20.12.10 ( 공인인증서 폐지 및 안전한 민간인증서 확산 지원, 통일부 및 공모전 사칭한 북한 추정 APT 공격 주의, 개인정보보호 규정 위반 LG유플러스 과징금 부과, 융합보안 강화를 위한 정보통..

1. 공인인증서 폐지 및 안전한 민간인증서 확산 지원

 

전자서명법 개정안이 12월 10일부터 시행되면서 공인전자서명 제도가 폐지된다고 합니다.😀

 

이제 공인인증서도 여러 가지 민간인증서 중 하나가 되는거라고 하네요!

 

공공, 금융 분야 등 기존에 공인인증서를 사용하던 500개 웹 사이트에서 현재 이용 중인 전자서명을 확인해 본 결과, 기존 공인인증서 이외에도 간편한 가입 및 발급 절차, 편리한 인증방식, 편의성 등을 갖춘 민간 전자서명을 도입하고 있는 추세라고 합니다.

 

카카오페이, 뱅크사인, 토스, PASS, 네이버, KB스타뱅킹, 페이코 등 7개 민간기업이 주요 민간인증서 사업자로 활동하고 있으며, 기존 공인인증기관도 브라우저 인증서, 클라우드 인증서 등을 출시해 편의성을 높여 사용할 수 있도록 하고 있다고 합니다.😀

 

공인인증서 중심의 기존 전자서명 시장에서 다양한 민간 전자서명사업자간 경쟁시장으로 전환됨에 따라, 다양한 간편한 방식의 민간 전자서명 사업자의 인증서 발급이 급속히 확산되고 있다고 합니다.

 

더불어 과학기술정보통신부(과기부), 행정안전부(행안부), 금융위원회는 공공기관, 금융기관 등에서 민간 전자서명이 조속히 도입되어 국민들이 편리하게 이용할 수 있도록 협력을 강화해 나갈 계획이라고 합니다.😁

 

우선, 공공분야는 행정안전부를 중심으로 민간 전자서명을 도입한다고 합니다.

 

전자서명법 개정에 따른 변화를 국민이 체감할 수 있도록 내년 1월부터 주요 공공 웹 사이트에서 민간인증서를 도입하기도 한답니다.😀

 

이를 위해 지난 9월 '공공분야 전자서명 확대 도입을 위한 시범사업'을 착수해 카카오, KB 국민은행, 페이코, 한국정보인증, PASS 등 5개 사업자를 후보로 선정해 물리적·기술적·관리적 보안사항을 점검한 후, 최종 사업자를 확정할 계획이라고 합니다.

 

앞으로 행안부는 공공기관 웹 사이트에 민간 전자서명의 도입을 지속적으로 확대해 나갈 계획이며, 보안성과 신뢰성을 갖춘 민간인증서를 공공 웹 사이트에 확대 적용해 국민이 자신이 보유한 인증서로 편리하게 서비스를 이용할 수 있도록 할 예정이라고 합니다.😁

 

금융분야는 금융위원회를 중심으로 편리하고 안전한 다양한 전자서명 및 본인인증 수단을 개발해 활용하도록 '전자금융거래법' 개정 등을 추진해 나갈 계획이라고 합니다.

 

이를 위해 기술중립성 원칙에 따라 다양하고 편리한 민간 전자서명 기술을 금융분야에 적용하되, 재산을 온라인으로 거래하는 금융분야의 특성을 고려해 고위험거래에 대해서는 보안성을 확보한 전자서명을 도입할 계획이라고 하네요.😁

 

과기부는 국민들이 전자서명에 대한 신뢰성을 갖게 하기위해 평가기관을 선정하여 전자서명 평가 및 인정제도를 운영할 계획이라고 합니다.😀

 

 

 

2. 통일부 및 공모전 사칭한 북한 추정 APT 공격 주의

 

최근 '탈륨'과 '금성121' 등 북한 연계 조직의 소행으로 추정되는 APT 공격이 연이어 발견되고 있다고 합니다.😀

 

이스트시큐리티 시큐리티대응센터에서 발견한 APT 공격은 '통일부 사칭 악성 이메일 공격'과 '평화 통일 관련 이야기 공모전 신청서'를 사칭한 악성 HWP 문서 공격이라고 합니다.

 

통일부 사칭 이메일 및 공모전 신청서, 출처 : 보안뉴스

 

먼저 통일부 사칭 공격은 스피어피싱 공격처럼 보이지만, 실제로는 첨부 파일이 아닌 악성 링크를 활용한 공격이라고 합니다.

 

공격자가 발송한 이메일 본문에서 문서 첫 장에 조작된 이미지가 삽입되어 있고, 이미지 하단에 PDF 문서가 첨부되어 있는 것처럼 링크가 삽입되어 클릭을 유도한다고 합니다.

 

이 첨부파일 링크를 클릭하면 문서가 보이는 대신 메일 수신자의 이메일 계정 암호 입력을 요구하는 화면이 나타난다고 합니다.

 

이때 암호를 입력하게 되면 공격자에게 탈취되고 이메일을 통해 주고받은 정보 유출 및 2차 피해까지 이어질 가능성이 크다고 합니다.😮

 

새롭게 발견된 또 다른 공격은 '평화통일 이야기 공모전' 참가 신청서를 사칭한 악성 HWP 문서를 활용하고 있다고 합니다.

 

실제로 올해 개최되는 공모전의 정식 명칭은 '2020 평화통일 이야기 공모전'이며, 사칭한 문서는 '2021 평화통일 이야기 공모전' 참가 신청서로 기재되어 있다고 합니다.😀

악성 HWP 문서에 포함된 OLE 영역에 접근할 경우 보안 메시지, 출처 : 보안뉴스

공격자가 이번 공격에서 한컴오피스 한글 프로그램의 '객체 연결 삽입(OLE, Object Linking and Embedding)' 기능을 악용했다고 합니다.

 

문서에는 내용 전체를 덮는 투명 OLE 객체가 삽입되어 있으며, 사용자가 문서 편집을 위해 클릭하면 OLE 객체에 미리 심어둔 악성코드가 실행되는 방식이라고 합니다.

 

이러한 공격은 포스트스크립트(PostScript) 방식과 동일하게 문서 파일 자체 취약점을 악용한 것이 아니기 때문에 최신 버전을 사용하거나 보안 업데이트 모두를 적용해도 악성코드가 실행될 가능성이 크다고 합니다.😮

 

 

 

3. 개인정보보호 규정 위반 LG유플러스 과징금 부과

 

개인정보보호위원회(개보위)가 규정을 위반한 LG U+와 대리점 등 4개사에 총 7,500만원의 과징금 및 과태료를 부과했다고 합니다.😮

 

이는 대리점의 개인정보보호 규정 위반에 대해 위탁사인 통신사의 관리 및 감독 책임을 물은 첫 사례라고 합니다!

 

개보위는 2019년 1월 통신사 대리점의 개인정보 불법거래에 대한 조사를 요청하는 민원을 접수했다고 합니다.

 

조사 결과 LG U+가 개인정보 처리를 위탁한 대리점에 대한 관리 및 감독을 소홀히 했으며, 대리점이 개인정보보호 규정을 위반한 사실을 확인했다고 합니다.😀

 

LG U+ 대리점 2곳은 초고속 인터넷 회원가입 업무를 LG U+ 동의없이 매집점에 재위탁하고, 고객정보 시스템 접속 계정을 권한이 없는 매집점과 공유한 것으로 밝혀졌다고 합니다.

 

또한 LG U+는 매집점이 3년가량 자사의 고객정보시스템에 접속했음에도 불구하고 대리점의 법규 준수 여부에 관해 적절한 관리 및 감독을 하지 않았다고 합니다.😨

 

개보위는 LG U+가 수탁자에 대한 관리 소홀을 중대한 위반행위로 판결하고 1,160만원의 과징금을 부과했으며, 고객정보시스템에 대한 접근 통제를 소홀히 한 행위로 과태료 1,000만원을 부과하고 시정조치를 명령했다고 합니다.

 

또한, 수탁자인 2개 대리점의 불법 행위에 대해서도 2,320만원의 과태료를 부과했다고 합니다.😀

 

대리점으로부터 개인정보 처리업무를 재위탁받은 매집점은 총 3,020만원의 과징금과 과태료를 부과했다고 합니다.😁

 

 

 

4. 융합보안 강화를 위한 정보통신망법 개정 및 시행

 

과기부와 한국인터넷진흥원(KISA)은 산업 전반에 정보통신(ICT) 융합이 가속화되고, 일상생활에도 융합 제품 및 서비스가 확산되는 상황에서 보안내재화를 적극 지원하기 위하여 보안 리빙랩을 산업 분야별로 개소한다고 합니다.😀

 

또한, 사물인터넷(IoT) 제품과 같은 정보통신망 연결기기의 정보보호 대책을 강화한 정보통신망법과 시행령·시행규칙이 12월 10일 개정·시행되어 안전한 융합서비스 이용환경 조성을 위한 법적 기반도 마련되었다고 합니다.

 

(1) 융합 보안 리빙랩 개소

 

5G, IoT 기기 확산 등으로 사이버보안 위협이 전통산업의 위협으로 전이·증대되어 피해를 유발할 수 있기 때문에, 이를 예방하기 위해 융합 산업에 대한 보안기반을 강화할 필요성이 대두되었다고 합니다.

 

이에, 융합보안 수요자와 산업별 보안성을 시험할 수 있는 리빙랩을 해당 융합서비스 설비가 집적되어 있는 현장에 유관기관·지자체와 협업하여 구축하게 되었다고 합니다.😁

 

(2) 보안 리빙랩 구축 현황

 

- 자율주행자동차 보안리빙랩

- 디지털헬스케어, 스마트공장 분야

 

이후 12월 16일에는 관심있는 기업 등을 대상으로 보안 리빙랩의 이용방법, 장비 등을 안내하고 융합보안 기술 동향과 대응방안을 논의하기 위한 '융합보안 기술 세미나'를 온라인으로 개최한다고 합니다.😀

 

(3) 융합보안 강화를 위한 정보통신망 법·시행령·시행규칙 개정·시행

 

정보통신망법 개정·시행(20.06.09 공포)에 따라 법률에서 규정한 정보통신망법 시행령·시행규칙 개정령이 12월 10일부터 시행된다고 합니다.

 

정보통신망 시행령 개정안의 주요내용은 다음과 같습니다.😀

 

- 정보통신망 연결기기등 범위는 정보보호지침 권고의 대상, 침해사고 시의 대응 및 인증 대상이 되는 '정보통신망연결기기등'의 범위를 융합 분야 대표 산업분야로 규정

- 침해사고 예방은 보안 취약점 신고 포상금을 1천만원 이하에서 지급할 수 있는 근거를 마련하고, 정보보호 조치를 위한 전문기관을 중앙행정기관이 과기정통부와 협의하여 지정

 

정보보호인증 근거는 정보통신망연결기기등에 대한 정보보호 인증제도를 운영하기 위한 조항을 마련했다고 합니다.😁

 

 

 

 

 

출처

www.boannews.com/media/view.asp?idx=93269&page=1&mkind=1&kind=2

10일부터 공인인증서 폐지, 안전한 민간인증서 확산 지원한다

www.boannews.com/media/view.asp?idx=93275&page=1&mkind=1&kind=1

통일부 및 ‘평화 통일 이야기 공모전’ 사칭한 북한 추정 APT 공격 이어져

www.boannews.com/media/view.asp?idx=93278&page=1&mkind=1&kind=2

개인정보위, 개인정보 보호 규정 위반한 LG유플러스에 과징금 부과

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29765&key=&dir_group_dist=&dir_code=&searchDate=

융합 보안 강화 위한 정보통신망법·시행령·시행규칙 개정·시행