미국 통신·IT기업, 아시아 통신기업·정부기관 공격

리눅스 기반 BPFDoor 악성코드

(1) BPFDoor는 유닉스·리눅스 기반의 백도어 악성코드로 강력한 은닉기능이 특징이며 APT공격에 주로 사용됨.

(2) 해당 악성코드는 중국 해킹그룹인 레드멘션(Red Menshen)에서 활용하고 있으며

      미국 통신·IT기업, 아시아 통신기업·정부기관을 공격한 악성코드로 알려짐.

(3) 일반적인 서버 안티바이러스 · EDR 솔루션으로 검출 및 격리할 수 있음.

(4) 그러나 운영서버는 서버 안정성 문제로 서버 안티바이러스 솔루션 설치율이 낮음.

────────────────────────────────────────────────────────────

1. BPFDoor 악성코드 특징

(1) 외부와의 통신 시 특정한  ‘리슨 포트(Listen Port)’를 생성하지 않음.

     리눅스 운영체제의 패킷 필터 기능 (BPF)을 활용하여  특정 조건의 네트워크 패킷만 골라내므로, 포트스캔 작업에 의해 검출되지 않음.

(2) 실행 시 은폐를 위해 정상적인 ‘리눅스 시스템 데몬 이름’을 무작위로 선택하여 사용함.

     시스템 관리자에게는 정상적인 시스템 데몬으로 인식되어 악성코드 구분이 어렵도록 위장함.

(3) 메모리 기반 파일시스템 상에서 활동하며, 실행 후 자가삭제를 통해 디스크 내 흔적을 제거함.

(4) 외부명령 수신 및 전송 시 RC4 스트림 암호화 알고리즘을 사용함.

     네트워크 기반 탐지 솔루션 우회수단으로 활용됨.

2. 프로세스 흐름

1)  위장, 은폐 매커니즘 

2) 통신 매커니즘 

3. 대응방안 

(1)리눅스 시스템에 등록된 BPF 필터에서 의심스러운 BPF 프로그램을 식별하고 필터에서 등록 해제

(2) 서버 안티바이러스 솔루션(Server-i AV 등)을 통한 스케쥴 검사를 수행하여 주기적으로 악성코드를 탐지 및 제거

(3) 리눅스 시스템의 최신 보안 업데이트 설치

(4) 불필요한 인터넷 아웃바운드 통신차단

4. 참고자료

• [소만사 악성코드 분석리포트] 미국 통신·IT기업, 아시아 통신기업·정부기관 공격 BPFDoor 악성코드 분석 보고서

• BPFDoor’s Hidden Controller Used Against Asia, Middle East Targets

• PwC Cyber Threats 2021: A Year in Retrospect

• Salt Typhoon Hacks of Telecommunications Companies and Federal Response Implications

• A step-by-step BPFDoorc ompromise

[Privacy Report] 구글, 애플 같은 IT 플랫폼 사업자의 불공정 행위시
전세계 매출액 10% 과징금 또는 사업 일부 강제매각

EU, 디지털 서비스법(DSA)·디지털 시장법(DMA) 제안

1. 디지털 서비스법 (DSA)
– 온라인 플랫폼 투명성 및 책임강화
– 온라인 중개자는 불법상품, 콘텐츠, 서비스가 유통되지 않도록 제거 및 불법거래자 추적 조치 구축
– 온라인 광고 진행시 타겟여부, 광고주 고지
– 추천 광고에 사용되는 알고리즘에는 투명성 조치
– 위반시 전세계 매출액의 6% 과징금

2. 디지털 시장법 (DMA)
– 거대 IT플랫폼 사업자(GateKeepers)의 불공정 관행 처벌 규제
– 기기와 함께 설치, 제공된 앱은 이용자가 삭제할 수 있어야 함
– 성과측정지표는 광고주, 게시자에게 무료로 제공되어야 함
– 위반시 전세계 매출액의 10% 과징금
– 위반행위가 반복적이거나 효과적 대안이 없는 경우 사업 일부 강제매각

중국 데이터 보안관리 방법 초안발표

중국 내 기업들에 대한 관리기준 강화
중국에 진출한 외국기업들의 내부데이터 보호에 비상

1. 개요
– 글로벌 기업, 영업기밀 보호차원에서 중국 내 데이터 보관부담 가중
– 국가 안보 등의 이유로 중국이 언제든 데이터 제출 요구 가능

2. 주요 내용 요약
– 데이터수집 : 개인정보 수집 및 미용 규칙 공개 / 중요 또는 민감 정보 수집시 소재지 관할 사이버 행정기관에 보고 / 자동화 수단을 이용한 과도한 웹사이트 데이트 수집은 제한

– 데이터 처리 이용: 빅데이터 또는 AI 기술 등으로 정보 생성시 이를 표기하고, 이익추구나 타인에게 손해를 입히는 목적으로 사용되지 않아야 함
– 중국 내 이용자가 중국 내 인터넷사이트를 이용하는 경우 국외로 트래픽이 전송되지 않아야 함.
– 보유중인 데이터자원을 분석 또는 이용하여 시장예측, 통계, 개인/기업신용발표, 국가안보위협, 경제운용, 사회안정을 위협해서는 안되며
타인의 법적권리에 손해를 입히는 목적으로 사용되지 않아야 함 .

2017.6.1일 시행 ‘네트워크 안전법(사이버보안법)’
중국에 진출한 국내기업은 어떻게 대응해야 하는가?

– 해외 기업도 중국에서 생산, 수집된 개인정보, 데이터는 중국내 서버에 저장
– 2018년 12월부터 개인정보, 데이터의 국외 반출 제한
– 위반시 허가 취소,영업정지, 폐쇄, 과징금

[Privacy Report]

GDPR. 전 유럽연합에 적용되는 개인정보보호법. 핵심은 개인정보의 보호와 활용의 <균형>

Ⅰ. Intro

1. 유럽연합 28개국 대상. 23년만의 변화. GDPR , General Data Protection Regulation의 약자로 유럽연합 28개국에 적용되는 강화된 개인정보보호법.

1995년 제정되어 23년간 이어져온 유럽연합 개인정보보호지침을 대체

2. EU 거주자에게 제품 or 서비스 제공시 GDPR 적용대상

• ·EU내 법인이 설립되어 있는 경우 적용
• ·(EU에 법인이 없어도) 거주자에게 제품이나 서비스를 하는 경우 적용
• ·EU 거주자의 행동을 모니터링하는 경우 적용

3. 핵심은 개인정보보호와 활용의 균형: 개인정보의 활용과 자유로운 이동 과학기술발전 및 활용에 개방적

Ⅱ. Subject

1. 어떤 정보가 GDPR의 주된 보호대상인가?

1) 신기술을 반영하는 정보와 유전자정보, 건강관련정보에 Focus

2) GDPR 보호대상은 <자동화,구조화된 정보>

3) 가장 중요한 보호대상은 <프로파일링>: 프로파일링의 조건 → ① 평가와 예측목적 ② 인적개입 없이 자동화처리

2. GDPR의 핵심은 개인정보보호와 활용의 균형

1) 개인정보의 보호측면:

• 프로파일링: 온라인상 자취를 다른 정보와 결합하여 인간자체를 정의하는 프로파일링을 최초로 규제. 향후 사물인터넷 시대의 정보유출을 대비
• Privacy By Design: 초기부터 전체 라이프 사이클에 걸쳐 개인정보를 보호받을 수 있음
• 정보주체의 권리강화: 삭제권으로 잊혀질 권리를 명시.

개인정보 이동권으로 구조화된 개인정보를 경쟁사에 직접 전송해야하는 상황도 가능.

2) 개인정보의 활용측면:

• 프로파일링: 핵심보호대상인 프로파일링 DB 및 연계시스템에 보안리소스 집중가능
• Privacy By Design: 가명화 처리를 하면 활용범위가 높아짐
• 가명처리: 추가정보 없이는 식별할 수 없게 처리하는 것으로 추가정보는 분리보관하고 기술적/조직적 조치를 취해야 함

[Privacy Report(프라이버시 리포트)]

2017년 3월 시행 (8월28일 유예기간 만료)

CYBER SECURITY REQUIREMENTS FOR FINANCIAL SERVICES COMPANIES

뉴욕주의 모든 금융기관에 적용되는 새로운 ‘사이버보안 규정’

향후 전세계 금융기관 보안 정책이 이 기준에 따라서 변경될것으로 예상

1. 데이터 중심 보안 강화

– 그동안 정보 보안 투자 대부분을 차지해 온 네트워크 인프라에 대한 보안과 달리

데이터 및 데이터가 포함된 정보시스템 보안을 강조.

2. 비공개 정보(Nonpublic Information:NPI) 관리 강화

– NPI정의 : 고유식별정보 포함 개인정보, 비지니스 기밀, 건강정보등 포함 공개되어서는 안되는 정보

– NPI에 대한 유출통제 및 모니터링

– 보유하고있는 NPI 삭제

– NPI 접근통제

– NPI정보 암호화 등( 암호화는 대체 수단 사용도 가능 )

3. 외부에서 정보시스템 접속시 2-factor 이상 강화된 인증 필수

4. NYCRR500과 신용정보법과의 비교