수가 20만 건이 넘은 것으로 교육부 조사결과 밝혀졌다. 특히 사립대학의 경우 46개교에서 13만 건이 넘는 개인정보가 노출된 것으로 나타났다. 대림대학교의 보안 구축사례는 이런 의미에서 더욱 눈 여겨볼 필요가 있다. 대림대학교의 전체 시스템 관리를 총괄하고 있는 정보전략운영팀 이후재 코디네이터는 우리 학교는 총장님부터 교수님, 직원과 학생들까지 보안규정을 잘 준수해주고 있다. 그 결과 어느 대학보다 높은 보안 수준을 유지하고 있다고 자부한다 고 말했다. 10

11 코디네이터라는 낯선 직함에 고개를 갸우뚱하는 분들이 있을 것이다. 왜 코디네이터냐 라는 물음에 대림대학교의 전체 IT시스템 관리를 책 임지고 있는 정보전략운영팀은 지식정보원 원장님 아래 저와 수행사 직원들로 이루어져 있다. 총 11명의 상주직원이 유지보수를 비롯한 정보 시스템 통합 운영을 맡고 있는데 현업과 수행사와의 코디네이터 역할을 해야 한다는 의미에서 코디네이터라는 직함이 생겼다 고 이 코디네이 터는 답변했다. 현재 수행사는 PM이 1명, 애플리케이션 개발 5명, 서버 및 네트워크 담당 1명, 홈페이지 디자이너 및 개발자 2명, PC 점검 및 관리 2명 등으로 구성되어 있다. 보안의 기본은 PC에서 시작 대림대학교에서 근무를 시작한 게 2004년인데 이때는 안랩의 V3 제품과 함께 소프트런의 패치관리 솔루션인 인사이터를 사용하고 있었다. 그러다가 2010년 정보시스템 관리를 아웃소싱하면서 혼자 모든 걸 책임지고 총괄하게 됐는데 때마침 개인정보보호법이 이슈화가 되어 이전 과는 다른 새로운 솔루션이 필요함을 절감하게 됐다 고 이후재 코디네이터는 당시를 회고했다. 대림대학교의 기존 개인정보유출방지 솔루션은 S사의 제품. 특정 PC에서 하드디스크를 계속 읽는 것이 문제로 제기됐다. 내 컴퓨터가 이상하 다. 누군가 내 정보를 빼가는 것 아니냐 는 불만을 표시하는 교직원도 있었다. 또한 OS와 충돌로 인해 설치에 문제가 발생하거나 관리 차원에 서 로그인을 한번 더 해야 하는 불편함이 문제가 되었다. 때마침 기존 솔루션의 사용 기한도 다 되어 최소한의 정해진 예산으로 어느 솔루션을 선택해야 할 지 고민하던 시기였다. 이를 위해 여러 솔루션에 대한 벤치마크 테스트는 물론 해당 솔루션을 실제 사용 중인 다른 대학을 방문해 사용성과 도입효과를 꼼꼼하게 확인했다. 그 결과 대림대학교에서 도입한 안랩의 제품은 V3 엔드포인트 시큐리티 9.0(V3 ES 9.0)을 비롯해 V3 넷 포 윈도우즈 서버 9.0(V3 Net 9.0), 안 랩 폴리시 센터 4.6(APC 4.6), 안랩 EMS, 안랩 프라이버시 매니지먼트 스위트(APrM Suite), 안랩 패치 매니지먼트(APM), 내PC지키미 등이다. 엔드포인트 보안과 관련된 전 제품을 안랩 단일 벤더의 제품으로 일원화한 것이다. 과거에는 보안에 문제가 발생할 경우 제품마다 각기 다른 벤더 담당자들과 커뮤니케이션 해야 하는 불편함이 있었는데 지금은 그 문제가 말끔히 해소됐다. 결국 문제 발생 시 빠르게 대처할 수 있게 됨 으로써 학생과 교직원 등 구성원들의 서비스 만족과 직결되었다 고 이 코디네이터는 털어놓았다. [그림 1] 대림대학교가 구축한 안랩의 엔드포인트 통합 관리 플랫폼 대림대학교에 구축된 보안시스템은 V3와 안랩의 엔드포인트 보안 관리 제품의 연동이 강점이다. 엔드포인트가 중요한 이유는 개인정보나 기 밀자료, 서버접속 정보 등과 같은 매력적인 정보들이 모이는 곳이기 때문이다. 하지만 엔드포인트에는 악성코드 방역에서부터 매체제어, 개인 정보 관리 및 유출방지, 엔드포인트 취약점 점검, 패치 관리 등 제 각각의 제품을 관리해야 하는 어려움이 따른다. 이들을 단순한 통합이 아닌 플러그인 형태의 제품간 연동을 통해 시너지 효과를 내야 하는 숙제를 안고 있다. 엔드포인트 보안 상태의 가시성을 확보함은 물론 각각의 환 경에 적합한 보안 솔루션을 구축하고 지속적인 업그레이드로 효과적인 보안을 유지해야 하는 것이다. 안랩이 추구하고 있는 제품의 연동을 통 한 시너지 효과를 대림대학교는 구현해 놓았다. 엔드포인트 제품 연동으로 시너지 구현 대림대학교는 처음에 V3와 APC를 도입한 후 순차적으로 내PC지키미, 그 다음에 APM과 APrM Suite를 도입, 현재 총 7종의 솔루션을 구축해놓고 있다. 안랩 V3 ES 9.0은 매체제어 기능이 포함된 PC 통합 보안 솔루션으로, USB나 드라이브, 네트워크와 같은 PC의 다양한 경로를 통해 유입되는 악성코드를 원천 차단하며 악성코드 유입단계에서 클라우드 탐지나 시그니처 탐지, 행위 기반 탐지 등을 통해 정보 자산보호에 기여한다. 또한 엔드포인트 통합 관리 플랫폼인 EMS를 통해 효율적인 엔드포인트 보안 솔루션의 통합 설치와 운영 관리를 지원해 엔드포인트 보안 솔루션 활 용을 극대화 해준다. 11

12 최근 몇 년간 대규모 개인정보 유출 사고가 발생하면서 제정된 개인정보보호법에 대응하기 위한 솔루션인 안랩 프라이버시 매니지먼트 스위 트(APrM Suite)도 대림대학교에 안성맞춤이었다. 개인정보 유출방지 솔루션인 APrM Suite는 개인정보 생성 시점부터 점검 및 관리는 물론 개 인정보 유출행위를 원천 차단해 안전한 환경을 구현하는 제품이다. 대림대학교는 효율적인 패치 관리 역시 보안위협에 능동적으로 대처하기 위해 매우 중요하다고 판단했다. 그러나 교내 모든 운영시스템과 애 플리케이션의 패치 현황을 파악하고 설치를 유도, 관리하는 것은 결코 쉬운 작업이 아니었다. 안랩의 패치관리 솔루션인 APM은 각종 보안 패 치에 대한 실시간 중앙 관리뿐만 아니라 보안정책에 위배되는 PC에 대한 인터넷 접근차단 및 소프트웨어 설치 유도 기능을 제공함으로써 대 림대학교의 고민을 해결해 주었다. 대림대학교에서 도입한 안랩 솔루션 가운데 내PC지키미 는 백미 중에 백미라고 할 수 있다. 내PC지키미는 강제조치, 자동조치 등의 기능을 통 해 개별 PC의 보안상태를 중앙에서 쉽고 간편하게 점검하고 조치할 수 있는 솔루션인데, 교내 임직원들이 사용하는 내부 그룹웨어 쿼리를 통 해 내PC지키미 정보를 연동함으로써 높은 활용도를 보이고 있다. 강력한 정책 적용을 통해 학교 내 전체 사무용 PC의 내PC지키미 점수를 95 점으로 유지하고 있다 고 이후재 코디네이터는 어깨를 으쓱했다. 내PC지키미로 보안 관리 편해졌다 시스템 관리자의 입장에서 전체 PC에 대한 패치나 보안 상황을 일일이 체크하기란 여간 힘든 일이 아니다. 하지만 대림대학교는 관리자들이 여기저기 사무실을 기웃거리면서 보안 상황을 물어봐야 하는 수고스러움을 덜 수 있게 됐다. 이후재 코디네이터는 내PC지키미는 10가지 항 목에 대해 각 PC별 점수를 매길 수 있다. 개별적으로 찾아가서 물어보기 어려운데, 중앙에서 정확하게 파악하고 정리해주는 게 이 제품의 가장 큰 장점 이라면서 교육부의 정보보안 기본 지침상에도 부서장 확인을 받아야 하고 교육도 해야 하는데, 인사정보 연동을 통해 그룹웨어에서 공유하고 보고하는 입장에서 데이터가 자동 취합되고 전자결재로 확인할 수 있으며 점검률이 평균 90%가 넘는다. 총장님뿐만 아니라 원장님 이하 교수님들의 동참률이 매우 높다 고 전했다. 내PC지키미는 개별 PC의 보안 상태를 점검하고 조치를 통해 전반적인 보안 수준을 개선하는 PC취약점 점검 솔루션이다. 대림대학교 교내에 설치되어 있는 사무용 PC는 모두 450여대. 다만, 학과 실습실에 있는 PC는 제외됐다. 자주 전원을 껐다 켜야 하고 원복을 하기 때문에 인사정 보 연동을 할 수 없어 실습실 PC는 실습실 관리 솔루션을 통해 백신 검사 등의 보안관리를 한다. 사무용 PC들은 매일 점심시간에 백신 검사를 하도록 정책을 적용하여 실행 중이다. 컴퓨터가 켜져 있는 시간에는 계속 보안검사를 하고 있는 셈이다. 사무용 PC가 SSD 하드디스크에 8GB 메모리의 고사양으로 교체되어 검사 시에도 시스템에 무리가 없지만 혹시나 바쁜 업무 시간에 하는 것보다는 손을 놓고 있을 점심 식사 시간 에 검사를 시행하도록 했다. 한 PC당 검사는 10분 내외에서 종료된다. 또한, 대학에서 구입하는 모든 노트북과 데스크톱은 정보전략운영팀를 통해 V3 에이전트를 설치하고 맥 주소(MAC Address) 인증이 된 후에 사용자에게 전달하고 있어 외부의 불순한 사용자가 교내 네트워크 연결 을 할 수가 없다. 이로 인하여 교내에서 발생될 수 있는 보안 문제를 원천 봉쇄하고 있다. 대림대학교는 교직원들이 사용하는 그룹웨어를 통해 내PC지키미의 점수를 확인할 수 있도록 해놓았다. 교번으로 로그인을 하면 컴퓨터 이름 과 교번이 표시되며 이름은 나타나지 않지만 내 PC의 각 항목별 점수와 총점이 함께 표시되기 때문에 경고의 의미로 느끼고 스스로 조치할 수 있도록 유도하고 있다. 최하점수로 정책을 80점으로 잡아놨지만 평균 90점 이상을 유지하고 있다는 게 대림대학교측의 답변이다. [그림 2] 대림대학교 그룹웨어를 통해 살펴본 내PC지키미 실행 화면 대림대학교에 구축된 내PC지키미의 항목은 10가지. 이 항목은 교육부 정보보안 기본 지침에 따라 정한 것이며 관리자가 직접 항목을 추가할 수도 있다. 현재는 바이러스 백신 실행 여부 점검과 패치 여부, 운영체제 패치 여부, 한글 프로그램 패치 여부, 로그인 패스워드 안전성 여부, 화면보호기 실행 여부 등의 항목을 정해두었다. 이후재 코디네이터는 국정원 보안업무규정으로 교육기관이나 공공기관은 모두 이와 같은 보 안규정을 준수해야 한다. 대림대학교에서는 내PC지키미를 통해 이러한 규정을 잘 지킬 수 있었다 라고 말했다. 보안은 시스템 관리의 1순위 이후재 코디네이터는 대림대학교의 보안 수준에 대해 어느 학교보다 뛰어나다고 강조한다. 시스템 관리를 책임지고 있는 부서의 책임자로서 12

13 서버나 DB가 아무리 좋아도 정보가 새어나가고 변조되면 아무 의미가 없다. 따라서 보안이 1순위이고 서버의 성능이나 애플리케이션 개선은 2순위다 라고 답변했다. 2010년 정보전략운영팀을 아웃소싱 조직으로 개편하면서 이후재 코디네이터는 전산담당자로서 보안을 특별히 강화하는 것으로 전략을 세우 고, 시스템을 현재와 같은 구조로 바꾸었다. 특히 이 시기에 개인정보보호법이 발표되고 다양한 보안사고가 발생한 것도 이러한 흐름을 부채질 했다. 또한 외부 아웃소싱 업체들이 내 PC의 개인정보를 보는 것에 대한 반감을 없애야겠다는 인식도 보안을 강화하는데 한몫을 했다. 대림대 학교 정보전략운영팀은 현재 매월 셋째주 수요일 사이버 보안 진단의 날 을 운영, 보안에 대한 경각심도 고취하면서 팀의 단합을 꾀하는 시간 으로 삼고 있다. 대림대학교 본부건물에 위치한 정보전략운영팀 상황실에 들어가면 학교 내 전반적인 시스템 운영상황을 보여주는 모니터가 4대 있다. 그 중에 3대가 보안 관련 모니터일 정도로 대림대학교는 보안에 무척 신경을 쓰고 있다. 모니터링이 된다는 건 금세 해결책을 제시할 수 있다는 것이 다. 시스템 관리자의 입장에서 우리 학교의 보안 점수가 몇 점이나 되는 지 매우 궁금할 것이다. 대림대학교는 현재 방학임에도 불구하고 90점 이상의 보안 상황을 꾸준히 유지하고 있다. 교육부의 학교 평가등급에서 PC 보안 점수가 들어가지 않고 있지만 이것이 반영된다면 대림대학교 의 전체 등급은 훨씬 올라갈 수 있을 것 이라며 이후재 코디네이터는 자신감을 피력했다. 이후재 코디네이터는 마지막으로 대림대학교는 그 동안 단 한 건의 보안사고도 발생하지 않았다. 그만큼 철저하게 대비한 것인데, 일례로 분기당 한 번씩 패스워드를 바꾸는 정책의 경우 총장님부터 몸소 실천하고 있기 때문이다. 물론 솔루션이 뒷받침을 해주고 있기에 가능한 일이다. 지금도 여러 대학에서 우리 학교를 벤치마킹하기 위해 방문한다. 많은 대학들이 우리 사례를 보고 보안시스템을 도입했으면 좋겠다 고 전했다. [인터뷰] 대림대학교 정보전략운영팀 이후재 코디네이터 에이전트 하나로 통합 관리하는 게 가장 큰 장점 대림대학교의 정보전략운영팀은 어떻게 구성되어 있나? 2010년부터 필수인력을 제외한 나머지는 아웃소싱 조직으로 운영하고 있다. 그것이 운영 상 효율적이라고 판단했기 때문이다. 코디네이터라는 직함이 필요한 것도 이 때문이다. 대 학들의 재정이 풍족하지 않은 관계로 모든 운영을 할 때 비용을 생각하지 않을 수 없다. 솔루션을 도입할 때도 학생들의 등록금을 헛되이 쓰지 않으려고 노력한다. 그래서 여러 가지 도입 대상 솔루션을 꼼꼼하게 비교하는 것은 물론, 타 대학 도입사례 등도 참고하면 서 우리 학교에 맞는 솔루션을 최종적으로 도입하고 있다. 엔드포인트 보안 솔루션을 안랩 제품으로 단일화한 이유는? 물론 그 전에 몇 가지의 다른 벤더 제품을 사용했다. 여러 장단점이 있지만 문제가 더 많 았다. 인사정보의 연동이 안 된다든지 시스템에 너무 많은 부하를 준다든지, 혹은 OS 충돌 로 설치에 문제가 되는 경우도 있었다. 안랩 제품으로 처음부터 단일화, 통합화하려던 것 은 아니었지만 멀티 벤더의 경우 문제가 발생됐을 때 커뮤니케이션에 상당한 애로가 있었 다. 하지만 지금은 에이전트 하나로 관리하는 게 매우 편해졌다. 대림대학교가 보안을 이처럼 강화한 이유는 무엇인가? 보안의 기본은 PC라고 생각한다. 서버는 두 번째다. 좀비PC가 양산되는 이유는 바로 각 PC의 보안에 철저하지 못하기 때문이다. 대림대학교에서 그 동안 단 한차례도 보안사고가 발생하지 않은 건 PC 보안에 치중했기 때문이다. 교수님들이나 직원들이 규정을 잘 지키 대림대학교 정보전략운영팀 이후재 코디네이터 면서 호응을 많이 해주었다. 안랩의 솔루션이 박자가 잘 맞아서 지원이 잘 된 점도 영향이 크다. 보안은 어렵게 생각하면 불편할 뿐이다. 쉽게 긍정적으로 생각해야 한다. 대림대학교는 올해 개인정보 필터링 기능을 강화하고 여건이 된다면 키보드 보안 솔루션도 도입해 보안을 더욱 강화할 계획이다. 대림대학교는 경기도 안양에 위치하고 있는 대림대학교는 1977년 학교법인 대림학원에서 대림공업전문학교를 설립한 것이 시초다. 1990년에 대림전문대학으로, 1998년에 대림대학으로, 2011년 대림대학교로 교명을 바꾸었고 현재 공학계열, 인문사회계열, 예체능계열, 자연과학계열 등 29개 학과로 구성되어 있다. 대림대학교는 재학생이 7,600여명으로 일반적인 4년제 대학보다 학생 수가 많다. 2014년 졸업생 2,000명 이상의 수도권 전문대 교육부 취업 통계에서 취업률 67.4%로 취업률 순위에서 1위를 차지하기도 했다. 이처럼 높은 취업률을 바탕으로 대림대학교는 교육부가 선정한 세계적 수준의 전문대학(WCC: World Class College), 교육부지정 한국전문대학교육협의회부설 고등직업교육평가인증원으로부터 교육품질 인증대학으로 선정되었 다. 대림대학교는 좋은(GOOD) 대학을 넘어 위대한(GREAT) 대학으로 학생과 기업은 물론이고 학부모, 교직원, 지역사회가 감동하는 놀라움으로 가 득한 원더풀(WONDER-FULL) 대림대학교가 되고 있다. 13

14 FOCUS IN-DEPTH Smart Home Security 스마트홈 보안 IoT 환경의 스마트홈 보안을 말하다 집 바깥에서도 가스 밸브나 도어락의 잠금 상태를 체크한다. 조명이나 냉 난방 가전기기들이 만드는 정보, 차량 출입 여부나 주차 위 치 등 거주자 정보, 가스 전기 사용량 정보 등 갖가지 주거공간에 대한 정보를 처리하여 에너지를 절약하고 쾌적한 상태를 유지한다. 먼 미래의 모습인가? 아니다. IoT(Internet of Things, 사물인터넷) 기술을 적용하여 상용화 진행 중인 스마트홈의 모습이다. 더욱 활 성화될 미래를 대비하여 스마트홈 보안 상태를 점검하고 안전한 스마트 라이프를 위한 보안 대응책을 살펴보자. 매슬로우가 1943년 자신의 논문(A Theory of Human Motivation)을 통하여 제안한 욕구이론 (Maslow's hierarchy of needs)을 보면, 인간 의 욕구가 중요도 순대로 생리(Physiological needs) > 안전(Safety needs) > 소속(Love and belonging) > 존중(Esteem) > 자아실현(Selfactualization, Self-transcendence) 으로 제시되어 있다. 중요도가 높을수록 근본적인 욕구다. 전 단계의 근본적인 욕구가 만족되었을 때만 다음 단계의 욕구로 전이된다고 한다. 안전한 주거공간은 인간의 가장 근본적인 욕구인 생리, 안전 욕구를 만족하기 위한 기본적인 부분인 동시에 인간이 고도의 욕구를 이루는 질 높은 삶을 영위하기 위한 근간이다. 최근 이러한 주거공간에 IoT 기술을 도입한 스마트홈 환경이 적용되면서 사람들에게 보다 안전하고 편안한 공간으로 진화하고 있다. 하지만 주거공간을 구성하는 모든 사물이 인터넷에 연결되고 제어가 가능해진만큼 스마트홈 보안에 대한 우려의 목소리도 커지고 있다. 스마 트홈 환경에서 발생할 수 있는 보안 문제는 어떤 것이 있으며 대응 방향은 어떻게 잡아야 할까? 스마트홈에서 발생할 수 있는 보안 문제 IoT 환경의 특성을 그대로 갖고 있는 스마트홈 환경은 스마트홈 기기(월패드) 및 네트워크 계층의 취약점을 악용한 보안 침해 사고가 발생할 수 있다. 예를 들어, 동일 세대(단지)의 네트워크 망을 통해 월패드로 전달되는 제어 명령을 재생하여 다른 세대의 월패드를 제어할 수 있다. 월패드 실 행 파일에 악성코드를 삽입하여 월패드로 제공되는 기능이 악의적인 목적으로 동작하도록 할 수도 있다. 스마트폰 등 원격에서 제어하는 기능 을 악용하는 등의 공격도 가능하다. 게다가 현재는 인터넷 검색 엔진에서 관련 키워드를 입력하면, 개인이 자신의 집에 설치되어 있는 월패드 해킹 시도 사례 문서들을 쉽게 찾을 수 있다. 해당 문서에 있는 발견된 취약점이나 사용한 소프트웨어 도구를 응용한다면 누구든지 해킹을 시도할 수 있는 상황이다. 기존 IT 시스템과 다른 IoT 환경의 특수성 IoT 환경은 기존 IT 시스템과는 다른 환경적인 요인을 갖는다. 따라서 IoT 환경의 스마트홈에서 발생할 수 있는 보안 문제는 다음과 같은 세 가 지 관점에서 심층적으로 생각해볼 수 있다. - 보호해야 하는 자산의 특성 관점: 일반적인 IT 시스템의 경우 소유자나 운영자가 기업에 속한 직원이고, 물리적으로 안전한 환경이나 선량한 관리자를 가정할 수 있는 등 보안 위험에 대하여 기본적인 억제력이 있는 환경으로 볼 수 있다. 하지만 IoT 기기의 경우 악의적인 의도를 가진 개인이 위협원인 동시에 기기에 대한 소유자가 될 수도 있다는 점에서 위험하다. 14

15 - 위협 관점: 인터넷 등을 통하여 노출된 공격 기법을 사용한다면 높은 수준의 전문가가 아니더라도 공개 도구와 방법으로 월패드에 접근할 수 있다. 따라서 위협의 발생빈도(Likelihood)가 좀더 높다고 할 수 있다. 또한, 최근 스마트홈의 경우 전기 가스 등 에너지 사용량을 처리하기 때문에 금전적인 이득을 의도로 하는 위협도 발생할 수 있다. - 취약점 관점: 다수의 모범 사례(Best Practice)를 경험한 기존 IT 시스템과는 달리 보안 매커니즘에 대한 설계 단계에서부터의 고려가 부족 하여 잠재적인 취약점들이 산재할 수 있는 환경이기도 하다. 이와 같은 이유로, IoT 환경의 보안에 대해서는 기획 설계 단계에서부터 정보 보호를 고려한 정보보증(Information Assurance) 관점의 접근이 필요하며, 보다 높은 수준의 보안 대책이 필요하다. 광범위한 보안 문제로의 확대 우려 문제는 IoT의 적용 범위가 광범위한 만큼 다양한 공격 경로를 통하여 개인 프라이버시 침해 등이 발생할 수 있다는 점이다. 이는 컴퓨터 안에 서 처리되는 파일 등을 사용하지 못하게 되거나 노출되는 수준이 아니다. 실생활에 영향을 미치기 때문에 그 파급력은 훨씬 크다. [그림 1]에서 스마트홈을 포함한 IoT 기술에 대한 계층화된 아키텍처와 각 계층별 취약점을 악용할 경우 발생할 수 있는 다양한 보안 우려를 정리했다. [그림1] IoT 환경 계층 구조와 계층별 취약점에 따른 보안 문제 스마트홈 보안 정책 가이드라인 이에 미래창조과학부는 IoT 정보보호 로드맵 을 수립( )하고, 스마트홈 분야를 주요 과제에 포함하여 보안이 내재화된 IoT 기반 조성 을 진행 중이다. 전체적인 내용을 간단히 정리하면 다음과 같다. [그림2] 정부의 사물인터넷 정보보호 로드맵 스마트홈 관련 내용 15

16 IoT 서비스를 홈 가전, 의료, 교통, 환경 재난, 제조, 건설, 에너지 등 7대 분야로 분류 스마트홈 분야를 3대 IoT 분야로 정하여 우선적으로 적용하려는 계획 수립 특히, 시험 평가 인증 제도에 IoT 보안 항목 및 기준 반영 검토 계획 로드맵을 토대로 관련 시행 계획도 마련하여 본격 추진 중( )이다. [그림3] 정부의 사물인터넷 정보보호 로드맵 시행계획 스마트홈 관련 내용 시행계획 역시 스마트홈 분야가 주요 과제에 포함되어 있다. 여기에는 KISA 주관으로 IoT 보안 얼라이언스를 구성하여 IoT 공통 보안 7대 원 칙 을 제정하여 시행하는 계획이 포함된다. 현재 인증 기준이 없는 신규 IoT 제품 서비스에 대해서는 신규 항목 및 기준을 개발 적용한 IoT Security Verified 제도 운영도 검토 중이다. IoT 환경의 스마트홈 보안에 대한 취약점 분석 평가 정부가 제안하는 로드맵 하에 스마트홈 관련 업계에서는 월패드에 대한 취약점을 분석하고 평가해야 최적의 보안 상태를 유지할 수 있다. 안 랩은 수십 년 간의 보안 컨설팅 노하우를 바탕으로 IoT 환경의 스마트홈에 대한 취약점 분석 및 보안 컨설팅을 하며 안전한 스마트홈 환경을 제공하기 위하여 노력하고 있다. [그림4] 스마트홈 취약점 분석 및 평가 월패드 보호 매커니즘을 적용한 보안 기술 계발 더 나아가 각 세대 내에 있는 스마트 기기로부터 발생하는 정보를 처리하거나 제어하는 것은 물론 사용자와의 접점이 되기도 하는 월패드에 대한 보호가 필요하다. 16

17 [그림5] IoT 환경의 보호 매커니즘 구성 구체적으로는 월패드 운영체제를 대상으로 파일, 네트워크, 기기 인터페이스에 대한 락다운(Lock-down) 보호 매커니즘의 적용을 통하여, 지 속적이고 안전한 상태를 유지하는 방안을 고려할 수 있다. 특히 안랩은 독보적인 화이트리스팅 기반 기술을 토대로 한 보호 매커니즘 기술 개 발에 주력하고 있다. [참고 문헌] [1] 미래창조과학부, 사물인터넷 정보보호 로드맵, [2] 미래창조과학부, 사물인터넷 정보보호 로드맵 시행계획,

18 TECH REPORT Bitcoin & Blockchain 비트코인과 블록체인, 미래를 지배할까 흔히 핀테크(FinTech) 라고 불리는 금융과 정보통신 기술의 결합을 통한 금융서비스가 최근 급격한 발전을 보임에 따라 이에 대한 관심도 급증하고 있다. 다양한 핀테크 관련 기술 중 전자화폐로서의 가능성을 두드러지게 보여주고 있는 비트코인(Bitcoin)과 비트코 인 내부 핵심 기술로 알려진 블록체인(Blockchain) 기술에 대해서 알아보자. 비트코인은 현재 가장 주목받는 전자화폐(electronic cash)이다. 비트 코인과 같이 온라인에서 사용되는 전자화폐는 부정 사용 방지를 위한 방안 마련이 필수적으로, 디자인할 때부터 화폐의 소유자에 대한 확인 문제와 중복 지불(double spending) 방지 문제에 대한 고려가 최우선 되어야 한다. 전자화폐의 소유자를 확인하는 방법을 마련하지 않으면 단순한 복사 를 통해 다른 사람이 사용하는 것과 같은 부정 사용의 문제가 발생하 게 된다. 이에 공개키 암호화에 기반한 디지털 서명 기법을 통해 소유 자 확인을 제공하는 것이 일반적이다. [그림 2] 중앙에서의 거래 확인 모델 vs. 분산된 형태의 장부 기록 (*이미지 출처: 비트코인 트랜잭션(Bitcoin Transaction) [그림 1] 디지털 서명을 통한 소유자 확인 방식 더 중요한 문제는 중복 사용 이다. 한 번 사용된 전자화폐를 다시 사용 하려고 할 때 이를 감지해내지 못하면 중복 지불의 문제가 발생한다. 신뢰할 수 있는 중앙 기관이 모든 거래 기록을 관리함으로써 이러한 중복 지불 문제를 해결하는 것이 보통이다. 비트코인(Bitcoin) 비트코인은 2009년 사토시 나카모토(Satoshi Nakamoto)에 의해 구 현된 전자화폐의 일종이다. 공개키 암호 방식과 소유권 관리를 위한 작 업 증명이라는 합의 알고리즘이 결합된 방식으로, 기존 화폐를 수학적, 암호학적 엄밀성에 기반하여 온라인상에 구현한 형태이다. 이 전자화 폐의 가장 혁신적인 부분은 바로 P2P(Peer to Peer) 네트워크 기반의 탈중앙화된 형태로 거래의 유효성을 확인하여 중복 지출 문제를 해결 한 점이다. 비트코인은 [그림 2]의 오른쪽 개념도와 같이 네트워크의 구성원 모두 가 거래 내용을 기록하는 장부를 가지고 있고, 거래가 발생했을 때 모 든 구성원의 장부에 해당 거래를 기록하여 서로 유효성을 확인할 수 있는 구조이다. 비트코인은 유형의 재화 가 아닌, 누가/얼마나/어디로 보낼 지에 대한 일종의 트랜잭션(transaction)이다. 그리고 이 트랜잭션들은 블록체인 (Blockchain)이라고 불리는 암호화 기법이 적용된 일종의 장부에 저장 된다. 비트코인 트랜잭션은 누가, 얼마나 에 해당하는 입력 정보와 얼마나, 어디로 에 해당하는 출력 정보로 구성된다. 입력 정보에는 전달할 비트 코인의 양과 해당 비트코인 소유자의 주소가 포함되며, 출력 정보에는 전달 받을 대상의 주소와 전달 받을 비트코인의 양에 대한 정보가 포 함된다. 이때 사용되는 비트코인 주소는 비트코인 네트워크 내부 각 구 성원의 공개키를 기반으로 추가 연산을 통해 구성한 형태이며, 비트코 인의 소유자 확인을 위한 전자서명 관련 정보를 포함한다. [그림 3] 비트코인 트랜잭션 기본 과정 18

19 비트코인 트랜잭션의 입력은 [그림 4]와 같이 이전 트랜잭션의 출력으 로 연결되며, 이 연결을 역으로 따라가면서 전체 트랜잭션을 확인할 수 있다. [그림 4] 비트코인 트랜잭션 예시(1) 비트코인 트랜잭션의 입력 값을 나누어서 사용할 수는 없기 때문에 자 신의 주소를 기록한 출력값을 통해 거스름돈의 개념을 표현하게 된다. 예를 들어, 3만원짜리 상품을 구입하기 위해 지불하는 방법은 여러 작 은 단위의 화폐를 모아 3만원을 지불하거나 5만원짜리 지폐를 지불하 고 2만원의 잔돈을 돌려받는 경우로 나뉜다. 이를 비트코인 트랜잭션 으로 표현하면 각각 [그림 5]와 같다. [그림 7] 비트코인 블록 정보 (*출처: [그림 8] 블록체인 개념도 (*참고 자료: 금융보안연구원, 전자금융과 금융보안 제3호) [그림 5] 비트코인 트랜잭션 예시(2) [그림 6]은 실제 비트코인 트랜잭션이 이루어지는 화면이다 BTC를 입력값으로 하고 있으며 총 출력(지불 + 거스름돈)은 BTC이다. 그리고 BTC의 수수료가 포함된 것을 볼 수 있다. 블록체인 내부의 블록들을 생성할 때 이전 블록의 정보가 포함되어 수 학적 연산을 수행하기 때문에 이 블록들 중 하나의 정보를 변경하거나 수정하려면 이후 블록의 모든 정보를 변경해야 하는 어려움이 따른다. 가장 최근에 생성된 블록의 정보를 변경하는 것은 비교적 쉬우며 최초 블록 쪽에 위치할수록 변경은 더욱 어려워진다. 가장 최근에 생성된 블록의 정보를 변경하는 것이 비교적 쉽다고 하지 만 블록 정보의 무결성 및 유효성을 맞추면서 정보를 변경하는 것은 고도의 수학적 연산과 네트워크 구성원들의 확인을 필요로 한다. 따라 서 일반 개인이 단독으로 블록의 정보를 변경하는 것은 사실상 불가능 하다. [그림 9]는 비트코인 네트워크에서 자체적으로 이상거래 트랜잭 션을 감지한 예를 보여준다. [그림 6] 실제 비트코인 트랜잭션 (*출처: [그림 9] 트랜잭션의 이상거래를 자체적으로 감지 (*출처: 비트코인의 블록체인 블록체인은 공개키 암호화에 기반한 분산 원장 기술(distributed ledger technology)의 일종으로, 기존 중앙집중형 네트워크 기반의 인프라를 뛰어 넘는 높은 보안성, 거래 내역의 투명성, 비용절감 등의 장점을 갖고 있다. 블록(block)이란 비트코인 네트워크와 관련된 특정 데이터들을 영구적 으로 기록하는 일종의 파일이며, 거래 정보인 트랜잭션들이 기록되는 장부이다. 각 블록은 이전 블록의 정보를 포함하고 있으며 사슬(chain) 과 같은 형태로 연결되어 있기 때문에 블록체인이라고 불린다. 블록체인의 활용 분야 블록체인이 가지는 특성, 즉 탈중앙성, 보안성, 확정성, 투명성으로 인해 신뢰되지 않은 네트워크에서 거래 정보를 투명하게 공개하여 다 수의 네트워크 구성원이 공개 검증을 수행하기 때문에 별도의 공증 주체가 필요하지 않다. 바로 이 점이 최근 많은 금융 기관이나 연구자 들이 관심을 갖는 이유다. 또한 기존 시스템의 보안 위협과 이를 해결 하기 위한 투자 비용 등을 개선할 수 있는 점도 블록체인의 매력 중 하나이다. 이와 같은 특성을 기반으로 하는 활용 분야를 요약하면 [표 1]과 같다. 19

20 구분 통화 (Currency) 공동기록 (Common Record) 계약 (Contract) 컨센서스 (Consensus) 주요 내용 세계적으로 형성되어 임계점을 넘은 비트코인 생태계와 경 제 시스템에 기반해 다양한 목적을 지닌 파생화폐 혹은 지능 형 화폐들이 등장할 것으로 전망됨 비트코인 보안의 핵심이 되는 해시기반 작업증명 기능을 고안한 암호 전문가인 애덤 백을 주축으로 개발한 사이드체인 은 비트코인 본위제를 가능케할 전망 온두라스가 지난 5월 새로운 토지대장 데이터베이스를 구 축하는데 블록체인 기술을 이용할 것이라고 발표 자전거 이용자들이 블록체인을 이용해 자전거를 등록하고 이력을 관리하는 시스템을 만들면 비용도 적게 들고 중고 자 전거 마켓 플레이스로도 발전할 수 있음 블록체인상에서 이뤄지는 개별 거래는 프로그래밍이 가능함 스마트계약 기능을 활용하면 주식시장에서 체결과 정산 사 이 2일 정도의 시차가 발생하거나 금융기관간 거래에 소요되 는 시간과 서류 작업 등을 크게 개선할 수 있을 것으로 전망됨 스마트계약은 향후 대부분의 공증과 신탁업무를 자동화하 거나 대체할 수 있을 전망 현재 중앙집중적인 온라인 및 모바일 투표는 보안상 안전 하지 않음 또한 중앙관리자가 존재하기 때문에 비밀투표의 원칙이 철 저하게 지켜진다고 확신하기 어려운 반면, 블록체인 기반의 투 표시스템은 누가 투표했는지 알 수 없고 투표집계 전 과정을 참여자들이 실시간으로 모니터링 할 수 있어 투명성 보장 단순한 투표가 아니라 시장예측 컨센서스 또는 집단지성을 활용하는 다양한 컨센서스 방법도 개발할 수 있음 블록체인, 미래 기술로 거듭나기 위해 넘어야 할 과제 많은 관심과 투자에도 불구하고 블록체인이 극복해야 할 과제는 명확 하다. 우선, 한 번 검증된 트랜잭션을 수정할 수 없다는 점이다. 이 문 제는 장부를 조작할 수 없다는, 보안의 측면에서는 장점으로 보일 수 있지만 반대로 수정 불가능한 데이터베이스 라는 관리상의 문제로 작 용할 수 있다. 또한 거래 트랜잭션들의 검증 및 확정에 많은 시간을 필요로 한다. 네 트워크 구성원들 다수의 검증과 확인 과정을 거치기 때문에 발생하는 문제이다. 이 외에도 여전히 몇몇 문제점들이 존재하고 있으며, 이러한 문제점의 해결이 향후 블록체인이 확실히 자리 잡을 수 있을지에 대한 척도로 작용할 것으로 보인다. 이와 같은 블록체인의 명확한 한계에도 불구하고 최근 많은 연구와 투 자가 집중되고 있다. 그 이유는 앞서 언급한 바와 같이 탈중앙성, 보안 성, 확정성, 투명성 등과 같은 이 기술의 특징과 이를 바탕으로 한 기존 금융 인프라와 보안 기술을 보완할 수 있는 가능성, 그리고 공동 기록, 스마트 계약, 컨센서스 등 다양한 방면으로 확장 적용을 기대할 수 있 기 때문이다. 현재 블록체인 2.0 이라는 흐름으로 금융뿐만 아니라 다양한 분야로의 적용 가능성에 대해 검토가 진행되고 있다. 이러한 흐름이 앞으로 어떤 방향으로 발전해 가는지 관심을 가지고 지켜볼 필요가 있다. 공동소유 (Co-ownership) 블록체인상에 집, 사무실, 자동차 등의 소유권을 등록해 놓 고 세부적으로 공유할 수도 있음 - 기존 공유 경제 시스템의 한계를 개선할 수 있을 전망 기술적인 한계로 공유할 수 없다고 생각하는 많은 자원, 서 비스, 디지털자산 등이 공유되고 효율적으로 이용되는 환경을 제공할 것으로 기대됨 비트코인의 OPA(Open Asset Protocol)을 이용하면 기존 상품권, 로열티 포인트, 지역 화폐 등을 블록체인 상에 기입하 고 관리하기 용이해짐 커뮤니티 (Community) 블록체인에 기반한 모바일 상품권, 지역화폐는 관리 비용을 크게 줄여주고 쉽게 모바일 이용 경험을 증진시키는 효율적 솔루션이 될 전망 대형 유통회사의 포인트 시스템에 피해를 보는 지역의 중 소 매장(동네빵집, 커피샵)들이 독립적으로 로열티 포인트를 만들어 관리하는 것도 가능 디지털 희소성으로 음악, 전자책 등의 비즈니스를 크게 바 꾸게 될 것으로 전망됨 컨텐츠 (Contents) 블록체인 상에 디지털 아트, 웹툰 등의 저작물을 등록해 놓 고 저작권을 증명하는 것이 가능해 새로운 시장을 창출할 수 있을 전망 세계적인 디자인 기업인 IDEO는 최근 블록체인 기술 기반 의 뮤직 서비스 시나리오 작업 착수 유럽에서는 Ascribe라는 서비스 등장 국제 송금이 비싸고 오래 걸리는 이유는 금융기관간 네트 워크가 국경을 넘어서까지 원활하게 작동하지 않기 때문 크로스보더 (Cross-border) - 비트코인과 같은 매개체를 이용한 서비스들은 이를 획기적 으로 개선하고 있지만 이 역시 중간에 두 차례 이상의 트레이 딩 과정을 거쳐야 함. 각 금융기관이 블록체인상에 은행권을 발행 등록해 놓고 취급과 정산이 실시간 자동으로 이뤄지게 되면 지금보다 훨씬 빠르고 효율적인 국제 금융거래가 가능할 전망 이동통신사의 국제 로밍서비스 관련 정산 및 지불 프로세 스도 개선할 수 있음 [표 1] 블록체인 활용 가능 분야 (*출처: THE FinTech Magazine, JAN-FEB 2016) 20

21 IT & LIFE 나만 궁금할까? PC 활용 기초 5가지 일상의 많은 일을 컴퓨터로 처리하는 시대가 됐다. 컴퓨터로 업무를 보고, 스마트폰으로 사람들과 소통하며, 집에서는 스마트TV로 여 가시간을 즐긴다. 스마트폰, 스마트패드, 스마트TV 등 사용이 편리해진 덕에 컴퓨터에 익숙하지 않은 사람들도 거부감 없이 컴퓨터를 사용하게 됐지만 그럼에도 불구하고 여전히 컴퓨터가 낯설게 느껴질 때가 있다. 나만 모르는 것 같아 다른 사람에게 물어보기 어려웠 던 컴퓨터 활용에 관해 궁금했던 질문 몇 가지를 모아봤다. Q1. 내 컴퓨터의 IP 주소를 확인하는 방법은? 갑자기 내 컴퓨터의 IP 주소가 필요할 때가 있다. 당황하지 말자. 아주 쉽게 IP 주소를 확인할 수 있는 방법이 있으니 말이다. 과거엔 네트워크 명령어를 이용해 내 컴퓨터의 IP 주소를 확인하는 방법을 사용했지만 지금은 그보다 훨씬 더 간단해졌다. 포털 사이트의 검색창에 IP 주소, 내 IP 확인, 내 컴퓨터 IP 주소 확인 이라고 검색만 하면 된다. [그림 1] 포털 사이트 검색창에 내 IP 주소를 검색한 화면 IP 주소란? 네트워크상에서 서로를 구분하기 위한 고유한 주소를 말한다. 보통 XXX.XXX.XXX.XXX의 형태로 표시된다. Q2. 내 컴퓨터의 화면보호기를 설정하려면? 바탕화면에서 마우스의 오른쪽 버튼을 클릭해 [개인설정]으로 들어간다. 그런 다음 [화면보호기]를 누르면 자신에게 맞는 화면보호기 화면을 설정할 수 있다. 마음에 드는 화면보호기를 선택하고 대기시간을 정한 뒤 [확인] 버튼을 누르면 된다. 21

22 Q3. 컴퓨터의 윈도우 관리자 비밀번호를 잊어버렸다면? 윈도우의 관리자 비밀번호를 잊어버려도 윈도우에 로그인할 수 있다. 윈도우 10의 계정은 마이크로소프트닷컴과 연결돼 있다. 다른 컴퓨터에 서 MS 계정 로그인 페이지를 연 뒤 계정에 액세스할 수 없으세요?(Can t access your account?) 를 클릭한다. 비밀번호 찾기 문제와 휴대폰 번호를 이용해 컴퓨터 사용자임을 증명한 뒤 새 비밀번호를 받아 로그인하면 된다. 단, 새로 발급받은 비밀번호는 로그인 뒤에 자신이 실제 사 용할 비밀번호로 변경해 둬야 다음 로그인 시 다시 비밀번호를 찾는 번거로움을 피할 수 있다. [그림 2] MS 계정 로그인 페이지 화면 Q4. 컴퓨터 드라이브의 파티션을 나누려면? 사용하는 컴퓨터 드라이브의 저장구역을 분리해서 사용하면 안전성면에서나 직관성면에서 편리하게 컴퓨터를 사용할 수 있다. 컴퓨터의 부팅 에러나 갑작스런 오작동시 문제가 있는 드라이브만 따로 포맷할 수도 있고, 나눠놓은 드라이브를 용도에 맞게 관리할 수도 있기 때문이다. 단, 현재 사용 중인 컴퓨터 드라이브의 파티션을 나눌 경우, PC 포맷이 이뤄지기 때문에 데이터가 모두 삭제되므로 중요 데이터는 반드시 사전에 외부 저장장치에 백업 후 진행하는 등 주의가 필요하다. 중요 데이터를 외부 저장장치에 백업해 두었다는 전제 하에 드라이브의 파티션을 나누는 방법을 살펴보자. 먼저 [시작] [제어판] [시스템 및 보안]을 클릭한다. 그런 다음 가장 아래에 있는 관리 도구에서 [하드 디스크 파티션 만들기 및 포맷]을 클릭한다. 파티션을 나눌 드라이브를 마우스로 우 클릭한 후 볼륨 축소를 클릭한다. 사용자의 컴퓨터에 따라 몇 분의 시간이 소요된다. 축소할 공간 입력 칸에 새로 만들 드라이브의 크기를 입력한다. 이렇게 하면 D드라이브의 용량이 줄어들고 그 옆에 새로 사용 가능한 공간이 생긴 것을 볼 수 있다. 마우스 우 클릭 후 [새 단순 볼륨]을 누른다. 단순 볼륨 만들기 마법사 시작 화면이 나오면 [다음]을 클릭한다. 단순 볼륨 크기를 최대로 지정한다(기본적으로 최대값 이 지정 되어있다). 드라이브 문자 할당에서 드라이브 문자를 선택한 후 다음을 누른다(기본값 그대로 지정해도 된다). 그런 다음 [이 볼륨을 다 음 설정으로 포맷], 파일 시스템(F): NTFS, 할당 단위 크기: 기본값, 빠른 포맷 실행을 체크한 뒤 [다음]을 클릭한다. 포맷이 끝나면 파티션 나 누기가 완료된다. Q5. PC의 원격 점검 서비스를 받으려면? 사용하고 있는 컴퓨터가 악성코드에 감염되면 사용이 불편해질 수 있다. 이런 경우 백신 프로그램을 이용해 치료하거나 온라인 원격 검사 서 비스를 이용해 악성코드 감염과 함께 PC 상태를 전반적으로 점검 받을 수도 있다. 안랩은 일반 사용자들의 안정적인 PC 사용에 도움이 될 수 있도록 전문가들을 통한 유료 원격 지원 서비스인 PC주치의 서비스 를 제공하고 있다. PC주치의 서비스는 PC가 이유 없이 느려지거나 악성코드에 감염되었는지 의심스러울 때, 게임 중 인터넷 오류가 반복적으로 발생할 때, 그 밖에 PC의 상태를 개선하고 싶을 때 이용할 수 있다. 22

23 STATISTICS 보안 통계와 이슈 안랩, 1월 악성코드 통계 및 보안 이슈 한국과 일본 모두 노리는 파밍 악성코드 유포, 주의! 안랩 시큐리티대응센터(이하 ASEC)는 최근 ASEC Report Vol.73을 통해 지난 2016년 1월의 보안 통계 및 이슈를 전했다. 지난 1월 의 주요 보안 이슈를 살펴본다. ASEC이 집계한 바에 따르면, 2016년 1월 한 달간 탐지된 악성코드 수는 1,506만 1,417건으로 나타났다. 이는 전월 1,472만 4,459건에 비해 33만 6,958건 증가한 수치다. 한편 1월에 수집된 악성코드 샘 플 수는 516만 7,710건이다. 40,000,000 30,000, % 0.61% 6.37% 8.74% 72.91% 11.21% 20,000,000 10,000,000 15,118,864 14,724,459 15,061,417 PUP Trojan etc Worm Adware Downloader [그림 2] 2016년 1월 주요 악성코드 유형 6,000,000 5,000,000 4,000,000 3,000,000 지난 1월 한 달간 탐지된 모바일 악성코드는 27만 5,885건으로 집계 됐다. 700,000 2,000,000 1,000,000 6,050,474 6,684,002 5,167, , , , ,058 11월 12월 탐지 건수 1월 샘플 수집 수 300, ,885 [그림 1] 악성코드 추이(2015년 11월 ~ 2016년 1월) 200, ,464 [그림 2]는 2016년 1월 한 달간 유포된 악성코드를 주요 유형별로 집계한 결과이다. 불필요한 프로그램인 PUP(Potentially Unwanted Program)가 72.91%로 가장 높은 비중을 차지했고, 트로이목마 (Trojan) 계열의 악성코드가 11.21%, 웜(Worm)이 6.37%의 비율로 그 뒤를 이었다. 100, 월 12월 [그림 3] 모바일 악성코드 추이(2015년 11월 ~ 2016년 1월) 1월 23

24 또한 지난 1월 악성코드 유포지로 악용된 도메인은 1,093개, URL은 9,911개로 집계됐다. 1월의 악성 도메인 및 URL 차단 건수는 총 608 만 4,376건이다. 9,000,000 8,000,000 7,000,000 6,084,376 6,000,000 5,212,011 5,000,000 4,399,439 다. 이용하고 있는 은행명을 클릭해 보안 강화를 진행하라 고 설명하 고 있다. 이후 은행 사칭 사이트로 연결을 유도하는데, 이는 국내에서 자주 등장하는 파밍 기법과 매우 유사하다. 심지어 상단의 로고도 우 리나라 금융감독원의 로고를 그대로 사용하고 있다. 유명 포털 사이트 를 통해 은행 사칭 사이트로 연결을 유도하는 국내의 파밍 기법과 마 찬가지로 이번에 발견된 일본의 파밍 악성코드도 일본에서 가장 많이 접속하는 포털 사이트를 통해서 은행 사칭 사이트로 접속하도록 유도 하고 있다. 팝업창에 연결되어 있는 은행 사칭 사이트로 접속하면 [그림 6]과 같 이 각 은행 사이트 별로 비밀번호, 사용자 계정 정보, 인증 값 등의 금 융 정보 입력을 요구하는 화면이 나타난다. 4,000,000 40,000 30,000 20,000 10, ,318 11월 10, 월 9,924 1,093 1월 9,911 [그림 6] 은행별 금융 정보 입력 화면 이때 사용자가 금융 정보를 입력하면 [그림 7]과 같이 패킷을 통해 입 력한 정보를 공격자에게 전송한다. 악성 도메인/URL 차단 건수 악성코드 유포 도메인 수 악성코드 유포 URL 수 [그림 4] 악성코드 유포 도메인/URL 탐지 및 차단 건수(2015년 11월 ~ 2016년 1월) 한국 이어 일본까지, 파밍 악성코드 확산 최근 일본의 주요 포털 사이트를 통해 일본 은행을 대상으로 하는 파 밍 악성코드가 유포되었다. 확인 결과, 해당 파밍 악성코드는 기존에 국내에서 유포된 것과 연관이 있는 것으로 보인다. 즉, 특정 그룹이 한 국과 일본을 가리지 않고 공격 대상으로 삼고 있는 것으로 추측된다. 유명 포털 사이트를 통해 은행 사칭 사이트로 연결을 유도하는 국내 의 파밍 기법과 마찬가지로 이번에 발견된 일본의 파밍 악성코드도 일본에서 가장 많이 접속하는 포털 사이트를 통해서 은행 사칭 사이 트로 접속하도록 유도하고 있다. [그림 7] 입력한 정보를 전송하는 패킷 지금까지 살펴본 바와 같이 이번에 발견된 일본의 파밍 악성코드는 국 내에서 발견된 파밍 악성코드와 매우 유사한 수법을 보이고 있다. 현 재 해당 악성코드의 유포지에서는 국내 은행을 대상으로 한 파밍 악성 코드가 또 다시 유포되고 있다. 또한 해당 도메인은 이전에도 PUP(불 필요한 프로그램, Potentially Unwanted Program)를 통한 악성코드 유포에 이용된 적이 있는 만큼, 사용자들의 각별한 주의가 필요하다. 한편 V3 제품에서는 해당 악성코드를 다음과 같이 진단하고 있다. <V3 제품군의 진단명> [그림 5] 포털 사이트 접속 시 팝업창 발생 화면 Trojan/Win32.Agent ( ) 해당 파밍 악성코드에 감염되면 [그림 5]와 같이 일본어로 된 팝업창 이 발생한다. 팝업창에는 일본의 금융감독청을 사칭하며 금융범죄 를 예방하기 위해 인터넷 뱅킹(다이렉트)의 보안 강화를 시행하고 있 24

25 AHNLAB NEWS AWS 고객 원격보안관제 서비스 파트너 협약 체결 격보안관제 서비스 확대를 위한 솔루션 파트너 협약을 체결했다. AWS 고객 원격보안관제 서비스 는 AWS를 이용하는 고객이 직접 수 행해야 하는 네트워크 및 웹 서비스 등에 대한 보안을 안랩의 침해대응 (CERT) 전문 인력이 원격으로 관리해주는 보안 관제 서비스다. 이번 파 트너 협약으로 안랩과 모니터랩, 포티넷, 한국트렌드마이크로, SSR은 보안관제 영역별 솔루션 공급 상호 기술 공유 및 지원 공동 프로 모션 실행 등 AWS 고객 원격보안관제 서비스 확대를 위해 공동 협력 하기로 했다. 지난달 23일 AWS 고객 원격보안관제 서비스 제공을 위한 안랩-보안솔루션 벤더사간 파트너 협약식이 진행됐다. 안랩이 보안 솔루션사와 AWS 고객 원격보안관제 서비스 확대를 위 한 파트너 협약을 체결했다. 안랩의 서비스사업부는 지난 2월 23일 모니터랩, 포티넷, 한국트렌드마 이크로, SSR과 아마존 웹 서비스(Amazon Web Service, 이하 AWS) 이용 고객의 클라우드 서버 보안을 원격으로 관리해주는 AWS 고객 원 이로써 안랩의 AWS 고객 원격보안관제 서비스 를 이용하는 기업은 IPS, 웹방화벽, 웹쉘 탐지 등 다양한 보안관제 영역 중 필요한 영역과 솔루션을 선택해 자사의 사업 환경에 최적화된 관제 서비스를 받을 수 있게 됐다. 안랩 서비스사업부 방인구 상무는 이번 협약은 국내외 보안 업체들이 협력해 개별 사업자 관점이 아닌 고객 관점의 서비스를 제공한다는데 의미가 있다 라며 이번 파트너십으로 다양한 사업환경을 가지고 있는 AWS 이용 고객에게 최적화된 보안관제 서비스를 제공하기 위해 향후 보안업체와의 협력을 확대하는 등 더욱 노력할 것 이라고 말했다. 안랩, 2016 네트워크 파트너 킥오프 투어 프로그램 진행 안랩의 네트워크 사업부는 공공/교육/기업/금융 등 다양한 분야의 네트워크(Network, 이하 NW) 공인 파트너사를 직접 방문해 안랩의 NW사업전략을 공유하고 파트너 지원 프로그램을 소개하는 2016 네트워크 파트너 킥오프 투어(2016 NW Partner Kick-off Tour) 프로 그램을 진행하고 있다. 이번 킥오프 투어 프로그램을 통해 안랩은 차세대 방화벽 트러스 가드(TrusGuard), DDoS 대응 솔루션 트러스가드 DPX(TrusGuard DPX), 침입방지솔루션 트러스가드 IPX(TrusGuard IPX) 등 자사 NW 보안 솔루션 로드맵과 프로모션 전략 등 2016년 네트워크사업부의 사업계획을 공유한다. 또 기술지원 시스템 및 파트너 역량 강화, 이 슈 대응 체계 개선 등 안랩과 파트너의 동반성장을 위한 파트너 지 원 전략 및 프로그램도 소개한다. 안랩은 지난 2월 18일 수도권 지역 파트너사 방문을 시작으로, 3월 까지 순차적으로 영남, 호남, 충청 등 각 지역 별 파트너사를 방문할 예정이다. 안랩 네트워크 사업부장 고광수 상무는 이번 찾아가는 파트너 투어 프로그램으로 파트너사의 현장의 목소리 를 경청하고, 협력을 더욱 강화해 네트워크 보안시장에서 경쟁력을 높이는 초석 을 다질 것 이라고 말했다. 안랩 네트워크 사업부는 지난달 24일 대전 지역 파트너사를 방문했다. 25

26 발행인 : 권치중 발행처 : 주식회사 안랩 경기도 성남시 분당구 판교역로 220 T F 편집인 : 안랩 콘텐츠기획팀 디자인 : 안랩 디자인팀 2016 AhnLab, Inc. All rights reserved. 본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제, 복사, 검색 시스템 으로 저장 또는 전송될 수 없습니다. 안랩, 안랩 로고는 안랩의 등록상표입 니다. 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상 표일 수 있습니다. 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다.

27 경기도 성남시 분당구 판교역로 220 T F AhnLab, Inc. All rights reserved.