사용자 보안의식이 정말 문제일까요?

  최근 낮은 사용자 보안의식이 문제라는 기사들이 많이 보이더군요. 10여전 전부터 항상 사고가 발생하면 이런 기사들이 많이 나오더라구요. 사용자 보안의식이 정말 문제일까 생각해보았습니다.

  사용자 보안의식을 높이기 힘든 이유는 무엇일까요? 많은 보안사고들이 발생하고 있지만 정작 기업의 업무현장에선 보안이란 ‘남의 일’이 되고맙니다. 직원들의 보안의식이 부족하다고 말을 많이 하지만 정작 직원입장에선 철저히 성과에 의해 평가받고 있기 때문에 일을 신속하게 처리해서 외적 성과를 내는 것만이 중요하게 인식됩니다. 대부분의 기업에 있어서 보안은 성과지표에 거의 영향을 미치지 않는다고 봐야합니다.

  사용자 보안의식이 부족하다며 책임을 직원에 전가하기 보다는.. 경영자가 기업내 조직원들이 보안에 자발적으로 참여할 수 있도록 보안준수에 대한 성과지표를 제시하고 반영하는 것이 효과적인 지식정보보호가 가능해지는 지름길이란 생각이 듭니다. 물론 쉬운 일은 아니겠지만 ‘보안을 중요하다고 생각해라’라고 주입식으로 교육하는 것보다 ‘보안이 직원에게 의미가 있다’라는 것이 느껴질 수 있는 기반을 다지는 것이 더 중요하다는 생각이 듭니다.

개인정보보호 5대 체크리스트 (안철수연구소에서 제안하는…)

 

원문:    http://blog.ahnlab.com/ahnlab/1320

안철수연구소의 블로그에서 제안하는 개인정보보호 5대 체크리스트를 소개합니다.

개인정보보호 5대 체크리스트 

1.  동일한 사용자 계정과 패스워드를 여러 사이트에서 이용하지 말 것 

동일한 계정을 여러 인터넷 사이트에서 사용하는 것은 피하는 것이 좋다동일한 계정을 사용하는 개인을 추적해 사생활을 까발리는 ‘신상털기’는 이미 ‘개*녀’ 사건 등으로 널리 알려진 바다아이디만 해도 그런 위험이 있을진대 패스워드까지 동일하다면 그 위험은 말할 나위가 없다또한 어떤 패스워드든지 최소 6개월에 한 번 바꿔주는 것은 기본이 되겠다 
  문제는 다양한 계정과 패스워드를 기억할 수 없다는 것입니다.  ^^  사람의 기억력에 한계가 있다는 것이지요..  다양한 계정을 사용하는 상황에서  패스워드를 변경했는데  기억이 나지 않는다면…  ㅋㅋ  패스워드 변경후에  기억이 나지않아서 곤혹스러워했던 경험들이 한번쯤을 있으시죠?  또 어렵다고 해서 적어 놓거나 하면  또 다른 위험이 발생할 수 도 있구요..  그래서  중요도에 따라  계정을 다르게 사용하는것이 현실적입니다. 자신만 아는 계정 사용규칙을 개발해보세요  ^^

2. 패스워드는 영문소문자대문자숫자특수문자 등을 조합하여 8자리 이상으로 설정할 것 
해킹을 막기 위한 성공요소는 ‘해커를 얼마나 짜증나게 하느냐에 달려있다’라는 말도 있다
패스워드를 설정할 때는 8자리 이상으로 설정하는 습관을 들이자
     패스워드를 길고 복잡하게 사용하는 것은 가장 간편하면서도 효과가 좋은 보안대책입니다.  패스워드(password)보다 패스구문(passphrase)을 사용하시면 매우 효과적입니다. 재미있는 사투리 문장을 passphrase로 사용하면  나는 쉽게 입력이 가능하지만 해커입장에서는 난공불락의 복잡한 패스워드가 되는 것이지요…
  

3. 법적인 절차를 따르는 경우를 제외하고는 개인정보를 제공하지 말 것 
정통망법 22조는 정보통신서비스 제공자가 이용자로부터 개인정보를 수집할 때 다음 3가지 
사항에 대해 별도 동의를 받도록 규정하고 있다‘개인정보보호법’은 기존 사항에 더하여
 
‘이용자의 거부권에 대한 명시’가 추가되어 있다.

[1] 개인정보의 수집ㆍ이용 목적
[2] 
수집하는 개인정보의 항목
[3] 
개인정보의 보유ㆍ이용 기간 

온라인 사이트에서 경품이벤트 등을 할 때 회원이 아닌데도 경품 배송 시 연락처가 필요하다는 
이유로 동의절차 없이 개인정보 입력을 요구하는 경우를 보곤 한다이런 경우엔 불법수집이므로
 
응하지 않는 것이 바람직하다표현 그대로 ‘법적 절차가 있는 경우’를 제외하고는 개인정보를 제공하지 않는 것이 최선인 것이다.

 

4. 개인정보를 제공할 때는 내가 필요한 목적 하에서 최소한의 정보만 제공할 것 
정통망법 제23조는 서비스제공을 위하여 필요한 최소한의 정보를 수집하여야 하며 필요한 최소한의 정보 외의 개인정보를 제공하지 아니한다는 이유로 그 서비스의 제공을 거부하여서는 아니 된다.’라고 밝히고 있다필수항목만 입력하고 웬만하면 선택항목은 넣지 말자만약 선택항목과 필수항목의 구분을 해놓지 않았거나 선택항목을 입력하지 않았다고 서비스 제공을 거부한다면 그 업체는 법을 위반한 것이니 당당하게 권리를 요구하자.

 

5. 개인용 정보기기에 대해 적극적으로 보호할 것 
집에 있는 컴퓨터나 노트북스마트폰 등 개인기기에 저장한 정보의 보안은 본인이 책임져야 할 부분이다. PC에 백신을 설치하고 중요한 자료는 패스워드를 걸어서 보관하는 정도는 꼭 지켜주자분실의 우려가 높은 스마트폰이라면 더욱 신경 쓸 필요가 있겠다귀찮더라도 패스워드를 설정하여 사용하고 스마트폰에 다운받아 사용한 정보(문서메일 등)는 최대한 빨리 삭제하는 편이 안전하다.


스마트 모바일 시큐리티 종합계획 비전 및 목표(방통위)

방통위에서 발표한 “스마트 모바일 시큐리티 종합계획 비전 및 목표”를 소개합니다. 방통위는 스마트폰 정보보호위협에 대비하여 국가차원의 전략수립을 준비해왔었지요. 종합계획수립을 위해서 ‘모바일시큐리티포럼’, ‘인터넷 정보보호 협의회’ 와 협업하였고 스마트 모바일 시큐리티 종합계획’을 마련을 위해 전담반 구성·운영, 전문가그룹 자문, 모바일 보안업계 CEO 간담회(2010.12)등을 개최했었습니다.

3대 목표
– 미래 모바일 단말·서비스 보안품질 향상,
– 모바일 이용자 프라이버시 보호 확립,
– 모바일정보보호 기반 조성

10대 중점과제
– 서비스·인프라보호 영역
(1) 신규모바일 등 신규기기 보안강화 (스마트폰,스마트패드)
(2) 무선네트워크 안정성확보
(3) 신규모바일 서비스, 콘텐츠 보호 (모바일오피스,SNS,클라우드,스마트TV, 모바일뱅킹등 신규 서비스 보호

– 이용자 보호
(4) 모바일 서비스의 개인정보보호 고도화
(5) 스팸최소화 및 신종스팸 규제
(6) 유해정보, 유통방지 체계 마련

– 보호기반 확충 분야
(7) 모바일 보안기술 연구개발 확대
(8) 모바일 보안시장 생태계 조성
(9) 모바일 시큐리티 협력체계 구축 및 인식제고
(10) 모바일 보안법제 정비

보안의 온도차이를 없애라…

   시큐리티 월드 2010년 12월에 기고한 글입니다.   지난달에 원고를 제출했는데  오늘 한부 배송되어 왔네요..  ^^    생각은 많았는데 글을 쓴다는게 쉽지않더군요.  쉽게 쓰고싶었는데  쉽지많은 않더라구요…   부족하지만 제생각을 나누고싶어서 여기도 올려봅니다
 

보안의 온도차이를 없애라

   회사내의 보안정책 및 절차서 들이 잘 정리되어 있고, 갖가지 값비싼 보안시스템이 도입되어 운영되고 있다 하더라도 실제 현장에 이루어지는 보안 수준은 기대에 훨씬 못미치는 경우가 있다. 외형적으로는 보안이 잘 되는 것 같지만 보안의 실효성이 떨어진다면 언제 사고가 날지 불안할 수밖에 없다. 이러한 원인은 경영자와 보안관리자, 직원들이 보안에 대해서 느끼는 온도가 다르기 때문이라고 생각한다. 모든 임직원이 보안에 대해 느끼는 온도가 같다면 어떤 보안시스템을 도입하는 것보다 더 좋은 정보보호 효과를 거둘수 있을 것이다. 보안을 통해 무엇을 하려고 하는지 서로 이해하고 같은 방향을 바라보며, 같은 온도로 느껴야 원하는 결과를 얻을 수 있을 것이고 힘도 덜 들게 된다. 이렇듯 보안의 온도차를 없애는 방법으로 보안관리자가 염두에 두어야 할 몇 가지를 살펴보면 다음과 같다.

    첫째, 보안관리자는 책상에서 보안을 해서는 안된다. 현장의 생 소리에 귀를 기울여야 하는 것이다. 사람들의 핑계라고만 생각하지 말고 뭐가 불편한지 알아보고 어떻게 보안 절차가 이행되고 있는지 살펴봐야 한다. 현장에서 직접 지켜보면 애써 구축해 놓은 보안시스템이 쉽게 허물어져 있는 것을 알 수 있다. 사실 대부분의 보안 솔루션에는 취약점이 있다. 직원들이 설마 이런 것까진 모르겠지 하는 것들도 알고 있다는 사실을 인식해야 한다, 중앙 관제 모니터에 뜬 보안온도와 현장에서 직접 마주치는 보안 온도가 많이 다를 수 있는 것이다. 현장의 보안 온도를 감지하고 직원과 소통하는 것이 매우 중요하다.

   둘째, 보안관리자는 서비스마인드로 무장해야 한다. 사용자를 의심하고 통제하려고 한다는 그 어떤 잠재적인 표현도 해서는 안되고 스스로도 절대로 그런 생각을 해서는 안된다고 본다. “보안은 비즈니스 성공초을 지원하기 위한 것이다”라는 대전제를 잊어서는 안된다. 그래서 보안관리자는 어떤 서비스 부서의 직원보다 친절해야 한다.

   셋째, 보안관리자는 얼리어답터가 되어야 한다. 위험=자산*취약성*위험이라고 한다. 스마트워크를 지원하는 스마트폰이 대중화되고, 클라우드 기반의 각종 서비스들이 등장하고 있는 것과 비례해 새로운 취약성과 위협이 함께 발생하고 있다. 이 때문에 보안관리자에게 새로운 것은 그다지 반갑지 않는 것이라고 할 수 있다. 하지만 보안관리자는 새로운 것에는 눈과 귀가 열려 있어야만 한다. 스마트폰을 사용하지 않고 있는 보안관리자는 빨리 사용하길 권고하고 싶다. 스마트폰을 사용해 보면 변화되는 정보의 흐름을 직접 체감할 수 있게 된다.

   마지막으로 하고 싶은 말은 보안관리자는 돌다리도 두들겨보고 건너야 한다는 것이다. 새로운 기술에만 현혹되어서는 안될 것 같다. “안정성 보장이 보안의 생명”이라는 원칙을 잊어서는 안된다. 새로운 기술과 더 많은 서비스를 제공하려다가 사용자 불편과 서비스장애 또는 정보 유출사고가 초래된다면 잘 항해하던 ‘보안호’가 좌초될 수 있음을 명심해야 한다.

사용자 삽입 이미지

경영진이 관심갖지않는 정보보호정책은 역효과

  래 글은 보안뉴스에 게재된 글의 일부를  소개한 것입니다.  기업에서 어떻게 해야 효과적인 정보보호 정책을 구현할 수있나를 고민하는 분들에게 좋은 내용인 것 같아서    일부를 발췌해서  소개합니다.   자세한  내용은  아래의 원문에서 확인해주시기 바랍니다. 원래는  보안정책에 대한 대담형식으로 되어 있는 글이랍니다.
=================================================================
찰스 우드  (前 뱅크오브어메리카 수석 네트워크 보안 컨설턴트)   <<홈페이지 가기>>
Secureworld Expo keynote 링크 
원문참조: http://www.boannews.com/media/view.asp?idx=17336&kind=18 

▶ 효과적인 정보보호 정책 구현을 위해 필수적인 것 ?

  조직들은 단순히 다른 조직의 정보보안 정책을 모방한 후 조직의 이름만 바꿔 결과 문서를 발표하고는 한다. 이는 보안 정책의 수립 및 공표 여부 확인만을 우선적인 목표를 두고 있는 일부 감사원들은 만족시킬 수는 있을 것이다. 그러나 장기적인 측면에서 이것은 결코 제 역할을 할 수가 없다. 이것은 결국 보안의 겉치레일 뿐, 실제가 아니기 때문이다. 이보다는 공식적인 위험 관리의 일환으로써 규칙적인 위험 사정을 수행해야 한다.
  위험 평가(risk assessment)은 조직이 직면하고 있는 고유의 위험들을 명확히 드러내준다. 이후 이러한 고유의 위험들을 문제의 조직에 효과적인 조건들로 맞춰진 정보보안 정책으로 해결해야만 할 것이다. 나는 지금 조직이 종속된 법률이나 규제 사항에 대한 단순한 반응 이상의 것을 말하고 있는 것이다. 즉, 정보보안에 어떤 일이 벌어지고 있는지에 관해 명백한 그림을 경영진에게 제공해주는 규칙적인(이상적으로는 연간) 프로세스에 관해 말하고 있는 것이다. 위험 평가 리포트에 나타나는 이 명백한 그림을 통해 경영진은 리소스들이 어디로 가야하는지, 어떤 문제에 좀 더 관심을 기울여야 하는지, 어떤 프로젝트가 수립되는지 등에 관해 가장 훌륭한 결정을 내릴 수 있게 될 것이다. 따라서 위험 평가야말로 최적화된 정보보안 정책 작성에 길잡이가 될 수 있다 할 것이다.

▶ 기업의 정보보호에 가장 심각한 위협이 되는 것은 ?

  우리가 직면하고 있는 가장 심각한 위협은 바로 정보보호에 대한 경영진의 인식 부족이다. 경영진과 결정권자로서의 그들의 위치는 종종 위험을 실제적으로 이해하지 못하게 하기 때문에 그들은 정보보호에 충분한 관심과 리소스를 쏟지 않는다. 결과적으로 심각한 문제들이 계속해서 발생하고 이러한 문제들은 현재 취해놓은 대응책들의 결함을 계속해서 강조하게 된다. 정책은 인식의 수준을 높이는 가장 중요한 방법 중 하나다. 정보보호 정책은 모든 직원들이 참여해야하는 인식 프로그램의 요건 사항을 정의할 뿐만 아니라 경영진이 선택한 위험 수준을 명백히 설명한다. 특히 이러한 명백함은 경영진이 처음부터 어느 정도의 위험을 수용하는 것에 대한 찬반양론을 이해하기 위해 시간을 가졌을 경우에만 필연적으로 확보할 수 있다.

▶ 기업 보안 정책과 관련해 경영진의 역할은 ?

  언스트앤영(Ernst & Young)의 연구 결과에 따르면 정책의 명료화와 기타 정보보호 컴플라이언스에 대한 투자는 100%에서 1,000%의 ROI(return on investment)를 가져오는 것으로 나타났다. 낭비할만한 자금의 여유가 없는 요즘, 기업의 정보보호 정책 구축은 정보보호 비용 감소 등 많은 이익을 가져온다.  그러나 최고 경영진은 너무 바쁘기 때문에 정보보안 정책을 작성하기 어렵다. 경영진의 역할은 적합하게 훈련되고 자격을 갖춘 사람들이 이러한 문제를 처리하고 있는지 확인하는 것이다. 이어 이들의 작업에 대한 지원 또한 최고 경영진들의 몫이다. 정보 자산을 포함한 자산을 보호하는 책임은 궁극적으로 최고 경영진의 몫이다. 그러나 수많은 기업들이 아직까지 정보보호와 관련해 최고 경영진이 무엇을 해야 하는지 파악하지 못하고 있다.

▶ 안전한 정책(Sound policy)의 기본은 ?

  좋은 시스템 설계의 가장 기본적인 측면들 중 하나는 요건 사항을 분명히 하는 것이다. 정보보호 정책과 관련해 오늘날 많은 업체들은 여전히 그들이 무엇을 하고 있어야만 하는지에 대해 뚜렷하게 알지 못하고 있다. 또한 무엇을 하고 있어야만 하는지 모르는 것과 마찬가지로 자신의 조직을 적절히 보호하지 못하는 시스템을 만든다. 이 외에도 감사와 컴플라이언스 체크 등과 같은 기본들도 잘 지켜지지 않고 있다. 또한 경영진이 강요하지 않는, 또는 관심을 기울이지 않는 정책은 오히려 역효과를 가져온다.

▶ 정보보호 정책이 실제 조직에 적용되는데 있어 가장 큰 어려움은?

  개인적인 생각도 그렇지만 여러 조사의 결과들에 따르면 필요한 것을 하기 위해 충분한 투자를 하는 것이 가장 어려운 점으로 드러났다. 특히 현재의 경제적 어려움이 이 분야를 더욱 악화시키고 있다. 경기 침체 상황이라고 해서 인터넷상의 맬웨어 프로그램이 감소한다거나 인터넷 기반 신용카드 사기에 관련된 범죄 조직의 활동 등이 감소하는 것은 아니다.

▶ 한국 기업 내에는 아직 기업의 정보보호 정책에 대한 제언

  무언가를 얻으려면 다른 것을 포기해야만 한다. 만일 세계 최대 금융 업체들 중 하나의 증권거래인이 되고 싶다면, 그것을 직업으로 삼고 싶다면 마지못해서라도 어느 정도의 감시를 수용하게 될 것이다. 이러한 감시는 온당한 것이다. 특권과 권한에는 대가가 있기 마련이며 감시와 어느 정도의 프라이버시 침해가 바로 그러한 대가인 것이다. 보안과 프라이버시는 때로는 상충되기도 하고 때로는 조화를 이루기도 한다. 이러한 점을 비롯해 여러 가지 충돌을 해결하고 적절한 균형을 잡아 특정한 조직의 요구(need)를 고유의 방법으로 반영하는 것이 바로 CISO(chief information security officer : 정보보안 담당이사)의 역할이다.

[행안부 전자책] 안전하고 건전한 정보보호 생활가이드

   보호나라에 들어가 보았더니   보안교육에 유용한 전자책이 있더군요…  행정안전부에서 제작해서  게시해두었더군요..   

전자책 보기  http://www.boho.or.kr/etc/library/ebook001/viewer.html

쉽게 만들어져 있으며  만화까지 곁들여져 있어서 보안 교육자료로 쓰시기에 매우 유용할 듯합니다.
페이지 상단의  프린트 버튼을 누르시면  해당 페이지를 출력할수 있게 만들어져 있더군요..
부분적으로 사내에 게시판에  교육용으로 부착해두셔도 매우 좋을 것 같습니다.
사용자 삽입 이미지
사용자 삽입 이미지

포스코, “정보보호 실천 10대 수칙 지키자!” 운동

원문: * http://www.boannews.com/media/view.asp?idx=13780&kind=0
        * http://www.boannews.com/media/view.asp?idx=13796&kind=0

▶ 포스코의 “정보보호실천 10대수칙” 강조 활동
    포스코 정보기획실은  노경협의회와 함께 직원들에 대한 정보보안 활동의 일환으로 “정보보호 실천 10대 수칙”이 인쇄된 마우스 패드를 나눠주는 활동을 전개했습니다.   사진은 14일 포스코 포항 본사에서 이인봉 정보기획실장(왼쪽) 및 노경협의회 백인규 대표(오른쪽)가 출근하는 직원들에게 ‘정보보호 실천 10대 수칙’이 인쇄된 마우스 패드를 나눠주고 있는 장면입니다.
사용자 삽입 이미지
▶ 포스코의 정보보안 노력
  포스코는 국가 기간산업을 대표하는 포스코의 핵심기술에 대한 정보유출시도를 효과적으로 차단하고, 적극적인 정보보안 활동을 통해 산업기술유출방지 및 보호활동을 전사적으로 전개하고 있습니다.  특히 지난해부터 포항 본사 사옥에 자동개폐식 출입통제 시스템인’스피드게이트’ 설치, 전사 차원의 노트북 반출입 프로세스 개선,  USB·팩스 같은 각종 사무기기 통제를 통한 문서관리 차원의 보안활동을 전개하는 등 한층 강화된 보안서비스를 전사적으로 확대 적용하며,회사의 핵심기술 및 정보유출 방지를 위한 높은 수준의 보안활동을 전개해 오고 있습니다.

▶ 포스코의 “정보보호실천 10대수칙”이란
  포스코에서 정한 정보보호 실천 10대 수칙은 크게 ‘직책 보임자’가 지켜야할 수칙과 ‘일반수칙’ 두가지로 나뉘어 만들어졌습니다.

               일반수칙
사용자 삽입 이미지
               직책보임자 수칙
사용자 삽입 이미지

비지니스 환경의 새로운 위협요소, 스마트폰

  비지니스환경에서의 새로운 중대 보안취약점으로 떠오르게 될 것이 있습니다.  바로 스마트폰의 보안취약성입니다. 

  현재 스마트 폰은 업무환경의 경계를 허물고 어디서든 효율적인 업무를 가능하게 해주는 좋은 툴로서 각광을 받고 있습니다. 스마트폰 사용은 이제 대중화되었다라고 봐도 될것 같습니다. 물론 기업환경에서 스마트폰을 업무에 잘 활용하고 있는 단계라고는 보긴 힘들지만 점차 그렇게되어 가고 있습니다.  현재로서는 스마트폰에 대해선 효율성이 가장 중요하다고 여겨져 있습니다.   하지만 스마트 폰의 보안성에 대해서도 이젠 투자와 대책들이 마련되어져야 합니다.

왜 스마트 폰이 기업에서 보안취약요소가 되는가?

1. 중앙 관리가 되지않는다.
  기업입장에선 가장 관리 안되는 기기가 바로 스마트폰 입니다. 누가 어떤 스마트폰을 사용하는지 관리가 불가능에 가깝습니다.  스마트폰의 취약점을 보완해줄 패치가 지속적으로 나오는것도 아니고 나온다 하더라도 패치를 배포할 방법도 없습니다.  스마트폰을 중앙에서 관리할수있는 방법이 시급히 필요합니다.   일부 폰의 경우  랜이 탑재되지않고 와이브로나 모뎀만 탑재되고 있는데 이것은 비지니스환경에서 중앙관리를 더욱 어렵게 합니다.  PC의 경우처럼  도메인에 등록하여 사용할수있는 환경이 필요합니다.  더욱 MS에 종속적이 될수있어서 좋지않다고 말할수도 있겠으나 기업환경에서의 스마트폰 관리를 생각한다면  가장 빠르고 효율적인  관리대책이 될수있습니다.

2. 중요문서 유출의 통로가 될수있다.
  스마트폰으로도 업무가 가능해진 지금 ,  스마트 폰을 통한 중요문서 유출의 위험이 커지고있습니다.  스마트폰의 저장 용량 또한 점차 고용량화되고 있고  성능또한  PC수준에 점차 접근하고 있습니다. 제가 사용하고 있는 M4650의 경우엔 PC에서나 재생가능했던 고화질 동영상파일을 그대로 재생할수있는 파워를 가지고 있으며 인터넷 또한 풀브라우징이 가능합니다.  블루투스를 통해 PC와 자료를 싱크하는데 대부분의 유출보안 프로그램에서 블루투스를 아직 잘 컨트롤 하고 있지 못한 상황입니다. 스마트폰에 중요문서들을 담아서 유출하는 것을  누가 막을 수가 있겠습니까?  막을수도 없고 알수도 없는 것이 현실입니다.

3. 스마트 폰을 노리는 Malware가 점차 증가하고있다.
  현재 관리가 잘 되지않는 스마트폰이 일단 공격당하게되면 당분간 방어가 어려운 것이 현실입니다. 2005년 이후 이런 악성코드가 꾸준히 증가일로에 있습니다. 특히 대다수 스마트폰의 운영체제를 감염시킬 수 있는 플랫폼 범용 악성코드인 ‘Cardtrp’과 스마트폰용 전화번호부 유틸리티로 가장해 사용자의 다운로드 및 실행을 유도하는 ‘Pbstealer’를 비롯한 새로운 스마트폰용 악성코드가 다양한 변종을 이루며 등장해 보안을 위협하고 있습니다. 또한 최근에는 스마트폰에 저장된 일정에서 중요한 이벤트를 도용하는 스눕웨어(Snoopware)나 프리미엄 SMS를 이용해 불법적인 이익을 얻는 프라임웨어 ‘ Pranking4Profit’과 같은 모바일 스타일의 공격들도 끊이지 않고 있다고 합니다.

4. 분실,도난에 취약하고  이를 통해 중요정보가 노출될 우려가 있습니다.
   스마트폰의 보안은 거의 없다고 봐야 합니다. 분실되면 스마트 폰내의 문서등 중요정보는 쉽게 오용될 수있습니다. 분실도 매우 쉽구요..  암호화도 되지 않는 것이 문제입니다. WM6의 경우 지원한다고는 하지만 아직 잘 사용할수있는 단계는 아닌듯하구요…  기업의 중요 임원의 핸드폰이 분실 혹은 도난을 당했다고 생각해 보세요. 

  스마트 폰을 컨트롤할 방법이 빠른 시일안에 나오지 않는다면  기업에 큰 피해가 미쳐질 가능성이 높다고 보여집니다

.

[방통위] 개인정보 오남용 피해예방 10계명

방송통신위원회와 한국정보보호진흥원에서 개인정보 오남용 피해 예방 10계명을 발표했다고 합니다. 개인정보를 수집하고 관리하는 기업에 대한 정책이나 규재도 함께 발표해준다면 더 좋겠다는 생각이 듭니다.  어쨋든 내 개인정보가 새어 나가면 결국 내 손해니깐..  각 개인들이  개인정보 관리에 만전을 기해야할듯 싶습니다.

10계명에 제가 조금씩 첨언을 해보았습니다.  사족이 될 듯하기도 하지만 제목만 쓰기엔 왠지 부족한듯 해서리…

<개인정보 오남용 피해예방 10계명>

제 1계명. 회원가입을 하거나 개인정보를 제공할 때에는 개인정보취급방침 및 약관을 꼼꼼히 살펴야 한다. (개인정보취급방침이 없는 사이트는 가입하지 않는다.)
 –> 저두 대충 읽고 동의하곤했는데 이젠 꼼꼼히 읽어야 할듯합니다. 개인정보에 관한 약관을 특히 자세히 읽어주세요. 약관이 허술하거나  불공정하다면 절대로 가입하지 않아야 합니다.

제 2계명: 회원가입 시 비밀번호를 타인이 유추하기 어렵도록 영문·숫자 및 특수문자를 조합하여 8자리 이상으로 설정한다.
–> 패스워드는 절대로 복잡하게 만들어야합니다. 문자사이에 스페이스를 넣는 것도 좋은 방법이고  길수록 좋습니다. 패스워드가 아니라 패스문장이 되도록 하면 사용자입장에선 쉽지만 해커입장에선 어렵겠죠?

제 3계명: 가급적 안전성이 높은 주민번호 대체수단(아이핀: i-PIN)으로 회원가입을 하고 꼭 필요하지 않은 개인정보는 입력하지 않는다.
–>음.. 이부분은 글쎄요란 생각이 드네요.. 아이핀은 효과가 있을지…. 이미 전국민의 주민번호가 다 새어나간 상황에서 주민번호를 사용한다는것 자체가 불안합니다.  뭔가 대안이 있어야할듯한데… 말이죠…  쓸데없이 개인정보를 많이 입력하게 하는 사이트엔 절대로 가입하지 마시길 권해드립니다. 개인정보는 꼭 필요한 만큼만 최소한도로 수집되어야 합니다.
–>참고사이트 : http://www.1336.or.kr)

제 4계명: 자신이 가입한 사이트에 타인이 자신인 것처럼 로그인하기 어렵도록 비밀번호를 주기적으로 변경한다.
–> 패스워드를 주기적으로 변경하는것이 좋습니다.  중요한 사이트라면 3개월에 한번씩은 변경하는 것을 권해드립니다.  패스워드도  여러개를 다르게 사용하는 정책을 가지고 계시면 좋을 듯 합니다.   그리고 사이트들에 가입시 중요도 레벨별로 아이디/패스워드를 달리하는것이 좋습니다. 모든 사이트들에 다른 아이디로 가입하는 것은 불가능하므로  등급을 나눠  3-5개정도의 다른 아이디/패스워드를 사용하되  해당사이트가 몇 레벨인지만 기억하면 될듯합니다. 

제 5계명: 타인이 자신의 명의로 신규 회원가입 시 즉각 차단하고 이를 통지받을 수 있도록 명의도용확인서비스를 이용한다. 
–> 어쨋든 대안이  될수 있으니 참고하세요.. 
-크레딧뱅크(
http://www.creditbank.co.kr)
-사이렌24(
http://www.siren24.com)
-마이크레딧(
http://www.mycredit.co.kr

제 6계명: 자신의 아이디와 비밀번호, 주민번호 등 개인정보가 공개되지 않도록 주의하여 관리하며 친구나 다른 사람에게 알려주지 않는다.
–>  어떤 경우에도 자신의 아이디/패스워드/주민번호를 알려주지 마세요. 가족에게도 알려주지 않는 것이 좋다는거…  ^^   어쨋든 그런 정신으로  아이디/패스워드를 관리해야합니다.  모니터에 아이디/패스워드 메모지로 붙여두고 사용하는 몰지각한 사람들도 본적이 있습니다.  PDA에 개인정보등 중요 정보를 보관하는것도 문제가 될수있습니다. PDA는 암호화가 안되거든요..  PC에도 마찬가지이구요..  엑셀도 암호를 걸어서 보관이 가능하므로  중요 정보라면  중요정보에 걸맞게 관리해주시길 바랍니다. 

제 7계명: 인터넷에 올리는 데이터에 개인정보가 포함되지 않도록 하며 P2P로 제공하는 자신의 공유폴더에 개인정보 파일이 저장되지 않도록 주의한다.
–> P2P는 아예 사용하지 않기를 권해드립니다.  혹 사용할시엔  필히 별도의 드라이브에 따로 공유를 지정해서 사용하시되 개인정보 파일이 결코 포함되지않도록 하시는것이 좋습니다. 그런 면에서 USB이동디스크를 공유로 사용하시는것도 좋을듯합니다. 사용하지않을때 쉽게 뺄수도 있구요…  인터넷에  개인정보가 포함된 text를 입력하거나 파일을 올리지 않도록 하시구요… ^^

제 8계명: 금융거래 시 신용카드 번호와 같은 금융정보 등은 암호화하여 저장하고 PC 방 등 개방환경에서는 개인정보를 입력하지 않는다.
–> PC방이나 관공서의 PC에서 금융거래를 하거나 중요한 사이트를 사용하는것은 매우 조심하셔야합니다.  누가 어떤 자료를 보고있는지 확인이 불가능합니다 .PC에 해킹소프트웨어가 설치되어 있을수도 있으며  네트웍단에서 스니핑을 하고 있을수도 있습니다.  PC방의 컴퓨터에 USB를 사용하다 해킹소프트웨어가 묻어 들어올수도 있으므로  주의가 필요합니다.

제 9계명: 인터넷에서 아무 자료나 함부로 다운로드 하지 않는다.
–> 파일을 다운로드 받을시 출처가 확실한 곳에서만 다운로드하시길 바랍니다. 출처가 확실할 경우에도 다운로드후 백신으로 검사하는 것이 꼭 필요합니다.  특히 E-donkey의 경우 별도의 관리자도 없기때문에 무수히 많은 해킹소프트웨어가 존재한다는거… 인지해야합니다.  P2P를 즐겨 쓰시는 분들 대부분이 해킹소프트웨어가  PC에 즐비하다는거…  다들 아시리라 생각합니다. 

제10계명: 개인정보가 유출된 경우 해당 사이트 관리자에게 삭제를 요청하고 처리되지 않는 경우 즉시 개인정보침해신고센터(1336, http://www.1336.or.kr/)에 신고하는 것을 생활화한다.

[옥션사태] 안일한 보안의식이 부른 국가적인 위기

 사실 고객 자료 유출하면  웹해킹부터 생각하곤 했었습니다.  하지만  최근  옥션사태의 경우에는  웹해킹에 의한 자료유출이 아닌  옥션직원들을 대상으로 무작위로 뿌려진 메일상의 악성코드가 관리자PC에 설치된것이 시발이었더군요
관련링크: http://www.boannews.com/media/view.asp?page=&gpage=&idx=9481&search=&find=&kind=13

▶ 유출 경위 
1) 해외 크래커가  ‘fuckkr’이라는 악성코드를  메일로 옥션 직원에게 무작위로 보냄
2) 보안의식이 없는 몇몇 직원이 이를 클릭하여 PC에 해킹툴이 설치됨
3) 키로거에 의해 직원의 아이디와 패스워드를 빼내감 (직원 또는 고객센타)
    이때 관리자의 계정까지 해커에게 노출된 것으로 보임
4) 노출된 관리자계정을 이용하여  고객의 DB를 빼내감

▶ 유출 원인
  웹방화벽을 구축하는데 많은 돈과 노력을 들여왔으리라 생각합니다.    아무리 돈을 들여서 보안시스템을 구축한다고 하더라도  개인의 안일한 보안의식때문에 초래되는 위기를 막을수 없다는 것이 드러났습니다.  직원들의 부주의한 클릭질 한번에 해킹툴이 직원의 PC에 설치되었고  이 해킹툴은 모든 보안노력들을 일거에 무의미한 것으로 만들어 버렸습니다.   보안의식교육이 전방위적으로 이루어 지고   특히  개발자,관리자,기획자들의 보안에서의 Due Care를 정립해야 할 것 같습니다. 관리자가 보안의식을 갖고 제대로 대처했더라면 없었을 사고였습니다.  

▶ 기업의 보안 책임
   성과라는 이름으로 수많은 프로젝트들이 빠르게 진행되고 있고  보안상의 고려사항들이 번번이 무시되고 있습니다.  문제가 생기고 나서야  보안대책을 고려하곤 합니다.    기업에서 보안은 비용으로 느껴지곤 합니다.    비용을 들여도 사고가 일어나지 않는다는 보장을 주지 않는데  왜 해야하느냐고 생각되어지기도 합니다.
  기업의 사회적 책임이 중요해지고 있고 기업들도 차츰 공감하고 있는 요즘 시점에서 볼때 기업이 사회에 져야할 가장 큰 책임 중 하나가 바로  보안의 책임이 아닌가 합니다.  요즘 기업들은 고객의 정보를 너무도 가볍게 수집하고 다루고 있다는 생각을 지울 수 없습니다. 불필요하게 많은 정보를 수집하고,  많은 경우 동의도 제대로 받지않으며  동의없이 제 3자에게 넘기기도 합니다.  이제 기업은  보안의 책임을 다해야 합니다.  기업이 이 의무를 가벼이 할때 어떤 일이 발생하는지 우리는 지금 보고 있습니다.    

▶ 파급 효과
  1000만명의 넘는 회원들의 이름,아이디,주민번호,메일주소,주소,전화번호등이 유출되었고  중국쪽의 사이트에서 판매한다는 글까지 게시되는 초유의 사태가 벌어지고 있습니다.  충격적인 것은  네이버 아이디까지 판매한다고 글이 게시되고 있다는 것입니다.
링크: http://www.boannews.com/media/view.asp?idx=9507&kind=0
  아직 발표가 나지않았지만 그 말이 사실일 경우 그야말로 온 국민의 개인정보가 인터넷에 유출되었다고 할수 있습니다. 사실상 하나의 아이디와 패스워드를 수많은 인터넷 사이트에서 동일하게 사용하는 사람이 대부분이기 때문입니다.  많은 국민들이 매우 불안해 하고 있습니다. 계좌를 바꾸고 전화번호를 바꾸고  비밀번호를 바꾸느라  고단합니다.  IT코리아의 실추된 이름을 분노의 눈길로 바라보고 있습니다.

▶ 국가의 책임 (?)
이젠 기업의 이미지 실추의 차원이 아니라 국가적인 위기 상황이라고 말해야 할 것 같습니다. IT코리아라는 말은 부끄러워서 더 이상 쓸 수 없을 듯 합니다.  이젠 기업차원에서의 대응에 맡길 것이 아니라  국가적인 대책이 필요한 듯 싶습니다.   정통부가 방통위로 통폐합된 지금.  더욱 이 위기 상황이 크게만 느껴집니다.
   모 기사에 인용된  한 회사원의 말을  정부는 잘 들어야 할 것 같습니다.  “정부가 뭐하고 있는지 모르겠다. 세금 걷어서 이런 것들 보호하라고 관련 정부조직 만들고 그런 것 아니냐. 법으로 강하게 규제했다면 기업들이 알아서 보호했을 텐데 기업만 보호하고 고객들의 정보는 소홀히 생각한 관계기관들이 더 반성해야 한다”
관련링크: http://www.boannews.com/media/view.asp?page=&gpage=&idx=9489&search=&find=&kind=13