2018年

08月

정보보호뉴스레터

매월 첫번째월요일은롯데그룹정보보호의 날

Contents

07月정보보호이슈 –윈도우XP 기반의 POS 시스템해킹사고

윈도우 XP 보안 취약성 악용으로 결제 단말기 10만대 마비

4

■ 사건 개요 및 경위

1. 다양한 네트워크 연결

■ POS 시스템 위협 요인

인터넷 연결 끊김 증상 발생

→ POS 단말기 10만대 마비

윈도우 서비스의

인터넷 연결 관련 항목에 영향

■ 대응 방안

회원 여부 조회, 포인트 사용, 결제 정보 전송,

매출 현황 집계 등을 위한 네트워크 연결

윈도우 XP의 보안 취약점을

이용한 악성코드 공격

직원들의 POS 단말기를 통한

온라인 쇼핑이나 SNS 등 인터넷 이용

3. 애플리케이션 취약점

필요에 따른 POS 시스템 내 문서프로그램 등

다양한 애플리케이션 설치

2. 부적절한 POS 단말기 이용 행태

백신프로그램 업데이트 및

정밀 검사 수행

POS 단말기 인터넷 차단

보안 패치가 가능한 윈도우로

업그레이드하여 사용 권장

PC

POSWindows XP

···

08月정보보호 Report –계정탈취방법및위험성

해커의 계정 탈취/활용 방법 및 위험성

5

■ 사회 공학

피싱 사이트 내에서

사용자가 로그인 하도록 유도

해커의 계정 탈취 방법

링크 또는 첨부파일 클릭을

유도하는 내용의 메일 발송

무작위로 암호를 대입하여

보안성이 낮은 계정 탈취

계정 탈취의 위험성

탈취한 계정 활용 방법

■ 계정 피싱 ■ 무차별 대입 공격

아이디

비밀번호

(가짜사이트)

■ 봇넷 구축

탈취한 계정으로 봇넷 구축 후

추가적인 공격 감행

기존 유출 정보를 바탕으로

새로운 사이트 계정 탈취

■ 크리덴셜 스터핑

여름 휴가 맞이

임직원 콘도 추첨

lotte_refresh.pdf

A사이트 B사이트

lotte2

ab1234**

lotte2

ab1234**성공!

lotte2

1234

lotte2

abcd

lotte2

qwer

여러 사이트에

동일 계정 사용 시 피해 증가

···

B 사이트

Z 사이트

해킹

기업 중요 데이터 유출

기밀 문서

추가적인 정보 유출 위협 및

금전 요구

관리자 계정 탈취 후

계정 권한 상승

■ 관리자 권한 획득

08月정보보호 Report –사고사례

계정 탈취 사고 사례

6

공격자 → 첨부파일을

열도록 유도하는 메일 발송

1. 사회공학 – “파워블로거 계정 탈취 후 후기 조작”

이메일, SNS를 통한

피싱 사이트 URL 유포

2. 계정 피싱 및 스팸 – “넷플릭스 사이트 피싱으로 계정당 25센트에 암거래＂

타 은행에서 유출된

고객정보 획득

3. 크리덴셜 스터핑 – “우리은행, 크리덴셜 스터핑으로 고객정보 5.6만건 로그인”

유명 파워블로거

125명 계정 탈취

자신의 쇼핑몰 홍보를 위한

댓글 및 후기 작성

주소 클릭 시, 가짜 넷플릭스

사이트로 유인 후 계정 탈취

건당 25센트에 암거래

사이트를 통해 재판매

계좌정보와 자산상태 등

중요 개인정보 노출

우리은행 뱅킹 사이트에서

총 85만회 로그인 시도

I D : lo1PW: ****

I D : lo2PW: ****

I D : lo5PW: ****

···

www://… virus …

www://… virus …

계좌정보

개인정보

자산상태85만회

lotte20

********

08月정보보호 Report –계정보안예방수칙

계정 보안을 위한 예방수칙

7

동일 비밀번호 재사용 금지

회사 이메일 주소

개인 계정으로 사용 금지

복잡한 비밀번호로 설정

개인용

업무용

2단계 인증을 제공할 경우

인증 설정하기

1차 인증

lotte2

ab1234**+

2차 인증

네이버 앱 알림을

통한 2단계 인증

휴대폰 인증코드를

통한 2단계 인증

메시지 또는 앱을

통한 2단계 인증

해브 아이 빈 폰드(Have I been pwned)

이메일계정을검색하여개인정보가유출되었는지확인하는웹사이트

Security Tip! Tip! Tip!

개인정보 유출 여부를 확인할 수 있는 사이트 ‘Have I been pwned?’

8

이메일 입력 후

Pwned? 버튼 클릭

1 안전한 상태 2 정보가 유출된 상태

정보보호위원회활동

9

1. 2018년 7월정보보호실무위원회

일 시 : 2018년 7월 25일(수) 15:00 ~ 17:00

장 소 : 롯데슈퍼본사(잠실) 3층교육장

참석자 : 계열사정보보호부서장및담당자 67명 (40개社)

내 용 : 윈도우 XP기반의 POS 시스템이슈및대응방안

화이트리스트소개

그룹사외부감독기관점검사례공유

'18년그룹정보보호캠페인운영진행현황

'18년 2분기모의바이러스훈련결과공유

그룹정보보호수준진단개선방향

정보보호교육및세미나

10

구분 세부내용

교육명 제12회국제사이버시큐리티콘퍼런스 (ISEC 2018)

교육일시 2018년 8월 30(목) ~ 8월 31일(금) 09:00~17:00

교육장소 COEX 1층그랜드볼룸, 콘퍼런스룸(북) 2층, 오디토리움

등록방법 http://www.isecconference.org/2018/kor/visitor02.html

1) 국제사이버시큐리티콘퍼런스 (ISEC 2018) * 참가비무료(사전등록시)

발행처 : 롯데그룹 정보보호위원회

Homepage: https://secupolicy.net

E-mail: secu_policy@lotte.net

Tel: (02) 2626-3644

정보보호뉴스레터