오늘은 주말동안 본 EQST 연간 보고서의 내용을 정리한 파일을 공유해볼까 한다.
http://www.skinfosec.com/newsRoom/eqstInsight/eqstInsightList.do
SK infosec
www.skinfosec.com
아래 링크에 EQST Annual Report를 다운받아 확인할 수 있다. 그밖에도 달마다 EQST insight를 발행하고 있어 월간 보안 이슈를 확인할 수 있다.
EQST는 2020년에 발생한 보안이슈를 위 5가지로 정리했다. 이 중 다크웹 거래의 활성화, 공급망을 이용한 APT 공격 증가, 랜섬웨어 고도화는 실제로 2020년 EQST가 예측한 항목으로, 일치하는 것을 확인할 수 있다.
개인적으로 위 다섯가지 항목 중 크리덴셜 스터핑 공격에 대해서 주목하게 되었다. 크리덴셜 스터핑(Credential Stuffing)은 이미 탈 취된 계정으로 다른 서비스에 자격 증명을 대입해 권한을 획득하는 것이다. 즉, 다른 사이트에서 얻은 정보로 또 다른 사이트에 로그인 하는 것이다.
이는 다크웹 거래 활성화와도 연관되는데 여기서 개인정보 거래가 늘고, 사용자들은 편의를 위해 여러 사이트의 계정 정보를 동일하게 입력하여 다량의 사이트에 불법 접근하는 사례가 증가하였다고 한다. 특히 보안업게 AKAMAI에서 발표한 <인터넷 보안 현황보고서>에 따르면 대한민국은 크리덴셜 스터핑 발생 국가 6위로 이러한 보안위협에 안전한 국가가 아님을 확인할 수 있어 더욱 주의를 기울여야겠다는 생각을 하였다.
실제로 2020년 주요 해킹사고의 원인 중 23%가 크리덴셜스터핑으로 이는 여타 항목과 비교하였을 때 압도적으로 높은 발생횟수를 가지고 있다.
이러한 크리덴셜스터핑에 의한 사례 중 하나로 2020년 초 한 유명 연예인의 휴대폰 해킹 사건이 있다. 이에 대한 내용과 관련 기사는 아래 링크 2개에서 보다 자세하게 설명하고 있다.
https://m.blog.naver.com/skinfosec2000/222038143450
연예인 핸드폰 해킹 주범! ‘크리덴셜 스터핑’은 무엇일까?
최근 연예인 핸드폰 해킹 사건, 모바일 금융 서비스 부정 결제 사건 등 해킹 공격으로 인한 피해 사...
blog.naver.com
http://it.chosun.com/site/data/html_dir/2020/01/11/2020011100342.html
연예인 폰 해킹 주범 '크리덴셜스터핑'…해킹 배후도 밝혀지나
배우 주진모를 비롯해 유명 연예인을 상대로 한 스마트폰 해킹 사건을 두고 논란이 일파만파 커지는 모습이다. 주 씨의 경우 과거 여러 차례 피해를..
it.chosun.com
실제로 해당 유명 연예인 뿐만 아니라 해킹자는 스마트폰을 복제후 카카오톡, 문자 등에서 민감 정보를 확보하였고 총 8명의 피해 연예인으로 확장되었다. 뿐만 아니라 이 중 5명의 연예인은 총 6억원 가량의 금품까지 협박법에게 건네었다고 한다.
추가로 보안 시나리오, 2021 5대 사이버 위협 전망은 아래의 노트필기된 PDF를 참고하길 바라며, 올해는 비밀번호 등을 비롯한 개인정보 등을 좀더 소중하게 관리해야겠다는 생각이 들었다. 정보 유출이 되면 그 정보는 다시 돌아올 수가 없으닌깐....
(광광😢)
출처
https://m.blog.naver.com/skinfosec2000/222038143450
http://www.skinfosec.com/newsRoom/eqstInsight/eqstInsightList.do
'개발 > 보안' 카테고리의 다른 글
| [국제/국내 인증기관] ISO27001과 ISMS(ISMS-P) 비교 (0) | 2021.01.18 |
|---|---|
| [개인정보보호] 개인정보 개념 및 중요성 (0) | 2021.01.12 |
| OWASP TOP10 - 2017 (0) | 2021.01.10 |
| 방화벽과 웹 방화벽 (0) | 2021.01.07 |
| 네트워크 보안 개념 (0) | 2021.01.07 |