최근 들어 뉴스를 보기 싫어졌다. 지금은 옥살이를 하고 있는 박근혜가 기적처럼(나에겐 멘붕을 선사했던) 대통령에 당선된 뒤 초반 행보를 보며 일말의 기대를 접은 뒤 뉴스를 한동안 멀리 했던 그 시기와 비슷해졌다.

그 이유는...

문재인 대통령과 조국 법무부장관의 검찰개혁을 저지하기 위한 윤석열 총장을 비롯한 검사들의 행보가 마치 노무현 대통령 취임 초반 시도했던 검찰 개혁에 검찰조직이 반발하던 것과 판박이일 뿐만 아니라 오히려 더 거세게 "감히 우리를 건드려??? 우리를 건드리면 어떻게 되는지 보여주지.."를 시전하는 것 같기 때문이다. 게다가 검찰의 행보에 대한 자칭 보수 지지자들의 무조건 적으로 호응하는 반응이 정말 뉴스를 쳐다보기도 싫을 만큼 혐오스럽기 때문이기도 하다.

게다가 엊그제는 참..황당한 사건이 벌어졌다.

청와대에 근무중인 검찰 수사관이 자살을 했고 이유를 밝히기 위해 자살한 수사관의 휴대폰을 경찰에서 가져가 조사중이었는데 난데없이 검찰이 해당 스마트폰을 수사중인 서초경찰서를 압수수색한 것이다.

일반적으로 자살사건의 경우 피의자라 할 지라도 "공소권없음"으로 처리하고 기소하지 않는것이 검찰의 관행이다. 그럼에도 번개불에 콩구워먹듯 자살한 사람의 휴대폰을 확보하기 위해 .. 그것도 경찰서를 압수수색하는 것은 사례를 찾아보기 힘든 이해할 수 없는 행동이다.

검찰이... 무언가... 찔릴게 있어 검찰에 불리한 증거를 감추기 위해 급하게 압수수색을..그것도 해당수사를 진행하고 있는 경찰서를 압수수색하는 것은 매우 심각한 사인일 가능성이 높다.

검찰개혁의 핵심은 수사권과 기소권의 분리다.

대한민국의 검찰(법원도 마찬가지지만)은 과거 이승만과 박정희로 대변되는 독재자의 권력유지와 정적을 처단하기 위한 가장 훌륭한 수단으로 활용되었다. 그래서 독재자들은 검찰에 전세계에서 찾아보기 어려울 만큼 강력한 권한을 부여하였으니 바로 수사권과 기소권을 모두 검찰에게 부여한 것이다.

수사권이란 사건을 인지하고 수사를 개시할 수 있는 권한과 수사를 종료할 수 있는 권한을 말한다. 그리고 수사를 지휘할 수 있는 권한도 수사권에 포함되어 있다. 일반적으로 모든 선진국과 대부분의 국가에서 수사권은 경찰에게 부여한다. 검찰에게 수사권을 부여한 국가는 없다. 그리고 우리나라는 수사 도중 피의자를 구속할 수 있는 구속영장의 청구권도 검찰에게만 부여되어 있다. 검찰과 함께 수사권을 갖고 있는 경찰은 구속영장을 청구할 권한이 없다. 경찰도 피의자를 구속수사하기 위해서는 검찰을 통해 법원에 구속영장을 청구해야 한다.

수사권은 경찰도 갖고 있는데 검찰이 먼저 특정 사건을 인지하고 수사를 개시하면 해당 사건에 대한 수사지휘권을 검찰이 갖기 때문에 경찰은 수사를 개시할 수 없으며(검찰이 협조하지 않는 이상) 경찰이 사건을 인지하고 수사를 개시해도 검찰이 "너네 그만해.. 우리가 수사할래" 하면 경찰은 꼬리를 내릴 수 밖에 없다. 수사지휘권을 검찰이 갖고 있기 때문이다.

게다가 검찰은 수사 후 수사결과를 바탕을오 법원에 재판을 청구할 수 있는 기소권(죄목을 명시해 법원에 재판을 청구하는)까지도 갖고 있다. 반대로 경찰은 기소권을 갖고 있지 못하다. 

커다란 사건이 발생하면 언론의 스포트라이트는 검찰에게 쏠리게 되고 검찰은 경찰을 배제한 채 직접 수사한다. 그리고 검찰 스스로의 수사하고 법원에 기소하는 권한을 갖고 있다보니 비리를 저지르거나 범죄를 저지른 정치인, 기업가 등 재력과 권력을 갖고 있는 이들은 검찰의 수사를 축소해 죄를 가볍게하거나 수사 결과를 뒤집어 기소를 하지 못하도록 하기 위해 접대, 향응, 뇌물 등을 검찰에 집중적으로 제공하게 된다.

결과적으로 검찰은 수사 후 범죄사실을 축소해 법원에 기소(재판청구)하거나 사건자체를 혐의 자체를 숨겨 기소하지 않을 수 있는 것이다. 하지만 이때 검찰의 수사 내용에 대한 검증을 아무도 하지 못하는 문제가 있다. 때문에 검찰은 쉽게 부패하게 된다. 그래서 붙은 검찰의 별명이 있으니 바로 "떡검" 또는 "떡찰"이라 불리는 별명이다.

흔히 법원이 수사내용을 검토하지 않냐라고 하는데.. 법원은 검찰의 수사결과와 적용한 죄목의 적법성을 판단할 뿐 수사내용이 옳은지 제대로 수사한 것인지를 사건의 축소의도는 없는지 사건이 조작된 것인지는 판단하지 않는다.

반면 경찰은 수사의 지휘를 검찰에게 받고 있다. 즉 수사결과를 바탕으로 법원에 기소해달라고 검찰에 요청하면 검찰은 수사내용을 검토하여 수사가 미진했거나 부실하면 재수사를 요구할 수도 있고 혐의가 없다고 판단되면 기소하지 않을 수도 있다. 즉 경찰은 검찰의 견제를 받는 것이다.

그래서 모든 국가에서는 수사는 경찰이 수행하고 경찰이 검찰에게 기소를 요청하면 검찰히 수사의 적법성, 사건의 내용, 죄목의 적합성 등을 검토한 뒤 문제가 있다면 경찰에 재수사를 요구할 수 있게 하고 문제가 없다고 판단되면 법원에 기소하는 수사권과 기소권을 분리하는 사법체계를 두고 있다.

이러한 검찰의 수사권과 기소권의 독점으로 인한 정치, 경제, 사회의 지도층과 검찰의 유착을 막기위해 과거 노무현 대통령은 대통령에 당선되지 마자 검찰의 개혁을 시도했다. 하지만 당시 보수야당과 적폐 언론 그리고 그들에게 놀아난 무지한 국민들의 반발로 인해 실패하였으며 결국 임기 후 이명박 전 대통령과 검찰의 무자비한 보복 수사로 인해 죽음으로 내몰린 것이다.

조국 일가에 대한 검찰의 수사개시와 기소는 검찰개혁 시도 대한 보복성 수사

임기 중 스스로 물러난 전 조국 법무부 장관은 예전부터 검찰의 수사권 조정을 주장했던 인물이다. 당연히 검사들은 자신들의 강력한 무기인 수사권(수사지휘권, 영장청구권 포함)을 빼앗으려는 조국 전 법무부장관에게 적대적이었다.

그런 인물이 법무부 장관 후보가 되었다. 당연히 껄끄럽고 그런 사람이 법무부 장관이 되는 것을 어떻게든 막고 싶다. 그런데 갑자기 조국 딸의 봉사활동 표창장이 위조되었고 입시에 사용되었다는 제보가 들어온다.

"이거다...!!" 라고 생각한 검찰은 자신들이 갖고 있는 수사권을 발동해 봉사활동 표창장 위조사건의 수사를 개시했다. 자...여기서 일개 학생의 "봉사활동 표창장" 위조사건이 "검찰"이 출동할만한 사안인가를 생각할 필요가 있다. 

이런 사소한 사안의 경우 내사를 진행할 수도 있고 경찰에 수사개시를 지시할 수도 있다. 그리고 의혹이 생긴만큼 국회의 인사청문회에서 다뤄질 것이 뻔하기 때문에 인사청문회 결과를 보고 수사 개시여부를 결정할 수도 있다.

하지만 검찰은 그런 여러 선택지는 모두 내던지고 스스로 수십명의 검사를 동원한 역대급 대형수사를 시작한 것이다. 당연히 역대급 압수수색도 함께 진행되었다. 단순한 "봉사활동 표창장"(성적 표창장도 아니다.) 위조사건에서는 볼 수 없는 규모의 압수수색이 여러곳에 실시되었다. 그래선지 보수성향의 정치주간지에서 조차 100여명의 검사를 동원한 권력형 비리 게이트급의 수사팀 구성은 구속영장 청구서에 명시된 범죄 혐의와는 거리가 있어보인다고 할 정도다.

다분히 이런 수사개시와 과도한 규모의 검사투입과 압수수색의 의도는 합리적으로 의심할 수 밖에 없다. 범죄 성립의 결과와는 관계없이 수사 개시의 의도는 당연히 조국 후보를 낙마시키기 위한 보복성인 것으로 의심된다.

게다가 검찰은 표창장 위조 만으로는 범죄의 성립과 구속이 어려울 것으로 판단되자 전방위적으로 조국일가를 털기시작하였고 결과적으로 "내부 정보를 활용해 주식을 매입한" 경제범죄와 "증거인멸"을 내세워 구속영장을 받아내었다. 대대적인 수사를 벌인 표창장 위조는 용두사미가 되었다.

조국일가에 대한 수사개시, 수사과정, 주요 범죄혐의의 변화를 종합적으로 살며보면 검찰개혁 추진에 대한 보복성 수사임이 명백해진다.

상황 분석력이 부족한 대한민국 국민

국가적 위기가 닥치면 지혜롭게 대처하는 사람들이 바로 대한민국 국민이다. 오죽하면 "국난 극복이 취미"라고하는 유머가 등장할 정도이겠는가.. 그런 지혜로운 국민이지만 이따금씩 똥볼을 차는 모습을 볼 때면 언론과 결탁한 정치,경제,사법 관련 부패세력의 농간이 참 대단하다는 생각이 든다.

조국 사태 건도 그렇다.

객관적으로 볼 때 조국 일가에게 씌워진 혐의가 모두 사실이라 하더라도 과거 보수 정권의 장관들에 대한 인사청문회에서 불거진 의혹과 비교해볼 때 정말 조족지혈이다. 그럼에도 불구하고 부패한 보수 야당과 언론은 무차별적으로 조국 후보와 그 일가족에 대한 의혹의 확대재생산 이라는 수단을 동원해 많은 단순한 사고를 가진 국민을 자기들의 편으로 끌어들이는 헤게모니 쟁탈전에서 이겼다.

그 헤게모니 쟁탈전에서 보수야당과 검찰이 이길 수 있었던 것은 바로 인터넷을 통해 의혹을 제기하는 언론들의 뉴스를 확대 재생산하는 것이었다. 하도 조국과 일가족을 비난하는 기사가 포털의 뉴스 탭을 도배하다 보니 과거 최순실 비선실세 관련 기사나 세월호 기사와 비교해 과도하다는 의혹까지 일었고 국회에서 거론이 되기도 했다. 사실 이런 논란이 발생할 만큼 언론들이 기사를 써 제낀다는 것 자체가 대한민국 언론계에 문제가 있다는 것을 반증하고 있다. 

하지만 진짜 문제는 바로 이런 보수 언론사의 기레기들을 동원한 보수 야당과 검찰의 농간에 놀아나는 국민이라고 생각된다. 

앞에서 언급한 대로 검찰의 과도하고도 기획된 수사를 견디지 못하고 임기 중간에 낙마한 전 조국 법무부장관의 직접적인 범죄 혐의는 아직 수사조차 되지 않고 있다. 그 일가족인 딸의 "봉사 표창장 위조", 아내의 불법적인 투자 정도가 낙마의 이유가 되고 있다.

과거 보수 정권에서 국무총리까지 지낸 황교안 현 자유한국당 대표의 만성 담마진으로 인한 징집면제의혹, 아들 병역의혹, 역사관 의혹, 전관예우 의혹, 법무부장관 후보 시절 청문회 위증, 아들의 KT 부정입사 의혹과는 비교 불가다.

또한 조국 일가의 웅동학원에 대한 재단 전입금 미납 등 의혹도 나경원 일가의 홍신학원과 비교하면 1/60 밖에 되지 않을 만큼 깨끗(?)하다. 게다가 조국 일가가 웅동학원에 일가족이 근무하며 온갖 부정과 부패를 저질렀다고 하지만 나경원 일가의 경우 더 많은 가족이 재단에 근무하며 재단을 좌지우지하고 있다.

하지만 문제는 국민들의 부족한 상황분석력 이었다. 

대한민국은 민주화를 이루긴 했으나 제대로 된 민주화를 이루고 공정사회를 만들기에 시간은 너무 부족했다. 특히 사법계와 경제계 측면의 민주화는 국민의 눈높이를 맞추기엔 한참 모자란다. 그리고 사법계와 경제계의 민주화를 이루기 위해서는 정치권과 경제계 그리고 사법체계를 분리하여 서로 유착되지 못하도록 하는 것이 무엇보다 중요하다. 그러기 위해서 가장 중요한 것 중 하나가 과도하게 사법 권력이 집중된 법원과 검찰의 개혁이다.

비록 조국이 여러 의혹을 갖고 있긴 하지만 과거의 장관급 후보자들에 비해 매우 깨끗한 편이다. 특히나 지금 이슈가 된 사건들 조차 "조국 본인"과의 인과성을 찾기 어렵다. 실제로 검찰은 조국 딸의 봉사표창장 위조 의혹 수사를 대대적으로 시작한 이후 조국과의 연관성을 찾기위해 발악하는 모습을 보였으나 오랜 시간이 지난 지금까지도 조국 본인으로 수사를 확대하지 못하고 있다. 당연히 조국이 연관되었다는 증거를 찾지 못한 것이다. 검찰이 스스로 의혹만으로 수사를 개시하였고 과도하게 수사를 이어갔다는 반증이다. 그렇다면 국민은 검찰과 언론을 책망해야 한다.

하지만 검찰은 아직도 미련을 버리지 못하고 있다. 검찰을 개혁하려 했던 것에 대한 보복을 하기 위해 끝까지 조국 본인을 타겟으로 수사를 계속하려 한다. 이젠 검찰도 수사를 중단할 명분을 찾아야 하지만 찾기가 쉽지는 않을 것이다. 가도 너무 나간 것이다.

비록 만족스럽지는 않았어도 검찰의 개혁은 조국에게 맞겨야 했다. 시커멓게 오염된 더러운 물을 1급수 까지는 아니어도 2급수 정도까지 개혁하도록 지지했어야 한다. 그가 비록 100% 무결하지는 않았어도 충분히 검찰을 개혁시킬 수 있는 인물이라는 점을 인정했어야 한다. 

노무현 전 대통령을 죽음으로 내몬 그 검찰이 또 누구를 죽음으로 내몰지 아무도 모른다. 그리고 그렇게 된다면 그 책임은 보수 정당과 검찰 그리고 적폐 언론에게 놀아난 무지한 국민에게 있을 것이다.

국내 최대 암호화폐거래소인 업비트(upbit.com : 두나무 주식회사)가 해킹을 당해 이더리움 342,000 (약580억원)을 탈취당했다. 과거 빗섬 등 다른 거래소가 크고 작은 해킹을 당하는 과정에서도 업비트는 그나마 잘 버티고 있었는데, 이번 사고는 국내 암호화폐거래소 해킹사고 중에서도 역대급으로 기록될 가능성이 매우 높다.

지난 3년간 암호화폐거래소의 사고 내역을 살펴보면 다음과 같다.

사실 이 목록 이외에도 암호화폐거래소의 접속 정보 등의 유출에 의한 개인들의 사고까지 포함한다면 훨씬 더 많은 암호화폐 관련 사고가 있을 것이다.

하지만 이번 업비트의 사고는 그 양상이 조금 다르다. 정확한 사고 원인은 알 수 없지만 업비트 이용자 소유의 암호화폐가 유출된 것이 아니라 업비트가 자체적으로 보유하고 있는 이더리움이 털린 것이다. 이는 업비트의 공지를 보면 알 수 있다.

그런데 아마도 이 공지사항의 내용을 정확하게 이해하지 못하는 분들도 많을 것이다. 먼저 이해를 돕기위해 짧은 지식이나마 풀어본다.

"업비트 이더리움 핫월렛"

암호화폐에 대해 잘 모르는 분들은 월렛(wallet)이라는 단어를 먼저 이해해야 한다. 월렛(wallet)은 지갑이라는 의미다. 그리고 암호화폐에서 월렛은 "암호화폐의 전자지갑" 쯤으로 이해하면 된다. 뭐 이정도를 갖고 그러나..싶다면.. 다음의 질문에 답을 할 수 있어야 한다.

"암호화폐 전자지갑(wallet)에 실제 암호화폐가 저장되는가?"

이 질문에 즉각적으로 "아니오"라고 답을 하지 못한다면 암호화폐에 대해 제대로 이해하고 있다고 보기 어렵다. 암호화폐 전자지갑에는 실제 암호화폐가 저장되지 않는다. 암호화폐의 월렛에는 암호화폐 주소에 해당하는 공개키(Public Key)와 비밀번호에 해당하는 개인키(Private Key)가 저장되어 있다. 보유하고 있는 암호화폐의 잔액이나 거래내역 따위는 저장되어 있지 않다. 

만약 공개키와 개인키가 무엇인지 모른다면 예전에 올린 포스트를 보고 오기 바란다.

그리고 "핫월렛(Hot Wallet)"이라 함은 언제든지 암호화폐를 입금하거나 출금할 수 있도록 온라인상에 연결되어 있는 월렛을 의미한다. 즉 암호화폐의 주소에서 암호화폐를 출금할 때 사용하는 개인키(Private Key)가 온라인 상에 저장되어 있는 것을 핫월렛이라고 한다.

따라서 해킹에 의해 암호화폐 주소(암호화폐의 계좌라 보면 됨)에 해당되는 개인키가 유출될 위험이 상존하게 된다. 개인의 암호화폐가 탈취되는 사고의 경우 100%의 확률로 이 핫월렛에 저장된 개인키가 유출된 것이라 보면 된다.

거래소에서 암호화폐를 거래하는 이용자라면 기본적으로 개인키가 저장된 월렛이 거래소의 시스템에 존재한다. 즉 핫월렛을 사용하고 있는 것이다.

위의 "업비트 이더리움 핫월렛"을 풀어쓰면 "업비트 거래소에 있는 이더리움 핫월렛 중 업비트 자신의 이더리움 주소(월렛)"이라고 쓸 수 있다. 즉 이용자의 이더리움이 아닌 업비트가 자체적으로 보유하고 있는 이더리움이라고 추측할 수 있는 대목이다.

알 수 없는 지갑의 주소는 0xa09871AEadF4994Ca12f5c0b6056BBd1d343c029 입니다.

지갑의 주소란 은행의 계좌번호와 같다. 즉 이더리움의 블록체인 네트워크에서 유일한 계좌번호에 해당하는 공개키다. 맨앞 두자리의 0x는 16진수를 의미하고 a 에서 9 까지가 이더리움 지갑 주소다. 그런데 "알 수 없는" 주소란다. 즉 이 주소의 주인이 누구인지 모른다는 의미다. 

위의 주소를 알고 있으면 이더스캔이라는 프로그램으로 이 주소가 가진 이더리움의 잔액도 조회할 수 있다. 즉 이더리움 주소(계좌번호에 해당)와 잔액을 알고 있다면 돌려받으면 되지 않을까 라고 생각할 수도 있지만 기술적으로 불가능하다. 

이 주소의 주인이 누군지 알 수도 없을 뿐더러 잔액을 알고 있더라도 이 주소의 개인키를 알지 못하는 이상 업비트가 그 잔액을 강제로 돌려받을 수도 없다. 진짜로 현재의 기술로는 불가능하다.

다만 이 주소의 주인을 알고 있는 사람이 있다면 제보를 바라고 주소를 공개한 것이며 타 거래소들에게 저 주소에서 일어나는 거래를 막아 일종의 계좌동결을 해달라는 간접적인 요청으로 보인다.

알수 없는 지갑으로 전송된 ETH 342,000개는 업비트 자산으로 충당

실제 업비트에 가입하고 계좌인증을 받고 현금을 업비트 계정으로 송금한 뒤 이더리움을 산다면.... 실제로 이용자의 이더리움 주소가 생성될까? 그렇지 않은 거래소가 대부분이다.

거래소는 이용자가 현금으로 이더리움을 구입하면 실제로는 업비트의 이더리움 지갑을 이용해 이더리움을 사고 이용자가 구입한 이더리움이 얼마인지를 별도 업비트의 거래시스템에 관리한다. 그리고 이번 해킹으로 인해 털린~ 이더리움 주소가 바로 그런 용도의 이더리움 주소인 것이다. 결과적으로는 업비트 자체의 이더리움 주소에서 이더리움이 해커에게 출금된 것이지만 실제로는 이용자의 이더리움이 탈취된 것과 같은 것이다.

이럴 경우를 대비해 암호화폐 거래소 들은 별도의 이더리움 주소를 보유하고 정해진 비율만큼의 별도 이더리움을 콜드월렛(뒤에서 설명)에 충당해 두고 있다. 위 문장은 그 콜드월렛에 보관 중인 별도의 업비트 이더리움 자산에서 이용자의 이더리움 거래에 사용되는 핫월렛으로 해커에게 탈취된 만큼을 이체하겠다는 의미다.

핫월렛에 있는 모든 암호화폐는 콜드월렛으로 이전

여기서 새로운 용어가 등장한다. 

바로 "콜드월렛(Cold Wallet)"이다. 핫월렛은 앞에서 설명한 것 처럼 이더리움 거래에 사용되는 이더리움 주소(공개키)와 비밀번호(개인키)가 온라인에 저장되어 있는 것이다. 반면 콜드월렛은 이더리움 주소의 개인키가 저장된 월렛이 온라인상에서 삭제되고 오프라인(네트워크가 물리적으로 단절된) 저장소에 저장되었다는 것을 의미한다. 즉 거래소 시스템을 해킹해 이더리움 주소의 개인키를 탈취하는 것이 불가능해짐을 의미한다.

위에서 핫월렛에 있는 모든 암호화폐를 콜드월렛으로 이전했다는 의미는 이더리움을 출금할 때 사용되는 개인키가 저장된 월렛을 온라인 거래시스템에서 삭제하고 오프라인의 저장소로 옮겼다는 의미다.

하지만 핫월렛이든 콜드월렛이든 월렛내의 개인키가 유출된다면 이번 업비트의 암호화폐 탈취와 같은 사고는 언제든지 발생할 수 있다. 물론 인터넷과 거래소 내부 네트워크와 물리적으로 단절된 오프라인 저장소에 보관하는 것이 조금은 더 안전하겠지만 콜드월렛이 보관되고 있는 오프라인 저장소에 대한 물리적인 보안대책은 보다 강력해야 한다.

이런 콜드월렛으로 이전하는 조치는 이번 사고의 원인분석과 재발방지대책이 모두 구현될 때 까지 이더리움 월렛을 안전하게 보관하기 위해 온라인 상의 핫월렛을 오프라인 상의 콜드월렛으로 옮겨두겠다는 의미다. 당연히 이더리움 암호화폐의 입출금은 중단될 수 밖에 없으며 "가두리 펌핑" 우려가 있는 업비트 내에서의 이더리움 거래만 가능하다는 의미다.

그리고 그 조치를 모두 완료하 기간을 약 2주 정도로 잡고 있다는 의미이기도 하다.

과연 해킹일까?

이번 업비트 이더리움 탈취 사건은 명백한 보안사고다. 그러나 외부에서의 해킹인지 아니면 내부자과 관련된 보안사고인지는 아직 알 수 없다. 하지만 벌써 인터넷엔 국내 최대규모의 암호화폐 거래소가 뚫렸으니 블록체인의 해킹, 더 나아가 암호화폐 자체의 안전성은 허구라는 식의 가짜뉴스가 등장했다.

하지만 이번 업비트 이더리움 탈취 사고도 업비트의 공지사항이나 비공식적인 경로를 통해 들려오는 정보를 종합해볼 때 암호화폐 블록체인 네트워크의 결함이 아닌 월렛의 개인키가 유출된 사고로서 거래소 자체 시스템의 취약점 또는 월렛 관리상의 문제일 가능성이 99% 정도 된다고 보인다. 물론 블록체인도, 암호화폐도 사람이 만든 것이므로 결함과 취약점이 존재할 1%의 가능성을 배제할 수는 없다.

사실 암호화폐에 대해 설왕설래가 많지만 IT를 전공하는 사람들 조차도 암호화폐의 원리를 제대로 이해하고 있는 사람은 드물다. 암호화폐가 거래되는 블록체인 네트워크는 전에도 언급했지만 최신 암호기술이 대부분 사용된 매우 복잡하고 아키텍처와 기술을 쉽게 이해하기엔 너무 어려운 시스템이다. 암호화폐 관련 분야에 직접 종사하며 관련 시스템을 전반적으로 개발해보지 않았다면 말이다.

이 포스트를 통해 암호화폐를 어려워하는 분이 조금이라도 관련 용어들을 이해하는데 도움이 되었으면 한다.

#업비트해킹 #핫월렛 #콜드월렛 #지갑주소

● 주요 점검 사항

• 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보호 정책을 수립하였는가?
• 정보보호 및 개인정보보호 정책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기 등을 규정한 지침, 절차 매뉴얼 등을 수립하고 있는가?
• 정보보호 및 개인정보보호 정책·시행문서의 제·개정 시 최고경영자 또는 최고경영자로부터 권한을 위임받은 자의 승인을 받고 있는가?
• 정보보호 및 개인정보보호 정책·시행문서의 최신본을 관련 임직원에게 이해하기 쉬운 형태로 제공하고 있는가?

● 관련 법령

• 개인정보 보호법 제29조(안전조치의무)
• 정보통신망법 제28조(개인정보의 보호조치)
• 개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립ㆍ이행)
• 개인정보의 기술적ㆍ관리적 보호조치 기준 제3조(내부관리계획의 수립ㆍ시행)

● 세부 설명

• 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보호 정책은 다음의 내용을 포함하여 수립하여야 한다.
  • 조직의 정보보호 및 개인정보보호에 대한 최고경영자 등 경영진의 의지 및 방향
  • 조직의 정보보호 및 개인정보보호를 위한 역할과 책임 및 대상과 범위
  • 조직이 수행하는 관리적, 기술적, 물리적 정보보호 및 개인정보보호 활동의 근거
• 정보보호 및 개인정보보호 정책에 명시된 정보보호 및 개인정보보호 사항을 구체적으로 시행하기 위하여 필요한 세부 방법, 절차, 주기, 수행주체 등을 규정하는 지침, 절차, 매뉴얼, 가이드 등의 하위 실행 문서를 조직의 특성에 맞게 수립하여야 한다.
  • 하위 실행 문서는 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 구체적으로 제시할 수 있어야 하며, 보호 대상 관점 또는 수행주체 관점 등 다양한 관점에서 조직 특성에 맞게 수립
        ※ 하위 실행 문서 (예시)

    보호대상 관점	수행 주체 관점
    o 서버보안 지침       o 네트워크보안 지침       o 데이터베이스보안 지침       o 어플리케이션보안 지침       o 웹서비스보안 지침	o 임직원보안 지침       o 개발자보안 지침       o 운영자보안 지침

• 정책 및 시행문서(지침, 절차 등)는 조직이 제공하고 있는 서비스, 사업 등에 관련된 개인정보 보호 관련 법적 요구사항(법률, 시행령, 시행규칙, 하위 고시, 가이드 등)을 반영
     ※ 정보보호 및 개인정보보호 관련 법률 (예시)

     o 정보통신망 이용촉진 및 정보보호 등에 관한 법률

     o 개인정보보호법

     o 신용정보의 이용 및 보호에 관한 법률

     o 위치정보의 보호 및 이용 등에 관한 법률

     o 전자금융거래법

     o 전자상거래 등에서의 소비자보호에 대한 법률

     o 저작권법

     o 정보통신 기반보호법

     o 전자서명법

     o 산업기술의 유출방지 및 영업비밀보호에 관한 법률

     o 부정경쟁방지 및 영업비밀보호에 관한 법률

• 개인정보를 처리하는 경우 개인정보 보호법 및 정보통신망법에 따른 내부관리계획을 관련 법규에서 요구하는 사항을 모두 포함하여 수립
      ※ 관련 법규에 따라 내부관리계획에 포함되어야 하는 사항

  개인정보 보호법

  정보통신망법

  1.개인정보 보호책임자의 지정에 관한 사항       2.개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항       3.개인정보취급자에 대한 교육에 관한 사항       4.접근 권한의 관리에 관한 사항       5.접근 통제에 관한 사항       6.개인정보의 암호화 조치에 관한 사항       7.접속기록 보관 및 점검에 관한 사항       8.악성프로그램 등 방지에 관한 사항       9.물리적 안전조치에 관한 사항       10.개인정보 보호조직에 관한 구성 및 운영에 관한 사항       11.개인정보 유출사고 대응 계획 수립·시행에 관한 사항       12.위험도 분석 및 대응방안 마련에 관한 사항       13.재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항       14.개인정보 처리업무를 위탁하는 경우 수탁자에[ 대한 관리 및 감독에 관한 사항       15.그 밖에 개인정보 보호를 위하여 필요한 사항 ※ 단, 개인정보처리자 유형 및 규모에 따라 필수 사항이 상이함(개인정보의 안전성 확보조치 기준 별표 참조)

  1.개인정보관리책임자의 자격요건 및 지정에 관한 사항       2.개인정보관리책임자와 개인정보취급자의 역할 및 책임에 관한 사항       3.개인정보 내부관리계획의 수립 및 승인에 관한 사항       4.개인정보의 기술적·관리적 보호조치 이행 여부의 내부 점검에 관한 사항       5.개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항       6.개인정보의 분실·도난·누출·변조·훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항       7.그 밖의 개인정보보호를 위해 필요한 사항

• 정보보호 및 개인정보보호 정책·시행문서 제·개정 시 최고경영자 또는 최고경영자로부터 권한을 위임 받은 자의 승인을 받아야 한다.
  • 정책서와 시행문서를 제·개정하는 경우 이해관계자와 해당 내용을 충분히 협의·검토
  • 정책서 및 시행문서 변경으로 인한 조직 업무 및 서비스 영향도, 법적 준거성 등을 고려
  • 회의록 등 검토 사항에 대한 기록을 남기고 정책·지침 등에 관련 사항 반영
  • 검토가 완료된 정책서 및 시행문서를 경영진에게 보고하고 승인
• 정보보호 및 개인정보보호 정책·시행문서의 제·개정 시 최신본을 관련임직원에게 이해하기 쉬운 형태로 제공하여야 한다.
  • 임직원 및 외부자가 용이하게 참고할 수 있는 형태(전자게시판, 책자, 교육자료, 매뉴얼 등)로 제공
  • 정책서 시행문서는 제·개정 사항이 발생되면 즉시 공표하고 최신본을 유지

● 결함 사례

• 내부 규정에 따르면 정보보호 및 개인정보보호 정책서 제ㆍ개정 시에는 정보보호 및 개인정보보호 위원회의 의결을 거치도록 하고 있으나, 최근 정책서 개정 시 위원회에 안건으로 상정하지 않고 정보보호 최고 책임자 및 개인정보 보호책임자의 승인을 근거로만 개정한 경우  --> 내부 규정을 준수하지 않은 결함
• 정보보호 및 개인정보보호 정책 및 지침서가 최근에 개정되었으나, 해당 사항이 관련 부서 및 임직원에게 공유ㆍ전달되지 않아 일부 부서에서는 구 버전의 지침서를 기준으로 업무를 수행하고 있는 경우
• 정보보호 및 개인정보보호 정책 및 지침서를 보안부서에서만 관리하고 있고 임직원이 열람할 수 있도록 게시판, 문서 등의 방법으로 제공하지 않는 경우

● taeho's notes

• 정책에는 조직 고유의 업무와 특성에 맞는 (개인)정보보호영역을 크게 분류하고 각 영역별 정보보호활동의 방향을 명시한다. 또한 정책의 가장 앞부분에 (개인)정보보호를 위한 경영진의 의지와 방향을 담은 정보보호 선언문(1쪽~2쪽)이 위치하기도 한다.
• 지침에는 법적 요구사항(법률, 법령, 고시 및 가이드)의 내용을 포함한 세부적인 지침이 기술되어야 한다.
• 가이드는 지침의 내용을 준수하기 위한 세부적인 절차 및 (개인)정보보호활동에 대한 세부 단계별 행동요령이 매뉴얼 수준으로 기술되어야 한다.
• 정책, 지침, 가이드는 전 임직원 및 상주 외주인력(외주인력에게 필요한 범위에서)이 쉽게 찾아볼 수 있도록 전자적인 수단 혹은 출력물로 항시 접근가능한 곳에 비치되어야 한다.
• 정책, 지침은 정보보호위원회에 해당하는 조직에서 검토 및 승인되어야 하며 CEO 혹은 CEO에게 권한을 위임받은 자의 최종 승인을 득해야 한다.

#ISMS-P인증기준  #정책수립 #정보보호관리체계 

● 주요 확인 사항

• 조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하고 있는가?
• 정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의·책임자 승인 등 관련 근거를 기록·관리하고 있는가?
• 정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서목록 등)이 포함된 문서를 작성하여 관리하고 있는가?

● 세부 설명

• 조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하여야 한다.
• 관리체계 범위에는 사업(서비스)와 관련된 임직원, 정보시스템, 정보, 시설 등 유·무형의 핵심자산을 누락 없이 포함
• 특히 정보보호 관리체계 의무대상자의 경우 법적 요구사항에 따른 정보통신서비스 및 관련 정보자산은 의무적으로 포함되도록 범위 설정
• 정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의·책임자 승인 등 관련 근거를 기록·관리하여야 한다.
  • 정보보호 관리체계와 개인정보보호 관리체계의 범위가 상이한 경우에는 인증범위 내의 정보자산 목록(개인정보, 시스템, 네트워크 등)을 정보보호 관리체계 및 개인정보보호 관리체계 관점에서 명확하게 식별하여 정의
  • 인증범위에서 제외되는 서비스, 정보시스템 등에 대해서는 내부 협의 및 책임자 승인을 거친 후 그 사유 및 근거에 대해 기록하여 관리
• 정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서 목록 등)이 포함된 문서를 작성하여 관리하여야 한다.
  • 주요 서비스 및 업무 현황(개인정보 처리 업무 현황 포함)
  • 서비스 제공과 관련된 조직 현황(조직도 등)
  • 정보보호 및 개인정보보호 조직 현황
  • 주요 설비 목록
  • 정보시스템 목록 및 네트워크 구성도
  • 정보자산, 개인정보 관련 자산식별 기준 및 자산현황
  • 정보보호 및 개인정보보호 시스템 목록
  • 서비스(시스템) 구성도 및 개인정보(수집, 이용, 제공, 저장, 관리, 파기) 처리 흐름도
  • 문서 목록 (예:정책, 지침, 매뉴얼, 운영명세서 등)
  • 정보보호 및 개인정보보호 관리체계 수립 방법 및 절차, 관련 법적 준거성 검토 내역, 내부감사 
  • 고객센터, IDC, IT 개발 및 운영 등 외주(위탁)업체 현황 등

● 결함사례

• 정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 외주업체직원, PC, 테스트 용 단말기 등이 관리체계 범위에서 누락됨
• 정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업에 대하여 중요 의사 결정자 역할을 수행하고 있는 임직원, 사업부서 등의 핵심 조직(인력)을 인증범위에 포함하지 않은 경우
• 인증범위 내 조직 및 인력에 적용하고 있는 보안시스템(PC보안, 백신, 패치관리시스템 등)을 인증범위에서 배제하고 있는 경우
• 정보통신망법에 따른 정보보호 관리체계 의무대상자 임에도 불구하고 인터넷에 공개되어 있는 일부 웹사이트가 관리체계 범위에서 누락된 경우

● taeho's notes

• 기업의 (개인)정보보호관리체계 범위는 ISMS-P인증범위 보다 크거나 같아야 한다. 
• 정보보호전문업체의 (정보보호)시스템을 임대하여 사용하는 경우에도 자산의 범위에 포함시켜 관리하여야 한다. 정보보호관리체계에서 자산은 "소유"의 개념이 아니다. 임대 자산의 경우에도 패치관리, 취약점 점검 등 소유 자산과 동등한 정보보호수준을 유지하여야 한다.

#isms-p인증기준 #범위설정

● 주요 확인 사항

• 정보보호 최고책임자 및 개인정보 보호책임자의 업무를 지원하고 조직의 정보보호 및 개인정보보호 활동을 체계적으로 이행하기 위해 전문성을 갖춘 실무조직을 구성하여 운영하고 있는가?
• 조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하고 있는가?
• 전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하고 있는가?

● 관련 법규

• 개인정보 보호법 제29조(안전조치의무)
• 정보통신망법 제28조(개인정보의 보호조치)
• 개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립ㆍ시행)
• 개인정보의 기술적ㆍ관리적 보호조치 기준 제3조(내부관리계획의 수립ㆍ시행)

● 세부 설명

• 조직의 규모 업무 중요도  등의 특성을 고려하여 정보보호 및 개인정보보호 관리체계를 구축하고 지속적으로 운영하기 위해 필요한 조직 구성의 근거를 정보보호 및 개인정보보호 정책서 등에 명시하고 전문성을 갖춘 실무조직을 구성하여 운영하여야 한다.
  • 정보보호 최고책임자, 개인정보 보호책임자, 개인정보보호 실무조직, 정보보호 위원회 등 정보보호 및 개인정보보호 조직의 구성·운영에 대한 사항을 정책서, 내부관리계획 등에 명시
  • 실무조직의 구성형태 및 규모는 전사 조직의 규모, 업무, 서비스의 특성, 처리하는 정보 및 개인정보의 중요도, 민감도, 법 규제 등을 고려하여야 함
  • 실무조직은 전담조직 또는 겸임조직으로 구성할 수 있으나, 겸임조직으로 구성하더라도 실질적인 역할 수행이 가능하도록 역할 및 책임이 공식적으로 부여되어야 함
  • 실무조직의 구성원은 정보보호 및 개인정보보호 전문성과 다양한 서비스에 대한 이해도와 경험이 많은 직원으로 구성해야 함(관련 학위 및 자격증 보유, 실무 경험 보유, 관련 전문 교육 이수 등)
• 조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하여야 한다.
  • 정보보호 위원회는 정보보호 및 개인정보보호 관련하여 조직 내 이해관계를 대변하고 의사결정을 할 수 있도록 경영진, 임원, 정보보호 최고책임자, 개인정보 보호책임자 등 실질적인 검토 및 의사결정 권한이 있는 임직원으로 구성
  • 정기 또는 사안에 따라 수시로 위원회를 개최
  • 위원회는 조직전반에 걸친 주요 사안에 대한 검토, 승인 및 의사결정을 수행

  •    ※ 위원회에서 검토 및 의사결정이 필요한 주요 사안(예시)

       - 정보보호 및 개인정보보호 정책ㆍ지침의 제ㆍ개정

       - 위험평가 결과

       - 정보보호 및 개인정보보호 예산 및 자원 할당

       - 내부 보안사고 및 주요 위반사항에 대한 조치

       - 내부감사 결과 등

• 전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하여야 한다.
  • 조직의 규모 및 관리체계 범위 내 서비스의 중요도에 따라 실무 협의체 구성원, 조직체계 등을 결정
  • 실무협의체에서는 정보보호 및 개인정보보호 관련 사항에 대해 실무 차원에서 공유ㆍ조정ㆍ검토ㆍ개선하고, 의사 결정 및 경영진 지원이 필요한 경우에는 위원회에 상정하여 논의

● 결함사례

• 정보보호 및 개인정보보호 위원회를 구성하였으나, 임원 등 경영진이 포함되어 있지 않고 실무부서의 장으로 구성되어 있어 조직의 중요 정보 및 개인정보 보호에 관한 사항을 결정할 수 없는 경우
• 경우내부 지침에 따라 중요 정보처리부서 및 개인정보처리부서의 장(팀장급)으로 구성된 정보보호 및 개인정보보호 실무협의체를 구성하였으나 장기간 운영 실적이 없는 경우
• 정보보호 및 개인정보보호위원회를 개최하였으나 연간 정보보호 및 개인정보보호 계획 및 교육계획, 예산 및 인력 등 정보보호 및 개인정보보호에 관한 주요 사항이 검토 및 의사결정 되지 않은 경우

● taeho's notes

• 정보보호조직의 구성은 각 구성원 및 주변 임직원이 인지할 수 있도록 공식적으로 공표되고 공식적인 인사발령을 통해 이루어져야 하며 그 증적이 남아 있어야 한다.
• 정보보호활동을 위한 실무조직 구성원의 전담 혹은 겸직 허용 여부는 전사 조직의 규모와 매출 그리고 겸직하는 업무의 종류 등에 따라 합리적으로 판단하여야 한다.
• 정보보호위원회에는 전사적으로 반영될 정보보호 활동에 대한 의사결정을 하는 조직이므로 각 사업부문(본부, 부서 등)의 장(경영진에 해당하는)을 포함하는 것이 바람직하다.
• 정보보호위원회는 정기적으로 개최되어야 하며 위의 주요 사안에 대한 의사결정에 따른 회의록(참석자 표시)이 작성되어 있어야 한다.
• 조직의 규모에 따라 정보보호 위원회의 의사결정 사항의 시행방안을 협의하거나 정보보호 위원회에 의사결정을 요구할 수 있는 실무협의회 또한 필요할 수 있다. (조직이 작다면 없을 수도 있음)
• 정보보호 위원회 및 실무 협의회의 활동은 모두 기록되어야 한다.

● 주요 점검 사항

이용자의 개인정보, 기업의 영업, 기술 정보를 보호하는 것은 정보유출로 인한 다양한 측면의 위험을 줄이고 기업의 생존력을 높이는 매우 중요한 요소일 뿐만 아니라 국가의 위상을 제고하는 매우 중요한 요소로 부각됨에 따라 여러 법률에서 기업의 (개인)정보보호최고책임자를 지정하고 신고하도록 하고 있다. 이에 따라 ISMS-P 인증을 취득하고자 하는 기업 및 기관은 법률에 따라 정보보호최고책임자 및 개인정보보호책임자를 지정하고 신고해야 한다.

• 최고경영자는 (개인)정보보호 업무를 총괄하여 책임질 최고 책임자를 공식적으로 지정하고 있는가?
• (개인)정보보호 최고책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정해야 하며 관련 법령에 따른 자격요건을 충족하고 있는가?

● 관련법령

• 개인정보 보호법 제29조(안전조치의무), 제31조(개인정보 보호책임자의 지정)
• 정보통신망법 시행령 제36조의6(정보보호 최고책임자 지정ㆍ신고 대상자의 범위)
• 개인정보의 기술적ㆍ관리적 보호조치 기준 제3조(내부관리계획의 수립ㆍ시행)
• 개인정보의 안전성ㆍ확보조치 기준 제4조(내부 관리계획의 수립ㆍ시행)
• 정보통신망법 제27조(개인정보 보호책임자의 지정), 제28조(개인정보의 보호조치), 제45조의3(정보보호 최고책임자의 지정 등)

● 세부 설명

• 최고경영자는 조직 내에서 정보보호 및 개인정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄하여 책임질 수 있는 정보보호 최고책임자 및 개인정보 보호책임자를 인사발령 등의 절차를 통해 공식적으로 지정하여야 한다.
• 정보보호 최고책임자 및 개인정보 보호책임자는 인사발령 등을 통해 공식적으로 임명하여야 하며, 당연직의 경우 정보보호 및 개인정보보호 정책서에 그 직위를 명시해야 함
• 정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 관련 법령에 따른 자격요건을 충족하여야 한다.
• 정보보호 최고책임자 및 개인정보 보호책임자는 조직의 정보보호 및 개인정보보호 업무를 실질적으로 총괄할 수 있도록 정보보호 및 개인정보보호 관련 지식 및 소양이 있는 자로서 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정
• 정보보호 최고책임자 지정에 대한 법적 요건 준수 필요
• - 종업원 수, 이용자 수 등 정보통신망법에서 정하는 기준에 해당하는 정보통신서비스 제공자의 경우 임원급의 정보보호 최고책임자를 지정하고 이를 과학기술정통부 장관에게 신고
•    ★ 정보통신망법 시행령 제36조의6(정보보호 최고책임자 지정·신고 대상자의 범위

  1. 정보통신망법 제41조제1항제1호에 따른 내용 선별 소프트웨어를 개발 및 보급하는 사업자
  2. 정보통신망법 제47조제2항에 따른 정보보호 관리체게 인증을 받아야하는 자
  3. 저작권법 제104조제1항에 다른 특수한 유형의 온라인서비스제공자로서 상시 종업원 수가 5명 이상이거나 전년도 말 기준 직전3개월간의 일일평균 이용자 수가 1천명 이상인자
  4. 전자상거래 등에서의 소비자보호에 관한 법률 제2조제3호에 따른 통신판매업자(통신판매중개업자를 포함한다)로서 상시 종업원 수가 5명 이상인 자
  5. 게임산업진흥에 관한 법률 제2조제7호에 따른 인터넷컴퓨터게임시설제공업을 영위하는 자에게 같은 법 제28조제6호에 따라 고시된 음란물 및 사행성게임물 차단 프로그램을 제공하는 사업자
  6. 상시 종업원 수가 1천명 이상인 자

• 
  

• - 정보보호 최고책임자는 다음의 업무를 총괄

•    ★ 정보통신망법 제43조의3(정보보호 최고책임자의 지정 등) 제4항

  1. 정보보호관리체계의 수립 및 관리ㆍ운영
  2. 정보보호 취약점 분석ㆍ평가 및 개선
  3. 침해사고의 예방 및 대응
  4. 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등
  5. 정보보호 사전 보안성 검토
  6. 중요 정보의 암호화 및 보안서버 적합성 검토
  7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

• ※ 자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우 정보보호 최고책임자는 위의 업무 외의 다른 업무를 겸직할 수 없음 (2019.6.13 시행)

• 
  

• 정보보호 최고책임자 지정에 대한 법적 요건 준수 필요
• - 개인정보 보호책임자 지정요건(민간기업)

  개인정보 보호법	정보통신망법
  - 사업주 또는 대표자 임원(임원이 없는 경우에는 개인정보 처리업무를 담당하는 부서의 장	- 임원 개인정보보호와 관련하여 이용자의 고충처리를 담당하는 부서의 장 ※ 단, 상시 종업원 수가 5명 미만인 정보통신 서비스 제공자 등은 개인정보 보호책임자를 지정하지 아니할 수 있으며, 이때는 업주 또는 대표자가 개인정보 보호책임자가 됨

• - 개인정보 보호책임자 지정요건(공공기관)

•    ★ 개인정보 보호법 시행령 제32조(개인정보 보호책임자의 업무 및 지정요건 등) 제2항 제1호

     가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관

     고위공무원단에 속하는 공무원(이하, "고위공무원"이라 한다) 또는 그에 상당하는 공무원

     나. 가목 외에 정무직공무원을 장으로 하는 국가기관 : 3급 공무원 또는 그에 상당하는 공무원

     다. 가목 및 나목 외에 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관 : 4급 이상 공무원 또는 그에 상당하는 공무원

● 결함사례

• 정보통신망법에 따른 정보보호 최고책임자 지정 및 신고 의무 대상자임에도 불구하고 정보보호 최고 책임자를 지정하지 않거나 지정했더라도 신고하지 않은 경우
• 조직도상에 정보보호 최고책임자 및 개인정보 보호책임자를 명시하고 있으나 인사발령 등의 공식적인 절차를 거치지 않은 경우
• 개인정보 보호법을 적용받는 민간기업이 개인정보 처리업무를 처리하는 공식적인 XX부문 혹은 XX본부가 있음에도 해당 부문장 또는 본부장이 아닌 하위 직급의 부서장을 개인정보 보호책임자로 지정한 경우

● taeho's notes

• 앞의 인증기준에서도 언급했듯 ISMS-P 인증기준에서 언급하는 "임원급"에 대한 기준은 예산과 인력을 스스로 결정해 투입할 수 있는 권한을 가진 사람이다. 이는 예산과 자원할당에 대해 CEO 및 회계담당 임원 등을 제외하면 의사결정 과정에서 명백하게 견제할 수 있는 구성원이 없다는 것을 의미한다. "CISO가 회계 담당 임원이 반대하면 예산과 인력을 투입할 수 없으니 임원급이 아니다"라는 막무가내 식의 결함 도출은 안된다.
• 다만 CISO는 인사발령 등을 통해 전사에 공식적으로 임명되어야 하며 그 임명의 근거와 임명의 내역이 명확해야만 한다. 당연직의 경우에도 가능하다면 임명 시 CISO를 겸직하게 됨을 알려야 하며 정보보호정책서, 조직도 등에 명기되어 있어 누가 CISO인지를 쉽게 파악할 수 있어야 한다.
• 2019년 6월 시행된 개정된 정보통신망법에서는 "정보통신서비스를 제공하는 자 중 의무 대상이 아니더라도 자산총액 5조원 이상인 기업과 ISMS인증 의무대상 정보통신서비스 제공자 중 자산총액 5000억 이상인 자"는 CISO가 위에서 언급한 CISO의 업무 이외의 다른 업무를 겸직할 수 없도록 못박고 있다.
• CISO와 CPO는 겸직금지에 해당되는 기업이 아니라면 겸직할 수 있으나 겸직금지에 해당되는 기업이라면 CISO가 CPO를 겸직할 수 없다. (관련기사 : http://www.inews24.com/view/1184149)

#isms #isms-p #isms-p인증기준 

● 주요 확인사항

• 정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 등의 책임과 역할을 문서화하고 있는가?
• 경영진의 (개인)정보보호 활동 참여가 가능하도록 경영진이 포함된 보고, 검토 및 승인 절차를 수립ㆍ이행하고 있는가?

● 세부 설명

• 정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 의사결정권이 있는 경영진의 참여가 이루어질 수 있도록 보고, 의사결정 등의 책임과 역할을 문서화하여야 한다.
  • 정보보호 및 개인정보보호 정책의 정책의 제ㆍ개정, 위험관리, 내부 감사 등 관리체계 운영의 주요 사안에 대하여 경영진이 참여할 수 있도록 활동의 근거를 정보보호 및 개인정보보호 정책 또는 시행문서에 명시
• 경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립ㆍ이행하여야 한다.
  • 정보보호 및 개인정보보호 관리체계 내 경영진이 참여하는 중요한 활동을 정의하고 그에 따른 보고체계 마련(정기ㆍ비정기 보고, 위원회 참여 등)
  • 경영진이 효과적으로 관리체계 수립ㆍ운영에 참여할 수 있도록 조직의 규모 및 특성에 맞게 보고 및 의사결정 절차, 대상, 주기 등 결정
  • 수립된 내부절차에 따라 정보보호 및 개인정보보호 관리체계 내 주요 사항에 대하여 경영진이 보고를 받고 의사결정에 참여
• 경영진이 주요 정보보호관련 의사결정을 위한 회의참석 또는 회의 및 주요 의사결정에 대한 결과보고 혹은 승인 등 증적을 확인할 수 있어야 함

● 결함사례

• 정보보호 및 개인정보보호 정책서에 분기별로 정보보호 및 개인정보보호 운영 현황을 경영진에게 보고하도록 명시하였으나 장기간 관련 보고를 수행하지 않는 경우 ▶ 반드시 보고하고 서명을 받아야 함 (내부 정책의 위반임)
• 중요 정보보호 활동(위험평가, 위험수용수준 결정, 정보보호대책 및 이행계획 검토, 정보보호 대책 이행 결과 검토, 보안감사 등)을 수행하면서 관련 활동관련 보고ㆍ승인 등 의사 결정에 경영진 또는 경영진의 권한위임을 받은 자가 참석하지 않았거나 관련 승인 증적이 확인되지 않는 경우

● taeho's notes

• 일반적으로 "의사결정권이 있는 경영진"을 이사 이상의 "임원"급으로 제한해서 해석하고 중요 보고나 의사결정 및 보고에 대한 증적에 임원급의 서명이 없을 경우 문제시 하는 경향이 있다.
• 하지만 "경영진"이라 함은 단지 기업을 관리하고 운영하는 집단을 일컫는다. 반드시 임원만을 경영진으로 본다는 법적 해석도 없다. 오히려 조직의 규모가 작은 기업에서는 부장급, 더 심한경우 차,과장급에서도 상당한 의사결정권을 갖거나 의사결정에 직접적인 영향력을 행사할 수 있는 경우도 많다. 특히 IT 서비스 또는 온라인 쇼핑몰과 같이 매출규모 대비 조직의 인력 규모가 작은 기업에서는 그러한 경우가 더 많다.
• 주요 정보보호솔루션의 도입, 보안직군 인력의 신규 채용 등에 대한 의사결정 증적에 차,부장급의 결제 만으로 시행된 근거가 있다면 해당 차,부장은 실질적인 경영진의 권한으로 정보보호 활동에 참여하고 있다고 해석할 수 있다.
• 따라서 조직의 매출 및 인적 구성에 따라 경영진에 대한 해석은 유연하게 가져가야 한다. 인증심사의 기간이 주로 4~5일 이기 때문에 짧은 시간에 조직의 의사결정 구조 및 권한부여의 특성을 신속하게 파악할 수 있어야 한다.
• 그럼에도 불구하고 일반적으로 정보보호조직에서 경영진에 해당하는 임직원은 CISO가 유일한 경우가 많다. 그리고 CISO의 직급 만으로 본다면 경영진의 일원이라고 보기 모호한 경우도 많다. 따라서 CISO를 포함하는 정보보호 위원회에 다른 경영진이 포함되어 있어야 하며 정보보호 위원회가 개최되었을 때 해당 경영진이 참석하고 의사결정에 참여한 흔적이 반드시 남아 있어야 한다.

#isms #isms인증기준 #isms-p인증기준

잘 사용하던 화웨이의 미디어패드 M5 8.4를 입양보내고 LTE 데이터를 지원하는 LG GPAD 2 8.3을 공기계로 입양했다. 스펙이 중급기 정도로 조금 부족하지만 망해가는 가게에서 재고처리 하듯  매우 저렴한 가격으로 판매하기에 별 망설임없이 입양을 결정했다.

LG는 맘 먹고 만들면 잘 만들텐데.. 누군가 이야기하듯.. 태블릿과 같은 패드류 제품은 만들어 놓고도 팔 생각이 없는 듯하다. 마케팅도 없고 프로모션도 없다. 그냥 만들고 슬그머니 시장에 내놓는다. 그리고 그게 끝이다. -.-

GPAD 2 8.3도 마찬가지다. 출시일은 2015년 12월이다. 처음엔 와이파이 버전을 내놓았고 몇 개월 뒤 우리나라에서 슬그머니 LTE 버전을 출시했다. 

스펙은 다음과 같다.

사실 이 스펙만 보면... 그냥 그런 태블릿이다. AP도 중급형 모델이고 램도 LPDDR4가 아닌 3다. LTE도 Cat 6를 지원하지 않으며 카메라도 그저 그렇다. 게다가 OS도 몇년 전 OS에서 업그레이드가 멈췄다. 2019년에 안드로이드 6.0 마시멜로라니... 

하지만 LG유플러스의 LTE를 지원한다. 번호를 두개 사용하며 싼 가격에 최신기기를 사용하는 취미를 갖고 있는 내겐 현재 사용중인 LT유플러스의 2'nd 유심을 사용하기엔 가장 적합한 태블릿이다. 그래서 현재 사용중인 와이파이 전용 미디어패드 M5를 입양보내기로 결정했다.

그리고 몇 일 전 나주시에 거주하시는 분께 적절한 가격에 넘기고 판매한 가격보다 저렴한 가격에 GPAD 2 8.3을 주문했다. 주문은 여기서 ~ http://www.todaysppc.com/gong/

박스 샷...

4G LTE를 지원하는 태블릿이다. 러버듐 스타일러스 펜도 있다. 러버듐 스타일러스 펜은 일반 터치펜보다는 터치감이 좋은 편이다. 당연히 노트 시리즈에서 제공하는 S펜 보다는 못하다.

박스 뒷면... 자세히 보면 박스 뒷면의 그림에 조금 특이한 그림을 볼 수 있다. 찾아보자.

바로 태블릿 상단부에 위치한 USP 타입 A 포트다. 그 어떤 태블릿에도 마이크로 타입 USB포트가 아닌 커다란 Type A의 USB 포트를 지원하는 태블릿은 없다. 하지만 GPAD 2 8.3에는 당당히 그 거대한 USB Type A 포트가 자리잡고 있다. 이 포트의 유용함은 뒤에서 설명한다.

구성품은 요즘의 스마트폰과 태블릿이 그러하듯.. 단촐하다. 그 흔한 이어폰도 주지 않는다. 

한손에 파지한 전면 모습... 저 반사된 스마트폰은 어쩔...

불안하게 새끼 손가락으로 버티고 있는 뒷면 모습... 흐릿하게 보이는 유플러스와 LTE ME 로고... 통신사들아... 저런 짓좀 안했으면...

측면에 위치한 Micro SD 카드와 LTE USIM 삽입구 모습... 트레이 방식은 아니다. 뚜겅을 열면 USIM과 Micro SD를 꼽는 포트가 보인다.

처음 전원을 켜면 펌웨어 업데이트라는 메시지가 나온다. 그냥 설치하는 화면이다. 안드로이드 5.0이 설치된다.

문제의 USB Type-A 포트. 누가 이렇게 무지막지한 생각을 했는지 모르겠다. 태블릿에 저리 큼지막한 Type A 포트라니...

하지만 이 큼지막한 USB 포트는 의외의 활용처가 있다. 바로 키보드와 마우스다. 일반적으로 크기가 작은 마이크로 USB 포트에 키보드나 마우스를 사용하며려면 젠더가 필요하다. 하지만 이 놈은 무선 키보드 및 마우스의 블루투스 동글을 그냥 꼽으면 된다.

이렇게 꼽으면 된다. 이 화면은 하나의 블루투스 동글로 키보드와 마우스를 모두 사용하는 로지텍 제품의 동글이다.

아래와 같이 젠더 없이 동글을 꼽고 곧바로 마우스와 키보드를 사용할 수 있다.

게다가 이 USB포트에는 일반 USB 메모리를 그냥 꼽을 수 있다. 궂이 젠더를 사용하지 않아도 되며 꼽는 순간 외부 저장소로 바로 인식한다. 이 USB 포트는 매우 유용하게 사용될 듯 싶다. 

앞으로 한동안 출퇴근길의 뉴스와 커뮤니티 게시판 탐독, 유튜브 시청 그리고 정보검색은 GPAD 2 8.3 너와 함께 한다.

#8인치태블릿  #GPAD #지패드8.3

이따금씩 출장을 갈 때면 여러개의 충전기를 챙기느라 늘~ 신경이 쓰인다.

LG그램 노트북 전용 충전기 1개, 태블릿과 스마트폰을 충전할 2 포트 USB 충전기 1개, 갤럭시 기어 스포츠와 글로벌원에그까지  전용 충전기 1개 까지 모두 세개의 충전기를 챙겨야 한다. 사실 그러고도 하나가 모자란다. 에그도 충전해야 하기 때문이다. 

충전기 1개를 더 챙기기 싫어서 는 노트북의 USB를 이용해 충전한다. 하나의 충전기로 노트북, 스마트폰, 태블릿, 에그를 모두 충전할 수 있다면 참 좋을텐데...라는 생각을 하지 않을 수가 없었다.

그런 생각을 하고 있던 중 어느 분께 충전기 하나를 소개받았다. 바로 UM2 QC80W 다.

이 UM2 QC80W의 스펙을 보면...

o 퀄컴퀵차지 3.0 지원 USB A타입 포트 4개

o USB C타입 PD 포트 1개

o 총 합계 출력 80W 지원

대략 이정도다. 어느새 집으로 택배가 왔다. 중국 선전 출장에 동행시키기 위해 급하게 주문했다. 다행스럽게도 출장 바로 전날..토요일 오후에 배송되었다.

음..사진이 좀 뒤집힌 느낌이다. 출력은 5 V에서 20 V까지 지원된다. 각포트당 전류는 3 A에서 3.5 A 다.

다음은 케이스 뒷면이다.

내용물은 220 V 입력 케이블과 충전기 본체다. 심플하다.

그리고 추가로 주문한 노트북 충전용 케이블이다. 쇼핑몰에서 UM2를 검색해보면 아래의 케이블을 함께 파는 곳이 많다.

노트북 쪽 충전 단자는 2개를 준다. 하나는 삼성 노트북 규격에 맞는 충전단자이고 나머지 1개는 LG 그램 노트북용 충전단자다. 필요에 따라 바꿔가며 사용할 수도 있다.

다음은 충전기 본체의 USB 포트 모습이다. USB PD 지원 C 타입 포트 1개와 퀵차지 3.0이 지원되는 USB A 타입 포트 4개가 보인다.

뒷 면은 220 V 입력 단자.

뒷면에는 아주 자세하게 입력과 출력 전압 및 전류가 표시되어 있다. 아..제조국은 중국이다. 

이렇게 세워서 거치할 수도 있다.

마지막으로 이번 중국 선전 출장에 동행하여 열일하고 있는 UM-2 멀티 USB 포트 충전기. 이 사진을 찍은 노트9 까지 4개의 기기를 동시에 충전이 가능하다.

이번 중국 선전(심천) 출장에 충전기는 UM2 하나만 갖고 왔다. 노트북(그램 14z970), 태블릿(미디어패드 M5), 스마트폰(노트9), 에그(E5885Ls-93a), 갤럭시기어스포츠, Mi-Bluetooth 스피커의 충전을 모두 UM2가 책임지고 있다.

편하다.

#UM-2 #멀티포트충전기 #노트북과스마트폰을동시에충전

== 2019.11. 11 추가 ==

얼마 전 부터 알리페이가 신용카드를 통해 충전할 수 있도록 시범 서비스를 시작했다고 하네요.

알리페이와 상하이 은행이 제휴를 맺고 Master나 Visa 등의 신용카드를 통해 충전해주고 90일간 사용할 수 있으며 90일이 지나면 잔액은 환불되는 구조로 보입니다.

관련 정보를 클리앙의 K704th님이 제보해주셨네요.

https://www.clien.net/service/board/use/14268869

다만 신청과정에서 다시한번 신용카드 번호와 여권 사진을 찍어 업로드 해야 합니다.

-

알리페이(Alipay)와 위챗페이(Wechat pay)는 중국에서 널리 사용되는 간편결제 수단이다.

중국 출장 일정이 잡히고 관련 정보를 검색하던 중 "알리페이나 위챗페이가 없으면 매우 힘들다"는 이야기가 인터넷에 널리 퍼져있음을 알게 되었다. 그렇다 보니 많은 우리나라의 중국 여행객들이 알리페이나 위챗페이 같은 간편결제 수단을 사용하기 위해 고생하고 있었다. 나 또한 어떻게든 중국 현지에서 알리페이와 위챗페이를 사용할 방법을 찾기 위해 꽤나 인터넷을 뒤지는 수고를 할 수 밖에 없었다. 

알리페이나 위챗페이를 사용해야 하는 내 상황은 다음과 같았다.

▶ 알리페이나 위챗페이를 사용할 스마트폰의 통신사는 국내 통신사이고 국내 스마트폰 번호(010-XXXX-XXXX)다..

▶ 중국 방문 시 위 스마트폰은 로밍을 통해 차이나유니콤 망을 사용한다.

▶ 또한 글로벌원에그에 China Unicom의 USIM을 구입해 사용하고 태블릿과 스마트폰의 WIFI로 사용한다. 

과연 위와 같은 조건에서 중국 알리페이나 위챗페이의 사용이 가능할지 궁금했다. 인터넷에 떠도는 많은 글들은 "중국의 현지 로컬 은행에서 개설한 은행 계좌번호가 없다면 두 페이모두 사용이 불가능하다고 이야기하고 있다. 하지만 일부 네티즌은 사용가능하다는 경우도 있었다. 직접 도전해보지 않으면 진실을 알 수는 없었다.

결론부터 이야기하자면 2019년 현재 알리페이는 중국 시중은행의 계좌가 없어도 사용 가능한 방법이 있지만 위챗페이는 사용할 수 있는 방법을 찾지 못했다. 위챗페이의 경우 중국 시중은행의 계좌가 없어서가 아니라 위챗을 설치하고 한국 이동통신사에 가입된 스마트폰을 통해 인증한 뒤 회원가입을 하고 일정시간이 경과하면 스마트폰에서 이상행위가 감지되었다고 하면서 계정이 잠기기 때문에 페이의 사용 시도조차 하지 못했다. 왜 그런지 정확한 이유는 알 수 없었다.

하지만 알리페이의 경우 알리페이 앱 설치 후 회원가입과 한국 이동통신사 전화번호를 이용한 인증이 정상적으로 완료 되었다. 그리고 이후에도 계정이 잠기거나 하는 경우는 없었다.

다만 알리페이를 정상적으로 사용하기 위해서는 두가지 단계를 더 거쳐야 하는 것으로 보인다.

먼저 신용카드 등록이다. 신용카드를 등록하기 위해서는 전화번호 인증을 통해 회원가입을 한 뒤 Me 메뉴로 진입한다.

위와 같이 Me 메뉴에 진입하며 중간에 Bank Cards 메뉴가 보인다. Bank Cards 메뉴로 진입해 신용카드를 등록한다. 이때 신용카드는 Master 및 Visa와 같이 국제적인 사용이 가능한 신용카드여야 한다는 설이 있다. 그리고 Visa는 되고 Master는 안된다..뭐 그런 이야기가 있는데 내 경우 Master를 등록해도 잘 등록되었다.

갖고 잇는 KB국민카드 중 Master 제휴 신용카드를 등록했다.

그리고 다음은 정확하게 어떤 메뉴였는지는 기억나지 않지만 여권(Passport)을 사진찍어 등록해야 한다. 당연히 모자이크가 되면 안된다. 만약 여권 사진을 중국에 넘기기 꺼림찍하다면 알리페이 사용은 포기하는 것이 좋을 듯 하다. 

신용카드만 등록하고 나면 이런 저런 메뉴를 다닐 때 신원확인이 안되어 사용할 수 없다는 메시지가 뜨며... 인터넷엔 누군가에게 1위안 송금을 부탁한 뒤 송금된 돈을 자신의 알리페에 계정으로 수신할 때 여권 등을 이용한 신원확인을 해야만 수신이 가능하다는 이야기도 있다.

내 경우 1위안을 보내줄 만한 사람이 없기에 그냥... 여권을 사진찍어 업로드했다. 여권사진을 업로드 하면 1일~2일 기다려야 하는데 일일히 알리페이 직원이 해당 여권을 검토하는 듯 하다. 검토가 이루어지면 신원이 확인되었다는 메시지가 온다.

그리고 구눈가로부터 송금을 받을 수 있는 상태가 된다.

다만 여권까지 업로드 한 뒤에도 특정메뉴에 진입하면 은행 계좌번호를 입력하라고 한다. 특히 My Account 메뉴에 들어가면 보이는 Identity Verfication에는 "미실명"이라고 나오며 이 메뉴에 들어갈 경우 실명인증을 위해 Bank Card 번호를 넣으라고 나온다. 

여권까지 사진찍어 보내줬는데 "미실명"이라니.... 아주 개판이다. 비록 외국인이지만 여권은 실명의 증거인데 단지 은행 카드번호를 넣지 않았다고 미실명이란다. 그리고 은행 카드번호는 실제로는 은행 계좌번호인 듯 하다.

다음 화면은 한국의 신용카드(Master 제휴)와 여권 사진을 통한 본인확인을 거친 뒤의 My Profile 화면이다.

다만 신용카드 등록과 여권 사진을 통한 본인확인만 거치면 비록 위 화면에서 요구하는 중국의 시중은행 카드번호를 통한 실명인증은 하지 않아도 된다. 외국인의 경우에 해당된다 할 수 있다. 

위 화면에서도 Real name(실제 이름) 이 Identity Unverified(식별되지 않음) 라고 나오지만 다른 알리페이 사용자에게서 알리페이 계정간 송금을 통해 충전한 위안화의 사용이 가능했다.

즉 신용카드 등록과 여권 사진을 통한 본인확이만 거치면 다른 알리페이 계정으로부터의 송금을 통한 알리페이 충전은 가능하다는 것이다. (단, 본인의 은행 계좌와 알리페이 계정 상호 간 송금 기능을 통해 알리페이 계정에 충전할 수는 없다.)

그렇다 보니 다른 알리페이 사용자(지인 등)에게 위안화 환율을 계산해 한국 돈 혹은 달러를 송금해주고 해당 알리페이 계정으로부터 송금을 받는 방법을 활용해야 한다. 아니면 인터넷 검색을 통해 찾아보면 나오는 알리페이 충전대행업자를 통해 일정금액의 수수료를 주고 송금을 받아야 한다.

그렇게해서 1,229 위안이 충전된 화면이다.

이렇게 알리페이 충전에 성공했지만 실제로 충전된 위안화로 결제가 가능한지 궁금했다. 그래서 중국의 대표적 인터넷 쇼핑몰인 타오바오에서 알리페이로 결제가 가능하다는 정보를 접하고 타오바오에서 알리페이를 이용해 저렴한 물건을 하나 구입해보기로 했다.

그리하여 구입한 것이 화웨이의 USB-C to 3.5" 이어폰 젠더다. 알리페이를 통해 문제없이 결제가 되었음을 알 수 있다.

이쯤 되니 중국으로 출국하기 전... 조금은 안심이 되었다. 현지에서도 잘 사용할 수 있기만을 바랄 뿐이었다.

그리고 드디어 도착한 중국의 선전(심천)시... 중국 현지에서 처음으로 알리페이를 사용해 볼 수 있는 곳이 바로 선전 지하철이다. 다음의 구간에 대해 알리페이로 결제를 시도해보기로 했다.

선전 지하철 11호선 Airport North 역에서 선전대학교역 까지... 약 6 위안이다.

선전 지하철에서 알리페이로 초록색 토큰을 구입하는 방법은 정말 간편하다. 자동화 기기에서 먼저 언어를 영어로(중국어를 잘한다면 예외) 변경하고 목적지를 선택한 뒤 인원수를 선택하면 결제수단 창이 뜨는데 알리페이를 선택하면 QR코드가 뜬다.

그 QR코드를 알리페이 앱에서 Scan 한 뒤 결제 비밀번호를 입력하면 잠시 뒤 초록색 토큰이 또로록~~하고 나온다. 토큰 자판기는 내가 가 선택한 구간에 대한 요금의 결제대기 상태가 되고 QR코드를 보여준다. 해당 QR코드를 결제가의 알리페이 앱에서 스캔하면 해당 금액에 대한 결제 대기 상태가 되며 결제 비밀번호를 입력하면 실제 요금결제가 이루어진다. 

그리고 요금결제가 완료되면 토큰이 나오는 것이다.

그렇게 결제 된 선전 지하철 요금 결제 정보다.

그리고 편의점이나 식당 등에서도 알리페이 결제가 된다. 만약 지하철과 같은 자동화기가나 결제용 전용단말기가 없다면 매장에 출력물로 붙여놓은 알리페이 QR코드를 Scan한 뒤 결제할 금액이 얼마인지 확인해 직접 입력하거나 입력해달라고 한 뒤 결제 비밀번호를 통해 결제를 하고 결제 화면을 매장 직원에게 보여주면 된다.

그 동안 알리페이를 통해 결제한 내역은 Transactions 메뉴에서 확인할 수 있다.

.참...편리해진 중국의 간편결제 수단이다.

--- 2019.10.16 추가 ---

여권 등록하는 메뉴를 찾지 못해 헤매이는 분들이 있는 모양이다. 다음엔 나도 헤맬지 모른다.

Bank Cards에서 신용카드 등록한 뒤... (안해도 되지 않을까 싶은데...다시 해볼일이 없어서.. ^^)

1. Balance 메뉴에 가면 경고가 떠 있음.

2. Add info 를 터치하고...

3. Verify face 또는 Verify ID card  로 간다.  (난 그냥 Verify ID card로 갔음)

4. 국가 선택이 나오고.. 한국 선택한 뒤

5. Passport ID 넣고 사진찍어 올리면 됨.

#알리페이 #중국심천 #중국선전

크롬 브라우저의 양식 자동완성 기능

한 사람이 갖고 있는 인터넷 웹사이트의 계정은 아마도 수십개가 될 것이다. 그렇다 보니 아이디와 비밀번호를 관리해주는 전용 앱들이 등장해 인기를 누리고 있기도 하다. 그에 더해 대부분의 웹사이트에 로그인할 때 사용되는 브라우저도 웹사이트에 로그인할 때 입력되는 아이디와 비밀번호를 보관했다가 대신 입력해주는 기능을 갖고 있기도 하다.

크롬 브라우저에서는 이 기능을 양식(Form)의 자동완성 기능이라고 부른다. 여기에서 양식이란 HTML 태그 중에서 폼(form) 태그를 말하여 이 폼(form) 태그는 이용자가 브라우저의 입력창에 입력한 데이터를 서버로 전송할 때 사용되는 태그다. 즉 로그인을 위해 입력한 ID와 비밀번호를 웹서버로 전송하는 역할을 하는 HTML 태그다.

이 양식 자동완성 기능이 동작하면 다음과 같이 이전에 입력했던 데이터를 미리 보여주고 이용자에게 선택하도록 한다. 다음에 로그인하려할 때의 화면이다.

크롬의 자동완성 기능

이전에 입력했던 아이디들을 보여준다. 

이 노트북이 개인 노트북이기에 망정이지 PC방이나 공용PC라면 아이디가 모두 노출된다. 물론 아이디는 남들에게 알려줘도 괜찮은 정보이긴 하나 괜히 나를 알지 못하는 불특정 다수에게 아이디가 노출되는 것은 기분나쁜 일이기도 하다.

게다가 아이디와 비밀번호를 모두 입력하고 로그인 버튼을 누르면 다음과 같은 창이 추가로 뜨게 된다.

다음 번 로그인할 때 로그인을 편하게 하기 위해 아이디와 비밀번호를 보관하겠다는 창이다. 사실 난 이 단계에서 "저장" 버튼을 누른적이 한번도 없다. "내 아이디와 비밀번호를 브라우저 네깟것이 왜 기억해야 하지??" 라고 생각하기 때문이다.

만약 이렇게 저장한 노트북이나 PC를 다른 사람이 사용하게 될 일이 생긴다면?  그리고 그 사람이 다음에 접속하려 했다면 ? 이후에 그다지 유쾌한 일이 벌어질 일은 없을 것이다.

그래서 난 크롬의 양식 자동완성 기능을 해제했다. 아이디와 비밀번호는 개인이 기억하고 있다가 필요할 때 직접 입력하는 것이 정보보호의 출발점이기 때문이다.

이 기능을 끄는 방법을 기억하기 위해 포스팅 한다. 그 과정은 다음과 같다.

단계별로 따라가 보자.

크롬 브라우저의 자동완성 기능 끄기

크롬 브라우저의 자동완성 기능을 끄는 메뉴는 "설정" 메뉴의 "자동완성"에 있다.

크롬 자동완성 끄기 메뉴 위치

자동완성 메뉴를 선택하면 오른쪽 창에 세개의 메뉴가 보인다. "비밀번호", "결제수단", "주소 및 기타" 3개의 메뉴가 보인다. 가능하다면 이 3개 메뉴의 기능을 모두 끄는 것이 좋다. 정~~~ 온라인 쇼핑 시에 카드번호를 궂이~~~ 저장해두고 사용하겠다면 말리지 않는다.

비밀번호에 들어간다.

웹사이트 로근할 때 앞에서 언급했던 비밀번호를 저장해두는지 여부다. 당연히 Off 한다.

다음은 쇼핑몰 등에서 물건을 구매할 때 카드번호를 입력할 때 입력하는 "결제 수단" 정보를 저장할지 말지를 묻는 화면이다. 

물론 저장할지 여부도 묻긴 한다.

그리고 마지막으로 로그인 ID를 기억할지 말지를 선택하는 "주소 및 기타" 설정이다.

아이디는 표시되어 있지 않으나 테스트 결과 "주소 및 기타"에 ID값이 포함되는 모양이다. 

이 옵션도 인정사정보지말고 Off 한다.

그렇게 했다고 해서 끝이 아니다. 이 설정을 변경하기 전에 입력했던 ID와 비밀번호들은 이 세개의 설정을 한다 하더라도 이미 서버에 저장되어있기 때문에 이 기능을 끈다해도 과거에 로그인 할 때 입력했던 ID와 비밀번호는 저장되어 있을 수도 있다.

그러한 양식의 자동완성 용 테스트 데이터를 삭제해줘야 한다.

이 양식데이터를 삭제하기 위해서는 "설정"-"고급"-"개인정보 및 보안"- "인터넷 사용 기록 삭제"~"양식데이터 자동완성" 메뉴까지 들어가 꺼줘야 한다.

이렇게 이전의 양식 데이터까지 삭제하고 나서 다시 ID와 비밀번호를 입력하는 웹사이트에 접속해 보면 해당 ID가 더 이상 크롬 브라우저의 양식데이터로 저장되지 않음을 알 수 있다.

 #크롬 #양식자동완성 #양식 자동완성

hping은 네트워크에 존재하는 서버, PC, 네트워크 장비가 살아 있는지를 확인하기 위해 사용하는 ping 명령어보다 다양한 기능을 제공하는 명령어다. hping 명령은 서버 및 네트워크의 환경을 분석하거나 공격할 수 있는 패킷 생성기이자 분석도구다. 몇몇 버전이 있지만 현재 사용되는 최신 버전은 hping3다.

hping3의 사용법을 몇가지 정리해 본다.

1. icmp ping

hping3는 ping 명령어 처럼 icmp 프로토콜을 이용해 특정 IP에 대해 장비가 살아있는지...죽어 있는지를 확인할 수 있다. 

2. 특정 IP에 대한 포트스캔(port scan)

hping3는 특정 IP에서 리스닝(Listening) 중인 포트를 확인할 수 있는 포트스캔(port scan) 기능을 지원한다.

위의 예는 특정 ip에 대하여 포트스캔(--scan)을 1번에서 1024번 TCP 포트까지 Syn Flag를 세팅하여(-S) 수행하는 경우다. (TCP Syn Scan)

이 경우 RedCastle과 같은 SecureOS를 적용하여 통제가 수행될 경우 혹은 네트워크 방화벽이 구축되어 있는 경우 감사로그를 보면 출발지IP를 바로 잡아낼 수 있다. 

[ Sync Scan이 탐지되고 차단된 로그 : RedCastle SecureOS]

3. Syn Flooding Attack 및 Land Attack

이러한 Syn Scan을 응용한 것이 TCP Syn Flooding 공격이다. hping3는 출발지 IP를 랜덤하게 바꿔가며 특정 IP의 특정 port에 무차별적으로 Syn 패킷을 보낼 수 있다. 분명히 말해두지만 그런 행위는 범법행위다.

한가지 주의할 것은 공격자가 사설IP를 사용할 경우 그리고 공격 대상서버가 인터넷을 통해 공인망을 통과할 경우 피해자가 공격자 IP를 알아낼 수 있다. 왜냐하면 공격자가 사설IP를 사용한 다는 것은 공격자가 피해자에게 보낸 패킷의 출발지 IP를 게이트웨이가 자신(게이트웨이)의 IP로 바꾸어 보내기 때문에 게이트웨이 주소를 통해 공격자의 위치를 대략적으로 파악할 수 있기 때문이다.

만약 Land Attack을 하고자 한다면 다음과 같은 명령을 사용하면 된다.

이외에도 hping3를 이용하면 다양한 DOS 공격을 수행할 수 있다. 쉘스크립트 및 펄 스크립트를 이용해 내부적으로 hping3를 사용하는 스크립트를 작성하면 smurf attack, boink attack, udp fragmentation, udp flooding 등 대부분의 패킷을 조작하여 할 수 있는 TCP/IP 수준의 공격을 테스트해 볼 수 있다.

참 유용하면서도 위험한 명령어다. 참고로 이러한 공격은 라우터나 스위치 혹은 서버의 네트워크 설정에서 대부분 방어할 수 있기도 하다. 

그러고 보면 인터넷엔 이미 창과 방패가 모두 공개되어 있다. 

#hping3

2019년 2월 즈음... 족저근막염이 발병했다. 그리고 5월 경 통증이 약간 가시는가 싶어 달리기를 했었고 그 결과는 처참했었다. 그때 더 조심해 달리기를 하지 않았더라면 회복이 조금 더 빨라지지 않았을까 싶다.

족적근막염에 대한 이해와 첫 달리기 결과 보러가기 ( https://blogger.pe.kr/726 )

그 후 집에서 발바닥에 무리를 주지 않기 위해 쿠션이 최대한 들어간 슬리퍼를 구입해 신고 다녔다. 방과 화장실, 방과 거실, 방과 주방을 왔다갔다 하며 걸음을 걸을 때도 통증이 느껴지지 않을 만큼 쿠션이 많이 들어간 슬리퍼다. 그리고 인터넷 쇼핑몰에서 쿠션이 많이 들어간 두툼한 족저근막염에 좋다는 깔창도 구입해 신발에도 깔았다. 

거기에 더해 염증이 사라지고 아침에 일어나 첫 발을 디딜 때 통증이 느껴지지 않을 때 까지 퇴근 후 냉찜질을 했다. 매일 같이....

그랬더니 조금씩...조금씩... 정말 감질나게 조금씩 나아지는가 싶더니 4개월이 지난 9월 중순즈음 부터 통증의 90% 정도가 사라졌다. 아침에 일어나 첫 발을 디딜 때 느껴지던 찢어지는 듯한 날카로운 통증도 이젠 없고 걷다 보면 아프다는 것을 전혀 의식하지 않게될 만큼 상태가 좋아졌다.

다만..이따금씩 욱신거리는 약간의 근육통과 유사한 통증이 느껴지는 경우가 있는데.. 그럴 때 마다 긴장이 되기는 하지만 더 심해지지는 않고 있다. 상태가 좋아지면서 다시 달리고 싶은 충동이 시도때도 없이 들었지만 인내심을 갖고 꾹~참아왔다. 

그리고 많은 고민 끝에 10월4일(금요일)... 드디어 다시 달리기를 시도해봤다.

인천대공원에서 장수천을 따라 소래 생태습지공원 방향으로 약 2.5km(왕복 5km)만 달려보기로 했다.

작년 12월 초 이후... 지난 5월에 한번 달린 것을 제외하면 전혀 달리지 않았기 때문인지 숨도 많이차고 다리에 통증도 많이 느껴지지만 발바닥은 걱정했던 것 만큼 아프지 않았다. 하지만 지난 5월에도 그랬던 터라 긴장했는데... 결과는 대만족이었다. 달린 후 통증이 더 심해지지 않았기 때문이다. 

게다가 자고 일어난 뒤에도 통증은 없었다. 가벼운 근육통 같은 뻐근한 통증을 제외하면 족저근막염으로 인한 찢어지는 듯한 날카로운 통증은 발생하지 않았다.

이제 본격적인 재활(?)운동에 들어가도 좋을 듯 하다.

발바닥 스트레칭과 온찜질, 그리고 조금씩 조금씩 더 달리는 재활운동을 꾸준히 하면.. 11월 즈음에는 스스로 완치 판정을 내려도 될 때가 올 듯 하다.

이번 가을은 상쾌한 가을이 되길 간절히 바래본다.

#족저근막염 

오늘. 누군가가 "데몬(daemon) 프로세스"가 도대체 뭔가요?"라는 질문 던진 것을 인터넷의 한 게시판에서 봤다. 

많은 개발자나 엔지니어들이 IT 바닥에서  일을 하면서도 쉽게 접하기 어려운 분야가 바로 서버의 운영체제다. 서버 운영체제는 일부 서버 엔지니어나 시스템 소프트웨어 엔지니어들의 전유물처럼 되어 있다. 그렇다보니 운영체제를 직접 다룰 일이 없는 개발자나 학생들은 운영체제에 대한 개념이 부족한게 사실이다. 사실 데몬 프로세스가 뭔지 몰라도 일하는데 전혀 지장이 없다. 

데몬(daemon) 프로세스란?

구글에서 daemon process 를 검색하면 첫 번째로 뜨는 컨텐츠는 인디아나 주립대학교의 날리지베이스에 정의된 daemon in Unix 라는 정의다.

그렇다. 데몬(daemon) 이란 서비스의 요청에 대해 응답하는 오랫동안 실행중인 백그라운드(background) 프로세스다. 유닉스(리눅스 포함) 운영체제에서 이름이 "d"로 끝나는 프로세스들이 대표적인데 inetd, httpd, nfsd, sshd, named와 lpd 등이 있다.

여기서 핵심은 "백그라운드(background) 프로세스"라는 것이다. 백그라운드란 무엇인가를 이해하면 데몬 프로세스가 무엇인지 쉽게 이해할 수 있다.

백그라운드 프로세스란?

사실 실제 화면을 보지 않고 백그라운드 프로세스를 이해하는 것은 매우 어렵다. 이는 눈을 가린채 코끼리 다리를 만지게 하면서 코끼리의 생김새를 이해하라는 것과 같다.

백그라운드 프로세스가 있다면 그 반대의 개념인 포그라운드(Foreground) 프로세스가 있다는 것도 유추가능하다. 이 두 프로세스의 차이를 이해하면 데몬 프로세스가 무엇인지 아주 쉽게 이해할 수 있다.

포그라운드 프로세스는 사용자와의 대화창구인 표준입출력장치 즉 터미널과 키보드(tty 혹은 pts로 표현되는)을 통해 대화한다. 하지만 백그라운드 프로세스는 적어도 입력장치에 대해 터미널과의 관계를 끊은 모든 프로세스를 의미한다. 즉 사용자에게 무언가를 키보드를 통해 전달받지 않고 스스로 동작하는 프로세스가 바로 백그라운드 프로세스이다. 

예를 들어 유닉스(리눅스) 운영체제가 설치되어 있는 서버에 전원을 넣고 웹서버인 아파치 서버를 설치했다고 치고 아파치 웹서버를 실행하는 시나리오를 기반으로 설명하도록 하겠다.

처음으로 아파치 서버를 구동하기 위해서는 아파치가 설치된 서버에 로그인을 해야한다. 이때는 서버에 ssh 혹은 telnet으로 접속해야 한다. 그것도 아니라면 서버 앞으로 가 물리적 콘솔에 로그인해야 한다. 

개인이 사용하는 Windows PC에서 SSH 접속을 한다고 가정하자. 이런 화면이 보일 것이다.

서버에 SSH 접속하는 화면이다. 

여기서 부터 프로세스에 대한 개념을 잡아야 한다.

ssh 192.168.100.100 까지는 PC의 Windows에서 실행된 cmd의 화면이다. 윈도의 cmd는 유닉스(리눅스)와는 다르지만 화면에 C:\>와 같이 표현되는 프롬프트를 표시하고 키보드로 입력을 받는다. 즉 키보드 입력과 화면 출력을 통해 사용자와 대화한다. 따라서 cmd는 포그라운드 프로세스다.

그리고 다음 라인의 taeho@192.168.100.100 's password : 은 앞 라인에서 cmd가 사용자가 입력한 ssh 명령을 해석해 PC에 있는 ssh 명령을 실행하고 아규먼트로 전달받은 192.168.100.100 IP로 ssh 접속을 시도하여 서버에서 실행중인 ssh 데몬과 세션을 맺은 다음 ssh 데몬이 사용자에게 보여주기를 원하는 내용을 ssh 명령이 전달받아 화면에 출력한 내용이다.

즉 ssh 명령도 화면에 sshd로 부터 전달받은 내용을 표시하고 키보드를 통해 사용자가 입력한 비밀번호를 서버의 sshd에 전달하므로 포그라운드 프로세스다.

그리고 비밀번호를 입력한 뒤 화면에는 $로 표현되는 리눅스의 쉘이 표시되었다. 여기서부터 유닉스(리눅스) 운영체제에 대한 이해가 필요하다.

sshd가 $ 를 보여주고 사용자가 명령을 입력하기를 기다리므로 sshd가 포그라운드 프로세스가 아니냐고 반문할 수 있다. 결론은 sshd는 포그라운드 프로세스가 아니다.

왜냐하면 sshd의 역할은 비밀번호를 입력받아 비밀번호가 맞는지를 확인하고 passwd 파일에서 해당 계정에게 할당된 bash 를 실행시키고 뒤로 물러나 있기 때문이다. 즉 화면에 표시된 $ 는 sshd가 보여준 것이 아니라 sshd가 실행시킨 bash가 보여주는 것이기 때문이다. 즉 sshd는 사용자에게 키보드로 부터 직접 입력을 받지 않으며 직접 무언가를 지시할 수 없다.

이 단계에서 프로세스의 관계를 살펴보면...

먼저 ps -ef 로 프로세스 목록을 보면 위 화면과 같다. 여기서 중요한 것은 PID와 PPID 항목이다.

맨 위에 보면 root 계정에서 실행된 sshd -D 프로세스가 보인다. (PID 6884) 그리고 아래쪽에 보면 PPID가 6884 인 sshd(PID 8111)이 보이고 바로 아래에 그 sshd(PID 8111)을 PPID로 하는 bash(8112)가 보인다. 

이 관계는 root에서 실행된 sshd(6884)가  taeho에서 실행되는 sshd(8111)을 실행(또는 fork)하고  그 sshd(8111)가 bash(8112)를 실행했음을 알 수 있다. 그리고 마지막으로 실행된 bash가 앞 cmd 화면에서 보이는 $ 프롬프트를 표시해준 것이다.

즉 sshd 프로세스는 사용자와 직접 대화하지 않는 백그라운드 프로세스임을 알 수 있다. 그리고 마지막에 실행된 bash는 사용자와 대화하기 위해 $ 프롬프트를 보여주고 키보드로부터 입력을 기다리고 있으므로 포그라운드 프로세스이다.

그렇다면 데몬 프로세스란 ?

지금까지는 포그라운드 프로세스와 백그라운드 프로세스에 대해 설명했다. 그렇다면 데몬프로세스란 무엇일까?

결론부터 이야기하자면 데몬 프로세스란 백그라운드 프로세스 중에서 부모프로세스(PPID)가 1 혹은 다른 데몬프로세스인 프로세스를 말한다.

여기서 또 하나의 궁금증이 생긴다. 그렇다면 데몬 프로세스도 백그라운드 프로세스 중 하나인데 일반적인 백그라운드 프로세스와 부모프로세스가 1이거나 다른 데몬프로세스인 백그라운드 프로세스와 무엇이 다른가 하는 것이다.

그 차이는 바로 프로세스를 실행한 bash가 종료되었을 때 bash를 통해 실행한 다른 백그라운드 프로세스가 함께 종료되는가 아닌가이다.

역시 화면을 보자.

이 화면은 포그라운드 프로세스의 대명사인 vi 라는 문서편집기를 강제로 백그라운드로 실행시킨 화면이다. 명령어를 실행할 때 맨 뒤에 & (앰퍼샌드) 기로를 붙이면 해당 명령어는 백그라운드로 실행된다. 즉 표준입력인 pts와 tty가 vi 프로세스와 끊겨 vi를 통해 편집이 불가능해진다.

어쨌든 vi는 화면에서 사라지고 백그라운드에 실행중이다. 이 것은 다른 ssh 접속 후 ps 명령을 통해 확인할 수 있다.

ps 명령으로 해당 프로세스를 찾아보면 bash(8290)을 부모프로세스로 갖는 vi(8314)가 실행중임을 알 수 있다. 하지만 실제 작업은 할 수 없으며 q! 와 같은 명령을 입력해 vi를 종료할 수도 없다. 

여기서 ssh 접속을 끊으면 고아가 되어버린 vi 는 어떻게 될까? 앞에서 설명했듯 비록 백그라운드로 실행중이지만 exit 명령을 통해 ssh 접속을 끊으면 bash(8290)과 bash(8290)을 ppid 로 갖는 8314는 자동으로 종료된다.

exit로 ssh 접속을 끊는다.

vim이 죽으라는 HUP 시그널을 받았음을 화면에 표시한다. 즉 bash가 "너 죽어!!"라고 시그널을 보낸 것이다. 그리고 Connection이 종료되었음을 알린다. 

그렇다면 실제로 vi 프로세스가 종료되었는지 ps 명령으로 확인해 본다.

원래 있던 자리에 taeho 계정으로 실행중이던 vi 프로세스가 없음을 알 수 있다. ssh에서 exit 명령으로 로그아웃 하자 taeho 계정으로 실행되던 sshd, bash, vi가 자동으로 종료된 것이다.

즉 이 sshd, bash, vi는 백그라운드 프로세스로 실행되었지만 데몬(daemon)이 된 것은 아니다. 데몬이 되기 위해서는 백그라운드 프로세스가 부모프로세스로 1 혹은 다른 데몬 프로세스를 가져야 한다.

대표적인 데몬 프로세스 (웹서버)

가장 대표적인 데몬 프로세스는 웹서버 데몬이다. 웹서버 데몬 프로세스는 서버에서 터미널을 통해 사용자와 대화할 수 없도록 백그라운드 프로세스로 생성된다. 

즉 프로그램의 소스 안에서 fork() 함수를 통해 자식을 생성하고 부모는 죽는다. 그리고 생성된 자식은 부모프로세스를 1 (init) 로 변경한 뒤 실제로 서비스를 수행할 자식(손자에 해당)프로세스를 여러개 fork() 한다. 그리고 그 자식(손자) 프로세스들은 계정을 setuid() 함수를 이용해 웹서버가 실행되도록 설정된 계정으로 바꾼다. (실제로는 과정이 조금 다를 수도 있음)

그 결과 다음과 같이 프로세스가 생성된다.

httpd(8064)는 PPID(부모프로세스ID)가 1 이다. 그리고 실행된 계정은 root 이다. 이는 최초 웹서버를 root 계정에서 실행시키기 때문이다. 그 이유는 TCP 1024 포트 이하는 root 에서만 Binding이 가능하기 때문이다. 

그리고 PPID를 8064로 갖는 httpd 프로세스가 5개가 있고 그 계정은 실행계정이 apache 임을 알 수 있다. root가 아니고 apache로 변경한 이유는 보안상의 이유다. PPID가 1 인 httpd는 실제로 웹브라우저의 요청을 처리하는 웹서버 데몬이 아니다. 실제로 웹브라우저의 요청을 처리하는 웹서버 데몬은 apache 계정이 실행계정으로 되어 있는 나머지 5개의 웹서버 데몬이다.

이는 만약 root 계정으로 실행중인 웹서버가 해킹을 당하는 상황을 가정하면 해커는 곧바로 서버의 관리자 권한인 root 권한을 획득하는 것이 된다. 이런 상황은 매우 치명적인 상황을 유발할 수 있기 때문에 실제 서비스를 수행하는 웹서버 데몬은 apache 계정으로 실행하도록 기본 설정이 되어 있는 것이다.

이렇게 PPID가 1 인 httpd 프로세스와 PPID가 1인 프로세스를 PPID로 갖는 5개의 httpd 프로세스가 바로 데몬(daemon) 프로세스다. 

이 데몬프로세스들은 로그인한 ssh 세션에서 exit로 로그아웃 하더라도 종료되지 않고 웹 서비스를 제공하게 된다.

#데몬프로세스 #daemon #fork #ppid #부모프로세스ID

처음 블로그를 시작한 것은 네이버였다. 홈페이지도 해보고 싸이월드도 해보고 네이버블로그도 해봤지만 왠지 맞지 않는 기성복을 입은듯한 느낌... 화면을 내 취향대로 단순,깔금하게 할 수도 없고 개인 도메인을 붙일 수도 없는... 왠지 몸에 맞지 않는 기성복을 억지로 입은 듯한 느낌이었다.

한마디로 자유가 없었다.

그래서 어느정도의 자유가 보장되는 티스토리로 블로그를 옮기고 10년이 지났다. 아니 어느새 정확하게 11년하고도 1개월이 지났다. 그동안 쌓은 life log는 730개가 넘었고 페이지뷰는 430만이 넘었다. 133개월동안 한달에 5~6개의 포스트를 작성한 셈이다. 

취미로 블로그를 운영하면서 세운 두가지 원칙이 있다.

첫번째는 남의 글을 복사해오거나 뉴스 클리핑은 하지 않기로 했다. 

두번째는 억지로 쓰는 것이 아닌 뭔가 끄적이고 싶을 때 글을 쓰되 꾸준히 쓰는 것이다. 

이 두가지 원칙을 철저히 지키고 있다. 그러다 보니 포스트가 블로그를 운영한 기간에 비해서는 그리 많지 않다. 오히려 나와 같은 방문자수를 기록하는 다른 블로거들에 비해 글의 수가 적은편이다.

문득 블로그의 페이지뷰 변화가 궁금해졌다. 다행스럽게도 티스토리에는 내가 블로그를 개설하고 운영한 2008년 8월 부터 지금까지의 페이지뷰 수가 잘 기록되어 보관되고 있었다.

최근의 것부터 보면...

2018년 11월부터 지금까지 최근 1년간은 꾸준히 월 5만 페이지뷰를 기록하고 있다. 

특이한 점은 예전에 비해 네이버를 통한 유입보다 구글을 통한 유입수가 많다는 점이다.그리고 내 블로그의 특성상 누군가 구독해줄 가능성이 낮다. 포스트도 자주 올리는 편이 아니고 특정 주제에 집중해 누군가의 관심을 받을만한 블로그가 아니기 때문이다. 즉 컴퓨터, 보안, 여행 등 내가 일하고 놀면서 글을 쓰고 싶을 때 마구잡이로 쓰는 포스트이기 때문에 누가 관심을 갖을 일이 없다.

다만 검색엔진에 포스트가 등록되면서 검색엔진을 통해 내 블로그에 있는 정보가 필요할 수도 있는 사람들이 내 블로그의 페이지뷰를 올려주는 것으로 생각된다.

지난 1년간 주로 어떤 글을 검색을 통해 보고 갔는지를 볼 수 있었다.

역시나 컴퓨터와 관련된..특히 내 취미 중 하나인 스마트폰에 관련해 작성한 글을 많이 찾는 것을 알 수 있다. 그 중에서도 통신사 펌웨어가 설치된 채로 구입한 노트9의 통신사 펌웨어를 자급제 펌웨어로 바꾸는 방법이 가장 많은 페이지뷰를 기록하고 있다.

스마트폰의 유심을 다른 통신사로 바꾸면 즉 펌웨어의 통신사와 유심의 통신사가 일치하지 않으면 모바일 티머니가 안되는 불편함 때문에 노트9의 펌웨어를 어렵게 어렵게 자급제로 바꾸는 방법을 찾아 성공한 뒤 조금이라도 쉽고 세세하게 작성해보자 싶어 올린 포스트인데 뜻밖에도 검색엔진을 통해 많은 분들이 보고있다.

그리고 2011년에 작성한 SQL과 관련된 글도 의외로 꾸준히 많은 분들이 검색을 통해 찾아주고 있다.

다음은 2018년의 통계다. 2019년 보다는 평균 페이지뷰가 조금 낮은 편이다. 하지만 큰 차이는 없다.

아마도 글을 발행하는 빈도가 많지 않기 때문일 것이다. 특이할 만한 점은 2018년 1월 기준 네이버 검색을 통한 유입이 36,905인데 이전 2019년 9월엔 13,900으로 줄었다는 것이다. 티스토리에서 네이버 유입을 어떤 기준으로 통계를 내는지 모르겠지만 네이버의 검색시장에서의 비중이 매우 빠르게 줄어들었다는 것을 알 수 있다. 다만 2018년 당시에 티스토리에서는 구글의 검색유입을 정확하게 통계로 보여주지 못했기 때문에 구글검색 20은 정확한 데이터가 아니다.

2018년 1월 기준 인기글이다. 2019년 9월과는 많이 다른 것을 알 수 있다.

이 당시를 즈음하여 옆지기와 아이들의 스마트폰을 각각 갤럭시 A5와 갤럭시 S7으로 바꿔주면서 두 폰을 비교한 포스트를 올렸는데 그 포스트가 가장 많은 페이지뷰를 기록하고 있었다.

2017년 12월 까지의 통계는 예전의 통계방식으로만 제공하기 때문에 월별 숫자만 편집해보았다.

2008년 8월 2,296 페이지뷰로 시작해 블로그의 방문자수가 변해가는 것을 볼 수 있다. 조금 헷갈리고 눈이 어지러워질 수도 있으니 조심하길~~ ^^

가장 많은 방문자수를 기록한 월은 2013년 12월의 118,980 페이지뷰다. 요즘도 기록하기 힘든 페이지뷰인데.. 이때 포털의 메인에 한개의 글이 걸리면서 몇일간 엄청난 방문자수를 기록했던 것으로 기억된다. 아마도 2013년에 발생했던 농협전산망 해킹사고과 관련한 포스트였을 거다. 어쨋든 블로그의 방문자 수는 매우 조금씩... 더디지만 꾸준히 늘고 있다.

그리고 2013년에 시작한 구글의 애드센스 수익은 꾸준히 발생하고 있다.

그동안은 광고 세개를 대충 넣어놓고 신경쓰지 않아 오랫동안 수익이 제자리 걸음을 하고 있다가 2019년 들어 조금 최적화 작업을 했더니 수익도 늘기 시작했다. 오랫동안 50달러(월)에서 오르락 내리락 하다가 2019년 들면서 100달러(월)를 상회하고 있다. 

하지만 광고 수익에 너무 연연하지는 않으려 한다. 어디까지나 블로그는 취미로 하는 것이니까... 그리고 애드센스 수익에 연연하면 블로그는 필연코 망가지게 되고 스스로에게 아무런 의미없는 포스트로 넘쳐나게 될 가능성이 매우 높다는 것을 여러 블로그를 통해 간접 경험했다.

많은 분들이 블로그를 통해 더 많은 사람들과 소통하기를 원하기도 한다. 하지만 나는 조금 다르다. 직장생활을 시작하면서 업무의 특성상 여기저기 이동하는 경우가 많아 사실.. 많은 사람들을 만나는 것이 스트레스이기도 했다. 그래서 뭔가 혼자할 수 있는 취미를 갖고자 시작한 것 중 하나가 블로그다. 지금은 자주하지 못하지만 운동으로 달리기를 선택한 것도 혼자할 수 있는 운동이기 때문이기도 하다. 

그래선지 블로그를 통해 이웃을 맺고 서로 신경써서 방문해주고 하는 다른 블로거는 몇 안된다. 티스토리는 지금은 바뀌었지만 예전엔 링크라는 기능을 이용해 이웃 블로그를 관리했다.

몇 안되는 링크에 추가되어 있는 이웃블로그다. 가장위에 있는 지후대디(https://lucy7599.tistory.com)님은 블로그를 운영하면서 유일하게 오프라인에서 딱~한번 만난적이 있는 분이다. 티스토리-애드센스 포럼에서 였는데 요즘도 종종 블로그에 방문하여 지후대디님의 딸과 아들이 커가는 모습을 지켜보며 우리 딸과 아들의 커가는 모습과 비교해보기도 한다. ^^ 그리고 에스델(https://estherstory.tistory.com/)님은 요즘 손을 다치셔서 그런지 오랫동안 포스트가 통 올라오지 않는다. 빨리 나으셔야 할텐데... 

그리고 요즘 새롭게 생긴 구독 기능도 그다지 활용하지 않는다. 찌쏘(http://jjisso.tistory.com/) 님을 비롯해 몇 분의 블로그를 맞구독 하는 것을 제외하면 블로그를 통한 인적네트워크 구성에는 그다지 관심을 갖지 못하고 있다.

어쨌든 이 블로그는 인생의 중반기를 지나는 내게 좋은 취미이자 기록으로 남게 될 것이다. 블로그 개설 20년이 되는 해에 다시한번 정리해보자 !!

#티스토리 #블로그10년

갈 일이 없을 듯 했던 미국. 일 때문에 가는 것 이기에 그다지 큰 감흥은 없었다. 게다가 나중에 안 사실이지만 텍사스의 댈러스(포트워스국제공항)는 관광으로 갈 일이 없을 만큼 구경거리도 없다. 다만, 멕시코, 페루, 브라질, 아르헨티나 등 중부 및 남부 아메리카로 가기 위해서 거치는 환승공항으로 유명하긴 하다.

미국 길에 가장 우려가 되는 것은 바로 입국심사다. 911 테러를 기점으로 미국의 입국심사는 점점 까다로워져서 질문에 제대로 대답하지 못하면 입국이 거부되는 경우도 종종 있는 듯 하다.

이번 출장길에도 방문하는 회사의 한국지사 직원이 얼마 전 미국 입국심사에서 퇴짜를 맞고 곧바로 돌아오는 항공편으로 강제출국(?)당했다는 소문은 일행들을 두려움에 떨게 하기 충분했다.

일단... 미국의 단기 방문에는 비자를 발급받지 않아도 된다. 다만 ESTA라고 하는 입국 예비허가(?) 신청을 하고 승인이 떨어지면 입국이 가능하다.

ESTA 신청은 아래 주소에서 하면 된다.

https://www.esta-usavisitvisa.com/v3/kr

ESTA를 신청하고 승인이 이루어지면 다음과 같이 ESTA 승인확인서를 발급받을 수 있다. 한 부 출력해 갖고가면 도움이 될 수 있다. 발급에 14$가 든다.

댈러스의 포트워스국제공항은 인천공항 기준 약 12시간에서 13시간이 걸린다. 조금 지연되면 14시간도 걸린다. -.- 비행시간만 생각하면 다시는 가고 싶지 않은 거리다.

비행기에서 내려 앞사람들을 따라가다 보면 이런 안내판들이 보인다.

주황색 보드에 선명하게 보이는 ESTA...!! 계속 안내되는 방향으로 가다보면 왼쪽으로 입국심사대가 보이고 중간 즈음에 이런 자동심사 기기들이 보인다.

출처 : 트래블바이크뉴스

이 자동입국심사 기기는 한글도 지원한다. 메뉴에서 한글로 변경해 진행하면 매우 쉽다. 정면 사진도 찍고 여권도 스캔해야 한다. 그리고 나면 종이를 한장 출력해주는데 최초 입국이라면 오른쪽 부분이 점선으로 이루어진 엑스표시( X )가 되어있다. 이 의미는 정식 입국심사대로 가라는 의미다.

미국 입국이 처음이라면 100%의 확률로 X 표시가 되어 출력된다. 버리지 말고 입국심사대에서 여권과 함께 제출하면 된다.

그리고 입국심사대로 가서 줄을 서고 차례가 되었을 때 입국심사관 앞으로 가면 된다. 괜히 앞서 심사를 받는 사람쪽으로 먼저 가까이 가지말고 대기선을 절대로 넘지 말아야 한다. 괜히 대기선을 넘으면 입국심사관의 고함소리를 듣게 될 수도 있다.

또 다시 사진을 찍고 이번엔 좌우 손가락 10개의 지문을 스캔한다. 이 순간 내 지문은 미국에 의해 털린다. 지문의 특징을 추출한 뒤 Hash 값만을 저장한다면 큰 문제가 없겠지만 그렇지 않다면 내 지문은 매우 큰 위험에 직면하게 된다. 그렇다고 따질 수도 없는 노릇이고...

미국 입국심사 시 주의할 점

일행과 미국 입국심사에 대해 이야기하면서 입국의 목적을 "관광"으로 해야하는가로 한참을 이야기했다. 비즈니스라던가 친구를 만너라 왔다고 하면 입국 거부의 가능성이 높아지기 때문이라는 의견이 많았다. 여러 입국심사 후기를 봐도 사실 그럴 가능성도 높아보였다. 어느 후기에서는 세미나 등에 초청받았다고 했다가 다른 방으로 불려가 확하느라 초청한 미국의 사람들과 통화까지 한 뒤 풀려났다는 이야기도 있을정도니...

그런데 댈러스는 분명 관광으로 올만한 곳은 아니다. 게다가 거짓말을 해야하는 것이니...하지만 신용을 생명처럼 여기는 전통이 있는 미국 입국심사에서 거짓말은 너무 위험하다. 만약 상황이 꼬여 거짓말을 하다 들통나면 그 이후에는 솔직하게 이야기해도 아무런 의미가 없을 가능성이 높다. 이미 거짓말한 사람의 이야기를 누가 믿어주겠는가 ?

그래서 결국 솔직하게 댈러스에 있는 XXX회사에서 테크니컬 미팅을 입국 목적으로 이야기하기로 입을 맞췄다.

그런데...

막상 입국심사대에서 아무런 질문도 하지 않는게 아닌가? 그냥 지문인식만 하고 Pass 였다. 잔뜩 긴장하고 있었는데 허무할 정도로 쉽게 통과되었다.

사실 입국심사 대기줄에 있을 때 심사관이 앞 사람의 심사를 하면서 힐끗 힐끗 대기줄 쪽을 계속 바라보고 있었다. 그리고 내 입국심사 때도 대기중인 뒷 사람을 중간중간 곁눈질로 살피고 있었다.  만약 너무 긴장하고 있다던가... 수상한 행동을 한다던가... 복장은 어떤지 등 모니터링? 하는 듯 했다. 그리고 다른 일행들에게도 확인했지만 질문을 많이 하거나 하진 않았다고 한다. 

만약 입국심사대에서 문제가 생기면 다른 사무실로 끌려(?)가서 상세한 인터뷰를 한다고 하는데 이때 의사소통이 어려우면 통역을 불러달라고 요청하여 입국목적을 잘 설명해야 한다고 한다. 그런데 입국 심사대에서 거짓말을 했다면 이 상세한 인터뷰를 통과하기 어렵다고 한다. 이미 거짓말을 했으니 솔직하게 이야기해도 믿어주지 않을 가능성이 높고 그렇다면 입국이 거부될 가능성도 매우 높아진다는 것이다.

미국은 신용이 생명인 사회다. 입국 심사에서 거짓말은 하지 않는 것이 좋다. 우리나라 처럼 가벼운 거짓말이 용인되는 그런 사회가 아님을 명심하자.

간단한 입국 심사 용 영어회화

Q1: May I see your passport?

Q1: 여권을 보여주시겠습니까? 

A1: 여권을 보여주면서 세관신고서도 함께 주면 된다.

Q2: What is your final destination?

Q2: 목적지가 어디입니까?

A2: I will first visit Melbourne then go to Sydney. / I will stay in Melbourne.

A2: 멜버른에 있다가 시드니로 갈 것입니다. 멜버른에서 머물 것입니다.

한 도시가 아닌 여러 곳을 여행할 예정이라면 입국심사관에게 여행할 도시들을 얘기해주면 된다. 만약 한 곳에만 머물 예정이라면 입국한 도시의 이름을 대면 된다.

Q3: How long will you stay?

Q3: 얼마나 체류할 예정입니까?

A3: For 7 days. / I will stay here for 7 days and I will go back to Seoul.

A3: 7일이요. / 7일 있다가 서울로 돌아갈 것입니다.

각국에서 발행하는 비자는 체류 기간이 있기 때문에 그 기간 안에만 여행해야 한다. 만약 소지한 비자로 체류할 수 있는 기간이 30일인데 그 이상을 여행할 것 같은 낌새가 보이면 여러 문제가 생긴다.

Q4: What is the purpose of your visit?

Q4: 방문 목적이 어떻게 되십니까?

A4: I am here for a business trip.

A4:  업무출장으로 왔습니다.

발급받은 비자 목적과 같은 대답을 해야 한다. 즉, 여행을 목적으로 비자를 발급받았는데 직업을 구하러 왔다고 하면 입국이 거절될 수 있다. 미국의 경우 짧은 기간의 출장은 ESTA로 가능하지만, 장기간 떠나야 할 경우 상용 비자가 필요할 수 있다.

• 인증심사 / Certification Audit

A4 : I came to IBM for an ISO27001 Certification Audit.

Q5: Where will you be staying?

Q5: 어디에 계실 예정입니까?

A5: I will stay in Embassy Suite Dallas Near the Galleria Hotel.

A5: 앰버시 스위트 달라스 니어 더 갤러리아 호텔에 머물 겁니다.

만약 머무를 호텔이나 숙소의 위치를 정확히 모르면 의심을 살 수 있다. 그렇기 때문에 주소를 미리 적어두거나 호텔 예약 확정서를 프린트해 놓아 주소를 정확히 알려줘야 한다.

Q6: How much currency/cash are you carrying?

Q6: 현금을 얼마나 갖고 있습니까?

A6: I have 2,000 US Dallar with me and Credit Card.

A6: 2000불과 신용카드를 갖고 있습니다.

국가마다 갖고 들어올 수 있는 현금이 다르다. 예를 들어 캐나다는 입국 시 10,000캐나다달러까지만 허용된다. 하지만 또 카드만 믿고 너무 적은 돈을 갖고 가도 문제가 되기도 한다. 예를 들어 태국에서 2만 바트 이상의 현금을 갖고 있지 않으면 입국을 거부하는 일이 종종 생기고 있다. 여행 일정에 맞게 적당히 챙겨 가는 것이 좋다.

Q7: Do you come alone or with any companions?

Q7: 혼자 여행합니까 아니면 일행이 있습니까?

A7 : I came with a fellow ISO auditor.

A7:  나는 동료 ISO 심사원들과 함께 왔다.

혼자 여행하든 일행이 있든 문제가 되지 않으니 솔직하게 답변하면 된다.

Q8: Have you confirmed your return ticket?

Q8: 돌아가는 티켓을 예약했습니까?

A8: Yes, I’m leaving on 31st Saturday. / I have already confirmed the ticket to go back.

A8: 네, 3월 31일에 떠납니다. / 나는 이미 돌아갈 티켓을 확정했다.

많은 국가가 불명확한 입국 목적 및 불법체류 방지를 이유로 입국 시 왕복 티켓을 요구한다. 예를 들어 입국심사가 까다로운 영국은 왕복 티켓을 요구하는 심사원들이 많다. 만약 심사원이 왜 편도 티켓만 끊었냐고 질문하면 그것에 대해 신임이 갈만한 답변을 줘야 한다.

Q9: What is your occupation?

Q9: 무슨 일을 합니까?

A9: I am an ISO auditor in Korea.

A9: 저는 ISO 심사원으로 한국에서 일하고 있다.

입국 심사원들은 여행객들이 입국하여 불법으로 일할 것을 걱정한다. 그렇기 때문에 비자를 발급받을 때 재직 증명서를 제출해야 하는 경우도 있다. 하지만 이런 과정은 비자를 발행할 때 심사를 거쳤기 때문에 입국 심사 시에는 편하게 사실대로 답변하면 된다.

Q10: Do you have any family or relatives living here?

Q10: 친척이 여기에 살고 있습니까?

A10: .  No. / No one is here.

A10:  아니오. / 아무도 없다.

가끔 친척이나 가족이 살고 있는지 묻는데 솔직하게 답변하면 된다.

#댈러스 #미국 #입국심사 #입국심사영어회화

요즘 택배사를 사칭하는 문자메시지를 보내 스마트폰에 악성코드가 포함된 앱의 설치를 유도하는 스미싱이 유행하고 있다. 스미싱이란 SMS 문자메시지를 보내 스마트폰 사용자를 낚아 악성앱의 설치를 유도하여 스마트폰에 저장된 사진, 문서, 주소록 등 개인정보를 탈취하거나 원격조정하여 다른 웹사이트나 컴퓨터에 DDOS 공격을 하는 일련의 사이버 공격행위를 말한다. 

어느날 아침.. 옆지기로부터 "CJ 대한통운에서 택배 확인 요청" 문자메시지가 왔는데... 좀 이상하다는 카톡이 왔다. 그래서 화면을 캡처해 보내달라고 했다.

이런 문자가 왔다. 

음..로젠택배다. 사실 택배사에서 이런 이상한 도메인주소로 접속을 유도하는 문자메시지를 보낼일은 없다. 하지만 긴~URL을 단축 URL로 변환해 보내는 경우가 있기 때문에 많은 사람들이 이런 URL에 접속하고 있는 것이 사실이다.

이 URL을 그대로 PC의 크롬브라우저에서 입력해 접속해봤다.

역시 위 주소창에서 보이듯 URL이 이상한 주소로 되어 있다. 게다가 로젠택배라 했는데.. 연결된 웹사이트는 CJ 대한통운 이란다. 이런 허접한 놈들....

하지만 웹페이지는 그럴싸 하다. 웹페이지의 링크를 여기저기 클릭해봐도 실제 CJ대한통운의 각 메뉴에 해당하는 페이지로 연결된다.

다만 가장 상단의 전화번호 입력창이 수상하다. 

택배를 보낼 때 수령자의 전화번호를 입력하기 때문에 사실 전화번호를 다시 수집할 이유가 없다. 게다가 우리나라의 개인정보보호법과 정보통신망법은 개인정보를 수집할 때 반드시 사전에 개인정보의 수집과 이용목적을 고지하고 "동의"를 받도록 하고 있다.  그리고 이 동의를 받지 않으면 과태료를 내야한다.

때문에 이렇게 무식하게 전화번호를 입력하라고 하지 않는다. 있다면 신고하라. 최고 5000만원의 과태료 나가신다.

그래서 이 전화번호입력란에 엉뚱한 전화번호를 입력해봤다. 그랬더니 앱을 설치하란다. 

반송된 물품을 확인하려면 앱을 다운로드 하란다.

절대..결코..네버.. 설치하면 안된다. 설치하는 순간 스마트폰은 해커의 놀이터가 된다.

정상적인 기업이라면 구글의 플레이스토어나 애플의 앱스토어를 통해 앱을 배포한다. 결코 이렇게 apk 파일을 직접 다운로드해 설치하도록 유도하지 않는다. 이렇게 apk를 다운로드 받아 설치하도록 유도하는 것은 100% 악성코드를 유포하기 위한 것이라고 생각하면 된다.

혹시나 해서 앞서 화면에서 소스보기를 해봤다.특별히 의심할만한 HTML과 자사스크립트는 보이지 않는다. URL부분에도 이상한 URL은 눈에 띄지 않는다.

소스를 보다 보니 중간에 UA- 로 시작하는 코드가 보인다. 이 코드는 구글의 어낼리틱스(웹사이트 방문통계)의 코드다.

뒷부분에 doortodoor.co.kr 이라는 도메인이 보이는데 이 도메인이 CJ 대한통운의 도메인 중 하나다.

그래서 이 UA 코드를 검색해봤다.

그랬더니 아니나 다를까 실제 CJ대한통운의 도메인인 Doortodoor 도 있지만 악성코드를 유포하기 위해 만든 가짜 도메인들이 다수 검색된다. dj-ho.top, aa-ub.top은 당연히 악성코드를 유포하기 위한 도메인주소이고 심지어 JCgloball.org 라는 이름의 그럴싸한 도메인도 만든 모양이다.

하여튼... 뭔가 고지와 동의 없이 전화번호등을 수집하려거나 공식 앱마켓이 아닌 apk 파일을 수동으로 다운로드 받고 설치하라고 하는 경우는 무조건.. 해킹이다.!!! 라고 생각하고 근처에 얼씬도 하지 말아야 한다.

삼성과 LG는 죽었다 깨어나도 하지 않을 서비스가 있으니 구 기종의 최신 운영체제 지원이다. 아니 절대하지 못할 것이다. 그 이유는 삼성과 LG가 생산하는 스마트폰의 기종이 너무 많다는데 있다.

새로운 스마트폰이 출시될 때는 당연히 최신의 운영체제가 출시되는 스마트폰의 하드웨어에 최적화되어 포팅(Porting)된다. 이는 안드로이드 운영체제의 소스코드를 구글로부터 넘겨받아 생산업체마다 다른 하드웨어에 최적화된 드라이버(Driver)를 포함시키고 자신들만의 일부 기능 게다가 우리나라의 경우 통신사에서 요구하는 통신사 앱까지 포함시켜 포팅하고 테스트한 뒤 출시하게되는데...

이는 만약 구글에서 새로운 운영체제가 릴리즈(Realease)될 때 마다 출시된지 수년이 지나 더 이상 팔리지 않는 구형 스마트폰에도 동일한 포팅(Porting)작업을 해야한다는 의미다. 

삼성의 경우..1년에도 스마트폰에 관심이 많은 나 조차도 다 알지 못할만큼 다양한 스마트폰이 출시된다. 몇 년 누적되면 손가락~발가락을 모두 동원해도 다 세지 못할만큼 다양한 기종이 세상에 널려있게 된다. 그 기종에 최신 운영체제를 올려주는 작업을 하게 되면 당연히 많은 인력이 투입되어야 하고 이는 원가를 높이는 중요한 요소로 작용하게 될 것이다.

당연히.. 이익을 추구하는 제조사 입장에서는 하기 싫은 작업이다.

하지만 애플(Apple)은 다르다. 각 세대별로 한두 기종만 출시하며 출시되는 하드웨어도 엄격하게 통제하고 있기 때문에 삼성이나 타사보다 포팅작업이 훨씬 수월할 것이다. (수월하다는 것이지 쉽다는 것은 아니다.) 게다가 삼성이나 LG처럼 운영체제를 돈주고 사서 쓰는 입장이 아니고 직접 개발한 운영체제다 보니 라이선스 비용도 들지 않는다.

때문에 애플은 이번에 출시된 최신 운영체제인 iOS 13 버전을 내가 유일하게 소장하고 있는 아이폰6s(iPhone 6s)에도 지원해주는 귀여운 만행(??)을 저질렀다.

게다가 이번 iOS 13에서는 내가 기다리고 기다렸던 NFC를 외부에 개방했다. 이 의미는 머지않아 아이폰에서도 티머니(T-Money)를 사용할 수 있게 될지도 모른다는 강력한 신호다. 다만 국산 스마트폰의 NFC는 아이폰의 NFC와는 표준규격이 다르다. 그리고 모바일 티머니를 적용할 수 있는 충분한 정보가 개방되었는지는 개발자들에게 제공되는 가이드를 통해 확인해야 한다. 

게다가 과연 티머니 충전에 대한 티머니와 애플영업적 문제를 어떻게 해결할지 모르지만 몇몇 문제만 해결된다면 머지않아 지하철 게이트에 아이폰을 들이대는 많은 사람들을 목격하게 될 수도 있다. 

iOS 13 버전이 아이폰6s에도 지원된다는 소식을 듣고 바로 보관하고 있던 아이폰6s를 켠 뒤 업데이트를 수행해봤다.

오호~~~ iOS 13 업데이트가 가능했다. 12보다 더 가볍고 여러가지 개선사항이 있다는데...

망설이지 않고 다운로드 및 설치를 눌렀다.

당연히 동의..

다크모드가 지원된단다.. 배터리를 조금이라도 아낄 수 있는 방법이 되려나?? 

지도는 글쎄.. 미국에선 몰라도 우리나라에선 쓸모 없을 듯... 신 쇄국정책..!!

시리도 그닥...

앱 실행이 최대 2배 빨라졌단다..!! 단, 최대 치수일 뿐...!!

업데이트 한 뒤 다크모드에서의 초기 화면..!! 다크모드인데도 썩~ 괜찮다.

아이폰6s - iOS 13

다크모드에서 설정에 들어간 화면... 다크모드를 기본으로 사용해도 괜찮을 듯...

빨리..티머니와 삼성페이, LG페이를 애플에서도 사용할 수 있게 되면 좋겠다. 물론 마그네틱으로는 사용하지 못하겠지만 NFC 결제단말기가 더 빨리 보급되는 효과를 기대할 수 있지 않을까?

#아이폰6s의iOS13업데이트  #iOS13  #iPhone6s