보안뉴스 9월 2주차

1. '대세' 쿠버네티스, 문제는 '보안' 베스트 보안 프랙티스 5가지 

 

http://www.ciokorea.com/news/163115?utm_source=gaerae.com&utm_campaign=%EA%B0%9C%EB%B0%9C%EC%9E%90%EC%8A%A4%EB%9F%BD%EB%8B%A4&utm_medium=social&fbclid=IwAR3oABvF5FuKVySpki6NV982PSiXVGQZqqm2QGGYFL9ooSrQOGbzJILqhLE

'대세' 쿠버네티스, 문제는 '보안'··· 베스트 보안 프랙티스 5가지

 

▷쿠버네티스(Kubernetes)란?

 

https://www.redhat.com/ko/topics/containers/what-is-kubernetes

쿠버네티스(Kubernetes)란? 개념, 성능, 사용방법 및 차이점

 쿠버네티스(Kubernetes)란 Linux 컨테이너 작업을 자동화하는 오픈소스 플랫폼을 의미합니다. 이 플램폼에서는 컨테이너화된 애플리케이션을 배포하고 확장하는데 수동 프로세스가 필요하지 않습니다. 즉 Linux 컨테이너를 실행하는 호스트 그룹을 함께 클러스터링 할 수 있으며 쿠버네티스를 통해 클러스터를 쉽고 효율적으로 관리할 수 있습니다. 

 

 

▷ Linux 컨테이너란?

: 시스템의 나머지 부분과 격리된 프로세스 세트, 이식성과 일관성을 유지하면서 더 빠른 배포를 실현할 수 있습니다. 

https://www.redhat.com/ko/topics/containers/whats-a-linux-container

리눅스 컨테이너(Linux Container): 개념, 종류, 장점, 설치

 

 

 

이러한 쿠버네티스(Kubernetes)를 사용하기 위해서는 보안에 주의해야한다. 애초에 쉽게 배포할 수 있게 설계되었기 때문에 설계상 완벽하지 않다. 그리고 쿠버네티스 클러스터가 제 기능하도록 보안을 확보하는 것은 사용자의 몫이라는 의미다. 보안을 위해서는 다음과 같은 5가지 행동을 해야한다. 

 

1. 컨테이너 자체가 안전한지 확인한다. -> 배포전 컨테이너 콘텐츠의 신뢰성 검사(바이너리 검토)

2. 컨테이너 리눅스 커널의 보안을 확보한다. -> 리눅스의 보안 모듈인 AppArmor나 SELinux 로 보안을 확보 

3. 역할 기반 액세스 제어(RBAC)를 사용한다 -> RBAC로 사용자의 권한을 제한시킬 수 있다. 

4. 안전하게 유지하기란 힘든 일이다. -> 여러가지 보안 취약점이 존재, 시스릿을 암호화하고 또한 시크릿을 이미지나 포드에서 분리해 보관해야한다. 이를 위해 프로세스를 별개 컨테이너로 분할해야한다. 그외에도 서드파티 시크릿 도구로 시크릿을 보호해야한다. 

5. 네트워크를 안전하게 보호한다. -> 네임스페이스에 따라 네트워크 정책을 설정해야한다. 이는 쿠버네티스 네트워크 정책 가이드(Kubernetes Network Policy Recipes)를 참조하는 것이 좋다. 

 

 

 

---

 

2. 머신러닝으로 만드는 가짜 영상... 딥페이크란? 잠재적 위험성은?

 

http://www.ciokorea.com/news/120912

머신러닝으로 만드는 가짜 영상··· 딥페이크란? 잠재적 위험성은?

 딥페이크(Deepfack)란 마치 진짜처럼 보이고 들리는 가짜 동영상 또는 오디오 녹음본이다.  예전엔 어려운 일이었으나 지금은 누구나 딥페이크 소프트웨어를 다운하여 가짜 영상제작이 가능하다. 

 

 딥페이크는 머신러닝 모델 2개를 활용하는 GAN(Generative Adversarial Network)를 이용한다. 1개의 ML 모델을 데이터 셋으로 훈련 후 가짜 영상을 제작하고 다른 하나가 가짜를 감지한다. 감지를 못할 때까지 가짜를 만드는 식이다.  (이는 물론 '비감독 학습'이라는 측면에서는 큰 성과이다. )

 

 딥페이크에 대해 크게 우려할 필요가 없다는 시선도 있다. 애초에 편집없는 적절한 영상과 거짓 정보만 있으면 '가짜 정보(fake)' 를 퍼뜨릴 수 있다는 것. 

 

현재 아마추어의 딥페이크를 발견하기는 쉬우나 머지않아 디지털 포렌식에 의존해야할거란 의견이 존재한다. 이때문에 DARPA는 입증된 동영상을 더욱 잘 찾을 수 있도록 투자 중이다. 하지만 GAN 은 자체적인 훈련을 통해 포렌식을 회피하는 방법을 학습할 수 있기 때문에 싸움에서 이길 수 있을지는 미지수다.  

 

 

 

추가 정보 

 

▶조작된 사진과 영상을 AI로 판별 ... MS, 딥 페이크 식별 기술 공개 

 

http://www.ciokorea.com/news/163190

조작된 사진과 영상을 AI로 판별··· MS, 딥 페이크 식별 기술 공개

▶딥페이크는 어떻게 마케팅에 위협이 되나

http://www.ciokorea.com/news/126794

딥페이크는 어떻게 마케팅에 위협이 되나

 

 

---

 

 

3. 악성 금융앱의 진화! 스마트폰 정보 탈취에 금융 상담전화까지 가로채

 

https://www.boannews.com/media/view.asp?idx=91003&fbclid=IwAR1Gx-2lhfAXK6Vr0cc_bb3rIhdEAgUF1wLorad8WXVHsZ2ijqfZDT4A7gw

악성 금융앱의 진화! 스마트폰 정보 탈취에 금융 상담전화까지 가로채

 

 안랩에서 금융앱 사치해 상담전화 가로채는 '카이시' 악섭 앱을 주의하라 당부했다.

금융사 사이트를 사칭한 피싱사이트에서 유포가 되고 있으며 설치 시 권한 허용을 요구해 스마트폰 정보 탈취를 한다. 

이로 통해 금융상담 전화를 가로채 현금 탈취도 노리고 있다.  

 

'카이시' 악성 앱은 다음과 같이 동작된다. 

 

동작 순서도

1. 사용자 피싱 사이트 접속 

2. 본인인증 프로그램을 빙자한 '카이시' 악성 설치파일(.apk) 다운

3. 과도한 권한 요구 

4. 정보 유츨 

5. 사용자의 전화 상태 모니터링 

  5-1. 특정 금융사로 발신 감지

  5-2. 공격자의 번호로 재연결 

 

 

피해 예방

▷ 출처가 불분명한 문자메시지 내 URL/첨부파일 실행 금지

▷ 앱 다운로드시 정식 앱 마켓 사용

▷ 모바일 백신 설치 

 

 

 

---

4. 보호위, ,개인정보보호 부실 운영 해외사업자 7곳 개선권고

www.dailysecu.com/news/articleView.html?idxno=113472

보호위, 개인정보보호 부실 운영 해외사업자 7곳 개선권고 - 데일리시큐

 

 개인정보보호위원회가 해외사업자의 개인정보 보호책임 강화에 나섰다. 과거 네이버나 카카오등은 국내 사업자들에게만 개인정보보호 기준이 높다며 이는 해외 기업과의 경쟁력을 잃는거라 이야기 한 적이 있었다. 그에 대한 반응인진 모르겠지만 이처럼 보호위는 '개인정보보호법' 제 61조 제 2항에 따라 국내대리인의 운영을 실질적으로 개선할 것을 권고했다. 

 

 '개인정보 보호법 제39조의11 에 따르면 다음과 같은 조건을  하나라도 가진 해외사업자는 국내대리인을 지정-운영해야한다. 

▲전년도 매출액 1조원 이상, ▲정보통신서비스 부문 전년도 매출액 100억원 이상, ▲전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되는 이용자 수가 일일평균 100만 명 이상

 이로인해 보호위 위원장은 '국내대리인 지정제도' 시행으로 개인정보에 대한 권리가 강화되고 개인정보 침해에 대해 효과적으로 대응할 수 있게 됐다' 고 말했다.

 

 

 

 

---

5. 블루투스 패치되지 않은 보안 문제 발견돼..

 

www.bluetooth.com/learn-about-bluetooth/bluetooth-technology/bluetooth-security/blurtooth/

Security Notice | Bluetooth® Technology Website

 EPFL 와 퍼듀 대학 에서 새로운 Cross-Transport Key Derivation(CTKD) 과 관련된 취역점을 발견했다. 이는 페어링과 암호화를 지원하는 블루투스 BR/EDR 둘 다 와 블루투스 4.2 부터 5.0까지 나타났다. 

 

 이는 인증 되지 않은 암호 키를 암호키로 대체해버린다. 연구자들은 또 CTKD는 듀얼 모드 기기라고 하는 두 개의 블루투스 기기를 함께 페어링할 때 인증키를 협상하는 블루투스 구성 요소라고 했다. 이는 CDVE-202-15802 로 지정되었다. 

블루투스 4.0 또는 5.0 기술로 구동되는 기기를 노출하여 공격자가 인증된 키를 덮어쓰거나 암호화 키의 강도를 낮춰서 주변 기기에 무단으로 연결할 수 있도록 한다.

 

 다른 기기의 ID 를 스푸핑하는 기기가 페어링되거나 결합되고 CTKD를 사용하여 더 큰 강도의 기존 키를 덮어쓰여지거나 혹은 로그인 등의 인증을 사용하여 생성된 키를 파생하는 경우 인증된 서비스에 대한 접속 발생 가능하다. 

즉 이번 취약점 공격을 통해 이전에 인증된 페어링을 사용하면 MiTM(Man it The Middle attack)이 허용될 수 있다고 경고했다. 

 

 Bluetooth SIG는 필요한 패치를 제공하도록 지원 노력한다 밝혔다.  또 기기를 페어링 가능 모드로 전환하거나 기기에 결합이 없거나 페어링된 기기에 대한 기존 연결이 없는 시간으로 전송 시 페어링 할 수 있는 기기를 제한할 것을 권장했다. 

 

---

6. 페북 계정정보 탈취... 틱톡 위장 악성코드 '주의보' 

 

m.newspic.kr/view.html?nid=2020091207000129386&pn=140&cp=b3Khd93q&utm_medium=affiliate&utm_source=adpick&utm_campaign=2020091207000129386&fbclid=IwAR2Csp4nnecndXwCVmUZq4sxUXcDcNxO5hzztjfI1y0HheWgTCfo_Is68q4&apclid=806faebx159989290293#_enliple

페북 계정정보 탈취…틱톡 위장 악성코드 '주의보'

 

 미국에서 중국 동영상 공유 애플리케이션 '틱톡' 대해 사용 금지 명령을 내린 가운데 '틱톡 프로'으로 위장한 안드로이드 악성코드 발견됐다. 12일 보안기업 지스케일러 쉬방 데사이 연구원의 최근 발표에 따르면 해커가 틱톡 최신버전으로 속인'틱톡 프로'를 유포하고 있는 걸로 나타났다. 

 해킹 방식은 악성 앱을 다운로드 하도록 문자메시지(SMS) 등으로 유도했다. 링크를 클릭하면 계정정보를 입력하라는 안내가 나온다. '권한 허용' 창에 허용할 경우 해커는 휴대폰을 정복하게 된다. 사용자는 안드로이드 기기에서 '알 수 없는 소스'옵션을 비활성화 상태 유지하는 것이 중요하고 확인되지 않은 출처의 앱은 설치하지 않고 사전에 걸러낼 수 있게 된다고 쉬방 데사이 지스케일러 연구원은 말했다. 

 

 

---

7. 정보보호인들 '공분'...과기정통부 전자서명법 개정안, "보안인 홀대" 논란 불거져

 

www.dailysecu.com/news/articleView.html?idxno=113535

정보보호인들 ‘공분’…과기정통부 전자서명법 개정안, ”보안인 홀대” 논란 불거져 - 데일리

 과학기술정보통신부가 2021년 시행을 앞두고 법제처에 제출한 ;전자서명법 시행령 전부 개정안'의 평가기관인력 요견 부분에 "회계사의 경우 6년의 개인정보보호 유곤경력을 보유한 것으로 본다."는 조항을 넣어 정보보호인들의 공분을 사고 있다. 

 

 지난해 10월 조직개편시에도 인공지능 정책관을 신설하면서 기존 정보보호 정책관을 폐지하고 네트워크와 정보보호 정책 업무부서를 묶어서 정보보호 네트워크 정책관으로 통폐합한 바 있다. 

 

 당시에는 정보보호의 발전을 저해하는 조직개편이라며 성토의 목소리를 높였지만 개편 결과는 변하지 않았다. 정보보호인들의 허탈감은 컸다.

 

개인 정보보호 관련 박사를 취득해도 2년이 인정되는데 공인회계사가 개인정보보호와 관련없는 업무를 진행함에도 불구하고도 6년의 경력을 인정받는건 입법로비가 없는 이상 가능할 수 없다는 의견이다. 

 

 과기정통부에서는 더 이상 소 잃고 외양간 고치는 행동을 하며 정보보호인력을 홀대하면 안 될 것이다.