Cappuccino sapiens

정보보안에서 사용하는 Covert channel은 악의적인 사용자가 보안정책을 우회하여 의도하지 않던 경로를 생성하는 것이다. 이 경로(channel)를 통해 시스템 오류나 해킹을 유발할 수 있다. Covert channel은 프로세스를 처리하는 과정에서도 발생할 수 있으며, 기능단위에서 또는 데이터 전송과정에서도 발생할 수 있다. 

반면,  Overt channel은 시스템의 정상적인 통신을 위해 사용하는 통신 채널이다. 예를 들면, 제품개발사가 유지보수를 위해 특정 포트를 사용하는 것이 대표적인 예이다. 하지만, Overt channel이라도 제품개발사가 이를 제품설명서에 명시하지 않거나, 사용자에게 인지시키기 않았을 경우, Covert channel로 오인될 수도 있다. 

악의 적인 개발자인 경우, 자신만의 Covert channel을 시스템에 구축하여, 향후 이를 악용하는 용도로 사용한 사례도 있었 듯이, 시스템 설계·개발·검증과정에서 개발보안을 적용하고, 구축시 보안취약점 진단을 통해 Covert channel을 탐지하고 제거하는 일련의 노력이 필요하다. 

- 공공기관 도입 확대 예정 '개방형 OS' 3종의 보안성 진단

- 입연 우리은행 前 정보보호최고책임자, "비번도용 모두 사전 보고했다"

- "쿠키 종말 시대 오나"…구글, 개인정보 보호 위해 쿠키 지원 제한

- [월요논단]데이터를 안전하게 활용하는 데이터 선진국이 되는 길

- [리걸테크] 소송에서의 데이터 활용 4가지 팁

- 美 블록체인 투표앱서 취약점 발견 "투표 조작 위험"

- 北, 태영호 폰 해킹… 문자까지 털어갔다

- 이스라엘군 "팔레스타인 하마스의 사이버 공격 저지"

- Iranian hackers have been hacking VPN servers to plant backdoors in companies around the world

- Marriott data breach FAQ: How did it happen and what was the impact?

- The CSO guide to top security conferences, 2020

- What is phishing? How this cyber attack works and how to prevent it

나의 수중에 있는 스마트폰은 완벽하게 나의 통제하에 안전하게 관리되고 있을까?

최근 CNET 기사에 따르면, 적어도 1,000개 이상의 앱이 스마트폰의 권한설정을 위반하여 정보를 유출하고 있다고 한다. 또한, 주기적으로 사용자의 데이터를 타 서비스와 공유하여 사용자 정보를 과도하게 이용한다고 한다. 이러한 행위는, 사용자의 데이터 접근통제 권한을 침범하는 해킹으로 간주되어야 한다.

사용자는 모바일 디바이스에 대한 보안 수칙을 준수하고, 사용자 계정관리 및 디바이스 보안관리에 신중할 필요가 있다. 

※ Source: CNET, Your phone talks about you behind your back. These researchers are listening in(https://www.cnet.com/news/your-phone-talks-about-you-behind-your-back-these-researchers-are-listening-in/)

※ IBM MaaS 360: 스마트폰, 태블릿, 노트북, IoT 등의 단말기의 응용프로그램 관리, 보안패치, 데이터 암호화 등을 통해 안전하게 관리합니다. 

- FAO "평양사무소 등 이메일 해킹...오보 전달에 사용돼"

- [카&테크]움직이는 컴퓨터 '자율주행車'…'차량 보안 필수'

- 2020 랜섬웨어 현황과 방어 전략 “지능화되고 표적화된 공격으로 피해 비용 증가”
- 해커에게 내거는 억대 포상금, '버그바운티' 역대 최대 금액은?

- [박상현의 디지털 읽기] 하이테크 믿다가 난리… 차라리 로테크로 돌아가자는 美 대선
- 강은성의 보안 아키텍트 | 정보보안 인력과 개발 중시 문화

- [긴급] 99개 새로운 보안 결함 패치 위해 윈도우 시스템 업데이트 필수

- 2020 타깃 공격 및 탐지회피 사이버 공격 증가

- 데이터 경제 시대, 선제적으로 개인정보 보호한다

- It's a match! Dating Apps and hacking

- Your phone talks about you behind your back. These researchers are listening in

흔히 인공위성 서비스는 날씨 예보와 네비게이션(GPS) 정도를 떠올리게 된다. 그러면 현재 하늘에 떠다니는 인공위성은 얼마나 될까? 또한 안전하게 운행되고 있을까?

최근에 PHYS.ORG의 기사 “Hackers could shut down satellites–or turn them into weapons”를 보면, 2020년 1월 현재, 242개의 인공위성이 돌고 있으며, 향후 10년내 42,000개를 더 쏘아 올릴 계획이라고 한다. SpaceX를 포함해 아마존, OneWeb등은 인공위성을 통해 전세계에 인터넷 서비스를 제공하겠다는 계획이다.

기사에 따르면, 보안표준의 부족, 상업적 위성에 대한 규제 미흡, 복잡한 조립공정으로 인한 잔존하는 취약점 등이 보안위협이라고 보고 있다. 해커는 이러한 보안취약점을 이용해 인공위성의 통제권을 획득하고, 서비스 거부공격, 타 인공위성 공격, 지상 낙하 피해 등을 유발할 수 있다고 지적한다. 인공위성은 지상의 통제센터를 통해 통제를 하고 있어, 통제센터 시스템의 취약점을 이용할 경우, 이러한 통제권 획득이 가능하다.

실사례로 , 2011년 ROSAT X-Ray 인공위성 통제권 상실 및 지상낙하, 1999년 UK’s SKYNet 위성의 통제권 상실 등이 그 예이다.

Source: https://phys.org/news/2020-02-hackers-satellitesor-weapons.html

- “전 세계 암호화폐 거래소, 보안 매우 취약…북한 등 해킹 우려”

- '도긴개긴' '내로남불' 드러난 美·中 불법 해킹

- 까다로운 줄타기··· 기업 4곳의 ‘보안 vs. 혁신’ 조율 사례

- '위험 우선순위 정하고 최대한 방어···' 2020년 사이버보안 강령
- '암호 생성기가 암호 누출기로'…미·독, 각국 비밀통신 해킹

- 북한 추정 해커 서버에 쌓여가는 남한 인사들의 스마트폰 정보들

- 법원, '고객 정보 3만건 해킹' 암호화폐 중개업체 빗썸에 벌금 3천만원 선고

- 피의 복수' 이란, 트럼프 선거 노려…미군 드론 해킹도 가능해

- 가상화폐 범죄로 작년 5.3조원 손실…전년의 2.6배

- '위험 우선순위 정하고 최대한 방어···' 2020년 사이버보안 강령

- 기본이 된 '멀티 팩터 인증'··· 보안성·편의성 함께 잡는다

- Hackers could shut down satellites–or turn them into weapons

- 이란, 대규모 디도스 공격 받아 전체 인터넷 25% 접속률 떨어져

- 애플, 보안 강화 위해 macOS 커널 확장 중지…새로운 매커니즘으로 대체

- 미국 사법부, 에퀴팩스 사건 배후 세력으로 중국 요원 4명 기소

- [주의] 네이버 사용자 계정정보 탈취용 피싱사이트…네이버 카페서 다수 발견

- 잘못 설정된 레지스트리 통해 15887개 애플리케이션 소스코드 노출

- 이탈리아의 알츠비트, 해킹 피해로 올해 5월 폐쇄

- "AI가 해킹하는 시대 온다"…보안에 사활건 글로벌테크기업

- 미 방첩기관 "해커·SNS 조작자도 기밀 유지에 위협 요인"

- '잠복기간 5년'…이란 핵개발 막으려 은밀한 공격 나선 미국
- 美 사이버안보 강화…비밀검찰국, 국토안보부→재무부 산하로

- This Sophisticated Banking Trojan Can Spread By Hacking Wifi Networks