자바 기반 공인인증서 개발 완료, 스마트폰 적용 문제없어

금융결제원이 그동안 공인인증서의 문제로 지적됐던 액티브엑스(Active X) 기술을 이용하지 않는 기술을 개발해 도입을 준비 중인 것으로 밝혀졌다.

초기 공인인증서 도입당시에는 액티브엑스 기술을 이용하는 것이 최적의 방법이었지만 기술적인 발전으로 인해 더 이상 액티브엑스를 이용하지 않아도 되는 상황. 그러나 공인인증서에 액티브엑스 외의 기술을 이용하는 것은 추가비용을 요구하는 것이기 때문에 도입이 쉽지 않았다. 그러나 최근 들어 공인인증서에서 액티브엑스를 이용하는 것에 대한 문제가 전반적으로 제기됨에 따라 비용보다는 도입이 시급하다는 사회적인 분위기가 형성됐다.

 

이에 따라 금융결제원 측은 액티브엑스 기술을 이용하지 않고 공인인증서를 이용하는 기술 개발을 마치고 본격적인 도입을 검토 중인 것으로 밝혀졌다.

금융결제원의 한 관계자는 “현재 액티브엑스 기술을 이용하지 않고 자바(Java) 기술을 이용한 공인인증서 개발과 테스트를 내부적으로 마치고 상반기 내에 결제원 내부에서 적용을 시작할 방침”이라고 밝히고 “물론 은행권과 의견 합의를 봐야하는 문제가 남아있지만 사회 전반적으로 액티브엑스에 대한 불안감이 확산됨에 따라 큰 어려움은 없을 것으로 예상된다”고 밝혔다.

아울러 금융결제원은 이미 우리나라에서는 액티브엑스를 대체할 기술이 충분히 존재하기 때문에 기존 액티브엑스 기술을 이용하는 다른 금융보안 솔루션에서도 액티브엑스 이용을 자제하는 방안도 함께 검토 중인 것으로 알려졌다.

■ 정부기관 및 보안관련 기관

방통위, 개인정보유출 따른 사업자 법적응 엄격히 시행

방송통신위원회는 최근 연이어 발생한 개인정보 유출사건과 관련해 대응방안을 마련하여, 개인정보 보호 관련 법규 위반 사업자에 대한 엄격한 법 집행 및 사업자에 대한 홍보·계도 등을 추진할 것으로 밝혔다. 대전경찰청과 인천경찰청에서 확인한 유출 개인정보가 서로 동일한 부분이 많아 중국의 같은 해커가 연루된 것으로 추정되고 있는 가운데 방통위는 그 대책으로 크게 △현장조사, △유출대응, △암호화 조치 강화, △해킹대응, △캠페인 등을 내놓았다.

 

정부, ‘인터넷중독 예방 및 해소 종합계획’ 발표

최근 인터넷 중독 현상에 대해 사회적 우려가 크게 고조되고 있는 가운데 행정안전부를 비롯한 7개 관계부처가 ‘인터넷 중독 예방 및 해소 종합계획’을 세우고 공동 대응에 나선다. 정보화 사회의 도래 및 인터넷 이용의 보편화(인터넷이용률 77%)와 더불어, 인터넷 중독률이 8.8%에 이르고 중독자 수가 200만 명에 육박하는 등 인터넷 중독이 사회 전반적으로 확산됨에 따라, 국가 정책적 차원에서 인터넷 역기능 해소방안 마련을 위해 정부는 이번에 처음으로 ‘인터넷 중독 예방 및 해소 종합계획’을 수립하고 15일 브리핑을 통해 그 내용을 발표했다.

MS IE 제로데이 악성코드 각별한 주의 필요

한국인터넷진흥원(원장 김희정, 이하 KISA)는 인터넷 침해사고 동향 및 분석 월보(2010년 2월호)에서 MS IE(Internet Explorer)에서 보안패치가 발표되지 않는 신규 취약점이 출현해 악의적인 코드가 실행될 수 있으므로 사용자들의 각별한 주의가 요구된다고 밝혔다. 특히 지난달에는 DDoS, 스팸발송 등 복합적 악성코드가 급증한 것으로 알려져 메신져나 P2P 프로그램, 이동 디스크 등의 사용에 각별한 주의가 필요하다고 덧붙였다.

행안부-보안업체, 정보보안 산업 현안 놓고 대화

최근 개인정보 유출사건의 연이은 발생으로 정보보호에 대한 관심이 집중되고 있는 가운데 16일, 강중협 행정안전부 정보화전략실장 주재로 서울 프레스센터에서는 ‘행정안전부 초청 정보보호업체 조찬간담회’가 열렸다. 정보보호업체들은 유지보수 및 저가 입찰제도 등 문제해결을 당부했으며, 행안부 측은 앞으로도 정보보호업체들이 지속적인 문제제기해줄 것을 부탁했다.

정보보호업체 조찬간담회 개최

16일, 강중협 행정안전부 정보화전략실장 주재로 개최된 ‘정보보호업체 조찬간담회’가 개최됐다. 정길원 지식정보보안산업협회 부장은 ‘국가 정보보호 강화를 위한 수요기관과 공급업체간의 협력강화 방안’이란 주제발표를 통해 국내 정보보안산업의 구조 및 그 문제점, 그에 따른 개선책 등에 대해 설명했다.

개인정보보호조치 의무불이행, 정보유출업체 최초 입건

서울지방경찰청 사이버범죄수사대는 지난 2009년 7월 1일부터 최근인 지난 2월 25일까지  중국 해커 등으로부터 구매한 인터넷 회원정보를 국내에 판매하거나 불법도박 스팸발송에 사용해 1천만원 상당의 부당이득을 취득한 김모씨(22세) 등 3명을 불구속 입건하고, 개인정보의 암호화 등 기술적 보호조치의무(2009.4.30)를 이행하지 않아 51만개의 인터넷 회원 정보를 누출한 모 인터넷거래 중개업체 등 2개업체, 2명을 불구속 입건했다고 16일 밝혔다.

“올해 8월 이후에도 CC평가제도 50% 할인 유지될 것”

한국인터넷진흥원(KISA)이 올해 8월로 정보보호제품의 CC인증 평가 수수료 할인 지원제도가 폐지될 것으로 검토되고 있는 것으로 알려진 가운데 2010년 8월 이후에도 현행대로 중소기업을 대상으로 1년 1건 50% 할인제도가 지속될 것으로 보인다.

의료기관들 지켜야할 정보보호 가이드라인 나왔다!

보건복지가족부(장관 전재희)는 의료기관의 정보보호 강화를 위해 500병상 이상 의료기관을 대상으로 하는 ‘의료기관 개인정보보호 가이드라인’을 마련해 16일부터 보급한다고 밝혔다. ‘의료기관 개인정보보호 가이드라인’은 최근 다양화·지능화되어 가는 사이버공격 급증에 대한 국민의 진료정보 보호를 위해 마련됐으며, 500병상 이상 의료기관을 대상으로 하는 관리·기술·물리적 정보보호 내용을 담고 있다.

1천만여건 불법스팸, 대출문자 보낸 일당 적발!

방송통신위원회 중앙전파관리소(소장 김준호) 소속 서울전파관리소는 대출알선 수수료를 받을 목적으로 2009년 7월 1일부터 2010년 2월 3일까지 불법스팸(대출문자) 1천만여건을 불특정 다수에게 전송한 정모씨(40세) 등 6명을 적발하여 2010년 3월 16일 서울남부지방검찰청에 송치했다.

금보원, 금융정보보호아카데미 활성화 계획 발표

금융보안연구원(원장 곽창규)은 금융보안 중요성의 대내/외 인식 고취 및 금융부문 정보보호 인력양성을 위한 금융정보보호아카데미 활성화 계획을 마련했다고 18일 밝혔다. 이에 따르면 교육대상을 기존 금융회사 임직원만을 대상으로 운영하던 것을 모든 전자금융이용자 등 대국민으로 확대하였으며, 교육과정 또한 온라인교육용 프로그램을 6종 더 추가 개발하고 집합교육을 내실화하는 등 다양화하기로 했다.

■ 정보보호 기업 동향

시만텍, 중소기업 모바일 안전수칙 발표

최근 기업의 업무환경에서 모바일 기기 및 인터넷의 활용도가 지속적으로 증가하고 있는 가운데 시만텍이 중소기업들의 모바일 보안 위협 및 사이버 공격으로 인한 데이터 유출 피해를 예방하기 위해 모바일 기기상의 정보를 보다 효과적으로 보호하고 관리하기 위한 ‘5가지 모바일 안전수칙’을 발표했다. △ 모바일 기기가 아닌 정보보호에 초점을 맞춰라, △모바일 기기에 저장된 데이터를 암호화하라, △ 최신 보안 소프트웨어로 업데이트하라, △ 모바일 기기를 위한 강력한 보안 정책을 개발하고 시행하라, △ 블루투스 기능 사용시 각별히 주의하라 등이다.

라드웨어, ‘알테온 4시리즈’ 출시

라드웨어(지사장 김도건)가 알테온 4 시리즈 신제품 ‘Alteon 4408’ 및 ‘Alteon 4416’ 2종을 출시하고 애플리케이션 스위치 제품 라인을 한층 강화했다. 알테온 4시리즈는 라드웨어가 지난해 노텔의 L4-7 애플리케이션 스위치 사업부를 인수한 후 1년 만에 발표한 제품으로, 지난해 11월 발표된 하이엔드 제품인 ‘Alteon 5412’ 에 이은 두 번째 신제품이다.

시트릭스, 젠앱 6 신제품 발표

시트릭스시스템스(지사장 오세호)는 데이터센터에서 애플리케이션을 중앙화해 물리적 데스크탑 및 가상 데스크탑에 온 디맨드 방식으로 배포하는 애플리케이션 가상화 솔루션인 시트릭스 젠앱 6(Citrix XenApp 6) 신제품을 발표했다. 이번 젠앱 6는 중앙 관리 향상, 엔터프라이즈 확장성 강화, 마아크로소프트 앱-V(Microsoft App-V)와 윈도우 서버 2008 R2(Microsoft Windows Server 2008 R2)와의 통합 등 IT 컴퓨팅을 단순화할 수 있는 기능이 대폭 강화됐다.

 

체크포인트, 아브라 USB 출시로 가상 데스크톱 시장 진출

체크포인트코리아(사장 조현제)는 USB를 이용해 가상화화 데스크톱을 구현할 수 있는 ‘아브라(Abra)┖를 출시했다고 16일 밝혔다. 이 제품은 클라이언트 프로그램을 인스톨할 필요 없는 플러그 앤드 플레이로 구현돼 있어, USB를 꽂는 것만으로도 외부에 있는 다른 PC에서 회사의 컴퓨터와 같은 가상의 환경을 이용할 수 있게 해주는 기능을 가지고 있다.

대신정보기술-시큐브, 망분리사업 제휴

NI 전문업체 대신정보기술(대표 김형섭)은 보안 솔루션업체 시큐브(대표 홍기융)와 공동 사업 전개를 위한 전략적 파트너십을 맺었다고 17일 밝혔다. 두 회사는 대신정보기술이 보유한 넷 스위칭 카드 기술과 시큐브의 가상화 망분리 솔루션 듀오그리핀(DuoGRIFFIN)을 결합해 1PC를 이용한 물리적 망분리 서비스를 제공할 계획이다.

한국IBM, 보안관리 솔루션 ‘TSIEM 2.0’ 출시

한국IBM(대표 이휘성)은 보안 컴플라이언스(규제준수)관리, 통합로그관리, 포렌식(범죄 과학수사), 사고대응을 실행하는 보안정보 및 이벤트관리 솔루션 티볼리 시큐리티 인포메이션&이벤트 매니저 버전 2.0(IBM Tivoli Security Information and Event Manager 2.0, 이하 TSIEM 2.0)을 출시한다고 밝혔다.

시만텍, 통합 보안 제품 ‘노턴 360 버전 4.0’ 출시

시만텍코리아는 PC 보안부터 데이터의 백업 및 복구, PC 최적화 기능을 원스톱으로 제공하는 올인원 통합 보안 제품 ‘노턴 360 버전 4.0(Norton 360 version 4.0)’을 17일 출시했다고 밝혔다. 시만텍 노턴 브랜드의 대표 제품인 ‘노턴 360’은 안티바이러스, 안티피싱, 데이터 백업 등 개인 PC 사용자들이 필요로 하는 핵심 보안 기능을 하나의 제품에서 포괄적으로 제공해 개별 제품을 별도로 구매하지 않고도 강력한 보안과 데이터 보호를 제공하고, 비용 및 복잡한 관리 문제를 해소해주는 올인원 제품이다.

스콥정보통신-미디어랜드, NAC 신제품 공동개발

스콥정보통신(대표 김찬우)와 미디어랜드(대표 이무성)는 18일 양사가 공동개발한 NAC 제품인 ‘TruNAC┖을 바탕으로 NAC시장에 진출한다고 밝혔다. 스콥정보통신과 미디어랜드는 2009년 말부터 양사의 공동 협력체제 아래 TruNAC의 공동 개발에 착수해 2010년 4월에는 에이전트 기반 제품을 공식적으로 출시할 계획이다. 그리고 하반기에는 에이전트를 이용하지 않는 제품도 개발할 방침이다.

쉬프트웍스, 주요 스마트폰 호환되는 보안 솔루션 출시

보안전문 업체 쉬프트웍스(shiftworks.co.kr)는 스마트폰 보안솔루션으로 VGUARD 시리즈를 출시했다. 이 업체 관계자는 “지난해 이미 안드로이드 전용 ‘VGUARD for Android’를 국내 처음 출시해 일부 증권사 및 은행권에 제공을 준비 중이고, 3월초에 출시한 VGUARD for WindowMobile과 아이폰용 보안 솔루션인 VGUARD For IPHONE도 서비스 준비중에 있다. VGUARD for IPHONE의 경우 앱스토어에 등록하지 않고 기업의 뱅킹 솔루션에 함께 포함되어 나갈 수 있는 라이브러리 타입으로 제공하는 것이 특징”이라고 밝혔다.

시큐아이닷컴 안티DDoS 솔루션...GS인증 획득

끊임없는 기술 혁신으로 정보보호 솔루션 업계를 선도하고 있는 종합 정보보호 전문기업 시큐아이닷컴㈜(대표 안창수)은 자사의 DDoS 전용 방어 솔루션인 ‘시큐아이 엔엑스지 디 V1.0’ (SECUI NXG D V1.0)이 한국정보통신기술협회(TTA)의 GS(GOOD Software)인증을 획득 했다고 18일 밝혔다.

 

EMC, 총괄 부사장 겸 CMO에 제레미 버튼 영입

EMC(회장 겸 CEO 조 투치)가 제레미 버튼(Jeremy Burton, 42)을 본사 총괄 부사장 겸 최고마케팅경영자(CMO, Chief Marketing Officer)로 전격 영입했다. 버튼 총괄 부사장은 EMC에 합류하기 전 세레나 소프트웨어(Serena Software) CEO를 역임했으며 시만텍 엔터프라이즈 보안 및 데이터 관리 그룹 총괄 시절, 20 억 달러에 이르는 엔터프라이즈 보안 제품 비즈니스를 진두지휘한 바 있다. 또한 베리타스와 시만텍 합병 이전에는 베리타스 데이터 관리부문 수석부사장 및 CMO로 백업 및 아카이빙 제품을 총괄했으며 그 외에도 오라클에서 10여 년 동안 제품 및 마케팅 담당 수석 부사장으로 재직하며 다양한 경력을 쌓았다.

스마트폰 해킹하면 6,000만원!...‘Pwn2Own’

쓰리콤 티핑포인트 Zero Day Initiative(이하, ZDI)는 ‘Pwn2Own’콘테스트에서 주요 웹브라우저와 스마트폰 보안취약점을 찾는데 성공한 참가자에게 10만달러(약 1억원)의 상금을 주겠다고 밝혔다. 3월 24일부터 캐나다 밴쿠버에서 개최하는 ‘CanSecWest’ 보안컨퍼런스 행사중 하나의 이벤트로 열릴 예정이다.

라드웨어 CEO, 올해 한국지사 최대성과 올릴 것

라드웨어코리아(지사장 김도건)는 알테온 인수 이후 1년 동안의 성과와 한국지사 설립 10주년을 격려 및 축하하기 위해 로이 지사펠(Roy Zisapel) 라드웨어 본사 CEO가 방한했다고 밝혔다. 라드웨어 코리아는 지난 해 3월 30일 노텔로부터 알테온 사업부를 인수한 이후 알테온에 지속적인 투자를 하겠다고 밝힌바 있다. 이로 인해 알테온 신제품에 대한 집중적인 연구개발을 통해 1년이 안된 시점에서 신제품 알테온 ADC 플랫폼 3종을 출시했다고 덧붙였다.

■ 주요 보안 사건사고(해킹/긴급경보건)

[단독]인터넷전화, 쉽게 해킹 가능한 취약점 노출

국내 인터넷전화(VoIP)의 심각한 보안 취약점이 계속 방치돼 있어, 누군가에게 쉽게 인터넷전화가 도용되거나 심지어는 인터넷전화 불능 대란에도 노출돼 있는 것으로 확인됐다. 특히 국내 주요 인터넷전화의 경우, 이메일 하나만 보내 사용자가 단지 읽기만 해도 인터넷 전화의 관리자 계정을 탈취할 수 있는 것으로 파악됐다. 이를 이용하면, 관리자 계정 비밀번호를 변경하지 않은 특정 통신사의 인터넷 전화를 모두 패스워드를 바꿔 마비시킬 수 있을 뿐 아니라, 사용자 몰래 인터넷 전화를 도용하는 것도 쉽게 가능한 것으로 나타났다.

신세계, 319만명 개인정보 유출 확인...피해 보상 언급 자제

최근 경찰에서 발표한 25개 기업 2천여만 명의 개인정보 해킹과 관련해 신세계닷컴(www.shinsegae.com)에 가입된 고객 중 319만 명의 개인정보가 유출된 것으로 인천 경찰청 사이버수사대의 조사결과 확인됐다. 유출된 정보는 개인정보 암호화 조치 이전인 2004년 유출시점 당시의 개인정보로 이름과 주민등록번호, 아이디, 비밀번호, 전화번호, 휴대폰번호, 이메일주소 등이지만 금융관련정보나 주소는 포함되지 않은 것으로 전해졌다

 

개인정보보호법 조기제정 100만인 서명운동 개시

끊임없이 개인정보 유출 사고가 나타나고 있지만 아직도 개인정보보호법이 국회에서 머물러 있어, 보다 못 참은 민간 커뮤니티가 조기 제정을 위한 서명운동에 나섰다. 국내 정보보호 커뮤니티인 보안인닷컴(http://cafe.naver.com/nsis/)측은 끊임없이 나타나는 개인정보 유출로 인해 개인정보보호법의 조기 제정이 필요하다는 판단 아래 ‘개인정보보호법조기제정을 위한 100만인 서명’운동을 진행한다고 밝혔다.

[긴급]제로보드 XE 최신버전, 보안취약점 발견...XSS 공격 주의!

네트워크 정보보안 전문기업 나우콤(대표 김대연)은 17일 익스프레스엔진(Xpress Engine, 구 제로보드 및 제로보드XE, 이하XE)의 최신버전인 XE Core 1.4.0.9에서 XSS(Cross-Site Scripting) 공격이 가능한 취약점을 발견했다며 주의를 당부했다. 이 취약점은 현재 개발중인 HTML5 버전에서 제공하는 이벤트 태그를 차단하지 않아 발생하며, 대부분의 웹 브라우저에서 이미 HTML5를 전부 또는 부분 지원하고 있어 관심이 필요하다.

숭실대 이정현 교수. 액티브X 없는 공인인증서 ‘찬성’

숭실대 이정현 교수는 "기술과 시대는 바뀌고 있는데 굳이 인터넷뱅킹 솔루션만은 그대로 이용해야 한다는 주장은 어불성설이나 다름없다"면서 "초창기 인터넷뱅킹 시대의 보안위협과 현재의 보안위협은 수준이 다르고, 사용자의 의식수준이나 생활패턴도 크게 바뀐 상황이기 때문에 이에 걸맞은 수준으로 인터넷뱅킹 솔루션도 업그레이드 해야한다"고 역설했다. 그러나 그는 공인인증서 관리 및 활용 방법을 개선하는 것과, 공인인증서 자체를 사용하지 말아야 한다는 것은 다른 차원의 문제라고 말했다. 우리나라 환경에는 공인인증서를 이용해야하는 문화적 특성이 있기 때문이라는 것. 따라서 공인인증서를 제거하기 보다는 공인인증서의 기술을 업그레이드해야 한다는 주장이다.

‘제우스봇’, 변화·개선돼 효율적인 범죄툴로 재구성돼

트렌드마이크로는 최근 발표한 보안 리포트를 통해 최근 6개월간 약 9백만개의 제우스봇에 의한 공격을 차단했다고 밝히며, 하루 평균 300개 이상의 제우스 샘플이 발견되고 있는데, 특히 지난 1월 한달 동안만도 13,000개 이상의 제우스 샘플이 수집됐고, 최근 들어 곳곳에서 제우스봇에 의한 공격이 빈번하게 일어나고 있다고 경고했다.

대명리조트도 해킹, 80만 건 개인정보 유출!

최근 경찰에서 발표한 25개 기업 2천여만 명의 개인정보 해킹과 관련해 대명리조트 (http://www.daemyungresort.com/)에 가입된 고객 중 80만 여만 건의 개인정보가 유출된 것으로 인천 경찰청 사이버수사대의 조사결과 확인됐다. 유출된 정보는 비교적 최근인 2009년 4월 29일 이전의 회원 정보로 유출시점 당시의 개인정보로 이름과 주민등록번호, 아이디, 비밀번호, 연락처 등으로 알려지고 있다.

2012년까지 설치되는 가상화 서버 60%, 보안성 낮아

물리적 서버의 증가를 획기적으로 줄여주고 효율성을 높이는 가상화 기술이, 기획단계에서 보안팀이 투입되지 않아 여러 보안 문제가 나타날 수 있다는 분석이 나와 주목되고 있다. 글로벌 리서치 및 자문기업인 가트너는, 2012년까지 물리적 서버를 대신할 가상화 서버의 60%가 교체 이전보다 보안성이 낮을 것이라고 전망했다. 가트너는 이 수치가 2015년 말에는 30%로 떨어질 것으로 내놔봤으나, 가상화 구현 사업들 중 다수가 초기 아키텍처 및 기획 단계에서 정보 보안 팀을 투입하지 않은 채 진행되고 있다고 경고했다.

“비밀번호 바꾸라던 이메일, 알고보니 악성코드 유포!”

최근 구글, MS, 마이스페이스, 페이스북 등 외국 유명 인터넷 기업을 사칭한 악성코드가 이메일로 지속적으로 유포돼 사용자들의 주의가 필요해 보인다. 19일, 안철수연구소(대표 김홍선)는 최근 외국 유명 인터넷 기업에서 발송한 것처럼 유포한 이메일에 첨부된 파일을 실행하거나 링크 주소를 클릭하면 메일 대량 발송, 가짜 백신 설치, 악의적 웹사이트 접속 등의 증상을 보인다며 각별한 주의를 당부했다.

루센 네비게이션 홈피, 개인정보 40만 건 유출!

‘루센(Rousen)┖ 네비게이션 소프트웨어 공급업체 시터스는 자사의 루센 홈페이지가 해킹돼 40만건의 개인정보가 유출된 것을 확인했다고 밝혔다. 이 회사는 이미 3월 10일 비밀번호 변경 공지를 안내한 후, 대전지방경찰청을 통해 추가적인 내용을 조사한 결과 2009년 이전에 가입한 고객 정보 중 40여만 건이 유출된 것을 확인했다고 밝혔다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>