연이은 보안사고로 우수한 보안 인재 발굴에 대한 필요성이 높아지고 있다. 이러한 가운데 해킹대회 활성화를 통해 보안성을 강화할 수 있을 것이라는 주장이 제기됐다. 보안사고에 대한 경각심을 일으키는 것은 물론 보안 영재 양성을 통한 국가 정보보호 수준 향상에도 일조하는 효과를 불러올 수 있다는 것이다.

12일 관련 업계 전문가들에 따르면, 해외의 경우는 '데프콘'과 같은 대규모 해킹대회를 통해 진화된 보안 기술 및 방어기술을 겨룰 뿐 아니라 보안 문화를 형성하는데도 큰 기여를 하고 있다. 이 때문에 전문가들은 국내에서도 해킹대회 활성화를 통해 보안 기술 발전과 더불어 문화로 정착해 나갈 수 있도록 해야 한다고 설명했다.

해킹대회 활성화를 통해 얻을 수 있는 가장 큰 장점은 보안 영재의 발굴이다. 보안 영재 선발을 통해 국가의 사이버 보안 경쟁력 강화와 함께 진화하는 보안 기술에도 효율적으로 대응해 나갈 수 있게 된다는 것이다.

해커 출신인 홍민표 쉬프트웍스 대표는 "우리나라도 일찍부터 능력을 발굴해 보안 영재로 키워나가야 할 필요성이 있는데 아직 현실적으로 어려운 것이 사실"이라면서 "보안에 대해 소질을 보이더라도 사회 전반적으로 보안 전문가들의 대한 인식이나 대우가 낮은 것이 가장 문제이기 때문에 해킹대회 활성화를 통해 더욱 적극적으로 인재를 선발하고 대중들의 보안인식을 높여 나가는 것이 중요하다"고 말했다.

 

해외에서는 일찍부터 해킹대회를 통해 이름을 알린 해커들을 주요 보안 인력으로 배치해 이들이 기량을 발휘할 수 있는 기회를 주고 있다.

국제 인터넷주소 관리기구(ICANN)의 보안수장으로 선임된 제프 모스도 해커출신으로 유명하다. 해커그룹 데프콘의 설립자인 그는 지난 18년간 유명해커로 활동해왔다. 온라인 상에서 '다크 탄젠트'란 이름으로 유명세를 떨쳐왔지만, 이제 그는 美 국토부의 고문으로도 활동하며 그 동안 쌓아왔던 보안지식과 경험을 ICANN에서 발휘하고 있다.

애플도 아이폰 사파리 브라우저로 탈옥이 가능한 '제일브레이크미'를 개발한 19세 소년 해커 코멕스를 애플 인턴사원으로 채용해 역량을 발휘할 수 있는 기회를 주기도 했다.

▲ 데프콘 키즈에서 수상한 10세 소녀 해커 싸이파이
 

■해킹대회 통해 '화이트 해커' 양성

국내에서 개최되는 국제해킹대회인 코드게이트만 봐도 해킹대회 활성화로 인해 불러올 수 있는 영향력을 알 수 있다.

지난 2008년부터 열린 코드게이트는 대회를 통해 '화이트 해커'라는 용어를 만들어 보안과 해킹에 대한 부정적인 인식전환에 나섰다. 해커라는 부정적인 의미를 쇄신하기 위해 화이트 해커라는 용어를 사용해 해킹에 대한 인식을 변화시키는데 일조했다.

국내서도 드물지만 해킹대회를 통해 발굴한 보안 인재가 실제 현장에서 능력을 발휘하고 있는 사례도 있다. 그 중 현재 소프트포럼 보안기술분석팀 팀장으로 활동하고 있는 23세 해커 박찬암씨가 가장 유명하다. 그는 국내서는 이미 유명인사로 중학교 시절부터 유명해커로 활약하고 있었다. 그러다가 해킹대회를 통해 그 실력을 인정받아 인하대학교 재학중에도 그는 현장에서 자신의 능력을 발휘할 수 있는 기회를 얻게 됐다.

코드게이트 운영사무국 김재원 과장은 "해킹대회는 언더그라운드 해커 발굴을 통해 이들이 제대로 된 능력을 발휘할 수 있는 공간을 마련해줘 사회 전반적으로도 긍정적인 영향을 불러일으킬 수 있다"면서 "이들을 IT산업 전체에 배치해 능력이나 기회를 줄 수 있도록 지원하고 있어 국가 및 사회적으로도 긍정적인 영향을 미칠 수 있다"고 말했다.


광고
(샌프란시스코=연합뉴스) 임상수 특파원 = 해커 집단 어나너머스가 뉴욕증권거래소(NYSE) 웹사이트를 공격했으나 별다른 피해를 보지는 않았다고 CNN머니 인터넷판이 11일(현지시간) 보도했다.

이에 따르면 어나너머스는 전날인 10일 오후 3시30분께 최근 한달 내내 지속되고 있는 '월가 점령' 시위의 일환으로 뉴욕증권거래소 웹사이트(NYSE.com)를 마비시키겠다고 위협했다.

이어 웹사이트는 5분 후인 오후 3시35분부터 2분간 느려지다 마비됐으나 곧바로 정상으로 회복됐다. 모바일과 인터넷 감시회사인 키노트도 NYSE.com의 속도가 느려진 것을 확인했다.

또 같은 날 오후 5시30분부터 25분간 또다시 이 웹사이트는 정상적으로 운영되지 못했다.

인터넷 감시사이트인 얼럿사이트와 다운포에비리원오어저스트미닷컴도 이 사이트의 이상 현상을 확인했다고 밝혔다.

하지만 NYSE의 리치 애도머니스 대변인은 "우리 회사의 사이트에 아무런 문제가 발견되지 않았다"면서 이들의 주장을 부인했다.

앞서 어나너머스는 최근 유튜브 동영상을 통해 디도스(DDoS.분산서비스거부) 공격을 하겠다고 예고했다.

어나너머스는 그동안 디도스 공격으로 지난해 말 마스터카드 비자의 웹사이트를 몇 시간 마비시킨 적이 있다.

하지만 아마존닷컴에 대한 공격은서버 용량이 초대형이라서 실패했다.

nadoo1@yna.co.kr


최신 버전 발견...제우스의 변화무쌍한 전술


[보안뉴스 호애진] 제우스 멀웨어의 최신 버전이 출현했다. 이는 사소한 업그레이드가 아니라 대대적인 수정이 가해진 커스텀 버전이다.


기존 버전들에서 쓰이던 도메인 생성 알고리즘을 버리고 대신 IP 주소 목록을 내장해 P2P 방식으로 감염 PC에 신규 소프트웨어와 구성 파일을 전달한다.


과거의 방식으로 회귀한 것이지만 이전과 똑같지는 않다. 감염 컴퓨터가 업데이트를 얻기 위해 접촉할 마스터 URL이 더 이상 없는 것이다. 그렇게 되면 이 봇넷의 활동을 추적하기가 한층 어려워진다.


제우스는 지난 2~3년에 걸쳐 멀웨어 전문가들로부터 크나큰 관심을 끌어왔다. 그래서 전문가들이 이의 활동과 경향을 추적하는데 익숙해질 때쯤이면 전술을 바꾸곤 했다. 제우스에 대한 관심이 높다 보니 안티바이러스 업체뿐만 아니라 일부 유명한 커뮤니티들에서도 이 봇넷을 추적하는데 노력을 기울여왔다. 이러한 커뮤니티의 하나인 제우스 트래커(Zeus Tracker)가 이 P2P 기능을 갖춘 최신 버전을 발견했다.


지난 몇 년간 여러 봇넷에서 이와 유사한 기능이 추가되는 경향이 있었다. 전문가들이 봇 네트워크를 운영하는데 쓰이는 C&C 서버를 찾고 제거하는데 아주 능숙해졌기 때문이다.


P2P 기능을 이용해 감염 PC들을 매개로 업데이트된 소프트웨어와 명령을 다수의 좀비 PC에 유포하면 중앙의 C&C 서버를 이용하는 것보다 봇넷을 파괴하기가 한층 까다로워진다.


지금까지는 명령 및 업데이트 파일을 전송하는 하나 또는 그 이상의  C&C 서버를 차단(sinkhole)하면서 봇넷을 무력화시키는 게 보통이었다. 그런데 이러한 중앙의 표적이 없어진다면 대응이 어려워질 수밖에 없다.


제우스 트래커가 최근 발견한 이 버전에서는 새롭게 감염된 PC가 명령 및 업데이트된 구성 파일을 수신하기 위해 접촉할 IP 주소 목록을 포함시킴으로써 위의 전략을 실현한다. 새롭게 감염된 PC는 높은 숫자의 포트 상에서 UDP 패킷을 발송하면서 비슷한 피어를 찾는다. 봇넷 안의 다른 감염 PC의 반응이 있으면 그 PC에서 신규 IP 목록을 받는다.


제우스 트래커에 따르면 이 버전의 제우스는 상대방 PC에서 실행되는 제우스 버전이 무엇인지 원격으로 파악해 필요 시 업데이트 버전을 다운로드할 수 있다. 또한 이 봇넷을 제어하는 데 아직 1개의 C&C 도메인이 쓰이고 있지만 이는 고정된 도메인이 아니다. 시간의 흐름에 따라 제어 서버의 위치가 변한다.


제우스트래커는 “이 HTTP 프로토콜(POST)은 훔쳐낸 데이터를 드롭존(Dorpzone)에 전달하거나 봇넷 마스터의 명령을 수신하는 데만 사용되기 때문에 봇넷을 추적할 BinaryURL이나 ConfigURL이 더 이상 존재하지 않아 전문가들마저도 표적을 추적하기가 굉장히 어렵다”면서 “흥미로운 점은 유효하거나 활성화된 P2P 봇이 없고 주 C&C가 정지됐을 때, 즉 모든 것이 효과가 없을 경우 봇에서는 DGA를 예비 기제로 사용한다는 것”이라고 설명했다.


이어 “얼핏 보면 하나 같이 난감해 보이지만 좋은 점들도 있다. 예를 들자면, 한번에 하나의 제우스 C&C만 기능하기 때문에 이 도메인 명이 중단 내지 종결될 때마다 구성 파일을 새로 내보내야만 한다”고 덧붙였다.

아이핀 관리 안돼 주민번호 대체 효과 적어

방통위 정책, 주민번호 사용금지로 방향 잡아

주민번호 사용금지, “중복가입 문제는 어떻게?”


[보 안뉴스 오병민] 정부는 지금까지 포털사이트나 인터넷 쇼핑몰 등 주요 인터넷 사이트들에서 주민등록번호(이하 주민번호)의 사용을 줄이기 위해 아이핀(i-PIN)전환을 권장했다. 그러나 정부가 주민번호 사용을 금지하는 방향으로 정책을 전환하고 있어 그동안 이용됐던 아이핀은 애물단지가 되고 있다.


특히 그동안 아이핀은 정부의 설명과 다르게 주민등록을 대체할 수 있는 효과가 미비한 것으로 파악됐다. 이에 따라 정부도 아이핀 사용을 권장하기 보다는 주민번호 사용을 금지하는 방향으로 정책을 선회하고 있다.


관리 안되는 아이핀. 안할 수도 할 수도 없는 애물단지

아 이핀은 인터넷에서 주민번호를 대신하여 본인확인을 할 수 있는 수단이다. 이용자는 아이핀을 발급받아 인터넷 상에서 회원가입 또는 실명확인이 필요한 경우에 주민번호 대신 아이핀을 입력하여 본인확인을 받을 수 있는 것. 따라서 원칙적으로는 이용자가 아이핀으로 전환할 경우 해당 사이트에서 주민번호를 삭제해야 한다.


그 러나 보안뉴스에서 다수의 대형 사이트를 담당자에게 주민번호 삭제여부를 조사한 결과 대다수의 사이트들이 주민번호를 삭제하지 않고 그대로 남겨두는 것으로 파악됐다. 그 이유는 아직까지 국내 환경에서는 여러 가지 서비스적인 측면에서 주민번호가 꼭 필요한 환경인데다가 주민번호를 삭제하기 위해서는 기존 시스템을 개선해야 하기 때문에 비용적인 이유로 삭제 시스템 도입을 꺼려하고 있다.


한 포털 사이트의 관계자는 “아직 우리나라는 전자금융거래시 주민번호가 꼭 필요한 환경”이라면서 “해당 사이트가 금융거래가 없더라도 제휴 사이트에서 전자금융거래가 있다면 주민번호가 필요할 수 있어 삭제할 수 없다”고 말했다.


또 다른 인터넷사이트 관계자는 “기존 고객정보 시스템에서 주민번호는 중요한 역할을 하기 때문에 이를 바꾸기란 쉽지 않다”면서 “게다가 아이핀 사용자가 생각보다 많지 않은 상황에서 내부 시스템을 바꾸는 것은 비용적인 측면이나 서비스를 유지하는 측면에서 고려하기 어려운 면이 있다”고 밝혔다.


이처럼 많은 인터넷 사이트 관계자들은 국내의 환경이 주민번호가 없이는 서비스를 유지하기 힘든 상황이라고 토로한다. 더불어 아이핀 전환 후 주민번호를 삭제하는 것이 의무적이지 않아 주민번호 삭제에 소극적인 것으로 나타났다.


방통위의 한 관계자는 “사실 아이핀으로 전환한다고 하더라도 주민번호를 삭제하는 것은 강제사항이 아니기 때문에 단속을 할 수도 없는 상황”이라면서 “현재로서는 자발적으로 주민번호를 삭제하도록 유도할 수밖에 없다”고 말했다.


아이핀은 한시적 수단. 이제 주민번호 사용하지 않도록...

방 통위 측은 현재 아이핀 사용 보다는 주민번호 사용을 제한하는 것을 중심으로 하는 정책 방향을 잡아가고 있다. 얼마 전 완료된 ‘주민번호 수집제한에 대한 사회적 비용연구’ 용역 결과 주민번호를 사용하지 않는 환경의 경제적 비용이 주민번호를 사용하는 환경보다 경제적이라는 결과가 나왔기 때문.


그 동안 방통위는 주민번호 사용을 제한하는 법률적 검토를 진행했지만 주민번호 사용 제한의 합당성에 대한 근거자료가 부족해 어려움이 있었다. 따라서 방통위 측은 이번 용역연구를 근거로 주민번호 수집을 제한하는 법개정과 정책 방향을 이끌 수 있을 것으로 기대하고 있다.


방 통위 한 관계자는 “이번 용역결과가 주민번호 사용 제한의 근거가 될 수 있을 것으로 기대된다”면서 “현재 주민번호 사용을 제한하는 관련 법 개정도 준비하고 있지만 행정지도와 같은 수단으로도 주민번호 사용을 줄일 수 있을 것”이라고 말했다. 이에 따라 그동안 주민번호 대체수단으로 이용하던 아이핀은 한시적인 수단으로 전락할 것으로 보인다.


업계의 한 관계자는 “사실 정부가 아이핀을 도입하라고 강력하게 요구해서 여러 비용을 감수하고 아이핀을 도입했는데 이제는 애물단지가 됐다”고 하소연했다.


주민번호 사용 금지는 문제없나? 중복가입 문제 해결해야...

사 이트 회원 가입시 주민번호를 이용하지 않는 방법은 주민번호 노출에 의한 다양한 보안 문제를 해결할 수 있다. 그러나 인터넷 사이트 관리자들은 주민번호 사용을 금지했을 때 별도의 식별수단을 두지 않으면 중복가입을 제한할 수 없다고 주장한다.


“그동안 주민번호는 중복가입을 막는 식별수단으로 많이 이용돼 왔기 때문에 주민번호를 사용하지 않는다면 한사람이 수백 개의 계정을 만들어 스팸광고에 이용할 수 있다는 문제가 있다”


이에 대해 방통위 측은 중복가입 문제는 인터넷 서비스 주체가 스스로 풀어야할 숙제라고 이야기한다.


방 통위의 한 관계자는 “중복가입 문제는 사실 정부가 규제해서 해결될 수 있는 문제가 아니며 업계 스스로 그 방법은 연구하고 적용해야 한다”면서 “외국의 경우 주민번호 같은 수단을 이용하지 않고도 서비스를 잘 운영하고 있다”고 언급했다.

[오병민 기자(boan4@boannews.com)]

‘웹 보안 위협과 대응’ 주제로 총 4개 세션에서 발표


[보 안뉴스 호애진] 최근 SQL 인젝션 및 크로스사이트 스크립팅(XSS) 취약점을 이용한 민감한 정보를 해킹하는 공격이 빈번한 가운데 OWASP 한국지부(이하 OWASP)에서 오는 10월 19일 삼성동 코엑스에서 웹 보안 위협과 대응이라는 주제로 세미나를 개최한다.


OWASP 한국지부는 2010년 11월에 설립 위원회를 구성해 첫 회의를 가진 후 2011년 1월에 OWASP 코리아챕터 이사회를 구성해 본격적인 활동을 하고 있다. OWASP 코리아챕터는 글로벌 조직과 동일하게 7개의 분과로 구성돼 있으며 분과별로 다양한 일을 담당하고 있다.


이번 세미나에서는 OWASPK 활동을 소개하고 웹 응용 및 응용 보안의 중요성 및 주요 해결과제에 대해 총 4개의 세션에서 국내 정보보호 전문가 4명의 주제발표가 있을 예정이다.


우선 송정수 방송통신위원회 국장이 ‘인터넷 정보보호 정책 방향’에 대해 기조연설을 하며 김혁준 나루시큐리티 대표가 ‘사례중심의 공격방어 프레임워크’를 발표한다.


이 어 조양현 다음커뮤니케이션 차장이 ‘웹 취약성 점검과 관리를 위한 OWASP 실전활용’, 성윤기 한국인터넷진흥원 책임이 ‘웹 응용 취약점 대응을 위한 웹 시큐어 코딩 가이드’를 안내하며 마지막으로 박형근 정보보호 커뮤니티 시큐리티 플러스 대표가 ‘웹 응용 보안을 위한 SDLC’를 발표한다.


코 리아 챕터 홍보 분과를 맡고 있는 김휘영 씨드젠 이사는 “이번 세미나를 통해 웹 응용 취약점 대응을 위한 웹 시큐어 코딩을 알리고 웹 응용 보안을 위해 SDLC(개발생명주기)를 알리 수 있는 계기가 됐으면 좋겠다”는 의견을 보이며 관심 있는 많은 보안전문가들의 참여를 부탁했다.


한 편 OWASP(The Open Web Application Security Project)는 오픈 웹 애플리케이션 보안 프로젝트라는 이름으로 웹 응용 보안을 연구하는 비영리 단체다. 미국에서 2001년 12월에 처음 온라인(www.owasp.org) 조직으로 시작했으며 이후 2004년 4월에 처음 정식 비영리 법인으로 출범해 웹 응용 보안에 관련된 연구를 수행하는 기관이다.


세미나 신청은 www.owasp.or.kr에서 신청하면 된다.

[호애진 기자(boan5@boannews.com)]

+ Recent posts