Introduction

연구활동

센터소식

연구활동 센터소식
[보도자료] 더욱 강력해진 APT 악성코드가 왔다 (…
더욱 강력해진 APT 악성코드가 왔다 전자신문  |  발행일: 2012.08.21  |  장윤정 기자 linda@etnews.com  |  원문보기지난주에 다수 발견됐던 지능형지속위험(APT) 악성코드가 더욱 강력해진 성능으로 재발견됐다. 빛스캔, KAIST 사이버보안연구센터, 정보보호대학원이 공동으로 발표한 `8월 3주차 국내 악성코드 동향` 보고서에 따르면 지난 주 발견됐던 APT로 의심되는 악성코드들이 추가 악성코드를 다운로드하기 위한 `다운로더` 형태로 계속 발견되고 있다.<빛스캔 8월 3주차 5대 감염취약점 리스트>악성코드 중에서는 ARP 스푸핑(poisoning) 공격과 동일 네트워크 대역에 대한 적극적인 정보 수집 활동이 늘어난 형태가 주를 이룬다. 이 악성코드는 웹페이지에 대한 변경을 통해 정보를 빼가고 조작하는 기능까지 가지고 있다. 빛스캔 측은 “원격에서 사용자의 원격화면 정보, 내부 파일 ,캠 실행 등을 직접 제어할 수 있는 Ghost RAT(Remote Administration Tool) 유형의 악성코드 유포가 대량으로 감지됐다”며 “향후 정보 유출이나 내부망 침입 및 ARP 스푸핑 증가로 인한 현상들이 나타날 것”이라고 전망했다. 8월 3주차 주간 공격동향으로는 신규 악성링크 48건, 악성링크 도메인 34건, 신규 악성코드 28건으로 집계됐다. 신규 악성링크를 통해 수집된 악성코드들은 다운로더 10건, 게임계정 탈취 9건, 루트킷 3건, 분류미상 3건으로 나타났다. 특히 파일변조와 다운로더 역할을 모두 수행하는 악성코드도 2건이 출현했다. 주요 감염 취약점으로는 CVE-2012-1889(44건, 26.2%), CVE-2012-1723(35건, 20.8%), CVE-2011-3544(33건, 19.6%), CVE-2012-0507(30건, 17.9%), CVE-2011-1255(21건, 12.5%) 순으로 각각 집계됐다. 또 금주의 시간별 통계를 살펴보면 금요일 저녁과 일요일 오후에 집중적으로 유포가 있었던 사실을 확인할 수 있다. 특히 금요일 저녁 시간대(18시~22시)에 걸쳐 악성링크가 집중적으로 유포되고 있었다. 추가적으로 광복절 이전 501징검다리 연휴를 이용한 악성링크 삽입을 통한 공격이 이뤄진 것을 확인할 수 있다. 국가별 악성링크 도메인 통계로는, 미국이 22건으로 전체 도메인의 45.8%를 차지하고 있으며, 한국 11건(22.9%), 중국 10건(20.8%)으로 집계됐다. 그 외에도 스웨덴 국적 도메인이 처음 4건(8.3%)이 출현했으며, 홍콩도 1건(2.1%)이 발견됐다. ※ 출처: http://www.etnews.com/201208210303

Read more

[보도자료] 자바 애플릿•플래시 취약점 지…
자바 애플릿•플래시 취약점 지닌 당신의 PC 노린다! 보안뉴스  |  발행일: 2012.08.03  |  권준 기자 editor@boannews.com  |  원문보기MalwareNet의 활성화와 함께 자바 취약성 공격 급증세   빛스캔-KAIST 사이버보안연구센터 7월 4주차 보안위협 보고서 결과   [보안뉴스 권 준] 최근 자바 애플릿(Java Applet) 관련 취약점을 이용한 악성코드 유포와 함께 플래시 취약점(CVE-2012-0754)이 가파르게 증가하고 있는 것으로 나타났다. 이는 빛스캔과 KAIST 사이버보안연구센터에서 공동 운영하는 보안정보 제공 서비스의 7월 4주차 국내 인터넷 환경의 위협분석 보고서에 따른 것으로, 7월 4주차 감염 취약점 통계를 살펴보면, 전체 취약점 비율 62%가 Java Applet 관련 취약점인 것으로 집계됐다. 이와 관련 빛스캔 측은 “Java Applet 관련 취약점은 힙 스프레이(Heap Spray)와 같은 부가적인 공격기법을 필요로 하지 않고 단순히 Java JRE 버전에 의존적이므로 공격 측면에서 손쉽게 악성코드를 유포시킬 수 있다는 장점이 있다”며, “이를 공격자들이 악성코드 유포에 적극 활용하고 있다”고 밝혔다. 취약점별 감염비율 [자료 : 빛스캔-KAIST 사이버보안연구센터]위 그림에서 보듯 7월 4주차에는 Java Applet, 플래시 관련 취약성 비율이 매우 많이 증가하고 있으며, 다양한 악성링크 유형에 대부분 포함되어 있어 감염비율이 매우 높다는 게 빛스캔 측의 설명이다. 이에 사용자들은 주기적인 보안 업데이트를 통해 항상 최신 버전의 Java JRE 및 플래시를 사용하고, 적극적인 패치 노력을 기울여야 한다는 것. 7월 4주차 보안위협 동향에 있어 또 하나의 주목할 만한 특징은 바로 MS XML 취약점(CVE-2012-1889) 관련 공격이 7월 3주차부터 다시 증가하고 있는 추세로 7월 4주차의 악성링크에 모두 포함되어 있다는 점이다. 패치를 발표했음에도 불구하고 관련 공격이 증가 추세에 있다는 것은 그만큼 사용자들이 패치를 하지 않는다는 반증이기도 하다. 이에 빛스캔 측은 자동 업데이트 서비스를 활성화 해놓거나 http://technet.microsoft.com/ko-kr/security/bulletin/MS12-043를 통해 반드시 패치를 할 것을 당부했다.  빛스캔과 KAIST 사이버보안연구센터에서 발표한 7월 4주차 공격의 특징은 다음과 같다.- MalwareNet의 활성화(5~20개 규모의 신규 Malwarenet 출현) - MalwareNet인 한 전자 카탈로그 솔루션 전문업체 사이트가 또 다시 악성코드 중계지로 악용 - P2P 및 언론 매체를 통한 악성코드 유포뿐만 아니라, 호스팅 업체, 거래 사이트, 온라인 쇼핑몰, ebook 등 다양한 사이트들을 활용한 악성코드 유포 - 최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 계속 - 다운로더 및 백도어 형태의 악성코드 유포 증가 - 게임 계정 이외에 문화상품권 및 게임머니 거래 사이트에 대한 계정탈취형 악성코드 계속 발견 - 대부분의 게임 계정 탈취 및 백신 서비스 킬링(killing)은 계속 됐으며, 계정 탈취는 BHO(Browser Helper Object)를 이용한 유형이 가장 많이 발견 또 한 가지 최근에 언론지상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5, 6월 당시 상당수의 악성코드가 유포 되었을 것으로 추정되고 있으며, 이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있다고 빛스캔 측은 밝혔다.  이와 함께 이번 주 공격에 사용되었던 MalwareNet의 악성링크는 한 전자 카탈로그 솔루션 전문업체 사이트로, 20여 곳에서 동시에 악성코드 유포에 활용된 것으로 드러났다. 지난 주에도 악성링크로 악용됐지만 제대로 대처가 되지 않아 금주에도 다시 악용됐다는 것. 또 다른  MalwareNet 가운데는 한 보험사이트가 포함된 것으로 나타났다.  현재의 공격동향과 관련해 빛스캔 측은 “지금의 상황은 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있어 웹 서핑이나 웹 서비스에 방문만 해도 감염이 되는 공격코드들이 창궐하고 있다”며, “더욱이 공격자들은 백신 탐지 회피를 위해 비정기적이고 수시로 악성링크와 최종 악성코드를 바꾸고 있다”고 우려했다. 특히, 보고서에 기술된 공격들이 이메일 등을 통한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 및 감염, 즉 모든 방문자를 대상으로 방문만 해도 감염이 되는 Drive by Download 공격이기 때문에 각별한 주의가 필요하다는 게 빛스캔 측의 설명이다.  이렇듯 한주간의 보안위협 동향과 기술 분석 내용이 담긴 온라인 보안위협 보고서는 빛스캔의 PCDS(Pre Crime Detect System)의 탐지역량과 KAIST 정보보호대학원, 사이버보안센터의 분석 역량이 결집된 분석 보고서로, 정식 구독 서비스 가입 및 시범 서비스 신청은 이메일(info@bitscan.co.kr)을 통해 가능하다. ※ 출처: http://www.boannews.com/media/view.asp?idx=32386&kind=1

Read more

[보도자료] 빛스캔•카이스트, MS XML 취약…
빛스캔•카이스트, MS XML 취약점 관련 보고서 발간보안뉴스  |  발행일: 2012.07.19  |  호애진 기자 boan5@boannews.com  |  원문보기대규모 웹 공격에 대한 초기 단계 악성코드 다운로드 등 분석 [보안뉴스 호애진] 마이크로소프트(MS)의 XML 코어 서비스 취약점(CVE-2012-1889)은 지난 11일 패치가 됐지만, 이를 악용한 많은 공격으로 국내외 심각한 피해를 초래했다.  이는 마이크로소프트 XML 코어 서비스 3.0, 4.0, 5.0, 6.0에서 초기화 되지 않은 메모리 부분을 이용함으로써 공격자의 악의적인 코드가 실행될 수 있는 취약점으로, 특히 국내에서 이를 악용한 공격으로 다수의 피해 사례가 발생했다. 이에 빛스캔과 카이스트 사이버보안연구센터(CSRC) 및 정보보호대학원이 해당 취약점과 관련, 공동으로 연구해 분석한 자료를 토대로 보고서를 발간했다. 이 보고서는 국내에서 대규모로 이뤄졌던 웹 공격에 대한 초기 단계부터 악성코드 다운로드 및 악성코드의 분석까지 포함된 전문적인 기술 자료로, 카이스트 사이버보안연구센터 홈페이지에서 다운로드 받을 수 있다.   ※ 출처: http://www.boannews.com/media/view.asp?idx=32186

Read more

[보도자료] 제로데이 공격의 대공습 시작됐다…MS…
제로데이 공격의 대공습 시작됐다…MS 대응은?전자신문  |  발행일: 2012.07.08  |  장윤정 기자 linda@etnews.com  |  원문보기 <마이크로소프트 멀웨어 프로텍션 센터의 조사에 의하면 지난해 7월 `한국에 집중된 공격`이라는 제목의 보고서를 통해 한국이 세계 국가들보다 보안공격이 심화, 집중되어 있다고 밝힌 바 있다.>`마이크로소프트 CVE-2012-1889` 제로데이 공격이 지난 6월 말 국내 주요인터넷 사이트에서 대량 유포된 것으로 확인됐다. 지난 6월 4주차 주말에는 9개 사이트 정도에서 뿌려졌던 CVE-2012-1889 제로데이 공격이 마지막 주 110여개 사이트에서 발견, 한 주 만에 10배 이상 늘었다. 이미 CVE-2012-1889 제로데이 공격을 유포한 것으로 확인됐던 연예기획사 YG엔터테인먼트, 큐브엔터테인먼트, 샤이니(팬페이지) 등에서 해당 악성코드가 또다시 유포된 것은 물론이고 유명 언론사, 부동산 관련 사이트, 유력 기독교 인터넷방송국, 포털사이트, 유명 테마파크형 수족관 사이트 등 모든 분야 사이트에서 해당 악성코드가 발견됐다. 이 악성코드에 감염되면 해커가 사용자 PC의 모든 권한을 탈취해 좀비 PC로 만들거나 게임계정 도용은 물론이고 데이터 탈취, 녹취, 원격조종 등 해커 뜻에 따라 움직이게 된다. 감염을 막으려면 인터넷 사용을 중지하는 수밖에 뾰족한 대안이 없다. 8일 빛스캔·카이스트(KAIST) 사이버보안연구센터·카이스트 정보보호대학원 공동 분석에 따르면 사용자가 홈페이지를 방문하기만 해도 악성코드에 감염되는 이른바 마이크로소프트 제로데이 악성코드의 무차별로 유포가 더욱 심해지고 있는 것으로 나타났다. (본지 6월 29일자 1면 참조) 빛스캔·카이스트 사이버보안연구센터 측은 “CVE-2012-1889 악성코드는 백신을 비활성화시키기 때문에 백신에서 탐지할 수 없다. 홈페이지만 방문해도 저절로 감염되므로 감염을 막기 위한 대안은 MS 패치밖에 없다”고 말했다. 이처럼 마이크로소프트에서 조속히 정식 패치를 발표해줘야 하지만 MS 측은 취약점을 우선 제거할 수 있는 `픽스잇(Fix it)`만을 내놓을 뿐이다. 본지가 한국마이크로소프트에 공식 확인한 바에 따르면 “XML 코어 서비스(Core Services)에 아직 알려지지 않은 제로데이 취약점이 발견됐음을 6월 12일에 보안 권고문 형태로 이미 공개했다”며 “이를 막으려면 MS 고객지원사이트에서 픽스잇을 내려받아 설치하라”고 답했다.그러나 보안 전문가들은 근본적인 해결방법이 아니라고 말한다. 한 보안업계 전문가는 “인터넷에 익숙한 젊은 세대를 제외한 청소년, 고령층 등이 특정 MS의 페이지를 찾아서 픽스잇을 설치해 XML을 비활성화하기란 쉽지 않다”고 말했다. 무엇보다 이 공격은 유독 한국을 대상으로 한다. 마이크로소프트에서 패치를 서둘러야 하지만 피해사례가 한국에 집중되다 보니 MS가 서두르지 않는다는 분석이다.MS도 한국이 제로데이 악성코드의 최대 피해국임을 인지했다. 지난해 7월 18일 마이크로소프트는 시큐리티블로그(http://blogs.technet.com)에서 어도비 플래시 악성코드 피해가 유독 한국에 집중됐다고 밝혔다. 어도비 플래시 악성코드의 피해를 밝히고 대책을 촉구했던 MS가 자사의 제로데이 악성코드 피해에는 손을 놓고 있다는 것은 앞뒤가 맞지 않다는 지적이다.전상훈 빛스캔 이사는 “언론사, 부동산사이트, 종교사이트, 연예인홈페이지, 커뮤니티사이트 등 주말 동안 어느 한 군데라도 방문했다면 CVE-2012-1889 제로데이 악성코드에 감염, 좀비 PC가 될 수 있다”며 “공격자들은 접속자가 많은 해당 분야 1위 사이트를 골라 효과적으로 악성코드를 배포시키는 만큼 이를 막으려면 패치 보급이 시급하다”고 지적했다.또 그는 “그간은 의심스러운 사이트를 방문하지 말거나 첨부파일을 함부로 내려받지 말고 최신 백신·패치를 설치하라고 사용자들에게 주의를 줬지만 이 공식이 CVE-2012-1889 제로데이 악성코드에서는 하나도 적용되지 않는다”고 말했다. 즉 공신력 있는 사이트에서 악성코드가 배포되고 사이트만 방문해도 모르는 새 감염돼 버리며 최신 패치는 없다. 더군다나 이 악성코드는 국내 백신은 비활성화시켜 탐지되지 않도록 하기 때문에 탐지 자체가 어렵다. 피해를 막기 위해 MS의 정식 패치 배포가 시급하다. ※ 출처: http://www.etnews.com/201207060433

Read more

[보도자료] 나도 모르게 감염?...악성링크와의 전…
나도 모르게 감염?...악성링크와의 전쟁메가뉴스  |  발행일: 2012.06.20  |  김희연 기자 hee@zdnet.co.kr  |  원문보기“파일을 다운로드 받지도 않았고 평소대로 인터넷 서핑만 했는데도 악성코드에 감염됐는데 왜 그런지 모르겠네요.”​악성링크로 인한 피해 확산 추세가 무섭게 증가하고 있다. 최근 보안업계는 그야말로 '악성링크와의 전쟁' 국면이다. 클릭 한 번에도 PC가 악성코드에 감염될 수 있기 때문이다.​국내의 경우 현재 최대 250개 이상 사이트에서 악성링크가 유포되고 있는 것으로 나타났다. 단순한 악성링크 공격이 아닌 중간 경로를 이용한 공격도 대규모 관찰되고 있다.​보안 전문업체 빛스캔 조사 결과에 따르면, 악성링크 하나가 최소 10개에서 최대 100개 이상 웹서비스를 통해 동시에 유포되고 있다. 유포지로 활용되는 웹사이트는 점점 증가 추세다. 현재 다수의 악성코드 종류 하나가 악성링크 형태로 다수의 웹사이트를 통해 퍼져나가고 있다. 수 많은 악성코드 네트워크 체계가 구성된 것이다.​특히 악성링크의 공격을 가장 많이 받는 웹사이트는 언론사나 웹하드 등이다. 많은 사용자가 방문하고 파급력이 크기 때문에 공격자들의 선호도가 높다. 최근 악성링크에 주로 사용되는 악성코드는 시스템 상에 백도어 설치를 통해 게임 계정정보를 유출하는 악성코드와 금융정보 탈취를 위한 악성코드 등이다.빛스캔 조사결과에 따르면, 지난 한 주간 악성코드 유포지로 이용된 웹서비스들은 300여곳 이상이다. 그러나 실제로 악성코드 유포가 이뤄진 곳은 600개 웹사이트에 달한다. 지난 3월달 만해도 소규모로 이뤄졌던 악성링크 확산 속도가 단 2일 동안 250여개 이상 웹사이트로 증가한 바 있다. 6월 초 1주일간 악성링크 흔적이 발견된 곳도 2천300여곳이다.​웹서비스에 악성링크가 삽입되면 사용자가 클릭하는 순간 PC가 악성코드에 감염시키는 피해가 발생한다. 유포 네트워크가 기하급수적으로 늘어나 피해가 심각해지고 있지만 이에 대한 개선조치가 제대로 이뤄지고 있지 않은 상황이다.​전상훈 KAIST 사이버보안연구센터 연구팀장은 악성링크가 삽입된 웹서비스들의 대응이 많이 부족한 상태로 계속해서 공격피해가 반복되고 있다 면서 공격자는 대규모 감염을 위해 사용자가 사이트를 방문하면 감염피해를 확산시킬 수 있는 사이트들을 대규모로 확장해 거대 네트워크를 운영하고 있다 고 말했다.​공격자가 삽입해 둔 악성링크가 삭제되지 않은 웹사이트들을 대상으로 새로운 악성 링크로 전환되는 현상도 관찰되고 있다. 이는 모두 공격자가 활용할 수 있는 상태로 운영되고 있다. 공격자가 자유자재로 패턴을 변화 중이다.​이미 공격자는 감염된 PC의 권한을 통제하고 있는 IP대역들이 다수 확보하고 있으며 해당 IP대역들은 공격에 지속적으로 활용되고 있다. 보안 전문가들은 악성링크에 의한 피해를 막기 위해서는 해당 IP대역을 차단하고 차단 수치를 검토해 현재 상태가 얼마나 위험한지에 대해 파악해야 한다는 지적했다.​문일준 빛스캔 대표는 악성링크와 웹서비스 전체적으로 문제점 개선이 이뤄지지 않고 있어 악순환이 반복되고 있다 며 상황이 이렇다보니 공격자들은 자유롭게 악성코드 감염을 통한 좀비PC를 대규모 양산하기 위해 악성코드 유포지를 대폭 확장하는 것은 물론 직접 활용하고 있다 고 설명했다.​그는 이어 대규모 악성코드 네트워크를 자유자재로 변경해 활용하는 현상이 추가 관찰되고 있어 향후 위험성은 더욱 증가하고 있어 악성링크 유포에 활용된 IP대역을 차단해야 한다 고 덧붙였다.※ 출처: http://www.zdnet.co.kr/news/news_view.asp?artice_id=20120620141036

Read more

[보도자료] [기독출판] ‘청와대로 간 요셉’ 이…
[기독출판] ‘청와대로 간 요셉’ 이젠 카이스트에서… ‘바라봄의 기적’국민일보  |  발행일: 2012.05.22  |  이태형 선임기자 thlee@kmib.co.kr  |  원문보기 바라봄의 기적/주대준 지음/마음과 생각 이 책은 일생동안 하나님만 바라보며 살았던 믿음의 사람에 대한 기록이다. 이런 유의 책은 누구나 쓸 수 없다. 오직 하나님을 바라보았을 때에 환경을 초월한 기적의 역사가 일어난다는 사실을 절절히 경험한 사람만이 쓸 수 있는 책이다. 저자가 2008년 써서 베스트셀러가 된 ‘바라봄의 법칙’의 후속작이다. ‘바라봄의 법칙’ 출간 이후 저자 주대준 장로의 앞에는 항상 ‘청와대로 간 요셉’이라는 수식어가 붙었다. 포로 출신으로 애굽 총리가 된 요셉이 오직 하나님만 바라보면서 신앙과 공직의 삶을 산 것과 같이 그 역시 늘 하나님의 기분을 살피면서 생활했다. 대통령이 아니라 하나님을 바라본 그의 삶은 언제나 잘 풀렸다. 남들이 볼 때 기적같이 ‘잘 되는 삶’의 연속이었다. 그의 신앙은 전염이 되어서 청와대라는 이 시대의 ‘구중궁궐’ 속에서 공직자들이 하나님께 돌아오는 역사가 일어났다. 그는 1989년 청와대 전산실 창설시 프로그램 개발 팀장으로 청와대 근무를 시작, 20여 년 동안 5명의 대통령을 모시며 전산실장과 행정 본부장 등을 거쳐 경호 차장까지 지냈다. 청와대라는 특성상 한 사람이 20여 년간 주요 자리에서 지내기는 결코 쉬운 일이 아니다. 공직자로서 명예로운 삶을 살았던 저자는 1991년부터 청와대 기독신우회 창립이후 2008년 정년퇴직 때까지 신우회장을 맡았다. 퇴직 이후에는 자력으로 카이스트 교수로 들어가 7개월 만에 부총장직을 맡고 있다. ‘청와대로 간 요셉’이 지금은 세계적 연구중심 대학교인 카이스트에서 새로운 역사를 만들고 있는 것이다.지리산 자락 경남 산청 출신인 저자는 초등학교때 부모를 여의고 고향의 단성 고아원에서 중학교 졸업 때까지 살았다. 대구로 올라와선 우산 공장에서 허드렛일과 소방서 사환을 하는 등 고학으로 야간 고등학교를 졸업했다. 도저히 잘 될 수 없는 환경이었다. 그런 그가 지금의 ‘주대준’이 된 것은 하나님의 섭리 아니고는 설명이 불가능하다고 책에 밝히고 있다. 졸지에 고아가 된 그는 초등학교시절에 거제도 지세포리 교회에서 ‘주 예수’라는 간판을 보고 요셉의 꿈을 품게 되었다. 그것이 기적의 시작이었다. 이후 그는 ‘주 예수 그리스도’만을 바라보는 삶을 살았다. 히브리서 12장 2절의 “믿음의 주요 또 온전하게 하시는 이인 예수를 바라보자”는 그의 일생의 구절이었다. 인생길 가면서 참으로 주 예수 그리스도와 동행하는 것이 삶의 원동력이며 기적의 근원이라는 사실을 절감했다. 월드비전이 후원한 고아원에서 자란 소년이 지금은 월드비전 이사가 되어 수많은 사람들을 돕고 있다는 사실은 그의 섭리적 인생을 잘 설명해 주고 있다. 주 장로는 바라봄의 기적을 이룬 원동력을 4가지로 든다. 약속의 말씀을 품은 것, 말씀 속 꿈과 능력을 바로 본 것, 어떤 도전과 환경적 어려움도 불퇴전의 믿음으로 뚫고 나간 것, 좌절할 상황 속에서도 이미 이뤄진 모습을 바라보고 입술로 선포하고 나간 것 등. 저자는 자신의 이런 삶의 원동력은 30여 년 전 여의도순복음교회 조용기 원로 목사를 만나면서 구체화 되었다고 밝히고 있다. 그는 이렇게 고백한다. “조 목사님이 공급하신 ‘바라봄의 비타민’을 30년 이상 섭취하다보니 오늘날 ‘바라봄의 전도사’인 제가 될 수 있었습니다.”하나님만 바라보며 나아가는 사람들의 믿음 이야기는 힘을 준다. 우리 또한 그 같은 ‘바라봄의 기적’을 체험하고 싶은 강한 마음이 든다. 믿음이 상대화 되고, 소망이 소유가 되어버린 이 시대에서도 하나님은 불꽃같은 눈으로 자신만 바라보는 사람을 찾고 계시다는 사실을 새삼 알려주는 책이다. ※ 출처: http://news.kmib.co.kr/article/view.asp?arcid=0006093441

Read more

[보도자료] Joo Dae-joon, Pioneer in Korean Cy…
Joo Dae-joon, Pioneer in Korean Cyber SecurityKOREA IT TIMES  |  발행일: 2012.05.21  |  Shin Ji-hye info@koreaittimes.com  |  원문보기Joo Dae-joon, Vice president of KAISTDAEJEON, KOREA – Cyber security issue is becoming a major threat to national security. Last year, Iran is alleged to have hacked into a CIA-operated multi-million dollar drone that had crossed into its airspace, causing it to crash. At least two US satellite are also said to have been hacked four times in recent years. In Estonia, which emerged as one of the most advanced e-societies in the world, a three-week wave of massive cyber-attacks caused nearly all government ministry networks as well as two major bank networks to be knocked offline.The Economist stated that after land, sea, air and space, warfare has entered the fifth domain: cyberspace. South Korea, the most technologically advanced and wired country, is no exception to the vulnerability of cyber attack. Despite the fact that over 95 percent of the country’s households have permanent access to the Internet, not many users seem to be aware of the importance of protecting information in the realm of cyber space. Every day, tens of thousands of malicious codes are spread on the Internet and over 1,000 websites are said to be hacked. Last April, Nonghyup, a large commercial bank, was halted by a cyber intrusion, leaving millions of customers unable to access their money. The distributed denial of service (DDoS) attacks that crippled South Korean government sites in July 2009 caused a loss of USD 40 million. Control tower to take a charge of national cyber security “Despite a series of the incidents in Korea, the government doesn’t seem to be aware of the gravity of cyber attacks. Knowing who was behind the attack on the Nonghyup network is important. More important, however, is that we are on high alert to the possibility of attacking national infrastructure such as hydropower, electric power, and transportation system. Expanding the roles of established organizations to protect cyber networks is insufficient. It is of paramount importance to build control towers taking a full charge of national cyber security issues,” told Joo Dae-joon, Vice president of Korea Advanced Institute of Science and Technology (KAIST). He formerly worked for the Blue House, the Korean presidential residence, as a specialist in security service, network, and information technology and cyber security areas for 20 years. “In an ever increasingly connected world, governments require a new paradigm of protecting their countries. Understanding the grave nature of cyber security issues, president Obama created the post of cyber security coordinator to oversee a new comprehensive approach to securing America’s digital infrastructure. The Korean government also needs to appoint the personnel to take full charge of national cyber security within the Blue House. It is time to raise the cyber security level at the national level,” said the vice president. Cyber Security Research Center Export cyber security technology worth USD 6 million to Japan As part of an ongoing effort to raise Korean cyber security level, Joo created the Cyber Security Research Center in KAIST, ranked 20th in information and science technology areas worldwide. Korea already has diverse organizations responsible for security issues - National Intelligence Service (NIS) and National Policy Agency for public security, Korea Internet and Security Agency (KISA) for private security, and Information Sharing and Analysis Center (ISAC) for financial security. “However, the roles of these organizations are limited to responding to the crime only after the hackers attack has taken place. The center is focused on developing technologies to prevent them from breaking into networks beforehand. For instance, Person to Person (P2P) sites are crowded with many youths on Friday afternoon when the detection activities are loose. Similar to the methods which terrorists opt to utilize bombs in crowded places, hackers spread more malicious codes in websites with high traffic, rendering the users zombie PCs. In this situation, the center is able to identify the abnormal behavior of hackers and prevent the attacks in advance by monitoring and analyzing malicious code. Last year, the center played an essential role in detecting and defending cyber attacks in advance of the G20 Seoul Summit in collaboration with NIS and National Police Agency,” he said. The Cyber Security Research Center developed the remote cyber security technology alongside Bitscan, a Korea cyber security venture company. The technology was exported to the Japanese security market which requires high technical standard. They signed a contract worth USD 6 million with Intelligent Wave, a Japanese financial solution and cyber security company. This original technology – designed to prevent the spread of malicious code and zombie PCs – is able to detect the infection path at least 48 hours faster than Google. Vice President Joo gives a lecture to students in KAIST.Fostering world-class cyber security specialists Together with the research center, Joo is focused on fostering world-class cyber security specialists by setting up the Graduate School of Information Security. His dream is to foster students to follow in the footsteps of Steve Jobs and Mark Zuckerberg in security areas. The schools train only a select few with an enrollment of less than fifty students annually, providing convergence education with both theoretical and practical knowledge. The students are able to improve their capability to respond through mock exercises for cyber attack and defense. KAIST S+ Convergence AMP is a program designed to foster government officials and CEOs to become super managers converging with Smart technology, Security and Strategy. He believes that CEOs should possess the ability to respond in this rapidly changing society with the ability to converge industries, information technology, as well as management and security. To provide the best lecturers for students, Joo invited prominent figures such as former ministers as well as chairmen and CEOs of Korean conglomerates. For students who are not able to attend classes due to business trips, real-time online lectures are provided through their smart phones at any location domestically and abroad. “To make Korea fit for a global IT powerhouse and assume global leadership roles in cyber security, I will do my best to contribute to the information security industry by fostering world-class cyber security specialists as well as developing globally competitive technologies.”※ 출처: http://www.koreaittimes.com/story/21558/joo-dae-joon-pioneer-korean-cyber-security

Read more

[보도자료] [특별기고]일본의 사이버보안이 대한…
[특별기고]일본의 사이버보안이 대한민국을 능가할 것이다-③보안뉴스  |  발행일: 2012.04.27  |  원문보기수준 평가(Measurement)는 어떻게 이루어져야 하는가? 일본의 보안시장에서 배워야...보안장비나 솔루션 아닌 서비스 위주 [보안뉴스=임채호 KAIST 정보보호대학원 교수] 만약 ISMS에 6.4 유해소프트웨어 통제 부분이 있다면 ISMS 인증체계에서는 백신을 설치하고 있는가 등의 간단한 현황을 요구합니다. 하지만 SPMS는 그렇지 않습니다. (1)백신을 설치한 사용자 PC는 전체 직원 중 몇 대나 있는가? (2)최신 백신을 사용하는 PC는 몇 대나 있는가? (3)비인가 SW를 사용하는 PC는 몇 대인가? (4)사용하는 백신은 몇 종류인가? (5)신종 악성코드에 대비한 절차가 있는가? (6)최신 악성코드에 관한 정보를 받아볼 수 있는 방안이 수립되어 있는가? (7)악성코드 대응에 대한 일반 직원 교육이 정기적으로 이루어지고 있는가? (8)악성코드를 유포하기 위한 사기기법 등을 파악하고 일반직원들에게 알려주는 체계가 있는가? 이렇듯 정량적인 결과를 볼 수 있고, 또한, 그 데이터의 실효성과 법적준수사항을 알 수 있는 Measure Table들이 존재해야 합니다. 모 연구원이 직원들의 PC를 대상으로 실험을 했다고 합니다. 내부 네트워크가 아닌 외부 네트워크에 PC를 설치하여 두고 1주일을 두었는데 악성코드가 한번도 감염되지 않았습니다. 그리고 내부 네트워크에 PC를 두고 외부 인터넷 접근을 통제하지 않은 상태에서 직원들이 마음껏 인터넷을 이용하라고 하였더니 1시간 30분 만에 악성코드에 감염되었다는 것입니다. 보안 Dash Board를 통한 SPMS 구현  기업의 대표이사 혹은 이사회는 보안에 대한 예산(자원) 투자를 통하여 보안을 관리하고자 합니다. 물론 BI(Business Impact) 수준이 될 수 있도록 장기적으로 운영해야 하고, 책임추적을 통한 미비점 파악과 개선방안이 마련되어야 합니다. 경영진, 보안담당, 보안실무자로 이어지는 3계층 관리체계에서는 모든 관련자들이 동일한 마음을 가지고 운영해야 합니다. 그중에 보안담당은 가장 중요한 업무를 하게 됩니다, ISMS 보안통제가 가지고 있는 많은  Raw Data들은 CIO 등의 인프라 부서, 개발부서, 사업부서, 인사행정, 고객관리 등 타부서와의 협조가 필수적입니다. 대표이사, 보안담당, 그리고 실무자들이 Measured Data를 심각하게 보고, 그 결과에 따른 Risk 및 Index에 대해 고민할 수밖에 없습니다. 어떤 점수에 대하여 그 보안통제를 담당하는 실무자는 불만을 가질 수 있습니다. 왜 내가 맡은 부분이 점수가 이 모양일까? 측정방법에는 문제가 없는 것일까? 모든 부분을 다 포함했을까? 가령 서버의 보안 취약성 분석을 했다고 가정하면, 예산배정 문제상 분기별로 진행해야 할 사항을 1분기에 20%, 3분기에 100%, 4분기에 50%를 했다면 전체 점수는 42.5라고 할 수 있습니다. 만약 웹 서버의 취약성 점검이라면 이론상으로 신규 웹 코드에 문제가 발생해 조직에 외부에서의 침입이 발생할 수 있는 확률이 50% 정도라는 얘기입니다.     일본의 보안시장에서 배워야 합니다 그동안 일본은 자체적인 보안산업이 없다고들 했습니다, 한국은 그동안 너무나 많은 보안 솔루션에 기반한 보안산업을 진행해 왔습니다. 일본의 네트워크 시큐리티 시장을 이해하기 위해서는 소프트웨어진흥원에서 과거 발표했던 보고서(조사분석 060-03, 일본 네트워크 시큐리티 시장의 현황 및 전망, 2006. 10, 소프트웨어진흥원) 내용을 참조하셔도 좋을 것 같습니다. 그 서론의 일부를 한번 볼까요? 신종 바이러스의 출현, 잇따르는 부정 접속, 파일공유를 통한 정보유출 등으로 피해가 늘어나면서 관공서, 교육기관, 기업의 정보보안 의식이 향상되고 있고, 시스템 규모나 업종에 관계없이 다방면에서 다양한 대책이 강구되고 있다. 네트워크나 애플리케이션 보안과 같은 기술적 보안대책뿐만 아니라 컴플라이언스(법령준수) 및 기업의 사회적 책임(CSR) 등 사회적 강제력에 의한 보안대책 등 항구적인 대책 강구가 필요불가결한 요소로 작용하고 있다. 특히, IT 관련법의 시행은 법적 인프라정비 차원에서 기업에 의무를 부과하는 내용으로 변화하고 있고, 2005년 4월에 시행된 ?개인정보보호법?은 기업의 정보보안 부문 투자유발 요인이 되어 IT 보안 시장을 확대시키고 있다. 2008년 4월 이후 시행 예정인 ‘일본판 SOX법’은 새로운 시장니즈를 촉진하는 요인으로 주목받고 있으며, 동법에 의한 내부 통제강화 의무를 실현하기 위해 SI 기업 및 컨설팅 기업에 의한 새로운 제안영업이 진행될 전망이다. 이와 같이 일본의 IT 보안 시장은 기존 보안 분야에서의 대응강화로 인해 계속 성장할 것이며, 새로운 제품과 서비스에 의해 신규 보안시장의 니즈가 증가하고 시장 확대를 견인해 향후 고성장을 계속할 것으로 예측된다. - 일본 네트워크 시큐리티 시장의 현황 및 전망 보고서 서론 발췌 여기서 결국 핵심은 ‘일본판 SOX 법안’이라고 할 수 있습니다. 모든 상장기업은 보안 회계 자료를 매년 이사회를 통하여 이사회와 일반에 공개되어야 하며, 일본 정부는 보안에 투자한 기업에 세금을 보전해주고 있습니다. 보고서 내용은 우리나라 입장에서 보면 의아해 할 수 있는 내용입니다, 보안장비나 솔루션 위주가 아닌 서비스 위주이기 때문입니다.1. 시큐리티 니즈 및 사회환경·구조 1.1 바이러스, 부정한 액세스 신고상황 1.2 개인정보보호 대책 1.3 IT 보안 투자촉진을 위한 일본정부 시책 2. 일본판 SOX법의 시큐리티 비즈니스에의 영향 2.1 일본판 SOX법의 시큐리티 대책 2.2 일본판 SOX법 관련 솔루션/제품 공급상황 2.3 유망한 시큐리티 솔루션/제품 2.4 시큐리티비즈니스 사업자의 추진사항 2.5 유저 및 시큐리티 비즈니스 사업자의 향후 방향성 3. 주요 시큐리티 서비스 3.1 시큐리티 컨설팅 서비스 3.2 시큐리티 폴리시 책정 서비스 3.3 시큐리티 검사·감사 서비스 3.4 시큐리티 교육·트레이닝 서비스 3.5 시큐리티 정보제공 서비스 3.6 어플리케이션 취약성 검사 서비스 3.7 바이러스 감시서비스 3.8 부정 액세스 감시서비스 3.9 파이어월 운용관리 서비스 3.10 전자인증 서비스 3.11 타임스탬프 서비스 3.12 온라인 백업 서비스 4. 시장 성장성에 기대되는 시큐리티 제품 4.1 통합 어플라이언스 제품 4.2 단말제어·감시 툴 4.3 검역 툴 4.4 전자메일 시큐리티 어플라이언스 4.5 데이터베이스 시큐리티 제품 4.6 포렌직 툴 5. 기타 주요 시큐리티제품 분야의 시장규모 추이 6. 주요 시장진출 사업자 일람저는 최근에 빛스캔의 웹 취약점 분석기술이 서비스로써 일본 수출 60억원 달성을 달성해 일본에게 보안을 한수 가르쳐 주는 것으로 착각했습니다. 그래서 저는 페이스북에서 일본에 가르쳐 준다고 착각한 내용의 글을 올린 바 있었습니다. 이 기술은 서비스로 수출하므로 SW나 HW 수출도 아닙니다. 왜 일본 업체는 이 서비스에 대해 대행 서비스를 하겠다고 했을까요? 계약할 때 일본 영업총괄이 다음 2가지를 이야기했습니다. 1. 일본의 웹 점검 서비스보다 50배 빠른 속도 ※일본의 가장 빠른 제품보다 50배 빠름(동일 사이트에 대해 일본 제품 8시간, 빛스캔 제품 8분) 2. SQL Injection 등을 점검할 때 DB 손상이 가능하지만 빛스캔 제품은 전혀 그런 문제가 없다는 점 문제는 점검에 드는 비용이었습니다, 일본이 지불하는 서비스 비용과 국내와의 차이는 엄청난 것이었습니다. 결국 일본 보안시장이 QA에 기반한 사업체계 및 정부의 세금혜택 등으로 인해 한국을 앞지를 것이라는 판단을 하게 된 것입니다 기업보안관리의 목표는 기업은 보안관리를 위해, 즉 보안 거버넌스(Governance)를 위해 자기평가(Self Assessment)를 통해 보안수준 관리(Risk, Index 관리)를 하게 됩니다. 중국, 북한 및 범죄자들의 공격기법은 방어력 보다 우수하고 또한 사기기법(Social Engineering)에 의하여 어떤 조직이나 기업도 보안사고를 당할 수 있습니다. 이로 인해 기업의 법적준수사항(Compliance) 실행은 기업의 지속가능한 경영에 필수적입니다. 기업은 보안리스크를 관리할 때 어려운 문제에 봉착하게 됩니다. 기업의 전반적인 보안을 위해 Raw 데이터 정보를 수집해 점수를 산출하지만, 결국 경영자에게 보고하려면 이해관계자들과 부딪혀야 하는 것입니다. 네트워크 담당자에게 그 점수를 설득하고, 잘못된 계산 가능성을 이야기하고 점수가 부당하게 경영자에게 보고 되지 않는다는 사실을 다른 부서장과 부서원들에게 설득해야 합니다. 더 이상 보안담당자들이 힘들기만 하고 인정받지 못해 기피하는 직업이 되지 않도록 기업보안관리의 목표를 재정립해야 합니다. 몇 년 후 일본에 뒤쳐지지 않으려면 더더욱 말입니다. [글_임채호 KAIST 정보보호대학원 교수(chlim@kaist.ac.kr)] ※ 출처: http://www.boannews.com/media/view.asp?idx=31059

Read more

[보도자료] [특별기고]일본의 사이버보안이 대한…
[특별기고]일본의 사이버보안이 대한민국을 능가할 것이다-②보안뉴스  |  발행일: 2012.04.26  |  원문보기SPMS(Security Performance Measurement & Enhancement System) [보안뉴스=임채호 KAIST 정보보호대학원 교수] 필자가 주장하는 SPMES는 GRC (Governance, Risk, Compliance) 등과 유사합니다, 사실 GRC는 미국 정부의 SP-55를 보안리스크 관리체계로 보고 이미 미국 정부에서 성공한 모델을 SANS(www.sans.org)가 비즈니스에 접목한 것일 뿐입니다.  기업의 대표자 및 기업 이사회가 보는 기업보안관리는 무엇일까요? 기업보안관리는 인사관리, 급여관리, 행장관리, 공정관리 등 기업의 모든 경영관리들 중의 하나로 이해되어야 합니다. 이와 함께 막강한 경영진의 지원과 참여를 통해 실질적인 구속력과 감시 및 대응체계를 가진 실무 기반의 위험관리체계가 요구되어야 합니다. 정보보안 거버넌스는 “이사회와 경영진의 책임 하에 수행되는 기업 거버넌스의 일부로 정보보안에 대한 투자 성과를 기반으로 의사결정에 대한 권한과 책임을 정의하고, 정보보안활동이 조직의 전략과 목표를 유지하고 향상시킬 수 있게 하는 조직구조, 프로세스, 기술들을 말한다”고 정의할 수 있습니다. 결국 경영자는 보안관리를 기업의 전반적인 자원관리(Resource Management)이며, 이를 예산관리(Budget Management) 차원으로 이해해야 합니다. 미국이 2012년부터 수행중인 FISMA FISMA(Federal Information Security Management Act) 법령에 의한 보안 수준과 예산집행 현황을 볼까요? 미국정부기관의 보안예산은 2009년 총 IT 예산 7,130억 달러 가운데 690억 달러를 집행했습니다, 이는 4년간 평균 9.7%의 규모라고 할 수 있습니다. 테이블은 FISMA 결과 각 연방정부의 보안점수가 2007년까지 공개되었던 내용입니다. - 법무부(DOJ)는 2006년 ‘A-’, 2007년 ‘A+’입니다, 이를 분석해 본다면 보안대상이 그리 많지 않은 BI형 보안수준이며 연방정부 전체 평균 보안예산보다 현격하게 낮은 수준인 3% 이하를 집행하고 있습니다. - 국방부(DOD)는 2006년 ‘F’, 2007년 ‘D-’입니다. 이는 보호해야할 대상이 매우 많을 뿐 아니라 아직 체계도 이루어지지 않은 Security Goal 수준입니다, 아마 보안예산은 16% 정도를 집행할 것으로 판단됩니다. 그렇다면 법무부와 국방부는 왜 이런 점수(학점)가 나왔을까요? 미국은 보안통제를 SP-53(Security Control)을 표준으로 정하고 시류에 따라 SP-53을 업데이트 중입니다, 우리나라는 150개가 넘는 통제항목을 가진  ISMS가 있고, 80여개 안팎인 PIMS(Privacy Information Management System) 등이 혼재되어 있으며, 개별 정부부처별로 별도의 통제항목을 가지고 있습니다. 국방부는 SP-53의 모든 통제항목을 모두 구현한 것을 목표(Target)로 정의하고 있으며, 법무부는 SP-53 통제의 일부만을 구현하는 목표로 삼고 있다는 점이 다릅니다. 효과성(Effectiveness), 효율성(Efficiency), 법적준수사항(Compliance) 등을 함께 고려해 보안통제가 잘 수행되고 있는지 감시합니다. 이는 프로세스, 운영절차, 데이터(로그) 등의 존재 유무와 데이터 수집 용이성, 자동화 등으로 이들을 평가(Measure)하고 이 결과를 학점으로 평준화(Normalization) 함으로서 각 보안통제 수행결과를 학점으로 만들고 기관 전체 학점으로 만들어냅니다. 이 결과 점수가 조직의 보안수준(Index)이며 보안 리스크가 되는 것입니다. 특히, SP-55 문서에서는 대단히 중요한 문장이 있습니다.  “정보보안 성능 측정을 위한 투자는 조직의 정보보안이 가져야할 최대의 가치를 끌어내는 가장 중요한 요인이 된다.” 체계와 프로세스가 기술과 솔루션에 우선하며 참여한 모든 보안담당자들의 의지와 철학이 중요한 것입니다. 지금 여러분의 보안 수준이 D(Security Goal) 일까요? C(Implementation), B(Effectiveness/Efficiency)  혹은 A(Business Impact) 수준일까요? 만약 D 혹은 C 수준이라면 꾸준한 Self Assessment를 통하여 언젠가는 A수준으로 상승해야 하지 않을까요? 경영진은 수준이 어찌되었던 실무에 의한 숫자로 수준을 보고하고 Accountability를 보고해야 좋아하지 않을까요?  만약 90점인 BI 상태이지만 신종 공격에 의하여 피해가 발생하면 아마 2-3일내 곧장 90점으로 복귀합니다. 왜냐하면 책임추적이 되고 있으므로 문제점을 곧장 수정합니다. Self Assessment의 소중한 산출물 책임추적성(Accountability) 기업경영자들은 보안관리를 위하여 올해 얼마나 많은 예산을 투입해야 하는지 보안담당자에게 문의한다면, 보안담당자는 얼마나 고민하겠습니까? 만약 미 법무부나 국방부처럼 보안목표를 세웠다면 기업은 각자 환경에 알맞은 목표(Target)를 정의하게 됩니다. 사례에서 Target(95), Current(75)이라면 그 차이값(Gap)은 20입니다. Gap은 Accountability  확인을 통하여 이루어집니다. 예를 들어 AC(Access Control) 수준이 지난해 60점, 올해 요구점수가 90점이어서 그 갭이 30점이라면 서로 모여서 워크숍을 통해 추가적인 장비, 인력충원, 프로세스의 개선이 필요하게 됨을 알게 되고 이를 근거로 자원(비용) 요청을 제안하고 투입되면 올해의 보안수준 향상을 기대할 수 있습니다, 2011년 KAIST는 모 연구원과 SPMS를 시험 구현한 적이 있었습니다. 이 결과를 분석하면서 쉽게 개선방안을 도출 할 수 있다는 것입니다. 어떤 기업의 대표가 근거 없는(Accountability가 없는) 보안예산 집행을 반기겠습니까? 2011년 모 금융기관은 향후 5년간 정보보안에 총 5천억을 투자하겠다고 언론에 밝힌 바 있습니다. 많은 예산 투자야 누가 말리겠습니까만은 기업의 현재 보안수준(Index, Risk) 을 지속적으로 관리, 감시 및 생성을 할 수 없어 Accountability가 제공되지 않는다면 항상 사고는 재발할 수 있습니다. 또한, 대표는 근거 없는 예산집행이라는 실수를 저지르게 되는 것입니다. [글_임채호 KAIST 정보보호대학원 교수(chlim@kaist.ac.kr)] ※ 출처: http://www.boannews.com/media/view.asp?idx=31049

Read more

[보도자료] [특별기고]일본의 사이버보안이 대한…
[특별기고]일본의 사이버보안이 대한민국을 능가할 것이다-ⓛ보안뉴스  |  발행일: 2012.04.25  |  원문보기대한민국 인터넷 보안은 흉내만 내고 있습니다.    [보안뉴스=임채호 KAIST 정보보호대학원 교수] 작년에 실린 중앙일보의 기사를 본적 있으십니까?  “보안이란 안전을 확인하는 행위다. 국제 표준 보안기법은 인터넷 업체들이 안전한 사이트임을 사용자에게 보증하는 것에 중점을 둔다. 보안 연결 기능을 가진 웹브라우저, 인터넷 사이트, 그리고 제3의 인증기관들이 공조함으로써 사용자들이 인터넷을 안심하고 쓸 수 있게 해준다. 표준 보안접속은 약속된 절차에 따라 진행되기 때문에 추가 소프트웨어를 다운로드할 필요가 없어 안전하며 편리할 뿐만 아니라 어떤 플랫폼, 어떤 프로그램도 모두 지원 가능하다는 장점이 있다.” “한국의 보안방식은 이와는 달리 인터넷 사이트가 자신의 안전을 사용자에게 보증하지 않는다. 은행과 쇼핑몰이 의심하는 것은 사용자들이다. 그들은 자기들만의 보안 연결 프로그램, 방화벽, 키보드 해킹 방지, 백신 등을 다운 받게 한 다음 사용자의 컴퓨터를 조사한다. 그러나 이런 소프트웨어를 다운 받는 순간에 대한 보안이 전혀 되어 있지 않다. 사용자들은 사이트가 안전한지 여부를 스스로 알아서 판단해야 한다. 이 커다란 보안 구멍을 그대로 두는 한 그 어떤 대책을 세워도 무용지물일 뿐이다. 한국의 보안방식은 사이트의 안전은 보장하지 못하면서 사용자를 감시하는 데만 과도한 집착을 보이고 있다.” - 중앙일보 기사 인용 “한국 인터넷 보안체제, 무용지물이다” [중앙일보] 입력 2011.05.16 08:57 / 수정 2011.05.16 09:26 김인성/시스템 엔지니어 http://article.joinsmsn.com/news/article/article.asp?total_id=5491271&cloc=olink|article|default이 기사는 시스템엔지니어(SE)의 기고였고, 결국 많은 인터넷 업체들이 보안 문제점으로서 고객을 위한 보안을 하지 않고 있다는 것을 증명하려고 했습니다.  이젠 신문이 보안전문가나 정보의 말을 믿지 않고 SE의 말을 전하고 있는 것입니다. 이러한 행태는 보안담당자들의 보안시각에서 비롯됩니다. 신뢰성(Trust)을 무시한 보안은 언제든 문제가 발생할 수 있다는 사실을 잊어버리고 있는 것입니다, 시스템 엔지니어는 SW 개발 방법론에서 항상 검사과정을 거치고 운영 중 발생하는 오류를 지속적으로 피드백해 수정하는 라이프 사이클 체계를 가지고 있는 것입니다. 그럼 최근 나온 개인정보 관련 일간지 기사를 한번 보겠습니다. [위기의 개인정보]① 개인정보 팔아 돈버는 사람들 박근태 기자 kunta@chosun.com http://biz.chosun.com/site/data/html_dir/2012/04/09/2012040901372.html이 기사에서 안랩이 제공한 자료에 의하면 현대캐피탈, 전자금융, NH투자증권, 리딩투자증권, SK컴즈, 넥슨 등 매우 많은 인터넷 업체들이 줄줄이 개인정보를 유출당한 사실이 있습니다. 특히, 2011년 나타난 농협 해킹 사태는 인터넷 보안사고의 최고 정점을 보여주고 있지만 향후 구체적이고 실질적인 대응책은 거의 없는 실정이라고 보아도 무방합니다. QA(Quality Assurance)가 없는 대한민국 사이버 보안 대한민국 정부는 국가 및 민간의 보안을 보장(Assure)하기 위하여 ISMS(Information Security Management System) 정보보안관리체계 인증을 장려하고, CC(Common Criteria) 평가를 통해 정보보호 제품을 국민들을 대신하여 평가 인증하고 있습니다. 그렇다면 ISMS 평가를 받고, CC인증 받은 제품을 이용하면 보안을 완벽하게 할 수 있다는 것일까요? 그러나 정부 측은 100% 보장한다는 뜻은 아니라고 합니다. 그런데 대한민국에 정말 많은 현장의 보안담당자들은 이 틀(굴레)에서 벗어나지 못하고 있습니다. 즉, 정부가 인증한 틀 말입니다.  2011년 1차로 ISMS 인증을 받았던 농협은 엄청난 피해를 입었습니다. 피해금액은 이루 말할 수 없는 규모이고, 농협과 현대캐피탈 등이 겪었던 어려움은 순식간에 CEO의 책임어린 후회와 항변의 목소리로 언론에 쏟아졌습니다(박스기사 참조). [구멍뚫린 금융보안] 정태영 현대캐피탈 사장 "보안 보고 받았지만 자세한 건 몰라… CEO인 내가 직접 챙겼어야 했다" 선정민 기자 sunny@chosun.com http://biz.chosun.com/site/data/html_dir/2011/04/16/2011041600110.html [구멍뚫린 금융보안] 최원병 농협중앙회장 "전산망 관리 IT담당자들이 다해… 나는 비상임… 책임질 일 없어요" 손진석 기자 aura@chosun.com http://biz.chosun.com/site/data/html_dir/2011/04/16/2011041600113.html그 당시 피해를 당한  금융권의 보안담당자나 실무자는 할 수 있는 방법을 몰랐으며, 정부나 전문가, 보안업체가 제공하는 최소한의 보안체계를 안심하고 있었으며, 현재도 별다를 바가 없습니다. 이러한 사태는 항상 되풀이되고 있습니다, 지금까지도 또 앞으로도 되풀이 되는 상황입니다, 보안 QA는 고객에 대한 약속입니다. ‘인터넷 보안체계 무용지물’이라는 기사의 내용도 인정하지만 제3자 인증도 결코 충분조건이 아니라면 보안 QA를 어떻게 해야 하겠습니까? 자기평가(Self Assessment)를 통한 조직(기업) 보안수준평가 미국의 SP-55(Security Performance Measurement Guideline)는 미국 정부기관의 보안능력을 향상시키고 조직의 보안 위험(Security Risk)을 관리할 수 있는 프레임워크를 제공하고 있습니다. 그림을 보면 “모든 것은 때가 있다”는 주역(周易)에서 말하는 인생의 시기를 보듯 라는 원(元)-형(亨)-리(利)-정(貞), 즉 태어나고 공부하고 능력을 발휘하고 죽는 사람의 인생단계 4단계를 이야기하는 것과 유사하게 기업의 보안수준을 이야기합니다. 단계주역 인생 단계 설명 비고 1단계 IT Security Goal원(원)IT 보안 태동 CEO의지 정책 마련 2단계 Implementation  형(형)정책 및 구현 보안체계 구현 3단계Effectiveness/ Efficiency리(리)효과성/효율성 보안관리의 실질 관리 4단계 Business Impact정(정)업무 적합 보안 CEO/이사회 인정 관리 일반적인 기업을 보아도 마찬가지일 것입니다. KOSPI 200 기업 특히, 삼성, LG, 현대자동차 등은 마지막 단계일 것입니다. 정말 우수한 기업이라면 마지막 단계가 100년 이상 갈 수 있습니다. 그럼 삼성전자, 현대자동차라면 어떨까요? 삼성전자는 핸드폰, TV, 반도체를 잘 만들고 판매하는 것이 비즈니스입니다, 현대자동차는 자동차를 잘 만드는 것이 비즈니스입니다. 보안의 최종단계인 ‘Business Impact’ 단계는 그 기업의 비즈니스에 가장 적합한 보안을 잘할 수 있다는 것입니다. ISMS가 정의한 150여개의 보안통제(Security Control)를 다 잘 해야 하지요. 하지만 BI(Business Impact) 단계가 되면 많은 보안통제 중 자신의 비즈니스에 가장 적합한 보안통제를 하므로, 울창한 숲이 아닌 엉성하지만 가장 필요한 나무들만이 있는 숲을 이루는 것입니다. SP-55가 지향하는 방향은 조직의 보안관리를 점점 발전시켜서 BI 단계까지 발전시키고 지속적인 보안관리를 할 수 있어야 한다는 뜻입니다. 하지만 현재의 ISMS 및 PIMS 인증체계는 이 인증을 받는 기업은 1단계(Security Goal)  혹은 2단계(Implementation) 수준이 된다는 사실을 모르고 있습니다, 왜냐하면 정부나 국제 표준의 보안관리는 최소한의 요구사항이기 때문입니다. [글_임채호 KAIST 정보보호대학원 교수(chlim@kaist.ac.kr)] ※ 출처: http://www.boannews.com/media/view.asp?idx=31028&kind=1

Read more

[보도자료] Issue of National Security and Cybe…
Issue of National Security and Cyber TerrorKOREA IT TIMES  |  발행일: 2012.04.23  |  Shin Ji-hye info@koreaittimes.com  |  원문보기The Information Professional Association of Korea (IPAK) held a breakfast seminar on April 18th at the JW Marriot Hotel in Seoul. Joo, Dae Joon, vice president of Korea Advanced Institute of Science and Technology (KAIST) and director of National Security and Cyber Terror in KAIST spoke on the issue of ‘National Security and Cyber Terror’.Joo, Dae Joon, vice president of Korea Advanced Institute of Science and Technology (KAIST)Professor Joo said “as Korea has higher rates of PC and the Internet usage, the country is highly vulnerable to cyber terrorism. However, not many – both public and private sectors - seem to be aware of cyber security yet. In April 2011, banking operations at Nonghyup were halted by cyber intrusion, leaving millions of customers unable to access their money for several days. It began as the outsourcing worker’s laptop was infected with malicious software and programmed to start the attack automatically. Nonghyup was not aware of the incident ever after their PCs were infected due to lack of cyber security awareness.”He continued that “cyber crime is not an issue only in Korea.” In Eastern Europe, Estonia emerged as the most advanced e-societies since its independence in 1991. As online services have become routine: e-police, e-banking, e-taxes, and e-elections, the country is now described as e-Estonia. “In 2007, following the removal of a war memorial from downtown Tallinn, the country was subjected to a mass cyber-attack. Nearly all government ministry networks and two major bank networks were knocked offline. This led to a three week period of no internet in Estonia.”Internet has moved from wired to wireless today, and is now moving toward an  Internet of things: objects are embedded with sensors and gaining the ability to communicate. By 2020, we may see 100 billion devices connected to the Internet, and it will be more difficult to detect cyber crimes. The increased use of cloud computing will also make users uncertain of where the information is stored. Against this backdrop, he emphasized that “all the IT specialists gathered here should work together to handle cyber crime.”The public is well aware of the seriousness of visible damages - physical terrorism and natural disasters. “Most Koreans remember the damages of typhoon Maemi. But not many seem to know the gravity of cyber attacks. The cost of damages from typhoon Maemi was around 3.5 trillion won (USD 3 billion). However, “Slammer” worm – an internet worm caused many home and business computers to temporarily lose their internet service of Korea in 2003 – cost nearly 7 trillion won (USD 6.1 billion).”He stressed that laws, institutions and education for cyber crime should be dealt with at the national level. “We have the National Police Agency for  physical terrorism but there is no government agency responsible for cyber security. Instead of expanding the role of the existing investigative agency, a new organization should be established to respond to the crime. Even the presidential residence should be able to see cyber issues and control them. The control tower should be created before the incident arises.” He added that promoting international cooperation is also necessary and urgent. As there is Interpol dealing with physical crime, a similar international organization for cyber crime should also be created.The Information Professional Association of Korea (IPAK) held a breakfast seminar on April 18th at the JW Marriot HotelIt is important to prepare before the crime occurs. Currently, “KAIST is working to develop technologies for website vulnerability. The university is now identifying and analyzing malware code on peer-to-peer (P2P) file sharing websites that many young people commonly use. I believe this will help reduce the cyber crime rate. KAIST expects to attract more CEOs and CSOs to be better aware of the importance of information security. It is time to take cyber security seriously to make Korea fit the title of IT powerhouse.”※ 출처: http://www.koreaittimes.com/story/21074/issue-national-security-and-cyber-terror

Read more

[보도자료] 지능형 상황관제 체계로 최신 보안위…
지능형 상황관제 체계로 최신 보안위협 대응해야보안뉴스  |  발행일: 2012.04.18  |  김태형 기자boan@boannews.com  |  원문보기고도화된 해킹 탐지 및 실시간 대응 통한 피해 확산 방지[보안뉴스 김태형] 현재의 보안관제 체계에서는 APT 공격의 특성상 탐지가 어려운 제로데이(Zero-Day) 공격이나, 사회공학적 기법을 통한 공격을 완벽하게 탐지 못하는 한계가 있기 때문에 지능형 보안관제 체계 구축으로 실시간 대응이 필요하다는 주장이 제기됐다.  최상용 카이스트 사이버보안연구센터 선임연구원은 NETSEC-KR 행사의 세션 발표를 통해  “현재의 사이버보안 관제체계는 단위 보안장비를 통해 위협을 탐지하고 로그 수집, 이벤트 수집·가공을 통해 비정상 유형 및 트래픽 이상 징후를 탐지한다. 이를 통해 위험을 분석하고 모니터링, 대응, 위험경보 발령 등의 조치로 취약점에 대응하게 된다”며 “이렇게 되면 방화벽이나 웹 방화벽의 경우 허용된 IP, Port에 대한 공격 시도는 정밀한 차단이 불가능하고 IDS의 경우 탐지의 정확도는 향상되나 장비 부하가 발생해 패킷 누수가 우려된다”고 설명했다. 또한, 그는 “ESM 기반의 경우에는 로그기반 이벤트는 수집·탐지하지만 로그가 남지 않으면 탐지가 불가능하고 RAW 데이터를 수집하지 않기 때문에 세부적 탐지도 불가능하다”며, “더욱이 수집데이터를 연관분석함으로써 종합적인 연관분석 및 실제적 로그 수집·관리는 가능하지만, 평면적 분석으로 인해 정밀한 해킹 시도 탐지에는 한계가 있어 APT, DDoS 공격 등의 최신 위협에 대한 정확한 탐지는 어렵다”고 덧붙였다. 최근 국가기반시설을 위협하는 악성코드 출현이 예상되는 가운데 일평균 6만개 이상의 신종 악성코드 출현으로 분석에 한계가 존재하는 게 사실이다. 또한, 취약한 웹 서버로 유포되는 악성코드 공격에 대한 방어체계도 미흡한 상황이다. 특히, 다양한 악성코드 및 제로데이 공격도 일반화됐고 악성코드의 유포수단도 다양화·지능화되어 특정 대상을 목표로 한 악성코드 유포와 취약한 웹 서버를 통한 대규모 유포 및 원격 통제가 가능하다.  이와 관련 최상용 선임연구원은 “아울러 디도스 공격도 점차 방어를 어렵게 하는 요인이 늘고 있다”며, “가령 내부 네트워크의 경우 사설 IP, 그리고 외부 네트워크 연결시 다수의 내부 PC가 하나의 공인 IP를 사용한다는 점과 내부 네트워크 중 일부 PC가 좀비 PC가 돼 해당 공인 IP를 차단할 경우 나머지 선의의 피해자가 발생하는 경우 등이 있다”고 말했다. 덧붙여 그는 “디도스 공격이 점차 애플리케이션 레이어 공격(HTTP)으로 변화되어 소규모로 특정 홈페이지를 공격하는 추세이기 때문에 패킷 구분이나 시그니처 기반 탐지가 불가능하다”고 강조했다.  이러한 한계를 극복할 수 있는 방안으로 최 연구원은 지능형 상황관제 체계 구축을 꼽았다. 이를 바탕으로 한 실시간 위험관리 대응을 통해 피해 확산을 방지하고 다양하고 고도화된 해킹 탐지· 대응이 가능하다는 것.  또한, 그는 “지능형 상황관제 체계 구축시 대용량 데이터 실시간 분석기술 및 위험관리 프로세스의 도입으로 위험의 정도를 지수화하면 RAW 데이터, 발생된 이벤트, 취약점 분석결과 등 방대한 데이터를 분석하여 조직의 위협과 위험을 실시간으로 인지할 수 있다”고 말했다. 아울러 해커행위 프로파일링 기술과 상태기반 탐지 기술, 그리고 탐지 시그니처 자동생성 기술 등을 이용해 해커의 공격을 차단하고 가상 서비스 등을 활용해 해커의 행위를 분석하고 탐지할 수 있다는 설명이다. 최 선임연구원은 “이러한 지능형 상황관제 체계를 구축할 경우에는 보안관제 조직에 대한 적절한 권한과 책임을 부여하고, 보안관제 및 분석인력에 대한 지속적인 교육이 병행되어야 한다”고 덧붙였다.  ※ 출처: http://www.boannews.com/media/view.asp?idx=30918&kind=1

Read more