'보안 이야기'에 해당되는 글 1463건

12월 20일 뉴스입니다.

다양한 뉴스가 있었는데요 먼저 수험생에게 '마음에 든다'는 문자를 보낸 수능 감독관에게 무죄가 선고되었다는 기사입니다. 얼마전 사적으로 민원인에게 연락한 경찰이 견책처분을 받은것과 마찬가지로 개인정보처리자가 아닌 개인정보취급자의 행위에 대해서는 개인정보보호법에 따른 처벌을 할 수 없다는 것이 핵심인데요 이 조항으로 인해 개인정보취급자들이 임의로 타인의 개인정보를 이용하게 되는게 아닌지 상당히 위험한 판례가 아닌가라는 걱정이 드는건 너무 오바일까요??

다음 뉴스입니다. 개인정보손해배상책임보험에 대한 내용인데요 망법에서 요구하는 사항이기 때문에 오프라인 판매만 하는 약국은 상관이 없겠습니다만 온라인 몰을 운영하고 홍보를 하는 경우는 적용이 될 것 같습니다. 생각지도 않고 있다가 과태료를 무는 일은 없으셨으면 합니다.

다음으로는 KEB하나은행을 사칭한 해킹 메일에 대한 주의를 기울이라는 내용인데요 보고서나 보안메일로 위장해 있으니 하나은행을 사용하시는 분들은 메일을 이용한 ActiveX나 매크로 유포 위험에 대해 한번쯤 더 확인을 하고 사용하시는게 좋을 것 같습니다.

페이스북에서 사용자 전화번호 2억 6700만개가 노출되었다는 소식입니다. 페이스북 DB로 보이기는 하지만 페이스북을 통해 유출된건 아니라는데요 대부분의 피해자는 미국에 거주중이라고 합니다.

그밖에도 e프라이버시에 대한 기사가 있었구요 IoT보안위협, 포티넷의 글로벌위협전망보고서 발표도 있었습니다. 2019 3분기 글로벌위협전망보고서는 포티넷 홈페이지에서 다운로드 받으실 수 있습니다.(링크)

연말연시 해킹 취약시즌에 대한 경고 기사도 있었구요 아파트 입주시기에 모든걸 알고있는 '명단아줌마'에 대한 내용도 있었습니다.

자세한 내용은 기사를 참고하세요~

12월 19일 뉴스입니다.

먼저 영국 중앙은행 해킹 뉴스입니다.

개인정보 유출 사건은 아닙니다만 기자회견 내용이 헤지펀드 등 업자에게 유출되었다고 하는데요 외부인 보안은 언제나 참으로 힘든 문제인것 같습니다. 권한을 안주자니 일을 맡길수가 없고 권한을 주자니 안심하고 믿고 맡길수가 없고..

rmqkRdp 2019 CISO심포지엄이 26일에 열릴 예정이라는 소식이 있었구요(등록하기) 무선해킹에 대한 경고성 기사도 있었습니다. 프린터 보안이나 윈도우7 EoS, 피싱 등 다양한 소식이 있었습니다.

더 많은 내용은 기사를 참고하세요~

12월 18일 뉴스입니다.

12월 18일부터 21일까지 휴가를 겸한 출장을 다녀와서 뉴스 정리를 못했습니다.
하지만 포스팅 하나에 4일치를 올리기에는 양이 너무 많아 18일부터 21일까지 각각 올리도록 하겠습니다.

상당히 다양한 뉴스가 있었는데요

먼저 안랩에서 발표한 피싱페이지 주의입니다.
유명 포털로 위장한 페이지에서 보안프로그램 설치 안내창이 뜨면서 접속한 환경에 맞춰 설치파일(exe, apk 등)이 다운로드되고 이를 이용해 전화번호, IMEI 등의 개인정보를 수집한다고 하는데요 확인되지 않은 URL 접속 시에는 한번 더 확인이 필요할 것 같습니다.

다음 뉴스는 페이스북 관련 뉴스입니다. 페이스북은 조용한 날이 잘 없는 것 같은데요 이번에는 위치정보에 관한 뉴스입니다. 위치서비스를 꺼도 태그나 체크인기능, IP 등을 통해 추정할 수 있다는 내용인데요 음.. 태그나 체크인은 본인이 위치를 저장하는 기능인데 이 기능은 쓰면서 위치는 저장하지 말라고 한다면 체크인이나 태그 장소에 대한 정보를 없애라는 말인데 개인적으로 그걸 제한한다는건 그닥 와닿지는 않습니다.

개인정보 손해배상 책임보험 의무화에 관한 기사가 있었는데요 아무래도 시행이 열흘밖에 남지 않은 상태이다보니 아직 가입하지 않은 사업자는 맘이 급해질 것 같습니다.
이런 상황 속에서 호스팅 업체와 보험사가 손을 잡고 호스팅업체를 이용하는 고객을 대상으로 비대면 서비스 등을 만드는 것으로 보입니다. 말일에는 병목현상이 일어날 지도 모른다고 하니 불안하시다면 미리 가입하는게 좋지 않을까 싶네요

KISA와 중국인터넷협회가 한국인 개인정보보호를 위한 MOU를 맺었다고 하는데요 개인정보의 유노출이 일어나면 그 데이터의 상당수가 중국으로 넘어간다고 하는 상황에서 이러한 움직임은 반드시 필요할 것으로 보입니다. 다만 워낙 땅덩이가 넓은 나라이다보니 과연 한국인의 정보가 제대로 보호될 수 있을지 의문이 들기는 하네요

데이터3법에 대한 기사가 2건이 있었는데요 한건은 빨리 통과되어야 한다는 내용이고 다른 한건은 통과에 대한 부정적인 의견입니다. 하루빨리 데이터3법이 결론이 나야 보안담당자들도 그에 발맞춰 내년 계획을 잡을 수 있을텐데 결론이 날 조짐은 보이질 않는군요...

환자 개인정보 유출한 의사에 관한 기사가 있었습니다. 400만원 벌금에 그마저도 선고유예군요... 아무리 봐도 합당하지 않은 처벌이라는 생각이 들긴 합니다만 이렇게 가벼운 처벌이 계속 있을거라 생각하고 개인정보를 오용이나 남용하지 않으셨으면 하는 바램입니다.

윈도우7 기술지원 종료에 관한 소식이 있었습니다. 윈도우7 EoS가 얼마 남지 않은 상황 속에서 아직 업그레이드 되지 않은 시스템이 상당히 많이 남아있다고 하죠. 하루빨리 정상적인 업그레이드와 함께 업그레이드 한 이후에도 실시간 패치를 해야 정말 안전하게 지켜나갈 수 있을테니 그에 대한 대책도 세우셔야 할 것 같습니다.

그밖에 독일 통신사가 GDPR 위반으로 124억의 벌금을 선고받았다는 내용이나 변화하는 환경에서 기존 보안 프로세스와 툴의 무용에 관한 내용, 과기부 예산, 오픈뱅킹의 위험, 다크웹 등 다양한 기사들이 있었습니다.

더 많은 내용은 기사를 참고하세요~

SECON 2020 사전등록중이네요

2020년 SECON은 3월 18(수)~20(금)에 킨텍스에서 이루어집니다.

이 블로그를 찾아서 오신 대부분의 분들은 보안 관련 포스팅을 찾아서 오시니 SECON을 모르지는 않으실 것 같습니다.

사전등록은 다음 페이지에서 하실 수 있습니다.

https://onlinereg.ubmasia.com/Registration.aspx?lang=ko&EventID=2020SECON

개인적인 느낌으로는 세미나는 상반기의 SECON&eGISEC과 하반기의 ISEC이 상당히 겹치는 것 같아 내년에는 시간봐서 ISEC은 건너뛸까 고민중입니다만 또 군데군데 새로운 컨퍼런스도 있고 하반기에 새롭게 나오는 제품군도 있으니 시간이 된다면 둘 다 가는 것도 좋을 듯 합니다.

언제나 그렇다시피 아직 컨퍼런스 정보는 오픈되지 않았고 3월은 되야 오픈되겠죠...

사전등록이야 직전까지 할 수 있었던걸로 기억하니 여유있게 하셔도 되겠지만 필요하신 분들은 빨리 해놓는게 맘편하실 것 같습니다.

<일정변경>

코로나 바이러스로 인해 일정이 변경되었습니다.
2020년 7월 6일(월) ~ 8일(수)에 킨텍스에서 개최됩니다.

12월 17일 뉴스입니다.

먼저 이스트 시큐리티의 2020년 보안이슈전망입니다. 연말이 되니 각 기관과 보안업체에서는 2020년 보안이슈전망을 내놓는데요 약간씩은 다르긴 합니다만 겹치는 부분도 상당히 많습니다. 잘 취합해서 내년 준비를 잘 해나가야 할 것 같습니다.

다음은 데이터3법에 관한 의견인데요 데이터3법 처리를 촉구하는 기사와 데이터3법이 처리되기 전에 데이터 보호 대비가 우선이라는 상반된 기사가 있었네요

노조를 반박하기 위해 환자 개인정보를 빼낸 의사가 벌금형을 받았습니다. 개인정보의 목적 외 이용 위반인데요 '우발적'이라는점과 부당한 목적을 가지지 않았다는 점이 양형 사유로 고려되었다고 하는데 쉽게 이해가 가지 않는 부분입니다.

스마트홈의 해킹 얘기는 몇일째 나오고 있는 것 같은데요 홈CCTV가 문제가 되기는 했습니다만 집 문까지도 제어가 가능한 시스템인만큼 각별한 주의가 필요할 것 같습니다.

구글이 최대 17억의 포상금을 걸고 취약점을 찾고 있다고 하는데요 수많은 화이트해커 분들께서는 도전해보실만하지 않을까 싶습니다. 우리나라도 공개적인 취약점 점검을 공개적으로 해도 될텐데 말이죠...

주유소 전산시스템에서 카드정보를 복제할 수 있다는 소식입니다. 예전에도 몇번 나온 얘기같은데요 아무도 신경쓰지 않는 곳이지만 수많은 정보가 오가는 곳인만큼 주의가 필요합니다.

그밖에 정보보호공시제도나 데일리시큐에서 주관하느니 2020 정보보안컨퍼런스 일정, 손해배상책임보험, 보안 비즈니스 등 다양한 기사가 있었습니다.

자세한 내용은 기사를 참고하세요~

12월 16일 뉴스입니다.

먼저 아마존의 '링' CCTV 해킹 소식입니다. 이미 주말동안에 나간 기사들입니다만 물리보안을 위해 설치한 CCTV가 오히려 사생활을 침해하고 해커들의 침입통로가 되어버렸습니다.

다음 뉴스는 화이트해커에 관한 뉴스인데요 구글에서 최대 175억이라는 엄청난 금액을 포상금으로 걸었습니다. 미국은 버그바운티도 그렇고 이런 제도가 참 잘 되어 있는 것 같습니다.

부산의 조선일보 전광판이 해킹당했는데요 이게 정말 해킹으로 봐야하는가에 관한 문제부터 미성년자에 대한 처벌을 어찌 할것인가에 대한 다양한 의견의 기사가 있습니다.

그밖에 부동산 프로그램의 위험성이나 비자를 대상으로 공격이 늘어나고 있다는 기사도 있었고 RSA인증서의 취약점이 발견되었다는 기사도 있었습니다.

그 밖에도 다양한 기사가 있으니 자세한 내용은 기사를 참고하시기 바랍니다.

12월 15일 뉴스입니다.

주말동안 특별한 사건은 없었네요

다만, 어제 기사에서 알려드린 부산의 조선일보 전광판 해킹(?)사고 기사가 주를 이루었네요.

그밖에 많은 기사가 있었는데요

연말에 헤이해진 틈을 타 일어나는 공격에 대비하자는 기사나 데이터3법에 따른 분야별 상황별 이슈에 관한 길, 미국에서 발생한 CCTV 해킹에 따른 스마트홈의 보안문제 등이 있었습니다. 매크로는 망법상 악성프로그램으로 볼 수 없다는 판결도 있었네요

12월 14일 뉴스입니다.

부산 서면에서 아주 어이없는 일이 있었습니다. 조선일보 전광판에 팀뷰어 접속 계정정보가 노출되는 바람에 중학생이 이을 이용해 전광판을 조작했는데요 고급 기술이 들어간 것은 아니지만 그렇다고 해서 해킹이 아닌것은 아니겠죠.. 더구나 원격접속은 현업에서도 많이 이루어질 수밖에 없는 작업인 만큼 경각심을 일으키는 계기가 되었으면 합니다.

다음으로는 CCPA에 대한 소식입니다. CCPA는 내년 1월1일부터 시행되는 캘리포니아 주법인데요 GDPR은 속지주의 성격의 법이기 때문에 국내에서만 서비스를 하는 경우 신경쓰지 않아도 되지만 CCPA는 속인주의 성격의 법이기 때문에 국내에서 서비스를 한다고 해도 국내에 들어와있는 캘리포니아 주민의 개인정보를 보유한 경우 적용되는 법입니다. 부지런히 공부해야겠네요

그밖에 데이터3법에 대한 얘기가 몇건 올라왔구요 금보원에서 나온 인텔리전스 보고서에 관한 내용도 있었습니다. 자율주행차 윤리지침에서 해킹 금지에 관한 기사도 있었네요.

자세한 내용은 기사를 참고하세요

12월 13일 뉴스입니다.

다양한 뉴스가 올라온 하루였습니다.

먼저 KISA의 사이버위기 대응훈련 강평 소식입니다.
어제 뉴스에서 이미 많은 기사가 올라왔는데요 BCP와 DRP 훈련을 어찌 할지는 언제나 고민거리죠. 해킹 대응 훈련도 BCP 측면에서 다양한 상황을 전제로 훈련해봐야 할 것 같습니다. BCP는 실서비스에는 못해보고 DRP는 실서비스에 해본적이 있는데 물론 사전 고지는 했습니다만 이전의 가상훈련을 할 때와 생각보다 많은 차이가 나타났고 가상훈련에서 찾을 수 없었던 오류도 찾을 수 있었습니다.

다음은 데이터3법에 관한 내용입니다.

4차산업혁명위원회가 열리면서 데이터3법이 통과되어야 한다는 취지의 발언이 있었습니다.

그 밖에 많은 소식이 있었는데요

새로운 해킹 그룹이 발견되었다는 소식이 있었는데요 오픈소스를 주로 이용해서 큰 노력과 비용을 들이지 않는 특이한 해킹 그룹이지만 수많은 시스템에 알려진 취약점이 워낙 많은 세상이라 그리 안심이 되지는 않네요

해킹그룹 '코니'에서 악성코드가 포함된 HWP 문서를 이용해 APT 공격을 수행한다는 소식이 있는데요 HWP는 대부분 국내 전용인 만큼 국내를 타겟으로 하는 공격으로 보이는데 요즘 부쩍 국내향 공격이 많아진 느낌이 드는건 제 착각일까요?

캐논코리아와 리니지2M의 사고 소식도 있었구요 구글 계정이 해킹돼 수백만원이 결제되었다는 소식도 있었습니다. 아마존 보안회사 '링'의 보안카메라 해킹 소식도 있었는데요 보안카메라는 다양한 목적으로 활용하고 있지만 그만큼 사생활 피해의 소지도 있으니 활용 시 반드시 주의를 기울이셨으면 합니다.

12월 12일 뉴스입니다.

먼저 금융보안원에서 금융권 공격방법과 침해 흔적을 분석해서 만든 사이버 인텔리전스 보고서를 발간했다고 합니다. 비단 금융권 뿐 아니라 다른 업종에서도 활용할만한 보고서일 것으로 보입니다. 금보원의 인텔리전스 보고서는 홈페이지에 올라오고 있으나 아직 공개되지 않았는지 업로드 된 보고서는 보이지 않습니다.(홈페이지)

다음으로는 북한의 해커조직인 라자루스가 러시아 범죄조직인 트릭봇과 공조한 정황이 발견되었다는 소식입니다. 범죄조직과 사이버전 부대의 공격성향은 여러가지 측면에서 다르기도 하고 서로 장단이 있을텐데요 두개 조직의 공조로 더욱 복잡한 공격 방법이 나오지 않을까 싶습니다.

다음으로는 KISA의 사이버 위기 대응 모의훈련 강평회 소식입니다.
참가 인원도 2배로 늘었고 최초로 에너지 분야 특화 훈련을 시행했는데요 KISA주관의 모의훈련 뿐 아니라 기업 자체적으로도 지속적인 모의 훈련을 통해 정보보호 인식 수준을 높여나가야 할 때인것 같습니다.

그밖에도 많은 소식이 있었는데요

국가 차원에서 지원하는 베가 랜섬웨어의 변종이 발견되었다는 소식이 있었구요 스마트팩토리로 변화하는 제조현장에서 OT(Operation Technology)의 보안 수준을 높여야 한다는 기사도 있었습니다.
그 외에 11일 발생한 코스닥협회 임직원 개인정보 유출에 관한 기사도 있었고 윈도우7 종료나 언제나 나오는 스미싱에 관한 기사도 있었습니다.
데이터3법은 무산되었지만 데이터 활용에 관한 여러가지 기사는 계속해서 나올 것 같은 모습이며 연말이 다가오다보니 올해 회고와 내년 전망에 대한 기사도 등장하고 있네요

자세한 내용은 기사를 참고하세요