kcs 로고

News Room

뉴스룸

각종 이슈부터 꼭 필요한 정보까지!
한국기업보안의 소식과 뉴스를 알려드립니다.

  • 보도자료
  • 기사

SCROLL

NEWS ROOM

KCS 뉴스룸

  • 인터넷전화, 쉽게 해킹 가능한 취약점 노출

    인터넷 전화 도용이나 대규모 인터넷 전화 대란 가능성 있어

    국내 인터넷전화(VoIP)의 심각한 보안 취약점이 계속 방치돼 있어, 누군가에게 쉽게 인터넷전화가 도용되거나 심지어는 인터넷전화 불능 대란에도 노출돼 있는 것으로 확인됐다.

    특히 국내 주요 인터넷전화의 경우, 이메일 하나만 보내 사용자가 단지 읽기만 해도 인터넷 전화의 관리자 계정을 탈취할 수 있는 것으로 파악됐다. 이를 이용하면, 관리자 계정 비밀번호를 변경하지 않은 특정 통신사의 인터넷 전화를 모두 패스워드를 바꿔 마비시킬 수 있을 뿐 아니라, 사용자 몰래 인터넷 전화를 도용하는 것도 쉽게 가능한 것으로 나타났다.

    이는 국내 주요 통신사의 인터넷전화의 특정포트가 외부에서 접속할 수 있도록 열려있어, 기본으로 설정된 ID와 패스워드 만 알면 관리자 계정에 쉽게 접근할 수 있었기 때문. 그러나 국내 인터넷 전화들의 기본 ID와 패스워드는 간단한 인터넷 검색으로도 쉽게 알아낼 수 있는 상황.

    게다가 관리자 계정에는 인터넷 전화를 이용하는데 필요한 SIP 계정과 패스워드를 쉽게 추출할 수 있게 돼 있어, 인터넷 전화를 이용하는 IP주소만 알고 있다면 그 인터넷 전화를 쉽게 도용할 수 있다.

    보안업계의 전문가들은 특정 사용자의 IP를 알아내는 것은 간단한 메일 한통으로도 충분하다고 이야기한다. 메일에 그림파일이 첨부돼 있으면 사용자가 메일확인시 그림을 보는 동시에 그림이 저장돼 있는 서버에 IP주소가 남게 되기 때문. 따라서 전문가들은, 현재 상황으로는 누군가의 인터넷전화를 도용하거나 쓸 수 없도록 하는 것은 매우 쉽다고 이야기한다.

    현재 이런 취약점으로 이용될 수 있는 인터넷 전화는 국내에만 해도 엄청난 수가 될 것으로 파악되고 있다. 보안뉴스에서 포트 스캔을 의뢰해 확인한 계정 접근이 가능한 인터넷전화 IP만해도 수백 건이 넘기 때문.





    [기사전문보기]


     

    2010-03-15

  • 고객정보 대량유출 백화점 등 3개 사이트

    “기업, 고객정보에 대한 기술·관리적 보안조치 당연시해야”

    대전지방경찰청은 개인정보 650만개를 중국 해커로부터 70만원에 사서 국내 일명 임사장 등 4명에게 600만원에 판매하는 방법으로 유통시킨 피의자 A씨를 검거해 조사 중에 있다고 밝혔다.

    전문가들은 이번 사건은 지난 옥션사건과 비교했을 때 개인정보유출 건수가 적다고 해서 쉽게 간과할 수많은 없는 문제라며, 실제 인터넷을 통해 이러한 개인정보 DB를 판매하고 있는 게시글들은 셀 수 없이 많기 때문이라고 우려했다.

    이와 관련 행정안전부 한 관계자는 “이번 사건으로 노출된 개인정보로 인한 추가 피해를 막기 위해 우선 개인정보 650만개가 유출된 사이트 업체들에 개인정보 유출사실을 고객에게 통보해 아이디와 패스워드 등을 긴급 변경할 것을 이미 통보했다”며 “아울러 경찰의 수사결과가 나오면 각 사이트들이 어떤 취약점이 있었는지 등을 파악할 수 있는 만큼 그에 대한 대응책 마련을 위해 방통위, 경찰청 등과 함께 합동으로 특별 실태점검을 실시하는 등의 조치를 취할 예정”이라고 밝혔다.

    이번 사건과 관련해 대전경찰청에 따르면, 650만개의 개인정보가 유출된 사이트 업체들은 다수지만 크게 3개 사이트, 즉 수도권의 유명 백화점 사이트(320만개), 문자메시지 관련 사이트(290만개), 네비게이션 사이트(40만개)가 유출된 것으로 파악되고 있다.

    백화점 등의 경우 지난해 정통망법 시행규칙 개정으로 준용사업자에 포함돼 법적으로 기술적·관리적 보호조치를 하게 돼 있다.

    이에 한 법조계 전문가는 “해킹으로 입수된 개인정보 DB를 구입해서 판매한 사람은 정보통신제공자인지 여부에 따라 처벌의 유무가 결정된다”고 말하고 “2009년 1월 14일 적용된 정보망법에 따르면 백화점과 같은 경우, 기술적·관리적 보호조치를 소홀히 해 고객정보가 유출됐다면 2년 이하의 징역에 1천만원 이하의 벌금의 형사처벌을 받게 된다”고 말했다.

    또한 정부 한 관계자는 “경찰로부터 아직 수사결과를 보고 받지 않아 명확하지는 않지만 개인정보가 유출된 사이트들이 유출된 사실을 이미 알고도 감추고 있었던 것이라면 큰 문제”라며 “지난 옥션사건과 GS칼텍스 개인정보유출사건으로 진전을 보인 개인정보보호법이 아직까지 국회에 계류 중인 상태에서 이러한 사건이 또다시 터진 것은 유감”이라고 밝혔다.

    한편 이와 관련 한국인터넷진흥원(KISA) 관계자는 “기업이 아무리 기술적·관리적 보안조치를 취한다고 해도 중요한 것은 해킹을 통해 정보가 유출될 수 있다는 것”이라며 “그런 측면에서 이번 사건을 통해 기업들은 법을 단순히 지키기 위한 눈가리고 아웅이 아닌 기본적으로 개인정보를 필요하지 않은 정보라면 수집하지 않고, 민감한 정보에 대해서는 스스로가 암호화 하는 등의 보안조치를 취하는 것이 당연한 보안인식을 지닐 수 있길 바란다”고 강조했다.



    [기사전문보기]

    2010-03-10

  • 650만명 개인정보 불법유통 피의자 검거돼

    DB판매 게시글 대부분 사실...하지만 검거하기 쉽지 않아


    개인정보유출 사건들이 연이어 발생하면서 국민들은 개인정보 관리에 좀더 신경을 쓰고, 개인정보를 보호하기 위해 기업은 물론 국민 스스로도 만전을 기하고 있다. 하지만 여전히 스팸메일과 스팸문자는 끊임이 없다. 자신도 모르는 사이에 악의적인 해커들은 개인정보를 해킹해 이를 악용하고 있기 때문이다.

    대전지방경찰청 수사과 사이버수사대는 지난해 11월 23일부터 3회에 걸쳐 중국 해커로부터 70만원을 지급하고 국내 유명 유통회사·통신사 등에 인터넷으로 가입한 회원들의 ID·패스워드·주민등록번호 등 개인정보 650만개를 구입해 최근인 올해 2월 25일, 일명 임사장 등 4명에게 600만원을 받고 판매하는 방법으로 유통시킨 피의자 A(29세)씨를 검거해 조사 중에 있다고 밝혔다.

    경찰에 따르면, 피의자는 인터넷 카페에 “인터넷 디비 판매합니다”라는 광고를 게시하는 방법으로 판매를 한 것으로 확인돼 업체들의 허술한 보안장치로 인해 인터넷 회원들의 패스워드 등 개인정보가 쉽게 해커들에게 유출 된 것이라고 설명했다.

    실제 검색 사이트를 통해 ‘인터넷 디비 판매합니다’로 검색만 하더라도 ‘실시간 각종 디비(DB,db) 보유중’아니 ‘최신 DB판매합니다. 1달마다 업뎃’이라는 등의 판매글을 쉽게 접할 수 있었다.

    그 내용을 살펴보면, “실시간대출DB 전문업체로서 신의를 지키며 영업을 해 왔으며, 각종 DB인 대출디비, 게임디비, 성인디비, 화상디비, 화장품 고객DB, 결혼정보회사 디비 등 각종 분야의 디비를 다량 보유하고 있다”거나 “요즘 제대로된 DB 구하기가 힘드시죠? 문자광고하실 대출사장님들 환영! 문자광고하실 게임사장님들! 모든일 광고하실 사장님들 환영! 필요하신 DB 막디비부터 통디비까자 다양하게 준비돼 매달 업데이트 하고 있다”는 등의 게시글들을 쉽게 찾아 볼 수 있다.

    이에 대전지방경찰청 사이버수사대 한 관계자는 “그렇게 포털이나 검색사이트에서 검색돼 나오는 게시글들은 사실”이라며 “하지만 이들은 대포폰이나 대포통장을 만들고, 타인의 이메일계정과 메신저를 이용해 PC방에서 이러한 게시글을 올려 실제 이들을 잡기란 무척이나 힘든 것이 또한 사실”이라고 설명했다.




    [기사전문보기]

    2010-03-10

  • “포털 검색 안전거래 사이트도 안심하면 안돼!”

    경찰, 허위의 안전거래 사이트 이용 인터넷 사기 일당 3명 검거
    “개인 간 안전거래 사이트, 전혀 관리되지 않는 현행법상 맹점 있어”


    허위로 만든 안전거래 사이트를 이용하도록 안심시켜 안전거래 사이트에 입금된 판매대금을 편취한 인터넷 사기 일당 3명이 검거됐다

    경찰청 사이버테러대응센터는 인터넷 물품 거래시 물품대금을 구매자로부터 예치받은 후 물품이 배송되면 예치대금을 판매자에게 지급하는 방법으로 안전한 거래를 담보하는 안전거래 사이트를 허위로 만들어 포털사이트에 광고한 뒤 물품 판매사이트에 명품시계, 오토바이, 순금 등 고가의 물품을 싸게 판매한다고 글을 게재해 이를 보고 연락한 피해자들에게 포털사이트에 광고된 자신들이 허위로 만든 안전거래 사이트를 이용하도록 안심시켜 안전거래 사이트에 입금된 판매대금을 편취한 피의자 3명을 검거했다고 26일 발표했다.

    특히 이들은 최근 단순한 인터넷 물품사기는 잘 속지 않자, 네티즌들이 신뢰하는 안전거래 사이트를 만들고 포털사이트에 광고하는 수법까지 사용한 것으로 밝혀졌다.

    경찰에 따르면, 이들 검거된 일당은 인터넷에 안전거래 사이트를 가장한 ‘하나크로(www.hanacro.com)’ 사이트를 개설하고, 포털사이트 검색 시 상위에 검색되도록 광고한 후 지난해 10월 27일, 인터넷 중고 명품시계 사이트에 로렉스 시계를 판매한다는 허위내용의 글을 게재했다. 그리고 이를 보고 구매를 요청한 피해자에게 마치 거래를 할 것처럼 속여 안전거래 사이트를 가장한 위 하나크로 사이트로 유도해 450만원을 입금 받아 편취하는 등 불과 4일 만에 총 13회에 걸쳐 3,856만원을 편취한 것.

    또한 피해자를 속이고 수사기관 추적을 피하기 위한 치밀한 범죄수법을 사용한 이들 일당은  고가물품인 명품시계나 오토바이를 대상으로, 실제 판매자인 것처럼 연기하기 위해 다양한 지역의 사투리를 구사했다. 특히 이들은 철저히 대포통장과 대포폰만을 이용했으며, 범죄가 발각되자 사용하였던 통장과 휴대폰을 모두 쓰레기통이나 하천에 버려 증거를 인멸했다는 것이 경찰 측의 설명이다.

    이와 관련 경찰 측은 “현행법(전자금융거래법, 전자상거래등에서의소비자보호에관한법률)은 통신판매업자와 소비자 간의 거래 안전을 위한 ‘결제대금예치(에스크로)’를 규정하고 있을 뿐이며 개인 간의 안전한 거래를 위한 전자금융업무는 규정되어 있지 않는다”며 “통상 네티즌 간의 거래에 사용되는 안전거래 사이트는 전혀 관리되지 않고 있어 법·제도적 보완책 마련을 관련부처에 요청할 방침”이라고 밝혔다.


    [기사전문보기]

    2010-01-29

  • [단독]안심못하는 신용카드 '안심클릭'…수천건 해킹

    신한과 삼성ㆍ현대ㆍ롯데 등 국내 4개 신용카드를 이용하는 고객들의 온라인 결제 정보가 해킹으로 유출돼 지금까지 확인된 것만 수억원대의 부정 결제 피해가 발생하고 있는 것으로 드러나 충격을 주고 있다.

    테마가 있는 뉴스[Why뉴스] 안성용 포인트 뉴스경찰, SAT 유출 '블랙리스트' 수사 확대클래식도 한류!…클래식 첫 한류스타 '디토'베토벤·브람스·바흐 탐구…'3B Series'오프라인에서 사용된 신용카드를 복제한 뒤 부정 사용하는 사례가 기승을 부리고 있는 가운데 이번에는 온라인 '안심클릭' 시스템까지 뚫린 것이어서 문제의 심각성을 더해주고 있다.

    경찰은 카드사들과 함께 고객정보 유출 경위와 피해 규모를 파악하는 등 수사에 나섰지만, 중국에 본거지를 두고 있는 것으로 추정되는 해커 일당을 추적하는 데 어려움을 겪고 있다.

    '안심클릭' 해킹…확인된 피해 금액만 1억7천만원에 달해

    25일 경찰과 카드업계 등에 따르면 신한ㆍ삼성ㆍ현대ㆍ롯데카드 등 4개 카드사의 상당수 고객들이 지난해 10월부터 최근까지 지속적으로 신용카드 부정결제 피해를 당하고 있는 것으로 확인됐다.

    누군가 신용카드 고객의 정보를 빼내 온라인에서 마구잡이로 사용하고 있는 것이다.

    이같은 피해는 지난해 10월부터 간간이 이어지다 지난 2일부터는 약 열흘 동안 하루 수백건씩 연이어 발생했고 최근까지도 하루에 2, 3건씩 계속되고 있다.

    지난 22일 기준으로 4개 카드사에서 130개 신용카드가 부정결제에 이용된 것으로 파악됐으며 피해 건수는 1천800여 건, 피해 금액은 약 1억 7천만 원에 달했다.

    그런데 이들 4개 카드사의 공통점은 온라인 구매 인증에 사용되는 결제용 보안프로그램으로 '안전결제(ISP)'가 아닌 '안심클릭' 방식을 사용한다는 것이다.

    삼성과 현대 등 비은행권 신용카드 결제에 주로 쓰이는 안심클릭은 온라인 거래 때 결제금액이 30만 원 미만이면 활용하는 것으로, 고객이 미리 설정한 '안심클릭 비밀번호'와 카드 뒷면 숫자 중 마지막 3자리인 'CVC(카드인증코드)번호'(카드사에 따라 CVV번호)를 차례로 입력하는 방식으로 결제가 이뤄진다.

    역으로 카드번호와 안심클릭 비밀번호, CVC 번호만 알면 온라인에서 아무런 제약없이 신용카드를 사용할 수 있는 것이다.

    피해를 당한 한 카드사 관계자는 "컴퓨터 바이러스를 이용한 해킹으로 카드 고객의 이메일 보관함이나 컴퓨터 등에서 안심클릭 비밀번호 등 관련 정보가 직접 빠져나간 것으로 추정된다"고 밝혔다.

    신용카드 정보를 유출당한 피해자들이 사는 지역과 연령대가 제각각이어서 공통점을 찾을 수 없고, 카드사와 전자지불(PG) 대행회사 서버에 외부로부터 침입한 흔적이 전혀 남지 않았다는 이유에서다.

    안심클릭의 경우 온라인 쇼핑사이트가 아닌 PG사의 서버를 통해 결제가 진행되므로 다른 경로를 통한 정보 유출은 원천적으로 차단돼 있다는 것이 카드업계의 설명이다.

    부정결제, 온라인 게임사이트에 집중

    그런데 피해자들의 신용카드는 특이하게도 온라인 게임머니와 아이템을 구매하는데 집중적으로 사용됐다. 카드정보를 빼돌린 일당이 실물 거래와는 달리 비교적 현금화가 쉽다는 점을 노렸기 때문으로 추정된다.

    신용카드로 구입한 게임 아이템들을 온라인 거래 사이트에서 바로 되팔면 손쉽게 현금을 확보할 수 있기 때문이다.

    D 온라인게임 사이트의 경우 약 400건의 부정결제로 시가 3천800만 원 상당의 게임머니와 아이템이 구매됐으며, N과 M 등 다른 온라인게임에서도 수백건의 안심클릭 부정결제가 이뤄졌다.

    카드업계 관계자들은 "아이템 거래 중개 사이트에서는 대부분 현금 10만 원 단위의 게임 머니와 아이템이 거래된다"며 "온라인 쇼핑몰에서 물건을 구입한 뒤 이를 팔아 현금화하는 번거로운 방법을 피하고 클릭만으로도 현금을 확보할 수 있다는 점을 이용한 것으로 보인다"고 말했다.

    중국발 해킹으로 추정…수사 난항

    .........




    [기사전문보기]

    2010-01-25

  • IE 취약점 관련, 보안패치 설치 등 보안수칙 지켜야

    안철수연구소, “개인정보 유출 주의...IE 보안패치 설치 등” 권고

    최근 중국에서 인터넷 익스플로러(IE)의 취약점을 악용한 해킹 사고가 발생해 마이크로소프트(MS)에서는 사안의 중요성을 감안해 정기 보안업데이트와 별도로 긴급 보안 패치를 배포했다. 취약점을 악용해 악성코드에 감염되면 개인정보 유출의 가능성을 배제할 수 없는 만큼 주의할 필요가 있다.

    특히 안철수연구소(대표 김홍선)는 최근 MS IE의 제로데이 보안취약점이 일반에 공개되고, 이를 악용한 악성코드 배포사례가 국내에서도 발견돼 주의가 필요하다고 22일 당부했다. 또한 22일 새벽 MS가 긴급 보안 패치 배포한 것과 관련해 보안 수칙을 발표했다.

    이에 조시행 안철수연구소 시큐리티대응센터 상무는 “이번 취약점이 있는 PC에서 악의적인 웹사이트에 접속하면 악성코드가 자동 설치되고, 이후 이메일, 주민등록번호, 온라인 계정, 비밀번호 등 PC 내 모든 개인정보 및 자료가 유출될 수 있다”며 “이로 인한 피해를 막으려면 MS가 제공하는 보안패치를 반드시 설치하고 자동 업데이트를 항상 실행하는 등의 보안 수칙을 지켜야 한다”고 당부했다.

    22일 새벽 MS가 긴급 보안 패치 배포와 관련한 내용을 살펴보면, “이번에 가장 심각한 취약점은 사용자가 IE를 사용해 특수하게 조작된 웹 페이지를 볼 경우 원격 코드 실행을 허용할 수 있다”고 설명하고 “이 보안 업데이트의 심각도는 지원대상인 윈도우 서버 2003 에디션의 IE6 제외한 모든 IE(5.01, 6, 6서비스팩1, 7 및 8)에 대한 긴급이며, 윈도우 서버 2003의 IE6에 대한 이 업데이트의 심각도는 보통”이라고 설명했다.

    또한 MS의 이번 긴급 보안 패치 배포와 관련 한국MS 측은 “이번에 발표한 긴급 보안 패치는 중국 해킹 사고를 통해 발견된 IE의 보안 취약점을 보완하는 패치로, MS는 사안의 중요성을 감안해 정기 보안업데이트와는 별도로 이번에 배포했다. 한국시간으로 오는 2월 10일 예정된 정기 보안업데이트는 이번 긴급 보안 패치 배포와는 별도로 배포될 예정”이라고 말하는 한편 “MS의 최신 브라우저인 IE8은 이번 해킹 사고의 영향을 받지 않은 것으로 확인됐다”고 덧붙였다.



    [기사전문보기]


     

    2010-01-25

  • '개인정보의 기술적ㆍ관리적 보호 조치 기준'이란?

    '개인정보의 기술적ㆍ관리적 보호 조치 기준'이란?

    비즈니스를 위한 개인정보보호법

    ‘개인정보의 기술적ㆍ관리적 보호조치 기준’(이하 ‘보호조치 기준’)은 사업자가 이용자의 개인정보를 취급함에 있어서 개인정보가 분실ㆍ도난ㆍ누출ㆍ변조ㆍ훼손 등이 되지 아니하도록 안전성 확보에 필요한 최소한의 기술적ㆍ관리적 기준을 제시하고 있다.
    보호조치 기준을 준수해야 하는 사업자는 정보통신서비스 제공자, 정보통신서비스 제공자로부터 이용자의 개인정보를 제공받은 자, 개인정보의 취급 업무를 위탁받은 자(수탁자)이다. 다만 위의 자에 해당하더라도 개인정보를 전혀 수집ㆍ이용하지 않는다면 이 기준의 적용대상에 제외된다. 사업자가 영리목적으로 이용자의 개인정보를 수집ㆍ이용하고 있다면 보호조치 기준을 준수해야한다. 

    보호조치 기준은 일반적인 가이드라인이나 지침과 같이 권고가 아닌 법률에 의해 반드시 준수해야 하는 의무사항을 구체화한 것이다. 따라서 보호조치 기준에 명시된 사항에 대하여 위반할 경우 법률에 따른 형사처벌이나 행정처분이 부과될 수 있다.


    개인정보의 안전성 확보에 필요한 최소 기준 마련


    보호조치 기준은 이용자 개인정보의 취급을 위한 구체적이고 명확한 기술적ㆍ관리적 세부 기준이 없이 개인정보를 취급하는 사업자들이 보호조치를 이행하는데 어려움이 발생함에 따라 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’)’(2004.1.29) 개정 및 동법 시행규칙 개정(2004.7.30)을 통해 안전성 확보에 필요한 최소한의 기준을 정해 고시할 수 있도록 법적 근거를 마련했다.

    보호조치 기준 제정(2005.3.24) 이후 해킹 및 내부자에 의한 개인정보 유출과 유출된 개인정보를 활용한 2차 피해 확산 등의 문제가 발생함에 따라 정보통신망법 개정(2008.6.13) 및 동법 시행령 개정(2009.1.28)을 통해 보호조치 기준도 개정(2009.8.7)하였다.

    개정된 보호조치 기준은 제1조(목적), 제2조(정의), 제3조(내부관리계획의 수립ㆍ시행), 제4조(접근통제), 제5조(접속기록의 위ㆍ변조 방지), 제6조(개인정보의 암호화), 제7조(악성프로그램 방지), 제8조(출력ㆍ복사시 보호조치) 및 제9조(개인정보 표시 제한 보호조치)로 구성되어 있다. 제9조는 권고사항으로 벌칙이 없지만 제3조부터 제8조까지는 필수사항으로 기준을 위반하는 경우에는 형사처벌이나 행정처분이 부과된다.

    제3조부터 제8조까지 세부내용은 다음과 같다.

    제3조(내부관리계획의 수립ㆍ시행)는 사업자가 이용자의 개인정보를 보호하기 위한 개인정보보호 조직의 구성 및 운영에 관한 개인정보관리책임자 지정, 개인정보취급자의 역할 및 책임, 개인정보관리책임자 및 취급자 대상 교육에 관한 사항 및 보호조치 기준의 제4조에서 제8조까지의 추진 방안을 마련하여야 한다.


    제4조(접근통제)는 이용자의 개인정보에 접근할 수 있는 개인정보취급자의 권한 부여 및 업무 변경에 따른 권한 변경, 권한 부여 및 변경에 대한 이력 보관(5년), 이용자의 개인정보 불법적인 접근 및 침해 방지를 위한 침입차단 및 탐지 기능 설비 운영, 개인정보취급자의 비밀번호 작성 규칙 등의 기준을 제시하고 있다.


    제5조(접속기록의 위ㆍ변조방지)는 개인정보취급자가 이용자의 개인정보를 서비스 제공을 위해 접속한 기록에 대한 월 1회 이상의 확인ㆍ감독, 접속기록의 보관 기간 및 접속기록이 위ㆍ변조되지 않도록 백업하는 기준을 제시하고 있다.


    제6조(개인정보의 암호화)는 이용자 및 개인정보취급자의 비밀번호 및 바이오정보에 대한 일방향 암호화, 이용자의 주민등록번호, 계좌번호, 신용카드번호의 저장 시 암호화, 개인정보 및 인증정보를 송ㆍ수신 하는 경우에 보안서버 구축을 통한 암호화, 이용자의 개인정보를 개인용 컴퓨터에 저장시 암호화에 대한 기준을 제시하고 있다.





    [기사전문보기]

    2010-01-11

  • 개인정보보호 위해 법적 기술적 보안조치 강화할 것

    강중협 행정안전부 정보화전략실장

    국가정보화를 책임지고 특히 정보보호 추진체계 강화와 정보보호 인프라 확충은 물론 개인정보 관련 법제 정비, 개인정보보호를 위한 관리체계 강화 등 업무를 담당하고 있는 행정안전부 정보화전략실. 이 곳 수장에 지난 11월 말 정부통합전산센터에서 센터장을 역임한 강중협 전 센터장이 선임되면서 그에 대한 기대가 크다.
    이에 강중협 행정안전부 정보화전략실장을 직접 만나 취임소감과 국가정보화 및 정보보호에 대한 생각과 의견 등을 들어봤다.


    준비된 정보화전략실장이란 평가에 대한 생각과 취임 소감은?

    우선 막상 국가 정보화를 총괄하는 행정안전부 정보화전략실장이라는 중책을 맡으니 책임감이 무겁기만 하다. 외부에서는 그간 IT분야 업무에서의 경험에 비추어 향후 전문적인 정책 수립과 추진에 기대를 높게 하고 있는 것 같다. 그러나 IT분야의 기술이나 정책 환경이 너무나 빠른 속도로 변화하므로 항상 부족하고 새로운 마음이 들고 또 한편으로는 그 동안 알고 있는 업무지식이 오히려 장애가 될 수 있다는 생각이 들기도 한다.

    그런 점에서 지금부터 다시 시작하고 항상 배우는 마음으로 추진해 나가고자 한다. 스스로도 지금까지보다 더욱 많이 공부하고 노력하며 직원들 그리고 학계ㆍ산업계 등 여러 전문가들의 의견을 다양하게 수렴함으로써 보다 전문적이며 실용적인 정책을 수립ㆍ추진해 나가고자 한다.

    정보화는 국가사회에 미치는 영향이 크기 때문에 범정부적으로 추진돼야 하며 IT업계뿐만 아니라 각계각층과 협력 및 의사소통이 필수적일 것이다. 마침 최근 청와대에 설치된 국가정보화전략위원회와 협력해 국가정보화의 저변을 확대함은 물론 국민의 기대와 정부의 국정철학에도 부응할 수 있게 국가정보화를 설계해 성공적으로 추진해 나가겠다.


    앞으로 국가정보화를 어떤 방향으로 추진해나갈 계획인가?

    이명박 정부 출범이후 행안부는 국가정보화기본법 등의 법령 정비, 국가정보화 기본계획 및 실행계획 수립, 국가정보화전략위원회 구성 등 선진 지식정보사회 실현을 위한 기반을 다져왔다. 그런 측면에서 앞으로는 이러한 기반을 바탕으로 사회 각 분야의 가치를 본격적으로 창출하는 활용과 융합의 국가정보화를 추진할 계획이다.

    우선 국민들이 일상생활 속에서 쉽고 편리하게 이용할 수 있는 정보서비스를 중점적으로 발굴하고 국내 SW산업 육성 및 IT 수요-공급 가치체인(Value-Chain)을 고려한 정보화 정책을 추진할 것이다. 또한 녹색성장, 4대강 살리기 등 국정과제 실천을 효율적으로 지원할 수 있는 정보화 아젠다를 적극 발굴ㆍ지원해 나갈 계획이다.

    아울러 범정부적 정보자원 통합, 사이버침해 및 개인정보유출예방 등 사이버안전 강화, 선플달기 운동 등 건전한 정보문화 확산 등 국가정보화의 기초도 더욱 공고히 할 것이다. 이를 위해 지난해 11월 10일 출범한 대통령 소속의 국가정보화전략위원회와 적극 협력해 유관부처간 정책연계를 강화하고 학계ㆍ산업계 등과의 교류를 대폭 확대해 국가정보화에 대한 상호 협력 및 이해를 증진시켜나갈 것이다.


    지난 2009년에는 7.7 DDoS 대란이 사회적 이슈가 됐다. 이를 어떻게 진단하고 있으며 대처방안은 무엇인가?

    지난 7.7 DDoS 대란으로 우리 사회가 비교적 적은 비용으로 사이버안전의 중요성을 재인식하는 계기가 됐다고 여긴다. 이는 그간 우리사회가 정보화에 눈부신 발전을 이룩한 반면, 정부와 기업 그리고 개인의 정보보호에 대한 투자나 대비는 소홀했다는 반증이 되기도 했다. 그런 측면에서 7.7 DDoS 대란은 사이버안전이 국민생활과 국가안보 전반을 위협할 정도로 그 중요성을 증대시켰으며 사이버안전이 뒷받침되지 않은 IT강국 코리아의 위상은 순식간에 물거품이 될 수 있음을 배울 수 있었다.

    앞으로 반복적인 침해사고 대응체계에서 벗어나 사이버안전에 대한 근본적 체질을 튼튼히 하고 선제적인 예방체계를 확립하는데 주력해 나가야 할 것이다. 이를 위해 우선 정부에서는 사이버안전 문제를 국가 재난안전 차원에서 관리하고 장기적으로는 정보화예산의 15%까지 정보보호에 투자를 확대해 보안 인프라를 확충해야 할 것이다. 거기에 국민들이 사이버보안을 생활화하고 기업들이 정보보호 투자를 확대해 대비태세를 강화할 수 있도록 적극지원이 이루어져야 한다.

    아울러 사이버공격의 많은 부분이 중국 등 해외에서 들어오므로 국가간 사이버수사 협력 활동에도 적극적으로 대처해야 하겠다. 그러나 너무 정보보호만 힘쓸 경우에는 유용한 정보서비스 개발에 장애가 될 수 있으므로 상호 조화가 될 수 있도록 하는 것도 잊지 않아야 한다.


    개인정보 유출사고가 지속적으로 발생해 국민들을 불안하게 하는데 개인정보 침해사고를 방지하기 위한 대책이 있다면?

    최근 개인정보 유출의 원인은 급속한 국가사회 정보화의 진전에 비해 개인정보보호를 위한 법적 장치가 미흡하고 정보보호에 대한 인식과 투자가 부족하기 때문이다. 따라서 공공ㆍ민간의 전 영역에 걸쳐 개인정보의 수집ㆍ보유ㆍ이용 등 처리기준을 엄격히 규정하고 국민의 권리 구제를 강화하는 내용을 담은 ‘개인정보보호법’ 제정을 추진하고 있다.

    그리고 개인정보 취급기관 및 사업자의 책임성을 강화하기 위해 개인정보 불법 유출시 처벌 수준을 강화하고 각급기관에 대한 개인정보보호 실태점검, 개인정보관리책임자, 실무자 등을 대상으로 한 지속적인 교육을 실시해 개인정보보호 인식을 높여나가고 있다.

    또한 최근 사회적 이슈가 되고 있는 주민번호 유출 방지를 위해 주민번호 대체수단인 I-PIN 보급을 확산할 것이며 주민번호 등 주요 개인정보의 암호화 및 개인정보노출 차단시스템 등의 기술적 보안조치를 강화해 나갈 예정이다.

    행안부는 개인정보 침해에 따른 권리구제절차의 홍보 강화, 분쟁조정 범위 확대 등을 통해 손쉽게 개인정보 피해구제를 받을 수 있는 환경을 조성할 계획이다.




    [기사전문보기]

    2010-01-11

  • 2010년 정보보호 정책 어떻게 바뀌나?

    2010년부터는 개인정보보호와 스팸등을 중심으로 정보보호 시스템이 대폭 강화된다. 특히 주요 개인정보에 대해서는 암호화가 의무화된다. 또한 정보보호제품 CC평가와 정보보호관리체계 인증 부문도 변화가 있을 것으로 보인다. 2010년 바뀌는 정보보호 정책에 대해 살펴본다.

    개인정보보호

    2010년 1월 29일 부터는 중요 개인정보는 암호화해 저장하도록 의무화한다. 예를 들어, 개인정보를 수집ㆍ취급하는 정보통신서비스제공자등은 주민등록번호, 계좌번호, 신용카드번호 등 중요한 개인정보를 DB에 저장할 경우, 반드시 암호화하여 저장하여야 한다. 주민등록번호, 계좌번호, 신용카드번호 등은 유출 시에 도용 등 2차적 피해가 발생할 확률이 높으므로 안전한 암호 알고리즘을 통해 암호화하면 유출되더라도 식별이 불가능해지는 효과가 있다.

    2010년 하반기에는 개인정보보호 관리체계(PIMS) 인증제도가 도입된다. 기업이 개인정보를 안전하게 수집ㆍ이용하기 위해 구축ㆍ운영하는 관리체계의 적합성을 검증하여 일정 수준 이상의 기업에 대하여 인증을 부여할 수 있게 된다. 개인정보보호 관리체계 인증은 받기를 희망하는 기업을 대상으로 자율적으로 실시할 예정이다. 개인정보보호 관리체계 인증을 통해 기업은 개인정보의 수집ㆍ이용ㆍ보유ㆍ제공ㆍ파기 등 전체 라이프싸이클 과정에서 개인정보에 대한 안전성과 신뢰성 및 이용자 권리보호를 위한 전사적인 활동을 공인받게 된다.

    2010년 9월에는 온라인 맞춤형광고 시 개인정보보호에 대한 가이드라인도 마련된다. 이용자의 인터넷 이용 행태를 분석하여 광고에 활용하는 온라인 맞춤형 광고 시, 이용자 개인정보보호를 위하여 기업이 조치하여야 하는 사항에 대한 가이드라인이 마련되는 것. 가이드라인은 기업들이 쉽게 이해하고 준수할 수 있도록 고지 및 동의 방법 등 핵심적 보호조치에 대한 예시 및 권고 사항 등을 담을 예정이다.

    또한 2010년에는 국내외 웹사이트 개인정보 노출 대응도 강화된다. 2009년 10월 KISA 내에 구축된 개인정보 노출 대응시스템 및 개인정보 노출 대응상황실이 2010년부터 본격 가동되기 때문. 개인정보 노출 대응시스템은 국내 인터넷 상에 노출된 주민등록번호 등 9가지 개인정보를 365일, 24시간 자동 검색하여 삭제 등 필요한 조치를 취하게 된다. 아울러, KISA와 주요 포털 등 사업자간 구축된 긴급 상황전파 체계(핫라인) 운영을 통하여 유사 시 민ㆍ관의 신속한 협력과 대응을 가능케 할 전망이다. 한편, 중국 등 국외 사이트에 노출된 우리 국민의 주민등록번호 문제를 해결하기 위해 해당국 기관 등과의 협력체계를 한층 강화할 예정이다.

    불법 스팸

    대량의 불법 스팸 문자를 방지하기 위한 휴대폰 문자메시지(SMS)의 1일 발송한도 축소가 2009년 말부터 시행돼 2010년부터는 본격화된다. 기존 1일 발송한도가 1천 건에서 5백 건으로 축소되는 것으로, 시행일자는 SK텔레콤의 경우 2009년 11월 16일부터 시행되며, KT의 경우 2009년 11월 16일, LGT는 2009년 11월 19일부터 시행된다.

    또한 명의대여에 의한 대포폰 개통을 억제하기 위해, 취약계층이 개통 가능한 휴대폰 회선 수를 제한하게 된다. 시행은 SK텔레콤이 2009년 12월 11일에, KT는 2010.1월 중에, LGT는 2009년 11월 13일부터 시작된다. 대상은 일반의 경우 3회선, 저(低)신용자(7~10등급)는 2회선, 채무불이행자/금융질서문란행위자는 1회선으로 제한된다.

    아울러 2010년에 출시되는 휴대폰은 등록할 수 있는 스팸차단번호 개수가 현행 10~20개에서 200개 이상으로 확대된다. 또한 스팸 간편신고 UI를 개선하고 이용자가 신고한 스팸문자의 발신번호가 스팸차단번호로 자동 등록되는 기능도 적용된다.

    이통사의 ‘지능형 스팸필터링 서비스’도 확대되면서, 문자메시지(SMS)의 발신ㆍ회신번호, 본문내용, 발송패턴 등을 종합적으로 분석해 스팸을 차단해주는 무료 부가서비스가 제공된다.

    이 서비스는 이미 2007년 12월부터 SK텔레콤이 제공하고 있으며 이용자 수는 207만 명에 이른다. 그러나 아직 서비스가 제공되지 않은 KT의 경우 2010년 4월부터로 예정돼 있으며, LG텔레콤은 2010년  1월부터 서비스가 제공될 계획이다.

    악성스패머 정보공유를 통해 서비스의 가입도 제한된다. 불법스팸을 전송해 행정처분(과태료)이나 서비스 이용제한을 받은 악성스패머(개인ㆍ법인) 정보를 이통사 등에 제공해 가입 제한을 유도한다는 계획도 세워지고 있다. 이는 국회계류중인 정보통신망법 전부개정안의 시행 이후부터 가능할 것으로 예상된다.

    또한 봇넷을 이용한 스팸발송 방지를 위해 유동IP 대역에서의 이메일 발송포트(25번) 사용을 제한할 방침으로, 2010년 4분기부터 초고속인터넷 사업자별로 단계적으로 시행될 예정이다. 정상 이용자는 발송자 인증이 필요한 포트(587번)로 대체해 이메일을 발송하도록 유도할 방침이다. 웹메일이나 초고속인터넷 사업자가 제공하는 메일서버를 이용하는 경우는, 아무런 영향을 받지 않는다.




    [기사전문보기]

    2010-01-04

  • IE에서는 안보이는 '주민번호', 파이어폭스에선 다보여

    MS IE 환경만 고려한 개발이 문제...타 브라우저에서 보안 연결 안돼

    인터넷 웹 페이지를 보게 해주는 인터넷 웹 브라우저에 대한 호환성 테스트의 부재로 인해, 사이트 DB에 저장된 개인정보가 노출되는 사례가 줄을 잇고 있다.

    얼마 전 조선일보의 각종 교육 사업을 총괄하고 있는 조선일보교육미디어의 ‘맛있는 공부’ 홈페이지에서 , 소스코드를 통해 개인정보가 노출되는 취약점이 발견돼 200여건의 회원정보가 노출됐었다. 그리고  이번에는 한 중국어 교육 사이트에서 회원 천여 명 이상의 개인정보가 노출되는 취약점이 발견됐다.

    인터넷 익스플로러 외에 다른 웹브라우저에서, 이 사이트의 페이지 특정 주소를 입력하면, 회원의 정보를 그대로 볼 수 있다. 심지어 암호화 해놓은 주민등록번호도 소스보기를 통해 볼 수 있어, 맛있는 공부 홈페이지보다 더욱 취약한 모습을 보였다. 현재 이 사이트는 관련 주소를 우회시켜 막아놓은 상태.

    이 두 사이트 들이 개인정보를 노출하는 원인은, 이 사이트를 개발할 당시에 MS의 웹 브라우저인 인터넷 익스플로러(MS IE)만 고려해 설계했기 때문으로 파악되고 있다. MS IE에서는 개인정보가 노출되지 않았지만 파이어폭스나 크롬, 오페라와 같은 다른 브라우저에서는 개인정보가 노출되고 있었기 때문.

    보안업계의 한 전문가는 “우리나라에서는 대부분 MS IE를 이용하기 때문에 MS IE만 고려해  개발을 진행한 것으로 보이며, 다른 웹 브라우저에서는 정상적으로 작동하는지에 대한 테스트를 소홀히 했던 것 같다”고 이야기한다.

    현재 우리나라에서는 MS IE의 사용률이 다른나라에 비해 절대적으로 높다. 한 인터넷 리서치 조사에 따르면 MS IE외 다른 웹브라우저의 사용률은 7% 미만인 것으로 파악되고 있다. 따라서 대부분 웹사이트들은 MS IE외 다른 브라우저는 고려하지 않은 경우가 많다.

    그러나 전문가들은 당장은 MS IE외의 다른 브라우저의 사용자가 적어 문제점이 잘 드러나지 않지만, 점차 다른 웹브라우저 사용이 늘고 있어 이런 취약점은 점차 많이 드러날 것으로 예상하고 있다.



    [기사전문보기]

    2009-12-21

  • 주민번호 뿐 아니라 나이, 몸무게까지 노출...“구글 너무해”

    국내 인터넷 개인정보 노출 사례 분석 ①

    미국 구글을 이용한 검색에서 국내 한 비만관리 사이트의 개인정보가 무더기로 검출됐다. 노출된 2천 건에 가까운 개인정보에는 주민등록번호와 휴대폰 및 집전화번호, 성별, 나이, 키, 몸무게, 직업까지 적나라하게 노출되고 있었다.

    개인정보의 문제는 당장 해당 사이트에 피해를 주지 않기 때문에, 사고가 발생해도 사고 발생 자체를 파악하지 못하는 경우가 많다. 설사 피해 사실을 발견한다 해도, 내부적으로 입단속해, 피해 사실을 숨기는 등 소극적인 자세를 보이고 있다. 그러나 인터넷 사이트를 통한 개인정보 노출은 인터넷금융 사고나 보이스피싱, 메신저피싱 등 금품을 노리는 범죄와 직결돼 심각한 사회적인 문제로 이어지고 있다. 

    우리나라 개인정보 관리에 있어 가장 심각한 문제는, 외국의 검색엔진이 개인정보를 비롯한 국내 사이트들을 속까지 수집하고 있다는 점이다. 특히 주민등록번호나 휴대폰 번호를 수집하고자 하는 악성 이용자들은, 검색 기능이 가장 뛰어나다고 정평이 난, 구글을 가장 많이 이용하고 있다.

    이에 대해 한국정보보호진흥원(현재 한국인터넷진흥원)은 인터넷 웹페이지에 노출된 주민등록번호를 조기에 탐지 및 삭제하기 위해 2007년 7월부터 ‘구글 검섹데이터베이스 주민등록번호 노출 상시 점검 체계’를 도입했다. 이를 통해 개선된 사항은 2개월에 1번씩 점검하던 점검주기를 매 근무일로 단축됐다. 또한 2008년 상반기부터는 공공기관에서 개인정보가 노출될 경우 노출된 개인정보 삭제 요청을 이메일로 자동 발송할 수 있는 시스템을 개발했다.

    문제는 이런 구글과의 연계가 구글 코리아 사이트만 해당된다는 사실이다. 미국의 구글을 이용하거나 한국의 구글에서 영문 검색을 이용할 경우, 이런 개인정보 노출 방어 시스템을 우회 할 수 있는 것으로 확인됐다.

    더 큰 문제는 이미 구글이 우리나라의 많은 사이트 정보를 수집해 놨다는 사실이다. 앞서 문제를 제기했던 국내 한 비만관리 사이트의 경우, 개인정보를 노출했던 DB 게시판은 찾아볼 수 없다. 사이트 운영자가 게시판을 삭제했기 때문이다. 그럼에도 불구하고 구글 검색에 현재까지 나타나는 이유는, 검색의 효율을 높이기 위해 이미 수집해 놓은 정보(캐시 정보)가 남아있기 때문이다. 이는 이미 수집된 개인정보로도 충분히 노출이 가능하며, 사용자가 개인정보를 삭제해도 구글에는 남아있을 수 있다는 것.



    [기사전문보기]

    2009-12-18