[주간토픽]비씨카드 명세서 위장 악성코드, 이름 없으면 가짜!

액티브X 설치 시, 악성코드 감염...사용자 주의 필요

[보안뉴스 오병민] 얼마전 ‘비씨카드 이용대금 명세서’로 위장한 악성코드가 이메일로 국내에서 확산되고 있어 사용자들의 주의가 요구되고 있다.

이 악성코드는 ‘**은행 BC카드 2010년06월20일 이용 대금명세서입니다?’라는 제목의 스팸 메일 형태로 유포된다. 명세서의 ‘이용대금 명세서 보기’를 클릭하면 액티브X를 설치하라고 한다. 액티브X 설치를 시도하면 특정 웹사이트에 접속해 악성코드를 다운받아 설치하는 것으로 전해지고 있다.

이 악성코드가 사용자의 컴퓨터에 설치되면, 사용자의 컴퓨터는 공격자의 명령을 충실히 따르는 좀비PC가 된다. 보안업계에 따르면, 공격자는 좀비PC가 된 PC를 이용해 DDoS 공격이나 상업적인 목적으로 이용당할 수 있다고 경고한다.

이에 대해 BC카드 측은, 이메일 이용대금 명세서로 위장된 비정상 이메일에 의한 악성코드 유포와 관련하여 고객들에게 안내메일을 보내고 이와 관련하여 피해가 없도록 주의를 당부하고 있다.

BC카드 측 한 관계자는 “정상적인 이메일 명세서의 경우 ‘*** 고객님의 **은행 BC카드 명세서’라고 수신자의 성명이 정확하게 명시되어 있는 반면 비정상 이메일 명세서의 경우 고객의 성명 없이 ‘**은행 이용대금명세서’ 의 형태나 타인명의로 발송 된다”고 설명했다. 따라서 고객의 성명이 없는 명세서 메일은 비정상 이메일로 판단해 실행시키지 말고 삭제할 것을 당부했다.

한편, 보안전문가들은 이번 공격이 BC카드의 고객을 대상으로 했다기보다는 여러 타깃 중 BC카드가 이슈된 것으로 분석하고 있다. 보안업계에서 수집된 샘플을 분석해본 결과, 공격자는 C&C(명령제어)서버에서 이메일 발송 포맷을 BC카드 명세서 외에도 이동통신 명세서나 홍보메일 등 다른 것으로도 충분히 바꿀 수 있다는 것을 확인했기 때문이다

■ 정부기관 및 보안관련 기관

국방부, 美 국방 주관 ‘국제사이버방어 워크샵’ 참가

국방부는 6월21일부터 25일까지 5일 동안 ‘국제사이버방어 워크샵’에 참가했다. 국제사이버방어 워크샵’은 미 국방부 NII(Network and Information Integration)차관보실 주관으로 2004년부터 매년 개최돼 왔으며, 국방부는 한·미 정보보호양해각서 체결 추진과 관련 2008년부터 참가해왔다. 한·미 국방부는 사이버 위협이 증가함에 따른 국제간 공조대응 필요에 따라 상호 정보를 공유하고 기술 교류를 활성화 할 수 있도록 하기 위해 2009년 4월30일 ‘한·미 정보보증 및 컴퓨터네트워크방어 협력에 관한 양해각서’를 체결한 바 있다.

김을동 의원, 22일 ‘7.7DDoS대란 1주년 되돌아본 연차간담회’ 개최

7.7DDoS대란이 발생한지 1주년을 앞두고 있다. 그에 따라 정부는 물론 기업들 역시 혹시 발생할지 모를 제2의 7.7DDoS공격에 대비하기 위해 상시 관제 및 모니터링 등 대비태세를 늦추지 않고 있다. ‘새로운 IT강국을 향한 도전, 정보보안은 선택이 아닌 필수’라는 주제로 주기적으로 정보보안 연차토론회를 진행해 오고 있는 국회 문화체육관광방송통신위원회 김을동 국회의원이 이번에는 ‘7.7DDoS사태 1주년을 뒤돌아보며, 다시 뛰는 사이버보안강국 KOREA’이란 주제를 가지고 22일 국회의원회관 제128호 제3간담회의실에서 제4차 연차간담회를 개최했다.

의료정보보호 전문연구 협의체 만들어진다!

남서울대학교 보건의료개발연구소(소장 정두채 교수) 주축으로 대학교수, 관련 전문가 및 관련 업계 종사자 등의 운영위원으로 구성된 협의체인 ‘대한보건의료정보보호포럼(Korea Healthcare Information & Security Forum, 이하 ‘의료정보보호포럼’)’을 만들기로 했다.

중소기업 DDoS 대피소 시범가동 ‘카운트 다운!’

7.7 DDoS 대란이 다음 달이면 1주년을 맞는 가운데, 앞으로 나타날 DDoS 공격에 대한 대응 준비가 한창이다. 특히 방송통신위원회와 한국인터넷진흥원(이하 KISA)은 중소기업을 위한 DDoS 사이버 대피소 마무리 작업을 진행 중이다. 방송통신위원회는 DDoS 사이버 대피소 서비스를 10월 정식서비스를 목표로 7월부터 시범가동을 시작할 계획이라고 밝혔다. 현재 이 서비스는 시큐아이닷컴이 사업자로 선정돼 KISA와 함께 장비 서비스 구축을 완료한 상태로 시범가동을 앞두고 있다.

“개인정보보호, DDoS공격 등 사이버위협 ‘문화’로 풀어야”

한국CSO협회(회장 이홍섭)는 22일, 서울 소공동 롯데호텔에서 ‘제6차 CSO포럼’을 개최했다. 이날 포럼에는 이홍섭 한국CSO협회 회장을 비롯해 윤은기 중앙공무원교육원 원장, 강성주 행정안전부 정책기반정책관, 배용주 경찰청 사이버테러대응센터장 등 40여명의 회원들이 참석해 지난 7.7DDoS대란 1주년을 앞둔 시점에서 7.7DDoS공격을 되짚어보며, DDoS 위협의 진화된 기술을 살펴보고 현 DDoS 대응체계의 문제점 및 개선방향 등에 대한 주제발표와 논의가 이루어졌다.

금보원, 금융부문 정보보호 우수논문/사례 공모전 개최

금융보안연구원이 금융정보보호의 중요성에 대한 인식을 고취시키고, 금융회사의 정보보호 수준 향상을 도모하기 위해 ‘제5회 금융부문 정보보호 우수 논문/사례 공모전’을 개최한다. 이번 공모전은 금융보안연구원과 금융정보보호협의회가 주최하고 금융감독원 후원으로 진행된다. 금융보안연구원은 2010년 8월 15일까지 공모작 접수를 마감하고 입상자에 대해서는 8월말에 개별적으로 통보할 계획이다. 그리고 2010년 9월 15일로 예정된 ‘금융정보보호 컨퍼런스(FISCON)’ 행사에서 시상식이 개최될 계획이다.

한국DB진흥원, 신임이사에 이재웅·박영서씨 선임

한국데이터베이스진흥원(원장 한응수)은 23일, 제38회 이사회를 개최하고, 이사회 의결에 따라 이재웅 한국콘텐츠진흥원 원장과 박영서 한국과학기술정보연구원 원장을 신임이사로 선임했다. 한편 이번 이사회는 공공정보 활용을 위한 협력관계 강화와 새로운 정책 수요에 부응하기 위한 정관 개정 등이 주요 의제로 논의됐다.

내달 7일, ‘2010 정보시스템감리 공동 심포지엄’ 개최

정보시스템 감리관련 유관 단체인 정보시스템감리협회, 한국정보시스템감사통제협회, 한국정보통신기술사협회가 오는 7월 7일, 한국정보화진흥원(NIA) 세미나실에서 ‘IT 융·복합 사업의 ICT 감리 수행 발전 방향’이라는 주제로 ‘2010년 정보시스템 감리 공동 심포지엄’을 개최한다.

개인정보보호법 제정, 이번엔 집시법에 밀려 또 무산!!

6월 임시국회에서도 ‘개인정보보호법’이 논의도 되지 못한 채 결국 지난 4월 임시국회 때와 마찬가지로 무산되고 말았다. 이번 6월 임시국회에서는 ‘개인정보보호법’이 제1순위 상정안건으로 예정됨에 따라 재차 논의를 통한 법제정에 대한 기대가 있었다. 그러나 행안위 법안심사소위에서는 처음 제1순위 상정안건이었던 ‘개인정보보호법’을 뒤로 하고 ‘집회 및 시위에 관한 법률(일명 집시법)’이 중요안건으로 상정됐다.

금보원, ‘OTP보안과 최신 인증기술 전망’ 세미나 개최

금융보안연구원(원장 곽창규)은 6월 24일 한국과학기술회관에서 ‘OTP 보안과 최신 인증기술 전망’이라는 주제로 세미나를 개최했다. 이 세미나는 최근 정부의 금융거래 시 공인인증서 의무사용 규제 완화 방안에 따라 새로운 인증방식이 금융권에 도입될 것으로 예상되면서, OTP의 보안성 강화방안과 최신 인증기술에 대한 전망을 하는 자리로 마련되었다.

■ 정보보호 기업 동향

주니퍼, 모바일 보안 강화 위한 주노스 펄스 출시

주니퍼 네트웍스는 모바일 단말기에서 가속화, 보안을 통합 제공 받을 수 있는 새로운 통합 멀티서비스 네트워크 클라이언트 주노스 펄스(Junos Pulse)를 출시한다고 최근 밝혔다. 주노스 펄스는 언제 어디서나 기업 리소스에 대한 연결성과 가속화, 보안을 통합 제공하여 모바일 상에서 배포하고 지원해야 하는 클라이언트 애플리케이션들의 숫자를 줄이고 통신사업자의 신규 서비스 모델을 지원한다. 또한 함께 출시하는 앱트랙(AppTrack) 소프트웨어는 네트워크 트래픽에서 발생하는 애플리케이션 유형과 사용량에 대한 정보를 제공한다.

상한 우유 ‘익스플로러6’, 국내서도 퇴출 캠페인 시작

10년 가까이 이용된 웹브라우저 인터넷 익스플로러6의 퇴출 캠페인이 국내에서도 진행된다. 마이크로소프트는 9년 전 출시돼 오래 동안 보안 취약점이 누적되고 웹 표준화를 저해한다는 이유로, 이미 몇몇 외국에서 익스플로러6 퇴출 캠페인을 진행한 바 있다. NHN(대표이사 사장 김상헌)의 검색 포털 네이버는 한국 마이크로소프트(대표 김 제임스 우)와 함께 익스플로러6 사용자를 대상으로 21일부터 익스플로러8으로 업그레이드를 강조하는 이벤트 ‘굿바이 익스플로러6’ 캠페인을 진행한다고 밝혔다.

인피니언 보안컨트롤러, 독일의 전자 ID 사업에 도입

인피니언 테크놀로지스 (코리아 대표이사 마티아스 루드비히, 이하 인피니언)는 자사의 SLE 78 보안 컨트롤러 제품군이 전자ID 문서 및 칩 카드 애플리케이션에 사용될 수 있는 보안 인증을 획득했다고 밝혔다. 이 제품군은 전자여권이나 지불 카드 및 보안에 민감한 정부 프로젝트 등 최고의 보안수준이 요구되는 분야에서 이용할 수 있는 보안 컨트롤러다. 인피니언 측은 독일연방 정보보안국 (BSI)이 이 제품군에 대한 높은 보안 성능 표준을 인증하였다고 밝혔다. 2010년 11월 1일 독일 정부가 발행할 예정인 칩 카드 형식의 전자 ID에 이 제품군이 도입되게 되는 것.

엑스프라임, 플래시 컨텐츠 보안 솔루션 특허 획득

엑스프라임(대표 신명용)은 플래시 디지털 컨텐츠 보호를 위한 보안 솔루션 ‘플래시 지킴이(Flash Guardian)’가 국내 업계에서는 처음으로 특허를 획득했다고 21일 밝혔다. 이번에 특허를 획득한 ‘플래시 지킴이’는 플래시로 개발돼 액티브X(ActiveX)와 같은 별도의 프로그램을 설치할 필요가 없고, 플래시뿐만 아니라 이미지·텍스트 등 거의 모든 컨텐츠를 암호화할 수 있다.

22일부터 아이폰 새로운 OS 제공...탈옥폰 줄어들까?

KT와 애플코리아는 22일부터 아이폰 3Gs 모델과 아이폰 3G 모델에 대해 자사의 새로운 애플 모바일 OS인 iOS4로 업그레이드를 실시한다고 밝혔다. 이에 따라 해당 모델 사용자들은 22일부터 아이튠즈(iTunes)를 통해 업그레이드가 무상 제공된다. iOS 4의 보급으로 인해, 그동안 아이폰의 보안 문제로 지적됐던 탈옥(Jail Braking)폰이 줄어들 수 있을 지에도 관심이 집중되고 있다.

IBM, 보안 디자인 이니셔티브로 보안 솔루션 기능 확대

IBM은 저렴한 비용으로 애플리케이션의 설계 초기 단계부터 보안 기능을 구축할 수 있도록 지원하는 새로운 소프트웨어와 서비스를 출시했다고 밝혔다. 상호 연결 수준이 높은 제품 및 서비스가 지속적으로 부상하고 있는 환경에 대응하기 위해 IBM은 고객 인프라가 설계 단계에서부터 완벽한 보안 기능을 갖출 수 있도록 지원하고 있다.

SGA, 삼성SDS와 전자문서 유통 게이트웨이 구축

SGA(대표 은유진)는 한국전자문서산업협회가 발주한 ‘전자문서 활용 온라인 서비스체계 및 유통게이트웨이 구축 시범사업’에서 삼성SDS와 컨소시엄을 이뤄 자사 제품 신뢰전자문서시스템 ‘SGA-TD’를 납품하게 됐다고 23일 밝혔다. 이번 사업은 페이퍼리스(paperless)를 구현하는 그린 IT 사업의 일환으로 약 10억원 규모에 올해 10월말까지 진행된다. SGA는 이번 시범 사업 참여를 계기로 지난 해 3월 전자문서 전문업체 비씨큐어를 인수한 이래, 이 분야 100억원의 목표 달성을 위한 적극적인 시장 공략에 나선다는 계획이다.

펜타시큐리티, 웹방화벽 ‘와플’ 4개 모델 CC인증 획득

애플리케이션 보안 솔루션기업 펜타시큐리티시스템(대표 이석우)은 10G급 웹 방화벽 모델인 ‘와플(WAPPLES)-5000’을 포함, 총 4개 모델에 대해 EAL4(Evaluation Assurance Level 4) 등급의 국내용 공통평가기준(CC) 인증을 지난 14일 획득했다고 21일 밝혔다. 펜타시큐리티는 자사의 WAPPLES-100과 1000에 더불어 새로이 추가된 하이엔드 클래스의 WAPPLES-2000과 5000까지 모두 CC 인증을 획득함에 따라, SMB부터 엔터프라이즈 시장까지 공급 가능한 웹 방화벽의 완벽한 라인업을 갖추고 시장 점유율 1위의 입지를 더욱 견고하게 다지겠다는 방침이다.

스마트그리드보안 위협 대응 위해 ‘고려대-SAP’ 맞손

SAP코리아(대표 형원준)와 고려대학교 스마트그리드(Smart Grid) 보안 연구센터(센터장 임종인)는 24일, 스마트그리드 보안 분야에 대한 연구협력 양해각서(MOU)를 체결했다. 이번 협력에 따라 양 기관은 녹색성장을 주도할 성장엔진으로 주목 받고 있는 스마트그리드에 대해 △보안 연구와 관련된 자료와 정보의 교환, △보안 연구 협력을 위한 인력의 교류 및 공동 세미나, △보안 관련 협력 연구과제의 도출 및 추진 등을 실시할 예정이다.

시큐아이닷컴, 코스콤 통합관제시스템구축사업 수주

시큐아이닷컴(대표 안창수)이 KISA DDoS 사이버대피소 프로젝트를 수주한데 이어 코스콤 증권분야 통합관제시스템구축사업도 수주한 것으로 전해졌다. 금번 코스콤 증권분야 통합보안관제시스템 구축 사업은 증권업계의 사이버 테러 등 침해사고에 대한 신속한 모니터링 및 대응체계를 유지하기 위한 △통합 보안관제 시스템 구축을 목표로 하고있으며, △DDoS 예/경보시스템, △종합분석시스템, △정보공유포털(웹포털), △통합보안관리시스템(ESM) 등의 솔루션으로 구성 약 3개월간 구축이 진행될 예정이다.

■ 주요 보안 사건사고(해킹/긴급경보건)

수비실수로 PK골 내준 김남일 선수 부인이 무슨 죄?

2010년 6월 23일 새벽 한국은 남아공 월드컵에서 사상 처음으로 원정 16강이라는 큰일을 이루어냈다. 한국은 나이지리아와의 경기에서 2대2로 비긴 결과 아르헨티나에 이어 조 2위로 16강에 안착한 것이다. 하지만 후반 2대1로 리드하는 상황에서 수비 강화를 위해 투입된 진공청소기 김남일 선수의 수비실수로 나이지리아에 PK 골을 헌납하자 그의 아내인 김보민 아나운서 미니홈피에 악성댓글들이 올라오기 시작했다.

GM대우·롯데관광 등 78개 사업자 개인정보보호 소홀!!

행정안전부는 급증하고 있는 개인정보 대량 유출사고를 예방하기 위해 지난 4월 100개 업체를 대상으로 관련법령 준수실태를 점검한 결과를 발표해 주목된다. 이번 점검 결과, 행안부는 100개 업체 중 78개 위반업체가 적발했으며, 특히 이번에 적발된 업체 가운데 고객의 동의를 받지 않고 개인정보를 수집한 22개 업체에 대해서는 업체명까지도 공개해 과태료나 시정명령 등 행정처분을 실시한 것보다 강력한 사후조치가 이루어졌다.

대한민국 표현의 자유 억압...인터넷 열려야”

진보네트워크센터는 23일 ‘거리 응원과 표현의 자유’라는 제목으로 논평을 발표했다. 진보네트워크는 이번 2010 월드컵과 관련한 시민들의 거리·광장 응원과 관련해 “거리와 광장에서 누리는 자유가 월드컵 응원에만 한정되지 않기를 바란다”며 “대한민국 표현의 자유는 억압돼 있다. 대통령에 대한 비판에도 거리와 광장이 열려야 하며 인터넷이 열려야 한다”는 주장을 펼쳤다.

정보보호 안전진단 평가, 허술한 관리로 ‘구멍’

2003년 인터넷대란 이후, 기업들의 정보보호 안전을 진단하는 목적으로 시행된 정보보호 안전진단 평가가 허술하게 관리돼 실효성에 대한 의문이 제기되고 있다. 국회 문화체육관광통신위원회의 서갑원 의원 (전남 순천)은 24일 한국인터넷진흥원 업무보고에서 개인정보 보호와 관련, 업체 관리에 구멍이 뚫렸음을 지적했다. 서갑원 의원은 최근 행정안전부에서 개인정보 유출 실태를 100개 업체만 한정적으로 실시했음에도 78개 업체가 적발되고 22개 업체는 경찰 수사를 받게 됐다고 밝혔다. 서갑원 의원은 “경찰수사를 앞둔 22개 업체 중 2개 업체는 이미 서면심사와 현장검증으로 인터넷진흥원의 정보보호 안전진단에서 별다른 조치사항이나 개선사항이 없음으로 판명 받은 곳”이라고 지적했다.

압축파일 더블 클릭만 해도 ‘좀비PC’...치명적 취약점 발견!

국내에서 널리 이용되고 있는 압축프로그램들에서 심각한 보안 취약점이 발견돼 사용자들의 주의가 요구되고 있다. 이 취약점은 압축파일의 압축을 풀지 않고 단지 더블 클릭(파일 미리보기)하는 것만으로도 해킹 공격을 받을 수 있어 심각성을 더하고 있다. 현재까지 이 취약점을 가지고 있는 압축 프로그램으로는 ‘빵집’, ‘밤톨이’ 등으로 확인되고 있다. 이들 압축프로그램 중에는 공공기관이나 기업에서도 공짜로 이용할 수 있는 프리웨어 제품이 포함돼 있기 때문에, 만약 악의적인 목적을 가진 공격자가 이를 이용한다면 공공기관이나 기업 및 금융기관에서 중요한 정보가 유출될 수 있다.

PC방 관리프로그램으로 PC 몰래 훔쳐본 일당 검거!

본지에서 단독으로 처음 보도해 이슈가 됐던 PC방 관리프로그램을 악용해 사용자의 PC를 훔쳐본 사례(기사 보기)가 경찰의 수사를 통해 사실로 밝혀졌다. 경기지방경찰청(청장 윤재옥) 사이버범죄수사대는, DDoS 공격이 가능한 해킹프로그램을 전국의 PC방에 유포해 인터넷 게임에 접속한 상대방의 패를 보거나, 원격 조정하여 게임머니를 취득하는 방법으로 총 5억 5천만 원 상당의 부당이득을 취한 피의자 33명을 정보통신망이용촉진및정보보호등에관한법률위반으로 검거했다고 밝혔다.

전자상거래 피해 전년대비 23.3% 증가

2009년 1년간 한국소비자원에 접수된 전자상거래 관련 소비자 피해는 3,799건으로 전년(3,080건) 대비 23.3% 증가한 것으로 나타났다. 이는 전자상거래(B2C) 규모 증가율(전년대비 6.0%)의 약 4배에 해당한다. 한국소비자원(원장 김영신)이 지난 한 해 동안 접수된 전자상거래 관련 소비자 피해사례를 분석한 결과, ‘의류·섬유신변용품’(1,489건, 39.2%)의 피해가 가장 많았다.

스파이웨어 유포하는 부트바이러스 주의

스파이웨어를 유포하는 부트바이러스가 등장해 사용자들의 각별한 주의가 요구된다. 보안전문업체 하우리(대표 김희천)는 스파이웨어를 유포하는 부트바이러스가 등장해 사용자의 각별한 주의가 요구된다고 26일 밝혔다. 하우리 고객센터로부터 16일 최초 접수된 부트바이러스(진단명 : Boot.Win32.Trup)는 사회공학적 기법(남아공 월드컵, 김연아 등) 또는 감염된 웹 사이트 접근에 의해 감염된다. 이 악성코드는 물리적 디스크의 부트 영역을 감염시킴으로써 부팅 시 마다 악성코드가 반복적으로 실행된다. 특정 사이트로부터 다량의 Adware(쿠폰, PPTV, Youdao 등)를 다운로드 받아 설치하며, 감염된 시스템은 익스플로러(Explorer)를 실행할 때 마다 중국 사이트가 출력된다.

[오병민 기자(boan4@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)