1. 개보위의 개인정보보호 연차보고서 - 중앙행정기관(감사원, 방통위, 국무조정실)

(1) 감사원

가. 개인정보 처리방침 재작성 및 내부관리계획 등 수립

'감사원 개인정보 처리방침'을 전면 재작성하여 개인정보보호 처리방침에 기재해야 할 사항을 '행안부 개인정보 처리방침 표준안'에 맞게 재작성한 후 감사원 홈페이지에 공개했습니다. 또한, 개인정보 처리 안전성을 확보에 필요한 안전 조치에 관한 '내부관리계획'을 수립 및 시행했고, '재해·재난 시 개인정보처리 위기 대응 메뉴얼' 및 '개인정보 침해대응 메뉴얼'을 작성하여 내부관리계획에 포함·시행했다.

나. 관리체계 강화

감사원은 개인정보처리시스템에 축적된 개인정보 등 보호를 위해 사이버 보안센터 구축을 위한 용역을 실시했고, 개인정보관리 보안솔루션을 도입 등 관리체계를 강화했습니다.

다. 개인정보취급자 교육 실시

감사원의 업무 특성상 잦은 출장으로 출장 전 개인정보보호 교육 실시 공지 및 교육교재를 배포함으로 효율적인 교육을 실시했습니다. 또한, 전 직원의 개인정보보호 인식 제고 및 개인정보의 오·남용 또는 유출 예방 교육을 실시했습니다.

(2) 방송통신위원회(방통위)

가. 개인정보의 안전한 이용 및 관리

방통위는 매년 내부관리계획을 수립하고 위원회 개인정보 관련 정책·지침 및 처리방침을 재정비하고 있습니다. 또한, 개인정보처리시스템에 대한 개인정보 관리실태를 매월 점검하고 개인정보의 안전성 확보를 위한 보호 활동에 노력하고 있다. 이와 함께 홈페이지와 개인정보처리시스템에 대해 취약점 점검 및 모의해킹을 수행하고 발견된 취약점은 즉시 조치했으며, 홈페이지에 대해 개인정보 유·노출 점검을 실시해 불필요한 개인정보 노출을 점검하고 있습니다.

나. 교육 내실화

개인정보보호에 대한 인식 제고를 위해 전 직원 대상 반기별로 교육을 진행했으며, 용역사업자들에게도 교육 및 관리·감독을 주기적으로 실시하고 있습니다. 개인정보보호 업무담당자는 개인정보보호 콘퍼런스·전문교육·워크숍 등 참석하여 전문역량을 강화했으며, 내부 업무포털에 규정·수칙 등을 게시하고 있습니다.

다. 개인정보 침해대응 체계 점검 및 강화

최근 사이버 공격으로 개인정보 유출사고가 빈번함에 따라 실전 대응 훈련을 실시했으며, 방통위 소관 주요 정보통신기반시설 관리기관을 대상으로 침해사고 발생 상황에 대비한 모의훈련을 통해 대응 능력을 향상시켰습니다. 또한, 산하·유관기관과 개인정보 침해사고 대응 합동 모의훈련을 실시해 체계적이고 신속한 상황전파 체계 및 피해 방지를 위한 임무와 역할 숙지 여부를 점검했습니다.

(3) 국무조정실

가. 개인정보보호 지침 및 내부 규정 정비

"개인정보보호법 시행령" 및 "개인정보의 안전성 확보조치 기준" 개정에 맞춰 개인정보보호지침 및 내부관리계획을 정비했습니다. 이는 유출사고 대응절차를 구체화하고 처리시스템 점검주기를 변경하는 등 일부 조항을 신설·보완했습니다. 또한, 개인정보보호 관리체계를 제정·정비했으며, 이를 내부 게시판에 공지하여 개인정보취급자와 직원들이 준수할 수 있도록 안내하고 교육하여 이해도를 향상시켰습니다.

나. 산하 연구기관 개인정보 관리실태 지도·점검

산하기관 개인정보 관리체계 개선을 위해 경제·인문사회 분야 연구기관 18개 기관에 대하여 2차례 개인정보 관리실태 지도점검을 시행했습니다. 점검 결과 미흡 사항에 대해서는 기관별로 이행 계획을 세워 개선하도록 했으며, 우수한 기관에 대해서는 국무조정실장 표창을 수여해 산하 연구기관 개인정보보호 관심 제고를 위해 노력했습니다.

다. 개인정보 수집·이용 동의 실태분석 및 개선

국무조정실은 주기적으로 개인정보 수집 및 이용 실태를 점검했습니다. 개인정보 수집이용 공통양식에 제3자 제공 내용을 추가해 내부 게시판에 공지하는 한편, 소관 웹사이트를 대상으로 개인정보 수집·이용 및 제3자 제공 동의절차 이행 여부를 점검하여 미흡 사항을 개선했습니다. 또한, 개인정보 수집·이용 여부를 점검하여 불필요하게 과다 수집·운용 중인 개인정보파일에 대해서는 파기 또는 보유기간을 수정하고, 행정규칙 중 법적 근거 없이 고유식별정보를 수집하는 서식은 해당 부서에 개선 권고를 했습니다.

2. 해킹그룹 탈륨, 통일부 북한인권기록센터 위장 공격

통일부 북한인권기록센터에서 보낸 것처럼 위장한 스피어피싱 해킹 공격이 대북 관련 단체를 대상으로 펼쳐지고 있다고 합니다😣

이전에 탈륨이 미국 MS에 고소를 당하며 국제 사회에서 주목을 받았었는데, 한국에서는 대북 및 탈북 분야 민간단체를 포함해 정치, 외교, 안보, 통일, 국방 전현직 관계자를 주요 해킹 대상으로 사이버 첩보 활동을 전개하고 있다고 합니다. 이외에도 북한과 관련된 내용을 취재하는 언론 기자도 꾸준히 공격받고 있다고 합니다.

추석 연휴가 시작하던 지난 9월 29일 발생했으며, 진짜 북한인권보고서와 비슷하게 만들어서 문서를 사칭한 것으로 나타났다고 합니다😶

이메일 내용과 수신자에 신뢰성 글이나 이름을 넣고 열람하도록 치밀하게 구성되어 있으며, '북한인권백서-2020.doc'를 다운받도록 유도하고 있다고 합니다. 그리고 실행하면 [콘텐츠 사용] 버튼 클릭을 유도하게 되는데 이는 악성 매크로 명령 실행을 위한 것이라고 합니다❗

분석에 의하면 매크로 영문 유도 화면이 뜬다고 하는데 해외에서 이미 다수 보고된바 있는 'TA551' 위협의 악성 문서 템플릿과 동일하다고 합니다. 밑의 내용은 문서 행위 실행 순서입니다.

• [콘텐츠 사용] 버튼 클릭
• 숨겨진 악성 매크로 기능과 파워셸 코드 동작
• 코드 동작 실행 시 컴퓨터 정보가 'Alzip.hwp'' 파일로 저장
• 'busyday.atwebpages[.]com' 서버와 통신하며 정보 탈취
• 추가 명령에 따라 파워셸 기바느이 키로깅 기능 실행

코드 설정에 의하면 윈도우 64비트에서만 정상 감염 활동을 하는 특징이 있다고 합니다!! 각별히 속지 않도록 주의하는 것이 좋을 것 같습니다.😊

3. 미국 의료SW 기업, 랜섬웨어 피해로 인해 코로나19 백신 임상 불똥

백신 임상시험에 활용되는 소프트웨어 개발 기업 e리서치테크놀로지(ERT)가 랜섬웨어 공격당했다고 합니다.🤨

이번 공격으로 피해를 입은 기업들이 코로나19 관련 임상시험에 차질을 빚는 영향을 받을 가능성이 제기되고 있다고 합니다.

현재 정상 시스템 운영을 위해 노력하고 있으나, 해당 SW를 사용하는 일부 기업의 임삼시험 일정이 지연될 것이라고 합니다. 또한 ERT가 모든 시스템을 오프라인 상태로 전환하면서 고객들이 주요 데이터에 접근할 수 없게 됬다고 하네요😕

ERT 소프트웨어는 전 세계 의료 조직에서 널리 사용되는 제품이라고 합니다. 특히 바이오 제약회사 '아스트라제네카'의 코로나19 백신 임상시험 계약 연구기관 아이큐비아가 피해를 입었다고합니다. 그나마 백업 데이터가 있어서 최악은 면했다고 하네요😊

이에 보안업계 일각에서는 최근 랜섬웨어 공격 동향이 의료, 제약 부문을 주요 타깃으로 하고 있으며 관련해서 투자와 조치가 필요하다는 의견이 제기되고 있다고 합니다!

출처

www.boannews.com/media/view.asp?idx=91576&page=1&mkind=1&kind=2

www.boannews.com/media/view.asp?idx=91616&page=1&mkind=1&kind=1

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29587&key=&dir_group_dist=&dir_code=&searchDate=

Easy Keygen 문제를 풀이해보도록 하겠습니다😁

문제를 다운받으니 문제의 프로그램과 ReadMe 파일이 있어서 ReadMe를 먼저 읽어봅니다!

Serial이 "5B134977135E7D13"인 Name을 찾으라고 하네요😛

프로그램을 실행시켜보니 Name과 Serial을 입력하라고 나옵니다.

그럼 ReadMe의 Serial에 맞는 Name을 찾아야하네요! 찾아보도록 합시다😄

처음에 실행시키다 보면 401000으로 들어가는 함수를 찾을 수 있습니다!

들어가보니 "Input Name: "이라는 문자열을 찾을 수 있고 여길 분석하기 시작해야겠죠? 😋

처음에 ecx 레지스터에 [esp+esi+C]가 가리키는 곳의 값을 옮깁니다.

[esp+esi*1+C]는 스택에서 [0019FE04]라는 곳을 보고 있는데 해당 값이 10이라고 합니다😀

스택도 한번 보도록 합시다!

스택에서 살펴보니 10이 들어가있는 것을 확인할 수 있죠!

그런데 뒤에 20, 30의 값도 들어있는 것을 확인할 수 있습니다!

그 다음 명령어에선 edx 레지스터에 [esp+ebp*1+10]의 값을 옮기는데

[esp+ebp*1+10]는 스택에서 [0019FE08]이라고 합니다.

제가 입력한 값 "test"의 "t"를 가리키는군요😀

옮긴 이후 위의 두 값을 XOR 연산하고 있습니다!

그리고 이후 스택에 저장해두는 것을 확인하실 수 있으실 겁니다.

계속해서 살펴보도록 하겠습니다😀 

다시 돌아온 것을 확인할 수 있으며 암호화 루틴이라는 것을 알 수 있겠죠?😀

그리고 "test"에서 다음의 값인 "e"를 가져옵니다.

두 개의 값을 XOR 연산을 하고 저장하는 것을 또 보실 수 있으실 겁니다😁

이제 어느정도 30이 나올 거라 예상하고 보게 되겠죠?😀

그리고 그 다음은 예상대로 "test"의 "s"가 나옵니다.

그리고 XOR 연산을 한 후 저장하게 됩니다.

그럼 10, 20, 30 세 개의 숫자가 암호화 키라는 것을 알게 되었는데 4번째 문자부터는 어떻게 암호화하는지 봐야겠죠😀

살펴보니 4번째부터 다시 10의 값을 가져오는 것을 확인할 수 있습니다.

그리고 예상대로 "test"의 마지막 문자인 "t"를 가져옵니다.

예상대로 XOR 연산을 하고 저장하게 됩니다.

이제 암호화가 끝이 난 후 보니 "64454364"의 값이 생성이 된 것을 볼 수 있습니다😀

그리고 Serial 번호로 제가 입력한 값인 "5B134977135E7D13"과 비교를 하고 있네요!

첫 번째 분기점에서 첫글자와 비교 후 조건문이 참이 되지 않아 바로 끝나버립니다.

그래서 위의 영역이 비교문 루틴이라는 것을 알 수 있었고 정답을 어떻게 알아낼지 바로 생각이 나더군요😁

그럼 어떻게 정답을 알 수 있을까요?

암호화 루틴은 생각해보면 쉽게 알 수 있습니다.

"입력한 Name 값을 10, 20, 30 순서대로 XOR 연산한다"

그럼 주어진 시리얼 넘버를 10, 20, 30 순서대로 다시 XOR 연산을 해주면 답이 되지 않을까요😉

답이 길진 않으니 직접 일일이 하셔도 되고 Python으로 간단하게 코딩하셔셔 푸셔도 좋으실 겁니다!

그럼 이만 풀이를 마치겠습니다😆

1. 개보위의 개인정보보호 연차보고서 - 헌법기관 4곳의 주요 실적

(1) 국회

가. 개인정보보호시스템 강화

국회는 매년 정보보호 컨설팅을 실시하며, 각종 사이버 침해 대응 체계를 확보하기 위해 노후 정보보호시스템을 교체 및 증설하고 있습니다. 이와 관련하여 2019년에는 신규 정보보호시스템을 도입, 노후 정보보호시스템 교체를 12월에 실시하여 국회 정보보호시스템의 보안성을 강화했습니다. 또한, 6월에 백신 소프트웨어 및 보안서버 연간사용권을 구매 및 적용하여 백신 및 서버의 안정성을 유지하고 있습니다.

나. 개인정보보호 관련 교육 및 홍보

매년 소속 직원들의 정보보호 인식 제고를 위한 교육을 실시하고 있습니다. 2019년에는 정보보호 관련 외부 전문가를 통해 '공직자가 알아야 할 사이버 안전수칙'을 주제로 11월에 교육을 실시했습니다. 또한, 포스터 게시 및 리플릿 배포 등 정보보호 홍보 활동을 했습니다. 이 외에도 개인정보보호 업무담당자가 보안 관련 외부 세미나 및 교육에 참석해 정보보호 의식과 역량을 강화했으며 모의훈련을 매달 실시하여 안전성 및 신뢰성을 제고했습니다. 

(2) 법원

가. 개인정보보호 정책 및 제도 개선

대법원은 개인정보 최소수집의 원칙에 따라 업무 수행에 '불가피한 경우'에 한해 민감정보 및 고유식별정보를 처리할 수 있으며, '법원 개인정보보호에 관한 규칙' 일부를 개정했습니다. 각급 법원에서 운용하는 개인정보파일 삭제 권한을 사법부 개인정보보호책임자에서 각급 법원 개인정보보호 담당자의 권한으로 변경하는 내용으로 '법원 개인정보보호 지침'을 개정했습니다. 2019년에는 법원행정처 개인정보보호 시행계획을 수립·시행하고, 사법부 안전성 확보 조치에 대한 개인정보보호 내부관리 계획을 2차례 개정했습니다. 이 외에 가이드라인 재정비, 침해·유출사고 대응 메뉴얼을 작성했습니다.

나. 개인정보보호 교육·홍보

법원 직원의 인식 제고 및 개인정보 처리 업무의 전문성과 숙련도 향상을 위해 각급 법원에서 교육 계획을 수립·시행했습니다. 또한 사법부 개인정보보호담당자는 개인정보취급자의 역량 강화를 위해 신규 직원과 법원 관리자에 대한 강사 활동을 지원했습니다. 더불어 콘퍼런스 참석하고 국가 공무원인재개발원에서 주관하는 개인정보보호 실무교육을 2회 이수했습니다. 또한 개인정보보호 및 보안관리를 내용으로 하는 웹툰을 게시하여 직원들의 인식을 향상시키며, 보안의 중요성을 강조하고 경각심을 줄 수 있도록 노력했습니다.

(3) 헌법재판소

가. 개인정보보호 기본계획 및 시행계획 수립

개인정보보호 규칙 및 지침등에 따라 지속적으로 기본계획과 시행계획을 수립·시행하고 있으며, 개인정보 보유현황을 주기적으로 점검하고 있습니다. 2019년에는 제4차 기본계획 및 시행계획을 수립했고, 현황과 관리실태 점검 결과를 개인정보 처리방침 개정에 적용했습니다. 개인정보보호 기본계획에서 4개의 과제를 선정해 추진했습니다.

• 개인정보보호 제도 운영
• 개인정보보호 역량 강화
• 개인정보 침해 예방 및 권리 보장
• 개인정보보호 안전성 조치 강화

나. 개인정보 침해 예방 및 개인정보보호 역량 강화

개인정보파일 보유현황 조사 및 정비를 실시해 개인정보파일을 검토하여 홈페이지의 개인정보파일 목록을 현행화했으며, 개인정보 검출시스템을 통해 관리실태를 점검하고 보안 조치를 취했습니다. 헌법재판소 직원의 인식 제고를 위해 개인정보 처리담당자를 대상으로 교육 및 세미나에 참석하도록 했고, 부서별 개인정보취급자 및 개인정보수탁자를 대상으로 교육을 실시했습니다.

다. 개인정보보호 안전성 조치 강화

사이버안전센터를 24시간 운영하여 개인정보 유·노출을 사전에 탐지·차단하고, 모의훈련 등 침해사고 예방 절차를 점검하여 침해사고 발생 시 신속하게 대응할 수 있게 하고 있습니다. 또한 보안취약점 점검 사업을 매년 추진하여 개인정보 보안사고 예방에도 힘쓰고 있습니다.

(4) 중앙선거관리위원회

가. 개인정보보호 정책 및 제도 개선

'선거관리위원회 개인정보보호에 관한 규칙'을 개정하여 민감정보 및 고유식별정보 처리 규정을 정비하고, 안전성 확보 조치 대상에 민감정보를 추가했으며, 개인정보파일의 등록 및 공개대상 제외 규정을 신설하여 개인정보파일 상세내역서의 홈페이지 등록 및 공개에 관한 사항을 반영했습니다. 이에 홈페이지 내 '개인정보 보유현황'부분을 신설하여 개인정보파일 상세내역서를 등록 및 공개함으로써 정보주체의 권리를 보장하고 체계적으로 관리하는 등 개인정보보호를 위해 노력했습니다. 또한, '선거관리위원회 개인정보보호 지침'을 정비해 체계 정합성을 확보하는 등 개인정보보호 기반을 강화했습니다.

나. 개인정보 영향평가 실시

현재 운영 중인 시스템에 대해 잠재적 위험 및 침해요인을 식별·분석하고 정보주체의 프라이버시에 미치는 영향을 파악하여 권리 침해를 최소화하기 위해 개인정보 영향평가를 실시했습니다. 영향평가 결과 시스템별 69개의 평가항목에 대해 평균 97.8%의 이행률을 기록해 우수한 평가의견을 획득했으며, 이행 결과 점검을 통해 침해사고를 미연에 방지하고 개인정보보호 인식 제고 및 수준 향상을 위해 노력했습니다.

다. 개인정보보호 지도·점검

정보주체의 개인정보보호 안전성을 강화하고 인식을 확산하기 위해 개인정보 취급실태를 파악하고 '개인정보보호법' 위반 사항을 점검했습니다. 특히 5개반 12명의 점검반을 편성해 9개 시·도위원회를 대상으로 지도·점검을 했으며,  모든 시·도위원회는 관할 구·시·군위원회가 보유한 업무용PC에 대해 개인정보 유출 방지 시스템을 실행 하도록 하고 실행 기록 요약서를 제출받는 자체 점검을 실시했습니다.

2. 금융사 및 기업 대상 DDoS 공격 확산

최근 국내외 금융사 및 기업 등을 대상으로 비트 코인을 요구하는 협박성 DDoS 공격이 지속적으로 발생하고 있어 보안 점검과 대비가 필요하다고 합니다.

최근 사례를 보면 해외 특정 해커그룹 Fancy Bear, Armada Collective 등이 공격을 수행하고 있다고 합니다. 공격자들은 요구한 기일 내 비트코인 미 입금시 추가 공격을 예고하는 등 지속적으로 협박한다고 합니다.

특히 해외에서는 'Fancy Bear'라고 주장하는 해커그룹이 뉴질랜드 증권거래소를 DDoS 공격해 거래 중단 사태가 발생한 바 있다고 합니다.

공격자로부터 협박 메일을 받거나 피해 발생 시 한국인터넷진흥원(KISA)에 즉시 신고를 해야하며, 사전 대비 및 공격 발생 시 DDoS 방어서비스를 이용해야 한다고 합니다.

영세기업 및 중소기업은 KISA에서 무료로 제공하는 DDoS 방어서비스를 신청해도 되며, 그 외 기관 및 기업은 통신사 등에서 제공하는 DDoS 공격 방어 서비스를 활용하면 된다고 합니다. 금융사는 금융보안원 방어 서비스를 이용할 수도 있다고 하네요🤩

특히 중소기업은 'DDoS 공격 대응 가이드'를 참고해 대비하는 것이 안전하다고 하며 홈페이지 및 주요 시스템에 대한 모니터링 등 보안 강화에 각별히 신경 쓰는 것이 좋다고 합니다!

. 대응 가이드는 아래의 링크를 이용하시면 됩니다😊↓

www.boho.or.kr/data/guideView.do?bulletin_writing_sequence=35135

3. 개인정보보호위원회, '데이터 3법' 해설서 초안 공개

개인정보보호위원회(개보위)는 '데이터 3법' 내용을 반영한 개인정보 보호법 해설서를 사전 공개하고 주요 고객의 의견을 수렴한다고 합니다😁

해설서에 추가된 내용은 다음과 같다고 합니다.

• 정보주체의 동의 없이 추가적인 이용 및 제공
• 가명정보 도입을 통한 데이터 활용성 제고
• 개인정보처리자의 책임 강화
• 등등

법 개정에 따라 보호법에 특례 규정으로 포함된 정보통신망법 중 개인정보 보호 관련 조항과 신용정보법 등 다른 법률과의 관계를 상세히 설명하면서, 지난 2016년 이후 개인정보와 관련된 판례 38건과 보호위 결정례 23건 뿐만 아니라 Q&A도 수록해 국민들이 해당 법을 쉽게 이해할 수 있도록 했다고 합니다.

GDPR도 이번 해설서와 유사한 해석 기준과 적용 안내서가 배포하고 있다고 하며 공공기관, 기업 등에서 이를 개인정보를 처리하는데 중요한 판단 기준으로 활용하고 있다고 합니다😊

의견 수렴은 10.06 ~ 10.15까지 개보위 홈페이지와 개인정보 보호포털을 통해 이루어진다고 합니다👀 

해설서는 아래의 링크에서 보실 수 있습니다↓

www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS061&mCode=C010010000&nttId=6857

출처

www.boannews.com/media/view.asp?idx=91559&page=1&mkind=1&kind=2

www.dailysecu.com/news/articleView.html?idxno=114548

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29583&key=&dir_group_dist=&dir_code=&searchDate=

첫번째 문제로 들어가보겠습니다 :D

프로그램을 실행한 다음 어떤 값을 입력하라고 합니다!

그랬더니 잘못된 값을 입력하면 "Incorrect Password"라는 경고메시지가 뜹니다😶

그럼 "x32dbg" 툴을 이용하여 동적분석을 해보도록 하겠습니다!

"Incorrect Password" 문자열을 검색한 후 해당 함수의 EP에 BP를 걸었습니다.

1번째 분기점에서 제가 입력한 문자열의 1번째 문자를 비교하지않고 2번째 문자를 "a"와 비교하더군요!

즉, 제가 "TEST"라는 값을 입력하면 "E" 와 "a"를 비교하여 jne 같지 않으면 바로 비교가 끝이납니다.

2번째 분기점은 1번째 분기점 이후 2개의 문자를 "5y"와 비교합니다😊

즉, "TEST"에서 "ST"와 "5y"를 비교하여 같지 않으면 바로 비교가 끝이 납니다.

3번째 분기점에서는 이후 문자열을 "R3versing"과 계속 비교를 하게 됩니다.

그리고 마지막 분기점에 보니 제가 입력한 문자열의 첫번째 문자를 비교하고 있습니다.

다른것과 동일하게 분석을 했으며 자세히 설명해보겠습니다😊

cmp byte ptr SS:[esp+4], 45

[esp+4] 는 esp의 주소값에서 4를 더한 곳의 주소를 45(E)와 비교하고 있습니다.

밑에 보면 친절하게 [ESP+4]가 무엇인지 가르쳐주고 있죠😄

하지만 스택에서 한번더 확인해봅시다!

스택에서 보면 오른쪽에 [ESP+4]의 값이 79라고 생각할 수 있겠지만 리틀엔디언방식으로 들어가기 때문에

뒤에서 부터 읽어야합니다😄

해당 스택 값을 변경하기 옵션으로 다시 확인해보면 제가 넣은 문자가 거꾸로 스택에 PUSH된다는 것을 알 수 있죠!

(캡쳐 당시 프로그램 실행 후 "Ea5y"를 넣었습니다.)

모든 분기가 끝이 난 후

"Congratulation!!" 이 출력되는 것을 확인할 수 있습니다😋

23번 풀이입니다 :D

미션이 부여가 되었네요!

<script>alert(1);</script>를 넣으라고 합니다 :D

처음에 <가 &lt;로 되어잇길래 조금 긴시간 삽질을 해버렸습니다.. 😒😒

넣어야하는 구문 그대로 한번 넣어서 반응을 보았습니다!

넣으니 "no hack"이라는 문자열을 뱉어내는군요!

그럼 보통은 특수문자를 필터링하니 특수문자를 먼저 넣어보았습니다💨

출력이 되는걸 보아 특수문자는 필터링하지 않는군요?!

그럼 문자를 넣어보겠습니다!

넣어본 결과 1개의 문자는 출력이 되나 문자열로 들어가게 되면 필터링을 하는걸로 보입니다!

그리고 헥스값으로 아스키코드를 사용할 수 있는 걸 확인을 했죠😎

1. 문자열 출력

2. 특수문자 사용 가능

3. 헥스값 사용 가능

그래서 온갖 삽질을 다하다가 아스키코드표에 %00이 NULL인 것을 보고

문자 사이사이에 넣으면 문자열로 인식이 안되지 않을까 싶더군요❓

그래서 넣어보니 1이 출력이 되고 <script>alert(1);</script>을 주입할 수 있게 되었습니다!!

XSS 문자열 필터 우회방법을 아는 좋은 문제였습니다!!😆

1. 개보위 개인정보보호 연차보고서 - 개인정보보호 교육 및 홍보 활동

이번엔 개인정보보호위원회(개보위)를 비롯하여 행정안전부, 방송통신위원회, 금융위원회에서 수행한 개인정보보호 교육 및 홍보 등 인식 제고 활동을 알아보도록 하겠습니다.

(1) 개인정보보호 교육

가. 행정안전부

행정안전부(행안부)는 공공·민간 분야 개인정보처리자의 개인정보보호 역량 강화 및 정보주체의 권리 보장을 위해 개인정보보호 교육을 추진해왔습니다. 2019년에는 365만명이 교육을 이수하였으며, 교육 대상의 특성·수준에 따른 맞춤형 교육을 실시하고 교육체계를 학립하는 성과를 달성했습니다.

행안부는 현장에 특화된 교육을 제공하기 위해 권역별 순회교육을 실시했으며, 개인정보보호 업무담당자들의 역량 강화를 위해 전문교육을 실시했습니다. 또한, 공공기관 및 민간 분야의 개인정보보호책임자를 대상으로 개인정보보호 법·제도·정책 및 주요 개인정보 사건·사고 및 대응 방안을 공유하며, 책임과 역할에 대한 인식을 확립할 수 있는 CPO 워크숍 및 세미나를 개최하였으며 6,980명이 참석했습니다.

행안부는 교육 인프라를 확충하기 위해 개인정보보호 전문가 139명을 강사로 선발하였으며, 종합포털에 공개하여 공공민간에서 자율적인 교육이 원활히 이루어질 수 있도록 지원했습니다. 또한 전문강사에 대한 관련 제도를 활성화할 예정입니다.

나. 방송통신위원회

방송통신위원회(방통위)는 교육 수강자의 특성·수준별 맞춤 교육 과정을 개발하였으며, 교육 시간을 3시간으로 확대해 별도의 사업자 맞춤 특화교육 과정 3개를 신설하여 운영했습니다.

교육과정은 다음과 같이 구성되어 있습니다.

• 정보통신망법 주요 내용, 개인정보의 보호 조치 등 심화교육 내용을 포함한 기본 교육과정 (정기교육 과정 1)
• 개인정보보호 취약 분야 대상으로 창업기업을 위한 정보보호 가이드라인 (특화교육 과정 1)
• 개인정보보호 조치 모니터링 사례를 통해 알아보는 개인정보보호 (특화교육 과정2) 
• 최신 개인정보 상담 사례를 통해 알아보는 개인정보 사례 (특화교육 과정3)

방통위는 중소 및 영세사업자를 위해 '찾아가는 개인정보보호 현장교육'을 실시하였으며, '온라인 개인정보보호 교육 전문강사단'을 선발하고 양성하여 개인정보보호 교육을 지원했습니다. 또한, 온라인 포털을 이용해 사업자 대상 온라인 교육 프로그램을 운영했습니다.

방통위는 취약계층 대상 중점 교육을 시범적으로 시행했으며, 국내 최초 결혼이주여성 대상 개인정보보호 교육을 실시했습니다. 또한 초·중·고등학생 중심으로 찾아가는 개인정보보호 현장교육을 진행했으며, 교사·학부모·노년층에 대해서도 교육프로그램을 운영했습니다.

이처럼 방통위는 온라인 포털을 통해 단체교육이 이뤄질 수 있도록 이용자 대상 온라인 교육 프로그램을 운영하고 있으며, 여러 온라인 교육 컨텐츠를 서비스 제공하고 있습니다. 또한 다국어 교육 과정(영어 4종, 베트남어 1종)을 개발하여 더욱더 다양한 사람들에게 개인정보보호 교육 기회를 제공할 예정입니다.

다. 금융위원회

금융위원회는 전문적이고 종합적인 개인정보보호 역량 강화를 위해 금융위원회 및 산하기관 개인정보보호담당자의 역량 및 전문성을 강화하고 여러 사례를 중심으로 교육을 실시했습니다. 또한 금융위원회 직원 대상으로 개인정보 안전성 확보 조치 교육을 실시했습니다.

2019년 동안 금융보안원은 다음과 같은 교육을 실시했습니다.

• 금융 빅데이터 비식별 조치 및 활용을 주제로 집합교육 (07.17 ~ 19, 12.11 ~ 13)
• 금융권 개인(신용)정보보호 교육 (06.12 ~ 14, 11.06 ~ 08)
• 금융권 수탁 업무 관련 개인(신용)정보보호 교육 (11.27 ~ 11.28)
• 대상자별 온라인 개인정보보호 교육 운영

한국신용정보원은 금융권 신용정보 조회 업무대상자를 대상으로 온라인 교육 및 안전성 확보를 위한 라이프사이클 단계별 준수 사항에 대한 집합교육을 실시했습니다. 또한, 데이터 경제 시대의 개인정보보호 제도 동향에 대한 전 교육을 실시했습니다.

(2) 개인정보보호 홍보

방통위는 2010년부터 '인터넷 내 정보 지킴이 캠페인'을 매년 실시했습니다. 또한 SNS 및 모바일 메신저를 통해 개인정보 유출에 따른 피해가 증가하여 '셀럽들이 내 정보 지키는 핵심 인터넷 사이버 보안수칙'을 캠페인 슬로건으로 선정했습니다.

2019년에는 TV 교양 정보 프로그램인 'MBC 생방송 오늘아침'을 통해 피해 사례 및 예방수칙, 인터넷 관련 상담전화(118) 등 여러 서비스들을 소개했습니다. 또한, CM송을 제작하여 공감대를 형성할 수 있도록 노력했으며, 캠페인 캐릭터를 활용하여 이모티콘, 애니메이션 등을 제작한 후 다양한 온라인 홍보활동을 진행했습니다.

추석 연휴 기간과 지역 형평성을 고려해 KTX 및 SRT 전 노선 객실 내 영상매체를 통해 안전한 온라인 결제 및 클라우드 서비스 이용수칙 애니메이션을 송출했으며, 생활밀착형 서비스를 제공하는 30개사와 협업해 홍보 및 캠페인 효과를 극대화했습니다.

개인정보보호 정책 아이디어 제안 공모전(19.10 ~ 11)을 통해 소통하며, 정책에 대한 참여 기회를 확대했습니다. 또한, 이통통신사와 함께 캠페인을 추진하고 지역축제에 참여하여 지역과 협력하고자 했습니다. 이후 국민의 공감대 형성뿐만 아니라, 자발적인 개인정보보호 실천을 유도할 수 있도록 홍보를 강화할 예정입니다.

방통위는 매년 정보를 공유하고 네트워크를 형성할 수 있는 행사를 주최하고 있습니다. 온라인 개인정보보호 콘퍼런스를 개최하여 기업 실무자들의 정책 이해도를 높이고자 노력했으며, CPO 워크숍을 통해 국내외 개인정보보호 정책 및 최신동향을 전달했습니다.

제4회 개인정보보호 모의재판 경연대회(19.08)을 개최해 개인정보보호에 대한 관심을 제고하고자 했으며, 개인정보보호인의 밤 행사(19.12)를 개최해 사회 전 분야 개인정보보호인들이 모여 한 해의 성과를 공유하고 다음 해의 노력을 다짐하는 자리를 가졌습니다.

2. 북한 해킹그룹 '비글보이즈', 금융권 사이버공격 주범으로 지목

미국에서 지난 8월 26일 북한의 금융분야 사이버위협에 관한 경보를 발령했다고 합니다.

북한 정찰총국 소속의 해킹그룹 '비글보이즈(BeagleBoyz)'는 2015년부터 여러국가의 금융기관을 통해 20억불을 탈취 시도했다고 합니다.

• 은행 ATM 해킹을 통한 현금 인출(FASTCash)
• 은행 SWIFT 코드 사기 사건 (2016년 방글라데시 중앙은행 8,100만불 탈취)
• 대량의 암호화폐 탈취를 위한 암호화폐 거래소 탈취

한동안 잠잠하였지만 2020년 2월 이후 국제 송금 사기 및 ATM 해킹 등 활동을 재개했다고 합니다.

다양한 도구 및 기술을 사용해 금융기관 네트워크의 접근 권한을 획득하고, 네트워크 구성도를 익히며 금전을 탈취한다고 합니다. 특정 개인이나 회사를 대상으로 '스피어피싱' 그리고 피해자가 방문할 가능성이 있는 웹사이트를 미리 감염시켜 '워터링홀' 등 다양한 기술을 활용하여 최초 침투를 시도한다고 합니다. 이어 금융기관 망에 연결된 컴퓨터에 침투한 후, 피해 컴퓨터 시스템의 취약점을 선별적으로 공격한다고 합니다.

금융기관의 네트워크에 대한 취약점 공격을 진행하면서, OS의 보안요소 우회를 위해 다양한 기술도 사용하고 있다고 합니다. 또한, ECCENTRICBANDWAGON 등 멀웨어를 사용하여 키보드를 입력하는 내용을 가로채거나 스크린 캡처를 통해 계정정보를 탈취한다고 합니다.

금융기관의 SWIFT 터미널 및 지분 전환 응용프로그램 서버에 접근하고, 악성코드를 사용하여 금융기관 네트워크에 대한 원격 접속 및 통제 권한을 확보한다고 합니다. 이때, 원격 접속 트로이목마 악성코드로, 공격 대상 전산망에 원격으로 일종의 비밀통로를 형성한다고 합니다.

압축 및 암호화, 악성 스크립트, C2 채널을 통한 탈취등 다양한 방식으로 시스템에 침투하여 데이터를 탈취하고, 암호화폐거래소 해킹과 관련하여 원격조정 도구를 활용한다고 합니다.

이에 미국정부는 모든 금융기관을 대상으로 연방금융기관검사협의회 핸드북상 사이버보안, 지불시스템 관련 내용 준수 및 주요 시스템에 대한 산업 보안 표준 준수를 권고했습니다.

다음은 미국의 소매 지불 시스템 관련 기관과 현금자동인출기 관련 기관, 모든 기관에 대한 권고 사항입니다.

- 소매지불 시스템 관련 기관 대상

• 칩 또는 PIN 암호화 요구
• 지불시스템 인프라 격리
• 운영환경 논리적 분리
• 전송 중 데이터 암호화
• 비정상적 행위에 대한 모니터링

- 현금자동인출기 관련 기관 대상

• 금융 요구 메시지 발행인 응답에 대한 인증
• 직불카드에 칩 또는 PIN 의무화
• 금융 요구 응답 메시지 관련 인증 코드 요구

- 모든 기관 대상

• 이용자 및 관리자 사이버보안 강화
• 안티바이러스 서명 및 엔진 업데이트
• 운영체제 업데이트
• 파일 및 프린터 공유 서비스 해제
• 소프트웨어 설치 및 운용 관련 이용자 권한 제한
• 강력한 비밀번호 적용 및 주기적 변경
• 이메일 첨부물 주의

3. 페이스북, 무허가 개인정보 수집한 개발사들 고소

페이스북은 이용자 정보를 허가 없이 스크랩하는 크롬 브라우저 확장도구를 개발 및 배포한 회사를 소송하였다고 합니다.

소송을 당한 회사는 해외 기업인 유니매니아와 브랜드토털 등 두 곳이라고 합니다.

브랜드토털은 업보이스, 유니매니아는 애드피드라는 크롬 확장 도구를 제작하였으며, 업보이스는 5,000건, 애드피드는 10,000건 이상 설치된 것으로 추정하고 있다고 합니다. 또한, 브랜드토탈 홈페이지를 통해 '마케팅 인텔리전스'라는 이름으로 포장되 팔리기도 했다고 합니다.

브랜드토털은 업보이스를 설치하면, 온라인 기프트 카드와 같은 대가를 지급하는 방식으로 이용자들을 유인했다고 합니다. 해당 확장 도구 설치자는 패널로 불리며, 취득한 정보들은 기업들의 마케팅 결정과 브랜드 전략에 영향을 미쳤다고 합니다. 유니매니아 또한 비슷한 방법으로 홍보했다고 합니다.

하지만 페이스북에서는 두 확장 도구가 페이스북 뿐만아니라 인스타그램, 트위터, 아마존 유튜브 등 이용자 계정의 공식, 비공식적 데이터들을 수집할 수 있도록 설계된 점이 문제라고 밝혔습니다.

하지만 페이스북에서는 이용자의 개인정보들에 대한 수집 허가를 하지 않았다고 합니다.

페이스북에 따르면 두 확장 도구는 이용자 정보를 스크랩하기 위해 신원 코드를 사용했으며, 그들의 서버로 수집한 정보들을 보냈다고 합니다.

출처

www.boannews.com/media/view.asp?idx=91554

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29578&key=&dir_group_dist=&dir_code=&searchDate=

www.dailysecu.com/news/articleView.html?idxno=114454

1. 인스타그램 취약점 발견!

SNS 플랫폼 중 하나인 인스타그램에서 사용자의 카메라와 마이크로폰에 접근할 수 있는 취약점이 발견되었다고 합니다.

이 취약점은 CVE-2020-1895로 CVSS를 기준으로 7.8점을 받았으며 Android와 ISO 모두에서 발견되었다고 합니다. 해당 취약점이 알려진 것은 2월이었으며, 패치가 되었다고 합니다.

인스타그램은 현대의 거의 모든 소프트웨어처럼 서드파티 오픈소스 프로젝트들을 다양하게 활용하고 있다고 합니다. 이 취약점은 모질라(Mozilla)가 구축한 프로젝트인 Mozipeg를 활용하였다고 합니다. 인스타그램은 이미지 디코딩을 위해 Mozjpeg를 활용하고 있었으며, 이로 인해서 발현되었다고 합니다.

이 취약점을 익스플로잇 하려면 왓츠앱, 문자, 이메일 등의 메시지 관련 서비스를 활용해 피해자의 장비로 이미지를 보내기만 하면 된다고 합니다. 그리고 피해자가 이미지를 저장 후 인스타를 켜면 익스플로잇이 시작되어 공격자가 장비 내 모든 지원(카메라, GPS, 연락처, 저장공간 등)에 접근할 수 있게 된다고 하네요!

익스플로잇을 위해 전송하는 이미지는 크기와 치수가 어그러져 있어야 한다고 합니다. 그래야 정수 오버플로우나 버퍼 오버플로우가 발생하여 익스플로잇이 가능하게 된다고합니다. 현재 인스타그램 128.0.0.26.128 이전 버전이 취약점에 노출되어 있다고 합니다.

이러한 문제점으로 체크포인트의 한 보안 연구원은 다음과 같이 언급했다고 합니다 :D

"인스타그램이라는 앱의 가장 근본적인 문제는 제대로 사용하려면 너무나 많은 권한을 가져야 합니다.

기능 발휘 측면에서 어쩔 수 없는 일이기도 합니다.

하지만 이러한 첨이 최근 해커들이 노리기 시작한 부분입니다.

가뜩이나 SNS가 해커들의 인기를 끌고 있는데 권한까지 높으니 표적이 될 수 밖에 없습니다.

인스타 하나 익스플로잇 하면 높은 확률로 장비를 장악하게 됩니다.

기능성과 권한 설정에 대한 진지한 고민이 필요합니다.

- 엘비즈, 체크포인트 보안 연구원

그리도 취약점이 서드파티 요소 그 자체가 아니라, 서드파티 요소를 인스타그램이라는 플랫폼에 구축하는 방법에서부터 나타난다는 것도 주의 깊게 살펴봐야 할 부분이라고 하네요 :D

2. 떠오르는 EAMS 재택근무 솔루션

최근 계속된 코로나로 재택근무가 활발히 이루어지고 있는 가운데 안전한 환경을 제공해주는 EAMS 솔루션이 떠오른다고 합니다.

EAMS는 개인 PC에 별도의 프로그램을 설치하는 것도 아니며 VPN을 이용하는 것도 아니라고 합니다. 인터넷 환경에서 크롬브라우저의 https 암호화된 접속만으로 회사 PC와 같은 환경에 접속이 가능하다고 합니다. 또한 생체인증이나 OTP를 이용한 이중인증과 암호화된 통신적용으로 정보유출이나 해킹공격으로부터 안전하고 편리하게 업무에 집중할 수 있게 해주는 원격 접속 서비스라고 합니다.

취약한 개인 PC환경에서 작성된 문서나 유해 프로그램 등을 통해 악성코드가 유입될 가능성이 존재하며, IP나 계정정보를 알면 해커가 접속하여 사내망 전체가 위험에 노출될 수도 있습니다.

EAMS는 파일전송 기능이 차단된 웹브라우저로만 업무가 이루어지기 때문에 개인의 취약한 PC 환경이 사내망에 영향을 주지 않는다고 합니다. 또한 EAMS에 계정별 등록된 PC만 접속 가능해서 사내망을 위협으로부터 보호할 수 있다고 하네요 :D

EAMS의 주요기능은 다음과 같습니다.

• 원격접속이 필요한 사용자에게 간편한 신청 절차
• 웹 브라우저만으로 어떤 단말이든 웹 터미널 제공
• 스크린 워터마크를 통한 화면유출 방지 기능
• 정책설정을 통해 파일 전송 기능 차단을 통한 부정사용 방지
• 추가 인증 제공 및 로그인 보안 강화 지원
• IP 통제 제공
• 사용자 인증 강화 및 인증 절차 간소화
• 원격접속 서비스를 신청한 사용자의 접속 상태 모니터링 및 감사 기능

3. 암호화 트래픽에 숨겨진 사이버위협, 대처법은?

암호화를 이용한 사이버 공격이 급증하고 있다고 합니다. 이를 방어하기 위해 암호화된 트래픽 분석을 통해 위협을 탐지하고 차단할 수 있어야 합니다.

암호화 트래픽에 숨겨진 위협을 탐지하기 위해 SSL 프록시를 활용하여 복호화시켜 위협을 찾아내야 한다고 합니다. 하지만 이에 대한 오버헤드와 법률적인 문제로 적용할 수 없는 경우도 발생할 수 있다고 합니다.

이에 대해 주니퍼의 ETA 기술이 암호화 위협을 찾아낼 수 있게 해주며 보호를 제공하고 있다고 합니다.

또한, 주니퍼 SRX 방화벽을 클라우드와 연결해 방화벽에서 암호화된 트래픽의 메타데이터와 연결 패턴을 전송하고, 주니퍼 APT 클라우드에서 머신러닝 기술로 상관 관계 분석과 행위분석을 진행하여 사이버 위협 여부를 판단할 수 있다고 하네요 :D

출처

www.boannews.com/media/view.asp?idx=91451

www.dailysecu.com/news/articleView.html?idxno=114357

www.dailysecu.com/news/articleView.html?idxno=114241

안녕하세요 :D

오랜만에 CTF 블로깅으로 돌아왔습니다!

최근까지 직장 업무에 다른 활동도 있었지만 Dreamhack CTF와 뉴스거리들을 올리는 것에 집중한다고

장기간 작성하지 못했네요!

오늘부터 다시 차근차근 하나씩 풀어보도록 하겠습니다 :D

문제이름이 LOL 이네요?

들어가보도록하겠습니다 !!

음.. 로컬이 아니라구요..?

그저 게임을 즐기자고요..?

들어가보죠 :D

들어와보니 Search user라는 문구와함께 User 이름을 적는 란이 존재합니다.

아무 말이나 한번 적어보도록 하죠!

"test"를 입력하니 OP.GG의 화면이 나옵니다! (참 익숙한 화면이네요~_~)

그럼 문제 홈페이지의 소스코드를 살펴볼 필요가 있겠죠 :D?

그전에 OP.GG로 이동시키는 기능이 있을거라 예상은 충분히 할 수 있습니다!

역시 소스코드를 보니 hidden 타입의 값이 들어가 있습니다.

그리고 입력한 값은 query라는 변수로 들어가게 되고 hidden url로 인해 OP.GG로 넘어가게되네요!

Burp로 확인을 해본 결과 역시는 역시나죠 :D

자 그럼 이런 문제는 SSRF 공격 유형의 문제입니다.

그럼 우회방법은 어떤 방법이 있을까.. 바로 "@"를 이용해 주는 것입니다!

의도하지는 않았지만.. 간단한 예로 아래를 보도록 하겠습니다 :D

Burp로 잡은 후 query에는 flag.php, url은 "XXXXwww.op.gg@XXXX"를 넣었습니다.

그리고 전송하면 결과는!

http://...@ctf.j0n9hyun.xyz:2035/flag.php가 나오게 됩니다! 

즉, "@" 이전의 값은 들어가지 않고 이후의 값이 넘어가게 됩니다 :D

이렇듯 SSRF는 Server-Side Request Forgery의 약자로 서버의 기능을 악의적으로 이용하여 원래 요청할 수 없었던 것을 서버 내부 명령을 통해 접근하는 것을 말합니다.

그럼 "@" 잘 이용해서 서버 내부에 있는 flag php페이지에도 접근할 수 있겠죠?

그래서 저는 위와같이 "../../"를 넣어서 flag.php에 도달하도록 했습니다!

그럼 다시 원래 페이지로 돌아오게 되죠!

하지만 초기의 화면과 뭔가 다릅니다!

페이지가 다르다는 소리이니 페이지 소스코드를 확인해봅시다 :D

소스코드를 보니 Flag가 들어있네요 !!

이렇게 문제풀이를 마쳤습니다!

이번 문제는 SSRF 문제로 "@" 우회법을 사용해서 Flag를 획득하는 문제였습니다 :D