정보보호 뉴스레터2016年
11月
롯데임직원의보안인식제고와
개인정보보호활동강화를위하여정보보호위원회는
매월첫째주월요일을
롯데그룹정보보호의날로지정하여운영하고있습니다.
2016년 11월그룹정보보호의날을맞이하여정보보호뉴스레터를배포하오니
많은관심과실질적인예방을위한활동부탁드립니다.
매월첫째주월요일은롯데그룹정보보호의날!
Contents
무선공유기를 이용한 개인정보 탈취1
무선 인터넷 보안 취약점들2
10月 정보보호 이슈
무선 인터넷 대표 사고 사례3
무선 인터넷 안전 이용 7대 수칙4
Security TIP!TIP!TIP!5
11月 정보보호 Report – 무선 인터넷
정보보호 위원회 활동6
정보보호 활동 및 교육
정보보호 교육 및 세미나 안내7
“‘해커 먹잇감’ 무선공유기…스마트폰 개인정보 ‘쓱’”
1
4
10月정보보호이슈 –무선공유기를이용한개인정보탈취
해킹된 무선공유기를 통해 와이파이에 접속한 스마트폰
만 3천여 대가 피해를 당함
1
No 대응 방안
2
해커
공유기 스마트폰
문자 메시지서버
①공유기 해킹 ②악성앱유포③문자 메시지
유출
포털 사이트
④문자 메시지탈취
⑤탈취 문자 메시지로회원가입(휴대전화 인증)
SMS
공유기 접속 비밀번호 설정
※ 초기 상태로 비밀번호 설정 금지
공유기 주기적
업데이트 시행
숫자+영문자+특수문자
3종 조합 8자리 이상
또는
2종 조합 10자리 이상
Upgrade
“물리적∙기술적∙관리적으로 나뉜 무선 보안 취약점들”
2
5
물리적취약점
기술적취약점
관리적취약점
유형 문제점
11月정보보호 Report –① 무선 인터넷보안취약점들
공유기 외부 노출로 인한도난 및 파손 가능성
네트워크, 전원 케이블 노출로 인한고의적인 장애 발생 가능성
강한 출력 신호를 미끼로 연결을유도하는 가짜 AP 설치 용이
공유기에 접속한 무선기기에 네트워크서비스를 막는 서비스 공격 시도 용이
• 쉬운 비밀번호 설정
• 비밀번호 미 설정SSID 숨김 기능 미 설정 인증방식, 관리자
페이지 접근통제 미흡
가짜 무선접속장치
Pw : 정보보호 뉴스레터
MOBILE 11
MOBILE 1234
wifi1234
※ SSID : Wi-Fi기기에서 무선을검색하여 표시되는 이름
“공격도구로 이용되는 와이파이”
3
6
11月정보보호 Report –②무선인터넷대표 보안사고사례
A씨는 커피숍에서 카페 이름으로 된
와이파이에 접속하여 은행 업무 등
개인적인 일을 수행함
하지만 A씨가 접속한 와이파이는 해커가 설치한
가짜 와이파이 였고, 이 와이파이를 통해
A씨의 중요정보가 유출 됨
B씨는 스마트폰을 통해 비밀번호 없이
사용할 수 있게 공개된 와이파이에 접속함
접속 후 어플을 업그레이드하라는 창이 나타나
B씨는 확인을 눌렀고 그 순간 다른 홈페이지로
리다이렉션 되면서 악성코드가 설치됨
네트워크 담당 C씨는 회사에서
사용중인 무선 공유기 관리를 편하게
하기 위해 비밀번호를 1234567로 설정함
해커는 무차별 대입 공격을 통해 쉽게 무선
공유기 비밀번호를 풀었고 해킹된 무선
공유기를 통해 회사 기밀 정보를 탈취함
비밀번호
기밀정보
PW : 1234567
ID: news12
Pw: newsletter11
Wifi : cafe12
공개된 와이파이를 이용한 스팸메일 발송 및 악성코드 유포
가짜 와이파이를 통한 개인정보 유출 사고
취약한 비밀번호 설정으로 인한 공유기 해킹
어플업그레이드
악성코드다운로드
Free Wi-Fi비밀번호설정 없음
“자동차, 항공기까지 피해 대상이 넓어진 무선 인터넷 해킹”
3
7
11月정보보호 Report –②무선인터넷대표 보안사고사례
한 보안 업체에서 주요 항공사들이 사용하는
비행 위성통신장비 시스템을 분석하여 무선랜
서비스를 악용할 수 있는 취약점을 발견함
이 보안 업체는 해당 취약점을 이용하여
비행기의 안전시스템의 오작동을 일으켜
승객들의 안전에 큰 위협을 줄 수 있음을 경고함
리우 올림픽에서 관람객들의 편의를 위해
브라질 정부는 주요 경기장 주변에
4500여 개의 와이파이를 설치함
해커들은 이를 악용하여 쇼핑몰, 호텔, 공항 등
시내 곳곳에 가짜 와이파이를 설치하여
관광객들의 개인정보를 탈취함
해커들이 비밀번호가 허술하거나 비밀번호를
설정하지 않은 취약한 공유기에 악성코드를
감염시켜 분산 서비스 거부 공격을 시도함
이동통신회사인 S사와 L사는 해커의 분산
서비스 거부 공격을 통해 약 1시간 동안
인터넷망이 마비되어 큰 피해가 발생함
S사 서버 L사 서버
인터넷 망
취약점!
악성코드전파
무선 해킹을 통한 자동차, 항공기 해킹
공유기를 이용한 이동통신사 분산서비스 거부 공격
리우 올림픽 관광객을 노린 가짜 와이파이 사건
4
8
11月정보보호 Report –③ 무선 인터넷안전이용 7대수칙
“7대 안전 수칙 준수하여 보안 사고 예방하자”
무선공유기사용시보안기능설정1 공유기 설정에서 보안 설정을 WPA2-AES로 설정
무선공유기패스워드는 8자리이상으로설정2 특수기호, 영문자 등을 조합하여 비밀번호로 설정
사용하지않는무선공유기는꺼놓기3 해커에게 탈취당할 가능성 제거
제공자가불분명한무선와이파이이용하지않기4 해킹된 와이파이 접속으로 인한 악성코드 감염방지
무선와이파이에자동접속기능사용하지않기5 가짜 와이파이 자동 접속 방지
보안설정없는무선랜으로민감한서비스사용하지않기6 무분별한 와이파이 접속으로 인한 정보 유출 방지
무선공유기의 SSID를 유추불가능하도록변경하고
숨김기능설정7 해커에 의한 무선 공유기 해킹 방지
SSID 알림 기능
사용함사용하지않음
???
ID, 패스워드
무선 보안 설정
인증방법
암호화방법
무선네트워크 설정
자동 접속
PW: @1Q2W3E
아이폰 : 설정 Wi-Fi 네트워크 연결 요청 해제
5
9
“ 스마트폰(안드로이드, 아이폰) 와이파이 자동 연결 해제 방법”
Security TIP! TIP! TIP!
안드로이드 : 설정 연결 Wi-Fi 네트워크 선택 후 지우기 클릭
안드로이드의 경우 일괄 자동 접속 해지 방법이 없으므로
자동 접속을 해제하고자 하는 네트워크를 따로 선택 후 해제 해야 함
정보보호위원회활동6
1. 2016년 10월 정보보호 실무위원회
일 시 : 2016년 10월 20일(木), 15:00 ~ 18:00
장 소 : 롯데시네마 월드타워관 11층 강의실
참석자 : 계열사 정보보호 부서장 및 담당자 55명 (39개 社)
내 용 : 정보보호 수준진단 이행 현황 공유
침해사고 대응 훈련 결과
베트남 수준진단 결과
사별 수준진단 이행 고충 공유
‘17년 정보보호 활동 계획 및 점검 방안 의견 공유
6
7 정보보호교육및세미나안내
1) [KISA 아카데미] 정보통신 기반시설 정보보호 업무실무
구분 세부내용
교육명 정보통신 기반시설 정보보호 업무실무(6차)
교육일시 2016년 11월 02일(수) ~ 04일(금) (21시간/3일)
교육장소 사이버보안인재센터
교육대상 주요정보통신기반시설 정보보호 담당자/기업체 정보보호 담당자
URL http://academy.kisa.or.kr/main.kisa
11
*수강료 무료
2) [KISA 아카데미] 해킹방어를 위한 시큐어코딩
구분 세부내용
교육명 해킹방어를 위한 시큐어코딩(6차)
교육일시 2016년 11월 09일(수) ~11일(금)(24시간/3일)
교육장소 사이버보안인재센터
교육대상 자바 기반 보안 코딩 구현/관리 담당자, 소프트웨어 개발자
URL http://academy.kisa.or.kr/main.kisa
*수강료 무료
발행처 : 롯데그룹 정보보호위원회
Homepage: https://secupolicy.net
E-mail: [email protected]
Tel: (02) – 2626-5946
정보보호뉴스레터