2019年

06月

정보보호뉴스레터

매월 첫번째월요일은롯데그룹정보보호의 날

Contents

05月정보보호이슈 –가비아, 해킹으로고객개인정보 7만7천건유출

4

크리덴셜 스터핑 공격(추정)으로 고객 개인정보 유출

국내 웹 호스팅 업체 가비아, 크리덴셜 스터핑 공격(추정)으로

서버 해킹 당해 고객 개인정보 – 이름, 아이디, 이메일, 연락처 등 7만7천건 유출

크리덴셜 스터핑 공격 예시

A기업사용자 크리덴셜

공격자

수집

B기업

ID

PW

수집한 크리덴셜

무차별 대입

로그인 성공 B기업고객정보 탈취

대응방안

※ 크리덴셜 스터핑 공격 : 공격자가 이미 확보한 로그인 정보를

다른 온라인 사이트에 대입하여 사용자의 추가 정보를 획득하는 공격

위험성

신용정보 이용한 금전 탈취

동일 비밀번호 재사용 금지

비밀번호 주기적 변경

비밀번호 설정 규칙 준수

개인정보 이용한 보이스피싱,

피싱메일 등 사기/협박

개인정보 이용한 불법회원

가입, 불법대출 등 악용

ID

PW

lotte

lotsecu19!

숫자, 영문자 및 특수문자

3종 혼합 시, 8자리 이상

2종 혼합 시, 10자리 이상

※ 크리덴셜이란?

로그인 계정, 비밀번호, 기타 개인정보 등

사용자 본인 인증을 위한 정보

06月 정보보호 Report – 악성 앱이란

악성 앱의 정의와 피해 사례

수사기관을 사칭해수사절차를 진행하려면

관련 앱을 설치해야 한다고 연락

악성 앱 설치 URL이 포함된문자메시지를 발송하여

악성 앱 설치 유도

설치된 악성 앱을 이용해문자메시지 탈취, 도청, 위치 추적 등

단말기 제어

정부 지원 저금리 대출을 미끼로 한악성 문자메시지 발송

회신 온 사람들을 대상으로대출신청서를 작성해야 한다며

악성 앱 설치 유도

설치된 악성 앱을 이용해금융기관으로 거는 전화를

가로채 피해자를 속여 대출금 탈취

이름이나 아이콘 이미지 등을 교묘하게 위장해 정상적인 앱으로

사용자를 속여 악의적인 기능 (개인정보 유출, DDoS 등)을

수행하도록 제작된 앱

“ ”악성 앱의 정의

설치해야합니다

악성 앱설치 URL

탈취

[사례 1] 저금리 대출 미끼 악성 앱 설치 유도

[사례 2] 보이스피싱을 이용한 원격 제어 앱 설치 유도

5

06月정보보호 Report –악성앱유통경로및피해

악성 앱의 유통 경로 및 악성 앱 설치로 인한 피해

악성 앱 설치로 인한 피해

“블랙마켓을 통한 불법 앱 유통” “스미싱을 통한 불법 앱 설치 유도”“파밍을 통한 불법 앱 설치 유도”

google

qoogIe [AB카드]56,200원결제되었습니다.카드 이용 내역 확인http://goo.gl/asdf1234

악성 앱 유통 경로

소액 결제를 이용한 불법 과금 비정상적인 데이터 사용량 증가

스마트폰에 저장된 정보 불법 유출문자메세지 수신 및 발신 이상 현상

6

05月정보보호 Report –악성앱탐지방법및대응

악성 앱 탐지 방법 및 대응 방안

각 앱의데이터 소모량 확인

배터리 사용량확인

출처를 알 수 없는앱 확인

개인용 휴대폰 내 기업 중요 정보 저장 금지 출처 불분명 문자메시지 URL 클릭 금지

출처를 알 수 없는 앱 설치 금지

23%

10%

설치된앱 목록곩

메신저

???

스미싱 문자 수신 시 KISA (118) 신고 후 삭제 조치

신고

대응 방안

악성 앱 탐지 방법

인터넷보호나라

&Kr CERT

KISA

7

[AB카드]56,200원결제되었습니다.카드 이용 내역 확인http://goo.gl/asdf1234

Security Tip! Tip! Tip!

스마트폰 앱의 ‘필수적, 선택적 접근 권한’이란?

접근 권한이란? 접근 권한 철회 방법

앱을 설치하고

처음 실행했을 때 뜨는

위의 대화상자에서

어떤 것을 누르셨나요?

앱 서비스 제공자가

이용자의 스마트폰 내에 저장되어 있는

정보 및 기능에 접근하여

해당 정보를 읽고 수정하거나

기능을 실행할 수 있는 권한

필수적 접근 권한

서비스 제공을 위해

반드시 필요한 접근 권한

동의하지 않아도

서비스 이용이 가능한

선택적 접근 권한

선택적 접근 권한

안드로이드(6.0이상 버전)

아이폰

① '설정'

② '앱'

③ 해당 앱 선택

④ 권한 선택

⑤ 접근 권한 철회

① '설정'

② '개인정보보호'

③ 해당 앱 선택

④ 접근 권한 철회

↓

↓

↓

↓

↓

↓

↓

8

정보보호위원회활동

1. 2019년 5월정보보호실무위원회

일 시 : 2019년 5월 22일(수) 15:00 ~ 17:00

장 소 : 롯데정보통신본사 2층대강당

참석자 : 계열사정보보호부서장및담당자 40명 (28개社)

내 용 : '19년해외법인정보보호추진현황

'19년그룹사보안담당자교육계획

9

정보보호교육및세미나

구분 세부내용

행사명 2019 개인정보페어 CPO워크숍 · 온라인개인정보보호콘퍼런스

일시 2019년 06월 25일(화) ~ 06월 26일(수) 09:00~17:00

장소 서울삼성동 COEX 1층그랜드볼룸

등록방법 https://www.pisfair.org/2019/index.html

1) 2019 개인정보 페어 CPO워크숍 · 온라인 개인정보보호 콘퍼런스 * 사전등록시참가비무료

10

발행처 : 롯데그룹 정보보호위원회

Homepage: https://secupolicy.net

E-mail: secu_policy@lotte.net

Tel: (02) 2626-5938

정보보호뉴스레터