Boanserver?

보안서버4

만일 귀하가 로그인 하는 웹사이트에 이 로고가 존재한다면 귀하의 로그인 정보나 신변과 관련한 주요 정보가 공개키 방식으로 암호화되어, 접속중인 서버로 안전하게 전달되고 있음을 의미합니다.

 

이 보안 서버 프로그램은 클라우드 서비스 데이터센터 전문 기업 스마일 서브가 악성 공격자들이 개인의 소중한 개인 정보를 수집 하여 거래 되고 범죄에 악용하는 현재의 참담한 상황을 조금이라도 개선해 보고자 무상으로 배포하는 응용프로그램 방식의 보안 서버입니다.

2012년 8월부터 보안 서버 사용이 법으로 의무화되어, 개인 정보를 취급하는 모든 웹 사이트에서 로그인 정보는 서버로 암호화하여 전송해야 합니다. 이러한 법적인 보안서버 의무화는 홈페이지 운영자에게 웹호스팅 비용보다 더 비싼 보안 서버 비용을 부담하게 하여 전체적으로 홈페이지 산업과 인터넷 비즈니스를 위축 시키고 있는 실태를 만들고 있습니다.

그럼에도 불구하고 사이버 범죄자들의 개인정보 수집과 범죄에 이용하는 상황은 계속 증가될 뿐 개선의 여지가 보이지 않습니다.

아래는 사이버 범죄자들이 어떠한 개인 정보를 수집하여 범죄에 이용하며 우리의 주머니를 털어가고 있는지에 대한 우리 회사의 분석 리포트입니다.

– 나는 악마를 보았다 1
http://idchowto.com/?p=8790

– 나는 악마를 보았다 2
http://idchowto.com/?p=9630

위의 리포트에서 주목할 사례 중 하나는 한 개인이 가입하고 이용하는 480여 개 웹 사이트 로그인 아이디와 패스워드 정보를 사이버 악성 코드 공격으로 모두 수집당한 심각한 피해사례를 볼 수 있었습니다. 심지어 피해자의 이름으로 핸드폰을 개설해 본인 인증을 통과했고 우리 회사 서비스까지 신청해서 이용하고 있는 상태였습니다. 실제 경찰서에서 대면한 피해자는 우리 옆에서 흔히 볼수 있는 평범한 직장동료 같은분 이었었습니다. 누구나 사이버 공격의 피해자가 될 수 있다는 이야기 입니다.

boanserver_cloud_bn_05

다시 말해 보안 서버 의무화 조치가 비용은 비용대로 들어가는데 실제 비용 대비 효과, 즉 악성 사이버 범죄자들이 활개치고 있는 국내의 보안현실 개선에 뚜렷한 도움이 되지 못하고 있다는 판단이 들었고,  그런 상황을 개선하고자 개발을 시작하여 이 보안 서버를 만들게 되었습니다.

실제 법령으로 의무화된 보안서버 자체는 해커가 데이터 센터 영역에서 네트워크에 흐르는 데이터 패킷을 몰래 감청하여 개인 정보를 수집하는 경우를 방지하는 효과는 있지만, 실제 해커들의 대부분의 공격은 키로거 공격이라고 하는 개인 컴퓨터에 악성코드를 뿌리고 키보드가 입력하는 내용을 감청하여 자동으로 수집·보고하는 방식으로 개인 정보를 탈취하는 것이 대부분인 경우라, 보안서버의 법적 의무화가 보안 상황 개선에 기대만큼의 효과를 발휘하지 못하고 있는 현실입니다.

따라서 그러한 문제점을 개선하고자 보안서버 법적인 의무화와 실제 일어나고 있는 개인 PC의 악성코드에 의한 키로거 공격에 대한 방어를 동시에 가능한 방식의 보안 서버를 만들어 배포하고자 개발을 시작해 그 성과물을 공개하게 되었습니다.

다시 말해 응용프로그램 방식의 보안 서버의 기능에 키로거 공격을 방어하기 위한 가상 키보드 기능을 구현하여 같이 동작하도록 만들었습니다.

기존의 키보드 보안 기능이 있는 응용 프로그램 방식의 보안 서버와의 가장 큰 차별점은 active-x나 exe를 사용하지 아니하고, 가상 키보드를 통한 키보드 보안을 구현하였고 암호화를 자바 스크립트로 구현하여 운영체제와 브라우저에 상관없이 운영이 가능하다는 점입니다. 다시 말해 접속자 모르게 다운로드 되어 설치되므로,  SSL 구입이 부담이 되는 웹사이트 운영자에게 무료라는 기쁨을 또한 기존의 active-x로 만들어진 경우나, exe 방식으로 배포되는 키로거 방어 목적의 기존 보안서버와는 다른 쾌적한 고객 친화된 서비스 제공이 가능해질 것입니다.

 

*참고

개발자 엔지니어를 위한 키보드 보안 권고 

아마도 active-x 키보드 보안이 없었다면 전 국민의 신용 카드 정보는 악성 해커들과 늘 쉐어 하는 어려움에 바로 직면할 겁니다. 특히 서버의 루트나 admin에 접근 가능한 개발자 엔지니어에게 키보드 보안은 방심하면 안 되는 숙명 같은 과제입니다. 실제 상당수의 대형 보안 사고가 개발자나 SE의 컴퓨터에서 일어나지, 기획실이나 자금부서, 영업부서에서 일어나는 경우는 거의 없습니다.  실제로 키보드 보안 실패로 인한 보안 사고는 실제로 비일비재하게 일어나고 있습니다.

사례1 *마일*브
클라우드 서비스를 제공하는 이 회사는 사내 컴퓨터가 모두 리눅스입니다.  고객사의 루트 권한을 부여받아 작업을 해야 하는 이 회사의 특성상 악성코드 공격으로 전산 자원을 보호하기 위해 사내 모든 컴퓨터를 리눅스로 바꿨습니다. 이러한 대비책에도 불구하고, 최근에 고객 서버 DB가 악성코드로 인해 유출되어 중국 소재 DB 판매 사이트에서 거래가 되고, 고객사에 배상을 해준 사례가 있습니다. 이유는 작업자가 긴급 작업을 집에서 하게 되었는데. 작업자의 집에 있는 컴퓨터가 악성코드 배양장이었기 때문입니다.  그 컴퓨터에 의해서 악성코드의 키로거 공격에 의해 접속이 유일하게 허용된 VPN 접속 아이디와 패스워드 고객 서버의 아이디와 패스워드가 유출되어 그로 인해 DB가 유출 되었습니다. 이로 인해 회사 이외의 접속시 작업자가 외부에서 접속할 리눅스 노트북을 별도로 지급하고, 그 노트북의 VPN 접속 계정은 별도 관리하는 보안 지침을 세운 사례가 있습니다.

사례2 금요일만 되면 악성 코드 배포.
어떠한 보안 허점도 없는 웹사이트에 악성코드가 배포되었던 사례. 방화벽도 확실히 작동하고, 취약점 스캐닝을 하여도 어떠한 보안 허점도 없으며 웹쉘이 실행된 흔적도 없는 사이트에 금요일 만 되면 악성코드가 배포되는 현상이 나타났습니다.  몇 주 맘고생하고 밝혀진 일은 개발자의 PC에서 금요일이면 코드가 실행되어 서버에 들어와 악성코드 링크 한 줄 삽입하도록 되어 있던 것 입니다.

 

권고 사항

1. 잘 안다고 자만은 금물입니다. ‘나 하나쯤 어때’의 자만이 대형 사고를 일으 킵니다. 보안 사고는 잘 아는 이들이 냅니다.

2.  되도록이면 컴퓨터 이용은 사용자 계정을 만들어 사용하여 별도의 프로그램의 설치 시에 본인이 패스워드를 입력한 경우에만 설치 되도록 합시다. 특히 가정용 컴퓨터의 경우는 각자의 별도 계정을 이용하는 것을 권장합니다.

3.  GPL 기반의 오프소스 프로그램 사용을 생활화하며, 그 프로그램의 경우도 지정된 다운로드 장소인지 확인하고 다운로드합시다. 실제 오픈오피스등의 오픈 소스에 악성코드를 섞어서 배포하는 사례도 보고된 바 있습니다.

4.  유료 프로그램은 비용을 꼭 지불하고 사용 하며 , 웹하드나 토렌토 류의 P2P 사이트에서 프로그램 다운로드는 세 번 중 한 번은 악성코드도 같이 따라온다는 것을 명심합시다.  특히 가정용 컴퓨터의 프로그램이 악성코드 온상이 되는 이유는 P2P를 이용한 무분별한 프로그램 설치 때문입니다.  공격자들은  그것을 노리며 가장 다운로드 많은 프로그램 (워드, 오피스, 그래픽, 스타크래프트 등 고전게임)이 악성코드도 가장 많습니다.

5. 가정용 PC는 은행용 , 업무용, 아이들용, 엔터테인먼트용은 별도의 컴퓨터를 사용합시다.  별도의 컴퓨터라는 것은 별도의 파티션을 이용하여 멀티 부트를 사용하거나 리눅스를 기반으로 가상화하여 사용하는 것도 포함됩니다.
특히 6세 이상의 아동과 학생이 있는 집의 컴퓨터 상태는 가히 바이러스 악성코드 배양장입니다.

6. 꼭 검증된 바이러스 악성코드 백신 프로그램 최소한 두 종을 설치합니다.

7. 필요시 하드웨어 방식의 보안 키보드(시중가 약 3만원) 사용도 고려합시다.