미국 정보보호잡지인 http://www.net-security.org 에 따르면 내년 IT보안을 도입하는데 주요 요소가 되는 영역 10가지를 발표 하였다.

그 내용을 살펴보면 다음과 같다. 그 주요 요소로서는 비용감소(Redice ongoing costs)와 ROI를 많이 참조 한듯하다.



1. XTMS( eXtensible threat management systems)


우리나라말로 하면 확장된 위협관리시스템 정도 되겠다. 이것은 기존에 UTM에서 XTM으로 넘어가려는 경향이 있고 기능과 유용성이 증가하게 되어진 것이다. 


XMS는 보안 니즈에 전략적 요구가 증가하고 있기 때문이다. 이런 성장 가운데 큰 요인은 바로 비용절감이 큰 몫을 하고 있다. (보통 단일 솔루션 당 25% 정도의 가치를 가지고 있다). 또한 다양한 위협을 포함하고 있고, 그린IT를 수반하는 환경적 요소에 우위를 가지기 때문이다. 이러한 부분에서 결국 솔루션은 컨버젼스되어 하나로 통합되는 추세가 될 듯 하다. 결국 통합 솔루션을 사용하기 위한 하드웨어 스펙은 상당히 고사양이 될 것이다.


2.  이중 인증 (two-factr authentification)

싱글 패스워드는 비용대비 덜 안전하다. 이러한 것은 헬프데스크에 자원을 많이 사용한다. 이러한 것들은  아이디 도용이나 절취에 대한 인식이 증가하고 비용을 줄이기 위하여 이중으로 된 인증체계에 대한 요구가 생기게 되는 것이다. 예를 들면 PIN(Personal  Identify Number)이나 소프트웨어 토큰과 같은 것이다. 이러한 2FA은 헬프데스크의 비용을 감소 시키고 보안을 강화 할수 있는 것이다. 이러한 솔루션으로는 OTP (one tme password)와 SMS 토큰이 있다. 또한 Vasco and CryptoCard 등이 있다. 결국 이제는 하나만 가지고 인증을 해서는 되는 것이 아니라 추가로 하나 더 인증을 하여 인증을 두개의 인증을 통과해야 안전하다는 것이다.



3. 암호 (Encrtption)

데이터 유출은 공공 도메인에서 정부의 실수로 종종 일어나는 경우가 있다.  또한 일반 회사는 비용 감소 때문에 원격에서 일하는 것이 더 늘어나고 있다. 이러한 부분에 있어서 데이터를 암호화 하는 것이 가장 비용이 적게 드는 것이다. (이러한 것은 데스크탑이나 모바일, PDA등을 모두 포함한다.) 이러한 솔루션은  Kaspersky Lab, Check Point, Yoggie, LogLogic, ArcSight 등이 있다.
보안하면 암호부터 떠 올릴수 있는데 이러한 암호가 더 성장 발전하는 해가 되지 않을까 내다 보는 것이다.


4. 호스트 보안

보안이 복잡화 되어짐에 따라 보안 서비스에 대하여 한달에 한번씩 주요 보안서비스에 대하여 비용을 지불하는 호스트 서비스를 하게 되어진다. anti-virus, online back-up, web security, UTMs, anti-spam and two factor authentication. 이러한 솔루션을제제공하는 회사는 Kaspersky Lab, CryptoCard and Barracuda Networks 등이 있다. 결국 이제는 자신의 보안을 맞춤형으로 하여 하나의 서비스로 자리 잡아 월에 얼마씩 지불하고 보안을 해주는 호스트 보안이 성장 발전 할 것이라는 것이다. 이러한 것은 정보보호 담당자의 부담을 덜어주고 실제 보안에 더 심혈을 기울일수 있기 때문에 가능 할 것 같다는 생각이 든다.


5. 인터넷필터링

불경기로 인하여 웹을 통하여 이루어지는 일들이 많아진다. 다시말해 오프라인보다 온라인에서 더 활발하게 이루어지다보니 자연히 인터넷에 접근되어지는 비중이 더 높아지는 것이다. 이러한 인터넷 웹브라우징을 이용하여 악성코드나 멜웨어등을 통하여 범죄도 더 많이 증가된다. 따라서 인터넷에서 이루어지는 필터링에 대한 솔루션들이 더 활발하게 성장 할 것이라는 추측이다.


6. 엔드포인트 보안

경비 절감으로 인하여 원격에서 일을 하는 경우가 증가하고 이러한 원격 작업시 정보유출이나 데이터 위변조를 막기 위한 암호화등 여러가지 엔드포인트단에서 이루어지는 보안이 요구되어진다. 이런부분은 올해 7.7 대란에서도 일어났듯이 일반 사용자들의 PC가 좀비로 변하면서 기존에 기업이나 조직 서버쪽 보안에서 엔드포인트단으로 눈을 돌려야 하는 것이다. 기업은 이제 어느정도 보안이 되었지만 일반 사용자는 아직도 그 보안수준이 미미한 형태이다.


7.  안티바이러스

이러한 엔드포인트단에서의 보안 솔루션중에 가장 대표적인 것이 바로 안티바이러스이다. 이러한 것은 PC에서 많은 리소스를 차지하고 또한 큰 업데이트 파일이 늘어남에 따라 부담이 되는 경우가 많다. 이런 부분은 PC 리프레쉬를 딜레이 하게 됩니다. 최근 안티바이러스 업체들은 이러한 리소스와 자원을 적게 차지 하는 부분에 포커스를 맞추고 있고 조금 더 작은 사이즈이면서 PC에 부담을 덜게하고 사용할수 있는 방식으로 제품을 만들어 가고 있다. 언제까지 업데이트 하면서 사이즈만 커질수는 없는 노릇이 아닌가.


8. VoIP 보안

국내에서도 인터넷전화에 대한 수요는 점차 늘어나고 있으며 최근 모 이동사에서는 mVoIP도 이야기가 나오고 있다.. 이러한 부분으로 볼때 인터넷전화에 대한 방화벽이나 DDoS 솔루션등..인터넷전화에 대한 여러가지 보안 이슈들이 많이 나오고 보안의 요구 사항도 늘어 나게 될 것이다. 인터넷전화에 대한부분은 벌써 몇년전부터 나온 이야기지만 아직까지 시장이 그리 많이 활성화 되어 지지 않았다. 하지만 이제 유선시장에서 승부를 보지 못한 각 이통사 및 유선사들이 인터넷 시장으로 더 확장 하기에 그에 대한 수요와 보안에 대한 위협도 급증하리라 생각이 든다.


9. 컴플라이언스

컴플라이언스는 IT보안이 급속하게 성장하면서 요구되는 주요 요소입니다. 여기서 말하는
IT 컴플라이언스(Compliance)란 각종 법, 제도적 규제 및 권고의 철저한 대응을 위해 IT 인프라로 구현하는 작업을 의미합니다.



10. 음성과 데이터의 건버넌스

거버넌스는 모바일 시스템에도 적용이 되는데 급속하게 성장을 하고 있으며 이러한 것은 상당한 경비 절감과 효과 개선으로 하여 비용 절감효과를 가져 온다. 최근 이통사에서 정액제를 내 놓으면서 많은 데이터 사용이 활성화가 되고 있다. 결국 음성과 데이터가 이제는 비슷한 비율로 사용이 되면서 이에 따른 보안 성장도 있을 것이라 예측을 하는것이다.


마무리글

10개의 2010년 보안에 포커스가 맞추어질 주요 영역을 살펴 보았다. 일반적으로 이미 알고 있는 내용도 있지만 또한 글로벌 IT보안 트렌드가 변해가는 흐름도 느낄수 있다. 특히 국내에서는 기존 IT보안보다 새로운 서비스와 상품으로 인하여 새롭게 요구되는 인터넷 전화와 스마트폰의 활성화로 인하여 새로운 보안 이슈와 위협이 대두 될 것이다. 또한 올해처럼 엔드포인트단에 일반 사용자들의 좀비PC로 만들어지는 경우에 일반 사용자들의 보안요구사항도 올해 보다 더 많이 요구 될 것이다. 이러한 흐름을 미리 파악 함으로 인하여 2010년에는 더 강화된 보안 서비스를 준비 할수 있을 것이다. 우리는 미래를 내다 보는 인사트한 통찰력이 필요한 것이다. 비록 그것이 맞아 떨어지든 틀리든 간에..  @엔시스.


* 본 글을 http://www.net-security.org 에 올라온 글을 재구성한 글임을 밝힙니다.



Posted by 엔시스

필자는 TV는 뉴스와 경제, 시사,다큐만 주로 본다. 그것도 특별한 프로그램이 아니면 TV를 자주 보는 편이 아니다. 주로 인터넷을 통하여 모든 정보를 얻을 수 있기 때문이다. 그런데 최근 국회 '미디어법' 통과를 두고 말이 많다.

정치적인 이야기는 하지 않겠다. 그것은 이 블로그의 내용상 맞지도 않고 그렇게 정치 운운할 역량도 되지 못하니 순수하게 보안적인 관점에서 이번 사태의 촛점을 찾아 보기로 한다.


1.전자투표시스템이란?

전자투표란 전자 투표행위나 투표 집계작업시 전자적 수단이 도입된 투표 방식이라 할 수 있겠다. 따라서 예전에 기표소 안에서 하얀 천막치고 그 안에서 볼펜 막대 같은 것으로 빨간 인주를 찍어서 하는 투표와는 다른 방식인 것이다.

2. 왜 전자투표 시스템을 사용하는가?

무엇보다 신속한 데이터 수집 합산으로 인한 빠른 표결 처리를 확인 할 수 있기 때문이다. 또한 일일이 수작업을 통하여 사람이 가,부 판단을 하는 시스템에서 벗어나 전자적으로 하기 때문에 훨씬 효율적인 것이다.

3. 전자투표 시스템은 언제 도입이 되었는가?

중앙 선관위는 2012년까지 전자투표 도입 방침을 로드맵[각주:1]을 잡은 적이 있으며, 국회에서는 2000년 16대 국회부터 표결 원칙이 기립표결에서 의원 개개인의 투표 결과를 직접 눈으로 확인, 의원의 책임성을 높일 수 있는 전자투표로 바뀌었다.[각주:2]


4. 전자투표 하는 방식

  • 터치스크린 방식 - 스크린에 정해진 부분을 눌러 하는 방식으로 네덜란드등에서 사용중
  • PC기반 기술방식 - 투표를 위해 키보드와 마우스를 이용하여 사용하는 것으로 브라질에서 사용
  • 키오스크 방식 - 투표소가 아닌 편리한 장소,일터,병원등에 설치되어 이용되는 방식

5. 전자투표의 요구 사항  -  제일 핵심적인 부분이 아닐까 생각한다.

    • 안전성 -정당한 유효투표가 정학하게 투표 결과에 집계되어야 한다.
    • 건전성 - 부정투표자에 대하여 투표가 방해되어서도 안되고, 투표 결과에 부정 투표가 집계되어서도 안된다.
    • 기밀성,익명성 - 모든 투표는 비밀투표이고 투표자의 내용을 알 수 없어야 한다. (일반적인 투표)
    • 이중투표불가성-정당한 투표자는 두번 투표 할 수 없어야 한다.
    • 권한성 - 투표권이 없는 사람은 투표에 참여 할 수 없어야 한다.
    • 공정성 - 투표에 영향을 미치는 일이 없어야 한다, 투표과정에서 일부분의 투표 내용이 알려져 투표에 영향을 미쳐서는 안된다.
    • 검증성 - 투표 결과를 조작 할 수 없도록 누구라도 자신의 투표 내용이 투표 결과에 반영이 되었는지 검증 할 수 있어야 한다.[각주:3]


    6. 무엇이 문제였나?


    보안 연구하는 사람으로 가장 중요하게 생각하는 것 중에 하나가 바로 인증(Authentication)이다. 조금 쉽게 말하자면 바로 나, 나임을 판단하는 근거를 마련하는 것이다. 대표적인 것이 아이디/패스워드와, 생체정보 등이 있을 것이다. 그리고 가장 흔히 알고 있는 것 중에서 주로 인터넷뱅킹 할때 사용하는 인증서도 있을 것이다. 그런데 국회 전자투표 시스템에 인증절차가 없었다니..


출처: 각주1


뉴스를 보다가 황당한 느낌이 들었다. 대리투표 의혹이 불거져 나오는 것이다. 그것도 '미디어법'이라는 여야 첨예한 대립을 가지고 1차 논의를 연장하면서까지 중대한 투표를 하는데  본인 인증 절차도 없었다고 한다는 것은 전자시스템 설계 당시부터 잘못 되어 있다는 반증이기도 하다.

필자는 대학원에서 연구를 할때 한때 전자투표 시스템에 대하여 연구한적이 있었다. 그래봐야 SCI논문에 올라온 외국 전자투표 관련 논문 몇개 번역하고, 수업시간에 전자투표에 대한 공부가 고작이지만 위에 요구사항 7가지에 대해서는 어떤 전자투표 논문이나 연구에서도 언급이 되어 있었다. 심지어 국가공인 정보보호전문가 자격증 (SIS) 시험에도 기본적으로 공부해야 하는 것 중에 하나이다.

그런 중요한 것이 국회 전자시스템 투표하는데 적용이 되지 않아 정책적으로 투표 하는데 아무나 다른 곳에 가서 버튼을 누르고 투표를 한다는 것 자체가 모순이다.

7. 어떻게 해야 하나?

민주주의 국가에서 국민의 권리를 행사하는 것 중에 하나가  바로 "투표권" 행사이다. 그런 설계 시스템에 '보안'적 부분이 미흡하다는 것은 아주 치명적인 것이다. 그것은 오히려 디지털을 좋아하다가 다시 아날로그로 돌아가는 시대에 흐름에 역행하는 것인지도 모른다. 오히려 흰 천막안에서 빨간 인주로 볼펜막대로 투표하는 것이 더 나을지도 모른다. 그곳에서 자기가아닌 다름 사람이 들어가 투표를 하지는 않지 않는가?

법을 만드는 국회에서 그 법이, 정책적 논리로 부정하게 정당한 국회의원 개개인의 투표권 행사에 어떠한 외부적 영향력 행사도 있어서는 안되어야 할 것이며,  국회 전자투표 시스템에 대한 설계를 다시 재검토하고 수정하는 것이 불가피 하게 보인다. 5번에 요구사항을 참고하여 잘 설계해 보기를 바란다.


마무리글

보안은 생활에 일부분이다.  필자가 외치는 것 중에 하나가 "보안문화의 생활화"이다. 앞으로 다양한 분야와 다양한 형태에서 사건 사고가 터지면서 "보안" 잘못 되었네. 하면서 수 많은 질타를 하고 받을 것이다. 이 모든 것이 아직까지 우리 생활 습관에 보안에 대한 실천과 마인드가 스며들지 않았기 때문에 그런것이다. 아마도 이번 '미디어법'의  정치적인 이슈로 인하여 "국회 전자투표 시스템" 설치 업체는 또 다른 압박을 받을 것으로 생각이 된다.

개인적인 생각으로는 제안시에 전자투표에 대한 "인증"이 빠질리가 없다. 그것은 보안을 연구하는 사람이라면 제일 먼저 생각하는 것이 바로 '인증'이기 때문이다.  어떠한 사유로 인하여 이러한 전자투표에 '인증' 절차가 빠졌는지 모르겠지만 초기 시스템 설계시 만약 그런 언급이 없었다면 실수를 한 것이다. 그것이 얼마나 크나큰 여파를 가져 오는지 우리는 눈으로 똑똑히 보고 있는 것이다.

이렇듯 보안은 잘 지켜지지 않았을때 무서운 것이다. 이제는 보안에 대하여 인식을 좀 했으면 한다. 잘 모른다면 전문가의 조언에 꼭 귀를 기울일 필요가 있다. 

이제는 모든 프로젝트나 업무를 할때 조직에 장이나 고위관계자는 실무자에게 이런 질문을 하는 습관을 가지는게 좋겠다.

조직에 장 : " 이번 업무는 말이야 보안적으로는 문제가 문제가 없나요? "
실무자: " 네..이러이러한 보안적 문제가 대두되고 있는데 어떻게 조치 할까요? "
조직에 장 : " 응..그래요?...요즘 말이야..보안보안 하는데 나도 보안에 관심을 좀 가져야겠어"
                " 보안에 대한 대응책을 마련해서 보고 할 수 있도록 하세요"

이런 대화가 오고가는 날이 하루 빨리 오기를 기대 하여 봅니다. @ 엔시스.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

* 추가포스팅:

포스팅하고 나서 검색하다보니 이런 영상이 있었는데 이것은 진정 아닌거 같습니다. 무슨 국회투표가   동네 반장 선거투표도 아니고..이번엔 딱 걸렸습니다.

http://www.seoprise.com/board/view.php?table=seoprise_12&uid=74967

* 추가포스팅2: 
'미디어법' 이 옳고 그르다를 떠나서 일단 한마디만 하겠습니다. 동영상을 다시 한번 보았는데 너무 황당합니다. 국회의원이면 똑똑한 사람들 모아다 놓았을텐데 초등학교 반장선거 투표도 이렇게 하지는 않을 것 같습니다.  국민이 뽑은 국회의원의 자질이 의심스럽습니다. 꼭 그렇게 해야만 했었는지 하는 의구심이 듭니다.  그리고 당파를 떠나서 그렇게 행동했다는 자체가 국민의 한 사람으로서 화가 납니다. 자신이 한 행동이 당에 도움이 되리라 생각을 했겠지만 결국 당을 해(害)치는 꼴이 되었습니다. 

* 검은 돌을 자꾸 흰돌이라고 합니다. 누구나 눈으로 확인하는데도 말입니다.
국민을 바보로 알지 마시길 바랍니다.  그렇게 국민이 우습게 보입니까? 정치 생명이 4년이라는 것만 기억하시기 바랍니다. 아니 국회의원이 이리저리 다니면서 대리투표하면서 하는 행동을 어찌 그냥 가만히 보고만 있으란 말입니까?

* 신성한 국회에서 법처리하는데 뒤 방청석에서는 두눈 시퍼렇게 뜨고 카메라 셧터 누를 준비만 하고 있는데  그런데도 그냥 무자비로 하면 통할줄 알았습니까?

http://www.seoprise.com/board/view.php?table=seoprise_12&uid=74967

동영상 다시봐도 이건 아닙니다. 꼭 이렇게 해서라도 통과되어야 할 법인지요. 국회의원 품위를 지키는것은 책에나 나오는 것인지요.

정치이야기 안 한다는 포스팅이 결국 정치 이야기로 끝나버리네..쩝..보안 이야기 구독하신 분들에게는 죄송하단 말씀 드립니다., 하도 열받아서리..

* 추가포스팅3

국회 영상회의록 홈페이지 (http://w3.assembly.go.kr/vod/index.jsp ) 참고 하세요..역사의 현장입니다.
정말 대한민국이 부끄럽습니다.


각주
--------------------------------------------------------------------------------

  1. 중앙선거관리위원회, "전자투표 추진계획 및 로드맵". 중앙선거관리위원회 자료실 선거자료, 2005.4 [본문으로]
  2. 네이버 용어사전, http://terms.naver.com/item.nhn?dirId=702&docId=988 [본문으로]
  3. 강신범,정현철 "전자투표 사업현황 및 사례분석" 정보보호학회지 . 2005.10 [본문으로]
Posted by 엔시스

인터넷을 이용한 전자상거래에서 보안 서비스는 절대적으로 필요하다. 여기서는 위험요소를 해결하기 위한 보안 요구 사항을 살펴본다.


가. 시스템 보안


클라이언트와 서버 어플리케이션이 동작하는 시스템 자체에 대한 보안이 요구된다. 즉 시스템에서 다양한 서비스가 제공될 경우 중요한 정보의 파괴는 치명적이다.


나. 클라이언트 인증


서버의 정보에 접근하는 사용자들을 통제하기 위해 클라이언트를 식별할 수 있는 기법이 필요한데, 이것은 인증 서비스를 통해 가능하다. 대부분의 시스템에서 불법적인 사용자의 이용을 1차적으로 차단하기 위해 가장 일반적으로 이용되고 있다.


다. 서버 인증


인터넷은 서로를 직접 확인할 수 없는 가상 공간이라는 특성을 지니고 있어서 사용자는 서비스 제공자에 대한 신뢰를 확보하기 매우 힘들다. 따라서 구매 주문서나 공문서와 같은 중요한 정보를 교환하고자 할 때, 클라이언트 인증뿐만 아니라 서버 인증을 포함하여 상호 인증 서비스를 제공해야 한다.


라. 전송되는 데이터의 인증, 기밀성, 무결성 보장


인터넷의 이용이 일반화되면서 중요한 정보의 전송 시 인증, 기밀성 및 무결성 등의 보장이 요구된다. 그렇지 않을 경우 TCP/IP 보안의 취약성으로 인해 네트워크를 통해 전송되는 모든 데이터는 도청 및 변조가 가능하다. 따라서 제3자에 의해서 불법적인 도청 및 변조를 막을 수 있는 기밀성과 무결성을 제공해야 한다. 또한 데이터의 송수신자를 확인할 수 있도록 데이터에 대한 인증이 함께 필요하다. 이러한 기능이 없을 경우 송수신을 부인할 수 있다.


마. 접근제어


서로 다른 중요도를 가지는 정보 및 시스템에 대해서 접근 권한을 달리 부여할 수 있어야 한다. 즉, 읽기만 또는 읽기와 쓰기도 가능하게 할 수 있어야 한다.


이러한 보안 요구 사항들은 모든 어플리케이션에서 반드시 공통적으로 만족해야 하는 것은 아니지만 인터넷을 통해 중요한 데이터를 주고받는 환경에서 데이터에 대한 기밀성 및 무결성은 반드시 제공되어야 하는 보안 서비스이다.


'Security Skill&Trend' 카테고리의 다른 글

중소기업 맞춤형 정보보호 지침서 발간  (0) 2006.04.24
인터넷 보안의 범위  (0) 2006.04.22
인터넷 보안 요구 사항  (0) 2006.04.22
인터넷의 위험 요소/보안 서비스  (0) 2006.04.22
conference.hackingthebox.org  (0) 2006.04.20
www.owasp.org  (0) 2006.04.20
Posted by 엔시스