▲세계 UTM벤더 매출 랭킹 탑10 (단위: 100만 달러), 출처: 가트너 2012 세계 UTM 시장점유율 보고서

Posted by secu153

댓글을 달아 주세요

 

개인정보보호책임자는 무엇을 해야 하나?

개인정보보호책임자는 개인정보보호법에 명시된 다음과 같은 임무수행을 통해 기관이나 기업의 개인정보처리 전반에 대한 감독과 관리를 책임진다.


1. 개인정보보호 계획의 수립과 시행

갈수록 다양화되고 지능화되는 해킹사고를 막기 위해서는 침해예방을 위한 정책도 보다 체계적으로 수행되어야 한다. 전사적인 개인정보보호 계획을 수립하여 시행하는 것은 체계적인 침해예방을 위한 가장 중요한 업무로 볼 수 있다. 개인정보보호 계획은 개인정보 취급자들의 자격과 권한, 업무처리절차, 보호조치 강화대책, 관리감독 및 교육 등을 포함하는 여러 가지 문서로 수립될 수 있다. 중앙부처에서는 개인정보보호 기본계획과 시행계획을 수립·시행해야 하며, 그 외의 기관이나 기업들도 내부관리계획, 개인정보처리방침, 개인정보취급자에 대한 교육계획 등을 수립·시행해야 한다.


특히, 내부관리계획은 개인정보를 안전하게 관리하고 처리하기 위한 각종 보호조치와 업무처리절차를 이행하기 위한 계획으로 상시근무자 5인 이상의 모든 기업에서 의무적으로 수립·시행해야 한다. 아울러 보유하고 있는 개인정보파일에 대한 처리목적, 항목, 보유기간, 처리방법 등을 정의한 개인정보처리방침도 반드시 수립·공개해야 하는 의무사항이다.


2. 개인정보 처리실태 조사 및 관리감독

개인정보를 이용하는 다양한 서비스들이 계속 개발·확산되고 있기 때문에 기관이나 기업에서 개인정보를 취급하는 부서나 담당자의 수와 역할도 점차 확대되고 있다. 이에 따라 개인정보보호책임자의 책임범위도 고객부서나 정보보호부서 뿐 아니라 전사적인 차원에서 모든 직원들을 관리·감독해야 하는 수준으로 확대됐다.


개인정보 취급자들이 정당한 절차 없이 개인정보를 열람하거나 임의로 개인 PC에 저장하여 다른 목적에 이용하는 것은 중요한 침해행위에 해당되므로 이를 예방하기 위해 개인정보보호책임자가 정기적으로 업무처리 실태를 점검하고 개인 PC에 저장된 자료들도 검사해야 한다. 또한, 개인정보를 삭제하는데 소극적인 기존의 관행을 개선하여 처리목적이 달성된 개인정보를 즉시 삭제하도록 개선하는 것도 개인정보보호책임자가 중점을 두어 관리해야 할 사항이다.


3. 개인정보 침해예방 및 민원처리

개인정보보호책임자는 개인정보가 유출되거나 오남용되지 않도록 내부통제 시스템을 갖추어야 한다. 내부 직원에 의한 개인정보 유출이나 목적외 이용은 개인정보 침해신고센터로 접수되는 대표적인 침해유형으로 이를 방지하기 위해서는 개인정보보호책임자가 취급자별로 권한을 제한하고 열람기록에 대한 정기적인 감사를 통해 불법적인 개인정보 열람을 방지해야 한다. 이외에도 개인정보처리시스템의 보호를 위해 방화벽, 백신, 접근통제 시스템을 구축하고 취급자별 시스템 접근 기록을 6개월 이상 보존하는 등 기술적인 조치도 점검해야 할 사항이다.


개인정보보호책임자에게는 침해예방뿐 아니라 정보주체의 권리를 보장하고 구제하는 책임도 부여되어 있다. 우선 정보주체의 열람·정정·삭제·처리정지 등의 요구를 이행하기 위해 담당자를 지정하고 관련서식 및 업무처리절차를 정립하는 등의 조치를 마련해야 한다. 또한, 개인정보보호법 시행으로 유출사고가 발생했음을 인지하면 2차 피해가 발생하지 않도록 즉시 정보주체에게 메일이나 전화 등으로 고지해야 하며, 1만건 이상의 정보가 유출되었을 때는 행정안전부나 전문기관에 신고도 해야 한다.


이렇게 침해사고가 발생했을 때 의무적으로 조치해야 할 사항들을 법에서 정한 기한 내에 이행하기 위해서는 개인정보보호책임자가 주관하여 침해대응절차를 마련하고 담당자들에 대한 교육을 실시할 필요가 있다.


지금까지 살펴본 개인정보보호책임자의 역할 중에서도 현장에서 특히 중점을 두고 확인해야 할 사항들을 뽑아보면 다음과 같다. 먼저, 조직 내에서 주민등록번호를 수집하여 처리하는 업무들에 대한 분석과 개인정보 수집서식의 검토를 통해 주민등록번호의 이용을 제한하고 개인정보의 수집을 최소한으로 줄여가는 노력을 계속해야 한다. 둘째, CCTV를 통해 촬영되는 영상정보도 개인정보이므로 CCTV의 설치목적을 점검하고 영상정보의 열람·보관에 대한 관리감독도 철저히 해야 한다.


마지막으로 개인정보 처리를 위탁하여 운영하는 과정에서 개인정보 침해가 발생할 경우 판례에 의해 수탁 받은 회사를 위탁한 회사의 개인정보 취급자로 보고 있으므로 위탁회사에 대한 관리감독을 강화해야 한다. 개인정보를 외부업체에 위탁할 때는 계약서에 처리절차와 책임을 명시하고 위탁업체 담당자에 대한 충분한 교육을 실시해야 하며, 위탁사실을 홈페이지 등을 통해 정보주체에게 알리는 것도 누락되지 않도록 주의해야 한다.


충분한 역량과 의지를 갖춘 사람을 개인정보보호책임자로 임명해야

개인정보보호책임자의 역할과 책임이 강화되고 중요해진 만큼 충분한 역량과 자세를 갖춘 사람을 개인정보보호책임자로 임명하는 것도 중요해졌다.


그동안은 개인정보보호책임자가 책임만 있는 형식적인 역할로 인식되어 기업의 임원들 간에 개인정보보호책임자가 되지 않기 위해 서로 미루는 모습을 보이기도 했다. 그러나 개인정보 유출이 발생한 기업들의 예에서 보면 개인정보보호가 기업의 이미지는 물론 경영성과에까지 영향을 미치고 있기 때문에 이제 개인정보보호책임자는 기업의 가장 중요한 역할을 수행하는 자리가 되었다.


이러한 개인정보보호책임자에게 필요한 역량으로 먼저 전사적인 개인정보보호 계획을 수립하여 추진할 수 있는 충분한 지식과 소양을 들 수 있다. 정보주체에 대한 권리를 우선시하는 개인정보보호의 취지와 원칙, 개인정보보호 관련법령의 주요내용, 조직 내의 개인정보 처리업무 현황, 조직의 업무 수행에 필요한 법률지식 등에 대한 소양과 잘못된 부분을 찾아내 개선할 수 있는 역량을 갖추어야 한다.


개인정보보호책임자에게 추가로 필요한 것은 조직의 개인정보보호 수준을 향상시키고자 하는 적극적인 자세와 의지다. 흔히 개인정보보호가 특정 시스템을 도입하거나 서식을 만드는 등의 조치만으로 완성된다고 오해하는 경우가 많다. 그러나 조직 내의 모든 개인정보 취급자들의 업무처리 형태를 분석하고 잘못된 관행을 개선하면서 다양화되고 전문화되는 해킹기술에 대응하여 각종 보호조치를 취하는 것은 여간 어려운 문제가 아니다. 이 때문에 개인정보보호책임자의 적극적인 관리감독과 전반적으로 보호 수준을 높여가겠다는 의지가 있어야만 현장에서 개인정보보호가 정착될 수 있다.


개인정보보호는 조직의 가장 큰 리스크를 관리하는 필수활동

대부분의 공공기관과 기업들이 고객을 가장 중요한 가치로 정의하고 고객만족을 위한 노력을 기울이고 있다. 특히, 고객들이 믿고 맡긴 개인정보를 안전하게 관리하는 것은 기업의 기본 책무이다.

개인정보보호가 제대로 이루어지지 않는다면 고객에 대한 기본 신뢰가 무너지는 것이고 조직 경영의 큰 리스크가 된다. 관리자가 가져야할 기본 책무로 리스크 매니지먼트를 꼽는다. 각각의 업무 프로세스, 비즈니스 서비스 단계별로 조직에서 고객 신뢰를 잃고 경영위기를 초래하는 리스크가 무엇인지 챙기는 노력이 절실하다.


그런 의미에서 개인정보보호는 조직의 가장 큰 리스크를 관리하는 중요한 활동으로 조직 경영의 필수요소라고 할 수 있다. 개인정보보호책임자는 조직에서 가장 필수적인 경영전략을 책임지고 있음을 스스로 인식하여 법에 의해 부여된 역할을 차질 없이 수행하고 조직의 개인정보보호 수준 향상을 위한 적극적인 노력을 기울여야 한다.


개인정보를 처리하는 공공기관과 사업자는 개인정보보호책임자의 역할을 존중하고 전사적인 개인정보보호 활동이 이루어질 수 있도록 지원을 아끼지 않아야 한다. 이와 함께 개인정보보호책임자들이 맡은 바 책임을 다함으로써 개인정보보호 문화의 확산과 개인정보보호법의 조기 정착이 이루어질 수 있을 것으로 기대한다.

Posted by secu153

댓글을 달아 주세요

국제정보보안센터 발견해 보고서 전달...최신 버전 업데이트 필요!    

[보안뉴스 호애진] 국내 유명 공개 웹 애플리케이션 게시판인 그누보드(Gnuboard)에서 XSS 취약점이 발견돼 사용자의 주의가 요구된다.


국제정보보안센터가 발견한 이 취약점은 해당 애플리케이션에 적용된 보안 필터링을 역이용해 XSS 공격을 할 수 있는 것으로 알려졌다.  

 

▲취약한 필터링 소스

 

취약 버전의 그누보드에서 쓰이는 보안 소스에서 게시물에 입력된 내용에서는 preg_replace 함수를 통해 “< (공백) xml” 문자열이 있을 경우 공백으로 치환하는 기능을 하고 있다.


▲스크립트 삽입의 예

 

해당 문자열의 검사는 중요 보안 필터링에 대한 동작 이후에 실행이 돼 이외의 중요 보안 필터링에 대해 우회가 가능한 것으로 확인됐다.

▲스크립트 동작

이번 취약점을 발견한 국제정보보안교육센터(i2sec) 강우석씨는 “필터링 보안정책의 경우 항상 우회를 염두에 두고, 적절한 검토를 통해 적용해야 한다”고  강조하면서 “이와 같이 XSS 공격이 가능할 경우 바이러스 유포, CSRF 공격, 쿠키 하이재킹 등으로 악용될 수 있기 때문에 사용자들은 보안 패치를 항상 최신 버전으로 업데이트를 하는 것이 중요하다”고 당부했다.

취약점이 발견된 버전은 4.36.00이며, 그누보드 측은 국제정보보안교육센터에서 보고서를 전달받은 뒤 취약점이 보안 패치된 4.36.01 버전을 배포중이라고 밝혔다.

[호애진 기자(boan5@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

Posted by secu153

댓글을 달아 주세요

잉카인터넷, 2012년 상반기 보안이슈 결산 및 TOP10 선정


[보안뉴스 호애진] 올 상반기에는 온라인게임 계정 탈취 목적의 악성파일이 기승을 부린 것으로 나타났다. 또 지능형지속위협(APT: Advanced Persistant Threat) 공격이 지속적으로 발견됐다.


잉카인터넷(대표 주영흠)은 ISARC 대응팀을 통해 2012년 상반기 보안이슈 결산 및 TOP10을 선정해 4일 발표했다.


선정된 10대 보안 이슈는 △온라인게임 계정 탈취 악성파일 기승 △APT 공격 지속적 발견 △안드로이드 기반 악성파일 국내 자료실에서 유포 △SNS를 이용한 악성파일 지속적 유포 △HWP 문서 취약점 증가 △인터넷 뱅킹 사용자 대상 보안위협 다수 발생 △북한 핵실험 및 핵안보 정상회의와 관련된 정치적 악성파일 등장 등이다.


이번 보고서 발간은 2012년 상반기에 출현했던 대표적인 보안 위협들을 되짚어보고, 하반기에 출현 가능한 위협 요소들을 예측해 사전에 대처할 수 있는 기초 자료로 활용하는데 그 취지가 있으며, 각계 보안의식 제고에 대한 공감대 형성을 이루는데 그 주 목적이 있다고 잉카인터넷 측은 설명했다.  


한편, 잉카인터넷은 올 하반기에도 사회공학적 기법과 취약점 관련 악성파일이 기승을 부릴 것으로 예상했다. 또 악의적 목적을 가지는 스마트 기기용 애플리케이션 등장 이외에도 SNS를 매개체로 한 악성파일 유포가 다양한 기법으로 출현할 수 있을 것으로 보고 있다.


이와 함께 DDoS 공격이나 유명 온라인 게임 계정 탈취를 위한 특정 악성파일 유포 기법이 지속적으로 출현하고, 국가기관이나 기업, 특정 인물들을 타깃으로 하는 APT 공격이 보다 고도화, 지능화돼 발생할 것으로 전망했다.


문종현 잉카인터넷 ISARC 대응팀 팀장은 “개인 및 단체, 기관, 기업 담당자들은 각종 취약점에 대한 검토를 진행해야 하며, 이러한 위협에 대비하기 위한 메뉴얼을 수립하는 등 세부적인 보안의식 함양 노력이 필요하다”면서 “특히, 내부 직원의 보안 교육을 강화해 외부로부터의 은밀한 공격에 쉽게 노출됨으로써 기업 내부의 중요 정보가 외부로 유출되는 사고가 발생되지 않도록 하는 대비가 요구된다”고 강조했다.


2012년 상반기 보안이슈 결산 및 TOP10


1. 온라인게임 계정 탈취 목적의 악성파일 기승

유명 온라인 게임 사용자들의 개인정보(아이디, 암호 등)를 불법적으로 탈취한 후 해당 정보를 도용해 금전적인 수익을 챙기는 사이버 범죄가 끊이지 않고 있으며, 이 과정에서 윈도우 운영체제의 정상 시스템파일을 변조 또는 악성파일로 교체하는 악성파일 유포가 연일 기승을 부리고 있다.


2012년 상반기 중에는 ws2help.dll, version.dll 등 각종 윈도우 운영체제의 정상 시스템파일을 변조(Patched/Forwarded) 또는 악성파일로 교체해 일반인들이나 안티바이러스 제품들이 치료하기 불편하게 방해하는 기법도 꾸준히 성행하고 있다.

 

▲윈도우 운영체제 정상 시스템파일을 변조 또는 악성파일로 교체

 

2. 지능형지속위협(APT: Advanced Persistent Threat) 공격 지속적 발견

일본 국토교통부 산하 국토지리원을 표적으로 한 공격, 3월 10일 티벳(Tibet) 봉기 53주년 기념 표적형 공격 등 지능화된 표적 공격이 지속적으로 발견되고 있다. 지능형지속위협(APT: Advanced Persistent Threat)은 감염 사실을 인지하기가 어렵고, 해당 기관이나 기업이 공식적인 피해 사실을 파악해 공개하는 경우는 매우 희박하기 때문에 공격자로 하여금 꾸준한 공격 가능 환경을 제공하고 있는 상황이기도 하다.

 

▲APT 공격 순서

 

3. 안드로이드 기반 악성파일 국내 자료실에서 유포

스마트폰 사용자를 대상으로 한 안드로이드 기반 악성파일이 계속적으로 발견되고 있는 가운데, 2012년 상반기에는 국내 유명 공개자료실에서 개인정보 유출 시도형 안드로이드 기반 악성파일이 배포되고 있는 것이 발견됐다.


안드로이드 기반 악성파일은 대체로 중국, 러시아, 일본 등의 블랙마켓 등에서 무단 배포되는 안드로이드 악성파일이 주류를 이루고 있었으나, 국내 유명 공개 자료실에서 발견된 사례는 최초라고 할 수 있다.


nProtect Mobile for Android 제품에는 2012년 01월부터 06월까지 상반기 동안만 약 9,700여개의 새로운 안드로이드 기반 악성파일의 진단/치료 기능을 추가한 상태다. 이는 2011년 한해 동안 업데이트 된 약 4,000여개의 두배 이상으로 증가한 수치다.


4. 소셜네트워크서비스(SNS)를 이용한 악성파일 지속적 유포

전세계적으로 트위터(Twitter), 페이스북(Facebook) 이용자가 꾸준히 증가 유지되고, 스마트폰 활성화 등과 연계돼 악성파일 유포자들은 이를 역이용한 유포수법을 비례적으로 끈질기게 악용하고 있다.


트위터, 페이스북 친구 요청 이메일로 사칭해 악성파일에 감염되도록 유혹하기도 하며, 단축URL 주소 서비스를 이용해 악의적인 웹사이트로 연결을 유도하거나, 페이스북의 채팅창을 통해서 자동으로 악의적 URL 주소를 클릭하게 만드는 등의 사례가 다수 발견됐다.


5. 한글 사용자를 주요 위협 대상으로 삼고 있는 HWP 문서 취약점 증가

2012년 상반기 중에도 다수의 HWP 문서 취약점을 악용한 악성파일이 발견돼 HWP를 이용하고 있는 사용자들에게 새로운 위협요소로 작용했다.


근래에는 국내 유명기업이나 정부기관, 정치권 등을 겨냥하는 지능형지속위협(APT) 공격에 특화화 된 HWP 문서 취약점을 은밀하게 악용하고 있기 때문에 HWP 문서를 사용하는 기업이나 기관의 경우 이러한 악성파일에 각별한 주의가 필요하다.


6. 인터넷 뱅킹 사용자를 위협대상으로 삼는 보안위협 다수 발생

2012년 상반기는 보이스 피싱이 한 단계 진화한 문자(SMS) 피싱이 극성을 부렸으며, 이후 문자 피싱은 악성파일과 추가 결합한 형태로 또 다시 발전을 거듭하고 있다.

 

특히, ‘보안승급서비스’라는 문자(SMS)를 보내 사용자들을 현혹해 인터넷뱅킹에 필요한 대부분의 개인정보를 사용자 스스로 직접 입력하도록 유도하는 형태도 다수 발견됐고, 악성파일 배포에 해킹과 정상프로그램 변조 등 고도화된 기법이 복합적으로 사용돼 이슈화 됐다.


7. 북한 핵실험 및 핵안보 정상회의와 관련된 정치적 악성파일 등장

북한의 광명성 3호 발사와 3차 핵실험 강행 위협 등 국재 안보 정세에 다소 위협적인 북한의 입장 표명을 이용하는 사회적으로 이슈화 되고 있는 내용들을 통해서 악성파일이 유포되는 사례가 발견됐다.


북한과 관련된 키워드나 특정 문구 등을 이용해서 인터넷 사용자들을 현혹시켜 악성파일에 감염되도록 만드는 수법은 예전부터 꾸준히 사용되고 있으므로, 유사한 내용에 각별히 주의하는 노력이 필요하다.


8. 성인동영상과 함께 유포되는 악성파일 변종 출현

신종 악성파일 유포를 국지적으로 보다 쉽고 빨리 진행하기 위한 방식이 다각적으로 시도됐는데, 그 중 2012년 상반기에는 성인동영상을 통한 악성파일 유포가 특징이라 말할 수 있다.


악성파일 유포자는 다운로드 증가를 유도하기 위해 조회수가 상대적으로 많은 음란 성인동영상에 악성파일을 교묘하게 포함시켜 유포하고 있으며, 사용자가 해당 대용량 파일을 다운로드하고 실행 시 성인용 동영상파일이 별도로 생성되고 재생도 정상적으로 가능하도록 조작해 만들었다.


9. 정상프로그램을 불법 해킹/변조한 피해 증가

웹 사이트에서 배포되는 정상 동영상 플레이어 설치파일이나 각종 애플리케이션을 불법적으로 해킹, 변조해 악성파일을 배포하는 행동도 포착된 바 있다.


악성파일 자체를 정상파일처럼 보이도록 조작하는 방식이 대부분이었으나, 실제 정상 프로그램을 위변조해 악성파일이 함께 설치되도록 하는 경우는 매우 드문 경우였다.

 

▲정상설치프로그램과 위변조된 악성설치프로그램

 

10. 사회기반시설을 표적으로 삼는 악성파일 변종 플레임(Flame) 

특정 국가의 사회기반시실(발전소, 교통 등)의 정상적인 사용을 방해하고 국가 내부 중요시설 정보를 은밀히 수집하기 위한 목적 등으로 개발된 스턱스넷(Stuxnet), 듀큐(Duqu)의 또 다른 변종인 플레임(Flame)이라는 악성파일이 발견됐다.


해당 악성파일은 2010년 이전부터 활동한 것으로 추정되며, 컴퓨터 화면 기록, 특정대상 시스템에 대한 정보, 저장된 파일, 연락처 데이터, 컴퓨터 주변 대화내용 녹취 등 각종 기밀 정보를 탈취하도록 설계돼 있다.

[호애진 기자(boan5@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

Posted by secu153

댓글을 달아 주세요


http://www.boannews.com/media/view.asp?idx=29337&page=1&kind=2&search=title&find=

PIMS 인증제도 법적근거 마련한 ‘정보통신망법’ 개정안 통과



 

[보안뉴스 김정완] 의원안으로 국회에 계류 중이던 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안(이하 정보통신망법 개정안)’ 7개 안이 폐기되고 이를 수용해 제안된 대안이 29일, 제304회 국회 제2차 본회의에서 원안대로 통과됐다.


정보통신망법 개정안은 대규모 개인정보 유출사고가 발생하는 것을 방지하기 위해 주민등록번호의 무분별한 수집과 이용을 제한하고, 개인정보 누출시 이용자에게 해당 사항을 통지하고 방송통신위원회에 신고하도록 했다. 또한, 중대한 개인정보보호법규 위반행위가 있는 경우에는 방송통신위원회가 해당 정보통신서비스 제공자 등을 수사기관에 고발할 수 있도록 하는 등 개인정보보호 체계를 전반적으로 강화하고자 했다.


또한, 기업의 정보보호를 체계적으로 관리 및 지원할 수 있는 정보보호 관리체계 인증제도로 일원화하기 위해 현행 정보보호 안전진단제도를 폐지하고, 정보보호 사전점검 제도와 개인정보보호 관리체계 인증제도에 대한 법적 근거를 마련했다. 이 밖에 침해사고에 대한 신고의무를 이행하지 아니한 자에 대하여 과태료를 부과하는 등 실질적인 정보보호체계를 확립하기 위한 내용들이 포함됐다. 그 내용은 다음과 같다.

 

- 정보통신서비스 제공자가 본인확인기관으로 지정받거나 법령에서 이용자의 주민등록번호 수집·이용을 허용하는 경우 등을 제외하고는 이용자의 주민등록번호를 수집·이용할 수 없도록 함(안 제23조의2).

- 정보통신서비스 제공자등은 개인정보의 분실·도난·누출 사고 발생시 해당 이용자에게 통지 및 방송통신위원회에 신고하여야 하고 피해를 최소할 수 있는 조치를 강구하여야 함(안 제27의3 신설).

- 정보통신서비스 제공자등으로서 대통령령으로 정하는 기준에 해당하는 자는 수집한 이용자 개인정보의 이용내역을 주기적으로 이용자에게 통지하여야 함(안 제30조의2 신설).

- 정보보호 사전점검제도의 법적 근거를 마련하고, 정보통신서비스 제공자가 임원급의 정보보호 최고책임자를 지정할 수 있도록 함(안 제45조의2 및 제45조의3 신설).

- 정보보호 안전진단제도를 폐지하고, 정보보호 관리체계 인증제도로 일원화하며, 개인정보보호 관리체계(PIMS) 인증제도의 법적 근거를 마련함(제46조의3 삭제 및 안 제47조, 안 제47조의3 신설).

[김정완 기자(boan3@boannews.com)]

Posted by secu153

댓글을 달아 주세요


내부정보유출방지SAC(System Access Control) 솔루션 소개 자료 입니다.
 
외부 및 내부 사용자에 의한 중요 내부정보 유출사고 증가로 / 시스템 접근 강화 및 자원보호, 권한관리, 행위 데이터를 저장하는 솔루션 입니다.
 


 
[기능 및 특징]
- 내부직원, 벤더직원, 협력업체직원에 대한 시스템접근 인증강화
- 시스템 사용자의 Human error 대비 및 데이터유출 방지
- CLI 접속 및 모든 Recording(RDP) 접속에 대한 로그를 제공
- 암호화통신을 통한 데이터 보호 및 시스템 사용 자료 보관(각종 로그 및 레코딩 데이터를 암호화하여 저장하는 기술)
- SystemAccess Control에서 System은 모든 서버, 스위치, 제어장비, 보안제품 등 네트워크에
   연결된 모든 시스템을 의미합니다. 따라서 SAC는 모든 시스템에 대하여 그리고 모든 사용자에 대한 통합적 제어 가능
 
 
[사례]
가.농협
 2011 4월에 발생한 농협 전산망 장애사고는 악성코드 감염으로 인한 해킹 형태의 사이버 테러라고 검찰 발표가 있었다.
특히 농협의 전산마비 사고가 단순 시스템 오류가 아닌 계획적인 의도를 가지고 내부 시스템에 접근해 서버를 파괴토록 한 범죄행위였다.

전산장애의 발생 원인은 농협중앙회 IT본부 내에서 상주 근무하던 협력사 직원의 노트북PC를 경유하여 각 업무시스템을 연계해 주는 중계서버에서 시스템 파일 삭제 명령이 수행되었으며, 명령이 실행된 약 5분 동안 275개의 서버에서 데이터 일부가 삭제되는 피해를 보게 됐다고 농협은 발표했다.

 

. 현대캐피탈

 2011 4월에 발생한 현대캐피탈 고객정보 유출사고는 내부망 관리부주의로 인한 사고로 경찰이 내부 직원이 해킹에 연루됐는지 조사하는 과정에서 현대캐피탈에서 근무하다 지난해 12월 경쟁사로 옮긴 김모(36)씨가 두 달여 동안 내부 정보를 빼낸 사실을 확인했다.

전산개발 담당자로 근무했던 김씨는 현대캐피탈 내부 시스템에 관리자 계정으로 들어가거나, 동료에게서 캡처된 화면을 문서 형식으로 전달받았다. 김씨는 경쟁사의 전산시스템 개발에 참고하기 위해 자료를 유출했다고 해명했지만 경찰은 시기가 겹치는 만큼 해커와의 공모 가능성을 수사하고 있다. 해커인 신씨가 김씨를 통해 현대캐피탈 서버의 취약한 부분을 전달받았을 가능성이 있다는 것이다.

 
다. SK커뮤니케이션즈(네이트온, 싸이월드)
 2011 7월에 발생한 네이트온 고객정보 유출사고는 서비스 취약점 및 악성코드 감염으로 인한 사고였다.

경찰은 이스트소프트社의  공개용 알툴즈의 보안취약점을 이용하여 알툴즈 서비스를 위한 서버를 해킹한 후, 악성코드 유포지로 악용했을 가능성이 있다고 발표했다.

해커는 알툴즈 자동갱신 프로그램을 가장한 악성코드를 심어 놓았고, 알툴즈가 설치된 SK커뮤니케이션즈 직원의 PC가 이를 내려받아 악성코드에 감염되면서 해커의 조종을 받아 고객 정보를 유출한 것이다.

Posted by secu153

댓글을 달아 주세요


행정안전부가 발행한 개인정보 보호법령 및 지침 고시 해설서 입니다.(2011.12월)




Posted by secu153

댓글을 달아 주세요


고객 정보 유출 여부 아직 몰라...현재 포렌식 분석 통해 조사 중


 

[보안뉴스 호애진] 세계 2위의 스포츠웨어 제조 및 판매업체인 아디다스가 해킹 공격을 받았다. 아디다스는 해킹을 당한 직후 자사의 수많은 웹사이트를 일시 폐쇄시켰다고 현지 외신들이 보도했다.


아디다스는 6일(현지시각) 성명을 통해 고도로 정교화된 사이버 공격을 받았으며 고객 정보가 유출됐다는 증거는 없으나 현재 보안 전문가들이 포렌식 분석을 통해 조사를 진행하고 있다고 밝혔다.


아디다스는 이번 해킹 공격이 3분기 실적 발표를 한 3일 이뤄졌으며 이후 보안 정책을 강화했다고 덧붙였다.


영향을 받은 사이트는 adidas.com, reebok.com, miCoach.com, adidas-group.com을 비롯한 여러 현지 온라인 숍 등이다. 다만 북아메리카와 일부 유럽 국가의 온라인 숍은 그대로 서비스가 제공되고 있다.


이에 대해 우려의 목소리가 높다. 지난 5월 소니플레이스테이션 네트워크 역시 고도로 정교화된 사이버 공격을 받았다고 발표한 바 있다. 당시 7700만명의 고객 정보가 유출됐다는 조사 결과가 발표되기 전만 해도 소니는 해킹 공격이 어느 정도의 규모로 이뤄졌는지 알지 못했다.

[호애진 기자(boan5@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

Posted by secu153

댓글을 달아 주세요

대륙의 윈도우

etc 2011. 7. 29. 19:34


대륙의 윈도우 패키지 98부터 2000 xp vista 합본으로 파네요

'Windows 대가족' ㄷㄷㄷ

'etc' 카테고리의 다른 글

대륙의 윈도우  (0) 2011.07.29
남친은 열혈 공돌이  (0) 2011.07.29
김여사 vs 김기사  (0) 2011.07.12
프랑스에서 인생역전  (0) 2011.06.22
귀여운 발바닥  (0) 2011.06.20
아저씨만 보면 개들이 거시기해요.  (0) 2011.06.20
Posted by secu153

댓글을 달아 주세요

남친은 열혈 공돌이

etc 2011. 7. 29. 19:14


파워 공돌이의 순수한 열정. ㅋㅋ 저의 회사 이부장님이 생각 나네요 ㅋㅋ

'etc' 카테고리의 다른 글

대륙의 윈도우  (0) 2011.07.29
남친은 열혈 공돌이  (0) 2011.07.29
김여사 vs 김기사  (0) 2011.07.12
프랑스에서 인생역전  (0) 2011.06.22
귀여운 발바닥  (0) 2011.06.20
아저씨만 보면 개들이 거시기해요.  (0) 2011.06.20
Posted by secu153

댓글을 달아 주세요