딜라이트닷넷

개인정보유출

[딜라이트닷넷 창간기획] 사물인터넷 활성화, 선결과제는 보안

이민형 기자의 인터넷 일상다반사 14.09.30 07:00

사물인터넷(IoT)은 인터넷으로 연결된 사물들이 정보를 주고받으며 소통하는 지능형 기술·서비스로, 차세대 성장 분야로 급부상하고 있다.미국의 시장조사기관 가트너는 IoT 시장 규모가 2020년에 1조9000억 달러(약 1950조원)에 달할 것으로 전망했다. 기업들을 비롯해 정부에서도 사물인터넷 시장에 대한 투자를 아끼지 않고 있다.사물인터넷은 이미 빠르게 확산되고 있다. 각종 웨어러블 디바이스를 비롯해 자동차, 가전제품 등에도 사물인터넷이 적용되고 있다.하지만 보안이 담보되지 않은 사물인터넷은 재앙이 될 수 있다.각종 센…

보안 업데이트의 생활화가 해킹사고 막는다

이민형 기자의 인터넷 일상다반사 14.08.20 08:52

지난 광복절 연휴기간 동안 넥슨 네오플의 온라인게임 던전앤파이터 홈페이지가 악성코드로 몸살을 앓았다.공격자는 어도비 플래시플레이어의 취약점(CVE-2014-0515)을 악용해 비정상적인 게임 클라이언트를 내려받고 실행하도록 유도했다.어도비 플래시플레이어 최신버전이 설치돼 있지 않은 사용자는 던전앤파이터 홈페이지에 접속하기만 하더라도 피싱 클라이언트로 접속된다는 점이 무서운점이다. 최근 몇 년 사이 유행처럼 번지는 드라이브바이다운로드(DBD)의 확장 버전이라고 봐도 무방할 것이다.피싱 클라이언트는 사용자의 일회…

개인정보유출에 이어 사용자 기망하는 아프리카TV

이민형 기자의 인터넷 일상다반사 14.07.13 13:43

아프리카TV가 개인정보유출 이후의 대응 태도가 도마에 오르고 있다. 당초 유출 사실을 번복한 것도 모자라 유출 내용을 알리는 노력도 제대로 이행하지 않고 있다는 지적이다.지난 11일 아프리카TV는 외부 공격에 의해 일부 가입자의 개인정보가 유출됐다고 밝혔다.아프리카TV, 개인정보유출 확인…유출 규모 확인 중 - 7월 11일아프리카TV, 개인정보유출 의심 - 7월 2일유출된 개인정보는 2002년 12월 17일 이전에 아프리카TV에 가입한 회원 중 일부 회원의 ▲아이디 ▲이름 ▲가입일 ▲암호화된 비밀번호 ▲생년월일 ▲이메…

구글과 에버노트 애용하는 당신, 보안을 위해 OTP를 써보라

이민형 기자의 인터넷 일상다반사 14.07.10 17:29

오늘날 개인 사용자들에게 있어 가장 치명적인 보안사고는 인터넷서비스 계정의 탈취라고 봐도 무방하다.개인정보유출 사고야 개인이 막을 수도 없고, 당장 피해가 발생하진 않지만 계정정보의 유출은 자신의 사생활이 고스란히 노출될 수 있기 때문이다.특히 구글이나 에버노트, 페이스북처럼 개인의 사생활이 집약된 서비스에 대한 계정 정보가 외부로 유출될 경우 그 피해는 상상하기 힘들다.사실 많은 보안전문가들은 인터넷을 사용하는 사람이라면 언제든지 계정정보가 탈취될 수 있음을 인지해야 된다고 지적한다.워터링 홀(Waterin…

ISP의 SSL 도입, 선택이 아닌 필수

이민형 기자의 인터넷 일상다반사 13.01.22 15:10

자신이 보낸 메일을 누군가가 훔쳐본다면 얼마나 섬뜩할까. 최근 보안업계에 의하면 모바일 디바이스의 데이터를 빼내기 위한 스니핑(가로채기)이 증가하는 추세다.단말에 대한 보안은 1차적으로 사용자에게 있지만, 서비스 상 보안문제가 있다면 이에 대한 책임은 당연히 서비스 업체에서 져야한다.국내외 인터넷서비스 업체(ISP)들이 웹브라우저와 서버간의 안전한 트랜잭션을 위해 ‘보안접속(SSL, Secure Sockets Layer)’을 강화하고 나서는 모양새다.특히 구글의 경우는 자난 19일 자사의 웹브라우저인 구글 크롬 옴니바(주소창 겸…

공돈 100만원이 탐나시나요?

심재석의 소프트웨어 & 이노베이션 11.07.15 16:28

애플 아이폰의 위치 정보 수집 사건이 다시 화제가 되고 있군요. 한 변호사가 불법 위치정보 수집으로 소송을 걸어 애플로부터 100만원을 받아낸 것이 알려지면서 집단소송 바람이 불고 있습니다. 한 마디로 ‘나도 100만원 받을 수 있겠구나’하는 욕심(?)이 생긴 것입니다. 이 변호사 소속 법무법인은 소속 변호사의 성공사례를 내세워 집단소송을 주도하며 쏠쏠한 수임료를 챙기고 있습니다. 현재까지 집단소송에 참여한 이가 15000명을 넘어섰다고 합니다. 자, 그럼 소송에 참여한 모두는 100만원씩 공돈이 생길까요? 재판에 돌입하지…

‘아이핀’ 발급체계 허점 노출

이유지의 안전한 네트워크 세상 10.06.07 18:40

해킹 등으로 유출된 주민번호를 이용해 타인의 명의로 ‘아이핀(I-PIN)’을 대량 부정 발급한 사건이 발생했습니다.   이 사건으로 방송통신위원회가 개인정보보호 대책으로 적극 추진해온 ‘아이핀(i-PIN)’의 발급체계상의 허점이 처음 드러나게 됐습니다. ‘아이핀’은 인터넷상에서 과도한 주민등록번호 수집으로 인해 커지는 개인정보 유출 피해를 근절하기 위해 주민번호를 사용하지 않고도 인터넷사이트 회원으로 가입하고 이용할 수 있는 본인확인수단입니다. 인터넷상에서 주민등록번호 수집·이용이 과도하게 이뤄지는 상황에서 주민번호 대신에 ‘아이핀’을 사용해 심각한 개인정보침해사고의 근원인 인터넷상에서 주민번호 사용을 줄여나가고, 해킹 등으로 유출된 주민번호 도용 피해도 막자는 취지에서 지난 2005년 정보통신부가 만든 것입니다. 그런데 ‘아이핀’이 명의도용, 개인정보침해에 악용됐습니다. ‘아이핀’을 발급하려면 서울신용평가정보, 한국신용정보, 한국신용평가정보, 한국정보인증, 코리아크레딧뷰로 등의 본인확인(인증)기관 사이트에서 주민번호와 성명, 비밀번호 등을 입력한 후, 공인증서나 신용카드, 휴대전화 번호, 대면확인 방식을 골라 신원확인 절차를 거치면 됩니다.  이번에 경찰에 검거된 일당은 유출된 주민번호와 휴대폰 대리인증, 대포폰과 무기명선불카드(기프트카드)로 아이폰 발급에서의 신원확인 절차를 모두 통과해 총 1만3000여 개의 ‘아이핀’을 발급했다고 합니다. 또 부정발급한 아이핀을 이용해 게임사이트나 포털사이트 계정을 만들고 광고메일을 보내는데 이용됐습니다. 대리인증은 명의도용 우려가 제기돼 지난해 방통위는 청소년과 외국인의 경우에만 허용하는 방식으로 제한했습니다. 문제는 기프트카드와 대포폰인데요. 기프트카드는 한 카드사가 발급하는 기프트카드가 횟수의 제한 없이 사용자의 등록·변경이 가능하다는 허점을 노려 신원확인 방식에 사용했기 때문입니다. 이 카드사는 신용카드번호가 아닌 기프트카드를 ‘아이핀’ 발급을 위한 본인확인 수단으로 사용한 것을 허용했습니다. 신용카드를 이용한 ‘카드인증’ 방식에 기프트카드를 써도 되는 것이 참 의아합니다.   방통위는 이에 대해 “금융위원회의 판단을 기대하겠다”는 입장입니다. 또 “원래는 기프트카드를 신원확인에 이용하려면 공인인증서를 통한 인증 절차를 거쳐야 하는데, 본인확인 절차를 제대로 거치지 않고도 수수료를 받고 이를 아이핀 발급 수단으로 이용하도록 했기 때문에 해당 카드사에 강력한 제재를 요청할 것”이라고도 방통위 담당과장은 말했습니다. 아이핀 정책을 제대로 펼치기 위해선 주무부처인 방통위와 금융위원회 등 금융감독당국과 세부적인 협조와 그에 맞는 관리감독이 선행됐어야 했는데, 미비했던 것입니다. 대포폰을 이용할 경우에는 완전히 사전에 막기는 어렵고, 다만 스팸 대책과 연관해 대포폰 전화번호로 발급된 아이핀을 추적·검증해 사후에 사용중지 조치를 수행한다는 방침입니다. 결국 이번 사건은 인터넷상에서 주민등록번호를 대체하는 본인확인 수단으로 전국민이 사용할 수 있도록 하려면 총체적인 관리체계를 더욱 개선해야 할 필요가 있다는 점을 보여줬습니다.  방통위는 그간 ‘아이핀’ 이용을 활성화하기 위해 편의성을 개선하는데 중점을 둬 왔는데요, 총체적인 보안관리체계 수립에도 더 박차를 가해야 할 것입니다.  이번에 발견되지 않은 허점이 있을지도 모릅니다. 또 이미 그간에도 본인확인기관의 보안성, 이들의 법적근거 미비 등 신뢰성 우려가 제기되지 않은 것도 아니기 때문입니다.  개인정보보호를 위한 ‘아이핀’ 활성화의 선결조건은 다름 아니라 ‘아이핀’ 발급·운영·관리·사용체계 전체의 신뢰성이 담보돼 있어야 합니다.  더욱이 2015년까지 인터넷상에서 ‘아이핀’을 의무사용토록 하려면, 전국민이 인터넷상의 ‘주민번호’로 대신 사용토록 하기 위해선 안전성이 보장돼야 할 것입니다. 그래도 부정발급으로 확인된 ‘아이핀’을 즉각적으로 사용중지 조치할 수 있다는 게 다행스러운 감은 있습니다. 가능하다면 경찰 수사나 이용자들의 ‘우연한 발견’에 의해서가 아니라도 부정 발급·사용된 ‘아이핀’을 즉각 확인해 걸러낼 수 있다면 좋겠습니다.   댓글 쓰기