Offcanvas

분쟁|갈등

블로그ㅣCISO가 반면교사 삼을 한 금융기관의 ‘ITAD’ 실패

모건 스탠리 스미스 바니(Morgan Stanley Smith Barney; MSSB) 사례를 반면교사로 삼아야 한다. IT 자산 처분 프로그램은 폐기한 기기에서 발생할지도 모를 데이터 유출로부터 기업을 보호할 수 있다.  모든 기업은 정보 보안 프로세스 및 절차의 일환으로 ‘ITAD(IT 자산 처분)’ 프로그램을 갖추고 있어야 한다. 즉, 기업이 어떤 IT 자산을 구매한다고 할 때 해당 자산을 최종적으로 어떻게 처분할지 ITAD에서 이미 정의돼 있어야 한다는 이야기다. 이를 갖추고 있지 않다면 데이터가 노출되고, 침해가 발생하며, 벌금이 부과될 수 있다.    실제로 모건 스탠리 스미스 바니(MSSB)가 그러했는데, MSSB는 지난 몇 년 동안 ITAD 실패에 따른 영향을 계속 받고 있으며, 그 결과 현재 미화 1억 5,500만 달러의 벌금과 과태료가 부과됐다. 가장 최근인 2022년 9월 20일 MSSB는 고객 개인식별정보(PII)가 저장된 기기를 부적절하게 폐기한 혐의에 따라 3,500만 달러의 위약금을 지불하기로 美 증권거래위원회(SEC)와 합의했다.  또 지난 2020년 10월 美 통화감독청(Office of the Comptroller of Currency; OCC)은 MSSB에 6,000만 달러의 벌금을 부과했다. 아울러 이는 2022년 1월 ITAD 실패로 인해 데이터가 노출된 피해자에게 동일한 금액을 지불하기로 합의한 집단소송까지 이어졌다.  부적절한 ITAD 프로그램의 결과 SEC와 MSSB의 합의문을 살펴보면 이 회사에 분명 ITAD 프로그램이 있긴 했지만 “타당하게 설계되지 않았으며, 데이터를 폐기한 벤더가 적격한지 보장할 수 없었다”라는 점에서 부적절했다.  MSSB는 2013년 자체 위험 평가에서 ‘현지 트럭 운송, 보관, 장거리 이사’라고 식별한 이사 업체 ‘트리플 크라운(Triple Crown)’을 가지고 있었는데, 2021년 법원 제출에서 이 회사는 데이터 노출을 초...

CISO IT 자산 처분 ITAD 데이터 보안 정보 보안

1일 전

모건 스탠리 스미스 바니(Morgan Stanley Smith Barney; MSSB) 사례를 반면교사로 삼아야 한다. IT 자산 처분 프로그램은 폐기한 기기에서 발생할지도 모를 데이터 유출로부터 기업을 보호할 수 있다.  모든 기업은 정보 보안 프로세스 및 절차의 일환으로 ‘ITAD(IT 자산 처분)’ 프로그램을 갖추고 있어야 한다. 즉, 기업이 어떤 IT 자산을 구매한다고 할 때 해당 자산을 최종적으로 어떻게 처분할지 ITAD에서 이미 정의돼 있어야 한다는 이야기다. 이를 갖추고 있지 않다면 데이터가 노출되고, 침해가 발생하며, 벌금이 부과될 수 있다.    실제로 모건 스탠리 스미스 바니(MSSB)가 그러했는데, MSSB는 지난 몇 년 동안 ITAD 실패에 따른 영향을 계속 받고 있으며, 그 결과 현재 미화 1억 5,500만 달러의 벌금과 과태료가 부과됐다. 가장 최근인 2022년 9월 20일 MSSB는 고객 개인식별정보(PII)가 저장된 기기를 부적절하게 폐기한 혐의에 따라 3,500만 달러의 위약금을 지불하기로 美 증권거래위원회(SEC)와 합의했다.  또 지난 2020년 10월 美 통화감독청(Office of the Comptroller of Currency; OCC)은 MSSB에 6,000만 달러의 벌금을 부과했다. 아울러 이는 2022년 1월 ITAD 실패로 인해 데이터가 노출된 피해자에게 동일한 금액을 지불하기로 합의한 집단소송까지 이어졌다.  부적절한 ITAD 프로그램의 결과 SEC와 MSSB의 합의문을 살펴보면 이 회사에 분명 ITAD 프로그램이 있긴 했지만 “타당하게 설계되지 않았으며, 데이터를 폐기한 벤더가 적격한지 보장할 수 없었다”라는 점에서 부적절했다.  MSSB는 2013년 자체 위험 평가에서 ‘현지 트럭 운송, 보관, 장거리 이사’라고 식별한 이사 업체 ‘트리플 크라운(Triple Crown)’을 가지고 있었는데, 2021년 법원 제출에서 이 회사는 데이터 노출을 초...

1일 전

전 세계 주요국이 2022년 쌓아 올린 22가지 사이버안보 대책

2022년도 어김없이 대규모의 사이버 공격이 끊이지 않고 전 세계를 괴롭혔다. 히스콕스(Hiscox)가 발간한 2022년 사이버 준비태세 보고서에 따르면 전 세계에 걸쳐 사이버 공격으로 인해 발생한 평균 피해액은 약 17,000불로 작년에 비해 29%나 증가했다.  러-우 전쟁으로 시작된 러시아의 사이버공격, 코스타리카의 콘티 랜섬웨어, 랩서스 그룹의 해킹, 주요 의료기관 해킹 등이 대표적이다. 중요한 것은 막대한 피해를 입은 공격 대다수가 활용한 공격 수법이 그다지 새롭지 않았다는 점이다. 모두 이미 널리 알려진 취약점을 악용했다. 즉, 아는 데도 막지 못한 것이다.  주요 원인은 사이버보안이 중요한 것을 알면서도 투자할 여력이 없다는 현실이다. 공격에 가장 큰 피해를 받는 기관은 대부분 구식 컴퓨터 시스템을 사용하고 있다. 따라서 세계경제포럼은 2022년 세계 사이버보안 전망 보고서에서 정부와 민간 부문이 협력하는 것이 매우 중요하다고 강조했다.  이에 2022년에도 어김없이 여러 국가가 발 벗고 나서 기업을 지원하고, 표준을 확립하고, 법안을 도입했다. 싱가포르, 이스라엘, 호주, 영국, 미국, 독일, 프랑스, 스코틀랜드, 벨기에, 핀란드, 그리고 유럽연합 등 10개의 국가가 올해 2월부터 9월까지 선보인 22가지의 사이버보안 이니셔티브에 대해 알아본다.    2월 1. 이스라엘: 라틴아메리카, 카리브 지역 IDB 사이버보안 이니셔티브  이스라엘 정부가 중남미(LAC) 지역의 사이버보안 역량 강화를 위해 200만 달러를 투자하며 미주개발은행(IDB)에 가입하겠다고 밝혔다. 해당 지역의 정부가 최신 보안 관행과 기법을 익힐 수 있도록 지원하는 것이 목표다. 이스라엘 IDB 이사회의 마탄 레브-아리 대표는 "이번 사이버보안 이니셔티브는 중남미 카브리 지역의 국가가 안전하게 디지털 전환을 달성할 수 있는 길을 열어주는 셈이다. 특히 이 국가들은 성장 잠재력이 아주 크다"라고 말했다.   ...

사이버보안 사이버공격 국제사이버공격

7일 전

2022년도 어김없이 대규모의 사이버 공격이 끊이지 않고 전 세계를 괴롭혔다. 히스콕스(Hiscox)가 발간한 2022년 사이버 준비태세 보고서에 따르면 전 세계에 걸쳐 사이버 공격으로 인해 발생한 평균 피해액은 약 17,000불로 작년에 비해 29%나 증가했다.  러-우 전쟁으로 시작된 러시아의 사이버공격, 코스타리카의 콘티 랜섬웨어, 랩서스 그룹의 해킹, 주요 의료기관 해킹 등이 대표적이다. 중요한 것은 막대한 피해를 입은 공격 대다수가 활용한 공격 수법이 그다지 새롭지 않았다는 점이다. 모두 이미 널리 알려진 취약점을 악용했다. 즉, 아는 데도 막지 못한 것이다.  주요 원인은 사이버보안이 중요한 것을 알면서도 투자할 여력이 없다는 현실이다. 공격에 가장 큰 피해를 받는 기관은 대부분 구식 컴퓨터 시스템을 사용하고 있다. 따라서 세계경제포럼은 2022년 세계 사이버보안 전망 보고서에서 정부와 민간 부문이 협력하는 것이 매우 중요하다고 강조했다.  이에 2022년에도 어김없이 여러 국가가 발 벗고 나서 기업을 지원하고, 표준을 확립하고, 법안을 도입했다. 싱가포르, 이스라엘, 호주, 영국, 미국, 독일, 프랑스, 스코틀랜드, 벨기에, 핀란드, 그리고 유럽연합 등 10개의 국가가 올해 2월부터 9월까지 선보인 22가지의 사이버보안 이니셔티브에 대해 알아본다.    2월 1. 이스라엘: 라틴아메리카, 카리브 지역 IDB 사이버보안 이니셔티브  이스라엘 정부가 중남미(LAC) 지역의 사이버보안 역량 강화를 위해 200만 달러를 투자하며 미주개발은행(IDB)에 가입하겠다고 밝혔다. 해당 지역의 정부가 최신 보안 관행과 기법을 익힐 수 있도록 지원하는 것이 목표다. 이스라엘 IDB 이사회의 마탄 레브-아리 대표는 "이번 사이버보안 이니셔티브는 중남미 카브리 지역의 국가가 안전하게 디지털 전환을 달성할 수 있는 길을 열어주는 셈이다. 특히 이 국가들은 성장 잠재력이 아주 크다"라고 말했다.   ...

7일 전

수세 몰린 러시아, 대규모 사이버공격 조짐… 민간기업까지 위협할 수도

영국 국가사이버보안센터(NCSC), 우크라니아 정보국, 포레스터 리서치 등 여러 기관이 러시아가 대규모 사이버공격을 준비하고 있는 듯하다고 일제히 경고했다. 와이퍼 맬웨어, APT 등의 공격 수법으로 핵심 인프라와 민간 기업까지 위협받을 가능성이 있다는 전망이다.    린디 카메론 영국 국가사이버보안센터(NCSC) 소장이 28일(현지 시각) 채텀 하우스(영국 왕립 국제 문제연구소) 연설에서 러시아가 대규모 사이버공격을 준비하고 있다고 경고했다. 이는 여타 기관의 예측과도 일치한다.  며칠 전 우크라이나 보안국도 러시아가 우크라니아뿐만 아니라 동맹국의 핵심 인프라를 겨냥한 대규모 공격에 돌입할 조짐을 보인다고 발표했다. 이에 더해 포레스터 리서치는 러-우 사이버전쟁의 영향이 맬웨어를 통해 전쟁 지역을 넘어 유럽 전체로 퍼지고 있다고 전했다.    영국 NCSC, 올해 초부터 대응태세 강화 권고 러시아 사이버군은 전쟁 초기부터 사이버 공격에 공을 들여왔다. 우크라니아 정부가 시민과 소통하지 못하도록 방해하고, 금융 시스템을 망가뜨리고, 우크라니아 사이버군의 힘을 빼기 위해서다. 카메론 소장은 “러시아 사이버 공격의 가장 큰 특징은 와이퍼 맬웨어(wiper malware)다. 랜섬웨어처럼 침투한 장치의 데이터를 암호화하지만, 몸값을 받기 위해 암호를 풀지 않는다. 말 그대로 초기화(wipe)되는 셈이다”라고 설명했다.  올해 초부터 NCSC는 영국 기관에게 사이버 보안 태세를 단단히 갖추라고 권고해왔다. 카메론 소장은 “아직 공격을 당해보지 않았기 때문에 ‘벌써부터 호들갑을 떨 필요가 있나?’라고 마음속에 의문을 가질 수 있다. 네 대답은 ‘그렇다’이다”라고 말했다.  또한 그는 최근 러시아가 전쟁에서 수세에 몰렸다고 방심해서는 안 된다고 강조했다. 그는 “러시아는 사이버전에서 여전히 과감한 공격을 단행할 수 있다”라며 영국의 여러 기관 및 네트워크 보호 관리자들이 사이버보안의 고삐를 더 바...

사이버전쟁 랜섬웨어 와이퍼맬웨어 와이퍼악성코드 APT공격 데이터 침해 데이터 유출

2022.09.29

영국 국가사이버보안센터(NCSC), 우크라니아 정보국, 포레스터 리서치 등 여러 기관이 러시아가 대규모 사이버공격을 준비하고 있는 듯하다고 일제히 경고했다. 와이퍼 맬웨어, APT 등의 공격 수법으로 핵심 인프라와 민간 기업까지 위협받을 가능성이 있다는 전망이다.    린디 카메론 영국 국가사이버보안센터(NCSC) 소장이 28일(현지 시각) 채텀 하우스(영국 왕립 국제 문제연구소) 연설에서 러시아가 대규모 사이버공격을 준비하고 있다고 경고했다. 이는 여타 기관의 예측과도 일치한다.  며칠 전 우크라이나 보안국도 러시아가 우크라니아뿐만 아니라 동맹국의 핵심 인프라를 겨냥한 대규모 공격에 돌입할 조짐을 보인다고 발표했다. 이에 더해 포레스터 리서치는 러-우 사이버전쟁의 영향이 맬웨어를 통해 전쟁 지역을 넘어 유럽 전체로 퍼지고 있다고 전했다.    영국 NCSC, 올해 초부터 대응태세 강화 권고 러시아 사이버군은 전쟁 초기부터 사이버 공격에 공을 들여왔다. 우크라니아 정부가 시민과 소통하지 못하도록 방해하고, 금융 시스템을 망가뜨리고, 우크라니아 사이버군의 힘을 빼기 위해서다. 카메론 소장은 “러시아 사이버 공격의 가장 큰 특징은 와이퍼 맬웨어(wiper malware)다. 랜섬웨어처럼 침투한 장치의 데이터를 암호화하지만, 몸값을 받기 위해 암호를 풀지 않는다. 말 그대로 초기화(wipe)되는 셈이다”라고 설명했다.  올해 초부터 NCSC는 영국 기관에게 사이버 보안 태세를 단단히 갖추라고 권고해왔다. 카메론 소장은 “아직 공격을 당해보지 않았기 때문에 ‘벌써부터 호들갑을 떨 필요가 있나?’라고 마음속에 의문을 가질 수 있다. 네 대답은 ‘그렇다’이다”라고 말했다.  또한 그는 최근 러시아가 전쟁에서 수세에 몰렸다고 방심해서는 안 된다고 강조했다. 그는 “러시아는 사이버전에서 여전히 과감한 공격을 단행할 수 있다”라며 영국의 여러 기관 및 네트워크 보호 관리자들이 사이버보안의 고삐를 더 바...

2022.09.29

“크립토재커가 1달러 벌 때마다 피해자는 53달러 손해본다” 시스딕

사이버 보안 업체 시스딕(Sysdig)의 ‘2022 클라우드 네이티브 위협 보고서(2022 Sysdig Cloud Native Threat Report)’에 따르면 크립토재커가 ‘1달러’를 벌 때마다 피해자는 ‘53달러’를 잃는 것으로 조사됐다.  지난 수요일 발표된 보고서는 ‘크립토재킹’이 클라우드에서 실행되는 컨테이너 기반 기스템을 타깃으로 하는 일반적인 공격 유형이 됐으며, 지정학적 갈등(주로 러시아의 우크라이나 침공과 관련 있음)이 올해 디도스(DDoS) 공격 증가에 영향을 미쳤다고 밝혔다.  아울러 보고서는 컨테이너가 클라우드 기반 시스템에서 점점 더 많이 사용되면서 공급망 공격의 중요한 공격 벡터가 됐다고 덧붙였다. “컨테이너 이미지는 이식 가능하도록 설계됐기 때문에 한 개발자가 다른 사용자와 컨테이너를 공유하기가 매우 쉽다. 개발자가 컨테이너 이미지를 공유할 수 있도록 컨테이너 레지스트리를 배포하기 위한 소스 코드를 제공하거나, 컨테이너 레지스트리를 무료로 액세스할 수 있는 여러 오픈소스 프로젝트가 있다”라고 보고서는 설명했다.     악성 이미지가 포함된 퍼블릭 컨테이너 리포지토리 보고서는 도커 허브(Docker Hub)와 같은 퍼블릭 컨테이너 이미지 리포지토리가 합법적인 소프트웨어 애플리케이션으로 위장한 크립토마이너, 백도어 및 기타 위협 벡터를 포함하는 악성 이미지로 채워지고 있다고 언급했다.  이어 암호화폐를 채굴하기 위해 컴퓨팅 인프라를 무단으로 사용하는 크립토재킹이 (광범위하게 공격한 다음 누군가 걸려들길 기다리는) 기회주의형 공격자의 주된 동기이며, 치명적인 취약점과 취약한 시스템 구성을 악용한다고 보고서는 전했다.  시스딕의 위협 연구 부문 책임자 마이클 클라크는 “도커 허브를 분석한 결과 데이터 세트에서 발견된 총 고유 악성 이미지는 1,777개였다. 그중 608개 또는 34%의 컨테이너에 마이너 악성코드가 있었다”라고 말했다.  그에 의하면 크립토재킹이 확...

컨테이너 크립토재킹 크립토재커 암호화폐 가상자산 디도스 악성 이미지

2022.09.29

사이버 보안 업체 시스딕(Sysdig)의 ‘2022 클라우드 네이티브 위협 보고서(2022 Sysdig Cloud Native Threat Report)’에 따르면 크립토재커가 ‘1달러’를 벌 때마다 피해자는 ‘53달러’를 잃는 것으로 조사됐다.  지난 수요일 발표된 보고서는 ‘크립토재킹’이 클라우드에서 실행되는 컨테이너 기반 기스템을 타깃으로 하는 일반적인 공격 유형이 됐으며, 지정학적 갈등(주로 러시아의 우크라이나 침공과 관련 있음)이 올해 디도스(DDoS) 공격 증가에 영향을 미쳤다고 밝혔다.  아울러 보고서는 컨테이너가 클라우드 기반 시스템에서 점점 더 많이 사용되면서 공급망 공격의 중요한 공격 벡터가 됐다고 덧붙였다. “컨테이너 이미지는 이식 가능하도록 설계됐기 때문에 한 개발자가 다른 사용자와 컨테이너를 공유하기가 매우 쉽다. 개발자가 컨테이너 이미지를 공유할 수 있도록 컨테이너 레지스트리를 배포하기 위한 소스 코드를 제공하거나, 컨테이너 레지스트리를 무료로 액세스할 수 있는 여러 오픈소스 프로젝트가 있다”라고 보고서는 설명했다.     악성 이미지가 포함된 퍼블릭 컨테이너 리포지토리 보고서는 도커 허브(Docker Hub)와 같은 퍼블릭 컨테이너 이미지 리포지토리가 합법적인 소프트웨어 애플리케이션으로 위장한 크립토마이너, 백도어 및 기타 위협 벡터를 포함하는 악성 이미지로 채워지고 있다고 언급했다.  이어 암호화폐를 채굴하기 위해 컴퓨팅 인프라를 무단으로 사용하는 크립토재킹이 (광범위하게 공격한 다음 누군가 걸려들길 기다리는) 기회주의형 공격자의 주된 동기이며, 치명적인 취약점과 취약한 시스템 구성을 악용한다고 보고서는 전했다.  시스딕의 위협 연구 부문 책임자 마이클 클라크는 “도커 허브를 분석한 결과 데이터 세트에서 발견된 총 고유 악성 이미지는 1,777개였다. 그중 608개 또는 34%의 컨테이너에 마이너 악성코드가 있었다”라고 말했다.  그에 의하면 크립토재킹이 확...

2022.09.29

칼럼 | 기술이 발전할수록 필요한 건? 개발자 아닌 기술 인문학자

IT 및 기술 직종이 그 어느 때보다도 더 선망 받고 있다. 그러나 그 인기 덕에 비기술적(non-technical) 역량의 입지가 점점 좁아지고 있다. 하지만, 인공지능 및 양자 컴퓨팅 같은 신흥 기술의 시대를 맞이하는 데 꼭 기술적 지식만 필요한 것은 아니다.  물론 학위는 당장 시장의 수요를 따라갈 수밖에 없다. 예술 및 인문학 관련 학과의 입학생이 날이 갈수록 줄고 있다. 지난 10년 동안 영국의 인문학 관련 학과에 입학한 학생 수는 4만 명가량 감소했다. 영국의 셰필드 핼럼 대학은 최근 영문학과를 폐지했다. 상당수의 영국 정부도 관계자들도 시장 수요가 낮은 학위를 단계적으로 폐지하자고 주장하고 있다.  이 와중 기술 시장은 끊임없이 새로운 기술 역량을 요구하는 듯 보인다. 예컨대 인공지능을 넘어 전례 없는 규모의 데이터를 처리할 수 있는 양자컴퓨팅의 시대가 다가오고 있다. STEM(과학, 기술, 공학, 수학) 학위 수료자에 대한 수요는 줄어들 기미를 보이지 않는다. 지난 10년 동안 컴퓨터 공학과 입학생은 50%나 늘었으며 인공지능 관련 수업은 무려 3배나 더 많아졌다.  그럼에도 인문학을 포기할 수 없다. 걷잡을 수 없이 발전하는 기술을 인간이 통제하려면 말이다.    처리량만큼 불어나는 윤리적 딜레마 한때 SF 영화의 전유물로 여겨졌던 인공지능 기술은 이제 일상이 됐다. 양자 컴퓨팅도 곧 그 뒤를 따를 전망이다. 2020년 IDC는 2023년까지 포춘 글로벌 500대 기업 중 25% 이상이 경쟁 우위를 점하고자 어떤 형태로든 양자 컴퓨팅 기술을 활용하리라 예측했다. 여전히 구체적인 활용 방식은 불투명하지만 말이다.  신기술이 시장을 점령하기 전 오용되지 않도록 미리 규제해야 한다는 뼈아픈 교훈을 잊어서는 안 된다. 미리 대비하지 못한 인공지능 기술은 편향성 문제에서 헤어 나오지 못하고 있다. 게다가 방대한 데이터 셋에 내재된 편향은 양자 컴퓨팅 같은 데이터 처리 기술이 발전할수록 악화된다...

AI윤리 개발자 윤리 양자컴퓨팅 양자컴퓨터 유전자 정보 유전자수정 기술인문학

2022.09.28

IT 및 기술 직종이 그 어느 때보다도 더 선망 받고 있다. 그러나 그 인기 덕에 비기술적(non-technical) 역량의 입지가 점점 좁아지고 있다. 하지만, 인공지능 및 양자 컴퓨팅 같은 신흥 기술의 시대를 맞이하는 데 꼭 기술적 지식만 필요한 것은 아니다.  물론 학위는 당장 시장의 수요를 따라갈 수밖에 없다. 예술 및 인문학 관련 학과의 입학생이 날이 갈수록 줄고 있다. 지난 10년 동안 영국의 인문학 관련 학과에 입학한 학생 수는 4만 명가량 감소했다. 영국의 셰필드 핼럼 대학은 최근 영문학과를 폐지했다. 상당수의 영국 정부도 관계자들도 시장 수요가 낮은 학위를 단계적으로 폐지하자고 주장하고 있다.  이 와중 기술 시장은 끊임없이 새로운 기술 역량을 요구하는 듯 보인다. 예컨대 인공지능을 넘어 전례 없는 규모의 데이터를 처리할 수 있는 양자컴퓨팅의 시대가 다가오고 있다. STEM(과학, 기술, 공학, 수학) 학위 수료자에 대한 수요는 줄어들 기미를 보이지 않는다. 지난 10년 동안 컴퓨터 공학과 입학생은 50%나 늘었으며 인공지능 관련 수업은 무려 3배나 더 많아졌다.  그럼에도 인문학을 포기할 수 없다. 걷잡을 수 없이 발전하는 기술을 인간이 통제하려면 말이다.    처리량만큼 불어나는 윤리적 딜레마 한때 SF 영화의 전유물로 여겨졌던 인공지능 기술은 이제 일상이 됐다. 양자 컴퓨팅도 곧 그 뒤를 따를 전망이다. 2020년 IDC는 2023년까지 포춘 글로벌 500대 기업 중 25% 이상이 경쟁 우위를 점하고자 어떤 형태로든 양자 컴퓨팅 기술을 활용하리라 예측했다. 여전히 구체적인 활용 방식은 불투명하지만 말이다.  신기술이 시장을 점령하기 전 오용되지 않도록 미리 규제해야 한다는 뼈아픈 교훈을 잊어서는 안 된다. 미리 대비하지 못한 인공지능 기술은 편향성 문제에서 헤어 나오지 못하고 있다. 게다가 방대한 데이터 셋에 내재된 편향은 양자 컴퓨팅 같은 데이터 처리 기술이 발전할수록 악화된다...

2022.09.28

‘국경 있는 데이터 시대’, 기업의 대응 전략은?

세계 주요 국가가 데이터 주권을 확보하기 위해 데이터 관련법을 제정하고 국지적 데이터 플랫폼까지 준비하면서 글로벌 기업은 딜레마에 빠졌다. 클라우드 기업이 특정 국가에 몰려 있기 때문이다.    현대 사회를 한 단어로 규정하자면, 자주권이 상위권에 들 것이다. 자주권은 곧 힘과 권력의 정점이다. 여러 권리 중 가장 소중하게 여겨지는 이유다.  IT 분야에서는 데이터 주권(data sovereignty)이 화두다. 오늘날 데이터 주권은 다양하게 해석되고 활용된다. 하나의 아이디어, 개념, 때론 정책 형성의 토대로 쓰이며, 데이터 보안의 핵심 원칙으로 묘사되기도 한다. 궁극적으로 클라우드 컴퓨팅으로 연결된 전 세계가 주목할 수밖에 없는 요소다. 이 글에서 논하는 데이터 주권의 주체는 국가다. 특정 국가에서 생성, 처리, 분석, 저장, 보관 및 관리되는 모든 데이터가 해당 국가의 법을 따르도록 보장하는 과정을 일컫는다.    지정학적 소용돌이  데이터 주권이라는 주제는 거의 10년 전 에드워드 스노든이 NSA의 기밀자료를 폭로했을 때 많은 헤드라인을 장식했다. 하지만 현재 지정학적 변동, 팬데믹의 여파, 그리고 세계 시장 전반의 불안정으로 인해 오늘날 많은 다국적 기업의 문화적 정신에 남아 있다. 지정학적 소용돌이를 벗어나더라도 범정부 차원의 데이터 감독 체계가 필요한 시점이다. 전 세계에 걸친 제조 공급망과 디지털 공급망이 그 어느때보다도 막대한 데이터를 생성하고 있기 때문이다.  미국 비즈니스 인텔리전스 소프트웨어 회사 팁코(Tibco)에서 디지털 전환 전략 책임자로 일하는 알레산드로 키메라는 이 분야의 전문가다. 그는 유럽의 GAIA-X 프로젝트(유럽의 디지털 주권을 보장할 목적으로 유럽의 데이터 인프라 및 서비스 제공업체 연합을 육성하는 프로젝트)를 면밀히 연구했다. 유럽이 이 프로젝트로 미국과 중국의 클라우드 패권에 대적할 만한 디지털 주권을 확보하려 하는 듯하다고 그는 주장했다....

데이터주권 데이터법 개인정보보호법 데이터보호법

2022.09.27

세계 주요 국가가 데이터 주권을 확보하기 위해 데이터 관련법을 제정하고 국지적 데이터 플랫폼까지 준비하면서 글로벌 기업은 딜레마에 빠졌다. 클라우드 기업이 특정 국가에 몰려 있기 때문이다.    현대 사회를 한 단어로 규정하자면, 자주권이 상위권에 들 것이다. 자주권은 곧 힘과 권력의 정점이다. 여러 권리 중 가장 소중하게 여겨지는 이유다.  IT 분야에서는 데이터 주권(data sovereignty)이 화두다. 오늘날 데이터 주권은 다양하게 해석되고 활용된다. 하나의 아이디어, 개념, 때론 정책 형성의 토대로 쓰이며, 데이터 보안의 핵심 원칙으로 묘사되기도 한다. 궁극적으로 클라우드 컴퓨팅으로 연결된 전 세계가 주목할 수밖에 없는 요소다. 이 글에서 논하는 데이터 주권의 주체는 국가다. 특정 국가에서 생성, 처리, 분석, 저장, 보관 및 관리되는 모든 데이터가 해당 국가의 법을 따르도록 보장하는 과정을 일컫는다.    지정학적 소용돌이  데이터 주권이라는 주제는 거의 10년 전 에드워드 스노든이 NSA의 기밀자료를 폭로했을 때 많은 헤드라인을 장식했다. 하지만 현재 지정학적 변동, 팬데믹의 여파, 그리고 세계 시장 전반의 불안정으로 인해 오늘날 많은 다국적 기업의 문화적 정신에 남아 있다. 지정학적 소용돌이를 벗어나더라도 범정부 차원의 데이터 감독 체계가 필요한 시점이다. 전 세계에 걸친 제조 공급망과 디지털 공급망이 그 어느때보다도 막대한 데이터를 생성하고 있기 때문이다.  미국 비즈니스 인텔리전스 소프트웨어 회사 팁코(Tibco)에서 디지털 전환 전략 책임자로 일하는 알레산드로 키메라는 이 분야의 전문가다. 그는 유럽의 GAIA-X 프로젝트(유럽의 디지털 주권을 보장할 목적으로 유럽의 데이터 인프라 및 서비스 제공업체 연합을 육성하는 프로젝트)를 면밀히 연구했다. 유럽이 이 프로젝트로 미국과 중국의 클라우드 패권에 대적할 만한 디지털 주권을 확보하려 하는 듯하다고 그는 주장했다....

2022.09.27

영상통화까지 했는데 가짜?! ‘딥페이크’의 위험성과 대응 방안

‘딥페이크(Deepfakes)’는 보안 및 위험 관리에 실질적인 위협이 된다. 기술이 발전하고, 악의적인 행위자가 서비스형 딥페이크(deepfakes as a service)에 접근할 수 있게 되면서 상황은 더욱더 악화될 전망이다.  지난 8월 암호화폐 거래소 바이낸스(Binance)의 최고 커뮤니케이션 책임자 패트릭 힐만은 받은 편지함을 스크롤 하다가 무언가 잘못됐다는 느낌을 받았다. 그가 참여한 것으로 보이는 투자자와의 화상통화에 관한 메시지 6개를 발견했기 때문이다.  뭔가 이상하다는 것을 전혀 눈치채지 못한 채 ‘투자 기회를 주셔서 감사합니다’, ‘투자 조언과 관련해 약간의 우려가 있습니다’, ‘비디오 품질이 좋지 않습니다’라고 답한 투자자가 있었고, ‘지난 목요일의 줌 통화가 당신이었는지 확인할 수 있습니까?’라고 물어본 투자자도 있었다.    힐만은 누군가가 자신의 사진과 목소리를 딥페이크하여 무려 20분 동안 고객들과 ‘사기’ 투자를 위해 비트코인을 넘기도록 설득하는 줌 통화를 했다는 사실을 파악했고, 가슴이 철렁 내려앉았다고 밝혔다. “투자자들은 나라고 사칭한 가짜 링크드인 및 텔레그램 프로필이 여러 상장 기회를 논의하는 자리에 초대했다고 전했다. 그리고 범죄자는 줌 통화에서 딥페이크 홀로그램을 사용하여 사기 치려고 했다”라고 그는 설명했다.  기사 작성 시점 기준 250억 달러 규모의 세계 최대 암호화폐 거래소 바이낸스가 고객들의 암호화폐를 빼돌리려는 투자 사기에 연루된 것이다. 힐만은 “처음 있는 일이었다”라며, “AI 기반 딥페이크는 먼 미래의 일이라고 생각했는데, 이미 와 있었다”라고 그는 덧붙였다.  이어 그는 몇몇 투자자가 영상에서 이상한 점과 지연되는 현상을 감지하지 않았다면 바이낸스는 (이 회사의) 막대한 보안 기술 및 인력 투자에도 이 딥페이크 영상 통화를 전혀 알아차리지 못했을 것이라고 전했다.  서비스형 딥페이크(Deepfakes as a service...

딥페이크 AI 영상통화 서비스형 딥페이크 BEC 기업 이메일 침해 데이터 무결성 생체인증

2022.09.27

‘딥페이크(Deepfakes)’는 보안 및 위험 관리에 실질적인 위협이 된다. 기술이 발전하고, 악의적인 행위자가 서비스형 딥페이크(deepfakes as a service)에 접근할 수 있게 되면서 상황은 더욱더 악화될 전망이다.  지난 8월 암호화폐 거래소 바이낸스(Binance)의 최고 커뮤니케이션 책임자 패트릭 힐만은 받은 편지함을 스크롤 하다가 무언가 잘못됐다는 느낌을 받았다. 그가 참여한 것으로 보이는 투자자와의 화상통화에 관한 메시지 6개를 발견했기 때문이다.  뭔가 이상하다는 것을 전혀 눈치채지 못한 채 ‘투자 기회를 주셔서 감사합니다’, ‘투자 조언과 관련해 약간의 우려가 있습니다’, ‘비디오 품질이 좋지 않습니다’라고 답한 투자자가 있었고, ‘지난 목요일의 줌 통화가 당신이었는지 확인할 수 있습니까?’라고 물어본 투자자도 있었다.    힐만은 누군가가 자신의 사진과 목소리를 딥페이크하여 무려 20분 동안 고객들과 ‘사기’ 투자를 위해 비트코인을 넘기도록 설득하는 줌 통화를 했다는 사실을 파악했고, 가슴이 철렁 내려앉았다고 밝혔다. “투자자들은 나라고 사칭한 가짜 링크드인 및 텔레그램 프로필이 여러 상장 기회를 논의하는 자리에 초대했다고 전했다. 그리고 범죄자는 줌 통화에서 딥페이크 홀로그램을 사용하여 사기 치려고 했다”라고 그는 설명했다.  기사 작성 시점 기준 250억 달러 규모의 세계 최대 암호화폐 거래소 바이낸스가 고객들의 암호화폐를 빼돌리려는 투자 사기에 연루된 것이다. 힐만은 “처음 있는 일이었다”라며, “AI 기반 딥페이크는 먼 미래의 일이라고 생각했는데, 이미 와 있었다”라고 그는 덧붙였다.  이어 그는 몇몇 투자자가 영상에서 이상한 점과 지연되는 현상을 감지하지 않았다면 바이낸스는 (이 회사의) 막대한 보안 기술 및 인력 투자에도 이 딥페이크 영상 통화를 전혀 알아차리지 못했을 것이라고 전했다.  서비스형 딥페이크(Deepfakes as a service...

2022.09.27

‘사이버안보가 곧 국가안보’ 美 CISA/NSA, 새 OT/ICS 보안 지침 발표

미국 사이버보안진흥원과 국가안보국의 새 사이버보안 지침에는 운용 기술과 산업 통제 시스템을 보호하기 위한 단계가 요약되어 있다.   운용기술(OT)과 산업통제시스템(ICS)을 둘러싼 사이버 공격이 핵심 인프라 및 데이터 시스템의 안전을 계속 위협하고 있다. 미국 사이버인프라보안진흥원(CISA)과 국가안보국(NSA)이 OT 및 ICS를 보호하고자 새로운 사이버보안 권고안(CSA)을 발간했다. CSA는 악의적 행위자가 OT/ICS 자산을 침해하는 데 사용하는 전술, 기술 및 절차(TTP)를 개략적으로 설명하고, 소유자와 운영자가 시스템을 방어하려면 취해야 하는 보안 절차를 소개했다.  새 권고안은 이전 NSA/CISA 지침을 기반으로 한다.    초라한 OT/ICS 보안 전적 OT/ICS 자산은 미국의 핵심 인프라 전반에 걸쳐 산업 프로세스를 운영, 제어 및 모니터링하므로 보안이 생명이다. 하지만 CISA/NSA는 경고(AA22-265A)에서 기존 OT/ICS 자산이 최대의 가용성과 안전을 우선으로 설계되었기 때문에 보안을 유지하기 어렵다고 지적했다. 수십 년 된 시스템을 계속 사용하고 있는 점도 한몫 한다.   "그나마 비교적 새로 구축된 ICS 자산은 안전하게 구성할 수 있다. 하지만 사이버공격에는 더 취약하다. 원격 제어 및 운영을 위해 인터넷 또는 IT 네트워크에 연결되기 때문이다. IT와 OT 플랫폼의 융합이 가져다준 순효과는 제어 시스템의 사이버 악용 위험을 증가시킨 셈이다"라고 CISA/NSA는 언급했다. 그의 말에 따라 OT/ICS 자산을 노리는 사이버 공격 활동은 그 규모와 종류 모두에서 크게 확장됐다. 국가 차원의 APT(지능형 지속 공격) 해커부터 정치적, 경제적 목표를 이루려는 독립 해커에 이르기까지 다양해졌다. 권고안은 "최근 APT 행위자들은 대상 OT 기기를 스캔, 손상 및 제어하는 도구까지 개발했다"라고 덧붙였다. 클라우드 보안 회사 바라쿠다(Barracuda)의 보고서에 ...

운용기술 산업통제시스템 OT/ICS OT ICS 핵심인프라 사이버공격 사이버전쟁

2022.09.27

미국 사이버보안진흥원과 국가안보국의 새 사이버보안 지침에는 운용 기술과 산업 통제 시스템을 보호하기 위한 단계가 요약되어 있다.   운용기술(OT)과 산업통제시스템(ICS)을 둘러싼 사이버 공격이 핵심 인프라 및 데이터 시스템의 안전을 계속 위협하고 있다. 미국 사이버인프라보안진흥원(CISA)과 국가안보국(NSA)이 OT 및 ICS를 보호하고자 새로운 사이버보안 권고안(CSA)을 발간했다. CSA는 악의적 행위자가 OT/ICS 자산을 침해하는 데 사용하는 전술, 기술 및 절차(TTP)를 개략적으로 설명하고, 소유자와 운영자가 시스템을 방어하려면 취해야 하는 보안 절차를 소개했다.  새 권고안은 이전 NSA/CISA 지침을 기반으로 한다.    초라한 OT/ICS 보안 전적 OT/ICS 자산은 미국의 핵심 인프라 전반에 걸쳐 산업 프로세스를 운영, 제어 및 모니터링하므로 보안이 생명이다. 하지만 CISA/NSA는 경고(AA22-265A)에서 기존 OT/ICS 자산이 최대의 가용성과 안전을 우선으로 설계되었기 때문에 보안을 유지하기 어렵다고 지적했다. 수십 년 된 시스템을 계속 사용하고 있는 점도 한몫 한다.   "그나마 비교적 새로 구축된 ICS 자산은 안전하게 구성할 수 있다. 하지만 사이버공격에는 더 취약하다. 원격 제어 및 운영을 위해 인터넷 또는 IT 네트워크에 연결되기 때문이다. IT와 OT 플랫폼의 융합이 가져다준 순효과는 제어 시스템의 사이버 악용 위험을 증가시킨 셈이다"라고 CISA/NSA는 언급했다. 그의 말에 따라 OT/ICS 자산을 노리는 사이버 공격 활동은 그 규모와 종류 모두에서 크게 확장됐다. 국가 차원의 APT(지능형 지속 공격) 해커부터 정치적, 경제적 목표를 이루려는 독립 해커에 이르기까지 다양해졌다. 권고안은 "최근 APT 행위자들은 대상 OT 기기를 스캔, 손상 및 제어하는 도구까지 개발했다"라고 덧붙였다. 클라우드 보안 회사 바라쿠다(Barracuda)의 보고서에 ...

2022.09.27

‘중국의 브로드컴 만들고 싶었다’ 전 브로드컴 엔지니어, 영업비밀 절도로 8개월 형

피터 기상 킴은 네트워크용 칩셋을 개발하는 중국의 스타트업에서 일하던 중 브로드컴과의 경쟁에서 이기고자 브로드컴의 트라이던트(Trident) 칩셋과 관련된 영업비밀을 훔쳤다고 인정했다.    미국 캘리포니아 북부 지방검찰청 발표에 따르면 브로드컴의 전직 직원이 지난 5월 영업비밀을 유출한 혐의를 시인해 연방지방법원 판사에게 이번 주 징역 8개월을 선고받았다. 브로드컴에서 20년 넘게 수석 디자인 엔지니어로 일했던 피터 기상 김씨은 2020년 7월 직장을 그만두고 2주도 채 안 돼 중국에 본사를 둔 스타트업에 취업했다. 그는 브로드컴의 트라이던트(Trident) 칩셋 제품군의 테스트 및 설계와 관련된 영업비밀 정보에 접근한 것을 인정했다.  김씨는 항소심에서 중국 회사에 취업하는 과정에서 자신의 스마트폰과 노트북에 저장되어 있던 회사의 기밀 정보에 접근했다고 말했다. 그는 브로드컴을 떠나기 직전 이 정보를 개인 기기에 복사했다. 중국 스타트업에서 일하는 동안 이 정보에 접근했다고 언급했는데, 이 스타트업이 브로드컴과 중국 내수 시장을 놓고 경쟁하고자 했다고 전했다.  2021년 11월 미국 검찰은 18건의 영업비밀 절도 혐의로 김씨를 기소했다. 최대 징역 10년, 벌금 25만 달러, 감독 석방 3년 형을 받을 수 있었다. 그는 첫 체포 때 50만 달러의 보석금을 내고 풀려났다. 김씨는 결국 18건 중 3건에 대해 유죄를 인정했다. 최근 몇 년 동안 영업비밀 관련 범죄가 잦아졌다. 지난 8월에는 애플 엔지니어 출신 장샤오랑도 애플의 자율주행차 프로그램과 관련한 영업비밀 도용 혐의를 인정해 오는 11월 선고를 앞두고 있다. 장 씨는 베이징행 비행기에 탑승하기 전 2018년 산호세 국제공항에서 체포됐다. 또 다른 애플 자율주행차 프로젝트 엔지니어였던 첸 지중도 영업비밀 절도로 체포되었다. 그는 지금까지 무죄를 주장하고 있다. ciokr@idg.co.kr

브로드컴 네트워크용칩셋 반도체 네트워크용반도체

2022.09.22

피터 기상 킴은 네트워크용 칩셋을 개발하는 중국의 스타트업에서 일하던 중 브로드컴과의 경쟁에서 이기고자 브로드컴의 트라이던트(Trident) 칩셋과 관련된 영업비밀을 훔쳤다고 인정했다.    미국 캘리포니아 북부 지방검찰청 발표에 따르면 브로드컴의 전직 직원이 지난 5월 영업비밀을 유출한 혐의를 시인해 연방지방법원 판사에게 이번 주 징역 8개월을 선고받았다. 브로드컴에서 20년 넘게 수석 디자인 엔지니어로 일했던 피터 기상 김씨은 2020년 7월 직장을 그만두고 2주도 채 안 돼 중국에 본사를 둔 스타트업에 취업했다. 그는 브로드컴의 트라이던트(Trident) 칩셋 제품군의 테스트 및 설계와 관련된 영업비밀 정보에 접근한 것을 인정했다.  김씨는 항소심에서 중국 회사에 취업하는 과정에서 자신의 스마트폰과 노트북에 저장되어 있던 회사의 기밀 정보에 접근했다고 말했다. 그는 브로드컴을 떠나기 직전 이 정보를 개인 기기에 복사했다. 중국 스타트업에서 일하는 동안 이 정보에 접근했다고 언급했는데, 이 스타트업이 브로드컴과 중국 내수 시장을 놓고 경쟁하고자 했다고 전했다.  2021년 11월 미국 검찰은 18건의 영업비밀 절도 혐의로 김씨를 기소했다. 최대 징역 10년, 벌금 25만 달러, 감독 석방 3년 형을 받을 수 있었다. 그는 첫 체포 때 50만 달러의 보석금을 내고 풀려났다. 김씨는 결국 18건 중 3건에 대해 유죄를 인정했다. 최근 몇 년 동안 영업비밀 관련 범죄가 잦아졌다. 지난 8월에는 애플 엔지니어 출신 장샤오랑도 애플의 자율주행차 프로그램과 관련한 영업비밀 도용 혐의를 인정해 오는 11월 선고를 앞두고 있다. 장 씨는 베이징행 비행기에 탑승하기 전 2018년 산호세 국제공항에서 체포됐다. 또 다른 애플 자율주행차 프로젝트 엔지니어였던 첸 지중도 영업비밀 절도로 체포되었다. 그는 지금까지 무죄를 주장하고 있다. ciokr@idg.co.kr

2022.09.22

"2FA, 만병통치약 아니다" 우버 해킹 사건의 교훈 3가지

최근 차량 공유 서비스 우버(Uber)가 내부 네트워크 해킹 사실을 인정했다. 해커는 우버의 소스 코드와 이메일, 슬랙(Slack)과 같은 다른 시스템에 접근한 것으로 알려졌다. 우버 측은 고객 데이터는 전혀 침해되지 않았다고 대중을 안심시켰으나, 일부 보안 전문가들은 우버의 주장에 타당성이 없다고 보고 있다.   물론 사용자는 여전히 우버 계정 정보를 바꾸고 예전 비밀번호를 다른 곳에서 사용하는지 확인하는 매우 쉽고도 현명한 조치를 취해야 한다. 우버는 약 1년간 심각한 고객 정보 침해 사실을 은폐한 역사가 있기 때문이다. 그러나 이번 사건이 주는 중대한 교훈은 따로 있다.  소셜 엔지니어링 기법의 결과라고 알려진 이번 해킹은 2FA(two-factor authentication)을 비롯한 보안 조치를 무력화했다. 비밀번호가 해킹된 직원에게 2FA를 요청하는 스팸 메일이 수차례 발송됐는데, 해커가 우버의 IT 관계자인 척 왓츠앱으로 해당 직원에게 연락한 끝에 가짜 2FA 요청 중 한 건이 승인됐다. 이런 결과는 강력하고 독특한 비밀번호에 2FA를 추가해도 효과가 없다는 의미가 아니다. 사람이 쉽게 저지르는 실수를 먹잇감으로 삼는 소셜 엔지니어링 기법이 놀라울 정도로 효과적이라는 의미일 뿐이다. 이번 우버 해킹 사건은 사용자가 온라인에서 스스로를 보호할 때 다음 3가지 사항이 얼마나 중요한지 상기시킨다.  1. 항상 멈추고 생각하라 비밀번호는 온라인 계정에 대한 무단 접근을 막을 1차 방어선이며, 2FA는 비밀번호가 유출되는 경우를 대비한 2차 방어선이다. 스마트폰이나 스마트폰에 설치된 앱으로 인증을 요청하는 2FA는 사용자가 이를 선택하고 비밀번호를 성공적으로 입력할 때만 나타난다. 비밀번호 입력 주체는 다른 누구도 아닌 사용자 자신이다. 웹사이트나 앱에는 사용자의 계정과 사용자가 해당 계정으로 수행한 모든 활동에 접근할 수 있는 시스템 권한이라는 것이 있다. 개별 사용자를 거칠 필요가 없으며, IT팀은 업무 관...

2FA 우버 개인정보보호 이중인증 다중인증 MFA 해킹 우버해킹

2022.09.22

최근 차량 공유 서비스 우버(Uber)가 내부 네트워크 해킹 사실을 인정했다. 해커는 우버의 소스 코드와 이메일, 슬랙(Slack)과 같은 다른 시스템에 접근한 것으로 알려졌다. 우버 측은 고객 데이터는 전혀 침해되지 않았다고 대중을 안심시켰으나, 일부 보안 전문가들은 우버의 주장에 타당성이 없다고 보고 있다.   물론 사용자는 여전히 우버 계정 정보를 바꾸고 예전 비밀번호를 다른 곳에서 사용하는지 확인하는 매우 쉽고도 현명한 조치를 취해야 한다. 우버는 약 1년간 심각한 고객 정보 침해 사실을 은폐한 역사가 있기 때문이다. 그러나 이번 사건이 주는 중대한 교훈은 따로 있다.  소셜 엔지니어링 기법의 결과라고 알려진 이번 해킹은 2FA(two-factor authentication)을 비롯한 보안 조치를 무력화했다. 비밀번호가 해킹된 직원에게 2FA를 요청하는 스팸 메일이 수차례 발송됐는데, 해커가 우버의 IT 관계자인 척 왓츠앱으로 해당 직원에게 연락한 끝에 가짜 2FA 요청 중 한 건이 승인됐다. 이런 결과는 강력하고 독특한 비밀번호에 2FA를 추가해도 효과가 없다는 의미가 아니다. 사람이 쉽게 저지르는 실수를 먹잇감으로 삼는 소셜 엔지니어링 기법이 놀라울 정도로 효과적이라는 의미일 뿐이다. 이번 우버 해킹 사건은 사용자가 온라인에서 스스로를 보호할 때 다음 3가지 사항이 얼마나 중요한지 상기시킨다.  1. 항상 멈추고 생각하라 비밀번호는 온라인 계정에 대한 무단 접근을 막을 1차 방어선이며, 2FA는 비밀번호가 유출되는 경우를 대비한 2차 방어선이다. 스마트폰이나 스마트폰에 설치된 앱으로 인증을 요청하는 2FA는 사용자가 이를 선택하고 비밀번호를 성공적으로 입력할 때만 나타난다. 비밀번호 입력 주체는 다른 누구도 아닌 사용자 자신이다. 웹사이트나 앱에는 사용자의 계정과 사용자가 해당 계정으로 수행한 모든 활동에 접근할 수 있는 시스템 권한이라는 것이 있다. 개별 사용자를 거칠 필요가 없으며, IT팀은 업무 관...

2022.09.22

'사이버 공격, 사이버 공생으로 맞서자' 5개국, 2022 빌링턴 정상 회의서 협심

지난 9월 7일부터 9일까지 미국, 캐나다, 영국, 독일 그리고 이스라엘 정부의 사이버보안 기관 리더들이 2022 빌링턴 사이버보안 정상회의(2022 Billington Cybersecurity Summit)에 모여 범국가적 사이버 위협에 대비하기 위한 협심을 다짐했다.     사이버 공격은 국경을 넘나드는 전 세계적 위협 중 하나다. 온라인 사칭 사기부터 랜섬웨어까지 다양한 공격 기법이 핵심 인프라를 무너뜨릴 기회를 호시탐탐 엿보고 있다. 세계가 대규모의 경제적, 사회적 재난 사태에 빠지지 않게 하려면 범국가 차원에서 사이버보안 협력이 이루어져야 한다.   미국이 워싱턴에서 주최하는 연례 빌링턴 사이버보안 정상회의(Billington Cybersecurity Summit)에서 각 국가의 지도자들이 모여 국제적 사이버보안 협력에 대해 논의했다. 사회의 모든 구성 요소가 디지털화되면서 공공 부문과 민간 부문 모두 사이버 공격에 노출되고 있다. 각국은 이미 사이버보안 정책에 박차를 가하고 있지만 리더들은 이를 넘어 국제적 대안이 필요하다는 점에 동감했다.    첩보 커뮤니티, 국제 협력을 이끌다 국경을 넘나드는 사이버보안 협력의 밑바탕은 국가 정보기관 커뮤니티였다. 조지 반스 미 국가안보국(NSA) 부국장은 “미국은 이미 여러 자매 국가와 긴밀한 협력관계를 구축했으며, 앞으로도 이런 관계는 점점 더 많아지고 다양해질 전망이다”라며 “국가 정보기관 종사자와 사이버보안 종사자가 자연스럽게 어울리면서 국제 사이버보안 협력의 초석을 단단히 다지게 됐다”라고 설명했다. 영국, 미국, 캐나다, 호주, 뉴질랜드 5개국이 맺은 파이브 아이즈(Five Eyes) 첩보 동맹 네트워크가 가장 대표적인 국제 협력이지만 그는 훨씬 더 다양한 협력 관계가 있다고 말했다. “유럽과도 오랜 기간 관계를 맺고 있지만 이제 동아시아 국가와 협력 관계를 구축하는 데 집중하고 있다. 서로 도움이 필요하다. 우리도 그들의 시야를 넓...

사이버보안 국제협력 국제사이버공격 국제보안협력 파이브아이즈첩보동맹

2022.09.20

지난 9월 7일부터 9일까지 미국, 캐나다, 영국, 독일 그리고 이스라엘 정부의 사이버보안 기관 리더들이 2022 빌링턴 사이버보안 정상회의(2022 Billington Cybersecurity Summit)에 모여 범국가적 사이버 위협에 대비하기 위한 협심을 다짐했다.     사이버 공격은 국경을 넘나드는 전 세계적 위협 중 하나다. 온라인 사칭 사기부터 랜섬웨어까지 다양한 공격 기법이 핵심 인프라를 무너뜨릴 기회를 호시탐탐 엿보고 있다. 세계가 대규모의 경제적, 사회적 재난 사태에 빠지지 않게 하려면 범국가 차원에서 사이버보안 협력이 이루어져야 한다.   미국이 워싱턴에서 주최하는 연례 빌링턴 사이버보안 정상회의(Billington Cybersecurity Summit)에서 각 국가의 지도자들이 모여 국제적 사이버보안 협력에 대해 논의했다. 사회의 모든 구성 요소가 디지털화되면서 공공 부문과 민간 부문 모두 사이버 공격에 노출되고 있다. 각국은 이미 사이버보안 정책에 박차를 가하고 있지만 리더들은 이를 넘어 국제적 대안이 필요하다는 점에 동감했다.    첩보 커뮤니티, 국제 협력을 이끌다 국경을 넘나드는 사이버보안 협력의 밑바탕은 국가 정보기관 커뮤니티였다. 조지 반스 미 국가안보국(NSA) 부국장은 “미국은 이미 여러 자매 국가와 긴밀한 협력관계를 구축했으며, 앞으로도 이런 관계는 점점 더 많아지고 다양해질 전망이다”라며 “국가 정보기관 종사자와 사이버보안 종사자가 자연스럽게 어울리면서 국제 사이버보안 협력의 초석을 단단히 다지게 됐다”라고 설명했다. 영국, 미국, 캐나다, 호주, 뉴질랜드 5개국이 맺은 파이브 아이즈(Five Eyes) 첩보 동맹 네트워크가 가장 대표적인 국제 협력이지만 그는 훨씬 더 다양한 협력 관계가 있다고 말했다. “유럽과도 오랜 기간 관계를 맺고 있지만 이제 동아시아 국가와 협력 관계를 구축하는 데 집중하고 있다. 서로 도움이 필요하다. 우리도 그들의 시야를 넓...

2022.09.20

“기업의 77%가 내년도 IT 예산 늘리거나 유지할 전망" 베인앤드컴퍼니

글로벌 컨설팅 업체 베인앤드컴퍼니가 지난 월요일 발표한 연례 글로벌 기술 보고서(Technology Report 2022)에 따르면 전 세계 공급망 위기, 러시아의 우크라이나 침공 등 갖가지 악재에도 대부분의 IT 의사결정권자는 2023년도 예산을 늘리거나 그대로 유지할 전망이다.    지난 2년 동안 팬데믹은 기술 예산에 많은 영향을 미쳤다. 팬데믹 초기에는 전체 설문조사 응답자의 절반 미만이 내년도 예산 감소를 점쳤다. 하지만 경제가 코로나19 사태의 여파에서 벗어나 회복 속도를 내면서 2021년에는 75%, 2022년에는 90%가 예산 유지 또는 증가를 예상한다고 답했다.  이 수치는 이번 최신 보고서에서 77%로 줄긴 했지만 베인의 글로벌 기술 프랙티스 부문 책임자 데이비드 크로포드에 의하면 이는 IT 부문에서 강력한 제품 및 서비스 수요를 나타내는 지표다.  그는 보고서에서 “오늘날 기술 부문이 큰 타격을 받고 있다. 그래도 CIO와 CTO는 기술 지출을 늘리고 있다”라면서, “물론 예산 압박이 있을 수 있지만 장기적으로 봤을 때 기술은 비용이라기보다 생산성을 높이는 투자다”라고 말했다.  아울러 해당 보고서는 벤더들이 어려운 경제 상황을 극복하기 위해 취할 수 있는 다양한 조치를 언급했다. 이를테면 소비 기반 가격책정 모델의 수요 증가에 따라 벤더들이 이를 채택하고, 전략적인 제품 개발을 수행할 수 있다고 보고서는 전했다.  한편 베인은 칩 부족 문제가 점차 완화되고 있지만 회복이 특별하게 빠르거나, 고통이 아예 없을 것 같진 않다고 진단했다. 글로벌 경제 상황을 고려할 때 칩 수요 감소는 실리콘 시장 회복에 중요한 기여 요인 중 하나일 수 있으며, 보고서는 회복이 빠를지 느릴지 결정할 수 있는 다음의 2가지 요인도 언급했다.  보고서에 따르면 우선 극자외선 리소그래피(Extreme Ultraviolet Lithography) 장비(차세대 실리콘에 필요한 장비이며, ...

IT 예산 베인앤드컴퍼니 IT 지출 기술 지출 칩 부족

2022.09.20

글로벌 컨설팅 업체 베인앤드컴퍼니가 지난 월요일 발표한 연례 글로벌 기술 보고서(Technology Report 2022)에 따르면 전 세계 공급망 위기, 러시아의 우크라이나 침공 등 갖가지 악재에도 대부분의 IT 의사결정권자는 2023년도 예산을 늘리거나 그대로 유지할 전망이다.    지난 2년 동안 팬데믹은 기술 예산에 많은 영향을 미쳤다. 팬데믹 초기에는 전체 설문조사 응답자의 절반 미만이 내년도 예산 감소를 점쳤다. 하지만 경제가 코로나19 사태의 여파에서 벗어나 회복 속도를 내면서 2021년에는 75%, 2022년에는 90%가 예산 유지 또는 증가를 예상한다고 답했다.  이 수치는 이번 최신 보고서에서 77%로 줄긴 했지만 베인의 글로벌 기술 프랙티스 부문 책임자 데이비드 크로포드에 의하면 이는 IT 부문에서 강력한 제품 및 서비스 수요를 나타내는 지표다.  그는 보고서에서 “오늘날 기술 부문이 큰 타격을 받고 있다. 그래도 CIO와 CTO는 기술 지출을 늘리고 있다”라면서, “물론 예산 압박이 있을 수 있지만 장기적으로 봤을 때 기술은 비용이라기보다 생산성을 높이는 투자다”라고 말했다.  아울러 해당 보고서는 벤더들이 어려운 경제 상황을 극복하기 위해 취할 수 있는 다양한 조치를 언급했다. 이를테면 소비 기반 가격책정 모델의 수요 증가에 따라 벤더들이 이를 채택하고, 전략적인 제품 개발을 수행할 수 있다고 보고서는 전했다.  한편 베인은 칩 부족 문제가 점차 완화되고 있지만 회복이 특별하게 빠르거나, 고통이 아예 없을 것 같진 않다고 진단했다. 글로벌 경제 상황을 고려할 때 칩 수요 감소는 실리콘 시장 회복에 중요한 기여 요인 중 하나일 수 있으며, 보고서는 회복이 빠를지 느릴지 결정할 수 있는 다음의 2가지 요인도 언급했다.  보고서에 따르면 우선 극자외선 리소그래피(Extreme Ultraviolet Lithography) 장비(차세대 실리콘에 필요한 장비이며, ...

2022.09.20

美 법무부, 이란계 랜섬웨어 해커 기소… 제보 현상금만 천만불

미 법무부가 미국 전역에 걸친 수많은 기관의 네트워크에 침투한 혐의로 이란계 해커 3명을 기소했다. 법무부는 기소 처분을 받기 위해 더 많은 정보가 필요하다며 제보에 천만 달러(한화 약 139억원)의 현상금을 내걸었다.   법무부에 따르면 이들은 미국뿐만 아니라 영국과 호주, 이란, 러시아 등에 있는 수백명의 피해자들을 상대로 랜섬웨어 공격을 감행했다. 이들 3명이 지난 2020년 10월부터 올해 8월까지 수많은 기관의 네트워크를 공격, 데이터를 탈취해 돌려주는 대가로 수십만 달러를 요구했다고 기소장에 기재됐다.  해커들은 보안이 취약한 기관을 무차별적으로 겨냥한 듯 추정된다고 법무부 관계자는 전했다. 피해 기관은 지방정부, 가정폭력 피해자 보호소, 어린이 병원, 회계 법인, 발전 회사 등 광범위하다.    섬뜩한 프린터 협박 방식  기소장은 이란계 해커들의 특이한 랜섬웨어 요구방식을 묘사했다. 법무부는 먼저 기술적인 과정을 설명하며 이 해커들이 실제 기관과 유사한 도메인을 꾸며 서버를 속이는 방식으로 기관의 네트워크에 침투했다고 전했다. 그다음 비트라커 애플리케이션으로 피해 대상의 데이터를 암호화한 뒤 랜섬을 요구했다. 랜섬을 요구한 방식이 섬뜩했는데, 이 네트워크에 연결된 프린터의 인쇄물에 다음과 같은 협박 메모를 같이 인쇄했다는 것을 알아냈다:   A.    이 기관의 네트워크가 침투당했기 때문에 이 메모가 같이 인쇄된 것이다.  B.    역으로 우릴 공격하기는 불가능할 것이다. 당신은 벗어날 수 없는 위험에 처해 있다.  C.    네트워크를 살리고 해독 코드를 얻고 싶다면 연락해라.  실제로 미국의 한 가정폭력 피해자 보호소가 이 메시지를 보고 랜섬을 지불한 것으로 드러났다. 해커 그룹은 보호소에 이메일로 추가 답변을 요청했음은 물론 자신이 운영하는 온라인 채팅...

랜섬웨어 미국법무부 미국재무부 이란공격 이란계해커 APT공격 팩스플로잇

2022.09.16

미 법무부가 미국 전역에 걸친 수많은 기관의 네트워크에 침투한 혐의로 이란계 해커 3명을 기소했다. 법무부는 기소 처분을 받기 위해 더 많은 정보가 필요하다며 제보에 천만 달러(한화 약 139억원)의 현상금을 내걸었다.   법무부에 따르면 이들은 미국뿐만 아니라 영국과 호주, 이란, 러시아 등에 있는 수백명의 피해자들을 상대로 랜섬웨어 공격을 감행했다. 이들 3명이 지난 2020년 10월부터 올해 8월까지 수많은 기관의 네트워크를 공격, 데이터를 탈취해 돌려주는 대가로 수십만 달러를 요구했다고 기소장에 기재됐다.  해커들은 보안이 취약한 기관을 무차별적으로 겨냥한 듯 추정된다고 법무부 관계자는 전했다. 피해 기관은 지방정부, 가정폭력 피해자 보호소, 어린이 병원, 회계 법인, 발전 회사 등 광범위하다.    섬뜩한 프린터 협박 방식  기소장은 이란계 해커들의 특이한 랜섬웨어 요구방식을 묘사했다. 법무부는 먼저 기술적인 과정을 설명하며 이 해커들이 실제 기관과 유사한 도메인을 꾸며 서버를 속이는 방식으로 기관의 네트워크에 침투했다고 전했다. 그다음 비트라커 애플리케이션으로 피해 대상의 데이터를 암호화한 뒤 랜섬을 요구했다. 랜섬을 요구한 방식이 섬뜩했는데, 이 네트워크에 연결된 프린터의 인쇄물에 다음과 같은 협박 메모를 같이 인쇄했다는 것을 알아냈다:   A.    이 기관의 네트워크가 침투당했기 때문에 이 메모가 같이 인쇄된 것이다.  B.    역으로 우릴 공격하기는 불가능할 것이다. 당신은 벗어날 수 없는 위험에 처해 있다.  C.    네트워크를 살리고 해독 코드를 얻고 싶다면 연락해라.  실제로 미국의 한 가정폭력 피해자 보호소가 이 메시지를 보고 랜섬을 지불한 것으로 드러났다. 해커 그룹은 보호소에 이메일로 추가 답변을 요청했음은 물론 자신이 운영하는 온라인 채팅...

2022.09.16

칼럼 | ‘대퇴직’과 크게 다르다··· ‘조용한 퇴직’이 유독한 이유

‘대퇴직’에 이어 ‘조용한 퇴직’이 언론 지상에서 눈길을 끌고 있다. 기업에게는 더 적게 일하고 더 교류하지 않는 직원의 태도가 심각한 문제일 수 있다. 여기 할 수 있는 조치를 살펴본다. ‘조용한 퇴직’ 트렌드는 한 조용한 퇴직자가 그리 조용하지 않았기 때문에 주목을 받았다. ‘Zaid Khan’(@zkchillin)이라는 이름의 엔지니어가 게재한 7월 틱톡 동영상과, 이를 취재한 월스트리트 저널의 기사로 인해 본격적으로 이슈화되기 시작했다.  ‘조용한 퇴직’의 정의는 아직 제각각이지만 일반적으로 직원이 직장에서 가능한 노력을 보류하는 현상을 일컫는다. 갤럽은 ‘조용한 퇴직자’에 대해 “적극적으로 교류하지 않는 직원”이라고 표현하며, 이들의 비율이 지난 2년 간 증가했다고 진단했다.    -> 칼럼ㅣ대퇴직 이어 '조용한 퇴직'에 주목하라 조용한 퇴직 이후에는 ‘조용한 해고’라는 문구가 등장하기도 했다. 고용주가 급여 인상, 승진, 개발 및 리더십 기회를 의도적으로 보류하는 것을 의미하는 표현이다.  물론 노사 관계에 있어 이러한 태도나 풍경이 완전히 새로운 것은 아니다. 단지 조용한 퇴직자라는 ‘라벨’이 새롭게 등장하고 소셜 미디어에서 애용되고 있을 뿐이다.  사실 ‘조용한 퇴직’이라는 표현에는 오해의 소지가 있다. 조용한 퇴직은 ‘퇴직’의 대안과 같은 성격을 가진다. 조용한 해고 또한 실제 ‘해고’를 의미하지 않는다. 그러나 의사 소통의 단절이라는 측면에서는 퇴직, 해고와 크게 다르지 않다. 그리고 그것이 큰 문제다. 퇴직이나 해고 자체가 아니라 ‘조용한’이라는 측면이 문제라고 할 수도 있겠다.   ‘조용한’ 부분 직원과 회사 사이에는 명시적, 암묵적 계약들이 있다. 급여, 복리후생, 직업 만족도 및 경력 향상의 대가로 최선의 노력을 투자한다는 것이다.  전통적으로 경력 발전을 생각하는 직원은 자신의 노력을 100% 투입하고 그에 걸맞는, 또는 그 이상의 무언가를 기대...

조용한 퇴직 대퇴직 노동조합 직장 노사 업무태도

2022.09.13

‘대퇴직’에 이어 ‘조용한 퇴직’이 언론 지상에서 눈길을 끌고 있다. 기업에게는 더 적게 일하고 더 교류하지 않는 직원의 태도가 심각한 문제일 수 있다. 여기 할 수 있는 조치를 살펴본다. ‘조용한 퇴직’ 트렌드는 한 조용한 퇴직자가 그리 조용하지 않았기 때문에 주목을 받았다. ‘Zaid Khan’(@zkchillin)이라는 이름의 엔지니어가 게재한 7월 틱톡 동영상과, 이를 취재한 월스트리트 저널의 기사로 인해 본격적으로 이슈화되기 시작했다.  ‘조용한 퇴직’의 정의는 아직 제각각이지만 일반적으로 직원이 직장에서 가능한 노력을 보류하는 현상을 일컫는다. 갤럽은 ‘조용한 퇴직자’에 대해 “적극적으로 교류하지 않는 직원”이라고 표현하며, 이들의 비율이 지난 2년 간 증가했다고 진단했다.    -> 칼럼ㅣ대퇴직 이어 '조용한 퇴직'에 주목하라 조용한 퇴직 이후에는 ‘조용한 해고’라는 문구가 등장하기도 했다. 고용주가 급여 인상, 승진, 개발 및 리더십 기회를 의도적으로 보류하는 것을 의미하는 표현이다.  물론 노사 관계에 있어 이러한 태도나 풍경이 완전히 새로운 것은 아니다. 단지 조용한 퇴직자라는 ‘라벨’이 새롭게 등장하고 소셜 미디어에서 애용되고 있을 뿐이다.  사실 ‘조용한 퇴직’이라는 표현에는 오해의 소지가 있다. 조용한 퇴직은 ‘퇴직’의 대안과 같은 성격을 가진다. 조용한 해고 또한 실제 ‘해고’를 의미하지 않는다. 그러나 의사 소통의 단절이라는 측면에서는 퇴직, 해고와 크게 다르지 않다. 그리고 그것이 큰 문제다. 퇴직이나 해고 자체가 아니라 ‘조용한’이라는 측면이 문제라고 할 수도 있겠다.   ‘조용한’ 부분 직원과 회사 사이에는 명시적, 암묵적 계약들이 있다. 급여, 복리후생, 직업 만족도 및 경력 향상의 대가로 최선의 노력을 투자한다는 것이다.  전통적으로 경력 발전을 생각하는 직원은 자신의 노력을 100% 투입하고 그에 걸맞는, 또는 그 이상의 무언가를 기대...

2022.09.13

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.8