유명 인터넷 웹 계정을 해킹해서 그들의 광고 서비스를 홍보하는 OurMine 해커 그룹이 이번에는 유명 뮤직 비디오 서비스 Vevo를 해킹했다. 

Vevo는 Sony Music Entertainment, Universal Music Group, Abu Dhabi Media, Warner Music Group, AlphaBet Inc. 의 

여러 벤처사가 공동으로 하고 있는 서비스이며, 이 해커그룹은 Vevo 서버에 침입하여 약 3.12테라바이트의 데이터를 해킹한것으로 밝혀졌다. 

이 그룹이 해킹한 정보는 Vevo 내부 오피스 문서, 여러 비디오 그리고 홍보를 위한 자료이다. 현재 왜 이 그룹이 Vevo를 해킹하였는지, 

어떻게 해킹했는지 등의 원인은 밝혀지지 않았지만, 이들이 Vevo를 해킹하기 전 웹 사이트를 통해 처음으로 침해 가능성을 알렸지만

 Vevo 직원은 이에 대해 욕설로 응답한것으로 알려졌다. 이에 Vevo는 이 보안 사고에 대해 확인했음을 인정했으며, 

현재 Linkedin을 통해 데이터가 유출되고 문제를 처리

[http://thehackernews.com/2017/09/vevo-music-video-hacked.html]

저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story


개요

미 연방거래위원회(Federal Trade Commission)는 기업이 건전한 데이터 보안 보호 및 절차를 구현하는 데 필요한 새로운 지침서를 발표

 


  

주요내용

 

미 연방거래위원회(Federal Trade Commission)는 기업이 건전한 데이터 보안 보호 및 절차를 구현하는 데 필요한 새로운 지침서를 발표

(1) 보안과 함께 시작 : 모든 부서의 의사 결정 과정에 정보보호 고려사항을 포함되도록 비즈니스 프로세스를 구축하여야 함. (연방거래위원회는 개인 데이터 수집 및 보존을 최소화 할 것을 권장)

(2) 제어 정보 접근 : “Need to Know“ 기반으로 민감한 데이터에 대한 직원 및 관리자의 접근을 제한.

(3) 인증 : 암호의 복잡도를 유지하고 고유암호 사용하여야 되면, 안전하게 암호를 저장하여야 함.

(연방거래위원회는 암호정책에 대한 여러 지침을 제공)

(4) 민감한 데이터 보호 : 저장 및 전송 중에 기밀 자료를 보호하기 위해 강력한 암호화를 사용하여야 함.

(5) 네트워크 보호 : 침입 탐지 시스템을 사용하고 네트워크를 세분화하여 모니터링을 수행하여야 함.

(6) 엔드포인트 보호 : 원격에서 시스템에 접근하는 엔드포인트에 대한 보안을 수행하여야 함.

(7) 서비스 제공 업체 보안 : 연방거래위원회는 공급 업체 계약의 일부로 보안 고려사항을 포함하여 공급업체가 보안을 독립적으로 수행 할 것을 제안 함.

(8) 유지보수 : 발생 할 수 있는 취약점을 해결하고 현재 보안 상태를 유지할 수 있는 프로세스를 마련하여야 함.

(9) 물리적 보안 : 종이, 물리적 매체 및 장치의 물리적 보안 문제를 해결하고, 민감한 데이터를 안전하게 폐기하여야 함.

 

가이드에서는 데이터 보안 계획은 5가지 핵심 원칙(데이터에 대한 식별, 축소, 보호, 폐기, 사고대응)을 기반으로 작성됨.

- 또한, 가이드라인은 연방거래위원회가 조사를 통해 얻은 경험을 바탕으로 질문에 대한 대답 형식을 제공하여 이용자의 쉽게 이해할 수 있도록 제공하고 있음

 

연방거래위원회는 이번 가이드 외에 그동안 연방거래위원회는 조사를 통해 얻은 교훈과 비즈니스 관련 질문에 초점을 맞춘 정기적으로 정보호호 관련 가이드를 블로그 시리즈를 통해 제공*하기로 함.

* https://www.ftc.gov/news-events/blogs/business-blog

 

 

 

시사점

 

다양한 인터넷 및 보안 환경에서 사이버위협에 대응하기 위해서는 그동안 축적한 경험을 기반으로 한 국내 환경에 맞은 정보보호 관련 가이드라인 배포가 필요함.



[출처]

1. jdsupra.com, “FTC Updates Data Security Guidance for Businesses”, 2017.08.03.

2. ftc.gov, “PROTECTING PERSONAL INFORMATION”, 2017.06.21.

저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story


개요

 

Trustwave, 자바스크립트 파일을 이용해 악성 실행파일 다운로드 후 사용자의 정보 탈취하는 피싱 이메일 확인

 


  

주요내용

 

공격자는 Xero 기업으로 위장하여 전세계적으로 피싱 이메일 발송

* Xero : 중소기업을 위한 클라우드 기반 회계 소프트웨어 개발사  

발신자는 xero.com이 아닌 xeronet.org로 해당 도메인은 공격이 수행되는 날 중국에서 등록된 것으로 확인됨  

이메일에 포함된 링크는 최종적으로 악성 자바스크립트(Xero Invoice.js)를 실행하여 Y739Ayh.exe를 다운로드하며, 이는 Dridex 트로이목마의 변종으로 확인됨

* Dridex : Chrome, Internet Explorer 같은 웹브라우저를 모니터링하고 은행 및 개인정보를 탈취하는 악성코드  

(기능) 시스템 정보 수집, 사용자 정보 수집, 인터넷 설정 변경, 레지스트리 키 검색을 통한 설치된 소프트웨어 목록 수집  

(특징) 내장 윈도우 명령어(whoami.exe/all 등) 사용, API 간접 호출을 통한 탐지 우회, 정상 프로세스에 악성코드를 삽입하는 등의 특징을 지닌 매우 정교한 악성코드


<그림 1. Xero 기업을 사칭한 피싱 이메일 메시지>


Dear Client, Here`s your Xero subscription invoice for the previous billing period. View your bill:INV-0568918.


시사점

 

정상적으로 보이는 메일도 발신자가 의심스러울 경우 링크 클릭 및 파일 다운로드 주의  

Xero 외에도 SharePoint, Quickbook, Dropbox 등 유명 브랜드를 사칭하는 경우가 발견되어 이메일 확인 시 사용자의 주의 요망



[출처]

1. Trustwave,, “Malware Xeroing in on Cloud Accounting Customers”, 2017.9.6.

2. Infosecurity, “Xero-Spoofing Phishing Campaign Spreads Dridex Globally”, 2017.9.8.

저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

몽고DB의 상품보안 선임이사에 따르면, 관리자 계정의 패스워드가 설정되지 않아서에 최근 몽고DB 데이터베이스를 대상으로 한 랜섬웨어 공격이 

성공한 것으로 나타났다. 몽고DB는 다가올 몽고DB 3.6.0 발표시 보안정책을 강화할 계획이다.


http://www.bleepingcomputer.com/news/security/admin-accounts-with-no-passwords-at-the-heart-of-recent-mongodb-ransom-attacks/

저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

행정안전부 공고 제2017-77호


「개인영상정보 보호법」을 제정하는 데에 있어, 그 제정이유와 주요내용을 국민에게 미리 알려 이에 대한 의견을 듣기 위하여 행정절차법 제41조에 따라 다음과 같이 공고합니다. 


2017년 9월 13일

행정안전부장관



「개인영상정보 보호법」제정법률(안) 재입법예고


1. 제정이유


  영상정보 처리 기술의 고도화 및 사회적 유용성 증대로 사회 모든 영역에 걸쳐 영상정보처리기기의 설치?운영이 크게 증가하고 있으나, 국가 사회 전반을 규율하는 개인영상정보 보호 원칙과 기준이 마련되지 못해 개인영상정보의 오?남용 및 사생활 침해 등에 대한 우려가 증가하고 있는 바, 개인영상정보 보호 원칙과 처리 단계별 기준 등을 규정하고 피해 구제 제도를 강화함으로써 국민의 권리와 이익을 보장하려는 것임


2. 주요내용


 가. 개인영상정보 보호의 범위(안 제2조)

  1) 공공기관 뿐만 아니라 민간사업자 및 비영리단체 등 업무를 목적으로 개인영상정보를 처리하는 자는 이 법에 따른 규정을 준수하도록 함

  2) 영상정보 처리 기술의 발전을 고려하여 고정형 및 이동형(착용형, 휴대형, 부착형 등) 등 다양한 형태의 영상정보처리기기를 규율함

  3) 개인영상정보 보호 원칙을 규정하는 일반법 체계가 마련됨에 따라, 그동안 법률 적용을 받지 않았던 사각지대가 해소될 것으로 기대


 나. 영상정보처리기기의 설치·운영에 대한 기준 마련(안 제6조~제10조)

  1) 영상정보처리기기를 그 기능에 따라 영상촬영기기와 기타 영상처리기기로 구분하고, 이 중 영상촬영기기를 구체적인 설치?운영 형태에 따라 고정형과 이동형 영상촬영기기로 구분함

  2) 최근 몰래카메라 관련 피해사례가 빈발하고 있음을 고려하여 누구든지 불특정 다수가 이용하는 목욕실, 화장실, 발한실(發汗室), 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소에는 고정형 또는 이동형 영상촬영기기를 설치하거나 부착?거치하는 행위를 엄격히 금지하고 이를 위반하는 경우 5천만원 이하의 과태료를 부과함

  3) 고정형 영상촬영기기는 현행과 같이 촬영 목적 등이 기재된 안내판을 설치토록 하고, 이동형 영상촬영기기는 불빛, 소리 등 대통령령*으로 정하는 방법에 따라 촬영 사실을 표시토록 함으로써 영상정보주체의 자기정보결정권을 보장함

      * 무인비행장치(드론)와 같이 불빛, 소리 등으로도 촬영 사실 인식이 곤란한 경우는 행정안전부가 운영하는 홈페이지에 촬영시간 및 장소 등을 사전 게재토록 함

  4) 영상정보처리기기의 설치?운영 기준을 마련함으로써 공공기관 및 민간사업자 등의 무분별한 영상정보처리기기 설치?운영을 예방하고, 화장실 등에 몰래카메라를 설치?부착?거치하는 행위를 엄격히 금지함으로서 국민의 개인영상정보 보호를 강화할 수 있을 것으로 기대 


 다. 개인영상정보 처리 단계별 보호기준 마련(안 제11조~제14조)

  1) 영상정보처리기기의 특성을 고려하여 개인영상정보를 이용하거나 제3자에게 제공할 수 있는 경우를 구체적으로 명시함

  2) 개인영상정보를 제공하거나 제공받는 경우 이용 목적 및 이용 방법의 제한, 폐기 기한의 설정 등 개인영상정보의 안전성 확보를 위하여 필요한 조치를 취하도록 하는 등 보호기준을 강화함

  3) 공공기관이 개인영상정보를 당초 목적 외 용도로 이용하거나 제3자에게 제공한 경우 그 사실을 인터넷 홈페이지 등을 통해 공개토록 하여 개인영상정보의 관리를 투명하게 하고 오?남용 우려를 예방함 


 라. 개인영상정보의 안전한 관리를 위한 조치(안 제15조~제19조)

  1) 개인영상정보처리자는 개인영상정보가 분실, 도난, 유출 등이 되지 아니하도록 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적?관리적?물리적 조치를 의무화

  2) 영상정보처리기기를 운영하는 공공기관과 일정 규모 이상의 영상정보처리기기를 운영하는 법인 등 대통령령으로 정하는 자는 매년 이 법의 준수 여부에 대한 자체 점검을 실시하고, 그 점검 결과를 행정안전부에 신고토록 함

  3) 지방자치단체 영상정보처리기기 통합관제 시설의 안전한 운영?관리를 위하여 신규 구축 시 영향평가를 실시토록 하고 종사자 자격 및 교육 등 의무사항을 명확히 함으로써 개인영상정보가 안전하게 처리될 수 있도록 함


 마. 영상정보주체 등의 권리 보장(안 제20조~제23조)

  1) 영상정보주체 등에게 개인영상정보의 열람, 출처 확인, 사본의 교부, 보관, 촬영 및 이용?제공의 중단 또는 삭제를 요구할 수 있는 권리를 부여하고, 그 권리행사 방법 등을 규정함

  2) 개인영상정보처리자는 개인영상정보의 안전한 관리와 열람·출처확인·보관·삭제요구 등 영상정보주체의 권리 보호를 위해 개인영상정보의 처리 이력을 관리하도록 함 

  3) 영상정보주체의 권리행사 방법과 절차 등을 법률에 명확히 규정함으로써 영상정보주체가 훨씬 용이하게 자신의 개인영상정보에 대한 자기통제권을 실현할 것으로 기대


 바. 적용의 일부 예외(안 제24조)

  1) 개인정보 자기결정권과 언론?종교의 자유 등 다른 헌법적 가치와의 균형을 위해 국가안전보장, 공공의 안전과 안녕, 언론·종교단체·정당의 고유목적 달성 등을 위한 경우에는 이 법의 적용을 제외함


 사. 개인영상정보 침해 사실의 신고(안 제28조)

  1) 개인영상정보에 관한 권리 또는 이익을 침해받은 자는 행정안전부에 그 침해 사실을 신고하거나 권리 구제의 상담 등을 요청할 수 있도록 하고, 행정안전부는 관련 업무를 수행하기 위한 전문기관을 지정하여 운영할 수 있도록 함

  2) 개인영상정보 침해사실을 신고하고 상담할 수 있는 창구를 마련하여 영상정보주체의 신속한 권리구제와 고충처리에 기여할 것으로 기대


 아. 시정 명령 및 개선 권고(안 제30조~제31조)

  1) 행정안전부장관은 개인영상정보처리자가 이 법의 규정을 위반하는 행위를 하거나 개인영상정보가 침해되었다고 판단할 상당한 근거가 있는 경우에는 해당 개인영상정보처리자에게 침해 행위의 중지 등 시정을 명령할 수 있도록 함

  2) 행정안전부장관은 개인영상정보가 침해될 우려가 있다고 판단되는 경우 등에는 개인영상정보 처리 실태의 개선을 권고할 수 있도록 함

  3) 영상정보처리기기가 일상 생활 전반에 널리 활용되고 있음을 고려할 때, 시정 명령 또는 개선 권고 등을 통하여 이 법 규정이 사회 전반에 안정적으로 정착 될 것으로 기대


저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

티스토리 툴바