보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

KISA 웹방화벽, 중국해킹 85% 차단 가능

입력 : 2006-03-10 00:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

정부, 중국 눈치보며...국내 보안강화에 집중

“PC보안 패치율 현재 35%에서 80%이상 높일 계획”


최근 발생한 온라인 게임과 관련한 일련의 사건들은 우리에게 많은 피해를 주기도 했지만  다양한 방법을 모색하게끔 해주는 동기부여가 된 것 만은 사실이다.


개인정보유출이 지속적으로 발생하는 것은 급속도로 발전한 정보통신 환경에 비해 정보보호에 대한 의식이 그를 따라가지 못한 과정에서 발생한 사회적 부조리현상으로 볼 수 있다.


일부에서는 진정한 유비쿼터스 환경의 사회로 나아가기 위한 진통으로 봐야하고 차근차근 준비해 나가면 된다는 낙관적인 견해도 있다. 하지만 국내 해커에 의한 피해라면 추적과 경찰청의 수사로 충분히 차단할 수 있다고 할 수 있지만 중국과 같은 해외에서 국내 사이트를 공격해 정보를 유출하고 실재로 우리 국민들에게 피해를 입히는 이러한 현상은 묵과해서는 안 될 일이다.


우리 정부가 중국 해커들의 공격이란 것을 알면서도 중국 정부에 강력하게 재발방지 요청을 하지 못하는 것도 문제점으로 지적받고 있는 부분이다. 정보통신부는 ‘중국발’해킹이라는 표현을 자제할 것을 언론에 당부하지만 그 또한 ‘중국 눈치보기’의 한 부분일 수밖에 없어 당하고만 있는 국내 PC이용자들은 정부의 강력한 대응을 요구하고 있다.


정보통신부를 비롯해 관련기관은 이 문제를 중국과 외교적 문제로 풀기보다는 국내 보안강화에 초점을 맞추는 방향으로 가닥을 잡고 있는 듯하다. 위험상황 모니터링과 해킹 차단 그리고 개인정보 관리를 위해 각 부처별로 구체적인 방안들을 내놓고 있는 중이다. 각종 정보보호 프로젝트를 수행하고 있는 한국정보보호진흥원(KISA) 인터넷침해사고대응지원센터 김우한 센터장의 말을 들어 보자.


Interview

KISA 인터넷침해사고대응지원센터 김우한 센터장

 

악성코드 유포하는 공격툴 웹방화벽으로 90%이상 차단 가능

“게임업체, 이익얻은 만큼 정보보호 제품과 인력보강했어야...”

7만개 사이트 상시모니터링→해킹 발생 직후 조기 수습


<KISA 인터넷침해사고대응지원센터 김우한 센터장>

개인정보 유출로 인한 사회적인 문제가 심각하다. 그 이유는 어디에 있다고 생각하는가?


모든 것이 ‘돈’ 때문이다. 그 방법으로는 온라인게임 ‘아이템 거래’가 돈벌이 방법으로 사용됐다. 그렇다면 왜 개인정보가 유출됐는가. 바로 중국인들이 국내 사이트에 가입하기 위해서 반드시 필요한 것이 이름과 주민등록번호다. 심지어는 한류열풍으로 인해 국내 연예인 사이트에 가입하기 위해 개인정보를 유출해가는 경우도 허다하다. 주민번호에 대한 대체수단 개발은 정보통신부와 한국정보보호진흥원이 진행 중에 있다.


개인정보 유출 경로로는 어떤 것들이 있나? 


우선 국내 유명 포털이나 해외 포털을 이용해 국내 주민번호를 긁어가는 방법과 P2P를 이용하는 경우도 있고 SQL 인젝션 취약점을 이용한 서버사이드 해킹을 통한 방법도 있다. 중국에는 해킹을 위한 공격툴이 10가지 이상 유포되고 있는 중이다.


이에 대한 대비책으로 정부나 KISA에서 준비하고 있는 것이 있다면?


검색사이트로부터 유출되는 개인정보를 차단하기 위해 국내 사이트에는 금칙어를 사용해 주민번호 검색을 차단하고 있다. 또한 구글과 같은 해외 검색포털사이트에는 기존에 떠있는 주민번호 삭제와 검색차단을 위해 계속 협상중에 있다.

 

서버사이드 해킹을 방지하기 위해서 KISA에서 현재 영세한 중소기업과 벤처기업을 대상으로 공개소프트 웹방화벽을 적극 보급 중에 있다. 국내에서 시판되고 있는 상용 웹방화벽은 3천~1억원 이상 비용부담이 있기 때문에 영세한 업체에서는 KISA에서 보급하는 웹방화벽을 적극 사용할 것을 권한다. 이 공개소프트로도 중국의 공격툴은 무용지물이 될 정도로 거의 대부분 차단할 수 있다. 좀더 정확하게 말하면 상용은 90%, 공개는 85%까지 잡을 수 있다.


또한 4월부터 자동보안패치 업그레이드 율을 높이기 위해 국내 중요 10개 사이트와 협의 하에 사이트 방문시 보안패치 업그레이드 유무를 확인해 이용자로 하여금 자연스럽게 패치할 수 있도록 유도하는 방식을 사용해 현재 패치율 38%에서 85%이상까지 끌어올릴 계획이다.


또 다른 대비책들은 없는가?


보안패치율을 지속적으로 증가시키면서 그래도 미흡하다면 국내 7만개 사이트를 대상으로 상시모니터링을 실시해 악성코드 유무를 발견하고 해당업체에 즉각 연락해 바로 조치를 취할 수 있는 시스템을 운영하고 있다. 7만개 사이트면 국내 거의 모든 사이트가 해당될 것이고 점차적으로 모니터링 주기를 좁혀 해외 악성코드가 발붙일 틈을 주지 않을 것이다.


일반 PC이용자들에게 당부하고 싶은 말은?


국내는 2천8백만대 PC가 있다. 여기에 상용백신을 모두 장착하면 좋겠지만 비용문제가 걸린다면 보안패치를 정기적으로 한다거나 무료 안티스파이웨어만 설치해도 웬만한 악성코드들은 맥을 못춘다. 이 부분이 사실은 가장 중요하다. 일반 사용자들이 보안의식을 높이기 위해 지속적으로 노력하겠다. 잘 모르겠으면 118로 전화해서 문의하면 우리 직원들이 친절하게 설명해 줄 것이다.     


주민등록번호에 대한 의견이 있다면?


해외 어느 나라도 우리나라처럼 인터넷 사이트 가입시 주민등록번호를 요구하는 경우는 거의 없다. 웹사이트 개발자들에게 문제가 있기도 하다. 주민등록번호와 전화번호, 주소 등은 마치 필수사항처럼 만들어 놓고 있어 시급히 시정되어야할 부분이다.


이번 리니지 사태의 책임은 누구에게 있다고 생각하는가?


궁극적으로는 국내 전체 보안의식이 철저하지 못했다는 점이겠지만 구체적으로 보면 게임업체에서 자체 검진작업을 잘 수행했다면 이러한 결과는 나오지 않았을 것이다. 게임업체는 수익을 얻은 만큼 정보보호제품과 관련 인력에 대한 투자를 지속적으로 했어야 옳았다. 최근 그러한 노력들이 보이는 것 같아 다행스러운 일이지만 사용자들의 소중한 정보를 지켜준다는 철저한 서비스 정신이 바탕에 깔려있어야 한다고 생각한다.


올해 인터넷침해사고대응지원센터 모토가 있다면?


올해 센터의 모토가 있다면 정보보호 취약계층으로 들어가자는 것으로 요약할 수 있다. 한마디로 국민속에서 정보보호를 실현하자는 것이다. 우리 센터가 적극적으로 도와드리겠다. 국민들은 정보보호에 대한 의지를 가져야 한다. 보안패치율 높이기와 7만개 사이트 상시 모니터링 등을 통해 소중한 정보 유출로 인한 피해를 최소화 할 수 있도록 노력하겠다.

또한 업체들은 영업이익도 중요하지만 이용자들의 권익을 위해 정보보호에 대한 투자도 아끼지 말고 해 줄 것을 당부한다. 

[길민권 기자(boannews@infothe.com)]


<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

주성용 2006.03.14 21:20

KISA침해사고대응지원센터가 중요합니다,가칭민간협의회인"침해사고대응팀협의회"는 사심으로 흐를수 밖에 없습니다 기관이 객관적으로 주도해서 민간침해사고대응을 협의해야 합니다,,정치적이되면 안됩니다,,,,,,


Frontier 2006.03.12 23:50

흠..당한후에야..발견이 되니 그게문제지요..더구나..유명백신등에 진단이 안되는 경우도 있고..된다하더라도..몇일지난뒤에 되는경우가 많고..국내 업체는 악성코드의 대응이 늦는감이 많다는..어째 외산보다 로컬업체 백신이 뒤질수가 있는지..국내에 발견되는 악성코드라면..적어도 외산보다는 조기에 빨리 발견하여 업데이트 해야되는데..항상 외산 진단후..국내백신사 진단..OTL 백신 정품 3개씁니다..ㅋㅋㅋ


ㅋㅋㅋ2 2006.03.12 12:48

ㅋㅋㅋ 님 왠만하면 내용에 집중합시다.

ㅎㅎㅎ


ㅋㅋㅋ 2006.03.10 13:10

사진이 언듯보면 손가락으로 욕하는것처럼보이네.....ㅋㅋㅋ


마초이 2006.03.10 12:38

김우한 침해대응지원센터장님!화이팅!!


  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)