정보보호 뉴스레터2016年

11月

롯데임직원의보안인식제고와

개인정보보호활동강화를위하여정보보호위원회는

매월첫째주월요일을

롯데그룹정보보호의날로지정하여운영하고있습니다.

2016년 11월그룹정보보호의날을맞이하여정보보호뉴스레터를배포하오니

많은관심과실질적인예방을위한활동부탁드립니다.

매월첫째주월요일은롯데그룹정보보호의날!

Contents

무선공유기를 이용한 개인정보 탈취1

무선 인터넷 보안 취약점들2

10月 정보보호 이슈

무선 인터넷 대표 사고 사례3

무선 인터넷 안전 이용 7대 수칙4

Security TIP!TIP!TIP!5

11月 정보보호 Report – 무선 인터넷

정보보호 위원회 활동6

정보보호 활동 및 교육

정보보호 교육 및 세미나 안내7

“‘해커 먹잇감’ 무선공유기…스마트폰 개인정보 ‘쓱’”

1

4

10月정보보호이슈 –무선공유기를이용한개인정보탈취

해킹된 무선공유기를 통해 와이파이에 접속한 스마트폰

만 3천여 대가 피해를 당함

1

No 대응 방안

2

해커

공유기 스마트폰

문자 메시지서버

①공유기 해킹 ②악성앱유포③문자 메시지

유출

포털 사이트

④문자 메시지탈취

⑤탈취 문자 메시지로회원가입(휴대전화 인증)

SMS

공유기 접속 비밀번호 설정

※ 초기 상태로 비밀번호 설정 금지

공유기 주기적

업데이트 시행

숫자+영문자+특수문자

3종 조합 8자리 이상

또는

2종 조합 10자리 이상

Upgrade

“물리적∙기술적∙관리적으로 나뉜 무선 보안 취약점들”

2

5

물리적취약점

기술적취약점

관리적취약점

유형 문제점

11月정보보호 Report –① 무선 인터넷보안취약점들

공유기 외부 노출로 인한도난 및 파손 가능성

네트워크, 전원 케이블 노출로 인한고의적인 장애 발생 가능성

강한 출력 신호를 미끼로 연결을유도하는 가짜 AP 설치 용이

공유기에 접속한 무선기기에 네트워크서비스를 막는 서비스 공격 시도 용이

• 쉬운 비밀번호 설정

• 비밀번호 미 설정SSID 숨김 기능 미 설정 인증방식, 관리자

페이지 접근통제 미흡

가짜 무선접속장치

Pw : 정보보호 뉴스레터

MOBILE 11

MOBILE 1234

wifi1234

※ SSID : Wi-Fi기기에서 무선을검색하여 표시되는 이름

“공격도구로 이용되는 와이파이”

3

6

11月정보보호 Report –②무선인터넷대표 보안사고사례

A씨는 커피숍에서 카페 이름으로 된

와이파이에 접속하여 은행 업무 등

개인적인 일을 수행함

하지만 A씨가 접속한 와이파이는 해커가 설치한

가짜 와이파이 였고, 이 와이파이를 통해

A씨의 중요정보가 유출 됨

B씨는 스마트폰을 통해 비밀번호 없이

사용할 수 있게 공개된 와이파이에 접속함

접속 후 어플을 업그레이드하라는 창이 나타나

B씨는 확인을 눌렀고 그 순간 다른 홈페이지로

리다이렉션 되면서 악성코드가 설치됨

네트워크 담당 C씨는 회사에서

사용중인 무선 공유기 관리를 편하게

하기 위해 비밀번호를 1234567로 설정함

해커는 무차별 대입 공격을 통해 쉽게 무선

공유기 비밀번호를 풀었고 해킹된 무선

공유기를 통해 회사 기밀 정보를 탈취함

비밀번호

기밀정보

PW : 1234567

ID: news12

Pw: newsletter11

Wifi : cafe12

공개된 와이파이를 이용한 스팸메일 발송 및 악성코드 유포

가짜 와이파이를 통한 개인정보 유출 사고

취약한 비밀번호 설정으로 인한 공유기 해킹

어플업그레이드

악성코드다운로드

Free Wi-Fi비밀번호설정 없음

“자동차, 항공기까지 피해 대상이 넓어진 무선 인터넷 해킹”

3

7

11月정보보호 Report –②무선인터넷대표 보안사고사례

한 보안 업체에서 주요 항공사들이 사용하는

비행 위성통신장비 시스템을 분석하여 무선랜

서비스를 악용할 수 있는 취약점을 발견함

이 보안 업체는 해당 취약점을 이용하여

비행기의 안전시스템의 오작동을 일으켜

승객들의 안전에 큰 위협을 줄 수 있음을 경고함

리우 올림픽에서 관람객들의 편의를 위해

브라질 정부는 주요 경기장 주변에

4500여 개의 와이파이를 설치함

해커들은 이를 악용하여 쇼핑몰, 호텔, 공항 등

시내 곳곳에 가짜 와이파이를 설치하여

관광객들의 개인정보를 탈취함

해커들이 비밀번호가 허술하거나 비밀번호를

설정하지 않은 취약한 공유기에 악성코드를

감염시켜 분산 서비스 거부 공격을 시도함

이동통신회사인 S사와 L사는 해커의 분산

서비스 거부 공격을 통해 약 1시간 동안

인터넷망이 마비되어 큰 피해가 발생함

S사 서버 L사 서버

인터넷 망

취약점!

악성코드전파

무선 해킹을 통한 자동차, 항공기 해킹

공유기를 이용한 이동통신사 분산서비스 거부 공격

리우 올림픽 관광객을 노린 가짜 와이파이 사건

4

8

11月정보보호 Report –③ 무선 인터넷안전이용 7대수칙

“7대 안전 수칙 준수하여 보안 사고 예방하자”

무선공유기사용시보안기능설정1 공유기 설정에서 보안 설정을 WPA2-AES로 설정

무선공유기패스워드는 8자리이상으로설정2 특수기호, 영문자 등을 조합하여 비밀번호로 설정

사용하지않는무선공유기는꺼놓기3 해커에게 탈취당할 가능성 제거

제공자가불분명한무선와이파이이용하지않기4 해킹된 와이파이 접속으로 인한 악성코드 감염방지

무선와이파이에자동접속기능사용하지않기5 가짜 와이파이 자동 접속 방지

보안설정없는무선랜으로민감한서비스사용하지않기6 무분별한 와이파이 접속으로 인한 정보 유출 방지

무선공유기의 SSID를 유추불가능하도록변경하고

숨김기능설정7 해커에 의한 무선 공유기 해킹 방지

SSID 알림 기능

사용함사용하지않음

???

ID, 패스워드

무선 보안 설정

인증방법

암호화방법

무선네트워크 설정

자동 접속

PW: @1Q2W3E

아이폰 : 설정 Wi-Fi 네트워크 연결 요청 해제

5

9

“ 스마트폰(안드로이드, 아이폰) 와이파이 자동 연결 해제 방법”

Security TIP! TIP! TIP!

안드로이드 : 설정 연결 Wi-Fi 네트워크 선택 후 지우기 클릭

안드로이드의 경우 일괄 자동 접속 해지 방법이 없으므로

자동 접속을 해제하고자 하는 네트워크를 따로 선택 후 해제 해야 함

정보보호위원회활동6

1. 2016년 10월 정보보호 실무위원회

일 시 : 2016년 10월 20일(木), 15:00 ~ 18:00

장 소 : 롯데시네마 월드타워관 11층 강의실

참석자 : 계열사 정보보호 부서장 및 담당자 55명 (39개 社)

내 용 : 정보보호 수준진단 이행 현황 공유

침해사고 대응 훈련 결과

베트남 수준진단 결과

사별 수준진단 이행 고충 공유

‘17년 정보보호 활동 계획 및 점검 방안 의견 공유

6

7 정보보호교육및세미나안내

1) [KISA 아카데미] 정보통신 기반시설 정보보호 업무실무

구분 세부내용

교육명 정보통신 기반시설 정보보호 업무실무(6차)

교육일시 2016년 11월 02일(수) ~ 04일(금) (21시간/3일)

교육장소 사이버보안인재센터

교육대상 주요정보통신기반시설 정보보호 담당자/기업체 정보보호 담당자

URL http://academy.kisa.or.kr/main.kisa

11

*수강료 무료

2) [KISA 아카데미] 해킹방어를 위한 시큐어코딩

구분 세부내용

교육명 해킹방어를 위한 시큐어코딩(6차)

교육일시 2016년 11월 09일(수) ~11일(금)(24시간/3일)

교육장소 사이버보안인재센터

교육대상 자바 기반 보안 코딩 구현/관리 담당자, 소프트웨어 개발자

URL http://academy.kisa.or.kr/main.kisa

*수강료 무료

발행처 : 롯데그룹 정보보호위원회

Homepage: https://secupolicy.net

E-mail: secu_policy@lotte.net

Tel: (02) – 2626-5946

정보보호뉴스레터