News Room
뉴스룸
각종 이슈부터 꼭 필요한 정보까지!
한국기업보안의 소식과 뉴스를 알려드립니다.
- 보도자료
- 기사
SCROLL
NEWS ROOM
KCS 뉴스룸
-
-
'공사ㆍ대학 등 개인정보 보호에 구멍'
-
공공기관 중 중앙부처는 개인정보 보호 수준이 높은 반면 공사와 공단, 교육청, 대학 등은 개선이 필요한 것으로 나타났다.
행정안전부는 중앙부처 및 시·도 등 100개 공공기관에 대한 개인정보 보호 수준을 진단한 결과 이렇게 나타났다고 6일 밝혔다.
매년 실시하는 개인정보 보호 수준 현장진단은 지난해 9월 1023개 기관에 대한 자율 진단 결과를 토대로 100개 기관을 선정해 지난해 11월까지 진행했다.
중앙부처 및 광역자치단체는 정부 업무 평가에 대한 신뢰도 제고를 위해 전체 기관을 대상으로, 공사와 공단 및 교육기관 등은 주민번호 노출에 따라 컨설팅이 필요한 기관을 대상으로 각각 실시됐다.
진단은 개인정보 보호 정책환경, 개인정보 처리, 개인정보 침해대응 등 3개 분야 총 18개 지표를 기준으로 우수(90 이상), 보통(70∼90), 미흡(70 미만) 등으로 등급화했다.
진단 결과 중앙부처 및 시·도 등 56개 기관은 전년 대비 3.0점 상승한 94.3점을 받아 개인정보 보호 수준이 높은 것으로 나타났다.
반면 공사 및 공단, 교육청과 대학 등 44개 기관은 71.7점을 받아 개인정보 암호화 분야와 개인정보처리시스템의 접근·이용 분야 등에서 개선이 필요한 것으로 분석됐다.
[기사본문보기]
-
-
-
DNS 스푸핑과 피싱을 결합한 공격...DNS 공격 주의
-
DNS 스푸핑과 피싱을 결합한 공격...DNS 공격 주의
[보안뉴스 오병민] 최근 국내 유명 커뮤니티 사이트인 ‘뽐뿌(ppomppu.co.kr)’와
인터넷신문 ‘투데이코리아(todaykorea.co.kr)’가 해킹 공격을 받아 많은 사용자들의 개인정보가 유출된 것으로 확인됐다.
이 두 사이트가 해킹당한 이유는 DNS 호스팅 업체의 ID와 패스워드가 노출됐기 때문으로 파악되고 있다.
두 사이트는 1월 9일부터 악성공격자에 의해 해킹 공격을 받았다. 공격자들은 사이트 자체에 피해를 입히지는 않았지만
용자들에게 피해를 입혔다. 해킹당한 기간 동안 공격자들은 로그인으로 접속한 사용자들의 ID와 패스워드를 빼내간 것으로 파악되고 있다.
전문가들은 이번 공격에 대해 도메인을 IP 주소로 변환해주는 DNS(Dmain Name System)를 공격해 다른 사이트로 연결시키는 ‘DNS 스푸핑(DNS spoofing)’과 가짜페이지를 만들어 사용자를 속이는 피싱(Phishing)을 결합한 공격이라고 설명한다.
즉 공격자는 미리 해당 사이트의 도메인을 바꾸기 위해 DNS 관리업체의 ID와 패스워드를 탈취해 자신들이 만든 DNS로 이동하게 하고, 이 DNS는 다시 피싱(가짜)페이지로 연결하는 방식이다.
이 과정에서 다른 피해 사이트가 또 드러나게 된다. 공격자가 이용한 DNS 역시 특정 사이트의 서버를 해킹해 만든 것이기 때문이다.
뽐뿌와 투데이코리아의 DNS 스푸핑 공격에 이용된 DNS는 데브피아(www.devpia.com)라는 개발자 커뮤니티 사이트였다.
데브피아의 관계자는 “최근 홈페이지 서버에서 웹쉘(Webshell)이 삽입된 것을 확인하고 한국인터넷진흥원의
조언을 바탕으로 보안 점검을 시작했다”면서 “앞으로는 보안에 더욱 관심을 가지고 지속적으로 보안점검을 실시할 것”이라고 밝혔다.
웹쉘은 공격자가 원격에서 웹서버에 명령을 수행할 수 있도록 만든 악성코드이다. 데브피아에 삽입된 웹쉘은 뽐뿌나 투데이코리아 접속시 DNS를 변경시켜 피싱사이트로 연결하는 기능을 가지고 있었던 것으로 전해지고 있다.
[기사전문보기]
-
-
-
행안부, ‘사업자의 개인정보 보호조치 세부기준’ 고시
-
사업자가 선택 아닌 필수적으로 지켜야 할 ‘개인정보 보호수칙’ 마련
소상공인 보다 쉽게 개인정보 보호조치 기준 이행할 수 있도록
[보안뉴스 김정완] 행정안전부(장관 맹형규)는 백화점·학원·병원·부동산중개업 등 사업자가 개인정보 취급시 반드시 준수해야 할 세부적인 보호조치 기준을 고시한다고 30일 밝혔다. 특히 이번 기준은 부동산중개업 같은 소상공인과 대기업이 처한 상황이 다르므로 이를 고려해 반영했고, 실태점검을 통해 확인된 업종별 특성을 반영함으로써 소상공인도 보다 쉽게 개인정보 보호조치 기준을 이행할 수 있도록 했다는 점이 주목된다.
이 기준은 최근 일련의 고객정보 유출사고를 계기로 우선적으로 개인정보보호가 요청되는 정유사, 백화점 등 24개 업종 35만여개 사업자를 대상으로 적용된다.
그동안 행안부는 전문기관의 용역을 통해 기준안을 마련하고 전문가 자문회의와 법적용 대상인 24개 민간협회 및 대한상공회의소 등을 대상으로 토론회를 거쳐 의견을 수렴했다.
개인정보 보호조치 기준은 사업자가 개인정보 보호를 위해 암호화, 보안 프로그램 설치 등 기술적 분야와 내부관리계획 수립, 책임자 지정 등 관리적 분야를 포함해 총 10개 항목으로 구성돼 있다.
사업자가 수행해야 할 주요 기준에는 정보수집·이용·파기 등 각 단계별 보호조치 및 개인정보취급자에 대한 교육 등이 포함된 내부관리계획을 수립하고, 개인정보관리책임자의 의무와 책임을 명시한 내부지침을 마련하며, 년1회 이상 정기적인 자체 감사 실시 등이 규정돼 있다.
또한 개인정보시스템에 불법 접근을 차단하기 위해 침입차단시스템을 설치·운영해야 하며 주민등록번호 등 민감한 개인정보에 대해서는 반드시 암호화하여 저장토록 규정하고 있다.
-
-
-
개인정보보호 법규위반 사업자에 대한 행정처분
-
19개 사업자 3백만 원에서 8백만 원 과태료 부과
[보안뉴스 오병민] 방송통신위원회(위원장 최시중)는 2010년 12월 22일(수) 전체 회의를 개최해 경찰청으로부터 통보받은 35개 개인정보보호 법규위반 사업자 중 ‘엠에스하모니’ 등 19개 사업자에 대해 각각 3백만 원부터 8백만 원까지 과태료 부과 및 시정조치 명령을 내렸다고 밝혔다.
그리고 나머지 16개 사업자에 대해서는 개인정보의 기술적·관리적 보호조치를 수립/시행하도록 하는 시정조치 명령을 의결했다고 덧붙였다.
행정처분을 받은 사업자들은 금년 3월부터 5월 사이 개인정보를 유출한 혐의로 경찰의 수사를 받은 사업자들로서, 방송통신위원회의 현장조사 결과, 개인정보보호 법규 위반사실이 확인된 사업자들이다
[기사전문보기]
-
-
-
2,900만건 개인정보 침해...국민 5명 중 3명꼴 유출 확인!!
-
‘국내 최대 2,900만건’ 개인정보 침해 피의자 검거
[보안뉴스 김정완] 경기지방경찰청(청장 이강덕) 사이버범죄수사대는 성공적인 G20 정상회담 개최 지원을 위한 해킹·DDos 등 사이버테러 특별 단속 중 지난 8월 17일 국내 대표적 포털 사이트 ‘네이버’와 ‘다음’ 회원들의 계정에 대한 대규모의 불법적인 도용시도가 잇따르고 있다는 보도와 관련 수사에 착수해 약 2,900만건의 개인정보(ID, 비밀번호 등)를 도용해 포털사이트에 부정 접속한 혐의(정보통신망이용촉진 및 정보보호에 관한 법률위반)로 인천시 계양동 거주 이모(남, 43세)씨를 구속했다고 13일 밝혔다.
경찰에 따르면, 피의자는 불상의 방법으로 취득한 약 2,900만건의 ID, 비밀번호, 주민등록번호, 이메일, 전화번호 등의 개인정보를 이용해 올해 8월5일부터 16일까지 범행서버(121.254.224.***)를 통해 포털사이트 홈페이지에 부정접속을 시도해 약 90만건의 계정에 접속함으로써 정당한 접근권한 없이 타인의 정보통신망에 침입한 것이다.
또한 요식업에 종사한 것으로 알려지고 있는 피의자 이모씨는 정통망법 전과 3범으로 영리목적의 스팸메일 발송에 사용할 목적으로 불상의 방법으로 취득한 개인정보 2,900만건을 이용해 포털사이트에 부정접속을 시도했으며, 접속에 성공한 계정을 이용해 스팸메일 발송 등에 사용할 목적이었던 것으로 수사결과 확인됐다.
그리고 범행수법을 살펴보면, 피의자는 수사기관의 추적을 피하기 위해 프락시 IP를 이용하고 다수의 서버를 경유하는 방법으로 위 범행서버(121.254.224.***)에 원격으로 접속해 ‘Hubsender’라는 프로그램을 이용해 포털사이트 홈페이지에 접속을 시도하는 방법으로 약 90만건의 계정에 접속한 것으로 확인 됐다.
[기사전문보기]
-
-
-
인터넷강의업체, 3만4천여 명 개인정보 관리 허술 충격!!
-
인터넷강의업체, 3만4천여 명 개인정보 관리 허술 충격!!
SQL인젝션 취약점으로 간단한 문자 입력만으로도 유출가능
[보안뉴스 오병민] 보안이 허술한 국내 한 인터넷 강의 회사 O업체(가명)의 홈페이지가 특정 사이버공격에 취약해, 가입자 3만4천여 명의 개인정보가 쉽게 노출되는 것으로 알려져 충격을 주고 있다. 이 사이트는 로그인 창에 특정한 문자만 입력해도 가입자 개인정보를 열람하거나 수정할 수 있는 것으로 드러났다.
문제가 되고 있는 O업체의 홈페이지는 로그인창에 특정 문자를 입력하기만 해도 쉽게 관리자 계정에 접근할 수 있다. 이른바 SQL인젝션 공격이다. SQL인젝션 공격은 로그인창이나 게시판에 특정 문자열을 입력했을 때 나타나는 오류를 이용해 해킹하는 방법으로, 홈페이지 개발 당시 이런 문제와 보안을 고려하지 않고 개발했을 때 주로 나타난다.
이 같은 방법으로 관리자 계정에 접근하게 되면, 가입한 회원 정보를 보거나 삭제 수정할 수 있으며 실시간으로 서비스에 접속한 사용자의 ID와 IP등의 정보도 열람할 수 있다. 관리자 계정을 통해 노출될 수 있는 정보는, 이 홈페이지 회원과 강사 등 약 3만4천여 명의 개인정보로, 이름과 아이디, 패스워드 주민등록번호, 주소, 연락처, 핸드폰, 이메일, 학교, 수강신청 내역 등 노출되면 치명적인 것들이다. 게다가 중요한 개인정보에 필수적으로 적용해야하는 암호화도 적용하지 않아 충격을 주고 있다.
보안업계의 한 전문가는 “이 사이트는 기존에 있던 홈페이지를 폐쇄하지 않고 신규 홈페이지를 오픈하면서, 기존 홈페이지의 SQL인젝션 취약점으로 (신규와 동일하게 이용하고 있는) 관리자 페이지로 접근할 수 있는 문제를 가지고 있다”면서 “SQL인젝션 공격은 인터넷 검색만으로 초보자도 할 수 있는 기본적인 해킹 공격이기 때문에 취약점을 가지고 있는 것 자체가 매우 위험하다”고 말했다.
-
-
-
페이스북, 트위터 등 하이재킹 가능한 파이어폭스 애드온 등장
-
공개 Wi-Fi 사용시 보안 주의 필요
누구나 Wi-Fi 네트워크를 스캔하고 다른 사람의 페이스북, 트위터, 혹은 기타 다른 호스팅 서비스 계정에 접속할 수 있도록 하는 파이어폭스 애드온이 등장했다.
지난 일요일 투어콘(ToorCon) 보안 컨퍼런스에서 공개된 파이어쉽(Firesheep)이라는 이 애드온은 웹 애플리케이션 개발자인 에릭 버틀러가 만든 것으로, 그는 공개된 Wi-Fi를 통해서 비암호화된 웹사이트에 접속하는 것이 얼마나 위험한지 보여주기 위해서 이 애드온을 공개하게 됐다고 배경을 밝혔다.
사이트가 사용자 로그온시 HTTPS나 SSL을 통해서 암호화 처리 하는 것이 일반적이지만, 실제 트래픽을 암호화 하는 경우는 거의 없다. 버틀러는 “이 경우에 쿠키를 남겨서 사용자가 위험해 질 수 있다”라면서, “공개된 무선 네트워크에서 쿠키는 기본적으로 무방비로 퍼지게 되는 것이기 때문에, 공격이 매우 쉬워진다”라고 경고했다
[기사전문보기]
-
-
-
[2010 국감]쇼핑몰-택배업체, 고객 개인정보 보호 소홀해!
-
강승규 의원, 관리 감독 강화해 개인정보 보호 해야
[보안뉴스 오병민] 최근 국내 주요 쇼핑몰과 택배업체 사이에서 고객의 개인정보를 암호화하지 않고 바로 제공함으로써 개인정보가 무단 유출되고 있다고 언론을 통해 전해져 이슈가 된 가운데 기업들의 정보보호 관리 단속을 강화해야 한다는 주장이 나왔다.
‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’에 따르면, 정보통신서비스 제공자는 이용자의 개인정보를 보호해야 하며 정보통신서비스 제공자(인터넷 쇼핑몰)가 업무를 위탁하는 경우에 수탁자를(택배업체 등) 관리·감독해야 한다.
그리고 수탁자가 개인정보 취급위탁을 받은 업무와 관련, 규정을 위반해 이용자에게 손해를 발생시키면 그 수탁자를 손해배상책임에 있어서 정보통신서비스 제공자등의 소속 직원으로 본다고 되어있다. 하지만, 택배업체 같은 사업자가 법의 적용을 받는 지가 애매해 적극적인 단속이 어려운 실정이다.
[기사원문보기]
-
-
-
행안부 ‘개인정보보호 대책 TF’, 중간보고회 15일 개최
-
[보안뉴스 김정완] 행정안전부, 방송통신위원회, 경찰청이 14일 국민의 개인정보를 효율적으로 보호하기 위한 범정부적 업무협약을 체결한데 이어 바로 정부입장에서의 개인정보보호를 위한 움직임이 두드러져 그에 대한 관심이 집중된다.
지난 5월 28일 행안부가 개인정보보호 종합대책을 마련코자 구성한 TF가 현재까지의 TF 추진현황을 점검하고, 향후 추진 계획을 살펴보는 중간보고회를 15일 가진 것.
행안부는 지난 5월 28일 개인정보 대량 유출 및 오·남용 사고가 지속적으로 발생함에 따라 그에 대한 종합적이고 구조적인 문제해결책 마련을 위해 내·외부 전문가를 활용해 6개 분과 연구 TF로 구성·운영하는 방식으로 ‘개인정보보호 종합대책 TF’를 꾸렸다. 당시 △주민번호 △국제협력 △정책·홍보 △법제 이상 4개 분과가 구성된 상황에서 이후 6월 16일에는 추가로 △기술 분과를 발족시켰으며, △기본계획 분과는 이후 운영 예정이다.
특히 주목되는 것은 기존 ‘개인정보보호 종합대책 TF’가 방통위나 경찰청 등 유관부처가 당시 출범 당시에는 참여하지 않았지만, 어제 ‘개인정보보호 효율화를 위한 업무협력 협약’이 체결됨에 따라 이후 TF에는 유관부처로서 방통위와 경찰청 등도 포함돼 좀더 집중적이고 효율적인 개인정보보호 종합대책이 마련될 것이기 때문이다.
이날 중간보고회에는 TF 개요 및 추진 경과에 대해 강신기 행안부 개인정보보호과장이 발표하고, 또한 분과별 추진형황 및 논의사항 발표가 이어진 후 연구 성과 활용 방안 등에.....
<기사 원문 보기>
-
-
-
정보보호 투자는 계획적으로
-
정보보호 강화를 위한 구체적 대응방안
법률과 감독기관 등의 요구사항, 이용자 권익 보호 활동, 기업의 사회적 책임에 대한 질책 등의 사회적 분위기에 따라 많은 기업에서 점차로 정보보호 대책을 수립하고 적용해 왔으나 앞의 사례에서처럼 보안 사고가 끊이지 않고 있으며 향후에도 이러한 추세는 계속될 것으로 전망된다.
이는 보안 사고를 단지 IT의 문제로만 생각해 관련 조직, 프로세스, 정보시스템을 보완하면 될 것이라고 생각하거나 동종 또는 유사업계에서 보안사고가 발생하면 다급하게 관련된 사고 경위 및 대책을 분석해 필요한 부분만을 조치하고 일정 시일이 흐르면 무감각해 지는 것에 기인한다.
따라서 기업의 정보보호 노력은 특정 분야, 일부 조직 및 직원의 차원에서 추진돼야 하는 것이 아니라 전사적인 활동으로 인식해 정보보호 정책, 정보보호 조직, 인적 보안(내부직원 및 외부자 등), 출입 통제 등의 물리적 보안, 기술적 보안(시스템, 네트워크, 어플리케이션 등), 사고 예방 및 대응 등 보안의 전체 영역을 대상으로 기업의 규모와 특성에 적합한 정보보호관리체계를 구축하고 효율적인 정보보호 투자를 위한 마스터플랜을 수립해 이행하는 등의 체계적이고 지속적인 노력과 활동이 이뤄져야 한다.
1. 기업의 목표와 비전에 맞는 정보보호정책의 수립과 검토
정보보호정책은 조직의 정보보호에 대한 기본적 방향과 근거를 제시해 주는 문서로 기업의 목표와 비전, 전략을 반영해 작성하고 주기적으로 정책의 타당성을 검토 및 수정 보완함으로써 지속적으로 개선돼야 한다.
2. 정보보호 조직의 구성 및 운영
기업의 정보보호 활동을 체계적으로 수행하기 위해서는 기업의 특성(규모, 조직, 문화 등)에 적합한 정보보호조직을 구성하고 운영해야 한다. 또한 경영진은 정보보호조직에게 강력한 권한과 충분한 자원을 부여해 능동적으로 직무를 수행할 수 있도록 지원하는 것이 중요하다.
3. 정보보호 마스터 플랜 수립
기업의 중겴掠袖岵?정보보호 마스터 플랜을 수립해 비즈니스 전략과 부합된 정보보호 전략을 체계적이고 일관성 있게 수행할 수 있어야 한다. 그렇지 않을 경우 트렌드에 따라 도입한 정보보호 솔루션이나 장비의 도입만으로 모든 보안이 이뤄졌다고 착각하기 쉬우며 개별적 편의나 산발적인 보안 투자를 하게 되는 경우 필요 없는 예산을 낭비하거나 오히려 내부의 정보가 유출될 위험을 초래할 수 있다.
4. 정보보호 시스템 구축 및 체계적 관리
정보보호 시스템은 용도에 적합하고 정보시스템 환경에 맞게 효과적으로 구축돼야 하며 구축 후에는 모니터링 체계를 수립해 지속적인 관리가 이뤄져야 한다.
5. 기업 정보보호 문화 조성
기업 정보보호에 있어서 가장 중요한 요소는 바로 기업의 정보보호 문화를 조성하는 것이다. 전사적 차원에서 정보보호에 대한 경영진의 확고한 의지를 바탕으로 임직원에게 지속적인 정보보호 교육과 홍보를 통해서 정보보호에 대한 분위기를 조성하고 점진적으로 정보보호를 기업문화로서 정착시켜 나가야 한다.
[기사전문보기]
-
-
-
악의적인 PDF 파일 판별 방법
-
최근 악의적인 PDF 파일의 수가 크게 증가하고 다양한 유포 경로와 사회적 공학기법에 기반한 신뢰관계를 이용한 유포방법 때문에 악성코드가 사용자의 시스템에 침투할 기회가 기존보다 훨씬 많아졌다.
이러한 상황에서 우선적으로 외부에서 유입되는 PDF 파일의 무결성에 대해서 의심을 해봐야 한다.
그러면 시스템에서 PDF 파일을 실행하기 전에 어떤 방법으로 파일 안에 악의적인 코드가 숨어 있는지 확인해 볼 수 있는지 알아보자.
가장 쉽고 일반적인 방법은 바이로봇 등 안티-바이러스 제품으로 PDF 파일을 진단한 후 사용하는 방법이 있다.
그러나 최근 일부 악성 PDF 파일의 경우 특정 타깃을 목표로 국지적으로 유포되므로 이런 경우에는 안티-바이러스 회사에 의심 파일을 접수해서 확인하는 방법이 있다.
그럼 어떤 PDF 파일을 의심 파일로 추정해서 샘플로 보낼 것인지에 대해서 알아보자.
악성코드 제작자는 악의적인 의도가 포함된 PDF 파일을 유포시키기 위해 여러 가지 방법을 사용한다.
- 이메일을 통해서 첨부파일을 열어보도록 하거나 본문의 링크 클릭 유도를 통해서 유포한다.
- 악의적으로 제작된 웹사이트 방문을 유도하거나 해킹된 웹사이트 방문으로 인한 악성코드 실행 및 악성 호스트로의 리다이렉션(redirection) 하는 방법 등을 통해서 유포한다.
- 메신저를 통해서 파일 또는 링크 클릭을 유도해서 유포한다.
- PDF 파일 구조 우선 PDF 파일 구조에 대해서 간단히 알아보자. PDF 파일의 내부는 다음과 같이 돼 있다. 파일 끝부분의 trailer의 /Root 에 의해서 정의된 객체(object 2)에서부터 PDF 내용이 시작한다.
PDF 파일의 구성요소 일반적으로 PDF 파일은 다음과 같은 요소들을 포함하고 있다. PDF 파일은 많은 객체(object)들의 상호참조로 구성돼 있다.
Obj, Endobj
Stream, Endstream
Startxref, Xref
Trailer
PDF 파일의 악성코드 식별 방법 이제 PDF 파일 내에 원치 않는 악성코드가 포함됐는지 확인해 볼 수 있는 방법들을 알아보자.
일반적으로 악의적으로 제작되는 PDF파일은 trailer가 없는 경우가 많다. 대부분의 악의적인 PDF 파일은 1페이지를 가지고 있으며 JavaScript를 포함하고 있다. 다음의 경우에는 Didier Stevens의 PDFiD, Pdf-Parser 와 XORSearch 툴을 사용했지만 다양한 PDFiD 와 Pdf-Parser 툴이 존재하므로 다른 툴을 사용해도 좋다. 해당 툴의 경우 파이선(Python)으로 만들어졌기 때문에 사용하기 위해서는 시스템에 파이선을 설치해야 한다. PDFiD는 단순 스트링 스캐너(String Scanner)이며 Pdf-Parser는 보다 다양한 기능을 제공하는 PDF 구조 파서(Parser)다.
[기사전문보기]
-
한국기업보안 주식회사 | 서울특별시 서초구 강남대로99길 53 삼우빌딩 4층 (우)06527
COPYRIGHT © 2021 KORSEC. ALL RIGHTS RESERVED.
