안철수연구소는 매월 첫주 화요일을 ‘클린 PC 데이’로 정해 자사 웹사이트를 통해 매월 1회 온라인 캠페인을 전개하기로 하고, 7월 1일 오늘, 첫 번째 캠페인을 시작했습니다.
해당일이 되면 안철수연구소 웹사이트에 ‘클린 PC 데이’ 팝업 창이 떠서 사용자로 하여금 최소 한 달에 한 번은 안전하고 깨끗한 PC 환경을 만들 수 있도록 길잡이 역할을 합니다. 초보 사용자들도 쉽게 따라 할 수 있도록 PC 관리법을 5단계로 체계화해 이른바 'PC 관리 5스텝'으로 악성코드 검사/치료, PC 최적화, 최신 윈도 패치, 자료 백업, 중요 정보 삭제 등을 제시해 사용자가 PC를 종합적으로 점검할 수 있도록 도와줍니다.
[스텝 1]에서는 바이러스와 스파이웨어 등 악성코드를 진단/치료하도록 안내합니다. 캠페인 첫회인 7월 1일에는 09시부터 18시까지 ‘클린 PC 데이’ 전용 바이러스/스파이웨어 진단/치료 기능을 무료로 사용할 수 있습니다.
[스텝 2]는 알게 모르게 설치한 불필요한 프로그램 등으로 PC의 작동 속도가 느려진 경우 PC 상태를 최적화하는 단계입니다. 인터넷 검색 기록을 삭제해 임시 인터넷 파일, 쿠키 기록 등을 지우거나 필요 없는 프로그램을 삭제하거나 디스크 검사 및 디스크 조각 모음 등을 할 수 있습니다.
[스텝 3]은 악성코드 설치에 취약한 윈도 운영체제를 보안 패치하는 단계입니다. 작업 표시줄에 노란 방패가 뜨는지 확인해 최신 윈도 패치를 설치하도록 안내해 줍니다.
[스텝 4]는 중요 자료를 백업하는 단계로, 여러 가지 원인으로 데이터가 갑자기 삭제될 때를 대비해 외장하드나 USB, 인터넷 하드를 이용하도록 안내합니다.
[스텝 5]는 중요한 자료를 완벽 삭제하는 단계입니다. 개인 정보를 포함한 파일이나 정보는 삭제해도 휴지통에 남고 휴지통 비우기를 해도 복구 프로그램을 실행하면 대부분의 파일이 복구가 되는데, 이에 대비해 완전삭제 프로그램을 사용해 깨끗이 지우도록 안내합니다.
안철수연구소는 정보보호를 일상에서 실천할 수 있도록 돕고자 이번 정기 캠페인을 마련했는데요, 이를 통해 사용자들의 PC 보안 수준이 한 단계 높아질 수 있기를 기대해 봅니다.
안철수연구소가 정보보호 분야에서는 최초로 서울여자대학교와 정보보호분야 글로벌 인재 양성을 통한 국제경쟁력 제고를 위한 산학협력 양해각서(MOU)를 체결했습니다.
이번 산학협력을 체결로 안철수연구소와 서울여자대학교는 정보보호분야 실무형 교육 인증 프로그램(ASPECT; AhnLab-SWU Program of Education and Certification on Information Security Technology)을 공동 개발하기로 했습니다.
안철수연구소는 전문가 기술 지도, 인턴십 프로그램, 관련 제품 활용 등의 기회를 제공하며, 서울여자대학교는 정보보호학과에 ASPCET용 전공 정규 교과목을 설치하여 운영함으로써 학생들에게 실무형 첨단 교육의 기회를 제공합니다. 일정 수준 이상 수료한 학생에게는 두 기관장 공동 명의로 인증서가 발급됩니다.
정정보보호 분야에서 인재를 양성하는데, 그간 많은 어려움이 있었습니다. 이번을 서울여대와의 협력을 통해 미래 정보보안 전문가가 많이 배출될 수 있도록 많은 노력을 하겠습니다.
한국정보보호진흥원은 지난 4월 3일, 기업정보보호 우수사례 공유를 위한 '기업정보보호 우수사례 벤치마킹 워크샵'을 개최했습니다. 이 워크숍은 다양한 분야 기업들의 정보보호 시스템 구축 및 관리 그리고 내부 조직 관리 등에 대한 사례발표로 이루어졌습니다. 참여 기업은 정보보호 대상에서 수상한 4개 기업과 정보보호관리체계인증(ISMS)을 취득한 중소기업 2군데에서 발표했는데, 지금부터 우수 기업들은 어떻게 정보보호를 관리하고 있는지 알아보도록 하겠습니다.
나스닥 상장 오픈 마켓인 G마켓은 오픈 마켓이 처해있는 서비스에 대한 보안 위협을 크게 DDoS 공격으로 인한 사이트 접속 중단, 해킹으로 인한 고객 개인정보 유출, 해킹으로 인한 사이트 변조 및 악성 코드 유포, 내부 정보 유출 등 크게 4가지로 나누었습니다. G마켓의 발표자는 회사 내부의 보안 관련 업무를 수행하기 위해서 보안팀의 독립성이 중요한 요소라고 강조하였습니다.
G마켓은 UDP Flooding과 TCP Flooding 계열로 나누어 시스템을 구축하였습니다. 몇 가지 사건, 사고 사례를 들기도 했는데 Web 2.0 시대의 가장 큰 이슈인 UCC에 악성코드가 포함된 예를 보여주었습니다. 현재 G마켓은 하루에 등록 혹은 수정되는 상품이 평균 15만개 정도인데 전수 검사를 한다고 합니다. 어플리케이션 담당자들은 KISA나 NCSC의 플랫폼 정보를 받아서 디텍팅을 하고 있다고 했습니다. 또한 access control, monitoring 그리고 encryption을 통한 DB 보안 방법을 제시했는데요,발표자는 한번의 보안 사고로도 회사가 무너질 수 있다는 생각으로 보안 업무에 임한다며 발표를 마무리했다.
데이터 센터 운영업체인 현대정보기술은 세계적인 보안 동향 소개로 발표를 했습니다. 또한 정보보안의 중요성과 더불어 물리적 보안의 중요성도 강조했습니다. 이 회사의 경우 세가지 프레임워크(관리적 분야, 물리적 분야, 기술적인 분야)로 나누어 보안 업무를 진행하고 있다고 합니다. G마켓과 마찬가지로 보안팀의 독립성의 중요성과 더불어 또한 원활한 보안업무 진행을 위해서는 조직간의 커뮤니케이션 또한 중요 요소라고 강조했습니다.
세 번째는 KT의 고객 개인정보보호 활동이라는 주제로 진행되었습니다. KT는 9가지 메인 이슈로 설명했는데 고객관리 프로세스개선, 주민번호 도용확인 서비스, 상시 모니터링, PC-DRM, 정보보호교육, 고객정보 안전인증제, 고객동의 텔레마케팅, 보안성 검토 그리고 정보보호 자문단으로 나누어 관리하고 있다고 합니다.
마지막 사례로는 대한항공사가 기업 조직 관리를 위한 보안관제서비스라는 제목으로 발표했습니다. 대한항공은 신속한 사고 대응, 증거 확보, 사고 예방 그리고 가용성 확보로 보안 관제의 필요성을 설명했습니다. 또한 보안 관제의 한계와 더불어 이러한 한계를 넘기 위한 방법에 대해 flow charts를 통해서 보여주었습니다. 이 회사의 경우 보안 관제를 서버단과 PC단으로 나누어서 진행한다고 전했습니다.
KISA는 중소기업 보안성 강화를 위한 정보보호 지원이라는 주제로 발표했습니다. 정보보호 현황에서는 유형별 정보보호 피해사례를 크게 공유폴더를 통한 영업비밀 유출, 해킹 그리고 개인정보유출 사례, 내부자 관리부재 및 산업스파이로 인한 사건 사고 실태를 보여주었습니다. 또한 정보보호관리체계의 의미와 더불어 수립 방법 및 정보보호관리체계인증을 소개했습니다.
최근 돈벌이를 노린 범죄 집단이 온라인 게임 / 뱅킹 / 쇼핑몰 등을 해킹해 사용자의 개인정보 DB를 빼내거나 사용자 몰래 PC에 설치돼 개인정보를 빼내가는 악성코드나 스파이웨어를 유포하는 사례, 피싱(Phishing) 사이트나 보이스 피싱을 이용해 정보를 유출하는 일이 급증하고 있습니다. 안전한 인터넷 거래를 위해 각 업체들의 보안 강화는 물론 개인 사용자들도 보안 수칙을 준수하는 등 각별한 주의가 필요한 시점입니다.
따라서 여러분들에게 안철수연구소는 개인, 기업, 정부 등 각 주요 부문에 대한 정보보호 안전수칙 10계명을 발표해 보안을 생활화하는 습관을 길러, 제 2의 피해가 없도록 해야겠습니다.
1. 자신이 가입한 사이트의 패스워드를 변경한다. 로그인 계정의 비밀번호는 영문/숫자 조합으로 8자리 이상으로 설정하며 주기적으로 변경한다. 타인이 쉽게 추정할 수 있거나 개인정보나 영문으로 유추하기 간단한 단어는 사용해서는 안 된다.
2. 만약 본인이 주민등록번호가 유출됐다면, 신용정보 사이트를 통해 명의 도용 차단 서비스를 활용하는 것이 좋다. 또한 현재 가입된 이동통신사에 '가입제한' 등록 신청을 한다.
3. 계좌정보까지 유출됐다면 전화 금융사기로 일컬어지는 ‘보이스 피싱’에 각별히 주의해야 한다. 보이스 피싱은 공공기관이나 은행 등을 사칭해 돈을 빼앗아가는 신종 사기 수법이다. 특히 요즘에는 상당히 지능적인 방법으로 돈을 갈취하기 때문에 자신의 개인 정보나 계좌 정보 등을 거론하며 걸려오는 전화는 일단 의심해보고 전화를 끊는 것이 좋다. ▲한국말이 어눌하거나 ▲경찰, 금융권, 공공기관 관계자라거나 ▲전화로 개인정보를 요구한다면 유의한다.
4. 굳이 회원 가입을 하지 않아도 되거나, 자주 사용하지 않는 웹사이트에는 회원 가입을 자제하고, 지난 1개월 동안 한 번도 들어가지 않은 사이트가 있다면 탈퇴하는 것이 좋다. 가입한 곳을 북마크에 따로 관리하는 것도 한 방법이다.
5. 해킹 피해자 모임에 가입할 때에는 믿을 수 있는 모임인지 확인한다. 피해자 모임에 가입하라는 이메일이나 전화를 받았을 경우, 자신의 정보를 유출하지 말고 해당 사이트에 직접 가입하여 확인한다.
6. PC방 등 누구에게나 개방된 컴퓨터에서는 온라인 쇼핑이나 인터넷 금융 거래를 하지 않는다. 불가피하게 사용할 경우 신뢰성 있는 백신 및 PC방화벽 등이 설치 실행되는 곳에서만 이용한다.
7. 윈도 운영체계는 최신 보안 패치를 모두 적용하며, 해킹, 바이러스, 스파이웨어 등을 종합적으로 막아주는 통합백신 보안 제품을 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다.
9. 웹 서핑 때 액티브X '보안경고' 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 '예'를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.
10. 메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않는다. 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인해본다.
[기업]
1. 기업 및 기관에서는 사용자 안전과 개인 정보보호가 필수적인 최우선 과제라는 보안의식을 갖고 신뢰할 수 있는 웹사이트 및 홈페이지 구축과 함께 항상 최상의 보안상태를 유지하도록 관리해야 한다. 정기적인 서버 보안점검, 모의 해킹, 보안장비 로그 점검 등 전담 인력을 배치해 주기적으로 보안 시스템을 점검한다.
2. 중요 시스템의 데이터에 대한 사전 백업 시스템을 구축하고 사이버 테러 발생 시 보안 대응 지침 실천을 위한 교육을 수시로 실시한다.
3. 보안 문제 발생 시에 대비해 비상 연락 체계를 구축한다. 보안관제 서비스를 받고 있는 경우는 해당 보안관제 업체의 24시간 상황실 연락망을 공유하고 자체 보안관제 시스템을 운영하는 경우 자체 비상 연락망을 공유한다.
4. 네트워크 안전을 위한 네트워크 통합 위협관리장비나 방화벽의 설정을 통해 불필요한 포트를 차단한다.
5. 사용하지 않는 서버의 네트워크를 분리하고 침입차단시스템, 침입탐지시스템 등의 보안 솔루션의 감시 기능을 설정한다.
6. 서버에서 불필요한 사용자 계정 및 서비스를 제거한다.
7. 개인 사용자의 아이디와 패스워드를 주기적으로 점검한다.
8. 운영체제(OS)의 최신 보안 패치를 적용한다.
9. 사내 PC의 보안 솔루션이 최신 버전인지, 작동이 정상적으로 되고 있는지 상황을 수시로 점검하고 감염이 자주 되는 PC를 특별 관리한다.
10. 신뢰할 수 있는 보안 관련 사이트를 방문해 최신 보안 정보를 수시로 확인한다.
[국가]
1. 개인정보보호법 등 사용자 안전을 위한 법 제도를 신속히 제정해 국민들의 인터넷 사용 안전 대책을 마련한다. 개인정보가 유출될 경우 이를 개인정보 주체에게 알리도록 의무화하거나, 기업이나 기관이 개인정보와 고객정보 보호를 위한 웹사이트나 홈페이지 할 수 있는 법을 마련해야 한다.
2. 포털, 게임 등 개인 정보보호에 필수적인 웹사이트 안전에 대한 '정보보호 안전진단' 제도의 실효성을 강화한다. 인터넷 보안취약성 점검이나 모의해킹 등을 통해 실제 해킹 여부를 확인하고, 안전진단을 실시하는 업체들의 관리 감독을 엄격히 실시한다.
3. 해킹 예방과 사이버 범죄 수사를 위해 다른 나라들과의 공조체계를 마련한다.
4. 정보보호 전문가를 육성할 전문적 교육체계를 마련하고 중요 국가시설에는 보안전문가들이 상시 관리 감독하도록 한다. 국가적 차원에서 실질적으로 사이버 안전체계를 강화하기 위해서는 전문보안업체의 인력 양성 및 수급이 중요하며, 기업 및 기관 등에도 보안 전문가 육성이 필요하다.
5. 국가 중요 시설의 경우 정보보호계획 수립을 의무화해 체계적으로 관리한다.
6. 국가적인 사이버 재난 및 사이버 전쟁에 대비한 국가 사이버 안전 대책을 일원화하여 일관성 있게 계획하고 추진할 수 있는 국가 CSO(Chief Security Officer 최고 보안책임자) 직책을 마련한다.
7. 주민등록번호 등 과도한 개인정보를 입력하도록 하는 국내 웹사이트 회원 등록에 대해 대안 마련과 개선을 한다.
8. 포털 등 웹사이트 회원 가입 시 1인당 아이디(ID)를 여러 개 가입할 수 있는 관행은 인터넷 역기능과 사이버 범죄 악용 가능성을 감안해 폐지할 수 있도록 한다.
9. 보안은 안전한 인터넷 생활의 인프라라는 관점에서 개인정보보호 등 보안에 대한 투자를 선진국 수준인 10% 이상으로 확대한다. 국가 시설이나 공공 기관의 경우 반드시 일정 수준의 정보보호시스템을 갖추도록 의무화한다.
10. 국민들에 대한 보안의식 제고를 위한 범국가적인 지속적인 계도 및 캠페인을 실시하고 학교 교육부터 보안교육을 의무화한다.
