1. 불법 공유된 국내 계정정보 개인정보위원회 대응책 마련

개인정보보호위원회(개보위)가 불법 유통되는 개인정보로 인한 피해를 최소화하기 위해, 관계기관 공동으로 '웹 사이트 계정정보 유출확인 시스템'을 구축·운영하고, 불법 개인정보 DB를 탐지, 삭제 등 대응책 마련에 나섰다고 합니다.😀

최근 유출된 개인정보를 공유하는 해외 웹사이트에서 불법 개인정보 DB를 확보해 분석한 결과, 국내 1,362개 사이트(대부분 중소규모의 민간 및 공공)의 계정정보 2,346만건이 포함되어 있는 것을 확인했다고 합니다.🤨

개보위는 해당 불법 DB에 포함된 계정정보의 진위 여부를 파악하고 있으며, 피해예방을 위해 웹 사이트 관리자에 계정정보 유출 여부에 대한 확인 요청을 했다고 합니다.

또한, 과학기술정보통신부(과기정통부)와 협력하여 주요기업의 최고정보보호책임자(CISO)에 사이버 공격 대비를 공지하는 등 필요한 안전조치를 완료했다고 합니다.

향후 웹사이트 사업자의 점검으로 계정정보 유출사실이 확인된다면 개보위가 공식적인 조사를 진행할 것이라고 합니다.

또한, 주요 이메일 서비스 기업에 해당 불법 DB와 계정이 일치하는 이용자에 대한 추가 보호조치를 완료할 것을 요청했다고 합니다.😀

개보위는 이러한 개인정보 불법유통으로 인한 국민들의 불안감 해소와 피해 예방을 위해 다양한 대책을 추진할 예정이라고 합니다.

- '웹 사이트 계정정보 유출확인 시스템'을 구축 및 운영

- 해당 시스템 구글이 확보한 계정정보 약 40억건을 연동할 계획

- 2022년부터 국내 주요 인터넷기업과 협력하여 웹 사이트 계정정보 DB 확충

이와 관련하여 개보위는 관계부처 및 기관, 주요 인터넷기업과 함께 이번에 확보한 불법 계정정보 DB에 대한 이용자 보호조치 상황을 공유하고 시스템 구축 및 운영방안을 논의했다고 합니다.😀

또한, 인터넷상에 해당 DB의 추가 게시 및 유통 여부를 지속 탐지하여 삭제하고 불법 DB를 상습 게시한 자에 대해서는 수사를 의뢰할 방침이라고 합니다.😁

2. BEC 공격과 EAC 공격은 다르다

이메일은 중요한 통신 수단으로 오랜 시간 자리를 지켜왔습니다. 심지어 현재 코로나로 인해 이메일은 중요한 소통 수단이 된 상태입니다. 하지만 사이버 공격의 시작이 되기도 하며, 많은 피해를 일으키기 때문에 골칫거리라고 합니다.😀 

FBI에 의하면 '기업 이메일 침해(Business Email Compromise, BEC)' 공격으로 인한 피해는 2016~2019년까지 총 260억 달러의 피해를 일으켰다고 합니다.

BEC는 굉장히 광범위한 표현으로, 피해자가 평소 신뢰하고 있던 이메일로부터 들어오는 사기 공격을 의미한다고 합니다.

이러한 BEC는 FBI가 자주 사용하면서 자리 잡게되었는데, 이메일 계정 침해(Email Account Compromise, EAC)와 같은, 보다 구체적인 용어도 존재한다고 합니다.😀

이 두 용어의 차이를 알아야 이메일 기반으로 하는 사이버 공격을 정확하게 묘사하고 대처할 수 있기 때문에 한번 알아보도록 합시다😁

(1) BEC

'이 이메일은 당신이 알고 있는 신뢰하는 사람이나 조직에게서 온 것'이라고 수신자를 속이는 여러 가지 방법들을 의미하는 말이라고 합니다.

BEC 공격에서 가장 중요한 것은 '당신이 아는 곳에서 온 메일이다. 그러므로 당신이 신뢰하고 있다.'라는 걸 어떻게든 주입시킨다는 것이라고 합니다.

이는 피해자가 순진할수록(?) 공격이 성공할 확률이 높아진다고 하네요.😀

(2) EAC

EAC는 진짜 피해자가 신뢰하는 곳에서부터 들어오는 사기 공격이라고 합니다. 이는 공격자들이 다양한 방법을 동원하여 실제 메일 계정을 침해한 후, 그 메일에서부터 사기 공작이 펼쳐진다는 것이라고 합니다.😀

공격자들이 각종 테크닉을 동원하여 정상적인 메일함에 도달하는 것이 키포인트라고 하네요!

EAC가 특히 위험한 이유는 공격자가 인프라 내에 들어와 있는 것이기 때문이라고 합니다. BEC의 경우 공격자가 아직 외부에 있어 순진한 내부자가 밖에 있는 자의 눈속임에 속아 넘어가는 것이라고 합니다.😀

(3) BEC와 EAC의 차이를 알았다면..

BEC와 EAC는 비슷한 유형의 공격이자 위협이라고 합니다. 즉, 보안 담당자는 사용자 이메일 계정을 이 두가지 공격 모두로부터 보호해야 한다고 합니다.😀

하지만 두 개에는 차이가 분명히 존재하므로, 방어 방법에도 차이가 존재한다고 합니다!

BEC의 방어책은 항상 합리적으로 의심하라는 교육부터 시작이라고 합니다. 의심만 하는 것이 중요한 것이 아니며, 의심이 들었다면 송신자에게 전화를 걸어 직접 확인을 하도록 해야 한다는 것라고 합니다.😁

EAC의 방어책은 이메일 계정 보호부터 시작이라고 합니다. 특히 계정 장악을 위한 온갖 공격 시나리오로부터 실질적인 방어 대책이 마련되어 있어야 한다고 합니다.😀

- 완벽한 방어는 없으며, 기업 방화벽 내에서부터 발생되는 이메일 메시지들에 대한 악성 여부 점검 실시

- 외부 메일만 모니터링할 것이 아닌 사내 메일도 모니터링

3. 락빗 랜섬웨어 조직 국내기업 자료 유출 공개 협박

다크웹 유출정보 공개 사이트에 국내 기업정보가 또 등재됬다고 합니다.😥

NSHC 국내 보안전문 기업에 따르면 국내 CAE 시뮬레이션 기업이 락빗 랜섬웨어조직으로부터 공격을 받았으며, 협상이 결렬될 경우 약 4일 뒤 공격 과정에서 유출한 자료가 다크웹에 공개될 수 있다고 협박당하고 있다고 합니다.😮

락빗은 지난해 중순부터 활동하기 시작한 서비스형 랜섬웨어(RaaS)라고 합니다. 개발자는 랜섬웨어 개발 및 지불 사이트 제작 등을 담당하고 유포자를 모은다고 합니다.

유포자는 기업 및 기관 등을 감염시키고, 기업으로부터 건네받은 비용을 개발자와 분배하는 방식이라고 합니다.

락빗 랜섬웨어의 주목할만한 특징은 같은 네트워크에 연결된 다른 PC에 랜섬웨어를 자동으로 배포하는 수평이동 기능이 포함되어 있다고 합니다.

- 랜섬웨어가 실행된 기기의 데이터를 암호화

- 이후 SMB 프로토콜을 통해 다른 PC 및 서버와 연결

- 파워셸 명령을 통해 해당 기기에서도 랜섬웨어를 내려 받아 원격 실행

위와 같은 프로세스로 자체적으로 수행하므로 감염이 확산될수록 확산 속도는 더욱 빨라질 수 밖에 없다고 합니다.🙄

락빗 랜섬웨어 조직은 지금까지 랜섬노트를 통해 암호화한 파일 하나를 자신의 이메일로 보내면 복호하하여 돌려주겠다고 했으며, 파일 복구 가능성을 피해자에게 시연하며 돈을 지불할 가능성을 높였다고 합니다.🤨

하지만 이번 공격에는 기업 데이터를 암호화하는 동시에 이중협박 전략을 선택했다고 합니다.

그리고 현재 대부분의 랜섬웨어 공격들은 이중협박 전략을 구사하고 있으며, 실제로 CLOP 현재 랜섬웨어 조직이 이랜드그룹을 상대로 이중협박 전략을 보이고 있습니다.

이러한 공격 추세 때문에 기업은 네트워크 보호나 암호화 프로세스 차단 등 랜섬웨어에 대응하는 솔루션을 필수적으로 도입하고 유출된 파일을 상대방이 악용할 수 없도록 대책이 필요할 것으로 보인다고 합니다.😁

4. 내년 랜섬웨어 표적 공격 확산 및 협박 수단 다양화

내년 국내외에서 랜섬웨어 해커가 분야를 가리지 않고 대상을 공격할 뿐만 아니라, 다양한 정보를 가지고 협박하는 수단 또한 다양해질 것이라는 전망이 등장했다고 합니다.😮

사이버위협 인텔리전스 네트워크(협의체)는 지난 2014년 12월부터 사이버 위협정보 공유 및 침해사고 공동 대응을 위해 KISA와 NSHC, 빛스캔, 안랩 등 국내 보안업체가 운영하고 있는 네트워크로서, 한국·스리랑카·인도·호주 침해사고 대응팀과 공동으로 '2021년 사이버 위협 시그널'을 7일에 발표했다고 합니다.

협의체는 국내 사이버 위협 시그널로 다음과 같은 내용을 선정했다고 합니다.😀

- 표적 공격과 결합된 랜섬웨어의 위협 확대

- 보안 솔루션을 우회하기 위한 기법 고도화

- 사회기반시설과 중요 인프라를 겨냥한 사이버 위협 범위 확대

- 5G를 이용한 사물인터넷(IoT) 제품의 활성화로 새로운 보안 위협 대두

- 국가 지원 해킹 그룹의 공격 증가와 위협 대상 확대 및 다양화

- 클라우드 서비스 목표한 공격 증가

- 포스트 코로나 시대 비대면 전환 후 보안 사각지대를 노린 사이버 위협 증가

- 거세진 분산서비스거부(DDoS) 공격, 금전까지 요구하는 공격 증가

특히 전 세계적으로 주목해야할 것은 랜섬웨어로 꼽았다고 합니다. 이에 협의체는 다음과 같은 관리가 필요하다고 당부했다고 합니다.😀

- 최신 보안 업데이트 조치

- 출처 불명확한 이메일과 URL 링크 실행 주의 등 기본적인 보안 관리

- 백업 체계 구축 및 보안성 강화 등 철저한 관리

출처

www.boannews.com/media/view.asp?idx=93244&page=1&mkind=1&kind=2

www.boannews.com/media/view.asp?idx=93197&page=1&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=93192&page=1&mkind=1&kind=1

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29756&key=&dir_group_dist=&dir_code=&searchDate=

1. 이랜드그룹 공격한 CLOP 랜섬웨어 조직 신용카드 정보 10만건 공개

이랜드그룹을 공격했던 CLOP 랜섬웨어 조직이 예고한 그대로 3일 18:00 경 신용카드 정보 10만건을 다크웹에 공개했다고 합니다.😨

이전에 이랜드그룹은 랜섬웨어 조직이 공개하는 개인정보는 가짜라며 주장했지만, 공개된 정보를 보았을 때 실제 유출된 카드정보일 가능성이 제기되고 있다고 합니다.😥

블리핑컴퓨터가 인터뷰를 통해 CLOP 랜섬웨어 운영자들의 주장을 들을 수 있었다고 합니다. 인터뷰에 의하면 약 1년 전에 이미 이랜드그룹의 네트워크에 침투했으며, 그 때부터 랜섬웨어 공격이 크게 터질 때까지 사용자들의 개인정보를 누적해 왔다고 합니다. 특히, POS 멀웨어를 심어 신용카드 정보가 꾸준히 쌓여있는 상태라고 주장했다고 합니다.

하지만 이랜드의 주장이 거짓주장은 아니라고 합니다. 랜섬웨어 이전 1년이 넘는 기간 동안 카드 정보를 모음으로 사이버공격에 대한 기업의 방비책을 뛰어넘어 '이중 협박' 랜섬웨어 공격을 성공시켰다는 것을 의미한다고 합니다.

CLOP은 이랜드그룹은 1년동안 의심도하지 않았고 조치도 취하지 않았다고 설명했다고 하네요.🤨

이렇게 이들이 모은 정보는 약 200만 건의 신용카드 정보라고 합니다. 신용카드 번호와 만료일 등의 정보가 포함되어 있는데, CVV 코드는 무사한 것으로 보인다고 합니다. 그래서 공격자들이 할 수 있는 일은 가짜 신용카드를 만들어 오프라인 매장에서 사용할 수도 있다고 합니다.😑

CLOP이 주장하는 것이 사실이라면 랜섬웨어를 방어한다는 것이 보다 종합적인 전략을 필요로 한다는 뜻이 된다고 합니다. POS 공격, 디도스 등 일견 랜섬웨어와 상관 없어 보이는 다른 수상한 현상들이 랜섬웨어로 이어질 수 있으며, 넓은 시야로 방어 전략을 구축하는 것이 보다 안전하다고 합니다.😀

현재 유출된 신용카드 정보의 경우 대부분의 카드사가 포함되어 있는 것으로 드러났다고 합니다. NSHC가 분석한 결과에 따르면 통계는 다음과 같다고 합니다.😥

- 비씨카드 (21,161건)

- 신한카드 (19,860건)

- 국민카드 (19,845건)

- 삼성카드 (9,677건)

- 농협카드 (7,629건)

- 롯데카드 (6,786건)

- 등등

2. KAIST 개인정보 3만 여건 해킹으로 유출

한국과학기술원(KAIST)이 해킹을 당해 교직원 및 학생들의 개인정보가 다수 유출되었다고 합니다.😨

KAIST는 지난 3일 개인정보가 유출된 3만800여명에게 '개인정보 유출 사실 통지 안내'메일을 발송했다고 합니다. 유출된 정보는 이름, KAIST 포털 아이디, KAIST 이메일, 부서 및 학과, 사번 및 학번 등이라고 합니다.

메일에 따르면 지난 11월 11일 KAIST의 전자연구노트시스템에 대한 해킹 의심 시도가 파악되었다고 합니다. 이에 학교 측은 11월 16일 교내 IP 대역에서만 접속이 가능하도록 조치를 취했으며, 이후 점검 과정에서 학생과 교직원의 개인정보가 유출된 사실히 확인되었다고 합니다.😥

이에 KAIST는 "KAIST 포털 접속 비밀번호를 변경하고 관련 피해 및 의심 사례에 대해 신고해 달라"라고 당부하였으며, KISA에 12월 3일 이번 개인정보 유출 사건에 대한 신고를 접수했다고 합니다.😀

3. 2012년 사이버 보안 전망

2021년은 기업 및 사회 환경의 변화(원격근무)가 IT, 보안팀의 핵심 고려사항이 될 것으로 보인다고 합니다.😀

체크포인트 소프트웨어 테크롤지스 코리아가 발표한 2021년 사이버 보안 전망에 따르면 오늘날 81% 기억이 자사 직원에 대한 대규모 원격 근무를 도입했으며, 74%는 원격근무를 상시 가능하도록 계획 중이라고 합니다.

또한, 새롭게 등장하는 랜섬웨어 및 봇넷의 위험, 5G 네트워크 및 확산에 대비한 보안 과제 등에 대해 경고했다고 합니다.😁

(1) 팬데믹

'팬데믹' 분야에서 체크포인트는 '넥스트 노멀(next normal)' 보안 유지를 강조했다고 합니다. 코로나19가 내년에도 영향을 끼칠 것이며, 이로인해 새로운 일상에 대비할 필요가 있다고 합니다.😀

원격 근무를 서둘러 도입한 이후, 기관 및 기업은 애플리케이션과 데이터 보호를 유지하기 위해 새로운 분산 네트워크와 클라우드 배포에 대한 보안을 강화해야 한다고 합니다.

전사적으로 확산된 취약점을 악용해 민감 데이터 침해가 발생할 수 있는 만큼, 모든 포인트에서 위협 방지를 실행하고 자동화해야 한다고 합니다.

또한, 휴교 조치에 따른 원격 학습에 대한 공격 역시 늘어날 전망이라고 합니다. 많은 학교가 E러닝 플랫폼을 활용하고 있으며, 올해 8월 한달간 교육 분야에 대한 주간 사이버 공격이 30% 증가했다고 합니다.🤨

코로나19 이슈를 악용한 공격도 늘어날 전망이라고 합니다. 백신 개발 혹은 새로운 국가 차원의 제한조치에 대한 기사는 사이버 공격자의 피싱 캠페인에 지속적으로 악용될 전망이라고 합니다.

백신을 개발하고 있는 제약사 역시 현 상황을 악용하려는 범죄자나 국가의 악성 공격의 표적이 될 것으로 보인다고 합니다.😮

(2) 멀웨어, 프라이버시 및 사이버 전쟁

체크포인트는 랜섬웨어와 이중협박에 대한 비중이 커질 것으로 보았다고 합니다. 올해 3분기에 이중 협박 랜섬웨어 공격이 급격하게 증가되었으며, 요구하는 금액을 지불하지 않을 경우 데이터를 공개할 것이라고 위협해 기관 및 기업이 해커의 요구사항을 따르도록 추가 압박을 가하는 형태가 내년에도 유행할 전망이라고 합니다.🤨

봇넷 또한 지속적으로 증가할 것이라고 합니다. 해커는 공격을 감행할 때 사용할 컴퓨터 군단을 구축하기 위해 여러 멀웨어군을 봇넷으로 개발했다고 합니다.

다른 국가에 대한 첩보나 주요 사건에 영향을 끼치기 위한 목적으로 국가가 감행하는 사이버 공격은 앞으로 증가할 것으로 보인다고 합니다. MS의 보고서에 따르면, 지난해 3개 국가의 사이버 범죄자가 시도한 해킹 사고가 89%를 차지했다고 합니다.😮

최근 몇 년간 정부는 국가의 중요 인프라를 보호하는데 초점을 맞췄으며 여전히 인프라 보호는 중요하지만, 다른 국가 부문에 대한 공격의 영향을 인지하는 것도 역시 중요하다고 합니다.😁

딥페이크를 통한 가짜뉴스가 여러 선동이나 주가 조작 등 표적화한 공격을 위한 목적으로 쓰일 가능성도 있다고 합니다.

개인정보보호에 관한 이슈 역시 커질 전망이라고 합니다. 많은 사용자가 다양한 접근권한을 요구하는 앱에 정보를 넘겨주고 있으며, 이러한 앱이 정식으로 등록된 경우가 많다고 합니다. 즉, 사용자 계정 정보나 인증서 등을 표적으로 삼는 악성 앱의 위험 역시 커질 것으로 보인다고 합니다.😀

(3) 새로운 5G 및 IoT 플랫폼

5G와 IoT 플랫폼이 확산되고, 네트워크에 연결되는 기기가 늘어날수록 이를 노리는 공격 역시 커질 전망이라고 합니다. 사이버 범죄자들은 이러한 연결성을 표적으로 삼아 공격을 감행하고 장애를 유발할 수 있다고 합니다. 현재 많은 기기와 플랫폼은 방대한 데이터를 수집하고 있는데 이러한 기기와 플랫폼의 공격에 대비해 보호해야 한다고 합니다.😀

5G 네트워크가 출시되면서 네트워크에 연결된 IoT 장비의 수는 대규모로 증가하고, 사이버 공격에 대한 네트워크 취약점이 늘어날 전망이라고 합니다. 하지만 IoT 장치와 클라우드 사이의 연결은 보안에서 '약한 연결고리'에 해당한다고 합니다.

이 때문에 모든 산업과 사업 부문에 걸쳐 계속해서 성장하고 있는 네트워크를 보호하기 위해 전통적인 방법과 새로운 통제를 적용하여 IoT 보안에 총체적인 접근방식이 필요하다고 합니다.😁

4. 클라우드 도입 늘자 보안관제 서비스 수요 증가

최근 코로나 팬데믹 등 요인으로 클라우드 환경을 도입하는 기업 및 기관 조직이 늘면서 클라우드에 저장된 데이터에 대한 보안 수요도 증가하고 있다고 합니다.😀

보안 기업에 따르면 각 사가 제공하는 클라우드 보안관제 서비스의 도입율이 지난해 같은 기간 대비 크게 증가했다고 합니다.

클라우드를 업무에 활용하는 조직들이 이미 보편화되고 있다고 합니다. 클라우드에 기업 데이터를 저장하는 기업들이 절반 가까이 된다는 조사 결과도 있다고 하네요😀

실제 지난 9월 사이버 보안 기업 탈레스가 아시아 태평양 지역 기업의 IT·데이터 보안 담당자 500명 이상을 대상으로 조사한 결과 응답 기업의 45% 가량이 기업 데이터를 클라우드에 저장하고 있다고 합니다.

반면 민감한 데이터를 클라우드에 보관되는 비중도 높은 편이나 관련 보안책은 미흡하다고 합니다. 클라우드에 저장된 데이터 중 42%는 민감 데이터였지만, 보호되고 있는 비율은 52% 정도 도니다고 합니다. 게다가 거의 모든 응답자는 클라우드 내 민감 데이터 중 적어도 일부는 암호화되지 않았다고 답했다고 합니다.😮

클라우드 환경의 데이터를 보호하려는 기업 및 기관들이 보안 관제 서비스를 도입하는 비율이 늘어나고 있다고 합니다.

이에 따라 국내 보안 기업들의 관제 서비스 수요가 늘고 있다고 하네요.😁

출처

www.boannews.com/media/view.asp?idx=93129

www.boannews.com/media/view.asp?idx=93154

www.boannews.com/media/view.asp?idx=93186&page=1&mkind=1&kind=3

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29753&key=&dir_group_dist=&dir_code=&searchDate=

1. 도커도 공격 통로?

최근 도커 허브(Docker Hub)에서 유통되고 있는 도커 이미지들에서 취약점들이 다수 발견되었다고 합니다.😮

절반 이상의 이미지가 이 취약점을 지니고 있으며 대놓고 공격 도구로 사용되는 이미지들이 수천 개에 다다른다고 하네요!

먼저 악성 요소들 혹은 공격을 목적으로 심겨진 요소는 암호화폐 채굴 코드, 악성 자바스크립트 패키지, 해킹 도구 등이었다고 합니다. 오래된 소프트웨어에서 기인한 취약점을 하나 이상 내포한 이미지는 400만 개 중 51%, 고위험군 취약점을 가진 이미지는 13%로 기록되었다고 합니다.

소프트웨어 공급망은 보안에서 간과할 수 없는 공격 경로가 되어가고 있다고 합니다. 이는 공급망의 중간중간 여러 악성 요소를 삽입하는 방법을 공격자들이 계속해서 개발하고 있기 때문이라고 합니다.😀

지난 10월 발표된 한 보고서에 의하면 도커 컨테이너들은 오래된 소프트웨어의 보고라고 했다고 합니다. 이는 취약한 소프트웨어들이 가득 저장되어 있다는 의미이며, 해당 보고서를 통해 전문가들은 특히 의료 이미징 분석에서 사용되는 컨테이너들에서 많은 취약점을 찾아냈다고 알려왔다고 합니다.😮

그래서 프레바시오의 보안 전문가 알렉스 엑켈베리(Alex Eckelberry)는 다음과 같은 말을 했다고 합니다.

기업들이라고해서 의료 분야보다 더 낫다고 할 수 없습니다. 기업 한경에서 사용되는 기업형 애플리케이션들, 특히 구조가 복잡한 애플리케이션들은 이제 도커 표준 사양인 것처럼 도입하고 있습니다. 대기업 다수에서 도커를 다양한 형태로 활용하고 있으며, 이러한 환경은 공격자들에게 공격 활로가 되고 있는게 사실입니다.

프레시바이오는 400만 개의 이미지를 분석하여 0.16%(6,433개)에서 악성 요소들을 발견했다고 합니다. 이는오픈소스 스캐너인 클램AV(ClamAV)로 식별하는데 성공한 것이만이라고 합니다.😀

그리고 다음과 같은 말을 언급했다고 합니다.

정적 분석을 했을 때는 아무런 악성 요소가 없는 이미지가 대부분 이었습니다. 이런 이미지들은 시동이 걸리면 다른 곳에서부터 멀웨어 코드를 다운로드 받아 실시하는 것들입니다.

2.이랜드그룹 협박 클롭 랜섬웨어 조직

이랜드그룹의 서버에 침투해 클롭(CLOP) 랜섬웨어를 유포시킨 해커조직이 이랜드그룹 고객들의 신용카드 정보를 공개 했다고 합니다. 하지만 이랜드에서는 조작된 정보라고 했으며, 실제 유출정보인지는 확인되지 않은 상태라고 합니다.😣

클롭 랜섬웨어 조직이 공개한 내용을 보면, 해킹한 기업들의 웹사이트 주소를 나열하고 각각 기업들에 대한 협박 메시지를 언론에 공개하는 공식 보도자료인 것처럼 표기했다고 합니다.

이랜드 그룹의 경우 회사명과 산업군, 서비스 분야를 표기한 후 오늘부터 매일 10만개의 신용카드 정보 덤프를 업로드할 것이라고 협박 메시지를 남겨 놓은 상태라고 합니다.

11월 22일 이랜드그룹 서버를 공격한 클롭 랜섬웨어 조직은 이랜드 측에 약 445억원의 비트코인을 요구했으며, 지불할 시 서버 공격을 통해 빼낸 카드정보 약 200만 건을 삭제하고 파일 역시 복구하게 해주겠다고 제안했다고 합니다.🤨

이에 이랜드그룹은 정당한 방법으로 대응하는 것을 대원칙으로 삼고 내부 인트라넷 및 데이터 복구에 최선을 다하겠다고 언급했다고 합니다.😀

또한 유포한 고객정보는 조작된 정보임에 분명하다고 하며, 실제로 고객 정보는 공격한 곳이 아닌 완전 차단된 다른 시스템에 보관되어 있다고 합니다.😀

3. 패스워드 필요 없는 인증 FIDO

일반적인 계정 인증 방식보다 안전하고 편리하게 바꿀 수 있는 차세대 표준 기술로 패스워드를 사용하지 않는 '패스트아이덴티티온라인(FIDO)'이 주목받고 있다고 합니다.😀

(1) 스마트폰에 지문 대면 보안 출입문이 누군지 알아본다.

보안 상 공간 출입을 통제하는 시설들이 많이 있습니다. 이런 시설에서 각 출입문 근처에 사용자 인증 장치를 두고, 인증된 사용자만 출입을 허용하는 식으로 시설 관리가 되어 있는게 대부분입니다. 게다가중요한 시설이라면 인증 절차가 더운 까다로워지는 편입니다.

이번 해커톤에서 금상을 수상한 팀은 보안 시설 출입을 간편하게 만들어주는 솔루션을 개발했다고 합니다. 작동과정은 다음과 같다고 합니다.

- 사용자가 보안 시설 출입문에 다다르면 출입문에서 정보를 블루투스로 송출

- 사용자 스마트폰이 이 정보를 수신하면 알람의 띄우고 FIDO 기반 생체인증

- 사용자의 인증 완료 정보와 출입문 정보가 시설 운영 기관의 서버로 전송

- 이 서버에 전송된 정보는 FIDO 서버에 전송되고 정보를 확인해 인증이 승인되면 출입문 잠금 해제

사용자가 문에 접근하는 것만으로 절차가 이루어지고 생체 인증만 끝내면 문이 자동으로 열리게 되는 방식이라고 합니다.😁

(2) 스마트홈 데이터, FIDO 인증으로 철통 보호

은상을 수상한 팀이 FIDO 인증 기반의 스마트홈 기기 통합 관리 앱을 개발하였으며, 스마트홈 생태계의 보안 강화를 위해 FIDO 기술을 융합했다고 합니다.

이는 패스워드 기반 인증을 채택한 기존 앱 대비 해킹 위험을 줄일 수 있다고 강조했다고 합니다.

앱 상에서, 집 방문개도 IoT기기를 쉽게 사용할 수 있게 하면서 동시에 보안 상의 허점이 발생하지 않도록 일회용 패스워드 기능을 활용하는 방식을 택했다고 합니다.😀

(3) 도용 잦은 건강보험증, DID+FIDO로 꼼꼼한 신원확인

은상을 수상한 다른 팀은 분산ID(DID) 기술과 FIDO를 연계한 스마트 건강보험증 발급 서비스를 선보였다고 합니다.

실물 형태의 건강보험증 사용에 따른 불편함과 실제 의료 현장에서 환자의 신원확인이 제대로 이루어지지 않아 건강보험증 도용 사례 등이 상당하다는 문제를 파악하고 서비스 개발에 착수 했다고 합니다.😀

이는 비대면 환경에서도 의료 신원인증을 지원할 수 있으며, 정보 주체가 의료 데이터에 쉽게 접근할 수 있는 기반을 구상했다는 점에서 의의가 있다고 하네요!

이는 사용자가 건강보험증을 발급받은 보안 USB를 활용하며, 생체인증을 통한 신원인증 절차를 결합하는 식으로 구성되었다고 합니다.😁

(4) 재택근무 시 안전한 업무 문서 관리

동상을 수상한 팀은 FIDO 인증체계를 접목한 문서 파일 공유 시스템을 개발했다고 합니다. FIDO 인증을 통해 파일 열람 권한을 부여, 평문 형태의 패스워드를 사용하는 방식 대비 안전하고 편리한 체계를 구축했다고 합니다.😀

이 외에 추가로 토큰을 통해 일정 시간 내에만 파일을 열람할 수 있는 시스템을 구축했다고 합니다. 이는 사내 인트라넷이 아닌 외부에서 파일을 사용하는 환경에서도 안전성을 갖출 수 있게 되었다고 합니다.😁

출처

www.boannews.com/media/view.asp?idx=93080&page=1&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=93094&page=1&mkind=1&kind=

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29737&key=&dir_group_dist=&dir_code=&searchDate=

1. 교육기관 특화한 가명정보 처리 가이드라인 공개

교육부와 개인정보보호위원회(개보위)가 개인정보보호법 개정안 시행에 따른 '교육분야 가명·익명정보 처리 가이드라인'을 공개했다고 합니다.😀

이는 교육 분야의 특성을 반영해 안전한 가명정보 처리와 활용을 위해 제작했다고 하네요!

가이드라인 세부 내용에 대해 개인정보보호 현장지원단, 대학, 법조계 등 전문가와 협조하고, 대국민 의견 수렴을 진행했다고 합니다.😁

개인정보처리자가 가명정보 처리과정 전반에서 갖춰야 할 단계별 산출물과 관리대장의 기록, 관리 등을 제시하고 가명·익명정보의 안전한 관리 및 사후관리 체계를 마련하여 정보 주체의 권익을 보호하도록 했다고 합니다. 또한, 가명처리뿐만 아니라 익명처리를 위한 기준과 익명정보 사후관리 방안도 제시했다고 합니다.😀

개인정보처리자는 개보위가 기존에 안내했던 '가명정보 처리 가이드라인'을 기본적으로 준수하되, 교육행정 기관, 학교 및 교육부장관의 지도 감독을 받는 공공기관 및 단체 등은 교육 분야 가이드라인을 우선 적용한다고 합니다.

가명처리 후 처리결과 및 재식별 가능성에 대해 별도의 위원회를 통해 적정성 검토를 거치도록 권장하고 다른 분야의 데이터를 제공할 경우 위원 중 반드시 외부전문가를 포함하도록 했다고 합니다.

사후관리를 위해 가명·익명 정보 제공에 대한 대장을 기록·관리하고 활용에 따른 재식별 가능 여부 등에 대한 정기 점검을 해야 한다고 합니다.

가명정보를 제3자에게 제공하는 경우, 가명정보에 대한 보호대책을 계약서에 포함해야 한다고 합니다. 또한, 소규모 단위 또는 전문인력 부재 등으로 가명정보 처리가 어려운기관을 지원한다고 합니다. 이를 위해 상급기관이나 한국교육학술정보원의 교육분야 개인정보보호 전문기관을 통해 지원받을 수 있도록 했다고 하네요.😁

2. 공공 '서비스형 데스크톱(DaaS) 보안인증 체계' 확정

과학기술정통부(과기부)와 한국인터넷진흥원(KISA)은 클라우드 보안인증제 대상 분야에 '서비스형 데스크톱(DaaS, Decktop as a Service)'을 추가하고 보안인증체계를 확정, 심사인증에 적용한다고 합니다.😀

클라우드 보안인증제란, 공공기관에 클라우드 서비스를 제공하고자 하는 민간 사업자가 자사 클라우드 서비스에 대한 보안인증을 요청하면 KISA가 평가 및 인증하는 제도라고 합니다!!

DaaS는 클라우드 방식으로 빌려 쓰는 시스템이라고 합니다. 정부에서 보안인증 받은 DaaS가 도입되면 인터넷전용 PC를 따로 둘 필요가 없으며, 안전한 인터넷용 가상PC를 사용할 수 있다고 합니다.😀

이에 과기부는 DaaS가 공공기관에 원활히 도입될 수 있도록 DaaS 분야 클라우드서비스 보안인증 체계를 국가정보원과 사전협의했으며, 기업 의견수렴을 거쳐서 마련했다고 합니다.

DaaS 인증항목은 110개로, 기본적으로 laaS인증 기준과 유사하다고 합니다. 하지만 DaaS 특화 항목이 추가된다고 하네요.😀

기존 laaS 보안인증을 획득한 사업자는 추가 사항만 별도로 인증을 획득하면 되기에 빠른 시간내에 DaaS 인증을 획득할 수 있다고 합니다.😁

3. 다크웹에서 기업 고위경영자 계정 판매

블랙마켓에 수백명의 기업 CEO와 CFO 이메일 계정과 액세스 권한을 판매하고 있는 것으로 조사되었다고 합니다.😮

사이버 범죄자들은 기업 고위경영진들의 계정을 100$ ~ 1,500$까지 받고 판매하고 있다고 합니다.

지난 미국 범무부는 Fxmsp라는 해커가 전 세계 300개 이상 조직을 해킹하고 네트워크에 대한 액세스 권한을 판매하여 기소한 적이 있다고 합니다.

네트워크에 대한 액세스 권한을 얻게 되면 맬웨어나 트로이목마를 배포해 계정을 수집하고 시스템에 지속적으로 접근할 수 있는 토대를 구축하게 된다고 합니다!

Fxmsp는 지난해 특정 보안 회사의 네트워크에 침투하여 장기 액세스 권한을 획득한 것으로 확인되었다고 하네요🤨

4. 산업제어시스템에 사용되는 실시간 자동화 장치 보안취약점 발견

보안 기업 Claroty 보안 연구원은 원격 공격자가 산업제어시스템(ICS-SCADA)을 해킹하기 위해 악용할 수 있는 실시간 자동화(RTA) 499ES EtherNet / IP (ENIP) 스택의 중대한 결함을 발견했다고 합니다.😀

이 결함은 CVE-2020-25159로 CVSS에 의해 심각도 9.8점으로 평가되었다고 합니다!

2.28 이전에 출시된 모든 버전의 EtherNet / IP 어댑터 소스 코드 스택에 영향을 미친다고 하네요.😀

이 취약점으로 DoS가 발생할 수 있으며 다른 조건에 따라 이전 버전의 프로토콜을 실행하는 장치가 원격 코드 실행에 노출될 수 있어 위험하다고 합니다.

RTA의 ENIP 스택은 산업 자동화 시스템에서 널리 사용되고 있다고 하네요!

오라인에 노출된 시스템만 8,000개 이상이며, 한국에서도 해당 취약점을 해결하기 위해 ENIP 스택의 최신 버전으로 업데이트해야 한다고 합니다😀

출처

1. www.boannews.com/media/view.asp?idx=92932&page=2&mkind=1&kind=2

2. www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29714&key=&dir_group_dist=&dir_code=&searchDate=

3. www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29724&key=&dir_group_dist=&dir_code=&searchDate=

4. www.dailysecu.com/news/articleView.html?idxno=117664

1. 지포스 RTX 3080 판매 피싱 사이트 주의

최근 품귀현상을 일으키는 '엔비디아 지포스 RTX 3080 그래픽카드'의 판매 페이지로 위장한 피싱 사이트를 발견했다고 합니다.😀

공격자는 먼저 해당 그래픽 카드 판매로 위장한 피싱 사이트를 제작하여 URL을 유표했다고 합니다.

유명 컴퓨터 용품 온라인몰을 사칭하여 정상 페이지와 비교해볼 때 매우 유사하게 제작되었으며 URL도 정상 URL의 일부만 변조했기 때문에 가짜임을 알아채기 힘들다고 합니다.

현재 정상 판매 페이지 상에는 해당 상품이 '품절'처리 되어 구매 불가능하다고 합니다.😀

피싱 사이트에서 구매하기를 누르면 가짜 로그인 페이지로 이동하게 됩니다. 하지만 계정 정보를 입력해도 '회원정보를 찾을 수 없습니다'라는 메시지가 나타나며 비회원 주문을 유도한다고 합니다.

그리고 비회원 주문을 누르게 되면 주문서 작성 및 결제 페이지로 이동하게 됩니다. 무통장 입금 결제만 가능하도록 제작되었으며 공격자는 특정 계좌번호를 안내해 거래대금 입금을 유도한다고 하네요.😀

그리고 회원 로그인 시도 시 입력한 계정 정보와 배송을 위한 사용자 이름, 연락처 등의 개인정보도 공격자에게 전송된다고 합니다.🤨

2. 게임분야 글로벌 광고 해킹 행위 급증

최근 1년간 광고 해킹이 전 세계적으로 모든 산업군에 걸쳐 증가하고 있으며, 사람의 활동을 모방하는 사례도 증가했다고 합니다.😮

조사 결과, 해커들은 광고에 따른 유료 앱 설치 숫자를 임의로 증가시킬 뿐만 아니라 불법 조작을 감추기 위해 다른 마케팅 활동과 연관 없이 자연 증가한(오가닉) 앱 유입 수와 앱 설치 수도 변조하고 있었다고 합니다. 약 2억건의 앱 설치 거부 건 중 3분의 2가 자발적인 설치(오가닉 설치)였으며, 나머지 3분의 1만 광고로 유발된 설치였다고 합니다.

겉으로 보이게 직접적인 금전 손해는 없지만, 허위 축소된 오가닉 앱 설치 건수는 데이터 무결성을 훼손하고 마케팅 활동에 대한 경험 축적을 방해한다고 합니다.

결과적으로 광고 해킹이 만연하고 데이터 정확성이 떨어지는 추세가 지속되면 기업은 가시적인 판단을 하기 어렵다고 합니다.😔

게임 분야를  예를 들어 2019년 8월부터 1년 동안 전 세계적으로 해킹 비율이 172.95%가 증가했다고 합니다.

광고 해킹은 전 세계적인 문제로 해커들은 모든 시장에서 활발히 활동하고 있다고 합니다.

모바일 광고 생태계에서 가장 많이 사용되는 해킹 방법(가짜 사용자나 봇 사용)을 조사하여 다음과 같은 결과가 나왔다고 합니다.😀

- 글로벌 평균 : 54.6%

- 한국 : 84.9%

- 미국 : 68.7%

- 중국 : 65.6%

- 일본 : 60.7%

업종별 분석 결과(가짜 사용자나 봇 사용)는 다음과 같습니다.

- 게임 : 64.6%

- 전자상거래 : 36.6%

- 엔터테인먼트 : 32.4%

- 기업 : 24.1%

- 식음료 : 16.9%

3. 안전한 가명정보 활용을 위한 기술지원허브 운영

개인정보보호위원회(개보위)와 한국인터넷진흥원(KISA)이 올해 시행된 개인정보보호법 개정안이 안착하고, 안전한 가명정보 처리를 지원하기 위해 '가명정보 기술지원 허브' 서비스를 공동으로 제공한다고 합니다.

기술지원허브는 가명정보 제도에 대한 국민의식을 높이고, 가명·익명 처리에 실질적 어려움을 느끼는 중소기업 및 스타트업 등을 지원할 계획이라고 합니다.😀

먼저 가명정보 제도 및 가명처리, 결합 관련 문의 증가에 따라 118 상담센터 및 개보위·KISA 담당부서를 통한 단계별 안내·상담과 Q&A 게시판을 통한 온라인 지원을 제공한다고 합니다.😀

교육은 가명정보 활용에 대한 이해가 필요한 국민, 기업, 기관을 대상으로 난이도별 기초교육을 제공한다고 합니다. 그리고 안전한 가명정보 처리를 위한 계획 수립, 기술지원 등 컨설팅 서비스도 함께 제공한다고 합니다!😁

테스트베드에서는 가명처리 실습을 위한 샘플 데이터셋을 바탕으로, 국제적으로 통용되는 비식별 처리기술과 가명정보 결합키 생성 기술을 습득할 수 있다고 하네요!

가명정보 결합 종합지원시스템은 서로 다른 개인정보처리자의 가명정보처리자의 가명정보에 대한 결합을 지원하는 시스템으로, 결합싱청시스템, 결합키연계정보 생성시스템으로 이루어져 있다고 합니다.

가명정보를 결합하려는 경우 사전협의, 필요서류 구비 등 준비를 마친 후 가명정보 결합 종합지원시스템을 통해 결합을 신청하면 된다고 합니다.😀

이 서비스는 2020년 11월 20일부터 개인정보보호 종합포털 홈페이지를 통해 신청할 수 있다고 하네요😁

4. 시스코 화상회의 WebEx 사용시 주의

시스코 WebEx 화상 회의 프로그램 취약점으로 다른 참가자들에게 보이지 않게 '고스트' 참가자로 잠입할 수 있다고 합니다.😮

이 취약점은 IBM의 보안 연구원들이 발견하였으며 공격자가 3개 취약점을 활용할 경우 다양한 공격이 가능하다고 언급했답니다.

- 참가자 리스트에는 보이지 않지만 음성, 영상, 책, 화면 공유 모두 접근 가능

- WebEx 회의에서 추방당한 경우에도 음성 들을 수 있음

- 성명, 이메일 주소, IP 주소를 포함한 회의 참가자에 대한 정보 수집 가능

IBM 연구원들은 이 취약점이 새로운 WebEx 회의가 설정될 때 발생하는 핸드셰이크 프로세스에 존재한다고 밝혔다고 합니다.😀

해당 취약점에 대한 내용은 기사 원문에 첨부된 영상을 보면 자세히 나와있다고 하니 궁금하신분들은 들어가서 시청하시면 되겠습니다!!😁

출처

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29696&key=&dir_group_dist=&dir_code=&searchDate=

www.boannews.com/media/view.asp?idx=92739&page=1&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=92744&page=1&mkind=1&kind=

www.dailysecu.com/news/articleView.html?idxno=116810

1. 기업들 IT 환경 복잡성 증가로 랜섬웨워 공격 위협 증가

전 세계 엔터프라이즈 데이터 보호 및 가용성 분야의 글로벌 기업 베리타스코리아는 복잡한 하이브리드 멀티 클라우드 환경에서 기업들이 직면하고 있는 랜섬웨어 리스크 조사 결과를 발표했다고 합니다..😀

베리타스는 올해 9월 랜섬웨어 공격에 대한 기업의 대비 및 레질리언스 수준 파악을 위해 전 세계 2,690명의 IT 의사결정자들을 대상으로 "2020 Ransomware Resiliency Report"를 실시했다고 합니다.

조사 결과로 글로벌 응답 기업의 64%가 자사의 데이터 보호 인프라에 대한 IT 복잡성을 따라가지 못하고 있다고 합니다. 이는 점점 복잡해져가는 환경에 랜섬웨어 공격 대응 체계는 미흡한 상황을 보여준다고 하네요.😓

(1) 멀티 클라우드 사용으로 더 복잡해지는 IT 인프라

전 세계적으로 기업들은 평균 11.73개의 클라우드 서비스 제공 업체를 사용하고 있는 것으로 나타났다고 합니다.

- 5개 ~ 20개 사이의 클라우드 서비스 사용(45%)

- 20개 이상의 클라우드 서비스 사용(16%)

국내의 경우, 응답 기업 37%가 5개의 이상의 클라우드 서비스를 사용하고 있는 것으로 나타났으며, 응답 기업의 40%는 온프레미스, 프라이빗, 퍼블릭을 균등하게 복합적으로 사용하는 것으로 나타났다고 합니다.😮

(2) 멀티 클라우드 사용 및 IT 환경 복잡성으로 랜섬웨어 리스크 증대

일반적으로 기업들은 랜섬웨어에 감염되면, 해커에게 금액을 지불하고 정보 반환을 요청한다고 합니다. 앞서 조사에 따르면 멀티 클라우드 인프라가 더 복잡한 기업일수록 이러한 비용을 지불할 가능성이 더 높은 것으로 나타났다고 합니다.😀

랜섬웨어에 당했던 국내 기업들의 경우 클라우드 서비스 이용 수는 다음과 같다고 합니다.

- 전액 지불한 기업들의 평균 클라우드 수 : 12.36 개

- 일부 비용만 지불한 기업들의 평균 클라우드 수 : 7.12 개

- 비용을 지불하지 않은 기업들의 평균 클라우드 수 : 4.83 개

랜섬웨어 공격으로 전액지불한 그룹을 클라우드 서비스 사용 개수를 기준으로 보면 다음과 같다고 합니다.

- 5개 미만 클라우드 서비스를 사용하는 국내 기업 : 33%

- 20개 이상 클라우드를 사용하는 기업 : 86%

또한 비용 지불 유무로 확인해보면 다음과 같이 나왔다고 합니다.

- 5개 미만 클라우드 서비스를 사용하는 국내 기업들 중 랜섬웨어 공격을 당한 뒤 비용 지불하지 않음(44%)

- 20개 이상의 클라우드를 사용하고 있는 국내 기업들은 전액 또는 일부 비용을 지불

(3) 복잡한 IT 환경일수록, 랜섬웨어 레질리언스 저하

클라우드 아키텍처의 복잡성은 랜섬웨어 공격 후 기업의 회복 능력에도 상당한 영향을 미쳤다고 합니다.😀

다음은 24시간 안에 랜섬웨어 복구한 경우입니다.

- 5개 미만 클라우드 서비스를 사용하는 기업 : 43%

- 20개 이상 클라우드 서비스를 사용하는 기업 : 18%

이에 반면 국내에서는 응답 기업의 25%가 랜섬웨어 공격으로 인해 1달 이상 비지니스 운영에 어려움을 겪었다고 합니다..😣

(4) 기업들 IT 환경의 복잡성 증가로 랜섬웨어 공격 위협 우려

많은 기업들이 자사의 데이터 보호 인프라의 문제의 심각성을 인지하고 있는 것으로 나타났으며, 전체 응답자의 36%만이 자사 데이터 보호 인프라가 IT 복잡성에 맞춰 잘 구축되고 있다고 합니다.😀

또한, 응답자들은 IT 환경의 복잡성으로 인해 가장 우려되는 것은 랜섬웨어 공격과 같은 외부 위협을 꼽았다고 합니다.(37%)

실제 기업 IT 인프라의 혁신 속도와 IT 복잡성을 따라 가지 못하고 격차가 계속 커질 경우, 랜섬웨어 공격, 다운타임 등의 영향을 받을 수 있다고 합니다. 국내 응답 기업의 경우, 응답자의 61%가 IT 복잡성에 따른 보안 위협에서 조직의 보안이 떨어진다고 답했다고 합니다.😮

2. 최근 랜섬웨어 사례 및 대응방안

최근 KISA 침해사고분석단 사고분석팀이 '최근 기업 대상 랜섬웨어 사고사례 및 대응방안' 보고서를 발표했다고 합니다.😀

(1) 윈도우 서버 대상 비트라커(BitLocker) 랜섬웨어 사고 사례

최근 윈도우 서버를 대상으로 한 랜섬웨어의 양상이 진화했다고 합니다. 기존에는 서버에 침투하여 관리자 권한을 획득한 후 랜섬웨어 파일을 실행시켜 암호화 후 복구를 대가로 금전을 요구했다고 합니다.

하지만 최근 공격자들은 백신 및 랜섬웨어 대응솔루션을 우회하기 위해 랜섬웨어 파일을 직접 실행하는 것보다 운영체제에 기본적으로 내장된 디스크 암호화 기능인 비트라커를 이용하여 디스크를 암호화한 후 복구를 대가로 금전을 요구하는 사례가 증가하고 있다고 합니다.

이에 보고서에는 취약점 보완, 모니터링 등을 통해 피해를 입지 않도록 미리 예방할 것을 강조했다고 합니다.😀

(2) 리눅스 대상 고너크라이(GonnaCry) 랜섬웨어 사고 사례

최근 호스팅사를 대상으로 하는 랜섬웨어 해킹사고가 발생했다고 합니다. 웹호스팅사에서 랜섬웨어 침해사고가 발생하는 이유는 크게 두가지라고 합니다.

- 첫째, 단일 웹 서버에 비해 공격 포인트가 많다.

- 둘째, 서버 서비스의 최신 보안업데이트를 적용하기 어렵다.

위 두 사례 모두 인터넷에 공개된 웹서버의 취약점이 출발점이라고 합니다. 이후 각 단계마다 공격자의 추가 침투를 막을 수 있으나, 적절히 대응이 되지 않아 큰 피해가 발생했다고 합니다.😶

랜섬웨어는 공격이 통하지 않도록 예방하는 것이 최선이지만, 만약 공격을 당하더라도 빠르게 복구 및 정상화할 수 있도록 주기적으로 오프라인 백업을 해두는 것이 차선책이라고 합니다.

또한, 공격의 대상이 되는 것을 피하기 위해 외부에서 기업 네트워크로 들어올 수 있는 경우의 수를 최소화하고 잠그는 것이 중요하다고 합니다. 이를 위해 원격 접근 권한을 최소한으로 하고 비정상 접근에 대해 상시 모니터링 해야한다고 합니다.😀

하지만 웹서버와 같이 반드시 외부에 열려 있어야 하는 시스템의 경우 외부 접근을 막을 수 없기 때문에 내부 서버간의 접근 제한이 필요하다고 합니다.

랜섬웨어에 대비하기 위해 보고서를 한번 읽어보는 것도 좋을 것 같네요!😁

KISA, 최근 기업 대상 랜섬웨어 사고사례 및 대응방안 보고서↓

www.boho.or.kr/data/reportView.do?bulletin_writing_sequence=35798

3. 금융보안원이 발간한 금융회사 재택근무 보안 안내서

2021년 1월 1일부터 '전자금융감독규정 시행세칙' 개정안이 시행됨에 따라 금융회사 임직원이 외부에서도 회사 내부망에 원격에서 접근할 수 있게 되었으며, 정보보호 통제사항을 강화한다고 합니다.😀

금융보안원은 이러한 개정안 시행에 대비해 금융권이 재택근무 시 준수해야 할 사항을 쉽게 설명한 '금융회사 재택근무 보안 안내서'를 발간했다고 합니다.😁

해당 안내서는 재택근무 시 보안 고려사항을 여러가지로 구분하고 이를 '의무 사항'과 '권고 사항'으로 나누어 제시한다고 합니다.😀

재택근무자가 사용하는 외부 단말기는 백신프로그램을 설치, 윈도우7 등 기술지원이 종료된 운영체제 사용 금지하며, PC가 아닌 모바일 기기 사용 시 추가적인 보안대책 역시 필요하다고 합니다.

외부 단말기를 VDI(가상 데스크톱)나 원격 제어 방식이 아닌, 내부망에 직접 연결하는 경우 외부 저장장치 사용을 금지하며, 단말기 분실에 대비한 보호조치를 적용해 업무 자료 유출위협에 대비해야 한다고 합니다.😀

통신회선의 경우 외부 단말기의 내부망 접속 시 가상사설망(VPN)을 사용하고, 누구나 접속할 수 있는 개방형 통신회선 사용을 제한한다고 합니다.

또한, 접속 가능한 IP 주소 등은 최소한으로 제한하고, 비인가자 접속을 방지하기 위해 2차인증(멀티팩터 인증)을 적용해야 한다고 하네요😁

출처

www.dailysecu.com/news/articleView.html?idxno=116713

www.dailysecu.com/news/articleView.html?idxno=116752

www.boannews.com/media/view.asp?idx=92705&page=1&kind=2

1. 보안사고 대응전략, 피해감소에 집중

최근 대형 침해사고로 이어지는 공격들은 특정 타깃을 오랜 기간 관찰해 정보를 획득하고, 스피어 피싱과 같은 타깃형 공격을 이용해 내부 네트워크로 침투하는 전략이 주로 사용된다고 합니다.😀

타깃형 공격에 대응하기 위해 공격 타깃의 업무특성 및 보유자산으로 인한 피해 분석과 추가 발생 가능한 공격에 대한 예측이 필요하다고 합니다.

따라서 자사의 위협 노출에 대해 구체적으로 문제점을 파악하고 관리적기술적 대응방안을 마련해야 하며, 이를 위해 공격 타깃과 공격 기법에 따른 기존 사고 사례 분석이 수반되어야 한다고 합니다.😁

최근 TTPs(Tactics, Techniques, Procedures) 단위로 공격자 혹은 공격그룹을 프로파일링하는 트렌드가 유행하고 있는데, 이는 IoCs(Indicators of Compromise) 단위의 단발성 대응이 아닌 TTPs 분석을 통해 지속적으로 공격을 대응할 수 있기 때문이라고 합니다.

하지만 공격자 관점의 분석과는 다른 관점인 방어자 관점에서 피해 발생 가능한 유형을 구분하고, 방어 전략을 마련할 수 있는 연구는 미진한 실정이라고 하네요.🤨

이러한 문제를 해결하기 위해 KISA 침해대응센터는 방어자가 구체적인 방어 전략을 수립할 수 있도록 공격 타깃별 발생 가능한 침해사고 시나리오 분석과 공격도구가 어떠한 기능을  사용하는지 소개하는 "스피어피싱 공격 타깃별 피해 시나리오 분석(악성행위에 사용되는 도구를 중심으로" 기술보고서를 업데이트했다고 합니다.😁

보고서는 타깃이 보유하고 있는 자산으로 인해 기업에게 미치는 피해를 분석하고, 최종적으로 감염된 악성코드가 어떻게 동작하는지 설명하고 있다고  합니다.

이를 위해 침해사고에서 보편적으로 이용되는 악성코드가 어떤 기능을 갖고 있으며, 쉽게 이용가능한지 소개하고 있다고 합니다.

또한, 시나리오를 구현 및 검증함으로써, 제안하는 시나리오가 실제로 발생할 수 있는 현실이고 자사에 발생할 수 있는 실질적 위협임을 인식토록하는 것이 목적이라고 합니다.😀

보고서를 한번 읽어보고 공부해보는 것이 좋을 것 같다는 생각이 드네요!😁

2. 온라인 데이팅 서비스 범블, 1억 명 사용자 정보 노출

온라인 데이팅 서비스 범블(Bumble)에서 사용자의 민감 정보가 대량으로 유출되었다고 합니다.😮

이번 사건은 API 취약점들에 기인했다고 합니다. 이를 발견한 보안전문가인 산자나 사르다는 이 API 취약점들을 익스플로잇하여 범블의 유료 서비스를 공짜로 이용하고 다른 사용자의 개인정보에도 접근했다고 합니다.

사르다는 "이 취약점은 무척 찾기 쉽다. 서비스 개설자 입장에서 좀 더 꼼꼼하게 기본 확인 사항만 검사했어도 없을 문제이다. 취약점을 처음 발견하는데 걸린 시간은 딱 이틀이었습니다. 그리고 다시 이틀만에 개념증명용 익스플로잇을 개발했습니다. API 취약점은 널리 알려지지 않았지만 현재 IT 인프라에서 API는 꽤나 위험할 수 있는 요소입니다." 라고 언급했다고 합니다.

사르다는 범블 API에 대한 리버스 엔지니어링을 했다고 합니다. 이를 통해 서버가 확인하지 않은 행동들을 처리하는 엔드포인트가 존재하고 있음을 알아냈다고 합니다. 유료 서비스 이용자들에게 제한된 서비스를 이용할 방법이 존재한다는 의미이며, 확인해 보니 일부 유료 사용자들처럼 '상대에게 관심이 있다'는 표현을 무료 사용자도 무한정 사용할 수 있었다고 합니다.

이뿐만 아니라 server_get_user 엔드포인트에 접근해 범블 사용자 전체의 목록을 확인하는데도 성공했다고 합니다. 이를 통해 사용자들의 페이스북 데이터와 '소원' 데이터를 확보할 수 있었다고 합니다. 이를 통해 프로파일 정보, 성적 취향 등 민감 정보를 취득할 수 있다고 합니다.

사르다는 이 모든 내용을 범블 측에만 알렸다고 합니다. 하지만 225일이 지나도록 범블 측에서는 아무런 답장이 없었다고 합니다. 그래서 범블이 해커원을 통해 버그바운티를 진행하고 있다는 것을 알게되었고 사르다는 '공개'를 언급하고 나서야 답장을 받았다고 합니다. 그것도 해커원이 "범블 측은 취약점 공개를 원치 않는다"고 대신 보낸 서신 뿐이었다고 합니다.🤨

그 후 해커원이 앞장서서 범블의 취약점을 해결하고 위협 요소들을 완화시키려고 했다고 합니다. 하지만 아직 문제가 다 해결되지는 않았다고 합니다.

3. 2021년 사이버 보안 전망, '뉴 노멀' 노린 사이버공격 성행

2021년에도 코로나19로 인한 비대면 일상이 이어지면서 이를 위협하는 보안 공격이 증가할 것으로 예상되며, 기업은 선제적인 대응을 위해 보안 자동화 및 효율성 향상을 위한 보안 기술에 높은 관심을 가질 전망이라고 합니다.😀

디지서트(DigiCert)가 발표한 '2021년 사이버 보안 전망'을 알아보겠습니다.😁

(1) '뉴 노멀'이 공격 받을 것

2021년에는 개인과 기업 모두 코로나19 이후 나타난 새로운 일상(뉴 노멀)에 적응할 것으로 예상된다고 합니다. 뉴 노멀은 여행 증가, 사무실 근무 복귀를 가져올 것으로 보인다고 합니다. 뉴 노멀을 악용하려는 공격자는 알뜰여행 상품을 찾는 사람들을 표적으로 삼을 것이며, 주로 피싱 공격을 활용할 것으로 예상된다고 합니다.

또한, 근로자가 재택근무에서 사무실로 복귀하게되면 사무실 적응을 돕는다고 속인 악성 앱이 증가할 것으로 전망된다고 합니다. 가령 업무 집중에 도움이 되는 백색 소음 앱을 위장해 악성코드를 유표할 수 있다고 합니다. 또한, 사회공학적 공격 뿐만 아니라 재택 및 사무실 근무를 병행하는 근로자의 개인용 기기를 통해 기업으로까지 침투할 수 있다고 합니다.😀

(2) 보안 자동화 및 효율성 향상 솔루션이 확대될 것

2020년에는 기업이 적은 자원으로 더 많은 일을 할 수 있는 기술에 대한 관심이 높아지면서 자동화가 큰 역할을 담당할 것으로 예상된다고 합니다.

기업들이 이용하는 보안 벤더의 수를 줄이려고 하면서 보안 벤더 간의 통합이 일어날 것으로도 보인다고 합니다. 글로벌 시장선도 기술을 갖추고 현지 직원이 가능한 벤더가 높은 평가를 받게 될 것이며, 보안 업무 자동화에 집중하게 될 것으로 전망된다고 합니다.😀

더불어 보아 투자가 즉각적인 가치 제공에 초점이 맞춰지면서 양자 컴퓨팅은 발전을 계속할 것으로 보인다고 합니다.

(3) 5G는 PKI 배포를 가속화할 것

5G 지원 기기가 보편화되면서 2021년 5G로의 전환이 가속화되고, 클라우드 네이티브 보안 솔루션 도입도 가속화될 전망이라고 합니다. 이에 공개키 기반 구조(PKI)를 통한 본인인증이 늘어나고 최신 자동화 솔루션에 대한 수요도 증가할 것으로 보인다고 합니다.

(4) 비대면 활동 증가로 온라인 상에서의 보안이 더욱 중요해질 것

온라인을 통한 비대면 활동이 확대됨에 따라 개인 데이터에 대한 권한 및 제어에 대한 신원 확인과 사용자 책임이 중요해지면서 온라인 상에서의 보안과 연결 장치 내 보안 유지가 더욱 중요해질 것으로 보인다고 합니다.

(5) 원격의료 위한 데이터 보안 강화 더욱 중요해질 것

코로나19 발생 전 원격의료는 전체 진료의 작은 부분에 불과했다고 합니다. 하지만 지금은 원격의료를 시행중인 국가들은 원격의료의 범위나 수준을 확대하고 있다고 합니다. 원격의료를 활발히 도입중인 미국은 2020년 3월부터 연방 정부가 원격의료에 대한 미국 건강보험 정보 이전 및 책임에 관한 법(HIPAA)을 한시적으로 완화함에 따라 진료의 상당부분이 빠르게 원격의료 모델로 전환되었다고 합니다. 이렇게 의료 기록의 가치가 높아짐에 따라 점차 이를 이용하려는 공격의 표적이 될 것으로 전망된다고 합니다.😀

(6) 사회공학적 공격이 더욱 복잡해질 것

공격자들은 현재의 비대면 상황을 전례 없는 수준으로 이용하여 사회공학적 공격을 할것이라고 예상하고 있다고 합니다.

새해에 공격자들은 코로나19 무료 진단검사를 적극적으로 사이버 범죄에 이용할 것이라고 합니다. 이는 공격자들은 사회공학적 기법을 이용하여 무료 코로나 검사를 해주겠다며 먼저 자격 확인을 위한 소정의 비용을 청구하는 용도로 우편주소, 전화번호, 카드번호 등 사용자 정보를 요구해 탈취할 것으로 우려된다고 합니다.😀

출처

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29693&key=&dir_group_dist=&dir_code=&searchDate=

www.boannews.com/media/view.asp?idx=92653&page=1&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=92654&page=1&mkind=1&kind=3

1. 크롬 최신 버전으로 위장한 악성 앱 주의!

최근 '크롬 웹브라우저 최신 버전'을 업데이트하라며 악성 앱 설치를 유도한 뒤 스마트폰내 정보 탈취를 시도하는 스미싱 사례가 발견되었다고 합니다.😀

공격자는 먼저 상품 배송과 관련된 내용 등 스미싱 문구의 단골 소재로 악성 앱 다운로드 URL이 담긴 스미싱 문자를 발송한다고 합니다.

사용자가 해당 문자메시지 내 URL을 실행하면 피싱 사이트에 연결되며, 위의 사진 처럼 팝업 메시지가 나타난다고 하네요.😀

해당 팝업 메시지의 '확인' 버튼을 클릭하면 'Chrome'이라는 파일명의 악성 설치파일(.apk)이 다운로드 된다고 합니다.

쉽게 속을 수 밖에 없는 이유는 정상 크롬 앱과 로고가 동일하여 가짜 파일인지 판별하기 어렵다고 하네요!

설치 이후 악성 앱은 사용자 스마트폰에서 문자, 주소록, SD카드, 계정정보, 휴대폰 고유식별정보 등 개인정보를 포함한 휴대폰 내 주요 정보를 공격자에게 모두 전송한다고 합니다.🤨

2. 러시아와 북한의 해킹 단체들 코로나 연구 기관을 공격

국가 지원을 받는 해킹 단체 세 곳이 현재 활발하게 코로나 바이러스 백신 및 치료법 개발 기업들을 공격하고 있다고 합니다.🤨

이 그룹은 러시아의 팬시비어(Fancy Bear)와 북한의 라자루스 그룹(Lazarus Group), 세륨(Cerium)이라고 합니다.

MS의 부회장인 톰버트는 최소 7개 코로나 관련 조직들이 사이버 공격에 노출되어 있다고 발표했으며, 공격이 발견된 나라는 캐나다, 프랑스, 인도, 한국, 미국으로 코로나 백신 연구와 개발을 위해 국가의 지원을 받는 곳이라고 밝혔습니다.

일부 공격은 "성공적"이라고 했지만 자세히 설명되지는 않았다고 합니다. 다만 공격 기법에 대해 다음과 같이 분류했다고 합니다.

- 팬시비어 : 비밀번호 스프레이 / 브르투포스를 통한 직원 계정 침해

- 라자루스 : 스피어피싱을 통한 크리덴셜 탈취

- 세륨 " 스피어피싱을 통한 크리덴셜 탈취

MS는 현재까지 피해 조직과 피해 규모, 공격과 관련된 상세한 내용은 밝히지 않았지만, 코로나 연구 성과를 노리는 사이버 공격도 공동으로 대응해야 한다고 강조했다고 합니다.😀

3. 유튜브 영상 다운받다가 랜섬웨어 감염될 수 있다

최근 유튜브 영상 고화질 다운로드로 위장한 피싱 사이트에서 '블루크랩 랜섬웨어'를 유포하는 사례가 발견되었다고 합니다.😮

이는 공격자가 취약한 웹서버를 탈취한 후, '유튜브 영상 고화질 다운로드'라는 키워드를 이용한 악성 게시글을 업로드했다고 합니다.

사용자가 이 피싱 사이트에 접속해 다운로드 링크를 클릭하면, 압축파일 형태 파일이 다운로드 된다고 합니다.

파일 압축 해제 후, 자바스크립트 형태(.js) 파일을 실행하면 관리자 권한을 요구하는 팝업창이 뜨며 '예'를 누를 경우 랜섬웨어에 감염된다고 합니다.

만일 '아니요'를 누르거나 PC를 재부팅한다고 해도 해당 팝업창이 지속적으로 나타나 사용자가 '예'를 클릭하도록 유도하낟고 합니다.🤨

이러한 랜섬웨어에 예방하기 위해선 보안수칙을 준수해야한다고 합니다.😀

4. 해커들이 좋아하는 API 공격 방법 4가지

(1) 코드 주입

공격자들은 멀쩡한 API를 자신들의 목적에 맞게 오염시키는 방법을 즐겨 사용한다고 합니다. 이를 위해 '코드 주입'이라는 기법을 활발히 사용한다고 합니다. 이것도 모르고 오염된 API를 사용하면, 해커들이 원하는 방향으로 기능하게 된다고 합니다.

API에 코드가 주입되었는지 확인하려면 여러 가지 '수동 점검'을 진행하는 것이 가장 좋다고 합니다. 특히 요청 확인을 강도높게 실시하여, 다각도로 기능을 점검함으로써 예상치 못한 반응이 나오는지 살펴야 한다고 합니다.😀

(2) 리플레이 요청 공격

악성 행위자들이 반복적으로 요청을 전송하는 것을 허락하는 API의 경우 이 공격에 취약하다고 합니다. 첫번째 악성 요청이 거부되더라도 공격자는 얼마든지 다음 요청을 전송할 수 있게 된다고 합니다. 그런데 이렇게 여러 요청이 반복해서 오는 것을 막는 API가 비교적 적기 때문에 해커들이 이 방법을 선호한다고 합니다.🤨

이 공격은 일종의 브루트 포스 공격으로 볼 수도 있으며, 막으려면 HMAC 인증을 활용해 요청 시도 제한 규정을 적용하거나 다중 인증과 생애 주기가 짧은 OAuth 접근 토큰을 활용하는 것이 좋다고 합니다.

(3) 요청 조작 공격

이 공격은 CSRF로 인증된 웹 애플리케이션(API)을 해커가 활용해 이메일 주소를 변경하거나 은행 계좌로부터 돈을 보내는 등의 결과를 이끌어 내는 공격이라고 합니다. 인기가 많은 공격으로 유명 웹사이트들을 공격한 사례가 있다고 합니다.

공격자들은 주로 서버에서 생성되는 토큰들, 그 중에서도 HTML 코드에 감춰져 있는 토큰들을 활용해 CSRF 공격을 성립시킨다고 합니다. 이 토큰들은 요청이 만들어질 때마다 요청과 함께 서버로 전송되는 것으로, 이 토큰들을 통해 서버는 해당 요청을 신뢰할 수 있는지 확인할 수 있다고 합니다.😀

(4) 사용자 인증 파괴

API 개발자들이 항상 인증 시스템을 신경 쓰는 것은 아니며, 인증 절차가 제대로 갖춰지지 않는다면 매우 취약해 진다고 합니다. 만일 이러한 API가 해커에게 들어가게 된다면, 해커는 인증된 사용자인 것처럼 스스로를 위장시키고 각종 행위를 할 수 있게 된다고 합니다.🤨

이러한 공격을 방어하려면 타임스탬프 요청을 활용하는 것이 도움이 된다고 합니다. 이렇게 해두면 현재의 타임스탬프와 요청에 붙어 있는 타임스탬프를 비교할 수 있게 된다고 합니다. 이 비교값이 타당할 경우에 인증이 통과된다고 합니다.😀

출처

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29688&key=&dir_group_dist=&dir_code=&searchDate=

www.boannews.com/media/view.asp?idx=92611&page=1&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=92616&page=1&mkind=1&kind=

www.boannews.com/media/view.asp?idx=92617&page=1&mkind=1&kind=1