Monday, December 30, 2019

2019년 SNS 포스팅 글 모음 분야별 - 보안 (Cybersecurity)/해킹


---
"새해, 윈도7은 해커들 타깃"…보안업계 경고
https://is.gd/GHhHGi

- 내년 1월 14일 윈도7의 보안 업데이트 지원이 종료되면 각종 사이버 테러가 급증할 전망이다.
- KISA에 따르면 지난 9월 기준 국내 PC의 25% 정도가 윈도 7를 사용중인데, 이는 4대 중 1대 꼴이다.
- 워너크라이 랜섬웨어가 보안 업데이트 지원이 끝난 윈도 XP를 타깃으로 삼아 큰 피해를 입혔듯이 윈도 7도 타깃이 될 것이다.


---
양자 컴퓨터로도 해킹 못해…절대 ‘깰 수 없는’ 보안 기술 개발
https://is.gd/7VL41v

- 양자 컴퓨터조차 해킹할 수 없는 세계 최초의 ‘해킹 불가’ 보안 시스템이 개발됐다고 영국 일간 텔레그래프 등 외신이 발표.
- 영국 세인트루이스대 등 국제연구진은 정보를 재현하거나 가로채지 못해 ‘완벽한 보안’(perfect secrecy)을 달성하는 일회성 키(Key)를 가지고 정보를 전송하는 광학식 칩을 만들어냈다.
- 오늘날 표준 암호화 기술은 정보를 신속하게 전송할 수 있지만, 앞으로 양자 컴퓨터에 의해 깨질 수 있다.

미국은 중국이 2020년 양자정보국가연구실을 개소하기로 하고 양자암호통신위성을 발사하는 등 두각을 드러내자 위기감을 느끼고, 2018년 '국가양자주도법(the National Quantum Initiative Act; NQI)' 법안을 발효시키며 5년간 12억 달러를 투자하는 등 양자컴퓨터 분야에 큰 관심이 있다. 양자 컴퓨터가 해킹에 이용될 경우, 국방·정부 관련 부처에 사용되는 기존 암호 체계가 모두 깨질 수 있기 때문이다. 이런 가운데, 영국에서 양자 컴퓨터로도 깰 수 없는 보안 시스템이 개발되었다고 한다. 미국에서도 이 기술에 큰 관심을 가지고 지켜볼 듯하다.


---
'틱톡' 이어 이번엔 '투톡'…중동산 메신저도 스파이앱 의혹

- 미국 육군, 해군이 중국의 동영상 공유앱 '틱톡(TikTok)' 사용을 금지한 데 이어, 이번엔 중동산 채팅 동영상앱 '투톡'(ToTok)이 '스파이 앱' 의혹을 받고 있다.
- '투톡'은 주로 아랍에미리트(UAE)에서 많이 사용되는 가운데, 지난주에는 미 앱 다운로드 순위에서도 수위에 오를 정도로 세계 곳곳에서 급부상했다.
- 뉴욕타임스(NYT)는 이 '투톡'이 실제로는 '스파이 도구'이며, 아랍에미리트 정부가 이 앱을 통해 모든 대화와 관계, 약속, 영상을 감시하고 있다고 폭로했다.

현재 구글과 애플은 앱 스토어에서 투톡을 삭제했다. 모바일 앱을 통한 스파이 앱이 증가하고 있는데 미국은 이를 국가안보를 위협하는 요소로 인식하고 있다. 결국, 미 상원은 미국인의 개인정보가 중국 등 국가안보를 위협하는 국가로 흘러가는 것을 막기 위한 데이터 보호법안을 11월 18일 발의했다.
피터슨 국제경제 연구소(PIIE)의 보고서에 따르면, 틱톡은 이용자 본인이 업로드한 동영상에 기록된 개인 정보뿐 아니라, GPS 정보, IP 주소, SIM 카드 기반 위치정보, 단말기 정보, 주소록, 문자메시지 등을 수집한다. 전 세계에서 수집한 데이터는 틱톡 본사로 보내져 중국에 저장된다.


---
트렌드마이크로, 클라우드 콘포미티 인수...클라우드 보안 강화

기업들의 인프라와 애플리케이션이 AWS, 애저, 구글 클라우드 등 클라우드 환경으로 빠르게 이전하고 있는 상황에서 클라우드 보안은 기업에 골칫거리 중에 하나다. 이런 상황에 보안 업계 강자 중 하나인 '트렌드 마이크로(Trend Micro)'는 클라우드 보안 형상 관리(CPMS: Cloud Security Posture Management) 기업인 클라우드 '콘포미티(Cloud Conformity)'를 인수했다.


---
한국 보안기업 글로벌화의 문제점

'국내 보안기업, 해외진출에 어려움 겪는 이유는?(디지털데일리)'이란 뉴스 기사를 보고 평소 생각했던 한국 보안기업이 외치는 '글로벌화'의 문제점을 블로그에 정리해본다.
세계 최대 보안 컨퍼런스인 RSA에 참석하러 미국에 오는 국내 보안기업에 몇 차례 조언을 했지만 잘 개선되지 않는 듯하다. 아마 컨퍼런스에 참석하는 인력이 중역급이 아니라 본사로 돌아가서 잘 반영이 안 되는 것 같기도 하다.


---
지난 포스트에서 브로드컴의 시만텍 인수 추진 소식을 알렸었는데, 아직도 딜 마무리가 안 되고 뉴스만 나오는군요. EDR 솔루션 업체의 등장으로 전통 백신 업체들은 생존의 갈림길에 있으니 어쩔 수 없는 선택이겠죠.

---
랜섬웨어 모르는 회사원이 절반 가까이 [바이라인]

- 백신 ‘알약’을 공급하는 이스트시큐리티가 회사원과 학생 응답자 1만6873명을 대상으로 조사한 보안관리 실태조사 결과를 공개.
- 그런데 '랜섬웨어(Rancomware)'에 대해 들어본 적은 있으나 ‘잘 모르겠다’거나 ‘전혀 모르겠다’고 답한 응답자는 전체의 43.5%로 절반에 가까웠다고.
- 보안 프로그램 사용률이 여전히 30%대에 머물러 있고 별도로 보안관리를 하지 않는다는 응답도 생각보다 높다는 사실.

2017년에는 워너크라이 등 대규모 랜섬웨어 감염 사태로 '랜섬웨어를 잘 모르겠다'고 답한 응답자는 10.8%에 불과했었는데, 불과 2년 만에 보안 인식이 현저히 떨어졌다. 다른 건 몰라도 데이터 백업은 꼭 하시라! 소중한 혹은 평생 모은 데이터를 한꺼번에 날릴 수 있다.


---
美 대형 금융지주 캐피탈 원 해킹당해…1억명 넘는 고객 정보 유출

- 미국 대형 금융지주회사인 캐피탈 원(Capital One)이 해킹을 당해 1억600만 명에 이르는 고객 정보가 유출됐다.
- 캐피탈 원은 이번 해킹으로 인해 최대 1억5000만 달러(1773억원)의 피해가 발생할 것으로 추정된다.
- 해커 침입으로 인해 미국인 1억명, 캐나다인 600만명 등 총 1억600만명의 고객 정보가 유출됐다. 해커는 캐피탈 원의 클라우드 시스템을 관리하던 회사 엔지니어 출신으로 알려졌다.
- 이번 사건으로 유출된 고객 정보는 이름, 주소, 전화번호 등 신상 정보와 신용점수, 신용한도 등 금융 정보까지 방대하다.
- 특히 유출된 정보에는 14만명의 신용카드 고객은 SSN(소셜시큐리티넘버)이 유출됐다. 또 8만명의 은행 계좌번호와 100만명의 캐나다 사회보험번호 등도 노출돼 피해가 커 보인다.

미국에서 대형 해킹 사건이 또 터졌다. 집으로 신용카드 만들라고 자주 우편물이 날아오는 캐피탈 원(Capital One)이다. 캐피탈 원은 미국에서 7번째로 큰 상업은행이며, JP모건 체이스, 씨티그룹에 이어 미국 3위의 신용카드 발행사다.
이번 사건이 심각한 것은 SSN이 유출됐다는 것이다. 신용카드나 은행 계좌번호 정보 등은 번호를 다시 재발급받을 수 있지만, SSN은 한번 발급되면 평생 가기 때문에 한 번 유출되면 방법이 없다. 보통 피해를 본 고객은 미안하다는 이메일과 함께 1년간 신용 모니터링 서비스를 받는 게 전부다.

AWS 사용 美은행 해킹사건, 30개 기업·기관 피해로 확대


---
브로드컴, 보안기업 시만텍 인수 추진…시장반응 엇갈려

- 반도체기업 브로드컴(Broadcom)이 보안기업 시만텍(Symantec) 인수를 추진하고 있는 것으로 전해졌다.
- 아직 인수가 확정된 것은 아니지만, 협상은 몇 주 내 마무리될 것으로 보인다. 업계는 인수금액이 15억달러(한화 약 1조7537억원) 이상일 것이라고 전망했다.
- 이번 거래가 성사될 경우 지난해 CA테크놀로지스 인수에 이은 브로드컴의 두 번째 소프트웨어(SW) 기업 인수다.

마이크로소프트의 부상, 기존 백신(AntiVirus) 제품을 대체하는 EDR 솔루션 업체의 등장으로 전통 백신 업체들은 생존의 갈림길에 서 있다.
이런 상황에서 브로드컴이 시만텍을 인수한다는 소식이다. 과연 하드웨어/반도체 회사가 소프트웨어 회사를 인수해서 어느 정도 시너지를 낼 수 있을지는 의문이다.
오히려 팔로알토 네트웍스 같은 업체가 시만텍을 인수하면 최상일 텐데 이미 정상에 올랐으니 굳이 모험 하진 않겠지....


---
비자(Visa), 인공지능으로 연간 250억 달러 규모의 부정 결제 방지

- 비자(Visa)는 인공지능(AI)을 이용한 ‘비자 첨단 승인 시스템(비자 Advanced Authorization, VAA)’으로 지난 일 년간 250억 달러 규모의 금융기관 부정 결제를 방지했다.
- 비자는 금융기관이 정당한 구매 건은 승인하고 부정 결제는 빠르게 식별, 방지할 수 있도록 AI를 도입해 거래 1건 당 천 분의 1초의 속도로 전체 거래를 분석하고 있다.
- 비자는 인적 자원 및 AI 기술에 동시에 투자하는 다층적인 접근 방식을 통해 전 세계 부정 결제 발생 비율을 역사상 최저 수준인 0.1% 미만으로 유지하고 있다.


---
카스퍼스키랩, 무료 위협 인텔리전스 분석 도구 내놔

- 백신 업체로 유명한 카스퍼스키랩 (Kaspersky Lab)이 위협 인텔리전스 통합 분석 무료 도구 '카스퍼스키 사이버트레이스 (Kaspersky CyberTrace)'를 내놨다.
- 위협 인텔리전스 소스 수는 늘어났지만 3분의 1 정도를 효과적으로 활용하지 못하고, 너무 많은 침해 지표(IoC)로 보안 정보·이벤트 관리(SIEM) 또는 네트워크 보안 제어 기능이 과부하가 된다.
- 이 솔루션은 IBM Q레이더, 스플렁크, 아크사이트 ESM, RSA 넷위트니스, 맥아피 ESM 등 다양한 SIEM은 물론이고 방화벽과 게이트웨이 등 기타 보안 제품과 통합된다.


---
윈도에 'PC 제어권' 통째로 빼앗길 취약점 있다

- '샌드박스이스케이퍼'라는 닉네임을 사용하는 익명의 보안 연구원은 윈도 10, 윈도 서버 2019에 적용되는 그 동안 알려지지 않았던 취약점(제로데이)을 지난 7일 공개했다.
- MS는 오는 11일 보안 업데이트를 실시할 예정이다. MS가 이 업데이트에 새 취약점 패치를 포함하기엔 충분하지 않아 보인다. 취약점 공개 시점으로부터 MS에 주어진 대응 시간은 며칠에 불과했다.


---
삼성SDS, 미국 EDR업체 센티넬원에 투자

- 삼성SDS가 미국의 엔드포인트 위협 탐지 및 대응(EDR, Endpoint Detection & Response) 솔루션업체 '센티넬원(SentinelOne)'에 투자했다.
- 센티넬원은 지난 2013년 설립돼 미국 캘리포니아에 본사를 두고 넷플릭스, 비자, AT&T, 세일즈포스, 씨티 등 17개국 1천200여개 고객사를 확보하고 있다.
- EDR은 PC, 서버, 가상데스크톱환경(VDI) 기기에서 보안위협을 탐지하고 대응조치를 해 주는 솔루션 영역을 뜻한다.
- 센티넬원 EDR 솔루션은 인공지능(AI)과 머신러닝 기술로 악성코드 유형을 학습해 신·변종 악성코드와 해킹 공격을 막는다. 공격 침입 경로의 로그 파일을 분석하고 취약 경로를 차단해 추가 피해를 방지한다. 탐지된 랜섬웨어를 삭제하고 피해 파일을 미리 백업한 데이터로 복원한다.

신종 악성코드, 랜섬웨어 공격이 매년 급증하고 있고 해킹 기술이 진화함에 따라 AI/머신러닝을 통해 공격을 탐지하고 실시간으로 대응해주는 EDR 솔루션이 부상하고 있다.
삼성이 이런 보안 트랜드에 맞춰 적절하게 투자, 사업협력을 하는 모습니다.


---
IBM "세계 기업 50% 이상 사이버공격 대응능력 부족"

- IBM은 전세계 3600명 이상의 보안 및 IT 전문가를 대상으로 조사한 ‘2019년 기업 사이버공격 대응 실태’ 보고서를 공개했다.
- 이 보고서에 따르면, 설문에 응한 기업 중 절반 이상이 사이버보안 사고에 적절하게 대응할 수 있는 역량을 갖추지 못한 것으로 밝혀졌다.
- 응답자 중 70%가 사고 대응 계획을 적절하게 관리하고 테스트할 수 있는 보안 인력이 필요한 수준보다 크게 부족하다고 답했다.
- IBM은 조사를 통해 기업이 30일 이내에 사이버공격에 대응하고 피해 확산을 방지한다면 평균 100만 달러 이상의 비용을 절감할 수 있다는 결과를 얻었다.


---
포티넷 "전 세계 취약점 공격 50%가 IoT 장치 타깃"

- 포티넷(Fortinet)에서 발간한 '2018년 4분기 글로벌 위협 전망 보고서'에 따르면, 전 세계 상위 12개 취약점 공격 50%가 IoT 장치를 주요 타깃으로 삼은 것으로 나타났다.
- 한국의 경우 대다수 공격이 라우터, CCTV, 웹캠, DVR 등 IoT 기기에 집중돼 있다.
- IoT 기기는 상대적으로 허술한 보안 등으로 암호화폐 채굴 활용에 동원되고 있고, 봇넷 등 각종 보안 위협의 타깃이 되고 있다.


---
'갤럭시S10' 초음파 지문인식, 3D 프린터에 뚫렸다https://is.gd/Dbfihs

- '갤럭시S10' 초음파식 지문인식 스캐너가 3D 프린터로 위조한 지문에 뚫렸다.
- 이용자는 와인 잔에 자국이 남은 지문을 스마트폰 카메라로 찍어 포토샵으로 지문을 추출한 후, '3D맥스'를 활용해 평면 지문 이미지를 3D로 만들고 3D 프린터로 13분 동안 인쇄했다. 그리고 세 번째 시도 만에 갤럭시S10의 잠금을 해제하는 데 성공했다.
- 삼성전자는 갤럭시S10 출시 당시 '업계 최초로 사용자의 지문 굴곡을 인식해 위조 방지 기능을 강화한 초음파식 지문 스캐너'를 내세우며 보안성을 강조한 바 있다.

고가의 첨단 장비가 아닌 스마트폰 카메라, 그래픽 소프트웨어, 3D 프린터만으로 최첨단 초음파식 지문 인식 보안이 쉽게 뚫렸다. 보안업계에서는 이미 완벽하게 방어하는 것은 불가능하니, 이를 인정하고 최대한 탐지를 빨리하고 피해를 최소화하자는 시각도 그 힘을 얻고 있다. 엔터프라이즈 보안에서 '백업'의 중요성을 강조하는 이유도 이와 같다.


---
미국 사생활보호 박차…IT공룡 이어 인터넷업체로 조사 확대

- 디지털 개인정보의 이용에 따른 사생활 침해 우려가 커지자 연방거래위원회(FTC)가 페이스북과 같은 컨텐츠 업체를 넘어 ISP들에 대한 사생활 보호 실태조사에 착수했다.
- 컴캐스트, 버라이즌, AT&T, 티모벌 US, 구글 파이버 등의 인터넷 사업자(ISP)들에게 데이터를 다루는 방식과 사생활 보호 관례를 담은 보고서를 제출하라고 지시했다.
- 페이스북은 정치 컨설팅업체 케임브리지애널리티카에 수천만 명의 개인정보를 넘긴 사실이 적발돼 이미 1년째 FTC의 조사를 받고 있다.
- FTC의 이번 조사는 검증 대상을 페이스북, 구글 등과 같은 이른바 'IT 공룡'들에서 인터넷 서비스 제공업체로 확대했다는 데 의미가 있다는 평가다.

얼마전 애플의 '스페셜 이벤트' 발표를 보면, 애플이 프라이버시와 보안에 얼마나 신경쓰고 있는지를 짐작할 수 있다. 사생활 침해 우려가 고조되면서 미국 IT 업체들에 대한 견제가 강화되는 추세다.


---
네이버도 구글·페이스북처럼...자체 '버그바운티 사이트' 오픈

- 네이버가 국내 웹 서비스 기업으로는 처음 자체 취약점 신고포상제도(Bug Bounty Program)를 시작했다.
- 취약점 중요도에 따라 금액을 지정해 포상금을 지급하며 포상 상한액은 별도로 두지 않았다.
- 해외에서는 구글, 페이스북, 마이크로소프트(MS) 등 글로벌 IT기업이 자체적으로 버그바운티 프로그램을 운영한다.
- 네이버를 시작으로 향후 더 많은 웹서비스 기업으로 버그바운티가 확대 될 것으로 예상된다.


---
페이스북 사용자 수억 명 비밀번호 내부 직원에게 노출

- 페이스북이 2억~6억명의 이용자 계정 비밀번호를 암호화 되지 않은 일반 텍스트로 저장해 온 것으로 드러나 충격을 주고 있다.
- 지금까지 조사된 바로는 적어도 2012년부터 이 같은 상태로 페이스북 내부 직원 약 2만명에게 이용자 비밀번호가 여과없이 노출된 것으로 알려졌다.

지금이 90년대도 아니고 더구나 페이스북 같은 회사가 사용자 암호를 평문으로 저장했다니 그동안의 보안 사고는 '새발의 피'였구나.
더 이상 뭐라 할말이 없다...


---
윈도7 쓰십니까? 해킹 대책 시급합니다

- 내년 1월 15일부터 마이크로소프트는 PC용 운영체제 윈도7에 대한 모든 종류의 지원 업데이트를 종료한다. 보안 업데이트도 중단한다.
- 문제는 여전히 한국내 PC 10대 중 3대는 윈도7을 쓰고 있는 점이다. 이는 전체 PC(애플 제외)의 34%, 수량으로는 약 1200만대에 달한다.
- 마이크로소프트는 2015년 7월 윈도10을 출시할 때 1년간 윈도 7을 윈도10으로 무료 업그레이드를 제공했었다.
- 지금 윈도10 홈으로 교체할 경우, 가격은 20만8000원 이다.
- 내년 1월 윈도7의 보안 지원이 종료되면 각종 사이버 테러가 급증할 가능성이 크다.
- 윈도 보안 지원이 없어지면, 매일 새롭게 등장하는 악성 코드에 대처하기가 불가능하기 때문이다.

정부 기관 245만대를 포함해서 한국에 윈도7 PC가 1,000만대가 넘는다고 한다. 내년 새해부터 윈도우7을 통한 각종 보안 사고가 발생할 가능성이 클 것으로 예상된다.


---
美 잭슨카운티, 랜섬웨어로 공격으로 업무마비...'40만달러' 해커에 지불

- 미국 조지아주 잭슨카운티가 랜섬웨어 공격으로 공공업무 대부분이 마비됐다.
- 잭슨카운티는 백업 등 기본 조치를 취하지 않아 업무 복구를 위해 해커에 100비트코인(약 40만달러) 가량을 지불했다.
- 지난해 애틀란타시는 랜섬웨어 공격 받은 후 협상이 아닌 자체 복구에 나섰으며, 초기 복구비용 추정치는 260만 달러였으나 이후 1700만 달러로 급증했었다.
- 이번 공격은 최신 '류크 랜섬웨어(Ryuk Ransomeware)'로 추정되며, 이 랜섬웨어는 한국에선 발견된 바 없지만 지난 1년 여간 세계 주요 정부기관, 기업 등 대규모 산업 시설 등을 상대로 무차별 공격을 감행했다.

백업의 중요성을 다시 한번 실감하게 해주는 해킹 사건.


---
시트릭스, 이란 해킹조직 공격에 6TB 고객정보 유출

- '젠(Xen)' 가상화, '넷스케일러(NetScaler)' ADC(Application Deliver Controller), VPN 등으로 유명한 기업 '시트릭스(Citrix)'가 해킹 당했다.
- 이번 공격은 '이리듐(Iridium)'이라는 이란 정부 지원 해킹조직에 의해 6테라바이트(TB) 이상 고객정보가 유출된 것으로 추정된다.
- 이 조직은 이중인증체계(Two-Factor Authentication, MFA)를 우회하는 독자 기술을 갖췄다고 한다.
- FBI는 이번 공격에서 사이버범죄자가 '비밀번호 스프레잉(Password Spraying)' 기법을 써서 침투를 시도했을 가능성이 높은 것으로 분석했다.
- 시트릭스는 포츈 500대 기업 중 98%를 포함해 세계 40만개사에 가상사설망(VPN), 싱글사인온(SSO), 원격지원 등 가상화 솔루션을 공급하는 회사다.
- 시트릭스는 이번 사고가 고객에 끼칠 영향을 두고 깊이 후회하며, 선도적 정보보안기업을 고용해 포렌식 조사를 시작했고, FBI와 지속 협력 중이라고 밝혔다.


---
MS, AI 기반 통합 보안 솔루션 공개

- MS는 RSA 컨퍼런스에서 클라우드와 AI기술에 기반한 '애저 센티널(Azure Sentinel)'과 'Threat Experts'를 포함한 다양한 인텔리전트 보안 기술을 공개했다.
- '애저 센티널'은 클라우드 기반 SIEM 솔루션으로 사이버 위협이 해를 끼치기 전에 위협 신호를 감지해 대응하고, AI 기술로 false alarm, 시간소요 작업, 복잡도 등을 감소시킨다.
- Windows Defender ATP의 새로운 서비스인 'Threat Experts'는 데이터를 위협하는 해커들의 공격부터 사이버 첩보 활동까지도 탐지할 수 있고, '보안 전문가에 문의' 기능을 통해 보안이슈 관련 상담을 받을 수 있다.
- 또 Azure와 Microsoft 365에 새로운 보안 제어 기능이 추가됐다. Azure Firewall에는 AI 기반 보안 위협 필터링 기능이 추가됐다.
- '애저 시큐리티 센터(Azure Security Center)'는 인터넷 기반 가상 머신(VM)의 공격을 줄이기 위해 머신러닝을 이용한다.
- MS는 IIC와 함께 IoT 위협 요소를 분석하고 복원까지 돕는 IoT 보안 성숙도 모델(IoT Security Maturity Model)을 개발했다.
- MS는 이러한 기술이 다양한 보안 기술 솔루션과 통합해서 사용될 수 있도록 하는 데 주력했으며, 이를 위해 MS Intelligent Security Association에 참여하는 파트너사를 50개로 확장했다.


---
IBM 엑스포스가 제시한 2019년 사이버보안 5대 위협은

- IBM 보안연구소 엑스포스(X-Force)가 '2019년 사이버보안 위협 전망'을 내놓았다.
- 이에 따르면
1. 셀프서비스 시스템에 대한 공격 급증
2. 기업 사이버 보험 의존도 증가
3. 항공 및 숙박업계 대상 공격
4. 주가조작 관련 사이버 범죄
5. 윈도 파워쉘 기반 암호화폐 채굴 도구 공격
이 발생할 것으로 내다봤다.

- 사이버 범죄 증가로 관련 보험시장도 크게 성장했으며 사이버 보험 업체와 보안 서비스 제공 기업의 협력 가능성이 크다.
- 사이버 범죄 조직은 여행사, 숙박 업계로 눈을 돌리고 있는데 이는 온라인 범죄에 필요한 가상 인물을 만들기 위한 여권번호, 운전면허증과 같은 개인정보를 탈취할 수 있기 때문이다.
- 미국은 매리어트 호텔 해킹 사건의 배후로 중국을 지목했는데, 이는 금전적인 목적이 아니라 정찰의 목적으로 결론을 내린바 있다.


---
라인, 패스워드 없이 로그인 할 수 있게 된다

- 라인(LINE) 메신저 이용자들이 이르면 올봄부터 지문 또는 얼굴 인식을 통한 인증으로 '패스워드 없는 로그인'을 할 수 있게 된다.
- 온라인 간편인증 규격 '파이도(FIDO)' 표준 기술을 활용해 메신저뿐아니라 그 계정을 연동하는 파트너, 타사 서비스에서도 이런 방식이 지원된다.
- 라인은 FIDO 규격을 메신저 뿐만 아니라 '라인페이(LINE Pay)'같은 지불 및 송금 거래의 이용자 확인(User Verification) 수단으로도 도입할 예정이다.
- FIDO는 세계 각지의 여러 민간, 공공 단체가 참여해 표준화하고 있는 온라인 간편인증 규격이다.
- 'FIDO 얼라이언스(Alliance)'는 지난 2012년 결성돼 세계 250여곳의 회원사가 참여하고 있다.
- 라인 주식회사는 2017년 5월 구글, 마이크로소프트(MS), 인텔, ARM, NTT도코모 등 30개사로 구성된 FIDO 얼라이언스 이사회 멤버로 합류했다.
- 라인은 이용자가 생체인증뿐아니라 하드웨어 보안 키(security key)를 써서 인증할 수 있도록 하고, PC와 모바일 기기를 넘어 IoT 서비스까지 확장할 계획이다.
- 현재 드롭박스, 페이스북, 깃허브, 트위터, 구글 등이 온라인 서비스에서 하드웨어 보안 키로 FIDO 인증을 지원한다.
- 구글은 유비키(Yubikey)를 직원들을 위해 사용하다 자체적으로 구글 타이탄 키(Google Titan key)를 개발한 바 있다.


---
구글 크롬 새 확장 "유출 계정이네요, 패스워드 바꾸세요"

- 구글이 유출된 사용자명과 패스워드를 조회할 수 있는 크롬 브라우저 확장기능(Extensions) '패스워드 체크업(Password Checkup)'을 내놨다.
- '패스워드 체크업'은 크롬 사용자가 웹사이트 로그인 입력칸에 과거 온라인 데이터 유출이나 보안 사고로 노출된 적이 있는 사용자명과 패스워드 조합을 쓰고 있는지 확인해 준다.
- 구글은 지난 몇 년 동안 발생한 보안 사고로 공개된 유출 계정 정보 40억건 이상을 수집한 데이터베이스(DB)를 만들었다.
- 패스워드를 입력한 계정이 과거 데이터 유출 사고로 온라인에 그 패스워드와 함께 노출된 적이 있다고 하면서 경고를 띄운다.
- 이 확장기능은 온라인 서비스에 과거 유출된 것과 동일한 계정 정보를 쓰고 있는 사용자를 노린 '크리덴셜 스터핑(Credential Stuffing)' 공격을 대항해 만들어졌다.
- 모질라 파이어폭스도 '파이어폭스 모니터(Firefox Monitor)' 서비스를 통해 이메일을 주소를 입력하면 침해사고를 당했는지 알려주는 서비스를 출시했었다.


---
"페이스북 VPN 통해 이용자 정보 수집" 제2오나보(ONAVO)?

- 페이스북이 스마트폰 활동 내역을 수집할 수 있는 가상사설망(VPN)을 일부 사용자에게 제공했다.
- '아틀라스(Atlas)'라는 이 프로젝트를 통해 2016년부터 10대 청소년을 중심으로 '페이스북 리서치'를 설치하도록 VPN을 제공했다.
- 해당 앱을 설치하면 페이스북이 사용자 전화 활동을 해독하고 분석할 수 있다.
- 이들에게 페이스북은 아마존 주문내역 등을 캡쳐하도록 요청했다.
- 또한, 비공개 메시지, 인스턴트 메시징 앱 채팅, 다른 사용자에게 전송 된 사진과 동영상, 이메일, 웹 검색, 웹 브라우징 활동, 위치 정보 데이터를 수집할 수 있다.
- 페이스북은 예전에도 '오나보' 프로텍트를 통해 사용자가 스마트폰에 어떤 앱을 설치하는지 정보를 수집하고 스냅챗 등 경쟁서비스를 견제하는데 활용했었다.


---
구글, 프랑스서 642억원 벌금…"개인정보 보호 위반"

- 프랑스 데이터 보호 감시기관 CNIL이 구글에 일반개인정보보호법(GDPR) 위반 혐의로 5천만 유로(약 642억원) 벌금을 부과했다.
- EU의 GDPR 위반 혐의로 벌금을 부과된 것은 이번이 처음이다.
- 구글과 함께 제소된 페이스북에 대해서도 어떤 결정이 내려질지에 관심이 쏠리고 있다.
- CNIL은 구글의 개인정보 처리 과정 중 특히 투명성과 동의절차 등이 GDPR을 위반했다고 지적했다.
- 또 구글 계정을 만들 때 포괄적으로 동의를 구하는 관행도 GDPR 위반이라고 판단했다.
- 참고로, GDPR을 위반할 경우 최대 2천만 유로(256억원) 혹은 전 세계 연간 매출의 4% 중 더 많은 금액까지 벌금을 부과할 수 있다.


---
KISA, 기업 보안담당자용 로그설정 매뉴얼 제작

- 한국인터넷진흥원(KISA)은 기업 사이버침해사고 예방, 해킹원인분석 업무시 보안담당자가 알아야 하는 로그(log) 설정법을 만들어 배포했다.
- 영세 기업에선 보안 로그 설정 방법을 모르는 경우가 많은데, 이런 기업에 이 책자는 도움이 될 것이다.
- 책자는 '한눈에 보는 로그설정 노트'라는 이름으로 배포되며, 운영체제(OS) 종류별로 윈도, 리눅스, 웹서버 등 별도 설치 응용프로그램 등 27개 항목 3장으로 구성했다.
- KISA는 보안의 어려움을 겪는 영세기업들을 위해 DDoS 사이버 대피소, 웹 취약점 점검 등 다양한 서비스를 제공하고 있다.

* 해당 자료는 아래 KISA 보호나라 홈페이지에서 다운로드 할 수 있다.

No comments:

Post a Comment