[세미나소식] 2008.11.25 HP 정보유출방지를 위한 보안전략

사용자 삽입 이미지HP에서 개인정보보호및 내부정보 유출방지를 위한 보안전략세미나가 있습니다.
중소기업용 파일보안/협업 솔루션 Enterprise Disk for SMB의 성공사례를 이야기하는 듯합니다.
어쨋든 도움이 될듯합니다.  관심있는 분들은 참석하시면 좋을듯해요.. ^^

▶ Agenda

Time

Session

14:00~14:10

인사말

14:10~14:30

유출사고에 사례 및 레퍼런스 소개

14:30~15:00

HP Proliant 서버 전략

15:00~15:50

내부정보유출 방지 보안 및 감시 기능

15:50~16:00

휴식

16:00~16:30

내부정보유출 방지 보안 관리기능

16:30~16:50

데모 시연

▶ 세미나 일시 및 장소

주 최 :

()엑츠솔루션

후 원 :

한국HP

일 시 :

2008 11 25() 14:00~16:50

장 소 :

여의도 한국HP 본사 20 세미나실

▶ 세미나 신청 페이지:
http://seminar.eventservice.co.kr/HP_eKorea/

(ISC)² 의 새로운 보안 자격증 CSSLP

사용자 삽입 이미지 소개 사이트 : http://www.isc2.org/csslp
파워포인트 소개 문서: <<view the Product Launch Presentation.>>
첫자격 시험 예정일: 2009년 6월 (영문버전만 실시 계획)

왜 CSSLP를 만들게 되었나?

   보안 침해의 약 80%가 애플리케이션과 관련이 있기때문에  소프트웨어 개발단계부터 소프트웨어 라이프사이클에 따른 보안을 필수적인 요소로 고려해야 하기 때문입니다.   아이다호 주립 대학 컴퓨터 정보시스템 프로그램학과 학과장인 코레이 스카우 박사(Corey Schou)도 또한 애플리케이션
취약성과 관련해 “프로그래밍이 좋지 않다는 것은 부분적인 이유에 불과”하다며 “프로그램 개발 시 보안을 처음부터 구현해야만
한다는 인식이 없다는 것이 문제의 핵심”이라고 주장한바 있습니다. 

  (ISC)²는 소 프트웨어 취약성으로 인한 손실이 사실상 너무 엄청나 측정하기도 어렵다며 “긱노믹스(Geekonomics)”의 저자 데이빗 라이스(David Rice)의 말을 인용, 소프트웨어의 보안 결함이 연간 천 8백억 달러에 이른다고 강조하였다고 합니다.  특히 미국 등 해외의 경우 단지 불안전한 소프트웨어를 사용했기 때문에 침해를 당한 기업은 천문학적인 벌금이라는 대가를 치루고 있고, 무엇보다 그러한 사고로 기업의 평판에 대한 손상과 결과적으로 고객의 신뢰를 상실함으로써 발생하는 손실을 생각하면 그 피해는 실로 엄청나다는 것입니다.

CSSLP는….
   CSSLP는 안전한 소프트웨어 라이프사이클 공인 전문가(Certified Secure Software Lifecycle Professional)의 이니셜입니다.  자격 프로그램은  소프트웨어 라이프사이클 관계자들에게 보안 구현의 방법뿐만 아니라 보안 요건 사항, 디자인, 설계, 테스트, 안전한 소프트웨어의 도입의 정보를 수집하는 방법을 교육하고 그에 관한 자격 인증을 제공하게 됩니다.   (ISC)² 는 CSSLP가 소프트웨어 라이프사이클 관계자들이 알아야 할 모든 것을 매끄럽게 다루고 있어 업계에 엄청난 영향을 미칠 것이라며, 보안과 통제가 체계화된 검증 기술, 절차를 통해 효과적으로 구현되어 단체의 담당자들에게 적절한 안전장치와 대응 방법이 보호의 수단으로써 자리 잡고 있다는 자신감을 주는 의미가 있다고 합니다.

   결국 이를 통해  고객들의 신뢰를 더 얻을 수 있게 되고  궁극적으로는 더 많은 이익을 창출하게 될 것이라는 기대를 가지고 있습니다.    특히, CSSLP가 소프트웨어 라이프사이클 전반에 걸쳐 보안을 고려한다는 것을 보증해주는 업계 유일의 자격증이기 때문에 영향력이 클 것이라고 예상하고 있습니다.

 또한, (ISC)²에서 부여하는 기존의 다른 자격들과 달리 CSSLP는 CISSP를 획득하지 않고도 자격시험에 응시할 수 있다는 것이 특징이라고 합니다.  첫 자격시험은  2009년 6월에 영문 버전으로 치루어질 계획입니다.

참조한 원문기사: << 보안뉴스 >>

[교육메일] 정보보안은 나부터 시작하자

보안공지메일은  최소한의 노력으로도 어느정도 효과를 거둘수있는 좋은 방법입니다.
보안교육을 하기위해 골치가 아픈 분들에게 조금이나마 도움이 될까하여 올려봅니다.
제 경우 처음엔 바이러스,스팸메일등의 기술적인 보안공지메일을 많이 보냈었는데요…
차츰  보안인식을 높이기위한 메일을 많이 보내게 되더군요..
보안인식을 얼마나 높일수있느냐가   관건이라고 하겠습니다.

사용자 삽입 이미지

소만사 개인정보보호 컨퍼런스 (10월 29일)

   고객의 프라이버시를 지키기위한 개인정보 보호 컨퍼런스가 열린다고 합니다. 올해 GS칼텍스 사건이후로  고객정보보호및 Database보호 관련 기업들이 바쁘게 움직이고 있는 것 같습니다.    소만사에서 주최하고   KISA에서 후원한다는 군요.. 소만사는  정보유출을 막기위한 여러가지 솔루션들을 보유한 중견 보안기업이라고 할수있죠.. 최근에 Privacy-i라는 제품및 database보안솔루션 검토 관계로  영업직원을 만난적도 있었답니다.   

사용자 삽입 이미지

컨퍼런스명:  제 1회 고객의 프라이버시를 지키기위한 소만사 개인정보보호 컨퍼런스
일시: 2008년 10월 29일 (수) 13:30- 17:00
장소: 삼성동 코엑스 4층 그랜드컨퍼런스 룸

  많은 투자를 해서 보호대책을 세웠더라도  유출사고는 발생할 수 있다는데 어려움이 있습니다. 유출사고를 막기위해  최신 보안동향을 학습하고  사전에 고객프라이버시를 지키기위해  개인정보유출방지를 위해 최선의 투자와 노력을 기울여야  합니다. 또 만에 하나 유출이 일어났을때를 대비해서 어떤 것을 준비해야 하는지, 그리고  현재 우리 회사에서 준비하는 대응책들이 효과적인 것인지 하는 질문에도 좋은 답변이 될 것이라고 합니다.   이메일을 통해 컨퍼런스 일정을 안내받게 되었는데요.. 바로 사전 등록을 했답니다.

사전등록 웹페이지:  http://www.somansa.co.kr/conf_regist.asp
 
행사 어젠다:
사용자 삽입 이미지

[무료 보안교육] 산업보안과정 -중소기업기술정보진흥원 제공

중소기업기술정보진흥원 디지털 경영센타에서 주최하는  교육을 참석하게 되었습니다.

온라인 7시간 강의,  오프라인 14시간 강의가 아래 교육에 소요됩니다.

“2008 산업보안교육 보안담당자과정” 3회차 교육

교육일자 : 20081007() ~ 20081008()
교육시간 : 10:00 ~ 18:00 (13:00~14:00 점심시간)
교육장소 : 중소기업기술정보진흥원 디지털경영센터 세미나실 (익스콘벤처타워 9
)

중소기업기술정보진흥원에서 사전교육으로 온라인 교육을 받게 하고 있습니다.
7과목으로 구성된 보안 온라인 교육과정이 제공되는데  꼭  오프라인 교육을 받지않더라도
온라인 교육만으로도 좋은 교육이 될듯합니다.  강의은 플래시로 작성되어 있습니다.
실제로 들어보니 상당히 잘 만들어진 온라인 교육이었습니다.

아래 사이트에 접속하여 회원가입후 무료교육을 받을수있습니다.
저는 08년 산업보안과정 1단계와 2단계를 신청하여 수강할수있었습니다.

1. 사이트:   http://www.edutipa.com
2. 수강신청: 과정안내 > 전문교육 > 산업보안과정 [2] 에서 [신청]버튼을 클릭
3. 수강하기: 마이페이지 > 수강과정 > 08년 산업보안과정 클릭
사용자 삽입 이미지아래는 플래시로 만들어진 강의를   재미있게 수강하고 있는 장면입니다.  내용도 알차답니다.
사용자 삽입 이미지

페일린 이메일 해킹당하다

사용자 삽입 이미지  미국 공화당의 부통령 후보인 페일린의 e메일 계정이 해킹당하는 사건이 발생했습니다. 해커들이 그녀의 야후 메일 계정에 접근해 정보를 빼냈는데  이를 통해 페일린의 사진과 연락망 목록 등을 한 웹사이트에 올리기 까지 했다고 합니다.


  유출된 정보 가운데 페일린이 알래스카주 지사로 행한 공적인 업무에 대한 것들도 있어서   보안이 요구되는 공무를 민간웹사이트의 사적인 이메일로 처리한것에  대해 비판을 받고 있습니다.  시민운동가인 안드레아 맥리오드라는 “해킹 가능성이 있는 개인이메일을 부주의하게 사용하는 사람이 어떻게 국가 안보를 다룰 수 있을지 의심된다”면서 공무내용을 공객할 것을 주장했다고 합니다.

  많은 사람이 사용하는 상용 이메일은 해커들의 입장에서 좋은 먹이감에 해당합니다.  서버 해킹에 성공하면 엄청난 많은 사람들의 정보에 접근하는 것이 가능해지니까요.. 그리고 그것은 많은 돈을 벌수있는 기회를 가져다 주곤합니다.   해킹엔 많은 노력과 시간이 소요되는데 이때  투여된 자원(시간,노력)대비 이익의 크기가 크다면 해커의 목표가 되는것이죠..  특정기업의 메일은 더 보안이 잘 되어있다고 꼭 볼수없지만 더 안전하다고 볼수있는 것은  해커의 입장에서 노력대비 이익이 매우 적기 때문입니다.  

  ▶기업의 보안관리자는  기업의 임직원에게 다음을 필히 교육해야 합니다.
1. 개인의 외부 이메일을 통해  기업업무와 연관된 자료를 전송하지 말것
2. 회사메일을 통해서만 업무내역을 주고 받을 것
3. 고객정보/중요업무파일등은 암호화해서 전송하여 유출되어도 읽을수없게 할것
4. 외부 이메일은 안전하지 않다
.

    ▶ 외부 이메일의 안전성을 점검해 보라
1. 패스워드 리셋하는 질문과 답변이 안전한 지 점검하라.
  페일린 이메일을 해킹했다고 주장하는 rubico에 따르면 패스워드를 잊어버렸을때 본인확인 용도로 사용되는 개인적인 질문을 통해 계정해킹에 성공했다고 합니다. 인터넷상에서 얻어낸 여러가지 정보를 이용하여 패스워드를 리셋했다고 합니다.
  특히 우리의 경우 개인정보 (특히 주민등록번호)를 이용하여 리셋하는 경우가 많은 데 아시다시피 주민번호등의 개인정보가 많이 새어나간 이 시점에서는 더욱 취약하다고 할수있습니다.
  질문에 대한 답변으로   다른 사람이 도저히 예상할 수 없는 엉뚱한 것을  선택하는것도 좋을 듯합니다.
2. 특히 외부의 공적인 장소에 설치된 PC에서 이메일 로그인하지 말라.
   키로거등을 통해 계정정보가  유출 될 수 있습니다. 안전하지 않은 PC에서 개인정보를 사용하거나 계정에 로그인하는 행위는  나를 해킹해달라고 소리치는것과 같습니다.
3. 정기적으로, 또는 안전하지 않다고 느껴지면 즉시 패스워드를 변경하라
  외부 공공장소에서 피치못하게 계정로그인을 했다면 안전한 장소의 PC에 돌아와서 자신의 패스워드를 변경하는것이 좋습니다.

 

[LG텔레콤 정보유출사고를 통해 본 ] 학교 윤리시간에 정보 윤리를 가르치자

   지난 3월 21일  [강씨]가 운영하는 블로그에  LG텔레콤의 휴대전화 번호를 입력하면 주민등록번호, 서비스 가입일, 휴대폰 모델 등 3개 항목을 조회할 수 있는 페이지가 올려졌습니다.  (고객 이름과 주민번호 뒷자리는 별표처리하여  비노출)    KISA가 이를 경찰에 신고했다고 알려져있습니다.  

   사건발생을 인지한 LG텔레콤은 3월 24일과 25일, 두 차례에 걸쳐 해당 블로그및  CP 접속을 폐쇄시켰는데   가입자 주민등록번호가 조회됐을 수 있는 건은 최대 171건으로 예상된다고 합니다.   더욱 어처구니 없는 것은 애초에  [강씨]가 참조한 엠샵 이란 사이트에서는 휴대폰 번호만 입력하면 URL상에 LG텔레콤 가입고객 정보가 그대로 노출되고 있었다는 사실입니다. 그것도 주민등록번호 뒷번호가지 고스란히 조회가 가능했다고 합니다. 그리고   LG텔레콤은 이것을  5년간동안이나  몰랐다는 것이구요..

   보안 전문가들은 “이번 사건의 핵심은 LG텔레콤측이 CP업체인 엠샵에 고객정보를 그대로 노출되도록 연결시켜 놓은 부분과 서버 접근 관리자 계정을 누구나 볼 수 있는 URL상에 올려놓았다는 점에 대해 무한책임을 져야 한다”라고 이야기 하고 있는 상황입니다.

   이번 사건은 LG텔레콤의  허술한 고객정보 관리와 한 개인의 부족한 윤리의식에서 비롯된 것이라고 할수있을 것 같습니다.   물론  LG텔레콤이 고객정보를 허술하게 관리해 온 것이 가장 문제이죠…     아니라고 하지만 실제로는  고객확보차원에서  알면서도 모르는척 해온것은 아닌지 하는 생각이 드는것은 어찌된 일일까요.  지인의 말에 따르면   전화번호만 있으면 그 사람의 핸드폰 사용기종,생년,가족상황 등등을 모두 조회할수 있다고 합니다. (통신사 협력업체로 일한 한 친구에 들은 이야기라고 합니다.)  사실 LG텔레콤만의 문제가 아닐수도 있을지 모릅니다.    현재 LG텔레콤의 고객정보 노출사건에 대해 집단소송 준비가 진행되고 있다고 합니다.

LG텔레콤 정보유출 소송모임  http://cafe360.daum.net/_c21_/home?grpid=1Dj7p 

  부족한 윤리의식을 여기서 지적하고 싶습니다.   기업이든 개인이든  마땅이  지켜야할 도리가  있다고 생각됩니다.   [강씨]는 인터넷상에  LG텔레콤의 고객정보가 그대로 노출되고 있다는 것을 알고도 신고하기는 커녕  그 고객정보를 인터넷에서 조회할수있게 했습니다.  LG텔레콤 또한 고객들의 소중한 정보를 제대로 관리해야할 책임이 있으나 그렇게 하지않고  방조(?)한 책임이 있다고 할 수 있습니다.  

   [강씨]의 경우  LG텔레콤의 아웃소싱 업무도 한 경력이 있는 경력10년이 넘는 프로그래머였습니다.  [강씨]가 LG텔레콤의 고객정보 관리의 취약점을 바로 알려주었더라면 좋았을 것입니다.    IT 프로그래머들은 이런 류의 정보를 잘 다룰 수 있기때문에  또한  쉽게 악용할 가능성도 있습니다.  [강씨]가  이 정보로 상업적인 이득을 취했다거나 하지는 않았지만   경각심을 갖지 않고  인터넷에 재공개 함으로써  피의자로서  곤욕을 치르고 있는 상황입니다.  [강씨]는 억울함을 토로하고 있는 상황이지만  책임을 면하기는 힘들어 보입니다.

   IT기술을 배우기 이전에  먼저 IT 윤리를 배워야 할 듯  합니다.  이젠 학교의 윤리 시간의 한 과정으로  정보 윤리, 인터넷 윤리가 추가되어야 할 듯 합니다.   정보화시대을 사는 우리가  어떤 책임이 있는지, 어떤 결과를 초래하는지, 함께 사는 사회를 보호하고 유지하려면 어떤 윤리의식을 가져야 할지 어렸을 때부터 교육받아야 할 것 같습니다.   특히  IT 회사에 입사해서  프로그래머나 운영자 또는 기획자로 일하게 된다면  제일 먼저  IT윤리에 대해 교육받아야 할 듯합니다.   성과보다 중요한 것들이  사실 많다는 것을 잊어버리면 안될 듯 합니다.  경영자이든  개발자이든  일반 유저이든 윤리의식을 가지고  행동해야 할 것 같습니다.  고민할 문제가 아닌  당연히 지켜야할 의무요 사명이라고 생각하게끔  되어야 할 듯합니다.  

   그리고 기업들도 이젠 고객정보 관리에 책임감을 갖고  충분한 예산을 투자해서 고객에 대한 도리를 지켜야 한다고 생각합니다.  그것이 기업이  고객에게 지켜야할 윤리라고 생각되어 집니다. 최근 여러가지  정보유출에 대한 소송들이 진행되고 있습니다.  이번 기회를 통해 기업들의  고객정보에 대한 윤리의식이 제고되길 기대해봅니다.
  
  마지막으로  소송을 진행하고 있는 넥스트로 박진식 변호사의 말을 인용하며 글을 맺고자 합니다.  

   “고객의 정보를 노출된 상태로 5년간이나 방치했다는 것은 분명히 LG텔레콤이 법적인 책임을 져야 하는 상황입니다.  ….   법원은 정보를 유출될 수 있는 상황에 놓이게 한 자체만으로도 고객들에게 배상을 판결하고 있다. ….  이번 사건을 통해 대기업들이 얼마나 보안의식이 없고 가입자 유치에만 힘썼을 뿐 소중한 고객의 정보를 엄격하게 보호해야겠다는 의지가 전혀 없었다는 것을 알 수 있었다. ….  사회적 경종을 울리기 위해서라도 반드시 집단소송을 진행해 LG텔레콤이 잘못한 부분에 대해 법적 책임을 묻겠다”

PC관리 못하면 내 계좌의 돈이 불법인출될수있다

▶ 사건발생:  국민은행 인터넷 뱅킹, 바이러스에 의해 뚫리다.
KBS뉴스 보도에 따르면 국민은행의 인터넷 뱅킹 이용자들이 해킹피해를 입어서  7천만원을 불법인출 당했다고 합니다. 
http://news.kbs.co.kr/article/economic/200802/20080224/1515188.html

지금까지 개인의 금융정보가 유출된 것으로 확인된 피해자는 12명이고 , 이 가운데 4명의 인터넷 뱅킹 계좌에서 모두 7천만 원이 인출된 것으로 파악되었습니다.  해킹피해자중 한명인 배두열씨는 하루아침에  1,700만원이라는 돈이 통장에서 불법인출된것을 발견하였습니다.  경찰에 바로 신고했지만 수십군데의 대포통장으로 불법인출된 돈은 이미 사라진 뒤였습니다.

  인터넷 포털 사이트를 통해 바이러스를 퍼뜨린 해커가 보안카드의 정보를 모아 조직적인 예금 인출을 시도하고 있는 것으로 보고 있습니다.  중국에 있는 IP 주소의 해킹 용의자들은 멀드롭 형태의 바이러스에 감염된 국내 PC의 정보를 외국에 있는 서버로 자동 전송시키는 방법으로 예금 인출에 필요한 정보를 얻어왔던 것으로 전해졌습니다.

▶ 멀드롭 형태의 바이러스 기승
  멀드롭(Trojan.MulDrop.80):  이 바이러스에  감염되면 원격제어 도구(RAT)의 한 종류인 해킹 프로그램 서버가 사용자 PC에 설치되고, IP주소, 컴퓨터 이름 등이 제작자 이메일로 전송됩니다.  악성코드를 제작한 해커는 실행중인 프로세스나 프로그램 관리, 화면 캡처 등을 마음대로 할 수 있고  감염된 시스템을 완벽히 장악하게 됩니다.  심지어 키보드 해킹기능(키로깅)을 통해 이용자가 키보드에 입력하는 주민등록번호나 게임 아이디, 비밀번호 등의 개인정보도 몰래 빼갈 수 있습니다.

 이런 바이러스들은 인터넷 게시판, P2P 프로그램을 통해 정상 파일로 가장해 배포되거나 제작자가 직접 이메일을 보내는 형식으로 전파되고 있는것으로 보입니다.

▶ 어떻게 해야 안전해 질까요?
 인터넷뱅킹의 경우  접속시 해킹소프트웨어를 검사하기도하고 사이트에 따라서는 OTP까지 사용하여 인증의 수준을 높이고는 있지만  여전히 취약점은 존재하고 이번 국민은행 인터넷뱅킹 사고같은 일이 일어나게 됩니다.  사실 국민은행만의 문제는 아니라고 보여집니다.  다른 은행도 얼마든지 겪을수있는 사고라고 할수있다는 사건의 심각성이 있습니다. 

비지니스뿐 아니라 일상의 사회생활들이  IT에 점점 의존해가는 이 시점에 있어서  보안은 더이상 다른 사람의 일은 아닌듯합니다. 컴퓨터앞에 앉아있는 모든 사람이 각자가 책임감을 가지고 자신의 정보를 지키지 않으면  안되는 세상이 코앞에 다가와 있는 것입니다.  많이들 경험하듯 백신이 결코 바이러스를 다 막아줄수 없다는 것이 이미 기정 사실화 된 지금.. 

이젠 컴퓨터 자원의 변화관리를 해야 할것 같습니다. 인터넷을 할때 어떤 프로그램이 설치되고 있는지 분명히 알필요가 있습니다. 아무 생각없이 무심결에 OK를 클릭하고 있는 당신은 분명 해커의 좋은 먹이감일것 입니다.  회사 PC이든  가정에서 사용하는 개인 PC이든  정말 잘 관리해야 할듯 합니다.

▶ 안전해지기 위한 습관
1. 불필요한 인터넷 사이트를 최대한 가지 않는다.
   (인터넷사이트에 접속만 해도 바이러스에 걸리게 되는 경우도 있습니다.)
2. 항상 보안패치를 최신으로 유지합니다. (특히 인터넷 브라우저는 최신 버전)
3. ActiveX설치를 요구할때 메시지를 잘 확인합니다.  일단 No하세요.. 
    정말 꼭 필요한게 아니면 설치하지 마세요.. 불필요하거나 해로운 것도 많습니다.
4. 일반 인터넷 사이트 서핑할때는 파이어폭스를 사용하는것을 추천합니다.
   파이어폭스라고 안전한 것은 아니지만 ActiveX의 피해로부터 조금은 자유롭죠.. ^^
5. 백신소프트웨어는 최신패턴 유지하고 실시간 감시기능을 꼭 사용해야합니다.
6. P2P사용시 특히 주의해야 합니다. (많은 바이러스가 숨어있죠..) 
    자료 다운로드후 반드시 스캐닝하는 것을 권합니다.
7. TCPview같은 패킷뷰어를 사용할 것을 권합니다.
    백도어가 설치될 경우 인터넷상의 특정 사이트로 접속하는 것을 볼수있습니다.
8.  레지스트리 감시프로그램의 사용을 권합니다.
     레지스트리의 변화가 있을 때 alert을 주는 프로그램은 많은 도움이 됩니다.
9. 평소에 작업관리자를 봐두세요..  어떤 작업(서비스)들이 있는지 파악해두면
     바이러스 발생시 쉽게 정체를 파악할 수있습니다.