20.11.02 ( 인터파크 개인정보 유출회원 2,400명에 배상 판결, 정보보호 사각지대 해소 위한 ISMS 인증 제도 개선, 전세계 의료업게 랜섬웨어 주의보, 개발 SW 검증도구 취약한 보안설정으로 침해사..

1. 인터파크 개인정보 유출회원 2,400명에 배상 판결

 

2016년 5월 당시 인터파크 사내 PC를 통해 전산망이 해킹되는 사고로 1,000만명의 고객 정보가 유출된 사건이 있었습니다.😀

 

이때 개인정보 유출에 대한 통지를 하지 않았으며, 사실을 인지한 시점으로부터 14일 지난 후에 통지를 하여서 문제가 되었엇는데, 이로인해 방송통신위원회로부터 44억 8,000만원의 과징금을 부과받았고 이를 취소해달라고 행정소송을 제기했으나 결국 최종 패소를 하게 되었다고 합니다.😮

 

개인정보를 유출한 고객 중 2,400명이 손해배상을 요구하였고 서울중앙지법 민사합의30부가 원고 일부승소 판결을 내리면서 1인당 10만원씩 배상하라고 했다고 합니다.😀

 

 

 

2. 정보보호 사각지대 해소 위한 ISMS 인증 제도 개선

 

과학기술정보통신부(과기정통부)와 개인정보보호위원회가 정보보호 유사 및 중복 부담을 완화하고, 정보보호 사각지대를 해소하기 위한 ISMS, ISMS-P 인증 제도를 개선한다고 합니다.😀

 

이번 개선을 통해 가상자산 사업자, 중소기업 등 특화한 ISMS 인증 심사체계를 구축할 것이라고 합니다. 가상자산 사업은 금융 서비스 특성이 있지만, 사업자의 법적 지위 미비 등 제도적 기반 부재로 정보통신서비스 분야에 적합한 ISMS 인증 심사항목을 적용하여 인증해왔다고 합니다.

 

2021년 3월에 시행되는 '특정 금융거래정보의 보고 및 이용 등에 관한 법률' 개정안을 통해 가상 자산 사업자의 법적지위를 부여하고 ISMS 인증획득을 의무화하는 제도적 기반이 마련되었다고 합니다. 과기정통부는 이를 계기로 금융위원회(금융보안원)과 협업하여 가상자산에 특화된 점검항목을 개발하고, 올해 11월부터 공지하여 ISMS 인증 심사에 적용할 예정이라고 합니다.😀

 

이와 함께 정보보호가 중요한 영세 및 중소기업도 불필요한 비용 소모 없이 기업 스스로 ISMS 인증을 준비할 수 있도록 ISMS 인증항목절차를 경량화한 중소기업용 인증체계를 마련할 것이라고 합니다.

 

ISMS-P를 중심으로 개인정보 및 정보보안성은 유지하면서 기업 부담을 경감시키는 방향으로 유사제도를 통합운영한다고 합니다. 그동안 ISMS-P 인증범위에 수탁사의 정보보호 관리체계가 포함되어 위탁회사들이 ISMS-P 인증 심사 때마다 수탁사는 반복적으로 현장점검을 받는 불편함이 있었다고 합니다.

 

이에 수탁사가 ISMS-P 인증을 획득하면 위탁사들의 ISMS-P 인증심사에 부수되는 수탁사의 현장점검을 면제할 예정이라고 합니다. 클라우드서비스 보안인증의 경우도 ISMS 인증과 유사 항목이 다수 존재해 ISMS 인증 기업이 클라우드 보안인증 신청 시 인증항목도 117개에서 54개 항목으로 심사 생략이 가능하다고 합니다.😁

 

교육부가 주관하는 정보보호 수준진단에서 우수 등급을 획득한 대학은 ISMS 인증 의무를 면제하는 내용으로 정보통신망법령 개정을 추진한다고 합니다. 이에 ISMS 인증 의무를 미이행한 13개 대학 중 10개 다학이 올해 교육부 정보보호 수준진단에서 우수 등급을 획득하여 ISMS 인증이 면제될 예정이라고 합니다.😀

 

 

 

3. 전세계 의료업계 랜섬웨어 주의보!

 

이달 의료업계를 대상으로 랜섬웨어 공격이 크게 증가했다고 합니다.😑

 

미국에서 탐지된 의료부문 랜섬웨어 공격은 지난 달 대비 71%가 늘어났으며, 아시아태평양과 유럽과 중동 및 아프리카 지역의 경우 의료 산업계 대상 공격이 각각 33%, 36%가 올라았다고 합니다.

 

여기서 주목할만한 점은 '류크' 랜섬웨어 공격이 두드러졌다는 것이라고 합니다. 대규모 스팸 공격 또는 익스플로잇 킷을 통해 퍼지는 일반 랜섬웨어와는 달리 류크는 맞춤형 포적 공격에만 이용된다고 알려져 있다고 합니다.

 

미국 병원을 대상으로 한 랜섬웨어 공격 중 75%가 류크 랜섬웨어 인 것으로 분석되었으며, 이 랜섬웨어에 당한 미국 병원이 늘어났다고 합니다.

 

지난 4월 국제형사경찰기구(인터폴)은 신종 코로나바이러스 감영증 상황엫서 병원 등 의료계가 랜섬웨어 공격으로부터 가장 큰 위협을 받고 있다고 경고했다고 합니다. 랜섬웨어로 데이터 손상, 금전 탈취는 물론 개개인의 문제까지 영향을 미칠 수 있는 만큼 인터폴은 194개 회원국의 경찰에 랜섬웨어 대응을 강화하라는 '퍼플 노티스'를 발령했다고 합니다.😀

 

 

 

4. 개발 SW 검증도구 취약한 보안설정으로 침해사고 발생 주의

 

최근 개발 SW 검증에 사용되는 SonarQube 서버에서 취약한 보안설정으로 침해사고가 발생하고 있어 기관 및 기업 이용자들의 각별한 주의가 요구되었다고 합니다.😀

 

'SonarQube'는 SW 개발 시 소스코드의 개선 및 보안 취약점을 제거 하기 위한 코드 분석 도구라고 합니다.

 

SnoarQube 서버의 보안 설정 및 관리가 미흡한 경우 외부의 공격자가 기업, 기관 내부의 소스코드 저장소에 접근해 소스코드 열람 및 민감정보 탈취로 이어질 수 있다고 합니다.

 

이에 KISA 침해사고분석단 취약점분석팀은 "관리자 계정명, 패스워드, 포트를 변경하고 접근 통제를 강화해야 한다. 보안장비를 SnoarQube 인스턴스의 앞 단에 구성하고 SnoarQube 인스턴스에 접근할 수 있는 불필요한 자격증명을 폐지할 것"이라고 권유했다고 합니다.😀

 

 

 

 

 

 

 

 

 

 

 

 

 

출처

www.boannews.com/media/view.asp?idx=92256&page=1&mkind=1&kind=

법원 “인터파크, 개인정보 유출회원 2,400명에 10만원씩 배상”

www.boannews.com/media/view.asp?idx=92249&page=1&mkind=1&kind=2

정보보호 사각지대 해소 위한 ISMS 인증 제도 개선, 무엇이 달라지나

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29649&key=&dir_group_dist=&dir_code=&searchDate=

전세계 의료업계 랜섬웨어 '주의보'…이달에만 71% 급증

www.dailysecu.com/news/articleView.html?idxno=115733

개발 SW 검증도구 취약한 보안설정으로 기관·기업 침해사고 발생중…주의 - 데일리시큐