[보안뉴스 김정완] 이번주(2010년 6월 28일~7월 2일)에는 국민건강보험공단 자금운용 커뮤니티 사이트가 단순한 구글 검색만으로도 관리자 계정이 노출되는 사건이 발생했다. 보안뉴스에서 취재한 결과, 국민건강보험공단 자금운용 커뮤니티사이트가 별다른 해킹기술 없이 단순히 구글 검색만으로도 관리자 계정에 접속되는 것으로 확인됐다. 구글 검색에서 해당 사이트 주소만 입력해도 관리자 계정으로 접속이 가능하다는 것. 또 해당 URL이 포함된 특정 문자열로도 관리자 페이지 접속이 가능했다. 검색된 페이지를 클릭하면 ‘공단전용페이지입니다’라는 메시지 경고창 팝업이 나오고 난 후 바로 관리자 계정으로 접속되는 것을 확인했다. 한편 건보공단 측은 7월1일자로 이 사이트를 폐쇄 조치했다.

■ 정부기관 및 보안관련 기관

KISA, DDoS관련 전문인력 교육 실시

지식경제부와 한국인터넷진흥원은 지난해 발생한 7.7 DDoS 사태 이후 사회적으로 관심이 높아진 DDoS와 관련해 체계적인 대응을 위한 실무위주의 교육인 ‘침해사고 및 DDoS 대응 실무과정’을 지난 6월 28일부터 1주 과정 40시간 교육을 실시했다.

전자정부 수출지원 위한 해외 네트워크 확대

행정안전부와 한국정보화진흥원은 오는 28일부터 7월 2일까지 5일간 우즈베키스탄, 페루, 가나 등 총 11개 국가 15명을 초청해 ‘전자정부 프로젝트관리 전문가 과정’을 진행했다.

천리안 위성, “순수 국산 관제시스템으로 운용”

한국전자통신연구원은 “지난 27일 오전 발사에 성공한 통신서비스, 해양관측, 기상관측 등 복합기능을 갖춘 천리안 위성이 ETRI에서 개발한 관제시스템에 의해 운용된다”고 29일 밝혔다.

서강 시장경제연구소, ‘국내 불법복제 감소의 경제효과 보고서’ 발표

국내 최초로 국내 디지털 콘텐트 불법복제 감소의 경제효과 보고서가 공식 발표됐다. 이 보고서에 따르면, 소프트웨어, 음악, 영화, 출판 등 국내 디지털 콘텐츠 산업 불법복제 10% 감소 시에 최대 50%의 산업 성장 효과 및 약 8만8천개의 신규 일자리가 창출된다는 전망이 나왔다.

7월1일부터 ‘제2회 특허검색 정보기술 공모전’ 개최

특허청은 ‘제2회 특허검색 정보기술 공모전’을 한국특허정보원 주관으로 7월1일부터 개최한다.

범죄피해자 보호시설 ‘스마일센터’ 개소

불의의 중범죄로 정신적·경제적 후유증에 시달리는 범죄피해자와 그 가족으로 하여금 정상적인 사회인으로 돌아갈 수 있도록 상담 및 심리치료에서부터 구직까지 돕는 범죄피해자 보호 시설이 문을 연다.

방통위, 스마트폰 보안위협에 대한 각 주체별 역할 정립 발표

방송통신위원회는 ‘스마트폰 정보보호 민·관 합동대응반’ 및 ‘모바일 시큐리티 포럼’을 통해 스마트폰 정보보호 주체인 이동통신사, 스마트폰 제조사, 백신사, 보안솔루션사 및 정부 등의 ‘스마트폰 정보보호 주체별 역할’을 정립하여 발표했다.

ETRI, ‘인지무선 채널관리 핵심특허’ 특허기술상 수상

한국전자통신연구원은 인지무선 기술 개발을 통해 ‘다중 주파수채널 시스템에서 효율적인 스펙트럼 센싱을 이용한 채널 할당 방법’에 대한 특허를 확보했으며, 이 특허가 지난 28일 특허청이 수여하는 ‘2010년 상반기 특허기술상 지석영상’을 수상했다고 30일 밝혔다.

디지털포렌식산업포럼, 오는 7월6일 조찬세미나 개최

디지털포렌식산업포럼은 오는 7월 6일 서울 역삼동 소재 르네상스 호텔 4층 사피어룸에서 ‘디지털포렌식의 전망’이라는 주제로 조찬세미나를 개최한다.

금감원장, 우리금융 DDoS 대응현황 현장점검

김종창 금융감독원장은 30일, 금감원 주관으로 송창헌 금융결제원장과 곽창규 금융보안연구원장 등과 함께 서울 상암동 소재의 우리금융그룹 IT센터를 방문해 DDoS공격 등 사이버테러 대응상황을 점검하고 관계자들을 격려했다.

금결원장, “제2,3 금융권도 DDoS공격 대응체계 마련해야”

김종창 금융감독원장 등이 우리금융그룹 IT센터를 방문해 사이버테러 대응상황 점검하고 관계자들을 격려한 가운데 송창헌 금융결제원장은 이날 “제1금융권의 DDoS공격 대응체계 외에도 제2,3 금융권에서도 DDoS공격 대응체계를 갖춰야 한다”고 말했다.

조달, ‘생체지문인식입찰’ 7월1일부터 전면 확대시행

조달청은 인증서 대여를 통한 불법전자입찰을 원천 차단하기위한 ‘생체지문인식입찰’을 지난 4월1일 시작해 7월1일부터는 나라장터를 통해 지자체 등에서 자체적으로 발주하는 물품·용역·시설공사 입찰에도 전면 확대 시행 한다.

KISA와 한국MS, PC방 방문 좀비PC예방 캠페인 진행

한국인터넷진흥원과 한국마이크로소프트가 윈도우 XP SP2 등 일부 하위 버전에 대한 기술지원이 종료됨에 따라, 해당 제품 이용자들이 상위 버전으로 업그레이드하지 않을 경우 보안 문제가 심각할 것으로 보고 공동 캠페인을 실시하는 등 공조에 나섰다.

정보보안인력 취업 위한 전문교육 실시

지식경제부와 한국인터넷진흥원은 오는 8월 9일부터 정보보안 기업들에게 취업할 수 있도록 지원하는 ‘지식정보보안 전문가 취업 준비를 위한 OJT과정’을 실시한다.

■ 정보보호 기업 동향

F5, 향상된 SSL VPN 성능의 파이어패스 7.0 출시

F5 네트웍스 코리아(지사장 김인교, 이하 F5)는 자사의 SSL VPN 솔루션인 파이어패스(FirePass)의 7.0 버전을 출시한다고 최근 밝혔다.

‘제 6회 시스코 네트워킹 경진대회’  7월 15일 개최

시스코 코리아가 자사의 네트워킹 아카데미를 운영 중인 전국의 110여개 고등학교 대학 대학교 학생을 포함, 네트워크 전문가를 꿈꾸는 모든 학생들을 대상으로 ‘제6회 시스코 네트워킹 경진대회’를 7월 15일 익산 원광대학교에서 개최한다.

SGA, 인수기업 한 곳으로...통합사옥 확장이전

SGA는 지난 25일 최근 인수한 회사들의 임직원 모두가 모여 서울 양재동 인근의 통합사옥으로 확장 이전을 완료했다고 28일 밝혔다.

LG CNS, 몽골 최대 규모 IT사업인 긴급구조망 시스템 개통

LG CNS가 몽골 최대 규모(180억 원) IT사업인 울란바타르 EIN(Emergency Information Network, 긴급구조망) 시스템을 성공적으로 구축했다.

시큐아이닷컴, 정보보호 전문SI사업서 잘 나가네

시큐아이닷컴이 대형 IT 서비스 업체들 간 경쟁이 치열한 정보보호솔루션 통합구축사업에서, 전문기술력의 강점을 앞세워 공공, 금융기관의 대형 프로젝트를 잇달아 수주함으로써 정보보호전문 SI사업자로 두각을 나타내고 있다.

슈프리마, 인도네시아 경찰청에 지문 라이브스캐너 공급

바이오인식 전문기업 슈프리마가 인도네시아 경찰청에 지문 라이브스캐너를 공급했다.

한국액센, 우체국시설관리지원단에 문서관리솔루션 수주

전자문서 관리업체 한국액센(대표 박수성)은 최근 중소기업을 대상으로 개발한 문서관리 솔루션 ‘도큐트리(DocuTree) ECM 2.0’ 솔루션을 우체국 시설관리지원단에 납품키로 했다고 29일 밝혔다.

뉴욕라이프, 한국IBM과 신규 경영정보시스템 구축

뉴욕라이프는 한국IBM과 함께 영업지원을 위한 신규 경영정보시스템(MIS)을 성공적으로 구축했다고 밝혔다.

하우리, DDoS공격 발생시키는 ‘좀비PC’ 예방 7계명 발표

하우리는 제시하고 있는 ‘좀비PC 예방을 위한 7계명’을 숙지하고 그에 좀비PC로 감염되지 않도록 하는 개인 사용자들 스스로의 노력이 곧 제2의 7.7DDoS대란을 미연에 방지할 수 있는 방법을 제시했다.

LG엔시스, 시군구 행정정보시스템 노후화 장비 교체사업 수주

LG엔시스가 행정안전부에서 주관한 ‘시군구 행정정보시스템 노후화 장비 교체사업’에서 장비분야와 백업S/W 분야 350억 규모의 사업을 수주했다고 29일 밝혔다.

인포섹, 2010년 창립 10주년 기념 맞아 인포섹 비전 제시

인포섹이 올해로 창립 10주년을 맞이하면서 향후 2년 내 국내 보안업체 1위로 도약하겠다고 천명했다.

쌍용정보통신, ‘JTDLS NMS 구현사업’ 수주

쌍용정보통신은 국방과학연구소가 주관하는 ‘한국형 합동전술데이터링크체계(JTDLS) 네트워크관리시스템(NMS) 구현 사업’을 수주했다고 29일 밝혔다.

삼성화재, ‘위기관리 경영 국제인증’ 획득

삼성화재는 29일 국내 손보업계로는 처음으로 ‘위기관리 경영 국제인증(Business Continuity Management)’을 획득했다.

한국레드햇-한국IBM, 리눅스로 마이그레이션 캠페인 실시

한국레드햇은 한국 IBM과 공동으로 ‘5년전 도입으로 로드맵이 불분명한 유닉스, 지금 레드햇과 IBM으로 바꾸세요.’ 라는 제목의 리눅스로의 마이그레이션 온라인 캠페인을 지난 6월 30일부터 오는 8월31일까지 실시한다고 밝혔다.

이스트소프트, ‘2010년 상반기 5대 보안이슈’ 발표

알약으로 유명한 이스트소프트는 2010년 상반기 보안 동향을 분석한 ‘2010년 상반기 5대 보안 이슈’를 30일 발표했다.

안철수연구소, ‘오토플레이 게임 해킹 차단 기술’ 특허

안철수연구소는 자사의 온라인 게임보안 솔루션 ‘핵쉴드(AhnLab HackShield for Online Game)’에 탑재된 기술인 ‘마우스 및 키보드 자동 입력 감지 방법’이 특허를 획득했다고 30일 밝혔다.

SKT, 유해 앱 차단서비스 ‘스마트폰 지킴이’ 개발

SK텔레콤은 유해 애플리케이션 차단·삭제 서비스인 ‘스마트폰 지킴이’ 개발을 완료하고, T스토어에서 고객들에게 무료로 배포해 SK텔레콤의 모든 스마트폰 고객이 애플리케이션을 안심하고 이용할 수 있도록 한다고 1일 밝혔다.

우리은행, “금융권, 사이버테러 대응은 ‘우리’가 최고!”

우리은행은 DDoS공격 등과 같은 사이버테러에 대응하기 위한 금융감독원의 ‘금융부문 DDoS 공격대응 종합대책’에 따른 세부추진계획을 마련해 시행하고 있으며, 특히 최근에는 각종 사이버공격 가능성에 대비해 사전예방 활동 강화를 포함한 전행적인 종합대책을 수립·시행중에 있다.

시큐아이닷컴 DDoS 대응장비, EAL4등급 CC인증 획득

시큐아이닷컴은 자사의 DDoS 유해트래픽 차단 전용 솔루션인 ‘시큐아이 엔엑스지 디 V1.0’ 이 IT 보안인증사무국에서 시행하는 평가인증 제도인 국제공통평가기준을 통과해 ‘DDoS 대응시스템 평가보증등급(EAL)4’ 인증을 획득 했다고 1일 밝혔다.

소프트포럼, 오크밸리에 DB암호화 솔루션 제큐어DB 구축

오크밸리가 최근 고객 개인정보가 저장되는 DB를 암호화하는 DB암호화 솔루션으로 소프트포럼의 제큐어DB(XecureDB)를 도입·구축 완료함으로써 개인정보보호 및 유출에 대응할 수 있는 시스템을 갖추게 됐다.

지란지교-케이사인, ‘케이사인시큐어DB’ 기업총판 계약체결

정보보호업체 지란지교소프트는 DB암호화/PKI솔루션 전문업체 케이사인과 케이사인시큐어DB(KSignSecureDB)제품에 대한 총판 계약을 체결했다고 2일 밝혔다.

■ 주요 보안 사건사고(해킹/긴급경보건)

트위터 XSS 취약점 발견, “조심 또 조심”

트위터에 사용자 계정을 가로채거나 악성코드를 유포시킬 수 있는 XSS(Cross-site Scripting) 취약점이 발견됐다.

건보공단 자금운용 커뮤니티 사이트, 구글검색 해킹에 노출!

국민건강보험공단 자금운용 커뮤니티 사이트가 단순한 구글 검색만으로도 관리자 계정이 노출되는 것이 확인돼 충격을 주고 있다.

건보공단 자금운용 커뮤니티 사이트, 해킹가능성 인정 후 폐쇄

국민건강보험공단 자금운용 커뮤니티 사이트가 단순히 구글 검색만으로 관리자 계정이 노출돼 이 사이트에 가입한 건보공단 직원 및 증권사, 은행 등 관계자 수십명의 성명, 핸드폰번호, 회사명, 아이디 등이 노출된 가운데 사실상 이 사이트는 1년여 이상이나 방치돼 현재에 이른 것으로 확인됐다.

H해상보험 직원, 자신에게 보험들지 않자 고객정보 무단 변경!

H해상보험 고객인 P씨는 지난 6월 기존 자동차보험 만료에 따라 같은 보험사와 재계약을 해 보험을 갱신했다. 하지만 2주가 넘도록 보험증서가 도착하지 않자 H보험 콜센터에 문의해 보니 보험증서는 이미 발송이 됐다고 한다. 확인 결과, 보험 갱신은 이루어졌지만 보험증서 수령지 주소와 휴대폰 번호가 바뀌어 있어 황당하기만 했다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>