'10계명'에 해당되는 글 4

  1. 2010/01/01 연휴에 더 유용한 정보보안 수칙 10계명 (3)
  2. 2008/04/21 안철수연구소, 개인정보 예방 위한 정보보호 안전수칙 10계명 발표
  3. 2008/02/04 안철수연구소가 권하는 설날 연휴 보안 관리 법
  4. 2007/08/02 소중한 나의 정보를 지키는 10가지 방법

연휴에 더 유용한 정보보안 수칙 10계명

AhnLab 뉴스 2010/01/01 06:30

새해 첫 연휴 기간에 개인 및 기업 사용자가 유의해야 할 ‘보안 수칙’을 안내합니다. 이메일, 메신저 등 다양한 유포 경로로 악성코드가 전파되고, 돈벌이를 목적으로 개인 정보를 빼내가는 국지적 공격이 점차 지능화하고 있어 이로 인한 피해를 예방할 수 있는 안전 수칙입니다. 

한편, 안철수연구소는 연말연시 연휴에도 신종 해킹이나 바이러스 등으로 인한 피해를 예방하고 안전한 연휴를 보낼 수 있도록 평상시와 다름 없이 24시간 비상 근무 체제를 가동합니다. 

안철수연구소 시큐리티대응센터(ASEC)와 침해사고대응센터(CERT)의 악성코드 모니터링 및 분석 연구원과 침해 사고 대응 전문가 30여 명이 상시 대응합니다. 또한 상황의 심각성에 따라 단계별로 대응팀을 구성해 연휴 기간에 보안 사고가 발생하더라도 신속한 해결책을 제공할 예정입니다.

사용자 삽입 이미지

연휴 기간에 신종 악성코드나 오진 사례, 가짜 백신 등이 발견되면 사용자는 안철수연구소의 웹사이트 내 바이러스 신고센터, 오진신고센터, 가짜백신 신고센터 나 이메일(v3sos@ahnlab.com)로 신고하면 됩니다.

* PC 보안 수칙 10계명

1. 윈도 운영체계는 최신 보안 패치를 모두 적용한다.  
2. 인터넷 로그인 계정의 패스워드를 자주 변경하고, 영문/숫자/특수문자 조합으로 6자리 이상으로 설정한다. 로그인 ID와 패스워드를 동일하게 설정하지 않는다.
3. 해킹, 바이러스, 스파이웨어 등을 종합적으로 막아주는 V3 같은 통합보안 제품을 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다.
4. 웹사이트에 접속했을 때 악성코드나 스파이웨어가 다운로드되는 경우가 있으니 안철수연구소가 무료로 제공하는 ‘사이트가드’(http://www.siteguard.co.kr) 서비스를 이용해 예방한다.
5. 웹 서핑 때 '보안경고' 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 '예'를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.
6. 이메일 확인 시 발신인이 불분명하거나 수상한 첨부 파일이 있는 것은 모두 삭제한다.
7. 메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않는다. 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인해본다.
8. PtoP 프로그램 사용 시 파일을 다운로드할 때는 반드시 보안 제품으로 검사한 후 사용한다. 또한 트로이목마 등에 의해 지정하지 않은 폴더가 오픈되지 않도록 주의한다.
9. 정품 소프트웨어를 사용한다. 인터넷을 통해 불법 소프트웨어를 다운로드해 설치하는 경우 이를 통해 악성코드가 설치될 가능성이 높기 때문이다.
10. 중요한 자료를 주기적으로 백업해 만일의 상황에 정보를 잃는 일에 대비한다.

* 기업 보안 수칙 10계명

1. 운영체제(OS)의 최신 보안 패치를 적용한다.
2. 안티바이러스 대비 상황을 점검한다.
3. 방화벽 설정을 통해 불필요한 포트를 차단한다.
4. 서버에서 불필요한 사용자 계정 및 서비스를 제거한다.
5. 사용 중인 애플리케이션의 로깅 가동, 중요 파일에 대한 무결성 점검, 감사 기능 등을 설정해두고, 중요 서버의 보안 상태를 사전 점검한다.
6. 사용하지 않는 서버의 네트워크를 분리하고 침입차단시스템, 침입탐지시스템 등의 보안 솔루션의 감시 기능을 설정한다.
7. 개인 사용자의 아이디와 패스워드를 점검한다.
8. 신뢰할 수 있는 보안 관련 사이트를 방문해 최신 보안 정보를 수시로 확인한다.
9 중요 시스템의 데이터에 대한 사전 백업 시스템을 구축하고 사이버 테러 발생 시 대응 지침을 공유한다.
10. 보안 문제 발생 시에 대비해 비상 연락 체계를 구축한다. 보안관제 서비스를 받고 있는 경우는 해당 보안관제 업체의 24시간 상황실 연락망을 공유하고 자체 보안관제 시스템을 운영하는 경우 자체 비상 연락망을 공유한다. Ahn

 

 

Writer profile
세상에서 가장 안전한 이름,
안철수연구소입니다.
2010/01/01 06:30 2010/01/01 06:30
TAG , , , , , , , , , , , , , , , ,
1 Trackbacks | 3 Comments

안철수연구소, 개인정보 예방 위한 정보보호 안전수칙 10계명 발표

AhnLab 보안in 2008/04/21 13:06

최근 돈벌이를 노린 범죄 집단이 온라인 게임 / 뱅킹 / 쇼핑몰 등을 해킹해 사용자의 개인정보 DB를 빼내거나 사용자 몰래 PC에 설치돼 개인정보를 빼내가는 악성코드나 스파이웨어를 유포하는 사례, 피싱(Phishing) 사이트나 보이스 피싱을 이용해 정보를 유출하는 일이 급증하고 있습니다. 안전한 인터넷 거래를 위해 각 업체들의 보안 강화는 물론 개인 사용자들도 보안 수칙을 준수하는 등 각별한 주의가 필요한 시점입니다.

따라서 여러분들에게 안철수연구소는 개인, 기업, 정부 등 각 주요 부문에 대한 정보보호 안전수칙 10계명을 발표해 보안을 생활화하는 습관을 길러, 제 2의 피해가 없도록 해야겠습니다.

<개인정보보호 수칙 10계명>----------------------------------------  

[개인]    

1. 자신이 가입한 사이트의 패스워드를 변경한다. 로그인 계정의 비밀번호는 영문/숫자 조합으로 8자리 이상으로 설정하며 주기적으로 변경한다. 타인이 쉽게 추정할 수 있거나 개인정보나 영문으로 유추하기 간단한 단어는 사용해서는 안 된다.    

2. 만약 본인이 주민등록번호가 유출됐다면, 신용정보 사이트를 통해 명의 도용 차단 서비스를 활용하는 것이 좋다. 또한 현재 가입된 이동통신사에 '가입제한' 등록 신청을 한다.    

3. 계좌정보까지 유출됐다면 전화 금융사기로 일컬어지는 ‘보이스 피싱’에 각별히 주의해야 한다. 보이스 피싱은 공공기관이나 은행 등을 사칭해 돈을 빼앗아가는 신종 사기 수법이다. 특히 요즘에는 상당히 지능적인 방법으로 돈을 갈취하기 때문에 자신의 개인 정보나 계좌 정보 등을 거론하며 걸려오는 전화는 일단 의심해보고 전화를 끊는 것이 좋다. ▲한국말이 어눌하거나 ▲경찰, 금융권, 공공기관 관계자라거나 ▲전화로 개인정보를 요구한다면 유의한다.  

4. 굳이 회원 가입을 하지 않아도 되거나, 자주 사용하지 않는 웹사이트에는 회원 가입을 자제하고, 지난 1개월 동안 한 번도 들어가지 않은 사이트가 있다면 탈퇴하는 것이 좋다. 가입한 곳을 북마크에 따로 관리하는 것도 한 방법이다. 

5. 해킹 피해자 모임에 가입할 때에는 믿을 수 있는 모임인지 확인한다. 피해자 모임에 가입하라는 이메일이나 전화를 받았을 경우, 자신의 정보를 유출하지 말고 해당 사이트에 직접 가입하여 확인한다.

6. PC방 등 누구에게나 개방된 컴퓨터에서는 온라인 쇼핑이나 인터넷 금융 거래를 하지 않는다. 불가피하게 사용할 경우 신뢰성 있는 백신 및 PC방화벽 등이 설치 실행되는 곳에서만 이용한다. 

7. 윈도 운영체계는 최신 보안 패치를 모두 적용하며, 해킹, 바이러스, 스파이웨어 등을 종합적으로 막아주는 통합백신 보안 제품을 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다.  

8. 웹사이트에 접속했을 때 악성코드나 스파이웨어가 다운로드되는 경우가 있으니 안철수연구소가 무료로 제공하는 ‘사이트보안’(http://secuon.vitzaru.com/blu2/home/home.do) 서비스를 이용해 예방한다.  

9. 웹 서핑 때 액티브X '보안경고' 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 '예'를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.  

10. 메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않는다. 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인해본다.  

[기업]    

1. 기업 및 기관에서는 사용자 안전과 개인 정보보호가 필수적인 최우선 과제라는 보안의식을 갖고 신뢰할 수 있는 웹사이트 및 홈페이지 구축과 함께 항상 최상의 보안상태를 유지하도록 관리해야 한다. 정기적인 서버 보안점검, 모의 해킹, 보안장비 로그 점검 등 전담 인력을 배치해 주기적으로 보안 시스템을 점검한다.  

2. 중요 시스템의 데이터에 대한 사전 백업 시스템을 구축하고 사이버 테러 발생 시 보안 대응 지침 실천을 위한 교육을 수시로 실시한다.  

3. 보안 문제 발생 시에 대비해 비상 연락 체계를 구축한다. 보안관제 서비스를 받고 있는 경우는 해당 보안관제 업체의 24시간 상황실 연락망을 공유하고 자체 보안관제 시스템을 운영하는 경우 자체 비상 연락망을 공유한다.  

4. 네트워크 안전을 위한 네트워크 통합 위협관리장비나 방화벽의 설정을 통해 불필요한 포트를 차단한다.  

5. 사용하지 않는 서버의 네트워크를 분리하고 침입차단시스템, 침입탐지시스템 등의 보안 솔루션의 감시 기능을 설정한다.  

6. 서버에서 불필요한 사용자 계정 및 서비스를 제거한다.  

7. 개인 사용자의 아이디와 패스워드를 주기적으로 점검한다.  

8. 운영체제(OS)의 최신 보안 패치를 적용한다.  

9. 사내 PC의 보안 솔루션이 최신 버전인지, 작동이 정상적으로 되고 있는지 상황을 수시로 점검하고 감염이 자주 되는 PC를 특별 관리한다.  

10. 신뢰할 수 있는 보안 관련 사이트를 방문해 최신 보안 정보를 수시로 확인한다.   

[국가]  

1. 개인정보보호법 등 사용자 안전을 위한 법 제도를 신속히 제정해 국민들의 인터넷 사용 안전 대책을 마련한다. 개인정보가 유출될 경우 이를 개인정보 주체에게 알리도록 의무화하거나, 기업이나 기관이 개인정보와 고객정보 보호를 위한 웹사이트나 홈페이지 할 수 있는 법을 마련해야 한다.    

2. 포털, 게임 등 개인 정보보호에 필수적인 웹사이트 안전에 대한 '정보보호 안전진단' 제도의 실효성을 강화한다. 인터넷 보안취약성 점검이나 모의해킹 등을 통해 실제 해킹 여부를 확인하고, 안전진단을 실시하는 업체들의 관리 감독을 엄격히 실시한다.   

3. 해킹 예방과 사이버 범죄 수사를 위해 다른 나라들과의 공조체계를 마련한다.  

4. 정보보호 전문가를 육성할 전문적 교육체계를 마련하고 중요 국가시설에는 보안전문가들이 상시 관리 감독하도록 한다. 국가적 차원에서 실질적으로 사이버 안전체계를 강화하기 위해서는 전문보안업체의 인력 양성 및 수급이 중요하며, 기업 및 기관 등에도 보안 전문가 육성이 필요하다.    

5. 국가 중요 시설의 경우 정보보호계획 수립을 의무화해 체계적으로 관리한다.  

6. 국가적인 사이버 재난 및 사이버 전쟁에 대비한 국가 사이버 안전 대책을 일원화하여 일관성 있게 계획하고 추진할 수 있는 국가 CSO(Chief Security Officer 최고 보안책임자) 직책을 마련한다.

7. 주민등록번호 등 과도한 개인정보를 입력하도록 하는 국내 웹사이트 회원 등록에 대해 대안 마련과 개선을 한다.  

8. 포털 등 웹사이트 회원 가입 시 1인당 아이디(ID)를 여러 개 가입할 수 있는 관행은 인터넷 역기능과 사이버 범죄 악용 가능성을 감안해 폐지할 수 있도록 한다.  

9. 보안은 안전한 인터넷 생활의 인프라라는 관점에서 개인정보보호 등 보안에 대한 투자를 선진국 수준인 10% 이상으로 확대한다. 국가 시설이나 공공 기관의 경우 반드시 일정 수준의 정보보호시스템을 갖추도록 의무화한다.  

10. 국민들에 대한 보안의식 제고를 위한 범국가적인 지속적인 계도 및 캠페인을 실시하고 학교 교육부터 보안교육을 의무화한다.

Writer profile
세상에서 가장 안전한 이름,
안철수연구소입니다.
2008/04/21 13:06 2008/04/21 13:06
TAG , , , ,
0 Trackbacks | 0 Comments

안철수연구소가 권하는 설날 연휴 보안 관리 법

AhnLab 뉴스 2008/02/04 14:00

안철수연구소는 설 연휴 기간에 개인 사용자가 유의해야 할 ‘보안 수칙’을 발표했습니다. 메신저나 UCC, 블로그 등 악성코드 유포 경로가 다양해지고 피싱, 온라인 게임 계정 탈취 등 돈을 노리고 개인 정보를 빼내가는 공격이 점차 지능화하고 있어 기본적인 수칙 외에 온라인 금융/게임 사용 시 안전 수칙, 피싱 사이트와 정상 사이트의 차이 등 유용한 정보입니다. 또한 최근 들어 삭제한 이메일, 파일이 얼마든지 복구될 수 있다는 우려가 높아짐에 따라 정보를 완전히 삭제할 수 있는 방법도 포함했습니다.

<안철수연구소가 권하는 보안 수칙>-----------------------------------------

 I. 개인 사용자

 * PC 보안 10계명
1. 윈도 운영체계는 최신 보안 패치를 모두 적용한다.
2. 인터넷 로그인 계정의 패스워드를 자주 변경하고, 영문/숫자/특수문자 조합으로 6자리 이상으로 설정한다. 로그인 ID와 패스워드를 동일하게 설정하지 않는다.
3. 해킹, 바이러스, 스파이웨어 등을 종합적으로 막아주는 V3나 ‘빛자루’ 같은 통합보안 제품을 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다.
4. 웹사이트에 접속했을 때 악성코드나 스파이웨어가 다운로드되는 경우가 있으니 안철수연구소가 무료로 제공하는 ‘사이트보안’(http://secuon.vitzaru.com/blu2/home/home.do) 서비스를 이용해 예방한다.
5. 웹 서핑 때 '보안경고' 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 '예'를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.
6. 이메일 확인 시 발신인이 불분명하거나 수상한 첨부 파일이 있는 것은 모두 삭제한다.
7. 메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않는다. 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인해본다.
8. PtoP 프로그램 사용 시 파일을 다운로드할 때는 반드시 보안 제품으로 검사한 후 사용한다. 또한 트로이목마 등에 의해 지정하지 않은 폴더가 오픈되지 않도록 주의한다.
9. 정품 소프트웨어를 사용한다. 인터넷을 통해 불법 소프트웨어를 다운로드해 설치하는 경우 이를 통해 악성코드가 설치될 가능성이 높기 때문이다.
10. 중요한 자료를 주기적으로 백업해 만일의 상황에 정보를 잃는 일에 대비한다.

* 인터넷 금융/게임 사용 시 안전 수칙
1. 온라인 게임 계정 정보를 외부에 공개하지 않는다. 특히 게임 관리자 또는 업체를 사칭하는 사람에게 게임 계정을 알려주지 말아야 한다. 게임 운영자는 사용자에게 계정 정보 등의 개인 정보를 요구하지 않는다.
2. 온라인 게임에 접속할 때는 일정한 장소에서 한다. 게임방 등과 같이 불특정 다수가 컴퓨터를 사용하는 장소에서 계정 정보 유출 등의 문제가 많이 발생하므로 가능한 한 일정한 장소에서 게임을 하는 것이 좋다.
3. 온라인 게임 해킹 툴을 사용하지 않는다. 인터넷에서 구할 수 있는 온라인 게임 해킹 툴을 통해 악성코드에 감염될 수 있으며 이를 통해 계정 정보 등이 외부로 유출될 수 있다.
4. 의심스런 웹사이트에 정보를 입력하지 않는다. 온라인 게임 관련 홈페이지로 위장한 가짜 홈페이지를 통해 계정 정보 등이 유출되는 사고가 발생하고 있다. 의심스런 웹사이트에는 정보를 입력하지 말고 해당 게임 업체로 문의해 확인한다.

* 피싱 사이트와 정상 사이트의 차이
. 정상적인 인터넷 뱅킹 사이트는 공인인증서 비밀번호, 계좌비밀번호, 보안카드 비밀번호 등 개인 정보를 여러 창에 걸쳐 입력하게 돼 있지만, 피싱 사이트는 한 화면에서 동시에 입력하도록 돼 있다.
. 이체 거래 때 정상 사이트는 화면 상에 자신의 출금계좌번호를 선택하게 돼 있지만, 피싱 사이트는 이용자가 직접 입력하도록 돼 있다.
. 정상 사이트는 로그인 절차(ID, 패스워드 또는 공인인증서 입력)를 거쳐야 인터넷 뱅킹 화면이 나타나는 반면, 피싱 사이트는 화면 상의 주소 창에 은행 주소만 치면 바로 화면이 나타난다.
. 정상 사이트는 보안카드 비밀번호 2자리를 2회만 입력하도록 요구하나, 피싱 사이트는 그 이상의 자릿수 및 횟수를 입력하도록 요구한다.
. 정상 사이트는 공인인증서 비밀번호 입력 시 별도의 인증서 선택 창이 뜨지만, 피싱 사이트는 화면에서 직접 입력하게 돼 있다.

II. 기업 보안 관리자

* 기업 보안 수칙 10계명
1. 운영체제(OS)의 최신 보안 패치를 적용한다.
2. 안티바이러스 대비 상황을 점검한다.
3. 방화벽 설정을 통해 불필요한 포트를 차단한다.
4. 서버에서 불필요한 사용자 계정 및 서비스를 제거한다.
5. 사용 중인 애플리케이션의 로깅 가동, 중요 파일에 대한 무결성 점검, 감사 기능 등을 설정해두고, 중요 서버의 보안 상태를 사전 점검한다.
6. 사용하지 않는 서버의 네트워크를 분리하고 침입차단시스템, 침입탐지시스템 등의 보안 솔루션의 감시 기능을 설정한다.
7. 개인 사용자의 아이디와 패스워드를 점검한다.
8. 신뢰할 수 있는 보안 관련 사이트를 방문해 최신 보안 정보를 수시로 확인한다.
9 중요 시스템의 데이터에 대한 사전 백업 시스템을 구축하고 사이버 테러 발생 시 대응 지침을 공유한다.
10. 보안 문제 발생 시에 대비해 비상 연락 체계를 구축한다. 보안관제 서비스를 받고 있는 경우는 해당 보안관제 업체의 24시간 상황실 연락망을 공유하고 자체 보안관제 시스템을 운영하는 경우 자체 비상 연락망을 공유한다.

사용자 삽입 이미지


안철수연구소 시큐리티대응연구소 조시행 상무는


최근 금전적 이익을 노리고 특정 시스템을 노리는 국지적 공격이 대세이기 때문에 사용자 스스로 정보 보호를 위해 적극적인 관심을 가져야 한다. 믿을 수 있는 보안 소프트웨어를 하나 이상 설치하고, 항상 최신 버전으로 유지하는 한편 실시간 감시 기능을 켜두는 습관이 필수이다. 또한 윈도의 보안 취약점 패치를 철저히 해야 한다.”라고 권고하고 있습니다. 아울러 “기업이나 공공기관의 경우 해킹뿐 아니라 개인 정보 침해 사례가 발생하지 않도록 대비해야 한다.”


라고 주의를 당부했습니다.

Writer profile
세상에서 가장 안전한 이름,
안철수연구소입니다.
2008/02/04 14:00 2008/02/04 14:00
TAG , , ,
0 Trackbacks | 0 Comments

소중한 나의 정보를 지키는 10가지 방법

AhnLab 보안in 2007/08/02 10:17
신문이나 방송에서 연일 보도되는 뉴스 가운데 하나는 미니 홈피 해킹 등으로 인한 유명인의 사진 유출 파문이다. "개인 정보를 어떻게 관리했길래 그래?"라고 혀를 차기 전에 나는 어떤지를 생각해봐야 한다. 아래에 나오는 10가지 사항을 꼼꼼히 따져 본다면 개인 정보 유출의 피해자가 되는 것을 어느 정도는 막을 수 있다.

1. P2P 프로그램의 공유 디렉터리 설정 확인하기

개인 정보 유출의 온상을 꼽자면 P2P 프로그램의 공유 폴더이다. P2P 프로그램이란 개인 대 개인으로 파일을 주고받을 수 있는 프로그램을 말한다. P2P 프로그램을 통해 다른 사람의 PC에 있는 파일을 받을 수 있으며 반대로 내 PC에 있는 파일을 다른 사람에게 줄 수 있다. P2P 프로그램에서는 반드시 자신이 공유할 파일들이 들어 있는 공유 디렉터리를 설정하도록 되어 있다. 이런 공유 디렉터리에 사적인 사진이나 정보 파일을 넣어둔다면 인터넷상에 퍼지는 것은 순식간이다. 물론 P2P 프로그램의 공유 디렉터리에 자신의 개인 정보를 일부러 넣는 사람은 없을 것이다. 하지만 실수로 P2P 프로그램의 공유 디렉터리를 내 컴퓨터나 내 문서 같은 개인 정보가 많이 들어 있는 폴더로 설정한다면 충분히 일어날 수 있는 일이다.

나보안 씨는 백수지만 장래에 보안 전문가가 되는 것이 꿈인 청년이다. 나보안씨는 개인 정보 보안에 매우 철저하여 자신이 사용하는 PC를 엄격하게 사용한다. 그런데 어느 날부터 웹 사이트에 가입하려면 이미 가입되어있다는 메시지를 받기 시작한다. 혹시나 자신의 개인 정보가 유출된 것이 아닌가 걱정하던 나보안씨는 자신이 사용하는 PC에 설치된 P2P 프로그램의 공유 디렉터리가 컴퓨터의 모든 하드 드라이브로 설정되어 있다는 것을 알고 깜짝 놀란다. 원인을 찾아보니 컴퓨터를 막 배우기 시작한 조카가 아직 P2P 프로그램의 사용 방법과 위험성을 잘 몰라 저지른 일이었다. 이로 인해 그간 작성해둔 이력서와 자기소개서가 유출되어 개인 정보가 도용되었던 것이다.


아래 그림은 P2P 프로그램에서 "이력서"라고 검색했을 때 나오는 자료들이 이러한 실수로 유출되는 개인 정보 자료이다. 이력서나 자기소개서는 주민 등록 번호, 주소, 학력 등 그 사람의 모든 개인 정보를 요약해 놓은 문서이다. 이러한 자료가 다른 사람의 손에 넘어간다면 자칫 악의적인 목적으로 사용될 수 있다.


[P2P 프로그램으로 떠도는 개인 정보 파일들]

최근에는 디지털 카메라가 많이 보급되어 스스로 사진을 찍어 파일로 보관하는 일이 많아졌다. 개인 사진 또한 엄연한 개인 정보이며 유출될 경우 개인이 입는 손해와 정신적인 피해는 막대하다. 헤어진 애인과 찍었던 사진을 새 애인이 보게 된다던가, 장난으로 찍은 우스꽝스러운 내 사진이 xx남, oo녀 같은 별명이 붙어 인터넷에 떠돌며 수많은 악성 댓글을 받는 것을 본다면 정말 마음이 아플 것이다. P2P 프로그램에서 검색되는 수많은 개인 사진들은 이런 P2P 프로그램의 공유 폴더 설정을 잘못하여 유출된 사진이 대부분이다.


[P2P 프로그램으로 떠도는 개인 사진들]

P2P 프로그램은 아래와 같이 공유 디렉터리를 설정하는 환경 설정이 있다. 정확하게 설정하여 불필요하게 개인 정보가 유출되지 않도록 주의해야 한다.



2. 웹 하드 프로그램의 업로드 폴더 확인하기

웹 하드란 웹상에 자신의 파일을 올려놓고 공유하는 서비스이다. 파일을 올려놓고 아는 사람과 공유하거나 업무상의 이유로 다른 회사 사람에게 요청한 파일을 전달할 때 주로 사용한다. P2P 프로그램은 각자 연결하여 서로의 파일을 주고받는 방식이지만 웹 하드는 서비스 제공업체의 서버에 파일을 업로드하거나 다운로드하는 방식으로 파일을 공유한다.
웹 하드 프로그램은 대부분 검색 기능을 지원한다. 업로드 해놓은 사람과 관계가 없어도 파일을 손쉽게 검색해서 받을 수 있는 편리한 기능이다. 이러한 검색을 통해 악의적인 목적을 가진 사용자가 개인 정보 파일을 업로드 폴더에서 다운로드할 수 있다. 웹하드 프로그램을 사용할 경우 업로드하는 파일이 개인 정보를 담고 있는지, 업로드하는 폴더를 다른 사람이 접근하거나 검색하여 다운로드할 수 있는지 반드시 확인하여 업로드를 해야 한다.


[웹 하드에 올려진 개인 정보 파일들]


[웹 하드에 올려진 개인 사진들]

3. 미니 홈피나 인터넷상에 중요한 개인 정보를 올리지 않기

미니홈피나 블로그 등 웹 사이트에 자신의 개인 정보 파일이나 대단히 사적인 사진을 올리지 말아야 한다. 미니홈피나 블로그에는 분명 비공개 설정이 있어 자신만 열어볼 수 있는 기능을 제공한다. 그러나 악의적인 목적을 가진 크래커가 비밀번호를 유추해 사진이나 개인 정보를 빼내가는 일이 종종 발생한다. 또한 크래커가 아니라해도 서비스 제공업체 시스템의 문제로 비공개 설정이 공개로 바뀌거나, 개인이 설정을 실수로 잘못하여 공개되는 경우가 많다.

박실연 군은 헤어진 애인과의 추억을 잊지 못하여 미니 홈피의 다이어리를 비공개로 설정해 놓고 혼자 간직하고 있었다. 얼마 후 박실연 군에게도 새로운 애인이 생기자 박실연 군은 그간 간직했던 다이어리를 지울까 고민한다. 하지만 미련이 남아 지우지 못하던 동안 서비스 업체에 장애가 생겨 비공개로 해둔 다이어리가 공개되는 사건이 발생한다. 마침 새로 사귀었던 애인이 그 다이어리를 보고 박실연 군에게 이별을 통보한다. 화가 난 박실연은 서비스 업체를 상대로 소송을 했고, 승소하여 보상금을 받았으나 떠나간 애인은 돌아오지 않았다.


미니 홈피나 블로그에 자료를 올릴 때에는 자료가 유출될 것을 각오하고 올려야 한다. 차라리 중요한 개인 정보 파일이나 사적인 사진은 개인의 PC에 저장하는 것이 가장 안전하다.

4. PC방이나 공공장소에서 PC를 사용한 다음 반드시 로그 아웃하기

우리의 나무심 양은 PC방에서 친구들과 메신저로 대화를 하고 집에 돌아왔다. 미처 정리하지 못한 사진들이 있어 미니 홈피를 열었지만 미니 홈피에 그 동안 올려놓은 사진들이 모두 지워져 있는 것을 발견하고 깜짝 놀라고 말았다. 어떻게 된 것일까? 해킹이라도 당한 것일까?


최근의 메신저는 미니 홈피와 연동하는 기능이 들어있다. 메신저에 로그인하여 쉽게 자신의 미니 홈피를 방문할 수 있도록 추가된 기능이다. 이러한 미니 홈피 연동 기능 때문에 미니 홈피의 자료가 유출되거나 사라지는 일이 발생하고 있다. 무심코 PC방에서 메신저를 사용하다 로그 아웃하지 않고 집에 돌아온다면 다음 사용자에게 내 미니 홈피의 사적인 자료와 비공개 사진을 열람하고 삭제할 수 있는 권한을 주고 가는 일이다. PC방이나 공공장소에서 메신저를 사용하였다면 반드시 로그 아웃을 해야 한다.
웹 사이트 로그인 또한 마찬가지이다. 대부분의 웹 사이트에서는 메일 기능을 제공한다. PC방에서 웹 사이트에 로그인한 후 로그 아웃하지 않고 집에 돌아간다면 다음 사용자에게 내 메일을 모두 읽어도 된다고 허락하는 것과 마찬가지이다.

5. 중요한 파일은 암호 걸린 압축 파일로 보관하기

내 컴퓨터에 유출되면 큰일이 나는 중요한 개인 정보나 사적인 사진을 저장하려면 어떡해야 할까? 암호를 걸어 압축해두는 방법이 가장 좋다. 대부분의 압축 프로그램은 암호화 기능을 제공하고 있다. 암호를 설정하면 압축을 해제할 때 반드시 암호를 입력해야만 해제할 수 있다.


[알집의 암호화 기능]

이건망 군은 건망증이 매우 심하다. 어느 날 자신이 암호를 걸어 압축해둔 파일의 암호를 몰라 끙끙대고 있었다. 그러자 옆에 있던 친구가 "내가 풀어 줄께"라고 하면서 가져가더니 10분도 안되어서 풀어온다. 어떻게 된 것일까?


암호를 설정하여 압축을 하는 것도 중요하지만 암호를 어렵게 설정하는 것이 더욱 중요하다. 압축 관련 프로그램 중에는 압축 파일의 암호를 해제하여 주는 것도 있다. 이러한 프로그램을 실행하면 쉬운 암호가 걸린 압축 파일의 암호는 금방 알아낼 수 있다. 압축 파일의 암호는 최소한 7자리 이상으로 영문과 숫자가 섞인 문장으로 입력해야 이러한 프로그램으로 확인이 어렵다.

6. USB 메모리를 안전하게 관리하기

최근에 저렴한 USB 메모리가 많이 출시되면서 USB 메모리를 가지고 다니는 사람이 많이 있다. USB 메모리는 플로피 디스켓보다 작고 CD와 달리 파일을 지웠다 썼다할 수 있으며, 무엇보다 크기가 작고 이쁘다는 것이 장점이다. 하지만 크기가 작기 때문에 잃어버릴 위험이 크다. 대부분의 USB 메모리를 가지고 다니는 사람은 그 안에 공인 인증서나 중요한 업무 자료를 가지고 다니는 경우가 대부분이다. 그런데 이러한 USB 메모리를 잃어버린다면 어떻게 될까? 개인 정보 유출이나 회사 정보 유출로 이어질 수 있다.
USB 메모리를 잃어버리지 않게 조심하는 것도 좋지만 개인 정보나 중요한 정보는 담아두 지 않는 것이 좋다. 하지만 꼭 그러한 정보를 담아 두고 싶을 때는 보안 기능이 있는 USB 메모리를 사용하는 것이 좋다. 최근에 나오는 USB 메모리에는 보안 기능이 들어 있어 보안 기능이 적용된 폴더는 암호를 입력해야만 접근이 가능하다. USB 메모리를 사려는 분들은 보안 기능이 있는 지를 가장 먼저 살펴보아야 한다.

7. 메신저 대화 내용 지우기

정민감 양은 요새 이상한 기분이 든다. 너무나 싫은 과장님이 있어 과장님 몰래 동료 직원들과 따로 만나 저녁을 먹어도 다음날에는 반드시 과장님이 그 사실을 알고 있다. 메신로만 대화를 나누었고 퇴근할 때는 언제나 메신저를 로그 오프하고 퇴근하는데 어떻게 그러한 내용들을 다 알고 있는 것일까? 누군가가 일러바치는 것일까?


메신저에는 대화 내용을 저장하는 기능이 들어있다. 지금까지 친구와 나눈 대화를 저장하면 전에 무슨 이야기를 했었는지 확인이 쉽지만, 대화가 저장된 파일은 일반적으로 문서나 DB 파일이므로 누구나 열어볼 수 있다. 이러한 대화 내용에는 개인 정보가 많이 담겨있다. 주기적으로 삭제하거나 저장하지 않는 것이 가장 바람직하다.

MSN 메신저

MSN 메신저의 경우 기본적으로 C:\Documents and Settings\로그인 계정\My Documents\받은 파일\MSN 아이디\대화 내용에 저장된다. 해당 폴더안의 xml 파일을 주기적으로 지워주거나 아래와 같이 옵션->메시지에서 대화 내용을 자동으로 저장을 선택 해제하여 사용하는 것이 좋다.



네이트온 메신저

네이트온 메신저의 경우 네이트온 메신저의 설치 폴더 아래쪽에 DB 파일로 대화내용이 저장된다. DB 파일이라 해도 관련 프로그램으로 대화 내용을 열어볼 수 있으므로 로그 오프되어 있거나 통합 메시지함을 통하지 않아도 대화 내용을 확인할 수 있다. 통합 메시지함에서 대화함[PC]의 내용을 주기적으로 지워주거나 아래와 같이 대화 내용 저장을 자동 저장하지 않기로 설정하여 사용하는 것이 좋다.



8. 노트북 안전하게 사용하기

노트북은 이동 가능한 PC이므로 분실의 위험 또한 크다. 노트북에 개인 정보 파일이나 사적인 사진을 저장했다 잃어버리면 문제가 될 수 있다. 노트북 용 잠금 장치를 이용하여 도난을 방지하고 노트북에 개인 정보를 저장할 때는 어려운 암호로 압축을 해 보관해야 한다.

9. 공유 폴더 사용 안하기

공유 폴더는 내 컴퓨터의 파일을 다른 사람과 공유하기 위해 열어두는 폴더이다. 공유 폴더를 잘못 설정하면 이또한 위험하다. 내 컴퓨터의 공유 폴더는 아래와 같이 확인할 수 있다.

윈도우의 시작 버튼을 누르고 실행을 선택한다.
[실행]이 나타나면 열기에 fsmgmt.msc를 입력한다.
아래와 같이 [공유 폴더]가 나타나면 공유를 눌러 내 컴퓨터의 공유 폴더를 확인한다.



원치 않는 공유 폴더가 있다면 마우스 오른쪽을 눌러 공유 중지를 선택하여 공유를 해제한다. 꼭 공유를 해야 한다면 속성을 눌러 접근할 수 있는 사용자를 제한적으로 설정하는 것이 좋다.

참고

$ 기호가 붙어 있는 공유 폴더는 Windows의 관리 목적 공유폴더라 해서 공유 중지를 해도 재부팅하면 다시 생성된다. 이러한 관리 목적 공유 폴더는 Windows 로그인 비밀번호를 알아야만 접근이 가능하므로 해제할 필요는 없다.


10. 보안 제품 사용하기

V3 IS 2007 Platinum 제품과 같은 방화벽이 포함된 보안 제품을 사용하는 것이 바람직하다. 누군가 원격지에서 공유 폴더를 무단으로 접근한다든지 악의적인 목적의 프로그램을 설치하여 키보드 입력 정보를 빼내가는 행위를 하면 개인 사용자로는 그러한 현상을 알아채기 힘들다. 이러한 외부로부터의 공격을 방어하기 위해 보안 제품을 사용하여 실시간으로 감시하는 것이 중요하다.

마치며...

개인 정보가 웹상에 범람하고 있다. 누구라도 마음만 먹으면 개인 정보를 무단으로 습득하는 것은 어려운 일이 아닌 세상이 되고 있다. 각자 조심하라는 말은 많이 들었지만 어떻게 조심해야 하는지 정확하고 세밀한 주의 사항은 들어본 적이 없어 답답한 마음뿐이다. 내 개인 정보 파일이나 사적인 사진이 웹상에 떠도는 안타까운 일을 막기 위해서는 위와 같은 10가지 사항을 십계명으로 정해 지켜야 한다.@

이 글은 안철수연구소 EPI Unit 기술문서팀 이지훈 연구원이 작성하였습니다.
Writer profile
세상에서 가장 안전한 이름,
안철수연구소입니다.
2007/08/02 10:17 2007/08/02 10:17
TAG ,
0 Trackbacks | 0 Comments
1