2019년 6월 25일 화요일

14세 미만 아동의 법정대리인 동의의 확인방법 (정보통신망법 시행령, 2019.06.24)



방송통신위원회는 14세 미만 아동의 개인(위치)정보 보호를 강화하기 위해 법정대리인이 동의했는지를 확인하는 방법을 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령」(이하 ‘정보통신망법 시행령’)과「위치정보의 보호 및 이용 등에 관한 법률 시행령」(이하 ‘위치정보법 시행령’)에 구체적으로 명시하도록 개정


이번 개정은 정보통신서비스제공자등과 위치정보사업자등이 만 14세 미만 아동의 개인(위치)정보를 수집‧이용‧제공하는 경우 법정대리인이 동의했는지를 확인하도록 한 정보통신망법(‘18.12.24. 공포, ’19.6.25. 시행)과 위치정보법(‘18.12.24. 공포, ’19.6.25. 시행) 개정에 따른 후속조치


그간 정보통신망법과 위치정보법에 따르면 만 14세 미만 아동의 동의를 받는 경우 법정대리인의 동의를 받도록 규정은 하고 있었으나 그 구체적인 방법에 대해서는 미비한 실정

이에, 동의 받는 일반적인 방법을 규정하고 있는 개인정보보호법을 참고하여 서면, 전화, 전자우편 등의 방법을 활용할 수 있도록 하는 한편, 인터넷 사이트를 통한 동의의 경우에는 휴대전화 문자메시지, 신용카드, 본인인증 등을 통해 동의했는지를 알리거나 확인 등을 하도록 규정

이는 개인정보 법령 간 정합성을 도모하면서도 온라인 환경의 특수성을 고려하여 아동의 개인정보 보호를 강화한 것


< 법정대리인 동의의 확인 방법 주요내용 >

『 1. 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 정보통신서비스 제공자등(또는 위치정보사업자등)이 그 동의 표시를 확인했음을 법정대리인의 휴대전화 문자메시지로 알리는 방법  』

『 2. 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 법정대리인의 신용카드ㆍ직불카드 등의 카드정보를 제공받는 방법 』

『 3. 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 법정대리인의 휴대전화 본인인증 등을 통해 본인 여부를 확인하는 방법 』

『 4. 동의 내용이 적힌 서면을 법정대리인에게 직접 발급하거나, 우편 또는 팩스를 통하여 전달하고 법정대리인이 동의 내용에 대하여 서명날인 후 제출하도록 하는 방법 』

『5. 동의 내용이 적힌 전자우편을 발송하여 법정대리인으로부터 동의의 의사표시가 적힌 전자우편을 전송받는 방법 』

『 6. 전화를 통하여 동의 내용을 법정대리인에게 알리고 동의를 얻거나 인터넷주소 등 동의 내용을 확인할 수 있는 방법을 안내하고 재차 전화 통화를 통하여 동의를 얻는 방법 』

『 7. 그 밖에 제1호부터 제6호까지의 규정에 따른 방법에 준하는 방법으로 법정대리인에게 동의 내용을 알리고 동의의 의사표시를 확인하는 방법 』


☞ 첨부파일 : 법정대리인_동의의_확인방법_구체화_자료(6.24)


컨설팅 : ISMS-P, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com



2019년 6월 22일 토요일

프레젠테이션 잘하는 7가지 방법


 뉴딜코리아 홈페이지 

뉴딜코리아 ISMS 컨설팅 담당 팀장은 
고객, 동료, 파트너 또는 낯선 사람 앞에서 프레젠테이션할 기회가 많습니다.

특히 새로운 프로젝트를 수주하기 위한 입찰이 있거나 연간 플랜을 발표하는 프레젠테이션은 성과와 직결되므로 더욱 중요합니다.

오늘은 프레젠테이션을 잘하는 7가지 방법을 소개합니다.




1. 오프닝에서 핵심 메시지 전달

오프닝은 발표자가 전달하고자 하는 메시지를 청중이 잘 집중하고 이해할 수 있도록 준비시키는 단계입니다.

지루한 소개 및 목차로 시간을 끌기보다는 질문을 건네 궁금증을 자극하거나 관련 이야기, 유머, 또는 개인적인 일화를 전해 청취자의 관심을 끌고 핵심 메시지로 인도하는 과정이 필요합니다.

핵심 메시지는 기억하기 쉽고 구체적인 문장으로 정리하는 것이 좋습니다.

그리고 프레젠테이션은 이 핵심 메시지를 3~5개의 요점으로 나눠 근거와 함께 제시해야 합니다.


2. 비교와 대조를 통해 해결책 제안

청중에게 메시지를 전달할 때는 정의, 묘사, 분석, 비교, 대조 등 다양한 기법을 이용할 수 있습니다.

그중에서도 해결책을 제시할 때에는 2가지 이상의 아이디어를 비교 및 대조하는 것이 발표자의 주장이 뛰어나다는 것을 효과적으로 보여주는 방법입니다.

비교와 대조 시에는 시각적으로 보여줄수록 좋습니다.

글보다는 표, 막대그래프 등을 이용해 서로 다른 아이디어를 비교하고 설득력을 높이세요.


3. 시각 자료 활용

발표자가 말하는 메시지를 청중이 보다 잘 이해하고 기억하도록 하기 위해서 필요한 것이 바로 시각자료입니다.

청중에게 너무 많은 글를 읽거나 듣게 하면 집중도가 떨어집니다.

사람의 두뇌는 글보다는 이미지를 더 잘 처리합니다.

소품, 그래프, 사진, 영상 등 시각자료는 복잡한 개념을 쉽게 설명하고 청중의 흥미를 자아냅니다.

예를 들어, 시장조사 데이터는 글보다는 차트나 표로 요약하는 것이 더 이해하기 쉽습니다.

차트나 표는 주장의 설득력을 높일뿐아니라 청중의 기억에 더 오래 남는 효과가 있습니다.

단, 시각자료는 최대한 단순해야 하며, 전하고자 하는 메시지를 부각시키는 용도로만 사용하는 것을 권장합니다.


4. 참여를 통해 신뢰 관계 구축

프레젠테이션은 한정된 시간 내에 정보를 이해시켜 발표자가 의도한대로 의사결정을 내리도록 설득하는 방법 중 하나입니다.

프레젠테이션에서 가장 중요한 것은 얼마나 청중과 교감하면서 자신의 생각을 전달하느냐입니다.

발표자와 청중이 질의응답 형식으로 서로 대화를 나누면 청중은 프레젠테이션에 참여하고 있다고 생각하게 됩니다.

청중은 이러한 교감을 통해 발표자의 주장을 신뢰하게 됩니다.

좋은 프레젠테이션은 많은 사람 앞에서 얘기하더라도 대화처럼 느껴지는 발표입니다.


5. 깔끔하고 일관된 디자인과 레이아웃 사용

정돈되지 않은 슬라이드 디자인과 레이아웃은 프레젠테이션의 내용에도 영향을 줄 수 있습니다.

슬라이드는 깔끔하고 간결하며 일관된 느낌을 주어야 신뢰감을 줍니다.

슬라이드가 다음 지침을 준수하는지 확인하세요.
– 여백이 많으며 일관된 레이아웃을 사용
– 2~3가지 색상만 이용하고 하이라이트 컬러는 한 가지만 사용
– 명조체보다는 고딕체를 사용하고 제목과 본문을 명확하게 구분
– 텍스트는 한 슬라이드에 최대 6줄을 넘지 않도록 작성


6. 한 장의 슬라이드에는 한 가지 아이디어만 제시

최근에 본 프레젠테이션 중에서 별로 인상 깊지 않았던 프레젠테이션을 떠올려보세요.

o 무엇이 관심을 잃게 했나요?
o 주제가 명확하지 않았나요?
o 슬라이드가 산만했나요?
o 슬라이드에 너무 많은 텍스트가 있었나요?

지루한 프레젠테이션은 한 슬라이드에 너무 많은 내용을 담는다는 공통된 문제점이 있습니다.

좋은 프레젠테이션은 한 장의 슬라이드에 한 가지 아이디어 및 개념만 담습니다.

그리고 텍스트와 시각요소가 균형을 이루고 있습니다.

프레젠테이션이 너무 짧다고 불평하는 사람은 아무도 없습니다.

관련이 없는 정보는 최대한 자르세요.


7. 결론에는 인상적인 콜투액션(Call To Action) 추가

결론에서는 본론에서 전달한 메시지를 청중에게 다시 한번 각인시키고 청중의 행동 방향을 제안하면서 마무리해야 합니다.

보통 결론에서는 앞의 내용을 요약, 정리하고 끝나는 경우가 많은데, 이 방법은 청중에게 여운을 남기고 변화를 유도하기에 미약합니다.

결론에는 청중이 지금까지 들은 정보로 특정 행동을 실천하도록 인상적인 콜투액션(Call To Action, CTA)을 추가해주세요.




2019년 6월 19일 수요일

AD 서버 악용 내부망 랜섬웨어 유포 사례 분석

 뉴딜코리아 홈페이지



AD 서버 악용 내부망 랜섬웨어 유포 사례 분석


1. 요개

 o 최근 AD(Active Directory) (Clop) 서버를 악용하여 랜섬웨어 를 감염시키는 사례가 발생 하였다.
   랜섬웨어 의 (Clop) 랜섬노트는 가상화폐 지갑 주소 대신 협상 할 메일 주소만 남겨 놓았으며, 감염 사실을 알리는 내용의 문구 및 악성코드의 행위로 보아 기업만을 대상으로 한 랜섬웨어 유포 공격으로 보고 있다.

 o 랜섬웨어 침해사고 분석과정에서 악성 메일이 발견되었다 (Clop) . 악성 메일에 첨부된 악성 코드는 서버의 유무를 확인 하고 서버에 연결된 AD AD 시스템에만 추가 악성코드를 유포 했으며 추가 다운로드 된 악성코드는 내부 확산 및 전파를 통해 , 서버 관리자계정 AD정보를 가지고 있는 시스템을 탈취한다 .

 o ( KISA) 한국인터넷진흥원 이하 은 이번 공격에 사용되었던 ‘ (Clop) 랜섬웨어 의 코드가 악성 메일에 첨부되어 있었던 악성코드와 유사’한 것과 내부 확산 과정에서 ‘코발트스트라이크(CobaltStrike)’ 사용 흔적 을 확인한 내용을 토대로 ‘ (Clop) 랜섬웨어 감염 사고는 악성메일 열람으로 인한 악성코드 감염 및 탈취 AD ’ , 로 일어난 사고로 추정하고 있으며 코발트스트라이크를 이용해 사고 상황을 재구성하고 분석하여 이 보고서를 작성하였다.

Active Directory : 시스템 네트워크 자원 및 정보 등을 중앙화 하여 관리하기 위한 서비스
CobaltStrike : 침투 제어 및 내부확산 등의 기능을 수행하는 모의침투 테스트 도구


2. 공격 개요

 o 침해사고 분석 중 발견된 공격 도구 코발트스트라이크의 특징에 착안하여 감염 상황을 재구성 하였으며 그 내용은 아래와 같다.


1) 메일 유포를 통해 피해시스템 감염 추정
2) 메일의 첨부파일 열람을 통해 다운로더 악성코드 설치
3) 다운로더 악성코드는 도메인컨트롤러와 연결된 시스템을 확인 하고 원격제어 악성코드 삽입
4) 원격제어 악성코드를 이용해 코발트스트라이크로 만들어진 셸코드 삽입 및 내부전파 (ShellCode)
5) 관리자 권한 탈취 및 도메인컨트롤러 서버 장악
6) Clop 도메인컨트롤러 서버에 연결 된 시스템에 랜섬웨어 전파 및 실행

  1. 개요
  2. 공격 개요
  3. 공격 기법 및 절차
  4. 악성코드 상세 분석 정보
  5. IoC
  6. 참고자료


컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com


2019년 6월 17일 월요일

방통위, 개인정보 보호 법규위반 시정명령 (2019-06-12)

 뉴딜코리아 홈페이지


방송통신위원회
2019년 제28차 위원회 결과 (2019-06-12)


가. C사의 개인정보 보호 법규위반에 대한 시정조치에 관한 건

o C사가 배포한 ‘C*App 발신자 정보․차단 앱’에 대해 언론에서 개인정보 불법 유출 문제가 제기(2017.6.23.)되고, (사)녹색소비자연대전국협의회가 개인정보 유출 가능성을 신고(2017.6.27.)함에 따라 개인정보 취급‧운영 실태조사(‘17.7.28.~’19.1.25.) 결과,

- 정보통신망법 제22조 등 위반의 사실이 확인되어, 시정명령과 함께 90만원의 과징금과 1,000만원의 과태료를 부과하기로 의결함.

< 정보통신망법 위반 행정처분 내역 >

▷ 위반내용 : 

o 개인정보 수집 동의 위반(제22조)
  - 이용자의 개인정보를 수집하면서 명시적인 동의를 받지 않음
  - 시정명령
  - 과징금 : 90만원

o 이용자의 권리 등(제30조제6항)
  - 시정명령
  - 과태료 : 1,000만원


나. 개인정보 및 위치정보보호 관련 법규 위반사업자에 대한 시정조치에 관한 건

⦁ 2018년 국정감사 시 국회에서 H자동차(주), K자동차(주) 2개사에 대해 위치정보 및 운행정보 수집 등과 관련하여 문제를 제기함에 따라 개인정보 및 위치정보 취급ㆍ운영 실태를 조사(‘18.10.23.~’19.1.3.)한 결과

• 정보통신망법 제25조, 제30조 및 위치정보법 제18조, 제19조, 제24조의 위반 사실이 확인된 2개사에 대하여,
  - 과징금 2,380만원,
  - 과태료 2,840만원,
  - 위반행위의 중지 및 재발방지대책 수립 시정명령,
  - 시정명령 이행결과 제출 등 행정처분을 의결함.

< 위반 사업자 행정처분(안) >

H자동차(주)

▷ 위 반 내 용 :

o 개인정보의 처리위탁 (정보통신망법 &sect;25②, 시행령 &sect;10)
- ‘길안내’, ‘차량위치 공유’ 등 위치기반 커넥티비티 서비스를 위해 개인정보 및 위치정보를 위탁하고 있으나, 개인정보 처리방침에 공개하거나 전자우편‧서면‧모사전송‧전화 등을 통해 이용자에게 알리지 않음

o 이용자의 권리 (정보통신망법 &sect;30⑥)
- 이용자로부터 수집한 운행정보를 정기점검 리포트 또는 월간 리포트를 통해서 열람이 가능할 뿐, 이에 대한 삭제를 스마트폰 앱 또는 웹사이트 등에서 할 수 없고 XX링크 고객센터에 전화(18XX-0606) 또는 이메일(tmsmaster@hXXXX.com)로 요청하거나 서비스를 탈퇴하는 것 외에 다른 방법을 제공하지 않음

o 개인위치정보의 수집 (위치정보법 &sect;18①, 시행령 &sect;22)
 - UVO(유보) 서비스 이용자의 위치정보를 수집하면서 이용자에게 위치정보사업자 구분 및 ‘위치정보 수집사실 확인자료’의 보유근거 및 보유기간을 명시하지 않은 이용약관을 동의받음

o 개인위치정보주체의 권리 (위치정보법 &sect;24②)
- 이용자가 직접적으로 서비스를 “요청”하지 않는 경우에도 위치정보를 수집하고 있으나, 개인위치정보주체인 이용자가 개인위치정보의 수집, 이용 또는 제공의 일시적인 중지를 요구한 경우에 대한 기술적 수단을 갖추고 있지 않음

 ▷ 시정조치 : 
  o 시정명령
  o 과징금 : 2,190만원
  o 과태료 : 1,420만원


  K자동차(주)

▷ 위 반 내 용 :

o 개인정보의 처리위탁 ( 정보통신망법 &sect;25②, 시행령 &sect;10 )
- 이용자에게 ‘UVO(유보)’서비스를 제공하기 위해 H자동차㈜에 개인정보 처리위탁을 하고 있으나, 개인정보 처리방침에 공개하거나 전자우편‧서면‧모사전송‧전화 등을 통해 이용자에게 알리지 않음

o 이용자의 권리 (정보통신망법 &sect;30⑥)
- 이용자로부터 수집한 운행정보를 정기점검 리포트 또는 월간 리포트를 통해서 열람이 가능할 뿐, 이에 대한 삭제를 스마트폰 앱 또는 웹사이트 등에서 할 수 없고 ‘UVO(유보)‘ 고객센터에 전화(18xx-2121) 또는 이메일(tmsmaster@kxx.com)로 요청하거나 서비스를 탈퇴하는 것 외에 다른 방법을 제공하지 않음

o 개인위치정보의 이용 또는 제공 (위치정보법 &sect;19①, 시행령 &sect;23)
- 이용자에게 위치정보사업자 구분 및 ‘위치정보 이용‧제공사실 확인자료*’의 보유근거 및 보유기간을 불명확하게 명시한 요약된 이용약관으로 동의받음

o 개인위치정보주체의 권리 (위치정보법 &sect;24②)
- 네비게이션에 교통상황을 표시하기 위해 이용자가 직접적으로 서비스를 “요청”하지 않는 경우에도 위치정보를 수집하고 있으나, 개인위치정보주체인 이용자가 개인위치정보의 수집, 이용 또는 제공의 일시적인 중지를 요구한 경우에 대한 기술적 수단을 갖추고 있지 않음

▷ 시정조치 : 
  o 시정명령
  o 과징금 : 190만원
  o 과태료 : 1,420만원



컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com





2019년 6월 16일 일요일

Microsoft 메모장 원격 코드 실행 결함 (2019.05.30)

 뉴딜코리아 홈페이지 



Microsoft의 메모장(Notepad) 텍스트 편집기는 새로 발견 된 원격 코드 실행 결함에 취약한 것으로 밝혀졌습니다.

참고>
Ormandy는이 문제를 Microsoft에보고했습니다.
 Project Zero의 취약점 공개 정책에 따라 Microsoft는 발견 된 날로부터 90 일 이내에 패치를 공개해야하며 그로 인해 결함의 기술적 세부 사항이 공개됩니다.

또한, 실제 공격코드(real exploit)가 만들어 졌다고 일부 전문가는 전했다



컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com
 

2019년 6월 9일 일요일

<설명회>개인정보 손해배상책임보험 등 개정 정보통신망법 시행령 관련 설명회 (06.11)



방송통신위원회는 개인정보 유출 등에 따른 정보통신서비스 제공자등의 손해배상책임 강화를 위한 보험 가입 등이 이번 달부터 의무화됨에 따라, 오는 6월 11일(화) 15시 한국인터넷진흥원 서울청사 3층 대강당(서울시 송파구 가락동 소재)에서 관련 제도 설명회를 개최한다.


이번 설명회는『정보통신망 이용촉진 및 정보보호 등에 관한 법률』(이하 ‘정보통신망법’) 및 ‘정보통신망법 시행령’ 개정으로 정보통신서비스 제공자 등은 개인정보보호 손해배상책임보험(공제) 가입 또는 준비금 적립이 의무화되고, 시행령에서 가입 대상 사업자의 범위 및 기준 등을 정함에 따라 관련 업계의 이해를 돕기 위해 마련되었다.


설명회에는 방송통신위원회, 한국인터넷진흥원, 보험사 관계자 등이 참석하여


①개인정보 손해배상책임보험 등과 관련하여 개정된 정보통신망법 시행령의 주요내용을 설명하고,
②개인정보보호 손해배상책임보험 상품 안내,
③질의응답 등을 진행할 예정이며,


설명회 자료는 추후 www.i-privacy.kr에서 다운로드 받을 수 있다. 끝.



< 설명회 개요 >

o 일    시 : 2019. 6. 11(화) 15:00~16:20
o 장    소 : 한국인터넷진흥원 서울청사 3층 대강당
o 주최/주관 : 방송통신위원회/한국인터넷진흥원
o 참 석 자 : 정보통신서비스제공자등, 보험사, 유관기관·협회 등 300여명
o 문 의 처 : 한국인터넷진흥원 개인정보제도팀(061-820-1809)


컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com


2019년 6월 4일 화요일

EU GDPR 위반에 대한 벌금부과 및 유관 사례 검토



EU GDPR 위반에 대한 벌금부과 및 유관 사례 검토

< 목 차 >

1. 개요 및 배경

2. 주요 사례
 (1) 벌금부과 사례
 (2) 조사진행 사례
 (3) 불만접수 사례
 (4) 기타 사례

3. 결론 및 시사점


1. 개요 및 배경


▶ 2018년 5월 25일 EU의 GDPR 시행 이후 EU 회원국에서 EU GDPR(이하 GDPR) 위반 사항에 대한 벌금 부과 및 여타 유관 사례들이 축적

• EU 집행위원회(European Commission)는 GDPR 시행 이후 잠재적인 개인정보 침해 사안에 대해 9만 5,000건 이상의 불만 신고를 접수했다고 발표

• GDPR 시행 이후 영국에서만 총 20만 6,326건의 위반 사례가 보고된 가운데, 그 중 9만 4,000건에 대해 불만이 제기되었으며, 6만 4,000건이 데이터 유출 신고였던 것으로 확인

• 독일의 개인정보보호 감독기구는 GDPR 시행 이후 2019년 1월 중순까지 GDPR 위반 사안에 대해 총 41건의 벌금을 부과했으며, 최대 벌금 규모는 8만 유로였던 것으로 확인

• 프랑스의 CNIL이 Google의 GDPR 위반에 대한 대규모 벌금 부과 선례를 만든 가운데, 네덜란드, 아일랜드, 포르투갈, 덴마크, 폴란드 등 여타 회원국에서도 GDPR 위반 사례에 대한 벌금을 부과


▶ 2019년 3월 IAPP 컨퍼런스(IAPP Data Protection Intensive Conference)에서 GDPR 시행 1년에 대해 평가한 결과, GDPR 시행 후 총 5,500만 유로의 벌금이 부과되었고 그 중 5,000만 유로가 Google에 부과된 것으로 집계

• 유럽의 공공 및 민간 기업들이 2018년 5월 GDPR 시행 이후 실시한 개인정보침해 통지(notifications) 건수가 총 5만 9,000건을 기록

- 네덜란드의 개인정보 침해 통지가 총 1만 5,400건으로 가장 많았으며, 리히텐슈타인은 총 15 건에 불과해 가장 적었던 것으로 기록


▶ 이 보고서에서는 GDPR 위반에 따른 벌금부과 사례와 더불어 향후 벌금 등 제재가 이뤄질 수 있는 조사 진행 사례와 불만접수 사례를 함께 검토하기로 함



컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션


보안솔루션 공급
070-7867-3721, ismsbok@gmail.com



2019년 6월 1일 토요일

<보안공지> 국세청 홈택스 사칭 스팸 메일 주의 안내 (2019.05.30)

 뉴딜코리아 홈페이지



국세청 홈택스 사칭 스팸 메일 주의 안내 (2019. 05.30)
국세청 홈택스 사칭 메일 ‘그럴듯하게’…“피고인? 출두?, 열지말고 삭제


30일 국세청 관계자와 뉴딜코리아에 따르면 “국세청을 사칭해 악성 코드가 포함된 첨부파일을 메일로 보내는 사례가 늘고 있다”며 주의를 당부했다.

- 이번 악성메일은 실제 국세청이 보낸 전자세금계산서와 똑같기 때문에 피해가 많을 것으로 보인다.
- 사칭 메일의 첨부파일을 다운로드 할 경우 해당 PC가 악성 바이러스에 감염될 수 있고, 개인정보 유출의 우려가 있다
- 링크나 이미지, 첨부파일을 클릭하지 마시고 '삭제' 하시기 바랍니다.

※ 삭제 아닌 '스팸차단' 할 경우, 실제 국세청 홈택스에서 발송한 메일도 수신되지 않을 수 있습니다.


사례) 낚인 1인 입니다.
거래 업체에서 세금계산서를 발행 해주기로 해서 기다리고 있다가 ~~ 왓네!!하고 바로 염..."
이날 국세청을 사칭하는 스팸 의심 메일을 신고 받아 분석한 뉴딜코리아 담당자는 “‘세금 계산서’라는 제목의 메일을 열어보니 ‘안녕하세요. 국세청 전자(세금) 계산서 입니다.  메일 내용을 확인하기 위해서는 첨부파일을 클릭하십시오’라는 문구에 클릭을 하게 됐다”며 “파일이 열리지 않아 스팸임을 파악했다”고 전했다.

 ▶ 첨부파일에는 PC에 설치돼 원격에서 PC를 조정해 민감한 개인정보 등을 빼내는 악성코드가 있는 것으로 파악

  실제와 똑같은 악성메일을 받은 사용자가 첨부된 파일을 실행할 경우 악성 액셀(Excel) 파일을 다운로드 하며, 유저폼(UserForm)에 삽입된 명령제어(C&C) 서버 주소를 통해 악성 매크로를 불러온다

  사용자의 PC에 설치된 악성 파일은 RAT(Remote Admin Tool) 기능을 메인으로 하는 ‘Ammyy RAT’이며, 이 기능을 통해 공격자는 피해자 PC를 조작할 수 있다. 

  RAT은 파일 전송, 명령창 수행 등 PC에서 할 수 있는 거의 모든 일을 할 수 있다. 

정보보호 전문기업 뉴딜코리아 백동수 이사는 “의심이 가지 않을 정도의 메일일지라도 보낸 사람(발송자 메일)을 확인하는 것은 물론 첨부파일을 안티바이러스 프로그램 등으로 검사한 후 실행하는 것이 필요하다”고 강조



컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com