Introduction

연구활동

센터소식

연구활동 센터소식
[보도자료] 빛스캔•카이스트, MS XML 취약…
빛스캔•카이스트, MS XML 취약점 관련 보고서 발간보안뉴스  |  발행일: 2012.07.19  |  호애진 기자 boan5@boannews.com  |  원문보기대규모 웹 공격에 대한 초기 단계 악성코드 다운로드 등 분석 [보안뉴스 호애진] 마이크로소프트(MS)의 XML 코어 서비스 취약점(CVE-2012-1889)은 지난 11일 패치가 됐지만, 이를 악용한 많은 공격으로 국내외 심각한 피해를 초래했다.  이는 마이크로소프트 XML 코어 서비스 3.0, 4.0, 5.0, 6.0에서 초기화 되지 않은 메모리 부분을 이용함으로써 공격자의 악의적인 코드가 실행될 수 있는 취약점으로, 특히 국내에서 이를 악용한 공격으로 다수의 피해 사례가 발생했다. 이에 빛스캔과 카이스트 사이버보안연구센터(CSRC) 및 정보보호대학원이 해당 취약점과 관련, 공동으로 연구해 분석한 자료를 토대로 보고서를 발간했다. 이 보고서는 국내에서 대규모로 이뤄졌던 웹 공격에 대한 초기 단계부터 악성코드 다운로드 및 악성코드의 분석까지 포함된 전문적인 기술 자료로, 카이스트 사이버보안연구센터 홈페이지에서 다운로드 받을 수 있다.   ※ 출처: http://www.boannews.com/media/view.asp?idx=32186

Read more

[보도자료] 제로데이 공격의 대공습 시작됐다…MS…
제로데이 공격의 대공습 시작됐다…MS 대응은?전자신문  |  발행일: 2012.07.08  |  장윤정 기자 linda@etnews.com  |  원문보기 <마이크로소프트 멀웨어 프로텍션 센터의 조사에 의하면 지난해 7월 `한국에 집중된 공격`이라는 제목의 보고서를 통해 한국이 세계 국가들보다 보안공격이 심화, 집중되어 있다고 밝힌 바 있다.>`마이크로소프트 CVE-2012-1889` 제로데이 공격이 지난 6월 말 국내 주요인터넷 사이트에서 대량 유포된 것으로 확인됐다. 지난 6월 4주차 주말에는 9개 사이트 정도에서 뿌려졌던 CVE-2012-1889 제로데이 공격이 마지막 주 110여개 사이트에서 발견, 한 주 만에 10배 이상 늘었다. 이미 CVE-2012-1889 제로데이 공격을 유포한 것으로 확인됐던 연예기획사 YG엔터테인먼트, 큐브엔터테인먼트, 샤이니(팬페이지) 등에서 해당 악성코드가 또다시 유포된 것은 물론이고 유명 언론사, 부동산 관련 사이트, 유력 기독교 인터넷방송국, 포털사이트, 유명 테마파크형 수족관 사이트 등 모든 분야 사이트에서 해당 악성코드가 발견됐다. 이 악성코드에 감염되면 해커가 사용자 PC의 모든 권한을 탈취해 좀비 PC로 만들거나 게임계정 도용은 물론이고 데이터 탈취, 녹취, 원격조종 등 해커 뜻에 따라 움직이게 된다. 감염을 막으려면 인터넷 사용을 중지하는 수밖에 뾰족한 대안이 없다. 8일 빛스캔·카이스트(KAIST) 사이버보안연구센터·카이스트 정보보호대학원 공동 분석에 따르면 사용자가 홈페이지를 방문하기만 해도 악성코드에 감염되는 이른바 마이크로소프트 제로데이 악성코드의 무차별로 유포가 더욱 심해지고 있는 것으로 나타났다. (본지 6월 29일자 1면 참조) 빛스캔·카이스트 사이버보안연구센터 측은 “CVE-2012-1889 악성코드는 백신을 비활성화시키기 때문에 백신에서 탐지할 수 없다. 홈페이지만 방문해도 저절로 감염되므로 감염을 막기 위한 대안은 MS 패치밖에 없다”고 말했다. 이처럼 마이크로소프트에서 조속히 정식 패치를 발표해줘야 하지만 MS 측은 취약점을 우선 제거할 수 있는 `픽스잇(Fix it)`만을 내놓을 뿐이다. 본지가 한국마이크로소프트에 공식 확인한 바에 따르면 “XML 코어 서비스(Core Services)에 아직 알려지지 않은 제로데이 취약점이 발견됐음을 6월 12일에 보안 권고문 형태로 이미 공개했다”며 “이를 막으려면 MS 고객지원사이트에서 픽스잇을 내려받아 설치하라”고 답했다.그러나 보안 전문가들은 근본적인 해결방법이 아니라고 말한다. 한 보안업계 전문가는 “인터넷에 익숙한 젊은 세대를 제외한 청소년, 고령층 등이 특정 MS의 페이지를 찾아서 픽스잇을 설치해 XML을 비활성화하기란 쉽지 않다”고 말했다. 무엇보다 이 공격은 유독 한국을 대상으로 한다. 마이크로소프트에서 패치를 서둘러야 하지만 피해사례가 한국에 집중되다 보니 MS가 서두르지 않는다는 분석이다.MS도 한국이 제로데이 악성코드의 최대 피해국임을 인지했다. 지난해 7월 18일 마이크로소프트는 시큐리티블로그(http://blogs.technet.com)에서 어도비 플래시 악성코드 피해가 유독 한국에 집중됐다고 밝혔다. 어도비 플래시 악성코드의 피해를 밝히고 대책을 촉구했던 MS가 자사의 제로데이 악성코드 피해에는 손을 놓고 있다는 것은 앞뒤가 맞지 않다는 지적이다.전상훈 빛스캔 이사는 “언론사, 부동산사이트, 종교사이트, 연예인홈페이지, 커뮤니티사이트 등 주말 동안 어느 한 군데라도 방문했다면 CVE-2012-1889 제로데이 악성코드에 감염, 좀비 PC가 될 수 있다”며 “공격자들은 접속자가 많은 해당 분야 1위 사이트를 골라 효과적으로 악성코드를 배포시키는 만큼 이를 막으려면 패치 보급이 시급하다”고 지적했다.또 그는 “그간은 의심스러운 사이트를 방문하지 말거나 첨부파일을 함부로 내려받지 말고 최신 백신·패치를 설치하라고 사용자들에게 주의를 줬지만 이 공식이 CVE-2012-1889 제로데이 악성코드에서는 하나도 적용되지 않는다”고 말했다. 즉 공신력 있는 사이트에서 악성코드가 배포되고 사이트만 방문해도 모르는 새 감염돼 버리며 최신 패치는 없다. 더군다나 이 악성코드는 국내 백신은 비활성화시켜 탐지되지 않도록 하기 때문에 탐지 자체가 어렵다. 피해를 막기 위해 MS의 정식 패치 배포가 시급하다. ※ 출처: http://www.etnews.com/201207060433

Read more

[보도자료] 나도 모르게 감염?...악성링크와의 전…
나도 모르게 감염?...악성링크와의 전쟁메가뉴스  |  발행일: 2012.06.20  |  김희연 기자 hee@zdnet.co.kr  |  원문보기“파일을 다운로드 받지도 않았고 평소대로 인터넷 서핑만 했는데도 악성코드에 감염됐는데 왜 그런지 모르겠네요.”​악성링크로 인한 피해 확산 추세가 무섭게 증가하고 있다. 최근 보안업계는 그야말로 '악성링크와의 전쟁' 국면이다. 클릭 한 번에도 PC가 악성코드에 감염될 수 있기 때문이다.​국내의 경우 현재 최대 250개 이상 사이트에서 악성링크가 유포되고 있는 것으로 나타났다. 단순한 악성링크 공격이 아닌 중간 경로를 이용한 공격도 대규모 관찰되고 있다.​보안 전문업체 빛스캔 조사 결과에 따르면, 악성링크 하나가 최소 10개에서 최대 100개 이상 웹서비스를 통해 동시에 유포되고 있다. 유포지로 활용되는 웹사이트는 점점 증가 추세다. 현재 다수의 악성코드 종류 하나가 악성링크 형태로 다수의 웹사이트를 통해 퍼져나가고 있다. 수 많은 악성코드 네트워크 체계가 구성된 것이다.​특히 악성링크의 공격을 가장 많이 받는 웹사이트는 언론사나 웹하드 등이다. 많은 사용자가 방문하고 파급력이 크기 때문에 공격자들의 선호도가 높다. 최근 악성링크에 주로 사용되는 악성코드는 시스템 상에 백도어 설치를 통해 게임 계정정보를 유출하는 악성코드와 금융정보 탈취를 위한 악성코드 등이다.빛스캔 조사결과에 따르면, 지난 한 주간 악성코드 유포지로 이용된 웹서비스들은 300여곳 이상이다. 그러나 실제로 악성코드 유포가 이뤄진 곳은 600개 웹사이트에 달한다. 지난 3월달 만해도 소규모로 이뤄졌던 악성링크 확산 속도가 단 2일 동안 250여개 이상 웹사이트로 증가한 바 있다. 6월 초 1주일간 악성링크 흔적이 발견된 곳도 2천300여곳이다.​웹서비스에 악성링크가 삽입되면 사용자가 클릭하는 순간 PC가 악성코드에 감염시키는 피해가 발생한다. 유포 네트워크가 기하급수적으로 늘어나 피해가 심각해지고 있지만 이에 대한 개선조치가 제대로 이뤄지고 있지 않은 상황이다.​전상훈 KAIST 사이버보안연구센터 연구팀장은 악성링크가 삽입된 웹서비스들의 대응이 많이 부족한 상태로 계속해서 공격피해가 반복되고 있다 면서 공격자는 대규모 감염을 위해 사용자가 사이트를 방문하면 감염피해를 확산시킬 수 있는 사이트들을 대규모로 확장해 거대 네트워크를 운영하고 있다 고 말했다.​공격자가 삽입해 둔 악성링크가 삭제되지 않은 웹사이트들을 대상으로 새로운 악성 링크로 전환되는 현상도 관찰되고 있다. 이는 모두 공격자가 활용할 수 있는 상태로 운영되고 있다. 공격자가 자유자재로 패턴을 변화 중이다.​이미 공격자는 감염된 PC의 권한을 통제하고 있는 IP대역들이 다수 확보하고 있으며 해당 IP대역들은 공격에 지속적으로 활용되고 있다. 보안 전문가들은 악성링크에 의한 피해를 막기 위해서는 해당 IP대역을 차단하고 차단 수치를 검토해 현재 상태가 얼마나 위험한지에 대해 파악해야 한다는 지적했다.​문일준 빛스캔 대표는 악성링크와 웹서비스 전체적으로 문제점 개선이 이뤄지지 않고 있어 악순환이 반복되고 있다 며 상황이 이렇다보니 공격자들은 자유롭게 악성코드 감염을 통한 좀비PC를 대규모 양산하기 위해 악성코드 유포지를 대폭 확장하는 것은 물론 직접 활용하고 있다 고 설명했다.​그는 이어 대규모 악성코드 네트워크를 자유자재로 변경해 활용하는 현상이 추가 관찰되고 있어 향후 위험성은 더욱 증가하고 있어 악성링크 유포에 활용된 IP대역을 차단해야 한다 고 덧붙였다.※ 출처: http://www.zdnet.co.kr/news/news_view.asp?artice_id=20120620141036

Read more

[보도자료] [기독출판] ‘청와대로 간 요셉’ 이…
[기독출판] ‘청와대로 간 요셉’ 이젠 카이스트에서… ‘바라봄의 기적’국민일보  |  발행일: 2012.05.22  |  이태형 선임기자 thlee@kmib.co.kr  |  원문보기 바라봄의 기적/주대준 지음/마음과 생각 이 책은 일생동안 하나님만 바라보며 살았던 믿음의 사람에 대한 기록이다. 이런 유의 책은 누구나 쓸 수 없다. 오직 하나님을 바라보았을 때에 환경을 초월한 기적의 역사가 일어난다는 사실을 절절히 경험한 사람만이 쓸 수 있는 책이다. 저자가 2008년 써서 베스트셀러가 된 ‘바라봄의 법칙’의 후속작이다. ‘바라봄의 법칙’ 출간 이후 저자 주대준 장로의 앞에는 항상 ‘청와대로 간 요셉’이라는 수식어가 붙었다. 포로 출신으로 애굽 총리가 된 요셉이 오직 하나님만 바라보면서 신앙과 공직의 삶을 산 것과 같이 그 역시 늘 하나님의 기분을 살피면서 생활했다. 대통령이 아니라 하나님을 바라본 그의 삶은 언제나 잘 풀렸다. 남들이 볼 때 기적같이 ‘잘 되는 삶’의 연속이었다. 그의 신앙은 전염이 되어서 청와대라는 이 시대의 ‘구중궁궐’ 속에서 공직자들이 하나님께 돌아오는 역사가 일어났다. 그는 1989년 청와대 전산실 창설시 프로그램 개발 팀장으로 청와대 근무를 시작, 20여 년 동안 5명의 대통령을 모시며 전산실장과 행정 본부장 등을 거쳐 경호 차장까지 지냈다. 청와대라는 특성상 한 사람이 20여 년간 주요 자리에서 지내기는 결코 쉬운 일이 아니다. 공직자로서 명예로운 삶을 살았던 저자는 1991년부터 청와대 기독신우회 창립이후 2008년 정년퇴직 때까지 신우회장을 맡았다. 퇴직 이후에는 자력으로 카이스트 교수로 들어가 7개월 만에 부총장직을 맡고 있다. ‘청와대로 간 요셉’이 지금은 세계적 연구중심 대학교인 카이스트에서 새로운 역사를 만들고 있는 것이다.지리산 자락 경남 산청 출신인 저자는 초등학교때 부모를 여의고 고향의 단성 고아원에서 중학교 졸업 때까지 살았다. 대구로 올라와선 우산 공장에서 허드렛일과 소방서 사환을 하는 등 고학으로 야간 고등학교를 졸업했다. 도저히 잘 될 수 없는 환경이었다. 그런 그가 지금의 ‘주대준’이 된 것은 하나님의 섭리 아니고는 설명이 불가능하다고 책에 밝히고 있다. 졸지에 고아가 된 그는 초등학교시절에 거제도 지세포리 교회에서 ‘주 예수’라는 간판을 보고 요셉의 꿈을 품게 되었다. 그것이 기적의 시작이었다. 이후 그는 ‘주 예수 그리스도’만을 바라보는 삶을 살았다. 히브리서 12장 2절의 “믿음의 주요 또 온전하게 하시는 이인 예수를 바라보자”는 그의 일생의 구절이었다. 인생길 가면서 참으로 주 예수 그리스도와 동행하는 것이 삶의 원동력이며 기적의 근원이라는 사실을 절감했다. 월드비전이 후원한 고아원에서 자란 소년이 지금은 월드비전 이사가 되어 수많은 사람들을 돕고 있다는 사실은 그의 섭리적 인생을 잘 설명해 주고 있다. 주 장로는 바라봄의 기적을 이룬 원동력을 4가지로 든다. 약속의 말씀을 품은 것, 말씀 속 꿈과 능력을 바로 본 것, 어떤 도전과 환경적 어려움도 불퇴전의 믿음으로 뚫고 나간 것, 좌절할 상황 속에서도 이미 이뤄진 모습을 바라보고 입술로 선포하고 나간 것 등. 저자는 자신의 이런 삶의 원동력은 30여 년 전 여의도순복음교회 조용기 원로 목사를 만나면서 구체화 되었다고 밝히고 있다. 그는 이렇게 고백한다. “조 목사님이 공급하신 ‘바라봄의 비타민’을 30년 이상 섭취하다보니 오늘날 ‘바라봄의 전도사’인 제가 될 수 있었습니다.”하나님만 바라보며 나아가는 사람들의 믿음 이야기는 힘을 준다. 우리 또한 그 같은 ‘바라봄의 기적’을 체험하고 싶은 강한 마음이 든다. 믿음이 상대화 되고, 소망이 소유가 되어버린 이 시대에서도 하나님은 불꽃같은 눈으로 자신만 바라보는 사람을 찾고 계시다는 사실을 새삼 알려주는 책이다. ※ 출처: http://news.kmib.co.kr/article/view.asp?arcid=0006093441

Read more

[보도자료] Joo Dae-joon, Pioneer in Korean Cy…
Joo Dae-joon, Pioneer in Korean Cyber SecurityKOREA IT TIMES  |  발행일: 2012.05.21  |  Shin Ji-hye info@koreaittimes.com  |  원문보기Joo Dae-joon, Vice president of KAISTDAEJEON, KOREA – Cyber security issue is becoming a major threat to national security. Last year, Iran is alleged to have hacked into a CIA-operated multi-million dollar drone that had crossed into its airspace, causing it to crash. At least two US satellite are also said to have been hacked four times in recent years. In Estonia, which emerged as one of the most advanced e-societies in the world, a three-week wave of massive cyber-attacks caused nearly all government ministry networks as well as two major bank networks to be knocked offline.The Economist stated that after land, sea, air and space, warfare has entered the fifth domain: cyberspace. South Korea, the most technologically advanced and wired country, is no exception to the vulnerability of cyber attack. Despite the fact that over 95 percent of the country’s households have permanent access to the Internet, not many users seem to be aware of the importance of protecting information in the realm of cyber space. Every day, tens of thousands of malicious codes are spread on the Internet and over 1,000 websites are said to be hacked. Last April, Nonghyup, a large commercial bank, was halted by a cyber intrusion, leaving millions of customers unable to access their money. The distributed denial of service (DDoS) attacks that crippled South Korean government sites in July 2009 caused a loss of USD 40 million. Control tower to take a charge of national cyber security “Despite a series of the incidents in Korea, the government doesn’t seem to be aware of the gravity of cyber attacks. Knowing who was behind the attack on the Nonghyup network is important. More important, however, is that we are on high alert to the possibility of attacking national infrastructure such as hydropower, electric power, and transportation system. Expanding the roles of established organizations to protect cyber networks is insufficient. It is of paramount importance to build control towers taking a full charge of national cyber security issues,” told Joo Dae-joon, Vice president of Korea Advanced Institute of Science and Technology (KAIST). He formerly worked for the Blue House, the Korean presidential residence, as a specialist in security service, network, and information technology and cyber security areas for 20 years. “In an ever increasingly connected world, governments require a new paradigm of protecting their countries. Understanding the grave nature of cyber security issues, president Obama created the post of cyber security coordinator to oversee a new comprehensive approach to securing America’s digital infrastructure. The Korean government also needs to appoint the personnel to take full charge of national cyber security within the Blue House. It is time to raise the cyber security level at the national level,” said the vice president. Cyber Security Research Center Export cyber security technology worth USD 6 million to Japan As part of an ongoing effort to raise Korean cyber security level, Joo created the Cyber Security Research Center in KAIST, ranked 20th in information and science technology areas worldwide. Korea already has diverse organizations responsible for security issues - National Intelligence Service (NIS) and National Policy Agency for public security, Korea Internet and Security Agency (KISA) for private security, and Information Sharing and Analysis Center (ISAC) for financial security. “However, the roles of these organizations are limited to responding to the crime only after the hackers attack has taken place. The center is focused on developing technologies to prevent them from breaking into networks beforehand. For instance, Person to Person (P2P) sites are crowded with many youths on Friday afternoon when the detection activities are loose. Similar to the methods which terrorists opt to utilize bombs in crowded places, hackers spread more malicious codes in websites with high traffic, rendering the users zombie PCs. In this situation, the center is able to identify the abnormal behavior of hackers and prevent the attacks in advance by monitoring and analyzing malicious code. Last year, the center played an essential role in detecting and defending cyber attacks in advance of the G20 Seoul Summit in collaboration with NIS and National Police Agency,” he said. The Cyber Security Research Center developed the remote cyber security technology alongside Bitscan, a Korea cyber security venture company. The technology was exported to the Japanese security market which requires high technical standard. They signed a contract worth USD 6 million with Intelligent Wave, a Japanese financial solution and cyber security company. This original technology – designed to prevent the spread of malicious code and zombie PCs – is able to detect the infection path at least 48 hours faster than Google. Vice President Joo gives a lecture to students in KAIST.Fostering world-class cyber security specialists Together with the research center, Joo is focused on fostering world-class cyber security specialists by setting up the Graduate School of Information Security. His dream is to foster students to follow in the footsteps of Steve Jobs and Mark Zuckerberg in security areas. The schools train only a select few with an enrollment of less than fifty students annually, providing convergence education with both theoretical and practical knowledge. The students are able to improve their capability to respond through mock exercises for cyber attack and defense. KAIST S+ Convergence AMP is a program designed to foster government officials and CEOs to become super managers converging with Smart technology, Security and Strategy. He believes that CEOs should possess the ability to respond in this rapidly changing society with the ability to converge industries, information technology, as well as management and security. To provide the best lecturers for students, Joo invited prominent figures such as former ministers as well as chairmen and CEOs of Korean conglomerates. For students who are not able to attend classes due to business trips, real-time online lectures are provided through their smart phones at any location domestically and abroad. “To make Korea fit for a global IT powerhouse and assume global leadership roles in cyber security, I will do my best to contribute to the information security industry by fostering world-class cyber security specialists as well as developing globally competitive technologies.”※ 출처: http://www.koreaittimes.com/story/21558/joo-dae-joon-pioneer-korean-cyber-security

Read more

[보도자료] [특별기고]일본의 사이버보안이 대한…
[특별기고]일본의 사이버보안이 대한민국을 능가할 것이다-③보안뉴스  |  발행일: 2012.04.27  |  원문보기수준 평가(Measurement)는 어떻게 이루어져야 하는가? 일본의 보안시장에서 배워야...보안장비나 솔루션 아닌 서비스 위주 [보안뉴스=임채호 KAIST 정보보호대학원 교수] 만약 ISMS에 6.4 유해소프트웨어 통제 부분이 있다면 ISMS 인증체계에서는 백신을 설치하고 있는가 등의 간단한 현황을 요구합니다. 하지만 SPMS는 그렇지 않습니다. (1)백신을 설치한 사용자 PC는 전체 직원 중 몇 대나 있는가? (2)최신 백신을 사용하는 PC는 몇 대나 있는가? (3)비인가 SW를 사용하는 PC는 몇 대인가? (4)사용하는 백신은 몇 종류인가? (5)신종 악성코드에 대비한 절차가 있는가? (6)최신 악성코드에 관한 정보를 받아볼 수 있는 방안이 수립되어 있는가? (7)악성코드 대응에 대한 일반 직원 교육이 정기적으로 이루어지고 있는가? (8)악성코드를 유포하기 위한 사기기법 등을 파악하고 일반직원들에게 알려주는 체계가 있는가? 이렇듯 정량적인 결과를 볼 수 있고, 또한, 그 데이터의 실효성과 법적준수사항을 알 수 있는 Measure Table들이 존재해야 합니다. 모 연구원이 직원들의 PC를 대상으로 실험을 했다고 합니다. 내부 네트워크가 아닌 외부 네트워크에 PC를 설치하여 두고 1주일을 두었는데 악성코드가 한번도 감염되지 않았습니다. 그리고 내부 네트워크에 PC를 두고 외부 인터넷 접근을 통제하지 않은 상태에서 직원들이 마음껏 인터넷을 이용하라고 하였더니 1시간 30분 만에 악성코드에 감염되었다는 것입니다. 보안 Dash Board를 통한 SPMS 구현  기업의 대표이사 혹은 이사회는 보안에 대한 예산(자원) 투자를 통하여 보안을 관리하고자 합니다. 물론 BI(Business Impact) 수준이 될 수 있도록 장기적으로 운영해야 하고, 책임추적을 통한 미비점 파악과 개선방안이 마련되어야 합니다. 경영진, 보안담당, 보안실무자로 이어지는 3계층 관리체계에서는 모든 관련자들이 동일한 마음을 가지고 운영해야 합니다. 그중에 보안담당은 가장 중요한 업무를 하게 됩니다, ISMS 보안통제가 가지고 있는 많은  Raw Data들은 CIO 등의 인프라 부서, 개발부서, 사업부서, 인사행정, 고객관리 등 타부서와의 협조가 필수적입니다. 대표이사, 보안담당, 그리고 실무자들이 Measured Data를 심각하게 보고, 그 결과에 따른 Risk 및 Index에 대해 고민할 수밖에 없습니다. 어떤 점수에 대하여 그 보안통제를 담당하는 실무자는 불만을 가질 수 있습니다. 왜 내가 맡은 부분이 점수가 이 모양일까? 측정방법에는 문제가 없는 것일까? 모든 부분을 다 포함했을까? 가령 서버의 보안 취약성 분석을 했다고 가정하면, 예산배정 문제상 분기별로 진행해야 할 사항을 1분기에 20%, 3분기에 100%, 4분기에 50%를 했다면 전체 점수는 42.5라고 할 수 있습니다. 만약 웹 서버의 취약성 점검이라면 이론상으로 신규 웹 코드에 문제가 발생해 조직에 외부에서의 침입이 발생할 수 있는 확률이 50% 정도라는 얘기입니다.     일본의 보안시장에서 배워야 합니다 그동안 일본은 자체적인 보안산업이 없다고들 했습니다, 한국은 그동안 너무나 많은 보안 솔루션에 기반한 보안산업을 진행해 왔습니다. 일본의 네트워크 시큐리티 시장을 이해하기 위해서는 소프트웨어진흥원에서 과거 발표했던 보고서(조사분석 060-03, 일본 네트워크 시큐리티 시장의 현황 및 전망, 2006. 10, 소프트웨어진흥원) 내용을 참조하셔도 좋을 것 같습니다. 그 서론의 일부를 한번 볼까요? 신종 바이러스의 출현, 잇따르는 부정 접속, 파일공유를 통한 정보유출 등으로 피해가 늘어나면서 관공서, 교육기관, 기업의 정보보안 의식이 향상되고 있고, 시스템 규모나 업종에 관계없이 다방면에서 다양한 대책이 강구되고 있다. 네트워크나 애플리케이션 보안과 같은 기술적 보안대책뿐만 아니라 컴플라이언스(법령준수) 및 기업의 사회적 책임(CSR) 등 사회적 강제력에 의한 보안대책 등 항구적인 대책 강구가 필요불가결한 요소로 작용하고 있다. 특히, IT 관련법의 시행은 법적 인프라정비 차원에서 기업에 의무를 부과하는 내용으로 변화하고 있고, 2005년 4월에 시행된 ?개인정보보호법?은 기업의 정보보안 부문 투자유발 요인이 되어 IT 보안 시장을 확대시키고 있다. 2008년 4월 이후 시행 예정인 ‘일본판 SOX법’은 새로운 시장니즈를 촉진하는 요인으로 주목받고 있으며, 동법에 의한 내부 통제강화 의무를 실현하기 위해 SI 기업 및 컨설팅 기업에 의한 새로운 제안영업이 진행될 전망이다. 이와 같이 일본의 IT 보안 시장은 기존 보안 분야에서의 대응강화로 인해 계속 성장할 것이며, 새로운 제품과 서비스에 의해 신규 보안시장의 니즈가 증가하고 시장 확대를 견인해 향후 고성장을 계속할 것으로 예측된다. - 일본 네트워크 시큐리티 시장의 현황 및 전망 보고서 서론 발췌 여기서 결국 핵심은 ‘일본판 SOX 법안’이라고 할 수 있습니다. 모든 상장기업은 보안 회계 자료를 매년 이사회를 통하여 이사회와 일반에 공개되어야 하며, 일본 정부는 보안에 투자한 기업에 세금을 보전해주고 있습니다. 보고서 내용은 우리나라 입장에서 보면 의아해 할 수 있는 내용입니다, 보안장비나 솔루션 위주가 아닌 서비스 위주이기 때문입니다.1. 시큐리티 니즈 및 사회환경·구조 1.1 바이러스, 부정한 액세스 신고상황 1.2 개인정보보호 대책 1.3 IT 보안 투자촉진을 위한 일본정부 시책 2. 일본판 SOX법의 시큐리티 비즈니스에의 영향 2.1 일본판 SOX법의 시큐리티 대책 2.2 일본판 SOX법 관련 솔루션/제품 공급상황 2.3 유망한 시큐리티 솔루션/제품 2.4 시큐리티비즈니스 사업자의 추진사항 2.5 유저 및 시큐리티 비즈니스 사업자의 향후 방향성 3. 주요 시큐리티 서비스 3.1 시큐리티 컨설팅 서비스 3.2 시큐리티 폴리시 책정 서비스 3.3 시큐리티 검사·감사 서비스 3.4 시큐리티 교육·트레이닝 서비스 3.5 시큐리티 정보제공 서비스 3.6 어플리케이션 취약성 검사 서비스 3.7 바이러스 감시서비스 3.8 부정 액세스 감시서비스 3.9 파이어월 운용관리 서비스 3.10 전자인증 서비스 3.11 타임스탬프 서비스 3.12 온라인 백업 서비스 4. 시장 성장성에 기대되는 시큐리티 제품 4.1 통합 어플라이언스 제품 4.2 단말제어·감시 툴 4.3 검역 툴 4.4 전자메일 시큐리티 어플라이언스 4.5 데이터베이스 시큐리티 제품 4.6 포렌직 툴 5. 기타 주요 시큐리티제품 분야의 시장규모 추이 6. 주요 시장진출 사업자 일람저는 최근에 빛스캔의 웹 취약점 분석기술이 서비스로써 일본 수출 60억원 달성을 달성해 일본에게 보안을 한수 가르쳐 주는 것으로 착각했습니다. 그래서 저는 페이스북에서 일본에 가르쳐 준다고 착각한 내용의 글을 올린 바 있었습니다. 이 기술은 서비스로 수출하므로 SW나 HW 수출도 아닙니다. 왜 일본 업체는 이 서비스에 대해 대행 서비스를 하겠다고 했을까요? 계약할 때 일본 영업총괄이 다음 2가지를 이야기했습니다. 1. 일본의 웹 점검 서비스보다 50배 빠른 속도 ※일본의 가장 빠른 제품보다 50배 빠름(동일 사이트에 대해 일본 제품 8시간, 빛스캔 제품 8분) 2. SQL Injection 등을 점검할 때 DB 손상이 가능하지만 빛스캔 제품은 전혀 그런 문제가 없다는 점 문제는 점검에 드는 비용이었습니다, 일본이 지불하는 서비스 비용과 국내와의 차이는 엄청난 것이었습니다. 결국 일본 보안시장이 QA에 기반한 사업체계 및 정부의 세금혜택 등으로 인해 한국을 앞지를 것이라는 판단을 하게 된 것입니다 기업보안관리의 목표는 기업은 보안관리를 위해, 즉 보안 거버넌스(Governance)를 위해 자기평가(Self Assessment)를 통해 보안수준 관리(Risk, Index 관리)를 하게 됩니다. 중국, 북한 및 범죄자들의 공격기법은 방어력 보다 우수하고 또한 사기기법(Social Engineering)에 의하여 어떤 조직이나 기업도 보안사고를 당할 수 있습니다. 이로 인해 기업의 법적준수사항(Compliance) 실행은 기업의 지속가능한 경영에 필수적입니다. 기업은 보안리스크를 관리할 때 어려운 문제에 봉착하게 됩니다. 기업의 전반적인 보안을 위해 Raw 데이터 정보를 수집해 점수를 산출하지만, 결국 경영자에게 보고하려면 이해관계자들과 부딪혀야 하는 것입니다. 네트워크 담당자에게 그 점수를 설득하고, 잘못된 계산 가능성을 이야기하고 점수가 부당하게 경영자에게 보고 되지 않는다는 사실을 다른 부서장과 부서원들에게 설득해야 합니다. 더 이상 보안담당자들이 힘들기만 하고 인정받지 못해 기피하는 직업이 되지 않도록 기업보안관리의 목표를 재정립해야 합니다. 몇 년 후 일본에 뒤쳐지지 않으려면 더더욱 말입니다. [글_임채호 KAIST 정보보호대학원 교수(chlim@kaist.ac.kr)] ※ 출처: http://www.boannews.com/media/view.asp?idx=31059

Read more

[보도자료] [특별기고]일본의 사이버보안이 대한…
[특별기고]일본의 사이버보안이 대한민국을 능가할 것이다-②보안뉴스  |  발행일: 2012.04.26  |  원문보기SPMS(Security Performance Measurement & Enhancement System) [보안뉴스=임채호 KAIST 정보보호대학원 교수] 필자가 주장하는 SPMES는 GRC (Governance, Risk, Compliance) 등과 유사합니다, 사실 GRC는 미국 정부의 SP-55를 보안리스크 관리체계로 보고 이미 미국 정부에서 성공한 모델을 SANS(www.sans.org)가 비즈니스에 접목한 것일 뿐입니다.  기업의 대표자 및 기업 이사회가 보는 기업보안관리는 무엇일까요? 기업보안관리는 인사관리, 급여관리, 행장관리, 공정관리 등 기업의 모든 경영관리들 중의 하나로 이해되어야 합니다. 이와 함께 막강한 경영진의 지원과 참여를 통해 실질적인 구속력과 감시 및 대응체계를 가진 실무 기반의 위험관리체계가 요구되어야 합니다. 정보보안 거버넌스는 “이사회와 경영진의 책임 하에 수행되는 기업 거버넌스의 일부로 정보보안에 대한 투자 성과를 기반으로 의사결정에 대한 권한과 책임을 정의하고, 정보보안활동이 조직의 전략과 목표를 유지하고 향상시킬 수 있게 하는 조직구조, 프로세스, 기술들을 말한다”고 정의할 수 있습니다. 결국 경영자는 보안관리를 기업의 전반적인 자원관리(Resource Management)이며, 이를 예산관리(Budget Management) 차원으로 이해해야 합니다. 미국이 2012년부터 수행중인 FISMA FISMA(Federal Information Security Management Act) 법령에 의한 보안 수준과 예산집행 현황을 볼까요? 미국정부기관의 보안예산은 2009년 총 IT 예산 7,130억 달러 가운데 690억 달러를 집행했습니다, 이는 4년간 평균 9.7%의 규모라고 할 수 있습니다. 테이블은 FISMA 결과 각 연방정부의 보안점수가 2007년까지 공개되었던 내용입니다. - 법무부(DOJ)는 2006년 ‘A-’, 2007년 ‘A+’입니다, 이를 분석해 본다면 보안대상이 그리 많지 않은 BI형 보안수준이며 연방정부 전체 평균 보안예산보다 현격하게 낮은 수준인 3% 이하를 집행하고 있습니다. - 국방부(DOD)는 2006년 ‘F’, 2007년 ‘D-’입니다. 이는 보호해야할 대상이 매우 많을 뿐 아니라 아직 체계도 이루어지지 않은 Security Goal 수준입니다, 아마 보안예산은 16% 정도를 집행할 것으로 판단됩니다. 그렇다면 법무부와 국방부는 왜 이런 점수(학점)가 나왔을까요? 미국은 보안통제를 SP-53(Security Control)을 표준으로 정하고 시류에 따라 SP-53을 업데이트 중입니다, 우리나라는 150개가 넘는 통제항목을 가진  ISMS가 있고, 80여개 안팎인 PIMS(Privacy Information Management System) 등이 혼재되어 있으며, 개별 정부부처별로 별도의 통제항목을 가지고 있습니다. 국방부는 SP-53의 모든 통제항목을 모두 구현한 것을 목표(Target)로 정의하고 있으며, 법무부는 SP-53 통제의 일부만을 구현하는 목표로 삼고 있다는 점이 다릅니다. 효과성(Effectiveness), 효율성(Efficiency), 법적준수사항(Compliance) 등을 함께 고려해 보안통제가 잘 수행되고 있는지 감시합니다. 이는 프로세스, 운영절차, 데이터(로그) 등의 존재 유무와 데이터 수집 용이성, 자동화 등으로 이들을 평가(Measure)하고 이 결과를 학점으로 평준화(Normalization) 함으로서 각 보안통제 수행결과를 학점으로 만들고 기관 전체 학점으로 만들어냅니다. 이 결과 점수가 조직의 보안수준(Index)이며 보안 리스크가 되는 것입니다. 특히, SP-55 문서에서는 대단히 중요한 문장이 있습니다.  “정보보안 성능 측정을 위한 투자는 조직의 정보보안이 가져야할 최대의 가치를 끌어내는 가장 중요한 요인이 된다.” 체계와 프로세스가 기술과 솔루션에 우선하며 참여한 모든 보안담당자들의 의지와 철학이 중요한 것입니다. 지금 여러분의 보안 수준이 D(Security Goal) 일까요? C(Implementation), B(Effectiveness/Efficiency)  혹은 A(Business Impact) 수준일까요? 만약 D 혹은 C 수준이라면 꾸준한 Self Assessment를 통하여 언젠가는 A수준으로 상승해야 하지 않을까요? 경영진은 수준이 어찌되었던 실무에 의한 숫자로 수준을 보고하고 Accountability를 보고해야 좋아하지 않을까요?  만약 90점인 BI 상태이지만 신종 공격에 의하여 피해가 발생하면 아마 2-3일내 곧장 90점으로 복귀합니다. 왜냐하면 책임추적이 되고 있으므로 문제점을 곧장 수정합니다. Self Assessment의 소중한 산출물 책임추적성(Accountability) 기업경영자들은 보안관리를 위하여 올해 얼마나 많은 예산을 투입해야 하는지 보안담당자에게 문의한다면, 보안담당자는 얼마나 고민하겠습니까? 만약 미 법무부나 국방부처럼 보안목표를 세웠다면 기업은 각자 환경에 알맞은 목표(Target)를 정의하게 됩니다. 사례에서 Target(95), Current(75)이라면 그 차이값(Gap)은 20입니다. Gap은 Accountability  확인을 통하여 이루어집니다. 예를 들어 AC(Access Control) 수준이 지난해 60점, 올해 요구점수가 90점이어서 그 갭이 30점이라면 서로 모여서 워크숍을 통해 추가적인 장비, 인력충원, 프로세스의 개선이 필요하게 됨을 알게 되고 이를 근거로 자원(비용) 요청을 제안하고 투입되면 올해의 보안수준 향상을 기대할 수 있습니다, 2011년 KAIST는 모 연구원과 SPMS를 시험 구현한 적이 있었습니다. 이 결과를 분석하면서 쉽게 개선방안을 도출 할 수 있다는 것입니다. 어떤 기업의 대표가 근거 없는(Accountability가 없는) 보안예산 집행을 반기겠습니까? 2011년 모 금융기관은 향후 5년간 정보보안에 총 5천억을 투자하겠다고 언론에 밝힌 바 있습니다. 많은 예산 투자야 누가 말리겠습니까만은 기업의 현재 보안수준(Index, Risk) 을 지속적으로 관리, 감시 및 생성을 할 수 없어 Accountability가 제공되지 않는다면 항상 사고는 재발할 수 있습니다. 또한, 대표는 근거 없는 예산집행이라는 실수를 저지르게 되는 것입니다. [글_임채호 KAIST 정보보호대학원 교수(chlim@kaist.ac.kr)] ※ 출처: http://www.boannews.com/media/view.asp?idx=31049

Read more

[보도자료] [특별기고]일본의 사이버보안이 대한…
[특별기고]일본의 사이버보안이 대한민국을 능가할 것이다-ⓛ보안뉴스  |  발행일: 2012.04.25  |  원문보기대한민국 인터넷 보안은 흉내만 내고 있습니다.    [보안뉴스=임채호 KAIST 정보보호대학원 교수] 작년에 실린 중앙일보의 기사를 본적 있으십니까?  “보안이란 안전을 확인하는 행위다. 국제 표준 보안기법은 인터넷 업체들이 안전한 사이트임을 사용자에게 보증하는 것에 중점을 둔다. 보안 연결 기능을 가진 웹브라우저, 인터넷 사이트, 그리고 제3의 인증기관들이 공조함으로써 사용자들이 인터넷을 안심하고 쓸 수 있게 해준다. 표준 보안접속은 약속된 절차에 따라 진행되기 때문에 추가 소프트웨어를 다운로드할 필요가 없어 안전하며 편리할 뿐만 아니라 어떤 플랫폼, 어떤 프로그램도 모두 지원 가능하다는 장점이 있다.” “한국의 보안방식은 이와는 달리 인터넷 사이트가 자신의 안전을 사용자에게 보증하지 않는다. 은행과 쇼핑몰이 의심하는 것은 사용자들이다. 그들은 자기들만의 보안 연결 프로그램, 방화벽, 키보드 해킹 방지, 백신 등을 다운 받게 한 다음 사용자의 컴퓨터를 조사한다. 그러나 이런 소프트웨어를 다운 받는 순간에 대한 보안이 전혀 되어 있지 않다. 사용자들은 사이트가 안전한지 여부를 스스로 알아서 판단해야 한다. 이 커다란 보안 구멍을 그대로 두는 한 그 어떤 대책을 세워도 무용지물일 뿐이다. 한국의 보안방식은 사이트의 안전은 보장하지 못하면서 사용자를 감시하는 데만 과도한 집착을 보이고 있다.” - 중앙일보 기사 인용 “한국 인터넷 보안체제, 무용지물이다” [중앙일보] 입력 2011.05.16 08:57 / 수정 2011.05.16 09:26 김인성/시스템 엔지니어 http://article.joinsmsn.com/news/article/article.asp?total_id=5491271&cloc=olink|article|default이 기사는 시스템엔지니어(SE)의 기고였고, 결국 많은 인터넷 업체들이 보안 문제점으로서 고객을 위한 보안을 하지 않고 있다는 것을 증명하려고 했습니다.  이젠 신문이 보안전문가나 정보의 말을 믿지 않고 SE의 말을 전하고 있는 것입니다. 이러한 행태는 보안담당자들의 보안시각에서 비롯됩니다. 신뢰성(Trust)을 무시한 보안은 언제든 문제가 발생할 수 있다는 사실을 잊어버리고 있는 것입니다, 시스템 엔지니어는 SW 개발 방법론에서 항상 검사과정을 거치고 운영 중 발생하는 오류를 지속적으로 피드백해 수정하는 라이프 사이클 체계를 가지고 있는 것입니다. 그럼 최근 나온 개인정보 관련 일간지 기사를 한번 보겠습니다. [위기의 개인정보]① 개인정보 팔아 돈버는 사람들 박근태 기자 kunta@chosun.com http://biz.chosun.com/site/data/html_dir/2012/04/09/2012040901372.html이 기사에서 안랩이 제공한 자료에 의하면 현대캐피탈, 전자금융, NH투자증권, 리딩투자증권, SK컴즈, 넥슨 등 매우 많은 인터넷 업체들이 줄줄이 개인정보를 유출당한 사실이 있습니다. 특히, 2011년 나타난 농협 해킹 사태는 인터넷 보안사고의 최고 정점을 보여주고 있지만 향후 구체적이고 실질적인 대응책은 거의 없는 실정이라고 보아도 무방합니다. QA(Quality Assurance)가 없는 대한민국 사이버 보안 대한민국 정부는 국가 및 민간의 보안을 보장(Assure)하기 위하여 ISMS(Information Security Management System) 정보보안관리체계 인증을 장려하고, CC(Common Criteria) 평가를 통해 정보보호 제품을 국민들을 대신하여 평가 인증하고 있습니다. 그렇다면 ISMS 평가를 받고, CC인증 받은 제품을 이용하면 보안을 완벽하게 할 수 있다는 것일까요? 그러나 정부 측은 100% 보장한다는 뜻은 아니라고 합니다. 그런데 대한민국에 정말 많은 현장의 보안담당자들은 이 틀(굴레)에서 벗어나지 못하고 있습니다. 즉, 정부가 인증한 틀 말입니다.  2011년 1차로 ISMS 인증을 받았던 농협은 엄청난 피해를 입었습니다. 피해금액은 이루 말할 수 없는 규모이고, 농협과 현대캐피탈 등이 겪었던 어려움은 순식간에 CEO의 책임어린 후회와 항변의 목소리로 언론에 쏟아졌습니다(박스기사 참조). [구멍뚫린 금융보안] 정태영 현대캐피탈 사장 "보안 보고 받았지만 자세한 건 몰라… CEO인 내가 직접 챙겼어야 했다" 선정민 기자 sunny@chosun.com http://biz.chosun.com/site/data/html_dir/2011/04/16/2011041600110.html [구멍뚫린 금융보안] 최원병 농협중앙회장 "전산망 관리 IT담당자들이 다해… 나는 비상임… 책임질 일 없어요" 손진석 기자 aura@chosun.com http://biz.chosun.com/site/data/html_dir/2011/04/16/2011041600113.html그 당시 피해를 당한  금융권의 보안담당자나 실무자는 할 수 있는 방법을 몰랐으며, 정부나 전문가, 보안업체가 제공하는 최소한의 보안체계를 안심하고 있었으며, 현재도 별다를 바가 없습니다. 이러한 사태는 항상 되풀이되고 있습니다, 지금까지도 또 앞으로도 되풀이 되는 상황입니다, 보안 QA는 고객에 대한 약속입니다. ‘인터넷 보안체계 무용지물’이라는 기사의 내용도 인정하지만 제3자 인증도 결코 충분조건이 아니라면 보안 QA를 어떻게 해야 하겠습니까? 자기평가(Self Assessment)를 통한 조직(기업) 보안수준평가 미국의 SP-55(Security Performance Measurement Guideline)는 미국 정부기관의 보안능력을 향상시키고 조직의 보안 위험(Security Risk)을 관리할 수 있는 프레임워크를 제공하고 있습니다. 그림을 보면 “모든 것은 때가 있다”는 주역(周易)에서 말하는 인생의 시기를 보듯 라는 원(元)-형(亨)-리(利)-정(貞), 즉 태어나고 공부하고 능력을 발휘하고 죽는 사람의 인생단계 4단계를 이야기하는 것과 유사하게 기업의 보안수준을 이야기합니다. 단계주역 인생 단계 설명 비고 1단계 IT Security Goal원(원)IT 보안 태동 CEO의지 정책 마련 2단계 Implementation  형(형)정책 및 구현 보안체계 구현 3단계Effectiveness/ Efficiency리(리)효과성/효율성 보안관리의 실질 관리 4단계 Business Impact정(정)업무 적합 보안 CEO/이사회 인정 관리 일반적인 기업을 보아도 마찬가지일 것입니다. KOSPI 200 기업 특히, 삼성, LG, 현대자동차 등은 마지막 단계일 것입니다. 정말 우수한 기업이라면 마지막 단계가 100년 이상 갈 수 있습니다. 그럼 삼성전자, 현대자동차라면 어떨까요? 삼성전자는 핸드폰, TV, 반도체를 잘 만들고 판매하는 것이 비즈니스입니다, 현대자동차는 자동차를 잘 만드는 것이 비즈니스입니다. 보안의 최종단계인 ‘Business Impact’ 단계는 그 기업의 비즈니스에 가장 적합한 보안을 잘할 수 있다는 것입니다. ISMS가 정의한 150여개의 보안통제(Security Control)를 다 잘 해야 하지요. 하지만 BI(Business Impact) 단계가 되면 많은 보안통제 중 자신의 비즈니스에 가장 적합한 보안통제를 하므로, 울창한 숲이 아닌 엉성하지만 가장 필요한 나무들만이 있는 숲을 이루는 것입니다. SP-55가 지향하는 방향은 조직의 보안관리를 점점 발전시켜서 BI 단계까지 발전시키고 지속적인 보안관리를 할 수 있어야 한다는 뜻입니다. 하지만 현재의 ISMS 및 PIMS 인증체계는 이 인증을 받는 기업은 1단계(Security Goal)  혹은 2단계(Implementation) 수준이 된다는 사실을 모르고 있습니다, 왜냐하면 정부나 국제 표준의 보안관리는 최소한의 요구사항이기 때문입니다. [글_임채호 KAIST 정보보호대학원 교수(chlim@kaist.ac.kr)] ※ 출처: http://www.boannews.com/media/view.asp?idx=31028&kind=1

Read more

[보도자료] Issue of National Security and Cybe…
Issue of National Security and Cyber TerrorKOREA IT TIMES  |  발행일: 2012.04.23  |  Shin Ji-hye info@koreaittimes.com  |  원문보기The Information Professional Association of Korea (IPAK) held a breakfast seminar on April 18th at the JW Marriot Hotel in Seoul. Joo, Dae Joon, vice president of Korea Advanced Institute of Science and Technology (KAIST) and director of National Security and Cyber Terror in KAIST spoke on the issue of ‘National Security and Cyber Terror’.Joo, Dae Joon, vice president of Korea Advanced Institute of Science and Technology (KAIST)Professor Joo said “as Korea has higher rates of PC and the Internet usage, the country is highly vulnerable to cyber terrorism. However, not many – both public and private sectors - seem to be aware of cyber security yet. In April 2011, banking operations at Nonghyup were halted by cyber intrusion, leaving millions of customers unable to access their money for several days. It began as the outsourcing worker’s laptop was infected with malicious software and programmed to start the attack automatically. Nonghyup was not aware of the incident ever after their PCs were infected due to lack of cyber security awareness.”He continued that “cyber crime is not an issue only in Korea.” In Eastern Europe, Estonia emerged as the most advanced e-societies since its independence in 1991. As online services have become routine: e-police, e-banking, e-taxes, and e-elections, the country is now described as e-Estonia. “In 2007, following the removal of a war memorial from downtown Tallinn, the country was subjected to a mass cyber-attack. Nearly all government ministry networks and two major bank networks were knocked offline. This led to a three week period of no internet in Estonia.”Internet has moved from wired to wireless today, and is now moving toward an  Internet of things: objects are embedded with sensors and gaining the ability to communicate. By 2020, we may see 100 billion devices connected to the Internet, and it will be more difficult to detect cyber crimes. The increased use of cloud computing will also make users uncertain of where the information is stored. Against this backdrop, he emphasized that “all the IT specialists gathered here should work together to handle cyber crime.”The public is well aware of the seriousness of visible damages - physical terrorism and natural disasters. “Most Koreans remember the damages of typhoon Maemi. But not many seem to know the gravity of cyber attacks. The cost of damages from typhoon Maemi was around 3.5 trillion won (USD 3 billion). However, “Slammer” worm – an internet worm caused many home and business computers to temporarily lose their internet service of Korea in 2003 – cost nearly 7 trillion won (USD 6.1 billion).”He stressed that laws, institutions and education for cyber crime should be dealt with at the national level. “We have the National Police Agency for  physical terrorism but there is no government agency responsible for cyber security. Instead of expanding the role of the existing investigative agency, a new organization should be established to respond to the crime. Even the presidential residence should be able to see cyber issues and control them. The control tower should be created before the incident arises.” He added that promoting international cooperation is also necessary and urgent. As there is Interpol dealing with physical crime, a similar international organization for cyber crime should also be created.The Information Professional Association of Korea (IPAK) held a breakfast seminar on April 18th at the JW Marriot HotelIt is important to prepare before the crime occurs. Currently, “KAIST is working to develop technologies for website vulnerability. The university is now identifying and analyzing malware code on peer-to-peer (P2P) file sharing websites that many young people commonly use. I believe this will help reduce the cyber crime rate. KAIST expects to attract more CEOs and CSOs to be better aware of the importance of information security. It is time to take cyber security seriously to make Korea fit the title of IT powerhouse.”※ 출처: http://www.koreaittimes.com/story/21074/issue-national-security-and-cyber-terror

Read more

[보도자료] 지능형 상황관제 체계로 최신 보안위…
지능형 상황관제 체계로 최신 보안위협 대응해야보안뉴스  |  발행일: 2012.04.18  |  김태형 기자boan@boannews.com  |  원문보기고도화된 해킹 탐지 및 실시간 대응 통한 피해 확산 방지[보안뉴스 김태형] 현재의 보안관제 체계에서는 APT 공격의 특성상 탐지가 어려운 제로데이(Zero-Day) 공격이나, 사회공학적 기법을 통한 공격을 완벽하게 탐지 못하는 한계가 있기 때문에 지능형 보안관제 체계 구축으로 실시간 대응이 필요하다는 주장이 제기됐다.  최상용 카이스트 사이버보안연구센터 선임연구원은 NETSEC-KR 행사의 세션 발표를 통해  “현재의 사이버보안 관제체계는 단위 보안장비를 통해 위협을 탐지하고 로그 수집, 이벤트 수집·가공을 통해 비정상 유형 및 트래픽 이상 징후를 탐지한다. 이를 통해 위험을 분석하고 모니터링, 대응, 위험경보 발령 등의 조치로 취약점에 대응하게 된다”며 “이렇게 되면 방화벽이나 웹 방화벽의 경우 허용된 IP, Port에 대한 공격 시도는 정밀한 차단이 불가능하고 IDS의 경우 탐지의 정확도는 향상되나 장비 부하가 발생해 패킷 누수가 우려된다”고 설명했다. 또한, 그는 “ESM 기반의 경우에는 로그기반 이벤트는 수집·탐지하지만 로그가 남지 않으면 탐지가 불가능하고 RAW 데이터를 수집하지 않기 때문에 세부적 탐지도 불가능하다”며, “더욱이 수집데이터를 연관분석함으로써 종합적인 연관분석 및 실제적 로그 수집·관리는 가능하지만, 평면적 분석으로 인해 정밀한 해킹 시도 탐지에는 한계가 있어 APT, DDoS 공격 등의 최신 위협에 대한 정확한 탐지는 어렵다”고 덧붙였다. 최근 국가기반시설을 위협하는 악성코드 출현이 예상되는 가운데 일평균 6만개 이상의 신종 악성코드 출현으로 분석에 한계가 존재하는 게 사실이다. 또한, 취약한 웹 서버로 유포되는 악성코드 공격에 대한 방어체계도 미흡한 상황이다. 특히, 다양한 악성코드 및 제로데이 공격도 일반화됐고 악성코드의 유포수단도 다양화·지능화되어 특정 대상을 목표로 한 악성코드 유포와 취약한 웹 서버를 통한 대규모 유포 및 원격 통제가 가능하다.  이와 관련 최상용 선임연구원은 “아울러 디도스 공격도 점차 방어를 어렵게 하는 요인이 늘고 있다”며, “가령 내부 네트워크의 경우 사설 IP, 그리고 외부 네트워크 연결시 다수의 내부 PC가 하나의 공인 IP를 사용한다는 점과 내부 네트워크 중 일부 PC가 좀비 PC가 돼 해당 공인 IP를 차단할 경우 나머지 선의의 피해자가 발생하는 경우 등이 있다”고 말했다. 덧붙여 그는 “디도스 공격이 점차 애플리케이션 레이어 공격(HTTP)으로 변화되어 소규모로 특정 홈페이지를 공격하는 추세이기 때문에 패킷 구분이나 시그니처 기반 탐지가 불가능하다”고 강조했다.  이러한 한계를 극복할 수 있는 방안으로 최 연구원은 지능형 상황관제 체계 구축을 꼽았다. 이를 바탕으로 한 실시간 위험관리 대응을 통해 피해 확산을 방지하고 다양하고 고도화된 해킹 탐지· 대응이 가능하다는 것.  또한, 그는 “지능형 상황관제 체계 구축시 대용량 데이터 실시간 분석기술 및 위험관리 프로세스의 도입으로 위험의 정도를 지수화하면 RAW 데이터, 발생된 이벤트, 취약점 분석결과 등 방대한 데이터를 분석하여 조직의 위협과 위험을 실시간으로 인지할 수 있다”고 말했다. 아울러 해커행위 프로파일링 기술과 상태기반 탐지 기술, 그리고 탐지 시그니처 자동생성 기술 등을 이용해 해커의 공격을 차단하고 가상 서비스 등을 활용해 해커의 행위를 분석하고 탐지할 수 있다는 설명이다. 최 선임연구원은 “이러한 지능형 상황관제 체계를 구축할 경우에는 보안관제 조직에 대한 적절한 권한과 책임을 부여하고, 보안관제 및 분석인력에 대한 지속적인 교육이 병행되어야 한다”고 덧붙였다.  ※ 출처: http://www.boannews.com/media/view.asp?idx=30918&kind=1

Read more

[보도자료] 악성코드 유포 주범 ‘온라인 광고’ …
악성코드 유포 주범 ‘온라인 광고’ 대책 없나? 보안뉴스  |  발행일: 2012.04.17  |  오병민 기자 boan4@boannews.com  |  원문보기최근 90일간 18개 광고 서버, 2,106개 사이트 통해 악성코드 유포 [보안뉴스 오병민] 온라인 광고 업체를 타깃으로 한 해킹 공격이 증가하고 있다. 온라인 광고 업체들은 다수의 언론사와 인기 커뮤니티, 블로그에 광고를 제공하고 있기 때문에 해킹 공격으로 악성코드를 유포할 경우 그 피해가 기하급수적으로 증가할 수 있다. 국내 유명 온라인 광고 대행업체 A사는 지난 13일 해킹 공격을 받아 광고를 대행하고 있는 131개 사이트에 악성코드를 유포했다. 131개 사이트에는 본지를 포함한 국내 유명 언론사 대부분이 포함됐다. 특히, 온라인 광고대행 업체를 대상으로 한 해킹 공격은 공격자들이 사이트 관리가 느슨해지는 주말을 이용해 집중적으로 악성코드를 심어놓은 뒤 주중에는 악성코드를 스스로 삭제하거나 악성코드의 활동을 비활성화시키는 경우가 많다. 이로 인해 사이트 관리자들은 악성코드가 유포됐는지조차 모르는 경우가 대부분이다. 이번 공격에서도 131개 사이트 대부분은 악성코드가 유포됐는지조차 모르고 넘어간 것으로 알려졌다. 그러나 본지는 유포 사실이 알려진 후, 신속하게 해당 온라인 광고를 사이트에서 제거하고 보안 모니터링을 강화하는 조치를 취했다. 이와 함께 향후 외부 서비스 제휴 시에도 보안성에 대한 검증을 더욱 강화할 방침이다. 이번 공격은 A사의 웹 취약점에서 시작됐다. 공격자는 웹 취약점으로 내부 네트워크에 침입해 광고 서버에 위·변조 악성 스크립트를 삽입했다. 광고 서버에 삽입된 스크립트는 A사와 제휴된 131개 사이트에 악성코드를 전달하는 역할을 담당했다. A사에 대한 해킹 공격은 공격자들이 온라인 광고 서버를 노려 악성코드를 유포한 하나의 사례일 뿐이다. 구글 세이프브라우징에 최근 90일간 악성코드를 유포한 것으로 등록된 온라인 광고 서버를 살펴본 결과, 18개 온라인 광고 서버가 2,106개의 사이트를 악성코드 유포지로 이용한 것으로 파악됐다.   ▲90일간 온라인 광고 서버를 통해 악성코드를 유포한 사이트 수  ⓒ보안뉴스  특히, 국내 상위 100개 사이트 중 절반인 50개 사이트가 온라인 광고를 통한 악성코드 유포 경험이 있었던 것으로 조사됐다. 물론 이 수치는 구글의 세이프브라우징을 통해 발견된 사례만 집계한 것이기 때문에 발견되지 않은 사이트를 포함한다면 그 수는 더욱 늘어날 것으로 예측되고 있다. 이처럼 온라인 광고서버가 악성코드 유포 공격의 타깃이 되는 이유는 광고서버만 해킹해 악성 스크립트를 삽입하면 온라인 광고가 제휴된 인터넷 언론과 블로그, 커뮤니티에 동시 다발적인 공격이 가능하기 때문이다. 전상훈 KAIST 사이버보안연구센터 팀장은 “공격자 입장에서 광고회사는 해킹으로 권한만 획득하면 인터넷 언론과 커뮤니티 등에 동시다발적으로 악성코드를 유포할 수 있기 때문에 주요 타깃이 되고 있다”면서 “광고를 유치하려고 투자를 하는 만큼 보안에도 투자를 해야할 때”라고 말한다. 덧붙여 그는 “온라인 광고회사들을 통해 광고가 배포되기 전이나 광고가 롤링될 때마다 악성 스크립트가 삽입돼 있는지 한 번씩 체크하는 프로세스가 필요하다”고 주장했다. 또한, 최상명 하우리 선행기술팀장은 “대체적으로 공격자들은 온라인 광고 서버의 취약점을 찾아 공격하고 있기 때문에 정기적인 소스코드 보안 검사와 모의 해킹 등으로 취약점을 최소화할 필요가 있다”며, “언론사들도 정보보호 인증을 획득한 업체를 활용하는 등 보안이 검증된 광고대행 업체를 이용하려는 노력이 필요하다”고 강조했다.※ 출처: http://www.boannews.com/media/view.asp?idx=30900&kind=1

Read more

[보도자료] [칼럼]보안:21세기 몽골기병의 침략 (…
[칼럼]보안:21세기 몽골기병의 침략메가뉴스  |  발행일: 2012.03.20  |  전상훈 보안칼럼니스트  |  원문보기서기 1241년 몽골의 칸인 바투는 헝가리의 왕에게 항복을 하라는 서신을 보낸다. 이에 헝가리 왕은 교황에게 구원을 요청했지만 몽골군의 도착이 더 빨랐다. 유럽 최강국이었던 헝가리의 군사들과 유럽 최정예 연합 기사단 등 20만 대군은 몽골군의 침입에 대항했고 결과적으로 처참하게 패하여 몽골의 악몽을 깊이 새기게 됐다. ​일설에 따르면 몽골 장수인 제베가 이끄는 2천명의 기병이 10만의 기사단을 라이프찌히에서 몰살시켰다고도 한다. 사실여부를 떠나 그만큼 강력한 군사력으로 상대를 압도했다는 것이 중요하다. 총 인구 100만에 가용 가능한 병사수가 20만인 몽골은 어떻게 대제국을 이루게 됐을까? 또 중세 유럽의 강력한 왕권국가들이 왜 그들에게 무릎을 꿇을 수 밖에 없었을까? 우리나라의 경우 병자호란 때 쌍룡전투에서 몽골기병 300명에 의해 조선군 4만이 패한 것도 예가 될 수 있다. ​전술이 없고 전략이 없는 병력은 그 규모가 크더라도 제물이 될 수 밖에 없음을 이미 역사에서도 증명하고 있다. 그러나 유럽의 기사단 연합은 동시대 최고의 역량과 조직화된 집단이었다는 점에서 차별성을 가진다. 지금의 IT 환경에서 공격과 방어의 입장은, 유럽의 기사단 연합과 몽골군과의 대결에 깊은 유사성을 가지고 있다. ​현재의 IT환경은 어떤 부분에서 몽골 기병이 활약하였던 중세 시대와 유사성이 있을까?  몽골기병(이미지 출처 http://www.mongolfilm.ru) 먼저 800년이나 지난 이야기를 꺼내는 이유는 무엇일까 하는 의문을 가져야 한다. 몽골기병은 사이버상에서 이미 부활했고 활발하게 영토를 넓히고 있다. 비유를 하자면 지금 전 세계를 떠들썩 하게 하고 있는 해커그룹 ‘어노니머스’와는 격이 다른 세계정복자라고 해야 할 것이다. 눈에 잘 보이지 않으며 강력한 영향력을 갖춘 그들은 아직 소수만이 인지하고 있을 뿐이다. ​몽골기병의 사례는 13세기나 지금이나 들고 있는 무기만 달라졌을 뿐이지 전술과 전략은 달라진 것이 없다. 몽골기병의 전술과 전략은 지금의 시대에서 인터넷상을 유린하고 있는 공격자들의 전술 전략과도 맞닿아 있다. 당대 최정예라고 이름 붙여진 유럽의 기사단들의 몰락에는 전술적 대응의 실패로 전멸을 초래 하는 것과도 이어져 있다. 적의 정체에 대해서도 몰랐다는 것이 정답일 것이고 이는 21세기인 지금 사이버 세상에서도 마찬가지다. ​■ 우리는 그들에 대해 얼마나 알고 있는가? 공격자들의 전략​목축과 수렵으로 단련된 군사들과 대규모 사냥으로 길러진 조직적인 전술 행동력, 능수능란한 작전이 겸비된 그들 앞에 철갑을 두르고 긴 창을 지닌 기사단들이 나타난다. 둔탁하고 느리며 정면승부만을 고집한다. 그들은 기사단을 둘러싸고 포위한 채로 사정거리가 긴 활을 수시로 대열 속으로 발사하고 틈이 생겼을 경우에는 일거에 돌입하여 대열을 흐트러뜨리고 격파를 한다. ​영화에서나 보던 이런 장면은 눈에 잘 보이지는 않으나 인터넷상의 활발한 공격 흐름에서도 손쉽게 관찰되고 있다. 역할 분담이 된 공격자들과 수시로 빈틈을 노리고 배회하는 취약성 공격들... 그러다 한 곳이라도 빈틈이 발견되면 일거에 점령하고 무장해제를 시킨다. 공격자들로부터 지키기 위해서는 모든 부분을 일정수준 이상 유지해야 하고 한 눈을 팔았다간 순식간에 제어권이 넘어가고 만다. ​몽골기병 특징은 기동성, 무기(강한 활), 전술(유인과 기습)이다. 그리고 21세기판 사이버 몽골기병의 특징도 다를 바가 없다. 기동성(관리자를 농락하는 치고 빠지기), 무기(강력하고 직접적인 취약성 공격), 전술(악성코드의 대량 유포 및 탐지 회피) ​최소 4개국 이상으로 구성된 연합 기사단은 지금의 보안 분야의 대응 정도가 될 것이고, 몽골기병은 현재의 인터넷을 유린하고 있는 공격자가 될 것이다. ​공격자들이 너무나도 빨리 다녀가는 바람에 왔다 갔는지도 모르는 지금의 상황은 유럽을 휩쓸던 몽골기병이 칸의 죽음으로 본국으로 귀국해 사라진 그때처럼 정체도 몰랐었던 중세의 유럽과 다를 바가 없다. 신무기(새로운 취약성)를 적극적으로 받아들이고 연구하며 치고 빠지며 기습을 하는 악성코드 유포 전략, 하루에도 수 차례 이상을 침입하여 유포 경로를 변경하고 조작하는 기동성으로 무장한 공격자들은 거칠 것이 없다. 하물며 공개적으로 세계적인 기관과 기업들을 해킹하고 공개하는 어노니머스와 같은 그룹도 있는 판국에 그들보다 몇 수 위인 공격자들은 조용히 그들의 실익을 챙겨가고 있다. ​당대 최고로 구성된 기사단의 전멸은 많은 점을 시사한다. 같은 부류의 싸움에서는 보다 튼튼한 장갑과 긴 창으로 무장하고 정면 충돌을 통해 우위를 점할 수 있다. 그러나 전략이 다르고 근본적 구조가 다른 그룹과의 충돌은 치명적일 수 밖에 없다. 보다 뛰어난 사정거리의 활, 기마에 숙련된 환경, 사냥을 통해 길러진 협력 전술은 마치 기사단을 사냥감처럼 구석으로 몰아 세우고 결국에는 전멸을 시키는 모양새와도 유사하다. ​■ 사이버 테러 앞에 둔 우리의 현실은?​보다 강력한 시스템 보호 환경을 위해 잦은 업데이트를 하고 최신 판단 기술로 완벽한 보호를 다짐하고 있는 다양한 보안 체계들이 있다. 그러나 공격자들은 상시적인 보완이 느릴 수 밖에 없는 애플리케이션에 대한 직접적인 공격과 권한 획득, 악성코드 탐지 시스템의 우회와 회피를 통해 순식간에 침입을 하고 그 침입을 통해 목적을 달성한 이후 유유히 사라져 간다. 사라져간 이후에나 중무장을 한 전문가들과 보안제품들은 공격자를 추적하기 시작한다. 이미 거기에는 쓰레기와 같은 접속 흔적만이 남아 있다. ​왜 전 유럽이 몽골의 기병에게 유린 당했는지는 여러 의견들이 있겠지만 기동성과 전략, 뛰어난 무기가 큰 역할을 했음은 분명하다. 21세기인 사이버 세상의 현실도 달라진 것은 없다.  Securelist.com - Korea Stat주말마다 공격을 반복하는 공격자들의 흔적은 비단 다른 통계를 들지 않더라도 백신 회사인 카스퍼스키랩의 통계만을 보아도 확인 할 수 있다. 대부분 트로이쟌과 키로깅, 백도어 들이 유포되고 있으며 전 세계적 비율에서도 가장 월등한 비율이 한국에서 나타나고 있다. 분명한 것은 이 수치도 빙산의 일각일 가능성이 매우 높다는 점이다. 백신의 특성상 발견 이후 대응까지는 일정 시일이 소요 될 수 밖에 없기 때문이다. 실제 로그 분석을 통한 악성코드 공격 성공률 60%(자료제공=빛스캔)위 그림의 발표 내용을 보면 새벽 3시간 동안의 소규모 사이트 공격을 통해서도 3만4천대의 좀비 PC를 확보 하는 것을 확인 할 수 있다. 공격 성공률은 60%에 육박함을 확인 할 수 있다. ​공격자들이 취약한 웹서버를 공격하여 얻는 이득은 4~5년 전만 하여도 데이터베이스에 있는 정보를 탈취해 팔거나, 내부에 침입을 하기 위한 경로 확보 목적이 다수였다. 그러나 지금은 목적이 바뀌었다. 이미 저장된 정보의 대부분은 탈취됐거나 보다 더 높은 가치를 가지지 못하기 때문이다. ​공격자는 더 높은 가치를 가지고 있는 부분으로 공격 대상을 전환했고 그 목적에 맞게 웹서버를 침입하고(특히 방문자들이 많은 사이트가 대상이 된다) 악성코드를 사용자에게 배포 할 수 있도록 소스코드에 악성링크를 살짝 추가한다. 이후 정상적이라 믿는 웹 서비스에 접근하는 모든 사용자들에게는 악성코드가 배달이 된다. 그리고 그 악성코드들은 사용자의 키입력과 ID/패스워드를 부지런히 수집하고 전달 한다. 수익은 그 이후에 발생된다. ​■ 무엇이 필요한가? ​공격자들이 떠난 이후에 둔한 움직임으로 그들을 추적하는 대군은 항상 뒤만 쫓아 다닐 수 밖에 없으며 기습적인 공격에 의해 수시로 피해를 감내 할 수 밖에 없는 상황에 직면하고 있다. 그들이 떠난 자리에 폴리스라인을 쳐둔들 잡을 수 있겠는가? 크롬 브라우저에서 웹서핑 시 나타나는 ‘Malware Detected’라는 붉은 경고로 공격자들의 기동성을 막기 위해서는 모든 접근 가능한 웹 서비스에 대해 접근 금지를 해야만 가능 할 것이다. ​지금 그들을 이겨내기 위해서는 전술의 변화와 발상의 전환이 심각하게 요구된다. 웹서비스의 문제점을 수시로 찾아내어 보완하는 프로세스와 도구 혹은 서비스가 필요하며 초기 단계에서 악성코드의 확산을 감지하고 차단 할 수 있는 선제적 대응 도구가 절실히 필요하다. 그것이 공격자들이 가진 역량을 이길 수 있는 무기이며 공격효과를 반감 시키는 변화가 될 것이다. 아직 시작도 되지 않은 대응일 뿐이지만 오래지 않아 출현하게 될 것이다. ​지금 21세기판 몽골 기병들은 거침없이 그들만의 정복을 하고 있다. 어쩌면 한국을 대상으로 체계적인 훈련을 하고 있는 것인지도 모를 일이다. 그들이 무대를 옮기는 순간 정복은 한 순간이 될 것이다. 우리는 그 다음을 준비해야 하고 지금의 현실을 극복할 방안을 마련해야만 살아 남을 수 있을 것이다.※ 출처: http://www.zdnet.co.kr/column/column_view.asp?artice_id=20120326083127

Read more