- 구글은 크롬 플러그인 생태계를 보호하기 위한 보안 장치 마니페스트 V3(Manifest V3) 도입 - 일부 연구원들이 마니페스트 V3(Manifest V3)를 뚫어버리는 데 성공
내용
- 마니페스트 V3(Manifest V3) > 정상적인 브라우저 플러그인들에는 필요한 접근 권한을 주고 악성 플러그인에는 주지 않는 안전 장치 > API 남용을 제한하고, 확장 프로그램이 원격으로 호스팅되는 코드를 가져오지 못하게 하며, 임의 코드 실행으로 이어지는 eval 문 사용을 방지 > 브라우저 플러그인들이 일단 한 번 설치된 후에는 원격의 웹사이트에서 코드를 따로 불러오거나 다운로드 하지 못하도록 하여, 업데이트 등을 통하여 플러그인의 기능이 완전히 바뀌는 일이 일어나지 않음 > 즉 이론상 완벽한 스토어 지킴이라는 것
- 위스콘신대학의 매디슨 연구원들이 마니페스트 V3가 도입된 후 크롭 웹스토어를 속이는 방법 연구 및 성공 > 해당 기능에도 불구하고 악성 플러그인이 여전히 동작하는 것은 플러그인과 웹 페이지 간 상호작용의 패턴이 변하지 않았기 때문 > 브라우저 플러그인들은 여전히 웹 페이지에 수록되어 있는 모든 콘텐츠에 접근할 수 있음 (민감 정보를 입력할 가능성 있는 텍스트 입력 필드 또한 포함)
> 챗GPT와 비슷한 기능을 웹사이트에 추가해 주는 플러그인 개발 및 세 가지 공격 기능 탑재 ① 소스 추출 공격(source extraction attack) ② 명성 및 신뢰 손상 공격(value attack) ③ 가짜 요소 삽입 공격(element substitution attack)
> 연구에 사용된 비밀번호 수집 공격이 가능한 크롬 확장 프로그램 ① 사용자가 정규식을 통해 로그인을 시도할 때 HTML 소스 코드를 캡쳐 ② CSS 선택기를 남용하여 대상 입력 필드를 선택하고, '.value' 함수를 사용해 사용자 입력을 추출 ※ 확장 프로그램 자체에는 악성 코드가 포함되어 있지 않아 정적 탐지를 피하고, 외부 소스 코드를 가져오지 않으므로 마니페스트 V3 우회 ※ 확장 프로그램은 연구 완료 후 즉시 삭제
- 브라우저 플러그인들이 웹 페이지들의 문서 객체 모델(Document Object Model, DOM)에 무한정 접근 권한을 가지고 있다는 것이 문제의 근원 > DOM이란 XML, HTML 문서의 각 항목을 계층으로 표현하여 생성, 변형, 삭제할 수 있도록 돕는 인터페이스 > 개발자가 관련 권한을 줄이거나 삭제하고 있음에도, 약 12.5%의 플러그인이 DOM에 접근 가능하였으며, 190개 정도의 플러그인은 비밀번호 입력 필드에도 접근이 가능한 것으로 조사됨
기타
- 구글의 브라우저 플러그인 생태계 보호를 위한 조치뿐 아니라 사용자들 또한 검증된 플러그인을 설치해야할 필요가 있음
- 위스콘신대학의 매디슨 연구원의 기술 논문에서 주목할만한 웹 사이트 목록 참고 ① gmail.com – HTML 소스 코드의 일반 텍스트 비밀번호 ② cloudflare.com – HTML 소스 코드의 일반 텍스트 비밀번호 ③ facebook.com – DOM API를 통해 사용자 입력을 추출할 수 있음 ④ citibank.com – DOM API를 통해 사용자 입력을 추출할 수 있음 ⑤ irs.gov – SSN은 웹 페이지 소스 코드에서 일반 텍스트 형식으로 표시 ⑥ capitalone.com – SSN은 웹 페이지 소스 코드에서 일반 텍스트 형식으로 표시 ⑦ usenix.org – SSN은 웹 페이지 소스 코드에서 일반 텍스트 형식으로 표시 ⑧ amazon.com – 신용 카드 세부 정보(보안 코드 포함) 및 우편 번호가 페이지 소스 코드에 일반 텍스트 형식으로 표시
- 데일리시큐 "[진단] 국민의힘·더불어민주당·정의당, 입법부 대표 정당들의 개인정보보호 민낯"
> 개인정보 처리방침 문구에 대한 강조가 되어있지 않음
> 이전 개인정보 처리방침 변경 내용 확인 불가
> 개인정보 열람요구서와 위임장 등을 다운로드 할 수 있는 기능 없음
> 개인정보 처리방침 문서 내 '개인정보 취급방침' 용어 사용
> 개인정보 수집항목 관련 필수항목과 선택항목을 구분해 고지하지 않음
- 관련하여 지자체, 금융, IT, 의료, 교육 등 여러 사이트의 개인정보 처리방침을 확인
> 기사에서 언급된 문제점 또는 추가적인 문제점이 있는지를 검토
2. 주요내용
- 모공제조합 개인정보 처리방침의 내용에서 문제점으로 판단되는 총 5가지 항목 확인
- 국민신문고를 통해 개인정보보호위원회에 문의 진행
2.1 가시성 문제
- 개인정보 처리방침의 조항별 글씨 크기 및 글씨체의 차이를 보여 가시성이 떨어짐
[사진 1] 글씨 크기 차이 문제점
- 「개인정보 보호법」 제30조는 개인정보처리자에게 개인정보 수립·공개의무를 부과
> 제4항에 따라 보호위원회는 「개인정보 처리방침 작성지침」을 제공
「개인정보 보호법」 제30조(개인정보 처리방침의 수립 및 공개)
① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다. <개정 2016. 3. 29., 2020. 2. 4.> 1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유 기간 3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다) 3의2. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다) 4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다) 5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항 6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처 7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다) 8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항 ② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다. ③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다. ④ 보호위원회는 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
개인정보 처리방침 작성지침
개인정보처리자는 법 제30조제1항 각 호 및 영 제31조제1항 각 호의 사항을 명시적으로 구분하여 작성해야 하며, 개인정보 처리 현황을 투명하고 구체적으로 수립 및 공개하여야 함
개인정보 처리방침은 누구나 이해하기 쉬운 명확하고 평이한 언어로 안내하여야 하며, 특히 해외사업자의 경우 국내이용자가 이해할 수 있는 쉽고 명확한 한글로 정보를 제공하여야 함
- 이에 따른 답변은 다음과 같음
① 「개인정보 보호법」 제30조 제4항에따라 보호위원회는 「개인정보 처리방침 작성지침」을 정하여 그 준수를 권장할 수 있음
② 즉, 권장 사항이므로 권장 내용을 따르지 않았다고 해서 처벌의 대상이 되지 않음
③ 단, 법에 따른 필수 작성항목을 법령에 따라 적정하게 작성하고 있어야함
- 개인정보 처리방침이란 개인정보처리자의 개인정보 처리 기준 및 보호조치 등을 작성하여 문서화한것을 말함
> 「개인정보 보호법」 제30조 제2항에따라 정보주체가 확인하기 쉽게 공개할 것을 의무화
> 또한, 개인정보 처리방침의 목적은 개인정보 처리의 투명성을 높이고, 정보주체에게 자신의 개인정보가 어떻게 처리되고 있는지 처리방침을 통해 상시적으로 확인 및 비교하도록 하여 개인정보 자기결정권을 보장하기 위함이라고 생각함
- 해당 목적을 달성하기 위해서는 개인정보처리자가 정보주체로 하여금 이해하기 쉽도록 작성하는것을 보장하도록 할 필요가 있음
> 법에서 명시한 내용을 문서에 모두 포함하였다고 하여도, 내용 작성 방식의 문제로 인해 정보주체가 쉽게 확인 및 이해하지 못하는 문제가 충분히 발생할 수 있을 것으로 생각되기 때문
2.2 열람요구서, 위임장 등 다운로드 기능 부재
- 데일리시큐의 기사에서는 열람요구서, 위임장 등을 다운로드할 수 있는 기능이 없음을 문제점으로 지적
> 확인 결과 일부 사이트의 경우 다운로가 아닌 해당 파일이 위치한 경로 또는 법 별지 서식 이용 안내
- 공제조합 또한 별지 서식이용을 안내하고 있음
> 따라서, 단순히 다운로드 기능이 없다고 해서 문제점으로 지적하는 것은 합당하지 않다고 판단하여 문의 진행
- 이에 따른 답변은 다음과 같음
> 열람요구서 및 위임장 다운로드 기능과 관련하여, 개인정보 처리방침에 포함하는 것을 의무화하지 않음
> 개인정보 처리자의 자율에 맡겨진 사항
- 정보주체는 개인정보처리자가 처리하는 자신의 개인정보를 열람한 후 정정 또는 삭제를 요구할 수 있음
> 해당 과정을 처리하는 방식이 업종별로 상이할 수 있겠지만, 정보주체의 권리를 보장하기 위해 통일된 방식을 사용하는 것이 좋을것 같음
2.3 개인정보보호법 시행규칙 단어 사용
- 개인정보보호법에서 행안부령(행정안전부)으로 정하던 사항을 개인정보보회위원회가 정하여 고시하도록 개인정보보호법이 개정됨
> 따라서, "개인정보보호법 시행규칙" 단어를 삭제하거나 다른 단어로 정정되어야 할 것임
- 공제조합은 개인정보보호법 시행규칙을 아직 사용하는 것으로 확인
[사진 2] 개인정보보호법 시행규칙 사용
- 이에 따른 답변은 다음과 같음
> 기존의 「개인정보 보호법 시행규칙」 은 현재 「개인정보 보호 처리 방법에 관한 고시」 로 변경
> 용어의 변경이 필요함
- 관련 내용은 23.09.15부터 시행되는 개인정보보호법에 의거 개선될 것으로 기대됨
제30조의2(개인정보 처리방침의 평가 및 개선권고)
① 보호위원회는 개인정보 처리방침에 관하여 다음 각 호의 사항을 평가하고, 평가 결과 개선이 필요하다고 인정하는 경우에는 개인정보처리자에게 제61조제2항에 따라 개선을 권고할 수 있다. 1. 이 법에 따라 개인정보 처리방침에 포함하여야 할 사항을 적정하게 정하고 있는지 여부 2. 개인정보 처리방침을 알기 쉽게 작성하였는지 여부 3. 개인정보 처리방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 여부 ② 개인정보 처리방침의 평가 대상, 기준 및 절차 등에 필요한 사항은 대통령령으로 정한다. [본조신설 2023. 3. 14.] [시행일: 2023. 9. 15.] 제30조의2
2.4 개인정보 수집 항목 관련 필수 및 선택 항목 미분류와 과다수집
- 「개인정보 보호법」 제3조 제1항에서 목적에 필요한 최소한의 개인정보만을 적법하고 정당하게 수집하도록 지정
> 작성지침에서는 수집목적에 필요한 최소한의 정보(필수항목)와 그 외의 정보(선택항목)을 구분하여 기재 안내
* 다만, 선택항목을 따로 두지 않고 필수항목만을 수집하는 경우에는 필수항목/수집항목을 구분하지 않아도 됨
- 공제조합의 경우 필수와 선택항목의 구분이 없으며 원적, 본적, 종교 등 불필요한 정보를 수집하는 것으로 판단
- 이에 따른 답변은 다음과 같음
>구체적 사실확인이 필요한 사안으로 일률적으로 답변하기 어려움
2.5 개인정보 자동 수집 장치의 설치ㆍ운영 및 거부에 관한 사항
-「개인정보 보호법」 제30조 제1항 제7호에서개인정보 자동 수집 장치의 설치, 운영 및 근거에 관한 사항을 포함하도록 지정
> 작성지침에서는 쿠키와 같이 개인정보를 자동으로 수집하는 장치를 설치 및 운영할 경우, 설치 및 운영, 그 거부에 관한 사항을 기재하여야 함
[사진 3] 작성지침에 따른 작성 예시
- 공제조합의 경우 관련되 내용을 "생성정보 수집 툴을 통한 수집"으로 안내
- 이에 따른 답변은 다음과 같음
>구체적 사실확인이 필요한 사안으로 일률적으로 답변하기 어려움
[사진 4] 공제조합의 안내
3. 문의 및 답변 전문
문의
답변
안녕하세요.
데일리시큐를통해 국내 입법부 대표 정당의 개인정보 처리방침 관련 문제점을 확인하였습니다.
관련하여 지자체, 금융, IT, 의료, 교육 등 여러 사이트의 개인정보 처리방침을 확인하여 기사에서 언급한 문제점과 기타 문제점이 있는지 찾아보았습니다.
모공제조합 개인정보 처리방침을 보던 중 궁금한 사항이 있어 문의 드립니다.
① 가시성 문제 개인정보 처리방침 작성 가이드라인에 따르면 정보주체가 쉽게 확인할 수 있도록 작성해야 하는 것으로 확인됩니다.
하지만, 조합의 개인정보 처리방침을 확인해보니 각 조항의 글씨 크기 및 글씨체가 큰 차이를 보이고 있어 가시성이 확보되지 않는 것으로 판단되어 문의 드립니다.
② 열람요구서, 위임장 등 다운로드 기능 부재 데일리시큐에서 확인한 기사에 따르면 열람요구서와 위임장 등을 다운로드 할 수 있는 기능이 없는 점을 문제점으로 꼽았습니다.
하지만, 일부 사이트의 경우 다운로드가 아닌 해당 파일이 위치한 경로나 개인정보보호법 시행령의 별지 서식을 사용하는 것을 안내하고 있었습니다.
조합의 경우에도 시행령 별지 서식 이용을 안내하고 있습니다.
그렇다면, 기사에서 언급한 다운로드 기능 부재의 경우는 문제점으로 선정할 수 없을것이라고 생각되어 문의 드립니다.
③ 개인정보보호법 시행규칙 단어 사용 개인정보보호법에서 행안부령으로 정하던 사항을 개인정보보호위원회가 정하여 고시하도록 변경됨에 따라 20.08.05부터 개인정보보호법 시행규칙이 전부 폐지된 것으로 알고있습니다.
조합의 경우 "개인정보 보호법 시행규칙" 또는 "개인정보보호법시행규칙" 단어를 사용하고 있는 것으로 확인되어 문의 드립니다.
④ 개인정보 수집 항목 관련 필수 및 선택 항목 미분류와 과다수집 개인정보 처리방침 작성 가이드라인에서는 필요한 최소한의 항목(필수항목)과 그 외 정보(선택항목)을 구분하여 기재하며, 필수항목만을 수집하는 경우에는 구분하지 않아도 된다고 안내하고 있습니다.
조합의 경우 필수 및 선택 구분을 두지않고 있으며, 수집하는 개인정보 또한 원적, 본적, 해외여행, 종교 등 불필요한 정보를 수집하고 있는것으로 판단되어 문의 드립니다.
⑤ 개인정보 자동 수집 장치의 설치ㆍ운영 및 거부에 관한 사항 개인정보 처리방침 작성 가이드라인에서는 쿠키 등과 같이 개인정보를 자동으로 수집하는 장치를 설치 및 운영할 경우 설치ㆍ운영 및 거부에 관한 사항을 공개하도록 되어있습니다.
조합의 경우 수집방법의 하나로 생성정보 수집 툴을 통한 수집으로만 안내를 하고있어 관련 정보가 부족하다고 판단되어 문의 드립니다.
1. 안녕하십니까? 귀하께서 국민신문고를 통해 신청하신 민원(신청번호 -)에 대한 검토 결과를 다음과 같이 알려드립니다.
2. 귀하께서는 개인정보 처리방침과 관련한 것으로 이해됩니다.
3. 귀하의 질의사항에 대해 검토한 의견은 다음과 같습니다.
가. 「개인정보 보호법」 제30조는 개인정보처리자에게 개인정보 수립·공개의무를 부과하고 있으며, 보호위원회는 개인정보의 처리방침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있습니다. 이에 「개인정보 처리방침 작성지침」은 권장 사항이며 법에서 정하고 있는 개인정보 처리방침 필수 작성항목을 법령에 따라 적정하게 작성하고 있다면 처리방침 작성지침에서 권장하는 내용을 따르지 않았다고 해서 처벌의 대상이 되지 않습니다.
나. 개인정보 처리방침의 가시성과 관련해서 표준지침에 따르면 개인정보처리자가 개인정보 처리방침을 작성할 때에는 법 제30조제1항 각 호 및 영 제31조제1항 각 호의 사항을 명시적으로 구분하되, 알기 쉬운 용어로 구체적이고 명확하게 표현하도록 하고 있습니다.
다. 열람요구서 및 위임장 다운로드 기능과 관련해서 개인정보 처리방침 작성지침이나 표준지침에서는 이 같은 기능을 추가할 것을 의무화하고 있지 않으며 개인정보처리자의 자율에 맡겨진 사항임을 알려드립니다.
라. 개인정보 보호법 시행규칙 단어 사용과 관련해서, 기존의 「개인정보 보호법 시행규칙」 은 현재 「개인정보 보호 처리 방법에 관한 고시」 로 변경되었으므로 용어의 변경이 필요함을 안내드립니다.
마. 개인정보 수집 관련 필수, 선택항목 구분, 불필요한 정보인지 여부 및 개인정보 자동수집장치와 관련된 방식의 적합성 여부 등과 관련해서는 구체적 사실확인이 필요한 사안으로 일률적으로 답변드리기 어려운 점 양해 바랍니다.
4. 귀하의 질문에 만족스러운 답변이 되었기를 바라며, 답변 내용에 대한 추가 설명이 필요한 경우 -에게 연락주시면 친절히 안내해 드리도록 하겠습니다. 감사합니다. 끝.
- 계정정보를 대상으로한 공격의 증가 및 비밀번호 관련 취약점으로 인해 Passwordless 인증방식이 대두
-Passwordless 도입 전 개선사항 및 준비사항이 필요
2. 근거
2.1 비밀번호 생성 규칙
- 『개인정보의 안전성 확보조치 기준』 제5조(접근 권한의 관리) > 인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다
- 『개인정보의 안전성 확보조치 기준 해설서』 > 당한 접속 권한을 가지지 않은 자가 추측하거나 접속을 시도하기 어렵도록 문자, 숫자 등으로 조합·구성하여야 한다고 규정
- 『개인정보의 기술적·관리적 보호조치 기준』 제4조(접근통제) 제7항. 제8항 > 정보통신서비스 제공자등은 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고, 이행한다. > 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고, 이를 적용ㆍ운용하여야 한다.
- 한국인터넷진흥원 패스워드 선택 및 이용 안내서
> 안전한 패스워드란 ① 제3자가 쉽게 추측할 수 없고, ② 공격자가 알아내는데 많은 시간이 요구되며, ③ 대문자, 소문자, 특수문자, 숫자 중 두 종류 이상의 문자구성과 8자리 이상 또는 10자리 이상의 길이로 구성된 문자열을 의미
> 또한 각 사이트별로 상이한 비밀번호를 설정하도록 권고
2.2 비밀번호 인증 방식의 문제점
구분
설명
취약한 계정 보안
① 2020년 한국인터넷진흥원의 계정관리 보안실태 설문조사 결과
⒜ 사용 목적별 계정 생성 방식 - 업무용 계정과 개인 계정을 구분한다고 응답한 사용자는 62.38%(1,313명) - 서비스마다 다른 아이디를 사용하는 사용자는 3.09%(65명) - 업무 및 개인 계정을 구분하지 않고 완전히 동일한 계정을 사용한다 또한 26.46%(557명)
⒝ 사용 계정별 비밀번호 설정 방식 - 각 계정마다 비밀번호를 완전히 다르게 설정한다에 답한 사용자는 41.52%(874명) - 완전히 동일하게 설정하는 사용자는 18.95%(399명)
⒞ 비밀번호 설정 시 참고 정보 - 생일, 주민등록번호, 전화번호, 이름 등 사용자의 개인정보를 이용하거나, 유추하기 쉬운 비밀번호를 설정 55.91%(1,244명)
취약한 비밀번호 설정
① Nordpass는 2019년부터 전 세계적으로 가장 많이 사용되는 비밀번호의 순위를 공개
⒜ 2022년 전 세계적으로 가장 일반적인 비밀번호 - ① password ② 123456 ③ 123456789 ④ guest ⑤ qwerty ⑥ 12345678 ⑦ 111111 ⑧ 12345 ⑨ col123456 ⑩ 123123 등
⒝ 2019년부터 2021년까지 Top 10 - 12345, qwerty, password 등 간단하게 설정된 비밀번호가 꾸준히 상위권을 기록
계정 정보 탈취 위협 증가
① InfoStealer 악성코드 증가 - 피싱 메일의 첨부파일 등을 통해 유포되며 - 사용자 PC에서 웹 브라우저에 저장되어있는 계정정보, 신용정보, 파일 등 사용자 정보를 탈취하는 것이 목적인 악성코드
② 범죄 발생 비율 대비 낮은 검거율 - 경찰청에서는 계정도용, 단순침입, 자료유출, 자료훼손 항목을 해킹으로 구분 > 2021년 기준 발생한 전체 해킹 중 계정도용 비율은 약 50% > 검거율은 과반에도 미치지 못함 (공격 기법의 고도화 원인)
③ 해킹 그룹이 자주 사용한 침해 전술 - 공통적으로 공격자들은 알려진 취약점, 피싱, 유효한 크리덴셜을 악용하여 기업의 내부 네트워크에 침입 및 데이터를 탈취
④ 국내외 침해 사고 원인을 분석한 결과 80% 이상이 사용자의 비밀번호 탈취나 도용에 의해 발생한 것으로 확인
비밀번호 관리 비용 및 시간 문제
① 평균적으로 비밀번호 입력 또는 재설정에 1주당 12.61분을 소모하며, 이를 연간 비용으로 환산할 경우 약 520만 달러에 달하는 것으로 조사
3. Passwordless
-Passwordless란 사용자들이 비밀번호를 기억하거나 입력하지 않고 시스템에 로그인할 수 있는 인증 방법
> NordPass의 2022년 연구에 따르면 한 사람당 평균적으로 약 100개의 비밀번호를 사용
> 2020년 한국인터넷진흥원의 계정관리 보안실태 설문조사 결과 비밀번호 관리를 위해 여러 방법을 사용
> 메모, 별도 저장장치 이용, 자동저장, 비밀번호 관리 프로그램 이용 등
3.1 동향
구분
설명
정부 차원
① 미국 바이든 행정부 ‘국가 사이버 안보 전략(National Cybersecurity Strategy)’ 발표 - 안전한 사이버 생태계 구축 목적으로, 인증 시스템에 대한 투자 및 개발을 강조
② 국내 국정원 ‘국가용 보안요구사항(Security Requirement for Government)' - 국정원은 국가기관 IT 운영 관리의 안전성 강화를 위해 사용자 인증체계 개편안을 발표 > 개정 전: 지식 기반 인증 기본 체계 - 생체인증 추가 제공 > 개정 후: 생체 인증, FIDO 인증 기본 체계 - PIN 번호, 지식 기반 인증 추가 제공
기업 차원
① 가트너 보고서 - FIDO2 프로토콜을 이용한 인증 시스템이 2021년 5% 미만에서 2025년 25%로 성장을 예상
② 22.05 Apple, Google, Microsoft - 서비스하는 OS 플랫폼이나 브라우저에 관계없이 모바일 장치에서 FIDO를 기반으로 한 인증 시스템을 도입할 것이라는 계획을 발표
③ 국내 Passwordless 동향 - 한국정보인증의 SaaS형 OTP 서비스 싸인플러스(SignPLUS) 도입 등
3.2 고려사항
구분
설명
다중인증(MFA)의 필요성
- 패스워드가 없는 인증만 적용할 경우 사용자를 식별하거나 검증할 수 있는 단계가 부족 - 보다 강력한 보안을 위해 4가지의 다중 인증 요소를 고려 > '소유’, ‘속성’, ‘행위’, ‘장소’ 기반의 인증 방식 > 각 장단점을 고려하여 두 가지 이상의 인증방식을 결합하여 적용
사용자 프라이버시 침해
- 생체정보의 해킹으로 인한 개인정보 침해 가능성이 존재 > 고유한 특징을 반영하기 때문에 도용되거나 복제되는 경우 중대한 보안문제로 이어질 수 있음 - 생체정보 처리 시스템의 보안성 강화 및 라이프사이클 전반에 걸친 규정 마련
사용자 접근성과 편의성
- Passwordless의 목적은 비밀번호 관리와 관련된 부담의 절감 - 인증 수단의 변화에 따른 접근성과 편의성을 보장해야할 필요성 > 사용자의 기기와 환경에서 인증방식이 호환되지 않거나 복잡한 방식으로 로그인 인증을 적용할 경우 본 목적 퇴색
제도적 준비
- 현행법상 중요 정보가 저장된 시스템에 접근하기 위해서는 비밀번호는 필수 - Passwordless의 근본적인 차이가 존재하므로 관련된 규정 및 표준 등 마련 필요 > Passwordless 시스템은 비밀번호를 사용하지 않고, 비밀번호를 사용하더라도 서버에서 생성한 일종의 OTP를 사용
연동 문제
- 휴대폰을 사용한 인증은 사전에 등록한 휴대폰(하드웨어)에 종속 > 인터넷상에서 주민등록번호 입력을 최소화하기 위한 목적으로 도입 및 제공자 측의 간단한 도입과 사용자의 편리한 사용 등의 장점 - 휴대폰 변경, 분실 등에 따른 연동을 유지 및 변경할 수 있는 수단이 필요
E-mail 인증
- 매직 링크를 통한 사용자 인증은 하드웨어에 종속되지 않음 - 매직 링크의 안전한 전송을 위한 수단 및 피싱 공격으로부터 보호할 수단이 필요 > NIST는 VoIP(Voice-over-IP) 또는 이메일과 같이 특정 장치의 소유를 증명하지 않는 방법의 경우 사용자 인증에 적용을 금지
FIDO 오류
- 인증 정보의 입력 방법이 단순화된 것으로, 아직 사용자는 비밀번호를 사용 - 생체인증 정보를 단독으로 사용하기 위해서는 비밀번호와 결합하거나 비밀번호에 준하는 정보를 요구해야 할 필요 > Tencent와 Zhejiang University에서 학습용 지문 데이터를 활용하여 휴대전화의 지문인식을 우회하는 ‘브루트 프린트’ 연구 결과가 발표
서드파티
- 단일 인증 요소만을 탈취하여도 로그인이 불가능하도록 다중 인증 도입 - 인증코드 발급시에도 일회용 인증코드를 발급하는 등 공격자가 사전에 알아낸 정보로는 접근할 수 없도록 구현
4. 기대효과
① 보다 안전한 인증 시스템의 구현 기대
- 관련된 규제 및 표준, 최소요구사항 등을 다방면으로 고려하여 사전에 마련
> 통일화된 시스템으로 보안성을 높일뿐더러 관리의 용이성 및 사용자의 편의성을 함께 충족
② 사용자 신뢰도 향상
- 인증 시스템의 신뢰도는 서비스 제공측 뿐만 아니라 사용자측면에서도 중요
- 새로운 환경으로의 변화에 따른 기술에대한 사용자의 여러 우려가 존재
> Passwordless는 사용자 인증을 위한 기술이기 때문에 더욱 고려해야할 문제
③ 비밀번호 관련 취약점 등 문제점 개선
- 사용자들은 많은 계정 정보를 관리하며, 이전 비밀번호를 재사용하거나, 한 두자를 변경하여 비밀번호 변경
> 공격자들은 특히 비밀번호를 대상으로 잘 알려진 취약점, 사회공학적 공격 등으로 비밀번호 탈취를 시도
- Passwordless는 비밀번호를 사용하지 않는 인증이기 때문에 이러한 문제점을 개선
- Exchange 서버에서 입력값 검증이 미흡하여 발생하는 SSRF 취약점으로 Exchange서버로 인증이 가능
> 영향받는 버전: Microsoft Exchange Server 2013, 2016, 2019
> 공격자는 해당 공격을 통해 Exchange 서버에 접근할 수 있는 일부 권한 획득 및 추가적인 공격을 진행
CVE
설명
CVE-2021-26857
Exchange 서버에서 안전하지 않은 역직렬화로 인해 발생하는 임의코드실행 취약점
CVE-2021-27065
Exchange 서버에서 발생하는 임의파일쓰기 취약점
CVE-2021-26858
[사진 3] 취약점 악용 과정 요약 [3]
2.1 CVE-2021-26855
- Front-End로 들어온 사용자의 요청을 Back-End로 전달 하기위해 ProxyRequestHandler 모듈을 사용 [4]
사용자 접속 페이지
사용자 요청 처리 모듈
최상위 모듈
/owa
OwaProxyRequestHandler
ProxyRequestHandler
/ews
EwsProxyRequestHandler
/ecp
EcpProxyRequestHandler
- ProxyRequestHandler.GetTargetBackEndServerUrl() 메서드 > urlAnchorMailbox의 값이 Null일 경우 Back-End의 Host 값을 this.AnchoredRoutingTarget.BackEndServer.Fqdn에서 가져옴
protected virtual Uri GetTargetBackEndServerUrl() {
this.LogElapsedTime("E_TargetBEUrl");
Uri result;
try {
UrlAnchorMailbox urlAnchorMailbox = this.AnchoredRoutingTarget.AnchorMailbox as UrlAnchorMailbox;
if (urlAnchorMailbox != null) {
result = urlAnchorMailbox.Url;
} else {
UriBuilder clientUrlForProxy = this.GetClientUrlForProxy();
clientUrlForProxy.Scheme = Uri.UriSchemeHttps;
clientUrlForProxy.Host = this.AnchoredRoutingTarget.BackEndServer.Fqdn;
clientUrlForProxy.Port = 444;
if (this.AnchoredRoutingTarget.BackEndServer.Version < Server.E15MinVersion) {
this.ProxyToDownLevel = true;
RequestDetailsLoggerBase<RequestDetailsLogger>.SafeAppendGenericInfo(this.Logger, "ProxyToDownLevel", true);
clientUrlForProxy.Port = 443;
}
result = clientUrlForProxy.Uri;
}
}
finally {
this.LogElapsedTime("L_TargetBEUrl");
}
return result;
}
- /owa에서 사용자 요청이 올 경우 this.AnchoredRoutingTarget.BackEndServer 값은 BEResourceRequestHandler 모듈의 ResolveAnchorMailbox() 메소드를 통해 결정
> 이때, 사용자 요청에서 "X-AnonResource-Backend" 쿠키의 값을 필터링 없이 그대로 사용
> 따라서, 공격자는 해당 헤더를 접근 불가능한 내부 사이트 또는 다른 서버로 조작하여 접근이 가능하게 됨
protected override AnchorMailbox ResolveAnchorMailbox() {
HttpCookie httpCookie = base.ClientRequest.Cookies["X-AnonResource-Backend"];
if (httpCookie != null) {
this.savedBackendServer = httpCookie.Value;
}
if (!string.IsNullOrEmpty(this.savedBackendServer)) {
base.Logger.Set(3, "X-AnonResource-Backend-Cookie");
if (ExTraceGlobals.VerboseTracer.IsTraceEnabled(1)) {
ExTraceGlobals.VerboseTracer.TraceDebug<HttpCookie, int>((long)this.GetHashCode(), "[OwaResourceProxyRequestHandler::ResolveAnchorMailbox]: AnonResourceBackend cookie used: {0}; context {1}.", httpCookie, base.TraceContext);
}
return new ServerInfoAnchorMailbox(BackEndServer.FromString(this.savedBackendServer), this);
}
return new AnonymousAnchorMailbox(this);
}
- /ecp에서 사용자 요청이 올 경우 this.AnchoredRoutingTarget.BackEndServer 값은 BEResourceRequestHandler 모듈의 ResolveAnchorMailbox() 메소드를 통해 결정 > 이때, 사용자 요청에서 "X-BEResource" 쿠키의 값을 필터링 없이 그대로 사용 > 공격자는 해당 쿠키를 조작하여 내부 서버에서 계정 정보를 획득 및 악용하여 인증을 우회할 수 있음
2.2 CVE-2021-26857 [5]
- Exchange 서버에서 안전하지 않은 역직렬화로 인해 발생하는 임의코드실행 취약점
> 메일 서버 침투 후 해당 취약점을 이용해 관리자 권한을 획득하여 시스템을 장악
2.3 CVE-2021-27065 [6]
- Exchange 서버에서 발생하는 임의파일쓰기 취약점
> 메일 서버 침투 후 OAB(Offline Address Book) 설정 파일에 한줄 웹쉘을 삽입(=재설정) 후 실행 명령을 포함한 요청을 전송해 웹쉘 실행
> OAB를 재설정하는 과정에서 경로 및 확장자를 검토하는 코드가 없어 공격자가 원하는 위치에 원하는 확장자로 파일 생성 가능 [4]
※ OAB : MS Exchange Server에서 제공하는 주소록 기능으로 Outlook이 Exchange Server와 통신할 때 다운 받게 되는 주소록으로, Exchange server와 통신하지 않는(오프라인) 상황에서 해당 파일을 참조
[사진 4] WriteFileActivity.Run()
2.4 CVE-2021-26858 [7]
- Exchange 서버에서 발생하는 임의파일쓰기 취약점
3. 대응방안
① 벤더사에서 제공하는 업데이트 적용 [8][9]
- 특정 쿠키 값 조작 후 접근 불가 사이트 접근 및 인증우회를 방지하기 위한 유효성 검증 코드 추가
- 웹쉘 실행을 방지하기 위해 생성되는 파일의 확장자에 .txt 확장자를 추가하는 코드 추가
- KISA 보호나라 보안 공지 참고 업데이트 적용 [10]
> 즉각적인 업데이트가 불가할 경우 KISA 보호나라 임시 조치 방안 참고 [11]
② 운영체제 및 사용중인 주요 SW의 보안 업데이트 적용 ③불필요한 네트워크 서비스의 경우 중단 또는 기능 삭제 ④방화벽 설정 등을 통해 외부에서 들어오는 스캐닝 등 차단 ⑤웹쉘 업로드 여부 모니터링 및 관련 보안 SW 적용 ⑥지속적 접근을 위한 스케줄러 등록 작업 검토 ⑦공개된 공격도구들에 대한 시그니처를 보안장비에 등록하여 차단 또는 탐지하도록 설정 ⑧로그 모니터링 ⑨공개된 침해지표 등을 보안장비에 등록 등
사실 미션임파서블은 들어보기만 했지 실제로 관람한 적은 없었던 것 같다. 에단 헌트 역을 맡은 톰 크루즈님이 대역 없이 다양한 액션신을 소화해 내는 영화로만 알고 있었다. '미션임파서블 7 데드레코닝'을 관람한 후기를 한마디로 정의하자면 신기술 AI와 관련하여 우리가 어떤 자세를 취해야 하는지 제고시켜주는 영화라고 생각했다.
전반적인 패션, 기술, 문화 등 여러 분야에서의 트렌드를 영화, 음악, 예능과 같은 대중문화에서 잘 보여준다고 생각한다. 왜냐하면 대중문화야말로 일반 대중에게 소개되어 공감을 얻어야 관심을 끌 수 있고 여러 커뮤니티 등에서 실시간으로 공유되며, 이를 통해 밈과 유행어 같은 새로운 문화가 형성된다고 생각하기 때문이다.
미션임파서블 7에서 AI는 '엔티티'라는 강인공지능이 메인 빌런으로 등장한다. 엔티티는 무한한 연산을 통해 미래를 예측하여 원하는 미래로 유도하고, 이를 계속하고 학습ㆍ계산ㆍ예측ㆍ활용하여 끊임없이 엔티티가 유도하는 미래로 설계되도록 한다. 영화에서는 핵잠수함의 레이더를 조작해 존재하지 않는 적 잠수함과 어뢰를 만들어 결과적으로 핵잠수함을 침몰시키고, 가짜 핵폭탄을 보내거나, AR 선글라스를 조작하고, 무전을 해킹해 목소리를 흉내 내는 등 다양한 모습을 보여준다.
엔티티는 일련의 학습과 예측으로 통신망을 장악하고, 여러 디지털 기기를 순식간에 해킹하며 통신 중간에 개입해 교란을 발생시키나, 아날로그 기기에는 접근할 수 없다는 단점을 이용해 연식이 오래된 인공위성이나 모터보트 등 디지털이 아닌 통신장비를 이용했다. 또한, 디지털 기기여도 전원이 꺼지면 통제가 불가능하며, 자신의 예상 범위를 벗어나면 당황한 모습을 보여주는 단점이 있다.
사실 AI와 관련된 논의는 이전부터 계속되어 왔으며, 최근 챗GPT를 시작으로 AI와 관련된 기술과 연구ㆍ개발에 관심이 집중되고 있다. 국제적으로는 기술 우위를 선점하려는 움직임과 관련된 규제 및 표준을 마련하기 위한 움직임이 있다. 어느 분야에서나 그러하듯이 AI 기술 개발에 찬성하고 권장하는 입장이 있으며, 반대하고 우려를 표하는 입장 또한 존재한다.
국제사회의 경우 23.07.18 유엔 안전보장이사회는 AI의 위험을 주요 안건으로 올렸으며, 이는 안보리 역사상 AI와 관련된 첫 공식 논의였다. 우리나라의 경우 인공지능 시장에서 기술 우위를 점하기 위해 여러 노력을 하고 있으며, 국정원에서 생성형 AI 활용 보안 가이드라인을, 한국지식재산연구원에서 내년 상반기 중 완성을 목표로 생성형 AI를 둘러싼 쟁점을 정리하고 이를 규율할 가이드라인과 법안을 마련하는 연구를 맡게 돼었다.
비슷한 내용으로 얼마 전 개봉한 '명탐정 코난:흑철의 어영'에서도 AI 기술이 등장한다. 인터폴의 최첨단 정보 해양 시설인 '퍼시픽 부이'에서 개발 중인 '전연령 인식' 이라는 AI 기술을 차지하려는 검은 조직과 코난 일행의 추격전을 그려낸 영화이다. 영화에 따르면 '전연령 인식' 기술은 일본과 유럽의 CCTV를 확인할 수 있을 뿐만 아니라 장기 수배범이나 유괴당한 피해자를 전 세계에서 찾아낼 수 있는 기술이라고 한다. 또한 영화는 살인사건에 딥페이크를 이용하는 등 AI의 부정적인 모습도 그려낸다. 해당 기술을 사용하면 어린아이로 위장해 검은 조직의 비밀을 파헤치려는 코난과 하이바라의 정체가 발각되는 것은 시간문제일 것이다.
제2차 세계대전이 한창이던 때 미국에서 루스벨트 대통령과 이론물리학자 로버트 오펜하이머의 주도하에 약 13만 명을 동원해 핵폭탄 개발 프로젝트 '맨해튼 프로젝트'를 극비리에 진행했다. 루스벨트 대통령이 뇌출혈로 사망한 후 취임한 트루먼(당시 부통령)이 담당자로부터 관련된 보고를 받고 프로젝트의 존재를 알게 된 만큼 극비리에 진행되었던 연구였다. 결과적으로 미국은 어느 나라보다 핵폭탄을 먼저 개발하였고, 이를 일본 히로시마와 나가사키에 각 한 발씩 투하함으로써 전쟁을 끝낼 수 있었다. 당시에는 전쟁을 끝냈다는 것에 성취를 느꼈으나, 머지않아 핵폭탄의 엄청난 파괴력을 실감한 여러 국가들이 핵실험을 시작했고, 현재 세계 각국이 보유한 핵무기의 양은 지구를 몇 번씩이나 파괴하고도 남을 정도라고 한다. 이에 전 세계는 핵확산금지조약, 국제원자력기구 등을 설립해 핵 확산을 억제하고 있지만, 아직까지도 핵우산, 상호확증파괴 등의 전략이 존재하는 아이러니한 상황이 연출되고 있다.
이처럼, 인류는 궁극적으로는 도움이 되는 기술을 개발하기 위해 여러 실험을 진행해 다양한 결과를 도출시킨다. 단순히 인류에 도움을 주기 위함이라는 안일한 생각에서 끝나지 않고 더 나아가 해당 기술로 인해 발생 가능한 장단점을 기술, 문화, 외교, 역사, 민생 등 다양한 방면에서 충분한 논의를 거쳐야 할 필요가 있다고 생각한다. 또한, 기술이 인류의 통제를 벗어나지 않도록 각 국가별 윤리적 규범과 제제 및 법률뿐 아니라 국제적인 협력이 필요할 것으로 생각된다.
- 오바마 정부 백악관 주도 근간마련 > 트럼프 정부 CISA 설치 등 부처/기관 대응 중심 > 바이든 정부 ONCD 설립 등 백악관 주도
> 핵심 정부 조직: 국가안전보장회의(NSC), 국토안보부(DHS), 사이버보안 및 인프라보안국(CISA), 국가사이버실(ONCD)
※ 국가사이버실(ONCD) 주요 기능
① 국가/연방 Cybersecurity 정책 수립 및 범정부 조정의 총괄
② 예산관리국(OMB)와 협력하여 Cybersecurity 예산과 자원에 대한 검토 및 결과 평가
③ 부처, 기관, 기업, 파트너, 학계, 비영리단체, 국제 동맹과의 긴밀한 협력 추진
④ 디지털 생태계에 중요한 공공/민간의 Cybersecurity 인재의 체계적인 양성 계획 수립
- 23.03 National Cybersecurity Strategy 및 23.07 National Cybersecurity Strategy Implementation Plan 발표
> Cybersecurity는 대부분의 분야에 필수적이며 공공과 민간의 강력한 협업은 사이버공간 확보에 필수적
⒜ S/Wㆍ시스템 복잡성과 취약점 확대, AI의 보급 및 확산은 신규 위협, 악의적 감시, 조작 등의 위협 증가로 이어짐
⒝ 지적 재산 절도, 중요인프라 및 랜섬웨어 공격 등 악의적인 사이버 활동의 진화
※ 사이버 공간의 복원력을 위해 Cybersecurity에 대한 책임을 효과적이고 공평하게 재조정 하였으며, 장기적 투자를 선호하도록 인센티브를 재편성
구분
전략
설명
National Cybersecurity Strategy (국가 사이버 보안 전략)
주요 기반시설 방어
- 주요 기반시설 보호 관련 지속적ㆍ효과적 사이버방어를 위한 협력모델 강화 > 연방정부의 각 기반시설 Cybersucirty 규정 강화 > CISA-SRMAs 간 협력 지원, 기반시설의 관리서비스제공 기업 등 산업계 등과 민ㆍ관 협력 강화 > 연방 사고대응 및 프로세스 업데이트
위협 행위자 저지 및 무력화
- 국가 안보, 공공안전을 위협하는 악의적 행위자 무력화 위한 모든 국력과 수단 사용 > 연방정부 차원의 사이버 범죄 저지 > 연방과 민간과의 상시 공동대응 협력 > 위협 인텔리전스 공유 속도 및 규모 향상 및 피해 알림 확대 > 사이버범죄 대응과 랜섬웨어 퇴치
보안ㆍ복원력 촉진을 위한 시장 형성
- 혁신과 경쟁을 유지하되 디지털 생태계 위험감소의 가장 적합한 대상에게 책임 부과 > 개인데이터 관리 책임 강화 > 연방 R&D 및 조달과정을 통한 IoT 보안 향상, IoT Security Label Program을 통한 시장경쟁 유도 > SW 제조ㆍ공급자에 대한 책임 강화 및 취약점 공개 장려 > 주요 기반시설 대상 연방 Cybersecurity Grant Program 도입, 연방조달을 이용한 보안 책임 강화
복원력 있는 미래에 투자
- Cybersecurity 산업은 미래 필수 분야 이며 집중적인 투자를 통해 기술개발 > 인터넷의 안전한 기술기반 마련 > 양자내성암호 체계 전환, 디지털 ID 생태계 등 Cybersecurity 관련 新기술 분야 개발 및 인센티브 지급 > 연방 Cybersecurity 인력양성
공동 목표 추구를 위한 국제 파트너십 구축
- 사이버 공간을 모든 국가가 책임 있는 행동을 취하는 개방ㆍ자유ㆍ신뢰의공간으로 유지 > 디지털 생태계 발전을 위한 글로벌 파트너십 강화 > 책임 있는 국가 행동에 대한 사이버 공간 글로벌 규범 강화 > 5G, 반도체, 통신 등 안전한 글로벌 공급망 확보 노력 등
National Cybersecurity Strategy Implementation Plan (국가 사이버 보안 전략 실행 계획)
국가 사이버 사고 대응 계획 업데이트
- 사이버 사고에 대해 "A call to one is a call to all" 정책을 보다 완전하게 실현하기 위해 국가 사이버 사고 대응 계획을 업데이트 - 사고 대응 및 복구에서 연방 기관의 역할과 능력에 관한 외부 파트너에 대한 명확한 지침도 포함
랜섬웨어 퇴치
- 합동 랜섬웨어 T/F를 통해 랜섬웨어 및 기타 사이버 범죄에 대응 - 랜섬웨어 수익금 세탁 등 랜섬웨어 생태계 교란 작전 수행
소프트웨어 자재 명세서
- SBOM(SW Bill of Material)에 대한 국제 실무자급 워킹 그룹 활동 전개 - EoL/EoS를 위해 전 세계적으로 액세스할 수 있는 데이터베이스에 대한 요구 사항을 조사
주요 사이버 보안 표준 주도
- 국가 표준 전략에 따라 NIST는 국제 사이버보안 표준화 작업에 적극 참여 - 양자 암호 알고리즘에 대한 표준화 추진 및 전환 지원
국제 사이버 공간 및 디지털 정책 전략
- 지역협의체 등에서의 사이버 협업 및 조정을 위한 기관 감 팀 구성 - 국제 사이버 공간 및 디지털 정책 전략 발표
※ 23.06.27 백악관은 국가 사이버 보안 전략 5대 전략에 따른 2025 회계연도 예산에 대한 사이버보안 우선순위 지침 발표
구분
설명
시사점
공급자에 대한 책임 대폭 강화
- 미국 공급망 참여 기업의 책임 강화 > 미국 공급망에 참여하는 국내 기업에 대한 책임 강화에 대비 필요
사이버 복원력 강화를 위한 집중 투자
- 연방 정부의 인센티브와 지원은 복원력 확보에 필요한 新기술 및 인재 양성에 집중 > 국내 사이버 복원력 지원 정책수립시 미국이 주력하는 분야 고려 필요
사이버 사고에 대한 국가의 책임
- 재해 수준의 치명적인 사이버 사고 발생시 복구에 대한 국가의 책임 명시 > 사이버 사고에 대한 안전장치마련을 위한 '기금 조성'등 검토 필요
1.2 영국의 사이버안보 전략
- 영국은 유럽 사이버공격 전체 사례의 43%로 가장 많은 공격을 받은 국가
> 22년 기업의 39%가 사이버 공격을 받고, 인터넷 사용자당 사이버 범죄 피해자 수가 4,783명으로 전세계에서 가장 많음
- 09년 국가사이버안보전략(NCSC)는 첫 번째 전략 수립을 시작으로 11년부터 5년 주기 전략 수립 및 21년 국가사이버전략(NCS) 명칭 변경
> 국가안전보장회의(NSC) 주도로 발간하며, 내각부외 정부 보안그룹(GSG)은 사이버보안 전략 실행을 위한 재정지원 프로그램인 NCSP 관리와 조정을 담당
> 미국과 지속적으로 사이버공격에 대한 공동귀속, 제재 부과 등의 활동 수행 및 집단안보 강화를 위해 공세적 대응 지원
구분
설명
2009년
- 사이버안보 전략 최초 발표 - 사이버공간에서 안전, 보안, 복원력 강조 - 내각부 사이버안보실(OCS)와 정보통신본부 사이버보안관제센터(CSOC)를 설치 - 사이버안보 향상을 위한 투자확대, 민관협력 강화 강조
2010년
- 2010년 국가안보전략 발표 및 사이버공격이 국가 안보의 최우선 위협으로 포함
2011년
- 시장의 논리에 기반하였으며, 정부 역할을 자제함 - 전략에 따라 영국 침해사고 대응팀(UK-CERT), 군사이버예비군(Military Cyber Reserve) 설치 - 사이버위협 식별 및 대응, 복원력 구축을 위한 역량 강화, 국제협력 강조
2015년
- 2015년부터 전략 이행에 대한 연간 성과 보고서 발표
2016년 [4]
- 시장의 논리에 기반한 사이버안보에 한계가 있음을 드러내고, 적극적 정부개입 의지를 표명 - 방어(Defend), 억제(Deter), 개발(Develop) 3대 목표에서 16가지 세부과제 제시 - 전략을 통해 사이버위협을 예방하고, 사고 발생시 복원력을 강화하여 안전한 디지털 세계 구축 및 경제적 번영을 추구하고자 함 - 능동적 사이버 방어(ACD, Active Cyber Defense)시작 > 정부가 사이버 공격 예방ㆍ보호를 위한 도구/서비스를 제공하여 공격 진입장벽을 높이고, 대규모 피해를 막기위한 프로그램 > 1) 공공부문 사이버보안 강화, 2) 보안 자동화, 3) 정부의 적극적 개입, 4) 보고 투명성 강화, 5) 민간기관과의 협력
2021년
- 국방안보검토(IR, Intergrated Review): 2030년까지의 국가 비전 및 전략, 이를 달성하기 위한 목표 제시 - 체제 경쟁으로 사이버공간에서의 경쟁 급증을 조명하고, 사이버 역량이 국가차원에서 더 중요해 질 것을 강조 - 과학기술 개발에 대한 적극적 투자 및 사이버 역량 강화를 최우선 과제로 제시
2022년 [5]
- IR의 방향에 기반하여, 5가지 전략목표로 2025년까지 이행활동 및 성과목표 제시 - 국익달성을 위한 핵심가치로 사이버파워의 중요성을 강조하고, 범사회적 접근방식을 채택 - 공급망 보안을 국가안보적 문제로 인식하고, 암호화 및 핵심기술을 국가 주도로 연구ㆍ개발하고, 공급망 다양화로 의존도를 낮추고자 함 - 사이버평가체계(CAF) 적용, 국가사이버군(NCF)의 적극적 활용 및 사이버범죄에 대해 강력 대응할 계획을 밝힘
※ 사이버평가체계(CAF) ⒜ 필수서비스제공자가 14가지 NIS 사이버보안 원칙을 충족하는지 평가하기 위한 도구 ⒝ 조직의 자체평가, 독립적인 외부기관 및 규제기관(또는 적절한 자격을 갖춘 기관)에서 사용하도록 개발 ⒞ 결과를 중심으로 평가 ⒟ 전 기관에서 채택하여 각 기관의 사이버 복원력 수준을 일관된 방식으로 평가ㆍ관리
- 전략 목표 1) 영국의 사이버 생태계 강화: 관ㆍ산ㆍ학 간 강력한 파트너십 기반 인력, 연구, 경쟁력 있는 기술 개발 주도 목표 2) 회복력 있고 번영하는 디지털 영국 구축: 위협에 대한 이해, 예방ㆍ방어체계확보, 공격 영향 최소화ㆍ복구 역량 확보 3) 사이버 파워에 필수적인 기술 선도: 사이버보안 핵심기술에 대한 우위 유지, 능동적인 접근방식 추진 4) 영국의 글로벌 리더십과 영향력 향상: 사이버공간에서 영국의 이익과 가치를 위해 적극적 참여 및 리더십 역할 수행 5) 위협이 되는 적들을 탐지, 방해, 저지: 사이버공간에서 영국을 공격하는 데 소요되는 비용과 위험을 증가시켜 공격 억지
- 접근방식 변화 > IT 및 사이버 분야 투자확대 및 기술 우위, 포괄적 국가 사이버 전략, 사회 전체의 노력, 사이버파워를 외교정책 핵심 의제화, 정부주도의 사이버보안 촉진, 적의 교란 억지, 지속적 활동
2023년
- 러-우 전쟁 등 안보환경 급변에 따른 전략안보검토서를 주기보다 빠르게 발표하고 관련 예산 확보하고자 함 - 사이버 역랑을 영국의 전략적 우위 창출의 필수요소로 인식
구분
설명
전략의 특징
- 국익 달성을 위한 핵심 가치로 사이버 파워 강조 및 예산 투자 확대 - 정부 자체의 사이버보안 강화 및 정부 주도의 사이버안보 강화 노력 촉진 - 전략 이행 경과 보고서, ACD 프로그램 연간 이행 보고서 등 정부 노력 공유 및 신뢰도 향상 - 사이버위협 대응 및 억지를 위한 일상적 공세적 작업 강조 (미국의 지소적 개입과 유사한 방향) - 지속적인 전문가 및 인력 양성을 위한 교육 프로그램, 자격제도, 인증 확대와 이를 위한 조직 신설
국내 시사점
- 전략 이행 및 정부의 사이버안보 강화 노력 공개를 통한 투영성 제고 - 적법한 절차의 공세적 사이버 대응을 위한 국내 거버넌스 구축 - 장기적인 국가 사이버안보 기반 구축을 위한 인력 양성 및 전문기관 설립 필요 - 국가 사이버안보 및 전략 우위를 위한 장기적인 핵심 기술 우선순위화 및 연구개발 투자 확대
1.3 일본의 사이버안보 전략
- 사이버 전략은 아베 내각이 추진한 포괄적 안보개혁의 핵심 영역
> 디지털 사회의 발전보다 선행했던 사이버 전략은 아베 내각 이후 안보개혁과 연계되어 본격 추진
> 사이버 공간은 디지털 플랫폼, 유무선 네트워크, 기술변화에 따른 사회경제적인 영향력에 따라 안보문제로 담론화
> 사이버 공간의 안보화: (1) 정보보호, 범죄예방 (2) 사이버 공간의 안보화 (3) 사이버 공간의 군사화
구분
설명
2000년대
- 양질전화: 연루, 규범억지 - 사이버 안보의 '일본모델'은 비전통 안전부문의 일본역할 및 경제협력 확대 목적 - 정보보호, 사이버범죄 예방 차원에서 사이버 공간을 전통안보화 하는 사이버 독트린 형성 > 법제와 전략: IT 기본법 기반 정보시큐리티 전략 발표 > 사이버 거버넌스: IT 전략본부산하 정보시큐리티정책회의 중심 정부주도 거버넌스 체계 > 사이버 국제협력: 경제이익 보호 차원 다자협력 (특히, ASEAN에 대한 정보시큐리티 협의)
아베내각
- 이슈연계: 거부억지(2018) - 보편적 가치와 규범 중시 외교안보 전략 수단으로서 양자 사이버 협력 대폭 확대 - 포괄적안보개혁의 맥락에서의 사이버 전략: 전통안보의 사이버 안보화 > 법제와 전략: 사이버시큐리티기본법 형성 > 사이버 거버넌스: 사이버 전략 전담 기구 독립 및 정부주도 거버먼트 체계(컨트롤타워) > 사이버 국제협력: 법치, 신뢰구축, 역량구축 목적이 다자협력 및 사이버 양자협력 주도
2020년대
- 국가안보: 공세적억지(2021) - 사이버 위협의 방어, 억지, 상황억지를 위한 사이버 협력 강화 (훈련, 인력, 기술 등) - 군사적, 공세적, 통합적 사이버 전략 구체화 > 법제와 전략: 디지털기본법 > 사이버 거버넌스: NSC 중심 기술(디지털청), 안보(사이버전략본부) 기관의 협력 체계 > 사이버 국제협력: 우주, 사이버, 전자파 영역의 통합 및 군사협력 확대 (전망)
1.4 공통점
- 각 국가별 사이버안보 정책에 따른 공통점은 다음과 같은 것으로 판단됨
① 주요기반시설 등 국민의 생활과 밀접히 관련된 사이버공간의 회복력, 지속력 강조
② 사이버위험 세력에 대한 합법적 법위 내 선제적ㆍ공세적 대응
③ 국제 공조를 통한 사이버위험 세력 제재 및 국제 협력을 통한 표준, 규제, 가이드라인 등 마련
④ 사이버공간에서 기술적 우위를 선점하기 위한 규제, 예산, 인력, 기술 확보를 위한 각 국가별 노력
⑤ 양자암호, AI 등 신기술에 따른 새로운 사이버위험에 대한 대응 강조 등
2. 제2세션: 우리나라의 새로운 국가사이버안보전략 수립 방향
구분
설명
사이버안보와 관련된 정책, 법제, 인력 등 확립 필요성
- 사이버보안은 모든 분야에 해당하고 고려해야하는 문제 > 챗GPT, AI 등 기술 변화가 미치는 영향 고려 > 공급망 공격의 확대에 따른 보안성 향상 및 벤더사 책임 강화 등 고려 > 안보적, 경제적, 기술적 문제를 모두 포함
- 23.04 한미 정상회담에서 '전략적 사이버안보 협력 프레임워크' 채택 - 현 상황에서 우리나라의 역할 수립을 위한 장단점 식별이 필요한 상황
⒜ 법적 제도 마련의 필요성 - 현재 제한적인 환경이며, 사이버안보와 관련된 법제의 미비로 편법으로 접근 및 처리 - 꾸준히 사이버안보기본법 제정이 논의되어 왔으며 선 제정 후 조정을 거칠 필요성
⒝ 사이버안보 관련 프레임워크 구축의 필요성 - 현재 일부 연구기관에서 제한적으로 개발 및 시행하고 있으나 실질적으로 적용하지 못함
⒞ 국제적 표준 형성에 적극적인 참여의 필요성 - 현재 우리나라는 사이버안보 관련 국제 흐름에 소극적인 참여 - 기술 개발, 인력 양성, 국제 규범 형성 등에 적극적인 참여가 필요
⒜ 국가 차원의 일원화된 대응체계 구축의 필요성 - 사이버안보법 제정과 국가사이버안보위원회 설치가 명시되어야 함
⒝ 글로벌 사이버안보 위험에 대한 대응 활동 강화의 필요성 - 해킹에 대한 적극적인 대응이 명시 - 악의적인 사이버침해에 대한 공세적 대응과 유사입장국들과 공동 대응이 명시되어야 함 - '각 국가들', '주요국', '유사입장국' 등의 구별을 두어 차등적 협력이 필요
⒞ 국제사회와 사이버안보 공조 강화의 필요성 - 국제사회의 사이버규범 논의에 적극적으로 참여할 것이 명시되어야 함 - 사이버안보 관련 국제 협정 참여 필요 ex. 한미 전략적 사이버안보 협력 프레임워크 등 - '국제법에 따른 대응조치'와 '국제법에 따른 대응조치를 포함한 적절한 대응'의 구별이 필요
⒟ 사이버안보 기반 역량 강화 - 역량 강화는 사이버안보 생태계의 지속 확충의 일환 - 민간부문과의 정보 공유와 공동 대응 등의 실천 방안을 명시되어야 함 - 사이버안보와 우주활동의 상호 불가결한 관계를 고려한 우주활동 명기
국가 전략 전반의 맥략에서 사이버안보의 고려 필요성
- 좁은 의미의 사이버안보전략을 넘어서는 일종의 Beyond 사이버안보전략 필요 > 사이버안보 전략은 국가안보 전략 전반 및 국가전략 전반의 문제의식과 접함 > 따라서, 일부 분야에 국한된 문제가 아닌 모든 분야를 포함한 복합적인 고려가 필요
⒜ 정보화/지구화 추세 속에서 형성된 복합적 흐름을 반영 - '사이버'를 넘어서 '안보'로 가는 지정학적 트렌드 - 사이버 안보 분야의 국제협력 강화 트렌드 - 전통적 동맹론을 넘어서 동지국가 협력, 동아시아 지역협력, 국제기구 협력 등을 포괄
⒝ 사이버안보전략에서 활용하려는 공간 개념에 대한 고려 - 사이버공간은 탈지정학적인 공간으로 이와 관련된 고려가 필요함
⒞ 규범과 가치에 대한 고려 - 사이버안보 분야에 대한 우리나라의 국제적 책임과 역할 고려
⒟ 중견국으로써의 사이버국가책략을 마련하는 문제의식
우리나라의 국가사이버 안보 위상을 고려한 적극적인 역할을 강조
- 우리나라의 사이버안보 위상 확대 > 동아시아내 우수한 사이버안보 활동 > 한미 정상회담에서 '전략적 사이버안보 협력 프레임워크' 채택 > 아시아 최초 NATO 사이버방위 협력센터 가입 > 국제사이버훈련장 개소 예정 및 우리나라 주도 국제 사이버훈련을 기획 및 시행할 예정
⒜ 위협국가 명시 - 이미 국가안보전략에서 사이버 위협 국가로 북한이 명명 - 미국의 경우 러시아, 중국, 북한, 이란을 명시 - 일본의 경우 러시아, 중국, 북한을 명시
⒝ 관련된 위험을 담당할 기관 및 역할 명시 - 사이버위험과 관련된 전략의 이행을 구체화ㆍ실현화하기 위한 목적 - 확실한 임무를 부여하기 위함
⒞ 민관 협력 - 사이버 공격에 민간의 서비스와 인프라를 악용하기 때문에 관련 협력을 명시
⒟ 국제 협력 - 기존: 기술적 중심의 사이버안보정책 (취약점 보안, 예방 정책 등) > 안보 위험 세력에 대한 제재 또는 불이익을 가하기 위한 수단이 없었기 때문에 예방차원을 강조 - 전망: 위협 국가 규명을 통한 선제적 대응 강조 흐름 (국제 제재, 국제 규범) > 한미 정상회담에서 '전략적 사이버안보 협력 프레임워크' 채택 > 미국과 협력을 통한 중국 ICT 제품 취약점 공동 분석 발표 등
⒠ 미래 위험 - AI, 양자 컴퓨터 등 신흥 기술과 관련된 위험과 대응방안을 명시
⒡ 이행 계획 - 23.07 미국 사이버 안보 전략에 따른 이행 계획 발표 > 18개 기관이 69개 과제 발표하였으며, 2026년까지 이행 목표 - 우리나라의 경우 19년 전략 발표 이후 전략 이행을 위한 100대 과제 발표
⒢ 예산 확립 - 전략 이행을 위한 충분한 예산 확립 필요
2.1 우리나라 국가사이버안보전략 동향
- 2019년 문재인 정부에서 최초로 국가사이버안보전략 발간 [7]
> 국가사이버안보전략은 사이버안보 정책의 최상위 지침서
① 어떠한 사이버위협에도 국민 생활에 밀접한 서비스를 중단 없이 제공할 수 있도록 국가운영 시스템의 생존성과 복원력을 강화한다. ② 우리의 사이버공간을 쉽게 침해할 수 없도록 대비태세를 강화하고 불의의 사고 발생시 신속하게 대응할 수 있는 역량을 확충하는 등 국가 사이버위협 대응역량을 지속적으로 고도화한다. ③ 민(民)·관(官)·군(軍) 간 신뢰와 협력을 바탕으로 사이버안보 수행체계를 확립하고 사이버안보의 핵심역량이 되는 기술, 인력, 산업 경쟁력 향상을 위한 성장기반을 확충한다. ④ 국민 모두가 사이버안보 중요성을 인식하고 실천하는 안전한 사이버 문화를 정착하고, 사이버안보 관련 국제규범 형성을 주도하는 등 사이버안보 선도국가로서 리더십을 확대한다.
> 이에 따라, 범부처 차원 '국가사이버안보 기본계획(’19~’22)'을 수립·시행 [8]
※ 6대 전략과제 및 100개의 세부 과제
전략과제
중점과제
세부 과제수
국가 인프라 안전성 제고
- 국가 정보통신망 보안 강화 - 주요정보통신기반시설 보안환경 개선 - 차세대 보안 인프라 개발
24
사이버공격 대응 고도화
- 사이버공격 억지력 확보 - 대규모 공격 대비태세 강화 - 포괄적ㆍ능동적 수단 강구 - 사이버범죄 대응역량 제고
28
협력 기반 거버넌스 정립
- 민ㆍ관ㆍ군 협력 체계 활성화 - 범국가 정보공유체계 구축 및 활성화 - 사이버안보 법적기반 강화
16
사이버보안 산업 성장
- 사이버보안 투자 확대 - 보안 인력ㆍ기술 경쟁력 강화 - 보안기업 성장환경 조성 - 공정경쟁 원칙 확립
14
사이버보안 문화 정착
- 사이버보안 인식 제고 및 실천 강화 - 기본권과 사이버안보의 균형
9
국제협력 선도
- 양ㆍ다자간 협력체계 내실화 - 국제협력 리더십 확보
9
- 윤석열 대통령의 사이버안보 관련 대선 공략 [9]
> 이에 따라, 22.11.08 국정원은국가사이버안보 기본법 제정(안) 입법예고 [10]
> 한미 정상회담에서 '전략적 사이버안보 협력 프레임워크' 채택 > 아시아 최초 NATO 사이버방위 협력센터 가입 > 국제사이버훈련장 개소 예정 및 우리나라 주도 국제 사이버훈련을 기획 및 시행할 예정 등
① 23.07.18 티레이더 배틀 유지관리 외주직원이 부정한 수단 및 방법으로 개인정보 무단 유출
원인
① 외주직원들에대한 시스템 접근 통제 문제로 판단됨 ※ 2023 공공기관 정보보안 실태 평가 결과 서버ㆍ네트워크ㆍ보안장비 등 정보시스템에 대한 접근통제가 미흡한 것으로 확인됨
조치
① 유안타증권 - 유출 사실을 인지한 뒤 경찰에 신고해 현재 해당 외주직원은 수사 진행 중 - 수사기관에 적극 협조해 신속하고 정확한 수사가 이뤄질 수 있도록 노력 중 - 현재 유출 의심 경로로 의심되는 부분을 찾아 접근을 모두 차단 - 스팸, 보이스피싱 등 2차 피해 주의 공지 게시 및 비밀번호 변경 안내 - 개인정보 악용으로 의심되는 전화, 문자 수신 시 피해 접수 담당부서로 연락하도록 안내 - 개인정보 유출 여부 조회는 수사기관으로부터 수령하는 즉시 제공
기타
- 티레이더 배틀은 유안타증권 주식계좌를 보유한 사용자가 개인 또는 팀을 이루어 투자대회를 열고 진행하는 플랫폼
- 이번 유출로 금전적 피해가 발생한 것은 아니지만 2차 피해 우려가 있음
- 유안타증권은 지난해 말 부터 고객 정보 유출 정황을 파악한 것으로 확인 > 23.02.01, 23.05.19 두 차례에 걸쳐 "유안타증권 직원사칭 주의 경보" 공지 게시 ※ 해당 공지와 유출 사태는 별개의 건이라 주장 > '유안타증권 고객님들께만 드리는 혜택' 등 스팸문자 또한 확인
- 금융감독원 정기감사와의 관련 여부 의심 > 유안타증권은 지난달부터 약 4주간에 걸쳐 회사의 경영실태와 취약부문 점검을 받았으나 해당 사안은 발견되지 못함
