1. 개보위의 개인정보보호 연차보고서 - 공정거래위원회·금융위원회·국민권익위원회·원자력안전위원회

(1) 공정거래위원회

가. 개인정보처리시스템 안전성 확보

공정거래위원회(공정위)는 개인정보 처리 시 안전성 확보를 위해 개인정보처리시스템에 대한 관리실태 점검을 하여 불필요한 개인정보 백업파일을 삭제하고 개인정보가 저장되는 데이터베이스에 대한 취약점 여부도 점검해 점검 결과 나타난 문제점을 보완 조치했습니다.

개인정보의 접속기록 수집, 보관, 통합 관리를 위한 개인정보 접속기록관리시스템을 도입하여 개인정보처리시스템을 대상으로 모든 접속로그를 저장하고 정기적으로 부정행위를 점검하는 등 관리 수준을 강화했습니다. 또한, 개인정보처리시스템 외에 개인별 업무용 PC에 보관 중인 개인정보에 대한 일제정비를 통해 보유 목적을 달성한 개인정보는 파기하고 업무처리 등을 위해 보유 중인 개인정보는 DRM(Digital Rights Management) 후 보관하도록 조치했습니다.

나. 개인정보 침해대응 및 유출, 노출 예방 활동

공정위는 24시간 보안관제를 실시하는 사이버안전센터를 운영하고 있으며, 이를 통해 위원회 및 소속·산하기관의 홈페이지를 통한 상시 점검을 하고 있습니다. 이와 함께 각종 홈페이지의 보안취약점을 정기적으로 점검 조치함으로써 보안수준을 강화하고, 침해사고 발생에 대비한 침해사고 위기대응 훈련을 매년 실시하고 있습니다.

다. 개인정보보호 교육 및 홍보

공정위는 대상별 개인정보보호에 대한 인식 향상을 위한 교육을 진행했으며, 용역사업자 대상으로 개인정보 업무처리 기준사항에 따른 맞춤형 교육을 실시하여 개인정보보호 관련 업무를 체계적으로 관리했습니다. 또한, 외부 전문교육이나 워크숍 등 외부 활동으로 개인정보보호 역량을 강화했으며, 직원들의 개인정보보호 인식 제고를 위해 노력하고 있습니다.

(2) 금융위원회

가. 개인정보보호 정책 및 제도 개선

금융위원회는 개인정보 수집현황을 주기적으로 조사하여 과대하게 보유하거나 불필요한 개인정보파일을 정비함으로써 개인정보 처리의 적정성과 투명성을 확보했습니다. 개인정보처리시스템상 개인정보파일을 점검해 보존기간이 경과한 개인정보는 파기하고, 개인정보파일대장을 현행화했습니다. 업무용 PC에 보유하고 있는 불필요한 개인정보를 삭제하고, 업무에 필요한 개인정보는 암호화 조치했습니다.

나. 개인정보보호시스템 운영체계 강화

금융위 및 산하기관의 개인정보 관리실태 자가진단을 실시하고 미흡한 사항에 대해서는 보호대책을 수립했습니다. 개인정보 수집현황을 전수 조사하여 불필요한 개인정보 수집을 중단하고, 개인정보파일을 점검해 보존기간이 경과한 개인정보는 파기했으며, 개인정보파일대장을 현행화했습니다. 또한, 개인정보파일을 점검하여 불필요한 개인정보를 삭제하고 업무에 필요한 개인정보는 암호화를 실시했습니다. 그리고 정보화 조직 및 개인정보보호 전담인력 확보를 위해 관련 기관 및 부서와 지속적으로 협의하고, 정보화 예산 편성 시 개인정보보호 활동을 위한 소요비용을 산정하여 사업 추진 기반을 확보하는데 노력했습니다.

다. 개인정보보호 교육 및 홍보

대상별로 차별화된 교육 계획을 수립하여 자체 집합교육을 실시하고, '금융정보보호 콘퍼런스 2019'를 개최하여 금융보안에 대한 최신 정보와 지식을 공유했습니다. 또한, 개인정보보호 관리수준 향상과 상호 정보 공유를 위해 산하기관과의 워크숍을 정기적으로 개최하고 있습니다.

(3) 국민권익위원회

가. 개인정보보호 인프라 강화를 통한 개인정보 유출 및 노출 방지

국민권익위원회(권익위)는 개인정보 처리 업부 수탁자를 통한 개인정보 유출 및 노출을 방지하고 사이버보안을 강화하기 위해 기관 내에 상주하는 외부업체 직원 인터넷용 PC를 대상으로 VDI(Virtual Desktop Infrastructure) 체계를 구축했습니다. 또한, 업무망 PC에 개인정보를 보유하는 것을 지양하고 불가피하게 보유해야할 경우 암호화 조치를 할 수 있는 솔루션을 적용하여 매월 개인정보 보유현황을 전수조사하고 고유식별정보에 대해 암호화 조치를 취하고 있습니다. 이러한 조치를 통해 불필요한 개인정보를 보유하지 않도록 하며 개인정보 유출 및 노출 방지를 강화했습니다.

나. 개인정보 수집 최소화를 통한 개인정보보호 강화

권익위는 행정규칙을 제·개정함에 있어 관행적인 개인정보 수집실태를 점검하여 불필요하거나 반복적인 개인정보 수집을 제한하고 업무 수행 시 필요한 최소한의 개인정보만 수집하도록 개선 권고하는 개인정보 수집 최소화를 지속적으로 추진했습니다. 이를 통해 4개 예규 29종 서식에서 수집하는 주민등록번호를 생년월일 등으로 대체하도록 관련 규칙을 개정해 정보주체의 개인정보보호를 강화했습니다.

다. 개인정보보호 의식 고취를 위한 개인정보보호 교육 추진

권익위는 개인정보취급자의 개인정보보호 의식을 고취하기 위해 전 직원을 대상으로 2회에 걸쳐 594명이 참여하는 집합교육을 실시했으며, 개인정보 처리 업무 수탁자를 대상으로 총 35회에 걸쳐 연인원 2,014명이 참여하는 개인정보보호 교육을 실시했습니다.

(4) 원자력안전위원회

가. 개인정보보호 기준 마련·보급 및 법·제도 개선 연구

원자력안전위원회(원안위)는 개인정보 침해유출사고에 대한 신속 대응으로 피해를 최소화하기 위해 '개인정보 침해유출사고 대응 절차서'와 수집한 개인정보를 목적과 다르게 이용하거나 제3자에게 제공하는 경우 준수사항 및 제공방법 등을 담은 '개인정보 목적 외 이용 및 제3자 제공 절차서'를 개인정보보호 관련 법률의 개정 내용에 맞춰 개정했습니다. 또한 '개인정보보호 내부관리계획'을 보완하여 개인정보 누출사고 방지를 위한 기반을 마련했습니다.

나. 개인정보보호시스템 강화 및 개인정보 모니터링 시스템 개선

2019년에 신설된 행정사무정보화 사업을 통해 원안위의 개인정보보호시스템 강화를 위한 홈페이지 개편·매체제어 시스템 고화를 추진했으며, 개인정보보호시스템을 강화했습니다. 또한, 비예산 분야에서도 불필요하게 수집되는 개인정보가 최소화되도록 노력했습니다.

다. 개인정보보호 교육 및 홍보 강화

원안위는 개인정보보호 관련 인식 제고를 위해 교육 대상별 차별화된 개인정보보호 교육 계획을 수립하고 시행하고 있습니다. 개인정보보호책임관과 개인정보보호담당자는 전문 교육 및 워크숍에 참석하여 역량을 강화했으며, 전 직원을 대상으로 사이버 교육과 전문강사 초청 개인정보보호 교육을 실시했습니다. 그리고 수탁기관 근무자를 대상으로 시스템 관리 방안, 침해사고 유형과 예방 및 대응 방안에 대한 교육을 실시했습니다.

2. 배송 실패 관련 DHL 사칭 악성메일

배송 분야 세계 1위 업체인 DHL 익스프레스를 사칭한 악성 메일이 유포 중이라고 합니다.😐

발신자 이름은 DHL 코리아이며 한국어를 사용하고 있으며 DHL 배송 실패 관련 내용으로 국내 이용자들을 노린것으로 보인다고 합니다.😮

DHL 이미지와 배송조회, 배송실패 등의 문구를 사용하여 속기 쉬우며, 첨부된 링크는 클라우드 서비스인 '드롭박스'로 연결되어 악성 HTML 파일을 다운하게 만든다고 합니다.

다운로드된 HTML 파일을 실행하면 브라우저 알림창이 생성되고 배송확인을 위해 로그인을 하라고 합니다.

알림창을 닫은 후 가짜 DHL 로그인 화면을 볼 수 있습니다. 여기서 로그인을 하면 공격자의 서버로 유출이 된다고 합니다. 이 때 사용자는 운송장정보가 표시된 페이지로 연결되어 피해 사실을 알아채기도 힘들다고 하네요.😣

DHL은 암호 및 기타 개인정보를 이메일로 요청하지 않는다고 합니다. 의심스러운 이메일을 받게 되면 DHL 고객 서비스나 경찰청, KISA 118센터에 신고하라고 권고하고 있다고 합니다.😀

3. 보안 강화 2단계 인증 및 주요 IT 서비스 인증방법

비밀번호는 각종 서비스를 이용할 때 인증하는 기본 수단입니다. 보통은 대소문자, 숫자, 특수문자를 포함한 암호가 쓰이죠. 하지만 비밀번호를 복잡하게 설정하더라도 부주의로 인해 노출되거나 키로깅 같은 공격으로 유출될 가능성이 존재합니다.😀

이러한 위험을 방지 방법이 2단계 인증(2채널 인증)이라고 합니다. 비밀번호를 입력하여 1차 인증을 하고 ARS, 보안카드, OTP, 이메일 등 여러 수단을 활용하여 이루어지는 방식이죠.😁

2단계 인증을 사용하게 된다면 1차 인증 수단인 비밀번호를 유출하더라도 자신의 계적을 안전하게 보호할 수 있습니다. 또한 자신이 로그인 시도를 하지않았을 때 2차 인증과 관련한 메시지를 받을 경우 노출되었다는 사실도 인지할 수 있습니다. 그래서 많은 인터넷 서비스 기업이 2단계 인증 기능을 갖추고 있다고 합니다.😀

우선 네이버 같은 경우에는 밑의 그림과 같이 2차 인증을 설정할 수 있습니다. 기본적으로 네이버 앱을 스마트폰에 설치한 후 앱에 로그인 해야 하며, 이후 등록절차를 통해 앱과 스마트폰을 2단계 인증에 사용할 수 있다고 합니다. 향후 네이버 계정에 로그인을 시도할 경우 앱을 통해 2단계 인증 요청 메시지가 전달된다고 합니다.

카카오는 카카오 계정으로 정보를 통합했을 경우 카카오톡을 2단계 인증에 사용할 수 있다고 합니다. 방식은 네이버와 동일하다고 합니다.

구글은 더많은 방식을 지원한다고 합니다. 2단계 인증 항목을 누르면 인증에 사용하는 수단을 선택할 수 있다고 합니다. 안드로이드 스마트폰 사용자라면 구글앱과 스마트폰이 기본 설정이며, 추가적으로 문자메시지, 물리 보안키 등을 이용할 수 있다고 합니다. 물리 보안키 같은 경우는 USB 형태가 있지만, 일부 스마트폰에도 해당 기능이 내장되어 있다고 합니다. 만약 스마트폰을 물리 보안키로 등록해놨다면 새로 PC에서 로그인 시 블루투스를 켠 상태에서 진행해야 한다고 하네요.😁

애플 계정에도 2단계 인증을 설정하는 것이 가능하다고 합니다. 기본적으로 문자메시지를 이용하지만 아이폰 사용자가 자신의 단말기를 신뢰할 수 있는 기기로 등록할 경우 애플의 다른 기기에서 로그인 시도 시 아이폰 화면에 메시지가 즉시 나타난다고 합니다.😀

IOS 10.3 버전 이상 : 아이폰 설정 -> 사용자 이름 -> 암호 및 보안

IOS 10.2 버전 이하 : 설정 -> I-Cloud -> Apple ID -> 암호 및 보안

인스타그램은 우측 상단에 있는 자신의 프로필을 누른 뒤 설정을 선택하고 공개 범위 보안에서 2단계 인증 항목을 이용하면 설정할 수 있다고 합니다. 문자메시지나 인증 앱을 이용하며, 인증 앱의 경우 PC에서는 설정할 수 없다고 합니다. 인증 앱은 인스타그램이 권장하는 듀오 모바일 혹은 구글 OTP 등 외부 앱을 이용한다고 합니다.😀

게임 프로그램인 스팀은 OTP 방식의 2단계 인증 기능인 'Steam Guard'를 지원한다고 합니다. 설정 방법은 스마트폰에 스팀 앱을 설치하고 메뉴 상단에 있는 Steam Guard 항목을 선택하면 '인증기'를 추가할 수 있다고 합니다.

2단계 인증은 보안 성능을 크게 높여줄 수 있는 기능이며 설정만 해도 해킹으로부터 상당수 막을 수 있다고 합니다. 하지만 스마트폰을 분실하게 된다면 무용지물이 될 가능성이 높다고 합니다. 그렇기 때문에 스마트폰 화면 잠금을 단순 패턴 및 간단한 비밀번호로 설정하는 것보다는 생체인식 기능을 적극 활용할 필요가 있다고 합니다. 또한 원격에서 스마트폰을 찾아 기기를 잠그거나 초기화하는 킬 스위치 기능을 알아두는 것도 도움이 될거라고 합니다.😀😁

출처

www.boannews.com/media/view.asp?idx=91860&page=1&mkind=1&kind=2

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29611&key=&dir_group_dist=&dir_code=&searchDate=

www.boannews.com/media/view.asp?idx=91836&page=1&mkind=1&kind=5

1. 보안 문제로 대두 되었던 Zoom, 종단간 암호화 적용

코로나 확산으로 인해 재택근무를 도입하는 기업이 늘며 화상 회의에 관한 수요도 증가했습니다. 그래서 화상회의 앱인 줌 사용자가 대폭 늘었지만 보안사고가 계속해서 일어났었습니다.

그리하여 줌은 '줌토피아 2020' 컨퍼런스에서 'E2EE 테크니컬프리뷰'를 적용한다고 했답니다.😀

줌의 E2EE는 GCM 암호화 기술을 이전 방식 그대로 사용하지만, 키가 작동하는 위치를 변경했다고 밝혔습니다. 일반 회의의 경우, 줌 서버에서 키를 생성하고 앱을 통해 회의에 참석자에게 키를 알려주는 방식을 사용해왔다고 합니다. 하지만 새롭게 적용하는 E2EE는 회의 개설자단에서 키를 생성하여 암호화하고, 회의 참가자는 이 키를 개설자에게 전달받아 메시지를 복호화 한다고 합니다.

줌은 공개키 기반 암호화 방식을 통해 구현했으며, 이 과정에 줌 서버는 개입하지 않기 때문에 키를 확인할 수 없다고 합니다. 즉, 회의에 쓸 1회용 공인인증서를 생성하고 인증된 사용자만 회의 내용을 알 수 있다는 의미라고 합니다.😁

이렇게 하는 이유는 줌이 사용했던 이전 방식은 사용자와 서버 사이에 전송되는 데이터를 암호화하였고, 복호화 키가 서버에 보관되어 있기 때문에 줌이 사용자 회의 내용을 직접 확인하는게 가능했다고 합니다.🙄

줌 비디어 커뮤니니케이션 CEO인 에릭 위안은 "이번 발표는 암호 키에 대한 접근성을 차단하는 종단간 암호화로, 줌 회의를 보호하겠다는 우리 비전의 첫 걸음이다. 우리의 기술은 기존의 다른 종단간 암호화 메시지 플랫폼과 동일한 수준의 보안을 제공하며, 여기에 고품질 화상 기술과 확장성을 제공이라는 우리 장점까지 더했다." 라고 언급했다고 합니다.😄

2. 에그레고르 랜섬웨어, 유비소프트와 크라이텍을 공격

에그레고르라 불리는 랜섬웨어의 공격에 유명 게임 개발사인 유비소프트와 크크라이텍이 당했다고 합니다.😥

에그레고르 랜섬웨어 운영자들이 자신들의 사이트에 공개한 데이터에는 복호화 된 파일들이 포함되어 있었으며, 누구나 열람 가능한 상태로 만들어져 있었다고 합니다. 그리고 "유비소프트와 크라이텍에서 훔쳐낸 것"이라고 광고하고 있다고 합니다. 현재 유비소프트는 언급이 없으며 크라이텍은 확인한 상태라고 합니다.

IT 매체인 블리핑컴퓨터는 크라이텍 내부의 파일들이 암호화 되어 CRYTEK이라는 확장자가 붙은 상태라고 합니다.😶

에그레고르 운영자들이 현재까지 공개한 크라이텍의 데이터는 약 380M 정도이며 워페이스라는 크라이텍이 개발 중단한 게임과 관련 내용들이 대부분이라고 알려졌다고 합니다. 또한, 유비소프트의 네트워크에 침투하였고 유비스포트가 발표를 앞두고 있는 '왓치독 : 리전'의 소스코드도 복호화 된 채로 보유하고 있다고 주장하고 있다고 합니다. 이와 관련하여 약 20M 데이터를 공개하고 있다고 합니다.🤨

하지만 현재까지 공개된 정보로 봤을 때 다른 경로로 입수하는게 가능한 정보일 수도 있기 때문이라고 설명하며 공격하는데 성공했다는 뜻이 되는건 아니라고 블리핑 컴퓨터 측이 설명했다고 하네요.😀

3. 인트코멕스의 민감 정보 1TB 초대형 유출 사고

해커들이 미국 마이애미에 있는 한 기술 기업으로 부터 1TB의 데이터를 훔쳐낸 초대형 데이터 유출 사고가 발생했다고 합니다.😣

이 정보에는 신용카드 정보, 여권, 은행내역서 등 민감한 금융 정보 및 문건 정보들이며, 현재 일부가 러시아 해커들의 포럼에서 맛보기 형태로 유포되고 있다고 합니다.😥

인트코멕스는 부가 가치 재판 기업(VAR)으로, 기술 제품 및 서비스를 사들이고 남미와 캐리비안 지역에 재판하는 사업을 진행한다고 합니다. 즉 국제적인 규모를 가지고 있습니다.

9월 14일과 20일 두 번의 사고가 있었으며 해커들은 데이터를 다크웹에 공개했다고 합니다. 첫 날(14일)은 'Internal Audit'라는 제목으로 16.6GB 데이터를 공개하였으며, 둘째 날(20일)은 'Finance_ER'이라는 제목으로 18GB를 공개했다고 합니다.

현재까지 알려진 정보들은 랜섬웨어 공격을 통해 유출 되었으며 정보를 공개한 공격자가 "더 재밌는 정보를 곧 공개하겠다"라고 언급한 상태라고 합니다. 하지만 댓가를 지불할 시 공개하지 않는다며 '이중 협박 전략'을 내세웠다고 합니다.

인트코멕스 측은 공개한 정보가 자신들의 것이 맞다고 했으며 현재 상황에 단호한 조치들을 취하고 있는 상태라고 발표했다고 합니다. 여기에 사이버 보안 전문가들을 투입하였고 유관 기관에도 알린 상태라고 합니다. 다행히 사업을 진행하는데 있어서 아직까지 방해받는 부분은 없다고 합니다.😀

그러나 보안 전문가들은 이 정도 정보 유출 사건이 발생한 것만으로 충분히 위협적이라는 의견을 내놓았다고 합니다. 또한 그런 규모의 회사가 다크웹에 데이터가 올라올 때까지 전혀 모르고 있었다는 것은 심각한 일이라며 지적이 나왔다고 합니다. 즉, 기업들이 보안의 중요성을 알고 있지만, 실행은 정작 하지 않는다는 증거라고 합니다.😕

이번에 공개된 정보와 앞으로 공개될 정보가 범죄 시장에 흘러갈 경우 추가 범죄가 다량으로 발생할 것으로 예상하고 있다고 합니다. 각종 개인정보와 금융 정보가 조합되면 고차원적인 사이버 범죄를 표적형으로 구사하게 되고, 개인과 조직을 특정하여 노릴 수 있게 된다고 합니다. 중요한 것은 유출된 신용카드 정보가 지나치게 상세하여 범죄자들에게 매우 유용할 것으로 여겨진다고 합니다.😥

또한, 인코멕스가 국제적인 규모의 사업을 한다는 것을 중요하게 봐야할 부분이라고 합니다. 이는 기술적인면 뿐만 아니라 각 나라마다 이런 사건과 관련된 규정과 법률이 다르기 때문에 피해자에게 고지하고 보상하는 일과 절차가 상상 외로 복잡해 질 수 있다고 합니다. 그래서 이번 사건의 후속절차가 대단히 복잡해지고 기업으로서는 큰 손해를 감당해야 할 것으로 예상하고 있다고 합니다.😓

4. 해킹 발생률이 높은 중소기업, 무료 보안 도구 조차 안쓴다.

다수의 해킹에 노려지는 중소기업에게 정부가 웹 보안 도구를 무료로 제공했지만 사용률이 극히 저조하다는 지적이 나왔다고 합니다.😣

최근 정부는 'K-사이버 방역 체계' 구축을 위해 1조원을 투자한다고 밝혔습니다. 하지만 이미 무료로 보급되는 보안 제품조차 도입하지 않은 중소기업이 상당수 라고 합니다.🤨

한국인터넷진흥원(KISA)에 의하면 2017년 발생한 해킹공격의 98%가 중소기업을 표적으로 삼았으며 해킹으로부터 안전하기 위해 보안태세 강화를 해야하나, 중소기업 대다수가 보안 인식 부족으로 손쉬운 조치도 취하지 않고 있다고 합니다.

KISA 대상 국정감사에서 전혜숙 더불어 민주당 의원은 이 문제를 지적했으며, "증소기업 중 휘슬(웹서버 해킹 탐지 도구)과 캐슬(웹방화벽 서비스)을 사용하는 곳이 각각 2,266개와 3,195개로 총 5,500여곳 밖에 사용되지 않고 있고 있으며, 연간 26,000만원의 예산이 투입되고 있는 사업인데, 중소기업 330만곳에 이르는데 반해 사용률이 너무 적다."라고 언급했다고 합니다.

문제는 보안 업계에서도 휘슬, 캐슬에 대해 "잘 모른다"는 의견이 많았으며, 업계는 서비스를 사용할 법한 소기업들이 보안에 대한 관심이 매우 적기 때문에 도입 필요성을 잘 체감하지 못하고 있다고 지적했다 합니다.😥

그리고 보안 업무를 담당하는 정부 관계자는 "보안에 투자하기 힘든 소기업을 위해 서비스를 만든 취지는 좋았지만, 그만큼 대상 기업들의 보안에 대한 관심이 떨어져 서비스가 활발히 보급되진 못했다."라고 평을 했다고 합니다.

주로 중소기업에 제품을 주로 공급하는 보안업계 관계자는 "웹 중심으로 사업을 진행하지 않는 중소기업의 대다수가 웹방화벽까지 필요치 않다는 생각을 갖고 있으며 해커의 타겟이 될거라 생각지 않고 피해를 입더라도 피해 규모가 크지 않을 것이란 생각에 투자 우선 순위에서 보안이 밀리게 된다." 라고 언급했다고 합니다.😥

이에 KISA 관계자는 "자체 역량 갖추기 어려운 중소기업이 휘슬과 캐슬을 많이 사용할 수 있도록 홍보를 강화하겠다"라고 답했다고 합니다.😁

출처

www.boannews.com/media/view.asp?idx=91809&page=1&mkind=1&kind=5

www.boannews.com/media/view.asp?idx=91838&page=1&mkind=1&kind=

www.boannews.com/media/view.asp?idx=91810&page=1&mkind=1&kind=1

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29607&key=&dir_group_dist=&dir_code=&searchDate=

1. 금전 목적 해킹조직 'FIN11'의 특징과 주요 공격방식

파이어아이 보안기업에서 금전 목적의 공격 그룹 'FIN11'에 관한 보고서를 공개했습니다. 이 보고서에 따르면 FIN11은 2016년부터 활동을 시작하여 다양한 공격 기법과 독자적인 코드군을 보유하고 있다고 합니다.😀

FIN11은 금전 목적의 그룹 중 가장 규모가 크고 지속력이 강한 멀웨어를 배포하며, 멀웨어 배포 전략 및 기법을 끊임없이 진화시키고 있다고 합니다. 또한, 최근 FIN11의 공격 활동은 대부분 'CLOP 랜섬웨어'를 배포해 피해자 네트워크에 침입하여 데이터를 탈취하는데까지 이어지며, 포스 멀웨어를 배포했던 예전 방식과 다르게 진화하고 있다고 합니다.😶

다음 FIN11에 대한 리포트 내용입니다.

• FIN11은 대부분 독립 국가 연합의 소속으로 활동하고 있는 것으로 추정된다.
• 전세계 다양한 지역 및 산업의 기업을 공격해왔다.
• 최소 2016년부터 활동하기 시작한 FIN11은 멀웨어를 배포하기 위해 광범위한 피싱 공격을 실시해왔다. 다수의 피싱 공격을 실시하였으며, 매달 배포 전략을 변경한다.
• 실질적인 수익을 얻기 위해 복합적인 탈취 공격 수법을 사용한다.

2. '블리딩투스' 취약점 발견

Google과 Intel이 리눅스 블루투스 프로토콜인 블루지(BlueZ)에서 고위험군에 속하는 취약점을 발견했다고 합니다. 블루지는 리눅스 기반 IoT 장비들에 탑재된 블루투스 기능을 구현하는데 있어 핵심적인 요소 중 하나이며, Google은 여기에 블리딩투스(BleedingTooth)라는 이름을 붙였다고 합니다.😀

리눅스 커널 5.9 이전 버전의 경우 블리딩투스 취약점에 노출되어 있다고 합니다. 블리딩투스 취약점의 가장 큰 특징은 '제로 클릭 공격'을 가능하게 한다는 것인데, 이는 피해자가 특정 링크를 누르거나 파일을 열지 않아도 공격이 성립이 된다고 합니다. 그리고 공격이 성공할 경우 공격자의 권한이 상승한다고 하네요.😁

Google은 깃허브 게시글을 통해 "공격자가 피해자의 블루투스 주소를 알아낼 경우 악성 l2cap 패킷을 보냄으로써 DDoS 공격을 하거나 커널 권한을 가지고 임의 코드 실행 공격을 할 수 있다."라고 설명했답니다. 그리고 악성 블루투스 칩을 통해서도 블리딩투스 취약점을 발동시키는게 가능하다고도 썻답니다.😮

CVE-2020-12351의 관리번호를 부여받았으며, CVSS를 기준으로 8.3점을 받아 고위험군으로 분류되었다고 합니다. 타입 컨퓨전(Type Confusion) 취약점이며, net/bluetooth/l2cap_core.c에서 발견된다고 합니다. 타입 컨퓨전을 일으키면 영역 외 메모리에 접근할 수 있으며, 이를 통해 코드를 실행시키거나 일부 요소를 마비시킬 수 있게 된다고 합니다. 이런 공격이 가능한 이뉴는 블루지를 커널 내에서 구현했을 때 사용자가 제공하는 입력값을 검증하는 과정이 불충분하기 때문이라고 하네요.😀

다음은 Google이 공개한 익스플로잇 영상 및 추가 정보, 깃허브 주소입니다.

- 영상 주소

https://www.youtube.com/watch?v=qPYrLRausSw&feature=emb_logo

- 추가정보 주소

https://security.googleblog.com/

- 깃허브 주소

https://github.com/google/security-research/security/advisories/GHSA-h637-c88j-47wq

Intel에서도 리눅스 커널 사용자들에게 5.10 이상 버전으로 업데이트할 것을 권고했으며, 불충분한 접근 제어 때문에 발생하는 중간급 위험군 오류 두 개(CVE-2020-12352, CVE-2020-24490)에 대한 픽스를 발표했다고 합니다.😀

Intel이 공개한 취약점 세부 내용과 픽스는 다음의 주소에서 확인하시면 됩니다.😁

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00435.html

3. 2020년 국감, 정보보호 공시제도 개선 시급

이번 국정감사에서 KISA가 기업의 정보보호 책임성 강화와 이용자의 알권리 보장을 위해 시행한 정보보호 공시제도에 참여한 기업이 36곳에 불과하다고 합니다.🤨

과기정통부는 기업으로부터 정보보호에 대한 투자를 이끌어내고 각종 보안사고를 미리 예방하려는 취지에서 ISMS 인증 의무를 부여하고 있습니다. 또한 ISMS 인증제도와 정보보호 공시제도를 상호 보완적으로 운영하기 위해 정보보호 공시에 참여하는 기업을 대상으로 ISMS 인증 수수료를 30% 감면해주는 혜택을 제공하고 있다고 합니다.

ISMS 인증 의무 대상기업은 정부가 정보보호 관리 책임성이 높은 기업들을 한정해 놓은 것으로 정보보호 공시제도의 대상 기업들을 선별할 때도 이를 포함하도록 고려해야 한다는게 과기정통부의 입장이라고 하네요.😁

따라서 ISMS 인증 의무대상 기업을 정보보호 공시제도의 대상 기업으로 본다면 36개 기업은 755개 기업의 5%에도 못미치는 수준이라고 합니다.😥

지난해에는 1억 5000만원의 예산으로 총 28개 업체에 컨설팅을 지원했지만 21개 업체는 참여하였고 나머지 7개 업체는 공시에 참여하지 않았다고 합니다.

컨설팅을 신청하는 업체들은 기업의 신뢰도를 향상시키고 마케팅에 활용하려는 취지에서 자발적으로 신청을 하지만, 최종적으로 정보보호 관련 예산 비율이 저조하여 공시하기 어려운 수준이거나 의무가 아니기 때문에 CEO 결심 단계에서 포기해버리는 경우가 많다고 합니다.😭

현행법상 정보보호 공시는 의무가 아니며 기업당 500만원의 예산을 들여 약 4회에 걸친 컨설팅을 진행하고도 기업 내부사정에 의해 공시를 하지 않겠다라고 하면 제재할 수 가없는 실정이라네요🙄

이에 정보보호 공시제도 예산 집행의 실효성을 담보하고 기업의 정보보호를 강화하기 위해 기업의 공시 참여를 확대할 제도적 대안 마련이 필요한 시점이라고 언급하였습니다.😄

4. MS 연합체, 악성코드 확산 경로 '트릭봇' 해체 실패

MS를 비롯한 IT 회사들이 연합해 악성 프로그램 확산 경로인 '트릭봇' 봇넷 해체 작업을 시도했지만 실패했다고 합니다.😥

트릭봇 명령자와 조정 서버, 도메인 등 파악을 하지 못했으며, "트릭봇에 대해 새로운 인프라가 짜여져 대체 되었다"고 한 관계자가 언급했다고 합니다.

"트릭봇 해체 작업의 효과는 일시적이었고 제한적이었다. MS 비롯한 연합체는 이번 결과에 개의치 않고 계속해서 해체 작업을 이어갈 계획이다." 라고 관계자가 언급했다고 합니다.😁

트릭봇은 러시아어를 구사하는 해커들이 운영하는 전 세계적인 봇네트로, 현재 활성화 된 봇넷 중 가장 큰 규모라고 합니다. 특히, MaaS(서비스로서의 멜웨어)란 활동 모델로 다른 시스테들을 감염시켜 확산을 강화하는 것이 특징이라고 합니다.😀

트릭봇은 미국 최대 의료법인 중 하나인 '유니버셜 헬스서비스'를 공격한 랜섬웨어를 확산시키기 위해 사용된 바 있다고 합니다. 류크나 콘티와 같은 랜섬웨어 확산 집단들에게 감염된 PC에 대한 접근이 가능하도록 네트워크를 제공하기도 했다네요! 이외에도 사기범, 국가적인 행위자, 산업 스파이단을 위해서도 악용된다고 합니다.😑

이번 해체 작업은 MS, FS-ISAC, ESET 등이 참여했으며, 먼저 트릭봇의 서버 및 악성코드 모듈에 대한 조사를 실시했다고 합니다. 또한 트릭봇에 감염된 PC를 제어하고 추가 모듈을 제공하기 위해 봇넷이 사용한 서버를 포함해 총 12만5천개 이상의 트리봇 악성코드 샘플을 수집 및 분석했다고 합니다. 또한, 수개월동안 악성 프로그램 내 정보를 추출하고 구조화하는 과정을 거쳤다고 합니다.😁

위의 근거로 법원에서 트릭봇 서버에 대한 통제를 허가권을 획득해 해체 작업에 착수했다고 합니다.😀

현재 트릭봇에 감염된 PC 및 IoT 장치는 지금까지 100만대 이상으로 추산되었으며, 연합 회사들은 향후 전세계 인터넷 서비스 제공업체 및 긴급 PC 준비팀(CERT)들이 이용자들에게 PC 감염 사실을 알릴 수 있도록 할 계획이라고 합니다.😁

출처

www.boannews.com/media/view.asp?idx=91801&page=1&mkind=1&kind=

www.boannews.com/media/view.asp?idx=91808&page=1&mkind=1&kind=

www.dailysecu.com/news/articleView.html?idxno=114920

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29604&key=&dir_group_dist=&dir_code=&searchDate=

1. 구글 키보드 AI 기능

구글에서 지보드(Gboard, 키보드 앱) 베타 테스트 버전에서 새로운 인공지능 기능을 선보였다고 합니다. 사용자의 습관과 내용을 분석하여 적절한 답장을 자동으로 추천하는 '스마트 답장(Smart Replies)' 기능으로, 시험 운영 중이라고 하네요.😀

이처럼 자동으로 내용을 예측하기 위해서는 세부적인 개인정보를 통해 학습해야 하지만, 사용자 입장에서는 개인정보가 노출될 수 있다는 불안감이 커진다고 합니다.

인공지능 성능을 높이기 위해 많은 데이터를 기반으로 학습해 모델을 개선해야 하며, 사용자 맞춤형 서비스를 제공하려면 개인정보를 어느 정도 활용할 수 밖에 없으며 이것이 빅데이터와 개인정보보호 사이의 딜레이라고 합니다.🤣

하지만 구글은 인공지능 학습 과정이 스마트폰에서만 이뤄지며, 실제 데이터는 서버로 전송하지 않는다고 설명했다고 하네요! 하지만 인공지능 성능 강화를 위해 최대한 다양한 형태의 데이터를 한 곳에 모아 학습을 해야하는데 구글 인공지능은 어떻게 개인정보를 서버에 전송하지 않고 성능을 강화한다는 것일까요??🙄 

이는 구글이 제안한 인공지능 학습법인 '연합학습'을 통해 이뤄진다고 합니다. 연합학습은 사용자의 스마트폰에 탑재된 학습 알고리즘이 개인의 행동양식을 학습하며 모델을 구축 및 강화한다고 합니다. 사용자의 데이터 대신 구축한 모델을 전송하며, 서버에서는 여러 생성된 모델을 모아 분석하고, 성능을 강화할 수 있도록 모델을 업데이트하여 사용자 스마트폰으로 배포된다고 하네요.😁

이러한 학습 과정은 정보를 이해하고 처리하는 방법만 공유하기 때문에 개인정보 유출 가능성이 적다고 합니다.😀

2. 10주년 맞은 인스타그램의 보안 강화 기록

인스타그램은 지난 2010년 처음 서비스를 시작하여 올해 서비스 10주년을 맞이 했다고 합니다.😍

엄청난 인기를 끌었던 인스타그램은 사용자가 많아지면서 여러 사건사고도 늘기 마련이었죠. 이러한 문제에 대응하기 위해 인스타그램은 어떤 보안기능을 강화해왔는지 알아보도록 합시다.😁

2015년에 비공개 사진 설정에 관한 버그가 발견되었다고 합니다. 이는 사용자가 공개 상태로 사진을 게시하고 이를 비공개로 전환하면 공개 당시 사진의 URL을 웹 브라우저에 입력하면 비공개 상태에서도 접근할 수 있었던 것이라고 합니다. 즉, 사진만 비공개로 표시되고 링크는 공개된 상태로 남아 있는 버그였는데 인스타그램은 업데이트를 통해 버그를 수정하고 권한 있는 사용자만 해당 링크에 접속할 수 있도록 조치했다고 합니다.😀

해킹 예방을 위한 2단계 인증을 2017년 추가하였습니다. 이는 해킹 피해를 줄이기 위해서 도입하였지만 미국의 유명 가수 셀레나 고메즈의 계정이 해킹된 사건이 발생했으며, 인스타그램은 모든 회원에게 이런 사고를 예방하기 위해 2단계 인증을 설정하고, 강력한 비밀번호로 주기적으로 변경할 것을 권고하기도 했다고 합니다.

소셜 미디어에서 지인이나 유명인을 사칭하는 계정은 다양한 범죄에 악용될 수 있다고 합니다. 그래서 인스타그램은 공식계정에 대해 '인증배지'신청 제도를 도입했다고 합니다.😁

또한 '이 계정 정보' 기능 역시 사칭 계정으로 인한 피해 예방에 도움을 주기 위해 도입했다고 합니다. 해당 기능을 통해 계정을 만든 날짜, 국가, 사용자 이름 변경 내역 등의 정보를 보여줌으로써 사칭한 계정인지 파악할 수 있게 하였습니다.😀

사이버 범죄는 해킹이나 사기뿐 아니라 인터넷을 이용한 집단 괴롭힘도 사이버 폭력에 해당합니다. 이러한 괴롭힘을 '사이버 불링(Cyber Bullying)'이라고 부른다고 합니다. 소셜 미디어 사용 비중이 높은 오늘날에는 이러한 사이버 폭력이 발생하고 있으며 인스타그램은 예방을 위해 인공지능 자동 신고 기능을 추가했다고 합니다. 이는 인스타그램에 게시되는 사진과 글 중 누군가를 비방하는 악성 콘텐츠를 자동으로 판단하여 신고하며 라이브 방송 중 등록되는 악성 댓글 역시 자동으로 필터링해 실시간으로 발생하는 것을 예방한다고 합니다.😁

해킹 당한 계정에 대한 본인 접근성을 높였다고 합니다. 사용자가 해킹을 의심할 수 있을 만한 상황에서 계정에 로그인하는 방법을 개선하였으며, 추가적인 방법을 이용해 본인 계정임을 인증하고 권한을 복구할 수 있게 했다고 합니다.😁

3. CCTV 해킹 사고 한국에서도 발생

싱가포르에서 가정용 CCTV 해킹 사고가 발생하였으며 유출된 동영상들은 현재 온라인 성인 사이트들을 통해 유포 및 거래되고 있다고 합니다.😕

영상에 나오는 사람들은 일반인들로 얼굴이 식별 가능할 정도로 선명하게 나온다고 하며 수치심을 느낄 수 있는 영상들이 많다고 합니다.😟

이러한 영상물들은 대부분 '싱가포르'라는 태그가 달려 있지만 싱가포르 국민들만은 아닌것으로 보인다고 합니다.

영상물은 전부 가정용 IP 카메라에서 촬영된 것으로, 피해자들이 집을 지키기 위해 설치한 제품을 통해 녹화된 것들이라고 합니다.

이 영상물을 조사한 싱가포르 수사기관은 "IP 카메라 해킹을 전문으로 하는 조직이 이사건의 배후에 있는 것으로 보인다"고 발표했으며, 이 조직은 디스코드(Discord)에서 활동하며 약 1,000여명의 멤버들로 구성되어 있다고 합니다.😣

디스코드를 통해 나온 주장에 의하면 이조직은 약 3TB의 CCTV 해킹 영상물을 보유하고 있으며 약 70여명 멤버들이 공유하고 잇다고 합니다.

현재까지 약 4,000여 개의 영상물이 담긴 700MB짜리 샘플 영상물을 분석한 결과 피해자들은 태국, 한국, 캐나다에 주로 분포되어 있는 것으로 나타났으며, 거의 대부분은 싱가포르에 설치된 IP 카메라에서부터 나온것으로, 피해자의 절대 다수는 싱가포르에 거주 중인 것으로 나타났다고 합니다.😑

4. 정부의 일반 기업대상 보안 권고 기준 마련 검토

정부가 일반 기업을 대상으로 하는 IT, 보안 인력, 예산 등에 대한 권고 기준 마련을 검토하기로 했다고 합니다.😀

13일 열린 국회 과학기술정보방송통신위원회 국정감사에서 금융권에 장기간 권고해 온 '5·5·7' 기준과 유사한 기준을 일반 기업 대상으로도 마련해 권고할 필요가 있다고 지적했다고 합니다.😁

5·5·7 기준은 전체 인력 중 IT 인력 5% 이상 확보, 이 중 보안 인력은 5% 이상, 보안 예산은 전체 IT 예산 대비 7% 이상 확보해야 한다는 내용이라고 합니다.😀

2011년부터 도입되어 금융권이 IT 및 보안에 투자해야할 최소 기준점으로 적용해왔으며, 지난 1월부터 전자금융감독규정 상의 금융사 공시 의무 조항은 만료되었지만 가이드 상의 권고 기준으로 계속 활용되고 있다고 합니다.

국정감사에서 이러한 기준을 전체 기업 대상으로 제공해야 한다고 제시하였으며, 김석환 한국인터넷진흥원(KISA) 원장과 장석영 과학기술 정보통신부 차관은 민간 기업 대상 IT·보안 인력, 예산 권고 기준 마련을 검토하겠다고 했답니다.😁

5. 코로나 확진자 개인정보 보호 강화 위한 안내문 배포

KISA는 개인정보보호위원회와 '코로나 확진자 정보공개 관련 개인정보 보호 강화 안내문'을 제작하여 지자체에 배포했다고 합니다.😀

현재 각 지자체에서 코로나 감염병 확산 방지 및 예방을 위해 역학조사 결과를 바탕으로 확진환자 개인정보 및 이동경로 등을 공개하고 있습니다. 하지만 지자체별로 개인정보 공개범위에 대한 편차가 발생하고, 일부 지자체에서는 확진자의 사생활까지 공개되며 개인정보 침해에 대한 우려가 높아졌다고 합니다.🙄

이에 KISA는 8월 24일부터 5일 동안 전국 243개 자치단체 누리집에 대한 전수조사를 실시했으며, 그 결과 개인 특정할 수 있는 성별, 연령, 거주지 등을 공개한 사례 349건을 확인했고 KISA는 해당 사례를 유형별로 분석해 개선 안내문을 제작했다고 합니다.

다음은 안내문에 기록된 지자체가 확진자의 정보를 게시할 때의 사항입니다.

• 성별, 연령, 국적, 거주지 등 개인을 특정할 수 있는 정보는 공개하지 않아야 한다.
• 거주지의 경우 읍-면-동 단위 이하 정보는 게재할 수 없다.
• 직장명은 직장에서 불특정 다수에게 전파시켰을 우려가 있는 경우에만 공개할 수 있다.

앞으로 KISA는 각 지자체가 공개하는 신규 확진자 정보를 주기적으로 모니터링하여 새롭게 발생하는 개인정보 침해 요인을 확인해 개선사항을 안내할 예정이라고 합니다.😁

출처

www.boannews.com/media/view.asp?idx=91680&page=1&mkind=1&kind=5

www.boannews.com/media/view.asp?idx=91745

www.boannews.com/media/view.asp?idx=91740&page=2&mkind=1&kind=1

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29600&key=&dir_group_dist=&dir_code=&searchDate=

www.dailysecu.com/news/articleView.html?idxno=114964

1. 애플의 인프라와 시스템, 취약점 55개 발견

최근 3개월 동안 해커들이 애플의 인프라와 시스템에서 55개의 취약점을 발견했다고 합니다.😀

이 중 I-Cloud 계정을 탈취하게 해주는 취약점이 있었으며, 자동 번식 기능을 가지고 있기도 해서 자동으로 피해자의 자룔를 침해하는 것이 가능했다고 합니다.

이 취약점들을 발견한 사람들은 보안 전문가로써, 샘 커리(Sam Curry), 브렛 부어하우스(Brett Buerhaus), 벤 사데이푸르(Ben Sadeghipour), 사무엘 어브(Samuel Erb), 태너 반즈(Tanner Barnes)이다. 이 중 샘 커리 블로그를 통해 상세한 내용을 공개하였다고 합니다.😁

다음 내용은 발견된 취약점으로 공격할 수 있는 요소입니다.

• 고객 및 직원용 애플리케이션 완전 침해
• I-Cloud 계정 자동 장악
• 내부 애플 프로젝트의 소스코드 탈취
• 애플이 사용하는 산업 제어용 소프트웨어 침해
• 애플 직원들의 세션 장악을 통한 관리자 도구 및 민감 정보에의 접근

55개 취약점에 대한 CVSS 기준 위험도 입니다.

• 치명적 위험군 11개
• 고 위험군 29개
• 중간급 위험군 13개
• 저 위험군 2개

치명적 취약점은 다음과 같습니다.

• 인증 우회 취약점을 통한 애플 교육자 프로그램 완전 침해
• 인증 우회 취약점을 통한 DELMIA Apriso 애플리케이션 완전 침해
• 워머블 XSS 취약점을 통한 I-Cloud 데이터 탈취
• Author's ePublisher에의 명령 주입 취약점
• I-Cloud의 SSRF 취약점을 통한 애플 소스코드 탈취
• REST 오류 노출을 통한 Nova Admin 디버그 패널 접근
• 팬텀JS 아이튠 배너 및 책 제목 XSS 취약점을 통한 AWS 비밀 키 접근
• 애플 eSign의 힙 덤프 취약점을 통한 외부 직원 관리자 도구 침해
• 자바 Management API의 블라인드 SSRF 취약점을 통한 XML 외부 개체 프로세싱
• GBI Vertica와 노출된 GSF API의 SQL Injection 취약점
• 다양한 IDOR 및 XSS 취약점

애플에서 I-Cloud 플랫폼을 통해 메일과 내 아이폰 찾기(Find my iPhone)와 같은 서비스를 제공하기도 하며, 공격에 성공하면 I-Cloud와 연동된 모든 정보에 닿을 수 있다고 합니다. 이러한 이론에 대한 기술적 내용을 블로그에서 상세히 공개하였다고 합니다.😀

2. 안드로이드에서 새롭게 등장한 말락커 랜섬웨어

안드로이에 새롭게 등장한 말락커 랜섬웨어는 안드로이드 기반 모바일 장비들을 잠근 후 사용자가 '홈 버튼'을 누르면 협박 편지를 띄운다고 합니다.😐

Microsoft(MS)는 말락커는 악성 웹사이트의 다운로드 파일을 통해서 퍼져가고 있으며, 주로 인기 높은 앱이나 크랜된 게임, 영상 플레이어로 위장되어 있다고 합니다. 특히, 개발자들의 악의가 뚜렷하며 고급 기능들을 가지고 있어 탐지율이 낮다고 하네요.😨

안드로이드 랜섬웨어는 협박 편지를 겁쳐 띄워 피해자가 장비 자체에 접근하지 못하도록 하는 것이지, 일반적인 데스크톱 랜섬웨어 처럼 파일을 암호화하지는 않는다고 합니다. 이번 말락커는 홈 버튼 기능을 통해 발동된다는 특이한 특징과, 머신러니 모듈을 탑재해 편지가 자동으로 화면 크기에 맞게 조정이 된다고 합니다.

MS의 전문가들은 "일반적인 안드로이드 랜섬웨어는 'SYSTME_ALERT_WINDOW'라는 특수한 권한을 활용한다. 긴급 상황을 사용자들에게 알리기 위해 만들어진 권한을 활용하니 언제나 협박 편지가 가장 위 화면에 뜨게 된다. 그러니 사용자로서는 장비를 조작할 수 없게 됩니다." 라고 언급했다고 합니다.

그러나 말락커는 안드로이드가 지원하는 여러 항목의 알림 기능 중 call을 활용한다고 합니다. call은 알림 기능으로 사용자의 즉각적인 관심을 끄는 것에 목적이 있다고 합니다. 여기 onUserLeaveHint()라는 콜백 메소드까지 같이 활용하는데, 안드로이드 사용자들이 앱을 닫거나 홈 키를 누를 때 나오는 GUI화면까지도 사용할 수 있게 된다고 합니다. 즉, 장비 내에서 진행되는 모든 서비스들을 능동적으로 배경으로 보내고 협박 편지를 띄운다는 것이죠.😶

또한, 멀웨어는 알림 빌더를 생성하고 특별한 권한을 부여할 수 있다고 합니다. 이 때 사용되는 것이 setFullScreenIntent()라고 하며, 이를 GUI와 결합해 사용자가 장비를 조작하려고 할 때 화면에 띄운다고 합니다.😑

MS 연구원들이 주목한 것은 말락커의 머신러닝 모듈이라고 합니다. 안드로이드 랜섬웨어가 지속적으로 변하고 있다는 것을 보여주고 있으며, 계속해서 변종이 탄생하여 여러 발전상이 드러낼 것이기 때문이라고 합니다.

파일을 다운로드 받을 땐 신뢰되지 않는 파일은 잘 살펴보고 다운받으시길 바랍니다.😁

3. 기업형 랜섬웨어 'FONIX' 주의

사이버범죄 포럼에 FONIX 서비스형 랜섬웨어 운영자들이 자신들이 개발한 랜섬웨어를 소개하고 있다고 합니다.🙄

센티널원 보안연구가들은 이 FONIX 랜섬웨어에 대해 특별히 주의를 기울여야 한다고 합니다.

FONIX 랜섬웨어는 파일을 암호화하는데 4자지 방법을 사용하며, 제휴 파트너사에 피해자가 이메일을 통해 연락할 수 있고 이후 파트너사가 랜섬웨어 운영자에게 복호화 툴이나 키를 요청해서 전달하게 된다고 합니다. 피해자들이 전달한 랜섬머니는 파트너사가 25%를 FONIX 랜섬웨어 운영자에게 전해주고 나머지를 챙긴다고 하네요.😑

센티널원 연구진은, FONIX 랜섬웨어는 시스템 파일을 제외한 모든 파일을 암호화하며 시스템 전체가 암호화된다면 복구가 어렵다고 경고하고 있습니다😀

출처

www.boannews.com/media/view.asp?idx=91708&page=1&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=91711&page=1&mkind=1&kind=1

www.dailysecu.com/news/articleView.html?idxno=114853

1. 개보위의 개인정보보호 연차보고서 - 국가보훈처·인사혁신처

(1) 국가보훈처

가. 개인정보보호 정책·제도 개선

국가보훈처는 국가보훈대상자의 예우 및 지원 보훈 정책을 추진하는 과정에서 개인정보보호를 위해 계속해서 규정과 정책을 개선해 나가고 있으며, 내부관리계획을 수립·시행하고 있습니다. 내부관리계획을 개정하여 개인정보처리시스템의 이행실태를 월 1회 점검하고 있으며, 개인정보의 수집을 최소화하기 위해 사업부서에서 사용 중인 개인정보 수집·제공 동의서 서식은 꼭 필요한 최소한의 개인정보만 수집하는지 검토하고 명확한 동의절차를 이행하여 재정비했습니다. 또한, 침해사고 대응절차 및 권리구제 절차, 개인정보 목적 외 이용·제3자 제공 절차서 개정 등 개인정보보호를 위한 관리적 제도 개선 활동을 수행했습니다.

나. 개인정보보호 관리체계 및 개인정보처리시스템 운영체계 강화

국가보훈처는 자체 사전 점검표를 활용하여 본부·소속기관·산하기관에 대해 총 3회 개인정보보호 관리실태 지도점검을 실시했습니다. 자체 내부관리계획과 개정사항 반영 여부, 개인정보의 기술적 보호 조치 준수, 개인정보파일의 관리절차 및 수집·활용의 적합성 여부를 검토했으며, 우수 사항 및 미흡 사항을 선정하고 관련 사항에 대한 담당자 교육을 실시해 각 기관의 실제 개인정보보호 업무 활동과 연계되도록 했습니다.

또한, 제대군인 전직지원시스템 개선 사업 추진 과정에서 개인정보 영향평가를 실시하여 개인정보보호 관리체계를 점검 및 개선하였으며, 안전성 확보를 강화하기 위해 포상심사관리시스템에 개인정보 접속기록관리솔루션을 설치하여 기술적 보호 수준을 제고했습니다. 아울러 통합보훈정보시스템의 고도화 사업을 통해 안전한 개인정보처리시스템 운영 기반을 갖추었습니다.

(2) 인사혁신처

가. 상시적 개인정보처리시스템 취약점 진단 체계 마련

인사혁신처는 운영 중인 32개 전체 시스템에 대해 체크리스트 기반의 연중 상시 취약점 진단 및 모의 침투훈련을 실시했습니다. 진단 대상은 인터넷망을 통해 서비스되는 18개 시스템과 14개 내부 업무시스템으로 총 132개의 취약점을 찾아 조치하는 등 적극적인 예방 활동을 통해 개인정보처리시스템 취약점을 악용한 정보 침해사고를 철저히 예방하고 있습니다.

나. 산하기관 개인정보보호 수준 제고를 위한 상호 협력 강화

2019년 1월부터 5월까지 소속기관과 산하기관을 방문해 개인정보보호 조치 강화를 위한 컨설팅을 실시했습니다. 아울러 5월에는 정형 개인정보에 비해 보호가 취약한 비정형 개인정보처리자인 영상정보처리기기 운영자를 대상으로 개인정보보호 컨설팅을 실시해 담당자의 전문성 향상을 위해 노력했습니다.

(3) 법제처

가. 동의권 행사를 위한 정책 개발

법제처는 '개인정보파일 정비 계획에' 따라 업무별 최소한의 개인정보 수집·이용·제공 및 정보제공 동의 내용에 대해 정보주체가 명확히 확인할 수 있도록 동의절차 이행사항을 점검하고 현행화를 통해 개인정보 주체의 자발적인 동의권 행사 기반 마련과 권리 보장을 위해 노력했습니다. 또한, 내부관리계획, 침해사고 대응 절차 등을 개정 및 보완하여 내부 개인정보보호담당자 등에게 배포하고 그 이행 여부를 지속적으로 점검했으며, 개인정보의 안전한 관리를 위한 기반을 조성했습니다.

나. 기술 지원체계 강화·

기관 내 구축·운영 중인 개인정보처리시스템에 대한 정기적인 점검과 개선 조치, 상시 모니터링을 통해 개인정보처리시스템의 안전한 이용 및 관리를 위해 노력했습니다. 법제처 내 전체 업무용 컴퓨터, 보조저장매체 등에 대한 보안점검 및 보호 조치를 통해 개인정보보호 실태를 정기 점검하고 기관 보안솔루션의 정책 적용으로 침해사고 방지 체계를 구축하여 개인정보 유·노출 방지 기능을 강화했습니다.

다. 개인정보보호 관리자, 담당자, 취급자의 역량 강화

법제처는 매년 개인정보보호 인식 제고를 위한 교육 계획을 수립하고 있습니다. CPO가 워크숍에 참석하여 교육을 이수하고, 개인정보 담당자가 전문 교육에 참석하는 등 개인정보보호 담당인력의 전문역량 강화를 위해 노력하고 있습니다. 또한, 전문교육 및 온라인 교육의 필수 이수와 개인정보의 위탁 관리·운영을 위해 위탁사업자의 교육을 수행했습니다. 그리고 전 직원 대상 자체 정기 특강을 통해 안전한 개인정보보호를 위한 홍보 및 교육을 실시했습니다.

(4) 식약처

가. 개인정보보호 정책 및 제도 개선

식약처는 최신 법령 및 행정안전부 고시에 맞춰 개인정보보호 내부규정을 2019년 2월 개정했습니다. 그리고 운영상 나타난 미비점을 개선·보완하기 위해 개인정보 처리방침, 개인정보처리시스템 재해·재난 위기대응 메뉴얼, 개인정보처리시스템 접근권한 관리방안을 개정하고 사이버 침해 대응체계 점검 및 모의 대응훈련을 실시했습니다.

나. 개인정보보호시스템 운영체계 강화

식약처는 내부관리계획에 따라 개인정보의 기술적·관리적 안전조치 이행실태를 점검하고 고유식별정보 처리 시 암호화하도록 조치했습니다. 또한, 개인정보보호시스템의 접근권한 관리 및 해당 기록의 3년 이상 보관 여부와 접속기록 6개월 보관·관리 여부를 점검하고 수행 업무 기록 및 접근권한 부여기록 등을 보완하였습니다, 정보파일 일제정비를 실시하여 보유하고 있는 개인정보파일에 대한 지속 운용 필요성·등록항목의 적정성 등을 검토하고 행안부 '개인정보보호 종합지원시스템'에 신규 파일을 등록했으며, 변경 사항은 현행화를 실시했습니다. 또한, 불필요한 개인정보파일을 삭제 및 암호화 등 보안 조치를 실시했으며, 정보주체의 권리 보장을 위해 개인정보파일에 대한 개인정보 수집 및 이용에 따른 동의절차의 적정성 여부를 점검했습니다. 현재 소관 업무 수행을 위해 필요한 최소한의 개인정보를 수집·이용하고 있으며, 개인정보 수집·이용 시 정보주체의 동의절차를 준수하고 있음을 확인할 수 있습니다.

식약처는 '식의약품안전 사이버안전센터'를 운영하여 본부, 소속기관, 6개 유관기관에 대해 모니터링을 하고 있습니다. 대국민 웹사이트의 개인정보 노출 진단을 실시하고 개인정보 필터링 솔루션을 상시 운영하고 있으며, 개인정보 침해 예방 활동을 강화하고 있습니다.

2. 내 정보 유출한 기업, 과징금 258원?

최근 5년간 유출된 우리나라 개인정보가 공공·민간·온라인 부문에서 6,414만 건에 달했으며, 이에 대한 솜방망이 처벌이 이뤄졌다는 분석이 나왔다고 합니다.😐

이 중 행정처분이 확정된 253회, 5,087만건에 대해 약 131억원의 과징금이 부과되었다고 합니다. 이것은 건당 평균 과징금이 258원 정도의 수준이라고 하네요😶

그리고 건당 평균 과징금이 100원 미만인 경우도 25건 존재 했으며, 전체 개인정보 유출 건수의 21%를 차지하는데 반해 부과된 과징금은 3억 3,510만원이라고 합니다.

놀라운 것은 개인정보 2,269,000건이 유출된 것에 대해 건당 편균 과징금이 5.7원만 부과된 사례도 있다고 합니다.

개인정보 유출 사고는 지난 2017년부터 증가하고 있으며 2017년에 비해 2019년도에는 3배 이상 증가했다고 합니다. 또한 올해는 지난달까지 994만건의 개인정보가 유출되었다고 합니다.😥

실제 우리나라 개인정보보호법 상 과징금은 위반 행위와 관련 매출액의 3%에 불과한 점을 보면서 전문가들이 솜방망이 처분이며 개인정보 유출이 지속되는 주요 원인이라고도 지적했다고 합니다.😀

특히, 유럽은 GDPR을 통해 심각한 법 위반 시 전세계 연간 매출액의 4%에 해당하는 과징금을 부과하고 있으며, 이에 따라 영국은 약 50만명의 개인정보를 유출한 영국항공에 과징금 2,744억원을 부과한 사례가 있다고 합니다.😁

3. 파이브 아이즈, 암호화 기술에 대한 백도어 요구

파이브 아이즈(Five Eyes)라고 불리는 동맹 국가인 미국, 영국, 호주, 캐나다, 뉴질랜드가 "암호화 된 메신저 앱이 테러리스트들과 아동 납치범들의 활동을 돕는다"는 내용의 성명문을 발표했으며, 이에 일본과 인도도 합세했다고 합니다.😀

왓츠앱, 시그널, 페이스북 메신저 등 여러 앱이 지적되었으며, 이는 메시지의 발신자와 수신자 외에는 그 누구도 메시지를 볼 수 없는 방식으로 운영된다고 합니다. 또한 개발사 자신들 조차도 내용을 볼 수 없기 때문에 사법 기관에서 수사를 목적으로 정보를 요청해도 제공할 수가 없다고 합니다.🙄

이 국가들은 "사용자들의 프라이버시를 보호하는 게 중요한 일이며, 그것을 위해 암호화 기술을 활용하고 있다는 것을 충분히 이해하고 있다. 프라이버시가 중요한만큼 공공의 안전도 중요한 일이며, 그 균형성을 유지하는데 힘을 써야함도 잊지 말아야 한다. 페이스북과 같은 주요 개발사가 긴급 상황을 위한 백도어를 갖추어야 한다"라고 얘기했다고 합니다.

세계 곳곳의 정부 기관 및 수사 기관들은 암호화 기술에 백도어를 지속적으로 요청해 왔지만 이는 프라이버시 침해라며 계속해서 저항해왔다고 합니다. 이와 같은 문제로 FBI와 애플이 법정에서 부딪혔는데, FBI가 최종 판결 전에 아이폰 해킹에 성공함으로써 사건이 종결된 사례가 있다고 합니다.😁

최근 유럽연합 또한 암호화 기술에 대한 백도어가 필요하다는 사실을 피력하기 시작했으며, 전자프런티어재단(EFF)이 입수한 문건에 의하면 유럽연합 지도부에서 "암호화 기술을 둘러 싼 공론의 장에 적극 개입하여 프라이버시 쪽으로 쏠려 있는 여론의 균형을 맞추라"는 메모가 돌아다닌다고 합니다.😀

특히, 텔레그램 같은 경우는 현재 다크웹을 대체할 정도로 범죄자들의 인기 높은 통신 수단이 되고 있으며, 다른 암호화 앱들도 범죄자들의 소굴로 변모하는 중이라고 합니다.💢

이번 파이브 아이즈와 일본, 인도의 백도어 촉구 성명은 법적 효력이 존재하지 않으며, IT기업은 늘 그랬듯 이를 간단히 무시할 가능성이 높을 것이라고 합니다. 하지만 이들이 완전히 보안을 무시하는 것은 아니며, 각기 다른 방법으로 방어책을 마련하고 있다고 하네요.😀

출처

www.boannews.com/media/view.asp?idx=91694&page=1&mkind=1&kind=2

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29592&key=&dir_group_dist=&dir_code=&searchDate=

www.boannews.com/media/view.asp?idx=91697&page=1&mkind=1&kind=

1. HEH가 발견된 새로운 P2P 봇넷

새로운 P2P 봇넷이 발견되었습니다. 이는 IoT 장비들의 텔넷 서비스를 장학하며 이름은 HEH라고 합니다. 기존 IoT 봇넷이 장비 자체에 큰 영향을 미치지 않았지만 이번 HEH은 장비 내 모든 데이터를 완전히 삭제하는 기능을 가지고 있다고 합니다😒

HEH는 서버, 라우터 등 여러 IoT 장비에 Brute force Attack을 실시한다고 합니다. 특히 포트 23번과 2323번이 인터넷에 노출된 장비들이 주요 공략 대상이라고 합니다. 멀웨어 자체는 GO 언어로 작성되었으며, 감염된 장비들은 사유 프로토콜을 통해 이뤄진다고 하네요.

HEH는 총 3개의 요소로 P2P 모듈, 증식을 위한 모듈, 로컬 HTTP 서비스로 이루어져 있다고 합니다.😊

HEH는 다음과 같은 진행으로 이루어진다고 합니다👀

• 장비 감염 후 진행되는 다수의 서비스들 종료
• HTTP 서버 시작 (세계 인권 선언('Universal Declaration of Human Rights)'라는 7가지 언어로 나타난다고 합니다.)
• 봇넷에 연결되어 있는 피어로부터 다른데이터를 받아와 기존 데이터들을 덮어씌움 (데이터 삭제)

HEH 봇넷은 다음과 같은 이유로 최근 등장하고 있는 멀웨어들 사이에서 나타나는 유행을 따르고 있으며, 아직 개발 단계에 있을 것이라고 합니다.

• SSH를 표적으로 하고 있음
• GO 프로그래밍 언어 사용

특히 GO 프로그래밍 사용은 이전 IoT 봇넷의 대표 주자였던 미라이를 비롯해 여러 멀웨어들이 C와 Perl, C++로 작성되었다는 것과 차별화 된다고 합니다. 올해만 해도 GO 언어로 만들어진 멀웨어가 자주 발견되고 있으며 SSH를 통해 구성되는 P2P 봇넷도 자주 등장하고 있다고 하네요😐

물론 GO 언어를 사용한다고 해서 방어 체계가 완전히 뒤집히는 것은 아니며, 기존 솔루션들로도 어느 정도 대처가 가능하다고 합니다. 그리고 현재까지는 HEH가 커다란 위협 요소는 아니라고 하지만 경계심을 늦춰서도 안된다고 합니다😀

2. 공공분야 전자서명 확대 도입을 위한 PASS 인증서 선정

정부가 추진 중인 '공공분야 전자서명 확대 도입을 위한 시범사업' 후보자로 통신3사와 핀테크 보안기업 ATON이 운영하는 패스 인증서가 1차 선정되었다고 합니다.😀

지난 5월에 개정된 전자서명법이 올 해 12월 10일 시행될 예정임에 따라 공인인증서 외 민간 전자서명 서비스를 공공웹사이트에 조기 도입하여, 변화를 체감할 수 있도록 추진되었다고 합니다. 이에 내년 1월부터 여러 정부 사이트 등에서 공인인증서 외에 PASS 인증서를 이용할 수 있을 것이라고 합니다.😀

민간 전문가로 구성된 평가 위원회에서 여러 주요 평가항목으로 심사를 진행했으며, 12월까지 관리적·물리적·보안수준 등을 확인하기 위한 현장점검을 진행하고 최종심사를 거쳐 내년 1월부터 공공웹사이트에 PASS 인증서를 적용한다고 합니다.

PASS 인증서는 통신사의 명의자 정보를 확인할 뿐만 아니라, USIM 정보까지 추가로 확인하여 보안성 측면에서 높은 평가를 받았으며, 실제 서명 행위자가 맞는지 검증하는 로직이 반영되어 있다고도 합니다.😁

3. 안티바이러스 제품 및 시스코 제품 취약점 주의, 최신 버전 업데이트 필수

안티바이러스 제품과 시스코 제품에서 취약점이 다수나왔으며, 최신 버전으로 업데이트 할 것을 권고하고 있습니다. 다음은 취약점 정보입니다.😁

안티바이러스 제품 취약점

• Kaspersky(카스퍼스키) VPN Secure Connetion의 설치 엔진과 Virus Removal Tool 에서 발생하는 임의 파일 삭제 취약점(CVE-2020-25043, 25044)
• Kaspersky Security Center와 Web Console의 설치 엔진에서 DLL 하이재킹으로 인해 발생하는 권한상승 취약점(CVE-2020-25045)
• McAfee Endpoint Security for Windows에서 실행 파일에 대한 검증이 미흡하여 발생하는 권한상승 취약점(CVE-2020-7250)
• McAfee Total Protection Trial의 설치 엔진에서 실행 파일에 대한 검증이 미흡하여 발생하는 권한 상승 취약점(CVE-2020-7310)
• Symantec의 Norton Power Eraser에서 발생하는 권한상승 취약점(CVE-2019-19548)
• Fortinet의 FortiClient for Windows online 설치 엔진에서 DLL 하이재킹으로 인해 발생하는 임의코드 실행 취약점(CVE-2020-9290)
• Check Point의 Endpoint Security Client, Endpoint Security VPN에서 실행 파일에 대한 검증이 미흡하여 발생하는권한상승 취약점(CVE-2019-8452)
• Trend Micro HouseCall for Home Network에서 DLL 하이재킹으로 인해 발생하는 권한상승 취약점(CVE-2019-14688, 19688, 19689)
• MS Window Defender에서 임의경로에 있는 파일을 삭제할 수 있는 권한상승 취약점(CVE-2019-1161)

시스코 제품 취약점

• Cisco Webex Teams client에서 DLL 하이재킹으로 인해 발생하는 임의코드 실행 취약점(CVE-2020-3535)
• Cisco Identity Services Engine의 Web Interface에서 접근통제가 미흡하여 보안기능을 우회할 수 있는 취약점(CVE-2020-3467)
• Cisco Video Surveillance 8000 Series IP Cameras에서 Cisco Discovery 프로토콜 패킷에 대한 검증 기능이 부재하여 발생하는 임의코드 실행 취약점(CVE-2020-3544)

취약점들은 최신 버전의 업데이트로 조치할 수 있으니 최선 버전 업데이트를 꼭 하시길 바랍니다.😁

출처

www.boannews.com/media/view.asp?idx=91678&page=1&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=91679&page=1&mkind=1&kind=3

www.dailysecu.com/news/articleView.html?idxno=114688

www.dailysecu.com/news/articleView.html?idxno=114757

1. 이란의 해커들이 제로로그온 취약점 주시

마이크로소프트(MS)에서 여러 게시글과 트윗을 통해 이란 해커들의 공격에 대해 주의하라고 했습니다. 머디워터(MuddyWater) 또는 머큐리(Mercury)라고 불리는 단체이며, 제로로그온 취약점을 노린다고 하네요😀

제로로그온(CVE-2020-1472)은 넷로그온(Netlogon)에서 발견된 권한 상승 취약점으로서, 윈도우 클라이언트 인증 아키텍처(Windows Client Authentication Architecture)에서 활용되는 일종의 인증 메커니즘으로, 로그온 프로세스에 활용된다고 합니다.

제로로그온을 익스플로잇하는데 성공할 경우 네트워크 내에서 연결된 장비로 위장할 수 있게 됩니다. 그런 후 그 장비에서 처리된 것처럼 원격 프로시저 호출을 할 수도 있게 된다고 합니다.

제로로그온 공격의 전제조건은 "공격자가 표적이 되는 네트워크에 접속할 수 있는 것" 하나라고 합니다. 그래서 미국의 연방 정부 기관은 제로로그온 업데이트 적용 권고를 하였으며, 국토안보부 내 사이버 안보 담당 부서인 CISA에서 제로로그온 패치를 지시했다고 합니다.

오늘 MS에서 제로로그온을 익스플로잇 하려는 시도가 증가하기 시작해다고 발표했습니다. 그리고 다음과 같은 언급을 하기도 했답니다.😀

"한 공격자는 셰어포인트에서 발견된 CVE-2019-0604를 같이 익스플로잇 해서 웹셸을 심는 패턴을 보였습니다.

이를 통해 공격 지속성을 확보하고 코드를 실행하기도 했습니다."

- MS, 20.10.08 발표문

MS가 공격자를 추적한 결과 웹셸 설치 후 코발트 스트라이크를 기반으로 만들어진 페이로드를 배포하는 것을 발견할 수 있었다고 합니다. 이 페이로드를 가지고 네트워크의 외곽선을 탐구하고, 제로로그온 익스플로잇이 가능한 도메인 제어기들을 발견했다고 합니다.🙄

MS는 제로로그온 익스플로잇에 관한 추가 지표 정보를 공개하기도 했답니다. 또한 현재까지 발견된 익스플로잇 코드도 공유했다고 하네요.😀

2. 부산항만공사, 개인정보보호의 날 운영

부산항만공사(BPA)가 개인정보보호에 관심을 높이고 더 철저하게 보호 및 관리하기 위해 10월 6일을 '개인정보보호의 날'로 지정해 운영한다고 합니다.😀

최근 다양한 분야에서 개인정보 유출사고가 발생하면서 개인정보보호의 중요성이 날로 강조되고 있으며, 코로나 시대 비대면 업무가 늘어나면서 더욱 위험이 증가할 것이라는 전망에 실시했다고 합니다🎈

BPA는 다음과 같은 활동을 했다고 합니다.

• 개인정보보호를 강조하는 홍보물 사내 및 업무망에 게재
• 비대면 회의
• 임직원 참여 퀴즈 행사
• 등등

이번에 처음이지만 앞으로 지속해서 옌례행사로 관리하겠다고 합니다.😁

3. 맥 OS에 탑재된 보안 T2 칩에서 심각한 취약점 발견

맥 OS와 T2 보안 칩을 탑재한 애플 장비들이 취약하다는 주장이 나오고 있습니다. 취약점을 공략하게 된다면 애플 장비의 루트에 도달할 수 있다고 합니다. 애플에서는 아직 패치를 내놓지 않았으며, 일부 보안전문가들은 패치가 불가능하다는 지적이 나오고 있다고 합니다.🤨

이는 보안을 강화하기 위해 애플이 만든 칩의 2세대 제품인 T2칩이 원인이라고 합니다. 이 칩으로 Touch ID가 보호되며, 시큐어 부트 및 암호화 스토리지 기능이 제공됩니다. 2018 ~ 2020년 사이에 출시된 맥 전부 T2 칩을 탑재하고 있다고 합니다.

익스플로잇하기 위해선 장비에 물리적으로 접근할 수 있어야 한다고 합니다. 물론 장비에 접근하기는 어렵겠지만, 이런 조건이 성립되면서 공격자가 T2 익스플로잇에 성공하면 루트에 접근해 OS 조작하거나 임의의 커널 확장 프로그램 설치 등 다양한 공격이 가능하다고 합니다.😥

이 취약점을 발견한 니엘즈(Niels)라는 보안 전문가는 "애플에 여러 차례 연락을 취했지만 아무런 응답을 받을 수 없었으며, 애플을 다루는 뉴스 매체들에도 취약점 정보를 보냈지만 반응이 없었다"며 취약점 공개 이유에 대해 설명했다고 합니다.😨

T2 칩 보안 문제는 2가지 특징이 조합되어 발현되는 것이라고 합니다.

• T2 칩은 A10 프로세서를 기반으로 하고 있다. 즉, 이전에 공개된 패치가 불가능한 버그인 부트롬(bootROM) 취약점의 영향권 아래 있다는 뜻이다.
• 지난 8월에 공개된 블랙버드(blackbird) 취약점이 있는데, 이는 시큐어 엔클레이브 프로세서(Secure Enclave Processor, SEP)를 공격하게 해주는 취약점으로, T2 칩의 보안 기능 일부를 우회할 수 있게 해준다.

니엘즈는 공격자가 물리적으로 접근하여 미리 제작한 악성 USB C 케이블을 꼽아 맥 OS 장비의 부팅 과정에 개입해 자동으로 익스플로잇할 수 있다고 말했으며, 익스플로잇에 성공하게 된다면 루트에 접근할 수 있고, 커널 실행 권한도 가질 수 있다고 언급했다고 합니다❗

다만 파이어폴트(FireVault2)를 이용해 디스크 암호화를 하고 있다면 공격자가 디스크에 바로 접근은 할 수 없다고 합니다. 그러나 T2 펌웨어에 키로거를 주입하면 비밀번호와 같은 민감한 정보를 가져가는게 가능하다고 합니다.

이에 니엘즈는 해당 취약점에 속하는 제품은 애플 컨피겨레이터를 사용하여 T2 칩에 브리지OS를 재설치하라고 권장했다고 합니다.😀

4. 프라이버시를 강조했던 유럽연합, 암호화 약화를 시도

이전에 있었던 FBI와 애플의 법정 공방으로 불거진 '암호화 기술 무력화' 시도가 유럽으로까지 옮겨갔다고 합니다. 프라이버시를 위해 암호화 기술을 비공개로 유지해야 한다와 테러 방지나 수사를 위해 정부 기관에게는 복호화 기술이나 백도어 제공해야 한다는 입장의 차이에서 나온 것이라고 합니다.😀

유럽연합은 시민들의 프라이버시를 지키기 위해 노력한 것처럼 보여왔는데, 지난 6월부터 '반 암호화(Anti-Encryption)' 규정을 만들기 위해 움직이기 시작했다고 합니다. 한 웨비나에서 "아동을 대상으로 한 성적 학대를 근절시키기 위해 기술적인 방안을 마련하는데 암호화 기술이 방해가 된다"고 언급했다고 합니다.

이후 외신인 폴리티코가 유출된 문서를 하나 공개했다고 합니다. 이는 암호화를 깨지 않고 암호화된 데이터에 정부 요원들의 접근을 가능하게 하는 것에 관한 내용을 담고 있었다고 하네요, 그 중 하나가 '클라이언트 스캐닝'이라는 것으로 전자프런티어재단(EFF)는 "백도어의 또 다른 이름"이라고 주장하고 있다고 합니다. 이는 중국 정부가 위책과 같은 플랫폼에서 공유되는 정치적 의견들을 모니터링할 때 쓰는 방법이라고 언급했다고 하네요.😮

또한 비영리 단체인 스테이트워치(Statewatch)는 '암호화를 통한 보안, 암호화를 극복한 보안(Security through Encryption and Security Despite Encryption)’이라는 문건을 공개했다고 합니다. 이는 암호화에 대한 유럽연합의 주장에 동의해달라는 촉구가 담겨 있다고 합니다. EFF는 "아무리 아동 범죄 근절을 위한 것이지만, 암호화를 약화시키는 것이 정치적으로 힘든 싸움일텐데 유럽연합이 뭔가를 단단히 준비하고 있는 듯 하다"라고 언급했다고 합니다.😕

더불어 EFF는 "수사 권력을 명목으로 한 암호화 약화의 움직임에도 여러 국가에 이어 유럽연합까지 가세하면서 본격적인 싸움이 시작된 듯하다", "앞으로 암호화 기술에 대한 백도어 요구하는 정부 기관의 목소리가 정상적이며 합법적이라는 결론이 내려지지 않도록 막아야 한다"고 주장했다고 합니다.😁

출처

www.boannews.com/media/view.asp?idx=91618&page=1&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=91624&page=1&mkind=1&kind=2

www.boannews.com/media/view.asp?idx=91640&page=1&mkind=1&kind=1

www.boannews.com/media/view.asp?idx=91643&page=1&mkind=1&kind=1