Security. unlimited possibilities

방통위·KISA, 제5기 민관합동조사단 전문가 모집...12일 접수마감

[보안뉴스 권 준] 방송통신위원회와 한국인터넷진흥원에서 정보통신망에 중대한 침해사고 발생시 민관합동조사단 전문가로 활동 가능한 정보보호 전문가를 모집한다.

이는 정보통신망법 제48조의 4(침해사고 원인분석 등) 및 동법 시행규칙 제59조(민관합동조사단의 구성 등)에 근거해 인터넷 침해사고에 관한 전문지식과 경험이 있는 전문가를 구성해 위촉하기로 한 데 따른 것이다.

제4기 전문가의 임기가 지난 9월 30일 만료됨에 따라 모집하는 제5기 민관합동조사단 전문가는 방송통신위원회에서 위촉하며, 전문가의 자격은 2년간 유효하다.

이번 전문가 모집인원은 중대한 침해사고 발생시 민관합동조사단 부단장, 검증분석반장, 정책발언 등이 가능한 임원급 전문가 10여명과 중대한 침해사고 발생시 원인조사 및 검증분석, 정책자문 등이 가능한 실무자급 전문가 80여명 등 약 90명 내외다.

전문가는 전문성, 인지도 및 평단, 활동실적 등을 평가해 선정하며, 방송통신위원회, 한국인터넷진흥원, 4기 전문가 풀 운영위원 및 분과위원장, 소속기관 대표 등의 추천서를 제출할 경우 심사를 통해 최대 10점의 가점을 부여할 것으로 알려졌다.

보다 자세한 사항은 한국인터넷진흥원 인터넷침해대응센터(http://krcert.or.kr) 공지사항 코너를 참조하면 된다. 이번 전문가 모집의 접수마감은 10월 12일까지다.

[권 준 기자(editor@boannews.com)]

보안담당자의 책임은 어디까지...양벌규정의 실제 적용 사례

‘제74조(양벌규정) ① 법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 제70조에 해당하는 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인을 7천만원 이하의 벌금에 처한다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리 하지 아니한 경우에는 그러하지 아니하다. ② 법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그밖의 종업원이 그 법인 또는 개인의 업무에 관하여 제71조부터 제73조까지의 어느 하나에 해당하는 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인에게도 해당 조문의 벌금형을 과(科)한다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 아니한 경우에는 그러하지 아니하다.’

위 조항을 양벌조항이라고 하는데 그 의미는 개인정보보호법 위반 사실이 있거나 보안사고가 났을 경우, 보안조치를 직접 실행하는 사람(보안담당자, 조문에는 ‘행위자’라고 함)와 보안담당자의 소속 회사(개인정보처리자)를 동시에 처벌한다는 것이다.

이렇게 행위자인 보안담당자와 회사를 동시에 처벌하는 이유는 회사의 보안담당자에 대한 관리감독을 강화하고자 하는 의도이다. 다만 단서 조항에 의하면 회사의 무한한 책임을 방지하기 위해 회사에 보안담당자에 대한 관리감독을 제대로 했음에도 불구하고 보안사고가 발생한 경우에는 회사는 처벌되지 않고 보안담당자만 처벌된다.

어찌됐든 위 조항에 의해 개인정보보호법 위반 사항이 있거나 해킹사고가 발생한 경우, 회사뿐만 아니라 보안담당자를 같이 처벌할 수 있다. 이 조항 때문에 보안담당자가 회사의 CSO 지위에서 형사처벌에서 자유로운 컨설턴트로 자리를 옮겨 가는 부작용이 발생하기도 한다.

보안담당자의 책임을 중심으로 양벌규정의 실제 적용사례를 살펴보면 다음과 같다.

(1) 영상정보를 처리하는 CCTV 보안담당자가 소속 회사의 감시를 틈타 회사 몰래 CCTV 촬영시에 녹음기능을 사용했다고 가정하겠다. 이 경우 보안담당자(행위자)는 개인정보보호법 제25조 제5항 위반에 해당하여 3년 이하의 징역 또는 3천만원 이하의 벌금에 처해질 수 있다.

한편 소속 회사(영상 정보처리기기운영자)는 보안담당자에 대한 관리·감독을 다하지 않은 경우에만 보안담당자와 함께 7천만원 이하의 벌금으로 처벌된다. 더불어 보안 담당자는 CCTV에 찍힌 개인정보 주체에 대하여 민사책임도 질 수 있다.

(2) 게임회사에 해커가 잠입하여 게임회사 개인정보 서버에 저장되어 있는 개인정보를 빼내 유출시 켰다고 가정하겠다. 이 경우 개인정보 서버의 보안을 책임지는 직원(보안담당자)이 방화벽을 설치하지 않거나 개인정보에 대한 암호화를 하지 않는 등의 기술적인 안전성 확보조치를 다하지 않았다면 그 보안담당자는 개인정보보호법 제29조 위반에 해당하여 2년 이하의 징역 또는 1천만원 이하의 벌금에 처해질 수 있다.

한편 게임회사(개인정보처리자)는 보안담당자에 대한 관리·감독을 하지 않는 경우에만 1천만원 이하의 벌금에 처해질 수 있다. 보안담당자가 고의로 법위반행위를 했다면 처벌의 정당성은 충분하겠지만 문제는 열심히 보안조치를 다하였음에도 불구하고 해킹을 당하였다면 이 경우에도 처벌되어야 하는가이다.

대부분의 보안담당자는 고의의 경우에만 처벌되어야 한다고 주장하지만 현행법의 해석으로는 열심히 보안조치를 다하였으나 해킹을 당한 경우에도 보안담당자를 처벌할 수 있도록 규정되어 있다. 더 많은 논의가 필요한 부분이라 생각된다.

[글_법률사무소 민후 김 경 환 대표변호사(hi@minwho.kr)]

<책소개>

최근 관심이 집중되고 있는 ’현장 포렌식' 분야에서 디지털 조사관들이 중요한 범죄 증거를 수집하고 획득하기 위한 방법을 자세하게 설명하는 실무서다. 특정 운영체제에서 동작하는 특정 도구만 다루는 책이나 원론적인 이론만 다루는 책과는 달리, 멀웨어로 인해 문제가 발생한 시스템에서 악성 코드를 찾아내고 감염에 따른 영향을 파악하기 위해 기술적인 맥락에서 현장 보존부터 사후 분석까지 디지털 포렌식의 전체 주기를 다룬다. 또한 윈도우와 리눅스 운영체제를 대상으로 휘발성 증거 보존과 수집, 물리 메모리와 프로세스 메모리 덤프, 멀웨어와 증거물 추출, 의심스런 파일 식별과 프로파일링, 악성 코드 정적 분석과 동적 분석 기법을 시나리오와 현장 사례 연구를 들어 단계별로 설명한다.

<목차>

01장 멀웨어 사고 대응: 동작 중인 윈도우 시스템에서 휘발성 자료 수집과 검사
개요
실시간 대응 툴킷 제작
휘발성 자료 수집 방법
프로세스 정보 수집
열린 포트를 동작 중인 프로세스나 프로그램과 관련짓기
서비스와 드라이버 파악
스케줄이 걸린 작업 파악
클립보드 내용 수집
동작 중인 윈도우 시스템에서 비휘발성 자료 수집
동작 중인 윈도우 시스템에서 포렌식용 저장소 매체 복제
동작 중인 윈도우 시스템에서 포렌식용 관련 자료 보존
윈도우용 사고 대응 도구 스위트
정리
참고 자료

02장 멀웨어 사고 대응: 동작 중인 리눅스 시스템에서 휘발성 자료 수집과 검사
개요
휘발성 자료 수집 방법
동작 중인 리눅스 시스템에서 비휘발성 자료 수집
정리

03장 메모리 포렌식: 멀웨어 관련 증거물에 대한 물리적 메모리 덤프와 프로세스 메모리 덤프 분석
개요
메모리 포렌식 방법론
구식 메모리 분석 기법
윈도우 메모리 포렌식 도구
활성, 비활성, 은닉 프로세스
윈도우 메모리 포렌식 도구의 동작 원리
동작 중인 윈도우 시스템에서 프로세스 메모리 덤프와 분석
프로세스 캡처와 메모리 분석
리눅스 메모리 포렌식 도구
리눅스 메모리 포렌식 도구의 동작 원리
리눅스 시스템에서 프로세스 메모리 덤프와 분석
프로세스 메모리 캡처와 검사
정리
참고 자료

04장 사후 분석 포렌식: 윈도우 시스템에서 멀웨어 관련 증거물 발견과 추출
개요
보안에 문제가 생긴 윈도우 시스템을 포렌식 기법으로 검사
기능 분석: 윈도우 컴퓨터 복원
윈도우 시스템에서 멀웨어 발견과 추출
서비스, 드라이버 자동 실행 위치, 예약 작업 검사
윈도우 시스템에서 멀웨어 발견과 추출을 위한 고급 기법
정리

05장 사후 분석 포렌식: 리눅스 시스템에서 멀웨어 관련 증거물 발견과 추출
개요
리눅스 시스템에서 멀웨어 발견과 추출
정리

06장 법적인 고려 사항
개요
쟁점 형성
조사 권한의 근원
권한의 법적 제약
자료 수집을 위한 도구
국경을 넘는 자료 수집
법 집행 참여
증거 채택 가능성 높이기
참고 자료

07장 파일 식별과 프로파일링: 윈도우 시스템에서 의심스런 파일의 초기 분석
개요
사례 연구: 화끈한 새 비디오!
파일 프로파일링 과정 개괄
실행 파일을 대상으로 작업
파일 유사성 지수 비교
파일 시그니처 파악과 분류
심볼과 디버그 정보
파일 난독화: 패킹과 암호화 파악
내부에 숨겨진 증거물을 다시 추출
정리
참고 자료

08장 파일 식별과 프로파일링: 리눅스 시스템에서 의심스런 파일의 초기 분석
개요
파일 프로파일링 과정 개괄
리눅스 실행 파일을 대상으로 작업
파일 시그니처 파악과 분류
내부에 숨겨진 증거물 추출: 문자열, 심볼 정보, 파일 메타데이터
파일 난독화: 패킹과 암호화 신원 확인
내부에 숨겨진 증거물을 다시 추출
ELF 파일 구조
정리
참고 자료

09장 의심스런 프로그램 분석: 윈도우
개요
목표
악성 실행 프로그램을 검사하는 지침
환경 기준 수립
실행 전 준비: 시스템과 네트워크 감시
시스템과 네트워크 감시: 파일 시스템, 프로세스, 네트워크, API 활동
내부에 숨겨진 증거물을 다시 보기
악성코드 기능/목적 탐구와 검증
사건 재구성과 증거물 검토: 파일 시스템, 레지스트리, 프로세스, 네트워크 활동 사후 자료 분석
정리

10장 의심스런 프로그램 분석: 리눅스
개요
분석 목표
실행 전 준비: 시스템과 네트워크 감시
난독화 해독: 멀웨어에서 방어막 제거
공격 기능 검토와 비교
추가적인 기능과 위협 범위 평가
다른 고려 사항
정리
참고 자료

“BYOD에 대해서 ‘예’ 라고 대답하세요.”

포티넷코리아가 자사 네트워크 보안 솔루션으로 기업들이 안심하고 BYOD를 도입할 수 있는 환경을 만들겠다고 나섰다. 사내 모든 정보가 네트워크를 통하는만큼, 유연한 네트워크 보안 솔루션을 통해 BYOD 보안 위협을 해결하겠다면서 말이다. 포티넷은 와이파이 엑세스 포인트(AP), 무선 컨트롤러, 모바일 가상사설망(VPN) 클라이언트, 이중 인증을 위한 소프트 토큰 기능을 통해 BYOD 보안에 필요한 기능을 제공하겠다고 설명했다.

“네트워크를 통제해야 BYOD 보안 위협을 해결할 수 있습니다. 모바일 기기 통제뿐만 아니라 모바일 기기가 접속하는 네트워크도 함께 관리해야 합니다. 포티넷은 사내 모든 네트워크 환경에서 사용자를 확인하는 인증제도를 통해 기업이 안심하고 BYOD를 도입할 수 있는 환경을 만들었습니다.”

이상준 포티넷 부사장은 저렴한 비용으로 단순하게 네트워크 환경을 통합해서 사용할 수 있다면서 자사 새로운 보안 솔루션을 소개했다. 차세대 방화벽인 포티게이트300C와 와이파이AP, 이중 인증용 보안토큰, 안드로이드와 iOS 운영체제에 최적화된 포티클라이언트, 포티OS 5.0 등이다.

포티게이트는 통합 무선 컨트롤러 기능을 탑재해 사내 네트워크에 접속하는 사용자가 어떤 기기를 사용하는지를 파악해 제어한다. 또한 해당 사용자가 사내 네트워크를 통해 어떤 애플리케이션에 접속하고 자료를 살펴보는지 로그 액세스 포인트도 탐지할 수 있게 도와준다. 때에 따라선 사용자가 특정 애플리케이션에 접속할 때 대역폭을 낮춰 애플리케이션 사용을 막을 수 있다. 예를 들어 사내 무선랜으로 ‘애니팡’을 하려고 할 때, ‘애니팡’을 인식한 뒤 무선 대역폭을 낮춰 실행 속도를 떨어뜨리는 식으로 직원이 ‘애니팡’을 사내 네트워크 환경으로 실행하지 못하게 만드는 식이다.

와이파이AP는 이중 스트림을 적용해 무선 신호 전달 강도를 높였으며, 이중 인증용 보안토큰을 통해 사내 네트워크 인증 절차를 강화했다. 인터넷뱅킹을 할 때 공인인증서를 입력하고 OTP(일회용 암호)로 한번 더 확인하는 것처럼 말이다. 여기에 특정 모바일 기기에서 트래픽 이상이 발생했을 때 이를 탐지하고 조사해 접근을 차단하는 기능이 추가된 포티OS 5.0에 새로이 추가됐다.

사실 포티넷이 밝힌 BYOD 보안 전략은 새로운 게 아니다. BYOD 의미가 통일되면서 각 기업이 밝히는 BYOD 보안 전략도 점점 비슷해지는 추세다. 이날 포티넷이 밝힌 BYOD 보안 전략은 앞서 아루바네트웍스나 시스코시스템즈 같은 네트워크 업체가 밝힌 전략과 크게 다르지 않다.

사내 네트워크에 접속한 기기 종류가 무엇인지 자동으로 파악하고, 사용자를 인식해서 접속할 수 있는 애플리케이션을 사용 권한을 제어하고, 이를 통합적으로 관리하는 보안 플랫폼 모두 BYOD 도입을 부르짖는 기업이라면 당연히 던지는 공약이 된 지 오래다.

이상준 부사장은 “경쟁은 최대한 피하면서 고객에게 선택을 맡기겠다”라고 하지만 고객도 저마다 비슷한 전략에 어떤 걸 선택하면 좋을지 몰라 갸웃하는 게 현실이다. BYOD 환경이 널리 도입될 수록, 같은 환경 속에서 서로 다른 차별점을 선보이기 위해 네트워크와 보안 업체의 고민도 깊어지지 않을까 싶다.

[GMER]도구는, 제목과 같이 안티 루트킷(Anti-Rookit) 프로그램이다. 죽, 시스템 내에 숨겨진 유해파일(=Rootkit)을 검색하고 복사/제어할 수 있는 도구라고 말할 수 있겠다. 검색되어진 결과에 대해 신뢰도가 아주 높다고는 평가할 수 없으나, 매우 유용한 도구임에는 틀림이없다. (아마도 결과에 대한 신뢰도는 사용자 본연의 능력에 따라 편차가 크다고 하겟다.)

아래에는 [GMER]도구가 검색을 지원하는 기능들이다.

□ hidden processes

□ hidden threads

□ hidden modules

□ hidden services

□ hidden files

□ hidden disk sectors (MBR)

□ hidden Alternate Data Streams

□ hidden registry keys

□ drivers hooking SSDT

□ drivers hooking IDT

□ drivers hooking IRP calls

□ inline hooks

<지원하는 시스템>

□ Windows NT

□ Windows 2000

□ Windows XP

□ Windows Vista

□ Windows 7

<다운르드>

http://www.gmer.net/ ( 현재 최신버전은 GMER 1.0.15.15641 이다 )

<사용방법>

1. 아래의 Main창에서 ">>>"메뉴를 Click

2. 확장된 각 메뉴에서 사용자가 원하는 동작을 수행