[기획특집]사이버 범죄, 금융 정보보안, NAC, UTM, 취약점 분석 | 2009.10.12 |
[특집] 보안 위협과 효과적인 대응방안 제시
컨퍼런스 둘째 날에도 해킹시연으로 첫 강연이 시작됐다. 둘째 날 해킹 시연은 이슈메이커스랩의 김태형씨와 최상명씨가 7.7 DDoS(I Know What You Did Last Summer)라는 주제로 지난 7.7 DDoS 대란과 똑같은 상황을 재연해 참관객들이 이목을 집중시켰다.
이이날 시연에서 김태형씨와 최상명씨는 이번 공격에 사용된 악성코드는 총 3종의 유형으로 각각의 악성코드 유포에서 C&C서버들의 상관관계를 분석해 웹하드를 통한 악성코드 유포에서부터 C&C 서버를 통한 악성코드의 업데이트와 타이머가 내장된 DDoS 공격, 그리고 최종 하드디스크 파괴로 이어지는 하나의 전체 시나리오를 완성했으며 공격자, 피해자, 보안전문가 등 각각의 시점에서 진행했다. 이와 더불어 좀비 PC와 C&C의 통신 프로토콜을 정밀 분석한 결과를 토대로 효과적인 대응방안도 제시했다. 이 시연이 진행되는 동안 진지하게 강연을 들었던 참관객들은 다시 한 번 보안의 중요성을 되새기며 그들이 제시한 보안 위협과 공격에 효과적인 대응 방안에 대해 많은 관심을 보였다. 이어진 초청강연에서는 이홍섭 한국CSO협회 회장의 ‘공공 및 기업의 바람직한 CSO의 역할’에 대한 강연이 진행됐다. 이홍섭 회장은 이날 초청강연에서 최근의 기관, 기업 등 여러 조직들의 경쟁환경의 변화와 조직 내 최고 책임자들의 역할, 그리고 현재 보안환경의 문제점과 최근 국·내외에서 발생한 대형 보안사고들과 이들 사고들로 인한 교훈과 사고예방을 위한 보안관리 대상에 대해 밝혔다. 특히 그는 “보안은 자연스럽고 쉽게 문화로 풀어야한다”며 “시스템, 서비스, 프로세스 등 대상과 함께 반드시 일정 부분으로 배려해야하고 지속적인 투자 및 관리와 전사적 위험관리 활동을 해야한다”고 강조했다. 또한 그는 “보안은 직·간접 구성원 모두가 참여해야하고 잘 지킨 것에 대한 보상이 있어야 하며 반드시 CSO가 있어야 한다”고 덧붙였다. 또한 이날 오전 주영흠 잉카인터넷 대표는 ‘정보보안의 어제와 오늘’이라는 Keynote Speech에서 “지난 7.7 DDoS 대란은 먼저 웹 애플리케이션 취약점을 통하여 전파된 것으로 보이며 알려지지 않은 제로 데이 취약점을 통해서 사용자의 PC를 감염시켰다. 만약 웹 보안이 잘되어 있었다면 발생하지 않았을 사건”이라며 “스케쥴링 된 DDoS 공격은 HTTP GET을 서버에 전송함으로써 서비스 거부가 발생하도록 했지만 조금 더 좋은 DDoS 솔루션에 투자했다면 약간 느려지기는 했겠지만 그다지 큰 문제를 발생하지 않았을 수도 있었을 것”이라고 밝혔다. 또한 “그는 요즘 무료 백신이 많은데 좋은 백신으로 최초 DDoS 공격 이후에도 검사에 보다 많은 신경을 썼더라면 이번 DDoS 공격이 작은 해프닝으로 끝날 수 있었을지도 모른다”고 덧붙였다. 즉 한 두가지 보안 솔루션이 잘 된다고 하더라도 보안 취약점을 완전하게 해결할 수 없으며 이제는 모든 IT 기술이 컨버전스와 융복합을 통한 새로운 패러다임의 보안 제품이 필요한 때라는 것이다. 이어서 그는 “최근에는 보안 소프트웨어 보다 먼저 수 많은 악성코드들이 다양한 기법들을 융·복합해 제작되고 있다”며 “이제는 여러 분야의 보안 취약점을 동시 다발적으로 보완하지 않으면 문제를 해결하는 것이 쉽지 않으며 해결한다고 하더라도 많은 시간이 소요될 수 밖에 없다”고 강조했다. 그는 또 “아직도 저희를 포함한 많은 보안 회사들은 자신들의 솔루션만 도입하면 문제를 해결할 수 있는 것처럼 이야기하고 있지만 이는 잘못된 것이며 사용자들은 필요에 따라서 적절한 보안 솔루션을 추가하거나 업그레이드 해야 한다”고 덧붙였다.
금융IT 정보보호위해 감독기준 강화 컨퍼런스 둘째날 공공트랙에서는 사이버 안보와 사이버 범죄, 그리고 금융정보보호 등에 관한 주제로 강연이 진행됐다. 첫 번째 강연자로 나선 윤호상 국방과학연구소 책임연구원은 ‘사이버 안보를 위한 국방정보보호 기술발전 정책’을 주제로 최근 민간의 해킹, 바이러스와 같은 사이버 공격으로 인한 피해사례가 늘고 있으며 이에 따른 경제적, 시간적 피해가 증가하고 있는 상황에서 국방 분야의 정보체계를 전·평시 안전하게 보호하기 위해서 현재 민간에서 개발되는 정보보호기술과 차별화되고 강화된 정보보호 기술이 필요성이 대두되고 있다고 밝혔다. 특히 그는 “강화된 보안(지능형 침입추론, 실시간대응, 역추적), 전시 사이버전 대비(침입감내), 다중망 보안관제(보안게이트웨이) 등의 국방정보보호기술 차별화와 다수준·다계층 추진전략에 의한 정보보호체계·독자적인 핵심 기술 개발이 필요하다”고 말했다. 이어서 진행된 강연에서 경찰청의 안찬수 사이버테러대응센터 수사팀장은 우리 사회가 고도의 정보화 사회로 발전함에 따라 여러 가지 부작용이 증가하고 있고 이러한 부작용을 예방하고 해결해야 할 책무를 가지고 있는 경찰의 역할 또한 날로 증대되고 있는 실정이라고 밝혔다. 그는 “경찰청 통계에 따르면 2003년 이후 개인정보의 침해사건은 2배 이상 비약적으로 증가했고 2008년에는 대형 쇼핑몰 및 정유사의 개인정보 유출 사건이 사회의 큰 이슈로 떠올랐으며 2009년에는 정보통신 서비스의 마비를 목적으로 하는 DDoS 공격, 특히 국내·외 31개 사이트를 공격한 7.7 주요 사이트 사이버테러까지 발생했다”고 설명하고 “이러한 사이버 범죄는 과거 단순 호기심과 실력과시용에서 오늘날은 거의 모두 금전적 이득을 목적으로 하는 범죄로 변질됐고 이에 따라 일반 범죄조직까지 뛰어들고 있어 그 범행규모 및 피해는 예상할 수 없이 대형화됐으며 유출된 정보를 통한 2차 피해사례도 급증하고 있는 현실”이라고 말했다. 그는 또 “최근 발생한 해킹, 개인정보 침해사건 및 DDoS 공격사건 등의 사이버범죄 방지와 그 피해 확대를 막기 위해서는 경찰의 노력과 적절한 대응체계 수립이 필요하다”고 강조했다. 또한 IT기술의 발달에 따른 전자금융 환경의 변화와 금융 IT 정보보호도 이번 컨퍼런스에서 중요한 보안 이슈로 부상했다. 최재환 금융감독원 감독서비스총괄국 부국장은 ‘금융부문 IT 및 정보보호 감독정책’이라는 주제 발표에서 “최근 전자금융거래가 증가함에 따라 정보유출, 현금부당인출 등의 다양한 전자금융사고 발생이 증가하고 있다”며 “이에 대비해 금감원은 금융IT 정보보호 감독기준을 강화하고 금융권 DDoS 공격 대응 모의훈련, 키보드해킹방지프로그램 등 기 보급된 PC용 보안 프로그램에 대한 지속적인 취약점 테스트 및 보안대책 마련, 웹 하드, P2P 등을 통한 중요 정보유출 방지 대책 마련, 인터넷뱅킹 사고 예방을 위한 대국민 홍보 등의 고객정보보호 캠페인 등을 추진 등의 노력이 필요하다”고 밝혔다.
NAC로 DDoS 공격 약화 가능 둘째 날 트랙 A 첫 번째 강연은 마이클 렌더웨이 포어스카우트 아시아 세일즈 총괄 이사가 강연자로 나서 ‘네트워크의 전반적 개요, 관리 그리고 집행’이라는 주제로 발표했다. 마이클 렌더웨이 이사는 “최초 NAC가 개발된 이후 네트워크 접근 제어 사업은 급속도로 발전하고 변화하고 있다”며 “이런 발전과 변화속에서 광범위한 네트워크와 엔드포인트 관리, 네트워크 통합 관리를 제공하는 새로운 제품이 생겨나고 있다”고 말했다. 그는 일단 관리 툴을 추가함으로 모든 시스템에 업데이트, 패치를 구성하며 이를 통해 매우 세밀한 장비의 컨트롤을 제공하게 된다고 설명했다. 아울러 네트워크, 장치관리, 외부장치관리, 애플리케이션 관리 툴을 추가함으로써 네트워크의 총괄적인 관리 기능도 제공한다고 전했다. 또한 모든 종류의 네트워크 인프라를 관리할 수 있는 툴을 추가함으로써 모든 장치, 모든 OS, 모든 어플리케이션 그리고 모든 종류의 사용자들을 관리할 수 있다고 말했다. 이어서 남인우 유넷시스템의 이사는 ‘NAC 도입사례 연구-공무원 PC 해킹 탐지 시스템 구축 사례 발표’에서 언급한 도입사례는 ‘공무원 PC 해킹 탐지 시스템 구축’으로 16개 기관 25개 부처의 공무원 PC를 대상으로 구축되는 행정안전 발주 프로젝트다. 공무원 PC 해킹 탐지 시스템은 16개 기관과 25개 부처의 공무원 PC를 대상으로 구축되는 프로젝트로서 애니클릭 NAC의 도입으로 조직 내 PC를 내부 보안정책을 효율적으로 적용하고 각 PC의 네트워크 사용에서 보안 위협을 최소화 할 수 있도록 해준다는 것. 그는 특히 에이전트 기반의 NAC의 활용을 통해 바이러스 백신이나 PMS, IP/MAC, 윈도우 보안업데이트 및 방화벽, 필수 보안 프로그램 사용 여부 등을 체크해 각 PC가 최적화된 보안 환경이 구축될 수 있다고 설명했다. 한유석 에어큐브 이사도 NAC관련 주제 발표를 통해 “NAC로 DDoS 공격을 약화 시킬 수 있다”고 말했다. 그는 이날 강연에서 ‘NAC 솔루션을 이용한 DDoS 방어 체계 구현 방안’에서 DDoS 공격은 일반 PC에 악성코드를 감염시켜 여러 분산된 PC의 네트워크 트래픽을 지정된 타깃에 집중시켜 공격을 시도하기 때문에 조직 내에서 비정상적인 네트워크 트래픽을 검출해 감염된 좀비 PC를 찾아내고 이를 격리한 후 치료함으로써 DDoS 공격의 위력을 감소시킬 수 있다는 것. 또한 그는 기관이나 기업에서 이용하는 PC가 좀비 PC로 이용될 경우, 피해자가 되는 동시에 가해자가 될 수 있기 때문에 해당 조직은 이에 대한 준비가 필요한 상황이다. 내부적으로 좀비PC를 검출하기 위해서는 좀비PC의 행동을 파악하고 네트워크상에서 제한할 수 있는 체계가 필요하다고 덧붙였다. 이를 위해서는 네트워크 관리자가 단일 IP를 소스로 해 공격 대상이 되는 사이트의 주소(URL)에 대해 초당 수십~수백 회 조회하는 단말을 검출하고 제어하는 방법이 요구된다. 따라서 한 이사는 에이전트 기반 NAC 솔루션을 통해 공격성 트래픽을 효율적으로 검출하고 검출된 좀비 PC를 내부 정책에 따라 격리 또는 치유할 수 있다고 설명했다. 이어서 이날 네 번째 강연자로 나선 한국알카텔-루슨트의 김장섭 씨는 ‘차세대 사용자 기반의 계층적인 통합 보안’을 주제로 다양한 네트워크 환경 변화에 따라 기존 사용 중이거나, 적용됐던 보안 정책 및 방법으로는 완벽한 솔루션을 제공하기 어렵다고 말했다. 특히 그는 알카텔-루슨트에서 제안하는 Dynamic Enterprise 2.0 환경의 변화에 따라 언제 어디서나 접속 가능한 네트워크, 특히 모바일 사용자에 대한 보안 정책 적용은 더욱 많은 노력과 비용이 소모되는 것이 현실이라는 것. 이에 알카텔-루슨트의 ‘차세대 사용자 기반의 보안 솔루션’은 현재 사용 중인 네트워크 환경의 변경 없이 최소한의 비용으로 사내에 있는 고정형 사용자뿐만 아니라 모바일 사용자가 사내 혹은 사외에 있던 간에 완벽한 보안방법을 제시한다고 말했다. 마지막으로 성재모 금융보안연구원 본부장은 ‘모바일 기반 금융정보보호 기술현황’에 대해 발표를 진행했다. 그는 최근 전자금융거래의 비중은 창구거래 대비 6배 이상 증가하고 있고 휴대의 편의성 등으로 인해 모바일 뱅킹(Mobile Banking), 모바일 증권(Mobile Stock) 등 모바일 금융 서비스도 증가하고 있는 추세이며 휴대폰 시장은 퀄컴에서 개발한 CDMA 기반의 2세대에서 WCDMA 기반의 3세대로 바뀌며 전화통화, 문자 보내기는 물론, TV시청에서 카메라, 화상통화 등 다양한 기능이 추가되면서 모바일 단말기는 새로운 전자금융 채널로 주목 받게 됐다고 설명했다. 특히 그는 모바일 단말기는 현재 휴대용 컴퓨터와 같은 스마트폰에 이르기까지 빠른 속도로 진화를 거듭하고 있으며 휴대폰기반 기존 금융서비스의 위협에 대응하기 위해서는 스마트폰 기반의 금융서비스 제공시 고려해야 할 보안 위협과 대응 기술 등을 제시했다.
UTM기술 컨버전스화로 XTM으로 확장·통합 한편 트랙 B에서는 최재립 한국거래소 통합관제팀 과장의 ‘시스템의 안정적 운영을 위한 접근통제 및 감사 추적적용 사례’발표에 참가자들의 많은 관심이 쏠렸다. 한국거래소(KRX)에서 야심차게 추진한 차세대 시스템인 ‘EXTURE’가 지난 22개월간의 테스트와 개발 등의 공정을 거쳐 올 3월 성공적으로 가동됐다. 또한 이 시스템의 안정적인 운영을 위해서 구축한 IT통합관제센터의 효율적인 시스템 운영 및 보안관리를 위해 모두스원의 보안 감사 솔루션인 GateONE을 도입·구축했다. 최재립 과장은 이날 강연에서 “GateONE은 실시간 모니터링, 접근통제, 금칙어 적용, 사후감사를 위한 로그백업 및 로그 위변조 방지, 전체 감사로그를 분석하여 작업내용의 적정성과 특정 명령어에 대한 추적 기능을 제공해 한국거래소의 차세대 시시템의 보안 요구사항을 충족시켜준다”고 덧붙였다. 이어진 강연은 박영욱 포티넷 코리아 차장이 진행했다. 박영욱 차장은 ‘SEXTM(UTM2.0)을 활용한 확장된 보안 전략’을 주제로 “UTM은 통합보안을 위한 솔루션으로 다양한 개별 보안 솔루션을 1Box 솔루션으로 구현해 다양한 보안 위협에 효과적인 대응이 가능해 최근 이슈가 되고 있다”면서 “최근의 보안 위협은 점차 다양화, 지능화 되고 있어 개별 보안 솔루션으로는 한계가 있다. 이에 최근 확장된 UTM의 개념인 XTM으로 UTM기술의 컨버전스화로 지속적인 확장·통합되어 가고 있다”고 설명했다. 한편 포티OS 4.0은 고객들에게 더욱 향상된 기능 제공과 함께 추가된 보안 기능과 네트워크 서비스로 포티넷 통합 보안 장비의 가치 및 ROI를 강화했다. 기존 포티OS에 새롭게 추가된 보안 기능은 애플리케이션 통제, DLP 및 SSL 감시 기능이며 이는 첫째로 경기침체에 따른 사이버 위협의 증가에 대처하고 둘째 웹 2.0시대에서 확장된 보안을 필요로 하는 사용자 환경을 유연하게 지원할 수 있도록 설계되었다. 아울러 보강된 네트워킹 기능과 보안 기능을 결합하고자 하는 포티넷의 지속적인 전략의 일환으로 WAN 최적화 기능을 새롭게 추가하여 네트워크 관리자로 하여금 향상된 네트워크 서비스의 구축을 가능케 했다. 또한 성경원 인포섹 지식컨설팅사업본부 컨설팅3팀 팀장은 ‘법 개정에 따른 준용사업자 대상 개인정보보호체계 구축방안 및 컨설팅 프로그램’에서 준용사업자가 법적 요구사항을 준수하는 컴플라이언스 충족뿐만 아니라 보다 발전된 형태의 다양한 보안위협에 능동적으로 대응할 수 있는 기술적 대응체계로까지 확장할 수 있는 방안을 제시했다. 그는 2009년 7월 1일부터 개인정보를 수집·이용하는 주택건설업, 부동산중개, 정유사 및 직업소개업 등 14개 업종의 준용사업자가 신규로 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 적용대상이 되었다. 이에 따라 개인정보를 취급하는 준용사업자들은 관계 법령에 따라 개인정보를 취급하는데 있어 다양한 의무사항들을 반드시 준수해야만 한다고 말했다. 하지만 그는 “개별 준용사업자들이 여러 항목의 법적 요구사항을 충분히 이해하여 자체적으로 대응을 하는데 있어서 전문적 지식의 한계, 개인정보보호 역량 부족 등의 여러 어려움에 직면해 있는 것이 현실”이라며 “이를 해결하기 위해서는 정보보호전문업체를 통한 개인정보보호 컨설팅 프로그램을 통해 사업자별 환경과 제약사항을 충분히 고려해 자사에 최적화된 개인정보보호 체계를 구축함으로써 건실히 대응해 나갈 수 있을 것”이라고 밝혔다. 한편 임채호 NHN 수석은 ‘객관화된 신뢰성 보안관리 체계’라는 강연에서 현대 사회에서 점점 복잡해지는 보안 위협은 Secure의 개념이 아닌 객관적 판단에 따르는 Trusted 개념이 중요하며 보안 제공자가 아닌 수요자가 보안 시장을 결정하는 요소가 되어 있다고 말했다. 그는 “보안은 100% 만족할 수 없으며 보안에는 사이버 보안, 산업보안, 사이버 범죄 수사 등 많은 분야가 있다”면서 “이들의 기반에는 공통적인 기준이 요구되는데 보안의 기술, 관리, 물리 혹은 운영이 별개의 것이 아니라 하나의 모델로서 표준이 필요함을 의미하고 보안 기술의 표준화 및 코드화, 취약성관리, 위험분석, 성능관리 등이 하나의 프로세스로서 존재해야 한다”고 말했다. 이어서 박나룡 다음 커뮤니케이션 개인정보보호팀 차장은 ‘지속가능성, 사회적 책임 그리고 개인정보보호’라는 주제를 가지고 강연을 진행했다. 그는 ‘지속가능 경영’이란 기업이 경영활동을 수행하는 과정에서 경제적 수익성뿐만 아니라, 사회적 책임성, 환경적 건전성 측면을 균형적, 통합적으로 고려해 지속 가능한 성장과 발전을 추구하는 경영 패러다임이라고 말했다. 그는 또 “개인정보보호 분야는 가장 많은 이해관계자와 관련된 부분으로 조직의 정보보호 수준을 알고 싶고 그 수준에 따라 조직의 지속가능성 여부를 판단하고 싶어한다”면서 “이해관계자들이 고객정보를 어떻게 안전하게 다루고 있는지에 대한 관심은 급격하게 증가하고 있으나 아직까지 적절하게 설명해 주고 있는 기업은 많지 않은 것이 사실이다. 따라서 지속가능경영의 핵심 중의 하나가 다수의 이해관계자에게 조직의 현황과 문제점을 균형 있게 그리고 정확하게 전달해야 한다는 점에서 가장 중요한 이슈중의 하나인 ‘개인정보보호’ 측면을 간과해서는 안되며 개인정보보호를 소홀히 할 경우 경제적 지표뿐만이 아니라 사회적 책임을 간과하는 기업이라는 불명예를 안을 수 있다”고 강조했다.
유료 무선 인터넷 보안 취약점있어 ‘우회’ 가능 둘째날 트랙 C에서는 Active X, 취약점 분석, UTM, 등의 주제로 강연이 이어졌다. 특히 이경문씨의 ‘유료 핫스팟 인증우회’라는 주제 발표시간에는 수 많은 사람들의 주목을 받았다. 이날 트랙 C 첫 번째 강연자로 나선 이상용 마이크로소프트 최고보안자문은 ‘Active X와 보안환경’이라는 주제발표에서 지난 1989년 인터넷을 통한 웹서비스가 탄생한 이후 20여 년간 웹기반의 서비스는 눈부신 발전을 해왔고 이러한 발전에 큰 영향을 끼치고 있는 것이 바로ActiveX Control 기술이라고 밝혔다. 그는 이 자리에서 “Active X는 윈도우 프로그래밍 기술을 인터넷 익스플로러 등의 웹 브라우저에 접목시키기 위한 플러그 인 기술로 쉽게 말하면 웹과 일반 응용프로그램을 연결하는 기술을 말한다”며 “ActiveX는 인터넷 뱅킹 등 금융업무와 포털의 파일 업로드, 동영상 재생과 행정 처리를 위한 코드 등 많은 사이트에서 사용되고 있다. 이러한 때 무분별한 사용으로 인해 ActiveX의 보안성이 취약하다는 사실이 알려지고 사용자에게 불필요한 플러그인 설치를 강요하면서 ActiveX를 대처할 수 있는 대안 기술에 대한 이야기까지 나오고 있다”고 설명했다. 이에 덧붙여 그는 “마이크로소프트는 이러한 상황을 해결하기 위해 웹 표준을 전제로 한 플랫폼 다양화를 구현하고 현 서비스의 안정화를 통한 사용자의 불편함을 최소화하는 등 해결책 마련에 고심하고 있다”고 말했다. 이어서 이동일 소프트와이드 시큐리티 CTO의 ‘복잡한 위협 환경에 대응하기 위한 다계층 취약점 분석을 통한 위험관리 및 대응’이라는 주제 발표가 진행됐다. 이동일 CTO는 이날 발표에서 “복잡한 위험 및 위협 환경에 있어서 전통적인 보안 시스템의 운용 방법을 이용하고 이를 통한 보호를 제공할 수 있다고 생각하는 것은 안일한 일이 되어가고 있다”면서 “이는 기존의 보안 시스템의 운용과 활용 자체가 기본적인 수준이고 이러한 운용 및 활용 인력에 대한 지원과 능력 개발자체가 없기 때문”이라고 말했다. 그는 특히 현재 제공되고 있는 보안 수준에 대한 지속적인 평가 및 관리가 이루어지고 있지 않은 점도 그 원인 중 하나라고 덧붙였다. 또한 한승수 체크포인트코리아 보안컨설턴트의 ‘UTM을 넘어 XTM으로, CheckPoint Software Blade’라는 주제 발표에서는 UTM의 확장된 개념의 XTM의 개념에 대한 내용을 발표해 많은 관심을 모았다. 그는 최근 몇 년간 해킹, 웜, 바이러스 및 서비스거부공격 등의 디지털 공격은 계속 증가하고 있으며 공격기법과 공격대상은 점점 다양해지고 있고 보안위협이 보다 다양해지고 복합적인 형태로 나타나면서 많은 보안벤더들은 다수의 보안기능을 통합해서 제공하는 통합위협관리시스템 UTM(Unified Threat Management)을 경쟁적으로 제공하기 시작했다고 언급했다. 이어 그는 이런 보안벤더들의 전략은 시장의 요구의 정확하게 부응하여 UTM시장은 최근 몇 년간 큰 폭의 성장을 이루었으며 향후 전망 또한 장밋빛이라고 덧붙였다. 특히 그는 “최근 보안 시스템을 연구하는 단체들에서 3세대 UTM인 XTM(Extensible Threat management)의 개념을 도입했다”며 “이 XTM의 조건으로는 기존 보안기능에 덧붙여서 새로운 위협에 대한 대응을 위해 실시간 업데이트가 가능할 것, 중앙 집중화된 단일 콘솔을 통해 강력한 관리기능들(통합로깅, 통합리포팅, 이벤트 상관관계 분석 등)을 제공할 수 있을 것, 네트워크 트래픽을 컨트롤 할 수 있을 것, 취약성 관리기능을 제공할 수 있을 것, 도입 비용이 보호될 수 있도록 유연함이 제공될 것 등이 제시되고 있다”고 설명했다. 또 하나 트랙 C에서 흥미를 끌었던 강연이 있었다. 이는 이경문씨의 ‘유료 핫스팟 인증 우회’라는 주제로 무선 인터넷의 보안 취약점을 이용해 공항이나 호텔 등의 유료 인터넷을 무료로 이용할 수 있는 보안 취약점과 대응 방안에 대해 밝혔다. 그는 “무선인터넷은 이제 새로운 것이 아니다. 공항이나 호텔을 비롯해 학교 캠퍼스나 커피전문점 등 여기저기서 무선인터넷을 즐기는 사람들을 찾아볼 수 있다. 하지만 이들이 모두 자유롭게 무선인터넷 서비스를 즐기는 것은 아니다”면서 “공항이나 호텔 등은 별도의 서비스에 가입해야지만 무선인터넷을 즐길 수 있으며 그에 상응하는 금액을 지불해야 한다”고 설명했다. 그는 “예를 들면 코엑스의 경우에도 유료 무선인터넷을 제공하고 있는데 이곳에서 인터넷 프로그램을 진행하면 사용하고자 하는 사이트가 아닌 유료인증페이지가 나온다”면서 “그러나 여기에서는 터미널 프로그램을 사용해 코엑스에서 제공하는 유료인증페이지를 거치지 않고 사용하는 방법을 언급하고 이러한 보안 취약점에 대응해야 한다”고 밝혔다. “최근 보안위협은 개인정보 등 중요 내부 정보유출에 의한 금전적인 이득에 집중되고 있으며 이를 방지하기 위한 솔루션도입 및 시스템 통합 사업이 활발하게 진행 중이다. 국내 개인정보 침해사고는 대폭증가하고 있으며 이는 정보 시스템 활용 업무의 증가, 온라인 쇼핑 및 인터넷 뱅킹 대중화, 개인정보를 활용하는 기업 활동 등의 폭발적인 증가대비, 관련법/제도, 관리체계, 기술적 방안 등의 미흡 때문이다” LG엔시스 솔루션 사업부의 박철민 씨는 ‘내부정보유출방지를 위한 통합관리방안’이라는 주제 발표에서 이같이 말하고 “이를 해결하기 위해서는 유비쿼터스 인증서비스와 통합인증 게이트웨이, 통합인증 프레임워크를 통합한 차세대 통합인증체계를 구축하는 것이 필요하다”고 밝혔다. 또한 그는 “이러한 통합인증체계는 개별 솔루션 인증에서 발생할 수 있는 각종 보안허점을 해결할 수 있으며 여러 관계기관을 거치더라도 정보가 유출될 염려가 없다. 또 간편화된 시스템으로 투자비용을 절감할 수 있어 공공부분에 꼭 필요하다”고 덧붙였다. 이어서 마지막 강연인 서동일 한국전자통신연구원 인프라보호연구팀장은 ‘보안위협에 대한 대응기술 개발 사례’를 통해 사이버 보안 위협 기술의 발전과 보안 시장 흐름에 대응하기 위한 기술 개발에 대해 밝혔다. 특히 그는 “ETRI에서는 이와 관련한 네트워크상의 정보 훼손, 변조, 유출 방지를 위한 보안 기술과 주요시설 보호와 재난, 재해, 범죄 등의 방지를 위한 CCTV 영상 감시기술과 바이오인식 기술, 그리고 IT기술과 비IT 기술간 융합에서 발생되는 보안 위협을 해결하기 위한 운송보안, 국방보안, 의료보안, 금융보안 기술 등이 포함된다”고 언급했다. <글 : 정보보호 21C 편집부(is21@boannews.com)> [월간 정보보호21c 통권 제110호(info@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|