본문 바로가기

Security

기업 보안

사용자 보안 intro

목적

  • 개발팀의 사용자 보안 경각심 향상
  • 최근의 사례를 통한 해킹 트렌드 파악 및 피해 예방

사례 소개

  1. 2022년 4월 6일 피싱(phishing) 메일 수신 건

피싱(phishing)은 전자 우편 또는 메신저를 사용해서 신뢰할 수 있는 사람 또는 기업이 보낸 메시지인 것처럼 가장함으로써, 비밀번호 및 신용카드 정보와 같이 기밀을 요하는 정보를 부정하게 얻으려는 사회공학 기법이다.

  1. 2022년~ 랩서스(LAPSUS$)의 기업 데이터 탈취 건한국 S사의 소스 코드 탈취(190GB 분량이며 보안, 녹스, 부트로더, 디펜스 엔지니어링, 사내 깃허브 데이터)
    한국 L사의 계정 및 데이터 덤프 유출(직원 및 서비스 계정 덤프, 협업툴 컨플루언스의 데이터 덤프)
    미국 N사의 'RTX 3090Ti'의 설계도를 포함한 1TB 분량의 문서 및 소스코드, 데이터 탈취

최근 기업을 노리는 해킹의 특징

  1. 무작위 공격이 아닌 사전 준비된 계획과 치밀한 사회 공학적 공격
  2. 계정 탈취를 통한 시스템 접근 권한 확보 -> 내부 정찰 후 더 높은 권한의 계정 확보 -> 데이터 유출 및 금전 갈취
  3. 다양한 기법을 통한 인증 무력화
    • 공격 대상을 속여 민감한 정보를 노출하게 만드는 소셜 엔지니어링
    • 대상자의 휴대전화 유심칩을 복사해 권한을 빼앗는 SIM 스와핑
    • 개인용 이메일 해킹 등 다양한 수법을 동원

어떻게 대비할 것인가?

  1. 업무용 기기와 개인용 기기의 분리
  2. 주요 저장소의 불필요한 접속 차단(원격 접속지 차단)
  3. 이중 인증 사용
  4. 업무와 관련된 사항은 SNS에 기재하지 말것

마무리

기업 정보보안에 있어서 가장 큰 위협은 컴퓨터 바이러스, 패치가 적용되지 않은 중요한 프로그램이나 잘못 설정된 보안 설정이 아니다. 가장 큰 위협은 바로 당신이다.
- 케빈 미트닉 -

참고

엔비디아 털어간 해커조직에 삼성도 당했다.
삼성 뚫은 해커집단 랩서스, 공격수법 드러났다