SNS(Social Network Service) 위협과 보안

안녕하세요, CrefunX 입니다.^^
오래간 만에 인사를 드리는 것 같습니다.

이번주가 추석입니다. 한해도 얼마남지 않았다는 걸 실감하게 됩니다. ^^;; 
다들 저마다의 고향으로 정다운 시간을 보내셨으면 합니다.

요즘 많은 이슈들을 만들며 생활 깊숙이 자리잡고 있는 SNS(Social Network Service) 보안에
대해서 이야기를  해보고자 합니다.
 

1. SNS(Social Network Service) 정의

소셜 네트워크 서비스란 공통의 관심을 가지고 있느 사람들의 사회적관계 개념을 인터넷으로 가져와 사람과 사람간의 관계 맺기를 통한 네트워크 형성을 지원하는 서비스를 말합니다.
SNS는 그 특징에 따라 블로그형, 니치형, 매치형, 폐쇄형, 영상중심형 등으로 구분 가능합니다.
한국의 대표적인 서비스로는 싸이월드, 미투데이가 있으며 외국의 대표적인 서비스로는 페이스북이 있습니다.
현재 전세계인구가 60억 정도이며 페이스북의 전세계 가입자수가 5억명을 돌파하였다고 하니 그 인기가 상상을 초월합니다. 이처럼 SNS가 급성장한 배경인 스마트폰 확산으로 기업의 중요한 홍보수단으로 발전 및 모바일 SNS 관련
출원 증가세를 보이고 있습니다.

                                                           * 다양한 소셜네트워크 서비스 종류 *



2. SNS(Social Network Service) 위협

위협의 근원은 SNS 개념을 근거한 신뢰라는 것에 뿌리를 내리고 있습니다.
즉, 트위터와 페이스북의 계정을 해킹이 되어 해커에게 손에 들어가게 되면 신뢰관계의 사람들에게 악의적인 메시지를 이용하여 제 2의 계정해킹을 위한 악성코드 전파 및 다양한 악용사례들이 만들어 지고 있으며 대표적인 위협요소들은 아래와 같습니다.

- 피싱
최근 사용자 암호 변경 내용이라는 제목으로 트위더와 페이스북에서 공식적으로 발송한 메일처럼 위장하여 악성 스크립트 코드(index.html)를 첨부하는 사례가 있었습니다.

                                                  * 페이스북 보안로그인 가장한 피싱 사이트 *


- Short URL Service 악용
트위터의 경우 140자 이내의 짧은 글로 의견을 나눌수 있는 구조를 가지고 있으며 140자의 한계로 인해 인터넷 정보를 전달할때 URL을 줄요주는 서비스(Short URL Service)가 많이 이용되고 있으나 해당 URL을 확인할 수 없어 피싱이나 악성코드 감염에 이용될 수 있는 가능성이 있습니다.

- 팔로 알토 네트웍스는 기업에서 소셜 네트워킹 관련 정책을 수립 시 반드시 고려해야 할 10가지 위험요소
소셜 네트워킹 웜, 트로이목마, 데이터 누출, 봇넷, 강화된 악성 도구들, CSRF(Cross-Site Requet Forgery), 허위계정 등등이 있습니다.

- 유럽의 정보보호 전문기관인 ENISA
 프라이버시 위협, 기존 네트워크상의 보안위협, ID관련 위협, 사회적 위협으로 분류하고 있습니다.

- 시만텍이 제시한 SNS의 공격유형
가짜 메시지(초대, 계정통합, 개인 사생활 보호 실태조사, 설문조사), 사진 관련 댓글을 이용한 악성 URL 링크, 애플리케이션 정보제공형태로 위장, 악성코드 유포를 위한 다양한 스팸 메시지 유형들이 있습니다.

                                                                 * 트위터 봇넷 생성기 *


3. SNS(Social Network Service) 보안

- 기술적 대응방안
a. 자동 필터링 기술 도입

b. 이미지 파일에 대한 프로파일 및 이메일 주소 태크 설정시 사용자의 동의 요청 의무화

c. 스파이더링(Spidering),  대용량 다운로드 제한

d. 검색 결과에 대한 개인정보 통제 기능 강화

e. SNS 스팸, 피싱 대응 기술 도입


- 정책적 대응방안
a. SNS의 역기능에 대한 대국민 인식제고 및 홍보, 교육

b. 현행 규제정책의 재해석 및 재정비

c. 데이터 처리 과정의 투명성 제고

d. 사이버 윤리 교육 강화


- 서비스 제공업체 및 관련 기업
a. 강력한 사용자 인증 및 접근통제 기능수행

b. SNS를 이용한 산업 스파이 대응 방안 마련

c. SNS의 적절한 정보보호 기능 설정


- 이용자
a. 사용자 운영체제 및 애플리케이션의 최신 업데이트 및 패치 유지

b. 사이버 윤리의식 강화 및 정보보호에 대한 인식 제고 노력

c. 최신 업데이트가 된 백신을 사용하고 정기적인 검사 실시


- 기업이 SNS를 안전하게 활용하기 위한 10개의 조건
a. 기업에 적합한 소셜 미디어 정책을 확립하라!
사내에서 사원들에게 어디까지 허용할 것인가? 단적인 예로 트위터를 허용할 것인가? 아니면 블로깅을 허용할 것인가? 이것은 굉장히 중요한 이슈입니다. 사원 개개인의 온라인 활동 전반에 걸친 정책은 분명 업무에도 영향을 미칠 수 있기 때문입니다. 따라서 기업은 조직문화와 브랜드, 여론 등을 고려해 사내 임직원에게 SNS를 활용하는 명확한 가이드를 제공해야 합니다. 

b. SNS 이용을 장려하라! 

결국 사내에서의 SNS를 제한한다면 그만큼 임직원들은 우회로를 찾기 때문에 사내 보안 문제에서는 오히려 더 취약할 수 있습니다. 오히려 임직원에게 정확한 가이드를 제공하고 그 가이드 내에서 이용토록 하는 것이 효율적이라고 사내 보안면에서 더 안정적이라는 것입니다.  

c. SNS에 대해 지속적으로 교육하라!

임직원에게 SNS를 장려했다면, 그다음으로는 SNS에 대한 교육을 해야 합니다. 실제로 SNS는 답이 분명한 수학 문제가 아닌, 살아있는 유기체로 늘 수시로 변화합니다. 그런 변화에 대해 꾸준히 모니터링하는 사내 담당자가 이런저런 상황을 임직원에게 전파하고 알려야 합니다.

d. 편리한 툴을 지속적으로 알려라!

보안을 위해서 아무런 링크나 누르기가 어렵다면 클릭 전에 원래 URL을 볼 수 있는 서비스나 툴을 이용하도록 하는 것도 바람직합니다. TinyURL Preview가 그 대표적인 툴이 있습니다. 

e. 사내에서 이용 가능한 SNS를 규정하라!

특히 SNS는 오픈소스로 되어 있기에 다양한 서비스가 서로 교차됩니다. 따라서, 너무 방만하게 활용하다보면 임직원도 SNS의 함정에 빠져버리는 수가 있으므로 주요한 서비스만 사내에서 이용하도록 코칭하는 것도 바람직하다고 생각됩니다.

f. IT 관련 스탭도 지속적으로 교육해야 한다!

정작 다른 사원들은 SNS의 세계에서 날아다니는데 IT 전문 스탭이나 커뮤니케이션 담당자가 그 세계를 모른다면 힘들것입니다. 따라서 관련 전문가의 철저하고 지속적인 교육도 반드시 필요합니다. 

g. 컴퓨터 패치를 꾸준히 대응할 것!

각종 바이러스 및 보안에 위협적인 요소가 트위터나 페이스북 같은 곳을 매개로 네트워크에 침투하는 문제도 있기에 이에 대한 대비도 철저히 해야 합니다. 

h. 최선의 보안 정책을 공유할 것!

트위터에서는 최근 마피아 게임의 스팸다운 메시지가 문제가 되고 있습니다. 이런 문제는 서로 빠른 시간 내에 정보를 공유하지 않으면 막을 수가 없습니다. 보안 정책이란 이런 스팸이나 악의적인 사용자를 사내 네트워크로 들여놓지 않기 위한 첫 번째 조치인 셈입니다.

i. 사원의 목소리에도 귀를 기울일 것! 

SNS에 대해 잘 아는 임직원의 목소리를 기업을 더 잘 들어야 효율적인 대처가 가능할 것입니다.
따라서, 오히려 듣지 않고 무시해버린다면 극단적으로 인력 누출을 막을 수 없을 것입니다. 

j. SNS를 두려워 말라! 

기업이 가져야 할 SNS에 대한 관점은 우호적이어야 한다는 것입니다. 의심하고 무서워한다면 결국 SNS를 받아들이기 힘들 것이고 이것은 소탐대실이 될 가능성이 크기 때문입니다. 기업에게 SNS는 해악보다는 이득이 될 것입니다.

이상 요즘 폭발적인 인기를 끌고 있는 소셜네트워크 서비스에 대해서 이야기 해보았습니다.
새로운 기술과 더불어 그 인기에 반영하듯 다양한 취약점 및 해킹사례가 나오게 되는 상황입니다.

따라서, SNS 사용자들의 각별한 주의와 보안인식으로 안전하고 즐거운 SNS을 즐기시길 바랍니다.^^
감사합니다.


# 참고자료

1. 페이스북, SNS 시장 뒤흔든다  - 아시아경제
    http://www.asiae.co.kr/news/view.htm?idxno=2010081815145258712

2. 기업을 위한 SNS 십계명 - 미디어브레인 
    http://mediabrain.co.kr/227/

3. 정보보호21 2010년 9월호 - 커버스토리 " 당신의 SNS 개인 정보가 위험하다!"

4. The DIY Twitter Botnet Creator  - Sunbelt Blog
   http://sunbeltblog.blogspot.com/2010/05/diy-twitter-botnet-creator.html

5. 정보보호 Issue Report 2008-10
   "온라인 소셜 네트워크(Social Network) 환경에서의 보안 위협과 시사점"