메뉴 건너뛰기

Chsoo's Windows 공부방

최근 정보보호에 관한 패러다임의 변화가 무엇이냐 묻는다면 대부분의 정보보호 전문가들은"개인 PC 보안 및 개인 정보에 대한 보호가 가장 중요한 이슈이다"라고 입을 모을 것이다. 이는 인터넷 뱅킹, 인터넷 쇼핑몰, 온라인 게임 등 개인PC와 개인정보를 이용하는 인터넷 서비스가 급증하고 있는 국내상황에서 특히 강조되는 부분이면서도 전 세계적인 정보보호 동향인 것이다.

필자가 정보보호라는 영역에 대하여 처음 접하던 5~6년 전만 하여도 대부분의 해킹 및 바이러스에 의한 침해사고의 주요 목표(Target)는 서버 급의 시스템이었다. 그 당시만 하여도 일반인들이 접하기 힘든 유닉스 시스템 특히 국내 상황에서의 솔라리스 시스템 또는 리눅스 시스템에 대한 해킹 기법이 가장 조명을 받던 시대였다.

이러한 상황은 반대로 이야기하자면 Windows 시스템을 사용하는 개인 사용자들은 상대적으로 해킹 및 바이러스에 크게 관심을 가지지 않아도 되는 시기였다는 말이 된다. 시스템 관리자 또는 대규모 네트워크 운영자들이 정보보호 및 해킹 가능성에 대하여 고민을 하였던 것이다.

우리나라는 정책적으로 인터넷에 대한 투자를 지속적으로 하였으며, 결과적으로 최단 시간에 초고속 인터넷 강국이라는 칭호를 얻게 되었다. 하지만 그 이면에는 실질적으로 질적인 성장이라는 측면보다 양적인 또는 속도 경쟁적인 성장 위주의 경쟁이 발생하였던 것이다. (인터넷 기반의 성장보다는 정보보호 개념에서의 질적 향상을 논의하는 것으로써 독자들의 오해가 없기를 바란다.)


지금 우리는 전 세계적으로 유례 없이 저렴하고 고속의 속도를 보장하는 인터넷 서비스를 이용하고 있다. 개인사용자들이 서버 시스템과 비교하여 손색없는 사양의 개인 PC를 보유하고 다른 국가에서는 상상조차 할 수 없는 수 Mbps 이상의 네트워크 연결을 보장받는다.

대부분의 국가가 아직도 가정에서 전화선을 이용하여 56K 모뎀을 사용하고 있는 실정이며, xDSL 서비스 이용료 및 보장 속도가 국내와 비교하여 현저한 차이가 난다. 분명 우리는 인터넷 강국으로써 자부심을 가질만하다.

반면 이 사실은 전 세계 해킹 공격자가 중간 경유지로써 이용하기 가장 좋은 여건을 갖추고 있는 국가가 대한민국이라는 사실에 주목하여야 한다.

특정 사이트로 시스템이 처리할 수 없는 형태의 신호 또는 정상적으로 처리하기에 방대한 양의 신호를 보내는 서비스거부공격(DoS, Denial of Service)의 예를 살펴보면 우리나라의 인터넷 환경이 왜 공격자들에게 악용되기 쉬운지 알 수 있다.

브라질의 해커 A군은 미국의 B사(社) 웹서버를 공격하기로 마음먹었다. 웹서버의 정상적인 서비스를 방해하기 위해 해당 웹서버가 처리할 수 없는 한계 이상의 접속요청 신호를 보내기로 한 것이다. 하지만, 자칫하여A군의 신분이 노출되거나 추적을 당하면 큰 낭패를 보게 된다. 또한 A군이 보유하고 있는 컴퓨터의 성능과 56K 모뎀을 이용해서는 웹서버의 한계를 넘는 신호양을 생산할 수가 없는 상황이다.


고민에 빠졌던 A군은 언젠가 들었던'한국의 인터넷 사용자 비율 및 환경이 상당한 수준에 이른다.'는 말을 떠올렸다.

'그래! 한국의 인터넷을 이용하면 되겠다.' A군은 즉시 인터넷에서 다운받은 검사용 소프트웨어를 이용하여 한국의 인터넷 주소 중 공격하기 쉬운 컴퓨터를 검색하기 시작했다. 몇 시간 후에 A군의 손에는 침입을 시도할 한국 컴퓨터들의 목록이 들려있었다.

'자! 하나씩 시도해볼까? 어라! 이거 처음부터 너무 쉬운거 아니야? 이거는 비밀번호도 없고, 으흠... 이거는 보안패치를 전혀 안했네? 좋아좋아'

해킹 공격을 시작한 지 반나절도 지나지 않아 A군이 장악한 시스템이 10개에 달했다. 더구나 이 시스템들은 사양도 훌륭했고 더욱 만족스러운 것은 인터넷 연결속도가 수 Mbps에 달한다. 이 정도 사양에서 공격신호를 생산해 낸다면 단위시간당 엄청난 양의 신호를 생산가능 할 것이다.
A군은 해킹 사실을 발각 당하지 않도록 모든 자신의 해킹기록을 삭제하고 해킹프로그램을 숨겼으며, 해킹당한 사용자가 알아채고 조치하는 만일의 사태를 대비하여 하루를 더 투자하여 추가적으로10개의 시스템을 더 확보하기로 마음먹었다.

드디어 공격 준비완료! A군은 미리 장악해 놓은 20개의 시스템을 하나하나 점검하기 시작했다. 20개중 2개만이 전원이 꺼진 상태이고 18개의 시스템이 만족스럽게 대기하고 있다. 이제 공격명령어를 실행시키기만 하면 18개의 시스템에서 동시에 B사 웹서버로 엄청난 양의 신호를 집중시킬 것이다.

18개 시스템의 사용자들이 자신의 개인 컴퓨터가 느려진다는 사실을 느끼겠지만 그 때는 이미 B사의 웹서버가 서비스 불능 상태에 빠져 있을 것이다. 더구나 B사에서 감지하는 공격신호들은 A군의 인터넷 주소가 아니라 이미 해킹 당한 한국의 18개 시스템의 주소로 판명이 날 것이다.

'공격명령실행!!' 전 세계 정보보호전문가들에게 주요 해킹공격 국가를 꼽으라면 브라질, 중국 그리고 한국을 이야기한다. 물론 이는 공격자 인터넷 주소가 한국에 할당되어 있다는 뜻이지 실질적으로 한국인 공격자(해커)가 많다는 의미는 아니다.

위의 사례에서 본 것과 같이 인터넷 환경은 세계 최고 수준이면서 개인 사용자들의 보안 의식은 상대적으로 매우 낮은 한국을 악용하는 것이다.


위의 예를 가지고 개인PC 관리소홀 하나를 가지고 국가적 위상 운운하면'너무 과장하는 것 아니냐?'라는 반문을 하는 인터넷 사용자들이 많을 것이다. 그러나 자신의 주민등록번호가 제3자에 의해 도용되고 이로 인한 금전적인 손해를 입게 된다면 정보보호의 필요성을 피부로 느끼게 된다.

실제적으로 본 필자가 근무하는 인터넷침해사고 상담전화 사이버118에 접수되는 80% 이상의 사고상담이 개인이 채팅 또는 온라인 게임을 통해 개인정보가 유출되었거나 금전적인 손해 또는 온라인상의 아이템에 대하여 피해를 입은 경우이다.

어떠한 형태의 피해 또는 침해사고를 떠나서 대용량 시스템의 전산관리자 또는 네트워크 관리자에게 책임을 일임하는 시대는 이미 지나갔다. 네트워크 관리자가 아무리 정보보호에 신경을 쓴다하여도 네트워크 내의 사용자들이 각 개인의 시스템을 보호하지 않는다면 관리자도 대처가 곤란한 경우가 많다.

이제 우리는 본 연재를 통하여 개인 사용자들이 쉽게 실천할 수 있는 정보보호 대책과 행동요령을 살펴보고자 한다.

'비밀번호를 설정하라', '비밀번호는 상대방이 추측하기 어려운 형태로 만들어라', '바이러스 백신을 사용하라', 및'정기적으로 보안 패치를 설치하라' 등 정보보호전문가들은 여러 가지 형태의 실천수칙 등을 이야기하지만 개인 사용자들에게는 막연하고도 무엇을 위하여 하는 것인지, 실질적인 방법은 어떤 것인지 답답한 경우가 많다.

앞으로 연재될 이 글은 개인 사용자들이 실제로 겪고 교훈을 얻을 수 있는 사례를 중심으로 5가지 이상의 정보보호 실천 방법을 제시할 것이다. 이번 호에서는 첫 과정으로 다음의 항목들 중에서 과연 나는 얼마나 실천하고 있는지 확인해보도록 하자.

정보보호 강화를 위한 여러 가지 방안이 있겠지만, 위의 10가지를 모두 다 실천하고 있다면 매우 높은 수준의 정보보호 수칙을 실천하고 있는 개인 사용자인 것이다. 단번에 위의 10가지 모두를 생활화하기는 매우 어려운 일이다.

하지만 본 연재를 통하여 한가지, 한가지씩 개인정보보호 및 개인 PC보호에 대한 이해를 높여나가며, 그 필요성에 대해 독자들이 느낄 수 있기를 바란다.

  • 내 컴퓨터에 부팅 비밀번호 및 운영체제 비밀번호를 설정하여 운영하고 있다.
  • 나는 비밀번호를 주기적으로(분기 1회, 연 2회 등) 변경하여 사용한다.
  • 나의 비밀번호는 6자리 이상이며, 특수기호 및 대소문자를 혼합하여 사용한다.
  • 나의 컴퓨터에는 바이러스 백신이 설치되어 있으며, 정기적으로 업데이트를 실시한다.
  • 나는 주기적으로 내 컴퓨터에 설치된 주요 소프트웨어의 보안패치를 검색, 설치하여 사용한다.
  • 나는 중요한 데이터는 암호화하여 저장하거나 주기적으로 백업(CD등에 저장)하여 별도 보관한다.
  • 나는 가정, 특히 회사의 컴퓨터를 점심시간 또는 퇴근 등 사용하지 않는 경우에 전원을 꺼 놓는다.
  • 나는 발신자가 불분명한 메일은 삭제하고, 출처가 불분명한 첨부파일은 실행하지 않는다.
  • 나는 메일을 발송할 때 나의 개인키 및 인증서를 이용하여 디지털 서명하여 발송하며, 다운로드 받은 파일에 대하여 인증서 및 디지털 서명을 확인하여 신뢰할 수 있는 파일인지 반드시 확인한다.
  • 나는 내 컴퓨터에 기록되는 로그 등을 정기적으로 점검한다.

[출처] 정보보호뉴스 2004년 5월호 (발행처 : 한국정보보호진흥원)
[저자] 윤승노 (침해사고대응협력팀 연구원)
번호 제목 글쓴이 날짜 조회 수
공지 많이 애용해 주세요. [2] 김창수 2000.01.01 8686
37 주요 관리목적 공유폴더와 그 위험성 [1] file 김창수 2005.04.21 5108
36 자주 뜨는 PC 에러 처방 - 70가지 [2] 김창수 2005.01.19 3139
35 Windows 자동 재부팅 막기 [2] 김창수 2004.12.31 4840
34 [윈도우XP] 파티셔닝중 8MB가 남는 이유 김창수 2004.11.13 3537
33 윈도우XP SP2를 설치해야하는 10가지 이유 (참고 자료) 김창수 2004.11.08 2710
32 Windows XP 서비스 팩 2 기능 목록(참고 자료) 김창수 2004.11.08 2564
31 지금 내 PC가 해킹당하고 있는지 알아보는 방법과 해킹 예방법 [1] 젊은아찌 2004.10.07 3094
30 [MS04-028] GDI+ 버퍼 오버런 취약점 패치 권고 [1] 김창수 2004.09.17 2361
29 유해가능 프로그램 정보입니다. [1] 김창수 2004.09.08 2218
28 보안관련 - 똑똑한 공유폴더를 사용하자 김창수 2004.07.29 2318
27 보안관련 - 암호설정 및 사용자권한 설정 김창수 2004.07.29 2164
» 보안관련 - 나는 얼마나 정보보호를 실천하고 있는가? 김창수 2004.07.29 1680
25 Windows XP 에 NETBUEI 설치 방법 [1] 김창수 2004.07.14 2256
24 윈도XP SP2 이렇게 바뀐다. (읽어 보세요.) 김창수 2004.02.12 2511
23 인터넷 처음 시작 페이지가 고정 안될때. 김창수 2004.01.13 2513
22 윈도우XP 구조와 원리 샅샅탐험 (1부) - 윈도우XP 부팅의 비밀 관리자 2003.09.09 4097
21 익스플로어에서 내용관리자 원상복귀 시키기.... 관리자 2002.09.28 2104
20 windows로 부팅이 안되는데요.. 정일수 2001.04.30 2020
19 [re] windows로 부팅이 안되는데요.. 관리자 2001.05.01 1843
18 Windows사용시 아이콘과 조절 상자가 깨질때... file 관리자 2000.09.10 2258
17 [re] Windows사용시 아이콘과 조절 상자가 깨질때... 김정근 2000.11.27 1857
16 [re] Windows사용시 아이콘과 조절 상자가 깨질때... 관리자 2000.11.27 1754
15 작업 표시줄에 자기 이름 써보기.... 관리자 2000.05.10 2179
14 익스 플로어에서 긴페이지 스크롤 방법 4가지 관리자 2000.05.10 2076
위로