'분류 전체보기'에 해당되는 글 10/251

애플은 왜 사용자 검색정보와 위치정보를 수집하는가
[딜라이트닷넷 창간기획] 보안업계, 사물인터넷 보안솔루션 개발 박차
[딜라이트닷넷 창간기획] 사물인터넷 센서 통신을 보호하라
[딜라이트닷넷 창간기획] 사물인터넷 활성화, 선결과제는 보안
KISA, 모질라에 최상위인증서 탑재 재도전…웹트러스트 인증 갱신 추진
시만텍, 아이폰 사용자를 위한 3단계 보안 수칙 제시
스무살 청년 지란지교소프트…“직원 꿈 실현시켜주는 회사될 것”
와이파이 다이렉트의 기능 확대, 스마트홈 구축 확산으로 이어질까
안드로이드 기본 브라우저가 위험하다
“클라우드 보안, 계정 관리 및 접근 권한 강화가 핵심”
사용자 삽입 이미지

애플이 맥용 운영체제(OS) OSX10.10 요세미티부터 사용자의 검색쿼리와 위치정보 수집을 시작함에 따라 사용자들의 반발이 커지고 있다. 게다가 이는 옵트인을 적용해 사용자가 비활성화하기 전까진 기본설정으로 동작한다.

애플은 지난 16일(현지시각) OS 업데이트를 시작하며 새로운 개인정보보호 정책을 공지했다.

해당 내용에 따르면 맥 사용자가 스팟라이트를 사용해 검색할 경우 사용자가 선택한 스팟라이트 제안 및 관련 사용 내용 데이터가 애플에 전송된다. 맥에서 위치서비스를 켠 경우에는 스팟라이트에서 검색할 때 사용자의 위치 역시 애플에 전송된다.
사용자 삽입 이미지

일반적인 단어 및 문구는 애플에서 마이크로소프트 빙 검색엔진으로 전송돼 검색 결과를 보여주는 기능도 추가됐다.

애플은 이번 정책 업데이트 이유로 사용자에게 보다 정확한 검색결과를 제공하고 애플 제품과 서비스를 향상하는데 사용하기 위해서라고 밝혔다.

애플이 위치정보를 수집한 것은 이번이 처음은 아니다. 지난 2011년 4월 애플은 사용자 동의없이 사용자 아이폰의 위치정보를 수집한 것으로 확인돼 미국과 우리나라의 정책기관으로부터 조사를 받은 적이 있다. 이와 관련해 국내에서도 피해보상 소송이 걸리기도 했으나 재판부는 애플의 손을 들어줬다.

광고사업자들에게 있어 사용자의 검색정보와 위치정보는 아주 유용하게 쓰일 수 있다. 구글의 경우 일찍부터 로그인 한 사용자들의 검색정보를 바탕으로 광고를 노출해왔으며, 위치정보 역시 광고에 활용해 왔다.

애플이 검색정보와 위치정보를 수집하는 이유는 최근 그들의 비즈니스 모델 확대와도 연관이 깊어 보인다. 애플은 최근 아이폰으로 결제할 수 있는 시스템 애플 페이(Apple Pay)를 론칭한 바 있다. 애플 페이는 근거리무선통신(NFC)을 기반으로 동작하는 오프라인 결제시스템이다.

애플 페이의 생태계를 만들어가기 위해서는 사용자들에게 애플 페이의 가치를 부여할 수 있어야하고, 이를 위해서 사용자들이 관심을 가질만한 정보도 함께 노출해야 한다. 애플이 사용자 검색정보와 위치정보를 수집하는 이유도 애플 페이의 이같은 경험 향상을 위한 것으로 추정된다.

애플에 개인정보를 전송하지 않으려면 스팟라이트 제안을 비활성화해야 하며, 위치정보에서 스팟라이트 항목 역시 비활성화 해야한다.

해외에서는 애플에 검색정보를 전송하지 않으면서 스팟라이트의 모든 기능을 사용할 수 있는 비공식 패치도 등장했다.

via LANDON FULLER twitter


랜던 풀러(Landon Fuller) 플라우시블 랩스 대표는 ‘픽스맥OSX닷컴(https://fix-macosx.com)’을 열고 애플의 정보수집을 우회할 수 있는 패치를 내놨다. 그는 애플이 수집하는 정보가 익명화가 돼 있는지 확인해달라고 주장하고 있다.

풀러 대표는 “애플이 수집하는 정보가 익명화가 돼 있는지 확인하려고 했으나 DRM이 걸려있어 불가능하다. 애플은 페어플레이를 하라”고 지적했다.
2014/10/23 10:18 2014/10/23 10:18
사물인터넷(IoT)은 인터넷으로 연결된 사물들이 정보를 주고받으며 소통하는 지능형 기술·서비스로, 차세대 성장 분야로 급부상하고 있다.

미국의 시장조사기관 가트너는 IoT 시장 규모가 2020년에 1조9000억 달러(약 1950조원)에 달할 것으로 전망했다. 기업들을 비롯해 정부에서도 사물인터넷 시장에 대한 투자를 아끼지 않고 있다.

사물인터넷은 이미 빠르게 확산되고 있다. 각종 웨어러블 디바이스를 비롯해 자동차, 가전제품 등에도 사물인터넷이 적용되고 있다.

하지만 보안이 담보되지 않은 사물인터넷은 재앙이 될 수 있다.

각종 센서와 이를 서버로 연결해주는 통신의 보안이 취약하다면 민감한 개인정보가 외부로 유출될 수 있다. 또 가전제품이나 자동차의 경우 중간자공격(MITM)으로 인해 치명적인 문제를 발생할 수 있다.

<딜라이트닷넷>은 사물인터넷 보안에 대한 트렌드와 이를 보호하기 위한 선결 조건 등에 대해 알아보고 사물인터넷 보안의 발전 방향을 살펴볼 계획이다.

<글 싣는순>

①사물인터넷 활성화, 선결과제는 보안
②사물인터넷 센서 통신을 보호하라
③보안업계, 사물인터넷 보안솔루션 개발 박차

사용자 삽입 이미지

사물인터넷의 확산이 기대됨에 따라 국내 보안업체들의 발걸음도 빨라지고 있다.

사물인터넷 보안위협이 현실화되고 있으며, 이에 따른 신규 시장이 열림에 따라 이를 선점해 나가겠다는 의도로 해석할 수 있다.

국내에서는 시큐아이, 펜타시큐리티, 마크애니, KTB솔루션 등이 시장에 참전했다. 이들은 각각 웨어러블 방화벽이나 보안게이트웨이와 같은 사물인터넷 센서보호를 위한 하드웨어를 비롯해 사물인터넷을 위한 암호화 솔루션도 내놓고 있다.

이들은 공통적으로 사물간 통신의 보호에 초점을 잡았다.

먼저 시큐아이는 사물인터넷 보안플랫폼 ‘시큐아이 IoT보안플랫폼’을 선보였다. 이 플랫폼에는  ▲사물인터넷 정보유출·해킹 방지 하드웨어 모듈 ▲경량 사물인터넷 시스템에 최적화된 암호모듈 ▲사물인터넷 보안 게이트웨이 ▲사물인터넷 센서 등 4종의 제품을 개발했다.

시큐아이는 개발완료된 ‘시큐아이 IoT보안플랫폼’ 4종을 기반으로 이동통신사업자, M2M사업자와 스마트가전 제조업체를 대상으로 영업·마케팅을 본격 시작하고, 사물인터넷 관련 산·학·관 표준화 기관을 통해 국내 사물인터넷 보안 표준화에도 적극 참여할 계획이다.

펜타시큐리티는 자사의 강점인 DB암호화 솔루션을 사물인터넷용 데이터 암호화 솔루션으로 확장하고 있다.

이 회사는 올해 초부터 데이터암호화플랫폼(DEP) 개발에 착수했다. DEP는 DB암호화 솔루션의 적용 범위를 자동차와 같은 사물인터넷 기기로 확대시킬 수 있는 기반이다.

이미 공개키기반구조(PKI)를 활용해 차량통신 보호 기술을 개발한 펜타시큐리티는 앞으로 출시되는 사물인터넷 기기에 대한 보호를 위해 DEP의 적용 범위를 넓혀갈 계획이다.

마크애니는 사물인터넷을 지원할 수 있는 전자서명 기술을 개발했다. 우리나라에서 전자서명 기술이라고 하면 공인인증서를 많이 떠올린다. 공인인증서는 PKI 기술을 기반으로 부인방지를 위한 본인확인 기능과 전자서명 기능이 함께 탑재돼 있다.

또 개인신용정보와 같이 소량의 데이터를 PKI 기술로 전자서명하는 것은 쉽다. 하지만 사물인터넷 단말기들이 쏟아내는 수많은 데이터에 PKI 기술을 적용하는 것은 다른 문제다. 적합한 성능을 뽑아내기 위한 비용의 문제와 함께 키 관리도 무시할 수 없다.

전자서명은 사물인터넷 보안에 핵심적인 역할을 할 수 있다. 기기간 통신을 하기 전 전자서명의 여부를 판단해 수행 여부를 결정할 수 있기 때문이다. 인증을 통한 통신보안이 이뤄지므로 중간자공격과 같은 위협에도 안전하다.
사용자 삽입 이미지

KTB솔루션은 최근 웨어러블 방화벽 개발을 완료했다. 이 솔루션은 인가된 기기의 접근만을 허용하는 보안게이트웨이의 역할을 하게 된다.

웨어러블 방화벽은 게이트웨이로 구성돼 무선랜(Wi-Fi) 액세스포인트(AP) 기능 수행을 수행하게 된다. 이를 통해 기기와 서버간의 통신을 웨어러블 방화벽이 관장하게 되는데, 이 과정에 인증체계를 적용해 인가된 통신만 허용하게 했다.

이 회사 김태봉 대표는 “사물인터넷 보호의 핵심은 사물간 통신을 어떻게 보호할 것인가에 달렸다”고 강조했다.
2014/09/30 07:02 2014/09/30 07:02

사물인터넷(IoT)은 인터넷으로 연결된 사물들이 정보를 주고받으며 소통하는 지능형 기술·서비스로, 차세대 성장 분야로 급부상하고 있다.

미국의 시장조사기관 가트너는 IoT 시장 규모가 2020년에 1조9000억 달러(약 1950조원)에 달할 것으로 전망했다. 기업들을 비롯해 정부에서도 사물인터넷 시장에 대한 투자를 아끼지 않고 있다.

사물인터넷은 이미 빠르게 확산되고 있다. 각종 웨어러블 디바이스를 비롯해 자동차, 가전제품 등에도 사물인터넷이 적용되고 있다.

하지만 보안이 담보되지 않은 사물인터넷은 재앙이 될 수 있다.

각종 센서와 이를 서버로 연결해주는 통신의 보안이 취약하다면 민감한 개인정보가 외부로 유출될 수 있다. 또 가전제품이나 자동차의 경우 중간자공격(MITM)으로 인해 치명적인 문제를 발생할 수 있다.

<딜라이트닷넷>은 사물인터넷 보안에 대한 트렌드와 이를 보호하기 위한 선결 조건 등에 대해 알아보고 사물인터넷 보안의 발전 방향을 살펴볼 계획이다.

<글 싣는순>
①사물인터넷 활성화, 선결과제는 보안
②사물인터넷 센서 통신을 보호하라
③보안업계, 사물인터넷 보안솔루션 개발 박차


사용자 삽입 이미지


몇 년전 커피전문점에 있는 무선랜(Wi-Fi)를 쓰다가 인터넷뱅킹에서 쓰이는 금융정보가 모조리 털렸다는 기사가 화제가 된 적이 있다.

이는 서버와 클라이언트간의 데이터 전송을 중간에 가로채는 중간자공격(Man in the middle, MITM)에 대한 피해로 국내보단 해외에 보다 많은 피해가 발생되고 있는 것으로 조사됐다.

공격자는 사용자의 클라이언트(웹브라우저)와 서버(금융사 서버)사이에 끼어들어 사용자가 입력한 로그인 정보를 훔쳐내는 것뿐만 아니라 금액을 입력하는 폼 등의 양식을 변경해 웹브라우저에 표시한다.

사용자는 바른 화면이라고 생각해 정보를 입력하지만 실제로는 공격자의 계좌로 금전을 전송하게 되는 방식이다. 이러한 문제가 불거지자 금융사들은 모두 EV SSL, 일명 녹색창을 도입하며 대응책을 마련했다.

이러한 MITM이 사물인터넷에 가장 강력한 위협이 될 것으로 예측된다. 웹서비스와 달리 사물인터넷은 기기에 대한 보안을 해결할 수 있는 방법이 그리 많지 않기 때문이다.

최근 글로벌 시장에서 문제가 된 사물인터넷 보안사고를 살펴보자.

지난해 10월 러시아 국영방송은 국내 전자제품 도매상이 수입한 중국산 다리미 일부 제품에서 와이파이로 동작하는 해킹 장치가 발견됐다고 보도했다.

다리미 설명서에 공개된 무게와 실측 무게가 다르다는 것을 의심한 도매상이 이를 의심해 분해한 결과 발견된 것이다. 이 모듈은 공개된 와이파이 네트워크에 접속해 악성코드를 유포하는 것으로 조사됐다.

같은해 블랙햇에서 공개된 티비싱(TVshing=TV+Smishing)도 중간자공격을 사용한 공격기법이다. 티비싱은 TV와 셋톱박스의 통신을 가로채 원래 방송 자막 대신 공격자가 원하는 자막을 송출하는 기법이다. 즉, 통신판매 사업자가 송출하는 계좌번호 자막을 공격자의 계좌번호로 바꾼 뒤 전송하는 등의 공격이 가능해진다.

냉난방시스템 통제에 쓰이는 셋톱박스가 디도스(분산서비스 거부, DDoS) 공격에 악용된 사례가 국내에서도 발견됐다.

국내 A사는 올해 초 강력한 디도스 공격을 받았다. 한국인터넷진흥원(KISA)이 공격을 가하는 진원지를 탐색한 결과 충격적인 결과가 나타났다. 모 대학 네트워크에서 감행된 디도스 공격이 PC같은 단말이 아니라 냉난방통제시스템용 셋톱박스에서 이뤄졌기 때문이다. 공격자는 셋톱박스에 들어있는 네트워크타임프로토콜(NTP)의 취약점을 악용해 공격에 사용한 것으로 조사됐다.

앞서 일련의 사고 사례들은 공통적으로 사물인터넷 기기들에 대한 상호인증 과정이 없었기 때문에 발생한 것이다. 서버가 보안이 담보되지 않은 기기들과의 통신을 무조건적으로 허용했기 때문이다.

이러한 사고를 예방하기 위해서는 사물인터넷에 쓰이는 센서들에 대한 보호가 우선시 돼야 한다. 서버와 클라이언트와의 통신에서 가장 선두에 서 있는 것이 센서이기 때문이다.

중간자공격에 활용되는 것도 센서다. EV SSL과 같은 보호체계가 센서 생태계에는 없을 뿐더러, 소형화를 위해서 만들어진 센서에 보안에 대한 대책이 있을리 만무하기 때문이다.

이때문에 최근에는 초소형 방화벽이나 침입방지시스템이 국내외 업체들로부터 나오고 있다. 센서를 보호하는 것이 사물인터넷 보안을 위한 최선의 방침이란 것을 인지하게 된 것이다.

보안업계 관계자는 “사물인터넷 보안에서 가장 중요한 것이 센서를 보호하는 것”이라며 “이를 위해서는 게이트웨이를 먼저 보호해야 한다. 그 전까지는 대안이 없다”고 말했다.
2014/09/30 07:01 2014/09/30 07:01
사물인터넷(IoT)은 인터넷으로 연결된 사물들이 정보를 주고받으며 소통하는 지능형 기술·서비스로, 차세대 성장 분야로 급부상하고 있다.

미국의 시장조사기관 가트너는 IoT 시장 규모가 2020년에 1조9000억 달러(약 1950조원)에 달할 것으로 전망했다. 기업들을 비롯해 정부에서도 사물인터넷 시장에 대한 투자를 아끼지 않고 있다.

사물인터넷은 이미 빠르게 확산되고 있다. 각종 웨어러블 디바이스를 비롯해 자동차, 가전제품 등에도 사물인터넷이 적용되고 있다.

하지만 보안이 담보되지 않은 사물인터넷은 재앙이 될 수 있다.

각종 센서와 이를 서버로 연결해주는 통신의 보안이 취약하다면 민감한 개인정보가 외부로 유출될 수 있다. 또 가전제품이나 자동차의 경우 중간자공격(MITM)으로 인해 치명적인 문제를 발생할 수 있다.

<딜라이트닷넷>은 사물인터넷 보안에 대한 트렌드와 이를 보호하기 위한 선결 조건 등에 대해 알아보고 사물인터넷 보안의 발전 방향을 살펴볼 계획이다.

<글 싣는순>
①사물인터넷 활성화, 선결과제는 보안
②사물인터넷 센서 통신을 보호하라
③보안업계, 사물인터넷 보안솔루션 개발 박차

사용자 삽입 이미지

현재 글로벌 IT시장은 사물인터넷(IoT)과 같이 새로운 디지털 비즈니스에 주목하고 있다. 가트너 등 시장조사 업체들은 오는 2020년에는 500억개의 사물(물건)이 서로 연결되는 세상이 올 것으로 전망하고 있다.

애플, 구글, 삼성전자 등 주요 글로벌IT기업들도 사물인터넷에 초점을 잡고 다양한 제품과 서비스를 속속 출시하고 있다.

하지만 해커 입장에서 사물인터넷은 너무나도 맛있는 먹잇감이 될 수 있다. 인터넷에 연결되는 사물이 많아지고 이에 대한 관문도 함께 열려있기 때문이다.

가령 자동차와 자동차간 통신이 이뤄질 경우 이 통신이 허위일 경우 발생할 위험, 또 관제센터에서 잘못된 센서 정보를 수집해 운전 중인 자동차의 에어백을 터뜨릴 경우 등의 사고를 예측할 수 있다.

최근 1년간 사물인터넷을 통해 발생한 보안사고들을 살펴보자.

먼저 지난해 보안카메라 전문업체 트렌드넷이 미국 연방통상위원회(FTC)로부터 제재를 받는 사건이 발생했다. 트렌드넷의 유아용 CCTV가 보안에 취약하다는 지적이 나왔기 때문이다.

이 회사는 제품에 보안상 문제가 없다고 주장했으나 실제 조사결과 소프트웨어의 결함으로 인해 인터넷 주소만 알면 누구든지 보안을 우회해 온라인으로 영상과 음성을 도감청할 수 있는 것으로 나타났다.

실제로 FTC 조사결과 인터넷 상에서 약 700개의 CCTV에서 촬영 중인 실시간 영상링크가 유포되고 있었으며, 유출된 영상에는 곤히 잠든 아기의 모습부터 뛰노는 아이들, 그리고 어른들의 일상적인 생활까지 고객 수백명의 사생활이 모두 담겨 있었다.

주목해야 할 부분은 이 회사의 CCTV가 악성코드에 감염되거나 해킹을 당한 것이 아니고, 단순히 방법만 안다면 누구나 쉽게 장치에 접근할 수 있다는 취약점이 있었을 뿐이라는 점이다.

또 지난해 10월에는 인터넷 기반 장치를 검색할 수 있는 ‘쇼단(Shodan)’이라는 검색 엔진이 처음으로 등장했다.
이를 사용하면 난방 제어시스템과 정수 처리장, 자동차, 신호등, 태내 심장 모니터, 발전소 제어장치와 같은 다양한 디바이스를 찾아낼 수 있다.

이 장치를 통해 검색할 수 있다고 해서 해당 디바이스가 보안에 취약하다고 할 수는 없지만, 다른 취약점을 악용해서 공격하고자 하는 해커로 하여금 디바이스를 찾아내는 작업을 수월하게 해 줄 수 있다.

이는 사물인터넷이 빠르게 도입되고 있는만큼 새로운 보안 위협이 대두되고 있음을 시사한다. 특히 네트워크에 연결되어 있는 자동차, TV, 냉장고와 같은 주요 사물인터넷 기기가 보안 위협에 노출돼 있는 등 위협이 실제화되고 있어 앞으로 사이버범죄자에게 봇으로 악용될 수 있을 것으로 보고 있다.


제품의 기능과 서비스가 아무리 좋더라도 개인정보유출과 같은 보안사고가 발생한다면 성공하기는 불가능하다. 사물인터넷의 활성화는 반드시 보안문제를 해결한 뒤에야 가능할 것이다.
2014/09/30 07:00 2014/09/30 07:00
사용자 삽입 이미지
한국인터넷진흥원(KISA)이 웹트러스트(WebTrust) 인증 갱신과 CA브라우저포럼 가입을 추진한다. 이를 통해 KISA는 새로운 웹보안 기술의 빠른 도입과 모질라 파이어폭스에 최상위인증서(root CA) 탑재가 가능해질 것으로 기대하고 있다.


25일 KISA는 ‘2014년 웹트러스트 인증’ 용역 사업을 발주하고 입찰 등록을 시작했다. 웹트러스트는 기업이나 기관의 개인정보보호, 트랜잭션 무결성 등 전반적인 보안상태를 점검하고, 그 상태가 일정 수준 이상일 경우 부여되는 인증이다. 이를 획득할 경우 신뢰성 확보와 더불러 다양한 인증서 발급사업을 추진할 수 있다.

임진수 KISA 전자인증팀장은 “이는 올해 초 받은 웹트러스트 인증을 갱신함과 동시에 모질라에 최상위인증서를 탑재를 지원하는 사업”이라며 “올초 웹트러스트 인증을 받았으나 다소 미비한 부분이 있어 모질라와 이견이 있었다. 이번 용역 사업을 통해 해소할 수 있을 것으로 기대한다”고 설명했다.

KISA의 웹트러스트 인증 획득 목적은 최상위인증서를 모질라 파이어폭스에서 사용할 수 있도록 하기 위해서다. 모질라는 웹트러스트 인증을 받은 공인인증기관의 인증서만 탑재해주고 있다. 신뢰할 수 있는 공인인증기관의 인증서만 탑재해야 사용자들의 피해가 줄어들 것이라고 판단했기 때문이다.

아직까지 KISA의 최상위인증서가 모질라 파이어폭스에 탑재되지 않은 이유는 KISA 하위 공인인증기관들이 웹트러스트 인증을 받지 않았기 때문으로 알려졌다.

현재 국내에서 공인인증사업을 진행하는 한국정보인증, 한국전자인증, 금융결제원, 한국증권전산, 한국전산원, 한국무역정보통신 중 웹트러스트 인증을 받은 기관은 한국전자인증뿐이다.

코모도(Comodo), 베리사인(Verisign) 등과 같은 해외 인증기관들은 하위 인증기관을 따로 두고있지 않다. 자신들이 인증서와 같은 모든 업무를 관장하기 때문에 탑재에도 문제가 없다.

이와 관련 임 팀장은 “최상위인증기관에 대한 검증 등을 통해 당초 목적을 달성할 수 있으리라 본다”고 전했다.

또 KISA는 CA브라우저포럼 가입도 추진한다. KISA는 CA브라우저포럼 가입으로 선도적인 웹보안 기술 도입을 앞당긴다는 계획이다.

한편 CA브라우저포럼은 브라우저 개발사와 CA기관, 보안업체 등을 회원으로 두고 있는 모임으로 EV SSL과 같은 웹보안 기술의 개발과 표준화를 추진하고 있다.
2014/09/25 10:03 2014/09/25 10:03
사용자 삽입 이미지
시만텍(www.symantec.co.kr)은 아이폰 사용자들의 안전한 스마트폰 사용을 위한 3단계 보안수칙을 발표했다.


최근 할리우드 유명 여배우의 사생활 사진이 SNS를 통해 확산되는 사건이 발생함에 따라 애플 아이클라우드(iCloud)의 보안에 대해 걱정을 하는 사람들이 많아졌다. 이에 시만텍은 애플 계정과 기기를 사용하는 사람이라면 누구나 활용할 수 있는 쉽고 간단한 보안 수칙을 제시했다.

1단계: 터치 아이디 지문 인식 활성화

아이폰을 설정할 때 반드시 터치아이디(ID) 기능을 활성화한다. 아이폰 5S와 아이폰 6, 아이폰 6플러스에 내장돼 있는 터치아이디는 지문 인식을 통해 사용자를 인증한다. 이를 통해 아이폰 잠금을 해제하거나, 아이튠즈와 앱스토어, 애플페이에서 제품 및 서비스의 구매가 가능하다.

초기 아이폰 설정 시 터치아이디를 활성화하지 않았더라도, 이후 설정 메뉴에서 해당 기능을 이용할 수 있다.

최신 아이폰이 아니더라도 반드시 기기에 비밀번호(Passcode)를 설정한다. 시만텍 ‘스마트폰 허니 스틱(Honey Stick) 프로젝트’에서 강조했듯이, 비밀번호를 설정해야 아이폰을 분실했거나 도난 당했을 때 다른 사람이 쉽게 잠금을 해제할 수 없다.

참고기사 : 분실된 스마트폰을 주운 사람은 무슨 행동을 할까?


스마트폰 허니 스틱 프로젝트는 시만텍이 가상의 기업 및 개인 데이터를 저장한 스마트폰 50여개를 의도적으로 분실한 후, 이를 추적한 실험이다. 실험 결과, 습득자의 96%가 스마트폰에 저장된 데이터나 앱에 접속을 시도했으며, 분실된 스마트폰의 50%는 되찾지 못한 것으로 나타났다.
 
2단계: 강력하고 복잡한 애플 아이디 비밀번호 사용

아이튠즈와 애플의 앱스토어에서 구매 시 애플 아이디가 사용된다. 또한 아이폰과 아이패드에서 아이클라우드 기능을 사용할 때에도 아이디가 필요하다. 따라서 강력한 비밀번호를 사용하는 것이 매우 중요하다.

애플 아이디를 만들기 위한 기본 비밀번호 생성 조건으로 소문자와 대문자 그리고 숫자가 각각 한 자리 이상 포함돼야 하며, 최소 8자 이상의 문자로 이루어져야 한다. 비밀번호 구성 시 최소 8자 이상으로 구성하고, 무작위로 문자를 사용함으로써 보안을 강화할 수 있다.

예를 들어 ‘P@ssw0rd’와 같이 문자 대신 기호를 사용한 패스워드는 최소 보안 조건은 충족시킬 수 있지만 여전히 취약한 반면, ‘d*&Z0jWv7Y2E$e’와 같은 알파벳과 숫자, 특수 문자를 조합한 비밀번호는 더욱 강력하다.

또한 다양한 사이트와 서비스에 동일한 비밀번호를 사용하는 것은 매우 위험하다. 현관문과 자동차에 동일한 키를 사용하지 않는 것처럼 계정마다 다른 비밀번호를 사용해야 한다.

하지만, 사용자 입장에서 강력하고 복잡한 비밀번호를 생성하고 기억하는 것은 어려운 일이다. 이런 경우에는 노턴 아이디 세이프(Norton 아이디entity Safe), 라스트패스(LastPass), 1패스워드(1Password) 등과 같은 비밀번호 관리 프로그램을 사용하는 것도 좋은 방법이다.

3단계: 이중 인증 사용

비밀번호 사용보다 강력한 보안 수준을 위해서 시만텍은 이중 인증 사용을 권고한다. 공격자들은 애플 아이디와 비밀번호를 탈취하기 위해 일반적으로 피싱 사기수법으로 애플 기기 사용자를 공격한다. 하지만 이중 인증을 사용함으로써 공격자가 동일한 사용자 이름과 비밀번호로 애플 아이디와 아이클라우드 데이터에 접근하지 못하도록 보호해준다.

이중 인증은 애플 아이디를 보호하기 위한 추가적인 보안 단계이다. 기본적으로 계정에 로그인하고 수정하기 위해 단순한 비밀번호 외에도 피셔(Phisher)들이 접근할 수 없는 신용 단말기로 전송되는 인증 번호가 필요하다.

이중 인증을 사용하려면 애플 아이디로 로그인한 후 암호 설정(Password and Security option)에서 스마트폰이나 태블릿을 신용 단말기로 등록한다. 이때 반드시 애플 암호 키 복구(Recovery key)를 준비해둬 스마트폰의 분실 또는 즉각적인 접근이 불가능하거나, 계정에 로그인이 필요한 경우에 대비해야 한다.

2014/09/23 13:32 2014/09/23 13:32
지란지교소프트 20주년 행사

지란지교소프트 20주년 행사 via http://blog.jiran.com/670


“지란지교소프트가 창립 20주년을 맞이했습니다. 20년전의 그 열정과 그 마음 그대로 ‘다시 시작’하려고 합니다. 직원들의 꿈을 실현시켜주는 ‘드림플랫폼’을 만들어보겠습니다.”

오치영 지란지교소프트 대표

오치영 지란지교소프트 대표

오치영 지란지교소프트 대표는 22일 대치동 사옥에서 열린 ‘땡스디너’에서 드림플랫폼 만들겠다고 강조했다.


지란지교소프트는 1994년 윈도 통신프로그램 ‘잠들지않는시간’으로 창업한 뒤, 개인정보보호 솔루션, 교육기관용 솔루션, 자녀보호 솔루션, 정보보호 솔루션 등을 개발해온 1세대 소프트웨어 벤처기업이다. 법인설립은 1996년에 이뤄졌다.

현재 지란지교소프트는 지란지교시큐리티, 지란지교에스앤씨, 지란소프트재팬 등의 자회사를 보유하고 있으며 사업영역을 지속적으로 확대하고 있다.

오 대표는 “20년 동안 회사를 운영해온 것이 믿겨지지가 않아요. 하지만 IMF가 터지고 벤처거품론 등이 확산됐을때는 정말 힘들었습니다”라고 소회를 밝혔다.

IT업계에 있어 2002년은 악몽의 해였다. 당시 월드컵이란 특수가 있었으나 소프트웨어 시장은 벤처거품이 빠지면서 최악의 상황을 맞이하고 있었다.

지란지교소프트도 여기에서 자유롭지 못했다. 이 회사는 2002년 심각한 경영난으로 인해 대대적인 구조조정을 실시하고, 대전 연구소까지 매각했다. 오 대표에게 이 히스토리는 가슴아픈 기억으로 남아있다.

그는 “2000년에 들어서면서 우리는 최고의 전성기를 맞이했습니다. 사무실도 대치동으로 이전하고 직원수도 많이 늘렸죠. 하지만 시장이 그렇게 될진 예상하지 못했습니다. 아쉬웠던 부분이죠”라고 전했다.

이 회사는 이후 ‘대한민국 소프트웨어 리더 3개년 계획’을 수립했다. 2003년 내실경영, 2004년 인재경영, 2005년 글로벌 경영이란 전략을 전면에 세우고 내실을 다지고 수익모델을 강화했다.

2005년에는 일본시장에 진출했다. 지란지교소프트는 일본 신생업체인 트라이포드웍스와 함께 일본 중소기업공략에 힘을 쏟았다. 이때 트라이포드웍스와의 인연은 지금도 진행 중이다.

2012년에는 미국 샌프란시스코에서 열린 RSA2012에 참석하며 북미 시장 진출을 시작했다. 이때 기자는 취재를 위해 RSA2012에 참석했는데, 기회가 닿아 지란지교소프트의 북미 사무소를 구경하기도 했다.

스무살 청년이 된 지란지교소프트가 바라보는 향후 10년은 어떠할까. 오 대표에게 물었다.

오 대표는 “우리는 100대 글로벌 소프트웨어 기업을 목표로 향후 10년을 치열하게 살아갈 것입니다. 무엇보다도 구성원들의 꿈을 이뤄줄 수 있는 드림플랫폼이 될 수 있도록 노력하겠습니다”고 강조했다.

아직까지 글로벌 시장에서 인정받는 국내 소프트웨어 회사는 없다. 지란지교소프트가 그 선발주자가 돼 주길 기대한다.
2014/09/23 10:13 2014/09/23 10:13
사용자 삽입 이미지

새로운 와이파이 다이렉트 인증 프로그램 서비스로 인해 스마트홈 구축이 확산될 것으로 기대되고 있다. 이번에 발표된 기술을 활용하면 보다 쉽고 빠르게 구축이 가능해지기 때문이다.

와이파이얼라이언스(Wi-Fi Alliance)가 와이파이 다이렉트(Wi-Fi Direct) 인증 프로그램의 신규 서비스를 18일 발표했다.

신규 서비스는 총 4종으로 다음과 같다.

▲Wi-Fi Direct Send - 하나 이상의 기기가 최소한의 사용자 개입만으로 쉽고 빠르게 콘텐츠를 전송 및 수신할 수 있다.

▲Wi-Fi Direct Print - 단 하나의 명령으로 스마트폰, 태블릿, PC 등에서 바로 문서를 인쇄할 수 있다.


▲Wi-Fi Direct for DLNA - DLNA 상호연동성 가이드라인을 지원하는 기기들 간 콘텐츠 스트리밍을 위한 연결 전에 상호 탐색이 가능하다.  

▲Miracast - 와이파이 다이렉트의 업데이트된 디바이스 및 서비스 탐색 메커니즘을 기기에 탑재함으로써 스크린 미러링 및 디스플레이를 한번에 실행한다.

스마트홈을 계획하고 있는 사람이라면 DLNA를 위한 와이파이 다이렉트와 미라캐스트에 주목해야 한다.

먼저 와이파이 다이렉트에 대해 알아보자. 와이파이 다이렉트는 와이파이를 지원하는 기기간 직접 접속을 할 수 있는 통신 방법이다. 최대 200m 앞에서 기기끼리 선없이 직접 연결할 수 있으며 데이터 전송 속도도 최대 300Mbps를 넘어선다. 보안에 있어서는 WPA2 방식을 지원하며 802.11 a/b/g/n망과도 호환이 된다
사용자 삽입 이미지

나스(Network Attached Storage, NAS)를 사용하는 사람이라면 DLNA에 대해 한번쯤은 들어봤을 것이다. 나스에 저장된 콘텐츠를 스마트TV 등으로 볼 수 있는 기술이 바로 DLNA다.

그러나 DLNA를 사용하기 위해서는 반드시 이를 위한 플러그인의 설치가 필요하며, 이와 연결되는 PC나 스마트TV와의 설정도 만져줘야 한다. 이 때문에 대부분의 사용자들은 귀찮음과 난해함을 이유로 이를 포기하게 된다.

만약 나스나 인터넷공유기, 스마트TV에 DLNA를 위한 와이파이 다이렉트 기능이 탑재됐다면 이러한 문제는 모두 사라진다. 그저 나스에 콘텐츠를 저장하고 스마트TV를 켜면 자동으로 DLNA가 활성화되기 때문이다.

이에 대해 스콧 로프그렌(Scott Lofgren) DLNA사장은 “DLNA는 2011년부터 상호연동성 가이드라인에 와이파이 다이렉트를 포함시켜 왔다”며 “와이파이 얼라이언스와 협력하여 와이파이 다이렉트의 신규 기능을 지원하게 되어 기쁘다. 와이파이 다이렉트는 DLNA 애플리케이션을 사용하는 소비자들이 다수의 스크린 상에 콘텐츠를 더욱 쉽게 전송, 수신, 디스플레이할 수 있도록 해줄 것이다”고 말했다.

또 켈리 데이비스 펠너(Kelly Davis-Felner) 와이파이얼라이언스 마케팅 부사장은 “기존에도 와이파이 상황에서 DLNA기능은 사용할 수 있었다. 하지만 이번에 추가된 기능은 기존과는 다르다. 연결만 하면 모든 설정이 알아서 수립된다. 탐색, 연결, 실행(Discover, Connect and Do)이 한번에 진행된다는 의미”라고 강조했다.

미라캐스트 기능도 DLNA와 동일하게 적용할 수 있다. 크롬캐스트를 예로 들어보자. 현재 크롬캐스트는 ‘TV-스마트폰-크롬캐스트’의 연결이 필요하며 스마트폰에서 이를 직접 설정해줘야 가능하다.

하지만 와이파이 다이렉트가 접목되면 별도의 설정없이도 즉각 미러링이 가능해진다. 안방에서 쓰던 크롬캐스트를 거실에서 쓸 때도 별도의 설정없이 사용된다.

관건은 제조사들의 참여다. 제조사들이 이 기능들을 빨리 적용하면 할수록 스마트홈의 구축은 더욱 확산될 것으로 기대된다.
2014/09/18 15:58 2014/09/18 15:58
사용자 삽입 이미지
구글 안드로이드 4.4 이전 버전에 탑재된 기본 브라우저(AOSP 브라우저)에서 크로스사이트스크립팅(XSS) 결함에 따른 취약점이 발견됐다.


이 취약점이 악용될 경우 브라우저에서 접근한 모든 데이터가 외부로 유출될 수 있어 주의가 필요하다.

17일 현재까지 알려진 바에 따르면 기본 안드로이드 브라우저는 크로스사이트스크립트(XSS) 취약점을 보유하고 있는데, 이 취약점은 브라우저가 공백(null) 바이트 문자가 포함된 자바 스크립트를 처리하는 과정에서 SOP(Same Origin Policy)를 무력화시킨다.

SOP는 월드와이드웹 컨소시엄(W3C)에서도 보안을 위해 반드시 지키도록 강조하는 규칙이다. 주된 내용은 특정 도메인에서 동작하는 스크립트는 해당 도메인에서만 동작해야 된다는 것이다.

즉, 네이버에서 동작하는 자바 스크립트는 네이버 도메인(*.naver.com)에서만 동작하도록 설계해야 한다는 의미다.

반대로 SOP가 무력화되면 특정 웹페이지에 심어둔 코드나 쿠키가 다른 웹페이지까지 영향을 미칠 수 있게 된다.

사용자가 AOSP 브라우저를 통해 공격자의 웹사이트에 접근하게 되면 그 이후에 접속하는 모든 웹사이트에 대한 정보가 그대로 공격자의 손에 들어갈 수 있게 된다. 당연히 로그인 세션값을 훔칠 수 있게되니 개인정보나 금융정보의 탈취도 가능한 상황이다.

현재 안드로이드 4.4 이상을 쓰는 사용자는 전체 안드로이드 사용자의 70%를 넘는 것으로 파악된다.

이러한 피해를 예방하기 위해서는 XSS 취약점이 해결된 구글 크롬, 오페라 등을 사용해야 한다.
사용자 삽입 이미지

삼성전자의 갤럭시 시리즈에 탑재돼 있는 순정 브라우저의 경우 AOSP를 기반으로 하고 있어 이 역시도 안전하지 않다.
2014/09/17 16:07 2014/09/17 16:07
사용자 삽입 이미지

이번 아이클라우드의 정보 유출 사고 경의에 대해 아직 명확하게 밝혀지지는 않았지만, 누군가 계정 접근에 대한 권한을 얻어 특정 계정으로부터 민감한 사진을 유출시켰다는 것은 명백한 사실이다.

이번 사고는 클라우드 사용이 점차 증가함에 따라 공격에 노출된 부분들을 더욱 철저하게 감시하고, 계정 접근 관리에 민감하게 대응해 보안 위험성을 최소화해야 할 필요성을 여실히 보여줬다.

‘버라이즌 데이터 침해 조사 2014’ 보고서에 따르면, 15번의 스피어 피싱 공격을 한 경우 공격 대상의 90 %가 유해 사이트로 연결되는 ‘클릭’을 하는 것으로 나타났다.

일단 공격자들이 피해 대상의 이메일 주소를 확인한 경우, 보안에 대해 굉장히 민감한 이들을 제외하고는 이와 같은 공격에 속수무책일 수 밖에 없는 것이다.

<딜라이트닷넷>는 보메트릭의 엘런 케슬러(Alan Kessler) 최고경영자(CEO)에게 이번 아이클라우드 사태로 인해 클라우드 서비스에 대한 예상되는 공격 유형과 이에 대한 대응방안을 물어봤다.

Q.계정 탈취가 일어나는 이유는 무엇인가?

케슬러. 클라우드 서비스에서는 클라우드 관리자, 스토리지 관리자, 시스템 관리자 등 권한 있는 사용자 계정이 주요 공격 대상이 된다.

공격자는 사용자의 링크드인, 페이스북 및 기타 미디어를 통해 이러한 계정을 보유하고 있는 사람들을 찾아내고, 이들의 계정을 도용해 시스템 리소스에 대한 접근 권한을 얻는다. 때때로 공격자들은 사용자들이 자주 사용하는 사이트를 통해 데이터를 훔쳐낸다.

이러한 방식을 ‘워터 홀링(Water Holing)’이라고 부르며, 게임 사이트가 주요 공격의 대상이 되는 이유기도 하다. 공격자들은 일명 ‘워터홀(Water hole)’ 공격으로 권한을 훔쳐내고, 그와 같은 권한이 VPN이나 보안 사이트에 대한 액세스 권한으로도 사용될 수 있음을 유추해낸다.

일반적으로 많은 이들이 하나의 아이디/패스워드를 여러 업무 (또는 모든 업무)에 걸쳐 동일하게 사용하고 있기 때문이다.

2014 보메트릭 내부자 위협 보고서에 따르면, 이러한 내부 위협 요소의 2/3가 IT 관리자 계정 및 특정 권한 계정과 관련이 있으며, 또한 내부 네트워크에서 임무를 수행하는 협력업체 인력의 계정과 관련이 있다고 확인됐다.
사용자 삽입 이미지

Q.계정을 잘 보호한다고 모든 문제가 해결되는가? 시스템통합 과정이나 협업에서는 공동으로 사용되는 계정도 있다. 이는 어떻게 해야 하는가


케슬러. 암호화뿐 아니라 중요 데이터에 대한 섬세한 접근 제어 정책 설정이 필요하다.


이러한 정책을 통해 관리자 계정도 암호화된 데이터에 대한 접근을 제한시켜야 하며, 이때 해당 사용자는 아무런 문제 없이 작업 수행은 할 수 있다. 이로써 실제 계정이 도용 당하는 경우에도 ‘공격에 노출되는 면’을 최대한 좁힐 수 있다.

또한, 특정 계정을 통해 확인 가능한 데이터 엑세스 정보도 보호할 수 있다. 기존의 사용 패턴 기록을 통해 각 계정 별로 전형적인 사용 유형을 분석할 수 있으며, 평소와 다른 사용 패턴이 감지되는 경우에 계정 도용에 대한 조사를 실시할 수 있다.

이를 통해 업무상 볼 필요가 없는 정보에 대한 접근이 발생하는 경우, 해당 계정을 즉각 식별함으로써 신속한 대응이 가능하다.
사용자 삽입 이미지

Q.이번 아이클라우드 사태와 관련 나는 멀티팩터인증이 공격을 차단하는데 효과적일 것이라는 컬럼을 쓴 적이 있다. 당신의 생각은 어떠한가.

케슬러. 멀티팩터인증은 ‘공격 범위’를 좁히는 데에 큰 도움이 된다. 계정 정보 탈취를 막기 위해서는  뭔가를 ‘가지고 있는가’뿐만 아니라 뭔가를 ‘알고 있는가’도 중요한 고려 대상이 된다.

뭔가를 ‘알고 있다’는 것은 사용자의 패스워드 및 로그인 정보에 해당하며, ‘가지고 있다’는 것은 보안을 원하는 정보의 양에 따라 매우 다양하게 나타난다. 일부 보안 액세스는 접근을 위해 특정 키를 요구한다.

예를 들어 정부 및 국방 조직에서는 일반적으로 CAC 카드를 사용한다. 또 다른 보호 전략으로는 특정 머신에 로그인하는 방법이 있다. 오직 특정 계정이 특정 머신에서 로그인 된 경우에만 접근 권한을 부여하는 것이다. 또한 오프라인 보안 툴을 통해 액세스를 위한 질문·응답을 요구할 수도 있다.


2014/09/05 14:23 2014/09/05 14:23