퍼블릭 클라우드 배포에서의 인간이 아닌 ID가 폭발적으로 늘어나면서 의사결정자가 새로운 ID를 개발해 환경 안전을 확보하기 위한 관리 도구 액세스에 관심을 돌리고 있다. 손라이 시큐리티(Sonrai Security)와 AWS가 의뢰한 포레스터 컨설팅의 새로운 연구 보고서 결과다.  지난주 목요일 발표된 보고서에 따르면 북미 IT 보안 업체의 의사결정자 154명 이상이 클라우드에 만연한 머신과 비인간 ID로 고심하고 있다고 밝혔다.   손라이 CISO 에릭 케드로스키는 CSO에 “전통적인 데이터센터 모델에서 데이터 보안은 네트워크를 만들고 그 네트워크가 다시 모델의 구획을 만드는 과정이었다. 클라우드에서는 예전의 그 네트워크가 사라지고, ID가 클라우드 보안의 중심에 선다”라고 설명했다. 계속해서 “클라우드로 이전한 많은 기업이 인간 ID에 대해서는 많이 탐구했지만 인간보다 훨씬 많은 비인간 ID는 고려하지 않았다. 이 점이 바로 기업 운영에서의 맹점으로 작용한다. 비인간 ID가 클라우드의 취약성이 될 수 있다는 점을 몰랐던 것”이라고 지적했다.   CIG/CIEM 시스템에서의 과제 클라우드 ID에 대한 우려를 이야기하자 55%의 의사결정자가 소속 기업이 클라우드 ID 거버넌스(CIG)와 클라우드 인프라 자격 관리(CIEM) 솔루션을 2023년까지 마련할 예정이라고 답했다. 82%는 조금 더 장기적인 투자를 계획하고 있었다. CIG/CIEM에 투자할 의지가 있었지만 보고서 결과에 따르면 98%의 의사결정자가 시스템과 관련된 보안 문제를 겪고 있다. 이때의 보안 문제는 다음과 같다.   액세서 제어 정책이 지나치게 복잡한 나머지 클라우드 ID에 적은 권한을 주는 것이 불가능함. 퍼블릭 클라우드 환경에서의 레거시 도구 통합이 어렵거나 거의 불가능하고, ID 수명이 짧아지면서 인식되지 않은 비인간 및 머신 ID가 늘어남. 클라우드 플랫폼 ID 단일 뷰가 어려움.   AI 중심 조사, 행동 추적 프로그램이...

2022.05.04

오는 6월 RSA 컨퍼런스 2022(RSA Conference 2022)가 미국 샌프란시스코 모스콘 센터에서 개최된다. 오랜만에 개최되는 대면 행사인 만큼 보안 업계의 분위기는 한껏 고무됐다. 지난 2년 동안 원격 업무로 많은 진전을 이뤘음은 분명하지만, 사이버보안은 2022년에도 여전히 불안정한 상태이므로 업계의 대책 회의가 시급하다. 전통적인 보안 방어의 규모와 복잡성이 더 이상 통하지 않거나 한계에 이른 시점에 도달했다. 즉, CISO가 보안 트랜스포메이션에 대해 생각해야 한다는 의미다. 이 과정에서는 보안 기술 스택의 모든 프로세스와 계층이 작동한다.   이번 컨퍼런스에서는 XDR(Extended Detection and Response), CNAPP(Cloud Native Application Protection Platforms), SASE(Secure Access Service Edge), 제로 트러스트와 같은 보안 ‘플랫폼’에 관한 많은 이야기가 나올 것이다. 모두 중요한 주제임은 분명하나 과장된 이야기와 사용자의 혼란으로 어수선한 분야이기도 하다. 필자는 ISSA 인터내셔널(ISSA International) 대표 캔디 알렉산더와 함께 6월 7일 RSA 세션에서 이런 추세를 살펴볼 예정이다. 토론 세션을 제외하고는 SOC(Security Operation Center) 현대화에 대한 지식을 최대한 많이 습득할 계획이다. SOC 현대화의 의미를 세부적으로 살펴보자. SOC는 흔히들 말하는 것처럼 사이버보안 역량이 실제로 검증되는 곳이다. SOC 애널리스트는 위협을 적시에 탐지하고 이런 위협을 조사해 그 범위와 영향 반경을 판단한 후 사이버 공격을 완화하거나 차단, 또는 피해를 최소화하고 IT 운영 부서와 협력해 비즈니스/IT 운영을 온전히 복원한 다음, 이 과정에서 얻은 지식을 바탕으로 방어를 한층 강화해야 한다. 안타깝게도 이런 과정은 지난 몇 년 동안 복잡해졌다. SOC 담당자는 상호 연결되지 않은 여러 포인트 툴과 수작업을...

2022.05.04

클라우드 보안 협회(Cloud Security Alliance; CSA)의 ‘소프트웨어 정의 경계(Software-Defined Perimeter; SDP) 2.0’은 강력한 접근 제어를 통해 제로 트러스트를 구현한다.  최근 CSA가 협회 산하의 SDP 및 제로 트러스트 워킹 그룹에서 개발한 소프트웨어 정의 경계(SDP)의 버전 2.0을 공개했다. 버전 1.0이 지난 2014년 출시됐고, 업계 전반에서 제로 트러스트를 도입하려는 추세를 감안할 때 이번 업데이트는 시기적절하다. SDP는 제로 트러스트 아키텍처 구축과 밀접하게 연결돼 있다. 여기서는 CISO를 비롯한 보안 리더들이 알아야 할 ‘SDP 2.0’를 소개한다. 美 연방정부에서 자체적인 제로 트러스트 전략을 발표했다. CISA(Cybersecurity&Infrastructure Security Agency)의 ‘제로 트러스트 성숙도 모델(Zero Trust Maturity Model)’, NSTAC(National Security Telecommunications Advisory Committee)의 ‘제로 트러스트 및 신뢰할 수 있는 ID 관리(Zero Trust and Trusted Identity Management)’ 등이다. SDP 2.0은 이러한 문서에 나온 여러 권장사항과 요구사항을 지원하기 때문에 민간 및 공공 부문의 모든 보안 리더에게 적합하다.      SDP는 소프트웨어 및 네트워크 자산에 중점을 둔다  상위 수준에서 SDP는 기본적으로 ‘하드웨어’가 아니라 ‘소프트웨어 및 네트워크 자산’에 초점을 맞추는 경계다. 클라우드 컴퓨팅이 보편화되는 한편 모든 것이 소프트웨어로 정의되고 코드화되면서 이러한 변화는 타당해 보인다. 또 SDP는 최소 권한 접근 제어, 침해 가정, 신뢰/검증 기반 방법론 등 제로 트러스트의 기본 원칙을 시행하는 데 도움을 준다.  SDP 공저자인 주안티아 코일필라이는 “네트워크 경계는 죽었다. ...

2022.04.28

작년 여름, ‘리커션 팀(Recursion Team)’이라는 사이버 범죄 조직과 연루된 해커가 경찰로 위장해 애플과 메타에 ‘비상 데이터 요청’ 형태로 고객 데이터를 요구했다. 두 기업 모두 깜빡 속아 요구에 응하고 말았다. 약 3년 전에는 영국에 소재한 애너지 기업의 CEO가 독일에 있는 모기업 CEO로부터 헝가리 공급업체에 25만 달러를 송금하라는 전화를 받고 지시에 따랐다. 알고 보니 모회사의 CEO라던 사람은 딥페이크 오디오 기술을 사용해 다른 사람의 목소리를 변조한 사이버 범죄자였다. 두 해커는 각각 데이터와 돈을 성공적으로 갈취했다. 이들은 모두 신뢰를 악용해 범죄를 저질렀다. 피해자는 해커가 말하는 정보 만을 곧이곧대로 믿었다.     제로 트러스트의 정의 제로 트러스트는 경계 보안에 의존하지 않는 보안 프레임워크이다. 경계 보안은 오래 전부터 보편적으로 사용돼 온 모델로, 기업의 건물이나 방화벽 안에 있는 모든 사람과 사물을 신뢰하는 것은 전제로 한다. 여기서 보안은 경계 밖에 있는 사용자가 내부로 들어오지 못하도록 막는 데 중점을 둔다. ‘제로 트러스트’는 1994년 영국 스털링 대학에서 박사 과정을 밟고 있던 스티븐 폴 마시가 처음 만든 용어이다. ‘탈경계화’라고도 불리는 이 개념은 포레스터 익스텐디드(Forrester eXtended), 가트너의 CARTA 및 NIST 800-207과 같은 가이드라인에서 구체화됐다. 경계 보안의 효용성이 떨어진 데는 여러 가지 이유가 있지만, 이 중에서도 원격 근무의 확산이 대표적이다. 이밖에 모바일 컴퓨팅과 클라우드 컴퓨팅, 갈수록 증가하는 정교한 사이버 공격, 그리고 내부에서 비롯되는 위협 등을 이유로 들 수 있다. 다르게 말하면, 네트워크 경계는 더 이상 존재하지 않는다. 경계가 존재한다고 해도 침해될 수 있다. 해커는 경계 안으로 들어오면 더 쉽게 이동한다. 제로 트러스트의 목표는 각 사용자와 디바이스, 애플리케이션이 네트워크 컴포넌트나 기업 리소스에 액세스할 때마다 ...

2022.04.27

2020년 솔라윈즈 해킹은 전 세계적으로 큰 영향을 미쳤다. 전방위적인 개선 노력에 공공 및 민간 부문의 자원이 투입됐으며, 솔라윈즈의 주가에도 부정적인 영향을 미쳤다. 그 결과 솔라윈즈를 상대로 민사 소송이 뒤따랐다. 이에 솔라윈즈 CISO 팀 브라운, 사모펀드 회사 실버 레이크(Silver Lake)와 토마 브라보(Thoma Bravo)는 소송 기각을 요청했다. 하지만 미 연방법원이 이를 거부함에 따라 솔라윈즈 해킹과 관련한 소송이 시작될 참이다.   보안 업체 레드포인트 사이버시큐리티(Redpoint Cybersecurity)의 고객 참여 담당 사이버보안 및 개인정보보호 변호사 바이올렛 설리번은 판사가 원고들에게 “청구권이 있을 수 있다고 판단해 심리하려고 하는 것이다. 흥미로운 것은 판결 결과가 아니라 판결 과정에서 발견되는 사항들일 것이다. 이 소송에서는 다음과 같은 질문을 할 수 있다. ‘침해가 발견되는 동안 포렌식 보고서를 마련했는가’, ‘포렌식 보고서에 변호사-의뢰인 비밀 보호 제도가 적용되는가’이다”라고 말했다.  핵심 질문 : 솔라윈즈는 보안 절차를 무시했는가? 소송 기각 요청을 거부한 판사는 모든 CISO가 두려워하는 것, 즉 기본적인 사이버보안 방안을 구현하는 과정에서 직원이 ‘지름길’을 택했는지에 집중했다. 비밀번호 관리에는 대가가 따른다. 솔라윈즈는 보안 연구원이 2019년 11월 ‘업데이트 서버’에서 발견한 악명 높은 암호 ‘solarwinds123’이 통보된 지 한 시간 이내에 해당 비밀번호를 변경했으며, 러시아의 솔라윈즈 침해와 해당 비밀번호는 관련이 없다고 선을 그었다. 그러나 설리번은 “업데이트 서버의 비밀번호 문제는 단지 진입점일 뿐”이라고 말했다. 판사는 ‘근본적인 보안 문제에 대한 혐의(예컨대 solarwinds123 비밀번호 침해)’만으로 솔라윈즈의 보안 문제가 직접적으로 손실을 일으켰다고 볼 필요는 없다고 판단했다. 다만 이런 혐의는 솔라윈즈 경영진이 무엇인가가 심각할 정도로 잘못되었다는 것을...

2022.04.27

유명한 크립토마이닝 봇넷인 레몬덕(LemonDuck)이 리눅스 시스템 상의 도커를 노리고 있다고 클라우드스트라이크가 21일 밝혔다. 회사의 위협 리서치 팀이 블로그(마노즈 아후헤가 작성)를 통해 밝힌 내용에 따르면, 신형 봇넷은 인터넷에 노출된 도커 API를 활용함으로써 리눅스 시스템에서 악성 컨테이너를 실행하는 방식으로 동작한다.  도커는 오늘날 컨테이너화된 워크로드를 빌드, 실행 및 관리하는 데 사용된다. 주로 클라우드에서 실행되며, 이로 인해 잘못 구성될 경우 도커 API가 인터넷에 노출될 수 있다. 이를 악용하면 컨테이너 내에서 암호화폐 채굴기를 실행할 수 있게 된다.  도커 컨테이너 노리는 공격 엔터프라이즈 보안 분양의 SaaS 벤더인 벌칸 사이버의 마이크 파킨 엔지니어에 따르면, 오늘날 컨테이너 환경을 노리는 공격 중 상당수는 잘못된 구성을 악용하는 형태다. 아직도 수많은 조직이 모범 관행을 준수하지 않음을 시사하는 결과이기도 하다.  그는 “무단 사용으로부터 컨테이너 환경을 보호할 수 있는 도구와 비정상적인 활동을 알려주는 워크로드 모니터링 도구들이 있다. 개발 팀과 보안 팀의 조율이 문제가 될 수 있지만, 이를 위한 위험 관리 도구도 있다”라고 설명했다.  컨테이너, 쿠버네티스, 클라우드 분야의 보안 및 관찰가능성 벤더인 타이거라의 로탄 티피르네니 CEO는 도커가 은 수준의 프로그래밍 가능성, 유연성 및 자동화를 제공하지만 공격 표면을 증가시키는 부작용을 가진다고 설명했다. 그는 “컨테이너 기술이 주류 시장에서 더 광범위하게 채택됨에 따라 문제가 심화되고 있다. 암호화폐 무단 채굴이 가능할 만큼 컴퓨팅 성능을 열어낼 수 있기에 공격자들이 도커를 점점 더 노리고 있다”라고 말했다.  레몬덕의 작동 원리 아후헤는 레몬덕의 동작 원리를 다음과 같이 설명했다. 먼저 노출된 API에서 악성 컨테이너를 실행한다. 이후 bash 스크립트로 위장한 core.png라는 이미지 파일을 다운로드 한다. Cor...

2022.04.25

필수 인프라 운영자, 사법 당국, 각 정부 기관은 드론을 일상 업무에 적극적으로 활용 중이다. 전통적인 인프라는 물론 농업, 제조업, 수도/전기, 석유/가스, 광업, 중공업까지 드론의 응용 분야는 다양하다. 그리고 드론 제조업체와 최종 사용자들은 엔터프라이즈와 연결된 모든 요소에 ‘각 드론과 드론 편대, 클라우드/엔터프라이즈 기능, 이들 사이의 모든 통신을 아우르는 강력한 능력’이 있다는 사실을 이제서야 인식하기 시작했다.   드론, ‘하늘을 나는 컴퓨터’이자 공격 벡터 드론 시스템은 잠재적인 취약점에도 불구하고 높은 수준의 보안 아키텍처를 사용하지 않는 경우가 많다. 경영 컨설팅 기업 KPMG의 전략 및 현식 책임자 조노 앤더슨은 “드론이 서로 연결된 시스템에서는 드론 내부와 주변 간 통신이 복잡해지면서 여러 개의 공격 벡터가 생긴다. 그 결과, 개별 드론이나 드론 편대의 필수 시스템뿐 아니라 전체 클라우드 및 엔터프라이즈마저 위험에 노출될 가능성이 있다”라고 말했다. 드론 운영에는 검증된 장점도 있지만 심각한 사이버보안 위험도 따른다. 기본적으로 드론은 ‘하늘을 나는 컴퓨터’이므로 컴퓨터처럼 숱한 사이버 위협이 발생할 수 있다. EY의 기술 컨설팅 부문 선임 관리자 조슈아 테이머는 “대부분 조직은 드론이 주/연방 규정을 준수하는지에 집중한다”라고 말했다. 오늘날 드론은 제조업체 소유인 경우가 많으므로 드론이 사용되는 생태계를 적절히 보호할 ‘기본적이고 조직적인 보안 전략’을 갖추는 것이 매우 중요하다.  그동안 드론 제조업체나 사용자에게 사이버보안은 주요 우선순위가 아니었다. 그러나 테이머는 보안 분야에 정통한 사람은 드론의 취약점을 잘 인지하고 있다고 말했다. 대표적인 예가 드론 리버스 엔지니어링 종사자다. 이들은 일반적으로 여러 드론과 제조업체에 걸친 취약점을 알고 있다. 드론을 통해 기업 환경 내에 악성코드가 침투될 우려가 제기되자 드론 관련 기기가 기업 네트워크에 연결되지 못하도록 중간에 ‘에어 갭(air...

2022.04.25

전 세계 조직이 위협 탐지와 대응에 있어 많은 진전을 이루고 있다. 하지만 사이버 공격자 역시 새로운 갈취 기법과 랜섬웨어 TTP(tactics, techniques, and procedures)를 사용한 사이버 공격으로 표적 환경에 맞춰 진화하고 있다.  최근 맨디언트가 2020년 10월부터 2021년 12월까지 진행된 표적화된 공격 활동을 분석한 '2022 M-트렌드 보고서(M-Trends 2022)'에 따르면, 사이버 침입 잠복기가 감소하고 익스플로잇이 가장 일반적인 공격 벡터였으며, 비즈니스/전문가 및 금융 서비스 산업이 가장 많은 표적이 됐다. 중국과 관련한 스파이 활동의 증가도 포착됐다.    침입 잠복기 감소, 내부 및 외부 탐지 간의 격차 커 보고서에 따르면, 표적 환경에서 공격자가 발각되기 전까지의 기간을 나타내는 잠복기는 전 세계를 기준으로 2020년 24일에서 2021년 21일로 줄었다. 사고가 탐지되는 방식이 잠복기에 상당한 영향을 미치는 것으로 나타났다. 예컨대 외부에서 발견된 사고의 잠복기 중앙값은 73일에서 27일로 짧아진 반면, 내부에서 발견된 사고의 경우 12일에서 18일로 오히려 길어졌다.  2021년 외부에서 사고를 탐지해 해당 조직에 알린 속도는 2020년보다 62% 빨라졌다. 맨디언트는 외부 탐지 역량의 개선과 더 확고해진 커뮤니케이션 및 파견 프로그램이 기여했다고 판단했다. 흥미롭게도 2021년 내부 탐지 사고의 잠복기 중앙값은 2020년보다 길어졌으나, 그 알림 속도는 외부 탐지 사고의 알림 속도보다 36% 빨랐다. EMEA와 APAC 지역에서 2021년 발생한 침입은 대부분 외부에서 발견된 반면(각각 62%, 76%), 아메리카 지역에서는 60%가 조직 내부에서 탐지됐다. 잠복기의 분포도를 분석한 결과, 잠복기가 30일 미만인 침입은 55%였고, 일주일 이내에 발견된 침입은 67%였다. 조사 사례의 20%는 잠복기가 90~300일 사이로 급증했는데, 이는 공격 라...

2022.04.22

금융기관이 여전히 랜섬웨어 공격에 시달리고 있는 가운데, 단순히 계좌 거래를 탈취하는 데 그쳤던 금융기관 해킹이 기밀 산업 정보까지 노리는 차원으로 발전하고 있다. 기업이 계속 진화하는 사이버 공격에 어떻게 대비해야 할지 알아본다.    랜섬웨어가 기승을 부리면서 금융기관이 골머리를 앓고 있다. 이와 더불어 해커 카르텔의 수법이 다른 차원으로 발전하면서 예년에 비해 금융기관이 점점 더 큰 위협에 직면하고 있다고 VM웨어가 모던 뱅크 헤이스트(Modern Bank Heists) 보고서에서 밝혔다. 사이버범죄 카르텔의 공격 수법이 최근 계좌 거래 탈취를 넘어 특정 시장 공략, 중개 계좌 탈취, ‘아일랜드 호핑(island-hoping)’등으로 진화한 것이다. VM웨어는 북미, 유럽, 아시아 태평양, 중남미, 아프리카 등의 지역에 있는 130명의 금융 부문 CIO 및 보안 책임자를 대상으로 설문조사를 실시했다. 보고서의 결과는 다른 보안 전문가의 의견과 일맥상통했다. 제러미 셰리던 전 미국 비밀경호국 부국장은 "금융 수사 과정에서 복잡한 사이버 사기가 진화하고 증가하고 있는 것을 경험했다"라며 "인터넷에 연결된 모든 시스템의 보안 체계는 미흡하다. 해커가 공격할 취약점을 남기기 마련이다"라고 경고했다.  만연한 콘티(Conti) 랜섬웨어  설문에 응한 보안 책임자의 74%가 지난해 한 번 이상의 공격을 경험했다고 전했다. 63%는 결국 랜섬을 지불하기까지 했다. 랜섬웨어 중 콘티(Conti) 랜섬웨어가 가장 흔한 것으로 나타났다.  응답자의 63%는 사이버 범죄자가 은행의 데이터와 침입 정보를 삭제하는 '파괴적 공격'이 증가했다고 답했다. 이는 지난해보다 17% 증가한 수치다.  이런 식의 사이버 공격은 모두 피해자의 시스템을 파괴, 중단 또는 저하하는 악성코드를 이용한다. 대표적으로 암호화, 데이터 삭제, 하드 드라이브 파괴, 연결 종료 또는 악성 코드 실행과 같은 작업을 통해 이루어진다. ...

2022.04.21

사이버 보안 관리자 데이비드 머피는 보통 직원들도 얼마나 문제를 일으킬 수 있는지 침투 테스트에서 자주 실감했다.  그는 직원들이 떨어진 USB 드라이브를 주워서 사용하고, 통화 중 비밀번호를 알려주며 심지어 시뮬레이션 된 피싱 링크를 클릭하는 것을 직접 목격했다. 공공회계 및 비즈니스 자문 기업 슈나이더 다운스(Schneider Downs)의 사이버 보안 관리자 머피는 과거 다른 기업에서 랜섬웨어 공격의 기저 원인을 조사하는 과정에서 문제의 송장을 클릭한 한 직원을 역추적해 발견한 바 있다고 전했다. 머피는 “해당 송장의 링크는 그의 직무와 전혀 관련이 없었다. 클릭한 유일한 이유는 그가 모든 것을 열어보는 사람이었기 때문이다. 그는 언제라도 문제를 일으킬 내부자 위험 요소였다”라고 말했다. 그는 NSA(National Security Agency) 컴퓨터 네트워크 운영팀의 컨설턴트 출신이다. 포네몬 연구소(Ponemon Institute)의 ‘2022년 전 세계 내부자 위협 비용’ 조사에 따르면 전체 내부자 위협 사건 빈도는 지난 2년 동안 44%나 증가했다. 해당 보고서에 따르면 부주의한 내부자가 사고 중 56%의 기저 원인이었으며, 사고당 평균 손해액은 48만 4,931달러였다. 또 이 보고서에 따르면 악의적인 내부자가 일으킨 문제일 때 비용이 더 높았다. 평균 64만 8,062달러였다. 악의적인 내부자가 일으킨 사고는 전체의 26%를 차지했다. 한편 자격 증명 도난이 2022년의 사고 중 18%를 차지했다(2020년 사고 중 14%).   다층적인 접근법 사용하기 보안 전문가들에 따르면, 시뮬레이션 된 피싱 공격 테스트가 생각 없이 클릭하는 사람을 찾아내는 데 도움이 될 수 있다. 하지만 링크드인(LinkedIn) 등에서 수집한 정보을 이용하는 정교한 소셜 엔지니어링 공격에 취약할 수 있는 사람, 자격 증명을 범죄자에게 넘길 만큼 불만이 많은 사람 등을 파악하기란 훨씬 어렵다. 이런 약한 연결 고리를 찾아내기 위해서는 ...

2022.04.15

2020년 12월 22일 출시됐다가 여러 사회적 문제를 일으키고 2021년 1월 11일, 21일 만에 중단됐던 챗봇 ‘이루다’ 서비스가 지난 3월 17일부터 공식 베타 서비스를 재개했다. 성이 ‘이'씨이고 이름이 ‘‘루다'인 20살 여대생으로 설정됐던 이 챗봇은, 우려됐던 성희롱뿐 아니라 약자-소수자에 대한 혐오·차별로 물의가 빚어지고, 개인정보보호 법규 위반 행위까지 불거지면서 서비스가 중단됐었다(강은성, “이루다, 인공지능, 개인정보”, 2021.2.23). ‘이루다’ 서비스가 중단된 지 세 달가량 뒤인 지난해 4월에 개인정보보호위원회에서는 ‘이루다’의 개인정보보호법 위반 행위에 대해 행정처분을 내렸다. 그중 ‘이루다’ 개발사 스캐터랩이 함께 운영하던 ‘텍스트앳’과 ‘연애의과학’ 서비스에 카카오톡 이용자가 제공한 대화 내용과 관련, 개인정보위가 개인정보보호법을 위반했다고 지목한 주요 내용은 다음과 같다.  (1) ‘연애의과학’과 ‘텍스트앳’에서 개인정보 수집 시 명시적 동의를 받지 않은 행위(제22조(동의를 받는 방법) 제1항 및 제39조의3(개인정보의 수집·이용 동의 등에 대한 특례) 제1항 위반)  (2) ‘연애의과학’과 ‘텍스트앳’에서 수집한 목적 외로 ‘이루다’의 학습과 운영에 카톡 대화 문장을 이용한 행위(제18조(개인정보의 목적 외 이용·제공 제한) 제1항 위반) (3) github에 이용자의 카톡 대화 문장(가명정보)을 공유한 행위(제28조의2(가명정보의 처리 등) 제2항 위반) 이루다2.0에서는 그동안 지적됐던 개인정보 문제가 어느 정도 개선된 것으로 보인다. 먼저 개인정보위에서 지적한 개인정보 처리방침이 개선됐다. ‘연애의과학’과 ‘텍스트앳’ 개인정보 처리방침의 ‘개인정보의 수집 및 이용 목적’에 “챗봇 알고리즘 개발을 포함한 언어 기반 인공지능 분야 기술의 연구 개발 등 신규 서비스 개발”이라고 하여 개인정보를 이용할 신규 서비스 개발을 일부 한정하였다. 스캐터랩이 홈페이지에 ‘AI 챗봇 윤리’ 아래에...

2022.04.15

팔로알토 네트웍스 유닛 42(Palo Alto Networks' Unit 42)가 발행한 보고서는 클라우드 인프라를 표적으로 하는 5개의 해커 그룹과 그들의 해킹 수법을 설명한다.    과잉 접근 권한이 기업의 클라우드 보안을 취약하게 하는 것으로 나타났다. 팔로알토 네트웍스 유닛 42가 12일 발표한 보고서에 따르면 잘못 설정된 신원 및 접근 관리(Identity and Access Management, IAM)가 해커에게 공격할 틈을 주고 있다.  기업이 IAM를 효과적으로 운영하는 데 어려움을 겪고 있다는 뜻이다. 이 보고서에는 5개의 클라우드 해커 그룹과 그들의 해킹 방식이 기술되어 있다.  클라우드 계정 99%에 과잉 권한 보고서의 '신원 및 접근 관리(IAM): 1차 방어선' 영역에는, 1만 8,000개의 클라우드 계정과 200개 이상의 조직에서 관리하는 68만개 이상의 자격 증명 정보가 분석된 내용이 담겼다. 분석 결과 클라우드 사용자, 역할, 서비스 및 리소스의 99%에 60일 동안 사용하지 않은 '과잉 권한'이 부여된 것으로 나타났다. 보고서는 해커가 이러한 권한을 악용하여 공격 반경을 횡적, 종적으로 모두 확장할 수 있다고 경고했다.  기업이 설정한 콘텐츠 보안 정책(Content Security Policy, CSP) 중 사용되지 않거나 과잉 부여된 권한이 사용자가 설정한 접근 권한보다 2배 더 많은 것으로 드러났다. 불필요한 권한을 제거하면 각 클라우드의 취약점을 줄일 수 있지만 현재 기업이 IAM 및 계정 정보를 정확하게 설정하지 않아 클라우드 보안이 취약하다는 분석이다.  또한 부적합한 권한 설정이 클라우드 보안 사고를 초래하는 원인의 65%를 차지했다고 보고서는 밝혔다. 또한 클라우드 계정의 53%는 취약한 암호를 허용했고 44%는 암호 재사용을 허용했다고 한다. 그리고 조직의 거의 2/3(62%)가 클라우드 리소스를 공개 노출했다. “우리가 식별한 해커는 모두 클라우드 ...

2022.04.14

CISO들이 ‘분산형 기술’에 관한 우려로 밤잠을 설칠지도 모른다. 여기서는 이에 따른 보안 위험을 방지할 수 있는 방법들을 살펴본다.  암호화폐로 결제를 받는 기업들이 많아지고 있다. 고객들은 이를테면 전자제품부터 학사 학위, 카푸치노까지 원하는 거의 모든 것을 구매할 수 있다. 이와 동시에 NFT(Non Fungible Token) 시장이 급성장하고 있다. 새로운 예술가들이 하루아침에 백만장자로 등극하고, 스눕독, 마사 스튜어트, 그림스 등의 유명인사들도 이 트렌드를 활용하고 있다. ‘암호화폐’와 ‘NFT’는 많은 기업이 ‘웹3’의 파급 효과와 (이로 인한) 기회를 논의하면서 주요한 의제로 떠올랐다. 인터넷의 진화를 이끄는 이 새롭고 중요한 변화는 디지털 세계를 분권화하여 사용자에게 더 큰 통제권과 더 투명한 정보 흐름을 제공한다고 말한다.  그리고 기업들은 이 새로운 패러다임에 적응하기 위해 최선을 다하고 있다. 하지만 CISO들은 이를 바라보는 관점이 살짝 다르다. 사이버 보안, 신원 사기, 시장 보안 위험, 키 및 데이터 관리, 프라이버시 등을 우려하고 있기 때문이다. NFT를 포함한 모든 형태의 암호화폐에는 대부분의 기업들이 익숙하지 않을 수 있는 일련의 위협 및 보안 문제가 있다. 디지털 애셋 리서치(Digital Asset Research)의 CEO 더그 슈웽크는 “일련의 새로운 시스템(공개 블록체인)에 노출된다. 많은 기업이 익숙하지 않은 위험에 직면할 것이다. 여러 새로운 운영 절차가 필요하다”라고 말했다.   CISO가 이러한 문제를 다루는 방식은 사용자와 비즈니스 파트너에게 영향을 미칠 수 있다. 컨피언트(Confiant)의 수석 보안 엔지니어 엘리야 스테인운 “침해는 기업 또는 사용자 또는 NFT 수집가에게 즉각적인 재정적 영향을 미친다”라고 강조했다. 여기서는 CISO들이 살펴봐야 할 ‘암호화폐와 NFT의 보안 위험 10가지’를 소개한다.  1. 블록체인 프로토콜 통합이 복잡할 수 있다 블...

2022.04.13

사이버 범죄자들이 사법 당국으로 위장하여 보낸 허위 요청으로 대기업의 민감한 고객 데이터를 탈취했다. 이 사건을 교훈 삼아 CISO는 정부 기관의 데이터 요청을 승인하는 절차를 재검토해야 한다.    사법 당국임을 사칭한 해커들의 긴급 정보 공유 요청에 애플과 메타(페이스북 모회사)가 속아 넘어가 고객 데이터를 넘겨줬다고 최근 블룸버그가 보도했다. 소셜 엔지니어링 수법에 당한 것이다. 고객 데이터를 수집하는 기업이라면 정부 기관의 데이터 공유 요청을 받을 수 있다. 영장, 소환장 혹은 국가 안보 서신의 형태일 것이다. 기업들은 이러한 정부 요청을 처리하는 업무 프로세스가 존재하는지 확인할 필요가 있다. 특히, 대기업은 매일 수많은 정보 공유 요청을 받기 때문에 이를 모두 상세하게 검토하기 어려울 것이다. 따라서 해커들의 위장 정보 요청에 더 취약했을 수 있다. 메타와 애플은 정부 기관이 기업에 정보를 요청할 때 따라야 하는 가이드라인을 제공한다. 하지만 이 과정은 온라인 폼이나 이메일로만 이뤄져, 관계자들이 직접 만나서 소통할 기회가 없다. 이 두 기업이 정부 기관의 정보 요청을 처리하는 방식을 살펴본다.   메타/페이스북의 긴급 정보 요청 프로세스  메타/페이스북 정보 요청 가이드라인은 다양한 시나리오를 다룬다. 미국법 및 국제법, 계정 진위 및 정보 보존, 아동 안전, 데이터 보존 및 포맷, 사용자 동의 및 개인 통보, 그리고 긴급 요청 등을 포함한다. 메타가 속아 넘어간 ‘긴급 요청’ 가이드라인에는 데이터 이용 규칙 및 부당한 요청의 기소 가능성에 대한 경고문이 기재돼 있다. 다음은 온라인 요청서의 원문이다.   당사는 서비스 약관 및 해당 법률에 따라 계정 기록을 공개합니다.  심각한 신체적 상해 또는 사망의 위험이 있는 긴급 공식 상황을 조사하는 경우에만 증거를 수집할 권한이 있는 법 집행 기관 또는 긴급 구조원이 이 시스템을 통해 페...

2022.04.13