Offcanvas

������

회사 기밀 '줄줄' 샌다··· 깃허브 저장소에 숨겨진 데이터 유출 위험

공격자는 개발자가 실수로 남긴 ‘기밀’을 찾기 위해 깃허브와 같은 퍼블릭 코드 리포지토리를 끊임없이 검색한다. 아무리 사소한 실수라도 충분히 악용될 수 있다.  팬데믹 기간 중 어느 지루했던 날, 보안 연구원 크레이그 헤이스는 SSH 사용자 이름과 암호를 깃허브 저장소에 일부러 유출하고, 공격자가 이를 찾을 수 있는지 확인하는 실험을 했다. 그는 누군가가 이를 알아차리기까지 며칠, 어쩌면 일주일 정도 걸릴 것이라고 생각했다.  하지만 결과는 예상과는 달랐다. 첫 번째 무단 로그인은 34분 이내에 발생했다. 헤이스는 <CSO>와의 인터뷰에서 “너무나 빨리 침해됐다는 사실에 놀랐다”라고 말했다.    그리고 24시간 동안 6개의 서로 다른 IP 주소가 허니팟(비정상적 접근을 탐지하는 시스템)에 총 9번 연결됐다. 한 공격자는 봇넷 클라이언트를 설치하려고 했고, 또 다른 공격자는 서버를 사용해 DoS 공격을 하려 했다. 이 밖에 서버에서 민감한 정보를 훔치려고 하거나 주변을 둘러보고 있었던 공격자도 있었다고 그는 덧붙였다.  헤이스의 실험 결과에 따르면 공격자는 개발자가 남긴 민감한 데이터를 찾기 위해 깃허브 및 기타 퍼블릭 코드 저장소를 끊임없이 스캔하고 있는 것으로 확인됐다.  기업들이 온프레미스 소프트웨어에서 클라우드로 전환하고, 많은 개발자가 재택근무를 하게 되면서 사용자 이름, 암호, 구글 키, 개발 도구, 프라이빗 키를 포함한 기밀 데이터의 양은 계속 증가하고 있다.  프랑스의 보안 스타트업 깃가디언(GitGuardian)의 공동 설립자 에릭 푸리에는 올해만 해도 전년 대비 유출된 기밀 데이터가 최소 20% 이상 증가할 것이라고 밝혔다(참고로 깃가디언은 공개 저장소를 스캔하여 공격자가 악용할 수 있는 데이터를 식별하고 있다). 해커가 깃허브에서 기밀을 찾는 법  해커는 깃허브가 민감한 정보를 찾기에 좋은 장소라는 것을 알고 있다. 그리고 UN(United Na...

깃허브 퍼블릭 코드 저장소 보안 공격자 침해 기밀 유출 데이터 유출

2021.10.07

공격자는 개발자가 실수로 남긴 ‘기밀’을 찾기 위해 깃허브와 같은 퍼블릭 코드 리포지토리를 끊임없이 검색한다. 아무리 사소한 실수라도 충분히 악용될 수 있다.  팬데믹 기간 중 어느 지루했던 날, 보안 연구원 크레이그 헤이스는 SSH 사용자 이름과 암호를 깃허브 저장소에 일부러 유출하고, 공격자가 이를 찾을 수 있는지 확인하는 실험을 했다. 그는 누군가가 이를 알아차리기까지 며칠, 어쩌면 일주일 정도 걸릴 것이라고 생각했다.  하지만 결과는 예상과는 달랐다. 첫 번째 무단 로그인은 34분 이내에 발생했다. 헤이스는 <CSO>와의 인터뷰에서 “너무나 빨리 침해됐다는 사실에 놀랐다”라고 말했다.    그리고 24시간 동안 6개의 서로 다른 IP 주소가 허니팟(비정상적 접근을 탐지하는 시스템)에 총 9번 연결됐다. 한 공격자는 봇넷 클라이언트를 설치하려고 했고, 또 다른 공격자는 서버를 사용해 DoS 공격을 하려 했다. 이 밖에 서버에서 민감한 정보를 훔치려고 하거나 주변을 둘러보고 있었던 공격자도 있었다고 그는 덧붙였다.  헤이스의 실험 결과에 따르면 공격자는 개발자가 남긴 민감한 데이터를 찾기 위해 깃허브 및 기타 퍼블릭 코드 저장소를 끊임없이 스캔하고 있는 것으로 확인됐다.  기업들이 온프레미스 소프트웨어에서 클라우드로 전환하고, 많은 개발자가 재택근무를 하게 되면서 사용자 이름, 암호, 구글 키, 개발 도구, 프라이빗 키를 포함한 기밀 데이터의 양은 계속 증가하고 있다.  프랑스의 보안 스타트업 깃가디언(GitGuardian)의 공동 설립자 에릭 푸리에는 올해만 해도 전년 대비 유출된 기밀 데이터가 최소 20% 이상 증가할 것이라고 밝혔다(참고로 깃가디언은 공개 저장소를 스캔하여 공격자가 악용할 수 있는 데이터를 식별하고 있다). 해커가 깃허브에서 기밀을 찾는 법  해커는 깃허브가 민감한 정보를 찾기에 좋은 장소라는 것을 알고 있다. 그리고 UN(United Na...

2021.10.07

윈도우 10X 유출 버전 살펴보니··· '새롭고 간소화된 운영체제'

마이크로소프트의 윈도우 10X가 유출됐다. 하지만 엄청난 파장을 몰고 오지는 않고 있다. 우선은 새로운 디자인이 따분한 편이다. 단순하고, 정말로 복잡하지 않고, 솔직하며, 전통적인 윈도우의 난장판 잡동사니도 없다. PCWorld는 지난 해 윈도우 10X가 새로운 윈도우 10 S(윈도우 10 S 모드)가 된 것 같다고 평가한 바 있다. 이번에 유출된 빌드를 이용해 직접 사용해 본 결과, 당시의 느낌이 맞았다는 것을 확인했다. 윈도우 10X는 그래픽을 완전히 새로 설계하고 다양한 신기능을 탑재했으면 하는 바램이었지만, 현실은 1년 전의 리뷰와 달라진 것이 거의 없는 실정이다. 가장 큰 차이라면, 윈도우 10X는 이제 듀얼 스크린이 아니라 싱글 스크린 PC를 위한 운영체제라는 점이다. 유출된 빌드인 20279 버전은 현재 마이크로소프트 하이퍼-V 가상머신 중 하나에서만 구동할 수 있다. 가상머신은 운영체제를 나머지 부분과 격리하는 이점이 있지만, 속도가 느린 것이 단점이다. 이번 즉석 리뷰에서도 윈도우 10X는 서피스 랩톱 3 상의 가상머신에서 정말로 느리게 실행됐다. 한편, 윈도우 10X를 일반 사용자가 다운로드해 설치할 기회는 없을 것으로 보인다. 이 운영체제는 보급형 PC에 사전 설치된 상태로 공급될 예정이며, 대부분은 교육용이나 특정 업무용으로 사용될 것으로 추정된다.   윈도우 10X 기동 단순성이란 주제는 설치부터 시작된다. 윈도우 10X는 성가신 코타나의 참견도 없이 간결한 윈도우 로고만 보여주고 바로 실행된다.  로컬 계정을 선호하는 사용자는 윈도우 10X 시스템 구매를 신중하게 생각해야 한다. 이 운영체제는 마이크로소프트 계정이 필요하며, ‘아니오’를 선택할 수 없다. 사용자가 선택할 수 있는 것은 PC를 가정용으로 사용할 것인지 업무용으로 사용할 것인지 여부이다. 이런 선택 조건으로 미루어 윈도우 10X 탑재 PC를 일반 유통 매장에서 구매할 수는 있을 것으로 보인다.    윈도우 10X는 실제로 ...

윈도우10X 듀얼스크린 크롬북 유출

2021.01.18

마이크로소프트의 윈도우 10X가 유출됐다. 하지만 엄청난 파장을 몰고 오지는 않고 있다. 우선은 새로운 디자인이 따분한 편이다. 단순하고, 정말로 복잡하지 않고, 솔직하며, 전통적인 윈도우의 난장판 잡동사니도 없다. PCWorld는 지난 해 윈도우 10X가 새로운 윈도우 10 S(윈도우 10 S 모드)가 된 것 같다고 평가한 바 있다. 이번에 유출된 빌드를 이용해 직접 사용해 본 결과, 당시의 느낌이 맞았다는 것을 확인했다. 윈도우 10X는 그래픽을 완전히 새로 설계하고 다양한 신기능을 탑재했으면 하는 바램이었지만, 현실은 1년 전의 리뷰와 달라진 것이 거의 없는 실정이다. 가장 큰 차이라면, 윈도우 10X는 이제 듀얼 스크린이 아니라 싱글 스크린 PC를 위한 운영체제라는 점이다. 유출된 빌드인 20279 버전은 현재 마이크로소프트 하이퍼-V 가상머신 중 하나에서만 구동할 수 있다. 가상머신은 운영체제를 나머지 부분과 격리하는 이점이 있지만, 속도가 느린 것이 단점이다. 이번 즉석 리뷰에서도 윈도우 10X는 서피스 랩톱 3 상의 가상머신에서 정말로 느리게 실행됐다. 한편, 윈도우 10X를 일반 사용자가 다운로드해 설치할 기회는 없을 것으로 보인다. 이 운영체제는 보급형 PC에 사전 설치된 상태로 공급될 예정이며, 대부분은 교육용이나 특정 업무용으로 사용될 것으로 추정된다.   윈도우 10X 기동 단순성이란 주제는 설치부터 시작된다. 윈도우 10X는 성가신 코타나의 참견도 없이 간결한 윈도우 로고만 보여주고 바로 실행된다.  로컬 계정을 선호하는 사용자는 윈도우 10X 시스템 구매를 신중하게 생각해야 한다. 이 운영체제는 마이크로소프트 계정이 필요하며, ‘아니오’를 선택할 수 없다. 사용자가 선택할 수 있는 것은 PC를 가정용으로 사용할 것인지 업무용으로 사용할 것인지 여부이다. 이런 선택 조건으로 미루어 윈도우 10X 탑재 PC를 일반 유통 매장에서 구매할 수는 있을 것으로 보인다.    윈도우 10X는 실제로 ...

2021.01.18

트위터, 미 연방위로부터 사용자 정보 유출 혐의로 조사 받아

트위터가 미국 연방거래위원회(이하 FTC)로부터 조사를 받고 있다고 밝혔다. 사용자 프라이버시를 침해한 혐의다. 트위터 측은 벌금액이 최대 2억 5000만 달러에 이를 수 있다고 밝혔다. 지난 3일(현지시간) 트위터는 표적광고에 개인정보를 활용한 혐의로 미 연방거래위원회로부터 조사를 받고 있다는 내용을 담은 보고서를 미 증권거래위원회(SEC)에 제출했다. 사용자들이 계정 보호를 목적으로 트위터에 제출한 개인정보를 불법적으로 활용한 혐의다. 보고서에 따르면 트위터는 2013년부터 2019년 사이 사용자의 전화번호나 이메일 주소 정보를 이용해 표적광고를 노출함으로써 지난달 28일 위원회로부터 고소 당했다. 2011년 위원회와 맺은 동의 명령(consent order)을 위반했다는 것.  지난 2011년 트위터는 사용자 정보 보호에 실패한 데 대한 책임으로 위원회와 개인정보 보호에 나설 것임을 밝힌 바 있다. 당시 트위터는 행정적, 물리적, 전자적 수단을 활용해 식별되지 않은 접근으로부터 사용자 정보를 보호하겠다고 약속했다.  그러나 지난해 10월 트위터 사용자들의 전화번호와 이메일이 노출돼 표적광고에 활용된 점이 드러나 논란이 일었다. 해당 사용자 정보는 사용자들이 계정 보호를 위해 2단계 인증을 설정할 때 트위터에 입력한 정보였다.  당시 트위터는 광고주들이 트위터에 입력한 고객 리스트와 트위터 사용자를 대조해보는 과정에서 의도치 않게 사용자의 전화번호나 이메일 주소를 참고했다고 블로그에 밝혔다.  트위터는 “연방위원회로부터 최대 2억 5000만 달러에 이르는 과징금을 받을 것으로 예상한다”라며 “최종 결과가 발표될 시기에 대해서는 아직 확답할 수 없다”고 설명했다. ciokr@idg.co.kr

트위터 개인정보 유출 미국 연방거래위원회

2020.08.05

트위터가 미국 연방거래위원회(이하 FTC)로부터 조사를 받고 있다고 밝혔다. 사용자 프라이버시를 침해한 혐의다. 트위터 측은 벌금액이 최대 2억 5000만 달러에 이를 수 있다고 밝혔다. 지난 3일(현지시간) 트위터는 표적광고에 개인정보를 활용한 혐의로 미 연방거래위원회로부터 조사를 받고 있다는 내용을 담은 보고서를 미 증권거래위원회(SEC)에 제출했다. 사용자들이 계정 보호를 목적으로 트위터에 제출한 개인정보를 불법적으로 활용한 혐의다. 보고서에 따르면 트위터는 2013년부터 2019년 사이 사용자의 전화번호나 이메일 주소 정보를 이용해 표적광고를 노출함으로써 지난달 28일 위원회로부터 고소 당했다. 2011년 위원회와 맺은 동의 명령(consent order)을 위반했다는 것.  지난 2011년 트위터는 사용자 정보 보호에 실패한 데 대한 책임으로 위원회와 개인정보 보호에 나설 것임을 밝힌 바 있다. 당시 트위터는 행정적, 물리적, 전자적 수단을 활용해 식별되지 않은 접근으로부터 사용자 정보를 보호하겠다고 약속했다.  그러나 지난해 10월 트위터 사용자들의 전화번호와 이메일이 노출돼 표적광고에 활용된 점이 드러나 논란이 일었다. 해당 사용자 정보는 사용자들이 계정 보호를 위해 2단계 인증을 설정할 때 트위터에 입력한 정보였다.  당시 트위터는 광고주들이 트위터에 입력한 고객 리스트와 트위터 사용자를 대조해보는 과정에서 의도치 않게 사용자의 전화번호나 이메일 주소를 참고했다고 블로그에 밝혔다.  트위터는 “연방위원회로부터 최대 2억 5000만 달러에 이르는 과징금을 받을 것으로 예상한다”라며 “최종 결과가 발표될 시기에 대해서는 아직 확답할 수 없다”고 설명했다. ciokr@idg.co.kr

2020.08.05

구글 서비스에서 ‘개인 동영상’ 누출 · · · “버그가 원인, 해결 완료”

구글 포토를 사용해 개인 이미지와 동영상을 무심코 이용하는 이들이 많다. 무언가 잘못되지 않는다면 계속해 마음 편히 이용할 터다. 그러나 무언가 잘못되는 상황이 실제로 발생했다. 최근 사용자의 동영상이 다른 이에게 실수로 전달될 수 있는 상황이 일어났다.  존 오버하이드라는 이름의 피해자가 게시한 트윗에 따르면 이번 사태는 2019년 11월 21일부터 25일 사이에 발생했다. 구글 테이크아웃(Takeout)이라는 서비스와 관련된 문제였다. 이 서비스는 사용자가 콘텐츠 사본을 구글 계정에 발송해 백업할 수 있도록 한다. 서드파티 서비스와 연결할 수 있기도 하다.  구글은 이번 누출 사고에 세부 정보를 공개하지 않으면서도 “구글 포토의 일부 도영상이 관련 없는 다른 사용자의 아카이브로 전송됐다”라고 말했다. 동영상이 아닌 사진은 영향 받지 않았다는 설명도 있었다.  구글에 따르면 이번 문제의 근본 원인이 확인되고 해결된 상태다. 또 악의적인 활동이 아니라 버그와 관련 있는 것으로 분석됐다며, 영향을 받은 이들에게 안내 메일을 발송했다고 구글은 밝혔다. 따라서 메일을 받지 않은 이라면 이번 사고와 무관하다는 설명이다.  개인 동영상을 낯선 이와 공유하려는 이는 없겠지만, 이번 사고가 그리 큰 규모가 아닌 것도 사실이다. 사고 기간이 5일로 비교적 짧았으며, 대부분의 사람들은 존재조차 모르는 구글 테이크아웃 서비스의 데이터 내보내기와 관련 있는 것이 때문이다. 그럼에도 불구하고 여러 클라우드 서비스에 개인의 민감한 사진이나 동영상을 보관하는 것이 위험할 수 있음을 시사하는 사고 중 하나로 기록될 전망이다. ciokr@idg.co.kr  

유출 누출 구글 포토 구글 테이크아웃

2020.02.05

구글 포토를 사용해 개인 이미지와 동영상을 무심코 이용하는 이들이 많다. 무언가 잘못되지 않는다면 계속해 마음 편히 이용할 터다. 그러나 무언가 잘못되는 상황이 실제로 발생했다. 최근 사용자의 동영상이 다른 이에게 실수로 전달될 수 있는 상황이 일어났다.  존 오버하이드라는 이름의 피해자가 게시한 트윗에 따르면 이번 사태는 2019년 11월 21일부터 25일 사이에 발생했다. 구글 테이크아웃(Takeout)이라는 서비스와 관련된 문제였다. 이 서비스는 사용자가 콘텐츠 사본을 구글 계정에 발송해 백업할 수 있도록 한다. 서드파티 서비스와 연결할 수 있기도 하다.  구글은 이번 누출 사고에 세부 정보를 공개하지 않으면서도 “구글 포토의 일부 도영상이 관련 없는 다른 사용자의 아카이브로 전송됐다”라고 말했다. 동영상이 아닌 사진은 영향 받지 않았다는 설명도 있었다.  구글에 따르면 이번 문제의 근본 원인이 확인되고 해결된 상태다. 또 악의적인 활동이 아니라 버그와 관련 있는 것으로 분석됐다며, 영향을 받은 이들에게 안내 메일을 발송했다고 구글은 밝혔다. 따라서 메일을 받지 않은 이라면 이번 사고와 무관하다는 설명이다.  개인 동영상을 낯선 이와 공유하려는 이는 없겠지만, 이번 사고가 그리 큰 규모가 아닌 것도 사실이다. 사고 기간이 5일로 비교적 짧았으며, 대부분의 사람들은 존재조차 모르는 구글 테이크아웃 서비스의 데이터 내보내기와 관련 있는 것이 때문이다. 그럼에도 불구하고 여러 클라우드 서비스에 개인의 민감한 사진이나 동영상을 보관하는 것이 위험할 수 있음을 시사하는 사고 중 하나로 기록될 전망이다. ciokr@idg.co.kr  

2020.02.05

편의냐, 보안이냐··· CIO가 균형을 유지할 방법은?

현대는 편리함을 기반으로 한 앱 시대다. 하지만 쉬운 삶에 대한 열망은 보안이 우선순위에서 밀려날 수 있음을 의미한다. 보안과 편의성, 특히 IT와 관련해 오랫동안 갈등이 있었다. 예를 들어 모든 단일 계정에 간단한 암호를 사용하는 것은 편리하지만 엄청난 보안 위험이 있다. 한 계정의 암호가 유출된 경우 다른 모든 암호가 손상되기 때문이다.   물론 이는 전문적인 맥락에서 더욱더 중요하다. 보안보다는 편의를 선택하는 직원은 중요한 회사 정보를 손상시킬 수 있다. 직원들이 종종 회사의 보안 고리에서 가장 약한 연결점이 될 수 있음을 고려하면 특히 걱정스럽다. 정보보안 업체인 쉬레드-잇(Shred-it)의 보고서에 따르면 직원의 과실은 데이터 유출의 주요 원인이다. 기업 임원 중 47%는 이것이 사실이라고 밝혔으며, 장기나 문서 분실과 같은 사례를 언급했다. 예를 들어 설문조사에 참여한 25%의 직원은 자신의 컴퓨터에 잠금 기능을 걸지 않은 채 방치해 둔다고 말했는데, 이는 믿을 수 없을 정도로 기본적인 오류가 발생할 수 있음을 시사한다 원격 작업 더 많은 직원이 집에서 일하기를 원하며, 사무실 곳곳에서 점점 더 열심히 규제를 준수하고 근로자에게 유연한 옵션을 제공한다. 2018년 설문조사에 따르면 전 세계 인구의 70%가 적어도 일주일에 한 번 원격으로 일하는 것으로 나타났다. 그러나 사무실 밖에서 일하는 직원이 늘어남에 따라 보안 위험도 증가한다. 사이버보안 프로토콜은 원격지 근로자가 제기한 새로운 과제에 부응하지 못했다. 많은 기업이 원격 근로자를 위한 정책이 충분하지 않거나 정책이 없기 때문에 막대한 보안 위험이 발생한다. 중요한 영역 중 하나는 암호다. 직원은 회사 네트워크에 원격으로 접근하고 자체 기기에 대해 분실하거나 도난당하지 않게 하려면 강력한 자격 증명이 있어야 한다. 이중 인증을 사용하면 보안이 강화되고 암호 관리자를 사용하여 길고 복잡한 암호를 기억하는 것이 좋다.   -------------------------...

CIO 쉬레드-잇 Shred-it 도난 원격 근무 BYOD 소셜 엔지니어링 계정 암호 공격 유출 피싱 편의

2019.06.12

현대는 편리함을 기반으로 한 앱 시대다. 하지만 쉬운 삶에 대한 열망은 보안이 우선순위에서 밀려날 수 있음을 의미한다. 보안과 편의성, 특히 IT와 관련해 오랫동안 갈등이 있었다. 예를 들어 모든 단일 계정에 간단한 암호를 사용하는 것은 편리하지만 엄청난 보안 위험이 있다. 한 계정의 암호가 유출된 경우 다른 모든 암호가 손상되기 때문이다.   물론 이는 전문적인 맥락에서 더욱더 중요하다. 보안보다는 편의를 선택하는 직원은 중요한 회사 정보를 손상시킬 수 있다. 직원들이 종종 회사의 보안 고리에서 가장 약한 연결점이 될 수 있음을 고려하면 특히 걱정스럽다. 정보보안 업체인 쉬레드-잇(Shred-it)의 보고서에 따르면 직원의 과실은 데이터 유출의 주요 원인이다. 기업 임원 중 47%는 이것이 사실이라고 밝혔으며, 장기나 문서 분실과 같은 사례를 언급했다. 예를 들어 설문조사에 참여한 25%의 직원은 자신의 컴퓨터에 잠금 기능을 걸지 않은 채 방치해 둔다고 말했는데, 이는 믿을 수 없을 정도로 기본적인 오류가 발생할 수 있음을 시사한다 원격 작업 더 많은 직원이 집에서 일하기를 원하며, 사무실 곳곳에서 점점 더 열심히 규제를 준수하고 근로자에게 유연한 옵션을 제공한다. 2018년 설문조사에 따르면 전 세계 인구의 70%가 적어도 일주일에 한 번 원격으로 일하는 것으로 나타났다. 그러나 사무실 밖에서 일하는 직원이 늘어남에 따라 보안 위험도 증가한다. 사이버보안 프로토콜은 원격지 근로자가 제기한 새로운 과제에 부응하지 못했다. 많은 기업이 원격 근로자를 위한 정책이 충분하지 않거나 정책이 없기 때문에 막대한 보안 위험이 발생한다. 중요한 영역 중 하나는 암호다. 직원은 회사 네트워크에 원격으로 접근하고 자체 기기에 대해 분실하거나 도난당하지 않게 하려면 강력한 자격 증명이 있어야 한다. 이중 인증을 사용하면 보안이 강화되고 암호 관리자를 사용하여 길고 복잡한 암호를 기억하는 것이 좋다.   -------------------------...

2019.06.12

"사이버 보안, IT만의 문제 아니다" 맥아피

사이버 범죄자가 계속해서 지적 자산을 겨냥함에 따라 데이터 유출이 더욱 심각해지고 있다.   새로운 보고서에 따르면 IT보안 전문가들은 침해로부터 조직을 완벽하게 보호하고자 여전히 분투하고 있다. 맥아피의 <그랜드 테프트 데이터 II(Grand Theft Data II)-데이터 침해 사고 요인과 달라지는 양상> 조사에서 IT종사자의 약 2/3(61%)는 사이버 범죄 및 기타 위협에 대처하는 방법이 개선됐는데도 현재 몸담은 조직에서 데이터 유출을 경험했다고 밝혔다.  사이버 범죄자가 지적 자산을 계속해서 노리고 회사 브랜드의 명성을 위험에 빠뜨리며 금융 책임을 증가시킴에 따라 데이터 유출이 더욱 심각해지고 있다. IT부서는 직원 교육 및 조직 전체의 전반적인 보안 문화와 결합된 통합 보안 솔루션을 구축해 향후 위반을 줄이는 사이버 보안 전략이 필요하다. 맥아피의 수석 기술 전략가인 캔디스 월리는 위협이 진화되었으며 앞으로도 더욱 정교해질 것이라고 말했다. 월리는 "조직이 보안 문화를 구현하고 모든 직원이 IT팀뿐 아니라 조직의 보안 상태에 속한다고 강조함으로써 보안 조치를 강화해야 한다. 위협에 앞장서서 기업이 통합 보안 솔루션을 활용할 뿐 아니라 훌륭한 보안 위생을 실천함으로써 보안 프로세스를 개선하는 전체론적 접근 방식을 제공하는 것이 중요하다"라고 설명했다.  맥아피 보고서의 주요 내용은 다음과 같다. • 더 똑똑해진 사이버 범죄자 : 데이터가 업계에서 독점적인 기술을 사용하지 않고 다양한 방법으로 도용당하고 있다. 데이터를 추출하는 데 사용되는 상위 벡터는 데이터베이스 누수, 클라우드 애플리케이션, 이동식 USB 드라이브다. • 1차로 묶여 있는 IP : 개인식별정보(PII)와 지적 재산(IP)이 이제 응답자의 43%에게 가장 큰 영향을 줄 수 있는 데이터 카테고리로 묶였다. 아시아 태평양 국가에서 지식 재산권 절도는 PII보다 큰 관심사(51%)다. •...

CIO 개인식별정보 CASB PII 지적 재산 USB IP 침해 공격 유출 맥아피 사이버범죄 개인정보 DLP IT부서 그랜드 테프트 데이터 II

2019.05.03

사이버 범죄자가 계속해서 지적 자산을 겨냥함에 따라 데이터 유출이 더욱 심각해지고 있다.   새로운 보고서에 따르면 IT보안 전문가들은 침해로부터 조직을 완벽하게 보호하고자 여전히 분투하고 있다. 맥아피의 <그랜드 테프트 데이터 II(Grand Theft Data II)-데이터 침해 사고 요인과 달라지는 양상> 조사에서 IT종사자의 약 2/3(61%)는 사이버 범죄 및 기타 위협에 대처하는 방법이 개선됐는데도 현재 몸담은 조직에서 데이터 유출을 경험했다고 밝혔다.  사이버 범죄자가 지적 자산을 계속해서 노리고 회사 브랜드의 명성을 위험에 빠뜨리며 금융 책임을 증가시킴에 따라 데이터 유출이 더욱 심각해지고 있다. IT부서는 직원 교육 및 조직 전체의 전반적인 보안 문화와 결합된 통합 보안 솔루션을 구축해 향후 위반을 줄이는 사이버 보안 전략이 필요하다. 맥아피의 수석 기술 전략가인 캔디스 월리는 위협이 진화되었으며 앞으로도 더욱 정교해질 것이라고 말했다. 월리는 "조직이 보안 문화를 구현하고 모든 직원이 IT팀뿐 아니라 조직의 보안 상태에 속한다고 강조함으로써 보안 조치를 강화해야 한다. 위협에 앞장서서 기업이 통합 보안 솔루션을 활용할 뿐 아니라 훌륭한 보안 위생을 실천함으로써 보안 프로세스를 개선하는 전체론적 접근 방식을 제공하는 것이 중요하다"라고 설명했다.  맥아피 보고서의 주요 내용은 다음과 같다. • 더 똑똑해진 사이버 범죄자 : 데이터가 업계에서 독점적인 기술을 사용하지 않고 다양한 방법으로 도용당하고 있다. 데이터를 추출하는 데 사용되는 상위 벡터는 데이터베이스 누수, 클라우드 애플리케이션, 이동식 USB 드라이브다. • 1차로 묶여 있는 IP : 개인식별정보(PII)와 지적 재산(IP)이 이제 응답자의 43%에게 가장 큰 영향을 줄 수 있는 데이터 카테고리로 묶였다. 아시아 태평양 국가에서 지식 재산권 절도는 PII보다 큰 관심사(51%)다. •...

2019.05.03

데이터 유출로 떠나는 소비자 <젬알토 조사>

데이터 유출 사고가 발생하면 소비자는 데이터 보안에 책임지는 기업의 상품과 서비스를 계속 이용하지만 그렇지 않은 기업의 상품과 서비스는 더 이상 이용하지 않는다는 연구 보고서가 발표됐다.    젬알토의 2018 고객 충성도 보고서(Customer Loyalty 2018 Report)에 따르면 특히 호주 소비자는 전세계 소비자보다 보안 사고가 발생하는 회사(소매, 금융, 건강 관리)를 떠날 가능성이 높으며, 신용카드나 은행 계좌 같은 민감한 정보를 도난당하면 다른 기업과 거래하겠다는 응답자가 2/3 이상(70%)이었다. 절반 이상(55%)은 비밀번호만 도난당했을 때도 거래 기업을 바꾸겠다고 답했다.  이 보고서에 따르면 데이터 유출 사고의 피해가 심한 산업은 유통/소매(62%), 소셜 미디어 사이트(57%), 은행(53%)으로 나타났다. 이는 영국 정보위원회(ICO)가 '정보 보호법의 심각한 위반'에 최대 50만 파운드를 부과하는 등 각국 정부는 데이터 보안 사고를 심각하게 받아들이는 데서 비롯된 것으로 파악됐다.  4월의 페이스북 업데이트 정보에 따르면, 31만 명 이상의 호주인이 케임브리지 애널리티카와 데이터를 부적절하게 공유했다는 의혹을 받은 페이스북의 케임브리지 애널리티카 스캔들과 관련됐다. 페이스북은 처음에 미국에서 5,000만 명의 정보를 수집했다고 발표했으나 사실 미국 내 대부분 사용자인 8,700만 명의 정보를 불법적으로 수집한 것으로 드러났다.  젬알토의 보고서에 따르면 호주 소비자들은 자신의 데이터를 보호하기 위해 기업에 책임을 묻고 있으며 71%는 고객 데이터를 보호하고 회사에 데이터를 제공하는 것에 동의했다. 나머지 29%는 동의하지 않았다. 또한 85%는 더 강력한 기업의 온라인 보안을 원한다고 밝혔다.  전 세계 조사 응답자의 1/4은 이미 금융 정보 사기 사용(26%)의 피해를 경험했고, 19%는 개인정보 사기 사용의 피해를 경험했으며, 16%는 신원정보(I...

데이터 젬알토 계좌 소비자 충성도 도난 로열티 신용카드 침해 비밀번호 유출 CMO 조사 은행 페이스북 케임브리지애널리티카

2018.12.12

데이터 유출 사고가 발생하면 소비자는 데이터 보안에 책임지는 기업의 상품과 서비스를 계속 이용하지만 그렇지 않은 기업의 상품과 서비스는 더 이상 이용하지 않는다는 연구 보고서가 발표됐다.    젬알토의 2018 고객 충성도 보고서(Customer Loyalty 2018 Report)에 따르면 특히 호주 소비자는 전세계 소비자보다 보안 사고가 발생하는 회사(소매, 금융, 건강 관리)를 떠날 가능성이 높으며, 신용카드나 은행 계좌 같은 민감한 정보를 도난당하면 다른 기업과 거래하겠다는 응답자가 2/3 이상(70%)이었다. 절반 이상(55%)은 비밀번호만 도난당했을 때도 거래 기업을 바꾸겠다고 답했다.  이 보고서에 따르면 데이터 유출 사고의 피해가 심한 산업은 유통/소매(62%), 소셜 미디어 사이트(57%), 은행(53%)으로 나타났다. 이는 영국 정보위원회(ICO)가 '정보 보호법의 심각한 위반'에 최대 50만 파운드를 부과하는 등 각국 정부는 데이터 보안 사고를 심각하게 받아들이는 데서 비롯된 것으로 파악됐다.  4월의 페이스북 업데이트 정보에 따르면, 31만 명 이상의 호주인이 케임브리지 애널리티카와 데이터를 부적절하게 공유했다는 의혹을 받은 페이스북의 케임브리지 애널리티카 스캔들과 관련됐다. 페이스북은 처음에 미국에서 5,000만 명의 정보를 수집했다고 발표했으나 사실 미국 내 대부분 사용자인 8,700만 명의 정보를 불법적으로 수집한 것으로 드러났다.  젬알토의 보고서에 따르면 호주 소비자들은 자신의 데이터를 보호하기 위해 기업에 책임을 묻고 있으며 71%는 고객 데이터를 보호하고 회사에 데이터를 제공하는 것에 동의했다. 나머지 29%는 동의하지 않았다. 또한 85%는 더 강력한 기업의 온라인 보안을 원한다고 밝혔다.  전 세계 조사 응답자의 1/4은 이미 금융 정보 사기 사용(26%)의 피해를 경험했고, 19%는 개인정보 사기 사용의 피해를 경험했으며, 16%는 신원정보(I...

2018.12.12

미국 지식인 '쿼라', 사용자 1억 명 데이터 유출돼··· 현재 경위 파악 중

3일 미국의 지식인 사이트로 알려진 쿼라(Quora)에 따르면 ‘악의적인 제3자’가 쿼라 시스템 중 하나에 무단으로 들어가 이 사이트 이용자 약 1억 명의 데이터에 접근한 것으로 파악됐다. 암호화되고 연결된 네트워크에서 가져온 데이터를 포함해 이름, 전자 메일 주소 등의 계정 정보가 손상됐을 가능성도 제기됐다.   쿼라는 더 큰 피해를 막기 위해 영향을 받은 모든 쿼라 사용자를 로그아웃하도록 했다. 사용자는 이메일로 자세한 정보를 받았다. 쿼라는 사용자에게 암호 변경도 권했다. 쿼라의 CEO인 아담 단젤로는 블로그 게시물에서 "우리는 데이터가 훼손된 사용자에게 알리는 중이다”고 밝혔다.  11월 30일에 발견된 해당 위반은 공개 콘텐츠 및 조치, 비공개 콘텐츠 및 조치에도 영향을 미쳤다. 이 회사는 모든 쿼라 사용자가 영향을 받은 것은 아니며 일부는 다른 사용자보다 많은 영향을 받았다고 전했다. 쿼라는 무단 접근이 익명으로 작성된 질의응답에 영향을 미치지 않는다고 말했다. 또한 법 집행 공무원에게도 통지했다고 덧붙였다. 회사는 그 원인을 조사하고 내부 보안 팀이 수행하는 작업 외에도 자신들을 도울 선도적인 디지털 포렉신 및 보안회사를 활용하고 있다고도 밝혔다.  쿼라는 자세한 언급 없이 현재 사건을 처리하기 위한 조치에 들어갔다고 밝혔다. "접근된 콘텐츠의 압도적인 다수는 이미 쿼라에 공개됐지만 계정 및 기타 개인정보의 손상은 심각하다"고 단젤로는 해당 블로그 게시물에서 밝혔다. 쿼라는 2009년 페이스북 출신 단젤로와 찰리 치버가 설립한 회사다. ciokr@idg.co.kr

페이스북 질의응답 지식인 Quora Q&A 커뮤니티 계정 유출 개인정보 쿼라

2018.12.05

3일 미국의 지식인 사이트로 알려진 쿼라(Quora)에 따르면 ‘악의적인 제3자’가 쿼라 시스템 중 하나에 무단으로 들어가 이 사이트 이용자 약 1억 명의 데이터에 접근한 것으로 파악됐다. 암호화되고 연결된 네트워크에서 가져온 데이터를 포함해 이름, 전자 메일 주소 등의 계정 정보가 손상됐을 가능성도 제기됐다.   쿼라는 더 큰 피해를 막기 위해 영향을 받은 모든 쿼라 사용자를 로그아웃하도록 했다. 사용자는 이메일로 자세한 정보를 받았다. 쿼라는 사용자에게 암호 변경도 권했다. 쿼라의 CEO인 아담 단젤로는 블로그 게시물에서 "우리는 데이터가 훼손된 사용자에게 알리는 중이다”고 밝혔다.  11월 30일에 발견된 해당 위반은 공개 콘텐츠 및 조치, 비공개 콘텐츠 및 조치에도 영향을 미쳤다. 이 회사는 모든 쿼라 사용자가 영향을 받은 것은 아니며 일부는 다른 사용자보다 많은 영향을 받았다고 전했다. 쿼라는 무단 접근이 익명으로 작성된 질의응답에 영향을 미치지 않는다고 말했다. 또한 법 집행 공무원에게도 통지했다고 덧붙였다. 회사는 그 원인을 조사하고 내부 보안 팀이 수행하는 작업 외에도 자신들을 도울 선도적인 디지털 포렉신 및 보안회사를 활용하고 있다고도 밝혔다.  쿼라는 자세한 언급 없이 현재 사건을 처리하기 위한 조치에 들어갔다고 밝혔다. "접근된 콘텐츠의 압도적인 다수는 이미 쿼라에 공개됐지만 계정 및 기타 개인정보의 손상은 심각하다"고 단젤로는 해당 블로그 게시물에서 밝혔다. 쿼라는 2009년 페이스북 출신 단젤로와 찰리 치버가 설립한 회사다. ciokr@idg.co.kr

2018.12.05

델, "고객 정보 탈취 시도 있었다"

델이 자사 사이트(Dell.com)에서 고객 정보를 추출하려한 공격 시도를 감지했다고 발표했다.  발표에 따르면 델은 11월 9일 문의 활동을 탐지해 중단시켰다며, 유출이 시도된 데이터는 고객명과 이메일 주소, 암호화된 비밀번호였다. 델은 "조사 결과 누출이 이뤄졌다는 결정적인 증거가 발견되지 않았다"라고 성명을 통해 밝히며, "혹시 일어났을지 모를 유출의 영향을 최소화하기 위해 델 사이버 보안 조치가 마련돼 있다"라고 전했다. 여기에는 고객의 암호 해시 미치 필수 암호 재설정 절차 등이 포함된다.  델 측은 이어 독립적인 조사를 위해 디지털 포렌식 기업과 협업하고 있으며 법 집행기관과도 공조하고 있다고 밝혔다.  좀더 자세한 정보는 이곳에서 확인할 수 있다. ciokr@idg.co.kr

개인정보 유출 고객정보 탈취

2018.11.29

델이 자사 사이트(Dell.com)에서 고객 정보를 추출하려한 공격 시도를 감지했다고 발표했다.  발표에 따르면 델은 11월 9일 문의 활동을 탐지해 중단시켰다며, 유출이 시도된 데이터는 고객명과 이메일 주소, 암호화된 비밀번호였다. 델은 "조사 결과 누출이 이뤄졌다는 결정적인 증거가 발견되지 않았다"라고 성명을 통해 밝히며, "혹시 일어났을지 모를 유출의 영향을 최소화하기 위해 델 사이버 보안 조치가 마련돼 있다"라고 전했다. 여기에는 고객의 암호 해시 미치 필수 암호 재설정 절차 등이 포함된다.  델 측은 이어 독립적인 조사를 위해 디지털 포렌식 기업과 협업하고 있으며 법 집행기관과도 공조하고 있다고 밝혔다.  좀더 자세한 정보는 이곳에서 확인할 수 있다. ciokr@idg.co.kr

2018.11.29

강은성의 보안 아키텍트 | 개인정보 유출과 개인정보보호책임자(CPO)의 형사처벌

개인정보 유출사고가 발생한 것에 관해 사업자의 책임을 물어 처벌하는 조항이 처음 법에 들어간 것은 2008년 6월의 일이다. 2008년 2월에 한 온라인 쇼핑몰에서 대규모 개인정보 유출사고가 터진 뒤 사회적 비난이 거세지자 같은 해 6월에 국회에서 정보통신망법(제28조 제1항)이 개정되어 개인정보 보호조치가 지금의 내용으로 상세하게 규정되었고, 그 조치를 “하지 아니하여” 개인정보가 유출되었을 때 처벌 조항(제73조 제1호)이 신설되었다. (회사와 개인을 동시에 처벌할 수 있는 양벌규정인데, 법인에 대한 형사처벌은 실효성 논란이 있다.) 정보통신망법 제73조 제1호의 내용은 다음과 같다(개인정보보호법 제73조 제1호에도 같은 취지의 규정이 있다). "제28조(개인정보의 보호조치) 제1항 제2호부터 제5호까지의 규정에 따른 기술적ㆍ관리적 조치를 하지 아니하여 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 자”는 2년 이하의 징역 또는 2천만 원 이하의 벌금에 처한다." 하지만 사업자에게 형사처벌을 부과함으로써 개인정보 유출사고를 줄이겠다는 이 법의 취지가 실현되고 있는 것 같지는 않다. 대다수 개인정보보호책임자(CPO)들은 이 조항이 합리적이지도 실효적이지도 않고, 심지어 취지에 반하는 효과도 있다고 본다. 그 이유를 다음 몇 가지로 설명하여 이 조항에 대해 문제를 제기해 보려고 한다. 첫째, 이 조항은 CPO 업무와 권한의 범위에 맞지 않게 책임의 범위와 무게를 과도하게 부과하고 있다. 정보통신망법 제28조 제1항이나 개인정보보호법 제29조에서 규정한 개인정보 보호조치는 법적으로는 CPO의 책임 범위에 들어가지만 기업 현장에서 이 중 상당 부분은 CIO나 CISO의 업무로서 CPO의 업무 범위와 전문 역량을 훌쩍 넘어선다. 또한 CPO를 임명하고, 권한을 부여하며 관련 예산을 승인하고 담당 조직을 꾸려줄 권한은 모두 CEO에게 있다. 하지만 CEO가 이런 환경을 마련해 주지 않...

CIO 형사처벌 GDPR 정보통신망법 개인정보보호책임자 CPO 개인정보보호법 카드사 벌금 유출 CISO 개인정보 형사처분

2018.11.07

개인정보 유출사고가 발생한 것에 관해 사업자의 책임을 물어 처벌하는 조항이 처음 법에 들어간 것은 2008년 6월의 일이다. 2008년 2월에 한 온라인 쇼핑몰에서 대규모 개인정보 유출사고가 터진 뒤 사회적 비난이 거세지자 같은 해 6월에 국회에서 정보통신망법(제28조 제1항)이 개정되어 개인정보 보호조치가 지금의 내용으로 상세하게 규정되었고, 그 조치를 “하지 아니하여” 개인정보가 유출되었을 때 처벌 조항(제73조 제1호)이 신설되었다. (회사와 개인을 동시에 처벌할 수 있는 양벌규정인데, 법인에 대한 형사처벌은 실효성 논란이 있다.) 정보통신망법 제73조 제1호의 내용은 다음과 같다(개인정보보호법 제73조 제1호에도 같은 취지의 규정이 있다). "제28조(개인정보의 보호조치) 제1항 제2호부터 제5호까지의 규정에 따른 기술적ㆍ관리적 조치를 하지 아니하여 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 자”는 2년 이하의 징역 또는 2천만 원 이하의 벌금에 처한다." 하지만 사업자에게 형사처벌을 부과함으로써 개인정보 유출사고를 줄이겠다는 이 법의 취지가 실현되고 있는 것 같지는 않다. 대다수 개인정보보호책임자(CPO)들은 이 조항이 합리적이지도 실효적이지도 않고, 심지어 취지에 반하는 효과도 있다고 본다. 그 이유를 다음 몇 가지로 설명하여 이 조항에 대해 문제를 제기해 보려고 한다. 첫째, 이 조항은 CPO 업무와 권한의 범위에 맞지 않게 책임의 범위와 무게를 과도하게 부과하고 있다. 정보통신망법 제28조 제1항이나 개인정보보호법 제29조에서 규정한 개인정보 보호조치는 법적으로는 CPO의 책임 범위에 들어가지만 기업 현장에서 이 중 상당 부분은 CIO나 CISO의 업무로서 CPO의 업무 범위와 전문 역량을 훌쩍 넘어선다. 또한 CPO를 임명하고, 권한을 부여하며 관련 예산을 승인하고 담당 조직을 꾸려줄 권한은 모두 CEO에게 있다. 하지만 CEO가 이런 환경을 마련해 주지 않...

2018.11.07

페이스북이 사이버보안 업체를 인수할까?

페이스북 계정 2,900만 개의 데이터가 유출됐다는 소식이 알려진 후, 이 회사가 사이버보안 업체를 인수할지도 모른다는 소문이 돌았다. 인포메이션지(The Information)에 따르면, 이 문제에 익숙한 사람들은 페이스북의 인수 의도를 확인하고 인수 대상 후보가 누구인지 밝히지 않고 이미 여러 보안 업체에 접근했다고 주장했다. 게다가 이 소식통은 2018년 말에 M&A가 마무리될 것으로 전했다.   인포메이션지는 "현재 페이스북은 분석이나 비승인 접근 알림 툴을 포함해 자체 시스템으로 처리할 수 있는 소프트웨어를 가장 많이 보게 될 것이라고 이러한 생각에 익숙한 사람들을 밝혔다”고 보도했다. 인수 후보군에는 데미스토(Demisto), JASK, 스윔레인(Swimlane) 등이 있으며 각각 비공개로 진행되며 수억 달러의 비용이 소요될 것으로 알려졌다. 언론 보도에 따르면 페이스북은 사용자가 계정을 ‘더 안전하게 지키거나 프라이버시 기능을 추가’할 방법을 모색할 수도 있다. "이 범주에 들어 있는 일부 업체로는 제로폭스(ZeroFOX)와 세이프가드사이버(SafeGuard Cyber)가 포함돼 있어 공격 위험을 평가하거나 공격을 예방하는 데 도움이 된다"고 인포메이션지는 전했다. 제로폭스는 지금까지 8,000만 달러 이상을, 세이프가드사이버는 1,490만 달러를 투자유치했다. 페이스북의 보안 업체 인수가 이번이 처음은 아니다. 2014년 페이스북은 서버 입증 및 메모리 암호화를 통해 서버 데이터를 보호하는 소프트웨어를 개발한 프라이빗코어(PrivateCore)를 인수했다. 이달 초 자신들을 디지털 마케팅 회사로 표현한 페이스북과 인스타그램 스패머 그룹은 2,900만 사용자의 데이터를 훔친 것으로 밝혀졌다. 페이스북은 그전에 자사 엔지니어링팀이 약 5,000만 개의 계정에 영향을 주는 보안 문제를 발견했다고 발표한 바 있다. 공격자...

소셜네트워크 인수 페이스북 M&A 유출 계정 뷰 애즈 view as

2018.10.24

페이스북 계정 2,900만 개의 데이터가 유출됐다는 소식이 알려진 후, 이 회사가 사이버보안 업체를 인수할지도 모른다는 소문이 돌았다. 인포메이션지(The Information)에 따르면, 이 문제에 익숙한 사람들은 페이스북의 인수 의도를 확인하고 인수 대상 후보가 누구인지 밝히지 않고 이미 여러 보안 업체에 접근했다고 주장했다. 게다가 이 소식통은 2018년 말에 M&A가 마무리될 것으로 전했다.   인포메이션지는 "현재 페이스북은 분석이나 비승인 접근 알림 툴을 포함해 자체 시스템으로 처리할 수 있는 소프트웨어를 가장 많이 보게 될 것이라고 이러한 생각에 익숙한 사람들을 밝혔다”고 보도했다. 인수 후보군에는 데미스토(Demisto), JASK, 스윔레인(Swimlane) 등이 있으며 각각 비공개로 진행되며 수억 달러의 비용이 소요될 것으로 알려졌다. 언론 보도에 따르면 페이스북은 사용자가 계정을 ‘더 안전하게 지키거나 프라이버시 기능을 추가’할 방법을 모색할 수도 있다. "이 범주에 들어 있는 일부 업체로는 제로폭스(ZeroFOX)와 세이프가드사이버(SafeGuard Cyber)가 포함돼 있어 공격 위험을 평가하거나 공격을 예방하는 데 도움이 된다"고 인포메이션지는 전했다. 제로폭스는 지금까지 8,000만 달러 이상을, 세이프가드사이버는 1,490만 달러를 투자유치했다. 페이스북의 보안 업체 인수가 이번이 처음은 아니다. 2014년 페이스북은 서버 입증 및 메모리 암호화를 통해 서버 데이터를 보호하는 소프트웨어를 개발한 프라이빗코어(PrivateCore)를 인수했다. 이달 초 자신들을 디지털 마케팅 회사로 표현한 페이스북과 인스타그램 스패머 그룹은 2,900만 사용자의 데이터를 훔친 것으로 밝혀졌다. 페이스북은 그전에 자사 엔지니어링팀이 약 5,000만 개의 계정에 영향을 주는 보안 문제를 발견했다고 발표한 바 있다. 공격자...

2018.10.24

블로그 | 픽셀 2 유출 정보가 보여주는 '따분해진 하드웨어'의 진실

“얘들아. 다 모여봐라. 이 할애비가 모바일 기술의 좋았던 시절 이야기를 해주마.” 알다시피 그때는 이 2010년대의 태고적으로 돌아간다. 모든 신형 스마트폰 출시는 아주 신나는 일이었다. 왜냐하면, 모든 신제품은 최신식 하드웨어였기 때문이다. 디스플레이는 이전 것보다 몇 광년은 앞선 것이었는데, 잘 모르는 사람이 봐도 차이가 너무나 분명했다. 카메라는 얼마나 멋진 사진을 찍는지 이전 것이 감자 덩어리처럼 보일 정도였다. 스마트폰 자체는 더 날씬하고 더 세련되고 더 강력하고 더 빠르고, 말로 설명하기 힘들 정도로 매력적이었다. 어떤 것이든 모든 차세대 스마트폰은 이전 세대의 제품을 부끄럽게 만들었다. 발전의 폭은 극적이라고 할 만큼 컸고, 특히 안드로이드는 마치 매달 혁신적인 신기술을 구현해 기존 스마트폰을 고대 유물처럼 느껴질 정도였다. 그리고 무슨 일이 일어났다. 하드웨어가 정말로 장관을 이루는 지점에 도달한 것이다. 그리고 세대 진화는 기존 세대와 비교해 그저 발끝으로 살금살금 걷는 정도, 어떨 때는 아기 걸음 정도의 발전을 보여줬다. 물론 스마트폰 업체는 더 많은 픽셀과 더 빠른 프로세서, 더 얇은 두께 등등을 만들어내기 위해 계속 노력했지만, 그 어느 것도 탄성을 자아내지는 못했다. 하지만 실용적인 관점에서 이들 대부분은 그저 어떤 의미있는 방식으로든 문제가 되는 것을 그만둔 것일 뿐이다. 우리가 구글의 차세대 픽셀 폰을 보여주는 새로운 유출 정보에 보면서 잊지 말아야 할 중요한 맥락은 바로 이것이다. 안드로이드 폴리스가 2017년 픽셀 XL 디바이스로 추정되는 이미지를 공개했다. 멋진 디바이스라는 것을 부정할 사람은 없을 것이다. 트위터에서 누군가 필자에게 어떻게 생각하느냐고 물었지만, 별로 할말이 없었다. 필자는 “스마트폰처럼 보인다”라고 대답했다. 그리고 이전 세대와는 어떤 점에서 다른지 알아보는 것이 흥미로운 일일지도 모른다. 오해는 하지 말기 바란다. 필자는 1...

유출 하드웨어 생태계 픽셀 사용자경험

2017.07.18

“얘들아. 다 모여봐라. 이 할애비가 모바일 기술의 좋았던 시절 이야기를 해주마.” 알다시피 그때는 이 2010년대의 태고적으로 돌아간다. 모든 신형 스마트폰 출시는 아주 신나는 일이었다. 왜냐하면, 모든 신제품은 최신식 하드웨어였기 때문이다. 디스플레이는 이전 것보다 몇 광년은 앞선 것이었는데, 잘 모르는 사람이 봐도 차이가 너무나 분명했다. 카메라는 얼마나 멋진 사진을 찍는지 이전 것이 감자 덩어리처럼 보일 정도였다. 스마트폰 자체는 더 날씬하고 더 세련되고 더 강력하고 더 빠르고, 말로 설명하기 힘들 정도로 매력적이었다. 어떤 것이든 모든 차세대 스마트폰은 이전 세대의 제품을 부끄럽게 만들었다. 발전의 폭은 극적이라고 할 만큼 컸고, 특히 안드로이드는 마치 매달 혁신적인 신기술을 구현해 기존 스마트폰을 고대 유물처럼 느껴질 정도였다. 그리고 무슨 일이 일어났다. 하드웨어가 정말로 장관을 이루는 지점에 도달한 것이다. 그리고 세대 진화는 기존 세대와 비교해 그저 발끝으로 살금살금 걷는 정도, 어떨 때는 아기 걸음 정도의 발전을 보여줬다. 물론 스마트폰 업체는 더 많은 픽셀과 더 빠른 프로세서, 더 얇은 두께 등등을 만들어내기 위해 계속 노력했지만, 그 어느 것도 탄성을 자아내지는 못했다. 하지만 실용적인 관점에서 이들 대부분은 그저 어떤 의미있는 방식으로든 문제가 되는 것을 그만둔 것일 뿐이다. 우리가 구글의 차세대 픽셀 폰을 보여주는 새로운 유출 정보에 보면서 잊지 말아야 할 중요한 맥락은 바로 이것이다. 안드로이드 폴리스가 2017년 픽셀 XL 디바이스로 추정되는 이미지를 공개했다. 멋진 디바이스라는 것을 부정할 사람은 없을 것이다. 트위터에서 누군가 필자에게 어떻게 생각하느냐고 물었지만, 별로 할말이 없었다. 필자는 “스마트폰처럼 보인다”라고 대답했다. 그리고 이전 세대와는 어떤 점에서 다른지 알아보는 것이 흥미로운 일일지도 모른다. 오해는 하지 말기 바란다. 필자는 1...

2017.07.18

해커들이 노리는 CEO, CSO가 어떻게 지킬까?

페이스북의 마크 저커버그나 우버의 트래비스 칼라닉 같은 CEO는 해커들의 표적이 된다. 공격 표적 된 CEO 매년 데이터 유출이 빈번하게 발생하는 사이버보안 공격이 증가하고 있다. 해커들이 특정 조직의 네트워크에 진입을 시도할 때 조직 내 누구라도 위험 요소가 될 수 있다. 그중에서도 눈에 잘 띄는 임직원은 해커들의 표적이 되기 쉽다. CEO가 외부에서 유명세를 타면 공격자는 CEO와 관련한 데이터를 수집하고 활용해 사이버보안 공격 대상으로 삼을 수 있다. 보안 업체인 스파이런트(Spirent)의 데이비드 드산토는 ‘CEO를 사이버보안 공격으로부터 보호할 수 있는 팁’을 다음과 같이 제시했다.   가능한 한 이중인증 활용 기존의 보안 솔루션과 함께 사용하라. 대부분 애플리케이션과 서비스는 로그인 프로세스의 보안을 확장하는 이중인증 솔루션과 통합할 수 있는 기능을 제공한다. 이중인증 업체가 제공하는 모든 기능을 사용해 싱글 사인온(SSO) 기능을 제공해야 한다. 소셜 미디어에 민감한 데이터 제한 현대 사회에서는 데이터(때로는 많은 데이터)를 소셜 미디어에 넣는 것이 일반적이다. 페이스북, 링크드인과 등의 사이트에 있는 생일, 고향, 좋아하는 스포츠팀 같은 항목이 여기에 포함된다. 이 데이터는 허가 없이 누군가가 접근할 수 있고, 이를 사용하고자 하는 사람한테도 개방돼 있다. 비밀번호 재설정 질문 관리 여기에는 '좋아하는 스포츠팀은 무엇인가?' 또는 '어느 대학을 나왔나?' 같은 항목이 포함된다. 임원의 경우 이 정보는 링크드인 같은 사이트에서 온라인으로 볼 수 있다. 정답 대신 해당 사이트에 가짜 답변을 넣어 보라. 가령 "가장 좋아하는 스포츠팀은 어딥니까?"의 질문에 "홀리 몰리 아보카도 스트롬볼리(Holy Moly Avocado Stromboli)’라고 답하는 것이다.   공용 와이파이 대신 테더링 선택 임원의 주요...

CSO 우버 마크 저커버그 와이파이 사이버보안 이중인증 공격 유출 해커 CISO 해킹 CEO 페이스북 트래비스 칼라닉

2017.05.23

페이스북의 마크 저커버그나 우버의 트래비스 칼라닉 같은 CEO는 해커들의 표적이 된다. 공격 표적 된 CEO 매년 데이터 유출이 빈번하게 발생하는 사이버보안 공격이 증가하고 있다. 해커들이 특정 조직의 네트워크에 진입을 시도할 때 조직 내 누구라도 위험 요소가 될 수 있다. 그중에서도 눈에 잘 띄는 임직원은 해커들의 표적이 되기 쉽다. CEO가 외부에서 유명세를 타면 공격자는 CEO와 관련한 데이터를 수집하고 활용해 사이버보안 공격 대상으로 삼을 수 있다. 보안 업체인 스파이런트(Spirent)의 데이비드 드산토는 ‘CEO를 사이버보안 공격으로부터 보호할 수 있는 팁’을 다음과 같이 제시했다.   가능한 한 이중인증 활용 기존의 보안 솔루션과 함께 사용하라. 대부분 애플리케이션과 서비스는 로그인 프로세스의 보안을 확장하는 이중인증 솔루션과 통합할 수 있는 기능을 제공한다. 이중인증 업체가 제공하는 모든 기능을 사용해 싱글 사인온(SSO) 기능을 제공해야 한다. 소셜 미디어에 민감한 데이터 제한 현대 사회에서는 데이터(때로는 많은 데이터)를 소셜 미디어에 넣는 것이 일반적이다. 페이스북, 링크드인과 등의 사이트에 있는 생일, 고향, 좋아하는 스포츠팀 같은 항목이 여기에 포함된다. 이 데이터는 허가 없이 누군가가 접근할 수 있고, 이를 사용하고자 하는 사람한테도 개방돼 있다. 비밀번호 재설정 질문 관리 여기에는 '좋아하는 스포츠팀은 무엇인가?' 또는 '어느 대학을 나왔나?' 같은 항목이 포함된다. 임원의 경우 이 정보는 링크드인 같은 사이트에서 온라인으로 볼 수 있다. 정답 대신 해당 사이트에 가짜 답변을 넣어 보라. 가령 "가장 좋아하는 스포츠팀은 어딥니까?"의 질문에 "홀리 몰리 아보카도 스트롬볼리(Holy Moly Avocado Stromboli)’라고 답하는 것이다.   공용 와이파이 대신 테더링 선택 임원의 주요...

2017.05.23

'퇴사·이직과 함께 유출되는' 기업 기밀, 어떻게 지킬까

'회사에서 가장 가치 있는 자산은 회사를 떠난다'는 격언이 있다. 그러나 최근 발표된 보안 조사 보고서에 따르면, 이 가장 가치 있는 자산을 따라 회사를 떠나 다시 돌아오지 않는 또다른 가치 있는 자산도 있다. 오스터만 리서치(Osterman Research)의 조사에 참여한 조직 가운데 69%는 직원들이 퇴사하면서 정보 자원을 가지고 가는 바람에 심각할 정도의 데이터 및 지식 유출을 경험했다고 대답했다. 어떤 식이든 데이터 유출은 기업에 위협이 된다. 이번 조사 보고서에 따르면, 직원이 회사를 떠나면서 2가지 형태의 문제가 발생할 수 있다. 회사를 그만두면서 의도적으로 데이터를 가져가는 문제, 퇴사 직원이 회사가 모르거나 접근할 수 없는 클라우드 스토리지 서비스에 수많은 기업 정보를 보관하고 있는 문제가 여기에 해당된다. 법은 정리 해고 60일 전에 이를 통보하도록 요구하고 있다. 정리 해고가 임박했음을 알고 있는 직원, 새 직장을 찾아 회사를 그만두는 직원들이 데이터 유출 문제를 초래한다. 직원들은 정리 해고 임박은 알고 있어도, 자신이 그 대상인지 모르지만, 이런 정리 해고는 일부 직원들이 회사 데이터를 빼내도록 유도하기도 한다. 오스터만 리서치의 마이클 오스터만 대표는 "데이터를 빼내도록 유도하는 동기 부여 요소는 많다. 계약이나 지적재산을 들고 경쟁사로 이직하는 직원, 경영진에 대한 불만 때문에 회사를 그만두면서 복수하는 직원들을 예로 들 수 있다"고 말했다. 기술 포렌직 조사 서비스를 제공하는 베스트지 디지털 인베스티게이션(Vestige Digital Investigation)의 CTO그렉 켈리는 "자신의 데이터기 때문에 회사를 옮기면서 가져갈 수 있다고 생각하는 사람들이 많다. 연락처 목록, 가격 정보, 마케팅 자료가 이런 데이터의 예로 들 수 있다. 부당하다고 생각하지 않는다. 자신의 것이고, 자신이 소유하고 있다고 생각해 이런 일을 한다. 이런 직원들이 경쟁사에서 근무하...

CRM 섀도우IT 에드워드 스노든 오스터만 리서치 퇴사 BYOD CTO 유출 정리해고 이직 CIO 첼시 매닝

2017.05.02

'회사에서 가장 가치 있는 자산은 회사를 떠난다'는 격언이 있다. 그러나 최근 발표된 보안 조사 보고서에 따르면, 이 가장 가치 있는 자산을 따라 회사를 떠나 다시 돌아오지 않는 또다른 가치 있는 자산도 있다. 오스터만 리서치(Osterman Research)의 조사에 참여한 조직 가운데 69%는 직원들이 퇴사하면서 정보 자원을 가지고 가는 바람에 심각할 정도의 데이터 및 지식 유출을 경험했다고 대답했다. 어떤 식이든 데이터 유출은 기업에 위협이 된다. 이번 조사 보고서에 따르면, 직원이 회사를 떠나면서 2가지 형태의 문제가 발생할 수 있다. 회사를 그만두면서 의도적으로 데이터를 가져가는 문제, 퇴사 직원이 회사가 모르거나 접근할 수 없는 클라우드 스토리지 서비스에 수많은 기업 정보를 보관하고 있는 문제가 여기에 해당된다. 법은 정리 해고 60일 전에 이를 통보하도록 요구하고 있다. 정리 해고가 임박했음을 알고 있는 직원, 새 직장을 찾아 회사를 그만두는 직원들이 데이터 유출 문제를 초래한다. 직원들은 정리 해고 임박은 알고 있어도, 자신이 그 대상인지 모르지만, 이런 정리 해고는 일부 직원들이 회사 데이터를 빼내도록 유도하기도 한다. 오스터만 리서치의 마이클 오스터만 대표는 "데이터를 빼내도록 유도하는 동기 부여 요소는 많다. 계약이나 지적재산을 들고 경쟁사로 이직하는 직원, 경영진에 대한 불만 때문에 회사를 그만두면서 복수하는 직원들을 예로 들 수 있다"고 말했다. 기술 포렌직 조사 서비스를 제공하는 베스트지 디지털 인베스티게이션(Vestige Digital Investigation)의 CTO그렉 켈리는 "자신의 데이터기 때문에 회사를 옮기면서 가져갈 수 있다고 생각하는 사람들이 많다. 연락처 목록, 가격 정보, 마케팅 자료가 이런 데이터의 예로 들 수 있다. 부당하다고 생각하지 않는다. 자신의 것이고, 자신이 소유하고 있다고 생각해 이런 일을 한다. 이런 직원들이 경쟁사에서 근무하...

2017.05.02

해커 "계정 정보 7억개 있다" vs. 애플 "데이터 유출 없었다"

한 해커 집단이 아이클라우드 계정 수백만 개에 연결된 애플 기기에서 데이터를 삭제하겠다고 협박하고 있는 가운데, 애플은 자사의 서비스를 통해서는 어떤 로그인 계정 정보도 유출되지 않았다고 반박했다. 애플 대변인은 이메일 인터뷰를 통해 "아이클라우드와 애플 ID를 포함한 어떤 애플 시스템에서도 데이터 유출이 없었다. 해커가 확보했다고 주장하는 이메일 주소와 암호는 이전에 해킹된 서드파티 서비스에서 유출된 것으로 보인다"라고 말했다. 자신들을 '터키 범죄 조직(Turkish Crime Family)'이라고 부르는 이들 해커는 7억 5000만개의 아이클라우드닷컴(icloud.com) 로그인 계정과 미닷컴(me.com), 맥닷컴(mac.com) 이메일 주소를 가지고 있다고 주장하고 있다. 또한 이 중 아이클라우드에 접속할 수 있는 2억 5000만 개 이상의 계정이 이중 인증 기능을 이용하지 않고 있다고 밝혔다. 이 해커 집단은 23일 페이스트빈(Pastebin)에 글을 올려, 애플에 해커 1인당 70만~10만 달러 또는 아이튠스 바우처 100만 달러 상당을 요구했다. 이를 주지 않으면 오는 4월 7일부터 이 아이클라우드 계정과 기기에서 데이터를 삭제할 것이라고 협박했다. 이밖에 다른 것도 애플에 요구했지만 구체적인 내용은 공개적으로 밝히지 않았다. 이에 대해 애플 대변인은 "우리는 인증 없이 사용자 계정에 접속하지 못하도록 강력하게 모니터링하고 있고, 동시에 범죄자를 밝혀내기 위해 사법 당국과 공조하고 있다. 이런 방식의 공격을 막기 위해 사용자에게 복잡한 패스워드를 사용하고 같은 패스워드를 여러 사이트에서 함께 사용하지 말 것을 권장하고 있다. 동시에 이중인증 기능도 반드시 사용하는 것이 좋다"라고 말했다. 이 해커 집단은 이들 계정 정보를 애플 서비스에서 얻은 것은 아니라고 확인했다. 해킹된 서드파티 웹사이트를 통해 수집했음을 암시하기도 했다. 이런 주장은 어느 정도는 사실일 가능...

보안 해킹 아이클라우드 유출 계정

2017.03.24

한 해커 집단이 아이클라우드 계정 수백만 개에 연결된 애플 기기에서 데이터를 삭제하겠다고 협박하고 있는 가운데, 애플은 자사의 서비스를 통해서는 어떤 로그인 계정 정보도 유출되지 않았다고 반박했다. 애플 대변인은 이메일 인터뷰를 통해 "아이클라우드와 애플 ID를 포함한 어떤 애플 시스템에서도 데이터 유출이 없었다. 해커가 확보했다고 주장하는 이메일 주소와 암호는 이전에 해킹된 서드파티 서비스에서 유출된 것으로 보인다"라고 말했다. 자신들을 '터키 범죄 조직(Turkish Crime Family)'이라고 부르는 이들 해커는 7억 5000만개의 아이클라우드닷컴(icloud.com) 로그인 계정과 미닷컴(me.com), 맥닷컴(mac.com) 이메일 주소를 가지고 있다고 주장하고 있다. 또한 이 중 아이클라우드에 접속할 수 있는 2억 5000만 개 이상의 계정이 이중 인증 기능을 이용하지 않고 있다고 밝혔다. 이 해커 집단은 23일 페이스트빈(Pastebin)에 글을 올려, 애플에 해커 1인당 70만~10만 달러 또는 아이튠스 바우처 100만 달러 상당을 요구했다. 이를 주지 않으면 오는 4월 7일부터 이 아이클라우드 계정과 기기에서 데이터를 삭제할 것이라고 협박했다. 이밖에 다른 것도 애플에 요구했지만 구체적인 내용은 공개적으로 밝히지 않았다. 이에 대해 애플 대변인은 "우리는 인증 없이 사용자 계정에 접속하지 못하도록 강력하게 모니터링하고 있고, 동시에 범죄자를 밝혀내기 위해 사법 당국과 공조하고 있다. 이런 방식의 공격을 막기 위해 사용자에게 복잡한 패스워드를 사용하고 같은 패스워드를 여러 사이트에서 함께 사용하지 말 것을 권장하고 있다. 동시에 이중인증 기능도 반드시 사용하는 것이 좋다"라고 말했다. 이 해커 집단은 이들 계정 정보를 애플 서비스에서 얻은 것은 아니라고 확인했다. 해킹된 서드파티 웹사이트를 통해 수집했음을 암시하기도 했다. 이런 주장은 어느 정도는 사실일 가능...

2017.03.24

“미 CIA, 안드로이드·스마트 TV 해킹 무기 개발” 위키리크스, 증거 문서 공개

위키리크스(WikiLeaks)가 미 CIA 사이버 정보센터에서 나온 것이라고 주장하는 8,700건 이상의 문서를 공개했다. 특히 이번에 유출된 문서 중 일부는 CIA가 24개의 이른바 “무기화된” 기존에 공개되지 않은 안드로이드 운영체제의 취약점을 확보하고 있다는 것을 보여준다. 위키리크스의 분석에 따르면, 일부 안드로이드 취약점은 CIA가 개발한 것이고, 다른 취약점은 미 NSA나 영국 정보기관인 GCHO, 사이버 공격 무기 거래상 등에서 나온 것이다. 또 CIA가 개발한 일부 스마트폰 공격은 왓츠앱이나 컨파이드(Confide) 등의 암호화도 우회할 수 있으며, 그 외 음성이나 메시지를 암호화하기 전에 수집하는 앱에도 적용할 수 있다. 또 전임 오바마 행정부가 취약점 정보를 업체들과 공유하겠다고 약속했음에도 불구하고 CIA는 이들 비공개 제로데이 취약점을 다수의 시스템에 몰래 저장한 것으로 나타났다. 일부 문서는 CIA가 아이폰이나 스마트 TV를 공격하는 데 악성코드와 해킹 툴을 사용한 방법도 설명하고 있으며, CIA가 윈도우와 OSX, 리눅스, 라우터 등의 보안을 뚫기 위해 어떤 노력을 기울였는지도 상세하게 보여준다. 예를 들어, ‘위핑 엔젤(Weeping Angel)’이란 공격은 삼성 스마트 TV를 대상으로 하며, CIA와 영욱 MI5가 개발했다. 위핑 엔젤 공격은 대상 TV를 가짜로 꺼진 것처럼 만드는데, 사용자는 TV가 켜져 있는데도 꺼졌다고 믿게 된다. 이 상태에서 TV는 거실에서 이루어지는 대화를 녹음해 인터넷을 통해 CIA 서버로 전송한다. 또 다른 유출 문서에 따르면, 2014년에 CIA는 자동차의 소프트웨어 시스템을 감염시킬 방법도 연구했다. 위키리크스의 편집자 줄리안 어산지는 보도자료를 통해 CIA가 만든 사이버 공격 무기는 만약 CIA에 통제권을 잃어버리면 심각한 문제를 야기할 수 있다고 지적했다. 삼성과 구글은 아직 이에 대한 논평을 내놓지 않았다.  edit...

위키리크스 유출 CIA 폭로 사이버무기

2017.03.09

위키리크스(WikiLeaks)가 미 CIA 사이버 정보센터에서 나온 것이라고 주장하는 8,700건 이상의 문서를 공개했다. 특히 이번에 유출된 문서 중 일부는 CIA가 24개의 이른바 “무기화된” 기존에 공개되지 않은 안드로이드 운영체제의 취약점을 확보하고 있다는 것을 보여준다. 위키리크스의 분석에 따르면, 일부 안드로이드 취약점은 CIA가 개발한 것이고, 다른 취약점은 미 NSA나 영국 정보기관인 GCHO, 사이버 공격 무기 거래상 등에서 나온 것이다. 또 CIA가 개발한 일부 스마트폰 공격은 왓츠앱이나 컨파이드(Confide) 등의 암호화도 우회할 수 있으며, 그 외 음성이나 메시지를 암호화하기 전에 수집하는 앱에도 적용할 수 있다. 또 전임 오바마 행정부가 취약점 정보를 업체들과 공유하겠다고 약속했음에도 불구하고 CIA는 이들 비공개 제로데이 취약점을 다수의 시스템에 몰래 저장한 것으로 나타났다. 일부 문서는 CIA가 아이폰이나 스마트 TV를 공격하는 데 악성코드와 해킹 툴을 사용한 방법도 설명하고 있으며, CIA가 윈도우와 OSX, 리눅스, 라우터 등의 보안을 뚫기 위해 어떤 노력을 기울였는지도 상세하게 보여준다. 예를 들어, ‘위핑 엔젤(Weeping Angel)’이란 공격은 삼성 스마트 TV를 대상으로 하며, CIA와 영욱 MI5가 개발했다. 위핑 엔젤 공격은 대상 TV를 가짜로 꺼진 것처럼 만드는데, 사용자는 TV가 켜져 있는데도 꺼졌다고 믿게 된다. 이 상태에서 TV는 거실에서 이루어지는 대화를 녹음해 인터넷을 통해 CIA 서버로 전송한다. 또 다른 유출 문서에 따르면, 2014년에 CIA는 자동차의 소프트웨어 시스템을 감염시킬 방법도 연구했다. 위키리크스의 편집자 줄리안 어산지는 보도자료를 통해 CIA가 만든 사이버 공격 무기는 만약 CIA에 통제권을 잃어버리면 심각한 문제를 야기할 수 있다고 지적했다. 삼성과 구글은 아직 이에 대한 논평을 내놓지 않았다.  edit...

2017.03.09

'셀카에서 지문추출 外'··· 5가지 최신 개인정보 위협요인

과장하거나 지어내 공포감을 조장하려는 이야기가 아니다. 지난 수개월 새 인터넷과 스마트폰을 통해 개인 정보를 캐낼 수 있는 새로운 방법이 5가지나 더 발견됐다. 이전에도 개인정보 보안을 위협하는 요소들이 없었던 것은 아니다. 구글이나 페이스북 같은 기업들은 오래 전부터 개인정보를 추적, 수집하고 있었고 사용자의 정보를 노리는 해커들도 여전하다. 하지만 새롭게 이름을 더한 이번 5가지 위협 요소들은 기존에는 생각지도 못했던 방식으로 개인 정보가 유출될 수 있음을 시사한다. 1. 셀카에서 지문을 추출해 낼 수 있다고? 일본 국립정보학연구소 연구팀의 최근 발표에 따르면, 손가락이 찍힌 사진만으로도 지문을 추출해 낼 수 있으며 그렇게 확보된 지문은 생체보안시스템을 뚫는데 활용될 수 있다. 오늘날의 스마트폰 카메라가 워낙 고해상도, 고화질을 자랑하기 때문에 고유의 지문을 구성하는 골과 융기를 얼마든지 복사해 지문인식 시스템을 속이는 데 활용될 수 있다는 설명이다. 이는 특히 사진을 찍을 때 손가락으로 ‘브이’나 ‘피스’ 제스처를 취하는 관습이 있는 일본에서는 큰 문제가 될 수 있다고 연구팀은 지적했다.  물론 이를 회의적으로 바라보는 시선도 없지 않다. 우선 일본의 ‘연구팀’이 제시한 해결책부터가 미심쩍다는 지적이다. 국립정보학연구소 연구팀은 셀카를 찍을 때 특정 패턴이 프린팅된 티타늄옥사이드 필름을 손가락 위에 올려놓고 찍을 것을 해결책으로 제시하고 있다. 실용성에 의문을 품게 하는 다른 조건들도 있다. 셀카에서 지문을 추출하기 위해 요구되는 촬영 조건이 그것이다. 손가락 부위에 초점이 맞아야 하고, 조명 조건이 완벽해야 한다. 또 카메라로부터의 거리가 약 2.7미터 정도여야 하고, 무엇보다 하이엔드 스마트폰으로 찍은 사진이어야 한다. (고성능 폰들은 대부분 인물 얼굴에 초점을 맞추는 기능을 내장하고 있다.) 그러나 지문 추출...

프라이버시 개인정보 유출 누출 지문 셀카 개인 데이터 가계도

2017.02.07

과장하거나 지어내 공포감을 조장하려는 이야기가 아니다. 지난 수개월 새 인터넷과 스마트폰을 통해 개인 정보를 캐낼 수 있는 새로운 방법이 5가지나 더 발견됐다. 이전에도 개인정보 보안을 위협하는 요소들이 없었던 것은 아니다. 구글이나 페이스북 같은 기업들은 오래 전부터 개인정보를 추적, 수집하고 있었고 사용자의 정보를 노리는 해커들도 여전하다. 하지만 새롭게 이름을 더한 이번 5가지 위협 요소들은 기존에는 생각지도 못했던 방식으로 개인 정보가 유출될 수 있음을 시사한다. 1. 셀카에서 지문을 추출해 낼 수 있다고? 일본 국립정보학연구소 연구팀의 최근 발표에 따르면, 손가락이 찍힌 사진만으로도 지문을 추출해 낼 수 있으며 그렇게 확보된 지문은 생체보안시스템을 뚫는데 활용될 수 있다. 오늘날의 스마트폰 카메라가 워낙 고해상도, 고화질을 자랑하기 때문에 고유의 지문을 구성하는 골과 융기를 얼마든지 복사해 지문인식 시스템을 속이는 데 활용될 수 있다는 설명이다. 이는 특히 사진을 찍을 때 손가락으로 ‘브이’나 ‘피스’ 제스처를 취하는 관습이 있는 일본에서는 큰 문제가 될 수 있다고 연구팀은 지적했다.  물론 이를 회의적으로 바라보는 시선도 없지 않다. 우선 일본의 ‘연구팀’이 제시한 해결책부터가 미심쩍다는 지적이다. 국립정보학연구소 연구팀은 셀카를 찍을 때 특정 패턴이 프린팅된 티타늄옥사이드 필름을 손가락 위에 올려놓고 찍을 것을 해결책으로 제시하고 있다. 실용성에 의문을 품게 하는 다른 조건들도 있다. 셀카에서 지문을 추출하기 위해 요구되는 촬영 조건이 그것이다. 손가락 부위에 초점이 맞아야 하고, 조명 조건이 완벽해야 한다. 또 카메라로부터의 거리가 약 2.7미터 정도여야 하고, 무엇보다 하이엔드 스마트폰으로 찍은 사진이어야 한다. (고성능 폰들은 대부분 인물 얼굴에 초점을 맞추는 기능을 내장하고 있다.) 그러나 지문 추출...

2017.02.07

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6