2021년 새해부터 달라지는 보안 관련 법과 제도는?

• 2021년에는 개인정보 침해사고를 낸 기업의 과징금이 위반행위 관련 매출액의 3%에서 기업 전체 연 매출액의 3%로 강화될 예정입니다. 현재는 온라인 사업자에 대해 위반행위와 관련된 매출액의 3% 이하 과징금을 부과하고 5년 이하의 징역 또는 5000만원 이하의 벌금을 부과해 왔습니다. 이러한 형벌 중심의 제재가 개인을 과도하게 처벌하는 측면이 있다는 지적을 받아들여 과징금을 높이는 쪽으로 처벌해 개인정보보호를 강화하는 방향으로 법이 개정됩니다.• 업이 자체적으로 수립·운영하는 정보보호 및 개인정보보호 관리 체계가 적합한지 여부를 인증하는 ISMS-P 인증 제도도 개정됩니다. 기업이 ISMS-P 인증을 받으면 정보보호 및 개인정보보호 수준을 공식적으로 인정 받았다는 의미가 있습니다. 이에 인터넷 포털 기업이나 쇼핑몰 운영 기업들이 주로 해당 인증을 받아왔습니다. 하지만 유사/중복 점검과 사후 관리 등이 기업의 부담으로 다가왔고 이에 대한 개정 요구가 계속되어 왔습니다. 개인정보보호위원회는 중복 심사를 줄이고 인증 심사 후 현장 실사 등 사후 관리를 강화하는 방향으로 제도를 개정한다고 밝혔습니다.• SW업계의 오랜 숙원이었던 SW 진흥법이 지난 10일 개정되어 시행되었습니다. SW 진흥법은 SW 생태계의 공정성을 높이고 SW 산업의 지속가능한 성장을 촉진시키기 위해 20년만에 전면 개정되었습니다. 이 개정안으로 대기업 참여가 허용되는 민간 투자형 SW 사업 제도가 신설됐습니다. 여기에 대기업 참여제한 제도 개선 방안까지 나오면서 대기업의 공공 사업 진출이 가능하게 되었습니다.• 클라우드 보안 등 신기술의 발전을 가로막는다는 지적이 이어져왔던 CC인증(공통평가기준) 재평가 기준이 완화됩니다. 그 동안 업계에서는 핵심 기능이 아닌 일부 기능만 바꿔도 재평가를 받아야 해 불만이 지속되어 왔습니다. 앞으로 CC인증은 재평가 기준을 완화하고 인증 유효기간을 늘리는 것으로 개정됩니다. 클라우드 기반 보안 제품인 SECaaS의 경우 새로운 인증 제도 도입을 놓고 과기부와 국정원이 검토하고 있다고 합니다. 이 밖에도 기업이 정보보호 현황을 공시하도록 해서 국민의 알 권리 보장과 기업의 정보보호 투자 촉진을 위해 시행되고 있는 정보보호 공시제도도 의무화 될 예정입니다. 제도가 시행된 지 5년이 지났지만 참여 기업이 적어 법제화를 검토하고 있는 것으로 알려졌습니다.• [전자신문] 개인정보보호법 위반시 전체 매출 3%까지 과징금 부과… 더 강해진 개보법 2차 개정• [디지털데일리] ISMS-P 인증제도 개선··· 개인정보위 “기업 부담 줄이고 보안성 강화한다”• [전자신문] 보안 SW ‘CC인증’ 재평가 기준 낮춘다• [지디넷] 개정 SW진흥법 발효···"새로운 SW 문화 열려"• [전자신문] 정보보호 공시, 신규 참여사 달랑 8곳… 의무화 ‘가닥’이 콘텐츠의 저작권은 ㈜ADT캡스에 있으며 영리적, 개인적 사용을 금합니다. COPYRIGHT ⓒ 2021 ADT CAPS. All Rights Reserved.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스

2020년 주요 정보보안 사고

올해 1월, 일부 연예인들이 스마트폰을 해킹 당해 사생활 유출을 빌미로 금품을 갈취 당한 사건이 발생했다. 협박범은 사전에 유출된 연예인들의 계정 등의 개인정보를 이용하여 크리덴셜 스터핑 공격으로 삼성 클라우드 계정에 접근한 후 스마트폰을 복제했다. 이 방법으로 카카오톡, 문자메시지 등의 민감 정보를 확보한 것으로 확인되었다. 피해 연예인은 총 8명이며 이 중 5명의 연예인이 총 6억 원 가량의 금품을 협박범에게 건넨 것으로 확인되었다. 또한, 일본의 ‘미쓰비시 전기’에서 일본 방위 기술과 관련된 정보와 중요한 사회 인프라에 관한 데이터가 유출되는 사고가 있었다. 이는 취약점 CVE-2019-18187을 악용한 것으로 확인되었다. 미쓰비시 전기 측은 해킹 수법 등을 참고하였을 때 방위 관련 기밀 정보를 주로 노리는 중국 정부와 밀접한 관계가 있는 해커 그룹 ‘Tick(틱)’이 관련됐을 것으로 추정하고 조사 중이다. 한편, 최근이 사이버 공격으로 인해 고속 활공 미사일의 성능에 대한 정보가 유출된 것으로 밝혀졌다. 이탈리아의 암호화폐 거래소인 ‘알츠비트’에서 암호화폐 탈취 해킹 사고가 있었다. 알츠비트는 이해킹 사고로 인하여 고객 예치 암호화폐를 제외한 거의 모든 자금인 6,929 BTC, 23,210 ETH, 3,924,082 ARRR, 414,154 VRSC, 1,066 KMD(총 한화 약 900억 원)을 탈취 당하는 심각한 피해를 입었다. 이로 인해 알츠비트는 남은 고객 예치 암호화폐를 반환하였으며 5월 8일부로 서비스를 종료하였다. 관련 업계에서는 이렇게 피해가 컸던 이유에 대해 거래의 편의성을 위해 콜드 월렛과 핫 월렛의 비중을 적절하게 분배하지 않고 주로 핫 월렛을 이용했기 때문으로 보고 있다.3월과 4월에는 웹 호스팅 업체인 ‘마루인터넷’의 랜섬웨어 감염 사고가 있었다. 정확한 피해 규모는 알려지지 않았지만, 해커와의 협상을 통해 90% 가량의 서버는 복구하였으나 일부 서버는 복구가 이루어지지 않았다. 또한, 복구가 이루어진 일부 서버는 데이터와 DB 쿼리 부분의 망실 등으로 인해 100% 복구에 차질이 발생한 것으로 알려졌다.또한, Zoom과 Webex 등 원격 회의 플랫폼의 보안 이슈가 화제가 되었다. 2월 말, 정부가 코로나19 상황을 '심각' 단계로 격상하면서 대부분의 기업이 재택근무를 시행했고, 이에 원격 회의, 화상회의 앱 사용량이 급증했다. 하지만, 급증하는 사용량만큼 여러 가지 보안 취약점이 화두에 올랐다. 대표적으로 Zoom International의 협업 솔루션 ‘Zoom’에서 UNC path를 공유할 때 이를 클릭한 사용자의 시스템 계정 정보가 노출될 수 있고, 이 링크를 이용한 원격 파일 다운로드 및 실행이 가능했던 취약점이 있었다. 이외에도, 상용 이메일 계정이 아닌 특정 도메인 계정을 사용할 때 같은 도메인 계정을 사용하는 사용자의 리스트가 출력되는 취약점, 회의 ID가 짧아 무작위 대입 접속 시도를 통해 비밀번호가 설정되지 않은 회의실 참여가 가능한 취약점이 있었다. 또한 Cisco Systems의 협업 솔루션 Webex에서 ARF(Advanced Recording Format), WRF(Webex Recording Format)로 저장된 Webex 레코딩내 요소 검증 문제로 악의적인 ARF, WRF 파일을 공유하고 사용자가 파일을 실행할 때 임의 코드실행이 가능했던 취약점(CVE-2020-3127, CVE-2020-3128)이 존재하였다.국내 쇼퍼블 콘텐츠 기업인 ‘스타일쉐어’의 개인정보 유출 사고도 발생했다. 피해 규모는 전체 회원 수인 약 640만 건이며 유출된 정보는 아이디, 이름, 생일, 배송지 정보, 성별, 이메일 주소, 전화번호이다. 비밀번호는 암호화해 별도로 관리되고 있으며, 이메일 주소와 전화번호도 암호화 처리되어 있어 광고성 메일 또는 보이스 피싱 등의 2차 피해 가능성은 낮은 것으로 확인되었다. 해당 사고는 샤이니 헌터스(Shiny Hunters)로 알려진 해킹 조직 소행으로 알려졌다.5월에는 온라인 인테리어 플랫폼 업체인 ‘집꾸미기’의 개인정보 유출 사고가 있었다. 피해 규모는 약 200만 건이며 이름, 아이디, 이메일 주소, 전화번호가 유출된 것으로 추정된다. 주민등록번호와 금융 정보와 같이 민감 정보는 유출되지 않은 것으로 확인되었다. 해당 사고 역시 샤이니 헌터스(Shiny Hunters)로 알려진 해킹 조직 소행으로 알려졌으며, 다크웹에서 200만 건의 개인정보를 1300달러(약 160만 원)에 판매한다고 홍보하기도 했다. 업체는 해킹과 관련된 안내 메일을 발송하는 과정에서 회원들의 이메일 주소를 그대로 노출하는 실수를 범해 피해자들의 공분을 사기도 하였다. 또한, 여행 플랫폼을 운영하는 업체인 ‘플레이윙즈’ 사이트가 공격을 받아 고객의 개인정보가 유출된 사실이 알려졌다. 4월 16일에 허가 받지 않은 외부 접속자가 당사의 서버 접속 키를 탈취하여 일부 회원 정보에 접근하였으며, 당사 DB에 적재된 개인정보를 탈취한 사실이 6월 29일에 확인되었다고 밝혔다. 유출된 개인정보 항목은 이메일 주소로 가입한 회원(SNS 가입 유저 제외)의 이메일, 암호화된 비밀번호, 닉네임 등 3개 항목이다. 플레이윙즈는 개인정보 최소 수집 원칙에 따라 SNS 로그인을 병행 이용하고 있어 회원의 성명, 주민등록번호, 카드번호 등 금융 정보는 원칙적으로 보관(수집)하지 않는다고 설명했다. 이번 사건과 관련해 지난 4월 22일 서버 접속 Key를 변경해 취약점 제거를 완료했다고 밝혔다.Maze 해킹 그룹의 랜섬웨어 공격은 타깃 서버에 비정상적으로 접근하여 랜섬웨어를 실행시켜 주요 확장자가 포함된 파일들을 암호화하는 방식으로 이뤄진다.이후 데이터를 복구하기 위해 필요한 복호화 키에 대한 비용을 지불하라고 요구했다. 그러나 최근 Maze 그룹은 타겟 서버에 침투 후 랜섬웨어를 바로 실행시키지 않고 주요 데이터를 탈취한 후 암호화를 진행한다. 그후, 비용을 지불하지 않으면 탈취한 데이터를 웹에 공개하겠다고 협박하면서 결제를 유도한다. 실제로 비용을 지불하지 않을 시 데이터 일부를 자신의 웹 아카이브에 공개하며 협박의 수위를 높였고, 그럼에도 불응할 시에는 모든 데이터를 공개했다. 해당 아카이브를 확인해보면 실제로 일반 기업뿐만 아니라 다양한 분야에서 다수의 침해가 발생한 것을 확인할 수 있다.7월에는 트위터가 해킹을 당해 많은 유명인사들의 계정이 탈취되는 사태가 벌어지기도 했다. 공격자는 내부 시스템에 접근 권한이 있는 일부 직원의 PC를 해킹하였고, 획득한 권한으로 여러 저명인사의 계정을 이용해 암호화폐 사기에 악용하였다. 해당 사건은 과거와 다르게 여러 개의 계정이 한꺼번에 해킹을 당했고, 심지어 2단계 인증을 사용했음에도 불구하고, 해킹을 당해 그 사태는 더욱 심각했다고 볼 수 있다. 트위터에서는 해킹당한 인증 계정의 활동을 모두 차단시켰고 패스워드 변경을 통보하였다. 공격자는 이 공격으로 인하여 한화로 약 2억 원의 부당이익을 챙긴것으로 확인되었다.또한, 미국 보안 기업 TrustWave가 중국 필수 세금 납부 관련 소프트웨어와 관련된 백도어를 발견했다. TrustWave는 고객사의 중국지사 사무실 설립 이후 당사 시스템 정보가 외부로 유출되는 것을 이상하게 여기고 원천을 확인해 본 결과, 중국 필수 세금 납부 관련 소프트웨어가 설치되면서 추가로 설치된 악성 파일(Goldenspy)이 원인인 것을 알아냈다. 해당 내용이 알려지자 해당 소프트웨어 개발 업체 Aisino는 Goldenspy 관련 흔적을 지우는 삭제 프로그램(Uninstaller)을 배포하며, 이 사실을 숨기려고 했다. Aisino가 Goldenspy로부터 이득을 얻었는지 확인되지 않았지만, 정보 유출지 도메인이 중국이라는 점과 Aisino가 발각된 Goldenspy 흔적을 급하게 삭제하려고 했던점으로 미루어 볼 때 배후 미상의 단체와 함께 Aisino 또한 해당 공격에 연루된 것으로 관측된다. 9월에는 이란 출신으로 보이는 해커가 전 세계 기업을 대상으로 RDP 포트를 이용해 복잡도가 낮게 설정된 패스워드를 뚫고 다르마 랜섬웨어를 심은 후 금전을 요구하는 사건이 있었다. 다르마 랜섬웨어의 소스코드가 공개되면서 많은 공격자들이 활용할 수 있게 바뀌었고, 전문적이지 않은 공격자들도 악용할 수 있는 것으로 확인되었다. 해당 공격은 자체 제작하거나 조작된 해킹 도구가 아닌, 쉽게 구할 수 있는 여러 Scanning, Bruteforce 도구를 사용한 흔적을 봤을 때 전문적이지 않은 아마추어에 의한 소행인 것으로 추정되었다. 침해 성공 이후에는 데이터를 탈취하고 다르마 랜섬웨어를 최종적으로 감염시켰다. 그런데, 해커들이 파일 복구 비용을 타 랜섬웨어 보다 상당히 낮은 1~5 비트코인을 요구하였다. 이 사건은 대부분 이란 해커들의 해킹 목적인 스파이, 정보 탈취, 사보타주 등의 행위와 다르게 금전을 요구하는 해킹이 발생했다는 점, 그리고 타 랜섬웨어 대비 몸값 비용이 극히 적었던 점이 이슈가 되었다.10월에는 국내 대기업, 금융권 등을 타깃으로 일명 ‘랜섬 디도스’ 공격이 발생했다. ‘랜섬 디도스’는 비용을 지불하지 않으면 디도스 공격을 수행하겠다는 새로운 유형의 협박성 공격 방식이다.실제 서비스에 대한 피해는 보고되지 않았지만, 해킹과 Ransom을 결합하여 공갈하는 방식의 사회공학적 공격이 점차 늘어날 것으로 전망된다.또한, 류크 랜섬웨어 그룹이 AD 관리자 권한 획득 공격 시, Windows 제품군의 권한 상승 취약점(CVE-2020-1472)을 악용하는 것으로 확인됐다. 최초 스피어피싱을 성공한 후 2시간 만에 AD 관리자 권한 획득, 5시간 만에 도메인 네트워크 시스템 전체 암호화한 사례가 보고됨에 따라 해당 취약점에 대한 패치와 주의가 요구된다.이 콘텐츠의 저작권은 ㈜ADT캡스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2020 ADT CAPS. All Rights Reserved.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계

연간 주요 해킹 공격 통계

- 2020년 연간 주요 해킹 공격으로는 외부에서 원격 명령을 삽입하는 Shell command injection이 800만 건으로 가장 많았다. PHP 프레임워크인 ThinkPHP 원격 코드 삽입 공격이 350만 건으로 확인되었고, 웹 상의 근본적인 취약점인 SQL injection이 244만 건, Webshell 접근 공격이 240만 건, File Upload 취약점이 200만 건으로 확인되었다. SMBv2 취약점 공격 시도가 160만 건, Webshell다운로드 공격이 110만 건으로 확인되었다. 뒤이어 Microsoft Exchange Server RCE 취약점 (CVE-2020-0688) 공격이 77만 건, Oracle Weblogic RCE 취약점(CVE-2020-2555) 공격이 66만 건, Microsoft SQL Server RCE 취약점(CVE-2020-0618) 공격이 32만 건에 달했다. 통계 데이터를 통해 올해는 OS, Application의 RCE(Remote Code Execution) 취약점 공격이 증가했다는 것을 알 수 있다. 또한 증가한 취약점 공격의 제품군이 기업에서 주로 운영하는 Exchange Server, Weblogic Server, MS SQL Server 대상이라는 점과 취약점 또한 원격에서 코드를 실행할 수 있는 가장 위험한 취약점이라는 점을 투영해본다면, 상대적으로 수치상 앞선 웹 중심의 취약점보다 탐지 건수는 적지만 훨씬 더 위협적인 공격 시도들이 있었다고 볼 수 있다. 이러한 취약점은 공개되는 즉시 해커에 의해 악용되므로 가능한 한 빠르게 대처하고 패치하여 취약점을 제거해야한다. 이 콘텐츠의 저작권은 ㈜ADT캡스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2020 ADT CAPS. All Rights Reserved.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계

해킹사고 유형별 피해

- 2020년 해킹 사고를 유형별로 나눠보면 국내와 국외 모두 개인정보 유출로 인한 사고가 각각 34%, 33%로 가장 많았다. 뒤이어 랜섬웨어를 통한 데이터/시스템 암호화가 국내 24%, 국외 20%를 차지했고, 국내 기준 스팸메일, 스미싱 악용 목적의 SMTP, SMS 서버 탈취, 내부 시스템 장악 목적, 웹 사이트 변조 목적의 디페이스 공격이 각각 10%를 차지했다. 내부 정보 유출 목적과 악성코드 배포 목적의 공격은 각각 7%, 3%로 뒤를 이었다. 국외 기준으로는 내부 정보 유출 목적과 내부 시스템 장악 목적이 13%, 디페이스 공격이 7%로 뒤를 이었다.- 최근 개인정보 유출 사고 대부분이 다크웹에서 거래되는 경우가 많다. 따라서, 개인정보 유출 방지를 위해 주기적으로 패스워드를 변경하고, 사이트 간 다른 계정/패스워드를 사용하여 추가 피해를 방지하는 것이 좋다.이 콘텐츠의 저작권은 ㈜ADT캡스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2020 ADT CAPS. All Rights Reserved.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계

주요 해킹사고 원인

- 2020년 해킹 사고 원인을 분석한 결과, 사전 탈취된 계정을 이용한 크리덴셜 스터핑 공격이 23%로 가장 많은 비율을 차지했다. 뒤이어 RDP 접근 통제 누락으로 인한 사고가 19%, DB 접근 통제 누락과 SMTP 접근 통제 누락으로 발생한 사고가 각각 8%와 4%를 차지했다.취약점 부문은 어플리케이션(Exchange Server, SQL Server 등) 취약점으로 인한 사고가 15%를 차지했고, SMBGhost(CVE-2020-0769)나 Bluekeep(CVE-2019-0708)과 같은 OS 구성요소 취약점이 8%를 차지했다. 웹 취약점은 file upload 취약점과 Webshell에 의한 공격이 8%, SQL injection 취약점이 4%, 기타 웹 취약점이 8%를 차지했다. 또한, DB 접근통제와 더불어 데이터 암호화를 수행하지않거나 불필요하게 많은 데이터가 외부로 노출되어 발생한 사고도 4%를 차지했다.상반기에 이어 하반기에도 크리덴셜 스터핑으로 인한 피해가 많은 것을 확인할 수 있어 사용자는 개인 계정 관리에 각별한 주의를 기울여야 한다. 또한 2019년보다 애플리케이션 취약점과 OS 취약점에 의한 사고가 증가한 것을 알 수 있다. 이는 앞서 해킹 공격 통계 데이터에서 확인할 수 있었듯이 공격 시도가 증가하고 있으며, 위협적인 만큼 실제 연계된 사고 또한 많았다고 볼 수있다.이 콘텐츠의 저작권은 ㈜ADT캡스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2020 ADT CAPS. All Rights Reserved.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계

코로나 바이러스 관련 악성 침해지표(IOC) 통계

- 올 한 해 코로나 바이러스(Covid-19)가 상당한 이슈였던 만큼 이를 악용하는 악성 IP, URL이 많았다. 3월부터 2만여 개의 IOC(침해 지표)가 나타났고, 4월, 5월 모두 월별 신규 IOC가 3.5만여 개에 달했다. 6월 이후 신규 IOC는 점차 줄어들고 있지만, 지속적으로 신규 IOC가 탐지되고 있다. 해당 IP, URL이 모두 스팸/해킹 메일, 스미싱, SNS 등에서 공유된 것으로 보이며, 상당수 사용자들이 접속했을 가능성이 크다. URL과 링크에 ‘Corona’, ‘Covid’ 등의 키워드가 있더라도 신뢰할 수 없는 링크나 웹 사이트는 접속하지 않아야 한다.이 콘텐츠의 저작권은 ㈜ADT캡스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2020 ADT CAPS. All Rights Reserved.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계

업종별 침해사고 발생 통계

- 2020년 업종별 침해사고 발생 건수를 살펴보면 국내 기준 제조 및 IT에서 각각 16.8%, 15.6%로 가장 많은 사고가 발생했다. 뒤이어 도매업 12.5%, 서비스 10.2%, 공공 8.6%, 금융 8.2%를 차지했다. 국외 기준으로는 제조, 공공 분야에서 24.4%, 19.2%로 큰 비율을 차지했으며, 뒤이어 의료 16%, 도매 12.2%를 기록했다.국내 업종별 침해사고 발생 통계에서 보듯, 올해 전체 업종에서 크고 작은 침해사고가 발생한 가운데, 특히 제조, IT 업계에서 침해사고 발생 건수가 많았다.따라서, 인터넷 서비스과 연계되는 업종이거나 내부 인터넷 거점이 존재하는 폐쇄망을 사용하는 모든 업종에서는 침해사고에 대한 철저한 대비가 필요하다. 이 콘텐츠의 저작권은 ㈜ADT캡스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2020 ADT CAPS. All Rights Reserved.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계