2011년 정보보호 동향 분석

@ 2011년 정보보호 동향 분석에 앞서서

- IT분야 중에서 “금융권” 정보보호 동향에 주된 초점을 맞춰 알아본다.

- 정보보호 동향을 아는 것은 보안 리스크를 관리하는데 있어 중요한 역할을 수행하고 있으며, 금융기관은 예측된 주요 위협들에 대해 선제적으로 대응함으로써 해당 기관의 전반적인 보안성과 안전성을 향상시킬 수 있다. 20
11년 정보보호 동향 분석

@ 전체 IT 분야 정보보호 동향
 

1. 목표 대상이 명확한 조직적 공격

- 일반적으로 국가 차원에서 조직적이고 지속적으로 이루어지는 공격 행위를 APT (Advanced Persistent Threat)라 하는데, 목표 대상이 명확하고 공격 수법이 진보하며 복잡한 것이 특징이었다. 그런데 최근에는 APT의 개념이 확장되어 민간 분야에서도 그러한 공격 행위가 더욱 늘어날 것이란 예측이 많다.
 

2. 스마트폰 등 모바일 관련 위협

- 모바일 플랫폼인 구글의 안드로이드, 애플의 iOS의 취약점을 악용한 악성 프로그램 위협이 높아질 것으로 보인다. 그리고 모바일 기기에서는 다양한 종류의 앱이 사용되고 있는 반면, 해당 앱들에 대한 보안 검증은 현실적으로 어려운 측면이 있는 바, 이에 따른 보안 위협도 늘어날 것으로 예측된다. 또한, 무선 네트워크 사용이 증가함에 따라 무선 네트워크의 보안 취약점에 따른 위협이 증가할 것이다.
 

3. 악성프로그램 위협

- 2011년에는 제로데이 취약점을 포함한 고도의 기술을 사용하고 적법한 인증서를 이용하여 서명하는 등 복잡한 유형의 악성 프로그램 위협이 높아질 것이란 예측이 많다. 그리고 최근 몇 년간 많이 등장하고 있는 서비스 레벨에서의 악성프로그램, 즉 전문적인 해킹 지식이 없어도 쉽게 악성프로그램을 이용한 공격이 가능케 하는 ‘공격 툴킷’이 더욱 유행할 것이란 전망이 있다.
 

4. 소셜 네트워크 서비스 위협

- 최근 트위터, 페이스북과 같은 소셜 네트워크 서비스의 이용이 급증함에 따라, 소셜 네트워크 서비스는 공격자들의 좋은 타겟이 되고 있다. 소셜 네트워크 서비스 이용자들의 개인적인 정보가 공개되어 악용되는 프라이버시 관련 위협은 서비스 초창기부터 제기되어 온 문제이고, 서비스 상에서 주고 받는 정보들의 신뢰성을 바탕으로 XSS 취약점이나 CSRF 취약점을 악용하는 공격 역시 더욱 증가할 것으로 예상된다. 서비스 상에서 많이 사용되고 있는 ‘URL 단축 서비스’를 악용하여 악의적인 사이트로 유인하는 공격행위가 많이 발생하고 있다.
 

5. 데이터 유출 2011년 정보보호 동향 분석

- 직접적으로 금전적 이득이 되는 금융정보 뿐만 아니라 개인의 위치, 직업, 친구, 수입정보 등 모든 신상정보를 수집하는 공격행위가 증가할 것으로 예상되는 바, 데이터 유출에 따른 직/간접적인 피해가 예상된다. 또한 위키리스크 사건에서 확인할 수 있었던 바와 같이 기업 내부자에 의한 중요 데이터 유출은 큰 위협이 되고 있다.

 

@ 금융 IT 관련 주요 정보보호 동향
 

1. 인터넷뱅킹 대상 악성 프로그램 고도화 2011년 정보보호 동향 분석

- 제우스나 스파이아이와 같은 뱅킹 트로이 목마 프로그램으로 인한 피해 사례가 전 세계적으로 광범위하게 발생하고 있지만, 국내의 직접적인피해 사례는 아직 알려진 바 없다. 국내에서도 인터넷 뱅킹 서비스에서 이용되는 인증정보를 유출하기 위한 악성 프로그램이 발견된 적이 있으나, 실제 피해를 유발할 만큼 공격 기법이 정교하지 못했고, 지속적으로 유포되지 않아 관심을 끌지는 못하였다.

- 뱅킹 트로이 목마 프로그램은 MitB라 불리는 웹 브라우저의 화면을 조작하는 공격기법을 사용하게 된다.

뱅킹 트로이 목마 프로그램은 MitB 기법을 이용하여 인터넷 뱅킹 인증정보를 가로채는 것이 일반적이나, 더욱 정교한 조작으로 부정거래를 자동화 하는 것도 가능할 수 있다. 실제 2009년 독일에서 발견된 Urlzone의 경우, 포스트 뱅크의 인터넷 뱅킹 서비스에 최적화되어 있어 부정거래를 자동화 했을 뿐만 아니라 거래내역을 조작하여 부정거래 사실을 알기 어렵도록 조작한 사례가 발견된 바 있다.

- 뱅킹 트로이 목마나 공격용 악성 프로그램이 암시장에서 판매되고 있고, 최근 국내 인터넷 뱅킹 대상 MitB 공격에 대한 분석 논문이 공개되는 등 인터넷 뱅킹 서비스에 대한 위협이 꾸준히 증가하고 있다. 따라서 인터넷 뱅킹 서비스를 대상으로 한 트로이 목마 프로그램이나 더욱 정교한 악성 프로그램이 등장하리라 예상된다.
 

2. 개인정보보호법 제정 예상

- 현재 개인정보보호 관련 법률체계는 정보통신, 공공, 금융, 의료 등 주요 분야별로 소관 법령이 나누어져 있다. 그런데 이와 같은 체계에서는 법 적용의 사각지대가 존재하고, 개별법간 처리 기준이 상이하여 혼란을 초래하는 경우가 있었다. 또한, 각각의 개별법에서는 개인정보보호 관련 조항이 제한적이거나 선언적인 규정에 그치고 있어, 개인정보보호에 관한 일반법인 ‘개인정보보호법’의 필요성이 사회적으로 대두되었다. 이에 2008년 개인정보보호 법안이 발의되었고, 2010년 국회 법안을 통과하여 2011년 9월에 시행된다.

- 개인정보보호법 제정으로 인한 금융권의 영향은 시행령, 시행규칙 등이 발표되어야 구체적으로 확인할 수 있겠지만, 한가지 분명한 것은 기존 ‘신용정보의 이용 및 보호에 관한 법률’등에 비해 고객의 개인정보를 안전하게 보호하기 위한 조치들을 강화, 보완해야 할 필요가 있다는 것이다. 특히, 개인정보가 저장되는 데이터베이스 보호 솔루션 도입이 우선적으로 진행될 것으로 보인다.
 

3. 스마트폰 뱅킹 서비스 위협 현실화

- 서비스 시작과 동시에 급성장하고 있는 스마트폰 뱅킹 서비스는 과거의 모바일 뱅킹과 달리 단말의 향상된 성능과 다양한 기능으로 인해, 보안성에 대한 우려 역시 큰 편이다. 이에 제조사에서는 운영체제 수준에서 애플리케이션 서명, 샌드박스 등의 보안기능을 기본으로 포함시켜 보안성을 강화하고 있지만, 이러한 운영체제의 제약조건을 무력화하기 위하여 운영체제를 변형(Rooting)하여 사용하는 이용자도 많은 편이다.

- 한편, 스마트폰 뱅킹 앱은 운영체제 변형 여부를 확인하여 변형된 환경세너는 동작하지 않도록 구현되어 있는데, 이를 조작하여 변형된 환경에서도 정상적으로 동작하도록 수정된 앱이 불법 공유되고 있는 실정이다. 이렇게 임의 조작되어 공유되는 앱에는 운영체제 변형 탐지 기능을 제거함과 동시에 비밀번호 유출 기능을 추가하거나, 부정거래를 유발하는 등의 악성 행위를 추가할 수도 있다. 또한, 블랙마켓에서 공유되는 앱의 경우 피싱앱이나 정상앱으로 위장한 악성 앱이 공유될 수 있어 이에 대한 꾸준한 모니터링이 필요하다.

- 스마트폰에는 다양한 운영체제가 존재하고 제품 모델에 따른 성능 및 기능 차이가 커서, 모든 환경에서 동일한 수준의 보안성을 보장하는 것은 사실상 불가능하다. 따라서 사실상 스마트폰 단말의 보안성에 대한 책임은 이용자에게 있을 수밖에 없는 만큼 꾸준한 이용자 교육이 요구된다.

더불어, 서비스의 구조나 프로세스 수준에서 위협을 최소화 할 수 있는 방안에 대한 고민이 요구된다.

4. 인터넷, 업무 네트워크 분리 필요성 증가

- 공공기관에 대한 네트워크 분리 사업이 2008년부터 진행됨에 따라 각 기관에서는 기관의 실정에 맞는 다양한 형태의 네트워크 분리 기법을 선택하여 적용하고 있다. 시행 초기에 1인 2PC 형태의 물리적 분리방식이 주로 도입되던 것과 달리 최근에는 논리적 방식의 분리 기법인 가상화 기술 기반의 분리 솔루션 도입이 증가하고 있는 추세이다.

- 네트워크 분리는 내부자료 유출은 물론 악성 프로그램 감염 및 전파에 대한 위협에 대응하기 위한 방안인 만큼, 분리 이후에 두 네트워크 사이의 데이터 공유 방안에 대한 보안성 검토가 같이 진행되어야 한다. 데이터를 공유하기 위하여 물리적 분리의 경우 USB 저장장치를 이용하고 논리적 방식의 경우 가상화 환경에서의 접근 제어를 이용하는 것이 일반적이나, 이용자의 불편을 최소화하고 보안성을 보장할 수 있는 공유방안을 검토할 필요가 있다.

- 일부 금융기관에서 SBC (Server Based Computing) 방식이나 데스크탑 가상화 방식의 네트워크 분리가 적용된 바 있으나, 아직까지 모든 금융기관에서 적극적으로 검토되고 있지는 않은 듯하다. 다만 공격 경향이 조직화되고 타겟팅 됨에 따라 네트워크 분리에 대한 요구는 더욱 증가하리라 예상된다. 기관 전체에 대한 네트워크 분리 정책을 추진하는 경우, 사업 규모가 큰 만큼 기관내 정보보호 전방에 대한 검토를 같이 진행하여 정보보호의 효율성 및 보안성을 향상시킬 수 있는 계기로 삼을 수도 있을 것이다.
 

5. DDoS 공격 위협 지속

- 2009년 7.7 DDoS 공격 이후 국내에서 발생한 DDoS 공격은 비교적 소규모로, 대형 서비스 제공업체에 피해를 야기한 사례는 거의 없다. 대형 서비스 제공업체는 DDoS 공격에 대한 대응 방안을 마련하고 있는 반면, 대부분의 중소 서비스 제공업체의 경우 DDoS 공격에 대한 대응 정책이 전무하여, 한국 인터넷 진흥원에서는 DDoS 사이버 대피소를 통해 공격 대응 서비스를 제공하고 있다.

- 한편, DDoS 공격을 원천적으로 방지하기 위하여 ‘좀비PC 방지법’ 으로 불리는 ‘악성 프로그램 확산방지 등에 관한 법률안’이 2010년 10월 발의 되었다. 법안에 따르면 침해사고가 발생하여 급속한 피해 확산이 우려될 때, 인터넷 서비스 제공자를 통해 이용자에게 감염 사실 및 조치 방법 등을 알리고, C&C 서버나 악성 프로그램 유포지로의 통신을 차단하여 피해를 최소화하게 된다.

- 금융기관에는 DDoS 대응 솔루션이 도입, 적용된 만큼 1차적인 대응은 가능한 상황이다. 그러나 DDoS 공격 규모가 네트워크 대역폭이나 대응 솔루션의 처리용량을 넘어 발생하는 경우 완벽하게 대응할 수 없으므로 DDoS 공격 대피소 등의 추가적인 대응 기법에 대한 고민이 요구된다.