[주간토픽]2010 데프콘 CTF에서 한국팀 3위 쾌거

카이스트 'GoN'팀과 포항공대 ‘PLUS'팀 연합으로 동반 출전 성과

[보안뉴스 오병민] 미국 라스베가스에서 매년 개최되는 세계 최대 해킹·보안인들의 축제, 2010 ‘DEFCON 18' 본선에 참가한 한국 ‘KAIST&POSTECH’팀이 최종 성적 3위를 기록해 다시 한번 한국 해킹·보안의 기술력을 세계에 과시했다.

지난 5월 21일부터 24일까지 온라인 예선전에서 세계적인 해킹 그룹 529개팀과 경합을 벌인 가운데 9개팀 만이 참가할 수 있는 데프콘 CTF 본선행 티켓을 따낸 카이스트(KAIST) 'GoN'팀은 본선 경쟁력을 위해 포항공대 ‘PLUS'팀과 연합해 ‘KAIST&POSTECH’팀으로 동반 출전해 3위를 차지하게 됐다.

▲한국팀 데프콘 CTF 본선 장면. 한복을 입고 경기에 임하는 모습이 인상적이다. ⓒ쉬프트웍스 홍민표 대표

‘KAIST&POSTECH’팀은 첫날은 1위까지 올라갔었고 둘째날에도 2위 자리를 지키다가 최종 순위가 3위로 결정됐다고 데프콘 CTF를 현지 참관한 관계자들은 말했다.

한편 이번 데프콘을 직접 참관한 홍민표 쉬프트웍스 대표는 “이번 데프콘은 대체로 흥미를 끌만한 이벤트나 발표가 예전에 비해 부족한 것같다”며 “다만 ATM기 해킹 발표는 많은 사람들이 관심을 가졌고 우리나라도 조심해야할 부분”이라고 지적했다.

■ 정부기관 및 보안관련 기관

美 민간 사이버보안 자원봉사...한국도 벤치마킹 필요

미국의 사이버보안 민간 자원 특수부대가 세계 최대 해킹·보안 축제인 DEFCON에서 정체를 드러내고 자원활동가들을 모집하고 있다고 외신은 보도했다. 라스베가스 AFP 통신에 따르면, “'비질런트(vigilant.'경계하다'라는 뜻/ 회장 체드 우버)'라는 이름의 이 집단은 전산 전문가 등 600여명의 자발적 연합체이며, 이들은 인터넷 상에서 테러분자나 마약 카르텔 등에 관한 정보를 입수, 미 정보당국과 공유하며 14년간 활동해 왔다”고 전했다.

제5회 금융부문 정보보호 우수 논문/사례 공모전’ 개최

금융보안연구원은 금융정보보호의 중요성에 대한 인식을 고취시키고, 금융회사의 정보보호 수준 향상을 도모하기 위해 ‘제5회 금융부문 정보보호 우수 논문/사례 공모전’을 개최한다고 밝혔다. 접수 마감은 2010년 8월 15일까지며 입상자 통보는 8월말에 개별 통보할 예정이며, 시상은 2010년 9월 15일 예정이다.

'제5회 대한민국 인터넷대상' 9월 16일까지 응모접수

인터넷 분야에서 최고의 권위를 자랑하는 ‘대한민국 인터넷대상’ (방송통신위원회 주최, 한국인터넷진흥원 주관) 응모 접수가 지난 3일부터 시작해 9월 16일(목)까지 45일간 진행된다. 2006년부터 시행되어 올해로 5회째를 맞는 ‘대한민국 인터넷대상’은 인터넷 발전 및 선진 인터넷 사회 구현에 공헌한 기업, 단체 및 개인의 공을 널리 알리며 그 공로를 치하하고 포상하는 시상제도다.

국가정보화 현황 총망라 ‘2010 국가정보화백서’ 발간

한국정보화진흥원(NIA ? 원장 김성태)이 우리나라와 세계의 국가정보화 현황을 종합적으로 분석?정리한 ‘2010 국가정보화백서’를 발간했다. 올해로 18번째 발간되는 ‘2010 국가정보화백서’에는 국가정보화 계획, 중앙행정 정보화, 국민생활 정보화, 산업 부문별 정보화, 디지털 융합인프라 구축, 정보통신기술개발 및 표준화, 정보보호 기반조성, 글로벌 정보화 협력, 세계의 정보화현황 등의 국가정보화 전체 현황이 총망라돼 있다.

■ 정보보호 기업 동향

이글루시큐리티, 공공보안관제센터 구축사업 잇단 수주

융복합보안관리 전문기업 이글루시큐리티(대표 이득춘)가 환경부와 기상청의 보안관제센터 구축 사업을 잇달아 수주하며 공급계약을 체결했다고 2일 밝혔다. 주요 공공 보안관제센터 구축 사업을 연이어 2곳이나 수주하게 되면서 이글루시큐리티는 자사 보안솔루션에 대한 기술 공신력의 반증과 함께 체계적인 보안관리 프로세스가 확립되고 전문 보안관제 인력을 보유한 업체로 다시 한번 인정 받게 되었으며 하반기 쾌조의 스타트를 시작하게 되었다.

모니터랩, KTDS와 비즈니스 파트너쉽 계약 체결

모니터랩과 KTDS는 모니터랩의 애플리케이션방화벽 제품군의 판매와 관련한 협력계약을 체결했다고 2일 발표했다. 모니터랩은 웹방화벽(WEB INSIGHT SG)과 인터넷전화방화벽(UC INSIGHT SG)의 대표적인 국내 개발사로서, 두 제품을 모두 KT에 성공적으로 납품한 사례를 가지고 있다.

이글루시큐리티 코스닥 신규상장...거래는 4일부터

한국거래소는 2010년 8월 2일 이글루시큐리티의 코스닥시장 신규상장을 승인하고 정식 매매거래는 8월 4일부터 개시했다고 공식 발표했다. 코 드는 ‘A067920’이며 평가가격은 1만4천원이고 액면가는 5백 원이다.

안철수연구소, 신개념 웹 보안관제 서비스 국내 첫 출시

최근 웹사이트를 해킹해 악성코드를 심어놓거나 회원 정보를 빼내는 범죄가 적지 않게 발생하는 가운데 이를 실시간 감시해주는 신개념 보안관제 서비스가 국내에서 첫 출시됐다. 안철수연구소(대표 김홍선)는 최근 웹사이트 위협 모니터링 서비스인 ‘사이트케어’(AhnLab SiteCare)를 출시했다고 발표했다. ‘사이트케어’는 기업/기관 웹사이트의 해킹 및 악성코드 유포, 주민번호 같은 개인정보의 노출을 실시간 모니터링 해 유사 시 빠르게 조치하도록 경고해주는 서비스다.

SGA, 정부 기관 4곳 홈페이지 위변조 시스템 구축 수주

통합보안기업 SGA(대표 은유진)는 최근 기상청/환경부/노동부의 ‘홈페이지 위변조 시스템 구축’을 전부 수주했다고 밝혔다. 이번 수주는 지난 달 말부터 별도의 입찰 경쟁을 통해 이뤄졌으며, SGA는 국내 보안 기업 중 처음으로 8월 구축되는 국가 기관 홈페이지 위변조 시스템 구축 입찰에 모두 성공했다. SGA는 이 구축 경험을 토대로 현재 진행되고 있는 타 부처의 추가 발주 입찰도 준비하고 있다.

코스콤 보안USB ‘시큐유에스비’ 특허 취득

공인인증기관인 코스콤(옛 한국증권전산, 사장 김광현)은 비젯(대표이사 장건)과 공동개발한 보안USB시스템인 ‘시큐유에스비(SecuYouSB)'가 특허청으로부터 특허를 취득했다고 최근 밝혔다. 지난 2007년 9월 출시된 시큐유에스비는 이미 국가정보원의 보안적합성 인증 및 CC(Common Criteria ; 국제공통평가기준)인증, 한국정보통신기술협회(TTA)의 GS(Good Software)인증과 함께 국가종합 조달제품으로 등록된 바 있고, 최근에는 특허 취득까지 마치게 되었다.

SK브로드밴드, 정보보호관리체계(ISMS) 인증 획득

SK브로드밴드(대표 박인식)는 최근 정보운영센터(SOC)부문에서 정보보호관리체계(ISMS) 인증을 획득했다고 3일 밝혔다. 정보보호관리체계(ISMS)는 한국인터넷진흥원(KISA)이 정보자산의 ▲비밀성 ▲무결성 ▲가용성 실현을 위한 정보보호 절차 및 과정 수립, 이에 대한 관리 운영 체계를 점검해 적합여부를 인증해 주는 제도다.

‘행동기반 시그니처 활용 악성코드 탐지 기법’ 주제로 특강 개최

글로벌 보안자격 인증기관 EC-Council의 한국지사 삼양데이타시스템(대표 변수식 www.syds.com)에서 주최하는 이번 행사는, “한 여름 밤의 보안특강: 행동기반 시그니처를 활용한 악성코드 탐지 기법”이란 주제로 EC-Council 공인강사(김태일)가 직접 실습과 데모를 보여줄 예정이다.

나우콤, 상반기 매출 366억..전년동기 대비 24%↑

나우콤이 1분기 실적 호조에 힘입어 2분기에도 주력분야에서 선전해 매출 300억원을 돌파하며 상반기 사상 최대 실적을 기록했다. 인터넷 솔루션 및 서비스 전문기업인 나우콤(대표 김대연·문용식 www.nowcom.co.kr)은 최근 상반기 실적발표를 통해 366억원의 매출을 달성해 전년동기대비 24% 증가했다고 밝혔다. 영업이익은 43억원으로 전년동기대비 17% 증가했고, 순이익 또한 17% 증가한 38억원을 달성했다.

안철수연구소 V3 Lite, 성능 업그레이드

통합보안 기업인 안철수연구소(대표 김홍선)는 최근 개인용 무료백신 V3 Lite (www.V3Lite.com)에 사용되는 프레임워크를 대폭 개선해 더욱 안정적이고 강력한 기능과 함께 다양한 정보를 제공한다고 밝혔다. 이를위해 8월 25일까지 일반을 대상으로 오픈베타 서비스를 한다. 우선 안정적인 엔진 업데이트를 제공하기 위해 업데이트 방식을 이원화했다. 즉, 기존 서버 기반 업데이트 방식에 ‘분산 파일 전송 엔진 업데이트’ 방식을 추가(보충자료 참고)한 것이다. 이에 따라 사용자는 외부 공격에 의한 업데이트 서버 장애, 점검 등 어떤 상황에서도 안정적이고 신속하게 백신 엔진 업데이트를 받을 수 있다.

NHN, UN 사이버 범죄 방지...범국가적 활동 지원

NHN(대표이사 사장 김상헌)은 아시아 지역의 사이버 수사력을 높이기 위해 UNODC(유엔 마약범죄수사국), 한국형사정책연구원과 공조하여 ‘사이버 범죄 방지를 위한 가상포럼’ (Virtual Forum Against Cybercrime, 이하 VFAC)(http://www.cybercrimeforum.org/)과 그 활동의 일환인 온라인 교육훈련프로그램을 적극 지원하고 있다고 밝혔다. 이는 민간 기업이 UN이 주도하는 국제적 사업에 참여하여 범국가적 사이버 범죄대응 교육체계를 완성한 세계에서도 유일한 사례로 기록되어 있다.

SKT, 모바일 보안서비스 ‘정보 지킴이 서비스’ 오픈

SK텔레콤 (대표 정만원)은 모바일 솔루션 전문업체인 쏘몬(대표 이경학)과 SK네트웍스와 함께 스마트폰에 들어있는 개인정보를 안전하게 보호할 수 있는 SOM(Secure On Mobile) 애플리케이션인 ‘정보 지킴이 서비스’를 개발, 스마트폰 이용 고객들에게 제공한다고 최근 밝혔다.

체크포인트, 웹2.0 애플리케이션 보안 솔루션 발표

체크포인트가 새로운 애플리케이션 컨트롤 소프트웨어 블레이드(Application Control Software Blade)를 발표했다. 이 신규 소프트웨어 블레이드는 기업들이 수천 가지의 웹2.0 애플리케이션을 사용하는 것을 보호하고 관리해 준다. 또한, 체크포인트가 보유한 유저체크(UserCheck) 기술과 통합하여 직원들이 의사결정 과정에 참여하고, IT 관리자들이 애플리케이션 사용 정책을 조정할 수 있다.

■ 주요 보안 사건사고(해킹/긴급경보건)

중국 영화 관람객 50% “인터넷 통해 해적판 관람”

‘불법 복제 천국’이라는 오명을 안고 있는 중국에서 영화 관람자 가운데 절반 가량이 인터넷을 통해 ‘해적판’을 보는 등 온라인 상에서 불법 영화 유포와 관람이 심각한 것으로 나타났다. 중국영화저작권협회의 최근 조사 결과에 따르면, 전국 18~35세의 중국인 가운데 개봉 영화를 인터넷을 통해 본 비율은 전체 영화 관람자의 50.5%에 달했다고 중국 언론들이 2일 전했다.

보안 관리자로 위장한 해킹메일 주의!

정부는 최근 해외의 신원미상 해커가 다수의 국가·공공기관 직원들에게 당해 기관의 정보보호 담당자 명의로 해킹메일을 유포한 것을 탐지, 차단하고 있다고 밝혔다. 이러한 해킹메일은 영어로 “귀 기관의 사용자 계정(ID, PW)이 도용되고 있으니, 첨부파일을 실행 후 지시에 따라 조치하라.”는 내용을 담고 있는 것으로 확인되었다. 현재 국가·공공기관에서는 해킹 메일을 탐지하여 차단하고 있어, 피해는 발생하지 않고 있다.

솔트 영화 파일 위장한 퀵타임 플레이어 대상 악성코드 출현

최근 애플사에서 제작한 퀵타임 플레이어의 취약점을 이용하는 악성코드가 발견되었다는 보고가 나왔다. 해당 파일들은 최근 개봉한 안젤리나 졸리 주연의 솔트(Salt) 영화의 DVD 동영상 파일처럼 위장하고 있으며, 이번 취약점은 퀵타임 플레이어에 존재하는 해당 취약점은 애플사에서 공식적으로 보안 패치를 제공하지 않는 제로데이(Zero-Day)취약점인 것으로 밝혀져 이용자들의 주의가 요구된다.

“온라인 쇼핑몰, 소비자피해 주의”

이처럼 최근 온라인 쇼핑몰에서 물품을 주문했으나 배송 받지 못하거나 사업자와 연락이 되지 않는다는 소비자들의 불만 및 피해사례가 다수 발생하고 있어 충청남도 소비자보호센터가 소비자들의 주의를 당부하고 나섰다.

인터넷 사기로 피해자 두 번 울린 범인 6명 검거

경남지방경찰청(청장 조만기) 사이버수사대는 올해 1월부터 7월말까지 인터넷 A사이트 등 5개의 인터넷 사기 공동대응 카페 등에 피해자들이 올린 피해글을 보고 쪽지 등을 보내 피해자 휴대폰 번호를 확인한 뒤, 사건 담당 경찰관을 사칭하며 “물품 판매사기 용의자를 검거했는데 압수한 통장에 잔액이 있어 피해금액 보전을 위해서는 본인 계좌인증이 필요하다”며 인터넷 뱅킹 또는 현금지급기로 유도해 102명의 피해자로부터 5,730만원 편취한 피의자 김(22세)모 등 6명을 검거해 이중 3명을 구속했다고 5일 밝혔다.

MS, 윈도우 셸 취약점 해결한 보안패치 ‘긴급’ 배포

마이크로소프트(MS)는 지난 3일 ‘긴급’으로 이른바 바로 가기 아이콘 취약점 또는 .lnk 취약점이라고 불리는 제로데이 공격 취약점인 윈도우 셸 취약점으로 인한 원격코드 실행 문제를 해결하는 보안패치를 발표했다.

[오병민 기자(boan4@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)