Introduction

연구활동

센터소식

연구활동 센터소식
[보도자료] 출연연 대상 해킹시도 연간 2000건……
출연연 대상 해킹시도 연간 2000건…대덕도 '초비상'사상초유 전산망 마비에 KISTI 과기사이버센터 24시간 가동기관별 보안담당자 비상근무 "현실적 대안 보안의식 강화뿐" 대덕넷  |  발행일: 2013.03.21  |  지나라 기자 nara@hellodd.com  |  원문보기▲ 20일 비상근무체제에 돌입한 KISTI 과학기술사이버안전센터에 박영서 원장이 찾아 철저한 대비를 부탁했다.<사진=KISTI제공>은행과 방송 전산망이 해킹에 노출된 지난 20일 오후 전국이 혼란에 빠졌다. 보안업체들은 이번 해킹 공격은 'APT(Advanced Persistent Threat:지능형 지속 위협)' 방식일 가능성이 높다고 분석했다. 미리 숨겨둔 악성코드를 특정 시간에 스위치를 눌러 한꺼번에 터뜨리는 지능적이고 계획된 공격이다.출연연이 밀집한 대덕도 각 기관의 전산망은 안전한지 촉각을 곤두세우고 상황을 주시했다. 다행히 이상 징후는 포착되진 않은 것으로 밝혀졌다. KISTI(한국과학기술정보연구원·원장 박영서)가 운영하는 과학기술사이버안전센터는 20일 오후 6시 "이 시간 현재 이상 없다"고 밝혔다. 평상시에도 24시간 운영되는 과학기술사이버안전센터는 이날 오후 2시쯤 24시간 비상 근무체계를 가동하고, 정부 출연연과 공공기관 등 42개 연구원 소속 정보보안 담당자에게 비상근무를 하달했다. 박학수 KISTI 과학기술정보보호실장은 "지금까지는 특별한 이상이 없지만 이번에 문제가 된 APT방식은 백신을 자동으로 내려주는 시스템인 VMS나 PMS 서버를 통해 유입된다"며 "출연연을 비롯한 대부분의 공공기관들은 기관중앙에 서버를 두고 사용자가 업데이트를 받는 형식을 취하기 때문에 이번과 같은 공격을 당하면 피해를 비켜가기 어렵다. 계속해서 상황을 주시하고 있다"고 설명했다. KISTI 과학기술사이버안전센터는 과학기술 분야의 정보보호를 강화하기 위해 2005년 구축, 정부출연연 및 교과부 산하 공공기관 42개 기관에 대한 보안관제를 총괄하고 있다. 문제가 발생하면 탐지해서 대응조치, 국가 중요 과학기술 정보 보유 기관의 침해 공격에 대한 24시간 이상 징후를 감시, 분석해 침해사고 탐지 및 대응기술을 지원한다. 또 웜 바이러스, 해킹과 같은 국내·외 신종 인터넷 공격으로 피해가 우려될 경우 '예보'를 발령하고, 이상 징후 탐지 및 피해상황이 접수되면 곧바로 '경보'를 발령하는 '예보·경보시스템'을 가동한다. ◆ 연간 출연연 해킹 시도 2000건 …해답은 보안의식 강화뿐"출연연 서버를 대상으로 한 해킹시도 건수는 한해 평균 2000건 정도 됩니다. 저희 센터에 하루 동안 뜨는 보안탐지 이벤트는 1000만 건, 이중 단순한 것은 제외하고 위험한 공격시도만 관제를 하고 있습니다." 박학수 KISTI 과학기술정보보호실장의 설명에 따르면 출연연 전산망은 늘 위험에 노출돼 있다. 하지만 하루 1000만 건의 보안탐지 이벤트 수는 다른 공공기관에 비하면 상대적으로 적은 숫자다. 다행히 아직까지 기관에 영향을 준 해킹 피해는 발생하지 않았다. 이번 사태를 계기로 출연연의 보안실태를 확인한 결과 KISTI 과학기술사이버안전센터를 중심으로 보안관제 업무를 시행하며, 각 출연연에는 정보보호담당자와 책임자 최소 2명의 담당자가 상주하고 있는 것으로 확인됐다. KISTI 과학기술사이버안전센터는 24시간, 주간 1개조와 야간 3개조 교대근무로 운영된다. 또 교과부가 정보보안 담당자를 통해 1차 사이버보안교육을 실시하고, 각 출연연 담당자가 직원들을 대상으로 연간 2회 이상 교육을 실시한다. 과학기술정보보호센터는 출연연과 함께 매년 사이버테러에 대비한 훈련을 실시한다. 을지훈련 기간 진행되는 훈련은 관심-주의-심각 등의 시나리오 대로 기관을 공격하고 대응능력을 점검한다. 일부 기관은 서버를 무작위로 공격해 네트워크의 외부 침입 방어 능력을 검사하며 불특정 직원들에게 웜바이러스 첨부 메일을 가장한 e메일을 보내 메일을 함부로 열어보는지를 조사하고 있다.박학수 실장은 "KISTI 과학기술사이버안전센터는 각 출연연으로 들어가는 골목에 안테나를 세워놓고 이상트래픽을 감시하기 때문에 외부의 해킹 시도와 같은 침입은 대응이 가능하지만 각 출연연 내부의 서버 등은 감시가 안된다"며 "APT와 같은 악성코드에 대비하기 위해서는 출연연 구성원들이 개인 컴퓨터의 보안과 업데이트를 철저히 해야만 방지할 수 있다"고 강조했다. 특히 기관예산으로 보안시스템을 구축해야 하는 출연연의 특성상 연구장비 구입에 밀려서 보안장비들은 5년 이상 된 것들이 많아 보다 주의가 필요한 실정이다. 박 실장은 "보안은 아무리 강조해도 지나치지 않다. 개개인이 보안수칙을 따르다보면 불편함이 있겠지만 큰 피해를 막는 방법은 평소 보안수칙을 지키는 길 밖에 없다"고 덧붙였다. 각 출연연은 자체 보안교육을 실시하고 있는 것으로 조사됐지만, 그 수위와 강제 범위는 조금씩 달랐다. ETRI 보안 관계자는 "연구소에서 보안에 관련된 연구도 진행하고 있기 때문에 보안의식이 높은 편"이라며 "매주 수요일 보안점검의 날로 지정해 모든 직원들이 수요일 아침 PC를 켤 때 자동부팅시스템을 통해 8가지 사항의 보안체크를 실시하고 있다"고 설명했다. ◆ 사이버 공격 국가차원 방어는? KAIST 사이버보안 연구센터서 전문가 양성20일 방송국과 금융사 등 국가 정보인프라가 일순간에 붕괴된 것처럼 방어기술보다 한발 앞선 기술로 국가기간 전산망을 흔드는 사이버 공격자들을 국가적인 차원에서 방어해야 한다는 목소리도 높다. 이런 취지에서 탄생한 곳이 KAIST 사이버보안 연구센터다. 2011년 설립된 사이버보안연구센터는 전 세계가 총성 없는 사이버 전쟁에 돌입한 가운데, 우리나라 국가 사이버 안보를 위한 세계 최정예 정보보호 전문가를 양성하고 있다. 또한 세계적 수준의 정보보호전문가를 영입해 신·변종 해킹 탐지기술 개발과 국가기반시설을 방호할 수 있는 해킹 보호기술을 개발함은 물론 악성코드 유포지를 찾아내는 등의 해킹 보호기술을 시연하고 있다. 최상용 실장은 "출연연은 방화벽, 백신 등 기본적인 보안방지대책은 정부 기준에 맞춰 수립돼 있다"며 "앞으로 더욱 증가할 사이버테러에 대비해 최신 기술을 개발하고 전문가를 양성하도록 노력하겠다"고 밝혔다. ◆ 디도스 보다 한수위 APT, 원하는 정보 빼낸 뒤 서버 파괴 사이버 테러는 갈수록 수법이 다양해지고 예방이 어렵게 진화하고 있다. 얼마 전까지 가장 많았던 사이버 테러 방식은 '분산서비스거부' 공격이라고 불리는 디도스(DDoS)다. 해커들이 특정 사이트의 서비스를 이용하지 못하도록 무차별적으로 클릭하는 수법이다. 해커가 특정 시점에 지정해 놓은 사이트에 접속하라는 명령을 담은 악성코드를 배포해 감염시킨 다음 백신소프트웨어 등으로 적절하게 방어하지 못한 수백, 수천 대의 PC를 '좀비PC'로 만든다. 일시에 한 사이트에 감당할 수 없는 횟수로 접속 명령이 내려지면 해당 서버는 과부하를 일으키며 마비된다. 사이트를 이용하려는 사람들이 불편을 겪지만, 접속 서버가 파괴되거나 데이터베이스 자체가 사라지지는 않는다.이보다 진화한 것이 '지능형 지속공격'인 APT다. 주로 e메일을 통해 이뤄지는 해킹 수법이다. 피해를 입히려는 개인의 공개된 정보를 파악해 다양한 경로로 접근한 뒤 서버를 장악해 개인과 회사의 중요 정보까지 모두 빼내간다. APT의 경우 서버 관리자의 움직임을 길게는 몇 개월씩 감시하며 침투 기회를 노리기 때문에 방화벽이나 백신 같은 일반적인 방법으로는 막기 힘들다. 방화벽을 아무리 잘 구축해도 전산 담당자나 내부 사용자들의 보안의식이 약하면 무용지물이다. 대표적 사이버 테러 방식으로 이용돼 온 웜바이러스(Worm Virus)의 경우 최근엔 네트워크에 피해를 입히는 악성 프로그램으로 변질되고 있다. 일반적으로 악성 프로그램은 제작자가 의도적으로 사용자에게 피해를 주고자 만든 것으로 크게 컴퓨터바이러스·트로이목마·웜 등으로 분류된다.웜과 바이러스는 숙주가 있는지 없는지에 따라 구분된다. 둘 모두 복제되기는 하지만 바이러스는 파일이나 부트 영역 등 어떤 대상에 기생하는 형태로 존재하는 데 비해 웜은 숙주 없이 자기 스스로 복제해 통신망 등을 통해 널리 퍼진다는 것이 특징이다.※ 출처: http://www.hellodd.com/?mt=view&pid=41143

Read more

[보도자료] [칼럼]강력한 제로데이 공습, 한국을 …
[칼럼]강력한 제로데이 공습, 한국을 강타하다메가뉴스  |  발행일: 2013.01.22  |  전상훈 보안칼럼니스트  |  원문보기세계적으로 유례가 없는 제로데이들의 공습, 한국을 강타하다. ​일반적으로 패치가 발표 되기 이전의 공격코드를 제로데이 공격이라고 칭한다. 공격코드를 대응할 방법이 없다는 점에서 모든 방패를 무력하게 만드는 절대적인 공격 기법이라고도 할 수 있다. ​취약성을 보완하는 것을 패치라고 하며 일반적으로 운영체제 및 애플리케이션 업데이트를 통해 새로운 버전으로 갱신을 하게 된다. 2000년 이후 지금까지 2003년 1.25 대란을 겪으며 발표된 패치의 중요성에 대해서 높은 주의를 가지게 됐으며, 이후에도 패치만 꾸준히 할 경우 대규모 피해는 발생하지 않는다는 것이 정석이었다. ​제로데이 공격들은 일반적으로 국가간의 첩보나 사이버전, 기밀탈취에 은밀하게 쓰이는 용도로 일반에게 알려져 있으며, 국가와 기업의 중요기밀 탈취를 위해 이메일 등을 통해 공격 하는 방식으로 이해를 하는 것이 일반적이다. 그러나 지금의 상황은 극도로 달라진 상황을 보이고 있으며, 매우 치명적인 결과를 초래하고 있다. ​일반적으로 웹서비스를 해킹 할 때에는 내부로 침입을 하기 위한 통로로서 공격을 하거나 정치적 의견을 알리기 위한 핵티비스트 경향을 띄는 것이 일반적이다. 단순히 중간거점으로 활용하거나 페이지 화면을 변조함으로써 의사를 전달 하는 용도로 이용된 것이 지금까지 대부분이 알고 있는 해킹의 유형이라 할 수 있다. ​그러나 2000년대 중반 이후부터 공격자들은 또 다른 하나의 수단으로서 직접 활용을 하고 있다. 그 활용은 웹서비스의 소스를 수정함으로써 모든 방문자들을 대상으로 좀비 PC로 만들 수 있는 공격이 가능하다는 것을 인지하고 실행을 하게 된다. 2012년을 거쳐, 2013년이 된 지금은 대규모 공격 네트워크를 직접 활용하는 수준에까지 도달한 상황이다. 여기에 공격자가 권한을 가지고 변경한 웹서비스들을(뉴스, 동영상, 온라인커뮤니티 등) 방문한 사용자 PC를 공격하는 기법에 패치가 없는 제로데이들이 사용되는 상황까지 이르렀다. ​현 시점에서 국내 인터넷 환경을 공격하는 두 개의 제로데이가 대량 감염에 이용 되고 있다. 8억 5천만개 이상의 디바이스에 설치되어 운영되고 있는 자바(Java)에 대한 제로데이 공격과, 국내 인터넷 상거래 환경의 상당수를 차지하고 있는 인터넷익스플로러(IE) 6,7,8 버전에 대한 제로데이 공격이다. 그 시작은 지난 11일부터다. IE 제로데이인 CVE 2012-4792 취약성과 자바 제로데이인 CVE 2013-0422 공격이 국내를 대상으로 대규모 공격을 한 정황이 확인됐으며 현재 전문분석이 진행 중이다. ​단 하나의 제로데이가 발생해도 파급력과 위험성은 높은데, 하나도 아닌 두 개의 제로데이가 직접 이용되고 모든 웹서비스 방문자를 대상으로 대량 감염을 시키는 상황은 절망적인 상황이라 할 수 있을 것이다. 지금의 상황에 대한 메시지는 극도로 위험함이라 규정 할 수 있다. ​최근 국내에서는 금융 관련 피싱 및 소액결제 사기 등이 급증하는 현상이 계속 되고 있다. 그 피해의 이면에는 사용자 PC의 권한을 획득한 악성코드의 역할이 절대적이라 할 수 있다. 어떻게 이 악성코드들이 설치가 되었을까. ​■ 공격 전략 ​공격자들은 효율적인 전략을 통해 대규모 감염을 위한 매커니즘을 운용 중이다. 이 매커니즘은 첫 번째로 취약한 웹서비스들을 먼저 공격해 권한을 획득 하는 것이다. 그 다음은 모든 권한을 가지고 있는 상태에서 웹서비스의 소스코드 중 극히 일부를 수정하거나 추가하는 형태를 보인다. 추가 되거나 수정되는 정보는 공격자가 이미 다른 서버에 올려둔 공격코드를 실행하는 트리거 역할을 하게 된다. 이 트리거는 공격자가 수정한 웹서비스를 방문하는 모든 사용자를 대상으로 실행이 된다. ​1. 웹서비스 권한획득 – 모든 권한을 가지고 있으나 단지 소스의 일부만을 수정함 2. 소스코드의 일부를 공격자가 올려둔 공격코드가 실행 되는 주소로 변경 3. 이제 웹서비스 방문자들은 모두 자동으로 공격코드의 영향권에 있으며, 좀비PC화됨 4. 좀비 PC가 된 대량의 PC들에서 입력되는 모든 정보를 탈취하고, 금융기관 접속 시에는 URL을 변경하여 피싱사이트로 자동으로 연결 되도록 한다. (DDos 공격 및 내부 침입 등은 공격자의 선택 옵션일 뿐이다. ) < 공격자가 인위적으로 주요 웹서비스에 추가한 제로데이 공격 링크 실행 부분 >공격자는 권한을 획득한 웹서비스의 소스에 위와 같은 자동 실행 부분을 추가한다. 관련 이미지는 1월 11일에 발견된 국내 유력 웹서비스 소스 변경 부분이며, 모든 방문자가 방문 시에 자동으로 실행돼 영향을 받는 부분이다. 추가된 소스코드의 상세분석에 따르면 IE 제로데이와 자바 제로데이를 동시에 활용해 공격하는, 전 세계에서 발견된 바 없는 제로데이를 두 개나 활용하는 소스코드이다. 해당 서비스에 방문하는 모든 사용자들은 영향을 모두 받았을 것이다. < 취약성 공격코드가 올려진 또 다른 국내 웹서비스 >Pop.htm은 Java 관련되어 제로데이를 포함한 6 종류 이상의 취약성을 공격하여 권한을 획득하는 공격 링크이며 popup.htm은 IE 관련 제로데이를 자동 공격하는 공격코드가 들어가 있는 부분이다. ​■ 현재 상황IE 관련 제로데이의 경우 이미 1월 초부터 국내 인터넷을 대상으로 하여 테스트를 하는 정황이 포착됐고, 시험이 완료됐을 것으로 추정한 바 있다. 1월 11일을 기해 자바 제로데이와 동시에 공격에 사용된 정황은 충격적이다. 자바 제로데이의 경우는 테스트 없이 바로 대량 감염에 직접 이용되는 상황이 관찰됐다. < IE 제로데이 및 자바 제로데이 발견과 직접 활용에 대한 히스토리(빛스캔) >지금 한국의 인터넷 상황은 기존의 취약성들에 대한 공격만으로도 60% 가량의 감염 성공률을 보이고 있다. 악성링크가 자동 실행되는 주요 웹서비스 방문자중 60% 가량 감염되고 있다. 이러한 상황에서 제로데이들을 직접 활용한다면 감염 성공률은 거의 90% 이상에 육박할 것으로 예상된다. 동영상을 보거나 파일을 다운로드 받는 곳, 브라우저로 뉴스를 보는 언론사이트 방문자 10명중 9명은 현재 제로데이의 공격에 직접 노출돼 있는 것이다. ​필자가 근무하는 보안회사에서는 지난 11일을 기해 국내 인터넷 환경에 대해 위험성 수준을 매우 위험으로 상향하여 대응을 하고 있다. 일각에서는 아직 제로데이에 대한 공격이 해외에서나 발생 되는 일로 인지하고 있는 것은 매우 개탄스러운 현상으로서 현재 국내의 위험 상황을 제대로 파악하지 못하고 있는 것으로 여겨진다. 이미 두 개의 태풍은 한반도 상공에서 장기체류를 예정하고 있다. ​설치된 최종 악성파일의 경우에도 1월 11일 최초 유포가 발생 되었음에도 불구하고 시일이 지난 이후에도 여전히 미보고된 악성코드이거나 일부 백신만 탐지하는 형태를 확인 할 수 있다. ​■ 대책현재로서는 공격기법을 막을 수 있는 마땅한 대안이 없다. 또 사용자 PC를 좀비PC화하는 악성파일도 기존 백신제품들에서 제대로 탐지가 안 되는 상황은 ‘왜 지금이 최악의 위기인지’를 대변하고 있다. 일부 탐지의 경우에도 최초 악성파일 유포 이후 3일의 시간이 지난 이후 진단된 결과며, 미보고 샘플은 1월 11일 최초 유포가 시작됐음에도 불구하고 여전히 보고된 바 없는 악성파일로 나타나고 있다. 무엇으로 막을 수 있을까? ​그 대책으로, IE 제로데이와 관련해, MS가 전례를 찾기 힘든 긴급 대응 패치를 발표했다. 보안패치는 IE 6,7,8 사용자 모두에게 해당이 된다. 발표 이후에도 공격이 계속되는 것으로 보아 정확한 대응여부 검증에 대해서는 시일이 필요할 것으로 예상된다. ​오라클의 경우도 자바 패치를 발표했지만 현재 패치의 완전성에 대해서는 검증된 바가 없고, 여전히 공격은 계속 진행 중이다. 특히 국내는 불특정 다수에게 취약한 웹서비스를 이용한 대량 공격이 계속되고 있어서 세계적으로 피해가 가장 심각한 측에 속할 것이다. ​IE의 경우 패치의 안정성 여부를 떠나 IE 6,7,8 버전에 대한 전체적인 업그레이드가 요구되고 있으며, 자바의 경우 현재 패치의 비정기성도 문제가 있고 업데이트 설치 비율도 낮은 수준으로 판단된다. 2012년부터 발견된 자바 취약성과 2013년 신규 발견된 제로데이까지 합쳐진 최소 6 종류의 취약성에 대한 공격이 1월 11일 이후 주중에도 계속 발견 되는 상황에 처해 있다. 따라서 IE는 브라우저의 업데이트가 요구되며, 자바는 미국 연방정부의 권고안대로 삭제 및 사용금지가 현재로서는 유일한 대안이라 할 수 있을 것이다. ​또한 국내의 위험을 적극적으로 알리기 위해 관찰 단계 상향이 필요하며, 제로데이 공격코드 유포와 관련된 웹 서비스들에 대한 강력한 통제 및 재발방지, 근본 원인 제거가 수반돼야 할 것이다. ​현재 상태는 인터넷을 활용하는 기업과 기관 모두에게 강력한 주의가 필요하다. 백신에 탐지되지 않는 악성코드를 APT라 칭한다면 이미 지난 주말에만 수십만 건 이상의 APT들이 사회 각 분야에 침투한 상황이다. 통로를 제어하지 못하면 이 싸움은 필히 패할 수 밖에 없을 것이다. ​절대적인 위기의 시기임을 잊지 말아야 할 것이다. 뉴스, 쇼핑, 영화, 방송 등 모든 분야에서 제로데이가 당신의 방문을 기다리고 있다. 문제는 이제 심각한 상황으로 단숨에 진입한 상황이다. 우리는 지금의 순간을 지금껏 겪어 보지 못한 위기의 순간이라 느끼고 있다.※출처: http://www.zdnet.co.kr/column/column_view.asp?artice_id=20130122143430

Read more

[보도자료] [신간] 해킹의 비밀을 푸는 KEY 15 (2…
[신간] 해킹의 비밀을 푸는 KEY 15보안뉴스  |  발행일: 2013.01.22  |  권준 기자 editor@boannews.com  |  원문보기KAIST 정보보호대학원 저자 9인, 사이버 공격방어 실습교재 출간  네트워크, 웹, 시스템, 스마트폰 해킹까지...이론과 실습 모두 가능  [보안뉴스 권 준] 지난 1년간 KAIST 정보보호대학원 학생들이 밤낮을 잊어가며, 수업 내용을 개발하고 집필해온 결과물이 완성됐다. KAIST 정보보호대학원 임채호 교수와 홍현욱 대표저자 등 9인이 발간한 ‘해킹의 비밀을 푸는 KEY 15’(출판사 : 인포더북스)가 바로 그것. 이 책은 기본적인 해킹에서부터 네트워크, 웹, 시스템, 그리고 최근 이슈가 되고 있는 스마트 폰 해킹까지 다양한 분야의 지식을 전달하고자 출간됐다. 특히, 학생들의 눈높이에 맞춰 실습까지 가능하도록 구성됐기 때문에 많은 관련 학과의 사이버 공격방어 실습 교재에 적합할 것으로 보인다. 이 책의 기획 및 관련 업무를 총괄한 KAIST 정보보호대학원 임채호 교수는 “이 책을 통해 해킹기법 및 악성코드 제작을 익혀 사이버범죄를 저지를 수 있지 않을까 하는 기대감을 가질까 염려가 되기도 했지만, 知彼知己면 百戰百勝이라고 공격을 알아야 방어를 잘할 수 있다”며, “사이버 공간에서의 전쟁은 실제 공간에서 일어나는 전쟁과 달리 평상시에도 일어나고 있다. 즉, 사이버전은 해킹사고가 발생하거나 컴퓨터가 악성코드에 감염되어야지만 발생했다고 보는 것이 아니라 정보전 개념으로 인식해야 한다”고 강조했다. 또한, 대표저자인 홍현욱 씨는 “이 책에서는 기본 해킹 기법으로 사이버 공격에 필요한 정보를 수집하는 방법과 압축 파일을 이용한 악성코드 생성을 다루고 있으며, 네트워크 분야에서는 방화벽과 스니핑을 주제로 하고 있다. 웹 분야에서는 XSS, CSRF, SQL 인젝션 등을 다루고 있으며, 시스템 분야에서는 안티 바이러스를 우회하는 방법, 악성코드를 만드는 법과 분석하는 방법 등을 다루고 있다”며, “이러한 내용들이 사이버 보안에 관심 있는 분들과 공부를 하시는 분들에게 많은 도움이 됐으면 좋겠다”는 바람을 피력했다. 이 책의 발간과 관련해서 보안전문가들의 추천도 이어지고 있다. 이철수 한국정보시스템감리사협회 회장(前 한국정보보호진흥원장)은 “책이 출간되기 전에 이 책을 먼저 접한 사람으로 이 책을 한마디로 평가하자면 해킹피해를 근본적으로 예방하기 위한 ‘흙 속의 진주’라 감히 표현하고 싶다”고 평가했다.  또한, 빛스캔의 전상훈 기술이사는 “2011년부터 KAIST 정보보호대학원 학생들과 함께 국내의 인터넷상에서 발생하는 위험을 분석하고 실제 경험을 통해 문제를 해결해 나가는 과정을 계속해오고 있다”며, “이 책은 실제에서 얻은 경험을 바탕으로 실습하고 이론과 실제를 모두 반영하기 위해 고민하고 노력한 내용의 산물”이라고 강조했다.   (이하 생략)※ 출처: http://www.boannews.com/media/view.asp?idx=34527&kind=1

Read more

[보도자료] [기고] 과학기술 질적 성장 이루려면 …
[기고] 과학기술 질적 성장 이루려면 매일경제  |  발행일: 2013.01.14  |  원문보기과거 50년 동안 정권이 바뀔 때마다 새 정부는 `과학기술`을 국정 중심에 두고 과학기술 발전에 많은 애정을 쏟았다. 2012년을 되돌아보면 전체 과학기술 연구개발 사업 규모는 연간 16조원으로 국내총생산(GDP) 대비 비중이 세계 2위로 성장했다. 그 결과 과학논문 편수는 세계 10위권, 국제특허 출원건수는 세계 5위권, 과학경쟁력은 세계 5위로 양적 성장을 이뤘다. 어려운 재정 여건에도 정부가 미래 국부 창출을 위한 과학기술 진흥에 강력한 의지를 보인 데 따른 성과다. 이 같은 양적 성장에도 불구하고 선진국 진입에 필요한 질적 성장은 아직 요원하다. 국민적 염원인 과학 분야 노벨상 수상자를 배출하지 못했으며 세계 10위권 명문대학 배출도 아직은 요원해 보인다. 소프트웨어와 벤처 산업을 통한 일자리 창출, 국가총생산에 대한 과학기술의 기여도도 미미하다. 이런 이슈들은 과거 정부에서도 관심을 갖고 추진했지만 그 성과는 기대 이하다. 그렇다면 질적 성장을 어렵게 하는 장애물은 무엇일까. 분석컨대 △5년 재임 기간 중 큰 성과를 올리려는 정부 △단기 성과를 강요받는 주무부처 담당자의 인센티브 제도 △정부 부처에서 독립된 고도의 전문 분야를 기획ㆍ결정ㆍ평가하는 기관 부재 △외환위기로 생겨난 이공계 기피 의식과 안정된 직장 선호 등으로 판단된다. 이제 과학기술에 대한 정부 조직과 운영에 대한 패러다임 변화가 있어야 한다. 백년지대계라는 긴 안목으로 준비할 때다. 미래 국부 창출을 위한 과학기술의 질적 발전에 대한 정부의 새로운 역할이 필요하다. 먼저, 정부는 최소 10년 이상 지속될 장기적인 과학기술 정책을 수립하고, 정권에 영향을 받지 않는 과학기술 정부조직을 구성해야 한다. 연구자에게 연구환경의 연속성은 매우 중요하다. 5년마다 정권이 바뀔 때 과학기술 컨트롤 타워가 생존을 걱정한다면 장기적이고 지속적인 연구는 불가능하다. 미국과학재단(NSF)은 정부에서 독립된 평가기관인데 과학기술 분야 전문가로 구성돼 과학기술 관련 기획ㆍ선정ㆍ평가를 담당한다. 정부에 독립된 기관이면서 장기적인 연구를 자율적으로 수행해 지난 50년간 MRI, 레이저, 웹브라우저 등을 개발해 현대 과학과 인류 복지에 큰 기여를 했다. 둘째, 적극적인 투자를 하되 절제된 관심을 표명해야 한다. 정부는 단기적인 성과에 매어 있지 않도록 과감하게 투자하고 성과를 기다려 주는 미덕이 필요하다. 세계 저명 대학 순위에 국공립대학보다 사립대학이 강세를 보이는 이유는 상대적으로 사립대학이 많은 독립성과 자율성을 보장받기 때문이다. 셋째, 고급 과학기술인이 자긍심을 갖고 일을 할 수 있도록 국가 지도자의 일관된 관심이 필요하다. 국가 지도자는 언론 등을 통해 과학기술의 중요성을 이야기하고 과학기술인을 우대하는 사회 분위기를 만들어야 한다. 아울러 성공한 과학기술인과 창업자들도 연예인이나 스포츠 스타처럼 TV에 나와 젊은이들에게 과학, 기술, 창업에 꿈을 심어주는 이야기를 들려줘야 한다. 마지막으로, 연구개발과 창업에서 실패를 용인하는 제도와 문화가 필요하다. 현 제도에서 연구사업 실패는 거의 없다. 왜냐하면 연구개발 사업관리 특성상 안정된 것만을 추구하기 때문이다. 앞으로는 실패 확률은 높지만 성공했을 때 더 많은 보상이 제공되는 연구 주제에 연구원들이 과감히 도전할 수 있는 환경이 만들어져야 한다. 이제 우리나라는 선진국 진입을 위해 과학기술 분야의 질적 성장을 추구해야 한다. 정부도 양적 확대를 위한 단기 성과 위주인 평가방식을 지양하고 과학기술 발전을 위해 장기적이고 절제된 역할을 고민해야 한다. [김명철 KAIST 정보보호대학원장] ※ 출처: http://news.mk.co.kr/newsRead.php?year=2013&no=32737

Read more

[보도자료] 해킹의 비밀을 푸는 KEY, 궁금해요? (…
해킹의 비밀을 푸는 KEY, 궁금해요?보안뉴스  |  발행일: 2013.01.02  |  권준 기자 editor@boannews.com  |  원문보기KAIST 정보보호대학원 ‘해킹의 비밀을 푸는 KEY 15’ 발간 앞둬  임채호 교수·홍현욱 대표저자 등 공동저자 9명과의 뒤풀이 토크  [보안뉴스 권 준] 어떤 열쇠를 꽂아야만 해킹이라는 ‘비밀의 문’을 활짝 열 수 있을까? 아무리 뛰어난 해커라도 모든 종류의 해킹 공격을 자유자재로 수행할 수 없듯이, 최고의 보안전문가들도 복잡다단한 해킹 공격을 근본적으로 해결할 수 있는 묘안을 찾기란 매우 어렵다. 그렇다고 실망은 금물이다. 전 세계 수많은 보안전문가들과 화이트 해커들이 다양한 해킹 공격을 예방하거나 차단할 수 있는 연구에 매진하고 있으니까 말이다.  우리나라에선 한국과학기술원(KAIST) 정보보호대학원 TA Lab(Trust Architecture) 임채호 교수와 대학원생들이 한데 뭉쳐 해킹의 비밀을 푸는 해법을 찾아 나섰다. 이와 관련된 노하우를 집대성해 ‘해킹의 비밀을 푸는 KEY 15’이라는 책자 발간을 앞두고 있는 것. 이번 책자는 KAIST TA Lab에서 진행된 ‘사이버 공격 및 방어실습’ 과목의 결과물을 바탕으로 만들어졌다. 이와 관련 과목을 담당했던 임채호 교수는 “학생들이 ‘사이버 공격 및 방어 실습’ 과목의 조교 활동을 하면서 경험하고 학습했던 내용을 정리하자고 했는데, 그 결과물이 정식교재로 나오게 됐다”고 그 의미를 부여했다. 또한, 이 책의 대표저자로 가장 많은 분량을 집필한 홍현욱 씨는 “새벽 늦게까지 진행된 실습 과정과 결과를 바탕으로 시스템, 웹, 네트워크, 모바일 등 다양한 분야에서의 해킹사례와 대응방법을 사례 중심으로 소개했기 때문에 보안 분야의 전공 학생에서부터 기업의 보안담당자, 그리고 관련 교수님들에 이르기까지 큰 도움이 되지 않을까 기대한다”고 밝혔다.       그럼 15개의 열쇠를 모아 ‘해킹의 15관문’을 공식적으로 통과하기 전, 공동저자들과의 뒤풀이 토크를 통해 다양한 해킹 문제에 대한 보다 쉬운 접근방법을 모색해봤다. 발간을 앞두고 있는 ‘해킹의 비밀을 푸는 KEY 15’의 대표저자인 홍현욱 씨 홍 현 욱(대표저자) - 일반적인 코드가 악의적인 목적을 가지고 사용되면 악성의 행위를 하는 악성코드가 된다. 악성코드를 만드는 부분에 대해 소개하면서 악성코드 제작이 어렵지 않기 때문에 이에 대한 경각심이 필요하다는 점을 부각시키고자 했다. 또한, 조금만 조심하면 이러한 악성코드에 감염되지 않는다는 점을 알리고 싶었다.  [담당분야 - Making Malware using SFX Archive / Making Malware / Heap Spray] 임 채 호 교수(교재기획, 관련업무 총괄) - KAIST TA Lab(Trust Architecture) 학생들이 ‘사이버 공격 및 방어 실습’ 과목의 조교 활동을 통해 축적한 내용을 집약했다. 특히, 이론적인 배경, 실습, 미션, 수행, 대책 등의 순으로 구성해 많은 대학과 기업, 기관 등에서 실제 활용할 수 있도록 했다. 이 교재가 대한민국 사이버 안보를 굳건히 하는 데 초석이 됐으면 하는 바람이다.   최 현 우(공동저자) - 현재 가장 성행하고 있는 보안위협은 단연 웹 기반 해킹공격이라고 할 수 있다. 웹은 접근성이 용이하고 그 파급효과가 커서 지속적으로 해커의 타깃이 되기 때문이다. 이에 과거부터 지금까지 주로 사용되고 있는 SQL 인젝션, XSS/CSRF 공격기법 실습을 통해 웹 해킹 원리에 대한 이해를 돕고자 노력했고, 환경구축에서부터 공격까지 직접 실습을 통해 웹 보안의 본질을 이해할 수 있도록 하는데 초점을 맞췄다. 무엇보다 중요한 건 현재 웹사이트를 바라보는 시각 자체가 변화해야 한다는 점이다.   [담당분야 - XSS and CSRF / SQL Injection] 이 영 욱(공동저자) - 해킹 분야는 책으로만 공부하는 것이 아니라 실제 악성코드 샘플을 통해 분석해보고 실제 안티바이러스 제품을 우회해 보는 실습을 통해 얻는 것이 많다고 할 수 있다. 트렌드는 분명 중요하다. 그러나 기본이 튼튼히 갖추어져 있을 때 트렌드도 쫓아가면서 대응할 수 있는 것이기에 기본을 튼튼히 할 수 있도록 노력하는 것이 중요하다고 본다. [담당분야 - Malware Analysis / Bypass Anti-Virus] 정 동 재(공동저자) - Arp Spoofing은 네트워크를 해킹하기 위해 가장 기본적으로 쓰이는 중요한 방법으로, 이를 효과적으로 학습하기 위해서는 원리를 이해할 수 있는 이론과 실습을 병행하는 것이 중요하다. SEH Overwrite는 다소 난이도 있는 공격방법에 속하므로, 이론적인 부분을 이해한 뒤, 이를 바탕으로 차근차근 실습해 나가는 것이 효과적이다.  [담당분야 - ARP Spoofing / SEH Overwrite] 이 재 승(공동저자) - 해킹 기술이나 기법은 시간이 지나면서 점차 변하기 마련이나, 그 변화는 늘 기본적인 원리를 중심으로 이루어진다. 무엇보다 중요한 건 기본 원리를 직관적으로 이해하는 노력이 선행되어야 한다는 점이다. 이를 바탕으로 자신의 이해체계를 구축하고, 이를 차츰 확장시켜 나가야 한다.   [담당분야 - Firewall / Making Shellcode] 김 민 수(공동저자) - 인터넷에 각 패커(Packer)마다 간단하게 언패킹하는 방법들이 소개되어 있으나, Case by Case에 대한 트릭이 아닌 원리를 이해하는 일이 중요하다. 전체 패킹에 통용되는 속성들은 아니더라도 최대한 많은 패킹의 공통적인 특징들을 알기 위해 노력하는 일이 필요하리라 본다. 이와 관련해서는 우리 교재와 함께 참고로 현재 절판상태지만 ‘Windows 시스템 실행파일의 구조와 원리’라는 책을 구해 읽어보는 것도 도움이 되리라 생각한다. [담당분야 - Packer and Unpacker] 김 상 원(공동저자) - PC 세대에서 모바일 세대로 변화함에 따라 모바일 보안도 점차 중요해지고 있다. 특히, 악성코드 개발자들이 점차 모바일 분야를 넘보고 있는 상황에서 주목할 점은 PC 세대에서 일어났던 모든 일들이 모바일 환경에서도 똑같이 일어나고 있다는 점이다. 이번 교재에서는 실제 악성 앱을 분석한 정보를 토대로 간단한 실습용 악성 앱을 제작했으며 이를 분석하는 방법을 소개했다. 취약점이 없는 앱을 개발하길 원하는 사람들도 도움이 될 수 있도록 구성했다. [담당분야 - Analyse Malicious Android Application] 권 상 은(공동저자) - 구글이 제공하는 고급 검색 연산자들을 사용하여 원하는 정보, 숨어있는 정보 등을 찾아내는 방법을 소개했다. 이 과정을 통해 인터넷에 있는 수많은 정보들 중 자신이 원하는 정보를 쉽고 빠르게 찾는 법을 익힐 수 있다. 이것은 오늘날과 같은 정보화시대에 기본적이고도 필수적인 기술로, 사이버 공격 및 방어를 위한 여러 기법과 정보들을 학습하기 위해서도 꼭 필요한 내용이라고 할 수 있다. [담당분야 - Collecting Information(Hacking with Google)]   KAIST 정보보호대학원 임채호 교수를 비롯한 ‘해킹의 비밀을 푸는 KEY 15’ 의 공동저자 9명이 원고 탈고를 기념한 뒤풀이 토크 후, 기념촬영을 하고 있다.※ 출처: http://www.boannews.com/media/view.asp?idx=34287&kind=1

Read more

[보도자료] “KAIST 정보보호대학원, 글로벌 사이…
“KAIST 정보보호대학원, 글로벌 사이버보안 허브로”보안뉴스  |  발행일: 2012.12.18  |  권준 기자 editor@boannews.com  |  원문보기[인터뷰] 김 명 철 한국과학기술원(KAIST) 정보보호대학원 원장 [보안뉴스 권 준] 올해 2월 정규학과인 정보보호대학원으로 전환된 한국과학기술원(KAIST) 정보보호대학원이 저명한 교수진 영입, 산학협력 프로그램 운영과 함께 ‘실습을 통해 배우는 사이버 공격과 방어’라는 책자 발간을 앞두고 있는 등 글로벌 정보보호 분야의 허브로 자리매김하기 위한 야심 찬 행보를 이어가고 있다.  이에 본지는 국내를 넘어 세계 최고의 정보보안전문가를 양성한다는 목표로 활발하게 활동하고 있는 KAIST 정보보호대학원 김명철 원장을 인터뷰했다. 김명철 원장은 KT, ICU를 거쳐 2011년부터 KAIST에서 정보보호대학원 설립을 주도했으며, 모바일 인터넷과 보안을 주 연구 분야로 하고 있다.  KAIST 정보보호대학원이 올해 2월 정규학과인 정보호호대학원으로 전환된 것으로 알고 있다. 정규학과로 전환될 수 있었던 가장 큰 이유는 무엇인가. 무엇보다도 정보보호는 국가적으로 필수적인 분야라는 인식이 확산된 결과라고 할 수 있다. 국가에서 이공계 특수대학으로 설립한 KAIST에서 당연히 공헌을 해야 되는 분야로 판단했기 때문에 정규학과로의 전환이 이루어질 수 있었다고 본다. 정규학과로 전환되면서 KAIST 정보보호대학원에 대한 관심이 매우 높아지고 있다. 여타 대학의 정보보호대학원과의 가장 큰 차별점은 무엇이라고 할 수 있나. KAIST는 이미 글로벌 대학으로써의 명성을 확보하고 있다. 전산학과, 전기및전자공학과, 수리과학과, 산업및시스템공학과 등에서 정보보호관련 연구결과가 세계적으로 인정받고 있기 때문이다. 이러한 관련 학과와의 학제간 협력을 통해 정보보호 분야를 한 단계 더 고양할 수 있다는 점이 가장 큰 강점이라고 생각한다. 이를 통해 글로벌 사이버보안을 이끌어갈 고급 정보보호전문가를 양성한다는 우리의 교육목표를 달성할 수 있을 것으로 본다. KAIST 정보보호대학원의 교수진 및 학생들의 면면에 대해서 간략히 설명한다면. KAIST 정보보호대학원은 현재 관련학과 교수 25명과 대학원생 50명으로 구성되어 있다. 여기에 그치지 않고 정보보호대학원이 관련 교육 및 연구의 구심점 역할을 더욱 활발히 할 수 있도록 탁월한 연구역량과 열정을 가진 전임직 교수를 초빙 중에 있다. KAIST 정보보호대학원의 경우 악성코드 분석 등에 있어 빛스캔과 공동작업을 진행하고 MOU도 체결하는 등 산학협력에 있어서도 많은 신경을 쓰고 있는 것으로 알고 있다. 향후 정보보호산업 육성을 위한 산학협력은 어떤 방향으로 추진해나갈 계획인가.  우선 정보보호에 대한 국가적인 전략이 필요하다. 미국, 이스라엘과 같이 정보보호와 관련된 컨트롤타워가 필요하다고 생각한다. 이를 바탕으로 정보보호 고급인력 양성과 정보보호 산업체 육성에 나선다면, 자연스럽게 산학협력도 이루어질 수 있으리라 본다. 이러한 관점에서 우리 정보보호대학원이 산업체에 고급인력을 지속적으로 공급할 수 있는 역할을 담당할 계획이다. 정보보호 분야는 인재가 자산인 분야이고, 민·관·군 협력이 자연스럽게 이루어지는 분야라고 할 수 있다. 핵, 우주 다음으로 국가간 경쟁분야인 사이버국방에 대한 보다 거시적인 전략 수립이 필요한 때라고 본다. KAIST 정보보호대학원에서 임채호 교수와 대학원생을 중심으로 ‘실습을 통해 배우는 사이버 공격과 방어’라는 책자를 발간할 예정에 있는 것으로 알고 있다. 이러한 정보보호관련 책자 발간의 의미를 간략히 설명한다면.   그 중요성에 비해 관련 교재와 연구가 부족했던 정보보호 분야에서 ‘실습을 통해 배우는 사이버 공격과 방어’라는 책자가 발간된다는 사실은 의미가 매우 크다고 할 수 있다. 다양한 실습을 통해 현장 감각을 익히고 이를 바탕으로 새로운 전략, 기술, 이론 등을 만들 수 있는 토대가 될 수 있다고 본다. KAIST 정보보호대학원을 글로벌 사이버보안 분야의 허브로 자리매김 시키기 위한 향후 청사진이 있다면. KAIST 정보보호대학원 참여교수와 학생들이 정보보호 분야 최고 학술대회인 ‘ACM Computer and Communications Security’에 논문 2편을 발표했다. 우리나라에서 최초로 발표한 것이기도 하지만 전체 발표논문 수로 판단할 때 세계 10위안에 드는 실적이다. 이러한 연구성과를 바탕으로 향후 정보보호 분야 이론 및 기술을 선도하는 글로벌 대학원이 될 수 있도록 노력할 것이다. ※ 출처: http://www.boannews.com/media/view.asp?idx=34145&kind=1

Read more

[보도자료] KAIST GSIS 보안보고서, Exploit-DB에…
KAIST GSIS 보안보고서, Exploit-DB에 잇달아 등재보안뉴스  |  발행일: 2012.12.05  |  호애진 기자 boan5@boannews.com  |  원문보기빛스캔과 협업해 지속적으로 보고서 발표... 세계적인 경쟁력 입증해  [보안뉴스 호애진] 몇년 전까지만 해도 국내 정보보안 업계는 해외 기술에 의존하는 경향이 많았지만, 최근에 많이 달라지고 있다. 다양한 업체들이 해외에 진출하는 성과를 보여주고 있고, 이는 국내 보안 기술이 그만큼 괄목 성장한 결과라고 보여진다. APT 등과 같이 새로운 취약점을 통한 공격이 증가함에 따라 보안 업계뿐만 아니라 공공, 학계 분야에서도 연구가 활발하게 진행되고 있고, 해외 컨퍼런스, 논문, 기술문서 게재 등으로 그 성과가 나타나고 있다. 특히, 카이스트 정보보호대학원(KAIST GSIS)에서는 지난 1월부터 빛스캔과 협업해 제로데이 등 최신 악성코드 분석 및 관련된 보고서를 발표해 오고 있다.   지난 7월에는 국내뿐만 아니라 해외 최초로 MS XML 제로데이 취약점(CVE-2012-1889)에 대한 전문 분석 보고서를 영문으로 발간, 해외 보안 관련 전문 매체인 익스플로잇디비(http://www.exploit-db.com)에 게재됐다. 이는 전 세계 보안 전문가들이 참고하고 있으며, MS의 정규패치를 빠른 시일 내에 적용하도록 기여한 바 있다. 물론 기존에 MS XML에 관련된 기술 문서가 웹상에 공개됐지만, 메타익스플로잇(http://www.metasploit.com/)에서 참조된 자료를 통하거나 제로데이를 통해 최종적으로 다운로드된 악성코드를 기반으로 역추적 해 분석하는 등 한계가 있었다. KAIST GSIS와 빛스캔이 공동으로 발간한 전문분석보고서에는 국내에서 최초로 발생한 실제 공격사례, 제로데이에 관련된 실제 익스플로잇, 다운로드되는 최종 악성파일까지 총망라하여 분석함으로써 그 기술적 수준과 품질에 대해 호평을 받았다. 또한 해외 익스플로잇디비(exploit-db)에서 기술문서는 월간 최대 10건 정도만 게재될 만큼 희소성이 있는 곳에 국내에서 분석된 기술문서를 등록함으로써 세계적인 경쟁력을 입증하고 있다. 지금까지 최초 등록된 MS XML 취약성과 공격구조 분석자료 이외에도 약 5개월만에 4종의 제로데이 취약성 및 대규모 공격에 이용되는 공격기법을 분석해 기술문서로 등록했다.  한편, KAIST 정보보호대학원(GSIS)은 글로벌 사이버보안을 이끌어 갈 수 있는 ‘고급보안전문가 양성’을 목적으로 2010년 12월 정보과학기술대학 소속의 ‘정보보호대학원 프로그램’으로 신설됐으나, 국가차원에서 정보보호분야의 중요성과 이에 따른 고급 전문인력 수요 증가로 정규학과인 ‘정보보호대학원’으로 전환돼 운영되고 있다. 빛스캔은 2011년 5월 창업해 국내 인터넷의 위험상황을 체크하고 분석함으로써 전체의 안정성을 높이기 위해 노력하고 있으며, KAIST 정보보호대학원과의 협력을 통해 기술 중심의 보안인력 양성, 전문 지식의 습득과 활용에 기여하는 한편, 각 분야별 문제를 해결하기 위해 노력하고 있다. 또한 매주 수요일에는 한 주간의 한국 인터넷 서비스를 대상으로 한 공격과 위험성을 알리는 ‘고급보안 정보제공 서비스’를 2012년 1월부터 발행하고 있다. ※ 출처: http://www.boannews.com/media/view.asp?idx=33963&kind=1

Read more

[보도자료] [칼럼]디지털 페스트(2) (2012.11.29)
[칼럼]디지털 페스트(2)메가뉴스  |  발행일: 2012.11.29  |  전상훈 보안칼럼니스트  |  원문보기중세 유럽 인구 감소의 결정적인 원인. 통계에 의하면 전체 유럽 인구의 최대 절반에서 1/4 가량이 단 5년 만에 '페스트'의 영향으로 죽은 것으로 발표 되고 있다. ​페스트와도 같은 인터넷상의 악성코드들은 대규모 감염 매개체를 통해 확산을 거듭하고 있다. 페스트가 나돌던 중세유럽의 상황과 다를 바가 없다. 인터넷 생활 비중이 높은 지금의 사회는 악성코드에 직접적인 영향을 받고 있다. ​페스트의 사망률보다 높은 60% 이상의 치사율을 가지는 공격코드가 난무하고, 때로는 제로데이(패치가 없는 취약성 공격)라도 나오면 그 비율은 상상 이상으로 높아진다. 페스트가 공기를 통해 감염되는 것이 가장 무섭고 대책이 없듯이, 생활 속에서 무심결에 하는 웹서핑 만으로도 감염이 되는 현재의 상황은 더 나을 것이 없어 보인다. ​급기야 악성코드의 공격기법은 자동화된 도구로 인해 사용자의 브라우저와 애플리케이션을 직접 공격하는 형태로 변하고 있다 . 사용자 PC를 공격하는 기법은 이제 운영체제를 넘어서 애플리케이션까지도 직접 공격하는 형태로 전환 된지 오래다. ​IE 브라우저와 Flash, Java를 공격 대상으로 하는 공격도구들은 단 한 순간이라도 빈틈이 보이면 완벽하게 권한을 장악한다. 패치를 한다해도 수시로 출현하는 제로데이 공격코드들은 강력한 영향력을 행사하고 있다.​이에 대한 대응은 느리게 진행되고, 공격은 급진적으로 기술을 향상시켜 전체에 영향을 끼치고 있다. 어디를 지켜야 하고 무엇을 보호해야 하는지 개념조차 없는 최전선에서, 진내사격을 뜻하는, 브로큰애로우(Broken arrow)가 난무 할 수 밖에 없는 현 상황은 어쩌면 스스로 초래 했는지도 모를 일이다. ​오래 전부터 경고한 내용이지만 지금껏 그에 대한 대비나 대처도 방향성 측면에서 변화를 따라가지 못한 면이 있다. 이 링크의 칼럼 조차도 2010년에 작성된 것이며 컬럼 내에 언급된 대책은 2008년에 언급된 내용이다.(http://www.zdnet.co.kr/column/column_view.asp?artice_id=20100307155931) ​■ 심화된 위협 ​지난 디지털페스트 칼럼의 경우 추정을 통해 상당히 높은 수준의 위험이 계속 되고 있음을 알렸었다. 그러나 2012년 상반기에 수집된 공격자의 로그를 통해 치명적인 공격 성공률에 대한 데이터를 확보 할 수 있었다. 그 결과는 사뭇 충격적인 현실을 나타내고 있다. < 특정 일시의 새벽 3시간 동안 국내 사이트 2곳을 통해 유포된 악성코드 감염 실태 >통계데이터를 살펴보면 다양한 공격 기법들이 사용자 PC에 영향을 미쳤고, 최종 결과로는 새벽 3시간 동안이지만 전체 57000명 가량의 순수 방문자들중 3400명 이상의 유니크한 PC의 권한을 장악한 것으로 나타나고 있다. 즉 공격 성공률이 60% 가량 됨을 알 수 있다. ​기간이나 감염비율 상으로 볼 때 인터넷의 페스트라 할 수 있는 악성코드의 전파력과 전염력은 이미 중세의 치명적인 페스트를 한참 앞서고 있는 상황이다. 일상생활에 밀접한 인터넷 어디에도 악성코드는 존재하고 있고 불특정 다수를 향해 수시로 공격코드는 실행이 된다. ​윈도 패치를 제때 하는 사람들이 과연 얼마나 있을까. Java와 Flash의 패치를 매번 확인해 적용하는 사람들은 얼마나 있을까. 그리고 그 패치들은 얼마나 자주 나왔던가. ​프로그램의 문제를 없애주는 패치를 적용해도 무용지물인 공격코드들이 난무하는 세상에서 안전한 곳은 어디에도 없다. 지금의 문제는 대량감염이 가능하게 된 것이다. 그 감염의 도구로 이용 되는 곳은 대부분의 웹서비스들이 된다. ​그리하여 방문만 해도 공격코드는 자동으로 사용자 PC로 내려와 실행돼 결국 권한을 획득하게 된다. 이후에는 공격자의 의도대로 모든 것이 이루어 지는 상황이다. ​공격자들은 현명하게도 과시보다는 이득을 택했으며 그 결과 웹페이지의 화면을 바꾸거나 하는 짓들은 하지 않는다. 웹서비스의 모든 권한을 가지고 있으면서도 단지 한 줄의 소스를 변경 하거나 추가 할 뿐이다. ​그 결과는 해당 웹서비스를 방문하는 모든 사용자들에게 공격코드의 실행으로 돌아간다. 10명중 6명이 감염이 되고 새로운 공격기법이라도 추가 되는 날에는 당장 90% 가량이 직접적인 영향을 받을 수 밖에 없는 현재의 위험은 상상 이상의 위협이 현실화된 것을 보여주고 있다. ​경험으로부터 배우지 못하고 애써 외면하며 등 돌린 결과는 부메랑이 되어 겁 없이 세상을 지배하고 있다. 페스트라는 용어 이외에 더 적절한 의미를 찾을 수는 없는 상황이 지금의 상황이다. 악성코드는 지금 이 순간에도 너무 가까운 곳에 존재한다. 마치 공기처럼! ​■ 공격 전략 - 효과의 극대화 ​하나의 새로운 취약성을 발견하거나 공격기법이 발견되면 이제는 눈 깜짝할 사이에 전체가 영향을 받는 구조를 공격자들은 만들어 선보이고 있다. 모든 것이 네트워크로 구축돼 조종되는 봇넷 처럼 악성코드를 유포하는 네트워크 체계를 멀웨어넷(MalwareNet)이라 할 수 있다. 멀웨어넷의 심각성과 전략에 대해서 알아보면 다음과 같다. < 공격 전략의 도식화 >여러 악성링크를 사전에 만들어 두고 취약성이 있는 다수의 서비스나 광고를 이용하는 언론사 등에 침입을 한다. 침입 이후에는 웹 소스를 변경해 화면상으로는 아무런 징후를 느낄 수 없으나 자동실행 돼 브라우저를 통해 직접 공격을 하도록 만들어 둔다. 일반적인 예로 다음과 같이 변경을 하는 사례들이 많이 발견 된다. < 공용 함수 역할을 하는 Js 파일 내에 사용자가 인지 할 수 없는 사이즈의 링크를 추가해 실행 >Js 파일의 경우 웹서비스 방문 시 자동으로 사용자 PC로 불려지며 사용자의 브라우저 상에서 서비스의 기능들을 수행하도록 만들어 주는 역할을 한다. 아주 쉽게 웹페이지에서 주민번호 입력을 체크하거나 전화번호를 체크해 잘못된 숫자나 범위가 입력 되는 것을 검토하고 방지하도록 하는 기능들도 대부분 공용 JS 파일에 넣어두고 활용 한다. ​사용자가 회원가입을 위해 서비스를 방문하는 순간 숫자의 범위나 입력 값을 체크하는 기능들도 기본적으로 사용자 PC에 내려진 상태에서 실행이 됨을 말한다. 그 상태에서 위의 코드가 실행이 된다는 것은 악성링크를 사용자 PC로 불러와서 실행 하라는 것과 동일한 의미가 된다. ​A라는 웹서비스에 악성링크가 들어 있다면 방문하는 모든 사용자들은 그 내부의 악성링크를 찾아서 클릭하지 않더라도 자동으로 실행이 되고 영향권 내에 들어가 있는 상태라 할 수 있다. ​만약 A라는 웹서비스 이외에도 수없이 많은 웹서비스에 동일한 악성링크를 넣어둔다면? 그리고 공격자는 위의 이미지처럼 'S.asp'라는 악성링크의 내용만 변경 한다면 어떻게 될까? 순식간에 수십에서 수백여 개 이상의 웹서비스들은 또 다른 형태의 악성코드들을 즉시 전송하는 새로운 패러다임이 형성된다. 디지털 페스트라고 부를 수 있는 강력한 영향력은 여기에서부터 출발이 된다고 할 수 있다. ​일반적으로 바이러스나 공격이라고 하는 것들은 기존의 관념 대로라면 이메일을 통해서 바이러스를 받거나 이상한 프로그램을 다운 받아서 설치할 경우에 발생하는 것이다. 그러나 그 시기에도 대규모 유포 시도들은 산발적으로 계속돼 왔으며, 지금에 이르러서는 네트워크를 구성한 다단계 유포 형태로 고착화 된 상황이라 할 수 있다. ​■ 대안은? ​사실상 전 국민의 PC에 대해 동시에 각 애플리케이션과 운영체제에 대해서 패치를 한다는 것은 불가능하다. 현재 공격자들의 전술을 살펴 볼 때 대규모 유포에 이용 되는 악성링크를 빠르게 발견하고 선제적으로 차단하여 감염이 확산 되지 않도록 하는 것이 최선이라 할 수 있을 것이다. ​1. 공격 링크의 조기 발견 및 피해 범위 최소화 2. 근본적인 문제 원인이 되고 있는 취약한 웹 서비스들의 주기적 관리 체계 및 보호 방안 3. 보안이라고 하는 것은 이제 일상 생활에 직접적인 영향을 미치므로 전체적인 지식 강화 ​1, 2, 3 단계별로 나누어서 진행이 돼야 하며 가장 급한 것은 피해 범위의 최소화가 될 것이다. 2008년에 제시한 해결책은 여전히 유효하다. 그리고 아직도 상황은 그대로이다. 전자상거래의 기반이 되는 공인인증서 부분에서도 인증 관련 서비스에서 조차도 악성코드 유포가 발생 되는 현실은 공포감을 넘어선 심각한 상황이다. ​상대를 알아야 이길 수 있고 최소한의 통제력은 지니고 있어야만 조절이 가능하다. 그러나 지금은 그 어느 것도 하지 못한 상태이다. 디지털 페스트는 날이 갈수록 더 강력해 지고 있다.※ 출처: http://www.zdnet.co.kr/column/column_view.asp?artice_id=20121129150108

Read more

[보도자료] [ET단상]정보보호 주도 인력 양성 시…
[ET단상]정보보호 주도 인력 양성 시급하다전자신문  |  발행일: 2012.11.08  |  원문보기최근 수년간 다양한 정보보호 사고가 지속적으로 발생하면서 정보보호 전문인력 수요가 급증했다. 이에 따라 여러 기관이 다양한 정보보호 전문인력 양성 프로그램을 운영한다. 정보보호 기초 기능인력, 고급 화이트 해커, 최고정보보호책임자(CISO) 등을 양성하는 프로그램과 대학의 정보보호 교육 프로그램 등이 그것이다. 그런데 정부의 자원 배분 정책을 보면 정보보호 문제의 핵심을 놓치고 있는 것 같다. 현재 기업 정보보안의 가장 큰 문제는 정보기술(IT) 부서와 정보보호 업무의 이해 상충이다. 대부분의 기업에서는 정보보안을 IT담당 중역, 즉 최고정보책임자(CIO)가 맡고 있다. 정보보안은 정보를 보호하는 일이니 IT부서의 일이므로 CIO가 이 문제를 다뤄야 한다고 생각할 수 있다. 그러나 IT부서의 성과평가는 정보시스템에 얼마나 신속하게 접근할 수 있는지, 편리하고 효율적으로 활용할 수 있는지 등 생산성을 중시한다. 반면에 정보보안을 위한 제반 통제 사항 도입은 단기적으로 업무 수행의 효율성을 떨어뜨릴 수 있다. 정보보안은 업무의 단기적 효율성 추구를 목적으로 하는 IT부서의 이해와 충돌하고 다양한 갈등을 일으킨다. 최근에 발생한 농협 사건 등 정보보안 사건 대부분의 기저에는 이 문제가 깔려 있다. 정보보호 업무가 IT부서의 IT업무에 종속되면 정보보호 문제는 해결되지 않는다. 미래 사이버 공격을 제대로 막으려면 정보보호 부서를 IT부서에서 독립시키고 정보보호 부서의 권한을 강화해야 한다. 그런데 지금의 정보보호 인력 양성 방향을 보면 정보보호 부서를 IT부서의 보조적인 일부로 본 인력 확보 위주로 진행된다. 인터넷에서 한번 검색해 보면 정보보호 인력 양성 학원이 난무한다. `정보보호 전문가 6개월 과정`과 같이 마구잡이식으로 정보보호 인력이 양산되고 있다. 마치 엑셀이나 파워포인트 사용법을 가르쳐 사무 보조원을 양산하는 것처럼 침입탐지시스템(IDS)과 방화벽 사용법 하나를 익히게 한 후 정보보호 인력을 양성하고 있다. 이들에게 독립된 정보보호 부서를 권한과 책임을 가지고 운영해 나가기를 기대하는 것은 무리다. 대학의 정보보호 교육 프로그램을 보면 대부분 전산학의 틀에서 벗어나지 못하고 있다. 기업에서 정보보호를 전사적으로 주도해 나갈 수 있는 교육 내용이 제대로 설계돼 있지 않다. 대학생을 정보보호 주도 인력으로 키우기 위해서는 전산학뿐만 아니라 경영학, 리더십 강좌를 통해 독립적인 부서를 운영할 능력을 키워줘야 한다. 한 기업에서 독립되고 권한과 책임을 가진 정보보호 부서를 운영·관리하는 일을 맡을 CISO로 커 나갈 수 있게 해야 한다. CISO의 업무는 쉬운 일이 아니다. CISO는 정보보호 신기술을 모두 이해해야 하고, 조직의 정보 흐름을 알아야 하며, 조직 안의 다른 부서가 정보보호 정책이나 지침을 따르도록 이끌 리더십과 관리기술을 알아야 한다. 정부는 고급 화이트 해커 양성 사업에도 더 많은 비중을 둘 필요가 있다. 이들이야말로 기업에서 독립된 정보보호 부서를 권한과 책임을 가지고 운영할 사람들이기 때문이다. 그동안 우리나라에서 열린 각종 해킹 대회에서 두각을 나타낸 많은 해킹 고수들은 과연 기업에서 정보보호를 위해 얼마나 근무하고 있을까. 관료화하고 거대한 IT부서에 속한 자그마한 정보보호 부서에서 억압된 사내 분위기를 견디지 못하고 프리랜서로 돌아가는 사례가 많다. 이들에게는 이들의 무대가 필요하다. 이들이 자리를 잡고 기업에 기여할 수 있는 곳은 독립되고 권한과 책임을 가진 정보보호 부서다. 이제는 이러한 정보보호 주도 인력을 양성하고 이들이 자리를 잡고 활동할 수 있는 방향으로 정책을 수립해야 한다. 김세헌 KAIST 정보보호대학원 교수 shkim@kaist.ac.kr ※ 출처: http://www.etnews.com/201211080254

Read more

[보도자료] KAIST 주대준 부총장, Israel HLS 201…
KAIST 주대준 부총장, Israel HLS 2012에서 한국 사이버보안정책 강연 보안뉴스  |  발행일: 2012.11.06  |  권준 기자 editor@boannews.com  |  원문보기이스라엘 국토안보 국제 컨퍼런스, 오는 11월 11~14일 개최 이스라엘 총리실 초청으로 ‘한국 사이버보안 정책과 현황’ 발표   [보안뉴스 권 준] 한국과학기술원(원장 서남표) 대외부총장겸 사이버보안연구센터장인 주대준 박사는 이스라엘 정부 초청으로 2012년 11월 11일부터 14일까지 개최되는 ‘Israel Homeland Security 2012: The 2nd International Conference’에서 ‘한국 사이버보안 정책과 현황’에 대해 발표할 예정이다. 국내 지식정보보안 산업계 및 연구소, 학계 전문가들이 다수 참가하는 이번 Israel HLS 2012는 이스라엘을 비롯한 50여개 국가의 국토안보 정책을 결정하는 정부, 공공기관의 최고책임자 및 보안전문가, 관련 산업체 관계자들이 대거 참여하는 국제 컨퍼런스다. 이번 컨퍼런스에서는 사이버보안, 안전한 스마트 도시, 주요 인프라 보호 및 비상사태 대비 등 국토안보에 관한 최신 핵심 이슈들이 비중 있게 다뤄질 전망이다. 이번 발표는 한국의 사이버보안 현황이 전 세계 전문가들에게 최초로 소개되는 것으로, 지난 7월 13일 이스라엘 총리실 소속 ‘사이버보안이사회’ Coronel Rami Efrati 의장이 KAIST 사이버보안연구센터를 공식 방문하여 센터에서 수행하는 국가 사이버보안정책과 핵심기술에 관한 연구개발 활동의 우수성을 확인한 후, 전격 초청해 성사된 것이다. 발표를 맡게 된 주대준 부총장은 “이번 국제회의는 개최국인 이스라엘 경찰청이 지난 10월 27일부터 악성코드를 포함하는 메일에 의해 타깃 공격(Targeted Attack)을 받음에 따라 경찰청의 모든 컴퓨터 가동을 중단하고 인터넷을 차단하는 등 이스라엘 정부가 국가간 사이버전쟁이 시작됐다고 밝힌 시점에서 개최됨으로써 그 의미가 더욱 크다”며, “이스라엘 정부는 물론 각 국가들의 초미의 관심사가 될 행사로, 한국으로서는 사이버보안과 관련한 국제 협력과 대응 협조, 정보 공유가 이루어지는 소중한 기회가 될 것”이라고 설명했다.※ 출처: http://www.boannews.com/media/view.asp?idx=33545&kind=1

Read more

[보도자료] 정부, 정보보호 업무 유공자 포상 (20…
정부, 정보보호 업무 유공자 포상보안뉴스  |  발행일: 2012.10.26  |  김태형 기자 boan@boannews.com  |  원문보기학계·기업·기관 등 단체와 개인 총 20점 장관 표창 수여 ‘2012년 전자정부 정보보호 세미나’ 개최 [보안뉴스 김태형] 행정안전부는 2013년 전자정부 정보보호 사업추진 방향 등 주요정책 공유 및 의견수렴을 통한 정보보호 업무 개선·발전을 위해 지난 10월 25일부터 26일까지 천안 지식경제공무원교육원에서 2012년 전자정부 정보보호 세미나를 개최했다. 이번 행사는 중앙·지방 정보보호 담당자간 업무 협력방안을 논의하고 교류·협력을 강화하기 위해 매년 상·하반기 2회 개최하는 행사로 행정안전부가 주최하고 한국인터넷진흥원이 주관한다. 이번 세미나에는 중앙행정기관 및 17개 시·도 정보보호 담당자들과 행정안전부 정보보호정책과, 통합전산센터 정보보호 담당자, 그리고 한국인터넷진흥원, 지역정보개발원 담당자 등이 참석했다. 주요 내용은 2013년 전자정부 정보보호 정책 추진방향에 대한 설명과 SW 개발 보안제도 소개 등 주요 사업내용 설명과 의견수렴이 이루어졌다. 특히 최근 사이버 공격 동향 및 정보보호 담당자들의 역량강화를 위한 특강과 정보보호 업무 개선방향 분임토의, 애로사항 개선에 관한 논의가 이루어졌다.     아울러 이번 세미나에서 행정안전부는 정보보호 업무 유공자에 대한 포상을 수여했다. 학계, 기업, 기관 등 단체와 개인에게 총 20점의 장관 표창이 수여됐으며 이번 장관 표창 수상자는 아래 표와 같다.  소속 직위 (직급) 대외직명 성명 (단체명)(주)엘지유플러스단체-(주)엘지유플러스고려대학교교수교수이동훈한국레노버대표이사대표이사강용남(주)인포섹부장부장김소웅숭실대교수교수전문석이글루시큐리티부장부장김정중(주)하우리책임연구원차장최상명한국인터넷진흥원책임연구원책임연구원김민경한국지역정보개발원선임선임노희관서울디자인재단과장과장김상진대구도시철도공사사원사원이종운한국전자통신연구원책임연구원팀장은성경한국과학기술원팀장팀장전상훈국방부소령소령임성준정부통합전산센터방송통신주사보주무관윤창호대검찰청전산주사주무관김봉우대전경찰청전산주사보주무관이정열대구시단체-IT산업과전북(전주시)전산주사보주무관이은숙경기도(부천시)전산주사보주무관김은영※ 출처: http://www.boannews.com/media/view.asp?idx=33409&kind=1

Read more

[보도자료] 신규 자바 제로데이 공격 발견 주의 (…
신규 자바 제로데이 공격 발견 주의디지털데일리  |  발행일: 2012.08.21  |  이유지 기자 yjlee@ddaily.co.kr  |  원문보기웹사이트 방문자 대상 악성코드 유포, 수십만명 감염 추정 [디지털데일리 이유지기자] 새로운 자바 취약점을 이용한 제로데이 공격이 발견됐다. 웹사이트를 통해 사용자를 감염시키고 있어 주의가 필요하다.  빛스캔은 KAIST 사이버보안연구센터(CSRC)와 공동 분석한 결과, 지난 24일 저녁부터 국내외 웹사이트에서 신규 오라클 자바 취약점을 이용한 악성코드가 급속하게 유포되고 있다고 밝혔다. P2P 사이트에서 최초 발견된 후 주말(25~26일) 사이에만 기업·패션·연예·언론·커뮤니티 69개 웹사이트에서 방문자들에게 악성코드 감염을 시도, 수십만명 이상이 피해를 입었을 것으로 추정되고 있다. 이번 공격은 취약한 웹사이트에 악성코드를 유포하는 URL을 교묘하게 숨겨두고, 사용자들이 사이트를 방문하는 즉시 감염되는 드라이브바이다운로드(Drive-by-Download) 공격 방식을 사용하고 있다. 분석 결과, 공격 코드는 sun.awt.SunToolit 클래스의 getField 메소드를 통해 자바 시큐리티 매니저를 우회하는 방법으로 실행시킨다. 이번 공격은 새로운 자바 취약점만 공격하는 단순한 형태가 아니라 기존 자바 취약점도 함께 이용하는 방식을 통해 효율성을 극대화한 것이 특징으로 나타났다. 빛스캔측은 “자바 제로데이를 함께 사용함으로써 감염 성공률을 기존 60% 정도에서 적어도 75% 이상으로 증가할 가능성이 높였을 것"이라며, "공격 횟수가 이번주 들어 급격하게 줄어든 것이 그 추정 근거”라고 설명했다. 자바 제로데이와 함께 사용된 자바 취약점은 CVE-2011-3544, CVE-2012-0507, CVE-2012-1723이다. 자바는 윈도, 맥, 리눅스 등 PC 운영체제뿐만 아니라 안드로이드와 같은 모바일 운영체제에서 지원한다. 게다가, 자바는 IE뿐만 아니라 크롬, 사파리, 파이어폭스까지 국내에서 사용할 수 있는 거의 모든 브라우저를 지원하기 때문에 자바 제로데이 취약점의 영향력은 윈도보다도 클 것으로 보인다. 그러나 현재까지 완벽한 대응 방안은 없는 상황이어서 문제다. 빛스캔측은 “제로데이의 특성상 오라클에서 패치를 제공하지 않는 한 꾸준히 공격이 발생할 것으로 예상된다”며 “최종 다운로드돼 실행되는 악성코드 파일을 안티바이러스와 같은 보안 제품이 진단해 예방, 치료하는 방법도 있지만 현실적으로 어렵다. 대안으로는 자바의 실행을 중지시키는 방법이 현재로선 유일하다”고 강조했다. ※ 출처: http://www.ddaily.co.kr/news/article.html?no=94738

Read more