1. 대출비교서비스 개인정보관리 사각지대

최근 급성장하고 있는 대출비교서비스 제공기업과 금융사에서 활용되는 개인신용정보가 보안 사각지대에 놓여 있음을 국감에서 지적했다고 합니다.😀

이용우 의원은 카카오페이와 토스의 대출비교서비스 이용 시 개인정보 활용에 대한 필수적 동의사항과 선택적 동의사항이 구분없이 나열되어 있으며, 이는 신용정보법 제32조 제4항 '필수적 동의사항과 선택적 동의사항을 구분하여 설명'해야 하는 것을 위반할 수 있다고 주장했다고 합니다. 대출비교서비스를 이용할 경우 플랫폼 운영사가 제휴하고 있는 심사받을 모든 금융권으로 개인정보가 전송되는데, 선택권 보장 없이 모든 제휴업체에 강제로 공유된다고 지적했다고 합니다.😐

실제 대출모집법인인 핀테크 업체를 통해 살펴보면, 금융소비자의 개인정보는 1차로 핀테크 업체, 2차로 각 금융사로 전달된다고 합니다. 금융소비자는 금융사에서 넘어온 대출조건을 보고 한 곳의 금융사를 통해 대출을 실행하게 되는데 문제는 금융소비자의 개인정보가 대출 조건을 제공했던 모든 금융사로 전달되며, 대출이 실행되지 않더라도 3개월간 금융사에서 보관된다는 점이라고 합니다. 금융소비자는 대부분 일괄동의 등의 과정을 거치는 경우가 많아 깊숙이 명시되어 있는 개인정보 제공 및 정보보관 내용을 인지하기 어렵다고 하네요.🙄

이에 이용우 의원은 금융당국의 역할은 금융소비자가 금융서비스를 이용할 시 개인신용정보가 어떻게 유통되는지 이해하게 하고, 개인정보가 어떻게 관리되는지, 어떤 기준으로 제도를 개선할 것인지 대책을 마련해야 한다고 언급했다고 합니다.😀

2. 디스코드를 C&C로 활용하는 최초의 멀웨어 아바돈 !

디스코드(Discord)를 C&C로 활용하는 멀웨어가 처음으로 발견되었으며 이는 일종의 원격 접근 트로이목마로 이름은 아바돈이라고 합니다.😀

디스코드를 활용한 범죄는 디스코드를 데이터를 저장하는데 쓰거나, 멀웨어를 클라이언트에게 넘겨주는 장소 정도만으로 활용했다고 합니다. 그러나 멀웨어와 연동되는 C&C 서버로서 디스코드가 활용된 사례는 처음이라고 합니다.

아바돈을 분석한 바로는 컴퓨터를 감염시킨 후 다음과 같은 정보들을 빼돌린다고 합니다.

- 크롬 쿠키

- 크롬에 저장된 신용카드 정보와 크리덴셜

- 스팀용 크리덴셜과 설치된 게임 목록

- 디스코드 토큰과 다중인증 관련 정보

- 파일 목록

- 시스템 정보

이 정보는 아바돈이 자동으로 훔치며 C&C 서버와의 연동이 발휘되지 않는다고 합니다. 그러나 정보를 훔쳐낸 후 디스코드에 마련된 C&C 서버로 보내기 시작하며 다음과 같은 추가 명령을 기다리는 상태로 전환된다고 합니다.

- 컴퓨터로부터 특정 파일이나 디렉토리 전체 탈취

- 드라이브 목록 작성 및 전송

- 리버스 셸 열기

- 랜섬웨어 실행

- 추가로 수집된 정보를 서버로 보내고 난 뒤 저장된 탈취 정보 삭제

아바돈은 10초에 한번씩 서버와 연결하여 갱신하며 새로운 명령을 받는다고 합니다. 즉, 공격자들이 지속적으로 새로운 데이터를 탐지해 빼돌릴 수 있다는 것입니다. 그리고 새로 입수된 데이터에 따라 새로운 명령을 전송하는 것도 가능하다고 합니다.😑

보안전문가들이 가장 걱정하는것은 랜섬웨어 기능이라고 합니다. 분석된 바로 의하면 아바돈은 기본적인 암호화 알고리즘을 가지고 파일들을 암호화 하고, 협박 편지를 전송하여 돈을 받은 후 복호화 하는 기능을 제공한다고 하네요!

그러나 다행이 랜섬웨어 기능은 아직 개발단계에 있는 것으로 보인다고 합니다. 이에 전문팀은 현재 랜섬웨어가 범죄자들에게 큰 수익을 올려주는 요소이기 때문에 여러 유형의 사이버 공격과 랜섬웨어가 접목된 형태가 계속해서 나타날 것이라고 경고하기도 했다고 합니다.😁

3. 정부 모바일앱, 보안문제 심각!

컴퓨터에 대한 전문지식이 없는 일반인도 정부 모바일앱의 개발자 페이지에 접근해 앱을 위조하고 정보 왜곡까지 할 수 있는것으로 조사되었다고 합니다!

이는 가장 기초 암호화 조치인 '난독화' 조차 하지 않았기 때문이라고 합니다.😨

특히 안드로이드 기반으로 구축한 어플리케이션은 개발 언어가 공개되어 있다고 합니다.

국회 김영배 의원이 행정안전부 공공앱의 보안 취약점을 직접 조사했는데. '2019 공공앱 성과측정지표 결과' 누적 다운로드 횟수는 80,000 ~ 6,000,000회 정부 기관 및 지자체 제작 어플리케이션 16개 난독화 여부를 파악한 것이라고 합니다.

김영배 의원실에 따르면, 모바일 보안 취약점 확인 프로그램을 구글 검색으로 다운받아 어플리케이션을 분해해 침투 가능한 것으로 조사되었다고 합니다. 또한 프로그램을 비롯해 '난독화가 안 된 어플리케이션 해킹 메뉴얼'을 따라하면 비전문가도 정부앱 해킹이 가능한 상황이라고 경고했다고 합니다.😑

현재 서울자전거 따릉이, 공무원연금공단 모바일앱, LH청약센터 모바일, 한국전력 공사 스마트한전 등 여러 앱이 난독화가 되어있지 않은 상황이라고 하네요.😥

4. 미국에서 일어난 전 시스템 관리자의 해킹 사건

미국의 백화점 브랜드인 센추리21(Century 21)에서 악성 내부자 사건이 발생했다고 합니다.

이는 전 시스템 간리자가 퇴사 후 회사의 비밀 네트워크에 불법으로 접속하여 여러가지 데이터를 조작한 사건이라고 하네요.😀

용의자는 센추리21의 직원이었을 때 HR 시스템을 관리하는 역할을 담당했었다고 합니다. 그래서 회사의 데이터 관리 시스템이나 시간 관리 시스템에 자유롭게 접속할 수 있었다고 합니다.

용의자는 자택에서 센추리21의 네트워크에 접속해 데이터들을 조작해 왔으며, 자기 후임자 역할을 했던 컨설턴트들이 센추리21의 컴퓨터 네트워크에 접속해 세부적인 구조와 요소를 파악하기 힘들게 만들기 위해 여러 데이터를 삭제했다고 합니다.🙄

센추리21 측은 용의자의 후임들이 계속해서 시스템에 원활하게 접근하지 못하는 것을 의심하다가 이러한 사실을 알아냈다고 합니다. 이에 내부 수사를 진행했으며, 센추리21의 휴가 관리 명단과 데이터, 정책 등이 허가 없이 변경되었다는 것을 알아냈다고 합니다.

이 때문에 일부 직원은 휴가 기간에도 출근한 것 처럼 처리가 되어 긴 유급 휴가를 누리기도 했다고 합니다.🤣

하지만 오류를 파악하고 정정하는 것과 삭제되거나 변경된 데이터를 원상복귀시키는 일에 수만 달러의 비용이 들어 갔다고 합니다.

이 사건을 통해 내부자 보안이 참으로 중요하다는 것을 깨닫게 되네요!😁

출처

www.boannews.com/media/view.asp?idx=92029&page=1&mkind=1&kind=2

www.boannews.com/media/view.asp?idx=92034&page=1&mkind=1&kind=1

www.dailysecu.com/news/articleView.html?idxno=115539

www.boannews.com/media/view.asp?idx=92035&page=1&mkind=1&kind=1

1. 카드 산업의 미래 방향, 지문 인증 통해 결제하는 신용카드?

마스터카드와 싱가포르 핀테크 기업인 매치무브(MatchMove), 프랑스 증강현실 기술기업인 이데미아(IDEMIA)가 '생체 인증 신용카드'를 개발하였으며, 아시아 시장에서 시험 운영할 것이라고 합니다.😀

이 신용카드의 이름은 에프코드 이지(F.CODE Easy)이며, 카드 소유자는 매장에서 카드로 결제 시 지문 인증을 거쳐야 한다고 합니다. 그리고 "스마트폰에서 하던 생체 인증 결제를 카드에서 똑같이 할 수 있을 것입니다. 이로써 소비자들은 훨씬 더 안전하고 편리하게 변할 것이며, 서명과 PIN을 제공하는 과정도 생략될 것입니다. 오로지 자신이 보유한 카드만을 만지게 됨으로서 공공장소에서 불필요한 접촉을 줄일 수 있습니다"라고 언급했다고 합니다.😁

매치부드가 생체 인증 카드의 발급을 책임지게 되었으며, 4사분기에 카드를 출시할 것이라고 합니다. 먼저 마스터카드, 이데미아, 매치무브의 직원들에게 제공되어 실생활 속에서 여러가지 거래를 진행할 것이며, 일부 고객들에게도 제한적으로 카드가 제공될 수 있다고 합니다.

신용카드 개발은 이데미아가 맡았다고 합니다. 그러나 설계와 제작에 필요한 기술은 마스터카드가 제공한 것이라고 합니다.😀

'지문 인식과 결제'라는 기능 이행만 아니라 이 과정에서 발생할 수 있는 프라이버시 침해 문제와 보안 사고 가능성까지 제거하는 과정이 필요했다고 합니다. 생체 정보는 중앙 DB가 아니라 엔드포인트에 해당하는 각 카드에 직접 저장이 된다고 하네요.😮

카드에는 배터리가 따로 들어가지 않고 긁는 단말기에서 결제할 때마다 조금씩 에너지가 충전되며, 이 전력을 통해 카드에 탑재된 지문 인식 장비가 기능을 발휘합니다. 이 지문 인식 기술은 ISO의 관련 표준을 준수하고 있다고 강조했다고 합니다.😁

2. SMS 인증 뚫고 텔레그램 계정 탈취한 해킹 사건 발생

전화와 문자메시지를 가로챌 수 있는 통신 프로토콜 취약점을 악용하여 2단계 인증 절차를 뚫고 텔레그램 계정에 접근한 해킹 사례가 발견되었다고 합니다.😮

이스라엘 보안기업인 판도라시큐리티는 해커가 통신 프로토콜 '시그널링시스템7(SS7)'에 접근해 공격을 시도한 사례를 지난달에 20건 이상 포착했다고 밝혔습니다.

SS7은 전세계 통신망에서의 문자, 전화 통신을 지원하는 프로토콜로써 해커는 이를 노려 기기가 다른 네트워크에 등록된 것처럼 장치 위치를 업데이트했다고 합니다.

판도라시큐리티 창립자 차치 가노트는 회사가 피해자들의 뺏긴 계정 접근 권한을 되찾는 걸 지원했다고 언급했습니다. 또한 이번 공격에 대해 피해자에게 전달되는 음성통화와 SMS 메시지를 가짜 'SMS센터(SMSC)''에 보내도록 하는 방식을 취했을 가능성이 존재한다고 설명했습니다.😀

해커는 이같은 공격으로 피해자의 여러 계정 정보를 탈취할 수 있었으며, 해커가 획득한 정보 중 단말식별자인 MSISDN, 단말 가입자 식별자인 IMSI도 포함되어 있었다고 합니다.😐

해커는 암호화폐 프로젝트의 고위 관계자들을 대상으로 공격을 시도했으며, 암호화폐 탈취를 노렸다고 합니다. 공격 사례들을 보면 해커가 텔레그램 앱에서 피해자로 위장하여 지인들에게 비트코인을 이더리움클래식(ETC)으로 교환해달라고 요청한 경우도 존재했다고 합니다.

블리핑컴퓨터는 이런 해킹 가능성이 있는 만큼 사이버보안 업계에서 SMS 인증 코드 전송 방식이 불안정한 것으로 인식되고 있다고 지적했다고 합니다.😀

이에 가노트는 2단계 인증용 별도의 앱이나, 하드웨어 키가 SMS 인증보다 나은 해결책이 될 수 있다고 조언했다고 합니다.😁

3. '거리두기 2.5단계 협조 요청' 악성 메일 유포

최근 사회적 거리두기 2.5 단계 시행 안내를 사칭한 악성 메일이 발견되어 주의를 요구하고 있다고 합니다.😀

새롭게 발견된 이 악성 이메일은 수도권 사회적 거리두기 2.5 단계 조치에 따라, 특정 기업의 본사 방문 제한 협조를 요청한다는 내용이라고 합니다. 하지만 현재 사회적 거리두기 단계가 1단계로 하향 조정된 상황에서 2.5 단계 시행과 관련된 안내를 기재, 본사 방문 제한 협조 기간도 9월 6일까지 표기하는 등 현재와 동떨어진 내용이 들어 있다고 합니다.😁

이에 이스트시큐리티 시큐리티대응센터 문종현 센터장은 "발견된 공격의 내용이 맞지 않는 것은 국내 상황에 능통하지 않은 해외 공격자가 불특정 타인의 이메일에서 내용을 수집해 공격에 활용했기 때문이라고 추측하고 있다. 다만 거리두기 단계가 1 단계인 상황에서 2.5 단계 관련 내용의 이메일을 수신하게 되면 자연스럽게 궁금증이 생겨 열람하고 첨부된 문서까지 실행할 가능성이 높기 때문에 주의가 필요하다." 라고 당부했다고 합니다.

이번 공격을 분석한 결과 악성 문저 파일(KF29794499E_COVID-19_SARS-CoV-2.doc)을 이메일에 첨부해 유포하는 방식으로 유포되고 있다고 합니다. 첨부된 문서 파일을 실행하면 MS-Word 프로그램 업그레이드가 나타나며, 상단에 나타난 '콘텐츠 사용' 버튼을 클릭하도록 유도하고 있다고 합니다. 메일 수신자가 이를 사용할 경우 악성 매크로 코드가 동작하게 되고, 악성 서버와 통신을 통해 공격자 의도에 따라 추가 악성 파일을 내려받고 악성 행위를 수행할 수 있게 된다고 합니다.😮

현재 공격에 사용된 악성 파일을 주로 이메일을 통해 유포되고 자가 복제, 사용자 정보 탈취 등 다양한 악성 행위를 수행하는 '이모텟(Emotet)' 악성 코드의 변종으로 판단하고 있다고 합니다.😀

출처

www.boannews.com/media/view.asp?idx=91968&page=1&mkind=1&kind=1

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29625&key=&dir_group_dist=&dir_code=&searchDate=

www.boannews.com/media/view.asp?idx=91965&page=1&mkind=1&kind=1

1. '팀뷰어' 설치 유도하는 피싱 주의

스마트폰 원격제어 앱 설치를 유도하고, 제어권한을 탈취하는 피싱이 증가하고 있다고 합니다.😐

최근 범죄 조직이 지인이나 가족을 사칭하여 원격제어 앱인 '팀뷰어'를 설치하라는 메세지를 보내어 설치를 유도함으로써 각종 개인정보를 유출해 금융사고를 일으키는 범죄가 증가하고 있다고 합니다.

팀뷰어는 원격제어 프로그램으로서 상대방에게 그대로 전송되며, 마우스, 키보드 등 각종 입력 기능 역시 상대가 제어할 수 있게 됩니다. 만일 그 상대방이 범죄자라면 자신의 스마트폰을 마치 범죄 조직의 물건인 것처럼 다룰 수 있기 때문에 스마트폰 보안 상태를 취약하게 만드는 것이 가능하다고 합니다.

이러한 피해를 예방하기 위해서는 사용자들의 주의가 반드시 필요하다고 합니다. 우선 지인으로부터 메세지를 받은 경우라면 직접 지인에게 확인을 해야 하는 것이 중요합니다. 특히, 악성앱을 사전에 설치해 전화 연결을 가로챌 수 있는 만큼 영상통화로도 확인이 가능하다고 합니다. 긴급상황이라며 금전을 요구하는 경우는 의심부터 해보는 것이 좋다고 하네요.😀 

문자메시지에 포함된 URL을 함부로 누를 경우 악성 앱 설치 파일이 저장되거나 피싱 사이트로 연결될 수 있기 때문에 알 수 없는 APK 파일이 저장될 경우 이를 삭제해야 하며, 알 수 없는 앱 설치 또한 피하는 것이 좋다고 합니다. URL로 연결된 웹사이트에 각종 개인정보를 직접 입력하는 것은 지양해야 하며, 스마트폰 보안 앱을 이용하는 것이 좋다고합니다.😁

피해를 입은 경우 은행 콜센터를 통해 지급 중지 신청을 하고, 경찰과 금융감독원에 신고해야 합니다. 또한 한국인터넷진흥원(KISA) 118 콜센터를 통해 공인인증서 폐기를 요청하고, 지인에게도 피해 사실을 알려 추가 범죄 예방을 해야한다고 합니다.😀

2. 클라우드 관리 미흡으로 환자 정보 유출 사건

국제적인 규모를 가진 제약회사 화이저에서 민감한 정보가 수년 째 유출되었다고 합니다. 주로 처방약을 복용하는 환자들과 관련된 데이터이며, 구글 클라우드의 스토리지 버킷을 제대로 관리하지 않아 발생했다고 합니다.😕

유출된 정보는 다음과 같다고 합니다.

• 통화 내용의 텍스트
• 이름
• 집주소
• 이메일 주소
• 전화번호
• 건강 및 의료 기록 일부

개인 식별 정보가 노출된 것도 심각한 문제이지만, 이를 처음 발견한 보안 업체인 vpnMentor는 "고객들과의 통화 내용을 텍스트로 정리한 자료가 유출된게 더 크다. 환자들이 화이저에 전화를 하여 약품 리필이나 부작용 등에 대해 상담을 받는 내용들이 담겨져 있습니다. 이는 지적재산으로서도 가치가 높은 정보입니다."라는 입장을 밝혔다고 합니다.🙄

이 사건으로 수백명이 영향을 받았다고 합니다. 이 버킷이 처음 발견된건 7월이며, vpnMentor는 여러 번의 시도를 통해 화이저에 연락할 수 있었고 9월 23일이 되서야 적절한 조치가 취해졌다고 합니다.😯

vpnMentor는 "보내신 내용을 확인했을 때 중요한 데이터라고 강조하신 부분에 대하여 인정하기 힘들다"는 식으로 답장이 왔다고 말했습니다. 이에 전 세계적으로 꼽히는 거대 기업에서 개인정보에 대해 "중요한지 모르겠다"는 답장을 보낸게 놀라웠다고 합니다.

노출된 정보만으로도 사이버 범죄자들은 다양한 공격을 실시할 수 있다고 합니다. 정보가 어느 정도의 기간 동안 노출이 되었는지 확실히 알 수 없는 상태인데, 긴 시간 노출되었다면 공격자들은 더 정교한 공격을 준비할 것이라고 합니다. 특히 정교한 피싱 공격과 사이버 사기를 감행하는게 가능하게 된다고 합니다.😀

3. 전화 화의 요청으로 위장한 악성메일 주의

최근 전화 회의 요청을 위장해 암호화된 압축파일을 첨부한 악성 메일로 유포되는 악성코드를 발견했다고 합니다.😀

공격자는 실존하는 일본 화장품 기업 관계자의 회신으로 위장하여 "전화 미팅을 요청한다"는 내용으로 암호가 걸린 압축파일을 첨부해 메일을 보냈다고 합니다.

특히 본문에 일본어로 적혀있어 신뢰도를 높이려고 했다는 것이 특징이라고 합니다.😁

첨부파일을 내려받아 본문에 기재된 비밀번호를 입력하여 압축을 해제하면 '‘MYTNXTOJ3 202010月17.doc'이라는 악성 문서파일이 실행된다고 합니다. 그리고 파일을 보기 위해 업데이트를 요구하며 '편집 사용' 또는 '콘텐츠 사용' 버튼을 누르도록 유도했다고 합니다. 이를 누를 시 악성코드에 감염된다고 하네요.😀

감염 이후 악성코드는 외부 인터넷 뱅킹 관련 정보를 탈취하는 악성코드를 추가로 다운 받는다고 합니다. 이에 기본적인 보안 수칙을 철저히 지켜야 한다고 강조하고 있습니다.😁

• 출처가 불분명한 메일의 첨부파일 또는 URL 실행금지
• 백신 최신버전 유지 및 실시간 감시 기능 실행
• 파일 실행 전 최신 버전 백신을 이용하여 검사
• 운영체제, 브라우저, SW 최신 보안 패치 적용

출처

www.boannews.com/media/view.asp?idx=91926&page=1&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=91938&page=1&mkind=1&kind=1

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29623&key=&dir_group_dist=&dir_code=&searchDate=

1. 개보위의 개인정보보호 연차보고서 - 공정거래위원회·금융위원회·국민권익위원회·원자력안전위원회

(1) 공정거래위원회

가. 개인정보처리시스템 안전성 확보

공정거래위원회(공정위)는 개인정보 처리 시 안전성 확보를 위해 개인정보처리시스템에 대한 관리실태 점검을 하여 불필요한 개인정보 백업파일을 삭제하고 개인정보가 저장되는 데이터베이스에 대한 취약점 여부도 점검해 점검 결과 나타난 문제점을 보완 조치했습니다.

개인정보의 접속기록 수집, 보관, 통합 관리를 위한 개인정보 접속기록관리시스템을 도입하여 개인정보처리시스템을 대상으로 모든 접속로그를 저장하고 정기적으로 부정행위를 점검하는 등 관리 수준을 강화했습니다. 또한, 개인정보처리시스템 외에 개인별 업무용 PC에 보관 중인 개인정보에 대한 일제정비를 통해 보유 목적을 달성한 개인정보는 파기하고 업무처리 등을 위해 보유 중인 개인정보는 DRM(Digital Rights Management) 후 보관하도록 조치했습니다.

나. 개인정보 침해대응 및 유출, 노출 예방 활동

공정위는 24시간 보안관제를 실시하는 사이버안전센터를 운영하고 있으며, 이를 통해 위원회 및 소속·산하기관의 홈페이지를 통한 상시 점검을 하고 있습니다. 이와 함께 각종 홈페이지의 보안취약점을 정기적으로 점검 조치함으로써 보안수준을 강화하고, 침해사고 발생에 대비한 침해사고 위기대응 훈련을 매년 실시하고 있습니다.

다. 개인정보보호 교육 및 홍보

공정위는 대상별 개인정보보호에 대한 인식 향상을 위한 교육을 진행했으며, 용역사업자 대상으로 개인정보 업무처리 기준사항에 따른 맞춤형 교육을 실시하여 개인정보보호 관련 업무를 체계적으로 관리했습니다. 또한, 외부 전문교육이나 워크숍 등 외부 활동으로 개인정보보호 역량을 강화했으며, 직원들의 개인정보보호 인식 제고를 위해 노력하고 있습니다.

(2) 금융위원회

가. 개인정보보호 정책 및 제도 개선

금융위원회는 개인정보 수집현황을 주기적으로 조사하여 과대하게 보유하거나 불필요한 개인정보파일을 정비함으로써 개인정보 처리의 적정성과 투명성을 확보했습니다. 개인정보처리시스템상 개인정보파일을 점검해 보존기간이 경과한 개인정보는 파기하고, 개인정보파일대장을 현행화했습니다. 업무용 PC에 보유하고 있는 불필요한 개인정보를 삭제하고, 업무에 필요한 개인정보는 암호화 조치했습니다.

나. 개인정보보호시스템 운영체계 강화

금융위 및 산하기관의 개인정보 관리실태 자가진단을 실시하고 미흡한 사항에 대해서는 보호대책을 수립했습니다. 개인정보 수집현황을 전수 조사하여 불필요한 개인정보 수집을 중단하고, 개인정보파일을 점검해 보존기간이 경과한 개인정보는 파기했으며, 개인정보파일대장을 현행화했습니다. 또한, 개인정보파일을 점검하여 불필요한 개인정보를 삭제하고 업무에 필요한 개인정보는 암호화를 실시했습니다. 그리고 정보화 조직 및 개인정보보호 전담인력 확보를 위해 관련 기관 및 부서와 지속적으로 협의하고, 정보화 예산 편성 시 개인정보보호 활동을 위한 소요비용을 산정하여 사업 추진 기반을 확보하는데 노력했습니다.

다. 개인정보보호 교육 및 홍보

대상별로 차별화된 교육 계획을 수립하여 자체 집합교육을 실시하고, '금융정보보호 콘퍼런스 2019'를 개최하여 금융보안에 대한 최신 정보와 지식을 공유했습니다. 또한, 개인정보보호 관리수준 향상과 상호 정보 공유를 위해 산하기관과의 워크숍을 정기적으로 개최하고 있습니다.

(3) 국민권익위원회

가. 개인정보보호 인프라 강화를 통한 개인정보 유출 및 노출 방지

국민권익위원회(권익위)는 개인정보 처리 업부 수탁자를 통한 개인정보 유출 및 노출을 방지하고 사이버보안을 강화하기 위해 기관 내에 상주하는 외부업체 직원 인터넷용 PC를 대상으로 VDI(Virtual Desktop Infrastructure) 체계를 구축했습니다. 또한, 업무망 PC에 개인정보를 보유하는 것을 지양하고 불가피하게 보유해야할 경우 암호화 조치를 할 수 있는 솔루션을 적용하여 매월 개인정보 보유현황을 전수조사하고 고유식별정보에 대해 암호화 조치를 취하고 있습니다. 이러한 조치를 통해 불필요한 개인정보를 보유하지 않도록 하며 개인정보 유출 및 노출 방지를 강화했습니다.

나. 개인정보 수집 최소화를 통한 개인정보보호 강화

권익위는 행정규칙을 제·개정함에 있어 관행적인 개인정보 수집실태를 점검하여 불필요하거나 반복적인 개인정보 수집을 제한하고 업무 수행 시 필요한 최소한의 개인정보만 수집하도록 개선 권고하는 개인정보 수집 최소화를 지속적으로 추진했습니다. 이를 통해 4개 예규 29종 서식에서 수집하는 주민등록번호를 생년월일 등으로 대체하도록 관련 규칙을 개정해 정보주체의 개인정보보호를 강화했습니다.

다. 개인정보보호 의식 고취를 위한 개인정보보호 교육 추진

권익위는 개인정보취급자의 개인정보보호 의식을 고취하기 위해 전 직원을 대상으로 2회에 걸쳐 594명이 참여하는 집합교육을 실시했으며, 개인정보 처리 업무 수탁자를 대상으로 총 35회에 걸쳐 연인원 2,014명이 참여하는 개인정보보호 교육을 실시했습니다.

(4) 원자력안전위원회

가. 개인정보보호 기준 마련·보급 및 법·제도 개선 연구

원자력안전위원회(원안위)는 개인정보 침해유출사고에 대한 신속 대응으로 피해를 최소화하기 위해 '개인정보 침해유출사고 대응 절차서'와 수집한 개인정보를 목적과 다르게 이용하거나 제3자에게 제공하는 경우 준수사항 및 제공방법 등을 담은 '개인정보 목적 외 이용 및 제3자 제공 절차서'를 개인정보보호 관련 법률의 개정 내용에 맞춰 개정했습니다. 또한 '개인정보보호 내부관리계획'을 보완하여 개인정보 누출사고 방지를 위한 기반을 마련했습니다.

나. 개인정보보호시스템 강화 및 개인정보 모니터링 시스템 개선

2019년에 신설된 행정사무정보화 사업을 통해 원안위의 개인정보보호시스템 강화를 위한 홈페이지 개편·매체제어 시스템 고화를 추진했으며, 개인정보보호시스템을 강화했습니다. 또한, 비예산 분야에서도 불필요하게 수집되는 개인정보가 최소화되도록 노력했습니다.

다. 개인정보보호 교육 및 홍보 강화

원안위는 개인정보보호 관련 인식 제고를 위해 교육 대상별 차별화된 개인정보보호 교육 계획을 수립하고 시행하고 있습니다. 개인정보보호책임관과 개인정보보호담당자는 전문 교육 및 워크숍에 참석하여 역량을 강화했으며, 전 직원을 대상으로 사이버 교육과 전문강사 초청 개인정보보호 교육을 실시했습니다. 그리고 수탁기관 근무자를 대상으로 시스템 관리 방안, 침해사고 유형과 예방 및 대응 방안에 대한 교육을 실시했습니다.

2. 배송 실패 관련 DHL 사칭 악성메일

배송 분야 세계 1위 업체인 DHL 익스프레스를 사칭한 악성 메일이 유포 중이라고 합니다.😐

발신자 이름은 DHL 코리아이며 한국어를 사용하고 있으며 DHL 배송 실패 관련 내용으로 국내 이용자들을 노린것으로 보인다고 합니다.😮

DHL 이미지와 배송조회, 배송실패 등의 문구를 사용하여 속기 쉬우며, 첨부된 링크는 클라우드 서비스인 '드롭박스'로 연결되어 악성 HTML 파일을 다운하게 만든다고 합니다.

다운로드된 HTML 파일을 실행하면 브라우저 알림창이 생성되고 배송확인을 위해 로그인을 하라고 합니다.

알림창을 닫은 후 가짜 DHL 로그인 화면을 볼 수 있습니다. 여기서 로그인을 하면 공격자의 서버로 유출이 된다고 합니다. 이 때 사용자는 운송장정보가 표시된 페이지로 연결되어 피해 사실을 알아채기도 힘들다고 하네요.😣

DHL은 암호 및 기타 개인정보를 이메일로 요청하지 않는다고 합니다. 의심스러운 이메일을 받게 되면 DHL 고객 서비스나 경찰청, KISA 118센터에 신고하라고 권고하고 있다고 합니다.😀

3. 보안 강화 2단계 인증 및 주요 IT 서비스 인증방법

비밀번호는 각종 서비스를 이용할 때 인증하는 기본 수단입니다. 보통은 대소문자, 숫자, 특수문자를 포함한 암호가 쓰이죠. 하지만 비밀번호를 복잡하게 설정하더라도 부주의로 인해 노출되거나 키로깅 같은 공격으로 유출될 가능성이 존재합니다.😀

이러한 위험을 방지 방법이 2단계 인증(2채널 인증)이라고 합니다. 비밀번호를 입력하여 1차 인증을 하고 ARS, 보안카드, OTP, 이메일 등 여러 수단을 활용하여 이루어지는 방식이죠.😁

2단계 인증을 사용하게 된다면 1차 인증 수단인 비밀번호를 유출하더라도 자신의 계적을 안전하게 보호할 수 있습니다. 또한 자신이 로그인 시도를 하지않았을 때 2차 인증과 관련한 메시지를 받을 경우 노출되었다는 사실도 인지할 수 있습니다. 그래서 많은 인터넷 서비스 기업이 2단계 인증 기능을 갖추고 있다고 합니다.😀

우선 네이버 같은 경우에는 밑의 그림과 같이 2차 인증을 설정할 수 있습니다. 기본적으로 네이버 앱을 스마트폰에 설치한 후 앱에 로그인 해야 하며, 이후 등록절차를 통해 앱과 스마트폰을 2단계 인증에 사용할 수 있다고 합니다. 향후 네이버 계정에 로그인을 시도할 경우 앱을 통해 2단계 인증 요청 메시지가 전달된다고 합니다.

카카오는 카카오 계정으로 정보를 통합했을 경우 카카오톡을 2단계 인증에 사용할 수 있다고 합니다. 방식은 네이버와 동일하다고 합니다.

구글은 더많은 방식을 지원한다고 합니다. 2단계 인증 항목을 누르면 인증에 사용하는 수단을 선택할 수 있다고 합니다. 안드로이드 스마트폰 사용자라면 구글앱과 스마트폰이 기본 설정이며, 추가적으로 문자메시지, 물리 보안키 등을 이용할 수 있다고 합니다. 물리 보안키 같은 경우는 USB 형태가 있지만, 일부 스마트폰에도 해당 기능이 내장되어 있다고 합니다. 만약 스마트폰을 물리 보안키로 등록해놨다면 새로 PC에서 로그인 시 블루투스를 켠 상태에서 진행해야 한다고 하네요.😁

애플 계정에도 2단계 인증을 설정하는 것이 가능하다고 합니다. 기본적으로 문자메시지를 이용하지만 아이폰 사용자가 자신의 단말기를 신뢰할 수 있는 기기로 등록할 경우 애플의 다른 기기에서 로그인 시도 시 아이폰 화면에 메시지가 즉시 나타난다고 합니다.😀

IOS 10.3 버전 이상 : 아이폰 설정 -> 사용자 이름 -> 암호 및 보안

IOS 10.2 버전 이하 : 설정 -> I-Cloud -> Apple ID -> 암호 및 보안

인스타그램은 우측 상단에 있는 자신의 프로필을 누른 뒤 설정을 선택하고 공개 범위 보안에서 2단계 인증 항목을 이용하면 설정할 수 있다고 합니다. 문자메시지나 인증 앱을 이용하며, 인증 앱의 경우 PC에서는 설정할 수 없다고 합니다. 인증 앱은 인스타그램이 권장하는 듀오 모바일 혹은 구글 OTP 등 외부 앱을 이용한다고 합니다.😀

게임 프로그램인 스팀은 OTP 방식의 2단계 인증 기능인 'Steam Guard'를 지원한다고 합니다. 설정 방법은 스마트폰에 스팀 앱을 설치하고 메뉴 상단에 있는 Steam Guard 항목을 선택하면 '인증기'를 추가할 수 있다고 합니다.

2단계 인증은 보안 성능을 크게 높여줄 수 있는 기능이며 설정만 해도 해킹으로부터 상당수 막을 수 있다고 합니다. 하지만 스마트폰을 분실하게 된다면 무용지물이 될 가능성이 높다고 합니다. 그렇기 때문에 스마트폰 화면 잠금을 단순 패턴 및 간단한 비밀번호로 설정하는 것보다는 생체인식 기능을 적극 활용할 필요가 있다고 합니다. 또한 원격에서 스마트폰을 찾아 기기를 잠그거나 초기화하는 킬 스위치 기능을 알아두는 것도 도움이 될거라고 합니다.😀😁

출처

www.boannews.com/media/view.asp?idx=91860&page=1&mkind=1&kind=2

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29611&key=&dir_group_dist=&dir_code=&searchDate=

www.boannews.com/media/view.asp?idx=91836&page=1&mkind=1&kind=5

1. 보안 문제로 대두 되었던 Zoom, 종단간 암호화 적용

코로나 확산으로 인해 재택근무를 도입하는 기업이 늘며 화상 회의에 관한 수요도 증가했습니다. 그래서 화상회의 앱인 줌 사용자가 대폭 늘었지만 보안사고가 계속해서 일어났었습니다.

그리하여 줌은 '줌토피아 2020' 컨퍼런스에서 'E2EE 테크니컬프리뷰'를 적용한다고 했답니다.😀

줌의 E2EE는 GCM 암호화 기술을 이전 방식 그대로 사용하지만, 키가 작동하는 위치를 변경했다고 밝혔습니다. 일반 회의의 경우, 줌 서버에서 키를 생성하고 앱을 통해 회의에 참석자에게 키를 알려주는 방식을 사용해왔다고 합니다. 하지만 새롭게 적용하는 E2EE는 회의 개설자단에서 키를 생성하여 암호화하고, 회의 참가자는 이 키를 개설자에게 전달받아 메시지를 복호화 한다고 합니다.

줌은 공개키 기반 암호화 방식을 통해 구현했으며, 이 과정에 줌 서버는 개입하지 않기 때문에 키를 확인할 수 없다고 합니다. 즉, 회의에 쓸 1회용 공인인증서를 생성하고 인증된 사용자만 회의 내용을 알 수 있다는 의미라고 합니다.😁

이렇게 하는 이유는 줌이 사용했던 이전 방식은 사용자와 서버 사이에 전송되는 데이터를 암호화하였고, 복호화 키가 서버에 보관되어 있기 때문에 줌이 사용자 회의 내용을 직접 확인하는게 가능했다고 합니다.🙄

줌 비디어 커뮤니니케이션 CEO인 에릭 위안은 "이번 발표는 암호 키에 대한 접근성을 차단하는 종단간 암호화로, 줌 회의를 보호하겠다는 우리 비전의 첫 걸음이다. 우리의 기술은 기존의 다른 종단간 암호화 메시지 플랫폼과 동일한 수준의 보안을 제공하며, 여기에 고품질 화상 기술과 확장성을 제공이라는 우리 장점까지 더했다." 라고 언급했다고 합니다.😄

2. 에그레고르 랜섬웨어, 유비소프트와 크라이텍을 공격

에그레고르라 불리는 랜섬웨어의 공격에 유명 게임 개발사인 유비소프트와 크크라이텍이 당했다고 합니다.😥

에그레고르 랜섬웨어 운영자들이 자신들의 사이트에 공개한 데이터에는 복호화 된 파일들이 포함되어 있었으며, 누구나 열람 가능한 상태로 만들어져 있었다고 합니다. 그리고 "유비소프트와 크라이텍에서 훔쳐낸 것"이라고 광고하고 있다고 합니다. 현재 유비소프트는 언급이 없으며 크라이텍은 확인한 상태라고 합니다.

IT 매체인 블리핑컴퓨터는 크라이텍 내부의 파일들이 암호화 되어 CRYTEK이라는 확장자가 붙은 상태라고 합니다.😶

에그레고르 운영자들이 현재까지 공개한 크라이텍의 데이터는 약 380M 정도이며 워페이스라는 크라이텍이 개발 중단한 게임과 관련 내용들이 대부분이라고 알려졌다고 합니다. 또한, 유비소프트의 네트워크에 침투하였고 유비스포트가 발표를 앞두고 있는 '왓치독 : 리전'의 소스코드도 복호화 된 채로 보유하고 있다고 주장하고 있다고 합니다. 이와 관련하여 약 20M 데이터를 공개하고 있다고 합니다.🤨

하지만 현재까지 공개된 정보로 봤을 때 다른 경로로 입수하는게 가능한 정보일 수도 있기 때문이라고 설명하며 공격하는데 성공했다는 뜻이 되는건 아니라고 블리핑 컴퓨터 측이 설명했다고 하네요.😀

3. 인트코멕스의 민감 정보 1TB 초대형 유출 사고

해커들이 미국 마이애미에 있는 한 기술 기업으로 부터 1TB의 데이터를 훔쳐낸 초대형 데이터 유출 사고가 발생했다고 합니다.😣

이 정보에는 신용카드 정보, 여권, 은행내역서 등 민감한 금융 정보 및 문건 정보들이며, 현재 일부가 러시아 해커들의 포럼에서 맛보기 형태로 유포되고 있다고 합니다.😥

인트코멕스는 부가 가치 재판 기업(VAR)으로, 기술 제품 및 서비스를 사들이고 남미와 캐리비안 지역에 재판하는 사업을 진행한다고 합니다. 즉 국제적인 규모를 가지고 있습니다.

9월 14일과 20일 두 번의 사고가 있었으며 해커들은 데이터를 다크웹에 공개했다고 합니다. 첫 날(14일)은 'Internal Audit'라는 제목으로 16.6GB 데이터를 공개하였으며, 둘째 날(20일)은 'Finance_ER'이라는 제목으로 18GB를 공개했다고 합니다.

현재까지 알려진 정보들은 랜섬웨어 공격을 통해 유출 되었으며 정보를 공개한 공격자가 "더 재밌는 정보를 곧 공개하겠다"라고 언급한 상태라고 합니다. 하지만 댓가를 지불할 시 공개하지 않는다며 '이중 협박 전략'을 내세웠다고 합니다.

인트코멕스 측은 공개한 정보가 자신들의 것이 맞다고 했으며 현재 상황에 단호한 조치들을 취하고 있는 상태라고 발표했다고 합니다. 여기에 사이버 보안 전문가들을 투입하였고 유관 기관에도 알린 상태라고 합니다. 다행히 사업을 진행하는데 있어서 아직까지 방해받는 부분은 없다고 합니다.😀

그러나 보안 전문가들은 이 정도 정보 유출 사건이 발생한 것만으로 충분히 위협적이라는 의견을 내놓았다고 합니다. 또한 그런 규모의 회사가 다크웹에 데이터가 올라올 때까지 전혀 모르고 있었다는 것은 심각한 일이라며 지적이 나왔다고 합니다. 즉, 기업들이 보안의 중요성을 알고 있지만, 실행은 정작 하지 않는다는 증거라고 합니다.😕

이번에 공개된 정보와 앞으로 공개될 정보가 범죄 시장에 흘러갈 경우 추가 범죄가 다량으로 발생할 것으로 예상하고 있다고 합니다. 각종 개인정보와 금융 정보가 조합되면 고차원적인 사이버 범죄를 표적형으로 구사하게 되고, 개인과 조직을 특정하여 노릴 수 있게 된다고 합니다. 중요한 것은 유출된 신용카드 정보가 지나치게 상세하여 범죄자들에게 매우 유용할 것으로 여겨진다고 합니다.😥

또한, 인코멕스가 국제적인 규모의 사업을 한다는 것을 중요하게 봐야할 부분이라고 합니다. 이는 기술적인면 뿐만 아니라 각 나라마다 이런 사건과 관련된 규정과 법률이 다르기 때문에 피해자에게 고지하고 보상하는 일과 절차가 상상 외로 복잡해 질 수 있다고 합니다. 그래서 이번 사건의 후속절차가 대단히 복잡해지고 기업으로서는 큰 손해를 감당해야 할 것으로 예상하고 있다고 합니다.😓

4. 해킹 발생률이 높은 중소기업, 무료 보안 도구 조차 안쓴다.

다수의 해킹에 노려지는 중소기업에게 정부가 웹 보안 도구를 무료로 제공했지만 사용률이 극히 저조하다는 지적이 나왔다고 합니다.😣

최근 정부는 'K-사이버 방역 체계' 구축을 위해 1조원을 투자한다고 밝혔습니다. 하지만 이미 무료로 보급되는 보안 제품조차 도입하지 않은 중소기업이 상당수 라고 합니다.🤨

한국인터넷진흥원(KISA)에 의하면 2017년 발생한 해킹공격의 98%가 중소기업을 표적으로 삼았으며 해킹으로부터 안전하기 위해 보안태세 강화를 해야하나, 중소기업 대다수가 보안 인식 부족으로 손쉬운 조치도 취하지 않고 있다고 합니다.

KISA 대상 국정감사에서 전혜숙 더불어 민주당 의원은 이 문제를 지적했으며, "증소기업 중 휘슬(웹서버 해킹 탐지 도구)과 캐슬(웹방화벽 서비스)을 사용하는 곳이 각각 2,266개와 3,195개로 총 5,500여곳 밖에 사용되지 않고 있고 있으며, 연간 26,000만원의 예산이 투입되고 있는 사업인데, 중소기업 330만곳에 이르는데 반해 사용률이 너무 적다."라고 언급했다고 합니다.

문제는 보안 업계에서도 휘슬, 캐슬에 대해 "잘 모른다"는 의견이 많았으며, 업계는 서비스를 사용할 법한 소기업들이 보안에 대한 관심이 매우 적기 때문에 도입 필요성을 잘 체감하지 못하고 있다고 지적했다 합니다.😥

그리고 보안 업무를 담당하는 정부 관계자는 "보안에 투자하기 힘든 소기업을 위해 서비스를 만든 취지는 좋았지만, 그만큼 대상 기업들의 보안에 대한 관심이 떨어져 서비스가 활발히 보급되진 못했다."라고 평을 했다고 합니다.

주로 중소기업에 제품을 주로 공급하는 보안업계 관계자는 "웹 중심으로 사업을 진행하지 않는 중소기업의 대다수가 웹방화벽까지 필요치 않다는 생각을 갖고 있으며 해커의 타겟이 될거라 생각지 않고 피해를 입더라도 피해 규모가 크지 않을 것이란 생각에 투자 우선 순위에서 보안이 밀리게 된다." 라고 언급했다고 합니다.😥

이에 KISA 관계자는 "자체 역량 갖추기 어려운 중소기업이 휘슬과 캐슬을 많이 사용할 수 있도록 홍보를 강화하겠다"라고 답했다고 합니다.😁

출처

www.boannews.com/media/view.asp?idx=91809&page=1&mkind=1&kind=5

www.boannews.com/media/view.asp?idx=91838&page=1&mkind=1&kind=

www.boannews.com/media/view.asp?idx=91810&page=1&mkind=1&kind=1

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29607&key=&dir_group_dist=&dir_code=&searchDate=

1. 금전 목적 해킹조직 'FIN11'의 특징과 주요 공격방식

파이어아이 보안기업에서 금전 목적의 공격 그룹 'FIN11'에 관한 보고서를 공개했습니다. 이 보고서에 따르면 FIN11은 2016년부터 활동을 시작하여 다양한 공격 기법과 독자적인 코드군을 보유하고 있다고 합니다.😀

FIN11은 금전 목적의 그룹 중 가장 규모가 크고 지속력이 강한 멀웨어를 배포하며, 멀웨어 배포 전략 및 기법을 끊임없이 진화시키고 있다고 합니다. 또한, 최근 FIN11의 공격 활동은 대부분 'CLOP 랜섬웨어'를 배포해 피해자 네트워크에 침입하여 데이터를 탈취하는데까지 이어지며, 포스 멀웨어를 배포했던 예전 방식과 다르게 진화하고 있다고 합니다.😶

다음 FIN11에 대한 리포트 내용입니다.

• FIN11은 대부분 독립 국가 연합의 소속으로 활동하고 있는 것으로 추정된다.
• 전세계 다양한 지역 및 산업의 기업을 공격해왔다.
• 최소 2016년부터 활동하기 시작한 FIN11은 멀웨어를 배포하기 위해 광범위한 피싱 공격을 실시해왔다. 다수의 피싱 공격을 실시하였으며, 매달 배포 전략을 변경한다.
• 실질적인 수익을 얻기 위해 복합적인 탈취 공격 수법을 사용한다.

2. '블리딩투스' 취약점 발견

Google과 Intel이 리눅스 블루투스 프로토콜인 블루지(BlueZ)에서 고위험군에 속하는 취약점을 발견했다고 합니다. 블루지는 리눅스 기반 IoT 장비들에 탑재된 블루투스 기능을 구현하는데 있어 핵심적인 요소 중 하나이며, Google은 여기에 블리딩투스(BleedingTooth)라는 이름을 붙였다고 합니다.😀

리눅스 커널 5.9 이전 버전의 경우 블리딩투스 취약점에 노출되어 있다고 합니다. 블리딩투스 취약점의 가장 큰 특징은 '제로 클릭 공격'을 가능하게 한다는 것인데, 이는 피해자가 특정 링크를 누르거나 파일을 열지 않아도 공격이 성립이 된다고 합니다. 그리고 공격이 성공할 경우 공격자의 권한이 상승한다고 하네요.😁

Google은 깃허브 게시글을 통해 "공격자가 피해자의 블루투스 주소를 알아낼 경우 악성 l2cap 패킷을 보냄으로써 DDoS 공격을 하거나 커널 권한을 가지고 임의 코드 실행 공격을 할 수 있다."라고 설명했답니다. 그리고 악성 블루투스 칩을 통해서도 블리딩투스 취약점을 발동시키는게 가능하다고도 썻답니다.😮

CVE-2020-12351의 관리번호를 부여받았으며, CVSS를 기준으로 8.3점을 받아 고위험군으로 분류되었다고 합니다. 타입 컨퓨전(Type Confusion) 취약점이며, net/bluetooth/l2cap_core.c에서 발견된다고 합니다. 타입 컨퓨전을 일으키면 영역 외 메모리에 접근할 수 있으며, 이를 통해 코드를 실행시키거나 일부 요소를 마비시킬 수 있게 된다고 합니다. 이런 공격이 가능한 이뉴는 블루지를 커널 내에서 구현했을 때 사용자가 제공하는 입력값을 검증하는 과정이 불충분하기 때문이라고 하네요.😀

다음은 Google이 공개한 익스플로잇 영상 및 추가 정보, 깃허브 주소입니다.

- 영상 주소

https://www.youtube.com/watch?v=qPYrLRausSw&feature=emb_logo

- 추가정보 주소

https://security.googleblog.com/

- 깃허브 주소

https://github.com/google/security-research/security/advisories/GHSA-h637-c88j-47wq

Intel에서도 리눅스 커널 사용자들에게 5.10 이상 버전으로 업데이트할 것을 권고했으며, 불충분한 접근 제어 때문에 발생하는 중간급 위험군 오류 두 개(CVE-2020-12352, CVE-2020-24490)에 대한 픽스를 발표했다고 합니다.😀

Intel이 공개한 취약점 세부 내용과 픽스는 다음의 주소에서 확인하시면 됩니다.😁

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00435.html

3. 2020년 국감, 정보보호 공시제도 개선 시급

이번 국정감사에서 KISA가 기업의 정보보호 책임성 강화와 이용자의 알권리 보장을 위해 시행한 정보보호 공시제도에 참여한 기업이 36곳에 불과하다고 합니다.🤨

과기정통부는 기업으로부터 정보보호에 대한 투자를 이끌어내고 각종 보안사고를 미리 예방하려는 취지에서 ISMS 인증 의무를 부여하고 있습니다. 또한 ISMS 인증제도와 정보보호 공시제도를 상호 보완적으로 운영하기 위해 정보보호 공시에 참여하는 기업을 대상으로 ISMS 인증 수수료를 30% 감면해주는 혜택을 제공하고 있다고 합니다.

ISMS 인증 의무 대상기업은 정부가 정보보호 관리 책임성이 높은 기업들을 한정해 놓은 것으로 정보보호 공시제도의 대상 기업들을 선별할 때도 이를 포함하도록 고려해야 한다는게 과기정통부의 입장이라고 하네요.😁

따라서 ISMS 인증 의무대상 기업을 정보보호 공시제도의 대상 기업으로 본다면 36개 기업은 755개 기업의 5%에도 못미치는 수준이라고 합니다.😥

지난해에는 1억 5000만원의 예산으로 총 28개 업체에 컨설팅을 지원했지만 21개 업체는 참여하였고 나머지 7개 업체는 공시에 참여하지 않았다고 합니다.

컨설팅을 신청하는 업체들은 기업의 신뢰도를 향상시키고 마케팅에 활용하려는 취지에서 자발적으로 신청을 하지만, 최종적으로 정보보호 관련 예산 비율이 저조하여 공시하기 어려운 수준이거나 의무가 아니기 때문에 CEO 결심 단계에서 포기해버리는 경우가 많다고 합니다.😭

현행법상 정보보호 공시는 의무가 아니며 기업당 500만원의 예산을 들여 약 4회에 걸친 컨설팅을 진행하고도 기업 내부사정에 의해 공시를 하지 않겠다라고 하면 제재할 수 가없는 실정이라네요🙄

이에 정보보호 공시제도 예산 집행의 실효성을 담보하고 기업의 정보보호를 강화하기 위해 기업의 공시 참여를 확대할 제도적 대안 마련이 필요한 시점이라고 언급하였습니다.😄

4. MS 연합체, 악성코드 확산 경로 '트릭봇' 해체 실패

MS를 비롯한 IT 회사들이 연합해 악성 프로그램 확산 경로인 '트릭봇' 봇넷 해체 작업을 시도했지만 실패했다고 합니다.😥

트릭봇 명령자와 조정 서버, 도메인 등 파악을 하지 못했으며, "트릭봇에 대해 새로운 인프라가 짜여져 대체 되었다"고 한 관계자가 언급했다고 합니다.

"트릭봇 해체 작업의 효과는 일시적이었고 제한적이었다. MS 비롯한 연합체는 이번 결과에 개의치 않고 계속해서 해체 작업을 이어갈 계획이다." 라고 관계자가 언급했다고 합니다.😁

트릭봇은 러시아어를 구사하는 해커들이 운영하는 전 세계적인 봇네트로, 현재 활성화 된 봇넷 중 가장 큰 규모라고 합니다. 특히, MaaS(서비스로서의 멜웨어)란 활동 모델로 다른 시스테들을 감염시켜 확산을 강화하는 것이 특징이라고 합니다.😀

트릭봇은 미국 최대 의료법인 중 하나인 '유니버셜 헬스서비스'를 공격한 랜섬웨어를 확산시키기 위해 사용된 바 있다고 합니다. 류크나 콘티와 같은 랜섬웨어 확산 집단들에게 감염된 PC에 대한 접근이 가능하도록 네트워크를 제공하기도 했다네요! 이외에도 사기범, 국가적인 행위자, 산업 스파이단을 위해서도 악용된다고 합니다.😑

이번 해체 작업은 MS, FS-ISAC, ESET 등이 참여했으며, 먼저 트릭봇의 서버 및 악성코드 모듈에 대한 조사를 실시했다고 합니다. 또한 트릭봇에 감염된 PC를 제어하고 추가 모듈을 제공하기 위해 봇넷이 사용한 서버를 포함해 총 12만5천개 이상의 트리봇 악성코드 샘플을 수집 및 분석했다고 합니다. 또한, 수개월동안 악성 프로그램 내 정보를 추출하고 구조화하는 과정을 거쳤다고 합니다.😁

위의 근거로 법원에서 트릭봇 서버에 대한 통제를 허가권을 획득해 해체 작업에 착수했다고 합니다.😀

현재 트릭봇에 감염된 PC 및 IoT 장치는 지금까지 100만대 이상으로 추산되었으며, 연합 회사들은 향후 전세계 인터넷 서비스 제공업체 및 긴급 PC 준비팀(CERT)들이 이용자들에게 PC 감염 사실을 알릴 수 있도록 할 계획이라고 합니다.😁

출처

www.boannews.com/media/view.asp?idx=91801&page=1&mkind=1&kind=

www.boannews.com/media/view.asp?idx=91808&page=1&mkind=1&kind=

www.dailysecu.com/news/articleView.html?idxno=114920

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29604&key=&dir_group_dist=&dir_code=&searchDate=

1. 구글 키보드 AI 기능

구글에서 지보드(Gboard, 키보드 앱) 베타 테스트 버전에서 새로운 인공지능 기능을 선보였다고 합니다. 사용자의 습관과 내용을 분석하여 적절한 답장을 자동으로 추천하는 '스마트 답장(Smart Replies)' 기능으로, 시험 운영 중이라고 하네요.😀

이처럼 자동으로 내용을 예측하기 위해서는 세부적인 개인정보를 통해 학습해야 하지만, 사용자 입장에서는 개인정보가 노출될 수 있다는 불안감이 커진다고 합니다.

인공지능 성능을 높이기 위해 많은 데이터를 기반으로 학습해 모델을 개선해야 하며, 사용자 맞춤형 서비스를 제공하려면 개인정보를 어느 정도 활용할 수 밖에 없으며 이것이 빅데이터와 개인정보보호 사이의 딜레이라고 합니다.🤣

하지만 구글은 인공지능 학습 과정이 스마트폰에서만 이뤄지며, 실제 데이터는 서버로 전송하지 않는다고 설명했다고 하네요! 하지만 인공지능 성능 강화를 위해 최대한 다양한 형태의 데이터를 한 곳에 모아 학습을 해야하는데 구글 인공지능은 어떻게 개인정보를 서버에 전송하지 않고 성능을 강화한다는 것일까요??🙄 

이는 구글이 제안한 인공지능 학습법인 '연합학습'을 통해 이뤄진다고 합니다. 연합학습은 사용자의 스마트폰에 탑재된 학습 알고리즘이 개인의 행동양식을 학습하며 모델을 구축 및 강화한다고 합니다. 사용자의 데이터 대신 구축한 모델을 전송하며, 서버에서는 여러 생성된 모델을 모아 분석하고, 성능을 강화할 수 있도록 모델을 업데이트하여 사용자 스마트폰으로 배포된다고 하네요.😁

이러한 학습 과정은 정보를 이해하고 처리하는 방법만 공유하기 때문에 개인정보 유출 가능성이 적다고 합니다.😀

2. 10주년 맞은 인스타그램의 보안 강화 기록

인스타그램은 지난 2010년 처음 서비스를 시작하여 올해 서비스 10주년을 맞이 했다고 합니다.😍

엄청난 인기를 끌었던 인스타그램은 사용자가 많아지면서 여러 사건사고도 늘기 마련이었죠. 이러한 문제에 대응하기 위해 인스타그램은 어떤 보안기능을 강화해왔는지 알아보도록 합시다.😁

2015년에 비공개 사진 설정에 관한 버그가 발견되었다고 합니다. 이는 사용자가 공개 상태로 사진을 게시하고 이를 비공개로 전환하면 공개 당시 사진의 URL을 웹 브라우저에 입력하면 비공개 상태에서도 접근할 수 있었던 것이라고 합니다. 즉, 사진만 비공개로 표시되고 링크는 공개된 상태로 남아 있는 버그였는데 인스타그램은 업데이트를 통해 버그를 수정하고 권한 있는 사용자만 해당 링크에 접속할 수 있도록 조치했다고 합니다.😀

해킹 예방을 위한 2단계 인증을 2017년 추가하였습니다. 이는 해킹 피해를 줄이기 위해서 도입하였지만 미국의 유명 가수 셀레나 고메즈의 계정이 해킹된 사건이 발생했으며, 인스타그램은 모든 회원에게 이런 사고를 예방하기 위해 2단계 인증을 설정하고, 강력한 비밀번호로 주기적으로 변경할 것을 권고하기도 했다고 합니다.

소셜 미디어에서 지인이나 유명인을 사칭하는 계정은 다양한 범죄에 악용될 수 있다고 합니다. 그래서 인스타그램은 공식계정에 대해 '인증배지'신청 제도를 도입했다고 합니다.😁

또한 '이 계정 정보' 기능 역시 사칭 계정으로 인한 피해 예방에 도움을 주기 위해 도입했다고 합니다. 해당 기능을 통해 계정을 만든 날짜, 국가, 사용자 이름 변경 내역 등의 정보를 보여줌으로써 사칭한 계정인지 파악할 수 있게 하였습니다.😀

사이버 범죄는 해킹이나 사기뿐 아니라 인터넷을 이용한 집단 괴롭힘도 사이버 폭력에 해당합니다. 이러한 괴롭힘을 '사이버 불링(Cyber Bullying)'이라고 부른다고 합니다. 소셜 미디어 사용 비중이 높은 오늘날에는 이러한 사이버 폭력이 발생하고 있으며 인스타그램은 예방을 위해 인공지능 자동 신고 기능을 추가했다고 합니다. 이는 인스타그램에 게시되는 사진과 글 중 누군가를 비방하는 악성 콘텐츠를 자동으로 판단하여 신고하며 라이브 방송 중 등록되는 악성 댓글 역시 자동으로 필터링해 실시간으로 발생하는 것을 예방한다고 합니다.😁

해킹 당한 계정에 대한 본인 접근성을 높였다고 합니다. 사용자가 해킹을 의심할 수 있을 만한 상황에서 계정에 로그인하는 방법을 개선하였으며, 추가적인 방법을 이용해 본인 계정임을 인증하고 권한을 복구할 수 있게 했다고 합니다.😁

3. CCTV 해킹 사고 한국에서도 발생

싱가포르에서 가정용 CCTV 해킹 사고가 발생하였으며 유출된 동영상들은 현재 온라인 성인 사이트들을 통해 유포 및 거래되고 있다고 합니다.😕

영상에 나오는 사람들은 일반인들로 얼굴이 식별 가능할 정도로 선명하게 나온다고 하며 수치심을 느낄 수 있는 영상들이 많다고 합니다.😟

이러한 영상물들은 대부분 '싱가포르'라는 태그가 달려 있지만 싱가포르 국민들만은 아닌것으로 보인다고 합니다.

영상물은 전부 가정용 IP 카메라에서 촬영된 것으로, 피해자들이 집을 지키기 위해 설치한 제품을 통해 녹화된 것들이라고 합니다.

이 영상물을 조사한 싱가포르 수사기관은 "IP 카메라 해킹을 전문으로 하는 조직이 이사건의 배후에 있는 것으로 보인다"고 발표했으며, 이 조직은 디스코드(Discord)에서 활동하며 약 1,000여명의 멤버들로 구성되어 있다고 합니다.😣

디스코드를 통해 나온 주장에 의하면 이조직은 약 3TB의 CCTV 해킹 영상물을 보유하고 있으며 약 70여명 멤버들이 공유하고 잇다고 합니다.

현재까지 약 4,000여 개의 영상물이 담긴 700MB짜리 샘플 영상물을 분석한 결과 피해자들은 태국, 한국, 캐나다에 주로 분포되어 있는 것으로 나타났으며, 거의 대부분은 싱가포르에 설치된 IP 카메라에서부터 나온것으로, 피해자의 절대 다수는 싱가포르에 거주 중인 것으로 나타났다고 합니다.😑

4. 정부의 일반 기업대상 보안 권고 기준 마련 검토

정부가 일반 기업을 대상으로 하는 IT, 보안 인력, 예산 등에 대한 권고 기준 마련을 검토하기로 했다고 합니다.😀

13일 열린 국회 과학기술정보방송통신위원회 국정감사에서 금융권에 장기간 권고해 온 '5·5·7' 기준과 유사한 기준을 일반 기업 대상으로도 마련해 권고할 필요가 있다고 지적했다고 합니다.😁

5·5·7 기준은 전체 인력 중 IT 인력 5% 이상 확보, 이 중 보안 인력은 5% 이상, 보안 예산은 전체 IT 예산 대비 7% 이상 확보해야 한다는 내용이라고 합니다.😀

2011년부터 도입되어 금융권이 IT 및 보안에 투자해야할 최소 기준점으로 적용해왔으며, 지난 1월부터 전자금융감독규정 상의 금융사 공시 의무 조항은 만료되었지만 가이드 상의 권고 기준으로 계속 활용되고 있다고 합니다.

국정감사에서 이러한 기준을 전체 기업 대상으로 제공해야 한다고 제시하였으며, 김석환 한국인터넷진흥원(KISA) 원장과 장석영 과학기술 정보통신부 차관은 민간 기업 대상 IT·보안 인력, 예산 권고 기준 마련을 검토하겠다고 했답니다.😁

5. 코로나 확진자 개인정보 보호 강화 위한 안내문 배포

KISA는 개인정보보호위원회와 '코로나 확진자 정보공개 관련 개인정보 보호 강화 안내문'을 제작하여 지자체에 배포했다고 합니다.😀

현재 각 지자체에서 코로나 감염병 확산 방지 및 예방을 위해 역학조사 결과를 바탕으로 확진환자 개인정보 및 이동경로 등을 공개하고 있습니다. 하지만 지자체별로 개인정보 공개범위에 대한 편차가 발생하고, 일부 지자체에서는 확진자의 사생활까지 공개되며 개인정보 침해에 대한 우려가 높아졌다고 합니다.🙄

이에 KISA는 8월 24일부터 5일 동안 전국 243개 자치단체 누리집에 대한 전수조사를 실시했으며, 그 결과 개인 특정할 수 있는 성별, 연령, 거주지 등을 공개한 사례 349건을 확인했고 KISA는 해당 사례를 유형별로 분석해 개선 안내문을 제작했다고 합니다.

다음은 안내문에 기록된 지자체가 확진자의 정보를 게시할 때의 사항입니다.

• 성별, 연령, 국적, 거주지 등 개인을 특정할 수 있는 정보는 공개하지 않아야 한다.
• 거주지의 경우 읍-면-동 단위 이하 정보는 게재할 수 없다.
• 직장명은 직장에서 불특정 다수에게 전파시켰을 우려가 있는 경우에만 공개할 수 있다.

앞으로 KISA는 각 지자체가 공개하는 신규 확진자 정보를 주기적으로 모니터링하여 새롭게 발생하는 개인정보 침해 요인을 확인해 개선사항을 안내할 예정이라고 합니다.😁

출처

www.boannews.com/media/view.asp?idx=91680&page=1&mkind=1&kind=5

www.boannews.com/media/view.asp?idx=91745

www.boannews.com/media/view.asp?idx=91740&page=2&mkind=1&kind=1

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29600&key=&dir_group_dist=&dir_code=&searchDate=

www.dailysecu.com/news/articleView.html?idxno=114964

1. 애플의 인프라와 시스템, 취약점 55개 발견

최근 3개월 동안 해커들이 애플의 인프라와 시스템에서 55개의 취약점을 발견했다고 합니다.😀

이 중 I-Cloud 계정을 탈취하게 해주는 취약점이 있었으며, 자동 번식 기능을 가지고 있기도 해서 자동으로 피해자의 자룔를 침해하는 것이 가능했다고 합니다.

이 취약점들을 발견한 사람들은 보안 전문가로써, 샘 커리(Sam Curry), 브렛 부어하우스(Brett Buerhaus), 벤 사데이푸르(Ben Sadeghipour), 사무엘 어브(Samuel Erb), 태너 반즈(Tanner Barnes)이다. 이 중 샘 커리 블로그를 통해 상세한 내용을 공개하였다고 합니다.😁

다음 내용은 발견된 취약점으로 공격할 수 있는 요소입니다.

• 고객 및 직원용 애플리케이션 완전 침해
• I-Cloud 계정 자동 장악
• 내부 애플 프로젝트의 소스코드 탈취
• 애플이 사용하는 산업 제어용 소프트웨어 침해
• 애플 직원들의 세션 장악을 통한 관리자 도구 및 민감 정보에의 접근

55개 취약점에 대한 CVSS 기준 위험도 입니다.

• 치명적 위험군 11개
• 고 위험군 29개
• 중간급 위험군 13개
• 저 위험군 2개

치명적 취약점은 다음과 같습니다.

• 인증 우회 취약점을 통한 애플 교육자 프로그램 완전 침해
• 인증 우회 취약점을 통한 DELMIA Apriso 애플리케이션 완전 침해
• 워머블 XSS 취약점을 통한 I-Cloud 데이터 탈취
• Author's ePublisher에의 명령 주입 취약점
• I-Cloud의 SSRF 취약점을 통한 애플 소스코드 탈취
• REST 오류 노출을 통한 Nova Admin 디버그 패널 접근
• 팬텀JS 아이튠 배너 및 책 제목 XSS 취약점을 통한 AWS 비밀 키 접근
• 애플 eSign의 힙 덤프 취약점을 통한 외부 직원 관리자 도구 침해
• 자바 Management API의 블라인드 SSRF 취약점을 통한 XML 외부 개체 프로세싱
• GBI Vertica와 노출된 GSF API의 SQL Injection 취약점
• 다양한 IDOR 및 XSS 취약점

애플에서 I-Cloud 플랫폼을 통해 메일과 내 아이폰 찾기(Find my iPhone)와 같은 서비스를 제공하기도 하며, 공격에 성공하면 I-Cloud와 연동된 모든 정보에 닿을 수 있다고 합니다. 이러한 이론에 대한 기술적 내용을 블로그에서 상세히 공개하였다고 합니다.😀

2. 안드로이드에서 새롭게 등장한 말락커 랜섬웨어

안드로이에 새롭게 등장한 말락커 랜섬웨어는 안드로이드 기반 모바일 장비들을 잠근 후 사용자가 '홈 버튼'을 누르면 협박 편지를 띄운다고 합니다.😐

Microsoft(MS)는 말락커는 악성 웹사이트의 다운로드 파일을 통해서 퍼져가고 있으며, 주로 인기 높은 앱이나 크랜된 게임, 영상 플레이어로 위장되어 있다고 합니다. 특히, 개발자들의 악의가 뚜렷하며 고급 기능들을 가지고 있어 탐지율이 낮다고 하네요.😨

안드로이드 랜섬웨어는 협박 편지를 겁쳐 띄워 피해자가 장비 자체에 접근하지 못하도록 하는 것이지, 일반적인 데스크톱 랜섬웨어 처럼 파일을 암호화하지는 않는다고 합니다. 이번 말락커는 홈 버튼 기능을 통해 발동된다는 특이한 특징과, 머신러니 모듈을 탑재해 편지가 자동으로 화면 크기에 맞게 조정이 된다고 합니다.

MS의 전문가들은 "일반적인 안드로이드 랜섬웨어는 'SYSTME_ALERT_WINDOW'라는 특수한 권한을 활용한다. 긴급 상황을 사용자들에게 알리기 위해 만들어진 권한을 활용하니 언제나 협박 편지가 가장 위 화면에 뜨게 된다. 그러니 사용자로서는 장비를 조작할 수 없게 됩니다." 라고 언급했다고 합니다.

그러나 말락커는 안드로이드가 지원하는 여러 항목의 알림 기능 중 call을 활용한다고 합니다. call은 알림 기능으로 사용자의 즉각적인 관심을 끄는 것에 목적이 있다고 합니다. 여기 onUserLeaveHint()라는 콜백 메소드까지 같이 활용하는데, 안드로이드 사용자들이 앱을 닫거나 홈 키를 누를 때 나오는 GUI화면까지도 사용할 수 있게 된다고 합니다. 즉, 장비 내에서 진행되는 모든 서비스들을 능동적으로 배경으로 보내고 협박 편지를 띄운다는 것이죠.😶

또한, 멀웨어는 알림 빌더를 생성하고 특별한 권한을 부여할 수 있다고 합니다. 이 때 사용되는 것이 setFullScreenIntent()라고 하며, 이를 GUI와 결합해 사용자가 장비를 조작하려고 할 때 화면에 띄운다고 합니다.😑

MS 연구원들이 주목한 것은 말락커의 머신러닝 모듈이라고 합니다. 안드로이드 랜섬웨어가 지속적으로 변하고 있다는 것을 보여주고 있으며, 계속해서 변종이 탄생하여 여러 발전상이 드러낼 것이기 때문이라고 합니다.

파일을 다운로드 받을 땐 신뢰되지 않는 파일은 잘 살펴보고 다운받으시길 바랍니다.😁

3. 기업형 랜섬웨어 'FONIX' 주의

사이버범죄 포럼에 FONIX 서비스형 랜섬웨어 운영자들이 자신들이 개발한 랜섬웨어를 소개하고 있다고 합니다.🙄

센티널원 보안연구가들은 이 FONIX 랜섬웨어에 대해 특별히 주의를 기울여야 한다고 합니다.

FONIX 랜섬웨어는 파일을 암호화하는데 4자지 방법을 사용하며, 제휴 파트너사에 피해자가 이메일을 통해 연락할 수 있고 이후 파트너사가 랜섬웨어 운영자에게 복호화 툴이나 키를 요청해서 전달하게 된다고 합니다. 피해자들이 전달한 랜섬머니는 파트너사가 25%를 FONIX 랜섬웨어 운영자에게 전해주고 나머지를 챙긴다고 하네요.😑

센티널원 연구진은, FONIX 랜섬웨어는 시스템 파일을 제외한 모든 파일을 암호화하며 시스템 전체가 암호화된다면 복구가 어렵다고 경고하고 있습니다😀

출처

www.boannews.com/media/view.asp?idx=91708&page=1&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=91711&page=1&mkind=1&kind=1

www.dailysecu.com/news/articleView.html?idxno=114853