Introduction

연구활동

센터소식

연구활동 센터소식
[보도자료] 김용대 카이스트 교수, 블록체인 평가…
김용대 카이스트 교수, 블록체인 평가시스템 '블립' 소개'비들 서울 2018' 연사로 참여 서울경제  |  발행일: 2018.11.30  |  민서연 기자 minsy@decenter.kr  |  원문보기    “많은 블록체인 모델이 있는데, 이들을 평가할 수 있는 기준이 없어요. 저희는 평가모델을 만들어 개발자, 학생, 그리고 프로젝트에 투자하는 벤처캐피털(VC)이 쓰도록 할 겁니다.” 30일 강남구 르메르디앙에서 열린 비들 서울 2018에서 김용대 카이스트 교수는 연구결과를 소개하며 이같이 말했다. 그는 “현재 나와 있는 블록체인 대부분이 모든 사람을 대상으로 하는 퍼블릭 블록체인인데, 정작 이용자들으 어떤 체인이 다른 체인보다 뛰어난 지 평가할 수가 없다”며 “블록체인 내의 예측 불가능성을 줄이기 위해서라도 이론적이고 실질적인 평가가 필요하다”고 주장했다.  이날 김 교수는 카이스트 연구소에서 개발하고 있는 블록체인 표준화 평가시스템 블립(BLEEP)을 소개했다. 블록체인 이론과 개발된 네트워크 사이의 갭을 줄이기 위해 개발된 블립은 개발자와 VC를 타겟으로 만들어진 평가시스템이다. 김 교수에 따르면 블립을 통해 개발자들은 효율적이고 효과적인 개발이 가능하고 VC는 블록체인의 기술적 가치를 평가하는 데 활용해 합리적인 투자에 도움이 된다. 또 블록체인 입문자와 학생들에게는 합의 알고리즘을 체험해볼 매커니즘이 부족한 상황에서 블록체인 관련 회사를 창업하거나 참여하기 전, 블립을 통해 다른 블록체인을 평가하는 눈을 기를 수 있다.  김 교수는 완벽한 탈중앙화로 가기 위한 네 가지 조건도 제시했다. 탈중앙화를 위한 네 가지 조건은 △리소스를 조금이라도 가지고 있는 노드는 누구나 네크워크 상에서 이득을 취할 수 있다 △사용자가 직접 노드를 실행하는 것이 리소스를 다른 사용자에게 위임하는 것보다 더 높은 수익성을 갖는다 △노드 한 개만 운영하는 것이 여러 노드를 운영하는 것보다 더 높은 수익성을 갖는다 △두 노드 간의 해시파워 비율이 1에 수렴한다 등이다. 그는 “이 모든 조건을 만족하는 플랫폼은 아직 못 봤다”며 “미래에는 이를 만족하는 블록체인이 나올 수 있을 것”이라고 긍정적인 견해를 표했다. 

Read more

[행사소식] 차세대 바이너리 분석 플랫폼(B2-R2) …
차세대 바이너리 분석 플랫폼(B2-R2) 기술 설명회 개최  ☞ 온라인 등록(2018.11.30(금)까지) : http://www.b2-r2.com    

Read more

[행사소식] 개발자 중심 블록체인 컨퍼런스 '비들…
개발자 중심 블록체인 컨퍼런스 '비들 서울' 이달말 개최 코스모스 재권 등 유명 개발자 총출동 ZDNet Korea  |  발행일: 2018.11.16  |  임유경 기자 lyk@zdnet.co.kr  |  원문보기  국내외 블록체인 개발자와 연구원, 학생을 비롯해 블록체인 업계 관계자가 참석하는 '비들 서울(BUIDL SEOUL) 2018 컨퍼런스'가 이달 29~30일 이틀간 서울 르 메르디앙 호텔에서 개최된다.​블록체인과 암호화폐에 관한 관심이 암호화폐공개(ICO)와 투자 측면보다 기술 개발과 서비스에 초점이 맞춰지면서, 실제 블록체인에 활용할 수 있는 기술과 프로젝트에 관심이 쏟아지고 있다.​비들 서울 2018 컨퍼런스는 전 세계에서 진행 중인 블록체인 프로젝트를 실제 개발하고 연구하는 이들을 한자리에 모으는 장이 될 전망이다. 컨퍼런스에서는 총 4개의 주제를 기반으로 메인 세션과 테크니컬 워크숍이 동시에 진행된다.  ​첫 번째로 컴퓨터공학과 정보보안 등 관련학계에서 블록체인과 암호화폐에 관한 학술적인 연구 결과와 논문 등을 발표한다. 두 번째로 블록체인 서비스와 제품에 대한 실사용 사례를 다루며 관련 내용을 논의한다. ​세 번째로 확장성, 사이드 체인, 오프체인, 상호운용성 등과 같은 블록체인 기술과 프로토콜 등에 대한 논의가 이뤄진다. 마지막으로, 블록체인 생태계를 어떻게 함께 만들어갈지에 대해 암호화폐 펀드, 거래소, 미디어 담당자를 비롯한 업계 관계자들이 발표하고 논의하는 시간을 갖는다.​메인 세션인 비들1.0에서는 블록체인 업계에서 가장 주목받는 코스모스 프로젝트를 이끄는 재권 대표를 비롯해, 블록체인 업계의 명사인 제임슨 롭, 컨센시스 벤처스의 카비타 굽타 매니징 파트너 등이 키노트 연사로 나선다.​이밖에 루트스탁(RSK)의 CEO 디에고 구티에레즈, 이더리움 재단의 버질 그리피스 리서치 과학자를 비롯해 폴카닷, 카이버 네트워크, 오리진 프로토콜, 퀀트스탬프, 오미세고, 리퍼블릭 프로토콜, 크립토키티 등 해외 블록체인 프로젝트의 CTO와 개발자 등이 대거 참석해 이틀간 각각 테크니컬 워크숍을 진행한다.​국내에서도 암호학의 대가인 천정희 서울대학교 교수, 보안 전문가 김용대 카이스트 교수, 김승주 고려대학교 교수 등 학계 전문가를 비롯해 국내 블록체인 업계에서 활발히 활동 중인 프로젝트의 관계자들이 대거 참석한다. 아르고, 액트투 테크놀러지, 오딘 네트워크, 메디블록, 디콘, 디사이퍼, 코드박스, 해치랩스 등 한국을 대표하는 블록체인 기업과 학회 등이 컨퍼런스에서 발표와 테크니컬 워크숍을 진행한다.​테크니컬 워크숍인 빌드2.0과 3.0은 메인 세션에 버금가는 규모로 진행된다. 메인 세션에서 일반적인 블록체인에 대한 내용이 주로 발표된다면, 워크숍에서는 각 프로젝트와 발표자가 블록체인의 기술에 초점을 맞춘 세부 내용으로 발표한다. 이틀간 국내외 약 20개의 개별 세션이 진행될 예정이다.​컨퍼런스를 주관하는 크립토서울 강현정 대표는 “블록체인이 실생활 활용도가 떨어지고 기술적 발전이 늦다는 지적과 더불어 특히 암호화폐 투기, 해킹과 같은 부정적인 이미지가 많다”며 “이번 컨퍼런스를 통해 실제 개발 중인 블록체인 기술과 만들어지고 있는 서비스에 대해 공개적으로 논의할 수 있는 장을 마련하겠다”라고 말했다.​비들 서울 2018 컨퍼런스는 현재 얼리 버드 티켓 판매가 끝났으며, 학생과 개발자는 특별 가격 할인이 컨퍼런스 전날까지 제공된다. 자세한 내용은 비들 서울 2018 홈페이지(☞링크)에서 확인할 수 있다.  

Read more

[보도자료] [이슈앤트렌드] 중국발 스파이칩 사태…
[이슈앤트렌드] 중국발 스파이칩 사태, ‘디지털 주권’ 사수하라 마이크로칩 활용 백도어, 설계도면 확인 필요  테크M  |  발행일: 2018.11.14  |  김태환 기자 kimthin@techm.kr  |  원문보기  [테크M=김태환 기자] 중국산 메인보드에서 설계도면에 없어야 하는 해킹용 마이크로칩이 발견되면서 세계가 충격에 빠졌다.하드웨어를 만드는 단계에서부터 마이크로칩에 백도어 프로그램을 내장하는 ‘서플라이 체인’ 공격은 백신 같은 보안 소프트웨어로 막는 것이 불가능에 가깝기 때문이다. 전문가들은 정부와 기업체 중심으로 설계 도면과 하드웨어가 일치하는지 검증하는 절차를 갖춰 선제적으로 대응해야 한다고 지적했다.지난 10월 4일 블룸버그 비즈니스위크는 미국 IT기업 애플과 아마존웹서비스(AWS) 데이터센터 서버에 중국 정부에서 감시용으로 설치한 것으로 추정되는 마이크로칩이 발견됐다고 보도했다. 보도에 따르면 마이크로칩은 중국 서버 제조업체 슈퍼마이크로 공급 서버에 부착됐으며, 중국 정부 압력이 작용한 것으로 추측된다. 마이크로칩은 백도어 프로그램을 내장해 미국 회사들로부터 지식재산권과 거래기밀을 수집하는 데 사용됐을 것으로 추정된다. 다만 애플과 아마존은 스파이칩 관련 보도가 사실무근이라며 부인했다. 애플은 경제매체 CNBC와 인터뷰에서 “블룸버그 보도 내용은 지난 2016년 슈퍼마이크로 서버 드라이버가 바이러스에 감염됐다는 것과 관련해 혼동한 것”이라고 주장했다. 아마존 역시 자사 서버에서 스파이 마이크로칩에 대해 자체 조사를 벌였으나 아무것도 발견되지 않았다고 해명했다.  ‘백도어 스파이칩’ 보안 시스템 탐지 불가능 백도어란 운영체제나 프로그램에서 정상적인 인증 과정을 거치지 않고 바로 접근할 수 있도록 만들어진 ‘뒷문’ 같은 개념이다. 일반적으로 백도어는 프로그램 설계 단계에서부터 미리 만드는 경우와 보안 허점을 발견해 크래커가 뚫는 경우 두 가지가 있다. 이번 스파이칩 사건이 블룸버그 보도대로라면 하드웨어에 미리 백도어를 설계한 사례가 된다. 앞서 2016년 11월에는 중국 통신기기업체 화웨이와 ZTE에서 제조돼 미국에 팔린 수백만 대 스마트폰에서 백도어가 발견되기도 했다. 해당 백도어는 사용자 위치와 통화목록, 전송 메시지 모니터링 같은 정보를 72시간마다 중국 서버로 전송했다. 이처럼 하드웨어 공급 단계에서부터 칩을 내장해 해킹을 시도하는 것을 서플라이 체인 공격이라 부른다. 서플라이 체인이 무서운 것은 하드웨어에 몰래 설치했기 때문에 기존 방식으로는 해킹 행위를 찾아낼 수 없다는 데 있다. 메인보드에는 수백에서 수천 개나 되는 다양한 논리게이트가 적용된다. 논리게이트는 전자 온오프 스위치 일종으로 트랜지스터와 전선으로 구성돼 칩을 통제한다. 이 중에 은밀히 칩을 하나 더 넣은 뒤, 단 하나의 논리게이트만 살짝 얹어 악성코드처럼 활용한다. 칩 설계나 회로에는 큰 변화가 발생하지 않기 때문에 논리적으로 탐지하기가 불가능에 가깝다. 보안시스템이 작동한다 하더라도 하드웨어에 원래부터 심어져 있는 백도어라서 당연한 설계로 받아들이고 문제라고 판단하지 못한다. 탐지를 하려 해도 가짜 논리게이트는 특정 명령을 받았을 때 켜지거나 꺼지도록 할 수 있어 쉽게 탐지에서 벗어날 수 있다. 보안시스템이 탐색한다고 해도 명령이 없는 경우에는 모습을 드러내지 않는다. 김용대 KAIST 사이버보안연구센터장은 “서플라이 체인 공격은 하드웨어를 공급하면서 그 안에 특수 프로그램을 설치한다”면서 “프로그램에 따라 다르지만 정보를 전송할 수 있으며 크래커가 기능을 언제든지 켰다 껐다 할 수 있어서 보안프로그램을 무력화시키는 것이 가능하다”고 설명했다. 최근에는 사물인터넷(IoT) 디바이스가 늘어나면서 백도어 위험이 더욱 커지고 있다. 예를 들어 스마트워치 메인보드에 백도어를 심어놓으면 사용자가 눈치 채기 어려운데, 통화목록이나 개인 건강기록이 유출될 여지가 생긴다. CCTV는 사용자 모르게 사업장이나 공동생활공간을 외부로 전송할 수 있다. 실제 한국인터넷진흥원(KISA)에 따르면 IoT 취약점 신고 건수가 2015년 이후에만 962건으로 최근 3년 동안 크게 늘었다. 블룸버그 비즈니스위크 10월 8일자 표지   세계로 퍼지는 ‘백도어 정보전쟁’ 중국의 정책은 최근 더 노골적으로 변했다. 지난 2017년 6월 중국에서는 자국뿐만 아니라 해외에서도 개인이나 단체를 감시할 수 있는 국가정보법 개정안이 발효됐다. 중국 국가정보법에는 “모든 조직과 시민들은 법률에 따라 국가 정보 작업을 지원하고 협조하고 협력해야 하며, 국가 정보 업무 비밀을 대중에게 알리면 안 된다. 국가는 국가 정보 작업을 지원하고 협력하는 개인과 조직을 보호한다”고 명시돼 있다. 또 반간첩법에는 “국가안전기관이 관련 간첩행위 정황을 조사해 이해하고 관련 증거를 수집할 때, 관련조직과 개인은 마땅히 사실대로 제공해야 하고 거절해서는 안 된다”고 적시돼 있다. 해당 법에 따르면 중국 국가 정보공작에 협조해야 하는 단체에 모든 조직과 시민이 들어가 중국 기업들은 이 법을 모두 따라야 한다. 당장 피해를 입고 있는 미국 역시 깨끗하지는 않다. 2013년 6월 전직 미국 국가안보국(NSA) 계약요원 에드워드 조지프 스노든이 NSA와 영국 정보기관이 세계에서 일반인 통화기록과 인터넷 사용정보 같은 개인정보를 무차별적으로 수집하고 사찰해온 사실을 폭로했다. NSA는 개인 정보 수집 계획인 프리즘(PRISM) 프로젝트를 통해 민간인들을 사찰했다. 명목은 9.11 테러 이후 이와 같은 일이 재발하지 않도록 블랙리스트에 올려둔 위험인물 외에 불순분자 존재를 확인하기 위해서다. 특히 NSA는 미국 시민뿐만 아니라 세계 모든 정부와 기관을 대상으로 무차별적인 정보 수집을 감행했다. 워싱턴포스트 보도에 따르면 NSA는 특수목적접근작전(Tailored Access Operations, TAO)이라고 부르는 공격툴(Tool)을 사용했다. 이 툴은 네트워크를 모니터링할 목적으로 라우터와 스위치, 방화벽을 감염시키도록 설계한 악성코드를 무작위로 심는다. 악성코드는 소프트웨어와 장비 업그레이드를 통해 지속적으로 통신을 도청하고, 저장된 데이터를 복사하고 감염된 네트워크에서 터널을 뚫는 데 사용될 수 있다. 2013년 기준으로 8만5000건이 감염된 것으로 추산된다. 독일은 NSA 감청 대상이 되자 미국을 비판하고 나섰다. 하지만 독일 정보국(BND)도 2009년부터 북대서양조약기구(NATO)회원국들을 감청하고 있었다는 사실이 드러나기도 했다.  국내 주요 기업과 기관에서 슈퍼마이크로 제품 사용 한국에서도 서플라이 체인 공격에 대한 위기감이 고조되고 있다. 메인보드나 각종 통신장비 하드웨어 대부분을 중국에서 수입해 사용하고 있기 때문이다. 국회 과학기술정보방송통신위원회 신용현 바른미래당 의원은 10월 15일 국회에서 열린 국정감사에서 과기부 산하 11개 기관에서 슈퍼마이크로 메인보드 제품 731개를 도입해 사용 중이라고 밝혔다. 신 의원이 슈퍼솔루션으로부터 제공받은 자료에 따르면 슈퍼마이크로 제품을 사용한 대기업은 삼성과 LG, 포스코, KT, LG유플러스, SK브로드밴드, NHN, 드림위즈, 네오위즈, 국민은행, 우리은행 등이다. 공공기관은 서울지방경찰청과 기상청, 서울소방재난본부, 서울도시철도, 성남시, 구미시, 연구기관은 ETRI와 KAIST, KIST, 한국항공우주연구원 등이다. 국내 주요 기업과 기관에서 슈퍼마이크로 제품을 사용하는 것으로 확인됐다.최근에는 이동통신사 5G 장비 도입과 관련해 홍역을 치르고 있다. 5G 장비에서 중국 화웨이를 선정하느냐 마느냐 문제로 갑론을박이 이어지는 상황이다. 화웨이는 중국 인민해방군 장교 출신 사업가인 런정페이가 설립한 회사다. 회사 명칭인 ‘화웨이(华为)’는 처음 설립 당시에는 ‘중화민족을 위해 분투한다’는 뜻을 담고 지었다. IT업계에서는 화웨이 설립자부터가 장교 출신인데다 이념을 고려했을 때 중국 정부와 긴밀한 관계를 유지할 것이라는 의혹이 크다. SK텔레콤은 화웨이 장비를 공식적으로 도입하지 않는다고 발표했다. KT는 아직 검토 중이지만 도입하지 않을 것이란 관측이 나온다. 하지만 4G부터 화웨이 장비를 도입했던 LG유플러스는 난감한 상황에 처했다. 기존 장비와 연속성을 생각하면 화웨이 제품을 선택해야 하지만 여론은 정반대이기 때문이다. 일부 고객들은 화웨이 장비 채택 시 LG유플러스 불매운동도 불사하겠다고 밝혔다. IT업계 관계자는 “화웨이가 스파이칩을 심는다는 직접 증거가 없음에도 장비도입에 따른 논란이 나타나는 건 그만큼 중국발 서플라이 체인 공격에 대한 두려움이 크다는 반증”이라며 “그렇다고 해서 당장 막을 수 있는 뾰족한 대책이 있는 것도 아니라 더 큰 문제”라고 밝혔다.  설계도면·장비 검수 제도 마련해야 서플라이 체인 공격을 막으려면 애초에 해당 장비를 구매하지 않는 것이 가장 이상적인 해결책이다. 그러면 하드웨어 자체가 가진 백도어 공격 기능을 원천적으로 차단할 수 있다. 하지만 현실적으로는 불가능하다. 글로벌 IT장비 공급에서 중국 영향력이 막강한데다 국내에서는 단가와 설비 문제로 자체 생산 역량이 부족한 실정이다. 결국 자체 생산이 어렵다면 최소한 설계도면과 장비가 일치하는지 확인하는 검수를 엄격히 시행해야 한다. 이상진 고려대 정보보호연구원 디지털포렌식연구센터장은 “디지털 주권을 지킨다는 관점에서 자국 내에서 정보보호를 강화해야 하는데 실상을 살펴보면 하드웨어는 중국이 석권하고, 소프트웨어는 미국이 석권하고 있다”면서 “현실적으로 한국이 디지털주권을 지킬 수 있을 만큼 역량이 부족하고, 자국에서 모든 장비를 생산할 수 없다면 최소한으로 악성 칩을 검사할 수 있는 능력을 확보해야 한다”고 언급했다. 김용대 센터장은 “서플라이 체인 공격에 쓰이는 칩은 굉장히 작기 때문에 일반인이나 일반기업 수준에서는 발견하기 어렵다”면서 “설계한 하드웨어와 맞는지 확인할 수 있도록 최소한 기업체 단위에서, 크게는 정부 단위에서 가이드라인을 만들고 확인하는 절차를 가져야 한다”고 설명했다. 식품의약품안전처가 외국에서 수입하는 식품이 안전한지 여부를 무작위 검사 같은 방법으로 꾸준하게 확인하듯이, 하드웨어 장치도 보안 관점에서 안전 여부를 항상 확인해야 한다는 의견이다. 소프트웨어적인 해결책으로는 단순히 파일 검사를 진행하는 수준에서 그치지 말고 프로세스 구동 단계에서부터 실시간으로 감시해야 한다는 지적도 나온다. 정상적인 절차를 거치지 않는 징후가 나타났을 때 이를 탐지해 역으로 기만하는 방식으로 피해를 줄이는 방안이다. 권석철 큐브피아 대표는 “서플라이 체인 공격은 보안시스템으로 잡기 어렵지만 프로세스 구동 단계에서 이상 징후를 실시간으로 감지하고 분석할 수 있다면 피해를 최소화할 수 있다”면서 “이상 징후를 확인할 수 있다면 진본 파일이 아니라 가짜(fake) 파일을 보내는 식으로 백도어가 정상 구동되는 것처럼 착각하도록 만들 수 있다”고 조언했다.  

Read more

[보도자료] 보안 완벽 블록체인?, '51% 공격'으로…
보안 완벽 블록체인?, '51% 공격'으로 올해만 2000만달러 털렸다  전자신문  |  발행일: 2018.10.31  |  정영일 기자 jung01@etnews.com  |  원문보기    블록체인을 무력화하는 '51% 공격'으로 올해만 2000만달러(227억원)가량 피해가 발생했다. 올해 4~6월 비트코인골드, 젠캐시, 버지코인 등이 잇달아 공격받아 일부 거래소는 해당 코인 거래를 정지시켰다. 국내서도 블록 내 암호를 풀면(채굴하면) 일정한 보상을 주는 작업증명(PoW) 방식을 채용한 다양한 기업 코인이 발행돼 블록체인 안전성 검토가 필요하다는 지적이 나온다.31일 사이버범죄 조사기업 그룹-IB가 발표한 '첨단 범죄 동향(Hi-Tech Crime Trends 2018)' 보고서에 따르면 올해 해커의 블록체인 무력화 '51% 공격'으로 1950만달러가 탈취됐다. 이들 공격은 상대적으로 블록체인 블록 규모가 작은 소규모 암호화폐에 집중됐다.51% 공격은 블록체인 네트워크에서 특정 집단이나 개인이 전체 절반을 초과한 컴퓨팅 연산자원(해싱파워)을 확보해 원장 기록을 위·변조하는 행위다. 해커는 블록체인에서 절반 이상(51%) 참여자 동의가 있으면 해당 노드 내용·정보 등 변경 가능하다는 점을 노렸다.51% 공격으로 네트워크 통제 가능하기 때문에 시스템 정지, 거래 검증·채굴작업 중단뿐 아니라 거래 확인도 할 수 없게 한다. 블록체인 네트워크에 두 가지 거래를 동시에 진행하는 이중지불 행위까지 가능해진다. 한 쪽으로는 채굴을 계속하면서 다른 쪽으로는 따로 거래를 발생시켜 거래소 등을 통해 돈을 빼돌리는 것이다. 보고서는 “이중 결제가 작업증명 블록체인의 가장 큰 위협”이라면서 “전체 네트워크 파워를 제어하지 않고도 해커가 모든 것을 통제해 51% 장악으로 만들어진 블록은 기존 원장을 대체하게 된다”고 설명했다. 올해 해커 공격은 소규모 블록체인을 형성한 알트코인에 집중됐다. 채굴 경쟁이 높거나 이미 상당한 블록을 형성한 비트코인 등은 절반이상 네트워크를 확보하는 것이 불가능에 가깝다. 때문에 채굴 경쟁이 낮은 소규모 코인에 공격이 몰린다. 올해 4월 버지코인은 51% 공격으로 100만달러가 탈취됐고 6월 젠캐시도 55만달러가 털렸다. 라이트코인은 해커 공격으로 원활한 블록형성 등이 되지 않았다.올해 가장 큰 피해는 비트코인골드(BTG)에서 발생했다. 공격자는 BTG 네트워크 대부분을 장악해 38만8200BTG를 개인 지갑으로 전송했다. 이 여파로 미국 비트렉스 거래소가 BTG를 상장폐지 시켰고 국내서도 업비트 등이 해당 코인을 퇴출 시켰다.김용대 KAIST 교수는 “메인넷에 코인이 올라가거나 상장되면 해커 공격 대상이 돼 대책을 세워야 한다”면서 “51% 공격 외에도 블록체인을 무력화시키는 공격이 이미 세계 각지에서 시도되고 있는 만큼 주의해야 한다”고 말했다.  

Read more

[보도자료] "블록체인 테스트 플랫폼 만들겠…
"블록체인 테스트 플랫폼 만들겠다" 김용대 KAIST 사이버보안연구센터장..."보안 산업 서비스가 대세" ZDNet Korea  |  발행일: 2018.10.09  |  임민철 기자 imc@zdnet.co.kr  |  원문보기  "블록체인을 테스트할 수 있는 플랫폼이 별로 없다. 어떤 블록체인이 나오면 수치적으로 표현할 수 있는 것과 없는 것을 평가할 수 있도록 평가하는 기술을 개발해 플랫폼화하려 한다. 우리 플랫폼을 이용하면 개발회사는 빨리 개발할 수 있고, 벤처캐피탈(VC)과 암호화폐 거래소는 표준화된 평가결과를 받을 수 있다." ​김용대 한국과학기술원(KAIST) 정보보호대학원 사이버보안연구센터(CSRC)장 겨 한국블록체인협회 정보보호위원장은 최근 지디넷코리아와의 인터뷰에서 이 같이 밝혔다. 그는 지난해 12월 CSRC 3대 센터장으로 취임했다.​김센터장은 "지금 보안은 대다수 제품에 내재화되고 있고, 보안 산업이 장비 위주에서 서비스 위주로 넘어가는 시대"라면서 "기성 보안산업만 쪼개 놓고 보면 작아 보이지만, 우리가 못 보고 있는 보안(전문성)이 전체 산업에 끼치는 영향이 지대하다. 현재 보안 인력들, 정말 잘 하는 이들 다수가 보안 기업이 아니라 삼성전자, 현대자동차, 네이버에 가 있다"고 밝혔다.​그는 한국블록체인협회 정보보호위원장 역할도 맡고 있다. 작년말부터 올해 상반기까지 이어진 국내 암호화폐거래소 해킹사고와 관련해, 국내 거래소의 전반적인 보안 수준을 높일 수 있는 방안을 고민 중이다. 10월 중순께 워크숍을 열어 국내 암호화폐거래소에 일종의 보안 레퍼런스를 제시할 예정이다. 또 협회 차원의 보안성심사 활동을 지속하고 네거티브 규제 형태의 자율규제안도 내놓을 방침이다.  한국과학기술원(KAIST) 정보보호대학원 사이버보안연구센터장 김용대 교수.​다음은 김 교수와의 1문 1답이다. -CSRC에서 진행 중인 연구 프로젝트 현황을 간단히 설명해 달라​"연구 1실과 2실이 있다. 2실은 이전부터 악성코드나 웹취약점 찾는 웹크롤러를 만들어 왔는데 군, 민간 이용자들과 성능 개선 작업 중이다. 외부에서 데이터를 활용할 수 있는 API 개발, GDPR 위반사례나 자바스크립트 취약점 찾기를 지원할 계획도 있다. 1실은 역공학이나 취약점 분석 목적으로 바이너리를 주면 소스코드로 변환해주는 소프트웨어(SW)를, 현존하는 상용SW보다 더 좋게 만드는 작업을 하고 있다."​-기존 연구 외에 새로 추진되고 있는 작업은 무엇인가​"블록체인을 테스트할 수 있는 플랫폼이 별로 없다. 블록체인 노드를 아마존에 배포하면 아마존에 직접 부하 테스트나 공격을 할 수가 없으니까. 어떤 블록체인이 나오면 수치적으로 표현할 수 있는 것과 없는 것을 평가할 수 있도록 평가하는 기술을 개발해 플랫폼화하려고 한다. 우리 플랫폼을 이용하면 개발회사는 빨리 개발할 수 있고, 벤처캐피탈(VC)과 암호화폐 거래소는 표준화된 평가결과를 받을 수 있다."​-취임 이후 보안기술세미나 운영과 신기술 교육 사업에 관심을 기울인 걸로 안다​"작년에 보안기술세미나 '시큐리티앳카이스트'를 했는데, KAIST가 보유한 여러 좋은 보안기술을 이전할 목적으로 발표하는 자리였다. 보안업체 대상으로 사업화 기회 제공 차원에서 진행한 건데, 실은 LG전자, 현대자동차 이런 데서 많이 참석했다. 올해는 LG전자 요청을 받아 그 보안담당자 30여명 대상으로 1개월간 교육을 했고. 내년에도 KAIST 차원에서 비용효율적으로 사회에 영향을 줄 방법을 고민하고 있다."​-향후 CSRC 운영방향을 어떻게 가져갈 계획인가​"CSRC 내부에선 교수와 학생의 거리를 좁혀서, 센터 직원, 학부 학생, 대학원생들과 함께 일하는 프로젝트를 늘리고 싶다. 좋은 논문을 발표하는 동시에 상업적인 성과도 늘릴 수 있길 기대한다. KAIST와 센터가 우리나라 산업과 교육 분야에 얼마나 비용효율적으로 기여할 것인지, 연구 관점에선 충분한 예산을 확보해 실질적으로 산업계과 사업체에 영향을 끼칠 것인지 고민하고 있다.​교수들이 산업계와 학계의 '인터페이스' 역할을 잘 할 수 있는 환경을 만들고 싶다. 올해 한 일 대부분 교수들의 강의와 행사 관련 행정업무 부담을 줄이는 거였다. 상반기 블록체인 행사, 정보통신망 정보보호컨퍼런스, 하반기 블록체인 행사와 김치콘 등 치를 때 CSRC에서 행정업무나 스폰서 맡았다. 작년까지는 학생 도움을 받거나 교수들이 했던 일이다. 기술 프로모션 하는 곳에 재정 후원 역할도 지속할 계획이다."​■ "국내 보안 학계 및 업계 과소평가 받고 있어"​-국내 보안업계에 아쉬운 점, 긍정적인 점을 꼽는다면​"지금 보안은 대다수 제품에 내재화되고 있다. 결국 많은 보안인력이 일반 기업에 필요해진다. 보안 산업이 장비 위주에서 서비스 위주로 넘어가는 시대다. 기성 보안산업만 쪼개 놓고 보면 작아 보이지만, 우리가 못 보고 있는 보안(전문성)이 전체 산업에 끼치는 영향이 지대하다. 그런데 우리가 잘 키운 학생들이 일반 산업계에 이미 큰 영향을 끼치고 있는데 제대로 평가되지 않고 있다. 삼성전자 '녹스(Knox)'는 세계적으로 정말 좋은 제품인데 그게 보안산업 성과로 인식되지 않고 있다. 정말 뛰어난 보안인력 다수가 보안전문기업이 아니라 삼성전자, 현대자동차, 네이버에 가 있다. 이들이 보안산업계의 아웃풋으로 카운트되지 않는다. 그만큼 학계, 업계가 과소평가된 부분이 있다고 본다.​과거보다 실질적으로 보안에 투자하겠다는 의지를 갖는 회사가 늘어나고 있다는 점에선 좋다. SW보안취약점 정보를 제보하는 행위에 대한 기업의 태도도, 과거엔 고소부터 했다면 이제는 꽤 관대해졌다. 한국인터넷진흥원(KISA) 버그바운티 참여 기업도 늘어나고 있고. 우리 보안 산업계 수준을 시장경제체제에 가깝게 만들려는 노력이 가시화하고 있다. 규제 위주 보안 산업에서 경쟁위주, 실력을 키우는 보안 산업으로 바뀌고 있다는 점은 긍정적으로 본다. 이걸 반대하거나 하기 싫어하는 이들이 앞으로 힘들어질 수 있지 않을까."​-보안 산업계가 어떻게 움직이길 기대하나​"기술 발전, 소비자의 필요, 이런 걸 고려해 제품과 기술을 개발해야 한다. 팔릴 기술, 세계 1위 기술 만들어야 한다. 사회적 문제 해결이나 어떤 간극을 메우는 역할을 하는 부분, 당연히 해야하기 때문에 하는 과제도 있겠지만, 기본적으로 꽤 많은 부분은 세계 1위가 목표여야 한다. 국가과제뿐아니라 산업체의 과제도 그렇다. 가장 중요한 가치고 회사들도 그런 목표 가져야 한다.​정부는 시장을 보는 게 아니니까, 그런 걸 정부 주도로 추진하면 실수할 수 있다. 예를 들어 우리가 '공인인증서'를 15년 했지 않나. 공개키인프라(PKI)를 오래 개발해 왔다. 왜 미국에 수출을 못 했을까. 비밀키를 저장할 곳이 별로 없었다. 스마트카드나 SIM카드에 넣었으면 좋았겠지만 그럼 비용이 올라가고, 사용자에게 귀찮아지고, 이동성은 떨어진다. 하드디스크에 담으면 비밀키를 훔쳐갈 우려가 있었다.​15년 지나 ARM이 '트러스트존'이란 보안기술을 내놔 비밀키를 안전하게 보관할 방법이 생겼다. 모바일로 PKI를 편리하게 쓸 수 있는 환경이다. 미국은 FIDO 표준으로 PKI 인증을 막 보급 중이다. 과거 한국은 이런 환경 없이 꾸역꾸역 썼고 딴데선 안 쓰니까 세계 1위였던 거다. 그간 이런 기술을 좀 더 안전하게 써왔다 할 수도 있겠지만, 지금 보면 공인인증서는 해외에, 미국에 수출할 수 있는 기술은 아니었던 거다.​공인인증서가 독점 기술이었다는 게 더 큰 문제다. 지금도 법조문에 어떤 장비를 쓰라고 나와서, 기업은 실제 보안을 강화하는 것보다 그걸 우선한다. 안전한 프로세스를 갖추되, 어떻게 할지는 알아서 하라, 개인정보 유출하면 징벌적 배상 책임 묻겠다, 이러면 자연스레 경쟁을 유도할 텐데. 기업들이 시장경제체제 안에서 공개적인 검증을 통해 선택받고, 자연스럽게 경쟁해 살고 죽는다면 더 빨리 발전하지 않을까."​■ "암호화폐거래소 보안 체크리스트식은 한계...네거티브로 가야"​-한국블록체인협회 정보보호위원장으로서 활동계획은​"한국블록체인협회 자율규제차원의 보안성 심사를 하반기에도 계속하려고 한다. 10월 중순쯤 우리가 생각하는 베스트프랙티스 워크숍을 할 생각이다. 레퍼런스같은 것을 보여주려고. 네거티브 규제를 하고 싶은데, 거래소들이 어떻게 생각할지는 모르겠다. 해야 하고, 할 능력을 키워야 하고, 보안 컨설팅도 받아야 하고, 기본적으로 잘 아는 사람이 생겨야 한다.​당장은 포지티브규제에 익숙해진 관점에서, 네거티브규제 환경에 어떻게 대응해야 할지 모르는 분들이 많다. 왜 체크리스트를 주지 않으려고 하냐고 묻는다. 포지티브규제는 범위를 정할 수밖에 없다. 서버에 대한 체크리스트를 만들 수는 있겠지만 콜드월렛의 체크리스트는 어떻게 만들 것인가. 거래소의 모든 곳이 다르게 구현돼 있다. 전부 다르게 구현된 시스템을 단일한 형태의 체크리스트로 점검할 수는 없다.​다 다르니까 다르게 보안을 해야 한다. (체크리스트에) 너무 많은 걸 넣으면 '못 한다'고 할 거고 상호 교차지점만 보안하라고 하면, 상이한 영역의 보안은 못하게 된다. 결국 네거티브 규제밖에 할 수 없다. 설계해 보고, 분석해야 평가할 수 있다. 우리 인프라가 이렇고 구현이 이러니 공격 위험은 어떤 것이고 그걸 어떻게 막겠다, 이렇게 회사가 자기 인프라를 정확히 이해하고 필요한 보안장비를 사고 해야 한다."​-거래소 담당자들의 인식이 바뀌어야 한다고 보나​"제일 중요한 건 CEO의 마인드다. CEO가 자기가 CISO보다 더 많이 안다고 생각하는 건 굉장히 위험하고, CISO도 자기가 과거 15년 했다 하면서 전문적이라 생각하는 것도 문제가 많다고 본다. 보안 기술이 바뀌면 문제도 바뀌는데, 그에 적응 안 해왔다면 문제다. 시스템 설계도 바뀌고 뱅킹 인프라도 바뀌고 모든 시스템이 바뀌듯이, 설계 단계부터 장기적으로 어떻게 할지도 고려해야 한다."  

Read more

[보도자료] 심재철 의원님, 백스페이스 두번도 해…
심재철 의원님, 백스페이스 두번도 해킹은 해킹입니다 경향신문  |  발행일: 2018.10.06  |  백철 기자 pudmaker@kyunghyang.com  |  원문보기   10월 2일 국회 대정부 질문에서 심재철 자유한국당 의원이 김동연 경제부총리에게 질문하고 있다. / 권호욱 기자   해킹이란 무엇인가. 비전문가에게 해킹은 수준 높은 컴퓨터 관련 지식을 갖고 있는 사람만이 할 수 있는 어떤 특별한 행위다. 평범한 사람은 해킹을 하고 싶어도 할 수 없는 것처럼 느껴진다. 심재철 자유한국당 의원의 인식도 평범한 수준이었다. 10월 2일 국회 대정부 질문에서 심 의원은 디지털예산회계시스템(dBrain·디브레인)에서 자신이 국회의원실 권한으로는 접근할 수 없는 자료에 접근한 방법을 시연한 동영상을 틀었다. 동영상에는 심 의원이 재정정보시스템 검색창에서 직접 백스페이스 키를 두 번 눌러 권한 외 자료에 접근하는 모습이 담겨 있었다. 심 의원은 “제 보좌진들은 해킹 등 전혀 불법적인 방법을 쓰지 않았다”며 당당한 목소리로 말했다.  “어떤 시스템이라도 버그는 있을 수 있어”  보안 전문가들이 생각하는 ‘해킹’은 심 의원이 생각하는 ‘해킹’과는 달랐다. 물론 일반 대중의 생각처럼 복잡한 기술을 필요로 하는 해킹도 있다. 하지만 심 의원의 해킹은 디브레인 시스템 상의 취약점을 이용한 경우다. 수준 높은 컴퓨터 관련 지식이 없는 일반인도 충분히 재연할 수 있는 수준이다. 김승주 고려대 정보보호대학원 교수는 불법적인 툴을 쓴 경우만 해킹이라는 인식은 잘못된 것이라고 말했다. 그는 “어떤 시스템이라도 버그는 있을 수 있다. 버그가 존재하는 한 그걸 악용할 수가 있는데, 쉽게 발견되는 버그는 악용하는 방법도 쉽다. 반면 발견하기 어려운 버그를 이용하려면 복잡한 해킹툴이 필요한 것”이라고 말했다.  김승주 교수는 해커를 지망하는 젊은 사람들 사이에서는 비전문가들도 충분히 할 수 있는 수준의 해킹도 많이 일어나고 있다고 설명했다.  전문가들은 심재철 의원실의 해킹과 형태가 비슷했던 사례로 에드워드 스노든을 꼽는다. 미국 국가안보국 직원이었던 스노든은 미국의 국가 감시체계를 폭로하기 위해 국가안보국의 자료 170만여건을 갖고 러시아로 망명했다. 스노든의 해킹 역시 시스템 내부에서 벌어진 일이며, 웹크롤러(자동으로 인터넷 링크의 자료를 수집하는 프로그램)라는 단순한 프로그램을 이용한 것이라는 점에서 심재철 의원실의 해킹과 비슷하다. 다만 스노든은 해킹한 자료를 통해 미국의 전자감시체제인 프리즘의 실체를 폭로했다는 점에서 공익성 면에서는 심재철 의원실의 해킹과 큰 차이가 있다. 김승주 교수는 정보통신망법 58조 1항에 “누구든 허용된 접근권한을 넘어 정보통신망에 침입해서는 안 된다”고 쓰여 있다는 점을 강조했다. 그는 “심재철 의원실이 자신의 권한을 넘어선 자료에 들어갔을 때 고의성이 있었는지, 해킹툴을 썼는지 여부는 전혀 상관이 없다. 자신에게 허용된 권한을 넘은 것 자체가 해킹이다”라고 말했다.  디브레인을 운영하고 있는 한국재정정보원도 일단은 심재철 의원실이 불법적인 툴을 사용했는지 여부는 밝히지 못하고 있다. 재정정보원의 설명에 따르면 디브레인에는 하루 평균 1만6000여명이 접속해 51만여건의 예산 지출건이 처리되고 있다. 이체규모만 하루 8조원 수준이다. 심재철 의원실이 다운받은 자료는 디브레인 내의 재정분석시스템 자료다. 재정분석시스템은 각 부처 공무원들이 만든 예산 자료를 바탕으로 여러 가지 예산정책에 참고할 수 있는 통계자료 등을 보여주는 시스템이다. 국회의원실, 일반 공무원 등 접근 권한에 따라 애초에 로그인 화면이 다르다는 게 재정정보원의 설명이다. 즉, 애초 의원실용 계정으로는 다른 계정에 어떤 자료가 담겨 있는지 알 수조차 없다는 것이다.   ‘백스페이스 키 두 번’ 우연일까  재정정보원은 심재철 의원실의 해킹을 인지한 9월 12일 이후 심 의원실에서 사용한 3개 계정의 로그파일을 분석했다. 현재까지는 심 의원이 국회 대정부 질문에서 동영상으로 보인 설명 자체는 거짓이 아니라는 게 재정정보원의 설명이다. 재정정보원은 로그파일을 분석한 결과 심 의원실 계정에서 9월 3일 디베이스에 정상적으로 접속해 예산배정 화면에서 백스페이스 키를 두 번 눌러 의원실 계정의 권한으로는 볼 수 없는 자료가 담긴 뉴루트 폴더에 접근한 것을 확인했다고 설명했다. 재정정보원은 애초에 ‘백스페이스 키 두 번’을 심재철 의원실이 어떻게 알았는지 의구심을 갖고 있다. 재정정보원 관계자는 “정말 우연히 뉴루트 폴더에 들어간 게 맞다고 해도 두 번째 접속부터는 분명히 알면서도 고의로 비인가 자료에 접근한 것이다. 의원실에서 ‘우연히’ 들어간 방법을 어떻게 알게 됐는지 사법당국이 밝혀주길 바란다”고 말했다.  심재철 의원실이 ‘백스페이스 키 두 번’을 우연히 발견한 게 아닐 수도 있다. 시스템 취약점을 공략하는 노하우가 있는 이의 도움을 받았을 수 있다는 의견도 있다. 부산 등지에서 오랫동안 민간조사원으로 활동해온 이진환씨(가명)는 기자와의 통화에서 정치권과 연계되어 활동하는 해커들이 존재한다고 말했다. 이씨는 “원로급 흥신소와 연결된 분들 중에서는 정치권에서 이용하기도 하고 정치권을 통해 돈을 만드는 사람들도 있다”고 말했다.     9월 21일 검찰 직원들이 비공개 예산정보 유출 혐의로 심재철 자유한국당 의원실을 압수수색하자 심 의원의 보좌진들이 과정을 지켜보고 있다. / 권호욱 기자   그는 2011년 10월 26일 서울시장 보궐선거 당시 중앙선관위 디도스 공격 사태를 언급했다. 이날 오전 9시부터 12시까지 중앙선관위 홈페이지에 디도스 공격이 가해져 일반인들이 변경된 투표소를 찾는 데 어려움을 겪었다. 검·경은 박희태 당시 국회의장의 전 비서 등 5명을 조사했지만 결국 최구식 의원의 전직 비서 1명만 사법처리되는 데 그쳤다. 이씨는 “그때도 이쪽 업계에서는 실제 작업한 사람은 따로 있을 것이라는 말들이 무성했지만 실제로 디도스 프로그램을 만든 사람은 못 잡은 거 아니냐. 이렇게 음지에서 활동하면서 합법과 불법의 경계에 있는 일들을 하는 사람들이 있다”며 “저처럼 오랫동안 민간조사원 일을 하고 싶은 사람은 합법적인 방식으로만 일한다”고 말했다. 이씨와 같은 민간조사원들은 모든 일을 혼자 다 하지 않는다. 자신의 능력이 모자라는 부분에 대해서는 특정 분야의 전문가들과 손을 잡고 일하기도 한다. 이씨는 중국 등 해외에 기반을 둔 커뮤니티에서 이런 ‘전문가’들을 만날 수 있다고 말했다. 그는 “경쟁 핸드폰 가게의 고객정보도 금세 빼낼 수 있었던 10여년 전보다는 어려워졌다고는 하나, 여전히 원격조종 등을 통해 휴대전화 도청, 메신저 확인을 할 수 있다며 물건을 팔겠다는 해커들이 중국 커뮤니티에 글을 올리고 한다. 사기꾼들도 있지만 진짜도 많다. 쉽게 잡을 수는 없겠지만 의원실에서 이런 이들과도 접촉이 있었는지에 대해서도 수사해야 한다”고 말했다.   “정부 시스템의 보안 강화해야”  한편, 재정정보원의 자료 관리가 허술한 것 아니냐는 지적도 있다. 중소기업에서 서버 관리자로 일하고 있는 ㄱ씨는 “비인가 폴더에 비밀번호가 걸려 있었다면 심재철 의원실에서 자료 접근에 성공했더라도 다운로드는 받지 못했을 것”이라고 말했다.  재정정보원에서도 이번과 같은 ‘내부 해킹’에 대한 대비는 취약했다고 인정하고 있다. 그동안 재정정보원은 재정정보시스템의 활용도를 높이기 위해 국회에만 600개 이상의 계정을 만들었다고 설명했다. 이런 이유로 9월 3일 이후 심재철 의원실에서 추가 계정을 신청했을 때도 신속히 발급해준 것이다. 재정정보원 관계자는 “지난 12년간 외부의 해킹 시도에 시스템이 뚫린 적이 한 번도 없다. 더구나 내부 칸막이를 이렇게 넘나드는 일은 없었다”며 “일단 정상적으로 로그인한 아이디가 무슨 활동을 하는지 실시간으로 감지하는 것이 현실적으로 쉽지는 않다”고 말했다. 김승주 교수는 보안을 강화하면 활용도가 떨어지는 현실적인 문제도 있다고 지적했다. 그는 “일정 권한 이상의 파일이나 폴더에 전부 추가 암호를 설정할 수도 있고, 접속한 계정의 활동을 실시간으로 모니터링할 수도 있다. 하지만 의원실 활동에 대한 감시 논란이 있을 수도 있고, 이용하라고 만들어 놓은 시스템인데 보안장치가 많으면 활용도가 떨어질 수밖에 없다”고 말했다. 김용대 카이스트 전기·전자공학부 교수는 현행 정보통신망법을 고쳐 외부에서도 시스템의 취약점을 개선할 수 있도록 해야 한다고 말했다. 김용대 교수는 “백스페이스 두 번으로 비인가 자료가 뚫릴 정도라면 시스템 구현에 심각한 문제점이 있는 것이다. 하지만 정보통신망법 48조 3항 때문에 기관에서 먼저 요청하지 않는 이상 외부의 전문가들이 취약점이 무엇인지 알아낼 방법이 없다”고 말했다. 정보통신망법 48조 3항은 망의 운영을 해할 목적으로 대량의 데이터를 보내는 등 망에 장애를 일으켜서는 안 된다고 규정하고 있다. 화이트 해커(개선 목적으로 보안 취약점을 발견하는 컴퓨터 전문가)들이 정부기관 네트워크의 보안 취약점을 알아보려고 시도만 해도 법적 조치를 받을 수 있다는 게 김용대 교수의 설명이다.  그는 외부 전문가들이 보안 취약점 개선을 목적으로 네트워크에 접속하는 것에 대해서는 법적인 처벌을 받지 않도록 정보통신망법이 개정돼야 한다고 말했다. 일정 기준을 만족하는 외부 전문가들이 정해진 절차를 밟아 일상적으로 시스템의 취약점을 감시한다면 시스템의 보안이 한층 강화될 것이라는 이야기다.  김용대 교수는 “심재철 의원실 해킹의 불법성도 분명히 이야기해야 하지만, 이번 일로 정부 시스템의 보안 허점도 드러났다. 특히 정부가 운영하는 시스템은 취약점 점검을 의무화하게 하는 등 정부 시스템의 보안이 강화되는 방향으로 결론이 나야 한다”고 말했다.  

Read more

[보도자료] [해설]개인정보 유출에서 해킹까지...…
[해설]개인정보 유출에서 해킹까지...페이스북 어떻게 당했나  전자신문  |  발행일: 2018.09.30  |  정영일 기자 jung01@etnews.com   |  원문보기  개인 사생활이 기록되는 페이스북을 둘러싼 보안 사고가 끊이지 않는다. 페이스북은 올 초 캠브리지 애널리티카(CA)에 개인정보를 판매 한데 이어 해킹까지 당했다. 이번 해킹은 페이스북과 연동한 다른 웹사이트, 앱 등도 모두 위험에 처했다. 페이스북은 네트워크 해킹 공격을 당해 최소 5000만 명 이상 개인 정보가 유출될 상황에 놓였다. 정구홍 그레이해쉬 수석연구원은 “해커가 이용한 취약점은 매우 단순한 수준”이라고 분석했다. 페이스북은 화이트해커를 활용해 서비스에서 보안 취약점을 찾는 '버그 바운티'를 운영한다. 페이스북은 버그 바운티 모범 사례로 언급되는 기업이다. 김용대 KAIST 사이버보안연구센터장(교수)은 “버그 바운티를 운영하며 취약점 보완에 힘쓰는 기업도 언제든 해커 표적이 될 수 있다”면서 “공격과 방어에 끝이 없다”고 말했다.  <페이스북이 해킹을 당했다. 서울 강남구에 위치한 페이스북코리아. 이동근기자 foto@etnews.com> 해커는 페이스북 '공개범위 설정(뷰 애즈)' 기능 취약점을 노렸다. 뷰 애즈 기능은 이용자가 개인 정보 공개 노출 범위를 설정하는 기능이다. 해커는 액세스 토큰 코드 특정 기능을 공격해 계정을 덮어쓰는 방식으로 침투했다. 액세스 토큰은 암호 자체는 아니지만 계정에 로그인 가능한 정보를 담고 있다. 해당 액세스 토큰을 가져가면 비밀번호 없이 계정에 로그인한다.이번 해킹은 페이스북 '뷰 애즈' 기능 내 3가지 취약점이 공통적으로 맞물리면서 벌어졌다. 먼저 '뷰 애즈'는 페이스북 내에서 다른 사람이 자신 타임라인을 볼 때 화면을 가상 체험하게 하는 기능이다. 페이스북에 '나만보기' 등과 같이 자신이 올린 게시물이 제대로 적용이 됐는지 확인하고자 하는 이들을 위해 제공하는 서비스다. '뷰 애즈' 기능 안에서 타인이 보는 화면을 가정했한다. '게시물 올리기' '그룹만들기' 등 인터페이스가 남아있으면 안 된다. 하지만 페이스북은 실수로 생일축하하기 버튼에 동영상을 업로드하게 했다. <해커는 페이스북 공개범위 설정(뷰 애즈) 기능 취약점을 노렸다. 뷰 애즈 기능은 이용자가 개인 정보 공개 노출 범위를 설정하는 기능이다.>  외부 공격자는 특정 방법을 이용해 동영상 업로더에 접근했고 페이스북 모바일 애플리케이션(앱) 로그인 가능한 '액세스 토큰'을 탈취했다. 여기서 생성된 액세스 토큰을 공격자가 확인 후 계정에 접근 가능한 '키'를 가져갔다. 이번 해킹으로 페이스북 비밀번호가 노출된 것은 아니지만 탈취한 액세스 토큰을 이용해 비밀번호나 2단계 인증을 사용하지 않고도 API를 이용해 계정 정보 탈취 가능하다.해킹 사실이 알려진 후 미국 현지에서는 집단소송에 대한 움직임까지 포착되고 있다. 캘리포니아 북부 지방법원에는 28일 페이스북을 상대로 한 고소장이 접수됐다. 소송을 제기한 이들은 페이스북이 적절한 보안조치를 취하지 않아 개인데이터 보호에 실패했다고 주장했다. 

Read more

[행사소식] 블록체인 개발자 한자리에…BUIDL 서…
블록체인 개발자 한자리에…BUIDL 서울 2018 다음달 개최  전세계 블록체인 개발 구루 대거 방한워크샵에서 30여 프로젝트 기술 공개 매일경제  |  발행일: 2018.10.01  |  김용영 기자  |  원문보기    전세계 블록체인 개발자들이 한자리에 모이는 컨퍼런스인 비들(BUIDL) 서울 2018이 다음달 29일, 30일 이틀간 서울시 강남구 소재 르 메르디앙 서울에서 개최된다.  ‘비들(BUIDL)’은 ‘빌드(BUILD)’와 동일한 뜻을 가진 블록체인 분야의 신조어다. 빌드 단어를 타이핑하다가 오타가 난 것을 시작으로 블록체인 분야에서 자신들만의 은어로 폭넓게 사용되고 있다. 빌드는 특히 소프트웨어 개발 분야에서 소스 코드를 실행할 수 있는 가공물로 만드는 모든 과정을 의미한다.  이번 컨퍼런스도 빌드, 즉 비들이란 단어의 취지에 맞춰 개발자, 학계 연구자 등 블록체인 부문에서 실제로 무언가를 만들고 있는 인물들을 초대해 성과와 인사이트를 공유하는 장으로 자리매김하겠다는 취지다. 참가 연사들의 면면도 화려하다. 블록체인의 인터넷이라 불리는 코스모스(Cosmos) 프로젝트의 재 권 대표, 암호화폐 월렛 개발사인 카사(Casa)의 제임슨 롭 인프라스트럭처 엔지니어, IBM 테크니컬 솔루션 부문의 전 최고기술책임자(CTO)이자 사물인터넷(IoT) 블록체인 프로젝트인 비욘드 프로토콜의 거빈더 알루와리아 창업자 등 전세계 블록체인 개발 구루들이 대거 방한한다. 국내에서도 암호학의 대가인 천정희 서울대 교수, 손꼽히는 보안 전문가인 김용대 카이스트 교수, 서울대 블록체인 학회인 디사이퍼의 김재윤 회장 등이 강연을 갖는다.  이밖에 30여 프로젝트들이 참가하는 테크니컬 워크숍도 1박 2일에 걸쳐 함께 진행된다. 코스모스와 함께 탈중앙화 거래소 프로젝트인 카이버 네트워크, 기업용 블록체인인 카데나, 국내 플랫폼 블록체인 프로젝트인 아르고 등이 발표를 갖고 기술과 노하우를 공유할 예정이다.  컨퍼런스 주관사인 크립토서울의 강현정 대표는 "한국 블록체인 산업이 투자자들과 투기현상으로 많이 알려져있지만 거품이 꺼지면서 근본적인 기술에 대한 관심이 커지고 있다”며 “이같은 트렌드를 반영해 `실제로 만들고 보여달라`는 의미의 비들(BUIDL)을 키워드로 블록체인의 근본적인 개념을 다양한 난이도에 맞춰 논의하는 장이 될 것”이라고 밝혔다.  비들 서울 2018은 이달 말까지 얼리 버드 판매를 진행하며 학생에게는 최저 가격 할인을 제공한다. 자세한 내용은 비들 서울 2018 홈페이지에서 확인할 수 있다.   

Read more

[행사소식] 4차 산업혁명 시대, 블록체인에서 가…
4차 산업혁명 시대, 블록체인에서 가능성을 찾다제주개발공사, ‘제7회 4차 산업혁명 아카데미’ 개최 보안뉴스  |  발행일: 2018.09.20  |  박미영 기자 mypark@boannews.com  |  원문보기  제주개발공사는 오는 28일 오후 4시 롯데시티호텔제주 4층 크리스탈볼룸에서 제7회 4차 산업혁명 제주아카데미를 개최한다고 밝혔다.[포스터=제주개발공사]이번 아카데미에는 ‘KAIST 김용대 교수가 전하는 블록체인 이야기’라는 주제로 김용대 KAIST 정보보호대학원 교수가 4차 산업혁명의 핵심 기술이라 불리는 블록체인의 기회와 기술적 한계 등에 대해 특강을 펼친다.김 교수는 KAIST 전기및전자공학부와 정보보호대학원 교수로 재임하고 있고 한국블록체인협회 정보보호위원회 위원장, KAIST 사이버보안연구센터 센터장 및 네이버 개인정보보호위원회 위원, 금융보안연구원 전자금융 보안기술 자문위원회 위원으로 활동하고 있다.최근 원희룡 제주특별차지도지사도 제주를 블록체인 특구로 지정하자는 내용을 정부에 건의했으며, 제주도의회 및 민간 컨퍼런스 등을 중심으로 활발하게 블록체인 허브 도시 가능성을 모색하고 있다.이번 아카데미에 참석을 희망하는 도민은 이날 선착순(500명)으로 입장할 수 있다.한편, 지난 3월부터 현재까지 총 6회에 걸쳐 진행되고 있는 4차 산업혁명 아카데미는 4차 산업혁명 시대에 제주가 나아가야 할 방향을 도민들과 함께 고민하는 장으로 자리매김하고 있다. 특히 제주개발공사는 블록체인 기술을 기반으로 한 유통·품질 혁신을 추진하는 등 4차 산업혁명 핵심 기술을 선도적으로 적용·운영하기 위해 노력할 계획이다.  

Read more

[보도자료] KISIA, 블록체인 전문위원회 발족
KISIA, 블록체인 전문위원회 발족 보안 연계 활성화…초대 위원장에 윤두식 지란지교시큐리티 대표 아이뉴스24  |  발행일: 2018.09.18  |  성지은 기자 buildcastle@inews24.com  |  원문보기  [아이뉴스24 성지은 기자] 한국정보보호산업협회(KISIA)가 '블록체인 전문위원회'를 구성했다고 18일 발표했다. KISIA는 보안과 블록체인 기술의 연계 활성화를 위해 산업계, 학계, 유관기관 등에서 전문가를 모아 위원회를 구성했다. 윤두식 지란지교시큐리티 대표가 위원장으로, 조훈 KT엠하우스 대표가 부위원장으로, 김용대 카이스트(KAIST) 교수가 기술고문으로 선임됐다. 위원회는 앞으로 블록체인 보안 이슈와 기술 현황을 지속적으로 공유하고 특히 블록체인 분야 보안 사고 발생 시 대책을 마련하기 위해 태스크포스(TF)도 구성할 계획이다. 이민수 KISIA 회장은 "최근 4차 산업혁명 핵심 기술로 블록체인 분야가 전 방위적으로 영향을 미치고 있다"며" 위원회와 함께 블록체인 보안강화, 정책적 지원 방안을 마련해 나가겠다"고 말했다.   

Read more

[보도자료] “韓 보안발전 저해하는 셋, 규제·인…
“韓 보안발전 저해하는 셋, 규제·인력·조직”  디지털데일리  |  발행일: 2018.08.28  |  최민지 기자 cmj@ddaily.co.kr   |  원문보기   [디지털데일리 최민지기자] “규제를 완화하고, 다양한 분야의 보안인재를 육성하고, 시큐리티를 고려할 수 있는 조직으로 변화해야 한다.”  지난 27일 삼성전자 서울 R&D 캠퍼스에서 열린 ‘제2회 삼성전자 보안기술 포럼(SSTF)’에서 한국의 정보보안 수준을 개선하려면 규제, 인력, 조직에 대한 변화가 필요하다는 의견이 개진됐다. 우선, 보안산업의 규제를 완화해야 한다는 주장이 나왔다. 보안은 규제와 정비례하는 시장으로 알려져 있다. 보안사고를 줄이기 위해 특정 기술을 도입하라는 규제와 가이드라인을 통해 보안기업의 먹거리도 창출되기 때문이다. 하지만, 이는 장기적으로 다양한 보안기술 출현과 경쟁을 막아 한국의 보안산업 발전을 막는다는 것.김용대 카이스트 교수는 “규제를 없애는 순간 한국은 오히려 발전할 가능성이 커진다”며 “시장경제에 맡기면서 필요한 기술에 대해 경쟁할 수 있게 하면 되는데, 특정 기술을 표준이니까 써야 한다고 말하는 순간 나머지 기술의 발전 저해를 초래한다”고 말했다. 이어 “규제보다는 자유롭게 경쟁했을 때 다양한 보안 산업이 발전되고, 학계·연구소·회사 간 다양한 협업이 나올 수 있다”며 “특정 기술을 사용하라고 하는 순간 보안 카르텔이라는 이야기가 나온다”고 덧붙였다. 세계적인 해킹방어대회에서 우승할 정도로 한국의 보안인력들의 수준은 높은 편이지만, 이를 실제 제품과 조직에 반영하기 어려운 환경이라는 지적도 이어졌다. 김휘강 고려대 교수는 “일부 연구진, 해커, 개인은 상당히 높은 수준에 도달했으나 이것이 제품화와 보안서비스로 이어져 동일한 수준에 도달했느냐는 다른 문제”라며 “대회에서 1등은 하지만 1등 보안제품이 없는 것이며, 정형화된 조직에서 이들이 제품 개발 인원으로 일하기에는 아직까지 어렵다”고 설명했다.아울러, 신승원 카이스트 교수는 “기업 입장에서는 개발을 일정에 맞춰 완료한 후 제품을 적기에 출시하는 것을 가장 중요하게 생각하기 때문에, 중간에 보안 이슈가 발생하더라도 출시 이후에 생각하자라는 반응이 많았다”며 “보안영역이 기업 내에서 어느 정도 컨트롤타워를 쥐고 있고, 제품 프로세스 내에서 보안이슈 발생 때 이를 감사하고 막을 수 있는 권한이 있어야 한다”고 제언했다. 이승진 그레이해쉬 대표는 보안인재들이 취약점뿐 아니라 신기술, 새로운 분야에 대해서도 도전해야 한다고 강조했다. 한국뿐 아니라 해외 연구그룹과의 활동도 늘어야 한다는 언급도 했다.이 대표는 “데프콘에서 우승했지만, 이 대회는 여러 해킹 분야 중 하나”라며 “한국 해커들은 신기술이나 선진적인 연구에는 잘 등장하지 않고 있어 아쉽다”고 전했다. 또 “한국 내에서만 활동하고 있다 보니, 문제를 푸는 지식은 높지만 기여할 수 있는 연구를 하는 점에서는 부족하다”며 “해외 커뮤니티에서도 한국 보안인재들이 활동할 수 있는 통로가 열리기를 바란다”고 말을 보탰다. 이에 ‘제2회 삼성전자 정보보안기술 경진대회(SCTF)’에서는 공격·방어뿐 아니라 코딩, 역공학, 암호학으로 이뤄진 5개 분야를 종합 평가했다. 공격과 방어에만 중점을 두는 기존 CTF와 차별화를 두고 실제 기업과 산업에서 쓰이는 분야와 신기술 및 최신 취약점에 대해서도 문제를 출제한 것이다. 올해에는 타이젠 운영체제(OS) 취약점, 머신러닝 문제, 트러스트존 취약점, 블록체인 스마트컨트랙트 취약점 등에 대한 문제가 나왔다. 지난해 암호학을 푼 참가자는 5명도 되지 않았는데, 올해는 12명 이상으로 늘었다. 안길준 삼성전자 전무는 “한국과 글로벌의 보안인재들이 단지 공격과 방어뿐 아니라 암호, 코딩 등 새로운 분야까지 봐야한다는 메시지가 성공적으로 SCTF에서 전달됐다”며 “개인전, 신기술을 포함한 다양한 보안 영역에 대한 문제 출제 등을 통해 더 많은 좋은 인력이 성장할 수 있을 것으로 기대한다”고 강조했다.   

Read more