'분류 전체보기'에 해당되는 글 10/134

모바일 뱅킹 사용자 폭증, 보안 전략은 어떻게?
분실된 스마트폰을 주운 사람은 무슨 행동을 할까?
HTML5 웹소켓, 웹 시장의 대세될까
독을 품은 구글 드라이브…“당신 콘텐츠, 우리 맘대로 사용” 교묘한 약관
과도함 혹은 무지함…여전히 미흡한 ‘개인정보보호’ 실태
“나는 페이스북에 글 쓴적 없는데?”…악성 앱 극성
안랩, 그들이 APT를 막는 방법은?
“내가 죽으면 내 개인정보와 디지털콘텐츠는 어떻게 될까?”
미국 이통사 T모바일·AT&T 사용해보니
넘쳐나는 모바일 백신, 성능 1등은 누구?

모바일 뱅킹 사용자 폭증, 보안 전략은 어떻게?

보안 2012/05/07 08:48

모바일 뱅킹 사용자가 급격하게 증가하고 있는 상황에서 금융권의 고민이 높아지고 있다. 스마트폰의 성능이 PC수준까지 올라오면서 보안에 대한 위협도 동등하게 나타나고 있기 때문이다.

인터넷 뱅킹 이용자가 폭발적인 증가함에 따라 PC, 모바일 기반 뱅킹을 대상으로 한 공격이 크게 증가하고 있다는 경고가 잇따르고 있다. 최근 위변조된 모바일뱅킹 애플리케이션이 인터넷에 퍼져 실제 거래에 빈번하게 쓰이는 것으로 확인된 바 있다.

위조 및 변조된 애플리케이션으로 사용자 몰래 개인정보를 빼내는 등 피싱 도구로 악용될 수 있다는 점에서 대응책이 시급하지만 대다수 금융 기관은 마땅한 대책을 마련하지 못하고 있는 실정이다.

<관련기사 : 스마트뱅킹 앱 무결성 검증, 어떻게 해야할까>



그러나 대책은 확실히 필요할 것으로 보인다. 지난 25일 한국은행이 발표한 ‘2011년도 지급결제보고서'에 따르면 지난해 스마트폰 모바일 뱅킹 자금이체 금액은 3727억원으로 나타났다.

이는 전년보다 698.1% 확대된 것으로, 스마트폰 모바일뱅킹 서비스는 2009년 12월 시작돼 2010년엔 470억원 이용실적을 기록했다. 등록고객 수로 보면 2010년 261만명에서 지난해 1036만명으로 297% 증가했다.

특히 스마트폰을 기반한 모바일 뱅킹 등록 고객 수는 같은 기간 775만명(297%)이나 급증한 1036만명을 기록하며 처음으로 1000만명을 돌파했다.


모바일 뱅킹은 과거 텔레뱅킹, 인터넷 뱅킹으로 이어지는 트렌드가 된 셈이다. 모바일 뱅킹을 안전하게 이용할 수 있도록 금융기관에서는 마련해야할 대책은 무엇이 있을까.

IDC파이낸셜인사이트(IDC Financial Insights)는 2012년 모바일 OS의 취약성을 노리는 사이버 범죄가 대폭 증가할 것이며, 금융 사기를 노리는 정교한 공격 방법이 등장할 것으로 내다봤다.



이에 대응하기 위해 금융권의 보안부서는 이슈로 떠오르는 모바일이나 소셜 등 새로운 서비스를 고민해야한다. 또 고객들에게 해킹에 대한 위험성을 알리고 주의를 주는 것도 금융권이 신경써야할 부분이다. 특히 최근 금융사이트를 가장한 피싱사이트가 급증하고 있어 주의가 필요하다.



이미 피해 사례가 많은 피싱 사기는 물론, 문자 메시지를 이용한 새로운 해킹 방법인 스미싱(smishing, SMS+피싱) 등 해커가 개인 금융 데이터에 접근하고 이를 탈취하는 과정을 사용자가 인지하도록 지원해야 하는 것이다.

IDC에 따르면 금융 사기, 해킹에 대한 사용자 교육은 현재 미흡한 상태이므로, 피싱 및 스미싱 공격 시뮬레이션을 실시해 고객이 한 번쯤 의심하고 다시 봐야 할 요소는 어떤 것이 있으며, 이에 대한 대처방안을 고민해봐야 한다.

프란시스 F. 트렌틀리 아카마이 정부 서비스 수석 이사는 “금융 기관은 빠르고, 확장성이 뛰어나며, 중단 없이 보호 기능을 제공하는 솔루션을 통해 금융 서비스의 안정성을 확보해야한다”며 “애플리케이션 레이어단에서 볼 때 악의적인 요청은 차단하면서, 금융 서비스 특성상 대량의 트래픽 발생 시 특정한 보호 기능을 사용할 수 있는 웹 애플리케이션 방화벽이 필요하다”고 설명했다.

아카마이는 최근 멀티벡터 DDoS 및 애플리케이션 보안 공격을 방어하는 아카마이 코나 사이트 디펜더(Akamai Kona Site Defender)를 출시했다. 아카마이 코나 사이트 디펜더는 실시간 웹 보안 모니터링, 어댑티브 레이트 콘트롤(adaptive rate controls) 등의 기능들이 통합된 클라우드 기반의 단일 솔루션이다.

또 아카마이는 아카마이 인텔리전트 플랫폼(Akamai Intelligent Platform)을 기반으로 ‘중단없는’ 보호를 지원한다.

한편 모바일 뱅킹을 겨냥한 공격이 최대 위협으로 떠오른 원인에는 모바일 애플리케이션 취약점을 이용한 악성코드의 대량 유포 가능성도 한 몫하고 있다. 모바일 뱅킹 솔루션 사용은 지속적으로 늘어나고 있지만 상용화가 시작된 것은 최근이기 때문에 보안 통제와 고객의 이해가 아직 보조를 맞추지 못하고 있다.

특히 모바일 뱅킹 앱들 중 네이티브 앱이 아닌경우가 많다. 이런 경우 PC와 동일하게 HTTP를 사용하기 때문에 SSL/TCP와 같은 수준의 보안을 제공해야한다. 같은 이유로 인해 모바일상에서 주고받는 전문도 암호화해야한다는 주장도 나오고 있는 상황.

소프트포럼 신윤섭 팀장은 “금융권들이 사용하고 있는 앱들 중 상당수가 웹 앱으로 전문을 주고받을 때, 내용을 탈취당할 수 있다”며 “PC뿐 아니라 모바일에서도 무결성을 체크할 수 있는 플랫폼을 만들어야 한다”고 강조했다.
2012/05/07 08:48 2012/05/07 08:48
TAG , ,
트랙백 0, 댓글 0개가 달렸습니다

분실된 스마트폰을 주운 사람은 무슨 행동을 할까?

모바일 바라보기 2012/05/07 08:48


타인의 스마트폰을 습득한 사람들 대부분이 스마트폰에 설치된 개인정보, 애플리케이션에 접근한다는 조사결과가 나왔다.시만텍코리아는 지난 2일 ‘인터넷 보안 위협 보고서’ 발표와 함께 ‘스마트폰 허니스틱 프로젝트’를 함께 소개했다.

스마트폰 허니스틱 프로젝트는 스마트폰에 사용자가 어떤 행동을 하는지 분석할 수 있는 툴과 가상의 애플리케이션(앱), 개인정보들을 설치해 사용자들이 ‘길에서 주운’ 스마트폰을 어떻게 하는지를 조사하기 위한 것이다.

특히 시만텍은 민감한 정보에 대한 의도적인 접근을 측정하기 위한 요인도 준비했다. 인사급여, 기업이메일, 원격관리와 같은 앱 등이다. 앱에 접근할 수 있도록 아이디와 비밀번호가 담긴 파일에도 액세스 할 수 있도록 했다.


시만텍은 뉴욕, 워싱톤, LA, 샌프란시스코, 오타와, 캐나다 등 다양한 도시, 장소에 자신들이 준비해둔 스마트폰 50대를 두고 이를 습득한 사람들이 어떤 행동을 하는지 지켜봤다.

조사결과는 다소 충격적이었다.


분실된 스마트폰의 96%는 줍는 사람에 의해 접근됐다. 또한 기기의 89%는 개인정보와 관련된 앱 실행이 이뤄졌으며, 기기의 83%는 기업과 관련된 앱에 접근했다.

특히 눈여겨봐야할 것은 기기의 70%가 개인, 기업용 서비스에 직접적으로 접근해 정보를 열람했다는 점이고, 실험에 사용된 50대 중 25대는 끝내 돌아오지 못했다.

이러한 수치 이외에도, SNS나 개인이메일에 접근하려는 시도는 스마트폰 50대 중 30대, 온라인 뱅킹 앱에 접근하려는 시도는 50대 중 23대, 개인사진첩에 접근하려는 시도는 50대 중 35대에 달했다.

이 프로젝트의 결과는 스마트폰을 관리하지 않음으로 인해 개인이나 기업이 얼마나 큰 피해를 입을 수 있는지 여실히 보여주는 것이다. 특히 개인의 디바이스를 기업 업무에 활용하는 BYOD(Bring Your Device Own) 시스템 도입이 한참 논의되고 있는 지금 시점에는 더욱 위험하는 것을 알려주고 있다.

미국의 조사결과이지만 국내에서도 크게 다르지 않을 것으로 유추된다. 특히 최근 국내에서 스마트폰을 훔쳐 부품용이나 해외로 판매하는 범죄가 많이 일어나고 있다는 것도 자주 지적되고 있다.

상황이 이렇자 다수의 앱 개발업체들은 스마트폰 분실을 막기위한 모바일 앱들을 내놓고 있으나, 실질적으로 찾기는 매우 힘들다는 것이 업계의 의견이다. 범죄자들은 해당 앱들이 동작하지 못하도록 하는 방법들을 다량 보유하고 있기 때문이다.

일반 사용자들의 경우 스마트폰을 분실했을 경우 기기값에 대한 부담이 가장 크겠지만, 스마트폰을 업무에 직접 활용하는 사용자들은 안에 들어있는 데이터에 대한 부담이 가장 클 것이다.

이들을 위한 조언은 SIM카드 변경시 기기잠금이 되도록 설정하고, 평소에도 암호를 사용해 범죄자들이 접근하는 것을 최대한 방지해야한다. 심카드 잠금이나 암호잠금이 돼 있는 기기의 경우, 암호를 모르는 사람이 풀 수 있는 방법은 오직 공장초기화밖에 없기 때문이다.

아울러 모바일단말관리(MDM)과 같은 솔루션, 앱의 도입으로 분실시, 데이터를 초기화하거나 백업받을 수 있는 인프라를 구축하는 것도 좋은 방법이라고 볼 수 있다.
2012/05/07 08:48 2012/05/07 08:48
TAG , ,
트랙백 0, 댓글 0개가 달렸습니다

HTML5 웹소켓, 웹 시장의 대세될까

웹 2.0 2012/04/29 20:20

서버와 브라우저, 브라우저와 브라우저간 실시간 양방향 통신을 가능하게 하는 ‘웹소켓’이 최근 웹 시장에 화두로 떠오르고 있다. 미디어의 발달로 인해 웹에서 양방향통신을 요구하는 사용자와 기업이 늘어가고 있기 때문이다.

현재 웹 환경에서 가장 많이 사용되고 있는 HTTP(Hyper Text Transfer Protocol) 방식은 말 그대로 텍스트를 사용자에게 잘 보여주기 위한 통신규격이다. 사용자가 서버로 ‘정보(텍스트)를 보여달라’라고 요청(Request)하면 서버가 해당 정보를 클라이언트(웹브라우저)로 보내는 형태를 띄고 있다.

즉 HTTP 환경에서 웹브라우저는 요청을 보내고 받는 역할만 하게 된다. 이는 웹브라우저가 새로운 정보를 확인하기 위해서는 지속적으로 요청을 보내고 정보를 내려받는, 이른바 새로고침(Half Duprex, 단방향통신)이 필요하다는 의미와 동일하다.

그러나 인터넷서비스가 발전하면서 사용자들은 자신이 원하는 정보를 즉각, 서버에서 알아서 보내주기를 원하게 됐다. 새로운 정보가 나오면 자신에게 즉각 전송할 수 있는 기능과 자신이 필요로 할 때에 정보를 요청할 수 있는 기능, 동적표현 등의 기능이 그것이다.

이에 대해 가장 먼저 답을 내놓은 것은 썬마이크로시스템즈(Sunmicrosystems, 썬)다. 썬이 개발한 자바애플릿(JavaApplet)은 자바머신만 설치돼 있으면 ‘어느정도’의 양방향통신을 가능하도록 했다.

자바애플릿 등장이후, 어도비 플래시, MS 액티브X, 실버라이트 등이 등장했다. 이들은 과거 텍스트로만 이뤄졌던 웹 환경을 크게 성장시킨 원동력이었다. 비록 액티브X는 너무 과도한 사용으로 인해 국내에서 많은 비난을 받고 있지만.

그러나 이들의 가장 큰 문제점은 순수 웹환경이 아니라 별도의 애플리케이션을 웹브라우저에 설치해야 사용이 가능하다. 흔히 말하는 RIA, 플러그인이 필요하다는 의미다.

많은 사람들은 RIA 이후에 등장한 기술이 HTML5라고 알고 있지만, 사실은 에이젝스(Ajax)가 먼저다. 에이잭스는 ‘Non-RIA’방식이 웹에서 할 수 있는 모든것을 보여줬다. 검색엔진에서 추천검색어를 보여주는 것, 웹 지도에서 마우스 스크롤만으로 줌인, 줌아웃 할 수 있는 것등이 사용자가 가장 많이 경험할 수 있는 에이젝스 구현의 예다.

그러나 여기에도 한계는 있다. 에이젝스 자체는 여전히 단방향 통신이기때문에 ‘폴링(polling)’방식을 버릴 수 없었다는 것이다. 즉 서버가 새로운 정보를 습득하면 웹브라우저에 쏴주는 구조가 아니라 웹브라우저가 요청을 하면 서버가 내려주는 방식이라는 의미다. 물론 쿼리를 미리 분석해놨기 때문에 얼핏보면 양방향통신으로 보이긴 한다.



시대는 흐르면서 웹은 점점 더 고도화됐다. 플래시처럼 인터렉티브한 표현이 가능하면서 HTTP처럼 플러그인이 없어도 구동되고, 에이젝스처럼 양방향통신(처럼보이는)이 가능한 기술에 대한 니즈가 나왔다.

이 같은 고민은 HTML5가 등장하면서 한번에 해결됐다. HTML5의 꽃이라고도 불리는 웹소켓이 등장했기 때문이다.

웹소켓은 웹서버와 웹브라우저가 지속적으로 연결된 TCP를 통해 실시간으로 ‘양방향통신’을 할 수 있도록 만든 HTML5의 사양이다.

지금까지 설명했던 통신방법, 기술과 웹소켓의 가장 큰 차이는 프로토콜(접속방식)에 있다고 봐도 무방하다. 웹소켓의 프로토콜은 접속에 HTTP를 활용하지만 접속 이후의 통신은 웹소켓 자체의 프로토콜을 사용한다. 양방향통신이 가능하고 헤더(header)가 작기때문에 웹의 자원도 적게먹는 것도 특징 중 하나다.

양방향통신이 기본적인 기능이기때문에 오랫동안 통신을 유지할 때 가장 큰 위력을 발휘한다. 통신이 연결된 상태라면 언제든지 서버와 클라이언트간 데이터 송수신이 가능하다. 통신시에 지정되는 URL은 http://www.sample.com/과 같은 형식이 아니라 ws://www.sample.com/과 같은 형식이 되는 것도 특징 중 하나다.

모바일과 PC와의 연동도 가능하다. 모바일 웹브라우저에서 전송한 데이터를 PC에서 즉각 받아볼 수 있다.


HTML5 웹소켓 솔루션 업체 ‘카징(Kaazing)’의 존 펠로우스 최고기술책임자는 26일 방한해 “웹소켓을 사용하면 살이있는 웹을 구현할 수 있게 되며, 웹으로 모든 것을 할 수 있다”고 강조했다.

카징은 2007년에 설립된 웹소켓 솔루션 전문업체다. 카징이 보유한 솔루션은 웹소켓을 지원하지 않는 웹브라우저에서도 웹소켓을 사용할 수 있도록 가상화(에뮬레이트) 해주는 것이다.

실제 인터넷익스플로러, 안드로이드폰에서는 웹소켓을 사용할 수 없다. HTML5를 지원한다고 하더라도 웹소켓을 지원하지 않기 때문이다.

펠로우스는 “IE6를 비롯해 모든 브라우저에서 카징 웹소켓 솔루션을 사용할 수 있다”며 “애플의 에어플레이와 같은 기능이 웹소켓으로 구현할 수 있다. 웹에서의 N스크린이 가능하다는 의미”라고 말했다.

웹소켓은 네이티브 앱으로 구동되는 기존의 서비스를 웹으로도 구현할 수 있도록 한다. 홈트레이딩시스템, 경매장, 인터랙티브 SNS 등과 같은 서비스를 프로그램이 아닌 웹으로 구현할 수 있게 된다.

이는 웹소켓이 가진 양방향통신이라는 특성 때문이다. 서버에 새로운 데이터가 올라오면 사용자의 요청이 없어도 내려보낼 수 있고, 사용자의 요청이 들어오면 또 해당되는 데이터를 보여준다.

펠로우스는 “앞으로 웹은 ‘살아있는(Living)’ 존재가 될 것이다. 그 시대가 도래한다면 웹 소켓은 가장 주목받는 기술이 될 것”이라고 전했다.

기업들이 실시간 양방향 데이터 통신이 필요한 경우, 많은 수의 동시 접속자를 수용해야 하는 경우, 브라우저에서 TCP 기반의 통신으로 확장해야 하는 경우, 개발자에게 사용하기 쉬운 API가 필요할 경우, 클라우드 환경이나 웹을 넘어 SOA 로 확장해야 하는 경우에는 HTML5 웹소켓을 고려해보는 것도 좋을 것이다.
2012/04/29 20:20 2012/04/29 20:20
TAG , , ,
트랙백 0, 댓글 0개가 달렸습니다

독을 품은 구글 드라이브…“당신 콘텐츠, 우리 맘대로 사용” 교묘한 약관

포털의 뒷이야기 2012/04/25 19:42

구글은 24일(현지시각) 개인 클라우드 서비스인 ‘구글 드라이브(Google Drive)’를 선보였습니다.

구글 드라이브는 지난 2010년 개발자행사에서 ‘G드라이브’로 명명돼 잠시 등장하기도 했는데 당시에도 구글 닥스(Google Docs)기반이었고, 지금도 이는 변하지 않은 것 같습니다.

구글 드라이브는 사용자의 모든 파일을 보관할 수 있는 클라우드 스토리지입니다. 구글 닥스에서 지원하던 문서파일은 물론 사진, 동영상, 대용량 파일을 한 곳에 올려둘 수 있습니다.

이런 점에선 드롭박스(Dropbox), 슈가싱크(Sugarsync), 스카이드라이브(Skydrive)와 같은 클라우드 스토리지와 유사합니다.

한편으론 다른 구글 제품과 연동된다는 점에서는 애플의 아이클라우드(iCoud)와도 대결구도를 그릴 것으로 보입니다.

안드로이드폰을 사용하는 사람들은 이미 최소한 하나 이상의 구글 제품을 사용하고 있을 것입니다.

그렇기 때문에 이번 구글 드라이브는‘한번쯤 써볼까?’라는 호기심이 생길만 합니다. 저장공간은 많지 않지만 다른 구글 제품과 연동될뿐더러 모바일로도 접근할 수 있다는 점은 매우 매력적인 부분입니다.

그러나 여기에 반전이 숨어 있습니다.

구글 드라이브에 올린 내 콘텐츠를 구글이 저장, 복제, 수정, 배포 할 수 있는 권한을 가지고 있다는 사실입니다. 국내에서 이를 아는 사용자는 아마도 많지 않을 것으로 예상됩니다.

지난달 1일 개정된 구글 서비스 약관을 살펴보면 다음과 같은 항목을 발견할 수 있습니다.

When you upload or otherwise submit content to our Services, you give Google (and those we work with) a worldwide licence to use, host, store, reproduce, modify, create derivative works (such as those resulting from translations, adaptations or other changes that we make so that your content works better with our Services), communicate, publish, publicly perform, publicly display and distribute such content. The rights that you grant in this licence are for the limited purpose of operating, promoting and improving our Services, and to develop new ones. This licence continues even if you stop using our Services (for example, for a business listing that you have added to Google Maps).(이번에 새롭게 만들어진 약관)

이는 사용자가 구글 제품을 이용하면서 업로드하는 콘텐츠에 대한 권리를 구글 자신들도 갖겠다는 것입니다.

문제는 단순히 복제를 해두겠다는 것에 그치지 않고 수정, 2차적 저작물에 대한 권리까지 구글이 갖게 된다는 점입니다.

가령 제가 ‘구글 드라이브를 잘 활용할 수 있는 방법’이란 글을 구글 드라이브에 올릴 경우 구글은 해당 게시물을 다른 사람들에게 배포할 수 있습니다.

수정과 2차적 저작물에 대한 권리까지 가지고 있으므로 제 글을 수정해서 자신들의 매뉴얼로 만들 수도 있겠네요.

그렇다면 모든 클라우드 스토리지 서비스들이 이와 같은 약관을 가지고 있을까요?

그렇지 않습니다.

하나 하나 살펴보도록 하겠습니다.

드롭박스 : By using our Services you provide us with information, files, and folders that you submit to Dropbox (together, “your stuff”). You retain full ownership to your stuff. We don’t claim any ownership to any of it.

스카이드라이브 : Except for material that we license to you, we don't claim ownership of the content you provide on the service. Your content remains your content. We also don't control, verify, or endorse the content that you and others make available on the service.

슈가싱크 : We do not share your files stored on our servers with any third parties unless instructed by you and allowed by SugarSync. We will not disclose your files to anyone unless you instruct us to do so or a court orders us to do so. Your files are not considered personal information.

어떻습니까.

드롭박스, 스카이드라이브, 슈가싱크 등 대표적인 클라우드 스토리지 서비스 세곳 모두 ‘개인이 올린 파일은 개인의 소유로 우리는 절대 접근하지 않겠다’라고 표방하고 있습니다.

반면 구글은 ‘우리가 필요하다면 사용자들의 파일에 접근, 활용하겠다’라고 합니다. 물론 구글은 그 명분으로 '좀 더 나은 서비스를 위해서'라고 주장하고 있습니다.

최근 논란이 된 개인정보통합관리 정책의 이유와 똑같습니다.

'사용자에게 더 나은 서비스를 위해 개인의 프라이버시를 침해할 수 있다'는 것입니다. 이것이 과연 올바른 기업의 모습인지 의문스럽습니다. 만약 이같은 입장에 변화가 없다면 논란은 불가피해 보입니다.



2012/04/25 19:42 2012/04/25 19:42
TAG , , ,
트랙백 0, 댓글 7개가 달렸습니다

과도함 혹은 무지함…여전히 미흡한 ‘개인정보보호’ 실태

보안 2012/04/25 09:41


#1.서울 영등포구 당산동에 위치한 한 마트는 입구에서부터 내부 홀, 출구 등 장소에 모두 9개의 CCTV를 설치, 운영을 하고 있다. 그러나 어디에도 ‘CCTV 촬영 중’이라는 안내문구를 찾아볼 수 없었다. 마트 주인인 A씨는 “고객들의 안전과 물품분실을 방지하기 위해 CCTV를 설치해 운영하고 있다”며 “촬영 중 안내문구를 붙여야한다는 사실은 인지하고 있었으나 정확한 정보를 찾기가 힘들었다”고 전했다.

#2.서울 중구 무교동에 위치한 한 병원은 최근 메일링서비스를 위해 환자들에게 개인정보를 수집하고 있다. 그들이 수집하는 정보는 환자의 이메일주소, 전화번호 등이다. 개인정보보호법에 의거하면 개인정보를 수집할 때 환자들의 동의서를 받아야하지만 병원측은 이를 인지하지 못하고 있었다. 담당 의사는 “환자들에게 의학정보를 주기위한 것으로 진료의 일부라고 생각해 동의서를 받지 않았다”고 말했다.

개인정보보호법 시행으로 CCTV안내문 부착이 의무화됐지만 홍보 부족탓에 이를 지키지 않는 사업자가 많은 것으로 나타났다.

대기업이나 해당 기업의 계열사들은 상부지침으로 인해 ‘CCTV 촬영 중’ 안내문구를 업소내에 안내하고 있으나, 프렌차이즈가 아닌 개인사업자들은 여전히 이를 대부분 지키지 않고 있다.

실제 CCTV 운영 현황을 알아보기 위해 기자가 서울 무교동에 위치한 10개의 사업장을 방문한 결과 커피전문점, 편의점 등에는 해당 안내문구가 명확히 고지돼 있었다. 반면 사무실이 몰려있는 일부 빌딩에는 입구에 CCTV가 설치돼 있었으나 해당 사실을 고지하는 문구를 전혀 찾아볼 수 없었다.

서울 종로구 청진동에 위치한 모 편의점에는 2대의 CCTV를 운영하고 있었으며 ‘CCTV 촬영 중’ 안내문구를 부착했다. 그러나 해당 문구는 입구가 아닌 한쪽 구석에 부착돼 있었다. 모 편의점 사장은 “지난해 10월 본사로부터 ‘CCTV 촬영 중’ 안내문구를 설치하라는 지시를 받았다”며 “하지만 입구에 설치하는 것이고객들에게 불쾌감을 줄까봐 다소 구석진 곳에 부착했다”고 전했다.

이는 고객이 ‘자신이 촬영당한다’라는 인식을 받게되면 매출이 줄어들 수 있을 것이라는 우려감 때문인 것으로 보인다. 같은 이유로 찜질방, 사우나에서도 안내문구를 부착하지 않거나, 잘 보이지 않는 곳에 부착한다고 한다.


개인정보보호법 제24조(안내판의 설치 등)에 의하면 CCTV와 같은 영상정보처리기기를 설치, 운영하기 위해서는 해당 기기가 설치, 운영되고 있음을 정보주체가 쉽게 알아볼 수 있도록 설치해야한다.

다만, 건물 안에 여러 개의 기기를 설치하는 경우에는 출입구 등 잘 보이는 곳에 해당 시설 또는 장소 전체가 영상정보처리기기 설치지역임을 표시하는 안내판을 설치할 수 있다.

CCTV를 설치, 운영하는 사업자는 ▲CCTV설치 목적 및 장소 ▲촬영범위 및 시간 ▲관리책임자의 성명 또는 직책 및 연락처 ▲CCTV 수탁자 등의 명칭 및 연락처를 명시해 안내문구를 부착해야 한다.

개인정보가 집약된 의료기관에서도 개인정보보호법을 위반하고 있었다. 진료를 위한 최소한의 정보 이외에 불필요한 정보를 수집하는 것이다.

서울 중구 무교동에 위치한 한 병원은 진료증을 작성할 시, 이메일 주소를 기재하도록 하고 있다. 이메일 주소를 수집하는 이유는 병원소식, 의료정보와 같은 메일링 서비스를 위한 것이라고 한다. 그러나 해당 진료증에는 개인정보 수집 동의서는 찾아볼 수 없었다.

개인정보보호법에 따르면 본래의 서비스를 제공하기 위한 것이 아닌 다른 목적으로 개인정보를 수집하는 경우에는 개인정보 수집 동의서를 받아야한다. 병원소식, 의료정보와 같은 것은 진료와는 관계가 없는 추가적인 서비스 이므로 반드시 개인정보 수집 동의서를 받아야한다.

이와 관련 대한치과의사협회 관계자는 “환자의 개인정보를 진료목적으로만 수집하는 경우 별도의 개인정보 수집 동의서를 받을 필요가 없다”며 “그러나 그 이외의 행위에 대해서는 진료 목적을 벗어난 것으로 간주되므로 동의서를 받아야 한다”고 강조했다.

이어 “진료기록부 등 의료법에 명시된 보존기간이 지난 개인정보도 반드시 파기해야 한다”며 “연구의 목적으로 보존기간 이후에도 보관하고자 할 때는 반드시 환자로부터 동의가 필요하다”고 덧붙였다.


2012/04/25 09:41 2012/04/25 09:41
TAG , , ,
트랙백 0, 댓글 0개가 달렸습니다

“나는 페이스북에 글 쓴적 없는데?”…악성 앱 극성

inside 'Social' 2012/04/16 19:40


#페이스북에 가입만하고 눈팅(게시물을 작성하지않고 읽기만 하는 것)만 하는 A씨는 어느날 지인으로부터 문자한통을 받았다. “너 왜 자꾸 나한테 스팸성 메시지를 보내는거냐?” A씨는 깜짝 놀랬다. 자신은 다른 사용자에게 메시지를 보내는 방법조차 모르고 있기 때문이다.

#최근 페이스북 애플리케이션(앱)에 흥미를 가진 B씨는 수많은 앱을 설치해 사용했다. 그런데 언제부터인가 페이스북 로그인에 사용하는 메일 계정에 스팸 메일이 지속적으로 들어온 것을 확인할 수 있었다. 스팸 메일을 받기 싫어 특정 인터넷서비스에서만 메일 계정을 사용했던 B씨가 스팸 메일 폭탄을 떠안게 된 이유는 무엇일까?

페이스북이 지난 2008년 API를 공개한 이후 지금까지 등장한 앱들은 수만개에 이른다. 단순히 지인들의 생일을 알려주는 알림 앱에서부터 최근에는 HTML5 기반 게임도 등장했다.

그러나 언제부터인가 ‘좋은친구 기념장’, ‘이번주 내게 가장 많이 방문 누구’, ‘당신의 이름이 의미하는 것은?’ 등과 같은 정체불명의 앱들이 타임라인을 장식하고 있다.

조금만 신경써서 살펴보면 페이스북을 자주 이용하지 않는 사람임에도 불구하고 이와 같은 게시물을 지속적으로 올리고 있음을 발견할 수 있을 것이다.

이러한 앱들 중 상당수는 사용자의 개인정보를 가져가기 위해 개발된 앱들이다(위에서 언급한 앱들도 개인정보를 수집한다. 그러나 이를 왜 수집하는지 밝히진 않고 있다.). 이들 앱은 관계개선, 전생, 지인 친밀도와 같이 가볍게 즐길 수 있고 사용자의 흥미를 돋울 수 있는 소재를 사용하는 것이 가장 큰 특징이다.

문제는 해당 앱들은 설치시 사용자들이 페이스북에 등록한 개인정보와 권한을 요구하는데 대부분의 사용자들은 이에 대한 고민을 하지 않은 채 ‘허가’버튼을 누른다는 점이다.


앞서 언급한 앱들은 ▲기본정보에 접근 ▲내 사진에 접근 ▲Facebook에 나를 게시자로 하여 게시 ▲내 뉴스피드의 게시물에 접근과 같은 정보와 권한을 요구한다.

페이스북에 입력된 기본정보는 이름, 사진, 성별, 계정, 친구리스트 등이 해당된다. 내 사진에 접근한다는 것은 해당 앱이 내 사진첩에 사진을 올릴 수 있는 권한을 갖겠다는 의미다.

여기서 가장 주의해야하는 권한이 바로 ‘Facebook에 나를 게시자로 하여 게시’다. 이는 앱 제공자가 원할 때 사용자의 타임라인에 게시물을 올릴 수 있기 때문이다. 일부 앱은 메시지를 보내는 권한까지 요구하는 경우도 있다.

자신이 의도하지 않았지만 자신의 이름으로 스팸성 게시물이 타임라인을 도배하게 되는 이유가 바로 여기에 있다.

실제로 이 같은 권한을 이용해 악성코드를 확산시킨 사례도 존재한다. 특히나 수천명의 친구를 가진 사용자가 담벼락에 악성코드가 탑재된 게시물을 저도 모르는 사이에 공유될 경우 치명적인 결과를 초래할 수도 있다.

이와 같은 일은 페이스북이 API를 대폭 확장해나가면서 벌어졌다. 당초 페이스북은 사용자들의 정보를 수집하지 못하는 수준의 API만을 공개했다. 그러나 서드파티 앱 개발사들이 ‘수익성이 보이지 않는다’고 반발하자 API의 공개정도를 서서히 확대해 나간 것이다.

서드파티 앱 개발사들은 사용자들에게 앱을 제공하며 그와 동시에 사용자들의 개인정보를 수집해 활용한다. 로그인 메일 계정주소와 ‘좋아요’ 항목에 접근할 수 있는 권한을 갖게된다면 언제든 맞춤광고를 할 수 있게 된 것이다. 이것이 불법이라도 말이다.

페이스북의 앱은 구글 안드로이드와도 많이 닮았다. 사용자들에게 자유를 주지만 거기에 대한 책임도 사용자들에게 물리는 식이다.

페이스북 앱 마켓에는 API를 준수하는 앱들만 등록될 수 있다. 이말인즉슨 앞에서 이야기한 앱들은 모두 합법적인, 제대로 된 앱이라는 이야기다.

실제로 해당 앱들은 자신들이 어디까지의 권한을 요구하는지 친절하게 말해준다. 결국 사용자들이 알아서 잘 판단해야한다는 것이다.


제일 좋은 방법은 수상한 앱들을 사용하지 않는 것이다. 많은 사람이 사용한다고 해서 해당 앱이 안전하다고 보는 것도 위험한 발상이다.

굳이 앱을 사용하겠다면 설치해서 사용하고 불필요할 때 삭제하는 것이 자신의 정보를 지킬 수 있는 길이다.
2012/04/16 19:40 2012/04/16 19:40
TAG , ,
트랙백 0, 댓글 0개가 달렸습니다

안랩, 그들이 APT를 막는 방법은?

보안 2012/04/06 19:39
얼마 전까지만 해도 APT(지능형지속가능위협) 공격은 절대 막을 수 없을 것이라는 의견이 지배적이었다.

APT는 제로데이 공격과 사회공학적 기법 등 일반적인 해킹과는 다른 지능적인 공격 기법을 사용하기 때문이다. 최근 시장에 출시된 대부분의 보안 솔루션들은 샘플(시그니처) 기반이기 때문에 알려지지 않은 악성코드나 멀웨어를 잡아낼 수 없다는 것이 가장 큰 이유다.

그러나 상황이 변했다. 클라우드와 가상화 기술의 발달로 인해 악성코드로 의심되는 파일을 직접 구동시켜본 뒤 이를 격리·치료할 수 있는 솔루션이 나오기 시작했다.

실제 지난 2월 미국 샌프란시스코에서 열린 RSA 컨퍼런스(주석1)에서 국내 보안업체인 안랩을 비롯해 파이어아이, RSA 등의 업체들이 가상화 기반 APT 대응 솔루션을 선보여 눈길을 끌었다.

특히 안랩은 ‘세계 최초’ 라는 수식어를 붙여가며 자사의 APT 대응 솔루션인 ‘트러스와처2.0’을 대대적으로 홍보에 나섰다. 안랩이 이렇게 자랑할 수 있는 근거는 어디에 있을까.

안랩 김수암 팀장은 “17년동안 안티바이러스(백신) 프로그램을 개발하며 쌓인 노하우가 새로운 기술로 발전한 것”이라고 말했다.

사실 안랩이 백신을 개발한 것은 훨씬 더 이전의 일이다. 안랩은 1988년에 국내 최초로 백신을 개발했고, 1991년 우리의 귀에 익은 ‘백신 III(V3)’가 탄생하게 된 것이다.

김 팀장은 “국내에서 가장 오랫동안 백신 사업을 해왔기 때문에 가장 많은 파일형태를 가지고 있을뿐더러, 국내에 특화된 악성코드, 멀웨어 정보들도 가지고 있다. 이것이 안랩이 신기술을 개발할 수 있는 가장 큰 근거”라고 강조했다.

그런데 APT 공격은 앞서 소개했다시피 샘플 기반 솔루션에서는 전혀 찾아내지 못한다. 다양한 악성코드 샘플을 가지고 있다고 해서 APT 대응 솔루션을 개발할 수 있는 것과는 별개의 문제다.

기자가 이렇게 질문하자 김 팀장은 “악성코드로 동작하는 파일들은 각 특성값이 있다. 기존에 있던 파일들을 분석할 수 있는 것”이라며 “APT는 잘 알다시피 일반 바이러스처럼 대중을 상대로 하는 공격이 아니지만 악성코드 자체의 특성값을 가지고 있기 때문에 사전에 검열할 수 있는 엔진을 마련한다면 어느정도는 걸러낼 수 있다”고 설명했다.

이어 “일반적인 백신업체들은 악성코드 자체의 특성값을 잡아낼 수 있는 노하우나 엔진이 없다. 단순히 샘플기반 엔진이기 때문에 우리보다 한템포 늦을 수밖에 없다”고 자신감을 나타냈다.

김 팀장은 안랩이 개발한 가상화 기반 APT 대응 솔루션의 구동원리를 연이어 설명했다.

그는 “APT에 사용되는 파일, URL 등을 수집, 분석하는 엔진을 가지고 있다. 해커가 해킹을 할때 접속하는 C&C(Command & Control) 서버 리스트도 실시간으로 수집하고 있다. 이는 사람이 할 수 없는 일이다. 자동화된 분석기법(주석2)으로 클라우드 서버가 수행하는 것이다. 이 역시 안랩의 기술 중 하나”라며 “수집된 정보를 바탕으로 실시간 감시를 수행하고 의심이 가는 파일은 즉시 가상화 환경에서 구동시켜보고 문제가 있다면 격리, 치료 조치를 취하게 된다. 이것이 트러스와처2.0의 동작 프로세스”라고 전했다.

그렇다면 가상화, 행위기반 기술을 사용하는 모든 업체들은 동일한 성능을 나타낼까? 꼭 그렇지도 않다는 것이 김 팀장의 주장이다.

김 팀장은 “행위기반이라고 하면 가상머신에 파일을 집어넣었을때 시스템의 어떤 부위에 접속하는지 보는 것이 가장 일반적이다. 시스템 레지스트리에 접근하는지, 패킷에 접근하는지를 살펴보면 된다는 것”이라며 “그러나 문제는 이것이 100% 정확한 탐지는 아니라는 것이다. 인터넷뱅킹을 위해 설치하는 액티브X는 시스템의 레지스트리를 건드리게 된다. 이를 악성코드로 인지하게 되는 것은 오탐이다. 이를 방지할 수 있는 기술이 있어야 진짜 행위기반 APT 대응 솔루션이라고 할 수 있을 것”이라고 설명했다.


주석 1. RSA 컨퍼런스 = 매년 미국 샌프란시스코에서 열리는 정보보호 컨퍼런스. 올해로 21년째를 맞았으며 매년 300여개가 넘는 보안업체들이 참석한다.

주석 2. DICA(Dynamic Intelligent Contents Analysis) 기술 = 클라우드 기반 사전 분석 기술과 자체 가상 머신을 이용한 실제 악성 행위 분석 기술. DICA 기술은 워드, 아래아한글, PDF, 플래시 플레이어, 문서 및 스크립트 등의 비 실행 파일 포맷(non-executable format)의 리더나 편집기의 종류에 상관 없이 악성 문서 파일을 검출한다.
2012/04/06 19:39 2012/04/06 19:39
TAG , ,
트랙백 0, 댓글 0개가 달렸습니다

“내가 죽으면 내 개인정보와 디지털콘텐츠는 어떻게 될까?”

포털의 뒷이야기 2012/03/22 08:51


“잠시만 기다려보세요, 하드디스크는 삭제하셨습니까?(一寸 待てハードディスクは消したのか?)”

위 사진은 일본 혼슈(本州) 후쿠이(福井)현 사카이(坂井)시에 위치한 주상절리 절벽에 세워진 팻말입니다. 이곳은 관광명소이면서 동시에 자살명소이기도 한데요, 이 팻말이 세워진 이후 여기서 자살하는 사람이 크게 줄었다고 합니다.

자살률이 줄어든 이유로 많은 이들은 자살을 시도하는 사람들이 자신이 남겨둔 ‘특정 데이터’가 남들에게 공개되는 것을 극히 꺼리기 때문이라고 이야기합니다.

최근 국내에서도 이와 유사한 사례가 하나둘씩 등장하고 있습니다. 다만 ‘하드디스크’가 아니라 미니홈피, 블로그와 같은 인터넷 상의 데이터들이 문제가 되고 있습니다.

혹시 ‘내가 죽으면 내 미니홈피와 블로그는 어떻게 될까?’라는 고민을 해보신 분이 있으신가요? 아마 이러한 고민을 하신 분은 거의 없으리라 생각됩니다.

미니홈피와 블로그 등을 사용하고 있는 사람들은 대부분이 10~30대이고, 이들은 모두 ‘앞날이 창창한’ 사람들이기 때문에 ‘자기가 죽는다’ 혹은 ‘나는 곧 죽을 것이다’라는 것을 생각하기가 쉽지 않기 때문입니다.

그러나 최근 발생한 연예인들의 사망사고 등으로 그들이 남긴 디지털콘텐츠를 어떻게 관리해야할 것인가에 대한 논의가 나오고 있습니다.

이 문제를 ‘디지털유산’이라는 점과 ‘개인정보보호’라는 두가지 측면에서 살펴보려고 합니다.

우선 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)을 보겠습니다.

제24조의2(개인정보의 제공 동의 등) = 정보통신서비스 제공자 등이 제 3자에게 이용자의 개인정보를 제공하거나 개인정보의 취급을 위탁하는 경우에는 이용자의 동의를 받도록 하고, 누구든지 정보통신망에 의해 처리/보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해/도용 또는 누설할 수 없다.

이는 ‘김철수’라는 사람이 사망했을 경우 김철수씨의 직계가족이 김철수씨의 디지털콘텐츠를 확인하기 위해 정보통신서비스 제공자에게 개인정보(아이디/비밀번호)를 알려달라고 해도 이를 알려줄 수 없다는 의미입니다.

법률상으로는 당연한 이야기이긴 하지만, 반대로 생각하면 업체들은 본인, 즉 사망자의 의지를 알 수 없기 때문에 법률이 지정하는대로 하고 있다는 것입니다.

그런데 이런 경우가 있을 수 있습니다.

한 아마추어 작가가 자신의 블로그에 비공개로 창작물을 꾸준히 게시해왔고 이에 대한 이야기를 가족들에게 했습니다. 그 아마추어 작가는 언젠가 이 창작물을 종이책으로 만들어 지인들에게 나눠주겠다는 꿈도 있었습니다. 그런데 그 아마추어 작가가 불의의 사고로 사망했을 경우, 블로그에 담긴 콘텐츠는 영원히 빛을 볼 수 없게 됐습니다.

죽은 사람은 말이 없다지만, 정말 사자(死者)가 생전 자신의 모든 기록들을 공개하지 않고 삭제되기를 바랄까요? 사실 이는 매우 어려운 문제입니다.

이는 현행법상 ‘사자의 개인정보보호’에 관한 부분이 없기 때문입니다. 어떠한 경우라도 정보통신망법이 우선하기 때문에 개인정보보호라는 측면이 사자에게도 적용된 것이죠.

다만 ‘사자의 개인정보보호’에 관한 부분이 없기 때문에 포털사업자(정보통신사업자)들은 ‘사자의 디지털콘텐츠’를 이렇게 처리하고 있다고 합니다.

SK커뮤니케이션즈는 어떠한 일(유산상속자, 대리인 등)이 있어도 사자의 개인정보, 콘텐츠를 전달해주지 않습니다. 다만 사자의 미니홈피나 블로그를 제3자가 관리될 경우에는 이를 암묵적으로 인정하고 있으며, 직계가족이 해당 콘텐츠의 ‘삭제’를 원할 경우 이는 들어준다고 합니다.

NHN도 사자의 아이디 이용권한 및 비밀번호 제공은 원천적으로 제공하지 않습니다.

방통위를 통해 사망한 자녀의 아이디와 비번을 제공해주지 않는다는 민원이 발생하고 있음에도 불구하고 제공이 불가한 이유는 NHN이 네이버 아이디 사용 권리를 양도나 상속 불가능한 일신 전속적인 이용권한으로 보고 있기 때문이라고 합니다.

아울러 사망자 블로그 등 계정 서비스의 게시물 백업을 요청한 경우, 기본적으로는 제공이 불가하지만 공개 서비스인 경우에는 편의를 위해 백업 데이터를 제공한 후, 요청 시 해당 계정을 삭제처리하고 있습니다.

단, NHN이 제공하는 디지털유산은 웹상에 일반공개가 된 콘텐츠나, 사자의 프라이버시를 침해하지 않는 부분만 해당됩니다. 이른바, 미투데이나 블로그 공개 게시물이 이에 해당되겠군요.

이같은 사례는 국내에만 있는 것은 아닙니다. 페이스북, 트위터에서도 이와 유사한 민원이 많이 발생했지만 사자의 개인정보를 알려주는 일은 단 한번도 없었다고 하네요.

그러나 법조계에서는 앞으로 이와 관련된 소송이 많이 나타날 것이라고 보고 있습니다.

이와 관련 서울지방법원 모 부장판사는 “잊혀질권리, 사자의 디지털유산과 관련된 민원과 소가 급증하고 있는 추세이기 때문에 여기에 대해 법조계가 언급하기는 매우 조심스럽다”고 전했습니다.

개인정보보호와 사자의 디지털유산, 하루빨리 관련법안이 제정돼 혼란이 없어졌으면 하는 바람입니다.

2012/03/22 08:51 2012/03/22 08:51
TAG , ,
트랙백 0, 댓글 0개가 달렸습니다

미국 이통사 T모바일·AT&T 사용해보니

모바일 바라보기 2012/03/12 08:49

예전과 달리 요즘엔 해외여행을 가더라도 국내에서 쓰던 휴대전화를 그대로 사용할 수 있습니다.

최근에 나오는 휴대전화, 스마트폰이 모두 로밍이 되기 때문인데요, 불과 몇 년전까지만 하더라도 로밍이 되는 휴대전화가 많지 않아 공항에서 임대폰을 빌려서 나가는 경우가 많았습니다.

해외에서 자신의 휴대전화를 그대로 사용할 수 있도록 해주는 로밍은 매우 편리한 서비스이긴 하나 통신비가 어마어마하다는 단점이 있습니다. 요금구조가 ‘로밍비(통신비)=국내 이통사 통화료+해외 이통사 통화료+수수료’이기 때문입니다. 여기에다 데이터통신비까지 합하면 어마어마하게 금액은 높아집니다.

SK텔레콤의 경우 미국에서 한국으로 전화를 걸 경우 1분에 2200원, 미국에서 미국으로 걸 경우 1분에 1100원의 통화료가 부가됩니다. 데이터통신비는 100kb에 48원입니다.

자기 전화번호를 해외에서 그대로 사용할 수 있다고 해도 이 가격이면 매우 부담스러운 것이 사실입니다.

그런데 각 나라 통신사들이 판매하는 선불 심(유심, SIM) 카드를 구입해서 사용하면 통신비를 아낄 수 있습니다. 이번 포스팅에서는 해외에 출장, 여행을 갔을 때 통신비를 아낄 수 있는 방법을 소개하고자 합니다.

저는 최근 정보보호 컨퍼런스인 ‘RSA 2012’ 취재를 위해 미국 샌프란시스코에 방문했습니다. 샌프란시스코에 도착하자마자 제가 향한 곳은 마켓스트리트에 위치한 T모바일과 AT&T 대리점이었습니다.


T모바일은 ▲하루 1달러에 통화/문자 무제한 ▲하루 2달러에 통화/문자/모바일인터넷 무제한 ▲하루 3달러에 통화/문자/모바일인터넷(4G) 무제한 상품으로 구성돼 판매하고 있습니다. 다만 T모바일이 사용하는 4G 주파수는 국내 단말기에서 지원하지 않기 때문에 사용할 수 없습니다. (최근 뉴아이패드 주파수 대역 문제와 같은 건)


AT&T의 경우 선불 심카드를 구입해 활성화시키고, 충전을 해서 사용하는 방식을 쓰고 있습니다. 저는 실험을 위해 5달러짜리 선불 심카드를 구입하고 대리점에서 10달러를 충전했습니다.

가격은 T모바일이 더 싸지만, 모바일인터넷 속도는 AT&T가 더 빠릅니다. 이는 T모바일은 2G, AT&T는 3G의 대역폭을 사용하기 때문입니다.


T모바일에서 20달러를 지불하고 선불 심을 구입했습니다. 심을 활성화(Activation)하는데 3.7달러의 수수료가 붙게되며, 나머지 16.3달러는 제가 사용할 수 있는 선불금액(balance)입니다. 통신플랜은 하루 2달러짜리를 선택했습니다.

T모바일의 모바일인터넷은 매우 느립니다. 모바일메신저, 웹브라우징, 지도서비스를 사용하는 것에는 문제가 없으나, 유튜브와 같이 멀티미디어가 많은 서비스는 제대로 사용할 수 없었습니다.


대신 데이터가 무제한이기 때문에 구글 맵스같은 지도서비스를 계속 사용할 수 있어 여행이나 관광을 하기 매우 편리합니다.

미국지역 내 통화도 무제한입니다. 호텔, 식당예약과 같은 일반전화를 비롯해 휴대전화로 거는 것 역시 무제한이기 때문에 유용하게 사용할 수 있을 것 같습니다.

물론 자신의 전화번호가 따로 나오기 때문에 해당 번호를 국내에 있는 가족, 지인들에게 알려주면 연락이 끊기는 일도 없겠지요. 해당 번호는 활성화 이후 90일까지 유지됩니다.

반면 AT&T는 T모바일과 달리 데이터무제한 요금제를 사용하기 위해서는 한 달이상을 사용하겠다는 계약서를 제출해야합니다.

하루 2달러짜리 요금제가 있지만 데이터는 제외입니다. 다만 AT&T를 사용할 경우 한국과 문자는 무제한으로 주고받을 수 있습니다.

두 통신사의 통화품질은 국내 품질과 차이를 느끼지 못할 정도로 좋았으며 특히 T모바일의 모바일인터넷은 느리긴 하나 ‘먹통’이 되는 일은 없었습니다.

한편 버라이즌와이어리스, 스프린트는 국내 단말기가 지원하는 주파수를 사용하고 있지 않기 때문에 제외했습니다. 또한 해외 이통사 심을 사용하기 위해서는 단말기 국가 로크(Lock)를 반드시 해제하고 가야합니다.
2012/03/12 08:49 2012/03/12 08:49
TAG , , , ,
트랙백 0, 댓글 0개가 달렸습니다

넘쳐나는 모바일 백신, 성능 1등은 누구?

보안 2012/03/08 08:48
최근 안티바이러스(백신) 솔루션 성능 테스트기관인 AV-Test(www.av-test.org) 가 재밌는 보고서를 내놨습니다.

‘Anti-Malware solutions for Android(201203)’ 라는 제목의 이 보고서는 안드로이드용 백신 애플리케이션(앱) 41종의 성능을 테스트한 것입니다.

이들이 이번 조사를 실시한 이유는 안드로이드의 폭발적인 성장과 함께 악성 앱의 등장도 증가했기 때문이라고 합니다.


AV-Test는 다소 도발적인 단어를 사용해가며 보고서 도입부를 작성했는데, 일부만 살펴보면 다음과 같습니다.

‘지난 1년 동안 안드로이드의 인기는 크게 증가했지만 이는 악성 앱의 증가를 불러왔습니다. 이 악성 앱들은 구글이 아닌 다른 제작사로부터 만들어지고 있지만 구글 안드로이드 마켓은 이러한 앱들을 걸러내지 못합니다. 그러나 이런 상황에서도 사용자들은 이러한 구글 안드로이드 마켓을 신뢰할 수 밖에 없습니다 (하략)’

AV-Test는 솔루션 성능 테스트를 하기 이전에 지금까지 안드로이드 마켓에서 등장한 악성 코드 샘플의 동향을 공개했는데 그 수치는 매달 20% 이상 성장하고 있는 것으로 나타났습니다.

지난해부터 보안 업체들이 주장하는 ‘안드로이드 마켓에는 악성 앱들이 많다’라는 것을 다시 한번 증명하는 것이네요.

이와 관련해 외신들은 “지난해 구글이 안드로이드 마켓에서 악성 앱들을 걸러내는 구글 바운서를 도입했지만 여전히 악성 앱들은 활개치고 다닌다는 것을 여실없이 보여준다”고 보도하기도 했습니다.

AV-Test의 성능 테스트에 의하면 전세계에서 사용되는 41개의 모바일 백신 중에서 3분의 2가 샘플용 악성코드 중 90%를 식별하지 못했습니다. 또한 이중 절반은 탐지율이 40%에도 미치지 못했다고 합니다.

실제로 사용자들이 쓸만한 성능을 가진 앱은 7개에 불과했다는 것이 이 기관의 설명입니다.

테스트 결과를 공개합니다.


41개의 안드로이드 백신 앱 중 가장 좋은 성능(탐지율 90% 이상)을 나타낸 것은 ▲카스퍼스키 모바일 시큐리티(Kaspersky Mobile Security Lite) ▲F시큐어 모바일 시큐리티(F-Secure Mobile Security) 였습니다.

▲어베스트 프리 모바일 시큐리티(avast! Free Mobile Security) ▲닥터웹 안티바이러스 라이트(Dr.Web anti-virus Light) ▲룩아웃 시큐리티(Lookout Security & Antivirus) ▲조너 안티바이러스 프리(Zoner AntiVirus Free) ▲이카루스 모바일 시큐리티(IKARUS mobile.security LITE) 제품이 뒤를 이었습니다.

탐지율 90% 미만 제품에는 PC 백신 솔루션도 개발하고 있는 AVG, 노턴 등을 비롯해 중소기업 앱들이, 탐지율 65% 미만에는 맥아피가 있어 다소 놀라웠습니다.

이번 테스트에는 이스트소프트의 ‘알약 안드로이드’도 포함돼 있었는데, 성적은 좋지 않네요. 알약 안드로이드의 탐지율은 40%로 테스트됐습니다.

AV-Test는 보고서를 통해 “알약 안드로이드는 무료 모바일 백신으로 깔끔한 유저인터페이스를 가지고 있으나, 탐지율 개선이 필요한 것 같다”고 전했습니다.

백신의 탐지율은 어떤 것과도 바꿀 수 없는 수치입니다. 악성코드를 잡아내지 못하는 백신은 그 의미가 없다고 봐도 무방하죠.

다만 모바일에서는 상황이 다소 다를 수 있습니다. 국가별 마켓에서 접근 가능한 앱의 종류가 상이하고, 디바이스의 퍼포먼스를 고려해야하기 때문에 무겁게 만들지 못합니다. 가볍고 강력한 백신을 만드는게 모바일 백신 솔루션 업체들의 과제가 된 셈이죠.

국내 모바일 백신 앱 중 테스트에 참석한 것은 알약이 유일합니다. 향후 테스트에서는 알약의 성능 향상을 기대해봅니다.

보고서 전문은 AV-Test 사이트에서 볼 수 있습니다.
2012/03/08 08:48 2012/03/08 08:48
TAG , , , ,
트랙백 0, 댓글 0개가 달렸습니다