정보보호뉴스레터fse.lotteins.co.kr/newsletter/201808_information... · 2018. 8. 3. ·...
Transcript of 정보보호뉴스레터fse.lotteins.co.kr/newsletter/201808_information... · 2018. 8. 3. ·...
2018年
08月
정보보호뉴스레터
매월 첫번째월요일은롯데그룹정보보호의 날
Contents
07月정보보호이슈 –윈도우XP 기반의 POS 시스템해킹사고
윈도우 XP 보안 취약성 악용으로 결제 단말기 10만대 마비
4
■ 사건 개요 및 경위
1. 다양한 네트워크 연결
■ POS 시스템 위협 요인
인터넷 연결 끊김 증상 발생
→ POS 단말기 10만대 마비
윈도우 서비스의
인터넷 연결 관련 항목에 영향
■ 대응 방안
회원 여부 조회, 포인트 사용, 결제 정보 전송,
매출 현황 집계 등을 위한 네트워크 연결
윈도우 XP의 보안 취약점을
이용한 악성코드 공격
직원들의 POS 단말기를 통한
온라인 쇼핑이나 SNS 등 인터넷 이용
3. 애플리케이션 취약점
필요에 따른 POS 시스템 내 문서프로그램 등
다양한 애플리케이션 설치
2. 부적절한 POS 단말기 이용 행태
백신프로그램 업데이트 및
정밀 검사 수행
POS 단말기 인터넷 차단
보안 패치가 가능한 윈도우로
업그레이드하여 사용 권장
PC
POSWindows XP
···
08月정보보호 Report –계정탈취방법및위험성
해커의 계정 탈취/활용 방법 및 위험성
5
■ 사회 공학
피싱 사이트 내에서
사용자가 로그인 하도록 유도
해커의 계정 탈취 방법
링크 또는 첨부파일 클릭을
유도하는 내용의 메일 발송
무작위로 암호를 대입하여
보안성이 낮은 계정 탈취
계정 탈취의 위험성
탈취한 계정 활용 방법
■ 계정 피싱 ■ 무차별 대입 공격
아이디
비밀번호
(가짜사이트)
■ 봇넷 구축
탈취한 계정으로 봇넷 구축 후
추가적인 공격 감행
기존 유출 정보를 바탕으로
새로운 사이트 계정 탈취
■ 크리덴셜 스터핑
여름 휴가 맞이
임직원 콘도 추첨
lotte_refresh.pdf
A사이트 B사이트
lotte2
ab1234**
lotte2
ab1234**성공!
lotte2
1234
lotte2
abcd
lotte2
qwer
여러 사이트에
동일 계정 사용 시 피해 증가
···
B 사이트
Z 사이트
해킹
기업 중요 데이터 유출
기밀 문서
추가적인 정보 유출 위협 및
금전 요구
관리자 계정 탈취 후
계정 권한 상승
■ 관리자 권한 획득
08月정보보호 Report –사고사례
계정 탈취 사고 사례
6
공격자 → 첨부파일을
열도록 유도하는 메일 발송
1. 사회공학 – “파워블로거 계정 탈취 후 후기 조작”
이메일, SNS를 통한
피싱 사이트 URL 유포
2. 계정 피싱 및 스팸 – “넷플릭스 사이트 피싱으로 계정당 25센트에 암거래"
타 은행에서 유출된
고객정보 획득
3. 크리덴셜 스터핑 – “우리은행, 크리덴셜 스터핑으로 고객정보 5.6만건 로그인”
유명 파워블로거
125명 계정 탈취
자신의 쇼핑몰 홍보를 위한
댓글 및 후기 작성
주소 클릭 시, 가짜 넷플릭스
사이트로 유인 후 계정 탈취
건당 25센트에 암거래
사이트를 통해 재판매
계좌정보와 자산상태 등
중요 개인정보 노출
우리은행 뱅킹 사이트에서
총 85만회 로그인 시도
I D : lo1PW: ****
I D : lo2PW: ****
I D : lo5PW: ****
···
www://… virus …
www://… virus …
계좌정보
개인정보
자산상태85만회
lotte20
********
08月정보보호 Report –계정보안예방수칙
계정 보안을 위한 예방수칙
7
동일 비밀번호 재사용 금지
회사 이메일 주소
개인 계정으로 사용 금지
복잡한 비밀번호로 설정
개인용
업무용
2단계 인증을 제공할 경우
인증 설정하기
1차 인증
lotte2
ab1234**+
2차 인증
네이버 앱 알림을
통한 2단계 인증
휴대폰 인증코드를
통한 2단계 인증
메시지 또는 앱을
통한 2단계 인증
해브 아이 빈 폰드(Have I been pwned)
이메일계정을검색하여개인정보가유출되었는지확인하는웹사이트
Security Tip! Tip! Tip!
개인정보 유출 여부를 확인할 수 있는 사이트 ‘Have I been pwned?’
8
이메일 입력 후
Pwned? 버튼 클릭
1 안전한 상태 2 정보가 유출된 상태
정보보호위원회활동
9
1. 2018년 7월정보보호실무위원회
일 시 : 2018년 7월 25일(수) 15:00 ~ 17:00
장 소 : 롯데슈퍼본사(잠실) 3층교육장
참석자 : 계열사정보보호부서장및담당자 67명 (40개社)
내 용 : 윈도우 XP기반의 POS 시스템이슈및대응방안
화이트리스트소개
그룹사외부감독기관점검사례공유
'18년그룹정보보호캠페인운영진행현황
'18년 2분기모의바이러스훈련결과공유
그룹정보보호수준진단개선방향
정보보호교육및세미나
10
구분 세부내용
교육명 제12회국제사이버시큐리티콘퍼런스 (ISEC 2018)
교육일시 2018년 8월 30(목) ~ 8월 31일(금) 09:00~17:00
교육장소 COEX 1층그랜드볼룸, 콘퍼런스룸(북) 2층, 오디토리움
등록방법 http://www.isecconference.org/2018/kor/visitor02.html
1) 국제사이버시큐리티콘퍼런스 (ISEC 2018) * 참가비무료(사전등록시)
발행처 : 롯데그룹 정보보호위원회
Homepage: https://secupolicy.net
E-mail: [email protected]
Tel: (02) 2626-3644
정보보호뉴스레터