최신 보안 뉴스

보안 및 IT 분야의 최신 뉴스를 정확하고 신속하게 전해드립니다.

2011년 주요 보안이슈, 총정리해 드립니다~

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

- DDoS·개인정보보호법·APT·SQL인젝션·해킹·개인정보유출

 

 

2011년은 그 어느 해보다 다양한 보안이슈의 등장으로 보안업계는 그야말로 다사다난했다. 특히, 3.4 DDoS 공격을 시작으로 금융권 해킹, 온라인 서비스 기업·게임회사 해킹, 개인정보보호법 발효 등으로 인해 보안업계는 정말 숨가쁘게 달려왔다. 이에 본지는 저물어가는 2011년을 뒤돌아보며 올 한해 보안이슈를 정리해봤다.

 


3.4 DDoS 공격과 해킹·정보유출 사건

지난 3월 7.7 DDoS 공격과 같은 DDoS 공격이 발생해 정부기관과 관련 업계는 지난 2009년 7.7 DDoS의 악몽을 다시 떠올렸다. 하지만 7.7 DDoS 이후 정부 차원의 체계적인 대응체계 마련과 더불어 관련 업계가 함께 노력한 결과로 큰 피해로 확산되지 않고 마무리되었다.


3.4 DDoS 사건은 지난 3월 4일 오전 10시와 오후 6시 30분에 국내 40개 웹사이트를 대상으로 DDoS 공격이 진행되면서 시작됐다. 하지만 이번 공격은 공격시기와 대상이 사전에 알려지면서 큰 피해를 입히진 못했다. 이번 공격은 지난 7.7 DDoS 대란과 유사했지만 더욱 업그레이드된 공격을 했다는 점에서 지난 공격과 차별화된다고 당시 관계기관은 분석했다.


DDoS 공격에 이어 금융권 해킹과 사상 초유 금융권 전산망이 마비되는 사건이 발생해 커다란 사회적 혼란과 피해를 몰고 왔다. 특히 올 4월 초에 발생한 현대캐피탈 고객정보 42만건 유출 사건은 현대캐피탈의 고객 정보가 신원 미상의 해커에게 해킹을 당했고 해커는 금전을 요구하는 협박 메일을 보냈다. 그리고 해커로부터 협박을 받은 현대캐피탈측은 지난 4월 7일 경찰에 즉시 신고했으며 자체 조사결과 42만명의 고객정보가 해킹된 정황을 발견한 것인데 수사 당국의 노력으로 범인들을 검거했다.


이어 지난 4월 12일부터는 농협중앙회의 전산망이 마비되는 사건이 발생했다. 이로 인해 농협 이용자들은 중요한 사업자금이나 신용카드 대금 결제를 하지 못하고 현금을 인출하지 못하는 등 큰 불편을 겪었다. 이번 농협 전산망 마비 사건은 이같이 실제로 많은 이용자들에게 직접적인 피해를 주는 사고로 이어져 금융권의 보안 중요성을 다시 한 번 인식하는 계기가 되었다.


이 같은 금융권 사고로 인해 올해 전자금융거래법이 개정되면서 내년부터는 금융기관의 IT보안과 관련 규제가 강력하게 적용된다. 금융위원회는 IT관련 전자금융팀을 신설하고 금융감독원은 전문인력 확충을 통해 내년부터 철저한 검사에 나선다는 방침이다.


전자금융거래법 및 전자금융감독규정 전면 개정으로 내년부터 금융회사는 IT 인력을 전체 직원의 5% 이상, 정보보호인력을 IT인력의 5% 이상, 정보보호 예산을 7%이상 확보해야 된다. 또 총자산 규모 2조원 이상이면서 종업원 수가 300명 이상인 금융사에 정보보호최고책임자(CISO)를 임원으로 지정토록 의무화하고 정보보호최고책임자의 자격요건까지 구체화하는 등 많은 변화가 있었다고 볼 수 있다.


또 지난 7월 네이트·싸이월드 해킹, 11월 온라인 게임사 넥슨 해킹 사건으로 인해 개인정보 수천 만건이 유출된 사건이 발생했다. 특히, 국내 최대 온라인 게임업체 넥슨의 데이터베이스 해킹으로 인해 온라인 게임 ‘메이플 스토리’ 회원 1,320만 명의 개인정보가 유출됐고 이보다 앞서 발생한 싸이월드·네이트 회원들의 개인정보 3,500만건이 유출된 사건은 지난 3.4 DDoS 공격과 농협 전산망 바미에 이어 올해 커다란 충격을 준 보안사고였다. 

 


개인정보보호법 시행

또 하나 올해 보안 분야에 있어 한 획을 그은 일은 지난 몇 년간의 노력 끝에 ‘개인정보보호법’이 제정 및 시행됐다는 점이다. 이 법은 개인정보 처리 원칙과 국민의 피해구제에 대한 일반법적 지위를 갖는 법으로 지난 9월 30일부터 전면 시행됐다.


이 법의 시행으로 그간 공공기관과 일부 사업자(약 50만개)에게만 적용되던 개인정보보호 의무가 약 350만개 모든 공공기관과 사업자, 비영리단체까지 확대됐다. 적용범위도 전자파일 형태의 개인정보 외에 동창회 명부, 민원서류 등 수기(手記)문서도 포함된다.


또한, 대통령 직속기구로 정책·제도·법령, 기본계획(매3년, 행안부)·시행계획(매년, 부처) 등을 심의·의결하고 부처·지자체에 대한 시정조치 권고권을 행사하는 ‘개인정보보호위원회’가 출범했다.


특히, 이번 법 시행으로 개인정보 수집·이용, 제공, 파기 등 보호기준과 안전성 조치가 강화되었다. 개인정보 수집·이용은 정보주체의 동의, 법령상 의무준수, 계약체결·이행 등 일정한 요건하에서 가능하고 수집목적외의 이용·제공은 정보주체의 별도 동의, 법률의 특별한 규정 등 예외적인 경우 외에는 처리가 금지된다.

     

 

APT·스마트폰 악성코드·SQL인젝션 등 보안 위협 증가

이 외에도 올해에는 다양한 보안위협이 등장했다. 특히 APT 공격, 악성코드, SQL인젝션 등이 주요 보안위협으로 등장했다. 이들 중 지난 10월에는 스턱스넷과 유사한 악성코드 ‘듀큐(W.32 Duqu)’가 발견되면서 전 세계적으로 긴장감이 돌았다.


그러나 사실 듀큐는 산업시설에 물리적 피해를 입혔던 스턱스넷과는 다르다. 듀큐는 산업용 제어 시스템 제조업체와 같은 조직에 침투해 설계문서 등 핵심정보 자산을 수집, 향후 제3자에 대한 공격을 보다 쉽게 감행할 수 있도록 준비하는 데 목적을 두고 있기 때문이다. 하지만 스턱스넷 공격과 유사한 차세대 사이버 공격을 예고하는 전조라고 보는 시각이 우세하다.


이 악성코드는 보안 패치가 없는 제로데이 취약점을 이용하며 마이크로소프트 워드 문서를 경유해 설치함으로써 공격자들은 P2P 명령과 제어 프로토콜을 통해 안전지대에 있는 컴퓨터 시스템에 듀큐를 퍼뜨리는 것으로 밝혀졌다. 이에 MS는 보안 업데이트를 발표했으며 한국인터넷진흥원(KISA)에서도 듀큐 전용 백신을 배포한 바 있다.


또한, APT(Advance Persistent Threat) 공격이 올해 주요 보안이슈로 떠올랐다. APT는 특정 목적으로 목표한 기업이나 단체들만을 대상으로 지속적으로 공격하는 것이 특징이다. 이는 구글, 어도비, 주니퍼, 야후 등 34개 업체를 공격한 ‘오로라’, 이란 원자력 발전소 작동을 방해한 ‘스턱스넷’, 카자흐스탄, 그리스, 대만, 미국에 위치한 글로벌 오일·가스·석유화학 업체를 대상으로 한 ‘나이트 드래곤’ 등이 대표적이다. 또한, 모바일 사용자 증가에 맞춰 이와 관련된 악성코드가 급증했으며 시장점유율이 가장 높은 안드로이드를 타깃으로 한 악성코드가 가장 많이 발견된 것으로 나타났다.


그리고 대표적 인터넷 프로토콜인 HTTP 기반 웹 서버에 대한 공격이 지속적으로 증가했다. SQL 인젝션(SQL Injection), 크로스 사이트 스크립팅(XSS, Cross Site Scripting)과 아이프레임(IFRAME)이 대표적이다. 그리고 이러한 공격을 위한 자동화 도구가 양산돼 일반인도 손쉽게 해킹을 할 수 있게 된 것도 올해 주목할 만한 일이었다. 


한편, 연말이 되면서 국내 보안 전문기업들은 올 한해의 보안이슈를 정리하는 보고서를 내놓기도 했다. 이들 중 안철수연구소가 발표한 올 한해 보안위협의 주요 흐름을 분석한 ‘2011년 10대 보안위협 트렌드’를 보면 올해 주요 이슈는 △APT 공격 형태의 증가로 인한 기업 보안 사고의 증가 △기업 겨냥 APT 공격 증가 △스마트폰용 악성코드 급증 △디도스 및 SQL 인젝션 등 웹 서버 공격 일반화 △웹 애플리케이션 취약점 악용한 악성코드 지속 유포 △악성코드 자기 보호 기술 지능화 △전자서명 악용한 악성코드 증가 △일반 애플리케이션 취약점 증가 △산업·국가 기간 시설 공격 시도 증가 △금전적 목적의 온라인 게임 해킹 급증 △사회공학기법, 고도의 심리전으로 발전 등이었다.@

 

[2011-12-28] 

  • 보안뉴스 로고
  • 김태형 기자
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.