-
IT·보안멀웨어와 랜섬웨어
멀웨어와 랜섬웨어, 언뜻 이름은 비슷해 보이지만 같은 뜻은 아닙니다. PC에 치명적인 영향을 끼칠 수 있는 멀웨어와 랜섬웨어! 각각 어떤 뜻일까요? 멀웨어란? 멀웨어란 악성 소프트웨어 Malicious Software의 줄임말로 컴퓨터 모든 소프트웨어, 서비스, 네트워크 등을 손상시키거나 악용하도록 설계된 모든 종류의 악성 소프트웨어를 의미합니다. 멀웨어에 속하는 악성 공격은 바이러스, 웜, 트로이목마 바이러스, 랜섬웨어 등으로 다양하며 계속해서 늘어나고 있습니다. 멀웨어는 감염된 앱, 악성광고, 가짜 소프트웨어 설치 파일, 이메일, 문자메시지 등 다양한 경로를 통해 퍼질 수 있습니다. 또한 하나의 악성코드가 단독으로 실행되기도 하고 다른 악성코드와 결합해 함께 작동하기도 합니다. 랜섬웨어란? 몸값을 뜻하는 Ransome과 소프트웨어(Software)의 합성어이며 멀웨어의 유형 중 하나인 랜섬웨어는 악성프로그램을 통해 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하고, 이를 인질로 금전을 요구하는 공격을 뜻합니다. 랜섬웨어에 감염된 파일은 해커만이 풀 수 있도록 암호화되며 대가를 지불해야만 잠금을 풀 수 있습니다. 최근에는 랜섬웨어가 가장 유행하고 있는 악성코드이며, 예방과 복구가 쉽지 않기도 합니다. 한국정보보호산업협회(KISIA)에서 조사한 ‘2021년 정보보호 실태조사’에 따르면 침해사고 유형은 랜섬웨어가 47.7%, 악성코드 41.9%를 차지하며 랜섬웨어의 비중이 높았습니다. 또한 랜섬웨어 공격은 국내와 해외를 막론하고 발생하고 있으며, 피해액과 피해규모는 점점 증가하고 있습니다. 2022년 1,2월에 이탈리아 패션 브랜드 몽클레르(Moncler)와 스위스의 대형 항공서비스 회사 Swissport international는 랜섬웨어 BlackCat의 공격으로 고객정보 유출 및 항공편이 지연되는 등의 피해를 입었습니다. 또한 미국의 글로벌 물류업체 Expeditors는 랜섬웨어 공격으로 배송 및 세관 등의 업무가 중단되어 막대한 손실이 발생하였습니다. 국내 감염 사례로는, 7월 17일 새벽2시에 국내 콜택시 운영사의 전산시스템이 랜섬웨어 공격을 받아 전국 콜택시 서비스가 일시 중단되는 사고가 발생하였고, 공격자는 해외 해커집단으로 추정되었습니다. 랜섬웨어에 감염되면 데이터 복구가 불가능하기 때문에 주요 데이터를 보유한 기업에서는 감염되지 않도록 더욱 유의해야 하며 기술적 보호조치를 위한 투자를 아낌없이 해야 합니다. 최신버전 소프트웨어 사용 및 주기적인 보안 업데이트를 해야 하며 출처가 불명확한 이메일과 URL링크는 클릭하지 않아야 하고 중요한 자료는 정기적으로 백업해두어야 합니다. 출처 및 참고자료과학기술정보통신부, KISA 2022년 상반기 사이버 위협 동향 보고서
-
- 22.08.02
-
IT·보안딥페이크(Deepfake)가 긍정적으로 활용될 수 있다고?
딥페이크(Deepfake)란? 딥페이크(Deepfake)는 인공지능의 한 분야인 딥러닝(Deep Learning)과 가짜(Fake)의 합성어로, 사람의 얼굴 혹은 신체를 대상으로 한 영상물 등을 인공지능(AI)기술을 이용하여 영화의 컴퓨터그래픽처럼 편집·합성한 가짜 콘텐츠를 의미합니다. 딥페이크 기술은 가상현실, 증강현실에 활용될 수 있고 촬영 없이도 영상을 제작할 수 있는 뛰어난 기술이며 GAN(Generative Adversarial Network, 생정적 적대 신경망’)이라는 딥러닝 알고리즘이 이용됩니다. GAN은 인공지능끼리 경쟁하도록 하여 오차를 줄이고 진짜 같은 가짜를 만들어내는 기술로 이미지, 영상, 음성 등을 실제와 유사하게 구현할 수 있습니다. 딥페이크 범죄, 혹시 내 얼굴도? 딥페이크 기술은 우리에게 범죄 사례로 더 익숙할 것입니다. 딥페이크를 활용한 범죄 및 악용사례들이 전 세계적으로 끊이지 않고 발생하고 있으며 대상자 얼굴과 음란물을 합성하여 유포하는 성범죄가 사회문제로 떠오르고 있습니다. 방송통신심의위원회에 따르면 2021년 1~9월 딥페이크 성적 허위영상의 처리 건수는 2020년 하반기보다 256% 증가하였습니다. 이에 법무부에서는 2020년도에 ‘성폭력범죄의 처벌 등에 관한 특례법’에 딥페이크 음란물에 대한 규정을 신설하였습니다. 개정된 주요 내용은 다음과 같습니다. ① 반포‧판매 등의 목적으로 사람의 얼굴‧신체‧음성을 대상으로 한 촬영물‧영상물‧음성물을 대상자의 의사에 반하여 성적 욕망 또는 성적 수치심을 유발할 수 있는 형태로 편집‧합성‧가공한 자를 ‘5년 이하의 징역 또는 5천만원 이하의 벌금’에 처하도록 규정(제14조의2 제1항) ② 제1항에 따른 편집물‧합성물‧가공물 또는 복제물을 반포‧판매‧임대‧제공 또는 공공연하게 전시‧상영(이하 ‘반포등’이라 한다)한 자 또는 제1항의 편집등을 할 당시에는 대상자의 의사에 반하지 아니한 경우에도 사후에 대상자의 의사에 반하여 반포등을 한 자를 ‘5년 이하의 징역 또는 5천만원 이하의 벌금’에 처하도록 규정(제2항) 성적인 용도로 악용될 뿐만 아니라 딥페이크를 통해 가짜뉴스영상이 제작되어 혼란을 일으키기도 했습니다. 미국의 낸시 펠로시 하의원장이 진보센터 행사에 참석해 술에 취해 헛소리를 하는 듯한 장면이 담긴 영상이 확산되었습니다. 이는 조작된 영상이었으나 SNS를 통해 확산되어 이미지 훼손 및 정치적 분열과 갈등을 조장하였습니다. 딥페이크: 긍정적 활용사례 그러나 딥페이크 기술이 반드시 부정적으로 악용되는 것은 아니며 의료, 미디어 등 각종 산업에서 긍적적으로 활용될 수 있습니다. 출처: Ground AI의료계에서는 딥페이크 기술을 바탕으로 다양한 연구를 진행하고 있으며, 2019년 7월 독일 뤼벡대학교 의료정보학연구소에서는 GAN인공지능 알고리즘을 활용하여 딥페이크 의료영상을 개발하였습니다. 원본 영상과 유사한 의료영상을 통해 인공지능이 질병을 학습하고 정확히 진단할 수 있도록 학습시킨 후 이를 통해 CT, MRI, X선이미지를 분석해 암의 징후와 이상신호를 탐지하는 데 도움을 주고 있습니다.출처: 그것이 알고싶다SBS 그것이 알고싶다 에서는 딥페이크 범죄 피해자의 모습을 모자이크가 아닌 딥페이크 기술을 통해 재현하였습니다. 이처럼 신원보호가 필요한 피해자들의 모습을 딥페이크로 재현함으로써 익명성을 보장하면서도 시청자들에게 그들의 감정을 생생하게 전달할 수 있었습니다. 또한 MC 김상중의 모습을 딥페이크로 마치 쌍둥이처럼 보여주며 ‘진짜와 가짜를 구별할 수 없는 세상이 온다’는 메시지를 전달하기도 했습니다.출처: MyHeritage독일의 AI업체에서 딥페이크기술을 활용하여 만든 My Heritage Nostalgia라는 프로그램을 통해 흑백사진으로만 남아있던 역사속 인물들을 그대로 구현할 수 있게되었습니다. 딥페이크 기술을 통해 정지된 사진이 마치 살아있는 듯이 표정이 자연스럽게 움직이는 영상으로 바뀌었습니다. 우리나라 독립운동가 유관순 열사와 안중근 의사, 윤봉길 의사의 모습이 영상으로 복원되어 화제가 되었습니다.
-
- 22.07.28
-
IT·보안기업 보안을 위한 필수사항, DRM과 암호화
이란비정형데이터 암호화비정형 데이터란 ? 개인정보보호법에서는 주민등록번호와 같은 고유식별정보 및 개인정보에 대한 암호화를 법적으로 규정하고 있습니다. 또한 기업에서는 정형데이터 뿐만 아니라 비정형데이터도 모두 암호화하여야 합니다. 개인정보보호법 제21조의 2 (암호화 적용 대상) 개인정보처리자가 주민등록번호를 전자적인 방법으로 보관하는 경우에는 법 제24조의2제2항에 따라 암호화 조치를 하여야 한다. 개인정보보호법 제24조(고유식별정보의 처리 제한)(””)③ 개인정보처리자가 제항 각 호에 따라 신시웨이 파일 암호화 솔루션
-
- 22.07.27
-
IT·보안개인정보 유출·노출 어떤 점이 다를까?
‘개인정보 유출사고’ 및 '개인정보 노출 사고', 매년 뉴스 헤드라인에서 자주 볼 수 있는 문구입니다. 매년 발생하는 개인정보의 유출과 노출은 비슷해보이지만 서로 다른 개념입니다. 개인정보 유출? 개인정보 유출이란 법령이나 개인정보를 운용하는 법인, 단체, 개인 등이 개인정보에 대한 통제를 상실하거나 권한 없는 자의 접근을 허용한 것을 말합니다. 개인정보 유출은 개인정보보호법에서 정의하고 있으며 개인정보를 유출했을 경우 형사처벌대상에 해당합니다. 개인정보보호법에 따르면 개인정보 유출은 다음중 하나에 해당하는 경우입니다. 1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우 2. 개인정보가 저장된 데이터베이스 등 개인정보 처리 시스템에 정상적인 권한이 없는 자가 접근한 경우 3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장매체가 권한이 없는 자에게 잘못 전달된 경우 4. 기타 권한이 없는 자에게 개인정보가 전달된 경우 최근 발생한 개인정보 유출 사고로는 2022년 3월 16일, 명품쇼핑몰 발란(BALAAN)에서는 허가되지 않은 외부 접속자가 비정상적 방식으로 회원정보에 접근하여 이메일, 전화번호, 생년월일 등 고객의 개인정보가 유출된 발란 측에서는 유사 침해가 발생하지 않도록 침입방지 시스템을 추가 도입하고 유출 시 2차 피해 최소화를 위해 24시간 모니터링을 진행하였다고 알렸으나 한달 뒤인 4월에 추가 해킹피해가 발생하여 보안상의 취약점이 드러났습니다. 이외에도 제주항공 탑승객 결제정보 유출 사건(2021.03), 서울대 병원 환자 및 직원의 개인정보 유출 사건(2021.07), 밀리의 서재 회원정보 유출 사건(2022.06) 등 기업의 주요 데이터인 고객의 개인정보가 유출되는 사고가 발생하였습니다. 개인정보 노출? 반면 개인정보의 노출이란 해커등에 의해 개인정보가 외부로 빠져나가 공개되는 상태이며, 타인의 고의가 아닌 개인정보 소유자 스스로의 실수로 인해 노출되는 경우도 있습니다. 개인정보 노출은 유출과는 다르게 법적으로 정의되어있지 않으며, 형사처벌대상 또한 아닙니다. 개인정보의 노출 사례로는 2021년 10월 쿠팡에서 약31만명의 개인정보가 노출된 사례가 있습니다. 쿠팡 앱의 상품 주문 후 확인 단계에서 본인이 아닌 다른 사람의 이름과 주소가 일부 노출되는 사고가 약 1시간동안 발생하였고, 쿠팡 측에서는 앱 개선작업중에 발생한 사고로 즉시 필요한 보안조치를 마쳤다고 밝혔습니다. 코로나 이후 증가한 개인정보 유·노출 사고 이처럼 코로나19가 발생한 2020년 이후로 온라인 상에서의 활동이 증가함에 따라 기업에서의 주요 데이터 및 개인정보 유·노출 사고는 국내외로 끊이지 않고 발생하였습니다. 개인정보보호위원회와 한국인터넷진흥원(KISA)이 발간한 ‘2021년 개인정보 보호 실태 조사’에서 44.3%의 1년간 국민이 개인정보 침해를 경험한 것으로 나타났습니다. 또한 IBM시큐리티에서 전 세계 500개 이상의 기업 및 조직에서 발생한 데이터 유출사례를 분석한 발표한 ‘2021년 데이터 유출 비용 보고서’에 따르면 기업들은 데이터 유출 사고로 평균 약 49억원의 손실을 본 것으로 나타났습니다. 특히 랜섬웨어 공격으로 인한 피해액이 약 53억원으로 다른 해킹 피해보다 큰 것으로 나타났습니다. 특히 코로나 기간 동안 증가한 재택근무와 클라우드로의 전환과 같은 근무방식에 적절한 보안 수준이 아직 갖춰지지 않아 사이버 사고에 대응하지 못한 것으로 발표하였습니다. 기업의 해결 방안은? 이처럼 개인정보의 유·노출 사고는 대기업, 중견기업 등 기업의 규모에 관계없이 발생하고 있습니다.기업들은 주요 데이터 및 정보를 보호하기 위해 허가된 사용자만 데이터에 접근을 허용하는 접근제어, 주요 정보 암호화 등의 조치가 필요합니다. 신시웨이의 접근제어 솔루션 페트라(PETRA)는 감사로그 통합관리, 보안정책 중앙관리, 감사로깅, 보안관리자 계정별 권한분리 등의 기능을 통해 기업에 효과적인 보안체제를 구축할 수 있도록 합니다. 또한 신시웨이의 암호화 솔루션(PETRA CIPHER)는 인증받은 암호화 모듈, 중복 암호화 방지 등의 기술로 데이터와 파일을 암호화하여 주요 정보를 안전하게 보호합니다. 기업에서는 이와 같은 접근제어 및 암호화 솔루션을 통해 기업의 주요 데이터 및 고객의 개인정보를 안전하게 보호할 수 있을 것이며, 유·노출사고를 방지할 수 있을 것입니다. 이처럼 주요 데이터를 보호하기 위한 사전 조치도 중요하지만, 사고가 발생했을 경우 유출 사실에 대한 고지 및 적절한 구제 방안 등과 같은 사후 조치 또한 적극적으로 진행되어야 할 때입니다. 출처 및 참고자료 개인정보보호보법 개인정보보호위원회
-
- 22.07.22
-
IT·보안신분증, 아직도 직접 들고다니시나요?
, . . DID . (DID, Decentralized Identifier) , . .기존에는개인정보를기관·기업과같은중앙기관에서관리하였으나를활용하면개인정보가자신의기기에저장되며개인정보를제공할때에인증정보만임시로전달됩니다마치주류를구매할때신분증을제시하여신원확인을하는것과같은방식입니다중앙기관이신원증명을관리하는센터와개인이직접관리하는분산의차이는다음과같습니다
-
- 22.07.19
-
IT·보안분산 서비스 거부 공격, 디도스( DDoS)
디도스 공격으로 인한 네트워크 장애 혹은 서버 마비, 뉴스에서 한 번씩 들은 적 있으실 것입니다. 오래전부터 우리를 괴롭혀온 디도스(DDoS)는 이른바 ‘좀비PC’를 만드는 주범이기도 합니다. 디도스 공격이란?디도스(DDoS) 공격이란 분산 서비스 거부 공격(Distributed Denial of Service)의 약자로 여러 대의 클라이언트를 이용해 특정 사이트에 부하(트래픽)를 발생시키는 공격 방식을 말합니다. 목표로 하는 사이트에 악성 트래픽을 대량으로 일으켜 해당 사이트의 네트워크 성능을 저하시키거나 마비시킵니다. 디도스 공격은 사이트 사용자들의 불편을 야기하며 관리자들에게도 치명적인 피해를 끼칩니다. 또한 디도스 공격의 특성상 초기 근원지를 찾기 어려워 재발 가능성 또한 존재합니다. 디도스 공격으로 인한 피해 사례2009년 7월 7일 청와대와 국방부 등 주요 정부 기관과 주요 인터넷 포털사이트가 디도스 공격을 당해 접속이 지연되는 사건이 있었으며, 이 사건은 디도스 공격에 대한 경각심을 심어주는 사건의 발단이 되었습니다.2011년에는 농협의 인터넷 뱅킹 서비스가 일시 중단되었으며 중앙선거관리위원회 홈페이지가 2시간 가량 마비는 등 디도스 공격은 지속적으로 이어졌습니다. 2020년 코로나 팬데믹 이후로는 온라인 및 비대면 활동이 증가함에 따라 디도스 공격은 더욱 증가한 것으로 나타났는데요, 세계적인 보안 기업 imperva에 따르면 코로나 기간 동안 디도스 공격 트래픽 양이 80%이상 증가하였으며, 디도스 공격 지속 시간 또한 21% 증가한 것으로 나타났습니다. 지난 2021년에는 금전을 지불하지 않으면 디도스 공격을 가해 서비스를 마비시키는 신종 수법 ‘랜섬 디도스’가 국내 다수 은행을 대상으로 발생하였습니다. 금융보안원에 따르면 금융권을 타깃으로 한 랜섬디도스 공격이 2020년 이후로 증가하고 있음을 발표하였습니다. 또한 디도스 공격은 해외에서도 사례를 찾아볼 수 있습니다. 2022년 2월, 우크라이나 국방부, 외교부, 문화부 등 주요 기관 웹사이트를 마비시키는 디도스 공격이 발생하기도 했습니다. 디도스 공격으로부터 예방 방법은?디도스 공격을 예방할 수 있는 방법에는 어떤 것들이 있을까요? 윈도우 등 운영체제(OS)및 소프트웨어의 최신 보안 패치를 설치해야 하며 주기적으로 업그레이드를 해야 합니다. 또한 바이러스 백신을 설치하고 신뢰할 수 있는 웹사이트에서만 액티브X를 설치해야 합니다. 또한 IoT기기를 처음 사용할 경우 반드시 처음 제공된 비밀번호를 바꾸어 사용해야할 것입니다.디도스 공격을 당했을 경우에는 랜선 제거, 윈도우 등 운영체제(OS_재설치, 사용하는 회선 사업자에 공격로그 추출 문의 등을 통해 피해를 최소화해야 합니다. 기업 및 기관에서는 과학기술정보통신부와 한국인터넷진흥원(KISA)에서 제공하는 디도스 공격 대응 가이드를 통해 다양한 유형의 디도스 공격을 예방할 수 있습니다. 더불어 중소기업은 한국인터넷진흥원에서 제공하는 디도스 공격을 방어해주는 서비스를 신청하실 수 있으며https://www.boho.or.kr/webprotect/samCompany.do에서 신청 가능합니다. 출처 및 참고자료경찰청 사이버수사국KISA, 디도스 공격 대응 가이드
-
- 22.07.14
-
IT·보안함부로 누르지 마세요! 스미싱
시킨적 없는 택배 주소가 잘못되었다며 링크와 함께 온 문자를 받으신 적 있나요? 의심스럽지만 그럴듯한 내용의 문자로 우리를 속이는 스미싱은 점점 더 다양하고 치밀한 방법으로 우리에게 접근하고 있습니다. 스미싱이란 문자메시지(SMS)와 피싱(Phishing)의 합성어로 악성 앱 주소가 포함된 휴대폰 문자를 대량 전송 후 이용자가 악성 앱을 설치하도록 유도하는 공격을 뜻합니다. 스미싱은 주로 주변인을 사칭하거나 흥미를 유도하는 내용과 함께 인터넷 주소를 보낸 후 사용자가 접속하면 휴대폰에 악성코드를 설치하여 개인정보 및 금융정보를 탈취합니다. 스미싱 사례 최근에는 코로나로 인한 온라인 연수, 비대면 면접 등을 활용한 신종 스미싱이 발생하고 있습니다. 온라인 연수를 진행한다며 입사 지원서의 위변조 확인을 위해 신분증 사진 및 신용도 조회 캡쳐화면 등을 전송하도록 유도하고, 업무용 휴대폰 핑계로 피해자 명의로 휴대폰을 개통하여 비대면 대출이 시행된 사례가 있습니다. 명절, 블랙프라이데이 등 택배 발송이 많을 시기에는 택배를 사칭한 스미싱이 급증하기도 합니다. 택배 사칭 스미싱은 수령지 주소가 확인되지 않는다거나 미수령 택배 확인 등의 문자로 링크를 클릭하도록 유도합니다. 이외에도 연말정산 환급금 결과 조회, 신용카드 사용내역 조회, 정부 지원금 안내 등 점점 다양한 방법으로 접근하고 있습니다. 스미싱은 악성코드에 감염된 스마트폰을 이용한 사이버사기 수법으로 악성앱을 설치하기 위한 인터넷주소가 문자메시지에 포함되어있으며, 이러한 인터넷 주소는 정상적인 사이트와 매우 유사하게 제작된 가짜 사이트인 피싱사이트로 연결됩니다. 최근에는 정상적인 사이트와 유사한 인터넷주소를 통해 연결되는 피싱사이트가 많으므로 주의해야 합니다. 스미싱 피해를 당했다면? 스미싱으로 의심되는 문자를 받았다면 경찰청 사이버 범죄 신고시스템(https://ecrm.cyber.go.kr)으로 신고하고, 해당 이동통신사의 고객센터를 통해 미리 소액결제서비스를 차단하여 소액결제가 되는 것을 미리 막아야 합니다. 휴대폰이 이미 악성앱에 감염되었을 경우에는 모바일 결제피해가 발생할 수 있습니다. 따라서 모바일 결제내역을 확인한 후 경찰서에 피해내용을 신고하고, '사건사고 사실확인원'을 발급받아 이동통신사, 결제대행사 등 관련 사업자에 제출합니다. 또한 악성앱에 감염된 휴대폰으로 모바일 금융서비스를 이용했을 경우 공동인증서 정보도 유출되었을 수 있으므로 공동인증서를 폐기하고 재발급을 받아야합니다. 또한 스마트폰 내 확장자명이 *.apk인 파일을 찾아 삭제해야 합니다. 이외에도 스미싱 피해가 의심되는 경우 국번없이 118상담센터(한국인터넷진흥원)로 문의 후 상담받으실 수 있습니다. 스미싱 관련 처벌 타인을 속여서 획득한 개인정보 및 금융거래 정보를 이용하여 재산상 이득을 취득하는 범죄행위는 형법상 사기죄 혹은 컴퓨터 등 사용사기죄로 처벌받을 수 있습니다. 형법 제 347조의 2항 컴퓨터 등 정보처리장치에 허위의 정보 또는 부정한 명령을 입력하거나 권한 없이 정보를 입력·변경하여 정보처리를 하게 함으로써 재산상의 이익을 취득하거나 제3자로 하여금 취득하게 한 자는 10년이하의 징역 또는 2천만원 이하의 벌금에 처한다. 또한 피해자에게 “아들을 납치했다”, “개인정보가 유출되었다”와 같은 허위의 말로 공포를 느끼게 협박하는 범죄행위는 형법상 공갈죄로 처벌받을 수 있습니다. 형법 제 350조 사람을 공갈하여 재물의 교부를 받거나 재산상의 이익을 취득한 자는 10년 이하의 징역 또는 2천만원 이하의 벌금에 처한다. 스미싱 예방·대응방법 앱을 다운받을 때에는 검증된 공식 마켓을 통해서만 다운받는 것이 안전합니다. 또한 출처가 불분명한 앱 설치 방지를 위해 스마트폰 환경설정에서 '알 수 없는 출처 앱 설치'기능을 해제해야 합니다. 출처가 확인되지 않거나 의심스러운 문자메시지의 링크는 클릭하지 않아야 하며, 출처가 금융정보 혹은 개인정보를 직접적으로 요구하는 경우 입력하지 않아야 합니다. 전자금융범죄에 따른 피해를 예방하기 위한 '전자 금융사기 예방서비스'에 가입하는 것도 스미싱 사기를 예방하기 위한 한 방법입니다. '전자 금융사기 예방서비스'란 공동인증서 재발급 및 인터넷 뱅킹 이체 시 본인확인 절차를 강화함으로써 전자금융범죄에 따른 피해를 예방하는 제도로, 거래 은행 인터넷 뱅킹 홈페이지를 통해 신청할 수 있습니다. 출처 및 참고자료 금융감독원 홈페이지 (https://www.fss.or.kr) 법제처 (https://moleg.go.kr) 찾기쉬운 생활법령정보 (https://www.easylaw.go.kr) KISA 스미싱 예방 및 대응 가이드
-
- 22.07.08
-
IT·보안누구나 당할 수 있는 사기, 보이스 피싱
“보이스피싱은 무식과 무지를 파고드는 게 아니라 상대방의 희망과 공포를 파고드는 거지!” 우리나라 최초로 보이스피싱을 소재로 한 영화 ‘보이스’에 등장하는 범죄설계자의 대사입니다. 2021년 9월 개봉한 이 작품에서는 보이스피싱 범죄 조직을 치밀하게 묘사해 화두에 올랐는데요. 영화의 내용은 실제와 별반 다르지 않다고 합니다. 보이스피싱 범죄기사는 매년 접할 수 있으며, 모르는 번호로 전화가 와서 계좌번호, 카드번호 등을 요구하거나 인터넷 사이트에 개인정보 입력을 요구한 적 한번 쯤 다들 겪어 보셨을 것입니다. 보이스피싱이란? 개인정보(Private Data)와 낚시(Fishing)가 합쳐진 단어 피싱(Phishing)과 음성을 뜻하는 보이스가 합쳐진 ‘보이스 피싱(Voice Phishing)’이란 ‘음성(전화)을 이용해 개인정보를 낚아 올린다’는 뜻으로, 스마트폰과 같은 전기전자통신수단을 이용해 피해자를 속여 재산상의 손해를 입히는 사기 범죄입니다. 보이스피싱은 「형법」에 따른 사기죄(형법 제347조)가 적용되며, 사례에 따라 컴퓨터 등 사기이용죄(형법 제347조의 2) 또는 공갈죄(형법 제350조) 등이 적용 가능합니다. 보이스피싱의 현황과 유형출처: 경찰청 통계자료경찰청 통계자료에 따르면 2021년의 보이스피싱 발생건수는 전년대비 감소하였으나 피해액은 7,744억원으로 5년동안 3배 넘게 증가하여 보이스피싱을 한번 당할 때 피해 금액이 늘어났음을 알 수 있습니다. 또한 금융감독원 보도자료「21년 보이스피싱 피해현황 분석」에 따르면 60대이상 고령자가 보이스피싱 피해에서 차지하는 비중은 37%이며, 피해금액은 614억원으로 2019년 이후로 계속해서 증가하는 추세입니다. 이처럼 보이스피싱은 정보 습득이 느리고 스마트폰 조작이 미숙한 노인층을 주요 타겟으로 하며 치밀하고 교묘한 수법으로 이루어집니다. 보이스피싱의 주요 유형은 다음과 같습니다. 1.가족과 지인을 사칭하는 유형으로, 핸드폰이 고장나 다른 핸드폰으로 연락하거나, 사고로 응급실에 갔다는 경우 등 긴박한 상황을 이용해 송금을 유도합니다. 2.경찰과 검찰 등 수사기관을 사칭하여 계좌이체를 유도하는 수법이 있습니다. 주민번호, 계좌번호 등 실제 개인정보 검증을 통해 실제 공공기관처럼 믿게끔 유도합니다. 3.출처가 불분명한 문자를 발송하여 문자나 카톡으로 오는 링크를 누르면 악성 앱이 설치되고, 범죄자들이 앱을 통해 휴대폰을 해킹할 수 있습니다. 이처럼 보이스피싱은 정보 습득이 느리고 스마트폰 조작이 미숙한 노인층을 주요 타겟으로 하며, 최근에는 코로나19관련 백신접종, 재난지원금 또는 대선 여론조사 등 국가적으로 화두가 되고 있는 주제를 이용한 보이스피싱도 발생하고 있습니다. 보이스피싱을 당했을 때 대처방법 최근에는 실제 가족의 전화번호가 화면에 뜨도록 하여 전화를 받게 하는 수법, 악성코드를 심어 경찰에 전화해도 사기범들에게 연결되도록 신고를 차단하는 수법 등 점점 범죄수법이 고도화되고 있습니다. 그렇다면 보이스피싱을 실제로 당했을 때에는 어떤 조치를 취해야 할까요? 보이스 피싱을 당해 실제 돈을 송금·이체했을 경우 다음과 같은 절차를 통해 보이스피싱을 신고할 수 있으며, 피해금액 또한 환급 받을 수 있습니다. 1. 즉시 경찰서 또는 금융감독원, 송금 금융회사의 고객센터에 바로 전화하여 지급정지를 신청해야 합니다. 2. 보이스피싱 전화 혹은 문자를 받고 개인정보가 유출된 사실을 알게 되었거나, 악성 앱 설치가 의심되는 경우 다음과 같은 조치를 취합니다. (※ 개인정보 유출피해가 없을 경우 생략 가능하지만, 가능한 실시를 권장합니다.) ① 금융감독원 개인정보 노출자 사고예방시스템(https://pd.fss.or.kr)에 개인정보 노출사실 등록 ② 금융결제원 계좌정보 통합관리서비스(https://www.payinfo.or.kr)에서 명의 도용된 계좌 개설 여부 조회 ③ 명의도용 계좌 개설 및 비대면 대출이 실행된 경우, 해당 금융회사에 피해사실 신고 및 지급정지 신청 ④ 한국정보통신진흥협회 명의도용 방지서비스(www.msafer.or.kr)에서 명의 도용된 휴대전화 개설 여부 조회 ⑤ 명의도용 휴대전화가 개통된 경우, 즉시 해당 이동통신사에 회선해지 신청 및 명의도용 신고 3. 가까운 경찰서에 방문하여 ‘사건사고 사실 확인원’을 지급정지 신청 후 3일 이내에 발급받은 후 이를 은행 영업점에 제출해야 합니다. 4. 지급 정지된 계좌의 명의자 소명 등을 거쳐 계좌에 남아있는 피해금을 환급하는 절차가 진행됩니다. 보이스피싱을 예방하기 위해서는? 이제 보이스피싱은 계속해서 범죄 수법으로 피해자들에게 접근하고 있으며, 보이스피싱 조직 또한 날이 갈수록 커지고 있습니다. 금융감독원에서는 보이스피싱과 같은 전기통신금융사기를 방지하기 위해 금융감독원 홈페이지를 통해 피해자에 대한 환급절차 등을 규정하여 안내하고 있습니다. 또한 피해자의 신속한 재산회복과 금융회사의 피해 방지 책임 등을 정하기 위해 「전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법」(시행 2018.3.13)이 제정되었습니다. 보이스피싱 예방을 위해 기업은 개인정보를 수집/활용할 때 중요한 데이터는 반드시 암호화를 통해 보호해야 하며 수집된 개인정보는 사전에 고지한 용도로만 사용해야 합니다. 개개인은 개인정보 제공에 동의할 때 신중해야 하며, 문자나 카톡으로 받은 수상한 링크는 클릭하면 악성 앱이 설치될 수 있으므로 섣부르게 클릭하지 않아야 합니다. 또한 공공기관, 금융기관, 경찰청 등은 개인에게 계좌번호 등을 직접적으로 요구하지 않기 때문에 전화를 통해 자금이체를 요구하면 의심해야 합니다. 무엇보다도 보이스피싱 관련 뉴스나 주변 피해 사례들을 접했을 때 이를 피해자의 탓으로 돌리거나, 좋지 않은 시선으로 바라보기 보다는 나도 언제든 피해자가 될 수 있다는 생각으로 항상 주의해야 할 것입니다. 출처 및 참고자료 경찰청 통계자료 금융감독원 보도자료, 「21년 보이스피싱 피해현황 분석」 금융감독원 홈페이지(https://www.fss.or.kr)찾기 쉬운 생활법령정보(https://easylaw.go.kr)
-
- 22.06.24
-
IT·보안끊임없이 의심하는 제로 트러스트(Zero Trust)
절대 신뢰하지 말고 항상 검증하라 요즘 화두가 되고있는 보안 모델 제로 트러스트(Zero Trust), 들어 보셨나요? 제로 트러스트는 외부 침입자뿐만 아니라 내부 관계자까지 모두 의심하는 관점에서 네트워크와 시스템을 운영하는 보안 모델로 2010년 세계적인 연구기관 포레스터 리서치(Forrester Research) 보안위협 팀의 존 킨더백(John Kindervag)수석 애널리스트가 처음 제시하였습니다. 최근 보안사고가 급증함에 따라 기존의 보안방식이 아닌 새로운 보안방식이 필요하여 제로트러스트의 개념이 10여년만에 주목받고 있습니다. 특히 코로나 이후 재택·원격 근무 혹은 사무실근무와 재택근무를 병행하는 하이브리드 방식을 채택하는 기업이 많아졌습니다. 따라서 이제는 다양한 장소에서 다양한 디바이스로 업무를 하는 경우가 많기 때문에 중요 데이터 보안에 더욱 주의해야 할 것입니다. 또한 코로나 이후로 다양한 사이버 공격이 급증하였습니다. 실제로 한국인터넷진흥원(KISA)에 따르면 기업의 사이버 침해 신고는 2019년 418건에서 2021년 639건으로 2년만에 53%가량 증가한 것으로 나타났습니다. 실제로 국내 주요 기업의 임직원 계정정보를 확보하여 기업의 내부 정보를 탈취하는 사건이 발생하기도 했습니다. 전통 보안시스템과의 차이점은? 외부 해커들의 공격을 차단하는 것에 중점을 둔 기존 보안 시스템과는 다르게 제로 트러스트는 ‘어느 누구도 믿지 않는다’는 전제를 갖고 있습니다. 따라서 기존 보안 시스템을 통과하더라도 접속권한을 부여하기 전에 반드시 검증을 거쳐야 다음 단계로 넘어갈 수 있습니다. 즉, 이전에는 재택근무시 PC에 ID와 PW를 통해 로그인을 할 수 있었다면, 제로트러스트 방식 하에서는 안전한 PC인지 검증을 먼저 마친 후 로그인이 가능한 것입니다. 또한 제로트러스트에서는 기기와 사용자가 검증되더라도 최소한의 신뢰만 부여합니다. 사용자가 애플리케이션에 대한 접근을 요청한 후 사용자의 신원이 검증되면 해당 애플리케이션에 대한 접근 권한만 부여합니다. 제로트러스트를 실현하기 위한 원칙 7가지 2021년 5월, 미국 조 바이든 대통령은 연방정부의 사이버 보안 현대화를 위해 제로트러스트를 채택하는 행정명령을 발표했는데요, 이 행정명령에 제로트러스트를 무려 11번 언급하여 화제가 되었습니다. 또한 미국 국립표준기술연구소(NIST)에서는 미국내 18개 대형 사이버 보안업체들에게 제로트러스트 시연 요청을 하였으며, 이를 실현하기 위한 기본 원칙을 7가지로 정리하여 발표하였으며 다음과 같습니다. 1. 모든 데이터와 컴퓨팅 서비스는 보호 대상입니다. 2. 모든 네트워크는 내부망/외부망에 관계없이 보호되어야 합니다. 3. 기업의 리소스에 대한 접근을 세션 단위로 허가합니다. 요청자를 평가한 후 접근을 허가하며, 작업을 완료하는 데 필요한 최소한의 권한으로만 접근을 허가해야 합니다. 4. 클라이언트 ID, 애플리케이션/서비스 및 요청 자산의 동적 정책에 따라 접근이 결정되며, 모든 단말기에 설치된 소프트웨어 버전, 네트워크 위치, 요청 시간 및 날짜, 이전에 관찰한 행동처럼 상세한 정보에 기반을 두어야 합니다. 5. 기업은 모든 자산의 무결성/보안 상태를 감시하고 조치해야 합니다. 6. 모든 리소스의 인증/인가를 실시한 후 접근을 허용합니다. 7. 기업은 자산, 네트워크 인프라, 현재 커뮤니케이션의 상태에 대해 가능한 많은 정보를 수집하고, 이를 활용하여 꾸준히 보안 상태를 개선해야 합니다. 점차 IT기술이 발전하고, 접근할 수 있는 방법도 함께 증가함에 따라 사이버 공격 또한 고도화되는데요. 따라서 사이버 보안 시스템 또한 새로운 환경에 맞춰 변화해야 할 것입니다. 이전에는 보안 위협을 예측할 수 있었다면, 지금은 예측할 수 없는 위협이 증가하고 있습니다. 이러한 환경에서 제로트러스트 보안은 앞으로 더 주목받을 수 있을 것입니다. 출처 및 참고자료Zero trust architecture, NIST Special Publication 800-207
-
- 22.06.17
-
IT·보안내가 방문하는 인터넷 사이트, 개인정보 보호수준 쉽게 알려준다.
이제는 디지털 서비스의 이용 없이 일상생활을 영위하기 어려울 정도로 우리 생활 깊숙이 자리 잡고 있으며,다양한 서비스를 이용하기 위해 우리는 당연하게 개인정보를 제공할 수밖에 없습니다. 그러나 우리가 개인정보를 제공한 사이트가 안전한 사이트인지에 대한 불안함이 항상 있을 것입니다. 실제 코로나 팬데믹 이후 온라인 사용량이 증가함에 따라, 개인정보 유출 사고 뉴스도 자주 접할 수 있었습니다. 개인정보위, 개인정보 유출된 16개 사업자 과징금 등 제재(한국법률경제신문, 2022.03) 발란, 해킹으로 고객 개인정보 유출 피해(매일경제, 2022.03) 연말정산 사이트서 821명 개인정보 유출…국세청, 개별통보 예정(한경 경제, 2022.01) 개인정보 유출 등의 사고는 지금 이 시간에도 지속적으로 일어나고 있기 때문에 개인정보를 개인공하는 정보주체라면 그 누구도 유출 등의 사고로부터 안심할 수 없습니다. 이러한 불안감을 덜기 위해 개인정보 위원회에서는 인터넷 사이트의 개인정보 보호수준을 한눈에 확인할 수 있는 ‘닥터 개인정보’서비스를 5월 27일부터 시작하였습니다. ‘닥터 개인정보’서비스는 개인정보 보호수준 진단 전문의라는 의미로, 인터넷 탐색기(브라우저)에 설치되는 확장 프로그램이며 개인정보 보호 포털(https://www.privacy.go.kr/drprivacy) 및 크롬 웹스토어에서 무료로 다운받아 이용할 수 있습니다.프로그램 설치 후 브라우저에서 ‘닥터 개인정보’아이콘을 클릭하면 현재 접속하고 있는 인터넷 사이트의 개인정보 보호수준을 다음과 같이 시각화 하여 보여줍니다.제공되는 서비스 항목으로는 ‘HTTPS적용 여부’, ‘피싱 사이트 등록 여부’, ‘인터넷상의 활동인 쿠키 수집·제공 여부’, ‘개인정보 수집·이용 현황’, ‘주민번호 수집·이용 여부’ 등으로 접속한 인터넷 사이트의 개인정보보호 수준을 다방면으로 알려주고 있으며, Tip을 통해 상세 설명을 볼 수 있습니다. 이는 웹사이트마다 제공되는 항목이 다를 수 있으며, 점차적으로 제공 항목을 늘려 갈 계획이라고 밝혔습니다. 개인정보위원회 이정렬 개인정보정책국장은 “닥터 개인정보 서비스가 국민들이 안심하고 인터넷을 사용할 수 있는 환경을 조성하는 계기가 되기를 바란다”면서 “관련 업계에서도 개인정보 보호수준을 강화하는데 많은 관심을 갖고 투자를 확대해 줄 것을 당부한다”고 전했습니다. 자세한 내용은 개인정보보호위원회 보도자료, 「내가 방문하는 누리집 개인정보 보호수준 쉽게 알려준다.」에서 확인하실 수 있습니다.
-
- 22.05.31
PR
신시웨이의 최신 소식과 다양한 IT/보안 정보를 제공합니다.