디도스 공격 표적된 한국 보안약한 ‘액티브X’ 탓 커

 IT, 정보보호  Comments Off on 디도스 공격 표적된 한국 보안약한 ‘액티브X’ 탓 커
Mar 082011
 

한겨레 | 입력 2011.03.07 21:00 | 수정 2011.03.08 08:40

[한겨레] 초고속망도 전염속도 높여

지난 3일부터 사흘간 인터넷 사이트 40곳을 겨냥해 벌어진 ‘분산서비스거부(DDos)’ 공격에 7만여대가 넘는 ‘좀비피시’가 동원된 것으로 밝혀졌다. 지난 2009년 7월7일 ‘디도스 대란’에 이어 20개월 만에 ‘공격자의 악성코드 유포→파일공유 사이트 통해 감염→대규모 좀비피시 발생 →디도스 공격→좀비피시 하드디스크 파괴’가 반복된 것이다.

방송통신위원회는 7일 “이번 디도스 공격에 동원된 좀비피시는 7만7207대이고 이중 하드디스크가 파괴되는 피해를 입은 피시는 390대”라고 밝혔다. 2년 전 공격 때 동원된 좀비피시 11만5044대보다는 적지만 공격 초기부터 악성코드 유포경로를 파악하고 백신을 보급해 확산 차단에 나선 것을 고려하면 적지 않은 규모다. 대규모 디도스 공격이 반복되는 이유는 공격자의 범행말고도 국내 고유의 인터넷 사용환경 때문이기도 하다.

외국에서도 가끔 디도스 공격 피해가 발생하고, 전세계를 대상으로 한 서비스인 트위터나 페이스북도 유사한 공격을 받곤 하지만 국가 단위에서 대량으로 좀비피시를 만들어 디도스 공격에 나서는 사례는 드물다. 인터넷진흥원의 한 관계자는 “2009년과 2011년 국내에서 만들어진 좀비피시 규모와 디도스 공격은 국제적으로도 두드러지는 사례”라며 “초고속 인터넷망이 잘 갖춰져 어느 나라보다 공격의 효과가 크다는 점과 파일교환 사이트 및 액티브엑스(X) 등 보안에 취약한 서비스를 많이 쓰는 국내의 인터넷 상황이 한 배경이다”고 지적했다.

보안업체인 이스트소프트도 이날 보안보고서를 발표해, 국내 웹하드 업체가 해커의 주요 공격대상이 되는 이유로 업체의 보안 무방비와 함께 액티브엑스를 통해 사용자 피시에 설치되는 프로그램을 지목했다. 액티브엑스는 마이크로소프트(MS)의 인터넷익스플로러에서만 작동하고 모바일에선 쓸 수 없는 기술장치다.

방통위와 행정안전부 등은 2009년 디도스 대란 이후 인터넷 보안과 비표준의 문제가 액티브엑스와 관련이 깊다는 판단에 따라, 액티브엑스 탈출 방안을 모색해왔지만 상당수 공공서비스와 금융서비스는 액티브엑스 없이는 여전히 이용이 불가능한 상태다. 특히 스마트폰과 태블릿피시 등 액티브엑스 서비스를 전혀 쓸 수 없는 모바일 환경을 맞았지만, 액티브엑스 위주의 국내 인터넷 환경은 크게 달라지지 않고 있다.

구본권 기자 starry9@hani.co.kr

 Posted by at 3:15 PM

주커버그를 해킹한 해커의 제안

 IT, 소셜네트워크, 정보보호  Comments Off on 주커버그를 해킹한 해커의 제안
Mar 012011
 

주커버그를 해킹한 해커의 제안
시사INLive | 백욱인 | 입력 2011.03.01 11:10

페이스북 창업자 주커버그. 2010년 < 타임 > 이 선정한 올해의 인물. 전 세계 페이스북 이용자는 6억명에 이르고, 지난 1월 골드만삭스는 페이스북의 기업 가치를 500억 달러로 추정하며 15억 달러를 투자했다. 그런 주커버그 팬 페이지가 지난 1월26일에 해킹당했다. 해커는 주커버그 페이지에 다음과 같이 적어놓았다. “페이스북이 돈이 필요하다면 은행에서 빌리지 말고, 이용자들이 사회적 방식으로 페이스북에 투자하게 하면 되지 않느냐? 왜 페이스북을 노벨상 수상자 무하마드 유누스가 말한 ‘사회적 기업’으로 전환하지 않느냐? 여러분은 어찌 생각하십니까?”

이 메시지 마지막에는 위키피디아의 ‘소셜 비즈니스’ 항목과 페이스북이 주관하는 해커컵 2011 페이지의 링크가 설정되어 있다. 페이스북 측은 버그 때문에 해커가 침투하여 몇 개 페이지에 이상한 글이 올라왔고 이 문제를 시정했다고 밝혔다. 그러나 이미 1800명의 ‘좋아요’와 댓글 500개가 달렸다.

주커버그의 팬 페이지에 침투한 해커는 두 가지를 해냈다. 그는 페이스북 창업자 팬 페이지를 해킹함으로써 소셜 네트워크 사이트에서의 프라이버시 문제를 부각했다. 해커는 1월28일 ‘데이터 프라이버시의 날’을 앞두고 주커버그의 팬 페이지를 해킹함으로써 자신의 행위와 프라이버시 보호 문제를 연결했다. 페이스북 최고경영자의 페이지가 해킹되는데 하물며 일반 가입자야 어떠하겠는가 하는 의문을 던져주었다.

그러나 이보다 더 중요한 것은 그가 던진 메시지이다. 그간 소셜 미디어의 사회적 위상과 책임에 대한 질문은 별로 없었다. 이 해커는 페이스북이라는 기업의 사회적 위상을 누구보다도 정확하게 꿰뚫었다. 소셜 미디어의 선두 주자인 페이스북은 ‘사회적’인 속성을 분명히 지니고 있다. 페이스북은 사람들의 관계를 이어주고, 사람들의 활동 결과물을 공유하도록 유도한다.

그러나 페이스북은, 생산은 사회적으로 이루어지지만 소유는 사적으로 챙겨지는 자본주의 기업일 뿐이다. 이용자의 사회적 활동을 토대로 만들어지는 페이스북은 성격상 이미 당연히 ‘사회적 기업’이다. 단, 그들은 이윤을 이용자와 나누지 않는다는 점에서 사적 기업이다. 해커는 이 지점을 분명하게 지적한 것이다.

간단히 넘어갈 수도 있는 이 사건을 계기로 과연 디지털 시대의 사회적 기업이란 뭘까에 대해 진지하게 생각해볼 필요가 있다. 콘텐츠의 생산만 사회적으로 하는 것이 아니라, 이용과 분배도 그리할 수 있는 기업이 디지털 시대의 사회적 기업 아닐까? 아직 이 같은 모델을 보여준 기업은 드물지만 P2P를 위시해 이미 다양한 형태의 실험이 이루어지고 있음을 잊지 말아야겠다.

백욱인 (서울과학기술대 교수) /

 Posted by at 2:51 PM

Vista에서 Windows 2003 인증서 서비스 ActiveX 컨트롤 다운로드 오류

 IT, 정보보호  Comments Off on Vista에서 Windows 2003 인증서 서비스 ActiveX 컨트롤 다운로드 오류
Nov 242010
 

Vista에서 Windows 2003 인증서 서비스 ActiveX 컨트롤 다운로드 오류 해결 방법

Vista 이후의 윈도우에서는 Windows Server 2003에 있는 인증서 서비스를 사용할 수 없다고 하는군요. MS의 정책이 제맘대로라서 관리자, 사용자들만 고생이 많습니다.

니들이 고생이 많다… MS 유저노릇 하느라고…

 Posted by at 1:58 PM

멀티브라우저 지원 메일보안 개발

 IT, 정보보호  Comments Off on 멀티브라우저 지원 메일보안 개발
Nov 212010
 

멀티브라우저 지원 메일보안 개발
2010년 11월 18일 (목) 13:35:48 이경원 won@etnews.co.kr

소프트포럼(대표 김상철)은 인터넷 익스플로러(IE)외에 사파리·파이어폭스·크롬 등 다양한 브라우저에서도 사용가능한 이메일 보안솔루션 ‘제큐어 익스프레스’ 멀티 브라우저 지원 버전을 개발했다고 18일 밝혔다.

제큐어 익스프레스는 기존 이메일에 PKI(공개키) 기반의 암호화와 전자서명 기능을 적용해 기밀성·무결성·인증·부인방지의 보안 기능을 부여함으로써 웹상에서 메일의 송수신을 안전하게 해준다.

기존 메일보안솔루션은 IE 사용자만이 보안 메일을 확인할 수 있어 타 브라우저 사용자들은 많은 불편함을 겪어 왔다. 소프트포럼은 다양한 브라우저 사용자들이 개인정보 유출 등의 걱정 없이 안전하게 이메일을 주고받는 멀티 브라우저 지원 버전을 개발했다.

박언탁 소프트포럼 SW 연구개발실장은 “최근 다양한 웹 브라우저 사용자가 증가하는 추세여서 메일보안솔루션도 멀티브라우저 지원이 필요하다고 판단해 개발을 추진하게 됐다”면서 “보안메일 시스템을 이용하는 은행·카드사·공공기관·웹메일 서비스 기업 등에서 IE외에 타 브라우저를 사용하는 소수 고객들에게도 편의를 제공할 수 있게 됐다”고 설명했다.

 Posted by at 7:25 AM

얼리어댑터가 되자

 IT, 정보보호  Comments Off on 얼리어댑터가 되자
Nov 182010
 

보안닷컴 기사

‘Early(먼저)’와 ‘Adopter(받아들이는 사람)’의 합성어인 ‘얼리어댑터’는 미국의 경제학자 에버릿 로저스의 저서 ‘혁신의 확산(Diffusion of Innovation)’에 처음 나온 말로서, 신기술·신개념이 탑재된 새로운 제품이 나오면 이를 가장 먼저 구입해 평가를 내린 뒤 주위에 정보를 알려주는 성향을 가진 소비자군을 일컫는 말이다.

흔히 얼리어댑터라고 하면 신제품 정보와 트렌드에 민감한 이들의 특성 때문에 20∼30대 젊은이들만을 떠올리기가 쉽지만, 삼성그룹의 이건희 회장, 이찬진 드림위즈 사장, 정용진 신세계 부회장 같이 재계의 CEO들 중에도 얼리어댑터들이 상당수 존재한다.

이와는 반대로 얼리어댑터보다는 대중적인 취향을 갖고 새로운 경험과 서비스에 서서히 관심을 보이는 사람들은 ‘슬로우어댑터’라고 한다.

애플 아이폰의 광풍속에 최근 세계는 ‘TGiF’로 통칭되는 새로운 시대로 급변하고 있다. 트위터(Twitter), 구글(Google), 아이폰(i-Phone), 페이스북(Facebook)의 머리글자를 딴 이 신조어는 현재 전세계인들의 라이프스타일을 좌지우지하고 있으며, 기존에는 존재하지 않았던 새로운 비즈니스 모델들을 다양하고 폭넓게 빠른 속도로 발생시키고 있다.

이미 TGiF와 같은 소셜네트워크서비스(Social Network Service)에 온라인 공동구매가 연계된 그루폰(Groupon) 서비스가 등장했는가 하면, 포스퀘어(FourSquare)나 아임IN(I’m In)과 같이 이에 오프라인 공간을 연결시킨 서비스들도 등장하였다.

하지만 세상은 이렇게 빛의 속도로 변해가고 있는데 반해 정작 우리나라의 정부정책은 언제나 뒷북만 치거나 질질 끌려 다니는 모습이다.

이러한 뒷북 정책의 대표적인 사례로 ‘스마트워크(Smart Work)’ 정책을 들 수 있다. 스마트워크란 종래의 사무실 근무 환경을 탈피해 언제 어디서나 효율적으로 일할 수 있는 업무 방식을 말하는 것으로서, 스마트폰 등을 이용한 ‘모바일 오피스’, 원격근무센터(일명 스마트워크센터)를 활용하는 ‘원격근무’, 근무시간의 일부를 집에서 보내는 ‘재택근무’ 등이 이에 포함된다.

지난 7월 20일 청와대에서 이명박 대통령 주재로 ‘스마트워크 활성화 전략’ 보고회가 개최된바 있다. 이에 따르면 정부는 오는 2015년까지 전체 근로자의 30%가 스마트워크를 통해 시·공간의 제약없이 일할 수 있도록 할 계획이며, 이에 행정안전부 등 각 정부부처는 앞다투어 스마트폰을 활용한 모바일 오피스 구축에 열을 올리고 있다.

그러나 현재 국가정보원에서는 스마트폰은 보안에 취약하니 스마트폰으로 전자결재를 하거나 정부부처와 공공기관, 공기업 내부의 전자우편을 열람하는 행위를 제한하라는 입장을 견지하고 있으며, 이에 따라 각 부처에서는 국가정보원의 대책 마련을 기다리고 있는 실정이다.

애플의 CEO인 스티브 잡스가 아이폰을 세상에 처음 공개한 것이 2007년 1월 9일이다. 만일 우리 정부가 이때부터 스마트폰의 영향력을 미리 예측하고 역기능에 대한 대책을 마련해 두었더라면 좀 더 좋지 않았을까?

이와 같은 사례는 또 있다. 지난 7월 22일(현지시간 21일) 미국판 싸이월드인 페이스북은 전 세계 사용자 수가 5억명을 돌파했다고 밝혔다.

국내외 IT 전문가들은 2012년쯤이면 페이스북 이용자가 10억명에 달할 것으로 내다보고 있다. 페이스북이 이렇게 세계 시장에서 승승장구하고 있는데 반해 원조격인 싸이월드는 국내 시장에서만 간신히 현상 유지하고 있는 실정이다.

사정이 이렇게 된 데에는 여러 요인이 있을 수 있겠으나 가장 근본적인 원인 가운데 하나로 지적되는 것이 바로 간편한 사용자 등록 방식이다.

페이스북을 비롯한 TGiF는 가입을 원하는 사용자가 연락 가능한 유효한 이메일 주소 하나만 제대로 입력하면 서비스 사용이 가능한 반면, 싸이월드를 포함한 국내 사이트들은 가입할 때 주민등록번호를 입력하여 실명인증을 받아야만 한다.

이로 인해 외국서비스와의 무한 경쟁에 들어간 국내 토종 기업들은 인터넷 실명제라는 비효율적인 규제가 외국서비스를 활성화하고 국내사업자를 역차별하는 결과를 만들어내고 있다며 불만의 목소리를 높이고 있다.

더욱이 최근에는 많은 인터넷 언론매체들이 기존 게시판을 폐쇄하고 페이스북이나 트위터 계정을 활용해 실명인증 없이 자유롭게 댓글을 달수 있게 함(일명 소셜 댓글)으로써 실명제를 무력화시키고 있는 실정이다.

저명한 미래학자가 아닌 이상 급변하는 세계 속에서 10년~20년후를 내다보고 이를 준비하는 것만큼 어려운 것은 없다. IT분야는 특히 그렇다.

하지만 정책을 세우기 앞서 뭐든 남들보다 빨리 만져보고, 느껴보고, 경험해보고, 토론하고 고뇌해 봐야 탁상공론, 뒷북 행정을 피할 수 있지 않을까? 공무원들이여, 미래학자는 아니더라도 얼리어댑터는 되자!

성균관대학교 정보통신공학부 김승주 교수 Ⅰ skim@security.re.kr

 Posted by at 7:43 PM

“안드로이드 소스코드에 ‘심각한’ 결함 발견”

 IT, 정보보호  Comments Off on “안드로이드 소스코드에 ‘심각한’ 결함 발견”
Nov 032010
 

美 정부-커버리티사 공동 연구결과 드러나
강은성기자 esther@inews24.com
애플의 iOS와 함께 스마트폰 운영체계(OS)의 양대산맥을 이루고 있는 구글 안드로이드에 심각한 결함이 존재하는 것으로 확인됐다.

미국 소프트웨어 결함테스트 업체 ‘커버리티’는 최근 마무리한 프로젝트 결과를 통해 이같은 사실을 밝혀냈다고 2일(현지시간) 공개했다.

‘커버리티 스캔’이란 이번 프로젝트는 미국 국토안보부와 함께 지난 2006년부터 진행돼 왔다.

프로젝트 결과물인 ‘2010 오픈소스 무결성 리포트’에 따르면 안드로이드 커널 2.6.32(프로요) 분석 결과 359개의 소프트웨어 버그(소프트웨어 결함)가 검출됐다. 그 중 88개는 보안취약점과 시스템 충돌을 일으킬 수 있는 고위험(High Risk)급이다.

커버리티의 수석과학자이자 공동 설립자인 앤디 초우는 “매일 6만5천여대의 안드로이드폰이 시장에 공급된다. 즉 안드로이드같은 오픈소스는 제조사에 매우 빠르게 공급되는데다 즉시 시장에서 제품화되어 소비자에게 전달되기 때문에 완벽한 ‘무결성’이 요구된다”고 강조했다.

하지만 이번 프로젝트 결과 상당수 버그들이 고위험급으로 분석됐다며 이에 대한 즉각적인 대책이 필요하다고 초우 박사는 강조했다.

오픈소스 코드에서 주로 발견되는 버그들은 Memory corruption, NULL pointer dereferences, Resource leaks 이었으며 이는 시스템 다운 및 보안 취약점을 일으킬 수 있는 것이라고 커버리티 측은 공개했다.

초우 박사는 “이번 안드로이드 커널 분석결과 나타난 버그는 동종 오픈소스 소프트웨어의 업계 평균 버그 수보다 훨씬 적은 것으로 분석됐다”면서 “문제점이 노출된 이상 이 버그들이 심각한 문제를 일으키기 전에 제조사나 개발자들은 사전에 대응할 수 있는 기회를 얻게 됐다”고 의미부여했다.

한편 이번 ‘커버리티 스캔’ 프로젝트는 오픈소스 소프트웨어 무결성 프로젝트로, 금번의 2010리포트에는 안드로이드, 리눅스, 아파치, 삼바, PHP 같이 산업 전반에서 활용되는 291개의 오픈소스 프로젝트 소스코드, 총 6천만라인의 분석결과가 담겨져 있다.

분석된 안드로이드 커널은 HTC 드로이드 인그레더블폰에 탑재된 OS로 HTC 개발자센터2에서 입수했다고 커버리티 측은 밝혔다. 기본 커널소스 이외 에도 와이파이, 터치스크린, 카메라 드라이버도 포함돼 있다.

커버리티는 추후 안드로이드 커널을 다시 분석해 버그의 밀집도와 고위험(High Risk)버그의 상태 변화 추이를 발표할 계획이다.

이번 연구 결과 보고서는 커버리티 사이트(scan.coverity.com/)에서 내려받을 수 있다.

 Posted by at 11:46 AM

2010년 정보보호학과 졸업작품발표회

 정보보호  Comments Off on 2010년 정보보호학과 졸업작품발표회
Oct 202010
 

2010년도 정보보호학과 졸업작품 발표회 및 전시회가 10.19~20 양일간 건원관 415호에서 성황리에 열렸습니다. 총 4개 조의 작품이 발표되고 전시되었으며, 선후배간, 인근 IT 학과 학생들간에 좋은 정보교류의 장이 되었습니다.

 Posted by at 7:53 PM

공개키암호 관련 유용한 서비스

 정보보호  Comments Off on 공개키암호 관련 유용한 서비스
Sep 302010
 

공개키암호 관련 유용한 서비스들을 소개합니다.

1. 소수 여부를 확인 http://www.usi.edu/science/math/prime.html

2. 모듈러 역수 계산 http://www.princeton.edu/~dsri/modular-inversion.html

3. 모듈러 승산 계산 http://www.math.umn.edu/~garrett/crypto/a01/FastPow.html

4. Big Number Calculator Applet http://world.std.com/~reinhold/BigNumCalc.html

5. Big Integer Calculator 다운로드 http://www.downloadpipe.com/free-trial/Big-integer-calculator-download1198790.html

구글에서 Big Integer Calculator 라고 검색해 보세요.

 Posted by at 10:43 AM