크리니티 뉴스레터

한국인터넷진흥원(KISA)은 코로나19 확산에 따른 사회적 관심과 불안감을 악용한 랜섬웨어가 유포될 가능성이 높아 국민 및 기업의 철저한 대비를 당부한다고 밝혔다. 최근 마스크 무료 배포, 감염자 동선 확인 등 가짜 문자메시지를 악용한 스미싱 공격이 지속적으로 발생하고 있으며, 2017년 전 세계적으로 큰 피해가 발생했던 워너크라이(WannaCry) 랜섬웨어와 유사한 방식으로 취약한 PC를 감염시킬 수 있는 취약점에 대한 보안 업데이트가 긴급 발표되는(3.13) 등 코로나19 이슈를 악용한 랜섬웨어의 유포 위험성이 높아지는 상황이다...

지난 2월, 정기 패치를 통해 해결된 마이크로소프트 익스체인지 서버의 취약점을 겨냥하는 해커들의 공격 빈도가 높아졌다는 발표가 나왔다. 이 취약점은 CVE-2020-0688로 마이크로소프트 익스체인지(Microsoft Exchange 2010, 2013, 2016, 2019)에 영향을 주는 것으로 알려져 있다. 설치 시 고유 암호화 키를 생성하지 않아 발생하는 문제라고 한다. 이 문제에 대한 패치를 발표하고 얼마 지나지 않아 제로 데이 이니셔티브(Zero Day Initiative, ZDI)는 해당 취약점에 대한 추가 정보를 공개했다. 여기에는 익스플로잇 방법이 같이 포함되어 있었는데, 이 내용이 공개된 직후부터 취약한 서버를 찾아내려는 스캔 행위가 크게 증가했다...

85만개 이상의 웹사이트들이 여전히 오래된 TLS 1.0과 1.1 프로토콜을 사용하고 있지만, 대부분의 주요 브라우저들이 이번 달 말 이들에 대한 지원을 제거하기로 했다. 영국 넷크래프트(Netcraft)가 5일 발표한 보고서에 따르면 여기에는 주요 은행, 정부, 뉴스 기관, 통신, 전자 상거래 상점 및 인터넷 커뮤니티 웹사이트가 포함된다. 이들 웹사이트는 모두 HTTPS를 사용하지만, 이들은 취약한 버전인 TLS 1.0 및 TLS 1.1 프로토콜로 구축된 암호화 인증서를 통한 HTTPS 연결을 지원한다. 이 둘은 각각 1996년과 2006년에 발표된 오래된 프로토콜이다. 이 프로토콜은 지난 20년 동안 공개된 BEAST, LUCKY 13, SWEET 32, CRIME, POOLDE 같은 일련의 암호화 공격에 취약한 암호화 알고리즘을 사용하고 있다. 이 공격들을 통해 공격자는 HTTPS를 해독하고 사용자의 일반 텍스트 웹 트래픽에 접근할 수 있다...

정부가 상용 소프트웨어(SW) 구매 절차를 명확히 정립하고 불필요한 규제를 완화했다. 조달청은 정부 조달 상용 SW 계약과 관련한 업무 처리 기준을 제정하고 계약 조건을 개정해 3월 1일부터 시행한다고 2월 27일 밝혔다. 이번 제·개정 내용은 ▲계약 기간 ▲계약 신청 자격 ▲보안 관리 ▲중간 점검 ▲분리 발주 등 계약 처리 과정 전반을 아우른다. 이번 개정으로 기본 계약 기간은 2년에서 3년으로 1년 늘어난다. 그간 계약 기간 연장으로 인해 SW 업체가 거래 자료를 제출하는 등의 부담이 있던 것을 줄이기 위해서다. 계약 신청 자격은 과거보다 진입 요건을 명확히 했다. 품질인증 요건(GS인증, CC인증)이나 제조사(또는 전담공급확약 공급사) 여부 등을 확인한다. 보안 관리도 엄격해진다. 만일 보안 취약점이 발생하면 국가정보원의 취약점 제거 요구를 이행할 때까지 쇼핑몰 판매가 중지된다...

공공이 민간 클라우드를 도입, 공무원 당 2대를 사용하던 PC를 1대로 줄이는 작업을 시작한다. 마이크로소프트(MS) 운용체계(OS) 윈도 대신 개방형 OS를 도입하는 등 특정 OS 종속도에서 벗어난다는 계획이다. 행정안전부는 이 같은 계획을 담아 개방형 OS 도입 전략을 수립하고 오는 10월부터 행안부 일부 인터넷PC(200여대 규모)에 개방형OS를 시범 도입할 계획이라고 밝혔다. 공공기관은 정보 보호를 위해 공무원 1인이 행정업무용 PC와 인터넷용 PC 등 2대를 사용하고 있다. 행안부는 민간 클라우드 기반의 가상 PC 환경(DaaS)을 도입해 PC를 2대에서 1대로 줄인다. 가상 PC 환경은 PC를 책상 위에 두지 않고 필요한 때만 데이터센터에 접속해 원격으로 이용하는 것이다...

4차 산업혁명 시대의 기본 인프라는 인터넷을 통해 편리하게 정보를 처리하고 이용할 수 있게 만드는 ‘클라우드(Cloud)’다. 정부는 공공부문에서부터 선도적으로 클라우드 서비스를 적용하며 ‘디지털 혁신 정부’를 위한 초석을 다지고 있다. 지난 1월 14일 과학기술정보통신부와 한국정보화진흥원(NIA)가 주최한 ‘공공부문 클라우드 성과보고 및 2020 전략 공유회’에서 과학기술정보통신부 홍사찬 과장은 “한국이 클라우드를 늦게 도입했음에도 불구하고 빠르게 성장한 것은 공공부문이 마중물 역할을 해준 덕분”이라고 말문을 열었다. 또한 대규모 공공 핵심 분야에 지자체 중점 지원 및 SaaS 활용을 선도적으로 지원하고, 상시기술지원 체계 운영과 공공기관에 클라우드 교육 등을 실시해 인식 확산에 나설 계획이다...