Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2020년 1월 2일] 주요 보안 이슈
작성일 2020-01-02 조회 494

1. [기사] [긴급] 이메일 시스템 업그레이드? 사용자 계정 노린 피싱 메일 유포
[https://www.boannews.com/media/view.asp?idx=85526&page=1&kind=1]
최근 국내에 사용자 계정정보 탈취를 위한 피싱 메일이 지속적으로 유포되고 있어 각별한 주의가 요구된다. 이번에 발견된 피싱 메일은 이메일 시스템 업그레이드로 인해 보류 중인 메시지가 있으니 확인이 필요하다며, 계정정보 입력을 유도하는 피싱 메일이다. 사용자가 메일 본문에 포함된 메일 받기를 클릭하면, 사용자 계정 비밀번호를 입력하는 피싱 사이트로 연결된다. 이때, 사용자가 계정 비밀번호를 입력하면 비밀번호가 공격자의 서버로 전송된다. 하우리는 최근 사용자 계정정보 탈취를 위한 피싱 메일이 다수 유포되고 있음으로 로그인 페이지로 연결되는 경우 아이디나 패스워드를 입력하기 전에 관리자나 메일 발신자에게 메일 발송 여부를 확인한 후 접속해야 한다고 당부했다.


2. [기사] 사물인터넷 제조사 와이즈, DB 실수로 240만명 데이터 노출
[https://www.boannews.com/media/view.asp?idx=85513&page=2&kind=1]
사물인터넷 전문 업체인 와이즈(Wyze)가 소유한 엘라스틱서치(Elasticsearch) 데이터베이스가 인터넷을 통해 활발히 공개되어 있는 것이 발견됐다. 해당 데이터베이스는 12월 4일부터 열렸고, 12월 26일에 닫혔으며, 고객들의 이메일, 카메라 장비의 이름, 와이파이 SSID, 와이즈 장비 정보, 일부 베타 테스터들을 위한 추가 정보 등이 저장되어 있었다. 와이즈는 자사 블로그를 통해 진행 중인 새로운 프로젝트의 일환으로보다 유연한 데이터베이스를 활용하는 것이 검토됐고 그 과정에서 민감한 데이터가 노출되는 일이 실수로 벌어졌다고 말했다. 또한, iOS와 안드로이드용 API 토큰들이 유출되거나 악용된 것 같지는 않지만, 이번 사건을 통해 새롭게 바꾸기로 결정했다고 발표했다.


3. [기사] GDPR 시행 1년 6개월... 유럽, 데이터 보안 인식 강화됐다
[https://www.boannews.com/media/view.asp?idx=85474&page=2&kind=2]
2018년 5월 25일 유럽연합의 개인정보보호규정(GDPR: General Data Protection Regulation)이 발효됐다. GDPR이 시행됨으로써, 유럽국가에서는 인공지능 기술, 빅데이터 산업의 ‘원자재’라 할 수 있는 디지털 데이터의 중요성이 대두됨에 따라 사용자의 권리와 데이터 안보에 대한 인식이 강화되고 있다. 그리고 유럽연합 개인정보보호위원회(EDPB)가 2019년 5월에 발표한 GDPR 시행 1주년 보고서에 따르면, 지난 1년간 유럽연합에서 GDPR 위반으로 접수된 사례는 총 28만여 건이며, 이 중 63%가 판결이 완료되고 37%는 조사가 진행 중이다. 개인정보보호규정은 유럽뿐만 아니라 미국에서도 유사한 규정이 시행될 예정으로 디지털 정보의 중요성이 전 세계적으로 강조됨에 따라 한국 기업의 경쟁력 제고를 위해 각국의 제반 규정과 관리체계에 대한 이해와 인식 강화가 필요한 시점이다. 또한, 데이터를 보호할 수 있는 암호화 기술, 가상 저장 공간 인프라 등 전 세계적으로 수요가 증가하는 분야를 발 빠르게 예측하고 IT 강국인 한국의 뛰어난 기술과 기업이 진출할 기회임을 염두에 둬야 한다.


4. [기사] Nonprofit organization Special Olympics New York hacked and its server used to send phishing emails
[https://securityaffairs.co/wordpress/95796/data-breach/special-olympics-new-york-hacked.html]
크리스마스 휴가 기간 지적장애를 가진 경쟁력 있는 선수들을 중심으로 한 비영리 단체인 스페셜 올림픽 뉴욕이 해킹당했으며, 공격자는 이후 전자 메일 서버를 사용하여 기부자에 대한 피싱 캠페인을 진행했다. 이 단체는 해킹 사실을 공개하고 공격자들을 차단했다고 발표했으며 피해자들에게 데이터 침해 통지서를 보내 조직으로부터 마지막으로 받은 메시지를 무시하라고 권고했다. 또한, 공격자는 기증자의 연락처 정보가 포함된 통신 시스템에만 영향을 미쳤다고 보고했으며, 재무 데이터는 노출되지 않았다. 피싱 이메일은 지속적인 연락처 추적 URL을 사용하여 기부자의 신용 카드 정보를 탈취하도록 설계된 페이지로 리디렉션했다.


5. [기사] Expert finds Starbucks API Key exposed online
[https://securityaffairs.co/wordpress/95826/security/starbucks-api-key-exposed-online.html]
공격자가 회사 내부 시스템에 액세스하고 권한이 있는 사용자 목록을 조작하는 데 사용할 수 있는 API 키가 Starbucks의 개발팀에 의해 노출되었다. 이 문제는 보안 전문가 Vinoth Kumar가 발견했으며 공개적인 GitHub 저장소에서 키를 찾았다. 해당 키를 이용하여 공격자는 Starbucks JumpCloud API에 액세스 할 수 있으며, 시스템에서 명령을 실행하고 내부 시스템에 액세스할 수 있는 사용자를 추가/제거하고 잠재적으로 AWS 계정을 인수 할 수 있다. 또한, Kumar는 시스템과 사용자 나열, Amazon Web Services(AWS) 계정 제어, 시스템에서 명령 실행, 내부 시스템에 대한 액세스 권한이 있는 사용자를 추가하거나 제거하는 방법을 보여주는 문제에 대해 개념 증명(PoC) 코드를 공개했다. 

첨부파일 첨부파일이 없습니다.
태그 Wyze  GDPR  Special Olympics New York  Starbucks