Media Log


보이스 피싱이 활개를 치고 있습니다. 그런데 이제 휴대폰을 사용하는 대부분의 사람들이 스마트폰으로 바꾸자 스마트폰 문자를 통한 피싱으로 발전하고 있습니다.  이전에 한번 올린 알고도 속고마는 신종 보이스 피싱 주의도 SMS를 통한 피싱 중의 하나입니다.


보이스 피싱이 전화 음성을 통해 낚시질을 하기 때문에 보이스 피싱이라고 한다면 새로운 유형인 SMS를 통한 피싱은 스미싱(Smishing)이라고 합니다. 스미싱(Smishing)은 문자 메시지를 뜻하는 SMS와 피싱을 뜻하는 Phising의 합성어입니다. 즉 문자로 낚시질 한다는 뜻입니다.


보이스 피싱이나 SMS 피싱은 모두 금융 사기를 목적으로 합니다. 사용자에게 돈을 뜯어가려고 하는 짓이지요.  정당하게 서비스를 제공하고 그에 대한 댓가를 지불한다면 문제가 되지 않을텐데 사용자가 모르는 사이에 돈을 빼가기 때문에 더욱 문제가 됩니다.



새로운 문자(SMS) 피싱 스미싱 유형


보이스 피싱에 이은 SMS를 통한 스미싱은 다음과 같은 것들이 있습니다. 두 가지 모두 쉽게 하는 행동 때문에 속아 넘어가게 됩니다. 


1.  소액 결제가 되었다는 문구로 낚는 방법

문자 메시지로 소액이 청구되었다고 속이는 방법입니다.   알고도 속고마는 신종 보이스 피싱 주의에서 소개한 피싱 방법입니다. 




깜짝 놀라 전화할 경우  금융 결제에 필요한 보안 코드를 물어보고, 그에 답하는 순간 결제가 되 버립니다.  절대로 보안 코드를 알려 주면 안됩니다. 



2. 동영상이나 할인 쿠폰과 같은 낚시성 문구로 유혹하는 경우

이번 건은 조금 더 악질적으로 이용될 수 있으므로 주의가 더 필요한 문자 피싱입니다.  보이스 피싱의 경우 속더라도 한번 속으면 끝이지만 이 방법은 계속해서 문제가 될 수 있는 피싱입니다.  그래서 더욱 주의가 필요합니다.


요즘 경제가 좋지 않다보니 물건을 살 때도 이것 저것 따지게 되고,  조금 더 저렴하게 구매하기 위해 가격 비교 사이트도 돌아다니고, 할인이 되는 할인 쿠폰이 없나 찾게 됩니다.


이런 심리를 이용한 방법입니다.




위와 같이 문자가 보내집니다.


요즘 우리 나라에 커피 마시는 인구가 늘어 수 많은 커피 전문점들이 생기고 있습니다. 그 중에서 스타벅스와 함께 카페베네가 가장 많은 매장을 가지고 있습니다.


이 문자 메시지는 카페베네에서 보낸 문자가 아닌데 교모하게 카페베네에서 보낸 것처럼 위장하여 어플을 설치하면 커플 커피 2잔을 준다고 합니다.  이럴 때 여러 분은 어떤 반응을 할까요?    


현명하신 분들이야 이게 웬 낚시질이야하면서 무시하겠지만 요즘같은 불경기에 공짜로 커피 2잔이 생기는데 하면서 어플을 설치하는 분들이 계실 겁니다.  그러는 순간 SMS 문자 피싱에 낚이게 됩니다. 


저기에 나온 문자의 전화 번호는 카페베네의 전화 번호가 맞을까요?

한번 검색해 보는 분들도 있을 겁니다.

카페베네 홈페이지에 가보니 02-3438-6888이네요.  중간에  1자리만 틀리니 발견하기 쉽지 않습니다.

그런데 문자 메세지 보낼 때 전화 번호도 바꿀 수 있다는 함정도 있습니다. 맘만 먹으면 카페베네 전화 번호로도 보낼 수 있다는 것이죠.


또 자주 먹게 되는 피자나 식음료  할인 쿠폰을 보내 주는 어플이라 설치하라면 적지 않은 분들이 설치할 겁니다.


또 다른 방법으로 호기심이 생기게하는 자료라며 링크를 보내 주는 경우도 많습니다.  ***의 화보짐, *** 동영상 이라고 링크를 보내주며 설치하라고하면 많은 분들 중의 몇 분은 속아서 설치하게 될 겁니다.



SMS 문자 피싱(스미싱) 어플을 설치하면 어떤 일이 일어날까?


실수 또는 호기심 때문에 SMS 문자 메시지로온 어플을 설치하면 어떤 일이 발생할까요? 


이런 어플들이 할인 쿠폰과 같은 것을 줄리 만무하죠.  프로그램을 설치한 순간 개인 정보를 훔쳐가는 악성 프로그램이 설치되는 것입니다.  휴대폰에 있는 개인 정보, 금융 정보가 그대로 해커에게 넘어가게 되는 것입니다.


이렇게 넘어간 개인 정보를 이용하여 해커가 어떤 짓을 할지 아무도 모릅니다. 하지만 내 개인 정보를 이용해서 좋은 일을 하지는 않겠지요.



SMS 문자 피싱을 이용해 악성 프로그램이 설치되는 것을 맊는 방법


뭐니 뭐니 해도 사용자가 주의하는 수 밖에 없습니다.  문자 메시지가 오면 이게 낚시질인지 실제 문자인지 잘 파악해야 합니다.


1. 불법적인 프로그램 설치되지 않게 보안 설정하기

이런 불법적인 프로그램은 정상적인 경로로 프로그램이 배포되지 않습니다.  아이폰, 아이패드와 같이 IOS용 프로그램들은 애플의 앱스토어를 통해 프로그램을 설치해야합니다. 하지만 갤럭시 S3, 갤럭시 노트 2, 옵티머스 G 등 안드로이드 스마트폰은 유통 경로를 제한하지 않기 때문에 누구나 임의로 배포할 수 있습니다.  이런 임의로 배포한 프로그램이 설치되지 않도록 설정합니다.


알 수 없는 출처의 프로그램이 설치되지 않게 하는 방법은 간단합니다.


설정의 보안에서 "알 수 없는 출처"를 체크 해제하면 됩니다.





알 수 없는 출처를 체크하면 아래와 같이 프로그램이 설치되지 않게 막습니다.   



위에 있는 어플은 국민은행 모바일 홈페이지에서 배포하는 어플을 설치할 경우에 나타나는 경고 메시지입니다.  구글 스토어에서 정식 배포하는게 아니라 자사 홈페이지를 통해 배포하기 때문에 인증을 저런 메시지가 나옵니다. 


설치를 하려면 설정을 눌러 알 수 없는 출처를 체크하면 됩니다.


금융 사기를 막아야할 금융 기관에서 오히려 스미싱을 유도하게 알 수 없는 출처를 체크하도록 하고 있으니 아연할 따름입니다.  꼭 믿을 수 있다고 생각된다면 그때 한번 켜고 다시 끄십시오.  


대부분의 사용자가 1번 켜면 불편하다고 끄지 않기 때문에 금융 사고가 납니다.



알려진 어플 스토어만 이용하기 - Google Play, T store, 올레 스토어, U+ 스토어 등만 이용하기





가장 안전한 방법은 알려진 앱 스토어만 이용하는 것입니다. 구글 스토어인 Google Play, SKT에서 운영하는 T Store, KT의 Olleh 마켓, LGU+의 U+ 스토어 등 공식적인 스토어에서 유통되는 어플만 설치하는 것입니다. 


클릭하면 엉뚱한 페이지로 연결되어 프로그램을 다운로드 받거나, 누르는 순간 다운로드되는 프로그램은 반드시 의심을 한번 해 보고 가급적 설치를 하지 않는게 좋습니다.  출처가 명확하고 안심할 수 있다고 확신할 경우에만 설치하십시오.




submit

연인 또는 부부 사이에 휴대폰은 서로의 마음을 전하는 도구이기도 하지만 때로는 상대방을 감시하는 도구가 되기도 합니다.     상대방이 누구와 통화를 하고, 어떤 문자 메시지를 주고 받을까 늘 관심이 가기 때문이죠.  인터넷 글을 보다보면 상대방의 전화 통화 내역이나 문자 메시지, 카톡 메시지를 보고 불륜 사실을 알아채기도 합니다.  


휴대폰의 분실이 있을시를 대비해 비밀 번호와 같은 락을 거는 경우가 있는데 비밀 번호를 알려주느냐 마느냐로 티격 태격하기도 합니다.  비밀 번호를 거는 이유가 개인의 사생활 보호를 위해서인데 연인이나 가족에게도 감추고 싶은 비밀이 있을 수도 있는데 상대방은 그 비밀까지도 함께 하고 싶은 것이고, 감추면 혹시 내게 감추어야만 하는 비밀이 있는게 아닐까하는 의심을 사기도 합니다.




일본에서 사생활 보호를 위해 만들어진 휴대폰이 있다고 합니다. 요즘 나오는 휴대폰이 대부분이 스마트폰인데 사생활 보호를 위해 나온 휴대폰은 비밀스런 프라이버시를 보장하는 한 가지 이유로 만들어졌기 때문에 사생활 보호 하나에만 충실하다고 합니다.  




사생활 보호 기능이 워낙 뛰어나다보니 스마트폰이 보급이 활발한 요즘에도 꾸준히 인기를 끌고 있다고 합니다.  상대방에게 비밀을 완벽하게 감출 수 있기 때문에 비밀을 간직해야하는 바람둥이들에게 인기가 있어서 바람둥이 폰이라고도 한답니다.  바람둥이 남편이 아내 몰래 새로 사긴 연인과 전화나 문자를 주고 받을 때 요긴하게 사용할 수 있다네요. 


후지쯔의 불륜폰 기능을 살펴보면 불륜폰의 기능이 얼마나 막강한지 알 수 있습니다.   사생활 보호 모드의 경우 특정 연락처에서 온 전화나 문자 메시지의 경우 사용자만 알 수 있는 특정 알림으로 수신하게 해 준답니다.  메시지가 도착하면 배터리 표시만 깜박이거나 안테나 막대의 색과 모양만 살짝 바뀌는 등 주인만 알아볼 수 있는 신호로 표시해 준다고 합니다.  발신 기록이나 수신 기록도 남지 않는다고 하네요. (갤럭시 S3나 갤럭시 노트에 보면 LED로 문자나 전화, 배터리 상태 등을 특정 패튼으로 표시해 주게할 수 있게 해 주는 기능이 들어갔는데 그런 형태로 패턴을 만들 수 있나 봅니다.)





후지쯔의 불륜폰은 상대방에게 나는 따로 사생활이 깨끗해 잠금 기능을 사용하지 않고 있는 것처럼 보여 더욱 완벽하게 속인다고 합니다. 불륜남 또는 분륜녀가 가지고 있는 불륜폰은 남자 또는 여자 친구나 남편, 부인의 눈에는 잠금 설정을 하지 않는 것처럼 보인다고 합니다.  전화를 열면 사생활 보호를 위해 비밀 번호를 묻는데 비밀 번호를 묻지 않고 바로 열리면 꺼리는 내용이 없으니 바로 열겠지하는 마음을 이용하는 듯 합니다.  그냥 열었을 때에는 일반적인 내용만 보이고, 특정한 개인 정보 보호 모드 키를 입력해야만 비로소 숨겨둔 통화나 문자 메시지 내용이 보인다고 합니다.  보이는 것만 믿다가 보이지 않는 것에 속게 되는 것이지요.




후지쯔의 이 불륜폰은 일본에서만 판매한다고 합니다.


그런데 저라면 불륜폰을 쓰고 있다면 불륜폰 쓰고 있다는 자체가 의심이 갈듯 합니다. 무슨 비밀이 있길래 저런 폰을 쓸까 더 의심을 하게 될 듯 합니다. 


참고 자료 : http://goo.gl/aJtfg


불륜을 목적으로 이 휴대폰을 구매하는 분들에게는 안타까운 소식은 이제 대세가 스마트폰으로 가다보니 이 구형폰들을 없에기 시작했다는 점입니다.  고장나면 이제 이런 기능을 지원하지 않는 일반 휴대폰이나 스마트폰을 구매해야 합니다. 




submit


유가가  하늘 높은 줄 모르고 오르는 기름 값 때문에 경제 사정이 어려워지자 정부에서 유가환급금 제도를 마련해서 시행 중입니다.

요새 같은 경제가 좋지 않은 상황에서 최저 6만원에서 최고 24만원까지 돌려 받을 수 있는 유가 환급금은 서민들에게는 적지 않은 돈입니다. 그리고 정부에서도 유가 환급금 제도를 홍보하고 있습니다.

국세청 유가 환급지급 홈페이지에서는 유가 환급금 신청을 접수 받고 있습니다.  10월달에 신청하면 11월에 받을 수 있고 지금 신청하면 12월에 받을 수 있습니다.    적지 않은 돈이기 때문에 많은 분들이 국세청 홈페이지를 통해 신청하는 분들이 많습니다.

그런데 유가 환급금을 신청할 때 개인 정보가 줄줄 샜다고 합니다.

유가환급금은 국세청 홈텍스를 통해 신청하는데 신청할 때 몇가지 개인 정보를 컴퓨터의 하드 디스크에 저절로 저장시켜 노출되도록하는 치명적인 결함(한겨레신문 11/10일자 2면)이 있었다고 합니다.

신청을 하고 나면 ERS라는 폴더가 생기고 그 안에 네 개의 파일이 생긴다고 하는데 만들어진 파일 이름과 내용을 보면 기가 막힙니다.

파일 이름은 자신의 주민 등록 번호고,  파일 안에는 신청할 때 적은  자신의 이름, 아이디, 주민 등록 번호, 주소, 전화 번호, 회사명, 은행 계좌번호 등이 들어가 있습니다.  개인들에게는 아주 기본적인 정보들로써 보호가 되어야하는 내용들입니다. 

파일이 만들어지는데 더욱 놀라운 것은 이들 파일이 암호화되어 있지 않은 텍스트 정보라는 것입니다.  한계레 신문의 기사에 있는 사진을 보니 텍스트 편집기인 EditPlus로 보고 있는데 개인 정보가 그대로 보이네요(물론 중요 정보는 흐리게 처리하여 보이지 않습니다)

개인 정보 파일을 만들지 않으면 안되는 상황이면 파일을 보더라도 알지 못하게 암호화해서 만들어야하고, 사용을 다하면 삭제를 해야하는게 기본적인 보안 상식인데 국세청과 삼성SDS는 이를 소홀히 한 것입니다.

삼성SDS와 국세청이 보안 결함을 발견하여 7일부터 수정했지만 이미 대상자 1650만면 가운데 800만명이 이미 신청을 마쳤다고 하네요.

개인 정보 유출이 심각한 문제로 부각된 것이 어제 오늘의 일이 아닌데 또 다시 이런 헛점을 들어내다니 안타깝고 어이 없습니다.

대부분이 개인 PC를 이용하여 신청을 했겠지만 혹시나 공용 PC나 피시방 등에서 신청하였을 경우 심각한 피해가 우려될 수 있습니다. 

조심 조심 한다고해도 개인 정보는 내 의지와 상관 없이 샐 수 있으므로 자신의 PC가 아닌 다른 PC에서 개인 정보를 입력하지 않도록 주의해야겠습니다.

혹시 유가환급금 신청하신 분들 아직 PC에 ERS라는 폴더가 남아 있는지 확인하시고 남아 있다면 바로 삭제를 해 버리십시오.



submit


유가가  하늘 높은 줄 모르고 오르는 기름 값 때문에 경제 사정이 어려워지자 정부에서 유가환급금 제도를 마련해서 시행 중입니다.

요새 같은 경제가 좋지 않은 상황에서 최저 6만원에서 최고 24만원까지 돌려 받을 수 있는 유가 환급금은 서민들에게는 적지 않은 돈입니다. 그리고 정부에서도 유가 환급금 제도를 홍보하고 있습니다.

국세청 유가 환급지급 홈페이지에서는 유가 환급금 신청을 접수 받고 있습니다.  10월달에 신청하면 11월에 받을 수 있고 지금 신청하면 12월에 받을 수 있습니다.    적지 않은 돈이기 때문에 많은 분들이 국세청 홈페이지를 통해 신청하는 분들이 많습니다.

그런데 유가 환급금을 신청할 때 개인 정보가 줄줄 샜다고 합니다.

유가환급금은 국세청 홈텍스를 통해 신청하는데 신청할 때 몇가지 개인 정보를 컴퓨터의 하드 디스크에 저절로 저장시켜 노출되도록하는 치명적인 결함(한겨레신문 11/10일자 2면)이 있었다고 합니다.

신청을 하고 나면 ERS라는 폴더가 생기고 그 안에 네 개의 파일이 생긴다고 하는데 만들어진 파일 이름과 내용을 보면 기가 막힙니다.

파일 이름은 자신의 주민 등록 번호고,  파일 안에는 신청할 때 적은  자신의 이름, 아이디, 주민 등록 번호, 주소, 전화 번호, 회사명, 은행 계좌번호 등이 들어가 있습니다.  개인들에게는 아주 기본적인 정보들로써 보호가 되어야하는 내용들입니다. 

파일이 만들어지는데 더욱 놀라운 것은 이들 파일이 암호화되어 있지 않은 텍스트 정보라는 것입니다.  한계레 신문의 기사에 있는 사진을 보니 텍스트 편집기인 EditPlus로 보고 있는데 개인 정보가 그대로 보이네요(물론 중요 정보는 흐리게 처리하여 보이지 않습니다)

개인 정보 파일을 만들지 않으면 안되는 상황이면 파일을 보더라도 알지 못하게 암호화해서 만들어야하고, 사용을 다하면 삭제를 해야하는게 기본적인 보안 상식인데 국세청과 삼성SDS는 이를 소홀히 한 것입니다.

삼성SDS와 국세청이 보안 결함을 발견하여 7일부터 수정했지만 이미 대상자 1650만면 가운데 800만명이 이미 신청을 마쳤다고 하네요.

개인 정보 유출이 심각한 문제로 부각된 것이 어제 오늘의 일이 아닌데 또 다시 이런 헛점을 들어내다니 안타깝고 어이 없습니다.

대부분이 개인 PC를 이용하여 신청을 했겠지만 혹시나 공용 PC나 피시방 등에서 신청하였을 경우 심각한 피해가 우려될 수 있습니다. 

조심 조심 한다고해도 개인 정보는 내 의지와 상관 없이 샐 수 있으므로 자신의 PC가 아닌 다른 PC에서 개인 정보를 입력하지 않도록 주의해야겠습니다.

혹시 유가환급금 신청하신 분들 아직 PC에 ERS라는 폴더가 남아 있는지 확인하시고 남아 있다면 바로 삭제를 해 버리십시오.



  1. 질문이요 at 2008.11.10 12:11 신고 [edit/del]

    기사 보고 지금 보니 저도 그 폴더가 생겨있는데요. 주민번호랑 다..
    집에서 쓰는 개인 pc는 괜챦은건가요? 제가 컴터를 잘 몰라서..
    아님 다 지워야 하는 폴더인가요?

    Reply
  2. at 2008.11.18 12:58 [edit/del]

    비밀댓글입니다

    Reply
  3. at 2008.11.28 15:46 [edit/del]

    비밀댓글입니다

    Reply

submit
구글 크롬과 파이어폭스에서 개인정보 빼내간다는 문제 때문에 논란이되고 있는데 또 다른 건으로 기사화가 되었네요. 불여우와 크롬의 경우 이전부터 있던 기능이어서 무심코 사용하고 있었는데 기사 내용을 보고 직접 따라해보니 아이디와 비밀번호가 너무나 쉽게 노출되어 깜짝 놀랐습니다.

구글 크롬이나 Firefox을 사용중이라면  자리를 비우는순간 누군가와서 아이디와 비밀번호를 쉽게 알아챌 수 있습니다.  그림처럼 사용자 이름과 비밀번호가 그대로 나타나게 할 수 있기 때문이죠. (개인정보라 내용을 보이지 않게 했습니다.)

구글 크롬의 아이디와 비밀번호 보이기

구글 크롬의 아이디와 비밀번호 보이기


구글 크롬의 경우 옵션 > 환경설정 에서 저장된 비밀 번호 보기를 하면 사이트와 사용자 이름이 나오고 비밀번호 보이기를 하면 비밀 번호가 그대로 표시됩니다.

Firefox의 비밀 번호 보이기

Firefox의 비밀 번호 보이기


firefox 역시 쉽게 노출이 됩니다.
도구 > 설정 > 보안 탭에 들어가서 암호 저장 목록을 보니 구글의 크롬과 다를바 없네요.

자주 들어가는 사이트에 아이디와 비밀번호 치기 귀찮아서 비밀번호를 저장해 두었는데 너무나 쉽게 보이니 황당하기까지 하네요.  

그래도 비밀 번호는 암호화해서 보관이 될줄 알았는데 텍스트 그대로 노출이 되다니!

황당 그 자체입니다.

구글에서 보안을 이렇게 심하게 신경쓰지 않고 있었다니 놀라울뿐입니다.

다음은 머니투데이의 구글 크롬, 비빌번호 노출에 무방비라는 기사 내용입니다.

기사 내용 보기







submit
구글 크롬과 파이어폭스에서 개인정보 빼내간다는 문제 때문에 논란이되고 있는데 또 다른 건으로 기사화가 되었네요. 불여우와 크롬의 경우 이전부터 있던 기능이어서 무심코 사용하고 있었는데 기사 내용을 보고 직접 따라해보니 아이디와 비밀번호가 너무나 쉽게 노출되어 깜짝 놀랐습니다.

구글 크롬이나 Firefox을 사용중이라면  자리를 비우는순간 누군가와서 아이디와 비밀번호를 쉽게 알아챌 수 있습니다.  그림처럼 사용자 이름과 비밀번호가 그대로 나타나게 할 수 있기 때문이죠. (개인정보라 내용을 보이지 않게 했습니다.)

구글 크롬의 아이디와 비밀번호 보이기

구글 크롬의 아이디와 비밀번호 보이기


구글 크롬의 경우 옵션 > 환경설정 에서 저장된 비밀 번호 보기를 하면 사이트와 사용자 이름이 나오고 비밀번호 보이기를 하면 비밀 번호가 그대로 표시됩니다.

Firefox의 비밀 번호 보이기

Firefox의 비밀 번호 보이기


firefox 역시 쉽게 노출이 됩니다.
도구 > 설정 > 보안 탭에 들어가서 암호 저장 목록을 보니 구글의 크롬과 다를바 없네요.

자주 들어가는 사이트에 아이디와 비밀번호 치기 귀찮아서 비밀번호를 저장해 두었는데 너무나 쉽게 보이니 황당하기까지 하네요.  

그래도 비밀 번호는 암호화해서 보관이 될줄 알았는데 텍스트 그대로 노출이 되다니!

황당 그 자체입니다.

구글에서 보안을 이렇게 심하게 신경쓰지 않고 있었다니 놀라울뿐입니다.

다음은 머니투데이의 구글 크롬, 비빌번호 노출에 무방비라는 기사 내용입니다.

기사 내용 보기







  1. Favicon of http://draco.pe.kr BlogIcon Draco at 2008.10.02 22:12 신고 [edit/del]

    음...
    비밀번호 자동완성을 사용하면서 락없이 자리를 비우는 자체가 더 근본적인 문제라고 생각하는데요...

    Reply
    • Favicon of http://www.osnews.kr BlogIcon OSNews sonamu at 2008.10.03 05:58 신고 [edit/del]

      맞습니다.

      보안 문제는 프로그램이나 서비스를 제공하는 업체에만 책임이 있는 것이 아니라 그걸 쓰는 사람도 책임이 있습니다.

      제공 업체에서는 보안 문제가 발생하지 않도록 프로그램이나 서비스를 제공해야하고, 쓰는 사람도 보안 관련해서는 최소한의 행동을 해야 합니다.

      그런데 사용자는 이런 보안 문제에 대해 크게 신경을 쓰지 못하고 그런 행동 자체가 보안에 노출된다는 것을 알지 못하는 것입니다.


      비밀 번호 자동 완성이 비밀 번호를 자동으로 입력해 주는 편리한 기능인 줄 알지만 이게 아이디와 비밀 번호를 그냥 보여주는 것인지는 알지 못한다는 점이 문제가 있지요.

      저는 자리를 비울 때 <Win+L>로 꼭 잠그고 나가고, 일정 시간동안 반응하지 않으면 화면 보호기가 동작하고 다시 들어올 땐 암호가 동작하게 만들어 쓰고 있습니다. 개인도 신경쓰지만 회사에서도 지속적으로 보안 쪽에 신경을 쓰라 하기 때문이죠.

      윈도 부팅할 뿐만 아니라 시스템 부팅 때 CMOS 암호를 입력하게 요구하기도 합니다. 이렇게 하는 것도 꽤 강력하지만 그렇다고 보안 문제를 해결할 수 없습니다.

      그래서 문서 보안까지도 신경쓰는 처지죠. 문서가 외부로 나가는 순간 읽을 수도 없게 만들어 버리는 것입니다.

      내가 잘하고 있으니까로 한다면 이런 문서 보안과 같은것이 의미가 없지 않을까 합니다.

  2. Favicon of http://ruud.textcube.com BlogIcon Ruud at 2008.10.02 22:29 신고 [edit/del]

    비밀번호가 그대로 드러나는 것은 좀 허술한 편이긴 합니다만, 바로 위에서 Draco님이 지적하신대로, 자리를 비울때 (비밀번호 자동완성을 사용하면서) 컴퓨터를 잠그지 않는 것이 더 위험합니다.
    더군다나 비밀번호를 보여지게 하는 것이 좋은 점도 있는 게, 막상 자신이 특정 사이트의 비밀번호를 까먹었을 때는 손쉽게 확인할 수 있으니까요.

    Reply
    • Favicon of http://www.osnews.kr BlogIcon OSNews sonamu at 2008.10.03 06:06 신고 [edit/del]

      그런데 이걸 다 아는 분들은 그리 많지 않습니다.

      XP에서나 비스타에서도 자리를 비울 때 기본적으로 화면 보호기가 동작하게 만들어져 있습니다. 기본으로 동작하는 시간은 기억이 나지 않는데 약간 좀 긴 시간이 아니었나 합니다. 그리고 화면 보호기가 동작하더라도 그건 화면보호를 위한 용도이고 다시 키보드나 마우스만 움직이면 그냥 화면이 보입니다.

      사용자가 보안을 생각하고있다면 몇가지 조치를 취할 것입니다. 하지만 그런 조치를 취하지 않는 분들이 더 많고 그런 분들도 이런 해킹에 너무나 쉽게 노출되지 않도록 만들 필요가 있는 것이지요.

      보안과 편리는 서로 상충되는 부분이 많습니다. 편리를 추구하다보면 보안에 허술해 지는 것이지요.

      비밀번호 까 먹었을 때 알기 편한 것 좋습니다. 하지만 그 비밀 번호를 알아채기 위해 텍스트 형태로 보여주는 것은 아주 심각한 문제입니다.

      만약에 다음이나 네이버가 보안 문제에 철통같이 신경쓰고 있어서 해킹의 위험이 없다. 직원들도 보안에 신경 쓰게 관리를 하고 있다.

      그런데 아이디와 암호는 텍스트로 저장된다.

      그렇다면 네이버나 다음을 믿고 쓰실 수 있겠는지요?

    • Favicon of http://ruud.textcube.com BlogIcon Ruud at 2008.10.04 00:36 신고 [edit/del]

      혹시나 하는 노파심에 제가 좀 더 찾아봤습니다. 정확하게 따지면, 암호는 '텍스트'로 '저장'되는 것이 아닙니다. signons#.txt 파일로 (#에는 아예 없거나 아니면 숫자가 들어갑니다.) 저장되는 로그인 정보는, 실제로는 '암호화'되어서 저장됩니다. 저장되는 파일위치는 %userprofile%\Application Data\Mozilla\Firefox Profiles\xxxxxxxx.default\signons.txt 정도가 되겠네요. (http://www.securityfocus.com/infocus/1882 에서 인용합니다)

      DB나 파일에 로그인 정보가 그대로 '텍스트'로 저장이 된다면 큰 위험이겠죠. (물론 그 정보가 암호화 되어 있다고 하더라도 항상 크래킹의 가능성은 존재합니다만) 그렇지만, 정보자체는 암호화 되어서 저장되고 단순히 '사용자'에게 정보 그대로 보여지는 것은 (보여지지 않도록 선택할 수도 있고, 마스터 비밀번호로 아주 잠궈버릴 수도 있죠) 사용자의 편의를 배려한 '도구'라고 생각합니다.

      아무래도, 제가 제일 걱정하는 부분은, 모르는 부분이 있으면 배워서 나은 방향으로 나아가야지, 무조건 '안된다' 하는 생각들이에요. 보안은 누구 한쪽의 탓만하기엔 너무나도 복잡한 분야라고 생각되거든요.

    • Favicon of http://ruud.textcube.com BlogIcon Ruud at 2008.10.04 02:48 신고 [edit/del]

      트랙백 날립니다... 보안문제에 대해서 전문가도 아닌 제가 글을 쓴다는 게... 쉽지 않은 일임을 새삼스럽게 느꼈어요.

    • Favicon of http://www.osnews.kr BlogIcon OSNews sonamu at 2008.10.04 07:54 신고 [edit/del]

      편리도 중요하지만 보안 문제가 이제는 더 중요해졌다는 것이겠지요.

      아이디와 비밀번호는 기본 값으로 저장되고
      그 내용을 누구나 볼 수 있으니
      순간 실수하면 의도하지않게 놓치게 된다는 뜻입니다.

      트랙백에서 말씀하신 것처럼 PC방에서 사용할 때
      ID 저장창과 비밀번호 입력 후 저장창이 뜨는데
      사람마다 반응이 달라서 아니오를 누를 수도 있지만
      저장을 하는 분도 상당 수가 있다는 뜻입니다.


      그런데 사용자는 암호가 텍스트로 보일 수 있다는 점은 전혀 모릅니다.
      그리고 어떻게 지워야하는지도 전혀 모르고요.
      물론 공부하면 알겠지만 일반인이 그걸 알기는 어려울겁니다.

      그걸 다른 사람이 와서 그 페이지에 접속하면 그 페이지의 모든 것을 알 수 있게 됩니다.

      메일이라면 메일 내용을 볼 수 있고요.

      심지어 사이트 주소와 암호까지 있으니 그걸 적으면
      다른 장소에서도 거리낌 없이 사용이 가능해지겠지요.
      그리고 그 사람인척 활동도 할 수 있을것이고요.

      최소한 편리한 기능을 지원하는 것이더라도
      암호화한 내용이 텍스트로 보여지는 것은 너무 심한 듯 합니다.
      암호를 까먹었다면 그 홈페이지의 암호 찾기 기능을 이용하는게 더 안전하지요.

    • Favicon of http://www.osnews.kr BlogIcon OSNews sonamu at 2008.10.04 07:55 신고 [edit/del]

      IE에 비해 FF의 경우 많은 분들이 호감을 가지고 있습니다.

      브라우저 시장의 대부분을 IE가 차지하고 있습니다.
      그런데 반대로 FF가 전체 시장의 90%를 차지하고 있다고하였을 때
      (상대적으로 내 PC에서는 위험이 적지만) PC방이나 기타 장소 등 여러 사람이 쓰는 곳에서 이런 일들이 실제로 일어난다면 ....

  3. Favicon of http://carosy.tistory.com/ BlogIcon 조박사 at 2008.10.03 00:54 신고 [edit/del]

    일하다가 자리비우면 보통
    스크린세이버 걸지 않나요^^

    Reply
    • Favicon of http://www.osnews.kr BlogIcon OSNews sonamu at 2008.10.03 06:28 신고 [edit/del]

      모든 분이 그렇게 쓰면 위험이 적은데 그런 분이 많지 않습니다.

      그리고 자리를 비울 때 화면 보호기도 그냥 화면 보호기 용도인 경우가 많습니다. 화면을 잠그는 용도가 아니지요. 윈도 기본 값은 암호를 묻지 않는 것일 겁니다. 화면 보호기가 동작하는 시간도 길구요.

      신경을 쓴다고하지만 갑자기 누가 부르거나 이야기하다가 자리를 비울 때면 화면을 잠그지 못하는 경우가 자주 발생합니다. 전 가끔 있습니다.

      사용자도 책임을져야할 부분도 있지만 그걸 만드든데에서도 책임을 져야한다는 뜻이지요.

      도로에 가드레일 만들어둔 것도 운전자가 운전만 똑바로 잘하면 되지만 가끔 의도하지 않게 실수하는 경우가 생기고 그걸 방지하기 위해 만들어둡니다. 프로그램도 그래야하지 한다고 생각이 듭니다.

  4. qwer at 2008.10.04 10:05 신고 [edit/del]

    흠.. 집에서 써도 아이디와 비밀번호는 항상 직접입력하는데.

    그만큼 입력하기 귀찮을 정도로 자주가는 사이트라면 비밀번호를 잊어버릴 리도 없고.

    어떻게 보면 편의를 위한 도구를 모르고 사용하기 때문에 독이 되는 경우라고 생각합니다.

    Reply
    • Favicon of http://www.osnews.kr BlogIcon OSNews sonamu at 2008.10.05 08:15 신고 [edit/del]

      편리하면서 보안까지 되는게 나오면 좋은데 그런 것이 나오긴 참 어렵죠.
      그러다보니 보안 대책을 세우면 불편해지고
      편리하게하다보면 쉽게 구멍이 생기고

  5. Favicon of http://flyburi.com BlogIcon 버리 at 2008.10.05 23:12 신고 [edit/del]

    저도 크롬이 처음 나왔을때 그 사실을 알고 충격에 휩싸였어요
    구글에서 이렇게 텍스트로 암호를 보여준다는 사실에..
    firefox는 아닌줄 알았는데 해보았는데 정말 그렇군요.
    sonamu님 말처럼 사용자에게 편리함을 제공하는건 좋지만
    텍스트로 보여준다는것이 정말 황당합니다.

    컴퓨터를 잘 아는 사람들은 이 사실을 주의하고 자리를 비울때 자체
    락을 한다거나 다른 방법을 취하겠지만, 우리나라 국민중에 모르는 사람이 태반일 것입니다. 우리 부모님이나 어르신들이 과연 알까요?
    물론 지금 그분들은 IE만 쓰시고 다른 브라우저를 쓰고 계시진 않겠지만
    크롬과 firefox가 더욱 성장하여 많은 일반사람이 쓴다고 하면 큰 문제가 될 듯 하군요..

    Reply
    • Favicon of http://www.osnews.kr BlogIcon OSNews sonamu at 2008.10.06 14:17 신고 [edit/del]

      지금처럼 IE가 대부분인 상황에서는 문제 발생 소지가 적지만
      FF나 크롬이 더 많은 사용자가 쓰게되면 발생 빈도가 높아질 것입니다.

      대부분 보안이 중요하다고 생각하나 자신이 당한다고는 거의 생각을 못하지요.

      저도 자리를 비울 때 PC를 잠그지만 가끔 그렇지 못할 때도 종종 있습니다.

submit

GS 칼텍스의 개인 정보 유출로 한바탕 떠들석했는데 이젠 메모리 해킹 기사가 깜짝 놀래키네요.  사용자가 정보를 입력하기를 기다릴 필요가 없이 메모리에 정보가 남아 있으면 언제든지 빼내갈 수 있다고하니 이건 좀 무섭군요.

다음은 전자신문 기사 내용입니다.

 ‘메모리만 읽어도 비밀번호를 빼낼 수 있다(?)’

 그룹웨어·메신저·웹하드 등에서 아이디와 비밀번호를 입력 즉시 암호화하지 않을 경우 메모리 해킹에 의해 언제든지 유출될 수 있다는 사실이 밝혀져 충격을 주고 있다.

 국내 최대 해커그룹 파도콘은 5일과 6일 이틀동안 제주도에서 열린 ‘한국침해사고대응팀협의회(CONCERT) 정회원 워크숍’에서 암호화되지 않은 평문 비밀번호가 얼마나 쉽게 해킹당할 수 있는지를 보여주기 위해 해킹을 시연했다.

 시연자는 한 PC에 프로그램 접속을 위해 아이디·비밀번호를 입력해 놓고, 잠시 후 다른 PC에서 해당 PC에 침입해 들어간 후 메모리 뷰어로 메모리를 읽었더니 조금 전 입력되어 있는 아이디와 비밀번호를 곧바로 찾을 수 있었다.

 이 아이디와 비밀번호는 그룹웨어·메신저·웹하드와 같은 프로그램에 접속하기 위해 입력된 것이다. 그룹웨어나 메신저와 같은 프로그램은 인터넷브라우저가 아닌 별도의 전용 창을 띄우는 프로그램으로, 이 같은 전용 프로그램은 주소를 찾기가 쉬워 아이디·비밀번호 유출 가능성이 크다.

 국내 대부분의 프로그램들이 아이디·비밀번호 입력 즉시 암호화하도록 하는 장치를 마련하지 않아 이번 시연은 보안 담당자들에게 큰 충격을 줬다.
포토기사

 특히 메모리 해킹 방식은 키로그 해킹 방식처럼 굳이 사용자가 정보를 입력할 때까지 기다려야 할 필요가 없어 해커가 마음만 먹으면 언제든지 정보를 빼낼 수 있다는 점에서 위험이 크다. 메모리해킹은 기존 보안 프로그램으로도 잡아낼 수 없어 각별한 주의가 필요할 것으로 보인다.

 해킹을 시연한 파도콘의 태인규씨는 “인터넷 사이트는 주소를 일일이 찾아야 한다는 점에서 아이디·비밀번호를 찾아내는 것이 어렵지만 해당 기능만을 위해 별도의 창을 띄워 사용하는 프로그램에서는 메모리에 쉽게 기록이 남는다”며 “대부분의 사람들이 아이디·비밀번호를 통일해 사용하는 만큼 정보가 유출되지 않도록 암호화해야 한다”고 말했다.



submit

GS 칼텍스의 개인 정보 유출로 한바탕 떠들석했는데 이젠 메모리 해킹 기사가 깜짝 놀래키네요.  사용자가 정보를 입력하기를 기다릴 필요가 없이 메모리에 정보가 남아 있으면 언제든지 빼내갈 수 있다고하니 이건 좀 무섭군요.

다음은 전자신문 기사 내용입니다.

 ‘메모리만 읽어도 비밀번호를 빼낼 수 있다(?)’

 그룹웨어·메신저·웹하드 등에서 아이디와 비밀번호를 입력 즉시 암호화하지 않을 경우 메모리 해킹에 의해 언제든지 유출될 수 있다는 사실이 밝혀져 충격을 주고 있다.

 국내 최대 해커그룹 파도콘은 5일과 6일 이틀동안 제주도에서 열린 ‘한국침해사고대응팀협의회(CONCERT) 정회원 워크숍’에서 암호화되지 않은 평문 비밀번호가 얼마나 쉽게 해킹당할 수 있는지를 보여주기 위해 해킹을 시연했다.

 시연자는 한 PC에 프로그램 접속을 위해 아이디·비밀번호를 입력해 놓고, 잠시 후 다른 PC에서 해당 PC에 침입해 들어간 후 메모리 뷰어로 메모리를 읽었더니 조금 전 입력되어 있는 아이디와 비밀번호를 곧바로 찾을 수 있었다.

 이 아이디와 비밀번호는 그룹웨어·메신저·웹하드와 같은 프로그램에 접속하기 위해 입력된 것이다. 그룹웨어나 메신저와 같은 프로그램은 인터넷브라우저가 아닌 별도의 전용 창을 띄우는 프로그램으로, 이 같은 전용 프로그램은 주소를 찾기가 쉬워 아이디·비밀번호 유출 가능성이 크다.

 국내 대부분의 프로그램들이 아이디·비밀번호 입력 즉시 암호화하도록 하는 장치를 마련하지 않아 이번 시연은 보안 담당자들에게 큰 충격을 줬다.
포토기사

 특히 메모리 해킹 방식은 키로그 해킹 방식처럼 굳이 사용자가 정보를 입력할 때까지 기다려야 할 필요가 없어 해커가 마음만 먹으면 언제든지 정보를 빼낼 수 있다는 점에서 위험이 크다. 메모리해킹은 기존 보안 프로그램으로도 잡아낼 수 없어 각별한 주의가 필요할 것으로 보인다.

 해킹을 시연한 파도콘의 태인규씨는 “인터넷 사이트는 주소를 일일이 찾아야 한다는 점에서 아이디·비밀번호를 찾아내는 것이 어렵지만 해당 기능만을 위해 별도의 창을 띄워 사용하는 프로그램에서는 메모리에 쉽게 기록이 남는다”며 “대부분의 사람들이 아이디·비밀번호를 통일해 사용하는 만큼 정보가 유출되지 않도록 암호화해야 한다”고 말했다.



submit

GS 칼텍스 개인 정보가 유출되었는데 개인 정보 유출을 확인하는 페이지가 오픈되었군요.

혹시나 개인 정보가 유출되었는지 고민이 되시는 분은 확인해 보시기 바랍니다.

GS 칼텍스 개인 정보 유출 확인 페이지

전 카드가 없지만 혹시나 해서 확인해 보았는데 역시나 개인 정보 유출은 되지 않았군요.

유출 여부를 확인하기 위해 이름과 주민등록번호를 입력해야 합니다.

그런데 이번 GS 칼텍스 개인정보 유출은 해킹이 아니라 내부 직원 유출이군요.
외부 해킹에 대비하는 보안도 중요하지만 더 중요한 것은 내부 직원 보안이군요.

다음은 이데일리 뉴스 기사 내용입니다.

GS칼텍스 정보유출..내부자 소행, 피의자 검거

[이데일리 정태선기자] GS(078930)칼텍스의 고객정보 유출 사건에 대해 경찰은 피의자를 검거했다고 7일 밝혔다.

경찰청은 GS칼텍스의 개인정보를 CD에 담아 외부로 유출한 혐의로 GS칼텍스의 콜센터 운영을 담담하는 자회사의 시스템 및 네크워크 관리자 C모씨 등 4명을 정보통신망이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 검거해 그중 3명에 대해서는 구속영장을 신청할 예정이다.

경찰 조사결과에 따르면, 피의자들은 올해 초 발생한 '인터넷 쇼핑몰 해킹사고'처럼 기업을 상대로 한 대규모 피해자소송이 진행되면 해당 고객정보의 활용가치가 높아져 큰 돈을 벌 수 있을리라 생각하고, C모씨는 회사 고객정보를 빼내고 K모씨는 해당 고객정보 CD를 언론사 기자에게 제보하는 형식으로 이슈화 하기로 공보했다.

피의자 C모씨는 올 7월초순부터 8월초순까지 한달동안 GS칼텍스 보너스카드 고객 DB서버에 회사업무처리 권한으로 접속해 고객정보를 빼낸 뒤 주민등록번호, 성명, 주소, 자택전화, 휴대전화번호, 이메일주소 등의 개인정보만을 추출, 같은 회사직원인 B씨에게 부탁해 76개의 엑셀파일로 정리했다.

이후 고교동창생인 Y씨를 통해 K씨에게 순차적으로 유출했다.
특히 K씨는 개인정보가 담긴 CD를 유흥가 골목 쓰레기더미에서 우연히 발견한 것처럼 언론사 기자에게 제보, 사화 이슈화를 시도했다.

경찰 수사팀은 피의자들을 상대로 구체적인 범행동기, 경우 및 추가 공범 여부에 대해 집중조사를 벌이는 한편 이미 회사 외부로 유출된 고객정보의 회수에 수사력을 모으고 있다.

이와 더불어 개인정보가 유출된 회사측에 '개인정보 유출여부 확인 사이트'를 구축하도록 권고, 국민들 누구나 피해여부를 손쉽게 확인할 수 있도록 조치했다.

<저작권자ⓒ이데일리 - 1등 경제정보 멀티미디어 http://www.edaily.co.kr



  1. at 2008.09.08 11:11 [edit/del]

    비밀댓글입니다

    Reply
  2. 오세두 at 2008.09.08 13:49 신고 [edit/del]

    정말너므들하네요

    Reply

submit

GS 칼텍스 개인 정보가 유출되었는데 개인 정보 유출을 확인하는 페이지가 오픈되었군요.

혹시나 개인 정보가 유출되었는지 고민이 되시는 분은 확인해 보시기 바랍니다.

GS 칼텍스 개인 정보 유출 확인 페이지

전 카드가 없지만 혹시나 해서 확인해 보았는데 역시나 개인 정보 유출은 되지 않았군요.

유출 여부를 확인하기 위해 이름과 주민등록번호를 입력해야 합니다.

그런데 이번 GS 칼텍스 개인정보 유출은 해킹이 아니라 내부 직원 유출이군요.
외부 해킹에 대비하는 보안도 중요하지만 더 중요한 것은 내부 직원 보안이군요.

다음은 이데일리 뉴스 기사 내용입니다.

GS칼텍스 정보유출..내부자 소행, 피의자 검거

[이데일리 정태선기자] GS(078930)칼텍스의 고객정보 유출 사건에 대해 경찰은 피의자를 검거했다고 7일 밝혔다.

경찰청은 GS칼텍스의 개인정보를 CD에 담아 외부로 유출한 혐의로 GS칼텍스의 콜센터 운영을 담담하는 자회사의 시스템 및 네크워크 관리자 C모씨 등 4명을 정보통신망이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 검거해 그중 3명에 대해서는 구속영장을 신청할 예정이다.

경찰 조사결과에 따르면, 피의자들은 올해 초 발생한 '인터넷 쇼핑몰 해킹사고'처럼 기업을 상대로 한 대규모 피해자소송이 진행되면 해당 고객정보의 활용가치가 높아져 큰 돈을 벌 수 있을리라 생각하고, C모씨는 회사 고객정보를 빼내고 K모씨는 해당 고객정보 CD를 언론사 기자에게 제보하는 형식으로 이슈화 하기로 공보했다.

피의자 C모씨는 올 7월초순부터 8월초순까지 한달동안 GS칼텍스 보너스카드 고객 DB서버에 회사업무처리 권한으로 접속해 고객정보를 빼낸 뒤 주민등록번호, 성명, 주소, 자택전화, 휴대전화번호, 이메일주소 등의 개인정보만을 추출, 같은 회사직원인 B씨에게 부탁해 76개의 엑셀파일로 정리했다.

이후 고교동창생인 Y씨를 통해 K씨에게 순차적으로 유출했다.
특히 K씨는 개인정보가 담긴 CD를 유흥가 골목 쓰레기더미에서 우연히 발견한 것처럼 언론사 기자에게 제보, 사화 이슈화를 시도했다.

경찰 수사팀은 피의자들을 상대로 구체적인 범행동기, 경우 및 추가 공범 여부에 대해 집중조사를 벌이는 한편 이미 회사 외부로 유출된 고객정보의 회수에 수사력을 모으고 있다.

이와 더불어 개인정보가 유출된 회사측에 '개인정보 유출여부 확인 사이트'를 구축하도록 권고, 국민들 누구나 피해여부를 손쉽게 확인할 수 있도록 조치했다.

<저작권자ⓒ이데일리 - 1등 경제정보 멀티미디어 http://www.edaily.co.kr



submit

티스토리 툴바