News Room
뉴스룸
각종 이슈부터 꼭 필요한 정보까지!
한국기업보안의 소식과 뉴스를 알려드립니다.
- 보도자료
- 기사
SCROLL
NEWS ROOM
KCS 뉴스룸
-
-
개인정보의 기술적ㆍ관리적 보호조치 강화된다
-
정보통신서비스 제공자, 주민번호 등 주요 개인정보 암호화해야..
방송통신위원회는 개인정보 보호조치를 강화하는 내용으로 정보통신망법 하위 고시인 ‘개인정보의 기술적·관리적 보호조치 기준을 개정했다고 11일 밝혔다.
이번에 개정된 고시의 주요 신설 내용을 살펴보면, 우선 정보통신서비스 제공자는 이용자의 주민등록번호, 신용카드번호 및 계좌번호에 대해서는 암호화해 저장하도록 했다.
이는, 해킹 등으로 인한 정보 유출시 이용자의 중요 개인정보인 주민등록번호·신용카드번호·계좌번호 등이 불법적으로 사용되는 피해를 방지하기 위한 것으로, 방통위는 사업자들의 암호화 조치에 대한 준비기간을 고려하여 내년 1월까지 암호화 조치를 취하도록 할 방침이다.
또, 정보통신서비스 제공자는 개인정보 취급자를 대상으로 개인정보보호에 관한 교육계획을 수립하고 개인정보취급자에게 매년 2회 이상 교육을 실시하도록 할 계획이다.
이용자의 개인정보를 빈번히 다루는 개인정보취급자에 대하여 정기적인 교육 등을 통해 개인정보를 안전하게 관리하고 침해사고 등을 예방하기 위한 것. 방송통신위원회는 사업자들이 직원들을 대상으로 손쉽게 교육할 수 있도록 금년 9월부터 온라인 교육 콘텐츠를 제공한다는 계획을 세웠다.
그리고, 개정 고시에는 개인정보취급자의 접속기록을 기간통신사업자는 2년 이상, 그 외 사업자는 6개월 이상 보관하도록 보관기간에 대한 사항이 추가됐다. 기존 고시는 개인정보취급자가 개인정보 관리시스템에 접속한 기록을 보관하도록 하고 있으나 보관기간에 대한 명확한 규정이 없어 이번 개정내용에 반영하게 된 것으로 풀이된다.
개인정보취급자의 접속기록은 해킹 등 침해사고의 발생 여부를 확인할 수 있고 사업자가 고객정보를 오남용하는 것을 방지하기 위한 것으로, 고시의 개정 과정에서 방송통신위원회는 기간통신사업자의 접속기록의 보관기간에 대하여 최초 5년 이상 보관하도록 규정했으나, 규제심사 과정에서 규제개혁위원회가 보관기간을 2년으로 권고함에 따라 해당 내용이 수정됐다.
방송통신위원회는 개정된 고시에 대한 사업자들의 이해를 돕고자 관련 해설서를 만들어 금년 8월 중에 배포할 예정이다.
방통위 측은 이번 ‘개인정보의 기술적·관리적 보호조치 기준’ 고시 개정으로 정보통신서비스 제공자들이 강화된 개인정보 보호조치 기준을 적용받게 됨에 따라 이용자의 개인정보는 더욱 안전하게 보호받게 될 것으로 기대했다.
-
-
-
대형 포털이나 쇼핑몰 등 개인정보가 많은 사이트 노려
-
국내 웹 공격 및 사이버 범죄 독립 감시기관인 zone-h.kr이 공개하는 국내 해킹 현황을 참고하면 2009년 8월 1일부터 8월 2일까지 55개의 해킹 당한 사이트를 살펴볼 수 있다.
최근 들어 대형 포털사이트나 쇼핑몰 등 개인정보가 많은 주요사이트를 대상으로 한 해킹시도가 늘고 있다. 아직까지는 해킹 시도만 있었다고 보고될 뿐, 해킹 시도의 성공여부는 확인되지 않고 있지만 시도가 많다는 것은 위협의 기회를 노리고 있다는 것이기 때문에 각 주요사이의 보안 관리자들의 각별한 주의가 필요해 보인다.
zone-h.kr이 공개하고 있는 해킹된 사이트 목록은 해외사이트에서 5분 간격으로 자동 수집되는 자료다. 등록된 도메인은 해외해커에 의해 취약점이 노출되었다고 볼 순 있지만 오탐이나 시도실패 등 여러 가지 이유로 잘못 등록된 사이트도 있다. 따라서 이 리스트는 해당하는 홈페이지의 관리에 더욱 관심을 갖도록 하기 위한 참고 자료로 보면 된다.
[기사전문보기]
-
-
-
“내 마일리지가 도박 스팸문자로 악용...주의!”
-
사용자 마일리지 도용해 도박 사이트 스팸메시지로 이용
국내 초대형 쇼핑몰서 다수 피해사례 발생
A씨는 국내 대형 온라인 오픈켓인 *쇼핑몰에서 날아온 메일을 보고 깜짝 놀랐다. 결제하지도 않은 문자이용권이 무려 840건이나 결제 됐다고 메일이 날아온 것. A씨는 바로 비밀번호를 바꾸고 *쇼핑몰에 전화를 걸어 문의한 결과 누군가 A씨의 계정으로 접속해 마일리지로 문자이용권을 구입한 것으로 확인됐다.유출된 개인정보를 이용해 포털사이트나 온라인마켓 이용자의 이용 포인트로 문자메시지 이용권을 구입한 후 스팸문자로 활용하는 범죄가 활개치고 있어 사용자들의 주의가 당부되고 있다.
A씨의 경우, 21일 0시 35분에 *쇼핑몰의 포인트를 통해 문자이용권을 구매했다는 메일을 받았다. A씨는 자신이 결제하지 않았기 때문에 도용을 의심하고 0시 40분경 패스워드를 교체했다.
*쇼핑몰에 따르면 특정 IP가 여러 번 로그인을 시도해 결국 로그인에 성공했고 A씨가 패스워드를 바꾼 0시 40분 이후 다시 특정 IP가 접속시도를 했다고 전했다.
*쇼핑몰 측 한 관계자는 “A씨의 경우 패스워드를 바꿨기 때문에 도용자가 문자서비스를 이용하지 못했지만 다른 피해자들은 도용된 문자서비스로 도박업체 스팸문자를 보낸 것으로 확인됐다”고 말했다.이런 문자메시지 도용은 *쇼핑몰만의 문제는 아니다. 많은 포털사이트와 온라인마켓이 마일리지나 포인트로 문자메시지를 이용할 수 있도록 하고 있어 계정이 도용될 경우 이런 피해를 입을 수 있다는 것.
-중략-보안업계의 한 관계자는 “개인정보 노출사고로 인해 사용자 정보가 노출 됐을 경우, 노출된 정보를 이용한 다양한 피해가 나타날 수 있다”면서 “이런 잠재적인 피해를 미리 막기 위해서는 수시로 패스워드를 교체하고 유추가 가능한 패스워드는 피하며, 가급적 다른 사이트에서 같은 패스워드를 사용하는 것을 자제해야 한다”고 조언했다.
[기사전문보기]
-
-
-
메신저 업계, 피싱과의 전쟁 선포
-
네이트온-MSN, 메신저 피싱 대응 공동 캠페인
메신저 업계의 대표 주자 네이트온과 MSN이 메신저 피싱 범죄 근절을 위해 힘을 모으기로 했다.네이트온과 윈도우라이브 메신저를 운영하는 SK커뮤니케이션즈 (대표 주형철)와 한국마이크로소프트 (대표 김제임스우)는 피싱 피해를 줄이기 위한 대고객 캠페인과 기술적 대응 등에 공동으로 임할 계획이라고 21일 밝혔다. 또한 경찰청 사이버테러대응센터와의 공조 협력도 확대해 범죄인 검거와 금전적 피해 예방을 위한 신속한 대응에 박차를 가하기로 했다.
그간 각 사는 패스워드 암호화, 비밀번호 변경 캠페인, 대화 중 피싱방지 문구 삽입, 보안패치 업그레이드 등 지속적인 피싱 방지 노력을 펼쳐왔다. 하지만 이같은 노력에도 불구하고 범죄가 근절되지 않고 있어 업계 공동의 강력한 대응책을 마련하기로 한 것이다.
우선 양사는 ‘메신저 피싱 방지 10계명’을 공동 구성, 적극적 홍보에 나설 방침이다. 고객의 주의 촉구 메시지를 담은 10계명은 홍보 배너와 공지사항 등을 통해 포털 ‘네이트’와 포털 ‘MSN’에 게재되며, 네이트온과 윈도우라이브 메신저 팝업 공지를 통해서도 노출된다.
기술적 피싱 차단을 위해서도 공조하기로 했다. 피싱 범죄에 사용되어 차단된 IP, 신고된 IP와 차단 사유, 신규 피싱 패턴 등을 공유해 범죄를 사전에 예방하고, 신규 보안 조치 공유를 통해 양측의 보안 기술을 공동 발전시켜 서비스에 적용할 계획이다.
또한 경찰과의 공조 하에 범죄에 사용된 것으로 보고된 은행 계좌에 대한 정보를 공유하고 해당 계좌에 대한 조치가 신속히 일어날 수 있도록 협조할 계획이다. 메신저 피싱 범죄의 경우 이처럼 신속한 대응을 통해 금전적 피해 확산을 막을 수 있는 만큼 양사는 신고 전담 창구도 강화했다.
<메신저 피싱방지 10계명>1. 메신저 비밀번호는 주기적으로 변경한다.
2. 사용하지 않는 메신저 계정이나 버디 리스트는 삭제한다.
3. 단기적인 목적으로 가입한 사이트는 사용후 탈퇴한다.
4. 각 웹사이트의 아이디와 비밀번호는 가급적 다르게 설정, 관리한다.
5. 메신저를 최신 버전으로 업데이트하고 보안 기능을 최대로 설정, 이용한다.
6. 보안백신을 설치, 주기적으로 업데이트하고 바이러스 검사를 실시한다.
7. 메신저 피싱이 의심될 경우 즉각 버디들에게 알리고 송금중지를 요청하며, 경찰, 은행에 신고 조치한다.
8. 메신저를 통한 금전 요청 시 전화로 본인여부를 확인하고 타인 명의 통장으로 송금하지 않는다.
9. 사용하는 인터넷 브라우저는 최신 버전으로 업데이트하고 보안기능을 습득, 적극 활용한다.
10. 공용PC 이용시 보안검사를 실시하며 이용후 반드시 로그아웃 버튼을 누르고 창을 닫는다.
-
-
-
행안부, 인터넷기업과 개인정보보호 캠페인 추진
-
오는 8월부터 대대적인 ‘개인정보보호 온라인 캠페인’ 실시키로
행정안전부(장관 이달곤)는 오는 8월부터 모든 국민들이 본인의 개인정보를 스스로 안전하게 관리할 수 있도록 다양한 ‘개인정보보호 온라인 캠페인’을 실시하기로 했다고 12일 밝혔다.
또한 개인정보를 취급하는 공공기관이나 민간기업이 시간과 공간에 구애받지 않고 언제, 어디서나 개인정보보호 교육을 받을 수 있도록 온라인 교육콘텐츠를 제작·제공할 계획이다.
우선 행안부는 네이버, 다음, 파란, G마켓, 엔씨소프트 등 인터넷기업과 공동으로 ‘개인정보보호 온라인 캠페인’을 추진해 포털사이트 배너광고 등을 통해 개인정보침해 피해사례와 개인정보보호 수칙을 알릴 계획이다.
개인별 인터넷 이용성향에 따라 발생할 수 있는 개인정보 침해유형을 파악하여 유형별로 개인정보 보호조치 사항을 안내하고 ‘OX 퀴즈’ 이벤트를 실시하여 ‘개인정보 안전수칙’을 배우며 참여자에게 경품도 지급한다.
또한 ‘개인정보보호 실천사례’ UCC를 제작해 지하철 및 정부 홍보전광판 등에 방영하고, 개인정보 침해 피해자의 신속한 권리구제를 위하여 ‘개인정보 침해 구제 방법’도 홍보할 예정이다.
한편 공공기관 및 민간기업의 개인정보 취급 담당자가 개인정보보호를 위해 지켜야 할 법 의무사항과 관리적·기술적 조치사항에 관한 온라인 교육과정을 확대 제공할 계획이다
[기사전문보기]
-
-
-
[긴급] DDoS 대란
-
[긴급] DDoS 대란, 10일 PC이용자가 반드시 지켜야 할 사항!!
DDoS 악성코드 감염 PC는 특정파일(wservice.exe)이 7월 10일 00:00 정각에 하드디스크의 내용을 손상시키는 기능이 동작, 부팅 불능 등 대규모 피해가 발생할 것으로 행정안전부는 경고했다.
삭제할 대상 파일은 msiexecl.exe 등 msiexec숫자.exe 파일,mstimer.dll, wversion.exe 등이다. 주의할 사항은 시스템 폴더의 msiexec.exe 파일은 정상이므로 삭제하면 안된다.
7월 10일 이후 대응방법
이용자들은 우선 PC를 안전모드로 부팅한 후 시스템의 날짜를 2009.7.10 00시 이전으로 바꾸고 최신 버전의 백신프로그램을 이용하여 PC 점검을 실시해야 한다.
안전모드 부팅방법은 PC전원을 누른 후, 바로 F8 버튼을 여러번 반복하면 된다.
[기사전문보기]
-
-
-
[긴급] 대기업과 포털사이트 이벤트 사칭 신종 피싱 주의
-
KISA, 이벤트 사칭 신종 피싱 주의 당부
대기업이나 주요 포털사이트의 이름으로 오는 이벤트 메일에 대해 네티즌들의 주의가 필요해 보인다.
한국정보보호진흥원(KISA, 원장 황중연)은 최근 대기업, 주요 포털 등을 사칭하여 개인정보를 수집하는 메일을 발송, 이를 통해 개인정보를 수집하는 이른 바 ‘신종 피싱(Pishing)‘ 사례가 출현하여 주의가 필요하다고 당부했다.
KISA 개인정보침해신고센터의 조사결과에 따르면 이들은 국내 대기업, 주요 포털사이트의 이메일 양식을 이용 ▲정수기, ▲신비법 영어회화, ▲공무원 수험서 등의 상품을 무료 체험할 수 있다고 속여 이름, 주민번호, 나이, 전화번호, 주소 등 광범위한 개인정보를 수집하고 있는 것으로 드러났다.
이러한 피싱 메일은 스패머가 메일의 발송경로를 조작, 악성코드에 감염된 좀비 PC를 이용하거나 다수의 해외 호스팅 업체를 경유하여 URL을 변조한 후 발송하기 때문에 실제 발송자를 추적하기가 매우 어려운 것으로 확인됐다.
한국정보보호진흥원 정연수 팀장은 “신종 피싱 메일은 공신력 있는 기관에서 사용 중인 메일 양식을 이용하고, 송신자 메일 주소가 정상 사이트의 관리자 메일주소(webmaster@abc.com)와 매우 유사(webmaster@reply.abc.com, webmsster@abc.com)한 것이 특징”이라면서 “피싱 메일의 이미지 클릭 시 접속된 사이트의 온라인 주소가 비정상적으로 길거나 정상 도메인과 동일하지 않을 경우 일단 의심하고, 확인하는 습관이 필요하다.”고 당부했다.
[기사전문보기]
-
-
-
인터넷뱅킹 사고 예방위한 범금융권 캠페인 추진
-
개인정보보호 홍보 및 기술적 조치 마련
금융위원회와 금융감독원은 오는 7월 1일부터 6개월간 금융회사ㆍ금융협회ㆍ금융정보보호기관 등과 공동으로 안전한 전자금융거래를 위한 ‘범금융권 고객정보보호 캠페인’을 추진한다고 밝혔다.
이번 캠페인은 인터넷뱅킹 이용고객이 고객확인용 비밀정보(공인인증서, 공인인증서 비밀번호, 계좌비밀번호, 보안카드 등)를 안전하게 관리하는 구체적인 요령을 알기 쉽게 만들어 중점 홍보함으로써 인터넷뱅킹 사고를 예방하기 위한 취지로 마련됐다.
홍보 방안으로는 포스터나 홍보전단 등을 금융회사 영업점에 게시 또는 배포을 공통으로 진행하고 금융회사 홈페이지에 팝업창, 플래쉬, 배너광고 등을 게시하여 온라인 홍보을 진행하도록 할 계획이다.
또한 금융정보보호기관을 대상으로 금융정보보호 컨퍼런스·세미나 개최, 금융정보보호 우수논문 공모 등을 실시하여 정보보호 의식 고취시킨다는 방침이다. 아울러 본인확인을 강화하기 위해 상위등급 거래수단(OTP발생기, 보안토큰, 전화승인서비스, 휴대폰SMS통보) 보급 확대하고 공인인증서 발급이나 재발급시 SMS로 통보하고 오래된 보안카드 재발급하도록 할 계획이다.
아울러 캠페인 기간 중 각 참여기관은 자사의 인터넷뱅킹 환경을 감안하여 자율적으로 마련한 ‘기술적ㆍ제도적 고객정보보호대책’을 기반으로 정보보호시스템을 새로 구축하거나 정보보호제도를 개선하게 될 것으로 기대했다.
인터넷 뱅킹 비밀정보 관리 요령① 공인인증서, 보안카드, 비밀번호 등은 e-mail함, 웹하드 등 인터넷에 보관하지 마세요. 보관한 경우 즉시 삭제하고 금융회사를 방문하여 교체하세요.
② 공인인증서는 PC보다 USB, 보안토큰 등 이동식저장매체에 보관하세요.
③ 보안카드는 복사 또는 스캔하지 말고, 오래된 보안카드는 재발급 받으세요.
④ 금융거래 ID, 비밀번호는 인터넷 포털 및 쇼핑몰 등의 ID, 비밀번호와 다르게 설정하고 절대로 타인에게 알려주지 마세요.
⑤ 가장 안전하게 인터넷 금융거래를 이용하려면 OTP 발생기, 보안토큰, 전화승인서비스를 사용하세요.
⑥ 계좌이체·공인인증서 재발급 등의 이용내역을 즉시 알려주는 휴대폰문자서비스(SMS)를 가입하세요.
⑦ PC방, 도서관 등 공공장소에서 인터넷 금융거래를 가급적 하지 마세요.
⑧ 예금인출 사고를 당한 경우 즉시 금융회사에 신고하고 출금정지를 요청하세요.
[기사전문보기]
-
-
-
[해킹당한 사이트]2009년 6월 15일
-
13개 사이트 해킹당해
국내 웹 공격 및 사이버 범죄 독립 감시기관인 zone-h.kr이 공개하는 국내 해킹 현황을 참고하면 2009년 6월 15일에는 13개의 해킹 당한 사이트를 살펴볼 수 있다.
이날 해킹당한 안산가정교회 사이트는 메인페이지가 해킹당해 첫 화면이 디페이싱 된 페이지로 나타나고 있다. 메인페이지가 디페이싱 됨에도 불구 재빠른 조치가 취해지지 않는 상황으로 봐서 이 사이트의 관리가 소홀하다는 것을 알 수 있다. 악성 해커들은 이렇게 관리가 잘 되지 않는 사이트들을 타깃으로 삼고 있다.
[기사전문보기]
-
-
-
개정되는 개인정보관리 조치 “그 내용은?”
-
개인정보 취급자만 관리하도록 규정
개인정보 암호화 조치 강화
방송통신위원회는 31일 전체회의에서 ‘개인정보의 기술적 관리적 보호조치 기준 고시 개정안’을 의결했다. 개정안은 내년 1월부터 적용되지만 방통위 측은 순차적으로 이 기준을 적용하도록 할 방침이다. 이 내용은 준용사업자에게도 적용되기 때문에 기업들의 인터넷상 개인정보보호 조치가 강화될 것으로 보인다.주요내용은 정보보호책임자와 정보열람 권한을 가진 개인정보취급자를 정의해 개인정보를 내부관리계획에 따라 관리하도록 하는 것과, 해킹 공격에 대한 개인정보처리시스템의 안정성 강화를 위해 접근통제 규칙 및 방법을 상세화했고, 외부 망에서 개인정보처리시스템 접속이 필요한 경우 안전한 인증수단을 적용해 접근통제 강화했다. 또한 개인정보취급자의 비밀번호 작성규칙을 구체화해 해킹 또는 비밀번호 추측 공격에 의한 피해를 최소화하도록 한다는 계획이다.
개정에 따른 용어 정의 수정
정보통신망 이용 촉진 및 정보보호 등에 관한 법률에 정의한 용어 이외에 시행령 및 보호조치 기준의 신규용어에 대한 해석상의 혼란을 방지하기 위해 용어 정의 조항 추가됐다.
개정된 내용은 ‘개인정보관리책임자’, ‘개인정보취급자’, ‘개인정보처리시스템’, ‘비밀번호’, ‘접속기록’, ‘바이오정보’, ‘P2P', ’공유설정‘, ’보안서버‘, ’SSL' 및 ‘인증정보’ 11개 용어 정의를 추가하는 내용이다. 이를 통해 용어의 일관성 유지를 통한 해석상 혼란을 방지하겠다는 의도다.
정의된 내용- 개인정보관리책임자 : 정보통신서비스제공자의 사업장 내에서 이용자의 개인정보보호 업무를 총괄하거나 업무처리를 최종결정하는 임직원
- 개인정보취급자 : 개인정보보호를 위한 기술적ㆍ관리적 보호조치를 실제 구현 운영하거나, 업무상 개인정보 취급이 불가피한 자(해석 : 가장 우선적으로 고려할 사항은 개인정보취급자가 누구인지 보다는 취급자를 지정할 경우 의무를 다해야한다는 것)
- 개인정보처리시스템 : 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(해석 : 데이터베이스시스템을 기본으로 하되, 개인정보 수집, 보관, 처리, 이용, 제공, 파기 등을 직접적으로 수행하는 시스템도 포함, 웹사이트를 통해 개인정보를 수집하는 웹서버, 고객응대 업무등을 위해 개인정보취급자가 접속해 고객의 개인정보를 조회할 수 있는 업무처리시스템 등이 포함)
- 비밀번호 : 이용자 및 개인정보취급자 등이 시스템 또는 정보통신망에 접속할 때 식별자와 함께 입력해 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야하는 고유 문자열로 타인에게 공개되지 않는 정보를 말한다.
- 접속기록 : 이용자 또는 개인정보취급자 등이 개인정보처리시스템에 접속해 수행한 내역에 대해 식별자, 접속일시, 접속지를 알 수 있는 정보 등 접속한 사실을 전자적으로 기록한 것
- 바이오정보 : 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보
- P2P(Peer to Peer) : 정보통신망을 통해 서버의 도움 없이 개인과 개인이 직접 연결돼 파일을 공유하는 것
- 공유설정 : 컴퓨터의 파일을 타인이 조회ㆍ변경ㆍ복사 등을 할 수 있도록 설정하는 것
- 보안서버 : 정보통신망에서 이용자 개인컴퓨터와 웹서버 사이에 송ㆍ수신되는 정보를 암호화해 전송하는 서버
- SSL(Secure Socket Layer) : 데이터를 송ㆍ수신하는 두 종단 간에 인증, 암호화, 무결성을 보장하는 업계 표준 통신규약
- 인증정보 : 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등이 요구한 식별자의 신원을 검증하는데 사용되는 정보
-
-
-
미니홈피 방문자 200만명 접속정보 빼낸 일당 검거
-
쿠키를 가로채는 전문해킹기술 이용해 2억 부당이익 챙긴 일당 검거
싸이월드 미니홈피에 방문자 개인정보를 자동 유출하는 프로그램을 설치, 방문자들의 PC로부터 방문자 정보가 포함된 ‘쿠키’ 정보를 가로채 약 2백만명의 방문자 개인정보 3천4백만여건을 유출해 약 2억원의 부당이득을 취한 일당이 경찰에 붙잡혔다.
경찰청 사이버테러대응센터는 미니홈페이지 운영자의 의뢰를 받고 방문자 개인정보를 자동 유출하는 악성프로그램을 미니홈페이지에 설치, 수백만명의 개인정보를 의뢰인에게 제공하는 수법으로 수억원의 부당이득을 취한 피의자 고씨 등 일당 6명 검거(불구속)했다고 7일 발표했다.
경찰에 따르면, 피의자들은 S사에서 서비스하는 미니홈페이지 운영자들에게 메신저 쪽지나 휴대폰 문자메시지 광고를 전송해 월1만원의 유료회원으로 가입할 경우 미니홈페이지 방문자 개인정보를 수집·제공해 주겠다고 홍보해 회원가입을 받은 후, 2008년 10월부터 올해 5월경까지 위와 같이 유료회원으로 가입한 1만6천명의 미니홈페이지에 방문자 개인정보(방문일시, 방문자명, 방문자 접속IP, 방문자 접속지역, 방문이력)를 자동 유출하는 악성프로그램을 설치해 방문자들의 PC로부터 방문자 정보가 포함된 ‘쿠키’ 정보를 가로채 약 200만명의 방문자 개인정보 3,400만여건을 유출해 유료회원들에게 제공하는 수법으로 약 2억원의 부당이득을 취한 것으로 알려졌다.
이번에 피의자들이 이용한 쿠키를 가로채는 전문해킹기술은 국내에서는 2003년에 유명 해커그룹 멤버들이 최초로 사용한 해킹기술로써, 현재 가장 쉬우면서도 위험성이 높은 해킹 기술로 평가되고 개인정보 도용범죄에 많이 악용되고 있다는 것이 경찰 측의 설명이다.
또한 이들 피의자들은 불과 약 6개월 간 2백만명의 개인정보 3천4백만건을 유출하고 돈벌이 수단으로 악용을 했으며, 유료회원들에게 제공받은 ID와 비밀번호 도용, 방문자 추적사이트를 홍보하는 내용의 쪽지를 네티즌들에게 무단 발송하고 방문시간·방문자명·방문자 IP 등 개인 통신기록을 비롯해 방문자의 위치정보를 시군구 단위까지 제공해 개인정보와 위치정보 침해의 심각성을 보여줬다.
특히 이번 사건은 설치비용을 지불하고 자신의 미니홈페이지에 악성프로그램을 설치함으로써 인터넷의 특징인 익명성을 무력화시켜 범죄불감증을 여실히 보여준 한 예라 하겠다.
이와 관련 경찰청 사이버테러대응센터 관계자는 쿠키정보에 대한 보안 강화 측면에서 “사용자는 브라우저를 최신 프로그램으로 업그레이드(IE8)하고 사이트 측에서는 쿠키 유출을 방지할 수 있는 프로그램으로 업데이트 등의 조치가 필요하다”고 조언했다.
[기사전문보기]
-
한국기업보안 주식회사 | 서울특별시 서초구 강남대로99길 53 삼우빌딩 4층 (우)06527
COPYRIGHT © 2021 KORSEC. ALL RIGHTS RESERVED.
