달력

11

« 2024/11 »

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
반응형
미 하원의회는 수천만에 이르는 인터넷 이용자들의 사적인 커뮤니케이션에 대한 미국 정부기관의 접근이 가능하다는 위험에도 불구하고, 지난 목요일 248대 168의 표결로 사이버위협정보 공유 법(CISPA, Cyber Intelligence Sharing and Protection Act)을 통과시켰다. 한편 미국 예산관리국(OMB, Office of Management and Budget)은 오바마 대통령으로 하여금 부결권을 행사하도록 권고한 바 있다.

민주주의기 술센터(CDT, Center for Democracy and Technology) 및 미국시민권연합(ACLU, American Civil Liberties Union) 등을 포함한 시민단체들은 이 법안에 대해 반대의사를 밝혔는데, 그 이유는 이 법안이 미국 국가안보국(NSA, National Security Agency) 등을 포함한 국가기관에 의한 인터넷 커뮤니케이션 도청을 합법적으로 열어주기 때문이라고 밝혔다.

그러나 이 법안의 지지자들은 민간기업과 정부 기관이 사이버공격에 대항하여 싸우기 위해서는 반드시 필요한 일이라고 주장하고 있다. CISPA의 제안자인 마이크 로저스(Mike Rogers) 의원은 현재 미국의 미래를 도둑질 하려는 다수의 무리들이 있으며, 이 법안은 이들을 막기 위한 최소한의 방책이라고 말했다.

CISPA 는 브로드밴드 서비스 제공업체와 같은 기업들이 사이버공격과 관련된 고객의 커뮤니케이션 내용을 다양한 정부 기관과 공유할 수 있도록 하고 있다. 이 법안은 그러나 민간 기업이 소비자들의 소송 등에서 나타나는 사이버공격 관련 정보를 정부기관과 공유하는 것은 예외로 하고 있다.

CDT를 비롯한 이 법안의 반대론자들은 민간 기업들이 정부기관에 자발적으로 정보를 공유하고 있는지에 대해 의구심을 표시했다. 왜냐하면, 많은 정보통신서비스 제공업체들이 정부 기관과의 계약관계 체결을 위해 적극적인 목소리를 내고 있지 못하기 때문이다.

정보공유를 권장한다는 목적으로 추진되는 이 법안은 그러나, 인터넷을 이용하는 모든 미국인 하나하나의 프라이버시 보호 수준을 떨어뜨리는 결과를 초래할 것이라고 베니 톰슨(Bennie Thompson) 미 하원의원은 말했다. 이 법안은 민간 기업이 어떠한 정부기관과도 국가 안보 목적이라는 이유로 모든 정보를 공유할 수 있도록 하며, 책임 소재로부터 벗어날 수 있게 하는 그야말로 새로운 서부 시대를 열고 있다고 그는 지적했다.

CISPA는 민간 기업들이 정부기관에게 영장이나 적절한 감독 수단 없이 사적인 민감 정보를 공유할 수 있도록 하고 있다고 ACLU는 성명을 통해 주장했다.

ACLU 의 법률자문관인 미셜 리처드슨(Michelle Richardson)은 성명서에서 CISPA가 적절한 사유 없이 너무 많은 정보의 공유를 요구하고 있다고 비판했다. 그는 사이버보안이 미국인의 온라인 프라이버시를 제한하는 수단이 되어서는 안 된다고 주장했다. 그는 미국의 역사전례에서 경험했듯이 국가안보관련 기관들이 늘어나면, 이들은 절대로 줄어들지 않을 것이라고 지적했다.

CISPA 는 현재 페이스북, MS, AT&T, TechAmerica, 그리고 CTIA 등 몇몇 기술 기업과 무역 관련 단체의 지지를 받고 있다. 수년 동안 기술기업들은 상호간, 그리고 정부기관과 사이버위협 관련 정보를 공유하는데 있어 법률적 장애물에 대해 불평을 호소해왔다. TechAmerica의 CEO인 숀 오스본(Shawn Osborne)은 미국의 사이버보안을 위해 이 법안의 통과는 매우 중요한 의미를 지닌다고 말했다.
자료를 가져가실 때에는 출처 : KISTI 미리안글로벌동향브리핑(GTB)』를 밝혀 주시기 바랍니다.


" 사이버정보공유법안(CISPA), 미 IT 기업은 찬성 왜? "
기업들의 지지 이유? - " CISPA가 정착되면 IT기업은 정부에 정보를 제공한다는 표면상의 이유로 `합법적`인 이용자 정보 수집이 가능하기 때문이다."
http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=1&seq=19388


반응형
:
Posted by 째시기
반응형
현행 대다수의 주요 카드사들 (Visa, MasterCard, American Express)이 안전결제를 지원하기 위해 사용하고 있는 PCI DSS(Payment Card Industry Data Security Standard)보안인증 표준이 해커들의 카드신용정보 유출 및 삭제를 온전히 방어하는데 역부족인 것으로 나타나 관련 내용을 조사해보고자 한다.

이번 보고서는 디지털보안연구소인 Kaspersky Lab社의 최신 뉴스서비스를 통해 발표된 보고서의 내용을 인용한 것이며, 아래 링크에서 해당 내용을 보다 상세히 확인해볼 수 있다;
[출처: http://threatpost.com/en_us/blogs/pci-compliance-no-real-obstacle-compromises-030112]

기존의 정보보안 기준으로는 카드사들의 사용자 계정 및 거래정보를 저장, 처리, 그리고 전달하는 모든 기업 및 조직들은 PCI DSS에서 규정된 내용 모두를 준수하고 유효 인증서를 매년 갱신해야 하는 것을 원칙으로 하고 있다고 한다.

결국 현재 고객들의 카드결제와 관련된 데이터를 다루는 유통 도.소매 기업들은 PCI DSS 표준을 차용할 것을 신용카드 회사들로부터 요구받고 있는 것이 당연시 되고 있는데, 이번 보고서에 따르면 현재의 표준안과 요구사항으로는 결제와 관련된 데이터를 보호하는 것을 100퍼센트 보장할 수 없는 것으로 나타났다고 한다.

PCI 인증 솔루션 제공업체인 Trustwave社의 보안연구소 책임자인 Rob Havelt씨는 PCI 인증네트워크가 각 개별 조직들의 네트워크에서 운영되기에 여러가지 보안취약성에 노출되어 해킹되기 쉽다는 견해를 내놓기도 하였다.

취약성을 발견해내서 이를 이용해 보안사고를 유발할 수 있는 헛점들이 지속적으로 발생하고 있으며, 이러한 헛점들이 사용자들의 사소한 실수를 통해 해커들에게 보안사고를 일으킬 수 있는 빌미를 제공하고 있기 때문인 것으로 나타났다.

만일 해커들이 특정 기관 및 조직으로부터 신용카드와 결제정보와 관련된 세부내용에 대한 정보를 빼내기를 원한다면, 흔히 알려져있는 일반적인 방식을 통해 네트워크에 접근해 말웨어를 유포시키고, 취약한 단순 암호사용자들을 집중적으로 공략해 정보를 유출시킬 수 있다는 얘기이다.

일단 네트워크를 사용하고 있는 특정 사용자의 정보가 유출되어 계정이 해킹되는 순간, 이를 통해 중요한 정보가 저장되고 있는 네트워크로 접속을 시도하게 되며, 이때 사용하는 해킹방식은 주소 결정 프로토콜(ARP) 캐쉬 메모리를 변조하여 정보를 빼내는 ARP스누핑공격이라 할 수 있겠다.
[참고: ARP 스누핑공격은 해킹 대상자의 고유 컴퓨터 주소인 MAC을 해커의 MAC주소로 변경하여 모든 데이터가 해커의 컴퓨터로 모니터링이 가능하게 만드는 방식이다. 특정 시스템에 ARP 위장기능을 가진 말웨어 또는 바이러스가 설치되면 동일 컴퓨터와 맞물린 네트워크 내 타 시스템에도 악성코드가 심어질 수 있게 된다]

이처럼 해커들이 네트워크 트래픽 일부에 접속할 수 있는 권한을 갖게 된 이후, 특정 기업 및 조직의 네트워크의 운영방식 및 보안체제를 이해하게 되면 그때부터 문제는 점점 커지게 된다고 볼 수 있다.

앞서 언급된 해킹유형들은 비단 새로운 것이라 할 수 없는 것이지만, 현재까지도 완벽한 보안을 이룰 수 없게 만드는 해킹유형이라 할 수 있다. 결국 사용자들의 각별한 주의와 관심이 요구되는 시점이라 보인다.
출처 : http://www.computing.co.uk/ctg/news/2156861/pci-compliant-networks-secure-payment-expert

KISTI 미리안글로벌동향브리핑2012-03-09

반응형
:
Posted by 째시기
반응형
지난 천년 동안 사람들은 보이지 않는 잉크를 이용해서 비밀스러운 메시지를 전하곤 했다. 이 보이지 않는 잉크는 특정한 빛이나 화학물을 사용해야만 읽을 수 있다. 현재 과학자들은 자라고 있는 박테리아의 색깔에서 나타나는 메시지의 암호를 풀 수 있는 방법을 마련했다. 이 기술은 미생물 어레이를 프린트하여 만든 스테가노그래피 (steganography by printed arrays of microbe, SPAM)라 불리는 방법으로 보낼 수 있는 메시지를 만들어 항생제와 함께 풀어 간단한 장비를 이용하여 해독해 낼 수 있는 방법이다. 이 방법은 학술지인 ‘Proceedings of the National Academy of Sciences’지에 발표되었다. 몇 년 동안 과학자들은 DNA나 단백질과 같은 생물학적 입자의 메시지를 부호화할 수 있었다. 생물학자인 크레이그 벤터 (Craig Venter)는 지난 해 발표된 부분적으로 인공합성된 박테리아의 DNA에 자신의 이름을 부호화하여 넣은 바 있었다 (Gibson, D. G. et al. 2010).

터프츠 대학 (Tufts University)의 화학자인 마뉴엘 팔라시오스 (Manuel Palacios)의 연구팀은 일곱 가지 계통의 대장균 박테리아를 이용하여 메시지를 부호화하는 단순한 방법을 개발했다. 각각 대장균은 각기 다른 형광성 단백질을 만들도록 공학적으로 조작되었으며 이 형광성 단백질은 적절한 불빛 아래에서 각각 다른 색깔을 발하도록 되어있다. 팔라시오는 “우리는 정말 쉽게 관찰가능한 특징을 사용하기를 원했다”고 말했다. 벤터가 보여준 기술과 같은 기술들은 DNA 염기서열을 분석하고 메시지를 풀어낼 수 있는 복잡한 장치를 필요로 한다. 하지만 팔라시오에 의하면 “우리의 경우에 빛을 발광성 다이오드 (diodes)와 아이폰이 이 모든 작업을 하게 된다”고 주장했다.

박테리아 군집은 짝을 이룬 점의 일렬형태로 배양되었다. 각각 두 가지 색깔이 각기 다른 글자나 숫자 또는 기호에 대응하도록 결합되어 있었다. 예를 들어 두 개의 노란 점은 ‘t’자를 그리고 오렌지와 녹색 점은 ‘d’로 부호화했다. 일단 박테리아가 배양되면 이 군집의 패턴은 니트로셀룰로오스 (nitrocellulose)위에 새겨지게 되고 이것을 봉투에 넣어 부칠 수 있다. 이러한 재료는 동일한 패턴으로 박테리아를 다시 자라게 할 수 있고 이 메시지를 해독할 수 있게 된다. 적절한 대장균 계통을 선택하게 되면 사람들은 특정한 시간이 지난 후에 메시지가 나타나거나 또는 텔레비전 프로그램인 미션 임파서블 (Mission: Impossible)에서 나오는 자기파괴형식의 메모처럼 천천히 퇴화되게 되도록 하는 메시지를 보낼 수 있게 된다.

팔라시오는 또한 항생제를 숨겨진 메시지를 풀어내는 일종의 열쇠로 사용하는 방법을 개발했다. 이 방법은 특정한 항생제에 저항성을 갖을 수 있도록 하는 형광성 단백질의 유전자와 연결시킴으로써 가능하다. 이 원칙을 증명하기 위해 그는 SPAM위에 항생제인 암피실린 (ampicillin)에 노출시기케 되면 “이것은 바이오 부호화된 메시지로 터프츠 대학의 월트 실험실에서 2011년에 작성한 것임 (this is a bioencoded message from the walt lab @tufts university 2011)”라는 메시지를 읽을 수 있다. 만일 그가 카나마이신 (kanamycin)을 대신 이용하게 되면 이 박테리아는 각기 다른 색깔을 발하게 되고 “당신은 잘못된 해석기를 사용했으며 메시지는 알 수 없는 말이다 (you have used the wrong cipher and the message is gibberish”라는 메시지가 나타나게 된다.

이 프로젝트는 미국 방위발전연구프로젝트청 (US Defense Advanced Research Projects Agency, DARPA)의 지원을 받아 이루어졌다. 이 당국은 전기적 신호가 아니라 화학적 신호를 이용하여 부호화된 정보를 전송하는 방법을 찾고 있다. 하지만 일부 암호작성 전문가들은 이 박테리아는 Q의 새로운 장비 실험실에서 나와 실용화될 수 없을 것이라고 보고 있다. 플로리다주의 올란도 (Orlando)의 네트워크-보안장비 개발기업인 레드 람다 (Red Lambda)사의 안전연구자인 메리디스 패터슨 (Meredith L Patterson)은 “이것은 정말 영리한 개념이지만 정보를 숨기는 방법으로서 특히 실용적이지 않다”고 말했다. 암호해독자들은 숨겨진 메시지를 알아내기 위해서 모든 SPAM 종이에 대해 몇 가지의 항생제만 사용하면 된다. 패터슨은 “이것은 주먹구구식 해결법이다”고 말했다.

물론 영리학 암호해독자는 다르지만 각각 항생제를 가지고 사용할 수 있는 유연한 메시지를 부호화함으로써 이러한 문제를 해결할 수 있다. 패터슨은 “만일 카나마이신이 ‘파 드 칼레 (Pas de Calais: 프랑스 북부의 해변도시)의 해변을 공격하게 될 것이다’라는 메시지가 나타난다면 그리고 앰피실린은 ‘우리는 노르망디 해안을 공격할 것이다’라는 메시지가 나타나면 히틀러는 어디로 그의 방어부대를 보낼 것인가?”고 말했다. 부호화된 메시지는 DARPA에 매력적인 방법일 수 있지만 실제로는 “이 분야는 거의 우리의 기술을 사용하지 않을 것이다”고 팔라시오는 말했다. 그가 좀더 관심을 갖고 있는 분야는 생물학적 바코드를 통해서 유전자조작식품을 표시하는 것으로 그 출처를 표시하고 짝퉁을 방지하는 효과를 가질 수 있다. 이 연구팀은 효모나 포자를 형성하는 박테리아와 같이 좀더 강력한 미생물에서 메시지를 부호화하는 방법을 찾고 있으며 식물과 같이 좀더 복잡한 조직에서 나뭇잎의 형태나 뿌리의 패턴의 다양성을 통해 메시지를 부호화하는 방법을 찾고 있다. 팔라시오는 “좀더 많은 특성을 가질수록 좀더 많은 정보를 넣을 수 있다”고 말했다.


출처: ‘네이처’ 2011년 9월 27일
원문참조:
Palacios, M. A. et al. Proc. Natl Acad. Sci. USA http://dx.doi.org/10.1073/pnas.1109554108 (2011).
Gibson, D. G. et al. Science 329, 52-56 (2010).
출처 : http://www.nature.com/news/2011/110926/full/news.2011.557.html

KISTI 미리안글로벌동향브리핑2011-09-29

반응형
:
Posted by 째시기