딜라이트닷넷

SSL

저작권보호냐, 기본권 침해냐… 도마 오른 ‘https' 차단

이형두 기자 블로그 18.05.04 08:05

 [IT전문 블로그 미디어=딜라이트닷넷] 웹툰 등 콘텐츠 불법복제물 사이트를 막기 위한 정부 정책이 도마에 올랐다. 정부가 지난 2일 기존 URL 차단방식으로 차단이 어려…

또 위기 닥친 인터넷뱅킹…내년부터 SHA1 알고리즘 못쓴다

이민형 기자의 인터넷 일상다반사 15.11.13 06:00

마이크로소프트 인터넷익스플로러의 액티브X(Active-X), 구글 크롬의 NPAPI(넷츠케이프 플러그인 API)의 이슈가 채 끝나기 전에 인터넷뱅킹에 또 다시 시련이 닥칠 것으로 예상된다. 이 문제를 6개월 안에 해결하지 못하면 또 다시 소비자들이 불편을 겪게된다.마이크로소프트(MS)는 내년 6월부터 SHA-1을 지원하지 않겠다고 10일(현지시각) 밝혔다. 당초 2017년 1월로 예정됐던 SHA1 폐기 시점을 6개월 더 앞당긴 것이다. 이는 암호해독 국제 전문가팀이 지난달 8일 SHA1의 폐기 시기를 현재의 계획보다도 앞당길 필요가 있다고 권고한…

[딜라이트닷넷 창간기획] 사물인터넷 센서 통신을 보호하라

이민형 기자의 인터넷 일상다반사 14.09.30 07:01

사물인터넷(IoT)은 인터넷으로 연결된 사물들이 정보를 주고받으며 소통하는 지능형 기술·서비스로, 차세대 성장 분야로 급부상하고 있다.미국의 시장조사기관 가트너는 IoT 시장 규모가 2020년에 1조9000억 달러(약 1950조원)에 달할 것으로 전망했다. 기업들을 비롯해 정부에서도 사물인터넷 시장에 대한 투자를 아끼지 않고 있다.사물인터넷은 이미 빠르게 확산되고 있다. 각종 웨어러블 디바이스를 비롯해 자동차, 가전제품 등에도 사물인터넷이 적용되고 있다.하지만 보안이 담보되지 않은 사물인터넷은 재앙이 될 수 있다.각종 센…

KISA, 모질라에 최상위인증서 탑재 재도전…웹트러스트 인증 갱신 추진

이민형 기자의 인터넷 일상다반사 14.09.25 10:03

한국인터넷진흥원(KISA)이 웹트러스트(WebTrust) 인증 갱신과 CA브라우저포럼 가입을 추진한다. 이를 통해 KISA는 새로운 웹보안 기술의 빠른 도입과 모질라 파이어폭스에 최상위인증서(root CA) 탑재가 가능해질 것으로 기대하고 있다.25일 KISA는 ‘2014년 웹트러스트 인증’ 용역 사업을 발주하고 입찰 등록을 시작했다. 웹트러스트는 기업이나 기관의 개인정보보호, 트랜잭션 무결성 등 전반적인 보안상태를 점검하고, 그 상태가 일정 수준 이상일 경우 부여되는 인증이다. 이를 획득할 경우 신뢰성 확보와 더불러 다양한 인증서 발급…

“클라우드 보안, 계정 관리 및 접근 권한 강화가 핵심”

이민형 기자의 인터넷 일상다반사 14.09.05 14:23

이번 아이클라우드의 정보 유출 사고 경의에 대해 아직 명확하게 밝혀지지는 않았지만, 누군가 계정 접근에 대한 권한을 얻어 특정 계정으로부터 민감한 사진을 유출시켰다는 것은 명백한 사실이다.이번 사고는 클라우드 사용이 점차 증가함에 따라 공격에 노출된 부분들을 더욱 철저하게 감시하고, 계정 접근 관리에 민감하게 대응해 보안 위험성을 최소화해야 할 필요성을 여실히 보여줬다.‘버라이즌 데이터 침해 조사 2014’ 보고서에 따르면, 15번의 스피어 피싱 공격을 한 경우 공격 대상의 90 %가 유해 사이트로 연결되는 ‘클릭’…

IT기술 발달의 최대 수혜자? 고음질 음원 시대 개막

이상일 기자의 IT객잔 14.07.02 10:57

기자가 처음 구매한 MP3플레이어는 삼성전자의 MP3 브랜드였던'옙(YEPP)' 64메가 용량 제품이었다. 64기가가 아니라 64메가다. 3-4분 짜리 MP3 파일이 16곡 내외 정도로 들어갔던 것으로 기억한다. 이후 아이리버에서 하드디스크 타입 MP3 플레이어가 나오면서 MP3 수백곡을 언제 어디서나 들을 수 있는 시대가 열리기도 했다. 최근 출간된 애플의 대표 디자이너 조너선 아이브를 다룬 동명의 책 ‘조너선 아이브(민음사)’에 언급된 내용을 보면 도시바가 지름 2.1㎝(0.85인치) 크기의 초소형 하드디스크 드라이브(HDD)를 개발했지만 마…

지문인식 통한 스마트폰, 개인정보 보호 어디까지 왔나…‘베가시크릿노트’ 써보니

윤상호 기자의 DIGITAL CULTURE 13.11.17 07:00

휴대폰이 전화기뿐 아니라 일상의 기록 도구가 되면서 휴대폰은 개인정보의 집합체가 돼간다. ▲통화기록 ▲문자메시지뿐 아니라 ▲카카오톡 등 모바일 메신저 ▲갤러리 등 사진 ▲모바일 지갑의 카드 정보 ▲각종 게임 등 스마트폰 속 여러 정보를 지키는 일은 이제 분실만 걱정할 일은 아니다.기존의 안드로이드 운영체제(OS) 스마트폰은 패턴과 비밀번호 얼굴인식 등으로 스마트폰을 잠그고 열 수 있게 돼 있다. 패턴과 비밀번호는 복잡하면 내가 잊어버리기 쉽고 얼굴인식은 사용이 불편했다. 또 잠금 상태가 아닌 열린 상태에서 일부…

다양한 형태의 APT 솔루션, 무엇이 다를까?

이민형 기자의 인터넷 일상다반사 13.07.31 22:30

국내에서 지능형지속가능위협(APT) 공격으로 인한 피해가 잇달아 발생하면서 대응 솔루션을 찾는 기관, 기업들이 증가하고 있습니다.이러한 수요에 맞춰 국내 APT 솔루션 시장에 진출하는 국내외 업체들이 상당히 증가했는데요, 올해만 하더라도 솔레라네트웍스(2013년 3월, 현재 블루코트에 피인수), 닉선(2013년 4월), 웹센스(2013년 6월), 담발라(2013년 7월) 등 4개의 해외업체들이 국내시장에 진출했고, 지난 24일 SGA도 파이어아이와 제휴를 통해 APT 솔루션을 출시한 바 있습니다.좀 더 거슬러 올라가면 안랩, 파이어아이는 2011년…

ISP의 SSL 도입, 선택이 아닌 필수

이민형 기자의 인터넷 일상다반사 13.01.22 15:10

자신이 보낸 메일을 누군가가 훔쳐본다면 얼마나 섬뜩할까. 최근 보안업계에 의하면 모바일 디바이스의 데이터를 빼내기 위한 스니핑(가로채기)이 증가하는 추세다.단말에 대한 보안은 1차적으로 사용자에게 있지만, 서비스 상 보안문제가 있다면 이에 대한 책임은 당연히 서비스 업체에서 져야한다.국내외 인터넷서비스 업체(ISP)들이 웹브라우저와 서버간의 안전한 트랜잭션을 위해 ‘보안접속(SSL, Secure Sockets Layer)’을 강화하고 나서는 모양새다.특히 구글의 경우는 자난 19일 자사의 웹브라우저인 구글 크롬 옴니바(주소창 겸…

세계 최고 해커들의 현란한 묘기에 감탄사…‘POC2012’ 둘러보니

이민형 기자의 인터넷 일상다반사 12.11.09 09:06

8일 서울 양재동 교육문화회관에서는 국제 해킹·보안 컨퍼런스인 ‘POC2012’가 개최됐습니다.일반적인 보안 컨퍼런스는 보안업계 현업인들이 나와 시장현황과 위협동향, 솔루션 등을 소개하곤 합니다. 그런데 ‘POC’는 기존의 해킹, 보안 컨퍼런스와는 조금 다른 성격을 가지고 있습니다. POC는 국내 해커들과 보안 전문가들, 그리고 외국 해커들의 참여에 의해 새로운 공격 기술 발표와 제로데이 취약점 등 실제 위협에 가까운 기술들이 발표되는 자리로 유명합니다.상황이 이렇다보니 발표자들은 대부분 실명을 거론하기 힘든 해커들…

전자금융거래 공인인증서 의무 규제 풀렸지만...

이유지의 안전한 네트워크 세상 10.03.31 17:22

전자금융거래 공인인증서 의무화 논란이 당분간 이어질 것 같습니다. 31일 전자금융거래 공인인증서 사용 강제 규제를 풀기로 한 정부 방침(관련기사)에 '환영'의 목소리와 함께 일각에선 "실효성이 떨어진다"는 지적이 벌써부터 나오고 있습니다. 전자금융거래에는 '공인인증서와 동등한 수준의 안전성'이 인정되는 보안방법만을 허용한다는 방침 때문입니다. 기업호민관실은 이날 즉각 보도자료를 내고, 전자금융감독규정 제7조 개정안에 대해 “실효성이 우려되는 안”이라고 밝습니다. 보도자료 원문 일부입니다. 이민화 호민관은 현행의 공인인증서 사용을 강제하는 전자금융감독규정 제7조를 공인인증서 이외의 동등한 보안수준 방식의 적용을 가능하게 하고, 이를 금융감독원의 ‘인증방식평가위원회’에서 심의 하도록 규정을 개정하는 것은 실효성이 우려된다고 밝히며,이는 현 전자금융거래시 감독규정 시행세칙 제31조 9항 ‘금융기관 등이 범위를 정하여 공인인증서 적용을 제외할 것을 감독원장에게 요청하고 감독원장이 이를 승인하는 경우’의 예외조항과 큰 차이가 없다.또한, 인증방식의 안정성 심사를 공인인증서 방식 이외의 방식에 대해 부정적인 입장인 금융감독원이 주관하는 것은 전자금융감독규정의 개정 취지를 반영하지 못한다 라고 말했다.일단 최우선 논란거리인 '공인인증서와 동등한 수준의 안전성'을 제공하는 다른 보안 방법이 있는지 여부에 따라 이번 정부 방침의 실효성이 평가될 것으로 예상됩니다. 사실 공인인증서 대안기술로는 그동안 'SSL(암호통신기술)+OTP(일회용비밀번호)' 정도만이 제시됐습니다. 해외에서는 인터넷뱅킹에 'SSL+OTP'가 보안 방법으로 많이 사용하고 있다는 점에서입니다. 오픈웹이나 호민관실 또한 이 방법을 제시했습니다. 그런데 결정적으로 'SSL+OTP'는 공인인증서에 포함된 전자서명이 제공하는 부인방지 기능이 부재합니다. 이 점을 들어 행정안전부와 금융위원회도 기존까지 전자금융거래에서 공인인증서를 사용해야 한다는 완강한 입장을 보여왔습니다. 그렇다면 'SSL+OTP' 이외에 제시될만한 보안 기술 방안이 있는가? 지금으로선 물음표입니다. 그래서인지 금융위원회는 앞으로 관계부처, 금융기관, 보안전문가 등이 참여하는 민관 협의체를 구성해 5월 말까지 안전성 수준에 관한 법적 기술적 가이드라인을 마련하겠다고 밝혔습니다. 금융위원회는 전자금융거래에 필요한 안전성을 정의, 즉 공인인증서가 제공하는 안전성 수준을 파악해 그에 맞는 기술을 가이드라인에 구체적으로 제시할 예정이라고 합니다. SSL이든, OTP이든, 여러 기술 방안을 검토하게 될 것으로 예상됩니다. 은행이나 사용자가 공인인증서이든, 다른 방안이든 선택할 수 있도록 판단기준을 제시하겠다는 겁니다. 그리고 금융감독규정에도 특정 보안방안이 포함돼야 하는지 여부를 가이드라인이 나온 후 정할 것이라고 설명했습니다. 민관 협의체가 만들 가이드라인이 어떻게 나오는 지가 가장 중요해 보입니다. 또 한가지 논란거리는 스마트폰에서의 소액결제입니다. 이날 정부 발표에서는 "30만원 미만의 온라인 소액결제는 새로운 보안방법 도입과는 상관없이 공인인증서를 사용하지 않고도 결제가 가능하도록" 했습니다. '즉시 허용'이라는 용어도 사용했습니다. 원래 PC 기반 전자거래에서도 30만원 미만은 공인인증서를 안써도 됐습니다. 스마트폰도 기존 방침 그대로 하겠다는 것인데요. 문제는 아이폰에서의 소액결제 부분이 될 것으로 보입니다. 제일브레이크 폰에서도 특정 쇼핑몰 애플리케이션이 동작하게 될 경우입니다. 은행들이 제공하는 스마트폰 뱅킹은 제일브레이크 아이폰에서는 동작이 안되게 막혀있는데, 쇼핑몰 등 다양한 온라인거래서비스의 경우는 어떨까요? 규제는 풀렸지만 여러 난제가 남아있는 듯합니다. 그래도 스마트폰 열풍으로 인터넷거래 사용환경의 현주소와 미래에 대한 논의가 활발히 이뤄졌고, 결국은 11년 간 유지돼 왔던 전자금융거래 공인인증서 유일체제는 허물어지게 됐습니다. 그리고 이런 논란 때문에 액티브X 방식으로만 제공됐던 공인인증서를 여러 플랫폼에서 더 편리하게 이용할 수 있도록 하는 방안도 아주 신속하게 마련된 것 같습니다. 공인인증서가 지금까지 해왔던 역할도 재조명이 됐고, 결국에는 더욱 발전될 계기가 만들어지게 됐다고 평가하고 싶습니다. 호민관실은 앞으로도 한국의 인터넷뱅킹 보안 문제에 대해 심도있는 논의를 이어나갈 예정이랍니다. 빠른 시일 내에 옥스퍼드, 캠브리지 대학교 공동논문 ‘On the Security of Internet Banking in South Korea' 의 저자를 국내로 초청해 공청회를 연다는군요. 5월 말, 금감위 등 민관협의체의 가이드라인과 전자금융거래감독규정 개정이 어떻게 이뤄질 지 주목됩니다.  그리고 그 이후 전자거래 보안방안에 대한 금융기관과 인터네서비스 기업, 사용자들의 선택이 어디로 향할지 관심이 모아집니다. 댓글 쓰기