mhdc
50+ Views

긴급 바이러스 경보!!!

Comment
Suggested
Recent
Cards you may also be interested in
IOT 융합 인증체계
디지털 사회는 IOT융합 인증보안체계를 절박하게 요구한다. http://blog.naver.com/gcodpasscon/221159044413 1. 서론 인증에 대한 수요는 보안 목표를 달성하고 KYC(know Your Customer)를 통하여 고객 만족과 편의를 제공하며. 서비스나 상품의 경쟁력을 강화하기 위하여 필수적인 비즈니스 요구로 부터 시작된다. 이러한 인증보안 수요는 모든 산업에 걸쳐 고객 주기 전반에 걸쳐서 빈틈 없이 내재되고, 연결되고 관련되어야 한다. 특히 4차산업혁명(Digital Transformation)이라고 부르는 최근의 동향에서 알 수 있듯이 향후 10년 이상 지속적인 변화의 압박이 모든 인간의 생활 속으로 파고들 것이다. 이러한 압박은 이전에 경험하거나 상상할 수 없었던 복잡성과 다양성을 쏟아내게 될 것이다. 여기서 주목되어야 할 것은 긍정과 부정의 효과는 항상 동시 다발적으로 발생한다는 점이다. 초연결을 지향하는 4차디지털변환기에 있어서 가장 핵심적인 부정적 효과 란 바로 프라이버시와 보안이라고 말할 수 있겠다. 왜냐하면 연결은 좋은 객체와의 연결을 통한 새로운 가치의 신속한 창출과 향유를 제공하지만 동시에 악의적인 목적에 이용될 가능성에 그만큼 더 많은 문을 열어주는 것과 같기 때문이다. 2. 눈 앞의 디지털 세상 초 연결 사회는 IT기반의 디지털 사회나 마찬가지다. 아날로그의 가치와 향수는 개인의 취미나 취향으로는 남겨지게 될 것이다. 대부분의 인간 활동과 기업의 활동이 디지털화되어 기획, 구축, 운영, 관리되는 세상이 올 것이다. 적어도 20년 이내에는 화폐조차 완전히 사라질 가능성이 높다. 그것이 구지 지금의 비트코인과 같은 암호화폐일 필요는 없다. 미래의 화폐가 무엇이 되었던 그것은 중요하지 않다. 다만 디지털화될 것이란 것에는 아무도 이견이 없을 것이다. 최근의 핀테크 이슈도 그러한 맥락에서 생겨난 하나의 현상이다. 아날로그의 마지막 추억은 화폐가 될 것이며 그 마저 디지털화되어 사라진다면 세상은 디지털이 아닌 것이 없게 된다는 것과 진배없다. 3. 조화 하루가 다르게 기술은 진화 발전한다. 때로는 어느 단계를 뛰어넘는 듯 한 현상도 종종 목격된다. 불가능을 가능하게 하며 상상을 현실로 만들어 버리는 폭발적인 실험들이 연일 지속되고 있다. 어떤 합리적인 투자가의 입장에서 보면 이러한 노력들이 밑 빠진 독에 물 붓기로 보이기도 한다. 그러나 분명한 것은 변화와 발전은 지속되고 있다는 것이다. 진화와 발전은 긍정과 보편적 가치를 지향한다고 믿어진다. 하지만 그 과정이 항상 명확하고 좋은 방향으로만 흘러가기는 어렵다. 기술과 기술 간의 간극이 벌어지기도 하고 연결과 호환의 불 안정성으로 예기치 못한 재앙적 결과를 가져오기도 한다. 특히나 특정 기술의 개발과 응용이 집단화된 이기주의에 의하여 주도되거나 퇴출되어 인류의 이익에 반함에도 불구하고 수용을 강요당하기도 한다. 그러므로 조화가 필요하다. 조화는 보편적 가치를 추구하는 사람들의 노력이 뒤 받침 되어 지속적인 시도와 퇴출의 반복을 통하여 이루어 질 것이다. 4. 인증보안 체계의 중요성 인터넷에 연결된 60억 사용자와 모발일로 연결된 30억 사용자가 매일 24시간 온라인 상태로 무엇인가를 하고 있다. 인터넷은 그 시작이 개방형 오픈 네트워크이다. 즉 누구나 접속할 수 있는 사이버 세상이라고 여겨져 왔다. 여기까지는 문제될 것이 없었다. 그러나 인터넷은 접속과 정보 전송을 한참 뛰어 넘어 이제는 무엇이나 할 수 있는 사어버 공간이 되었고 나아가 현실과 인터넷을 구지 구분할 필요를 느끼지 못할 수준에 도달했다. 급기야 인터넷의 핵심 가치라고 할 수 있는 “누구나 어디서나 접속"때문에 눈부신 발전을 이루었지만 이제는 동일한 이유로 전례 없는 문제와 위협에 노출되었다. 이제 다시 인증보안에 대한 이야기로 돌아가 보자. 필요에 따라 누구인지, 무엇인지, 무엇을 할 것인지, 허용을 할 것인지 아니면 차단 할 것인지, 허용한다면 그 권한의 수준은 어디까지 할 것인지, 불순한 의도를 사전에 파악할 방법은 없는지 등등을 결정하고 적용함에 있어서 신뢰할 수 있고 자동화가 가능한 뛰어난 결정 알고리즘이 필요하게 되었다. 이 알고리즘이 바로 인증보안체계이다. 한마디로 신뢰로운 인증보안 체계 없이는 오늘날 세상은 하루도 운영이 불가능하다는 것이다. 5. 인증체계의 구조 고객 감동을 추구하는 수 많은 가치 개발 노력들은 수많은 디바이스를 탄생시켰다. 특히 IOT 디바이스는 수십억 개가 연결되는 세상으로 치닫고 있다. 네트워크의 특성상 이들이 직접적으로 연결될 필요는 없다. 다시 말해 연결되지 않았지만 언제라도 연결될 수 있는 구조를 가지고 있다는 뜻이다. 디바이스를 네트워크를 통해 사용자가 제어하고 통제하고 이용할 수 있어야 하고 디바이스는 정당한 사용자나 신뢰할 수 있는 다른 디바이스만 연결을 허용할 수 있어야 한다. 뿐만 아니라 급속히 늘어나는 디바이스와 서비스 서버들이 사용자를 정확히 식별하고 인증된 사용자에게만 로그인, 거래 및 전자서명을 허용하는 인증체계가 필요하다. 구지 언급하자면 현재 이 과정을 비밀번호라는 인증수단이 가장 광범위하게 담당하고 있다. 이는 매우 심각하고 안일한 대응이 아닐 수 없다. 보다 안전하고 긴편한 디바이스와 사용자에 대한 동시 인증체계가 긴급하게 필요하다. 6. 위험 헷지 “혹자는 아직까지 잘 돌아 가고 있지 않나” 라고 말할 수도 있겠다. 그러나 정말 잘 돌아가는 것인가? 인증보안 문제가 어떻게 관리되고 있는지 소비자 생활과 산업을 연관 지어 살펴보면 이 문제는 명확하다. 전혀 잘 가동되고 있지 않으며, 불공평하며 심지어 집단 내지는 자본 이기주의가 숨어 있지 않나 의심이 들 정도이다. 인증체계의 구축과 운영 환경은 기술선도국이나 추종국이나 별반 차이가 없다. 현재까지도 온라인 인증은 비밀번호가 99% 이상을 차지하고 있다. 사이버 범죄로 인한 천문학적인 피해가 바로 이 비밀번호의 허술한 보안체계 때문임은 말할 필요도 없을 것이다. FIDO생체인증 표준이 비밀번호를 없애 줄 것이라 생각하는 것은 큰 오해이자 착각이다. 생체정보를 등록하기 위하여 먼저 비밀번호로 로그인하는 과정을 거치기 때문이다. 그러므로 비밀번호에 의존하는 이상 인증보안체계는 그 수준이 대동소이 하다고 보아도 무리가 없을 것이다. 그렇다면 비 대면 온라인 환경에서 핀테크나 금융산업이 활발하게 발달한 국가와 그렇지 않은 국가의 차이는 무엇 때문일까? 많은 여러가지 이유가 있겠지만 그 격차는 보험 산업의 수준과 관계가 깊다고 하겠다. 사이버 보험이 발달하고 거대 시장이 존재하는 국가에서는 보안침해로 인한 손실을 대부분 보험으로 헷지 할 수 있다. 보험료가 비용인 것은 분명한 사실이고 축소시키고자 하는 위험관리 부서의 미션도 있지만, 그럼에도 불구하고 보험은 가장 효과적인 위험관리 솔루션임에 틀림없다. 안타깝게도 선진국을 제외하고는 이러한 사이버 보험이 발달하지 못했다. 거대자본과 대규모의 기술자를 보유한 기업들조차 기술적으로 인증보안 체계를 개선하지 못하고 보험에 의존하는 것은 그 만큼 풀기 어려운 숙제이기 때문일까? 아니면 전락적 포석일까? 7. 결론 우리는 디지털변환기 또는 4차산업혁명이라는 단어를 인용하지 않더라도 인증보안체계의 중요성을 잘 알고 있다. 대한민국의 경우 최근 수년 사이에 사이버 위협으로 인하여 디지털 금융이 오히려 퇴보하였다. 일각에서는 비밀번호로 다 되는 해외 사례를 궁극의 정답인양 피상적인 정보로 혼란만 가중하였고 공인인증서 기반의 인증체계는 기술적/가치적으로 발전을 이루지 못하였다. 그 결과 지연이체, 이체한도 축소, 출금지연, 간편결제의 난립 등으로 불편함이 오히려 가중되었다. 요란한 생체인증이나 블록체인이 우리의 실생활에 추가적인 편의성과 안전성을 제공하였는지 다시 생각해볼 일이다. 기존의 디지털 금융 서비스가 퇴보하였다고 느낀다면 무엇이 부족한지 무엇을 해야 하는 지에 대하여 추가적인 부연 설명은 더 이상 필요가 없다고 할 수 있겠다. 이제 중요한 것은 지금부터이다. IOT시대는 거스를 수 없는 대세이고 기존의 디지털 가치 서비스는 IOT와 결합되어 더욱 분화되고 결합될 것이기 때문이다. 그러므로 어플리케이션과 IOT의 융합 인증보안체계는 이 시대의 가장 핵심적인 선결과제임에 틀림없다. http://blog.naver.com/gcodpasscon/221159044413
'나도 드루킹이었다'
대한민국 뉴스는 루비콘의 강 앞에 서 있다 얼마 전 네이버에서 뉴스를 읽고 댓글을 작성하려던 트위터 사용자 손 씨는 ‘내 댓글’ 보기를 누르고 깜짝 놀랐다. 자신이 작성하지 않은 댓글들이 11개나 있었던 것이다. ‘댓글 알바’라는 용어가 공공연하게 나돌았고, 최근 ‘드루킹 댓글 조작’ 논란까지 있어 더욱 걱정할 수밖에 없었다. 혹시 자신의 아이디가 여론 조작에 사용되었을지 모른다는 불안감 때문이다. 손 씨는 네이버를 이용하면서 아이디 해킹 감지 경고를 받지 못했다. 내 아이디, 드루킹 일당이 아이디 댓글 도용할 수도 십알단과 드루킹 일명 ‘드루킹’이라는 필명의 김동원(49) 씨는 지난 1월 말 네이버의 게재된 뉴스 기사의 정부 비판 댓글에 집중적으로 ‘공감’을 클릭하여 조작한 혐의를 받고 있다. 이 과정에서 김 씨는 반복 자동화 프로그램인 ‘매크로’를 활용했다. 경찰 발표에 따르면, 드루킹의 ‘매크로’ 프로그램에 동원된 아이디는 2,200여 개에 달한다. 댓글을 통한 여론 조작이라는 외형만 본다면, 드루킹 일당의 수법은 지난 2012년 대선 당시 활동했던 불법조직인 ‘십알단’과 비슷하다. 하지만 ‘십알단’은 인기 커뮤니티 게시글 및 포털 기사 댓글의 대량 작성, 트위터 내 대량 리트윗을 통해 대세몰이했다는 점에서 네이버 기사 댓글의 공감 수를 집중적으로 조작해 순위를 올린 드루킹의 방식과 차이가 있다. 십알단 방식이 물량에 바탕을 둔 공세라면, 드루킹 일당의 전략은 선택과 집중이다. 진화하는 여론 조작 문제는 ‘물량 공세’와 ‘선택과 집중’의 융합이다. ‘40인의 조작단’이 있다고 가정해보자. 이들은 손 씨의 아이디와 같이 댓글 작성 가능한 해킹 아이디를 각각 10개씩 가진 ‘댓글 팀’ 20명, 한 명당 1,000개의 아이디를 운용하는 ‘매크로 팀’ 20명으로 구성된다. (드루킹 일당은 3명이 2,200개의 아이디를 사용했다.) 이 ‘40인의 조작단’이 조작하려는 대상은 네이버 화면 우측 상단의 ‘가장 많이 본 뉴스’의 댓글이다. 가장 많이 본 뉴스는 정치, 경제 등 5개 섹션에서 하루 최대 1,000개의 기사가 노출된다. 매 시간마다 이전 한 시간 동안 가장 높은 조회 수를 기록한 각 섹션 10개의 기사가 나열된다. 이제 조작을 시작해보자. 우선 댓글 팀 20명은 특정 기사를 골라 ‘조작 댓글’을 각각 할당된 10개의 해킹 아이디로 3개씩 작성한다. 이후 ‘매크로 팀이 나선다. 20명이 각각 자신이 운용하는 1,000개의 해킹 아이디를 가지고 매크로를 통해 조작된 댓글에 공감을 누른다. 이렇게 하면 ‘조작 댓글’을 순식간에 20,000개의 공감을 받은 댓글로 만들 수 있다. 지금의 시스템이라면 ‘40인의 조작단’의 규모를 확대하여 네이버 ‘가장 많이 본 뉴스’에 게재되는 기사 안의 모든 BEST 댓글을 조작할 수 있다. 또 조작단이 기사 하단의 ‘이 기사를 모바일 메인으로 추천’ 탭을 눌러 모바일로까지 노출된다면 그 영향력은 엄청나게 커진다. 상위 랭킹에 오른 기사는 조작할 만한 기사? 사실 ‘가장 많이 본 뉴스’ 랭킹은 이전 1시간 동안의 집계 결과다. 그렇다면 조작단 입장에선 타이밍을 놓친 것이 아닐까? 그렇지 않다. 포털을 통해 뉴스를 읽는 독자 대부분은 기사가 조회 수 랭킹에 진입해야만 비로소 읽게 된다. 오히려 랭킹에 진입한 기사라야만 댓글을 조작할만 한 가치가 생긴다고 해도 과언이 아니다. “차라리 댓글을 더 신뢰하는 편이에요.” 특히 청소년은 댓글 조작에 취약하다. 어떻게 해결할 수 있을까? 해외에서는 어떻게 댓글 관련 문제를 풀어가고 있을까? 5월 2일 국회에서 열린 <포털 인or아웃 ‘포털 댓글과 뉴스편집의 사회적 영향과 개선방안’ >에서의 신경민 더불어민주당 의원 발표자료에 따르면, 구글이나 바이두의 경우 뉴스 서비스 자체가 아웃링크 시스템이기 때문에 댓글 문제 자체가 없으며, 로이터, NPR 등의 해외 뉴스 매체 또한 댓글 서비스를 아예 없애는 경향이라고 밝혔다. 급변하는 미디어 환경 속에서 가짜 뉴스와 댓글 조작, 언론의 신뢰성 회복, 독자와의 소통 등 수많은 난제가 산적해 있다. 지금 대한민국 뉴스는 루비콘의 강 앞에 서 있는지 모른다. 뉴스의 단순 수용자를 넘어 능동적 시민이 되기 위해 먼저 자신의 아이디가 댓글 조작에 도용되지는 않았는지 확인해보자.
소련의 마지막 흔적, .su
https://www.inverse.com/article/8672-the-bizarre-afterlife-of-su-the-domain-name-and-last-bastion-of-the-ussr?fbclid=IwAR0P9wAMznxW2COywsfR3ZZVPou0UfNXOZTUL300OyaX13kBDaXTlinFaiw 역사는 이상한 방식으로 그 흔적을 남기기도 한다. 이번 주말 특집은 지금은 더 이상 존재하지 않는 국가, 소련의 최상위 인터넷 도메인 .su의 이야기이다. 나라 이름에 따른 인터넷 주소는 국제인터넷주소관리기구(Internet Corporation for Assigned Names and Numbers, ICANN) 산하 Internet Assigned Numbers Authority (IANA)에서 지정한다. 이 IANA는 1988년에 설립됐으며, 곧바로 여러 나라들에게 이 주소 저 주소를 할당하기 시작했었다. 그래서 소련도 1990년 9월 19일, .su 주소를 받는다. 당연히 소비예트 유니온의 준말이다. 소비예트 유니온의 준말이라니, 차라리 .ussr이 낫잖을까 싶기도 한데, 애초에 .su 도메인을 제안했던 인물은 소련인도 아니고 19살 먹은 한 핀란드 대학생이었다고 한다(참조 1). 그런데… 그로부터 15개월 후, 소련이 분리되어버린다. 정말 막바지까지 그 강대한 제국이 무너질지는 아무도 예상치 못 하던 차였다. 그런데 이 su 주소는 끈질기게 지금도 살아남아 있으며 실제로 작동은 물론 새로운 주소 등록도 받고 있다(참조 2). 잠깐, 그때 무너진 국가는 소련만이 아닐 텐데요? 좋은 지적이다. 유고슬라비아는 .yu, 동독은 .dd(독일민주공화국의 약자다, 서독은 참고로 독일연방공화국), 체코슬로바키아는 .cs였다. 이들 모두 사라졌으며, 신규 등록을 받지 않고 있다. 그렇다면 도대체 .su 도메인은 어떻게 살아남은 것일까? 러시아의 음모일까? 의외로 살아남은 이유는 행정지체(…) 및 저항(!)이었다. 러시아의 도메인인 .ru가 1994년이나 되어야 등장했기 때문이다. 즉, 소련 붕괴 이후 인터넷 사이트를 만들려는 구-소련계 주민/법인들은 어쩔 수 없이(?) .su 도메인을 이용해서 등록해야 했으며, 이왕 살아 있으니 계속 살려야 한다는 IANA 내 러시아계 직원들의 저항 때문이었다. 게다가 러시아 내 인터넷 주소 할당을 위해 2001년부터 활동한 러시아공공네트워크연구소(Российский научно-исследовательский институт развития общественных сетей (РосНИИРОС))는 .ru는 물론 .su도 관리하기 시작했다. 그래서 현재 .su를 사용하고 있는 인터넷 주소는 119,423개소가 있다고 한다. 그렇다면 나라도 없는데 누가 이 .su를 사용하고 있느냐, 쏘오련에 대한 향수를 갖고 있는 이들인가(참조 1의 .su 도메인), 아니면 우크라이나 동부의 친-러시아 단체의 웹사이트인가(참조 3), 그것도 아니면 푸틴을 옹호하는 외곽 청년조직, “우리들(Наши, 참조 4)”인가? 수많은 사이버 범죄단체들이 이 주소를 사용하고 있다(참조 5). 스팸과 DDoS 공격, 인터넷 사기범들이 사용한다는 얘기다. 이들의 활동은 단순 사기에 그치지 않고 미국 선거 개입도 한 모양(참조 5). 가령 Exposed.su는 트럼프와 밋 롬니, 미셸 오바마 등의 신용 내역을 누출했다고 한다. (사이트는 현재 사라졌다.) 물론 그렇다고 하여 .su 주소가 사라지는 일은 러시아가 있는 한, 없을 것 같다. 생각해 봅시다. 발해 부흥운동은 거의 200년을 갔었다. 영국인들의 .eu 도메인 요구 또한 20년은 더 갈 수 있으며(참조 6), 소련에 대한 향수는 분명 대를 넘길 것이다. -------------- 참조 1. Юбилей Рунета: 10 лет назад финн Петри Ойала зарегистрировал домен .su(2000년 9월 19일): https://web.archive.org/web/20140102191207/http://netoscope.narod.ru/news/2000/09/19/312.html 애초 소련의 유닉스/데모스(ДЕМОС) 망은 중립국(!) 핀란드를 통해서 서방과 연결됐었고, UUCP(전송프로토콜)을 이용해서 소련과 세상을 이어준 것이 바로 핀란드 대학생, Petri Oyala였다. 참고로 실제 관여자들의 증언은 다음의 사이트에 자세히 나온다. (.su 도메인!) 

http://news.demos.su/private/demos.html 2. 새로운 su 주소 등록, 1년에 PayPal로 $29.95 밖에 안 한다!: https://www.register.su 3. 새로운 로씨야! https://novorossia.su 4. 원래는 http://www.nashi.su 이지만 사이트는 현재 사라졌다. 열람을 원하시면 아카이브를 통해서 보셔야 한다. https://web.archive.org/web/20120313181921/http://nashi.su/ 5. USSR's old domain name attracts cybercriminals(2013년 5월 31일): https://phys.org/news/2013-05-ussr-domain-cybercriminals.html 6. UK citizens might lose .EU domains after Brexit(2018월 3월 30일): https://www.engadget.com/2018/03/30/europe-brexit-eu-domains/
워드프레스 사이트 멀웨어 감염시 치료방법
워드프레스 보안관련 추천 플러그인을 소개 후에 좋은글을 발견하여 이곳에 공유합니다. 상당히 자세히 설명되어 있어 즐겨찾기 대용으로 나중에 제가 보기 위함이기도 해요. 소개글은 구글번역기로 번역한 내용에서 가독성과 알아보기 힘든 오번역만 편집한 것입니다. 따라서 글안의 링크는 일부 동작하지 않는 경우도 있으니 원글도 링크 걸어놓겠습니다. <h3>1단계 : 해킹 확인</h3> 1.1 - 사이트 스캔 사이트를 원격으로 검사하는 도구를 사용하여 악의적 인 페이로드 및 맬웨어 위치를 찾을 수 있습니다. Sucuri에는 WordPress 공식 저장소에서 찾을 수있는 무료 WordPress 플러그인이 있습니다. 해킹을 위해 WordPress를 검사하려면 다음을 수행하십시오. 1. SiteCheck 웹 사이트를 방문하십시오. 2. 웹 사이트 스캔을 클릭하십시오 3. 사이트가 감염된 경우 경고 메시지를 검토하십시오. 4. [가능한 경우] 페이로드(Payloads) 및 위치(Locations) 를 기록하십시오. 5. 블랙리스트 경고를 기록하십시오. 원격 스캐너가 페이로드를 찾을 수없는 경우 이 절의 다른 테스트를 계속하십시오. 멀웨어 검사 의iFrame / 링크 / 스크립트 탭을 수동으로 검토하여 낯선 요소 나 의심스러운 요소를 찾을 수도 있습니다. 동일한 서버에 여러 개의 웹 사이트가있는 경우 모두 스캔하는 것이 좋습니다 ( SiteCheck 를 사용하여 이 작업을 수행 할 수도 있음). 교차 부위 오염 은 재감염의 주요 원인 중 하나입니다. 모든 웹 사이트 소유자가 호스팅 및 웹 계정을 격리하도록 권장합니다. SiteCheck 링크 1.2 - 핵심 파일 무결성 검사 대부분의 코어 WordPress 파일은 절대로 수정해서는 안됩니다. wp-admin, wp-includes 및 root 폴더에서 무결성 문제가 있는지 확인해야합니다. WordPress 코어 파일의 무결성을 확인하는 가장 빠른 방법은 터미널에서 diff 명령을 사용하는 것입니다. 명령 줄 사용에 익숙하지 않은 경우 수동으로 SFTP를 통해 파일을 확인할 수 있습니다. 아무 것도 수정되지 않으면 코어 파일이 깨끗합니다. 1.3 - 최근 수정 된 파일 확인 새 파일 또는 최근 수정 된 파일이 해킹의 일부일 수 있습니다. 해킹 된 파일이 최근에 수정되었는지 확인하여 해킹 된 파일을 식별 할 수 있습니다. 최근 수정 된 파일을 수동으로 확인하려면 1. FTP 클라이언트 또는 SSH 터미널을 사용하여 서버에 로그인하십시오. 2. SSH를 사용하는 경우 다음 명령을 사용하여 지난 15 일 동안 수정 된 모든 파일을 나열 할 수 있습니다. $ find ./ -type f -mtime -15 3. SFTP를 사용하는 경우 서버의 모든 파일에 대한 마지막 수정 날짜 열을 검토하십시오. 4. 최근에 수정 된 파일을 기록하십시오. Linux에서 터미널 명령을 사용하여 최근 수정 된 파일을 확인하려면 다음을 수행하십시오. <b>터미널 입력 :</b> $ find /etc -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort -r . <b>디렉토리 파일을 보려면 터미널을 입력하십시오.</b> $ find /etc -printf '%TY-%Tm-%Td %TT %p\n' | sort -r . 3. 지난 7-30 일 동안 익숙하지 않은 수정 사항은 의심 스러울 수 있습니다. 1.4 - 진단 페이지 확인 귀하의 WordPress 사이트가 Google 또는 다른 웹 사이트 보안 당국에 의해 블랙리스트에 올린 경우 해당 진단 도구를 사용하여 웹 사이트의 보안 상태를 확인할 수 있습니다. Google 투명성 보고서를 확인하는 방법은 다음과 같습니다. 1. 안전 브라우징 사이트 상태 웹 사이트를 방문하십시오. 2. 사이트 URL을 입력하고 검색하십시오. 3. 이 페이지에서 다음을 확인할 수 있습니다. 사이트 안전성 세부 정보 : 악의적 인 리디렉션, 스팸 및 다운로드에 대한 정보. 검사 세부 정보 : 맬웨어를 발견 한 가장 최근의 Google 검사 무료 웹 마스터 도구에 사이트를 추가 한 경우 웹 사이트의 보안 등급 및 보고서를 확인할 수 있습니다. 무료 모니터링 도구에 대한 계정이 없다면 무료로 가입 할 것을 적극 권장합니다. Google 웹 마스터 중앙 빙 웹 마스터 도구 Yandex 웹 마스터 노턴 SafeWeb <h3>2단계 : 해킹제거</h3> 이제 멀웨어 위치에 대한 정보를 얻었으므로 WordPress에서 멀웨어를 제거하고 웹 사이트를 정상 상태로 복원 할 수 있습니다. <b>전문가의 팁 :</b> 해킹 된 파일을 식별하는 가장 좋은 방법은 사이트의 현재 상태를 기존의 깨끗한 백업과 비교하는 것입니다. 백업을 사용할 수있는 경우이를 사용하여 두 버전을 비교하고 수정 된 내용을 식별 할 수 있습니다. 2.1 - 해킹 된 웹 사이트 파일 정리 감염이 핵심 파일이나 플러그인에있는 경우 수동으로 수정할 수 있습니다. wp-config.php 파일이나 wp-content 폴더를 덮어 쓰지 마십시오. 사용자 정의 파일은 최신 사본 또는 최근 백업으로 대체 될 수 있습니다 (감염되지 않은 경우). 다음은 WordPress에서 사용할 수있는 몇 가지 추가 팁과 트릭 입니다. 첫 번째 단계에서 발견 된 모든 악의적 인 페이로드 또는 의심스러운 파일을 사용하여 해킹을 제거 할 수 있습니다. 웹 사이트 파일에서 악성 코드 감염을 수동으로 제거하려면, 1. SFTP 또는 SSH를 통해 서버에 로그인하십시오. 2. 변경하기 전에 사이트의 백업을 만드십시오. 3. 최근에 변경된 파일을 확인하십시오. 4. 변경 날짜를 변경 한 사용자에게 확인하십시오. 5. 의심스러운 파일을 공식 WordPress 저장소의 사본으로 복원하십시오. 6. 텍스트 편집기를 사용하여 공식 저장소가 아닌 사용자 정의 또는 프리미엄 파일을 엽니 다. 7. 사용자 지정 파일에서 의심스러운 코드를 제거하십시오. 8. 변경 후에도 사이트가 계속 작동하는지 테스트하십시오. 2.2 - 해킹 된 데이터베이스 테이블 정리 웹 사이트 데이터베이스에서 맬웨어 감염을 제거하려면 데이터베이스 관리 패널을 사용하여 데이터베이스에 연결하십시오. Search-Replace-DB 또는 Adminer 와 같은 도구를 사용할 수도 있습니다. 데이터베이스 테이블에서 맬웨어 감염을 수동으로 제거하려면 다음과 같이하십시오. 1. 데이터베이스 관리 패널에 로그인하십시오. 2. 변경하기 전에 데이터베이스를 백업하십시오. 3. 의심스러운 콘텐츠 (예 : 스팸 키워드, 링크)를 검색합니다. 4. 의심스러운 콘텐츠가 포함 된 표를 엽니 다. 5. 의심스러운 콘텐츠를 수동으로 제거하십시오. 6. 변경 후에도 사이트가 계속 작동하는지 테스트하십시오. 7. 업로드 한 데이터베이스 액세스 도구를 제거하십시오. 초보자는 웨어 검사 프로그램에서 제공하는 페이로드 정보를 사용할 수 있습니다. 중급 사용자는 eval, base64_decode, gzinflate, preg_replace, str_replace 등과 같은 일반적인 악의적 인 PHP 함수를 수동으로 찾을 수도 있습니다. 2.3 - 안전한 사용자 계정 익숙하지 않은 WordPress 사용자를 발견했다면 해커가 더 이상 액세스 할 수 없도록 제거하십시오. 필요한 권한 (예 : 참여자, 작성자, 편집자)이 가장 적은 관리 사용자 한 명과 다른 사용자 역할을 설정하는 것이 좋습니다. WordPress에서 의심스러운 사용자를 수동으로 제거하려면 다음과 같이하십시오. 1. 계속하기 전에 사이트 및 데이터베이스를 백업하십시오. 2. WordPress에 관리자로 로그인하고 사용자를 클릭하십시오. 3. 의심스러운 새로운 사용자 계정을 찾습니다. 4. 의심스러운 사용자 위로 마우스를 이동하고 삭제를 클릭합니다. 사용자 계정이 해킹 당했다고 생각되면 암호를 재설정 할 수 있습니다. 이를 수행하는 방법 중 하나는 Sucuri 플러그인을 사용하는 것입니다. 2.4 - 숨겨진 백도어 제거 해커는 항상 사이트를 다시 방문 할 수있는 방법을 제공합니다. 흔히 해킹 된 WordPress 사이트에서 다양한 유형의 백도어를 여러 개 발견합니다. 종종 백도어는 WordPress 코어 파일과 비슷한 이름의 파일에 포함되지만 잘못된 디렉토리에 있습니다. 공격자는 백도어를 wp-config.php 및 / themes, / plugins 및 / uploads와 같은 파일에 삽입 할 수 있습니다. 백도어에는 일반적으로 다음과 같은 PHP 함수가 포함됩니다. - base64 - str_rot13 - gzuncompress - eval - exec - system - assert - stripslashes - preg_replace (with /e/) - move_uploaded_file 이 기능은 플러그인에 의해 정당하게 사용될 수 있으므로 양질의 기능을 제거하여 사이트를 손상시킬 수 있으므로 변경 사항을 테스트하십시오. 우리가 볼 수있는 대부분의 악성 코드는 탐지를 막기 위해 어떤 형태의 인코딩을 사용합니다. 인증 메커니즘을 보호하기 위해 인코딩을 사용하는 프리미엄 구성 요소 외에도 공식 WordPress 저장소에서 인코딩을 보는 것은 매우 드뭅니다. WordPress 해킹을 성공적으로 완료하려면 모든 백도어를 닫아야합니다. 그렇지 않으면 사이트가 빠르게 재 감염됩니다. 2.5 - 멀웨어 경고 제거 Google, McAfee, Yandex (또는 다른 웹 스팸 기관)에 의해 블랙리스트에 올랐으면 해킹이 수정 된 후 검토를 요청할 수 있습니다. 사이트에서 멀웨어 경고를 삭제하려면 다음 단계를 따르십시오. 1. 귀하의 호스팅 회사에 연락하여 정학 처분을 요청하십시오. - 멀웨어 제거 방법에 대한 세부 정보를 제공해야 할 수 있습니다. 2. 각 블랙리스트 기관에 대한 검토 요청 양식을 작성하십시오. - 즉. Google Search Console, McAfee SiteAdvisor, Yandex 웹 마스터. <h3>조치 후</h3> 이 마지막 단계에서는 WordPress가 해킹당하는 문제를 해결하는 방법을 배우게됩니다.또한 WordPress 사이트의 보안을 강화하는 필수 단계를 수행합니다. 3.1 - 구성 설정 업데이트 및 재설정 만료 된 소프트웨어는 감염의 주요 원인 중 하나입니다. 여기에는 CMS 버전, 플러그인, 테마 및 기타 확장 유형이 포함됩니다. 잠재적으로 손상된 자격 증명은 재감염되지 않도록 다시 설정해야합니다. <h4>WordPress 소프트웨어 업데이트</h4> WordPress에서 수동으로 업데이트를 적용하려면, 1. SFTP 또는 SSH를 통해 서버에 로그인하십시오. 2. 웹 사이트 및 데이터베이스 (특히 사용자 정의 된 컨텐츠)를 백업하십시오. 3. wp-admin 및 wp-includes 디렉토리를 수동으로 제거하십시오. 4. wp-admin 및 wp-includes는 공식 WordPress 저장소의 사본을 사용하여 대체하십시오. 5. 수동으로 플러그인 및 테마를 제거하고 공식 소스의 사본으로 대체하십시오. 6. WordPress에 관리자로 로그인하고 대시 보드> 업데이트를 클릭하십시오 7. 누락 된 업데이트를 적용하십시오. 8. 웹 사이트를 열어 작동하는지 확인하십시오. 서버상의 모든 소프트웨어 (즉, Apache, cPanel, PHP)를 업데이트하여 누락 된 보안 패치가 없는지 확인하십시오. <h4>암호 초기화</h4> 모든 액세스 포인트의 암호를 변경하는 것이 중요합니다. 여기에는 WordPress 사용자 계정, FTP / SFTP, SSH, cPanel 및 데이터베이스가 포함됩니다. 모든 시스템에 대한 관리자 계정 수를 줄여야합니다. 최소 권한 의 개념을 실천하십시오. 필요로하는 일을 수행하는 데 필요한 액세스 만 제공하십시오. <h4>새로운 시크릿 키 생성</h4> 암호가 다시 설정되면 플러그인을 사용하여 모든 사용자가 강제로 로그 오프 할 수 있습니다. WordPress는 브라우저 쿠키를 사용하여 사용자 세션을 2 주 동안 활성 상태로 유지합니다. 공격자가 세션 쿠키를 가지고 있으면 암호가 재설정 된 후에도 웹 사이트에 대한 액세스가 유지됩니다. 이 문제를 해결하려면 WordPress 보안 키를 재설정하여 활성 사용자를 강제 종료하는 것이 좋습니다. wp-config.php 파일에 새 비밀 키를 생성하려면 다음을 수행하십시오. 1. WordPress wp-config.php 파일을 엽니 다. 2. 각 키와 Salt에 대해 60개 이상의 고유한 문자 값을 추가하십시오. 3. 비밀 키 생성기를 사용할 수 있습니다. 4. wp-config.php 파일을 저장하십시오. 해킹 후 모든 플러그인을 다시 설치하여 플러그인이 작동하고 잔여 멀웨어가 없는지 확인하십시오. 플러그인을 비활성화 한 경우 웹 서버에서 제거하는 것이 좋습니다. 1. WordPress에 관리자로 로그인하고 Sucuri Security> Post-Hack으로 이동하십시오. 2. 플러그인 재설정 탭으로 이동하십시오. 3. 재설정 할 플러그인을 선택하십시오 (모두 선택하는 것이 좋습니다). 4. 선택된 항목 처리를 클릭하십시오. 3.2 - 강화 된 WordPress 서버 또는 응용 프로그램을 강화하려면 공격자의 공격 경로 또는 진입 점을 줄이기위한 조치를 취해야합니다. WordPress 및 플러그인은 이러한 단계를 수행 할 때 해킹하기가 더 어려울 수 있습니다. WordPress를 강화하려면 Sucuri 플러그인을 사용할 수 있습니다. 1. WordPress에 관리자로 로그인하고 Sucuri Security> Hardening으로 이동하십시오 . 2. 그들이하는 일을 이해하기위한 옵션을 검토하십시오. 3. 권장 사항을 적용하려면 Harden 버튼을 클릭하십시오. 귀하의 필요에 따라 WordPress를 강화할 수있는 수많은 방법이 있습니다. 추가 경화 방법을 연구하려면 WordPress Codex를 검토하는 것이 좋습니다. 가상 패치 및 강화 기능을 제공하는 방법에 대한 자세한 내용은 아래 웹 사이트 방화벽 섹션을 참조하십시오. 3.3 - 백업 설정 백업은 안전망의 기능을합니다. 이제 사이트가 깨끗하고 중요한 해킹 단계를 거쳤으므로 백업을 만드십시오! 훌륭한 백업 전략 은 좋은 보안 태세의 핵심입니다. 다음은 웹 사이트 백업에 도움이되는 몇 가지 팁입니다. - 위치 WordPress 백업을 로컬 위치에 저장하십시오. 서버에 백업 또는 이전 버전을 저장하지 마십시오. 해킹되어 실제 사이트를 손상시키는 데 사용될 수 있습니다. - 오토매틱 이상적인 백업 솔루션은 웹 사이트의 필요에 맞는 빈도로 자동 실행되어야합니다. - 여분의 백업 즉, 백업 전략에 중복성, 즉 백업의 백업이 포함되어야합니다. - 테스트 복원 프로세스를 시도하여 웹 사이트 기능을 올바르게 확인하십시오. - 파일 형식 일부 백업 솔루션은 비디오 및 아카이브와 같은 특정 파일 형식을 제외합니다. 3.4 - 컴퓨터 스캔 모든 WordPress 사용자가 운영 체제에서 평판이 좋은 바이러스 백신 프로그램을 사용하여 검사를 실행하게하십시오. 감염된 컴퓨터 사용자가 대시 보드에 액세스 할 수있는 경우 WordPress가 손상 될 수 있습니다. 일부 감염은 컴퓨터에서 텍스트 편집기 또는 FTP 클라이언트로 이동하도록 설계되었습니다. 다음은 권장 바이러스 백신 프로그램입니다. 유료 BitDefender, Kaspersky, Sophos, F-Secure. 무료 Malwarebytes , Avast , Microsoft Security Essentials , Avira . 3.5 - 웹 사이트 방화벽 공격자가 악용하는 취약점의 수는 매일 증가합니다. 유지하려고 노력하는 것은 관리자에게 어려운 일입니다. 웹 사이트 방화벽은 웹 사이트를 둘러싼 경계 방어 시스템을 제공하기 위해 개발되었습니다. 웹 사이트 방화벽 사용의 이점 : 1. 미래의 해킹 방지하기 알려진 해킹 방법과 동작을 탐지하고 중지함으로써 웹 사이트 방화벽은 사이트를 감염으로부터 보호합니다. 2. 가상 보안 업데이트 해커는 플러그인과 테마의 취약점을 신속하게 악용하며, 알려지지 않은 것들은 항상 출현합니다 (제로 데이라고 함). 좋은 웹 사이트 방화벽은 보안 업데이트를 적용하지 않았더라도 웹 사이트 소프트웨어의 취약점을 패치합니다. 3. Brute Force Attack 막 웹 사이트 방화벽은 누군가가 귀하의 wp-admin 또는 wp-login 페이지에 액세스하지 못하게해야합니다. 그렇지 않으면 무작위 자동화를 사용하여 암호를 추측 할 수 없습니다. 4. DDoS 공격 완화 분산 서비스 거부 공격은 서버 또는 응용 프로그램 리소스에 과부하를 일으 킵니다. 모든 종류의 DDoS 공격을 탐지하고 차단함으로써 웹 사이트 방화벽은 많은 양의 가짜 방문으로 공격을받는 경우 사이트를 사용할 수 있도록합니다. 5. 성능 최적화 대부분의 WAF는 빠른 전역 페이지 속도를 위해 캐시를 제공합니다. 이렇게하면 방문자의 만족도를 높이고 이탈률을 낮추는 동시에 웹 사이트 참여, 전환 및 검색 엔진 순위를 향상시킬 수 있습니다. 우리는 Sucuri 방화벽으로 이러한 모든 기능을 제공합니다. <h3>Sucuri 홈페이지 바로가기</h3> 이상으로 글을 마칩니다. 긴 글 읽으시느라 수고 많으셨어요. 덧 : 번역기를 돌려서 글작업을 하였음에도 시간이 꽤 걸리네요. 예전에는 영문번역시 매끄럽지 못한 부분이 상당히 많았는데 요즘은 완성도가 꽤 높아졌다는걸 느낍니다.
알툴즈 2500만건 개인정보 유출사고
'비트코인' 노린 사이버범죄 이스트소프트의 PC 유틸리티 프로그램 알툴즈에 가입된 회원 약 16만명, 2500만여건에 달하는 개인정보를 유출해 비트코인을 요구한 피의자가 경찰에 검거됐다. 이번 사이버범죄는 탈취한 개인정보의 몸값으로 이스트소프트 측에 비트코인을 요구했으며, 유출된 개인정보로 사용자들의 가상화폐 계좌에 접속해 가상화폐를 훔치는 등 2차 피해도 발생한 것으로 밝혀졌다. 경찰청 사이버수사과는 10일 지난해 이스트소프트의 알툴즈에 가입된 회원정보를 유출해 정보통신망법 위반 등 혐의로 중국 국적의 조모씨를 검거하고, 협박 행위에 가담한 한국인 공범의 신원을 확인해 추적하고 있다고 밝혔다. 경찰청에 따르면 이들은 지난해 2월 9일부터 9월 25일까지 이스트소프트의 알툴즈 회원 16만6000여명의 아이디와 비밀번호 등 개인정보 2540만건을 탈취 후 이스트소프트 측에 비트코인을 요구했다. 이번 사이버범죄는 이스트소프트의 PC 유틸리티 프로그램 시리즈 알툴즈 중 각종 웹사이트들의 아이디와 비밀번호 등을 통합 관리하는 '알패스'를 타깃한 것으로 확인됐다. 알패스는 웹사이트들의 아이디와 비밀번호를 저장해 두고, 해당 웹사이트에 접속 시 사용자가 직접 아이디와 비밀번호를 입력하지 않아도 자동으로 입력해주는 프로그램이다. 경찰청 측은 피의자들이 1차적으로 다른 경로로 유출된 아이디와 비밀번호를 확보한 뒤 이를 알패스에 자동 입력하는 매크로 프로그램인 '알패스(Alpass)3.0.exe'을 만들어, 유출된 아이디 및 비밀번호와 동일한 알패스 사용자 계정을 확보한 것으로 보인다고 설명했다. 이들은 탈취한 개인정보 2540만건 중 43만건을 이스트소프트 측에 제시하며 67회에 걸쳐 현금 5억원에 해당하는 비트코인을 요구했다. 이스트소프트는 몸값을 요구하는 협박에 응하지 않고 수사기관에 신고하면서 피해 사실이 알려지게 됐다. 경찰청에 따르면 이들은 알툴즈에서 탈취한 개인정보를 이용해 대포폰 개설, 서버 임대, 가상화폐 계정 접속 등 2차 범죄에 활용됐다. 특히 알툴즈에 저장된 개인정보와 동일한 가상화폐 거래소 계정에 로그인에 성공해 당시 시세로 800만원에 해당하는 2.1비트코인을 자신들의 지갑으로 전송하는 등 실제 피해도 발생했다. 한편, 경찰은 방송통신위원회, 한국인터넷진흥원(KISA) 등과 협력해 관련 웹사이트에 유출회원의 비밀번호를 바꾸도록 요청했다. 인터넷 웹사이트 운영업체에게는 아이디와 비밀번호를 기계적으로 입력하는 공격을 탐지할 수 있도록 보안을 강화할 것을 권고했다.
비트코인이 인터넷 파괴할 수도
BIS, 3가지 경고 배경은? 스마트폰-서버 규모 초과 트래픽· 분산합의 거래 취약성 등 아킬레스건 “비트코인에 드는 인터넷트래픽 용량은 스마트폰-서버간 용량을 넘어설 수 있어 인터넷을 파괴할 수도 있다.” "글로벌경제에서 선의의 교환수단 역할을 하기에는 너무나도 많은 조작과 사기의 대상이 된다." “탈중앙화된 합의에 따른 거래의 취약성 때문에 언제든 신뢰성이 증발할 수 있어 개인 지불의 최종성에 의문이 제기되며 이는 암호화 화폐가 기능을 멈춘다는 것을 의미한다...” 블룸버그는 18일(현지시각) 스위스 바젤 소재 국제결제은행(BIS)보고서를 인용, 최소 3가지 이상의 이유를 들어 비트코인등 암호화화폐가 가져올 위험성을 경고했다고 보도했다. BIS는 금제금융 안정을 목적으로 전세계 각 중앙은행 간 관계를 조율하기 위해 설립된 국제협력기구다. 올해로 설립 88년째다. BIS는 17일(현지시각) 연례 경제보고서의 일부로 발표된 24쪽 짜리 보고서에서 관심과 투자 폭발을 촉진할 높은 기대감 속의 암호화화폐가 이를 저해시킬 다양한 결함으로부터 고통받고 있다고 지적했다. 보고서는 "암호화화폐가 너무나도 불안정해 너무나도 많은 전력을 잡아먹으며 글로벌경제에서 선의의 교환수단 역할을 하기에는 너무나도 많은 조작과 사기의 대상이 된다"고 말했다. 또한 탈중앙화의 속성을 가진 암호화화폐의 속성에 대해 “비트코인과 그 모방자들은 분산네트워크 컴퓨터에 의존해 만들어지고 거래되고 설명되는데 이는 핵심 강점이라기보다 근본적인 결함”이라고 말했다.
낯선 사람이 스마트폰 엿보면 알려주는 구글의 AI
버스나 전철에서 스마트폰을 할 때 모르는 사람의 시선이 느껴질 때가 있다. 구글은 사람들의 이러한 불편을 걷어내기 위해 인공지능을 활용한 소프트웨어를 개발했다. 구글은 낯선 사람이 스마트폰을 몰래 볼 경우 이를 발견하는 인공지능(AI) 도구를 개발했다고 외신 더버지가 28일(현지시각) 보도했다. 알고리즘 사용해 낯선사람 식별 카메라 전환뒤 스냅챗 효과 입혀 이 소프트웨어는 '전자 스크린 보호장치'라고 불리며 정면 카메라를 활용해 낯선 사람의 시선을 감지한다. 알고리즘을 사용해 스마트폰의 원래 주인이 아닌 낯선 사람을 식별할 수 있다. 전자 스크린 보호장치를 사용하면 스마트폰을 사용하고 있다가도 낯선 사람이 스마트폰을 쳐다보면 이에 즉각 반응해 카메라 화면으로 전환한다. 그리고 낯선 사람의 얼굴에 스냅챗의 무지개 효과를 입히는 방식이다. 이 소프트웨어를 제작한 구글 연구원 쿼츠는 전자 스크린 보호장치는 모든 종류의 조명에서도 문제없이 작동하며 2초만에 반응한다. 구글이 이 기능을 안드로이드 적용할지는 아직 알 수 없다. 외신은 이 기능은 별거 아닌 것 처럼 보일 수 있지만 앞으로 구글은 전체적으로 더 많은 기능을 추가할 것이다. 기계학습과 AU는 이미 스마트폰간의 큰 차별화 요소다.
내 몸은 공인인증서
몸에 입력된 생체 정보를 도입 중인 분야는 금융권 보안과 편의, 어느 것도 놓칠 수 없어 은행은 당신의 손바닥을 원한다 털 길이는 1cm정도 였을까? 가수 박유천이 자신의 인생까지 걸며 부정했던 마약 투약 혐의는 그 한 다리털로 들통났다. 박 씨는 정밀 검사를 앞두고 다수 염색을 했고 전신 왁싱으로 털을 모두 제거했다. 하지만 양성 반응을 피하지 못했다. 우리 신체는 그 자체로 데이터 저장소이자, ‘내’가 ‘나’임을 알려주는 마지막 보루임을 보여준 극명한 사건이다. 나를 증명하는 최종 수단은 나의 몸 몸에 입력된 생체 정보를 가장 적극적으로 도입 중인 분야는 금융권이다. 지난 2015년 5월 정부가 비대면 실명확인 방식을 허용한 이래, 금융권은 공인인증서·OTP·보안카드 등으로 인증 방식을 변화시켜왔다. 보안과 편의의 사이에서 딜레마 사이에서 발전해오다가 생체 정보까지 온 것. 생체 정보는 별도 보관 혹은 분실 우려가 없고, 도용할 수 없다는 점에서 개인정보 중심의 금융 인증 체계에 가장 확실한 대안이라 볼 수 있다. 본인거부율과 타인수락률을 낮추는 게 핵심 관건은 생체 정보를 인식하는 기술력. 지금 금융권은 ‘손바닥 정맥’으로 사람을 인식하는 수준까지 이르렀다. 손바닥 정맥 인증(vascular technology)은 말 그대로, 손바닥의 혈관에서 심장 방향으로 흐르는 정맥을 통해 신원을 확인하는 것을 말한다. 특히 손바닥 정맥은 복잡하고 특이한 패턴을 가져 본인거부율(False Rejection Rate, FRR)과 타인수락률(False Acceptance Rate, FAR)이 낮다. 본인 거부율이 높으면 본인을 타인으로 오해하고, 타인수락율이 높으면 금융 사고가 초래되기 때문에 두 수치는 생체 식별 기술력 판단의 핵심이다. 또 손바닥 인증은 생체 인증의 4가지 조건인 보편성, 유일성, 불변성, 편의성 등의 기본요건을 가장 만족한다는 점에 주목받는다. 타 생체 정보를 살펴보면 ‘지문'은 피부 훼손 시 인증이 어렵고, ‘홍채'는 인식 센서의 소형화와 고가 장비인 탓에 보편화되기 어렵다. 스마트폰 카메라 기술 발전으로 페이스 아이디 등 ‘얼굴’ 또한 생체 인증 수단으로 떠오르고 있지만, 주변 조명 등 외부 환경을 영향을 받고 노화나 미용을 얼굴 특징이 변화될 수 있어 불변성이 떨어진다. 이 때문에 금융권은 차세대 인증 수단으로 손바닥 정맥을 앞다퉈 도입 중이다. 지난 14일 KB국민은행은 손바닥 정맥 인증을 활용, 별도의 통장이나 도장, 비밀번호 없이도 예금을 지급하는 '손으로 출금 서비스'를 출시했다. 기존 신용 정보에 추가하면 되기 때문에 인증 등록도 쉽고, 인식 과정도 인식기에 손바닥을 대기만 해도 인증이 되기 때문에 거래 시간도 단축된다. 현재 KB국민은행 외에도 신한은행, 우리은행, 케이뱅크, 대구은행, 수협은행, IBK 기업은행 등이 손바닥 정맥 인증 기술을 도입하고 있다. 향후 손바닥 정맥 인증 기술은 ATM과 결합해 보편화될 전망이다. 보안과 편의, 어느 것도 놓칠 수 없어 게다가 금융 당국도 적극적으로 손바닥 정맥 인증을 지원하는 모양새다. 생체 인증의 경우, 금융기관과 당국 간 생체 정보 교환이 핵심이기 때문에 금융 당국의 의지가 필수적이다. 금융 소비자가 자신의 손바닥 정맥 정보를 등록하면 절반은 금융결제원이, 다른 절반은 금융기관이 보유해 인증을 신뢰한다.
소비에트 인테르니옛
예전에 소련의 인터넷이 1991년 쿠데타를 막아냈다는 이야기(참조 1)를 올린 적 있었다. 당시 소련 네트워크 망은 내부 네트워크 망으로서 렐콤(РЕЛКОМ)이 깔려 있었는데, 참조 1 글을 읽어보시면 안다. 최초 설치(및 유럽과의 연결)는 1990년이었다. 하지만 네트워크가 그 때 처음 생기지는 않았다. 혹시 미국의 알파넷(ARPANET)처럼 소련도 전쟁에 대비한 네트워크망을 고안하지 않았을까? 주말 특집, 소련의 인터넷 구상이다. 때는 1952년 소련의 한 비밀 도서관, Norbert Wiener의 걸작, Cybernetics (1948, 참조 2)를 영어로 읽던 한 장교가 있었다. 그의 이름은 아나톨리 이바노비치 키토프(Анатолий Иванович Китов, 이름을 줄이면 A.I. 키토프(!!)). 그는 선임 과학자들의 도움을 받아 이 책을 러시아어로 번역한다. 이성적인 맑시스트 정권에 하이테크를 붙여주자는 의도였다. 그래서 1959년, 기밀 군컴퓨터연구소장에 오른 키토프는 국가 경제 계획을 보다 더 잘 하기 위해 신뢰성 있는 계산 처리 연구에 돌입한다. 그래서 보고서를 작성한다. “붉은 책(Красная книга, 참조 3)”으로 알려진 이 보고서를 흐루셰프 앞으로 보냈는데, 정성스럽게 작성하면 뭐하나, 중간 간부(참조 4)가 이 보고서를 들여보고는... 무엇이 문제였을까? 그의 보고서에는 군사용 컴퓨터를 야간에는 민간에게 개방하자는 내용이 있었다. 계획 경제 실무자들이, 야간에 성능 좋은 군사용 컴퓨터를 사용하여 능률을 높이자는 의미였으며, 심지어 현재의(50년대 후반) 군용 컴퓨터 성능이 미국에 떨어진다는 비판도 있었다. 바로 기각된다(참조 4). 시베리아행 고고씽? 그는 1년간 당원증을 빼앗기고 군 연구소에서 영구 축출된다. 하지만 그에게는 사돈이 있었다(그 당시는 아직 아니었다). 사돈이 그의 유지(!)를 이어받아 2차로 인터넷 시도를 하는데... 그의 이름은 빅토르 미하일로비치 글루쉬코프(Виктор Михайлович Глушков). 그의 프로젝트 명은 “국가경제의 회계와 계획, 관리를 위한 정보 처리 및 습득용 자동화 시스템 전국망”이다. OGAS(Общегосударственной автоматизированной системы учёта и обработки информации, ОГАС)라고 불리는 이 계획은 전화선을 이용한 전국 네트워크망이었다. 전국(유라시아 대륙 전체!) 관공서와 기업, 공장, 농장을 잇는 OGAS의 구조는 소련답게 세 가지 피라미드 시스템으로 나뉘기는 한다. 최상층에는 모스크바에 설치되는 연방 차원의 네트워크망, 중간층에는 이 망에서 연결된 200개 정도의 대도시 네트워크망, 최하층은 주요 지방/시설에 연결된 2만여 컴퓨터 터미널이다. 또한 OGAS는 신경망처럼 작동하는 개념이었다. 소위 “폰-노이만 병목현상(von Neumann bottleneck)”이라 불리는 데이터 병목 현상을 피하기 위해 도입한 기술 때문이었다. 글루쉬코프는 ‘매크로 파이핑 처리’ 모델을 도입한다. 이 모델은 인간 두뇌 신경이 데이터를 처리하는 방식과 유사하게 동시처리하는 방식이다. OGAS에는 그 외에도 인공 두뇌와 종이 없는 사무실, 인간과 커뮤니케이션이 가능한 자연어 처리, 또한 특이하게도 전자화폐 제안(비트코이노프! 농담이다)도 있었다. 제일 주목할 만한 내용은 아무래도 “정보의 불멸성”, 즉, 인간 두뇌의 백업 기술 개발일 것이다(웨스트월드, 보고 있나?). 당연히 예산이 소모되는 일이다. 때는 1970년, 미국의 알파넷이 가동된지 1년 후의 일이다. 기술은 물론 마르크스 자본론을 암기해서 인용해대는 글루쉬코프를 논리적으로나 사상적(!)으로나 반대할 인물이 당에는 없었다. 그러나 결정을 내리는 회의에서 브레즈네프 동지는 슬그머니 자리를 비웠고, 알렉세이 코시긴 당 주석도 역시 자리를 비웠다. 실질적인 경제 개혁을 위한 재정 확보를 강하게 주장한, 바실리 가르부조프 재무부장관이 승리한 것이다. 그는 컴퓨터 예산이 필요하기는 하다고 주장했다. 양계장의 달걀 생산량 증대를 위해서였다(참조 5). 하지만 OGAS 프로젝트는 아직 시기상조라 말했고, 지도부는 그에게 설득당했다. 상당히 아이러니한 일이다. 기사에도 나오지만, 최초의 글로벌 컴퓨터 네트워크는 협조적인 사회주의자처럼 행동하는 자본주의자들 덕분에 태어났다. 경쟁 위주의 자본주의자들처럼 행동하는 사회주의자들이 낳은 것이 아니었다(달걀 생산성을 보시라). 글루쉬코프(그는 소련 최초의 개인용 컴퓨터, 미르-1을 1966년 제작하기도 했다)는 낙관을 잃지 않았었다. 1982년 사망하면서, 그는 부인에게 다음과 같은 유언을 했다고 한다. “걱정 마. 지구에서 뻗어나가는 빛줄기가 별자리를 지나갈 테고, 별자리를 지나갈 때마다 우린 젊어 보일 테니 영원함에서 우리는 언제나 함께일 거야.” ---------- 참조 1. 쿠데타를 막은 인터넷(2016년 9월 23일): https://www.facebook.com/minbok/posts/10154468008394831 2. 사람의 신경 작용을 신호로 변환하는 기술에 ‘사이버네틱스’라는 이름을 붙였다. 인공지능 연구의 효시라고 봐도 좋겠다. 3. Математик Анатолий Китов: Обогнать США, не догоняя!(2017년 1월 1일): https://rg.ru/2017/01/12/rodina-kitov.html 4. 키토프의 보고서를 기각시킨 장본인은 당시 공산당 총서기, 브레즈네프였다(참조 3)고 한다. 아래의 대화가 인상적이다. “동무, 문제가 생기면 노동자와 농부들을 모아서 집단적으로 논의하고 자문을 받아서 결정을 내리면 되오.” “레오니트 일리치 동지, 동지가 앓아 누워도 똑같이 불러서 논의하고 결정내릴 겁니까?” 5. 좀 설명이 필요한데, 양계장에서 컴퓨터로 조명과 음악을 시의적절하게 조절하여 배경(!)으로 깔면 닭들이 더 달걀을 많이 낳는다고 한다. 가르부조프 장관에 따르면 민스크에 갔더니 그렇게 해서 생산성이 오르더라는 거다.
"총 없는 한국"…美 총기사고 계기로 한국 주목
학부모들은 "총기규제 강화" 집회…트럼프 "FBI가 총격범 신호 놓쳐" 미국이 총기 사고가 거의 없는 한국에 주목하고 있다. 미국 플로리다 주의 한 고교에서 퇴학생이 학교에 난입해 총기를 난사, 17명의 사망자가 발생하는 참극이 빚어진 것이 계기다. 미국에서 더욱 엄격한 총기규제를 요구하는 목소리가 높아지면서, 현재 동계 올림릭이 열리고 있는 한국의 총기 규제법에 대한 관심도 높아지고 있다. ◇ "바이애슬론 선수들도 숙소에 총기 못 갖고 가" 미국 일간지 USA투데이는 18일(현지시간) 평창 발 기사에서 올림픽 경기가 열리는 기간 중에도 중무장한 병력은 찾아볼 수 없으며, 보안 인력들은 (중무장 하지 않은 채로)눈에 잘 띄지 않는 형태로 운영되고 있다고 전했다. 미국 덴버에서 동계올림픽을 보러 온 다나 피한(41)은 USA투데이와의 인터뷰에서 "처음에는 (평창에) 중화기 포대 같은 것이 있을 것으로 생각했다"며 "보안 인력이 없는 것 같이 보여서 이상하다"고 말했다. 그러면서 신문은 철저한 보안 속에서 경기가 치러지는데도 중무장한 경찰이 잘 보이지 않는 것은 그만큼 범죄율이 낮다는 것을 반영하는 것이라고 전했다. 인구가 5천만 명이 넘는 한국에서는 2016년 356건의 살인범죄가 있었는데, 270만 명이 사는 시카고에서만 같은 해에 762건의 살인사건이 있었다는 것. 그리고 이처럼 낮은 범죄율은 상당부분 엄격한 총기규제 덕분이라고 전했다. USA투데이는 사냥용이나 선수용 총기도 모두 등록 이후 경찰서에 보관해야 하고, 심지어 이번 동계올림픽에 출전한 바이애슬론 선수들도 총을 숙소에 가져갈 수 없으며, 총기고에 놔둬야한다고 썼다. 한국에 살고 있는 퇴역한 미군장교 스테판 타프 씨는 신문과의 인터뷰에서 "미국에 있는 친구들이 북한의 위협을 언급하면서 조심하라고 말하는데, 나는 미국보다 한국이 훨씬 더 안전하다고 그들에게 말해준다"고 말했다. ◇ 미국 곳곳에서 총기규제 강화 집회 플로리다 고교 총기 참사를 계기로 미국 내에서도 엄격한 총기규제 도입을 촉구하는 집회가 열리는 등 총기규제 목소리가 커지고 있다. 전날인 17일(현지시간) 플로리다 주 포트로더데일 연방법원 앞에서는 수천명의 학생과 교사, 학부모 등이 나와 총기규제 강화를 요구하는 집회를 열었고, 총기참사 희생자들의 장례식에서도 유가족과 참석자들이 폭넓은 총기 사용에 대한 분노를 표출했다. 버지니아 주 페어팩스에 있는 전미총기협회(NRA) 본부 앞에서도 100여명이 모여 총기규제 강화를 촉구하는 집회를 벌이기도 했다. 이런 가운데 도널드 트럼프 미국 대통령은 자신의 트위터에 "FBI가 플로리다 고교 총격범이 보낸 그많은 신호를 모두 놓치다니 애석하다"며 "그들은 내 대선캠프와 러시아와의 내통 의혹을 입증하는데 너무 많은 시간을 쓰고 있다. 이제 기본으로 돌아가라"고 썼다. 느슨한 총기규제에 문제를 돌리기보다 오히려 FBI가 자신과 측근들의 러시아 내통의혹을 조사하느라 힘을 허비하는 바람에 총기사고를 제대로 막지 못했다고 비난하고 나선 것. 트럼프 대통령이 오는 21일 총기참사가 발생한 마조리 스톤맨 더글러스 고교를 방문할 예정인 가운데, 그가 최근 빈발하는 총기참사에 대한 대책을 내놓을지에도 관심이 쏠리고 있다.