반응형 전체 글264 경북대 개인정보 유출 사건 이번에는 경북대에서 발생한 개인정보 유출 사례에 대해 말씀드릴까 합니다. 지난 달 21일에 경북대에서 발생했던 2018년도 수시 모집 지원자의 개인정보 유출 사건이 발생한 후로, 이번에는 중복 건수를 포함해서 80만 명의 암호화된 개인정보가 유출된 것으로 확인되었는데요. 문제는 개인정보 유출 정황을 전혀 모르다가 개인정보보호위원회와 교육부에서 감사를 받으면서 이상 접속 기록을 확인하면서 알게된 것입니다. 접속 기록을 확인하지 않았다면 전혀 모르고 넘어갔을 상황이었는데 오늘은 이 부분에 대해 짧게 설명드리도록 하겠습니다. 이전에 발생했던 개인정보 유출의 경우 2018년도 수시모집 지원자의 주민등록번호가 포함되어 있었는데, 개인정보보호법 상 주민등록번호와 같은 고유식별 정보는 AES, SEED와 같은 양방향.. 2022. 12. 25. 카카오 계정 병합을 사칭한 피싱 메일 2010년도 이전만 하더라도 네이버보다는 다음(Daum) 이메일을 자주 사용한 것 같습니다. 다음 포털이 카페와 같은 커뮤니티가 잘 활성화되어 있고, 한메일(hanmail)이라고 해서 국내 최초로 웹 메일 서비스를 제공하여 당시 많은 사람들이 썼었기 때문이죠. 그런데 이후 사람들이 다음보다 네이버를 더 많이 사용하고 모바일 시대로 넘어가면서 카카오톡을 사용하게 되자, 2014년에 카카오가 다음을 합병하게 되었는데요. 그런데 최근 카카오 계정 합병을 주제로 한 피싱 메일이 유포되고 있어서 오늘은 이 부분에 대해 간단히 설명하도록 하겠습니다. 카카오가 다음을 합병한 이후에도 다음과 카카오 계정을 모두 사용하도록 했지만 지금도 계속해서 통합하여 사용하도록 유도하고 있는데요. 원래는 계정 통합 기한을 10월.. 2022. 12. 20. 신규 서명키 적용한 페이코 앱 업데이트 완료 몇일 전 간편결제 앱인 페이코에 사용되는 서명키가 유출되었다는 내용을 전해드린적이 있었죠. 서명키는 저희가 물건을 사고 내가 이 물건을 결제했다라고 싸인을 하는 것과 마찬가지로, 앱을 만든 개발사가 내가 이 앱을 만들었다라고 증명하는 인감도장과 같다고 설명드렸습니다. 그런데 이 서명키가 유출되어 해커의 손에 들어가면 악성코드를 만들고, 해당 서명을 이용함으로써 정상적인 앱처럼 위장하는 것이 가능하겠죠. 그래서 페이코는 새로운 서명키를 이용하여 앱을 업데이트 했다고 밝혔는데 오늘은 이 부분에 대해 설명드리겠습니다. 페이코 간편결제 앱 서명키 유출 사례 언젠가부터 삼성페이와 네이버페이 같은 간편결제가 활성화되면서 지갑을 굳이 들고 다니지 않아도 되는 시대가 왔는데요. 저는 아직까진 지갑을 들고 다니면서 실물.. 2022. 12. 16. 로우코드/노코드 플랫폼의 현실과 가치 한창 개발자가 뜨던 시절 코딩을 몰라도 개발 가능할 시대가 올 거란 기대에 로우 코드(Low-Code)나 노코드(No-Code) 플랫폼 시장이 각광 받은 적이 있었습니다. 저도 그 당시에 앞으로 실력 있는 개발자들을 제외하고는 앞으로 도태되겠구나 싶었고, 이러한 생각이 개발자를 그만두게 된 이유에도 포함되었는데요. 그런데 지금 시장에서의 평가를 보면 아직까지는 막 그렇다할 성과를 보이지 못하고 있는 것 같기도 합니다. 여전히 갈길은 멀어보이지만 앞으로 많이 사용될 로우코드 플랫폼을 어떻게 활용하면 좋을지에 대해 몇자 적어보도록 하겠습니다. 아직 국내에서는 많이 알려지진 않았지만, 해외에서는 시민 개발자(Citizen Developer)라는 개념이 큰 인기라고 합니다. 시민 개발자는 전문 개발자가 아닌.. 2022. 12. 12. 악성 메일 모의훈련 보안 교육 서비스 사례 어느 정도 규모가 있는 기업에 다니시는 직장인이라면, 회사 내부적으로 악성 메일 모의훈련을 받아보셨을 것이라고 생각합니다. 실제 회사 업무 목적으로 보낼 법한 메일을 모의훈련 용으로 피싱 메일처럼 만들어서 임직원들에게 보내는 거죠. 최근 피싱 메일이 기하급수적으로 증가함에 따라 대부분의 기업에서 보안 업체에서 제작한 솔루션으로 악성 메일 모의훈련을 진행하고 있을텐데요. 그래서 오늘은 악성 메일 모의훈련에 대한 기본적인 내용과 함께 보안 교육 서비스를 결합한 사례에 대해 간단하게 말씀드리도록 하겠습니다. 일반적으로 ISMS 인증이 필수 대상인 기업들은 침해사고 대응훈련을 진행하면서, DDoS 대응이나 APT 공격과 함께 악성 메일 모의훈련을 진행하고 있을 것으로 생각됩니다. 사실 침해사고 대응훈련을 하.. 2022. 12. 10. 코인 채굴 악성코드에 감염된 정부 시스템 제가 대학원에 다닐 때 쯤 2016년도 말 정도부터 연구실에 몰래 비트코인을 채굴하는 시스템을 만든 사람들이 종종 있었습니다. 연구용 PC의 GPU가 생각보다 성능이 좋았고, 집에서 감당할 수 없는 전기요금을 학교에서 대신 지불해주니 코인 채굴을 하는 행위들이 암암리에 이루어졌던 것이죠. 당연히 불법이지만, 학교 측에서는 1년 넘게 지난 뒤에야 이러한 정황을 알아차리고 코인 채굴을 멈추게 했었는데요. 학교에서 이런 부분들을 너무 늦게 파악해서 어이가 없었던 기억이 있었는데, 이번에는 정부의 시스템에서 코인 채굴 악성코드에 감염된 사실을 4년 만에 알았다고 합니다. 그래서 오늘은 간단하게 이 부분에 대해 말씀드리도록 하겠습니다. 정부에서는 2017년 부터 축산 농가 700여 곳에 국비 60억 이상을 들.. 2022. 12. 8. 페이코 간편결제 앱 서명키 유출 사례 언젠가부터 삼성페이와 네이버페이 같은 간편결제가 활성화되면서 지갑을 굳이 들고 다니지 않아도 되는 시대가 왔는데요. 저는 아직까진 지갑을 들고 다니면서 실물 카드를 쓰고 있지만, 이미 많은 분들이 스마트폰으로 모든 것을 해결하는 것 같습니다. 특히 여러 간편결제 중 NHN에서 만든 페이코는 앱 스토어에서 다운로드 수가 천만을 넘은 만큼 해당 앱으로 위장한 악성코드도 굉장히 많죠. 그런데 최근 페이코에서 서명키가 유출되어 문제가 되고 있다고 하는데, 오늘은 이 부분에 대해 말씀드려보도록 하겠습니다. 보통 안드로이드 앱을 개발하고 나서 앱 스토어에 등록하기 전에, 내가 이 앱을 만들었다라고 증명하는 서명을 하게 됩니다. 마치 물건을 사고 카드 결제 후에 싸인을 하는 것과 비슷하다고 보시면 되는데요. 해당.. 2022. 12. 7. 안전조치 의무사항 위반 개인정보 유출 사례 최근 개인정보 유출로 인해 발생하는 사건들이 굉장히 많아지면서, 개인정보보호위원회에서 기업들이 개인정보보호법을 잘 지키고 있는지 전수 조사에 들어간 것 같습니다. 일반적으로 대기업이라면 보안이 잘 지켜졌으리라 생각하겠지만, 통신 3사중 한 곳인 LG유플러스뿐만 아니라 어느 정도 이름이 알려진 컴투스와 같은 게임 회사에서도 개인정보보호법 위반으로 과태료를 부과했다고 하는데요. 오늘은 기업들이 어떠한 안전조치 의무사항을 위반하여 개인정보가 유출되었는지에 대해 간단하게 알아보도록 하겠습니다. LG유플러스에서는 임직원의 교육시스템 내 일부 페이지가 로그인 없이 접근할 수 있었고, 특수 문자 필터링 기능이 적용되지 않아 SQL 인젝션 공격을 수행할 수 있었다고 합니다. 만약 관리자 페이지였다면, 시스템 설계 단계.. 2022. 12. 5. 보호구역, 제한구역, 통제구역 정의 ISMS 인증 컨설팅을 진행하면서 해당 기업의 정보보호 수준분석(현황분석 또는 GAP분석)을 할 때, 담당자에게 질문하면서 여전히 헷갈리는 부분이 물리적 보안의 출입통제에 관한 통제항목입니다. 흔히 기업의 물리 보안은 총무팀이 담당하게 되는데, 방문자의 출입 현황을 제대로 관리하고 있는지나 회사의 기밀 정보가 포함된 문서를 보관하는 문서고의 출입 통제 등이 제대로 수행되는지 확인하는데요. 물론 대부분 기업에서는 제대로 관리가 되고 있지만, 몇몇 기업에서는 전산실이나 문서고 등을 통제구역으로 지정해야함에도 불구하고, 통제구역 안내판을 붙이지 않거나 출입통제 장치가 설치되어 있지 않아 지적하는 경우도 적진 않죠. 사실 일반인이 보기에는 보호구역이나 제한구역, 통제구역이 다 똑같아 보일 수 있습니다. 저도.. 2022. 12. 3. 이전 1 ··· 5 6 7 8 9 10 11 ··· 30 다음 반응형
