행정안전부가 발행한 개인정보 보호법령 및 지침 고시 해설서 입니다.(2011.12월)




Posted by secu153

댓글을 달아 주세요


[DB암호화] DB암호화 솔루션 도입시 체크리스트

                                                   

1. DB 보안 솔루션의 방식

  1) 접근제어 및 감사(Auditing) 방식 : 유출 자체는 100% 막을 수 없으나 사후 감사자료(Log)를 통해 법적 처리를 할 수 있는 제품

     - 제품 종류 : 샤크라, DB Safer, DB-i, N 그리핀 (모두 국산)

     - 샤크라 ; Networkng Sniffing 방식

     - DB Safer ; Gateway 방식

     - N 그리핀 ; Hybrid 방식

  2) DB 암호화 제품 : 중요 Data를 Column 단위로 암호화 하고 암호화한 Column에 대한 Auditing Log를 암호화 하여 남김, 

                              유출을 원천 봉쇄하는 최종 보안 툴

     - 제품 종류 : Cube One, D'AMO, SafeDB, Secure.Data (Secure.Data는 외산)

     - 세 종류 모두 DB서버에 Agent를 두고 NT에 관리툴을 통해 관리함.(외산 제외)

     - 위의 두 종류는 서로 보완 관계라고 볼 수 있다. (나중에 어떤 형태로 벼날지는 모르지만,,)

 

 

2. Auditing이 100% 가능 한가?

  Trigger를 사용하지 않는한 SQL 문에 대한 100% Auditing은 기술적으로 불가능 하다.

  그러나 불행히도 Trigger를 사용하게 되면 부하가 커진다.

 

 

3. 보안툴 적용과 성능

  상식이 겠지만 어떠한 보안 제품인 경우에도 보안성이 높아지면 편리성과 성능은 감소하게 된다.

  (두가지 모두 만족 하는 제품은 지구상에 없으므로 포기 하시길,,,^^)

  요는, 원하는 만큼의 보안성을 확립 하는데 얼만큼의 성능상의 저하를 감수 할 수 있느냐가 관건이겠지요.

  즉, 성능 감소는 최소가 되어야 겠지요.

 

 

4. DBMS 자체 암호화 기능

  Oracle의 경우도 자체 제공 되는 암호화 패키지를  설치 하면 Data의 암호화가 가능 하다.

  그러나 두가지 불리한 점이 있으니,

 

  첫째, Initialization Vector 방식으로 암호화 하지 않는다. (이런 방식이 아니면 "A"를 암호화하면 항상 "QW12B" 이런식으로 나온다. 

          이것은 해커로 하여금 유추 해석이 가능케 한다)

 

  둘째, 부하가 커서 사용하기 힘들어 진다.

 

  이런 이유로 잘 사용하지 않는다.

 

5.  DB암호화 제품 선정시 고려할 사항 (1 ~5 항은 필수)

  1) SEED와 ARIA 알고리즘의 지원 여부 (국정원 떄문에,,)

  2) 암호화한 후 Index Searching을 성능 저하 없이 자유자재로 할 수 있는지 여부

       --> 일치 검색만 지원 되면 필연적으로 Full Scan 이 일어나 대량 트랜잭션을 가진 DB는 현실적으로 쓸 수가 없음.

  3) 초기 적용시 DB의 Down Time이 적을것

      --> DB크기나 정책에 따라 달라지지만 보통 3 ~ 10시간 정도 소요 되는데 서비스가 중단되는 사태가 발생함 

            (차후 암호화 적용 대상이 추가 될때 마다 발생함)

  4) 대용량/대량트랜잭션 DB를 현실적으로 지원할 수 있을것

  5) Initialization Vector 방식으로 암호화 하는지 여부

      --> 그렇지 않으면 "A"를 암호화 하면 항상 "QW56HJ"와 같은 형태로 Encryption 되어 해커로 하여금 유추 해석을 할 수 있게 함.

  6) DB를 모르는 보안 담당자가 접근 권한부여 및 암호화 대상 적용 등을 손쉽게 할 수 있도록 GUI를 지원 해야함

      --> SQL* plus를 이용해서 하는 경우는 결국 DBA가 다 한다는 얘기가 되므로 보안이 취약해짐

 

6. 출시된 제품 종류 (2006. 1월 현재)

  1) D'AMO - 펜타시큐리티 : 출시된지 약 2년 가까이 된 제품. 인지도는 좋은 편.

      - Index Searching시 전방 일치 또는 범위검색 안됨 (Full Scan 함)

      - 초기 적용시 DB 서비스 중단됨

      - SEED 지원

  2) SafeDB - 이니텍 : 출시 된지 약 1년 정도,, 인지도는 중간 정도.

      - 역시 Index Searching시 전방 일치 또는 범위검색 안됨 (Full Scan 함)

      - 초기 적용시 DB 서비스 중단됨

      - SEED 지원

  3) Secure.Data - 미국 Protegrity : 국내 소개된지 약 4~5년 정도,, 인지도는 미약

      - Customizing 하면 Index Searching 가능 (완벽하지는 않지만,,)

      - 초기 적용시 DB 서비스 중단됨

      - SEED 지원 안됨

  4) Cube One - 이글로벌시스템 : 2005년 12월 출시,, 인지도는 미약

      - AP수정 없이 Index Searching 가능 (전방일치, 범위검색 모두)

      - 초기 적용시 DB 서비스 중단이 거의 없음

      - SEED, ARIA 지원



출처 : 네이버 지식인 검색(http://kin.naver.com/knowhow/detail.nhn?d1id=8&dirId=8&docId=145152)


 

DB 암호화 제품은 보안제품 이지만, DB서버에 영향을 매우 심하게 미칩니다.

따라서 다음의 표에서 지적하는 바와 같이 반드시 지원이 되어야 하는 4가지 사항 외에도

중요한 사항들이 몇가지 있습니다.

1) 범위검색도 Index 검색이 되어야 하겠지만, 일치검색시 성능 저하가 거의 없어야 합니다.

    ---> 이것은 Batch 작업시 매우 치명적인 결과를 초래 합니다.

2) Table-wide 한 암호화 작업은 초기는 물론 이지만 운영중에도 하게 되므로 서비스중단이 없어야 합니다.

   (수십시간 ~ 수십일이 소요 됩니다).

3) 위의 두가지가 선행 되어야만 High Transaction의 No-Downtime 이 요구되는 메인 DB에 적용 가능한 제품입니다.

 

다음은 제품을 테스트 하기 위한 체크 리스트 입니다.

 

DATABASE 암호화 제품 선정시 체크리스트
No. 항 목 A사 B사 C사 비 고
1 데이터베이스 지원 제품 및 지원 버전        
2 테이블당 암호화 갯수제한        
3 테이블내의 데이터를 컬럼별로 암호화 지원 여부        
4 다양한 암호화 알고리즘 지원 여부        
5 인덱스 컬럼의 암호화 지원 여부        
6 암호화된 인덱스컬럼의 색인검색 지원여부(전방일치,범위검색 포함)        
7 PK 또는 Unique Index 컬럼 암호화 지원 여부        
8 색인 검색을 위해 암호화된 데이터의 전부 혹은 일부가 복호화되어 저장        
9 초기 암호화시 DB 서비스 중단 시간 필요 여부        
10 DB 유저별 접근 제어 지원 여부        
11 IP별 접근 제어 지원 여부        
12 프로그램 별 접근제어 지원 여부        
13 기간별 접근제어 지원 여부        
14 DB 외부 유출시 데이터 복호화에 따른 유출 가능성        
15 암호화 적용시 기존 프로그램 수정 여부        
16 기존 백업/복구 절차 적용성        
17 접근기록 감시 가능성        
18 접근 기록 조회 편의성        
19 리포트 기능 제공        
20 암호화 적용 후 데이터 정합성 체크 기능        
21 암호화 적용시 저장 위치 변경 기능(Tablespace)        
22 암호화 적용시 저장 단위 변경 기능(Storage 절)        
23 암호화 적용시 컬럼 Table 재 구성 기능(컬럼제거등)        
24 암호화 적용시 성능 향상을 위한 다양한 파라미터 조정 가능 여부  


 

1 인덱스 존재시 1,000만건 암호화 / 복호화 시간        
2 인덱스 미 존재시 1,000만건 암호화 / 복호화 시간        
3 암호화 모듈 적용시 서비스 중단 시간        
4 암호화된 인덱스의 일치 검색 시간        
5 암호화된 인덱스의 전방일치 검색 시간 검색 조건 검색 건수 검색 시간  
    LIKE 1        
    LIKE 10        
    IN 1        
    IN 10        
    BETWEEN 1        
    BETWEEN 10        
    < 1        
    < 10        
    <= 1        
    <= 10        
    >= <= 1        
    >= <= 10        
    > < 1        
    > < 10        
6 인덱스 존재시 DML(Update) 수행 시간 검색 조건 검색 건수 실행 시간  
    LIKE 1        
    LIKE 10        
    IN 1        
    IN 10        
    BETWEEN 1        
    BETWEEN 10        
    < 1        
    < 10        
    <= 1        
    <= 10        
    >= <= 1        
    >= <= 10        
    > < 1        
    > < 10        
7 인덱스 존재시 DML(Delete) 수행 시간 검색 조건 검색 건수 실행 시간  
    LIKE 1        
    LIKE 10        
    IN 1        
    IN 10        
    BETWEEN 1        
    BETWEEN 10        
    < 1        
    < 10        
    <= 1        
    <= 10        
    >= <= 1        
    >= <= 10        
    > < 1        
    > < 10        

출처 : 네이버 지식인 검

Posted by secu153

댓글을 달아 주세요


주민번호 유출의 문제점들을 기술하고 대응방안에 대하여

1)     현재 주민번호 유출의 심각성

2)     주민번호 대안 - 아이핀에 대해 

3)     주민번호 도용 방지법

1.     암호화

2.     주민번호 유출 차단

3.     개인사용자의 보안 강화

 

 

1. 서론

현재 우리나라는 선진국들과 비교하여도 그 어느 나라보다 정보통신 인프라 구축이 잘 되어있는 IT강국 입니다. 정보통신정책연구원(KISDI) 자료에 따르면 2010년 말 현재 전자상거래 규모가 7548억 원에 이르고 있으며, 인터넷을 통한 주식거래의 비중은 전체의 67%에 이르고 있는 실정 입니다.

그러나 갈수록 늘어가고 있는 인터넷의 해킹과 다양한 사이버테러로 발생되는 문제점들을 해결하기 위해 정부에서는 국가 안보 차원의 사이버테러 대응 업무 수행을 위한 조직적인 대책 마련과 관련 법과 제도 개선, 정보보안 역량 강화를 위한 인력 및 교육 방안과 보안 기술 및 정보보호 산업체들에 대한 산업 대책 등 다양한 중점 사항들에 대한 대책 마련에 고심하고 있습니다.

 

 

2. 현재 주민번호 유출의 심각성

정보화가 발전될수록 해킹, 바이러스 등 사이버상의 위협은 점차 자동화, 지능화, 대중화, 분산화, 대규모화, 은닉화되어 가는 경향을 띠고 있으며 단순한 실력 과시용 위협에서 점차적으로 악성화, 경제 범죄화되고 있습니다.

그 중에 주민번호 외부유출문제는 어제 오늘의 일이 아닙니다.

최근에 http://gendoh.tistory.com/ 이곳에서 글을 읽던 중 중국사이트에서 우리나라 사람들의 주민등록번호가 공공연히 돌아다니는 것을 보게 되었습니다. 궁금해서 저도 이름을 검색했는데도 위와 같이 주민등록번호가 몽땅 쏟아져 나오며, 웹 검색 만으로도 주민번호를 찾을 수 있는 심각한 상황 입니다.

 

 

 ( 1) 웹에서 검색한 주민번호 유출 화면

 


3.
본론

1)     주민번호 대안 아이핀에 대해

방송통신위원회가 개인정보 유출 방지를 위한 대안으로 내놓은 ´아이핀´(I-Pin)이 또 다른 주민번호에 불과하여 실효성이 없습니다. 방통위가 아이핀 도입을 강제하는 법안을 제시했지만 이는 오히려 민간에 의한 ´번호´ 수집을 법률에 의해 보장하려는 잘못된 정책이라고 생각 합니다.

이에 따라 주민등록번호 제도 개선과 개인정보보호법 제정이 시급합니다.

 

[1] 주민번호 도용 방지법

(1)   암호화

DB보안 솔루션은 데이터베이스를 보안하는 독특한 보안 솔루션 입니다.

허가 받지 않은 사용자의 DB 접근을 제한하고 내부자 등에 의해 DB가 유출됐다 하더라도 유출된 DB를 활용하지 못하도록 접근제어, 암호화, 감사 기능 등을 수행하는 것이 DB보안 솔루션의 목적입니다. DB보안 솔루션의 주 목적은 중요한 정보를 안전한 알고리즘으로 암호화하고 이 데이터를 암/복호 할 수 있는 키를 기준에 맞도록 안전한 관리체계를 제공 하는 것 입니다.

 

옥션의 고객정보 DB유출, 리니지 사태, GS칼텍스 개인정보 유출 등 만일 DB의 개인정보를 암호화해 놓았다면 당사자들 모두 지금처럼 심각한 상황에 처하지는 않았을 것입니다. 비밀번호만 암호화해 놓는 것은 이 같은 사고에서는 도움이 안 되며, 비밀번호야 바꾸면 되지만 그 사람들의 목적은 유출된 주민번호 등의 개인정보로 2차 범죄에 이용할 것으로 예상되기 때문 입다.

 

DB(데이터) 암호화의 법적 근거

  - 현재 시행중인 법령 및 하부 고시 현황

 ( 2) 2007 11월 현재 시행중인 법률


 

[2] 웹 페이지의 주민번호 유출 차단

WAF(웹방화벽)  ‘Additional Policy – 개인 정보 보호기능을 이용하여 정보 유출을 차단하는 기능으로 웹 서버 응답 데이터를 검사하여 개인 정보(주민등록번호, 사업자 등록번호, 외국인 등록 번호, 법인번호, 신용카드 번호, 사용자 설정 룰, 컨텐츠 타입 등)가 포함되어 있을 때 해당 페이지를 차단하거나, 마스크 처리를 하여 정보 유출을 차단하는 기능 입니다.


위험을 사전에 방지하기 위해 대부분의 공공기관, 기업들이 네트워크를 위한 보안대책 마련방안의 하나로 설치되고 있는 대표적인 네트워크 보안 솔루션은 방화벽(firewall), WAF(Web Application Firewall), DB암호화 솔루션 등이 있습니다. 허나 이러한 몇 개의 제품들만을 설치했다고 해서 안전하다고 할 수 없으며 취약한 여러 요인들의 제거를 위한 다양한 솔루션들이 설치하여 개인정보 유출에 대응해야 하겠습니다.

 

 

[3] 개인사용자의 보안 강화

Anti-Virus(백신), 스파이웨어 탐지 프로그램 필수 설치 해야 합니다.

일반 PC사용자들은 Anti-Virus(백신), 스파이웨어 탐지 프로그램 제대로 사용하지 않는 경우가 허다 합니다. 스파이웨어나 백도어 프로그램을 사용자의PC에 몰래 프로그램을 설치해두고 저장된 정보를 가져가는 경우 등이 있습니다. 이런 악성프로그램에는 키로거 프로그램이 포함되어 있는 경우가 많아, 사용자가 ID password등의 정보를 입력했을때 가로채서 저장하는 경우도 있고 주민번호나 심저어 공인인증서도 유출되는 경우가 의외로 많이 있습니다. 이 또한 주민등록번호 도용은 심각한 문제 입니다.

모두가 개인정보를 입력/저장할 때는 보안의식을 가져야 합니다. 그리고 정말 중요한 개인정보는 하드디스크에 저장하지 않고, 따로 USB메모리 등에 저장하던지 해서 보관해 두는 것이 좋습니다. 신뢰되지 않은 사이트는 되도록 들어가지 말고 발신작가 분명하지 않은 이메일 파일이나 프로그램을 함부로 열어보지 않아야 합니다.

 

 

3. 결론

해킹 기술들은 점차로 지능화되고 악성화되고 있으며 다양한 기술들이 결합된 형태의 수법들이 나오고 있습니다. 따라서, 단순한 보안 정책과 단일 보안 솔루션만으로는 주민번호 유출에 대처하기에 역부족 입니다. 또한 보안은 그 특성상 유지 관리가 이루어지지 않게 되면 개인정보보호 대응은 더욱 어렵다고 하겠습니다.

▲유출피해 최소화기술 대책사용자 인식 제고

이처럼 주민번호 유출에 대응하기 위해서는 암호화, 웹페이지 정보 유출등 기술적인 측면을 강화해 사전에 주민번호 유출 사고 예방에 투자를 하고, 각종 제도와 관련 산업체 발전을 위한 다양한 대책을 강구해야겠습니다. 또한 개인의 보안의식을 강화하여 날마다 지능적으로 변화하는 주민번호 유출에 대응하고 강화하여 지속적인 보안 이슈에 능동적으로 대처해야 하겠습니다.

-

Posted by secu153

댓글을 달아 주세요



3월3일 부터 발생한 DDos 감염 좀비PC에 의한 국내 웹사이트 공격이후, 감염된 PC의 HDD파괴 등의 심각한 증상이 대응센터로 보고 되고 있습니다.

이에, 고객사의 피해를 예방하고자 분석 보고서 및 안전점검 가이드를 보내드리오니 확인하시고, 피해에 대비하시기 바랍니다.

 

<좀비 PC 확인법>

첫째, 시스템에서 호스트 파일에 아래와 같은 URL이 등록되어 있는 경우
        (특히 "boho", "ahnlab.com", "alyac.co.kr" 문자열 확인)

   (시스템 폴더)\driver\etc\hosts


127.0.0.1       explicitupdate.alyac.co.kr
127.0.0.1       gms.ahnlab.com
127.0.0.1       ko-kr.albn.altools.com
127.0.0.1       ko-kr.alupdatealyac.altools.com
127.0.0.1       su.ahnlab.com
127.0.0.1       su3.ahnlab.com
127.0.0.1       update.ahnlab.com
127.0.0.1       ahnlab.nefficient.co.kr

127.0.0.1       www.alyac.co.kr
127.0.0.1       www.boho.or.kr
127.0.0.1       download.boho.or.kr
127.0.0.1       www.ahnlab.com
127.0.0.1       explicitupdate.alyac.co.kr
127.0.0.1       gms.ahnlab.com
127.0.0.1       ko-kr.albn.altools.com
127.0.0.1       ko-kr.alupdatealyac.altools.com
127.0.0.1       su.ahnlab.com
127.0.0.1       su3.ahnlab.com
127.0.0.1       update.ahnlab.com
127.0.0.1       ahnlab.nefficient.co.kr

둘째, 다음의 폴더가 만들어져 있는 경우

  c:\windows\NLDRV\111

켜져있는 본인의 PC가 좀비 PC 인지 확인하는 방법입니다.

 

DDos에 관한 자세한 내용은 아래를 참고하여 주십시오.

 

[하우리 공격대응 보고서] 클릭 

 

DDos에 관한 안전점검 가이드를 배포합니다.

 

[하우리 DDos 안전점검 가이드] 클릭


긴급전용백신

- 안철수연구소

(http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3removaltool.exe)

- 잉카인터넷

(http://avs.nprotect.net/FreeAV/nProtectEAVDllbot.com)

개인용 무료백신 ‘V3 LIte’를 비롯해 ‘V3 365 클리닉’(http://v3clinic.ahnlab.com/v365/nbMain.ahn)
V3 Internet Security 8.0 등 모든 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료할 수 있다.


 

<디도스 공격 유발 악성코드 파일명과 V3제품군의 진단명>

ntcm63.dll : Win-Trojan/Agent.131072.WL

SBUpdate.exe : Win-Trojan/Agent.11776.VJ

ntds50.dll : Win-Trojan/Agent.118784.AAU

watcsvc.dll : Win-Trojan/Agent.40960.BOH

soetsvc.dll : Win-Trojan/Agent.46432.D

mopxsvc.dll : Win-Trojan/Agent.71008

SBUpdate.exe : Win-Trojan/Npkon.10240

Posted by secu153

댓글을 달아 주세요

1.         7.7 DDoS 대란

2.         메신저 피싱

3.         웜 바이러스의 진화와 컨피커 웜

4.         개인정보보호 컴플라이언스 대응

5.         아이폰 등장 : 무선보안 및 스마트폰 악성코드 관심 증가

6.         정보보호 컨트롤 타워 논란

7.         군 해킹 사건

8.         우누(Unu)의 보안업체 해킹

9.         리눅스 커널 취약점 다수 발견

10.       지능적인 이메일 악성코드 증가

 

          출처 : 보안뉴스, 2010 1 4일자

 


1. 7.7 DDoS
대란

         
1) 정부 주요기관과 주요 언론사 및 주요 포털 대상

   모든 인터넷 사이트가 공격 대상이 될 수 있다는 경고 메시지

2) 네트워크상에서 공격을 방어하는 안티 DDoS 솔루션의 필요성과

   좀비 PC 확산 방지를 위한 사용자 PC 보안의 중요성 증대

      
2.
메신저 피싱

1) 국내 유명 인스턴트 메신저로 지인을 사칭해 돈을 갈취

   유출된 개인정보로 메신저 아이디와 패스워드를 유추해 접속

   지인을 사칭해 돈을 빌려달라고 하여 금전적 이득 취하는 수법

2) 보안솔루션의 사각지대인 사회공학적 기법 이용

3. 웜 바이러스의 진화와 컨피커 웜

1) 컨피커 웜 : 2008 10월부터 발견

   MS08-067 보안취약점, 이동식 저장매체(USB) 및 취약한 암호를 가진 공유폴더를 통해서 전파

   감염 PC IP 정보를 서버에 저장하고, 특정 웹서버에 접속 시도

   MS와 안티 바이러스 업체 사이트에 접속하지 못하도록 하는 특징

         
4.
개인정보보호 컴플라이언스 대응

1) 국회에 계류중인 개인정보보호법이 통과되지 않아 개인정보보호 정책에 대한 불신 싹트기 시작

2) 정보통신망법은 개정
준용사업자 확대, 암호화 이슈, 개인정보 취급자 및 개인정보처리 시스템에 대한 법적 의무사항 적용 등 시작

         
5.
무선보안 및 스마트폰 악성코드 관심 증가
1)
아이폰을 비롯, 무선랜을 탑재한 다양한 스마트폰의 출시로 무선랜 보안 및 스마트폰용 악성코드 수면위로 부각되기 시작

         
6.
정보보호 컨트롤 타워 논란

1) 7.7 DDoS 대란 시 대응이 미흡했던 이유는 보안 컨트롤 타워의 부재 때문

2) 2008년부터 제기된 보안 컨트롤 타워 도입에 대한 논쟁 가속화

3) 청와대와 각 부처, 보안업계 간의 의견 차이로 도입 연기

         
7.
군 해킹 사건

1) 연합사에서작계 5027’파워포인트 설명자료 11쪽 분량 유출

2) 우리 군에 대한 해킹 시도 일일 평균 9 5천 건

         
8.
우누(Unu)의 보안업체 해킹

1) 루마니아 해커인 우누가 주요 보안업체 웹사이트 취약점 공개

          시만텍, 카스퍼스키랩

          국내 : 잉카인터넷

2) 보안업체들이 자신의 웹사이트도 지키지 못하고 있다고 비난

         
9.
리눅스 커널 취약점 다수

         
10.
지능적인 이메일 악성코드 증가

 

Posted by secu153

댓글을 달아 주세요

1.        크로스 사이트 스크립팅 (XSS Cross-Site Script )

2.        영향을 받는 환경

3.        취약점

4.        보안 검증

5.        대비 및 방어책

 

1.        크로스 사이트 스크립팅

 

공격명

피해 내용

위험성

XSS(Cross site scripting)

XSS 공격에 의해 일반 유저 및 관리자 악성코드 감염 가능

Cookie Sniffing 공격으로 접근한 유저 및 관리자 권한 획득 가능

//

 

XSS로 더 잘 알려진 크로스 사이트 스크립팅은 사실 HTML인젝션의 한 부분이다. 취약점은 콘텐츠를 암호화나 검증하는 절차 없이 사용자가 제공하는 데이터를 어플리케이션에서 받아들이거나, 웹 브라우저로 보낼 때마다 발생하여 XSS는 가장 잘 알려지고 가장 치명적인 웹 어플리케이션 보안 문제점이다.

XSS는 공격자가 희생자의 브라우저에 스크립트를 실행할 수 있게 허용함으로써 사용자의 세션을 가로채거나, 웹 사이트 변조, 악의적인 콘텐츠 삽입, 피싱 공격 행위를 할 수 있고, 악의적인 스크립팅을 이용해 사용자의 브라우저를 가로챌 수 있다. 이러한 악의적인 스크립트는 대개 자바스크립트를 사용하지만 희생자의 브라우저에 의해 지원되는 어떠한 스크립팅 언어로도 이런 공격을 받을 수 있다. 쿠키는 사용자 이름, 암호, 신용카드 번호 등의 중요한 정보를 텍스트 형태로 저장하기 때문에 접근이 쉽다는 문제점이 있어 웹사이트와 관련된 가장 큰 취약점으로 크로스 사이트 스크립트(XSS) 공격이다.

 

2.     영향을 받는 환경

모든 웹 어플리케이션 프레임워크들은 크로스 사이트 스크립팅에 취약하다.

 

3.     취약점

 잘 알려진 크로스 사이트 스크립팅의 세 가지 형태는 반사, 저장, 그리고 DOM 인젝션이다. 반사된 XSS는 악용하기 가장 쉬우며, 페이지는 사용자에게 제공된 데이터를 직접 사용자에게 다시 돌려 줄 것이다:

echo $_REQUEST['userinput'];

저장된 XSS는 악의적인 데이터를 파일, 데이터베이스 또는 기타 백엔드 시스템에 저장한 다음에 마지막 단계에 여과하지 않고 사용자에게 보여주는 것이다. 이것은 다른 많은 사람들이 개인으로부터 입력된 정보를 이용하는 CMS, 블로그 또는 공개 토론장과 같은 시스템에서는 매우 위험한 것이다.

DOM을 이용한 XSS공격들은 HTML 요소보다 사이트의 자바스크립트 코드와 변수들을 조작하는 것이다.

다른 한편으로 공격은 세 가지 방식을 모두 혼합하여 할 수 있다. 크로스 사이트 스크립팅이 위험한 것은 공격하는 방식이 아니라 공격이 가능하다는 것에 있다. 표준화 되지 않거나 예기치 못한 브라우저의 성향은 포착하기 어려운 공격 벡터를 이끌어 낼 수도 있다. XSS은 잠재적으로 이러한 브라우저에서 사용하는 어떠한 구성 요소를 통해서도 수행될 수 있다.

공격은 보통 강력한 스크립팅 언어인 자바스크립트에서 구현된다. 자바스크립트 사용은 공격자가 새로운 요소들(악의적인 사이트로 자격 증명을 유출하는 코드를 로그인 페이지에 추가한 것)을 추가하는 것을 포함하여, 어떠한 주어진 페이지나 내부 DOM을 조작하거나, 페이지가 보여지고 표현되는 방법을 삭제 또는 변경하는 것을 허용한다. 자바스크립트는 비록 오늘날 피해 사이트가 AJAX을 사용하지 않음에도 불구하고 전형적으로 AJAX 기술을 사용하는 사이트에서 사용되는 XmlHttpRequest 사용을 허용한다.

XmlHttpRequest를 사용하면 브라우저의 동일 소스 개시 정책을 우회할 뿐만 아니라, 희생자의 데이터를 악의적 사이트로 전달하거나 브라우저가 열려 있는 동안 복잡한 웜과 악의적인 좀비 생성이 가능하다. AJAX 공격은 위험한 크로스 사이트 요청 변조 (CSRF) 공격을 이행하기 위해 꼭 드러날 필요도 없고 사용자의 상호 작용을 필요로 하지 않는다.

 

4.     보안 검증

목표는 어플리케이션 안의 모든 매개변수들이 유효한지 또는 HTML페이지 안에 포함되기 전에 암호화되는지를 검증하는 것이다.

자동적인 접근방법: 자동화된 침투 테스트 도구들은 매개변수 삽입을 매개로 한 반사된 XSS를 탐지하는 능력은 있으나 지속적으로 XSS를 찾는 데는 종종 실패한다. 특히, 삽입된 XSS 벡터의 결과를 권한 확인을 통해 방어되고 있다면 더더욱 그렇다(예를 들어, 사용자에 의해 관리자가 나중에서야 볼 수 있는 악의적인 데이터를 입력 하였을 때 등).

수동적인 접근방법: 통합된 검증과 암호화 메카니즘을 사용한다면, 가장 효율적인 보안 검증 방법은 코드를 확인하는 것이다. 만약 분산하여 구현되어 있다면 검증을 하는데 상당히 많은 시간이 걸릴 것이다. 대부분의 어플리케이션의 공격 범위가 상당히 크기 때문에 테스트를 하는데 많은 시간이 걸린다.

5.     대비 및 방어책

1) 악의적 명령어 실행(XSS) 취약점
- 사용자 입력값에 대해 유효성 검증한다.
- <script>문자열이 들어오면 <xxscript>나 다른 문자로 변환한다.
- <script>라는 문자열을 입력받지 못하도록 필터링 설정한다.
- <script> 태그 외에 다양한 기법을 이용해 공격하기 때문에 필터링 할 것들을 정해서 막는 Negative 방식 보다 입력 가능한 문자만 정한 뒤 그 외 정의된 문자가 아닐 경우에 필터링을 제한 하는 Positive 방식이 더 효율적이다.

2) 취약한 세션 관리
-
인증정보는 Cookie보다는, Session을 사용하는 것이 안전하다.
- Cookie
를 사용할 경우 반드시 암호화하고 위/변조 여부를 체크한다.

3) 악의적 명령어 주입(SQL Injection)취약점
- 사용자의 입력값에 대해 유효성 검증한다.
-
싱글 쿼테이션()이나, 대시(-), 세미콜론(;)과 같은 특수문자를 입력하지 못하도록 설정
- 필터링 규칙은 자바스크립트와 같은 클라이언트 사이드 스크립트 언어로 작성하면 우회할 수 있으므로 반드시 JSP ASP와 같은 서버 사이드 스크립트 언어에서 필터링 룰 적용한다.

4) Java : <bean:write ...> 같은 Struts 결과값 방식을 사용해라. 또는 <c:out ...> 내에 기본적인 JSTL escapeXML="true" 속성을 사용해라. 중첩되지 않는 <%= ... %> 을 사용하지 않는다 (이것은 적당한 결과값 암호화 방식에서 벗어난다.).

5) .NET : MSDN으로부터 자유롭게 사용이 가능한 Microsoft Anti-XSS 라이브러리 1.5를 사용해야한다. 이 라이브러리를 사용하지 않고 요청된 대상: usename.Text = Request.QueryString ("username") 을 직접적으로 폼 필드 데이터에 할당하지 않는다. .NET는 자동적으로 암호화된 출력 데이터를 조정한다.

6) PHP: 출력값이 htmlentities() 또는 htmlspecialchars()를 통과하였는지 확인한다. 또는 곧 발표 될 OWASP PHP Anti-XSS 라이브러리를 사용한다. register_globals이 비활성되지 않았다면 비활성화한다.

 

* 참고 사이트

1.
악용될 있는 컨텐츠 개선 방법(CERT 제공)

  
http://www.cert.org/tech_tips/malicious_code_mitigation.html

2.
크로스 사이트 스크립트 관련 정보(위키피디아 제공)

  
http://en.wikipedia.org/wiki/XSS

3. XSS
컨닝 페이퍼(ha.ckers.org 제공)

  
http://ha.ckers.org/xss.html

 

출처 : owasp_top_10_2007_korean-sdonghwi.pdf

 

Posted by secu153

댓글을 달아 주세요

1. 서론
2. 사이버 위협의 대응방안
 1) 법/제도적 측면
 2)   관리/교육적 측면
 3)   기술적 측면

     3. 결론




1. 서론

현재 우리나라는 선진국들과 비교하여도 그 어느 나라보다 정보통신 인프라 구축이 잘 되어있는 IT강국 입니다. 정보통신정책연구원(KISDI) 자료에 따르면 2010년 말 현재 전자상거래 규모가 7548억 원에 이르고 있으며, 인터넷을 통한 주식거래의 비중은 전체의 67%에 이르고 있는 실정 입니다.

그러나 갈수록 늘어가고 있는 인터넷의 해킹과 다양한 사이버테러로 발생되는 문제점들을 해결하기 위해 정부에서는 국가 안보 차원의 사이버테러 대응 업무 수행을 위한 조직적인 대책 마련과 관련 법과 제도 개선, 정보보안 역량 강화를 위한 인력 및 교육 방안과 보안 기술 및 정보보호 산업체들에 대한 산업 대책 등 다양한 중점 사항들에 대한 대책 마련에 고심하고 있습니다.


 

2. 사이버 위협의 대응방안

정보화가 발전될수록 해킹, 바이러스 등 사이버상의 위협은 점차 자동화, 지능화, 대중화, 분산화, 대규모화, 은닉화되어 가는 경향을 띠고 있으며 단순한 실력 과시용 위협에서 점차적으로 악성화, 경제 범죄화되고 있습니다.

이와 같이 해킹의 목적이 바뀌어 감에 따라 이에 대응하기 위한 새로운 방어 수단들이 개발되고 있으나 이를 무력화하거나 회피할 수 있는 해킹 기법들도 새롭게 나타나고 있습니다. 아래에서는 사이버테러의 문제점들을 기술하고 사이버테러 대응방안에 대하여 알아 보겠습니다.

 

1)     /제도적 측면

개인정보보호법안의 국회통과가 그 어느 때보다 유력시되고 있습니다. 2008년 모 정유사의 개인정보유출 사건이 처벌의 근거가 없어 불기소 처리되었고 그 이후에도 크고 작은 개인정보 유출에 대한 많은 사건(옥션사태, 네이트 ) 이슈화 되었으나 그때마다 법에 사각지대로 마땅히 처벌할 법안이 없어 불기소 처리 되었습니다.

기존의 개별법 체계에서 분절적으로 규정하고 있는 개인정보 처리기준을 표준화되고 개인정보 수집-이용-파기 등 단계적 보호조치가 정립돼 우리사회의 개인정보보호 수준을 아래와 같이 한층 업그레이드 되어야 한다고 생각합니다.

 

첫째 – 법적용 대상의 확대

전 공공기관과 민관기관으로 확대되고 컴퓨터에서 처리되는 개인정보 외에 민원신청 서류 등 수기분서까지 보호되어 확대.

 

둘째 – 개인정보 수집, 이용, 제공 기준 표준화

현행 개별법에 일부분 규정돼있는 개인정보보호 수집, 이용, 제공 기준이 표준화돼 전 기관에 적용

 

셋째 – 개인정보 유출사고 발생 시 유출사실 신고 의무화

유출사고 발생 시 개인정보 처리자는 유출사실에 대한 정보 주체에게 통지하고 공공기관의 장관 및 전문기관에 신고해야 한다. 또한 각급기관은 개인정보보호 책임자를 지정해야 하고 관련 교육 및 접근통제 등 기술적 물리적 보호조치를 의무화해야 한다.

 

넷째 – 분쟁조정의 효력 강화

현행 개인정보분쟁조정위원회의 분쟁조정의 효력이 민사상 합의에서 재판상화해로 효력이 변경돼 재판을 받는 것과 동일한 효과 발생.

 

다섯째 – 처벌 강화

개인정보보호법 의무사항 위반시 기존의 3년 이하의 징역, 1,000만원 이하 벌금에서 5,000만원 이하의 벌금, 5년 이하의 징역으로 처벌이 강화 한다.

 

 

2)     관리/교육적 측면

보안 감사를 통해 시도된 해킹 공격을 분석한 결과 90% 이상이 잘못된 보안 설정과 그를 사용하고 있는 S/W의 지속적인 업그레이드 및 패치를 하고 있지 않은 것으로 조사되었다. 보안상의 헛점이 잘못된 관리에 있다는 것을 알 수 있습니다. 보안정책은 기업의 비즈니스 특성에 맞게 구체적으로 만들어야 하지만 외부정책을 그대로 인용해 사용하는 오류를 범하는 경우가 적지 않으며 대부분 해킹 사고의 원인은 보안 담당자가 보안 솔루션의 설정을 지속적으로 변경해 주어야 함에도 불구하고 이를 원활하게 관리하지 못하는 데 있다고 생각 됩니다. , 해킹 방법은 날마다 지능적으로 변화하고 있는데, 보안 관리/교육은 초기의 정책과 운영을 그대로 유지하고 있다는 것이다. 따라서, 각 조직에 있는 개인 정보보호 담당자와, 개인정보보호 취급자, 보안업계 등 정보보호를 담당하는 모든 업체와 기관들은 관리/교육적 측면을 기존보다 강화하고 지속적인 보안세미나 컨퍼런스등을 통한 보안 이슈를 접하고 발전해야 하겠습니다.

 

 

3)     기술적 측면

위험을 사전에 방지하기 위해 대부분의 공공기관, 기업들이 네트워크를 위한 보안대책 마련방안의 하나로 설치되고 있는 대표적인 네트워크 보안 솔루션은 방화벽(firewall), IDS(Intrusion Detection System), IPS(Intrusion Prevention System), VPN(Virtual Private Network), WAF(Web Application Firewall) 등이 있습니다. 허나 이러한 몇 개의 제품들만을 설치했다고 해서 안전하다고 할 수 없으며 취약한 여러 요인들의 제거를 위한 다양한 솔루션들이 설치되는 등 보안 솔루션의 다각화 시대가 열리고 있습니다.

 

첫째 – 침입차단시스템(firewall)

침입차단시스템은 가장 널리 설치되어 사용되고 있는 대표적인 보안장비제품으로 외부망에서 내부망으로의 비인가자 침입을 차단시켜 주는 소프트웨어 혹은 하드웨어를 지칭합니다. 방화벽은 접근제어 목록(Access Control List: ACL)에 따라 내부 네트워크의 자원들의 보호를 담당하고 있는 솔루션입니다.

운용되는 프로토콜 계층의 위치에 따라서 크게 네트워크 계층에서 동작하는 시스템과 응용계층에서 동작하는 시스템 두 가지로 크게 구분되고 있으며, 구현 방식에 따라서 패킷 필터링(packet filtering), 애플리케이션 프록시(application proxy), 서킷레벨 프록시(circuit-level proxy), 상태검사(stateful inspection) 기법 네 가지로 구분 됩니다.

각각의 기술들은 독자적으로 사용되기 보다는 속도가 빠른 패킷 필터링과 패킷을 응용계층에서 세밀하게 차단 정책을 적용시킬 수 있는 애플리케이션 프록시 기술을 함께 사용하고 있으며, 최근에는 여기에 상태검사 기법을 대분분의 제품에서 적용하고 있습니다.

요즘 제공되고 있는 대부분의 방화벽 제품은 자체의 기능인 네트워크 접근 차단 기능 외에 바이러스 차단, 컨텐츠필터링, 메일제어, NAT, VPN등 많은 다양한 보안 기능들이 포함되고 있으며, 최근에는 단독으로 운용되기 보다는 침입탐지 시스템과 연계되어 동작되는 경우가 많습니다. 일반적으로 최근 방화벽 제품들은 트래픽의 고속 처리를 위해 스위칭 장비 기반의 플랫폼에 탑재되는 형태로 많이 개발되고 있으며, 고속의 프로세싱을 위한 전용 칩을 사용하고 있습니다.

 

 

둘째 – 침입탐지시스템(IDS), 칩입방지시스템(IPS)

각각의 패킷에 대한 분석을 할 수 없는 침입차단시스템인 방화벽과는 달리 침입탐지시스템은 네트워크 패킷을 분석하고 이러한 패킷 중 해킹의 징후를 띠고 있는 것을 발견할 경우 관리자에게 경보 메일 송신, 공격 세부사항 로깅 또는 접속 단절 등 여러 다양한 대응 옵션을 제공하며 대부분의 침입과 공격을 탐지할 수 있는 시스템입니다.

그러나 대부분이 패턴에 일치되는 경우의 탐지가 주를 이루고 있으며 이를 벗어난 경우 탐지가 어려운 단점이 있습니다. 최근 국내에서는 이러한 공격패턴(signature) 기반의 네트워크 침입탐지의 한계를 지적한 침입방지시스템(Intrusion Prevention System: IPS)의 출현으로 업체간에 침입탐지시스템과의 비교 논쟁이 있기도 합니다.

침입탐지시스템도 침입차단시스템과 마찬가지로 고속화를 위한 발걸음이 빨라지고 있습니다. 고속 프로세서를 채택한 하드웨어 장비에 탑재하여 고속화를 꾀하거나, 보안 ASIC(Application Specific Integrated Circuit) 칩 업체에서 개발한 IDS 칩을 장착하여 패킷 탐지율을 높이고 있습니다. 침입탐지시스템은 패킷의 내용을 분석하고 이것이 침입인지를 결정하기 위해 저장된 공격패턴(signature)과 비교 분석하여야 하기 때문에 여기에서 많은 부하가 발생합니다. 이를 해결하기 위한 다양한 노력들이 이루어지고 있으며, 고속의 장비와 4 계층 스위칭 장비를 이용한 로드 밸런싱 장비를 이용해서 해결하고 있으며, 침입탐지시스템은 단독으로 설치 사용하기 보다는 침입차단시스템이나 타 보안 시스템들과 연계해서 사용하여야 효과를 볼 수 있습니다. 이를 반영하듯이 많은 침입탐지 솔루션들이 침입차단시스템과 상호연동이 가능합니다. 새로 개발되고 있는 차세대 침입탐지 솔루션들은 브리지 모드로 동작될 수 있으며 침입탐지와 차단 기능을 동시에 지원 가능하도록 개발되고 있습니다.

 

셋째 – 가설사설망(VPN)

가상사설망은 기업의 네트워크를 구성할 때 전용 임대 회선 대신에 공중망을 이용하여 이것을 사설망처럼 사용하여 직접 운용 관리하는 것입니다. 최근에는 기업들이 비즈니스 비용 절감을 위한 수단으로, 아웃소싱 시장이 활성화 되고, 기업의 상거래 전략이 인트라넷에서 엑스트라넷으로 확대되고, 기존 기업 사설망과 인터넷의 통합화 요구가 거세지면서 VPN을 활용하는 기업이 늘고 있습니다.

VPN의 가장 큰 장점은 가격이 저렴하다는 것인데 기존의 전용회선, 프레임릴레이 등에 비해 월등히 저렴합니다. 터널링 프로토콜과 보안과정을 거쳐 내부 기밀을 유지할 수 있고, 공중망을 공유하기 때문에 낮은 비용으로 고속의 네트워크 성능을 이용할 수도 있습니다. 제품의 구현방식은 전용시스템으로 만드는 경우와 라우터 장비에 두는 경우, 그리고, 침입차단장비(방화벽)에 두는 세 가지로 크게 구분되고 있습니다.

최근 MPLS라우터 도입으로 IPSEC 지원 장비 주도에서 탈피해 MPLS VPN 으로 옮겨가고 있으며, 서비스 제공자(service provider)들은 MPLS VPN을 사설망에서는 IPSEC 을 이용하게 되는 공존 형태로 사용될 것으로 예상 됩니다.

 

 


3.
결론

해킹 기술들은 점차로 지능화되고 악성화되고 있으며 다양한 기술들이 결합된 형태의 수법들이 나오고 있습니다. 따라서, 단순한 보안 정책과 단일 보안 솔루션만으로는 사이버테러 대응에 대처하기에 역부족 입니다. 또한 보안은 그 특성상 유지 관리가 이루어지지 않게 되면 사이버테러 대응은 더욱 어렵다고 하겠습니다.

이처럼 사이버테러에 대응하기 위해서는 정부에서는 법적/제도적 측면을 강화해 침해 사고 예방과 사후 대책 등에 많은 투자를 하고, 각종 제도와 관련 산업체 발전을 위한 다양한 대책을 강구해야겠습니다. 또한 관리/기술적 기업의 비즈니스 특성에 맞게 구체적으로 만들어, 날마다 지능적으로 변화하는 사이버테러에 대응하고 강화하여 지속적인 보안 이슈에 능동적으로 대처해야 하겠습니다.

 

 

 

 

Posted by secu153

댓글을 달아 주세요

  1. 2012.12.06 20:14  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

 

1.    개인정보관리사(CPPG) 자격시험의 등장

2.    개인정보관리사(CPPG) 이란?

3.    개인정보관리사(CPPG)을 비롯한 국내 보안자격증의 실효성

4.    국내 보안자격증시장의 활성화 방안

5.    맺음말

 

 

1. 개인정보관리사(CPPG) 자격시험

개인정보보호법안의 국회통과가 그 어느 때보다 유력시되고 있는 가운데

개인정보관리사(CPPG :Certified Privacy Protection General) 자격검정시험’ 을 한국CPO포럼에서 실시한다고 한다.

 

http://www.cpptest.or.kr/


2. 개인정보관리사(CPPG) 이란?

CPPG (Certified Privacy Protection General) : 개인정보관리사

개인정보보호 전문 인력의 수요증가에 따라 해당 업무를 평가할 수 있는 객관적인 지표 마련을 위해 개인정보보호 정책 및 대처 방법론에 대한 지식 및 능력을 갖춘 인력 또는 향후 기업 또는 기관의 개인정보 관리를 희망하는 자로서, 다음의 업무능력을 보유한 자.

- 개인정보보호와 관련된 보안정책의 수립
-
기업/기관과 개인정보보호의 이해

-
개인정보 취급자 관리

-
관련법규에 대한 지식 및 적용

 

3. 개인정보관리사(CPPG)을 비롯한 국내 보안자격증의 실효성

국제자격증이라는 이름으로 외국 사설자격증이 주류인 현 보안자격증 시장에서
(국제공인정보시스템감사사(CISA) · 정보시스템보안전문가(CISSP) · 국제공인윤리적해커(CEH) .. )
국제공인 보안자격증에 비해 상대적으로 실효성 · 신뢰성이 떨어진다는 그간의 국내자격증의 문제점이 개인정보관리사(CPPG)의 등장과 국내 보안자격증에 대한 관심의 증대로 충분히 해소될 수 있다고 생각된다


[
참고]

국내자격증 중에서 국가의 공인을 받는 것은 정보보호전문가(SIS)가 유일하다 
SIS
취약점분석평가를 수행하는 정보공유/분석 센터의 기준 및 심사에 관한 고시 7조에 의거하는 정보통신부의 인정을 받았다.

 

4.국내 보안자격증시장의 활성화 방안

 국내 자격증은 평가의 난이도가 높고 실무 평가를 하는 등 평가 과정이 까다로워서
인지도가 높은 국제 자격증에 비해 응시율이 저조한 편이다.

 

그럼 국내 보안자격증 활성화를 위해 어떤 노력이 필요한가?

-      개인정보관리자의 능력을 평가할 수 있는 지표가 될 수 있도록 각 보안관련 업체에 홍보를 확대해야 한다.

-      국내 보안자격증을 통해서도 정보보안에 관한 이론과 실무를 평가 및 검증할 수 있다는 것을 강조한다.

-      대내외적으로 실력 있는 정보보호 전문가 양성에 기여한다는 평가를 받을 수 있도록 전반적으로 의식 향상을 도모한다.

-      공무원 · 공공기관 채용시험 응시 시 가산점을 부여하고 해당 자격 소지자 채용 기업 · 공공기관에도 일정한 혜택을 제공한다.

-      각종 동호회 · 세미나 · 컨퍼런스를 활발하게 열어 국내자격증에 대한 기존의 인식을 긍정적으로 바꿀 수 있도록 노력한다.

-      홍보 프로그램 · 정보화교육 등을 지원하는 캠페인 전략을 수립한다.

-      국내 보안자격증이 잘 활용되고 있는 좋은 실례를 수집한다.

 

 

5.맺음말

국내 보안자격증 시장이 더욱 활성화되어야 한다고 생각하는 필자에게 개인정보관리사(CPPG)의 등장은 매우 고마운 일이다.
또한 2011년 국가공인자격증으로의 격상을 목표로 한다고 하니 더욱 반가운 일이다. 앞으로 CPPG 외에도 다양하게 신뢰할 만한 국내 보안자격증이 등장하여 국내 보안자격증의 저변을 넓히기를 기대해 본다.

Posted by secu153

댓글을 달아 주세요

1.     PC방의 허술한 보안관리

2.     해킹행위 최적의 장소

3.     PC방이나 공용PC 사용시 보안 강화를 위해 어떻게 대응해야하는가?

4.     맺음말

 

1.     PC방의 허술한 보안관리

몇 일전 PC방에 갔다가 깜짝 놀랐다.
지저분한 바탕화면 심지어 IE의 기능 중 자동완성 기능이 활성화 되어 있어 기존사용자의 ID와 패스워드가 문자 하나만 입력해도 주루룩 보였다.

이곳 PC방만 관리가 안 된다고 생각하지 않는다. 대부분의 PC방이 보안에 대한 인식이 없고 법적인 지침도 없기에 관리에 필요성을 못 느끼는 거라 생각된다.

 

2.     해킹행위 최적의 장소

PC방은 보안이 취약하다는 점을 이용해 해킹행위의 최적의 장소로 악용되고 있어 보안에 더욱 신경을 써야 한다.아울러 최근에는 인터넷상에 수많은 악성프로그램이 유포되고 있다.

악성프로그램은 DDos 공격 외에도 감염된 PC의 원격제어, 개인정보 해킹, 인터넷뱅킹 해킹 등 더욱 고도화 되고 있으며, 감염 PC를 증가시켜 대규모 DDos 공격을 하는 좀비로 이용되어 사이버 혼란 가능성도 있다.

 

PC방 관리프로그램을 악용한 보안이슈가 접수 되었다.

http://www.boannews.com/media/view.asp?idx=23487&kind=0  (보안뉴스)

 

 그런 점에서 지속적으로 제기돼 왔던 PC방을 대상으로 한 보안 강화가 시급하다.

 

 

3.     공용PC 사용시 보안 강화를 위해 어떻게 대응해야하는가?


Pc
방이나 공용PC 사용시 보안강화에 대한 필자의 생각은 다음과 같다.

1)     검증되지 않은 공용 pc를 사용시 최소한의 로그인만 한다.

2)     보안 접속을 이용한다.


최소안의 로그인을 권장하지만 꼭 필요한 로그인시에는 보안접속에 보안등급이 높은 등급을 이용하여 로그인 한다.

아이디와 패스워드를 암호화하여 서버로 전송하여 패킷 가로채기 기법에 안전할 수 있다.

 

3)     보안 프로그램을 설치한다.

은행의 인터넷뱅킹 사이트를 이용한 보안프로그램, 키보드 해킹툴 보안 프로그램을 설치 한다.

백신프로그램 설치 안철수연구소(http://home.ahnlab.com/)

바이러스체이서(http://www.viruschaser.com)의 홈페이지를 방문하면 무료 진단 가능 하다.

 

4)     자동저장기능(자동완성기능) 중지 한다.



IE
  도구-인터넷옵션의 내용탭의 자동완성 기능이 꺼져있는지 반드시 확인 한다.

이 기능은 사용자의 ID와 암호를 저장하는 것인데 암호저장여부확인 기능을 꺼놓으면 사용자도 모르고 ID와 암호 모두를 자동으로 저장하게 된다.

공용PC에서 회원제 사이트에 로그인을 했다면 반드시 자동완성 옵션에서 폼지우기와 암호지우기를
실행해 사용자도 모르게 저장됐을지도 모르는 자료를 모두 삭제해줘야 한다.

 

5)   쿠키와 히스토리를 모두 삭제한다.

IE를 사용한 이후 도구-인터넷 옵션으로 들어가 쿠키와 임시파일, 열어본 인터넷 페이지 목록까지 모두 삭제한다.

 

 

4.     맺음말

위에서 언급했듯이 PC방 보안은 너무 허술하다. 스크립트키드 정도의 낮은 수준의 해킹 조차도 PC 방에서 막지 목하는 것이 현실이다.

 

-영세한 PC방은 손님 받기에 바빠 사장, 관리자, 아르바이트 모두 PC의 보안과 유지보에는 신경쓸 여유가 없다.

-하드웨어적인 보안 장비는 말할 것도 업으며 소프트웨어적 방화벽이나 백신, 스파이웨어 등도 업데이트가 되지 않는다.

-PC방의 모든 PC는 고정 IP를 가지고 있어 내부/외부 구분 없이 PC방의 PC에 접근 할 수 있다.

 

이런 심각한 상태에서는 개인적인 주의도 필요하겠지만 법적으로도 보완이 필요하다고 생각된다.
주기적인 점검과 최소한의 보안 가이드라인을 제시하는 기관이 필요하다.
그렇지 안고 계속 위와같은 문제를 개인 사업자의 문제로 방관한다면 정보 유출로 인한 피해가 갈수록 심화되고
DDos 공격 유포지로 악용되 대규모 DDos공격으로 혼란이 발생할 것이다.


Posted by secu153

댓글을 달아 주세요

  1. haha 2011.12.26 20:38  댓글주소  수정/삭제  댓글쓰기

    인텔에서 게릴라 이벤트 하는데, 혹시 아세요?
    인텔 cup인 pc방 추천하는 이벤트 인데요
    당첨되면 그 pc방엔 로지텍마우스를!
    추천된 분들에게는 SSD를 준다네요ㅋㅋ
    대박이벤트인거 같아요ㅋㅋ여러곳 추천해도 된다니까 한번 참여해보세요!^^
    인터넷 창에 게릴라이벤트라고 쳐보세요!

1. 개인정보유출 심각하다.
2. 개인정보보호법이 통과되었다.
3. 보안기관에서는 어떻게 대응해야하는가?
4. 맺음말

1. 현재까지의 개인정보유출 상황
2008
년 모 정유사의 개인정보유출 사건이 처벌의 근거가 없어 불기소 처리되었다.


  그 이후에도 크고 작은 개인정보 유출에 대한 많은 사건
(옥션사태, 네이트 ) 이슈화 되었으나 그때마다 법에 사각지대에 놓였으며
17, 18 국회에 발의된 '개인정보보호법'은 통과 되지
못하고 결국 2010 9월이 되어서야 오전 국회 행정안전위원회 법안심사소위원회에서 전격 통과 되었다.
그리고 다음날인 30일 국회 행안위 전체 회의에서도 개인정보보호법이 통과됐다.

 

[개인정보 침해 피해 규모는 약 11조원]

옥션사태  – 200802 / 피해규모 약 1,800만건

GS칼텍스 - 200809 / 피해규모 약 1,100만건


[
디지털타임즈 발췌]

 http://www.dt.co.kr/contents.html?article_no=2009100502010431693002

 

 
 2. 개인정보보호법의 통과가 미치는 영향
  2년 넘게 끌어 온 논의 속에 결실을 맺게 된 개인정보보법이 공포되고 효력을 발휘하게 되면 무엇이 어떻게 변화되는가?

   기존의 개별법 체계에서 분절적으로 규정하고 있는 개인정보 처리기준을 표준화되고 개인정보 수집-이용-파기 등 단계적 보호조치가 정립돼 우리사회의 개인정보보호 수준이 한층 업그레이드 될 것이다.

 

현행 체계와 비교해 법제정으로 달라지는 점을 살펴보자

첫째 법적용 대상의 확대

전 공공기관과 민관기관으로 확대되고 컴퓨터에서 처리되는 개인정보 외에 민원신청 서류 등 수기분서까지 보호되어 확대.


둘째 개인정보 수집, 이용, 제공 기준 표준화

현행 개별법에 일부분 규정돼있는 개인정보보호 수집, 이용, 제공 기준이 표준화돼 전 기관에 적용된다.

 

셋째 – I-PIN 전 공공기관과 일부 사업자에 확대

주민번호, 여권번호 등 고유식별정보의 처리를 원칙적으로 금지하고 인터넷상에서 주민번호 외의 회원가입 방법을 의무화 한다. I-PIN 확대되고 암호화 등 제반사항울 이행해야 한다.

 

넷째 영상정보처리기기(CCTV) 규정 확대

영상정보처리기기(CCTV) 규제사항이 공개된 장소에 설치하는 민간까지 확대된다.

 

다섯째 마케팅업무 위탁시 정보주체에게 위탁업무 내용과 수탁을 고지

마케팅 목적으로 개인정보 취급을 위탁하는 경우 정보주체의 동의를 받아야 하는 텔레마케팅 규제가 모든 개인정보 처리자에게 확대 된다.

 

여섯째 개인정보파일 등록제로 변경

현행 공공기관이 개인정보파일 보유 시 행안부장관과 사전협의하도록 하고 있는 사항을 등록제로 변경하고 행정안전부 장관은 이를 공개하도록 하고 있다.

 

일곱째 개인정보 유출사고 발생 시 유출사실 신고 의무화

유출사고 발생 시 개인정보 처리자는 유출사실에 대한 정보 주체에게 통지하고 행정안정부 장관 및 전문기관에 신고해야 한다. 또한 각급기관은 개인정보보호 책임자를 지정해야 하고 관련 교육 및 접근통제 등 기술적 물리적 보호조치를 의무화해야 한다.

 

여덟째 개인정보보호법 통합

법제정으로 공공기관개인정보보호법은 폐지돼 개인정보보호법에 흡수되고 개인정보분쟁조정위원회는 기존의 민간분야 외에 공공분야까지 포함해 크게 확대된다.

아홉째 분쟁조정의 효력 강화

현행 개인정보분쟁조정위원회의 분쟁조정의 효력이 민사상 합의에서 재판상화해로 효력이 변경돼 재판을 받는 것과 동일한 효과 발생.

 

열째 처벌 강화

개인정보보호법 의무사항 위반시 기존의 3년 이하의 징역, 1,000만원 이하 벌금에서 5,000만원 이하의 벌금, 5년 이하의 징역으로 처벌이 강화 된다.

[한국CSO협회 자료 첨부]





3. 보안 시장이 넓어진다.

  따라서, 각 조직에 있는 개인 정보보호 담당자와, 개인정보보호 취급자, 보안업계 등 개인정보를 수집하는 모든 업체와 기관들은 개인정보보호 관리를 기존보다 강화해야 하겠다.


개안정보보법에 제정에 따른 보안기업의 대응 방안

 

- 개인정보보호에 대한 법과 제도 운영을 이해하고 민간, 공공별 대응방안 모색

- 보안 솔루션 확보 및 판매 전략을 수립

- 보안 솔루션에 대한 마케팅, 홍보를 하고 확대 보급

- 개인정보보호에 대한 구축 사례를 발굴 벤치 마킹

- 자사만의 보안 솔루션 확보 및 컨설팅 방법론 구축

- 개인정보보호관련 인재 확보와 컨설팅 및 기술영업 사업을 강화

- 보안 인력은 개인정보 관련 법과 운영에 대한 지식을 습득

 

 

 4. 맺음말


  보안이나 개인정보보호에 대한 중요성은 아무리 강조해고 지나치지 않겠지만 계기가 없다면 그 중요성을 간과하기 쉽다는 점에서 개인정보보호법의 통과는 개인정보의 소중함과 중요성을 일상에서도 느낄 수 있게 하는 계기가 될 것이다.

   이와 같이 개인정보보호법의 통과가 우리나라가 명실상부한 정보화 강국으로 거듭나고 정보보호 서비스와 소프트웨어 산업이 활성화되는 모멘텀이 되기를 기대해 본다.


 

Posted by secu153

댓글을 달아 주세요