DDoS는 이제 꽤 오래전에 나온 사이버 공격이라고 봐도 될꺼 같은데요, 그래서 어떻게 보면 이제는 당연히 방어를 해야하는게 아닌가 할 수도 있을 것 같은데 사실상 보면 그렇지 않는 것 같습니다. 기술은 진화 되고 우리가 사용하는 기기 역시 진화가 되어서 오히려 더 취약점이 노출되고 있다고 봐야 할 것 같습니다. DDoS 보안에 대해서 유념하고 보완해야 하지 않는가 하는 생각이 듭니다.
금일(2022.02.16. 수) 신문리뷰 입니다.
● 전자신문
| 구분 | 헤드라인 | 설명 |
| (DB) 데이터기본법 |
과기정통부-행안부, 데이터경제 장관급 협의체 가동 |
>> 과기정통부는 15일 '데이터 산업진흥 및 이용촉진에 관한 기본법(데이터 기본법) 시행령 제정안'을 입법예고하고 다음 달 8일까지 의견을 수렴한다고 밝혔다. 데이터 기본법은 데이터 산업 관련 △생산·분석·결합·활용 촉진 △인력 양성 △국제 협력 등 산업 육성 전체를 아우르는 세계 최초의 기본법이다.
오는 4월 20일 시행을 앞두고 과기정통부는 데이터 거버넌스와 융합정책, 품질인증 등을 구체적 절차와 규정을 명시하는 시행령과 시행규칙을 마련했다.
시행령 주요 내용으로 과기정통부 장관과 행정안전부 장관이 데이터결합 촉진 교류·협력을 위한 협의체를 구성하도록 하는 방안이 최초로 드러났다. 각각 민간 분야와 공공 분야 데이터 정책을 총괄하는 2개 부처가 데이터 관련 제도 개선, 투자 확대 등 산업 간 교류 및 데이터 융합 정책에 협력하도록 제도 장치를 마련했다.
2개 부처는 △산업 간 교류와 데이터 융합시범 사업 및 연구개발 △산업 간 데이터 융합 관련 성과의 확산과 공유 △공공데이터와 민간데이터의 결합 촉진을 위한 교류 및 협력을 위해 필요한 사항 등에 대해 협의체를 통해 조정·협의한다.
데이터 기본법은 데이터로부터 다양한 경제적 가치를 창출하고, 융합을 통해 데이터산업 발전의 기반 조성이 목적이다. 데이터 거래는 데이터 활성화 선결 조건이다. 시행령은 과기정통부가 데이터 유통과 거래에 필요한 정보·상담·자문을 제공하도록 근거를 마련했다. 데이터와 거래 관련 제도 및 절차의 개선방안 마련을 마련하는 한편 교육·홍보, 안전한 데이터 유통과 거래를 위한 연구개발 지원 근거도 마련됐다.
과기정통부는 데이터 유통·거래 관련 데이터베이스(DB)를 구축·제공할 수 있고, 데이터 가치평가 정보를 제공한다. 데이터 플랫폼 간 연계 지원은 물론 데이터 품질인증 및 품질관리와 관련 정보의 관리도 수행하도록 했다.
데이터가 거래 대상이자 '재화' 역할을 할 수 있도록 정부가 신뢰성을 바탕으로 안정적 거래 질서를 확립할 수 있는 다양한 제도 장치가 마련된 것으로 평가된다.
시행령이 규정한 '데이터 거래사' 역시 데이터 시장 활성화에 따라 새로운 일자리를 창출할 가능성이 충분한 것으로 평가된다.
|
| (보안) DDoS |
[보안칼럼]인터넷 국제 관문에서부터 DDoS 방어를 시작하자 |
>> 은행을 방문해서 업무를 보기 원한다면 누구나 처음 해야 하는 것은 번호표를 뽑는 일이다. 그리고 순번이 될 때까지 기다려야 은행 업무를 볼 수 있다. 만약 누군가가 악의적으로 번호표만 1000장을 뽑고서 그냥 간다면 어떤 상황이 발생할까. 고객은 순번이 올 때까지 오랫동안 기다릴 것이며, 은행은 번호표를 넘기는 데 꽤 많은 시간을 사용할 것이다. 인터넷망에서도 이와 유사한 행위가 빈번하게 발생한다. 악의적 목적으로 인터넷 서비스 자원을 소모하는 것을 서비스 거부(DoS; Denial of service) 공격이라 한다.
서비스 거부 공격은 한 명이 시도하는 것보다 다수가 동시에 다양한 방법으로 시도하는 게 효과적이다. 공격에 따른 피해 규모도 증가시킬 수 있다. 그러나 서로 다른 다수의 공격자가 동시에 같은 대상을 향해 서비스 거부 공격을 시도하는 게 쉬운 일은 아니다. 이와 같은 요인으로 공격자는 원격에서 동시에 움직일 수 있는 다수의 '공격지'를 만들기 위해 고민했고, 그 결과가 우리가 흔히 알고 있는 '좀비 PC'다. 디도스(DDoS, 분산 서비스 거부) 공격은 공격자가 다량의 좀비 PC를 만들고, 좀비 PC를 통해 공격 대상에게 서비스 거부 공격을 시도하는 사이버 공격 기법이다.
2016년 9월 인터넷에 연결된 CCTV 14만대를 활용한 디도스 공격이 세상에 등장하면서 인터넷으로 연결 가능한 모든 장비가 디도스 공격에 활용될 수 있다는 게 알려졌다. 또 공격자는 사물인터넷(IoT) 단말이 사용하는 취약한 소프트웨어의 버전 정보만 알면 공개출처정보(OSINT; Open Source Intelligence)를 통해 세계에 해당 소프트웨어를 사용하는 단말의 주소(IP)를 쉽게 수집할 수 있어 더욱 효율적으로 좀비 IoT 단말을 만들 수 있는 환경이 됐다.
이전에는 정치적 목적 아래 정부 기관 또는 기업 대상으로 디도스 공격이 이루어졌다면 최근에는 기업(특히 금융기업) 대상 디도스 공격으로 협박하고 금전적 이익을 노리는 '랜섬 디도스(Ransom DDoS)' 공격이 주를 이루고 있다.
>> 기업 입장에서 디도스 공격은 단지 서비스가 일시적으로 멈추는 것일 뿐 중요 정보의 유출이나 서버가 마비되는 것이 아니다. 하지만 온라인 서비스가 멈춘다는 것은 곧 서비스의 신뢰성을 훼손하는 심각한 문제가 된다. 특히 우리나라와 같이 온라인 서비스가 보편화되어 있는 나라에서 온라인 서비스가 일시적으로 마비될 경우 사회 전반적으로 심각한 문제를 야기할 수 있으며, 이를 회복하기 위해서는 많은 사회적 비용이 소모된다.
기업이 디도스 공격을 받게 되는 것은 공격자가 다량의 비정상 트래픽을 온라인 서버에 유입시키기 때문이다. 만약 온라인 서버가 충분한 용량의 회선을 확보하고 있지 않다면 디도스 보안 설비를 아무리 잘 갖추고 있다 하더라도 용량 불충분으로 서비스 장애가 발생할 것이다. 이러한 이유로 온라인 서비스 회사는 필요 이상으로 과도한 회선 용량을 확보하고 유지하기 위해 많은 비용을 지불하고 있다.
>> 카스퍼스키사 공식 블로그 시큐어리스트(SecureList)의 디도스 관련 분석보고서에 따르면 좀비 PC에 공격 명령을 내리는 서버의 50% 이상이 미국과 독일에 있으며, 좀비 PC 또는 좀비 IoT 단말의 과반은 중국·인도·미국에 있다. 즉 국내에 발생하는 디도스 공격의 상당수는 해외에서 유입되는 것이라 할 수 있다.
해외에서 유입되는 디도스 공격을 국제망 인터넷 관문에서 대응할 수 있다면 개별 기업이 디도스 공격에 대응하기 위해 과도하게 회선을 증설하는 것은 감소시킬 수 있을 것이다. 따라서 해외에서 유입되는 디도스 공격을 국가적 차원에서 선제 대응한다면 중복 투자하는 디도스 대응 비용의 상당량을 절감할 수 있을 뿐만 아니라 디도스 공격으로부터 사회 안전을 가져오는 효과를 볼 수 있을 것이다.
|
[참고] 데이터기본법 시행령 주요내용
● 매일경제
| 구분 | 헤드라인 | 설명 |
|
(보안)
자율주행차
보안 |
자율주행차 출시 앞두고…차량보안 시장 급성장 |
>> 올해 국내에서 운전대를 잡을 필요 없는 자율주행 3단계 차량의 상용화가 예정된 가운데 자동차 업계도 차량 보안에 신경을 곤두세우고 있다. 현대자동차는 각 부서 인력을 차출해 보안 강화 관련 팀 운영을 본격 가동했다. LG그룹은 독일 자동차산업협회 정보 보안 인증을 취득해 자율주행차 등 미래차 공급용 전장제품 고도화에 나섰다.
자율주행차는 수많은 감지 센서를 통해 차량과 차량, 차량과 도로의 구성 요소들이 서로 통신하며 데이터를 주고받는 과정에서 달린다. 하지만 그만큼 차량 소유주 개인정보 유출 가능성도 높다. 따라서 완성차와 전자 업계는 자율주행차 해킹 방지 등 보안 기술 개발에 최근 전력 투구하고 있다.
>> 현대차·기아는 일단 친환경차와 자율주행차 수요가 높은 유럽시장을 겨냥해 수출용 자율주행차 보안부터 강화하고 있다. 최근 유럽 사이버 보안 법규의 '사이버 보안 관리 체계(CSMS)' 인증을 취득한 것이다. 올해 7월부터 유럽에서 판매되는 신차와 2024년 7월부터 현지에서 팔리는 모든 양산차는 유엔유럽경제위원회(UNECE)가 제정한 사이버 보안 법규(R-155)를 충족해야 한다.
차세대 자동차 전자장치 사업 육성에 적극적으로 뛰어든 LG그룹은 세계적 정보 보안 인증인 'TISAX'를 전장사업 주요 부문에서 획득했다.TISAX는 자동차 제조사의 보안 평가 기준을 표준화하기 위해 독일 자동차산업협회가 만든 세계적 정보 보안 인증이다. 국제표준화기구 규정을 바탕으로 △정보 보안 체계 △협력업체 보안 체계 △데이터 보호 체계 △시제품 보호 체계 등 4개 측면에서 보안성을 입증했다.
|
금일 주목할 기사는 데이터 기본법 관련 기사입니다.
데이터 관련한 법률인 데이터 기본법이 4월 20일 시행으로 임박한 것 같습니다. 이에 따라 데이터 기본법에 대한 점이 시장에서도 많이 강조하고 있는 부분이기 때문에 꼭 챙기시기 바라겠습니다. (가이드/법률 문제는 꼭 한 문제씩 나오기 때문에 챙기셨으면 합니다.)
다음 주목해야 할 기사는 자율주행 보안 관련 기사입니다.
자율주행차들이 점점 레벨이 상위로 고도화 됨에 있어 자율주행 보안과 관련한 내용들도 꼭 챙기시기 바라겠습니다. 시장의 움직임은 국내 자동차 회사가 글로벌 진출을 위해서 보안과 관련된 부분 인증을 획득하는 것도 그 움직임의 하나라 보면 되지 않을까 생각이 듭니다. (메타버스 보안, 스마트 팩토리 보안 등이 최근에 기출 되었습니다)
'IT 트렌드 IT Trend > IT 기사 IT news' 카테고리의 다른 글
| [Daily IT News] 마이데이터, 메타버스, 6G (0) | 2022.02.18 |
|---|---|
| [Daily IT News] PaaS-TA, 디지털 전환(DX), EaaS (0) | 2022.02.17 |
| [Daily IT News] 5G 특화망(이음5G), 디지털전환(산업DX), 망중립성 (2) | 2022.02.15 |
| [Daily IT News] 5G 특화망, NFT(게임, 엔터테인먼트 산업), AI 산업(데이터 산업) (0) | 2022.02.14 |
| [Daily IT News] 정보보호산업 전략, 메타버스(유통), AI SW (0) | 2022.02.11 |
