안철수연구소가 대학생 기자들이 다니고 있는 학교 학생들을 대상으로 보안지수를 진단하였습니다.
보안에 대한 중요성에 대해 인식은 하고 있으나, 실천은 많이 부족한 것 같습니다.
보안이라는 것은 습관이 되어 실천하는 것이 중요한데 말이죠. 이놈의 귀차니즘...

그래도 비밀번호는 @*$# 이런 숫자 포함해서 8자리 이상으로 설정해서 3개월에 한번씩 변경해 주시고, 백신은 반드시 설치해서 항상 최신 버전으로 유지하고 일주일에 한번씩은 정밀검사 돌려보시고, 윈도우 보안 취약점에 대한 패치는 반드시 하셔야 됩니다. 그래야 나의 소중한 정보를 악의무리들에게 빼앗기지 않으니깐요..

보안은.... 습관이다

출처 : 안철수연구소 사보 보안세상 11/12월호
http://sabo.ahnlab.com/200811/ahn_03_03.shtml

설문 문항은 보안 지수를 가늠할 수 있는 문항 10개로 구성했다. 각종 인터넷 이용 시 ID, 패스워드 설정이나 관리, 개인 정보 보안 정책에 대한 고려 여부를 비롯해 악성코드나 해킹에 대한 대책, 데이터 백업과 보안 패치 등에 대한 질문으로 구성했다. 각 질문에 제시된 4개의 답은 보안 지수를 측정할 수 있도록 낮은 단계부터 높은 단계 순서로 배열했다. 1번 답을 고르면 2.5점, 2번이면 5점, 3번이면 7.5점, 4번이면 10점을 매겨 합산이면 100점 만점에서 응답자의 점수가 얼마인지 계산할 수 있게 했다.

조사 대상은 전국 13개 대학교의 남녀 재학생 336명이며, 응답자의 전공은 사회학/경영학/법학 관련 학과가 42.5%로 가장 많았고, 다음으로는 공학 계열이 26.1%, 어문/인문 계열이 19.5%, 자연과학/의학/수학 계열이 5.4%, 기타가 6.6%였다. 또한 응답자의 93.4%가 7년 이상 컴퓨터를 사용한 것으로 나타났다.

조사 결과 최하 점수는 30점, 최고 점수는 67.5점, 평균 점수는 46.6점으로 나타났으며, 평균 점수의 전공 별 차이는 거의 드러나지 않았다. 공학 계열 전공자의 평균 점수가 48.1점으로 가장 높았으나, 사회학/경영학/법학 계열 전공자의 평균 점수인 46.6점과 큰 차이가 없었고, 어문/인문 계열이 45.6점, 자연과학/의학/수학 계열은 44.2점이었다.

 

각 항목별 평점
 

10개 항목 중에서는 인터넷 사이트에 회원 가입할 때 패스워드 설정에 대한 인식이 10점 만점에 평점 6.1로 가장 높았고, 파일 전송이나 다운로드 후의 백신 검사에 대한 인식이 평점 3.9로 가장 낮게 나왔다.

인터넷 패스워드 설정에 가장 민감

항목별 응답 현황을 보면 우선 ‘각종 인터넷 사이트에 회원 가입할 때 패스워드 설정을 어떻게 하고 있습니까?’라는 질문에는 60.7%가 ‘영문, 숫자, 특수 문자를 조합하여 사용한다’고 답했고, ‘이 방법으로 암호를 사용하며 주기적으로 변경한다’는 답도 21.7%에 달해 비교적 보안 지수가 높게 나왔다.



‘인터넷 상에서 회원가입 등을 위해 개인정보를 입력할 때, 해당 사이트의 보안 정책을 어느 정도 고려하십니까?’라는 질문에는 ‘중요성은 알고 있지만, 꼭 필요한 경우에는 보안정책에 상관없이 개인정보를 입력한다’가 67.6%로 압도적으로 높은 비율을 차지했고, ‘개인정보 유출에 대해 크게 신경 쓰지 않는다’가 19.94%로 그 뒤를 이었다. 보안정책 등을 자세히 확인해본다는 답변이 약 12%에 불과해 대학생 대다수가 보안 정책을 고려하지 않는 것으로 나타났다.

‘인터넷이나 통신망에서 사용되는 아이디 및 패스워드를 다른 사람에게 알려주는 것을 어떻게 생각하십니까?’라는 질문에는 ‘꼭 필요한 경우에만 알려주고, 필요성이 소멸되면 패스워드를 변경한다.’가 52.1%로 가장 많았고, ‘친한 사이인 경우에는 알려주어도 상관 없다.’가 25%로 그 뒤를 이었다. ‘아무에게나 알려주어도 된다.’도 4.5%나 되었다.

파일 다운로드 후의 백신 검사에 대한 인식 가장 낮아

또한 ‘인터넷에서 프로그램을 다운로드할 경우, 어떤 점을 고려하십니까?’라는 질문에는 ‘인지도가 높고 안전하다고 생각되는 사이트에서 필요한 프로그램을 다운로드한다’라는 답변이 57.4%, 과반수가 프로그램을 다운로드할 경우 안전한 사이트를 찾는 것으로 나타났다. 한편 ‘필요한 프로그램은 무조건 다운로드해서 사용한다’가 27.7%로 적지 않은 비중을 차지했다.

‘바이러스나 스파이웨어의 감염을 방지하기 위해 어떤 방법을 사용하고 있습니까?’라는 질문에는 63.1%가 ‘무료 백신 프로그램을 설치하고 정기적인 검사를 한다.’라고 답해 무료 백신 사용률이 높은 것으로 나타났다.

‘파일 전송이나 다운로드 등의 작업 후 백신으로 바이러스 감염 여부를 점검하십니까?’라는 질문에는 ‘점검하지 않는다’가 41.4%로 가장 높았고, ‘필요성은 인식하고 있으나, 백신의 사용법을 모른다’는 답변이 25.6% 뒤를 이었다. 이처럼 대학생들은 인터넷에서 필요한 많은 파일을 다운로드하고 있음에도 그것에 대한 점검은 하지 않는 것으로 나타났다.

‘PC에 대한 해킹 사고를 방지하기 위해 어떤 방법을 사용하고 있습니까?’에 대한 답변은 ‘필요성은 알고 있지만, 방법을 모른다’가 47.1%가 가장 많았고, ‘무료 백신 중 PC 방화벽 기능이 있는 것을 골라서 사용 한다’와 ‘무료 PC 방화벽을 설치해 사용 한다’가 각각 27.1%, 23.5%로 나타났다.

백업, 보안 패치 인식 저조

‘중요한 데이터의 경우 백업을 해서 별도로 보관하고 있습니까?’라는 질문에는 ‘하지 않고 있다.’가 46.1였으며, ‘필요한 경우에만 백업을 한다.’가 근소한 차이로 뒤를 이었다.

‘MS 윈도우 보안 패치가 발표되면 어떻게 조치하십니까?’에는 비교적 고른 분포를 보였다. ‘보안 패치가 무엇인지 모른다.’가 36.6%로 가장 많았고, ‘PC에 문제가 있다고 느낄 때 보안 패치를 설치한다.’가 24.7%, ‘보안 패치가 무엇인지 알고는 있으나 설치해본 적은 없다.’가 22.9%로 뒤를 이었다.

마지막으로 ‘포털이나 뉴스 사이트, 카페 등 웹에 접속만 해도 악성코드에 감염되는 일이 많습니다. 이에 어떻게 대비하십니까?’라는 질문에 43.5%가 ‘피해를 당할까 봐 조심하고 있지만 특별한 대책은 없다’고 답했다. 22.9%가 ‘감염된 후 백신으로 치료하면 된다고 생각한다’, 18.15%가 ‘위험하다는 것을 알지만 내가 피해자가 되리라고는 생각하지 않는다’ 등으로 비슷한 비중을 보였다.

이처럼 국내 대학생들은 각 보안 대책의 필요성은 인식하고 있지만 실제 실천하는 데는 미온적인 것으로 나타났다.

56.3%가 보안 업체로 안철수연구소 꼽아

한편, 대학생들의 하루 인터넷 이용 시간은 1~2시간(42.9%), 3~4시간(32.4%)이 대부분이었다. 인터넷을 사용하는 주된 용도는 ‘뉴스나 자료 검색’이 44.9%로 압도적으로 높은 비율을 나타냈다. 이어서 ‘미니홈피나 블로그’ 관리‘가 23.5%로 나와 인터넷으로 자신을 알리고 의사소통하는 대학생들이 많은 것으로 나타났다. 뒤를 이은 답은 카페/커뮤니티(9.5%), 영화/음악 감상(7.1%), 게임(5.7%), 이메일(4.8%), 채팅(1.2%) 순이었다.

또한 ‘컴퓨터(정보) 보안 업체로 어떤 업체를 알고 있습니까? 떠오르는 순서대로 3개만 적어주십시오.’라는 질문에 56.3%가 안철수연구소를 꼽았고, 무응답이 28.6%로 뒤를 이었다. 대학생들은 컴퓨터 보안 업체로 거의 절반 이상이 안철수연구소를 알고 있었고 그 외에는 컴퓨터 보안 회사에 대해 잘 알지 못하는 것으로 나타났다.
'컴퓨터 백신 프로그램이라고 하면 어떤 제품이 가장 먼저 생각나십니까? 떠오르는 순서대로 3개만 적어주십시오.'라는 질문에는 ‘V3’가 48.8%로 가장 많았고, ‘안철수연구소’도 6.3%로 나왔다.

이번 설문조사를 통해 ‘대학생의 보안 의식 지수’를 알아본 결과 대다수의 대학생들이 컴퓨터 보안에 대해 무관심한 것으로 나타났다. 우리의 컴퓨터는 각종 바이러스, 악성코드에 노출돼 있다. 인터넷에서 어떤 사이트에 가입할 때, 보안 정책을 꼼꼼히 읽어 보고, 각종 사이트에서 자료를 다운로드할 때도 다시 한번 확인한다면 우리의 컴퓨터를 각종 위협으로부터 보호할 수 있지 않을까. 컴퓨터를 이용해 많은 편리함을 느끼는 만큼 보안에도 좀더 신경 써야 할 때이다.

 

각 질문에 답이 1번이면 2.5점, 2번이면 5점, 3번이면 7.5점, 4번이면 10점을 매겨 합산이면 100점 만점에 본인의 점수가 나온다. 이를 통해 자신의 보안 지수를 확인할 수 있다.

1. 각종 인터넷 사이트에 회원 가입할 때 패스워드 설정을 어떻게 하고 있습니까?
1) 주민등록번호나 생일, 전화번호 등을 사용한다.
2) 단순한 영문이나 숫자를 사용한다. (예 : 1234, abcde)
3) 영문, 숫자, 특수 문자를 조합하여 사용한다. (예: we#673, %aeid&3)
4) 위의 방법으로 암호를 사용하며, 주기적으로 변경한다.

2. 인터넷 상에서 회원가입 등을 위해 개인정보를 입력할 때, 해당 사이트의 보안 정책을 어느 정도 고려하십니까?
1) 개인정보 유출에 대해 크게 신경 쓰지 않는다.
2) 중요성은 알고 있지만, 꼭 필요한 경우에는 보안정책에 상관없이 개인정보를 입력한다.
3) 보안 정책이나 약관, 개인정보보호정책 등을 자세히 읽어본다.
4) 개인정보를 보호할 수 있는 기술(암호화 통신 등)이 제공되는지 확인한다.

3. 인터넷이나 통신망에서 사용되는 아이디 및 패스워드를 다른 사람에게 알려주는 것을 어떻게 생각하십니까?
1) 아무에게나 알려주어도 된다.
2) 친한 사이인 경우에는 알려주어도 상관 없다.
3) 꼭 필요한 경우에만 알려주고, 필요성이 소멸되면 패스워드를 변경한다.
4) 절대로 알려주면 안 된다.

4. 인터넷에서 프로그램을 다운로드할 경우, 어떤 점을 고려하십니까?
1) 필요한 프로그램은 무조건 다운로드해서 사용한다.
2) 인지도가 높고 안전하다고 생각되는 사이트에서 필요한 프로그램을 다운로드한다.
3) 프로그램의 특성과 사용약관을 자세히 읽어보고 다운로드한다.
4) 프로그램의 특성과 사용약관을 자세히 읽어보고 다운로드하며, 해킹 방지 툴, 백신도 사용하고 있다.

5. 바이러스나 스파이웨어의 감염을 방지하기 위해 어떤 방법을 사용하고 있습니까?
1) 백신 프로그램을 사용하지 않는다.
2) 무료 백신 프로그램을 설치하고 정기적인 검사를 한다.
3) 유료 백신 프로그램을 설치하고 정기적인 검사를 한다.
4) 백신 프로그램을 설치하여 실시간 감시 기능을 사용하며, 수시로 업데이트하여 바이러스를 검사한다.

6. 파일 전송이나 다운로드 등의 작업 후 백신으로 바이러스 감염 여부를 점검하십니까?
1) 점검하지 않는다.
2) 필요성은 인식하고 있으나, 백신의 사용법을 모른다.
3) 백신을 이용해서 해당 파일을 검사한다.
4) 백신을 이용해서 해당 파일을 검사하며, 실시간 감시 기능을 항상 실행해 둔다.

7. PC에 대한 해킹 사고를 방지하기 위해 어떤 방법을 사용하고 있습니까?
1) 필요성은 알고 있지만, 방법을 모른다.
2) 무료 백신 중 PC 방화벽 기능이 있는 것을 골라서 사용한다.
3) 무료 PC 방화벽을 설치해 사용한다.
4) 방화벽 등 다양한 기능을 제공하는 유료 백신을 사용한다.

8. 중요한 데이터의 경우 백업을 해서 별도로 보관하고 있습니까?
1) 하지 않고 있다.
2) 필요한 경우에만 백업을 한다.
3) 정기적으로 중요 데이터를 백업한다.
4) 특정 백신에서 제공하는 온라인 백업 기능을 사용한다.

9. MS 윈도우 보안 패치가 발표되면 어떻게 조치하십니까?
1) 보안 패치가 무엇인지 모른다.
2) 보안 패치가 무엇인지 알고는 있으나 설치해본 적은 없다.
3) PC에 문제가 있다고 느낄 때보안 패치를 설치한다.
4) 보안 패치가 발표될 때마다 바로 설치한다.

10. 포털이나 뉴스 사이트, 카페 등 웹에 접속만 해도 악성코드에 감염되는 일이 많습니다. 이에 어떻게 대비하십니까?
1) 위험하다는 것을 알지만 내가 피해자가 되리라고는 생각하지 않는다.
2) 피해를 당할까 봐 조심하고 있지만 특별히 대책은 없다.
3) 감염된 후 백신으로 치료하면 된다고 생각한다.
4) 백신을 사용하며, 위험 사이트 차단 서비스도 설치해 사용한다.

 
Posted by 멋나미

댓글을 달아 주세요

연말이라 그런지 동네 슈퍼에서 3000원 이상 구매고객을 대상으로 경품 이벤트를 하고 있습니다.

1등이 순금돼지 30돈, 2등은 지펠냉장고, 3등은 삼성센스 노트북 등 솔깃솔깃한 경품들이 가득합니다. 보안의식이 투철한 멋나미, 이런 이벤트들은 개인정보를 획득해서 스팸문자나 DM 발송에 사용되는 것을 잘 알기 때문에 그냥 흘겼습니다.

그런데 집에 도착해서 책상위에보니 '삼성센스 노트북'이라는 것이 눈에 들어옵니다. 원래 저는 이런 이벤트 당첨확률 제로이기 때문에 기대는 하지 않고 이들이 어떻게 개인정보를 수집하고 있는지 확인해 보고 싶어 사이트를 들어가 보게 되었습니다.

오오.... 응모사이트도 선물조아닷컴이네요.. 이런건 분명히, 수상한 사이트일 것 같다는 직감이 들죠..

그러나,

사용자 삽입 이미지

신한생명에서 하는 이벤트입니다.
대기업에서 하는 것이라 설마~~ 개인정보를 요구할까 하며 행운번호를 입력해 보았습니다.

역시나 이름, 주민등록번호, 전화번호, 집주소, 이메일을 입력하라는 페이지가 뜹니다.

사용자 삽입 이미지

위 페이지를 자세히 살펴보니, 개인정보 입력 이외에 아래와 같은 글이 함께 게시되어 있습니다.  응모한 정보는 전화, 이메일, SMS를 이용한 신한생명 보험상품 안내 및 메리츠화재보험상품 안내 등의 마케팅 자료로 무려 5년간 ... 뜨아... 활용될 수 있습니다 라고 친절하게 안내되어 있습니다.


사용자 삽입 이미지

그리고 개인정보보호는 정책에 의거해 철저하게 보호된다고 해서, 지침을 살펴보았습니다.
내용이 길어서, 보실 분들은 아래를 클릭하시고..,.  대략 내용은 위에 써 있는 내용과 비슷하지만 헷갈리는 것은
신한생명에서 이것을 활용하는데 위에는 5년이라고 되어있지만, "개인정보 제공 및 활용에 동의한 날로부터 1년간"이라도 명시되어 있습니다.




이벤트에 응모하게되면 무조건 동의 하던지 동의하지 않던지 5년간 신한생명이나 메리츠화재의 상품안내 메일, SMS를 받게 되는것인지, 아님 동의를 하지 않으면 이런 광고성 메일을 수신하지 않는지.... 암튼, 동의하지 않기로 해서 응모를 했습니다. 물론, 당첨되지도 않았습니다.

올해 대기업 등지에서 개인정보 유출 사고에 대해 그 어느때보다 이슈가 많았던 게 사실입니다. 개인정보가 유출된 사람들은 집단소송 등을 통해 피해보상을 받으려고 한다는 뉴스도 자주 접하게 됩니다. 비단 개인정보 유출은 웹사이트를 운영하는 기업들의 잘못으로 유출될 수도 있지만, 이렇게 우리가 무심결에 아무 생각없이, 경품에 현혹되어 주민번호, 주소, 이메일, 휴대폰 번호를 고스란히 넘겨준다는 것입니다. 특히나 슈퍼마켓에서 하는 이러한 이벤트는 개인정보 보호에 대한 의식이 아주 약한 사람들이 대부분이기 때문에 더욱 위험한것 같습니다.

몇억짜리 아파트를 주는 경품에서 사소한 포인트 경품에 까지 우리를 현혹하는 경품 이벤트가 너무 많습니다. 로또와 같이 수십억원의 벼락을 맞을 수 있는 경품에서도 개인정보 입력하는 것이 없는데, 기업 등에서 하는 이벤트는 너무나도 뻔뻔하게 개인정보를 요구하고 있습니다.

이벤트에 응모하기 전, 나의 소중한 개인 정보를 입력하는 곳이 있는지 없는지 다시한번 살펴보고, 어차피 1등 대박 날 확률은 정말 적으니깐 이러한 정보를 요구하는 이벤트는 과감히 쳐다보지도 맙시다!!

저는 테스트를 위해 동의안함으로 해서 응모를 했는데, SMS나 스팸메일이 오는지 안오는지 끝까지 확인해 보도록 하겠습니다.



Posted by 멋나미

댓글을 달아 주세요

'UCC' 열풍 타고 스며드는 '스파이웨어'
[머니투데이 / 성연광 기자 | 04/23 14:17]

동영상 프로그램 가장 살포…싸이 방문자 추적기 위장 사례도

대학생 김모군(20세)는 얼마전 황당한 일을 겪었다. 싸이월드 방문자를 추적해주는 프로그램을 배포한다는 사이트를 방문했다가 PC가 먹통이 돼버린 것.

개인이 만든 것으로 알려진 그 사이트는 '예전에 개발했던 싸이월드용 API를 개조한 싸이월드 방문자 추적기"라고 소개돼있다. 여기에 자신의 싸이월드 주소를 넣고 'API 실행' 버튼을 클릭하니 실행 중 '익스플로러 보안제한 때문에 에러가 발생했다"는 보안설정을 낮춰달라는 안내문구가 나왔다.

김군이 안내된 문구대로 따라했더니 10여개가 넘는 애드웨어와 허위 안티스파이웨어가 순식간에 자신의 PC에 깔려버렸던 것. 실은 누가 자신의 싸이월드에 다녀갔는지 궁금해하는 회원들의 심리를 이용해 애드웨어를 유포하는 배포업자에 당한 것이다.

최근 손수제작물(UCC) 열풍을 타고 사용자가 직접 만들어 배포하는 소프트웨어, 이른바 UCS(User Created Software)가 부각되면서 새로운 보안위협으로 대두되고 있다.

김모군이 피해를 당했던 '싸이월드 방문자 추적 프로그램'처럼 이용자들을 현혹시켜 PC의 '보안설정'을 낮춘 뒤 이를 이용해 스파이웨어, 애드웨어를 유포하는 사례가 크게 늘고 있는 것.

인터넷 익스플로러 등 웹브라우저의 보안설정을 낮추면 웹서핑시 '액티브 X'를 사용하는 사이트에 접속할 경우 모든 프로그램이 사용자 동의 없이 설치되기 때문에 상당히 위험하다. 즉, 원하지 않지만 웹페이지를 방문하는 것만으로 악성 프로그램들이 죄다 깔릴 수 있다는 것.

안철수연구소 박시준 연구원은 'UCC를 통해 유포되는 악성코드 예방법'이란 보고서를 통해 "검증되지 않은 소프트웨어는 가급적 사용을 자제해달라"며 "특히 인터넷 익스플로러의 설정정보를 변경하는 것은 자칫 심각한 보안위협에 빠질 수 있다"고 경고했다.

특히 '사용자 추적 프로그램'처럼 정상적이지 않은 서비스의 경우, 이같은 악성코드 유포에 이용됐을 가능성이 적지않은 관계로 정상적인 서비스를 이용해줄 것으로 당부했다.

이 보고서에 따르면, UCC가 급속도로 확산됨에 따라 이를 악용해 애드웨어나 악성코드를 사용자 동의없이 설치하는 사례가 실제 발견되고 있으며, 앞으로 이같은 움직임은 더욱 활발해질 것으로 전망했다.

유형별로 가장 대표적인 게 동영상 프로그램인 'MS 윈도미디어플레이어'의 스크립트 명령을 수행하는 기능을 악용한 악성코드 유포다.

윈도 미디어 플레이어 설치시 해당 옵션이 비활성화 상태돼 있는데, 이 기능이 활성화될 경우, 사용자는 인터넷 웹페이지에서 동영상을 보기만해도 애드웨어를 비롯한 악성코드 유포 사이트에 접속될 수 있다는 것. 이를 방지하기 위해선 윈도미디어플레이어 URL스크립트 명령 동작 업데이트를 설치하고, 윈도 업데이트를 통해 알려진 보안 취약점을 모두 패치할 것으로 권고했다.

허위 코덱(codec)도 주의해야한다. 일종의 사회공학적 기법을 사용해 누구나 관심을 가질만한 주제의 동영상을 소리만 또는 영상만 인코딩(용량이 큰 동영상 데이터를 작은 사이즈로 압축하는 과정)한 후 나오지 않는 소리 또는 영상을 보기위해서는 특정 사이트에서 배포하는 코덱을 설치해야한다고 안내한 뒤 프로그램 설치를 종용한다. 그러나 이렇게 받아진 프로그램은 동영상 재생과는 전혀 무관한 스파이웨어인 경우가 적지않다.

보안 취약점을 사용해 악용해 악성코드를 강제설치하는 방식도 늘고 있다. 안철수연구소는 UCC가 일반 사용자들이 콘텐츠를 만들고 공유할 수 있다는 점을 이용해 누구나 흥미를 가질 수 있는 콘텐츠를 작성하고 해당 콘텐츠에 보안 취약점을 사용해 애드웨어나 스파이웨어, 또는 바이러스를 설치하는 코드를 삽입할 가능성이 매우높다고 경고했다.

실제 얼마전 국내 애드웨어 제작사는 보안 취약점(MS06-014)를 이용해 자사의 애드웨어를 배포하는 사례가 발견되기도 했다. 이를 예방하기 위해선 정기적으로 윈도 보안업데이트를 수행하고, 가급적 자동 업데이트를 활성화할 것으로 당부했다.

박시준 연구원은 "내가 직접 콘텐츠를 손쉽게 다른 사람들과 공유할 수 있다는 점에서 UCC가 너무나도 매력적이지만 더욱 많은 보안위협에 노출되고 있다"며 "해당 서비스업체들도 업로드되는 콘텐츠로 인해 발생할 수 있는 위험 요소를 적극적으로 찾고 지속적인 모니터링을 실시해야한다"고 강조했다.

Posted by 멋나미
TAG UCC, 보안

댓글을 달아 주세요

개인이 출판•방송•커뮤니티까지 다양한 형태를 취할 수 있는 1인 미디어 ‘블로그’ 이용자가 급증함에 따라 이와 관련된 보안 문제가 이슈로 떠오르고 있다.

대형 포털 사이트와 중소 인터넷 업체들이 블로그와 관련된 각종 서비스를 다양하게 제공하고 있어 누구나 손쉽게 블로그를 개설•운영할 수 있게 됐다. 하지만 이렇게 우후죽순 격으로 늘어나다 보니 실사용자보다는 잠자고 있는 계정도 상당한 비율을 차지하고 있는 실정이다. 최근 잠자고 있는 개인 블로그 관리자가 오랜만에 자신의 블로그를 찾았는데 블로그가 인터넷 광고로 도배되었을 뿐 아니라 관리자가 관리자 권한을 얻을 수 없어 접근이 금지 되어버린 상태로 방치된 블로그가 발견되었다는 사례를 종종 접하게 된다.

이러한 일이 발생하는 것은 일반 사용자들이 하나의 아이디와 비밀번호를 이용해 다수의 사이트에 가입하고 이렇게 가입한 사이트 중 보안에 허술한 사이트의 서버가 악의적인 사용자들에게 해킹을 당했기 때문이다. 이렇게 악의적인 사용자들은 별다른 노력 없이도 하나의 아이디와 비밀번호를 이용해 다수의 사이트에 일반사용자 계정으로 로그인할 수 있게 된 것이다. 이뿐만 아니라 계정정보가 유출되었을 경우 그 피해는 블로그의 내용 변경부터 사생활 침해까지 심각한 문제를 야기할 수 있다.

따라서 좀더 강력하고 세부적인 개인정보보호 관련 법안들이 마련되어야 하며, 블로그 운영업체에서는 안정적인 보안 서비스를 제공해야 한다. 또한 일반 사용자들은 강력한 비밀번호를 사용하여 전수 조사(Brute Force Attack)나 사전단어 공격(Dictionary Attack)에 대비하여야 한다. 이렇게 3화음을 조화롭게 이루어 보안 기초공사를 탄탄하게 하는 것은 아무리 강조해도 지나치지 않다.

이밖에 블로그 운영자들은 스팸 트랙백을 스팸 메일처럼 일일이 찾아 삭제해야 하는 불편함을 겪고 있다. 트랙백(Trackback)이란 쉽게 풀이하자면 댓글을 다른 게시물에 기록하고 해당 주소를 원본 게시물에 알려주어 의견을 교환할 수 있는 수단으로 사용되는 것을 말한다. 스팸 트랙백을 확인하기 위해 트랙백을 허용하고 하루 동안 기록된 트랙백을 확인해 보았더니 아래 그림과 같이 99건의 스팸 트랙백이 쌓여있는 것을 확인할 수 있었다.


[그림1] 스팸 트랙백 화면


이번 실험에서 확인된 바로 스팸 트랙백을 보내는 주범은 영어권이었으며 트랙백 전송 자동화 툴에 의해서 트랙백이 발송된 것으로 추정된다. 이렇게 자동화 툴이 만들어져 사용될 정도로 심각한 수준이 되어버려 대부분의 블로그 관리자들은 트랙백 기능을 해지하고 사용하고 있다.

그러나 이러한 현실에도 불구하고 현재 개인정보보호법은 3년째 국회에서 낮잠을 자고 있다. 유비쿼터스 사회로 진입하고 있는 IT 강국 이름에 걸맞게 사회적 요구에 귀를 기울여 하루 빨리 개인정보보호법을 통과시켜야 한다. 또한 통과 후에도 좀더 체계적이고 실효성 있는 보호 대책을 갖추어야 한다.

개인 사용자들이 자신의 개인정보보호를 위해 취할 수 있는 몇 가지.

첫 번째로 가입을 요구하는 웹사이트들의 보안 등급을 스스로 정하여 보안 등급에 맞는 비밀번호를 생성한다.
필자는 실제로 세가지 보안 등급으로 가입을 요구하는 웹사이트들을 분류하고 있다. 그 등급은 신용, 활동, 이벤트 등급이며 각 등급에 맞게 아이디와 비밀번호를 달리하여 계정을 생성하고 가입한다. 신용등급에는 온라인 뱅킹 관련된 사이트들이 주류를 이루고 있고, 활동등급에는 인터넷 상에서 글을 쓰는 등 자신의 의견을 게시할 수 있는 카페나 언론사 등이 포함되고 마지막으로 이벤트 등급은 거의 일회성 로그인으로 이벤트에 참가하거나 로그인 해야만 볼 수 있는 글이 있는 사이트가 이에 해당된다. 필자도 게으른 편이여서 세가지 밖에 구분하지 않지만 이벤트등급의 사이트에 가입할 때 신용등급 비밀번호를 입력하지 않는다는 것 만으로도 충분히 매력적인 제안이라고 생각된다. 또한 스마트 로그인 기능이 있는 유틸리티를 활용하여 매번 다른 비밀번호로 사용자 계정을 만들어 사용하는 방법도 있다. 무엇보다 1대의 컴퓨터를 다수의 사용자가 사용하여 개인정보가 유출될 수 도 있으니 항상 개인정보보호에 관심을 가지고 신경 써야 한다.

두 번째로 비밀번호를 생성할 때 강력한 비밀번호(Strong Password)를 생성하거나 도와주는 프로그램을 이용하면 실제로 악의적인 사용자들이 비밀번호를 찾아내는 전수조사(exhaustive search or brute force attack), 사전단어공격(dictionary attack) 등의 방법들에 의해 개인정보가 유출되는 것을 방지할 수 있다.
전수조사는 경우의 수를 처음부터 끝까지 대입하는 것을 말하며 사전단어공격은 일반 사용자들이 자주 사용하는 “1111”, “test”, “love” 등의 비밀번호로 구성된 목록을 대입하는 방법을 말한다.

이런 암호공격 방법들은 별다른 알고리즘이 없어 단순하기는 하지만 컴퓨터 성능이 향상되면서 결코 무시할 수만은 없게 되었으며, 암호 알고리즘인 DES (The Data Encryption Standard)는 유일하게 비트문자열의 배타적 OR 연산만 수행하기 때문에 하드웨어적 또는 소프트웨어적으로 매우 효율적이라고 평가 받고 있다. 하지만 키의 길이가 작아 전수조사로 공격 당할 수 있다고 알려졌고 실제로 1988년 7월에 EFF(Electronic Frontier Foundation)에서 DES cracker라는 특수 기계를 고안하여 DES를 깼다고 선언했다.

앞에서 언급된 것이나 그 이외의 공격법들을 알지 못하는 일반 사용자들은 비밀번호 강도를 표시해주는 유틸리티를 사용하여 강력한 비밀번호를 사용할 수 있다. 아래 [그림2]는 온라인으로 비밀번호 강도를 검사할 수 있는 곳이다. 독자들도 자신이 사용하는 비밀번호를 입력하여 강도 테스트를 해보기를 바란다.

[그림2]는 “wo28#*fu”을 비밀번호로 입력한 경우이다. 비밀번호로 문자, 숫자, 특수기호를 포함하여야 강도 높은 비밀번호를 구성할 수 있으며 비밀번호의 길이가 길어질수록 경우의 수는 커지기 때문에 [그림2] 에서 입력한 비밀번호보다 길이가 긴 비밀번호를 입력할 경우 “BEST”가 표시된다.

주소 - http://www.microsoft.com/athome/security/privacy/password_checker.mspx

[그림2] 비밀번호 강도 검사 화면


세 번째로 블로그가 운영되는 몇 개 안 되는 플랫폼을 다수의 사용자가 사용하다 보니 특정 블로그 플랫폼에 취약점이 발견되면 대량의 블로그들이 위험에 노출된다. 또한 블로그 플랫폼에 사용되는 플러그인 기능도 안정성이 검증되거나 공식적인 곳에서 배포하는 플러그인을 사용하는 등 주위를 기울여야 한다. 이밖에 항상 보안 동향에 신경을 쓰고 보안 제품과 운영시스템의 보안 패치를 최신 버전으로 업데이트하여 취약점으로 인해 악의적인 사용자들의 공격 대상이 되지 않도록 주의한다.

네 번째로 개인 PC도 악의적인 공격자의 공격 대상이 되고 있는 만큼 윈도우 업데이트 서비스를 이용하여 윈도우 결함을 수정하고 바이러스 또는 스파이웨어를 진단하고 치료하는 프로그램을 사용하는 등 보안을 게을리 해서는 안 된다.

블로그 서비스 운영업체의 보안 수칙 제안

한편, 블로그나 웹 서버 관리자들은 위에서 언급했던 전수조사나 사전단어공격들을 고려하여 로그인 프로세스에 다음과 같은 기법을 활용함으로써 보다 강력한 보안등급으로 서비스를 제공할 수 있다.

첫째, 비밀번호 생성시 강력한 비밀번호 생성 알고리즘을 활용한다. 예를 들어 영문자와 숫자를 반듯이 혼용하여야 하며, 비밀번호의 길이는 8자 이상 사용 등의 원칙을 알고리즘에 적용함으로써 강도 높은 비밀번호 생성을 도와 준다.
둘째, 아이디와 비밀번호를 암호화 하여 네트워크 스니핑 공격에 대비한다.
셋째, 입력횟수를 제한하여 무작위로 입력하는 공격에 대해 대비한다.

강력한 패스워드 만들기와 사용 방법
Microsoft에서 발표한 강력한 패스워드 사용 방법에 대해 소개한다.
(원문보기)
Strong passwords: How to create and use them

대부분의 해킹 사례에서 사용자 아이디와 비밀번호가 도용되었으며 이런 문제를 해결하기 위해 다양한 방법이 사용되고 있지만 최근 온라인 뱅킹이나 게임 사용자 인증에서도 사용되어 점차 사용층이 넓어지고 있는 OTP(One Time Password)를 간략하게 소개하고 마무리 지으려 한다.
OTP의 개념은 일회용 비밀번호를 사용함으로써 비밀번호가 스니핑(Sniffing) 또는 스푸핑(Spoofing) 등으로 가로채여도 쓸모 없어지게 만드는 것이다.
일회용 비밀번호를 생성하는 방법으로 S/Key, Challenge-Response, Time-Synchronous 방식이 있다.
S/Key 방식은 해쉬(Hash) 함수를 사용하며 이를 여러 번 적용함으로써 일회용 비밀번호를 생성하고, Challenge-Response 방식은 임의의 난수를 암호 알고리즘의 입력값으로 사용하여 일회용 비밀번호를 생성한 후 서버와 통신하여 사용자 인증을 하는 방식이다. 마지막으로 Time-Synchronous 방식은 Challenge-Response 방식에서 임의의 난수값 대신에 시간값을 이용하는 방식이다. 각 방식은 장단점이 있으므로 보다 자세히 알아본 후 사용자 인증 프로세스에 적용하면 보다 안전한 서비스를 제공할 수 있을 것이다.


이번 글에서는 블로그 해킹 방지를 위해 블로그 운영자 또는 서버 관리자들에게 도움이 될만한 요소들을 알아보았다. 정보를 가진 주체자로써 좀더 적극적으로 보안에 관심을 가지고 실천하는 것이 중요하다. 지금까지 얘기한 사실들이 어떻게 보면 예전부터 해오던 이야기였고 너무나도 당연한 것일 수도 있다. 하지만 이 글을 통해 보안의 기본은 기초부터 실천하는 것이 중요하다는 것을 새삼 느낄 수 있었으면 하는 바램이다.[Ahn]

박호진 안철수연구소 ASEC 주임연구원
Posted by 멋나미

댓글을 달아 주세요