kcs 로고

News Room

뉴스룸

각종 이슈부터 꼭 필요한 정보까지!
한국기업보안의 소식과 뉴스를 알려드립니다.

  • 보도자료
  • 기사

SCROLL

NEWS ROOM

KCS 뉴스룸

  • 모바일 웹서비스 첫 국제인증서 적용 "금융 사기 꼼짝마"

    개인 고객을 가장 많이 보유한 국민은행이 보이스피싱과 한판 승부를 벌이고 있다. 그 첨병에는 e-뱅킹사업부, IT보안관부, 스마트 금융부가 있다. 이들 삼총사는 날로 첨단화, 지능화되는 보이스피싱과 피 말리는 전쟁을 펼치고 있다.

    국민은행 최근 금융권 최초로 온라인 안전성을 검증하는 ‘국제 인증서(EV-SSL)’를 전체 인터넷 서비스와 스마트폰을 이용한 모바일웹 서비스에 적용했다. 윈도우 익스플로러 7.0 이상의 버전을 사용할 경우 홈페이지에 접속한 고객의 주소창은 녹색으로 표시되고 아이폰이나 안드로이드폰을 통해 접속할 경우 화면에 자물쇠 그림이 표시되는데 이런 아이디어가 바로 이들 부서에서 나왔다.

    리스크 관리란 본래 100번 잘 했을때의 칭찬보다 한 번의 사고가 발생했을 때 쏟아지는 비난을더 많이 감수해야 하는 업무다.

    스마트 기기 시대 흐름에 발맞춰 프로그램 개발도 소홀할 수 없는 상황에 ‘피싱 전담반’ 역할까지 하느라 정신없지만 금융소비자들의 피해를 최소화하기 위한 노력을 끊임없이 하고 있다.

    스마트금융부에서는 피싱사이트와 구별될 수 있도록 진짜 은행 홈페이지 주소창을 녹색으로 표시하거나, 피싱방지 개인화이미지, 이용PC지정서비스, 일회용비밀번호(OTP), 전화승인서비스 등의 보안서비스를 시행하고 있다.

    IT보안관리부에서는 국민은행 홈페이지 해킹 방지를 위해 시스템적인 부분을 점검하고, 준법지원부에서는 피싱피해로 인해 비정상적인 송금 거래 등이 발생하는 계좌를 상시 모니터링해 피해 예방에 주력하고 있다.

    이동균 e-뱅킹사업부 차장은 “e-뱅킹사업부에서는 피싱사이트 홈페이지 발견 즉시 한국인터넷진흥원의 인터넷침해대응센터에 차단을 신청해 고객이 피싱사이트에 접속하지 않도록 미연에 방지하고 있다”고 설명했다.

    특히 국민은행은 정보보호 예산을 금융권 최대 규모인 매년 300억원 이상 투자하고 있다. 금융권 최초로 IT전분야에 걸쳐 정보보호 ‘국제인증 ISO27001’을 획득한 데 이어 ‘IT서비스관리부문 ISO20000’과 ‘재해복구분야 BS25999’도 인증 받아 업계 최초로 IT국제인증 트리플 크라운(Triple Crown)을 달성한바 있다.







    [기사전문보기]

    2012-05-17

  • SSL암호화, 이제는 대중화가 필요하다

    지난해 SK커뮤니케이션즈 해킹사태 이후 많은 인터넷서비스업체들은 보안강화를 위해 SSL암호화를 도입하고 있는 추세다.

    SSL암호화는 웹브라우저와 서버간 데이터를 안전하게 주고받기 위한 표준 프로토콜이다. 네츠케이프가 개발했으며 모든 웹브라우저 개발업체들이 이를 사용하고 있다.

    SSL암호화를 웹에 적용시키면 HTTPS로 귀결된다. HTTPS는 SSL 서브 계층에서 사용자 페이지 요청을 암호화, 복호화하는 프로토콜이다.

    ‘HTTPS’로 접속되는 사이트들은 모두 SSL암호화를 사용하고 있다고 보면 된다. HTTPS는 데이터를 전달할 때 공개키와 비밀키에 기반한 암호화/복호화 과정이 있어 데이터를 주고받을 때 안전하다.

    미국 페이팔이나 구글은 사이트전체에 SSL암호화를 적용했다. 페이스북이나 트위터는 사용자의 필요에 따라 이를 적용할 수 있도록 했다.

    반면 국내 주요 포털들은 로그인시에만 SSL암호화를 사용하고 있다. 사용자의 아이디와 패스워드 탈취만은 막겠다는 의도다. SSL암호화를 아예 적용하지 않은 사이트도 부기지수다.

    과거 페이스북은 사용자가 로그인시에만 HTTPS를 사용했다.

    그러나 마크 저커버그 페이스북 최고경영자는 “로그인시에만 HTTPS를 적용하는 것은 매우 위험한 생각이다. HTTPS이 미적용된 상황에선 로그인 후 페이스북을 사용하면서 주고받는 메시지를 탈취당할 수 있기 때문이다”라고 말하며 전 영역에 SSL암호화를 적용했다.

    이는 포털사들의 메일서비스에도 그대로 적용된다. SSL암호화를 통해 로그인 정보는 보호받을 수 있지만 이메일을 확인하거나 쓰는 동안 동일한 네트워크의 다른 사용자가 이를 손쉽게 가로챌 수 있기 때문이다.





    [기사전문보기]

    2012-05-11

  • 국민은행 피싱사이트 주의!...‘https://’와 ‘녹색창’ 확인해야

    피싱사이트, https:// 시작 않고 바로 보안서비스 페이지로 접속 유도

    [보안뉴스 김정완] 최근 SMS 문자를 통해 우리은행, 농협 등 은행 사이트를 사칭한 피싱사이트 사기 사례가 지속적으로 발생하고 있다. 이러한 가운데 KB국민은행의 가짜 홈페이지를 통해서도 개인정보와 금융정보 탈취를 시도하고 있어 이용자들의 각별한 주의가 요구된다.

    최근 발견된 이번 피싱사이트(www.bankqwkb.com)는 SMS 문자나 이메일로 접속을 유도하는데, 기존 금융권의 피싱사이트들처럼 메인 화면을 모방하지 않고, 접속 시 인터넷뱅킹 보안서비스 페이지를 바로보여준다.

    보안서비스 페이지에서 보안승급바로가기를 클릭하면 개인정보를 위한 이용자 동의사항을 보여주지만 동의 체크란은 없고, 고객의 개인정보보호를 위해 실명확인제를 실시하고 있다며 이름과 주민등록번호를 요구한다. 특히, 이 피싱사이트에서는 이름과 주민등록번호를 명확히 기재하지 않으면 다음 페이지 이동이 안되고, 지속적으로 실명을 기재하도록 하고 있다. 이어 실명확인이 되면, 보안카드 전체번호를 요구하고 있다.

    이에 KB국민은행은 안전한 인터넷뱅킹 이용을 위해 KB국민은행 홈페이지 주소(www.kbstar.com)를 반드시 확인하고 공인인증기관으로부터 확인된 홈페이지인지 체크할 것을 당부했다.




    [기사전문보기]

    2012-05-07

  • [개인정보, 안전하게 잠그셨습니까] 30일부터 단속 시작 '귀사는?'

    [김관용기자, 김수연기자] '귀사의 개인정보는 안전하십니까'

    개인정보의 유출과 도용을 막기 위해 지난 해 9월30일부터 시행된 개인정보보호법이 마침내 본격 시행된다. 이달 29일 6개월 간의 계도기간이 종료되고 오는 30일부터는 본격적인 정부 단속까지 시작되며 개인정보에 대한 철저한 관리 감독이 예정돼 있기 때문이다.

    개인이나 사업자들은 이에따라 개인정보보호법의 내용과 관리 지침을 잘 숙지하고 보유한 개인정보를 철저하게 관리 감독하여 단속에 적발되거나 벌금을 부과받는 등의 위험을 사전에 예방하는 것이 좋다.

    소중한 자산이기도 하지만 자칫 잘못 관리하면 기업과 개인에 돌이킬 수 없는 상처까지 주고 마는 개인정보들을 과연 어떻게 잠궈야 할까.




    업계의 한 전문가는 "현장에서 느끼기에 개인정보보호법에 대해 잘 알고 있는 개인이나 사업자가 지금으로서는 많이 드물다"고 지적하고 "자칫 잘못 관리해서 돌이킬 수 없는 사고로 이어지거나 벌금을 부과받기 전에 전문 기업들과 상담하고 미리 안전조치를 취하는 것이 좋다"고 조언했다.



    [기사전문보기]

    2012-03-29

  • 中 정부 “IT커뮤니티·토론·게임·SNS 사이트 이용자 정보 유출 확인”

    [보안뉴스 온기홍=중국 베이징] 최근 중국 최대 IT와 토론 커뮤니티들이 해커 공격을 받아 이용자 개인정보가 유출됐으며 중국판 트위터인 웨이보어와 게임·소셜네트워크·전자상거래 사이트의 이용자 비밀번호도 일부 인터넷에 유통된 것으로 공식 확인됐다.

    중국 국무원 산하 국가인터넷정보판공실(이하 판공실)은 지난 12월 말 유명 인터넷 사이트들의 이용자 비밀번호 등이 유출됐다는 보도 또는 의혹이 재기된 이후 관련 조사를 벌인 결과 이 같이 확인됐다고 10일 밝혔다.

    먼저 지난 달 21일 공개된 중국 최대 소프트웨어(S/W) 개발자 온라인 커뮤니티인 ‘중국 소프트웨어 개발 네트워크(CSDN)’와 토론 사이트인 톈야스취에 대한 해커 공격 사건과 관련해 두 사이트는 2009년 이전에 침입을 당한 것으로 확인됐다. 두 사이트 이용자의 데이터 누출은 2년 전에 이뤄졌지만 최근에는 공격을 받지 않았다고 판공실은 밝혔다.

    조사 결과 네티즌 쉬(19세) 모는 자신을 과시할 목적으로 지난해 12월 4일 중국 인터넷 정보사이트 우윈망에 CSDN 등의 이용자 비밀번호가 누출됐다는 글과 함께 누출된 데이터의 캡처 화면을 올렸다. 공안 기관은 쉬 모에게 ‘훈계’ 조치를 하고 두 사이트 침입 사건의 주동자 색출을 위한 조사를 벌이고 있다.



    [기사전문보기]

    2012-01-17

  • 정상 프로그램-악성코드 둔갑, 함량미달 백신 `수두룩`

    정상 프로그램 악성코드로 둔갑시키는 백신도 `절반' 이상

    국내에서 제작ㆍ판매되는 PC 악성코드 제거 프로그램(백신) 열에 여섯은 악성코드를 제대로 적발하지 못하는 불량제품인 것으로 드러났다. 심지어 결제유도를 위해 불필요한 파일을 악성코드처럼 과대 포장한 뒤 결제를 요구하는 사기성 백신 프로그램도 상당수인 것으로 나타났다.

    방송통신위원회와 한국인터넷진흥원(KISA)은 지난해 국내 PC 백신 프로그램 실태를 조사한 결과 77개 업체가 생산한 202종의 백신 가운데 절반이상인 118종(58%)이 `성능 미달'인 것으로 나타났다고 15일 밝혔다.

    성능미달 백신은 3000개의 악성코드 샘플 중 1000개 미만의 파일만 악성코드로 분류해 치료했다. 심지어 82종(41%)은 3000개의 악성코드 중 치료파일이 10개도 안 되는 것으로 드러났다.

    정상파일을 악성코드로 잘못 인식하는 오탐(誤探) 제품도 105종(52%)에 달했다. 이는 총 206종을 조사한 2010년 27.7% 보다 2배 가까이 증가한 수치이다. 특히 오탐율이 큰 백신을 사용하면, 오히려 정상적인 파일을 잃을 수도 있는 것으로 조사됐다. 방통위는 유료 백신을 이용해 악성코드 피해를 예방하려다, 오히려 금전적인 피해뿐만 아니라 정상 프로그램까지 제거할 수 있는 만큼 주의를 촉구했다.


    [기사전문보기]

    2012-01-17

  • 공공·민간 대상 ‘개인정보보호법’ 전면 시행, 9월30일!

    공공·민간 대상 ‘개인정보보호법’ 전면 시행, 9월30일!
    개인정보보호위원회 설치 및 표준지침, 안전성 고시, 영향평가 고시 제정

    [보안뉴스 김정완] 개인정보 처리 원칙과 국민의 피해구제에 대한 일반법적 지위를 갖는 ‘개인정보보호법’이 내일인 9월 30일부터 전면 시행된다.

    법 시행으로 그간 공공기관과 일부 사업자(약 50만개)에게만 적용되던 개인정보보호 의무가 약 350만개 모든 공공기관과 사업자, 비영리단체까지 확대된다. 적용범위도 전자파일 형태의 개인정보 외에 동창회 명부, 민원서류 등 수기(手記)문서도 포함된다.

    또한, 대통령 소속기구로서 정책·제도·법령, 기본계획(매3년, 행안부)·시행계획(매년, 부처) 등을 심의·의결하고 부처·지자체에 대한 시정조치 권고권을 행사하는 ‘개인정보보호위원회’가 출범한다. 보호위원회 위원(15인, 상임위원 1인 포함)은 국회와 법원에서 각 5인씩 추천을 받아 위촉해 의사결정의 독립성을 강화하고 업무지원을 위해 사무국(3과, 30명)을 설치해 9월30일 출범(충정로 임광빌딩)할 예정이다.

    특히 이번 법 시행으로 개인정보 수집·이용, 제공, 파기 등 보호기준과 안전성 조치가 강화된다. 개인정보 수집·이용은 정보주체의 동의, 법령상 의무준수, 계약체결·이행 등 일정한 요건하에서 가능하고 수집목적외의 이용·제공은 정보주체의 별도 동의, 법률의 특별한 규정 등 예외적인 경우외에는 처리가 금지된다.

    개인정보처리자는 내부관리계획 수립, 접근권한 통제, 암호화조치, 접속기록 보관, 침입차단시스템 설치 등 보호조치를 취해야 하고 기관의 관리감독을 위해 ‘개인정보보호 책임자’를 지정해야 한다.

    사상·신념, 유전자정보, 건강정보, 범죄경력정보 등 민감정보와 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 등 고유식별정보는 ①정보주체의 별도동의 ②법령에서 구체적으로 허용하는 경우 이외에는 원칙적으로 처리가 금지된다.

    공공기관과 일평균 홈페이지 이용자 1만명 이상의 개인정보처리자는 정보주체가 홈페이지를 통해 회원으로 가입할 경우 주민등록번호 이외의 회원가입 방법(I-PIN, 전자서명 등)을 제공해야 한다.

    CCTV설치에 대한 규정이 민간까지 확대 적용되어 택시, 버스 등 대중교통의 CCTV도 법 적용을 받는다. 목욕장, 탈의실 등 사생활침해 우려가 큰 장소는 CCTV 설치가 금지되고, 설치시에는 안내판을 설치하여야 하고 녹음기능·각도조절이 금지된다.

    공공기관에 대한 법적의무가 강화되고, 법위반 공공기관은 사업자와 동일하게 벌금 및 과태료 부과, 손해배상 책임이 부여된다. 공공기관은 행정사무를 위해 처리하는 개인정보파일의 명칭목적, 처리항목 등을 행안부장관에게 등록·공개하고, 정보화시스템 구축시 사전에 개인정보 영향펑가가 의무화된다.

    그리고 개인정보 유출이나 오·남용시 국민의 권리구제가 크게 확대된다.

    정보주체는 자신의 개인정보에 대한 열람, 정정·삭제, 처리정지를 개인정보처리자에게 요구할 수 있고, 개인정보가 유출되면 즉시 정보주체에게 유출사실을 통보하여 금융사기 등 추가피해를 예방하여야 한다. 동일한 피해가 50인 이상 다수에게 발생한 경우에는 집단분쟁조정을 신청할 수 있으며, 집단분쟁조정이 거부되거나 수락되지 않은 경우에는 법원에 ‘권리침해 중지 단체소송’을 제기할 수 있도록 피해구제 장치를 크게 확대했다.



    [기사전문보기]

    2011-10-04

  • 국내 70여 개 웹사이트, 대규모 SQL 인젝션 공격으로 감염돼

    유명 쇼핑몰 포함...“몰인몰 방식 입점사 문제” VS “도의적 책임져야”
    기존 대책으로는 한계있어...새로운 웹보안 대책 개발·보완해 나가야

    [보안뉴스 호애진] 지난 20일 오후 6시 경부터 국내 웹서버를 대상으로 하는 대규모 SQL 인젝션 공격이 있었던 것으로 밝혀졌다.

    대규모 SQL 인젝션 공격은 특정한 시각을 기점으로 동시다발적으로 수백 수천개의 웹사이트에 동일한 공격을 행하는 것을 말하며 거의 대부분 데이터베이스에 악성코드를 유포하는 경유지 URL 또는 특정사이트로 유도하는 URL을 삽입하는 형태로 공격이 발생된다.

    이번에 발생한 대규모 SQL 인젝션 공격은 웹서버가 이용하는 데이터베이스 서버의 필드에 악성코드 또는 가짜백신을 유포하는 URL이 포함된 것으로 약 70여 개의 웹사이트가 피해를 입은 것으로 파악됐다.

    이번 공격에 이용된 URL은 http://d****c.com/ur.php으로 ur.php 형태를 띠고 있다. 이러한 특징으로 살펴볼 때 공격자는 지난 4월달에 발생한 리자문 공격(lizamoon.com/ur.php)을 주도한 인물과 동일할 것으로 전문가들은 추측하고 있다. 당시 리자문 공격으로 웹사이트 페이지 100만개 이상이 해킹에 의한 악성 코드에 감염된 바 있다. 이는 역대 최고의 피해 규모였다.

    한편 ur.php 형태로 진행되는 대규모 SQL 인젝션 공격은 4월 이후로 꾸준히 발생하고 있다. 공격의 원인인 SQL 인젝션 취약점은 발견된 지 10년이 넘었지만 여전히 가장 많이 공격에 활용되고 위험도가 높아 문제가 심각하다.



    [뉴스전문보기]

    2011-09-26

  • 방통위, ‘인터넷상 개인정보보호 강화방안’ 수립

    과도한 개인정보 수집 제한 및 기업의 개인정보 관리 강화 등

    [보안뉴스 호애진] 방송통신위원회(이하 방통위)는 지난달 SK컴즈 개인정보 대량 유출사고의 발생에 대응해 향후 재발 방지 및 2차 피해 예방을 위해 인터넷 기업의 개인정보 보호체계를 전면적으로 강화하는 ‘인터넷상 개인정보보호 강화 방안’을 발표했다.

    이번 사고와 같은 개인정보 해킹 유출의 원인을 검토한 결과 인터넷 기업 등이 주민번호, 연락처 등 중요 개인정보를 대량으로 보유해 지속적으로 해킹 공격을 받고 있는 반면 이에 대한 기업의 대응은 날로 발전하는 해킹기술에 비해 상대적으로 미흡한 것으로 판단됐다.

    이러한 점 등을 고려해 방통위는 △과도한 개인정보 수집 제한 △기업의 개인정보 관리 강화 △이용자의 자기정보 통제강화를 주요 골자로 하는 대책을 마련했다.

    첫째로 기업이 광범위하게 개인정보를 수집·이용하는 행태를 개선하도록 과도한 개인정보의 수집 제한을 추진할 계획이다. 이를 위해 △인터넷상 주민번호의 수집·이용 제한 △업종·서비스별 개인정보 취급 표준가이드 마련 △개인정보 유효기간제 도입을 추진하고 △개인정보의 제공·파기에 관한 웹사이트 점검을 강화해 나갈 계획이다.

    두번째로 기업이 수집한 개인정보를 철저히 관리하도록 개인정보의 기술적·관리적 보호조치 기준을 상향하고 서비스 취약성에 대한 점검을 확대할 계획이다. 이를 위해 △관리자 PC의 외부망 분리 및 개인정보 암호화 대상 확대 등 기술적 보호조치 의무 기준을 강화하고 △개인정보보호 관리체계 인증 확대 △정보보호최고책임자 지정 제도화 △악성코드 탐지 강화 △주요 웹사이트 일제점검 △인터넷 침해사고 신속대응체계 구축 등을 추진해 나갈 것이다.

    마지막으로 이용자 스스로 자기정보를 쉽게 통제할 수 있는 수단을 확대하고 대국민 캠페인 등 홍보 활동을 적극 추진해 나갈 계획이다. 이를 위해 △패스워드 변경 등 대국민 캠페인 △개인정보 활용 내역의 통지제도 도입 등을 추진하고 △이용자의 개인정보 열람·정정·동의철회 모니터링 및 △스팸, 명의도용 등 개인정보 2차 피해 예방활동을 적극적으로 확대해 나갈 계획이다.

    [기사전문보기]

    2011-08-08

  • 지난해 교육기관 개인정보 1만3천여건 유출

    (서울=연합뉴스) 임주영 기자 = 지난해 전국의 시·도 교육청과 각급 학교 홈페이지 등을 통해 개인정보가 유출된 사례가 1만3천346건에 이르는 것으로 나타났다.

    25일 교육과학기술부가 지난달 9일 한국소프트웨어산업협회와 함께 개최한 `2011 교육기관 개인정보 보호 및 정보보안 콘퍼런스' 발표 자료에 따르면 대학교 8천237건(61.7%), 초중고교 4천353건(32.6%), 시도 교육청 646건(4.8%) 등 총 1만3천건이 넘는 개인 정보가 유출된 것으로 집계됐다.

    작년에 해킹 등 `사이버 침해' 사고가 발생해 교과부 정보보안팀의 조치를 받은 건수는 4천640건이었다. 종류는 악성코드 감염이 95.9%(4천451건)로 대부분을 차지했으며 웹 해킹은 3.6%(166건)였다.



    [기사전문보기]

    2011-07-26

  • 이벤트 사이트로 기업 정보 '줄줄 샌다'

    이벤트 사이트가 위험하다.

    최근 한국전자금융 홈페이지 해킹으로 8000여명의 입사지원자 개인정보가 유출되는 사고가 발생한 것처럼 대다수 기업과 기관이 단기간 운영하는 채용 공고나 경품 프로모션 같은 이벤트 사이트의 보안을 방치하고 있는 것으로 드러났다.

    이벤트 사이트의 보안이 취약하면 SQL 인젝션 공격 등으로 DB 정보를 긁어가거나 이벤트 사이트를 경유해 내부 주요 서버 DB까지 침입이 가능, 심각한 사태를 불러올 수도 있다.

    또 이벤트 사이트는 아웃소싱 업체에 하청을 주는 경우도 많아 더욱 보안에 취약하다. 영세 하청업체가 보안 지침에 따라 사이트를 개발하긴 어렵기 때문이다.

    실제 모의해킹을 주로 담당하는 해커 P씨는 “정상적인 사이트보다 기업들이 단기간 운영하는 이벤트 사이트에서 주로 취약성을 찾는다”며 “이벤트 사이트는 방화벽, 침입방지장비(IPS), 침입탐지장비(IDS) 등 보안 시스템 밖에 두거나 시큐어코딩 없이 급하게 만들어 보안에 취약한 편”이라고 말했다.


    [기사전문보기]

    2011-05-24