기사 한줄요약(22.5.10.): 회사들에서 보안 강화를 위해서 기존의 한번의 암호 입력으로 로그인 되는 방식 대신 추가적인 인증을 더 하는 다중인증(MFA) 또는 이중인증(2FA)을 도입하려고 하고 있다. 하지만 관리자나 직원들은 이런 추가적 단계의 번거로움 때문에 다양한 핑계를 대면서 거부하고 있다. * 관리자/사용자들의 핑계 1. “내 비밀번호는 충분히 강력하다” > 사이버 공격이 정교해지고 있기 때문에, 비밀번호가 강력한 것만으로는 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난을 방지할 수 없다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” > 전화번호/이메일 주소 정보 없이도 MFA 로그인을 할 수 있는 방법은 많다. 인증 앱/ QR코..
기사 한줄요약(22.5.9.): 심스와핑이라는 새로운 공격 기법을 이용한 공격 피해자가 계속 늘어나고 있다. 피해자와 동일한 유심을 복제한 후에 새벽시간 대를 이용해 유심을 장착해 공격자의 전화기로 기기변경 한 것처럼 만들어 피해자의 정보로 가상화폐를 챙기는 수법의 공격이다. 그러나 여러명의 피해자가 피해사실을 인지하고 신고하였지만, 심스와핑 공격의 피해자임을 증명하는 기지국 정보를 KT에서 주지않아 개인정보분쟁조정위원회에 분쟁요청을 하여 두번 승소하였지만 아직도 제공되지 않아 싸움이 계속되고 있다. 심스와핑 공격 스마트폰에 장착된 유심(u-SIM) 칩의 정보를 훔쳐 ‘복사 유심’을 만든 뒤, 이를 다른 스마트폰에 장착해 똑같은 복제 전화기를 만드는 공격. 통신사와 스마트폰은 기존 유심을 새로운 폰에 장..
기사 한줄요약(22.5.6.): 국가정보원에 따르면 한국이 아시아 최초로 NATO(북대서양조약기구)의 2007년 러시아 대규모 해킹에 따라 2008년 5월에 발촉된 사이버 공격/방어/훈련/전략/정책연구를 하는 사이버방위센터(CCDCOE) 정회원에 가입했다고 밝혔다. 앞으로 NATO 회원국들과 협력해 한국의 사이버보안 위협으로 부터 더 안전한 나라가됬으면 좋겠다. - 정회원 : 32국 (NATO 후원국 27개, 비NATO 기여국 5개) 임유경 기자, 한국, NATO 사이버방위센터 정회원 가입...아시아 최초, Zdnet Korea, https://zdnet.co.kr/view/?no=20220505093025 한국, NATO 사이버방위센터 정회원 가입...아시아 최초 국가정보원은 한국이 아시아 최초로 북대..
기사 한줄요약(22.5.5.): 미국 CISA의 발표에 따르면 2021년에 많이 사용된 취약점 15개를 공개하였다. 작년이 이슈가 되어 많이 알고있는 log4shell 취약점이 포함되어 있으며, microsoft exchange을 활용한 공격은 취약점 15건 중에 8건이나 해당된다. 이런 취약점들은 RCE 공격으로 활용이 가장 많이되는 것으로 파악된다. 1. CVE-2021-44228 - Apache Log4j 라이브러리 취약점 - 취약점 이름 : Log4Shell - 영향 : 시스템을 완전히 제어, 제어한 시스템을 통하여 정보탈취, 랜섬웨어 실행 가능 - 취약점 조치사항 : 1) 레질리온(Rezilion)에 따르면 쇼단 검색 시 아직도 log4j 조치가 되지 않은 서버가 9만개로 식별 2) 메이븐 센트..
기사 한줄요약(22.5.3.): 오닉스(Onyx)라는 새로운 랜섬웨어가 나타났다. 이 랜섬웨어의 특징은 이중협박 전략을 사용한다. 1. 데이터를 미리 빼고 데이터를 암호화 해서 피해자에게 협박 2. 피해자가 돈을 내도 일부 파일을 돌려 받지못함. 200MB이상인 파일을 덮어쓰기해서 복구 불가. 멀웨어헌터팀 (MalwareHunterTeam), 문가용 기자, "새로운 랜섬웨어 오닉스, 파일들을 파괴한다", 보안뉴스, https://m.boannews.com/html/detail.html?mtype=6&tab_type=1&idx=106420 새로운 랜섬웨어 오닉스, 파일들을 파괴한다 IT 외신 블리핑컴퓨터에 의하면 오닉스(Onyx)라는 이름의 새로운 랜섬웨어가 등장했다고 한다. 파괴적인 목적을 가지고 운영되..
기사 한줄요약(22.5.2.): 우리가 사용하고 있는 암호화 기술은 실패하는 경우가 있는데 그 이유 중 하나는 암호화 기술을 잘못 구축하기 때문이다. 잘못 구축되면 아무리 좋은 알고리즘을 사용하더라도 소용이 없게 된다. 또한, 현대 암호의 경우 어려운 수학이론을 바탕으로 만들어 졌지만 이런 수학 난제들은 언젠가 풀려 암호화 알고리즘도 언젠가는 깨진다는 것을 명심해야 한다. 이런 문제를 대응하기 위해서는 ‘다양성’을 추구해야한다. - 암호화 기술 잘못 구축 사례 1) 하트블리드(HeartBleed) 취약점 2) 타원곡선전자서명(ECDS) 알고리즘 빈센트 버크(Vincent Berk), CSO, Quantum Xchange, 문가용 기자, 암호화 알고리즘을 다양하게 마련해야 하는 이유, 보안뉴스, https..
'IT/보안 뉴스 매일한줄요약하기' 챌린저스 종료! 기간 : 2.7.~4.3. 평일(월~금) 드디어 끝! 평일 매일매일 놓치지 않고 성공하려고 했는데 성공을해서 너무 기쁘당~ 이런 모임이 있어서 매일 기사를 읽고 최신 IT랑 보안 트랜드를 접할 수 있는 기회였다. 처음에는 어떤 기사를 선정해야하고 요약을 어떻게 해야할지 막막하고 시간도 엄청 걸렸는데, 그래도 익숙해지니 쓸만한 기사가 없을 때를 제외하고는 기사를 읽고 글쓰는 시간이 많이 절약됐다. 🤔 또 기회가 된다면 참여해야 겠다~☆
