Internet Weekly 2012. 3월. 4주
목차 Issue Inside 소셜 TV 시청행태확산... 방송사와광고주의시청률평가지표로활용中 1 모바일웹표준화주도하는페이스북, 애플ㆍ구글에이은제 3세력 출범예고 다양한웹표준포괄한차세대웹앱개발플랫폼 ' 야후칵테일 ', 웹 앱생태계선도 애플, 하드웨어성능개선한 뉴아이패드 (New ipad) 출시... 포스트 PC 시대 선언 3 6 8 구글, 디지털콘텐츠통합유통플랫폼 구글플레이 출시 11 美 유럽연합 (EU) 의규제당국, 구글 (Google) 의인터넷사용자 개인정보불법수집관련조사착수 14 퀸즈랜드대학, 호주의개인정보수집및이용에대한보고서발표 16 美육군, SNS 사진상의위치표시지오태깅 (Geotagging) 기능이보안위험이될수있다고경고英 Visiongain, 2012년글로벌 NFC 애플리케이션매출 100억달러넘어설것으로전망 18 19 IE 9, Heap Overflow 제로데이취약점발견 21 그래픽카드프로세서와클라우드를이용한패스워드크랙서 비스오픈 23
목차 Issue Inside 일본정부, 공무원대상사이버훈련에서 10% 가바이러스감염 25 전원어댑터모양의내부네트워크보안점검도구 Pwn Plug 출시 27 구글, 크롬해킹대회에서취약점발견에따른긴급패치제공 28 Symlink(Symbolic links) Bypass 해킹기법 29 Google Code 사이트를통해안드로이드악성코드유포 30 핑크색페이스북앱 설치를유도하여스팸전파 32 AV-TEST, 안드로이드용백신 41 종테스트결과발표 33
소셜 TV 시청행태확산... 방송사와광고주의시청률평가지표로활용中 12. 3. 20( 화 ) 정책연구실정책기획팀배병환 소셜 시청자증가세 프로그램관련 코멘트폭주 최근시청자가트위터 페이스북등 에접속해 시청중인 프로그램 혹은눈길을끄는 광고등에대해지인들과대화를나누는소셜 시청이확대되고있음 소셜 전문분석업체블루핀랩스 에따르면 지난 월 일개최된 프로미식축구챔피언결정전 슈퍼볼 과 월 일개최된시상식 그래미어워드 등대형이벤트에 참여가대거이뤄진것으로나타남 슈퍼볼 은미국내시청자만 억 만명에달한대형이벤트로 시청자들이경기도중페이스북 트위터등 를통해남긴관련코멘트만전년대비약 증가한 만건에달하는기록을세웠음 그래미어워드 의경우시청자들이시상식방영중 를통해전년대비 증가한 만건의코멘트를등록하는대기록을달성했으며 년블루핀랩스선정 소셜 히트엔터테인먼트이벤트 중 위를차지하고있음 대형이벤트와관련한소셜 시청행태가폭주하면서 지난해말발표된광고업계전문미디어애드버타이징에이지 와블루핀랩스의공동조사결과도다시금이목을끌고있음 블루핀랩스에따르면소셜 시청행태는 년들어급격히확산된것으로나타남 년 월 아카데미어워드 방영당시에는약 만 개의 코멘트가작성됐지만 월에방영된대중음악시상식 아메리칸뮤직어워드 에서는상대적으로적은규모의이벤트임에도불구하고 만개에육박하는 코멘트가발생함 한편 년에 에서가장많이회자된방송사는지상파방송사폭스 로 전체방송사관련코멘트중 를차지한것으로드러났음 시청자의소셜 시청행태는방송사및광고주들이단순히 시청률집계에만의존하지않고 를통한시청자들의실시간피드백을반영해전략을수립하는트렌드를유발하고있음 프로그램정보지 가이드닷컴 이지난 월 명을대상으로설문조사한결과에따르면 의응답자가 를통해접한정보로인해특정 프로그램을시청하기시작했다고응답 의응답자는동일한이유로특정 프로그램을지속적으로시청하게된다고응답 이같은결과는 상의시청자반응과 시청률의직접적인상관관계를시사하는것으로 가이드닷컴의부사장크리스티테너는 특정 프로그램에대한기사작성여부를소셜 시청자의반응을토대로결정하고있다 고밝히기도함 - 1 -
소셜 시청시간증가에일조 수익모델은불안정 과거방송업계일각에서는인터넷의출현으로 시청시간이감소할것이란우려를제기한바있음 하지만 를시청하면서채널을이리저리돌리는대신 세컨드스크린으로웹서핑을하는시청자가증가하면서 시청은여전히 소비자들사이에서인기있는엔터테인먼트로자리매김하고있음 특히소셜 시청행태가확산되면서다시보기서비스를이용하는대신 프로그램방영중 를통한즉각적인의견교류에동참하고자하는시청자들이 실시간 시청자 즉 본방송시청자를증가시키는예기치않은효과도유발하고있음 업계관계자들은소셜 시청자의 코멘트를통해유포되는소위 소셜스포일러 에대한우려로일부러본방송을시청하려하는이들도적지않은것으로분석하고있음 그러나보다광범위한이용자기반이확보되지않는한광고수익을기반으로하는소셜 비즈니스모델은불안정하다는게업계의중론임 소셜 애플리케이션겟글루 의알렉스이스콜드 는 겟글루의가장중요한목표는이용자기반확대이며 수익화방안및광고주수요파악은아직까지는모색단계 라고언급 이스콜드 는 이번 슈퍼볼 과관련해소셜 업계전반의광고수익은크지않은것으로안다 며 광고주들이소셜 서비스에 광고와같은막대한광고비를투자하지는않고있는실정 이라고덧붙임 그러나일각에서는향후소셜 서비스가특정시청자층을공략하는타깃마케팅에활용될수있는가능성에주목하면서이미광고효과를극대화할수있는대안중의하나로검토되고있다고주장 출처 목차 - 2 -
모바일웹표준화주도하는페이스북, 애플ㆍ구글에이은제 3 세력출범예고 12. 3. 20( 화 ) 정책연구실정책기획팀유재필 페이스북 웹표준협의단체 결성 파편화된 기반웹표준정립에박차 지난 월 일막을내린 모바일월드콩그레스 에서페이스북의브렛테일러 최고경영기술자 는현재모바일브라우저상에서기술파편화가만연되어있다고비판 가단일표준을표방하고있는것은사실이나모바일단말레벨에서실제적용될때에는서로차이를보이는 개별화 가이루어진다는주장 테일러는 하드웨어가속 디지털저작권관리 단말부속카메라접근등의기능이단말별로제각각이식되고있다고지적 이로인해개발자들은해당기능을활용하는애플리케이션개발시큰불편을겪고있음 페이스북은이같은 표준의파편화를막고자주요모바일통신사및단말벤더 플랫폼사업자약 개기업과 산하 모바일웹플랫폼커뮤니티그룹 을결성 모바일웹브라우저업체모질라 오페라 단말벤더삼성전자 노키아 와마이크로소프트 인텔등 벤더 버라이즌등통신사 징가 일렉트로닉아츠 등앱제공업체등다양한진영이참여 모바일웹플랫폼커뮤니티그룹 참여업체 - 3 -
모바일웹플랫폼표준정립을위한페이스북의행보 페이스북은모바일결제시스템의간소화를위해각국통신사들과의협력을강화하고있음 대부분의모바일앱결제가이통사의 인증을거쳐야하는불편한프로세스를개선하기위한것이목표임 페이스북은자사결제시스템 페이스북크레딧 을통해모바일웹앱결제절차를간소화하고 이를통신사과금체계내에포함시킬계획 페이스북은현재웹애플리케이션의유통방식도개선되어야한다고주장하며 애플앱스토어와같은독자유통플랫폼대신전체모바일웹애플리케이션을포괄하는통합플랫폼구축을제안함 페이스북은현재의앱스토어모델이플랫폼운영자측의관리에의해유지되므로이미시장진출에성공한유명개발업체에는유리한반면 그렇지못한대다수의영세개발업체에는큰장해가된다고주장 페이스북은이용자가원하는때에원하는애플리케이션을접할수있도록하는모바일앱유통시스템 오픈그래프 도지속적으로개선해나갈방침 약 억 만명에달하는자체모바일앱이용자를보유한페이스북은지난해 월부터 기반애플리케이션및웹애플리케이션검색을지원하는 오픈그래프 서비스를제공중이며 빠른시일내에안드로이드까지서비스를확장할계획 페이스북은모바일웹브라우저및단말의표준화요소를측정하는 링마크 도공개 두개의크기가다른개별원이미지로구성되어있는 링마크 로직관적인표준테스트진행이가능하며 기본적인웹표준요소의지원여부부터전체화면지원여부 터치지원여부등보다확장된요소에대한표준여부도파악가능 페이스북이공개한표준테스트도구 링마크 실행예시 - 4 -
페이스북의모바일웹표준화행보 애플 구글에대한견제가능할까 페이스북을중심으로결성된모바일웹표준화연합 은애플및구글의모바일생태계독주를견제하고자하는업체간이해관계의결과로설명될수있음 표준화를가치로하는모바일웹생태계에서더많은기회를잡을수있을것이라는참여기업들의계산이작용한것 일각에서는페이스북이모바일웹표준화를통해애플과구글에비견할만한웹앱생태계구축을꾀하는것이라며 페이스북의의도가순수하지만은않다고지적 년상반기기업공개 를앞두고있는페이스북으로서는모바일웹생태계발전이곧수익향상을의미하는것이기도함 모바일결제시스템간소화를위해 페이스북크레딧 이사용되는것은과거애플이앱스토어에서누렸던것과같은이득을페이스북도웹애플리케이션생태계내에서기대할수있다는의미 페이스북의모바일웹표준화노력이실제성과로이어질수있을지는불투명하다는부정적인의견도제기됨 구글과애플이이미대부분의모바일단말을자사플랫폼의영향력하에거느리고있는상황에서모바일웹생태계구축이실효성을거둘지는확실치않음 최근이용자개인정보활용에대한정부당국의규제및소비자비난여론도페이스북이모바일웹생태계에서주도권을취하기위해극복해야할장해요소로꼽힘 출처 목차 - 5 -
다양한웹표준포괄한차세대웹앱개발플랫폼 ' 야후칵테일 ', 웹앱생태계선도 12. 3. 20( 화 ) 정책연구실정책기획팀강재경 야후가지난 년 월공개한웹애플리케이션개발플랫폼 야후칵테일 을통해차세대웹앱개발플랫폼선두를도모하고있음 야후칵테일 은각웹표준의장점을결합해앱보안및유통 성능강화에주안점을둔개발플랫폼으로 개발자에게풍성한 를지원하는한편다양한 및단말에걸쳐동일한코드를사용할수있도록지원함 야후칵테일 은 자바스크립트 등다양한웹표준기술을모두포용하고있음 야후칵테일 은특히웹앱이지닌 단점 보안 유통 배급 패키징 성능 접근성 을보완하는데주목함 보안 및자바스크립트기반웹앱은크로스사이트스크립트유출로인해코드보안취약성을드러내고있으나 야후는 야후 라이브러리 를활용해각모듈을분리함으로써보안문제를개선 유통 배급 웹앱을위한유통망이아직구축되지않은상태에서야후는웹앱을네이티브앱으로변환하는 를제공함으로써애플앱스토어 와같은유통플랫폼에진출할수있도록지원 패키징 야후는 만으로도파편처럼흩여져있는개별웹모듈을취합하여대규모용량의웹앱으로패키징하는기능도제공 성능 표준의기술구현수준이아직네이티브앱에못미치는상황에서 야후는멀티미디어콘텐츠구현에특화된 언어를융합하여네이티브앱급의성능을보장 의약자로웹문서의전반적인스타일을미리저장해둔스타일시트를의미함 이를통해문서전체의일관성을유지할수있고세세한스타일지정의필요성을줄여이용의편리함을더할수있음 접근성 야후는모바일단말의제한적인 성능을고려하여해당단말에서구현가능한수준까지의콘텐츠만제공함으로써프로그램구동에걸리는대기시간을경감시켜이용경험을극대화함 야후칵테일 은자바스크립트기반의웹앱프레임워크 야후모지토 와서버사이드자바스크립트웹호스팅환경 야후맨하탄 도제공 야후모지토 는모든인터넷지원단말에걸쳐동일한코드를바탕으로웹앱개발이가능하도록지원하며 코드는오픈소스형태로모두에게개방됨 야후맨하탄 은 야후모지토 를기반으로개발된웹앱에대한유통을지원하며 태블릿 스마트폰 데스크탑등다양한단말에앱제공이가능함 - 6 -
야후칵테일 모지토 맨하탄 개요 출처 야후 스트라베이스재구성 최근모바일단말을통한앱다운로드가폭증하며웹생태계가웹사이트중심에서네이티브앱중심으로재편되면서 앱 웹논쟁이관련업계의최대화두로부상 네이티브앱은제공기능상에서웹앱보다유리함에도불구하고 모바일단말플랫폼세분화로인해개발자입장에서는제작비용부담문제를야기하고있음 웹표준이네이티브앱의대안으로거론되고있지만아직성능구현이뒤떨어져웹생태계구축에는무리가있다는지적도제기됨 야후의적극적인웹앱생태계구축행보는결국한발빠르게개발자들이수용할수있는웹앱개발플랫폼을선보임으로써 향후확산세가유력한웹앱생태계에서주도권을잡겠다는의도로풀이됨 출처 - 7 - 목차
애플, 하드웨어성능개선한 뉴아이패드 (New ipad) 출시... 포스트 PC 시대 선언 12. 3. 20( 화 ) 정책연구실정책기획팀민경식 뉴아이패드 전작에비해더욱빠른속도와선명한화질자랑 애플이미국샌프란시스코예르바부에나아트센터에서고해상도디스플레이와 를지원하는 뉴아이패드 를공개함 뉴아이패드 는아이패드 의해상도보다 배가량높은 해상도의 인치레티나디스플레이를장착하고있어 풀 보다정밀한화면과풍부한색감을제공함 망도지원해 보다최대 배가량빠른속도로웹서핑 동영상스트리밍 콘텐츠다운로드를즐길수있음 한편 뉴아이패드 의두뇌에해당하는애플리케이션프로세서 는듀얼코어 와쿼드코어 로설계돼아이패드 에장착된 보다 배 경쟁사 칩셋인테그라 에비해최대 배빠른그래픽처리속도를갖추게됨 애플의 뉴아이패드 발표회현장 뉴아이패드 는후면카메라성능을대폭개선했을뿐만아니라보이스딕테이션 기능도추가함 아이사이트 로이름붙여진 뉴아이패드 의후면카메라는 만화소를지원하고있으며 아이폰 에적용된것과동일한카메라기술이내장돼있어오토포커스를지원함은물론최대 명의얼굴을인식해각각의초점과노출을자동으로조정해줌 또한 아이사이트 를이용해 의풀 급동영상촬영도가능 그외에도영어는물론프랑스어 독일어 일본어등 개국어의음성메모가가능한 보이스딕테이션 기능도추가했음 - 8 -
대폭적인성능향상과 지원으로인해기존아이패드 보다두꺼워지고무게도늘어났다는것은 뉴아이패드 의약점으로지적되고있음 뉴아이패드 의두께는아이패드 에비해 늘어난 이며무게역시아이패드 와이파이버전이 인반면 뉴아이패드 의와이파이버전은 으로약 증가했음 그러나 뉴아이패드 는휴대성을일정부분포기한대신아이패드 에비해 배가까이증가한배터리용량을확보하고있음 덕분에 뉴아이패드 는하드웨어성능을향상시키고도전작과유사한수준의사용시간을확보할수있게됐음 업계의이목이집중됐던 뉴아이패드 의판매가격은전작인아이패드 와동일하게책정됨 와이파이 버전의경우 모델은 달러 와 모델은각각 달러와 달러로책정됐음 와이파이와 망을동시에사용할수있는제품의경우각모델별판매가격에 달러씩추가를하면구매할수있음 애플은 뉴아이패드 의판매가를아이패드 와동일하게책정하면서강력한가격경쟁력을확보하게됐음 뉴아이패드 망확산과포스트 시대앞당기는촉매제로작용 업계일각에서는 뉴아이패드 의 지원으로향후 시장이확대될것으로예상 경제전문매체 머니는모바일단말기시장에서 단말기의보급이기대에미치지못했으나 뉴아이패드 가 를지원함에따라 시대의종말이시작될것으로내다봄 무엇보다도애플은 뉴아이패드 를통해 서비스를충분히테스트한후올하반기출시가예상되는아이폰 에최적화된 기능을적용할것으로보여짐 다만태블릿 의경우이동통신사가제공하는네트워크를사용하지않고와이파이만을쓰는모델의판매량이더높기때문에 확산에대한 뉴아이패드 의영향력이기대에미치지못할가능성도존재함 한편 뉴아이패드 의출시로 의위상이흔들릴것이라는전망이연이어제기되고있음 뉴욕타임즈는애플의 뉴아이패드 출시를계기로태블릿 시장성장세가한층더뜨거워질것으로예상 투자은행파이퍼제프리 의진먼스터 애널리스트는새로운단말기의연이은출시로 년에는태블릿 판매량이 판매량을추월할것이라는전망을내놓기도했음 업계전문가들은개인 에비해성능면에서열세였던태블릿 가 뉴아이패드 의출시를기점으로하드웨어사양이대폭개선되면서포스트 시대의도래를앞당길가능성이한층높아졌다고평가 - 9 -
출처 목차 - 10 -
구글, 디지털콘텐츠통합유통플랫폼 구글플레이 출시 12. 3. 20( 화 ) 정책연구실정책기획팀최수민 구글 안드로이드마켓및디지털음악 동영상콘텐츠마켓통합 구글이기존의안드로이드마켓과 구글뮤직 구글북스 구글무비 를통합해신규디지털콘텐츠원스톱숍 구글플레이 를출시했음 조만간오디오북콘텐츠역시추가될예정인것으로알려져디지털콘텐츠제공폭은더욱확대될전망 이미구입한디지털콘텐츠와앱은자동으로 구글플레이 로연계됨 구글은 구글플레이 오픈초기홍보를위해일주일동안특정콘텐츠를파격적인할인가에제공하는이벤트도진행했음 이용자들은안드로이드단말기뿐만아니라다양한기종의스마트폰및태블릿 는물론데스크탑을통해서도브라우저접속을통해 구글플레이 를활용할수있음 애플아이튠즈처럼 구글플레이 역시클라우드기반으로서비스되므로이용자들은구글계정을통해다양한단말기에서구매한콘텐츠를별도의동기화과정을거치지않고자유롭게활용할수있음 다만 구글플레이 콘텐츠는국가별로이용에차등을두고있음 미국에서는전체스토어를이용할수있지만 캐나다와영국에서는영화 전자책 앱만제공되며 호주에서는전자책과앱만 일본에서는영화와앱만 여타국가에서는우선모바일앱만활용할수있음 구글플레이 서비스화면스냅샷 - 11 -
구글 구글플레이내세워애플과아마존에맞서는 구글생태계 형성본격화 구글플레이 는단순히흩어져있던구글의디지털콘텐츠를통합하여제공하는데에서나아가구글식의디지털콘텐츠허브를창출했다는전략적함의를내포하고있음 시장조사기관가트너 의미디어애널리스트마이클맥과이어 도구글이디지털콘텐츠유통창구를일원화하면서이용자들의접근성을향상시켰다는점에서긍정적으로평가 서비스측면에서는클라우드기반의 구글플레이 를통해기존의웹기반서비스와모바일서비스를하나로통합할수있는계기를마련했다는데의의가있음 전문잡지와이어드 는클라우드서비스가기본적으로단말에구애받지않고정보를공유할수있기때문에폐쇄적전략의애플보다는개방성을추구하고있는구글에더욱유리할수있다고평가 구글플레이 는수익모델다변화라는측면에서도주목받고있음 전체매출의 이상을온라인및모바일광고수입에의존하고있는구글은 구글플레이 출시를계기로디지털콘텐츠매출확대에도본격적으로나서고있음 업계에서는디지털콘텐츠시장공략강화에나선구글의행보를두고향후애플및아마존과의경쟁구도에도관심을모으고있음 아이튠즈와유사한 구글플레이 를통해디지털콘텐츠시장에서애플과의본격적인경쟁에나서는것은물론 킨들파이어 를통해모바일시장영향력을확대하고있는아마존을견제하기위한전략으로풀이됨 구글의디지털콘텐츠허브 구글플레이 등장의시사점 출처 스트라베이스 - 12 -
출처 목차 - 13 -
美 유럽연합 (EU) 의규제당국, 구글 (Google) 의인터넷사용자개인정보불법수집관련조사착수 12. 3. 21( 수 ) 정책연구실정책기획팀배병환 구글은애플 의사파리 웹브라우저에서사용자의개인정보를불법으로수집한것과관련 미국과유럽연합의규제당국으로부터조사를받고있음 구글은자사의온라인광고를통한쿠키 를불법으로설치하여사파리사용자의인터넷활동내역정보를무단으로수집 쿠키 인터넷사이트가방문자의접속정보를기억하기위해사용자의컴퓨터에남기는임시파일 현재미국과유럽연합의규제당국은어떻게구글이사파리에서기본적으로설정되어있는서드파티 쿠키차단기능을우회해정보를수집했는지에대해조사중 서드파티 하드웨어나소프트웨어등의제품을제조하고있는계열회사또는기술제휴를하고있는기업이외의기업을총칭 연방거래위원회 는이번문제가지난해구글과맺었던사생활보호관련협정을위반한것으로드러날경우 위반한일수에대해하루 만 달러의벌금을물어야할것이라고언급 구글은 서비스인구글버즈 의프라이버시침해문제로 로부터개인정보보호프로그램시행과 년간감사조치를받음 국가정보처리자유위원회 는구글의개인정보통합정책과함께이번사파리우회기술을함께조사하기로함 참조 주간인터넷동향 년 월 주 국가정보처리자유위원회 구글 개인정보취급방침변경유보요청 한편 구글은마이크로소프트의인터넷익스플로러 에서도비슷한방법으로사용자들의이용정보를수집한바있음 는 프라이버시정책을통해서드파티업체가쿠키를이용해사용자이용정보를추적할수없도록되어있음 특정웹사이트의개인정보보호정책을사이트접속자에게알려줌으로써 사용자가자신에관한정보를제공할지여부를결정할수있도록하는개인정보보호기술 하지만마이크로소프트부사장하차모비치 에따르면 마이크로소프트자체조사결과구글이사파리에서와유사한방법을통해 의보안설정을피해갔다고언급 구글대변인은이번조사와관련한어떠한물음에대해서도성실히답변하겠다고언급 주간지 에따르면 이번사건으로인해전세계구글의개인정보통합정책시행에대한비판적인여론이형성될것이라고전망 미국의 조사기관 의조사에따르면 전체인터넷이용자가운데 가구글엔진을통해검색한다고답변 - 14 -
이중 는구글이자신의개인정보를수집하는것에대해원치않는다는답변을했으며 는 맞춤형온라인광고를받고싶지않다고응답 출처 목차 - 15 -
퀸즈랜드대학, 호주의개인정보수집및이용에대한보고서발표 '12. 3. 19( 월 ) 정책연구실법제분석팀정용준 개요 조사명조사책임자조사기관조사대상조사방법조사기간 호주성인 명 전화인터뷰 일반전화및휴대폰 년 월 일 월 일 조사결과 온라인에서의개인정보관련규제선호여부 이상이개인정보이용을제한할수있는규제를선호 가개인정보에대한심각한침해에대해서법적인조치를취할수있어야한다고응답 기업이이용자에게개인정보수집에대해거부할수있다는것과개인정보삭제를요청할수있음을법적으로개인정보수집시고지하기를원함 그러나 기업의고지의무는 에의해서이미부과되고있음 수집한개인정보를이용 수집한개인정보를결합한경우를포함 한서비스에대한선호도 가개인정보에기초한타켓광고를선호하지않으며 는맞춤형뉴스를원하지않음 구글이최근검색엔진 이메일서비스 유튜브등을포함하여운영하는다양한서비스에서수집한사용자의개인정보를결합하여서비스를제공할것이라고발표한것과관련됨 개인정보수집거부의이유 가개인정보를지나치게많이수집하기때문에응용프로그램이나웹사이트를사용하지않으며 는단순하게개인정보제공을거절함 기업의개인정보보호정책 이상이웹사이트의개인정보보호정책을거의또는전혀읽지않음 개인정보보호정책은어떻게개인정보를이용하는지명확하게적시하지않으며 경고없이변경하는경우가많음 - 16 -
개인정보수집 이용에대한공개 이상의응답자들이기업이개인정보를수집하고이용하는과정에대해서더알아야 할필요가있다고응답함 출처 목차 - 17 -
美육군, SNS 사진상의위치표시지오태깅 (Geotagging) 기능이보안위험이될수있다고경고 '12. 3. 15( 목 ) 침해예방단침해예방기획팀조진현 육군은페이스북이나포스퀘어와같은소셜미디어에위치정보를올리는것은군인본인과가족에게보안위협이될수있다고경고 지오태깅 기능은 사용자가친구들에게위치를알리는편리한기능으로 스마트폰상의 기능을사용하며 소셜미디어사이트의핵심기능으로부상 친구와의위치공유는사회적관계형성에긍정적인효과가있지만 개인의위치정보가의도하지않은제 자에게공유될경우악용가능성존재 육군관계자는해외로파병된군인이나가족들이자신의페이스북이나 계정에지오태깅기능을활용한사진을올리면 적에게정확한위치가노출되어주의요청 기능이내장된스마트폰에서촬영되는사진에는촬영위치가자동적으로동시에저장되어 악의적인제 자가관련정보를이용한범죄행위가능 이라크반군은페이스북에올려진사진의지오태깅을이용하여 아파치공격헬기의위치를파악하여파괴하는사건발생 페이스북으로공유된정보가테러리스트공격에사용된예로 육군관계자는소셜미디어에사진을올리는행위가매우위험한행위임을인식해야한다고밝힘 연방정부는소셜미디어의활용이증가하여 많은기관들이소셜미디어사이트에정보를공유함으로써발생할수있는보안위험을최소화하기위한공식정책및가이드라인발표 육군도소셜미디어사용에관한핸드북 에서일반군인및지휘관들이소셜미디어사용시지켜야하는사항을세분화하여제공 일반군인의경우 지오태깅금지 작전보안사항포스팅금지등 지휘관의경우 개인적 금전적이익을위한사적인사용금지및홍보팀을통한미디어대응 페이스북의새로운기능인타임라인은사용자의과거활동및사용자프로파일에보여주고사용자가표시된모든위치를지도상에표시하기때문에더위험하다고밝힘 해커나범죄자들이군인들의이동경로 취미등을파악하는방법으로악용가능하며 범죄자들은 달정도의자료를활용하여일정한패턴을발견하고이를이용해공격가능 영국군의경우 아프카니스탄과같은작전지역에서의휴대전화사용을금지시켰으며 스마트폰사진촬영에특별한주의요청 출처 - 18 - 목차
英 Visiongain, 2012 년글로벌 NFC 애플리케이션매출 100 억달러넘어설것으로전망 '12. 3. 12( 월 ) 침해예방단서비스인프라보호팀김지원 영국시장조사업체 은 결제 도전과기회 보고서에서 년 시장이 억달러에이를것으로전망 는전자태그 의일종으로 이내에서핸드폰과단말기간데이터를전송할수있는비접촉식근거리무선통신모듈임 은 가의료부터자동차에이르는다양한산업에적용될수있으며 최근다양한분야에서의 발전과스마트폰관련기업의 진출이시장활성화를이끌었다고판단 삼성전자는 탑재스마트폰을출시하며 시장에진입했으며 이는시장성장의신호탄이될것으로예상됨 삼성전자 탑재스마트폰 넥서스 년 월 갤럭시 년 월 구글은안드로이드 버전 이상 에 지원기능을탑재하여자체브랜드인 지갑 서비스를 년 월부터실시중 애플은 년부터최근까지 결제 관련특허를 개나보유하고있으며 해당특허기술을차세대모바일 에적용한다면애플의생태계와함께엄청난시너지효과를낼것으로예상됨 전세계 휴대폰출하량전망 자료 은다른지역보다높은 채택률과성장세를보이는우리나라와일본의사례를보고 저개발국가에대한초보적인로드맵을제안함 국내에서는이동통신 사가 탑재스마트폰을출시했으며 교통카드결제를시작으로방송통신위원회와그랜드 연합은서울명동지역에 결제시범서비스실시 그랜드 연합 는 텔레콤 와국내주요카드사 카드결제망사업자 등 개사업자등으로구성된협의체 또한 다른성장가능성있는지역으로결제회사인비자 가 비접촉결제시스템적용을계획하고있다는점에서북미를선정 - 19 -
출처 금융보안연구원 모바일 기반보안동향 서비스 개인정보보호하려면 목차 - 20 -
IE 9, Heap Overflow 제로데이취약점발견 '12. 3. 12( 월 ) 침해예방단운용기술팀김성호 캐나다밴쿠버에서개최된 년 해킹대회에서 에대한제로데이취약점발견 해킹대회 년부터시작된컴퓨터해킹대회로 웹브라우저와모바일플랫폼을대상으로취약점을분석하며 년까지아이폰 안드로이드 사파리브라우저 모질라파이어폭스등의취약점발견 프랑스보안업체인뷔펭 연구팀에서 를이용하여 윈도우 환경의 보호모드샌드박스에서빠져나와루트권한을획득할수있는취약점발표 샌드박스 보호된영역안에서프로그램을작동시키는보안기법 는할당된메모리의크기보다더큰데이터를입력하여프로그램에서가리키고있는메모리의내용을변경함으로써 프로그램에서정상동작을수행하지않고다른동작을수행하게하는취약점을의미 이취약점을통해윈도우 에서루트권한을획득하여사용자의민감한정보에접근하거나중요한자료를삭제할수있음 데이터저장공간으로 바이트의크기를할당받은변수에 바이트의데이터를입력하여 뒤에 바이트는다른곳에서사용되는메모리내용을덮어써서아래와같이루트권한을획득 취약점을이용한악의적인행위예제 마이크로소프트보안팀은곧바로취약점정보를넘겨받고대처방안마련중 마이크로소프트는 년 해킹대회에서도 를분석대상으로제시하였으나 취약점발견되지않아안전하다고발표한바있음 등이전버전에서는루트권한획득 서버공격 다운로드공격등많은취약점이발견되었음 - 21 -
출처 겨냥한보안취약점발견 마이크로소프트 에서 버그제로 발표 목차 - 22 -
그래픽카드프로세서와클라우드를이용한패스워드크랙서비스오픈 '12. 3. 12( 월 ) 침해예방단연구개발팀이환진 모바일및임베디드분야의해커로유명한 가그래픽카드프로세서와클라우드를이용한패스워드크랙서비스 를오픈함 무선랜보안기술인 와윈도우네트워크인증프로토콜인 에대한패스워드크랙서비스를제공 붙임 이용방법소개 참조 는악의적인목적보다네트워크보안에대한취약점테스트 감사등에활용할수있도록 서비스를시작함 서비스메인화면 서비스는 개 와 개그래픽카드프로세서에기반을둔클라우드분산컴퓨팅기술로 한시간에최대 억개의단어를대입하여패스워드사전공격 을시도 패스워드크랙을위한사전 로는영어사전 전화번호 사전을이용하며 서비스이용요금은최소 달러 억개단어 부터최대 달러 억개단어 임 사전 숫자 자리의조합 으로구성된사전 노트북에서한달이소요되는시도량을 분만에수행가능하며 억개단어를모두대입하여패스워드를크랙을수행하는소요시간은최대두시간임 그래픽카드프로세서 는 와달리수많은작은연산처리장치들로구성되어병렬처리가가능하며 대비 배이상암 복호화처리속도향상가능 향후 개발자들이다양한프로그램들뿐만아니라안드로이드 아이폰앱에서도해당크래킹자원을이용할수있도록분산컴퓨팅기술에대한 를제공할예정 - 23 -
출처 붙임 이용방법소개 순서이용화면설명 크랙에사용할 선택 등과같은무선랜크랙 를이용 하여 생성 크랙정보를받기위한이메일주소입력 크랙에이용할사전선택 영어사전 전화번호 사전 크랙에이용할사전의단어수선택 억개 달러 억개 달러 억개 달러 억개 달러 서비스이용요금결제 목차 - 24 -
일본정부, 공무원대상사이버훈련에서 10% 가바이러스감염 '12. 3. 12( 월 ) 침해예방단보안관리팀강연정 일본정부 사이버공격대응모의훈련결과발표 일본내각관방정보시큐리티센터 는국가방위산업및정부 재외공관의사이버공격에대비하여정부부처공무원 만명을대상으로사이버공격대응모의훈련을실시 정상메일로위장한악성코드메일을통해정부부처공무원을표적으로한정보유출을시도하는사이버공격에대비한모의훈련을실시함 사이버정보공유협의체 는정부부처와방위산업등주요민간기업의정보보호강화및체계적인사이버침해사고대응 정보공유등을위해민관협력체계의일환으로구성됨 사이버공격대응모의훈련의사전교육이수및예고에도불구하고 천여명 이악성코드메일을통해바이러스에감염되어정보보호인식수준이미흡한것으로나타남 바이러스감염외 부재알림기능을통해부재사실을공격자에알리거나보낸사람이명확치않은메일의회신하는등으로조직내부의주요정보를유출하는문제에대해대책이요구됨 각정부부처별사이버공격대응모의훈련결과를기반으로사후교육대상자에대한재교육등조치여부를확인할예정임 모의훈련추진구성도 일본의 민관정보보호강화대책 현황 주요인프라의정보보호대책제 차행동계획 등국가주요시설의보안조치강화대책추진 동일본대지진및방위산업의표적형공격등주요침해사고사례를기반으로정보시스템의기술적 관리적보안대책 제어시스템운영지침등을재점검하고기준을강화할예정임 정보보호인식수준강화를위한 정보보호의달 월 활성화및국가적사이버공격모의훈련추진 정부부처및유관기관직원대상사이버공격모의훈련 초중고학생및보호자대상정보보호교육 경찰청 문부과학성등 가정및학교의안전한인터넷이용강좌 경제산업성 등추진 - 25 -
출처 목차 - 26 -
전원어댑터모양의내부네트워크보안점검도구 Pwn Plug 출시 '12. 3. 12( 월 ) 침해사고대응단종합상황관제팀권혁 는일반적인전원어댑터모양의내부네트워크보안점검도구인 를출시 는리눅스 가탑재된소형의저전력장비로 고급모델의경우에는 무선통신도가능함 어댑터에서제공하는 선을통해내부네트워크에대한보안점검도구로활용가능 지난 년 월국립은행내부침투테스트를위해고용된보안전문가인 는전원안정화작업을이유로기술자복장으로국립은행지점 곳을돌아다니며 내부의네트워크에 를아무런제재없이설치함 다만 내부네트워크에해당도구가연결될경우데이터가해당어댑터에저장되어 중요데이터의유출 파괴등해킹도구로악용될소지가있어주의가필요함 출처 목차 - 27 -
구글, 크롬해킹대회에서취약점발견에따른긴급패치제공 12. 3. 12( 월 ) 침해사고대응단탐지조치팀양인승 구글 은지난 월 일부터캐나다밴쿠버에서열리는 해킹대회에서밝혀진크롬 의두가지취약점에대해긴급패치를제공하고있음 세르게이글라주노프 는구글플러스에서브라우저샌드박스보안을우회할수있는크롬취약점을찾아냈으며 이취약점을이용시해커가좀비 를만들어악용할수있다고밝힘 구글플러스 구글이운영하는페이스북과같은소셜네트워크서비스로현재약 천만명이이용 두번째도전자는 닉네임을사용하고있는해커로 잘못된플러그인로딩과 그래픽처리장치 프로세스메모리변조문제로 역시크롬에만존재하는취약점으로밝혀짐 구글은글라주노프와 에게각각최고상금인 만달러를지급 구글은총 백만달러이내에서 크롬의결합을발견하는사람에게는 만달러 타브라우저에는없고크롬에만존재하는버그를발견하는사람에게는 만달러를제시했었음 크롬해킹대회를통해발견된취약점업데이트배포화면 이번해킹대회를통해도전자들에의해취약점이발견되는것은구글이철저한보안을자랑하는크롬브라우저의취약성을공개적으로알리게될수있음 하지만 구글은궁극적으로크롬브라우저의버그를고치고 보안성이더욱강화될것으로기대 구글의크롬브라우저는타브라우저 인터넷익스플로러 사파리 파이어폭스등 과달리 년이후열린해킹대회에서해킹된사례가없었음 출처 목차 - 28 -
Symlink(Symbolic links) Bypass 해킹기법 12. 3. 12( 월 ) 침해사고대응단해킹대응팀이동수 유닉스 리눅스시스템의 를이용해동일서버에서운영되는다른웹사이트의주요설정파일등의정보를획득할수있는동영상이공개됨 윈도우계열의바로가기와동일한기능으로유닉스 리눅스에서사용되는기능 공격자는업로드취약점을가진웹사이트를통해동일서버에서운영되고있는다른웹사이트의 설정등시스템주요설정파일정보를 를이용하여획득가능 가상호스트를통해운영되는웹사이트들은동일서버에있는다른웹사이트의파일에접근이제한되어있으나 를이용하여접근이제한된파일에접근이가능 서비스를제공하는시스템에서도 를이용하여정보획득이가능 디스크나프린터와같은자원을네트워크를통해공유하는서비스 해킹기법 국내웹호스팅업체들대부분이가상호스트방식을이용하여한대의서버에서다수의웹사이트를운영하기때문에유닉스 리눅스계열시스템의경우 기법에취약할것으로예상 출처 목차 - 29 -
Google Code 사이트를통해안드로이드악성코드유포 '12. 3. 14( 수 ) 침해사고대응단코드분석팀지성배 구글코드 의특정프로젝트페이지 을통해안드로이드악성앱을 유포한사례발견 오픈소스프로젝트개발자들에게무료협업환경을제공하는구글의서비스 구글코드사이트를통해유포된악성앱개요도 해당악성앱은정상적인메모리최적화앱중국어버전을변조하여사설안드로이드마켓을통해최초유포 기기가재부팅될때마다원격 로부터추가악성앱유포지정보를전달받아 악성앱이스마트폰내부에생성한 에저장하면서악성행위수행 추가악성앱유포지가구글프로젝트사이트로지정되어있음 사용자의동의없이유포지로부터앱을다운로드후 시스템업데이트를가장하여설치시도 특정앱이다운로드 설치 실행되었는지 에업데이트하여기록 추가설치된악성앱은 전화번호등과같은개인정보를원격서버에전송 안드로이드폰에저장된추가다운로드악성앱관련 유포지로악용된구글코드프로젝트페이지는현재구글에의해서삭제조치됨 - 30 -
출처 목차 - 31 -
핑크색페이스북앱 설치를유도하여스팸전파 '12. 3. 12( 화 ) 침해사고대응단스팸대응팀백은주 파란색페이스북테마를핑크색으로변경하고싶어하는페이스북이용자를현혹하여스팸메시지를게시하는앱 발견 담벼락에표시된 을클릭하면앱설치를위한 검증 단계를거치는데 이때페이스북이용자의프로필접근및담벼락게시에대한권한을획득 핑크색페이스북앱화면 스패머는앱설치로획득한이용자의계정으로금전을목적으로하는스팸메시지를게시 핑크색페이스북앱이발견된것이처음은아니나그이전과는달리매우광범위하게전파되었으며 현재까지확인된바에따르면모두스페인어로작성 해당앱을설치한페이스북이용자는앱에부여된프로필접근권한을취소하고 자신의페이스북친구가피해를당하기전에앱이자동으로게시한메시지를모두삭제해야함 소포스는 유튜브 를통해해당앱삭제등에대한내용을제공중 출처 목차 - 32 -
AV-TEST, 안드로이드용백신 41 종테스트결과발표 '12. 3. 19( 월 ) 침해사고대응단코드분석팀서상욱 독일의보안업체인 는전세계안드로이드용백신 종에대한모바일악성코드 진단 치료성능및백신기능에대한자체테스트결과 버전 를발표함 모바일백신테스트결과 테스트에포함된국내안드로이드용백신은이스트소프트사의알약안드로이드 종이며 진단율은 미만으로발표됨 본테스트는백신사들의사전동의및테스트용악성코드에대한정보제공없이진행됨 진저브레드 가설치된안드로이드에뮬레이터및삼성갤럭시텝 갤럭시넥서스 가테스트용기기로사용됨 출처 목차 - 33 -