며칠전 우연한 기회에 한 통신사에서 사보에 기고를 해달라는 청탁이 와서 기고를 하였습니다. 사보라는 것은 회사의 소식지 같은 것으로 아무래도 회사에 동향이나 정책, 그리고 구성원에 대한 캠페인성 글들이 주류를 이루게 되고 성격상 그런류로 많이 가겠지요..

이번에는 <보안>에 대한 주제를 가지고 기고를 하였습니다. 그중에서도 특히 <사내보안>에 대한 내용입니다. 처음 접근은 하드웨어적인 접근을 조금 하였더니 아니나 다를까 대기업이라 그런지 하드웨어적인 보안은 역시 우수한 상태였습니다. 물론 제가 직접 방문하여 본 것은 아니지만 ...그만큼 대기업의 하드웨어적인 보안수준은 그나마 많이 올라가 있다는 것이죠

클릭하시면 크게 보실수 있습니다. -SKT사보기고



특히 담당하시는 분께서 친절하게 많은 도움을 주셨는데, 이 자리를 빌어 감사하다는 말씀 드리겠습니다. 원고마감과 데드라인이 있기 때문에 긴박감이 느껴졌습니다.

보통, 구성원들은 <사보>하면 아무렇게나 그냥 몇번 슬쩍 지나가듯이 읽고 하지만 담당자들은 야근과 밤늦게까지 작업을 하여 만들어 내는 산출물이니만큼 가볍게 여기지 말고 하나하나 꼼꼼히 읽고 도움되는 부분이 있다면 감사의 메일이라도 보내주면 담당자는 더 힘이나고 좋은 사보를 만들지 않을까요.

제가 기고했던 주된 내용은 <사내보안>으로 케이스별로 몇개 만들어 흔히 실수로 이루어질수 있는 사내 정보유출을 짚어 보았습니다.

  • 사례1 - 문서보안 해제 , 파트너사에게 문서보안이 되어있는 파일을 귀찮다는 것때문에 문서보안을 해제하고 보냈는 데 넘기지 말아야 할 정보까지 넘기는 경우, 결국 경쟁사에 데이터 분석까지 유출
  • 사례2 - SNS 잘못이용하여 사내 정보유출, 최근 뉴미디어의 변화의 축에 있는 블로그, 트위터를 통하여 부분별한 과다 정보 제공으로 인한 정보유출
  • 사례3 - 사소한 대화에도 정보유출, 보통 회식자리나 식사자리에서 큰소리로 통화하거나 대화를 할때  업무적인 내용이나 조직에 대한 이야기를 하게 되어 자연스럽게 주변 인물들에게 정보가 유출되는 사례


이러한 상황들은 흔히 우리가 주변에서 겪을수 있는 상황으로 <물리적>인 경계선을 넘어서 또 다른 <사내보안>에 대한 이슈로 나타나고 있습니다. 따라서 보안은 생활에 밀착하게 있다고 보고 각기 구성원들은 보안에 대한 인식과 마인들 변화를 가지고 늘 조심하는 것이 중요하겠습니다.  보안에 대한 관심을 함께 공유하고 픈 분들은 보안인닷컴 커뮤니티를 이용하시면 더 많은 정보와 보안에 대한 흐름을 만날수 있습니다. @엔시스.

Posted by 엔시스

5월 21일 석가탄신일에 '대학정보보호연합동아리(KUCIS)' 영남지역 세미나에 1시간동안 강연을 하러 다녀 왔습니다.

쿠시스 영남지역 정보보호세미나 포스터




처음 섭외가 왔을때, 상당히 고민스러웠던 부분이고 과연 내가 그들에게 어떤 화두를 던져주고 어떻게 하면 보안을 올바르게 바라보게 이야기를 해 줄 것인가? 오히려 불필요한 시간은 되지는 않을까 하는 생각이 들었기 때문입니다. 하지만 누군가 먼저 자신의 경험적 이야기나 노력을 말해 주지 않는다면 그들도 똑 같은 전철을 밟을 것이라는 생각에 비록 전문 강연자가 아니라서 부족한 부분이 있을지라도 솔직하게 있는 그대로 말해보자라는 생각에서 섭외에 응하였습니다.

또한 영남지역에 이러한 세미나 자체의 기회가 잘 없기 때문에 스스로 그런 기회를 만들고 함께 하자는 의미도 있었습니다.

아침에 일어나 오늘 강연할 준비물을 챙기고 다시한번 프리젠테이션 자료를 검토하고 이것 저것을 준비하였습니다. 저는 외부 강연을 할땐 상당히 절처하게 준비를 합니다. 그런 과정으로는 노트북이나 레이져 포인트, 그리고 USB 자료에 하나 웹사이트에 자료업로드, 그리고 PT,  PPT 호환이 안될경우를 대비하여 2003버전하나 2007버전하나. 상당히 꼼꼼하게 챙기는 편입니다.

그렇게 강연 시간 1시30분을 맞추어 부경대로 향하였습니다. 동서고가에 올랐는데 역시 휴일이라 그런지 차가 막히더군요, 역시 외부강의때에는 시간을 넉넉하게 해서 일찍 출발해야 한다는 것을 다시 한번 깨닭았습니다. 꼭 딱 시간 맞추어 출발하시는 분들이 있는데 꼭 실수 하시더라구요,.시간에 늦어서,.

그렇게 부경대 평생교육원 4층 강당. 도착을 하니 CERT-IS 회장 및 동아리 멤버들이 반갑게 맞이해 주었습니다. 밥은 먹고 갔지만 식사는 했는지..챙겨주고..후배님들에게 반갑게 맞이해 주어서 감사하다는 말 전하겠습니다. 그리고 강연장을 들러 보았을때 상당히 많은 분들이 참석하였다고 하였는데 약 120명 정도라 이야기 합니다.

지금까지 지방에서 보안으로 단일 학생들만 모인 것으로 봐서는 많은 인원이라는 생각이 들었습니다. 보통 세미나 하면 업체나 단체 공공기관,학생 이렇게 섞어서 모여도 그다지 많은 인원이 아닌데 학생들만 모인 인원이 120명이면 그것도 영남지역에만...아주 고무적이라는 생각이 들고 이러한 기회가 더 많았으면 좋겠다라는 생각을 했습니다.

앞으로 '보안인닷컴'이나 '쿠시스' 부분도 함께 이런 부분을 오프라인으로 함께 할수 있는 방안을 찾아 보자고 후배님들에게도 이야기 하였습니다. 잠시 분위기를 살펴 보겠습니다.

발표중인 보안인닷컴 운영자



쿠시스 영남지역 120명 정도 참여



CERT-IS 부경대 후배들과함께



혹시나 참석 하지 못하신 분들을 위하여 강연 내용은 다음과 같습니다. 보안전문가가 되기위한 방법을 6하 원칙에 따라 한번 살펴 봤구요. 보안전문가로 가기위해선 또는 자신이 먹고 살기 위하여 취업을 하기 위해선 어떠한 전략으로 준비를 해야 하는지에 대한 이야기도 하였습니다.

 또한 20대, 30대,40대에서 보안전문가로서 어떻게 해야 하는지에 대한 개괄적인 그림을 스케치 하는 정도로 이야기 하였습니다. 그리고 이러한 방법은 최근 제가 전파하고 있는 '벽돌이론'과 '송곳이론'으로 이야기 해 보았습니다. 아마도 저와 잘 아시는 분들이나 '보안인닷컴' 커뮤니티에서 활동하시거나 '보보톡' 인터넷 방송을 들으시는 분들은 잘 아시리라 생각을 하는데요, 혹시 모르시는 분들이 있을 꺼 같아 한번 더 말씀 드렸습니다.

정보보호 세미나 지역에 더 많은 기회가 있어야

50분동안 강연하고 약 5분정도 질문을 받고 하여 딱 55분정도 이야기 하였는데 대부분 잘 들어주시고 하여 잘 마무리가 된 듯 합니다. 전문 강연자가 아니기에 다소 참석자들에게 어떠한 감동과 가슴에 어떠한 내용으로 자리 잡았는지 모르겠지만, 그져 정보보호, 보안이 중요하다., 그냥 한번 가볼까라는 생각에 참석만 하지 말고, 꼭 집으로 돌아갈땐 가슴 한 구석에 무엇인가 가치있는 하나라도 담고 가기를 바란다는 마지막 인사말을 하고 마무리 하였습니다.

비록 학생들의 세미나 자리였지만, 더 담백하고 기름끼가 쫙 빠진 그런 세미나라 생각을 하고 앞으로 지역에서 정보보호, 보안에 대한 세미나 기회를 더욱 많이 만들었으면 하는 바램을 가져 보았습니다. 혹시 공공기관 담당자분들께서 이 글을 보신다면 꼭 좀 그런 자리를 자주 마련 해 주셨으면 하는 바램을 가져 봅니다. 대상은 학생, 기관,업체,..등등 다양하게 좋은 기회가 많을 것이라 생각합니다.

부족한 내용이고 전문강연자는 아니지만 성심을 다해 이야기 한것인 만큼 혹시 도움이 조금이라도 참석하지 못하신 분들에게 도움이 될까 싶어 부끄러움을 무릎쓰고 제 블로그에 강연 파일을 공개합니다. 파일 사이즈 관계로 외부에 링크를 걸어 두겠습니다. MP3로 변환 해 두었으니 시간 나실때 들으시면 되겠습니다.

다운로드 ---> 여기


마무리 글

앞으로 보안에 대한 요구사항은 점점 있을 것입니다. 아직도 보안이 장미빛 미래로만 비쳐지는 경우도 있고, 실제 실무에서는 어려움도 있습니다. 하지만 자신이 무엇인가 지킴이 역할을 한다는 것에 자부심과 긍지를 여기고, 대한민국의 보안발전을 한단계 업그레이드 시킨다는 사명감을 가지고 노력 하면 반드시 자신과 조직과 국가에 발전이 오지 않을까 생각합니다. 저도 그런 마음가짐으로 보안인구 확대라는 거창한 명분을 가지고 더욱 열심히 노력 하겠습니다,. @엔시스.

P.S 전 피드백을 좋아합니다. 들으시고 마음에 들지 않은 점이나 또는 마음에 드는 점..여러가지 피드백을 블로그에 댓글로 달아 주시면 감사하겠습니다.


Posted by 엔시스

아프리카 인터넷 방송을 하시는 분들은 조심할 필요가 있겠네요. 최근 한 유명한 방송 하시는 분 트위터 계정에 다음과 같이 올라 왔습니다.

평소 즐겨 보는 방송이라 안타까움이 있었는데 관련 내용을 살펴 보니  악의를 품은 애청자가 악성코드가 삽입되어 있는 곳으로 링크를 챗팅창에 올려 놓은 모양입니다.

개인정보상 특정 사항은 모자이크처리



방송하는 방송 진행자는 아무런 생각 없이 클릭을 하였고 이내 자신의 PC는 이상한 도깨비 같은 것이 나타나면서 PC를 엉망으로 만들어 놓았다더군요..

하여간 방법도 가지가지 입니다. 악의적인 마음을 품게 되면 어떻게 해서든지 해(害)를 끼치려 하기 때문에 늘 조심을 해야 하겠습니다.

아마도 아프리카 방송 하시는 분들중에 보안에 대한 마인드를 가지고 방송에 임하는 분들은 몇분이나 될까요. 개인인터넷 방송이라 너무 주관적인 방송 보다는 조금은 질적이고 높은 수준을 요하는 제대로 된 방송을 하는게 옳은 듯 합니다.

아프리카 인터넷 방송의 대부분은 10대와 20대가 주류라고 하니, 호기심 많은 청소년이 남에게 이런류의 해를 끼치는 것도 범죄가 된다는 사실을 인식을 해야 할텐데 말이죠.. 조금은 안타까운 마음이 있네요.. @엔시스.


Posted by 엔시스

 


" 이젠 정보보호(보안) 잘 하는 사람과 잘 못하는 사람은 구별 하여야 한다"


아이폰 때문에 'S/W 육성책'이라 하여 몇조씩 투입한다고 합니다. 그동안 S/W 인력들 사실 찬밥신세를 많이 졌습니다. 2000년대 초반부터 IT버블이 꺼지고 나서 IT의존도가 높음에도 불구하고 아이러니 하게 홀대를 많이 받았습니다. 지금은 공대생이 점점 줄어 들고 있는것도 이러한 현상을 반영한 것입니다.

작년에는 '사이버 보안관 3000명' 육성한다고 하였지만 2009/11/19 - [Security Policy] - 사이버보안관 3000명 인력양성, 백지화 되나?  또는 2009/09/14 - [Lecture&Comlumn] - 사이버 보안관 3000명 양성에 대한 제언 그 실효성에 의문이 들고 있습니다. 꾸준한 개선책이 필요 한 것이지요.

우린 '보안'이 중요하다,. '정보보호'가 중요하다는 것은 모두 알고 있습니다.

그런데 왜 인터넷침해사고는 자꾸 일어나고 있을까요? 이제는 엔드유저쪽 보안에도 상당한 관심을 기울여야 할때입니다.
 즉, 일반인들의 보안 마인드가 향상이 되어야 합니다. 정말 보안과 정보보호가 중요하다는 것을 스스로 깨우쳐야 하는데 현실은 한계가 있기 마련입니다.

그것이 지금까지 이어온 보안에 대한 방식이었습니다. 보안은 그쪽에 근무하는 사람이나 관심있는 사람이나 하는 것이지 일반 사람들과 상관이 없다고  하는데에서 기인한다고 생각을 합니다.

이제는 바꾸어야 합니다. 말로만 하는 보안, 정보보호가 아닌 실제 실천 할수 있도록 기틀을 잡아 주어야 한다고 생각합니다. 그렇할수 있도록 유도를 해야한다고 생각합니다.

그렇지 않고 무조건 채찍만 가하면서 "PC좀비법(가칭)" 같은 것으로 아무리 규제를 해도 안됩니다. 우린 무엇이든 스스로 자기 필요성에 의해서 스스로 하게끔 당근을 주어야 합니다. 그것이 가장 효율적입니다.

어떻게 하면 일반인들에 '정보보호' '보안' 에 대한 인식 고취를 시킬수 있을까요? 나름 개인적인 생각을 제안해 봅니다.

  • 초,중고 정보보호와 윤리 교육 - 며칠전 기사에 중고등학교 기술과 가정시간에 보안교육 내용이 들어 갔다고 하였습니다. 조금 늦은감은 있지만 아직 그것으로 부족합니다. 과연 교과서에 몇십장 종이에 글이 들어 갔다고 해서 정보보호 교육이 잘 될수 있을까요? 또한 정보보호를 교육할 준비가 된 기술,가정 교사가 얼마나 될까요? 조금더 체계적이고 실질적인 교육을 위한 제언입니다.
    • 정보보호,보안 전공 교사 우선채용
    • 기술,가정 교사 방학을 이용한 보안,정보보호교육 필수 이수 (년 2회 이상 교육실시)
    • 담당 교사 정보보호,보안 자격증 취득 필수

 

  • 일반인 보안교육시 인센티브제도 - 제대로 된 국가지정 교육기관에서 교육 이수시에 일반인에게도 인센티브를 제공해 주는 것입니다. 예를들면

 

      • 공무원 시험시 가점부여
      • 공기업,공공기관 면접시 가점부여
      • 창업시 가점부여
      • 벤쳐인증시 가점부여
      • 이노비즈 인증시 가점부여
      • 대학교 관련 정보보호학과 진학시 가점부여
      • 민간기업 정보보호관련, 정보보호업체 지원시 가점부여등등
      • 조금 더 욕심을 낸다면 각종 세금에서 일정부분 할인혜택등



너무 황당할까요? 실현 불가능 할까요? 하지만 때로는 일반인들이 보안인식제고를 위한 조금은 채찍과 당근이 주어져야 한다고 생각합니다.

이제는 보안마인드와 정보보호 마인드가 있는 일반인과 아닌 일반인들의 구별을 두어야 할 것입니다. 그렇지 않고서는 절대 보안에 대한 인식을 높아지지 않습니다. 똑 같은 일을 지속적으로 반복 할 뿐이죠. 극단적으로 생각해보면  보안을 잘 지키는 사람과 그렇지 않고 아무렇게나 생각하는 사람이 추후 조직적으로나 사회적으로 불러올 비용을 생각해 보면 분명히 차별은 되어야 한다고 생각합니다. 그런 의미에서 일반인 보안인센티브제도는 어떤식으로든 보안에 대한 여러가지 기준을 만족하였을때 차별성을 두어야 할 것입니다. 그것이 추후 사회적 비용을 줄일수 있는 밑거름이 될 것입니다.

그럼 일반인들 보안 충족 기준이 필요할 것입니다. 누가 판단하고 누가 보안에 대한 기준을 잘지키는지 보안마인드가 철저한지를 규명하는 일이 쉽지 않을 것입니다.

그런측면에서 다음과 같이 2가지 방법을 제안합니다.

  • 일반인측면
    • 정보보호관련 업체 근무자
    • 정보보보호 담당자
    • 정보보호 자격증 소지자 (일반인 보안관련 자격증 소지자 포함)
    • 정보보호 전공자
    • 자신의 PC에 백신과 운영체제 기본 방화벽 설치 운영하는 자
      • 일반 PC 사용자 대상으로 몇가지 가장 기본적인 PC체크리스트 기준을 만족하는 자
      • 이러한 사항을 패스하면 증빙해 줄수 있는 시스템에서 인증 받은자

 

  • 기업,공공기관적인 측면
    • 안전진단 수행 기업과 공공기관
    • 정보보호관리체계를 인증 받은 기업과 공공기관
    • 개인정보보호관리체계를 수립한 기업과 기관
    • 개인영향평가를 수행한 기업과 기관
    • 보안성평가를 수행한 공공기관
    • 기타등등


일방적으로 보안이 중요하다. 보안에 대한 마인드를 갖자라고 아무리 이야기 해도 메아리가 될수 있습니다. 이런 차원이라면 조금은 실질적으로 보안을 함으로 어떠한 혜택이 개인에게 있는지에 대한 행동 규범과 원칙을 체험적으로 느낄수 있는 방안을 제시해 주면 더 효과적이지 않을까요?  규제를 위한 규제를 하자는 것은 아닙니다.

보안 마인드가 되었을때와 보안마인드가 되지 않았을때 추후 불러올 사회적 비용을 연구하고 이를 대응하고 일반인들에게 어떻게 하면 보안에 대한 중요성을 알수 있는가에 대한 고민에 기초한 개인적인 생각입니다. 이러한 연구가 되지 않고서는 분명히 말씀 드릴수 있지만 사고 터지면 막고, 반짝하고 또 터지면 언론 대서특필하고 사후약방문식으로 처리되고 계속지속적으로 되풀이 되는 일만 반복이 될 것입니다. 그것은 곧 사이버전과 연관이 되겠지요.

  이젠 정보보호(보안)이 곧 국력입니다. @엔시스.


Posted by 엔시스


공용PC는 보안사각지대 -모텔PC나 공항, PC방등


직장인들은 출장을 많이 가게 됩니다. 그럴경우 인터넷에서 메일을 확인 해야 할 경우가 많습니다. PC방에서 확인 하자니 근처 PC방도 잘 없고 최근에는 숙소에서 PC를 설치하여 인터넷이 가능하도록 서비스를 하고 있습니다.

하지만 공용 PC는 함부로 사용해서는 안되는 것입니다. 일반적인 검색만 하면 모르겠는데 신용카드 번호나 중요한 메일을 읽기 위한 로그인을 하는 것은 상당히 위험합니다.

그것은 그 PC에 어떤 프로그램이 어떻게 깔려있는지 모르기 때문입니다. 즉 신뢰 할수 없다는 것입니다.. 그렇지만 현실은 까맣게 잊은채 바로 PC에 접속하여 유유자적하게 사용하게 됩니다.

이것은 모든 공용 PC에 마찬가지입니다. 즉, 신뢰 할수 없는 PC에서는 절대 함부로 노출되어서는 안되는 개인정보나 아이디/패스워드 같은 경우는 철저히 조심을 하여야 합니다. 따라서 최근에는 출장시에 노트북을 사용하여 무선을 이용하는 경우가 많습니다. 그렇다고 해서 무선이 안전하다는 것은 아니지만 일단은 단말기에서 이루어지는 신뢰되지 않은 PC는 배제 할수 있다는 것입니다.

아니면 다른 디바이스(device) 장치를 이용하는 경우도 있습니다. 간단하게 메일정도 이용하려면 아이팟터치(ipod touch) 같은 기기나 휴대폰도 있을수 있겠지요..

아마 이제는 점점 PC방이 줄어들지 않을까 하는 생각을 합니다.그것은 다른 디바이스장치로 얼마든지 인터넷을 할수 있는 환경이 자꾸 도래하지 않을까 하는 것입니다.  단지 게임만을 하는 오락공간으로 이용되기엔 너무 아까운 부분들이 있습니다. 만약 PC방을 운영한다면 이러한 손님들이 우려하는 사항을 어떻게 차단 할 것인가에 대하여 고민해야 할 것입니다..

며칠전에 부산일보 인터뷰가 있었습니다. 여러가지 정보보호에 대한 이런 저런 인터뷰를 하였습니다. 아직도 많은 사람들이 보안에 대하여 어렵게만 느끼고 보안 마인드를 가지고 있지 않은 것이 안타깝기도 하여 인터뷰에 응하였습니다..

그것이 오늘 신문에 활자화 되어 나왔네요...

피싱에 대한 이야기입니다..아마도 처음 보안에 접하신 분들은 피싱(Phishing) 이 무엇인지 모를 수도 있는데, 최근 보이스피싱(Voice phishing)으로 하도 많이 이슈가 되어서 알고 있을 것입니다.

쉽게 말하면 전화사기라고 보시면 되겠습니다..


따라서 보안에 관심이 없으면 언제 어디서나 누구한테나 당할수 있다는 사실을 인지 하여야 합니다.

우리모두 보안마인드 업데이트를 하시죠...




그런 가운데 제가 제안한 몇가지 보안 요령이 있습니다..

  1. 공용 PC는 검색만 하기
  2. 중요한 업무할시엔 인터넷 차단
  3. 6개월마다 윈도우 다시 한번 깔아주기

이렇게 말씀 드렸지만 사실은 보안 요령이기 보단 컴퓨터 사용법이라고 해야 하나요? 아무튼 초보적인 관점에서 보안에 관심을 가지고 대응하라는 차원에서 몇가지 언급해 드렸습니다..

위에는 소제목으로 3가지 정도인데 아래 링크를 보시면 5가지 정도 언급해 드렸습니다. 흔히 하는 말이지만 지켜지지 않는다는 사실은 잘 모르기 때문이라 생각이 듭니다. 그래서 약간은 보편화 되어 있는 말 같지만 실천을 하셔야 합니다.

"보안은 작은 실천입니다.."




타이틀에 약간 부담감은 느끼겠네요...전 파워블로거가 아닌데...아무튼 조금이라도 일반 구독자들이 보안에 신경 써 주셨으면 좋겠습니다...^^;; 각자 일반인들이 얼마나 보안에 대하여 관심을 가지느냐가 자신의 정보를 잘 지키느냐라고 생각이 듭니다..재미있게 글써주신 박기자님께 감사의 말씀을 드립니다. 


자세한 기사는 아래 링크에서 확인 하시면 되겠습니다...

http://news20.busan.com/news/newsController.jsp?newsId=20090424000280

http://news20.busan.com/news/newsController.jsp?newsId=20090424000279








공용 PC 사용은해야겠고 로그인까지 해야 하는데 방법은 없나?


정말 불가피하게 사용은 하고 싶은데 위와 같은 상황이라면 어쩔수 없이 공용(共用)PC를 사용할 경우라면 요즘은 USB 가 용량이 큰것이 나와서  아래와 같이 설치하여 사용하시면 될꺼 같습니다.

우분투 8.10  USB에 설치하여 부팅하기.

이런식으로 리눅스가 설치된 USB로 부팅을 시도하여 사용해 보면 될꺼 같기도 하네요..아니면 USB용량이 아주큰 메모리에 윈도98 정도 설치해서 부팅시켜 사용하는 방법도 있겠지요..아마도 USB 용량이 점점 커진다면 XP도 설치하여 이젠 각자가 주머니에 운영체제 하나씩 넣어서 다니다가 필요시에 부팅시켜 사용하는 날이 오지 않을까 생각도 드네요..
@엔시스(sis@sis.pe.kr)


Posted by 엔시스

매일 같이 보안에 관심을 가지고 있고 저 스스로도 많은 실천을 하려고 노력을 하고 있습니다. 하지만 글로 표현하기에는 늘 한계가 있고 설득력도 떨어지고 하는데 오늘에야 그 답을 신문기사가 있어서 스크랩하고 알려 드립니다.

백번 듣는 것 보다 한번 보는게 낫다라는 말은 이럴때 하는 모양입니다.

늘상 알고 있는 이야기지만 담당자나 부서, 당사자들은 마음에 심적 부담이 상당하겠지요..그건 자신이 그 입장이 안되어 보면 모르는 것입니다. 따라서 평소 자신도 보안에 대한 인식과 마인드를 가지시기를 바랍니다.


                                               <클릭하시면 확대하여 보실수 있습니다.>


이렇듯 한번 두들겨 맞으면 상당한 아픔이 있지요,.아마도 그 내부는 진상규명과 사후 대책 마련에 바삐 돌아가리라 생각을 합니다. 그럼 보안담당자 보안관리자 혼자서 이 모든 부분을 감당 할수 있을까요?

언론에서 아주 크게 두들긴다는 것이지요.

여러분들 각자 각자가 같이 도와 주시고 ,, 스스로 실천하고 하셔야 합니다. 그렇지 않으면 결국 그것은 여러분들 메일까지도 검색을 해야 한다는 결론에 다다르게 되는것이지요..아마도 이번 사건도 메일로 인한 피해인거 같은데 참,..평소 보안마인드가 안되어 있으면 사실 참 어려운 부분들이 있습니다.

누군가를 사칭하고 " 친구, 상사,부하"가 보낸것 처럼 메일을 보낸다면 어찌 그것을 안 속겠습니까? 아마도 저도 속을꺼 같습니다. 하지만 조금만 교육을 받고, 인지가 된다면 첨부파일이 있다든지, 아니면 실행 파일이 어떤것인지..또는 링크가 걸려 있다든지 하는 부분에서 조심을 하겠지요..

또한 메일까지 검열한다고 하면 사생활 문제와 부딪치기도 합니다.  하지만 공익을 위해선 개인적인 사적인 경우를 희생해야 하는 경우도 있습니다.

따라서 늘 모르면 물어서라도 각자가 보안에 대한 생각을 가지고 생활 했으면 합니다..오늘 신문기사를 보다가 왜 보안을 해야 하는지 그 답을 얻은거 같아서 잠시 포스팅 해 봅니다..@엔시스.







Posted by 엔시스

이 포스팅은 정보통신연구진흥원 "최근 IT동향"을 필자가 재구성 편집하여 포스팅 함을 미리 밝혀 드립니다. 참고 하시기 바랍니다,.이미지 출처도 동일 합니다.

미국 보안회사 RSA security가 자사의 모니터링 시스템을 통하여 분석한 결과 2008년이 최다 피싱 건수가 있었다고 밝혔다. 이는 2007년까지가 최다였으나 2008년이 또 최다가 되다보니 피싱건수는 점차 증가하고 있는 추세라고 보면 되겠다.



전 세계를 대상으로 하는 미국이다 보니까 피싱건수도 상당히 많다는 것을 알수 있다. 평균 8000건 에서 많게는 월에 15000건 까지 분포 한 것을 알수 있다.

이 보고서에 따르면 이렇게 피싱건수가 증가하는 것은  [Rock Phish] 라는 범죄 조직이 기승을 부리고 있다고 밝히고 있다. 이 조직은 피싱 건수의 약 50%가 이루어지고 있어 RSA Security 사는 경고하고 있다.

이러한 범뵈 조직은 봇넷을 이용하여 가짜 사이트를 구축하거나 봇넷을 통하여 피싱용 이메일을 보내고 있다는 것이다.



피싱에 이용된 국가를 보더라도 미국이 단연 앞도적이라는 것을 볼수 있다..아무래도 미국 시장이 크니까 그렇지 않은가 하는 생각을 해 본다.



하지만 중요한 것은 확인된 피싱 사이트 국가별 비율에서 한국이 7%나 차지 하고 있다는 것은 눈여겨 보아야 할 사실이다. 이는 미국,독일 다음으로 한국으로 피싱 사이트에 얼마나 취약한지를 알수 있다.

아마도 인프라가 잘 갖추어져 있는 반면에 인터넷을 사용하는 사용자 수준은 그 이상 잘 따라가지 못하여 발생하는 피싱사이트에 노출이 되어 있어서 그런것이 아닌가 생각이든다.

피싱사이트는 가짜 웹싸이트를 진짜처럼 똑 같이 만들어 놓고 자신의 개인정보라든지 아이디/패스워드를 입력하게 하여 정보를 빼앗아가서 여러가지 범죄 행위를 하는 것을 말한다.  쉽게 말하면 우리가 잘 사용하는 은행 홈페이지나 게임 홈페이지를 똑 같이 만들어 놓고 메일을 보내어 무슨 무슨 이벤트가 있는데 참여하면 "공짜로 00를 주겠다"라고 낚아 버린다면 불특정 다수인을 상대로 하기 때문에 분명히 걸려드는 경우가 있다.


그럼 피싱사이트에 걸려 들지 않으려면 어떻게 하면 되는가?

이러한 피싱사이트는 보통 이메일을 통하여 많이 접근을 하게 된다, 따라서 이메일로 보내온 것 중에서 호기심을 자극하는 메일이나 이벤트성 메일에 링크를 따라 클릭하여 따라 가기 보다는 반드시 검색이나 즐겨찾기 또는 직접 URL을 타이핑하여 해당 웹싸이트를 접근하기 바란다.

피싱사이트가 표가 나지 않느냐고?

필자도 언제인가 한번 피싱 사이트를 본적이 있는데 진짜와 똑같다..물론 첫 화면을 이야기 하는 것이다. 그 이후에 클릭을 하여 개인정보를 넣는다든지 하는 부문들은 약간 허술하다는 느낌이 드는데 아무런 보안의식이 없는 사람들은 그 차이점도 잘 발견하지 못하기 때문에 각별한 주의가 필요하다.


결론

결국은 우리 주위 환경에서 나 자신의 정보를 가져가려는 시도는 다양하게 접근을 하고 있다. 이러한 사항에서 내가 안전하게 대처하려고 하면 우리 모두 어느정도 보안지식을 가지고 있고 관심 정도는 가져야 한다. 그렇지 않는다라고 하면 언제가 무심코 그러한 시스템 환경 속에서 나 자신의 정보는 자신도 모르게 빠져 나간다는 사실을 인지 하고 있어야 한다. 그 대표적인 사례로 피싱 사이트를 들었지만 여러가지 많은 사례들이 있다. 추후 시간이 될때마다 이러한 사례와 통계를 통하여 조금 더 보안에 대하여 주의를 기울일수 있는 글을 써 보고자 한다. 이 포스팅으로 인하여 구독하는 단 한 사람이라도 마음에 보안에 대한 각인이 되었다라고 한다면 포스팅의 목적을 다 한 것이라 생각한다. @엔시스


Posted by 엔시스



http://www.donga.com/fbin/moeum?n=it$k_701&a=v&l=0&id=200809110174

보안 후진국에서 벗어나자는 이야기를 수 없이 하지만 전국민의 보안 의식은 아직도 바닥을 기고 있는 듯 하다. 이는 잘 갖추어진 인프라가 오히려 독이 된다는 뜻이기도 하다.

이런 인프라를 활용하기는 커녕 남에게 이용당한다는 것은 상당히 자존심 상하는 일이다. 그런데도 아직도 정보보호, 보안이라고 하면 그들만의 외침으로 치부해 버리고... 아직도 정신 차리지 못하는 것 같다.

개인정보 유출로 기업 이미지에 큰 타격을 입고 있는 최근 모 정유사 같은 경우도 제대로 된 보안의식이 있었다면 미연에 방지 할수 있었을 것이다.

각자 개인이 괜찮겠지 하는 생각으로 무심코 넘긴 것이 관리 소홀이나 실수로 인하여 어마어마한 결과를 초래하는 것이다..

이런 것을 감안 한다면 기업은 보다 많은 보안 부분에 투자를 해야 한다. 직원들의 윤리적, 도덕적 정신 교육이나 평소 기업에 해를 입히지 못하도록, 더 나아가서는 산업 기술 유출과 같은 수조원대의 기술 유출까지 하나에서 열까지 꼼꼼히 살피고 체계적인 정책 수립도 하여야 한다.

특히, 정보보호관리체계와 같은 체계적인 정책 수립을 통하여 우리 조직에서 나 자신에서 무엇이 소중한지 무엇인 보호해야할 자산인지 식별 조차 할수 없다면 정보에 대한 보호는 있으나 마나 한 정책이 된다.

이제는 투자할때는 좀 투자해 보시라..

수조원에 달하는 소송에 휘말리기전에 정기적인 점검이나 교육이 있었다면 감히 내부 정보 유출 모의 할 생각을 어떻게 하였겠는가?

무엇인가 빈틈이 보이고 이것은 할만 하니까 자꾸 그렇게 마음이 간 것이다. 그렇게 마음 먹지 못하도록 아예 미연에 방지를 해야 한다.

정보에 대한 보안에 대한 피해는 일단 발생하고 나면 그 피해액은 어마어마 하기 때문에 경영진은 잘 생각을 하고 보안에 대한 투자를 하기 바란다. 내가 하란다고 하고 하지 말란다고 않하는 것은 아니겠지만 자신에 대한 보험은 들면서 기업에 대한 보험이나 투자는 왜 안하는가?

자신이 이루어낸 기업 조직이라면 그 정도 투자는 괜찮다고 생각한다.  아침에 잘 갖추어진 인프라를 활용하지 못하고 보안 위협 1위 나라라는 글을 보니 참으로 암담하고 욱 하는 바람에 몇자 적어 보았다. 제발 이제는 자신의 정보는 자신이 지키고 옆에서 보안에 대하여 안이하게 대처하면 그렇게 하지 말라고 말 할수 있는 보안마인드를 가진 전국민이 되었으면 좋겠다.
Posted by 엔시스

정보보호에 대한 인식이 많이 대두되고, 해킹에 대한 언론의 이슈가 많이 되어 대기업등의 경우에는 많은 보안 솔루션들을 도입 설치하고 있다.

하지만 중소기업의 경우 보안 솔루션을 도입하려고 해도 고가의 장비라 쉽게 엄두를 내지 못하는게 현실이다. 그것에 대한 반길만한 기사하나를 소개한다. 중기청에서 저가의 보안장비 개발한다고 한다.


중소기업의 보안 현실은 어떤가?

중소기업의 산업기밀 유출은 외부에 의한 유출보다는 주로 전ㆍ현직 직원에 의한 유출이 전체의 80% 이상을 차지하는 것으로 조사되었다.


기술정보 유출자는 주로 퇴직직원 79.5%, 현직직원 11.5%, 경쟁업체 12.5%로 나타나 주로 전ㆍ현직 직원에 의해 기술정보의 유출이 발생하고 있는 것(90.9%)으로 조사되었다.


그럼에도 불구하고 중소기업은 사내 보안관리규정 위반시에 사후조치에는 매우 미흡한 것으로 나타났다. 사내 보안규정 위반시 사후조치에서도 징계(39.9%)나, 보안교육 실시(13.1%)보다는 소극적인 조치(구두주의(39.3%), 별도의 조치 없음(7.7%))를 취하는 것으로 분석되었다.


또한, 산업기밀 유출시 대응방법에서도 중소기업과 대기업은 커다란 차이를 보이고 있다. 대기업의 경우 수사기관에 수사를 의뢰(52.2%)하거나, 관계자를 고소ㆍ고발(34.8%)하는 등 강력한 조치를 취하는 반면, 중소기업의 경우 특별한 조치를 취하는 않는 경우가 42.5% 나타나 기밀유출에 대한 사후대응에 상대적으로 소극적인 것으로 나타났다.


                                                              <출처: 보안 뉴스 >

그렇다..현실은 중소기업에서 내부자에 따른 기술유출이 가장 많고, 체계적인 보안에 대한 대책 수립도 없는 실정이다. 이런 측면에서 볼떄 저가형 보안장비 개발은 반길만한 일인데..기사를 읽어 본 개인적인 생각은 과연 중소기업이 만든 보안솔루션을 중소기업이 얼마나 많이 도입할것인가에 대한 의문이다.

그건 그래도 이름있다는 보안기업이 만든 제품도 잘 도입을 안한다고 하는데 단지 가격이 저렴하다는 이유하나로 중소기업이 도입 할것인가라는 생각이다.  그것에 따른 서비스와 유지보수 기타 부수적인 지원이 가능해야 할것이고, 또다른 여러가지 방안들을 고려해 보아야 할 것이다.

그리고 기사 말미에도 나왔지만 제일 중요한건 중소기업 CEO의 보안 인식에 대한 의지이다. 지금까지 보안에 신경 안쓴 사람이 갑자기 추가적인 비용을 들여 보안 장비 도입을 할일이 만무하다.

그건 내가 실무에서 부딪혀본 결과 그렇다., 한가지 재미있는 사실은 해킹 몇번 당하면 바로 실행에 착수하고 먼저 찾더라..그전에는 아무리 이해기 해도 귀에 들어오지 않는다...

왜냐하면 평상시 잘 운영되고 넘어갈땐 딱히 보안으로 인한 눈에 띄게 이득(利得)이 안보이기 때문이다.

애써 개발한 "세계 최초 원천기술"  "국내 최소 원천기술" 이란 타이틀 빼앗기고 싶지 않으면 우선 보안에 대한 마인드부터 가져야 할 것이다.  끝.  -엔시스@

Posted by 엔시스