우키의 보안이야기

원문출처: http://www.boannews.com/media/view.asp?page=&gpage=&idx=20866&search=&find=&kind=3

  요즘 보안위협경향중 두드러지는 것이 바로 사회공학적 공격유형들인 것 같습니다. 기업이나 ISP등에서 외부 공격을 차단하기 위한 많은 시스템을 도입하고 있는 상황이기 때문에   해커의 직접적인 공격으로 내부 PC들이 침해를 받기는 힘들어졌습니다.  사용자들 스스로  악성코드를 다운로드 받을 경우엔  수많은 보안장비들의 방어체계가 일순간에 무력화되는 경우가 많기 때문에  공격자들은  사용자들이 호기심을 느끼게 하거나  신뢰할 만한 대상으로 인식하게 하여  악성코드를 자신도 모르는새에 다운로드 받도록 공격방법을 바꾸고 있지요…  

   이번에 발견된 구글 도메인 주소를 이용한 악성코드도 같은 맥락이라고 할 수 있습니다. 구글의 이름은 많은 사람들에게 신뢰를 주고 있는 점을 이용하여  구글 도메인을 연결해 이용자가 메일을 열어보도록 유도하고 있있다는 것입니다.   2010년 5월 4일경 구글 그룹(Google Groups) 도메인 주소를 악용한 악성코드가 이메일을 통해서 유포되는 것이 외국에서 처음 등장하였으며, 2010년 5월 7일 새벽에 해당 악성코드 이메일이 국내에도 유입된 것이 확인되었으므로, 컴퓨터 사용자들의 각별한 주의가 필요합니다.

  이번에 유포된 악성코드는 2010년 04월 초 보고되었던 사용자 계정 요청 메일(“수신자도메인” account notification)로 위장한 형태의 변종으로 당시에는 첨부파일 방식으로 악성코드를 유포시켰지만, 이번에는 구글 그룹(Google Groups) 도메인 주소의 링크를 이용한 방식 등으로 변경되었습니다. 악성코드 이메일은 수신자 도메인 계정을 제목과 본문 등에 삽입하여 사용자로 하여금 신뢰할 수 있도록 위장하였으며, 일반 기업과 같은 경우 기업 관리자 등에 의해서 발송된 정상적인 안내 메일로 착각할 수 있도록 제작되어 있습니다.

   특히, 메일 본문에는 사용자 계정이 다른 사람에 의해서 도용된 흔적이 발견된 것처럼 허위 보안 위협 내용을 언급하고, 수신자 계정이 일시 중단되어 있으니 링크되어 있는 파일을 실행하여 해결할 수 있도록 악성코드 감염을 유도합니다. 링크되어 있는 압축 파일 내부에는 “setup.exe” 라는 악성코드가 포함되어 있습니다. 압축된 파일을 해제하고, 내부에 포함되어 있는 setup.exe 파일을 실행하면 사용자의 컴퓨터는 악성코드에 감염되게 됩니다. 악성코드 (setup.exe)는 특정 웹 사이트 등으로 접속을 시도하며, 접속이 정상적으로 이루어지면 일명 “Desktop Security 2010” 이라는 이름의 허위 보안 제품을 사용자 몰래 설치합니다. 사용자의 동의 절차 없이 설치된 Desktop Security 2010 프로그램은 일종의 허위 보안 제품(Fake Anti-Virus)으로 마치 정상적인 Anti-Virus 제품처럼 사용자를 속이도록 제작되어 있습니다. 설치된 허위 보안 제품은 스스로 자동 검사를 진행하고, 존재하지 않는 악성코드를 가짜로 진단하면서 사용자에게 유료 결제를 진행하도록 권유하며, 결제를 진행할 경우 금전적인 피해를 입을 수 있습니다.

 ▶ 이메일을 통해서 유포되는 악성코드의 감염을 예방하기 위한 기본 보안 관리 수칙

1. 수상한 메일 열어보지 않기: 수상한 이메일을 수신할 경우 첨부 파일이나 링크를 함부로 실행하지 않는다.
2. OS보안패치 : 정기적으로 Microsoft 의 최신 서비스팩과 보안패치로 업데이트합니다.
3. 응용프로그램 최신 업데이트: Adobe Flash Player/ Reader, Office 등 최신으로 업데이트
4. 백신설치및 업데이트:  백신을 설치하고 항시 최신패턴을 유지하며, 실시간 감시 및 정기 검사를 진행한다.
5. 불법 소프트웨어 사용금지: 불법소프트웨어 다운로드하지않으며  유해 사이트등에 접근을 하지 않도록 한다
6. 패스워드 관리:  암호는 다른 사람이 추측하지 못하도록 복잡하게 설정하고 정기적으로 변경한다.
7. 속지 말자: 사회적인 관심사나 특정 이슈 내용에 현혹되어 수상한 프로그램을 무심코 실행하지 말자.
8. 설치된 프로그램 정리: 직접 설치하지 않았거나 증명되지 않은 프로그램의 경우 확인후 삭제하자

1. CPPG는 국내유일의 개인정보 관리 자격이다.
    한국 CPO Forum에서 주관하는 CPPG(Certified Privacy Protection General)는 현존하는 국내 유일의 개인정보 관련 자격으로개인정보 및 관련 법률에 대한 이해와 개인정보를 보호하기 위한 지식을 갖추고 있는가를 평가하는 시험입니다.

    한국 CPO포럼 사이트: http://www.cpoforum.or.kr/

2. CPPG가 갖추어야 할 역량은 ?  
   개인정보보호 정책 및 대처 방법론에 대한 지식 및 능력을 갖춘 인력 또는 향후 기업 또는 기관의 개인정보 관리를 희망하는 자로서, 다음의 업무능력을 보유한 자
    – 개인정보보호와 관련된 보안정책의 수립
    – 기업/기관과 개인정보보호의 이해
    – 개인정보 취급자 관리
    – 관련법규에 대한 지식 및 적용

3. CPPG 취득이후 업그레이드는 ?
   1)  CPPS(Certified Privacy Protection Specialist) – CPPS 취득후 실무경력 2년이상
   개인정보보호에 대한 실무적 이해와 이를 보호하는 기술에 대한 이해를 갖춘 전문 인력으로서, 아래의 업무 등을 담당할 수 있는 능력을 보유한 자
    – 수립된 보안 정책의 구현
    – 개인정보보호 시스템의 운영 및 모니터링
    – 개인정보 라이프사이클 관리
    – 개인정보 기술적·관리적 보호조치 이행
    2) CPPA(Certified Privacy Protection Advisor) - CPPA 취득후 실무경력 5년이상
개인정보보호에 대한 전문적 지식을 가지고, 기업의 전문 컨설팅이나 자문을 해줄 수 있는 능력을 보유한 자

4. CPPG의 합격결정기준은? 
    매과목 과목당 40% 이상, 과목평균 60% 이상의 점수 취득 기준

5. 과목별 배점기준은 ?

6. 어떻게 CPPG에  응시할 것인가? 
    1) 시험관련 문의처: 한국CPO포럼,  시험담당 전화번호  02-516-1823~4
    2) 원서접수 사이트:  http://www.cpptest.or.kr/
    3) 시험일정: 3회 원서접수일: 2010.7.26~8.13  시험일: 2010.8.29(일)  합격자발표일: 2010.9.17(금)
                     4회 원서접수일: 2010.11.15~12.3  시험일:2010.12.19(일) 합격자발표일: 2011.1.7(금)
    4) 자격검정수수료:  130,000 원     단체접수시 (15명이상)  20% 할인이 가능.
    5) 시험준비: 원서접수를 하고 나면  가이드북을 배부한다고 하는군요. 이것으로 공부 가능

   구글의 암호시스템인 ‘가이아’가 해킹되었다고  얼마전에 보도가 나왔었는데   이제서야 해킹경로가  보도로 알려지 지게 된 것 같습니다.    철통같다고하는 구글의 방어시스템도 결국  직원의 부주의한 실수 하나로   무너졌다는 것을 볼 수 있는 사례인것 같습니다.  예전에 옥션해킹사건도  유사하다고 볼 수 있다고 할때  직원에 대한 보안교육이 얼마나 중요한지  다시 한번 절감하게 되는것 같습니다.

원문링크: http://www.boannews.com/media/view.asp?idx=20540&skind=D 

  뉴욕타임스는 지난해 12월 구글 해킹 당시 전세계 수백만명의 구글 웹서비스 이용을 관리하는 암호체계가 침입자들에게 뚫렸다고 20일 보도했습니다.

 사건의 발단은 마이크로소프트(MS) 메신저 프로그램을 사용하는 중국 소재 구글 직원에게 인스턴트 메시지가 전달되면서 일어났습니다. 이 메시지에는 악성 웹사이트 링크가 담겨 있었고 이를 클릭하면 침입자들이 그의 PC 접근 권한을 가질 수 있게 돼 있었습니다. 침입자들은 구글 직원의 PC를 통해 미국 캘리포니아주 마운틴뷰의 구글 본사에 있는 소프트웨어 개발자 컴퓨터에 접근할 수 있었고 이들은 결국 개발팀이 사용하는 소프트웨어 저장공간의 통제권에까지 접근할 수 있었던 것입니다.  첫 공격 방법은 아주 간단했습니다. 그러나 침입자들은 누구를, 어떻게 해킹해야 하는지 정확히 알았다는 점에서 치밀한 전략을 세운 것으로 보인다. 또한 이들은 소프트웨어 저장 공간의 접근 권한을 얻기 위해 다른 복잡한 해킹 기법을 사용한 것으로 알려졌습니다.

  이들이 공격한 암호체계는 ‘가이아’라고 불리고 있으며 이 프로그램은 인터넷 사용자나 구글 직원들이 이메일이나 비즈니스 앱스 같은 서비스를 이용할 때 패스워드를 입력하도록 하는 소프트웨어입니다. 가이아는 구글 지메일(Gmail) 등의 가입자가 패스워드를 입력하고 로그인을 하면 이를 인증해 가입한 모든 서비스를 원스톱으로 이용할 수 있게 해주는 기능을 갖고 있습니다. 하지만 패스워드를 사용하는 구글의 거의 모든 서비스와 연결돼 있기 때문에 가이아 시스템이 해킹 당할 경우 구글의 모든 정보가 전부 노출될 위험이 있습니다.

  구글측은 올해 초 해킹을 적발한 직후 시스템 보안을 강화했기 때문에 가입자 정보는 안전하다고 밝혔으나 보안 전문가들은 “설계도에 해당하는 소스코드가 유출됐기 때문에 해커들이 이를 분석해 허점을 찾아내고 언제든 해킹을 시도할 수 있습니다”며 우려를 나타내고 있습니다.