스핌은 전자우편이 아닌 인스턴트 메신저를 통해 배달되는 스팸을 말한다. 아직은 전자우편을 이용한 스팸 보다는 심각성이 덜 하지만, 스핌은 매년 더 많은 사용자들에게 전달되고 있다. 훼리스 리서치에서 내놓은 보고서에 따르면, 2003년에 5억 개의 스핌이 보내어졌는데 이는 2002년도의 발생량의 두 배에 달하는 수준이다. USA Today는 2004년 약 40억 개의 스핌이 발생할 것으로 보고 있다. 스핌이 점점 보편화되어감에 따라, 기업의 자원을 소진하고 보한 문제를 야기하는 등 현재의 스팸 메일과 비슷한 방식으로 업계에 커다란 악영향을 끼칠 것으로 보인다.
인스턴트 메신저는 경우에 따라 스팸 메일 발송자들에게 보다 더 유용한 도구로 사용된다. 우선, 인스턴트 메신저의 즉시성은 보다 더 많은 사용자들에게 링크를 반사적으로 클릭하도록 만든다. 게다가 인스턴트 메신저는 앤티바이러스 소프트웨어나 방화벽 등을 무사히 통과하기 때문에 상업적 광고는 물론 바이러스나 멀웨어 등을 쉽게 침투시키는 수단으로 악용될 수 있다. 그간 각국 정부나 기업, ISP 등에서는 전자우편 우표 사용제나 Can-Spam Act of 2003과 같은 법률의 제정 등을 통해 스팸에 대항해 싸워 왔다. 스팸에 대항할 수 있는 수단들이 보다 광범위하게 구현되고 보다 효과적으로 발전됨에 따라, 이에 좌절한 스팸 메일 발송자들이 대거 스핌 쪽으로 이동할 수도 있다.
스핌으로부터 자신을 방어하는 한 가지 방법은, 자신의 친구들 명단에 등록되어 있지 않은 사람에게 온 메시지는 차단하고 오직 아는 사람으로부터의 메시지만이 전달되도록 허용하는 것이다.
좋은 자료가 있어서...이거 계속 퍼오기만 하네요... 난 언제나 이런 좋은 자료를 써볼수 있으려나....
IT839 3대 인프라 정보보호
정창성, 권원길│KT 정보보호본부
1. IT839 전략의 정보보호 개요
정부는 국민소득 2만 달러 시대를 이끌 IT839 전략을 추진하고 있는데, 이는 BcN(Broadband
Convergence Network), IPv6, USN(Ubiquitous Sensor Network)의 3대 인프라를
기반으로 휴대인터넷, 홈네트워크, 텔레매틱스, 인터넷 전화 등과 같은 8대 신규 서비스를 제공하고, 이를 기반으로 9대
신성장동력 산업을 활성화하고자 하는 것으로 통신 서비스 품질과 H/W, S/W 제품의 경쟁력을 동반 강화하여 IT산업의 순환
발전구조를 지속적으로 유지하려는 정책이다.
이러한 IT839전략의 각 요소들은 정보보호 측면에서 바라볼 때 여러가지 우려되는 위협 요소를 가지고 있다. 이러한 위협
요소는 각 분야별로 존재하는데, 먼저, 인프라 측면의 위협을 보면, 새로 구축되는 인프라는 사이버 공격 범위가 확대되고 공격
형태가 다양화되면서 기존의 위협보다 더욱 확산될 수 있는 구조가 되기 때문에 새로운 인프라가 구축되면 사이버 공격으로 인한
기존의 개별망의 피해가 유ㆍ무선 통합망으로 확산되고 나아가 방송망, USN까지 확산 가능할 수 있다는 점이다. 이에 반해 현재의
정보보호 장비와 기술 수준은 새로운 인프라인 BcN망에 적용하기 어렵고 IPv6를 통한 보안대책도 애플리케이션 계층의 취약점을
해결하지 못한 상태이며, USN의 경우 공격의 파급효과가 일상생활까지 확산되고 다량의 정보유출 가능성이 증대할 수 있다는 문제가
있다.
둘째로, 서비스 측면에서 정보보호 위협을 살펴보면, 홈네트워크, 텔레매틱스, 휴대인터넷, 인터넷 전화 등 서비스의 보안
취약성 내재 및 보안관리의 어려움에 따라 서비스 장애 시 대규모의 사회적, 개인적 손실 초래가 가능하다는 것이다. 마지막으로,
디바이스 측면에서는 전자거래의 주체가 사람에게서 모든 사물까지 확대되는 유비쿼터스 환경에 적합한 인증체계 취약으로 인한 피해가
가능하며, 9대 신성장 IT디바이스의 기기 신뢰성 저하, 서비스 장애 등 위협을 초래할 수 있다. 예를 들어, 홈네트워크
정보기기의 불법공격에 의한 보안취약성, 초소형 디바이스의 보안기능 미흡, 디지털콘텐츠의 불법복제 증가 등 보안위협이 증가할 수
있다.
이처럼 3대 인프라, 8대 신규 IT 서비스, 9대 신성장동력 분야별로 내재된 정보보호 위협 요소는 미래의
지능기반사회(Ubiquitous) 전체에 대한 위협으로 작용 가능하며, 따라서, IT839전략 추진 단계 별로 정보보호 위협
요인들을 고려하여 계획 초기 단계부터 정보보호 전략의 병행 추진이 필요하다. 구체적으로 IT839전략의 각 요소들로부터
각각에서의 보안취약점을 도출하고 이러한 보안취약점을 이용한 공격을 예측하여 사전에 방지하고 신속하게 대응할 수 있는 보안
기술개발이 필요하다.
2. 3대 인프라 정보보호
IT839 전략 전체의 정보보호에 대해서는 2005년 7월에 주간기술동향에서 ‘IT839전략의 정보보호추진 방안’라는
제목으로 다루었으므로, 여기서는 IT839 전략의 기반이 되는 3대 인프라의 정보보호에 대해 집중적으로 살펴보도록 하겠다.
먼저, IT839의 기반인 3대 인프라에 대해 살펴보도록 하자. 3대 인프라는 광대역 통합망(BcN), 차세대 인터넷
프로토콜(IPv6), USN을 말하며, 이를 구축하는 목적은 BcN을 IPv6 체계를 기반으로, 단계적으로 통신망, 방송망 및
인터넷망과 향후, USN이 ALL-IP망으로 통합하는 것이다.
또 다른 인프라인 USN은 필요한 모든 것(곳)에 전자태크 혹은 센서를 부착하여 주변의 환경 및 상황정보를 감지하여
수집하고, 이를 실시간으로 네트워크에 연결, 관리하기 위한 것이다. USN은 수많은 센서 노드 및 이동 단말들이 P2P로
연결되어 정보를 송수신하며 BcN망과 연동된다.
3대 인프라의 정보보호 위협 요인에는 크게 다음과 같은 것들이 있다.
- BcN은 기존 통신망과 프로토콜, 서비스가 상이하여 현재까지 개발된 정보보호 기술로는 대응 곤란함 - 개별망의 위협이 타망으로 쉽게 확산 우려 - IPv6 신규 기능의 취약점을 이용한 새로운 공격 발생 가능 - USN에서는 송수신되는 정보의 유출로 인해 위험이 일상생활까지 확대 가능
개별 인프라별 정보보호 위협 요인을 세부적으로 알아보자.
첫째, BcN 분야 위협 요인으로는
- 네트워크 보안이 소규모 망 차원의 단순 모니터링, 분석, 대응에서 향후 네트워크 전체에 대한 통합된 보안관리 형태로 확장이 필요하나, 현재는 미흡함 - BcN 백본 인프라의 처리 능력이 최고 수십 Gbps 수준인 반면, 현재의 정보보호 장비의 처리능력은 수 Gbps에 불과하여 BcN에 적용 가능한 고성능 보안장비 개발 필요 - 업체별, 기종별 정보보호 장비간 상호연동을 위한 표준규격 필요함 - 서비스 접속 시 속도지연이나 데이터 손실없이 안전하게 전달하기 위한 전달망 보안 기술개발 필요 - 다양한 사이버 공격에 대해 품질저하 없이 서비스를 제공하기 위한 기술개발 필요 -
개별망의 위협이 타망으로 쉽게 확산 우려로서 인터넷 침해사고에 취약한 인터넷망에서 발생된 위협이 BcN을 통해 통신망, 방송망
및 USN까지 확산 가능함. 음성통신 방식이 VoIP 기술을 이용하여 기존의 회선교환망에서 인터넷망으로 전환되는 경우 음성통신도
웜, 바이러스 등 인터넷 침해사고에 노출될 수 있다는 것 - 개방형 인터페이스(Open API) 사용으로 인해 다양한 경로로 통신망에 쉽게 접근이 가능하여 해킹 및 바이러스 유포 확대 가능성 내재한다는 것이다.
둘째, IPv6 분야 위협 요인으로는
- IPv6의 신규 기능의 취약점을 이용한 새로운 공격발생 가능성 - IPv6는 자동환경 설정, 이웃노드 탐색, Mobile IP 등의 기능이 추가되면서 기존 공격을 변형한 새로운 유형의 헤더조작, 바이러스, 웜 등의 공격 발생 가능 - IPv6망으로의 완전전환 이전에 과도기적으로 IPv4와 IPv6의 병행사용이 요구되어 End-to-End 네트워크 보안이 곤란 - 홈네트워크 장비 등 IPv6가 장착된 장비가 다양해지면서 인터넷 침해사고의 대상 또한 급격히 증가 - IPv6환경에서는 DNS에 대한 의존도 증가로 주소 위ㆍ변조 공격 가능성도 높아짐에 따라 보안이 취약할 경우, 피싱(Phishing)과 같은 인터넷 사용자를 속이는 공격에 악용될 위험이 증가되는 문제 등이 있다.
셋째, USN 분야 위협 요인으로는
- USN에서는 공격의 파급효과가 일상생활까지 확대되고 수집, 전송되는 정보의 유출 위험이 증대함 - USN은 고객 맞춤형 서비스 제공을 위해 고객의 위치정보 등을 수시로 수집하므로 프라이버시 침해 위험이 증가 - USN에서 이동단말, 센서 등은 CPU와 배터리의 용량이 적기 때문에 보유 자원을 집중적으로 소모시키는 공격을 받을 경우 해당 서비스의 중단 발생 가능 - USN은 보안 기능이 상대적으로 취약한 Ad-hoc 네트워크 구조로 이동단말기기에 대한 통제가 어려워 사이버 공격에 대한 취약성이 가중 - RFID EPC(Electronic Product Code) 네트워크에서는 고객의 정보 및 상품정보를 DB에서 집중적으로 수집 관리함으로써 DB 취약성으로 인한 정보유출 가능성 증대 - RFID ODS(Object Directory System)의 분산 구성으로 어느 한 정보의 위ㆍ변조는 연쇄적인 위험을 초래하는 위협 등이 있다.
이번에는 이러한 3대 인프라의 정보보호 위협에 대응하기 위해 요구되는 정보보호 기술을 살펴보자.
먼저, BcN 정보보호 기술에는
- ISP망의 Ingress Point에서 네트워크 위협의 능동 탐지 및 대응 기술 - ISP망의 발전속도를 고려한 고성능 네트워크 위협 대응 기술 - 알려진 침입공격에 대한 탐지 기술과 알려지지 않은 침입에 의한 과다 트래픽 탐지 기술 - 유해 트래픽에 대한 차단 및 대역폭 제어 기술 - 공격자에 대한 능동대응을 위한 침입자 역추적 및 포렌식 기술 - 네트워크 노드 및 관리자에 대한 인증 및 접근제어 기술 - 이동통신망과의 연동에 따른 인증을 위한 접근제어(예:AAA) 기술 - 감염 무선단말에 의한 과다출력 공격방지용 Anti-jamming 기술 - 무선망에서의 악성코드 전파에 의한 전력 소모 공격을 방지할 수 있는 무선 네트워크 보안 노드 기술 등이 있고,
IPv6정보보호 기술에는
- 기존의 IPv6용 보안 기술에서 IPv6지원 가능한 형태의 보안 기술(IPsec 등 이용한 스니핑 및 Man-in-the Middle 공격 방지) - IPv6/IPv6 변환용 네트워크 노드 자체에 대한 보안 기술 - IPv6 프로토콜 자체에 대한 옵션 처리 미적용으로 인한 공격을 방지할 수 있는 보안 게이트웨이 기술 - IPv6 프로토콜을 적용한 전용 보안(Filtering 기술, 탐지 기술, 분석 기술 등) 기술 - Mobile IPv6용 인증/인가/접근제어 기술 등이 있다.
USN 정보보호 기술에는
- 해커가 태그의 정보 획득을 시도하는 공격을 막는 인증 기술 - 정상적인 리더와 태그 사이의 데이터 교환 도청방지 기술 - 정상적인 데이터를 위조하는 리더 또는 태그를 혼란시키는 공격을 방어하는 데이터 기밀성과 무결성 보장 기술 - 리더기에 대한 DoS 공격을 감지 및 방지 기술 - RFID/USN을 구성하는 주요 서버에 대한 트래픽 폭주 제어 기술 - RFID/USN에서의 서버 인증 및 데이터 보호 기술 - RFID/USN 네트워크 노드 간의 신뢰 채널 보장 기술 - 센서 신호의 Jamming 회피(리더기와 태그 사이 안전한 Anit-collision을 위한 프로토콜이 필요함) 기술 등이 있다.
3. 3대 인프라 보호 기술 동향
3대 인프라를 보호하기 위한 정보보호 기술 관련한 동향을 살펴보면, 현재의 수준과 향후 개발 해야할 분야에 대해 알 수 있을 것이다.
먼저, BcN/IPv6 정보보호 기술 동향은 다음과 같다.
BcN의 구축에 따라 침해 대상이 시스템에서 네트워크 단위로 확대되면서 인터넷 웜 또는 악성 코드에 의한 인터넷 주요
서비스, 서버의 안정성이 더욱 중요해지며 이에 따라, BcN환경에서 네트워크 위협을 능동적으로 탐지하고 대응할 수 있는 고성능
네트워크 종합 위협 대응 기술이 개발되기 시작하며, 다양한 무선 접속망이 혼재되는 Wireless BcN 환경에서 개별 접속망
단위의 보안 위협을 탐지하는 것은 필수 요소가 될것으로 예상되며, 재해ㆍ재난ㆍ통신 마비에 대응, 통합된 형태의 대응이 가능한
공공안전 및 재난구조 통신망에 대한 많은 연구가 시작되고 있다. 아울러, BcN 무선 네트워크 간의 연동, 사람ㆍ사물 간의
연동, 서비스 간의 통합이 가속화된 BcN + USN + IPv6 환경에서 사용자의 무선ㆍ이동성 증대로 사이버 공간에서의 정보화
역기능 문제가 확대 심화될 것으로 예상됨에 따라 이에 대한 연구도 시작되고 있다.
현재 IPv6 환경에서의 유ㆍ무선 해킹에 대한 취약점과 IPv6 이동형 단말 간의 미흡한 인증을 해결하는 것이 필수적이 될
전망이다. 네트워크 침해탐지 및 대응 기술은 현재의 기가 급에서 2007년 수백 기가 급으로 발전할 것으로 예상된다.
침해 대응 기술 분야는 방화벽, IDS, IPS 등의 단위 기술 중심에서 보안 시스템을 종합적으로 관리하고 감시할 수
있도록 각 기술들이 연동되어 운용되는 통합 시스템으로 발전해 나가고 있으며, 방화벽은 트래픽 처리 속도의 발전에서 벗어나 근래의
혼합 위협에 대응할 수 있는 ‘지능형’ 또는 ‘능동적’ 형태로 발전해 나가고 있다.
IDS는 침입탐지의 부정확성이라는 오탐지 문제의 근본적 해결을 위해 침입 패턴의 개선, 시스템 및 네트워크 상황에 맞는
정책 및 환경 설정 등의 문제점에 대한 연구가 이루어지고 있으며, VPN은 최근 시장이 급속히 증가함에 따라 처리 능력의
향상뿐만 아니라, 보안성 증진과 상호 운용성, 확장성, 관리상의 문제개선과 인터넷 기반의 엑스트라넷 VPN을 지향하여 보안성과
QoS 보장에 중심을 두고 개발 중이다.
현재 주로 사용되고 있는 IPsec VPN 기술은 SSL VPN에 의해 대체되어 나가고 있으며, 대규모 네트워크 상에서
돌발적인 사고나 계획적인 행동으로 인해 주요 기반시설이 장애를 입는 것을 근본적으로 피하기 위해 dependability에 대한
연구가 진행되고 있다.
미국의 OASIS, 유럽의 MAFTIA 등의 프로그램에서는 대규모 시스템 사이에서의 침입 탐지, 분산된 인증 서비스의
조사, 정보 공유 방식의 검증 등과 같은 대규모 네트워크의 취약성 및 대응 기술을 확보해 나가고 있으며, 2010년 이전에 이종
시스템들로 구성된 대규모 네트워크에 적용 가능한 보안 기술이 실용화될 것으로 예상된다.
또한, USN 보호 기술 동향은 다음과 같다.
유선 네트워크와 무선 네트워크가 통합되어 가고 유비쿼터스 컴퓨팅에 의한 차세대 네트워크로의 변화가 예상됨에 따라서, 새로운
네트워크의 구조적인 특성으로 인한 보안상의 취약점 및 해결방안에 대한 연구가 이루어지고 있다. 안전한 USN 구축을 위한
정보보호 요소 기술로서 초경량, 초저전력의 Context aware 정보보호 기술 및 보안 관리 기술에 대한 요구가 증가하고
있으며, 유무선 네트워크 사이의 통신, ad-hoc 네트워크에서의 통신에서 구간별 또는 전구간에 걸친 인증, 기밀성, 무결성에
대한 문제점과 한계에 대한 주제가 논의 중이다.
신뢰성 있는 무선 개인 영역 네트워크(Ad-hoc)를 위한 보안 플랫폼이 개발 중에 있으며, 무선 Ad-hoc에서,
비인가된 노드에 의한 네트워크 접근ㆍ공격을 막을수 있는 신뢰성 있는 보안 엔진 개발 및 라우팅 보안 기술개발이 추진 중이다.
4. 3대 인프라 보호 기술개발 추진 계획
정보통신부에서는 3대 인프라의 정보보호를 위해서 전략적으로 정보보호 중장기 기술개발을 추진하고 있다. 현재 진행 중인 분야에는 다음과 같은 것들이 포함되어 있다.
먼저, BcN정보보호 분야 중장기 기술개발 분야에는
- 고성능 네트워크 정보보호시스템 개발로서 ISP망, 비즈니스망, 캠퍼스망, MAN 등 대규모 인터넷망에 적용하여 트래픽
폭주 및 이상 트래픽 감지, 네트워크 노드 및 서버에 대한 해킹 및 바이러스를 탐지하고 이를 해당 인터넷망의 전역적인 대응
전략에 따라 단계적으로 역할을 나누어 차단 및 방어 기능을 수행하는 차세대 네트워크 보안 장비군의 개발이 포함되어 있다.
- Zero-Day 공격차단을 위한 실시간 공격 Signature 자동 생성 기술개발
- DDos, 웜/바이러스, 이상 트래픽 등 새로운 형태의 네트워크 침입/공격 차단을 위한 실시간 공격 Signature 생성 기술개발
- 인공 면역계 기반 네트워크 면역 시스템 기술개발로서, DDoS, 웜/바이러스, 이상 트래픽 등 새로운 형태의 네트워크
침입/공격에 대하여 스스로 방어할 수 있는 기능을 가진 인공 면역계 기반 침입탐지 및 차단 시스템 개발을 말한다.
- 광대역 통합망(BcN/IPv6) 보안정책 및 침해사고 대응 기술개발로서, 정보보호 정책 서버기반 BcN 정보보호 관리를
통해 이기종 망의 일관성 있는 통합관리를 실현하고, BcN 환경의 새로운 서비스들에 적합한 정보보호 기술 적용 권장을 위한 기술
참조 모델 개발 및 BcN 안정성 확보를 위한 BcN 침해사고 분석 및 대응 기술개발을 말한다.
- 신뢰성 있는 Ad-hoc 연동 BcN 망을 위한 동적 네트워크 보안 기술개발로서, 초고속(UWB) 무선 개인영역
네트워크(WPAN Ad-hoc)/Ad-hoc 모드 무선랜 네트워크에서, 비 인가된 노드에 의한 BcN 네트워크 접근 및 공격을
막을 수 있는 상호 인증 기술개발, 개인 영역/로컬 영역 임시 네트워크(WPAN/WLAN Ad-hoc)의 라우팅 노드(PNC)
탑재용 라우팅 보안 엔진 개발, 개인 영역/로컬 영역 임시 네트워크(WPAN/WLAN Ad-hoc) 환경에서 능동적으로
모니터링, 탐지 및 대응할 수 있는 Ad-hoc 전용의 협업형 침입탐지/차단 기술개발, 개인 영역/로컬 영역 임시 네트워크의
노드에 탑재되어 초경량, 저전력 정보보호 서비스를 제공하는데 필요한 크립토 기술개발, BcN/USN 연동 네트워크 환경에서
IPv6기반 개인 영역/로컬 영역 임시 네트워크의 멀티 이동성 관리 보안 기술개발 등을 포함하고 있다.
IPv6 정보보호 분야 중장기 기술개발 분야에는
- 유무선 IPv6 기반 P2P 네트워크 정보보호 기술개발로서, P2P 컴퓨팅(Peer-to-Peer Computing)의
도래에 따라 발생하는 새로운 보안 취약점에 대응하기 위한 정보보호 기술, 구체적으로는 안전한 P2P 오버레이 네트워크 구축
기술, 신뢰적 IP 주소 생성 기술 및 P2P 자원 남용 및 기밀 정보 유출 방지 기술개발을 말한다.
- IPv6기반 멀티캐스트 보안 기술개발로서, IT839 3대 인프라 중 하나인 IPv6 기반의 IPsec 보안 프로토콜의
표준 적합성 검증할 수 있는 시험환경 구축과 IPv기반의 멀티캐스트 보안 프레임워크 및 프로토콜 개발 등을 말한다.
USN 정보보호 분야 중장기 기술개발 분야에는
- 안전한 RFID/USN을 위한 정보보호 기술개발로서, RFID/USN 환경에서 개인 프라이버시를 적극적으로 보호하고
RFID/USN 인프라의 안정성을 제공할 수 있는 핵심 정보보호 기술 및 시스템 개발, RFID 태그 및 USN 센서에 탑재되어
초경량, 저전력 정보보호 서비스를 제공하는데 필요한 암호 및 인증 기술개발, RFID 태그/센서를 이용한 유통과정 추적 및
상황인지, 센서 노드 간의 무선 Ad-hoc M2M 통신 등 기존의 인터넷 서비스와 다른 특성을 가지면서 신규로 구축되는
RFID/USN 인프라 시스템들의 다접점 간 통신 프라이버시 보호 및 동적 접근제어에 필요한 정보보호 미들웨어 기술개발,
RFID/USN, IPv6, BcN 연동 환경에서 새롭게 등장하는 보안위협(불법복제/위조 태그, 위장 리더(센서), 이상/과다
태크 트래픽 등)을 능동적으로 모니터링, 탐지 및 대응할 수 있는 RFID/USN 보안 관리 기술개발, RFID/USN 객체정보
서버(EPCIS) 등에 분산 저장되어 있는 특정 RFID 데이터의 프라이버시 정보(예를 들면, 추적 정보, 태그 소유자의
개인정보와 소유물 정보 등)를 사용자 자신이 주도적/선별적/적극적으로 관리할 수 있게 하는 주문형 프라이버시(on-demand
privacy) 보호 서비스 기술개발 등이 포함되어 있다.
- 디지털 통합인증 기술 및 시범 서비스 개발은 RFID 태그가 가진 정당한 RFID 데이터(Right Data)를
적기적소(Right Time, Right Place)에 정당한 사람(Right People) 또는 정당한 기기(Right
Device)에게 연결시켜주는 디지털 통합인증 기술 및 시범 서비스 개발 등이 있다. 기타, 전체적인 측면에서 차세대 네트워크
정보보호 프레임워크 및 체계종합 기술개발이 있는데 이는 차세대 정보보호 기술 기획을 위하여, 융합 보안 프레임워크 개발,
정보보호 특허맵 작성, 정보보호 중장기 기술 기획, 정보보호 기술개발 검증 방법론 개발하는 것이다.
또한, 3대 인프라 구축 사업자인 KT에서의 3대 인프라에 대한 정보보호는 다음과 같은 측면에서 추진되고 있다.
먼저, BcN 정보보호 분야를 보면 KT는 BcN 구축 시 보안 고려 사항으로 BcN 구성 요소 전체를 체계적으로 통합
관리하여, 신속한 대응환경을 제공하는 통합정보보호 시스템 개발이 필요하다고 보며, 검증되지 않은 새로운 프로토콜(SIP,
SIP-T, MGCP)의 사용에 따른 잠재적 취약성에 대한 대비가 필요하고, 기존 Flooding 공격에 의한 중요
서비스(긴급전화 112, 119 등) 장애 시의 대응책 마련이 필요하다는 점, 그리고 SIP 단말에 상용화된 운영 체제를
사용함으로 단말에 대한 통합패치 관리방안이 필요하다는 점 등을 고려하고 있다. 또한 Open API를 이용한 새롭고 다양한
서비스 개발에 따라, 기존 보안장비에 대한 기능보완이 필요하며, BcN 인프라의 성능 향상에 따른 정보보호 장비의 처리능력
강화와 함께, 상호 연동 및 조기 대응을 위한 정보보호 장비 로그 표준화, 신호 정보의 노출 및 변조 방지를 위한 신호망
보호방안 등을 고려하고 있다.
아울러 KT BcN 구축시 어려움은 보안사고 발생 시 다양한 사업자들의 통합대응 방안이 미비하고, 긴급통신 서비스의
한계성에 대한 사용자의 인식이 미비하며, 공공기관에 의한 감청 허용문제 및 개인 프라이버시 문제, 이동성과 개방성의 향상으로
악의적인 사용자에 대한 추적 어려움, 다양한 서비스 및 단말의 개발에 따른 관리 어려움 등이 있다.
이러한 어려움 및 고려사항을 염두해 두고 KT는 BcN의 안정성 확보를 향해 세가지 측면에서 추진하고 있다.
첫째, 안전한 KT-BcN 구축을 위한 표준화된 정보보호 플랫폼 구조 마련이다. BcN 구성 요소 전체를 체계적으로 통합
관리하는 정보보호 통합 플랫폼 구조 개발과 지금보다 더욱 다양해질 정보보호 시스템들의 통합관리를 위해 명령 및 로그에 대한
표준화를 추진하고 있다.
둘째, 신뢰성 있는 KT-BcN 망관리를 위한 안전관리체계 구축을 추진하고 있는데, 새로운 서비스 및 프로토콜 개발에 대한
보안가이드 라인을 마련하고, KT BcN 단말에 대한 보안성 검토 및 보안 인증 제도 도입, 침해사고의 확산을 방지하기 위한
대응방안 구축 및 모의훈련 실시등을 추진하고 있다.
셋째, 침해사고 방지를 위한 정보보호 관련 기술 확보로써, 사용자 및 단말에 대한 AAA 기술, 다양한 접속환경을 지원하는
망간 상호인증 기술, 정보보호 장비의 고성능 처리 기술, 단말에 대한 보안성 검토 기술 및 방법론, 침해사고 분석 기술 및
대응방법론, 정책기반의 정보보호관리 기술, 개인정보보호에 관한 기술적, 법률적 보호 방안 등의 연구를 진행하고 있다.
IPv6 관련 정보보호 분야에 대해서 살펴보자. 사업자 입장에서 바라보는 IPv6의 취약점으로 IPv6 프로토콜 자체의
취약점 및 보안 솔루션 기술개발이 아직 미흡하여 IPv6 터널링된 트래픽에 대한 모니터링 및 차단 기능이 부족하고 암호화된
트래픽은 침입탐지 시스템이나 방화벽 우회가 가능하다는 점이다. 또한 DNS에 대한 의존도 증가로 인한 도메인 주소 위ㆍ변조 공격
가능성이 증대하며, 도메인 주소의 위변조 공격으로 인한 피싱과 같은 공격 증가가 예상되며, IPv6가 장착 장비의 보급 확대에
따른 사이버 대상의 급격한 증가가 예상된다는 것이다.
KT는 이에 따라 IPv6용 라우터 및 게이트웨이에 적용 가능한 멀티플랫폼 침해방지 기술의 적용, IPv6 DNS의
주소정보 위변조 방지를 위한 DNSSEC 기술 적용 검토, 유무선 IPv6 환경에서 안전한 P2P 환경 구축 기술 적용 및
신뢰성 있는 IP 주소 생성 기술 적용을 고려하고 있으며, 다양한 기기(홈서버, 통신기기, 정보통신장비)에 탑재된 보안
프로토콜의 기능이 정확히 처리되는지 검증할 수 있는 IPsec 표준적합성 시험 기술 적용을 추진하고 있다.
마지막으로 USN 관련 정보보호 분야에 대해서, KT는 USN 구축 시 소형 USN 장치에 적용 가능한 초소형
Security Middleware 구현 및 장치의 리소스 보호를 위한 DoS/DDoS 방어 기술을 추진하고 있으며 개인
프라이버시 정보 관리를 위한 주문형 프라이버시 보호 기술, 센서 정보의 위변조 등을 차단할 수 있는 초경량 보안칩/센서 노드
기술, 도청, 위변조 등의 공격에 대응하기 위한 USN 침입탐지 및 대응 기술 및 RFID ODS 보호 기술 등의 적용 추진을
고려하고 있다.
5. 결론
3대 인프라에 대한 정보보호 기술개발과 아울러, 실제로 이러한 기술을 적용하여 효율적인 정보보호 효과를 기대하기 위해서는
무엇보다 3대 인프라에 대한 개별적인 기술은 물론이고 이를 이용한 종합적인 보호대책의 수립이 필요하다. 개별 정보보호 기술은
종합적인 관점에서 적용되고 통합되어야 실제적인 정보보호의 효과를 나타낼 수 있을 것이다. 따라서, 각 분야에서 개발된 요소
기술들은 통신사업자에 효율적으로 적용되기 위해서 상호 협력체계가 원할히 구축되어야 할 것이며, 이렇게 해서 상용화된 기술은 다시
국내외 정보보호산업의 활성화에 기여하게 될 것이다.
여기 적힌 토픽 외에 다른 토픽들 중 출제가 예상되는 것은 주저하지 마시고 적어주시길 부탁드립니다.
------------------------------------------------------------------------------------------ 1. 파밍(Pharming) 2. SIP,SIP-T,MGCP 3. SPIM, SPIT 4. 가상화 - OS 가상화 5. PCC, SCC 6. 웹 접근성,정보격차해소 7. 엔터프라이즈2.0(Enterprise 2.0) 8. DVB-H와 지상파 DMB, 미디어플로 비교 9. DMC 표준화 10. SW 분리발주 -83출제 11. UC(Unified Communication) 통합커뮤니케이션 - IP기반 CC(Contact Center)) 12. 블루투스 대체기술 - 와이브리, 레토 13. 이미지스팸 - 83회 스팸 출제 참고 14. M2M, 만물정보통신시대 15. USIM - 기술, 개방 16. SBC(Server Based Computing) , 신클라이언트 - 윈도비스타의 보안혼란 대안 17. MMS(Mutimedia Messaging Service) - SMS에서의 진화, IM(Instance Messenger)와의 비교, 18. IMS(IP Multimedia Subsystem) -MMS, IM 19. 모바일 IPTV - 모바일 와이맥스 기반, 홈네트워크 IPTV 셋톱박스에서의 무선을 통한 서비스 전달 20. 위피 미탑재 폰 허용 21. 기술경영(MOT - Management of Technology) - CTO, R&D, C&D(Connect & Developement) 22. BI ->EI 23. RFID EPCIS - EPC IS(Information Service) 24. Mash-UP 서비스 - Open API 25. UWB 표준화 -UMTS 26. 바이너리 CDMA 27. TPEG 28. ISO8000 - 데이터 품질관리 인증 29. 무선USB - UWB 기술 이용 30. 월패드 - 디지털 홈, 거실 31. ITIL 3.0 - ITSM - 83 관련 출제 32. RoHS 33. FTTH - AON(능동형) 이나 WDM(파장분할) 보다 GE-PON(시분할다중방식(TDM)의 기가비트이더넷 수동형 광네트워크장비) 선호 34. UCC에서 UCS(User Created Software)로
-------------------------------------------- 35. 디지털 포렌식 36. OTP와 보안토큰 비교, 또는 단독으로 37. Vishing ( Voip + Phishing) 38. 분석 CRM
--------------------------------------------------------- 이슈 혹은 결론 관련 --------------------------------------------------------- BI 이슈 사항 - 낮은 데이터 품질문제 - 데이터 생성,축적 시스템의 분산에 따른 데이터 정합성의 오류 증가 - 전사적 데이터 품질제고 필요 SW 품질향상 - 프로세스 인증 활성화( CMMi 인증레벨 상향 추진), 전문인력 양성 추진, 품질관리 전문조직 구성 장려,프로세스 인증의 기술제안서 평가항목 반영 품질 우수기업 시상, SW공학 발전 로드맵 수립, 해외 선진 SW공학 관련기관과 공동연구 GS인증 제도 개선 및 활용 촉진, SW 기술성 평가시 BMT 결과반영
피싱은 개인정보(Private Data)와 낚시(Fishing)의 합성어로 유명업체의 위장 홈페이지를 만든 뒤, 불특정 다수 이메일 사용자에게 메일을 발송하여 위장된 홈페이지로 접속하도록 현혹하여 개인정보를 빼내는 행위를 의미한다.
피싱의 발생은 피싱메일을 발송하고 수신자가 이메일 내용에 현혹되어 링크되어 있는 사이트를 클릭하여 위장사이트에서 금융정보를 입력함으로써 발생하며, 입력된 정보를 이용해 금융사기 등의 행위를 함으로써 2차적 범죄행위가 완성된다고 볼 수 있다.
이와 관련하여 이메일 수신자의 PC에 저장되어 있는 정보를 자동으로 외부의 특정 서버로 전송하는 peep, bot류의
사고도 피싱의 한 유형으로 분류될 수 있겠지만, 최근의 피싱은 수신자가 현혹될 수 있는 내용의 메일을 발송하여 수신자가 직접
정보를 입력하도록 유도하는 방법으로 주로 이루어진다.
이러한 피싱행위에 대응하기 위해 정보통신부를 비롯한 금융감독원, 경찰, 정보제공업체(ISP) 등 유관기관이 상시연락체계 마련하고 있으며, 피싱과 관련한 동향정보 공유나 피싱사고 발생시 협력을 통한 피싱사고 예방 및 피해 최소화에 주력하고 있다.
이와 관련하여 금융감독원은 ‘금융감독기구의 설치 등에 관한 법률’에 근거하여 전자금융사기 주의 및 경보를 발령(2005.7.5일, 2005.10.17일)한 바 있고,
국제피싱대응협의체(APWG : Anti Phising Working Group)와 공조체계 구축을 위해 APWG의
협력기관으로 가입('04년)하여 최신 피싱기법 및 피싱 사례 등의 정보를 공유하고 있으며, 국외 피해 현황을 지속적으로 모니터링하여 국내 대응책 마련에 반영하고 있다.
피싱(Phishing)은 사회공학적 방법 및 기술적 은닉기법을 이용해서 민감한
개인정보, 금융계정 정보를 절도하는 신종 금융사기이다. 피싱은 금전적 피해를 유발하고, 공격유형이 지속적으로 변화하며 피싱에
대한 대응이 매우 어려운 것이 특징이다. 피싱 피해는 계속 증가하고 있으며, 조사기관에 따라 많은 차이가 발생하지만 피싱 피해
규모가 크게 증가하고 있는 상황이다. 피싱 공격 방법으로는 Man-in-the-Middle 공격, URL 위장, 데이터 감시,
Cross-site Scripting(CSS), 은닉방법 등이 있다. 피싱에 대한 대응으로는 웹 사이트 인증, 메일서버 인증
등의 기술적인 방법, 피싱 인식제고 활동, 피싱 대응 실천문화 확산, 피싱 정보 공유 및 신속 대응 등의 사회문화적 접근,
그리고 피싱 관련 법죄를 처벌할 수 있는 법안 마련 등 법제도적 접근방법이 있다. 특히 국내 피싱 대응을 강화하기 위해서는
체계적인 피싱 대응체계 마련, 피싱 예방 능력 강화, 인식제고, 법제도 정비를 위한 정책적인 노력이 요구된다.
I. 피싱 정의 및 유래
1. 피싱의 정의
피싱(Phishing)은 개인정보(Private Date)와 낚시(Fishing)의 합성어로 해커들이 만든 용어이며
사회공학적 방법 및 기술적 은닉기법을 이용해서 민감한 개인정보, 금융계정 정보를 절도하는 신종 금융사기 수법이다. 피싱은
유명기관을 사칭한 위장 이메일을 불특정 다수 이메일 사용자에게 전송하여 위장된 홈페이지로 유인하여 인터넷 상에서 신용카드 번호,
사용자 ID, PW 등 민감한 개인의 금융정보를 획득하는 사회공학적 기법을 사용한다. 최근에는 DNS 하이재킹 등을 이용해
사용자를 위장 웹 사이트로 유인하여 개인 정보를 절도하는 피싱의 진화된 형태인 파밍(Pharming)도 출현하고 있다.
사회공학적 방법에 의존한 피싱이 실패 확률이 높은 반면 파밍은 사용자의 피해 유발 가능성이 매우 높다.
2. 피싱의 변천
피싱 용어는 1996년 AOL(America Onlne)의 신용도가 높은 사용자의 계정을 도용한 해커에서 유래를 찾을 수
있다. 타인 ID와 패스워드를 일컫는 피시(phish)는 당시, 해커들 사이에서는 일종의 사이버머니로 유통이 되기도 하였으며
피싱은 1996년 alt.2600이라는 해커 뉴스그룹에서 처음으로 사용되었다. 이후 피싱은 타인정보 획득 뿐만아니라 금융정보
불법접근 및 사기성 사이트로의 유인으로 변화되었으며, 피싱 사기의 성공률이 증가하면서 금융사기, 취업알선, 국제 돈세탁 등의
사이버범죄로도 사용되었다.
최근에는 피싱이 트로이목마나 웜ㆍ바이러스와 결합하여 사용자 컴퓨터의 취약성을 이용함으로써 더욱 지능적으로 변화되었다.
사회공학적 기법을 사용한 이메일을 통해 첨부파일과 함께 사용자의 컴퓨터에 실행된 트로이목마는 사용자의 ID, 패스워드를
수집하거나 컴퓨터 모니터링 정보를 다른 사이트로 전송할 수 있다. 또한 웜ㆍ바이러스를 이용해 사용자 호스트파일을 변경시켜
전송경로를 재설정함으로써 원하는 사이트에 접속할 경우 피싱 사이트로 경로를 변경하는 기법과 ‘키보드로거’ 등의 스파이웨어 기법을
이용하여 실제 사이트에 접속한 사용자가 이용하는 ID, 패스워드를 수집하여 전송하는 기법이 널리 사용되고 있다[2]
3. 피싱 위협의 특징
피싱은 기술과 사회공학적 방법의 융합을 통해 공격을 시도한다. 피싱 공격자는 이용자의 중요정보 수집을 위해 타인과의
상호작용을 통해 타인을 속여서 규정된 보안절차를 무력화시키는 비 기술적 방법으로 침해를 시도한다. 또한 피싱 공격자는 사람의
정보 기술 의존도가 심화되는 문화에 빠르게 적응하지 못하는 상황을 이용한다.
피싱은 금전적 피해를 유발할 수 있다. 피싱 공격을 통해 개인의 금융정보를 획득하여 개인 금융계좌에서 돈을 유출하여
개인에게 금전적인 피해를 유발할 수 있다. 피싱 공격은 유명기관의 브랜드에 대한 고객 신뢰를 이용하여 유명기관의 웹 사이트로
위장하면서 기업의 인지도를 손상시킬 수 있다.
피싱 공격의 유형은 역동적으로 변화하며 위협 모델도 급속히 변화한다. 피싱은 지속적인 변화를 거듭하면서 대응책이 나올
때마다 지능적인 사기범들은 이를 교묘히 피할 수 있는 새로운 공격기법을 개발한다. 고도의 숙련된 범죄집단이 피싱을 이용하여
사기범죄를 수행할 가능성도 더욱 증대하고 있다.
피싱은 기존의 전통적인 방식의 사기와는 다른 지능적인 기술을 이용하므로 기술적, 법제도적 대응이 매우 어렵다. 피싱은
메일, 웹 기술을 이용한 사기 수법으로 기존의 사기와는 달라 지능화된 대응 기술이 필요하다. 피싱 대응을 위한 기술로 메일
인증, 웹 사이트 인증 기술의 이용이 필요하다. 피싱사고 대응을 위한 법제도 제정도 매우 어렵다.
II. 피싱 피해 사례 및 통계
1. 피싱 피해 사례
피싱 피해 사례는 2003년 eBay 사건이 대표적인 사건으로 이후 지속적으로 증가하고 있다. 2003년에 eBAay를
사칭해 “보안 위험으로 계정이 일시 차단되었으니 첨부된 링크를 클릭해 eBay 홈페이지를 통해 재등록하라”는 메일을 인터넷
이용자에게 무작위로 발송되었다. 메일을 받은 사용자들은 신용카드번호, 사회보장번호 등을 의심하지 않고 입력하여 개인정보를 쉽게
도용당하였다.
특히 피싱은 미국과 유럽의 유명 금융회사, AOL, Google 등 인터넷업체를 사칭한 피싱이 지속적으로 많이 발생하고
있다. 영국계의 유명 금융회사인 로이드 퍼스널뱅킹(Lloyd TSB)을 사칭해 개인 금융정보 입력을 요구하는 메일이 발송되었다.
가짜 구글 사이트를 통해 “400만 달러의 상금이 당첨되었습니다!”라고 광고하여 링크를 클릭하면 신용카드 정보나 주소 입력을
요청하는 메일이 발송되었다. 또한 AOL을 사칭해 “신용카드 사용정지 공지,” “사용자정보 확인 요구” 등으로 개인정보를 도난한
사건이 발생하였다.
최근에는 피싱기법이 더욱 정교해지면서 금융이나 인터넷업체뿐 아니라 다양한 분야로 사칭하는 브랜드 범위도 확장되고 있다.
해리포터 e-Book을 사칭해 애독자들에게 은행계좌를 입력하고 책을 구매할 것을 소개하는 메일이 발송되었으며, RedCross를
사칭하여 해일 쓰나미로 피해를 본 사람들을 위한 성금모금 메일을 발송되기도 하였다.
국내에서는 아직까지 피싱으로 인한 실제적인 피해가 해외에 비해서는 낮은 상태이다. 이는 대부분의 피싱이 씨티뱅크, 이베이
등 외국업체를 사칭하여 영문메일에 익숙치 않아 피싱으로 인해 국민에게 큰 피해는 끼치지 않은 것으로 여겨진다. 그러나 최근
피싱보다 치밀한 수법의 신종 금융사기가 발생하여, 국내에서도 피싱으로 인한 피해 우려가 높아지고 있다. 2005년 11월 피싱
사이트를 개설, 비밀번호 등 개인 금융정보를 알아내어 돈을 몰래 유출한 피싱사기로 5명 구속되는 사건이 발생하였다.
피셔(Phishier)는 인터넷 카페에 시중은행 명의로 가짜 대출광고를 게시하여 피해자를 피싱 사이트로 유도하는 방법을 통해
개인금융정보를 도난하여 새 인증서를 발급받아 피해자 거래은행으로부터 1억2천여만 원을 절도하였다. 피셔는 외국서버를 이용하여
피싱 사이트를 구축하고, 돈을 빼내는 과정은 모두 무선으로 처리하여 인터넷 접속기록을 남기지 않는 지능적 수법을 사용하였다.
2. 피싱 피해 통계
국내외 피싱사고 통계는 피싱 관련 사고가 최근 큰 폭으로 증가하고 있음을 확연하게 보여준다. 안티피싱작업그룹(APWG)에
따르면, 전세계 피싱 사고 접수건수는 2004년 10월 6,957건에서2005년 9월 13,562건으로 약 95% 증가하였다.
피싱 통계의 추세를 분석해보면 2005년 9월 발생한 피싱의 약 98%는 HTTP 80번 포트를 이용하여 사이트를 개설하고
있으며 피싱 사이트에 도용된 브랜드 중에는 금융기관이 81.2%로 가장 많았으며, AOL 등 ISP가 11.8%, eBay 등
소매상이 3.5%를 차지하고 있다.
피싱 웹 사이트 호스팅 비율은 미국 31.22%, 중국 12.13%, 한국 10.91%로 한국이 세계 3위를 기록하여
한국의 서버가 여전히 피싱 경유지로 많이 이용되고 있는 것이 특이할 만하다. Krcert/cc의 통계에 따르면, 국내 피싱 피해
접수건수는 2004년 7월부터 2005년 9월까지 월간 피싱 사이트 증가율이 17.8%에 이르고, 2005년 10월 발견된 피싱
사이트는 94건에 도달하고 있다.
인터넷 이용자는 피싱 방법의 지능화와 피싱에 대한 인식 수준 등이 미흡하여 피싱으로 인한 피해 가능성이 매우 높은 것으로
조사되고 있다. Anti-Phishing Working Group은 매달 피싱 공격 증가율이 50% 이르고 있으며, 피싱 공격의
지능화로 피싱메일에 5%의 이용자가 응답할 것으로 예상하고 있다.
금융기관의 공식적인 피싱 규모는 조사기관에 따라 많은 차이를 발생하고 있다. Ponemon 기관에 따르면 피싱 사고로 인한
금전적인 피해 규모가 미국내 5억 달러(약 5천억) 규모에 이를 것으로 추정하고 있다. 가트너 그룹은 2004년 한해 240만
인터넷 이용자들이 피싱 피해를 입었으며, 피해액은 9억3천만 달러(한화 약 1조)로 추정하고 있다.
피싱으로 인한 위협의 증가에도 불구하고 피싱 관련 사용자 인식 수준은 낮은 것으로 조사되었다. Demopoulos
Associates 조사(2005년 11월)에 따르면 인터넷 사용자의 48%가 피싱을 들어본 적 있으나 30%는 들어본 적이
없다고 대답하였다. 피싱을 들어본 경험이 있는 사용자 중 46%만이 피싱에 대해 정확히 인식하고 있었으며, 피싱을 들어본 경험이
있는 사용자의 8%, 전체 인터넷 사용자 중 3.5%만이 인터넷 사용 습관을 바꾸는 등 피싱에 대해 경계를 하고 있는 것으로
조사되었다.
III. 피싱 위협 요소
1. 피싱 공격 매체
피싱 공격 매체의 가장 일반적인 방법으로 이메일이 사용되고 있다. 수백만 인터넷 이용자에게 위장된 이메일을 전송하기
위해서는 스팸 전송 기술이 이용된다. 이메일을 이용한 피싱은 공식적인 문서로 보이는 메일, 쉽게 인식하지 못하도록 약간의
URL을 변경한 법인 이메일, 목표하는 URL 정보를 혼란스럽게 하는 HTML 기반 이메일, 인기 게시판이나 메일링 리스트에
위장된 광고 등을 이용한다.
새로운 피싱 매체로 메신저 활용도 증가하고 있다. 메신저를 이용한 커뮤니케이션 활용이 보편화되고, 메신저의 기능성이
향상되면서 메신저를 이용한 지능적인 피싱 공격이 증가하고 있다. 이는 메신저가 그래픽, 멀티미디어 등 동적인 콘텐츠를 메신저
참여자에게 전송하는 기능이 추가되면서 웹 기반의 피싱 공격 기법이 쉬워졌기 때문으로 여겨진다.
변조된 웹 사이트를 이용한 피싱 방법도 점차 증가하고 있다. 피싱 공격자가 직접 운영하는 웹 사이트에 거짓 웹 사이트
콘텐츠를 포함시키거나, 다른 사람이 운영하는 사이트를 활용한다. 웹을 이용한 피싱 기법으로는 유명한 웹 사이트나 게시판에
HTML 주소를 속인 연결, 인터넷 이용자를 공격자의 웹 사이트를 유인하기 위해 거짓 배너 광고, 피싱 공격자의 위치를 위장하기
위해 팝업 윈도를 사용하는 방법이 이용되고 있다.
가정의 PC에 설치된 트로이목마에 감염된 PC를 통한 피싱 방법도 있다. Key logger Trojan, Netbus와
같은 프로그램을 이용해서 공격자는 개인 PC 이용자가 입력하는 금융정보나 개인정보를 수집하거나, 공인인증서 파일을 유출한다.
2. 피싱 공격 방법
피싱 공격 방법으로는 Man-in-the-Middle 공격, URL 위장, 데이터 감시, Cross-site Scripting (CSS), 은닉방법이 있다[2].
Man-in-the-Middle 공격은 인터넷 이용자의 정보 및 자원에 대한 통제권을 획득하기 위해 공격자가 이용자
사이트와 대상 사이트의 중간에 자신의 사이트를 배치하여 커뮤니케이션의 조정자 역할을 수행하면서 모든 거래정보를 수집 및 관찰한다.
URL 위장방법은 피싱 공격자가 위장 도메인명, 친숙한 Login URL, 제3자의 단축 URL 호스트명 위장, URL 위장 등을 통해 메시지 수신자를 자신의 사이트로 유인한다.
데이터 감시를 이용한 방법은 Key Logger, Screen-grapper를 이용하여 이용자의 비밀 정보를 수집한다.
CSS 방법은 웹 애플리케이션의 설계 취약점을 이용하여 피싱 공격을 위한 URL을 유효한 웹 애플리케이션 URL에 삽입한다. 특히 CSS 공격은 피해자가 웹 페이지 변조를 인식하지 못해 대처하기 매우 어려운 것이 특징이다.
은닉을 이용한 방법에서는 공격자가 은닉 프레임, 웹 페이지 콘텐츠 중복, 그래픽 교환을 통해 실제의 웹 페이지 화면을 은닉하고 위장된 웹 페이지 화면을 인터넷 이용자에게 표시한다.
IV. 피싱 대응 방안
1. 기술적 대응
피싱에 대한 기술적인 대응으로는 웹 사이트 인증, 메일서버 인증, PC 확인 방식의 전자서명 메일, 게이트웨어 확인 방식의 전자서명 메일 방법 등이 있다[7].
웹 사이트 인증은 전자상거래, e-Banking을 사용하는 이용자들이 스마트카드와 같이 물리적인 토큰(소프트웨어 또는
하드웨어)을 사용해서 자신을 인증하는 방법이다. 이를 위해 서비스 제공업체는 토큰을 이용자에게 발부하고, 이용자는 필요한
소프트웨어를 PC에 설치하며, 인증기관은 인증서를 발부한다.
메일서버 인증은 메일을 전송하는 메일 서버에 대한 인증을 수행하는 방법이다.
PC 확인 방식의 전자서명 메일 방식은 전자서명이 부착된 메일을 전송하고 수신자 PC에서 사실여부 확인하는 방법이다. 메일
보안관련 산업표준인 S/MIME(또는 PGP)을 사용하여 메일에 전자서명을 첨부하여 수신자가 메일 전송자의 사실 여부를
확인한다.
게이트웨이 확인 방식의 전자서명 메일 방식은 전자서명된 메일을 전송하고 수신자의 메일 게이트웨이에서 사실여부를 확인하는 방법이다.
상기한 기술적 대응 방법을 종합적으로 분석해 보면 전자서명메일(PC 확인) 방식에 전자서명(게이트웨이 확인) 방식 또는 IP 필터링 방식을 조합하면 피싱 문제점을 송신자와 수신자 측면 모두에서 해결할 수 있는 것을 알 수 있다.
2. 사회ㆍ문화적 대응
피싱에 대한 사회ㆍ문화적 대응은 피싱 인식제고 활동, 피싱 대응 실천문화 확산, 피싱 정보 공유 및 신속 대응을 통해 이루어진다.
피싱 인식제고 활동은 피싱 위협을 감소시키기 위해 전자상거래 업체 및 정보보호 관련 기관의 다양한 인식제고 활동을
포함한다. 이들 기관은 기업 메일이나 웹 사이트에서 발생한 피싱의 일반적인 정보를 고객에게 제공하며, 특정 회사를 직접 겨냥한
피싱에 대하여 고객에 주의경고를 제공한다. 또한 고객이 자신의 계정에 관한 기업정책을 인지하도록 지원하고, 사용자 및 기업을
대상으로 정보보호 커뮤니티의 자료를 보급하고 설명한다.
피싱 대응 실천문화 확산은 피싱 위협 및 피해를 감소시키기 위해 기업의 best Practices 수립 및 전파를 통해
수행될 수 있다. 기업은 이메일에 대한 일관성 있는 기업정책을 수립하여 이용자에게 전파하고, 이용자에게 이메일의 적법성을 확인할
수 있도록 이용자에게 보내는 모든 이메일에 인증정보를 포함하도록 하는 정책을 수립한다. 또한 서비스를 제공하는 웹 사이트에 대해
보안성이 강화된 인증방법을 이용하며, 피싱 발생 가능성이 높은 사이트에 대한 주기적인 모니터링을 실시한다[8].
피싱 정보 공유 및 신속 대응은 피싱 관련 기관간의 활발한 정보 공유 및 사고 발생시 신속한 대처방법을 통해 가능하다.
이를 위해 피싱 대응을 위한 산업계의 자율적인 협의체 구성 및 정보 공유하며, 금융기관들은 고객들이 피싱 공격의 위험에 대한
인식을 높이고, 피해 발생시 신속한 신고를 할 수 있도록 고객에게 거짓 이메일의 사례, 신고 및 지원 사이트 연결, 새로운 공격
발생시 경고, 피싱 방지 방법을 제공한다.
3. 법ㆍ제도적 대응
미국은 2005년 2월 Patrik Leahy는 피싱방지법안(the Anti-Phishing Act of 2005)을
하원에 제안하였다. 지난 11월에 캘리포니아주 하원은 피싱방지법안을 통과시켜 법으로 채택하였다. 동 법안은 피싱 이메일 제공 및
피싱 웹 사이트 구축을 범죄로 규정하여 관련자를 처벌하도록 규정하고 있다[10].
일본경제산업성은 2005년 4월 금융기관, 보안업체 등이 참여하는 피싱대책협의회를 설립하였다. 동 협의는 피싱에 관한 정보 수집 및 제공, 피싱 동향 분석, 기술 및 제도적 대응, 해외기관과의 제휴를 수행한다.
영국 정부는 피싱 관련 절도에 대해 10년 이하의 징역에 판결할 수 있도록 기존의 절도법 개정안을 제안하였다. 절도법안
개정안에는 피싱과 같이 허위 표현, 금전적 이익을 위한 정보 유출, 지위의 남용 행위를 범죄로 규정하고 있다.
국내에서는 정통부가 피싱 관련 범죄를 처벌할 수 있도록 하는 ‘정보통신망법 이용촉진 및 정보보호 등한 관한 법률’ 개정안을
마련하였다. 재경부는 전자금융사고 발생시 거래당사자의 권리ㆍ의무 관계를 명확히 하는 전자금융거래법 제정안을 마련하였다.
금융감독원은 피싱 위험을 감소시키기 위해 은행, 금융기관을 대상으로 메일서버등록제 도입을 추진하고 있다.
피싱에 대해 각국의 다양한 법제도적 대응을 준비하고 있지만, 법적 대응에는 온라인 피싱 범죄자 색출의 어려움, 피싱 범죄자에 대한 재판권 획득의 어려움, 판결내용 증명의 어려움, 범죄 증거 소멸의 용이 등 해결과제가 많다.
V. 시사점
첫째, 범정부 차원의 체계적인 피싱 대응방안 마련이 필요하다. 피싱 대응을 위해 피싱 위협요소에 대한 위험(Risk)을
평가하고, 피싱 위험을 감소시키기 위한 정책 및 절차를 수립하여야 한다. 또한 피싱 대응을 위해 피싱 위협에 대한 인식을
제고하며, 피싱 경유지 사고 대응 교육 프로그램을 개발하며, 피싱 사고에 대한 신속한 탐지, 신고, 대응 절차를 수립할 필요가
있다.
둘째, 피싱 사고 예방 및 대응능력을 강화하여야 한다. 피싱 공격에 이용되는 보안 취약점, 분석 사례 및 해결 방안을
제공하며, 피싱에 대한 사회적 인식을 형성ㆍ공유하고 피해위험을 정확히 인식하고 대응할 수 있도록 피싱 예방 및 대응 가이드라인을
개발하여 제공하여야 한다. 또한 웹 관리자 등을 대상으로 신종 피싱 기법, 웹서버 보안, 피싱 대응방법 등에 대한 교육을
강화하여야 한다.
셋째, 피싱 인식수준 파악 및 인식제고 대상의 확대가 필요하다. 국내 개인, 기업의 피싱 위험 및 피싱 사고의 위험에 대한
인식 수준를 조사하여 정확한 실태를 진단하여야 한다. 또한 피해 대상인 고객, 사이버범죄 대응 책임이 있는 기업, 법집행
기관으로 인식제고 대상을 확대하여야 한다. 이를 위해 개인은 이메일 및 웹을 이용한 최신 피싱기법 및 피해위험, PC보안 및
개인정보보호의 필요성에 대한 인식을 높여야 한다. 기업은 피싱 위험이 적은 애플리케이션 설계방법 및 피싱의 신속 파악ㆍ대처를
위한 피싱 유형에 대한 인식이 필요하고 고객대상 홍보 및 교육을 수행하여야 한다. 법집행 기관은 피싱 기법 및 효과적인 피싱
대응방법을 전파할 수 있는 방안을 갖고 있어야 한다.
넷째, 피싱 대응을 위한 범정부적인 협조체계를 마련하여야 한다. 피싱 사고 탐지 및 보고를 위한 단일의 보고체계를
정의하고, 이기관의 역할, 절차를 명확히 정의하여야 한다. 대표적인 국제 피싱 대응 협의체인 APWG 등과의 협력을 통해
사고정보 교환, 수사 협조 등 적극적 공조할 필요가 있다. 피싱에 대한 국내 현황 파악 및 신속한 대응을 위해서는 금융감독원,
소비자 보호원, 검ㆍ경찰청 등 유관기관과의 상시연락체계를 운영이 효과적이다. 피싱에 대한 정보 공유 및 피싱사고 발생시 신속한
대처를 위한 산업계의 자율적인 협의체 구성도 긴요하다.
더불어 피싱 대응을 위한 법제도를 지속적으로 보완하여야 한다. 피싱 관련 범죄자 색출, 재판권, 범죄 증명 등 법제도 대응의 한계점을 극복할 수 있는 방안 마련이 필요하다.
합법적으로 소유하고 있던 사용자의 도메인을 탈취하거나 도메인 네임 시스템(DNS) 또는 프락시 서버의 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인하여 접속하도록 유도한 뒤에 개인정보를 훔치는 새로운 컴퓨터 범죄 수법.
'피싱(Phishing)'에 이어 등장한 새로운 인터넷 사기 수법이다. 넓은
의미에서는 피싱의 한 유형으로서 피싱보다 한 단계 진화한 형태라고 할 수 있다.
그 차이점은 피싱은 금융기관 등의 웹사이트에서
보낸 이메일로 위장하여 사용자로 하여금 접속하도록 유도한 뒤 개인정보를 빼내는 방식인데 비하여, 파밍은 해당 사이트가 공식적으로
운영하고 있던 도메인 자체를 중간에서 탈취하는 수법이다.
피싱의 경우에는 사용자가 주의 깊게 살펴보면 알아차릴 수 있지만,
파밍의 경우에는 사용자가 아무리 도메인 주소나 URL 주소를 주의 깊게 살펴본다 하더라도 쉽게 속을 수밖에 없다. 따라서
사용자들은 늘 이용하는 사이트로만 알고 아무런 의심 없이 접속하여 개인 아이디(ID)와 암호(password), 금융 정보 등을
쉽게 노출시킴으로써 피싱 방식보다 피해를 당할 우려가 더 크다.
파밍에 의한 피해를 방지하기 위해서는 브라우저의 보안성을 강화하고, 웹사이트를 속일
수 있는 위장 기법을 차단하는 장치를 마련해야 하며, 전자서명 등을 이용하여 사이트의 진위 여부를 확실하게 가릴 수 있도록
하여야 한다. 또 사용하고 있는 DNS 운영 방식과 도메인 등록 등을 수시로 점검해야 한다.
--------------------------------------------------------------------------------------------- 다이렉트 마케팅 업계 단체인 Direct Marketing Association(DMA)는 2005년 3월 스팸메일 방법의
워스트 5를 미국 시간으로 4월 21일 발표했다. 조사는 사이버 범죄 대책에 임하는 단체 National
Cyber-Forensics and Training Alliance(NCFTA)가 실시하였다.
미 CyberSource의 조사 결과에 의하면, 2004년 온라인 사기 피해액은 전년대비 37% 증가한 26억 달러였다.
DMA의 Patricia Kachura씨는 "소비자나 기업 똑같이 개인정보나 재무 정보의 수집을 노리는 수법에 대해서 항상
주의하지 않으면 안 된다."라고 말했다.
2005년 3월 스팸메일 사기수법의 워스트 5는 다음과 같다.
1. Pharming 공격
파밍은 유저의 리퀘스트를 리디렉트하여 다른 사이트에 유도하는 온라인 사기로서, 예를 들어 감염 컴퓨터로 특정 은행과
거래를 하는 경우 주소바에 그 은행의 URL를 입력하면 진짜와 똑같은 가짜 사이트로 유도된다. 파밍은 DNS 서버의 탈취에 의해
발생할 가능성도 있다.
2. Google 해킹
검색 엔진의 Google를 이용하여 개인정보가 도둑맞는 경우가 있다. 개인이 Web상에 업로드한 이력서 등에서 사회 보장
번호, 가족의 이력, 주소, 전화 번호, 학력 등이 포함되는 문서로부터 정보를 수집할 수 있다. 이러한 것을 알지 못하고 정보를
제공해 버린 개인은 정보 절도를 당하기 쉽다.
3.FBI의 이름을 인용해 송신되는 바이러스 감염/스팸메일
FBI는 같은 국의 이름을 말해 송신되고 있는 바이러스 감염 메일에 대한 경고를 발표하고 있다. 이런 종류의 스팸메일은
'조사에 의해 위법한 Web 사이트를 방문하고 있었던 것이 밝혀졌다'고 하고, 수신자에게 첨부 파일의 질문에 답하도록 재촉한다.
첨부 파일에는 「W32.Sober.K@mm」가 잠복해 있고, 발송자는 police@fbi.gov, fbi@fbi.gov,
officer@fbi.gov, web@fbi.gov라고 하는 주소로부터 송신된 것처럼 가장하고 있다.
4. Phishing
피싱 공격은 전자 메일로 가짜 Web 사이트에 수신자를 유도하여 개인정보를 입력하도록 재촉한다, 또는 트로이 목마의
공격이나 바이러스를 컴퓨터상에 올려놓는다. 이 공격에서는 사회적으로 신뢰 받고 있는 금융기관, 온라인숍, ISP, 크레디트 카드
회사 등의 브랜드명이 이용되고 있다.
5. Nigerian 사기 수법
가짜 대출 이야기 등을 사용하는 사기 메일로, 수신자에게 수수료를 요구하거나 거래를 행하기 위해서 개인의 경제 정보 등을 요구하는 것이다. 이런 종류의 사기 행위는 해일 관련 사기와 함께 부활했다.
이러한 사기의 피해를 당하지 않기 위해서 DMA는 로그인명, 패스워드, 크레디트 카드 번호, PIN 번호, 은행계좌
번호, 가족 이름, 사회 보장 번호, 생일을 포함한 개인정보를 신뢰할 수 없는 상대에게 가르쳐 주지 않는 것을 권하고 있다.
또, 이러한 정보를 요구하는 전자 메일에 답장하지 않는 것이 좋다고 하고 있다. 그 외에도 같은 패스워드를 복수의
사이트에서 사용하거나 「.exe」, 「.d11」라는 확장자(extension)를 가진 첨부 파일은 열지 않도록 경고하고 있다.
국민은행과 농협의 인터넷뱅킹 홈페이지 주소를 변경해 가짜 홈페이지에 접속한 고객의 개인정보를 빼가는 신종 해킹 사고가 발생했다.
한국정보보호진흥원은 해커가 대만에 서버를 두고 국민은행과 농협 인터넷뱅킹 고객의 공인인증서 5000여개를 탈취해간 사고가 최근 발생했다고 21일 발표했다.
이번 사고는 인터넷뱅킹 고객을 가짜 홈페이지에 접속하게 해 개인정보를 빼갔다는 점에선 피싱의 일종이다.
그러나 이메일을 통해 가짜 홈페이지로 유도하는 일반 피싱과 달리 사용자 PC에 트로이목마를 심어 인터넷뱅킹 IP주소를 변경,주소창에 주소를 정확히 입력해도 가짜 사이트가 뜨게 하는 파밍 수법까지 동원됐다.
해커는 파일 공유(P2P) 사이트,음란 사이트 등에 악성코드를 심어 사이트 접속자의 PC에 트로이목마를 설치했다.
이 트로이목마를 통해 PC에 저장된 인터넷뱅킹 IP주소를 변경했다.
그 결과 이 PC로 국민은행이나 농협 인터넷뱅킹 홈페이지 주소를 정확히 입력해도 가짜 홈페이지가 뜨게 했다.
인터넷뱅킹 이용자가 이 사실을 모르고 가짜 홈페이지에 접속해 아이디,패스워드,계좌번호 등을 입력하는 순간 탈취해갔다.
사고는 한 회사원이 인터넷뱅킹 홈페이지가 평소와 다른 점을 수상히 여겨 정보통신부 산하 한국정보보호진흥원 인터넷침해사고대응지원센터에 신고하면서 밝혀졌다.
단계별로 고객정보를 요구하는 평소 화면과 달리 인터넷뱅킹 계좌번호,공인인증서 비밀번호,보안카드 번호 등을 한꺼번에 입력하라고 요구하는 화면이 떴던 것.
가짜 홈페이지에 개인정보를 입력한 인터넷뱅킹 고객은 30여명으로 파악됐다.
성재모 금융보안연구원 팀장은 "가짜 홈페이지를 차단하고 유출된 공인인증서를 모두 폐기하는 등 신속히 대응했다"며 "자칫 큰 사고로 이어질 뻔했다"고 말했다.
○파밍(Pharming)=해커가 인터넷뱅킹 등의 사이트 주소를 관할하는 도메인서버를 직접 공격해 IP주소를 변경함으로써
주소창에 정확한 주소를 입력해도 해커가 만들어 놓은 가짜 사이트가 뜨게 하는 신종 인터넷 사기수법.이번 사고에서는 국민은행과
농협의 서버를 직접 공격하지 않고 트로이목마를 인터넷뱅킹 이용자 PC에 심어 IP주소를 바꾸는 간접적인 방법이 사용됐다.
MS? 웹 중립성 포기? 신생 업체들? 아이러니하지만 ‘큰 회사(big company)가 되는 것’이라고 한다. 조직이 비대해지면서 구글 내부에도 불필요한 관리 관계, 복잡한 업무과정 등 관료주의 문화가 자라게 될 것이라는 우려 때문이다.
구글처럼 지금은 잘 나가는 사업을 보유한 기업이라도 내부의 관료주의를 변화시키지 않고 외부 변화를 맞닥뜨리면 도태될 수밖에 없다. 1980년대 <포춘>지 선정한 500대 기업 중 20년이 지난 지금 약 3분의 1 이상이 해체되거나 합병되었는데, 톰 피터스를 비롯해 많은 전문가들은 ‘관료주의를 제대로 뿌리 뽑지 못했기 때문’이라고 지적한다.
더구나 변화가 느린 아날로그 시대와는 달리 디지털시대에서는 제품의 수명주기가 급격히 짧아지고 있다. 과정에 집착하고 위계질서로 옥죄어 있는 권위주의적인 조직 문화는 변화에 능동적으로 대처하기 힘들다.
최근 경영 일선에 복귀한 델컴퓨터의 마이클 델 회장이 회사의 가장 큰 적으로 관료주의를 꼽은 것도 이와 무관하지 않다. 관료주의가 비용을 늘리고 속도를 더디게 해 지난해 컴퓨터 업계 1위 자리를 HP에게 넘겨줬다는 것이다.
보고하는데 시간을 써 성과가 나지 않는 것이나, 성과와 직결되지 않는 부수적인 일들을 과감히 뿌리 뽑아야 하다. 대신 수평적 조직과 권한 위임으로 실행의 속도를 높이고 성과주의를 통해 조직에 활력을 불어넣어야 한다.
흔히 기업 관료주의를 잡초에 비유한다. 아무데서나 자라고 뿌리째 뽑지 않으면 다시 자라기 때문이다. 당신의 회사에는 잡초가 자라고 있지 않는가. 있다면 뿌리째 뽑을 의지와 노력을 기울이고 있는지 깊이 고민해라. 10년 뒤에 당신의 회사가 사라질지 모르니까.
㈜LG 부사장 고현진
정말 맞는거 같습니다. 제가 지금 다니는 직장에서도 조직이 커가면서 관료주의적 업무진행으로 인한 어려움이 조금씩 보이는것 같고, 경영진에서도 그런 부분을 생각하고는 있는듯 보입니다.
하지만 정말 확고한 경영마인드를 가지고 그 부분을 터치하지 않으면 그대로 굳어질 수 밖에 없는 부분인 것 같기도 합니다. 제가 다니는 조직에서도 경영진의 추진의지 내지는 지속적인 점검이나 개선 노력의 부족으로 그저 관행처럼 굳어져가는 모습을 보게됩니다.
이게 비단 조직의 문제만 아니라 어찌보면 개인에게도 적용되는 문제인것 같기도 합니다. 개인으로서도 시간이 가면서 초기의 열정과 노력, 과감한 추진력 등을 그대로 유지 발전시켜가기가 힘든 것이 사실이니까요. 저 역시도 여러가지 결심한 부분이 있고, 진행하고 있는 바가 있지만 꾸준히 해가기가 참 어려움을 느낍니다.
제 성격 때문에 그런 것도 있는것 같기도 하고....무언가 일을 시작한 후 그걸 몇일, 몇달, 몇년씩 계속 해나가는 비율이 현저히 떨어집니다. 제 개인적인 발전에 있어서 아주 치명적인 약점인 셈입니다. 잘 개선하고 보완해야 할텐데 참 쉽지 않습니다....
PKI는 기본적으로 인터넷과
같이 안전이 보장되지 않 은 공중망 사용자들이, 신뢰할 수 있는 기관에서 부여된 한 쌍의 공개키와
개인키를 사용함으로써, 안전하고 은밀하게 데이터나
자금을 교환할 수 있게 해준다. PKI는 한 개인이나 기관을 식별할 수 있는 디지털
인증서와, 인증서를 저장했다가 필요할 때 불러다 쓸 수 있는 디렉토리 서비스를 제공한다. 비록 PKI의 구성 요소들이
일반적으로 알려져 있지만, 공급자 별로 많은 수의 서로 다른 접근방식이나 서비스들이 생겨나고 있으며, 그동안에도 PKI를 위한
인터넷 표준은 계속하여 작업이 진행되었다.
PKI는 인터넷 상에서 메시지 송신자를 인증하거나
메시지를 암호화하는데 있어 가장 보편적인 방법인 공개키 암호문을 사용한다.
전통적인 암호문은 대개 메시지의 암호화하고 해독하는데 사용되는 비밀키를 만들고, 또 공유하는 일들이 관여된다. 이러한 비밀키나
개인키 시스템은, 만약 그 키를 다른 사람들이 알게 되거나 도중에 가로채어질 경우, 메시지가 쉽게 해독될 수 있다는 치명적인
약점을 가지고 있다. 이러한 이유 때문에, 인터넷 상에서는 공개키 암호화와 PKI 방식이 선호되고 있는 것이다 (개인키 시스템은
때로 대칭 암호작성법, 그리고 공개키 시스템은 비대칭 암호작성법이라고도 불린다).
공개키 암호화에서, 공개키와 개인키는 인증기관에 의해 같은 알고리즘(흔히 RSA라고
알려져 있다)을 사용하여 동시에 만들어진다. 개인키는 요청자에게만 주어지며, 공개키는 모든 사람이 접근할 수 있는 디렉토리에 디지털 인증서의
일부로서 공개된다. 개인키는 절대로 다른 사람과 공유되거나 인터넷을 통해 전송되지 않는다. 사용자는 누군가가 공개 디렉토리에서 찾은 자신의
공개키를 이용해 암호화한 텍스트를 해독하기 위해 개인키를 사용한다. 그러므로, 만약 자신이 누구에겐가
어떤 메시지를 보낸다면, 우선 수신자의 공개키를 중앙 관리자를 통해 찾은 다음, 그 공개키를 사용하여 메시지를 암호화하여 보낸다. 그 메시지를
수신한 사람은, 그것을 자신의 개인키를 이용하여 해독한다. 메시지를 암호화하는 것 외에도, 송신자는 자신의 개인키를 사용하여 디지털 인증서를
암호화하여 함께 보냄으로써, 메시지를 보낸 사람이 틀림없이 송신자 본인이라는 것을 알 수 있게 한다. 아래의 표에 이러한 절차들을 다시
요약하였다.
다음의
일을 하기 위해 ...
누구 것을 사용?
어떤
키를 사용?
암호화된 메시지를 송신
수신자의
공개키
암호화된
서명을 송신
송신자의
개인키
암호화된
메시지의 해독
수신자의
개인키
암호화된
서명의 해독 (그리고 송신자의 인증)
송신자의
공개키
누가 PKI를 제공하나?
회사나 일련의 회사들이 PKI를 구현할 수 있도록 여러 가지 제품들이 제공된다.
인터넷을 통한 전자상거래와 B2B 거래의 가속화가
PKI 솔루션 요구를 증대시켰다. 이와 관련이 있는 기술들로는 VPN과
IPsec 표준 등이 있다. PKI 선두주자들로는,
PKI 들이 사용하는 주요 알고리즘을 개발했던 RSA,
인증기관으로서 활동하면서, 다른 회사들이 인증기관을 만들 수 있게 해주는 소프트웨어를 판매하는
Verisign,
PKI 구현 방법론과 컨설팅 서비스를 제공하는 GTE CyberTrust,
넷스케이프 디렉토리 서버에 기반을 둔 VPN-1
Certificate Manager라는 제품을 공급하는 Check Point,
OCSP(Online Certificate Status Protocol)를 사용하여 서버 상의
인증서 폐지 상태를 확인하는 제품인 Web Sentry 개발사인 Xcert,
5,000만개의 객체를 지원하고 초당 5,000개의
질의를 처리한다고 알려져 있는 Directory Server, 기업이나 엑스트라넷 관리자가
디지털 인증서를 관리할 수 있게 해주는 Secure E-Commerce, 그리고 보안관리를 위해 단일 디렉토리 속으로 기업의 모든 디렉토리를
접속할 수 있게 해주는 Meta-Directory 등의 제품을 공급하는 Netscape 등이 있다.
Pretty Good Privacy
PGP 제품들은 전자우편에서
공개키를 가지고 있는 그 누구에게라도 메시지를 암호화하여 보낼 수 있게 해준다. 메시지를 보낼 때 수신자의 공개키를 이용하여 암호화하면,
수신자는 자신의 개인키로 해독한다. PGP 사용자들은 키링이라고 불리는 공개키 디렉토리를 공유한다 (키링에 액세스할
수 없는 사람에게 메시지를 보낼 때에는, 암호화된 메시지를 보낼 수 없다). 또다른 옵션으로서, PGP는 자신의 개인키를 이용하여 디지털
인증서를 가지고 있는 메시지에 서명을 할 수 있게 해준다. 그러면 수신자는 송신자의 공개키를 받아서, 그 메시지를 보낸 사람이 송신자 본인이
틀림없는지를 확인하기 위하여 암호화된 서명을 해독하게 된다.
UCC란 ‘User Created Contents’의 약어로 일반 인터넷 사용자가 스스로 콘텐츠를 제작해 인터넷을 통해 유포하는 것을 말한다.
초기 UCC는 끼가 넘치는 네티즌이 댄스나 연주 등 자신이 등장하는 영상을 직접 찍어 인터넷에 올리면서 대중의 관심을 끌기 시작했다.
단순히 자신의 재능을 선보이는 것을 넘어 ‘마빡이 실험쇼’ 등 다양한 형태의 UCC들이 등장하면서, UCC는 짧은 시간 동안 인터넷 문화의 중심으로 자리잡았다.
하지만 UCC가 요즘 급속도로 그 자리를 잠식당하고 있다. 단순히 아마추어 수준을 넘어 준전문가적인 지식을 갖춘 네티즌들이 UCC제작에 나서면서 ‘PCC’로 진화하고 있기 때문이다.
PCC는 ‘Proteur Created Contents’의 준말로 프로와 아마추어의 합성어인 ‘프로튜어’들이 제작한 UCC를 가르킨다.
UCC와 PCC의 가장 두드러진 차이점은 내용에서 드러난다. 기존 UCC들이 흥미 유발이나 화제성 소재를 채택했다면, PCC는 전문적인 정보를 전달하는 데 초점을 맞추고 있다.
최근 가장 큰 인기를 모으고 있는 PCC는 60대의 전직 문화부가 제작하는 문화체험 방송이다. 인터넷 개인방송국 아프리카에서 고야라는 닉네임을 쓰고 있는 김정열(67)씨는 기자시절 겪은 해외 문화 체험기를 UCC에 담았다.
전문가 수준의 해박한 지식과 전직 기자라는 신뢰성이 더해져 김씨가 전하는 생생한 정보는 해외 여행을 준비하는 네티즌에게 이미 필수 교재가 된 지 오래다.
동
영상 전문 사이트 판도라TV에 등장한 ‘소아 심폐 소생술’ 도 PCC에 속한다. 현직 소방관이 제작한 이 UCC는 어린이의
기도가 막혔을 때 인공호흡을 통해 누구나 쉽게 심폐소생술을 할 수 있도록 시범 등을 통해 정확하게 알려준다.
PCC가 동영상 형태로만 존재하는 건 아니다. 영화나 책에 관한 날카로운 비평을 전문적으로 다루는 웹진이 대표적이다. 영화리뷰 웹진 씨네찌라시가 대표적이다.
동영상은 아니지만 전문가 못지않은 시선으로 영화에 대한 신랄한 평을 글로 풀어놓고 있다. 이곳에서 혹평을 받으면 영화 흥행에도 영향을 미칠 정도다.
나
우콤 관계자는 “UCC가 지나치게 자극적인 내용으로 네티즌들의 거부감을 사고 있을 때와 맞춰 PCC가 등장한 것은 반가운
일”이라며 “자신의 전문가적인 재능을 살리고자 하는 UCC제작자들과 화제 동영상을 무작정 따라하기 보다 자신이 궁금해 하는
전문영역을 전해주는 UCC를 더욱 선호하는 최근 네티즌의 성향이 잘 맞아떨어진 것 같다. 앞으로 PCC가 UCC 시장의 발전을
이끌 것”이라고 기대했다.
소프트웨어(SW)가 조선·항공·물류·IT 등 대한민국을 먹여살리는 산업의 핵심으로 자리 매김하는 상황에서 SW가 발전해야 국가
경쟁력이 더욱 강해지며, SW 발전을 위해서 해외시장을 개척하는 것이 무엇보다도 중요하다는 이야기를 하는 것은 새삼스러울 정도다.
하지만 SW를 수출해야 한다는 데 너무 중심을 두어 우리 스스로가 ‘SW를 수출하는 데 필요한 준비에는 소홀한 것은 아닌가’
하는 질문을 던질 때가 됐다고 생각한다. 나는 SW 수출을 위해서는 다음과 같은 준비가 절대적이라고 생각한다.
첫째는 SW의 품질확보다. ‘우리나라 SW의 가장 큰 문제가 무엇이냐’는 질문을 받는다면 나는 주저하지 않고 품질이라고
이야기한다. 해외에 세일즈를 하러 수많은 기업이 대박 또는 큰 기대를 품고 떠나지만, 빈손으로 돌아오는 가장 큰 이유는 바로
품질이다.
SW의 품질이라고 하면 ‘이러한 기능이 있느냐 없느냐’의 문제라 생각하는 사람이 많다. 하지만 실은 SW의 품질은 기능뿐 아니라 사용자 설명서, 기술지원 체계, 개발 체계, 마케팅 자료 등을 포괄하는 개념이다.
한국 SW 기업이 SI 회사나 고객이 계산하는 ‘맨먼스/인건비’를 기준으로 매출이나 수익을 올리는 방법으로는 절대 해외에서 요구하는 품질에 맞출 수 없다. 내부적인 프로세스 체계와 철저한 보증작업으로 품질을 끌어 올려야만 한다.
두 번째는 다양한 분야의 고급 SW 인력 양성이다. SW 전문가라고 하면 많은 이가 ‘개발자’를 생각한다. 즉 ‘코딩 잘하는 사람=SW 전문가’라는 등식으로 바라본다.
만약 모든 사람이 이런 시각을 가지고 있다면 우리나라에서 좋은 SW가 생산될 가능성은 거의 없다. 개발을 잘하는 소수의 사람이 SW를 만들어 성공하는 시대는 벌써 10여년 전에 흘러가고 말았으니 말이다.
SW 전문가에는 개발을 잘하는 사람도 포함되지만 그 외에도 아키텍처·품질관리 전문가·기술문서 작성 전문가·프로젝트 관리 전문가·시장조사 전문가·설계 전문가·컨설팅 전문가·제품 분석 전문가·마케팅 전문가 등도 포함돼야 마땅하다.
세 번째는 성공사례 확보다. 한국시장에서 성과가 전혀 없는 기업이 수출을 해서 성공한다는 것은 실제로 실현되기 어려운 이야기다.
특히 레퍼런스가 중요한 SW 산업에서는 더더욱 힘든 일이다. SW 성공사례를 만들기 위해서는 시장을 키우는 정책과 각
이해관계자의 노력이 매우 중요하다. 우리나라 SW 시장을 키워야 하는 이유는 자국의 산업을 보호하는 목적뿐 아니라, 우리의
차세대 먹거리를 만들기 위해서도 매우 중요한 일인 것이다.
네 번째는 정부의 정책적인 지원이다. 혹자는 뭐든지 잘 안 되면 정부의 정책이나 지원을 거론한다고 힐난할지 모르지만, 겨우 서 있을 정도의 힘을 가진 국내 SW 산업에서 정부의 지원은 매우 중요한 일이다.
정부의 수출을 위한 정책적인 지원은 70년대 개발정책을 벤치마킹해야 한다고 생각한다.
SW
업계에서 욕을 먹지 않을 만큼 지원하는 공평한 정책에서 ‘해외에서 성공할 만한 기업을 선정하고 집중적으로 지원 육성하는
정책’으로 선회해야만 SW 업계의 박세리가 탄생할 수 있고, 현재의 LPGA처럼 제2, 제3의 박세리가 탄생해 시장을 평정할 수
있다.
◆오재철 아이온커뮤니케이션즈 대표 i@i-on.net
Copyrightⓒ 2000-2005 ELECTRONIC TIMES INTERNET CO., LTD. All Rights Reserved.
정보통신부가 2004년 2월 첫 선을 보인 IT839 전략을 대폭 수정한 u-IT839 전략을 발표했다. 8일 정통부에 따르면, 참여정부의 정보통신 정책인 IT839 전략을 수정 보완한 u-IT839 전략에는 유비쿼터스 사회를 조성하기 위한 정책에 초점이 맞춰진 것으로 나타났다. 특히, 정통부는 올해부터 u-IT839 전략의 본격추진으로 2010년까지 생산액 576조원, 부가가치 266조원 창출할 것으로 기대했다.
새 u-IT839전략에는 기존 8대서비스 중 인터넷 전화는 상용화됨에 따라 제외되고 DMB와 DTV는 통합하는 대신, 통신·방송 융합 및 소프트웨어의 중요성이 강조되는 추세를 반영하여 ‘광대역 융합서비스’와 ‘IT서비스’가 추가됐다. 3대 인프라에서는 인터넷 주소체계인 IPv6를 BcN에 통합하는 대신에 ‘소프트 인프라웨어’가 추가됐으며 9대 신성장동력에는 이동통신과 텔레매틱스 기기가 통합되고 RFID/USN기기가 추가됐다.
정통부측은 u-IT839전략에 ‘소프트 인프라웨어’와 ‘IT서비스’가 새로 추가된 것에 대해 IT융·복합화 기술과 제품을 효과적으로 개발하고 사용자 중심의 편리한 IT서비스를 제공하는 소프트웨어 산업을 본격 육성하기 위한 것이라고 설명했다. 또, 8대 서비스와 9대 신성장동력에 수반되는 소프트웨어를 포함한 소프트웨어 산업 전반의 국제 경쟁력 강화를 정부차원에서 직접 지원하기 위한 것이라고 정통부측은 덧붙였다. 이밖에도 광대역융합 서비스에 IP-TV를 8대 서비스에 추가해 통신·방송 융합서비스의 연내 도입의지를 나타냈으며 광대역 통신기기, 컴퓨팅 및 주변기기 등 지금까지 상대적으로 주목받지 못한 산업을 적극 육성키로 했다.
정보통신부는 이번에 새로 마련된 u-IT839전략에 의해 2010년까지 관련 산업이 연 평균 14.2% 성장해 향후 5년간 생산액 총 576조원, 경제전반에 걸친 부가가치 총 266조원이 창출될 것으로 전망했다.
한편, 이 날 진대제 장관은 “u-IT839전략은 서비스, 인프라, 신성장 동력간의 연계성을 강화하고, 소프트웨어 부문의 적극 육성 및 IT와 타 부문 간의 융·복합화를 적극 지원해 경제 성장에 활력을 불어넣을 것”이라고 밝혔다.
