Monthly 사이버시큐리티 2006 년 7 월호
CONTENTS 20067 NO.30 특별기고 1 유비쿼터스시큐리티포럼 (Ubiquitous Security Forum, USF) 발족 2 월간사이버위협동향및대응활동 11 1. 월간공격시도탐지현황 12 2. 월간공공분야사이버침해사고현황 16 3. 국내 외주요취약점발표 20 4. 사고사례 29 대학교웹서버, 웹프록시를이용한해킹경유지악용사고 심층분석 37 주민번호보호와디지털 ID 관리기술 38
특별기고 유비쿼터스시큐리티포럼 (Ubiquitous Security Forum, USF) 발족
특 / 별 / 기 / 고 유비쿼터스시큐리티포럼 (Ubiquitous Security Forum, USF) 발족 국가보안기술연구소 염용진팀장 유비쿼터스시큐리티포럼 (Ubiquitous Security Forum, USF) 은 U-Government, U-City 등의유비쿼터스네트워크구축으로증가되는유비쿼터스인프라위협에대응하기위한것으로서, 신개념의정보보호기술교류및정책제안등을위한범국가적협력증진체계구축을목적으로 2006년 6월 8일발족되었다. 정보보안의주도적역할을담당하고있는국가정보원과국가보안기술연구소를주축으로준비위원회를구성하였으며정보통신부 국방부 통일부 소방방재청 경찰청등정부기관과한국전자통신연구원 (ETRI), 한국정보보호진흥원 (KISA), 한국전산원 (NCA) 등연구소, 고려대 서울대 아주대등학계, KT 삼성전자 포스데이터등의관련전문가 120여명이참석한가운데유비쿼터스시큐리티포럼창립총회가 6월 8일코엑스인터컨티넨탈호텔에서개최되었다. 이날국가정보원보안국장은축사를통하여 포럼구성원모두정보보안의파수꾼이라는소명의식을갖고포럼발전을위해적극협조, 참여해줄것 을부탁하면서신개념의위협에대처하기위한관계기관간협력강화를강조하였으며정보통신부정보보호기획단장 ( 서병조 ) 도 U-Secure Korea의조기실현에는정보보호의역할이매우중요하며, 이를위한협력체계구축을목적으로하는유비쿼터스시큐리티포럼에지 2 Monthly 사이버시큐리티
유비쿼터스시큐리티포럼 (Ubiquitous Security Forum, USF) 발족 원을아끼지않겠다 고약속했다. 또한, 국가보안기술연구소장 ( 박춘식 ) 은인사말을통해 유비쿼터스네트워크사회에는의도되지않은정보의누출과악용, 사생활침해등의잠재적위험성이필연적으로따르게된다 면서 유비쿼터스시큐리티포럼을통해서유비쿼터스시대를대비하는보안업무, 보안정책및새로운보안기술이개발되고정보공유가활발히이루어지기를부탁 하였다. 유비쿼터스시큐리티포럼은보급확대, 시범사업및상용서비스실시등으로시급한대응이필요한전자태그 (RFID, Radio Frequency Identification Tag), 휴대인터넷 (WiBro, Wireless Broadband Internet), 주파수공용통신 (TRS, Trunked Radio System) 에대한보안대책을최우선적인주제로선정하였으며, 향후유비쿼터스네트워크의주요구성요소가될유비쿼터스센서네트워크 (USN, Ubiquitous Sensor Network) 와광대역통합망 (BcN, Broadband Convergence Network) 등으로그관심분야를확대해나갈예정이다. 포럼구성은사무국및 RFID, WiBro, TRS의 3개분과로구성되며향후 USN, BcN 분과가추가될예정이다. 유비쿼터스시큐리티포럼 사무국 (NSRI) RFID 분과 WiBro 분과 TRS 분과 USN 분과 BcN 분과 [ 그림 1] 포럼조직도 www.ncsc.go.kr 3
특별기고 초대의장으로는임종인한국정보보호학회부회장 ( 고려대학교정보보호대학원장 ) 이추대되었으며사무국은국가보안기술연구소가담당하기로하였다. RFID 분과는위원장인고려대이동훈교수를비롯한 15인, WiBro 분과는한국전자통신연구원윤철식팀장을비롯한 12인, TRS 분과는국가보안기술연구소안정철팀장을비롯한 16인의민 관 학 연 산담당자로구성되어출범하였다. 초대의장으로추대된임종인고려대교수는수락연설을통해 유비쿼터스시큐리티포럼은 RFID, WiBro 등국가전반에적용, 확산될신규첨단서비스에대한국가적차원의정보보안수요체계를수립하기위한씽크탱크역할을수행할것 이라고밝히고 이때문에정부관계기관과기업, 민간전문가가함께참여해결성됐다 고설명했다. 본포럼의주요활동계획은다음과같다. 유비쿼터스시큐리티포럼의주요활동계획 1. 유비쿼터스환경의도입실태분석 2. 관련정책및제도개선사항발의 3. 보안위협요소파악및대응기술발굴 4. U-Government, U-City 등의위협해소를위한협력방안제안 이날행사는초청강연과 RFID, WiBro, TRS 특강으로구성된기술세션에이은창립총회로진행되었으며, 고려대정창덕교수는 유비쿼터스시큐리티의현재와미래 라는주제의초청강연에서 U-City, U-Life 등유비쿼터스시대에는공개적이고투명한시민참여가중심이되며, 이에걸맞는보안솔루션및정책, 제도, 법안이조속히마련되어야한다 면서미래사회에서의정보보호중요성을피력하였다. 특히, 유비 4 Monthly 사이버시큐리티
유비쿼터스시큐리티포럼 (Ubiquitous Security Forum, USF) 발족 쿼터스시큐리티는시큐리티와프라이버시의결합으로볼수있으며, 이는 DB 해킹, 개인정보의불법적사용을막는것이주요관심사가될것이다 라고지적하면서미국, 일본, 유럽등의사례를들어유비쿼터스시큐리티를구성하는 RFID, WiBro, TRS, USN, BcN 분야 에대한산 학 연 관협력체제구축, 정책지원, 법 제도제정, 통합센터설립등을과제로제시하였다. [ 그림 2] 고려대정창덕교수의초청강연 RFID 분과위원장인고려대이동훈교수는 RFID 보안과프라이버시 라는주제의기술특강을통하여국내 RFID 분야의 SWOT(Strong, Weakness, Opportunity, Threat) 분석결과를제시하며 우리는인프라확보및인력보유면에서강점을가지고있고 RFID 태그의다양한응용가능성은기회인데반하여, 선진국대비국내기술의미흡함과짧은준비기간이단점이며선진국주도의표준화와투자의불확실성이위기다 라고지적하였다. 또한, 서울시승용차요일제를위한 RFID 시스템, 물류 RFID 시스템, RFID를이용한군탄약관리등 RFID 보급이확대됨에따라이에따른프라이버시침 www.ncsc.go.kr 5
특별기고 해사례및정보보호기술개발현황을소개하며향후 RFID 분과의활동방향을다음과같이제안하였다. RFID 분과의주요활동계획 1. 정부및공공기관의 RFID 도입실태파악 2. 도입 RFID 시스템의정보보호문제점분석 3. RFID 안전성확보방안제시 4. RFID 정보보호기술개발활성화방안마련 [ 그림 3] 고려대이동훈교수의 RFID 특강 6 Monthly 사이버시큐리티
유비쿼터스시큐리티포럼 (Ubiquitous Security Forum, USF) 발족 WiBro 분과위원장인한국전자통신연구원윤철식팀장은 Security of WiBro 라는제목으로, 이동하면서도초고속인터넷을이용할수있는무선휴대인터넷인 WiBro의안전성기능에관해설명했다. 그리고 WiBro는이동환경에서데이터통신의활성화를가져올전망이며, 복제휴대폰을통한불법서비스접속과도청의위협을줄일수있을것으로기대된다 고덧붙였다. 반면, 휴대인터넷망에대한적절한서비스를창출해야하는문제를안고있는데, 이는기존의이동통신서비스또는 WLAN( 무선랜 ) 서비스와연동없이독자적인망을구축하는경우, 막대한투자비용으로이어져경제적문제가발생될것 이라는우려가있다고언급했다. 따라서, 기존의망간연동을고려, 여러가지발생될수있는기술적인문제점을해결하고사용을활성화하기위하여다음과같은 WiBro 분과의활동방향을제안하였다. WiBro 분과의주요활동계획 1. WiBro 활성화방안도출 2. 기존망과의연동방안및이에따른정보보호기술연구 3. 이동환경특성에최적화된보안서비스발굴 www.ncsc.go.kr 7
특별기고 [ 그림 4] ETRI 윤철식팀장의 WiBro 특강 TRS 분과위원장인국가보안기술연구소안정철팀장은 디지털 TRS 시큐리티 : TETRA 라는제목의기술특강을통하여 디지털음성과데이터의통합솔루션을제공하고극대화된효율성과안전성을제공하는 TETRA는세계공인개방형표준으로현재 27개국 100여단체가가입되어있다 면서 국내에도방재센터, 신분조회 DB 서비스, 재해 재난위치확인및중계서비스등의통합지휘무선통신망적용시범사업이시작되고있어안전성확보대책마련이시급하다 고강조하였다. 이와더불어, TETRA 네트워크의다양한유형및요구되는보안서비스를자세히소개하고이를위한 TRS 분과의활동방향을다음과같이제안하였다. 8 Monthly 사이버시큐리티
유비쿼터스시큐리티포럼 (Ubiquitous Security Forum, USF) 발족 TRS 분과의주요활동계획 1. TRS 통합무선통신망의효율적인활용방안도출 2. TRS 통합무선통신망의발전방향제시 3. TRS 통합무선통신망의안전성확보방안제시 또한, 세부추진과제의주제로 사용자그룹워크숍을통한운용기술연구, 국내표준화를위한사용자요구사항도출, 통합지휘무선통신망보안기술연구 등을검토할예정이라고설명했다. [ 그림 5] 국보연안정철팀장의 TRS 특강 www.ncsc.go.kr 9
특별기고 이번회의는민 관 학 연 산담당자들이시급한대책마련이요구되는분야의기술현황을파악하고대응방안이필요하다는데에인식을같이했다는것만으로도커다란의미를가진다고할수있다. 이번창립총회에이어본포럼은 8월부터분기별로분과회의를시작할예정이며, 각분과별구체적인활동계획은다음과같다. 먼저, RFID 분과에서는정부및공공기관에도입된 RFID 시스템의정보보호문제점을분석하고, RFID 정보보호기술개발을활성화할수있는방안을마련할계획이다. WiBro 분과에서는유비쿼터스환경에서 WiBro가통신수단으로서활성화될가능성을염두에두고, WiBro를통한인터넷전화도ㆍ감청, 위치정보, 사용자데이터보안등에대한연구를진행할예정이다. 마지막으로, TRS 분과에서는통합무선통신망의효율적인활용및안전성확보방안을제시하는데중점을두어활동할계획이다. 앞으로유비쿼터스시큐리티포럼은범국가차원의유비쿼터스보안정보를공유하고관련정책을제안할뿐만아니라유비쿼터스선진국으로발돋움할수있는국가적인정보보안네트워크역할을하게될것으로예상된다. 10 Monthly 사이버시큐리티
월간사이버위협동향및대응활동 월간공격시도탐지현황 월간공공분야사이버침해사고현황 국내 외주요취약점발표 사고사례 대학교웹서버, 웹프록시를이용한해킹경유지악용사고
월간사이버위협동향및대응활동 1. 월간공격시도탐지현황 [ 표 1] 에서보듯이 7월일일평균트래픽은 56,747건으로전월대비약 6% 증가하였으나, 유해트래픽의경우 66% 나증가한것으로나타났다. 이는 [ 그림 1] 에서와같이웰치아웜과관련된 Icmp Ping Cyberkit 트래픽이 7월 14일이후증가하였기때문이다. [ 표 1] 7월일일평균전체트래픽 / 유해트래픽발생 트래픽 (BPS/ 일 ) 유해트래픽 (BPS/ 일 ) 기간 7월 6월 7월 6월 평균 1,968,978 1,855,686K 56,747 34,188 최대 3,426,925 3,272,197K 1,117,226 1,771,180 12 Monthly 사이버시큐리티
월간공격시도탐지현황 ( 단위 : k 건 ) 1,000 500 0.00 00:00 00:00 00:00 00:00 00:00 00:00 00:00 00:00 00:00 00:00 00:00 00:00 00:00 00:00 00:00 00:00 00:00 00:00 00:00 07/12 07/13 07/14 07/15 07/16 07/17 07/18 07/19 07/20 07/21 07/22 07/23 07/24 07/25 07/26 07/27 07/28 07/29 07/30 [ 그림 1] Icmp Ping Cyberkit 이벤트탐지현황 한편 [ 표 2] 에서와같이 7월공격탐지건수는일일평균 172만여건으로지난달일일평균 152만여건에비해약 13% 증가한것으로나타났다. 대표적으로 Icmp Ping Cyberkit 공격이 1,148만여건에서 3,060만여건으로 166% 증가하였고, http iis webdav search 공격이 12만여건에서 127만여건으로대폭증가한것으로나타났다. 그밖에 worm deadhat.c tcp/1080 scan 등기타공격은전달에비해전반적으로감소하였다. [ 표 2] 공격유형월간통계 ( 단위 : 건 / 월 ) 순위이벤트건수 1 Icmp Ping Cyberkit 30,609,540 2 Worm Slammer 6,339,567 3 Tcp service scan 7,239,995 4 Tcp flag syn/data 3,313,975 5 http iis webdav search 1,275,621 기타 worm deadhat.c tcp/1080 scan 등기타공격 4,659,373 Total 53,438,071 www.ncsc.go.kr 13
월간사이버위협동향및대응활동 Icmp ping cyberkit 1) 과관련하여 7월 14일에국내 대학교에서 연구원으로공격이발생하였고 7월 16일에는국내 병원에서 공사로웰치아웜공격이발생하여조치를취한바있다. 한편국가사이버안전센터는 7월 14일이후해당유해트래픽을지속발생시키는교육기관 2곳, 민간기관 11곳에웜 바이러스에감염된 IP를통보하여감염시스템을네트워크에서분리한후보안대책을강화토록조치하였다. 이번달은최근사회적이슈가되고있는게임아이디 / 비밀번호절취및내부자료유출을시도하려는자료절취형웜 바이러스가증가되었다. 특히해외발후피곤 (Hupigon), 그레이버드 (graybird) 등은해커가운영하는원격관리프로그램으로명령을수신하거나파일전송을수행할수있는백도어기능이포함되어있다. 지난 7월 12일탐지규칙을보완하여탐지시스템에적용된후피곤 (Hupigon) 웜 바이러스의특징을살펴보면, 1 공격자가피해시스템에백도어프로그램을설치하고 2 감염 PC가경유지 ( 웹서버 ) 로부터공격자가관리하는서버에대한정보를획득하면 ( 특정파일다운로드 ) 3 그이후피해시스템은공격자의명령에따라내부자료를유출시킬수있게된다. 7월 12일이후후피곤 (Hupigon) 웜 바이러스에대한중점모니터링을실시한결과 71,266건이탐지되었다. 아래 [ 그림 2] 는 7월 12일이후발생한후피곤 (hupigon) 웜 바이러스탐지현황이다. 1) 웰치아 웜이사용하는감염전파트래픽과네트워크스캔도구 (Cyberkit) 의 ICMP 스캔트래픽이일부같기때문에 ICMP cyberkit 으로대량의탐지이벤트가발생하는경우웰치아웜감염일수있으므로상세조사가필요하다. 14 Monthly 사이버시큐리티
월간공격시도탐지현황 ( 단위 : k건 ) 2.0 1.5 now 1.0 0.5 0.0 00:00 00:00 00:00 00:00 07/01 07/10 07/19 07/28 [ 그림 2] 7 월후피곤 (hupigon) 웜 바이러스탐지현황 전달에는탐지되지않았던후피곤 (Hupigon) 웜 바이러스가 [ 그림 3] 에서와같이 7월에총 10건이탐지되어사고대응하였는데, 국가기관 (4건), 지방자치단체 (3건), 교육기관 (2건), 연구기관 (1건) 으로사고처리하였다. 세부적인보안점검결과내부자료유출과같은피해사항은없었으나, 백신프로그램설치및보안패치업그레이드등기본적인보안수칙을지키지않아감염된것으로확인되었다 이러한자료절취형사이버공격에대비하고자국가사이버안전센터는국가공공기관의중요문서자료들이해커에의해유출되지않도록 문서유출탐지및차단도구를개발하여지난 6월 20일각급기관에배포한바있다. 4 3 3 2 2 1 1 7.1 7.3 7.5 7.7 7.9 7.11 7.13 7.15 7.17 7.19 7.21 7.23 7.25 7.27 7.29 7.31 [ 그림 3] 7 월후피곤 (Hupigon) 사고처리현황 www.ncsc.go.kr 15
월간사이버위협동향및대응활동 2. 월간공공분야사이버침해사고현황 7월에발생한공공분야의사이버침해사고건수는 269건으로전월 (275건) 에비해 2% 감소하였다. 사고유형별로는경유지악용과홈페이지변조사고가감소하였고, 웜 바이러스감염사고가증가하였다. 사고기관별로는국가기관과교육기관의사고가증가하였고, 지자체와연구기관의사고는감소하였다. [ 그림 4], [ 그림 5] 와같이사고유형별로보면웜 바이러스감염 (49%), 경유지악용 (42%), 홈페이지변조 (3%), 자료훼손 유출 (2%) 순으로, 사고기관별로는교육기관 (45%), 지자체 (22%), 국가기관 (16%), 산하기관 (11%), 연구기관 (6%) 순으로나타났다. 홈페이지변조 3% 자료훼손유출 2% 국가기관 16% 산하기관 11% 연구기관 6% 경유지악용 42% 웜 바이러스감염 49% 지자체 22% 교육기관 45% [ 그림 4] 7 월사고유형별분포 [ 그림 5] 7 월사고기관별분포 사고발생건수는지자체의웜 바이러스감염이 24건증가하였지만, 연구소와산하기관의홈페이지변조건수가 31건감소하면서전체적으로전월에비해 6건이감소하였고, 1년평균 (313건) 보다는 44건이적게발생하였다. 16 Monthly 사이버시큐리티
월간공공분야사이버침해사고현황 500 450 423 400 366 319 평균 313 300 268 291 285 283 294 275 269 244 200 05.8 05.9 05.10 05.11 05.12 06.1 06.2 06.3 06.4 06.5 06.6 06.7 [ 그림 6] 최근 1 년간월별사고발생건수 사고유형별로는지난 5개월간사고발생순위 2위였던웜 바이러스감염사고가전월대비 10% 증가하면서 1위로상승한반면, 1위였던경유지악용사고가 22% 감소하여 2위를차지하였다. 경유지악용과관련된주요사고유형으로는타시스템해킹경유지악용 (70%), 해킹파일유포지제공 (14%), 피싱사이트개설지제공 (11%) 등이있었다. 침투대상주요서비스포트로는 22/TCP(SSH) 가 54%, 5900/TCP(VNC) 10%, 80/TCP(HTTP) 가 7% 를차지하였다. 특히, 웜 바이러스감염이 130건으로지난달 115건보다 15건증가하였는데, 이와관련해서최근엑셀 파워포인트등 MS Office 제품의보안취약점을이용한신종해킹프로그램이지속발견되고있는만큼사용자들은최신보안패치를하고컴퓨터백신프로그램은최신으로업데이트를할필요가있다. www.ncsc.go.kr 17
월간사이버위협동향및대응활동 구 분 웜 바이러스감염 경유지악용 홈페이지변조 자료훼손및유출 기타 총계 06년 4월 75 139 19 9 2 244 5월 82 163 26 20 3 294 6월 115 140 16 1 3 275 7월 130 114 9 11 5 269 250 200 경유지악용웜바이러스감염홈페이지변조 150 100 50 0 05.8 05.9 05.10 05.11 05.12 06.1 06.2 06.3 06.4 06.5 06.6 06.7 [ 그림 7] 최근 1 년간주요사고유형별현황 사고발생기관별현황을보면교육기관이여전히 1위를유지하고있는가운데, 국가기관사고가 17건 (14%) 증가한반면지자체 (29건, 33%) 와연구소 (12건, 43%) 를대상으로하는사고는대폭감소하였다. 특히, 지자체의사고감소는웜 바이러스감소가주요원인이었으며, 연구소의사고감소는경유지악용사고감소가큰비중을차지하는것으로분석되었다. 18 Monthly 사이버시큐리티
월간공공분야사이버침해사고현황 월별 국가기관지자체연구소교육기관산하기관기타총계 06년 4월 22 47 25 114 31 5 244 5월 26 64 54 112 34 4 294 6월 25 88 28 107 26 1 275 7월 42 59 16 122 29 1 269 250 200 150 교육기관지자체연구소 100 50 0 05.8 05.9 05.10 05.11 05.12 06.1 06.2 06.3 06.4 06.5 06.6 06.7 [ 그림 8] 최근 1 년간주요사고기관별현황 사고가발생한 PC의용도별로살펴보면업무용PC(16%), 웹서버 (13%) 가주요공격대상이되었음을알수있으며, 운영체제별로보면윈도우 (30%), 리눅스 (6%) 순으로나타났다. www.ncsc.go.kr 19
월간사이버위협동향및대응활동 3. 국내 외주요취약점발표 3.1 MS-Office 계열문서파일의취약점등에대한보안업데이트발표 MS사는보안설정우회및 MS-Office의취약점을이용하여원격코드실행이가능한 7개의주요취약점 ( 중요 2, 긴급 5) 에대한정기보안업데이트를 7월 12일발표하였다. 이는최근 MS-Office의취약점을이용해 Zero-Day 공격까지가능케하는취약점들이많이발견됨에따른것으로, 악의적으로작성된 MS-Office 문서파일을 E- Mail이나웹페이지를통해다운로드받아열람하도록유도, 파일을열어보는순간원격코드가실행되어공격자는자신이원하는바를수행할수있게된다. 이와관련된취약점에는 Excel의조작된레코드취약점 (MS06-037) 및 MS- Office 문자열구문분석취약점 (MS06-038) 과이미지필터취약점 (MS06-039) 등이있다. 또한윈도우관련취약점도함께발표가되었는데, ASP.NET 취약점을이용하여보안설정을우회 (MS06-033) 할경우, 정보획득이가능하게된다. 또한, IIS 웹서버에조작된 ASP 웹페이지를삽입하고원격에서취약점을악용하면해당시스템에대한완전한권한획득이가능하게된다. 20 Monthly 사이버시큐리티
국내 외주요취약점발표 취약점제거를위한보안패치사이트 - http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko - http://www.microsoft.com/korea/technet/security/bulletin/ms06-033.mspx - http://www.microsoft.com/korea/technet/security/bulletin/ms06-034.mspx - http://www.microsoft.com/korea/technet/security/bulletin/ms06-035.mspx - http://www.microsoft.com/korea/technet/security/bulletin/ms06-036.mspx - http://www.microsoft.com/korea/technet/security/bulletin/ms06-037.mspx - http://www.microsoft.com/korea/technet/security/bulletin/ms06-038.mspx - http://www.microsoft.com/korea/technet/security/bulletin/ms06-039.mspx 이번취약점과관련된기술자료문서 - http://blogs.technet.com/msrc/default.aspx - http://www.securityfocus.com/bid/18853 - http://www.securityfocus.com/bid/18885 3.2 Oracle 다수취약성에대한보안업데이트발표 Oracle사는 7월다수의취약성에대한긴급패치업데이트 (Critical Patch Update) 를발표하였는데, 이는 Application Sever 10개, Database Sever 27개, E- Business Suit 및 Applications 20개, Enterprise Manager 4개, Collaboration suit 1개, PeopleSoft Enterprise 및 Edwards EnterpiseOne 3개등 65개의취약성에대한것이었다. 이러한취약성들은 Oracle 제품의모든보안속성에영향을미치며, 로컬및원격에 www.ncsc.go.kr 21
월간사이버위협동향및대응활동 서공격이가능케한다. 이중일부취약성의경우, 여러단계의인증과정을통과해야공격할수있지만그렇지않아도완전히제어할수있다. 대표적인공격기법으로는데이터베이스를통해실행되는애플리케이션의잠재적인 SQL 삽입취약성을통해원하는데이터를습득하는방법이있으며, 또한데이터베이스서비스취약성을이용, 공격하게되면원격의인가되지않은공격자가임의의코드를실행하거나서비스거부를일으키도록할수도있다. 이러한다수의취약성을예방하기위해서는외부로서비스를제공할필요가없는경우, 네트워크경계에서외부로부터의액세스를차단하고신뢰할수없는호스트와컴퓨터에서취약한애플리케이션으로향하는액세스를차단하는방법이있다. 또한, 네트워크기반의침입탐지시스템을적용하여비정상적인혹은의심스러운네트워크트래픽들을모니터링하도록한다. 또한 NOP코드들이포함된요청을비롯하여내부혹은외부로전송되는의심스러운트래픽들을모니터링함으로써, 공격시도혹은공격성공이후의악의적인활동들을탐지한다. 한편, 모든서버프로세스를최소의액세스권한을부여하여실행하게하고가능한악성콘텐츠를실행할가능성이있는애플리케이션은중요하지않은시스템에서최소한의권한이부여된사용자계정으로격리하여실행시킨다. 그리고기본접근통제목록 (ACL) 설정들을변경하여데이터베이스에대한접근을통제토록하고취약성으로인해발생할수있는데이터베이스자체및데이터베이스상의데이터들에미칠수있는영향에대해제한한다. 22 Monthly 사이버시큐리티
국내 외주요취약점발표 독립된데이터베이스사용자계정을생성하고 ACL 설정을강화함으로써어플리케이션들을서로분리하는한편, 어플리케이션과데이터베이스내의중요데이터들도서로분리한다. 여러단계의보안시스템을중복적구성하고, 이취약성을이용하여임의의코드를실행할수있으므로메모리보호기법을적용하기를권고한다. 스택 / 힙메모리영역을실행불가능하게설정하고메모리세그먼트가임의로매핑되도록하는메모리보호기법을적용함으로써메모리손상과관련된공격을차단토록한다. 취약점제거를위한보안패치사이트 - http://www.oracle.com/technology/deploy/security/critical-patchupdates/cpujul2006.html 이번취약점과관련된기술자료문서 - http://www.oracle.com/technology/deploy/security/critical-patchupdates/cpujul2006.html#appendix%20a - http://www.oracle.com/index.html - http://www.us-cert.gov/cas/techalerts/ta06-200a.html 3.3 CISCO unified Callmanager 다수의원격취약점발견 CISCO Callmanager는 CISCO가개발한 IP 전화통신소프트웨어솔루션에사용되는통화처리모듈의명령행관리인터페이스에서 7월 12일다수의취약점이발견되었다. 이인터페이스는슈퍼유저권한으로실행되게되며, 관리자가특정작업을실행할수있도록설계되어있다. 이취약점들은인가된관리자가취약점을가진장비 www.ncsc.go.kr 23
월간사이버위협동향및대응활동 에로그인했을때나타나게된다. 공격자는먼저네트워크를통해취약점이있는소프트웨어를찾아내고대상컴퓨터로 SIP(Session Initiation Protocol) 요청을전송함으로써이취약점들을원격공격에악용하게된다. 이 SIP요청에는매우길게조작된호스트이름과실행가능한기계어코드및대체되는메모리주소등이포함되게된다. 취약한시스템이악의적으로조작된 SIP 요청을처리하려고시도하게되면취약점으로인해원격공격자의기계어코드가실행되고시스템은장악된다. 먼저 CLI 명령이임의의리눅스명령어가실행되는취약점 ( 취약점번호 : CSCse11005) 을악용하면사용자는운영체제에서슈퍼유저권한으로임의의명령을실행할수있고공격자는컴퓨터를완전히장악할수도있다. 또한, 명령어실행결과를파일로전송하는문제 ( 취약점번호 : CSCse31704) 로인하여사용자가슈퍼유저권한으로임의의파일을덮어쓸수있어공격자가해당컴퓨터의작동을중단시키고, 정상사용자에대한서비스를거부하도록할수있다. 이취약성을이용하여기반운영체제에서슈퍼유저권한으로임의의명령을실행하는것도가능하다. 한편, SIP 처리영역의버퍼오버플로어발생취약점 ( 취약점번호 : CSCsd96542) 으로 SIP요청에매우긴호스트이름을사용하면충분하지않은크기의메모리버퍼가공격자가제공한데이터로오버런되어임의의기계어코드가실행되게된다. 이는소프트웨어가사용자가제공한데이터에대한경계검사를충분히수행하지않기때문에나타나는취약점으로, 이취약성을이용하면로컬장비장악및원격의공격자가서비스의권한으로임의의기계어코드를실행할수있게된다. 24 Monthly 사이버시큐리티
국내 외주요취약점발표 이번취약점과관련된패치및기술자료문서 - http://www.cisco.com/en/us/products/sw/voicesw/ps556/index.html - http://www.cisco.com/warp/public/707/cisco-sa-20060712-cucm.shtml 3.4 McAfee epolicy Orchestrator 프레임워크서비스에서취약점발견 McAfee사의 epolicy Orchestrator는보호정책을중앙집중식으로수행하면서 McAfee 배치관리에필요한단일콘솔을제공하는시스템이다. 이시스템에서 7월 14일시스템이원격장악될수있는취약점이발견되었다. 공격에성공할경우인가되지않은원격의사용자가시스템파일들을변경할수있게되며, 이를통해 LOCAL SYSTEM 권한으로임의의코드를실행하고대상시스템을완전히장악할수있는것으로분석되었다. 이취약점은공격코드가특별히필요하지않기때문에상당히위험하며, 클라이언트애플리케이션을사용하여공격할수도있다. 악의적인사용자는취약점을가진애플리케이션을탐색한후패키지요청과함께 UUID, 컴퓨터의호스트이름, 그리고그뒤에디렉토리문자열과로컬파일의이름으로구성된헤더를포함한 POST 요청을해당애플리케이션에전송한다. 그후피해시스템은공격자가악의적으로조작한데이터를처리하는과정에서공격자가지정한파일을덮어쓰거나수정하게된다. 공격이성공적으로이루어지게되면공격자는중요정보에액세스할수있게되고대상컴퓨터를완전히장악할수있다. 또한, 이취약성은 EPO(ePolicy Orchestrator) 관리콘솔의 Framework 서비스컴포넌트에서발생되는데 HTTP를통해실행되며, TCP/8081 포트를통해요청을받아들인다. 이서비스는 EPO 서버와에이전트모두에서기본적으로실행된다. www.ncsc.go.kr 25
월간사이버위협동향및대응활동 Framework 서비스는 /spipe/pkg 라는이름의인터페이스를사용하여설정및업데이트변경에대한 POST 요청들을받아들인다. 요청의타입은 POST 요청헤더에서지정할수있으며, 패키지의타입을지정하는데는 PropsResponse 요청이사용된다. 원격의공격자는디렉토리트래버셜문자열을앞에붙인파일이름의악의적인 PropsResponse 요청을제출하여, 취약한컴퓨터에임의의파일들을위치시킬수있다. 이는사용자가파일과디렉토리이름뒤에 XML 파일의이름을붙여제출할수있으나, 애플리케이션이이데이터를제대로검사하지않기때문에발생된다. 취약점제거를위한보안패치사이트 - http://www.securityfocus.com/advisories/10837 이번취약점과관련된기술자료문서 - http://www.securityfocus.com/advisories/10837 3.5 WinRAR LHA 파일이름처리모듈에서버퍼오버플로어취약성발견 7월 18일 RARLAB의 WinRAR 프로그램에서원격의공격자가임의의기계어코드를실행하여취약한컴퓨터를원격에서장악할수있는취약점이발견되었다. WinRAR 프로그램은 RAR, ZIP, 7Z, ACE, ARJ, BZ2, CAB, GZ, ISO, JAR, LZH, TAR, UUE, Z 등의압축포맷을지원하는압축관리프로그램이다. 이취약점은 WinRAR 프로그램이사용자로부터입력되는값에대한검사를수행하지않기때문에발생된다. 취약점의원인을살펴보면 WinRAR 내의취약한코드가 LHA 압축형식을처리할때일어나게되며이코드는최고 262 바이트길이의파일 26 Monthly 사이버시큐리티
국내 외주요취약점발표 이름과 1020 바이트길이의디렉토리이름을연결하여, 단지 255 바이트크기의버퍼에크기검사없이복사를한다. 이작업은 lzh.fmt 파일에서일어나는데, 이취약성은 WinRAR 버전 3.0부터 3.60 beta 6까지영향을미친다. 공격자는애플리케이션에의해처리될악성파일을제작한후, 취약한사용자에게이파일을전송하고대상사용자가취약한애플리케이션으로악성파일을액세스하도록유도한다. 애플리케이션이파일을처리하려고시도하면, 내부메모리버퍼가오버런된다. 치명적인메모리영역이공격자가제공한데이터로덮어써지게되면, 악의적인기계어코드가실행된다. 공격에성공하면, 공격자가컴퓨터에서임의의기계어코드를실행하여, 컴퓨터를장악할수있다. 취약점제거를위한보안패치사이트 - http://www.rarlab.com/rarnew.htm 이번취약점과관련된기술자료문서 - http://www.hustlelabs.com/advisories/04072006_rarlabs.pdf 3.6 Adobe acrobat 에서원격버퍼오버플로어취약점발견 7월 18일 PDF(Portable Document Format) 문서를편집하거나보는 acrobat 프로그램에서원격의공격자가해당컴퓨터를장악할수있는취약점이발견되었다. 이취약점은애플리케이션이사용자가제공한데이터를중요프로세스버퍼로복사 www.ncsc.go.kr 27
월간사이버위협동향및대응활동 하기전에, 해당데이터에대한크기검사를제대로수행하지않기때문에나타나게된다. 공격자는악의적인 PDF 파일을제작하여취약한사용자에게전송하는기법으로이취약성을공격할수있다. 사용자가이 PDF 파일을오픈하면, 공격자가영향을받는컴퓨터에서임의의코드를실행하여사용자의권한으로인가되지않은액세스를획득할수있게된다. 이취약성은 Acrobat 6.0.4 및이전버전에영향을미친다 취약점제거를위한보안패치사이트 - http://www.adobe.com/support/security/bulletins/apsb06-09.html 28 Monthly 사이버시큐리티
사고사례 : 대학교웹서버, 4. 사고사례 : 대학교웹서버, 웹프록시를이용한해킹경유지악용사고 4.1 개요 국가사이버안전센터는국내모대학의연구용 ( 윈도우 ) 서버에서국내전산망을대상으로 80/TCP 포트를이용하여대상서버에내부명령어를실행하는해킹시도를탐지하였다. 확인결과, 아파치웹서버 ( 유닉스 ) 와제로보드가최신패치를수행하지않은상태로운영중이었고, 시스템피해내역을점검한결과숨긴폴더와백도어포트등은발견되지않았으나, 네트워크프로세스를점검중에프록시로의심되는 8080/TCP 포트와웹로그상에서프록시기능으로의심되는기록을발견하였다. 해커는제로보드의 PHP 취약점을이용하여 PHProxy라는공개용웹프록시를공격대상웹서버의웹서비스폴더에설치한후, 해당시스템을프록시경유지로악용한것으로분석되었다. 본해킹기법은시스템내부에악성파일이나네트워크포트를이용한백도어를설치하지않았고, 웹쉘을설치하는방법과같이원격지의해커가해당웹쉘을사용할때에만탐지가가능하므로원격네트워크취약점점검도구에의해서는탐지되기어려운특징을가지고있다. 이번사고는최신해킹기법의경우유해 IP 관리및차단만으로는해당시스템이해킹경유지로악용되는것을완벽하게방지할수없음을보여주고있어, 사용자들이숙지해야할사항들을몇가지알아보고자한다. www.ncsc.go.kr 29
월간사이버위협동향및대응활동 4.2 공격기법분석 4.2.1 제로보드취약점 사고시스템은관련웹로그가일부삭제되어정확한원인추정을하기어려웠지만, Apache/1.3.28(Unix) PHP/4.3.3, 제로보드 pl2를사용하고있었던것으로보아, 제로보드의 4.1pl8 및그이하버전에발생하는홈페이지변조및시스템제어권한획득이가능한취약점으로인해시스템이해킹된것으로추정되었다. 4.2.2 웹프록시설치 이번사고에서는기존피해내역과같이시스템내부의자료를유출하거나홈페이지를변조한흔적은발견되지않았다. 네트워크의프로세스에서도백도어가발견되지않았고, 프록시로의심되는 8080/TCP 포트가존재하지만프록시기능을하지않는정상서비스로확인되었다. Proto Local Address Remote Address State tcp 0.0.0.0:32768 0.0.0.0:* LISTEN tcp 127.0.0.1:32769 0.0.0.0:* LISTEN tcp 0.0.0.0:3306 0.0.0.0:* LISTEN tcp 0.0.0.0:23791 0.0.0.0:* LISTEN tcp 0.0.0.0:111 0.0.0.0:* LISTEN tcp 0.0.0.0:8080 0.0.0.0:* LISTEN tcp 0.0.0.0:80 0.0.0.0:* LISTEN 30 Monthly 사이버시큐리티
사고사례 : 대학교웹서버, tcp 0.0.0.0:6000 0.0.0.0:* LISTEN tcp 0.0.0.0:18000 0.0.0.0:* LISTEN tcp 0.0.0.0:22 0.0.0.0:* LISTEN tcp 0.0.0.0:19000 0.0.0.0:* LISTEN tcp 127.0.0.1:6010 0.0.0.0:* LISTEN 그러나, 웹로그에서는아래표에서보이는 GET 명령을이용하여다른사이트 ( 예 : http://url등 ) 를호출한내역이발견되었다. 이는해커가해킹한시스템의웹서비스를경유하여다른사이트의내용을호출한것으로피해시스템의웹서비스가프록시기능으로사용되고있음을알수있었다. 추가하여, 웹서버가공개프록시로해외에등록되어있는지를확인하였으나발견되지않았다. 211.0.0.0 - - [07/Jul/2006:11:20:55 +0900] "GET http://url HTTP/1.0" 200 276 211.0.0.0 - - [07/Jul/2006:16:08:23 +0900] "GET http://url2 HTTP/1.1" 200 276 또한, 시스템의내부를점검한결과 proxy.zip 파일이생성된것으로확인되었으며. proxy.zip 파일내에는다른웹서버를공격할수있는프록시쉘중하나인 index.php(phproxy) 가있었다. PHProxy는 [ 그림 9] 처럼정상적인웹서비스의포트를이용하여프록시기능이동작하도록웹서버스크립트파일형식으로제작된웹프록시프로그램이다. www.ncsc.go.kr 31
월간사이버위협동향및대응활동 2 Source : 30.1.1.1 Dest : 50.1.1.1 정보요청 3 50.1.1.1 정보제공 PHProxy 30.1.1.1 1 Source : 10.1.1.1 Dest : 30.1.1.1 정보요청 4 50.1.1.1 정보제공 웹서버 50.1.1.1 웹서버와 PHProxy 통신망 PHProxy 와사용자통신망 PHProxy 사용자 10.1.1.1 [ 그림 9] 웹프록시를이용한네트워크환경 index.php는 http:// 웹주소 /index.php?=url로실행하면웹프록시기능이동작한다. http:// 웹주소 /index.php로실행하면 [ 그림 10] 과같이해당웹프록시를설정할수있는웹서비스가실행되는데, 이내용은다음 [ 그림 11] 의 PHProxy의기능설정화면과동일함을알수있었다. [ 그림 10] 피해시스템의웹프록시설정화면 32 Monthly 사이버시큐리티
사고사례 : 대학교웹서버, [ 그림 11] PHProxy 메인화면 [ 표 1] PHProxy 의관리자설정기능 옵션필드 설 명 Include Form Remove Scripts Accept Cookies Show Image Show Referer Rotate13 Base64 Strip Meta Strip Title Session Cookies New Window HTML의모든페이지마다 mini-url Form 포함여부스크립팅수행여부 HTTP 쿠키허용여부이미지파일디스플레이여부 HTTP 헤더에참조된 website 수행여부 URL 인코딩방식을 rotate13 사용여부 URL 인코딩방식을 base64 사용여부메타 HTML 태그수행여부웹사이트의 Title 값수행여부 ( 사용시 title 값에주소값표현 ) 연결된세션만쿠키값저장 URL 오픈시새로운윈도우생성여부 www.ncsc.go.kr 33
월간사이버위협동향및대응활동 4.3 피해내역 4.3.1 프록시경유지로악용 이번사고와같이기존의유해 IP를관리하는방법만으로는해당공격시도를차단하기어려운이유는아래 [ 그림 12] 처럼해커들이공개된악성프록시등을이용하는것이아니라해킹한시스템을프록시로사용하므로, 해당접속 IP가정상사용자인지악성사용자인지판단이어렵기때문이다. [ 그림 12] PHProxy 의관리자설정기능 34 Monthly 사이버시큐리티
사고사례 : 대학교웹서버, 4.3.2 웹프록시설치 기존의경우와달리네트워크백도어등을설치한다거나관리자계정을추가하는등시스템수준의해킹이아닌웹응용프로그램수준에서홈페이지소스파일을추가하였기때문에관리자가웹서비스전체파일의무결성을확인하기전에는인지하기어렵다. 이와비슷한경우가웹쉘설치라고볼수있는데, 이경우역시웹서비스이용과동일한형태로이루어지므로사용패턴을탐지하여야만해당악성코드를발견할수있다. 특히웹쉘과달리웹프록시는정상적인기능으로사용될수있는프로그램으로컴퓨터백신으로탐지되지않기때문에, 웹서비스관리자가수동으로해당파일을탐지하여야한다. 4.4 조치사항 국가사이버안전센터가선정한홈페이지 8대보안취약점제거 제로보드및관련정보통신시스템의최신보안패치적용 침입차단시스템등정보보호시스템을활용, 정보통신망보호 웹프록시탐지를위해홈페이지소스폴더검증 4.5 결론 이번사고는웹프록시로이용되고있는 PHProxy를무단설치, 악용한해킹경유지사고이다. 웹프록시설치를통한해킹경유지사고의경우는네트워크포트점검이나컴퓨터바이러스백신프로그램에탐지되지않아차단하기매우어렵다. 이에대한대책으로 www.ncsc.go.kr 35
월간사이버위협동향및대응활동 웹서버관리자가업로드하지않는소스파일이존재하는지웹소스폴더의무결성여부를수시로확인하고, 네트워크관리자, 보안관리자등은미상의웹프록시를통한공격의방어를위해서는 IP 수준에서의관리이외에응용프로그램수준의보안기술을적용하는방법이필요하다. 각급기관의정보보안담당자가웹서버의보안설정을강화하고, 그외보안취약점에대해서도관심을가지고관리한다면대다수의사고를사전에방지할수있을것이다. 이를위해, 운영체제의보안패치와웹서버운영프로그램등을최신버전으로유지하는한편주기적으로국가사이버안전센터홈페이지를방문하여최신보안정보를입수하고자율적으로보안취약점을개선해야하겠다. 36 Monthly 사이버시큐리티
심층분석 주민번호보호와디지털 ID 관리기술
심 층 분 석 주민번호보호와디지털 ID 관리기술 진승헌 한국전자통신연구원디지털 ID 보안연구팀장 1. 개요 올해초에온라인게임 리니지 명의도용사건과이에과올따른피해자들의집단소송으로이슈가된주민번호도용문제는공공기관홈페이지를통한개인정보누출과국민은행정보유출사건소송등으로관심이집중되더니중반에들어서는대통령과국무총리의주민번호가도용되어각종성인사이트와게임사이트에가입되었다는보도자료가나오면서사태의심각성에대한우려가더욱증폭되고있다. 물론지금까지도주민번호도용으로인한개인정보침해문제를가볍게생각하지는않았으나, 생각에만그치고구체적인실행노력이부족하였던것이다. 특히개인정보침해문제는향후기술의발전과개인정보의경제적가치의증가로인하여더욱증가할것으로예상되어이에대한근본적이고도장기적인대책이필요한것이다. 물론이러한대책에는관련법 제도정책의마련과이를뒷받침하기위한기술개발및인력양성또한포함되어있을것이다. 38 Monthly 사이버시큐리티
주민번호보호와디지털 ID 관리기술 본고에서는주민번호문제의특징을살펴보고이를포괄적으로다루고있는디지털 ID관리기술을소개하고자한다. 먼저주민번호가가지고있는특징과문제점의정리를통하여주민번호가단순히하나의식별자이상의의미가있다는점을알아보려고한다. 이는주민번호를단순히보호적인측면에서접근하는것뿐만아니라안전한이용이라는측면에서도접근해볼필요가있다는것을의미한다. 그러므로주민번호도용의문제는획일적인통제를통해노출되지않도록제어하는단편적인접근이아니라보호와이용의균형을유지하기위한프레임워크적인접근이필요하다. 이러한접근을가능하게하는것이디지털ID관리기술이다. 그러므로본고에서는디지털ID관리기술개요와관련기술에대한 ETRI의연구개발현황을소개하고, 개발결과물의적용사례를통해개인정보보호와안전한이용에대한균형잡힌접근방법및그실현가능성에대해논하고자한다. 2. 온라인상에서주민번호도용의문제점 우리나라에서에서주민등록번호는공공기관뿐만아니라민간분야에서도광범위하게사용되고있으며표준화된통일개인식별번호로서기능하고있다. 이는기존의개인식별번호를사용함으로써새로운개인식별번호체계를구축하지않아도된다는비용절감의목적에서비롯되었으며, 특히행정업무의경우개인정보를다루는업무의기능과사용정보가서로연결되어있어같은개인식별번호를사용하면분리구축된데이터베이스에서개인정보를검색 처리하는데따르는비용을절감시켜주기때문에시작된다고볼수있다. 한편주민등록번호는그자체로다른여타의보조자료없이주민등록번호소지자의기본적인개인정보를보여준다는점에서, 필수적인개인정보가거의무방비상태로노출됨에따라사생활을침해당할수있는개연성을내제하고있다. 주민등록번호가신분등록및개인식별을용이하게함으로써편익을가져오는것은사실이나, 일 www.ncsc.go.kr 39
심층분석 상생활에서신원확인수단으로사용되고있기때문에주민등록번호가노출되면하나의코드에수록된기본적인개인정보는고스란히유출되고말기때문이다. 특히주민등록번호의사용은사기업에서조차널리확산되어있으며, 예컨대인터넷홈페이지를통해회원제사이트를운영하고있는대부분의업체들이회원가입을위한등록사항에주민등록번호를필수기재항목으로기재토록하고있다. 이러한관행은주민등록번호제도가지니는본래의취지에어긋날뿐만아니라, 오 남용으로인한피해사례가계속적으로증가하고있다. 특히, 주민번호가온라인에서사용될때, 발생할수있는문제점을정리하면다음과같다. 개인정보포함 13자리로구성된주민번호는생년월일, 성별, 출생지같은개인정보가포함되어있다. 따라서주민번호를획득하면개인의정보를알수있게된다. 온라인상의본인확인수단부재현재, 본인확인절차는주민번호의입력을통해이루어지고있는데주민등록증을통해본인여부를확인할수있는오프라인과는달리온라인상에서는현재주민번호를입력하는사람이주민번호소유자본인인지확인할방법이없다. 지금과같이주민번호가광범위하게노출되어있는상황에서다른사람의주민번호를입력하는주민번호도용을막을방법이없는것이다. 이는성인인증의경우도마찬가지로, 성인인다른사람의주민번호를사용하는미성년자를확인할방법이없다. 단일식별성 주민번호는한개인을유일하게식별할수있는단일식별자이다. 단일식별자는프라이버시보호측면에서큰문제를갖는다. 한개인의모든정보와활동을연결할 40 Monthly 사이버시큐리티
주민번호보호와디지털 ID 관리기술 수있는수단이되기때문이다. 단일식별자는오프라인 / 온라인을가리지않고많은논란이제기되고있는문제인데, 인터넷상에서는정보의유출이나추적이더용이하기때문에, 단일식별자인주민번호가광범위하게사용되고있는것은큰문제라고할수있다. 영속성 주민번호는한번부여되면변경되지않으므로, 주민번호사용중에예기치못한문제가발생하여폐기하고다시발급받고싶어도할수없다. 위에기술한바와같이주민번호이용시많은문제점들이나타날수있지만, 이를해결하기위하여갑자기주민번호를없앨수도없다. 왜냐하면주민번호제도가도입된이래로오프라인과온라인의대부분시스템들이주민번호를기반으로구축되어있기때문이다. 따라서갑자기제도자체를변경하는것은엄청난사회적비용과혼란을야기할수있으므로주민번호제도자체에대한지속적인보완및수정논의와함께현실적인대안을찾는노력이계속되고있으며, 현재한국신용평가정보, 정보인증등의 5개기관에서시행하고있는주민번호대체시범서비스와대전광역시에서구축하고있는공공기관통합ID관리센터는이러한노력의일환이다. 특히주민번호에대한현실적인대안을고려시주민번호의안전한보호뿐만아니라건전한이용을함께생각하는것이중요하다. 왜냐하면온라인 / 오프라인에서주민번호를무분별하게사용함으로써개인정보침해피해가증가하여주민번호의이용과유통을최소화할필 www.ncsc.go.kr 41
심층분석 요성이대두되었지만, 현재주민번호를이용하여실명인증을한다든지성인인증을통하여성인컨텐츠로부터청소년을보호하는등과같은긍정적인측면도간과할수없고형사상의목적을위한신원추적등을위해불가피하게필요한경우에대해서도대비할필요가있을것이다. 즉, 주민번호는단순히하나의식별자이상의의미를갖기때문에안전한관리와편리한이용의균형에대한검토및고려가필요한것이다. 3. 디지털 ID 관리 (Digital Identity Management) 기술개요 단순한식별자이상의 ID인주민번호를다루기위한포괄적인기술적접근이있는데, 이것이디지털ID관리기술이다. 본장에서는디지털ID관리기술에대해개괄적으로알아보고자한다. 최근인터넷이용이증가함에따라그활용분야는전자상거래를시작으로하여전자무역, 전자정부, 전자국방, 전자의료등과같이공공과민간영역을구분하지않고급격히확산되고있다. 그리고이러한인터넷상의다양한응용서비스를이용하기위해서사용자는 ID(Identifier) 와패스워드를등록하고주소, 전화번호등의신상정보를입력하는절차를통해웹사이트에가입하게된다. 최근사용자의프라이버시보호의문제가심각하게대두되면서웹사이트에등록된개인정보유출에대한우려가증가하고있고실제개인정보도용, 프라이버시침해와같은심각한문제들이발생하고있어전자상거래자체가위축될수도있는상황에있다. 이는본질적으로인터넷상에서개인들의 ID(Identity) 정보가적절하게관리되고보호받지못하기때문에발생하는문제이다. 디지털ID(Digital Identity) 란사이버 42 Monthly 사이버시큐리티
주민번호보호와디지털 ID 관리기술 스페이스상에서개인식별을가능하게함으로써개인의안녕과이해관계에영향을미치는정보로서각종 ID(Identifier) 와개인정보 ( 주민번호, 전자우편주소, 신용카드번호, 역할, 주소등 ) 를포함한다. 이러한디지털ID를안전하게이용할수있도록보호하고관리하는기술을디지털ID관리 (Digital Identity Management) 라고한다. 즉, [ 그림 1] 에서보는바와같이디지털ID관리는디지털ID의생성에서전파, 관리및소멸까지의생명주기 (Lifecycle) 를관리하는프로세스와 ID관리를위한인증 인가 접근제어와감사를위한기반구조를포함한다. Process: Managing the life cycle Infrastructure : Managing IDs, entitlements Registration/ Creation Propagation Accounts & Policies Identity Repository Termination Maintenance/ Management [ 그림 1] 디지털 ID 관리의정의 [ 출처 : Burton Group] 또한, 디지털 ID관리는 [ 그림 2] 와같이인증 (Authentication), 인가 (Authorization), 프로비져닝 (Provisioning) 과같이기존단일조직의통합접근제어를위한 EAM (Extranet Access Management), IAM(Identity & Access Management) 에서볼수있었던기술뿐만아니라인터넷규모에서복수개조직을연결하기위한연계 (Federation) 등의기술을포함한다. www.ncsc.go.kr 43
심층분석 [ 그림 2] 디지털 ID 관리를구성하는기술 [ 출처 : Burton Group] 4. ETRI 의 e-idms(etri-identity Management System) 본장에서는디지털ID의안전한보호와편리한이용을위하여 ETRI에서개발한 IDMS인 e-idms에대하여기술한다. 먼저시스템구성과주요기능에대하여기술하고활용사례를들어설명하고자한다. 44 Monthly 사이버시큐리티
주민번호보호와디지털 ID 관리기술 4.1 시스템구성 4.1.1 시스템아키텍처 e-idms 은 [ 그림 3] 과같이구성되어있다. [ 그림 3] e-idms 구성 각각의구성요소와그것이제공하는기능은다음과같다. 인터넷 ID Server(IDSP : IDentity Service Provider) 디지털ID관리서비스를제공하는메인시스템으로인증, 개인정보관리, 개인정보열람등모든서비스를제공한다. 타도메인의서비스제공자가운영하는인터넷 ID Server와연결되어로밍서비스를제공하기도한다. www.ncsc.go.kr 45
심층분석 프라이버시컨트롤러 (Privacy Controller) 디지털ID관리서비스에서개인정보유통을제어하는서버이다. 개인정보제공자는공개되는정보에대한허가를프라이버시컨트롤러에게질의한다. 프라이버시컨트롤러는가입자가자신의개인정보제어정책을쉽게관리할수있는인터페이스를제공한다. 프라이버시도메인관리자또한정보의유통을제어할수있다. 가입자웹브라우저가입자는 IE나 Firefox 등과같은기본브라우저만으로 e-idms에접근하여서비스를제공받을수있다. 가입자는브라우저를통해, 가입, 개인정보관리, 개인정보보호정책관리등의기능을수행하게된다. 디스커버리서버 (Discovery Server) ID 정보를제공하는 AP(Attribute Provider) 가제공하는정보를등록하고 ID 정보를소비하는 AC(Attribute Consumer) 가 ID 정보제공자를검색하는기능을제공한다. ID 연계브리지서버 (ID Federation Bridge Server) 여러 CoT(Circle of Trust) 가존재할때이들간의 ID 연계 (Federation) 를통해, SSO와 ID 정보서비스를제공하려면, 개별 CoT간신뢰관리와 ID 연계가선행되어야한다. CoT가여러개존재하면, CoT간신뢰관리와 ID 연계가매우복잡해지게된다. ID연계브리지서버는이들신뢰관리와 ID 연계가쉽게제공될수있도록하여시스템의확장성을제고해준다. 46 Monthly 사이버시큐리티
주민번호보호와디지털 ID 관리기술 4.2 시스템기능 e-idms 에서제공하는주요기능은다음과같다. 4.2.1 복합인증기능 가입자가처음에시스템에접근하면시스템은인증서또는패스워드방식의인증메커니즘중에하나를선택적으로이용하여가입자에게인증정보 (Credential) 를제출할것을요구한다. 가입자가인증정보를제출하면시스템은검증하여가입자를인증한다. 이는시스템을사용하기위해반드시거쳐야하는기본기능으로제공된다. e-idms는현재 PW 인증, PW-SSL 인증, PKC 인증세가지방식을제공한다. 4.2.2 SSO(Single Sign-On) 기능 가입자가 SP(Service Provider) 에접근하면 SP는 IDSP(IDentity Service Provider) 에게가입자의인증을요청한다. 가입자의인증이필요하면 IDSP는앞에서설명한복합인증기능을이용하여인증하게된다. 만약가입자가이미한번인증을받은경우에는추가적인인증을수행하지않는다. 이와같은방식의인증확인후, IDSP는가입자인증확인정보를 SP에전달함으로써, 가입자가한번의 IDSP 인증후여러 SP의서비스를이용할수있도록하는 SSO 기능을제공한다. 만약가입자가 IDSP에서이미인증을받았지만 SP가다른인증메커니즘으로가입자에대한인증을요구할경우 IDSP는가입자를재인증한다. 4.2.3 ID 정보관리기능 IDSP를통해가입자의 ID 정보를관리하는기능이다. 가입자는 IDSP에가입후 IDSP의 ID와별도로가입된 SP의 ID를연계한다. ID 연계가완료되면가입자는 IDSP를통해 SP에산재한자신의 ID 정보를조회하고관리할수있게된다. www.ncsc.go.kr 47
심층분석 [ 그림 4] ID 정보관리 [ 그림 4] 는 ID 정보관리기능이수행되는예를보인다. IDSP에저장된정보뿐만아니라 SP들에저장된정보를함께조회할수있으며, 정보의수정도가능하다. 특히동기화기능을두어특정 SP나 IDSP의정보를다른 SP나 IDSP에반영할수있으며, 변경일자를기준으로동기화기준을추천해주는기능을갖고있다. 4.2.4 ID 정보공유기능 IDSP나 SP가보유한가입자의 ID 정보를공유하는기능이다. 공유되는가입자정보는가입자에게맞춤형서비스를제공하기위해사용된다. 가입자정보를공유하여사용하면가입자에게직접정보입력을요구하지않아도되고, 중복된정보의불일치성문제나최신성유지문제를해결할수있다. [ 그림 5] 는 SP 이용시 ID 정보공유기능을이용하는예를보여준다. 48 Monthly 사이버시큐리티
주민번호보호와디지털 ID 관리기술 [ 그림 5] ID 정보공유선택 4.2.5 개인정보보호기능 프라이버시컨트롤러는가입자의개인정보유통을제어한다. 개인정보제공자는가입자의정보를공개하기전에프라이버시컨트롤러에게질의하여허가를받은후정보를제공한다. 프라이버시컨트롤러의개인정보제어정책은개인정보의실소유자가직접관리할수있다. 또한가입자의편의를도모하고정보노출의위험을제거하기위해관리자가정책을생성할수있다. 가입자는개인정보항목에따라또는정보를사용하려는주체에따라개인정보공개를제어할수있다. 또한개인정보공개시점에가입자에게공개허가를직접질의하도록할수있다.[ 그림 6] 은프라이버시컨트롤러를이용하여사용자가개인정보보호정책을설정하는예를보인다. www.ncsc.go.kr 49
심층분석 [ 그림 6] 개인정보보호정책설정 4.2.6 대화형질의기능 대화형질의기능은가입자가본인정보의공유여부를 질의 로설정한경우에발생한다. SP가작업을처리하기위해가입자의정보를요구할경우, SP는 IDSP에해당정보를요청하게된다. 이때정보의공유여부는사용자의정책에달려있다. 해당정보에대한정책이 질의 로설정되었다면, IDSP는해당정보를 SP에게제공하기전에가입자로부터직접해당정보의공유를동의하는지여부를질의해야한다. 대화형질의기능은두가지방식으로동작할수있다. 첫번째는가입자가현재시스템에접근해있는상태이다. 이경우에는정보제공동의여부를질의하는페이지로가입자를이동시켜가입자의동의를얻도록한다. 두번째는가입자가현재시스템에접근하지않은상태이다. 이경우에는가입자가다른서비스를이용하고있거나, 웹환경을이용하지않을때이다. 본시스템에서는 50 Monthly 사이버시큐리티
주민번호보호와디지털 ID 관리기술 이와같은경우를대처하기위해가입자가 IDSP에로그인할때, Noti 프로그램을가입자 PC에구동시켜둔다. 이경우 IDSP는 Noti에게해당질의메시지를전송한다. Noti 프로그램은항상 IDSP의응답을대기하고있으며, 메시지를받으면사용자로부터응답을받아서 IDSP로다시전달한다. [ 그림 7] 은 Noti 프로그램이동작하는모습을보여준다. [ 그림 7] 대화형질의 5. e-idms 적용사례 본절에서는 e-idms를적용하여현재구축이진행되고있는대전광역시의공공기관통합id관리시스템에대하여기술한다. 이시스템은공공기관의홈페이지를통해사용자의정보가유출되는것을방지하며, 현재사용자본인확인수단으로널리활용되고있는주민번호를사용하지않고도사용자본인을확인할수있는수단을제공하는것을목적으로하고있다. 또한, 사용자개인의취향이나서비스사용문맥 (Context) 에따라, 사용자에게최적화된서 www.ncsc.go.kr 51
심층분석 비스를제공하는것을목적으로한다. [ 그림 8] 은통합ID관리시스템구축의개념도이다. 이시스템은현재관내 5개구청을포함한 21개사이트를연계하여구축하고있으며다음과같은서비스를제공한다. ID 관리서비스 ID 정보제공서비스 인터넷 SSO 서비스 개인정보보호서비스 인터넷민원접수실명제서비스 통합ID관리시스템은인터넷민원접수실명제서비스를제공한다. 다음 [ 그림 9] 는인터넷민원접수실명제서비스의동작흐름도를나타낸다. 구청운영사이트 (SP) 동구청 사용자 Database 사용자 Database 통합 ID 관리시스템 Federation/SSO 중구청 사용자 Database Federation/SSO 서구청 사용자 Database 사용자 Database 대표홈페이지 ITS 세정 SP 유성구청 사용자 Database 대전시청운영사이트 (SP) 대덕구청 사용자 Database [ 그림 8] 통합 ID 관리시스템구축개념도 52 Monthly 사이버시큐리티
주민번호보호와디지털 ID 관리기술 0. 대면실명확인 0-1. 사용자실명정보등록 대면확인기관 ( 시 / 구 / 동사무소 / 학교등 ) 주민번호대체정보발급기관 (IDSP) 1. 실명인증등록 (IDSP) 가입 사용자 3. 사용자동의후 Id Federation 요청 2. 서비스요청 4. Id Federation 수립 주민번호대체정보발급공유 5. 서비스이용 Trust relationship (SAML 2.0 Protocol) 제휴사이트 (SP) [ 그림 9] 인터넷민원접수실명제서비스 서비스를이용하기위해서사용자는먼저 IDSP에가입을한다. IDSP 가입을위해사용자는먼저동사무소, 학교등과같은대면확인기관에실명확인정보를등록하며이들정보는 IDSP에등록된다. 사용자는대면등록후, IDSP에실명인증등록을수행함으로써 IDSP에가입을완료하게된다. IDSP 가입후, 사용자는 SP를통해서비스를이용하게된다. SP는사용자에게서비스를제공하기전에사용자의실명확인을위해 IDSP에게사용자실명확인정보를요청하게되고, IDSP는사용자의실명을확인한후, 이정보를 SP에전달한다. SP는 IDSP의정보를이용하여사용자의실명을확인한후, 사용자에게서비스를제공한다. www.ncsc.go.kr 53
심층분석 공공기관통합ID관리시스템을구축함으로써사용자와공공서비스제공기관및 ID 서비스제공기관에서얻을수있는기대효과는다음과같다. [ 표 1] 서비스이용대상별기대효과 서비스이용대상자 구분적용대상 기대효과 사용자공공서비스제공기관 ID 서비스제공기관 국민, 시민중앙행정기관지방자치단체기타공공기관광역자치단체 편리하고안전한인터넷사용 신뢰계정을통해모든사이트를쉽게이용 주도적인개인정보관리 간편한 ID 정보관리 사용자에특화된프리미엄서비스이용 개인정보의유지비용감소 사용자에게특화된맞춤형서비스제공 가입자확보가용이 사이트의보안강화 기존고객정보를이용한새로운서비스창출 고객의접속증가 고객의만족도향상 6. 결론 현재우리는주민번호도용에대한피해를실감하고있다. 그러나향후에는서비스환경의고도화에따라더욱많은 ID를보유하고이용하게될것이며, 많은수의 ID는인터넷이용의불편함뿐만아니라, 잘못된이용과관리로인하여주민번호도용이상의피해를불러올수있다. 하지만보호만을위한단편적인접근만으로는 ID의다측면적인속성에대해효과적으로대처하기어려울것이며, 오히려 ID의경제적가치증가에따라불법적인취득및악용을야기할수있을것이다. 그러므로개인정보를보호하면서안전하게 ID를활용할수있는프레임워크를제공하는것이반드시 54 Monthly 사이버시큐리티
주민번호보호와디지털 ID 관리기술 필요하다. 본고에서는이러한문제점을다루고있는디지털ID관리기술에관해개략적으로살펴보고, 인터넷규모의디지털ID관리서비스를위해 ETRI에서개발한 e- IDMS의구성과특징및현재구축중인대전광역시 공공기관통합ID관리시스템 사례등을소개하였다. 현재뿐만아니라향후유비쿼터스와같이지능화된서비스환경에서는사용자의위치, 역할, 권한, 취향등과같은다양한속성정보를이용하여고부가의맞춤형서비스가증가할것으로예상된다. 그러나이러한서비스는개인정보의공유가필요한데, 이것은프라이버시침해의소지가있다. 그러므로프라이버시를보호하면서개인정보를기반으로하는맞춤형서비스를활성화시킬수있는방안마련이필요할것이다. 이것은우리나라가정보통신인프라강국에서진정한정보통신강국으로가는길목에서디지털ID관리기술에더욱많은관심과대비가필요한이유이다. 참고문헌 한국전자통신연구원, 전자통신동향분석, 인터넷 ID 관리서비스, 2005.2 한국전자통신연구원, 인터넷 ID 관리서비스기술백서, 2005.6 정보통신정책제 16 권 8 호통권 346 호, " 주민등록번호남용억제에관한법제적고찰, 2004.5 대전광역시전자정부지원사업제안요청서, 공공기관통합 ID 관리시스템, 2006.3 www.ncsc.go.kr 55
Monthly 사이버시큐리티기고문공모 국가사이버안전센터는건전한사이버문화를선도하고향후유비쿼터스등정보화사회에서의정보보호에대한중요성을제고하고자정보보호관련국내외제도및정책에관한제언, 웜 바이러스분석, 신종해킹및대응방법등사이버공간의안전과관련된각종기고문및분석보고서를공모하오니정보보호에관심있는많은분들의적극적인참여를바랍니다. 1. 응모주제분야 가. 정보보호제도및정책관련기고 국내정보보호정책에관한제언 국내외정보보호관련제도비교및향후발전방향 해외유사기관과의비교를통한국가사이버안전센터의발전방향제시 나. 웜 바이러스, 해킹및취약성분석보고서 신종웜 바이러스분석보고서 신종해킹, 취약점및대응방법 중요한피해사례및피해현황 다. 기타국가안보차원의사이버위협관련분석자료등 2. 제출형식및작성방법 제출형식은자유형식으로작성하시되발행되는 Monthly 사이버시큐리티 를참고하여작성하여주시기바랍니다. 홈페이지 (www.ncsc.go.kr) 보안정보 동향분석정보란참조 제출한분석보고서는다른곳에발표가되지않은독창성을지녀야합니다. 각종인용자료및참고문헌을밝혀주시고자세한설명은각주를이용하시기바랍니다. 정책제언은 A4기준 5~10P 이내, 분석보고서는 15P 내외로작성하여주시고 1인당응모편수는제한이없습니다. 3. 제출방법및기타사항 제출방법 : E-mail(analysis@ncsc.go.kr) 제출된기고문및보고서는반환하지않으며당선작은소정의원고료를지급하고 Monthly 사이버시큐리티 책자에게재됩니다. 당선된자료를추후에다른곳에인용시는반드시 Monthly 사이버시큐리티 년 월호를명시하여주시기바랍니다. 기타문의사항은국가사이버안전센터로문의바랍니다. (E-mail : analysis@ncsc.go.kr, 전화 : 02-557-0181)
Monthly 사이버시큐리티 2006 년 7 월호 통권제30호 발행일자 : 2006년 8월 10일 발행기관 : 국가사이버안전센터 본내용은국가사이버안전센터홈페이지에서열람가능합니다. 독자여러분의의견을홈페이지에서받습니다. 본내용과관련된문의는아래로연락주시기바랍니다. 홈페이지 : www.ncsc.go.kr, www.nis.go.kr( 국정원 ) 대표전화 : 02-3432-0462, 02-557-0716, ( 국번없이 )111 팩스 : 02-3432-0463 전자우편 : info@ncsc.go.kr ( 비매품 )