'금융사기'에 해당되는 글 2건

  1. 2012.05.29 “타깃화된 공격의 절반 이상이 금융사기 유발”
  2. 2011.04.29 개인정보 예방 정보보호 안전수칙 10계명
2012.05.29 18:57

“타깃화된 공격의 절반 이상이 금융사기 유발”

체크포인트 보안 설문조사 결과, ‘디도스·봇넷 공격’ 증가



[보안뉴스 김태형]  보안공격을 당한 기업들 중 65%가 금융사기를 목적으로 한 해커들에 의해 사업방해나 지적재산권, 영업 기밀과 같은 중요 정보유출 등의 피해를 겪은 것으로 조사됐다.

체크포인트가 발표한 ‘사이버범죄가 기업에 미치는 영향’에 따르면 기업들은 일주일 평균 66 차례의 새로운 보안 공격을 당하며 이 공격이 성공할 경우 10만 달러에서 30만 달러 상당의 피해가 발생한다고 밝혔다. 기업들에게 가장 큰 위험을 안겨준 주요 공격 유형은 ‘디도스 공격’이 꼽혔다.


최근 사이버범죄자들은 멀웨어, 봇, 기타 여러 유형의 첨단공격을 이용하여 지속적으로 증가하고 있으며 경제적 이득이나 기업운영 방해에서부터 데이터 탈취나 정치적 목적 등 다양한 이유로 기업들을 공격하고 있다.


공격 이유와 상관없이 멀웨어의 새로운 변형들이 매일 생겨나고 있으며 여러 사이트와 기업을 동시에 공격한다. 이 멀웨어 변형들은 공격의 초기 성공률과 기업 전체에 위협을 퍼뜨릴 가능성을 증가시킨다.


체크포인트코리아 우청하 지사장은 “사이버범죄자들은 더 이상 고립된 비전문가가 아니다. 그들은 잘 구성된 조직을 갖추고 있으며 공격을 실행하기 위해 기술력이 높은 해커들을 고용하기도 한다. 이렇게 고용된 많은 해커들은 공격의 성격과 지역에 따라 상당한 액수의 보수를 받는다”고 말했다.


또한 “사이버범죄는 하나의 비즈니스가 되고 있다. 요즘 거래되는 해커들의 봇 툴킷는 500달러에 불과하지만 이것은 사람들에게 큰 위험을 주며 중요한 자산의 보안을 위한 예방의 중요성을 일깨워준다”고 말했다.


이번 설문조사에 따르면, SQL 감염이 지난 2년간 발생한 기업공격 중 가장 심각한 유형으로 꼽히며 응답자 중 1/3 이상이 지능형지속위협(APT), 봇넷 감염과 디도스 공격을 당했다고 밝혔다. 타깃화된 공격들에 대한 조사에서 응답자들은 사업 방해이나 지적재산권, 영업비밀과 같은 중요정보유출 등이 공격 후에 따르는 가장 큰 피해라고 말했다.


“대부분 공격자들의 목표는 가치 있는 정보를 얻는 것이다. 오늘날에는 신용카드정보, 직원기록, 페이스북, 이메일 등이 제로데이 공격을 통해 유출되어 가상 해킹장터에서 10만 달러에서 50만 달러 사이에 사고 팔리는 등의 행태가 벌어지고 있다”고 우청하 지사장은 덧붙였다.


또한 그는 “불행하게도 사이버범죄는 비즈니스 시장이 웹2.0시대와 모바일 컴퓨팅의 정점에 서면서 점차 증가 추세를 보이고 있다. 이들은 해커들에게 커뮤니케이션 채널을 열어주고 네트워크에 접근할 수 있는 중요한 진입점을 부여하고 있다”고 말했다.


이어서 그는 “앞으로 기업들은 점차 기업 내/외부 정보를 위협하는 새롭고 값비싼 보안 위험들에 직면하게 될 것이다. 다양한 공격의 등장과 보안에 대한 기업들의 깊은 우려로 인해 우리의 보안인식이 높아진 것은 불행 중 다행이다. 전반적으로 기업 경영진들은 보안공격에 대한 깊은 우려를 보이고 있으며 보안공격의 위험을 완화시킬 기술과 교육시스템을 마련하는 등 보안 예방책 실행 계획을 가지고 있다”고 말했다.


타깃화된 공격의 주요 원인 - 사이버 공격에 대한 조사에 따르면, 응답자 중의 절반 이상인 65%가 금융 사기가 주요 원인이라고 답했다. 다음으로는 경영활동을 방해하기 위한 의도(45%), 고객 정보 탈취(45%) 등의 원인이 존재한다고 응답했다. 약 5%의 보안 공격은 정치나 이데올로기적 목적으로 발생한다고 밝혔다.


다양한 사이버범죄의 모양과 형태 - SQL 조사의 보고에 따르면, 응답자들은 지난 2년 내 심각한 보안 공격을 경험했다. 세 명 중의 한 명 이상이 지능형지속위협(35%), 봇넷 감염(33%), 디도스 공격(32%)을 당했다고 응답했다.


값비싼 타깃화된 공격 - 단독공격이나 타깃화된 공격에 당하면 평균 21만 4천 달러의 비용이 들며 독일의 응답자들은 사고 당 30만 달러 이상의 비용이 들것이라고 답했다. 브라질은 이보다 낮은 10만 달러의 비용이 발생한다고 나타났다. 이 비용은 기술이나 브랜드 회복을 위한 투자, 법정 조사와 같은 변수까지 포함한 것이다.


가장 일반적인 위협 요인들 - 기업들은 가장 위험할 수 있는 직원들의 활동으로 스마트폰이나 태블릿PC와 같은 모바일 기기의 사용이라고 만장일치로 답했으며 가장 큰 우려는 소셜네트워크나 USB와 같은 이동식 미디어에 의한 것이라고 조사됐다.


최신 보안기술에 관한 투자 - 과반수의 회사들이 방화벽이나 침입방지(IPS)와 같은 중요한 보안 장치를 보유하고 있으며 절반 이하의 회사들이 봇넷이나 지능형지속위협(APT) 퇴치를 위해 진화된 방어책을 갖추고 있다고 조사됐다. 하지만 독일이나 미국의 과반수가 넘는 기업들은 안티봇이 어플리케이션 컨트롤이나 위협 정보 시스템과 같은 더욱 정교해진 사이버 위험을 막을 수 있는 솔루션을 구축을 시작하고 있다고 답했다.


보안 교육과 인식 - 응답자 중 64%의 회사가 보안 교육과 인식에 관한 프로그램을 실시하고 있다고 답했다.


이번 ‘사이버범죄가 기업에 미치는 영향’ 조사는 미국, 캐나다, 영국, 독일, 홍콩, 브라질 에 위치한 2,618명의 IT 및 보안 전문가를 대상으로 실시되었으며 금융, 제조, 국방, 유통, 헬스, 교육 등 다양한 산업과 다양한 규모의 조직을 대상으로 진행되었다.  

[김태형 기자(boan@boannews.com)]


출처 : 보안뉴스  


Trackback 0 Comment 0
2011.04.29 09:17

개인정보 예방 정보보호 안전수칙 10계명

최근 돈벌이를 노린 범죄 집단이 온라인 게임 / 뱅킹 / 쇼핑몰 등을 해킹해 사용자의 개인정보 DB를 빼내거나 사용자 몰래 PC에 설치돼 개인정보를 빼내가는 악성코드나 스파이웨어를 유포하는 사례, 피싱(Phishing) 사이트나 보이스 피싱을 이용해 정보를 유출하는 일이 급증하고 있습니다. 안전한 인터넷 거래를 위해 각 업체들의 보안 강화는 물론 개인 사용자들도 보안 수칙을 준수하는 등 각별한 주의가 필요한 시점입니다. 

따라서 여러분들에게 안철수연구소는 개인, 기업, 정부 등 각 주요 부문에 대한 정보보호 안전수칙 10계명을 발표해 보안을 생활화하는 습관을 길러, 제 2의 피해가 없도록 해야겠습니다. 

<개인정보보호 수칙 10계명>----------------------------------------  

[개인]    

1. 자신이 가입한 사이트의 패스워드를 변경한다. 로그인 계정의 비밀번호는 영문/숫자 조합으로 8자리 이상으로 설정하며 주기적으로 변경한다. 타인이 쉽게 추정할 수 있거나 개인정보나 영문으로 유추하기 간단한 단어는 사용해서는 안 된다.    

2. 만약 본인이 주민등록번호가 유출됐다면, 신용정보 사이트를 통해 명의 도용 차단 서비스를 활용하는 것이 좋다. 또한 현재 가입된 이동통신사에 '가입제한' 등록 신청을 한다.    

3. 계좌정보까지 유출됐다면 전화 금융사기로 일컬어지는 ‘보이스 피싱’에 각별히 주의해야 한다. 보이스 피싱은 공공기관이나 은행 등을 사칭해 돈을 빼앗아가는 신종 사기 수법이다. 특히 요즘에는 상당히 지능적인 방법으로 돈을 갈취하기 때문에 자신의 개인 정보나 계좌 정보 등을 거론하며 걸려오는 전화는 일단 의심해보고 전화를 끊는 것이 좋다. ▲한국말이 어눌하거나 ▲경찰, 금융권, 공공기관 관계자라거나 ▲전화로 개인정보를 요구한다면 유의한다.  

4. 굳이 회원 가입을 하지 않아도 되거나, 자주 사용하지 않는 웹사이트에는 회원 가입을 자제하고, 지난 1개월 동안 한 번도 들어가지 않은 사이트가 있다면 탈퇴하는 것이 좋다. 가입한 곳을 북마크에 따로 관리하는 것도 한 방법이다. 

5. 해킹 피해자 모임에 가입할 때에는 믿을 수 있는 모임인지 확인한다. 피해자 모임에 가입하라는 이메일이나 전화를 받았을 경우, 자신의 정보를 유출하지 말고 해당 사이트에 직접 가입하여 확인한다.

6. PC방 등 누구에게나 개방된 컴퓨터에서는 온라인 쇼핑이나 인터넷 금융 거래를 하지 않는다. 불가피하게 사용할 경우 신뢰성 있는 백신 및 PC방화벽 등이 설치 실행되는 곳에서만 이용한다. 

7. 윈도 운영체계는 최신 보안 패치를 모두 적용하며, 해킹, 바이러스, 스파이웨어 등을 종합적으로 막아주는 통합백신 보안 제품을 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다.  

8. 웹사이트에 접속했을 때 악성코드나 스파이웨어가 다운로드되는 경우가 있으니 안철수연구소가 무료로 제공하는 ‘사이트보안’(http://secuon.vitzaru.com/blu2/home/home.do) 서비스를 이용해 예방한다.  

9. 웹 서핑 때 액티브X '보안경고' 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 '예'를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.  

10. 메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않는다. 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인해본다.  

[기업]    

1. 기업 및 기관에서는 사용자 안전과 개인 정보보호가 필수적인 최우선 과제라는 보안의식을 갖고 신뢰할 수 있는 웹사이트 및 홈페이지 구축과 함께 항상 최상의 보안상태를 유지하도록 관리해야 한다. 정기적인 서버 보안점검, 모의 해킹, 보안장비 로그 점검 등 전담 인력을 배치해 주기적으로 보안 시스템을 점검한다.  

2. 중요 시스템의 데이터에 대한 사전 백업 시스템을 구축하고 사이버 테러 발생 시 보안 대응 지침 실천을 위한 교육을 수시로 실시한다.  

3. 보안 문제 발생 시에 대비해 비상 연락 체계를 구축한다. 보안관제 서비스를 받고 있는 경우는 해당 보안관제 업체의 24시간 상황실 연락망을 공유하고 자체 보안관제 시스템을 운영하는 경우 자체 비상 연락망을 공유한다.  

4. 네트워크 안전을 위한 네트워크 통합 위협관리장비나 방화벽의 설정을 통해 불필요한 포트를 차단한다.  

5. 사용하지 않는 서버의 네트워크를 분리하고 침입차단시스템, 침입탐지시스템 등의 보안 솔루션의 감시 기능을 설정한다.  

6. 서버에서 불필요한 사용자 계정 및 서비스를 제거한다.  

7. 개인 사용자의 아이디와 패스워드를 주기적으로 점검한다.  

8. 운영체제(OS)의 최신 보안 패치를 적용한다.  

9. 사내 PC의 보안 솔루션이 최신 버전인지, 작동이 정상적으로 되고 있는지 상황을 수시로 점검하고 감염이 자주 되는 PC를 특별 관리한다.  

10. 신뢰할 수 있는 보안 관련 사이트를 방문해 최신 보안 정보를 수시로 확인한다.   

[국가]  

1. 개인정보보호법 등 사용자 안전을 위한 법 제도를 신속히 제정해 국민들의 인터넷 사용 안전 대책을 마련한다. 개인정보가 유출될 경우 이를 개인정보 주체에게 알리도록 의무화하거나, 기업이나 기관이 개인정보와 고객정보 보호를 위한 웹사이트나 홈페이지 할 수 있는 법을 마련해야 한다.    

2. 포털, 게임 등 개인 정보보호에 필수적인 웹사이트 안전에 대한 '정보보호 안전진단' 제도의 실효성을 강화한다. 인터넷 보안취약성 점검이나 모의해킹 등을 통해 실제 해킹 여부를 확인하고, 안전진단을 실시하는 업체들의 관리 감독을 엄격히 실시한다.   

3. 해킹 예방과 사이버 범죄 수사를 위해 다른 나라들과의 공조체계를 마련한다.  

4. 정보보호 전문가를 육성할 전문적 교육체계를 마련하고 중요 국가시설에는 보안전문가들이 상시 관리 감독하도록 한다. 국가적 차원에서 실질적으로 사이버 안전체계를 강화하기 위해서는 전문보안업체의 인력 양성 및 수급이 중요하며, 기업 및 기관 등에도 보안 전문가 육성이 필요하다.    

5. 국가 중요 시설의 경우 정보보호계획 수립을 의무화해 체계적으로 관리한다.  

6. 국가적인 사이버 재난 및 사이버 전쟁에 대비한 국가 사이버 안전 대책을 일원화하여 일관성 있게 계획하고 추진할 수 있는 국가 CSO(Chief Security Officer 최고 보안책임자) 직책을 마련한다.

7. 주민등록번호 등 과도한 개인정보를 입력하도록 하는 국내 웹사이트 회원 등록에 대해 대안 마련과 개선을 한다.  

8. 포털 등 웹사이트 회원 가입 시 1인당 아이디(ID)를 여러 개 가입할 수 있는 관행은 인터넷 역기능과 사이버 범죄 악용 가능성을 감안해 폐지할 수 있도록 한다.  

9. 보안은 안전한 인터넷 생활의 인프라라는 관점에서 개인정보보호 등 보안에 대한 투자를 선진국 수준인 10% 이상으로 확대한다. 국가 시설이나 공공 기관의 경우 반드시 일정 수준의 정보보호시스템을 갖추도록 의무화한다.  

10. 국민들에 대한 보안의식 제고를 위한 범국가적인 지속적인 계도 및 캠페인을 실시하고 학교 교육부터 보안교육을 의무화한다. 


출처 : 안철수연구소 


Trackback 0 Comment 0