지난 3일동안 DDoS 공격으로 인하여 국가 사이버 안전에 문제 있다는 사실을 감지하였고, 지금도 일부 사이트는 다운이 되어 접속이 되고 있지 않고 있습니다.

너무나 많은 사람들이 보안 불감증을 가지고 있어 지금 조사하면서 모든 곳을 언급 할수 없어 관심이 있고 공지를 한 곳만 나열해 보겠습니다. 참 그래도 관심 있는 곳을 나열한다는데 의의를 두겠습니다. 제발 좀 관심 좀 가지세요.

이것은 혼자 정보보호(보안)만 외칠것이 아니라 현재 정보보호 현주소가 어떤지 얼마나 관심이 있는지 그 잣대를 보여주고 국민들에게 그냥 하라라고만 명령만 하고 있는 것은 아닌지를 한번 살펴 보았습니다.

처음에는 지방 언론(신문)들이 얼마나 관심을 가지고 있는지 그냥 웹싸이트 방문을 하였다가 생각 난김에 공공기관과 정부부처,지자체까지 전부 방문해 보았습니다.

공공기관 성격상 내부적 전달이 되었을꺼라 생각이 되지만 외형상으로는 정말 너무 하다는 생각이 듭니다. 누락된 곳이 있으면 말씀해 주시면 추가해 드리겠습니다.

그것은 어떤 곳은 잘 실천하여 공지 및 관심을 가지고 있는 반면에 어떤 곳은 관심조차 없는 듯 합니다.


* 지역 신문  - 전국 도별 지역신문중에 보안관련기사

부산일보

국제신문


강원일보


경북일보


전남일보

제주일보


대구신문





나머지 지역신문에는 한줄 내지는 연합신문 인용하여 조금 전달 할뿐 아무런 내용이 없습니다. 이렇게 지역 언론이 철저하게 보안의식에 대하여 외면 하는게 참 안타까울 뿐입니다. 그것은 지역선 DDoS 공격용 좀비가 안 생긴다는 보장이 없기 때문입니다.


* 지방 지자체 단위 - 전국 광역시,도 단위 홈페이지

 


서울시청



부산시청


충청북도


나머지 지차제들은 찾아 볼수가 없었습니다. 그져 지방이야기 뿐이고 홈페이지 활용을 한다면 국가적인 사이버 공격에 대한 공지는 지자체에서도 신경을 써야 하는 부분입니다. 대민 봉사를 하는 공무원들이 공무를 잘 모른다면 말이 되겠습니까? 행동 지침도 없고 공지 사항도 열악하기 그지 없습니다.



* 전국 교육청 단위 - 전국 광역시,도 단위 교육청

부산시 교육청은 우선 보안관련 공지사항 보다도 홈페이지 정리부터 하셔야 겠습니다. 얼마나 신경을 안쓰면 교육청 홈페이지가 이렇게 되어 있는데도 아직도 그래도 인지..아무도 접속을 안해 본다는 이야기 인가요?

부산시교육청 일단 홈페이지부터 고치시죠


강원도 교육청

경상남도 교육청

울산시교육청

광주시교육청

제주시교육청

전라남도교육청

전라북도교육청


전라도 교육청쪽에서 관심을 많이 가지고 있나 봅니다. 일부 교육청은 직접 가정통신문까지 업로드 하여 집으로 가져가 대처를 할수 있도록 한 반면에 아예관심조차도 없는 곳이 많았습니다. 이것이 현 주소입니다. 


* 정부 중앙 조직부처 단위

참조 싸이트 : http://www.president.go.kr/kr/cheongwadae/organization/government.php




빨간 동그라미 그린 곳과 작은 밑줄 그은 쪽이 그나마 이번 DDoS 공격에 관심을 가지고 있는 부처로 나타났습니다. 그 기준은 각 부처 홈페이에 일일이 방문하에 공지사항에 DDoS 공격 관련 공지사항이 있는지 없는지 기준입니다. 최소한 부처 메인페이지에 공지정도는 해야 하는것입니다.

그중에 보건 복지부가 가장 전면 메인에 공지를 띄우고 방문자로 하여금 관심을 유도시키고 잘 전달하고 있었습니다.  그럼 다른 부처들은 ?  뭐 하시는 건가요? 그래도 할말이 있으신가요? 그 많은 정부 조직중에서 8군대만 보안에 관심이 있나요?

홈페이지 메인에 눈에띄게 공지한 복건 복지부 홈페이지

 

마무리글

지금 아무리 보안이 어떻게 방송에서 떠들어도 또 몇일 시간이 지나면 잠잠해지고 언제 그랬느냐듯이 실무진만 푸쉬를 하고 근본적인 대책이 강구가 안되고 있습니다. 하나를 보면 열을 알수 있습니다. 물론 홈페이지 공지를 하지 않았다고 해서 보안을 안하거나 하지는 않습니다. 하지만 관심입니다. 일부 교육청의 경우는 가정통신문까지 게재를 하여 관심 있는 선생님들이라면 다운로드 받아서 인쇄하여 학생들에게 보내 줄수 있도록 하였습니다.

이런 것은 부모님에게도 전달이 될수 있고, 공공기관에서 아이들에게 보안 마인드를 향상 시켜주는 기본적인 공지 자세라고 볼수 있습니다. 하지만 버젓이 있는 홈페이지..화려하게 장식하고 있는 홈페이지보다 몇줄 안되더라도 실질적인 홍보를 할수 있는 홈페이지로 활용을 해야 합니다.

또한 정부부처 조직도 마찬가지입니다. 일부 부처에서는 공지를 하지 않고 팝업창으로 띄우고 있어 윈도우 XP 이상을 사용하는 사용자는 기본적으로 팝업을 차단하고 있게 되어 있어 자칫 팝업에 신경을 못쓸수도 있습니다. 공지사항 나두고 왜 팝업을 띄울까요?  이젠 팝업창 띄우지 마시고 공지하세요.

좀 생각을 해 보시죠? 고민을 한번 해 보시죠?  그냥 외주만 맡기고 신경은 안쓰셨나요? 이번기회에 한번 신경 좀 써 보시죠?  참 너무도 답답합니다.

그리고 정보보호 일부 업무를 담당하는 지경부에서는 아예 DDoS 공격에 관한 어떠한 공지사항도 없습니다. 참 너무들 하십니다.

홈페이지는 얼굴입니다. 대 국민들이 정부관련 부처 홈페이지에 이곳 저곳 접속을 하였다가 이러한 공지사항이 있으면 여러 곳에 노출이 됨으로 스스로 국민들이 인지를 하고 치료를 하게끔 유도를 해야 하는 공공기관입니다. 다시 한번 쯤 뒤돌아 보고 국가의 정보, 개인의 정보를 모두 우리가 지킨다는 생각으로 경각심을 가져야 할 것입니다.
 
공공기관, 지자체, 교육청 관계자 여러분 국민이 내는 세금으로 월급 받고 계시지 않습니까? 조금만 더  공무(公務)에 신경을 써 주시기 바랍니다. 공무를 방해하는 것은 공무방해죄이며 공무를 제대로 수행하지 않는 것은 직무유기 입니다.   @엔시스.

Posted by 엔시스

간만에 보안에 대한 좋을 글을 보았습니다.  지금 하루가 멀다하고 펑펑 터지는 개인정보보호 유출과 여러가지 심각한 상황에서 도아님의 우리나라가 해킹에 취약한 이유라는 글은 많은 한국사회에 보안 불감증을 알려 주고 있습니다.

결국 보안이라는 것은 비싼 장비 도입하고 , 유지보수 업체 불러서 처리 하게 끔 하는 것 보다 여러가지 프로그램으로 사람을 교육시키고 , 작은 것도 잘 모니터링하고 지켜 볼 수 있는 관심이 중요하다는 이야기입니다.

댓글을 보니 전반적으로 글에 대한 공감을 하고 있더군요..사실 개발자가 백도어(뒷구멍)까지 심어 놓으면서까지 유지보수 한다는 이야기는 공공연한 이야기가 되어 버리는군요...

우선 가장 중요한 것은 보안 담당자는 더  잘 알아야 하고 일반 사용자들도 보안은 관련 부서에서 알아서 하는게 아니라 스스로 알아서 해야 한다는 생각을 가져야 할 것입니다.

옥션과 통신사 개인정보 유출,. 앞으로 이런 일은 지속적으로 일어 날 것입니다. 그것은 도아님이 말씀 하셨다시피 사람을 믿지 못하기 때문입니다.  도입보다 지속적인 관심과 모니터링이 중요합니다....
Posted by 엔시스

세상은 쉽게 변한다 하여도 그렇게 쉽게 변하는 것 만은 아니다.
지난 노무현 정부때  야심차게 준비 했던 사업을 지금 와서 재검토 한다는 말은 참 아리러니 하다.

감사원,"공기업 감사후 공공기관 이전 및 혁신도시 전면 재감사"

그때 당시 아는 지인이 공공기관에 근무하고 있었는데 여러가지로 좌불안석이었다. 왜냐하면 공공기관 근무자 대부분은 서울에 주거 하고 있는데 지방으로 분산된다는 것에 대하여 적잖은 당혹감을 갖게 된 것이다.

일부 처자식이 있는 사람들은

"우리 같이 입이 많은 사람은 가라면 가야지 어쩌겠어 "

하지만 말야.. 요즘 젊은 애들은 그만둔데...가라고 한다면...


가장 반기는 쪽은 공공기관  근무자 일것이다., 무엇이 이렇게 번복하게 만들었는지는 몰라도 그렇게 쉽게 변할수는 없는 것 같다.. 일관되지 못한 정책은 안 하느니만 못하다.. 정권이 바뀌었다고  새로 엎어 버리면 국민은  어떻게 안심하고 살아 가란 말인가?

다시한번 곰곰히 생각해 보고 지금까지 서울이외에 소외 받았던 지역을 균형 발전한다는 좋은 취지의 퇴색함이 없어야 겠다...

'Life' 카테고리의 다른 글

나의 마시멜로는?  (0) 2008.04.28
공보험과 민영의료 보험의 비교  (0) 2008.04.17
공공 기관이 이전을 안할꺼 같다고(?)  (2) 2008.04.16
겉만 봐서는 모른다  (0) 2008.04.15
내가 서울 이사 못가는 이유  (2) 2008.04.03
간만에 공부할려니..  (1) 2008.03.29
Posted by 엔시스
교육기관 개인정보보호 제도 관련 ppt입니다.

공공기관에 근무하시는 분들은 참고 하시면 좋겠네요

 


Posted by 엔시스

국가정보원산하  국가사이버안전센터 '2006년도 사이버 침해사고 사례집'을 보면  공공분야는 아직도 멀기만 한 보안 마인드를 보면서 씁쓸한 생각이 든다.

사용자 삽입 이미지
                                                <출처:국가사이버안전센터(ncsc)>

악성코드는 지자체가 가장 많은 건수를 기록하고 있고, 경유지 악용은 역시 교육기관이 우위를 달리고 있습니다. 홈페이지 변조 역시 교육기관이며  전체적으로 보았을때 지자체와 교육기관이 가장 많은 침해사고를 당한것을 알수 있다,.

이는 그만큼 지자체와 교육기관의 침해사고를 많이 당한다는 이야기인데 왜 그럴까 하는 생각을 해 본다.

정보보호 인력이 없어서일까? 아니면 예산이 없어서일까?  물론 예산 넉넉하면 보안솔루션 빵빵하게 구축하고 능력있는 보안관리자 채용하면 되지만 ...현실은 또 현실이니까...

그렇다고 그냥 이렇게 침해 사고를 당하고만 있을수 없는 노릇 아닌가?  지난해에도 그랬고 그 지난해에도 그랬고 앞으로도 그렇게 된다면 보안 불감증 정도 되는 것 같다.

언론이나 뉴스에서 대대적으로 보도 해야 하는지..아니면  유명한 사람 개인정보라도 누출되어야 하는지..참으로 답답할 노릇이다.

제발 공공기관부터 정신차려 정보보호에 대한 대책 마련 좀 하기 바란다. 
Posted by 엔시스

오늘 아침출근하면서 라디오뉴스에서 국민건강보험공단에서 개인정보 유출에 대한 내용을 들었다.요즘 개인정보 유출 때문에 말들이 많다. 특히 지금은 국정감사 기간이라서 더욱 이슈화 되는 것 같다.

라이오 뉴스를 종합해 보면  해당 공단 홈페이지에 요양기관으로 아이디와 패스워드를 알면 우리가 병원에 건강 보험증을 가지고 가지 않아도 주민등록번호만 알려주면 가능하듯이 요양기관 계정으로 로그인 하여 피 보험자의 정보를 파악하는 것이다.

문제는 이러한 요양기관 아이디와 패스워드 관리가 안되어 특정 채권 추심하는 사람들 손에 넘어 간다는 것이다.  갑자기 이사를 간다던지 , 연락이 안되는 그런 상황에 해당 싸이트에 로그인하여 개인정보를 이용하여 채권추심을 한다는 것이다.  이것은 채권추심원들은 연락이 안되는 사람은 좋은 정보임에 틀림이 없다

이렇듯 아이디와 패스워드를 관리하지 못하고 부적절하게 이용하는 사람에게 알려주는 사람도 문제가 있지만 해당 싸이트 관리자에게도 문제는 있다.

그것은 약간만 신경쓰면 막을수 있는 기능이 있음에도 불구하고 이용하지 않았던것 같다. 그것은 시스템에서 일정기간이 지나면 패스워드를 강제로 바꾸어지게 설정하여 한번은 성공하였더라도 그 다음은 할수 없게 운용하여야 한다.  일부 포털에서는 일정기간 로그인이 없다든지 일정시일이 지나면 강제로 바뀌게 하고 있다.

공공의 서비스를 제공하는 공공기관이야 말로 개인들의 정보를 가장 소중히 여기고 보호해 주어야 하는 의무가 있다. 

해당 정보는 개인의 신상정보에서부터 의료내역까지 노출이 되면 안되는 그런 기관임에 틀림이 없다. 하지만 아직도 인력부족이나 예산부족으로 , 아니면 기술력부족 탓으로 돌리고 있다.

정보보호의 중요성, 사이버윤리, 정보보호의 마인드함양등이  공공기관을 우선적으로 전파 교육되고 더 이상 무분별하게 개인의 정보가 사이버상에 둥둥 떠다니는 일은 없어야 할것이다.

<전주현>

Posted by 엔시스

오늘 일이 있어 00공단에 들렀다.
처음 들어서면서 부터 고객을 어떤 일로 내방 하였는지
안내해 주는 도우미가 있었다.

도우미는 여자도우미가 아닌 어느정도 연륜이 있어 보이는
남자 분이셨다.

예전엔 고객이 공공기관을 가면 오든지 말든지..그냥 자기자리에서
모니터만 뚫어져라 쳐다보고 있었다.. 지금도 일부에선 그렇다.

용무를 마치고 나올때 엘레베이터를 기다리는데 다른 손님이
들어오니 그 남자분은 또 용무를 묻고 안내한다.

물론 자신의 업무가 그러니까 한다고는 하지만
고객 입장에서는 누군가 기관 방문시 반갑게 맞이해주는것
이상 즐거운게 없다.

단, 한가지 아쉬움점은 고객이 용무를 위해 자신에게로
다가갈때 앉아만 있지 말고 자리에 일어서서
"어서오십시오"
"무엇을 도와드릴까요?" 라고 한다면 훨씬더 나을것 같다는
생각을 하였다.

공공기관이든, 기업이든, 고객의 니즈(Needs)를 충족시키는
일이 급선무임을 알아야 한다.

Posted by 엔시스