Security Study/Securiy News

20.09.18 ( 개인정보보호 연차보고서 - 개인정보보호 관련 법·제도 개선, 백엔드 접근 기술 'h2c smuggling', MrbMiner 변종 악성코드 주의 )

HelloMG 2020. 9. 18. 10:50

1. 개보위의 개인정보보호 연차보고서 - 개인정보보호 관련 법·제도 개선

 

이번엔 개인정보보호법에 관련된 법·제도에 대해 알아봅시다.

(1) 데이터 3법 개정

 

가. 개정 경과

 

데이터 경제 활성화 요구가 확산되면서 2018년에 발의된 데이터 3법의 통과를 위한 노력이 시작되었다고 합니다. 행정안전부, 방송통신위원회, 개인정보보호위원회 등 시민사회와 산업계의 우려를 해소하기 위해 소통과 협력을 추진하였으며, 데이터의 안전한 활용과 개인정보보호의 조화를 위한 "개인정보보호법" 개정 작업이 완료되어 8월 5일에 시행되었습니다.

 

"개인정보보호법" 개정안의 의결을 전제로 유사 중복되었던 "정보통신망법"의 내용들을 삭제하였으며, "개인정보보호법"과 상이하거나 정보통신망법에만 있는 규정은 특례로 이관하는 등의 내용을 담은 "정보통신망법" 개정안도 8월 5일부터 시행되었습니다.

 

그리고 신용정보법 또한 8월 5일에 시행되었습니다. 이는 금융건 빅데이터 활용의 법적 근거가 마련되었고, 마이데이터 등 새로운 혁신 분야 기업의 출현 기반도 마련되었다고 합니다.

 

나. 주요 개정 내용

 

첫째로 "개인정보보호법"의 주요내용을 알아보도록 합시다.

- 개인정보 판단기준 명확화(제2조 제1호 개정; 제58조의2 신설)

- 데이터 활용을 위한 가명정보 제도화(제2조 제1호 개정, 제28조의2 신설)

- 수집목적과 합리적 관련 범위 내에서 활용 확대(제15조, 제17조 개정)

- 가명정보 간 결합 근거 마련(제28조의3 신설)

- 개인정보처리자의 책임성 강화(제28조의4 신설)

- 개인정보보호 추진체계 효율화(제7조 개정 등)

개인정보와 관련된 법률이 "개인정보보호법"으로 일원화 되면서 적용 법률에 대한 혼란, 중복규제 등 기존의 문제들을 해결할 수 있을 것으로 보인다고 합니다. 또한 가명 정보 활용에 대한 데이터 활성화도 이루어지도록 내용을 추가하였네요 :D

 

둘째로 "정보통신망법"은 개인정보보호 관련 조항이 모두 "개인정보보호법"의 특례 조항으로 이관되고 "정보통신망법"에서는 삭제되어 개인정보보호 관련법 및 관리 체계를 일원화했습니다.

 

셋째로 "신용정보법"의 주요 내용을 알아보도록 합시다.

- 빅데이터 분석·이용의 법적근거 마련

- 금융 소비자의 권리를 보장하고 개인정보보호를 강화

- 개인정보보호 추진체계 효율화

- 금융 분야 마이데이터 산업 도입

 

(2) 기타 정보통신 분야 개인정보보호 법령 정비

 

방송통신위원회는 개인정보 자기결정권 보장을 강화하고 정보통신서비스 제공자 등의 책임성을 강화하기 위해 정보통신망법 시행령을 개정했습니다.

- 정보통신망법 시행령 제16조의2를 신설해 정보통신서비스 제공자 등의 자율적인 개인정보보호활동의 촉진 및 지원을 하도록 하였으며, 이를 통해 개인정보보호 활동 계획의 이행결과 평가 등을 할 수 있는 근거를 마련했다고 합니다.

- 일정 규모 이상의 국외사업자에게 국내대리인 지정을 의무화하도록 정보통신망법 제32조의5를 신설했다고 합니다. 이에 국내 대리인 지정제도의 차질없는 시행을 위해 국내 대리인을 지정해야하는 의무 대상 사업자 세부기준을 다음 "정보통신망법" 시행령 제17조의2를 신설했습니다.

- 방통위는 정보통신서비스 제공자 등이 개인정보보호 법령 위반으로 손해를 입힌 경우 손해배상 책임을 이행을 위해 조치를 하도록 "정보통신망법" 제32조의3이 신설됨에 따라 개인정보보호 손해배상책임보험 등에 가입 또는 준비금을 적립해야 하는 정보통신서비스 제공자 등의 범위, 기준을 등을 정하는 "정보통신망법" 시행령 제18조의2를 신설했습니다.

- 방통위는 "정보통신망법" 시행령 제19조의2를 신설해 14세 미만 아동의 개인정보 수집, 이용, 제공을 위해 법정대리인이 동의햇는지 확인하는 방법을 활용하도록 했습니다.

 

(3) 정보기술 환경 변화에 따른 제도 개선

 

행정안전부는 개인정보의 유출 및 오남용을 방지하기 위해 "개인정보의 안전성 확보조치 기준"을 개정했습니다.

 

개인정보처리시스템의 접속기록에 대한 관리기준을 강화했는데, 개정된 내용에 따르면 개인정보처리자는 다음과 같이 이행하여야 한다고 합니다.

- 접속기록 보관기간 연장( 6개월 -> 1년 )

- 점검기준 강화( 반기별 -> 월별 )

- 접속기록 항목을 구체화해 저장 및 보관

 

(4) 주민등록번호 처리와 관련된 법률 등의 제개정 현황

 

2019년 주민등록번호 처리 근거와 관련하여 "금융혁신지원 특별법 시행령" 등 4개 대통령령이 제정되었고, "조세특례제한법" 등 9개 법률 "소득세법 시행령" 등 67개 대통령령 등이 개정되었다고 합니다 :D

 

 

2. 새로운 백엔드 접근 기술 'h2c smuggling'

 

파괴력이 높은 새로운 유형의 해킹 공격인 h2c smuggling이 발견되었다고 합니다. 이를 발견한 보업업체 비숍 폭스의 제이크 밀러는 다음과 같이 설명했다고 합니다.

 

"HTTP 요청을 '밀수'할 수 있게 해주는 공격이다. h2c는 HTTP/2가 HTTP/1.1 Upgrade 헤더를 통해 발동될 때

성립되는 프로토콜을 가르킵니다. 평문으로 통신을 한다는 특징을 가지고 있죠. 공격자가 h2c를 사용해

중간 서버 또는 프록시 서버로 요청을 보내면 서버 접근 제어 장치들을 피해갈 수 있게 됩니다.

이를 성공하면 내부 헤더들을 마음대로 조작하거나 내부 네트워크의 엔드포인트에

접근할 수 있습니다."

 

- 제이크 밀러, 비숍 폭스

h2c smuggling 공격의 위험성에 노출된 조직들이 꽤나 많은 수준이라고 주장했다고 합니다. 그리고 기술적인 관점에서 보더라도 h2c smuggling의 위험성은 모든 종류의 프록시 서버에 잠재되어 있다고 합니다.

 

이에 대한 해결책으로 프록시 의존도가 높은 애플리케이션을 사용하고 있다면, 임의의 업그레이드(HTTP/1.1 Upgrade) 헤더들을 포워딩 하지 않도록 설정하라고 설명했습니다.

 

그리고 h2c smuggling은 현재까지 한번도 언급되거나 발견된적이 없는 기법이라고 설명했습니다. 즉, 실제 해커들이 이미 활용하고 있는지 아닌지 확인할 방법이 아직은 없다는 것이죠.

 

h2c 공격을 실행하려면 두 가지 전제 조건이 마련되어 있어야 한다고 합니다.

 

- 설정 오류

- h2c 업그레이드를 지원하는 백엔드

 

문제가 되는 것이 상당수의 프록시 서비스가 디폴트 설정을 통해 h2c 헤더들을 전달하도록 만들어져 있다는 것입니다. 하지만 이 공격을 실행시키는게 쉬운 일은 아니라고 설명을 했다고 합니다. 새로운 유형의 기법이니 한번은 봐두는 것이 좋을 것 같네요 :D

 

비숍 폭츠에서 이 기법에 대해 깃허브에 기록해 두었다고 합니다 :D

https://github.com/BishopFox/h2csmuggler

 

 

3. MrbMiner 변종 악성코드 주의

 

시스템 해킹 및 가상화폐 채굴 악성코드를 설치하기 특정 해커 그룹이 MSSQL 서버에 무작위 대입 공격을 실행했다고 중국 정보보안 업체인 텐센트시큐리티가 밝혔다고 합니다. 그리고 이 악성코드가 'MrbMiner'이라고 합니다.

 

이 악성코드는 C2 서버에서 리눅스 서버 및 ARM 기반 시스템을 공격하도록 설계되었다고 합니다.

 

텐센츠 측에 의하면 해커팀은 크로토마이너를 설치하기 위해 SQL 서버의 취약한 비밀번호를 뚫고 칩입했으며 MSSQL 서버 수천대를 공격하기 위해 봇넷을 사용했다고 합니다. 그리고 이어 타깃 시스템에 C#으로 작성된 트로이목마인 assm.exe를 드롭한 후 모네로 마이닝 트로이목마를 다운로드 및 실행했다고 합니다.

 

 

 

 

 

 

출처

www.boannews.com/media/view.asp?idx=91186&page=2&mkind=1&kind=2

 

[개인정보보호 연차보고서 톺아보기-6] 개인정보보호 관련 법·제도 개선

2020 개인정보보호 연차보고서에는 △개인정보보호 관련 법·제도 개선 △국제적 환경 변화에 따른 대응 △국제협력 강화라는 세 가지 측면을 중심으로 개인정보보호 정책 및 제도 개선 사항에 �

www.boannews.com

www.boannews.com/media/view.asp?idx=91255&page=1&mkind=1&kind=1

 

파괴력 높은 백엔드 접근 기술 ‘h2c 스머글링’, 새롭게 발견돼

새로운 유형의 해킹 공격 기법이 발견됐다. 이를 발견해 보고서를 발표한 보안 업체 비숍 폭스(Bishop Fox)의 제이크 밀러(Jake Miller)는 “대단히 파괴적인 공격”이라고 묘사한다. 그리고 이 공격 ��

www.boannews.com

www.dailysecu.com/news/articleView.html?idxno=113825

 

시스템 해킹과 가상화폐 채굴용 MrbMiner 변종 악성코드 주의 - 데일리시큐

시스템 해킹 및 가상화폐 채굴 악성코드를 설치하기 특정 해커 그룹이 MSSQL 서버에 브루트포싱 공격을 실행했다며 중국의 정보보안 기업 텐센트시큐리티가 밝혔다. 공격에 사용된 악성코드 이��

www.dailysecu.com