출처) 금융보안원 보안기술 연구팀 보고서 - 2017.08.17
BLOG ARTICLE IT뉴스/보안관련 | 7 ARTICLE FOUND
- 2019.05.30 [금융보안원 보고서] 블록체인 금융 적용시 보안 점검 항목
- 2011.04.29 농협 사태 불러온 노트북PC에서 악성코드 50여개, 동영상 발견
- 2011.04.29 비밀번호 보안, 휴대폰번호 도용방지서비스가 확실한 대책! 1
- 2011.04.13 정부, 금융권 DB암호화 기준 확 높인다
- 2011.04.12 현대캐피탈 고객 정보 42만명 해킹돼'파문'
농협 사태 불러온 노트북PC에서 악성코드 50여개, 동영상 발견
http://www.etnews.co.kr/news/today_detail.html?id=201104270109
| 데이터 삭제 명령이 실행돼 농협 전산망 마비 사태를 불러온 한국IBM 직원 노트북PC에서 다량의 악성코드와 동영상 등이 발견된 것으로 알려졌다. 이에 따라 한국IBM 직원 근무태도 관리가 허술했으며 사무실 내에서 외부 인터넷에 접속할 수 없다던 농협의 해명도 사실이 아닌 것으로 밝혀졌다. ▶관련기사 3면 27일 관련업계에 따르면 지난 12일 데이터 삭제 명령이 내려진 한국IBM 직원의 노트북PC 내에는 50여개의 악성코드와 다량의 동영상 및 전자책(e북) 콘텐츠 등이 저장돼 있던 것으로 알려졌다. 저장된 동영상은 주로 P2P 사이트를 통해 내려받은 것으로 전해졌다. 익명을 요구한 IT 전문가는 “악성코드는 P2P 사이트에서 동영상과 콘텐츠를 내려받는 과정에서 노트북PC에 심어진 것으로 보인다”고 말했다. |
| 또 다른 관계자는 “다량의 악성코드와 동영상이 저장됐다는 사실은 직원이 자유롭게 외부 인터넷에 접속했다는 증거”라며 “한국IBM의 직원 근무태도 관리와 농협의 전산망 관리가 그만큼 허술했다고 볼 수 있다”고 지적했다. 검찰은 현재 한국인터넷진흥원(KISA)의 기술지원팀 직원 2명과 함께 악성코드 분석, IP 추적 등에 집중하고 있다. 국가정보원 사이버테러대응센터도 수사에 공조하고 있다. 안철수연구소 등 몇몇 보안회사도 검찰의 요구가 있을 때마다 악성코드 분석을 지원하는 것으로 알려졌다. 북한의 사이버 테러 가능성을 언급한 검찰에 대해서도 무리한 수사라는 지적이 나오고 있다. 앞서 검찰은 노트북PC에서 중국발 IP(인터넷 프로토콜)를 포착하고, 지난 2009년 7·7 DDoS 사태를 들어 북한의 사이버 테러 가능성을 염두에 두고 있다고 밝혔다. 업계 관계자는 “한국IBM 직원의 노트북PC가 지난 3·3 DDoS 공격 당시 ‘좀비PC’가 돼 중국 IP가 발견됐을 수도 있다”며 “이를 북한과 연결짓는 것은 과도한 방향 설정”이라고 말했다. 장윤정기자 linda@etnews.co.kr, 박창규기자 kyu@etnews.co.kr |
http://www.etnews.co.kr/news/today_detail.html?id=201104270109
비밀번호 보안, 휴대폰번호 도용방지서비스가 확실한 대책!
| 최근 경찰발표에 따르면, 포탈, 쇼핑몰, 금융권 등에서 유출된 2,900만 건의 개인정보를 이용, 또 다른 사이트에서 150만 건의 개인 정보가 도용되는 2차 피해가 발생했다. 대다수의 사이트에서는 비밀번호 변경 캠페인을 통하여 자사사이트에서 2차적인 도용피해를 줄이려 하고 있지만, 이러한 비밀번호의 주기적인 변경도 도용피해를 근원적으로 막을 수는 없다. 왜냐하면, 해커는 유출된 개인정보로 사이트의 비밀번호를 임의로 재 설정할 수 있기 때문이다. 비밀번호 재 설정을 위해서는 비대면으로 본인임을 확인하는 인증절차가 필요한데 이 절차가 도용되면 비밀번호는 초기화되고, 해커는 비밀번호를 임의로 변경하여 해킹을 손쉽게 할 수 있다. 포털사이트 등에서 가장 일반적으로 사용되는 본인인증절차는 휴대폰을 이용한 방법이며, 휴대폰번호 도용방지서비스(휴대폰번호 보호서비스)로 휴대폰 본인인증 도용되는 것을 방지할 수 있기 때문에 서비스의 중요성은 매우 크다. |
| 일반적으로 휴대폰을 이용한 본인인증은 주민번호, 휴대폰번호 입력하면 곧 바로 승인번호를 받을 수 있지만, 서비스 가입자는 승인번호를 받기 전에 사전에 설정한 비밀번호를 휴대폰에 입력하는 절차를 추가하여 본인인증이 도용되는 것을 방지할 수 있다. 뿐만 아니라 최근 3개월간 본인인증을 받은 내역을 조회하는 기능도 제공하고 있으며, 특허로 등록되어 서비스의 우수성이 검증되기도 했다. 사용방법이 쉽고 사용자의 만족도가 높아, 서비스 개시 10개월 만에 80만 명(3개 이통사 합산)이 가입하였으며 매월 10만 명이 신규로 가입하는 등 급격한 성장세로 범 국민적인 보안서비스로 자리매김을 하고 있다. 전자신문인터넷 온라인뉴스팀 |
http://www.etnews.co.kr/news/today_detail.html?id=201104280065
정부, 금융권 DB암호화 기준 확 높인다
http://www.etnews.co.kr/news/today_detail.html?id=201104120160
|
금융사들이 DB 암호화를 했지만 외산 데이터베이스관리솔루션(DBMS)의 무료 모듈을 적용한 초보적인 수준이어서 해킹 시 무방비로 당할 수 있다는 전자신문 지적에 따른 조치다. 본지 4월 12일자 1면 참조 12일 관계기관에 따르면 금융감독원은 개인정보보호법 주무부처인 행정안전부, 보안업계 등과 협의해 금융사의 DB 암호화 적용 기준을 상향 조정하는 방안을 추진하기로 했다. 금감원 관계자는 “지금까지 DB 암호화에 대한 강제조항이 있었던 것은 아니다. 다만 비밀번호는 너무 중요해 전자금융거래법을 통해 의무화했다”며 “DB 암호화 여부의 문제성을 인식하고 있다”고 밝혀 기준 상향 의사를 내비쳤다. 행안부도 이와 관련, 오는 9월 발효될 개인정보보호법 시행령과 세부지침에 DB암호화 기준을 세부적으로 만들기로 했다. | ||
| 김상광 행안부 개인정보보호과 법제팀장은 “그동안 DB 암호화에 대한 규정이 전자금융거래법, 정보통신망법 등 다양한 법에 명시됐으나 세분화돼 규정되지 않은데다 공통된 지침이 없어 금융권의 혼란이 가중된 측면도 있다”며 “이번 기회에 관계당국과 협의해 DB 암호화 범위와 깊이 등을 일목요연하게 정리할 계획”이라고 말했다. 이에 따라 감독 당국의 DB 암호화 범위와 기준이 쟁점으로 떠오를 전망이다. 현재 금융사가 가진 모든 정보(키값)를 암호화했을 경우 처리 속도가 크게 느려지는 문제가 나타날 수 있기 때문이다. 일부 데이터만을 중요 정보로 암호화해야지 그렇지 않을 경우 고객 이용 편의성이 크게 떨어진다는 설명이다. 모 시중은행 보안 담당자는 “현재는 비밀번호만을 암호화하고 있는데 과연 주요 정보를 어디까지 볼 것인지가 관건”이라며 “자칫 암호화 수준이 너무 높을 경우 병목현상이 발생해 속도가 크게 느려질 수 있다”고 토로했다. 이 관계자는 “한 바이트가 늘어날수록 속도는 느려진다. 하루 10명 고객이 이용하는 곳과 수만명이 이용하는 곳은 확연히 차이가 나타난다”면서 범위에 신중을 기해야 한다고 강조했다. 선물거래 등에서 0.1~0.2초 빠른 것이 회사 경쟁력으로 평가되는 증권사에서는 DB 암호화가 더 민감하다. 모 증권사 IT기획부장은 “공정성만 지켜진다면 속도가 느려진다 해도 모든 데이터의 암호화를 받아들일 수 있다”며 “일부 회사가 제대로 적용하지 않을 경우 형평성에 문제가 될 수 있다”고 명확한 기준 설정과 함께 철저한 감독 필요성을 역설했다. 현재 금감원 측은 민간업체와의 협의를 통해 범위 등을 정할 계획인 가운데 금융업종에 따라 적용 범위와 기준을 달리하는 방향을 유력하게 보고 있다. 금감원 관계자는 “금융권별로 보안성·효율성·실효성 등을 모두 따져봐야 한다. 또 금융회사 입장뿐만 아니라 소비자의 의견도 감안해 결정해야 한다”고 설명했다. 김준배·장윤정기자 joon@etnews.co.k |
http://www.etnews.co.kr/news/today_detail.html?id=201104120160
현대캐피탈은 4월7일 해커가 직원들에게 정보를 유출하지 않는 대가로 돈을 요구하는 이메일을 보낸 직후, 현태캐피탈 전산시스템 해킹 사실 내용을 파악하고, 경찰에 수사를 의뢰했다. 이어 현대캐피탈은 4월8일 해킹 사실을 공식 발표했다.
현대캐피탈 정태영 사장은, 전산시스템 해킹으로 42만명의 고객 정보가 유출된 가업재난 때문에, 출장 도중에 4월9일 급거 귀국해 고객 피해 대책 같은 후속 조치 마련에 착수했다.
금융감독원도 4월11일 카드 담당 및 정보기술(IT) 전문가들로 구성된 대책반을 구성해 현대캐피탈에 대한 특별검사에 나서기로 했다. 현태캐피탈은 대책반을 마련해서, 해킹으로 인해 정보가 유출된 고객이, 기존 42만명 이외에 추가로 더 있는지에 대해서 여부를 파악하고 있다.
현대캐피탈 기업재난관 연관된, 현재까지 정보 유출이 확인이 된 고객 수는 42만명이라고 밝히고 있다. 이는 전체 고객 180만명의 23% 수준이다. 42만명 현대캐피탈 고객의 이름과 이메일 주민등록번호, 휴대전화 번호 등이 모두 다 유출됐다. 현대캐피탈은, 아직까지 인터넷 등 외부에 이들 고객의 핵심 정보가 공개된 흔적은 발견되지 않았다고 전했지만 이는 고객을 안심시키기 위한 "립서비스용 멘트"일 수도 있다고 기업재난 전문가들은 추정한다. 기업재난 전문가들은, 고객정보 유출이 일단 한번 일어난 이후에 발생할 수 있는 각종 기업재난 유형은 지금 이 시점에서 한마디로 단정지어서 말할 수 없다고 설명한다. 대규모 정보유출 이후에 제2, 제3의 기업재난이 얼마든지 일어날 수도 있다는 얘기다.
게다가 현대캐피탈은 부실한 전산관리, 정보관리 책임을 면할 수도 없다. 현대캐피탈은 거의 지난 두달 동안 해킹 사실 자체를 파악하지 못했었고, 그래서 고객정보 관리 소홀에 대한 책임은 면하기 어렵다. 일부 고객은 현대캐피탈에 항의성 전화를 한 것으로 알려졌다.
정태영 사장은 해외 출장 중에 42만명 고객 정보 유출이라는 기업재난 사실을 보고 받고, 이날 아침 일정을 중단하고 귀국해 임직원들과 대책 회의를 열었다. 정 사장은 해커들과 접촉을 시도하면서 사건을 무마하기 보다는, 정공법으로 대응하기로 방침을 정했다. 그래서 서둘러 42만명 고객 정보 해킹 사실을 발표하고, 이번 사고로 인한 고객 피해 배상 등의 대책을 마련하기로 한 것으로 알려졌다. 기업재난 전문가들은, 현대자동차 그룹 계열사인 현대캐피탈이 이같은 고객정보 유출이라는 큰 기업재난을 겪고 있다는 사실은, 그간 현대캐피탈이 기업재난 방지를 위한 노력을 사실상 전혀 하지 않았다는 것을 입증한다고 따끔하게 지적한다.
<재난포커스(http://www.di-focus.com) - 유상원기자(goodservice@di-focus.com)>
http://www.etnews.co.kr/news/detail.html?id=201104110190
현대캐피탈 정태영 사장은, 전산시스템 해킹으로 42만명의 고객 정보가 유출된 가업재난 때문에, 출장 도중에 4월9일 급거 귀국해 고객 피해 대책 같은 후속 조치 마련에 착수했다.
금융감독원도 4월11일 카드 담당 및 정보기술(IT) 전문가들로 구성된 대책반을 구성해 현대캐피탈에 대한 특별검사에 나서기로 했다. 현태캐피탈은 대책반을 마련해서, 해킹으로 인해 정보가 유출된 고객이, 기존 42만명 이외에 추가로 더 있는지에 대해서 여부를 파악하고 있다.
현대캐피탈 기업재난관 연관된, 현재까지 정보 유출이 확인이 된 고객 수는 42만명이라고 밝히고 있다. 이는 전체 고객 180만명의 23% 수준이다. 42만명 현대캐피탈 고객의 이름과 이메일 주민등록번호, 휴대전화 번호 등이 모두 다 유출됐다. 현대캐피탈은, 아직까지 인터넷 등 외부에 이들 고객의 핵심 정보가 공개된 흔적은 발견되지 않았다고 전했지만 이는 고객을 안심시키기 위한 "립서비스용 멘트"일 수도 있다고 기업재난 전문가들은 추정한다. 기업재난 전문가들은, 고객정보 유출이 일단 한번 일어난 이후에 발생할 수 있는 각종 기업재난 유형은 지금 이 시점에서 한마디로 단정지어서 말할 수 없다고 설명한다. 대규모 정보유출 이후에 제2, 제3의 기업재난이 얼마든지 일어날 수도 있다는 얘기다.
게다가 현대캐피탈은 부실한 전산관리, 정보관리 책임을 면할 수도 없다. 현대캐피탈은 거의 지난 두달 동안 해킹 사실 자체를 파악하지 못했었고, 그래서 고객정보 관리 소홀에 대한 책임은 면하기 어렵다. 일부 고객은 현대캐피탈에 항의성 전화를 한 것으로 알려졌다.
정태영 사장은 해외 출장 중에 42만명 고객 정보 유출이라는 기업재난 사실을 보고 받고, 이날 아침 일정을 중단하고 귀국해 임직원들과 대책 회의를 열었다. 정 사장은 해커들과 접촉을 시도하면서 사건을 무마하기 보다는, 정공법으로 대응하기로 방침을 정했다. 그래서 서둘러 42만명 고객 정보 해킹 사실을 발표하고, 이번 사고로 인한 고객 피해 배상 등의 대책을 마련하기로 한 것으로 알려졌다. 기업재난 전문가들은, 현대자동차 그룹 계열사인 현대캐피탈이 이같은 고객정보 유출이라는 큰 기업재난을 겪고 있다는 사실은, 그간 현대캐피탈이 기업재난 방지를 위한 노력을 사실상 전혀 하지 않았다는 것을 입증한다고 따끔하게 지적한다.
<재난포커스(http://www.di-focus.com) - 유상원기자(goodservice@di-focus.com)>
http://www.etnews.co.kr/news/detail.html?id=201104110190
