2019年

02月

정보보호 뉴스레터

매월 첫 번째 월요일은 롯데그룹 정보보호의 날

Contents

01月 정보보호 이슈 – 몽고DB, 2억 2천만명 이상의 개인정보 유출

몽고DB를 통해 발생한 중국 최대의 정보 유출 사건

4

※ 몽고DB : 오픈소스 기반의 데이터베이스 관리 시스템

■ 피해 현황

중국 구직자들의 정보

해커는 DB에 접근하여2억 2천만 명 이상의

개인정보 유출

몽고DB는 중국 구직자 정보를대량(854GB)으로 보유 중

■ 사건 개요 및 경위

■ 개인정보 유출의 위험성

사용자 계정 탈취 및

명의도용 가능

사용자 인증 설정 부재로누구나 DB 접근 가능

이메일

운전면허증전화번호

신체정보

유출

보이스피싱 등 금융사기로

금전적 피해 발생

불법 사이트 가입 등

유출된 개인정보 악용 가능유출

02月 정보보호 Report – 웹 브라우저 소개

5

웹 브라우저(Web Browser)란?

종류 및 점유율

인터넷에 접속해 다양한 정보를 탐색할 수 있도록 도와주는 응용 프로그램

웹 브라우저 위험성

[출처 : 통계 사이트 statcounter – 2017년 브라우저 점유율 및 순위]

56.21%

15.25%

14.15%

0.83%

크롬 (Chrome)

인터넷 익스플로러 (IE)

사파리 (Safari)

파이어폭스 (Firefox)

웹 브라우저의 종류 및 위험성 소개

웹 브라우저 안드로이드 오피스 기타

(자바, 어도비 플래시 등)

[출처 : 보안 업체 사이트 Kaspersky Lab – 2017년 보안 위협 통계]

악의적인 공격 중 웹 브라우저 대상 공격이 가장 활발

44%32%

10% ...

02月 정보보호 Report –웹 브라우저 ‘크롬(Chrome)’ 보안

크롬(Chrome)의 ‘확장 프로그램’ 정의 및 위험성

6

크롬(Chrome)의 ‘확장 프로그램’이란?

웹 브라우저 중 하나인 ‘크롬(Chrome)’에서

사용자가 원하는 기능을 추가하여 사용할 수 있도록 제공하는 응용 프로그램

‘확장 프로그램’의 위험성

▶ 480만 명이 쓰는 확장 프로그램 8개가 악성코드에 감염된 사건

‘확장 프로그램’ 감염 의심 시 대응

크롬 링크의 오작동

→ ex) 가짜 웹사이트 접속 유도를

통한 계정(ID/PW) 탈취

공격자가 확장 프로그램

개발자에게 피싱 이메일 전송

개발자 계정으로

로그인을 유도한 후 계정 탈취

확장 프로그램에

악성코드 삽입 후 업데이트 진행

▶ 확장 프로그램의 악성코드 감염 시 예상 피해

▶ [목록] → [도구 더보기] → [확장 프로그램] 에서 의심스러운 확장프로그램 삭제

( ※ OS/웹 브라우저 재 설치로 해결 불가

→ 사용자의 구글 계정과 연결되어 있어, 로그인 시 확장프로그램 재설치)

웹 페이지에 가짜 광고 노출

→ ex) 광고에 의한 제휴 사이트

연결로 금전적 이익 취득

구글 개발자 계정에

로그인하지 않으면 위험합니다.

개발자ID : gaebal

PW : gaeb23!!

개발자

02月 정보보호 Report – 웹 브라우저 ‘익스플로러’ 보안

익스플로러의 ‘ActiveX’ 정의 및 위험성

7

익스플로러의 ‘ActiveX’란?

웹 브라우저 중 하나인 익스플로러를 이용하여 금융기관, 관공서 등의 사이트에서

키보드 보안, 인쇄작업 등 추가기능을 위해 사용하는 실행 파일 형식의 프로그램

‘Active X’취약점을 악용한 사례

북한 배후 해커그룹 ‘안다리엘’의 세종연구소 웹사이트 공격 사건

해커는 세종연구소 웹사이트에

악성코드를 삽입

사이트에 접속한 사용자는

취약한 ActiveX에 의해

악성코드 다운로드 및 설치

감염된 PC는 해커로부터

원격명령을 받아 악성행위 수행

‘Active X’ 사용예시

악성코드 다운로드 및 설치

PC 부팅오류 유발

원격 제어수행 가능

전자결제

인쇄

인증보안

‘Active X’ 악용시 위험성

세종연구소웹사이트

세종연구소웹사이트

PC 정보 탈취

ActiveX

문서뷰어

02月 정보보호 Report – 사전 예방수칙

8

웹 브라우저 보안을 지키기 위한 예방수칙

최신 버전의 Active X,확장프로그램 이용

웹 브라우저 업데이트

불필요한 ActiveX, 확장프로그램주기적으로 점검 후 삭제

백신 프로그램을 설치하여정기적으로 PC 점검 수행

※ 크롬 확장프로그램의 경우

‘설정고급재설정 및 정리하기 내 컴퓨터정리’

기능으로 원치 않는 프로그램 삭제 가능

확장프로그램

※ 크롬 확장프로그램 수동 업데이트 방법

도구 더보기확장 프로그램

우측 상단의 개발자 모드 체크 후 업데이트 버튼 클릭

업데이트

Security Tip! Tip! Tip!

웹 페이지 리디렉션(Redirection)을 차단하는 방법

9

크롬(Chrome)1

웹 브라우저 별 차단 설정 방법

2. 고급 ▶ 콘텐츠 설정

3. 팝업 및 리디렉션 ▶ '차단' 설정

1. 크롬 우측 상단 클릭 ▶ 설정

...

인터넷 익스플로러(IE)2

2. 보안 ▶ 보안 수준 '높음' 설정

1. IE 우측 상단 클릭 ▶ 인터넷 옵션

정보보호위원회 활동

10

1. 2019년 1월 정보보호 실무위원회

일 시 : 2019년 1월 24일(목) 15:00 ~ 17:00

장 소 : 롯데정보통신 본사 2층 대강당

참석자 : 계열사 정보보호 부서장 및 담당자 53명 (38개社)

내 용 : '19년 그룹 정보보호 규정 개정안 소개

‘19년 그룹 정보보호 수준진단 점검 지표 개선안

정보보호 교육 및 세미나

11

구분 세부내용

행사명 [핀테크 트렌드 세미나] 핀테크에서 활용되는 암호와 인증방법 소개

일시 2019년 02월 27일 수요일 16:00 ~18:00

장소 서울시 송파구 가락동 78 IT번쳐타워 서관 10층

등록방법 https://www.onoffmix.com/event/167211

1) [핀테크 트렌드 세미나] 핀테크에서 활용되는 암호와 인증방법 소개 * 참가비 무료

발행처 : 롯데그룹 정보보호위원회

Homepage: https://secupolicy.net

E-mail: secu_policy@lotte.net

Tel: (02) 2626-3746

정보보호 뉴스레터