보안 권고문

㈜아이온시큐리티에서 서비스 이용 고객님들의 안정적인 시스템 운영을 위해
필수적인 주요 보안 조치 사항을 안내해드립니다.

방위사업청 해킹 파장 어디까지? 침투경로 등 논란 커져 관리자 2019-01-16 07:22:42

 

방위사업청 해킹 파장 어디까지? 침투경로 등 논란 커져

국정원, 공공기관 보안관제 중 방사청 IP 이상 트래픽 감지...방사청은 ‘몰라’

2018 10월 첫 감지...국회 국방위원회 이종명 위원이 공개할 때까지 ‘쉬쉬’

인터넷 PC에 설치된 자료저장방지 솔루션 관리자 계정이 침투경로...방사청은 몰랐나

 

[보안뉴스 원병철 기자] 우리나라 군수품 조달과 방위력 개산사업을 수행하는 방위사업청(이하 방사청)이 지난 2018 10월부터 11월까지 총 30대의 인터넷 PC가 해킹당한 것으로 드러났다. 국회 국방위원회 이종명 위원(자유한국당 의원)은 이와 같은 사실을 확인하고 1 15일 공개했다

 

방사청 해킹 사건 개요

방사청이 이종명 위원에게 보고한 자료에 따르면, 2018 10 26일 공공기관 대상으로 보안관제를 담당하는 국정원이 방사청 IP에서 이상한 트래픽을 감지하고 이를 방사청에 통보했다. 이에 방사청은 국정원의 협조로 감염이 의심되는 PC 30대 중 25대의 조사 및 분석을 11 1~2일 양일간에 걸쳐 진행하는 한편, 전 직원을 대상으로 인터넷 PC 사용 자제를 공지했다.

11 5, 방사청은 조사를 마친 인터넷(전용) PC 25대에서 자료 유출이 없는 것으로 판단(PC 내 자료 미보유)하고, 실제 감염된 PC 10대로 확인했다. 또한, 11 6일에는 창원사무소에 있던 인터넷 PC 5대에 대한 회수와 조사를 진행한 끝에 PC 2대에 암호화된 자료가 있는 것이 확인되어 파일을 복원한 후, 안보에 영향이 있는 자료인지 조사를 진행한 것으로 알려졌다. 이어 11 22, 유출자료가 보안에 문제가 없는 것으로 확인했다는 게 방사청 측이 밝힌 내용이다.

방사청 해킹 사건의 문제점

①인터넷 PC에 방사청 자료가 암호화되어 저장된 이유는?

해당 조사에서 드러난 문제점 중 첫 번째는 인터넷 PC에 방사청 자료가 암호화되어 저장되어 있었다는 점이다. 창원사무소 인터넷 PC 2대에 저장된 파일은 원래는 삭제됐어야 할 파일이지만 ‘자료저장방지 솔루션’에 의해 암호화된 상태로 저장됐다. 그 이유는 자료저장방지 솔루션이 PC의 삭제대상 자료를 암호화해 약 30일간 저장한 후 삭제하기 때문이다. 인터넷망에서 업무를 하는 기관 담당자의 경우 자료 삭제 후, 소송 등으로 자료복구 필요성이 제기되기 때문에 30일간 보관하도록 하고 있다. 문제는 방사청 담당부서에서 이러한 사실을 몰랐기 때문에 파일을 삭제하면 바로 지워진 것으로 알았다는 점이다.

 

 

 

오피스 365의 취약점 통해 ZWSP 삽입하는 피싱 공격

사용자가 보는 것과 브라우저가 보는 것 다르다는 점 악용

URL 중간에 ZWSP 넣으면 사람 눈엔 링크, 브라우저에는 URL 아냐

 

[보안뉴스 문가용 기자] 오피스 365에서 발견된 취약점을 활용하면 자체 피싱 공격 보호 장치를 우회해 악성 메시지를 피해자에게 전달할 수 있다고 한다. 다행히 이 취약점은 최근에 패치됐다. 클라우드 보안 전문 업체인 아바난(Avanan)에 의하면, 이 취약점을 악용할 경우 이메일의 로 HTML(RAW HTML) 내 악성 URL의 한 중간에 ‘폭이 0인 공백(ZWSP)’을 삽입할 수 있게 된다고 한다. 이렇게 할 경우 URL이 망가지기 때문에 MS가 탑재한 악성 이메일 탐지 장치들이 작동하지 않게 된다. 세이프 링크(Safe Link)가 발동되는 것도 막을 수 있다고 한다. 게다가 ZWSP는 렌더링을 하지 않는다. , 이메일을 받는 사람이 URL 중간에 있는 무작위 특수 문자들을 전혀 알아채지 못한다. 오피스 365의 취약점과 그것을 남용한 이메일 공격이 처음 발견된 건 작년 11 10일의 일이다. MS는 이 문제를 보고 받고 1 9일에 패치를 배포했다. 패치 이전, 이 문제 때문에 오피스 365 사용자 전부가 피싱 공격에 노출됐다. MS 오피스 365 고급 위협 보호(Advanced Threat Protection)을 사용하는 사람들도 예외는 아니었다. URL 명성 확인과 세이프 링크 모두 무용지물이었다.

 

 

 

참조사이트  
     

 http://www.dailysecu.com

 http://www.boannews.com

 http://www.boan.com

 http://www.dt.co.kr/

 http://www.datanet.co.kr/

 http://www.itdaily.kr

 

 

 [패치 및 업데이트]

 

금일 최신 패치 및 업데이트 정보 없습니다.

 

 

 http://www.krcert.or.kr/data/secNoticeList.do

 http://www.microsoft.com/korea/security/default.mspx

 http://www.adobe.com/kr/downloads/updates/

 

 

 [최신 바이러스 정보]

Trojan/Win32.OnlineGameHack.R1062
최초 발견일: 2019-01-15

    : 트로이목마(정보유출), 트로이목마(해킹 툴)

    실행파일

감염/설치 경로파일실행, 메일, 다운로드

   : Trojan/Win32.OnlineGameHack.R1062 알약이나 V3등의 백신을 무력화 시키고 감염된 컴퓨터의 사용자가 이용하는 온라인 게임 계정을 탈취하여 금전 취득을 목적으로 하는 트로이목마이다

 

PUP/Win32.Montiera.R209120
최초 발견일: 2019-01-15

    : 유해가능

    실행파일

감염/설치 경로파일실행, 메일, 다운로드

   :  PUP/Win32.Montiera.R209120 무료 소프트웨어, 오디오 및 비디오 변환 프로그램 등의 다른 프로그램과 함께 번들로 설치되는 PUP성 악성파일이다

 

Trojan/Win32.Dofoil
최초 발견일: 2019-01-15

    : 트로이목마(원격제어), 트로이목마(시스템장애)

    실행파일

감염/설치 경로파일실행, 메일, 다운로드

   :  Trojan/Win32.Dofoil 백그라운드에서 실행되고 감염된 컴퓨터의 리소스를 사용하여 가상화폐를 채굴하는 악성코드이다. 

 

http://www.viruschaser.com 

  http://www.viruslist.com

  http://alyac.altools.co.kr/

  http://www.ahnlab.com/

 

  

[보안TIP]

 

기업내 기술보호 지킴이, 이렇게 키워보세요!

 

4차산업혁명 시대를 맞아 미래 산업 환경에서의 융·복합적인 위험 요소에 선제적으로 대응할 수 있는 전문인력의 체계적인 육성이 더욱 중요해지고 있습니다.

 

산업보안 전문인력은 전자정보 위변조, 시설·장비 파괴, 핵심기술 탈취, 인력 매수 등 산업활동에서 발생할 수 있는 다양한 위험요소로부터 핵심 자산을 보호하고 안정성을 유지하기 위한 보안활동을 수행할 수 있는 인력을 말합니다.

 

우리 회사의 보안 전담인력 양성, 그리고 임직원의 보안 인식 제고, 어떻게 할 수 있을까요?

 

01 사내 보안책임자 집합 교육

CSO 등의 사내 보안책임자가 임직원을 대상으로 최신 보안 동향 및 이슈, 기술보호의 필요성, 기술유출 사례 및 시사점 등에 대해 교육해 보안 인식을 제고할 수 있습니다.

 

02 외부 강사 초빙 교육

외부 강사를 통한 전문 교육으로 법률에 대한 이해, 정책 수립 및 전략을 이해할 수 있어 보안 담당자의 직무 능력을 향상시킬 수 있습니다.

 

03 온라인 교육 프로그램

유관 부처 또는 기관, 단체의 온라인 교육 자료를 활용해 언제, 어디서 간편하게 교육을 진행할 수 있습니다. 산업보안 정보도서관(www.is-portal.net)에서도 무료 온라인 교육 프로그램을 운영하고 있습니다.

 

04 사내 캠페인 및 이벤트 진행

책상 위 서류 정리하기, 화면 보호기 설정하기, 중요 문서 파쇄하기 등의 클린데스크 캠페인, 비밀번호 바꾸기 캠페인, 사원증 항상 패용하기 캠페인 등 임직원이 모두 참여할 수 있는 캠페인 또는 부서별 이벤트를 진행해 자율 준수를 유도할 수 있습니다.

 

05 자격증 취득 지원

자격증 취득을 지원해 조직의 보안 수준을 높일 전문가를 양성할 수 있습니다.

대표적인 관련 자격증으로는 국가공인 산업보안관리사 등이 있습니다.

 

http://www.krcert.or.kr/data/secNoticeList.do

http://www.microsoft.com/korea/security/default.mspx

http://www.adobe.com/kr/downloads/updates/

 


첨부 파일 :