1. 데이터베이스(DataBase)

- 여러 사람들이 공유하고 사용할 수 있도록 통합 관리되는 데이터의 집합.

- 자료를 구조화하고, 중복을 제거하여 효율적인 처리가 가능하도록 관리됨.

- 데이터베이스 관리 시스템(DBMS : Databaase Management System_데이터베이스를 관리하고 운영하는 소프트웨어)을 통해 관리됨.

- SQL을 이용해 데이터를 조작함.

- 조직의 운영에 필요한 정보를 저장하고 있기에 보안에서 중요한 요소 중 하나임.

통합된 데이터
(Intergrated Data)		 - 데이터가 중복되지 않음
- 효율성 문제로 인해 일부 중복을 허용하기도 함
저장된 데이터
(Stored Data)		 - 컴퓨터가 접근할 수 있는 저장매체에 저장된 데이터 집합
운영 데이터
(Operational Data)		 - 조직 고유의 기능을 수행하기 위해 반드시 유지해야하는 데이터
공용 데이터
(Shared Data)		 - 여러 응용 시스템들이 공동으로 소유하고 유지하는 자료

[캡쳐 1] https://coding-factory.tistory.com/77

2. 특징

실시간 접근성
(Real-Time Accessibility)		 - 수시적이고 비정형적인 질의(조회)에 대하여 실시간 처리에 의한 응답이 가능해야 함.
계속적인 변화
(Continuous Evolution)		 - 새로운 데이터의 삽입(Insert),삭제(Delete),갱신(Update)로 항상 최신의 데이터를 유지.
동시공용
(Concurrent Sharing)		 - 데이터베이스는 서로 다른 업무 또는 여러 사용자에게 동시에 공유.
내용에 의한 참조
(Content Reference)		 - 사용자가 요구하는 데이터 내용으로 데이터를 찾음.

3. SQL (Structured Query Language)

- 데이터베이스에서 데이터를 정의, 조작, 제어하기 위해 사용하는 언어

- DDL(Data Definition Language) : 데이터 정의어

- DML(Data Manipulation Language) : 데이터 조작어

- DCL(Data Control Language) : 데이터 제어어

구분 설명 명령어 설명
DDL - 데이터베이스나 테이블 등을 생성, 삭제하거나 그 구조를 변경하기 위한 명령어 CREATE - 데이터베이스와 테이블 생성
ALTER - 데이터베이스와 테이블의 내용 수정
DROP - 데이터베이스와 테이블 삭제
DML - 데이터베이스에 저장된 데이터를 처리하거나 조회, 검색하기 위한 명령어 INSERT - 테이블에 새로운 레코드 추가
UPDATE - 테이블의 레코드 내용 수정
DELETE - 테이블의 레코드 삭제
SELECT - 테이블의 레코드 선택
DCL - 데이터베이스에 저장된 데이터를 관리하기 위하여 데이터의 보안성 및 무결성 등을 제어하기 위한 명령어 GRANT - 권한 부여
REVOKE - 권한 회수

 

- 참고

 

코딩교육 티씨피스쿨

4차산업혁명, 코딩교육, 소프트웨어교육, 코딩기초, SW코딩, 기초코딩부터 자바 파이썬 등

tcpschool.com

제16조(개인정보의 수집 제한)

① 개인정보처리자는 제15조제1항 각 호의 어느 하나에 해당하여 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.

② 개인정보처리자는 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리고 개인정보를 수집하여야 한다. <신설 2013. 8. 6.>

③ 개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다. <개정 2013. 8. 6.>

'개인정보보호(법) > 개인정보보호법' 카테고리의 다른 글

개인정보보호법 제18조(개인정보의 목적 외 이용ㆍ제공 제한)  (1) 2022.09.01
개인정보보호법 제17조(개인정보의 제공)  (0) 2022.08.28
개인정보보호법 제15조(개인정보의 수집ㆍ이용)  (0) 2022.08.24
개인정보보호법 제4조(정보주체의 권리)  (0) 2022.08.20
개인정보보호법 제3조(개인정보 보호 원칙)  (0) 2022.08.19

1. 사회공학기법 유형

[캡쳐 1] 사회공학 공격 분류 (https://blog.naver.com/isacastudent/150187546768)

분류 명칭 설명
인간 기반
(Human Based)		 직접 접근 - 권력, 동정심, 가장으로 대상에 접근하여 정보 획득
도청/훔쳐보기 - 도청 및 어깨넘어로 훔쳐보아 정보획득
휴지통 뒤지기 - 공격 대상과 관련된 문서들을 휴지통에서 수거하여 유용한 정보들을 수집
프리텍스팅
(Pretexting)		 - 가장 많이 이용하는 공격 유형 중 하나
- 신분을 조작하거나 적당한 시나리오를 꾸며내 피해자가 스스로 가해자가 원하는 행동을 하게 만듦
테일 게이트, 피기배킹
(Taligating), (Piggybacking)		 - 제한된 구역에 대한 출입 권한이 없는 사람이 앞사람을 따라 진입하는 것
쿼드 프로 쿼
(quid pro quo)		 - ‘무엇을 위한 무엇’이라는 뜻으로, 대상, 보상 또는 보복의 의미로 사용
- (…에 대한) 보상으로 주는 것 '네가 이걸 해주면 나는 저걸 줄게' 라는 식의 물건 혹은 서비스의 교환
컴퓨터 기반
(Computer Based)		 - 피싱
(Phishing)		 - 피싱 사이트를 통해 정보 획득
- 파밍
(Pharming)		 - DNS를 속여 사용자가 진짜 사이트로 오인하도록 유도하여 정보 획득
- 스미싱
(Smishing)		 - 악성 URL이나 앱이 포함된 문자를 보내 설치 및 클릭 유도
- 악성 소프트웨어
(Malware)		 - 메일, 감염된 프로그램 등을 전송하여 악성 소프트웨어 설치 유도
- 포렌식
(Forensic)		 - 대상의 PC, 노트북 등 분석
물리적 수법 - 베이팅
(Baiting)		 - 피해자를 특정해 놓지 않고 누군가는 걸리라는 방식
- 해킹 수법이라는 생각이 들지 않는 방법으로 미끼를 여기저기 뿌리는 방식

2. 사회공학기법 대응

구분 설명
조직적 - 주기적 보안 교육
기술적 - 보안솔루션 적용(DLP, DRM 등)
- 접근제어(MAC,DAC,RBAC,NAC)
- 2 Factor 인증

 

'취약점 > Social Engineering' 카테고리의 다른 글

Browser in the Browser (BitB)  (0) 2023.04.20
랜섬웨어 그룹 사칭 피싱메일  (0) 2023.04.03
심 스와핑 (SIM Swapping)  (0) 2023.02.21
BEC 공격과 EAC 공격  (0) 2023.02.04
사회공학기법 #1 개요  (0) 2022.08.24
침해 사고 정보
일자 2017/06/30
침해 정보 개인정보_스피어피싱 (이름, 이메일, 전화번호, 거래건수, 거래량, 거래금액)
개인정보_사전대입공격 (홈페이지 ID, 패스워드)
특징 원격제어형 악성코드가 포함된 이력서 파일을 첨부한 스피어피싱
피해크기 3만명
침해 사고 분석
경위 해커는 빗썸 직원 채용기간 중 A씨에게 스피어피싱 메일 발송
* 스피어피싱: 특정 대상이나 기업을 상대로 정상적인 메일로 가장하여 악성코드를 실행하도록 하는 공격 유형
 
② 해당 메일에는 원격제어형 악성코드가 포함되어 있었으며, 이를 실행한 A씨의 PC가 악성코드에 감염됨
 
해커는 A씨가 B씨로부터 이메일로 전송받아 저장 중이던 개인정보파일(2017년 회원관리 정책) 등 다수의 파일을 외부로 유출
 
해커는 유출한 파일을 이용해 사전대입공격을 시도, 무단 출금을 시도한 것으로 판단됨
* 사전대입공격: 공격자가 미리 준비한 ID/PW를 하나씩 모두 대입하는 공격 유형
원인 방통위와 KISA의 현장조사 결과 하기 사항을 소홀 하였으며, 위반한 것으로 결론
- 개인정보처리시스템에 접속한 IP등을 재분석하여 불법적인 개인정보 유출 시도 탐지를 소홀히 한 점
- 개인정보 파일을 암호화하지 않고 개인용 컴퓨터에 저장 한 점
- 백신 소프트웨어 업데이트를 실시하지 않은 점 등 다수 위반
조치 ① 유출된 파일과, 무단 출금 사고로 민원을 제시한 사용자의 접속 기록 조사 결과
   3,434IP에서 약 2백만 번의 사전대입공격을 수행하였으며,
   이 중 4,981개 계정은 로그인 성공, 266개 계정은 로그인 후 출금 로그가 확인됨
 
② 방통위는 규정 미준수로 인한 취약점이 해킹에 직·간접적으로 악용된 점
   해킹으로 인해 이용자 개인정보가 유출되고 금전적 피해가 발생한 점 등을 고려해
   - 과징금 4,350만원 / 과태료 1,500만원 / 책임자 징계권고
     위반행위 중지 및 재발방지대책 수립 시정 명령 / 시정명령 처분사실 공표 등 처분
 
사용자 A는 빗썸을 상대로 손해배상 청구하였으나, 빗썸에 민사 보상 책임은 없다 판결
- 사용자 로그인 시 메시지로 로그인 알람이 발생하는데, A씨의 행위인지 해커의 행위인지 불확실
- 추가적으로, A씨 본인 내지는 적어도 계정 접속 등의 권한을 위임받은 사람임을 확인하는 절차를 거쳤다고 보는 것이 타당하다는 입장
- A의 정보가 유출된 파일에 포함되어 있을 가능성이 있다 할지라도,
사전대입공격으로 해킹한 4981개의 계정에 A씨의 계정이 있다고 확신할 수 없다
- 빗썸이 개인정보를 유출당한 회원들에게 비밀번호 변경, 출금 제한 조치 등의 적절한 후속조치를 취하였다.

 빗썸은 피해를 입은 사용자에게 1인당 10만원의 보상금 지급
실제 피해를 입은 사용자에게는 전액 보상하겠다고 밝힘
기타 - 빗썸은 개인정보 유출 고객들에게 발송한 이메일에도 유출된 사람들의 개인정보가 담긴 액셀문서를 발송한 것으로 알려져 2차피해가 우려됨.
추가적으로, 누구든지 열람 가능한 페이스트빈에 노출되어있었음.
 
- 한글워드 EPS 취약점을 이용해 악성코드 삽입
EPS(Encapsulated PostScript)는 어도비(Adobe)에서 만든 포스트스크립트(PostScript) 프로그래밍 언어를 이용해 그래픽 이미지를 표현하는 파일
EPS를 통해 각종 고화질 벡터 이미지를 표현할 수 있어 한글 프로그램에서는 문서에 EPS 이미지를 포함하거나 볼 수 있는 기능을 제공.
악성 EPS 파일은 실행 방식 및 기능에 따라 EPS 취약점을 이용한 익스플로잇으로 쉘코드를 실행하거나 정상적인 문법 패턴을 이용해 악성 파일을 생성.
 
- 빗썸이 위반한 사항
개인정보 보호조치 (접근통제) §28①2, 시행령§15②2, 고시 §4⑤
- 개인정보처리시스템 침입차단 및 탐지시스템 설치·운영 소홀
- 침입차단시스템 및 침입탐지시스템을 설치·운영하고 있었으나, 시스템에 접속한 IP 주소 재분석 미실시
- ‘17. 4. 26.부터 ‘17. 7. 5.까지 해킹 신고 등이 92건 접수되었음에도 불구하고 사전대입 공격으로 추정되는 시도(약 2백만번)에 대하여 탐지하지 못함.

② 개인정보 보호조치 (암호화) 법 §28①제4호, 시행령§15④제4호, 고시 §6④
-  개인용PC에 이용자개인정보(35,105건)를 암호화하지 않고 저장

③ 개인정보 보호조치 (백신 소프트웨어 설치·운영) 법 §28①제5호, 시행령§15⑤, 고시 §7
- 업무를 처리하는 개인용PC에 설치된 한글 프로그램 등에 대해 백신 소프트웨어 업데이트 미실시

④ 개인정보 보호조치 (기타 보호조치) 법 §28①제6호, 시행령§15, 고시 §9②
- 개인정보가 복사된 외부 저장매체 등을 파기하고, USB 또는 파일서버를 통해 개인정보파일을 전달한 기록 등을 남기지 않음
- 시스템 담당자가 시스템에서 개인정보 파일 생성 시 안전한 관리를 위한 보호조치 소홀

 

- 참고

 

방송통신위원회 누리집 > 알림마당 > 보도자료 상세보기(가상통화 거래사이트 <빗썸> 개인정보

□ 방송통신위원회(위원장 이효성, 이하 ‘방통위‘)는 12월 12일(화) 전체회의를 개최하여 가상통화 거래사이트(빗썸)를 운영하면서 이용자의 개인정보를 유출한 ㈜비티씨코리아닷컴에 대한 조

kcc.go.kr

 

'침해사고 > 개인정보' 카테고리의 다른 글

서울대학교병원 개인정보 유출  (0) 2023.05.10
인터파크 개인정보 유출  (0) 2023.04.16
한국남부발전 개인정보 유출  (0) 2022.08.31
페이스북 개인정보 유출  (0) 2022.07.26
카드 3사 개인정보 유출  (0) 2022.07.16

제15조(개인정보의 수집ㆍ이용) 

① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.

② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보의 수집ㆍ이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

[캡쳐 1] 작성 예시 (https://m.blog.naver.com/dongwoo0313/222307232316)


③ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다. <신설 2020. 2. 4.>

'개인정보보호(법) > 개인정보보호법' 카테고리의 다른 글

개인정보보호법 제17조(개인정보의 제공)  (0) 2022.08.28
개인정보보호법 제16조(개인정보의 수집 제한)  (0) 2022.08.25
개인정보보호법 제4조(정보주체의 권리)  (0) 2022.08.20
개인정보보호법 제3조(개인정보 보호 원칙)  (0) 2022.08.19
개인정보보호법 제2조(정의)  (0) 2022.08.17

1. 사회공학(Social Engineering)이란

[캡쳐 1] 사회공학 공격 분류 (https://blog.naver.com/isacastudent/150187546768)

- 기술적인 방법이 아닌 사람들 간의 신뢰를 바탕으로 사람을 속여 정보를 획득하는 기법.

- 케빈 미트닉 : 기업 정보 보안에 있어서 가장 큰 위협은 컴퓨터 바이러스, 패치가 적용되지 않은 중요한 프로그램이나 잘못 설정된 방화벽이 아니다. 가장 큰 위협은 바로 당신이다.

2. 공격 흐름

정보 수집하기

- 공격 대상과 관련된 사적, 공적 정보 등 관련된 다양한 정보를 수집.

- 쓰레기통 뒤지기, 파쇄된 문서 맞추기, SNS 등을 통해 정보 수집.

의사소통

- ① 단계에서 얻은 정보를 바탕으로 공격 대상과 관계 형성 및 추가 정보 획득.

- 공격 대상과 신뢰를 형성하고 경계심을 줄임.

도출

- ② 단계에서 형성한 신뢰를 통해 공격자가 원하는 정보나 목표를 이루기 위해 공격 대상에게 요청.

프리텍스팅

- 공격 대상이 공격자의 요청에 응할 경우 피해가 발생.

2.1) 사회공학 사이클

- 케빈 미트닉에 의한 4단계 분류

[캡쳐 2] 사회공학 사이클 (https://blog.naver.com/isacastudent/150187546768)

1단계(research)

공격자는 목표 기업의 사내 보안 규정에 휴대용 저장 매체(ex: USB 메모리) 보안에 관련된 사항이 없으며 USB 메모리 사용에 대한 규정이 없다는 것을 발견하였다.

2단계(developing trust)

공격자는 최근에 나온 USB 3.0 메모리를 구매한 후 백도어를 생성하는 악성 코드를 삽입한다. 공격자는 USB 3.0 메모리를 퇴근 시간에 목표 회사의 현관에 떨어뜨려 놓는다.

3단계(exploiting trust)

보안 교육을 제대로 받지 않은 신입 사원이 마침 업무에 필요한 USB 3.0 메모리를 발견하고 호기심과 함께 자신의 업무용 컴퓨터에 연결을 해 본다. 컴퓨터가 USB 3.0 메모리를 인식함과 동시에 해당 컴퓨터에는 백도어가 자동으로 설치된다.

4단계(utilizing trust)

공격자는 백도어가 설치된 컴퓨터에 수시로 접속하여 정보를 빼내거나 사내 네트워크에 접속하여 또 다른 취약점이 있는지 확인한다.

'취약점 > Social Engineering' 카테고리의 다른 글

Browser in the Browser (BitB)  (0) 2023.04.20
랜섬웨어 그룹 사칭 피싱메일  (0) 2023.04.03
심 스와핑 (SIM Swapping)  (0) 2023.02.21
BEC 공격과 EAC 공격  (0) 2023.02.04
사회공학기법 #2 유형 및 대응  (1) 2022.08.25

1. 랜섬웨어(RansomWare)란?

[캡쳐 1] 랜섬웨어 (https://ko.wikipedia.org/wiki/%EB%9E%9C%EC%84%AC%EC%9B%A8%EC%96%B4)

- Ransom(몸값) + Ware(제품) = RansomWare

- 감염시 컴퓨터 시스템에 접근이 제한되거나 저장된 파일이 암호화되어 사용할 수 없게 되며, 해커는 이에 대한 대가로 금품을 요구

- 즉, 사용자의 동의 없이 시스템에 설치되어서 무단으로 사용자의 파일을 모두 암호화하여 인질로 잡고 금전을 요구하는 악성 프로그램

2. 동작 원리

뮤텍스 생성 - 최초 실행시 중복 암호화를 방지하기 위해 뮤텍스 생성
공격 대상 파일 검색 - 다소 차이가 있으나 특정 경로, 확장자명, 파일명 등 암호화에서 제외되는 항목이 존재
암호화 - 단방향(암호화 후 복구불가), 양방향(암복호화 가능) 암호화를 수행
파일 이동 - 피해자에게 공격 사실을 알리기 위한 목적으로 파일이동, 랜섬노트 생성
감염 안내 및 복구 방법 메시지 출력 - 파일 암호화 사실과 복구 방법이 작성된 안내창을 띄움

3. 감염 경로

P2P, 블로그 등
출처가 불명확한 소프트웨어 및
메일 등의 첨부파일		 - 상용 소프트웨어에 대한 크랙/무료 버전 다운로드, 메일에 첨부파일 등으로 클릭 유도
- 정상 다운로드 사이트로 위장한 피싱 사이트 혹은 감염된 사이트일 가능성
- 불법 소프트웨어 다운로드 후 실행 시 랜섬웨어 감염
웹사이트 접속 - 이미 감염된 혹은 오타 등에 의해 잘못된 사이트로 접속
- 사용자 접속 시 공격자가 랜섬웨어 유포를 위해 만들어둔 사이트로 리다이렉트
외부 저장 장치 - 랜섬웨어에 감염된 혹은 유포를 위한 USB, 외장하드 등을 PC에 연결 시 랜섬웨어 유포
보안 패치가 부족한 PC 환경 - OS, 백신 등 최신 패치가 되어있지 않을 경우 랜섬웨어 감염 가능성이 높음
공유 폴더 - PC의 특정 폴더를 다른 사용자와 공유하여 사용하는 경우
- 공유폴더에 랜섬웨어 감염 파일이 존재한다면 감염 가능

4. 대응 방안

정기적 데이터 백업 - 물리적으로 분리된 PC 또는 클라우드 등에 중요자료에 대한 백업을 생성
최신 버전 업데이트 - 소프트웨어, 백신, OS 등을 최신 버전으로 업데이트
불명확한 출처에 대한 주의 - 이메일, URL, P2P, 신뢰할 수 없는 사이트 등 불명확한 출처에서 파일 다운 및 실행 주의
PC 점검 - PC의 보안상태 점검
보안 솔루션 도입 - 보안 솔루션(Endpoint, Anti-Spam, IPS 등), 2단계 인증, 네트워크 모니터링 등
보안 교육 - 사용자들이 랜섬웨어뿐만 아니라 다양한 위협에 대해 경각심을 가질 수 있도록 교육 진행
네트워크 차단 - 랜섬웨어에 감염되었을 경우 전파의 위험이 있으므로 랜선 제거, 네트워크 공유 해제 등 격리 조치
외부 저장 장치 통제 - USB 자동실행 기능 비활성화, 보안성 검토 후 사용
랜섬 지불 거부/지양 - 데이터를 돌려받는 보장이 없으며, 공격 시도 증가 초래
KISA - KISA에서 제공하는 랜섬웨어 복구 솔루션 혹은 랜섬웨어 솔루션 무상지원 사업 이용

 

'랜섬웨어 > 기본' 카테고리의 다른 글

서비스형 랜섬웨어(RaaS)  (1) 2022.09.18

 제4조(정보주체의 권리)

정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다.

1. 개인정보의 처리에 관한 정보를 제공받을 권리

2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리

3. 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다. 이하 같다)을 요구할 권리

4. 개인정보의 처리 정지, 정정ㆍ삭제 및 파기를 요구할 권리

5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리

'개인정보보호(법) > 개인정보보호법' 카테고리의 다른 글

개인정보보호법 제17조(개인정보의 제공)  (0) 2022.08.28
개인정보보호법 제16조(개인정보의 수집 제한)  (0) 2022.08.25
개인정보보호법 제15조(개인정보의 수집ㆍ이용)  (0) 2022.08.24
개인정보보호법 제3조(개인정보 보호 원칙)  (0) 2022.08.19
개인정보보호법 제2조(정의)  (0) 2022.08.17

+ Recent posts

티스토리툴바