'보안'에 해당되는 글 21건

12월 18일 뉴스입니다.

12월 18일부터 21일까지 휴가를 겸한 출장을 다녀와서 뉴스 정리를 못했습니다.
하지만 포스팅 하나에 4일치를 올리기에는 양이 너무 많아 18일부터 21일까지 각각 올리도록 하겠습니다.

상당히 다양한 뉴스가 있었는데요

먼저 안랩에서 발표한 피싱페이지 주의입니다.
유명 포털로 위장한 페이지에서 보안프로그램 설치 안내창이 뜨면서 접속한 환경에 맞춰 설치파일(exe, apk 등)이 다운로드되고 이를 이용해 전화번호, IMEI 등의 개인정보를 수집한다고 하는데요 확인되지 않은 URL 접속 시에는 한번 더 확인이 필요할 것 같습니다.

다음 뉴스는 페이스북 관련 뉴스입니다. 페이스북은 조용한 날이 잘 없는 것 같은데요 이번에는 위치정보에 관한 뉴스입니다. 위치서비스를 꺼도 태그나 체크인기능, IP 등을 통해 추정할 수 있다는 내용인데요 음.. 태그나 체크인은 본인이 위치를 저장하는 기능인데 이 기능은 쓰면서 위치는 저장하지 말라고 한다면 체크인이나 태그 장소에 대한 정보를 없애라는 말인데 개인적으로 그걸 제한한다는건 그닥 와닿지는 않습니다.

개인정보 손해배상 책임보험 의무화에 관한 기사가 있었는데요 아무래도 시행이 열흘밖에 남지 않은 상태이다보니 아직 가입하지 않은 사업자는 맘이 급해질 것 같습니다.
이런 상황 속에서 호스팅 업체와 보험사가 손을 잡고 호스팅업체를 이용하는 고객을 대상으로 비대면 서비스 등을 만드는 것으로 보입니다. 말일에는 병목현상이 일어날 지도 모른다고 하니 불안하시다면 미리 가입하는게 좋지 않을까 싶네요

KISA와 중국인터넷협회가 한국인 개인정보보호를 위한 MOU를 맺었다고 하는데요 개인정보의 유노출이 일어나면 그 데이터의 상당수가 중국으로 넘어간다고 하는 상황에서 이러한 움직임은 반드시 필요할 것으로 보입니다. 다만 워낙 땅덩이가 넓은 나라이다보니 과연 한국인의 정보가 제대로 보호될 수 있을지 의문이 들기는 하네요

데이터3법에 대한 기사가 2건이 있었는데요 한건은 빨리 통과되어야 한다는 내용이고 다른 한건은 통과에 대한 부정적인 의견입니다. 하루빨리 데이터3법이 결론이 나야 보안담당자들도 그에 발맞춰 내년 계획을 잡을 수 있을텐데 결론이 날 조짐은 보이질 않는군요...

환자 개인정보 유출한 의사에 관한 기사가 있었습니다. 400만원 벌금에 그마저도 선고유예군요... 아무리 봐도 합당하지 않은 처벌이라는 생각이 들긴 합니다만 이렇게 가벼운 처벌이 계속 있을거라 생각하고 개인정보를 오용이나 남용하지 않으셨으면 하는 바램입니다.

윈도우7 기술지원 종료에 관한 소식이 있었습니다. 윈도우7 EoS가 얼마 남지 않은 상황 속에서 아직 업그레이드 되지 않은 시스템이 상당히 많이 남아있다고 하죠. 하루빨리 정상적인 업그레이드와 함께 업그레이드 한 이후에도 실시간 패치를 해야 정말 안전하게 지켜나갈 수 있을테니 그에 대한 대책도 세우셔야 할 것 같습니다.

그밖에 독일 통신사가 GDPR 위반으로 124억의 벌금을 선고받았다는 내용이나 변화하는 환경에서 기존 보안 프로세스와 툴의 무용에 관한 내용, 과기부 예산, 오픈뱅킹의 위험, 다크웹 등 다양한 기사들이 있었습니다.

더 많은 내용은 기사를 참고하세요~

12월 17일 뉴스입니다.

먼저 이스트 시큐리티의 2020년 보안이슈전망입니다. 연말이 되니 각 기관과 보안업체에서는 2020년 보안이슈전망을 내놓는데요 약간씩은 다르긴 합니다만 겹치는 부분도 상당히 많습니다. 잘 취합해서 내년 준비를 잘 해나가야 할 것 같습니다.

다음은 데이터3법에 관한 의견인데요 데이터3법 처리를 촉구하는 기사와 데이터3법이 처리되기 전에 데이터 보호 대비가 우선이라는 상반된 기사가 있었네요

노조를 반박하기 위해 환자 개인정보를 빼낸 의사가 벌금형을 받았습니다. 개인정보의 목적 외 이용 위반인데요 '우발적'이라는점과 부당한 목적을 가지지 않았다는 점이 양형 사유로 고려되었다고 하는데 쉽게 이해가 가지 않는 부분입니다.

스마트홈의 해킹 얘기는 몇일째 나오고 있는 것 같은데요 홈CCTV가 문제가 되기는 했습니다만 집 문까지도 제어가 가능한 시스템인만큼 각별한 주의가 필요할 것 같습니다.

구글이 최대 17억의 포상금을 걸고 취약점을 찾고 있다고 하는데요 수많은 화이트해커 분들께서는 도전해보실만하지 않을까 싶습니다. 우리나라도 공개적인 취약점 점검을 공개적으로 해도 될텐데 말이죠...

주유소 전산시스템에서 카드정보를 복제할 수 있다는 소식입니다. 예전에도 몇번 나온 얘기같은데요 아무도 신경쓰지 않는 곳이지만 수많은 정보가 오가는 곳인만큼 주의가 필요합니다.

그밖에 정보보호공시제도나 데일리시큐에서 주관하느니 2020 정보보안컨퍼런스 일정, 손해배상책임보험, 보안 비즈니스 등 다양한 기사가 있었습니다.

자세한 내용은 기사를 참고하세요~

12월 16일 뉴스입니다.

먼저 아마존의 '링' CCTV 해킹 소식입니다. 이미 주말동안에 나간 기사들입니다만 물리보안을 위해 설치한 CCTV가 오히려 사생활을 침해하고 해커들의 침입통로가 되어버렸습니다.

다음 뉴스는 화이트해커에 관한 뉴스인데요 구글에서 최대 175억이라는 엄청난 금액을 포상금으로 걸었습니다. 미국은 버그바운티도 그렇고 이런 제도가 참 잘 되어 있는 것 같습니다.

부산의 조선일보 전광판이 해킹당했는데요 이게 정말 해킹으로 봐야하는가에 관한 문제부터 미성년자에 대한 처벌을 어찌 할것인가에 대한 다양한 의견의 기사가 있습니다.

그밖에 부동산 프로그램의 위험성이나 비자를 대상으로 공격이 늘어나고 있다는 기사도 있었고 RSA인증서의 취약점이 발견되었다는 기사도 있었습니다.

그 밖에도 다양한 기사가 있으니 자세한 내용은 기사를 참고하시기 바랍니다.

12월 15일 뉴스입니다.

주말동안 특별한 사건은 없었네요

다만, 어제 기사에서 알려드린 부산의 조선일보 전광판 해킹(?)사고 기사가 주를 이루었네요.

그밖에 많은 기사가 있었는데요

연말에 헤이해진 틈을 타 일어나는 공격에 대비하자는 기사나 데이터3법에 따른 분야별 상황별 이슈에 관한 길, 미국에서 발생한 CCTV 해킹에 따른 스마트홈의 보안문제 등이 있었습니다. 매크로는 망법상 악성프로그램으로 볼 수 없다는 판결도 있었네요

12월 12일 뉴스입니다.

먼저 금융보안원에서 금융권 공격방법과 침해 흔적을 분석해서 만든 사이버 인텔리전스 보고서를 발간했다고 합니다. 비단 금융권 뿐 아니라 다른 업종에서도 활용할만한 보고서일 것으로 보입니다. 금보원의 인텔리전스 보고서는 홈페이지에 올라오고 있으나 아직 공개되지 않았는지 업로드 된 보고서는 보이지 않습니다.(홈페이지)

다음으로는 북한의 해커조직인 라자루스가 러시아 범죄조직인 트릭봇과 공조한 정황이 발견되었다는 소식입니다. 범죄조직과 사이버전 부대의 공격성향은 여러가지 측면에서 다르기도 하고 서로 장단이 있을텐데요 두개 조직의 공조로 더욱 복잡한 공격 방법이 나오지 않을까 싶습니다.

다음으로는 KISA의 사이버 위기 대응 모의훈련 강평회 소식입니다.
참가 인원도 2배로 늘었고 최초로 에너지 분야 특화 훈련을 시행했는데요 KISA주관의 모의훈련 뿐 아니라 기업 자체적으로도 지속적인 모의 훈련을 통해 정보보호 인식 수준을 높여나가야 할 때인것 같습니다.

그밖에도 많은 소식이 있었는데요

국가 차원에서 지원하는 베가 랜섬웨어의 변종이 발견되었다는 소식이 있었구요 스마트팩토리로 변화하는 제조현장에서 OT(Operation Technology)의 보안 수준을 높여야 한다는 기사도 있었습니다.
그 외에 11일 발생한 코스닥협회 임직원 개인정보 유출에 관한 기사도 있었고 윈도우7 종료나 언제나 나오는 스미싱에 관한 기사도 있었습니다.
데이터3법은 무산되었지만 데이터 활용에 관한 여러가지 기사는 계속해서 나올 것 같은 모습이며 연말이 다가오다보니 올해 회고와 내년 전망에 대한 기사도 등장하고 있네요

자세한 내용은 기사를 참고하세요

12월 11일 뉴스입니다.

데이터3법에 대한 기사가 많이 줄기는 했습니다만 여전히 대부분을 차지하고 있습니다. 그 외에 주를 이루는 소식은 없었습니다만 해외에서 사고 소식은 몇건 있었네요...

먼저 데이터3법 소식입니다.

적지않은 소식이 있었는데요

인도에서 클라우드 설정 오류로 엄청난 건의 개인정보가 노출되었습니다. 클라우드의 사용이 늘어나면서 설정 오류로 인한 노출이 이슈가 될 수밖에 없는 것 같습니다. 기존 온프라미스 환경에서도 설정값의 중요성은 아무리 강조해도 작지 않았지만 클라우드라는 오픈된 환경에서 그 중요성은 날이 갈수록 더 커지는 듯 합니다. 클라우드를 사용하시는 보안담당자분들께서는 한번쯤 더 점검해보셔야 할 것 같습니다.

윈도우7의 EoS가 한달도 남지 않아 그에 대한 기사도 몇 건 있었구요

대학은 ISMS도 거부하더니 이번 개인정보 배상 책임보험도 거부하는군요.. 학생들의 개인정보는 지킬만한 가치가 없다고 보는건지 아니면 정보보호 자체에 대한 의지가 없는건지 모르겠습니다.

그밖에 다양한 소식은 기사를 참고하시기 바랍니다.

12월 10일 뉴스입니다.

뉴스를 보면 크게 특별한 이슈가 없는 하루였습니다.

데이터3법이나 SK에서 발표한 2020 사이버 위협 전망이 주를 이루었습니다.

먼저 데이터3법에 대한 기사입니다.

다음은 SK에서 발표한 2020 사이버 위협 전망입니다.

그밖의 뉴스입니다.

패스워드 보안 앱에 대한 소개 기사가 있었습니다. 패스워드 관리는 보안의 기본인 만큼 고민들이 많으실텐데요 패스워드 보안앱은 편의성과 보안성을 높여주고는 있지만 해당 앱이 이슈 발생 시 그 안에 있는 모든 사이트에 영향을 줄 수 있기 때문에 주의해서 사용하셔야 할 것 같습니다.
CASB 제품 비교하는 방법에 대한 기사도 있었는데요 클라우드 시대가 시작되면서 많은 보안 환경이 변화한 것 같습니다. CASB제품은 그런 흐름 속에서 나온 제품인데요 아직 썩 맘에드는 레퍼런스를 찾지 못해 고민인 부분입니다.
그밖에도 다양한 기사가 있으니 기사 내용 참고하시기 바랍니다.

12월 9일 뉴스입니다.

여전히 핫이슈는 데이터3법입니다.
아마도 국회가 끝날때까지 끝나지 않는 문제겠죠
워낙 많은 이해관계가 걸려있고 기업의 데이터 활용이 우선이냐 개인정보의 보호가 우선이냐는 보는 관점마다 다른 문제이기 때문에 논란이 없어질 수는 없는 듯 합니다.

그 다음으로 SK인포섹에서 내년 5대 사이버 위협 전망을 발표했습니다. 오늘 세시에 웨비나가 있었는데요 너무 바빠 웨비나 등록도 못하고 듣지도 못했네요;;;
크게 사이버 테러 공격의 진화, 대규모 랜섬웨어 감염을 위한 공격 형태 다양화, IoT공격, 클라우드 APT Target공격, Dark Web Marketplace 대중화가 있었는데요 KISA에서 발표한 7대 사이버 공격전망(링크)과 동일한 내용도 있고 약간 상이한 내용도 있습니다.

그 다음으로는 지난 7월 17일 있었던 민원인의 개인정보를 이용해 사적 연락한 경찰이 '견책' 처분이 내려졌다는 소식입니다. 견책이라면 공무원의 징계 중 가장 낮은 수위의 징계인데요 해당 경찰이 개인정보처리자가 아닌 '개인정보 취급자'이기 때문에 신분상 처분만 했다고 하는데요 해당 경찰이 개인정보 취급자이기 때문에 처벌할 수 없다면 개인정보취급자는 개인정보처리자의 지휘를 받아 처리하는 업무를 담당하는 자이니 개인정보처리자의 지위에 있는 전북경찰청이나 그 하위조직인 경찰서는 법적 책임을 져야하는게 아닌가 하는 생각이 듭니다.

마지막으로 그밖의 다양한 뉴스입니다.

보안 실무자 영입경쟁이 치열해지고 있다는 소식이 있었습니다. 보안담당자인 저로서는 반가운 소식이 아닐 수 없습니다. 현대차의 공격 소식도 있었고 유튜버를 사칭한 스팸이나 택배를 통한 개인정보 유출 소식도 있었습니다. 대한의원협회에서는 대부분의 의료기관이 개인정보책임보험 가입 의무대상자가 아니라는 소식도 있습니다.

다양한 소식은 기사를 참고하시기 바랍니다.

12월 5일 뉴스입니다.

오늘 가장 많은 양의 뉴스를 차지한 것은 KISA의 2020년 7대 사이버 공격 전망 발표 소식이었습니다. 7대 사이버 공격 전망에는 다음과 같은 내용이 있었습니다.
1. 일상으로 파고든 보안 취약점
2. 공공기관·기업으로 확대되는 랜섬웨어 공격
3. 해킹에 취약한 가상통화 거래소
4. 문자·이메일 안으로 숨어드는 악성코드
5. 진화하는 지능형 표적 공격
6. 모바일 소프트웨어 공급망 공격
7. 융합 서비스 대상 보안 위협 등이 포함됐다.
2020년 7대 사이버 공격 전망과 관련한 기사는 다음 내용을 열어서 참고하시면 되겠습니다.

다음은 여전히 나오고 있는 데이터3법에 관한 기사입니다. 특히 정보통신망법 개정안이 국회 과학기술방송통신위원회를 통과했다는 내용과 주한EU대사의 적정성평가 협상에 진전이 있다는 내용이 주를 이루었으며 여전히 데이터3법에 대한 부정적인 기사도 다수 나타나고 있습니다.
해당 기사는 다음 내용을 열어서 참고하시면 되겠습니다.

다음으로는 이스트시큐리티에서 발표한 스마트폰 악성코드 탐지 통계입니다. 지난 8개월간 400% 증가했다는 내용인데요 스마트폰이 너무나 일상화 되었고 어린 학생들은 컴퓨터보다 스마트폰을 더 편하게 이용한다고 하니 악성코드를 개발하는 해커들 역시 이를 이용하려고 드는건 당연한 일이겠습니다.

관련 기사는 다음 내용을 열어서 확인하세요

이글루 시큐리티에서도 2020년 보안위협-기술 전망 보고서를 발표했는데요 KISA의 사이버공격전망 발표내용과 약간 상이합니다. 두가지 내용을 함께 보시면 좋을 듯 합니다.

그밖에 2년전 발견된 MS 아웃룩 취약점을 이용한 공격이 여전히 성행한다는 내용(기사보기)과 보이스피싱에 관한 기사들이 많이 올라왔습니다. 그리고 보안 향상을 위한 비밀번호 크래킹도구가 공개되었다는 기사가 올라왔는데요 비밀번호의 위험도에 대한 가시성 있는 적나라한 보고서는 비밀번호의 강화가 불편하다고 하는 현업 담당자들에게 큰 경고가 되지 않을까 싶습니다.(기사보기) 해당 도구는 깃헙에서 다운로드 받을 수 있습니다.

다른 내용도 기사를 확인해보세요

12월 4일 뉴스입니다.

오늘도 역시 데이터3법이 최대량의 뉴스를 장식했습니다. 특히 정보통신방송법안심사소위원회에서 정보통신망법 개정안이 통과되어 법제사법위원회 심사 단계에 들어서게 되면서 이와 관련하여 데이터3법의 빠른 통과를 촉구하는 기사와 데이터3법에 반대하는 상반되는 기사가 쏟아져 나왔습니다.

다음으로는 북한이 배후로 추정되는 해킹 조직에서 청와대 행사 견적서로 위장한 APT 공격이 발견되었다는 기사입니다. hwp로 위장한 exe 파일인데요 파일을 실행시키면 실제 한글파일처럼 내용까지 출력되어 보다 주의를 기울여야 할 것 같습니다.

그 밖에 택배 운송장을 이용한 정보유출에 대한 경고성 기사가 있었습니다. 택배 운송장 등 생활 속 자신의 개인정보보호를 위한 활동은 보안담당자 뿐 아니라 모든 개개인이 숙지하고 지켜야 하는 부분입니다.
그 외에 칼리리눅스의 신버전 출시소식, 개인정보손해배상 책임보험 제도, 수능성적 보안과 관련된 기사도 있었습니다.

보안사고가 날때마다 올라오는 ISMS 인증 무용론은 역시 이번 업비트 사태에도 올라왔습니다. ISMS는 인증대상기관의 관리체계를 심사하는것으로 짧은 시간동안 신청기관이 제출한 증적을 기반으로 심사하는만큼 사고가 나니 ISMS는 소용이 없다고 주장하는 것은 인증심사제도에 대한 이해가 부족한것으로밖에 보이지 않습니다.

그밖에 다양한 내용이 있으니 더 많은 내용은 기사를 참고하시기 바랍니다.