정보보안 및 개인정보보호 ( 수요일 ) 김 은 주 1
강사소개 김은주 – 숭실대학교 자연과학대학 정보통계학과 졸업 ( 컴퓨터 복수전공 ) – 숭실대학교 일반대학원 컴퓨터학과 석사과정 ( 세부전공 : 인공지능 ) – 숭실대학교 일반대학원 컴퓨터학과 박사과정 ( 세부전공 : 인공지능 ) – 현재 숭실대학교 베어드학부대학 강사 – 연구분야 신경망, 추천 시스템, 검색, 데이터마이닝 인터넷 중독, 개인정보 보호 2
강의 일정 3 시간내용 1 9:00 ~ 10:20 강의 소개 정보보호의 필요성 (1) 2 10:40: ~ 12:00 인터넷에서 개인정보 보호 점심시간 (12:00~13:00) 4 13:00 ~ 14:20 개인 컴퓨터 보호 무선랜 보안 5 14:40 ~ 16:00 USB 보안 정보보호 10 대원칙 6 16:00 ~ 16:50 질문 및 설문조사
[ 참고 ] 최근 보안사고의 주요배경에 대한 설문 ☞ 2011 년 10 월 4
개인정보 침해 사례 5
최신 개인정보 유출 네이트 개인정보 유출 – 해킹으로 인한 2011 년 7 월 26 일 데이터베이스 에 저장된 가입자 3500 만명의 아이디, 비밀번 호, 이름, 주민번호, 연락처 등의 개인정보가 유 출된 사건 – 전문가의 분석 결과 중국발 해킹으로 SK 커뮤 니케이션즈 내부 개발자의 PC 를 해킹해서 벌어 진 사고라고 관측됨 – 사건 이전부터 메신저 피싱이 자주 있어 사용자 들에게 해킹여부를 의심받고 있었음
최신 개인정보 유출 개인정보 유출이 문제가 되는 것 – 보이스피싱 / 메신저 피싱을 이용한 금전적 피해 – 유출된 주민번호, ID, PW 를 이용하여 다른 사이트에 접속 후 다른 2 차 범죄 가능 추가 개인정보 추출 사이버 머니 무단 사용 개인 이메일 등 해킹
최신 개인정보 유출 메신저 피싱 – 메신저 피싱 (Messenger Pishing) 이란 타인 의 인터넷 메신저 아이디 (ID) 와 비밀번호 (Password) 를 입수해 로그인한 뒤 이미 등록 돼있는 친 · 인척, 지인 등에게 1:1 대화를 시 도하면서 금전을 탈취하는 수법을 말함 – 신길동 김모씨의 예제
메신저 피싱 패턴 1. 주로 반말로 인사를 한다. - 잘지내 ? 있어 ? 등의 친근한 반말 투로 인사를 함 2. 돈이 급하다며 보내줄 수 있는 지 물어 본다. - 하루이틀 쓸 돈이며 이자까지 준다고 이야기 함 3. 돈이 없다면 얼마까지 보내줄 수 있는 지 물어본다. 9
실제 사례 아는형 ( ) 님의 말 : 머해 ? 야수 ( ) 님의 말 : 일하죠 야수 ( ) 님의 말 : 사무실 아는형 ( ) 님의 말 : 바뻐지금 ? 야수 ( ) 님의 말 : 얘기하세요 아는형 ( ) 님의 말 : 미치겟어지금 야수 ( ) 님의 말 : ? 야수 ( ) 님의 말 : 왜요 ? 아는형 ( ) 님의 말 : 뭐야,, 지금 급히 친척한테 입금을해야되는데 10
메신저 피싱 패턴 확인 방법 – 친한 사람인 경우 가족관계를 질문한다. : 동생이 없는 사람에게 동생 잘 있냐 ? 등등 – 말을 최대한 많이 걸어 확인 할 것 – 돈을 보낼 때는 전화로 다시 걸어 확인하고 돈을 전송할 것 – 어떠한 이유라도 절대 개인정보를 말해주지 말 것 – 의외로 전문직 지식인층에서 피싱에 잘 걸린 다고 함 절대 방심 금물 11
메신저 피싱 해결하기 해킹된 비번을 최대한 빨리 바꾸기 – 간혹 해킹한 곳에서 비밀번호를 바꿔놓는 경 우가 있음 해당 메신저 업체에 신고 사이버 수사대 신고 ( 12
대규모 사건 1999 년 4 월 26 일, CIH 바이러스 – 악성코드에 감염된 PC 의 하드디스크에 있는 모 든 자료 파괴 – 하루 동안 감염된 PC 는 100 여만대, 당시 국내 PC 보급대수 750 만대의 13% ☞ 정부, ‘ 정보화 역기능 방지 종합대책 ’ 마련ㆍ 시행 2003 년 1 월 25 일, 슬래머 웜 (Slammer Worm) –9 시간 동안 인터넷 마비, 몇 분만에 전세계 7 만 5,000 여대의 PC 접속 불능 ☞ 정부, 2004 년 2 월, 국가사이버안전센터 (NCSC) 설립ㆍ관리규정 제정 13
대규모 사건 2009 년 7 월 7 일, DDoS 공격 – 국내 및 미국 주요 사이트에 대한 순차적 공격 발생 – 이후 2010 년 같은 날 다시 공격이 있었음 ☞ 정부, ‘ 사이버안보 마스터플랜 ’ 수립, 사이 버안전관리규정 시행령 강화 2011 년 4 월 12 일, 농협 정보시스템 사이버 테 러 ☞ 정부, ' 금융회사 IT 보안강화 종합대책 ‘ → 정보보호책임자 (CISO) 의무화 14
DDos( 디도스 ) 분산서비스거부 (DDoS, Distribute Denial of Service) 공격 – 수십 대에서 많게는 수백만 대의 PC 를 원격 조종해 특정 웹사이트에 동시에 접속시킴으 로써 단시간 내 과부하를 일으키는 행위 – 좀비 PC 를 이용한 공격 – 트래픽 유발 + 서버의 자원 고갈 15
DDos( 디도스 ) 특징 – 네트워크 대역이 감당할 수 없는 많은 양의 트래픽을 순간적으로 발생시킴 – 특정 웹사이트에 과부하를 일으켜 서버의 마 비를 유도하거나 불편을 야기 – 공격의 목적은 자료를 유출하거나 삭제하는 것 아니라 단순히 이용을 차단 – 공격의 특성상 초기 진원지를 추적하기가 어 렵고 재발 가능성이 있어 위협적 16
DDos( 디도스 ) DDoS 공격 과정 – 공격자들은 자동화 프로그램을 통해 한 번에 여러 PC 에 명령을 내림 – 사전에 다른 사람들의 PC 에 악성코드 ( 봇넷 ) 를 설치해 원격에서 제어 – 감염된 PC 는 공격자의 명령에 따라 움직임 → ‘ 좀비 PC’ 17
DDos( 디도스 ) -7.7 디도스 18 ①② ? ? ③ ③ ③ 다운로드 PC 감염 한국 : 11 만 6 천대 74 개국 : 16 만 6 천대
DDos( 디도스 ) 19 한국ㆍ미국 24 개 사이트 한국 40 개 사이트 특정 조건 완료 시 좀비 PC 하드디스크 파괴 모든 좀비 PC 하드디스크 파괴 동일한 악성코드 6 개 이상의 변종 악성코드 無有 없음 백신 업데이트 및 홈페이지 접근 방해 총 115,044 대 ( 최대 공격 좀비 PC 47,123 대 ) 총 77,207 대 ( 최대 공격 좀비 PC 51,434 대 ) 363 억 ~544 억원 ☞ 산출 : 현대경제연구원
인터넷에서 개인 정보 보호 20
안전한 인터넷 사용 화면에 인터넷 익스플로러가 1 개 이상인 지 확인 할 것 – 개인정보 유출을 위한 악성코드나 피싱사이 트로 연결될 수 있음
안전한 인터넷 사용 내 계정이 안전한지 확인하기 – 네이버 ( 네이버 홈페이지 에서 로그인 하기 회원정보로 이동 로그인 정보 보기 – 다음 ( 다음에 로그인 내 정보 로그인 기록 22
IP 탐지 23
USB 바이러스 방지 24
USB 바이러스 USB 디스크 내의 파일 변형 및 삭제 USB 디스크 내의 내용 삭제 USB 디스크 내의 악성코드 파일을 숨겨 놓아 시스템에 감염을 연속적으로 시킴
USB 바이러스 제거 방법 V3 등 백신을 최신 업데이트 하기 정밀 검사로 USB 검사 26
USB 바이러스 제거 만약 파일이 사라지는 바이러스라면 – 내 컴퓨터에서 USB 디스크의 이름 확인 ( 이 노트북은 E:) – 시작버튼 실행 ( 혹은 프로그램 및 실행파 일 ) 에 cmd 입력 –E: 입력 후 엔터 –attrib /s /d –s –h *.* 27
USB 바이러스 예방 공용컴퓨터를 사용할 때 조심할 것 되도록이면 모르는 컴퓨터를 이용하는 경 우 Ndrive 등 클라우딩 컴퓨팅 이용 28
정보보호 10 대 규칙 29
안전한 비밀번호 만들기 현재 사용하는 비밀번호가 안전한지 파악 하기 30
백신 프로그램 설치 V3Lite - 개인 사용자들이 무료로 사용할 수 있는 백신 – – 개인 PC 보안 V3lite 다운로드 – 설치
V3Lite 32
V3Lite – PC 검사 33
V3Lite – PC 튜닝 PC 최적화 : 속도나 성능 개선 PC 관리 : 설치된 프로그램, 툴바, Active x 등을 확인하고 삭제할 수 있음 34
V3Lite – PC 튜닝 35
V3Lite – PC 관리 36
스마트폰 보안 스마트폰 OS –Apple iOS Apple 에서 출시되는 iPad, iPhone, iPod touch 등 에 탑재 –Google 안드로이드 삼성 갤럭시 S, HTC 센세이션 등에서 출시하는 안드로이드폰에 탑재 –Microsoft Window Mobile PDA 에 주로 탑재 37
스마트폰 보안 38 위협요소공격 형태 스마트 폰 분실 ▪ 개인정보 및 저장 업무 자료 유출 악성코드 감염 ▪ 스마트 폰 좀비화, DDos 공격 악용 가능 ▪ 업무 PC 에 접속시 내부 망에 악성코드 전이 이동 저장 매체 역할 ▪ 업무자료 무단 복사 및 유출 장비로 악용 가능 무선 랜 해킹 ▪ 무선 랜 공유기에 접속시 자료유출, 해킹공격 ▪ 비인가자의 무선망 무단 접속, 자료 절취 가능 ▪ 공격자 AP 로 접속 유도하는 피싱 공격 개인정보 유출 ▪ 마이크 기능을 통한 도청 상시 가능성 존재 ▪GPS 기능을 이용한 개인 위치 추적 가능 내부 업무용 서버 공격 경로 ▪ 각급기관에서 업무 활용을 위해 내부 서버와 연결시 해 킹 경로로 악용 가능
스마트폰 보안 잘 모르는 무선랜 AP 사용 금지 안드로이드 폰의 경우 지정된 마켓 이외 의 곳에서 다운로드 받은 프로그램 이용 금지 아이폰은 비교적 보안에 철저하나 탈옥하 여 사용하면 위험함 39
파일 암호화 40
문서 파일 암호화 문서 파일에 암호를 넣어 유출을 방지함 Office 파일의 암호화 –[Office 단추 ] [ 준비 ] [ 문서암호화 ] 41
문서 파일 암호화 한글 파일에서 암호화 – 보안 문서암호 설정 – 최근에는 공인인증서를 이용할 수 있음 42
개인정보 삭제 파일에 있는 개인정보를 미리 찾아 삭제 Office 문서 –[Office 단추 ] [ 준비 ] [ 문서 검사 ]
개인정보 삭제 한글 문서 –[ 보안 ] 찾아서 보호 44
배포용으로 배부 부득이 하게 파일을 배포해야할 때는 수 정이 불가능한 배포용 파일로 저장 Office 파일 –[Office 단추 ] [ 준비 ] [ 최종본으로 표시 ] 45
배포용으로 배부 한글 – 보안 배포용으로 저장 46