정보보호는 사용자의 보안 의지와 실천 의지로부터(Hot Issue Briefing 제6호)
페이지 정보
작성자 MichaelCho 작성일20-08-03 10:52 조회331회 댓글0건관련링크
본문
Hot Issue Briefing 제6호 (2020년 8월 3일, 월)
<정보보호는 사용자의 보안 의지와 실천으로부터>
신종 코로나바이러스 감염증의 확산으로 우리나라는 물론 전 세계가 전혀 새로운 상황에 처해 있다. 물론 머지않아 인류는 코로나바이러스를 예방하고 치료할 수 있는 방법들을 만들어 낼 것이다. 그러나 어쩌면 우리가 독감 예방주사를 맞고 주의하며 살아가는 것처럼 코로나에 대해서도 일상적인 위험으로 받아들이고 주의하며 살아가야 할 수도 있겠다.
또한 우리는 인공지능(AI), 사물인터넷(IOT), 로봇기술, 드론, 자율주행차, 가상현실(VR) 등이 주도하는 4차 산업혁명의 환경 속에서 살아가고 있으며, 4차 산업혁명이 진전되면 될수록 악의적인 목적을 가진 해커들의 위협은 더욱 고도화, 정밀화, 치명화 될 것이다. 특히 코로나바이러스의 영향으로 ‘Hot Issue Briefing 제5호’에서 제기된 것처럼 재택근무, 비대면 강의 등 정보통신기술의 활용이 더욱 많은 부분에서 일상화 되면서 해커들에게는 공격표면이 폭발적으로 넓어지는 계기가 될 것이며 공공기관이나 기업, 학교 등 보안시스템으로부터 벗어난 환경에 노출되면서 취약점은 더욱 증폭될 것이다.
최근 트위터 계정이 해킹을 당했다. 애플, 일론 머스크, 카니에 웨스트, 버락 오바마, 제프 베조스 등 유명인과 유명 기업의 계정이 해커에 의해 해킹되었으며, 이 해킹으로 약 300여 명이 11만 달러 정도의 피해를 입었다고 보도되었다. 우리나라에서도 380여 단체의 홈페이지를 관리하고 있는 업체의 서버가 해킹되어 수십만 명의 회원 정보가 유출된 것으로 보도되었다. 유출된 회원 정보는 아이디, 비밀번호, 이메일, 연락처, 집 주소 등으로 해커들이 가상사설망(VPN)(¹)을 이용, 우회 접근하여 정보를 탈취하였고 암호화폐 계좌에 입금을 요구하며 불응시 개인 정보를 유출하겠다고 협박하는 것으로 알려지고 있다. 전형적인 해커들의 수법이다. 은밀히 접근하여 정보를 탈취하고 이를 미끼로 금전을 요구한다. 해커들이 탈취한 개인정보들은 우리들의 안전한 사이버 공간 활용을 방해하는 치명적인 위협으로 다가올 것이다. 물론 해커들이 적이라면, 해킹 대상이 국가안보와 관련된 기관이나 중요산업기밀을 가진 업체라면 국가안위와 산업경쟁력에 치명상을 입힐 수도 있다는 것은 더 이상 언급할 필요도 없을 것이다.
이제 해커들에 의한 악의적인 해킹 시도는 독감이나 코로나바이러스처럼 우리의 일상생활을 방해하는 위협의 상수가 된 지 오래이며, 그 대표적인 수법이 피싱(Phishing)공격(²)이다. 피싱공격의 종류에는 특정한 개인이나 조직을 대상으로 하는 스피어피싱, 전화를 이용하는 보이스피싱, 문자 메시지를 이용하는 스미싱, 기타 활용하는 수단에 따라서 다양하다. 그 중에 최근 대표적인 것이 스피어피싱과 스미싱이다. 그러나 보안교육을 충분히 받은 인원들조차 자신이 수신한 이메일이나 문자 메시지에 스피어피싱이나 스미싱공격 위험이 내재된 것인지를 파악하는 것은 매우 어려인 일이다.
국가나 기관, 기업, 단체들은 법과 제도, 정책, 각종 방어체계, 조직원 교육 및 감독 등 가능한 모든 노력을 경주하여 외부로부터 위협을 사전 차단하는 방어적 활동을 하고 있다. 그러나 창과 방패(모순, 矛盾)처럼 결코 완전할 수는 없으며, 각 조직이 시행하는 방어적 활동의 수준 또한 의지, 예산, 기술 등 여러 요인에 따라 천차만별일 것이다. 따라서 가장 중요하고도 확실한 방어 수단은 바로 사람이다. ‘사람이 무기다’라는 말처럼 사람의 의지와 능력, 성실성(실천력)에 따라서 아주 강한 무기가 될 수도 있고, 오히려 위해요소로 작용할 수도 있다.
사람이 강한 무기가 되기 위해서는 법과 규정, 시스템과 교육 및 감독도 중요하지만 무엇보다도 각 개인의 의지와 성실성, 즉 실천력이 중요하다. 첫째 의지 면에서는 나 하나의 부주의나 무책임으로 인해 나만 피해를 보는 것이 아니라 조직원이나 사이버 공간에서 나와 연결되는 다수에게 피해를 줄 수 있음을 자각하고 스스로 철저히 관리하는 것이다. 둘째 의지보다 더욱 중요한 것이 성실성(실천력)이다. 우선 패스워드 하나만이라도 잘 만들어 관리하도록 해야 한다. 사람들이 인감도장과 인감증명을 관리하는 만큼 중요하게 패스워드를 사용해야 한다. 한 번 설정한 패스워드를 절대 변경하지 않는 사람들이 다수일 것이다. 변경하면 잊어버릴 것을 염려한다. 그리고 패스워드 설정도 개인의 신상(학교 졸업연도, 반려동물 이름 등등)을 알면 유추할 수 있는 것들이 많다. 현관을 여는 열쇠라고 생각한다면 아찔할 일이다. 셋째 피싱 이메일과 스미싱 문자메시지를 구분하는 일이다. 이것은 결코 쉬운 일이 아니다. 따라서 제한적이기는 하지만 나에게 메일(문자메시지)을 보낼만한 사람으로부터 온 것인지, 내가 받을 만한 내용의 메일(문자메시지)인지를 살펴서 문제가 없다고 생각될 경우 열어보는 습관을 가져야 한다. 그렇지 않거나, 달콤한 꿀이 발라져 있는 메일(문자메시지)은 일단 의심해야 한다. 메일(문자메시지) 내용에 삽입된 url(³)을 열어 접속하는 것에 특히 신중해야 한다.
국가와 모든 조직의 구성원들이 스스로 의지를 가지고, 합당한 지식으로 무장된 가운에 이를 책임감 있게 실천하는 것이 관건이다. 이를 위해 적절한 교육이 필요하다. 국가 홍보 수단이나 각급 학교, 사회의 가용한 여러 조직을 통해 모든 컴퓨터 사용자들이 규범을 알고 실천할 수 있도록 행하기 쉽게 교육하는 노력을 해야 한다. 그리고 모든 사람들은 사용의 편리성을 추구하는 것도 좋지만, 최소한의 보안 노력이 자신을 보호하고 자신이 속한 조직과 주위의 사이버 공간상 지인들을 보호함을 유념하여 실천하여야 한다.
자율적 보안태세는 4차 산업혁명 시대에 접어든 우리를 안전하게 지켜줄 수 있는 관건이다. 정보보호의 핵심은 사람이며, 사람이 곧 최고의 무기이다. <끝>
사)한국융합안보연구원 사무총장 조 성 직
(1) 인터넷과 같은 공중망(Public Network)을 전용선으로 사설망을 구축한 것처럼 사용할 수 있는 방식
(2) 전자우편, 메신저를 이용하여 신뢰할 수 있는 사람, 또는 기업이 보낸 메시지인 것처럼 가장하여 비밀번호나 신용카드 정보와 같은 기밀을 요하는 정보를 부정하게 얻으려는 사회공학의 한 종류. Phishing은 Private data와 Fishing의 합성어
(3) 웹에서 사용하는 주소를 지정하는 방식. ‘통신규칙://인터넷 호스트 주소/경로이름’으로 구성
※ 이 글은 저자의 개인적인 견해로 사)한국융합안보연구원의 공식적인 견해가 아닙니다.
<정보보호는 사용자의 보안 의지와 실천으로부터>
신종 코로나바이러스 감염증의 확산으로 우리나라는 물론 전 세계가 전혀 새로운 상황에 처해 있다. 물론 머지않아 인류는 코로나바이러스를 예방하고 치료할 수 있는 방법들을 만들어 낼 것이다. 그러나 어쩌면 우리가 독감 예방주사를 맞고 주의하며 살아가는 것처럼 코로나에 대해서도 일상적인 위험으로 받아들이고 주의하며 살아가야 할 수도 있겠다.
또한 우리는 인공지능(AI), 사물인터넷(IOT), 로봇기술, 드론, 자율주행차, 가상현실(VR) 등이 주도하는 4차 산업혁명의 환경 속에서 살아가고 있으며, 4차 산업혁명이 진전되면 될수록 악의적인 목적을 가진 해커들의 위협은 더욱 고도화, 정밀화, 치명화 될 것이다. 특히 코로나바이러스의 영향으로 ‘Hot Issue Briefing 제5호’에서 제기된 것처럼 재택근무, 비대면 강의 등 정보통신기술의 활용이 더욱 많은 부분에서 일상화 되면서 해커들에게는 공격표면이 폭발적으로 넓어지는 계기가 될 것이며 공공기관이나 기업, 학교 등 보안시스템으로부터 벗어난 환경에 노출되면서 취약점은 더욱 증폭될 것이다.
최근 트위터 계정이 해킹을 당했다. 애플, 일론 머스크, 카니에 웨스트, 버락 오바마, 제프 베조스 등 유명인과 유명 기업의 계정이 해커에 의해 해킹되었으며, 이 해킹으로 약 300여 명이 11만 달러 정도의 피해를 입었다고 보도되었다. 우리나라에서도 380여 단체의 홈페이지를 관리하고 있는 업체의 서버가 해킹되어 수십만 명의 회원 정보가 유출된 것으로 보도되었다. 유출된 회원 정보는 아이디, 비밀번호, 이메일, 연락처, 집 주소 등으로 해커들이 가상사설망(VPN)(¹)을 이용, 우회 접근하여 정보를 탈취하였고 암호화폐 계좌에 입금을 요구하며 불응시 개인 정보를 유출하겠다고 협박하는 것으로 알려지고 있다. 전형적인 해커들의 수법이다. 은밀히 접근하여 정보를 탈취하고 이를 미끼로 금전을 요구한다. 해커들이 탈취한 개인정보들은 우리들의 안전한 사이버 공간 활용을 방해하는 치명적인 위협으로 다가올 것이다. 물론 해커들이 적이라면, 해킹 대상이 국가안보와 관련된 기관이나 중요산업기밀을 가진 업체라면 국가안위와 산업경쟁력에 치명상을 입힐 수도 있다는 것은 더 이상 언급할 필요도 없을 것이다.
이제 해커들에 의한 악의적인 해킹 시도는 독감이나 코로나바이러스처럼 우리의 일상생활을 방해하는 위협의 상수가 된 지 오래이며, 그 대표적인 수법이 피싱(Phishing)공격(²)이다. 피싱공격의 종류에는 특정한 개인이나 조직을 대상으로 하는 스피어피싱, 전화를 이용하는 보이스피싱, 문자 메시지를 이용하는 스미싱, 기타 활용하는 수단에 따라서 다양하다. 그 중에 최근 대표적인 것이 스피어피싱과 스미싱이다. 그러나 보안교육을 충분히 받은 인원들조차 자신이 수신한 이메일이나 문자 메시지에 스피어피싱이나 스미싱공격 위험이 내재된 것인지를 파악하는 것은 매우 어려인 일이다.
국가나 기관, 기업, 단체들은 법과 제도, 정책, 각종 방어체계, 조직원 교육 및 감독 등 가능한 모든 노력을 경주하여 외부로부터 위협을 사전 차단하는 방어적 활동을 하고 있다. 그러나 창과 방패(모순, 矛盾)처럼 결코 완전할 수는 없으며, 각 조직이 시행하는 방어적 활동의 수준 또한 의지, 예산, 기술 등 여러 요인에 따라 천차만별일 것이다. 따라서 가장 중요하고도 확실한 방어 수단은 바로 사람이다. ‘사람이 무기다’라는 말처럼 사람의 의지와 능력, 성실성(실천력)에 따라서 아주 강한 무기가 될 수도 있고, 오히려 위해요소로 작용할 수도 있다.
사람이 강한 무기가 되기 위해서는 법과 규정, 시스템과 교육 및 감독도 중요하지만 무엇보다도 각 개인의 의지와 성실성, 즉 실천력이 중요하다. 첫째 의지 면에서는 나 하나의 부주의나 무책임으로 인해 나만 피해를 보는 것이 아니라 조직원이나 사이버 공간에서 나와 연결되는 다수에게 피해를 줄 수 있음을 자각하고 스스로 철저히 관리하는 것이다. 둘째 의지보다 더욱 중요한 것이 성실성(실천력)이다. 우선 패스워드 하나만이라도 잘 만들어 관리하도록 해야 한다. 사람들이 인감도장과 인감증명을 관리하는 만큼 중요하게 패스워드를 사용해야 한다. 한 번 설정한 패스워드를 절대 변경하지 않는 사람들이 다수일 것이다. 변경하면 잊어버릴 것을 염려한다. 그리고 패스워드 설정도 개인의 신상(학교 졸업연도, 반려동물 이름 등등)을 알면 유추할 수 있는 것들이 많다. 현관을 여는 열쇠라고 생각한다면 아찔할 일이다. 셋째 피싱 이메일과 스미싱 문자메시지를 구분하는 일이다. 이것은 결코 쉬운 일이 아니다. 따라서 제한적이기는 하지만 나에게 메일(문자메시지)을 보낼만한 사람으로부터 온 것인지, 내가 받을 만한 내용의 메일(문자메시지)인지를 살펴서 문제가 없다고 생각될 경우 열어보는 습관을 가져야 한다. 그렇지 않거나, 달콤한 꿀이 발라져 있는 메일(문자메시지)은 일단 의심해야 한다. 메일(문자메시지) 내용에 삽입된 url(³)을 열어 접속하는 것에 특히 신중해야 한다.
국가와 모든 조직의 구성원들이 스스로 의지를 가지고, 합당한 지식으로 무장된 가운에 이를 책임감 있게 실천하는 것이 관건이다. 이를 위해 적절한 교육이 필요하다. 국가 홍보 수단이나 각급 학교, 사회의 가용한 여러 조직을 통해 모든 컴퓨터 사용자들이 규범을 알고 실천할 수 있도록 행하기 쉽게 교육하는 노력을 해야 한다. 그리고 모든 사람들은 사용의 편리성을 추구하는 것도 좋지만, 최소한의 보안 노력이 자신을 보호하고 자신이 속한 조직과 주위의 사이버 공간상 지인들을 보호함을 유념하여 실천하여야 한다.
자율적 보안태세는 4차 산업혁명 시대에 접어든 우리를 안전하게 지켜줄 수 있는 관건이다. 정보보호의 핵심은 사람이며, 사람이 곧 최고의 무기이다. <끝>
사)한국융합안보연구원 사무총장 조 성 직
(1) 인터넷과 같은 공중망(Public Network)을 전용선으로 사설망을 구축한 것처럼 사용할 수 있는 방식
(2) 전자우편, 메신저를 이용하여 신뢰할 수 있는 사람, 또는 기업이 보낸 메시지인 것처럼 가장하여 비밀번호나 신용카드 정보와 같은 기밀을 요하는 정보를 부정하게 얻으려는 사회공학의 한 종류. Phishing은 Private data와 Fishing의 합성어
(3) 웹에서 사용하는 주소를 지정하는 방식. ‘통신규칙://인터넷 호스트 주소/경로이름’으로 구성
※ 이 글은 저자의 개인적인 견해로 사)한국융합안보연구원의 공식적인 견해가 아닙니다.
댓글목록
등록된 댓글이 없습니다.
