가 여는글슴

으 로

06 _ 스페셜리포트 17 _ 인포섹리서치

04 _ 파워인터뷰

·’I T’라는희망의빛을

정보소외계층과

함께할터. . .

·비공개암호와공개암호

·미국암호수출규제정책동향

통권7 1호 정보보호뉴스

「정보보호뉴스」월간| 등록번호(서울)라-08407 | 발행일 2 0 0 3

년9월1일| 발행인겸편집인김창곤| 발행처한국정보보호진

흥원서울시송파구가락동 7 8번지(TEL:4055-114) | 디자인·

(주)진화기획( T E L : 7 3 3 - 4 3 9 3 )

정보보호뉴스받는주소의변경을원하시는분은이름, 소속, 기존주소,

변경주소, 우송봉투겉면의코드번호를적어서jhcho@nadm.co.kr 로

보내주시기바랍니다.

2 1_ 인포섹트렌드 24 _ 시큐리티가이드라인

Contents

·내컴퓨터는내가지킨다( 4 )·한국정보보호진흥원동향

·국내외기술·정책·업계동

정보보호9월 2003.9.16 1:3 PM 페이지1

파워인터뷰

2003_ 09_ 05정보보호뉴스| 04

센터시절1 0 0 0만명국민정보화교육을진두지휘하다돌연퇴직하고숭실대학교

교수로.. 또다시지난해에센터로복귀하셨습니다. 우여곡절끝에K A D O의초대사

령관으로부임하셨는데선택의동기는무엇입니까.●● 안정적인교수라는직위를버리고,

한기관의수장으로부임한다는 것에많은부담을느낀것이사실입니다. 주위의만류도많았구요. 하지

만I M F라는국가적위기상황에서구조조정한파에휩쓸려나가는동료들을보며 적잖은책임감을느꼈

습니다. 이에 속죄하는마음과기관을일으켜야한다는사명감이절다시이곳으로이끌었죠.

정보격차해소전담기관을표방하셨습니다. 정보격차를정의하신다면.●● 산업

사회를지탱하던믿음, 가치, 기법등총체적인 기존패러다임이빛을잃고새로운패러다임이형성되

고있습니다. 산업시대에는토지, 노동, 자본의우열에 따라격차가벌어졌지만, 현대에는지식·정보

획득 여부에 따라 격차가 벌어지고 있습니다. 세대차, 지역차, 빈부차, 학력차, 국가격차에따라 지

식·정보수준이차이나게되고, 이차이는계속벌어지게되죠. 결국, 농·어촌민, 장애인, 주부, 노

인등은정보소외계층이되어 자신의의지와상관없이제삼자의삶을살아가게됩니다. 이것이바로

정보격차이고, 이런불평등을해소하여모든사람이함께할수있는정보사회를만드는것이 K A D O

의목표입니다.

우리나라의정보문화수준에대한진단을하신다면. ●● 예를들어, 전국토가넓고잘닦

인고속도로로 연결되어있고, 모든사람이좋은차를가지고있다고생각해봅시다. 이런좋은인프라를

생산적인 측면에서이용한다면사회가발전한다는것은자명할것입니다. 하지만, 좋은차와도로를폭

주족들이속도경쟁을벌이는수단과장소로이용한다면, 과연이나라가교통대국이라고할수있을까

요?얼마전한초등학생이인터넷게임과아바타를 꾸미는일에1 7 0여만원의통신요금이나와이를걱

정한나머지자살한사건이있었습니다. 인터넷강국, 정보화강국의이면에이같은부작용과후유증이

독버섯처럼번지고있다는것을간과해선안돼죠. 모두들알다시피우리나라가IT 강국이라는것은 주

지의사실입니다. 하지만우리는 지금까지동전의앞면만을보아왔습니다. 이제는시각을바꿔소비적

인측면에서만바라보던 인터넷을생산적인측면에서유용하게활용할수있도록이끌어야합니다.

향후중점을두고추진할계획에대해서말씀해주십시오.●● 제가처음 K A D O의

비전을재정립하면서다음과 같은7대과제를제시하였습니다. 정보사회미참여계층을위한정보접

근 환경조성, 정보격차해소관련기술 및콘텐츠개발·지원, 국가간정보격차해소를위한국제협력,

정보이용능력 배양을위한국민정보화교육, 정보격차해소를위한사회인식확산 및홍보, 국민의생

산적 정보활용촉진및오·남용예방, 정보격차해소정책개발지원및조사연구가그것이지요. 임기

동안이 7대핵심과제를원활하게추진하고성과를얻는것이최대목표입니다. 물론대국민을상대

하는것이므로, 독단적으로판단·처리하지않고, 언론·시민단체, 학계, 업계등관련 전문가들의의

견을최대한수렴하여합리적으로추진하겠습니다.

특히, 국가차원정보격차 해소를위해많은노력을 기울일것입니다. 우리나라가외적인측면에서볼

때IT 강국으로서의인프라를갖췄으므로, 우리가보유한IT 선진국으로서의지식과문화를후진국에전

달해줘야합니다. 이는우리나라의IT 산업의국제경쟁력을 더욱강화시키는효과도가져올것입니다.

대국민사업을추진하고있는만큼국민들에게 알려줄유용한정보가많이있을

것으로 생각됩니다.●● 우선저희홈페이지( h t t p : / / w w w . k a d o . o r . k r )를한번찾아주십시오. 아

마 다양한컨텐츠를접하고많은기회를만나실수있을것입니다. e-Korean 교육, 온라인정보화 교

육, 정보문화홍보관, 정보문화축전, IT world, 사랑의 PC 보내기등이그것이죠. 노인, 장애인, 주부

등아직컴퓨터에대한지식이부족한계층에서부터좀더폭넓은정보이용능력을갖추길원하는사람

에이르기까지계층별, 수준별다양한교육의 기회를만나실수있습니다. 사실처음접하기가어려워

서그렇지저희교육을받으신분들은모두전문가( ? )가되셨습니다.

KADO 손연기원장

"장애인, 노약자... IT 시대와는동떨어져 살아가는사람들... 이들에게야말로I T는 신이내려준최대의축복이라고생각합니다." 한국정보문

화진흥원의전신인한국정보문화센터 시절부터정보문화기획본부장, 소장을역임하며국민정보화를주도한손연기KADO 초대원장은"정보

격차해소전담기관"으로기관의정체성을재정립하고I T의혜택이모든사람에게고루나누어지는평등한정보세상을만들기위해모든노력

을쏟아붓고있다. 정보격차해소에관한한그누구에게도뒤지지않는해박한이론과실무능력을겸비한손원장을만나본다.

손원장은일이많아자주퇴근시간이늦어진다고한다. 원장이퇴근이늦으면직원들에게부담을

주지않느냐는질문에"퇴근을했다가직원들모르게다시들어와일을본다"며빙긋이웃는다. 약한

사람, 소외된계층을위해뒤에서묵묵히일하는손원장을만난오늘은삶의풍요를마음으로느끼게

된기분좋은날이다.

●약 력

1 9 7 7 - 1 9 8 4

고려대학교심리학과졸업(학사)

1 9 8 6 - 1 9 8 8

미국유타주립대사회학과졸업(학사)

1 9 8 9 - 1 9 9 1

미국텍사스A & M대대학원사회학(석사)

1 9 9 2 - 1 9 9 4

미국텍사스A & M대(사회학박사)

1995. 9 - 1999 . 2

한국정보문화센터정보문화기획본부본부

장

1999. 3 - 2002. 1

숭실대학교 사회과학대학 정보사회학과

교수, 학과장

2001. 1 - 2002. 1

숭실대사이버연구센터센터장

2001. 1 - 2001. 12

정보통신부정책평가및심사위원

2001. 1 - 2001. 12

국무총리실정보화평가위원

2002. 1 - 2002. 12

한국정보문화센터소장

2001. 1 - 현재정보통신윤리학회감사

2001. 1 - 현재행정자치부정책자문위원

2003. 1 - 현재한국정보문화진흥원원장

●저서

정보사회와정보문화( 1 9 9 9년)

인간과사회( 2 0 0 0년) 外다수

●상훈

2000. 6 대통령표창

(글/사진윤준범_교육홍보팀연구원, yjb@kisa.or.kr)

I T라는 희망의 빛을정보소외계층과함께 할 터

정보보호9월 2003.9.16 1:3 PM 페이지3

정보보호뉴스| 06 2003_ 09_ 07

S P E C I A L R E P O R T

지난1 2월, 재경부및금융감독원이 일선 금융기관에보낸 공문에“금융권용비공개암호알고리즘

버드에프(BUD-F) 칩적용제품이나왔으니각금융기관에서는이를활용토록협조하라”는내용의공

문을보냄에따라, 정부가보안시장에서불공정경쟁을조성한다는등의논란이있었다. 버드에프는증

권전산이국가보안기술연구소에의뢰해개발한금융권용비공개암호알고리즘으로입출력크기나키

길이등의기본적인사항만공개되어있다.

다행히2 0 0 3년 6월정보보호산업협회(KISIA) 및회원사들이재경부장관, 금감위위원장, 금감원장

에게보낸“금융권용비공개암호알고리즘칩적용제품선정통보와관련된시정촉구및재발방지건

의문”을정부측에서어느정도수용하여BUD-F 칩의이전을확대하는등의후속조치로인해그논란

은진정국면으로접어들고있는상황이다. 그러나, 대다수의보안업체들이금융시장에진입하기위해

서국가표준으로추진중인S E E D를자사보안제품에탑재하고있는실정에, 새로운비공개용암호알

고리즘의출현은여러가지문제점을 야기시킬것으로예상된다. 이에, 본문서에서는비공개암호와

공개암호에대해전반적으로살펴보고자한다.

문서의비밀성을보장하기위해사용되기시작한암호는과거에는군사나외교등의국가안보분야

에오랫동안사용되었으며국가의 전유물이었다. 그렇기때문에암호가만들어지는지는 방법은국가

의1급비밀이었으며, 암호해독여부는전쟁의승패를좌우하는요인도되기도하였다.

태평양전쟁의분수령이 되었던 미드웨이 해전에서전세가 불리했던미 해군이 승승장구하던일본

해군을거의전멸시키고해전을승리로이끌었던것은암호해독덕분이었다. 당시의전세를보면미국

이훨씬불리했다. 미국은 일본의 진주만기습으로 대부분의해군력을 상실한 상태에있었다. 당시의

전력을비교해보면태평양에서미국이보유한항모는일본의8척에비해3척, 순양함은일본의2 0척

에8척이었고구축함은일본의6 0척에비해1 4척을가졌을뿐이었다. 약간우세한부분이있었다면잠

수함전력이었다. 일본이1 5척을갖고있었던데비해미국은 1 9척을보유했다. 이러한전력을이끌고

승승장구하던일본야마모토제독과전투를벌여야했던미국의니미츠제독이미드웨이해전을승리

로이끌게된것은일본해군의교신내용을해독해낸덕분이었다. 일본해군의암호를모두해독함으

로써일본군이어디에상륙하며어느지점에위치해있는지를모두알아냈던것이다. 미드웨이해전에

서일본군은초기부터알류샨열도에상륙할것임을거짓으로알리는전술을썼다. 그러나암호를해독

한미군은이것이미드웨이섬을뜻하는연막전술임을알아내사전에철저히대비했으며, 이때문에일

본군은대패하고말았다.

또한암호해독은 컴퓨터를 만들게된 계기도 되었다. 2차 세계대전 당시 독일이 유럽을 침공할 때

모든 지령문은“에니그마( E n i g m a )”라는암호장비를 통해 암호화되었다. 이로인해 전쟁 초기유럽

의국가들은독일의통신문을사전에입수해도도대체무슨뜻인지알도리가없었다. 특히영국은독

일의연이은 폭격에도 속수무책이었다. 1 9 3 9년 영국정부는 독일의에니그마 암호문을 해독하기위

하여런던근교의블레츨리공원(Bletchley Park)에암호연구소를설립하였다. 수학의천재앨런튜

링(Alan Turing, 1912~1954)을비롯한 당대의 과학자 1천여명이 모인 이곳에서는 여러 암호문에

나타난일정한패턴을서로비교분석하여, 그결과를복잡한과정을통해통계처리하는방법으로에

니그마 암호문을 해독해 나갔다. 시간이지나면서 암호문이 조금씩 해독되기 시작하자 독일군은 에

니그마를더욱복잡하게만들었으며, 복잡한암호문을더이상손으로푸는것은무리라고판단한튜

링은오늘날현대컴퓨터의모델이라고할수있는‘튜링머신(Turing Machine)’을수학적으로고안

해냈다.

1 9 4 3년 1 2월영국은 튜링의아이디어를 바탕으로‘콜로서스( C o l o s s u s )’라는세계 최초의컴퓨터

를 만들었다. 흔히세계 최초의 디지털컴퓨터라고알려진펜실베이니아 대학의‘에니악( E N I A C )’은

알고보면콜로서스보다2년늦게제작된것이었다. 이후영국은독일의암호문을해독하게되었으며

적의폭격계획, U-보트의위치, 지상군의병력과 전개에 관한정보를 야전사령관들에게전달하여

독일측에 엄청난타격을입혔다. 또한 1 9 4 4년연합국측은에니그마의 해독덕분에노르망디상륙작

전을성공적으로수행할수 있었다. 그러나콜로서스는현대적인컴퓨터로세상에 나타날수있었음

에도불구하고전후에도계속암호해독과같은특수한용도로쓰이며, 그정확한형태는비밀로되어

사람들에게알려지지않았다. 32년의공식적인침묵끝에7 5년 1 0월에와서야영국정부는콜로서스

의사진을일반에게공개했다. 덕분에에니악은세계최초의컴퓨터라는영광된자리를차지할수있

었다.

이렇듯과거에는군사적인사용된암호는그안전성을유지하기위해암호에사용된키뿐만아니라,

암호방식(알고리즘) 자체를비밀리하였다.

비공개암호와공개 암호

S P E C I A L R E P O R T

성재철, 김지연_암호인증기술팀선임연구원

이성재, 현진수, 주학수_암호인증기술팀연구원

정보보호9월 2003.9.16 1:3 PM 페이지5

정보보호뉴스| 08 2003_ 09_ 09

S P E C I A L R E P O R T

과거군사나외교목적으로사용되던이러한암호는, 정보화사회가급속히진전됨에따라정부나기

업, 개인의디지털정보를안전하게저장·전송하기위한수단으로다양한분야에사용되기시작하였

다. 요즈음암호는전자금융거래, 사이버증권거래, 전자입찰, 전자화폐, 저작권이나산업정보보호, 개

인정보보호등에서광범위하게이용된다. 즉, 인터넷상에서의신용카드결제시, 고객의신용카드번호

와비밀번호는암호화되어전송되고있다.

이렇게 암호의 사용이 증대되면서특기할 점은암호방식은공개하고 암호를 해독하는데 사용되는

키만비밀리에보관한다는점이다. 이는실용적관점에서보았을때, 소프트웨어나하드웨어로구현되

고오랜기간동안많은사람에의해사용되는알고리즘을비밀리에간직하는것은매우어렵기때문에,

"암호의 안전성을 알고리즘이 아닌 키의 비밀성에 의존하는 것이 보다 합리적이다"라는 케르코프

( K e r c k h o f f s )의법칙에서기인한것이다.

물론암호기술의발전사를살펴보면알고리즘을비공개한경우도있었다. 그러나이러한비공개암

호는역분석등에의해알고리즘이알려지게되었고, 알려진후에는해당알고리즘이많은취약성을가

지고있었음이암호학자들에의해밝혀졌다. 대표적인예가이전에웹브라우저에탑재되었던R S A사

의 R C 2와RC4 알고리즘이다. 세계적으로유명한보안업체인R S A사가개발한R C 2와 R C 4의암호알

고리즘의경우처음에는비공개였으나역분석기술을통해알고리즘이공개되었고이후많은암호전

문가의분석대상이되었다. 그리고암호전문가들의안전성분석결과상당히많은취약성을드러냈다.

또한R S A사의사용자인증을위해사용되는SecureID 토큰에사용되는해쉬함수의경우도처음엔비

공개알고리즘이었으나실행코드의역분석공격을통해알고리즘이알려지게되었고, 최근에암호전

문학회를통해알고리즘의구조적인취약성이제기되었다.

미클린턴행정부가 1 9 9 3년4월에발표한클리퍼정책은, 정부가개발한Skipjack 알고리즘을내

장한 클리퍼 칩이 탑재된 통신 장비를 이용해야만 암호 통신이 가능하도록 하였다. Skipjack의 경

우, 1993년 개발당시 비공개였으나, 1998년 클리퍼 정책의 철회와 함께 공개되었다. 알고리즘이

공개된 후 이스라엘의 암호학자 Eli Biham은S k i p j a c k이 가까운 장래에 공격당할 위험성이 있다고

하였다.

이렇듯비공개암호의경우 개발자들이미처생각하지못한취약성이내재될가능성이높을뿐아

니라, 해당암호의구현물에대한역분석공격등을통하여알고리즘의상세도가노출될가능성이높

다고볼수 있다. 그러므로, 암호알고리즘을비공개하여안전성을높일수있다는것은위험한 발상

이라할수있다. 또한, 개발자가이용자모르게알고리즘에백도어를설치할수도있으며, 백도어설

치시이용자의주요정보가개발자에게무방비로노출되어이용자의프라이버시가침해될위험도있

을 수있다. 따라서암호의개발단계에서부터많은 전문가들이참여하고안전성을검증하여, 알고리

즘의안전성에대해투명한신뢰도를확보하는것이암호기술개발에대한새로운전략이되고있다.

특히, 국외에서는정부나국제단체들이중심이되어암호를공개적으로개발할수있는환경을마련

하고있다.

미국의경우, 1997년부터연방정부의암호관련표준개발을담당하는상무부산하국가표준연구원

(NIST, National Institute of Standard Technology)을중심으로 연방 표준블록암호인D E S를 대체할

1 2 8비트표준블록암호개발프로젝트인‘AES(Advanced Encryption Standard)’를추진하기시작했

다. AES 프로젝트에는전세계로부터 수많은 암호전문가 및 기업이 참여했으며벨기에에서 제안한

알고리즘이최종선정되었다.

유럽은 미국의 AES 프로젝트에 대응해 지난 2 0 0 0년 1월부터 E U의 IST(Information Society

Technologies) 사업의 일환으로‘NESSIE(New European Schemes for Signatures, Integrity and

E n c r y p t i o n )’프로젝트를 추진하였다. 이 프로젝트는 A E S와 달리, 전자서명·무결성·암호알고리즘

등의다양한부문에대해알고리즘을공모하였다. 각부문별표준후보기술에대해공개평가절차를거

처올해3월에최종알고리즘을선정하였다.

일본도지난2 0 0 0년6월부터2 0 0 3년4월까지3년여에걸쳐경제산업성산하정보처리진흥사업협

회(IPA, Information-Technology Promotion Agency)를주축으로 전자정부용암호기술개발을위

해‘CRYPTREC(Cryptography Research and Evaluation Committee)’프로젝트를추진하였다.

S P E C I A L R E P O R T

[표1] 미국, 유럽, 일본의암호원천기술공모프로젝트추진현황

프로젝트명

(추진기간)

A E S

( 1 9 9 7 . 1 ~ 2 0 0 1 . 1 1 )미국/ N I S T D E S를대체할차세대블록암호알고리즘을개발 블록암호

N E S S I E

( 2 0 0 0 . 1 ~ 2 0 0 3 . 3 )유럽/ E U

유럽회원국들의 전자상거래, 전자정부 및 전자서명

등을구현하기위한필수암호원천기술개발

블록암호/해쉬함수/ M A C

공개키암호/전자서명/인증

C R Y P T R E C

( 2 0 0 0 . 6 ~ 2 0 0 3 . 4 )일본/ I P A 일본의전자정부구축을목표로한암호원천기술개발

블록암호/스트림암호/해쉬함수

공개키암호/전자서명/

의사난수생성기

국가/

수행주체개발목표 공모대상분야

정보보호9월 2003.9.16 1:3 PM 페이지7

정보보호뉴스| 10 2003_ 09_ 11

S P E C I A L R E P O R T

이렇게공개적으로개발·검증된암호의사용영역은매우광범위하다. 최근논란이되고있고암호

의이용이활발한금융권에서의사용현황을살펴보도록한다. 미국의경우, 국가표준협회( A N S I )산하

X9 위원회가금융산업분야에서의금융상품이나금융서비스를촉진하기위하여관련표준제정및보

급을담당하고있는데, TDES 알고리즘이ANSI-X9 표준으로제정되어있다.

금융업무국제표준안을제정하는ISO/TC68 위원회도D E S를표준으로제정하고있다. 일본의금융

표준을주관하고있는일본산업표준위원회(JISC, Japanese Industrial Standard Committee)는이러한

I S O의국제표준을준용하고있다.

그리고최근 미국정부가비공개 암호만을사용하던국가기밀용도에까지공개적으로개발된암호

의사용을허용했다는점은주목할만하다. 2003년6월에발표된미국C N S S1 )의정책에따르면, 연방

정부표준인A E S를“Top Secret”등급의비밀문서보안용으로사용할수있다고하였다.2 )

이와같이, 국외에서는비공개암호보다는많은전문가가안전성을검증하여, 안전도에대해객관적

신뢰를부여할수있는공개암호의사용을선호하는추세이다. 이는1 9 9 7년3월경제협력개발기구인

OECD 이사회를통과한“암호정책지침(Guidelines for Cryptography Policy)”의내용에서도알수있

다.

따라서정부의비공개암호의사용권유는국제정세나국제기구의암호관련정책에도위배되는등

의많은문제점을내포하고있으며, 이는국가적위상이나국내산업계의선의의경쟁을위해서도바람

직하지않다고사료된다. IT강국으로불리는우리나라가정보보호강국으로발돋움하기위해서는네트

워크환경의발전뿐만아니라정보보호핵심기술인암호기술의세계화가필요하다.

S P E C I A L R E P O R T

[표2] 금융부문표준화현황

표준기구

A N S I - X 9

X9 TG-19-1-1999 Part 1: Modes of Operation Validation System for

the Triple Data Encryption Algorithm (TMOVS): Requirements and

Procedures

ANSI X9.52-1998 Triple Data Encryption Algorithm Modes of

Operation

ISO 10126-2 : Banking - Procedures for message

encipherment (wholesale) - Part 2: DEA algorithm

미국

I S O / T C 6 8국제표준으로일본,

국내등에서준용

표준문서 명 비 고

[표3] OECD 암호정책가이드라인

기본원칙

암호기법의신뢰성

(Trust in Cryptographic Methods)

정보시스템이나통신시스템의신뢰성을위하여암호기법은

믿을수있어야한다.

사용자는관련된법의범위내에서어떠한암호기법이라도

선택할수있는권리가있다.

암호기법은사용자의필요, 요구및책임성등에맞추어개발되어야한다

암호기법의기술표준과기준및규약등은국가나국제적차원에서서로

유통이가능하도록개발되고공표되어야한다.

국가암호정책이나암호기법의사용과구현시에개인정보의보호와

통신비밀등이포함된사생활에대한개인의기본적권리는

존중되어야한다.

암호화된데이터의복호키나평문에대한합법적인액세스는국가암호정책

에의해서만허용될수있으며, 이들정책은이지침에들어있는다른원칙들

을최대한고려하여야한다.

암호서비스제공자나암호키를액세스하거나소유하는자에대한책임은약

정또는법률에명확하게기술되어야한다.

각국정부는암호정책의조정을위해협력한다. 이를위하여부당한무역장벽

을제거하며, 암호정책이라는이름으로무역장벽을만드는것을막아야한다.

자유로운암호기법의선택

(Choice of Cryptographic Methods)

시장원리에의한암호기법의개발

(Market Driven Development of

Cryptographic Methods)

암호기법의표준

(Standard for Cryptographic Methods)

사생활과개인정보의보호

(Protection of Privacy and

Personal Data)

합법적인암호정보의액세스

(Lawful Access)

암호서비스제공자와암호키사용자의책임

( L i a b i l i t y )

암호이용의활성화를위한국제협력

(International Co-operation)

내 용

1) CNSS(Committee on National Security Systems) : 국방부를주축으로각주요정부기관이참여하는위원회로국가안보와관

련된암호이용정책을수립함

2) [CNSS Policy No. 15, FS-1, 2003. 6.] National Policy on the Use of the Advanced Encryption Standard(AES) to Protect

National Security Systems and National Security Information

정보보호9월 2003.9.16 1:3 PM 페이지9

정보보호뉴스| 12 2003_ 09_ 13

I T기술의발전및정보화로인한가상공간의출현으로암호의가치가변화되었다. 개인적인의사소

통, 재화와서비스의생산·판매, 레저활동, 교육및진료등현실공간에서이루어지던일상생활이가

상공간에서행해짐에따라온라인상에서상대방의동일성확인, 정보의기밀성및무결성등가상공간

에서의보안의수요가증가하게되었다. 이러한보안을충족시킬수있는암호는정보사회발전의기본

필수요소로서산업적 가치를가지게되었다. 즉, 과거 국가기밀유지및 군사목적만을위한 암호에서

정보사회기반으로서의산업적가치를갖는암호로용도가확장되었으며, 암호의사용주체가국가기

관에서일반국민으로확대되었다.

미국은이러한암호의가치변화에따른암호의중요성을 인지하고암호산업에있어서도자국의경

제적·기술적우위를유지하기위한암호정책을펴오고있다. 특히, 암호제품및기술의수출규제정책

을통하여미국내암호이용정책에간접적으로영향력을행사해왔다.

미국의 암호제품/ 기술 수출관리 담당기관

현재상무부산하의산업보호국(the Bureau of Industry and Security)에서상용암호제품수출을통

제하고 있다. 1996년부터수출관할권이국무부에서상무부로이관되면서수출관리국(BXA, Bureau

of Export Administration)이암호제품수출규제정책을발표하게되었다. 2002년4월1 8일상무부는

B X A를 BIS(Bureau of Industry and Security)로개칭하였다. 이를계기로업무영역을확대하였는데,

B I S는 국가안보에영향을 미치는 산업부문에대한수출허가및 규제업무뿐만아니라 국가안보유지

및국가주요기반시설보호등의임무도아울러담당하게됨으로써국가보안, 국토보안, 경제보안및사

이버보안의보다다양한영역에서활동하게되었다[1].

B I S는 대외 정책 및 경제적 이익을 증진시키고 미국의 국가안보를 강화시키는 것을 목표로 하며,

B I S의핵심임무는다음과같다.

- 암호를포함한민감한상품및기술등이중용도품목의수출규제관리,

- 주무부서간의국토보안활동조정(국가주요기반시설보호를위한연방정부간, 공공-민간부분의협력을조장) ,

- 미국생산전략물자의화학무기금지협약(CWC : Chemical Weapons Convention) 등을포함한대

량살상무기금지협약준수유도,

※C W C는1 9 9 7년에체결되었으며, 한국은1 9 9 8년에가입하였으며, 현재회원국은1 5 0개국임

- 대외무역강화선두(수출규제및무역전략의쟁점사항에대해다른나라와협력하거나다른나라를조

력) 등

암호수출규제 정책

1. 암호수출규제의목적

정보의기밀을유지하기위해사용되는암호품목은미국수출통제체제의통제대상품목이다. 미국의

암호수출규제정책의목적은국가안보, 대외정책및법익을보호하고자하는것이므로, 미국정부는악

의를가진해외이용자가미국의국가안보, 대외정책및법집행의권익에위해를가할목적으로악용될

소지가있는암호제품/기술을수출통제체제의통제대상품목으로규정하고있다. 미국정부는지금까지

의세계경제에서의미국의위상을확고히하기위해서는암호기술의발전을선도하는미국기업이세

계시장에서암호기술의경쟁력우위를지속할수있도록하는행정부의정책이필요하다고판단하고

있다. 또한미국의국익을보호할수있도록하기위해암호제품의수출통제가필요하다고생각하고있

다[2]. 이와 같은 미국정부의 의도를 내포한 암호정책의 내용을 1 9 9 6년 1 1월 1 5일 대통령령

(Executive Order 13026)으로발표하였다

2. 암호수출규제정책의방향[ 3 ]

•대외정책의목표에도달: 1996년에발표된대통령령(Executive Order 13026)에따라상용암호

품목에대한기술검토절차를마련하고, 미국의안보와대외정책에반하는지역으로의암호수출을

제한토록암호수출통제정책을변경

•대외정책의목적에부합: 군사시설동요, 미국목표의국제적테러및범죄등에악용될수있는암

호수출을금지시키고자하는대외정책의목적에부합하도록다자간수출규제체제준수, 해외거주

미국시민보호, 자국내주요기반자산보호등을위해암호수출정책을수립

•국제협약의회원국과의동조: 미국정부는이들의무역및보안부분의파트너들과더불어새로운

기술및표준을개발하고, 사이버범죄를예방하고, 전자상거래를촉진하고, 공공의안전및대외정

책의이익에해를입힐수있는품목을금지하는것이바람직한대외정책방향임을공동으로인식

하여고도의복잡한암호제품의생산능력을갖춘동맹국들과의협력을촉구. 즉, 바세나르협정의

회원국및EU 회원국과공조하여미국의암호수출규제정책을집행

•미국산업에미치는경제적영향고려: 미국기업의세계시장에서경쟁우위를유지할수있도록미

국산업체의엄격한 규제가 되는 사항들을고려하여 이를 완화하는방향으로 암호정책을변화해

S P E C I A L R E P O R T

미국 암호수출규제정책동향

S P E C I A L R E P O R T

전길수_이용보호기획팀선임연구원( k s c h u n @ k i s a . o r . k r )

권현조_이용보호기획팀연구원( h c k w o n @ k i s a . o r . k r )

정보보호9월 2003.9.16 1:3 PM 페이지11

2003_ 09_ 15정보보호뉴스| 14

나감. 단, 국가안보, 대외정책의이익, 공공안전의보호를최우선의기본원칙으로함

•효과적인암호수출규제정책집행: 대형제품의일부구성요소로탑재되거나인터넷을통해거래되

는암호제품/기술의특성으로인하여, 이에대한거래를정확하게파악하는것은어렵기때문에, 수출

자가거래기록을스스로남길수있도록유도하는방안마련(현재미국은수출규정을어긴수출자에

게벌금형을내리고있으며, 2002년상무부는전체2 3만달러의벌금형을내린바있음)

미상무부는암호수출규제정책으로인하여미국산업계에미치는실제적인영향을파악하고산업체

의의견을수렴하기위하여규제절차기술전문위원회(RPTAC, Regulations and Procedures Technical

Advisory Committee), 정보시스템기술자문위원회(ISTAC, Information System Technical Advisory

Committee), 네트워크보안연합(NSA, Network Security Alliance), 미국인전자협회(AeA, American

Electronic Alliance) 등 4개의자문기구를운영하고있다.

3. 암호수출규제정책의변화

가. 1996년일반산업용통제대상으로서의암호품목[ 4 ]

미국대통령령(Executive Order 13026)에따라1 9 9 6년 1 2월13, 30일두차례에걸쳐미국의수출

관리규칙(EAR, Export Administration Regulation)의Part 742를개정하였다. 암호수출에관한사항은

EAR 15 C.F.R. Parts 730-774, Section 740.13, 740.17 및7 4 2 . 1 5에규정되어있다.

개정의주요내용은미국 군수전략물자목록(U.S Munition List)에속해있던이중용도품목인암호품

목을일반산업용품목통제대상목록(CCL, Commerce Control List)으로이관하여수출을통제하기로

한 것이다. 또한1 9 9 5년 이전에 키위탁 암호제품에대해국무부가군수전략물자로취급하여수출시

엄격하게통제하였으나, 키위탁암호제품의 수출규제를완화하기 위해서 키위탁 암호제품도 C C L로

이관하면서상무부가이에대한수출을통제하기로하였다. 따라서상무부는캐나다를제외한모든전

지역으로키위탁암호제품을수출할경우이에대한수출허가를받도록하였다. 단, 국무부장관이지

정한테러지원국인쿠바, 이란, 이라크, 북한, 리비아, 수단및시리아등7개국으로수출은금지되어있

다. 일반적으로암호품목의수출을효율적으로관리하기위하여 최소규제원칙에따라수출허가를면

제해주는규정을마련하여B X A의수출허가없이암호품목을수출할수있도록하였으나키위탁암호

제품은여기서제외되었으며, 대량판매용품목대상에서도제외되었다. 즉, 모든키위탁암호제품은무

조건B X A의수출허가를받아야수출할수가있게되었다. 1996년1 2월3 0일에상무부는키복구기능

을지원하는키관리기반구조의구축이과도기라판단하여1 9 9 8년1 2월까지는B X A의기술검토를마

친 5 6비트이하의D E S를탑재한암호품목의수출을허용하기로하였다. 1998년1 2월에키위탁암호

제품의수출제도를합리적으로변화시키기위하여B I S의기술검토를마친키위탁암호제품중 E C C N

5 A 0 0 2와5 D 0 0 2에해당하는암호제품의수출허가를면제하는규정을추가하였다. BIS는기술검토를

신청한키위탁암호제품이“수출가능한키위탁또는키복구제품선정기준”을만족시키는지를확인

한다.

암호품목을군수전략물자목록에서C C L로이관하면서E A R를개정한것은미국이새로운암호수출

통제체제를제시한것으로미국의암호수출규제정책의가장큰변화로서평가된다. 미국정부는미국

시민이자국과해외에서 프라이버시보호, 지적재산권보호, 가치있는 정보의보호등의수단으로서

강한수준의암호제품을좀더쉽게이용할수있도록다음세가지의암호수출규제원칙을제시함으로

써새로운암호정책을수립하였다.

나. 2000년수출자유화정책선언

2 0 0 0년7월1 7일, 미국백악관은암호품목의수출규제정책에대한합리화를추구한다고발표함에따라

상무부와B I S는동년 1 0월1 9일E A R을개정하였다. 개정된EAR Part 740.17의규정에따라EU 회원국,

호주, 체코, 헝가리, 일본, 뉴질랜드, 노르웨이, 폴란드및 스위스등으로ECCN 5A002, 5B002, 5D002,

5 E 0 0 2에해당하는암호품목을수출하는경우, BIS의기술검토를통과한품목에한해수출허가를별도로

받지않아도된다. 단, 암호해독관련장비는개정된규정에서제외된다. 미국은수출후보고체계를갖춤으

로써수출허가를별도로받지않고수출한품목에대해수출업자로하여금수출후보고서를년2회씩제

출하도록함으로써전반적인수출현황을효율적으로파악할수있게되었다.

다. 2002년바세나르체제의이중용도품목의규격수용[ 3 ]

또다른하나의미국암호수출규제정책의큰변화로다자간수출규제를효과적으로유지하기위하여,

2 0 0 2년6월6일상무부는바세나르체제관련이중용도품목의규격및성능을반영하여E A R을재개정

하였다. 1998년1 2월이전까지미국은바세나르협정의내용을따르지않고그보다강력한규제정책을

적용해왔다. 그러나미국의강력한수출규제정책으로인하여“미국기업이외국으로제품을판매하거

나기술을이전하려고할때많은제약을받고있고이에따른비용도많이소모된다”는대기업의자문

및관계기관의재검토결과에따라미국정부는암호제품/기술에대한수출규제정책을추가로완화하

기로한것이다. 즉, 64비트를초과하는대칭암호알고리즘을탑재한대량판매용암호제품에대해수출

및재수출을허용하기로하였다. 이러한내용을E A R의ECCN 5A992와5 D 9 9 2에명기하였다. 단수출

업체또는재수출업체는수출이전에상무부와N S A에게3 0일간기술적검열을받아야하며, 기술검토

를받은대량판매용암호제품에대해는수출허가신청및수출사후보고를하지않아도된다. 하지만테

러국가 및테러지원국가로 지정된위험지역및 제재조치가가해진 사람에게암호제품/기술을수출할

경우수출허가를사전에받아야하는암호정책은그대로유지되었다.

S P E C I A L R E P O R T

S P E C I A L R E P O R T

암호수출규제원칙

첫째, 판매이전에상용암호제품에대한기술검토를실시하고,

둘째, 암호제품의수출국관리를위한“수출사후보고체계”를갖추며,

셋째암호수출허가절차및암호제품판매금지권한을정부에게합법적으로부여한다.

정보보호9월 2003.9.16 1:3 PM 페이지13

정보보호뉴스| 16 2003_ 09_ 17

4. 미국의암호제품수출허가현황

2 0 0 3년6월현재까지B I S가유지·관리하는C C L은핵물질, 전자, 컴퓨터, 통신·정보보안, 레이저·센

서등 1 0개로분류되며각분류에속하는품목은①장비, 조립품, 부품(A), ②시범장비및생산장비(B), ③

재료(C), ④소프트웨어(D), ⑤기술( E )등5개그룹으로구성되어있다. CCL에속하는품목은영문자와숫

자를조합(숫자1 _영문자_숫자2 _숫자3 _숫자4, 예: 3A001)하여표기하며, 이러한기호를E C C N ( E x p o r t

Control Classification Number)라한다. 첫번째숫자는해당분류를의미하며, 영문자는해당그룹을의미

하고, 두번째숫자는수출통제의이유를의미한다. 마지막네번째숫자는E C C N의일련번호를매기는데

이용한다. 예를들어2 A 2 9 2는재료처리를위한장비, 조립품또는부품으로핵확산금지이유로수출을통

제하는품목에해당된다. 이러한사항은EAR 15 C.F.R Part 738.1에서규정하고있다[5]. EAR의C C L에

해당하는통제대상품목중에서암호관련품목을표에서나타내었다.

미국상무부가발표한통계자료에따르면2 0 0 2년의수출허가현황, 기술검토결과및수출규제대상

판정결과는다음과같다. 또한인터넷을통한무료다운로드가가능한암호소스코드건수는2 4 2건으

로발표하였다[3].

S P E C I A L R E P O R T

S P E C I A L R E P O R T

[표1] 미국암호수출규제정책의변화

날 짜 주요 내용

9 6 . 1 2 . 1 3 [61 FR 65462 : 키위탁암호장비및소프트웨어에대한수출허가제도]

•키위탁암호제품에대한국가통제의무를부과

•키위탁암호제품을최소규제원칙규정및대량판매용대상품목에서제외

•공개가능한키위탁소프트웨어를암호수출규제대상으로지정

9 6 . 1 2 . 3 0 [61 FR 68572 : 암호품목을C C L로이관]

•1 9 9 6년1 1월1 5일대통령령(E.O 13026)에따라군수전략물자목록에있던암호품목을C C L로이관

•향후2년간5 6비트DES 및이와동등한수준의암호알고리즘을탑재한암호품목의수출을허용.

※단이러한암호품목은키위탁및키복구기능을갖는암호품목의사용및키관리기반구조구축을

위해사용되어야함

9 8 . 0 9 . 2 2 63 FR 50516 : 수출허가대상의암호품목]

•은행업무및금융거래목적의일반암호상품및소프트웨어인경우, 키복구기능이없어도수출하는것

을허용

9 8 . 1 2 . 3 1 [63 FR 72156 : 수출허가대상의암호품목]

•미국기업의해외지사, 보험회사, 건강의료최종사용자에게암호품목을수출하는것을허용

0 0 . 0 1 . 1 4 [65 FR 2492 : 수출허가대상의암호품목개정]

•1 9 9 9년9월 1 6일미국정부의새로운암호정책발표에따라테러지원국을제외한모든지역에있는개

인, 기업및민간부문의최종사용자에게로암호품목을수출하는것을허용

•수출사후보고체계를갖추어수출현황을관리

0 0 . 1 0 . 1 9 [65 FR 62600 : 수출허가대상의암호품목재개정]

•2 0 0 0년7월 1 7일미국정부의암호수출규제완화정책발표에따라EU 회원국을비롯한2 3개국으로기

술검토를받은암호품목에한해별도의수출허가없이수출하는것을허가

•테러지원국7개국에대한수출금지규정은유지

0 2 . 0 6 . 0 6 [67 FR 38855 바세나르협정의수준으로규제완화]

•바세나르협정수준으로암호수출규제완화: 64비트를초과하는대량판매용암호품목에대해1회기

술검토후별도의수출허가없이수출을허용

•ECCN 5B002에해당하는암호품목도수출허가예외규정에적용

0 3 . 0 6 . 1 7 [68 FR 35783 : 기술검토신청안내지침제공]

•개인사용용도로개인이해외여행시수반하는암호제품의경우수출이가능하나테러지원국7개국에

대해서는금지

•암호기능을내장한스마트카드를수출허가대상에서제외. 따라서별도의수출허가가필요없어기술

검토후수출이가능

•암호기능을내장한단거리무선장비로소매용또는대량판매용인경우최소규제원칙을적용

•수출업자가기술검토신청시필요한정보를정확히제공할수있도록지침마련

[표2] 미국암호수출규제정책의변화

분 류 E C C N 대 상 품 목 수출통제 이유

장비, 시스템등 5 A 0 0 2 통제대상품목을내장하고있는시스템, 장비, 국가안보, 테러방지, 암호품목

조립품, 전자부품, 모듈, 컴포넌트및I C

5 A 9 9 2 5 A 0 0 2에따라통제받지않는장비 테러방지

시험및점검장비 5 B 0 0 2 정보보안용시험장비, 생산장비, 점검장비 국가안보, 테러방지

소프트웨어5 D 0 0 2 정보보안용소프트웨어 국가안보, 테러방지, 암호품목

5 D 9 9 2 5 D 0 0 2에해당하지않는정보보안용소프트웨어 테러방지

기술 5 E 0 0 2 5A002, 5B002, 5D002에해당하는장비의개발, 국가안보, 테러방지, 암호품목

생성, 이용을위한기술

5 E 9 9 2 5 E 0 0 2에해당하지않는정보보안기술 테러방지

2 0 0 2년 신청수량 허가수량 거절수량 반송수량 승인률( % )

수출허가 5 2 9 3 9 1 1 1 1 2 7 7 4

주1) 기술검토대상품목은암호제품및기술력향상에따라계속변경됨. 2001년에는1 4 0 5개였음

주2) 소매용으로판정된암호품목은수출허가신청없이수출할수있는자격을가짐

[표3] 2002년수출허가현황

2 0 0 2년 대상품목수량1 ) 신청품목수량소매용으로판정된 소매용암호품목

암호품목2 ) 수량 판정률( % )

기술검토 1 5 3 8 9 1 5 6 8 6 7 5

[표4] 2002년기술검토실시결과

[1] http://www.bxa.doc.gov

[2] 정보통신정책연구원, “암호활용촉진을위한법제도정비방안”, 1999.12

[3] 미국BIS, “2003 대외정책보고서”, http://www.bxa.doc.gov/news/2003/ForeignPolicyReport

[4] 68572 Federal Register/Vol. 61. No.251, 65464 Federal Register/Vol. 61. No. 241

[5] http://w3.access.gpo.gov/bis/ear/ear_data.html

2 0 0 2년 ECCN 해당여부 ECCN 대상암호품목총 ECCN 해당품목의

판정신청수량 수량(누계) 수출허가수량

수출규제대상판정/등록 2 7 7 5 2 9 9 5

[표5] 2002년ECCN 암호품목판정결과

정보보호9월 2003.9.16 1:3 PM 페이지15

2003_ 09_ 19정보보호뉴스| 18

I N FO S EC R ES EAR CH

한국정보보호진흥원의인터넷침해사고대응지원센터(사이버1 1 8 )는해킹·바이러스피해에대해 2 4시간상담과기술지원서비스를제공하고있습니다.

(02-118, www.cyber118.or.kr)

전완근 _ 인터넷침해사고대응지원센터연구원( w k j e o n @ c e r t c c . o r . k r )

7월의바이러스피해분석및8월의신종바이러스소개

7월 바이러스 피해의 특징˖̟ 한국정보보호진흥원과안철수

연구소, (주)하우리등 4개백신업체로부터 접수된7월 한달간바이

러스로인한피해건수는전월( 3 , 5 2 2건)의7 2 %인 2 , 5 5 0건이다. 이수

치는 전월에 비해 9 7 2건 감소한 것으로 메일을 통하여 전파되는

Yaha, Klez.H 등과같은인터넷웜으로인한국내네티즌들의피해가

감소되었기때문이다. 2001년2월부터올해7월까지의월별국내바

이러스피해접수현황과7월의Top 10 바이러스는다음(그림), [표]

과같다.

8월신종바이러스˖̟

o 블래스터( W 3 2 . B l a s t e r )웜(국외8월1 1일경발견, 국내유입)

블래스터( W 3 2 . B l a s t e r )웜이국외에서8월1 1일경에발견되자마자국

내로바로유입되어네티즌들에게많은피해를입혔다. 이번에발견

된블래스터웜은주로윈도우즈 X P / N T / 2 0 0 0의RPC(135 포트) 취약

점을이용해네트워크를통하여전파되었다.

다음그림은웜에의해감염된 P C에서다른 P C를대상으로하여공

격패킷을보내는모습이다.

그리고웜에감염된 P C에서웜의재전파를위해 1 3 5번포트에대한

스캔이발생하게된다. 또한, 웜에의해감염된사용자P C에는 백도

어 포트(TCP 4444 port)를열어놓은후 tftp 프로그램을사용해웜

원본파일인m s b l a s t . e x e를마스터서버에서다운받는다.

이웜으로부터피해를입지않으려면아래사이트에서RPC 취약점에

대한패치를받아적용하여야한다.

※각운영체제별패치사이트

- Windows NT 4.0

h t t p : / / w w w . k i s i s . o r . k r / w p / w i n N T 4 . 0 _ K O R Q 8 2 3 9 8 0 i . E X E

- Windows 2000

h t t p : / / w w w . k i s i s . o r . k r / w p / W i n d o w s 2 0 0 0 - K B 8 2 3 9 8 0 - x 8 6 - K O R . e x e

- Windows XP 32 bit Edition

h t t p : / / w w w . k i s i s . o r . k r / w p / W i n d o w s X P - K B 8 2 3 9 8 0 - x 8 6 - K O R . e x e

- Windows Server 2003 32bit Edition

h t t p : / / w w w . k i s i s . o r . k r / w p / W i n d o w s S e r v e r 2 0 0 3 - K B 8 2 3 9 8 0 - x 8 6 -

K O R

(그림) 월별국내바이러스피해접수현황( ' 0 1년2월∼' 0 3년7월) [표] 7월의Top10 바이러스

※자료제공: 한국정보보호진흥원(인터넷침해사고대응지원센터), 안철수연구

소, 하우리, 시만텍코리아, 한국트렌드마이크로

순위 바이러스이름 바이러스유형 피해건수 신종 국/외산 전월대비

1 F O R T N I G H T W o r m 3 2 1 × 외산

2 Y A H A W o r m 276 × 외산

3 V A L L A W o r m 1 5 9 × 외산

4 P A R I T E W o r m 151 × 외산

5 K L E Z . H W o r m 110 × 외산

6 L O V G A T E . F W o r m 1 0 5 × 외산

7 O P A S E R V W o r m 8 6 × 외산

8 R E D L O F W o r m 78 × 외산

9 L O V G A T E W o r m 71 × 외산

1 0 F U N L O V E V i r u s 6 9 × 외산

기타 기타 1 , 1 2 4

합계 2 , 5 5 0

※2 0 0 3년7월접수한총 1 , 3 9 4건중분석가능한 5 4 6건을토대로하여작성

※I S P는기타(개인)에포함됨

기관 건수

1 0 4

2 7

5

0

0

4 1 0

5 4 6

기업

대학

비영리

연구소

네트워크

기타(개인)

합계비영리1 %

기타(개인) 7 0 %

대학5 %

기업1 9 %

7월해킹사고의특징˖̟

7월의CERTCC-KR 신고접수특징은일반해킹사고와웜에대한사

고접수는 감소하였으나 스팸릴레이 관련 사고는 증가하였다. 메일

발송프로그램은과거에존재를하였지만Null 패스워드취약점과결

부하여 악의적 사용자가 발생하고있으므로이에 대한주의가필요

하다. 그리고N i m d a와 C o d e R e d와같은과거에발생한웜이감소한

이유는 개인 사용자들이 백신 이용과 백신엔진 업데이트 이용률이

증가한것으로판단되고있다.

또하나의특징은, 6월에는Windows 95/98 계열의비해가더높았으

나다시Windows NT/2000/XP 계열의피해가타운영체제에비해보

다높게나타났다. 이것은NT 계열의공유폴더관련취약점에의한사

고 증가가주요 원인인것으로파악되며Windows 사용자들의취약

점 패치및 Null 패스워드사용 점검은 지속적으로 필요하다는 것을

나타내고있다.

국내로부터의스캔탐지는지난6월보다전체스캔탐지건수가증가

하였다. 특히, 80, 139, 445 네트워크공유관련포트스캔 증가하였

다. 국외로부터의 스캔탐지는 지난 6월보다 약 1 / 8배 감소(558 ->

79) 현상을보였다. 특히 HTTP(80 포트)에대한스캔이상대적으로

많은증가를보인것은웹해킹콘테스트로인한결과인것으로추정

된다.

강준구 _ 인터넷침해사고대응지원센터연구원( j g k a n g @ k i s a . o r . k r )

7월해킹피해통계와주요특징

월별해킹피해˖̟

기관별해킹피해˖̟ 공격수법에따른해킹피해˖̟

※2 0 0 3년7월접수한총 1 , 3 9 4건중분석가능한 5 4 6건을토대로하여작성

※한사고에다수의공격수법이사용될수도있으며, 공격자에의해침입흔

적이삭제되어공격수법을분석할수없는경우가있음

구 분 건 수 비 고

사용자도용 3 개인사용자계정도용등

S/W 보안오류 0 -

버퍼오버플로우취약점 4 2 snmp, named/bind 등의취약점이용

구성·설정오류 3 9 9 사용자권한설정오류

악성프로그램 1 8 5 spida 웜, 윈도우즈트로이목마등

프로토콜취약점 0 -

서비스거부공격 1 서비스거부

E-mail 관련공격 3 5 3 스팸메일관련공격

취약점정보수집 1 7 1 named/bind, ftpd, rpc 취약점스캔

사회공학 0 -

구 분 2 0 0 2년2 0 0 3년

2 0 0 3년총계

일반해킹

합계

일반웜

스팸릴레

6 , 9 6 8

4 , 0 0 1

6 , 8 9 9

1 7 , 8 6 8

1월

1 , 1 2 0

9 7 4

4 6 9

2 , 5 6 3

6 , 6 8 4

2 , 9 7 1

5 , 5 3 7

1 5 , 1 9 2

2월

9 1 2

5 2 2

3 9 2

1 , 8 2 6

3월

9 3 4

1 , 1 5 8

1 , 3 0 8

3 , 4 0 0

4월

9 2 3

7 7 1

1 , 6 1 6

3 , 3 1 0

5월

1 , 0 1 2

2 2 1

1 , 9 0 4

3 , 1 3 7

6월

1 , 0 7 6

3 0 7

4 3 6

1 , 8 1 9

7월

9 9 1

4 8

7 7 4

1 , 8 1 3

※2002. 6월스팸릴레이6 , 8 5 1건대응현황은제외되었음.

※스팸릴레이는CERTCC-KR 접수분과홈페이지를통한원격점검시문제서버로판명된서버( 4 1 9개)들의합.

I NF OS EC R ES EA R C H

한국정보보호진흥원의인터넷침해사고대응지원센터(사이버1 1 8 )는해킹·바이러스피해에대해2 4시간상담과기술지원서비스를제공하고있습니다.

(02-118, www.cyber118.or.kr)

정보보호9월 2003.9.16 1:3 PM 페이지17

2003_ 09_ 21정보보호뉴스| 20

I N FO S EC R ES EAR CH

불법스팸대응센터는불법스팸에대한국민의고충을접수받아처리하고있습니다. (02-1336, www.spamcop.or.kr)

"I will not buy or use any Korean made products or services for

myself or my company until your spam problem is fixed."

한국발스팸으로인해세계속에 I T강국으로서의한국의이미지가상

처를입고있다.

2 0 0 2년초부터국내에서발송되는스팸메일로인한외국인들의민원

이계속폭주하고있다.(* 표 참조) 한국의 스팸이 해외로 전송되게

된가장큰 원인으로는 이메일주소자동수집 프로그램의대중적보

급을꼽을수있다. 이프로그램은한국의잘조성된인터넷인프라를

활용하여 전세계 웹사이트의 이메일주소를 무차별적으로 수집·스

팸메일을전송하는데사용되고있다. 용량큰메일도전송이용이한

환경 때문에 한국발스팸에는음란한동영상이 많이 포함되어있다

는특징이있다.

접수된 신고내용을보면, 스팸메일신고뿐아니라 한국과 한국인을

비하하는내용의불만을함께토로하고있고, 이는월드컵및부산아

시아게임이란국가적대사를성공적으로치룬한국의고양된이미지

를훼손할우려가크다.

독일의한웹사이트에는‘한국은스팸메일을가장많이보내는나라’라

는글이실렸으며, 미국의한웹사이트운영자는스팸메일발송을방치

한한국의ISP(Internet Service Provider)를상대로소송을준비중이며자

사웹사이트에‘한국스팸메일신고란’을마련하고회원들에게한국정

부에항의토록안내하고있다. 또한미국의한I S P업체는지난2 0 0 2년4

월한국의모 I S P를통해전송되어오는모든이메일을차단조치했음을

한국정보보호진흥원에통보해왔다. 더불어한국정부가적절한조치를

취하지않을경우, 업계공동으로한국이메일차단운동을벌일것이라

고경고했다. 외국의일부웹사이트(예, http://korea.services.net)에서는

한국의 I P를차단할수있는블록리스트(Block List)를일반이용자및

사업자에게제공하고있기도하다.

온라인특히전세계적네트워크인인터넷에서는상대에대한신뢰가

그 무엇보다 중요하다. 무질서한 스팸전송행위를 바로잡기 위해서

는무엇보다스팸전송자자신의각성및윤리가요구된다. 만약자율

적인정화가되지않을경우정부는국가보호차원에서보다강경한

스팸규제정책을펴게될것이다.

최윤정 _ 스팸대응팀연구원( a n n @ k i s a . o r . k r )

불법스팸신고유형별현황(2003. 7월)̟ ˖

유 형 접 수

(광고)등문구명기의무위반 2,203

한국에서불법스팸을전송(외국인의신고) 1 8 , 5 3 6

수신거부후동일한광고성정보를반복하여전송 6 8

청소년에게'청소년유해매체물'을광고하는정보를전송 2 3

수신거부를회피/방해하는기술적조치를취함 111

연락처자동생성프로그램등을이용하여광고성정보를전송 0

기술적장치를이용한이메일주소의수집, 판매, 유통또는이용 0

컴퓨터이용자의동의없이광고프로그램을설치 0

음성광고전송시미리광고성정보임을밝히지않음 0

휴대폰에광고성문자메시지를전송 3 , 9 7 3

합 계 2 4 , 9 1 4건

1 5 , 9 8 1

1 5 , 3 2 8

1 5 , 9 3 5

1 8 , 4 5 9

3 5 , 0 9 7

2 6 , 5 1 7

2 6 , 5 9 3

불법스팸민원접수현황 및 분석

4 0 , 0 0 0

3 5 , 0 0 0

3 0 , 0 0 0

2 5 , 0 0 0

2 0 , 0 0 0

1 5 , 0 0 0

1 0 , 0 0 0

5 0 0

-1월 2월 3월 4월 5월 6월 7월 8월 9월 1 0월 1 1월 1 2월

불법스팸상담및신고현황(2003. 7월)̟ ˖

구 분 상 담 신 고 합 계

2 4 , 9 1 4건

접 수 1 , 6 7 9건 (이중외국인신고 2 6 , 5 9 3건

건이1 8 , 5 3 6건임)

[표] 2003년월별불법스팸상담및신고접수현황

<참 고> 불법스팸대응센터(02-1336, wwww.spamcop.or.kr)

I N F OS EC R ES EAR CH

개인정보침해신고센터는각종개인정보침해사건에대해상담및피해구제를하고있습니다.(02-1336, www.e-privacy.or.kr)

정상호_ 개인정보보호팀연구원( j e o n g s h @ k i s a . o r . k r )

한달간접수된상담및피해구제현황(2003. 7월)˖̟

유형 신고 상담 계

이용자동의없는개인정보수집

개인정보수집시고지또는명시의무불이행

과도한개인정보수집

고지·명시한범위를초과한목적외이용또는제3자제공

개인정보취급자에의한훼손·침해또는누설

개인정보처리위탁시고지의무불이행

영업의양수등의통지의무불이행

개인정보관리책임자미지정

서비스제공자의안전성조치미확보

수집또는제공받은목적달성후개인정보미파기

동의철회·열람또는정정요구불응

동의철회, 열람·정정을수집방법보다쉽게해야할조치미이

행

법정대리인의동의없는아동의개인정보수집

타인정보의훼손·침해·도용

기타

4

1

1

6

5

0

0

0

3

5

2 9

8

3 2

3 5 2

1 7 4

6 2 0

1 7

1

1

1 5

1 8

0

0

0

4

6

5 5

1 5

5 2

5 3 0

3 6 6

1 , 0 8 0

2 1

2

2

2 1

2 3

0

0

0

7

1 1

8 4

2 3

8 4

8 8 2

5 4 0

1 , 7 0 0

[표] 2003년월별개인정보상담및신고접수현황

1 , 7 4 6

1 , 4 5 4

1 , 2 6 6 1 , 2 1 6

1 , 3 1 3

1 , 4 0 1

1 , 7 0 0

개인정보침해상담·피해구제현황및분석

2 0 0 0

1 8 0 0

1 6 0 0

1 4 0 0

1 2 0 0

1 0 0 0

8 0 0

6 0 0

4 0 0

2 0 0

01월 2월 3월 4월 5월 6월 7월 8월 9월 1 0월 1 1월 1 2월

스파이웨어( S p y w a r e )는 인터넷이나 P C통신에서 무료 공개 소프트

웨어를내려받아설치할때자동적으로 함께 설치되면서개인의 중

요한 정보를 상대방에게 알려주는프로그램을 말한다. 이 프로그램

은본래미국의인터넷광고전문회사인라디에이트에서개인사용자

의취향을파악, 광고주에게제공하기위해개발한것으로서공개소

프트웨어의 광고효과를 알기 위해 컴퓨터 사용자 이름이나 I P주소,

방문한웹사이트목록, 클릭한배너광고등의정보를미리설정된특

정서버로보내는역할을한다.

현재‘고질라’, ‘M P 3플레이어2 0 0 0’, ‘미디어플레이어’, ‘옥션익스

플로러’등웹에서다운받아사용할수있는유명무료프로그램이나

쉐어웨어의 상당수가 스파이웨어를 내장하고 있으며, 리얼주크박

스·리얼플레이어등실시간오디오및 동영상재생프로그램을제

공하는리얼네트워크의경우소프트웨어이용자들이어떤노래를듣

고어떤영화를보는지모두수집하고있는것으로알려졌다.

최근에는 스파이웨어만을 찾아내 삭제해주는 소프트웨어도 등장하

고있으나, 스파이웨어 기능이 있는 소프트웨어 대다수가 스파이웨

어를제거할경우작동이안되는경우가많다.

스파이웨어를 통한 개인정보수집은 대부분 프로그램을 설치할 때

개인정보수집에대한동의를받지않거나, 이용약관상에기재되어

있더라도 이용자가 이를 읽지 않고 사용동의를 함으로써 이용자가

스파이웨어등의설치여부를알수없는상황에서개인정보가유출

된다는데 문제가 있다. 또한, 스파이웨어는 단순 광고 모니터링을

위해 만들어졌지만 최근 스파이웨어의 기술 응용이 무한적으로 확

산되고있어악의적으로사용될경우사용자이름, IP 주소, 사용자

의인터넷접속기록, URL리스트, 다운로드받은파일정보, 개인I D ,

패스워드 등다양한 정보를몰래빼내어 지정된곳으로보낼 수있

다.

현행정보통신망법에스파이웨어를통한개인정보수집행위를규제

하는직접적·명시적인규정은없으나, 공개소프트웨어설치시스파

이웨어를통한개인정보수집에대해개별적인동의를받지않았다면

정보통신망법제2 2조제1항위반으로써과태료처분대상이된다.

스파이웨어를통한개인정보수집의문제점˖̟ 외국인에게까지무차별적으로뿌려지는한국發스팸메일˖̟

정보보호9월 2003.9.16 1:3 PM 페이지19

2003_ 09_ 23정보보호뉴스| 22

인도I T시장매년30% 성장

인도IT 시장이해마다2 7 . 9 %씩성장해 2 0 0 6년에는 4 2 6억달러( 4 9

조5 7 0 0억원) 규모에이를것이라고정보기술전문시장조사기관아이

디시( I D C )가 3 0일밝혔다. 정보기술에대한인도의총국내지출은해

마다2 1 %씩늘어3년안에 1 2 1억달러( 1 4조2 8 0 0억원)에이르고, 전체

정보기술시장에서수출이 차지하는몫도지금의 65% 수준에서7 1 %

로증가할것으로예상됐다.

<한겨레, 2003/08/01>

FTC, P2P 사용조심하라

미국연방통상위원회( F T C )가파일교환(P2P) 소프트웨어의소비자

사생활침해가능성을강력경고했다. FTC는소비자들이P2P 소프트

웨어를 설치또는사용할때개인정보유출이나 바이러스감염, 불법

파일공유, 정상파일로위장된음란물다운로드등의 문제를일으킬

수있다고경고했다. 한편F T C는△P 2 P를사용할때개인정보가담긴

파일들을공유하지 않도록 조심할것 △인터넷 사용습관을 기록하는

스파이웨어설치에유의할것등의내용이담긴소비자보호요령도함

께발표했다.

<전자신문, 2003/08/01>

해킹등미수범도형사처벌

내년부터해킹을시도하다적발된사이버범죄미수범도최고징역

3년, 벌금3 0 0 0만원의형사처벌을받는다. 정보통신부는정보보호규

정과 개인정보 유출방지 규정을대폭 강화한 정보통신이용촉진및정

보보호에관한법률개정안을마련, 입법예고했다. 개정안은정보보호

사전평가제, 해킹시도에대한형사처벌 범위확대등의 내용을담고

있다.

<파이낸셜뉴스, 2003/08/02>

행자부, 전자정부국만든다

행정자치부가 전자정부국 신설을 추진함에 따라 전자정부를 포함

한국가정보화기획기능을수행해온정보통신부정보화기획실의기

능과 조직에적잖은변화가 예상된다. 이와 관련, 행자부는 전자정부

를 총괄하고 정통부는 국가정보화의 프로젝트매니저( P M )에 집중해

역할을분담하는쪽으로가닥을잡은것으로알려졌다.

<전자신문, 2003/08/07>

통신, 게임사기범죄극성

경찰청은올들어7월말까지일어난사이버범죄4만4 2건중통신, 게

임사기가2만2천3백2 9건으로5 5 . 8 %를차지했다고밝혔다. 이는지난

해같은기간의1만7천1백4 4건에비해 3 0 %나늘어난수준으로전자상

거래및온라인게임이활성화되는추세를반영한것으로분석되고있다.

<한국경제, 2003/08/08>

정보통신부정보화예산절반수준삭감

산업자원부와 정보통신부의 내년도 중소기업 정보화사업 예산이

기획예산처의심의결과올해절반수준인것으로확인돼이같은감축

안이 확정될 경우 이들 부처의 정보화 정책의 궤도 수정이 불가피할

전망이다. 기획예산처의 심의결과 정보통신부의 소기업 네트워크화

사업은올해 3 5 0억원에서내년도1 7 4억원으로, 산자부의중소기업I T

화사업도올해 3 3 0억원에서내년도1 7 5억원으로각각축소됐다.

<디지털타임스, 2003/08/12>

인도, 첨단사이버보안연구센터설립

인도의 유명한 기술연구소와 보안회사가 사이버테러 위협에 대처

하기위해사이버보안기술을 개발하는 최첨단 사이버보안 연구센터

를 설립한다. 이번 연구센터 설립에는 인도 최고의 연구소로 불리는

인도기술연구소( I I T )와 IT 보안회사인 아이폴리시네트웍스가 참여한

다. 연구소는I I T가위치한칸푸르지방에곧세워질예정이다.

<디지털타임스, 2003/08/14>

美'개인우편물정보추적' 논란

미국정부가추진중인개인우편물정보추적시스템도입계획이시작

단계에서부터강한반발에부딪혔다. 미대통령직속자문위원회는최근

보고서를내고부채에시달리는자국정부기관들의경영상태를개선하

기위해정보기술( I T )을활용할것을권고하면서이방안의하나로미우

정공사( U S P S )에대해지능형메일시스템을도입할것을주문했다.

<전자신문, 2003/08/18>

사이버범죄1 0대전과자급증

온라인게임확산과더불어1 0대사이버전과자가폭발적으로늘고

국내외 기술·정책 동향

조 화 _ 교육홍보팀연구원( j o h w a @ k i s a . o r . k r )

I · n · f · o · s · e · c · T · r · e · n · d I · n · f · o · s · e · c · T · r · e · n · d

있다. 특히1 0대청소년들은범죄에대한인식이부족한상태에서자

신도모르는새전과자가되고있어, 이에대한대책이시급하다는지

적이일고있다. 경찰청사이버테러대응센터통계를보면, 2000년6 7 5

명에그치던 1 0대사이버범죄자는 2 0 0 1년 2 1 9 3명, 2002년 8 2 0 5명으

로늘어났다. 올해는지난6월말현재 5 3 5 0명으로, 연말까지1만명을

돌파할것으로예상되고있다. 전체사이버범죄자의연령별비율에서

도 1 0대가2 0 0 0년31%, 2001년40%, 2002년38% 등가장큰비중을

차지하고있다.

<한겨레, 2003/08/19>

국민은행, 인터넷뱅킹분야정보보호국제표준획득

국민은행은국제표준인증기관인영국표준협회( B S I )로부터국제정

보보안표준규격인ISO17799/BS7799 인증을획득했다. BS7799 인증

은 영국표준협회에서제정한국제보안표준규격으로현재약 3 0개국

3 0 0여개기업이인증을획득했으며국내에서는삼성전자, LG카드등

1 3개회사만이인증을획득했다.

<전자신문, 2003/08/11>

정보보호기술, 미수자원공사에IDS 공급

정보보호기술은 미국 캘리포니아주 랜초 지역의 수자원공사에 침

입탐지시스템( I D S )인테스(현지브랜드명`세코쉴드' )를공급했다.

<디지털타임스, 2003/08/11>

하우리, 백신내달부터유료화

컴퓨터백신업체하우리는빠르면내달부터국내처음으로전용백

신 유료화를 실시할 예정이다. 이는 웜이나 바이러스, 트로이목마등

악성 해킹 프로그램에 대한 전용 치료백신을 개인사용자들에게무료

로공급해오던백신업계의관행을뒤엎는것이다. 전용백신의유료화

는 세계적으로도 드문 일이어서 국내시장에서 조기에 정착될지 주목

된다.

<한국경제, 2003/08/22>

트렌드마이크로, 국내에바이러스연구센터설립

트렌드마이크로는국내보안전문업체인한국정보보안센터와협력

해바이러스연구센터를만들예정이다. 트렌드마이크로는이연구센

터를 국내는 물론 세계 주요 지역에서 바이러스 침투 등에 신속하게

대응하는전초기지로활용할계획이다.

<전자신문, 2003/08/26>

KISA, 기무사와정보보호협력협정맺어

- 군정보보호수준향상에획기적인전기마련-

K I S A가국군기무사령부(사령관송영근, 이하기무사)와정보보호분

야에서상호협력키로하는협정을체결했다. 민간정보보호전문기관

이 군 정보보호를 총괄하는 기무사와 협정을 맺기는 이번이 처음이

다. 김창곤K I S A원장과 송영근기무사령관은2일기무사대회의실에

서양기관간부들이배석한가운데<정보보호교류협력협정서체결

식>을갖고협정서에서명했다. 이협정서는▲해킹바이러스등정보

통신망 침해사고대응▲인증등정보보호핵심분야교육훈련▲학

술활동 ▲정보보호첨단기술연구등여러분야에서두기관이상호

협력한다는것을골자로하고있다.

이번협정서체결을계기로기무사는국내유일의정보보호전문기

관인K I S A가그간축적해놓은정보보호역량을공유할수있는기반

을마련한것으로평가된다. 또K I S A는군정보보호전문기관과의지

식및인력교류등을통해군정보보호발전에기여할뿐만아니라기

관의대외적위상을한층높일수있을것으로기대하고있다.

부경대학교W.A.P 최우수정보보호동아리에

K I S A는대학동아리정보보호활동지원사업결과, 최우수정보보

국 내 외 업 계 동 향

한국정보보호진흥원 동향

윤준범_ 교육홍보팀연구원( y j b @ k i s a . o r . k r )

정보보호9월 2003.9.16 1:3 PM 페이지21

2003_ 09_ 25정보보호뉴스| 24

I · n · f · o · s · e · c · T · r · e · n · d

호동아리에 부경대학교『W . A . P』을 선정했다. 부경대학교의『W . A . P』

은자바카드기술을응용한스마트카드어플리케이션개발솔루션에

대한연구활동과대내외 봉사활동 실적을 인정받아정보통신부 장관

상수상의영예를안았다. 이밖에우수상은한동대( G H O S T )와관동대

( H A C K E R S )가, 장려상은한국항공대(I.D.T), 고려대(OPERATOR), 연

세대( P O O L C )가, 그리고 특별상은 경희대( N E T )가 차지하였다. 대학

동아리의연구활동뿐만아니라학내망의보안성점검, 초중고 및중

소기업에대한정보보호봉사활동등을종합하여선정된우수정보보

호동아리는 인식이 취약한 정보보호 분야의 저변확대와 인식제고에

큰역할을할것으로기대된다.

※최우수상(정보통신부장관상): 부경대학교

우수상(한국정보보호진흥원장상): 한동대학교, 관동대학교

장려상(한국정보보호진흥원장상): 한국항공대학교,

고려대학교, 연세대학교

특별상(한국정보보호산업협회장상): 경희대학교

발빠른대응으로블래스터공포물리쳐

- 웜퇴치에민·관삼박자공조체제과시

긴밀한민·관공조에힘입어블래스터웜의확산이감소추세로돌

아섰다.

1차웜확산에이어지난 1 6일0시로예고되었던블래스터웜의분

산서비스거부공격(사이트를 마비시키는 집중공격) 위협이 민·관의

발빠른대응으로무력화되었다. 15~17일연휴기간중비상대응체제

를가동해온 K I S A의인터넷침해사고대응지원센터(본부장김우한)는

1 7일“MS 윈도업데이트 사이트에대한분산서비스거부공격위협이

사라짐에 따라 웜(W32.Blaster.Worm) 확산이현저하게 감소되었다”

고발표하고변종웜이확산될가능성에대비하여국제관문국의해당

경로를철저히감시중이라고말했다.

보안전문가들은우리나라블래스터웜의피해가상대적으로적을

수있었던것은▲신설된인터넷침해사고대응지원센터가웜대응총

괄을맡아민·관공조가확실하게이루어졌으며▲웜발생초기정보

통신부가언론의협조를얻어신속하게대국민홍보를펼친데다▲한

국통신을비롯한 1 5개인터넷망운영자(ISP), 한국마이크로소프트, 안

철수연구소·하우리등주요백신회사등이 K I S A와긴밀한협조체제

를유지했기때문인것으로분석했다.

KISA, 세계최초로외국인전용신고사이트개설

한국어불법스팸에대한신고처리를맡을세계최초의외국인전용

신고사이트가등장했다. KISA는최근외국인에게무분별하게발송되

고 있는 한국발 불법스팸을 효과적으로 단속할 신고 사이트

( w w w . s p a m c o p . o r . k r )를KISA 불법스팸대응센터내에개설하고1 3일

부터본격적으로외국인의신고를접수한다고밝혔다. 이사이트개설

로 외국인들을 위한신고창구가확보됨으로써 해외로무분별하게발

송되고있는음란성광고등국가위신을실추시키는한국어불법스팸

에대한대응활동에획기적인전기가마련될것으로기대된다. 불법스

팸대응센터관계자는외국인이신고해온내용을조사하여법위반사

실이드러날경우해당업체를검·경에고발하는등강력대응할것이

라고말했다. 불법스팸대응센터의최신자료에따르면외국인의불법

스팸신고건수는올들어지난7월말 1 0만건을돌파하는등갈수록심

각한양상을보이고있다. KISA가이번에개설한신고사이트는영어로

작성되었으며신고창클릭만으로곧바로신고를할수있도록설계되

었다. 이사이트는스팸신고외에도▲한국어스팸효과적차단법▲

스팸관련국내외최신뉴스▲한국민·관의다양한스팸대응활동소

개등을담고있다.

KISA, ‘공공기관 정보보호 수준제고 사업’지원대상 6 0

곳확정

K I S A는중앙행정기관등 6 0개공공기관을정보보호수준제고사업

의지원대상으로최종선정했다. 이에따라, KISA는이들6 0개기관에

정보보호시스템구축약 7 4억원, 컨설팅 약 2 3억원등총 9 7억여원을

정보보호수준제고사업기금으로지원하게된다. KISA가추진하는이

사업은 전자정부서비스의확산에 발맞춰 중앙행정기관/광역자치단체

등의정보보호수준을끌어올리기위해이들기관의정보보호기반조

성을지원하는한편, 국내정보보호산업의활성화를도모하는것을목

적으로삼고있다. KISA는지원대상선정을위해총7 6개공공기관들을

I · n · f · o · s · e · c · T · r · e · n · d

대상으로사업제안서를접수하였으며, 전문가들로구성된사업심의위

원회의평가를거쳐지원대상을총6 0곳으로확정했다.

□주관기관: 총 6 0개

o 중앙행정기관: 총4 4개

o 광역자치단체: 총1 6개

※위목록의순서는무순임

KISA, 포스데이타를주사업자로선정

-인터넷침해사고대응지원센터구축맡겨-

K I S A는 9월 4일인터넷 침해사고대응지원센터구축을 맡을주사업

자로포스데이타(주)를 선정했다. 포스데이타(주)는올연말완공을

목표로상황실구축을전담하게된다. 인터넷침해사고대응지원센터

는국내주요 I S P의네트워크트래픽을실시간으로관측해이상징후

발견시 신속히 대응하기 위한 민·관 협조모델의 새로운 형태로서

세계적으로유례가없는종합적인네트워크감시시스템이다.1 공정거래위원회

2 농촌진흥청

3 통계청

4 조달청

5 해양경찰청

6 국민고충처리위

7 국정홍보처

8 건설교통부

9 농림부

1 0 국가정보원

1 1 국무조정실

1 2 국방부

1 3 국세청

1 4 특허청

1 5 문화관광부

1 6 행정자치부

1 7 교육인적자원부

1 8 철도청

1 9 중소기업특별위원회

2 0 식약청

2 1 법무부

2 2 환경부

2 3 해양수산부

2 4 비상기획위원회

2 5 보건복지부

2 6 병무청

2 7 산림청

2 8 노동부

2 9 외교부

3 0 문화재청

3 1 기상청

3 2 법제처

3 3 청소년보호위원회

3 4 산업자원부

3 5 과학기술부

3 6 통일부

3 7 기획예산처

3 8 중앙인사위원회

3 9 민주평화통일자문회의사무처

4 0 여성부

4 1 정보통신부

4 2 대통령비서실

4 3 금융감독위원회

4 4 대통령경호실

번호 기 관 명 번호 기 관 명

1 전라북도청

2 충청북도청

3 경상남도청

4 강원도청

5 대전시청

6 울산시청

7 제주도청

8 경상북도청

9 대구시청

1 0 전라남도청

1 1 광주시청

1 2 부산시청

1 3 충청남도청

1 4 서울시청

1 5 경기도청

1 6 인천시청

번호 기 관 명 번호 기 관 명

I n f o s e c T r e n d

I n f o s e c T r e n d

I n f o s e c Tr e n d

정보보호9월 2003.9.16 1:3 PM 페이지23

2003_ 09_ 27정보보호뉴스| 26

Security Guideline

박정현_ (주)시큐브레인, CTO(parkjh@secubrain.com)

“. . . . .공허한메아리”

혹자는인간은망각의동물이며, 망각을해소하기위해반복적인학습을통하여이를극복한다고한다. 특히

좋은기억보다는나쁜기억을오랫동안기억한다는데. . . .

그런데금년초에그렇게혹독하게당한웜바이러스의피해(인터넷대란)에대한우리들의대응자세가점

점공허한메아리처럼느껴지는이유가무엇인지?

그저일상의일처럼느껴지는기분이드는이유는무엇이지?. 보안분야에오랫동안일해온나부터이런느

낌을조금씩느껴지는상황이라면제대로알지도못하는일반사용자들의느낌은어떠한지궁금해진다.

무엇인지모르지만분명히우리들의대응자세의문제가있다는이야기이다. 매년반복되는보안사고에대한

한계인지, 아니면대응체계의문제인지, 직접피해를당한사용자들의안일한대응자세때문인지, 문제해결방

법의문제인지. . . . . .

이번에도블래스터웜바이러스가발생한지 1 0여일만에만여대의컴퓨터가피해를당했다고대응기관에

서공식발표하고있지만, 실상은국내모든개인용컴퓨터의60 ~ 70%가피해를당했다고해도과언이아닌

가생각이든다. 도대체무엇부터잘못되었는지, 잘못되었다면어디에서부터문제를해결해야하는지다시한

번고민하게된다. 늦었다고느낄때시작해도늦지않다고말하는것처럼, 지금이라도공허하게느껴지는보안

사고에대한적절한대응방법에대한생각해볼필요가있다.

사실피해예측을통한신속한조기대응체계와알기쉬운대응방법전달체계를강조하는대응기관이나인터

넷서비스업체(ISP) 등을통한문제해결책도중요하지만, 왠지모르게공허하게느껴지는대응시스템을믿는

것보다는개인각자가내컴퓨터를지키는자세가무엇보다도중요한것같다는생각이공허한메아리가나를

비껴가는것같다.

내컴퓨터는내가지킨다( 4 )

며칠전컴퓨터를사달라고조르던딸아이가물어왔다.

“아빠, 사이버테러가뭐야?”

“아, 그건컴퓨터에서다른사람의소중한정보를몰래가져가거나

장난을쳐서사람들을힘들게하는거야”

그러면서딸아이에게정보보호의중요성을이야기해주었다.

“아빠, 그럼우리도켜기전에비밀번호, 끄기전에정보보호~ 맞지?”

오늘따라부쩍커버린딸아이가자랑스럽다.

스스로실천하는보안의식, 정보보호의시작입니다.

켜기전에 비밀번호

끄기전에 정보보호

※위표어는 2 0 0 2년제1회정보보호표어·포스터공모전수상작입니다.

정보보호9월 2003.9.16 1:3 PM 페이지25

2003_ 09_ 29정보보호뉴스| 28

Security Guideline내 컴 퓨 터 는 내 가 지 킨 다 ( 4 )

Security Guideline내 컴 퓨 터 는 내 가 지 킨 다 ( 4 )

“다시한번생각해보는보안사고대응및조치방법”

웜바이러스등보안문제가발생하면가장먼저생각해야할사항이신속한대응과조치방법이다. 그러나막

상문제가발생하면사용자뿐만아니라조직들은어떻게해야하는지우왕좌왕하는경우가대부분이고, 백신

업체나대응기관을바라보는경우가대부분일것이다. 이제부터라도지난인터넷대란의속아픈기억을되새

기면긴급대응및조치방법에대하여생각해보자

내컴퓨터보안문제점점검하기

지난호에서언급한바와같이 M S사에서제공하는기본

보안 분석기(MBSA, Microsoft Baseline Security

A n a l y z e r )를 이용한 내 컴퓨터의 현재보안상태, 패치 상

태등을점검해볼수있다.

W i n d o w s를 만든M S사에제공하는 보안도구임으로어

느보안도구보다신뢰성을보장해주기때문에안전한운

영체제를유지해줄수있을것같다.

☞MBSA 다운로드사이트

h t t p : / / d o w n l o a d . m i c r o s o f t . c o m / d o w n l o a d / 8 / e / e / 8 e e 7 3 4 8 7 - 4 d 3 6 - 4 f 7 f - 9 2 f 2 - 2 b d c 5 c 5 3 8 5 b 3 / m b s a s e t u p . m s i

자동갱신설정및변경하기

바이러스백신은현재치료가능한컴퓨터바이러스만치

료하고탐지할뿐근본적인치료가 불가능하여항상 재발

가능성이가지고있는큰단점을가지고있다. 그래서보안

문제가발생하면백신활용과더불어반드시문제에 대한

보안패치를해야한다.

그러나일반사용자가개별적으로하나하나보안패치사

이트에가서필요한보안패치정보를보고패치를하기에

는어려움이많다.

따라서 Windows 자체에서제공하는 자동 갱신 기능을

활용하면, 이문제를어느정도해결할수있다. 특히지난

8월에 발생한 블래스터 웜에 대한 취약점도 이미 7월에

M S사에서필요한보안패치를권고한바있다.

그러나 사용자들이 이를 방관하고 넘어가고, 대응기관

또한이에대한적절한대응조치를할지못하여문제의심

각성을키우고말았다.

따라서사용자나조직에서보안문제등운영체제에대한

문제점을시기적절하게자동갱신할 수있도록조치하면

컴퓨터바이러스 백신이 가지고 있는 대응의 한계를 극복

하고피해를최소화할수있을것보인다.

내컴퓨터이상유무분석하기

①네트워크상태를확인하기

o Local 시스템에서열린포트를확인한후비정상적인포트나일반적인접속이아닌접속자의서비스및

I P를확인한다.

☞[시작] ⇨[실행] ⇨[cmd] ⇨netstat -na 로네트워크상태확인

②실행중인프로세스확인하기

o 시스템설치·운영시불필요한서비스는미리제거하고, 프로세스중에서의심가는프로세스의C P U

사용량과메모리사용량을확인한다.

☞[Ctrl+Alt+Del] ⇨[작업관리자] ⇨[프로세스]

③이벤트로그(뷰어) 분석하기

o Windows 시스템은 기본적으로 시스템 로그, 보안

로그, 응용프로그램로그를 제공하는데, 특히 보안

로그는로컬보안설정에서감사정책을설정한 로그

가남기때문에정기적인점검이필요하다.

☞[시작] ⇨[프로그램] ⇨[관리도구(공용) ]

⇨[이벤트표시기(뷰어) ]

④사용자계정과그룹점검하기

o 불법적인 계정이나 일반사용자의 A d m i n i s t r a t o r s

그룹권한여부및불법그룹의생성여부를점검하고, guest 계정이사용안함으로되어있는지점검한

다.

☞[시작] ⇨[프로그램] ⇨[관리도구] ⇨[컴퓨터관리]

< 기본보안분석기(MBSA) >

<자동갱신설정및변경화면>

<Windows Update 화면>

<이벤트뷰어화면>

정보보호9월 2003.9.16 1:3 PM 페이지27

2003_ 09_ 31정보보호뉴스| 30

Security Guideline내 컴 퓨 터 는 내 가 지 킨 다 ( 4 )

Security Guideline내 컴 퓨 터 는 내 가 지 킨 다 ( 4 )

⑤시스템부팅시실행되는프로그램조사하기

o win.ini, system.ini 파일에백도어관련실행파일이설정되어있지않은가검사하거나, 부팅시에자동으

로실행되게설정하는레지스트리를점검한다.

⑥변경된시스템바이너리파일을점검하기

o 이상증상이나타난전후로수정된파일을찾아예전의시스템의원본바이너리정보와비교해본다.

☞[탐색기] ⇨[검색] ⇨[날짜] ⇨[수정된파일] ⇨[기간설정]

⑦비인가된공유및연결을점검

o 특정바이러스나침입자가특정폴더를공유하여외부에서액세스하는경우가있으므로주기적으로점

검한다.

☞[시작] ⇨[프로그램] ⇨[관리도구] ⇨[컴퓨터관리] ⇨[공유폴더] ⇨[공유]

☞net share 명령어점검: [시작] ⇨[프로그램] ⇨[관리도구] ⇨[컴퓨터관리] ⇨[공유폴더] ⇨[세션]

☞불법접속차단: [시작] ⇨[프로그램] ⇨[관리도구] ⇨[컴퓨터관리] ⇨[공유폴더] ⇨[열린파일]

⑧실행중인스케줄러를점검하기

☞[시작] ⇨[설정] ⇨[제어판] ⇨[예약된작업]

⑨불법프로세스를점검하기

☞[작업관리자] ⇨[보기] ⇨[열선택] ⇨[사용자이름]

Windows 시스템복구

컴퓨터바이러스및해킹으로인하여시스템이정상적으로부팅되지않을경우가발생하는경우가많다. 이

때C D R O M이나부팅디스크로부팅한후시스템을점검해야한다.

①C D - R O M으로부팅

o CD-ROM 부팅을 위해서는 먼저 C M O S상에서

B o o t - S e q u e n c e가 C D - R O M이 우선 실행되도록

설정해주어야한다.

☞시스템부팅시: CMOS 화면⇨‘BIOS FEATURES SETUP’

⇨C D - R O M이최우선순위로변경및저장

②부팅디스켓으로부팅

o 정상적으로부팅이되지않는경우Windows 설치때만든부팅디스켓을이용하고, 만약부팅디스켓을

만들어두지않았다면, Windows가설치되어있는다른컴퓨터에서만들수있다.

③보호된시스템파일검색및시스템복원

o 보호된시스템파일을검색및검사하는'sfc' 명령을하거나시스템복원모드를통하여문제가생긴이

전으로시스템을되돌려놓을수있다.

☞시스템복원: [시작] ⇨[보조프로그램] ⇨[시스템도구] ⇨[시스템복원/백업]

※Windows 2000 : 백업, Windows XP : 시스템복원

Windows 시스템보안설정

①적절한사용자계정관리를하자. 모든사람들에게계

정을주는임시Guest 계정사용중지하고, 계정만료

기한을 주는 것이 불가능하여 크랙시도가 가능한

Administrator 계정이름을 변경하면서불필요한 계

정을시스템에서제거해야한다.

②시스템패스워드를 다양하게설정하고보호하자. 컴

퓨터 부팅시 CMOS 설정화면에서시스템 패스워드

를 설정하고, 컴퓨터 부팅된 후에는 시스템 화면을

보호하는화면보호기기능을설정한다.

③시스템파일에대한공유기능을제한하자. 내컴퓨터

의자원을다른사용자들과공유하는경우가많은데, 이를매개체로바이러스등이전파되는경우가많으

므로공유기능을제한해야한다.

④컴퓨터바이러스백신프로그램사용하자. 시스템에반드시설치하여주기적으로검사하고항상최신버

전으로갱신해야한다.

⑤NTFS 파일시스템사용하자. FAT/FAT32 파일시스템은파일수준의보안을지원하지않으므로N T F S

를이용하여파일시스템을포맷해야한다.

⑥불필요한서비스중지및포트차단하자. 시스템설치시기본으로설치되는여러서비스들중사용하지

않는불필요한서비스를제거해야한다.

⑦정기적인데이터백업및관리하자. 문제발생에대비해분리된장소에긴급복구디스크를준비하고, 실제

운영되고있는데이터와같은수준으로관리해야한다.

⑧각종소프트웨어원본및복사본관리하자. 소프트웨어가손상될경우를대비해원본파일의복사본, 소프

트웨어시리얼번호(제품번호), 부팅디스켓(시동디스켓) 등을별도로보관·관리해야한다.

<이벤트뷰어화면>

<이벤트뷰어화면>

정보보호9월 2003.9.16 1:3 PM 페이지29