어느 날 필자가 활동하는 카페에 모 결혼정보회사에 대해 남긴 댓글이 차단되었다는 통보가 왔다. 카페회원 중 모 결혼정보회사에 대한 질문에 해당 업체가 예전 자사에 좋지 않은 내용이 올라오면 명예훼손으로 글을 차단했다는 답변을 달았는데 해당 업체에서 필자의 그 댓글도 차단했다.
인터넷에서 해당 결혼정보회사를 검색해보니 모두 추천하는 내용뿐이었다. 그리고 간간히 보이는차단 글은 자사에 불리한 내용으로 보였다. 또한 해당 업체를 추천한 아이디를 보면 무의미해 보이는 영문자나 한글로 변환해보면 ‘더럽다OO’, ‘초O롱’ 등 같은 단어로 기계적으로 만들어낸 가능성도 있었다. 이른바 업체에서 질문을 올리고 업체에서 답변을 달아 홍보하는 게 아닐까 하는 의심이 들었다.
사용자 입장에서는 광고가 없으면 가장 좋겠지만 현실적으로 어려운 일이고 기업 입장에서 생각하면 홍보는 필요하다. 하지만, 사용자를 불편하게 하는 광고나 교묘한 광고는 반감을 불러 일으킨다. 고객들이 어떤 불만을 가지는지 파악하고 문제를 해결하는 게 정상적인 업체의 모습이 아닐까 싶다. 하지만, 몇몇 업체는 서비스를 향상 시키는 위해 노력하지 않고 불만을 가진 고객의 글을 차단하고 심지어 자사에 불리한 글을 올렸다고 소송까지 걸고 있다. 이런 업체가 광고를 잘해 가입자가 증가하고 점차 유명해지고 있는 현실을 보니 안타까움이 들면서 동시에 최근에 난립하고 있는 짝퉁(?) 보안 업체가 떠올랐다. 크게 위험하지 않는 사항을 대단한 보안위협인양 겁을 줘 치료를 위해 돈을 요구하는 성능 떨어지는 보안 프로그램이 인터넷 광고나 다른 프로그램에 번들로 설치되어 많은 돈을 버는 현실을 생각하니 씁쓸해졌다. 이런 업체들도 자사에 좋지 않은 평이 달리면 명예훼손을 이유로 글을 차단하고 있다.
업체들이 직접 인터넷을 통제(?) 하는 경우도 있지만 광고 대행 업체에 맡기는 경우도 많이 있으며 이런 업체 중 일부는 광고 효과의 극대화를 위해 불법으로 유통되는 개인 정보를 이용하고 있다. 교묘한 광고는 적어도 법적인 틀 안에 이뤄지고 있어 도덕적인 비난 정도이지만 불법 개인 정보 이용한 광고는 불법 행위이다.
필자에게는 2010년 중반부터 포털을 통해 광고 쪽지가 오기 시작했고 모르는 사람으로부터 싸이월드 일촌 신청이 왔는데 확인해보면 이들은 모두 현재 이용 중지된 사용자였다. 또한 카페에 광고 글을 남기는 사용자들 중 계정을 도용 당해 억울하게 강퇴당하는 경우도 있다고 한다. 이들 광고 중 상당수는 도용당한 주민등록번호 혹은 웹사이트 해킹을 통한 계정과 암호로 이뤄졌을 가능성이 높다.
2003년 10월 소빅 웜(Win32/Sobig.worm)의 제작 목적이 감염된 시스템을 통한 스팸 메일 발송임이 확인되면서 악성코드 배후에는 일부 광고업자가 있다는 게 알려지게 된다. 이후 광고 업자들은 블로그, 쇼설네트워크 등 유행하는 서비스를 따라다니며 광고하는 발빠른 모습을 보인다.
정보의 바다가 아닌 광고의 바다가 된 인터넷에서 사용자들도 더 현명해져야 할 것이다. 다음 사항에 주의하는 건 어떨까?
첫째, 인터넷에 칭찬만 존재한다면 한번쯤 의심해야 한다.
많은 사용자가 제품 구매전 인터넷에서 사용자 평을 참고 한다. 보통 고객이 많을 수록 자연스럽게 불만도 증가할 수 밖에 없다. 만약 인터넷에 칭찬 일색이라면 사실이 아닐 수 있다.
둘째, 권리침해 글이 많은지 확인해야 한다.
포털에서 ‘컴퓨터바이러스 백신’, ‘백신’, ‘바이러스’, ‘악성코드’를 검색해보면 생소한 업체들이 많이 나온다. 앞에서 언급한 결혼정보회사나 허위 혹은 저급 백신 프로그램을 만드는 업체들 처럼 후발 업체들도 인터넷을 통해 광고만 잘해도 빠르게 성장할 수 있다. 하지만, 일부 업체는 당장의 수익을 위해 제품이나 서비스를 향상시키지 않고 사용자들의 글을 차단하고 있다. 만약 칭찬은 많지만 차단된 글이 많은 업체라면 주의할 필요가 있다.
셋째, 평소 개인정보 유출을 주의해야 한다.
일부 부도덕한 광고 대행 업체들은 유출된 개인정보를 이용해 마치 일반 소비자인양 광고를 하고 있을 수 있다. 따라서, 자신의 계정과 암호가 유출되지 않게 주의해야 한다. 많은 경우 웹사이트를 해킹해 유출된 계정과 암호를 그대로 이용하므로 사이트 종류별로 다른 암호를 사용하거나 자신만의 규칙을 만들어 웹 사이트마다 다른 계정과 암호를 사용하는 것이 좋다. 그리고, 필요하다면 주민등록번호 도용 차단 서비스도 가입해 두자.
사용자가 부도덕한 광고에 속아 돈을 지불하면 저급한 제품과 서비스로 소비자가 손해를 볼뿐 아니라 악성코드가 증가할 수도 있다. 이제 소비자들도 보안을 위해서라도 광고를 좀 더 꼼꼼하게 봐야 한다면 지나친 걱정일까? Ahn
구직 정보가 명확하지 않는데 개인정보를 요구하고 연락을 주겠다는 그럴듯한 애기를 꺼내면서 낚시를 당하는 척 했습니다.
..연락을 준다고 해놓고서 ..내 개인정보 몰래 분식회계한후 -_-; 배를 쨀려고 하다가.. 들통나서 망한것 같습니다.
가장 구린 냄새가 나는건 .. 해당정보는 반환이 되지 않는다는 놀라운 사실을 발견..
결국 고용노동부 허위과장광고 하는 페이지에 신고를 해서 접수중이며 .. 해당 담당자에게 전화 상담을 받아봤습니다. 가장 궁금한 사항이였던 개인정보가 반환되지 않는 이유 에 대해서는 아무래도 개인정보를 도용해서 불법으로 사용했을 가능성이 크다고 경고하셨습니다. 그리고 이런 것을 관할 하는 부서가 고용노동부 가 아니라 행정안전부 라는군요. -_- 그리고 이런 것을 발견해서 신고하면은 포상금 도 있고 ..허위광고 를 담당하는 공무원에게 포센티브 가 부여된다는군요.
아무튼 이런 저런 사연으로 이번주 내로 행정안전부 로 가는 영광을 얻게 되겠네요.
느려도 ..이번달 안에 미션이 완료될것같고.. -_-; 이건 뭐 또 유명인사되겠네요. 안그래도 ..빚이 너무 많아서 죽을뻔했는데.. 살았군요 ..ㅎㅎㅎ
불과 1~2년 사이에 스마트폰이 폭발적으로 활성화되었다. 출퇴근하는 지하철이나 우리 주변에서 스마트폰으로 인터넷을 하는 사람들을 쉽게 찾아 볼 수 있다. 점심 식사 중에 어떤 논쟁거리가 생기면 ‘들어가서 인터넷 확인해 보자!’라면서 내기를 하곤 했는데, 지금은 바로 스마트폰으로 인터넷 검색을 해서 논쟁을 종결시킨다. 이와 같이 스마트폰을 통하여 언제 어디서나 검색을 하거나 이메일을 확인하거나 증권거래하는 것은 스마트폰으로 인한 변화의 일각이다. 상시 인터넷에 접속할 수 있다는 것은 우리 생활에 많은 변화를 가져다 주고 있다. 개념적으로 보면 스마트폰이 매개체가 되어 지구반대편에 있는 사람과 상시 연결되어 있다는 것이 가장 큰 변화다. PC앞에 있을 때만이 아니라 상시적으로 연결되어 있다는 것이다. 트위터와 같은 앱을 통하여 TV를 보면서 TV에 나오는 내용에 대해서 즉시 다른 시청자들과 토론을 해볼 수도 있다. 3rd-party회사들에 의하여 제공되는 수많은 앱들은 스마트폰의 가능성을 무한히 열어 주고 있다.
이런 스마트폰이 자동차와 결합되었다. 이것이 커넥티드카(Connected Car)다. 상시적으로 네트워크에 연결된 자동차. 여기엔 스마트폰과는 또 다른 우리 생활을 변화시킬 잠재력이 있다.
그림 1 커넥티드카(Connected Car)
커넥티드카는 상시 네트워크로 연결되어 있는 자동차로 3G/4G나 Wi-Fi 등 다양한 방법으로 네트워크에 연결된다. GM의 OnStar시스템은 아이폰앱을 통하여 연료가 얼마나 남았는지 고장은 없는지 등을 조회해 볼 수 있다. 앞으로는 스마트폰처럼 앱을 다운로드하여 실행하는 기능도 들어갈 것이다(GM의 OnStar시스템에는 facebook과 연동된 기능이 들어간다고 한다).
커넥티드카에서 보호해야 하는 핵심 대상은 안전과 개인정보의 침탈이다. 네트워크에 상시 연결되어 있고 더 고도화되고 정교한 애플리케이션이 동작하는 환경은 현재의 텔레매틱스 시스템에 비하여 보안에 더 많은 신경을 써야만 한다. 더 많은 공격 가능성이 있기 때문이다. 현대 자동차에는 백여 개의 센서가 있고 수십 개의 마이크로프로세서에 의하여 관리된다. 렉서스 상위차종의 경우 67개를 탑재하고 있고, 세계에서 가장 싼 인도의 타타 '나노' 차종에도 12개가 들어 있다. 이들 센서와 마이크로프로세스들은 내부적으로 CAN(Controlled Network Area)라는 차량용 네트워크로 서로 연결되어 있다. 지난해에는 CAN을 중심으로 차량에서 발생할 수 있는 보안 위협에 대한 연구 논문이 발표되어 핫이슈가 되기도 하였다. 차량에서 3rd-party앱을 실행할 수 있게 되고 이것이 상시 연결된 네트워크로 연결된다는 것은 차량에 잠재적인 보안 취약점을 하나 추가하는 꼴이 된다. 커넥티드카에는 개념적으로 완전한 보안 시스템이 필수적이다.
차량에서 악성코드가 실행될 수 있나요? 라는 질문을 가끔 받는다. 현실적으로 쉽지 않고 발생 가능성은 매우 낮지만 굳이 따져보자면 이론적으로는 가능하다-누군가 차량에 악의적인 행위를 가하고자 한다면 차에 들어 있는 시스템을 해킹해서 악성코드를 심는 어려운 짓을 할 필요가 없다. 환기구에 까나리 액젖을 붓거나 동전으로 차를 긁으면 그만이다.- 앞서 언급한 논문은 이론적인 가능성을 실험을 통하여 실제로 증명해 보이는 내용이다.
차량에 대해서는 아니지만 우리가 하드웨어라고 생각하는 공장의 기기에 대해서 실제로 발생한 공격사례는 있다. 작년에 이란의 원자력 발전소를 공격해서 유명해진 스턱스넷이 그것이다. 악성코드 스턱스넷은 USB를 통하여 폐쇄망이 발전소 내부의 시스템으로 침입하였다. 내부 네트워크에 연결된 기기들을 감염시키면서 공격대상인 장비를 찾고 있었다. 실제 공격은 외부의 명령을 통해서 이뤄지기 때문에 어떤 내용으로 공격을 하는지는 알려지지 않았다. 하지만 분명한 것은 스턱스넷이 기간설비를 통제하는 PLC(Programmable Logic Controller)로 가는 데이터를 조작한다는 것이다. 차량에 탑재되어있는 네비게이션과 같은 장비는 보통 Windows CE나 QNX와 같은 공개된 상용 OS로 구동된다. 이들 OS에서 동작하는 나쁜짓(?)을 하는 프로그램을 만들면 그게 바로 차량용 악성코드다. 네비게이션 펌웨어 업그레이드 할 때 이들이 같이 들어간다면 실행될 수도 있을 것이다.
커넥티드카 시스템에서 악성코드의 실행은 어떻게 막을 수 있을지를 생각해 보자. 일반적으로 악성코드가 실행되려면 세 단계를 거쳐야 한다. 첫 번째는 악성코드가 시스템 내로 들어와야 한다. 두 번째로는 악의적인 행동을 하기 위한 적절한 권한을 얻어야 하며, 세 번째로 실제 공격 코드를 실행한다. 이들 각각에 대해서 대비가 있어야 한다. 차량에서의 대응은 일반 PC와는 상황이 다르기 때문에 다른 접근방법을 사용할 수 있다. 완전한 화이트리스트 기반의 통제가 그것이다. 일반 PC는 워낙 범용적이기 때문에 보안을 목적으로 어떤 제한을 가하기가 어렵다. 예를 들어서 보안을 이유로 PC에서 워드만 쓸 수 있게 한다거나 구글과 같은 특정 웹사이트만 사용할 수 있도록 한다면 매우 불편할 것이다. 하지만 차량에서는 가능하다. 현재 상태가 외부와 완전히 단절된 상태이기 때문에 계획을 세워서 통제하에 부분적으로 오판해 나갈 수 있다.
커넥티드카에서의 보안이슈를 정리해 보면 다음과 같다. 현재 상태에서 차량에서 악성코드가 실행될 가능성이 없다고는 할 수 없다. 하지만 악성코드가 실행될 가능성이 없도록 충분히 설계한 시스템을 만들 수 있다. 인터넷 뱅킹을 예로 들어 보면 커넥티드카에 비해서 환경적으로 매우 취약한 상태라고 할 수 있다. 완전히 오픈되어 있는 수많은 악성코드가 득시글 거리는 윈도우즈 OS에서 인터넷 뱅킹을 사용함에도 불구하고 적절한 보안성을 유지하면서 편리하게 사용하고 있다. 차량의 경우에는 폐쇄적인 정책을 사용할 수 있기 때문에 더 완벽한 보안성을 부여할 수 있다. 앞으로의 미래에는 차량에서 악성코드가 실행될 수 있나요?라고 누가 물을 때 "아니요"라고 확실히 답할 수 있을 지도 모르겠다.@
현재 인터넷을 통하여 알게 모르게 이루어지는 공격에 대응하기 위하여 시스템 가상화를 통하여 단말의 보안성을 높이기 위한 연구를 진행하고 있다. 새롭게 “안랩 칼럼니스트”에 합류하게 되었으며, 최근에 관심분야는 Virtualization, Behavior Detection, Parallel Computing이다.
안녕하세요! 안랩맨~입니다. 인터넷을 이용하다 보면 회원 가입은 쉽지만 탈퇴는 어려운 경우가 종종 있습니다. '탈퇴' 버튼이 어디 있는지 찾기도 힘들고 심지어는 주민등록등본을 요구하기도 합니다. 이럴 때 화가 나기도 하고 불안해지기도 하는데, 이런 경우에는 어떻게 해야 확실하게 탈퇴를 할 수 있을까요? 사례를 통해 알아보겠습니다 ^^
사례 1 안녕하세요? 얼마 전 자녀의 학교 숙제에 도움을 얻을까 하여 인터넷 학습지 사이트에 가입하였습니다. 그러나 막상 회원가입을 하고 보니 별로 도움이 되는 것도 없고 또 다시 방문하게 될 것 같지도 않아서 회원 탈퇴를 하려고 했습니다. 그런데 홈페이지에서 회원 탈퇴를 할 수 있는 곳이 어디 있는지 찾기도 힘들고 회사 측에 연락을 해도 회원 탈퇴가 안되네요. 어떻게 해야지 탈퇴를 할 수 있을까요?
A: 우리나라 법률상 인터넷 웹사이트는 특별한 이유가 없으면 회원탈퇴를 해줘야 하고, 만약 회원 탈퇴를 제대로 해주지 않는다면 법률에 의해서 과태료를 물게 될 수도 있습니다.
웹사이트에 계속 회원 탈퇴를 해달라고 요청해도 회원 탈퇴가 되지 않는다면, 우선은 본인이 회원 탈퇴를 제대로 요청했는지를 살펴보아야 합니다. 어떤 웹사이트는 특별한 절차에 따라 회원 탈퇴를 시켜주는 경우도 있기 때문입니다.
그리고 제대로 회원 탈퇴를 요청했는데도 처리가 안 된다면, 웹사이트 첫 화면에 있는 “개인정보보호 정책”을 살펴보고 그 안의 개인정보관리책임자 연락처로 연락을 해서 회원 탈퇴를 요구할 수 있습니다. 이런 요구들을 모두 했는데도 회원 탈퇴가 안 된다면, 개인정보분쟁조정위원회로 연락해서 도움을 요청하시기 바랍니다.
사례2 얼마 전 명의도용조회 서비스를 이용했다가 누군가가 제 주민등록번호를 이용하여 게임 사이트에 가입했다는 것을 알게 되었습니다. 불쾌한 마음에 당장 탈퇴를 하려고 하니 탈퇴가 잘 안되더군요. 그래서 게임 회사측에 전화로 문의를 하니 주민등록 등본을 제출하라고 합니다. 제출해도 되는 걸까요? 이래저래 주민번호가 유출되는 것 같아서 무척 불안합니다.
A: 회원탈퇴 요구 시 서비스제공업체가 주민등록등본을 요구하는 것은 ‘과도한 개인정보수집’ 또는 ‘동의의 철회 방법을 개인정보 수집방법보다 쉽게 하여야 한다’는 조항 위반에 해당될 수 있습니다.
참고로, 인터넷 사이트 회원탈퇴 시 정보통신서비스제공자가 이용자에게 본인확인을 위해 주민등록증 사본을 요구하는 것은 관행적으로 허용되어 왔으나, 2005년 9월 12일 개인정보분쟁조정위원회의 조정결정을 통해 회원 탈퇴 시 본인확인수단으로 신분증 사본을 제외한 다른 본인확인 수단, 즉 전자정부 주민등록증 진위확인 서비스, 휴대폰 인증, 사업자의 자율적인 주민등록번호 대체수단 등을 이용하라는 결정을 내린 바 있습니다. (행정안전부의 주민등록번호 진위확인서비스 이용 등)
회원 탈퇴를 위한 본인 확인 과정에서 해당사이트가 신분증 사본을 요구하는 경우에는 신분증 사본 이외에 본인확인 수단을 이용할 것을 요청하시기 바랍니다. 만일, 주민등록증 사본이나 주민등록등본 외에 다른 것으로는 본인 확인을 할 수 없다는 내용의 답변을 받으시면 증빙자료 등을 첨부하여 신고하여 주시기 바랍니다. Ahn
“법의 틀이 완전하게 잡히지 않은 게 근본 원인이겠지요. 사건이 터질 때마다 그걸 막는 데 급급해 땜질하듯 법과 규정을 만들어 넣다 보니 일관성이 부족합니다. 줄기가 튼튼하지 못한 상태에서 잎사귀만 뜯어고친 격이에요. 해석하기에 따라 결론이 달라질 수 있는 거지요.”
그의 지적이 사실에 얼마나 부합하는지는 법 전문가가 아닌 필자로서는 가늠하기 힘들다. 다만 몸담고 있는 정보통신기술(ICT) 분야와 관련해서는 몇 가지 하고픈 말이 있다.
수년간 표류하던 개인정보보호법이 드디어 국회 본회의를 통과했다. 인터넷 개방 시대에 프라이버시 보호가 얼마나 중요한지를 떠올려 보면 그야말로 만시지탄(晩時之歎)이지만, 이제라도 법적·사회적 기준이 마련됐다는 점에 큰 의미를 두고 싶다. 그동안에도 인터넷 관련 사업을 하는 기업들은 개인정보 유출이 사회적 이슈가 될 때마다 대책 마련에 부심해 왔다. 개인정보보호법이 실행되면 기업과 기관들의 긴장도는 더욱 높아질 것이다. 그런데 여기서 간과하지 말아야 할 것이 있다. 법 조항보다 더 중요한 건 국민들의 개인정보를 진정으로 보호하려는 실천 의지라는 점이다.
우리 사회의 각종 공적·사적 서비스 중에는 문제가 발생한 경우 그 책임을 일반 국민에게 전가하려는 것들이 적지 않다. 읽는 이가 거의 없는 개인정보 취급 동의서를 남발하는 것이 그 한 예다. 그런 문서를 꼼꼼히 읽고 서명하는 사람이 몇이나 될까? 설사 문구가 마음에 들지 않더라도 이에 동의하지 않으면 아예 다음 과정으로 넘어가지 못하게 하는 경우가 허다하다. 사업자들이 고객 편의보다 법적 책임을 피하는 데 급급한 까닭이다. 이런 방식이 만연하면 분쟁 폭증으로 법률 시장은 성장할지 모르나 국민의 프라이버시 보호엔 별 진전이 없게 된다. 더 많은 동의서에 서명한다고 해서 보안이 강화되는 것은 아니다.
그러니 기업들은 법적 보호막 마련에 치중하기보다 그런 법이 제정될 만큼 중요해진 개인정보의 가치와 시대정신에 대해 고민해야 한다. 특히 개인정보 유출은 각종 보안 침해 사고와 같은 맥락임을 알아야 한다. 개방된 네트워크 환경에서 보안 사고는 악성코드와 해킹, 사회공학적 수법을 총동원한 복합적 공격이다. 최근 발생한 디도스 공격도 치밀하게 설계된 악성코드에서 시작해 네트워크를 타고 순식간에 퍼져나갔다. 이런 사이버 침해의 결과는 고객 정보와 회사 기밀의 유출, 서비스 장애 등 다양한 형태로 나타난다. 표출되는 모양새가 각기 다르다 보니 관련 법과 규정 또한 제각각이다. 그러나 문제의 근원인 공격 시나리오 자체는 대동소이하다. 방비 기술 또한 같은 뿌리에서 나온다. 정보 보안을 위한 조직과 프로세스를 통일해야 하는 이유다. 우리나라에서 “사이버 보안 체제를 강화하고 전문 인력을 키워야 한다”는 총론은 벌써 10여 년 전부터 나온 얘기다. 핵심은 실천과 수행을 추동할 ‘각론’인데, 투자는 여전히 이뤄지지 않고 보안 전문가에게 주어지는 권한과 인센티브 또한 개선된 점이 별로 없다.
다시 개인정보보호법 얘기로 돌아가 보자. 이 법의 핵심은 개인정보를 실질적으로 보호할 수 있어야 한다는 것이다. 이를 위해선 개인정보의 취급 자체를 최소화하고 보안을 위한 실질 대책을 마련해야 한다. 그런 의미에서 정보 보안은 근본적으로 최고 경영진의 몫이다. 정보의 생성과 소멸, 관리는 조직과 사업 전반에 두루 스며 있다. 이를 제대로 보호하려면 보안 의식이 조직 문화의 하나로 확고히 자리 잡고 있어야 한다. 그렇게만 된다면 국민의 신뢰는 절로 따라올 것이다.<Ahn>
안녕하세요? 저는 인터넷에서 쇼핑을 자주 하는 여학생이에요~. ^^ 요새 날이 너무 넘 추워서 집에서 쇼핑몰을 이용할 때가 많아요.
인터넷 뱅킹이 참 편리한 서비스이기는 하지만 정말로 안심하고 쓸 수 있는건지 조금 걱정이 되요. 가끔 인터넷뱅킹이 해킹 당했다는 뉴스를 보면 남의 일 같지 않고 불안하거든요. ㅠㅠ
인터넷으로 결제를 하면 자동으로 키보드 보안 프로그램이 실행되고 있다는 창이 뜹니다. 보안이 잘 되고 있는건가요? 여러 보안장치가 있는데도 해킹을 당하던데 완벽하게 보안을 할 수는 없을까요? 알려주세요~!
Ahn:
안녕하세요? 안철수연구소입니다. V3에는 기본적으로 네트워크를 통한 침입차단 및 방화벽 등 ‘해킹 차단 기능’을 포함하고 있습니다. 그러나 인터넷 뱅킹을 더욱 안전하게 사용하시려면 AhnLab Online Security 2.0(이하 AOS 2.0)과 사이트가드 등을 함께 이용하는 것이 효과적입니다.
AOS 2.0은 온라인을 통해 처리되는 모든 정보의 교류가 안전한 상태에서 이루어지도록 보호하는 트랜잭션 시큐리티 서비스(Transaction Security Service)로서 안티-키로거(Anti-keylogger), 방화벽(Firewall), 안티-바이러스/스파이웨어(Anti-virus/spyware), 시큐어 브라우저(Secure Browser) 등 4가지 시큐리티 서비스로 구성되어 있습니다.
이 서비스는 개인정보 유출 및 금전적 해킹 위협을 해결할 수 있는 다양한 경험과 기능을갖추고 있는데요, 이는 개인에게 제공되는 제품이 아니고 은행, 증권 회사 등 AOS 2.0이 적용된 사이트를 이용하게 되면 해당 사이트에서 실행되어 보안 기능을 수행하게 됩니다. 특히 질문자님께서 궁금해하는 키보드 보안 프로그램은 AOS 2.0에 포함되어 있는 안티-키로거(Anti-keylogger)서비스가 그 기능을 수행하고 있지요. 키보드를 통해 정보를 입력할 때, 악의적인 사용자가 가로채지 못하게 하거나 가로채더라도 그 내용을 알 수 없게 만드는 기능입니다. 항상 동작할 수도 있지만 로그인과 같이 개인정보를 입력할 경우에만 사용해 주는 것도 좋습니다. 만약 보안 프로그램이 필요한 서비스를 이용할 시 제공하지 않는다면 로그인 시 보안 프로그램을 실행시켜주는 서비스에 잠시 들어가서 프로그램을 실행시키고 다시 원래 이용하려던 서비스를 이용하는 것도 좋은 방법입니다.
또한 웹 사이트를 통한 피해를 막기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 서비스를 이용하는 것도 좋습니다. 사이트가드는 1) 개인정보가 침해될 수 있는 악성코드 배포 사이트를 차단하여 사용자의 정보를 보호하며 2) 사기 사이트, 쇼핑몰, 금융거래사기를 차단함으로써 사용자의 금전적인 피해를 예방하는 기능을 갖습니다. 또한 3) 위험요소를 미리 차단하고, 알려주므로 마음 놓고 안전하게 인터넷을 즐길 수 있습니다.
어떤 보안 프로그램, 보안 제품을 사용한다고 해도 완벽하게 해킹의 위험에서 벗어날 수는 없을 것 같습니다. 보안 프로그램이나 보안 제품들도 사람이 만드는 것이기 때문에 언젠가는 해킹을 할 것이고 그것을 다시 보완하는 제품이 나올 겁니다. 결국 해킹과 보안은 끝이 없는 이슈입니다.
따라서 해킹을 당하지 않기 위해서는 최대한 예방을 해주는 것이 좋습니다. 윈도우 업데이트를 포함한 사용하고 있는 프로그램의 업데이트를 꾸준히 하고, 종종 바이러스 검사를 해주는 것이 좋습니다.
안전한 인터넷 뱅킹 서비스 이용을 위해서는 다음의 사항을 준수하는 것이 좋습니다. ^^
1.공인인증서, 보안카드, 비밀번호 등을 스캔해서 사진파일이나 엑셀파일 형태로 개인 이메일 계정 또는 인터넷 하드에 저장하지 않는다.
2.가급적 공인인증서는 PC보다 USB나 외장하드 등 이동저장매체에 보관해서 인터넷 뱅킹 사용시에만 PC에 연결해서 사용한다.
3.보안카드보다 OTP(One Time Password)나 MOTP(Mobile One Time Password) 등을 사용한다.
4.은행 인터넷뱅킹 계정이나 포탈 메일 계정 비밀번호 주기적 변경 및 관리한다.
5.인터넷 금융거래 계정 ID와 비밀번호는 포탈 메일 계정 ID비밀번호와 다르게 사용하고 절대 타인에게 알려주지 않는다.
6.PC방 등 공공장소에서 인터넷뱅킹 사용은 물론 각종 사이트에 로그인을 하지 않는다.
7.MS 윈도우 보안패치 및 백신을 설치하여 주기적인 백신 업데이트를 해 늘 최신으로 유지한다.
8. 업데이트 한 백신의 실시간 검사를 이용하고 주기적으로 수동 검사를 한다.
9.계좌이체, 공인인증서 재발급 등 이용 내역을 알려주는 휴대전화 문자(SMS)서비스 이용한다.
이젠 정말 어딜 가도 흔하게 스마트폰을 볼 수 있게 된 것 같습니다. 버스나 지하철에서는 물론이고, 카페, 음식점, 그리고 거리에서도 사람들의 손에는 자연스럽게 스마트폰이 들려있지요. 불과 1~2년 전만 하더라도 스마트폰을 구입하려고 하면, 통신사 대리점에서도 스마트폰은 사용하기 어렵다는 사실을 한번씩 더 확인해주곤 했었습니다.
그러나 급속도로 스마트폰과 그 시장이 넓어지더니 지금은 오히려 새로 구입하는 휴대폰은 당연히 스마트폰이어야 하는 분위기가 되었습니다. 그만큼 예전에 비해 스마트폰과 스마트폰에서 사용되는 애플리케이션들에 대한 접근성과 사용성이 비약적으로 좋아졌다는 것을 알 수 있습니다. 누구나 복잡하지 않은 절차로 쓰고 싶은 애플리케이션을 구입하여 원하는 서비스를 받을 수 있게 된 것 입니다. 이름만 ‘스마트’폰일 뿐, 사용자에게도 스마트한 사용을 바라던 예전의 모습은 이제 사라지고, 스마트폰 자체가 정말 스마트한 세상이 다가 온 것 입니다.
출처 : 아이툰즈
편리할수록 조심해야 한다.
그러나 이렇게 편리해진 세상에서 사용자 스스로가 스마트한 대처를 해야 할 부분은 아직 남아 있습니다. 바로 ‘보안 의식’이 그것 입니다. 지금까지의 인터넷 생활은 데스크톱 PC 또는 노트북을 통해서 이뤄졌었지만, 이제는 누구나 언제 어디서든 스마트폰을 이용해서 인터넷에 접근할 수 있게 되었습니다.
손 안의 스마트폰을 통한 인터넷 사용은 기존에 컴퓨터를 통해서 하던 인터넷과는 또 다른 느낌으로 사용자에게 다가 옵니다. 조금 더 간편하고, 빠르고, 간단하게 느껴지기 때문에, 평소에는 보안에 관심을 갖고 신경을 쓰던 사용자라고 하더라도 스마트폰을 사용할 때에는 별다른 거부감 없이 모든 것을 허용하게 될 우려가 있습니다.
또한 스마트폰을 통해 제공되는 애플리케이션들과 서비스들은 SNS(Social Network Service)에 기반을 두고 있거나 상당히 트렌디하기 때문에, 사용자들은 다른 스마트폰 이용자들과 함께 최신의 인기 서비스를 같이 이용하기 위해서 애플리케이션 설치와 서비스 이용 시 별다른 확인 없이 쉽게 받아들이는 위험한 양상을 보입니다.
스마트폰 이용 시 위험 요소는 무엇일까
얼마 전 연인 간 서로의 정보를 등록해서 원할 때면 언제든 상대방의 위치를 알아낼 수 있는 애플리케이션의 등장해 화제가 된 적이 있었습니다. 위치를 알아내고 기록하는 애플리케이션은 이미 많이 제공되고 있었지만, 명시적으로 연인들을 대상으로 했다는 점에서 상당한 이슈를 불러일으켰었지요.
스마트폰 및 그 서비스의 기능이 확대됨에 따라 유출될 수 있는 정보들도 점점 다양해질 수 있다는 것에 우리는 주목할 필요가 있습니다. 마찬가지로 해당 애플리케이션에서 제공하는 개인의 위치 정보도 누군가에게 지속적으로 노출되게 되면 악용될 소지가 분명히 생길 수 있습니다.
스마트폰을 통한 간편한 접근성을 기반으로 점점 더 사용이 확대되고 있는 트위터, 페이스북으로대표되는 SNS의 경우에도 사용자가 인식하지 못하는 사이에 개인 정보 유출에 악용되고 있습니다. SNS는 불특정 다수가 해당 정보들을 열람하는 데에 제한이 없기 때문에 무심코 쓴 내용들도 자칫 위험한 일로 이어질 가능성이 많습니다. 일례로 트위터를 통해 자신이 현재 여행 중이라는 트윗을 올린 것을 범죄자가 보고, 그 사람의 집이 비었다는 사실을 확인하여 범죄에 악용한 사례가 있었습니다.
또 한 가지 예로, ‘댁의 자녀가 지금 많이 다쳐서 병원에 있다’던지 ‘댁의 자녀가 지금 납치되었다’는 등의 급박한 상황을 이용해서 금전적인 갈취를 하는 보이스 피싱 범죄가 한동안 사회를 시끄럽게 한 적이 있었는데, 이제는 그 수단이 한 단계 더 발전해서 트위터 등에 올라온 사용자들의 프로필 사진과 정보를 이용해서 피해자를 더 혼란스럽게 하는 방식도 최근에 나타난 바 있습니다.
우리가 흔히 떠올릴 수 있는 주민등록번호, 비밀번호, 카드번호 등의 직접적인 정보 외에도 나이, 성별, 거주지, 쇼핑 성향, 취미 등 아무리 사소한 정보라도 그것들이 모여서 특정 인물을 지칭할 수 있게 되면 모두 개인 정보로 볼 수 있습니다. 다양한 기능들을 제공하는 스마트폰에는 이러한 정보들이 상당히 많이 이용되고 저장되고 있기 때문에 그 관리에 각별한 주의가 요구되는 것 입니다.
안전한 스마트폰 생활을 위해서
무수히 쏟아져 나오고 있는 각종 애플리케이션과 서비스들 사이에서 사용자가 가장 기본적으로 할 수 있는 것은 사용자 스스로 서비스 이용에 경계심을 갖고 ‘혹시 불안한 요소는 없는지’ 이용 전에 확인하는 것 입니다.
정상적인 스마트폰 애플리케이션은 기본적으로 이용 중에 해당 애플리케이션이 사용자로부터 어떤 정보들을 요구할 것인지, 이용 중에는 어떤 정보들이 사용될 것인지 명시할 의무가 있기 때문에 사용자가 관심을 갖고 살펴보게 되면 충분히 사전에 해당 내용들을 알아볼 수 있습니다.
물론 처음부터 악의적인 목적을 가지고 만들어진 스마트폰 애플리케이션 같은 경우에는 당연히 사용자가 모르는 사이에 정보를 유출하려고 하므로, 이런 경우 다른 스마트폰 이용자들로부터 미리 해당 애플리케이션에 대한 정보를 얻거나, 스마트폰에서 이용할 수 있는 모바일 보안 소프트웨어를 이용하는 것도 방법이 될 수 있습니다.
또한 앞서 여러 번 언급한 트위터, 페이스북 등의 SNS들은 근래 유행하는 스마트폰 애플리케이션이나 웹사이트 서비스들에서 기본적으로 연동되도록 하는 경우가 많기 때문에 자신의 정보가 유출되는 것이 꺼려지는 경우 실제로는 사용하지 않을 더미(dummy) 계정을 만들어서, 서비스 이용에 SNS 계정 등록이 불가피한 경우에는 해당 더미 계정을 사용하는 우회적인 개인 정보 유출 방지 방법도 생각해 볼 수 있습니다.
편리함이 더해질수록 보안은 취약해지기 마련입니다. 스마트폰을 통해 얻을 수 있는 여러 가지 이점들은 분명 우리의 생활을 더욱 더 편리하고 즐겁게 만들어주고 있지만, 그 이면에는 분명 우리가 간과하고 있는 위험 요소들이 있습니다. 항상 이 점을 잊지 않고 사용자 스스로 보안 의식을 갖고 스마트폰을 사용한다면, 개인 정보 유출 등으로 입는 피해는 분명 충분히 방지할 수 있을 것 입니다. Forbes에서 최근에 포스팅한 SNS에서 하지 말아야 할 실수를 다룬 글을 아래에 간략히 정리해보았습니다. 아무쪼록 즐겁고 안전한 스마트폰 생활에 조금이나마 도움이 되길 바라며 글을 마칩니다.
- SNS 상의 친구 추가는 신중하게 해라.
SNS 특성 상 한 명의 친구를 추가하는 것은 사실 엄청나게 많은 수의 사람과의 연결 고리가 될 수 있다는 사실을 인식하고,매번 신중히 결정해야 한다.
- 휴가 계획과 집 주소를 공개하지 말 것.
당신이 부재 중이란 사실은 범죄에 악용될 수 있다.
- 가치가 높은 물건들을 SNS 상에서 자랑하지 말 것.
위의 내용과 비슷하다. 범죄의 타깃이 될 우려가 있다.
- 개인적인 사진 관리를 철저하게 할 것.
가족이나 친구 등 개인적인 관계의 인물들에 대한 사진은 범죄자에게 악용될 가능성이 많다.
- 개인정보에 대한 공개 옵션을 최대한 자제할 것.
각 SNS 내에서 공개되는 정보들을 제한해서 불특정 다수에게 무분별하게 조회가 되지 못하도록 해라.
지인들에게 “스마트폰을 한마디로 표현하면?”이라는 질문을 한 결과 이 같은 대답들을 들을 수 있었습니다. 물론 틀린 말은 아닙니다. 하지만 정작 스마트폰이 컴퓨터라고 생각하는 사람은 잘 없는 것 같네요. 우리가 일반적으로 사용하는 컴퓨터와는 그 형태가 달라 인지하기 힘들지만, 스마트폰은 우리가 늘 사용하는 컴퓨터와 동일한 구조를 가지고 있거든요. 따라서 현재 컴퓨터에서 발생하는 다양한 보안 사고가 스마트폰에서도 발생할 수 있습니다.
또한 Wi-Fi, 3G, Wibro등등 다양한 통신 환경을 사용하므로, 언제 어디서나 인터넷에 연결될 수 있어 더욱 다양한 보안 위협에 놓여 있다고 볼 수 있습니다. 도대체 스마트폰만의 특징이 무엇이고, 보안 사고를 예방하기 위한 방법에는 어떤 것들이 있는지 알아둘 필요가 있겠지요?
스마트폰이란?
스마트폰의 산업 표준에 대한 정의는 아직 없지만 일반적으로 다음과 같은 특징들을 가지고 있습니다.
● 운영체제를 가지고 있다.
아이오에스(iOS), 안드로이드(Android), 심비안(Symbian)등이 그 예 입니다. 물론 이런 스마트폰의 운영체제에서 사용 가능한 애플리케이션을 개발하기 위한 개발툴킷(SDK-Standard Development Kit)도 제공하여 누구나 스마트폰 애플리페이션을 개발하고 또 배포할 수 있습니다.
● 버튼이 거의 없다.
일부 컴퓨터 키보드와 동일한 쿼티(QWERTY) 키를 가진 제품도 있지만, 대부분 풀터치 스크린을 가지고 있습니다. 이는 실행하는 애플리케이션에 따라 그 용도가 바뀌는 스마트폰의 특징 때문이지요. 웹브라우저 애플리케이션을 실행하면 웹브라우저가 되고, 네비게이션 애플리케이션을 실행하면 네비게이션이 됩니다. 즉, 용도에 따라 입력 방법이나 형태가 바뀌어 다양한 용도로 사용할 수 있게 되는 것입니다.
● 다양한 통신 방법을 사용할 수 있다.
현재 대부분 3G통신과 Wi-Fi를 지원하고 있습니다. 따라서 일반적인 무선인터넷이라 불리는 Wi-Fi가 지원되는 환경에선 Wi-Fi를 이용할 수 있으며, 그렇지 않은 지역에서는 3G를 이용하여 데이터 통신을 할 수 있습니다. 따라서 출퇴근 시간 지하철 내에서도 웹서핑은 물론, 트위터(twitter)나 페이스북(facebook) 등 다양한 서비스를 사용할 수 있습니다.
이런 특징들로 인해 우리는 언제 어디서나 원하는 정보에 손쉽게 접근하고 활용할 수 있어 우리의 삶을 보다 ‘스마트’하게 만들어주고 있지요.
그렇다면 스마트폰을 사용함으로써 발생할 수 있는 문제점에는 어떤 것들이 있을까요?
넓게 보면 기존의 컴퓨터에서 발생했던 대부분의 보안 사고가 스마트폰에서도 발생할 수 있겠습니다. 하지만 아직까지는 스마트폰의 운영체제가 모바일 환경에 특화되다보니 개인용 컴퓨터보다는 그 위협이 적은 편 입니다. 반면, 수 많은 개인정보 및 사생활이 입력되고 처리되는 스마트폰이다보니 개인용 컴퓨터에서 발생했던 보안 위협과는 또 다른 보안 위협이 존재할 수 있습니다.이런 보안 위협에는 어떤 것들이 있을까요?
- 사생활 및 개인정보 유출
대다수 스마트폰 사용자들은 스마트폰을 통해 일정관리, 메모, 인터넷 뱅킹, 이메일등의 기능을 사용하고 있으며 최근 유행하고 있는 소셜 네트워크 서비스(SNS-Social Network Service)를 사용하고 있습니다.
스마트폰은 자신 혼자만 사용하며, 입력이 조금 번거롭다는 이유로 보안상 중요한 로그인 정보를 자동으로 처리하게 저장해 두는 경우가 많습니다. 또한 소셜 네트워크 서비스를 통해 자신의 일상을 기록하는 사용자들 또한 기하 급수적으로 늘어나고 있지요. 하지만 이런 편리함 이면에는 사생활과 개인정보 유출이라는 부작용도 존재하고 있습니다.
[그림1]단편적인 개인정보들의 조합
[그림 1]과 같이 소셜 네트워크 서비스를 이용할 때, 그 당시에는 의미 없고 단편적인 일일지 모르지만 그런 정보들이 모이고 모이면 중요한 개인정보나 사생활 정보가 될 수 있으며, 또 이렇게 수집된 정보가 악용될 소지 또한 높습니다.
또 문제가 되는 것은 스마트폰 분실 입니다. 이전의 핸드폰은 분실되면 전화번호 정도만 유출되었지만, 스마트폰은 분실 시 저장된 대부분의 중요한 개인 정보들이 유출될 수 있으며, 이 정보들이 악용될 소지도 있습니다.
또한 소셜 네트워크 서비스와 같은 애플리케이션은 실행만 하면 자동 로그인이 되기 때문에, 인터넷상에서 내가 아닌 다른 사람이 내가 되는 상황이 발생할 수도 있지요. 이를 예방하기 위해서는 가급적 스마트폰에 ‘자동 잠금’과 ‘암호 잠금’을 활성화 시켜 놓는 것이 좋으며, 민감한 개인 정보들이 많을 경우에는 암호 입력 시도가 일정 횟수 이상 실패하면 스마트폰의 데이터를 자동으로 삭제하는 기능을 활성화 시켜 놓는 것도 도움이 됩니다. 무엇보다 중요한 건 스마트폰이 분실되지 않도록 잘 관리하는 것이 겠지요.
- 검증되지 않은 애플리케이션
스마트폰은 누구나 개발툴킷을 이용하여 애플리케이션을 개발하고 또 마켓을 통해 판매가 가능합니다. 따라서 우리는 다양한 스마트폰용 애플리케이션을 다운로드 받고 사용할 수 있습니다. 하지만 이런 애플리케이션 중에서 사용자 개인 정보를 외부로 유출하거나 유료 과금을 하게끔 하는 애플리케이션이 실제 발견되고 있습니다.
[그림2]V3 Mobile로 진단된 안드로이드 악성코드
이런 악성코드들은 애플리케이션 마켓에서는 게임이나 바탕화면 변경 애플리케이션으로 등록되어 있기 때문에 사용자들이 별 의심 없이 다운로드하고 설치하게 됩니다. 물론 애플리케이션 설치전에 해당 애플리케이션이 필요로 하는 기능들이 표시 되긴 하지만, 일반적인 사용자들이 그 정보를 보고 정상 애플리케이션인지 아니면 악성 애플리케이션인지 정확히 판단을 내리는 것은 사실상 불가능 합니다.
최근 보다 다양한 기능들을 사용하기 위해 아이폰의 경우 ‘탈옥(JailBreak)’, 안드로이드폰의 경우 ‘루팅(Rooting)’을 적용하여 사용하는 사용자들이 늘어나고 있습니다. 하지만 이렇게 ‘탈옥’이나 ‘루팅’이 된 스마트폰은 정상적으로 구매하지 않은 애플리케이션을 사용자가 임의로 설치할 수 있습니다. 따라서 정상 애플리케이션을 변조한 뒤 사용자에게 배포하는 경우 악성 여부를 확인할 방법이 없으며, 사용자가 제작한 어떤 애플리케이션이든 설치가 가능하기 때문에 악의적인 목적으로 만들어진 악성코드가 설치될 가능성이 매우 높아집니다.
따라서 이를 예방하기 위해서는 애플리케이션을 다운로드 받기 전에 해당 애플리케이션에 대한 사용자들의 평가글을 자세히 읽어보고, 큰 문제가 없다고 판단될 경우에만 다운로드하는 것이 좋습니다. 탈옥이나 루팅을 통해 다양한 기능과 편리함을 얻을 수는 있지만 ‘보안’이라는 중요한 부분을 잃게 되기 때문에, 전문적인 지식이 없는 경우 탈옥이나 루팅과 같이 스마트폰의 소프트웨어를 변조하는 행위를 하지 않는 것이 좋겠지요.
- 검증되지 않은 무선 네트워크 환경
스마트폰은 다양한 네트워크 환경을 지원합니다. 그 중 많이 사용하는 것이 바로 Wi-Fi 입니다. 3G와는 달리 일반적으로 과금이 되지 않으므로 다른 그 어떤 통신 방법보다 선호하는 통신 방식입니다. 실제 사람들이 많은 곳에서 비밀번호를 사용하지 않은 Wi-Fi AP(Access Point)를 개설해 놓으면 수 많은 사람들이 접속하는 것을 확인할 수 있습니다.
만약, 누군가가 악의적인 마음을 먹고 무료 Wi-Fi AP를 개설해 놓고는, 송수신되는 내역을 모두 확인한다면 어떻게 될까요? 우리가 스마트폰으로 주고 받는 모든 내역이 기록되어 아이디는 물론 패스워드까지 유출될 수 있습니다. 낯선 곳에 갔을 경우 그냥 Wi-Fi 네트워크에 접속하는 습관은 고쳐야 하며, 혹 불가피하게 사용해야 할 경우에는 민감한 개인정보 등은 입력하지 않아야 하겠습니다.
- 보안 취약점 공격
최근 스마트폰에서 잇따라 보안 취약점이 발견되고 있습니다. 최근 애플(Apple)사의 아이폰(iPhone)에서 내장된 사파리 웹브라우저를 사용, 어도비(Adobe)사의 문서파일(PDF)를 처리할 때 관리자 권한을 획득할 수 있는 보안 취약점이 발견된 바 있습니다. 실제 이 취약점을 활용하여 아이폰 탈옥(JailBreak)툴이 개발되고 공개 되기도 했었지요.
안드로이드(Android)폰의 경우도 특정 버전에서 웹 브라우저를 통해 관리자 권한을 획득하는 보안 취약점이 발견 되었습니다. 이런 취약점을 이용하면 단순히 웹브라우저를 통해 사이트에 접속하는 것만으로도 악성코드에 감염될 수 있지요.
스마트폰은 그 특성상 감염 시 전화번호, 통화목록, 문자 메시지, 메모, 일정과 같은 개인 정보는 물론 유료 전화나 스팸 문자 메시지 발송등등 실제 금전적 피해가 발생할 가능성이 있습니다. 이를 예방하기 위해서는 스마트폰 제작사에서 배포하는 최신 버전으로 업데이트 해야 합니다.
최근 트위터(Twitter)와 같은 서비스는 짧은 주소 링크를 주로 사용하는데 이런 짧은 주소 링크는 검증이 어려우므로 짧은 주소로 웹사이트에 접속하지 않는 것이 좋습니다. 또한 신뢰할만한 컴퓨터 보안 업체에서 제작한 스마트폰용 백신으로 주기적으로 검사해 악성코드의 유무를 확인해야 합니다.
스마트폰이 우리의 삶을 보다 스마트하게 만들어주고 있는 것은 분명합니다. 하지만 그 편리함 이면에는 개인정보 유출, 유료 과금과 같은 보안사고 위험도 함께 공존하고 있습니다. 우리가 집을 비울 때면 조금 번거롭기는 하지만 문단속을 하지요. 그리고 이제는 그 문단속이 큰 불편함으로 느끼지 못할 만큼 익숙해져 있으실 겁니다. 보안도 마찬가지 입니다. 처음엔 조금 불편하겠지만, 익숙해지면 그 불편함은 서서히 사라집니다. 지금부터라도 나의 소중한 개인 정보를 지키기 위해 작은 노력을 시작해보는 건 어떨까요?
박시준 악성코드 분석가
안철수연구소에서 악성코드 분석 업무를 담당하고 있으며 “안랩 칼럼니스트”로 활동하고 있다. 다양한 분야에 대한 스키마를 쌓는 것을 좋아하며, 세상을 함께 살아가는 구성원으로서 다른 누군가에게 조금이라도 도움이 되었으면 하는 마음 가짐으로 오늘도 열심히 하루를 살아가려고 노력하고 있다.
이번 씨티은행의 시큐어브라우저 환경 구축 및 AOS 전 제품의 도입은 증권사에 이어 은행권 최초로 이루어진 것으로, 단일 보안서비스로 모든 형태의 인터넷 뱅킹 보안 위협에 선제적으로 대응하는 시스템을 구축한 첫 사례라는 데서 의미가 큽니다.
한국씨티은행은 최근 인터넷 뱅킹 서비스가 활성화 되고 이를 노리는 보안위협이 증가함에 따라 인터넷 뱅킹 보안을 강화하기 위한 시스템 고도화를 위해 꾸준히 노력 해왔으며, 그 일환으로 메모리 해킹, 웹페이지 변조 등 각종 해킹 시도를 차단하는 보안전용 브라우저인 ‘AOS 시큐어 브라우저’와 키보드 보안 프로그램인 ‘AOS 안티 키로거’, 백신 프로그램인 ‘AOS 안티-바이러스/스파이웨어’를 도입했습니다. 또한 이번 프로젝트에서는 기존에 사용하고 있던 강력한 방화벽 프로그램인 ‘AOS 파이어월’의 통합 작업도 함께 이루어 졌습니다.
이번 AOS의 도입으로 씨티은행의 인터넷 뱅킹 사용자는 더욱 안전한 환경을 보장받고, 은행은 인터넷 거래의 신뢰성을 높이게 됐습니다. 특히 AOS 시큐어 브라우저는 할당된 메모리 영역에 대한 외부 모듈로부터의 접근을 방지하고 악성코드의 디버깅과 메모리 접근을 방지 및 보호(protection)하는 별도의 보안 전용 브라우저로, 최근 해외에서 화제가 되었던 제우스(Zeus) 및 기타 변종에 의한 공격, 해킹 시도를 원천적으로 차단해 한단계 높은 차원의 사용자 보안을 제공할 예정입니다.
김홍선대표는 “인터넷 뱅킹이 점점 활발해 지고 있는 가운데, 악성해커들의 개인정보 탈취 시도도 더욱 증가할 것으로 예상된다. 안철수연구소의 AOS는 특허받은 기술력을 바탕으로, 기존의 AV제품과 차별화된 인터넷 뱅킹 전용 보안을 제공해 점점 고도화, 지능화 되고 있는 인터넷 뱅킹 보안위협에 근본적으로 대응할 수 있다”고 전했습니다.
한편, AOS는 ‘AOS 시큐어 브라우저’, ‘AOS 안티키로거’, ‘AOS 파이어월’, ‘AOS 안티-바이러스/스파이웨어’로 구성 되어있으며 다양한 보안 기능이 통합된 전방위 온라인 금융 거래 보안 솔루션입니다. 키보드, PC, 웹브라우저 및 메모리 등 악성코드 침투와 해킹이 가능한 모든 통로를 봉쇄함으로써 사용자의 정보 침해를 원천적으로 막아줍니다. 사용자가 다양한 보안 기능을 단 한 번의 설치로 이용할 수 있다는 것이 장점입니다.<Ahn>
얼마 전 1,300만 건의 개인 정보를 탈취하여 불법 유통한 범죄에 대한 기사가 이슈가 되었다. 경찰 조사에 따르면 이들의 범행은 중국 해커와의 공모를 통해 국내 웹사이트 중 보안이 취약한 사이트들을 해커에게 지목해주고, 해당 사이트를 해킹하여 개인 정보를 얻어낸 후에 판매하는 방식으로 이뤄졌다고 한다. 특히 주목할만한 부분은 이번 사건에서 해킹을 당한 피해업체들의 경우, 개인 정보 유출 피해를 막기 위해 주민등록번호를 포함한 각종 개인 정보를 암호화하도록 한 방송통신위원회 고시의 내용을 대부분 모르고 있거나 알고 있더라도 비용이 많이 든다는 이유로 조치를 하지 않고 있었던 것이다.
정부기관 및 보안관련 기관에서는 웹사이트를 운영하는 정보통신서비스 업자들에게 지속적으로 개인 정보 유출을 막기 위한 조치를 권고하고 있으나, 관리자를 형식적으로 지정해두거나, 기초적인 비밀번호 암호화 원칙도 준수하지 않고 있는 등, 개인 정보 유출에 대한 심각성을 미리 인지하지 못하고 관리를 소홀하게 하고 있는 업체들이 많은 것이 현실이다.
인터넷 상의 각종 서비스 및 회원제 웹사이트 이용이 잦은 사용자들의 경우, 이러한 뉴스를 접할 때마다, ‘내 개인 정보가 과연 안전하게 관리되고 있는 것인지’ 불안할 수 밖에 없는 상황이다.
내 개인 정보, 내가 먼저 관리하자.
지금도 우후죽순 수많은 서비스들이 편리한 인터넷 환경을 등에 업고 생겨나고 있고, 새로운 서비스를 원하는 많은 사용자들은 가입에 필요한 개인 정보를 스스럼없이 제공하고 서비스를 이용하고 있다.
위에서도 언급한 것처럼, 인터넷을 통해 서비스를 하는 각 업체들은 자체적으로 가입자들의 개인 정보에 대한 관리를 철저하게 해야 하는 것이 필수적이나, 실제로는 그렇지 못한 경우가 있을 수 있으므로 사용자들도 각자의 개인 정보 보호를 위해 할 수 있는 최대한의 적극적인 관리를 해줄 필요성이 있다.
제시해볼 수 있는 몇 가지 간단한 가이드는 다음과 같다.
1. 내가 이용하는 서비스의 이용 약관을 꼼꼼히 살펴보자. 항상 강조되는 부분이지만, 사실 쉽지 않은 이야기다. 약관으로서 명시되는 그 많은 내용을 다 읽어보는 것은 어렵지만, 보통 ‘개인정보 취급방침’ 등의 분류로 기재된 부분을 확인해보면 내가 가입한 사이트에서 내 개인 정보를 어떻게 다룰 것인지 간단히 찾아볼 수 있다.
가입 시 요구되는 개인 정보의 항목은 어떤 것들이 있는지, 수집되는 정보들에 대한 동의는 어떤 절차로 이뤄지는지, 수집된 정보에 대한 이용 및 제3자에게 제공되는 경우는 어떠한 것들이 있는지, 탈퇴 시 개인 정보의 파기는 어떻게 이뤄지는지, 그 동안 변경된 취급 방침은 어떤지 등등 사용자 입장에서 민감할 수 있는 개인 정보에 대한 약관 내용은 꼭 읽어보도록 하자.
[그림 1 인터넷 쇼핑몰의 개인정보 취급방침에 대한 이용약관] (해당 사이트는 이 글의 주제와 관련이 없습니다.)
인터넷을 통해 서비스를 제공하는 업체들은 제휴 서비스 및 제휴 업체가 있는 경우가 많다. 예를 들어 ‘A’라는 사이트에 가입하는 경우, 제휴를 맺고 있는 ‘B’라는 사이트에도 개인 정보가 공유되는 경우 이러한 내용을 약관을 통해 확인할 수 있으므로 가입 시에 꼭 따져보도록 하자.
또한 새로 가입하는 경우 외에도 차후 제휴 서비스가 변경/추가되는 경우에 업체는 가입자들에게 이를 알리고 약관을 변경해야 하므로 보통의 경우 가입 시에 기재한 이메일을 통해 이를 고지하게 된다. 이런 경우에도 변경된 약관의 내용을 꼭 확인하도록 하자.
2. 가입 시 기재하는 정보가 꼭 서비스 이용에 필요한 것인지 따져보자. 보통 인터넷 서비스 업체들은 ‘필수 입력 사항’이라는 것을 정해두고 가입 시 해당 정보를 입력하지 않으면 가입을 할 수 없도록 제한하고 있다. 이름과 주민등록번호의 경우에는 회원 관리를 위해 어쩔 수 없는 부분이라고 할 수 있으나, 핸드폰 번호나 이메일 주소의 경우 선뜻 입력하기가 꺼려지는 경우가 적지 않다. 이럴 경우 해당 사이트에서 제공하는 핸드폰 번호를 통한 SMS 서비스나 이메일 주소를 통한 소식지 발송, 이벤트 내용 발송 등의 서비스가 자신에게 정말 필요한 것인지 다시 한번 생각해볼 여지가 있다. 사이트 이용에 불편함이 없을 것이라고 예상된다면 적절한 가짜(?) 정보(예를 들면, 010-0000-0000, aaa@aaa.com등)를 입력해두는 것도 나쁘지 않을 것이다.
그러나 이렇게 가짜(?) 정보를 입력해서 가입하면서, 이메일을 통해 서비스 변경 사항이나 약관 수정 내역을 받지 못하는 것이 걱정된다면, 자신이 주로 중요하게 사용하는 이메일 계정 외에 사이트 가입 시에만 사용하는 이메일 계정을 별도로 만들어서 관리하는 것도 한 가지 방법이 될 수 있겠다.
3. 가입 시 사용하는 아이디와 패스워드는 겹치지 않도록 관리하자. 대부분의 사용자들은 자신이 사용하는 아이디, 패스워드를 거의 모든 사이트에 동일하게 적용하기 마련이다. 그러나 해킹을 통한 개인 정보 유출 사고가 발생하게 되면 탈취한 개인 정보를 이용하여 2차 범죄가 이어지는 경우가 다반사다. 아이디와 패스워드가 여러 곳에 똑같이 설정되어 있을 경우 한 사이트에서 해킹 사고가 발생하면 그 외의 사이트들에서 내 정보는 더 쉽게 유출될 수 있다는 것을 명심하자.
또한 자신이 가입한 사이트에서 해킹 사고가 발생했을 경우, 동일한 아이디, 패스워드를 설정해둔 타 사이트들의 계정 정보를 즉각 변경하는 것도 2차 유출을 막을 수 있는 방법이다.
4. 내가 가입한 사이트들을 주기적으로 관리하자. 가장 어려운 부분일 수 있다. 워낙 인터넷 사이트들이 방대하다 보니 그 때 그 때 필요에 의해서 가입했던 사이트들은 시간이 지나면 자연스럽게 잊혀지게 마련이다. 자신이 평소에 지속적으로 이용하는 곳이 아니라면 과감히 탈퇴하여 해당 사이트에서의 개인 정보가 유출될 여지를 미연에 방지할 수 있도록 하자.
평소 철저하게 개인 정보를 관리하는 몇몇 사용자들의 경우 자신이 가입한 사이트 리스트를 항상 주기적으로 업데이트하는 경우를 심심찮게 보게 된다. 그러나 이렇게 하지 않더라도 자신이 가입한 사이트를 확인할 수 있는 방법은 있다. 주요 기관들에서는 내 주민등록번호가 인터넷 상에서 몇 군데에 사용되었고, 해당 주민등록번호를 통해 가입된 사이트는 어떤 곳들인지 알아볼 수 있도록 하고 있다.
서울신용평가정보㈜에서 운영하는 Siren24(http://www.siren24.com/)의 경우 주민등록번호를 입력을 통해 사용자의 개인 정보가 어떻게 사용되고 있는지 간단히 조회해 볼 수 있도록 하고 있다.
[그림 2 Siren24(서울신용평가정보㈜ 운영)]
[그림 3 Siren24에서 주민등록번호를 통해 조회한 결과]
한 때 개인 정보 클린 캠페인이 진행되면서 가입한 사이트들의 리스트도 무료로 조회할 수 있도록 하였지만, 현재는 무료 조회 서비스는 불가능하다. 하지만 이러한 명의 도용 방지 서비스를 하는 사이트의 경우 가입자의 개인 정보가 인터넷 상에서 사용되는 시점에 즉시 SMS를 통해 그 사실을 알려주는 등의 서비스를 제공하므로, 보다 적극적으로 개인 정보 관리를 하고 싶은 사용자의 경우 유료 사용도 고려해볼 수 있다.
내 개인 정보 사용은 어쩔 수 없는 선택?
보안과 편의의 관계는 항상 상충된다. 인터넷을 통해 제공되는 각종 편리한 서비스를 사용하기 위해서는 어느 정도의 보안 위험을 감수할 수 밖에 없다는 것이다.
초반에 언급했듯 국가 기관에서는 서비스 업체들에게 지속적인 보안 관리 지침을 주고 있지만 사용자 입장에서는 서비스 업체의 완벽한 관리를 무조건 믿고 있을 수는 없는 노릇이다. 또한 반대로 서비스 업체들의 입장에서도 각 사용자들에게 충분한 서비스를 제공하기 위해서는 개인 정보의 수집을 배제할 수 없다.
개인 정보 관리의 중요성이 지속적으로 강조되고 있는 요즘, 아무쪼록 이 글이 잊을만 하면 발생하는 개인 정보 유출 사고 시에 걱정 없이 대처하기 위한 사용자들의 적극적인 개인 정보 관리에 조금이나마 도움이 되길 바란다.@
윤병무엔진테스터
안철수연구소에서 매일 업데이트 되는 따끈따끈한 엔진을 이쁘게 포장하고 테스트하여 고객에게 전달하는 업무를 담당하고 있다. 현재 “안랩 칼럼니스트”로 활동하며, 초보자에게 필요한 여러 IT 활용지식을 쉽고 간결한 필체로 제공하고 있다 소박한 꿈이라고 한다. .
위 글은 안랩닷컴페이지에서도 제공됩니다. 안랩닷컴 보안정보 中 보안포커스 / 전문가 칼럼 내 정보는 내가 지킨다! 안랩닷컴에서 찾으세요
오늘도 안전하고 행복한 하루 되세요 ^^
;;
댓글을 달아 주세요
광고의 바다에선
돌부처가 되어야 하지 않을가요? ㅎ
현명하고 주체있는 판단으로 바다에서 휩쓸리지 않고 파다위에서 윈드서핑을 즐겨야지요 ^^*
2008년부터 시작된 거대한 개막장싸이코번들링 이군요.
카레님도 스팸메일 많이 받으시죠? 컴퓨터로 업무를 보고 사회생활을 하는 한 정보침해의 위협에서 자유롭긴 힘든 것 같습니다.
사이버 테러도 당하고 -_- 신상 털리고 .. 스팸메일은 .. 다음 메일로 100통은 오고 .. 지메일은 없고 .. -_- 네이버 메일은 메일 한개 왔다치면은 3개가 거기에 딸려서 나옵니다.
왠지 모르게 신상 털린 개인정보가 .. 악용될 소지가 다분해서 뒷통수가 찜찜합니다.
이런..신상정보는 잘 관리 하셔야 하는데..ㅠ.ㅠ
그리고 현실 세계에서 구직활동을 하다가 주민등록증이 스캔되어서 도용당했습니다.
어이가 없어서 .. 기가 막히고 코가 막힙니다.
구직 정보가 명확하지 않는데 개인정보를 요구하고 연락을 주겠다는 그럴듯한 애기를 꺼내면서 낚시를 당하는 척 했습니다.
..연락을 준다고 해놓고서 ..내 개인정보 몰래 분식회계한후 -_-; 배를 쨀려고 하다가.. 들통나서 망한것 같습니다.
가장 구린 냄새가 나는건 .. 해당정보는 반환이 되지 않는다는 놀라운 사실을 발견..
결국 고용노동부 허위과장광고 하는 페이지에 신고를 해서 접수중이며 .. 해당 담당자에게 전화 상담을 받아봤습니다. 가장 궁금한 사항이였던 개인정보가 반환되지 않는 이유 에 대해서는 아무래도 개인정보를 도용해서 불법으로 사용했을 가능성이 크다고 경고하셨습니다. 그리고 이런 것을 관할 하는 부서가 고용노동부 가 아니라 행정안전부 라는군요. -_- 그리고 이런 것을 발견해서 신고하면은 포상금 도 있고 ..허위광고 를 담당하는 공무원에게 포센티브 가 부여된다는군요.
아무튼 이런 저런 사연으로 이번주 내로 행정안전부 로 가는 영광을 얻게 되겠네요.
느려도 ..이번달 안에 미션이 완료될것같고.. -_-; 이건 뭐 또 유명인사되겠네요. 안그래도 ..빚이 너무 많아서 죽을뻔했는데.. 살았군요 ..ㅎㅎㅎ
요즘 부쩍 메인으로 사용 중인 메일에
스팸이 마구마구 오고 있네요! ㅜㅜ
무분별한 스팸 광고부터 척결되었으면 좋겠습니다!
팁을 하나 드리면, 메인으로 사용하는 메일(각종 홈피가입용 등) 따로, 정말 중요한 메일 (업무용 등)계정 따로 해 두시면 괜찮은 효과를 보실 수 있습니다. ^^