hi.pe.kr 날으는물고기·´″°³о♡

정부는 최근 몇 년간 정보보호 및 사이버보안과 관련하여 범정부차원에서 법적, 정책적, 예산적인 측면에서 많은 노력을 쏟았다. 이러한 정부의 노력은 근 10년 간 굵직한 보안 사고들이 연달아 일어나면서 생긴 결과이다. 올해 들어 3.20 사이버테러, 6.25 사이버공격 등이 연이어 발생하자 국가안보를 위협하는 각종 사이버위협 범국가 차원의 역량을 결집하여 체계적으로 대응하기 위해 관계부처 합동으로 국가사이버안보 종합대책을 발표하였다. 특히 이번 발표에서 전문인력양성 부분은 주목해볼 만하다. 

정부는 7월 4일 발표한 국가사이버안보 종합대책에서 사이버안보 창조적(Creative) 기반 조성을 위해 최정예 정보보호 전문가 양성사업 확대 및 영재교육원 설립 등 다양한 인력양성 프로그램을 추진하여 2017년까지 사이버 전문인력 5,000명을 양성한다고 밝혔다. 이는 같은 날 발표한 정보보호산업 발전 종합대책에 보다 자세히 기술 되어 있는데 정보보호 산업을 리드하는 최정예 정보보호 전문인력 양성을 목표로 잠재인력 발굴 지원과 전문인력 양성, 정보보호 전문인력 체계적 공급체계 구축을 목표로 SS(Security Scholarship)시스템을 제안했다.  SS시스템은 초·중학교부터 해킹방어대회와 동아리 등을 통해 잠재인력을 발굴하고 정보보호 관련분야의 학부와 석·박사의 특별교육과 연구자 및 최고보안전문가들을 위한 활동지원과 지원 사업에 대해 지원하는 시스템이다. 더불어 정보보호인력양성을 위해 사이버해킹·방어 실전 훈련장, 전보보호 국가자격제도, 인력 통합관리 지원 시스템운영과 같은 인프라를 제공할 계획임을 발표했다.

인력양성은 정보보안의 핵심 부분으로써 정부가 종합대책이전부터 가장 공을 들여온 분야이다. 그러나 이러한 정부의 발표에 대해 전문가들의 의견은 다소 회의적이다.

지난 8월 13일, 홍문종 의원실 주최로 국회에서 열린 <국가 사이버안보 종합대책에 대한 평가와 개선방안 토론회>에서 보안업계 및 학계 전문가들은 국가사이버안보 종합대책과 관련하여 의견을 수렴하고 이행방안에 대해 논의하는 시간을 가졌다. 전문가들은 국가 사이버안보 종합대책과 정보보호 산업발전 종합대책에 대해 큰 틀에 대해서는 적절성에 동의하고 주요 내용에 대해 긍정적인 평가를 했다. 그러나 사이버 보안 역량 강화의 핵심은 인력의 양성과 확보라는 의견을 밝히며, 전문인력 양성을 위한 구체적인 방안 마련과 함께 일부 내용에 대해 보완과 보안업계의 현황을 고려한 세부적인 이행방안이 마련될 필요성을 강조했다. 전문가들은 현재 사이버 전문인력 양성은 단기 전문교육을 통한 양적 확대에 치중하고 있으며, 국가 사이버 안보 종합대책과 정보보호 산업발전 종합대책에서 제시한 최정예 정보보호 전문가 5,000명 양성을 위한 구체적 실행방안에 대한 의문이 제기되고 있다고 밝혔다. 덧붙여 앞으로 국가 사이버 안보 강화를 위해 사이버 전문인력 양성을 위한 구체적 실현방안에 대한 논의와 이를 바탕으로 한 정책 추진이 필요하다고 말했다. 

정부는 업계의 이러한 현실적인 요구에 주목할 필요가 있다. 한국의 정보보안 현실에서 전문적인 보안인력을 제대로 키울 수 있는 시스템이 열악하다고 할 수 있다. 현재 국내에는 체계적인 전문 교육과정이 미흡한 상황이다. 초·중학교 및 고등학교의 정보보안 교육과정은 거의 없다고 할 수 있으며 있더라도 단기간이고 단발적인 경우가 많다. 학부 및 석·박사 과정에서도 국내의 정보보안 학과의 규모를 통해 가늠해볼 때 정보보안 교육과정이 단절되는 경우가 많다. 정보보안을 공부하려고 하는 많은 입문자가 학원을 선택하는 경우가 많은데 이는 고급정보보안 전문가를 키워내는데 한계가 있을 뿐만 아니라 결국, 공신력 있는 제대로 된 교육기관이 없어서 빚어진 문제점이라 할 수 있다. 

정보보안분야의 고급인력양성은 장기적이고 거시적인 차원에서의 국가전략과 연계한 로드맵을 구축해야 한다. 국가 미래 전략 차원의 고급인재육성을 위해서는 장기적인 로드맵은 필수적이다. 또한, 지속적으로 제기되어 오고 있는 정보보안 분야의 고급인력의 수급부족현상을 해소하고 양적 공급규모 확대를 유지하면서, 향후 질적 고급인력양성으로 전환하기 위해서는 전문교육기관에서의 정규과정 및 교과과정이 필수적이다.

한국의 정보보호학부 및 대학원의 숫자가 극도로 제한적인 점과 컴퓨터공학 및 정보통신분야와 정보보안 분야 사이의 차이가 극명한 것을 고려할 때에 초등교육부터 시작해서 학부, 석·박사까지 계속 이어지는 정보보호분야만의 교육체계가 필요하다. 

최근 정보보안은 국가안보에 있어 필수요소가 되고 있다. 전 세계적으로 해킹 공격이 국가 기반시설과 기간망을 위협하는 상황에서 미국을 비롯한 여러 국가는 이미 사이버부대를 창설함은 물론 사이버인재를 발굴·양성하기 위한 국가적 차원의 청사진을 제시하고 있다. 이것은 북한 역시 마찬가지이다. 이렇듯 여러 국가가 정부 차원에서 정보보안 인력양성에 적극적으로 나서고 있는 이유는 정보보안 분야가 단기간이 아니라 장기간의 교육과 투자를 통해서만 현실필드에서 필요로 하는 고급전문인력 배출이 가능하기 때문이다. 

보다 체계적으로 이행하기 위한 정부의 의지를 보여줘야 할 때이다. 정보보호 인력 통합관리지원시스템 구축 및 운영이 성공하기 위해서는 더욱 구체적인 이행방법이 나와야만 한다. 정부가 발표한 SS 시스템은 물론 대학 IT 연구센터, 정보보호특성화대학과 같은 국가주도의 체계적인 지원과 정부정책 수립, 그리고 제도화하는 것이 중요하다.

[작성일] 2013. 8. 23

[필자] 임종인 (고려대학교 사이버국방학과 교수·사이버국방연구센터 센터장)

출처 : www.boannews.com

정보통신망의 안정성 및 정보의 신뢰성 확보 위한 구체적 내용 정의

[보안뉴스 김태형] 정보통신망법 제45조제2항에 따라 ‘정보보호조치에 관한 지침’이 8일 전부 개정됐다.

미래창조과학부에서 개정 고시한 ‘정보보호조치에 관한 지침’은 정보통신서비스 제공자가 정보통신서비스를 제공하는데 사용되는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치의 구체적인 내용을 정의했다. 특히, 이 지침에서 사용하는 ‘정보보호조직·정보통신설비·DNS서버·웹서버’ 등과 같은 용어에 대한 정의를 했다.

이번에 개정·고시된 주요 내용은 다음과 같다.

정보보호조치에 관한 지침

제1장 총 칙

제1조(목적) 이 지침은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 "법"이라 한다) 제45조제2항에 따라 정보통신서비스 제공자가 정보통신서비스를 제공하는데 사용되는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치의 구체적인 내용에 대하여 정하는 것을 목적으로 한다.

제2조(정의) 이 지침에서 사용하는 용어의 정의는 다음과 같다.

1. "정보보호조직"이라 함은 정보통신서비스를 안전하게 제공하고 정보보호 활동을 체계적으로 이 행할 수 있도록 하는 업무 조직을 말한다.

2. "정보통신설비"라 함은 컴퓨터 장치 등 정보의 수집·가공·저장·검색·송신·수신 및 그 활용과 관 련되는 기기와 소프트웨어의 조직화된 체계를 말한다.

3. "서비스수준협약"이라 함은 서비스 제공자가 서비스 가입자와 합의를 통하여 사전에 정의된 수 준의 서비스를 제공하기로 맺는 협약을 말한다.

4. "정보보호시스템"이라 함은 정보처리시스템 내 정보를 유출·위조·변조·훼손하거나 정보처리시스 템의 정상적인 서비스를 방해하는 행위로부터 정보 등을 보호하기 위한 장비 및 프로그램을 말한다.

5. "침입차단시스템"이라 함은 외부 네트워크로부터 내부 네트워크로 침입하는 트래픽을 정해진 규 칙에 따라 제어하는 기능을 가진 장비 또는 프로그램을 말한다.

<...중략>

제2장 정보보호조치

제3조(정보보호조치의 내용) 법 제45조제2항에 따라 정보통신서비스 제공자가 정보통신망의 안전성 및 정보의 신뢰성을 확보하기 위하여 마련하여야 하는 관리적·기술적·물리적 보호조치의 구체적인 내용은 별표 1과 같다.

제4조(정보보호조치 이행여부 점검) 정보통신서비스 제공자는 매년 별표 1의 정보보호조치의 이행여 부를 자체적으로 점검하거나 외부 전문기관으로 하여금 점검하게 할 수 있다.

제5조(재검토 기한) 「훈령·예규 등의 발령 및 관리에 관한 규정」(대통령훈령 제248호)에 따라 이 고시 발령 후 법령이나 현실여건의 변화 등을 검토하여 이 고시의 폐지, 개정 등 조치를 하여야 하는 기한은 2016년 3월 23일까지로 한다.

한편, 이 고시는 고시한 날부터 바로 시행되며, 별표 및 별지 서식은 미래창조과학부 홈페이지(고시란)을 참조하면 된다.

[김태형 기자(boan@boannews.com)]

출처 : 보안뉴스

21개 언론사 및 포털·게임·통신 업체 등의 직원·관리자 계정 위험! 

3.20 및 6.25 사이버테러 이은 제3의 사이버테러 준비 가능성  

실제 내부망 침투까지 완료된 기업도 상당수일듯...수사 필요성 제기
  

[보안뉴스 권 준] 지상파 방송사, 유력신문사, 뉴스통신사를 포함한 21개 언론사와 포털, 쇼핑몰, 게임사, 국가기간망사업자, 통신사, 광고업체, 보안업체 등을 포함한 40개 업체의 관리자 및 내부직원의 계정정보를 노린 악성코드가 발견돼 충격을 주고 있다.

이번 악성코드를 처음 발견해 추적한 최상명 하우리 선행연구팀장에 따르면 악성코드 제작자는 40개 언론사·기업의 직원 및 관리자가 악성코드에 감염될 수 있도록 광범위하게 악성코드를 유포하는 것으로 드러났다.

이를 통해 40여개 업체 직원 및 관리자가 악성코드에 감염될 경우 해당 업체의 로그인이 필요한 웹 서비스에 접속해 로그인 시 아이디 및 패스워드 정보가 해커가 준비해놓은 1차 C&C 서버로 유출되는데, 현재까지 아이디 및 패스워드 정보를 전송받는 C&C 서버가 작동 중인 것으로 알려졌다. 

40여개 직원 및 관리자가 로그인 시 계정정보를 절취하는 웹 서비스는 다음과 같다. 특히, 개인정보를 수집하기 위한 웹서비스에는 해당업체 내부에서만 접속 가능한 도메인 및 내부망 IP도 포함돼 있다.

- 내부 직원용 메일 웹서비스

- 내부 인트라넷 웹 서비스

- 웹서비스 관리자 로그인 웹 페이지

- ERP(전사적 자원관리), CRM(고객관리), SCM(공급망관리), NMS(네트워크 관리 시스템), KMS(지식관리시스템), EIP(기업정보포탈) 등과 같은 관리 솔루션 웹 페이지

- 통합보안 장비, VPN 장비, 웹로그 관리 등 보안 솔루션 관리자 웹페이지

해커조직이 노리는 40여개 업체는 크게 언론사, 광고사, 통신사, 게임사, 기간망사업자, 관리 솔루션 업체, 보안장비 솔루션 업체로 구분된다. 40여개 업체 가운데는 지상파 방송국 다수를 비롯해 유력신문사, 통신사, 대형 포털사이트, 온라인 광고업체, 게임사, 국가기간망사업자, 통신사, 쇼핑몰, 그리고  국내 대표적인 보안업체가 판매하는 보안솔루션 관리자 페이지(해당 제품을 사용하는 기업)를 망라하고 있어 더욱 심각한 상황이다.  

우선 언론사의 경우 언론사 내부정보를 수집하거나 언론사를 통해 악성코드를 유포함으로써 뉴스를 구독하는 사용자 PC를 대상으로 대규모 좀비 PC를 양산해낼 수 있다. 

또한, 광고사의 경우 온라인 신문 등 광고가 삽입되는 모든 웹페이지를 통해 대량의 악성코드를 유포할 수 있으며, 철도·통신 등 국가기간산업을 관장하는 기업의 관리자 계정이 탈취될 경우 해당 기업 침투 등으로 잠재적으로 철도사고 및 통신장애 등 심각한 사고를 유발시킬 수도 있다. 

이와 함께 전사적 자원관리 및 기업·고객관리 솔루션 업체의 경우 해당 기업에 침투해 기밀정보 및 고객정보 유출이 가능하며, 보안 솔루션 업체의 경우 보안장비 관리자 권한을 획득해 보안 솔루션을 운용 중인 기업의 보안상태를 무력화시킬 수 있어 매우 심각하다.

이번에 발견된 악성코드는 네트워크 API 후킹을 통해 특정 웹서비스 로그인 시 계정정보를 탈취하며, 루트킷 기능으로 악성코드를 은폐할 수 있는 것으로 알려졌다. 여기서 말하는 네트워크 API 후킹은 네트워크 통신을 가로채는 방법의 하나로 계정정보가 입력될때 그 내용을 해커한테도 전송하는 방법이라고 할 수 있다.

특히, 해당 업체의 내부 직원 및 관리자가 해당 웹페이지에 접속 시 별도의 추가 악성코드를 설치해 해당 업체의 직원임을 식별할 수 있는 정보를 2차 C&C 서버로 전송하는 것으로 나타났다. 이는 추후 해당 관리자 및 직원 PC를 통해 해당 기업 내부망 침투용으로 사용하기 위한 거점을 마련하려는 것으로 추정된다.

악성코드 제작자의 특징과 관련해 하우리 최상명 선행연구팀장은 “40개 업체의 관리자 웹 서비스를 사전에 모두 조사하여 해당 웹사이트 주소를 인지하고 있으며, 해당 업체 내부에서만 접속되는 도메인 및 내부망 IP까지 확보하고 있는 것으로 보인다”며, “상당기간 해당 업체들에 대한 조사를 수행했으며, 일부 업체는 이미 내부망 침투까지 성공한 것으로 추정된다”고 밝혔다.

덧붙여 그는 “아무래도 ERP, CRM 등과 같은 기업관리 솔루션이나 보안 솔루션 페이지의 관리자 계정이 유출되면 기업 기밀정보는 물론 2차적으로 고객정보 탈취나 해당기업 보안체계가 무력화 될 수 있다. 또한, 언론사나 광고 솔루션 업체가 당하면 대규모 악성코드 유포가 가능해서 국민 대다수 PC가 좀비 PC화돼 6.25 사이버공격과 같은 대규모 사이버테러도 다시 발생할 수 있는 등 사회혼란이 야기될 수 있다”며, “특히, 많은 국민들이 찾는 언론사와 광고 솔루션 업체에서는 긴급점검과 함께 향후 보안투자를 대폭 늘려야 한다”고 강조했다.

현재 관리자 계정정보가 타깃이 되고 있는 40여개 언론사·기업에서는 관리자나 직원 PC가 악성코드에 감염되지 않도록 대대적인 보안점검과 함께 보안패치에 각별한 주의를 기울여야 할 것으로 보인다. 

본지는 단독 입수한 40여개 언론사 및 기업 리스트를 바탕으로 경찰청 사이버테러대응센터 및 한국인터넷진흥원을 통해 이번 건에 대한 수사와 함께 대대적인 보안조치가 이루어질 수 있도록 적극 협조할 방침이다. 이와 함께 이번 사건의 진행상황에 따라 일반 국민들의 피해를 최소화하기 위해 해당 언론사 및 기업 공개를 포함한 후속기사를 준비할 예정이다.       
[권 준 기자(editor@boannews.com)]

출처 : 보안뉴스