<요 약> 1. 법ㆍ제도 동향 - 개인정보 보관기간 3년에서 1년으로 단축 - 미래부, 데이터센터 보안 수준 점검 계획 2. 보안위협 동향 - Dropper, Downloader 형태의 악성코드 감염 주의 - 5단 설치 첨단 스텔스 악성코드 '레긴', 6년간 활동 3.

2014년 12월 8일 (제23호) <목차> 1. 법ㆍ제도 동향 2. 보안위협 동향 3. 업계 동향 4. 기술 동향 5. SECUI 뉴스 기획팀 기술기획팀 보안서비스개발팀 - 1 -

<요 약> 1. 법ㆍ제도 동향 - 개인정보 보관기간 3년에서 1년으로 단축 - 미래부, 데이터센터 보안 수준 점검 계획 2. 보안위협 동향 - Dropper, Downloader 형태의 악성코드 감염 주의 - 5단 설치 첨단 스텔스 악성코드 '레긴', 6년간 활동 3. 업계 동향 - 금융권 또 소 잃고 '뒷북 보안' - 모바일 결제 서비스, 인터넷기업 진출 '러시'... 4. 기술 동향 - 메모리 해킹이란? 5. SECUI 뉴스 - Security Next Conference 2015 행사 세션 발표 - 2 -

1. 법ㆍ제도 동향 - 개인정보 보관기간 3년에서 1년으로 단축 - 미래부, 데이터센터 보안 수준 점검 계획 개인정보 보관기간 3년에서 1년으로 단축 - 방송통신위원회는 정보통신망 이용촉진 및 정보보호 등에 관한 법 률 (이하 정보통신망법) 시행령 일부 개정안을 의결했다. 해당 개정 안은 오는 29일부터 시행된다. 정보통신망법 시행령 개정안 내용 ㆍ 개인정보 유효기간을 3년에서 1년으로 단축 ㆍ 이용자는 개인정보 누출 통지를 받은 날부터 3년 또는 개인정보가 누출된 날부터 10년 안에 법정 손해배상 청구 가능 ㆍ 기업은 개인정보 유출을 감지한 시점부터 24시간 내 방통위나 한국인터넷진흥원(KISA)에 신고 ㆍ 바이오 정보를 암호화 대상으로 변경하고 암호화 대상의 추가나 변경이 쉽도록 암호화 대상을 시행령에서 고시로 변경 ㆍ 개인정보 누출 기업의 과징금 부과기준율 상향 조정 ㆍ 정당한 사유 없이 24시간이 넘어서 개인정보 누출 등을 통지하거 나 신고할 경우, 과태료 부과 미래부, 데이터센터 보안 수준 점검 계획 - 미래창조과학부는 전국 61개의 데이터센터를 대상으로 실시한 안전점 검에서 안전대책이 열악하다는 지적에 따라 내년 1분기부터 전국 주요 데이터센터에 대한 보안 수준을 점검하고 취약점 발견 시 개선 권고를 내릴 예정이다. - 3 -

ㆍ 전국의 상업적 데이터센터 60여 곳이 점검 대상이며, 한국인터넷 진흥원(KISA)과 외부 전문가로 구성된 전담팀을 꾸려 분기별로 논 리적 물리적 보안 수준을 점검할 계획 ㆍ 논리적 보안수준을 점검하기 위해서 정보보호관리체계(ISMS) 인증 을 위한 심사항목을 활용하는 것을 검토 중이며, 물리적 안전수준 역시 올 연말까지 완료할 예정인 집적정보 통신시설 보호지침 개 정안 의 세부내용에 따라 분기별 점검을 시행할 예정 - 정부가 데이터센터 안전진단을 실시하는 것은 기업의 업무 부담을 가 중시키며, 점검이 필요한 소규모 데이터센터나 폐쇄적인 공공 및 금융 기관의 전산실을 제외한 것은 아쉽다는 의견도 있다. - 이에 대해 미래부는 공공기관은 행정자치부가, 금융기관 전산실은 금융위원회가 조사하고 있다 며 장애가 발생하면 피해규모가 큰 상 업용도의 데이터센터를 우선 점검할 필요가 있다 고 설명했다. 법ㆍ제도 기타 동향 - 정보통신서비스 사업자 CISO 지정신고 의무화 ㆍ 미래창조과학부는 기업 정보보호 투자 확대와 수준 강화를 위해 정보통신망법에 따라 정보보호 최고책임자를 지정해 신고해야 한 다고 밝히며 대상 기업이 2500~3000곳에 이를 것으로 추산했다. CISO 지정 신고 대상 기업 ㆍ 정보통신망법 제41조 제1항 제1호에 따른 내용 선별 소프트웨어 (SW)를 개발하거나 보급하는 사업자 ㆍ 정보통신방법 제47조 제2항에 따라 정보보호 관리체계 인증을 - 4 -

받아야 하는 기업 ㆍ 저작권법 제104조 제1항에 따라 특수한 유형의 온라인서비스제 공자로 상시 종업원 수가 5명 이상이거나 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 1000명 이상인 기업 ㆍ 전자상거래 등에서의 소비자보호에 관한 법률 제2조 제3호에 따 른 통신판매업자로 상시 종업원 수가 5명인 곳 ㆍ 게임산업진흥에 관한 법률 제2조 제7호에 따른 인터넷 컴퓨터게 임 시설 제공업자나 음란물이나 사행성 게임물 차단 프로그램을 제공하는 사업자 ㆍ 상시 종업원 수가 1000명 이상인 사업자 ㆍ 대상 사업자는 해당요건을 충족한 날로부터 90일 이내 방문 신고 하거나 미래부 전자민원센터(www.emsip.go.kr)로 온라인 신고해야 하며 CISO를 지정해 신고하지 않은 기업은 정보통신망법 제76조에 따라 3000만원 이하의 과태료가 부과된다. ㆍ 미래부는 각 기업 CISO와 핫라인을 만들어 각종 보안 위협을 공유 할 예정이다. <법ㆍ제도 끝> - 5 -

2. 보안위협 동향 - Dropper, Downloader 형태의 악성코드 감염 주의 - 5단 설치 첨단 스텔스 악성코드 '레긴', 6년간 활동 - 인증서 및 금융 정보 탈취 악성코드 감염 주의 2014년 11월 악성코드 통계 - Dropper, Downloader 형태의 악성코드 감염 주의 ㆍ 지난달과 동일하게 Dangerous.Object.Multi.Generic(앱 취약점을 이용한 악성코드), Trojan.Win32.Generic(정보 유출형 트로이 목 마), Trojan.Script.Iframer가 1~3위를 차지 ㆍ 인젝션(Injection)을 통한 드롭퍼(Dropper) 형태의 악성코드의 비 중이 증가하였으며 다운로더(Downloader) 형태의 악성코드 역시 꾸준히 배포되고 있음 ㆍ 지난달보다 전체적인 악성코드의 수는 소폭 감소함 위 악성코드 Top 10은 국내 Kaspersky 사용자 PC에서 탐지된 통계임 <2014년 11월 국내 악성코드 Top 10 리스트 (출처: Kaspersky)> - 6 -

11월 보안 이슈 - 5단 설치 첨단 스텔스 악성코드 '레긴', 6년간 활동 ㆍ 최근 자체 암호화 기능에 스텔스 기능까지 탑재된 첨단 악성코드 '레긴(Regin)'이 발견됨 ㆍ 시만텍 보안 블로그에 따르면 지난 2008년부터 장기간 각국 정부 주요 시설과 통신사를 겨냥하여 활동했던 것으로 분석됨 ㆍ 레긴은 백도어 기능을 가진 트로이 목마의 일종으로, 표적에 따라 스스로를 정의할 수 있는 기능을 가지며 5단계로 분리되어 설치됨 ㆍ 이 같은 단계별 모듈식 접근 방식은 악성코드 '플레이머'가 주로 사용하던 수법으로 국가 수준의 조직이 관여했을 것으로 추정됨 ㆍ 감염 대상 국가는 러시아가 28%로 가장 많았으며 사우디아라비아 가 24%로 뒤를 이었고 이외에도 중동, 유럽 등에서도 발견되고 있 음. 또한, 아직 발견되지 않은 구성 요소가 다수 존재할 가능성이 큰 것으로 알려짐 <레긴의 침투 및 설치과정> - 7 -

- 인증서 및 금융 정보 탈취 악성코드 감염 주의 ㆍ 일반 사용자들이 자주 접속하는 포털, 뉴스, 예매 사이트 등을 통 해 인증서 탈취 및 원격제어 기능을 가진 악성코드가 활발히 유포 됨 ㆍ 감염된 PC에서 유출된 인증서가 수천~수만 건에 달하는 것으로 확 인되었으며 유출된 인증서의 상당 수가 의료관련 인증서인 것으로 볼 때 의료 뉴스 사이트를 통한 피해가 적지 않았음을 알 수 있음 ㆍ 백신의 경우 최초 다운로드되는 악성파일에 대한 탐지가 제대로 이뤄지지 않고 있으며 시간적인 한계점이 발생하기 때문에 초기 탐지 및 차단이 쉽지 않음 ㆍ 매주 수천여 곳의 국내 웹 서비스에서 악성코드 유포가 발생되고 수많은 방문자들이 무작위로 감염되고 있으나 개인 사용자들이 할 수 있는 대응책이 없다는 것이 문제가 되고 있음 ㆍ 이러한 전방위적인 공격을 차단할 수 있는 장비를 국가 차원이나 ISP 단에서 도입하는 것이 가장 합리적이며 웹서비스를 하는 사이 트들은 삽입되는 악성링크를 실시간으로 찾을 수 있는 툴이나 스 캐너를 도입하고 보안 관제 서비스를 통해 실시간 경고 서비스를 받는 등의 조치가 필요할 것으로 보임 <보안위협 끝> - 8 -

3. 업계 동향 제23호 (2014.12.8) - 금융권 또 소 잃고 '뒷북 보안' - 모바일 결제 서비스, 인터넷기업 진출 '러시'... 금융권 또 소 잃고 '뒷북 보안' - 농협 통장에서 1억 2000만원이 무단 인출되는 금융사고를 계기로 시중 은행들이 보안 강화에 나서고 있다. 자칫 이와 유사한 사고라도 터지 면 고객들이 대거 이탈할 수 있다는 우려 때문이다. - 이번 금융사고는 농협에 갖춰진 금융사기 탐지시스템이 단기간에 수 십 차례 돈이 빠져나가는 의심 거래를 발견하지 못했다는 점에서 보안 시스템이 허술했다는 비판이다. - 현재 시중은행 가운데 부정거래를 잡아내는데 성능이 가장 뛰어난 FDS(이상거래 탐지시스템)장치를 갖춘 곳은 신한 하나은행 두 곳에 불과하다. ㆍ FDS는 과거 거래내역을 바탕으로 실시간 거래를 분석해 한 번도 이체되지 않은 계좌에 돈이 입금되거나 단기간에 수십 차례에 걸 쳐 이체를 시도하면 부정거래로 보고 거래를 정지 텔레뱅킹 금융사기 구멍, 금감원 대책 마련 - 이번 사고를 계기로 텔레뱅킹은 금융사기에 취약한 것 아니냐는 지적 이 나온다. 인터넷뱅킹에 밝지 않은 중장년층이 주로 이용한다는 점을 고려해 은행들이 따로 인증절차를 마련해두지 않았기 때문이다. 금감 원 고위관계자는 사고 정황을 면밀히 분석한 뒤 필요하면 텔레뱅킹 금융사기를 막기 위한 대책을 마련하겠다 고 말했다. - 9 -

- 한 시중은행은 금융사고를 막으려면 이체한도를 대폭 낮추거나 본 인인증을 강화하면 되겠지만 이렇게 되면 소비자 불편이 커지게 된 다 고 말했다. 모바일 결제 서비스, 인터넷기업 진출 '러시'... - 애플의 애플페이 ( 美 맥도날드 모바일 결제의 50%)와 국내 다음카 카오의 카카오페이 로 국내에서도 모바일 결제 서비스에 대한 기대 가 커지고 있다. - 국내외 업체들이 앞다퉈 결제 서비스를 선보이는 이유는 모바일 결제 시장이 큰 폭으로 성장하고 있기 때문으로 최근까지 어떤 모바일 결제 - 10 -

서비스들이 등장했고, 결제서비스를 위한 보안 은 어떻게 준비되고 있는지 살펴본다. 모바일 결제 시장의 규모와 발전 - 모바일 결제 시장은 2012년 1631억 달러에서 연평균 35%씩 성장해 2017년 7214억 달러에 달할 것으로 전망(가트너) ㆍ 2000년대 초 중반 전자지급결제대행(PG) 전문업체( 美 페이팔, 中 알리페이)가 초기 모바일 결제 시장을 선도 ㆍ 2011년 구글(구글월렛)을 비롯, 올해 애플(애플페이), 다음카카오 (카카오페이), 페이스북(상용화 예정) 등 인터넷 플랫폼 업체들이 진출 ㆍ 향후 이동통신사, 유통업체 등 다양한 업종의 기업이 진출 예상 모바일 결제 서비스의 진화 - 카드정보 입력, 공인인증서 실행, 비밀번호 입력 등의 복잡한 과정을 생략한 결제 프로세스의 단순화 로 진화 中 ㆍ 결제 수단에서 카카오페이를 선택하고 결제카드를 선택한 후 비밀 번호 입력(카카오페이) ㆍ 근거리무선통신(NFC) 기기에 스마트폰을 대고, 온라인에서 등록한 신용카드를 선택한 후 지문 인식기를 통해 결제 완료(애플페이) 진화하는 모바일 결제에 대한 고객의 보안 우려 - 모바일 결제와 전자지갑 서비스 이용에 따른 우려 사항으로 이용자들 은 보안에 대한 불안이 높음('13년 한국방송통신전파진흥원 조사) ㆍ 해킹을 당할까봐 불안하다 (56.0%), - 11 -

카드 정보를 휴대전화에 넣어두는 것이 불안하다 (59.5%) ㆍ 모바일 결제 시장이 성장하기 위해서는 보안이 무엇보다도 중요 보안 우려를 없애기 위한 사업자들의 노력 - 페이팔(203개국 1억5000만명의 이용자를 보유) ㆍ 구매자와 판매자 사이에 임시계좌를 개설하고 구매자가 송금하는 돈을 임시 계좌에 일시 보관한 후, 물품 배송이 확인되면 판매자 에 지불(Escrow 방식) ㆍ 이상거래 탐지시스템(FDS)을 운영, 정보 유출과 사고를 실시간으 로 감시 - 구글(2011년 플랫폼 업체로는 최초로 모바일 결제 시장 진출) ㆍ 모든 금융 데이터를 암호화하고, 거래에 따른 정보는 모두 보안 처리해 보안 영역에 저장 - 애플(2014년 하반기 진출, 급속한 시장 확대 中 ) ㆍ 애플페이는 터치 ID라는 지문인식 센서를 통한 생체 인증 방식을 적용하고 신용카드 번호 등 중요 데이터를 무의미한 문자 나열로 변환시키는 토큰 기술을 사용 ㆍ 결제 과정에서는 일회성 코드를 무작위로 생성해 전송함으로써 데 이터가 유출되더라도 사용할 수 없음 - 다음카카오(2014년 하반기 진출) ㆍ LG CNS와 제휴하여 금융감독원의 보안 가 군 인증을 받은 엠페 이 보안 방식을 적용 - 12 -

ㆍ 결제 때 필요한 카드 정보를 암호화해 사용자 스마트폰과 LG CNS 의 데이터센터에 각각 분리 저장 모바일 결제에 대한 국내외 보안 방침 - 해외에서는 개별 업체들이 자국 가이드라인을 참고해 자율적으로 보 안 방침을 수립 ㆍ 美 英 은 2000년대 초 중반부터, 싱가포르 獨 濠 등은 2000년 대 후반부터 온라인과 모바일 보안 관련 가이드라인을 제공 ㆍ 정보보안에 대한 책임소재는 각 업체에 있으므로 업체는 정보유출 과 사고를 막기 위해 적극적인 보안대책 마련 - 국내는 정부 주도형 보안 정책 진행 ㆍ 금융위원회가 인터넷과 모바일 금융 관련 보안 정책을 수립 운영 ㆍ 세계 모바일 결제 시장은 급성장 중이나 국내는 많은 규제 요인으 로 성장이 느리다는 지적으로 온라인 카드 결제시 공인인증서 의 무 사용 폐지 등 규제 완화로 방향이 바뀌는 분위기 <업계 끝> - 13 -

4. 기술 동향: 메모리 해킹이란? 편집자 주: 기술 동향은 매월 중요한 보안기술을 선정하여, 그 기술을 이해하는 기회를 제공하고자 마련되었다. 11월에는 메모리 해킹을 설명하였다. 메모리해킹 이란 개인정보를 암호화하는 보안 시스템을 해킹해서 계좌번호, 비밀번호 등을 노출시켜 탈취하는 행위로 메모리에 상주한 데이터를 위ㆍ변조 하는 해킹이다. 기존의 해킹 방법은 외부에서 계좌 비밀 번호를 빼내는 방법에 초점을 맞춘 반면, 메모리 해킹 방법은 비밀 프로그램을 설치하고, 컴퓨터 메 모리에 있는 비밀 번호를 빼내는 것 뿐 아니라 데이터를 조작하여 받는 계좌와 금액까지 변경할 수 있는 해킹 방법이다. 메모리 해킹 과정 - 해커가 악성코드를 웹 페이지의 악성링크를 통해 유포시킨다. - 악성코드에 감염된 피해자가 이체를 시도한다. - 악성코드가 입금계좌, 이체금액을 변조하여 이체시킨다. - 공격자가 금전을 취득한다. <그림1 메모리해킹 흐름도> - 14 -

메모리 해킹 의심 유형 - 계좌이체 정보와 보안카드 번호를 입력한 후 계좌이체 버튼을 누르면 오류 창을 띄워 이용자로 하여금 다시 정보를 입력하고 계좌이체를 시 도하게 하는 방법 ㆍ 오류 창은 금융시스템에서 생긴 진짜 오류가 아니라 메모리 해킹 에 의해 뜨는 메시지 ㆍ 인터넷 뱅킹을 이용하기 위해 설치해야 하는 프로그램이 많아서 가끔 오류가 발생하는 일이 있으므로 이용자들은 그런 종류의 하 나로 인식하고 의심 없이 진행 - 각 은행 사이트에서 보안강화를 위해 띄우는 안내창을 역으로 이용하 여 '보안강화 설정'이라는 제목의 창을 띄우고 통장 및 이체 비밀번호, 보안카드 번호를 입력하도록 유도하는 방법 ㆍ 모든 보안카드 번호를 입력할 때까지 오류를 발생시키는데 이는 메모리 해킹의 전형적인 방법 ㆍ 금융 거래를 마친 상태에서 보안강화 창이 뜨고 보안카드 번호를 입력하게 하는 경우도 있는데, 이는 정상적인 금융거래 후이므로 이용자가 의심 없이 보안카드 번호를 입력하게 유도하며 일정 시 간이 지난 후에 이 정보를 이용해서 금전을 탈취 전자금융사기 예방서비스 - 피싱, 파밍, 메모리해킹과 같은 전자금융사기 방지를 위한 대안으로 전자금융사기 예방서비스가 2013년 9월 26일부터 시행되고 있다. ㆍ 인터넷 뱅킹을 통해 300만원 이상 이체하려면 사용자는 각 금융사 인터넷 뱅킹 사이트에서 추가적인 본인 인증이 필요 - 15 -

추가 본인 인증 방식 ㆍ 단말기 지정 서비스(PC나 스마트폰을 최대 5대까지 지정) ㆍ 은행을 방문하여 OTP 발급(단, 공인인증서(재)발급 및 타행 공 인인증서 등록 시에는 추가 본인 인증 필요) ㆍ 고객 정보에 등록된 전화번호를 통한 ARS 또는 SMS 문자 인증 - 해외 체류 및 해외 거주자가 300만원 이상 이체할 경우에는 다음의 규정이 추가되었다. ㆍ 인터넷 뱅킹 이체 시 '해외 출국 확인'을 선택하여 연결되는 '법무 부 출입국 관리 사무소 시스템'을 통해 출국 사실 확인 ㆍ 공인인증서를 USB에 저장하여 출국 ㆍ 단말기 지정 서비스, 인터넷 뱅킹 전화 승인서비스 신청 고객은 서비스 해지 후 출국 <기술 끝> - 16 -

5. SECUI 뉴스 - Security Next Conference 2015 행사 세션 발표 Security Next Conference 2015 행사 세션 발표 - 11월 27일 (주)메가뉴스(지디넷코리아, 씨넷코리아)가 주최하는 Security Next Conference 2015 행사에 당사의 김경모 수석연구원이 "개발단계의 보안"이라는 주제로 세션 발표를 하여 참관객들의 이목을 집중시켰다. - 이번 행사는 다양한 정보보호 분야에서 활동하고 있는 IT 매니저와 엔지니어들이 참가하여 네트워크, 클라우드, 빅데이터, 모바일 환경에 서의 보안 이슈를 점검하고 2015년 주목해야 할 정보보호 관련 기술과 트랜드, 그리고 이를 활용한 비즈니스를 논의했다. - 以 上 - - 17 -