정말 간단하고, 조금만 신경을 쓰면 많은 사고는 사전에 예방할 수 있다. 특히, 보안 분야에 있어서는 더욱 그러한 내용들이 많다. 마이크로소프트가 금융권의 안티피싱에 관심을 가지고 뛰어드는 것은 대단히 환영할 만한 일이다.
보안패치를 통해 많은 MS기반의 운영체제 및 인터넷 브라우저, 어플리케이션 등등이 취약점으로 부터 상당 부분 자유로워지게 된다. 그러나, 최근에 주위의 일부 개인 사용자들의 경우를 보니, 보안패치를 진행할 수가 없는 것을 보았다. 원인을 살펴보니, 해당 OS가 정품이 아니라는 것이었다. 정품여부를 체크해서 정품이 아닌 사용자의 OS는 보안패치 및 기타 성능 패치등이 이뤄지지 않게 하고 있었다.
물론 이윤을 추구하는 기업의 입장으로 볼때, 이해하지 못할 부분은 아니지만,
이미 선택의 여지가 거의 없는 PC 사용의 상황으로 봤을 때, 꼭 그렇게 해야만 하는 것인가 하는 생각이 들었다. 성능 부분의 패치 및 기능 추가 등의 패치 및 서비스팩 등의 제약은 정식 사용자가 아닌 이상 제약을 받아도 당연하게 받아들일 수 있는 부분이지만, 일반적인 보안 패치 등에 있어서는 정품 여부를 떠나서 설치된 모든 MS기반 OS에 지원을 해줘야 하지 않을까 생각한다. 결국 패치가 안된 OS의 보안적 취약점이 MS가 보호하려는 정품 사용자들에게까지 순식간에 파급될 것은 당연한 일이기 때문이다. 나무만 보고 숲을 보지 못하다가는 거대 공룡 기업도 일순간에 무너질 수 있다.
기업이 이윤을 추구하는게 당연하듯, 소비자는 그저 그런 기업에 등을 돌려버리면 될 일이다. 그러면, 그틈에 새로운 시장과 새로운 기업이 다시 소비자를 사로잡을 것이다.
================================================================================================
마이크로소프트의 한국 금융권 피싱 차단 프로젝트가 구체화되고 있다. 빠르면 올 연말부터 인터넷 뱅킹 이용자들의 MS 보안 패치 사용률이 크게 늘어날 전망이다.
사실, MS가 정기적으로 배포하는 보안 패치는 누구나 쉽게 다운받을 수 있으나 간과하는 경우가 많다. 인터넷 뱅킹 수단으로 대부분 익스플로러를 사용하면서도 보안 패치를 적용하지 않아 사고가 발생하기도 했다.
대표적인 예가 올해 1월 발생한 국민은행과 농협의 피싱 사고이다. 사이버 범죄자가 익스플로러 취약점을 악용한 트로이 목마를 배포, 국민은행과 농협의 위장 사이트에 접속을 유도하고 공인 인증서 4,000여개를 탈취한 것. 사회적 이슈까지 된 대형 사건이었지만 MS가 지난해 4월 배포한 보안패치(KB912812)만 적용했다면 간단히 막을 수 있었다.
이럼에도 불구하고 MS 보안패치 중요성을 인식 못하는 사용자가 아직 많고, 은행이 나서서 강요할 수도 없는 입장이어서 문제 심각성은 계속해서 커져갔다.
이에 금융보안연구원(이하 금보연)은 올해 초부터 MS와 보안패치 보급에 대한 논의를 진행했으며, 그 결실이 바로 앞으로 다가와 있다.
패치 의무설치 대신 다운로드 유도
구체적인 내용은 MS와 금보연이 별도의 금융전용 사이트를 구축, 접속한 사용자에게 필요한 패치를 자동 검색해 제공하는 것이다. 윈도우 업데이트와 비슷한 형태이면서도 정보보안 포털 개념을 적용한 것이다.
금보연 보안기술팀 성재모 팀장은 “내달 중 사이트를 완성해 내부 테스트를 진행한 뒤 가능한 연 내에 선보일 것”이라며 “주요 은행들도 긍정적으로 검토하고 있다”고 밝혔다.
일각에서는 이번 프로젝트가 ‘한국정부의 공공기관 리눅스 도입 추진에 대한 MS의 대응일 것’이라는 추측도 나오지만 MS는 이를 부인한다.
한국MS 김홍석 부장은 “금보연과의 협력은 사용자 보호에서 보안패치 보급을 첫째로 생각하는 MS의 사업 일환”이라며 “리눅스와는 전혀 연관이 없다”고 설명했다. 한국MS는 이번 프로젝트로 보안패치 다운로드 수가 천만단위까지 급증할 것을 기대하고 있다.
한편, MS와 금보연은 본래 보안패치 배포를 특정 사이트가 아닌 인터넷 뱅킹 접속시 자동 설치되는 방식으로 진행하려 했었다. 하지만 은행들의 반대로 현재와 같이 방향을 돌린 상태.
은행들은 보안패치를 뱅킹 사이트에 직접 배치하면 기존 애플리케이션과 충돌이 일어날 수 있고, 이는 전적으로 자신들이 책임져야 함을 우려한 것으로 알려졌다. 아울러 현재 인터넷 뱅킹 접속시 키보드 보안 프로그램을 설치해야 하는 가운데 패치 적용까지 추가하기는 부담스러운 것도 이유로 작용했다. @
출처 : ZDNet Korea
보안패치를 통해 많은 MS기반의 운영체제 및 인터넷 브라우저, 어플리케이션 등등이 취약점으로 부터 상당 부분 자유로워지게 된다. 그러나, 최근에 주위의 일부 개인 사용자들의 경우를 보니, 보안패치를 진행할 수가 없는 것을 보았다. 원인을 살펴보니, 해당 OS가 정품이 아니라는 것이었다. 정품여부를 체크해서 정품이 아닌 사용자의 OS는 보안패치 및 기타 성능 패치등이 이뤄지지 않게 하고 있었다.
물론 이윤을 추구하는 기업의 입장으로 볼때, 이해하지 못할 부분은 아니지만,
이미 선택의 여지가 거의 없는 PC 사용의 상황으로 봤을 때, 꼭 그렇게 해야만 하는 것인가 하는 생각이 들었다. 성능 부분의 패치 및 기능 추가 등의 패치 및 서비스팩 등의 제약은 정식 사용자가 아닌 이상 제약을 받아도 당연하게 받아들일 수 있는 부분이지만, 일반적인 보안 패치 등에 있어서는 정품 여부를 떠나서 설치된 모든 MS기반 OS에 지원을 해줘야 하지 않을까 생각한다. 결국 패치가 안된 OS의 보안적 취약점이 MS가 보호하려는 정품 사용자들에게까지 순식간에 파급될 것은 당연한 일이기 때문이다. 나무만 보고 숲을 보지 못하다가는 거대 공룡 기업도 일순간에 무너질 수 있다.
기업이 이윤을 추구하는게 당연하듯, 소비자는 그저 그런 기업에 등을 돌려버리면 될 일이다. 그러면, 그틈에 새로운 시장과 새로운 기업이 다시 소비자를 사로잡을 것이다.
================================================================================================
마이크로소프트의 한국 금융권 피싱 차단 프로젝트가 구체화되고 있다. 빠르면 올 연말부터 인터넷 뱅킹 이용자들의 MS 보안 패치 사용률이 크게 늘어날 전망이다.
사실, MS가 정기적으로 배포하는 보안 패치는 누구나 쉽게 다운받을 수 있으나 간과하는 경우가 많다. 인터넷 뱅킹 수단으로 대부분 익스플로러를 사용하면서도 보안 패치를 적용하지 않아 사고가 발생하기도 했다.
대표적인 예가 올해 1월 발생한 국민은행과 농협의 피싱 사고이다. 사이버 범죄자가 익스플로러 취약점을 악용한 트로이 목마를 배포, 국민은행과 농협의 위장 사이트에 접속을 유도하고 공인 인증서 4,000여개를 탈취한 것. 사회적 이슈까지 된 대형 사건이었지만 MS가 지난해 4월 배포한 보안패치(KB912812)만 적용했다면 간단히 막을 수 있었다.
이럼에도 불구하고 MS 보안패치 중요성을 인식 못하는 사용자가 아직 많고, 은행이 나서서 강요할 수도 없는 입장이어서 문제 심각성은 계속해서 커져갔다.
이에 금융보안연구원(이하 금보연)은 올해 초부터 MS와 보안패치 보급에 대한 논의를 진행했으며, 그 결실이 바로 앞으로 다가와 있다.
패치 의무설치 대신 다운로드 유도
구체적인 내용은 MS와 금보연이 별도의 금융전용 사이트를 구축, 접속한 사용자에게 필요한 패치를 자동 검색해 제공하는 것이다. 윈도우 업데이트와 비슷한 형태이면서도 정보보안 포털 개념을 적용한 것이다.
금보연 보안기술팀 성재모 팀장은 “내달 중 사이트를 완성해 내부 테스트를 진행한 뒤 가능한 연 내에 선보일 것”이라며 “주요 은행들도 긍정적으로 검토하고 있다”고 밝혔다.
일각에서는 이번 프로젝트가 ‘한국정부의 공공기관 리눅스 도입 추진에 대한 MS의 대응일 것’이라는 추측도 나오지만 MS는 이를 부인한다.
한국MS 김홍석 부장은 “금보연과의 협력은 사용자 보호에서 보안패치 보급을 첫째로 생각하는 MS의 사업 일환”이라며 “리눅스와는 전혀 연관이 없다”고 설명했다. 한국MS는 이번 프로젝트로 보안패치 다운로드 수가 천만단위까지 급증할 것을 기대하고 있다.
한편, MS와 금보연은 본래 보안패치 배포를 특정 사이트가 아닌 인터넷 뱅킹 접속시 자동 설치되는 방식으로 진행하려 했었다. 하지만 은행들의 반대로 현재와 같이 방향을 돌린 상태.
은행들은 보안패치를 뱅킹 사이트에 직접 배치하면 기존 애플리케이션과 충돌이 일어날 수 있고, 이는 전적으로 자신들이 책임져야 함을 우려한 것으로 알려졌다. 아울러 현재 인터넷 뱅킹 접속시 키보드 보안 프로그램을 설치해야 하는 가운데 패치 적용까지 추가하기는 부담스러운 것도 이유로 작용했다. @
출처 : ZDNet Korea
'Security_Space' 카테고리의 다른 글
| Threat Modeling (3) | 2007.10.30 |
|---|---|
| PDF 공격, 어도비 패치도 효과 없어 (5) | 2007.10.26 |
| Acunetix WVS V5 Review -2 (2) | 2007.10.23 |
| Acunetix WVS V5 Review -1 (1) | 2007.10.23 |
| 네이버, 개인정보보호 강화 시동 (1) | 2007.10.05 |