nocutnews
500+ Views

IP카메라 해킹 막아라…'보안 인증제' 시행

정부는 IP카메라 보안 강화를 위해 '보안인증제'를 시행하고, 보안상 취약점이 발견될 경우 제조사에게 보완조치를 의무화하도록 할 계획이다. 과학기술정보통신부는 방송통신위원회, 경찰청 등과 합동으로 'IP카메라 종합대책'을 마련해 추진한다고 밝혔다. IP카메라는 유‧무선 인터넷과 연결되어 있어 다른 기기로 영상의 실시간 송출이 가능한 카메라로, 불법 촬영⋅유포하는 사례가 발생함에 따라 국민 불안이 확산되고 있다. 이에 따라 IP카메라 제조⋅판매⋅수입업체에 초기 비밀번호를 단말기 마다 다르게 설정하거나 이용자가 변경해야 동작하는 기능을 탑재하도록 의무화를 추진해 비밀번호 노출로 인한 해킹을 예방할 계획이다. 나아가 IP카메라 해킹 방지에 필수적인 보안사항을 'IP카메라 보안체크리스트'로 제정해 제조⋅수입업체를 대상으로 이행을 권고키로 했다. 보안성이 높은 제품의 생산과 이용을 촉진하기 위해 IP카메라 등 사물인터넷(IoT) 제품에 대해 '보안인증제'를 시행할 계획이다. 국내 시장에 유통 중인 IP카메라 제품에 대한 정기적인 실태조사를 통해 보안기준을 충족하기 않은 제품은 관련 기준을 갖출 수 있도록 유도해 나갈 방침이다. IP카메라 해킹으로 인한 국가 주요시설 보안 위협 등에 대해서도 관계 부처간 협업 등을 통해 적극적으로 대응해 나갈 계획이다. 이를 위해 행정안전부 등 관계기관이 협력하여 국가(지자체)ㆍ공공기관의 IP카메라 등 영상정보처리기기 보안점검을 실시한다. 아울러 국가・공공기관용 영상정보처리기기에 대한 보안성능품질 기준을 제정하고, 해당 기준을 만족시키는 제품을 우선 구매하도록 할 예정이다.
Comment
Suggested
Recent
Cards you may also be interested in
'나도 드루킹이었다'
대한민국 뉴스는 루비콘의 강 앞에 서 있다 얼마 전 네이버에서 뉴스를 읽고 댓글을 작성하려던 트위터 사용자 손 씨는 ‘내 댓글’ 보기를 누르고 깜짝 놀랐다. 자신이 작성하지 않은 댓글들이 11개나 있었던 것이다. ‘댓글 알바’라는 용어가 공공연하게 나돌았고, 최근 ‘드루킹 댓글 조작’ 논란까지 있어 더욱 걱정할 수밖에 없었다. 혹시 자신의 아이디가 여론 조작에 사용되었을지 모른다는 불안감 때문이다. 손 씨는 네이버를 이용하면서 아이디 해킹 감지 경고를 받지 못했다. 내 아이디, 드루킹 일당이 아이디 댓글 도용할 수도 십알단과 드루킹 일명 ‘드루킹’이라는 필명의 김동원(49) 씨는 지난 1월 말 네이버의 게재된 뉴스 기사의 정부 비판 댓글에 집중적으로 ‘공감’을 클릭하여 조작한 혐의를 받고 있다. 이 과정에서 김 씨는 반복 자동화 프로그램인 ‘매크로’를 활용했다. 경찰 발표에 따르면, 드루킹의 ‘매크로’ 프로그램에 동원된 아이디는 2,200여 개에 달한다. 댓글을 통한 여론 조작이라는 외형만 본다면, 드루킹 일당의 수법은 지난 2012년 대선 당시 활동했던 불법조직인 ‘십알단’과 비슷하다. 하지만 ‘십알단’은 인기 커뮤니티 게시글 및 포털 기사 댓글의 대량 작성, 트위터 내 대량 리트윗을 통해 대세몰이했다는 점에서 네이버 기사 댓글의 공감 수를 집중적으로 조작해 순위를 올린 드루킹의 방식과 차이가 있다. 십알단 방식이 물량에 바탕을 둔 공세라면, 드루킹 일당의 전략은 선택과 집중이다. 진화하는 여론 조작 문제는 ‘물량 공세’와 ‘선택과 집중’의 융합이다. ‘40인의 조작단’이 있다고 가정해보자. 이들은 손 씨의 아이디와 같이 댓글 작성 가능한 해킹 아이디를 각각 10개씩 가진 ‘댓글 팀’ 20명, 한 명당 1,000개의 아이디를 운용하는 ‘매크로 팀’ 20명으로 구성된다. (드루킹 일당은 3명이 2,200개의 아이디를 사용했다.) 이 ‘40인의 조작단’이 조작하려는 대상은 네이버 화면 우측 상단의 ‘가장 많이 본 뉴스’의 댓글이다. 가장 많이 본 뉴스는 정치, 경제 등 5개 섹션에서 하루 최대 1,000개의 기사가 노출된다. 매 시간마다 이전 한 시간 동안 가장 높은 조회 수를 기록한 각 섹션 10개의 기사가 나열된다. 이제 조작을 시작해보자. 우선 댓글 팀 20명은 특정 기사를 골라 ‘조작 댓글’을 각각 할당된 10개의 해킹 아이디로 3개씩 작성한다. 이후 ‘매크로 팀이 나선다. 20명이 각각 자신이 운용하는 1,000개의 해킹 아이디를 가지고 매크로를 통해 조작된 댓글에 공감을 누른다. 이렇게 하면 ‘조작 댓글’을 순식간에 20,000개의 공감을 받은 댓글로 만들 수 있다. 지금의 시스템이라면 ‘40인의 조작단’의 규모를 확대하여 네이버 ‘가장 많이 본 뉴스’에 게재되는 기사 안의 모든 BEST 댓글을 조작할 수 있다. 또 조작단이 기사 하단의 ‘이 기사를 모바일 메인으로 추천’ 탭을 눌러 모바일로까지 노출된다면 그 영향력은 엄청나게 커진다. 상위 랭킹에 오른 기사는 조작할 만한 기사? 사실 ‘가장 많이 본 뉴스’ 랭킹은 이전 1시간 동안의 집계 결과다. 그렇다면 조작단 입장에선 타이밍을 놓친 것이 아닐까? 그렇지 않다. 포털을 통해 뉴스를 읽는 독자 대부분은 기사가 조회 수 랭킹에 진입해야만 비로소 읽게 된다. 오히려 랭킹에 진입한 기사라야만 댓글을 조작할만 한 가치가 생긴다고 해도 과언이 아니다. “차라리 댓글을 더 신뢰하는 편이에요.” 특히 청소년은 댓글 조작에 취약하다. 어떻게 해결할 수 있을까? 해외에서는 어떻게 댓글 관련 문제를 풀어가고 있을까? 5월 2일 국회에서 열린 <포털 인or아웃 ‘포털 댓글과 뉴스편집의 사회적 영향과 개선방안’ >에서의 신경민 더불어민주당 의원 발표자료에 따르면, 구글이나 바이두의 경우 뉴스 서비스 자체가 아웃링크 시스템이기 때문에 댓글 문제 자체가 없으며, 로이터, NPR 등의 해외 뉴스 매체 또한 댓글 서비스를 아예 없애는 경향이라고 밝혔다. 급변하는 미디어 환경 속에서 가짜 뉴스와 댓글 조작, 언론의 신뢰성 회복, 독자와의 소통 등 수많은 난제가 산적해 있다. 지금 대한민국 뉴스는 루비콘의 강 앞에 서 있는지 모른다. 뉴스의 단순 수용자를 넘어 능동적 시민이 되기 위해 먼저 자신의 아이디가 댓글 조작에 도용되지는 않았는지 확인해보자.
흘러가는 시간 속에서 유유히 흐를 뿐
2021년입니다. 2020년도 익숙해지지 않았는데 말입니다. 오늘은 밥을 먹다 유리병에 든 하늘색 MP3를 봤습니다. 그때 당시에 꽤 비싸게 주고 사서 매일 들고 다녔는데, 이젠 유리병 밑바닥 신세입니다. 코로나바이러스가 생긴 이후 많은 것들이 피폐해졌습니다. 바이러스보다 무서운 건 무너진 경제와 드러난 밑바닥에서 끊임없이 들리는 아우성이란 생각이 듭니다. 올곧게 그어진 글씨를 바라보는데 마음이 덜컹거립니다. 유기견 두 마리를 입양해 키우게 된 친구네 집에 가게 되었습니다. 집안 여기저기에 드라이 플라워가 있는 것을 보니 꽃을 사 오길 잘했습니다. 상처가 많은 어미 개의 눈은 슬픈데, 강아지는 해맑기만 합니다. 그 감정들이 어우러져 따뜻해졌으면 하는 마음을 담아 한 번 더 쓰다듬다 문을 나섭니다. 수많은 염원의 빛이 나무를 휘감고 있습니다. 마음에 간절히 생각하고 기원함. 마음.간절히.생각.기원. 자꾸 읊조리게 되는 뜻입니다. 나는 항상 나의 노력을 숨기려고 노력해왔습니다. 내 작품이 봄날의 경쾌함과 즐거움을 지니길 바랐지요. 누구도 그걸 위해 내가 치른 노동의 대가를 알아채지 못하도록 감춘 것입니다. 실로 오랜만에 전시를 보고 왔습니다. 숨으로 여길 정도로 시를 가까이하고, 열과 성을 다한 그의 삶을 보고 듣고 간접 체험해보며 바래진 마음에 색을 칠해봅니다. 퇴근길에 꽃을 한 다발 샀습니다. 부정의 것들이 나를 삼키려고 할 때마다 꽃집으로 갑니다. 묶여있던 것을 풀어 줄기에 붙은 잎들을 제거합니다. 물올림이 원활해지게 끝을 사선으로 자르고, 깨끗한 물을 담아 책상 한쪽에 올려둡니다. 제가 꽃을 사는 이유가 이 안에 있습니다. 이번 겨울은 눈이 많이 내립니다. 볼 땐 예쁘지만 추위 속에 수많은 이들의 등이 굽는다는 것을 알기에 마냥 좋아할 수는 없습니다. 지하도 계단을 오르다 앉은 채로 눈감고 계시는 노숙인의 코끝에 맺힌 언 콧물이 눈에 띕니다. 눈 내리는 것을 예쁘게 바라볼 줄 아는 어른으로 남고 싶었던 마음이 부서져 내립니다. '행복에는 정해진 양이 있어 내가 행복해지기 위해서는 타인을 불행하게 만들어야 한다고 믿는 사람처럼' 느껴질 수도 있습니다. 그러나 그것은 사실이 아닙니다. 아닙니다. (백수린의 여름의 빌라에서 발췌한 문장을 인용하였습니다.) 단맛 신맛 쓴맛 짠맛이 어우러지면 맛있는 맛입니다. 깨진 삶의 조각을 이어 붙여 만들어진 원을 그립니다. 찍는 점과 폭에 따라 원의 형태가 변합니다. 그릴수록 생겨나는 접점에 갖다 댄 손끝이 미온합니다. 따뜻해져라. 따뜻해져라. 태어나서 처음으로 개미를 판매한다는 사실을 알았습니다. '이렇게까지 해야 하나'라는 의문이 따라붙는 것들이 살수록 늘어납니다. 속한 집단이 끝없이 무시당할 때 자신의 존재가치에 대해 의구심이 듭니다. 아니라고 하다가도 온몸이 떨려오다 접힌 목만큼이나 온몸이 작아지는 겁니다. 유난히 추운 겨울입니다. '춥'하고 입술이 오므려지다 '다'하고 입술이 펴집니다. 우리의 굳은 몸도 펴질 겁니다.
알툴즈 2500만건 개인정보 유출사고
'비트코인' 노린 사이버범죄 이스트소프트의 PC 유틸리티 프로그램 알툴즈에 가입된 회원 약 16만명, 2500만여건에 달하는 개인정보를 유출해 비트코인을 요구한 피의자가 경찰에 검거됐다. 이번 사이버범죄는 탈취한 개인정보의 몸값으로 이스트소프트 측에 비트코인을 요구했으며, 유출된 개인정보로 사용자들의 가상화폐 계좌에 접속해 가상화폐를 훔치는 등 2차 피해도 발생한 것으로 밝혀졌다. 경찰청 사이버수사과는 10일 지난해 이스트소프트의 알툴즈에 가입된 회원정보를 유출해 정보통신망법 위반 등 혐의로 중국 국적의 조모씨를 검거하고, 협박 행위에 가담한 한국인 공범의 신원을 확인해 추적하고 있다고 밝혔다. 경찰청에 따르면 이들은 지난해 2월 9일부터 9월 25일까지 이스트소프트의 알툴즈 회원 16만6000여명의 아이디와 비밀번호 등 개인정보 2540만건을 탈취 후 이스트소프트 측에 비트코인을 요구했다. 이번 사이버범죄는 이스트소프트의 PC 유틸리티 프로그램 시리즈 알툴즈 중 각종 웹사이트들의 아이디와 비밀번호 등을 통합 관리하는 '알패스'를 타깃한 것으로 확인됐다. 알패스는 웹사이트들의 아이디와 비밀번호를 저장해 두고, 해당 웹사이트에 접속 시 사용자가 직접 아이디와 비밀번호를 입력하지 않아도 자동으로 입력해주는 프로그램이다. 경찰청 측은 피의자들이 1차적으로 다른 경로로 유출된 아이디와 비밀번호를 확보한 뒤 이를 알패스에 자동 입력하는 매크로 프로그램인 '알패스(Alpass)3.0.exe'을 만들어, 유출된 아이디 및 비밀번호와 동일한 알패스 사용자 계정을 확보한 것으로 보인다고 설명했다. 이들은 탈취한 개인정보 2540만건 중 43만건을 이스트소프트 측에 제시하며 67회에 걸쳐 현금 5억원에 해당하는 비트코인을 요구했다. 이스트소프트는 몸값을 요구하는 협박에 응하지 않고 수사기관에 신고하면서 피해 사실이 알려지게 됐다. 경찰청에 따르면 이들은 알툴즈에서 탈취한 개인정보를 이용해 대포폰 개설, 서버 임대, 가상화폐 계정 접속 등 2차 범죄에 활용됐다. 특히 알툴즈에 저장된 개인정보와 동일한 가상화폐 거래소 계정에 로그인에 성공해 당시 시세로 800만원에 해당하는 2.1비트코인을 자신들의 지갑으로 전송하는 등 실제 피해도 발생했다. 한편, 경찰은 방송통신위원회, 한국인터넷진흥원(KISA) 등과 협력해 관련 웹사이트에 유출회원의 비밀번호를 바꾸도록 요청했다. 인터넷 웹사이트 운영업체에게는 아이디와 비밀번호를 기계적으로 입력하는 공격을 탐지할 수 있도록 보안을 강화할 것을 권고했다.
IOT 융합 인증체계
디지털 사회는 IOT융합 인증보안체계를 절박하게 요구한다. http://blog.naver.com/gcodpasscon/221159044413 1. 서론 인증에 대한 수요는 보안 목표를 달성하고 KYC(know Your Customer)를 통하여 고객 만족과 편의를 제공하며. 서비스나 상품의 경쟁력을 강화하기 위하여 필수적인 비즈니스 요구로 부터 시작된다. 이러한 인증보안 수요는 모든 산업에 걸쳐 고객 주기 전반에 걸쳐서 빈틈 없이 내재되고, 연결되고 관련되어야 한다. 특히 4차산업혁명(Digital Transformation)이라고 부르는 최근의 동향에서 알 수 있듯이 향후 10년 이상 지속적인 변화의 압박이 모든 인간의 생활 속으로 파고들 것이다. 이러한 압박은 이전에 경험하거나 상상할 수 없었던 복잡성과 다양성을 쏟아내게 될 것이다. 여기서 주목되어야 할 것은 긍정과 부정의 효과는 항상 동시 다발적으로 발생한다는 점이다. 초연결을 지향하는 4차디지털변환기에 있어서 가장 핵심적인 부정적 효과 란 바로 프라이버시와 보안이라고 말할 수 있겠다. 왜냐하면 연결은 좋은 객체와의 연결을 통한 새로운 가치의 신속한 창출과 향유를 제공하지만 동시에 악의적인 목적에 이용될 가능성에 그만큼 더 많은 문을 열어주는 것과 같기 때문이다. 2. 눈 앞의 디지털 세상 초 연결 사회는 IT기반의 디지털 사회나 마찬가지다. 아날로그의 가치와 향수는 개인의 취미나 취향으로는 남겨지게 될 것이다. 대부분의 인간 활동과 기업의 활동이 디지털화되어 기획, 구축, 운영, 관리되는 세상이 올 것이다. 적어도 20년 이내에는 화폐조차 완전히 사라질 가능성이 높다. 그것이 구지 지금의 비트코인과 같은 암호화폐일 필요는 없다. 미래의 화폐가 무엇이 되었던 그것은 중요하지 않다. 다만 디지털화될 것이란 것에는 아무도 이견이 없을 것이다. 최근의 핀테크 이슈도 그러한 맥락에서 생겨난 하나의 현상이다. 아날로그의 마지막 추억은 화폐가 될 것이며 그 마저 디지털화되어 사라진다면 세상은 디지털이 아닌 것이 없게 된다는 것과 진배없다. 3. 조화 하루가 다르게 기술은 진화 발전한다. 때로는 어느 단계를 뛰어넘는 듯 한 현상도 종종 목격된다. 불가능을 가능하게 하며 상상을 현실로 만들어 버리는 폭발적인 실험들이 연일 지속되고 있다. 어떤 합리적인 투자가의 입장에서 보면 이러한 노력들이 밑 빠진 독에 물 붓기로 보이기도 한다. 그러나 분명한 것은 변화와 발전은 지속되고 있다는 것이다. 진화와 발전은 긍정과 보편적 가치를 지향한다고 믿어진다. 하지만 그 과정이 항상 명확하고 좋은 방향으로만 흘러가기는 어렵다. 기술과 기술 간의 간극이 벌어지기도 하고 연결과 호환의 불 안정성으로 예기치 못한 재앙적 결과를 가져오기도 한다. 특히나 특정 기술의 개발과 응용이 집단화된 이기주의에 의하여 주도되거나 퇴출되어 인류의 이익에 반함에도 불구하고 수용을 강요당하기도 한다. 그러므로 조화가 필요하다. 조화는 보편적 가치를 추구하는 사람들의 노력이 뒤 받침 되어 지속적인 시도와 퇴출의 반복을 통하여 이루어 질 것이다. 4. 인증보안 체계의 중요성 인터넷에 연결된 60억 사용자와 모발일로 연결된 30억 사용자가 매일 24시간 온라인 상태로 무엇인가를 하고 있다. 인터넷은 그 시작이 개방형 오픈 네트워크이다. 즉 누구나 접속할 수 있는 사이버 세상이라고 여겨져 왔다. 여기까지는 문제될 것이 없었다. 그러나 인터넷은 접속과 정보 전송을 한참 뛰어 넘어 이제는 무엇이나 할 수 있는 사어버 공간이 되었고 나아가 현실과 인터넷을 구지 구분할 필요를 느끼지 못할 수준에 도달했다. 급기야 인터넷의 핵심 가치라고 할 수 있는 “누구나 어디서나 접속"때문에 눈부신 발전을 이루었지만 이제는 동일한 이유로 전례 없는 문제와 위협에 노출되었다. 이제 다시 인증보안에 대한 이야기로 돌아가 보자. 필요에 따라 누구인지, 무엇인지, 무엇을 할 것인지, 허용을 할 것인지 아니면 차단 할 것인지, 허용한다면 그 권한의 수준은 어디까지 할 것인지, 불순한 의도를 사전에 파악할 방법은 없는지 등등을 결정하고 적용함에 있어서 신뢰할 수 있고 자동화가 가능한 뛰어난 결정 알고리즘이 필요하게 되었다. 이 알고리즘이 바로 인증보안체계이다. 한마디로 신뢰로운 인증보안 체계 없이는 오늘날 세상은 하루도 운영이 불가능하다는 것이다. 5. 인증체계의 구조 고객 감동을 추구하는 수 많은 가치 개발 노력들은 수많은 디바이스를 탄생시켰다. 특히 IOT 디바이스는 수십억 개가 연결되는 세상으로 치닫고 있다. 네트워크의 특성상 이들이 직접적으로 연결될 필요는 없다. 다시 말해 연결되지 않았지만 언제라도 연결될 수 있는 구조를 가지고 있다는 뜻이다. 디바이스를 네트워크를 통해 사용자가 제어하고 통제하고 이용할 수 있어야 하고 디바이스는 정당한 사용자나 신뢰할 수 있는 다른 디바이스만 연결을 허용할 수 있어야 한다. 뿐만 아니라 급속히 늘어나는 디바이스와 서비스 서버들이 사용자를 정확히 식별하고 인증된 사용자에게만 로그인, 거래 및 전자서명을 허용하는 인증체계가 필요하다. 구지 언급하자면 현재 이 과정을 비밀번호라는 인증수단이 가장 광범위하게 담당하고 있다. 이는 매우 심각하고 안일한 대응이 아닐 수 없다. 보다 안전하고 긴편한 디바이스와 사용자에 대한 동시 인증체계가 긴급하게 필요하다. 6. 위험 헷지 “혹자는 아직까지 잘 돌아 가고 있지 않나” 라고 말할 수도 있겠다. 그러나 정말 잘 돌아가는 것인가? 인증보안 문제가 어떻게 관리되고 있는지 소비자 생활과 산업을 연관 지어 살펴보면 이 문제는 명확하다. 전혀 잘 가동되고 있지 않으며, 불공평하며 심지어 집단 내지는 자본 이기주의가 숨어 있지 않나 의심이 들 정도이다. 인증체계의 구축과 운영 환경은 기술선도국이나 추종국이나 별반 차이가 없다. 현재까지도 온라인 인증은 비밀번호가 99% 이상을 차지하고 있다. 사이버 범죄로 인한 천문학적인 피해가 바로 이 비밀번호의 허술한 보안체계 때문임은 말할 필요도 없을 것이다. FIDO생체인증 표준이 비밀번호를 없애 줄 것이라 생각하는 것은 큰 오해이자 착각이다. 생체정보를 등록하기 위하여 먼저 비밀번호로 로그인하는 과정을 거치기 때문이다. 그러므로 비밀번호에 의존하는 이상 인증보안체계는 그 수준이 대동소이 하다고 보아도 무리가 없을 것이다. 그렇다면 비 대면 온라인 환경에서 핀테크나 금융산업이 활발하게 발달한 국가와 그렇지 않은 국가의 차이는 무엇 때문일까? 많은 여러가지 이유가 있겠지만 그 격차는 보험 산업의 수준과 관계가 깊다고 하겠다. 사이버 보험이 발달하고 거대 시장이 존재하는 국가에서는 보안침해로 인한 손실을 대부분 보험으로 헷지 할 수 있다. 보험료가 비용인 것은 분명한 사실이고 축소시키고자 하는 위험관리 부서의 미션도 있지만, 그럼에도 불구하고 보험은 가장 효과적인 위험관리 솔루션임에 틀림없다. 안타깝게도 선진국을 제외하고는 이러한 사이버 보험이 발달하지 못했다. 거대자본과 대규모의 기술자를 보유한 기업들조차 기술적으로 인증보안 체계를 개선하지 못하고 보험에 의존하는 것은 그 만큼 풀기 어려운 숙제이기 때문일까? 아니면 전락적 포석일까? 7. 결론 우리는 디지털변환기 또는 4차산업혁명이라는 단어를 인용하지 않더라도 인증보안체계의 중요성을 잘 알고 있다. 대한민국의 경우 최근 수년 사이에 사이버 위협으로 인하여 디지털 금융이 오히려 퇴보하였다. 일각에서는 비밀번호로 다 되는 해외 사례를 궁극의 정답인양 피상적인 정보로 혼란만 가중하였고 공인인증서 기반의 인증체계는 기술적/가치적으로 발전을 이루지 못하였다. 그 결과 지연이체, 이체한도 축소, 출금지연, 간편결제의 난립 등으로 불편함이 오히려 가중되었다. 요란한 생체인증이나 블록체인이 우리의 실생활에 추가적인 편의성과 안전성을 제공하였는지 다시 생각해볼 일이다. 기존의 디지털 금융 서비스가 퇴보하였다고 느낀다면 무엇이 부족한지 무엇을 해야 하는 지에 대하여 추가적인 부연 설명은 더 이상 필요가 없다고 할 수 있겠다. 이제 중요한 것은 지금부터이다. IOT시대는 거스를 수 없는 대세이고 기존의 디지털 가치 서비스는 IOT와 결합되어 더욱 분화되고 결합될 것이기 때문이다. 그러므로 어플리케이션과 IOT의 융합 인증보안체계는 이 시대의 가장 핵심적인 선결과제임에 틀림없다. http://blog.naver.com/gcodpasscon/221159044413
인터넷 연결도 안돼있는데 모니터에 "또 올게" 소름돋는 해킹 사건
인터넷, 블루투스 다 꺼져 있는데 혼자 살아서 움직이는 마우스 커서... 컴퓨터 하나에서만 그러는 게 아니라 저 집에 있는 컴퓨터 2대, 노트북 2대에서 다 그런 일이 발생한다고 합니다. 키보드를 사용하는 게 더 쉬울텐데 마우스만 사용한다는 건 키보드까지는 어떻게 못 했다는 건데... 블루투스 말고도 마우스에 접근할 수 있는 방법이 있는 건가, 어떻게 이럴 수가 있지 싶어서 저 영상 댓글들 몇 개 가져와 봤어요. - 오프라인 상태에서도 해킹이 된다면, 무선 접속장치들을 의심해야 합니다. 즉 마우스, 키보드 그리고 모니터같은 다른 장치가 PC본체와 무선으로 접속되어 있을 경우, 그 접속들은 Lan, Wifi, Bluetooth를 사용하지 않고 직접 리시버란 접속단자를 사용하는 경우가 있습니다. 이 경우, 무선장치와 리시버사이의 접속을 해킹한 해커는 이런 기기들을 이용하여 PC를 조작할 수 있습니다. - 데스크탑에서 렌선을 뽑았는데도 양자간 소통이 된다는건 물리적으로 아예 불가능한거고 프로그램이 미리 짜여진 몇가지 쿼리대로 대응하는것일 확률이 가장 높음 - 관련업 종사자구요. 우선 해커가 그림판에 글을 적는경우는 처음 보네요. 자판을 안쓰고.. 그리고 뱅킹 비번 탈취하는게 가장 돈이 되는데 굳이 신상을 공개하고 욕을 하는일은 해커의 짓이라고 보기 힘들어요. 또한 신고자가 네트워크 연결이 없다고 했지만, 실제 최신 윈도우즈 10의 경우 근거리 통신 프로토콜로 스마트폰 동기화까지 지원하기 때문에 신고자의 잘못된 판단일 가능성이 높습니다. 여기서 우리가 주목해야 하는 부분은 해커가 그림판에 글씨를 쓰는 것이죠. 굳이 메모장 키보드를 내비두고 그림판을 쓰는 것은 상당히 제한된 권한만 획득한 상태라는것 즉 마우스와 기본 프로그램만 접근이 가능한 정도 라는건데 그 상황에 가족의 신상을 전부 알고 있다면 분명히 범인은 컴퓨터 지식이 높지 않은 비전문가이며, 가족의 지인일 수 있습니다. 이유는 정확히 알 수 없지만 누군가 노원 경찰서로 사건 접수됐다고 들은 순간 식은땀 흘리는 가족 또는 지인이 있을 겁니다 그 분을 찾으세요 해킹이 아니라 가족 또는 지인의 질 나쁜 장난입니다
"주진모 폰 해킹, 이것만 했어도 막을 수 있었다?"
타 사이트서 알아낸 비번으로 클라우드 해킹한듯 연예인 SNS 해킹, 대부분이 비번 똑같아서.. 사이트 다르면 비밀번호도 다른 걸 써야 비번에 사이트 주소 덧붙이는 식으로 다변화 ■ 방송 : CBS 라디오 <김현정의 뉴스쇼> FM 98.1 (07:30~09:00) ■ 진행 : 김현정 앵커 ■ 대담 : 김승주(고려대 교수) 정말 주말 내내 뜨거웠던 뉴스가 하나 더 있죠. 주진모 씨를 비롯한 유명 배우와 아이돌 가수. 이런 연예인 10여 명의 휴대 전화가 해킹이 됐고 그 속에서 나눈 아주 사적이고 은밀한 SNS 대화들이 유출이 돼서 일파만파 퍼진 사건이었는데요. 해커가 주진모 씨한테 10억 원 이상을 요구했는데 주진모 씨가 응하지 않았답니다. 그래서 저는 주진모 씨가 휴대폰을 도난당했거나 아니면 어디에 수리를 맡겼다가 이런 일을 당한 거 아닌가? 이렇게 생각하고 있었는데 그게 아니었습니다. 요즘 대부분의 휴대폰이 연결돼 있는 클라우드 서비스. 그 클라우드 서비스의 계정이 해킹된 거였습니다. 그렇다면 내가 휴대폰을 아무리 잘 간수한들 벌어질 수 있는 일이란 얘기인가? 이거 어떻게 된 건지 전문가의 얘기를 좀 듣고 가 보죠. 고려대학교 정보대학원 김승주 교수 만납니다. 김 교수님, 안녕하세요? ◆ 김승주> 안녕하십니까. ◇ 김현정> 주진모 씨는 휴대폰을 분실한 적도 없고 어디에 수리를 맡긴 적도 없고 쓰던 폰을 판 적도 없는데 대체 이 은밀한 카톡 대화가 어떻게 소위 털린 겁니까? ◆ 김승주> 지금 아직 조사 중이니까 확정된 건 아니고요. 그런데 그 관련 업체 발표에 따르면 요새 무슨 여러 가지 무슨무슨 패드도 있고 스마트폰도 있지 않습니까? 그런데 이런 것들을 분실할 경우에는 데이터가 다 소실될 수가 있기 때문에 요새는 클라우드 서비스와 이 기기들을 연동시켜놓습니다. ◇ 김현정> 삼성 클라우드, 네이버 클라우드, 구글 클라우드. 뭐 이런 클라우드죠? ◆ 김승주> 그렇죠. 그래서 내 휴대폰에 있는 전화번호부 목록이라든가 아니면 캘린더 일정 아니면 문자메시지 내용. 이런 것들을 클라우드와 연동시켜서 자동으로 백업되도록 해 놓을 수가 있습니다. 그러면 이제 스마트폰을 분실해도 나중에 거기에서 카피를 해서 내려받을 수가 있잖아요. 아마 이 클라우드 서비스를 통해서 백업해 둔 정보가 유출된 것 같다라고 지금 보고 있는 것 같습니다. ◇ 김현정> 말씀하신 대로 보통 클라우드에 사진이나 스케줄, 캘린더라든지 혹은 문서파일, 오디오 파일 이런 걸 연동해서 많이 쓰지만 카톡 대화 연동은 잘 안 하지 않아요? ◆ 김승주> 지금 삼성폰 같은 경우에는 카톡 대화를 연동하는 기능은 없고요. 그런데 클라우드 서비스 중에는 휴대폰의 데이터 전체를 백업하는 기능도 있거든요. 그래서 이번에 아마 유출된 것은 일반 메시지가 유출된 것이지, 대화까지 유출된 것 같지는 않습니다. ◇ 김현정> 그럼 이게 문자 메시지 주고받은 거라고요? ◆ 김승주 > 네. 그러니까 현재 삼성 클라우드에는 카카오톡 메시지까지 백업하는 기능은 들어 있질 않습니다. ◇ 김현정> 그러면 제가 어떤 클라우드에 들어가서 사진만 본다고 해도 사실 백업 유무에 체크해 놨으면 문자까지 다 클라우드로 갔었을 거란 말씀이시군요. ◆ 김승주> 그렇죠. 보통은 일반 분들이 클라우드와 연동돼 있다는 거 자체를 모르시는 분들도 많고요. 클라우드에 연동돼 있다라고 하면 어떤 정보까지가 올라가는 건지도 사실 관심이 잘 없으시거든요. 그러니까 사실 대부분 사용자들의 경우는 이 클라우드 쪽은 방치되고 있다고 보셔야 됩니다. 그러다 보니까 해커들이 그걸 노리는 경우가 많고요. ◇ 김현정> 이게 백업이 돼 있다는 것도 잘 모르는 경우가 많다? ◆ 김승주> 그렇죠. 국내뿐만 아니라 외국에서도 종종 벌어집니다. ◇ 김현정> 그러면 이 클라우드 시스템 자체가 해킹이 된 것이냐? 아니면 주진모 씨의 계정을 그 해커가 어디서 봐가지고 그걸 집어넣은 것이냐. 아니면 주진모 씨 계정만 상대로 해서 비밀번호 생성기 같은 것을 돌린 것이냐. 어느 쪽이라고 보세요? ◆ 김승주> 일단 삼성전자도 발표를 하기는 했지만 제 자신도 클라우드 자체가 직접적으로 해킹당했다라기보다는 주진모 씨의 아이디, 패스워드가 도용당한 쪽이 더 맞지 않나라고 생각합니다. ◇ 김현정> 그런데 그 해커가 주진모 씨 아이디를 어떻게 알았을까요, 아이디와 패스워드를? ◆ 김승주> 일단은 클라우드 자체가 직접적으로 해킹을 당했다라고 그러면 피해 범위가 전 세계적으로 광범위하게 나타났어야 됩니다. 그런데 이게 특정 연예인들을 중심으로 나타난 걸로 봐서는 클라우드 자체가 해킹당한 것 같지는 않고요. 제가 아이디, 패스워드가 도용당했다라고 말씀드린 것은 많은 연예인분들이 스마트폰이 뚫렸다, 페이스북이 뚫렸다, 트위터가 해킹당했다. 이런 얘기들을 많이 하시거든요. 그런데 조사를 해 보면 진짜로 해킹당했다라기보다는 다른 사이트의 아이디하고 패스워드를 쓰던 것을 해커가 알아낸 겁니다. 그런데 공교롭게도 이 아이디하고 패스워드를 똑같이 삼성 클라우드나 트위터나 페이스북에도 똑같은 아이디하고 패스워드를 썼던 거죠. 그럴 경우에 아이디하고 패스워드 도용이 일어나게 됩니다. ◇ 김현정> 그 말은 아이디와 패스워드 뚫는 게 굉장히 쉬운 사이트들이 있다는 얘기죠. 보안이 취약한. ◆ 김승주> 영세한 쇼핑몰 같은 사이트죠. ◇ 김현정> 그러면 예를 들어 A라는 연예인이 영세한 쇼핑몰에서 쓰던 아이디와 비번을 똑같이 클라우드에도 쓰고 카톡에도 쓰고 여기저기 쓰면 그걸 가지고 다른 계정에도 시도해 보는 거군요? ◆ 김승주> 그렇죠. ◇ 김현정> 그러다가 하나 뚫리는 거군요? ◆ 김승주> 그렇죠. ◇ 김현정> 알겠습니다. 사실 이번에 연예인의 문자 메시지가 털렸기 때문에 관심이 뜨겁습니다마는 생각해 보면 이건 누구나 이렇게 벌어질 수 있는 일이네요? ◆ 김승주> 맞습니다. 그래서 한 1-2년 전에도 할리우드 배우도 이런 식으로 해서 사진이 전부 다 털린 적도 있고요. 그래서 요새 ‘삼성 폰이 이거 문제가 있는 거 아니야?’ 이러시는데 1-2년 전에 할리우드 배우 클라우드가 털렸을 때는 그것은 아이폰이었거든요. ◇ 김현정> 아이폰도 털릴 수도 있겠네요, 이런 식이라면? 아이디랑 비번을 넣는 거니까. ◆ 김승주> 그렇죠. 아무리 잘 만들어도 아이디하고 비밀번호 관리를 소홀히 하면 이건 뭐 어떻게 할 수가 없는 겁니다. 그래서 애플 같은 경우에는 이중 인증이라 그래서 아이디하고 비밀번호를 입력해야 되지만 또 다른 인증을 또 거쳐야 됩니다. 예를 들어 SMS 문자 메시지 같은 걸 확인한다든가. 삼성 같은 경우도 그렇게 이중 인증을 제공합니다마는 아이폰하고 다른 건 아이폰은 의무적으로 전부 다 이중 인증을 해야 되고요. ◇ 김현정> 선택이군요. ◆ 김승주> 삼성은 사용자가 선택해야 되는 거고요. ◇ 김현정> 여러분, 이런 식으로 해서 연예인들의 카톡, 연예인들의 SMS 문자메시지가 털린 겁니다. 그럼 우리가 여기서 기억해야 할 것 세 가지가 있다고요. 첫 번째는 무엇인가요? ◆ 김승주> 일단은 사이트가 달라지면 비밀번호는 다른 걸 쓰셔야 됩니다. ◇ 김현정> 아니, 그런데 헷갈려요. 요즘 워낙 쇼핑몰이며 뭐며 등록한 게 많아서. 그러면 적어놔야겠네요? 귀찮더라도. ◆ 김승주> 아니요. 그걸 본인만의 규칙을 만들어놓는 게 좋습니다. 예를 들어 내가 백설공주와 일곱 난쟁이다. 그러면 한글로 ‘백설’ 하시고 더하기(+) 표시하시고 숫자로 7 하시면 일종의 규칙이 만들어진 거죠. 그다음에 맨 뒤에다가 접속하시는 사이트 주소의 앞의 두 글자만 내가 붙이겠다라든가. 그러면 비밀번호가 계속 바뀔 거잖아요. 김승주 고려대 정보보호대학원 교수 ◇ 김현정> 그러네요, 사이트가 바뀌는 것에 따라서. 그러면 꼭 앞에 두 글자라고 안 해도 자기가 뭔가 규칙을 넣으면 되니까. ◆ 김승주> 그렇죠. 그래서 본인만의 규칙을 만들어서 사이트마다 비밀번호를 바꿔주시라 하는 게 첫 번째고요. 두 번째는 이중 인증이라고 하는 걸 가급적 켜두시는 게 좋습니다. 그래서 요새는 워낙 해킹이 발달했기 때문에 비밀번호 외에도 생체 인식이라든가 SMS 문자 확인이라든가 별도의 인증 수단을 추가로 더 하나 하시는 게 좋고요. 세 번째로 가장 중요한 것 중에 하나가 스마트폰 OS하고 앱은 항상 최신 버전으로 업데이트를 해두셔야 됩니다. ◇ 김현정> 업데이트 한 번 누르면 몇 분씩 걸리고 이러니까 다들 ‘나중에 하기’를 누르고 넘어가시거든요. 그러지 말고? ◆ 김승주> 그리고 업데이트 공지가 뜨면 그 공지를 일반인이 아니라 해커도 보거든요. 그래서 해커는 그 공지를 분석해서 스마트폰 어디에 문제가 있는지를 알아내게 되고 하루이틀 안에 바로 공격 코드를 만들어냅니다. ◇ 김현정> 정말요? ◆ 김승주> 그래서 공지가 뜨면 즉각적으로 업데이트하셔야 되고요. 실제로 최신 버전으로 업데이트만 잘돼 있어도 우리 무슨 스미싱 문자를 통한 해킹 이런 얘기 많이 나오잖아요. 조금 있으면 구정도 있고 하니까. 그런데 업데이트만 잘돼 있어도 이런 스미싱 문자를 통한 해킹의 95-96% 이상은 견뎌낼 수 있습니다. ◇ 김현정> 알겠습니다. 스마트폰 최신 버전 업데이트 메시지가 뜨면 여러분 미루지 마시고 이틀 안에, 최소한 이틀 안에는 반드시 업데이트 하라. 여기까지 기억해야겠습니다. 김승주 교수님, 고맙습니다. ◆ 김승주> 네, 감사합니다. (속기=한국스마트속기협회)
비밀번호 관리 고민 끝~~IDall 베타 릴리즈
IDall 베타 릴리즈를 알려드립니다. iOS : https://itunes.apple.com/us/app/idall/id1438211975?l=vi&ls=1&mt=8 Android : https://play.google.com/store/apps/details?id=com.passcon.idall 윈도우즈와 멕 버전도 곧 릴리즈 됩니다. 여러분들의 작은 관심과 참여가 “비밀번호 없는 세상 만들기"의 시작입니다. 지금 설치하시면 좋은 아이디를 가지실 수 있습니다. 미진한 부분과 일부 버그에 대해 미리 양해 부탁드립니다. --------- IDall을 만들기 까지 ----- 거의 5년 가까이 소요된 작업이었습니다. 아직도 완전히 모습을 갖추려면 개발 할 것들이 많이 남아 있습니다. 왜 5년이나 걸렸을까요? 처음에 CQLock이라는 기술을 개발하여 이니시스 Kpay에 장착했지만 불편하다는 평을 들었지요 “더 편하게 만들자 그러나 더 안전하게 만들자” 그래서 탄생한 것이 패스콘(PASSCON)입니다. 그러나 새로운 보안 인증기술을 상용 솔루션으로 만드는 것은 많은 비용과 알고리즘에 대한 끊임없는 고민을 야기하더군요, 프로토타입을 완성하였지만 금융기관을 설득하기는 역시나 어려웠습니다. “그럼 직접 서비스를 만들자, 사용자 경험을 축적하자“ 아이돌(IDall) 암호관리 서비스를 만들게 된 이유입니다. 암호관리는 아주 중요한 사용자의 정보를 저장 관리하여야 하므로 패스콘 알고리즘에 추가로 더 많은 고민을 안겨 주더군요. 기존 경쟁 서비스를 분석하니 가장 큰 약점이 마스터 계정에 대한 보안 문제와 저장하는 사용자의 ID,PW들을 관리하는 방법에 약점이 있었습니다. 경쟁서비스 들 : https://www.pcmag.com/article2/0,2817,2407168,00.asp “그래서 마스터 계정은 패스콘으로 보호하고 ID,PW도 패스콘으로 생성하는 암호화 키를 사용하여 보호하자“ 마스터 계정은 비밀번호에 의존하는 다른 서비스들과 달리 패스콘으로 철저히 안전성을 제공합니다. 패스콘의 아이콘 키는 유출되기도 어렵지만 유출되어도 다른 디바이스에서는 작동하지 않습니다. ID,PW는 어디에도 저장되지 않고 사용자가 로그인해야만 생성되는 개인화된 AES256 16자리 암호화 키를 완전하게 적용합니다. PKI키는 당연하구요 그러므로 설사 서버가 해킹되어도 마스터 계정이 도용될 수 없고 저장된 ID,PW도 크랙이 현실적으로 불가능하다고 할 수 있습니다. 사용자 편의를 위하여 등록된 사이트를 터치하면 바로 로그인 되는 사이트도 500개나 미리 등록해 두었습니다. 아주아주 중요한 비밀정보들을 모두 아이돌로 관리하기를 바라지는 않습니다. 그렇지만 늘 불편하고 스트레스의 원인이었던 비밀번호들을 IDall로 관리하신다면 상당부분 편안해 지실 것이라 생각됩니다. 아무쪼록 IDall을 설치해 보시고 애용해 주시기를 바랍니다. 여러분들의 작은 관심과 참여가 “비밀번호 없는 세상 만들기의 시작입니다. 지금 설치하시면 좋은 아이디를 가지실 수 있습니다. #패스콘 #idall #passcon