20.12.17 ( 의료 영상 이미지 보관 상태 심각, 저작권 침해 사칭 메일 주의, 자율주행차 사이버보안 및 윤리·안전 가이드라인 3종 발표 )

1. 의료 영상 이미지 보관 상태 심각

 

4500만 개의 의료 이미지들을 저장해 둔 스토리지 서버 수만 개가 공공 인터넷에 노출되었다고 합니다.😮

 

이 스토리지 서버들은 디폴트 상태 그대로 있었으며, 보안장치 없이 사용되어 있었다고 합니다.

 

이와 관련하여 보안 업체인 사이벨앤젤(CybelAngel)이 보고서를 발표했다고 합니다.

 

사이벨앤젤은 6개월이 넘는 시간 동안 이런 서버들을 조사했으며, 그 과정에서 3천개가 넘는 서버들이 104번 포트를 통한 연결을 허용해주고 있는 것을 발견했다고 합니다.🤨

 

104번 포트는 의료 이미징 기계들을 생산하는 업체들이 자주 사용하는 포트로, 이 중 50개를 무작위로 선택하여 조사했을 때 44개가 아무런 인증 없이 연결이 가능했다고 합니다.

 

결국 스토리지 서버 및 클라우드 스토리지 서비스들의 환경설정 오류가 아직도 고쳐지지 않는다는 것이 이번 연구결과라고 합니다.

 

이런 유형은 사용자가 스스로 데이터 침해사고를 유발하는 것이며, 해커들이 일으키는 유출 사고보다 사용자들이 실수로 일으키는 유출 사고가 더 심각하다는 연구 결과가 나오기도 했었다고 합니다.😮

 

또한, 의료기관 대부분이 자신들의 데이터가 새나가고 있는 것을 전혀 인지못하고 있었다고 합니다. 정보 유출에 대한 뉴스와 경고가 그렇게 많이 나가도 병원들은 대부분 남의 이야기로 태도가 만연했다고 합니다.🤨

 

사이벨앤젤은 IPv4 전체를 먼저 스캔하고, 최초 스캔만으로 2천만 장의 고유 DICOM 이미지를 찾아낼 수 있었다고 합니다.

 

이 이미지들은 11,000여 개의 보안 설정이 되어 있지 않은 서버들에 저장되어 있었고, 이 서버들은 57개국에 퍼져 있다고 합니다.

 

6새월이라는 조사 기간동안 67개국에 퍼져 있는 2100개 서버들에서 4500만 장의 고유 DICOM 이미지들을 찾아낼 수 있었다고 합니다.

 

주요 국가들은 다음과 같습니다.

- 미국 : 980만개

- 한국 : 960만개

- 러시아 : 880만개

 

하지만 사이벨앤젤은 서버들의 소유주 혹은 관리자들에게 따로 알리지는 않았다고 합니다. 해킹 사고가 일어나지 않은 것이기에 고지의 의무가 없고, 서버의 관리자나 소유주를 파악하는 것이 반드시 가능한 일은 아니기 때문이라고 합니다.

 

그래서 병원들이 알아서 데이터 스토리지를 찾아 설정을 바꿔야 한다고 합니다.😀

 

이에 사이벨앤젤의 수석 사이버 보안 분석가인 시굴라는 다음과 같이 언급했다고 합니다.😀

이런 보고서가 없어도 원래 기업들은 자신들의 클라우드 및 스토리지 서버를 늘 점검해야 합니다. 서버와 스토리지의 설명서를 충분히 읽고 안전하게 설정하는 방법을 숙지해야 합니다. 그런 후 주기적으로 점검하고 업데이트를 해야 하는 것이죠.

 

 

 

2. 저작권 침해 사칭 메일 주의

 

'저작권법 침해가 있어 연락드립니다'와 같은 피싱 메일이 돌아다니고 있다고 합니다.😮

 

메일 내용을 보면 현재 이용하고 있는 '그림' 중에 자신이 제작한 작품을 동의 없이 사용하고 있으며, 법적인 문제를 삼기보다는 원만하게 해결하고 싶으니 내용을 확인바란다 라고 쓰여 있다고 합니다.

 

그리고 압축 파일이 첨부되어 있는데 해당 파일은 국내에서 흔히 사용하는 압축 소프트웨어 '알집'으로 압축을 해제할 수 있는 유형인 ALZ으로 압축되어 있다고 합니다.

 

하지만 이 유형을 쓰는 사람은 드물며, 사용자가 특별히 설정을 만지지 않는 이상 알집에서는 기본적으로 ZIP 형태로 압축을 진행한다고 합니다.😀

 

공격자가 이러한 유형을 쓰는 이유는 특정 국가를 노리기 위한 것으로 추정되고 있다고 합니다. ALZ은 국내에서 주로 사용하는 여러 압축 프로그램(알집, 반디집, 빵집 등)으로만 압축을 풀 수 있으며, 한국어로 작성된 만큼 국내 사용자를 노린 것으로 분류할 수 있다고 합니다.

 

ALZ과 주로 함께 쓰이는 파일 유형은 HWP이며, 대부분의 공공기관 및 학교, 이들과 관련한 기업에서 사용하는 만큼 특정 조직을 노린 공격에 HWP 파일이 쓰이고 있다고 합니다.😀

 

알집 파일을 풀어보면 2개의 파일이 들어있고, 파일 이름은 '이미지 원본와 사용하고 있으신 이미지 정리한 내용 - Copy', '저작권법 관련하여 위반인 사항들 정리하여 보내드립니다'라고 합니다.

 

여기서 주의할 점은 모두 exe 파일이라는 것이라고 합니다.😀

 

해당 파일을 검사하면 'Trojan.Ransom.Makop'으로 분류된다고 합니다. 이는 'Makop 랜섬웨어'라고 하네요!

 

이 악성 파일은 대부분의 무료 안티 바이러스에서 탐지할 수 있다고 합니다.

 

정상적인 안티 바이러스 스포트웨어를 사용하고, 바이러스 정의 DB를 자동으로 업데이트 했다면 이 공격에 피해를 입을 가능성은 낮을 것이라고 합니다.

 

하지만 보안 소프트웨어를 사용하지 않거나 자동 업데이트를 하지 않는 사용자라면 피해를 입을 수 있다네요!

 

이러한 공격들에 예방하기 위해 사용자는 수시로 주요 소프트웨어 및 운영체제 업데이트를 실행해야 하며, 가능하다면 자동 업데이트를 설정해두는 것이 좋다고 합니다.😀

 

그리고 기본적인 보안수칙을 지키고, 폴더 설정에서 확장자를 표시하여 이중 확장자에 속지 않도록 하는것이 좋다고 합니다.😁

 

 

 

3. 자율주행차 사이버보안 및 윤리·안전 가이드라인 3종 발표

 

국토교통부는 15일 자율주행차 윤리 가이드라인, 사이버보안 가이드라인, 레벨4 제작안전가이드라인을 발표했다고 합니다.😀

 

본격적인 자율주행차 상용화 시대를 앞두고 각국의 글로벌 경쟁이 치열해지는 상황 속에서, 자율주행차 운행 알고리즘의 윤리성, 자율주행차에 대한 해킹 위협에 대응하기 위한 사이버보안 등이 날로 중요해지고 있다고 합니다.

 

이런 문제들 특성상 단시간에 제도화하기 어렵기에 기본방향을 제시하는 가이드라인을 발표하게 되었다고 합니다.

 

(1) 자율주행차, 윤리 가이드라인

 

국토교통부와 관련 기관들은 공동 논의를 거쳐 윤리 가이드라인을 합동 발표했으며, 각 기관의 학술지나 소식지 등에 게재할 예정이라고 합니다.😀

 

윤리 가이드라인은 자율주행차가 인명 보호를 최우선하도록 설계 및 제작되어야 한다는 원칙을 중심으로 한다고 합니다.

 

이에 '재산보다 인간 생명을 최우선해 보호할 것', '사고 회피가 불가능할 경우 인명피해를 최소화할 것', '자율차 운행이 타인의 자유와 권리를 침해하지 않도록 할 것', '올바른 운행을 위해 안전교육을 받을 것' 등의 내용이 제시되고 있다고 합니다.

 

윤리 가이드라인은 앞으로 자율주행차의 윤리성에 대한 판단기준이 되는 동시, 제작자 및 이용자 등의 윤리적 행위를 이끌어 낼 수 있는 유인체계의 역할을 할 수 있을 것이라고 합니다.😁

 

(2) 자동차 사이버보안 가이드라인

 

국토교통부는 자동차 사이버보안 국제기준(UNR No.155)을 바탕으로 자동차제작사에 대한 권고안을 주요 내용으로 하는 사이버보안 가이드라인을 마련했다고 합니다.😀

 

권고사항은 제작사가 사이버보안 관리체계를 갖추고, 이에 따라 자동차 사이버보안을 관리해야 한다는 내용이라고 합니다.

 

권고안에 따르면 제작사는 '워험평가 절차'에 따라 위험을 인지분석하며, '보안조치 절차'를 통해 위험 수준을 완화하고 '검증 절차'를 실시해 보안조치의 적절성을 확인하는 등 사이버보안 관리체계상의 절차를 통해 보안을 확보해야 한다고 합니다.😀

 

또한 '제작사는 공급업체나 협력업체의 보안상태도 고려', '자동차 사이버보안 전담기관과 관련 정보를 공유' 등의 내용도 담겨 있다고 합니다.

 

이후 국토교통부는 관련법령의 개정을 통해 권고안을 반영한 국내 사이버보안 기준을 마련(22.07 시행 목표)하여 사이버보안 관리를 의무화할 계획이라고 합니다.

 

또한 보안기준에 따라 자동차 보안을 평가할 수 있도록 자동차안전연구원 내에 자동차 보안센터를 구축하는 사업('21~)도 병행 추진할 예정이라고 합니다.😀

 

(3) 레벨4 자율주행차 제작·안전 가이드라인

 

올해 정부는 레벨3 자율주행차 상용화를 위한 제도를 완비했으며, 완전자율주행차 사용화 기반 구축을 위한 정책을 추진 중에 있다고 합니다.😀

 

국토교통부는 레벨4 자율주행 관련 제도를 마련하기 전, 본 가이드라인을 통해 자율주행차의 안전한 운행·설계·제작에 필수적인 사항에 대한 권고안을 제시함으로써 자율주행 기술개발을 촉진할 계획이라고 합니다.

 

이번 가이드라인은 융복합 미래포럼 연구 결과를 중심으로 마련되었으며,  ‘시스템 안전’, ‘주행 안전’, ‘안전교육 및 윤리적 고려’ 3개 분야와 그에 포함된 13개의 안전항목으로 구성되어 있다고 하네요.😁

 

시스템 안전 분야는 ‘기능안전’, ‘운행가능영역’, ‘사이버보안’, ‘통신안전’, ‘자율협력주행시스템’, ‘무선 소프트웨어 업데이트’ 등 6개 안전항목으로 구성되어 있다고합니다.

 

주행 안전 분야는 ‘주행상황 대응’, ‘HMI’, ‘비상대응’, ‘충돌안전 및 사고 후 시스템 거동’, ‘데이터기록장치’ 등 5개 항목을 제시하고 있다고 하네요!

 

안전교육 및 윤리적 고려는 자율차의 올바른 제작 및 운행을 위한 것으로 '사용자 등 교육훈련', '윤리적 고려' 2개 항목으로 구성되어 있다고 합니다.

 

각 가이드라인은 밑의 사이트(국토교통부 누리집)에서 확인하실 수 있습니다.😁

www.molit.go.kr/search/search2020.jsp?query=%EA%B0%80%EC%9D%B4%EB%93%9C%EB%9D%BC%EC%9D%B8&collection=n_policy&sortField=Date&sort=import&sortOrder=0

국토교통부 검색결과(검색어:가이드라인)

 

 

 

 

 

 

 

 

 

 

 

 

 

출처

www.boannews.com/media/view.asp?idx=93471&page=1&mkind=1&kind=

한국에서도 1천만 장...의료 영상 이미지 보관 상태 심각하다

www.boannews.com/media/view.asp?idx=93477&page=1&mkind=1&kind=

[긴급] 저작권 침해 사칭 메일... 열어보니 따끈따끈한 랜섬웨어가 왔어요

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29787&key=&dir_group_dist=&dir_code=&searchDate=

국토교통부, 자율주행차 사이버보안 및 윤리‧안전 가이드라인 3종 발표