Introduction

연구활동

센터소식

연구활동 센터소식
[보도자료] [KAIST AI를 선도한다] 문수복 사이버…
[KAIST AI를 선도한다] 문수복 사이버보안연구센터장, "정보보안 공익성 가져야"  전자신문 | 발행일: 2017.05.07 | 대전=김영준기자 kyj85@etnews.com  |  원문보기<문수복 KAIST 사이버보안연구센터장(전산학부 교수)>  “4차 산업혁명은 산업계는 물론 사회 전반에 영향을 미치게 됩니다. 정보보안 기술도 이에 대응해 공공성과 공익성을 담아 널리 퍼져야 합니다.” 문수복 KAIST 사이버보안연구센터장(전산학부 교수)은 “정보보안 기술 확대·보급이 제4차 산업혁명 및 AI 혁신을 위한 필수 조건이 될 것”이라면서 “보안이 확보되지 않아 확장성이 떨어지는 AI 기술은 세계 경쟁에서 뒤떨어진다”고 피력했다. 문 센터장은 국가 정보보안 기술 적용 확대와 이를 위한 인력양성에 힘쓰고 있다. 그는 이를 “제4차 산업혁명에 반드시 필요한 정보보안 기술에 확장성을 더하는 일”이라고 했다.2010년 11월 설립한 사이버보안연구센터는 전산학부가 중심이다. 센터는 당시만 해도 불모지에 가까웠던 국내 AI 정보보안 분야를 이끌며 통계학과 전산학을 기반으로 공익 목적의 각종 AI 보안 연구·보급·교육 업무를 하고 있다. “사이버보안연구센터는 2010년 당시 아무 것도 없던 우리나라 정보보안 환경에 주춧돌을 올렸습니다. 이후 어려운 상황 속에서도 꾸준한 연구 성과를 내온 자랑스러운 곳입니다.”문 센터장은 사이버보안연구센터의 대표 성과로 2012년 개발한 '사이먼 시스템'을 꼽았다. 사이먼 시스템은 국내 인터넷 사이트의 비정상 정보 및 유해 요인으로 인한 피해를 방지하는 시스템이다. 악성코드의 패턴화된 이동 경로를 파악해 감염을 막아준다. 최근에는 기계학습 기술을 적용해 웹에서 악성코드 탐지 경로를 자동으로 탐지하고 차단하는 기능을 추가했다.사이먼 시스템은 국내 사이버 정보보안 안정성을 한층 높인 기술로 평가된다. 사이먼 시스템 개발 이전에는 국가차원에서 위해 웹사이트 탐지하는 데 한계가 있었다. 현재 국내 공공기관에 무료로 제공, 국가 전반의 웹 안정성 확보에 기여하고 있다. 대국민서비스로 위해요소 탐지 주소, 보안 취약점 정보도 전면 개방하고 있다. “사이먼 시스템 같이 넓은 인터넷 공간을 다루는 탐지 기술은 세계에서도 구글을 비롯한 일부 기업, 연구기관만 시도했습니다. 세계에 자랑할 만한 대규모 연구성과입니다.”문 센터장은 사이버보안연구센터에 자부심이 대단했다. 국가 사이버보안 관리체계(NCSMC) 표준 정립, 사이버보안 수준 측정, 각종 지능형 사이버위협 대응기술 등 국가 정보보안 안정성 확보를 위한 주요 연구를 다수 수행하고 있다는 것이다. 정보보안을 위한 국가 핵심 인력 양성, 교육도 사이버보안연구센터의 주된 역할이다. 정부, 금융권, 산업계 경영진 등 사회 전반에 보안 직무교육을 체계적으로 실시한다. 우리나라 정부부처, 기관, 군 고위직 인사에 대한 교육에 힘쓰고 있다. 중요기관 내 정보보안 교육으로 공무원들의 보안 의식이 생기면 사회 전반에 끼치는 파급력이 크다는 계산이다.올해 하반기에는 고위 공무원을 대상으로 하는 정보보호 특화 과정도 개설할 계획이다. 교육 장소는 정부세종·대전청사와 계룡대 인근에 설치해 이 지역 인사들이 쉽게 참여할 수 있도록 할 예정이다. 문 센터장은 “정보보안 기술은 실용성이 높은 것으로 연구 결과물이 논문에 그쳐서는 안 된다”면서 “사회 각 분야에서 제대로 사용할 수 있도록 퍼뜨려야 제4차 산업혁명 시대 AI 혁신을 가속화하면서 공공의 이익을 추구할 수 있을 것”이라고 말했다.  <사이버보안연구센터 주요 활동 연혁>※ 출처: http://www.etnews.com/20170507000056

Read more

[채용공고] 2017년 상반기, 센터 연구원 모집 (종료)
KAIST 사이버보안연구센터 2017년 상반기 신규 연구원 채용모집  ▣ 근무기관: 한국과학기술원 사이버보안연구센터  KAIST Cyber Security Research Center  http://csrc.kaist.ac.kr  (주소: 34141 대전광역시 유성구 대학로 291, KAIST N1빌딩 322호)▣ 채용대상: 정부출연 사이버보안/정보보호 R&D 수행을 위한,  (계약직 위촉) 선임연구원 및 연구원 각 부문 0명  ▣ 모집분야※ 우대: 영어 능통자, 관련 분야 경력자, 언어/도구 숙련자  (C/C++, Java, C# 등 언어, IDA-pro, Diffing 등 리버싱 도구)  [연구개발] (연구직)  ① Software Vulnerabilities: Binary Analysis & Reverse Engineering   ② Website Malware: Analysis, Collection & Debugging  ③ Cyber Security: Risk Management & Performance Evaluation  ④ 정부출연 R&D 사업 기획 및 성과 분석  [R&D지원] (시간제 기술직)  ○ 정보자산 관리 및 보안 운영, R&D 환경의 기술 지원▣ 근로조건: KAIST 인사규정 (별정직 취업 요령)  ○ 연구직은 주5일 전일제 근무. 연차계약 (최초 ’17년 2월~’17년 12월)   경력 및 개인 역량에 따라 연봉 협의  ○ 시간제 기술직은 주2일 시간제 근무. 근무기간은 6개월 단위 계약▣ 채용일정:  ○ 서류전형 접수마감: 2017년 1월 23일(월) 18시  ○ 서류전형 합격자는 면접/발표 전형 (대상자에 한하여 개별 통보)▣ 지원서 접수: 메일 oik123@kaist.ac.kr▣ 제출서류:   ○ 이력서(사진 포함), 자기소개서, 최종학교 성적증명서  ○ 필요시 유관분야 자격/경력 증빙 자료 (자유양식)※ 지원서류 제출과 동시에 채용 목적의 개인정보 사용을 동의한 것으로 봄.  제출된 내용이 사실과 다르거나 허위일 경우 지원 행위를 무효로 함.

Read more

[행사소식] 2016 APIGA (아.태 인터넷 거버넌스 …
국제인터넷주소관리기구(ICANN)와 한국인터넷진흥원(KISA)에서는 글로벌 인터넷 현안과 국제 활동 참여를 위한 젊은 인재를 양성하기 위해,아.태지역 최초로 “아.태 인터넷 거버넌스 아카데미”를 개최 합니다.“2016 APIGA: Asia Pacific Internet Governance Academy” 는 ‘글로벌 인터넷 명예의 전당’ 에 오른 KAIST 전길남 교수님과 KAIST 사이버보안연구센터에서 후원하며, KAIST 재학생들의 주도적인 역할과 적극적 참여를 원합니다.<2016 APIGA (아.태 인터넷거버넌스 아카데미) 개요>○ 대상 : 인터넷 관련 글로벌 이슈 및 국제 활동에 관심있는 아태지역 청년 (만 18세~25세)             ※ 사전 신청자에 대해 최종 교육 대상자를 선발○ 일시 : 2016년 8월 8일(월) ~ 8월 12일(금)○ 장소 : 연세대학교 (신촌) ※ 희망자에 대해 기숙사 제공○ 강사 : 글로벌 인터넷 국제기구 임원 (모든 프로그램은 무료이며, 교육.토론은 영어로 진행)             ※ 과정: 인터넷 거버넌스, 인터넷 보안, ‘인터넷미래’ 모의 국제회의 등○ 참가신청 : 2016년 7월1일(금) 18시까지 접수 ※ 7월7일(목) 최종 대상자 발표○ 수료혜택 : 수료자는 2016 국제기구(ICANN, UN IGF) 정례회의 참석 full 지원, ICANN_KISA 공동명의 수료증 발급○ 홈페이지 : www.2016apiga.org

Read more

[보도자료] 대한민국 사이버안보, 육군이 앞장선…
대한민국 사이버안보, 육군이 앞장선다보안뉴스  |  발행일: 2016.07.03  | 민세아 기자 boan5@boannews.com  |  원문보기[인터뷰] 육군본부 정보화기획실장 임영갑 소장 “육군, 사이버보안 강화에 선도적인 역할 담당해 나갈 것”[보안뉴스 민세아] 지난 3월, 육군은 북한의 사이버공격에 대한 대응능력을 강화하기 위해 ‘2016년 육군 해킹방어대회’를 개최했다. 올해 대회에서는 이례적으로 군 뿐만 아니라 민간인들도 함께 참여하도록 개방해 열띤 경쟁을 벌였다. 그간 폐쇄적인 분위기로 다른 분야와의 소통이 미흡했다는 지적이 제기됐던 군에서 새로운 시도를 한 것이다.▲육군본부 정보화기획실장 임영갑 소장이러한 새로운 시도는 사이버군 역량 강화를 위한 강력한 의지를 나타내고 있는 육군의 수장 장준규 육군참모총장과 함께 육군본부(이하 육본) 정보화기획실장을 맡고 있는 임영갑 소장이 있었기에 가능했다는 평가다. 임 소장은 이번 육군 해킹방어대회를 주도적으로 추진하는 등 평소 사이버보안 인력 육성에 많은 관심을 갖고 적극적으로 활동하고 있다. 이에 본지는 임영갑 소장을 만나 군의 사이버안보 강화방향에 대해 허심탄회한 얘기를 나눴다. 어깨에 그려진 두 개의 별만큼 반짝이는 눈으로 육군본부의 사이버보안에 대해 설명하는 임 소장의 모습에서 우리나라의 사이버영토를 지키겠다는 굳은 결의가 느껴졌다.Q. 먼저 인터뷰에 응해주셔서 감사합니다. 육군본부 정보화기획실의 주요 역할과 업무에 대한 간단한 설명 부탁드립니다.육군본부 정보화기획실은 정보화 분야에 대해 육군참모총장님을 보좌하고, 육군의 미래 정보화 정책 추진방향을 수립해 세부정책을 개발 및 추진하고 있습니다. 이를 위한 육군본부의 정보화 비전은 ‘네트워크 기반의 공세적·결정적 통합작전 수행보장을 위한 정보화 구현’입니다.이는 네트워크 중심 작전환경(NCOE)으로 여러 작전요소를 네트워크화하고 전장상황을 가시화해 결정적 작전을 가능케 함으로써 전승을 보장하는 ‘공세적·결정적 통합작전’ 수행의 기반이 됩니다. 이러한 비전을 구현하기 위해 몇 가지의 추진전략을 수립해 시행하고 있습니다.첫째로, IT 기술의 비약적인 발전과 네트워크 중신환경의 신뢰성과 안정성 확보, 증가하는 사이버 위협 등을 고려한 능동적 사이버 방호체계를 구축하는 것입니다. 둘째로, 증가하는 정보의 양을 수용할 수 있고, 실시간 정보공유 및 다양한 서비스 제공이 가능한 초고속 대용량 정보유통을 위한 기반체계를 확충하는 것입니다. 셋째로, 필요한 정보를 적시에 제공하고, 신속한 상황판단을 지원할 수 있는 전장관리정보체계를 발전시키고자 합니다. 마지막으로는 저비용·고효율의 경제적인 군 운영을 보장하기 위해 첨단 정보통신 기술을 기반으로 정보체계를 고도화하고 자원정보를 실시간 가시화함은 물론 정보통신망의 통합운용 및 연동을 강화한 지능형 통합 자원관리 정보체계를 구축하는 것이라 할 수 있습니다.Q. 최근 육군본부 정보화기획실 내부의 보안이슈는 어떤 것이 있나요? 또한 실장님께서 관심을 갖고 계신 이슈는 무엇인가요?최근 북한은 지속적인 미사일 발사와 GPS 공격, 사이버테러 등 끊임없이 도발을 감행하고 있습니다. 이러한 엄중한 안보상황에서 사이버 위협에 대한 대비태세 확립에 모든 역량을 집중하고 있습니다. 외부자에 의한 사이버 위협에 대비해 육군 및 산하 웹사이트에 대한 모니터링을 강화해 외부 위협을 차단하고 있으며, 이와 병행해 취약점 분석 등 선제적인 예방 대책을 강구하고 있습니다.또한, 용역업체 등 내부자에 의한 사이버 위협에 대비해 내부망 사이버순찰을 중심으로 기본 보안 준수여부를 확인해 미흡사항을 보완하고, 비인가 소프트웨어(SW) 사용 등 위협요소를 식별해 실시간으로 제거하고 있으며, 규정을 위반한 사람에 대해서는 국방망 접속을 차단하는 등 특단의 대책을 강구하고 있습니다.Q. 지난 3월 군 장성을 노린 스마트폰 해킹 등 북한과 관련한 사이버보안 이슈가 끊이지 않습니다. 육군에서는 북한의 사이버 위협에 대비하기 위해 어떻게 대응하고 계신가요?최근 북한은 우리 군의 주요직위자를 대상으로 해킹메일 대량 유포에 이어 스마트폰 해킹해 저장된 사진, 신상정보, 통화내용을 송두리째 탈취하는 등 우리 군에 대한 도발을 지속하고 있습니다.북한은 과거와는 다르게 특정인원을 타깃으로 정해 뚫릴 때까지 계속해서 공격을 시도하고 있어 사이버위협에 대한 인식과 태도의 전환이 필요한 시점입니다. 이에 대한 대응책으로는 우선 간부들이 사이버위협의 심각성을 인식하고, 스마트폰에 대한 보안강화 조치를 스스로 할 수 있어야 합니다.이에 육군에서는 최근에 육본 전 간부를 대상으로 실제 상황과 유사한 해킹시연을 통해 현장감 있는 교육을 실시함으로써 경각심을 고취시켰으며, 현장에서 스마트폰 점검을 통해 미흡사항을 조치하고 보안설정 방법에 대한 교육을 실시했습니다.이와 함께 향후에는 군부대에 스마트폰 보안강화를 위한 MDM 시스템을 구축할 예정입니다. 카메라 등을 통한 데이터 유출방지는 물론 구역별 차단기능을 구현하고, 군에서 유해하다고 판단되는 특정 앱을 차단할 방침입니다.Q. 군인들을 대상으로 한 사이버대응 보안교육은 어떤 방식으로 진행되는지 궁금합니다.육군 내에서도 크게 3가지 유형으로 구분해 사이버 보안교육을 수시로 실시하고 있습니다. 첫째, 주요 직위자 및 참모 교육은 ‘사이버안보 고위정책 관리자 과정’ 및 ‘고급 정보화 정책과정’ 등을 개설하고 한국인터넷진흥원(KISA) 등에서 전문 강사를 초빙해 지휘관으로서 가져야할 사이버보안 소양을 교육하고 있습니다.둘째, 일반 장병은 월 1회 사이버보안의 날 행사시에 2시간씩 보안교육을 정기적으로 실시하고, 분기당 1회 개인별 보안평가를 실시해 보안수준을 향상시키고 있습니다. 또한, 전 병과학교에서는 초급간부들을 대상으로 사이버 기초 교육을 실시하고 있습니다.셋째, 정보보호 직위에 근무하는 사이버 전문가 교육은 KISA 등 대외 우수 교육기관을 통해 사이버 전문화 교육을 실시하고 있고, 그 중 우수자원은 국내외 우수대학에 사이버관련 석·박사 학위교육을 실시해 사이버 리더를 양성하고 있습니다.향후 육군정보통신학교에 사이버교육훈련센터를 구축해 쌍방훈련을 실시하는 등 실전 대응 능력을 향상시킬 예정입니다.Q. 군 내부 정보화 자산의 보호를 위한 군 내부 보안지침에 대해 간략히 설명해 주신다면?군 내부 정보체계 자산을 보호하기 위한 보안지침은 국방부 ‘군사 보안업무 훈령’과 ‘국방 사이버 안보훈령’이 있으며 육군은 ‘육군 정보보호 규정’이 있습니다. 이러한 지침의 준수 여부를 보안감사 및 사이버기관평가 등을 통해 수시로 확인해 미흡사항을 보완·조치하고 있습니다.육군은 최근 정보화환경 변화에 따라 무기체계 사이버보안 대책 등 다수의 보안대책을 반영해 기존 정보보호규정을 사이버방호 규정으로 확대 발전시킬 예정입니다.Q. 육군 자체적으로 해킹방어대회를 주관하는 등 평소 사이버보안인력 양성에 많은 관심을 보이고 계신 것으로 알고 있습니다. 훌륭한 사이버 보안인력을 양성하기 위해 어떤 노력을 하고 계신가요?육군은 적과 싸워 이기는 ‘능동적 사이버전 수행능력 구비’를 목표로 미래 사이버전장을 주도할 사이버전사를 양성하고 있습니다. 지난 2월에는 육군참모총장님 주관으로 사이버사령부 등 각 기관의 사이버 전문가 및 육군본부 예하 부대 사이버업무 담당자 등 70여명이 참석한 가운데 ‘정예 사이버전사 육성방안’에 대한 토론회를 실시했습니다.육군은 미래 사이버전장을 주도할 사이버전사 양성을 위해 올해 대내외 사이버 우수 전문 교육 기관인 KISA, 국가보안연구소, 국군사이버사령부 등에 위탁교육을 시켜 군에 필요한 정예 사이버 전사를 양성하고 있습니다. 특히, 사이버전에 대비해 전문성을 갖춘 간부 고도화 교육의 일환으로 사이버사령부의 軍 차세대 보안리더(M-BoB) 과정을 통해 軍 사이버 리더를 양성하고 있으며, 그 중 우수자는 사이버 석·박사학위 교육을 확대해 나갈 계획입니다.더불어 육군본부 정보화기획실 주관으로 사이버 우수인력 발굴을 위해 군 간부 및 병사들은 누구나 참가 가능한 ‘육군해킹방어대회’를 매년 실시하고 있습니다. 올해는 사관학교 생도, 대학생, BoB(Best of the Best) 및 해킹동아리 출신자 등 민간인에게도 참가기회를 확대해 총 49개 팀이 참가해 치열한 경쟁을 했습니다. 참가자들은 대회를 통해 최신 사이버위협 시나리오를 문제로 부여받아 대응방안을 고민하는 장이 됐고, 사이버 대응역량을 향상시키는 좋은 기회이자 자극제였다고 평가하고 있습니다. 육군은 오는 2017년부터는 중·고등학생까지도 참여할 수 있도록 확대하는 등 우수한 사이버 인재를 지속적으로 발굴해 나갈 예정입니다.Q. 최근 미래부 등 유관부처와 사이버 보안인력 양성을 위한 다양한 협력에 나서고 있는 것으로 알고 있습니다. 사이버예비군을 비롯해서 인력양성 방안들이 논의되고 있는데요. 인력양성과 관련해서 경력단절 방지를 위한 육군의 역할을 무엇이라 보시나요.사이버위협이 점차 지능화됨에 따라 전문인력 양성은 육군에 있어서 무엇보다도 중요한 과제가 되고 있습니다. 따라서 육군은 민간 사이버 우수인력을 발굴하고, 군 입대 후에는 정보보호 특기병으로 근무하면서 교육훈련을 통해 능력을 향상시킬 수 있도록 하고 있습니다.육군은 민간의 사이버 우수인력을 확보하기 위해 사이버 특성화대학 및 BoB 출신 학생 등 우수자원을 발굴해 정보보호 특기병 및 부사관, 장교로 선발하고 있고, 선발된 인력은 각급 제대 CERT(침해대응팀)에서 근무하게 함으로써 실전에서 사이버 대응능력을 향상시키고 다양한 교육기회를 통해 전문성을 향상시키도록 하고 있습니다.전역 후에도 이러한 전문가들이 정보 및 민간기관의 정보보호 분야에서 근무하다가 전시에는 사이버예비군(가칭)으로서 군 및 정부 등의 주요시설에 대한 사이버방호를 담당할 수 있도록 미래부, 병무청과 협력해 나가고 있습니다. 육군은 정보보호 인력들이 생애 전 주기에 걸쳐 경력 단절 없이 보안역량을 발전시킬 수 있도록 국가 ‘사이버인력 생태계’ 조성의 중심역할을 수행해 나갈 방침입니다.Q. 실장님께서 사이버 보안 분야에 관심이 매우 높으신 걸로 알고 있습니다. 이 분야에 관심을 갖게 된 계기와 사이버 보안 분야의 전문성을 높이기 위해 어떤 노력을 해 오셨는지 듣고 싶습니다.몇 년 전 육군 CERT(침해대응팀) 운영 책임자로 임무수행 시 중요성을 인식하게 됐으며 작년 4월 해외 공무출장으로 美 육군 사이버사령부 및 사이버센터를 방문했는데, 미군은 사이버공간을 전투공간으로 인식하고 모든 역량을 투입해 각 분야별로 사이버전을 준비하고 있었습니다. 이를 보면서 우리 군도 사이버전 수행체계 발전이 시급하다는 점을 심각하게 인식할 수 있었습니다.저는 사이버보안의 전문성 향상을 위해 ‘전문화된 인력이 무기’라는 생각으로, 지속적으로 미래 사이버 전장을 주도할 사이버전사의 전문성 향상에 주력하고 있습니다. 먼저 사이버전사 전문성 향상을 위해 KISA, 민간대학 등 대외 사이버 우수 교육기관과의 협력을 통해 교육과정을 대폭 확대하고 있으며 육군 자체적으로 전문인력 양성을 위해 오는 2017년에는 실전적 쌍방훈련이 가능한 ‘사이버교육훈련센터’를 구축할 예정입니다.Q. 육군본부 정보화기획실장을 맡으시기 전까지 군에서의 다양한 경력 등에 대해 간략한 소개 부탁드립니다.1998년도에 국방대학원 군사전략 석사과정을 졸업하고, 2009년부터 정보체계관리단 계획운영처장으로 재직 시 증가하는 사이버위협을 고려해 하드웨어 보안 및 독립적 보호체계 중심에서 소프트웨어 보안을 강화하고 통합적 보호체계 구축을 추진하는 등 신뢰할 수 있는 정보보호 환경을 구축하기 위해 노력했습니다. 또한, 2011년에 체계연동과장 직책을 수행하면서는 전장체계 및 무기체계에 대한 사이버방호체계 신규 전력소요 도출과 함께 이를 전력화해 핵심 임무수행체계의 생존성을 보장하는 대응체계를 구축하는데 기여했습니다.2014년에는 육본 정보화기획차장으로 대외 전문교육기관과의 협업 하에 사이버방호 인력의 전문성을 제고시키고 대응능력을 강화시켰으며, 사이버 인력의 신분별 관리제도 발전, 전시 사이버인력 및 정보보호업체 동원소요 반영 등 미래 사이버전 발전방향을 제시해 사이버방호 업무를 한 단계 발전시켰습니다.2015년 11월부터 정보화기획실장으로 부임해 정보통신분야의 수장으로 능동적 사이버전 수행을 위한 육군 사이버전 마스터플랜(Master-Plan) 수립, 각종 사이버 방호 정책과 제도적 기반 정비, 공세적인 사이버 대응능력 강화를 위해 제대별 사이버방호 조직 확대 및 정보보호체계 기술 고도화를 추진했습니다. 또한, 정보통신 환경변화와 기술발전 추세를 고려해 클라우드 컴퓨팅, 모바일 업무, 빅데이터, IoT 환경 등 IT 신기술에 대한 사이버방호 정책 및 제도를 정비해 사이버위협에 대응하고 있습니다.Q. 끝으로 소장님이 군의 사이버 보안 역량 강화를 위해 계획하고 계신 일에 대해 설명해 주십시오.육군은 연초에 사이버전 수행 마스터플랜을 수립했으며, 이를 기초로 각 분야별로 20개 추진과제를 도출해 발전시키고 있습니다. 육군의 사이버 보안 역량 강화를 위해서 관심을 가지고 추진하고 있는 사항은 크게 3가지입니다.첫째, 육군의 사이버조직을 전 제대에 걸쳐서 강화하는 것입니다. 올해부터 육군 CERT를 확대 개편하고, 내년에는 육군본부 CERT를 확대할 계획입니다.둘째, 내부자 사이버위협 대비책을 강구해 나가겠습니다. 우리 군망은 외부와 단절된 폐쇄망으로 구축돼 있어 외부에서 공격하기가 쉽지 않기 때문에 용역업체 등 내부자에 의한 공격에 대응이 필요한 상황입니다. 따라서 올해 KAIST와 내부자 사이버위협 유형별 대책을 공동 연구한 후, 이를 기반으로 대응체계를 구축해 나갈 예정입니다.셋째, 무기체계 사이버보안대책을 강구하는 일입니다. 미래의 사이버위협은 우리군의 핵심 전쟁수행 수단인 무기체계에 집중될 것으로 판단하고 있습니다. 이를 보호하기 위해 올해부터 무기체계 사이버보안대책에 대한 연구를 실시하고 있으며, 이를 기반으로 화이트리스트 기반의 보안체계를 개발해 나갈 방침입니다.최근 전쟁 양상은 오프라인에서 온라인 전장으로 변화하고 있으며 전쟁 승패도 전장을 누가 선점하느냐에 달려 있습니다. 북한은 이러한 사이버전의 중요성을 인식해 국가주도하에 비대칭전력으로 급속하게 발전시킴으로써 우리의 국가안보를 위협하고 있습니다.따라서 육군은 이러한 북한의 사이버위협에 선제적으로 대응하기 위해 조직정비, 전문가 양성, 기술개발 등 각 분야에 사이버전 수행능력을 확보해 ‘총성 없는 사이버전’에서 주도적인 역할을 담당해 나갈 것입니다.※ 출처: http://www.boannews.com/media/view.asp?idx=51083

Read more

[공지사항] (발표자료) 사이버기술 변화에 따른 글로벌 전략과 정책(16/05/13) 포럼 발표자료
사이버기술 변화에 따른 글로벌 전략과 정책 포럼 자료1. Keynote Speech  -  Prof. Susan Landau (Worcester Polytechnic Institute)  -  다운로드 1  -  다운로드 2                        2. Panel Speech - 염흥열 교수 (순천향대학교 정보보호학과. ITU-T SG17 KR-HoD)   * 다운로드  - 이희조 교수 (고려대학교 컴퓨터학과)   * 다운로드  - 유창하 뉴욕주변호사 (테크앤로 법률사무소)   * 다운로드  - 김용대 교수 (KAIST 전기 및 전자공학과/정보보호대학원)   * 다운로드

Read more

[채용공고] 2016년 하반기, 센터 선임급 및 초급 연구원 채용 (종료)
▣ 채용기관: 한국과학기술원 사이버보안연구센터 http://csrc.kaist.ac.kr/          (주소: 34141 대전광역시 유성구 대학로 291, KAIST N5_건물 2305호)▣ 채용인력: 정부출연 사이버보안/정보보호 R&D 수행을 위한          (별정직 위촉) 선임연구원 및 연구원 각 0명▣ 모집대상 가. 경력직: 사이버/ICT 보안 R&D 경력 4년 이상 (석사급 이상)  ① 소프트웨어 취약성/바이너리 분석, 도구의 연구개발  ② 악성코드 분석, 제작 연구개발 및 도구 활용 (OllyDbg, IDA 등)  ③ 사이버보안 공공정책 지원, 위기관리 및 성능평가 방법론 연구 나. 신입직: 사이버/ICT 보안 R&D 가능한 자 (학사급 이상)  ※ 공통사항: 영어 우수자, C# F# Web언어 숙련자는 가산점 부여▣ 채용조건: KAIST 인사규정 ‘별정직 취업 요령’에 따름 가. 주5일 전일제 근무, 4대보험, 퇴직연금 나. 년차단위 (매년 1월~12월) 고용계약 및 년봉협의▣ 채용절차: ‘서류전형’ 합격자에 대해 ‘면접전형/년봉협의’ 후 최종 확정 가. 서류전형 접수마감: 2016년 7월20일(수) 18시까지 나. 면접전형: 서류전형 합격자에 한하여 개별적으로 통보▣ 응시서류: 이력서 (사진 포함), 자기소개서, 성적증명서/자격증 사본 ※ 경력직은 R&D 수행실적, 발표 논문에 관한 소개서를 추가 제출 ※ 응시서류 및 경력 증빙자료는 ‘면접전형’시 제출. 허위시 무효로 함▣ 응시서류 제출/문의: e-메일 접수. mailto: oik123@kaist.ac.kr ☞ 응시서류 제출과 동시에, 채용목적의 개인정보 사용에 동의한 것으로 봄.

Read more

[보도자료] 정보보안 기술은 발전하는데 법은 아…
정보보안 기술은 발전하는데 법은 아직 전화기 시대 보안뉴스  |  발행일: 2016.05.17  |  문가용 기자 globoan@boannews.com  |  원문보기프라이버시 및 정보보안 석학 수잔 란다우 박사와의 인터뷰데이터와 메타데이터의 경계선 모호해져... 법의 업데이트 필요[보안뉴스 문가용] 정보보안은 기술과 법의 합작품이다. 프라이버시 역시 마찬가지이다. 둘의 균형 및 상호보완이 이상적인 보안의 환경을 만드는데, 현재는 그렇지 못하다. 기술이 너무나 앞서가 있기 때문이고, 그 변화를 받아들이고 수용하기에 법조계는 태생적인 구조 자체가 느리기 때문이다. 냉전시대 이전부터 도청과 감시 등에 대한 보안과 프라이버시 문제가 끊임없는 논란거리인 미국의 경우, 이 문제가 특히나 불거지고 있다. 이 부분의 전문가인 수잔 란다우(Susan Landau) 박사가 KAIST 사이버보안연구센터와 정보보호대학원이 주최한 ‘사이버 기술 변화에 따른 글로벌 전략 및 정책 포럼’에 참석했다고 해 만나보았다.보안뉴스 : 보안의 정책과 기술이 아직 완벽한 하모니를 이루지 못하고 있다는 건 어제 오늘 일이 아니다. 정확히 무엇이 문제인가? 수잔 란다우 : 한 마디로 말하자면 법이 아직 취약점 업데이트를 못하고 있는 상황이다. 이걸 간단히라도 설명하려면 역사를 조금 거슬러 올라가야 한다. 1879년 엑스 파테 잭슨(Ex Parte Jackson)이라는 사건이 있었다. 이 사건으로 법원은 정부가 소포나 우편의 내용물을 뜯어볼 수 없다는 걸 명시했다. 다만 뭔가 이상하게 툭 튀어나오거나 무거운 건 제외했다. 이것이 ‘콘텐츠’에 대한 공식적인 보호의 시작이다.  보안뉴스 : 콘텐츠에 대한 보호란 무엇인가? 수잔 란다우 : 콘텐츠가 데이터 보호의 알맹이자 키워드이다. 현재 미국 정부는 오바마 대통령으로부터 ‘콘텐츠는 안 되지만 메타데이터는 수집할 수 있다’고 한다. 여기서 콘텐츠란 내용물, 혹은 메타데이터에 상응하는 데이터 그 자체를 의미한다고 보면 된다. 구분하기 좋게 콘텐츠라고 하겠다. 거꾸로 말해 메타데이터는 데이터에 대한 데이터, 즉 콘텐츠에 대한 데이터라고 볼 수 있다. 예를 들면 메일 내용은 콘텐츠, 그 메일의 수발신자나 시간 등은 메타콘텐츠라고 볼 수 있다. 논란거리가 있긴 하지만. 보안뉴스 : 우편과 소포의 시대가 지나서 전화의 시대가 왔다. 미국에서는 그 유명한 통신감청법(US Communications Surveillance Law)이 등장했다. 대표적인 사건들은 무엇이 있었는가? 수잔 란다우 : 1967년의 캐츠 대 미국(Katz vs. United States) 사건이 있었다. 도박이 불법이었던 때로 찰스 캐츠(Charles Katz)라는 도박꾼을 쫓기 위해 FBI가 공중전화 박스 위편에 특수 도청기기를 부착한 것에 대한 재판이었다. 앞서 말한 엑프 파테 잭슨 사건의 소포 및 우편 내용물을 뜯어본 것과 같다고 법원은 판단했고, 캐츠가 승소했다. 개인의 프라이버시가 우선시된다는 중요한 판례다.1979년의 스미스 대 메릴랜드(Smith vs. Maryland) 사건도 있다. 한 여성의 집에 도둑이 들었는데, 그 후로 범인에게서 계속해서 협박전화가 왔다. 경찰이 이 범인을 잡기 위해 전화국에 전화 이용 상황 기록 장치(pen register)의 설치를 요청해 전화 내용을 도청한 것이 아니라 피해자 집으로 걸려오는 전화번호들을 수집했다. 이때 경찰이 전화국에 영장 없이 기기 설치를 요청했는데, 법원은 “당사자(범인)가 번호가 노출될 것을 알고 전화국 서비스를 이용한 것이므로 프라이버시가 어느 정도 노출될 것을 인지한 상태”였으므로 프라이버시 침해가 아니라는 판결을 내렸다. 위 세 사건이 여태까지 미국의 통신감청법의 랜드마크와 같다.  보안뉴스 : 그렇다면 그것이 왜 이제 와서 문제가 되는가? 수잔 란다우 : 집에서 유선전화로 친구들을 불러내는 시대가 아니기 때문이다. 우린 지금 IP 기반의 연결시대에 살고 있다. 이런 때 앞서 ‘중요했던’ 사건들은 더 이상 별 의미를 갖지 못하게 된다. 특히 마지막 스미스 대 메릴랜드 판결에서 결국 메타데이터의 수집은 허용한 판결이 나온 건데, 당시의 데이터/메타데이터 구분과 현재의 데이터/메타데이터 구분은 현격히 달라졌다. 당시 기준으로는 ‘메타데이터’로서 수집이 가능했던 정보가 이제는 데이터 혹은 콘텐츠로 구분이 가능하다는 말이다. 즉, 지금 법은 기술의 발달로 인해 ‘수집이 되면 안 되는 데이터’까지 수집을 허용하고 있다.예를 들어 맵 애플리케이션을 통해 유통되는 위치정보는 교통정보 등과 결합되었을 때 얼마든지 ‘콘텐츠’가 될 수 있다. 패킷의 길이에 대한 정보도 메타데이터 취급을 받는데, 특정 상황에서 패킷 길이만으로도 콘텐츠가 된다. URL 정보는 어떤가? 여기에도 콘텐츠가 담겨 있다. 아까 이메일 관련해서 논란이 있다고 말했는데, 이메일 헤더만 하더라도 위치정보를 담는 경우가 있다. 메타데이터와 데이터의 경계선 위에 놓여있다고 볼 수 있다. 이메일 헤더 등은 법적으로 수집이 가능한데, 이 역시 더 이상 허용해서는 안 되는 부분이다.2005년 미국 사법부가 전기 감시 매뉴얼을 발간했는데, 다이얼링(dialing), 라우팅(routing), 어드레싱(addressing), 시그널링(signaling) - 이른바 DRAS - 에 대한 정보는 전화 이용 상황 기록 장치 및 추적 장치로 수집이 가능하다고 나와 있다. 여기에는 IP 주소, 포트 번호, 이메일 헤더의 To와 From의 정보까지도 포함한다. 이는 옳지 않다. 이미 메일 주소에는 메타데이터 이상의 정보가 담겨 있기 때문이다. 예를 들어 콜롬비아 대학의 이메일 주소는 columbia.edu로 끝나는데, 이것 자체가 이미 ‘콘텐츠’ 아닌가. 이는 아직 법이 ‘전화기’ 시대에서 벗어나지 못하고 있다는 걸 잘 보여주고 있다. 우린 IP 시대를 살고 있다. 보안뉴스 : DRAS에 대해 설명해달라. 수잔 란다우 : 다이얼링은 말 그대로 다이얼에 관한 정보다. 라우팅은 전화 신호를 어떤 전화기가 받았는지에 대한 정보고, 어드레싱은 전화 신호의 도착점에 대한 정보다. 시그널링은 ‘통화’라는 걸 성립시키기 위해 스위치들끼리 하는 통신이라고 볼 수 있다. 시그널링은 전화 이용 상황 기록 장치로 정보를 수집할 때 매우 중요하다. 이런 개념들은 전화기 환경에서 썩 괜찮은 편이다.하지만 IP 환경에 대입해보자. 다이얼링? IP 환경에서 전화기의 다이얼링과 대비되는 기능은 찾을 수 없다. 라우팅으로 엔드포인트를 일부 발견하는 건 가능하다. IP 환경에서의 어드레싱은 IP 주소를 말하는 것일까? 아니면 포트 번호일까? 의견이 이미 여기서부터 갈린다. 인터넷에서의 시그널링이란 종단간 TCP 연결이라고 볼 수 있다.▲ 강연 중인 수잔 란다우 박사 보안뉴스 : 그렇다면 법과 법을 연구하고 실행하는 이들이 변해야 하는가?  수잔 란다우 : 전화기 시대의 법을 인터넷 기술에 적용하니 혼란이 적잖다. 그렇다고 기술을 되돌릴 수는 없다. 결국 법이 쫓아와야 한다. 특히 콘텐츠와 메타데이터의 새로운 구분법은 시급하고 절실하다. 일단 사법부는 수집이 허용되는 정보 중에 ‘이메일 헤더’ 부분을 삭제해야 할 필요가 있다. 법조계 종사자들은 DRAS가 더 이상 적용되지 않는다는 걸 이해하고, 재판 시 혹은 영장 발부 시 전문가의 의견을 더 많이 경청해야 한다. 더 많은 질문을 하고 더 많은 조사를 해야 한다. 일단 DRAS가 더 이상 통용되지 않는 개념임을 아는 것에서부터 출발해야 한다. 이를 촉진하려면 법조인들과 정보보안인들의 만남이 필요하다. 미국에서는 법과 기술의 만남을 주선해주는 컨퍼런스가 활발히 열리고 있고, 나도 그런데 활발히 참여한다. 한국에서도 그런 기회들이 더 많아져야 할 것이다. ※ 출처: http://www.boannews.com/media/view.asp?idx=50628

Read more

[행사소식] KAIST 사이버보안연구센터/정보보호…
한국과학기술원(KAIST) 사이버보안연구센터(센터장 문수복 교수)와 정보보호대학원(대학원장 강병훈 교수)는 2016년 5월 13일(금) 15시 한국프레스센터에서, 미국과 유럽 등 글로벌 사이버 정책에 지대한 영향력을 갖는 WPI의 Susan Landau 교수를 초청하여 ‘사이버기술 변화에 따른 글로벌 정책과 전략’ 포럼을 개최 합니다. Susan Landau 교수는 1990년대 미국 정부의 암호화 정책과 사이버 통제에 대한 시민사회, 기업 입장을 대변하고, 2000년대 이후 사이버 시대의 국가 위기관리 전략, 국가 안보 목적의 사이버 규제, 사이버기술 변화에 따른 대응 등 산업계, 연구소간 협업과 실무적 경험을 바탕으로 학자로서 국가 공공정책 방향을 제시하고 있습니다.Susan Landau 교수의 "Surveillance or Security", “Privacy on the Line" 등의 저서는 IEEE-USA Book Award, McGannon Book Award를 수상하기도 하였고 미국 국회는 물론 유럽 글로벌 사이버 정책과 전략 수립을 위해 Opinion Leader로서 간여하고 있습니다. 이번 정책 포럼은 Susan Landau 교수의 “It's Too Complicated: The Technological Implications of IP-Based Communications on Content / Non-Content Distinctions and the third Party Doctrine"이란 주제로 기조연설을 하게 되며, 순천향대학교 염흥열 교수의 “Cross Border Transer of Personal Data", 고려대학교 이희조 교수의 ”Experiance of Cyberspace Consultation Projects in Developing Countries", 테크앤로우 유창하 미국뉴욕주변호사의 “The EU GDPR and its Implications for Cyber Security Policy", KAIST 김용대 교수의 ”Security Theater in Korea"란 주제의 패널 발표와 청중 토의가 진행 됩니다. 국내에서는 처음 해외 유명 과학자를 초청하여 ‘사이버 공간에서의 글로벌 공공 정책과 전략’ 단일 주제를 다루게 됨으로, ‘정보통신망 이용촉진 및 정보보호에 관한 법’, ‘인터넷 주소자원 법’, ‘개인정보보호 법‘에 이어 최근 논의되는 ‘사이버테러 방지법’ 입법 논쟁에 방향성을 찾고 국가 사이버안보와 사이버보안 기술정책 수립에 기여하고자 합니다. 또한, KAIST 사이버보안연구센터는 본격적인 “국내 사이버보안 및 인터넷거버넌스 공공정책 연구와 정책 전문가 육성”을 위하여, KAIST 정보보호대학원, 과학기술정책대학원 교수진 및 국내.외 전문가를 중심으로 진행하는 정부, 행정.군.검.경, 국회, 공공 및 산업계, 시민사회를 대상으로 한 “KAIST 사이버 공공정책 최고위 과정” 교육 프로그램을 준비하고 있습니다. 끝감사합니다. ※ Susan Landau 교수 홈페이지 : http://users.wpi.edu/~slandau/

Read more

[보도자료] [방송] MBC PD수첩 방영
KAIST 사이버보안연구센터가 촬영 협조한 MBC PD수첩 방영 안내입니다. 1061회 (2015.11.17 방영)보이스피싱, 경찰과 제보자지난해 보이스피싱 금융사기 피해액은 무려 2,165억원! 범죄건수만 해도 2013년 대비 4765건에서 7655건으로 급증했다.사기범들은 더 이상 어눌한 조선족 말투와 허술한 시나리오로 사람들을 속이지 않는다.나날이 발전하는 금융 범죄기술에 피해자들은 늘어만 가고 있다.[PD수첩]에서는 금융 범죄 피해자들과 피해 제보에 수사할 의무가 있는 경찰의 태도를 집중 조명했다.■  신출귀몰 보이스피싱 범죄 - “피해자가 무슨 방법이 있나요”2주 전, 보이스피싱 피해자 한경훈씨는 본인 명의의 통장이 대포통장으로 이용됐다는 연락을 받았다. 처음엔 흔한 보이스피싱 범죄라 여겼지만 상황은 사기범들이 미리 만들어놓은 가짜 검찰청 사이트를 접속한 후 180도 바뀌었다. 한씨가 개인정보를 입력하니 그럴싸하게 만들어놓은 ‘나의 사건기록’이 떴고 당황한 한씨는 생각할 겨를도 없이 본인의 카드번호, 계좌번호, 비밀번호를 알려주었다. 여름엔 팥빙수를 겨울엔 군고구마를 팔아서 모은 소중한 돈을 순식간에 도둑 맞았다. 경찰서를 찾아갔지만 “그냥 포기 하는 게 마음 편할 거다”라는 말 뿐이었다."이런 범죄는 피해를 당하고 난 이후에 상대에 대한 분노도 있지만  자기 자신에 대한 자책감이 다른 범죄보다 훨씬 크다는 거예요. 다른 범죄보다.  가해자의 죄책감은 낮고 오히려 피해자의 자책하는 그럼 감정이 굉장히 높은거죠."                                           - 순천향대학교 경찰행정학과 오윤성 교수 인터뷰 中■ 금융 범죄 프로그래머 검거, 왜 이렇게 오래 걸렸나?지난 8월, 서울의 한 경찰서 사이버수사팀은금융정보를 빼내는 것은 물론이고 원격으로 카메라를 조작하고 도청까지 할 수 있는 악성 애플리케이션(앱)을 만들어 유포한 조선족 해커를 구속했다.최영수(가명)씨는 2012년부터 작년 7월까지 스파이앱을 개발해 유포하고, 국내 사이트를 해킹하는 등의 수법으로 개인정보 18만건을 빼돌린 혐의 등을 받고 있다. "만약에 정보가 탈취 되잖아요. 아 떴다, 떴다 막 자기들끼리 큰소리로 얘기를 해요. 그러면 그 때 서로 책상에 앉아서 막 전화를 돌려요.  한국에서 돈 찾아올 애들, 중국에서 돈 찾아올 애들 양쪽을 다 섭외합니다."                                           - 제보자 김정남(가명)씨 인터뷰 中피싱 범죄의 주범인 최씨를 검거 할 수 있었던 가장 큰 이유는 그의 뒤에서 증거를 수집했던 내부 제보자 김정남(가명)씨가 있었기 때문이다. 하지만 김씨는 최씨를 제보 하기위해 2년 동안 총 7군데 경찰서를 돌아다녀야 했다.왜 그를 검거하기까지 2년이란 시간이 걸렸던 것일까?"진술만 가지고는 안 되지 않습니까. 증거를 준비해서 와주시면 저희가 언제든...  (증거가) 뭔지는 저희도 모르겠습니다."                                           - 제보자가 5번째로 방문했던 경찰서■ 보이스피싱 수사 협조했더니.. ‘금융사기범’ 낙인?지난 10월, 강태현(가명)씨는 수상한 문자를 받았다. 그 문자는 보이스피싱에 이용될 통장을 모집하는 내용이었다. 수사에 도움이 되고자 신고를 했고 강씨의 협조로 보이스피싱 일당 한명을 검거할 수 있었다. 그런데 검거과정에서 보이스피싱 조직원들에게 강씨의 주민등록등본과 신분증이 노출되었다. 강씨는 이후 보이스피싱 조직원에게 협박성 전화를 받았고보복의 불안감에 이사까지 가야했는데······.이뿐이 아니었다. 사업을 하는 강씨의 은행거래가 제한되었다는 것이다. 사건 당일, 보이스피싱을 당한 피해자가 피해를 입었다고 은행에 신고하면서강씨는 모든 은행에 대포통장 제공자로 가등록 된 것이다.그는 보이스피싱 범인 검거에 정의로운 마음으로 협력했으나예상치 못한 어려움을 겪게 됐다고 호소했다."제 삶이 엉망 진창이 됐어요. 정말 누가 신고하고 싶고 누가 제보하고 싶겠냐고.  두 번 다시 신고하고 싶지 않아요. 정말 울고 싶어요."                                           - 보이스피싱 제보자 강태현(가명)씨 인터뷰 中PD수첩이 만난 제보자들은 경찰의 안이한 대처에 좌절감을 느낀다고 입을 모은다.하지만 경찰 관계자들은 현실적으로 사건 하나하나 힘을 쏟기엔 업무량에 비해 수사 인력이 너무 부족하다고 고충을 토로했다."현실적으로 일선 경찰서 사이버팀에서는 보통 사이버 명예훼손 사건,  인터넷 물품 사기사건 이런 것들이 업무의 70~80%를 차지한다고 보시면 됩니다.  그 사건에 치여서 새로운 신종 범죄에 대처 수사한다거나 수사기법을 개발한다거나  이런 부분들이 상당히 한계가 있는 것이죠."                                           - 前 경찰, 손병호 변호사 인터뷰 中경찰이 국민의 목소리에 발빠르게 대처하는 방법은 무엇일까?1061회 [PD수첩]에서는 금융범죄 수사의 현주소를 들여다봤다.※ 다시보기: http://www.imbc.com/broad/tv/culture/pd/vod/

Read more

[채용공고] KAIST 사이버보안연구센터 연구원 채용
KAIST 사이버보안연구센터에서 취약성 탐지 및 검증관련 연구 개발을 위하여 아래와 같이 창의적이고 열정적인 우수 인재를 모집합니다.1. 채용분야    개발 및 보안 기술분야 위촉연구원 0명 2. 자격요건: 전산관련 학부 이상 졸업자   o 역공학 (Reverse Engineering) 및 어셈블리어 활용 경험자 우대  o 국내외 CTF 참여 경험자 우대  o F# 또는 함수형 언어 가능자 우대 3. 전형절차 및 제출서류   o 전형절차 : 1단계(서류전형) ⇒ 2단계(면접전형) ⇒ 3단계(최종선발)   o 제출서류     - 이력서 및 자기소개서 각 1부(필수)     - 연구실적(포트폴리오, 프로젝트, 논문, 특허 등) 각 1부(해당자)4. 지원서 접수 방법 및 기간    o 접수방법: 이메일 접수(hyemi412@kaist.ac.kr)   o 접수기간: 상시 접수   o 문의처: 042-350-8393(대표), 02-3498-7513(업무분야 문의) 5. 추진일정: 접수에 따른 개별 통보   o 서류전형 합격자: 전화 및 이메일 통보     - 면접전형 일자(시간, 장소 통보)   o 최종 합격자 통보: 전화 및 이메일     - 근무개시: 개별 통보   * 상기 일정은 내부 일정에 따라 변동 가능 6. 기타사항    o 서류 제출시 메일 제목은 ‘위촉연구원 지원_지원자명’으로 작성 (예: 위촉연구원 지원_김철수)   o 제출 서류의 파일명은 ‘지원자명_서류종류’로 기입(예: 김철수_이력서)   o 지원서 또는 제출 서류상의 기재 착오, 누락, 구비서류 미제출, 기 제출. 서류의 허위사항이 발견될 경우 합격 또는 임용을 취소할 수 있음   o 접수된 서류는 일체 반환하지 않음   o 근무지: 대전 KAIST 본원

Read more

[보도자료] [MBC 스페셜] 사기의 법칙 2015 대한…
KAIST 사이버보안연구센터에서 피싱/파밍 기법 실험 관련 촬영 협조한 MBC 다큐스페셜 방영 안내입니다.<  안  내  >사기의 법칙 2015 대한민국 피싱보고서기획 : 김진만연출: 이정식조연출: 강수연글 · 구성: 한선정취재 : 김주희※ 방송일 : 2015년 9월 7일(월) 밤 11:15~※ 다시보기 : http://vodmall.imbc.com/Player/Player.aspx?broadcastid=1000833100805100000기획의도 피싱 사기가 무섭게 늘고 있다. 알면서도 당하고, 누구나 당하고, 조심해도 당한다. 일반인뿐만 아니라 판사와 기자, 전문가들도 피하지 못한다. 연간 피해액이 500억 원에서 1천억 원 정도라고 하나 실제로는 그 몇 배에 달하는 것으로 알려졌다. 전화 한 통화에 등록금을 날린 여대생이 자살을 하고 전세금을 날린 가장, 결혼자금을 사기당한 새신부의 슬픈 이야기들이 줄을 잇는다. 피싱은 개인의 삶을 파괴하고, 한 사회의 근간인 신뢰를 파괴해 사회 안정성을 해치는 중대한 범죄다. 피싱은 어떤 메커니즘으로 우리 사회에서 번성하고 있는가? 피싱을 근절할 방법은 없을까?주요내용 ▶ 수화기 너머 들려온 낯선 목소리의 유혹김지선(가명/29세) 씨의 머릿속엔 아직도 그날의 일이 생생하다. 여느 날과 다름없이 오전업무를 보고 있던 중 한통의 전화가 걸려왔다. 뜻밖에도 검찰에서 걸려온 전화였다. 지선 씨 명의의 통장이 범죄에 이용돼 피해자들에게 고소를 당했으니 개인 재산이 압류되는 것을 막으려면 수사에 적극 협조하라고 압박 했다. 지선 씨가 당황한 먹은 틈을 이용해 사기범들은 지선 씨에게 가짜 검찰청 사이트 접속을 유도했고 사기에 필요한 금융정보를 입력하게 했다. 그들은 범행이 발각될까 장시간 전화를 끊지 못 하게 하는 치밀함을 보였다. 지선 씨는 4시간이 넘도록 통화를 계속했고 그 사이 5700만원의 돈이 빠져나갔다. 그 돈은 지선 씨 가족의 전 재산이었다. 평화롭던 일상은 무너졌고 가족들은 극단적인 선택을 할까 서로가 서로를 밤낮으로 지켜봐야 한다. 대전의 한 초등학교 선생님도 똑같은 수법으로 680만원의 피해를 입었다. 경찰, 검찰 수사기관을 사칭한 범죄의 피해액은 지난해 1,712억 원으로 전체 보이스피싱 피해액의 60.5%를 차지할 정도로 심각한 수준이다.차를 타고 집에 돌아가려고 하는데 제 뒤로 높은 건물이 있었어요. 그냥 올라가고 싶더라고요. ‘아, 그냥 올라가버려야겠다' 이 현실을 도피하고 싶더라구요.- 보이스피싱 피해자 김지선(가명) 씨 인터뷰 中 -▶ 절망으로 뒤바뀐 어느 가장의 꿈전라남도 나주에 살고 있는 박종범(가명/39세) 씨는 여섯 식구의 가장으로 노모를 모시며 단란한 가정을 꾸리고 있었다. 한 달 급여가 최저생계비에도 미치지 못하는 어려운 형편이었지만 내년이면 중학생이 되는 딸에게 방을 하나 만들어 주고 싶었다. 은행에서 300만원을 대출 받으려 하였으나 실적부족으로 거절당한 종범 씨. 그러나 다음날 걸려온 전화 한통이 그의 삶을 송두리째 흔들어버렸다. 종범 씨의 형편과 은행거래내역을 모두 알고 있던 전화 속 목소리는 거래실적을 쌓아 신용등급이 올라가면 대출을 받을 수 있게 해주겠다고 유혹했고 J씨는 거래실적을 만들기 위해 제3금융권에서 받은 대출을 넘겨주었다. 그길로 사기범들은 연락을 끊었다. 종범 씨는 1,500만원의 대출과 연 30%가 넘는 고금리 이자를 떠안게 되었다. 자신의 수입으로 도저히 감당할 수 없는 피해로 인해 그는 현재 파산신청 절차를 밟고 있다. ‘대출 필요하십니까?’ 라고 물었으면 의심을 했을 텐데 ‘대출 필요하시다고 말씀 들었습니다.’ 라고 하는데 누가 안 속겠어요? 집사람은 아무잘못 없이 제 눈치보고 저는 잘못이 있으니까 집사람 눈치보고, 아이들은 아빠가 평소랑 다르니까 ‘아빠 요즘 많이 힘들어요?’ 물어보는데... 마음이 너무 아픈 거예요.                                                                - 보이스피싱 피해자 J씨 인터뷰 中 -전화 금융사기의 1인 평균 피해액은 900만 원에 이른다. 2014년 한 해 770억 원(1만 6,242건)이었던 피해액이 2015년 상반기에 벌써 770억 원(1만 1,922건)에 달하며 피해액은 급속히 증가하고 있는 추세이다. 저금리 대출로 전환시켜주겠다고 유혹하거나 취업을 알선해주겠다고 하는 등 보이스피싱 사기범들은 어려운 사람들의 처지를 악용하여 희망을 부풀리고 절박한 그들의 마음을 약점 삼아 집요하게 파고든다.▶ 진화하는 금융사기! 피싱의 덫에 빠진 사람들최미선(52세/가명) 씨는 은행 공인인증서를 업데이트 하라는 메일을 받았다. 악성코드로 PC를 감염시켜 가짜 금융감독원 사이트로 유인해 금융정보를 빼낸 뒤 돈을 인출하는 이른바 '파밍' 사기였다. 범인들은 미선 씨의 마이너스 통장에서 4천만 원을 빼내 달아났다. 미선 씨는 금융감독원과 똑같은 사이트와 전화번호에 누구도 속지 않을 수 없을 거라며 분통을 터트렸다.제가 이거를 당하리라고는 사실 상상도 못 했어요 ‘파밍’ 이라는 이름도 생소해요- 파밍 피해자 미선(가명) 씨 인터뷰 中 -자신의 가게를 오픈할 꿈에 잠겨있던 정재희(38/가명) 씨는 이제 그 꿈을 접어야 한다. 어느 날 휴대폰으로 주거래 은행의 보안 강화 업데이트 메시지가 계속 해서 날아들었고 무심코 클릭한 지 10분 만에 6차례에 걸쳐 1천 5백만 원의 돈이 빠져나갔다. QR코드를 띄워 보안카드를 스마트폰에 대도록 유도하는 신종수법이었다. 스마트폰 사용이 늘어나면서 휴대폰을 이용하여 정보를 순식간에 빼가는 금융사기 수법이 갈수록 기승을 부리고 있다.299만원씩 6번 동안 1482만원이 빠져나갔어요. 휴대폰 보면 심장이 멎는 것 같아요. 무서워서 뱅킹사용도 제대로 못 하겠어요.- 큐싱 피해자 재희(가명) 씨 인터뷰 中 -▶ 범죄와의 전쟁! 당신을 위협하는 목소리의 정체는? 제작진은 사기단의 실체를 밝히기 위해 경찰의 수사현장을 장기간 동행 취재했다. 서울서대문경찰서 지능범죄수사대는 태국과 베트남에 거점을 두고 2013년 7월부터 올해 4월까지 약 10억 원이 넘는 돈을 가로챈 대규모 보이스피싱 조직을 추적했다. 조직원의 집에서 발견된 USB에서는 엄청난 자료들이 쏟아져 나왔다. 불법으로 취득한 수십만 개의 개인정보를 비롯해 각종 상황별 시나리오와 대포통장, 조직원의 행동수칙, 수익금 정산내역까지 모든 정보가 고스란히 담겨 있었다. 기본적인 개인정보는 물론이고 필요한 대출금액, 직업, 기존 대출금이 얼마인지 다 알고 있습니다. 그렇기 때문에 피해자들은 전화가 왔을 때 더 신뢰를 할 수밖에 없죠. 처음 이 자료를 봤을 때 생각했던 것 보다 더 구체적이라 놀랐습니다.- 서울서대문경찰서 지능범죄수사대 백의형 팀장 인터뷰 中 -▶ 피싱의 전모를 파헤친다 . KAIST 실험 대공개!날이 갈수록 피싱 범죄는 교묘하고 지능적으로 변화하고 있다. 한국 사회의 트렌드를 빠르게 수집해 시나리오를 가공하고 공공기관 사이트를 똑같이 만들어 피해자들을 유인한다. 제작진은 KAIST 사이버보안 연구센터와 함께 피싱 범죄 수법에 대한 심층 분석과 실험을 진행했다. 범인들은 금융기관이나 공공기관의 인터넷 사이트와 흡사한 사이트를 만들어 놓고 자동으로 연결되도록 했다. KAIST 사이버보안 연구센터와 함께 피싱의 메커니즘에 대한 정밀 분석 결과는 충격적이었다. 바이러스를 통해 감염된 스마트폰과 PC의 모든 정보는 고스란히 사기범들에게 흘러들어갔다. 개인정보는 물론 도청, 위치추적 심지어 핸드폰 카메라를 해킹해 피해자의 얼굴까지 들여다보고 있었다. 옛날처럼 간단하고 단순하게 만들지 않고 굉장히 정교하게 만들기 때문에 실제 당하게 되면 육안상으로 구분하기는 굉장히 힘듭니다. - KAIST 사이버보안 연구센터 최상용 실장 인터뷰 中 -피싱 사기는 사회 작동의 근본 원리인 신뢰를 해치고 한 인간의 인격과 삶을 송두리째 파괴하는 범죄이다. 사기범들에게 속은 피해자들은 심한 자책과 모멸감, 회복할 수 없는 금전적 피해에 대한 절망감으로 극단적인 선택으로 내몰리기도 한다. 지금까지 대한민국은 보이스 피싱의 천국이나 다름없었다. 금융당국의 대응은 미흡했고 사기범들은 검거가 되더라도 단순 가담자로 풀려나거나 가벼운 처벌만 받았다. 최근엔 변화의 가능성도 보이고 있다. 사법당국은 보이스피싱 사기범들에게 범죄단체 조직 죄를 적용하기 시작했다. 그렇게 되면 사기범들에 대한 가중처벌이 가능하고 피해금액 환수가 좀 더 용이해 질 것으로 기대되고 있다. 그러나 사기범들의 팔목에 일일이 수갑을 채우는 방식은 한계가 있다고 전문가들은 말한다. 과연 피싱 사기는 근절할 수 있는 길은 없는 것일까? 사기의 법칙-2015, 대한민국 피싱 보고서에서 그 가능성을 알아본다.

Read more

[공지사항] KAIST 정보보호대학원, 사이버보안연구센터 연합 워크숍 개최
KAIST 정보보호대학원, 사이버보안연구센터에서 아래와 같이 연합 워크숍을 개최합니다. 일시 : 2015. 06. 05(금) 09:30~18:00장소 : KAIST 본원 N1건물 117호(다목적 강의실)  워크숍 진행 시간계획시 간내 용 09:30~09:35문수복 교수 인사말09:35~10:00김용대 교수(The Science of Hacking)10:00~10:25신인식 교수(Mobile Platform Security)10:25~10:50강병훈 교수(Kernel Integrity monitor and trusted executionenvironment : TEE)10:50~11:10Coffee break(20분)11:10~11:35하정석 교수(Physical Layer Security)11:35~12:00이성주 교수(Malware Distribution Detection)12:00~12:25신승원 교수(SDN/NFV security)12:25~13:10Lunch(도시락 : 45분)13:10~13:35류석영 교수(Bug detection in JavaScript web application)13:35~14:00김문주 교수(Application of symbolic Execution : systematicTesting of reactive software with Non-determistic Events) 14:00~14:25김광조 교수(The history of developing crypto and security technologies in Korea)14:25~14:50이주영 교수(Encryption based on card shuffling)14:50~15:10Coffee break(20분)15:10~15:25이광식/오익균 연구원(사이버보안연구센터 소개 및 전략기획실 발표)15:25~15:40최상용 연구원( “ 차세대보안연구실 발표)15:40~15:55박재경 연구원( “ 기술개발실 발표)15:55~16:25최근 연구실적 Spotlight 발표(각 5분씩)- 홍 신 (김문주 ICSE 2014)- 배성경 (류석영 FSE 2014)- 장진수 (강병훈 NDSS 2015)- 장대희 (강병훈 CCS 2014)- 송원준 (김동준 CCS 2014)- 손윤목 (김용대Security 2015)16:25~16:45Coffee break(20분)16:45~17:10이준구 교수(Unconditional security by Quantum key Distribution)17:10~17:35한동수 교수(Open SGX and its applications to network security)17:35~17:55o 패널토의(정보보호의 나아갈 길)- 패널리스트 : 문수복, 김광조, 김용대, 강병훈, 이주영- 주요 내용. Theoretical challenges. Practical concerns. Policy issues 등 17:55~18:00문수복 교수 마무리 

Read more