사용자 보안 intro
목적
- 개발팀의 사용자 보안 경각심 향상
- 최근의 사례를 통한 해킹 트렌드 파악 및 피해 예방
사례 소개
- 2022년 4월 6일 피싱(phishing) 메일 수신 건
피싱(phishing)은 전자 우편 또는 메신저를 사용해서 신뢰할 수 있는 사람 또는 기업이 보낸 메시지인 것처럼 가장함으로써, 비밀번호 및 신용카드 정보와 같이 기밀을 요하는 정보를 부정하게 얻으려는 사회공학 기법이다.
- 2022년~ 랩서스(LAPSUS$)의 기업 데이터 탈취 건한국 S사의 소스 코드 탈취(190GB 분량이며 보안, 녹스, 부트로더, 디펜스 엔지니어링, 사내 깃허브 데이터)
한국 L사의 계정 및 데이터 덤프 유출(직원 및 서비스 계정 덤프, 협업툴 컨플루언스의 데이터 덤프)
미국 N사의 'RTX 3090Ti'의 설계도를 포함한 1TB 분량의 문서 및 소스코드, 데이터 탈취
최근 기업을 노리는 해킹의 특징
- 무작위 공격이 아닌 사전 준비된 계획과 치밀한 사회 공학적 공격
- 계정 탈취를 통한 시스템 접근 권한 확보 -> 내부 정찰 후 더 높은 권한의 계정 확보 -> 데이터 유출 및 금전 갈취
- 다양한 기법을 통한 인증 무력화
- 공격 대상을 속여 민감한 정보를 노출하게 만드는 소셜 엔지니어링
- 대상자의 휴대전화 유심칩을 복사해 권한을 빼앗는 SIM 스와핑
- 개인용 이메일 해킹 등 다양한 수법을 동원
어떻게 대비할 것인가?
- 업무용 기기와 개인용 기기의 분리
- 주요 저장소의 불필요한 접속 차단(원격 접속지 차단)
- 이중 인증 사용
- 업무와 관련된 사항은 SNS에 기재하지 말것
마무리
기업 정보보안에 있어서 가장 큰 위협은 컴퓨터 바이러스, 패치가 적용되지 않은 중요한 프로그램이나 잘못 설정된 보안 설정이 아니다. 가장 큰 위협은 바로 당신이다.
- 케빈 미트닉 -