그룹 샤이니 멤버 종현이 배우 이채영에게 세레나데를 선물했다.샤이니는 오는 13일 오후 6시 50분 방송되는 MBC ‘여자가 세상을 바꾼다-원더우먼’(이하 원더우먼)에 출연해 ‘원더우먼’ 멤버 홍지민, 현영, 홍은희, 유채영, 이채영과 함께 아이돌 문화를 이해하기 위한 아이돌 퀴즈를 진행했다.‘원더우먼’의 막내 이채영은 아이돌 퀴즈 첫 문제를 당당히 맞혀 종현으로부터 ‘사랑의 세레나데’를 선물 받았다.종현은 동료 멤버 온유의 제안으로 이채영의 두 손을 잡은 채 SBS 드라마 ‘유리의 성’ OST 수록곡 ‘넌 예쁘잖아’를 불러 ‘원더우먼’ 멤버들의 부러움을 한 몸에 받았다.‘넌 예쁘잖아’는 앞서 종현이 지난달 28일 한 라디오 방송에서 가사를 개사해 불러 샤이니 팬들 사이에서 화제가 된 바 있는 곡이다.종현이 이채영에게 세레나데를 불렀다는 소식을 접한 팬들은 “전생에 나라를 구하신 분이네”, “이채영에게 빙의하고 싶다”, “아, 부럽다” 등의 반응을 보였다.사진 = MBC서울신문NTN 강서정 인턴기자 sacredmoon@seoulntn.com 서울신문NTN 오늘의 주요뉴스 ▶ 아이유·박서희, 두산·넥센 시구대결…’깜찍vs섹시’ ▶ ’제빵왕 김탁구’ 스티커사진기 옥의티? 시대설정 논란 ▶ 레인보우, 신곡 ‘A’ 뮤비서 파격 시스루룩 ‘섹시’ ▶ 열다섯 고교생 해커, 문자폭탄 프로그램 테러 ▶ 세븐, 허세놀이 삼매경 "난 허세븐…보아야 같이 할래?" ▶ 비욘세, 온 몸에 체인-거미-해골문신 ‘파격’ ▶ 황보, 그린 비키니 공개…"22인치 신화" 극찬

열다섯 살 고교생 해커가 수천 통의 문자를 한꺼번에 전송하는 신종 악성 프로그램을 개발해 경찰에 붙잡혔다. 서울 관악경찰서는 12일 인터넷 휴대전화 인증 서비스를 이용해 채팅 상대방의 휴대전화에 수천 통의 ‘문자폭탄’을 보낸 혐의로 고교 1년생 김모군을 불구속 입건했다. 김군은 지난 3월17일 새벽 4시께 인터넷 채팅 중 시비가 붙은 피해자 김모군(17)에게 자신이 개발한 ‘SMS 테러’ 프로그램을 이용, 약 2000통의 문자메시지를 한꺼번에 보내 휴대폰을 마비시킨 혐의를 받고 있다. 김군은 보안이 허술한 문자메시지 발송 사이트의 휴대전화 인증 서비스를 조작한 프로그램으로 ‘당신의 인증 번호는 XXXX입니다’라는 내용의 문자메시지를 1초 간격으로 전송했다. 또 상대방의 컴퓨터를 원격 제어하는 악성 프로그램 ‘넷봇’로 피해자의 컴퓨터를 조종하고 인터넷 검색 내역을 훔쳐본 혐의도 추가 됐다. 경찰은 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반을 한 김군이 해킹을 통해 금전적 이득을 취하지는 않고 단지 피해자를 괴롭히기 위해 이용했다는 것에 주목했다. 네티즌들도 “불굴의 김군, IT강국의 미래는 밝구나”, “그 좋은 머리를 범죄에 이용했다니 안타까울 따름”, “재능을 살려 백신 프로그램이나 보호 프로그램을 제작하렴”, “큰 피해가 없어서 다행입니다” 등 다채로운 소감을 남겼다. 사진 = 영화 ‘The Core’ 스틸컷 서울신문NTN 전설 인턴기자 legend@seoulntn.com 서울신문NTN 오늘의 주요뉴스 ▶ 아이유·박서희, 두산·넥센 시구대결…’깜찍vs섹시’ ▶ ’제빵왕 김탁구’ 스티커사진기 옥의티? 시대설정 논란 ▶ 룰라 김지현, 방송도중 깜짝 프러포즈 ▶ 김연아, 비밀트위터 개설? 이호석·조수훈 등 팔로워 ▶ 홍수현, VOS 최현준과 일일데이트 ‘포착’ ▶ 김부선, 4cm 자궁근종 발견...격려 메시지 줄이어 ▶ 김기수 폭탄 발언 "안선영, 마흔 때 미혼이면 책임져"

걸그룹 시크릿이 12일 케이블채널 M.net ‘엠카운트다운’에서 신곡 ‘마돈나’를 공개, 화려한 컴백무대를 선보여 네티즌들의 시선을 사로잡았다. 이날 부른 신곡 ‘마돈나’는 11일 음원 공개와 동시에 소리바다 1위를 비롯, 각종 음악사이트 실시간 차트 상위권에 안착했다. 뿐만 아니라 12일 공개된 ‘마돈나’ 뮤직비디오 풀버전은 오픈 되자마자 곰TV 뮤직비디오 실시간 차트 1위를 기록하는 등 네티즌들의 큰 관심을 모으고 있다. ‘마돈나’는 ‘마돈나와 같이 그 시대의 아이콘이 돼 당당하고 자신 있게 살자’는 메시지가 담겨 있는 곡. 일렉트로닉 팝 댄스 장르의 곡임에도 불구, 기계적 신스 사운드를 최대한 배제한 채 실제 연주 느낌을 살렸다는 평이다. 사진 = TS엔터테인먼트 서울신문NTN 뉴스팀 ntn@seoulntn.com 서울신문NTN 오늘의 주요뉴스 ▶ 아이유·박서희, 두산·넥센 시구대결…’깜찍vs섹시’ ▶ ’제빵왕 김탁구’ 스티커사진기 옥의티? 시대설정 논란 ▶ 레인보우, 신곡 ‘A’ 뮤비서 파격 시스루룩 ‘섹시’ ▶ 열다섯 고교생 해커, 문자폭탄 프로그램 테러 ▶ 세븐, 허세놀이 삼매경 "난 허세븐…보아야 같이 할래?" ▶ 비욘세, 온 몸에 체인-거미-해골문신 ‘파격’ ▶ 황보, 그린 비키니 공개…"22인치 신화" 극찬

한국 패션계의 거장 앙드레김(본명 김봉남)이 12일 별세했다. 향년 75세.앙드레김은 12일 오후7시 25분께 서울 연건동에 위치한 서울대학교 병원에서 대장암과 폐렴 합병증으로 인해 사망했다.지난달 말 폐렴 증세로 입원해 치료를 받아오다 병세가 악화돼 세상을 떠났으며 장례식장은 서울대학교 병원 1호실 특실에 마련됐다.고인은 1935년생으로 일제강점기와 해방, 6.25 전쟁 등 격동의 시대에 유년 시절을 보냈다. 경기도 고양(현재는 서울특별시 은평구에 편입) 태생으로 신도초등학교와 한영고등학교를 졸업, 1960년인 25살부터 디자이너로서 경력을 쌓았다.1962년 서울 소공동에 ‘살롱 앙드레’를 열면서 디자이너로 데뷔함으로써 앙드레김은 한국 최초의 남성 디자이너가 됐다. 남성 디자이너에 대한 사람들의 편견 속에서도 개성있는 디자인과 노력으로 의상 디자인계를 개척한 그는 1966년 파리에서 한국인 최초로 패션쇼를 열었다.이후 그는 이집트 카이로, 캄보디아 왕국 앙코르와트 패션쇼, 시드니 오페라 하우스 등 세계 곳곳에서 패션쇼를 열며 명실상부 한국을 대표하는 디자이너로 자리매김했다.특히 앙드레김은 일생동안 ‘한국 알리기’에 앞장섰다. 국내 주재하는 대사들의 부인들과 친밀한 관계를 가지며 이들을 패션쇼에 직접 초대하기도 하는 등 한국의 ‘하이패션’을 소개했다.또 한국의 원로로서의 모범적인 행동에도 앞장섰다. 전세계 아이들을 돕는 유니셰프 친선 패션쇼를 열어 수익금을 기부할 뿐 아니라, 해외 유출 문화재 기금 패션쇼, 국제 백신기구 기금 마련 패션쇼 등 수백 차례에 걸친 자선패션쇼를 열어 선행을 펼쳐왔다.패션에 대한 열정과 공로를 인정받아 1977년에는 패션디자이너로는 처음으로 대한민국 문화훈장을 수상했으며, 2000년에는 프랑스 정부로부터 프랑스 예술문학훈장을 받았다.유족으로는 1982년 입양한 아들 중도(30)씨가 있다.사진 = 서울신문NTN DB서울신문NTN 오영경 인턴기자 oh@seoulntn.com 서울신문NTN 오늘의 주요뉴스 ▶ 아이유·박서희, 두산·넥센 시구대결…’깜찍vs섹시’ ▶ ’제빵왕 김탁구’ 스티커사진기 옥의티? 시대설정 논란 ▶ 레인보우, 신곡 ‘A’ 뮤비서 파격 시스루룩 ‘섹시’ ▶ 열다섯 고교생 해커, 문자폭탄 프로그램 테러 ▶ 세븐, 허세놀이 삼매경 "난 허세븐…보아야 같이 할래?" ▶ 비욘세, 온 몸에 체인-거미-해골문신 ‘파격’ ▶ 황보, 그린 비키니 공개…"22인치 신화" 극찬

블랙베리가 보안상의 허점으로 인해 각국 정부와 갈등을 빚고 있는 가운데 아이폰도 해킹 위험성이 높다는 주장이 제기되면서 스마트폰 보안 논란이 지구촌을 휩쓸고 있다. 프랑스 정부 소속 컴퓨터긴급대응센터(CERTA)는 5일(현지시간) 해커들이 미 애플사의 아이폰과 아이패드·아이팟에서 사용자 정보를 빼내거나 통화를 도청할 수 있다는 위험성을 경고하고 나섰다. AFP통신에 따르면 CERTA는 해커가 미리 악성코드를 심어둔 PDF 형식 파일을 사용자가 열람할 경우 악성코드가 아이폰에 침투할 수 있으며, 데이터 에러를 이용하면 다른 사용자의 아이폰에 대한 통제를 강화할 수도 있다고 밝혔다. 이 두 가지 약점을 결합하면 해커들은 통화와 메일 교환 내역을 포함한 “모든 정보에 접근할 수 있게 된다.”고 CERTA는 설명했다. 독일 연방정보보안청도 전날 성명을 통해 “애플 제품이 사용하는 운영체제(OS)인 iOS에서 PDF파일에 들어있는 악성코드를 통해 개인정보 유출은 물론 도청까지도 가능하다며 해킹 공격 가능성을 지적한 바 있다. 상대적으로 보안성이 우수하다는 평가를 받는 애플조차도 더이상 안전지대가 아니라는 점이 분명해진 셈이다. AFP통신은 프랑스 컴퓨터 보안회사 뷔팡 최고경영자 샤우키 베크라르가 “애플 제품은 일반적으로 매우 안전하지만 점점 더 해커들이 선호하는 목표물이 되고 있다.”고 말했다고 전했다. 캐나다 리서치인모션(RIM) 스마트폰인 블랙베리 역시 보안문제에 발목이 잡혀 있다. 최근 유럽연합(EU) 집행부는 보안문제를 이유로 블랙베리를 업무용 스마트폰으로 채택하지 않았다고 밝혔다. 이뿐 아니라 아랍에미리트연합(UAE)·사우디아라비아·중국·인도 등에서도 전세계 사용자가 주고받는 메시지가 캐나다에 있는 RIM 본사 서버를 경유하도록 한 것에 문제를 제기하고 있다. 한편 AP통신은 프랑스와 독일 정부 지적에 대해 애플이 문제점을 수정할 수 있는 소프트웨어를 소비자들에게 제공하겠다는 입장을 밝혔다고 보도했다. 다만 구체적인 제공 시점은 밝히지 않았다. 파문이 확산되자 미국과 캐나다 정부는 블랙베리 보안문제를 제기한 국가들과 RIM의 분쟁을 조정하겠다며 서둘러 중재에 나섰다. 강국진기자 betulo@seoul.co.kr

최근 독일 정부와 보안 소프트웨어업체가 애플의 운영체제(OS)를 쓰는 아이폰과 아이패드에서 보안상 결함이 있다고 경고한 데 대해 전문가들은 해킹이나 도청 등의 문제가 실제 발생할 가능성이 있다고 우려했다. 전문가들은 스마트폰이 ‘손안의 PC’라고 불리는 만큼 PC의 보안 위협요소가 그대로 스마트폰에서 본격화될 것이라고 내다봤다. 아이폰에 비해 개방성이 큰 안드로이드폰은 ‘악질 해커’가 비집고 들어갈 가능성이 더 높다. 일부 보안업체는 도청방지 프로그램을 개발하고 있는가 하면 주요 이동통신사들은 스마트폰을 분실했을 때 내부 정보를 삭제하는 원격 제거장치를 내놓고 있다. 아이폰은 앱스토어 운영 방식이 폐쇄적이라 보안 수준이 다른 스마트폰에 비해 높다는 평가를 받았기 때문에 최근 ‘보안 위협’은 상대적으로 심각할 수밖에 없다. 운영체제의 허점을 드러낸 것이라 아이폰3GS를 신규 버전으로 업데이트한 사용자까지 피해를 볼 수 있다는 점에서 우려가 커지고 있다. 안철수연구소 관계자는 “일반 PC에서도 익스플로어의 취약점이 발견되면서 악성 코드가 침투할 가능성이 계속 발견되고 있다. 이는 아이폰도 다르지 않다.”고 말했다. 스마트폰은 PC보다 더 많은 개인정보를 담는다는 점에서 위험성이 크다는 설명이다. 애플이 자체적으로 앱을 심사해 승인하는 폐쇄성이 역으로 취약점을 동반한다는 분석도 있다. ‘하우리’의 최상명 사전대응팀장은 “유료 애플리케이션(응용 프로그램)을 공짜로 쓰기 위해 모바일 운영체제를 변경하는 ‘아이폰 탈옥(잠금장치 해제)’을 하게 되면 해킹에 고스란히 노출될 수 있다.”고 설명했다. 한 보안전문가는 “현재로선 공식 보안 업데이트가 없는 상태라 애플 측이 보안 패치를 내놓기 전까지는 누구든지 ‘순정(탈옥하지 않은) 아이폰’의 루트계정을 탈취당함으로써 도청은 물론 아이폰을 이용한 모든 행동을 제어할 수 있는 위험한 상황”이라고 걱정했다. 스마트폰 사용자가 늘면서 안전한 스마트폰 사용법도 중요해졌다. 국내 보안업체와 이동통신사들도 대책 마련에 분주하다. 안철수연구소 관계자는 “문자메시지나 메일로 수상한 웹사이트 주소를 받았을 경우 아이폰을 통해 접속하지 말고 검증되지 않은 웹사이트의 접근을 자제해야 한다.”고 당부했다. 아이폰 탈옥은 사용자 침해를 불러오기 때문에 각별한 주의가 필요하다. 와이파이나 블루투스 등 네트워크 서비스에 연결돼 있을 경우 스마트폰 정보가 유출될 가능성이 높기 때문에 필요할 때만 켜놓는 방법도 효과적이다. 스마트폰을 잃어버렸을 때 원격으로 주요 데이터를 삭제하는 서비스에 가입하는 것도 피해를 막는 방법이다. KT는 단말기에 보안 패치를 적용하고 와이파이 네트워크의 보안을 강화하고 있다. 국산 단말기의 경우 안철수 연구소 보안 패치를 기본 탑재한 뒤 출시하고 있다. 이후에는 사용자가 업데이트를 하면 된다. SK텔레콤은 ‘T스토어’로 유통되는 애플리케이션의 경우 사전 검증과 이력관리 프로그램을 구축해 운영할 예정이다. 연내에 ‘모바일 보안 관리센터’를 구축해 스마트폰 보안 위협에 대한 대응책을 세우기로 했다. 올 하반기에는 기업의 규모나 업종에 따라 스마트폰 보안 관리를 가능하게 하는 보안 솔루션을 제공할 방침이다. LG유플러스는 현재 출시한 스마트폰(OZ옴니아, 레일라) 등에 안철수연구소의 스마트폰 백신 ‘V3 모바일’을 기본으로 탑재했다. 이 백신은 휴대전화 내 개인정보 유출 등 문제를 일으키는 악성코드를 검출해 치료한다. 실시간 감시 기능을 갖고 있다. 구혜영·이두걸기자 koohy@seoul.co.kr

미군 수사당국과 연방수사국(FBI)의 수사가 진행 중인 가운데 내부고발전문 웹사이트인 ‘위키리크스’의 미군 군사기밀 2차 폭로가 임박했다는 관측이 나돌면서 미 국방부가 바짝 긴장하고 있다. 미국의 IT잡지인 와이어드는 지난달 31일(현지시간) 위키리크스의 아프가니스탄전 군사 기밀문서 폭로 이후 홈페이지의 ‘아프간 전쟁 일지’에 ‘인슈어런스 파일(insurance file)’이 업로드됐다고 전했다. 1.4GB 용량에 암호화된 정체불명의 이 파일은 위키리크스가 추가 폭로를 예고한 기밀문서 1만 5000건이 포함됐을 가능성이 있다고 다른 폭로전문 웹사이트 크립톰은 추정했다. 일부에서는 아프간전쟁뿐 아니라 이라크전쟁 관련 군사기밀과 미군내 성적 학대행위 등이 포함됐을 수 있다고 보고 있다. 크립톰은 미 수사당국이 위키리크스를 급습하거나 호주 출신의 위키리크스 설립자로 아프간전에 반대하는 줄리언 어샌지의 신변에 위험이 닥칠 경우 언제든지 공개되도록 기밀 자료들을 미리 배치했다는 분석을 내놓았다. 1970년대 베트남전 관련 국방부 기밀문서 폭로 때와는 비교도 안 될 정보전의 양상을 띠고 있다. 현재 미군 수사당국은 아프간전 군사기밀 유출사건의 유력한 용의자인 브래들리 매닝(22) 일병을 쿠웨이트에서 미 버지니아주 콴티코 해병기지 교도소로 이감해 본격적인 수사에 착수했다. 뉴욕타임스에 따르면 수사당국은 공범이나 친구가 관여했을 가능성이 높다고 보고 연고지인 매사추세츠주 케임브리지와 보스턴 등에 수사관을 파견해 수사중이다. 수사당국은 매닝 일병이 지난 1월 휴가 때 보스턴의 친구들을 만난 사실을 밝혀내고 군사기밀이 담긴 CD를 미국내 제3의 인물에게 전달했을 가능성이 있는 것으로 보고 있다. 이 과정에 매사추세츠공과대학(MIT)이나 보스턴대학에 다니는 매닝의 친구들이 개입했을 가능성도 배제할 수 없다고 미 언론들은 보도했다. 매닝을 수사당국에 고발한 컴퓨터 해커 출신인 아드리안 라모는 뉴욕타임스와의 전화인터뷰에서 위키리크스가 부분적으로 매닝 일병이 기밀정보를 다운로드받도록 사주하고, 기술적인 지원을 했을 개연성이 있다고 주장했다. 라모는 최소한 한 명 이상의 공범자가 있을 것이며, 암호화된 비밀 소프트웨어를 설치하는데 위키리크스와 연관 있는 사람이 도움을 줬을 것으로 믿는다고 말했다. FBI 등의 수사에도 불구하고 속이 타는 쪽은 백악관과 팬타곤이다. 미 행정부가 군사기밀의 추가 유출을 막기 위해 취할 수 있는 조치라고는 위키리크스측에 기밀문서의 추가공개 중단을 요청하는 것 말고 뾰족한 대안이 없기 때문이다. 로버트 게이츠 미 국방장관은 1일 ABC방송 대담 프로그램인 ‘디스위크’에 출연, “군사기밀 자료 폭로로 아프간 정보원들과 미 군사요원들이 위험에 처했다.”고 주장하고, 아프간전 기밀자료 폭로는 부도덕한 일이라고 맹비난했다. 그는 이어 “군사기밀들이 제한적으로 공개돼 있는 것은 이라크와 아프간에 투입된 미군 병사들이 현지의 안보상황을 제대로 파악할 수 있도록 하기 위한 것”이라고 강조하고 다운로드 등 외부 유출방지책을 강화할 뜻임을 내비쳤다. 워싱턴 김균미특파원 kmkim@seoul.co.kr

[서울신문NTN 이규하 기자] 정부는 지난 29일 해외의 신원미상 해커가 다수의 국가·공공기관 직원들에게 당해 기관의 정보보호 담당자 명의로 해킹메일을 유포한 것을 탐지해 차단에 나섰다.방송통신위원회(이하 방통위)는 이 해킹메일은 영어로 “귀 기관의 사용자 계정(ID, PW)이 도용되고 있으니, 첨부파일을 실행 후 지시에 따라 조치하라.”는 내용을 담고 있다고 밝혔다.방통위는 현재 국가·공공기관에서는 해킹 메일을 탐지해 차단하고 있어 피해는 발생하지 않고 있다고 설명했다.또한 민간 분야에서도 동일한 수법의 해킹메일이 유포될 수 있는 만큼 해킹이 의심되는 메일 열람금지 및 즉시삭제 등을 통해 피해를 예방할 것을 당부했다.특히 악성코드 감염에 따른 개인정보 유출이나 DDoS공격을 예방하기 위해 ▲윈도우 보안패치 업데이트 ▲백신 프로그램 설치 및 최신 버전으로 업데이트 ▲웹하드·P2P 등에서 다운로드한 파일은 바이러스 검사 후 사용을 권고했다.이규하 기자 judi@seoulntn.com

[서울신문NTN 김수연 기자] 안철수연구소는 분석 2팀의 하동주 주임연구원과 한양대학교 학부생 안기찬(26, 전자전기) 씨가 세계 최대 보안컨퍼런스이자 해킹대회인 ‘데프콘 18 (Def Con)’에서 주제발표를 한다고 29일 밝혔다. 안철수연구소에 따르면 하동주 연구원과 안기찬 씨는 순수 국내해커로는 처음으로 29일부터 다음달 1일(이하 모두 현지시각)까지 나흘간 미국 라스베이거스에서 열리는 ‘데프콘 18(Def Con)’에서 주제발표를 가진다. 하 연구원과 안기찬 씨는 오는 31일 ‘임베디드 시스템 환경에서의 보안문제(Malware Migrating to Gaming Consoles: Embedded Device, an AntiVirus-free Safe Hideout for Malware)’라는 주제로 발표를 갖고 임베디드 시스템에서의 보안위협에 대한 심각성을 알리고 대응 방안을 제시할 예정이다. 연구소 측은 이번 발표에 대해 “국내 보안전문가와 학생이 함께 국내 최초로 세계 최대 보안 컨퍼런스에서 우리나라의 높은 보안 기술수준을 전세계에 알린다는 데 의미가 있다”고 전했다. 한편 이번 ‘데프콘 18’에서는 미국 보안업체인 웹센스(WebSense) 소속의 한국인 오정욱 씨도 오는 8월 1일 주제발표를 가질 예정이다. 김수연 기자 newsyouth@seoulntn.com

청와대, 외교통상부 등 정부기관을 비롯한 5개기관이 그제 디도스 공격을 받았다. 디도스 대란을 겪은 지 1년 만이다. 디도스 공격이란 해커가 유포한 악성코드에 감염된 좀비PC들이 일시에 특정 사이트에 접속, 사이트를 접속 불능으로 만드는 것이다. 경찰은 어제 “지난해 디도스 공격에 동원됐던 좀비PC 중 일부가 잠복하다가 공격을 재개했다.”고 밝혔다. 그렇다면 디도스 공격이 지난해 예고됐다는 것인데 심히 걱정되는 대목이다. 공격에 이용된 좀비 PC, 악성프로그램은 매년 7월7일이면 지정된 사이트를 공격하도록 제작됐기 때문이다. 예고된 사이버 테러를 정부가 무방비 상태에서 당했으니 입이 열 개라도 할 말이 없게 됐다. 이번에 피해가 크지 않아서 다행이지만 제2, 제3의 추가 공격이 예상된다. 특히 북한은 사이버 전담부대를 운용하면서 중국을 경유, 우리 군의 전산망 해킹을 시도한 적이 있다. 사이버 테러를 국가안보 차원에서 다뤄야 하는 중요한 이유이다. 북한 입장에서 보면 사이버 테러는 ‘저비용 고효율’의 테러 수단이다. 해킹으로 인한 군사 기밀 유출, 정부기관 홈페이지의 초토화, 통신체계의 무력화는 사이버 전쟁에서 패한 것이나 다름없다. 이 때문에 미국은 공공기관에 대한 사이버 테러 발생시 보안패치가 자동 작동하는 국가안보 시스템을 구축하고 있다. 그러나 우리의 올해 민간 정보 보안 예산은 380억원으로 지난해보다 3배 늘었지만 사이버 테러 대비 체계는 제자리걸음이다. 사이버 보안에 대한 범정부적인 차원의 위험관리체계 구축이 시급하다. 안보를 남에게 맡길 수 없듯이 사이버 테러를 책임질 수 있는 우리 기술과 전문인력의 양성도 필요하다. 개인 네티즌의 보안의식도 보다 강화되어야 한다. 자신의 PC가 좀비 PC로 악용되지 않도록 백신프로그램 설치 등 개인 안전 이용 수칙을 지켜야 한다.

7일 청와대와 외교통상부 등 국가기관과 주요 금융기관 인터넷 홈페이지가 1년 만에 디도스(DDoS·분산서비스 거부) 공격을 받은 것으로 확인됐다. 방송통신위원회는 악성코드 샘플을 분석해 정밀조사를 벌이는 한편 행정안전부와 국가정보원, 경찰청 등 유관기관과 함께 디도스 공격자에 대한 실체규명 작업에 돌입하는 등 긴급조치에 들어갔다. ‘7·7 디도스 대란’ 발생 1년을 맞은 이날 또다시 주요기관의 사이트가 공격을 당해 정부의 허술한 보안대책에 대한 비판이 확산되고 있다. 방통위에 따르면 오후 6시쯤 청와대와 외교통상부 등 국가기관과 네이버, 농협, 외환은행 등 민간 홈페이지를 대상으로 소규모 디도스 공격이 발생했다. 방통위는 “공격량은 지난해 7·7 디도스 대란과 비교해 매우 적은 수준으로 구체적인 피해사례는 없지만 만일의 사태에 철저히 대비하고 있다.”고 밝혔다. 이번 사례는 지난해 디도스 공격을 받은 22개 주요 기관 사이트를 대상으로 정부가 집중 모니터링을 한 결과 드러났다. 방통위 관계자는 “오후 6시쯤 이들 5개 사이트의 트래픽양이 평소보다 늘어난 것이 확인됐다.”면서 “하지만 가장 많은 트래픽양이 초당 1메가바이트 정도로 지난해 디도스 공격 당시 발생한 초당 700~800 메가바이트보다는 미미한 수준”이라고 밝혔다. 행정안전부 정부통합센터는 “이번 공격에 동원된 IP는 모두 541개(국내 411개, 해외 130개)”라고 파악했다. 이 때문에 디도스 공격으로 이들 5개 기관의 사이트 홈페이지가 다운되거나 접속 장애가 발생하는 등 심각한 피해는 발생하지 않은 것으로 알려졌다. 이에 대해 청와대 측은 “만일의 사태에 철저히 대비하고 있다.”고 밝혔다. 외환은행 보안 담당자는 “지난해의 디도스 공격은 한번에 수십 기가바이트(1기가바이트는 1024메가바이트)에 해당하는 패킷이 한번에 몰려왔다면 이번에는 전체 용량이 1메가바이트가 못되는 수준”이라면서 “이런 이유로 홈페이지나 인터넷 뱅킹 이용자는 전혀 불편을 느끼지 못하는 정도였다.”고 말했다. 방통위와 보안업체는 이번 디도스 공격이 지난해 사용됐던 좀비PC(디도스 공격을 하는 바이러스에 감염된 PC) 중 일부가 치료되지 않은 상태에서 공격을 재개했을 가능성이 높은 것으로 추정했다. 보안업체 안철수연구소 측은 “지난해 7·7 디도스 대란과 비슷한 패턴으로 공격이 일어난 것으로 추정된다.”면서 “지난해 치료되지 않은 좀비PC가 같은 날짜에 공격을 가한 것으로 보인다.”고 분석했다. 이번 공격에 대한 조치와 관련, 경찰청 관계자는 “지난해 디도스 대란이 북한과 종북(從北) 세력의 소행으로 보인다는 분석이 있었던 만큼 이번 공격도 그들과 연관성이 있는지를 주의 깊게 보고 있다.”면서 “이번 공격이 대란 1주년을 맞아 국내 해커들이 모방 범죄를 벌였을 가능성도 배제하지 않고 있다.”고 전했다. 구혜영·김효섭·남상헌기자 koohy@seoul.co.kr

미국 애플의 온라인 음악 다운로드 장터인 아이튠스가 지난 4일(이하 현지시간) 해킹을 당해 일부 이용자들의 신용카드 계정에서 수백달러씩 빠져나갔을 가능성이 있다고 미 CBS 방송 인터넷판과 온라인 매체 CNET가 5일 보도했다. CBS 등에 따르면 정보기술(IT) 전문 블로그 ‘엔가젯’은 지난 4일 해커로 추정되는 ‘투앗 응우옌’이라는 한 베트남인 개발자의 책 애플리케이션 판매가 급증, 아이튠스 앱스토어의 책 분야에서 판매액 기준으로 상위 50위에 랭크된 책들 가운데 42개를 차지했다고 전하고 “많은 사람들의 아이튠스 계정에서 이들 책 구입비로 최고 수백달러까지 무단 결제됐다.”고 밝혔다. IT 전문매체 ‘PC 월드’도 “아이튠스 계정 해킹으로 2명의 이용자가 자신들도 모르게 응우옌의 앱들을 구입하고 최고 200달러까지 결제한 것으로 보고해 왔다.”고 전했다. 실제로 한 피해자는 온라인매체 더넥스트웹(TNW) 블로그에 올린 글에서 “어제 신용카드 업체가 내 직불카드에서 수상한 거래가 있다고 알려 왔다.”면서 “아이튠스에서 개당 가격이 40~50달러인 앱 10개를 구입하고 558달러를 결제한 것으로 돼 있었다.”고 밝혔다. CNET 측은 이와 관련, 해킹 및 무단 결제 여부를 확인하기 위해 애플에 연락을 취했으나 보도 전까지 답변이 없었다고 밝혔다. 전문가들은 추가 해킹 피해를 막기 위해 이용자들은 계정 비밀번호를 바꾸고 구매내역을 상세히 확인할 것을 권고했다. 박성국기자 psk@seoul.co.kr

지난해 7월 디도스(DDoS) 대란이 일어난 지 1년 만에 우리의 인터넷 환경은 더욱 빠르게 변했다. 걸어다니는 컴퓨터인 스마트폰의 보급이 크게 늘었기 때문이다. 특히 스마트폰은 PC보다도 악성코드 감염 위험이 큰 데다 사용자가 감염 여부를 쉽사리 알기 어렵다는 점에서 더욱 심각한 위험을 야기할 수 있다. 더구나 인터넷망으로 주로 활용하는 무선랜(와이파이)의 보안 수준은 상당히 취약한 상태다. 전문가들은 무선 네트워크 등에 대한 보안 수준을 높이고, 개인 차원에서도 의심스러운 콘텐츠를 내려받는 일 등을 삼가야 한다고 지적하고 있다. ●OS·백신 업데이트는 필수 6일 관련 업계에 따르면 스마트폰도 악성 해커들이 사용자 몰래 온라인상에서 프로그램을 설치하고, 불법적인 과금을 한 뒤 재빨리 도망가는 문제가 발생할 수 있다. 물론 정보유출과 데이터 변조, 사생활 침해 등도 더욱 용이하다. 이는 전적으로 무선이 유선에 비해 훨씬 보안에 취약한 탓이다. 단말기가 이용자 모르게 해커에 의해 조종되거나 공격 도구로 악용될 소지도 크다. 그럼에도 모바일 바이러스의 경우 PC와 비교해서 이같은 해킹 사실을 사용자가 쉽게 알아차리기 어렵다는 점에 문제가 있다. 안철수연구소 관계자는 “스마트폰은 사용자 스스로 문제를 해결하기 어려운 탓에 서비스센터 등을 반드시 찾아야 하고, 그 사이에 바이러스에 의한 피해가 더욱 커질 수 있다.”고 했다. 전문가들은 일단 신뢰할 수 없는 애플리케이션(응용 소프트웨어)이나 인터넷사이트는 무조건 피하는 게 좋다고 조언했다. 발신인이 불명확한 메시지와 메일을 받았을 때는 바로 삭제하고, 스마트폰 운영체제(OS)와 백신 프로그램을 최신 버전으로 업데이트하는 것도 필수적이다. 또한 단말기가 보안 위협에 노출되지 않도록 스마트폰 구조를 이용자가 임의로 조정하지 말고, 모바일 악성코드의 전파 경로로 악용될 수 있는 블루투스나 무선랜 기능은 사용할 때만 켜놓는 게 낫다. 이밖에 단말기를 분실했을 때 개인 정보유출을 막기 위해 비밀번호 설정 기능을 이용하는 게 좋다. ●무선랜 악성코드 전파경로 되기도 무선랜 사용환경이 용이해지는 것 역시 보안 측면에서는 바람직하지 않다. 무선랜은 무선접속장치(AP)가 설치된 곳을 중심으로 일정거리 이내에서 인터넷을 이용할 수 있는 무료 통신망이다. 한 보안업계 관계자는 “이동통신사들이 진행하고 있는 개방형 무선랜 서비스는 간단한 비밀번호만 있으면 사용할 수 있어 동시다발공격 시도인 디도스에 치명적일 수 있다.”면서 “사용자들은 정식으로 서비스되는 AP를 이용하고, 이때 암호화 및 인증을 통한보안 대책이 수립돼야 한다.”고 조언했다. 이두걸기자 douzirl@seoul.co.kr

7·7 디도스(DDoS·분산서비스 거부) 대란이 발생한 지 1년. 디도스 대란이란 지난해 7월7일부터 사흘간 청와대, 국방부, 국회, 은행 등 국내외 인터넷사이트가 디도스 공격을 받으면서 홈페이지가 마비되고 금융거래가 중단돼 혼란을 겪은 사태를 말한다. 국내 22개 주요 웹사이트를 대상으로 가해진 디도스의 공격은 사이버 보안에 대한 경각심을 분명하게 일깨웠다. ●기업 63.6% 정보보호 지출 없어 6일 현대경제연구원에 따르면 지난해 7월 디도스 침해사고로 입은 피해액은 최소 363억원에서 최대 544억원이다. 한국인터넷진흥원 인터넷침해대응센터(KISC)는 당시 정부, 인터넷서비스업체, 보안업체 등과 공조하며 대응에 주력했다. 그 결과 취약한 132개 행정기관의 주요 정보통신시설에 대응시스템을 마련, 이 가운데 95%가 디도스 대응 능력을 갖췄다고 한다. 한국인터넷진흥원이 올해 해킹·바이러스 침해대응을 위해 편성한 예산은 384억 9000만원이다. 전년 대비 256% 늘어난 액수이다. 하지만 여전히 디도스 공격의 안전지대에 들어오지 못했다는 우려가 높다. 취약한 보안의식과 디도스 공격 형태가 진화하고 있는 것이 원인으로 지목되고 있다. 지난해 방송통신위원회와 진흥원이 실시한 정보보호 실태조사 결과, 전체 기업의 63.6%가 정보보호에 대한 지출이 전혀 없다고 대답했다. 인터넷 이용자의 46% 정도가 한 달에 한 차례도 보안패치를 업데이트하고 있지 않다고 말했다. 진흥원 관계자는 “디도스의 공격대인 좀비PC가 ‘싱크홀’(좀비PC 감시망)에 포착되는 숫자는 하루 7만 6000~8만 6000대인 것으로 것으로 감지된다.”고 전했다. 지난해 디도스 공격에 동원된 좀비PC는 11만 5000여대. 거기에다 “디도스가 점점 고도화·전문화되고 있다.”는 안철수연구소 측의 분석은 제2, 제3의 디도스가 발생할 수 있음을 예고하고 있다. ●특정타깃 겨냥 공격 늘어 지난 1일 안철수연구소가 디도스 대란 1주년을 앞두고 발표한 ‘올 상반기 보안 위협 동향과 대응 전략’에 따르면 악성코드 탐지 및 차단 건수는 약 6570만건으로, 지난해 하반기 대비 144만건(2.2%) 증가했다. 네트워크 보안 위협을 유형별로 보면 디도스 공격이 35.4%로 가장 많았다. 이어 ‘웹사이트 취약점 공격’(34.8%)이다. 디도스 공격 방법이 날로 진화하고 대상이 확대되고 있다는 점도 주목된다. 연구소 관계자는 “무작위로 불특정 대상을 공격하던 것이 감소한 대신에 특정 타깃을 겨냥한 공격이 늘었다.”고 말했다. 공격 대상도 중소업체 등에서 주요 포털 및 게임, 쇼핑몰, 금융기관, 공공기관 등으로 확대됐다. 해커의 개인 능력을 과시하려는 목적에서 경쟁사를 공격하거나 청부 공격, 정치적·문화적 공격으로 바뀌었다. 연구소 측은 올 상반기에 발견된 악성코드의 특징에서 신종 기법들이 대거 발견됐다고 정리했다. 사회 이슈를 악용하거나 구글, 페이스북, 트위터 등 유명 회사나 서비스를 사칭해 악성코드 관련 메시지를 열어보도록 유도하는 방법이 등장했다. 신뢰할 수 있는 사람이 보낸 흥미로운 내용으로 위장하거나 특정카드 이용대금 명세서를 사칭해 경계심 없이 메시지를 열어 보는 기법도 유행하고 있다. 스마트폰이 확산되면서 윈도 모바일에서 악성코드 감염 사례가 처음 발생하기도 했다. 트위터에서 악성코드가 유포되는 사례까지 발견됐다. 구혜영기자 koohy@seoul.co.kr

“전화번호만으로 당신의 이름·주소·직업을 알아낼 수 있다. 이메일이나 당신이 자주 가는 곳, 심지어 현재 당신의 위치도 예외가 아니다.” 세계적으로 큰 인기를 끌고 있는 스마트폰이 개인정보유출의 매개체로 악용될 수 있다는 사실이 입증됐다. 3일(현지시간) 로스앤젤레스타임스(LAT)는 대형 이동통신사의 시스템에 침입해 가입자 정보를 빼낸 화이트해커(시스템의 취약점을 밝혀내 보완하도록 돕는 정보보안 전문가) 닉 디페트릴로와 돈 베일리의 실험을 통해 스마트폰의 보안 취약성을 꼬집었다. 스마트폰의 보안 문제가 여러차례 논란이 된 적은 있지만 실제 이통사의 시스템에서 검증되기는 처음이다. 두 전문가는 AT&T와 T모바일의 발신자번호 확인 서비스(콜러ID) 시스템에 몰래 들어가 특정 전화번호로 허위 발신을 유도하는 프로그램을 작동시키는 방법으로 한 명의 가입자가 통화한 수천명의 이름과 전화번호를 알아냈다. 동시에 가입자들의 통화 당시 위치와 통화시간도 빼냈다. 이들은 같은 작업을 반복해 가입자들의 이동경로와 자주 드나드는 곳에 대한 정보도 얻어냈다. 대부분의 스마트폰이 위성항법장치(GPS)를 내장하고 있기 때문에 기존 휴대전화에 비해 찾아낼 수 있는 위치정보가 많았다는 것이 이들의 설명이다. 더욱이 해당 이통사들의 시스템은 이들이 발생시킨 허위 발신을 정상적인 것으로 인식했다. 디페트릴로와 베일리는 AT&T와 T모바일에 이 사실을 통보했으며, 미국이동통신산업협회(CTIA)는 곧바로 조사에 들어갔다. LAT는 애플·구글·리서치인모바일(RIM) 등 휴대전화 제조업체들이 소프트웨어 공급을 위해 사용하는 오픈마켓 ‘앱스토어’에도 심각한 보안 결함이 있다고 강조했다. 올려지는 프로그램에 대한 사전검증이 쉽지 않아 해커들이 악성 프로그램을 뿌리는 데 멋대로 사용할 가능성이 크다는 주장이다. 실제 화이트해커 타일러 실즈는 ‘TXS’라는 악성 애플리케이션을 만들어 앱스토어에 올린 뒤 다운로드를 받은 사용자들의 이메일과 문자메시지를 빼냈다. 사용자들의 스마트폰을 원격조종할 수 있는 ‘좀비폰’으로 만들어 버린 셈이다. 실즈는 “각 업체들이 자신들이 운영하는 앱스토어에 올라오는 프로그램의 내용에 지나치게 관심이 없다.”면서 “좀 더 강도 높은 보안정책이 필요하다.”고 지적했다. 보안전문가인 찰스 밀러는 “지난 10년간 사람들은 자신의 컴퓨터에서 중요한 정보가 새나갈 수 있다는 사실을 모두 알게 됐다.”면서 “이제는 스마트폰에도 같은 일이 일어날 수 있다는 점을 명심해야 한다.”고 경고했다. 박건형기자 kitsch@seoul.co.kr

애플의 태블릿PC 아이패드의 이동통신 서비스를 제공하는 AT&T의 네트워크가 해킹되면서 가입자 11만 4000여명의 이메일 주소가 유출됐다. 피해자 중에는 백악관 비서실장과 뉴욕시장, 상·하원의원 등 유명인사들이 다수 포함돼 있다. 정보기술(IT) 전문 블로그 ‘밸리왜그’는 9일 “‘고츠 시큐리티’로 불리는 해커집단이 최근 AT&T의 아이패드 3G 서비스 가입자 확인 네트워트에 침입해 이메일 주소 리스트를 얻었다.”고 보도했다. 밸리왜그는 람 이매뉴얼 백악관 비서실장, 마이클 블룸버그 뉴욕시장, 재닛 로빈슨 뉴욕타임스 최고경영자(CEO) 등 유명인들이 포함된 이메일 주소 리스트를 공개했다. 밸리왜그는 고츠 시큐리티가 과거 애플의 웹브라우저 사파리와 모질라의 웹브라우저 파이어폭스 등의 보안 취약성을 경고했으며, 이번 사태로 이 문제가 입증됐다고 분석했다. AT&T는 성명을 통해 해킹 사실을 시인하고 피해자들에게 사과했다. 가디언은 “이번 사건으로 두 달 만에 전 세계적으로 200만대 이상이 팔린 아이패드 판매에 영향을 줄 수 있다.”고 보도했다. 가디언은 해커들이 AT&T의 가입자 확인 네트워크에 침입했던 점에 주목하며, 이는 같은 네트워크를 사용하는 미국내 아이폰3G 사용자들의 개인정보도 위험하다는 의미라고 분석했다. 박건형기자 kitsch@seoul.co.kr

8일 낮 12시 기무사령부 대회의실. 왼쪽에는 ‘피해자’ A가, 오른쪽엔 ‘해커’ B가 앉아 있다. A가 자신의 스마트폰으로 포털사이트에 접속했다. A는 이름과 주민등록번호를 넣고 휴대전화를 통해 인증번호를 받아 성인사이트에 접속했다. 이 과정에서 다운로드 받은 인증프로그램에 악성코드가 숨겨져 들어왔다. A가 입력한 개인정보는 고스란히 B의 스마트폰으로 자동 전송됐다. 이렇게 입수한 개인정보를 이용해 B는 A가 가입한 사이트의 아이디와 비밀번호를 확인하고 자신이 원하는 물품을 A의 이름으로 구입했다. 또 B는 악성코드를 통해 A의 스마트폰에 공격문자를 넣었다. 기무사 주관 제8회 정보보호 콘퍼런스에서 이정현 숭실대 컴퓨터학부 교수는 스마트폰이 쉽게 해킹에 노출돼 있음을 위와 같이 증명했다. 또 장병들이 갖고 있는 스마트폰의 위성항법장치(GPS)를 추적하면 작전지역 추적이 가능하다고 했다. 스마트폰을 일괄구매하는 미군의 경우 해킹의 위험성을 감안, 처음 구매 때 설치돼 있는 기본 프로그램 외에 별도의 응용 프로그램을 다운받지 못하도록 하고 있다. 이 교수는 “스마트폰은 컴퓨터보다 악성코드가 들어올 수 있는 출입구가 훨씬 더 많다.”면서 “군은 중앙통제형 원격보안관리 체계를 구축해야 한다.”고 제안했다. 오이석기자 hot@seoul.co.kr

#1. 2009년 5월 김모(51)씨는 서울에 있는 식당 부근 쓰레기통에서 신용카드 전표를 줍거나 영수증을 훔쳐 카드번호와 유효기간 등을 알아낸 뒤 사업자용 휴대용 단말기에 입력,900여만원을 결제했다.휴대 단말기에는 주민번호를 입력하지 않아도 결제가 가능한 점을 이용했다. 　#2. 2002년 1월 양모씨 등 일행 3명은 서울 신촌의 한 식당에서 신용카드 전표 300장을 훔쳐 전표에 적힌 카드번호와 유효기간을 이용, 인터넷쇼핑몰 등에서 노트북 등을 구입한 뒤 경매 사이트를 통해 되팔아 돈을 챙겼다. 　신용카드 영수증(매출 전표)에 기록된 카드번호와 유효기간 등 개인정보가 아직까지도 음식점 등의 결제 과정에서 노출되는 곳이 많은 것으로 확인돼 대책 마련이 시급한 것으로 드러났다. 이들 정보가 해커 등 전문범죄집단에 넘어가면 제2,제3의 범죄가 우려된다. 　금융당국은 이와 관련,2006년 신용카드사 등에 카드번호와 비밀번호 노출에 대한 시정을 권고했으나 강제성이 없어 ‘해도 그만,안해도 그만’식으로 지나온 탓이다.지금은 업체의 자율적 판단에 맡기고 있는 형편이다. 　 　●이런 경우 때문에 취약하다 　인터넷상 결제의 경우 이곳에서 신용카드를 사용하려면 대부분 번호와 유효기간,주민등록번호까지 필요하다. 하지만 전문가들이 주민번호를 아는 것은 어렵지 않은 것으로 알려졌다. 또한 카드사와 가맹점간 특약을 맺은 ‘수기거래’를 할땐 카드번호 유효기간만으로 결제가 가능하다는 점도 취약점이다. 유명 TV홈쇼핑의 경우 상담원을 통한 상품 구매시 신용카드 번호와 유효기간만 불러주면 결제되는 것으로 확인됐다. 　금융감독원은 서울신문이 개인정보 노출 전표 등을 갖고 확인에 들어가자 “점검해서 고치겠다.”고 밝혔지만 카드업체의 의지 부족과 당국의 손길이 닿기 어려운 수천개의 결제단말기 제조업체의 난립으로 관리는 쉽지 않은 실정이다. 　 　●금감원 “카드번호·유효기간 가리라” 권고 　금감원은 2006년 신용카드의 번호와 유효기간에 숫자 대신 ‘*’ 표시 등 특수처리로 번호노출을 방지할 것을 카드사 등에 ‘지도’를 통해 당부했다. 버려진 전표를 수집한 뒤 카드정보를 이용, 범죄에 악용하는 사례가 종종 발생했기 때문이다. 지도는 강제성은 없지만, 업계 관계자들과 협의후 공문을 통해 관련사항 이행을 촉구한 것이다. 　하지만 서울신문이 영수증을 수집·점검한 결과, 지금도 카드영수증에 개인정보가 고스란히 노출되고 있었다. 서울 의 유명 호텔의 식당에서 발급된 영수증에는 카드번호 16자리와 유효기간 4자리가 고스란히 찍혀 나왔다. 대기업 소속 잡화매장의 영수증에도 유효기간이 전부 노출됐다. 한 대형 편의점에서도 마찬가지 였다. 　카드번호가 가려진 위치도 제각각이었다. 식당에서 받은 전표는 앞에서 3번째 그룹 네자리가 가려지고, 잡화점 것은 맨 뒤 네자리가 가려지는 식이다. 우체국에서 발급받은 영수증에는 맨 뒤 네자리에 ‘*’가 표시됐다. 정확하게 정한 기준이 없고 사용 기기들이 다양해 빚어지는 혼선으로,언젠가는 통일해야 할 사항이었다. 　금감원은 아쉽게도 이들 문제를 제대로,정확히 알고 있지 못했다. 한 관계자는 “유효기간은 일부라도 가려지게 돼 있는데 사실 확인을 해보겠다.”고만 말했다. 카드번호 삭제 위치 관련 규정에 대해선 “2006년 지도를 할 당시 예시로 3번째 그룹 네자리를 ‘*’ 표시하라고 했었는데 강제성은 없었다.“면서 “실제로 카드번호와 유효기간만 가지고는 다른 사람이 사용하기 어렵지만, 대응 방안을 연구해야 할 것 같다.”고 답했다. 　 　●여전한 개인정보 유출,왜? 　또 일부이지만 개인정보가 노출되는 예전 방식의 영수증과 자체 용지를 쓰는 곳도 있었다.하지만 전국에 26만대로 추정되는 포스단말기(POS·판매 재고관리 단말기)가 보급돼 있어 사실상 당국의 손길이 미치지 못하는 실정이다. 　여신금융협회는 “2006년부터 보안상 (번호가 가려지는) 새로운 매출전표를 사용할 것을 당부했다. 하지만 예전 영수증을 쓰는 가맹점이 남아 있는 것 같다.”고 말했다. 다른 관계자는 “일부 자체 용지를 쓰는 곳에서 유효기간 등이 표시되는데, 권고는 할 수 있지만 강제할 규정이 없어 100% 개선이 힘든 것이 어려움”이라고 토로했다. 　개인정보가 노출되는 실태를 종합해 보면 ▲예전 방식의 영수증 ▲업체 자체용지▲일부 포스단말기 영수증에서 ‘유효기간 등 표기’가 문제점으로 드러났다. 　 　●뒤늦은 대책…실효성은? 　금감원의 관리 감독에 어려움이 없는 것은 아니다. 금감원은 신용카드사를 감독할뿐, 밴사를 직접 통제할 수는 없다. 밴사는 카드사와 가맹점을 전산으로 연결해주는 부가통신사업자(VAN)이다. 신용카드사가 법적 효력을 가진 기관이 아니기 때문에 이들의 관리감독이 힘들다는 얘기다. 전국 수천개의 결제단말기 제조업체도 1~2명이 관리하는 곳이 많아 문제점으로 지적된다. 　금감원 관계자는 이같은 문제점과 관련, “(밴사와 직접 연관된) 신용카드사들에 점검 체계를 마련해 보고하라고 했다. 5~6월 중에 점검할 예정”이라면서 “앞으로 신용카드사가 1년에 한번씩 의무적으로 밴사를 점검해 금감원으로 보고하도록 조치했다.”고 말했다.또 “카드사와 밴사가 협의를 통해 문제가 된 포스단말기의 기술표준을 마련하고 보안모듈을 만드는 중”이라고 밝혔다. 보안모듈을 설치하지 않은 단말기의 신용카드 승인을 거절시키겠다는 의지다. 　하지만 이 대책도 ‘매출전표 정보 기록’과 관련이 없는 별개인 것으로 확인됐다. 여신협회 관계자는 “이번 기술표준은 포스단말기 내에 저장되는 개인정보를 암호화 하는 것으로 매출전표 표기와는 관계가 없다.”고 말했다. 　인터넷서울신문 최영훈기자 taiji@seoul.co.kr 　

“이제 전 세계 해커가 주목하는 것은 PC가 아닌 스마트폰입니다. 그만큼 앞으로 보안성 싸움이 예상된다는 말입니다.” 전직 해커가 금융감독원에서 스마트폰과 관련한 보안정책을 만들고 있어 화제다. 주인공은 금감원 IT서비스실 최철훈(37) 선임조사역. 최 조사역은 90년대 후반까지 화이트 해커로 꽤 이름을 날렸다. 당시 그의 손을 통해 구멍이 생긴 인터넷사이트는 150여곳. 국가기관은 물론 신문과 방송사, 정치인 사이트까지 말 그대로 거칠 것이 없었다. “보통 1시간 정도면 취약점이 드러나는데 해킹을 범죄에 이용하지 않는, 화이트 해커라는 특성상 보안책임자에게 메일 등을 통해 약점을 일러주는 수순으로 이어졌다.”라고 설명이다. 그는 2002년 해커 일을 접고 돌연 특채로 금감원에 입사했다. 철통 같은 보안망을 뚫고 흔적 없이 빠져나가는 기술을 좀 더 보람있는 곳에 이용하고 싶다는 욕심에서였다. 금감원에서 최 조사역이 맡은 일은 카드결제부터 인터넷뱅킹 등 금융권에서 전산 업무를 통해 생길 수 있는 각종 금융사고 등을 미리 방지하는 일이다. 최 조사역은 스마트폰은 오히려 PC보다 보안성이 취약할 수 있다고 생각한다. “아직 휴대전화를 대상으로 한 해킹이란 말이 익숙지 않고 스마트폰 이용자도 비교적 소수이기에 해킹 사례 또한 적은 것일 뿐”이라면서 “스마트폰 이용자가 늘어날수록 스마트폰을 노리는 악성코드 범죄도 폭발적으로 증가할 것”이라고 말했다. 그가 제시하는 스마트폰을 안전하게 이용하는 방법은 의외로 익숙하다. 그는 스마트폰도 컴퓨터처럼 ▲운영체제나 백신 프로그램을 최신 버전으로 갱신하고 ▲의심스러운 애플리케이션은 다운로드 않아야 하며 ▲신뢰할 수 없는 사이트 방문을 자제하고 ▲발신인 불명확한 메시지는 삭제해야 한다고 권한다. 최 조사역은 “일부에선 탈옥폰이 유행인데 가급적 스마트폰 플랫폼은 구조를 변경하지 말아야 한다.”면서 “특히 통화료 아낄 욕심에 커피숍 등 무선인터넷이 공짜로 되는 공공장소에서 대량의 다운로드를 받는 것은 그만큼 위험에 스스로를 노출하는 일”이라고 지적했다. 유영규기자 whoami@seoul.co.kr

국내 유명 프랜차이즈 음식점과 주유소 등에 설치된 신용카드 결제용 판매·재고관리단말기(POS)에 담긴 신용카드 정보 9만 5000여건이 해킹 당해 49개국에서 복제카드로 만들어진 뒤 6억 7000만원어치가 결제된 것으로 밝혀졌다.. 금융감독원과 여신금융협회는 이미 2008년에 POS단말기에 신용카드 정보 저장금지, 고객정보의 암호화 등 ‘POS단말기 보안 강화 기술표준’을 만들어 놓았지만 정작 일선에서는 지켜지지 않아 피해가 되풀이되고 있다. 경찰청 사이버테러대응센터는 11일 POS 단말기를 해킹해 고객들의 신용카드 정보를 빼낸 뒤 해외에서 위조카드를 제작·사용하도록 한 국제 해커 A씨 등 2명의 신원을 파악해 루마니아 당국 등과 공조수사를 진행하고 있다고 밝혔다. 또 해외로 유출된 신용카드 정보를 말레이시아 국제 밀매조직을 통해 다시 사들여 국내 신용카드 위조단에 제공한 엄모(37)씨 등 4명에 대해 여신전문금융업법 위반 등의 혐의로 구속하고 나모(41)씨를 같은 혐의로 불구속 입건했다. 경찰에 따르면 루마니아인 해커는 지난해 8월부터 올 1월까지 국내 음식점과 주유소 등에 설치된 36대의 신용카드 결제용 POS단말기를 해킹했다. 고객들이 카드로 결제하면 실시간으로 이메일 전송하는 수법으로 신용카드 정보 9만 5000여건을 빼냈다. 국제 밀매조직 말레이시아인은 지난해 10월부터 올 2월까지 해커로부터 건네받은 신용카드 정보 51개를 개당 30만원씩 받고 엄씨에게 넘겼다. 또 엄씨 등은 국내 신용카드 전문 위조단인 최씨 등 3명과 수익금을 절반씩 나누기로 하고 정보를 제공했다. 국내에서 빠져나간 신용카드 정보는 해외에서 위조 신용카드를 만드는데 사용됐다. 이를 위해 해외결제가 가능한 비자·마스터 계열의 신용카드 정보가 타깃이 됐다. 불법사용된 카드는 아시아, 유럽, 북미, 남미, 아프리카 등 49개국에 퍼져 있다. 위조 신용카드로 결제된 건수는 1503건, 피해액은 6억 7000여만원에 이른다. 승인이 거절된 1180여건까지 합치면 부정결제 금액은 14억여원에 달한다. 경찰 관계자는 “피해 확산 방지를 위해 해외 유출이 확인된 9만여건의 신용카드 정보는 고객들에게 유출사실을 고지하고 카드사 측에 재발급해 줄 것을 당부했다.”고 설명했다. 한편 현재 국내 POS단말기는 26만대, 결제되는 금액은 월 10조여원으로 전체 카드결제액의 30%에 달한다. 김효섭기자 newworld@seoul.co.kr