현대캐피탈의 수십만 고객 정보가 해킹당하는 일이 벌어졌다. 현대캐피탈은 8일 “신원 미상의 해커가 회사의 고객정보를 해킹했고, 이를 외부에 유출하지 않는 대가로 금전을 요구하는 협박 메일을 받았다.”면서 “자체 조사 결과 일부 고객 정보가 해킹된 정황을 발견했다.”고 밝혔다. 현대캐피탈에 따르면 현재까지 전체 200만명의 고객 중 42만여명의 정보가 해킹된 것으로 파악되고 있지만 이 가운데 금융거래를 가능하게 하는 정보는 없는 것으로 알려졌다. 현대캐피탈의 자체 조사 결과 유출된 정보는 고객의 이름과 주소인 것으로 보이며, 휴대전화 번호나 이메일 주소까지 유출됐는지는 아직 드러나지 않았다. 현대캐피탈은 고객들에게 이메일을 통해 홈페이지에서 비밀번호를 변경하고 현대캐피탈 이름으로 상세 고객정보를 묻는 전화를 받으면 주의하라고 당부했다. 현대캐피탈은 현재 경찰에 수사를 의뢰한 상태다. 오달란기자 dallan@seoul.co.kr

●스마트 리더, 핵카톤하라(김영한·김영안 지음, 북클래스 펴냄) 핵카톤은 해킹과 마라톤의 합성어다. 서로의 아이디어를 해킹하듯 교환하며 마라톤하듯 협동 프로젝트를 수행하는 것을 뜻한다. 구글을 위협하고 있는 페이스북에서 채택하는 기업 지배 문화다. 좋은 아이디어가 떠오르면 “우리 핵카톤하자!”고 말한 뒤 몇 시간이건 며칠이건 편안하게 의견을 교환하며 결론을 도출한다. 책은 자율성과 창의성을 중시하는 CEO 마크 저커버그의 리더십 핵심 등을 꼼꼼히 소개하고 있다. 1만 3800원. ●건축가가 말하는 건축가(부키 펴냄) 건축가 17명이 말하는 자신의 삶과 일, 즐거움, 뿌듯함 등을 담고 있다. ‘제1호 기적의 도서관’인 순천어린이도서관을 지은 정기용, 세계 최고층 건물인 말레이시아 KLCC 쌍둥이 빌딩을 완공한 김종훈 등 우리 세대 뛰어난 건축가들의 활약상이 우선 눈에 띈다. 하지만 우리가 피상적으로만 느꼈던 건축이라는 일이 펼쳐내고 있는 철학적 배경과 그 결과물들을 따라 읽는 재미가 쏠쏠하다. 피디, 기자, 의사, 디자이너, 요리사, 만화가 등에 이은 부키의 전문직 리포트 시리즈 중 하나다. 9500원. ●세계사 속의 미스터리(기류 미사오 지음, 박은희 옮김, 삼양미디어 펴냄) 역사를 흥밋거리로만 접근하는 것은 옳지 않다. 그렇다고 학문의 틀 안에만 고정시켜 놓는 것도 너무 거리를 멀게 만든다. 투탕카멘 묘, 히틀러, 네로, 마릴린 먼로, 클레오파트라를 비롯해 소설 속 모티프를 준 ‘철가면’ 등 고대와 현대를 아우르며 역사 인물을 둘러싼 역사적 사실과 그 빈틈 사이를 들여다보고 있다. 제목에는 ‘미스터리’라는 호기심 가득한 표현을 붙였지만, 실은 학자들의 오랜 연구 과제이자 대중들의 관심이 절묘히 만나는 지점들이다. 1만 5000원. ●웰빙 파인더(톰 래스·짐 하터 지음, 성기홍 옮김, 위너스북 펴냄) 어떤 숭고한 이념·철학도, 신성의 가치를 믿는 종교도, 복잡한 숫자 속의 경제·경영학도 모두 개인과 집단의 행복 추구로 환원된다. 책은 소득과 건강 외에도 우리의 행복을 결정짓는 요소들을 밝히고 있다. 내가 하고 있는 일을 즐기고 좋아하는지, 사랑하는 사람들이 내 곁에 있는지, 내가 속한 지역과 조직에 참여하고 있는지 등의 중요성을 따진다. 어느 것 하나에 쏠리지 않고 조화와 균형을 이룰 때 삶이 풍요로울 수 있음을 역설하고 있다. 미 갤럽연구소가 작성한 행복 보고서다. 1만 4000원.

경찰은 지난달 3~5일 청와대·국방부 등 주요 웹사이트 40곳을 노린 ‘분산서비스거부’(디도스:DDos) 공격을 2년 전 ‘7·7 디도스 대란’을 일으킨 동일범의 소행으로 확인했다. 경찰은 북한 체신성(통신관리 및 기술개발을 담당하는 부서)이 저질렀을 가능성에 무게를 두고 있다. 경찰청 사이버테러대응센터는 6일 “악성코드 유포 사이트와 국내 감염 좀비 PC, 외국 공격명령 서버를 정밀 분석한 결과 공격 체계와 방식, 악성코드 설계방식과 통신방식이 2009년 7월 7일 발생한 디도스 공격과 일치한다.”고 밝혔다. 2009년 7월 7∼9일 61개국에서 435대의 서버를 이용해 한국과 미국 주요기관 35곳의 사이트를 해킹한 ‘7·7 디도스 공격’의 공격 근원지는 중국에 있는 북한 체신성으로 확인됐다. 반면 이번 디도스 공격의 근원지는 북한 체신성이 아니라 중국 통신사이지만, 7·7 디도스 공격에서 활용된 외국 공격 명령 서버의 일부가 같은 것으로 나타났다. 때문에 이번 공격도 북한 소행으로 볼 수 있다는 것이 경찰의 설명이다. 경찰청 관계자는 “전 세계 IP 주소는 42억개 이상이다. 공개되지 않은 ‘7·7 디도스 공격’의 외국 공격 명령 서버와 동일한 IP를 사용한 것은 동일범이 아니면 불가능하다.”고 밝혔다. 하지만 이 관계자는 “이번 디도스 공격의 범행 주체에 대한 정확한 실체를 밝혀내기는 어렵다.”고 덧붙였다. 경찰은 보다 명확한 증거를 확보하기 위해 중국 공안 등과 공조 수사에 나설 계획이다. 김동현기자 moses@seoul.co.kr

스마트폰 메신저인 카카오톡의 안드로이드 특정 버전에서 ‘스니핑’(sniffing·네트워크상의 정보를 가로채는 행위)을 통해 문자 내용이 해킹되는 보안 취약점이 드러났다. 대량의 트래픽을 유발하는 디도스(DDoS·분산서비스거부) 공격까지 가능한 것으로 나타났다. 카카오톡은 해당 안드로이드용 버전에 대한 서비스를 중단했다. 네트워크 보안솔루션업체인 윈스테크넷은 4일 “카카오톡 안드로이드용 1.3.4 버전에서 한시적으로 데이터 패킷을 암호화하지 못하는 취약점이 발견됐다.”며 “해당 버전의 카카오톡 사용자들에 대해 보안 주의를 권고했다.”고 밝혔다. 윈스테크넷에 따르면 안드로이드용 카카오톡 1.3.4 버전은 무선 인터넷망(Wi-Fi) 환경에서 사용할 때 초기 부팅에서 특정 시간까지 암호화가 되지 않은 상태로 데이터를 전송하고 있다. 카카오톡은 1.3.4 버전은 전체 사용자의 1%에 불과하다고 해명했다. 안드로이드용 카카오톡의 경우 스니핑 기법으로 문자메시지가 해킹될 수 있다. 또 해킹된 데이터를 조작해 불특정 다수의 스마트폰 사용자에게 특정 메시지를 삽입해 대량으로 살포하는 ‘메일 폭탄’과 카카오톡 서버를 대상으로 대량의 트래픽을 전송하는 디도스 공격에 악용될 수 있다. 카카오톡의 스니핑 등 보안 취약점은 이번에 처음 제기된 문제가 아니다. 서울신문은 지난 3월 23일 자 지면(1·4·5면)을 통해 보안전문업체의 테스트 결과 카카오톡 안드로이드 버전에서 문자메시지 등 대화 내용을 해킹하는 것이 가능했다고 보도했다. 당시 네이버톡과 다음 마이피플의 메신저 서비스는 해킹에 안전한 것으로 나타났다. 손동식 윈스테크넷 이사는 “카카오톡이 자사 서비스의 보안 취약점에 대해 전혀 인식하지 못하고 있었다.”며 “1.3.4 버전뿐 아니라 현재 버전인 2.4.1에 대해 해킹 취약점을 추가로 분석할 계획”이라고 말했다. 윈스테크넷은 지난달 30일 카카오톡에 분석 내용을 전달했고, 카카오톡은 해당 안드로이드 버전 등 일부 버전에 대해 서비스 중단 조치를 취했다. 안동환기자 ipsofacto@seoul.co.kr

“대중들의 인식이 가장 큰 문제였다. 하지만 우리는 원격근무를 위한 장비지원 프로그램에 대한 혜택여부를 인원 수로 따지지 않는다. 단 1명이 원격근무를 해도 불편함이 없도록 편의시설 등을 얼마나 지원하고 있느냐에 중점을 두고 있다.” 미국 국방부의 CAP(Computer Accommodations Program) 책임자인 디나 코언의 발언이다. 우리나라처럼 미국에서도 원격근무에 대한 부정적 인식이 있으나 원격근무 정책의 성공여부를 양적인 측면에서 찾지 않는 점은 우리와 달랐다. 지난달 샌디에이고에서 열린 제26회 ‘장애인을 위한 보조공학 국제박람회(CSUN)’에서 만난 그녀는 내후년 정년퇴직을 앞뒀지만 자신의 일에 열정적이었다. 다음은 일문일답. ●국방부 예산 매년 900만불 지출 →프로그램은 언제 시작됐으며 부처간 협조는 잘 이뤄지는가. -1990년 국방부 내 장애인 고용 지원에서 출발했다. 시작은 조그마했지만 각 부처, 공공기관별로 양해각서를 맺고 지원 대상을 늘려 나갔다. 예산은 국방부에서 현재 매년 900만 달러를 지출한다. →지금까지 CAP 프로그램의 수혜인원은. -우리는 인원 수로 따지지 않는다. 1명의 원격근무를 지원하는 데 여러 개의 편의장비와 지원인원이 필요할 수 있기 때문이다. 지금까지 약 10만여개(1명당 중복가능)의 편의장비가 근로자들에게 지원됐다. →추진과정에서 장애물도 많았을 텐데. -대중들의 인식이 가장 큰 문제였다. 또 한 가지는 기술이 계속 진화한다는 점이다. 누구나 자유롭게 원격근무 시스템에 접속하고 일할 수 있도록 하는 보편적 설계(UI)가 중요하다. 그러나 기술 진보 속도를 따라잡을 수가 없기 때문에 항상 ‘접근성의 갭(차이)’이 생긴다. 보조공학기술이 이를 보완해 장애인이나 상이군인, 노령자 등 누구나 일할 수 있도록 지원해야 한다. →부가적으로 기업의 인식도 바뀌었는지. -우리가 도와 달라고 요청했다. 보잉사 등 대기업 인사담당자 순회교육도 했다. 자연히 이 기업들의 상이군인, 장애인 고용도 늘어나는 추세다. 우린 목표치를 따로 갖고 있거나 의무사항으로 규제하지 않는다. 다만 오바마 정부가 지난해 7월 26일 장애인법(ADA) 20주년 기념식에서 향후 5년간 10만명의 장애인을 고용하겠다고 약속할 정도로 관심과 의지를 갖고 있다. ●정보유출 대비 USB 사용 금지 →해킹이나 정보유출에 대비한 보안문제 해결은 어떻게 하고 있나. -우리는 3중에 걸쳐 보안을 확인한다. 첫번째로 전화번호, VPN(가상사설망)을 통해 이용자가 단독으로 서버에 접속한다. 두 번째로 방화벽이 보호해 준다. 세 번째로는 개인의 컴퓨터 접속 카드를 따로 부여받는다. 정보유출을 막기 위해 USB도 쓰지 못한다. 또 공공기관별로 조금씩 다른 보안체계를 갖고 있는데 보안이 특히 중요한 국방부는 얼굴과 지문인식까지 동원한다. →한국의 스마트워크는 육아지원을 위한 유연근무제, 환경친화적 근무에 치우친 감이 있다. 취약계층의 근로 지원은 아직 미약한 편인데. -저출산 문제나 가족의 삶을 배려한 근무 배려도 매우 좋은 생각이자 출발점이다. 중요한 것은 ‘좋은 사례(good example)’를 만드는 것이다. 텔레워크가 충분히 생산성이 있고 돈도 아낄 수 있고 무엇보다 성과가 있다는 걸 보여줘야 한다. 국방부의 카렌 사례가 대표적이다. 2년 전까지 요양원에 있었고 두 팔을 쓰지 못했지만 지금은 마우스 스틱을 이용해 성공적으로 일하고 있다. 한국 역시 그런 성공사례를 만드는 게 관건이다. 글 사진 이재연기자 oscal@seoul.co.kr

한국교육방송공사(EBS) 수능 강의사이트를 마비시킨 ‘분산서비스거부(DDoS·디도스)’ 공격은 고교 3학년 수험생이 호기심에 저지른 것으로 드러났다. 경찰청 사이버테러대응센터는 지난 20일부터 이틀에 걸쳐 수능강의 사이트(www.ebsi.co.kr)를 디도스 공격한 고교생 김모(17)군을 정보통신망 이용촉진 및 정보보호 등에 관한 법률위반 등의 혐의로 입건했다고 28일 밝혔다. 조사 결과 평소 온라인게임 해킹 등에 관심이 많았던 김 군은 몇달 전 담임교사에게 꾸지람을 듣고 화가 나 학교 홈페이지를 디도스 공격으로 마비시킨 다음 대형 사이트 보안에 대한 호기심으로 범행을 저질렀다. 백민경기자 white@seoul.co.kr

지난해 인터넷 이용자 10명 중 1.5명꼴로 해킹 피해를, 3.4명은 바이러스 피해를 경험한 것으로 나타났다. 또 인터넷 이용자의 90.7%가 스마트폰 보안 문제가 심각한 것으로 인식하고 있으며, 84.9%는 ‘소셜네트워크서비스(SNS)’의 보안 피해도 우려했다. 24일 방송통신위원회와 한국인터넷진흥원(KISA)의 ‘2010년 정보보호실태 및 정보보호 지수’ 조사에 따르면 지난해 해킹 피해를 본 인터넷 이용자는 14.0%로 집계됐다. 해킹·바이러스, 스파이웨어 등의 연간 피해 횟수는 평균 6.9회로 나타났다. 개인정보 침해는 연간 평균 4.77회로 17.1%가 경험했고, 이 가운데 사업자 관리 소홀로 인한 개인정보 유출이 전체의 67.3%에 달했다. 그러나 침해사고 피해를 경험한 인터넷 이용자 중 신고한 사용자는 해킹 48.3%, 애드웨어·스파이웨어 22.7%, 웜·바이러스 22.6%에 그쳐 여전히 침해 사고에 대한 인식이 낮은 수준에 머물고 있다. 보안 침해 사고로 인한 피해 기업도 적지 않았다. 전체 조사 기업의 12.6%가 인터넷 침해 사고를 경험했고, 직원 250명 이상의 기업은 50명 미만의 소기업보다 4~5배 많은 해킹, 디도스(DDoS·분산서비스거부) 공격 피해를 당한 것으로 나타났다. 기업의 보안 피해액도 2009년 대비 26.2%가 늘어난 것으로 조사됐다. 국내 기업의 85.5%가 사내 정보보호를 전담하는 조직이 없으며 74.2%가 기업 내 정보보호를 위한 대책을 수립하지 않고 있다. 지난해 국가 정보보호지수는 80.5점으로 전년 73.9점보다 6.6점이 상승해 다소 개선된 것으로 나타났다. 정보보호 실태조사는 전국 12~59세 인터넷 이용자 5422명에 대한 온라인 조사와 종사자 5인 이상 6529개 기업에 대한 방문 조사로 이뤄졌다. 안동환기자 ipsofacto@seoul.co.kr

지난 2월 스마트폰을 장만한 윤모(33·여)씨는 요즘 친구들과 모바일 인터넷전화(mVoIP)와 카카오톡으로 대화하는 재미에 푹 빠졌다. 요금이 무료인 데다가 무선인터넷망인 와이파이존에서는 언제 어디서나 통신이 가능하기 때문이다. 친구의 험담에서부터 가끔은 돈거래도 한다. 윤씨는 단 한번도 자신의 통화를 누군가 엿들을 수 있다고 생각하지 않았다. 하지만 스마트폰 인터넷 통화나 문자 전송도 절대 안심하면 안 된다. 무료 통화 및 메시지 전송 기능으로 국내 1000만 스마트폰 사용자에게 빠르게 확산 중인 mVoIP와 ‘스마트폰 메신저’가 도청 및 스니핑(sniffing)에 무방비로 노출된 것으로 드러났다. 서울신문이 지난달 1일부터 한달 동안 국내 주요 mVoIP 서비스 6개와 카카오톡 등 메신저 4개에 대한 와이파이망 등 무선랜 환경에서의 도청·스니핑 테스트를 한 결과 국내 기술로 개발된 mVoIP는 모두 수·발신 대화 내용이 도청된 것으로 22일 확인됐다. 국내외 930만명의 가입자를 둔 카카오톡은 안드로이드 애플리케이션에서 가입자 간 문자 채팅 내용이 스니핑됐다. 도청·스니핑 검증은 국내 모바일 보안업체인 쉬프트웍스가 수행했고, 한달에 세번 반복 테스트했다. 반면 해외 mVoIP인 스카이프와 바이버는 독자적인 프로토콜(통신규약)로 도청 및 스니핑을 차단했다. 국내 mVoIP인 다음 마이피플, 수다폰, 올리브폰, 터치링은 국제 표준 프로토콜을 쓰지만 데이터 패킷을 암호화하지 않아 양쪽의 통화 내용을 도청할 수 있었다. 보안 전문가들은 국내 mVoIP들이 품질보다 가입자 경쟁에만 치중하고 있다고 지적한다. 약관에도 무선 통화의 보안 취약성에 대한 기본적인 안내나 경고가 없다. 취재팀의 보안 취약성 제기에 일부 업체는 보안 패치나 암호화 기술을 곧바로 적용하겠다고 응답했다. 보안을 강화할 수 있는데도 하지 않은 것이다. 도청·스니핑 피해는 고스란히 소비자의 몫이어서 자칫 국내 mVoIP가 900만명(중복 포함)에 달하는 이용자들로부터 외면받을 수 있다는 우려도 나온다. 이형우 한신대 컴퓨터공학부 교수는 “국내 mVoIP가 급성장하고 있는 가운데 기존의 디도스(DDoS·분산서비스 거부) 공격 등 인터넷망에 대한 테러뿐 아니라 mVoIP 도청, 스마트폰 개인정보 유출, 좀비폰 등장 등 모바일 공격이 본격화될 것”이라고 경고했다. 안동환기자 ipsofacto@seoul.co.kr [용어 클릭] ●모바일인터넷전화(mVoIP) 무선랜(와이파이) 등 무선 인터넷망을 통해 인터넷전화(VoIP)를 할 수 있는 기술. 애플리케이션을 내려받은 스마트폰 사용자끼리 무료 통화가 가능하다. 음성통화뿐 아니라 메신저 기능이 통합되면서 무료 문자 전송도 가능하다. ●스니핑(sniffing) ‘냄새를 맡다.’는 뜻. 일종의 해킹 기법으로 네트워크상에 오가는 정보를 중간에서 훔치는 행위다. 메신저·무선 패킷·와이파이 스니핑 등으로 발전하고 있다.

모바일 인터넷전화(mVoIP)와 스마트폰 메신저에 대한 도청·스니핑 테스트를 한 인프라웨어 자회사 쉬프트웍스 홍민표(33) 대표는 국내에서 손꼽히는 스마트폰 보안 전문가다. ‘세계 3대 해커’ 중 한명으로 거론될 만큼 보안 분야에 매진했다. 홍 대표는 22일 “서울신문과의 조사 결과 국내 mVoIP 업체들의 보안 수준은 해킹 지식만 있다면 충분히 공격할 수 있는 상태”라고 평가했다. 해외 mVoIP나 스마트폰 메신저 업체에 비해 국내 업계 규모가 영세해 보안 부문에 대한 투자가 쉽지 않은 상황이기 때문이다. 홍 대표는 업체들이 자체적인 통신 규약(프로토콜)을 사용할 것을 조언했다. 그는 “일반적으로 잘 알려진 프로토콜은 보안에 취약할 수 밖에 없다.”면서 “통신 서비스를 목적으로 하는 만큼, 자신들이 개발한 프로토콜을 활용하면 보안 수준이 크게 높아질 수 있다.”고 설명했다. 그는 옛 정보통신부 등 전문 부처의 부활 필요성도 제기했다. “보안 정책에 집중하려면 현재의 위원회보다는 예전 정통부와 같은 전문 기관이 절실히 필요하다.”고 말했다. 이두걸기자 douzirl@seoul.co.kr

이달 말 국내 스마트폰 가입자가 1000만명을 돌파할 것으로 보이는 가운데 국내 ‘모바일인터넷전화’(mVoIP)와 ‘스마트폰 메신저’ 사용자도 급증하고 있다. SK경제경영연구소는 지난해 11월 스마트폰 가입자의 28.1%가 mVoIP를 이용하는 것으로 파악했다. 서울신문 취재팀이 추산한 국내 mVoIP와 메신저 사용자는 900만명(중복 포함)대다. 하지만 ‘스마트사이어티’(Smartciety·스마트+소사이어티)를 구현하기에는 현재의 스마트 서비스 보안 수준은 낙제점이라는 게 전문가들의 지적이다. ●음성통화 ‘데이터 패킷’ 가로채 지난 4일 서울 대치동 쉬프트웍스 본사. mVoIP와 스마트폰 메신저에 대한 3차 도청·스니핑 테스트가 진행됐다. 무선랜 환경은 커피숍 등 일반적인 공공 무선망과 동일하게 ‘WEP 키’로 암호화됐다. 장비는 해킹 툴이 깔린 노트북 1대. 이날 사용된 해킹 툴은 구글에서 쉽게 다운받을 수 있는 프로그램이다. 이대로 쉬프트웍스 연구원이 무선 공유기를 찾아 접속 암호를 추출하는 데 걸린 시간은 10여분. 음성 통화의 ‘데이터 패킷’(packet)을 가로채는 ‘ARP 스푸핑’(spoofing) 준비가 끝나자 도청은 일사천리로 진행됐다. ARP 스푸핑은 온라인 계정 등을 훔치는 데 쓰이는 일반적인 해킹 기법이다. mVoIP 도청 원리는 단순하다. 코덱에 의해 디지털 데이터로 변환된 음성 통화는 ‘패킷’으로 불리는 정보 단위로 전송된다. 도청은 AP를 통과하는 패킷을 추출한 후 재조합해 청취한다. mVoIP 통화가 시작되자 이 연구원의 노트북에서 패킷 추출이 진행됐다. 가로챈 패킷은 해킹 프로그램을 통해 mp3 파일로 만들어졌다. 통화에서 도청까지 소요된 시간은 약 5분. mp3 파일을 클릭하니 노트북 스피커에서 통화 내용이 고스란히 흘러나왔다. 스카이프와 바이버 등 해외 mVoIP와 달리 다음 마이피플, 수다폰, 올리브폰, 터치링 등 국내 기술의 mVoIP는 모두 ‘양방향 도청’이 가능했다. 대중화된 통화 애플리케이션(앱)이지만 프로토콜 혹은 패킷 암호화 등 기본적인 보안 조치가 돼 있지 않았기 때문이다. 다음 측은 “현재 베타버전인 마이피플의 mVoIP 서비스에 이달 중 암호 알고리즘 기술을 적용해 도청을 차단할 방침”이라며 “안드로이드 버전은 이미 보안 패치 작업이 끝나 보안이 강화됐다.”고 말했다. ●카카오톡 “스니핑 취약점 대책 마련” 스마트폰 메신저의 스니핑은 도청과 과정이 비슷하다. 기자가 카카오톡으로 보낸 ‘056-12-××××××’ 은행 계좌번호와 ‘테스트 중입니다.’라는 문자 내용은 스니핑을 하자 노트북 화면에 그대로 떴다. 카카오톡은 안드로이드 운영체제(OS)에서 가입자끼리 주고받는 문자 내용을 훔쳐볼 수 있는 취약점이 드러났다. 아이폰용 카카오톡의 경우 ‘SSL 프로토콜’이 구현돼 스니핑이 되지 않았다. 카카오톡은 피크 때엔 초당 4000건이 넘는 메시지가 전송되는 국내 최대 서비스이다. 이확영 카카오톡 기술담당이사(CTO)는 “아이폰 및 안드로이드 앱 모두 암호화된 프로토콜을 사용하고 있다.”며 “제기된 스니핑 취약점에 대해 내부적으로 분석해 보안 대책을 마련하겠다.”고 말했다. NHN의 네이버톡과 미국 서비스인 왓츠앱은 스니핑이 불가능했다. 마이피플의 메신저 서비스의 경우 암호화된 것으로 확인됐다. 보안 전문가들은 공공 무선존의 경우 무선 LAN 안테나를 탑재한 차량으로 이동하며 보안이 취약한 AP를 탐색하면 네트워크에 흘러다니는 무선데이터를 무차별적으로 수집할 수 있다고 우려한다. 안동환기자 ipsofacto@seoul.co.kr

‘모바일인터넷전화’(mVoIP)와 ‘스마트폰 메신저’에 대한 도청·스니핑 우려가 현실화되면서 내 손안의 스마트폰 보안이 관심사가 되고 있다. 악성코드에 감염되면 개인정보 유출과 데이터 조작, 기기 오작동, 사생활 침해 등 광범위한 피해를 입을 수 있기 때문이다. ●집에선 ‘WPA2’ 기술 적용해야 스마트폰 보안의 제1원칙은 정품을 그대로 사용하는 것이다. ‘탈옥’ 등 자의적인 해킹을 통해 설정을 마음대로 변경한 단말기는 외부 공격에 노출된다. 조금이라도 의심이 가는 애플리케이션(응용 프로그램·앱)은 내려받지 않는 게 좋다. 해커들은 호기심을 유발하는 앱에 악성코드를 심어놓는 경우가 많다. 신뢰할 수 없는 사이트의 방문도 삼가고, 보안이 취약한 중소형 쇼핑몰에서의 거래도 주의해야 한다. 스마트폰용 백신을 설치하면 좀비폰의 공포를 줄일 수 있다. 해커들의 해킹 능력이 진화하는 만큼 백신의 업데이트도 중요하다. mVoIP를 업무에 활용하는 기업들은 무선랜을 최상위급 암호화 기술인 ‘WPA2’로 바꾸는 게 안전하다. 가정에서는 보안 설정이 없는 무선랜에서는 인터넷뱅킹을 하지 않는 게 좋다. 스마트폰의 블루투스(무선전송) 기능은 사용할 때만 켜 둬야 한다. 의심스러운 메일은 첨부파일을 열지 않는 편이 낫다. ●‘블루투스’는 사용때만 켜 둬야 방송통신위원회와 한국인터넷진흥원(KISA)은 올해 말을 목표로 사용자 본인이 스마트폰 보안을 점검하는 자가진단 서비스 개발에 착수했다. 특히 상대적으로 보안 우려가 큰 안드로이드 운영체제(OS)용으로 서비스를 내놓는다는 계획이다. 전길수 KISA 악성코드 분석팀장은 “자가진단 서비스를 통해 수출 주력품목인 안드로이드 OS 스마트폰의 보안을 강화할 것”이라고 말했다. 이두걸기자 douzirl@seoul.co.kr

영화배우 제시카 알바, 가수 크리스티나 아길레라 등 미국의 대표적인 여성 톱스타 50명이 개인정보 해킹 파문에 휩싸여 사생활이 유출될 위기에 놓였다. 미국 온라인 연예매체 티엠지(TMZ)에 따르면 할리우드 톱스타들의 노트북과 휴대전화기 등을 해킹해 개인적인 사진과 영상 등을 빼내온 전문조직의 정체가 최근 드러났다. 이달 초 영화배우이자 가수인 바네사 허진스의 개인적인 누드사진이 인터넷에 유출되면서 베일에 싸였던 해킹 전문조직의 충격적인 범죄행각이 드러나기 시작했다. 문제의 조직이 노린 스타들은 50명의 여성스타. 스칼렛 요한슨, 제시카 알바, 크리스티나 아길레라 등 쟁쟁한 톱스타들이 포함됐고, 심지어 미성년자인 마일리 사이러스, 데미 로바토, 셀레나 고메즈 등도 피해를 당한 것으로 드러나 파문이 거세지고 있다. 현재 미국의 연방수사국(FBI)은 문제의 해킹조직의 소재를 파악 중이다. 스타들에게 씻을 수 없는 상처를 줄 수 있는 사생활이나 누드사진들의 유포를 사전에 막기 위해서 수사를 서두르고 있다. 한편 이미 누드사진이 유출돼 곤욕을 치르고 있는 허진스는 지난 16일(현지시간)부터 캘리포니아주 센추리시티에서 FBI와 만나 수사에 협조해 온 것으로 전해졌다. 사진설명=제시카 알바, 바네사 허진스, 마일리 사이러스(왼쪽부터) 서울신문 나우뉴스 강경윤기자 트위터(http://twitter.com/newsluv)

상하이 ‘마타하리’ 덩신밍(33)의 남편 J씨의 이메일을 ‘누군가’가 해킹해, J씨를 사칭하고 있다는 주장이 제기됐다. J씨는 10일 기자에게 이메일을 보내 “누군가 (이번 사태를) 조작·은폐하려는 것 같다. 내가 작성하지도 않은 이메일 내용이 몇몇 언론사에 전달된 것을 뒤늦게 알았다.”면서 “내 메일 계정을 도용한 IP주소를 추적해 달라.”고 요청했다. 그는 “나는 그런 메일을 보낸 사실이 없고, 해당 기자들을 알지도 못한다.”고 덧붙였다. J씨가 허위라고 밝힌 이메일 내용은 ‘국내 정·관계 인사 200여명의 연락처 자료는 내 아내의 컴퓨터에 들어 있던 게 아니다. 법무부 감찰관실에 자료를 보낼 때 김모(상하이 총영사관) 영사의 도움을 받았다는데, 김 영사가 J 부총영사의 지시를 받고 그 문건을 나 몰래 보냈다.’는 게 골자다. 법무부는 공식 논평을 통해 “정부·여권 인사 200여명의 연락처를 비롯해 이번 사태와 관련된 자료들은 감찰관실에서 지난해 12월 말 J씨와의 전화통화 후 이메일을 통해 그에게 직접 전달 받은 것”이라며 일부 언론사에 뿌려진 J씨의 도용 메일이 허구임을 뒷받침했다. 김승훈기자 hunnam@seoul.co.kr

방송통신위원회는 8일 신원미상의 해커가 악성코드로 공격하는 사례가 발생했다고 밝혔다. 　방통위는 이 해커가 하드디스크 삭제용 악성코드를 정상 보안패치 파일로 위장, 기관과 업체 내부의 패치관리시스템(PMS)을 통해 동 시스템에 연결된 모든 PC에 자동으로 유포하는 새로운 공격 방법을 사용하고 있다고 설명했다. 방통위는 각 기관 및 업체에 각종 패치관리서버, 백신서버 등의 관리자 계정 및 비밀번호를 변경하거나 비인가자 접속 여부와 악성코드 설치 유무를 점검하고, 해킹에 대비한 모니터링을 철저히 할 것을 당부했다. 　또 해커가 새로운 공격 방법으로 개인용 PC를 해킹해 좀비PC를 만들거나 하드디스크를 파괴할 수 있으므로 인터넷 사용자들은 정보보안 수칙을 지켜달라고 강조했다. 방통위 관계자는 “새로운 변종 악성코드가 출현할 가능성을 배제하기 어렵다.”며 “신속하게 전용백신으로 치료해달라.”고 말했다. 　방통위는 현재 보호나라(www.boho.or.kr)와 안철수연구소(www.ahnlab.com) 등을 통해 새로운 악성코드 전용백신을 배포하고 있다고 밝혔다. 　한편 방통위는 지난 4일부터 시작된 ‘분산서비스거부’(DDoS 디도스) 공격으로 하드디스크 손상을입은 피해신고가 8일 오후 3시 현재 모두 522건으로 늘었다고 밝혔다. 　이어 전용백신으로 위장한 악성코드가 유포된 사례가 발견되기도 했고, 보호나라 홈페이지를 사칭한 피싱 사이트가 개설돼 이용자들에게 결제를 유도한 경우가 있었다며 해당 사이트를 즉각 삭제했다고 덧붙였다. 맹수열기자 guns@seoul.co.kr

　방송통신위원회는 미상의 해커가 악성코드로 공격하는 사례가 발생했다고 8일 밝혔다. 　방통위는 “해커가 하드디스크 삭제용 악성코드를 정상 보안패치 파일로 위장, 기관과 업체의 패치관리시스템(PMS)에 연결된 PC에 자동 유포하는 공격 사례가 발생하고 있다.”고 설명했다. 　방통위는 “전용백신으로 위장한 악성코드가 유포된 사례가 발견됐고, 보호나라 홈페이지를 사칭한 피싱 사이트가 개설돼 결제를 유도한 경우도 있었다.”고 소개했다. 　방통위는 “기관과 업체는 각종 패치관리 서버, 백신 서버 등의 관리자 계정과 패스워드를 바꾸거나 비인가자 접속 여부 및 악성코드 설치 유무를 점검하고, 모니터링을 철저히 해야 한다.”고 당부했다. 또 “해커가 새로운 수법으로 개인용PC를 해킹, 좀비PC 또는 하드디스크 파괴 등의 피해를 일으킬 수 있어 정보보안 수칙을 지켜달라.”고 강조했다. 　방통위 관계자는 “새로운 변종 악성코드가 출현할 가능성을 배제하기 어렵기 때문에 신속하게 전용백신으로 치료해 달라.”고 말했다. 　방통위는 새로운 악성코드에 대해서는 보호나라(www.boho.or.kr), 또는 안철수연구소(www.ahnlab.com) 를 통해 전용백신을 배포하고 있으며, 피싱 사이트는 즉각 삭제했다고 밝혔다. 　인터넷서울신문 event@seoul.co.kr

프랑스 재경부가 올해 칸에서 열릴 주요 20개국(G20) 정상회의 관련 정보를 노린 해커들로부터 최근 몇 개월간 대규모 사이버공격을 받았다고 프랑수아 바루앵 예산장관이 7일 밝혔다. 바루앵 장관은 배후에 대해 구체적인 언급을 피한 채 “조사가 진행 중”이라면서 “단서들을 갖고 있다.”고 말했다. 앞서 프랑스 주간 파리마치는 이날 한 고위 관리의 말을 인용, 지난해 12월 이후 프랑스 재경부 컴퓨터 150대 이상이 공격당했으며 전체 컴퓨터 17만대 중 1만여대에 대한 점검작업이 진행되고 있다고 보도했다. 이 관리는 “해킹당한 자료들은 중국 인터넷 주소로 전송된 것으로 나타났다.”면서 “해커들은 프랑스 국내 문제보다는 국제문제에 더 많은 관심을 갖고 있었다.”고 전했다. 나길회기자 kkirina@seoul.co.kr

　경찰청이 공식 블로그인 ‘폴인러브’를 통해 ‘좀비 스마트폰’을 막는 방법을 소개했다. 　경찰청은 지난 7일 이 블로그에서 “스마트폰도 악성코드 감염으로 인해 개인정보 유출은 물론 데이터 조작, 기기 오작동, 사생활 침해, 심지어 스마트폰이 ‘좀비 스마트폰’으로 전락해 디도스(DDoS·분산서비스거부) 공격의 또다른 범인이 될 수 있다.”고 경고했다. 　이어 “악성코드를 통한 스마트폰 뱅킹 해킹은 물론 개인정보 유출로 문자메시지 가로채기를 이용한 소액결제 해킹도 가능하다.”고 덧붙였다. 　경찰청은 ‘좀비 스마트폰이 되지 않는 방법’을 공개했다. 　경찰청은 “아이폰의 탈옥, 안드로이드의 루팅 등 해킹을 통해 본래 단말기에서 제공하는 응용프로그램의 설정을 변경할 경우 보안상 취약점이 발생할 수 있다”고 지적했다. 또 의심이 가는 응용프로그램(애플리케이션)은 다운받지 말고 신뢰할 수 없는 사이트의 방문도 지양할 것을 권장했다. 　이어 “스마트폰용 백신(V3, 알약 등)을 반드시 설치해야 하며, 해커들의 해킹 능력이나 기술이 업데이트 되기 때문에 수시로 업데이트 해야 한다.”고 강조했다. 　경찰청은 “보안 설정이 된 무선랜을 사용해야 하며 만일 가정에서 무선랜을 이용한다면 최상위급 암호화 보안기술인 WPA2를 적용해야 한다.”고 말했다. 어쩔 수 없이 외부에서 보안 설정이 없는 무선랜 사용시에는 인터넷뱅킹 등의 서비스는 지양하라고 당부했다. 　또 “같은 맥락으로 무선 인터페이스(블루투스)는 사용시에만 켜두고, 보안이 취약할 가능성이 높은 중소형 쇼핑몰에서의 거래도 주의를 기울여야 한다.”고 말했다. 　경찰청은 “멀티미디어 메시지(MMS)나 e메일 첨부파일 등에서 발신인이 불분명하고 경품에 당첨되었다든지 친한 척하는 의심스러운 메일 등은 특히 주의하라.”면서 “개인 무선랜에 보안설정을 해 자신의 무선랜이 불법행위에 활용되지 않도록 하라.”고 강조했다. 　경찰청은 이어 “스마트폰 사용자들에게 이미 널리 애용 중인 P2P를 통한 정보 공유나 이를 통한 불법 다운로드를 하지 말라.”면서 “전 국민의 대다수가 사용중인 스마트폰이 디도스의 희생양이 되면 엄청난 피해가 예상된다. 개개인이 조금씩만 주의한다면 디도스 공격으로부터 안전한 한국을 만들 수 있을 것”이라고 덧붙였다. 　인터넷서울신문 event@seoul.co.kr

지난 4일부터 시작된 ‘분산서비스거부’(DDoS 디도스)공격이 큰 피해없이 마무리 된 가운데 경찰청은 8일 이른바 ‘좀비 스마트폰’의 위험성을 경고하면서 예방법을 소개했다. 　경찰청은 공식 블로그인 ‘폴인러브’를 통해 컴퓨터는 물론 스마트폰도 악성코드에 감염돼 개인정보 유출과 데이터 조작, 기기 오작동, 사생활 침해 등에 노출될 수 있다고 밝혔다. 경찰청은 “특히 악성코드를 통한 스마트폰 뱅킹 해킹은 물론 문자 메시지 가로채기를 통한 소액결재 해킹도 가능하다는 것이 전문가들의 의견이며 실제로 가능하다.”며 “심한 경우 스마트폰이 해커들에 의해 좀비 스마트폰으로 악용돼 디도스 공격의 또 다른 범인이 될 수도 있다.”고 경고했다. 　현재 스마트폰의 인터넷 매개체인 와이파이 등 무선랜은 보안 설정을 하지 않을 경우 누구든 접속이 가능하기 때문에 해킹하거나 악성코드를 침투시키기 쉽다는 것이다. 경찰청은 스마트폰 해킹을 막기 위해서는 사용자의 주의가 필요하다며 다음과 같은 예방법을 소개했다. 　●정품을 그대로 사용하자. 　아이폰과 안드로이드폰 사용자들은 이른바 ‘탈옥’, ‘루팅’이라는 자의적이고 임의적인 해킹을 통해 단말기에서 제공하는 응용프로그램 등 설정사항을 마음대로 변경하고 있다. 하지만 이런 해킹은 단말기에 보안상 취약점을 만들 수 있기 때문에 정품을 사용하는 것이 중요하다. 　●조금이라도 의심이 가는 응용프로그램(애플리케이션)은 내려받지 말자.　 　●신뢰할 수 없는 사이트의 방문을 되도록 줄이자. 　●스마트폰용 백신(V3, 알약 등)을 반드시 설치하자. 　백신 설치와 함께 중요한 것은 수시 업데이트이다. 해커들의 해킹능력과 기술이 업데이트되는 만큼 백신의 업데이트도 중요하다. 　●보안설정이 된 무선랜을 사용하자. 　가정에서 무선랜을 이용하고 있다면 최상위급 암호화 보안기술인 WPA2를 적용하고, 어쩔 수 없이 외부에서 보안설정이 없는 무선랜을 사용할 때는 인터넷뱅킹 등의 서비스는 이용하지 말자. 　 　●무선 인터페이스(블루트스기능)는 사용할 때만 켜두자. 　 　●보안이 취약할 가능성이 높은 중소형 쇼핑몰에서의 거래에도 주의를 귀울여야 한다. 　 　●멀티미디어 메시지(MMS)나 e메일의 첨부파일도 주의하자. 　특히 발신인이 불분명하고 경품에 당첨되었다고 하거나, 친한 척하는 의심스로운 메일은 특히 주의해야 한다. 　 　●개인 무선랜에 보안설정을 해 자신의 무선랜이 불법행위에 악용되지 않게 주의하자. 　●스마트폰 사용자에게 이미 널리 애용중인 P2P를 통한 정보공유나 불법 다운로드를 하지 말자. 맹수열기자 guns@seoul.co.kr

‘정보 사회’ 추세가 가속화되고 있다. ‘정보화 사회’를 운위하며 컴퓨터 앞에 앉기 시작한 게 불과 20여년 전인데 어느새 우리 앞에는 소셜네트워크서비스(SNS)와 스마트폰까지 등장했다. 주요 도시의 지하철역이나 시외·고속버스 터미널 등에 설치된 현금입출금(ATM)기는 또 어떤가? 수수료가 비싸 그렇지 은행에 가는 수고를 상당 부분 덜어주는 게 사실이다. 그런데 문제는 부작용이다. 인터넷 기반의 SNS나 스마트폰에서 개인정보가 심심찮게 새나가는가 하면 엊그제는 급기야 ATM기에서 개인정보가 통째로 유출되는 사고가 발생했다. 2~3년 전부터 옥션 등 대형 온라인 유통업체와 GS칼텍스 등 주유소, SK텔레콤·LG유플러스 등 이동통신업체 등에서 대량의 개인정보가 유출됐다는 언론보도가 잇따랐다. 국내에서는 특히 지난 연말에 있었던 구글(Google)의 개인정보 불법수집 사건 이후 프라이버시에 대한 사회적 관심이 크게 높아지고 있다. 지난달 행정안전부가 주요 쇼핑몰 ·백화점·할인마트 등 20개 업체를 대상으로 개인정보 관리실태를 점검한 결과 절반인 10개 업체가 개인정보 보호조치를 제대로 취하지 않은 것으로 드러났다. 또 얼마 전엔 학교, 경제단체, 기업 등의 100여개 서버시스템을 해킹하여 760만건의 개인정보를 탈취하고 사회적 이슈가 된 인물의 개인정보를 추적(신상털이)해 인터넷에 유포한 고교생 2명이 검거되는 사건도 있었다. 이미 대한민국 국민 5000만명의 개인정보는 자기 것이 아니라는 말이 정설이 돼 있다. 수많은 국민대중이 다양한 온라인 서비스를 이용하고 있는 현실에서 특히 인터넷상의 개인정보 보호의 중요성은 점점 더 높아져 가고 있으나 개인정보 유출사고는 끊이지 않고 있으며 이로 말미암은 사회적 폐해도 갈수록 커지고 있다. 국민의 소중한 개인정보 유출을 막고 프라이버시를 보호하기 위한 핵심적인 관건은 기업과 단체의 윤리의식 및 사회적 책임의식이다. 얼마 전 이른바 ‘옥션 사태’에 대한 판결에서 법원은 제기된 집단소송에 대한 사업자의 직접배상 책임을 인정치 않았다. 미국 등 선진국의 판례와는 사뭇 다른 모습이다. 직접배상 책임의 불인정은 기본적으로 ‘침해된 개인정보로 인한 개별적 피해 입증의 어려움’ 때문이지만, 예방조치의 강제 및 유출 때 의법 처리를 위한 법·제도적 미비점도 주된 요인으로 꼽히고 있다. 국민의 개인정보(프라이버시) 보호는 헌법이 규정하고 있는 중대한 공익이다. 그럼에도, 공익을 보호하기 위한 법·제도적 보완을 ‘정부 규제’란 시각에서 접근하는 어리석음을 범해선 안 될 것이다. 지금 우리 국민은 휴대전화 하나를 개통시키는 데도 ‘개인정보, 신용정보 및 위치정보 제공 동의서’에 서명해야만 하는 게 엄연한 현실이다. 또한, 앱 프로그램 ‘오빠’ 및 ‘구글 사태’에서 보듯 위치정보의 무단 수집과 제공으로 말미암은 ‘정보 인권’ 침해도 발등의 불이 됐다. 정보 사회의 ‘침해’와 ‘방어’는 ‘창과 방패’요 ‘열쇠와 자물쇠’라는 말이 있다. 하지만 ‘정보 인권’은 결코 포기할 수 없는 헌법적 가치다. ‘정보 안심 사회’를 위한 정부와 의회의 특단 조치가 시급하다.

지난 3일부터 시작된 분산서비스거부(DDoS·디도스) 공격의 후폭풍이 거세다. 6일 오전부터 악성코드에 감염된 좀비 PC의 하드디스크 데이터 파괴가 시작된 것으로 드러났다. 정부는 이번 디도스 공격이 공공기관 등의 주요 사이트 및 서버에 대한 공격에서 개인 PC에 대한 공격을 목적으로 하는 ‘사회적 테러’ 양상을 띠고 있다고 분석했다. 방송통신위원회는 디도스 공격을 조종하는 ‘명령 서버’가 좀비 PC의 전용 백신 접속을 차단하고 하드디스크의 데이터를 즉시 파괴토록 설정됐다고 밝혔다. 이날 오후 6시 현재 모두 62건의 데이터 손상이 신고됐다. 2009년 7·7 디도스 공격 때에는 일정 기간이 지나면 PC의 데이터를 파괴했지만 이번에는 명령 서버가 즉시 파괴를 지시했다. 또 좀비 PC가 전용 백신을 내려받지 못하도록 백신 사이트의 접속을 방해하는 기능이 추가됐다. 행정안전부는 각 부처에 PC 사용 자제를 권고했고, 방통위는 방송사에 긴급 안전수칙에 대한 실시간 자막방송을 요청했다. 악성코드에 감염된 PC는 지난 4일 오전 2만 4000대에서 같은 날 저녁 5만 1000대로 증가했다. 변종 악성코드가 등장하면서 추가적인 디도스 공격도 우려되고 있다. 안철수연구소 관계자는 “확인된 추가 공격의 정보가 없지만 변종의 등장으로 추이를 지켜봐야 한다.”고 말했다. 미국 보안업체인 시만텍에 따르면 전 세계 악성코드는 2002년 2만 5000여개에서 2009년 289만개로 폭증했다. 디도스 공격은 세계적으로 하루 1만건 이상, 국내에서도 하루 수십 차례씩 시도되고 있다. 정부는 이번 디도스 공격의 피해를 최소화하기 위해 국가사이버안전센터(NCSC)로부터 악성코드 유포 및 명령 사이트로 추정되는 584개 IP를 확보, 한국인터넷진흥원(KISA)과 인터넷서비스사업자(ISP)를 통해 긴급 차단했다. 누적 차단 IP 수는 모두 729개로 늘었다. 좀비 PC를 조종하는 명령 서버도 미국, 중국, 러시아 등 30여 개국에 분포하고 있는 것으로 파악하고 있다. 당초 악성코드가 유포된 것으로 밝혀진 웹하드 사이트인 쉐어박스, 슈퍼다운뿐 아니라 파일시티, 보보파일까지 모두 4곳에서 유포된 것으로 드러났다. 이들 웹하드 사이트는 디도스 공격 과정에서 해킹됐던 것으로 나타나 일반인들의 피해도 커질 수 있다는 지적이 나오고 있다. 안동환기자 ipsofacto@seoul.co.kr