<p class="cafe-editor-text">● 국가 공개 키 기반 구조<br />(National Public Key Infrastructure, NPKI)<br /><br />● 행정 공개 키 기반구조<br />(Government Public Key Infrastructure, GPKI)<br /><br />● 교육 공개 키 기반구조<br />(Education Public Key Infrastructure, EPKI)<br /><br />- PKI(Public Key Infrastructure)의 개념을 교육망으로 옮긴 것.<br /><br /><br /><br />■ GPKI(Government Public Key Infrastructure)<br /><br />- 행정전자서명이 진정한 것임을 확인, 증명할 수 있도록 하기 위하여 행정기관, 보조기관, 보좌기관, 전자문서유통 및 행정정보 공공이용, 공공기반, 은행 또는 사용자에게 발급하는 전자적 정보를 말한다.<br /><br /><br />- 인증서 발급 대상 : <br /><br />1. 인증관리체계상 인증업무 수행 인증기관, 등록기관, 원격등록기관에 해당하는 행정기관<br /><br />2. 행정기관, 보조기관, 보좌기관, 공무원, 정보통신 장비가 일반 인증서 발급 대상<br /><br />3. 전자문서 유통 및 행정정보 공동이용 공공기관, 은행법으로 지정된 기관과 사용자가 발급대상<br /><br /><br />- PKI(Public Key Infrastructure)의 개념을 행정망으로 옮긴 것.<br /><br />- PKI : 공개키 알고리즘을 통한 암호화 및 전자 서명을 제공하는 복합적인 보안 시스템 환경<br /><br />- 인터넷뱅킹 등에서 사용하는 공인인증서를 행정망에 적용<br /><br /><br />OTP(One Time Password) 란 ?<br /><br /><br />SSO(Single Sign On)이란 ?<br /><br /><br /><br /><br /><br /><br /><br />공직자통합메일 사칭 피싱 또 발견...공무원 인증서 탈취 노렸다<br /><br />2017-10-11 13:30<br /><br /><br />공직자통합메일 사칭한 피싱 메일 발견, 인증서 암호 입력 요구로 정보 탈취 시도 <br /><br />정부부처 공무원 노린 스피어피싱 공격, 단축 URL 클릭시 피싱 사이트로 연결<br /><br /><br />공직자통합메일을 사칭한 피싱 메일이 발견됐다. 이번에 발견된 피싱 메일은 문화체육관광부가 운영하는 공직자통합메일을 사칭하고 있어 관계부처 공무원 등 공직자를 타깃으로 한 스피어피싱 공격으로 보인다. <br /><br /><br />위협정보대응 전문 서비스를 제공하는 제로써트(ZeroCERT)에 따르면 지난 10일 문화체육관광부 공직자통합메일 사칭 피싱 사이트가 확인됐다. 해당 피싱 공격은 정부부처 공무원들을 타깃으로 행정전자서명(GPKI) 교육기관전자서명(EPKI) 공직자통합메일을 사칭한 피싱 메일을 통해 진행된다며 공직자들의 각별한 주의를 당부했다. <br /><br />이번에 발견된 피싱 메일에는 단축 URL(goo.gl)을 클릭하도록 유도하고 있으며, 단축 URL을 클릭할 경우 피싱 사이트로 넘어간다. 피싱 화면을 살펴보면 인증서를 4개 파일 모두 선택해야 한다며 요구하고, 인증서 암호도 함께 입력하도록 하고 있다. <br /><br />이는 해커가 사전에 특정기관 담당자 이메일 주소를 파악해서 메일을 뿌리는 형태로 국내 상황을 잘 알고 있음을 짐작케 하는 대목이다. 특히, 특정 타깃을 노리고 공격하는 경우 기존 사례에서 유추해 볼 때 중국 해커와 북한 해커의 가능성을 배제할 수 없다는 게 보안전문가들의 공통된 의견이다.<br /><br />이에 대해 제로써트 측은 “피싱 사이트에서 확인되는 것처럼 GPKI, EPKI 인증서는 행정전자서명을 기반으로 한 국가 공인인증서로 일반 사용자를 노린 공격이 아닌 특정 타깃을 노린 공격이며, 단축 URL(goo.gl)을 사용한 것은 메일 내 링크가 스팸으로 탐지되는 걸 회피하기 위한 목적으로 보인다”고 분석했다. <br /><br />한 보안 전문가는 “피싱 링크가 메일의 본문에 있는 경우라면, 직접적으로 노린 피싱 공격으로 추정할 수 있지만, 피싱 페이지만 존재한다고 가정한다면, 네이버 피싱과 유사한 형태의 피싱 공격으로 볼 수 있다”며 “두 가지 사례 모두, 피싱 페이지로 공격이 진행되므로 피싱 페이지에 대한 빠른 탐지 및 대응이 여전히 필요한 상태”라고 우려했다.<br /><br /><br />▲지난 7월 27일 행정전자서명 인증관리센터에서 올린 피싱 메일 주의 공지사항 화면[이미지=홈페이지 캡쳐] <br /><br />이와 관련해서는 지난 7월에도 공직자통합메일을 위장한 피싱 사이트가 발견된 바 있다. 당시 유포된 악성 메일에는 ‘지금 인증서 갱신하러 가기’를 본문에 넣어 공직자들을 현혹시켰으며, 바로가기를 클릭할 경우 피싱 경유지로 접속을 유도한 바 있다. 해당 피싱 메일에 대해 행정전자서명 인증관리센터에서는 지난 7월 27일 공지사항으로 주의를 당부했다.<br /><br />따라서 공직자들은 이러한 피싱 메일에 인증서 정보가 탈취되지 않도록 출처를 알 수 없는 메일은 절대 수신하지 말아야 한다. 또한, 백신과 소프트웨어 등은 항상 최신 버전으로 업데이트를 유지해야 한다. <br /><br />[김경애 기자(boan3@boannews.com)]<br /><br /><br /><br />■ 교육행정전자서명 인증서비스 국제인증(WebTrust) 획득<br /><br /><br /><br /><자료문의> 개인정보보호부 양승만 부장(053-714-0375), 박지선 연구원(053-714-0429)<br /><br /><br />□ 한국교육학술정보원(원장 한석수, 이하 KERIS)은 지난 5월 10일 교육행정전자서명 인증서비스(Education Public Key Infrastructure, 이하 EPKI)에 대하여 국제 공인기관(www.webtrust.org)으로부터 국제인증(WebTrust 인증)을 획득했다고 밝혔다.<br /><br /><br />○ WebTrust 인증은 「전자서명인증서 발급․관리 기관」과 「전자서명인증서 규격․관리 기준」에 대한 보안 수준을 심사하는 국제 공인인증이다.<br /><br /><br />○ KERIS는 총 453개로 구성된 엄격한 심사기준을 통과하여 2종의 WebTrust 인증을 획득하였다.<br /><br /><br />□ KERIS는 이번 WebTrust 인증을 기반으로 다양한 웹브라우저에서의 사용자 편의성을 개선할 계획이다.<br /><br /><br />○ 현재 EPKI 인증서가 설치된 웹사이트 접속 시, 일부 모바일 환경 및 웹브라우저에서 보안경고가 발생하고 있다.<br /><br /><br />○ 이에 이번 인증 결과를 각 웹브라우저사에 제출하고 인증서를 등록하여 보안경고가 발생하지 않도록 조치함으로써 웹 호환성을 강화해 나갈 예정이다.<br /><br /><br />□ KERIS 한석수 원장은 “WebTrust 인증을 통해 KERIS는 EPKI 서비스의 보안성과 신뢰성을 국제적으로 인정받았다.”라고 밝히며, “앞으로도 인증관리센터에 대한 철저한 관리와 안정적인 서비스 제공을 통해 안전한 사이버 교육환경 구현에 앞장서겠다.”라고 말했다. <br /><br />160524_교육행정전자서명 인증서비스 국제인증(WebTrust) 획득_ 보도자료.hwp<br /><br /><br /></p>
<!-- -->
