ARP란 MAC주소를 IP로 변환하는 프로토콜로서 ARP스푸핑 공격은 통신하는 두 대상의 MAC주소를 공격자 자신의 MAC주소로 바뀌어 중간에서 패킷을 가로채는 공격입니다.

쉽게 예를 들자면, 통신중에 있는 A와 B의 정보가 궁금한 해커는 ARP스푸핑 공격을 하기로 결심합니다. 해커는 A와 B의 통신 중간에 들어가, A와 B에게 각각 자신의 MAC주소를 알려줍니다. 이렇게 되면, A와 B는 해커를 서로 통신하는 대상으로 인식하여 해커에게 통신정보를 전송하게 되며, A와 B의 통신내용을 해커가 모두 볼 수 있게 됩니다. 또한 통신내용을 보고나서 다시 그 정보를 원래 목적지로 보내거나, 패킷을 일부 변조하여 보낼수도 있습니다. 패킷을 변조해서 보내는 경우에는 보통 목적지 PC를 감염시켜 좀비PC로 만들기 위해서 입니다.

정상 통신과정 및 ARP 공격 후 통신과정

최근 유행하고 있는 온라인게임핵 역시 ARP스푸핑 방식을 통하여 게임유저들의 개인정보를 탈취하고 있습니다.

ARP스푸핑 공격을 방지하려면 자주 통신하는 IP주소와 MAC주소를 고정(static)시켜 놓으면 됩니다.

익스플로잇(Exploit)이란 소프트웨어, 하드웨어 및 전자제품들의 버그 혹은 제조, 프로그래밍 과정에서 발생한 취약한 부분을 이용하여 정상 동작이 아닌 공격자가 의도한 동작이나 명령을 실행하도록 만든 명령어를 지칭하거나, 그러한 공격행위를 가리킵니다.

익스플로잇은 소프트웨어나 하드웨어 등의 버그나 취약점을 이용한 공격인 만큼, 비교적 대규모로 이루어 지며, 특정 타겟 뿐만 아니라 불특정 다수에게도 무차별적으로 공격을 가합니다. 보편적인 예로, 불특정 다수에게 익스플로잇 코드가 담긴 첨부파일(그림,문서 등)과 함께 흥미를 끌만한 제목으로 메일을 보냅니다. 만약 취약점이 패치가 되지 않은 OS나 SW를 사용하는 사용자가 그 메일에 담긴 첨부파일을 클릭하면, 첨부파일 안에 있던 명령 코드가 작동하면서 사용자의 컴퓨터를 공격하게 됩니다.

또한 알려지지 않은 취약점 또는 취약점이 새로 발견되었으나 아직 해당 취약점에 대한 패치가 이뤄지지 않은 제로데이 상황에서 익스플로잇 공격이 발생하는 경우가 종종 발생하는데, 이때는 공격대상이 되는 프로그램 제공업체가 배포한 임시패치를 설치하거나 익스플로잇 공격대상이 되는 서비스나 SW의 사용을 최대한 자제하는 것이 안전합니다.

익스플로잇 공격은 소프트웨어나 하드웨어 자체의 취약점을 이용한 공격이기 때문에 소프트웨어나 하드웨어 취약점이 이미 업데이트(패치)가 되어있는 사용자는 아무런 피해를 입지 않습니다. 또한 컴퓨터에 백신프로그램이 설치 되어 있다 해도, 프로그램에 관한 업데이트를 하지 않았더라면, 익스플로잇 공격을 100%막기에 한계가 있습니다.

그렇기 때문에 OS나 자주 사용하는 프로그램에 대해서는 최대한 보안패치를 신속하게 업데이트 하는 사용자들의 관심이 필요합니다.

‘레지스트리’는 윈도우 운영체제의 실행, 또는 각종 윈도우용 응용프로그램의 실행에 필요한 설정 값들을 한데 모아 놓은 데이터베이스입니다.

레지스트리는 윈도우OS 만의 고유한 정보저장 체계이며, 레지스트리 내의 각 위치마다 어떤 정보가 어떤 형식으로 저장되어야 하는지의 규칙이 정해져 있습니다. 저장된 레지스트리 정보는 OS나 프로그램에 의해 읽혀지고 수정되면서 다양하게 활용됩니다. 윈도우의 각 계정 별로 바탕화면을 다르게 설정하거나, MP3 확장자를 실행할 때 사용자 별로 기본 음악플레이어를 다르게 정할 수 있는 것도 모두 레지스트리의 특정 위치에 이러한 규칙을 지정하는 값들이 존재하기 때문입니다.

레지스트리라는 표준화된 정보저장소가 존재함으로 인해 대부분의 윈도우용 응용프로그램들이 더 효율적이고 간결한 구조를 가질 수 있습니다. 다만 레지스트리에 대한 의존도가 그 만큼 높기 때문에 레지스트리를 잘못 변경하거나 삭제하게 되면 필요한 정보를 얻지 못한 프로그램이 실행되지 않거나 비정상적으로 동작할 수 있습니다.

<프로그램 레지스트리 설정값>

예를 하나 들면 어느 사용자가 A’ PC에 설치된 사진편집 프로그램의 폴더를 찾아 폴더 내용을 그대로 복사해서 B’ PC로 옮긴다면, 복사된 사진편집 프로그램은 제대로 실행되지 않습니다. 이는 정상적인 설치과정을 거치지 않고 사진편집 프로그램 폴더의 파일만 복사를 했기 때문에 A’ PC에 세팅된 레지스트리 정보가 B’ PC에 정상적으로 세팅되지 못했기 때문입니다. 레지스트리에는 사용자 설정과 각 하드웨어, 소프트웨어의 설정 값이 저장되기도 하지만 시스템과 애플리케이션의 동작 기록 및 사용자의 윈도우 사용기록을 남김으로 시스템운영에 필요한 로그의 기능을 하기도 합니다.

온라인 범죄의 증가로, 금융권, 포털 사이트, 기업에서는 물론 게임보안 영역에 까지 OTP가 각광을 받고 있습니다.
OTP(One Time Password)란 한번만 사용할 수 있는 일회용 비밀번호입니다. 기존의 고정된 비밀번호 대신, 매번 로그인 할 때마다 새로운 비밀번호가 생성이 되며, 일정 시간이 지나면, 사용여부와 관계 없이 발급된 비밀번호는 무효하게 됩니다. OTP가 발급되는 방식에는 OPT단말기나 스마트폰 어플리케이션 등을 통해서 1분에 한번씩 6자리 정도의 비밀번호가 계속 변경되며 화면에 출력되는 방식. 또 OTP기기에 키패드가 존재하여 PIN번호를 입력했을 때 일회용 비밀번호가 화면에 출력되는 방식 등이있습니다.

기존의 고정된 패스워드 방식은 악성코드에 의해서 노출될 수도 있고, 사용자가 동일한 ID와 PW를 여러 사이트에 똑같이 사용하여 유출되는 경우도 많습니다. 취약한 사이트에서 유출된 인증정보는 자신이 가입한 다른 수많은 사이트의 인증정보를 함께 유출시키는 결과를 초래합니다. 금융거래에서 필수요소로 인식되던 보안카드 역시, 카드에 적힌 비밀번호를 반복하여 사용하게 되므로, 같은 카드를 장기간 사용하면 해커에 의해 특정 번호가 재 사용될 위험이 존재합니다.

그에 반해 OTP는 매 사용시 마다 일회용 비밀번호를 발생시키기 때문에, 해킹이 매우 어렵고, 매번 비밀번호를 설정하여 힘들게 외울 필요가 없는 이점이 있습니다. 또한 한 개의 OTP기기로 모든 금융회사에서 동일하게 이용할 수 있도록 도와주는 OTP 통합인증센터가 설립되어있어, 그 편의성도 더욱 높아졌습니다. 최근에는 많은 은행권에서 OTP 무료발급 이벤트를 진행하면서 기존에 유료였던 OTP를 무료로 사용할 수도 있는 기회도 늘어났습니다.

2008년 부터는 보안성 강화를 위해 법인의 경우 1등급 보안매체를 사용해야만 하며, 개인의 경우에도 OTP와 같은 1등급 보안매체를 사용할 때만 1억원 이체한도를 유지할 수 있도록 하였습니다. 각종 해킹으로 정보보안에 빨간불이 들어온 요즘, 고객들의 개인정보를 효과적으로 지키기 위하여, 금융권에서 뿐만 아니라, 게임, 포털 서비스에서도 OTP를 도입하여 사용하고 있는 것입니다.

OTP를 사용한다면, 해커로부터 보다 안전한 온라인 생활을 실현할 수 있을 것입니다. 하지만, 무엇보다, 자신의 개인정보를 지키는 것은 바로 사용자 개인 스스로가 개인정보노출을 최소화 하는 것이라는걸 잊지 말아야 합니다.

* 1등급 보안매체 : OTP, 보안토큰, 2채널인증서비스

2012년 12월부터는 행정/공공기관들의 시큐어코딩 의무제가 시행됩니다. 시큐어 코딩이란 무엇일까요?
시큐어코딩이란 소프트웨어의 개발과정에서 개발자의 지식부족이나 실수, 또는 각 프로그래밍 언어의 고유한 약점 등 다양한 원인으로 발생할 수 있는 취약점을 최소화 하기 위하여, 설계 단계부터 보안을 고려하여 코드를 작성하는 제작방식을 의미합니다.

예를 들어, 웹사이트 사용자 로그인 페이지의 ID입력 창에 ID대신 무조건 로그인이 되게하는 명령을 입력할 수 있는 경우가 있습니다. 이러한 취약점이 생기지 않도록 로그인 페이지를 개발할 때 로그인 창에는 스크립트 언어가 입력되지 않도록 개발하는 것 역시 시큐어코딩의 일종입니다. 실제로 해킹의 75%가 소프트웨어의 자체 취약점을 악용해 이루어지고 있으며, 시큐어코딩을 하게 되면 이러한 취약점이 대폭 줄어들어 보안성이 향상됩니다. 뿐만 아니라, 보안에 대한 고려 없이 개발된 소프트웨어의 추 후 수정비용은 시큐어코딩에 드는 비용의 수십 배에 달하기 때문에 시큐어코딩은 비용적으로도 매우 효과적인 개발방식으로 평가됩니다.

<출처 : NIST, The Economis Impacts of Inadequate Infrasturcture for Software Testing, 2002년 5월>

이처럼 개발의 가장 기초과정인 설계과정에서부터 보안에 초점을 맞추고 제작 후에 발생할 수 있는 취약점의 가능성을 최소화하여 해커의 공격에서 비교적 안전한 소프트웨어를 만들어야 할 필요가 널리 인식되고 있습니다

안드로이드 유저들은 루팅이라는 말을 한번쯤 들어봤을 것입니다. 그렇다면 루팅이란 무엇일까요?

안드로이드 OS상에서 사용자가 시스템으로부터 최고 관리자 권한을 가져오는 것을 루팅이라고 합니다. iOS 운영체제에서는 탈옥(Jailbreak)이라고 행위도 루팅과 거의 유사하며, 여기서는 루팅만을 언급하도록 하겠습니다.

대부분의 모바일 OS에서는 사용자가 보안문제를 야기하는 시스템 설정을 임의로 변경하거나 실수로 중요한 시스템파일을 삭제하여 OS를 망가뜨리는 것을 예방하고자, 기본적인 실행환경에서의 사용자 권한을 일부 제한해 놓았습니다. 우리가 안드로이드를 사용할 때는 이 제한된 권한인 유저 권한(게스트 권한)으로 사용을 하고 있는 것입니다.

안드로이드OS가 구동되는 휴대폰을 샀을 때, 기본적으로 깔려있는 어플들을 보신적이 있을 것입니다. 이러한 어플들은 삭제를 하려고 해도 삭제가 안되는데, 바로 관리자 권한으로 설치가 되어 있으며 사용자에게는 이것을 삭제할 권한이 없기 때문입니다. 루팅을 하면 사용자는 관리자의 권한을 얻게 되어 이러한 기본 설치 어플에 대한 삭제가 가능해집니다.

그러나, 함부로 루팅을 하면 자칫 심각한 오류를 일으킬 수 있는데 휴대폰이 먹통이 되는 이른바 벽돌현상도 흔하게 나타납니다. 하지만 루팅 시 발생하는 가장 심각한 문제는 따로 있습니다. 루팅을 하게되면, 안드로이드 OS에서 기본적으로 제공하는 최소한의 보안장치들의 보호를 받지 못하게 되고, 휴대폰이 각종 악성코드 감염의 위험에 처하게 되는 것입니다.

여기서 말하는 최소한의 보안장치들이란, 사용자는 유저권한으로 안드로이드 OS를 사용하고 있기 때문에, 모든 어플들을 설치/실행할 때 사용자에게 이 어플의 설치여부와 사용하는 정보를 확인하는 과정을 말합니다. 그렇기 때문에 아무리 악성코드가 포함되어 있는 앱이라도 사용자의 동의 없이는 내부 시스템 에 접근 할 수가 없습니다. 그렇기 때문에 실제로 어플들을 설치/실행 시, 사용자의 동의를 얻는 창만 꼼꼼히 확인해도 많은 경우의 악성코드 감염에서 안전 할 수 있습니다.

하지만 안드로이드 OS를 루팅 하게되면, 관리자 권한으로 어플들이 실행되기 때문에, 사용자의 동의 없이도 어떠한 시스템에도 접근이 가능하게 되고, 민감한 정보들을 유출할 수 있게 되는 것입니다.

루팅을 한다는 것은 “기기의 모든 기능을 제한 없이 이용하기 위해 관리자 권한으로 사용하겠다” 라는 뜻이 됩니다. 하지만 동시에 “악성코드로부터 데이터 및 OS를 보호하기 위한 최소한의 안전장치를 모두 끄겠다” 는 뜻도 되므로 모바일 OS를 사용하는 스마트기기들은, 보안 측면에서 가급적 루팅을 삼가야 하며, 믿을 수 있는 모바일 백신을 이용하여 주기적으로 점검하는 것이 안전합니다.

잊혀질 권리(Right to be forgotten)
1995년 EU는 유럽연합의 개인정보보호법 역사의 이정표인 데이터 보호법을 제정한 후, 17년 만인 2012년에 인터넷 이용자들의 통제권을 강화한 데이터 보호법 개정안을 발표하였습니다. 이번 데이터 보호법은 개인의 권리를 대폭 강화하였으며 특히 잊혀질 권리를 법제화 하였습니다.

‘잊혀질 권리’란 기업이 개인정보를 가지고 있을 목적이 없어지면, 더 이상 개인정보를 보관하지 않고 삭제해야 하며, 사용자의 삭제요청을 받을 시에는 그 데이터를 보유할 정당한 이유가 없는 한 삭제를 해주어야 한다는 것 입니다.

최근 SNS 사용자가 늘어나고, 무분별한 개인정보 유출 사건도 많이 일어남에 따라 ‘잊혀질 권리’는 더욱 주목을 받고 있습니다. 개인정보가 안전하게 관리되고 원치 않는 본인정보의 삭제가 보장된다면 온라인 상에서의 개인정보 보호에 긍정적인 영향을 미칠 것입니다. 하지만 한편으로는 잊혀질 권리가 자유로운 정보의 흐름을 방해하고 생각지도 못한 부작용들을 일으킬 수 있으며, 특히 개인정보를 다루는 기업활동들에 큰 제약을 미칠 수 있기 때문에 반대의 목소리도 높다고 합니다.

잊혀질 권리가 포함된 개인정보 보호지침 개정안은 현재 EU 회원국들의 승인을 기다리고 있으며, 2014년 발효를 목표로 하고 있습니다.

스턱스넷(Stuxnet)이란 발전소, 공항, 철도 등 기간시설을 파괴할 목적으로 제작된 컴퓨터 바이러스입니다.

2010년 6월 컴퓨터 보안회사 VirusBlokAda에 의해 처음으로 발견되었으며, 바이러스 코드 내에 Stuxnet 키워드가 자주 등장하는 특징 때문에 ‘스턱스넷’이라고 명명되었습니다. 스턱스넷은 MS 윈도우 운영체제의 제로데이 취약점을 통해 PC에 감염되며 감염된 PC에 연결된 USB등을 통해 추가감염이 이뤄지는 형태인데, 이때 특이한 점은 모든 시스템을 대상으로 하는 것이 아닌 산업시설의 전반적인 현황을 감시하고 제어할 수 있는 스카다(SCADA)시스템만을 노리는 것이 특징입니다.

스턱스넷에 감염이 되면 스카다 시스템이 무력화되어 산업시설등이 컨트롤이 되지 않는 등 큰 피해가 있을 수 있으며, 그렇기 때문에 ‘사이버 미사일’이라고 불리기도 합니다.일반적으로 스카다 시스템은 외부와 연결되지 않은 폐쇄망 형태로 구성되어 있기 때문에 보안위협으로부터 안전하다는 인식이 있었습니다. 하지만 스카다 시스템의 안전을 위협하는 요소는 범죄집단이나 테러리스트 등 외부의 물리적인 공격 또는 외부로부터의 직접적인 해킹시도보다는 시스템 노후화/장비 고장에 따른 시스템 유지보수를 위한 외부인의 접근과 시설 내부자의 소행일 가능성이 훨씬 더 높습니다. 스턱스넷은 목표물을 감염시키기 위해 직접 침투해야 하며, 주로 USB와 같은 이동식 저장매체를 통하여 감염됩니다. 일단 스턱스넷이 목표시스템 환경 내의 컴퓨터 한대만 감염시키면, 네트워크에 연결되어 있는 모든 컴퓨터에 침투가 가능합니다. 또한 웜(Worm) 바이러스의 형태이기에 자기복제 기능도 가지고 있습니다.

* 스턱스넷과 오토런 바이러스의 차이점은 무엇인가요??스턱스넷과 오토런은 모두 USB 메모리와 같은 이동식 저장매체를 통하여 감염됩니다. 하지만 오토런 바이러스 같은 경우는 자동실행 프로그램을 이용하기 때문에, 윈도우의 자동실행 프로그램을 설정해 놓지 않으면 오토런 바이러스가 감염되는 것을 막을 수 있습니다. 하지만 스턱스넷은 USB를 컴퓨터에 꽂고 익스플로러 등으로 USB 메모리는 열어 아이콘을 표시하는 것으로도 감염이 됩니다.