오픈웹에 한국 보안 업계에 대한 따끔한 글이 올라왔습니다.

http://openweb.or.kr/?p=4102

글을 읽다보니 조금 화가나는 부분이 생기더군요.
욱해서 트위터에 좀 강하게 쓰려다가...
오픈웹에서 이러는거 한두번도 아닌데 이런 글에 화가나는걸 보면 아직 인격수양을 더 해야 할 듯 합니다.

물론 반성할건 반성을 해야죠.
국내 보안 제품이(적어도 백신 프로그램에서) 아직 외국 업체에 비해 부족하고 따라가려고 열심히 하고 있습니다.

다만 변명을 하자면 이런 타겟공격은 국내 보안업체 뿐 아니라 해외 보안업체도 해결하지 못한 문제이고 보다 효과적인 방법을 찾기 위해 몇 십년 동안 고민하고 있다는 겁니다.

농협과 SK컴즈 사건 피해 시스템에서 사용되던 백신 프로그램은 유명 해외 제품입니다. 물론 국내 제품이 사용되었더라도 막지 못했을 가능성이 높습니다.
- 특별히 국내 보안업체 능력이 부족해서 발생하는 문제만은 아니라는거죠.


글을 읽다가 반박 혹은 해명.. 그리고 궁금한게 생겨 한번 글을 남겨 봅니다.

----------

1. "현대캐피탈, 농협에 이어 네이트 해킹 등 엄청난 규모의 사고가 터지는데, 고작 나도는 소리가 “북한의 소행”인것 같다는 동문서답 코메디 수준이라는 것이 바로 우리 보안업계, 보안전문가 풀의 허약함을 반증하는 것입니다. '
-> 국내 보안업체 중 농협이 북한 소행이라고 주장한 곳이 있었나요 ? 제가 알기로는 없습니다.

검찰에서 수사결과를 발표했습니다. 검찰이 언제 보안업체가 되었는지요 ?
그냥 보안업계라고 표기하면 읽는 사람들이 마치 업체 사람들이 그런 주장을 하고 있다고 오해하지 않을까요 ?

  
2. 비밀정보도 아닌 주민등록번호를 마치 비밀번호처럼 입력하게 만들어 놓고, 그렇게 하면 “본인확인”이 되는것처럼 온국민을 상대로 사기를 쳐대는 일이 벌어질수 있는 것도 결국에는 국내 보안계의 양심 수준을 드러내보이는 것입니다.
-> 보안업체에서 저런 얘기를 했었는지요 ? (정말 몰라서...)
   사이트 개발자들이 그냥 편해서 사용한거 아닌지요 ? 그걸 왜 보안업체 탓으로 하는지요 ?
   보안업체가 저렇게 주장했다는 근거가 궁금합니다.  


3. 액티브X 문제는... 빨리 해결되어야 한다고 생각합니다.


4. 근본적인 각성을 촉구합니다.
-> 오픈웹 측에도 같은 말을 하고 싶습니다.
같은 보안이라고 해도 크게 상관없는 다른 보안업체까지 끌여들여 싸잡아 비판하는건 전형적인(?) 오픈웹 방식인데요.
   
농협, SK컴즈 해킹과 공인인증서는 상관 없고 관여하는 보안업체도 다릅니다.
농협, SK컴즈 해킹과 관련해서 비판하려면 해당 업체만 비판하시기 바랍니다.
결국 원하는 바는 공인인증서로 수익을 얻는 보안업체 비판으로 보입니다만...
   
아니면 그냥 예전처럼 모든게 액티브X 때문이라고 주장하시는게 어떨까 싶네요.
오픈웹은 과거에 "이런 일이 생긴게 바로 액티브 X 때문이다."라고 주장했죠.
오픈웹 덕분에 국내 악성코드 감염이 여전히 액티브X 때문이라고 믿는 일반인들이 많더군요.
덕분인지 모르겠지만 컴퓨터 전문가라는 분도 방송에 나와 저런 해킹도 무불별하게 사용되는 액티브 X 때문이라는 얘기도 했었구요.
- 저는 컴퓨터 전문가들도 보안을 제대로 알지 못하는거라고 생각합니다.
   
예전부터 글에 남겼지만 저도 지긋지긋한 액티브X에서 벗어나고 싶은건 같은 심정입니다.
하지만, 같이 협력 할 수 있는 보안업계를 적으로 만들어 버리는 방식은(그것도 잘못된 정보로) 아닌 듯 합니다.

오픈웹에 올라가는 주장 중 잘못된 내용에 대해서 주변 사람들에게 오픈웹쪽에 연락해서 잘못된 내용을 알려줘야 하지 않겠냐고 했을 때 한결같이 돌아오는 답은 똑같습니다.

"기술적으로 잘 알지도 못한다. 대화가 안 통하며 정말 몰라서 그렇겠냐 ? 그냥 무시하는게 최고다." 였습니다.
이런 인식은 심각한 문제라고 생각합니다.

잘알지 못해 잘못된 주장하는건 배우고 고치면 됩니다.
하지만, 만약 어떤 목적을 위해 거짓인지 알지만 잘못된 내용을 얘기한다면 문제 있다고 생각합니다.

ps.

시대적 흐름인지 오픈웹 덕분인지 비정상적인 국내 인터넷 환경에 자성의 목소리가 커지고 조금씩 개선하려고 하고 있습니다. 이점은 오픈웹에 늘 감사합니다. 



  

Posted by mstoned7

댓글을 달아 주세요

  1. 숲속얘기 2011.08.04 20:11  댓글주소  수정/삭제  댓글쓰기

    보안업계의 기술력이 딸린건 아니지만 풀이 얇아서는 맞는것 같습니다. 보안을 애시당초 신경안쓰니 풀도 없고, 언론도 검찰도 보안사고에서 업계이야기보다는 정치놀음에 춤추면서 북한 소행이라고 열폭하는거죠. 북한소행이라고 열내고 있을바에야 보안시스템 점검과 취약점 개선이 우선인것 같은데 그런데는 별 관심없죠.

    • mstoned7 2011.08.04 21:55 신고  댓글주소  수정/삭제

      보안에 비용 안들이려고 하고.. 제품 구매면 끝이라는 인식이 있는 한 어려울 듯 합니다. 제 주변 사람들은 IT업계 자체를 떠나 버리더군요.

  2. 숲속얘기 2011.08.05 00:01  댓글주소  수정/삭제  댓글쓰기

    아까 mbc에서 국내 유명 게임 북의 해커한테 당했단 식으로 뉴스가 나와서 깜짝놀랐더니, 리니지의 오토봇 이야기였습니다. 어뷰징과 해킹의 차이도 모르는 언론은 참 한심해보이더군요. 어차피 그들에게는 국내의 강력한 해커가 더 관심거리였겠죠.

    • mstoned7 2011.08.05 17:42 신고  댓글주소  수정/삭제

      전 천재라고 부르는게 더 안타깝더군요. 천재들이 게임 오토를 만들고 있다니.... TT 중국쪽 인력 모아서도 그동안 작업했는데 특정 국가라 이슈가 된 듯 합니다.

  3. 2011.08.05 12:41  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

    • 하나뿐인지구 2011.08.05 14:12  댓글주소  수정/삭제

      뉴스 보다보니...이것도...'충격'이네요...
      ...
      중국산 인육 캡슐... 국내 유통...경악...
      http://news.naver.com/main/read.nhn?oid=003&aid=0004005795
      http://news.naver.com/main/read.nhn?oid=018&aid=0002475690
      (...
      SBS TV ‘그것이 알고싶다’가,
      죽은 태아로 만든 보양제라는,
      중국산 인육 캡슐을 취재 고발한다.
      ...
      중국으로 간 제작진은 인육캡슐 구매를 시도했다.
      캡슐과 연관이 있을 법한 사람들에게 접근,
      일부 병원들이,
      태반과 함께 죽은 태아를,
      업자들과 거래하고 있음을 확인했다.
      ...
      병원 관계자와 간호사 등이 적극적으로 개입돼 있었다.
      병원에 말만 해놓으면,
      낙태, 사산아가 나올 때 바로 연락해준다는 귀띔도 받았다.
      ...
      태아를 캡슐로 만드는 작업은 충격적이었다.
      다른 사람들의 눈을 피해,
      주로 가정집 냉장고에 죽은 아기를 보관하고 있었다.
      작업을 위한 장비는 직접 만들거나,
      기존의 약재 건조용 전자레인지를 이용하고 있었다.
      ...
      인육 캡슐은,
      조선족 브로커를 통해 한국으로 유입됐다.
      ...
      중국 현지 가격보다,
      수십 배 비싼 값으로 은밀히 거래됐다.
      ...
      제작진은 “인육 캡슐을,
      관세청과 국립과학수사연구원이 검사한 결과,
      DNA가 99.7% 인간의 것과 일치했다.
      ...
      DNA 검사 결과 99.7 % 인간의 것과 일치할 뿐 아니라,
      성별도 구분할 수 있었고,
      캡슐 안에서 머리카락이 다수 발견됐다고 밝혔다.
      ...
      전문가들은...이 캡슐이 오히려 사람에게 해로울 수 있으며,
      무엇보다 사람들이 생각하는 효과는 전혀 없다고 밝혔다.
      ...
      이 방송은 오는 8월 6일(토) 밤 11시10분에 방송된다.
      ...
      [뉴시스 이시간 핫 뉴스]
      ㆍ 수면제 먹여...여 중・고생 성폭행...인면수심 40대...
      ...)
      ...
      ps>비행기 빼고...다 먹는다는 중국...실제로도 인육 만두가 존재할 듯...
      ...
      ps>나도 남자지만...남자들 왜 이러는지...미친 거 아님?...

    • mstoned7 2011.08.05 17:43 신고  댓글주소  수정/삭제

      개인적으로 깔아 쓰는 사람들은 있을 수 있겠죠.(말로해서는 안 듣는다는...) 무료 제품은 기업에서는 사용할 수 없다는걸 모르는 사람들이 많더라구요.

    • 하나뿐인지구 2011.08.08 11:13  댓글주소  수정/삭제

      전에 뉴스나왔을 때는...그냥 쇼가 지나치구나 했는데...
      비교해 보니...이건 작정하고 때리거네요...
      (계획 범죄)
      ...
      일본 개그맨..."진짜로...싸웠다..."
      http://news.naver.com/main/read.nhn?oid=055&aid=0000210496

  4. 신운 2011.08.07 00:03  댓글주소  수정/삭제  댓글쓰기

    저 또한 보안업계종사자로 해당 기사를 읽고 "욱"했습니다. 인정할 부분은 인정하고 받아들일 부분은 받아들리겠지만 너무 하다는 생각이 드내요. 시원한 지적 잘 읽었습니다 :)


7.7 DDoS 공격 1주년이 되면서 이런저런 기사가 나오고 있습니다.

이런저런 글을 읽다보니 오픈웹측에서 예상했던(?) 글을 올렸네요.

-“보안”의 이름으로 저지르는 침해
http://openweb.or.kr/?p=3107

예전에 7.7 DDoS 공격 이후 어떻게 예방하고 대응해야할 것인가를 논의하면서 관계 법에 대한 아이디어도 나왔고 이런 오해가 있을거라고도 예상했습니다.

우선 DDoS가 공격 당하는 쪽도 대처가 필요하지만 현재 DDoS 공격에 사용되는 시스템은 개인 PC입니다. 작년 7.7 DDoS 공격으로 이슈가 되었지만 예전부터 봇넷에 이용되는 국내 시스템이 꽤 되죠. 하지만, 이들 시스템에 백신 등의 보안 프로그램이 설치되지 않고 인터넷에 접속해서 악성코드를 퍼뜨리고 스팸을 발송하고 DDoS 공격을 하고 있습니다. 이런 시스템을 그냥 내버려둬야하는가에서 관련 법이 시작되었습니다.


제가 알기로는 문제가 발생하지 않았는데 어떤 프로그램을 강제 설치해서 감시하는게 아닌 악성코드에 감염된 시스템에서 문제를 일으킬 때 조치하는 법안입니다.
- 물론, 그때는 실무진 아이디어였고 지금 어떤 생각을 가지고 법안을 준비하는지는 모릅니다.

- DDoS 피해 막으려면…“좀비PC 방지 법적근거 필요”
http://www.ddaily.co.kr/news/news_view.php?uid=64871

악성코드에 감염된 컴퓨터가 다른 시스템을 공격에 이용됩니다.
하지만, 현재는 이들 시스템을 차단하거나 치료를 강제할 법이 현재 없습니다.
어떤 경우에는 협조를 안해주면 샘플 채집도 힘들다고 하더군요.

현재는 언론에서 백신 설치하세요 혹은 ISP에서 감염이 의심된 시스템에 악성코드 감염되었으니 치료하라는 팝업창 정도 띄웁니다.

사용자들의 보안의식은 어떨까요 ?

2010년 7월 7일 오후 6시 DDoS 공격이 발생해서 관계기관과 보안업체는 긴장했습니다.
하지만, 확인결과 작년 공격에 이용된 시스템이 존재해 공격에 동원된 겁니다.
10여 만대에서 몇 천대 수준이니 많이 치료되긴 했지만 공격에 동원된 시스템은 지난 1년 동안 자신의 컴퓨터에 감염된 악성코드를 치료하지 않은거죠.
이런 사용자는 백신을 사용하지도 않을테고 보안에 대해서는 모를겁니다.


조금 다르겠지만 음주운전과 비교해 보겠습니다.
음주운전은 자신뿐 아니라 타인의 생명을 위협합니다.
음주운전을 막기 위해 술마시고 운전하지 말자는 홍보를 합니다만 음주운전하는 사람들이 존재합니다.
그때문에 국가에서 음주운전 단속을 합니다.

게다가 음주운전은 본인이 술을 마셨다는걸 인지라도 하지만 자신의 시스템이 악성코드에 감염된 사실도 모르고 지내는 사람들도 꽤 됩니다.

물론 저 역시 법이 모든 차량에 대해서 음주 여부를 확인하는 방식이라면 반대합니다.
- 게다가 프로그램까지 설치하면 더더욱 ... 정말 인터넷 뱅킹 꼴 난다는... @.@

하지만, 음주 운전 차량이라고 의심되는 차에 대해서 협조를 요청하고 정말 필요할 경우 인터넷을 잠시 차단할 수 있는 정도의 강제성은 필요해 보입니다. 다만, 인터넷 차단의 경우 국민들의 기본권 제한이 존재하고 오탐 가능성이 존재하니 신중하고 정말 필요할 때 해야겠죠. 


 

Posted by mstoned7

댓글을 달아 주세요

  1. 철이 2010.07.10 01:16  댓글주소  수정/삭제  댓글쓰기

    1년전 심어진 바이러스가 아직까지 남아 활약하다니.. 그것도 그 소동을 당하고도 말이죠.
    보안의식이 제로인 사람들 같습니다.
    요즘 바이러스들은 피해를 주지않으면서 교묘히 이용하기 때문에 저런 사람들은 아무 문제 없는데 왠 호들갑이냐며 투털거리겠죠.. 답답하군요
    그래서 법적 근거가 필요한 것이겠죠? 법적으로 하려면 마무리까지 깔끔하게 법을 만들어야 한다고 생각합니다. 좀비pc가 클린pc가 되면 치료툴을 쓰던말던 선택권은 다시 pc 주인에게로 ㅎㅎ;

    • mstoned7 2010.07.10 01:47 신고  댓글주소  수정/삭제

      그래도.. 10여만 대에서 1천대 이하로 떨어진건... 많이 치료를 한거죠. 문제는 신종에 감염되어서 또 10-20만대가 공격에 동원 될 때 겠죠.

  2. 초록별 2010.07.13 16:15  댓글주소  수정/삭제  댓글쓰기

    중국처럼...
    차단하고...강제 공산주의에,
    반대파 숙청하고, 서로서로 잡는 이런 쪽이라면 문제겠지만...
    ...
    산업 스파이나...좀비 PC...국가간 이중 스파이 등등...
    보안 쪽이라면...
    당연히 cctv나 기록, 등은 필요하겠죠...
    ...
    안철수 교수님...모델로 나오셨네요ㅎㅎ...^^;...
    (개인365? 도스대란? clinic수리서비스? sw? AhnLab?...
    주변 요구가 많았나봐요...
    잘 안 나오실 것 같은데...^^;...
    바쁘신 것 같은데...그래도, TV 방송과 책에 좀 더 나오시면...좋을 듯...)
    ...
    ps>뉴스 기사에...웹하드 제공은 잘못? 추가?된 것 같다는...
    ...
    ps>좀비PC=음주운전...->...백신=경찰...
    ...
    ps>오픈웹 쪽은 너무 극단 이슈화를 좋아하시는 듯...
    ...
    저는 lg 2g 사용 중인데...앞으로도...3g는 별로...
    얼마전부터 벌이...휴대폰 전파 때문에...없어진다는 소문이...
    (질문해 보셨나요? ㅜㅜ...)
    ...
    그나저나...뉴스에서 보니...
    미국에서...스마트폰 쪽이...더 위협적이라던데...
    와이파이(무선랜) 개방...앞으로 ddos대란(슬래머/7.7) 이어지지 않을지...
    ...
    미국 공군과 서버에...스마트폰 이후...더 많은 공격이 있었다는데...
    우리나라는 외양간도 안 고치고...
    예방이나, 수리나, 대책은 있고...저러는지...

    • 하나뿐인지구 2010.07.14 13:22  댓글주소  수정/삭제

      모바일 보안이...큰 화두인가...봐요?...
      ...
      한국의 경영 대가 3위 안철수 KAIST 석좌 교수/편리한 만큼 위험 커 보안은 필수/아이폰(iphone) 멀티태스킹의 기본 조건은 보안/

      스마트폰...방심하다 좀비폰 된다...24시간 해킹 가능한 스마트폰...
      (...
      사례1.멀티태스킹 기능을 이용하거나, 유료 앱을 공짜로 사용하기 위해,
      원래 제품의 잠금 장치를 푸는 '탈옥폰(Jail-break)' 과정을 거친다.
      ...
      이때, 아이폰으로,
      원거리에서 컴퓨터에 접속할 수 있는 기능(SSH)의 비밀번호가 자동적으로 'alpine'으로 바뀐다.
      ...
      해커는 이 비밀번호로,
      탈옥한 아이폰에 접속해 정보를 빼간다.
      ...
      사례2.스마트폰으로 웹서핑을 하던 A가,
      배너를 클릭하는 순간,
      스마트폰은 해커 B가 설치한 악성코드에 감염됐다.
      ...
      스마트폰은 개인정보와 전화번호 같은 다른 사람의 정보까지 집어넣어 매일 들고 다니는 정보 꾸러미다.
      최근엔 온라인 뱅킹, 증권 등 해킹당했을 때,
      개인에게 치명적인 손실을 입힐 수 있는 금융 서비스도 확산되고 있다.
      ...
      해킹 위험이 어느 때보다도 커졌다.
      ...
      지난 4월엔 스마트폰 악성코드 감염 사례가 국내에서도 처음 발견됐다.
      사용자도 모르게 국제 전화를 걸어, 비싼 요금을 물게 되는,
      악성코드 '트레드 다이얼(TredDial)'이 약 155대의 스마트폰을 감염시켰다.
      ...
      스마트폰에 장착된 위성항법장치(GPS)를 해킹하면,
      개인의 '현재 위치'라는 새로운 정보도 빼갈 수 있다.
      군 장병들이 갖고 있는 스마트폰 GPS를 추적하면,
      실시간으로 군사작전지역도 알아낼 수 있다.
      ...
      전문가들은 스마트폰 시대에 맞는,
      새로운 보안 패러다임을 구축해야 한다고 강조한다.
      많은 기능을 가진 스마트폰은 담긴 정보가 나가고 들어오는 통로가 많기 때문에,
      이를 관리할 수 있는 체계를 만들어야 한다는 것이다.
      ...
      미군은 해킹 위험성 때문에 장병들이 사용할 스마트폰을 일괄 구입한다.
      처음 구매할 때 설치돼 있는 기본 프로그램 외에,
      다른 프로그램을 사용자가 따로 설치할 수 없도록 했다.
      ...
      하지만, 무엇보다도 사용자가 스마트폰 보안 중요성을 인식하는 게 중요하다.
      검증된 보안 소프트웨어를 사용하고,
      암호를 설정해야 한다.
      ...)

      아이폰(iphone) 멀티태스킹의...기본 조건은...보안...
      http:__news.naver.com_main_read.nhn?oid=030&aid=0002066464
      (...
      그동안 아이폰 OS는 현재 나와 있는, 아이패드용 아이폰 OS 3.2까지, 제한적인 멀티태스킹을 지원했다.
      ...
      즉, 멀티태스킹을 아예 지원하지 않는 것은 아니다.
      음악을 듣다가 전화가 오면 전화를 받을 수 있고,
      트위터나 페이스북용 애플리케이션에서 알림 메시지가 오면 팝업을 띄울 수 있다.
      ...
      아이폰 OS 4.0이 지원할 예정인 멀티태스킹은 엑스포지(Expose) 스타일이라고 한다.
      맥 OS X에 들어 있는 엑스포지는,
      여러 창에 열려 있는 애플리케이션을 한꺼번에 볼 수 있는 기능을 한다.
      ...
      애플 인사이더가 말한 조건은,
      애플이 제시한 보안을 깨뜨리지 않아야 한다는 것이다.
      당연하다.
      ...
      아이폰이 지금까지 스마트폰 시장에서 승승장구했던 이유 중 하나는,
      보안 부분에서 확실한 애플리케이션을 단독으로 실행함으로,
      시스템에 무리를 주지 않고,
      최적의 상태에서 폰을 쓰게 했다는 것이다.
      ...)

      한국의 경영 대가 3위...안철수...KAIST 석좌 교수...
      (...
      의사, 성공한 벤처 기업가에서, 기업가 정신의 전도사로 변신한,
      안철수 카이스트 석좌교수.
      ...
      특히, 스마트폰은 PC시장의 10배 정도 규모가 될 겁니다. 커다란 기회가 다가오고 있는 거죠.”
      ...
      안 교수의 관심은 단발적인 벤처 붐에 있지 않았다.
      지속적으로 유지되는,
      건강한 벤처 생태계 형성이 그의 진정한 관심사였다.
      ...
      “10년 전처럼 밀물처럼 밀려왔다 썰물처럼 빠지는 벤처 붐은,
      벤처 산업은 물론,
      국가 경제에도 도움이 되지 않습니다.
      ...
      벤처 산업은 소수의 벤처기업이 크게 성공해 다수의 실패를 메우는 구조입니다.
      하지만, 10년 전에는 100% 성공이라는 환상에 빠져,
      너도나도 사업에 뛰어들었죠. 투자자들도 마찬가지였습니다.
      ...
      그러다 대부분 손해를 보니, 썰물처럼 투자자가 빠져나갔습니다.
      벤처 산업의 구조를 제대로 이해하고,
      적정 수준의 투자가 선순환되는 구조를 만들어야 합니다.”
      ...
      “한국이 단일 시장으로는 작지 않습니다.
      대기업들의 거래 관행상 벤처기업에 울타리를 치기 때문에 시장이 작아진 거죠.
      ...이런 점에서,
      국가는 공정하고 투명한 시장을 만드는 일에 집중해야죠.”
      ...
      “CEO를 그만두고 미국 유학을 떠난 것은, 벤처 기업의 성공률을 높이고 싶어서였어요.
      그래서 제가 경험하고 익힌 다양한 성공과 실패 사례들을, 현장의 벤처기업인들에게 알려주고 있습니다.
      저 또한, 현장의 벤처기업인들을 만나며 현업에 대한 감각을 잃지 않기 위해 노력하고 있습니다.”
      ...
      7・7 디도스(DDoS) 사태 1주년을 어떻게 대처해야 하는지 물었다.
      그는 지난해 디도스 사태가 보안사고의 패러다임을 바꿨다고 보고 있었다.
      ...
      “예전에는 기관의 대형 컴퓨터를 목표로 해킹했기 때문에,
      기관에서 관리를 잘 하면, 일반 사용자들이 안심하고 컴퓨터를 사용할 수 있었어요.
      ...
      하지만, 이제는 일반 개인용 컴퓨터가 해킹의 목표가 되고,
      이들을 좀비 컴퓨터(좀비pc)로 만들어 국가기관 등 큰 기관을 공격하고 있어요.
      특정한 기술자나 기관이,
      안전을 담보하기 어려운 상황이 된 거죠.
      ...
      미국 국방성에서 6월 23일 ‘사이버 스페이스 군사지휘체계’를 만든 것도 이 때문입니다.
      우리나라도,
      국가 차원에서 사이버 위험관리 체계를 만들 때가 됐습니다.”
      ...)

      국내...스마트폰 시장은...지금 변화 중...
      http:__news.naver.com_main_read.nhn?oid=030&aid=0002060094
      (...
      SKT는 안드로이드용 스마트폰을 전략적으로 출시할 계획을 발표했으며,
      이동통신사와 휴대폰 제조사들이 앞 다투어,
      앱스토어를 만들어 운영하고 있다.
      ...
      ■ 구글폰(Nexus One) Vs 아이폰
      ...
      ■ 옴니아2 VS 아이폰
      ...
      ■ 앱스토어 토종 & 애플
      ...
      스마트폰 보안엔 문제없나?
      스마트폰의 보안 문제도 활성화를 위해 빼놓을 수 없는 문제다.
      ...
      이미,
      모바일 네트워크의,
      고도화, 개방화로 인해,
      ...앱스토어와 같은 오픈마켓 등,
      PC와 수준의 모바일의 사용이 일반화 되는 상황 속에서,
      ...
      다양한 스마트 폰,
      위협 사례가 발생하고 있기 때문이다.
      ...
      지난 7・7대란과 같은 국가적인 보안시스템의 공격이 스마트폰을 통해 이뤄질수 있다는 것은,
      더 이상 기우만이 아닌,
      현실적으로 눈 앞에 직면한 과제다.
      ...
      아직 국내에는 스마트폰을 통환 모바일 위협에 대한 보고가 없지만,
      이미 트로이목마 및 스파이웨어, 보이스 피싱, 블루투스, MMS(Multi Media Service) 등을 통한,
      다양한 악성코드 전파 등의 사례가 속속 보고 되고 있다.
      ...
      더구나, 지난 7・7대란을 통해,
      국가기관 및 주요 사이트에 대한 DDoS 공격으로 한차례 보안의 중요성을 인식하게 된 상황 속에서,
      보안에 대한 인식이 미비한 스마트폰을 통한 위협에 대해,
      사실상 무방비 상태로,
      노출돼 있다고 해도 과언이 아니다.
      ...
      일부 보안 전문가들은 보안 수준이 완벽하지 않은 상황 속에서,
      스마트폰의 활성화는,
      치명적인 결과를 초래할 수 있다고, 입을 모은다.
      ...
      이동통신사의 네트워크를 불능화 시키거나 패킷을 변조할 경우,
      전 국민이 휴대폰을 사용하고 있는 상황 속에서,
      자칫 걷잡을 수 없는 상황이 발생할 수도 있다는 것이다.
      ...
      이미 통신사에서도 스마트폰의 특성과 오픈마켓 중심의 서비스를 감안하면,
      스마트폰은 보안에 많은 취약점을 가지고 있어,
      고객뿐 아니라 이동통신망 자체가 DDoS 공격 대상이 될 수 있다고 보고 있다.
      ...
      뿐만 아니라 보안이 제대로 되지 않은 스마트폰의 통해,
      이동통신사의 네트워크를 불능화 시키는데,
      사용될 위험도 높아지고 있다.
      ...
      이동통신사의,
      무선 네트워크를 과부하 시키고,
      불능화시키기 위한 무선데이터 패킷을 이용한 공격이 가능하다는 것이다.
      ...
      불과 반년 전,
      DDoS 공격으로 인해,
      국가적인 손실을 가져오는 사태가 발생했고,
      ...
      스마트폰의 활성화에 앞서,
      문제점을 정확히 진단하고,
      지난 과오를 번복하지 않도록 대책 마련이 시급하다.
      ...
      아이폰, 구글폰을 계기로 한국이 다시 한 번 IT 강국으로 도약하기 위해,
      스마트폰이 큰 역할을 하기에 기대를 걸어본다.
      ...)

      편리한 만큼...위험 커...보안은 필수...
      http:__news.nate.com_view_20100603n13765
      (...
      PC는 고정된 형태로 물리적인 보호를 받으며 이용할 수 있지만,
      스마트폰은 휴대가 편리해,
      위협의 수준이 더욱 높다고 할 수 있다.
      ...
      그러나 너무 개인화된 기기이기 때문에,
      잃어버리거나 도난당했을 경우,
      돌이킬 수 없는 손실을 보게 된다.
      ...
      일반 휴대전화기를 분실했을 경우에는 주소록 등의 개인 정보가 없어지는 피해가 가장 크겠지만,
      ...
      스마트폰은 회사의 e메일과 주소록이,
      통째로 유출될 수 있으며,
      개인적으로 이용하는 수많은 서비스들이 고스란히 노출될 수밖에 없다.
      ...
      실제로 상업적인 용도로 판매되는,
      일부 스파이웨어는 전송 기능을 가지고 있다.
      2010년 1월에는 미국에서 은행의 뱅킹을 위한 용도로 올라 온 애플리케이션이,
      사용자의 정보와 계좌 정보만 빼내가는 사례도 발생했었다.
      ...
      이러한 서비스가 트위터(twitter), 미투데이(me2day)와 같은,
      마이크로블로그 서비스(Microblog Service)나,
      페이스북(Facebook), 싸이월드(Cyworld)와 같은 소셜 네트워크 서비스(SNS) 등과 결합하면,
      다양한 사람들과 사진,이야기,의견,평가 등을 손쉽게 나눌 수 있는 편리한 도구로 이용할 수 있는 것이,
      스마트폰의 가장 큰 장점이라고 할 수 있다.
      ...
      최근에는 이러한,
      트위터(twitter)나 페이스북(facebook)과 같은 소셜 네트워크 서비스(SNS: Social Network Service)를 이용해,
      전파되는 사기, 피싱 등이 증가하고 있다.
      ...
      SNS 사용자의 경우,
      57퍼센트가 스팸 메시지를 수신한 경험이 있으며,
      36퍼센트는 악성 코드가 포함된 링크를 받은 경험이 있다.
      ...
      트위터의 경우 140자의 글자 수 제한 때문에 URL(Uniform Resource Locator: 웹상의 주소)을 주고받을 때,
      이를 짧게 만들어 보내 주는,
      쇼트 URL(Short URL) 서비스를 많이 이용하게 된다.
      이 경우, 사용자는 해당 링크를 클릭하기 전에는,
      어디로 연결되는지 알지 못하기 때문에, 링크를 전달한 사용자를 믿고 클릭할 수밖에 없다.
      ...
      페이스북의 경우에는 150만 명의 아이디가 해킹돼,
      아이디당 2.5센트에 판매되고 있으며,
      매일 400만 명이 사기를 당하고 있다고 한다.
      ...
      뱅킹, 증권, 쇼핑몰 등 거래 관련 애플리케이션을 이용해,
      스마트폰에서 편리하게 뱅킹 서비스나 증권 서비스를 이용하는데,
      단순한 조회 뿐만 아니라 계좌이체, 증권 거래까지 가능하다.
      PC는 고정된 형태로 물리적인 보호를 받으며 이용할 수 있지만,
      스마트폰은 휴대가 편리해 위협의 수준이 더욱 높다고 할 수 있다.
      ...
      2010년 1월에는 안드로이드 마켓에서 뱅킹 애플리케이션을 가장해,
      사용자 정보를 받아가는 악의적인 애플리케이션이 문제가 됐고,
      ...
      2010년 4월에는 국내에서 윈도 모바일 계열의 스마트폰에 설치된 애플리케이션이,
      국제 전화를 몰래 거는 시도하는 경우도 발생했다.
      ...
      사용자들이 스마트폰을 이용하는 경우 몇 가지 사항들을 조심하면 더 편안하고 안전하게 이용할 수 있다.
      첫째, 스마트폰을 사용할 경우 많은 사람들이 사용한 후에 좋은 평가를 내린 애플리케이션을 이용해야 한다.
      둘째, 스마트폰용 백신 소프트웨어 등을 설치해 악의적인 목적으로 행동하는 애플리케이션을 차단해야 한다.
      셋째, 애플리케이션을 확인해 주소록, 네트워크 이용, SD 카드 접근 등,
      행위 기반의 확인(Behavior Detection)에 신경 써야 한다.
      ...
      스마트폰에 대한 악성 코드 대응은 방송통신위원회에 합동 대응반이 가동돼,
      지난 4월 국제전화 발신을 시도하는 악의적인 애플리케이션에 대해 대응한 바 있으며,
      안철수연구소는 3월 말부터 스마트폰 애플리케이션의 악성 코드를 진단하기 위해,
      기존 ‘시그니처 기반’의 방식과 ‘행위 기반’의 방식을 혼합한 형태로,
      스마트폰 백신을 스마트폰 단말 제조사에 공급하고 있으니,
      제조사의 애플리케이션 홈페이지를 잘 살펴볼 필요도 있겠다.
      ...
      스마트폰의 위험 요소 및 대처법
      스마트폰의 위험 요소
      ...
      1 분실 시 정보 유출
      디바이스 정보: 통신망에서 해당 단말기를 식별하기 위한 코드(IMEI)
      개인 정보: 주소록, 문자 메시지 내용, 통화 기록, 촬영한 사진과 동영상
      ...
      2 위치 정보 유출
      GPS, G-센서를 이용해 사용자의 위치 파악. 집이 비어 있는 것을 확인하고 절도 시도
      ...
      3 SNS(소셜 네트워크 서비스) 이용 시 정보 유출
      사용 미숙으로 불특정 다수에 개인 정보 공개
      : 페이스북의 경우 150만 명의 개인 정보가 1인당 2.5센트에 거래되고, 매일 400만 명이 사기를 당함
      스팸・악성 코드를 포함한 메시지 증가로 사기・피싱 증가
      ...
      4 악성 코드의 증가
      검증되지 않은 애플리케이션을 통해 주소록, 통화 기록, 문자 메시지 내용 유출
      금융계좌 유출. 애플리케이션을 통해, 국제 전화를 걸어, 불법 과금 시도 적발됨
      ...)

    • mstoned7 2010.07.14 13:35 신고  댓글주소  수정/삭제

      기사는 가급적 링크로 대체해 주세요 ^^

    • 하나뿐인지구 2010.07.15 13:51  댓글주소  수정/삭제

      헉...전 비밀번호 랜덤이라...
      ...
      그나저나...보안도 문제지만...온난화도 문제인 것 같아요...
      ...
      지구온난화
      http:__ko.wikipedia.org_wiki_지구_온난화
      ...
      中企 생존 위기, 원자재가 폭등
      http:__www.cbs.co.kr_nocut_show.asp?idx=1441515
      ...
      바다에 철분 뿌려 지구온난화 해결
      http:__news.naver.com_main_read.nhn?oid=001&aid=0002471742
      ...
      지구온난화에 원전도 맥못춘다
      http:__www.hani.co.kr_arti_international_international_general/210813.html
      ...
      中 발전한만큼 기후 대책을”, 訪中 메르켈, 원자바오에 촉구
      http:__news.khan.co.kr_kh_news_khan_art_view.html?artid=200708271836071&code=970100
      ...
      ps>중국, 더욱 싫어진다는...
      한미 훈련 서해에서 동해로 바꿨다네요...쩝...
      서해는 중국+북한만의 바다인가?...
      동해는 일본이 가져가고...
      ...
      mbc는 땅만 파겠다 하고...


그동안 오픈웹 활동을 관심있게 보고있었습니다.
많은 사람들이 오픈웹이 적을 만드는 방식과 잘못된 사실 주장을 문제삼고 있습니다.


제가 오픈웹을 처음 알게된게 2009년 안랩을 시작으로 보안업체를 비난하면서 이슈를 만들었을 때 입니다.
어떻게보면 비정상적인 국내 웹환경을 함께 해결 할 수 있는 파트너라고 할 수 있는데 보안업체를 적으로 만들어뒀죠.


요즘은 보안업체에서 금강원으로 목표를 바꾼걸로 보이네요.



저야 암호나 인증서쪽은 잘모르고 악성코드만 관계된 사람이니 그동안 오픈웹과 그 반대 글만 계속 보고 있었습니다.
- 아는게 있어야지 댓글이나 글을 쓰겠죠.

그런데... 이번에는 악성코드쪽까지 물고 늘어지는군요.
- 사실 예전에도 그랬습니다.

오픈웹에 '한국, 전세계 악성코드 진원지 1위 등극'이라는 글이 올라왔습니다.
- http://openweb.or.kr/?p=2915

예전부터 김 교수님은 그동안 국내 악성코드 문제가 액티브 X 컨트롤 때문이라는 주장을 하셨습니다.

- DDoS 대란 사용자 탓 뿐인가
http://www.etnews.co.kr/news/detail.html?id=200908060228

그 기사보고 저는 '액티브 X 컨트롤과 악성코드 배포 관련' 글을 썼네요.

하지만, 다른 글에도 썼지만 현재 악성코드 배포와 액티브 X 컨트롤은 직접적인 관계가 없습니다.
- 5년 전이라면 어느 정도 타당한 주장입니다. 하지만, 그것도 흔히 스파이웨어로 불리는 애드웨어입니다.

7.7 DDoS 공격 때 사용된 악성코드 배포 방식이 액티브 X 컨트롤이었나요 ?
액티브 X 컨트롤로 퍼진게 아니라 웹하드 프로그램 업데이트 파일에 악성코드가 포함되어 있었습니다.

해당 업체 프로그램이  액티브 X 컨트롤로 설치됩니다만 일반 설치 프로그램으로 설치했어도 사용자는 감염되었습니다.

물론 Channy님 말씀처럼 무분별한 액티브 X 컨트롤이 사용자들이 웹서핑 중에 주의하지 않고 클릭하게 한 요인이 될 수는 있습니다. 그런 우려로 김 교수님께서 말씀하신거라면 어느 정도 이해됩니다. 하지만, 언론 인터뷰와 기사를 보면 국내 악성코드 감염 원인이 액티브 X 컨트롤이라고 주장하는 것처럼 보입니다.

실제로 국내 악성코드 감염이 많은 이유를 '이게 다 액티브 X 컨트롤 때문이다'라는 댓글이 달리는데 오픈웹이 한몫했다고 생각합니다.

백번 양보해서 무분별한 액티브 X 컨트롤 사용으로 사용자가 무조건 [예]를 누르게 되었다고해도 요즘 악성코드는 액티브 X 컨트롤를 이용해 퍼지는 경우 거의 없습니다. 한마디로 잘못 짚었고 알고도 그랬다면 어떻게든 액티브 X 컨트롤을 악으로 만들려는 의도라고 생각할 수 밖에 없습니다

* 보안에 무심한 사용자들

보안에 무심(혹은 무지)한 사용자에 대한 얘기는 전혀 근거 없는게 아닙니다.
- 물론 보안제품도 지금보다 더 성능이 향상되어야 합니다.

국내 백신업체에서는 7.7 DDoS 공격이 발생하기 전에 백신 업데이트가 이뤄졌습니다.
(참고로 해외 백신들은 당시 대응하지 못한 경우가 더 많았습니다.)
그런데, 공격은 크게 줄어들지 않았습니다. 이게 무엇을 의미할까요 ?

사용자들이 백신 프로그램을 사용하지 않았거나 해당 악성코드를 진단하지 못하는 제품을 사용했거나 악성코드 감염을 알고도 치료하지 않았다는 겁니다.
- 제 생각에는 백신 프로그램 자체를 설치 안했다고 보입니다.

그 당시 KT 같은 ISP 업체는 감염 시스템을 찾아 전화로 연락하거나 직접 제거까지 해줬습니다.


문제를 해결할 수 있는 보안 제품이 나와도 사용자가 사용안하는데 백신업체가 어떻게 할까요 ?
그때 계속 방송 나오면서 국민들에게 자기 컴퓨터 검사하라고 호소했습니다.
악성코드가 공중파타는건 대단한 일이죠. 그래도 안됩니다.

어떻게 할까요 ?
보안 업체 직원이 전국 컴퓨터에 찾아가서 일일히 백신 프로그램을 설치할까요 ?

정부도 이런 점을 고민할 겁니다.
보안의 중요성은 커지는데 사용자들이 보안에 대해 모르거나 알아도 귀찮다고 안 지킵니다.
그리고, 보안사고가 발생하면 무조건 해당 업체가 책임지라고 합니다.
- 이런 부분은 언론에도 책임이 있습니다. 사용자 부주의보다는 업체에 대책을 세우라고만 하니...

사용자가 보안에 관심 안가지고 실천하지 않으면 지금처럼 금융서비스 받을 때 보안 프로그램 강제로 설치 같은 황당한(!) 상황이 발생합니다.

이런 문제는 사용자 + 보안 업체 + 정부 + 언론이 함께 풀어가야할 문제입니다.

사설 경비 업체 서비스를 받는다고 해서 문을 안 잠그는 사람은 없겠죠.
하지만, 지금 많은 사용자들이 보안 프로그램이라는 사실 경비 업체 서비스를 받으면서 문 안잠그고 다니고 있습니다.

이게 정말 다 액티브 X 컨트롤 탓일까요?


* 오픈웹에 바라는 점

앞으로 오픈웹쪽에서는 국내 악성코드 감염 원인을 액티브 X 컨트롤와 직접적으로 연관시키지는 말아주셨으면 합니다.

기회되면 그런 내용 한번 해외 백신 커뮤니티에서 발표해보시면 어떤 반응 나올지 아찔합니다.

액티브 X 컨트롤을 절대악으로
보안업체를 적으로
금융기관을 적으로
정부를 적으로 만든다고 문제가 쉽게 해결되지는 않습니다.

아직 국내 보안업체가 부족한것도 사실입니다.
이부분은 국내 보안업체가 꾸준히 노력해야하는 부분입니다.
하지만, 사용자들의 보안 의식이 없으면 어떤 훌륭한 보안제품이 설치되어 있어도 문제는 발생합니다. 

사용자들의 보안 의식을 높이는 운동도 함께 해주셨으면 합니다.

오픈웹의 취지는 공감하지만 방식은 너무 안타깝습니다.


Posted by mstoned7

댓글을 달아 주세요

  1. 벌새 2010.04.03 12:10 신고  댓글주소  수정/삭제  댓글쓰기

    제가 봐서는 웹하드 프로그램을 보안 제품이 진단하면 일종의 오진으로 보았을 수도 있을 것 같습니다.

    과거부터 불법 파일이나 일부 프로그램을 보안 제품에서 진단하는 것으로 인해 아예 진단을 무시하는 경향(자신이 사용하는 프로그램의 경우)이 있는 것도 같습니다.

    크랙 또는 핵 프로그램을 위해서는 보안 제품을 끄고 사용하거나 그런 것이 아닐까도 싶습니다.

    • mstoned7 2010.04.03 13:05 신고  댓글주소  수정/삭제

      그런건.. 백신 프로그램이 오진이 많아서 그럴 수도 있고.. 악성코드 감염되었을 때 반응이 극단적으로 나뉘기도 합니다. 너무 겁나서 호들갑떨거나 무시하거나.... TT 백신에서 계속 감염되었다고 화면에 떠도 지금 당장 별문제 없으니 작업하는 사람들보면 아찔 합니다. 자신의 컴퓨터가 다른 시스템 공격할 수도 있는데 말이죠. 그러면서 왜 사이트 접속이 안되냐며 욕할수도 있겠죠.

  2. mstoned7 2010.04.06 12:26 신고  댓글주소  수정/삭제  댓글쓰기

    컴퓨터를 문서 작업이나 인터넷 서핑 정도만 사용하는 사람들에게는 사용자 권한이 가능한데 관리자 권한을 필요로하는 액티브 X 컨트롤 때문에 어렵다는 얘기가 있어 유행하는 악성코드 샘플 테스트를 해볼까 했습니다. (http://blog.creation.net/444)

    제가 샘플 테스트할 필요는 없겠네요.

    관리자 권한을 사용하지 않는다면 상당수 취약점을 막을 수 있다는 분석 결과입니다.(악성코드가 아니라 취약점 공격입니다만... 악성코드 배포 경로 중 상당수가 취약점 공격이니...)

    - Eliminate two thirds of comp security risk!
    http://sunbeltblog.blogspot.com/2010/04/eliminate-two-thirds-of-comp-security.html

    http://www.beyondtrust.com/downloads/whitepapers/documents/wp039_BeyondTrust_2009_Microsoft_Vulnerability_Analysis.pdf

    물론 그외 악성코드 감염 경로는 다양합니다만 관리자 권한만 피해도 절반 이상의 악성코드를 예방할 수 있습니다. (악성코드 자체도 관리자 권한이라고 생각하고 동작하는 녀석들이 많으니 더더욱 안전!)

    악성코드 예방을 위해서는 최신 윈도우 업데이트 적용하고 유저 권한에서 사용하라고 권해야하는데 '관리자 권한이 필요한 프로그램' (관리자 권한이 필요한 액티브 X 컨트롤 포함) 때문에 쉽지 않을 겁니다.

    한편으로 다르게 생각되는건 많은 사용자들이 관리자 권한으로 시스템을 사용하기 때문에 프로그램들이 너무 쉽게 관리자 권한을 요구하는게 아닐까 싶네요. (이건 완전 닭이 먼져냐 알이 먼저냐 같은...)

    덮어놓고 국내 악성코드 피해가 높은 원인이 액티브 X 컨트롤 때문이다라고 하는 것보다 아래와 같이 얘기하는게 어떨까 싶네요.

    "보안을 위해 사용자 권한으로 시스템을 사용하고 싶어도 관리자 권한을 요구하는 프로그램이 많아 관리자로 사용되는게 현실이다. 관리자 권한을 요구하는 프로그램 중 액티브 X 컨트롤도 있다. 따라서 과도하게 관리자 권한을 요구하는 프로그램과 액티브 X 컨트롤은 줄어들어야 한다."로 얘기되는게 좋을 듯 합니다.

    하지만, 이것도 윈도우 업데이트 꼬박꼬박하고 보안에 대해 아는 사용자나 생각할 듯 합니다. (보안에도 부익부 빈익빈이 ?!)

  3. 철이 2010.04.08 01:24  댓글주소  수정/삭제  댓글쓰기

    오픈웹이 엑티브x를 주범으로 몰고갈때 약간 의아한 부분이 있었는데 정확히 짚어주셨다고 생각합니다. 말씀대로 오픈웹 자신이외에 모두 적으로 만들면서 저런 주장을 하는것에 대해 심히 우려됩니다. ;;

    • mstoned7 2010.04.08 06:55 신고  댓글주소  수정/삭제

      사람들이 방식에 반감을 가지기는 하지만 전체적으로는 옳은 방향이라고 할 수 있으니까. 좋게좋게 지원해야겠죠 ㅎㅎ 저는 보안 플러그 인등도 좋은데 최소한 사용자가 선택할 수 있게 해줬으면 하는 바램이 있습니다.