1. 의료 영상 이미지 보관 상태 심각

4500만 개의 의료 이미지들을 저장해 둔 스토리지 서버 수만 개가 공공 인터넷에 노출되었다고 합니다.😮

이 스토리지 서버들은 디폴트 상태 그대로 있었으며, 보안장치 없이 사용되어 있었다고 합니다.

이와 관련하여 보안 업체인 사이벨앤젤(CybelAngel)이 보고서를 발표했다고 합니다.

사이벨앤젤은 6개월이 넘는 시간 동안 이런 서버들을 조사했으며, 그 과정에서 3천개가 넘는 서버들이 104번 포트를 통한 연결을 허용해주고 있는 것을 발견했다고 합니다.🤨

104번 포트는 의료 이미징 기계들을 생산하는 업체들이 자주 사용하는 포트로, 이 중 50개를 무작위로 선택하여 조사했을 때 44개가 아무런 인증 없이 연결이 가능했다고 합니다.

결국 스토리지 서버 및 클라우드 스토리지 서비스들의 환경설정 오류가 아직도 고쳐지지 않는다는 것이 이번 연구결과라고 합니다.

이런 유형은 사용자가 스스로 데이터 침해사고를 유발하는 것이며, 해커들이 일으키는 유출 사고보다 사용자들이 실수로 일으키는 유출 사고가 더 심각하다는 연구 결과가 나오기도 했었다고 합니다.😮

또한, 의료기관 대부분이 자신들의 데이터가 새나가고 있는 것을 전혀 인지못하고 있었다고 합니다. 정보 유출에 대한 뉴스와 경고가 그렇게 많이 나가도 병원들은 대부분 남의 이야기로 태도가 만연했다고 합니다.🤨

사이벨앤젤은 IPv4 전체를 먼저 스캔하고, 최초 스캔만으로 2천만 장의 고유 DICOM 이미지를 찾아낼 수 있었다고 합니다.

이 이미지들은 11,000여 개의 보안 설정이 되어 있지 않은 서버들에 저장되어 있었고, 이 서버들은 57개국에 퍼져 있다고 합니다.

6새월이라는 조사 기간동안 67개국에 퍼져 있는 2100개 서버들에서 4500만 장의 고유 DICOM 이미지들을 찾아낼 수 있었다고 합니다.

주요 국가들은 다음과 같습니다.

- 미국 : 980만개

- 한국 : 960만개

- 러시아 : 880만개

하지만 사이벨앤젤은 서버들의 소유주 혹은 관리자들에게 따로 알리지는 않았다고 합니다. 해킹 사고가 일어나지 않은 것이기에 고지의 의무가 없고, 서버의 관리자나 소유주를 파악하는 것이 반드시 가능한 일은 아니기 때문이라고 합니다.

그래서 병원들이 알아서 데이터 스토리지를 찾아 설정을 바꿔야 한다고 합니다.😀

이에 사이벨앤젤의 수석 사이버 보안 분석가인 시굴라는 다음과 같이 언급했다고 합니다.😀

이런 보고서가 없어도 원래 기업들은 자신들의 클라우드 및 스토리지 서버를 늘 점검해야 합니다. 서버와 스토리지의 설명서를 충분히 읽고 안전하게 설정하는 방법을 숙지해야 합니다. 그런 후 주기적으로 점검하고 업데이트를 해야 하는 것이죠.

2. 저작권 침해 사칭 메일 주의

'저작권법 침해가 있어 연락드립니다'와 같은 피싱 메일이 돌아다니고 있다고 합니다.😮

메일 내용을 보면 현재 이용하고 있는 '그림' 중에 자신이 제작한 작품을 동의 없이 사용하고 있으며, 법적인 문제를 삼기보다는 원만하게 해결하고 싶으니 내용을 확인바란다 라고 쓰여 있다고 합니다.

그리고 압축 파일이 첨부되어 있는데 해당 파일은 국내에서 흔히 사용하는 압축 소프트웨어 '알집'으로 압축을 해제할 수 있는 유형인 ALZ으로 압축되어 있다고 합니다.

하지만 이 유형을 쓰는 사람은 드물며, 사용자가 특별히 설정을 만지지 않는 이상 알집에서는 기본적으로 ZIP 형태로 압축을 진행한다고 합니다.😀

공격자가 이러한 유형을 쓰는 이유는 특정 국가를 노리기 위한 것으로 추정되고 있다고 합니다. ALZ은 국내에서 주로 사용하는 여러 압축 프로그램(알집, 반디집, 빵집 등)으로만 압축을 풀 수 있으며, 한국어로 작성된 만큼 국내 사용자를 노린 것으로 분류할 수 있다고 합니다.

ALZ과 주로 함께 쓰이는 파일 유형은 HWP이며, 대부분의 공공기관 및 학교, 이들과 관련한 기업에서 사용하는 만큼 특정 조직을 노린 공격에 HWP 파일이 쓰이고 있다고 합니다.😀

알집 파일을 풀어보면 2개의 파일이 들어있고, 파일 이름은 '이미지 원본와 사용하고 있으신 이미지 정리한 내용 - Copy', '저작권법 관련하여 위반인 사항들 정리하여 보내드립니다'라고 합니다.

여기서 주의할 점은 모두 exe 파일이라는 것이라고 합니다.😀

해당 파일을 검사하면 'Trojan.Ransom.Makop'으로 분류된다고 합니다. 이는 'Makop 랜섬웨어'라고 하네요!

이 악성 파일은 대부분의 무료 안티 바이러스에서 탐지할 수 있다고 합니다.

정상적인 안티 바이러스 스포트웨어를 사용하고, 바이러스 정의 DB를 자동으로 업데이트 했다면 이 공격에 피해를 입을 가능성은 낮을 것이라고 합니다.

하지만 보안 소프트웨어를 사용하지 않거나 자동 업데이트를 하지 않는 사용자라면 피해를 입을 수 있다네요!

이러한 공격들에 예방하기 위해 사용자는 수시로 주요 소프트웨어 및 운영체제 업데이트를 실행해야 하며, 가능하다면 자동 업데이트를 설정해두는 것이 좋다고 합니다.😀

그리고 기본적인 보안수칙을 지키고, 폴더 설정에서 확장자를 표시하여 이중 확장자에 속지 않도록 하는것이 좋다고 합니다.😁

3. 자율주행차 사이버보안 및 윤리·안전 가이드라인 3종 발표

국토교통부는 15일 자율주행차 윤리 가이드라인, 사이버보안 가이드라인, 레벨4 제작안전가이드라인을 발표했다고 합니다.😀

본격적인 자율주행차 상용화 시대를 앞두고 각국의 글로벌 경쟁이 치열해지는 상황 속에서, 자율주행차 운행 알고리즘의 윤리성, 자율주행차에 대한 해킹 위협에 대응하기 위한 사이버보안 등이 날로 중요해지고 있다고 합니다.

이런 문제들 특성상 단시간에 제도화하기 어렵기에 기본방향을 제시하는 가이드라인을 발표하게 되었다고 합니다.

(1) 자율주행차, 윤리 가이드라인

국토교통부와 관련 기관들은 공동 논의를 거쳐 윤리 가이드라인을 합동 발표했으며, 각 기관의 학술지나 소식지 등에 게재할 예정이라고 합니다.😀

윤리 가이드라인은 자율주행차가 인명 보호를 최우선하도록 설계 및 제작되어야 한다는 원칙을 중심으로 한다고 합니다.

이에 '재산보다 인간 생명을 최우선해 보호할 것', '사고 회피가 불가능할 경우 인명피해를 최소화할 것', '자율차 운행이 타인의 자유와 권리를 침해하지 않도록 할 것', '올바른 운행을 위해 안전교육을 받을 것' 등의 내용이 제시되고 있다고 합니다.

윤리 가이드라인은 앞으로 자율주행차의 윤리성에 대한 판단기준이 되는 동시, 제작자 및 이용자 등의 윤리적 행위를 이끌어 낼 수 있는 유인체계의 역할을 할 수 있을 것이라고 합니다.😁

(2) 자동차 사이버보안 가이드라인

국토교통부는 자동차 사이버보안 국제기준(UNR No.155)을 바탕으로 자동차제작사에 대한 권고안을 주요 내용으로 하는 사이버보안 가이드라인을 마련했다고 합니다.😀

권고사항은 제작사가 사이버보안 관리체계를 갖추고, 이에 따라 자동차 사이버보안을 관리해야 한다는 내용이라고 합니다.

권고안에 따르면 제작사는 '워험평가 절차'에 따라 위험을 인지분석하며, '보안조치 절차'를 통해 위험 수준을 완화하고 '검증 절차'를 실시해 보안조치의 적절성을 확인하는 등 사이버보안 관리체계상의 절차를 통해 보안을 확보해야 한다고 합니다.😀

또한 '제작사는 공급업체나 협력업체의 보안상태도 고려', '자동차 사이버보안 전담기관과 관련 정보를 공유' 등의 내용도 담겨 있다고 합니다.

이후 국토교통부는 관련법령의 개정을 통해 권고안을 반영한 국내 사이버보안 기준을 마련(22.07 시행 목표)하여 사이버보안 관리를 의무화할 계획이라고 합니다.

또한 보안기준에 따라 자동차 보안을 평가할 수 있도록 자동차안전연구원 내에 자동차 보안센터를 구축하는 사업('21~)도 병행 추진할 예정이라고 합니다.😀

(3) 레벨4 자율주행차 제작·안전 가이드라인

올해 정부는 레벨3 자율주행차 상용화를 위한 제도를 완비했으며, 완전자율주행차 사용화 기반 구축을 위한 정책을 추진 중에 있다고 합니다.😀

국토교통부는 레벨4 자율주행 관련 제도를 마련하기 전, 본 가이드라인을 통해 자율주행차의 안전한 운행·설계·제작에 필수적인 사항에 대한 권고안을 제시함으로써 자율주행 기술개발을 촉진할 계획이라고 합니다.

이번 가이드라인은 융복합 미래포럼 연구 결과를 중심으로 마련되었으며,  ‘시스템 안전’, ‘주행 안전’, ‘안전교육 및 윤리적 고려’ 3개 분야와 그에 포함된 13개의 안전항목으로 구성되어 있다고 하네요.😁

시스템 안전 분야는 ‘기능안전’, ‘운행가능영역’, ‘사이버보안’, ‘통신안전’, ‘자율협력주행시스템’, ‘무선 소프트웨어 업데이트’ 등 6개 안전항목으로 구성되어 있다고합니다.

주행 안전 분야는 ‘주행상황 대응’, ‘HMI’, ‘비상대응’, ‘충돌안전 및 사고 후 시스템 거동’, ‘데이터기록장치’ 등 5개 항목을 제시하고 있다고 하네요!

안전교육 및 윤리적 고려는 자율차의 올바른 제작 및 운행을 위한 것으로 '사용자 등 교육훈련', '윤리적 고려' 2개 항목으로 구성되어 있다고 합니다.

각 가이드라인은 밑의 사이트(국토교통부 누리집)에서 확인하실 수 있습니다.😁

www.molit.go.kr/search/search2020.jsp?query=%EA%B0%80%EC%9D%B4%EB%93%9C%EB%9D%BC%EC%9D%B8&collection=n_policy&sortField=Date&sort=import&sortOrder=0

출처

www.boannews.com/media/view.asp?idx=93471&page=1&mkind=1&kind=

www.boannews.com/media/view.asp?idx=93477&page=1&mkind=1&kind=

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29787&key=&dir_group_dist=&dir_code=&searchDate=

1. 미국정부기관 및 파이어아이 솔라윈즈 공급망 공격 피해

IT 역사상 최악의 공급망 공격이 드러났다고 합니다.😮

이 공급망 공격에 연루된 건 솔라윈즈(SolarWinds)라는 기업의 솔루션들로, 공격자들은 솔라윈즈 업데이트에 멀웨어를 삽입해 결과적으로 솔라윈즈의 고객사들에 침투하는데 성공했다고 합니다.

조사 결과 악성 소프트웨어 업데이트를 다운 받았을 가능성이 높은 솔라윈즈 고객은 전체 30만 개소 중 33,000여 곳에 달하는 것으로 나왔다고 합니다.

솔라윈즈가 미국 증권거래소에 제출한 서류에 의하면 공격자들은 솔라윈즈의 이메일을 침해하여 친투한 것으로 보인다고 합니다.

이메일 시스템을 먼저 침해한 후 MS office 365 환경에 침투하기 위한 각종 데이터를 수집해 활용한 것으로 솔라윈즈 측은 분석했다고 합니다. 이 공격에 당한건 미국 재무부, 상무부, 보안 업체인 파이어아이 등으로 파악됬다고 합니다.😐

이에 CISA는 지난 주말 솔라윈즈에서 만든 오리온 제품군을 즉각 중단시키고 네트워크에서 분리하라는 긴급 명령을 연방 민간 기관들에게 내렸다고 합니다.

솔라윈즈는 별도의 보안 권고문을 통해 오리온 플랫폼즈 소프트웨어 빌드 2019.4 HF 5 버전부터 2020.1.1 버전이 이번 사건에 영향을 받았다고 발표했다고 합니다.

2020년 12월 15일 핫픽스가 공개될 예정이었다고 하며, 즉각적인 조치를 취하기 어려운 사용자들을 위한 긴급 대처 방안도 마련할 것이라고 합니다.😀

파이어아이는 이미 지난 주부터 이 공격과 관련된 내용을 계속해서 공개 및 업데이트를 하고 있다고 합니다. 공격의 배후 세력으로는 UNC2452라는 단체로 보고 있으며, '선버스트(SUNBURST)'라는 멀웨어를 솔라윈즈 소프트웨어 업데이트를 통해 퍼트리고 있다고 주장했다고 합니다.😀

이에 파이어아이의 수석 멀웨어 분석가인 벤 리드(Ben Read)는 UNC2452와 멀웨어에 대해 다음과 같이 언급했다고 합니다.

현 시점에서는 다른 어떤 공격 단체와도 관련없는 독립적인 공격 단체입니다. 선버스트는 HTTP를 통해 공격자의 서버와 통시하는 기능을 가지고 있는 백도어로써 감염된 솔라윈즈 업데이트를 설치하고 나면 최대 2주 잠복기를 가집니다. 잠복기가 끝나면 갑자기 정보를 수집하고 명령을 공격자들의 서버로부터 받습니다. 또한 선버스트는 자신이 발생시키는 네트워크 트래픽을 오리온 향상 프로그램 프로토콜인 것처럼 위장할 수 있으며, 정찰 활동으로 수집한 내용을 정상 플러그인 환경설정 파일에 저장함으로써 정상적인 솔라윈즈 활동에 녹아들 수 있도록 합니다. 그리고 여러가지 기술을 사용해 백신가 멀웨어 탐지 솔루션들도 찾아낼 수 있습니다.

공격자들이 '싱글사이온(SSO)'에 사용되는 SAML(Security Assertion Mark-up Language) 인증 토큰을 조작해 권한을 높였을 가능성이 있어 보인다는 의견이 나오고 있다고 합니다.

이로써 높아진 권한을 가지고 솔라윈즈의 MS 365 인스턴스로 접근하는데 성공했으며, 높은 권한을 가진 새로운 계정을 만들어 이메일 전달 및 라우팅 규칙을 수정했을거라고 합니다.

보안 전문가들은 오래전부터 공급망 공격에 대해 경고해 왔었다고 합니다. 특히나 보안 패치나 업그레이드 파일이 제조사로부터 건너올 때 무조건 신뢰하는 경향이 예전부터 있었다고 지적되어 왔다고 합니다.😀

보안 업체 안주나 시큐리티(Anjuna Security)의 CEO 아얄 요게브(Ayal Yogev)는 솔라윈즈는 너무나도 많은 국가기관과 대기업들이 사용하므로 이번 사태가 더더욱 위험하며, 자신들이 감염되었다는 것조차 모르고 있을 가능성이 높다고 언급했다고 합니다.

2. 솔라윈즈의 FTP 비밀번호가 평문으로 노출?

앞의 기사의 내용과 이어지는 내용으로 공급망 공격에 대한 조사가 이뤄지면서 감춰졌던 일들이 추가로 공개되는 중이라고 합니다.😀

얼마전 파이어아이가 해킹 도구를 조난당한 적이 있는데 이 공급망 공격을 통해 공격 당한 것으로 밝혀졌다고 합니다.

현재 가장 많은 궁금증을 자아내는 것은 어떤 식으로 솔라윈즈의 업데이트 인프라를 감염시켰는가이라고 합니다. 조사가 아직 이어지고 있어 명확한 답은 나오지 않은 상태라고 합니다.

하지만 여러가지 추측들과 가설들이 나오고 있다고 합니다.

먼저 공격자들이 SAML 인증 토큰을 조작하여 오리온 소프트웨어의 빌드 시스템이나 CI/CD 개발 환경에 접근하는데 성공한 것이 계기가 되었다는 설이라고 합니다.

보안 전문가인 비노스 쿠마(Vinoth Kumar)는 지난 11월 솔라윈즈의 FTP 서버 비밀번호가 깃허브에 평문으로 공개되어 있는 것을 발견하고 솔라윈즈 측에 알린 바 있다고 주장했다고 합니다.

심지어 비밀번호는 "solarwinds123'이어서 대단히 취약한 것으로 보였다고 합니다. 쿠마는 트위터를 통해 "해당 깃허브 리포지터리는 2~3주정도 변경 없이 유지되었다"고도 밝혔다고 합니다.😀

3. 2021년 뉴 노멀 위한 보안전략 재정비

보안은 과거부터 꾸준히 샇아온 대응 기술과 인프라로 기존 위협을 막고, 향후 발생할 수 있는 새로운 이슈에 대비하는 과정이라고 합니다.😀

그렇기에 새로운 위협이 등장할 것이라고 해서 기존 보안을 등한시하는 것이 아니라, 기존 보안체계 위에 새로운 위협에 대한 대비를 추가해야 한다고 합니다.

팔로알토 네트웍스가 2021년 사이버 보안 전망을 발표하고, 2020년을 돌아보는 간담회를 온라인으로 진행했다고 합니다. 2020년 주요 이슈로 클라우드 도입과 디지털 트랜스포메이션이 들었으며, 특히 코로나19로 인한 비대면 사회가 가속화되면서 전자상거래 부문의 앱과 서비스가 눈에 띄게 늘었다고 설명했다고 합니다.

기업의 주요 데이터 자산이 클라우드로 옮겨지고 있는 반면, 이러한 클라우드 운용 과정에서 단순한 부주의로 정보가 유출될 가능성도 존재한다고 합니다.

이 때문에 클라우드 도입의 본격화와 더불어 보안에 대한 요구사항을 더 신경 써야 한다고 강조했다고 합니다.😀

발표를 진행한 팔로알토 네트웍스 션 두카 아태지역 CSO는 2021년 주요 전망을 크게 4가지로 언급했다고 합니다.

(1) 여행 재개로 인한 개인정보보호 이슈 증가

2021년에는 국내외 여행이 재개될 경우 개인정보보호 이슈가 커질 것으로 보인다고 합니다.

올 한해 많은 국가가 지역을 봉쇄하고 이동을 통재하며 전염병 확산을 차단하기 위해 노력했고, 이 과정에서 역학조사를 위해 이동 및 방문자의 개인정보를 수집하고 있다고 합니다.

향후 여행이 가능하더라도 이러한 현상은 한층 강화될 것이며, 기존에는 해외여행 시 입국에 대한 기록 정도만 있었으나 이제는 방문한 지역, 현재 건강상태 등도 기록할 가능성이 커진다고 합니다.😮

모든 사람에게 안전하고 효율적인 여행을 보장하기 위해 정부기관, 항공사, 공항 및 호텔 간에 더 많은 개인 데이터를 공유해야 하며, 정보주체에게는 해당 데이터가 어디에 보관되고 어떻게 사용되는지 투명하게 공개해야할 필요성이 있다고 합니다.😀

그럼 자연스럽게 이를 노리는 공격자가 늘어날 것이며, 제대로 보호하지 못한다면 새로운 사이버 공격 혹은 스캠 등으로 이어질 수 있기에 철저한 보안이 필요하다고 합니다.😀

(2) 프라이빗 5G 확대 및 이를 저격한 사이버 공격

팔로알토 네트웍스는 지난해 국가 차원의 5G 인프라 및 서비스 구축을 전망했으나 코로나로 인해 이러한 현상이 주춤했다고 설명했다고 합니다.

민간 차원에서 5G 네트워크를 활용한 서비스는 물론, 기업용 서비스는 꾸준히 등장하고 있으며, 향후 유선 네트워크를 대체할 것으로 보인다고 합니다.

2021년 5G 네트워크 활용에 주목하고 있는 기업은, 설치해야 하는 노드의 수가 늘어나는 만큼 사이버 공격 표면 또한 증가한다는 점에 주목해야 한다고 합니다.😀

(3) 재택근무 확대로 인한 안전한 근무환경 확보

코로나19 확산으로 인한 재택근무는 코로나19 현상이 종식되더라도 꾸준히 이어질 것으로 보인다고 합니다.😀

집 뿐만아니라 어디서든 효율적으로 업무할 수 있는 환경을 기업에 요구할 것이며, 이 과정에서 보안 제공 역시 필수적이라고 합니다.

클라우드 기반 업무 도구가 확산되고, 가상 데스크톱이 대중화되며 고가의 기기 및 장비 구매가 줄어드는 추세라고 합니다.

이에 기업은 직원이 온라인으로 필요한 소프트웨어와 자료에 접근할 수 있도록, 더 단순하고 연결성을 갖춘 장치를 제공하고 있다고 합니다.

기업에서 직원에게 업무 환경을 직접 제공함으로써 회사의 자산을 안전하게 보호하는 것이라고 하네요.

이에 유연성, 단순성, 가시성 등의 이점을 갖춘 SASE(Secure Access Service Edge) 솔루션이 사이버 보안의 뉴 노멀로 자리잡을 전망이라고 합니다.😀

(4) 계정 접근관리 필요성 증가

디지털 트랜스포메이션에서 보안의 기본인 계정 접근관리의 중요성을 강조하며, 적절한 권한 조치 및 악용하지 않아야 한다고 설명했다고 합니다.😀

디지털 트랜스포메이션 가속화는 기존 클라우드 환경의 보안을 다시 검토해야 하는 필요성이 증대되며, 추가적인 계정 접근관리(IAM) 계층도 요구된다고 합니다.

실제로 팔로알토 네트웍스 '유닛42 연구소'에서는 올해 단일 IAM 구성 오류로 인해 공격자가 전체 클라우드 환경을 손상시키고 거의 모든 보안 제어를 우회할 수 있는 것을 발견했다고 합니다.

이러한 잘못된 ID 구성은 수많은 클라우드 계정에서 발견되었으며, 잠재적으로 1주일 이내에 수천 개의 워크로드에 영향을 미칠 수 있는 심각한 보안 위험을 나타냈다고 합니다.😀

출처

www.boannews.com/media/view.asp?idx=93428&page=1&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=93469&page=1&mkind=1&kind=

www.boannews.com/media/view.asp?idx=93433&page=1&mkind=1&kind=3

1. CLOP 랜섬웨어 조직 4차로 카드정보 10만건 공개

CLOP 랜섬웨어 조직이 14일 21시 30분경 4차로 10만 건의 카드 정보를 다크웹에 공개했다고 합니다. 지금까지 공개한 정보는 총 40만건이 되겠네요.😮

다크웹에 4차례에 걸쳐 공개된 카드정보를 다크웹 인텔리전스 시스템인 '다크트레이서(Dark Tracer)'를 통해 신속하게 탐지하고 있는 보안전문 기업 NSHC는 지금까지 공개된 총 40만 건의 신용·체크카드 정보를 분석한 카드사별 통계 결과를 집계했다고 합니다.

통계에 따르면 다음과 같다고 합니다.

- BC카드  84,311건 (21%)

- KB국민카드  82,745건 (21%)

- 신한카드  78,517건 (20%)

- 삼성카드 37,613건 (9%)

- NH농협카드 29,924건 (7%)

- 롯데카드 26,797건 (7%)

- 하나카드 24,159건 (6%)

- 현대카드 20,428건 (5%)

- 등등

현재는 40만건 중 최초로 공개된 10만 건만 검증하였고 발표했다고 합니다. 그래서 다크웹에 공개된 카드정보 분석과 해당 카드 사용자들에 대한 통보 및 사후 조치가 한바 늦는다는 지적이 나오고 있다고 합니다.😀

2. 애플 아이폰 사이버 공격에도 무조건 안전하다?

애플 아이폰의 운영체제인 IOS는 안드로이드보다 보안이 뛰어나다고 합니다. 이는 개방형 생태계를 구축하고 각종 권한을 사용자에게 맡기는 안드로이도와 달리, 애플은 독립적이고 폐쇄적인 생태계를 바탕으로 보안이라는 측면에서 상대적으로 우수하기 때문이라고 합니다.😀

하지만 무조건 안전하다고 하는 맹신은 보안의식의 공백을 만들 수 있다고 합니다.

IOS도 보안 취약점이 존재할 수 밖에 없으며, 사용자의 실수로 정보가 유출될 수도 있다고 합니다. 실제로 2014년에 아이클라우드 로그인 시 비밀번호 입력 횟수 제한이 없어 '브루트 포스' 공격이 감행되어 큰 파장을 일으킨 사건이 있었다고 합니다.

이처럼 IOS도 해커의 공격 대상이 될 수 있기 때문에 아이폰 사용자 역시 스마트폰의 기본적인 보안수칙을 반드시 지킬 필요가 있다고 합니다.😀

아이폰 사용자를 노리는 스미싱은 계정 탈취가 목적인 경우가 많다고 합니다. 또한 외부 설치 파일을 이용하기 어려운 IOS에 맞춰 계정 정보를 노리는 형태의 공격이 많다고 합니다.

특히, 최근에는 피싱 사이트에서 사용자의 운영체제를 파악하여 안드로이드 스마트폰에는 APK 파일 설치를 유도하고, IOS에서는 로그인 페이지를 사칭한 화면이 나타나도록 설계하는 등 공격 효율성을 높이는 사이버 범죄도 등장했다고 합니다.

이 때문에 IOS 사용자는 자신의 계정을 철저히 관리하는게 중요하다고 합니다.

애플 ID 이중 인증(2단계 인증) 기능을 설정해야 하며, 자신이 주로 쓰는 웹 서비스에도 적용하는 것이 좋다고 합니다.

다른 운영체제나 소프트웨어처럼, IOS에도 CVE ID를 부여하는 보안 취약점이 있다고 합니다.

- CVE-2019-8592 : IOS 13 버전에서 악성 음악 파일을 통해 원격 코드를 실행하는 취약점

- CVE-2019-8705 : 동일 버전에서 악성 동영상 파일을 통한 원격 코드 실행 취약점

지난 11월 출시된 IOS 14.2에서도 각종 신규 취약점이 보고되고 있다고 합니다.

- CVE-2020-27930 : 악성 앱을 통해 커널 권한을 획득하고 원격 코드를 실행하는 취약점

- CVE-2020-27950 : 악성 앱을 통한 커널 메모리 유출 취약점

- CVE-2020-27930 : 특정 서체를 악용한 원격 코드 실행 취약점

그리고 최근에는 아이폰을 100% 원격에서 제어할 수 있는 취약점을 발견하기도 했다고 합니다.

이는 에어드롭처럼 여러 애플 기기 사이를 무선으로 직접 연결하는 AWDL 프로토콜을 통해 커널 메모리를 변경하는데 성공했다고 합니다.

이 취약점을 악용하면 이메일이나 메시지 등을 열람할 수 있고 IOS 기기를 사용하는 모든 과정을 실시간으로 감시할 수 있다고 합니다.

기존 사이버 공격처럼 악성 사이트나 악성 앱을 이용하지 않고도 무선 연결이 가능한 거리 안으로 들어가기만 하면 이 공격을 수행할 수 있다고 하네요.😮

물론 위의 취약점들은 모두 보안 업데이트를 마친 상태라고 합니다.

IOS 운영체제의 보안 취약점에 관한 정보는 애플 공식 홈페이지에서 고객지원 탭을 선택하고, 'IOS 보안 콘텐츠'라는 키워드를 검색하면 확인할 수 있다고 합니다.😀

아이폰 사용자도 운영체제 및 애플리케이션 업데이트를 주기적으로 시행해줘야 한다고 합니다.😁

3. 페이스북 해킹그룹 APT32 차단 및 정보공유

페이스북은 멀웨어 확산을 위해 사이버 스파이 활동에 연루된 국가 지원 해킹그룹 APT32와 연결된 일부 계정을 차단했다고 합니다.

플랫폼을 악용해 악성코드를 유포한 APT32 사이버 스파이 활동과 관련된 여러 계정을 정지했다고 하네요!😀

그리고 페이스북 보안팀은 APT32의 실제 신원을 공개하고 이 그룹을 CyberOne 그룹이라는 베트남의 IT회사와 연결되어 있다고 말했다고 합니다.😀

베트남에 기반을 둔 지능형 지속적 위협 행위자 APT32는 국내외 베트남 인권 운동가, 라오스와 캄보디아를 포함한 다양한 기관과 여러 분야의 기업을 표적으로 삼고 공격해왔다.

APT32는 활동가 또는 기업으로 위장하여 가짜 페이스북 계정 및 페이지 네트워크를 만들고 운영했다고 합니다.

그리고 여러 사람들에게 가짜 페이스북 계정을 사용하여 접촉하고 있으며, 팔로워를 대상으로 멀웨어 및 피싱 공격으로 특별히 설계된 페이지로 접속을 유도했다고 합니다. 그리고 공식 구글 플레이스토어에 업로드된 악성 안드로이드 앱에 대한 링크를 공유했다고 합니다.

그리고 손상된 웹 사이트 또는 자체 사이트를 통해 워터링 홀 공격을 수행했다고 합니다. 맞춤형 페이로드로 대상 머신을 손상 시키도록 설계된 맞춤형 악성 코드를 사용했다고 하네요.😀

그래서 페이스북은 YARA 규칙 및 맬웨어 서명을 비롯한 사이버공격 그룹에 대한 정보를 업계 파트너와 공유하고 이러한 활동을 감지하고 중지할 수 있도록 했으며, 그룹이 사용하는 도메인을 차단했다고 합니다.😁

출처

www.boannews.com/media/view.asp?idx=93394&page=1&mkind=1&kind=

www.boannews.com/media/view.asp?idx=93283&page=1&mkind=1&kind=1

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29771&key=&dir_group_dist=&dir_code=&searchDate=

1. 오래된 윈도 커널 요소 취약점 익스플로잇 등장

중국의 보안 업체인 싱귤라 시큐리티 랩의 보안 전문가들이 발견한 취약점 2개를 통해 '오래된 취약점은 저절로 고쳐지지 않는다', '익스플로잇이 아무리 어려워도 누군가는 성공한다'는 것이 입증되었다고 합니다.😀

이 취약점드른 Windows 7 ~ Windows 10의 최신 버전까지 영향을 미치며 권한상승을 일으킨다고 합니다. 싱귤라의 전문가 란초한(Rancho Han)은 오래전부터 있어온 취약점이지만 널리 알려지지 않은 Windows 커널 요소인 UMPD에서 발견되었다라고 설명했다고 합니다.

UMPD는 크게 2가지 요소로 구성되어있다고 설명했다고 합니다.

- 프린터 그래픽 DLL : 그래픽 장비 인터페이스가 프린터 스풀러에 보낼 인쇄 작업을 생성하고 전송

- 프린터 인터페이스 DLL : 인쇄 관련 이벤트 발생 및 진행 중이라는 사실을 알리는데 사용

문제는 UMPD와 특정 Windows 커널 기능들이 상호작용을 하기 시작할 때 발생한다고 합니다. 그리고 이에 대해 다음과 같이 언급했다고 하네요.😀

사용자가 인쇄와 관련된 기능을 이용할 때, UMPD가 그래픽 엔진을 가동시키고 '콜백(callbacks)'이라는 것을 커널로부터 받기 시작합니다. 그런데 이러한 상호작용이 일어나는 방식이 취약해 공격자들이 특정 코드를 주입할 수 있게 됩니다. 이 코드는 윈도 커널 층위에서 실행이 됩니다.

MS는 이미 수개월 전에 이 취약점을 패치했었다고 합니다. 당시 MS는 이미 로그인 된 공격자만 익스플로잇할 수 있는 취약점이라고 묘사했다고 합니다.

하지만 MS는 이 취약점의 익스플로잇이라는게 성공 가능성이 현저이 낮아 비현실적이라는 입장이었다고 합니다. 게다가 취약점 자체의 기술적 내용만이 아니라, UMPD가 구축된 환경에 대해 깊은 이해도를 필요로 하기 때문에 공격자로서는 투자해야할 것이 너무나 많다고 주장했다고 합니다.😮

하지만 취약점이 익스플로잇되었을 때 심각성을 인지하고는 있었다고 합니다.

이번 블랙햇 행사에서 싱귤라 측이 발표한 내용은 MS의 이러한 주장을 정확히 반박했다고 합니다. 사용자 모드의 콜백 메커니즘을 사용하여 커널 층위의 공격을 성공시켰기 때문이라고 합니다.😀

특히 MS가 Windows라는 플랫폼을 안전하게 만들고자 노력하던 와중에 이러한 취약점들이 탄생했다는 것을 기억해야 한다고 합니다.

원래 Windows에서 프린터 드라이버 모드들은 Windows 커널에서 로딩됬었다고 합니다. 그러나 Windows Vista부터 MS는 프린트 드라이버가 사용자 모드에서 사용될 수 있도록 만들었다고 합니다. 이는 같은 취약점이 발견된다고 해도 사용자 모드에서 발견되는 편이 커널에서 발견되는 것보다 안전하기 때문이라고 합니다.

이러한 과정은 안전 조치를 취하다 또 다른 공격 통로를 창조한 아이러니한 상황이라고 하네요.😁

2. 파이어아이 해킹 사건

보안 업체 파이어아이(FireEye)는 "국가 지원 해커들로 보이는 자들이 침투해 레드팀 도구들을 침해했다"라고 발표했다고 합니다.😮

이는 상당히 창피할 수 있는 일이지만 문제의 도구를 탐지할 수 있는 도구를 깃허브에 빠르고 투명하게 공개하여 오히려 칭찬 받고 있는 상황이라고 합니다.

파이어아이는 공격자의 정체에 대해 언급하지 않았지만 몇몇 매체는 러시아의 코지 베어(Cozy Bear)를 유력한 공격자로 지목하고 있다고 합니다.

파이어아이의 CEO인 케빈 맨디아(Kevin Mandia)는 공격자들의 목표는 파이어아이의 고객인 정부 기관들 중 일부라고 발표했다고 합니다.

하지만 특정 기관들에만 영향을 주는 건 아니라고 합니다. 위에서 언급한 대로 파이어아이의 해킹 도구들이 탈취당했으며, 이 도구들은 모의 해킹 때 사용되고 각종 보안 솔루션들을 우회하게 해주는 기능을 가지고 있어 해킹 공격에 유용하기 때문이라고 합니다.🤨

또한 APT단체들이 즐겨 사용하는 도구들은 시간이 지나면 일반 해커들에게 전파되는 것이 보통이기 때문에 파이어아이의 도구가 얼마 지나서부터는 해킹 공격의 난이도를 크게 낮추는 역할을 할 수 있다고 합니다.

게다가 해커들이 이 도구를 사용하게 되면 파이어아이의 활동이라고 착각할 수도 있다고 합니다.

또한 공격자들이 처음부터 이 해킹 도구를 노리고 침투했을 가능성은 높지않을 것이며 공격자들이 생각지도 못한 성과를 운 좋게 올린 것이라고 보고 있다는 의견도 나오고 있다고 합니다.

또한 이번 공격을 성공시키기위해 공격자들은 기존 공격 인프라나 기법을 재활용한게 아닌 파이어만을 위한 인프라를 구성하고 새로운 기법을 선보였을 것입니다. 러시아 해커들이 이런 치밀함과 꼼꼼함을 발휘하는건 어제오늘이 아니라고도 했다고 합니다.😮

아직까지 파이어아이가 공격 기술과 기법의 세부 사항은 공개하고 있지 않아 지켴봐야할 일이 남아 있다고 합니다. 이에 해당 도구의 개발사로서, 그 도구를 활용한 공격을 어떻게 방어하고 위험을 완화할 수 있을지도 상세히 공개했으면 좋겠다는 말도 나오고 있습니다.

사건이 터지고 아직 파이어아이는 "더 공개할 정보가 없다"고 합니다. 현재 파이어아이는 FBI와 MS와 함께 이 수사를 공동으로 진행하고 있다고 합니다.😀

파이어아이의 대변인은 "수사에 그 어떤 방해가 되면 안되므로 지금 당장 정보를 공개하지 못함을 양해해 달라"라고 언급했다고 합니다.

보안 업체들 중 해킹 공격을 당한건 파이어아이만이 아니라고 합니다. 지난 10년 동안 VMware, 카스퍼스키, 맥아피, RSA, 시만텍이 침해된 경험을 가지고 있다고 합니다. 이에 보안 전문가인 알페로비치는 "보안 업체들로서는 이런 사건이 더 치명적일 수 밖에 없다. 자사 보호를 1순위로 생각하고, 그 다음 고객의 보호를 생각하는 것이 맞다"라고 강조했다고 합니다.😁

3. 코로나 추적 앱 40%가 민감 정보 노출?

현재 출시된 확지자 혹은 접촉자 추적 앱들 중 애플과 구글의 노출 알림 프로토콜을 사용하지 않는 것들을 사용할 경우 사용자의 민감한 정보가 외부로 유출될 가능성이 있는 것으로 조사되었다고 합니다.😮

앱 보안 전문 업체인 가드스퀘어(GuardSquare)는 이번 조사릉 위해 95개(Android 52개, IOS 43개)의 코로나 접촉자 추적 앱을 분석했다고 합니다.

그 결과 40%가 애플과 구글의 프로토콜을 사용하지 않는다는 것이 나타났다고 합니다. 이를 사용하지 않는 40%의 앱들은 GPS 데이터나 블루투스와 같은 기술을 사용해 사용자를 추적하는 것으로 분석되었다고 합니다.

주로 국가에서 주도해 만든 앱들이기 때문에 이름을 대는 순간 국가적 불명예가 씌여지므로 앱들을 명확히 밝히지는 않았다고 합니다.

물론 확진자 및 접촉자 추적을 앱으로 한다는 것이 코로나 초기만큼 많은 관심을 끌거나 자주 사용되지는 않고 있다고 합니다.

하지만 기후변화 등으로 인해 재난 사태가 계속해서 벌어진다면, 이런 추적 앱은 다시 사용될 것이고 지금부터 점검을 통해 안전한 기술을 완성시키는 것이 현명하다고 가드스퀘어가 주장했다고 합니다.😀

이번 조사에서 애플과 구글이 발표한 노출 알림 프로토콜의 공식 API를 활용하는 것으로 분석된 앱은 57개(Android 32개, IOS 25개)로 밝혀졌다고 합니다.

이 API를 사용할 경우 접촉자를 추적해도 사용자의 데이터는 노출되지 않으며, 따라서 이를 통해 누군가를 추적하는 건 프라이버시나 보안 문제를 일으키지 않는다고 합니다.😀

물론 이 두가지 프로토콜을 사용하지 않고도 안전하게 접촉자를 추적하는 방법이 없는건 아니라고 합니다. 하지만 언급된 40%의 앱들 중 강력한 보안 장치를 복합적으로 사용하고 있는건 단 5%에 불과했다고 합니다.😮

이에 이런 앱을 계획하는 국가 부서에서 국민의 프라이버시 보호라는 부분을 잊지 말고 일을 진행해야 한다. 그냥 외부 업체에 주문을 던져 넣고 기능만 확인해서는 안된다라는 주장이 나왔다고 합니다.

또한, 프라이버시를 보호한다는 것이 단순히 국민의 사생활을 보호한다거나, 정부에 대한 신뢰를 두텁게 만드는 것 이상의 것이며, 보건과 직결된 개념이 되었다라고 지적했다고 합니다.😀

4. 총 30만건 카드정보 공개한 CLOP 랜섬웨어

이랜드그룹을 대상으로 이중 협박 전략을 취하고 있는 CLOP 랜섬웨어 해커조직이 3차례 걸쳐 총 30만건의 카드정보를 다크웹에 공개했으며, 금융당국 및 카드사의 대응도 조금씩 속도를 내고 있다고 합니다.😀

CLOP 랜섬웨어는 이랜드그룹으로부터 탈취한 고객 카드정보를 3번(3일, 10일 ,11일)에 걸쳐 총 30만건의 카드정보를 모두 다크웹을 통해 다운로드 받을 수 있도록 했다고 합니다.

카드정보를 다운받기 위해 링크를 클릭하면 '502 Bad Gateway'가 뜨는데, 이는 주로 접속자 폭주로 인한 서버 과부하 상태를 설명하는 에러 메시지로 다운로드 받고자 하는 사람이 너무 많다는 의미일 수도 있다는 보안전문가들의 견해가 나왔다고 합니다.🤨

이에 금융당국과 카드사의 대응 움직임도 가시화되고 있으며, 1차로 유출된 10만개의 카드정보를 검증한 결과, 카드번호와 유효기간 등이 포함되어 있으나 온라인 결제를 위한 CVV(CVC) 정보, 비밀번호 등은 공개되지 않았다고 합니다.

이는 오프라인 가맹점 카드결제 시 IC카드 단말기 이용이 의무화되어 해당 정보만으로 부정사용은 곤란할 것으로 보인다고 설명했다고 합니다.

또한, 10만 여건의 카드정보 중 사용불가 카드를 제외한 유효카드 정보는 약 3.6만건(36%)이며, 과거 불법유통 등이 확인된 23,000여 건의 카드정보를 제외하면 출처를 알 수 없는 카드정보는 약 13,000여 건에 이른다고 발표했다고 합니다.

이에 23,000여 건의 카드정보에 대해서는 모든 유효카드에 대해 부정사용감시시스템(FDS)를 통한 밀착 감시와 함께 교체 안내를 완료했으며, 13,000여 건에 대해서는 FDS를 통한 감시 및 차단 과정을 거쳐 고객들에 대한 조치를 취할 방침이라고 합니다.😀

그리고 FDS 등을 통한 분석 결과 12월 9일까지 유효카드에서 발생한 부정사용 거래는 없는 것으로 확인되었다고 합니다.

그럼에도 해당 카드정보가 NC 백화점, 킴스클럽, 뉴코아아울렛을 비롯한 수많은 매장을 보유한 이랜드그룹 이용고객들로부터 빼낸 카드정보가 얼마나 포함되어 있는지 아직 정확하게 밝혀지지 않아 이랜드그룹 고객들의 불안감을 완전히 잠재우기는 미흡한 상황이라고 합니다.😓

또한 다크웹에 공개된 30만 건 중 10만건에 대해 검증이 완료된 만큼 나머지 20만 건에 대한 검증도 신속하게 진행되어야 한다는 지적이 나오고 있다고 합니다.😀

출처

www.boannews.com/media/view.asp?idx=93322&page=2&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=93347&page=1&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=93351&page=1&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=93365&page=1&mkind=1&kind=1

1. 공인인증서 폐지 및 안전한 민간인증서 확산 지원

전자서명법 개정안이 12월 10일부터 시행되면서 공인전자서명 제도가 폐지된다고 합니다.😀

이제 공인인증서도 여러 가지 민간인증서 중 하나가 되는거라고 하네요!

공공, 금융 분야 등 기존에 공인인증서를 사용하던 500개 웹 사이트에서 현재 이용 중인 전자서명을 확인해 본 결과, 기존 공인인증서 이외에도 간편한 가입 및 발급 절차, 편리한 인증방식, 편의성 등을 갖춘 민간 전자서명을 도입하고 있는 추세라고 합니다.

카카오페이, 뱅크사인, 토스, PASS, 네이버, KB스타뱅킹, 페이코 등 7개 민간기업이 주요 민간인증서 사업자로 활동하고 있으며, 기존 공인인증기관도 브라우저 인증서, 클라우드 인증서 등을 출시해 편의성을 높여 사용할 수 있도록 하고 있다고 합니다.😀

공인인증서 중심의 기존 전자서명 시장에서 다양한 민간 전자서명사업자간 경쟁시장으로 전환됨에 따라, 다양한 간편한 방식의 민간 전자서명 사업자의 인증서 발급이 급속히 확산되고 있다고 합니다.

더불어 과학기술정보통신부(과기부), 행정안전부(행안부), 금융위원회는 공공기관, 금융기관 등에서 민간 전자서명이 조속히 도입되어 국민들이 편리하게 이용할 수 있도록 협력을 강화해 나갈 계획이라고 합니다.😁

우선, 공공분야는 행정안전부를 중심으로 민간 전자서명을 도입한다고 합니다.

전자서명법 개정에 따른 변화를 국민이 체감할 수 있도록 내년 1월부터 주요 공공 웹 사이트에서 민간인증서를 도입하기도 한답니다.😀

이를 위해 지난 9월 '공공분야 전자서명 확대 도입을 위한 시범사업'을 착수해 카카오, KB 국민은행, 페이코, 한국정보인증, PASS 등 5개 사업자를 후보로 선정해 물리적·기술적·관리적 보안사항을 점검한 후, 최종 사업자를 확정할 계획이라고 합니다.

앞으로 행안부는 공공기관 웹 사이트에 민간 전자서명의 도입을 지속적으로 확대해 나갈 계획이며, 보안성과 신뢰성을 갖춘 민간인증서를 공공 웹 사이트에 확대 적용해 국민이 자신이 보유한 인증서로 편리하게 서비스를 이용할 수 있도록 할 예정이라고 합니다.😁

금융분야는 금융위원회를 중심으로 편리하고 안전한 다양한 전자서명 및 본인인증 수단을 개발해 활용하도록 '전자금융거래법' 개정 등을 추진해 나갈 계획이라고 합니다.

이를 위해 기술중립성 원칙에 따라 다양하고 편리한 민간 전자서명 기술을 금융분야에 적용하되, 재산을 온라인으로 거래하는 금융분야의 특성을 고려해 고위험거래에 대해서는 보안성을 확보한 전자서명을 도입할 계획이라고 하네요.😁

과기부는 국민들이 전자서명에 대한 신뢰성을 갖게 하기위해 평가기관을 선정하여 전자서명 평가 및 인정제도를 운영할 계획이라고 합니다.😀

2. 통일부 및 공모전 사칭한 북한 추정 APT 공격 주의

최근 '탈륨'과 '금성121' 등 북한 연계 조직의 소행으로 추정되는 APT 공격이 연이어 발견되고 있다고 합니다.😀

이스트시큐리티 시큐리티대응센터에서 발견한 APT 공격은 '통일부 사칭 악성 이메일 공격'과 '평화 통일 관련 이야기 공모전 신청서'를 사칭한 악성 HWP 문서 공격이라고 합니다.

먼저 통일부 사칭 공격은 스피어피싱 공격처럼 보이지만, 실제로는 첨부 파일이 아닌 악성 링크를 활용한 공격이라고 합니다.

공격자가 발송한 이메일 본문에서 문서 첫 장에 조작된 이미지가 삽입되어 있고, 이미지 하단에 PDF 문서가 첨부되어 있는 것처럼 링크가 삽입되어 클릭을 유도한다고 합니다.

이 첨부파일 링크를 클릭하면 문서가 보이는 대신 메일 수신자의 이메일 계정 암호 입력을 요구하는 화면이 나타난다고 합니다.

이때 암호를 입력하게 되면 공격자에게 탈취되고 이메일을 통해 주고받은 정보 유출 및 2차 피해까지 이어질 가능성이 크다고 합니다.😮

새롭게 발견된 또 다른 공격은 '평화통일 이야기 공모전' 참가 신청서를 사칭한 악성 HWP 문서를 활용하고 있다고 합니다.

실제로 올해 개최되는 공모전의 정식 명칭은 '2020 평화통일 이야기 공모전'이며, 사칭한 문서는 '2021 평화통일 이야기 공모전' 참가 신청서로 기재되어 있다고 합니다.😀

공격자가 이번 공격에서 한컴오피스 한글 프로그램의 '객체 연결 삽입(OLE, Object Linking and Embedding)' 기능을 악용했다고 합니다.

문서에는 내용 전체를 덮는 투명 OLE 객체가 삽입되어 있으며, 사용자가 문서 편집을 위해 클릭하면 OLE 객체에 미리 심어둔 악성코드가 실행되는 방식이라고 합니다.

이러한 공격은 포스트스크립트(PostScript) 방식과 동일하게 문서 파일 자체 취약점을 악용한 것이 아니기 때문에 최신 버전을 사용하거나 보안 업데이트 모두를 적용해도 악성코드가 실행될 가능성이 크다고 합니다.😮

3. 개인정보보호 규정 위반 LG유플러스 과징금 부과

개인정보보호위원회(개보위)가 규정을 위반한 LG U+와 대리점 등 4개사에 총 7,500만원의 과징금 및 과태료를 부과했다고 합니다.😮

이는 대리점의 개인정보보호 규정 위반에 대해 위탁사인 통신사의 관리 및 감독 책임을 물은 첫 사례라고 합니다!

개보위는 2019년 1월 통신사 대리점의 개인정보 불법거래에 대한 조사를 요청하는 민원을 접수했다고 합니다.

조사 결과 LG U+가 개인정보 처리를 위탁한 대리점에 대한 관리 및 감독을 소홀히 했으며, 대리점이 개인정보보호 규정을 위반한 사실을 확인했다고 합니다.😀

LG U+ 대리점 2곳은 초고속 인터넷 회원가입 업무를 LG U+ 동의없이 매집점에 재위탁하고, 고객정보 시스템 접속 계정을 권한이 없는 매집점과 공유한 것으로 밝혀졌다고 합니다.

또한 LG U+는 매집점이 3년가량 자사의 고객정보시스템에 접속했음에도 불구하고 대리점의 법규 준수 여부에 관해 적절한 관리 및 감독을 하지 않았다고 합니다.😨

개보위는 LG U+가 수탁자에 대한 관리 소홀을 중대한 위반행위로 판결하고 1,160만원의 과징금을 부과했으며, 고객정보시스템에 대한 접근 통제를 소홀히 한 행위로 과태료 1,000만원을 부과하고 시정조치를 명령했다고 합니다.

또한, 수탁자인 2개 대리점의 불법 행위에 대해서도 2,320만원의 과태료를 부과했다고 합니다.😀

대리점으로부터 개인정보 처리업무를 재위탁받은 매집점은 총 3,020만원의 과징금과 과태료를 부과했다고 합니다.😁

4. 융합보안 강화를 위한 정보통신망법 개정 및 시행

과기부와 한국인터넷진흥원(KISA)은 산업 전반에 정보통신(ICT) 융합이 가속화되고, 일상생활에도 융합 제품 및 서비스가 확산되는 상황에서 보안내재화를 적극 지원하기 위하여 보안 리빙랩을 산업 분야별로 개소한다고 합니다.😀

또한, 사물인터넷(IoT) 제품과 같은 정보통신망 연결기기의 정보보호 대책을 강화한 정보통신망법과 시행령·시행규칙이 12월 10일 개정·시행되어 안전한 융합서비스 이용환경 조성을 위한 법적 기반도 마련되었다고 합니다.

(1) 융합 보안 리빙랩 개소

5G, IoT 기기 확산 등으로 사이버보안 위협이 전통산업의 위협으로 전이·증대되어 피해를 유발할 수 있기 때문에, 이를 예방하기 위해 융합 산업에 대한 보안기반을 강화할 필요성이 대두되었다고 합니다.

이에, 융합보안 수요자와 산업별 보안성을 시험할 수 있는 리빙랩을 해당 융합서비스 설비가 집적되어 있는 현장에 유관기관·지자체와 협업하여 구축하게 되었다고 합니다.😁

(2) 보안 리빙랩 구축 현황

- 자율주행자동차 보안리빙랩

- 디지털헬스케어, 스마트공장 분야

이후 12월 16일에는 관심있는 기업 등을 대상으로 보안 리빙랩의 이용방법, 장비 등을 안내하고 융합보안 기술 동향과 대응방안을 논의하기 위한 '융합보안 기술 세미나'를 온라인으로 개최한다고 합니다.😀

(3) 융합보안 강화를 위한 정보통신망 법·시행령·시행규칙 개정·시행

정보통신망법 개정·시행(20.06.09 공포)에 따라 법률에서 규정한 정보통신망법 시행령·시행규칙 개정령이 12월 10일부터 시행된다고 합니다.

정보통신망 시행령 개정안의 주요내용은 다음과 같습니다.😀

- 정보통신망 연결기기등 범위는 정보보호지침 권고의 대상, 침해사고 시의 대응 및 인증 대상이 되는 '정보통신망연결기기등'의 범위를 융합 분야 대표 산업분야로 규정

- 침해사고 예방은 보안 취약점 신고 포상금을 1천만원 이하에서 지급할 수 있는 근거를 마련하고, 정보보호 조치를 위한 전문기관을 중앙행정기관이 과기정통부와 협의하여 지정

정보보호인증 근거는 정보통신망연결기기등에 대한 정보보호 인증제도를 운영하기 위한 조항을 마련했다고 합니다.😁

출처

www.boannews.com/media/view.asp?idx=93269&page=1&mkind=1&kind=2

www.boannews.com/media/view.asp?idx=93275&page=1&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=93278&page=1&mkind=1&kind=2

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29765&key=&dir_group_dist=&dir_code=&searchDate=

1. 불법 공유된 국내 계정정보 개인정보위원회 대응책 마련

개인정보보호위원회(개보위)가 불법 유통되는 개인정보로 인한 피해를 최소화하기 위해, 관계기관 공동으로 '웹 사이트 계정정보 유출확인 시스템'을 구축·운영하고, 불법 개인정보 DB를 탐지, 삭제 등 대응책 마련에 나섰다고 합니다.😀

최근 유출된 개인정보를 공유하는 해외 웹사이트에서 불법 개인정보 DB를 확보해 분석한 결과, 국내 1,362개 사이트(대부분 중소규모의 민간 및 공공)의 계정정보 2,346만건이 포함되어 있는 것을 확인했다고 합니다.🤨

개보위는 해당 불법 DB에 포함된 계정정보의 진위 여부를 파악하고 있으며, 피해예방을 위해 웹 사이트 관리자에 계정정보 유출 여부에 대한 확인 요청을 했다고 합니다.

또한, 과학기술정보통신부(과기정통부)와 협력하여 주요기업의 최고정보보호책임자(CISO)에 사이버 공격 대비를 공지하는 등 필요한 안전조치를 완료했다고 합니다.

향후 웹사이트 사업자의 점검으로 계정정보 유출사실이 확인된다면 개보위가 공식적인 조사를 진행할 것이라고 합니다.

또한, 주요 이메일 서비스 기업에 해당 불법 DB와 계정이 일치하는 이용자에 대한 추가 보호조치를 완료할 것을 요청했다고 합니다.😀

개보위는 이러한 개인정보 불법유통으로 인한 국민들의 불안감 해소와 피해 예방을 위해 다양한 대책을 추진할 예정이라고 합니다.

- '웹 사이트 계정정보 유출확인 시스템'을 구축 및 운영

- 해당 시스템 구글이 확보한 계정정보 약 40억건을 연동할 계획

- 2022년부터 국내 주요 인터넷기업과 협력하여 웹 사이트 계정정보 DB 확충

이와 관련하여 개보위는 관계부처 및 기관, 주요 인터넷기업과 함께 이번에 확보한 불법 계정정보 DB에 대한 이용자 보호조치 상황을 공유하고 시스템 구축 및 운영방안을 논의했다고 합니다.😀

또한, 인터넷상에 해당 DB의 추가 게시 및 유통 여부를 지속 탐지하여 삭제하고 불법 DB를 상습 게시한 자에 대해서는 수사를 의뢰할 방침이라고 합니다.😁

2. BEC 공격과 EAC 공격은 다르다

이메일은 중요한 통신 수단으로 오랜 시간 자리를 지켜왔습니다. 심지어 현재 코로나로 인해 이메일은 중요한 소통 수단이 된 상태입니다. 하지만 사이버 공격의 시작이 되기도 하며, 많은 피해를 일으키기 때문에 골칫거리라고 합니다.😀 

FBI에 의하면 '기업 이메일 침해(Business Email Compromise, BEC)' 공격으로 인한 피해는 2016~2019년까지 총 260억 달러의 피해를 일으켰다고 합니다.

BEC는 굉장히 광범위한 표현으로, 피해자가 평소 신뢰하고 있던 이메일로부터 들어오는 사기 공격을 의미한다고 합니다.

이러한 BEC는 FBI가 자주 사용하면서 자리 잡게되었는데, 이메일 계정 침해(Email Account Compromise, EAC)와 같은, 보다 구체적인 용어도 존재한다고 합니다.😀

이 두 용어의 차이를 알아야 이메일 기반으로 하는 사이버 공격을 정확하게 묘사하고 대처할 수 있기 때문에 한번 알아보도록 합시다😁

(1) BEC

'이 이메일은 당신이 알고 있는 신뢰하는 사람이나 조직에게서 온 것'이라고 수신자를 속이는 여러 가지 방법들을 의미하는 말이라고 합니다.

BEC 공격에서 가장 중요한 것은 '당신이 아는 곳에서 온 메일이다. 그러므로 당신이 신뢰하고 있다.'라는 걸 어떻게든 주입시킨다는 것이라고 합니다.

이는 피해자가 순진할수록(?) 공격이 성공할 확률이 높아진다고 하네요.😀

(2) EAC

EAC는 진짜 피해자가 신뢰하는 곳에서부터 들어오는 사기 공격이라고 합니다. 이는 공격자들이 다양한 방법을 동원하여 실제 메일 계정을 침해한 후, 그 메일에서부터 사기 공작이 펼쳐진다는 것이라고 합니다.😀

공격자들이 각종 테크닉을 동원하여 정상적인 메일함에 도달하는 것이 키포인트라고 하네요!

EAC가 특히 위험한 이유는 공격자가 인프라 내에 들어와 있는 것이기 때문이라고 합니다. BEC의 경우 공격자가 아직 외부에 있어 순진한 내부자가 밖에 있는 자의 눈속임에 속아 넘어가는 것이라고 합니다.😀

(3) BEC와 EAC의 차이를 알았다면..

BEC와 EAC는 비슷한 유형의 공격이자 위협이라고 합니다. 즉, 보안 담당자는 사용자 이메일 계정을 이 두가지 공격 모두로부터 보호해야 한다고 합니다.😀

하지만 두 개에는 차이가 분명히 존재하므로, 방어 방법에도 차이가 존재한다고 합니다!

BEC의 방어책은 항상 합리적으로 의심하라는 교육부터 시작이라고 합니다. 의심만 하는 것이 중요한 것이 아니며, 의심이 들었다면 송신자에게 전화를 걸어 직접 확인을 하도록 해야 한다는 것라고 합니다.😁

EAC의 방어책은 이메일 계정 보호부터 시작이라고 합니다. 특히 계정 장악을 위한 온갖 공격 시나리오로부터 실질적인 방어 대책이 마련되어 있어야 한다고 합니다.😀

- 완벽한 방어는 없으며, 기업 방화벽 내에서부터 발생되는 이메일 메시지들에 대한 악성 여부 점검 실시

- 외부 메일만 모니터링할 것이 아닌 사내 메일도 모니터링

3. 락빗 랜섬웨어 조직 국내기업 자료 유출 공개 협박

다크웹 유출정보 공개 사이트에 국내 기업정보가 또 등재됬다고 합니다.😥

NSHC 국내 보안전문 기업에 따르면 국내 CAE 시뮬레이션 기업이 락빗 랜섬웨어조직으로부터 공격을 받았으며, 협상이 결렬될 경우 약 4일 뒤 공격 과정에서 유출한 자료가 다크웹에 공개될 수 있다고 협박당하고 있다고 합니다.😮

락빗은 지난해 중순부터 활동하기 시작한 서비스형 랜섬웨어(RaaS)라고 합니다. 개발자는 랜섬웨어 개발 및 지불 사이트 제작 등을 담당하고 유포자를 모은다고 합니다.

유포자는 기업 및 기관 등을 감염시키고, 기업으로부터 건네받은 비용을 개발자와 분배하는 방식이라고 합니다.

락빗 랜섬웨어의 주목할만한 특징은 같은 네트워크에 연결된 다른 PC에 랜섬웨어를 자동으로 배포하는 수평이동 기능이 포함되어 있다고 합니다.

- 랜섬웨어가 실행된 기기의 데이터를 암호화

- 이후 SMB 프로토콜을 통해 다른 PC 및 서버와 연결

- 파워셸 명령을 통해 해당 기기에서도 랜섬웨어를 내려 받아 원격 실행

위와 같은 프로세스로 자체적으로 수행하므로 감염이 확산될수록 확산 속도는 더욱 빨라질 수 밖에 없다고 합니다.🙄

락빗 랜섬웨어 조직은 지금까지 랜섬노트를 통해 암호화한 파일 하나를 자신의 이메일로 보내면 복호하하여 돌려주겠다고 했으며, 파일 복구 가능성을 피해자에게 시연하며 돈을 지불할 가능성을 높였다고 합니다.🤨

하지만 이번 공격에는 기업 데이터를 암호화하는 동시에 이중협박 전략을 선택했다고 합니다.

그리고 현재 대부분의 랜섬웨어 공격들은 이중협박 전략을 구사하고 있으며, 실제로 CLOP 현재 랜섬웨어 조직이 이랜드그룹을 상대로 이중협박 전략을 보이고 있습니다.

이러한 공격 추세 때문에 기업은 네트워크 보호나 암호화 프로세스 차단 등 랜섬웨어에 대응하는 솔루션을 필수적으로 도입하고 유출된 파일을 상대방이 악용할 수 없도록 대책이 필요할 것으로 보인다고 합니다.😁

4. 내년 랜섬웨어 표적 공격 확산 및 협박 수단 다양화

내년 국내외에서 랜섬웨어 해커가 분야를 가리지 않고 대상을 공격할 뿐만 아니라, 다양한 정보를 가지고 협박하는 수단 또한 다양해질 것이라는 전망이 등장했다고 합니다.😮

사이버위협 인텔리전스 네트워크(협의체)는 지난 2014년 12월부터 사이버 위협정보 공유 및 침해사고 공동 대응을 위해 KISA와 NSHC, 빛스캔, 안랩 등 국내 보안업체가 운영하고 있는 네트워크로서, 한국·스리랑카·인도·호주 침해사고 대응팀과 공동으로 '2021년 사이버 위협 시그널'을 7일에 발표했다고 합니다.

협의체는 국내 사이버 위협 시그널로 다음과 같은 내용을 선정했다고 합니다.😀

- 표적 공격과 결합된 랜섬웨어의 위협 확대

- 보안 솔루션을 우회하기 위한 기법 고도화

- 사회기반시설과 중요 인프라를 겨냥한 사이버 위협 범위 확대

- 5G를 이용한 사물인터넷(IoT) 제품의 활성화로 새로운 보안 위협 대두

- 국가 지원 해킹 그룹의 공격 증가와 위협 대상 확대 및 다양화

- 클라우드 서비스 목표한 공격 증가

- 포스트 코로나 시대 비대면 전환 후 보안 사각지대를 노린 사이버 위협 증가

- 거세진 분산서비스거부(DDoS) 공격, 금전까지 요구하는 공격 증가

특히 전 세계적으로 주목해야할 것은 랜섬웨어로 꼽았다고 합니다. 이에 협의체는 다음과 같은 관리가 필요하다고 당부했다고 합니다.😀

- 최신 보안 업데이트 조치

- 출처 불명확한 이메일과 URL 링크 실행 주의 등 기본적인 보안 관리

- 백업 체계 구축 및 보안성 강화 등 철저한 관리

출처

www.boannews.com/media/view.asp?idx=93244&page=1&mkind=1&kind=2

www.boannews.com/media/view.asp?idx=93197&page=1&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=93192&page=1&mkind=1&kind=1

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29756&key=&dir_group_dist=&dir_code=&searchDate=

1. 이랜드그룹 공격한 CLOP 랜섬웨어 조직 신용카드 정보 10만건 공개

이랜드그룹을 공격했던 CLOP 랜섬웨어 조직이 예고한 그대로 3일 18:00 경 신용카드 정보 10만건을 다크웹에 공개했다고 합니다.😨

이전에 이랜드그룹은 랜섬웨어 조직이 공개하는 개인정보는 가짜라며 주장했지만, 공개된 정보를 보았을 때 실제 유출된 카드정보일 가능성이 제기되고 있다고 합니다.😥

블리핑컴퓨터가 인터뷰를 통해 CLOP 랜섬웨어 운영자들의 주장을 들을 수 있었다고 합니다. 인터뷰에 의하면 약 1년 전에 이미 이랜드그룹의 네트워크에 침투했으며, 그 때부터 랜섬웨어 공격이 크게 터질 때까지 사용자들의 개인정보를 누적해 왔다고 합니다. 특히, POS 멀웨어를 심어 신용카드 정보가 꾸준히 쌓여있는 상태라고 주장했다고 합니다.

하지만 이랜드의 주장이 거짓주장은 아니라고 합니다. 랜섬웨어 이전 1년이 넘는 기간 동안 카드 정보를 모음으로 사이버공격에 대한 기업의 방비책을 뛰어넘어 '이중 협박' 랜섬웨어 공격을 성공시켰다는 것을 의미한다고 합니다.

CLOP은 이랜드그룹은 1년동안 의심도하지 않았고 조치도 취하지 않았다고 설명했다고 하네요.🤨

이렇게 이들이 모은 정보는 약 200만 건의 신용카드 정보라고 합니다. 신용카드 번호와 만료일 등의 정보가 포함되어 있는데, CVV 코드는 무사한 것으로 보인다고 합니다. 그래서 공격자들이 할 수 있는 일은 가짜 신용카드를 만들어 오프라인 매장에서 사용할 수도 있다고 합니다.😑

CLOP이 주장하는 것이 사실이라면 랜섬웨어를 방어한다는 것이 보다 종합적인 전략을 필요로 한다는 뜻이 된다고 합니다. POS 공격, 디도스 등 일견 랜섬웨어와 상관 없어 보이는 다른 수상한 현상들이 랜섬웨어로 이어질 수 있으며, 넓은 시야로 방어 전략을 구축하는 것이 보다 안전하다고 합니다.😀

현재 유출된 신용카드 정보의 경우 대부분의 카드사가 포함되어 있는 것으로 드러났다고 합니다. NSHC가 분석한 결과에 따르면 통계는 다음과 같다고 합니다.😥

- 비씨카드 (21,161건)

- 신한카드 (19,860건)

- 국민카드 (19,845건)

- 삼성카드 (9,677건)

- 농협카드 (7,629건)

- 롯데카드 (6,786건)

- 등등

2. KAIST 개인정보 3만 여건 해킹으로 유출

한국과학기술원(KAIST)이 해킹을 당해 교직원 및 학생들의 개인정보가 다수 유출되었다고 합니다.😨

KAIST는 지난 3일 개인정보가 유출된 3만800여명에게 '개인정보 유출 사실 통지 안내'메일을 발송했다고 합니다. 유출된 정보는 이름, KAIST 포털 아이디, KAIST 이메일, 부서 및 학과, 사번 및 학번 등이라고 합니다.

메일에 따르면 지난 11월 11일 KAIST의 전자연구노트시스템에 대한 해킹 의심 시도가 파악되었다고 합니다. 이에 학교 측은 11월 16일 교내 IP 대역에서만 접속이 가능하도록 조치를 취했으며, 이후 점검 과정에서 학생과 교직원의 개인정보가 유출된 사실히 확인되었다고 합니다.😥

이에 KAIST는 "KAIST 포털 접속 비밀번호를 변경하고 관련 피해 및 의심 사례에 대해 신고해 달라"라고 당부하였으며, KISA에 12월 3일 이번 개인정보 유출 사건에 대한 신고를 접수했다고 합니다.😀

3. 2012년 사이버 보안 전망

2021년은 기업 및 사회 환경의 변화(원격근무)가 IT, 보안팀의 핵심 고려사항이 될 것으로 보인다고 합니다.😀

체크포인트 소프트웨어 테크롤지스 코리아가 발표한 2021년 사이버 보안 전망에 따르면 오늘날 81% 기억이 자사 직원에 대한 대규모 원격 근무를 도입했으며, 74%는 원격근무를 상시 가능하도록 계획 중이라고 합니다.

또한, 새롭게 등장하는 랜섬웨어 및 봇넷의 위험, 5G 네트워크 및 확산에 대비한 보안 과제 등에 대해 경고했다고 합니다.😁

(1) 팬데믹

'팬데믹' 분야에서 체크포인트는 '넥스트 노멀(next normal)' 보안 유지를 강조했다고 합니다. 코로나19가 내년에도 영향을 끼칠 것이며, 이로인해 새로운 일상에 대비할 필요가 있다고 합니다.😀

원격 근무를 서둘러 도입한 이후, 기관 및 기업은 애플리케이션과 데이터 보호를 유지하기 위해 새로운 분산 네트워크와 클라우드 배포에 대한 보안을 강화해야 한다고 합니다.

전사적으로 확산된 취약점을 악용해 민감 데이터 침해가 발생할 수 있는 만큼, 모든 포인트에서 위협 방지를 실행하고 자동화해야 한다고 합니다.

또한, 휴교 조치에 따른 원격 학습에 대한 공격 역시 늘어날 전망이라고 합니다. 많은 학교가 E러닝 플랫폼을 활용하고 있으며, 올해 8월 한달간 교육 분야에 대한 주간 사이버 공격이 30% 증가했다고 합니다.🤨

코로나19 이슈를 악용한 공격도 늘어날 전망이라고 합니다. 백신 개발 혹은 새로운 국가 차원의 제한조치에 대한 기사는 사이버 공격자의 피싱 캠페인에 지속적으로 악용될 전망이라고 합니다.

백신을 개발하고 있는 제약사 역시 현 상황을 악용하려는 범죄자나 국가의 악성 공격의 표적이 될 것으로 보인다고 합니다.😮

(2) 멀웨어, 프라이버시 및 사이버 전쟁

체크포인트는 랜섬웨어와 이중협박에 대한 비중이 커질 것으로 보았다고 합니다. 올해 3분기에 이중 협박 랜섬웨어 공격이 급격하게 증가되었으며, 요구하는 금액을 지불하지 않을 경우 데이터를 공개할 것이라고 위협해 기관 및 기업이 해커의 요구사항을 따르도록 추가 압박을 가하는 형태가 내년에도 유행할 전망이라고 합니다.🤨

봇넷 또한 지속적으로 증가할 것이라고 합니다. 해커는 공격을 감행할 때 사용할 컴퓨터 군단을 구축하기 위해 여러 멀웨어군을 봇넷으로 개발했다고 합니다.

다른 국가에 대한 첩보나 주요 사건에 영향을 끼치기 위한 목적으로 국가가 감행하는 사이버 공격은 앞으로 증가할 것으로 보인다고 합니다. MS의 보고서에 따르면, 지난해 3개 국가의 사이버 범죄자가 시도한 해킹 사고가 89%를 차지했다고 합니다.😮

최근 몇 년간 정부는 국가의 중요 인프라를 보호하는데 초점을 맞췄으며 여전히 인프라 보호는 중요하지만, 다른 국가 부문에 대한 공격의 영향을 인지하는 것도 역시 중요하다고 합니다.😁

딥페이크를 통한 가짜뉴스가 여러 선동이나 주가 조작 등 표적화한 공격을 위한 목적으로 쓰일 가능성도 있다고 합니다.

개인정보보호에 관한 이슈 역시 커질 전망이라고 합니다. 많은 사용자가 다양한 접근권한을 요구하는 앱에 정보를 넘겨주고 있으며, 이러한 앱이 정식으로 등록된 경우가 많다고 합니다. 즉, 사용자 계정 정보나 인증서 등을 표적으로 삼는 악성 앱의 위험 역시 커질 것으로 보인다고 합니다.😀

(3) 새로운 5G 및 IoT 플랫폼

5G와 IoT 플랫폼이 확산되고, 네트워크에 연결되는 기기가 늘어날수록 이를 노리는 공격 역시 커질 전망이라고 합니다. 사이버 범죄자들은 이러한 연결성을 표적으로 삼아 공격을 감행하고 장애를 유발할 수 있다고 합니다. 현재 많은 기기와 플랫폼은 방대한 데이터를 수집하고 있는데 이러한 기기와 플랫폼의 공격에 대비해 보호해야 한다고 합니다.😀

5G 네트워크가 출시되면서 네트워크에 연결된 IoT 장비의 수는 대규모로 증가하고, 사이버 공격에 대한 네트워크 취약점이 늘어날 전망이라고 합니다. 하지만 IoT 장치와 클라우드 사이의 연결은 보안에서 '약한 연결고리'에 해당한다고 합니다.

이 때문에 모든 산업과 사업 부문에 걸쳐 계속해서 성장하고 있는 네트워크를 보호하기 위해 전통적인 방법과 새로운 통제를 적용하여 IoT 보안에 총체적인 접근방식이 필요하다고 합니다.😁

4. 클라우드 도입 늘자 보안관제 서비스 수요 증가

최근 코로나 팬데믹 등 요인으로 클라우드 환경을 도입하는 기업 및 기관 조직이 늘면서 클라우드에 저장된 데이터에 대한 보안 수요도 증가하고 있다고 합니다.😀

보안 기업에 따르면 각 사가 제공하는 클라우드 보안관제 서비스의 도입율이 지난해 같은 기간 대비 크게 증가했다고 합니다.

클라우드를 업무에 활용하는 조직들이 이미 보편화되고 있다고 합니다. 클라우드에 기업 데이터를 저장하는 기업들이 절반 가까이 된다는 조사 결과도 있다고 하네요😀

실제 지난 9월 사이버 보안 기업 탈레스가 아시아 태평양 지역 기업의 IT·데이터 보안 담당자 500명 이상을 대상으로 조사한 결과 응답 기업의 45% 가량이 기업 데이터를 클라우드에 저장하고 있다고 합니다.

반면 민감한 데이터를 클라우드에 보관되는 비중도 높은 편이나 관련 보안책은 미흡하다고 합니다. 클라우드에 저장된 데이터 중 42%는 민감 데이터였지만, 보호되고 있는 비율은 52% 정도 도니다고 합니다. 게다가 거의 모든 응답자는 클라우드 내 민감 데이터 중 적어도 일부는 암호화되지 않았다고 답했다고 합니다.😮

클라우드 환경의 데이터를 보호하려는 기업 및 기관들이 보안 관제 서비스를 도입하는 비율이 늘어나고 있다고 합니다.

이에 따라 국내 보안 기업들의 관제 서비스 수요가 늘고 있다고 하네요.😁

출처

www.boannews.com/media/view.asp?idx=93129

www.boannews.com/media/view.asp?idx=93154

www.boannews.com/media/view.asp?idx=93186&page=1&mkind=1&kind=3

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29753&key=&dir_group_dist=&dir_code=&searchDate=

1. 도커도 공격 통로?

최근 도커 허브(Docker Hub)에서 유통되고 있는 도커 이미지들에서 취약점들이 다수 발견되었다고 합니다.😮

절반 이상의 이미지가 이 취약점을 지니고 있으며 대놓고 공격 도구로 사용되는 이미지들이 수천 개에 다다른다고 하네요!

먼저 악성 요소들 혹은 공격을 목적으로 심겨진 요소는 암호화폐 채굴 코드, 악성 자바스크립트 패키지, 해킹 도구 등이었다고 합니다. 오래된 소프트웨어에서 기인한 취약점을 하나 이상 내포한 이미지는 400만 개 중 51%, 고위험군 취약점을 가진 이미지는 13%로 기록되었다고 합니다.

소프트웨어 공급망은 보안에서 간과할 수 없는 공격 경로가 되어가고 있다고 합니다. 이는 공급망의 중간중간 여러 악성 요소를 삽입하는 방법을 공격자들이 계속해서 개발하고 있기 때문이라고 합니다.😀

지난 10월 발표된 한 보고서에 의하면 도커 컨테이너들은 오래된 소프트웨어의 보고라고 했다고 합니다. 이는 취약한 소프트웨어들이 가득 저장되어 있다는 의미이며, 해당 보고서를 통해 전문가들은 특히 의료 이미징 분석에서 사용되는 컨테이너들에서 많은 취약점을 찾아냈다고 알려왔다고 합니다.😮

그래서 프레바시오의 보안 전문가 알렉스 엑켈베리(Alex Eckelberry)는 다음과 같은 말을 했다고 합니다.

기업들이라고해서 의료 분야보다 더 낫다고 할 수 없습니다. 기업 한경에서 사용되는 기업형 애플리케이션들, 특히 구조가 복잡한 애플리케이션들은 이제 도커 표준 사양인 것처럼 도입하고 있습니다. 대기업 다수에서 도커를 다양한 형태로 활용하고 있으며, 이러한 환경은 공격자들에게 공격 활로가 되고 있는게 사실입니다.

프레시바이오는 400만 개의 이미지를 분석하여 0.16%(6,433개)에서 악성 요소들을 발견했다고 합니다. 이는오픈소스 스캐너인 클램AV(ClamAV)로 식별하는데 성공한 것이만이라고 합니다.😀

그리고 다음과 같은 말을 언급했다고 합니다.

정적 분석을 했을 때는 아무런 악성 요소가 없는 이미지가 대부분 이었습니다. 이런 이미지들은 시동이 걸리면 다른 곳에서부터 멀웨어 코드를 다운로드 받아 실시하는 것들입니다.

2.이랜드그룹 협박 클롭 랜섬웨어 조직

이랜드그룹의 서버에 침투해 클롭(CLOP) 랜섬웨어를 유포시킨 해커조직이 이랜드그룹 고객들의 신용카드 정보를 공개 했다고 합니다. 하지만 이랜드에서는 조작된 정보라고 했으며, 실제 유출정보인지는 확인되지 않은 상태라고 합니다.😣

클롭 랜섬웨어 조직이 공개한 내용을 보면, 해킹한 기업들의 웹사이트 주소를 나열하고 각각 기업들에 대한 협박 메시지를 언론에 공개하는 공식 보도자료인 것처럼 표기했다고 합니다.

이랜드 그룹의 경우 회사명과 산업군, 서비스 분야를 표기한 후 오늘부터 매일 10만개의 신용카드 정보 덤프를 업로드할 것이라고 협박 메시지를 남겨 놓은 상태라고 합니다.

11월 22일 이랜드그룹 서버를 공격한 클롭 랜섬웨어 조직은 이랜드 측에 약 445억원의 비트코인을 요구했으며, 지불할 시 서버 공격을 통해 빼낸 카드정보 약 200만 건을 삭제하고 파일 역시 복구하게 해주겠다고 제안했다고 합니다.🤨

이에 이랜드그룹은 정당한 방법으로 대응하는 것을 대원칙으로 삼고 내부 인트라넷 및 데이터 복구에 최선을 다하겠다고 언급했다고 합니다.😀

또한 유포한 고객정보는 조작된 정보임에 분명하다고 하며, 실제로 고객 정보는 공격한 곳이 아닌 완전 차단된 다른 시스템에 보관되어 있다고 합니다.😀

3. 패스워드 필요 없는 인증 FIDO

일반적인 계정 인증 방식보다 안전하고 편리하게 바꿀 수 있는 차세대 표준 기술로 패스워드를 사용하지 않는 '패스트아이덴티티온라인(FIDO)'이 주목받고 있다고 합니다.😀

(1) 스마트폰에 지문 대면 보안 출입문이 누군지 알아본다.

보안 상 공간 출입을 통제하는 시설들이 많이 있습니다. 이런 시설에서 각 출입문 근처에 사용자 인증 장치를 두고, 인증된 사용자만 출입을 허용하는 식으로 시설 관리가 되어 있는게 대부분입니다. 게다가중요한 시설이라면 인증 절차가 더운 까다로워지는 편입니다.

이번 해커톤에서 금상을 수상한 팀은 보안 시설 출입을 간편하게 만들어주는 솔루션을 개발했다고 합니다. 작동과정은 다음과 같다고 합니다.

- 사용자가 보안 시설 출입문에 다다르면 출입문에서 정보를 블루투스로 송출

- 사용자 스마트폰이 이 정보를 수신하면 알람의 띄우고 FIDO 기반 생체인증

- 사용자의 인증 완료 정보와 출입문 정보가 시설 운영 기관의 서버로 전송

- 이 서버에 전송된 정보는 FIDO 서버에 전송되고 정보를 확인해 인증이 승인되면 출입문 잠금 해제

사용자가 문에 접근하는 것만으로 절차가 이루어지고 생체 인증만 끝내면 문이 자동으로 열리게 되는 방식이라고 합니다.😁

(2) 스마트홈 데이터, FIDO 인증으로 철통 보호

은상을 수상한 팀이 FIDO 인증 기반의 스마트홈 기기 통합 관리 앱을 개발하였으며, 스마트홈 생태계의 보안 강화를 위해 FIDO 기술을 융합했다고 합니다.

이는 패스워드 기반 인증을 채택한 기존 앱 대비 해킹 위험을 줄일 수 있다고 강조했다고 합니다.

앱 상에서, 집 방문개도 IoT기기를 쉽게 사용할 수 있게 하면서 동시에 보안 상의 허점이 발생하지 않도록 일회용 패스워드 기능을 활용하는 방식을 택했다고 합니다.😀

(3) 도용 잦은 건강보험증, DID+FIDO로 꼼꼼한 신원확인

은상을 수상한 다른 팀은 분산ID(DID) 기술과 FIDO를 연계한 스마트 건강보험증 발급 서비스를 선보였다고 합니다.

실물 형태의 건강보험증 사용에 따른 불편함과 실제 의료 현장에서 환자의 신원확인이 제대로 이루어지지 않아 건강보험증 도용 사례 등이 상당하다는 문제를 파악하고 서비스 개발에 착수 했다고 합니다.😀

이는 비대면 환경에서도 의료 신원인증을 지원할 수 있으며, 정보 주체가 의료 데이터에 쉽게 접근할 수 있는 기반을 구상했다는 점에서 의의가 있다고 하네요!

이는 사용자가 건강보험증을 발급받은 보안 USB를 활용하며, 생체인증을 통한 신원인증 절차를 결합하는 식으로 구성되었다고 합니다.😁

(4) 재택근무 시 안전한 업무 문서 관리

동상을 수상한 팀은 FIDO 인증체계를 접목한 문서 파일 공유 시스템을 개발했다고 합니다. FIDO 인증을 통해 파일 열람 권한을 부여, 평문 형태의 패스워드를 사용하는 방식 대비 안전하고 편리한 체계를 구축했다고 합니다.😀

이 외에 추가로 토큰을 통해 일정 시간 내에만 파일을 열람할 수 있는 시스템을 구축했다고 합니다. 이는 사내 인트라넷이 아닌 외부에서 파일을 사용하는 환경에서도 안전성을 갖출 수 있게 되었다고 합니다.😁

출처

www.boannews.com/media/view.asp?idx=93080&page=1&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=93094&page=1&mkind=1&kind=

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29737&key=&dir_group_dist=&dir_code=&searchDate=