(Symantec 2017년 10대 보안 전망) SSL 남용으로 HTTPS를 이용한 피싱 사이트 증가

(Symantec 2017년 10대 보안 전망) SSL 남용으로 HTTPS를 이용한 피싱 사이트 증가

시만텍(www.symantec.com)은 2017년 10대 보안 전망(Security in 2017 and Beyond : Symantec’s Predictions for the Year Ahead)’를 발표했습니다.

이 중에는 SSL에 관한 내용도 포함되어 있어 소개해 드립니다.

주요 내용은 다음과 같습니다.

• 클라우드 확산으로 보안은 새로운 전환점
• 커넥티드 카가 ‘인질’이 되는 시대
• 기업 내부 침투를 위한 IoT 기기 공격 증가
• IoT 디도스(DDoS) 공격 증가
• 클라우드 공격하는 랜섬웨어
• ‘파일리스(fileless)’ 악성코드의 증가
• 머닝러신에 의한 보안 기술
• SSL 남용으로 HTTPS를 이용한 피싱 사이트 증가
• 스파이 활동과 폭발 공격에 이용되는 드론
• 온라인 절도를 통해 자금 마련하는 불량 국가들

SSL 위혐과 관련하여

구글이 최근 HTTP만 사용하는 사이트를 안전하지 않은 사이트로 표시하는 정책과 맞물려 무료 SSL 인증서가 인기를 끌고 있는데, 이는 보안 표준을 약화시키고, 악의적인 검색 엔진 최적화 관행에 따른 스피어 피싱이나 악성코드 프로그램을 활성화시킬 것으로 전망했습니다.

[스피어피싱(spear phishing)] 조직 내에 신뢰할 만한 발신인으로 위장해 ID 및 패스워드 정보를 요구하는 일종의 피싱 공격. 메일을 보내 가짜 사이트로 유도하여 악성 코드를 설치하게 하거나 ID와 패스워드를 입력하게 하여 네트워크에 침입할 수도 있습니다. 최근에는 컴퓨터를 이용한 피싱외에도 전화를 이용한 보이스피싱이 증가하고 있습니다. 안랩은 인터넷 사용자들을 위한 피싱 공격 예방법은 다음과 같이 소개하고 있습니다. 메신저 비밀번호는 주기적으로 변경한다. 사용하지 않는 메신저 계정이나 버디 리스트는 삭제한다. 단기적인 목적으로 가입한 사이트는 사용 후 탈퇴한다. 각 웹사이트의 아이디와 비밀번호는 가급적 다르게 설정, 관리한다. 메신저를 최신 버전으로 업데이트하고 보안 기능을 최대로 설정, 이용한다. 보안백신을 설치, 주기적으로 업데이트하고 바이러스 검사를 실시한다. 메신저 피싱이 의심될 경우 즉각 버디들에게 알리고 송금중지를 요청하며 경찰, 은행에 신고 조치한다. 메신저를 통한 금전 요청시 전화로 본인여부를 확인하고 타인 명의 통장으로 송금하지 않는다. 사용하는 인터넷 브라우저는 최신 버전으로 업데이트하고 보안기능을 습득, 적극 활용한다. 공용PC 이용시 보안검사를 실시하며 이용 후 반드시 로그아웃 버튼을 누르고 창을 닫는다.

앞선 포스팅에서 무료 SSL 인증서의 위험성에 대해 언급한 적이 있는데요,

가능하면 신뢰도가 검증된 인증기관에서 발급한 SSL 인증서를 발급받아 이용하기를 강력히 권고합니다.

[COMODO의 대한민국 총판]

COMODO SSL 인증서의 대한민국 총판은 오직 한국정보인증 뿐입니다.

대한민국 제1호 공인인증기관인 한국정보인증은 COMODO SSL 인증서에 대한 Validation을 직접 진행함으로써 업무 시간 내 당일 발급 및 효율성을 증대하고 있습니다.

l 한국정보인증 : EV SSL 최대 1 ~ 2일 소요(DV, OV는 즉시 발급)

l 타사 : 2 ~ 3일 소요

SSL 인증서, 이제 글로벌 No.1 COMODO를 선택하세요,

대한민국 COMODO SOLE 총판이자 공식 파트너인 한국정보인증과 상의하세요.

고객센터 정보 02)360-3065 webmaster@kicassl.com