[박춘식 교수의 보안이야기] 내각관방실정보시큐리티센터(NISC)는 1월19일, 정부기관의 정보시큐리티 대책 상황에 대해서 발표하였다. 표적형 의심 메일 공격에 대한 훈련 및 공개 웹 서버의 취약성검사결과의 중간보고인 셈이다.
 
표적형 의심 메일 공격에 대한 훈련은 12개의 정부 기관의 직원 등 약 6 만 명을 대상으로 2011년 10월~12월까지 실시하였다. 훈련에는 대상자의 사전교육과 표적형 의심 메일의 모의 메일을 2회 송신하였다.
 
개봉률이나 수신시의 행동 등의 결과를 분석하였다. 파일을 첨부한 1회째의 메일의 평균 개봉률은 10.1%(범위는 1.1 ~23.8%), 링크를 기재한 2회째의 메일의 평균 개봉률은 3.1%(범위는 0.4~6.1%)였다. 메일을 개봉한 이외의 사례로는 수신 메일로 반신하는 형태로 송신처에 차출인을 확인하고 마는 경우와 부재 통지가 자동적으로 송신되는 경우가 있었다고 한다.
 
NISC에서는 2회째의 메일에서 개봉률이 저하한 것으로부터 일정한 훈련 효과를 얻었다고 분석한다. 한편으로 훈련 실시에서 시간 경과로 의식이 저하하는 것이 염려되는 외에 사례에서 본 행동으로부터 공격자에게 정규 어드레스를 알려주고 마는 우려되는 과제를 열거하고 있다.
 
공개 웹 서버의 취약성 검사는 희망한 11 부성청의 약 330개 면을 대상으로 2011년 9월~12월까지 인터넷 경유로 실시, 툴 및 수동으로 플랫폼과 웹 어플리케이션의 상황을 조사하였다.
 
그 결과 공통 취약성평가 시스템(CVSS)의 값으로 7.0~9.9의 위험도가 높은 취약성이 총 14건 발견되었다. 내역은 SQL 인젝션이 8건、Apache의 Range 해더에서의 서비스 방해(DoS)가 3건, DoS 및 지원 절단 OS의 사용, 인증의 우회가 1건이다.
 
취약성이 발견된 부성청에는 속보로 정보를 제공하였으며 대책을 실시 완료 또는 실시 중이라고 하고 있다. 외부 등을 포함한 DNS 서버에 대한 SPF 레코드의 설정 상황은 1월16일 현재 85.1％(Third level Domain까지)였다.
 
부성청에서는 2010년 7월에 설정을 완료하고 있다. 이제 이용하지 않는 「go.jp」 도메인 폐지 외에 메일을 송신하지 않는 동 도메인에서는 그 내용을 SPF레코드로 기술하는 등의 메커니즘을 행하고 있다고 한다. (ITmedia 2012.01.19)
[박춘식 서울여자대학교 정보보호학과 교수]