The Hackers News 발췌 분
Google Secretly Tracks What You Buy Offline Using Mastercard Data
l 구글은 위치 이력을 비활성 하더라도 사용자가 오프라인으로 구매한 목록을 추적할 수 있게 마스터카드 사와의 은밀한 거래가 있었고, 이 정보들을 수집하기 위해 마스터카드 사에 수백만 달러를 지불했음을 시인했습니다.
l 제보자에 의하면 4년전 구글과 마스터카드는 미국 내 모든 마스터카드 처리 데이터를 암호화하여 구글에 제공하는 것으로 협상하였고, 구글은 “Store Sales Meaturement”라는 새 광고용 툴로 해당 데이터를 패키징하여, 현재 소수의 광고주들과 함께 이 도구를 테스트하여 온라인 광고가 실제 소매 판매로 전환되었는지 여부를 추적 할 수 있도록 했습니다.
l 사용자는 자신의 Google 계정에서 '웹 및 앱 활동'을 끄기만하면 이 오프라인 광고 추적을 해제할 수 있습니다.
l 뉴스보기
No.1 Adware Removal Tool On Apple App Store Caught Spying On Mac Users
l 애플의 맥(Mac) 앱스토어에서 애드웨어 및 멀웨어로부터 사용자를 보호하는 어플리케이션인 애드웨어 닥터(Adware Doctor)가 아이러니하게도 사용자의 동의없이 탐색 기록을 중국 서버에 보내는 것으로 드러났습니다.
l 애드웨어 닥터(Adware Doctor)는 4.99 달러에 판매되며, Apple Store에서 네 번째로 인기있는 유료앱으로 “Mac에서의 악성코드 감염 방지”로 가장 장 알려진 앱 입니다.
l 이것을 발견한 전 NSA 직원인 Patrick Wardle는 Apple에게 이 문제를 문의했지만 아무런 조치가 없었으며, 블로그 및 언론 매체에 발표된 이후에야 애플은 앱스토어에서 해당 어플리케이션을 삭제했으나, 개발사에서는 현재까지 아무런 조치를 취하고 있지 않습니다. 때문에 해당 앱을 시스템에서 삭제하는 것이 권고됩니다.
l 뉴스보기
U.S. Charges North Korean Spy Over WannaCry and Sony Pictures Hack
l 미국 법무부는 2017년 전세계를 강타한 WannaCry 랜섬웨어 공격과 2014년 Sony Pictures Entertainment 해킹과 관련하여 북한 정부기관 스파이인 박진혁에 대한 내용을 발표했습니다.
l 북한 군사 정보국 정찰 총국의 박진혁은 국제적인 해킹 그룹인 라자루스 그룹과도 연관되어 있으며, 라자루스는 북한 정부가 만들었다고 주장되고 있습니다.
l 미국 당국은 WannaCry와 Sony Pictures 공격에 대해 북한을 지목한 적은 있으나, 용의자를 직접 공개하는 것은 처음이며 법무부는 기소에 관해서는 아직 언급하지 않았습니다.
l 뉴스보기
British Airways Hacked – 380,000 Payment Cards Compromised
l British Airways는 지난 2주 동안 38만명 이상의 고객 개인 정보 및 신용카드 번호가 유출되었다고 밝혔습니다.
l 8월 21일과 9월 5일 사이에 British Airways의 웹사이트(ba.com)와 모바일 앱으로 티켓을 예약한 고객이 타겟이 되었습니다.
l 또한, 웹사이트나 모바일 앱에 저장된 카드정보는 유출되지 않았고, 감염된 기간 내 부킹 지불 시 사용된 카드정보만 유출되었다고 전했습니다.
l 뉴스보기
Someone Hijacked MEGA Chrome Extension to Steal Users' Passwords
l Chrome의 공식 확장 프로그램인 MEGA.nz 클라우드 스토리지 서비스가 훼손되어 아마존, 마이크로소프트, 깃허브, 구글 등의 유명한 웹사이트 및 사용자 암호화폐의 개인키를 유출시킬 수 있는 악성 버전으로 변경되었습니다.
l 9월 4일에 MEGA의 구글 크롬 웹스토어 계정이 공격자에게 해킹되어 악성 버전인 3.39.4 버전이 웹스토어로 업로드 된 것으로 보고되었습니다. Firefox에서는 감염될 위험이 없는 것으로 보여지며, 보안위협이 발생된 4시간 이후 개발사에서 안전한 MEGA 3.39.5 버전을 제공하였습니다. 또한 구글은 웹 스토어에서 MEGA 확장 프로그램을 제거하였습니다.
l 이 확장 프로그램을 설치한 사용자들은 MEGA 확장 프로그램 버전 3.39.4을 바로 삭제하고, 모든 계정의 암호를 변경하는 것이 고됩니다.
l 뉴스보기
KISA 보안공지
기타 동향
개인영상정보 보호 위반, 7년간 과태료 총 33회 불과
l CCTV 등 카메라 설치가 늘면서 영상의 형태로 된 개인정보, 일명 '개인영상정보' 보호 문제가 대두되고 있습니다.
l 그러나 개인영상정보를 보호하기 위한 관련 법의 실효성이 낮고 규제 사각지대 등이 존재하는 만큼 법 개정을 통한 문제 해결이 시급하단 지적이 나옵니다.
l 10일 국회입법조사처의 '개인영상정보 보호 관련 현황과 향후 과제'에 따르면, 개인영상정보 보호 관련 법 위반에 따른 제재처분이 실질적으로 미미한 것으로 나타났습니다.
l 뉴스보기
"거래계좌 바뀌었다" 이메일 사기...전세계 피해액 13조원 넘어
l 한국에너지기술연구원도 당한 비즈니스이메일침해(BEC) 손실액이 120억 달러(약 13조4800억원)에 달하는 것으로 드러났습니다.
l 미연방수사국(FBI) 조사에 따르면 2013년 10월부터 올해 5월까지 BEC로 국제 피해가 120억 달러를 넘었습니다.
l 많은 BEC 공격이 CEO나 CFO를 등 고위직을 표적한다고 생각했지만 실제로 피해자 상당수는 낮은 직급이었습니다.
l 뉴스보기
시스코 “사이버위협 경보 70% 방치하는 韓 기업”
l 6일 시스코코리아에 따르면 국내 기업 61%가 매일 5000건 이상의 보안 경보를 감지하고 있으나, 위협 경보 중 70%가 제대로 된 조치 없이 방치되고 있습니다.
l 시스코코리아(대표 조범구)는 최근 한국, 중국, 일본을 포함 아태지역 11개국 2000여명의 보안 전문가를 대상으로 실시한 ‘시스코 2018 아태지역 보안 역량 벤치마크 보고서’를 발표했습니다.
l 이 보고서에 의하면 조사가 이뤄지는 30%의 보안 경보 중에도 실제 위협으로 판단된 경우는 그 중 16%에 불과했습니다. 이는 글로벌 평균 34% 및 아태지역 표준 44%보다 낮은 수치입니다.
l 뉴스보기
中·EU 이어 인도까지… '데이터 보호주의' 확산
l 유럽, 중국에 이어 인도도 개인정보보호를 명분으로 데이터의 국외 이전 제한을 추진하고 있습니다.
l 글로벌 정보기술(IT) 기업을 견제하면서 자국 기업을 육성하려는 ‘데이터 보호주의’ 전략입니다.
l 전문가들은 한국 정부도 해외의 데이터 보호정책을 참조할 필요가 있다고 조언합니다.
l 뉴스보기
'IT소식' 카테고리의 다른 글
[보안뉴스] 2018년 9월 4주 동향 (0) | 2018.10.01 |
---|---|
[보안뉴스] 2018년 9월 3주 동향 (0) | 2018.09.18 |
골드만삭스 "암호화폐 투자 계획 중단 소식은 가짜 뉴스" (0) | 2018.09.10 |
[보안뉴스] 2018년 9월 1주 동향 (0) | 2018.09.03 |
2019년 국방 정보보호예산, 전년대비 39% 커졌다 (0) | 2018.08.30 |