IT 관련 정보, 소식, 팁, 리뷰IT 관련 정보, 소식, 팁, 리뷰

유가가  하늘 높은 줄 모르고 오르는 기름 값 때문에 경제 사정이 어려워지자 정부에서 유가환급금 제도를 마련해서 시행 중입니다.

요새 같은 경제가 좋지 않은 상황에서 최저 6만원에서 최고 24만원까지 돌려 받을 수 있는 유가 환급금은 서민들에게는 적지 않은 돈입니다. 그리고 정부에서도 유가 환급금 제도를 홍보하고 있습니다.

국세청 유가 환급지급 홈페이지에서는 유가 환급금 신청을 접수 받고 있습니다.  10월달에 신청하면 11월에 받을 수 있고 지금 신청하면 12월에 받을 수 있습니다.    적지 않은 돈이기 때문에 많은 분들이 국세청 홈페이지를 통해 신청하는 분들이 많습니다.

그런데 유가 환급금을 신청할 때 개인 정보가 줄줄 샜다고 합니다.

유가환급금은 국세청 홈텍스를 통해 신청하는데 신청할 때 몇가지 개인 정보를 컴퓨터의 하드 디스크에 저절로 저장시켜 노출되도록하는 치명적인 결함(한겨레신문 11/10일자 2면)이 있었다고 합니다.

신청을 하고 나면 ERS라는 폴더가 생기고 그 안에 네 개의 파일이 생긴다고 하는데 만들어진 파일 이름과 내용을 보면 기가 막힙니다.

파일 이름은 자신의 주민 등록 번호고,  파일 안에는 신청할 때 적은  자신의 이름, 아이디, 주민 등록 번호, 주소, 전화 번호, 회사명, 은행 계좌번호 등이 들어가 있습니다.  개인들에게는 아주 기본적인 정보들로써 보호가 되어야하는 내용들입니다. 

파일이 만들어지는데 더욱 놀라운 것은 이들 파일이 암호화되어 있지 않은 텍스트 정보라는 것입니다.  한계레 신문의 기사에 있는 사진을 보니 텍스트 편집기인 EditPlus로 보고 있는데 개인 정보가 그대로 보이네요(물론 중요 정보는 흐리게 처리하여 보이지 않습니다)

개인 정보 파일을 만들지 않으면 안되는 상황이면 파일을 보더라도 알지 못하게 암호화해서 만들어야하고, 사용을 다하면 삭제를 해야하는게 기본적인 보안 상식인데 국세청과 삼성SDS는 이를 소홀히 한 것입니다.

삼성SDS와 국세청이 보안 결함을 발견하여 7일부터 수정했지만 이미 대상자 1650만면 가운데 800만명이 이미 신청을 마쳤다고 하네요.

개인 정보 유출이 심각한 문제로 부각된 것이 어제 오늘의 일이 아닌데 또 다시 이런 헛점을 들어내다니 안타깝고 어이 없습니다.

대부분이 개인 PC를 이용하여 신청을 했겠지만 혹시나 공용 PC나 피시방 등에서 신청하였을 경우 심각한 피해가 우려될 수 있습니다. 

조심 조심 한다고해도 개인 정보는 내 의지와 상관 없이 샐 수 있으므로 자신의 PC가 아닌 다른 PC에서 개인 정보를 입력하지 않도록 주의해야겠습니다.

혹시 유가환급금 신청하신 분들 아직 PC에 ERS라는 폴더가 남아 있는지 확인하시고 남아 있다면 바로 삭제를 해 버리십시오.

유가가  하늘 높은 줄 모르고 오르는 기름 값 때문에 경제 사정이 어려워지자 정부에서 유가환급금 제도를 마련해서 시행 중입니다.

요새 같은 경제가 좋지 않은 상황에서 최저 6만원에서 최고 24만원까지 돌려 받을 수 있는 유가 환급금은 서민들에게는 적지 않은 돈입니다. 그리고 정부에서도 유가 환급금 제도를 홍보하고 있습니다.

국세청 유가 환급지급 홈페이지에서는 유가 환급금 신청을 접수 받고 있습니다.  10월달에 신청하면 11월에 받을 수 있고 지금 신청하면 12월에 받을 수 있습니다.    적지 않은 돈이기 때문에 많은 분들이 국세청 홈페이지를 통해 신청하는 분들이 많습니다.

그런데 유가 환급금을 신청할 때 개인 정보가 줄줄 샜다고 합니다.

유가환급금은 국세청 홈텍스를 통해 신청하는데 신청할 때 몇가지 개인 정보를 컴퓨터의 하드 디스크에 저절로 저장시켜 노출되도록하는 치명적인 결함(한겨레신문 11/10일자 2면)이 있었다고 합니다.

신청을 하고 나면 ERS라는 폴더가 생기고 그 안에 네 개의 파일이 생긴다고 하는데 만들어진 파일 이름과 내용을 보면 기가 막힙니다.

파일 이름은 자신의 주민 등록 번호고,  파일 안에는 신청할 때 적은  자신의 이름, 아이디, 주민 등록 번호, 주소, 전화 번호, 회사명, 은행 계좌번호 등이 들어가 있습니다.  개인들에게는 아주 기본적인 정보들로써 보호가 되어야하는 내용들입니다. 

파일이 만들어지는데 더욱 놀라운 것은 이들 파일이 암호화되어 있지 않은 텍스트 정보라는 것입니다.  한계레 신문의 기사에 있는 사진을 보니 텍스트 편집기인 EditPlus로 보고 있는데 개인 정보가 그대로 보이네요(물론 중요 정보는 흐리게 처리하여 보이지 않습니다)

개인 정보 파일을 만들지 않으면 안되는 상황이면 파일을 보더라도 알지 못하게 암호화해서 만들어야하고, 사용을 다하면 삭제를 해야하는게 기본적인 보안 상식인데 국세청과 삼성SDS는 이를 소홀히 한 것입니다.

삼성SDS와 국세청이 보안 결함을 발견하여 7일부터 수정했지만 이미 대상자 1650만면 가운데 800만명이 이미 신청을 마쳤다고 하네요.

개인 정보 유출이 심각한 문제로 부각된 것이 어제 오늘의 일이 아닌데 또 다시 이런 헛점을 들어내다니 안타깝고 어이 없습니다.

대부분이 개인 PC를 이용하여 신청을 했겠지만 혹시나 공용 PC나 피시방 등에서 신청하였을 경우 심각한 피해가 우려될 수 있습니다. 

조심 조심 한다고해도 개인 정보는 내 의지와 상관 없이 샐 수 있으므로 자신의 PC가 아닌 다른 PC에서 개인 정보를 입력하지 않도록 주의해야겠습니다.

혹시 유가환급금 신청하신 분들 아직 PC에 ERS라는 폴더가 남아 있는지 확인하시고 남아 있다면 바로 삭제를 해 버리십시오.

구글 크롬의 아이디와 비밀번호 보이기

Firefox의 비밀 번호 보이기

기사 내용 보기

구글 크롬의 아이디와 비밀번호 보이기

Firefox의 비밀 번호 보이기

기사 내용 보기

GS 칼텍스의 개인 정보 유출로 한바탕 떠들석했는데 이젠 메모리 해킹 기사가 깜짝 놀래키네요.  사용자가 정보를 입력하기를 기다릴 필요가 없이 메모리에 정보가 남아 있으면 언제든지 빼내갈 수 있다고하니 이건 좀 무섭군요.

다음은 전자신문 기사 내용입니다.

　‘메모리만 읽어도 비밀번호를 빼낼 수 있다(?)’

　그룹웨어·메신저·웹하드 등에서 아이디와 비밀번호를 입력 즉시 암호화하지 않을 경우 메모리 해킹에 의해 언제든지 유출될 수 있다는 사실이 밝혀져 충격을 주고 있다.

　국내 최대 해커그룹 파도콘은 5일과 6일 이틀동안 제주도에서 열린 ‘한국침해사고대응팀협의회(CONCERT) 정회원 워크숍’에서 암호화되지 않은 평문 비밀번호가 얼마나 쉽게 해킹당할 수 있는지를 보여주기 위해 해킹을 시연했다.

　시연자는 한 PC에 프로그램 접속을 위해 아이디·비밀번호를 입력해 놓고, 잠시 후 다른 PC에서 해당 PC에 침입해 들어간 후 메모리 뷰어로 메모리를 읽었더니 조금 전 입력되어 있는 아이디와 비밀번호를 곧바로 찾을 수 있었다.

　이 아이디와 비밀번호는 그룹웨어·메신저·웹하드와 같은 프로그램에 접속하기 위해 입력된 것이다. 그룹웨어나 메신저와 같은 프로그램은 인터넷브라우저가 아닌 별도의 전용 창을 띄우는 프로그램으로, 이 같은 전용 프로그램은 주소를 찾기가 쉬워 아이디·비밀번호 유출 가능성이 크다.

　국내 대부분의 프로그램들이 아이디·비밀번호 입력 즉시 암호화하도록 하는 장치를 마련하지 않아 이번 시연은 보안 담당자들에게 큰 충격을 줬다.
포토기사

　특히 메모리 해킹 방식은 키로그 해킹 방식처럼 굳이 사용자가 정보를 입력할 때까지 기다려야 할 필요가 없어 해커가 마음만 먹으면 언제든지 정보를 빼낼 수 있다는 점에서 위험이 크다. 메모리해킹은 기존 보안 프로그램으로도 잡아낼 수 없어 각별한 주의가 필요할 것으로 보인다.

　해킹을 시연한 파도콘의 태인규씨는 “인터넷 사이트는 주소를 일일이 찾아야 한다는 점에서 아이디·비밀번호를 찾아내는 것이 어렵지만 해당 기능만을 위해 별도의 창을 띄워 사용하는 프로그램에서는 메모리에 쉽게 기록이 남는다”며 “대부분의 사람들이 아이디·비밀번호를 통일해 사용하는 만큼 정보가 유출되지 않도록 암호화해야 한다”고 말했다.

GS 칼텍스의 개인 정보 유출로 한바탕 떠들석했는데 이젠 메모리 해킹 기사가 깜짝 놀래키네요.  사용자가 정보를 입력하기를 기다릴 필요가 없이 메모리에 정보가 남아 있으면 언제든지 빼내갈 수 있다고하니 이건 좀 무섭군요.

다음은 전자신문 기사 내용입니다.

　‘메모리만 읽어도 비밀번호를 빼낼 수 있다(?)’

　그룹웨어·메신저·웹하드 등에서 아이디와 비밀번호를 입력 즉시 암호화하지 않을 경우 메모리 해킹에 의해 언제든지 유출될 수 있다는 사실이 밝혀져 충격을 주고 있다.

　국내 최대 해커그룹 파도콘은 5일과 6일 이틀동안 제주도에서 열린 ‘한국침해사고대응팀협의회(CONCERT) 정회원 워크숍’에서 암호화되지 않은 평문 비밀번호가 얼마나 쉽게 해킹당할 수 있는지를 보여주기 위해 해킹을 시연했다.

　시연자는 한 PC에 프로그램 접속을 위해 아이디·비밀번호를 입력해 놓고, 잠시 후 다른 PC에서 해당 PC에 침입해 들어간 후 메모리 뷰어로 메모리를 읽었더니 조금 전 입력되어 있는 아이디와 비밀번호를 곧바로 찾을 수 있었다.

　이 아이디와 비밀번호는 그룹웨어·메신저·웹하드와 같은 프로그램에 접속하기 위해 입력된 것이다. 그룹웨어나 메신저와 같은 프로그램은 인터넷브라우저가 아닌 별도의 전용 창을 띄우는 프로그램으로, 이 같은 전용 프로그램은 주소를 찾기가 쉬워 아이디·비밀번호 유출 가능성이 크다.

　국내 대부분의 프로그램들이 아이디·비밀번호 입력 즉시 암호화하도록 하는 장치를 마련하지 않아 이번 시연은 보안 담당자들에게 큰 충격을 줬다.
포토기사

　특히 메모리 해킹 방식은 키로그 해킹 방식처럼 굳이 사용자가 정보를 입력할 때까지 기다려야 할 필요가 없어 해커가 마음만 먹으면 언제든지 정보를 빼낼 수 있다는 점에서 위험이 크다. 메모리해킹은 기존 보안 프로그램으로도 잡아낼 수 없어 각별한 주의가 필요할 것으로 보인다.

　해킹을 시연한 파도콘의 태인규씨는 “인터넷 사이트는 주소를 일일이 찾아야 한다는 점에서 아이디·비밀번호를 찾아내는 것이 어렵지만 해당 기능만을 위해 별도의 창을 띄워 사용하는 프로그램에서는 메모리에 쉽게 기록이 남는다”며 “대부분의 사람들이 아이디·비밀번호를 통일해 사용하는 만큼 정보가 유출되지 않도록 암호화해야 한다”고 말했다.

GS 칼텍스 개인 정보가 유출되었는데 개인 정보 유출을 확인하는 페이지가 오픈되었군요.

혹시나 개인 정보가 유출되었는지 고민이 되시는 분은 확인해 보시기 바랍니다.

GS 칼텍스 개인 정보 유출 확인 페이지

전 카드가 없지만 혹시나 해서 확인해 보았는데 역시나 개인 정보 유출은 되지 않았군요.

유출 여부를 확인하기 위해 이름과 주민등록번호를 입력해야 합니다.

그런데 이번 GS 칼텍스 개인정보 유출은 해킹이 아니라 내부 직원 유출이군요.
외부 해킹에 대비하는 보안도 중요하지만 더 중요한 것은 내부 직원 보안이군요.

다음은 이데일리 뉴스 기사 내용입니다.

GS칼텍스 정보유출..내부자 소행, 피의자 검거

[이데일리 정태선기자] GS(078930)칼텍스의 고객정보 유출 사건에 대해 경찰은 피의자를 검거했다고 7일 밝혔다.

경찰청은 GS칼텍스의 개인정보를 CD에 담아 외부로 유출한 혐의로 GS칼텍스의 콜센터 운영을 담담하는 자회사의 시스템 및 네크워크 관리자 C모씨 등 4명을 정보통신망이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 검거해 그중 3명에 대해서는 구속영장을 신청할 예정이다.

경찰 조사결과에 따르면, 피의자들은 올해 초 발생한 '인터넷 쇼핑몰 해킹사고'처럼 기업을 상대로 한 대규모 피해자소송이 진행되면 해당 고객정보의 활용가치가 높아져 큰 돈을 벌 수 있을리라 생각하고, C모씨는 회사 고객정보를 빼내고 K모씨는 해당 고객정보 CD를 언론사 기자에게 제보하는 형식으로 이슈화 하기로 공보했다.

피의자 C모씨는 올 7월초순부터 8월초순까지 한달동안 GS칼텍스 보너스카드 고객 DB서버에 회사업무처리 권한으로 접속해 고객정보를 빼낸 뒤 주민등록번호, 성명, 주소, 자택전화, 휴대전화번호, 이메일주소 등의 개인정보만을 추출, 같은 회사직원인 B씨에게 부탁해 76개의 엑셀파일로 정리했다.

이후 고교동창생인 Y씨를 통해 K씨에게 순차적으로 유출했다.
특히 K씨는 개인정보가 담긴 CD를 유흥가 골목 쓰레기더미에서 우연히 발견한 것처럼 언론사 기자에게 제보, 사화 이슈화를 시도했다.

경찰 수사팀은 피의자들을 상대로 구체적인 범행동기, 경우 및 추가 공범 여부에 대해 집중조사를 벌이는 한편 이미 회사 외부로 유출된 고객정보의 회수에 수사력을 모으고 있다.

이와 더불어 개인정보가 유출된 회사측에 '개인정보 유출여부 확인 사이트'를 구축하도록 권고, 국민들 누구나 피해여부를 손쉽게 확인할 수 있도록 조치했다.

＜저작권자ⓒ이데일리 - 1등 경제정보 멀티미디어 http://www.edaily.co.kr＞

GS 칼텍스 개인 정보가 유출되었는데 개인 정보 유출을 확인하는 페이지가 오픈되었군요.

혹시나 개인 정보가 유출되었는지 고민이 되시는 분은 확인해 보시기 바랍니다.

GS 칼텍스 개인 정보 유출 확인 페이지

전 카드가 없지만 혹시나 해서 확인해 보았는데 역시나 개인 정보 유출은 되지 않았군요.

유출 여부를 확인하기 위해 이름과 주민등록번호를 입력해야 합니다.

그런데 이번 GS 칼텍스 개인정보 유출은 해킹이 아니라 내부 직원 유출이군요.
외부 해킹에 대비하는 보안도 중요하지만 더 중요한 것은 내부 직원 보안이군요.

다음은 이데일리 뉴스 기사 내용입니다.

GS칼텍스 정보유출..내부자 소행, 피의자 검거

[이데일리 정태선기자] GS(078930)칼텍스의 고객정보 유출 사건에 대해 경찰은 피의자를 검거했다고 7일 밝혔다.

경찰청은 GS칼텍스의 개인정보를 CD에 담아 외부로 유출한 혐의로 GS칼텍스의 콜센터 운영을 담담하는 자회사의 시스템 및 네크워크 관리자 C모씨 등 4명을 정보통신망이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 검거해 그중 3명에 대해서는 구속영장을 신청할 예정이다.

경찰 조사결과에 따르면, 피의자들은 올해 초 발생한 '인터넷 쇼핑몰 해킹사고'처럼 기업을 상대로 한 대규모 피해자소송이 진행되면 해당 고객정보의 활용가치가 높아져 큰 돈을 벌 수 있을리라 생각하고, C모씨는 회사 고객정보를 빼내고 K모씨는 해당 고객정보 CD를 언론사 기자에게 제보하는 형식으로 이슈화 하기로 공보했다.

피의자 C모씨는 올 7월초순부터 8월초순까지 한달동안 GS칼텍스 보너스카드 고객 DB서버에 회사업무처리 권한으로 접속해 고객정보를 빼낸 뒤 주민등록번호, 성명, 주소, 자택전화, 휴대전화번호, 이메일주소 등의 개인정보만을 추출, 같은 회사직원인 B씨에게 부탁해 76개의 엑셀파일로 정리했다.

이후 고교동창생인 Y씨를 통해 K씨에게 순차적으로 유출했다.
특히 K씨는 개인정보가 담긴 CD를 유흥가 골목 쓰레기더미에서 우연히 발견한 것처럼 언론사 기자에게 제보, 사화 이슈화를 시도했다.

경찰 수사팀은 피의자들을 상대로 구체적인 범행동기, 경우 및 추가 공범 여부에 대해 집중조사를 벌이는 한편 이미 회사 외부로 유출된 고객정보의 회수에 수사력을 모으고 있다.

이와 더불어 개인정보가 유출된 회사측에 '개인정보 유출여부 확인 사이트'를 구축하도록 권고, 국민들 누구나 피해여부를 손쉽게 확인할 수 있도록 조치했다.

＜저작권자ⓒ이데일리 - 1등 경제정보 멀티미디어 http://www.edaily.co.kr＞