12월 8일, 토즈(TOZ, 강남2호점)에서는 보안뉴스 주최로 지난 1999년 처음으로 국내 보안관제 시장이 열린 이후 올해로 10년이 된 보안관제 서비스에 대해 되돌아보는 것은 물론 향후 10년은 또한 어떻게 보안관제 시장이 형성될지 등 보안관제 업체간 현황 및 문제점, 그리고 경쟁력 강화 방안 등에 대해 보안관제서비스업체 담당자들이 모여 논의하는 시간을 가졌다.

이날 간담회에는 넷시큐어테크놀로지 천성훈 상무, 안철수연구소 윤삼수 부장, 인포섹 이정환 이사, 이글루시큐리티 조창섭 이사, KCC시큐리티 김양욱 이사(이상 기업명 가나다순) 등 보안관제서비스업체 담당자들이 참석했으며, 토론에 앞서 임채호 보안뉴스 보안연구센터장이 ‘보안정보 공유와 관제의 방향’이라는 주제로 발표했다.

 

임채호 센터장은 주제발표를 통해 “현재 보안관제 업체들이 개개별로 획득하고 있는 보안관제 정보는 분산돼 있는 것이 사실”이라며 “국정원 등 정부는 이렇게 보안관제 업체들이 갱신한 정보들을 수집만 할 뿐 이에 대한 피드백이 없다는 측면에서 민간기업의 활발한 움직임이 필요하다”고 역설했다.

이어진 보안관제 업체간 현황 및 문제점, 그리고 경쟁력 강화 방안 등에 대한 토론에서는 무엇보다 “보안관제 단가는 존재하는가!”라며 보안관제 서비스 제공에 따른 인건비 문제에 초점이 맞춰졌다.

이날 참석한 토론자들은 모두가 1999년, 국내 보안관제 시장이 개척돼 10년을 지나온 현재에서는 향후 10년을 대비하는 것이 필요하다고 입을 모았다.

이와 관련 한 토론자는 “보안관제 시장 10년차가 된 시점에서 과거의 문제점들을 도출하고 그것을 개선해야 할 필요가 있다”며 “업체 스스로도 반성해야 할 것 중 가장 중요한 것은 앞으로의 10년은 보안회사이기 때문에 무엇보다 기업의 사회공헌도 부분에 대해 좀더 인식을 높이고 그에 대한 대비를 해야 할 것”이라고 말했다.

■정부기관 및 보안관련 기관

신인가수 에그, 이제 KISA 홍보대사

한국인터넷진흥원(KISA, 원장 김희정)이 4일 대명 홍천 비발디파크에서 개최된 KISA 한마음대회에서 신인가수 ‘에그(EGG)’를 ‘KISA 홍보대사’로 위촉했다. 3인조 혼성밴드 에그(EGG)는 지난 7월 KISA 출범에 즈음해, ‘클릭클릭, 인터넷 캠페인 송’ UCC로 인터넷 상에서 화제가 된 바 있다. 한편, KISA 임직원들은 이날 에그(EGG)와 함께 한국인터넷진흥원가를 배우는 시간도 가졌다.

임종인 고려대 교수, 한국정보보호학회장으로 선출

임종인 교수(정보경영공학전문대학원장)가 지난 5일 연세대학교에서 열린 2009년 한국정보보호학회 동계학술대회 및 제 20차 정기총회에서 제15대 한국정보보호학회장으로 선출됐다. 새로 선출된 제15대 한국정보보호학회장의 임기는 앞으로 1년이다. 임종인 교수는 고려대학교에서 박사학위를 받고 한국정보보호진흥원(현재 한국인터넷진흥원) 사외이사와 고려대 정보보호기술 연구센터장을 거쳐 현재 고려대 정보경영공학전문대학원장을 맡고 있다.

행안부, 기업 대상 개인정보보호 온라인 무료교육 실시

행정안전부(장관 이달곤)는 기업에 의한 개인정보 침해사고가 빈번히 발생함에 따라 각 기업의 개인정보 중요성에 대한 인식을 높이고, 고객의 개인정보를 안전하게 관리 할 수 있도록 기업을 대상으로 온라인 개인정보보호 교육서비스를 12월 7일부터 제공한다. 이번 개인정보보호 온라인 교육과정은 기업이 개인정보를 취급하는 과정에서 지켜야 할 개인정보보호 조치사항을 애니메이션 형태로 제작하여 흥미롭게 학습할 수 있도록 구성했다.

NIA, 건강한 정보문화 조성위한 지방순회 포럼 개최

행정안전부(장관 이달곤)와 한국정보화진흥원(원장 김성태, 이하 ‘NIA’)은 7일 2시 영남대 법학전문대학원 3층 대강의실에서 제13회 정보문화포럼을 개최했다. 이번 정보문화포럼은 수도권과 지방이 함께하는 건강한 정보문화 조성을 위해 지방에서 세 번째로 열린 행사다. ‘지역브랜드, 정보문화와 소통하다’라는 주제를 가지고 박한우 영남대 교수, 김중태 IT문화원 원장, 이문희 대구경북연구원 부연구위원 등 지역브랜드 관련 전문가들이 직접 주제 발표에 나섰다. 지역브랜드를 기반으로 한 감성 마케팅 방법, 해외지역 브랜드와의 교류방법, IT를 활용한 지역 브랜드 발전방향 등 브랜드 전문가들의 사례 발표와 활성화 방안을 통해 대구·경북의 지역브랜드가 나아갈 방향을 논의했다.

한국CISSP협회, 5대 회장에 신수정 SK C&C 상무 재선출

국제정보시스템보안전문가 그룹인 한국CISSP협회(http://www.cisspkorea.or.kr/)는 지난 12월 4일 정기총회를 개최하고 제5대 회장으로 현 협회장인 신수정 SK C&C 상무를 선출했다고 8일 밝혔다. 신수정 회장은 IT 및 정보보호분야를 두루 섭렵한 정보보호분야의 대표 전문가로서 지난 2년간 협회장을 맡아 회원확대 및 세미나 개최 등 협회 활성화를 위해 노력한 공을 인정받아 참석회원들의 만장일치로 다시금 재선출됐다.

 

지식재산보호협회, 10일 ‘중국 상표 분쟁의 이해’ 세미나 개최

특허청 주최, 한국지식재산보호협회 주관으로 12월 10일 오전 10시부터 오후 2시까지 서울 강남 소재 노보텔 엠베서더 호텔에서 ‘중국 상표 분쟁의 이해’란 주제로 세미나를 개최했다. 이번 세미나에서는 ‘중국상표분쟁의 통계적 분석 및 중국상표법 개정안 주요내용 소개(최현석 유미 특허법인 변리사)’, ‘중국상표분쟁의 실체적 이해(김동균 PAN코리아 변리사)’ 등이 발표됐다.

BSA, 일당 1천만원 드림알바 선발 완료

사무용소프트웨어연합(공동의장 변진석, 정재훈, 이하 ‘BSA’)은 12월 7일 오후 3시에 있었던 BSA 드림 알바 선발 프로젝트 최종 면접에서 정경미(32)씨가 최후의 1인으로 뽑혔다고 발표했다. 1만 5천대 1의 경쟁률을 기록한 이번 행사는 불법복제로 인한 경제적 피해 규모와 정품 사용에 따르는 경제적 가치를 국민들에게 알리기 위한 방안으로 10월부터 진행돼 왔다.

금감원, 금융보안 예산 5% 확보와 CSO임명 중요성 강조

금감원은 9일 금융회사 최고정보관리책임자(CIO)를 대상으로 ‘2009년도 금융정보보호협의회 정기총회’를 개최하고 2010년도 금융부문 사이버테러 대응역량 강화를 위한 IT감독 방향을 설명했다. 이번 정기총회에서는 진화하는 사이버테러에 대비해 금융회사의 기술적 대응 수준 향상과 전문인력ㆍ예산확보 등 정보보호 거버넌스 개선이 강조됐다. 구체적으로는 사이버테러 대응 시스템 도입, 24시간 모니터링 체계 구축, 정기적인 모의 훈련 실시 등의 기술적 대응을 의무화하고, 최고정보보호책임자(CSO)의 임명이나 정보보호 전문인력과 예산을 전체 IT부문의 5% 이상 확보하도록 하는 등 정보보호 관리체계를 획기적으로 개선해 줄 것을 당부했다.

금보원, 금융기관 공동 OTP 재해복구 모의훈련 실시

금융보안연구원(원장 곽창규)은 8일 금융보안연구원과 은행, 증권사를 비롯한 18개 금융기관들이 공동 참가하는, OTP통합인증센터의 재난 및 재해 복구 모의훈련을 실시했다고 밝혔다. 이번 훈련은 OTP통합인증센터의 재해 발생 상황을 가정하고, 각 금융기관과의 업무공조 및 대응절차를 적용, 비상상황에 대하여 신속한 복구 및 위기대응 역량을 강화 하는 것을 주된 목적으로 실시되었다.

내년도 행정인턴, 정보보안 분야에도 활용

행정안전부(장관 이달곤)는 2010년에도 총 13,360명의 행정인턴을 내년 1월부터 채용할 계획이라고 10일 밝혔다. 특히 올해와 달라진 내년도 행정인턴제의 주요 운영방향 안에는 사이버 정보보안 분야의 국가적 인재육성 차원에서 행정인턴의 일정비율을 정보보안 분야에 활용한다는 내용이 담겨 있어 주목된다.

■ 정보보호 기업 동향

블루코트 시큐어 웹 게이트웨이, FIPS 140-2 인증 획득 2

블루코트(CEO 브라이언 넷스미스)는 최근 블루코트 프록시SG어플라이언스와 SGOS5.3 운영시스템이 FIPS(Federal Information Processing Standard: 미국연방정부 정보처리표준) 140-2 인증을 획득했다고 밝혔다. 회사 측은 FIS 140-2 인증과 CC EAL2 등급을 획득한데 이어 SGOS5.3 운영시스템도 美 ICSA랩(ICSA Labs) 인증을 획득했다고 덧붙였다.

시만텍, 도시바 고객 대상 ‘노턴 PC 토탈케어 서비스’ 제공

시만텍코리아(대표 변진석)는 도시바코리아와 함께 도시바 고객들을 대상으로 PC 토탈케어 서비스인 ‘노턴 프리미엄 서비스(Norton Premium Services, 이하 ‘NPS’)’를 제공하며 국내 PC 관리 시장 확대에 나선다고 7일 밝혔다. 앞으로 도시바 노트북 고객이라면 누구든지 30일간 무상으로 NPS를 이용할 수 있으며 추가 비용 없이 1회 원격 PC 점검도 받아볼 수 있다. 미니노트북을 포함한 신규 도시바 노트북 구매자는 물론 기존 도시바 노트북 사용 고객들 모두 서비스의 이용이 가능하다.

안철수연구소, 아름다운 나눔으로 이웃사랑 실천

안철수연구소(대표 김홍선)는 지난 12일 아름다운가게 서울역점에서 나눔과 재활용을 주제로 한 자선바자 캠페인 ‘아름다운 토요일’ 행사를 가졌다. 2003년부터 7년간 꾸준히 행사에 참가해 온 안철수연구소는 김홍선 대표 이하 500여명의 임직원들이 지난 11월부터 한 달 간 의류, 도서, 음반, 아동용품, 가전제품 등을 모아 행사 참여 이래 최대인 약 3,400여 점의 재활용 물품을 아름다운가게에 기증했다. 이는 1인당 약 7점의 물품을 기증한 것으로, 일반적 기업 및 기관 평균인 1인당 약 2점에 비해 매우 높은 기증률을 보였다.

에스원, 출입통제 보안장비 시장 진출

에스원(대표 서준희)은 시큐리티 게이트 분야에서 전 세계 시장 점유율 30% 이상을 차지하고 있는 벨기에의 오토매틱 시스템즈(Automatic Systems)사와 독점 판매 협약을 맺고, 출입통제에 필요한 주요 장비시장에 진출한다고 8일 밝혔다. 이에 따라 에스원은 출입문 자동제어장치인 스피드 게이트와 차량 진입방지물인 볼라드나 로드 블록 등 다양한 출입통제 솔루션 제품들에 대한 국내 및 일본, 대만, 호주 등에 대한 독점 판매권을 확보, 보안이 필요한 주요 기관과 중대형 빌딩, 공장 등을 대상으로 직접 판매에 나선다.

닉스테크, ‘세이프PC 엔터프라이즈’ CC인증 획득

통합PC보안 전문기업 닉스테크(대표 박동훈)는 자사의 통합PC보안 제품 ‘세이프PC 엔터프라이즈(SAFEPC Enterprise)’가 자료유출방지로 국제공통평가기준(CC)인증  EAL2(Evaluation  Assurance Level 2)등급을 획득했다고 8일 밝혔다. 이번에 인증 받은 ‘세이프PC 엔터프라이즈’의 가장 큰 특징은 통합PC보안 서비스를 통해 내부자에 의한 PC시스템 남용이나 주요 정보 유출 가능성을 원천적으로 차단할 수 있다. 또한 공공기관 및 기업에서 클라이언트에 의한 정보유출, 정보도용, 정보파괴, 정보변조를 방지하고 외부 침입자의 접근을 탐지, 차단하여 중요정보를 보호하고 정보보호 수준을 강화할 수 있다.

모니터랩, KT에 국산 VoIP 전용 방화벽 공급

엠프론티어(대표 김상훈)는 8일 KT의 행안부 C그룹 관련 인터넷전화 서비스 인프라 구축 사업에 VoIP 전용 보안 장비 모니터랩 ┖UC 인사이트 SG┖가 공급되었다고 밝혔다. 엠프론티어는 모니터랩(대표 이광후)에서 제조한 인터넷전화 방화벽 ┖UC 인사이트 SG┖의 총판사이다. 엠프론티에 측은, 이번 제품 선정 과정에서 VoIP 전용 보안 장비 ┖UC 인사이트 SG┖가 모든 부문 시험(성능, 환경, 보안기능, 내진)에서 우수한 평가를 받았다고 전했다. 그리고 전용 보안 장비가 갖추어야 하는 ┖국가정보원-인터넷전화 보안가이드라인┖에 맞춰 보안 위협에 대응할 수 있는 장비로 선정된 것이라고 의미를 부여했다.

세이프넷 루나 HSM, CC인증 획득

세이프넷코리아(대표 황동순)은 세이프넷이 하드웨어 시큐리티 모듈(HSM)Luna 4.1제품에서 EAL 4+등급으로 CC인증을 획득했다고 10일 밝혔다. CC평가연구소에서는 세이프넷의 Luna SA 4.1을 위한 Luna PCI 제품 보안 적합성 검사를 통해 위협적인 공격에 대한 강력한 보호를 강화했다고 평가했다. 이에 지온 고넨 세이프넷 코퍼레이트 부사장은 “전례가 없을 만큼 높은 강도의 보안 표준에 맞게 HSM을 설계했으며 이는 시장에 나와 있는 다른 회사의 제품보다 10배나 보안 강도가 강하다”고 말하고 “이번 세이프넷의 Luna SA 4.1의 인증 획득은 다른 HSM의 CC인증에 비교할 수 없으며 이와 같이 강도 높은 인증을 획득함에 따라 시장에서 최고의 유용성을 고객들에게 제공할 수 있게 되었다”고 설명했다.

 

포티넷, 대기업 위한 메시징 보안 솔루션 신제품 출시

포티넷 코리아(지사장 이상준)는 고성능 및 대용량을 지원하는 포티메일 제품을 새롭게 출시했다고 밝혔다. 포티메일은 전문 메시징 보안 어플라이언스로서 기업에서 필수적으로 사용되는 메일로 인해 파생되는 보안 위협을 막는 역할을 한다. 새로운 성능으로 확장되어 출시된 제품은 포티메일-5001A와 포티메일-2000B로서, 통신사업자와 MSSP (보안관제서비스 업체) 및 대기업 고객들의 고성능 및 대용량의 요구에 부합하도록 설계되었다. 포티메일-5001A는 블레이드 폼 팩터 (blade form factor)로 구현되며, 자사의 포티게이트-5000 시리즈에 구축이 가능하다. 포티메일-5001A는 포티메일 제품군에 있어서 최대의 메시지 용량을 지원한다. 

어울림정보-제이컴정보-지란지교소프트, 해외마케팅 MOU 체결

네트워크 보안 기업 어울림정보기술(대표 박동혁), 통합보안관리시스템 전문기업 제이컴정보(대표 문재웅), 스팸 차단 전문기업 지란지교소프트(대표 오치영) 3사는 합동으로 해외마케팅 협동체제에 관한 MOU 계약을 체결했다고 10일 밝혔다. 금번 MOU는 △각 업체 상호간 영업협동체제 확립 △일본 및 베트남, 필리핀, 말레이시아 등 동남아 해외 영업망 공동구축 △해외 영업 수ㆍ발주 공동사업체계 확립 △해외 영업 관련 마케팅의 적극협조를 위해 협정을 맺게 되었다.

한국 주니퍼네트웍스, 2009년과 2010년

신철우 한국주니퍼네트웍스 상무는 9일 연말 기자간담회를 개최하고 올해의 성과와 내년의 비전을 발표했다. 그는 올해의 성과로 주노스 트리오(Junos Trio) 칩셋과 주노스 OS 강화를 꼽았다. 주노스 트리오의 3D Scaling은 네트워크가 지원할 수 있는 가입자, 서비스, 대역폭의 양을 동시에 증대시킬 수 있는 기술이다. 주니퍼 측은, MX80 에지 라우터에 이 새로운 칩셋을 탑재해 내년 상반기 출시할 예정이라고 전했다. 그리고 앞으로 모든 네트워크 제품에 이 칩셋을 탑재할 계획이라고 덧붙였다. 이 칩셋은 1초에 10개의 블루레이 DVD를 다운로드 받을 수 있는 성능이라고 설명했다.

‘V3’와 ‘알약’, 이번엔 공공·기업시장서 ‘맞불’

국가정보원 IT보안인증사무국은 10일 홈페이지를 통해 정보보호제품 평가인증절차를 거친 두 제품에 대해 인증서 발급 인증제품 추가 안내를 했다. 공교롭게도 두 제품은 안철수연구소의 ‘V3 Internet Security 8.0, 이하 ‘V3 IS 8.0’’과 이스트소프트의 ‘알약 2.0 and ASM V2.0, 이하 ‘알약 2.0’’이다. 공공시장 진출을 위한 첫 교두보가 되는 CC인증 획득에 있어 민간시장에서도 치열한 경쟁을 했던, 양사의 백신 제품들이 이번에는 공공·기업시장을 타깃으로 맞붙게 된 것이다.

■ 주요 보안 사건사고(해킹/긴급경보건)

조선일보 교육사이트, 소스코드 통해 200여건 개인정보 노출!

조선일보의 각종 교육사업을 총괄하고 있는 조선일보교육미디어의 ‘맛있는 공부’ 홈페이지에서 소스코드를 통해 개인정보가 노출되는 취약점이 발견됐다. 취약점은 이 사이트의 겨울방학 학습멘토링캠프 참가신청 페이지에서 드러났다. MS의 인터넷익스플로러(IE)를 제외한 파이어폭스와 크롬, 사파리 등 웹브라우저에서 참가신청 페이지를 클릭하고 특정 부분을 제외한 상태에서 주소가 입력되면 소스코드를 통해 참가 신청자들의 개인정보가 노출되는 것으로 확인됐다. 노출되는 개인정보는 신청자의 이름과 휴대폰 전화번호, 유선 전화번호, 주소 및 보호자의 이름 등으로, 보안뉴스에서 확인한 개인정보만 해도 200건이 넘는 것으로 파악됐다.

인디펜던트 "러시아 FSB, 국제 첩보활동에 해킹기술 사용"

국제사회에서 경쟁국간 정치적 첩보활동에 해킹 기술이 사용되어 온 것은 어제 오늘 일이 아니다. 7일 영국 인디펜던트지는 “영국 모 대학에서 기후 변화연구소 자료 해킹의 배후에 러시아 연방보안국(FSB)이 있다. 이 해킹은 단순히 아마추어의 행위가 아니라 상당히 정교하고 정치적으로 계산된 행동”이라고 기후변화 국제 패널의 말을 인용해 보도했다. 러시아 연방보안국(FSB)은 전신이 KGB로 해커들에게 많은 투자를 하고 있는 것으로 알려져 있다. 

악성코드 진단 정책이 다른 국내 백신과 외산 백신

올해 초 모 정보보호학원 홈페이지에서는 키보드보안 프로그램을 설치하라며 액티브X 설치를 사용자들에게 요구했지만 알고 보니 이 키보드보안 프로그램이란 것은 숏컷(Shortcut)류의 스파이웨어를 숨기고 있는 애드웨어였다. 그런데 이번엔 이 정보보호학원 홈페이지에서 특정 URL로 접근시키는 아이프레임(iframe)이 삽입된 것이 발견됐다. 사이트 접속시 악성코드 및 바이러스 감염부분에 대해 노출이 되고 있었던 것이다. 이들 사이트들은 정보보호학원의 영업사원들이 운영하는 홈페이지로 사실 상 관리가 제대로 이루어지지 않고 있었다는 점에서 그에 대한 대책마련이 필요하다.

주민번호 뿐 아니라 나이, 몸무게까지 노출...“구글 너무해”

미국 구글을 이용한 검색에서 국내 한 비만관리 사이트의 개인정보가 무더기로 검출됐다. 노출된 2천 건에 가까운 개인정보에는 주민등록번호와 휴대폰 및 집전화번호, 성별, 나이, 키, 몸무게, 직업까지 적나라하게 노출되고 있었다. 개인정보의 문제는 당장 해당 사이트에 피해를 주지 않기 때문에, 사고가 발생해도 사고 발생 자체를 파악하지 못하는 경우가 많다. 설사 피해 사실을 발견한다 해도, 내부적으로 입단속해, 피해 사실을 숨기는 등 소극적인 자세를 보이고 있다. 그러나 인터넷 사이트를 통한 개인정보 노출은 인터넷금융 사고나 보이스피싱, 메신저피싱 등 금품을 노리는 범죄와 직결돼 심각한 사회적인 문제로 이어지고 있다. 

[긴급]바탕화면 아이콘 사라지는 악성코드 주의!!

안티-바이러스 전문업체 하우리(대표 김희천)는 최근 바탕화면의 아이콘 및 커서가 사라지는 바이러스가 등장해 PC사용자들의 각별한 주의가 요구된다고 10일 밝혔다. 이 악성코드의 하우리 진단명은 ‘Adware.SecurityTool.R’로 사용자의 PC에 악성코드가 감염되었다는 허위 진단결과와 경고창을 보여주며 사용자로부터 결제를 요구하는 혹스(Hoax)의 증상을 포함한 로그(Rogue) 즉, 허위백신이다. 이 악성코드는 지속적으로 허위 감염 경고를 출력하는 행위를 하며, 바탕화면 변조를 통해 아이콘이 사라진 듯한 착각을 하게 된다.

해커 우누, “동남아지역 카스퍼스키 또 다시 해킹” 주장

지난 2월 7일 ‘카스퍼스키 USA’의 SQL인젝션 취약점을 공개했던 루마니아 해커 우누(Unu)는 자신의 블로그를 통해 10일 말레이시아와 싱가포르 등 동남아시아 카스퍼스키에 또다시 심각한 SQL인젝션 취약점이 발견됐다고 공개했다. 우누는 “카스퍼스키랩은 러시아 모스크바에 본사를 두고 있고 독일, 프랑스, 네덜란드, 영국, 폴란드, 루마니아, 스웨덴, 일본, 중국, 한국, 미국 등에 지사를 두고 있는 글로벌 인터넷 보안기업”이라고 소개하며 “하지만 이 기업의 제품이 왜 자신들의 데이터베이스는 보호하지 못하는가?” 지적하고 있다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>