News Room
뉴스룸
각종 이슈부터 꼭 필요한 정보까지!
한국기업보안의 소식과 뉴스를 알려드립니다.
- 보도자료
- 기사
SCROLL
NEWS ROOM
KCS 뉴스룸
-
-
인터넷쇼핑몰 보안 취약 “어디 겁나서 쇼핑하겠나”
-
보안서버 갖추고 있어도 일부구간 개인정보 암호화되지 않아
[보안뉴스 호애진] 국내 약 100개 쇼핑몰 중 30개 업체가 보안서버를 설치하지 않았거나 보안서버가 설치돼 있어도 일부구간에서 암호화가 되지 않아 개인정보 유출 가능성이 높은 것으로 나타났다.
최근 현대캐피탈과 농협 사건으로 보안과 개인정보 문제가 사회적 이슈로 떠오르는 가운데 한국소비자연맹은 인터넷쇼핑몰의 보안서버 설치와 관련, 100개 인터넷쇼핑몰에 대해 운영여부 조사를 실시했다.
이들 중에는 대기업에서 운영하는 쇼핑몰도 포함돼 있어 인터넷쇼핑몰에서 개인정보 암호화 등 보안문제가 심각한 것으로 조사됐다. 인터넷쇼핑몰은 대부분 회원제로 운영이 되며 물품 주문을 받기 위해 적게는 수 백 명에서 수 만 명에 대한 개인정보를 보유하고 있다.
[중략]
보안서버는 인터넷상에서 사용자 PC와 웹서버 사이에 송수신되는 개인정보를 암호화해 전송하는 서버다. 해당 전자상거래 업체의 실존을 증명해 고객과 웹 서버간의 신뢰를 형성하고 웹 브라우저와 웹 서버간에 전송되는 데이터의 암·복호화를 통해 보안채널을 형성해 안전한 전자성거래를 보장하는 장치로 ‘정보통신망이용촉진및정보보호등에관한법률 제28조’에서 인터넷쇼핑몰이 이를 시행하도록 규정하고 있다.
도서전문쇼핑몰의 경우 조사대상 5개 업체 모두 보안서버를 설치하고 있었으며 의류전문몰, 컴퓨터전문몰, 오픈마켓은 조사대상 중 80% 보안서버를 설치하고 있었고 종합쇼핑몰의 경우 조사대상 45개 쇼핑몰중 40%만이 보안서버를 제대로 갖추고 있었다.
GS SHOP, 롯데i몰, 위즈위드, 하이마트 등은 보안서버는 갖추고 있지만 일부 구간에서 개인정보가 암호화되지 않고 노출되는 것으로 나타났으며 NH마켓 등은 보안서버를 갖추고 있지 않은 것으로 조사됐다.
한국소비자연맹은 100개 쇼핑몰 이외에 조사대상을 서울시에 통신판매업 신고가 돼 있고 운영중인 3만여개 쇼핑몰로 확대해 보안서버 미설치 쇼핑몰에 대해 방송통신위원회에 시정을 건의할 예정이다.
-
-
-
韓 개인정보보호 수준 세계 12위
-
[아시아경제 임선태 기자]국내 개인정보보호 수준이 지속적으로 향상되고 있는 것으로 나타났다. 세계경제포럼(WEF)에서 발표한 세계 정보통신기술보고서(GITF)상 보안서버 보급률 국가 순위가 전년 대비 상승한 것으로 나타났다.
13일 방송통신위원회(위원장 최시중)에 따르면 우리나라 보안서버 보급률 순위는 조사대상 137개 국가 중 12위를 차지해 지난해 대비 2계단 상승했다. 지난 2008년과 2009년 해당 분야 순위는 각각 51위, 16위였다.
보안서버는 인터넷상에서 주민등록번호, 아이디, 패스워드 등의 개인정보를 암호화해 전송함으로써 해킹 등의 불법 침해행위로부터 개인정보를 보호하는 기본적인 수단이다.
[기사전문보기]
-
-
-
한국 보안서버 보급률, 작년보다 상승한 세계 12위
-
방통위, “확대 지속 추진...우리나라 개인정보보호 수준 향상시킬 것”
[보안뉴스 김정완] 방송통신위원회는 세계경제포럼(WEF)이 발표한 2011년 세계 ICT보고서(Global Information Technology Report 2010-2011)에 따르면 유일한 개인정보보호 분야의 국가지수인 보안서버 보급률 순위가 조사대상 137개 국가 중 12위를 차지해 2010년도 14위에서 2단계 상승했다고 13일 밝혔다.
보안서버는 인터넷상에서 주민등록번호, 아이디, 패스워드 등의 개인정보를 암호화해 전송함으로써 해킹 등의 불법 침해행위로부터 개인정보를 안전하게 보호하는 가장 기본적인 보호수단이다.
이에 따라 방통위는 개인정보를 다량으로 취급하는 웹사이트에 대한 실태점검, 계도 및 홍보와 중소 영세사업자에 대한 지원사업 등을 통해 적극적인 보안서버 보급정책을 추진한 결과, 최근 3년간 국내 보급률이 크게 개선되어 국가 순위가 향상되었다고 밝혔다.
[기사전문보기]
-
-
-
안전한 HTTPS, 안쓰나 못쓰나?
-
필요성에 대한 인지 부족...재정적인 문제도 한몫
[보안뉴스 호애진] 최근 많은 인터넷 사이트들이 보안 강화를 위해 HTTPS를 이용해 접속하도록 하고 있다. 기존의 HTTP는 암호화를 거치지 않기 때문에 악의적인 해커가 마음만 먹으면 언제든 내용을 들여다 볼 수 있어 프라이버시 위협 문제가 제기되고 있기 때문이다.
HTTPS는 데이터를 전달할 때 공개키와 비밀키에 기반한 암호화를 거치므로 사용자의 데이터를 안전하게 전송한다.
따라서 로그인 시 계정과 비밀번호 및 금융정보나 메일과 같은 민감한 정보를 다룰 시에는 HTTPS로 접속하는 것이 안전하다. 이는 SSL이 적용된 사이트로 비교적 신뢰할 수 있는 사이트라는 것을 의미한다.
외국의 금융서비스 웹사이트에서는 HTTPS 기능이 필수다. 구글·아마존·야후 등도 HTTPS 기능을 적용했으며 페이스북과 트위터 역시 사용자가 이 기능을 선택할 수 있도록 했다.
우리나라의 경우도 대형 포털을 비롯, 여러 대형 웹 사이트에서는 개인정보보호를 위해 HTTPS 기능을 적용하고 있다.
이진규 네이버 팀장은 “네이버·한게임·미투데이 등 모든 네이버 서비스의 계정정보 인입구간에 HTTPS가 적용돼 있다”고 강조하며 “PW에 대한 일방향 암호화, 주민등록번호 암호화, (로그인 시) 보안로그인 및 IP 보안 적용을 통해 보안을 강화시키고 있다”고 덧붙였다.
그렇지만 대형 포털사이트와 전자상거래 사이트를 제외한 많은 사이트들이 여전히 이를 사용하지 않고 있다.
방송통신위원회와 한국인터넷진흥원(KISA)이 발표한 결과에 따르면 보안서버인증을 이용하는 국내 서버 보급 대수는 2010년 64,415대인 것으로 나타났다.
하지만 시장조사기관인 IDC에 따르면 지난 2010년 국내 출하된 서버 수만 해도 105,490대다. 이를 감안할 때 64,415대는 턱없이 부족한 수치다.
보안이 보다 강화되는데, 왜 쓰지 않는 것일까? HTTPS 암호화를 하면 웹 서버에 부하가 생기기도 한다. 그러나 모든 콘텐츠를 암호화시키는 것이 아니라 로그인 계정 및 개인정보가 포함된 콘텐츠에만 적용시키기 때문에 이는 우려할 바가 못된다.
문제가 되는 것은 업체에서 정보보호의 중요성에 대해 인식하지 못하고 있다는 점이다. 또한 인증서를 베리사인(Verisign) 같은 업체에서 비싼 돈을 주고 사야 하는 부담이 따르기도 한다.
[기사전문보기]
-
-
-
개인정보보호법 29일자로 공포...9월30일 시행!
-
29일 관보 게재...‘정보통신망법 시행령 일부개정령’도 공포
[보안뉴스 김정완] 개인정보보호법이 3월 29일자로 대한민국정부 관보에 게재됨에 따라 공포됐다.
대한민국정부 관보를 통해 국회에서 의결된 개인정보보호법이 법률 제10465호로 공포됐다.
이로써 개인정보보호법은 오는 9월 30일부터 시행되게 된다.
[기사전문보기]
-
-
-
개인정보 빼내는 가짜 농협 인터넷뱅킹 “완전 똑같아!”
-
26일 이후 국내에선 IP차단... 외국은 아직도 주의 필요
[보안뉴스]오병민] 인터넷뱅킹을 복제해 개인정보를 수집하는 피싱사이트가 또 다시 급증하고 있어 사용자의 주의가 요구되고 있다. 특히 최근에는 농협의 인터넷뱅킹 사이트를 똑같이 복제한 가짜 농협 인터넷뱅킹 사이트가 등장해 접속한 사용자의 개인정보를 수집했던 것으로 화인됐다.
최근 등장한 가짜 농협 인터넷뱅킹 사이트는 진짜 농협 인터넷뱅킹과 차이를 구별할 수 없을 정도로 똑같이 만들어졌다. 이에 따라 전문가들은 기존 인터넷뱅킹 사이트의 일부 소스 코드를 복사해 만들어 진 것으로 추측하고 있다.
현재 이 사이트는 사용자의 신고로 인해 국내에서 IP가 차단돼 접속이 불가능 상태. 그러나 차단 전인 3월 26일 전까지 접속한 사용자들은 개인정보 유출에 대한 우려가 있으며, 국내 사용자에 대해서만 IP가 차단됐기 때문에 외국사용자들은 아직도 주의가 필요한 상황이다.
이 가짜 사이트의 주요 목적은 개인정보 수집이다. 따라서 로그인을 클릭 할 경우, 보안카드 승급 후 로그인이 가능하다는 메시지를 표시하고 로그인 창에서 주요정보를 입력하도록 유도한다. 유도하는 개인정보는 △이용자ID, △주민등록번호, △계좌번호, △계좌비밀번호, △자금이체비밀번호, △휴대폰번호, △이메일 정보 등이다.
만약 사용자가 로그인창에 개인정보를 입력하고 확인 버튼을 클릭할 경우 "처음 갱신하실 경우 통신 상황에 따라 5분 정도 소용할 수 있습니다." 라는 메시지를 통해 입력된 정보만 빼낸 후 더 이상의 진행은 없는 것으로 파악됐다.
그리고 이 사이트는 도메인 주소를 'http://www.bank-nonghyup.com'로 만들어 실제 농협의 인터넷뱅킹 사이트의 도메인 'http://bank.nonghyup.com'과 흡사해 사용자들이 쉽게 혼동할 수 있도록 했다.
정보보호 전문 블로그인 '울지않는 벌새(http://hummingbird.tistory.com)에 따르면, 사이트 개설자는 중국인으로 2011년 3월 5일에 등록된 도메인으로 확인이 되고 있으며, 실제 접속 아이디(IP)는 [174.***.9.***]으로 미국(USA)에 위치한 서버로 확인이 되고 있다.
[기사전문보기]
-
-
-
개인정보보호법 시행전 감춰진 유출사고 대량 공표 예상돼
-
시행후 개인정보 고가거래, 유출통지제 악용 기업협박 등 폐해 우려
9월 말 시행 앞두고 범국가적 개인정보보호 인식제고 위한 홍보 필요
[보안뉴스 김정완] 개인정보보호법이 9월 말경 시행을 앞두고 있는 가운데 보안업계는 법안 시행에 따른 지속가능한 성장을 꾀하는데 여념이 없다. 또한 그것은 법안 시행에 따른 수혜를 받는 보안업계뿐만이 아니라 법적용을 받는 기업에서도 마찬가지다.◇ 법시행에 따라 감춰졌던 유출사고들 대량 공표 예상돼
보안전문가들은 법시행에 따른 폐해에 대해 우려 하고 있다. 그 중에 하나가 법시행에 따라 감추고 있던 해당 기업들의 유출사고들이 수면으로 떠오를 수 있다는 것. 개인정보보호법 제34조는 개인정보 유출사실의 통지를 의무화하고 이를 위반할 시 3,000만원 이하의 과태료를 부과하기 때문이다.
한 보안전문가는 “대·중기업들이야 이미 개인정보보호에 힘을 쏟고 있지만 문제가 되는 것은 영세한 소기업들”이라며 “이들 영세·소기업들은 자신이 법적용 대상인지도 모른 채 지금까지 감춰온 유출사고를 끝까지 감추려고 할 것이다”고 말했다.
실제 우리나라보다 빨리 개인정보보호법을 시행한 일본의 경우에도 법시행 전 주로 금융기관에 의해 막판에 대량으로 사건사고가 공표됐다. 일본네트워크시큐리티협회(JNSA)에 따르면, 2004년도의 누출사건이 366건이었던데 반해 2005년 4월 시행 한달 전인 3월에 대량의 사건사고가 공표돼 2005년에는 무려 1,032건의 누출사고가 발생했다. 특이할 사항은 누출피해자수가 2004년도에는 1,044만명이었는데 2005년에는 누출사건수에 비해 오히려 낮은 881만명의 누출피해자가 발생한 것으로 집계됐다.
즉 법적용을 받지 않기 위해 감추고 있던 유·노출사고를 법시행 전에 공표한 것이다. 또한 누출피해자수가 공표된 사건수가 많음에도 불구하고 현저히 낮은 것은 이들 공표한 기업들이 영세·소기업이기 때문이라고 풀이할 수 있다.
이와 관련 한 보안업계 관계자는 “스스로가 법적용 대상이라는 것을 알고 시행 전 감춘 유출사고를 공표한 것은 그나마 다행”이라고 말하고 “영세한 기업들은 자신들이 개인정보보호법 적용대상인지도 모르고 있는 경우가 더 많은 만큼 법시행 전 이에 대한 홍보가 필요하다”고 조언했다.
[기사전문보기]
-
-
-
“트위터, 이제 HTTPS로 더욱 안전하게 이용하세요”
-
‘항상 HTTPS 사용 항목’을 설정해 보안을 강화해야 [보안뉴스 호애진] 트위터는 사용자가 보다 안전하게 서비스를 이용할 수 있도록 HTTPS를 이용해 Twitter.com에 항상 자동 접속할 수 있도록 하는 보안 대책을 마련했다. 트위터는 16일 사용자에게 HTTPS를 이용해 Twitter.com에 항상 자동 접속할 수 있는 옵션을 제공하겠다고 발표했다. HTTPS는 사용자의 웹브라우저와 서비스 사업자의 웹서버 사이의 소켓통신에 SSL을 사용, 세션 데이터를 암호화해 송수신하는 방식을 말한다. 검색 데이터는 일반 검색의 결과와 동일하다. HTTPS를 적용할 경우 검색 속도가 조금 느려지는 문제가 있지만 보안은 더욱 강화되기 때문에 사용자는 이를 고려해 선택하면 된다. 보안을 강화시키기 위해서는 트위터 사이트에서 ‘항상 HTTPS 사용 항목’을 설정하면 된다. 과거에도 트위터 사용자들은 이 방식으로 사이트에 접속할 수 있었으나 주소 입력창에 HTTPS를 직접 입력해야 하는 불편함을 겪었다. <출처:보안뉴스>
-
-
-
개인정보보호법 제정 최종 확정!
-
마지막 국회 관문 본회의 11일 통과...올해 9월25일경 시행예정!
[보안뉴스 김정완] 지난 2004년부터 입법논의된 개인정보보호법이 오랜 논의 끝에 드디어 제정돼 시행을 앞두게 됐다. 11일, 국회 통과 마지막 관문인 제298회 국회 제2차 본회의를 통과한 것.
이에 따라 금일 본회의를 통과한 개인정보보호법(대안)은 공식적으로 정부(법제처)로 이송돼 국무회의에서 통과돼 마지막으로 대통령 재가를 받게 된다.
이후 15일 이내에 공포가 되는데 이와 관련 정부 관계자는 정부 관보에 오는 25일 경 공식적으로 게재돼 공포가 될 것으로 보았다.
[기사전문보기]
-
-
-
국내 40개 웹사이트 DDoS 공격...
-
[보안뉴스 오병민] 안철수연구소(대표 김홍선)는 디도스(DDoS; Distributed Denial of Service, 분산 서비스 거부) 공격이 국내 40개 웹사이트를 대상으로 발생하고 있다고 발표했다. 3월 4일 오늘 10시부터 29개 사이트가 공격을 받았으며 같은 날 오후 6시 30분부터는 40개 사이트가 공격을 받을 것이라고 예측했다.
보안업계에 따르면 4일 첫 공격은 10시부터 발생하고 있으며 같은 날 오후 6시 30분부터 추가 공격이 다시 발생할 것이라고 예측했다.
사실 이번 DDoS 공격은 3일 오전 8시에 처음 나타난 것으로 확인됐다. 그러나 당시 공격은 신속한 대응으로 무마 됐었으나 4일 또다시 공격이 발생한 것.
이에 따라 안철수연구소는 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상대응체제를 가동하는 한편 DDoS공격을 유발하는 악성코드의 전용백신을 개발해 무료 제공한다.
이번 공격은 지난 2009년 7월 7일부터 9일까지 국내 23개 웹사이트를 겨냥한 7.7 디도스 대란 때와 유사하다. 4일 10시 공격 대상 29개는 네이버, 다음, 한게임, 디씨인사이드, 지마켓, 청와대, 외교통상부, 통일부, 국회, 국가대표포털, 방위사업청, 경찰청, 국세청, 국방부, 합동참모본부, 육군본부, 공군본부, 해군본부, 주한미군, 행정안전부, 한국인터넷진흥원, 안철수연구소, 금융위원회, 국민은행, 외환은행, 신한은행, 농협, 키움증권, 대신증권이다.
또한 4일 6시 30분 공격 대상 40개는 네이버, 다음, 옥션, 한게임, 디씨인사이드, 지마켓, 청와대, 외교통상부, 국가정보원, 통일부, 국회, 국가대표포털, 방위사업청, 경찰청, 국세청, 관세청, 국방부, 합동참모본부, 육군본부, 공군본부, 해군본부, 주한미군, 국방홍보원, 미8군전투비행단, 방송통신위원회, 행정안전부, 한국인터넷진흥원, 안철수연구소, 금융위원회, 국민은행, 우리은행, 하나은행, 외환은행, 신한은행, 제일저축은행, 농협, 키움증권, 대신증권, 한국철도공사, 한국수력원자력㈜이다.
디도스 공격을 유발하는 악성코드는 ntcm63.dll, SBUpdate.exe, ntds50.dll, watcsvc.dll, soetsvc.dll, mopxsvc.dll, SBUpdate.exe 등이다. 이들 악성코드가 설치된 PC는 이른바 ‘좀비 PC’가 되어 일제히 특정 웹사이트를 공격한다. 안철수연구소 보안전문가들은 3월 3일 첫 신고를 받아 분석한 결과 공격 대상과 공격 시각을 파악했다. 동시에 좀비 PC를 최소화하기 위해 전용백신을 신속히 개발했다.
<기사전문보기>
-
-
-
'개인정보보호법' 제정 목전?!...오는 3월 9일 법사위 논의
-
[보안뉴스 김정완] 지난해 12월 국회에서 통과돼 법제정이 이루어질 것으로 예상됐으나 현재까지도 법제정이 이루어지지 않은 가운데 이번 2월 임시국회에서 재차 논의될 것으로 예상됐던 ‘개인정보보호법’이 오는 3월 9일 국회 법제사법위원회 법안2소위에 회부돼 논의될 것으로 전해져 귀추가 주목된다.
개인정보보호법은 공공기관 개인정보보호법, 정보통신망법 등의 개별법간 보호원칙, 처리기준 및 추진체계가 상이해 국민혼란, 일관된 정책 추진에 한계가 있어 지난 2004년부터 일반법으로서의 개인정보보호법이 논의돼 오다 현재 국회 계류 중에 있다.
<기사본문보기>
-
한국기업보안 주식회사 | 서울특별시 서초구 강남대로99길 53 삼우빌딩 4층 (우)06527
COPYRIGHT © 2021 KORSEC. ALL RIGHTS RESERVED.
