좀비PC를 통한 사생활 침투의 피해가 공개돼 화제를 모으고 있다. 좀비PC란 컴퓨터가 악성코드로 인해 누군가에게 원격으로 조종당하는 것을 말한다. 27일 오후 방송된 KBS 2TV ‘스펀지 제로’에서는 좀비PC화 된 컴퓨터의 위력을 살펴봤다. 감염된 좀비PC는 해킹 프로그램을 통해 상대방의 인터넷 사용 경로를 훔쳐본 것은 물론 노트북에 내장돼 있는 화상카메라를 통해 상대방을 훔쳐 볼 수 있다. 내장된 마이크를 통한 도청도 가능하고 상대방이 자리를 비운 사이 원격조정을 통해 컴퓨터 속 정보를 자유자재로 확인할 수도 있다. 방송에 따르면 인터넷에 연결돼 있고 평소 보안 상태가 안전하지 않다면 누구나 좀비PC 가 될 수 있다. ‘스펀지 제로’는 이런 피해에 노출되지 않기 위해서는 인터넷 사용 안전 수칙을 지키는 것이 중요하다고 강조했다. 최신 보안 패치를 이용해 자동 보안 업데이트 설정을 하고 바이러스 백신이나 악성 코드 제거 프로그램을 정기적으로 업데이트해야 한다는 것. 또한 가급적 다양한 패스워드를 설정하고 의심스러운 메일이나 사이트는 피한다. 이외에도 방송통신위원회와 한국인터넷진흥원에서 운영하는 E-콜센터 118에 전화를 걸어 도움을 받는 것도 하나의 방법이라고 소개했다. 사진 = KBS 2TV 서울신문NTN 뉴스팀 ntn@seoulntn.com ▶ 려원, 볼살 오른 최근모습…"살쪘다 vs 지방주입?"▶ 송혜교, 가을패션 화보공개…공주느낌 폴폴▶ 9월의 신부 이유리, 웨딩화보 공개…고혹미 물씬 ▶ ‘이기적 몸매’ 유인영 뱃살 굴욕?…타이트한 옷 때문▶ 송지효, 건강미 넘치는 피부+몸매 시선고정

1990년대 초반 남북고위급회담 우리측 수행원으로부터 들은 비화다. 그는 조국평화통일위원회(조평통) 소속 북측 인사의 뜻밖의 언질에 놀랐다고 한다. “아들이 김책공대 약전(弱電·반도체를 가리키는 북한말)과를 다니는데 통일되면 더 나은 대우를 받지 않겠느냐?”고 넌지시 떠보는 말을 들으면서다. 북측 핵심계층 인사가 체제의 앞날에 회의적 시각을 갖고 있었다면 퍽 충격적이었을 법하다. 아울러 북한도 당시 IT산업의 중요성을 인식했음을 방증하는 일화이기도 하다. 실제로 북한이 IT 인력 육성에 전력투구하고 있음은 주지의 사실이다. 노무현 정부 때 남북정상회담에 참석한 우리측 경제인들에게 북측은 개성공단에 소비재 말고 첨단 IT 품목도 들어와야 한다고 불만을 토로했다고 한다. 북한의 IT 진흥정책이 엉뚱한 부산물을 낳고 있는 것인가. 북한이 지난 12일 ‘uriminzok(우리민족)’이란 트위터 계정을 개설하면서 대남 선전·선동 공세를 펴고 있다. 아직 치졸한 수준의 체제선전과 대남 비방에 그치고 있긴 하다. 하지만 ‘가랑비에 옷 젖는’ 부작용을 우려한 방송통신위원회가 북 트위터 접속 차단에 나섰다. 그러나 북 선전물은 해외에서 리트위트(퍼나르기)하거나, 페이스북을 활용한 우회로를 통해 계속 확산되고 있다고 한다. 이처럼 해킹이나 인터넷, 혹은 트위터를 통한 북한의 대남 교란 역량은 상당한 경지에 도달했다. 하지만 북한의 IT산업 자체는 여전히 유치산업 단계다. 피폐한 북한 주민들의 생활수준 향상에 도움이 안 되는 수준이란 얘기다. 이런 괴리는 어디에서 생기는 걸까. 그 답은 북한의 트위터 개설에 대한 크롤리 미 국무부 차관보의 조롱 섞인 환영 논평에서 짐작된다. 그는 자신의 트위터를 통해 “북한당국의 트위터 가입을 환영한다.”면서 “북한 주민들의 트위터 가입도 허용할 준비가 돼 있느냐?”고 반문했다. 개방과 소통이 핵심인 트위터에 정작 북한주민들은 소외돼 있음을 꼬집은 셈이다. 사실 IT산업 성공의 필요충분조건은 쌍방향성과 망외부성(network externality)이다. 쌍방향성이야 더 설명할 필요가 없겠다. 망외부성은 인터넷이나 휴대전화는 가입자가 많으면 많을수록 사용자의 편익과 기업의 이익이 늘어남을 가리킨다. 북한이 정말 IT산업을 진흥시키려면 이같은 특성부터 이해해야 할 것이다. 즉 북한당국은 진정한 체제 개방을 선택하지 않는 한 죽었다 깨도 IT산업을 진흥시키기 어렵다는 사실을 알아야 한다는 뜻이다. 구본영 수석논설위원 kby7@seoul.co.kr

미국 국방부는 20일(현지시간) 보고서를 통해 중국 인민군이 미국 기업과 정부기관들의 전산망을 은밀하게 공격하기 위해 민간인 컴퓨터 전문가까지 활용하고 있다고 경고했다. 미 정부가 중국의 사이버 위협을 공개적으로 밝히기는 처음이다. 미 국방부는 중국의 사이버 위협 관련 보고서에서 중국군이 적대국의 컴퓨터 시스템과 네트워크를 공격하는 바이러스를 개발하기 위해 ‘정보전 부대’를 운영하고 있으며, 이들 부대에는 민간인 컴퓨터 전문가들이 포함돼 있다고 밝혔다. 보고서는 또 “지난해 미 정부 컴퓨터 등 전 세계의 수많은 컴퓨터 시스템들이 중국에서 시작된 것으로 보이는 침투의 표적이 됐다.”면서 “이런 공격은 정보를 빼내는 데 집중돼 있으며, 일부 정보는 전략적 또는 군사적으로 유용한 것일 수 있다.”고 지적했다. 보고서는 캐나다의 ‘인포메이션 워페어 모니터’(IWF)가 지난해 3월 발표한 중국의 사이버첩보 활동도 적시했는데 IWF는 고스트넷(GhostNet)이라는 중국에 근거지를 둔 컴퓨터 첩보단이 세계 103개국의 대사관 및 민간기업 전산망에 침입해 약 1300대의 컴퓨터에서 민감한 정보들을 훔쳐 갔다고 발표했었다. 심지어 티베트의 정신적 지도자 달라이 라마와 망명정부 사무실의 컴퓨터까지 해킹 프로그램에 노출됐는데 중국은 IWF 보고서가 날조된 것이라며 강력 부인했다. 밥 헐 미 국방부 대변인은 “국방부가 중국의 잠재적인 전산망 위협에 대비해 인민해방군의 사이버전 능력 강화를 감시하고 대응전략을 개발할 것”이라고 말했다. 워싱턴 김균미특파원 kmkim@seoul.co.kr

[서울신문NTN 김수연 기자] 안철수연구소 김홍선 대표는 17일 본인의 블로그에 ‘스마트폰 보안 문제 접근법 오류 3가지’라는 글을 게재하며 최근 스마트폰 보안 문제가 과도하게 부각되고 있다고 지적했다. 김홍선 대표는 해당 글을 통해 “스마트폰의 사용 현황에 비해 보안 문제가 너무 부각되고 있다는 느낌이 든다.”며 당혹감을 드러냈다. 이어 그는 “개방형 플랫폼의 스마트폰이 태생적인 보안 문제가 있는 것은 자명하며 막연한 불안감보다는 실체적 접근이 중요하다.”며 ‘스마트폰 보안 접근법의 문제 세 가지’를 밝혔다. 김 대표는 ▲보안 이슈는 세분화해서 디테일한 분석으로 시작해야 하며 ▲위협(Threat)과 위험(Risk)를 명확히 구분해야 하고 ▲보안 위협은 신속하고 투명하게 소통돼야 하지만 현재 상황은 그렇지 못하다고 주장했다. 특히 김 대표는 “특정 앱(APP)에만 해당하는 보안 이슈를 일반화 하여 ‘스마트폰 앱이 위험하다’며 수많은 앱을 의심의 눈초리로 보게끔 만드는 것은 바람직하지 않다.”고 강조했다. 악성코드와 해킹의 위협에 대해서는 “운영체제나 애플리케이션 해킹이 기술적으로 이뤄질 수 있다 하더라도 보안 솔루션을 갖추고 사용자의 관리와 제도적 보완장치가 있으면 위험하지 않다.”며 “공격기법에 대해 일희일비하기보다 제도와 정책, 기술과 제품의 접목, 사용자의 책임과 관리, 대응 체제 등을 포함하는 종합적 시각으로 접근해 사이버 안전을 위한 로드맵을 마련하는 게 우선”이라고 말했다. 이어 “새로운 위협, 공격 기법, 악성 코드의 정보가 확보되는 순간 불안감은 급격히 줄어든다.”며 보안 위협에 대한 정보의 공유와 소통이 필요하다고 설명했다. 또 김 대표는 “오히려 스마트폰의 문제에 국한해서 보지 말고 컨버전스 플랫폼으로서 태블릿PC, 전자책, 스마트TV와 같은 기기, 클라우드, SNS와 같은 서비스를 총괄적으로 보는 긴 호흡이 필요하다.”고 전했다. 마지막으로 김 대표는 “컨버전스로 업종 간 경계가 무너지면서 보안 경계마저 희미해지고 있으며 새로운 문제들도 속속 발견되고 있다.”며 “스마트폰 보안의 이슈도 우리 기업과 사회에 미치는 영향의 전반적 틀에서 보는 것이 장기적 해법”이라고 말했다. 김수연 기자 newsyouth@seoulntn.com

[서울신문NTN 김진오 기자] LG유플러스는 조달청과 인터넷전화 도입 및 모바일 오피스 인프라 구축에 관한 계약을 체결했다고 15일 밝혔다. LG유플러스는 대전광역시에 위치한 조달청 본청 및 12개 지방청의 유선전화를 인터넷전화 교환시스템으로 교체하고 무선 통신환경이 가능한 무선랜(와이파이)망을 구축, 인터넷전화와 스마트폰을 활용한 모바일 오피스 환경을 제공할 예정이다. 모바일 오피스가 구축되면 조달청은 통화료를 절감하고 스마트폰을 통한 업무 효율화를 도모할 수 있다. 또 조달청 임직원들은 스마트폰을 이용해 언제 어디서나 메일확인, 전자결재, 일정관리 등의 업무 처리가 가능하다. LG유플러스는 조달청이 정부기관이라는 특수성을 감안해 인터넷전화와 이동통신망의 이용으로 인한 해킹이나 도청 등 보안을 대폭 강화할 예정이다. 특히 인터넷전화시스템 등 주요시스템이 중단되는 일이 없도록 주요장비를 이중화하기로 했다. 이상철 LG유플러스 부회장은 “행정서비스에 맞는 맞춤형 솔루션을 제공해 비용절감은 물론 업무효율 극대화를 실현하도록 노력할 것”이라고 밝혔다. 김진오 기자 why@seoulntn.com

[서울신문NTN 김수연 기자] 안철수연구소는 자사의 온라인 통합보안 서비스인 ‘안랩 온라인 시큐리티(AhnLab Online Security, 이하 AOS)’에 적용된 기술이 특허와 함께 CC, GS인증을 잇달아 획득했다고 13일 밝혔다. 특허를 획득한 기술은 ’인터넷 사이트 보안 시스템 및 그 방법’으로 인터넷 뱅킹 거래 시 해킹으로 인한 정보 유출을 원천 차단해주는 ‘AOS(AhnLab Online Security)’의 4가지 서비스 가운데 ‘시큐어 브라우저(Secure Browser. 이하 AOS 시큐어 브라우저)에 적용된 신기술이다. 해당 기술은 AOS 시큐어 브라우저에 할당된 메모리 영역에 대한 외무 모듈로부터의 접근을 방지한다. ‘AOS 시큐어 브라우저’는 보안 전용 브라우저로 사용자가 이를 선택할 시 외부로부터 침입을 원천 차단하는 별도의 보안 브라우저가 독립적으로 작동한다. 또 이 기술은 인터넷 뱅킹 프로그램이 실행될 때 악성코드가 디버깅을 하거나 메모리에 접근하는 것을 방지함으로써 해킹 시도를 원척적으로 차단한다. 이를 통해 사용자의 계좌와 거래 정보 등을 불법적으로 유출·조작하려는 악의적인 공격으로부터 모든 거래과정을 보호해 안전한 인터넷 뱅킹 환경을 제공한다. 한편 AOS는 이번에 CC인증(EAL2 등급), 굿소프트웨어(GS인증)도 함께 획득했다. CC인증은 1999년 채택된 국제적 정보보호 제품 평가기준으로 정보보호 시스템 공통 평가기준에 의해 평가된다. GS인증은 국내 우수 품질의 소프트웨어에 부여된다. 안철수연구소는 이번 신기술에 대해 미국 특허를 출원 중에 있으며, 아시아 유럽 등 세계주요 지역 및 나라에 추가로 특허를 출원해 AOS를 세계 금융보안 시장에 전파한다는 계획이다. 김수연 기자 newsyouth@seoulntn.com

열다섯 살 고교생 해커가 수천 통의 문자를 한꺼번에 전송하는 신종 악성 프로그램을 개발해 경찰에 붙잡혔다. 서울 관악경찰서는 12일 인터넷 휴대전화 인증 서비스를 이용해 채팅 상대방의 휴대전화에 수천 통의 ‘문자폭탄’을 보낸 혐의로 고교 1년생 김모군을 불구속 입건했다. 김군은 지난 3월17일 새벽 4시께 인터넷 채팅 중 시비가 붙은 피해자 김모군(17)에게 자신이 개발한 ‘SMS 테러’ 프로그램을 이용, 약 2000통의 문자메시지를 한꺼번에 보내 휴대폰을 마비시킨 혐의를 받고 있다. 김군은 보안이 허술한 문자메시지 발송 사이트의 휴대전화 인증 서비스를 조작한 프로그램으로 ‘당신의 인증 번호는 XXXX입니다’라는 내용의 문자메시지를 1초 간격으로 전송했다. 또 상대방의 컴퓨터를 원격 제어하는 악성 프로그램 ‘넷봇’로 피해자의 컴퓨터를 조종하고 인터넷 검색 내역을 훔쳐본 혐의도 추가 됐다. 경찰은 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반을 한 김군이 해킹을 통해 금전적 이득을 취하지는 않고 단지 피해자를 괴롭히기 위해 이용했다는 것에 주목했다. 네티즌들도 “불굴의 김군, IT강국의 미래는 밝구나”, “그 좋은 머리를 범죄에 이용했다니 안타까울 따름”, “재능을 살려 백신 프로그램이나 보호 프로그램을 제작하렴”, “큰 피해가 없어서 다행입니다” 등 다채로운 소감을 남겼다. 사진 = 영화 ‘The Core’ 스틸컷 서울신문NTN 전설 인턴기자 legend@seoulntn.com 서울신문NTN 오늘의 주요뉴스 ▶ 아이유·박서희, 두산·넥센 시구대결…’깜찍vs섹시’ ▶ ’제빵왕 김탁구’ 스티커사진기 옥의티? 시대설정 논란 ▶ 룰라 김지현, 방송도중 깜짝 프러포즈 ▶ 김연아, 비밀트위터 개설? 이호석·조수훈 등 팔로워 ▶ 홍수현, VOS 최현준과 일일데이트 ‘포착’ ▶ 김부선, 4cm 자궁근종 발견...격려 메시지 줄이어 ▶ 김기수 폭탄 발언 "안선영, 마흔 때 미혼이면 책임져"

[서울신문NTN 김수연 기자] 안철수연구소는 최근 우리금융정보시스템(이하 우리FIS)과 우리은행의 ISO27001 인증 컨설팅을 수주했으며, 카드사의 컨설팅도 성공적으로 완료했다고 12일 밝혔다. 우리금융그룹내 IT서비스를 제공하고 있는 우리FIS는 ISO27001 인증을 획득한 바 있으며 오는 11월에는 은행권 전산 부문 최초로 전사 정보보호와 우리은행의 IT자산의 정보보호 분야에 대한 인증 컨설팅을 발주할 예정이다. 연구소 측은 우리FIS에서 범위를 확대한 ISO27001 인증을 획득한다는 것은 전사적으로 세계 최고 수준의 정보보호 관리체계를 보유하게 된다는 것을 의미한다고 설명했다. ISO27001은 국제규격의 정보보안에 관한 관리체계 인증으로 기업의 중요 정보나 고객 정보의 유출을 예방하는 정보보호 관리체계를 체계적이고도 효과적으로 구축 및 운영하는 기업만 받을 수 있다. ISO27001인증을 받으려면 정보보호 정책, 물리적 보안, 정보 접근 통제 등 정보보안 관련 11개 영역, 133개 항목에 대한 엄격한 심사와 검증을 통과해야 한다. 안철수연구소는 보안 위협 관리를 정형화하는 등 우리은행, 우리금융의 차세대 시스템에 대한 보안 수준이 국제 기준 이상으로 철저하게 관리될 수 있도록 정보보안 컨설팅을 담당했다. 안철수연구소 방인구 서비스사업본부장 상무는 “금융권에서 ISO27001 인증 획득에 관심이 집중되는 것은 금융기관의 정보보호 관리체계는 물론 전사적인 보안 마인드가 세계 최고 수준이라는 점에서 의미가 크다.”며 “안철수연구소는 독보적인 전문성으로 최고의 컨설팅을 제공하겠다.”고 말했다. 한편 안철수연구소는 정부 지정 정보보호컨설팅전문업체로서 최신 보안 정보를 바탕으로 개인정보보호 컨설팅, 정보보호안전진단 컨설팅, 모의해킹 컨설팅 등 총 13개의 서비스를 제공한다. 김수연 기자 newsyouth@seoulntn.com

국가정보원이 스마트폰이 보안에 취약하다면서 공무원에게 스마트폰으로 전자결재를 하는 것을 금지한 것으로 확인됐다. 경찰청은 11일 “국정원이 지난 4월 스마트폰으로 전자결재를 하거나 내부 전자우편을 열람하는 행위를 제한하라는 공문을 보내왔다.”고 밝혔다. 국정원은 스마트폰을 쓸 때 해킹을 당해 내부 자료가 유출되는 것을 막기 위해 각 부처에 이 같은 조치를 취한 것으로 알려졌다. 경찰 관계자는 “모든 국가기관이나 공공기관에 공문이 내려갔고 보완책을 마련할 때까지 제한하는 것으로 알고 있다.”면서 “다만 업무용 컴퓨터와 연결해 사용하는 것만 차단하고 있다.”고 전했다. 지난달 말 현재 국내 스마트폰 가입자 수는 286만명에 이르고 있으나 보안에 취약하다는 지적이 나오면서 독일 정부는 아이폰과 블랙베리폰을 이용한 사이버 공격에 대비, 공무원들에게 해당 기기 사용을 금지시키기도 했다. 김효섭기자 newworld@seoul.co.kr

블랙베리가 보안상의 허점으로 인해 각국 정부와 갈등을 빚고 있는 가운데 아이폰도 해킹 위험성이 높다는 주장이 제기되면서 스마트폰 보안 논란이 지구촌을 휩쓸고 있다. 프랑스 정부 소속 컴퓨터긴급대응센터(CERTA)는 5일(현지시간) 해커들이 미 애플사의 아이폰과 아이패드·아이팟에서 사용자 정보를 빼내거나 통화를 도청할 수 있다는 위험성을 경고하고 나섰다. AFP통신에 따르면 CERTA는 해커가 미리 악성코드를 심어둔 PDF 형식 파일을 사용자가 열람할 경우 악성코드가 아이폰에 침투할 수 있으며, 데이터 에러를 이용하면 다른 사용자의 아이폰에 대한 통제를 강화할 수도 있다고 밝혔다. 이 두 가지 약점을 결합하면 해커들은 통화와 메일 교환 내역을 포함한 “모든 정보에 접근할 수 있게 된다.”고 CERTA는 설명했다. 독일 연방정보보안청도 전날 성명을 통해 “애플 제품이 사용하는 운영체제(OS)인 iOS에서 PDF파일에 들어있는 악성코드를 통해 개인정보 유출은 물론 도청까지도 가능하다며 해킹 공격 가능성을 지적한 바 있다. 상대적으로 보안성이 우수하다는 평가를 받는 애플조차도 더이상 안전지대가 아니라는 점이 분명해진 셈이다. AFP통신은 프랑스 컴퓨터 보안회사 뷔팡 최고경영자 샤우키 베크라르가 “애플 제품은 일반적으로 매우 안전하지만 점점 더 해커들이 선호하는 목표물이 되고 있다.”고 말했다고 전했다. 캐나다 리서치인모션(RIM) 스마트폰인 블랙베리 역시 보안문제에 발목이 잡혀 있다. 최근 유럽연합(EU) 집행부는 보안문제를 이유로 블랙베리를 업무용 스마트폰으로 채택하지 않았다고 밝혔다. 이뿐 아니라 아랍에미리트연합(UAE)·사우디아라비아·중국·인도 등에서도 전세계 사용자가 주고받는 메시지가 캐나다에 있는 RIM 본사 서버를 경유하도록 한 것에 문제를 제기하고 있다. 한편 AP통신은 프랑스와 독일 정부 지적에 대해 애플이 문제점을 수정할 수 있는 소프트웨어를 소비자들에게 제공하겠다는 입장을 밝혔다고 보도했다. 다만 구체적인 제공 시점은 밝히지 않았다. 파문이 확산되자 미국과 캐나다 정부는 블랙베리 보안문제를 제기한 국가들과 RIM의 분쟁을 조정하겠다며 서둘러 중재에 나섰다. 강국진기자 betulo@seoul.co.kr

보안 논란이 일고 있는 아이폰은 물론 안드로이드폰도 스마트폰 해킹 위험에 노출돼 있기는 마찬가지다. 전문가들은 안드로이드폰이 스마트폰용 보안프로그램을 사용하지 않으면 아이폰보다 더 위험할 수 있다며 이용자들의 주의를 당부했다. ●월페이퍼, 사용자정보 그대로 유출 안드로이드폰을 판매하고 있는 SK텔레콤은 최근 공식 트위터를 통해 “월페이퍼라는 애플리케이션은 사용자들의 개인정보를 유출하는 스파이웨어”라며 아예 사용하지 말 것을 당부했다. 표면상으로는 휴대전화 배경화면을 바꿔주는 프로그램일 뿐이지만 이를 설치하면 이용자의 비밀번호는 물론 사용자의 전화번호, 인터넷 접속기록, 인증카드(SIM)번호, 문자메시지 등을 중국에 있는 서버로 빼내는 것으로 알려졌다. 앞서 지난 1월에는 미국 안드로이드 마켓에서 스마트폰 뱅킹처럼 보이는 ‘droid09’라는 애플리케이션이 등장해 이용자들의 개인정보와 금융정보를 해킹하기도 했다. 이처럼 안드로이드폰에서 해킹 등이 빈번히 발생하는 것은 폐쇄적인 아이폰과 달리 개방성을 장점으로 하는 오픈소스 방식이기 때문이다. 안드로이드폰은 누구에게나 건물의 설계도에 해당되는 소스코드를 전면적으로 공개한다. 내부 사정이 속속들이 드러나기 때문에 문제가 생길 가능성이 더 큰 셈이다. 또 다른 오픈소스 방식인 윈도모바일을 사용하는 스마트폰도 위험하기는 마찬가지. 최근 지식경제부는 윈도모바일을 사용한 스마트폰을 해킹해 통화내역을 엿들을 수 있다는 사실을 청와대 시연에서 확인하기도 했다. ●악성 어플 배포경로도 다양 또 안드로이드폰은 안드로이드 마켓은 물론 저장장치(SD카드)나 웹에서 직접 애플리케이션을 내려받을 수 있어 악성코드가 숨겨진 애플리케이션의 배포 경로가 다양한 것도 문제. 애플의 심의를 거친 앱스토어를 통해서만 거래가 가능한 아이폰에 비해 위험도가 높은 셈이다. 한 보안 전문가는 “PC에 백신프로그램을 설치해야 하는 것처럼 스마트폰에도 모바일용 백신프로그램을 설치한 뒤 사용하는 것이 중요하다.”고 조언했다. 김효섭기자 newworld@seoul.co.kr

최근 독일 정부와 보안 소프트웨어업체가 애플의 운영체제(OS)를 쓰는 아이폰과 아이패드에서 보안상 결함이 있다고 경고한 데 대해 전문가들은 해킹이나 도청 등의 문제가 실제 발생할 가능성이 있다고 우려했다. 전문가들은 스마트폰이 ‘손안의 PC’라고 불리는 만큼 PC의 보안 위협요소가 그대로 스마트폰에서 본격화될 것이라고 내다봤다. 아이폰에 비해 개방성이 큰 안드로이드폰은 ‘악질 해커’가 비집고 들어갈 가능성이 더 높다. 일부 보안업체는 도청방지 프로그램을 개발하고 있는가 하면 주요 이동통신사들은 스마트폰을 분실했을 때 내부 정보를 삭제하는 원격 제거장치를 내놓고 있다. 아이폰은 앱스토어 운영 방식이 폐쇄적이라 보안 수준이 다른 스마트폰에 비해 높다는 평가를 받았기 때문에 최근 ‘보안 위협’은 상대적으로 심각할 수밖에 없다. 운영체제의 허점을 드러낸 것이라 아이폰3GS를 신규 버전으로 업데이트한 사용자까지 피해를 볼 수 있다는 점에서 우려가 커지고 있다. 안철수연구소 관계자는 “일반 PC에서도 익스플로어의 취약점이 발견되면서 악성 코드가 침투할 가능성이 계속 발견되고 있다. 이는 아이폰도 다르지 않다.”고 말했다. 스마트폰은 PC보다 더 많은 개인정보를 담는다는 점에서 위험성이 크다는 설명이다. 애플이 자체적으로 앱을 심사해 승인하는 폐쇄성이 역으로 취약점을 동반한다는 분석도 있다. ‘하우리’의 최상명 사전대응팀장은 “유료 애플리케이션(응용 프로그램)을 공짜로 쓰기 위해 모바일 운영체제를 변경하는 ‘아이폰 탈옥(잠금장치 해제)’을 하게 되면 해킹에 고스란히 노출될 수 있다.”고 설명했다. 한 보안전문가는 “현재로선 공식 보안 업데이트가 없는 상태라 애플 측이 보안 패치를 내놓기 전까지는 누구든지 ‘순정(탈옥하지 않은) 아이폰’의 루트계정을 탈취당함으로써 도청은 물론 아이폰을 이용한 모든 행동을 제어할 수 있는 위험한 상황”이라고 걱정했다. 스마트폰 사용자가 늘면서 안전한 스마트폰 사용법도 중요해졌다. 국내 보안업체와 이동통신사들도 대책 마련에 분주하다. 안철수연구소 관계자는 “문자메시지나 메일로 수상한 웹사이트 주소를 받았을 경우 아이폰을 통해 접속하지 말고 검증되지 않은 웹사이트의 접근을 자제해야 한다.”고 당부했다. 아이폰 탈옥은 사용자 침해를 불러오기 때문에 각별한 주의가 필요하다. 와이파이나 블루투스 등 네트워크 서비스에 연결돼 있을 경우 스마트폰 정보가 유출될 가능성이 높기 때문에 필요할 때만 켜놓는 방법도 효과적이다. 스마트폰을 잃어버렸을 때 원격으로 주요 데이터를 삭제하는 서비스에 가입하는 것도 피해를 막는 방법이다. KT는 단말기에 보안 패치를 적용하고 와이파이 네트워크의 보안을 강화하고 있다. 국산 단말기의 경우 안철수 연구소 보안 패치를 기본 탑재한 뒤 출시하고 있다. 이후에는 사용자가 업데이트를 하면 된다. SK텔레콤은 ‘T스토어’로 유통되는 애플리케이션의 경우 사전 검증과 이력관리 프로그램을 구축해 운영할 예정이다. 연내에 ‘모바일 보안 관리센터’를 구축해 스마트폰 보안 위협에 대한 대응책을 세우기로 했다. 올 하반기에는 기업의 규모나 업종에 따라 스마트폰 보안 관리를 가능하게 하는 보안 솔루션을 제공할 방침이다. LG유플러스는 현재 출시한 스마트폰(OZ옴니아, 레일라) 등에 안철수연구소의 스마트폰 백신 ‘V3 모바일’을 기본으로 탑재했다. 이 백신은 휴대전화 내 개인정보 유출 등 문제를 일으키는 악성코드를 검출해 치료한다. 실시간 감시 기능을 갖고 있다. 구혜영·이두걸기자 koohy@seoul.co.kr

만약 4개월 동안 인터넷을 사용할 수 없게 된다면, 어떻게 될까? 상상만 해도 끔찍한 일이다. 아마도 사회 전체가 공황상태에 빠지게 될 것이다. 그런데, 최근 미국 상원 정보위원회가 유사시 미국 대통령에게 최대 120일까지 인터넷 망을 끊을 수 있는 권한을 부여하는 법안을 만장일치로 통과시켜 연방 상원 본회의에 상정했다. ‘국가 자산으로서의 사이버 공간 보호법(Protecting Cyberspace as a National Asset Act)’으로 명명된 이 법안은 무소속의 조지프 리버먼 의원을 비롯해 공화당 소속의 수전 콜린스 의원, 민주당의 톰 카퍼 의원 등이 주축이 되어 제안했다. 이들은 국가 안보를 위해 국가기관과 공공시설물을 대상으로 한 사이버 공격과 전쟁 등과 같은 유사시 미국 대통령이 사이버 보안을 위해 인터넷 단절 권한을 가지고 있어야 한다고 주장하고 있다. 일명 ‘인터넷 킬 스위치 법안’으로도 불리는 이 법안의 제안을 주도한 리버먼 의원은 언론매체에 기고한 글에서 현재 인터넷 망의 대부분이 민간 업체에 의해 소유·운영되고 있어 사이버 공간이 점점 더 위험한 상황에 노출되고 있다고 주장하고, “사이버 공간의 방어 능력 제고와 국가 안보를 위해 이 법안을 제안했다.”고 강조했다. 이 법안은 사이버상에 비상사태가 발생하면 미국 대통령이 인터넷 서비스 업체와 통신업체 등에 인터넷 서비스 중단을 명령할 수 있도록 허용하고 있다. 그리고 이같은 인터넷 서비스 중단 명령을 최장 120일 동안 할 수 있으며, 필요할 경우 인터넷 중단 기간을 연장할 수 있도록 했다. 한편, 미 의회의 이러한 움직임에 대해 미국의 기업과 시민단체를 포함한 민간단체들이 심각한 우려를 표명하며 정면으로 반대하고 나서 논란이 일고 있다. 미국의 민간단체들은 이 법안이 일반인들의 정보습득 권한과 표현의 자유를 심각하게 침해할 소지가 있고, 표현의 자유를 보장하고 있는 미국 수정헌법 1조에도 정면으로 위배된다고 주장하고 있다. 또한, 사이버상에서의 공격은 현재 민간업체들에서 지속적으로 개발하고 있는 사이버 공격과 해킹 방지, 그리고 퇴치를 위한 컴퓨터 보안 프로그램으로도 충분히 막을 수 있음에도 불구하고 굳이 국가 권력이 인터넷의 단절을 명령할 수 있도록 명문화하는 것은 거의 모든 사회기능이 인터넷과 연결되어 있는 상황에서 사회적으로 더 큰 혼란을 초래할 뿐만 아니라 국민들의 표현의 자유를 심각하게 해칠 수 있다고 지적했다. 현대사회에서 인터넷은 말로 표현할 수 없을 만큼 막대한 영향력을 가진 하나의 권력이다. 어떤 형태로든 막대한 영향력을 가지고 있는 인터넷의 사용과 관리가 특정권력이나 소수에 의해 장악되어 집중화되거나 통제되어서는 안 된다. 만약 특정 집단이나 권력기관이 인터넷을 통제하게 되면 국민들의 표현의 자유와 정보 접근의 자유는 심각한 침해를 당하게 된다. 따라서, 대통령에게 인터넷 단절을 명령할 수 있는 권한을 부여하고 있는 미 상원의 ‘국가 자산으로서의 사이버 공간 보호법’은 철회되어야 한다. 왜냐하면 표현의 자유를 최고의 가치로 내세우고 중국의 인터넷 검열을 맹렬히 비난했던 미국에 어울리지 않는 법안이기 때문이다.

[서울신문NTN 김수연 기자] 안철수연구소는 웹사이트 위협 모니터링 서비스인 ‘사이트케어’를 출시했다고 3일 밝혔다. ‘사이트케어’는 기업 및 기관 웹사이트의 해킹, 악성코드 유포, 주민번호 같은 개인정보 노출을 실시간 모니터링해 빠르게 조치하도록 경고해주는 서비스다. 안철수연구소는 “‘사이드케어’의 출시로 자사 웹사이트 및 사용자의 안전을 24시간 365일 유지할 수 있게 됐다”며 “해킹 대응, 민원 대응 비용을 최소화하고 대외 신뢰도를 향상할 수 있으며 국가적 문제인 좀비 PC 확산 방지에도 기여할 수 있다”고 전했다. ‘사이트케어’는 안철수연구소가 자체 개발한 웹 콘텐츠 진단 엔진인 ‘안티 멀사이트 엔진’과 1000만 명 이상의 사용자를 확보한 위험 사이트 차단 서비스 ‘사이트가드’를 기반으로 다양하고 지능적인 공격을 신속히 진단한다. 특히 웹 방화벽을 우회하는 공격, 동적인 스크립트를 통한 공격 등을 빠르게 진단하며, 주민번호 등 웹을 통해 노출되는 개인정보를 탐지하여 신속한 조치를 할 수 있다. 웹 방화벽이 탐지할 수 없는 난독화 스크립트 및 위협, 제휴 사이트 및 광고와 연계된 콘텐츠의 위협까지 진단한다는 것이 장점이다. 또한 PDF 리더, 플래쉬 플레이어 같은 웹 응용 프로그램의 취약점 공격까지 탐지 가능하다. 웹을 통해 사용자 모르게 다운로드 및 실행되는 프로그램도 탐지해 최신 기법의 해킹 공격을 모니터링할 수 있으며 웹 방화벽과 상호보완적으로 사용될 수 있다. 연구소는 ‘사이트케어’ 출시에 이어 자체 관제센터를 구축한 대형 고객을 위한 서버 제품인 ‘사이트케어 엔터프라이즈’와 중소기업 대상 서비스인 ‘사이트케어 라이브’를 차례로 출시할 예정이다. 한편 연구소 측이 집계한 바에 따르면 2008년 8월부터 올 상반기까지 국내 상위 300개 웹사이트 가운데 46%에 해당하는 138개 웹사이트가 악성코드를 유포한 이력이 있다. 또 올 상반기 위험 요소가 발견된 URL 건수는 2만8215건, 악성 URL에 접속한 사용자 수는 261만1383건에 달한다. 안철수연구소 김홍선 대표는 “사이트케어는 트러스가드 DPX에 이어 보안관제 서비스와 결합한 두 번째 사례”라며 “앞으로도 지능적 보안 위협에 입체적이고 효과적으로 대응할 수 있는 종합적인 해법을 제시해나갈 것”이라고 강조했다. 김수연 기자 newsyouth@seoulntn.com

[서울신문NTN 이규하 기자] 구글은 중국 본토의 웹 검색과 모바일 서비스, 온라인 광고 등 서비스가 전면 차단 된 것에 대해 ‘기술적 문제’라고 30일 밝혔다.로이터 통신 등 외신에 따르면 “구글은 이날 이메일 성명을 통해 28일 보고된 구글의 중국 사이트 서비스 차단은 기술적인 결함으로 보인다.”며 “중국 당국과 마찰로 인한 사실은 과대평가 된 것”이라고 보도했다.구글은 지난 28일 웹사이트 성명을 통해 구글 중국 웹에서 인터넷 검색과 광고, 모바일 서비스가 완전히 차단됐다고 밝힌 바 있다.이 사태를 두고 구글이 중국 당국의 검열과 해킹에 대한 문제로 생겨난 마찰로 중국 내 서비스 전면 차단으로 치달은 게 아니냐는 추측이 난무했었다.하지만 구글 측은 이메일 성명을 통해 기술적 문제로 서비스 차단 수위에 대해 과장된 판단 가능성을 우려하며 “기술적 결함으로 접속 가능 여부를 측정하는 기계의 오류”라고 전했다.한편 구글은 지난 3월 중국 정부의 검열에 반발해 한때 중국 사이트에서 검색서비스를 중단하고 홍콩 사이트로 우회해 서비스를 제공한 바 있다.이규하 기자 judi@seoulntn.com

[서울신문NTN 이규하 기자] 정부는 지난 29일 해외의 신원미상 해커가 다수의 국가·공공기관 직원들에게 당해 기관의 정보보호 담당자 명의로 해킹메일을 유포한 것을 탐지해 차단에 나섰다.방송통신위원회(이하 방통위)는 이 해킹메일은 영어로 “귀 기관의 사용자 계정(ID, PW)이 도용되고 있으니, 첨부파일을 실행 후 지시에 따라 조치하라.”는 내용을 담고 있다고 밝혔다.방통위는 현재 국가·공공기관에서는 해킹 메일을 탐지해 차단하고 있어 피해는 발생하지 않고 있다고 설명했다.또한 민간 분야에서도 동일한 수법의 해킹메일이 유포될 수 있는 만큼 해킹이 의심되는 메일 열람금지 및 즉시삭제 등을 통해 피해를 예방할 것을 당부했다.특히 악성코드 감염에 따른 개인정보 유출이나 DDoS공격을 예방하기 위해 ▲윈도우 보안패치 업데이트 ▲백신 프로그램 설치 및 최신 버전으로 업데이트 ▲웹하드·P2P 등에서 다운로드한 파일은 바이러스 검사 후 사용을 권고했다.이규하 기자 judi@seoulntn.com

[서울신문NTN 김수연 기자] 안철수연구소는 분석 2팀의 하동주 주임연구원과 한양대학교 학부생 안기찬(26, 전자전기) 씨가 세계 최대 보안컨퍼런스이자 해킹대회인 ‘데프콘 18 (Def Con)’에서 주제발표를 한다고 29일 밝혔다. 안철수연구소에 따르면 하동주 연구원과 안기찬 씨는 순수 국내해커로는 처음으로 29일부터 다음달 1일(이하 모두 현지시각)까지 나흘간 미국 라스베이거스에서 열리는 ‘데프콘 18(Def Con)’에서 주제발표를 가진다. 하 연구원과 안기찬 씨는 오는 31일 ‘임베디드 시스템 환경에서의 보안문제(Malware Migrating to Gaming Consoles: Embedded Device, an AntiVirus-free Safe Hideout for Malware)’라는 주제로 발표를 갖고 임베디드 시스템에서의 보안위협에 대한 심각성을 알리고 대응 방안을 제시할 예정이다. 연구소 측은 이번 발표에 대해 “국내 보안전문가와 학생이 함께 국내 최초로 세계 최대 보안 컨퍼런스에서 우리나라의 높은 보안 기술수준을 전세계에 알린다는 데 의미가 있다”고 전했다. 한편 이번 ‘데프콘 18’에서는 미국 보안업체인 웹센스(WebSense) 소속의 한국인 오정욱 씨도 오는 8월 1일 주제발표를 가질 예정이다. 김수연 기자 newsyouth@seoulntn.com

청와대는 28일 한·미 연합훈련이 벌어지는 가운데 북한의 사이버 공격 정보를 입수, 비상 경계근무에 돌입했다고 밝혔다. 김희정 대변인은 “국가사이버안전센터(NCSC)가 북한으로부터 사이버 공격정보를 입수했다.”면서 “청와대가 NCSC와 협조해 해킹 공격 발생 시 즉각 대응하도록 어제(27일)부터 비상경계근무를 하고 있다.”고 말했다. 김 대변인은 “특이 사항이 발생하면 공격 근원지로부터 인터넷 접속을 차단하고 서버에 장애가 생기면 즉시 복구할 것”이라고 밝혔다. 김성수기자 sskim@seoul.co.kr

[서울신문NTN 김수연 기자] SM 엔터테인먼트(이하 SM)가 소속사 연예인의 음원, 화보 불법 유출을 차단하기위해 새로운 해킹방지 시스템을 구축했다고 21일 밝혔다.SM은 IBM의 ‘ISS 프로벤티아 IDS’(이하 IDS) 솔루션을 채택해 웹사이트 해킹으로 인한 폐해를 원천봉쇄한다는 방침이다.연예 기획사 측에서 IDS(Instruction Detection System)를 도입한 사례는 이번이 처음이다. 특히 SM의 IDS 도입은 손담비, 자우림, FT아일랜드 등 여러 가수들의 음원이 불법 유출되는 사태가 빈번히 발생하고 있는 상황에서 이뤄진 것이라 업계의 눈길을 끌고 있다.SM 웹사이트에 유입되는 모든 네트워크 트래픽은 1차적으로 침입차단시스템 방화벽(Fire Wall)에서 걸러지고 이 시스템을 통과한 트래픽은 이번에 새로 구축한 침입탐지시스템(IDS)을 통해 악의적으로 조작된 데이터가 포함되었는지 여부를 검사 받는다.IBM관계자는 “IDS 도입으로 국내 뿐 아니라 해외에서 이뤄지는 해킹 시도도 차단할 수 있게 됐다.”며 “소속 연예인의 웹사이트나 팬카페 해킹으로 인한 음원, 화보 등의 콘텐츠를 유출을 효과적으로 막을 수 있을 것”이라고 말했다.앞서 SM은 지난해 보아의 정규 1집 타이틀 곡 ‘아이 디드 잇 포 러브’(I Did It For Love)의 음원 가운데 일부가 미국에서 먼저 유출되는 사태를 겪은 바 있다.SM엔터테인먼트 관계자는 “경쟁 미디어기업보다 뛰어난 보안 시스템을 갖춤으로써 각종 정보 유출로부터 소속 연예인과 팬을 보호하고 기업 이미지도 신장시킬 것으로 기대한다.”고 말했다.김수연 기자 newsyouth@seoulntn.com

SBS ‘뉴스추적’은 21일 오후 11시5분 ‘스마트폰의 불편한 진실’을 방송한다. 방송은 ‘손안의 PC’라 불리는 스마트폰의 휴대성과 다기능의 이면에 위험성이 도사리고 있다고 지적한다. 지난 4월 국내에서 윈도 모바일 기반의 스마트폰용 악성코드 ‘트레드다이얼’의 감염 사례가 확인된 데 이어, 앱스토어(온라인상의 모바일 콘텐츠 장터)인 ‘아이튠즈’가 해킹을 당하기도 했다. 제작진은 스마트폰에서 정보유출의 위험성이 커진다면 사상 최악의 해킹대란이 일어날 수 있다고 경고한다.