크리니티 뉴스레터

MS가 인터넷 익스플로러와 백신 소프트웨어인 윈도 디펜더(Defender)에 결함이 있다며 2건의 윈도 업데이트를 권했다고 보도했다. MS는 23일 자사 홈페이지에 인터넷 익스플로러 일부 버전에서 취약점이 발견됐다고 밝혔다. 버전 9와 10, 11이 대상이다. 윈도7과 8.1, 10을 포함한 모든 버전이 제시된 익스플로러 버전과 연관이 있다. 해당 익스플로러 사용자는 악성 코드가 숨겨진 웹 페이지를 방문하거나 이메일 링크를 클릭하는 것만으로도 악성코드에 감염될 수 있다. 이를 방지하기 위해서는 MS 홈페이지에 접속해 자신이 사용 중인 윈도 운영체제(OS)에 해당하는 업데이트를 직접 설치해야 한다고 전했다.

클라우드 시대를 맞아 공공분야 안전성을 위한 ‘클라우드에 맞는 보안’과 보안인증 제도 수립된 이후 사업자의 부담을 덜어주면서 필요한 수준의 보안성을 갖추는 개선 작업이 이어졌다. 클라우드 보안인증제도는 정부기관에 클라우드 기반 서비스를 제공하는데 있어 지켜야 할 보안 요소를 제대로 지켰다는 점을 인증하기 위해 2016년 처음 마련됐다. 클라우드에 기반한 IT 인프라(IaaS)에 이어 소프트웨어(SaaS)도 클라우드를 통한 서비스 구독형(as a service)이 확대되면서, 한국인터넷진흥원(KISA)은 기존의 표준등급을 확대 개편하여 지난달 ‘간편 등급’을 만들어 표준등급보다 48개가 적은 30개 항목만 준수하면 인증을 받을 수 있는 간편등급을 마련했다”고 밝혔다.

한국정보화진흥원(NIA)이 공공기관 최초로 원내 전체시스템을 민간 클라우드로 전환한다. 행정·공공기관 민간 클라우드 이용 가이드라인이 개정된 이후 일부 공공기관에서 민간 클라우드의 업무시스템 별 부분적인 도입은 이루어졌지만 전면적 도입은 최초다. 민간 클라우드 전환은 도입·정착·확산의 3단계 방식으로 잔존가치가 낮고 전환이 용이한 시스템부터 순차적으로 이전할 예정이며, 정부의 규제 대상인 민감정보 및 개인정보영향평가대상 관련 시스템은 PPP방식으로 사업자의 기술과 투자를 유도할 방침이라고 전했습니다.

정부나 공공기관을 사칭하는 이메일이 기승을 부리고 있지만 여전히 국내 이메일 서버에 이메일 인증 프로토콜(DMARC) 기술을 적용한 비율은 0.1%에 불과한 것으로 나타났다. 미국은 지난 2017년 10월부터 연방정부 기관들을 대상으로 이를 적용하는 것을 의무화했지만 국내에선 여전히 도입율이 낮다는 지적이다. DMARC를 적용하면 서버 관리자가 설정한 보안 수준에 맞춰 수신된 이메일을 검사하고, 그 인증을 통과해야만 수신자에게 전송된다. 관리자가 특정 도메인 주소를 지정할 경우 이 주소에서 발송되지 않은 메일은 모두 수신거부 되는 셈이다. 한국인터넷진흥원(KISA)은 "DMARC 기술이 비교적 최신 기술인만큼 아직까지 적용이 안 된 경우가 많다"며 "정부가 주도적으로 적용하고 민간까지 확대해 나가도록 적극 권고할 예정"이라고 전했다.

정부가 메일로 유입되는 사이버 공격을 방어하기 위해 내년부터 주요 공공기관에 '보안 메일'을 도입한다. 최근 의원보좌관, 정부 부처 자문교수, 남북 교류 단체 등을 대상으로 광범위하게 퍼져 나가고 있는 해킹 메일 공격을 원천 차단하기 위한 조치다. 보안 메일은 2020년 주요 공공기관을 시작으로 지방자치단체 등으로 사용처를 확장, 메일 시스템 전반에 걸친 보안 강화에 나선다. 보안 메일은 발신자와 수신자가 메일 전송 여부 등의 확인이 가능한 시스템으로 중요 메일을 발신할 때 발신자는 수신자에게 열람 가능한 암호 등을 담은 문자 등을 먼저 전송하는 방식이다. 수신자는 문자로 메일 수신 여부를 확인하고, 여기서 받은 비밀번호를 입력해 메일을 열람한다. 단순한 메일 열람뿐만 아니라 유효기간, 메일 내용 첨부파일 암호화, 저장 등 추가 기능도 부여한다.