Prof. Byoungcheon Lee's Homepage

한겨레 | 입력 2011.03.07 21:00 | 수정 2011.03.08 08:40

[한겨레] 초고속망도 전염속도 높여

지난 3일부터 사흘간 인터넷 사이트 40곳을 겨냥해 벌어진 ‘분산서비스거부(DDos)’ 공격에 7만여대가 넘는 ‘좀비피시’가 동원된 것으로 밝혀졌다. 지난 2009년 7월7일 ‘디도스 대란’에 이어 20개월 만에 ‘공격자의 악성코드 유포→파일공유 사이트 통해 감염→대규모 좀비피시 발생 →디도스 공격→좀비피시 하드디스크 파괴’가 반복된 것이다.

방송통신위원회는 7일 “이번 디도스 공격에 동원된 좀비피시는 7만7207대이고 이중 하드디스크가 파괴되는 피해를 입은 피시는 390대”라고 밝혔다. 2년 전 공격 때 동원된 좀비피시 11만5044대보다는 적지만 공격 초기부터 악성코드 유포경로를 파악하고 백신을 보급해 확산 차단에 나선 것을 고려하면 적지 않은 규모다. 대규모 디도스 공격이 반복되는 이유는 공격자의 범행말고도 국내 고유의 인터넷 사용환경 때문이기도 하다.

외국에서도 가끔 디도스 공격 피해가 발생하고, 전세계를 대상으로 한 서비스인 트위터나 페이스북도 유사한 공격을 받곤 하지만 국가 단위에서 대량으로 좀비피시를 만들어 디도스 공격에 나서는 사례는 드물다. 인터넷진흥원의 한 관계자는 “2009년과 2011년 국내에서 만들어진 좀비피시 규모와 디도스 공격은 국제적으로도 두드러지는 사례”라며 “초고속 인터넷망이 잘 갖춰져 어느 나라보다 공격의 효과가 크다는 점과 파일교환 사이트 및 액티브엑스(X) 등 보안에 취약한 서비스를 많이 쓰는 국내의 인터넷 상황이 한 배경이다”고 지적했다.

보안업체인 이스트소프트도 이날 보안보고서를 발표해, 국내 웹하드 업체가 해커의 주요 공격대상이 되는 이유로 업체의 보안 무방비와 함께 액티브엑스를 통해 사용자 피시에 설치되는 프로그램을 지목했다. 액티브엑스는 마이크로소프트(MS)의 인터넷익스플로러에서만 작동하고 모바일에선 쓸 수 없는 기술장치다.

방통위와 행정안전부 등은 2009년 디도스 대란 이후 인터넷 보안과 비표준의 문제가 액티브엑스와 관련이 깊다는 판단에 따라, 액티브엑스 탈출 방안을 모색해왔지만 상당수 공공서비스와 금융서비스는 액티브엑스 없이는 여전히 이용이 불가능한 상태다. 특히 스마트폰과 태블릿피시 등 액티브엑스 서비스를 전혀 쓸 수 없는 모바일 환경을 맞았지만, 액티브엑스 위주의 국내 인터넷 환경은 크게 달라지지 않고 있다.

구본권 기자 starry9@hani.co.kr

Vista에서 Windows 2003 인증서 서비스 ActiveX 컨트롤 다운로드 오류 해결 방법

Vista 이후의 윈도우에서는 Windows Server 2003에 있는 인증서 서비스를 사용할 수 없다고 하는군요. MS의 정책이 제맘대로라서 관리자, 사용자들만 고생이 많습니다.

니들이 고생이 많다… MS 유저노릇 하느라고…

보안닷컴 기사

‘Early(먼저)’와 ‘Adopter(받아들이는 사람)’의 합성어인 ‘얼리어댑터’는 미국의 경제학자 에버릿 로저스의 저서 ‘혁신의 확산(Diffusion of Innovation)’에 처음 나온 말로서, 신기술·신개념이 탑재된 새로운 제품이 나오면 이를 가장 먼저 구입해 평가를 내린 뒤 주위에 정보를 알려주는 성향을 가진 소비자군을 일컫는 말이다.

흔히 얼리어댑터라고 하면 신제품 정보와 트렌드에 민감한 이들의 특성 때문에 20∼30대 젊은이들만을 떠올리기가 쉽지만, 삼성그룹의 이건희 회장, 이찬진 드림위즈 사장, 정용진 신세계 부회장 같이 재계의 CEO들 중에도 얼리어댑터들이 상당수 존재한다.

이와는 반대로 얼리어댑터보다는 대중적인 취향을 갖고 새로운 경험과 서비스에 서서히 관심을 보이는 사람들은 ‘슬로우어댑터’라고 한다.

애플 아이폰의 광풍속에 최근 세계는 ‘TGiF’로 통칭되는 새로운 시대로 급변하고 있다. 트위터(Twitter), 구글(Google), 아이폰(i-Phone), 페이스북(Facebook)의 머리글자를 딴 이 신조어는 현재 전세계인들의 라이프스타일을 좌지우지하고 있으며, 기존에는 존재하지 않았던 새로운 비즈니스 모델들을 다양하고 폭넓게 빠른 속도로 발생시키고 있다.

이미 TGiF와 같은 소셜네트워크서비스(Social Network Service)에 온라인 공동구매가 연계된 그루폰(Groupon) 서비스가 등장했는가 하면, 포스퀘어(FourSquare)나 아임IN(I’m In)과 같이 이에 오프라인 공간을 연결시킨 서비스들도 등장하였다.

하지만 세상은 이렇게 빛의 속도로 변해가고 있는데 반해 정작 우리나라의 정부정책은 언제나 뒷북만 치거나 질질 끌려 다니는 모습이다.

이러한 뒷북 정책의 대표적인 사례로 ‘스마트워크(Smart Work)’ 정책을 들 수 있다. 스마트워크란 종래의 사무실 근무 환경을 탈피해 언제 어디서나 효율적으로 일할 수 있는 업무 방식을 말하는 것으로서, 스마트폰 등을 이용한 ‘모바일 오피스’, 원격근무센터(일명 스마트워크센터)를 활용하는 ‘원격근무’, 근무시간의 일부를 집에서 보내는 ‘재택근무’ 등이 이에 포함된다.

지난 7월 20일 청와대에서 이명박 대통령 주재로 ‘스마트워크 활성화 전략’ 보고회가 개최된바 있다. 이에 따르면 정부는 오는 2015년까지 전체 근로자의 30%가 스마트워크를 통해 시·공간의 제약없이 일할 수 있도록 할 계획이며, 이에 행정안전부 등 각 정부부처는 앞다투어 스마트폰을 활용한 모바일 오피스 구축에 열을 올리고 있다.

그러나 현재 국가정보원에서는 스마트폰은 보안에 취약하니 스마트폰으로 전자결재를 하거나 정부부처와 공공기관, 공기업 내부의 전자우편을 열람하는 행위를 제한하라는 입장을 견지하고 있으며, 이에 따라 각 부처에서는 국가정보원의 대책 마련을 기다리고 있는 실정이다.

애플의 CEO인 스티브 잡스가 아이폰을 세상에 처음 공개한 것이 2007년 1월 9일이다. 만일 우리 정부가 이때부터 스마트폰의 영향력을 미리 예측하고 역기능에 대한 대책을 마련해 두었더라면 좀 더 좋지 않았을까?

이와 같은 사례는 또 있다. 지난 7월 22일(현지시간 21일) 미국판 싸이월드인 페이스북은 전 세계 사용자 수가 5억명을 돌파했다고 밝혔다.

국내외 IT 전문가들은 2012년쯤이면 페이스북 이용자가 10억명에 달할 것으로 내다보고 있다. 페이스북이 이렇게 세계 시장에서 승승장구하고 있는데 반해 원조격인 싸이월드는 국내 시장에서만 간신히 현상 유지하고 있는 실정이다.

사정이 이렇게 된 데에는 여러 요인이 있을 수 있겠으나 가장 근본적인 원인 가운데 하나로 지적되는 것이 바로 간편한 사용자 등록 방식이다.

페이스북을 비롯한 TGiF는 가입을 원하는 사용자가 연락 가능한 유효한 이메일 주소 하나만 제대로 입력하면 서비스 사용이 가능한 반면, 싸이월드를 포함한 국내 사이트들은 가입할 때 주민등록번호를 입력하여 실명인증을 받아야만 한다.

이로 인해 외국서비스와의 무한 경쟁에 들어간 국내 토종 기업들은 인터넷 실명제라는 비효율적인 규제가 외국서비스를 활성화하고 국내사업자를 역차별하는 결과를 만들어내고 있다며 불만의 목소리를 높이고 있다.

더욱이 최근에는 많은 인터넷 언론매체들이 기존 게시판을 폐쇄하고 페이스북이나 트위터 계정을 활용해 실명인증 없이 자유롭게 댓글을 달수 있게 함(일명 소셜 댓글)으로써 실명제를 무력화시키고 있는 실정이다.

저명한 미래학자가 아닌 이상 급변하는 세계 속에서 10년~20년후를 내다보고 이를 준비하는 것만큼 어려운 것은 없다. IT분야는 특히 그렇다.

하지만 정책을 세우기 앞서 뭐든 남들보다 빨리 만져보고, 느껴보고, 경험해보고, 토론하고 고뇌해 봐야 탁상공론, 뒷북 행정을 피할 수 있지 않을까? 공무원들이여, 미래학자는 아니더라도 얼리어댑터는 되자!

성균관대학교 정보통신공학부 김승주 교수 Ⅰ skim@security.re.kr

한국정보화진흥원 자료실 참조

< 목차 >

1. 스마트폰과 모바일 오피스의 현황
2. 스마트폰과 모바일 오피스의 보안 이슈
3. 스마트폰과 모바일 오피스 보안 대책
4. 정책적 제언