[제11호-2012.05월] 보안인닷컴 e-매거진 [보안 人 ] 차 례 1. [기고] IT기술사에 도전해보자... 이이진 2. [기고] 해킹, 악성코드 그리고 개인정보보호... 신원 3. [번역] Security, Privacy, and Policy Roundup... 권오훈 4. [원격인터뷰] 기사가현실을 바꿀때 보람있어요...장윤정 디자인: BK.Kim 편집: 전주현 발행: 전주현 심볼 마크에는 다음에서 제공한 [다음체]가 적용되어 있습니다. (http://info.daum.net/daum/info/introduceofci.do) http://www.boanin.com - 1 -
2 발행인의 변 안녕하세요. 보안인닷컴 운영자입니다. 봄인가 싶더니 벌써 여름으로 가는게 아닌가 생각이 듭니다. 시시각각 변하는 IT특성상 한순 간도 놓칠수 없는 긴장감으로 살다보니 벌써 보안 e-매거진 [보안 人 ] 11호가 발행이 되었습 니다. 읽을꺼리를 만들어 낸다는 것이 쉽지 않다는 것을 매번 기획할때마다 생각이 드네요. 그래도 기다리고 참여해 주시는 분들이 있는만큼 늘 부족함이 많지만 조금씩 조금씩 우공이 산하겠습니다. 한번쯤 자신의 보안에 대한 이야기를 풀어주시고자 하시는 분들은 e-매거진의 문은 언제든 지 활짝 열려 있으니까 참여 하시고자 하는 분들은 boanin@naver.com 이나 magazine@boanin.com 으로 문의 주시면 되겠습니다., 보안관련하여 다양한 사이트에서 정보를 접하실 수 있습니다. 보안/자격증 관련 커뮤니티 보안인닷컴 : http://www.boanin.com 전주현 개인정보보호길라잡이 http://www.privacy.pe.kr 보안인닷컴 운영자 엔시스올림 - 2 -
[기고] IT기술사에 도전해보자! 이이진 (자산관리공사팀장) facebook: http://www.facebook.com/leeyijin - 들어가기 전에 - 엔시스님의 추천으로 오랜만에 글을 써보게 되네요. 기회를 주신 엔시스님께 감사드립니 다. ^^ 보안 매거진이라 구체적인 보안 사례를 가지고 글을 쓰면 좋겠으나 현재 제가 소속되어 있는 곳이 공기업이다 보니 이것이 여의치가 않습니다. 그래서 차선책으로 제가 공부했 던 기술사와 관련해서 글을 써보고자 합니다. IT쪽의 자기계발을 하시는 분들은 대부분 저와 비슷한 경로로 공부를 하고 계시고, 저처 럼 비전산 전공자가 IT쪽으로 들어와 맨땅에 고생하시는 분들에게도 도움이 될 수도 있 겠다 싶어 이 주제를 선택했습니다. 보통 IT 회사에서 근무하시는 대부분의 분들이 Cisco, Oracle 등 벤더 자격증 공부로 시 작을 하고 CISA, CISSP, PMP 등 여러 가지 분야를 아우르는 영역으로 이동을 한 뒤, 그리고서도 성에 차지 않고 공부에 매달리는 분들이 기술사나 감리사에 도전하게 됩니 다. 그 후에도 대학원이나 박사과정으로 가시는 분도 꽤 보게 됩니다. 이 글은 IT분야 경력이 조금 있으신 분들을 위한 글임을 미리 말씀드립니다. - 자격증 취득의 의미와 장점 - 제가 생각하는 자격증 취득은 새로운 분야를 공부할 때 제한된 시간 안에 명확한 목표를 가지고 공부할 수 있는 가장 효과적인 방법 중에 하나라고 생각합니다. 미래의 고용 불 안정에 대한 대비로써 지속적인 자기계발이 필요한 현재와 같은 시대에서는 바쁘다는 이 유로 미래를 대비하지 않는 우( 愚 )를 범하지 않으시길 바랍니다. 저는 개인적으로 자격증을 취득한다는 것은 그 분야의 전문가가 되었다는 뜻하는 것이 아니라 그 분야를 공부할 준비가 되었다라고 생각합니다. 자격증 취득이 끝이 아니라 전 - 3 -
4 문가로서의 첫 발걸음이라고 생각입니다. 제가 기술사를 준비하면서 느꼈던 장점으로는 - 짧은 일정으로 일정한 수준의 지식 및 기술을 습득할 수 있었고 - IT 흐름 파악과 타인의 경험을 공유할 수도 있었으며 - 자격증 취득 후에는 고객과의 의사소통이 좀 더 용이해지기도 했습니다. - 저의 경우에는 취득 후 이직을 하게 되었으니 이직에도 도움이 되는 것 같습니다. IT관련 기술사는 총 3가지 종류가 있습니다. 정보관리, 전자계산조직응용, 정보통신기술 사입니다. 세 영역이 서로 조금씩 다르지만 동일하게 공부해야 하는 부분이 많아 나중에 가면 공부했던 토픽이 많은 부분 중첩되게 됩니다. 특히 정보관리와 조직응용의 경우는 상당수가 중첩됩니다. - 기술사에 도전하기 전 반드시 해야 할 일 - 그럼 기술사를 공부할 준비가 되셨습니까? 그렇다면, 빨리 시작하십시오. 시작은 빠를수록 좋습니다. 나이가 들면 그만큼 공부하기 가 힘들어집니다. 제가 생각할 때 적당한 나이는 응시조건이 채워지는 30대 초, 중반이 시작하기 가장 좋을 때가 아닌가 싶습니다. 또 시작하기로 결심하셨다면 최대한 단기간 에 끝내셔야 합니다. 최대 1년을 목표로 짧고 굵게 끝내겠다는 마음가짐을 가지셔야 합 니다. "난 천천히 지식을 습득하면서 장기간 준비할거야"라고 말씀하시는 분들 중에는 (제가 아는 한) 기술사를 취득하신 분을 보지 못했습니다. 기술사를 공부하기로 마음먹고 끝까지 공부하시는 분들은 분명 기술사가 되십니다. 하지 만 그 과정이 그리 쉽지만은 않습니다. 그렇기 때문에 시작하기로 결정을 내리시기 전에 가장 먼저 해야 하는 일은 가족(특히 배우자)을 적극적인 후원자로 만들어야 합니다. 가 족과 충분한 협의가 이루어지지 않은 상태에서 시작하신다면 여러 번의 어려움을 겪게 되실 것입니다. 공부하는 중에는 가족 행사에는 거의 참석할 수 없기 때문입니다. 그리고 주위에 본인이 공부를 하고 있다는 것을 알리는 것도 도움이 됩니다. 그래야 공 부하다가 중도에 포기할 마음도 진정시킬 수 있고 회식 등의 자리에서도 양해를 구할 수 있습니다. 무엇보다 벼랑 끝에 본인을 세워야 열심히 공부하게 됩니다. 마지막으로 멘토 기술사가 있는 스터디 그룹을 활용해야 합니다. 타인의 경험을 공유하 고 인적 네트워크 구성도 가능해 집니다. 개인적으로 공부하시는 경우에는 스터디그룹 구성이 힘들기 때문에 학원 등을 이용하시는 것도 하나의 방법입니다. 함께 준비하는 동 료가 있으면 본인의 부족한 부분을 채워 주기도 하지만 더욱 중요한 것은 기술사의 가장 두려운 적인 나태해지거나 포기하고 싶은 맘이 들 때마다 끝까지 최선을 다할 수 있도록 힘을 줍니다. - 4 -
- 기술사에 합격하려면? - 제가 처음 기술사 공부를 시작하면서 처음 들었던 얘기가 "1,500시간 정도 공부해야 기 술사 시험을 볼 준비가 된다"라는 얘기였습니다. 그 때가 1월초였고 합격 목표를 두었던 77회 시험이 8월이었으니 1주에 50시간씩 30주를 공부하면 해당시간을 채울 수 있었습 니다. 1주에 50시간이라면 평일에는 5시간씩, 토요일은 12시간, 일요일은 13시간씩 하면 되었습니다. 평일에는 몇 시에 퇴근하든지 5시간의 공부량을 채우지 않으면 잠을 자지 않았습니다. 쉽지는 않았지만 빠른 시간에 합격하게 된 이유가 아닌가 싶습니다. 제가 가 지고 있는 기술사 이외 자격증 전체 공부량에 2배 이상은 하지 않았나 싶습니다. 하지만 기술사에 합격하신 분들 중에는 저와는 비교도 할 수 없을 만큼의 공부량과 내공 을 자랑하시는 분들도 부지기수로 많습니다. 공부도 시작하기도 전에 겁을 잔뜩 드리려 고 하는 것은 절대로 아닙니다. 그만큼 쉽지 않은 시험이기 때문에 마음의 준비를 단단 히 하고 시작하시라는 의미입니다. 본격적인 스터디그룹이 구성되었다면 멘토 기술사가 방향을 잡아주실 겁니다. 처음에는 그것만 잘 따라가기도 벅찹니다. 기본적인 지식이 없고 학습이 부족하기 때문이죠. 처음 에는 멘토 기술사가 선정해 준 토픽에 대한 꾸준한 학습 및 본인만의 정리노트(원맵, 마 인드맵 등)를 작성해야 합니다. 나중에 내공이 쌓인 후에 보시면 굉장히 허접한 정리노 트지만 이것이 내공을 쌓는 첫 걸음입니다. 이 후에 많은 진행사항들은 기술사 공부를 시작하시면 자동적으로 아시게 될 터이니 다른 조언들을 하겠습니다. 기술사에 합격하기 위해서는 절대적인 공부량 이외에도 몇 가지가 필요합니다. 첫째, 건강관리가 필수입니다. 절대적인 공부시간으로 체력이 많이 떨어지게 됩니다. 저 같은 경우에도 보약을 처음 먹었던 시기였습니다. 둘째, 지식 연계를 위한 훈련이 필요합니다. 학회지, 전자신문 등을 활용하여 각 토픽별 지식의 연계, 정보기술 동향 파악이 중요합니다. 그리고 아는 것과 표현하는 것은 다르기 때문에 자기 전에 머릿속으로 이런 토픽이 나온다면 나는 이렇게 작성하겠다 는 연상훈 련을 하는 것도 좋습니다. 셋째, 자신감과 목표의식입니다. 난 이번 XX회 시험에 반드시 합격하겠다는 마음가짐과 일정에 맞는 목표를 수립하고 이를 달성하고자 하는 노력이 필요합니다. 넷째, 겸손함이 필요합니다. 본인이 작성해 놓은 정리노트에 다른 응시자들의 좋은 답안 들이 있다면 스펀지처럼 빨아드려 본인의 것으로 만들어야 합니다. 계속적으로 본인의 정리노트를 업데이트 해야 합니다. 마지막으로, 글씨체 연습도 필요합니다. 시험시간 400분 동안에 56페이지를 수기로 작성 하는 시험이기 때문에 글씨를 정자로 빨리 쓰는 훈련도 필요합니다. 하지만 이것은 모의 고사 응시 등으로 충분히 해결할 수 있으니 걱정하실 필요는 없습니다. 저랑 같이 공부 - 5 -
6 했던 후배기술사는 합격하기까지 볼펜을 모았더니 박카스 상자를 가득 채웠다고 하더군 요. - 마치며 - 매일 출근하면서 전자신문을 읽고 점심시간에 관련 자료를 수집하고 퇴근하고 늦게까지 공부하고 매주 스터디 모임에서 함께 토론하면서 고생했던 모든 것들이 기술사를 합격하 지 못했다면 아무런 의미가 없었을 것이라고 생각합니다. 목표가 기술사 합격이었기 때 문입니다. 기술사를 터널에 비유합니다. 한 번 들어서면 앞으로만 나갈 수 있고, 뒤로는 나갈 수 없 는 터널로 비유하죠. 공부를 하신만큼 앞의 빛이 양이 다를 것입니다. 끝까지 열심히 하 고 페이스를 잃지 않으면 모두 합격한다고 합니다. 이 말을 틀림없습니다. 단, 중간에 페 이스를 잃고 방황을 하는 과정을 얼마나 줄일 수 있느냐가 합격까지의 기간을 줄여주는 중요한 키일 것입니다. 이이진 소 속 자산관리공사 페이스북 http://www.facebook.com/leeyijin 자격증 활동 정보관리기술사, 정보시스 템감리사, 정보시스템 수석 감리원, CISSP, CISA, PMP 등 지경부 IT멘토링 멘토 - 6 -
해킹, 악성코드 그리고 개인정보보호 1) 신원 (동명대학교, 정보보호학과 교수) 페이스북 : https://www.facebook.com/#!/sh1nwe0n 본 고에서는 사이버 침해 현황을 설명하고, 개인적인 차원에서 해킹과 악성코드에 대 해 어떻게 대응할 수 있을지에 대해 가볍게 살펴본다. 글을 진행하기 전에 먼저 사이버 침해 는 해킹, 악성코드, 서비스 거부 등을 수단으로 하여 정보통신망 및 정보시스템을 공격하는 행위로 정의한다. 해킹 & 악성코드 누구나 알고 있을 법한 해킹과 악성코드에 대한 자세한 정의는 다음과 같다. 해킹은 권한을 부여받지 않은 상태에서 임의의 컴퓨터 시스템에 불법적으로 접근하여 데이터를 빼내거나 파괴하는 행위 이고, 악성코드는 일반적으로 제작자가 의도적으로 사용자에게 피해를 주고자 만든 모든 악의의 목적을 가진 프로그램 및 수행 가능한 매크로, 스크립 트 등 실행 가능한 형태의 모든 유형 으로 정의한다. 즉, 해커가 컴퓨터 시스템을 공격하 기 위해서 수행하는 행위가 바로 해킹이고, 이를 위해서 다양한 악성코드를 활용한다고 생각하면 된다. 2011년 사이버 침해 사건 1) 본 고는 동명포럼에 기고한 글을 수정 보완하여 재작성된 것임을 밝힙니다. - 7 -
8 작년에는 연초부터 유난히 많은 사이버 침해 사건들이 터졌다. 사실을 말하자면 해마 다 많은 사이버 침해 사건들이 발생하지만, 작년만큼 전 국민의 뇌리에 박힐만한 굵직한 큰 사건들이 터진 해는 없었기 때문일 것이다. 전문가들의 의견을 모아 보면 대체로 터 질게 터졌다는 의견이다. 정부에서는 효율성 극대화를 이유로 정보통신부를 없앤 후 한 국정보보호진흥원을 한국인터넷진흥원으로 통폐합하고, 각 기업에서는 예산 절감을 이유 로 정보보호 예산과 인력을 가장 먼저 감축하는 상황에서 이러한 사건들이 연일 발생하 는 것은 어쩌면 당연하다는 입장이다. OECD Broadband Portal에 따르면, 우리나라는 OECD 국가 중 2011년 6월 현재 초고 속인터넷 보급률 4위, 무선인터넷 보급률 1위의 인터넷 강국이라 할 수 있으나, AKAMAI The State of the Internet에서는 2011년 4분기 공격 트래픽 발생 7위, IBM X-Force 2011 Trend and Risk Report에서는 피싱 사이트 근원지 7위와 같은 오명도 함께 갖고 있다. 이는 정보통신에 대한 인프라 구성은 세계 최상위권이지만, 정보보호에 대한 의식 수준은 아직도 하위권이라는 것을 잘 보여주는 사례이다. 최근 발생하고 있는 국내에서 발생하는 분산서비스 공격, 개인정보 유출, 악성코드 유포 등은 이러한 우리나 라의 약점을 가장 잘 이해하고, 이를 악용하는 악의적인 실행가인 해커들에 의해 자행되 고 있는 침해 사건으로 볼 수 있다. 따라서 정보보호 의식 수준이 정보통신 인프라에 걸 맞게 개선되지 않는 한, 올해보다 더 심각하고 치명적인 사이버 침해가 언제든지 발생할 가능성을 항상 내포하고 있다. 그리고 개인정보보호 사이버 침해가 치밀한 계획에 의한 북한 소행이다 아니다 하는 수많은 논란은 차치하 고서, 근래 발생한 사이버 침해를 관찰하여 사실을 이끌어 내면 다음과 같은 결론을 얻 을 수 있다. 1 해킹은 개인은 물론 정부기관이든 금융기관이든 언제 어디서나 일어난다. 다만, 그 사실이 공표되지 않을 수도 있다. 2 기업 및 공공기관 등도 얼마든지 해킹당할 수 있으므로, 어딘가에 저장되어 있을 나의 개인정보도 더 이상 안전하지 않다. 즉, 세상에 믿을 놈 하나도 없다. 3 따라서, 자신의 정보는 자기 스스로 지킬 수밖에 없다. 3단 논법에도 미치지 못하는 결론이지만, 이것은 엄연한 사실이다. 이제는 모든 개개인이 해킹과 악성코드를 통해 발생하는 사이버 침해에 대해 적극적으로 대응하는 수밖에 없는 시대에 살고 있다고 해도 과언이 아니다. - 8 -
2011년 사이버 침해 기관별 분류 2010년을 기점으로 컴퓨팅 환경도 PC(Personal Computer) 기반에서 스마트폰 중심으 로 급변하고 있다. 이제는 누구나 인터넷 뱅킹, 모바일 쇼핑, 실감형 게임을 즐기기 위해 각종 어플리케이션을 스마트폰에 설치하고 PC만큼 손쉽게 사용하고 있다. 이렇게 복잡해 져가는 컴퓨팅 환경의 변화에 따른 다양한 사이버 위협 속에서 어떠한 정보보호 인식을 가지고 어떻게 대응하는가 하는 것은 해당 개인 및 조직의 경쟁력과 직결된다 할 수 있 다. 이 글에서는 정보보호에 대한 인식을 제고하고 발상의 전환 측면에서 2+1가지만 강 조하고자 한다. 첫째, 정보보호=기술 이라는 고정관념을 바꾸어야 한다. 보통 정보보호라 하면 기술적 인 측면이 전부라고 생각하는데, 주로 문제는 여기서부터 발생한다. 백신 또는 보안 프로 그램 한두 개를 설치하는 것만으로 안심하고 있다가 해킹, 개인 정보 유출, 악성코드 감 염 등으로 심각한 피해를 당하는 것이다. 이제 정보호호의 개념도 단순한 네트워크 및 시스템 보호에서 정보보호 활동 중심으로 변화되고 있다. 아무리 뛰어난 보안 프로그램 과 최신 장비를 운용한다 해도 지속적인 정보보호 활동 없이는 언제 어디서든 사이버 침 해를 당할 수 있다. 특히, 최근에 발생하는 사이버 침해는 내부자의 실수나 공모에 의해 더 많이 발생한다는 통계 자료는 외부의 해킹 대응을 중심으로 한 기술 중심의 기존 방 식으로는 더 이상 막을 수 없다는 사실을 극명하게 보여준다. 둘째, 정보보호를 생활 속에서 실천 해야 한다. 침해 동향을 분석해보면 많은 기업들 이 피해를 당하기도 하지만, 최근에는 침해의 67.9%가 개인을 대상으로 하고 있다는 사 실은 충격적이다. 보안 장비를 구매하고 보안 정책을 수립하고 보안 전문 인력을 운용할 수 있는 기업이나 대학보다는, 보안에 대한 개념도 희박하고 대응 방법에 대해서도 한계 를 가질 수밖에 없는 일반 개인이 표적의 대상이 되고 있다. 이는 이 글을 읽는 개인 누 구나가 피해자가 될 수 있다는 사실을 의미한다. 적절한 대응을 위해서는 인터넷 상의 각종 정보보호 수칙 을 따르면 된다. 생활 속에서 정보보호를 실천하고자 한다면 개인에 게는 이것만으로도 충분하다. 부가적으로 정보보호에 대한 지속적인 관심이 필요하다. 스마트폰과 태블릿 PC(Tablet - 9 -
10 PC)가 기존의 PC 시장을 위협하고 있고, 하드웨어 기반의 IT기술이 콘텐츠 및 소프트웨 어로 중심축을 이동하고 있다. 다양한 기기들이 인터넷망에 직접 접속 기능을 탑재하고 있으며, 기존 PC 중심의 서비스들이 모바일 및 스마트폰 환경에 맞추어 다양한 형태로 변모하고 있다. 이러한 추세 속에서 사이버 침해 기술도 함께 진화하고 있다. 스마트폰 악성코드, 무선인터넷 망을 이용한 정보 유출, 트위터(Twitter)나 페이스북(Facebook)을 이용한 피싱(Phishing) 등은 이전에는 생각하지도 못한 위협이었으며 더욱더 지능화되고, 향후에는 보다 새로운 위협이 등장하리라 확신한다. 이제 정보보호는 지속적인 관심 대 상이 될 수밖에 없고, 적자생존의 정보지식사회에서는 반드시 도입 및 운영해야 하는 생 존의 한 방편이 될 수밖에 없다고 감히 주장해 본다. 단, 이 글을 읽는 독자 중 PC를 사용하지 않거나 인터넷에 접속한 적도 없고 스마트폰 에 대한 관심도 없으며 단 하나의 정보라도 취급하지 않는 개인이나 조직이 있다면, 정 보보호 따윈 전혀 신경쓰지 않아도 좋다. 정보보호를 위한 각종 사용자 수칙들 - 10 -
1996~2011년 취약점 건수 2006~2011년 모바일 운영체제 취약점 수 신원교수 소 속 동명대학교 정보보호학과 페이스북 https://www.facebook.com/#!/sh1nwe0n 자격증 활동 - 11 -
12 Security, Privacy, and Policy Roundup 권오훈 (보안인닷컴 1기 기자단) 페이스북 https://www.facebook.com/#!/hunny0401 Security, Privacy, and Policy Roundup - IEEE Security&Privacy (2012 March/Aril) 1. Electricity Grid 국가 안보 기관에 한 관계자인 Keith Alexander는 " 악의적인 해킹그룹은 2년 이내에 국가 전기발전소(Nation s electricity grid)에 대한 운전을 중지시킬 수 있다" 고 말하였 다. Alexander는 익명 해킹 그룹에 꾸준한 증가를 우려하고 있으며 이 부분에 대해 경고 하고 있다. 비록 해킹에 의한 정전이 되지 않더라도 관련자들은 그리드망에 대해 좀 더 위험한 공격을 당하고 있다고 말한다. 발전소에 관련된 관계자들은 발전기 시스템이 평 상시에도 공격을 당하고 있으며 거기에 반하여 방어 메커니즘 및 백업 시스템에 대한 비 용을 투자해야한다고 한다. - 12 -
2. Sony Music 작년 몇몇의 보안 위반사항을 어긴 Sony는 다시 한번 보안 사고를 알렸는데 그 내용 인 즉슨 해커들이 약 50,000건 이상의 음악트랙을 훔쳤다고 한다. 그 안에는 아직 미발 매된 Michael Jackson의 카탈로그도 있다고 한다. Sony 뮤직은 Michael Jackson의 미발 매된 앨범자산을 구매하기위해 2억5천만 달러를 지불하였고 그의 노래에 대한 저작권은 2010년부터 7년 계약이었다고 한다. Sony에서는 최근에 이러한 문제가 SNS(Social Networking Service)를 경유하여 발생한다고 말하고 있다. 3. Apple Apple은 이번 여름에 OS X Mountain Lion이 발매될 때 새로운 Gatekeeper을 소개 시 킬 것이다. 이 OS는 정당한 사용자들이 Apple Store에 접근할 수 있거나 또는 개발자들 에 의해 등록된 디지털 사인이 된 사람들에 한해서 접근할 수 있도록 허락할 것이다. 또 한 Apple은 각각 디지털 인증서를 명시된 개발자들에게 링크할 것이다. 만약에 악의적인 개발자들이 악성 어플리케이션을 발매한다면, Apple은 그 사람이 누구인지 알 수 있을 것이며 그 사람에 대한 인증서는 폐기될 것이다. Apple에 의하면, Gatekeeper은 Trojan horses가 다운로드가 되어 설치가 될 때 자동적으로 실행하여 악성코드를 차단하여 버린 다. 4. Google 구글의 안드로이드 OS가 실행하는 동안에 이 OS가 깔린 디바이스를 향한 악성코드 공 격의 수가 늘어난다고 한다. Gartner Inc. 리서치 회사에 의하면 안드로이드 OS는 글로 벌 마켓에서 약 52.5%의 인기있는 스마트폰 OS이지만 모바일 보안회사인 Lookout는 안 드로이드 유저들의 약 4%는 2011년 동안 악성코드를 접했으며, 이 수치는 2010년보다 1% 상승되었다고 한다. 관련 리서치들은 최근 몇몇 동안 정교한 타입의 안드로이드 악 성코드가 발견되었다고 한다. 예를 들어 Opfake라는 가짜 브라우저 어플리이케이션이 있 다. 이 가짜 브라우저는 전화를 하지 않았음에도 불구하고 사용자들의 전화비용이 자동 적으로 쌓여 청구된다. 이에 대응하여 구글에서는 Bouncer 어플리케이션이라는 툴을 만 들었는데 이것은 미리 차단 할 수 있는 툴이다. 서버에 기초를 두어 그 프로그램이 악의 적인 행동을 하는지 안하는지 체크할 수 있다. 5. Bug Bounty(포상금제도) 구글은 크롬OS에 성과 리스트를 추가시켰다. 이 성과 리스트는 보안적인 문제를 찾는 사람에게 보상금을 지급하는 제도이며 2010년 11월 이래로 구글은 41만달러(한화 4억) 가량의 금액을 웹 어플리케이션, 서비스 그리고 오픈소스 브라우저에 문제점 및 취약점 을 찾아낸 약 200명의 리서치에게 지불하였다. 구글은 "이러한 포상제도는 상품을 좀더 안전하게 만들고 모든 취약점을 스스로 찾는데 필요할 것" 이라고 말하였다. - 13 -
14 6. 프라이버시 Netflix는 최근에 사용자 프라이버시와 관련된 소송에서 피해자와 합의하는데 약 9백만 달러를 지불했다. 여기에 관련된 문서에 따르자면 VPPA를 포함한 합의였는데 VPPA란 "Video Protection Privacy Act" 이며 비디오 대여 서비스업체가 개인이 빌려본 타이틀 에 관련된 정보를 공유하지 못하도록 금지하는 법안이었다. 이 기사에 관련한 언론에서 는 2명의 버지니아 주민이 Netflix를 고소하였으며, 그들은 Netflix사가 구독료를 취소한 후에도 2년동안 자신들의 대여 기록을 가지고 있다고 주장하였다. 7. 악성코드 해커는 다양한 Worm, 램니트(Ramnit), 페이스북 로긴정보 갈취, 희생자의 컴퓨터에 악 의적인 코드 전송, 그리고 회사 네트워크에 관련한 접근제어 정보를 모은다. 미국 시큐러 트(Seculert) 보안회사에서는 과거 해커들은 금융기관들의 온라인 시큐리티망을 우회하 기 위하여 램니트(Ramnit : 제우스 악성코드의 일종)를 사용하고, 이러한 악성코드는 온 라인 뱅킹 거래를 손상시키고, 회사 네트워크망의 업무를 방해시킨다고 설명하였다. 최근 에 시큐러트에서는 sinkhole(구멍)을 설치한 후에 전환교통(diverted traffic : 기 종점 및 교통 수단을 바꾸지 않고 경로를 변경한 교통을 말함. 예를 들면, 새로운 우회도로가 생겼기 때문에 재래의 간선 도로로부터 옮겨간 교통량을 전환 교통량이라함 - 네이버 백과)을 시험한 후, Ramnit 악성코드가 80만개의 기계들을 감염시킨것을 2011년 9월에 서 12월사이에서 찾았다. 그리고 최초로 프랑스, 영국에서 이 램니트 웜이 4만5천개의 페이스북 로긴 정보를 갈취한 것 또한 발견하였다. 시큐러트는 페이스북과 기타 온라인 SNS 서비스의 비밀번호를 바꾸도록 권고하였다. 기사원문 http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=6172995 권오훈 소 속 보안인닷컴 1기 기자단 페이스북 https://www.facebook.com/#!/hunny0401 자격증 활동 - 14 -
[공익 정보보호 캠페인 -1] 관리하지 못하는 개인정보는 수집하지 않는 것이 최선입니다. - 15 -
16 [인터뷰] 보안기사가 현실을 바꿀 때 보람되었어요 장윤정 (전자신문 기자) 보안에 관심 있는 보안인이라면 당연히 보안관련 언론 뉴스를 많이 접하게 됩니다. 때로 는 발빠르게 취재하여 최신 스트레이트성 기사나 혹은 기획기사등을 통하여 밀도있게 취 재후에 정보를 제공합니다. 늘 취재와 인터뷰만 하는 기자를 거꾸로 보안인닷컴에서 전자신문에서 활발한 활동을 하 고 있는 장윤정 기자님을 원격 인터뷰 해 보았습니다. 소탈한 성격에 보안기사쓰는 것보 다 더 어렵다고 여겨진 많은 질문에 기꺼이 인터뷰에 응해 주셔서 감사합니다. 전자신문 장윤정기자님 기사 많이 구독해 주세요 가수 장윤정과 이름이 동일하기에 바로 기억하겠 지요. 안녕하세요. 장윤정기자님. 우선 간단한 자기소개 부탁드립니다. 안녕하세요 전자신문 장윤정 기자입니다. 전자신문에서 근무하신지는 오래되셨나요? 주로 어떤일을 하시는지요? 전자신문에서는 지난 2008년부터 일했습니다. IT기자생활은 1999년부터구요 지금은 없어졌지만 작은 산업주간지에서 시작해서 NETWORK TIMES에 2000년부터 2008년까지 근무했습니다 네트워크와 보안분야를 주로 취재했습니다 성차별을 두려는 것은 아니고요. 보통 보안은 남성들이 많이 하는데 여성분으로 보안 에 대한 취재를 하려면 힘드신 부분은 없나요? 보안엔지니어분들은 남자분들이 많으시지만 보안담당 기자는 이상하게 여자들이 많답 니다. 보안업체 홍보분들도 여자분들이 많으셔서 기자로서 초기 진입은 어렵지 않았 습니다. 다만 여자라서 어려운 것이 아니라 보안 기술과 관련 내용이 어려워서 익숙 해지기 까지 힘들었습니다. 제가 알고 있기로는 상당히 소탈한 성격에 보안관련 취재원이 많은 것으로 알고 있는 데 기사취재는 어떻게 하시는지요? 보통 보안에 대한 긴급 기사의 소스를 어떻게 구 하시는지도 궁금하네요. - 16 -
사실 매일매일 기사를 쓰는 것이 쉽지는 않습니다. 뉴스라는 게 평범한 내용이 뉴스 가 될 수 없으니 남들이 모르는 사실을 캐내어 보도해야하고 남들이 생각하지 못하는 걸 묶어서 뉴스로 만들어야하니까요. 누구를 만나든지 뉴스취재를 한다는 기분으로 작은 것도 놓치지 않고 기사화하려고 노력하는 편입니다. 제가 처음 기자 생활을 시작할 때 기사란 어떻게 쓰는 것이 중요한게 아니라 무엇을 쓰느냐가 중요하다 고 배웠습니다. 취재소재가 그만큼 중요하다는 뜻입니다. 그래서 취재원들을 가장 중요한 분으로 생각합니다. 누구를 만나든 친해지기 위해 노력하고 부담없이 어떤 이야기를 나눠도 괜찮을 사람으로 인식시키고자 노력합니다. 모든 일 이 그렇지만 취재는 더더구나 신뢰를 주지 않고는 원활하게 진행되기 어렵기 때문에 신뢰할 수 있는 인간관계, 부담없는 기자로 인식시켜 좋은 이야기들을 끌어내려고 노 력하고 있습니다. 보안관련 기사 취급하는 기자분으로는 제가 알고있는 바에 따르면 보안관련 자격증 CISA 자격증을 가지고 있는 것으로 알고 있는데 기사 작성시에 많이 도움이 되는지 요? 네 사실 CISA는 우연히 취득하게됐습니다. 지인이 CISA 전문학원을 개설하시며 와서 수강생 머리수를 채워달라고 부탁하셔서 공부하게 됐는데요 공부하다보니 그간 제가 산발적으로 알고있던 IT관련 지식들을 체계적으로 정리할 수 있는 기회가 되어 재미 있게 공부했습니다. 6개월 정도 학원을 다니다가 학원생들이 시험을 치는 김에 저도 같이 응시했는데 운좋게 합격을 했습니다. 그리고 정말 보안과 인연이 있는 것인지 네트워크 분야를 취재하다가 보안으로 담당 영역이 바뀌었습니다. 보안분야에서 CISA 가 있다고 하니 일단 초보가 아니라 보안에 대해 어느정도 아는 사람으로 취급해주셔 서 본의아니게 보안 전문가가 됐습니다 ^^ 보안전문가로 취재를 하니 취재도 훨씬 잘 풀렸고 취재원들과 공감대도 형성돼 큰 도 움이 됩니다. 전자신문으로 옮긴 후 CISA 자격증 덕분에 보안분야를 맡게 됐고 지금 까지 보안취재를 해오고 있습니다. 보안은 아마 제 운명이었던 것 같습니다 최근 트위터를 개설하여 사용하시는데 트위터를 하게 된 계기가 있는지, 그리고 트위 터가 어떠한 도움을 주는지 궁금하네요. 사실 트위터는 팀별로 트윗을 개설해서 팀 기사를 트윗으로 보내라는 회사의 지시 때 문에 시작하게됐는데 하다보니 즐거워서 팀 트윗과 별도로 개인 트윗을 하게 됐습니 다. 최근엔 페이스북에 더 열중하느라 트위터에 잠시 소흘했어요. SNS가 내가 모르는 여러 대중들과 쉽게 소통의 길을 가질 수 있어 매력적인 것 같습 니다. 또한 트위터를 통해 보안관련 소식을 접할 수 있어 취재에도 큰 도움이 됩니다. 최신 악성코드 정보다 해킹정보 등을 트위터를 통해서 접하게 되는경우가 많아 SNS - 17 -
18 가 취재원으로 큰 몫을 하고 있습니다 보안관련 기사도 전문콘텐츠라 생각하는데 연예부기자나 문화부기자가 작성하는 것에 대한 의견은 어떠하신지요? 네 물론 보안에 대한 지식이 있는 사람이 보안기사를 작성하면 좋겠지만 연예부 기자 나 문화부 기자가 작성하는 보안 기사에도 배울 점이 많아 주의깊게 보곤합니다. 일 반 대중들이 보는 눈높이에서 보안을 다뤄 아 이런 면도 있었구나. 아 저런것도 기사 가 되는구나 하고 생각하게 되거든요. 예를 들어 개인정보보호나 피싱 사고 같은 관련 내용에서 문화부 기자들은 일반 사용자가 개인정보보호를 접할 때 필요한 부분을 짚 어주곤 하는데 우리는 기술적인 내용에 치중하는 경우가 있거든요. 그러나 소위 펙트 에 어긋나는 기사는 주의해야겠지요. 보안사고가 많이 발생하며 소위 낚시성 기사 도 종종 눈에 띄곤해 안타깝습니다. 펙트를 빼놓고 흥미위주로 보안을 다룬다면 위험을 조장하고 공연히 보안에 대한 불신을 심어줄 수 있을 것 같아 사실에 입각한 기사를 쓰는 것이 가장 중요하다고 생각합니다. 가끔 보안전문기자분들 보면 보안에 관련된 깊이 있는 기술적인 내용은 잘 모르더라 도 그에 관련된 기사를 많이 작성하다보면 어느덧 보안에 많은 눈을 띄게 될것 같은 데 어떠신가요? 저도 보안전문가는 아니지만 보안에 관심을 가지면서 CISA도 취득했고 보안에 대해 더 많이 공부하고 싶은 욕심이 생깁니다. 관련 자격증도 연내 몇 개 더 취득하고 정 보보호 대학원에 진학해 보다 깊이있게 공부해보고 싶습니다. 간혹 급하게 기사를 작성하다보면 사실에 어긋나는 내용으로 오보를 할때도 있습니 다. 전자신문을 사랑해주시는 독자분들을 위해서라도 열심히 공부해서 도움이 되는 기사를 작성해야하겠지요. 보안에 관해서라면 취재원분들에 미치지는 못하더라도 원 활한 취재를 위해 기본 지식 이상 전문지식을 갖춰야겠다고 생각하곤 합니다. 보안관련 기사를 취급하면서 평소에 가지고 있던 보안에 대한 기자님의 평소생각은 무엇인지요? 솔직히 보안이 주목받기 시작한 게 7.7 DDoS 대란 이후부터인 것 같습니다. 그전에 는 보험과 같은 것이라 해도 그만 안해도 그만이라서 어느 매체에서나 보안을 그리 비중있게 다루지 않았습니다. 기존에 몸담았던 매체에서도 보안을 크게 다룬다기보다 네트워크의 연장선상에서 보안도 한번 해보라는 식으로 제게 맡겠었는데 우연히 개인 적으로 따놓았던 CISA와 연결되어 보안 분야에서 저도 주목을 받았고, 이후 7.7 DDoS 대란이나 네이트온, 넥슨 등의 대형 해킹사고가 발생하며 보안이 세간의 화제 가 됐습니다. 덩달아 CISA를 가진 저도 보안 기술을 갖춘 준비된 기자(?) 식으로 회 사의 대안이 됐구요. 보안이 사고가 터지기 전에 미리 준비해야하는 분야이듯이 저도 우연이었지만 보안을 - 18 -
공부해뒀기에 필요할 때 역량을 발휘할 수 있었습니다. 이처럼 보안은 늘 평시에 미 리 대비해두어야하는 분야라고 생각합니다 전자신문에 보안기사가 타 언론매체와 차별성은 무엇인가요? 전자신문은 IT전문지입니다. 일반 종합, 경제지와 다르게 IT분야에 대한 기사를 심 도깊게 다루고 있으며 그중에서도 보안에 대해 특별한 시각을 갖고 있습니다. 타 매 체보다 발빠르게 전자신문 홈페이지내에 2009년 보안닷컴 을 개설, 보안에 대한 뉴 스만을 따로 다루고 있습니다. 또 매주 수요일은 보안기사만을 게재하는 정보보호면 을 따로 발행합니다. 저희 구원모 사장님이 늘 말씀하시는 방향은 7. 7 DDoS와 같은 사고가 난다면 1면 부터 32면까지 디도스 특집으로 구성하라는 것입니다. 독자가 보고 싶어하는 뉴스를 써라, 사회의 이슈가 되는 IT관련 뉴스라면 누구보다 발빠르게 대응하라는 것입니다. 실제 지난해 농협 전산망사고나 SK커뮤니케이션즈 네이트 해킹 사고같은 경우 사고 이후 바로 4면 특집, 2면 특집 등 관련 사고내용만을 여러 시각에서 조명하는 특집 면을 배정해 깊이있는 기사를 다뤘습니다. 이런 전문성이야말로 전자신문이 타 매체 와 차별화되는 면이라고 생각합니다 기자로서, 특히 보안관련 내용을 취급하는 기자로서 가장 애로사항은 무엇인가요? 어느 분야나 그렇겠지만 보안 취약성에 대해 지적하는 기사를 쓴 후 항의를 받을 때 가 곤란합니다. 그 기사로 인해 취약성이 개선되어 더 훌륭한 시스템을 갖출 수 있게 되는 긍정적인 측면도 있겠지만 피해를 보는 담당자도 있으니까요. 폭로성 기사에 대한 뒷수습과 원망이 힘들때도 있지만 현실의 문제점을 개선하기 위 해서는 어쩔수 없는 일이라고 생각합니다. 선배들은 항의를 많이 받는 기자가 진짜 기자라고도 하시는데요, 앞으로도 항의 많이 받을 수 있는 기사를 쓰겠습니다 스스로 기자라는 자긍심과 자부심을 느낄때는 언제인가요? 제가 쓴 기사로 인해 실제 개선이 되었을 때입니다. 앞서 언급한 것처럼 보안 취약성 을 지적하는 기사를 쓴 후 시스템이 보완된다든지, 정책에 대한 문제점을 지적한 후 시정된다든지 기사가 현실을 바꿀 수 있을 때 가장 보람을 느낍니다. 향후 종이신문이 점차 줄어들고 종이신문에 대한 두께도 줄어드는 것으로 보아 대부 분 종이신문 언론매체가 어렵다고 합니다. 종이신문과 온라인 매체에 대한 기자님에 대한 생각은 어떠신가요? 종이신문의 어려움을 거스를 수 없는 대세라고 생각합니다. 온라인과 종이신문의 장점을 적절히 결합해서 독자들에게 보다 보기 편한 신문을 만 들고 싶습니다 - 19 -
20 보안관련 기사를 취급하는 기자로서 대한민국 보안발전을 위하여 가장 시급한 문제는 무엇이라 생각을 하는지요? 앞서 잠깐 언급했듯이 사고가 나면 화르륵 달려들었다가 사고 소식이 잠잠해지면 보 안을 하지않는 보험적인 성격이 문제입니다. 미리 대비해두어야하는 부분임에도 사고 가 나면 담당자가 문책당하고 정작 시스템에 대한 투자는 미뤄진채 그 사건만 덮고 넘어가는 관행이 개선되어야합니다. 미리 대비할 수 있도록 보안담당자를 채용하고 시스템을 정비하는 마인드 변화가 중요할 것입니다. 특히 보안담당자에 대한 처우개 선과 지속적인 기술교육 등 투자가 선행되야합니다 보안인닷컴 커뮤니티의 경우 보안 + SNS를 접목하여 보안에 대한 인식제고를 함께 하고 있는데 향후 SNS에 보안에 대한 기자님의 생각은? 앞서 트위터 이용에 대해 말씀드렸듯이 보안사고 소식을 가장 먼저 접할 수 있고 전 파할 수 있는 수단이 SNS라고 봅니다. 보안인분들이 보안취약성 개선을 위해 SNS를 적절히 활용하신다면 업무에 큰 도움이 될 거라고 생각합니다 가끔 기자분들 기사 댓글에 특히 보안관련 기사에 소설쓴다는 표현들을 하는경우도 있는데 그때 심정은? 그런 말 듣지 않도록 사실에 입각해서 더욱 열심히 취재를 해야겠지요. 농담반 진담 반으로 어릴적 꿈인 소설가의 꿈을 이뤘다고 농담도 합니다. 일어나지 않을 위험에 대해 소설을 쓴다고요... 물론 농담입니다만 보안이 취약성을 경고하는 경우도 많으니 소설쓴다는 말을 들을 때도 있지만 미리 대비하는 측면에서 그런 기사도 관심있게 봐 주시면 좋겠습니다 지금까지 수많은 취재를 하면서 취재원을 만났을 텐데 가장 기억에 남는 취재원 1-2 명만 소개를 해 준다면? 가장 기억에 남는 취재원이라기보다... 취재원으로서 가장 좋은 분들은 가감없이 말씀 해주시는 분들입니다. 보안이 민감한 분야다보니 말을 아끼시는 분들이 많은데요, 취 재하면서 질문 이상 이야기해주지 않으시는 분들이 가장 대하기 어렵습니다 믿고 편하게 말씀해주시는 분들이 가장 고맙습니다 전자신문 구독자와 보안닷컴 구독자들을 위하여 한 말씀 해 주신다면? 앞으로도 전자신문과 보안닷컴 많이 사랑해주세요. 도움이 되는 기사작성을 위해 노 력하겠습니다 ^^ 마지막으로 보안커뮤니티 보안인닷컴 회원들에게도 한 말씀 부탁드립니다. 사실 보안분야가 눈에 띄지도 않고, 잘해도 그만 못하면 욕은 한바가지인 분야에서 - 20 -
늘 음지에서 고생해주시는 분들게 감사하고 죄송합니다. 어찌보면 보안기자도 마찬가지인데요, 통신, 게임, 가전 분야와 같이 늘 새로운 소식 이 쏟아지고 재미있는 기사거리가 많아서 읽기 즐거운 분야가 아니라서.. 보안기자도 그렇습니다. 평소에는 있는 듯 없는 듯 하지만 보안이 뚫렸을 경우 회사가 입을 피 해는 이미 우리가 경험했듯이 상상을 초월합니다. 조직의 가장 큰 버팀목이 되어주고 있으신 보안인 여러분께 감사합니다. 앞으로도 힘내주세요. 저도 열심히 하겠습니다 ^^ 장윤정 기자 소 속 전자신문 페이스북 https://www.facebook.com/#!/profile.php?id=100003218112663 자격증 활동 - 21 -
22 12.04월 보안인닷컴 주요 보안자료 성공적인 빅데이터 활용을 위한 3대 요소: 자원,기술,인력 http://cafe.naver.com/nsis/62986 국가기관망 분리 구축가이드 http://cafe.naver.com/nsis/62983 행정기관 클라우드 사무환경 도입 가이드라인 http://cafe.naver.com/nsis/62983 개인정보영향평가 방법론 http://cafe.naver.com/nsis/62909 AES 암호화기법에 관련된 플래시파일 http://cafe.naver.com/nsis/62806 지식정보보안분야 인력현황 및 중장기 인력수급전망 분석 http://cafe.naver.com/nsis/62723 개인정보 위험도분석 기준 및 해설서 http://cafe.naver.com/nsis/62548-22 -
12.04월 보안이슈사항 및 교육세미나 방통위, 사이버 공격 시나리오 공모전 개최 http://www.kisa.or.kr/notice/pressview.jsp?cpage=1&mode=view&p_no=8&b_no= 8&d_No=797&ST=&SV= 2012년 정보보호관리체계(ISMS) 인증 구축 및 운영 실무자 교육 안내(1차) http://www.kisa.or.kr/notice/noticeview.jsp?mode=view&p_no=4&b_no=14&d_no= 174 경찰 개인위치추적 가능케 한 위치정보보호법 국회 통과 http://www.boannews.com/media/view.asp?idx=31120&kind=0 KISA, 앱 개인 위치정보 보호 모니터링 시스템 구축 http://www.boan.com/news/articleview.html?idxno=6598 2011년 모바일 보안 취약점 315건 전년대비 93% 증가 http://www.mt.co.kr/view/mtview.php?type=1&no=2012050211262083061&outlink =1-23 -
24 보안인닷컴 e-매거진 원고 모집 보안인닷컴에서 매월 무료로 발행하는 e-매거진 [보안 人 ]에서는 보안에 관심 있는 여러분 의 소중한 글을 받고 있습니다. 소중한 글을 보내주실 분들은 magazine@boanin.com 으로 보내주시면 검토 후 실어 드리겠습니다. 보안은 실천이고 문화입니다. 스스로 알고 있는 지식이나 노하우를 널리 알릴 수 있는 문화 가 필요합니다. 보안에 관심 있는 분들의 많은 참여를 기다리겠습니다. 보내 주실 원고 소재는 다음과 같습니다. - 최근 보안이슈 및 동향 기술적 분석 - 우리 회사 보안 실천 사례 - 나의 보안전문가 도전기 - 내가 공부한 보안 이론 - 보안 솔루션 소개 - 보안관련 책 소개 및 후기 - 악성코드 및 바이러스 분석 - 해외 보안소식 - 보안 세미나 및 컨퍼런스 참석 후기 - 기타 보안전문가 인터뷰 이외에도 보안에 관련된 여러 아이디어 및 관련 글 보여 주셔도 됩니다. 원고 마감기간은 매월 20일까지입니다. 매월 초에 무료로 배포되는 보안인닷컴 e-매거진 [보안 人 ]이 잘 성장할 수 있도록 보안인닷컴 회원분들과 관심 있는 기업의 참여를 기다리겠습니다. magazine@boanin.com - 24 -
보안인 e-매거진 후원안내 매월 무료로 발행되는 보안인닷컴 e-매거진 [보안 人 ]을 적극적으로 후원해 주실 분들을 찾 습니다. boanin@naver.com 으로 연락 주시기 바랍니다. - 25 -