2121 세기 정보화 사회와 정보보호세기 정보화 사회와 정보보호2121 세기 정보화 사회와 정보보호세기 정보화 사회와 정보보호

이 홍 섭

한국정보보호진흥원

2005. 10. 27

2

목 차목 차목 차목 차

사회 패러다임 변화와 사회 패러다임 변화와 IT IT 발전발전사회 패러다임 변화와 사회 패러다임 변화와 IT IT 발전발전

세계 최고의 세계 최고의 IT IT 인프라와 인프라와 u-Koreau-Korea세계 최고의 세계 최고의 IT IT 인프라와 인프라와 u-Koreau-Korea

사이버 공격의 패러다임사이버 공격의 패러다임사이버 공격의 패러다임사이버 공격의 패러다임

역기능 현상과 대응역기능 현상과 대응역기능 현상과 대응역기능 현상과 대응

유비쿼터스 환경과 정보보호유비쿼터스 환경과 정보보호유비쿼터스 환경과 정보보호유비쿼터스 환경과 정보보호

정보보호의 미래정보보호의 미래정보보호의 미래정보보호의 미래

ll

llll

lIIlII

lVlV

VV

VlVl

3

l. l. 사회 패러다임 변화와 사회 패러다임 변화와 IT IT 발전발전l. l. 사회 패러다임 변화와 사회 패러다임 변화와 IT IT 발전발전

4

사회 사회 ParadigmParadigm 의 변화의 변화사회 사회 ParadigmParadigm 의 변화의 변화

은행

학교 기업 쇼핑몰

시청

• 대량생산 사회

• 물리공간 사회

학교 기업 쇼핑몰학교 기업 쇼핑몰

은행 시청

e- 은행 e- 시청

e- 학교e- 쇼핑

e- 기업

• 사이버 가상공간 출현

• 온라인 ( 전자정부 , 원격교육 등 )

동식물 자동차 가전

도로상품

칩 이식

• 전자태그 이식으로전자태그 이식으로

실제사회와 가상사회 통합실제사회와 가상사회 통합

• 시간시간 ·· 공간적 제약 극복공간적 제약 극복

유비쿼터스사회 (2010 이후 )정보화사회 (1990~2010)산업사회 ( ~1990 년대 이전 )

5

음성망 ( 모뎀 )

유선전화광대역통합망 (BcN)

비메모리 반도체 (IT-SoC)디스플레이

차세대 PC

차세대 이동통신 (4G)

디지털 컨버전스 시대디지털 시대아날로그 시대

생산 : 34 조원수출 : 202 억불GDP 비중 : 5.0% (’94 년 12월 )

생산 : 34 조원수출 : 202 억불GDP 비중 : 5.0% (’94 년 12월 )

생산 : 209 조원 수출 : 576 억불GDP 비중 : 15.6% (’03 년 12월 )

생산 : 209 조원 수출 : 576 억불GDP 비중 : 15.6% (’03 년 12월 )

생산 : 380 조원 수출 : 1100 억불GDP 비중 : 19.3% (2007 년 )

생산 : 380 조원 수출 : 1100 억불GDP 비중 : 19.3% (2007 년 )

초고속정보통신망 (ATM, xDSL)

반도체

컴퓨터

이동통신 (CDMA)

디스플레이

서 비 스

부 품네트워크

기 기

패러다임 변천

산업발전 Convergence 서비스

- 디지털방송 (DTV, DMB) - 텔레매틱스 - 홈 네트워킹 - 지능형 로봇 - 디지털콘텐츠

IT ParadigmIT Paradigm 의 변화와 산업 발전의 변화와 산업 발전IT ParadigmIT Paradigm 의 변화와 산업 발전의 변화와 산업 발전

6

Wearable computerSmart wearSmart dust

가정회사사회

교육

디지털 도서실원격 / 재택 교육개인화된 교육

모바일 전자상거래RFID 물류시스템

기업

의료전자진료기록 (u-EMR)전산처방시스템 (OCS)

의료영상 저장 및 전송 시스템u-Healthcare

금융

디지털 금융인터넷 뱅킹모바일 뱅킹

국방

ITIT 기술에 의한 기술에 의한 Life Style Life Style 변화변화 (u-Life)(u-Life)ITIT 기술에 의한 기술에 의한 Life Style Life Style 변화변화 (u-Life)(u-Life)

MobilePersonalized

WearableDigital Convergence

MobilePersonalized

WearableDigital Convergence

키워드

7

임박한 미래임박한 미래 : : ““ 마이너리티 리포트”마이너리티 리포트” 임박한 미래임박한 미래 : : ““ 마이너리티 리포트”마이너리티 리포트”

8

임박한 미래임박한 미래 : : ““ 아일랜드”아일랜드” 임박한 미래임박한 미래 : : ““ 아일랜드”아일랜드”

9

ll. ll. 세계 최고의 세계 최고의 IT IT 인프라와 인프라와 u-Koreau-Koreall. ll. 세계 최고의 세계 최고의 IT IT 인프라와 인프라와 u-Koreau-Korea

10

국민의 인터넷 활용증가 , 디지털 경제의 확산 , 전자정부서비스(G4C) 확대 등 인터넷이 제 2 의 생활공간으로 정착

1999 2000 2001 2002 2003 2004

세계 최고의 인터넷 이용수준세계 최고의 인터넷 이용수준세계 최고의 인터넷 이용수준세계 최고의 인터넷 이용수준

< 인구 100 명당 초고속 인터넷 가입자수 >

0

5

10

20

25

15

한국

네덜란드

덴마크

아일랜드

스위스

캐나다

핀란드

22.5 21.8 21.7 20.319.2 18.7

(OECE,2005 6 월 )

25.530

11

첨단 첨단 IT IT 인프라인프라 첨단 첨단 IT IT 인프라인프라

1,1921,192 만 가입자만 가입자 , , 가구대비 가구대비 77%(’04.12)77%(’04.12)

보급률 세계 보급률 세계 11 위 위 (2003(2003 년 기준년 기준 , ITU), ITU)

1,1921,192 만 가입자만 가입자 , , 가구대비 가구대비 77%(’04.12)77%(’04.12)

보급률 세계 보급률 세계 11 위 위 (2003(2003 년 기준년 기준 , ITU), ITU)

UNUN 이 제시한 전자정부 지수에 따라이 제시한 전자정부 지수에 따라

세계 세계 55 위의 선도국 위의 선도국 (2004(2004 년도년도 , UN), UN)

UNUN 이 제시한 전자정부 지수에 따라이 제시한 전자정부 지수에 따라

세계 세계 55 위의 선도국 위의 선도국 (2004(2004 년도년도 , UN), UN)

3,1583,158 만명만명 , , 인구대비 인구대비 65.7%(’04.12)65.7%(’04.12) 이용률 세계 이용률 세계 22 위 위 (2004(2004 년 기준년 기준 , ITU), ITU)

3,1583,158 만명만명 , , 인구대비 인구대비 65.7%(’04.12)65.7%(’04.12) 이용률 세계 이용률 세계 22 위 위 (2004(2004 년 기준년 기준 , ITU), ITU)

3,6253,625 만명만명 , , 인구대비 인구대비 76%(’04.10)76%(’04.10)

미국 미국 53%, 53%, 일본 일본 62% (200362% (2003 년 기준년 기준 ))

3,6253,625 만명만명 , , 인구대비 인구대비 76%(’04.10)76%(’04.10)

미국 미국 53%, 53%, 일본 일본 62% (200362% (2003 년 기준년 기준 ))

초고속 인터넷 보급률초고속 인터넷 보급률

전자정부 선도국전자정부 선도국

인터넷 이용률인터넷 이용률

이동전화 보급률이동전화 보급률

한국의 한국의 IT IT 인프라 수준인프라 수준 한국의 한국의 IT IT 인프라 수준인프라 수준

“ 지난 40 여년간 한국이 이루어낸 정보통신 발전은 기적이며 ,

더 이상 권고할 것이 없는 나라” (ITU 보고서 , 2003. 4.)

12

국가정보화 상승 가속국가정보화 상승 가속국가정보화 상승 가속국가정보화 상승 가속

2004 년 국가정보화지수는 스웨덴과 미국에 이어 세계 3 위

※ 국가정보화지수는 국제전기통신연합 (ITU) 통계를 토대로 주요 50 개국의 인터넷 이용률 , 초고속인터넷 가입률 , 컴퓨터 보급률 등 7 개 항목을 평가하고 가중치를 감안해 산출

20

‘96 ‘97 ‘98 ‘99 2000 2001 2002 2003 2004

22 22 22

1914 14

12

7

3• 초고속인터넷 가입률 (1 위 ) • 인터넷 이용자수 (3 위 )• CATV 가입자수 (3 위 ) • PC 보급대수 (9 위 )• TV 보급대수 (25 위 )• 전화 회선수 (15 위 ) • 이동전화 가입자수 (24 위 )

15

10

5

1

25

순위 스 웨 덴미 국

한 국덴 마 크

스 위 스홍 콩

대 만

노 르 웨 이

영 국

네 덜 란 드

일 본

··

1

2

3

45

6

7

8

9

10

13

13

u-Korea u-Korea 건설을 위한 건설을 위한 IT839IT839 전략전략u-Korea u-Korea 건설을 위한 건설을 위한 IT839IT839 전략전략

IT839 전략은 신규 서비스 (8), 인프라구축 (3), 기기 (9) 의선순환 구조를 통해 국민소득 2 만불 달성

지능기반사회[u-Korea] 진입

지식 기반사회의 고도화 · 지능화지식 기반사회의 고도화 · 지능화

추진방법 비전

IT839 전략초고속 정보통신인프라구축

Ubiquitous 化

개인 · 가정의 정보화디지털홈디지털홈

기업 정보화 ·IT 화디지털기업디지털기업

정부 · 공공기관의 정보화전자정부전자정부

사물의 정보화 · 지능화사물과의 의사소통사물과의 의사소통

14

차세대 이동통신차세대 이동통신

디지털 디지털 TVTV

홈 네트워크홈 네트워크

IT SoCIT SoC

차세대 차세대 PCPC

임베디드 임베디드 S/W S/W

디지털콘텐츠디지털콘텐츠

텔레매틱스 텔레매틱스

지능형 로봇지능형 로봇

99 대 신성장동력대 신성장동력99 대 신성장동력대 신성장동력33 대 인프라대 인프라33 대 인프라대 인프라

광대역 통합망광대역 통합망 (BcN)(BcN)

U-U- 센서 네트워크 센서 네트워크 (USN)(USN)

IPv6IPv6 도입도입

88 대 신규서비스대 신규서비스88 대 신규서비스대 신규서비스

WiBro WiBro 서비스서비스

DMB DMB 서비스 서비스

Home Home 네트워크 서비스 네트워크 서비스

텔레매틱스 서비스텔레매틱스 서비스

RFID RFID 활용 서비스활용 서비스

W-CDMA W-CDMA 서비스서비스

지상파 지상파 DTVDTV

인터넷전화인터넷전화 (VoIP)(VoIP)

IT839IT839 전략 구성요소전략 구성요소IT839IT839 전략 구성요소전략 구성요소

15

lll. lll. 사이버 공격의 패러다임사이버 공격의 패러다임lll. lll. 사이버 공격의 패러다임사이버 공격의 패러다임

16

인터넷의 인터넷의 OpennessOpenness인터넷의 인터넷의 OpennessOpenness

Src. : www.caida.org

개방형 네트워크 구조

정보 송수신자간의 평등성 (Client/Server 환경 )

비대면성 , 익명성

인터넷의 특징

인터넷 취약성

인터넷 접속의 용이성 증대손쉬운 해킹기술 / 툴 대중화발신자 추적이 어려움S/W 에 수많은 버그 (bug) 의 존재관리자의 보안의식 / 능력 부족

17

네트워크의 보안 취약성네트워크의 보안 취약성네트워크의 보안 취약성네트워크의 보안 취약성

HDSL-RT

CPE

PeeringKRNET

….….ISP

VideoRP

DSLAM

WLL

ONU

CATVHead End

Router L/L

2W

4W

ISP Network

Gateway

ISP NISP5

ISP4ISP3ISP2

ISP1

GigaPOP

GigaPOP

GigaPOP

International InternetCM

Foreign ISP

DNS

DBMS

Web

Mail

FTP

Home

Splitter

Home

Cable Modem

D/UModem

Server Farm

Dial-Up

Web Mail

BINDBIND

BOFBOF

SendMailSendMail

Apache/Apache/IISIIS

SQLSQLExplorerExplorer

IOS/JuNOSIOS/JuNOS

MS :MS :TwC & NGSCTwC & NGSC

BB

Hijacking,Hijacking,Conf. ErrorConf. Error

BGP4

Open Open SWSW

18

소프트웨어의 보안 취약성소프트웨어의 보안 취약성소프트웨어의 보안 취약성소프트웨어의 보안 취약성

SW 개발 단계에서 보안성을 고려하는 것이 시스템을 구축한 후에 결함을

보완하는 것보다 효과적 (Gartner)

SW 개발 Life-cycle 은 기능구현에 중점 , 보안기능에

대한 고려 미비

소프트웨어 개발자 중 64% 가 스스로의 보안

어플리케이션 능력에 대해 확신 부족 (MicroSoft)

소프트웨어 개발

소프트웨어 개발자들이 자신이 작성한 코드 보안을 책임져야 ...

- 전 백악관 사이버범죄 고문

19

사이버 공격의 패러다임 변화사이버 공격의 패러다임 변화사이버 공격의 패러다임 변화사이버 공격의 패러다임 변화

공격목적

필요지식

확산시간

피해지역

경제적 이득지적 능력과시호기심

자동공격도구의 공개로 초보자도 공격가능

바이러스제작방법을 인터넷에 공개

소수 전문가의 바이러스 제작

수시간 , 수십분수개월 , 수일수년

범지구적국가적지엽적

시스템 및 네트워크시스템 및 네트워크단일 시스템공격대상

Botnet 을 통한자동전파

PC 통신 , e-mail 을 통한 확산

디스켓을 통한 감염파일의 확산공격특성

2004~1997~20031980~1996

20

사이버 공격의 지능화사이버 공격의 지능화사이버 공격의 지능화사이버 공격의 지능화

1992 1993 .. 1996 .. 1998 1999 2005 2000 1999 1998 ... 1995 … 1987

해킹기법의 정교화

바이러스의 악성화

DDOS Agent

접목된 기법접목된 기법

DDoS공격

Mellisa

매크로 바이러스

(c)Brain

Stone

Michelangelo

윈도우 공격트로이 (BO)

E-mail 을 통한악성 코드 전파

Hijacking자동

스캔 공격

서비스거부

IP 스푸핑

스니퍼

Advanced 스캔도구

Mellisa

윈도우 공격트로이 (BO)

트로이목마확산

•해킹과 웝 바이러스의 결합

Botnet

21

lV. lV. 역기능 현상과 대응역기능 현상과 대응lV. lV. 역기능 현상과 대응역기능 현상과 대응

22

순위 국가 비율1 미국 372 중국 / 대만 283 한국 114 기타 24

순위 국 가 사례 비율1 미국 35,466 392 독일 11,898 233 스페인 9,709 114 영국 9,092 105 이탈리아 7,378 86 한국 4,812 5

순위 국가 감염된 IP 비율1 한국 63,314 232 미국 54,030 203 중국 51,900 194 일본 12,714 5

Source: www.krcert.or.krSource: www.antiphishing.org

홈페이지 변조홈페이지 변조 (’04)(’04)홈페이지 변조홈페이지 변조 (’04)(’04)

BOT BOT 감염률 감염률 (’04)(’04)BOT BOT 감염률 감염률 (’04)(’04)피싱 경유 서버피싱 경유 서버 (’05(’05 년 년 22 월월 ))피싱 경유 서버피싱 경유 서버 (’05(’05 년 년 22 월월 ))

해킹 증가 추세해킹 증가 추세해킹 증가 추세해킹 증가 추세

인터넷 사고 왕국인터넷 사고 왕국인터넷 사고 왕국인터넷 사고 왕국

23

사이버 위협의 유형사이버 위협의 유형사이버 위협의 유형사이버 위협의 유형

인터넷인터넷

해 킹해 킹

인터넷 뱅킹 해킹 사고인터넷 민원서류 위변조

홈페이지 변조홈페이지 변조

05’ 년 1 분기 작년에 비해 20 배 증가정치적 , 이념적 목적

개인정보침해개인정보침해홈페이지의 개인정보 관리허술금융기관 , 통신회사 등을 통한 개인정보유출

스파이웨어스파이웨어

피싱 & 파밍피싱 & 파밍

개인정보 유출 , 인터넷 금융 사기’04 년 세계 피해규모 약 1 억 5 천만 달러

스팸메일스팸메일

생산성 손실바이러스의 숙주

-

진단하기 어려운 은폐기법을 사용일반 PC 의 67% 가 감염

24

인터넷 뱅킹 해킹사고인터넷 뱅킹 해킹사고인터넷 뱅킹 해킹사고인터넷 뱅킹 해킹사고

인 터 넷 포 털 사 이 트 재 테 크

관 련 게 시 물 등 록

인 터 넷 포 털 사 이 트 재 테 크

관 련 게 시 물 등 록

해 킹 프 로 그 램 자 동 설 치해 킹 프 로 그 램 자 동 설 치

인 터 넷 뱅 킹 계 좌 번 호

공 인 인 증 서 비 밀 번 호,

보 안 카 드 번 호 실 시 간 전 송

인 터 넷 뱅 킹 계 좌 번 호

공 인 인 증 서 비 밀 번 호,

보 안 카 드 번 호 실 시 간 전 송

인 터 넷 뱅 킹 으 로 이 용 자 계 좌 에 서

불 법 이 체

인 터 넷 뱅 킹 으 로 이 용 자 계 좌 에 서

불 법 이 체

이용자 클릭

범행 과정범행 과정

25

일회용비밀번호보안프로그램 설치의무화

보안카드 유효 비밀번호 확대 PC 용 보안프로그램 설치 의무화 등 해킹방지 기능 강화 - 키보드해킹방지 , 개인방화벽 제공 의무화

금융부문 해킹대응을 위한 전담조직 구축 검토 ( 금융감독원 )

현재 35 → 1,190 개 - 보안카드의 2 개 번호를 제시하여 첫 번째 번호의 앞 2 자리 , 두 번째 번호의 뒤 2 자리 조합

일회용비밀번호 도입

(OTP: One Time Password) - 금융거래시마다 새로운

비밀번호 룰 발생

하나의 OTP 로 모든 금융거래

가능하도록 통합인증 체계 구축

보안프로그램 의무적 제공 , 금융부문의 해킹 대응 전담조직 신설 등 해킹에 대한 선제적 대응 능력 강화보안카드의 비밀번호 입력방법 개선 , 일회용 비밀번호 도입

인터넷 뱅킹 사고예방 대책인터넷 뱅킹 사고예방 대책인터넷 뱅킹 사고예방 대책인터넷 뱅킹 사고예방 대책

26

인터넷 민원서류 위변조인터넷 민원서류 위변조인터넷 민원서류 위변조인터넷 민원서류 위변조

행 자 부 인 터 넷 홈 페 이 지 에 서

개 인 정 보 입 력 후 발 급 신 청

행 자 부 인 터 넷 홈 페 이 지 에 서

개 인 정 보 입 력 후 발 급 신 청

해 킹 프 로 그 램 실 행해 킹 프 로 그 램 실 행

전 송 된 암 호 정 보 를 해 독 해

PC 에 파 일 형 태 로 저 장

전 송 된 암 호 정 보 를 해 독 해

PC 에 파 일 형 태 로 저 장

그 래 픽 · 문 서 작 성 프 로 그 램 으 로

저 장 된 정 보 수 정

그 래 픽 · 문 서 작 성 프 로 그 램 으 로

저 장 된 정 보 수 정

위 · 변조 방식위 · 변조 방식

위 · 변조된 서류 출력

27

문서 위변조 대응문서 위변조 대응문서 위변조 대응문서 위변조 대응

전자정부 : 위변조가 방지 기술이 적용 전용 프로그램 제작 - 수신데이타의 무결성 : 데이터 위변조를 방지하기 위하여 중요 데이터 교환시 데이터를 암호화하고 ,

수신된 데이터가 변조되지 않았음을 검증하기 위한 기법 ( 워터마킹 ) 적용

- 데이터 출력 : 민원서류 출력용 전용프로그램에 데이터 위변조 여부를 검증하는 기능을 적용함으로서

위변조된 공문서 출력 방지 가능

대법원 : 문서 출력 부분에서 가상 프린터를 이용한 출력물 저장 기능 방지

통신 / 증명서내용 암호화

워터마킹 적용

증명서 내용검증

( 워터마킹 적용 )

28

휴대전화 스팸은 사전수신동의제 시행 (’05.4.1) 이후 감소하였으나 , 내용과 전송기법은 다 양화

이메일 스팸은 2005 년 일평균 스팸수신량 15.3 통

이메일스팸 이메일스팸 & & 전화스팸 전화스팸

2003 2004 2005

29.1

일평균 스팸수신량 (KISA)

13.8 15.3

이메일스팸 이메일스팸 & & 전화스팸전화스팸이메일스팸 이메일스팸 & & 전화스팸전화스팸

- 연간 전세계 스팸 피해액 : 123억 달러 (OECD) ( 동남아 쓰나미 피해 12억달러 ) - 연간 우리나라 스팸 피해액 : 2 조 5천억원 ( 상암경기장 13곳 건설비용 )

스팸대응 스팸대응

전화스팸 발송자 적발 Trap시스템 개발 - 1,000 개 휴대전화 가상번호를 이용한 스팸

정보 수집

휴대전화 스팸 간편신고 방안수립 - 메뉴방식을 이용한 신고 자동화

메일서버등록제 (SPF) 를 포탈에 적용하여 미등록 메일서버 차단 - 이메일 스팸 15~20% 감소 예상

이메일 실시간 스팸 차단리스트 (RBL) 적용 - 이메일 스팸 10~20% 감소 예상

이메일스팸 전화스팸

29

개인정보침해 상담 중 주민번호 , ID 도용 등 타인정보 도용 민원이 지속적으로 증가

개인정보 실태점검 결과 (’05. 8 월 , 2 만 4천개 대상 ) - 개인정보를 수집하는 온라인사업자 비율은 약 30%

신규 IT 서비스의 프라이버시 보호대책에 대한 사회적 요구 증대 - RFID, 텔레매틱스 , 위치정보 등

2003 년2003 년 2004 년2004 년 2005. 8 월2005. 8 월총 접수건수총 접수건수 21,585 23,036 12,457

주민번호 ·ID 도용 등주민번호 ·ID 도용 등 8,058 9,163 6,709

개인정보침해개인정보침해개인정보침해개인정보침해

개인정보침해 대응 개인정보침해 대응

개인정보침해 개인정보침해

P2P, 검색엔진 , 미니홈피 , 인터넷 커뮤니티 등 인터넷을 통한 개인정보 유출 방지 - 2 만 4천개 온라인사업자 개인정보 관리 실 태조사

- 인터넷상 주민번호 노출 점검 및 삭제 조치 (33,950 명 )

과도한 개인정보 수집 및 개인정보침해 신고 상담 접수 및 처리 ․

- 분쟁조정 및 침해신고 업무의 상담 /절차 일원화

RFID 등 신규 IT 서비스 프라이버시 보호방안 마련

30

피싱 피싱 & & 파밍파밍피싱 피싱 & & 파밍파밍

피싱 피싱 & & 파밍파밍

- 2004 년 세계 피해규모 약 1 억 5 천만 달러

피싱 (Phishing) 은 ‘개인정보 (Private data) 를

낚는다 (Fishing)’ 는 의미를 지닌 합성어

금 융 기 관 , 전 자 상 거 래 업 체 등 의

위 장 웹 사 이 트 를 구 축

금 융 기 관 , 전 자 상 거 래 업 체 등 의

위 장 웹 사 이 트 를 구 축

이 메 일 을 보 내 이 용 자 를 유 인 하 여

신 용 카 드, 금 융 계 좌 비 밀 번 호 등 록 유 도

이 메 일 을 보 내 이 용 자 를 유 인 하 여

신 용 카 드, 금 융 계 좌 비 밀 번 호 등 록 유 도

받 아 진 금 융 정 보 로 금 융 기 관 에

접 속 하 여 재 산 도 난

받 아 진 금 융 정 보 로 금 융 기 관 에

접 속 하 여 재 산 도 난

피싱 사기피싱 사기

Phishing

Private Data

( 개인정보 )

Fishing (낚시 )+

파밍 (Pharming) 인터넷 도메인을 탈취하거나

도메인네임을 속여 사용자들이 진짜 사이트로

오인하도록 유도 , 개인정보를 취득

- 은행 , 쇼핑몰 도메인 탈취시 대규모 피해 우려

피싱 피싱 & & 파밍 대응파밍 대응

국내 피싱 경유지로 사용되는 서버의 보안기능 강화 및

피싱사이트 폐쇄

팝업창을 이용하여 이용자에게 피싱 정보를 제공 - 기술적 솔루션으로는 한계 , 이용자 자신이 개인정보를 보호할

수 있도록 계도

31

애드웨어 애드웨어 & & 스파이웨어스파이웨어애드웨어 애드웨어 & & 스파이웨어스파이웨어

애드웨어 (Adware) 는컴퓨터 설정을 바꾸거나 인터넷을

사용하지 않을 때도 배너광고가 뜨는 현상이 발생

스파이웨어 (Spyware) 는 공개 SW, 배너광고 등을 통해

인터넷 사용자의 컴퓨터에 잠입하여 개인정보 또는

기업정보를 빼가거나 인터넷 사용형태를 추적하는

프로그램

- 일반 PC 의 67% 가 감염된 것으로 조사 (IDC, ’04. 12)

스파이웨어 대응스파이웨어 대응

애드웨어 애드웨어 & & 스파이웨어스파이웨어

스파이웨어의 7 개 기준정의를 통한 처벌기준 마련

- 이용자 동의 없이 홈페이지 설정 , 검색설정 , 시스템 설정

을 변경하는 행위 등

사용자 스스로 예방 / 대응을 할 수 있도록 대응요 령

홍보 - 안티 스파이웨어의 이용 방법 소개

32

홈페이지 변조 홈페이지 변조 홈페이지 변조 홈페이지 변조

독도 사이버 테러독도 사이버 테러

’05 년 10 월 22 일 일본인 해커가 ‘사이버

독도’ 사이트를 12 시간 넘게 공격

초기화면의 공지사항 일부가 일본어로

바뀌고 , 독도가 일본령로 표시

일본으로부터의 접속을 차단하여 사이트

정상 운영 가능

Secure Code 를 이용한 Home Page 구축

- 웹 애플리케이션 개발시 보안을 고려한 설계

사전 보안 Test 및 정기적 패치 업데이트 - 공개 S/W 의 보안 취약점 패치

홈페이지 변조 대응홈페이지 변조 대응

33

PC 의 파일들을 암호화한 후 해독용 프로그램을 보내주는 대신 돈을 요구

컴퓨터 사용자의 문서를 ‘인질’로 잡고 돈을 요구하는 신종범죄

바이러스와 스파이웨어에 이어 새로운 위협요소로 부상

해킹 , 바이러스의 목적이 호기심이나 자기과시에서 금전적 이익으로 변화

랜섬웨어랜섬웨어

랜섬웨어랜섬웨어랜섬웨어랜섬웨어

랜섬웨어 대응랜섬웨어 대응

중요 문서의 암호화

34

정보화역기능 관련 처벌법규정보화역기능 관련 처벌법규정보화역기능 관련 처벌법규정보화역기능 관련 처벌법규

역기능 유형 법률위반 행위 처벌

해킹 •정당한 접근권한 없이 또는 허용된 전급권한을 초과하여 정보통신망에 침입한 자 ( 정보통신망법 63 조 )

3 년이하 징역 또는 3천만원이하 벌금

악성프로그램 전달 · 유포

•정당한 사유업이 정보통신 시스템 , 데이터 또는 프로그램 등을 훼손 멸실 . 변경 , 위조 또는 그 운용을 발해할 수 있는 프로그램 (악성프로그램 ) 을 전달 또는 유포한 자 (정보통신망법 62 조 )

5 년이하 징역 또는 5천만원이하 벌금

스팸메일 전송 •영리의 목적으로 광고를 전송을 목적으로 전자 우편 주소를 자동으로 등록하는 조치 ( 정보통신망법 65 조 ) 1천만원이하 벌금

개인정보 침해•이용자의 개인정보를 취급하거나 취급하였던 자로서 직무상 알게 된 당해 이용자의 개인 정보를 훼손침해 또는 누설한 자 ( 정보통신망법 62 조 )

5 년이하 징역 또는 5천만원이하 벌금

위치정보 침해

•개인위치정보주체의 동의를 얻지 아니하거나 동의의 범위를 넘어 개인위치정보를 수집 ·이용 또는 제공한 위치정보사업자 또는 위치기반서비스사업자와 그 정을 알고 영리 또는 부정한 목적으로 개인위치정보를 제공 받은 자 ( 위치정보법 39 조 )

5 년이하 징역 또는 5천만원이하 벌금

35

역기능 대응의 과제역기능 대응의 과제역기능 대응의 과제역기능 대응의 과제

실세계 사회 현상이 Cyber Space 에서 재현

- Internet 의 외부성 (Network effect) 으로 사회적 파급효과 , 영향 증폭

- Internet 을 이용한 금전적 이득 , 사이버 범죄 증가일로

기술적 솔루션만으로는 한계

- Internet 의 사업적 이용에 대한 사회적 규범 , 규율 필요

스팸 , 스파이웨어 , 개인정보가 Internet 의 Profitable Business

- 가장 저렴한 마케팅 도구로 이메일 스팸 및 전화스팸이 이용

- 스파이웨어를 이용한 구매패턴 및 관심분야 파악

- 개인정보의 마케팅 가치 $17.5 (KISDI, 2004)

36

무어의 법칙 (Moore’s Law)무어의 법칙 (Moore’s Law)- 마이크로 칩 처리 능력은 18 개월마다 2 배로 증가한다

메트컬프의 법칙 (Metcalfe’s Law)메트컬프의 법칙 (Metcalfe’s Law)

가치사슬의 법칙가치사슬의 법칙

- 네트워크의 가치는 참여자 수의 제곱에 비례한다

- 조직은 계속적으로 거래비용이 적게 드는 쪽으로 변해간다

- 인터넷 바이러스는 2 년에 2 배씩 증가 한다11 법칙

- 인터넷 역기능의 피해는 인터넷 이용자수의 제곱에 비례한다

22 법칙

- 보안취약점 위협기간 (Vulnerability Window) 는 매년 3 배씩 단축된다

33 법칙

- 예방은 대응보다 10 배 효과적이다44 법칙

- 편리성이 보안성을 우선한다

55 법칙

11

22

33

인터넷 역기능 인터넷 역기능 55 현상현상인터넷 역기능 인터넷 역기능 55 현상현상

인터넷 경제 3 원칙인터넷 경제 3 원칙 인터넷 역기능 5 현상인터넷 역기능 5 현상

37

V. V. 유비쿼터스 환경과 정보보호유비쿼터스 환경과 정보보호V. V. 유비쿼터스 환경과 정보보호유비쿼터스 환경과 정보보호

38

Eye in the Sky: Eye in the Sky: 비밀없는 사회비밀없는 사회 ??Eye in the Sky: Eye in the Sky: 비밀없는 사회비밀없는 사회 ??

- 미국 플로리다 탐파시 36 대의 감시카메라 설치

- 얼굴의 특징을 나타내는 14~22 개의 점들로 인식

- 감시지역 범죄율 34% 감소 , 주변지역 증가

행인들과 범죄자의 사진 대조 시스템

공공과 사적 공간에 대한 인식

데이터 수집 , 저장 , 폐기 과정에서 Privacy 보호

- 미국의 주요건물 예외 , 세계 각국의 보안시설 공개

- 테러리스트의 정보 수집 도구로 이용 우려

- 기술 발전에 따라 개인의 사생활 침해 우려

구글 위성사진 서비스

새로운 사회적 규범 (Norm)새로운 사회적 규범 (Norm)

39

정보보호의 보편화 현상정보보호의 보편화 현상정보보호의 보편화 현상정보보호의 보편화 현상

인터넷 뱅킹 사고 등 특정 케이스에 국한 되었던 것이 일상 생활화

생활에 필요한 모든 시스템에 대한 안정적인 운영이 요구

홈페이지 변조

서비스거부

인터넷 뱅킹 사고

특정 시스템 공격특정 시스템 공격 일상의 모든 대상이 공격 가능일상의 모든 대상이 공격 가능

Next

40

유비쿼터스 사회에서의 정보보호 개념유비쿼터스 사회에서의 정보보호 개념유비쿼터스 사회에서의 정보보호 개념유비쿼터스 사회에서의 정보보호 개념

정보보호의 개념 확장

( 이용자신뢰요구 )

홈네트워크

System + Network + Service

System + Network

System 안전성 , 신뢰성 , 건전성

기밀성 , 무결성

많음적음협의

광의

( 정보보호 보호대상 )

네트워크 가용성

정보보호의 영역

기밀성 (Confidentiality): Unauthorized Access 로부터 보호 무결성 (Integrity): Unauthorized Chang 로부터 보호 가용성 (Availability): 정보 / 서비스의 이용이 항상 가능

기밀성 무결성 가용성

Maliciousbehavior 에

대한 보호

프라이버시신뢰 (Trust)

보안 (Security)안전 (Safe)

안전성

신뢰성

u- 정보보호

이동성

41

Vl. Vl. 정보보호의 미래정보보호의 미래Vl. Vl. 정보보호의 미래정보보호의 미래

42

정보보호 철학정보보호 철학 : : 예방 예방 vs. vs. 대응 대응 정보보호 철학정보보호 철학 : : 예방 예방 vs. vs. 대응 대응

시스템 개발 이후 정보보호 기능의 사후적 추가

- 보안 취약점 해소를 위한 끝없는 Patching

- 사용자에게 보안에 대한 지속적 부담

새로운 Security Model, Method 필요

- Principal of mutual suspicion vs. Concept of perimeter defense

- 네트워크 시스템 차원에서의 end-to-end Security

사고전제의 예방 및 복구시스템의 구축

- 사고의 필연성으로 100% 사전 예방책은 불가능

- 발생한 사고에 대한 고 회복력 , 피해 국지화

사전 예방사전 예방 빠른빠른

사후 복구사후 복구

43

보안 , 비용 , 편의성 간의 trade-off 존재

적합한 수준의 보안 필요

( 어느정도의 위협 , 정보자산의 가치 ,

위험의 수용정도 고려 )

성능 , 사용성 저하 등의 관리비용 고려

Only the right people get access at any time to the right information with the best possible performance and at the lowest possible cost

Access!Speed!

Confidence& Control보안 비용

CIO

편의성

Trade-off

정보보호 철학정보보호 철학 : : 보안 보안 vs. vs. 사용성 사용성 정보보호 철학정보보호 철학 : : 보안 보안 vs. vs. 사용성 사용성

44

정보보호 영역 정보보호 영역 정보보호 영역 정보보호 영역

시스템 보호 네트워크 보호 서비스 보호

차세대 이동통신 RFID

VoIP Inf Appliance

지능형 로봇

RFID 활용 위치기반

생체인식

ITS

하이패스T-money

텔레메틱스 네비게이션Hot-spot

홈네트워크 차세대 PC

신용카드 Smart Card

디지털콘텐츠 IT SoCPost PC 이동통신DTV 내장형

S/W지능형

홈네트워크

USN 망

텔레매틱스

방송망유무선통합망

45

IT IT 산업의 블루오션 산업의 블루오션 IT IT 산업의 블루오션 산업의 블루오션

‘레드오션전략’ - 기존의 시장에서 어떻게 경 쟁자를 앞지를 수 있는가에 대한 ‘시장경쟁전략’‘ 블루오션전략’ - 경쟁을 피하기 위해 이미 설정된 시장 경계를 어떻게 벗어날 수 있는가에 대한 ‘시장창조전략’

정보보호 산업 성장 가속

IT IT 시스템 보안기술 시스템 보안기술 IT IT 서비스 보안기술서비스 보안기술 개인정보보호개인정보보호 기업 정보 보호기업 정보 보호 사회 네트워크 보안기술사회 네트워크 보안기술

IT IT 시스템 보안기술 시스템 보안기술 IT IT 서비스 보안기술서비스 보안기술 개인정보보호개인정보보호 기업 정보 보호기업 정보 보호 사회 네트워크 보안기술사회 네트워크 보안기술

IT 인프라 IT839 전략

기업 IT 투자 IT 신뢰성 확보

인터넷 보급률 인터넷 보급률 11 위 등 위 등 IT IT 인프라 강국인프라 강국

ITIT 를 국가전략산업으로 를 국가전략산업으로 육성육성

ITIT 를 활용한 기업이윤 를 활용한 기업이윤 창출 노력 활발창출 노력 활발

유비쿼터스 사회 유비쿼터스 사회 신뢰성 확보 신뢰성 확보

정보보호산업성장토대

46

ITIT 의 핵심 의 핵심 Infra: SecurityInfra: SecurityITIT 의 핵심 의 핵심 Infra: SecurityInfra: Security

미래 IT System 의 핵심 Infra 기술 : Security - 상호 연결된 상호 의존적 네트워크의 Basic function - 뱅킹 , 전력 , 교통 등 Sensitive System 의 신뢰성 , 보안 기능 제공

IT 관련 모 든 학과 , 사회과학분야의 필수과목 - 인터넷의 안전성 , 프라이버시 보호

Network

ServiceSystem

정보보호

전통적으로 Security 는 수학과 , Computer Science 의 일부 분야로 존재 - u-Security를 위한 훈련된 기술 , 실무인력 부족

Security

47

윈도우즈 보안 패치 자동 업데이트 설정하기1

바이러스 백신 및 스파이웨어 제거 프로그램 설치하기2

윈도우 로그인 패스워드 설정하기3

패스워드는 8 자리 이상의 영문과 숫자로 만들고 3 개월마다 변경하기4

신뢰할 수 있는 웹사이트에서 제공하는 프로그램만 설치하기5

인터넷에서 다운로드 받은 파일은 바이러스 검사하기6

출처가 불분명한 메일은 바로 삭제하기7

메신저 사용 중 수신된 파일은 바이러스 검사하기8

인터넷상에서 개인 및 금융 정보를 알려주지 않기9

중요 문서 파일은 암호를 설정하고 백업 생활화하기10

정보보호 정보보호 1010 대 실천수칙대 실천수칙정보보호 정보보호 1010 대 실천수칙대 실천수칙