최근 보안사건사고가 일어나면서 조금은 주목을 받고 있는 듯합니다. 하지만 아직도 열악한 구조는 오늘자 언론에 나온 금융권 인력에서만 보더라도 알수 있습니다.


? <출처: 전자신문 4/28일자>



실제 대규모 은행을 제외하고는 일부 지방은행의 경우에는 1-2명이 보안담당을 하고 있다는 것이 현실을 단적으로 보여 주고 있네요... 이제는 조금 인식이 바뀌어야 할때인듯 합니다. 1-2명이 처리 해야 할 일이 있고, 여러명이 해야 할 일이 있습니다. 보안은 방어적인 개념이므로 혼자서 감담하기엔 리스크가 큰 분야이기도 합니다. 이번 사건을 계기로 많은 인식과 인력 투자가 이루어졌으면 좋겠습니다.

'IT동향 및 권고문' 카테고리의 다른 글

은행권 보안 담당자 현황  (0) 2011.09.14
보안에 가장 신경써야 할 사람은...?  (0) 2011.04.18
스마트싸인 - 엑티브 X 뺀 공인인증서 기술  (0) 2011.04.04
HSRP 설정  (0) 2011.03.24
정보시스템 감리  (0) 2011.03.23
BGP 유용한 정보  (0) 2011.01.31

WRITTEN BY
미소틱한남자
보다 즐겁게 살고 싶은 미쏘팅이 블로그~

받은 트랙백이 없고 , 댓글이 없습니다.
secret
Copyright      http://photohistory.tistory.com/9955

해킹과 보안은  관점의 차이일뿐이다

 

'마지막 잎새'로 우리에게도 잘 알려진  미국의 단펴소설 작가 '오 헨리'의  단편 되찾은 인생은 참 재미있는 소설입니다. 
80년대 수사반장의 소재로도 쓰였던  이 소설의 내용은 이렇습니다.

'지미 발렌타인'은 금고 털이범입니다. 그는 교도소를 뻔질나게 들락거리는 인물이죠. 그가 출소 한 후 다시 은행금고가 털렸습니다.  형사는 그를 끝까지 쫒아갑니다. 그러나 지미 발렌타인은 새 삶을 살고 싶어 했습니다.  금고 털이범이 아닌 근사하고 멋진 청년으로 아름다운 여인과 살고 싶어 하고 그렇게  금고 털이 인생을 끝낼려고 했습니다.

형사 벤은 그를 끝까지 추적했고  지미가 새 삶을 살려는 동네에 까지 찾아갑니다. 벤은 지미로 의심되는 사람 주변에서 서성입니다. 그러나 결정적인 증거도 없고 그게 지미인지도 확신이 서지 않습니다.

그러나 사건이 터지죠.
꼬마아이가 금고를 가지고 놀다가 금고안에 갖히는 사건이 터집니다.
아이 부모는 살려달라고 울먹이죠.  그때  지미가 그 금고앞에 다가갑니다. 벤이라는 형사가 지켜보고 있는 가운데 지미는 갈등하게 됩니다.  금고를 열게 되면  벤은  지미에게 수갑을 채울 것 입니다.  그 금고를 여는 자체가 바로 지미임을 인증하는 것과 동시에 금고터는 기술을 인증받기 때문이죠

하지만 지미는 교도소에 갈수 있다는 것을 알면서도 아이를 위해 금고를 엽니다.
그러나 벤은 그 모습에 감동해서  지미의 삶을 축복해 주고 그 마을을 떠납니다.

금고털이범이나 금고전문가나 갖춘 지식은 똑 같습니다. 다만 그게 합법이냐 불법이냐 차이죠

 제가 이 이야기를 왜 꺼내냐면  보안이 이와 비슷합니다. 해커와 보안전문가는 같은 사람이라고 하죠.  단지 한 사람은 불법을 저지르는 데 그 기술을 사용하고 보안전문가는  해커의 그 기술을 방어하는 것이고요.  

실제로 보안전문가 출신중에는 전직 해커가 많습니다.  해커가 정확하게 나쁜 용어는 아닙니다. 크래커라고 해서  시스템을 파괴하고 해킹을 통해 수익을 내는 악덕한 놈들이 있는가 하면 화이트 해커라고 해서 당신네들  서버에 결함이 많으니까 보안조치 하라고 메일을 보내는 착한 해커도 있죠.  뭐 화이트 해커가  그렇게 조언해주면 멍충한 보안팀이  그 화이트 해커 신고하는 촌극도 벌어지는게 한국입니다.

보안과 해킹 이건 창과 방패의 싸움입니다. 그러나 항상  해커가 한발 앞서죠. 해커가 한발 앞선 네트워크 기술을 선보이면 거기에 맞는 보안 대책을 세우는게 현실입니다. 따라서  정말 유능한 해커는  자신이 해킹한 흔적을 전혀 남기지 않고 남의 시스템을 자유롭게 돌아다니고 나온다고 하죠.   로그 파일 위변조는 기본중의 기본이고 IP세탁은 해킹 1장1절에 나와있습니다.

보안은 항상 해커의 뒤를 따라 갈 뿐



세계 최고의 해커였던  케빈 미트닉은  IP스푸핑의 대가였죠. IP스푸핑은 TCP/IP의 결함을 이용해서 
내가 상대인것 처럼 속이는 기술입니다. 예를 들어 청와대에 들어갈려면 청와대 보안패스가 있어야 하고 출인인증을 받은 사람인지를 철저하게 조사하고 대조하죠.  그런데 IP스푸핑이 그런 인가된 자의 IP를 알아내서 자신이 그런 출입증이 있는 사람인양 속여서 시스템에 접근합니다.   
 
이 케빈 미트닉이 대단했던 것은  휴대폰을 이용해서 인터넷을 접속했고 수시로 장소를 이동하면서 무선 통신으로 접속해서 잡기 힘들었습니다.  그런데 이 대단한  케빈 미트닉을   일본계 미국인 보안전문가가 잡아 냅니다.
 
이렇게  항상 보안전문가들은 해커들의 뒤를 따라갈 뿐입니다

그래서 정말 중요한 자료는 외부에서 접속할 수 없게 물리적 보안으로 철저하게 차단시켜놓아야 합니다.
만약 발전소 같은 국가 기관산업을 직원들이 편리하게 관리하라고 외부에서 접속해서 벨브나 여러가지 장치를 작동하게 해놓아 봐요. 해킹당하면 큰일납니다.  영화  다이하드 4.0에서는 실재로  외부에서 접속해서 발전소 폭파시키기도 하던데요.  그런 일이 일어나면 안되겠죠


현대캐피탈 해킹사고 다음은 은행?


 현대캐피탈이 털렸습니다. 많은 고객들의 정보가 해킹당했다고 하네요. 보안역사상 최악의 국내사건이 될듯 합니다.
지금까지  인터넷뱅킹이다 뭐다 할때  불안불안했지만 사람들이 인터넷 뱅킹을 많이 사용한 이유는 은행권의 해킹이 없었기 때문이죠. 또한 은행들은 불가능한 일이라고 일축했죠

솔직히 국내 최고의 보안시스템을 갖춘곳이 은행권 아닙니까?
옥션이 지난 2년전에 털렸을 때도 옥션은 사과공지 한조각만 내놓고  사건을 무마했습니다.
금전적인 피해 그것도 직접적인 피해가 있어야지만  손해배상이 돌아가는데  그런 직접적인 피해는 없었기 때문입니다.
또한 법적으로  해킹 당했다고  그 해당 업체가 손해배상하게 되어 있지도 않습니다. 만약 손해배상을 하라고 되어 있다면 오히려 보안전문가나 보안 공부를 하는 사람들은  보안공부와 함께 사법공부까지 해야 할껄요 

그리고 해킹당하면 회사 짤릴것 입니다. 그러면 누가 보안전문가 쪽으로 공부를 하겠어요.
따라서  옥션의 해킹을 옥션이 도의적으로 사과하는 것으로 마무리 할 수 밖에 없는게 현실입니다.

그러나 문제는  옥션의 해킹을 통해서 나간 아이디와 비번등이 다른 범죄로 연결될때가 문제죠
솔직히 저도 그렇지만  대부분의 사람들이 한가지 아이디와 비밀번호가  인터넷 싸이트 다 가입하고 있는게 현실입니다.
저는 은행과 관련된 즉 결제와 관련된 비번은 따로 만들어서 사용하고 있지만  그렇지 못한 사람들이 문제죠

이번 현대캐피탈도  아이디 비번 계좌번호등 암호화안된 정보가 해킹당했다고 합니다.
해킹당해도 DB를 암호화 했다면 그나마 다행인데  그것도 안되어 있다고 하네요.  그냥 DB 훔쳐다가 들여다 보면 한글과 숫자가 다 보인다고 하니 큰일은 큰일입니다.

돈거래를 하는 은행업계가 이렇게 보안이 허술하다니 놀랬습니다. 



국민들의 인터넷 보안 의식을 스스로 높여야 한다


이제 은행만 믿고 허술하게 대처하면 안될것 입니다. 국민들 스스로 인터넷 보안의식을 높여야 합니다.
어렵지 않고 간편한  보안 업그레이드 방법을 몇개 소개하겠습니다


1. 돈거래에 관련된 비밀번호는 다른 것으로 만들어라

많은 사람들이 한가지 아이디와 비밀번호로 모든 것을 통해서 씁니다. 은행싸이트 까지 비밀번호가 똑같은데 비밀번호가 참 싸구려들이 많습니다.  그중 대표적인게 자기 주민등록번호 뒷자리를 쓰는 분도 있는데 앞자리를 쓰는 분보다는 보안의식이 높다고 해야 하나요?  또한 자기 이름과 생년월일 조합도 참 많습니다.

어떤 분은 자동차 번호를 비밀번호로 쓰더군요. 이러지들 맙시다. 그렇게 신상털기로 나오는 정보를 조합해서 만들면 
금방 비밀번호를 유추해 낼수 있습니다.  그리고 비밀번호를 두가지를 만드세요

네이버나 다음등 해킹당해도 큰 피해가 없는 싸이트들과  은행등 금전거래를 할때 쓰는 비번 즉 공인인증서나 카드인증번호등 여러가지 금전이 왔다갔다 하는 비번은 다른 번호로 만드세요.  이렇게 비밀번호를 분리해 놓으면 해킹당해도 어느정도 안심할 수 있습니다.


2. 최소한 한달에 한번정도는 백신프로그램으로 PC내  악성바이러스를 제거하세요


예전엔 V3도 돈주고 샀지만 이제는 편해졌습니다
다음툴바나 네이버 툴바 깔면 백신도 깔수 있습니다. 여기에 알약이라는 공짜 백신도 있고요.  저는 알약을 쓰고 있는데 편한것 쓰시고  깔아 놓았다고  끝내지 말고 1주일에 한번 정도는 기본검사 정도를 돌려서  악성코드나 바이러스를 수시로 제거해 주세요.  그 좀비같은 놈들이 언제 내 패스워드를 주인에게 상납할지 모릅니다.



3.  일회용 비밀번호 생성기 OTP로 은행거래를 하자.  

인터넷 뱅킹 보통  보안카드 이용하시죠?  예전엔 4자리 번호 입력하게 되어 있었는데 이것도 유출되고 문제가 되자 앞에 두자리 뒤에 두자리를 입력하는 방식으로 좀 복잡해졌죠. 그래도 그 조합 다 풀수가 있습니다.

그것보다는  은행에 가서 5천원을 내고 1회용 비밀번호 생성기인  OTP를 구매하세요.
은행공통이니까 여러 은행 거래하는 사람들에게는 더 좋습니다.   보통 돈을 계좌이체할때나 송금할때  이 1회용 비밀번호 생성기로 비밀번호 생성후에  



위와 같이 일회용 비밀번호 입력란에 입력하면 됩니다.
PC의 공인인증서가 해킹당하고 공인인증서 비밀번호가 해킹당해도 이 일회용 비밀번호를 알아야 돈이 인출되는데요
물리적 보안력도 강한 1회용 비밀번호 생성기가 아주 좋습니다. 저도 애용하고 있는데 배터리도 길어서 3년 넘게 잘 쓰고 있습니다. 


특히 3번은 보험든다 생각하시고 은행갈때 하나 만들어서 쓰세요.  이동하면서 인터넷뱅킹 한다면 항상 휴대해야 하는 불편이 있긴 하죠. 하지만 분실하면 바로 신고하면 되니 큰 위험은 없습니다.  

스스로 보안의 생활화를 통해서 스스로 방어하십시요. 은행만 믿다가는 낭패 볼 수 있습니다. 물론 해킹의 책임이 은행으로 판명나면  손해배상을 은행에서 해주겠지만  그 원인제공자가 고객인지 은행인지 구분하는데 시간도 많이 걸리고 고객이 잘못했다고 하면 돈을 못 받을 수도 있습니다.

따라서 스스로 미리미리 챙기는게 좋습니다. 

'IT동향 및 권고문' 카테고리의 다른 글

은행권 보안 담당자 현황  (0) 2011.09.14
보안에 가장 신경써야 할 사람은...?  (0) 2011.04.18
스마트싸인 - 엑티브 X 뺀 공인인증서 기술  (0) 2011.04.04
HSRP 설정  (0) 2011.03.24
정보시스템 감리  (0) 2011.03.23
BGP 유용한 정보  (0) 2011.01.31

WRITTEN BY
미소틱한남자
보다 즐겁게 살고 싶은 미쏘팅이 블로그~

받은 트랙백이 없고 , 댓글이 없습니다.
secret

국내에 스마트폰 시장이 활성화 되면서 인터넷익스플로러 외 브라우저 사용과 엑티브엑스 사용을 줄이는 이른바 '오픈 인터넷' 환경에 대한 개선방안이 속속 나타나고 있다.

 

특히 공인인증서 액티브엑스를 대체할 수 있는 기술로 ETRI에서 개발한 ‘스마트싸인’이 주목받고 있다.

 

이 기술은 금융결제원에서 개발한 ‘플러그인 없는 공인인증서비스’과는 액티브엑스를 사용하지 않는다는 점과 모든 웹브라우저에서 적용할 수 있다는 공통점을 가지고 있다. 그러나 기술을 구현하는 방식은 판이하게 다르다. 일단 스마트싸인은 웹브라우저의 기본기능을 이용한 기술인데 반해, 플러그인 없는 공인인증서비스는 스마트폰을 이용한 공인인증 서비스이기 때문이다.


스마트싸인 기술은 액티브엑스 전용 채널을 사용하지 않고 웹 채널 내에서 처리하기 위해서 ‘URL 프로토콜 핸들러(URL Protocol Handler)’라는 방법을 사용한다. URL 프로토콜 핸들러는 웹브라우저에서 ‘http://’나 ‘https://’, ‘ftp://’와 같이 ‘://’ 앞에 표시되는 문자열에 따라서 뒤따르는 URL과 파라미터들을 입력받는 응용프로그램을 호출해서 데이터를 넘겨주는 기능이다.


예를 들어 'ftp://*****.***'과 같은 FTP 주소를 입력하면 FTP 프로그램이 자동으로 실행되는 것과 같은 원리다. 따라서 이 기술은 'smartsign://'를 등록시켜 ‘smartsign://stringTosign=a6qwer…’과 같은 호출이 들어오면 공인인증 애플리케이션을 실행시키는 방식이다.


사실 URL 프로토콜 핸들러는 웹브라우저에서 기본적으로 구현되는 기술이다. 그러나 이 기술을 그냥 적용할 경우에는 인증키 관리와 더불어 중간에서 정보를 빼가는 문제, 애플리케이션을 바꿔 공인인증 정보를 갈취하는 등의 보안문제가 발생한다.


결국 스마트싸인 기술의 핵심은 이런 보안문제를 해결하는데 있다. 따라서 스마트싸인은 △URL protocol spoofing 방지 △스마트지갑과 웹서버 간의 상호인증, △전자서명문 기밀성/무결성 보장, △간단한 보안채널 형성 등의 보안기능을 갖추고 있다.


스마트싸인 개발을 담당했던 진승헌 ETRI 팀장은 “스마트싸인은 액티브엑스 없이 웹 브라우저에서 공인인증서를 이용할 수 있게 해주는 소프트웨어로 모든 플랫폼과 브라우저에서 동일한 방식으로 공인인증서 이용이 가능하다”면서 “그러나 스마트싸인 기술은 공인인증서 기반으로 공인인증을 가능하게 하는 기술이기 때문에 사용하고자하는 PC나 스마트폰에 공인인증서가 설치 돼 있어야만 한다”고 설명했다.

'IT동향 및 권고문' 카테고리의 다른 글

은행권 보안 담당자 현황  (0) 2011.09.14
보안에 가장 신경써야 할 사람은...?  (0) 2011.04.18
스마트싸인 - 엑티브 X 뺀 공인인증서 기술  (0) 2011.04.04
HSRP 설정  (0) 2011.03.24
정보시스템 감리  (0) 2011.03.23
BGP 유용한 정보  (0) 2011.01.31

WRITTEN BY
미소틱한남자
보다 즐겁게 살고 싶은 미쏘팅이 블로그~

받은 트랙백이 없고 , 댓글이 없습니다.
secret
# HSRP
  • 기본적으로 PC는 Mac Table(c:\>arp -a)에있는 G/W주소가 삭제된후 BroadCast로 다른G/W를 찾기때문에 시간이 많이 지체된다. 삭제되는 시간은 보통 Windows의 경우 2분이고 2분안에 재상용시에는 15분으로 갱신된다. Linux는 기본적으로 5분이고 재사용하여도 5분으로 갱신된다.
  • Proxy ARP - Proxy ARP 구성을 하기 위해 할일이 먼저 할일이 있다.

     

    2. Router Interface 에 Proxy ARP 동작시키기

    R1(config)#interface fast ethernet 1/0

    R1(config-if)#ip proxy-arp

    (Router Interface 에 Proxy ARP 가 동작할 경우 자신의 IP 서브넷과 다른 IP의 ARP 패킷이 수신된 경우 자신의 MAC으로 대신 응답한다.)

     

    3. Host PC 에서 디폴트게이트웨이를 자신의 ip 로 지정

    내 네트워크 환경 -> 속성 -> 로컬 영역 연결 -> 속성 -> 인터넷 프로토콜(TCP/IP) ->

    디폴트 게이트웨이를 자신의 IP 로 설정

    (디폴트게이트웨이를 자신의 IP 로 설정했다면 이 PC는 모든 IP에 대하여 ARP 송신을 한다.) 

     

    이렇게 하면 Proxy ARP 설정이 끝난다.........


    ① PC1이 네이버에 접속하기 위해 PC1은 R1으로 네이버 사이트의 서버 MAC 을 요청하는

    ARP 브로드캐스트를 송신한다.

    [ 수신지MAC (라우터MAC) ][ 송신지MAC ][ 수신지IP (네이버) ][ 송신지IP (PC1) ][ 데이터 ]

     

    ② R1은 ARP 브로드캐스트를 수신하고 자신의 MAC 으로 응답한다.

  • 이 경우를 보면 PC1은 디폴트게이트웨이가 자신이므로 인터넷을 하기위해 무조건 R1의

    라우터로만 패킷을 송신하는게 아니라 말 그대로 ARP 브로드캐스트를 뿌리게 됩니다.

    그러므로 이중화 구성이 가능해졌습니다. 그럼 이 방식이 라우터가 장애가 났을때 다른 라우터로 이전이 느리다고 했는데 그 이유는 ARP 캐시 때문입니다. ARP 캐시는 일반적으로 5분동안 자동으로 저장합니다. 이 같은 자동저장 시간때문에 다른 라우터로 이전하려면 5분이라는 긴 시간이 소요됩니다. 하지만 컴퓨터에 많은 지식을 가지는 사람이라면 강제로 ARP 캐시를 삭제하면 바로 다른 라우터로 이전이 가능해지죠. 요즘 라우터는 기본적으로 Proxy ARP가 Desibled 되어있다.보안이 취약하기 때문.


  • PC의 게이트웨이 역할을 하는 라우터나 레이어 3 스위치를 복수개로 구성하고, 하나가 다운되면 다른 하나가 그역할을 계속 수행하게 하는 프로토콜을 게이트 웨이 이중화 프로토콜이라고 한다.
  • HSRP (HotStandby Routing Protocol) - 라우터의 이중화..시스코 전용, 라우터의 장애대비를 위한 기능으로 라우터한대를 더 구성에 포함한뒤 메인 라우터가 고장이나면 자동으로 두번째 라우터가 메인 라우터의 역할을 대신 하는 기능

    그리고 pc는 디폴트게이트웨이가 메인라우터로 되있는데 서브라우터의 디폴트게이트웨이 주소를 자동 매핑시켜주는 역할도 HSRP 가 하여 pc의 인터넷을 바로 가능케한다.이방법은 HSRP 는 실제 존재하지 않는 가상의 라우터 IP 주소를 디폴트게이트웨이로 세팅하게 한다음 그 주소에 대해서Active 라우터와 Standby 라우터의 역할을 두어 처음에는 엑티브 라우터가 그 주소의 역할을 대신 수행하다가 엑티브라우터에 문제가 발생하면 자동으로 스텐바이 라우터가 엑티브의 역할을 수행할 수 있게 하는 기술이기 때문에 피시들은 자신의 디폴트게이트웨이를 고치지 않고도 항상 인터넷을 접속할 수 있게 되는 겁니다.

  • HSRP는 UDP포트 번호 1985를 사용, 멀티캐스트 주소인 224.0.0.2를 목적지 IP주소로 사용하고, TTL값은 1로 설정, 출발지 IP주소는 라우터 자신의 실제 IP주소를 사용
  • Stnadby Router는 주기적으로 멀티케스트인 224.0.0.2로 Hello Message를 청취하는데이것은 같은 HSRP그룹내에 있는 모든라우터에게 뿌린다는 의미이다. 
  • HSRP는 현업에서 굉장히 많이 사용하고 있으며 Cisco전용인 HSRP를 표준화 한것이 VRRP이다.
  • HSRP는 LAN에서 즉, 내부에서 HSRP가 동작한다. 외부(Out)에도 동작하고자 할경우엔 HSRP Group2로 따로 만들어서 동작 시키면된다.
  • 여기서 라우터 B 와 라우터C 로 라우터 이중화를 구축했고 따라서 피시는 라우터 B 나 라우터 C 중 둘중의 하나에 문제가 생겨도 라우터 A와의 통신이 가능합니다.
  • <!--[if !supportEmptyParas]--> 라우터 B는 엑티브 라우터로, 라우터C 는 스텐바이 라우터로 피시들의 디폴트 게이트웨이 주소는 172.70.100.1 로 라우터 B 가 다운되면 라우터 C가 엑티브 라우터의 역할을 수행하지만, 만약 라우터B가 다시 살아나면 라우터 C는 다시 스텐바이로 복귀
  • 라우터 자체의 다운뿐 아니라 라우터의 시리얼 인터페이스에 문제가 생겨도 엑티브 라우터에서 스텐바이 라우터로 역할 교대한다.
  • 맨 마지막의 기법은 트레킹 (Tracking )이라는 것입니다. 라우터 B가 다운되지는 않았지만 라우터 B의 시리얼 회선에 문제가 생길 수도 있는 겁니다. 이 경우에도 역시 피시는 라우터 A와 통신이 불가해 지게 됩니다. 따라서 이처럼 라우터의 시리얼에 문제가 생겼을때도 엑티브 라우터를 교체해야 하는데 이것이 바로 트레킹 입니다.

<!--[if !supportEmptyParas]--> <!--[endif]-->

자그럼 라우터 B 의 구성을 보실까요?

Router_B#sh run int e 0

Building configuration...

<!--[if !supportEmptyParas]--> <!--[endif]-->

Current configuration:

!

interface Ethernet0

ip address 172.70.100.2 255.255.255.0

no ip redirects

no ip directed-broadcast

standby 1 timers 3 10

standby 1 priority 105

standby 1 preempt delay 5

standby 1 ip 172.70.100.1

standby 1 track Serial0 10

end

<!--[if !supportEmptyParas]--> <!--[endif]-->

Router_B#

<!--[if !supportEmptyParas]--> <!--[endif]-->

  • 여기서 가장 먼저 보셔야 할 구성은 standby 1 ip 172.70.100.1입니다. 즉 먼저 standby 명령을 이용해서 HSRP 그룹을 1 로 세팅한 후 이 그룹에서 사용할 가상의 디폴트 게이트웨이주소로 172.70.100.1 을 세팅 했습니다. 이 구성은 스텐바이 라우터로 동작할 라우터 C 에서도 일치해야 합니다. 즉 그룹번호와 가상주소가 똑 같아야 동작이 됩니다. 즉, 스탠바이 그룹 (Stanby group)별로 하나의 액티브 라우터와 스탠바일 라우터를 뽑는다는 뜻.
  • 두번째로 보실 것은 standby 1 priority 105 입니다. 이것은 라우터 B의 priority 를 세팅하는 것으로 같은 스텐바이 그룹에 속한 라우터중 Priority 가 높은 라우터가 엑티브 라우터가 되고 낮은 라우터가 스텐바이 라우터가 됩니다. 이때 Priority 의 디폴트 값이 있는데 디폴트는 100 입니다. 따라서 만약standby priority 명령이 없다면 이 라우터의 Priority 는 100 이 됩니다. 나중에 보시게 되겠지만 라우터C의 priority 는 100 입니다. 따라서 라우터 B의 priority 가 더 높기 때문에 라우터B가 엑티브 라우터가 됩니다
  • <!--[if !supportEmptyParas]--> <!--[endif]--> 그 다음에 보실 것은 standby 1 preempt delay 5입니다. Preempt 명령은 복귀에 대한 명령입니다. 즉 위의 조건에서 제시한대로 엑티브 라우터였던 라우터 B 가 죽었다가 다시 살아나는 경우 라우터B는 5초 후에 다시 엑티브 라우터로 복귀를 하는 것입니다. 만약 이 명령을 사용하지 않게되면 라우터B가 다시 살아나도 엑티브 라우터로 복귀할 수 없게됩니다. 이때 주의할 점은 이 명령 (standby 1 preempt delay 5) 은 양쪽 라우터에 똑같이 구성되어 있어야 한다는 것입니다. 흔히 엑티브 라우터쪽인 라우터 B에 만 세팅하는경우가 있는데 에러의 발생 가능성이 있습니다. 여러분들은 꼭 양쪽라우터에 세팅해 주시기 바랍니다.
  • <!--[if !supportEmptyParas]--> <!--[endif]--> 이번에는 standby 1 track Serial0 10 를 보시기 바랍니다. 앞에서 설명드린 트레킹 입니다. 즉 라우터 B의 시리얼 0 인터페이스에 문제가 생길 경우 뒤에 있는 값인 10 만큼 라우터 B의 priority 를 떨어트리는 겁니다.따라서 이 경우 라우터 B의 Priority 는 95 가 되어 라우터 C의 100 보다 낮아지고 이 결과 라우터 C는 엑티브라우터가 되는 것 입니다. 물론 라우터 B의 시리얼이 다시 살아나면 Priority 는 다시 105 가 되고 preempt명령에 의해 라우터 B는 다시 엑티브로 동작합니다. 그리고 Tracking 기능이 제대로 동작하기 위해서는 HSRP Group안에 참여한 장비들은 Preempt 기능을 먼저 설정을 해주어야 합니다.
  • <!--[if !supportEmptyParas]--> <!--[endif]--> 마지막으로 standby 1 timers 3 10 은 타이머에 관한 옵션입니다. 즉 HSRP 그룹에 속한 라우터들은 매 3초 마다 한번씩 서로를 확인합니다. 그리고 10초 동안 엑티브 라우터쪽에서 대답이 없는 경우 자동으로 스텐바이 라우터가 엑티브의 역할을 수행하게 됩니다. 물론 이 명령은 없어도 됩니다.디폴트 값을 사용하면 되기 때문입니다.
  • 구성이 끝나면 앞으로 PC가 처음 ARP로 MAC주소를 요청할때(ARP Request) Virtual Mac주소로 응답할것이다. 보통 구조는 0000.0c07.ac01 이면 0000.0c 는 Vendor Code이고, 07.ac는 HSRP를 나타낸다. 뒤에 01은 HSRP Group(1번그룹)을 나타낸다.
  • 보통 라우터의 기본기능인 PC의 APR Request에 대한 MAC주소를 라우터 자신의 MAC주소를 보내는 기능인데..이것을 비활성화 해야한다. 따라서 Cisco Router에서 HSRP 기능을 활성화 시키면 자동으로 ICMP Redirect 기능이 비활성화 된다

<!--[if !supportEmptyParas]--> <!--[endif]-->

라우터 C 의 구성

Router_C#sh run int fa 0

Building configuration...

<!--[if !supportEmptyParas]--> <!--[endif]-->

Current configuration:

!

interface FastEthernet0

ip address 172.70.100.3 255.255.255.0

ip access-group 100 in

no ip redirects

no ip directed-broadcast

half-duplex

standby 1 timers 3 10

standby 1 priority 100

standby 1 preempt delay 5

standby 1 ip 172.70.100.1

standby 1 track Serial0 10

end


# HSRP가 설정된 인터페이스의 상태변화 순서

  • 초기 상태(Initial State) - HSRP 시작 상태, 아직 HSRP가 동작하지 않음, 설정을 변경하거나, 인터페이스가 살아날때 이상태가 된다.
  • 런 상태(Learn State) - 가상 IP 주소가 결정되지 않은 상태이며, 액티브 라우터로부터 헬로 패킷도 수신하지못한 상태, 이 상태에서는 액티브 라우터로부터 헬로 패킷을 기다린다.즉, Hello 감지 상태(순간적으로 감지하고 없어지는 상태이다.)
  • 리슨 상태(Listen State) - 가상 IP가 결정된 상태지만, 현재의 라우터가 액티브나 스탠바이 라우터는 아니다, 이 상태에서는 액티브나 스탠바이 라우터로부터의 헬로 메세지를 기다린다.
  • 스피커 상태(Speak State) - 주기적인 헬로 메시지를 전송하기 시작하며, 액티브와 스탠바이 라우터의 선출에 참여한다.
  • 스탠바이 상태(Standby State) - 이 상태는 액티브 라우터의 후보가 될수 있음을 의미, 주기적으로 헬로메시지를 전송, 동일한 HSRP그룹내에는 많아야 1개의 스탠바이 라우터만 존재, 그룹내에 또 다른 라우터들의 Hello 메시지를 기다리며 더이상 없으면 Active로 넘어간다. 보통 그룹안에는 여러개의 라우터가 존재하는데 Standby Router의 백업용으로 더 두고 있다. 보통이때는 Active Router를 선출하고 Hello Message를 보내며, Virtual IP를 알아낸다. 이러한것들을 준비하기때문에 바로 Active로 넘어가지않고 Standby 상태를 거친다.
  • 액티브 상태(Active State) - 해당 HSRP 그룹의 가상 MAC주소로 전송된 패킷을 수신하여 라우팅 시키는 역할을 하는 상태, 주기적으로 헬로 메시지를 전송하며, 동일한 HSRP  그룹내에는 많아야 1개의 액티브 라우터만 존재한다.




SW2(config)#interface vlan 100  # 동일한 HSRP 그룹으로 설정될 L3스위치인 SW3와 연결된 interface설정모드로 들어간다.
SW2(config-if)#ip add 10.1.100.252 255.255.255.0   # interface에 ip주소 할당
SW2(config-if)#stanby 100 ip 10.1.100.254   # HSRP그룹번호와 가상IP주소 지정,(그룹번호 안주면 기본값0)
SW2(config-if)#stanby 100 priority 200  # HSRP 그룹에대한 우선순위 값 (기본값 100) 단, HSRP 우선순위가 동일하면 IP주소가 높은 라우터가 액티브 라우터가 된다.
SW2(config-if)#stanby 100 timer 1 3   # HSRP의 헬로패킷 전송주기와 홀드타임 지정,(기본값 hello는 3초, 홀드타임은 10초) 즉, 10초동안 액티브 라우터의 헬로패킷을 받지못하면 스탠바이가 액티브로 변경, 보통 헬로타임의 3배를 홀드타임으로 설정. Hello Time이나, Hold Time은 Millisecond 단위로 한다.
SW2(config-if)#stanby 100 track gigabitethernet 0/1 150   # 위 그림처럼 액티브 라우터인 SW2의 g0/1이 다운된경우 HSRP가 동작하는 f0/24가 포함된 VLAN100이다. 따라서 g0/1이 다운되어도 HSRP는 계속 동작한다. 이때 액티브 라우터인 SW2가 외부 네트워크가 목적지인 패킷을 수신하면 g0/1로는 라우팅 시킬수 없다. 만약 HSRP가 설정되지 않았다면, SW2는 PC3에게 ICMP 리다이렉트(redirect)메시지를 사용하여 외부 네트워크로 가는 패킷은 SW3로 보내라고 알려준다. 그러면 PC3는 자동으로 SW3를 통하여 외부 네트워크와 통신을 계속할수 있다. 그러나 기본적으로 HSRP가 설정되면 자동으로 ICMP리다이렉트 기능이 중지된다. 따라서 PC3는 외부 네트워크와 통신을 할수 없게 된다. 이와 같은 상황을 방지하는것이 interface Tracking이다.  따라서  g0/1이 끊어지면 VLAN에 설정된 우선순위값 200을 150만큼 감소시켜(200-150=50) SW3 를 액티브 라우터(기본값 100)로 만들기 위한 명령어이다.
SW2(config-if)#stanby 100 preempt delay 30  # 복귀 명령, 설정후 먼저 Distribute Switch는 모두 Reboot를 하여 모든연결이 재 연결을 이루어져야 한다.


SW2#show standby biref   # 명령어를 사용한 interface별 HSRP 정보 확인
SW2#debug standby
# standby authentication : HSRP 멀티캐스트를 공유할 라우터들끼리 8자 까지 패스워드 지정할 수 있다.



HSRP 라우터의 로드밸런싱
  • HSRP는 동일 그룹내에서 한대의 라우터만 액티브가 되기때문에 다른 라우터들은 라우팅을 시키지못한다.
  • 따라서 두개이상의 HSRP 그룹을 만들어 각 그룹별로 서로 다른 액티브 라우터를 지정하면된다.
방법 -  1. 하나의  interface(VLAN or SVI)에 복수개의 HSRP그룹 을 설정하는 방법(MHSRP), Load Balancing을 위해 Multiple HSRP Group을 두어 처리한다. 각 HSRP Group에는 동일한 Subnet을 갖는 장비들로 구성한다.
         
           2. 별개의 interface(VLAN or SVI)에 각각의 HSRP 그룹을 설정하는 방법
, VLAN당 Active Router와 Spanning Tree Root Bridge는 동일한 장비로 설정한다.



# HSRP 실습


'IT동향 및 권고문' 카테고리의 다른 글

보안에 가장 신경써야 할 사람은...?  (0) 2011.04.18
스마트싸인 - 엑티브 X 뺀 공인인증서 기술  (0) 2011.04.04
HSRP 설정  (0) 2011.03.24
정보시스템 감리  (0) 2011.03.23
BGP 유용한 정보  (0) 2011.01.31
ISMS 관련 동향.  (0) 2010.12.14

WRITTEN BY
미소틱한남자
보다 즐겁게 살고 싶은 미쏘팅이 블로그~

받은 트랙백이 없고 , 댓글이 없습니다.
secret

감리란?

외부감사법에 의거 감사인인 회계법인이 작성한 감사보고서가 회계처리기준과 감시기준에 적합한지의 여부를 금융감독원이 검토하는 행위이다. 감리의 목적은 회계법인의 공정한 감사 수행을 유도하는데 있으며, 회부감사를 받아야 하는 대상은 자산이 70억원이 넘는 기업이다. 유형별로 일반감리, 특별감리, 수시감리 세종류가 있는데 일반감리는 매년 2회 무작위로 기업을 선정하여 이루어지며, 특별감리는 중대한 분식회계나 부실감사의 정보가 있는 회사 및 법정관리 신청회사를 대상으로 실시하며, 수시감리는 기업공개 예정회사를 대상으로 이루어진다.

■ 설계감리 정의 및 목적

국가 지방자치단체,국가 또는 지방자치단체가 납입자본금의 2분의 1이상을 출자한 기업체의 장 기타 대통령이 정하는 기관의 장이 시행하는 건설공사의 계획, 조사 또는 설계가 관계법령 및 건설기술 관리법 제 34조 제1항 각호의 설계 및 시공기준 등에 따라 적정하게 시행될 수 있도록 관리하는 것을 말하는데 설계감리시행을 위한 규정이 마련되어 있으나, 설계 감리제도의 조기정착을 위해 업무 요령을 발간하여 발주청에서 편리하게 이용하기 위함이다

■ 강제감사 정의 및 목적

회계감사중에서 법규에 의해 강요되고 의무가 추가된 감사로 임의감사(자유감사)에 대조되는 개념이며, 의무감사라고도 한다. 이 감사는 일반 사회 공공의 이익옹호를 위해 행하여 지기 때문에 감사를 받는 자의 의사에 따르지 않고, 법규에 의해 그 종류, 방법,범위 등이 강요된다. 이는 은행,보험,신탁,전기 등과 같이 면허나 허가를 요하는 업체는 공공성이 크다는 특성 때문에, 일정 법규에 준거해서 선임된 감사인이나 감사기관의 강제감사를 받게 된다. 이러한 강제감사의 대표적인 것으로 증권거래법 제182조의 감사인에 의한 감사와 동법 제 112조 이하에 의거한 증권거래소에 대한 회계의 보고와 감사규정을 들 수 있다.

■ 책임감리 정의 및 목적

발주청이 발주하는 일정한 공사에 대하여 감리전문회사가 당해 공사의 설계도서 기타 관계서류의 내용대로 시공되는지의 여부를 확인하고 품질관리, 공사관리 및 안전관리 등에 관한 기술 지도를 하여 발주자의 위탁에 의하여 감독권한을 대행하는 것을 말한다.

- Naver 백과 사전

- 세종대학교 논문실 : 책임감리 & CM 차이점

: 설계, 책임 감리의 차이점

2) 정보 시스템 관련 사건/사고 1건

직원 집단이직 후 3년 간 개발 중이던 휴대전화 관련 기술유출

지난 24일, 경찰청 외사국은 휴대전화 관련 기술 및 하드웨어 설계도를 빼내 경쟁회사 H로 이직한 M사 부사장 임 모(50)씨를 구속하고, M사 연구원 6명과 경쟁회사 간부 3명을 불구속 입건되는 사건이 있었다.

이번 사건은 회사가 자금난에 어려워짐에 따라 부도 위기에 처하자 이직을 하면서 기술을 유출한 독특한 점이 있다. 그리고 이들의 집단 퇴사와 기술 유출이 있은 뒤 이 회사는 결국 부도처리가 된 것으로 알려졌다.

경찰에 따르면, M사 임 씨 외 직원 6명은 H사 간부 3명과 공모해 H사로부터 스카우트되는 형태로 100억여 원을 투자해 3년 간 개발 중이던 동유럽형 코드분할다중접속(CDMA) 방식 휴대전화 소스코드와 하드웨어 설계도를 빼냈다는 것.

이에 M사의 한 관계자는 "이번에 유출된 CDMA 기술은 동유럽권에서만 사용되는 것으로, M사가 러시아 시장을 새로운 활로로 개척하기 위해 회사의 명운을 걸고 개발 중이었던 것"이라며, "이것이 성공했다면 5년 간 1조4천억여 원의 수익이 보장되는 기술"이라고 밝혔다.

반면 임 씨는 경찰 조사 과정에서, “회사가 어려워 타사와 합병 진행하고 있는 중이어서 이직을 하더라도 별 문제가 없을 것으로 알았다”고 말한 것으로 알려져 그 문제의 심각성이 두드러진다.

한편 이와 관련 한 업계 관계자는 “회사가 어려운 가운데 회사를 어떡해든 살리려는 노력도 해 보지 않고, 도리어 기술을 유출해 동종업체에 이직 한 것은 씁쓸한 일”이라며, “기업의 보안목적이 대형 기밀유출 사고를 방지하는 것이라면, 내부직원에 대한 보안을 우선해야 한다. 직원들을 무조건 맹신하는 경향 등 아무런 대책도 취하지 않는 것은 직원을 보호하는 방법이 아니다”고 지적했다.

개인적인 견해

- 중소기업은 금전적인 부분에서 대기업에 많이 뒤지고 있습니다. 이런 이유를 통해 보안에는 많은 신경을 쓰지 않고 있으며, 내부 직원을 그냥 믿고 개발이나 프로젝트를 진행하고 있습니다. 만일 이 회사가 이런 “보안 시스템이 잘 되어 있었더라면 과연 결과는 어떠했을까?” 하는 질문을 해 본다면 성공했을 것입니다. 누구나 외부의 효과에 의해 움직일 수가 있고, 돈이 되는 것이라면 가지고 싶어 하는것이 사람의 섭리 이기 때문입니다.

먼저 문제점을 살펴 본다면

첫째, DRM(Digital Rights Management) 내부 문서 보안 시스템 구축

DRM 내부 문서 보안 시스템을 구축하였더라면 사전에 예방을 했을 것입니다. 모든 개발 문건이나 문서는 가상의 PC를 통해 작업을 하게 되면 수 많은 도면이나 설계도는 유출을 당하지 않았을 것입니다.

둘째, 보안직원 이나 관제 직원을 통한 모니터링시스템의 구현

내부 가용 자원에서 보안 직원을 통한 모니터링의 지원이 불가능 하다면 외부 아웃소싱 업체를 통한 24시간 모니터링입니다. 불법접근, 시스템 분석, 불법 메모리 사용 등을 통한 중 장기적인 분석을 하면 어떠한 사용자가 불량 행동하는 것을 분석 할 수 있기 때문에 중소기업에서는 이러한 방법을 통해 예방통제가 될 것입니다.

셋째, 사내 교육을 통한 보안 인식

내부 기밀문서 유출의 30%는 내부 직원의 소행입니다. 이같은 통제를 하기 위한 가장 확실한 방법은 내부 직원에 대한 보안 교육입니다. 이 교육을 통해 기밀 유출 및 보안 사고는 형법에 포함된다는 것을 직원들에게 교육을 시켰더라면 그들이 기술 유출을 하기 전 한번 더 고민을 했을 것입니다. 회사가 어려워 진다는 것은 알지만 그 속에서 협업을 통해 성장을 하는 것이 아니라 이직을 고민하는 그들의 모습 속에서 사내 교육 및 분위기의 중요성을 다시 한번 생각하게 하는 것 같습니다.



WRITTEN BY
미소틱한남자
보다 즐겁게 살고 싶은 미쏘팅이 블로그~

받은 트랙백이 없고 , 댓글이 없습니다.
secret
http://blog.naver.com/kwi3094?Redirect=Log&logNo=120044336549

WRITTEN BY
미소틱한남자
보다 즐겁게 살고 싶은 미쏘팅이 블로그~

받은 트랙백이 없고 , 댓글이 없습니다.
secret

국내 ISMS 관련 동향을 몇 자 적습니다.

 

1. ISMS

 

2004년에 BS7799를 기반으로 국내 실정에 맞춘 정보보호관리체계 국내 표준을 만든것인 KISA(구 한국정보보호진흥원)의 ISMS(Information Security Management System)입니다. 현재 이 제도는 방송통신위원회 소관으로 "정보통신망이용촉진 및 정보보호 등에 관한 법률"에 명시되어 있고 인증기관은 한국인터넷진흥원(KISA)으로 되어 있습니다. BS7799의 국제 표준화가 이뤄진 ISO27001와 비교를 많이 하곤 하는데, 점검항목이나 인증절차가 다소 차이 있고 KISA ISMS에서 요구하는 인증기준 및 심사절차가 좀더 엄격하다고 할 수 있습니다.

 

2. PIMS

 

제도가 발전하고 많이 알려지면서, 개인정보보호에 관한 체계적인 관리와 보안신뢰수준의 제고를 위해 개인정보보호 관리체계(PIMS; Privacy Information Manangemet System) 요건을 정의하고 작년(09년) 시범 PIMS수립 및 모의인증심사 등을 실시한 바 있습니다. 아마 올해 PIMS가 좀더 다듬어지면 제도화하여 민간 부문에 개인정보 관리체계 인증이 시범적용되지 않을까 예상하고 있습니다. 이것 역시 방송통신위원회 소관입니다. 따라서 정보통신망법 상 법률적용 대상 사업자에게 PIMS의 수립이 권고되기 시작할 것으로 보입니다.

 

3. G-ISMS

 

또 하나의 ISMS는 국가 공공기관에 대한 것입니다. G-ISMS라고 명명되어 있고 공식 한글 명칭은 "전자정부 (대민서비스) 정보보호관리체계"입니다. 작년 12월(09년12월11일) 행정안전부 장관 훈령으로 지침이 제정되어 인증업무기준과 인증기본요건(13개 영역 150개 통제항목, 310개 세부점검항목)이 공개(세부점검항목은 미공개)된 바 있습니다. 이것은 행정안전부 소관으로 KISA를 인증기관으로 정하고 있습니다.

보도기사를 통해 보셨겠지만 올 1/4분기에 행안부 직할기관인 정부통합전산센터(대전, 광주)와 시울시청 또는 구청 등 최대 4개 또는 3개 기관이 GISMS 인증심사를 앞두고 있습니다. 물론 시범적으로 GISMS를 수립하고 인증심사를 하는 것이므로, G-ISMS 역시 좀더 보완되지 않을까 예상하고 있습니다. 훈령 지침을 근거로하면, 행안부 직제에 있는 그리고 지방자치단체(도, 시 등)에 이것이 확대될 가능성도 커 보입니다. 다만 국가 공공기관에 대한 유사한 점검, 관리체계가 여러 가지 있다보니, 가급적 G-ISMS 인증을 받으면 유사 제도를 통한 중복 점검이 이루어지지 않도록 혜택(실제 보안성이 제고되었음을 보증하는 것을 전제)을 어느 정도 줄 것인가가 G-ISMS제도 발전의 핵심 포인트 입니다.

현재 국가 공공기관은 최대 많은 경우 유사 제도에 의해 년간 3~5건의 중복, 유사 점검을 받고 관련 자료를 제출하고 있습니다. 대표적인 유사 제도가 국정원 정보보안수준진단(공식명칭은 아님), 정보통신기반시설보호 대상 기관인 경우 기반보호법에 의한 점검 및 자료 제출, 행안부 정보통신보안업무규정 점검체계(별첨)에 의한 행안부 본부 또는 기관 자체 점검 등이 그것입니다. 정부통합전산센터의 경우는 ISO20000 인증을 받고 유지하고 있어 그 인증영역 중 Security가 있어 일부분 이지만 역시 중복 점검이 이뤄지겠지요.

 

4. 제도 발전을 위한 제언

 

제도는 대상별로 다양해 지고 있습니다. 그러나 한편으론 걱정이 있는데 인증심사는 누가 할 것인가 입니다. KISA ISMS인증심사원풀이 약 300명 가까이 있지만 전담하는 형태가 아니고 전문분야와 지식수준도 다양하기 때문에 각 분야별, 대상별 전문인증심사원을 어떻게 선별하고 유지할 것인가가 중요한 사안이 아닐까 싶습니다. 공정성, 전문성 등을 갖춘 전문심사원을 인증기관이 어떻게 선발하고 교육, 유지할 것인가가 중요하다는 것입니다. 그리고 한가지 더 있다면, 그것은 인증기관이 3가지의 인증제도를 관리할 수 있는 인증기관 소속 전문직원을 어떻게 확보하고 유지할 것인가 입니다. 위에서 설명했지만 방송통신위원회, 행정안전부 등 2개로 이원화되어 관리되는 제도이다 보니, KISA 직원들의 어려움이 많은 것으로 예상하고 있습니다. 곁에서 지켜보고 있는 제가 보기에도 고생을 많이 하고 있습니다. 그 만큼 노력도 많이 하고 있구요.

 

어찌되었건, ISMS가 국내에서 확산되는 것은 바람직한 현상입니다. 다만 확산될때 제도가 잘 만들어지고 관리되기 시작하는 것이 중요합니다. 이를 위해서는 인증기관의 인력확보 등을 포함하는 예산지원과 관심이 시급하다고 할 수 있습니다. 또한 현재 ISMS 인증심사원풀에 속한 심사원들의 자체적인 R&D 노력도 함께 이루어진다면 더 좋겠습니다. ^^



원본
http://cafe.daum.net/itinformation/Qrv3/5?docid=1GdmF|Qrv3|5|20100204102643&q=G-ISMS&srchid=CCB1GdmF|Qrv3|5|20100204102643


WRITTEN BY
미소틱한남자
보다 즐겁게 살고 싶은 미쏘팅이 블로그~

받은 트랙백이 없고 , 댓글이 없습니다.
secret
2개 지자체는 행정망 전체 장악의 통로가 될 만큼 위험에 노출


[보안뉴스 오병민] 지난 4월 한국인터넷진흥원은 특정 보안업체를 통해 16개 지자체 대표 홈페이지에 대한 웹 어플리케이션 취약성을 진단했는데, 5월 6일 발표된 내부 결과보고서를 보면 홈페이지 취약성은 심각한 수준인 것으로 드러났다.


16개 지자체 홈페이지 중 2개는 이를 통해 행정망 전체를 장악할 정도로 심각한 위험에 노출되어 있으며, 이들 2개 홈페이지를 통해 행정망 전체에 침입할 수 있는 것 뿐 아니라, 행정망을 장악하고 컨트롤할 수 있게 되어 청와대는 물론 모든 행정기관의 전산망이 무방비로 노출될 수 있다는 것.


게다가 9개 지자체 홈페이지는 홈페이지의 데이터 정보가 모두 노출될 수 있을 정도로 진단되었다.  이들 9개 지자체 홈페이지는 내부의 데이터 정보를 모두 추출할 수 있어 해당 홈페이지의 개인정보나 지자체의 계발계획, 투자정보 등까지 노출될 수 있다.


또한, 6개 지자체 홈페이지는 로그인 정보가 노출될 수 있어, 해당 홈페이지의 회원으로 가입한 이용자들의 정보가 노출될 우려가 있는 것으로 진단됐다.


창조한국당 이용경 의원은 “이처럼 지자체 홈페이지의 보안 위험이 심각한데도 불구하고, 인터넷진흥원은 해당 지자체가 어디인지 밝히기를 거부하고 있어 보안사고 발생시 막대한 개인정보 유출은 물론 행정망 전체 정보 유출 상황 발생까지도 우려되고 있다”고 주장했다.


따라서 한국인터넷진흥원은 하루 속히 관련 지자체의 명단을 공개하여 피해를 예방함은 물론 시급한 대책 마련에 나서야 한다고 지적했다.


- 지자체 홈페이지 보안진단 현황 -

○ 취약성 진단은 OWASP(Open Web Application Security Project)의 Top 10 항목을 기준으로 실시하였는데, 항목 중 심각한 수준의 취약성이 지자체 홈페이지에서 발견되었음.


○ 먼저, 심각한 위험을 기준으로 보면 ‘인젝션 취약’이 있음. 이는 OWASP의 보안위험 1순위로 홈페이지의 모든 데이터가 도둑맞거나 조작 되거나, 또는 삭제 될 수 있는 수준의 취약점임.


○ 인젝션이 취약한 지자체는 2군데뿐이지만, 공격자로부터의 공격 용이도가 쉽고, 해킹 당할 경우 호스트를 완전히 장악당해 행정망으로의 피해까지 확산될 수 있음. 


 <지자체 홈페이지 취약점 진단 결과, 2010. 5. 6>

취약성 항목

영향

취약점 발견 시?도 홈페이지

Cross site Script 취약

스크립트 삽입공격을 통한 정보유출 시도

(로그인 사용자 정보노출)

6개

인젝션 취약

injection 취약점을 통해 권한 획득 및 DB접근

(시스템 장악 / DB정보 유출)

2개

파일업로드 취약

악성백도어 파일 업로드 후 시스템권한 획득

(시스템 장악)

1개

다운로드 취약

다운로드 파라메타를 통한 시스템정보 다운

(행정망 접근 / 정보유출)

9개

부적절한 오류처리

에러처리 미흡으로 주요정보 노출 확인

6개

서버설정 오류

서버 설정상의 문제로 중요정보 노출

3개

취약한 서버 버전

취약한 버전의 웹서버 사용으로 취약점 발생

1개

관리자인터페이스 관리

관리자 페이지에 접근하여 권한획득 시도

1개

[오병민 기자(boan4@boannews.com)]



WRITTEN BY
미소틱한남자
보다 즐겁게 살고 싶은 미쏘팅이 블로그~

받은 트랙백이 없고 , 댓글이 없습니다.
secret

지난해 7.7 DDoS 대란과 대규모 정보유출 사고 등 잇달아 발생하고 있는 대형 보안 사고로 인해 보안 전문가의 역할이 갈수록 중요해 지고 있다. 지난 7.7 DDoS 대란 때에도 각계 각층에서 보안 전문가가 부족하다는 문제는 이미 여러 번 제기됐다. 이에 따라 보안 전문가에 대한 사회적 인식은 최근 많이 높아지고 있지만 우리나라 정보보안 미래를 이끌어갈 보안 전문가는 부족하다는 것이 관련 업계의 목소리다. 2009년 정보보호 관련 대학과 대학원, 그리고 전문대학 졸업생 수는 약 582명에 달하지만 이들이 보안 관련 기업에 취업하려고 해도 그 문턱은 높기만 하다는 구직자들의 목소리도 있다. ‘보안 전문 인력 양성’ 과연 무엇이 문제인지 짚어보았다.


보안 전문 인력 양성 ‘빨간불’왜?


최근 들어 보안업계에 지원하고자 하는 유망한 인재들이 늘어나고 있다. 그동안 적었던 보안업계에 대한 관심이 얼마 전부터 터져 나온 보안이슈로 인해 점차 보안업계로 눈을 돌리는 젊은 인력들이 늘어나고 있는 것. 그러나 보안 전문가가 장미빛 성공을 보장하는 직종이라는 데는 고개를 젓는 사람들이 많다.


옥션 해킹과 GS칼텍스 고객정보유출 그리고 7.7 DDoS 대란까지 잇단 대형 보안 사고로 인해 보안 전문가의 역할이 갈수록 중요해지고 있다. 7.7 DDoS 대란만 해도 각계에서 보안 전문가가 부족하다는 문제는 벌써 여러번 제기되곤 했다. 그러나 보안 전문가는 밤샘 근무를 불사함에도 불구 그에 합당한 대우를 받지 못하고 있어 보안 전문가는 이른바 3D 직종으로 불리고 있다. 가령 7.7 DDoS 대란만 해도 보안 업계의 대부분 담당자들은 밤샘 근무를 해야 했으며 급박했던 상황 때문에 화장실도 제대로 못 가곤 했지만 뒤돌아 오는 것은 “수고했다”는 격려보다 “당연히 해야 할 일을 했을 뿐”이라는 냉담한 반응이었으며 심한 경우 “제대로 대응을 못했다”라는 비난을 받기도 했다.

 

보안 전문가들이 이런 대우를 받는 데는 이유가 있다. 보안은 실적으로 나타나지 않기 때문이다. 보안 전문가는 태생적으로 마이너스 실적을 가진 잘해야 본전인 직종이다. 따라서 IT인력들은 보안직종을 기피하는 모습을 보이고 있고 상황이 이렇다 보니 보안 전문가를 양성하는 교육기관도 부족한 형편이다.

김광조 KAIST 교수는 “보안업계는 산업인력도 없고 학생도 없다. (학생 부족을 해결할) 근본적인 해결책이 없다면 인력이 없어 대책을 세울 수 없다”면서 “7.7 DDoS 대란과 같은 사태는 핵심적인 고급인력이 가장 필요했지만 이에 대한 대비가 없었다”고 따끔하게 지적하기도 했다. 정책적으로 보안인력을 양성할 수 있도록 기반을 만들어야 한다는 지적이다.

 

보안인력이 필요한 수만큼 충족되지 않아 업무가 가중되고 있다는 것도 큰 문제다. 이는 비단 보안 쪽만의 문제는 아니고 IT업계 전반적인 문제로 파악되고 있지만 보안 위협이 다방면으로 증가하고 있다는 것을 감안한다면 보안업계의 인력충원은 더욱 시급하다.

현재 보안업계에서는 보안인력을 점차 늘리고 있는 추세를 보이고 있지만 여전히 부족하다는 것이 업계의 중론이다. 그럼에도 불구 업계에서 인력충원에 어려움을 겪는 이유는 재정적인 문제 때문이다. 대부분 보안업계는 영세한 편에 속하고 있어 인력을 늘리는 것이 쉽지 만은 않다.

 

이진규 NHN 개인정보보호팀 팀장은 “보안과 관련한 투자 효용에 대한 인식이 부재하기 때문에 보안에 대한 투자를 매몰비용(Sunken Cost)으로만 보는 사회분위기에서는 적극적인 보안 투자 및 인력 양성이 어렵다”며 “보안에 대한 투자대비산출(SROI - Security Return On Investment)에 대한 체계적 연구를 통해 보안투자비용이 가져오는 효과를 정책입안자, 의사결정자들에게 적극 홍보해야 할 필요가 있다”고 말했다.


경력직 인력 선호가 문제

한 설문조사 결과를 보면, 보안이 관심분야이기 때문에 취업을 원한다는 의견이 75%로 가장 많았다. 반면 ‘유망직종으로 떠오른다는 기대감’이라고 응답한 사람은 18%에 지나지 않았다.

유망업종에 대한 갈망보다 보안 자체에 관심이 많고 흥미를 가지는 지원자가 많다는 것은 업계에 있어서 매우 고무적이다. 사실 유망업종에 대한 갈망만으로 지원하기에는 보안업계는 매우 힘든 일이기 때문이다. 따라서 보안업계에 관심과 흥미를 가진 인재들이 많다는 것은 앞으로 더욱 높은 수준의 보안인력을 창출할 수 있는 가능성이 있다는 것을 보여준다.

 

그럼에도 불구하고 현재 정보보호업계에서는 인력 가뭄에 시달리고 있다. 보안업계에 취업을 원하는 지원자가 적은 상황도 아니지만 많은 정보보호업계 인사담당자들은 쓸만한 인력을 구하는 것은 하늘에서 별 따기와 같다고 토로하곤 한다.

그 이유는 정보보호업계가 신입 채용보다 경력사원 채용에 더 많은 관심을 보이기 때문이다. 한 보안업계의 담당자는 “현재 회사에서 신입사원 채용도 진행 중이지만 경력사원에 더 많은 관심을 보이고 있는데, 그 이유는 회사가 넉넉지 않은 상황이기 때문에 신입사원을 교육시켜 실무에 투입시킬만한 여력이 부족하기 때문”이라며 “따라서 가급적이면 경력사원을 채용해 바로 실무에 투입하는데 집중하고 있다”고 말했다.

 

현 상황이 이렇다 보니 보안 경력자들의 수요는 증가하고 있지만 공급은 원활하지 못하고 있다. 특히 잇달아 터진 보안이슈로 인해 많은 대기업에서도 보안 경력자들을 뽑아가고 있어 상황은 더욱 악화되고 있다.

많은 보안업계 지원자들은 경력을 선호하는 상황에 대해서는 어느 정도 이해하지만 경력 쌓을 곳 없이 경력만 요구하는데 대해서는 불만을 표시하기도 했다. 한 보안업계 지원자는 “사실 보안업계 취업을 준비하는 입장에서 경력을 쌓을만한 곳을 찾기 매우 힘든 상황”이라며 “몇몇 기관이나 기업에서 인턴제를 운영해 경력을 쌓을 수도 있긴 하지만 지원자 백 명에 한 명정도 뽑는 수준에 불과한 것으로 알고 있다”고 불만을 토로했다.


인사담당자 “채용시 발전 가능성 고려”

그렇다면 보안업계에서 어떤 인재를 원하고 있을까? 많은 보안업계 인사담당자들은 정보보호 관련 지식도 중요하지만 IT전반적인 지식이 충분히 갖춰져 있어야 한다고 이야기한다. 많은 지원자들이 정보보호 전문지식 부족을 꼽았지만 정보보호 업계에서는 전문지식의 범위를 좀 더 넓혀야 한다고 이야기한다. 한 보안 전문 업체 인사채용담당자는 “보안전문업체에서 뽑으면 보안전문인력이라고 볼 수 있지만 그 인력들이 전부 보안에 특화된 인력이라고 볼 순 없다”며 “일단 보안관제 업무 외에 개발인력의 경우 프로그래밍하는 능력이 더 중요하기 때문”이라고 설명했다. 그는 또 “물론 보안에 대한 개념과 여러 가지 필요한 요소는 있지만 보안은 하나의 분야에만 위협이 나타나는 것이 아니기 때문에 네트워크나 서버 등 다방면의 IT지식을 요구하고 있다”고 덧붙였다.

 

물론 정보보호 관련 자격증 취득은 정보보호 업계 취직에 유용한 수단이 될 수 있다. 하지만 인사담당자들은 정보보호 자격증을 보유하고 있다고 정보보호 업무를 잘 수행할 수 있다고 생각하지는 않는다는 의견을 내비쳤다. 자격증이 있더라도 어차피 새로 시작해야 한다는 생각으로 인력을 채용하고 있는 것.

업계의 한 관계자는 “정보보호 업계에서 원하고 있는 자격증은 SIS 자격증과 CISA 등이 있으며 이런 자격증들은 일단 기본적인 갖춰야 할 조건으로 여겨지고 있는 것은 사실이지만 정보보호 업계에서는 그와 아울러 더 원하는 것이 있다”면서 “그것은 바로 발전 가능성으로 회사의 일원이 됐을 때 능력이 신장될 수 있는 가능성을 높게 보고 있다”고 설명했다.

<글 : 김태형 기자(is21@boannews.com), 호애진 기자(is@boannews.com)>


WRITTEN BY
미소틱한남자
보다 즐겁게 살고 싶은 미쏘팅이 블로그~

받은 트랙백이 없고 , 댓글이 없습니다.
secret

우리나라 소프트웨어 불법복제율을 10% 낮추면 1조7000억원의 경제효과가 창출된다는 보고서가 발표됐다.

사무용소프트웨어연합(의장 양지연 www.bsa.org/korea 이하 BSA)은 21일 전세계 주요 국가를 대상으로 하는 ‘2010 소프트웨어 경제 영향 연구 보고서(SW Economic Impact Study 2010)’를 발표하면서 이같이 밝혔다.

BSA가 시장 조사 기관 IDC에 의뢰, 실시된 이번 연구 보고서에 따르면, 2013년까지 4년 간 국내 소프트웨어 불법복제율이 10% 절감될 경우 15억 달러(약 1조7000억 원)의 경제 성장 효과가 있을 것으로 전망됐다.

뿐만 아니라 약 7억 달러(약 7800억원)의 추가 조세 수입의 증가가 가능하며, 1만 개의 신규 일자리가 창출되는 것으로 분석 됐다.

이번 조사는 PC용 소프트웨어만을 대상으로 하고 있어 온라인 상에서 유통·사용되고 있는 불법복제 소프트웨어까지 고려할 경우 그 효과는 막대할 것으로 예상된다.

지난 해 IT 산업은 180억 달러의 세익 창출에 일조한 것으로 나타났으며, 약 57만 개의 신규 일자리 창출을 가져온 것으로 파악됐다.

IDC 보고서는 2년 안에 불법복제율을 10% 줄일 경우 그 경제적 효과는 더욱 클 것으로 예상했다. 이럴 경우 4년인 경우 보다 35% 이상의 더 큰 파급 효과가 나타나 20억3000만 달러의 경제 성장 효과와 9억3000만 달러의 추가 세수 증대 효과가 창출되는 것으로 나타났다.

양지연 BSA코리아 의장은 “소프트웨어를 포함한 IT 산업 발전이 경제 성장의 중요한 원동력”이라며 “IT 산업이 국가 경제의 원동력이라면, 소프트웨어는 IT 산업의 원동력이라고 할 수 있으므로, 소프트웨어 저작권 보호는 국가적 과제”라고 말했다.

한편 BSA는 소프트웨어 불법복제 저감에 따르는 경제적 효과를 대국민 홍보하기 위해 하루 1000만 원을 지급하는 "BSA 드림알바 프로젝트"를 온라인 상으로 진행하고 있다.


WRITTEN BY
미소틱한남자
보다 즐겁게 살고 싶은 미쏘팅이 블로그~

받은 트랙백이 없고 , 댓글이 없습니다.
secret