News Room
뉴스룸
각종 이슈부터 꼭 필요한 정보까지!
한국기업보안의 소식과 뉴스를 알려드립니다.
- 보도자료
- 기사
SCROLL
News Room
뉴스룸
각종 이슈부터 꼭 필요한 정보까지!
한국기업보안의 소식과 뉴스를 알려드립니다.
SCROLL
NEWS ROOM
KCS 뉴스룸
20년 3월 2주차 보안뉴스
20년 3월 1주차 보안뉴스
20년 2월 4주차 보안뉴스
20년 2월 1주차 보안뉴스
20년 2월 1주차 보안뉴스
1. '기술지원 종료 불구··· 여전히 5대중 1대는 ‘윈도7’
2020년 1월 14일 부로 윈도우 7의 기술지원서비스는 종료되었는데요!
기사에 따르면, 20년 1월 기준 국내 윈도 OS 사용자 중 20.24%가 윈도7을 사용 중이라고 합니다.
기술지원 종료로 인한 보안 위협이 있는 만큼 보안패치가 되는 최신 OS로 업그레이드 하는 것이 필요한데요..
특히, 해커들이 표적으로 대상을 삼고 공격하는 경향이 늘고 있는 공공기관 병원 등은
반드시 보안 패치가 가능한 OS 사용이 필수적입니다.
현재 윈도7을 사용하는 기업의 경우 가급적 이른 시일 내 윈도10 등 상위 버전으로 업그레이드하여
OS 취약점과 결합한 랜섬웨어 감염 등을 최소화해야 하는 것이 필요하겠습니다.
2. 랜섬웨어 암호해독 거의 불가능…주기적 보안 백업이 최선
기사에 따르면, 랜섬웨어 해커조직은 데이터를 암호화할 때 `AES256`이라는 강력한 보안 알고리즘을 사용하기 때문에
이를 푸는 것은 사실상 불가능하다고 합니다. 업계에 따르면 이 같은 랜섬웨어 공격은 해커가 요구한 돈을 보내면 해결된다고 하는데요.
그러나 최악의 경우 돈을 보내도 암호키를 받을 수 없어 금전적 피해만 입을 수도 있다는 점!
사실 랜섬웨어를 근절하는 가장 좋은 방법은 `돈을 보내지 않는 것`이라고 합니다.
그리고 돈을 보내지 않고 자료를 지키려면 평상시 백업을 생활화하는 것이 중요하며 보안을 강화하는 것이 중요하다는 점!
3. 금융권 호시탐탐 노리는 해외 해킹그룹…‘스피어 피싱 메일’ 주의보
국내 금융권이 해외 해킹그룹에 의한 지속적인 사이버 공격 위협에 몸살을 앓고 있다고 합니다.
금융회사 관리자가 무심결에 열어본 메일 한통으로 주요 정보 유출은 물론 자칫 금융권 시스템 전반까지도 마비시킬 수 있는 만큼
피해 발생 전 각별한 주의가 필요한 시점이라고 하는데요!
지난해 12월부터는 해당 그룹이 국내 금융권 등에 보안메일 등을 사칭한 대량의 스피어 피싱 메일을 발송해
파일을 암호화하는 등 새로운 랜섬웨어를 유포한 정황도 포착됐다는 것이 보안원 측 설명인데요.
스피어 피싱메일 피해를 막기 위해서는 출처가 불분명하거나 확인되지 않은 파일을 함부로 열지 말아야하며
보낸 이의 신원을 확실히 증명할 수 있는 보안 이메일 활용을 하는 것이 필요하겠습니다.
암호화를 통해 메세지 내용을 보호하고 피싱 피해를 막을 수 있는
보안이메일에 대한 정보는 유서트 홈페이지에서 확인해보세요.
4. 국내 보안산업 규모 10.5조원 돌파.. 수출 5.8% 증가
기사에 따르면 국내 보안산업 규모가 10조 5000억원을 돌파했다고 하는데요!
지난 2018년, 10조원을 돌파한 국내 보안산업계는 1년 새 4% 이상 성장! 특히, 정보보안 관련 서비스 부분의 수출 성장률이 높게 나타났으며,
보안컨설팅 서비스, 보안관제 서비스 모두 높은 성장률을 기록했다고 합니다.
사이버 위협 및 공격이 확대됨에 따라 정보보호 시장 규모도 증가하고 앞으로도 성장할 수 있을 것으로 예상됩니다.
자세한 내용은 기사를 통해 확인해보세요.
5. 도시 치안에서 환자 생명까지…"글로벌이 주목하는 IoT 보안"
글로벌 사이버보안 시장이 나날이 커지고 있는 상황에서
네트워크 발달에 따른 초연결성이 모든 산업을 관통하면서 사물인터넷(IoT) 보안 중요성도 떠오르고 있다고 합니다.
특히 신기술을 품은 스마트 의료기기는 보안에 신경쓰지 않으면 환자의 생명과 직결될 수 있기에
관련 IOT 보안기술의 중요성은 부각되고 있는데요! 자세한 내용은 기사에서 확인해보세요.
이제 모든 산업에서 보안은 빠질 수 없는 중요 요소입니다.
보안을 보완하다 한국기업보안 유서트가 언제나 함께 하겠습니다.
2020년 1월 3주차 보안뉴스
2020년 1월 3주차 보안뉴스
1. 통일 관련 세미나 문서 사칭 ‘스피어피싱’ 주의보
실제 세미나의 발표자료와 질의응답 내용으로 위장한 문서가 발견돼 주의가 요구되고 있는데요!
기사에 따르면 해당 악성문서를 열어보면 MS워드
프로그램 상단에 보안 경고창이 나타나는 동시에,
문서를 정상적으로 보기 위해 경고창의 ‘콘텐츠 사용’ 버튼을 누르도록 유도하는 영문 안내가 나타나며,
수신자가 세미나 발표 자료로 착각해 이 문서를 실행하고 매크로 사용을 허용할 경우 한국의 특정 서버에서 추가 악성코드를 설치하고,
사용자 PC의 ▲시스템 정보 ▲최근 실행 목록 ▲실행 프로그램 리스트 등 다양한 정보를 수집하는 동작을 수행하는 동시에 공격자의 추가 명령을 대기하는
이른바 좀비 PC가 된다고 합니다.
스피어 피싱메일 공격은 계속 증가할 것으로 보입니다.
이러한 피싱 메일 공격을 막기 위한 하나의 보안 방법으로 이메일 보안프로그램(S/MIME) 설치를 통한
보안 메일을 들 수 있는데요!
유서트 홈페이지에서 이메일 보안 프로그램에 대해 확인해보세요.
2. 북한 해커, 텔레그램 이용한 해킹 기법으로 개인 정보 노린다
2020년에는 북한 해커의 활동이 더욱 증가할 것이라고 사이버 보안업체 카스퍼스키랩(Kaspersky Labs)이 경고했다고 합니다!
1월 8일 카스퍼스키랩이 발표한 보고서에 따르
면 “라자루스 그룹은 텔레그램을 이용 가짜 가상화폐 월렛 소프트웨어의 업데이트를 가장해 개인 단말기에 침입했으며,
업데이트가 완료된 후에는 유저 데이터를 해커에게 송신했다.”고 밝혔습니다.
라자루스 그룹의 최신 해킹 기법의 가장 큰 특징은 텔레그램의 이용으로. 공격에 사용된 멀웨어는 해커가 만든 가짜 가상화폐 거래소에서 전송되는것이라고 하며.
최근 발견된 한 웹사이트는 “스마트 가상화폐 거래 플랫폼”으로 위장했다고 하는데요.
자세한 내용은 기사에서 확인해주세요.
3. "14일 지원 끝 윈도7 마지막 보안패치 설치해야"
과학기술정보통신부가 마이크로소프트의 마지막 윈도7 보안패치 설치를 당부했습니다.
13일 과학기술정보통신부 한 관계자는 "윈도7 운영체제에 대한 마이크로소프트의 지원은 1월 14일까지만 이뤄진다"며
"정부는 윈도7 종료 대응 종합상황실 운영을 통해 발생 가능한 사이버위협에 대비하고 있으며, 윈도7 사용자는 침해사고 발생 시 보호나라 또는
118센터(118)로 신고해 줄 것을 당부한다"고 말했다고하는데요.
아직도 윈도우7을 사용하고 있다면 보안을 위해 윈도우 10으로 업데이트 하는 것이 필요합니다!!
4. 카드 결제기엔 19년 된 윈도우XP…사이버 보안 '구멍'
지난 15일, 윈도우 7에 대한 기술지원이 공식 종료되었다는 사실 알고 계시죠?
해킹 공격에 훨씬 취약해지는데.. 알고 보면 곳곳의 매장 카드결제기에는 윈도7보다도 더 오래된 윈도XP가 많이 사용되고 있다고 합니다.
2001년 출시된 윈도 XP!
해킹으로 악성코드를 심어 카드 정보를 가로채 갈 수도 있고 디도스 공격으로 결제기를 마비시킬 수도 있다고 하니
하루 빨리 대책 마련이 필요하겠습니다.
5. "클릭하면 당한다" 도쿄 패럴림픽 사칭 이메일 피싱 발견
도쿄 패럴림픽 안내 문서로 위장한 악성파일을 퍼트리는 '스피어 피싱'(이메일 해킹수법)이 발견돼 이용자들의 주의가 요구되고 있습니다.
이번 해킹은 지능형지속공격(APT) 공격 방식으로 파악되며. 이메일에 악성문서 파일을 첨부해, 이용자가 메일을 열면 자동으로 PC나 모바일에 악성코드가 다운로드 되고,
해커는 악성코드를 통해 단말기를 장악해 공격 명령을 내리거나 금융정보 등 민감한 정보를 훔쳐간다고 합니다.
악성코드에 감염되면 공격자가 임의로 지정한 서버로 사용자 PC 시스템의 주요 정보를 전송하고, 공격자의 추가 명령에 따른
원격제어가 가능해지는 등 2차 피해로 이어질 수 있으니 각별한 주의가 필요하겠습니다.
보안 사회로의 발전을 위해 보안을 보완하다
한국기업보안 유서트가 언제나 함께 하겠습니다.
2020년 1월 2주차 보안뉴스
2020년 1월 2주차 보안뉴스
1. 행안부, 윈도7 보안종료 대응 ‘사이버보안 종합상황실’ 설치
2020년, 윈도 7이 종료되는 사실은 알고계시죠?
행안부는 윈도우 7 보안기술지원종료 이 후 발생되는 보안 위협에 대응하기 위해
"공공기관 사이버보안 종합상황실"을 설치한다고 합니다.
주요 임무는 윈도7 보안지원 종료로 인한 정부와 지방자치단체의 사이버 위협 현황 파악과 대응 지휘, 위협 상황 신속 전파·피해 확산 방지라고 하며 종합상황실 운영과 함께 효율적인 보안관리를 위해 국가정보자원관리원, 한국지역정보개발원 등 산하 관제센터와 비상연락체계를 구성해 상황을 공유할 계획이라고 합니다.
▼ 관련 기사보기
https://www.sedaily.com/NewsView/1YXLCF0M3P
2. “PKI 앱 배포 5년간 20% 증가…IoT가 주요 동인”
공개 키 기반 구조(PKI: Public Key Infrastructure) 애플리케이션 배포가 지난 5년 간 20% 증가했으며, IoT가 이를 촉진하는 주요 동인인 것으로 조사됐다고 합니다.
이번 보고서에 따르면 IoT는 기술 분야에서 가장 빠르게 확대되고 있는 트렌드 중 하나지만, 많은 기업들이 IoT 보안을 우선시 하지 않아 위험한 사이버 공격에 취약한 것으로 나타났는데요. 응답자들은 우려되는 주요 IoT 보안 위협으로 멀웨어 혹은 다른 위협으로 인한 IoT 장치 기능 변경(응답자의 68%)과 인증되지 않은 유저의 장치, 원격 통제(54%)를 꼽았습니다.
PKI는 많은 조직들에게 IT 인프라의 중추적 역할을 담당하며 조직들은 PKI를 통해 클라우드, 모바일 장치 배포, IoT 등 주요 디지털 이니셔티브에 대한 보안을 확립할 수 있답니다.
이번 보고서에 따르면, 대부분의 응답자들이 조직 내에서 PKI를 폭 넓게 사용하고 있었다. 이들은 SSL/TLS 인증서(79%), 프라이빗 네트워크 및 VPNs(69%), 퍼블릭 클라우드 기반 애플리케이션 및 서비스(55%) 등에 PKI를 활용한다고 답했습니다.
래리 포네몬(Larry Ponemon) 포네몬 연구소 설립자 겸 회장은 “기업들이 디지털 트랜스포메이션을 맞이하면서 PKI 사용이 계속 확대되고 있다. 또한 이번 보고서에서 40%가 넘는 응답자들이 IoT뿐 아니라 클라우드 및 모바일 이니셔티브 역시 PKI 사용을 촉진하는 주요 동인이라고 답했다”면서, “IoT의 급성장은 분명 PKI 사용에 큰 영향을 미치고 있다. 조직들이 PKI가 커넥티드 장치에 대한 핵심적인 인증 기술을 제공한다는 사실을 깨닫고 있기 때문이다. 이들이 디지털 이니셔티브가 가져다 주는 모든 이점을 누리기 위해서는 PKI의 보안 성숙도를 지속적으로 개선해야 한다”고 말했습니다.
▼ 관련 기사보기
http://www.itdaily.kr/news/articleView.html?idxno=99247
3. 말 많고 탈 많은 이메일, 새 보안 표준들 나오고 있다
2020년 현재 40억 개의 ‘활성화된’ 이메일 계정이 존재하는 것으로 알려져 있는데요. 하지만 안타깝게도 이메일은 오늘 날의 사이버 보안 공격에 속수무책으로 당하고 있습니다. 이제는 이메일로 퍼지는 각종 멀웨어 공격에 대항해야 할 때, 실제 사이버 공격의 90%가 이메일을 통해 이뤄집니다. 그래서 이메일에 도입될 보안 표준들이 계속해서 나타나고 있습니다.
이메일 보안의 가장 큰 문제로 꼽히는 건 ‘보내는 사람의 신원을 제대로 확인하기 어렵다’는 것이죠. 그래서 가짜 이메일이 그렇게나 많이 전송될 수 있는 건데, 이메일 보안 표준도 이 부분에서 연구가 많이 이뤄지고 있다고 합니다.
유서트에서도 이메일 보안 프로그램을 통해 이메일 피싱 피해 예방 및 보안을 위해 힘쓰고 있답니다.
이메일 보안 프로그램에 대한 정보는 유서트 홈페이지에서 확인해보세요.
'데이터 3법(개인정보보호법·신용정보법·정보통신망법)' 개정안이 국회 본회의를 통과했다고 합니다.
기업
의 데이터 이용 허들이 다소 낮아졌기 때문에 빅데이터와 인공지능(AI) 관련된 분야서 큰 기대감을 갖고 있다. 반면 데이터 3법에 따라 개인 정보가 주체 동의없이 상업 목적으로 쓸 수 있다는 우려도 제기되고 있습니다.
개인정보의 법적 정의에 기존 개인정보 외 가명정보·익명정보가 추가되는데요. 이는 지난 9일 국회 본회의를 통과한 데이터 3법의 핵심 내용 중 하나입니다. 자세한 내용은 기사를 통해 확인해보세요.
▼ 관련 기사보기
http://www.zdnet.co.kr/view/?no=20200109144814
새해 정보보호 기업은 클라우드와 운영기술(OT) 보안에 집중한다고 하는데요.
안랩·SK인포섹·윈스·지니언스·파수닷컴 등 국내 주요 보안기업은 클라우드 전환과 OT 보안 수요, 도쿄올림픽 특수를 기대한다고 합니다.
▼ 관련 기사보기
http://www.etnews.com/20200109000092
2020년 1월 1주차 보안뉴스
1. 내년 엣지 기술 부상…엣지 보안 중요성도 '상승'
엣지 컴퓨팅이 2020년 부상할 기술 중 하나로 선정되면서 이에 대한 보안의 중요성도 커지고 있다고 하는데요!
단말 기기에서 발생하는 데이터를 현장 혹은 실 사용자 근거리에서 실시간으로 처리하는 방식을 말하는 엣지 컴퓨팅은데이터 양이 폭증하는 IT,5G 시대 데이터 전송을 가속화하는데 도움을 준다고 합니다.
2. 보안전문 기업·기관들이 주목한 2020년 7대 사이버보안 키워드
사이버보안 분야를 대표하는 국내외기업들은 2020년에 등장할 보안위협과 이슈를 선정하고 새해맞이 보안 강화에 나섰다고 하는데요.
국내외 보안전문 기업 6곳과 2개 기관이 발표한 2020년 보안 위협을 정리해보면 공통된 키워드 7개가 있는데...랜섬웨어, 공급망 공격, 클라우드, IoT, 악성메일, 다크웹, AI라고 하네요!
자세한 내용은 기사에서 확인해주세요.
3. 쓸데없이 복잡한 '비밀번호', 보안에 별 도움 안 된다?
쓸데없이 복잡한 비밀번호! 그러나 보안에는 도움이 안된다고 하는데요.,
한국인터넷 진흥원 역시 작년에 패스워드 생성 가이드라인을 수정했다고 합니다.
왜 그런걸까요? ... 자세한 내용은 기사에서 확인해주세요.
4. GDPR 시행 1년 6개월... 유럽, 데이터 보안 인식 강화됐다
2018년 5월 25일 유럽연합의 개인정보보호규정(GDPR)이 발효되었었죠.
EU 국민의 개인정보에 대한 권리를 강화하고 기업과 공공기관의 선제적 정보보호 시스템 운영 의무를 강조하기 위한 목적으로 제정된 GDPR을 통해 디지털 데이터의 중요성이 대두됨에 따라 사용자의 권리와 데이터 안보에 대한 인식이 강화되고 있지요.
개인정보보호규정은 유럽뿐만 아니라 미국에서도 유사한 규정이 시행될 예정으로 디지털 정보의 중요성이 전 세계적으로 강조됨에 따라 한국 기업의 경쟁력 제고를 위해 각국의 제반 규정과 관리체계에 대한 이해와 인식 강화가 필요한 시점입니다.
5. 안랩, 2020년 사이버 보안 위협 TOP 5 발표
안랩이 발표한 주요 예상 보안 위협 TOP 5는
타깃형 랜섬웨어 공격 본격화, 클라우드 보안 위협 대두, 특수목적시스템 및 OT 보안 위협 증가, 정보 수집 및 탈취 공격 고도화, 모바일 사이버 공격 방식 다변화 라고 합니다.
안랩의 보안위협 전망에 대한 자세한 정보는 기사에서 확인해주세요.
발전하는 보안사회!!!
보안을 보완하다 한국기업보안 유서트가 언제나 함께 하겠습니다.
관광공사 등 14개 공공 기관, 망구간 암호화 없이 운영
관광공사 등 14개 공공기관의 홈페이지와 모바일 애플리케이션(앱)이 등이 보안서버 없이 운영되고 있는 것으로 드러났다. 보안서버 적용은 지난 8월 실시된 `정보통신 이용촉진 및 정보보호 등에 관한 법률`에 의해 개인정보를 취급하는 모든 사이트에 의무화됐다.
19일 정보화사회실천연합은 공공기관이 운영하는 웹 페이지와 모바일 앱 등을 조사한 결과 대한무역투자진흥공사, 국민권익위원회 등 14개 기관이 보안서버 없이 운영 중인 것으로 나타났다.
행정안전부도 관광공사 등 4개 기관에서 실제로 보안 서버 없이 운영 중인 것을 확인, 나머지 기관의 추가 조사를 착수했다.
정보화사회실천연합이 조사한 것은 △대한무역투자진흥공사 △공정거래위원회 △한국에너지기술평가원 △축산물품질평가원 △한국연구재단 △한국노인인력개발원 △한국산업기술시험원 △한국디자인진흥원 △한국콘텐츠진흥원 △한국환경공단 △관광공사 등의 웹 페이지와 △강남구청 △국민권익위원회 등이 운영하는 모바일 앱이다.
정보화사회실천연합 관계자는 “기관 내부에 방화벽이나 침입방지시스템(IPS)을 구축했는지 외관상으로는 알 수 없지만 보안서버는 외부에서 식별할 수 있는 유일한 보안수단이기 때문에 보안서버 구축 여부를 조사했다”고 말했다. 이 관계자는 “보안서버는 구축 비용이 비싸지 않고 유지비도 들지 않아 조금만 관심을 기울이면 구축할 수 있다”면서 “보안에 대한 무관심이 여전하다”고 덧붙였다.
행안부 관계자는 “전국 공공기관, 산하기관 사이트가 180만개가 넘고 최근 모바일 앱 등을 제작하며 보안서버가 일부 적용되지 않은 사례를 발견했다”며 “방통위와 공동으로 지속적으로 모니터링해 미흡한 부분을 개선하겠다”고 밝혔다.
보안서버는 인터넷상에서 전송되는 자료를 암호화해 송수신하는 기능을 제공하는 웹 서버(웹 사이트)로 개인정보보호의 기본적인 수단이다. 보안서버가 없으면 망 구간에서 오가는 데이터 역시 암호화되지 않아 입력한 개인정보의 안전성을 담보할 수 없다.
보안서버는 지난달 18일 개정된 정보통신망법 `제28조 개인정보의 보호조치 제4항 개인정보를 안전하게 저장, 전송할 수 있는 암호화 기술 등을 이용한 보안조치` 항목 중 비교적 간단하게 조치할 수 있는 부분이다.
김승주 고려대학교 정보보호대학원 교수는 “가장 기본적인 보안대책인데도 투자비 등으로 설치를 망설이는 사례가 대부분”이라며 “우리나라 전자정부가 1위를 달리지만 보안서버 설치 대수로 평가하는 보안지수는 세계 15위 수준에 불과하다”고 말했다
[기사전문보기]
개정 정통망법 시행 코앞인데… 쇼핑몰에선 개인정보 하루 200만건 `둥둥`
개인정보보호 위반 인터넷 사이트 106곳 시정명령
온라인 쇼핑몰·포털사 등 전송채널 암호화 시급!
ID·PW는 암호화 잘 되어 있지만 데이터 송수신 구간 보안에 취약
SSL/TLS 적용과 함께 서버 인증서 1024-bit 이상 서명키 가져야
[보안뉴스 김태형] 국내 온라인 쇼핑몰·포털사 등의 중요정보 전송 채널의 암호화가 ID·PW에 비해 상대적으로 취약하다는 문제가 제기됐다.
최근 한국인터넷진흥원(KISA)과 박원형 극동대학교 교수는 서울과학기술대 융합보안연구팀(지도교수 국광호)과 함께 국내 여러 사이트들의 데이터 송수신 구간의 암호화 여부를 분석, 암호화 취약점에 대한 문제점을 지적했다.
본지에서는 지난 4월 18일자에 ‘구멍 뚫린 쇼핑몰 신용카드 결제 시스템!’이라는 제하의 기사에서 인터넷 쇼핑몰의 결제시스템의 허점을 이용해 제품가격을 조작하여 고가의 제품을 헐값으로 사는 방법이 있다고 보도한 바 있다.
이 기사의 주요 내용은 인터넷 쇼핑몰 결제 시스템의 문제점으로 주문 페이지의 경우 암호화가 되어 있지 않아 전문 해커가 아니더라도 쉽게 주문결제 정보를 조작할 수 있다는 것.
이에 본 연구를 주도한 한국인터넷진흥원(KISA)과 박원형 교수는 인터넷 쇼핑몰뿐만 아니라 주요 포털을 비롯해 메신저, SNS 등 우리가 가장 빈번히 사용하고 있는 주요 인터넷 사이트를 선정해 연구·조사를 진행했다.
점검대상으로 우리나라 주요 포털, 메일, 메신저, SNS, 인터넷폰(VoIP), 게임포털, 쇼핑몰, 클라우드 서비스 분야의 사용자 방문이 많은 사이트를 선정했으며, 유·무선 구간에 대한 ID/PW와 데이터 통신 암호화 여부에 대한 조사를 진행한 것으로 알려졌다.
박 교수는 “이번 조사결과 유·무선 구간에서 ID/PW 부분에서는 암호화가 대부분 잘 되어 있어 스니핑으로 인한 ID/PW 노출시에도 안전한 결과를 얻었다”면서 “하지만 ID/PW 이후 데이터 송수신 구간에서 일부 포털과 쇼핑몰을 제외한 많은 사이트는 암호화가 설정되어 있지 않아 보안에 취약하다는 것을 밝혔다”고 말했다.
특히, 주요 메일 서비스, 메신저, 인터넷폰, 클라우드 서비스 등 전 영역에 걸쳐 암호화가 이뤄지지 않았다는 것.
또한, 그는 “조사한 결과 암호화 방식이 대부분 동일한 기술을 사용하고 있어 미국 국립표준기술연구소(NIST)에서 권고한 암호화 방식보다는 보안강도가 낮은 암호화 방식을 사용하고 있었다”고 말했다.
박 교수는 “이번 연구를 위해 조사한 어느 포털사의 경우 주소록 서비스를 이용하는 사용자들이 로그인할 때는 ID 및 PW가 암호화되어 노출되지 않지만 저장된 주소록을 조회하거나 신규 연락처 추가 및 열람에 대한 암호화는 적용되어 있지 않아 쉽게 노출됐다”고 덧붙였다.
이에 대해 박 교수는 “이러한 취약점을 개선하기 위해서는 한국인터넷진흥원(KISA)의 권고사항인 ‘SSL(Secure Socket Layer : 보안 소켓 계층)/TLS(Transport Layer Security : 전송 계층 보안)’를 적용하거나 관련 솔루션을 도입할 때 제품이 표준에 맞게 구현됐는지 상호 호환성을 보장하는지, 검증된 제품인지, 오픈 소스를 이용하는지 등을 확인해야 한다”면서 “RSA 서명키를 가지는 모든 서버 인증서는 가능하면 1024-bit 이상의 키를 가질 것을 권고한다”고 말했다.
[기사전문보기]