1. 금융 관련 앱 분석 결과 루팅 탐지 우회 가능

금융 모의해킹 전문 기업인 블랙팔콘 시큐리티는 자체 개발한 안드로이드 앱 자동 분석 솔루션으로 국내 금융 관련 앱 다수를 분석한 결과, 루팅 탐지에 사용되는 패턴이 정형화되어 있어 어렵지 않게 루팅 탐지를 우회할 수 있다고 합니다.😀

관련앱에서 사용되고 있는 루팅 탐지 패턴은 다음과 같다고 합니다.😀

- 패키지 매니저로 설치된 패키지 확인

- 설치된 파일에 대한 접근 또는 상태 확인

- ro.debuggable 등 시스템 속성 확인

- 쉘 커맨드로 루팅 흔적 확인(which su 등)

- /sbin 등 디렉터리 권한 확인

또한 위 패턴들을 참고하여 제작한 범용적인 우회 도구를 통해 다음과 같은 여러 앱들도 우회할 수 있었다고 합니다.

- 국내 은행 21개 앱

- 카드사 3개 앱

- 증권사 7개 앱

- 핀테크 3개 앱

- 코인거래소 2개 앱

이는 별도의 커스터마이징 없이 앱 설치와 동시에 루팅 탐지를 우회할 수 있었다고 합니다.😀

이에 "최근 루팅 탐지 트렌드는 암호화, 난독화, 동적 모듈 등을 이용하여 분석을 어렵게 하는데 초점을 맞추고 있다. 이러한 방향성이 잘못된 것은 아니지만, 루팅 탐지 패턴의 다각화도 병행해야 한다."고 언급했답니다😁

2. 정보보호 전제가 되어야 디지털 뉴딜 확장

개인정보보호에 대한 국민의 신뢰가 전제된다면 각종 디지털 뉴딜 정책의 폭과 깊이도 더욱 확장될 것으로 생각합니다.

지난 13일 개인정보보호위원회(개보위)는 과학기술정보통신부(과기부)와의 업무협약(MOU)식을 가졌다고 합니다.

이는 디지털 경제 시대 데이터를 안전하게 활용하기 위한 환경 마련을 하기 위함이라고 합니다.😀

두 기관은 정부의 디지털 뉴딜 정책을 성공적으로 실현하기 위해 데이터 보호가 밑바탕이 되야 한다는 점에 공감했다고 합니다.

개보위의 윤종인 위원장은 "데이터 경제 성공의 핵심 전제는 개인정보보호에 대한 국민의 신뢰이다. 데이터 보호가 전제되지 않는 활용은 지속될 수 없고, 데이터를 잘 활용하려면 제대로 보호되어야 한다."라며 강조했다고 합니다.😁

이번 MOU로 양 측은 인공지능 학습용 데이터 구축 관련 개인정보보호 강화 표준안을 마련한다고 합니다. 또한 데이터 가명정보 처리·결합과 활성화를 지원하는 민관 합동 협의체 구성도 한다고 합니다.😀

특히 사이버 침해사고로 인한 개인정보 유출에 효과적으로 대응하기 위해 침해사고 핫라인도 구축하기로 했다고 합니다. 이를 통해 사고조사분석, 피해지원 등 전 과정에 걸쳐 협업 기능을 강화한다는 방침이라고 합니다.

대규모 개인정보 유출사고가 발생한 경우 과기부 주관의 민관 합동조사단과, 개보위 주관의 정부합동조사단을 통합한 공동 대응체계를 운영해 신속히 대응하겠다고 합니다.😀

3. 브라질 공격 그룹 7개국 11개 금융앱 해킹 트로이목마 유포중

카스퍼스키 GReAT팀은 브라질, 라틴 아메리카, 유럽의 금융 기관을 노리는 브라질 뱅킹 트로이목마 'Tetrade'를 발견한 지 4개월이 지난 후, 모바일 기기를 스파이웨어로 감염시키기 위한 전략을 추가했다고 합니다.🤨

카스퍼스키 분석에 따르면, 브라질의 공격 그룹인 Guildma는 여러 나라의 은행, 핀테크회사, 거래소, 가상화폐 앱을 노리는 안드로이드 뱅킹 트로이목마인 'Ghimob'을 배포했다고 합니다.

Ghimob는 완전한 기능을 갖춘 모바일 스파이라고 합니다. 일단 감염되면 해커는 기기에 원격으로 접근하여 피해자의 스마트폰에서 사기 거래가 가능하다고 합니다. 또한, 기기 식별, 금융 기관이 구현한 보안 장치, 시스템의 사기 방지 장치를 우회하는 것도 가능하다고 합니다.😮

Guildma와 동일한 인프라를 공유하는 것 외에도 Ghimob는 피싱 이메일을 통해 악성코드를 배포해 사용자가 Ghimob APK 인스톨러를 다운로드하는 악성 URL을 클릭하도록 유도한다고 합니다.

이 트로이목마가 설치되면 다른 모바일 RAT와 상당히 유사한 행동을 한다고 합니다.

유사한 행동은 다음과 같습니다.😀

- 앱 아이콘 숨김

- 지속성을 위한 안드로이드의 접근성 기능 악용

- 수동 언인스톨 비활성화

- 뱅킹 트로이목마가 키 입력 캡쳐

- 스크린 내용 조작

- 공격자가 원격으로 기기를 완전히 제어

사용자의 폰에 화면 잠금 패턴이 있더라도, Ghimob는 이를 기록하고 추후 재생해 기기의 잠금을 해제할 수 있다고 합니다.

Ghimob는 모바일 앱 총 153개를 공격한다고 합니다. 이 중 112개는 브라일 금융 관련기관이며 나머지는 각 여러나라의 가상화폐 및 뱅킹 앱이라고 합니다.😀

출처

www.boannews.com/media/view.asp?idx=92597&page=1&mkind=1&kind=

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29683&key=&dir_group_dist=&dir_code=&searchDate=

www.dailysecu.com/news/articleView.html?idxno=116314

1. 마인크래프트 인기를 악용한 악성 앱, 플레이 스토어 공격

세계적으로 많은 인기가 있는 게임인 마인크래프트가 사이버 범죄자들의 도구가 되고 있다고 합니다.😀

이는 가짜 마인크래프트 앱을 구글 플에이 스토어에 올려 사용자들의 돈을 갈취하는 것이라고 합니다.

이를 발견한 보안 업체인 어베스트(Avast)에 따르면 가짜 안드로이드용 마인크래프트는 사용자의 돈을 빼앗을 것을 첫번째 목표로 삼고 있다고 합니다. 이를 달성하기 위해 마인크래프트 게임 내에 사용되는 스킨, 벽지, 게임모드 등을 저렴하게 제공하여 속이는 방법을 사용하고 있으며, 처음에는 1달 무료권을 제공하고 등록하는 순간 1주일에 30달러가 빠져나간다고 합니다.😂

그리고 다음과 같이 언급했다고 합니다.

이들은 사용자들이 애플리케이션을 설치하고 잊어버리거나 정기 구독 결제를 해놓고 망각하는 것을 이용합니다. 애플리케이션 홍수 속에서 사용자들은 자기가 설치한 앱을 곧잘 잊어버리기 때문입니다. 또한 앱을 설치할 때마다 작은 글씨로 된 앱 설명서나 약관도 사람들은 잘 읽지 않습니다. 이러한 부분도 공격으로 이어지며, 마인크래프트를 즐기는 어린 게이머들은 주의 사항을 거의 읽지 않습니다.

어베스트는 이런 '가짜 마인크래프트'앱을 7개 찾아 구글에 알렸다고 합니다. 하지만 구글 플레이에 계속 존재하는 것으로 보도되며, 이중 5개는 다운로드 수가 각각 100만번을 넘어섰다고 합니다.😮

7개 앱들은 전부 같은 인물이나 단체의 작품으로 보이며, 이름은 다음과 같다고 합니다.😀

- Mods, Maps for Minercraft PE

- Skins for Roblox

- Live Wallpapers HD & 3D Background

- MasterCraft for Minecraft

- Master for Minercraft

- Boys and Girls Skins

- Maps Skins and Mods for Minecraft

구글은 플레이 스토어의 안전을 위해 여러가지 방법을 취하고 있다고 합니다. 하지만 여전히 악성 앱들이 보안의 경계를 우회하는데 성공한다고 합니다. 구글 플레이에서 유통된 앱들이 다운로드된 횟수는 총 6번 정도 된다고도 합니다.😮

이에 어베스트는 자사 블로그를 통해 앱을 다운로드 받을 때 반드시 개발사를 확인하고 사용자들의 리뷰도 꼼꼼하게 읽어볼 필요가 있다고 권고했다고 합니다.😁

2. 새로운 랜섬웨어 '페이투키' 주의

2주 동안 빠르게 퍼져나가고 있는 신종 랜섬웨어인 '페이투키(Pay2Key)'는 세계적인 위협이 될 전망이라며 주의하라고 합니다.😀

보안 업체인 체크포인트(CheckPoint)가 페이투키에 대한 보고서를 발표했다고 합니다.

보고서에 따르면 페이투키는 기존의 랜섬웨어와 똑같이 원격 데스크톱 프로토콜(RDP) 서비스를 익스플로잇 함으로써 피해자 네트워크에 침투해 횡적으로 움직여 감염의 피해를 최대화 시킨다고 합니다. 또한 다른 침투 방법도 보유하고 있을 가능성이 높다고 합니다.

페이투키는 피해자의 네트워크에 최초 침투하는데 성공한 이후 거점이 될만한 장비나 프록시를 제일 먼저 설정하고 이 장비를 통해 페이투키 C&C 서버와 통신한다고 합니다. 단 하나의 장비만으로 외부 서버와 통신을 하는 전략 덕분에 암호화 이전에 탐지되는걸 많은 경우 회피할 수 있다고 합니다.

페이투키 운영자들은 psexec라는 유틸리티를 사용하여 횡적으로 움직이며 여러 시스템에 페이투키를 심는다고 합니다.

페이투키 랜섬웨어는 파일을 암호화 하기 전에 외부로 빼돌린다고 합니다. 이는 피해자가 협상하지 않을 경우 공개하기 위함이라고 합니다.

공격자들은 현재 토르 기반 웹사이트를 마련하여 정보를 노출시키고 있다고 합니다. 그냥 정보를 내놓는 것이 아닌 피해 조직에 대한 상세한 정보와 함께 폴더식으로 잘 정돈하여 공개하고 있다고 합니다.

또한 돈을 낸 기업들의 경우 데이터를 무사히 복구했는지 아직 확실히 알 수 없다고 합니다. 이에 체크포인트는 페이투키 공격자들의 해킹 기술이 상당히 발전되어 있으며, 일반 랜섬웨어 공격자들의 수준을 훨씬 상회한다고 언급했습니다. 또한 새로운 단체일 가능성이 높다고도 언급했다고 합니다.

페이투키가 현재까지 이스라엘 기업들을 집중적으로 공격하고 있으며, 유럽 조직들에서도 피해가 속출하고 있다고 합니다. 실력이 좋은 조직이며, 공격이 유럽에서도 발견되고 있는 것을 보면 전 세계적으로 확장시켜가는 중일 가능성이 높다고 언급했다고 합니다.😀

3. 인텔 칩셋의 전력 소모량 알아내면 데이터 탈취 가능하다

프로세서의 전력 소비량을 측정함으로써 민감한 정보를 탈취하게 해주는 새로운 부채널 공격이 발견되었다고 합니다.

이 공격기법은 ‘전력 누출 공격 : 보호된 사용자의 비밀을 표적 삼기(Power Leakage Attacks : Targeting Your Protected User Secrets)’라고 하며, 플래티퍼스(PLATYPUS)라고 부르기도 한다고 합니다.😁

이 플래티퍼스 공격은 인텔의 RAPL(Running Average Power Limit)이라는 기능에 접근할 수 있어야 성립된다고 합니다. RAPL은 CPU와 DRAM의 전력 소비량을 모니터링하고 제어하기 위해 설계된 기능이라고 합니다.😀

이 공격은 과거의 과거의 연구 결과들과 달리 물리적 접근을 필요로하지 않는다는 특징을 가지고 있다고 합니다.

기;존의 유사 부채털 공격들에서는 오실로스코프를 사용했지만, 이를 RAPL 이넡페이스로 대체했기 때문이라고 합니다. 리눅스 드라이버만 있으면 권한이 없는 사람도 RAPL에 접근해 측정 값을 취하는 것이 가능하고, 이로써 물리적 접근을 통한 오실로스코프 활용이라는 과정을 완전히 없앨 수 있다는게 이번에 밝혀진 내용이라고 합니다.

실험실 환경에서 연구원들은 플래티퍼스 기법을 직접 구현하여 인텔 SGX 엔클레이브에서부터 암호화 키를 탈취하는데 성공했다고 합니다. 인텔 SGX 인클레이브는 일종의 보안 환경으로 OS가 침해된 상황에서도 데이터를 보호하도록 만들어진 것이라고 합니다. 또한 플래티퍼스를 활용해 KASLR을 뚫거나 비밀 채널을 만드는데도 성공했다고 합니다.😀

하지만 공격 성공률이 안정적이지 않으며, 길게는 수백 시간이 걸린 사례도 있다고 합니다. 사용자 영역에서 KASLR을 뚫어내는 공격은 20초 걸렸지만 SGX 엔클라이브에서 암호화 키를 추출하는 작업은 최소 26시간에서 최대 277시간이 걸렸다고 설명했다고 합니다. RSA 비밀 키를 탈취하는데 걸린 시간은 100분 정도였으며, 이 모든 공격의 전제 조건은 공격의 표적이 되는 애플리케이션이 항상 가동 중에 있어야 한다는 것이라고 합니다.😀

이연구에 대한 내용은 밑의 사이트에서 보실 수 있습니다.😁

https://platypusattack.com/platypus.pdf

https://youtu.be/za915VQzuBM

https://youtu.be/HZGrNKNAZaE

참고하고 영상에서 보이는 실험환경은 우분투 기반의 랩톱이라고 합니다.

인텔은 이에 CVE-2020-8694와 CVE-2020-8695라는 번호를 해당 취약점들에 배정했다고 합니다. 밑의 사이트는 권고문이라고 합니다😀

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00389.html

현재는 이 공격과 관련된 리눅스 드라이버에 대한 업데이트를 진행했다고 합니다.

출처

www.boannews.com/media/view.asp?idx=92540&page=1&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=92571&page=1&mkind=1&kind=

www.boannews.com/media/view.asp?idx=92565&page=1&mkind=1&kind=1

1. APT 단체들, 옛 기법과 신기술 혼합해 방어선 흐트리다 !

APT 그룹들이 계속해서 자신들의 목적을 달성하고 있다고 합니다. 그런 와중에 다양한 전략과 기법을 선보이며 수사와 추적에 혼란을 주고 있다고 합니다.😑

이런 단체들이 3사분기 동안 보여준 행동 패턴들을 보안 업체인 카스퍼스키(Kaspersky)가 정리하여 발표했다고 합니다.

3사분기에는 플랫폼을 노린 공격이 증가했고 감염 방식이 새로워졌다고 합니다. 그리고 정상적인 도구와 서비스를 공격에 활용하는 경우가 특히 늘었다고 합니다. 

활발한 활동을 하는 APT 단체 중 하나인 데스스토커는 2018년부터 똑같은 방식으로, 거의 비슷한 표적들만을 계속해서 공략하는 중이라고 합니다. 이에 카스퍼스키는 다음과 같이 발표했다고 합니다.😀

주로 법과 금융 산업의 조직들을 같은 전략으로 노리는 조직입니다. 너무 광범위한 지역에서 공격을 진행하고 있기 때문에 기업들의 민감 정보를 전문적으로 노리는 용병 단체로 보고 있습니다. 주로 파워셸을 기반으로 한 임플란트인 파워싱(Powersing)을 공격에 활용합니다. 

이들은 최근 유행하는 소식들을 활용한 피싱 이메일을 통해 피해자들을 공략하는 편인데, 최근들어 기술적인 진화를 보인다고 언급했다고 합니다.

전에는 인터넷 포럼이나 코드 공유 사이트를 활용하여 C&C 활동을 했다면 최근 들어서는 임베드 된 IP 주소나 도메인 이름을 통해 멀웨어를 C&C 서버와 직접 연결시킵니다. 또한 정교한 스피어피싱 메일 한 통이 아니라 여러 번의 이메일 교환을 통해 피해자를 속이려는 시도도 눈에 띄기 시작했습니다.

게다가 새로운 파워셸 임플란트인 파워페퍼(PowerPepper)가 얼마 전부터 발견되기도 했다고 합니다. 파워페퍼는 MS Word 문서를 통해 퍼지며, C&C 서버와의 통신을 위해 DoH(DNS over HTTPS) 프로토콜을 활용한다고 합니다.😀

지난 10월 카스퍼스키는 가짜 UEFI 펌웨어 이미지를 통한 멀웨어 감염 기법을 사용하는 공격 캠페인을 공개했는데, 펌웨어 이미지를 조작하여 멀웨어를 퍼트리는 고급 기법을 구사한 공격 단체에는 모자익리그레서라는 이름이 붙었다고 합니다.

UEFI는 저층위 플랫폼 펌웨어의 구성요소로, OS를 로딩하거나 펌웨어 업데이트를 진행하는 기능을 가지고 있다고 합니다. 모자익리그레서는 이 UEFI 펌웨어를 조작함으로써 OS가 정상적으로 로딩된 이후 자신들이 원하는 멀웨어가 실행되도록 만들 수 있다고 합니다. 그래서 OS를 새롭게 설치한다고 해도 멀웨어가 사라지지 않는다고 합니다. 심지어 하드드라이브를 바꿔도 공격을 막을 수 없게 된다고 합니다.😮

이러한 것들을 통해 카스퍼스키는 보고서에 다음과 같이 썼다고 합니다.😀

사이버 보안 전문가들에게 이런 현상이 갖는 의미는, 과거에 정상적으로 사용되어 온 환경이나 요소들에서 발생하는 새로운 위협을 탐지하고 와해시키는 데에 자원을 투자해야 한다는 것입니다. 여태까지 괜찮았다고 여겨진 요소들이라고 해서 모니터링과 검사를 소홀히 해서는 안된다는 의미입니다. 덜 유명한 언어로 작성된 멀웨어, 정상 클라우드 서비스에 호스팅된 문건 등에 특히 주의를 기울여야 합니다.

2. 현재 해커들이 공격에 활발히 사용하는 윈도 제로데이 취약점 주의

구글 보안 연구원이 현재 활발히 악용되고 있는 윈도우 운영체제 제로데이 취약점(CVE-2020-17087)을 공개했다고 합니다.😀

구글 프로젝트 제로 팀장인 벤 호크스(Ben Hawkes)는 트위터를 통해 해당 취약점이 구글이 최근 공개한 또 다른 크롬 브라우저 제로데이(CVE-2020-15999)와 연결되어 있다고 밝혔다고 합니다. 구글 연구원들은 해당 결함에 대한 패치가 11월 10일에 할 것이라고 예상하고 있다고 합니다.😀

크롬 제로데이는 샌드박스 탈출 문제로, 이를 통해 공격자는 크롬 보안 컨테이너를 탈출하고 기본 운영체제에서 코드를 실행할 수 있다고 합니다.

구글 보안 권고문에서 다음과 같이 설명했다고 합니다.😀

다음 버그가 in the wild에서 사용되고 있다는 증거를 발견했습니다. 따라서 이 버그는 7일 간의 공개 기한이 적용됩니다. 윈도 커널 암호화 드라이버는 \Device\CNG 장치를 사용자 모드 프로그램에 노출시키고, 사소하지 않은 입력 구조를 가진 다양한 IOCTL을 지원합니다. 샌드박스 탈출과 같은 권한 상승을 위해 악용 가능한 로컬 액세스 공격 표면을 구성합니다.

구글 프로젝트 제로팀은 지난주 마이크로소프트에 해당 취약점 해결을 위한 7일을 주었지만 아직 해결되지 않은 상태라고 합니다.

이 취약점은 Windows 7과 Windows 10 사이 모든 버전에 영향을 미친다고 합니다. 또한 구글 연구원들은 해당 취약점 악용을 위한 개념 증명 코드를 게시했다고 하네요.😁

3. 대기업을 노리던 랜섬웨어 '메이즈' 운영 중단

LG 전자, 캐논 등 대기업들을 공격하던 유명 랜섬웨어인 '메이즈(Maze)' 운영이 중단되었다고 합니다.😀

이는 미국 IT 매체인 블리핑컴퓨터에서 메이즈 운영자는 자체 웹사이트에서 기업 데이터 유출을 중단한다고 밝혔다고 합니다.

메이즈는 국내외에서 활발히 유포된 랜섬웨어로 복호화 비용 지불을 거부하는 피해자에 대해, 탈취한 데이터를 공개하는 사이트인 '메이즈뉴스'를 만들어 협박 수위를 높인 것이 특징이라고 합니다.

메이즈가 이같은 사이트를 운영하자, 타 랜섬웨어 운영자들도 잇따라 탈취 데이터 공개 사이트를 개설하기도 했다네요.🤨

메이즈 운영자는 최근 등장한 새 랜섬웨어인 '에그레고르'로 주 공격 수단을 변경한 것으로 분석된다고 합니다. 에그레고르는 최근 크라이텍, 유비소프트 등 여러 기업을 공격한 것으로 알려져 있다고 합니다. 또한, 최근 나타난 랜섬웨어 '세크메트(Sekhmet)'도 메이즈 운영자가 개발한 것으로 추정되고 있다고 합니다!

출처

www.boannews.com/media/view.asp?idx=92338&page=1&kind=1

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29656&key=&dir_group_dist=&dir_code=&searchDate=

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29655&key=&dir_group_dist=&dir_code=&searchDate=

1. 오라클 웹로직 서버 및 MS 윈도우 서버 취약점 주의

오라클이 WebLogic Server의 취약점을 해결한 보안 업데이트를 발표했다고 합니다.😀

이번 취약점은 CVE-2020-14750이며, WebLogic Server에서 입력값 검증이 미흡해 발생하는 인증우회 및 원격코드 실행 취약점이라고 합니다.

그래서 신속히 업데이트를 하라고 권고하고 있다고 하네요😁

또한 최근 윈도우 서버의 Netlogon 권한상승 취약점을 악용한 사례가 지속적으로 발생하고 있어 윈도우 사용자의 보안강화가 요구되고 있다고 합니다.

Netlogon은 도메인 내의 사용자와 서비스를 인증하는 원격 프로토콜이라고 합니다.

CVE-2020-1472 윈도우 서버의 Netlogon에서 취약한 암호화 운영모드를 사용하여 발생하는 권한상승 취약점으로 위험지수가 최고 등급이라고 하네요😀

이에 KISA 침해사고분석단 취약점분석팀은 취약점에 영향받는 윈도우 제품을 이용하는 각 기관, 기업 및 일반 사용자는 해당 취약점에 노출되지 않도록 보안 업데이트 적용이 필요하다고 권고했다고 합니다.

영향을 받는 제품은 다음과 같다고 합니다.

- 윈도우 서버 2008 R2 for x64-based Systems 서비스팩 1(Server Core installation 포함)

- 윈도우 서버 2012, 2012 R2 (Server Core installation 포함) 

- 윈도우 서버 2016 (Server Core installation 포함)

- 윈도우 서버 2019 (Server Core installation 포함)

- 윈도우 서버 version 1903 (Server Core installation) 

- 윈도우 서버 version 1909 (Server Core installation)

- 윈도우 서버 version 2004 (Server Core installation)

이용기관은 반드시 2020년 8월 11일 이후 버전으로 업데이트 적용해야한다고 합니다.😀

2. "데이터3법, 보호 장치 미비" 위헌 소송 제기

개인을 특정할 수 없게 비식별조치한 정보인 '가명정보'에 대해 정보 주체 동의 없이도 활용할 수 있게한 데이터 3법에 위헌 소송이 제기되었다고 합니다.😀

정보 주체의 정보열람권, 정정 및 삭제요구권, 처리정지요구권 및 기업 등 개인정보처리자의 개인정보 유출 시 통지권, 파기 의무 등이 적용되지 않도록 해 헌법상 과잉금지원칙, 기본권의 본질적 내용 침해 금지 원칙을 위반했다는 주장이라고 합니다.

참여연대 공익법센터는 2일 헌법재판소에 개인정보보호법 제28조의 7, 신용정보법 제40조의 3이 헌법에서 보장하는 개인정보자기결정권을 침해해 위헌임을 확인하는 헌법소원을 제기했다고 밝혔다고 합니다.

참여연대는 지난 2005년 헌법재판소이 개인정보자기결정권에 대해 '자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 정보 주체가 스스로 결정할 수 있는 권리'라고 규정한 점, 헌법 제 10조 제 1문의 일반적 인격권과 헌법 제 17조의 사생활의 비밀과 자유에 의해 개인정보자기결정권이 보장된다는 점을 헌법소원의 근거로 언급했다고 합니다.

개인정보의 처리에 관한 동의 여부, 동의범위 등을 선택하고 결정할 권리 뿐만 아니라 정보 열람, 처리 정지, 정정 내지 삭제 및 파기를 요구할 권리를 기본권으로 보장받는 것이라고 합니다.😀

3. 개인정보보호위원회, 개인정보 침해하는 법령안 556개에 개선 권고

개인정보보호위원회(개보위)가 개인정보 처리를 수반하는 법령안 10건 중 4건 이상이 개인정보 수집을 최소화하는 방향으로 개선되었다고 합니다.😀

개보위는 지난 4년간 개인정보 처리를 수반하는 총 1,276건의 정부입법 법령안에 대해 개인정보 침해요인을 사전 평가하고 556개 법령에 개선을 권고했다고 합니다.

개선권고 556건을 살펴보면, 수집 목적을 넘어서 과다하게 개인정보를 수집하는 경우가 총 302건이었다고 합니다. 이에 개보위는 신청서식에서 개인 식별과 연락에 필요한 최소정보만을 남기고, 신청 목적과 무관한 개인정보는 삭제하도록 권고했다고 합니다.

이어 법률이나 시행령에 명확한 근거 없이 주민등록번호를 수집 및 이용할 수 없도록 권고하여 개선한 경우가 1337건이었으며, 제3자가 보유한 개인정보의 제공요청과 관련해 법률상 근거를 마련하고 제공범위를 특정하도록 권고한 개선사항도 92건에 달했다고 합니다. 개선권고 556건을 형식 측면에서 살펴보면 법령의 서식 개선이 55.4%, 조문 정비가 4.66%를 구성하고 있다고 합니다.

4. 과기정통부, CC인증 통합사이트를 만들어 제도 개선 준비

과기정통부가 정보보호제품 평가 및 인증제도인 CC인증과 ISMS 등 정보보호 관련 인증제도 개선을 할 예정이라고 합니다.😁

과기정통부는 스마트한 정보보호 규제 개선을 목표로 5대 분야를 개선해 정보보호 산업 발전과 정보보호 인증 활성화를 추진한다고 합니다.

다음은 5대 분야에 대한 내용입니다.😀

- Standardization(표준화) : 정보보호 인증 항목과 증빙서류를 표준화하고 간소화

- Modification(조정) : 유사인증의 중복을 제거하고 상호 호환성을 확대

- Application(신청) : 정보보호 인증을 신청하는 포털의 통합

- Redesign(범위 재설계) : ICT 신산업(클라우드와 가상자산)의 사각지대를 해소

- Total Service(종합 지원) : 정보보호 인증의 혜택을 확대

특히 과기정통부는 CC인증 개선을 강조했다고 합니다. CC인증의 문제점은 정보보안 기업이 CC인증을 받을 때 시간도 오래 걸리고, 신청 후 대기 시간도 길다는 것이라고 합니다.

이에 과기정통부는 대기 시간의 단축을 위해 CC인증 평가자 양성을 위한 교육을 지원하고, 대기 수요를 조정할 방침이라고 합니다. 특히 통합 정보안내 사이트를 개설하여 5개 평가기관별 대기시간과 신청현황을 한 곳에서 제공할 계획이라고 합니다. 아울러 웹서버와 DB 등 사용되는 오픈소스 SW 보안패치는 변경승인을 허용하는 한편, 평가비용과 평가기간을 줄이겠다고 합니다.😁

신생기업의 인증준비도 지원한다고 합니다. 온라인 및 오프라인에서 제도에 대한 기본 교육을 확대하고, 인증 컨설팅 서비스를 제공할 방침이라고 합니다. 정보보안 기업이 자발적으로 보안취약점을 점검할 수 있도록 '소스코드 자가진단 SW'를 무료로 지원한다고 합니다.

또한, 정보보호 관리체계(ISMS) 인증에 대한 개선방안도 발표했다고 합니다.😀

출처

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29652&key=&dir_group_dist=&dir_code=&searchDate=

www.dailysecu.com/news/articleView.html?idxno=115953

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29650&key=&dir_group_dist=&dir_code=&searchDate=

www.boannews.com/media/view.asp?idx=92308&page=1&mkind=1&kind=

www.boannews.com/media/view.asp?idx=92267&page=1&mkind=1&kind=2

1. 인터파크 개인정보 유출회원 2,400명에 배상 판결

2016년 5월 당시 인터파크 사내 PC를 통해 전산망이 해킹되는 사고로 1,000만명의 고객 정보가 유출된 사건이 있었습니다.😀

이때 개인정보 유출에 대한 통지를 하지 않았으며, 사실을 인지한 시점으로부터 14일 지난 후에 통지를 하여서 문제가 되었엇는데, 이로인해 방송통신위원회로부터 44억 8,000만원의 과징금을 부과받았고 이를 취소해달라고 행정소송을 제기했으나 결국 최종 패소를 하게 되었다고 합니다.😮

개인정보를 유출한 고객 중 2,400명이 손해배상을 요구하였고 서울중앙지법 민사합의30부가 원고 일부승소 판결을 내리면서 1인당 10만원씩 배상하라고 했다고 합니다.😀

2. 정보보호 사각지대 해소 위한 ISMS 인증 제도 개선

과학기술정보통신부(과기정통부)와 개인정보보호위원회가 정보보호 유사 및 중복 부담을 완화하고, 정보보호 사각지대를 해소하기 위한 ISMS, ISMS-P 인증 제도를 개선한다고 합니다.😀

이번 개선을 통해 가상자산 사업자, 중소기업 등 특화한 ISMS 인증 심사체계를 구축할 것이라고 합니다. 가상자산 사업은 금융 서비스 특성이 있지만, 사업자의 법적 지위 미비 등 제도적 기반 부재로 정보통신서비스 분야에 적합한 ISMS 인증 심사항목을 적용하여 인증해왔다고 합니다.

2021년 3월에 시행되는 '특정 금융거래정보의 보고 및 이용 등에 관한 법률' 개정안을 통해 가상 자산 사업자의 법적지위를 부여하고 ISMS 인증획득을 의무화하는 제도적 기반이 마련되었다고 합니다. 과기정통부는 이를 계기로 금융위원회(금융보안원)과 협업하여 가상자산에 특화된 점검항목을 개발하고, 올해 11월부터 공지하여 ISMS 인증 심사에 적용할 예정이라고 합니다.😀

이와 함께 정보보호가 중요한 영세 및 중소기업도 불필요한 비용 소모 없이 기업 스스로 ISMS 인증을 준비할 수 있도록 ISMS 인증항목절차를 경량화한 중소기업용 인증체계를 마련할 것이라고 합니다.

ISMS-P를 중심으로 개인정보 및 정보보안성은 유지하면서 기업 부담을 경감시키는 방향으로 유사제도를 통합운영한다고 합니다. 그동안 ISMS-P 인증범위에 수탁사의 정보보호 관리체계가 포함되어 위탁회사들이 ISMS-P 인증 심사 때마다 수탁사는 반복적으로 현장점검을 받는 불편함이 있었다고 합니다.

이에 수탁사가 ISMS-P 인증을 획득하면 위탁사들의 ISMS-P 인증심사에 부수되는 수탁사의 현장점검을 면제할 예정이라고 합니다. 클라우드서비스 보안인증의 경우도 ISMS 인증과 유사 항목이 다수 존재해 ISMS 인증 기업이 클라우드 보안인증 신청 시 인증항목도 117개에서 54개 항목으로 심사 생략이 가능하다고 합니다.😁

교육부가 주관하는 정보보호 수준진단에서 우수 등급을 획득한 대학은 ISMS 인증 의무를 면제하는 내용으로 정보통신망법령 개정을 추진한다고 합니다. 이에 ISMS 인증 의무를 미이행한 13개 대학 중 10개 다학이 올해 교육부 정보보호 수준진단에서 우수 등급을 획득하여 ISMS 인증이 면제될 예정이라고 합니다.😀

3. 전세계 의료업계 랜섬웨어 주의보!

이달 의료업계를 대상으로 랜섬웨어 공격이 크게 증가했다고 합니다.😑

미국에서 탐지된 의료부문 랜섬웨어 공격은 지난 달 대비 71%가 늘어났으며, 아시아태평양과 유럽과 중동 및 아프리카 지역의 경우 의료 산업계 대상 공격이 각각 33%, 36%가 올라았다고 합니다.

여기서 주목할만한 점은 '류크' 랜섬웨어 공격이 두드러졌다는 것이라고 합니다. 대규모 스팸 공격 또는 익스플로잇 킷을 통해 퍼지는 일반 랜섬웨어와는 달리 류크는 맞춤형 포적 공격에만 이용된다고 알려져 있다고 합니다.

미국 병원을 대상으로 한 랜섬웨어 공격 중 75%가 류크 랜섬웨어 인 것으로 분석되었으며, 이 랜섬웨어에 당한 미국 병원이 늘어났다고 합니다.

지난 4월 국제형사경찰기구(인터폴)은 신종 코로나바이러스 감영증 상황엫서 병원 등 의료계가 랜섬웨어 공격으로부터 가장 큰 위협을 받고 있다고 경고했다고 합니다. 랜섬웨어로 데이터 손상, 금전 탈취는 물론 개개인의 문제까지 영향을 미칠 수 있는 만큼 인터폴은 194개 회원국의 경찰에 랜섬웨어 대응을 강화하라는 '퍼플 노티스'를 발령했다고 합니다.😀

4. 개발 SW 검증도구 취약한 보안설정으로 침해사고 발생 주의

최근 개발 SW 검증에 사용되는 SonarQube 서버에서 취약한 보안설정으로 침해사고가 발생하고 있어 기관 및 기업 이용자들의 각별한 주의가 요구되었다고 합니다.😀

'SonarQube'는 SW 개발 시 소스코드의 개선 및 보안 취약점을 제거 하기 위한 코드 분석 도구라고 합니다.

SnoarQube 서버의 보안 설정 및 관리가 미흡한 경우 외부의 공격자가 기업, 기관 내부의 소스코드 저장소에 접근해 소스코드 열람 및 민감정보 탈취로 이어질 수 있다고 합니다.

이에 KISA 침해사고분석단 취약점분석팀은 "관리자 계정명, 패스워드, 포트를 변경하고 접근 통제를 강화해야 한다. 보안장비를 SnoarQube 인스턴스의 앞 단에 구성하고 SnoarQube 인스턴스에 접근할 수 있는 불필요한 자격증명을 폐지할 것"이라고 권유했다고 합니다.😀

출처

www.boannews.com/media/view.asp?idx=92256&page=1&mkind=1&kind=

www.boannews.com/media/view.asp?idx=92249&page=1&mkind=1&kind=2

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29649&key=&dir_group_dist=&dir_code=&searchDate=

www.dailysecu.com/news/articleView.html?idxno=115733

1. 뉴 노멀 시대, '제로 트러스트' 보안 전략 !

현재는 뉴 노멀 시대라고 합니다. 이는 업무에도 큰 영향을 미쳐 재택근무 및 클라우드 기반 기업용 서비스 이용이 늘어나고, 개인용 기기와 여러 모바일 애플리케이션을 업무에 이용하고 있습니다. 기존 업무공간의 경계가 회사라는 공간에서 집이나 카페 등 회사 밖으로 확장되었습니다.😀

이러한 변화에 맞춰 보안 패러다임도 전환될 필요성이 커졌다고 합니다. 최근 사이버 공격 동향을 보면 기업 네트워크나 서버를 공격하는 것을 넘어 다양한 영역을 노리는 추세라고 합니다. 반면, 기존 보안 패러다임은 새로운 형태의 공격에 대응하거나 방대한 양의 데이터를 처리하는데 적합하지 앟았다고 합니다. MS의 발표에 의하면 기존 기업이 새로운 유형의 보안 위협에 대응하는데 약 30억의 비용이 소요된다고 합니다.😮

새로운 형태의 위협에 대응하고 방대한 데이터를 처리하기 위해 보안에 인공지능과 자동화 도입이 필요하다고 합니다. 이러한 환경에는 제로 트러스트(Zero Trust, 직독하여 아무도 믿지 말라는 의미로, 기업 네트워크와 데이터에 접근하려는 기기 혹은 사람에 대해 적절한 인증 절차 없이는 권한을 주지 않는 것) 전략처럼 새로운 보안 원칙이 요구된다고 합니다. 제로 트러스트 전략은 보안보다는 신원 확인에 집중하는 형태이며, 오늘날 업무 환경에도 잘 어울린다고 합니다.😀

2. 건강한 보안 강화 3단계

ISEC 2020 현장에서 국가별 보안 현황을 가장 정확하게 파악할 수 있는 위치에 있는 몇 안되는 사람 중 한 명인 오비소 마르코(Obiso Marco)가 영상 기조연설을 진행했다고 합니다.

코로나 사태로 원격 강연을 진행하였고 모든 사람들이 안전한 통신 생활을 영위하도록 하려면 여러 방면에서의 노력이 이루어져야 보안이 완성된다고 강조했다고 합니다.😀

(1) 보안을 평가하기 휘해 꼭 살펴야 하는 5개 영역

앞에서 언급한 '여러 분야'란 GCI가 표방하는 5개 영역(법, 기술, 조직, 역량, 협업)을 말하는 것이라고 합니다. 이러한 영역들이 모두 필수적이라고 강조했다고 합니다.😀

- 국가적 차원에서는 안전한 통신을 제공하기 위해서는 통신 환경에서의 사이버 보안과 관련된 법

- 위협을 방비하고 대처할 수 있는 기술력

- 실제 행동을 취하려고 했을 때 구심점이 되어주는 조직의 존재

- 장기적인 역량 개발을 위한 노력

- 부드럽고 원활한 협업 체계

그리도 더불어 다음과 같이 언급했다고 합니다.

"이 5개 영역으로 보안의 전반적인 수준을 파악한다는 것에 이견이 있을 수 있으며, 다른 측정 방법이 존재하는 것도 사실입니다. 그러나 ITU 내부적으로는 이 5개 영역에서 기본적인 바탕이 이뤄져야 납득할만한 수준의 보안 체제가 마련된다고 보는 편입니다. 법이 마련되어 있는지, 기술력이 충분한지, CERT와 같은 조직이 존재하는지, 역량 개발을 위한 프로그램이 있는지, 협업이 잘 이뤄지는지 이걸 물어볼 수 밖에 없다는 것입니다"

그렇다 GCI가 5개의 질문으로 190이 넘는 ITU 회원국의 역량을 파악하는건 아니라고 합니다. GCI는 총 82개 문항이 있으며, 이 질문들은 주기적으로 관리되고 업데이트 된다고 합니다. 질문들은 회원국들에게 전달되고, 회원국들이 답을 보내면 ITU 내부에서 분석 작업이 이루어 진다고 합니다.

(2) 보안, 경제 언어로 말하라

강연을 통해 단순 평가가 GCI의 목적이 아니라고 강조를 했다고 합니다. 이는 현 상태를 파악하고, 잘 되고 잇는 케이스의 노하루를 비교적 잘 안되고 있는 국가에 공유하여 전체적인 보안 역량을 강화하는 것이며, GCI는 전세계 사람들을 이어주겠다는 ITU의 안전 장치와 같은 도구라고 언급했다고 합니다.

이런 GCI의 조사를 통해 한 가지 명확해 진 것은 국가의 보안 역량 강화가 국가 경쟁력과 직결된다는 사실이라고 합니다.😀

돈 많이 국가가 보안을 잘하는 것이 아닌 보안에 좀 더 신경을 쓰는 나라가 다른 조사 기관의 경쟁력 지표에서도 상위권을 유지하고 있다는 관계성이 드러났다고 합니다. 즉, 보안이 국가 차원에서의 경제적 역량과 밀접한 관계를 맺고 있다는 것을 언급했다고 하네요😁

CISO들에게 하는 조언 중 "일반 임원들에게 보안에 대해 설명할 때 '돈 액수' 혹은 '경제의 언어'로 하라" 라고 조언했다고 합니다. GCI가 국가 차원의 보안 강화를 위해 마련된 도구로서 효력을 발휘하려면 이런 경제적 지표와의 연관성이 반드시 필요하다고 합니다. 이후 GCI를 접한 국가들 사이에서 변화가 일어나기 시작했다고 합니다.😁

(3) 일으킨 변화를 자랑스러워하라

초기에는 사이버 보안 관련 법을 가진 국가가 많지 않았다고 합니다. 국가 차원에서 보안 정책과 프레임워크가 필요한데 초기에 이런 장치를 갖춘 나라는 100개 미만이었지만, 현재는 107개국까지 늘어났다고 합니다.

그러나 아쉬운건 아직 대화가 현저히 부족한 것이라고 합니다. 국가 간 수사 공조 등의 협력 체계는 크게 발전했지만, 국가 내 정부 기관들과 민간 업체, 시민 단체 사이의 대화는 아직도 거의 일어나지 않고 있다고 합니다.🤨

3. 보건의료 데이터 활용 본격화

보건복지부는 안전한 가명정보의 결합 활용을 지원하기 위해 보건의료분야 결합 전문 기관 3곳을 지정한다고 밝혔다고 합니다.

그간 현장 활용 수요에 대응하기 위해 각기 다른 기관의 자료 결합 활용이 필수적임에도 법적 근거 미흡으로 활용이 어려웠으나, 개인정보보호법 개정으로 가명정보 결합 활용이 가능해져 전문기관의 안전한 결합, 반출업무 수행이 매우 중요해졌다고 합니다.

전문기관은 개인정보보호법 제28조의 3, 동 법 시행령 및 관련 고시에 따라 지정 기준을 충족하는 경우 개인정보보호위원회 또는 관계 중앙행정기관의 장이 지정할 수 있다고 합니다.

보건복지부는 사회적 우려 불식을 위해 산하 공공기관을 대상으로 보건의료분야 전문기관을 우선 지정하게 되었으며, 국민건강보험공단, 건강보험심사평가원, 한국보건산업진흥원 3개 기관이 보건의료분야의 가명정보 결합업무를 수행하게 된다고 합니다.😀

가명 정보 결합 활용은 보건복지부가 정부 최초로 공개한 '보건의료 데이터 활용 가이드라인'에서 제시된 가명 정보 결합 활용절차에 따라 시행된다고 합니다. 구체적 절차를 살펴보게되면, 여러 가지 보건의료 데이터를 결합 활용하고자 하는 기관에서 개별 보건의료 데이터 보유기관의 활용심의를 거쳐 가명 정보 결합신청서를 전문기관으로 제출하고, 전문기관은 결합 적정성을 검토한 후 결합 수행, 반출심의위원회를 거쳐 결합된 정보를 제공한다고 합니다.

의료기관은 다양한 기관과의 협업을 통한 가명 정보 결합, 분석이 가능하게 되어 빅데이터에 근거하여 의료 질 향상에 기여할 수 있고, 산업계에서는 결합정보를 바탕으로 신약, 융합형 의료기기, 유망 서비스 개발이 가속화 될 것으로 보인다고 합니다.😀

아울러, 정부 및 공공기관에서는 가명 정보의 결합 및 활용을 통해 데이터에 기반한 예방적 공공정책 수립과 정밀한 정책 효과성 평가 등이 가능할 것으로 기대된다고 합니다.

방대한 건강보험 빅데이터의 손쉬운 활용을 돕기 위해 정보제공과 결합 활용 삼당 등을 지원하는 빅데이터 큐레이팅 시스템을 도입할 예정이며, 가명 데이터 제공자와 사용자간 권리, 의무관계 및 개인정보보호 책임을 분명히 하기 위해 가명정보 활용 표준 계약서를 제시하고, 데이터 심의위원회 표준 운영모델 등을 마련하여 소규모 기관의 가명정보 제공시스템 구축을 지원할 것이라고 합니다.😁

출처

www.boannews.com/media/view.asp?idx=92165&page=2&mkind=1&kind=3

www.boannews.com/media/view.asp?idx=92193&page=1&mkind=1&kind=4

www.dailysecu.com/news/articleView.html?idxno=115741

1. 중국이 자주 익스플로잇 한다는 25개 취약점

얼마전 미국에서 "중국 해커들이 자주 익스플로잇 하는 취약점 25개"를 취합하여 공개했다고 합니다. 그리고 취약점 세부 내용과 함께 다른 취약점들에 비해 최소 7배 더 스캔 및 익스플로잇이 된다는 내용이 담겨져 있다고 합니다. 이 취약점들이 인기가 많은 애플리케이션들에서 발견되고 있어 누구나 중국 해커의 먹이가 된다고 합니다.😐

이 목록에 포함된 취약점들은 대부분 원격에서 피해자의 네트워크에 침투하는데 악용되는 것이며, 최초 공격을 감행하도록 해주는 것으로 매우 유용하다고 합니다. 한 보안 업체에서 이 취약점에 대해 영향력을 조사했는데 약 161개 국가에서 익스플로잇이 이뤄지고 있다고 합니다. 대부분 미국에서 발생하고 있으며, 독일, 영국 등에서도 공격이 빈번히 일어나고 있다고 합니다.

또한 산업별 위험도까지도 함께 조사를 했다고 합니다. 그 결과 정부 및 군 조직들이 이 취약점을 통한 공격을 가장 빈번히 받고 있다고 하며, 도소매 와 제조업, 금융업이 공격에 노출되어 있다고 합니다.😮

이 취약점들이 공격자들의 손에 활발히 사용되는 이유 중 하나는 익스플로잇이 간단하기 때문이라고 합니다.

다음의 다섯 개 취약점은 25개 취약점들 중에서도 더 많이 익스플로잇이 된다고 합니다.

- CVE-2020-8515 : 드레이텍 비고(Draytek Vigor)의 명령 주입 취약점

- CVE-2019-1040 : MS 윈도우의 NTLM 인증 우회 취약점

- CVE-2019-19781 : 시트릭스 애플리케이션 딜리버리 컨트롤러(Citrix Application Delivery Controller)의 원격 코드 실행 취약점

- CVE-2019-11510 : 펄스 시큐어 VPN의 임의 파일 읽기 취약점

- CVE-2020-5902 : F5의 빅아이피의 명령 실행 취약점

현재 NAS는 민간 기업들과 공공 기관들 모두에 25개 취약점에 대한 패치를 서두르라고 권고하고 있다고 합니다. 그리고 "비밀번호의 주기적 교체, 계정 관리 및 모니터링 등의 활동은 계속 이어나가야 하며, 외부로부터의 내부 네트워크 접속 기능과 권한을 제한하는 것도 좋은 방법"이라고 권장했다고 합니다.😁

2. 구글 플레이어 스토어를 뚫은 악성 게임 앱들

애드웨어가 포함된 악성 게임 앱들이 구글 플레이 스토어에서 새롭게 발견되었다고 합니다.😮

현재 외부 전문가들에 의해 발견된 악성 앱은 총 21개이며, 이 게임에는 히든애즈(HiddenAds)라는 애드웨어가 같이 패킹되어 있다고 합니다.

보안 업체 어베스트의 수석 분석가인 엠마 맥고완은 자사 블로그에서 "게임 기능은 흉내 내기 정도로 존재할 뿐 광고를 노출시키기 위해 만들어진 앱입니다. 더불어 아이콘을 장비에서 삭제함으로써 피해자들이 삭제하기 어렵게 만드는 등의 전략도 구사합니다."이라고 설명했다고 합니다.

피해자들이 이 앱을 알게 된건 대부분이 유튜브와 같은 유명 소셜 미디어에 노출된 광고를 통해 접한 것이며, 게임 광고 혹은 사진 앱 광고 형태로 나타났고 그런 앱들을 찾고 있던 피해자들이 아무런 의심 없이 광고를 클릭하면서 공격이 시작되었다고 합니다. 이는 정상 앱 개발사들의 광고 저략과 다를게 없다고 하네요!

현재 소셜 미디어의 광고를 통해 애드웨어 및 멀웨어가 유포되는 건 흔한 현상이라고 합니다. 지난 9월에는 틱톡이라는 플랫폼에서 애드웨어가 퍼져나가기도 했다네요!😮

한편 구글은 공식 스토어인 플레이에서 악성 앱을 완전히 퇴치하는데 어려움을 겪고 있다고 합니다. 매번 구글도 인지하고 계속해서 투자를 감행하는데도 빈번히 뚫린다고 합니다.

구글은 플레이 스토어에 강력한 퇴치 프로그램을 내부적으로 수립해 적용했으며, 엔드포인트 보안 업체 3곳과 파트너쉽을 맺기까지 했답니다. 이를 통해 790,000 개의 앱들을 미리 적발해 퇴출시키는데 성과를 올렸지만 100% 다 제거하지 못해서 문제라고 합니다.😯

이에 구글은 스토커웨어(누군가의 온라인 행적을 추적할 수 있게 해주는 프라이버시 침해 앱)와의 전쟁을 선포하기도 했으며, 이를 위해 스토어 정책을 바꾸기도 했다고 합니다.😀

이렇게 조치를 취했음에도 불구하고 구글 플레이 스토어에서는 멀웨어가 지속적으로 발견되고 있다고 합니다. 최근에는 '조커'라는 스파이웨어가 말썽이었으며, 17,000여 개의 조커 관련 앱들을 찾아 삭제하기도 했답니다. 그럼에도 9월에 다시 나타났으며, 최소 수십 만 명의 피해자들을 감염시켰다고 합니다.

또한 구글 플레이 스토어에서 기본적인 암호화 코드 규칙을 어기는 앱이 300개 이상 발견되기도 했다고 합니다.

이에 안드로이드 사용자들은 플레이 스토어에서 앱을 다운로드 받을 때, 앱 설명과 사용자 리뷰를 꼼꼼히 읽고 개발사 홈페이지까지 방문해 충분히 조사하라고 권고하고 있습니다.😁

3. 행정안잔부 전체 공공 사이트에 HTTPS 도입 검토

행정안전부(행안부)가 중앙부처, 지방자치단체, 공공기관의 사이트에 HTTPS를 적용하고 보안을 강화하는 방안을 검토한다고 합니다.😀

그리고 행정안전부 관계자는 "전체 공공기관 웹사이트를 전수조사한 결과를 보고 자세한 방향을 결정할 계획"이라고 언급했다고 합니다.

HTTP는 주고 받는 데이터가 암호화되어 있지 않아 보안에 취약하며, HTTPS는 이를 보안소켓계층(SSL) 통해 암호화한 것입니다.

행안부는 과거 공공기관 웹사이트의 HTTPS 적용을 지원해왔으나, 정부 발급 SSL(G-SSL) 인증서 기반 공공 웹사이트의 경우 모바일 환경에서 보안 경고 창이 나타나는 등 HTTPS를 원활히 지원하지 못했다고 합니다. 그리하여 2018년 8월부터 공공기관 및 공기업 홈페이지 평가 기준에서 HTTPS 적용 여부를 제외한 상태라고 합니다.

HTTPS 전환 정책은 지난 행안부 국정감사에서 공공기관 웹사이트 1210개 중 582곳(48.2%)이 HTTP 사이트라고 지적하면서 검토가 이루어 지게됬다고 합니다.

이에 행안부는 공공기관 웹사이트 HTTPS 전환 계획을 보고했으며, HTTPS를 도입했더라도 접속 시 적용되지 않는 사이트의 경우 자동 전환되도록 조치하는 내용도 계획에 담았다고 합니다.😁

행안부는 계획 검토를 위해 10월 말까지 전수조사를 마칠 계획이며, 전수조사 결과를 바탕으로 12월까지 HTTPS 전환 정책을 검토할 예정이라고 합니다.😀

출처

www.boannews.com/media/view.asp?idx=92162&page=1&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=92163&page=1&mkind=1&kind=1

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29634&key=&dir_group_dist=&dir_code=&searchDate=

1. 개발자가 너무 적어 공격받는 어몽어스!

모바일 게임 어몽어스가 수많은 인기를 얻자 악성 행위자들이 몰려들기 시작했다고 합니다. 하지만 개발사는 이에 대처할 능력을 갖추지 못하고 있는 것으로 보인다고 합니다.😨

어몽어스 개발사인 이노슬로스는 세 명으로 구성되어 있는 회사로써 개발자는 단 한 명이라고 합니다.

최근 어몽어스 게이머들은 게임 도중 에리스 로리스라는 이름을 가진 플레이어로부터 스팸 메시지를 받았다고 합니다. 이 스팸메시지로 인해 게임 진행이 불가할 정도라고 했답니다. 인터넷 커뮤니티인 레딧(Reddit)에서 수많은 사용자들이 이러한 현상을 알렸으며, 메시지를 발송하는 건 봇으로 보였고 한 유튜브 채널을 홍보하고 있었다고 합니다. 해당 유튜브 채널에 접속하지 않으면 전화기를 폭파하겠다 라는 위협과 선거적 메시지를 담기도 했다고 합니다.

이에 유일한 개발자인 포레스트 윌라드는 서버 업데이트를 진행했으며, 스팸 메시지 전송자를 파악하여 서버로부터 추방하려 했다고 합니다. 하지만 공격자가 아닌 플레이어들도 같이 추방되기 시작하는 등 일이 잘 진행되지 않았다고 합니다.🙄

게임 전문 매체인 코카투는 공격자를 인터뷰를 하는데 성공했는데, 공격자는 "이너슬로스가 사업 규모를 제대로 키웠다면 얼마든 대처할 수 있었다. 플레이어들의 분노는 이노슬로스의 무능력 때문에 발생한 일이며, 이 정도 규모의 게임이면 개발자를 더 고용했어야 했다. 아직 한 명이 이 게임을 운영할 수 있다는 생각은 문제이다."라고 언급했다고 합니다.😀

2. 요즘 해커 무기 파일리스 공격

최근 4년 동안  파일 없는 공격인 파일리스 공격 기법이 상당수 쓰였다고 합니다.

파일리스 공격이 해커들의 강력한 무기로 부상하고 있다고 합니다. 파일리스는 악의적인 기능을 수행하는 코드를 메모리에서만 실행시키며 시스템에 피해를 입히는 공격 유형입니다.😀

현재 파일리스 기법은 APT 공격뿐 아니라 랜섬웨어, 암호화폐 채굴 악성코드 배포 등 모든 기법으로 확산되고 있다고 합니다.

파일리스가 최신 기법은 아니지만 증가세가 급격히 늘어나기 시작한 것은 MS가 개발한 시스템 명령어 도구인 'PowerShell'이 악용되기 시작한 2016년 이후 부터라고 합니다. APT 공격이 이뤄진 침해 사고에서 파일리스 기법이 많이 발견되면서 '지능형 휘발성 위협(AVT)'라는 말까지 생겨났다고 합니다.

해커들이 파일리스 기법을 쓰는 이유는 공격이 발견되거나 추적당하는 것을 원하지 않기 때문이라고 합니다.

파일리스 기법의 경우 공격 대상의 시스템이 유입시킨 악성코드가 디스크 내에 파일 형태로 존재하지 않아 파일을 모니터링하는 백신 솔루션에 탐지되지 않을 수도 있다고 합니다. 보안 담당자 또한 확인할 파일이 없으니 식별하기 어렵다고 하네요.😑

파일리스 기법이 일반적인 백신 솔루션으로 대응하기 어려운 만큼 공격을 파악하기 위해서는 시스템 로깅을 강화하고, 지속적으로 검토하는 것이 필요하다고 합니다.😁

파일이 아닌 '악성 행위'에 집중하는 엔드포인트 위협탐지대응 솔루션을 활용하는 것도 하나의 방법이라고 하네요!😀

3. 정신 치료 업체 바스타모, 해킹 공격 당하다!

정신 치료 전문 업체인 바스타모(Vastamo)가 해킹을 당했다고 합니다. 민감 정보들을 탈취 당했으며, 이를 토대로 협박 공격이 이어지고 있다고 합니다. 만일 돈을 지불하지 않으면 환자들의 민감 정보들이 대량 유출될 수 있는 상황이라고 합니다.😰

바스타모는 국내에 잘 알려지지 않았지만 핀란드에 있는 거대 심리치료 전문 업체로 약 4만 명의 환자들이 도움 받고 있다고 합니다. 바스타모에 의하면 2018년 11월 말 부터 2019년 3월까지 침해되었다고 합니다. 하지만 이제서야 밝혀진 이유는 아직 모른다고 하네요..!

범인들은 이 정보를 통해 환자에게 직접 연락을 취하고 있다고 합니다. 이는 민감한 정보를 토대로 협박을 하고 있다고 합니다. 이에 핀란드의 국회에서 긴급 비상 회의를 소집했을 정도라고 합니다.😮

바스티모가 확인한 결과 현재는 이름과 전화번호만 공개되어 있는 상태라고 합니다. 다만 공격자가 훔쳐간 정보가 얼마나 더 있을지 아직 모른다고 합니다. 그럼에도 상황은 좋지 않으며 피해자의 증언이 SNS와 커뮤니티를 통해 계속해서 나오고 있다고 합니다. 범인은 하루가 지날때마다 돈을 배로 요구하고 있으며, 바스타모에 534,000달러를 요구하기도 했다고 합니다.🙁

이번 사건은 4만이라는 숫자가 크게 느껴지지 않을 수도 있지만, 민감 정보인 정신과 상담 정보가 새어나 갔다는 것과 이를 이용해 범인들이 회사뿐만 아니라 개개인에게 연락해 협박을 하고 있는 것이 큰 문제라고 합니다. 이런 민감 정보가 공개될 경우 피해자는 정상적인 사회 생활을 이어가기 힘들 수 있다고 합니다.

의료 조직의 허술한 보안은 코로나 이전부터 지속적으로 지적되어 왔다고 합니다. 의학적 연구와 투자에 집중하느라 사이버 보안은 대부분의 병원과 의료 기관에서 관심을 받지 못하는게 현실이라고 합니다. 그러는 사이에 해커들의 관심이 높아졌으며, 의료 기록은 개인을 식별하고 협박하는데 대단히 중요한 자료가 되었다고 합니다.😣

출처

www.boannews.com/media/view.asp?idx=92067&page=1&mkind=1&kind=1

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29631&key=&dir_group_dist=&dir_code=&searchDate=

www.boannews.com/media/view.asp?idx=92076&page=1&mkind=1&kind=