2015. 12

정보보호 뉴스레터

롯데 임직원의 보안인식 제고와

개인 정보보호 활동 강화를위하여 정보보호 위원회는

매월 첫째 주 월요일을 롯데그룹 정보보호의 날로

지정하여 운영하고 있습니다.

매월 첫째 주 월요일은

롯데그룹 정보보호의 날!

2015년 12월그룹정보보호의날을맞이하여정보보호뉴스레터를배포하오니많은관심과실질적인예방을위한활동부탁드립니다.

정보보호 뉴스레터

11月 정보보호 관련 주요 기사1

LOTTE 보안포털 오픈2

정보보호위원회 활동7

Contents

Security TIP! TIP! TIP!6

랜섬웨어 감염신고 급증3

대한통운 타겟형 스미싱4

인터넷 익스플로러 구 버전 지원 중단5

정보보호 교육 및 세미나 안내8

정보보호 뉴스레터

1. 11月정보보호 관련 주요 기사

- 지난 9월, 홈페이지 해킹으로 195여만 건의 아이디, 암호화된 비밀번호

등 8개 항목의 회원정보가 유출

- 방송통신위원회는 뽐뿌에 1억 2백만원의 과징금,

1천 5백만 원의 과태료를 부과

- 더불어 재발방지 대책을 수립·시행토록 하는 등의 시정명령 부과

195만명 회원정보 유출된 뽐뿌, 1억 1,700만원 내놔!

15.11.20. 보안뉴스

보안 뻥 뚫린 다음메일…해킹 땐 속수무책

15.11.17. 한국일보

- 구글 투명성보고서에 따르면 다음·네이트 메일 보안 수준이 0%인 것으로

나타나 보안에 취약한 것으로 확인

- 다음과 네이트 계정은 국제 표준 방식인 전송계층 보안(TLS) 기술을

서버에 적용하지 않아 이메일 전송 시 암호화가 되지 않음

※그림출처 : 한국일보

정보보호 뉴스레터

15년 11월, LOTTE 보안포털이 오픈했습니다.

http://secupolicy.net (※ 회원가입 후 서비스를 이용할 수 있습니다)

정보보호 규정과 업무 관련

사례를 간편하게 확인할 수

있습니다.

정보보호의 새로운 소식과

포스터, 암호화 프로그램 등

유익한 자료를 전달합니다.

정보보호 규정사례정보보호 소식

악성코드 혹은 바이러스 등

사고가 의심되는 경우

보안포털에서 신고해주세요.

정보보호 관련 문의사항을

보안포털에 등록하면

이메일로 신속히 답변드립니다.

정보보호 신고센터정보보호 Q&A

주요 기능을 소개합니다

“LOTTE 보안포털”은?전 임직원의 정보보호 인식을 향상시키고 안전한 업무환경을

만들기 위한 종합 포털 사이트입니다.

2. LOTTE 보안포털 오픈

정보보호 뉴스레터

랜섬웨어란?

랜섬(Ransom, 몸값)과 소프트웨어(Software)의 합성어

악성파일, 악성 스마트폰 앱 등을 통해 사용자 PC나 스마트폰의

데이터를 암호화한 후, 암호를 해제하는 대가로 금전 지불을 요구

3. 랜섬웨어 감염신고 급증 (1/2)

“PC, 스마트폰의 정보를 볼모로 삼는 랜섬웨어”

피해사례 1

피해사례 2

랜섬웨어 감염저장된 파일열람 불가

50만원 상당의비트코인 요구

“100달러를5일 안에입금하라”

...

정상 앱으로 위장한악성앱 다운로드

랜섬웨어에감염된 스마트폰

100달러 지불요구 화면 표시

P2P를 통해동영상 다운로드

정보보호 뉴스레터

3. 랜섬웨어 감염신고 급증 (2/2)

랜섬웨어 예방법 7가지

업무/기밀 문서, 각종 이미지 등 중요 파일은 주기적 백업

PC 및 모바일 백신 소프트웨어를 설치하고

최신 버전으로 유지

OS와 주요 앱의 최신 보안 업데이트를 항상 적용

이메일 열람 시, 정상적인 메일인지 꼼꼼히 체크

검증되지 않은 웹사이트를 통한 파일 다운로드 자제

공식 스토어를 통한 앱 설치<안드로이드OS>

설정 보안 ‘알 수 없는 출처’ 체크 해제 또는 ‘출처를 알 수 없는 앱’ 설치 허용 안함

폴더 옵션 항목의 ‘알려진 파일 형식의 파일 확장명 숨기기’체크 해제하여 첨부파일의 확장자명 확인<윈도7 기준>

시작 제어판 모양 및 개인 설정 폴더 옵션 보기

알려진 파일 형식의 파일 확장명 숨기기 체크해제

1

2

3

4

5

6

7

정보보호 뉴스레터

① 서버에 저장된 공격대상에게택배 스미싱 문자 발송

② 스미싱 URL 클릭→ 전화번호 입력 요구

③ 악성앱 포함된화면으로 연결

④ 3번 이상 틀린번호 입력→ 정상적인 웹사이트 연결

[공격자]

홍길동 010-XXXX-XXXX김철수 010-XXXX-XXXX…

[공격대상정보 저장 서버] [스미싱 사이트]

배송조회를 미끼로전화번호 입력 요구

전화번호 일치 시

[악성앱 설치 화면]

전화번호 불일치 시

[번호 불일치 경고 화면]

4. 대한통운 타겟형 스미싱

“사전 확보한 개인정보 바탕으로

스미싱 발송… 이용자 맞는지 확인”

기존 스미싱과의 차이점1. 스미싱 문자를 받은 사람의 전화번호를 입력해야

본격적으로 악성 행위가 동작

2. 공격자가 가지고 있는 공격대상 리스트에 없는 사람은

악성앱 여부 확인 불가

스미싱 공격 방법

정보보호 뉴스레터

5. 인터넷 익스플로러 구 버전 지원 중단

“MS, 내년 1월 12일부터 구 버전 보안 지원 중단”

윈도 7

Q : 보안지원 중단 이후 구 버전을 사용한다면?

A : 보안지원 종료 시점 이후에 발생하는 최신 취약점에

노출되어 악성코드 감염 등의 피해를 입을 수 있습니다.

지원되는 인터넷 익스플로러(IE) 버전

윈도 Vista

IE 7

IE 8

IE 9

IE 9

IE 8

IE 9

IE 10

IE 11

IE 11

2020년 1월 14일까지 지원

2017년 4월 11일까지 지원

정보보호 뉴스레터

기기 활동 검사 잠재적인 위험 예방ㆍ경고

보안 위협이 있는 경우 앱 설치 차단

기기에 안전하지 않은 것으로 알려진 앱 삭제

6. Security TIP! TIP! TIP!

“유해한 앱 검사 ‘구글 앱 인증’”

구글 앱 인증이란?

1. ‘Google 설정’앱 실행

2. ‘보안’ 메뉴 진입 3. ‘기기에 보안 위협이있는지 검색’ 체크

설정 방법

구글 앱 인증을 사용한다면 악성 앱으로부터 받을 수 있는

개인정보 유출, 사생활 침해 등 피해를 예방할 수 있습니다.

정보보호 뉴스레터

7. 정보보호위원회 활동

1. 제13차 롯데그룹 정보보호위원회

일 시 : 2015년 11월 12일(木), 07:30 ~ 10:30

장 소 : 소공동 롯데호텔 사파이어볼룸

참 석 : 정보보호위원장 및 38개社정보보호임원等 (총 80명)

안 건 : 그룹 정보보호 추진 현황 보고 및 사례 공유,

그룹 정보보호 운영 및 추진 계획 당부

정보보호 뉴스레터

8. 정보보호 교육 및 세미나 안내

1) [정보보호 교육] 한국정보화진흥원 사업자 대상 개인정보보호 교육

구분 세부내용

교육명 사업자 대상 개인정보보호 교육

교육일시 2015년 12월 3일 (목) 14:00 ~ 17:00 (접수: ~ 12.1)

URL http://www.privacy.go.kr/ (배움터->현장교육->교육안내 및 신청)

*수강료 무료

2) [정보보호 교육] KISA 아카데미 정보보호 12월 교육

구분 세부내용

교육명 침해사고 대응을 위한 디지털 포렌식

교육일시 2015년 12월 7일 (월) ~ 11일 (금) (접수: ~ 12.2)

URL http://academy.kisa.or.kr/

*수강료 무료

3) [컨퍼런스] 2015 정보보호산업의 날

구분 세부내용

일시 2015년 12월 9일 (수) 15:00 ~ 20:00 (접수 : ~ 12.2)

장소 전경련회관 그랜드볼룸(여의도)

URL http://www.kisia.or.kr/ (커뮤니티->협회공지/행사)

*등록비용 무료

정보보호 뉴스레터

발행처 | 롯데그룹 정보보호위원회

Homepage | http://secupolicy.net

E-mail | secu_policy@lotte.net

Tel | (02) - 2626 - 5939