본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.

1. 2월 18일, 정보통신망법 개정안 시행


인터넷상에서 주민번호의 수집, 이용을 금지하는 정보통신망법 개정안이 6개월간의 계도기간을 거쳐서 2월 18일 정식으로 시행되었습니다.
정보통신망법 개정안의 핵심 내용은 아래와 같습니다.

- 주민등록번호의 사용 제한
- 개인정보 취급방침의 공개
- 개인정보 누출 등의 통지, 신고
- 개인정보의 파기
- 개인정보 이용내역의 통지

이로서, 기업들은 법령에서 허용하는 경우가 아닌 경우, 인터넷상 주민등록번호 수집이 불가하며, 주민등록번호를 대체할 대체인증수단을 제공하여야 합니다.
주민번호 수집금지 위반 시 3000만원 이하의 과태료가 부가됩니다.


 

2. 3.20 전산망 테러


3월 20일 오후2시, 방송사와 금융사의 전산망이 악성코드 감염에 의해 일제히 마비되는 사태가 발생하였습니다. 이 공격은 오랜기간 동안 치밀히 준비해 온 공격이었습니다.
악성코드는 중앙관리솔루션의 취약점을 이용하여 금융사 및 방송사의 내부 PC를 감염시킨 후, 20일 정해진 시간에 일제히 공격명령을 내렸습니다.
조사결과, 이번 공격에서 발견된 악성코드들 중에서 몇몇 악성코드는 이전에 북한이 대남해킹에 사용했던 것과 일치하는 등 북한 정찰총국의 소행으로 드러났습니다.


 

3. 미국 정부의 개인정보수집


전직 미국 중앙정보국(CIA) 비밀요원이였던 애드워드 스노우든이 미국 국가 안보국(NSA)이 비밀리에 전 세계 수백만 명의 통화기록을 수집하고 있으며, 구글, 페이스북에 올린 개인정보와 기록 서버조차 미국 정보기관에 직접 접속되고 있다는 사실을 폭로하였습니다.
또한 암호명 ‘프리즘’이라는 해킹 프로그램은 주요 인터넷업체를 이용하는 외국인들의 인터넷 기록을 수집하고 있다고 하였습니다.
이런 미국정부의 불법정보수집에 대한 스노우든의 폭로는, 전 세계적으로 큰 파문을 일으켰으며, 현재까지 스노우든의 폭로는 계속되고 있습니다.


 

4. 6.25 해킹


국제적인 해커그룹인 어나니머스는 각종 sns를 통하여 6월 25일 북한에 사이버 공격을 감행할 것이라고 예고하였습니다.
그리고 정전 60주년이였던 6월 25일 당일, 어나니머스는 북한의 주요사이트 46곳을 공격하였고, 북한 역시 보복성 공격을 감행하였습니다.
그 결과로, 청와대, 총리실, 국정원 등 국가 핵심 홈페이지를 변조 및 다운시켰으며, 정보 유출도 감행하였습니다.
이에 따라, 한국인터넷진흥원은 사이버위기 ‘관심’경보를 ‘주의’로 상향시킨 후적극적인 대응조치를 취했습니다.
6.25해킹은 3.20 전산대란이 일어난지 얼마 안된 후 바로 일어난 사건으로, 정부가 해킹에 대한 대응이 미흡한 것이 아니냐는 지적도 나왔습니다.


 

5. 금감원 사칭 익스플로러 팝업창 피싱 주의보


피싱사이트가 유행하는 가운데, 금감원을 사칭하는 피싱방법이 유행하고 있어 사용자들의주의가 요구됩니다.
이 악성코드에 감염되면, 익스플로러를 실행하였을 때, 팝업 형태로 금감원의 보안관련 인증절차를 가장한 팝업창이 뜨며, 그 팝업창을 개인정보를 입력하도록 유도하여 정보를 탈취하는 방법입니다.
공공기관, 은행, 카드사 등 금융기관들은 보안인증, 강화절차를 이유로 고객들의 모든 정보를 요구하는 일은 없기 때문에, 과도하게 정보를 요구하는 사이트를 접하게 된다면, 먼저 의심하고 해당 기관으로 전화하여 문의를 해보는 것이 좋습니다.