[info] 인터넷 보안 (정보보안백문백답)
1. 공인인증서는 무엇인가?
- 공인인증서란 온라인 금융거래 시 거래자의 신원확인을 위해 사용되는 일종의 전자서명으로 일상생활에서 사용되는 인감도장과 동일한 역활을 한다. 공인인증서에는 데이터의 신뢰성을 보장하기 위한 암호화 기술이 적용되어 위,변조가 어렵고, 데이터가 임의로 변형되지 않도록 방지하는 역할도 한다.
- 지금까지의 온라인 금융거래에서는 신분확인을 위해 사용자 ID와 비밀번호만을 사용하였기 때문에 금융사고가 발생할 위험이 컸다. 이러한 단점을 보완하기 위해 인터넷을 이용한 모든 온라인 금융거래는 공인인증서를 사용하도록 의무화 하였다.
- 공인인증서는 거래은행 등 해당기관을 방문하여 신분확인 절차를 거친 후 인터넷 홈페이지에 있는 공인인증센터에 접속하여 개인정보와 비밀번호를 입력한 뒤 약관에 동의하면 곧바로 발급받을 수 있다. 은행이외에, 증권사, 우체국 혹은 공인인증기관 중 어느 한 곳에서든지 한 번만 발급받으면 된다. 현재 국가가 인정하는 공인인증기관은 금융결제원, 한국정보인증, 코스콤(한국증권전산), 한국전자인증, 한국전산원, 한국무역정보통신 등 6곳이다.
- 모든 개인은 하나의 공인인증서만 사용할 수 있기 때문에 여러 장소에서 거래를 하려면 디스켓이나 USB 저장장치 등의 저장매체에 공인인증서를 저장하여 사용해야 한다. 또한 공인인증서를 사용하기 위해서는 발급때 입력하는 전자서명 비밀번호를 입력하여야 하기 때문에 반드시 기억하고 있어야 한다.
- 아직까지는 공인인증서가 은행의 인터넷 뱅킹 서비스에 주로 사용되고 있고, 사이버증권거래, 카드결제, 전자세무처리, 전자민원과 같은 분야로 확대되고 있지만, 향후에는 인터넷을 매개로 하는 다양한 분야에서 개인식별 수단으로 그 적용범위가 확대될 것으로 예상된다.
2. 인터넷에서 사용되는 쿠키란 무엇인가?
- 쿠키란 사용자가 어떤 웹 사이트를 방문하였을 때 그 사이트부터 내려 받아 저장해 놓는 조그만 메시지로, 나중에 사용자가 다시 그 사이트에 방문하면 브라우저가 자동으로 정보를 전송하게 하여, 신원을 확인하거나, 방문자의 선호도를 파악하거나, 방문자의 행동을 추적하는데 사용된다. 따라서 웹 서버는 쿠키를 사용하여 사용자에게 맞춤형 서비스를 할 수 있다. 그러나 다음과 같은 문제점이 있다.
* 특정 사이트에 접근 불가 : 쿠키가 손상되었을 경우 어떤 사이트에서는 쿠키 값을 확인하지 못해 접근을 허용하지 않게 된다. 이 경우 그 사이트의 쿠키 값을 삭제하면 해결된다. 하지만, 그 사이트에 다시 가입해야 하는 번거로움이 발생할 수 있다.
* 쿠키 값 유출 : 쿠키에는 사용자의 아이디, 패스워드 등의 개인정보가 저장되기 때문에 쿠키 데이터가 외부로 유출되지 않도록 주의해야 된다. 특히 여러명이 함께 사용하는 컴퓨터에서 비밀번호 등이 쿠키에 저장되지 않도록 해야 한다.
- 최근에는 비밀번호 등을 쿠키에 저장하지 않는 추세이긴 하지만, 만약을 대비해서 다음과 같은 절차를 거쳐 직접 쿠키를 삭제할 수 있다.
* 인터넷 익스플로러의 [도구]->[인터넷 옵션]->[임시 인터넷 파일]->[쿠키 삭제]
* 이 방법은 모든 쿠키를 삭제한다. 특정 쿠키만을 삭제하기 위해서는 쿠키가 저장되어 있는 'C:\Documents and Settings\사용자 이름\Cookies\' 폴더에서 특정 쿠키만을 삭제할 수도 있다.
3. 웹브라우저에서 ID, 비밀번호 자동저장 기능 해제는 어떻게 하나?
- 인터넷 익스플로러 사용시 ID와 비밀번호를 저장하여 사용할 경우 쿠키를 통해 ID와 비밀번호가 유출될 수 있으므로 자동저장 기능을 해제하는 것이 좋다. 절자는 다음과 같다.
a. 인터넷 익스플로러의 [도구]->[인터넷 옵션]->[내용] 탭 선택
b. 개인정보의 [자동완성] 버튼 클릭
c. "폼에 사용할 사용자 이름과 암호"부분의 체크표시를 제거
d. [확인] 버튼 클릭
4. 인터넷 보안접속이란 무엇인가?
- 인터넷을 사용할 때 보안접속을 하지 않고 일반적으로 사용자 ID와 비밀번호만 입력하여 사이트에 접속할 경우, 신속히 로그인할 수 있는 이점이 있다. 대부분의 웹 사이트에 로그인할 때 이 방법이 주로 사용된다. 하지만 보안접속은 로그인할 때 사용자 ID와 비밀번호를 암호화시켜 전송함으로써 ID와 비밀번호가 중간에서 가로채어진다고 하더라도 안전하게 보호해준다.
- 인터넷에 접속할 때 보안접속을 제공하는 사이트들이 있는데 이때 보안접속을 선택하면 보다 안전하다. 특히, 신용카드번호와 같이 중요한 정보를 웹에서 사용하여야 할 경우에는 보안접속을 사용하는 것이 필수적이다. 보안접속시에는 사용자 ID와 비밀번호를 암호화하기 위한 시간이 추가적으로 필요하기 때문에 일반접속을 사용할 때보다 조금 더 시간이 걸릴 수 있다.
- 한편, 보안접속에는 SSL(Secure Sockets Layer)이라는 업계 표준 프로토콜이 사용되고 있다. 이 프로토콜은 기존 인터넷 프로토콜이 기밀성을 제공하지 못한다는 문제를 극복하기 위하여 넷스케이프사에서 개발한 것으로, 인터넷을 통해 전송되는 데이터들을 암호화한다.
* SSL : TCP/IP위에서 동작하는 프로토콜(HTTP, FTP, NNTP 등)을 보호하는 프로토콜이다. 서버-클라이언트 환경으로 동작하는 프로토콜이며, 주로 웹 브라우저의 보호를 위해 사용된다. https:// 로 접속하며, 웹 서버와 브라우저 사이에서 교환되는 모든 메시지를 암호화하여 보호한다.
5. 자동으로 내려받은 스크립트 또는 ActiveX는 안전한가?
- 스크립트(Script)는 프로그래밍 언어가 아닌 간단한 언어로 작성된 짧은 프로그램이나 명령어들을 가리킨다. C나 C++와 같은 전통적인 프로그래밍 언어들에 비해 능력이 제한되어 있고 실행속도도 느리지만 프로그램을 쉽고 빠르게 작성할 수 있어서 널리 사용되고 있다.
- ActiveX 컨트롤은 넷스케이프(Netscape)의 plug-in에 대항하여 MS사에서 제정한 규약으로, 웹에서 다양한 멀티미디어를 지원하거나 대화식으로 사용자의 입출력을 지원하는 등의 작업을 간단히 처리할 수 있게 도와준다.
- 스크립트나 ActiveX 컨트롤은 웹 개발시 편리성을 제공하지만, 최근 웹에 은닉되어 있는 악성코드를 자동으로 실행되게 할 수 있어 해킹 등에 악용될 소지가 많다. 이러한 악용 소지를 방지하기 위해서는 다음과 같이 인터넷 익스플로러의 보안 설정을 조정하여야 한다.
a. [도구]->[인터넷 옵션]->[보안]->[사용자 지정 수준]->[보안 설정]
b. [ActiveX 컨트롤 및 플러그인] -> 각 항목에 대하여 값 선택
6. 자동으로 내려받은 ActiveX는 어떻게 제거하나?
- 인터넷을 사용하다보면 멀티미디어 등의 서비스를 향상시키기 위하여 많은 수의 ActiveX 컨트롤이 설치되지만 원치 않는 것들이 설치될 수도 있다. 이 경우 다음과 같이 인터넷 익스플로러 도구 메뉴에서 제거 할 수 있다.
a. [도구]->[인터넷 옵션]->[임시 인터넷 파일]->[설정]->[개체 보기]
b. 마우스 오른쪽 버튼으로 삭제할 ActiveX 컨트롤 클릭 -> [제거] 선택
c. [주의] 시스템에서 삭제되므로 신중히 선택해야 한다.
* 필요시 해당 사이트에서 다시 다운로드 받을 수 있다.
* 사용 동의하지 않은 ActiveX는 삭제해야 한다.
7. 인터넷 익스플로러에서 보안 설정은 어떻게 하나?
- 사용자는 익스플로러의 보안 옵션을 이용하여 보안 설정을 변경할 수 있는데 다음과 같은 두 가지 방법이 있다.
* 기본 설정값을 이용
a. [도구]->[인터넷 옵션]->[보안]->[이 영역에 적용할 보안수준]->[기본수준]
b. 보안수준 스크롤바를 이동하여 적절한 보안 수준을 선택
* 세부적인 설정값을 직접 선택
a. [도구]->[인터넷 옵션]->[보안]->[사용자 지정 수준]->[보안 설정]
b. 각 항목에 대하여 직접 값을 선택
8. 안전한 온라인 쇼핑을 위한 고려사항에는 어떤 것이 있나?
- 인터넷을 통한 온라인 쇼핑에서는 특히 개인정보에 대한 주의가 필요하며, 다음과 같은 사항들을 항상 고려하여야 한다.
* 웹 서버 인증서가 설치된 사이트인지 확인한다. 브라우저 화면 우측하단의 작접 표시줄에 자물쇠 모양의 아이콘이 보이는 곳이면 일단 안전하다고 판단할 수 있다. 이 자물쇠를 클릭하면 인증서 제조사와 규격 등이 표시되는데, 공신력있는 회사가 만든 128Bit 인증서를 사용하고 있다면 안심해도 좋다.
* 사이트에서 실명확인이나 배송지 확인 등에 필요한 정보외에 불필요하게 많은 개인정보를 요구하면 일단 의심할 필요가 있다.
* 인증마크를 획득한 온라인 쇼핑몰이라면 안심하고 거래를 해도 괜찮다. 국내에서는 지난 97년부터 사이트 인증제도를 도입, 한국정보통신산업협회와 한국전자거래진흥원에서 인증마크를 발급하고 있다.
** 인증마크는 정보보호마크인증위원회 홈페이지(http://www.trustmark.or.kr/)에 방문하면 확인 가능하다.
* 비밀번호는 안전도가 낮은 보안장치이기 때문에 3-4개월에 한번씩은 변경하는 것이 좋다.
* 온라인 거래시 소비자와 온라인업체 모두가 전자인증이나 전자서명이 되어있는 전자우편을 사용하여 거래정보 등을 교환하는 것이 좋다.
* 온라인 거래 시간들을 기록해 두면, 나중에 분쟁이 발생하더라도 증거 또는 참고자료로 활용될 수 있다.
* 만일에 대비, 온라인 거래 체결 후 전자우편으로 제공되는 거래금액, 전자영수증, 배송날짜 등을 보관해두는 것이 좋다.
* 신용카드는 분실, 도용 등으로 인한 사고에 대해 구제제도가 있어 만일의 경우 피해보상을 받을 수도 있기 때문에 현금구매보다 훨씬 안전하다.
9. 본인도 모르는 사이트에 가입되어 있다. 어떻게 해야 하나?
- 본인이 분명히 가입하지 않았다면 누군가가 주민등록번호 생성기 등을 이용하였거나 주민등록번호를 도용하여 가입한 경우일 것이다. 이 경우, 해당 사이트의 운영자에게 연락을 취하여 이미 가입된 주민등록번호가 본인의 것임을 확인시키고, 적절한 신원확인 절차를 거쳐 도용된 개인정보의 삭제 및 정정을 요청해야 한다.
- 특히 무단 가입된 사이트가 유료 사이트이거나 또는 주민등록번호 도용으로 재산상 피해를 입었다면 우선 한국정보보호진흥원 개인정보분쟁조정위원회(http://www.kopico.or.kr/, 02-1336)에 도움을 요청하기 바란다.
- 만약 개인정보를 도용한 자를 추적하거나 처벌하기를 원한다면 검, 경 등 관련 수사기관에 신고하여 수사를 의뢰할 수도 있다. 그러나 개인정보의 도용으로 명예훼손 또는 금전적, 경제적 손실 등 구체적인 피해를 입지 않은 경우에는 현실적으로 처벌이 어려운 것이 사실이다. 하지만, 특정인이 반복적으로 본인의 개인정보를 도용하고 있다면 도용인의 검거 및 처벌이 가능하다.
10. P2P를 안전하게 사용하는 방법은 무엇인가?
- P2P(Peer-to-Peer)는 서버와 클라이언트 모델로 동작하는 것과 달리 개인과 개인이 직접 연결되는 서비스를 통칭한다. Napster, Gnutella, 당나귀 등의 응용 프로그램 등을 예로 들 수 있고, 이들은 음악 혹은 영화파일 등을 불법으로 공유하기 위한 목적으로 매우 빠르게 널리 퍼졌다.
- P2P의 특징은 중앙 서버에서 관리하는 것이 아니라, 각 개개인이 독립된 개체로서 역할을 하여, 직접 상대방과 통신할 수 있는 점이다. 이렇게 함으로써 초기의 불법적인 목적 이외에도, 다양한 자원들이 분산 저장되어 가용성 및 확장성이 용이한 장점이 있다.
- 그러나 본질적으로 P2P는 불특정 다수에 의한 공유의 특성을 가지므로 여러 가지 보안문제를 피할 수 없다. 예를 들면, 특정 파일에 대한 위,변조 여부를 확인할 수 있는지, 파일의 제공자가 신뢰할 수 있는지, 자신이 제공한 내용이 올바르게 전송되는지 등의 문제가 있을 수 있다.
- P2P에서 이러한 문제를 근본적으로 해결할 수 있는 방법은 없다. 따라서 가능한 P2P를 사용하지 않는 것이 가장 좋은 해결책이다. 불가피하게 사용을 해야 할 때는 다음을 유의하는 것이 좋다.
* 자신이 공유하는 위치를 지정하고, 그 폴더에는 중요한 자료를 넣지 않도록 해야 한다.
* 자신이 원하는 파일을 다운로드한 후 P2P 프로그램을 종료시키는 것이 좋다.
* 원하는 파일을 검색한 후, 같은 제목의 검색된 파일 중에는 그 크기를 살펴보고 너무 크거나 작은 파일은 바이러스 등의 위장되어 있는 경우가 많으므로 다운로드 하지 않는 것이 좋다.
* 다운로드한 파일은 반드시 바이러스 검색을 거친 후 사용하여야 한다.
[출처 : 국가보안기술연구소 http://www.nsri.re.kr ]