Offcanvas

������

'위험 우선순위 정하고 최대한 방어···' 2020년 사이버보안 강령

IDG가 발행하는 IT전문 매체인 <CIO>, <컴퓨터월드>, <CSO>, <인포월드>, <네트워크월드>에서 최근 다룬 보안 동향을 중심으로 2020년 사이버보안 전망을 정리했다.    정보 관리 협회(Society for Information Management, SIM)가 매년 진행한 IT 동향 연구에 따르면, CIO가 꼽은 중요한 IT관리 문제에서 사이버보안은 2014년부터 1, 2위를 다툴 만큼 우선순위가 높은 것으로 나타났다.  하지만 2013년에는 달랐다. 같은 조사에서 사이버보안은 당시 7위에 그쳤다. 1년 사이에 무슨 일이 일어났을까? 미국 대형 유통회사인 타겟의 악명 높은 데이터 유출이 있었다. 이로 인해 타겟은 1,850만 달러의 벌금을 부과받았고 CEO는 불명예를 안고서 회사를 떠났다.  그 이후 타겟의 데이터 유출은 세간의 이목을 끄는 사건이 됐다. 메시지는 단순 명료하다. 위협의 수와 능력이 계속 증가함에 따라, 해마다 경영진의 퇴출을 부를 만한 유출 위험은 더 커진다는 점이다.  좌불안석 CSO들에겐 대책이 필요하다. 일부 사람들이 보안 소프트웨어 산업의 마케팅 전략에 바로 적용되는 포인트 솔루션으로 모든 새로운 위협에 달려들 수밖에 없다고 느끼는 것은 당연하다. 그러나 사이버보안 예산을 무한대로 쓸 수 있는 조직은 없다. 그렇다면 CSO는 방어 자원을 가장 효과적으로 배분할 방법을 결정할 수 있을까? 간단한 답은 2가지다. 위험의 우선순위를 합리적으로 정하고, 동시에 이미 실시하고 있는 유용한 방어를 최대한 활용하라. 대부분 조직에서 소프트웨어와 소셜 엔지니어링(피싱 포함)이 패치되지 않은 경우가 가장 높은 위험을 나타내고 있으며, 패스워드 크래킹과 소프트웨어의 잘못된 구성이 그 뒤를 이었다. 신속한 패치를 보장하기 위한 정치 및 운영상의 장벽을 제거하고, 효과적인 보안 인식 프로그램을 수립하며, 구성을 쉽게 변경하지 못하도록...

CIO 심층 방어 시큐어 코드 데이텅 유출 데브섹옵스 제로 트러스트 Society for Information Management DevSecOps 타겟 엔드포인트 방화벽 SIM 사이버보안 공격 CISO CSO 정보 관리 협회

2020.02.12

IDG가 발행하는 IT전문 매체인 <CIO>, <컴퓨터월드>, <CSO>, <인포월드>, <네트워크월드>에서 최근 다룬 보안 동향을 중심으로 2020년 사이버보안 전망을 정리했다.    정보 관리 협회(Society for Information Management, SIM)가 매년 진행한 IT 동향 연구에 따르면, CIO가 꼽은 중요한 IT관리 문제에서 사이버보안은 2014년부터 1, 2위를 다툴 만큼 우선순위가 높은 것으로 나타났다.  하지만 2013년에는 달랐다. 같은 조사에서 사이버보안은 당시 7위에 그쳤다. 1년 사이에 무슨 일이 일어났을까? 미국 대형 유통회사인 타겟의 악명 높은 데이터 유출이 있었다. 이로 인해 타겟은 1,850만 달러의 벌금을 부과받았고 CEO는 불명예를 안고서 회사를 떠났다.  그 이후 타겟의 데이터 유출은 세간의 이목을 끄는 사건이 됐다. 메시지는 단순 명료하다. 위협의 수와 능력이 계속 증가함에 따라, 해마다 경영진의 퇴출을 부를 만한 유출 위험은 더 커진다는 점이다.  좌불안석 CSO들에겐 대책이 필요하다. 일부 사람들이 보안 소프트웨어 산업의 마케팅 전략에 바로 적용되는 포인트 솔루션으로 모든 새로운 위협에 달려들 수밖에 없다고 느끼는 것은 당연하다. 그러나 사이버보안 예산을 무한대로 쓸 수 있는 조직은 없다. 그렇다면 CSO는 방어 자원을 가장 효과적으로 배분할 방법을 결정할 수 있을까? 간단한 답은 2가지다. 위험의 우선순위를 합리적으로 정하고, 동시에 이미 실시하고 있는 유용한 방어를 최대한 활용하라. 대부분 조직에서 소프트웨어와 소셜 엔지니어링(피싱 포함)이 패치되지 않은 경우가 가장 높은 위험을 나타내고 있으며, 패스워드 크래킹과 소프트웨어의 잘못된 구성이 그 뒤를 이었다. 신속한 패치를 보장하기 위한 정치 및 운영상의 장벽을 제거하고, 효과적인 보안 인식 프로그램을 수립하며, 구성을 쉽게 변경하지 못하도록...

2020.02.12

포천지 선정 500대 기업 CIO는 얼마나 벌까? 연봉패키지 공개

급여, 보너스, 스톡옵션, 각종 특전 등을 모두 포함해 CIO는 얼마나 받을까? 최근 포천이지 선정 500대 기업 CIO 25명의 연봉패키지가 공개됐다.  대부분 직장에서는 직원 개개인의 연봉 정보를 자세히 밝히지 않는다. 하지만 대기업 임원의 경우는 다르다. 미국에서 상장 기업은 법에 따라 최고 경영진들에게 지급한 급여 총액을 공개해야 한다. <CIO>는 포천이지 선정 500대 기업 가운데 CIO 급여를 공개한 25개사를 찾아내 2016년 최신 연봉패키지를 정리했다.  월그린부츠 EVP 겸 글로벌 CIO 팀 테리올트 팀 테리올트는 월그린(Walgreens)에서 기술 총괄이 되기 전 CTO부터 기업 및 기관 서비스 대표까지 노던트러스트코퍼레이션(Northern Trust Corporation)에서 꾸준히 경력을 쌓았다. 월그린이 합병 후 월그린부츠(Walgreens Boots)가 되면서 테리올트는 기술을 총괄하기 시작했다. 그는 3년 전에 회사를 떠났지만 여전히 고액 임금 기술 간부 명단에 이름을 올릴 수 있었다. 그는 최근 여러 형태의 연기금 보상으로 1,300만 달러 이상을 받았지만, 2017년에는 회사에 컨설팅 서비스를 일부 제공했다. 현재 웰마크 블루 크로스 블루 쉴드(Wellmark Blue Cross Blue Shield)와 비타민 쇼프(Vitamin Shoppe)를 비롯한 여러 건강 관련 회사의 이사로 근무하고 있다. 연봉 : 52만 5,000달러 보너스 : 94만 8,336달러 스톡옵션 : 314만 9,930달러 기타 특전 : 896만 5,046달러 합계 : 1,358만 8,312달러 타켓 EVP 겸 주요 정보 및 디지털 책임자 마이크 맥나마라 마이크 맥나마라는 90년대 후반 영국 유통회사 테스코에서 기술 경력을 시작하여 웹 사이트를 개설하고 IT 및 공급망 사업을 감독한 다음 테스코가 영국 이외의 회사 운영 모델을 확장하는 데 일조했다. 2015년에 그는 대서...

CIO PwC 급여 보너스 특전 CDO 상여금 타겟 연봉패키지 CTO 피플소프트 오라클 CEO IBM 금융 컨설팅 딜로이트 연봉 포천

2018.10.26

급여, 보너스, 스톡옵션, 각종 특전 등을 모두 포함해 CIO는 얼마나 받을까? 최근 포천이지 선정 500대 기업 CIO 25명의 연봉패키지가 공개됐다.  대부분 직장에서는 직원 개개인의 연봉 정보를 자세히 밝히지 않는다. 하지만 대기업 임원의 경우는 다르다. 미국에서 상장 기업은 법에 따라 최고 경영진들에게 지급한 급여 총액을 공개해야 한다. <CIO>는 포천이지 선정 500대 기업 가운데 CIO 급여를 공개한 25개사를 찾아내 2016년 최신 연봉패키지를 정리했다.  월그린부츠 EVP 겸 글로벌 CIO 팀 테리올트 팀 테리올트는 월그린(Walgreens)에서 기술 총괄이 되기 전 CTO부터 기업 및 기관 서비스 대표까지 노던트러스트코퍼레이션(Northern Trust Corporation)에서 꾸준히 경력을 쌓았다. 월그린이 합병 후 월그린부츠(Walgreens Boots)가 되면서 테리올트는 기술을 총괄하기 시작했다. 그는 3년 전에 회사를 떠났지만 여전히 고액 임금 기술 간부 명단에 이름을 올릴 수 있었다. 그는 최근 여러 형태의 연기금 보상으로 1,300만 달러 이상을 받았지만, 2017년에는 회사에 컨설팅 서비스를 일부 제공했다. 현재 웰마크 블루 크로스 블루 쉴드(Wellmark Blue Cross Blue Shield)와 비타민 쇼프(Vitamin Shoppe)를 비롯한 여러 건강 관련 회사의 이사로 근무하고 있다. 연봉 : 52만 5,000달러 보너스 : 94만 8,336달러 스톡옵션 : 314만 9,930달러 기타 특전 : 896만 5,046달러 합계 : 1,358만 8,312달러 타켓 EVP 겸 주요 정보 및 디지털 책임자 마이크 맥나마라 마이크 맥나마라는 90년대 후반 영국 유통회사 테스코에서 기술 경력을 시작하여 웹 사이트를 개설하고 IT 및 공급망 사업을 감독한 다음 테스코가 영국 이외의 회사 운영 모델을 확장하는 데 일조했다. 2015년에 그는 대서...

2018.10.26

신임 CIO 앞에 놓은 과제, 어디서부터 어떻게 풀까?··· 5가지 팁

새로 임명된 CIO 앞날에는 곳곳에 난제들이 복병처럼 숨어 있을 것이다. 신임 CIO가 자신의 역할을 다하고 역량을 발휘하는 데 도움이 될 몇 가지 팁을 소개한다.  뭐든지 시작이 반이라고 하지만, 특히 급변하는 CIO의 세계에서는 더욱 그렇다. 그만큼 첫단추를 잘 끼우기가 어렵다는 의미도 될 것이다. CIO의 역할 역시 어제와 오늘이 다르고, 오늘과 내일이 다르다. 기술 전문가로서 조직 내 모든 IT 및 기술 인프라에 대해 책임지는 것 외에도, CIO는 비즈니스 리더로서 조직의 유의미한 변화를 주도해야 한다. 2018년 현재 CIO로서 첫발을 내딛는 모든 이들이 헤매지 않고 올바른 방향으로 나아갈 수 있도록 도움이 될만한 5가지 조언을 제시한다. 기업 현황을 먼저 파악하라 너무 당연해서 종종 그냥 지나치게 되는 절차다. CIO로서 새로운 전략을 도입하기에 앞서 자신이 속한 조직의 현실을 냉정하게 바라보고 기존에 시행 중이던 계획이나 정책의 효과 및 실패 원인을 명확하게 평가해야 한다. 기존 정책이 실패한 원인이 자원의 부족인가, 아니면 관리자들의 소홀함 때문인가? 진행 중인 모든 IT프로젝트와 인프라 구축 상황도 내 일처럼 파악해야 한다. 무턱대고 진행 중인 프로젝트를 지연시키거나 정지시켰다가는 득보다 실이 클 수 있으므로 현상에 뭔가 큰 변화를 가하려 할 때는 신중히 생각해서 해야 한다. 프로젝트의 진행 일정을 완벽하게 파악하고, 이정표를 세운다. 각각 업체와의 계약 조건을 검토하고, 실제 프로젝트를 진행하는 팀을 직접 만나 보고, 관련 이슈나 우려 사항에 대해 현업자의 생각을 적극적으로 반영한다. 출근 첫날부터 회사의 모든 것을 다 바꾸겠다며 참견하고 다니는 것을 달가워할 사람은 없다. 따라서 우선은 ‘배우는 입장’이 되어 찬찬히 살펴보는 쪽이, 급진적 변화를 추진하는 것보다 더 긍정적인 결과를 가져올 것이다. 또 이렇게 회사의 여러 상황을 자세히 살펴보면 개선해야 할...

협업 타겟 영국항공 행아웃 유니레버 사이버보안 CISO 커뮤니케이션 IT부서 구글 CIO 신임 CIO

2018.09.27

새로 임명된 CIO 앞날에는 곳곳에 난제들이 복병처럼 숨어 있을 것이다. 신임 CIO가 자신의 역할을 다하고 역량을 발휘하는 데 도움이 될 몇 가지 팁을 소개한다.  뭐든지 시작이 반이라고 하지만, 특히 급변하는 CIO의 세계에서는 더욱 그렇다. 그만큼 첫단추를 잘 끼우기가 어렵다는 의미도 될 것이다. CIO의 역할 역시 어제와 오늘이 다르고, 오늘과 내일이 다르다. 기술 전문가로서 조직 내 모든 IT 및 기술 인프라에 대해 책임지는 것 외에도, CIO는 비즈니스 리더로서 조직의 유의미한 변화를 주도해야 한다. 2018년 현재 CIO로서 첫발을 내딛는 모든 이들이 헤매지 않고 올바른 방향으로 나아갈 수 있도록 도움이 될만한 5가지 조언을 제시한다. 기업 현황을 먼저 파악하라 너무 당연해서 종종 그냥 지나치게 되는 절차다. CIO로서 새로운 전략을 도입하기에 앞서 자신이 속한 조직의 현실을 냉정하게 바라보고 기존에 시행 중이던 계획이나 정책의 효과 및 실패 원인을 명확하게 평가해야 한다. 기존 정책이 실패한 원인이 자원의 부족인가, 아니면 관리자들의 소홀함 때문인가? 진행 중인 모든 IT프로젝트와 인프라 구축 상황도 내 일처럼 파악해야 한다. 무턱대고 진행 중인 프로젝트를 지연시키거나 정지시켰다가는 득보다 실이 클 수 있으므로 현상에 뭔가 큰 변화를 가하려 할 때는 신중히 생각해서 해야 한다. 프로젝트의 진행 일정을 완벽하게 파악하고, 이정표를 세운다. 각각 업체와의 계약 조건을 검토하고, 실제 프로젝트를 진행하는 팀을 직접 만나 보고, 관련 이슈나 우려 사항에 대해 현업자의 생각을 적극적으로 반영한다. 출근 첫날부터 회사의 모든 것을 다 바꾸겠다며 참견하고 다니는 것을 달가워할 사람은 없다. 따라서 우선은 ‘배우는 입장’이 되어 찬찬히 살펴보는 쪽이, 급진적 변화를 추진하는 것보다 더 긍정적인 결과를 가져올 것이다. 또 이렇게 회사의 여러 상황을 자세히 살펴보면 개선해야 할...

2018.09.27

늘어나는 모바일 POS 결제, 단말기 해킹이 위험하다

약 5년 전 유통 업체 타깃(Target)이 최악의 대규모 보안 침해를 입은 이후로 결제 시스템이 디지털 공격에 취약할 수 있다는 잠재적인 결함에 대해 점점 더 많은 관심이 집중됐다. 이제 모바일 플랫폼을 통한 결제가 점차 늘고 있는 만큼 가맹점에 카드나 가상화폐 결제를 유도하는 방식으로 모바일 POS(mPOS) 단말기 시스템을 해킹하는 쪽으로 옮겨가는 추세다. 저명한 영국 보안 연구원들은 최근 라스베이거스에서 열린 블랙햇 USA(Black Hat USA) 정보 보안 컨퍼런스에서 미국과 유럽에서 널리 운영되는 mPOS 시스템 중 4가지에서 발견된 고유한 취약점을 자세히 밝힌 연구를 발표했다. 현재 mPOS 보안에 대한 가장 포괄적인 리뷰로 알려진 이 내용에 따르면, 런던에 위치한 포지티브 테크놀로지스(Positive Technologies)의 보안 연구원들은 스퀘어(Square), 섬업(SumUp), 페이팔(PayPal), 아이제틀(iZettle)이 제공하는 7개의 mPOS 단말기 내 모바일 결제 인프라 내부 구조를 파헤친 뒤 이러한 시스템을 해킹할 잠재적 가능성이 있는 호스트를 찾아냈다. 포지티브 테크놀로지스 내 사이버 보안 레질리언스(Cyber Security Resilience) 팀의 책임자인 레이안 갤로웨이와 수석 뱅킹 보안 전문가인 팀 유누소프는 실시간 시연에서 이 시스템의 취약점을 보여주었다. 사이버 범죄자는 이 시스템을 통해 중간자 공격을 수행하고, 블루투스 연결이나 시스템의 모바일 애플리케이션을 통해 무작위 코드를 배포할 수 있다. 또한 마그네틱 스트라이프 카드로 승인된 거래에 대한 결제 대금을 수정하고 내부 펌웨어를 사용하거나 서비스 거부 공격(DoS) 또는 원격 코드 실행(RCE) 형태의 공격을 수행한다. 발표자들은 또 전부는 아니지만 이러한 악용 사례의 대부분은 기존의 사기 방지 도구나 사이버보안 도구 또는 기술로 탐지되지 않고 수행될 수 있다고 지적했다. 공격 유형은 일반적으로 공격자의 최종 목표에 따라 달...

CSO 포지티브 테크놀로지스 mPOS 모바일 포스 타겟 블랙햇 펌웨어 dos POS 페이팔 소셜 엔지니어링 취약점 해킹 서비스 거부 공격

2018.08.20

약 5년 전 유통 업체 타깃(Target)이 최악의 대규모 보안 침해를 입은 이후로 결제 시스템이 디지털 공격에 취약할 수 있다는 잠재적인 결함에 대해 점점 더 많은 관심이 집중됐다. 이제 모바일 플랫폼을 통한 결제가 점차 늘고 있는 만큼 가맹점에 카드나 가상화폐 결제를 유도하는 방식으로 모바일 POS(mPOS) 단말기 시스템을 해킹하는 쪽으로 옮겨가는 추세다. 저명한 영국 보안 연구원들은 최근 라스베이거스에서 열린 블랙햇 USA(Black Hat USA) 정보 보안 컨퍼런스에서 미국과 유럽에서 널리 운영되는 mPOS 시스템 중 4가지에서 발견된 고유한 취약점을 자세히 밝힌 연구를 발표했다. 현재 mPOS 보안에 대한 가장 포괄적인 리뷰로 알려진 이 내용에 따르면, 런던에 위치한 포지티브 테크놀로지스(Positive Technologies)의 보안 연구원들은 스퀘어(Square), 섬업(SumUp), 페이팔(PayPal), 아이제틀(iZettle)이 제공하는 7개의 mPOS 단말기 내 모바일 결제 인프라 내부 구조를 파헤친 뒤 이러한 시스템을 해킹할 잠재적 가능성이 있는 호스트를 찾아냈다. 포지티브 테크놀로지스 내 사이버 보안 레질리언스(Cyber Security Resilience) 팀의 책임자인 레이안 갤로웨이와 수석 뱅킹 보안 전문가인 팀 유누소프는 실시간 시연에서 이 시스템의 취약점을 보여주었다. 사이버 범죄자는 이 시스템을 통해 중간자 공격을 수행하고, 블루투스 연결이나 시스템의 모바일 애플리케이션을 통해 무작위 코드를 배포할 수 있다. 또한 마그네틱 스트라이프 카드로 승인된 거래에 대한 결제 대금을 수정하고 내부 펌웨어를 사용하거나 서비스 거부 공격(DoS) 또는 원격 코드 실행(RCE) 형태의 공격을 수행한다. 발표자들은 또 전부는 아니지만 이러한 악용 사례의 대부분은 기존의 사기 방지 도구나 사이버보안 도구 또는 기술로 탐지되지 않고 수행될 수 있다고 지적했다. 공격 유형은 일반적으로 공격자의 최종 목표에 따라 달...

2018.08.20

'고의적인 범죄였다' 내부자 정보 유출 사건 7건

내부의 적이 존재할 가능성이 없는 곳은 있을까? 맥아피에 따르면, 전체 데이터 유출 사고들 중 43%가 내부자 소행이다. 인포메이션 시큐리티 포럼(Information Security Forum)은 이 수치를 54%까지 높게 보고 있다. 어느 쪽이든, 내부자의 변절이 큰 문제인 것은 확실하다. 내부자로부터 기업을 보호하는 것은 외부의 적과 싸우는 것과는 또 다르다. 적과 아군을 식별하기 어려울 뿐 아니라, 단순히 악성코드 차단 제품을 업그레이드한다고 끝나는 것도 아니기 때문이다. 내부의 적을 소탕하려면 지식과 지능, 그리고 내부 프로토콜이 있어야 한다. 내부의 적을 물리치는 맨 첫 단계는 그에 대해 잘 아는 것이다. 그런 의미에서 기업을 폭삭 망하게 만든, 악명 높은 내부 변절자의 사례를 알아보자. 미래를 훔치다 앤써니 레반도스키의 이야기는 어쩌면 아직도 진행형인지 모른다. 그렇지만 어쨌든 그의 이야기는 (그리고 무인 자동차의 탄생은) 내부자의 데이터 유출과 깊은 관련이 있음은 틀림없다. 레반도스키는 원래 구글의 무인 자동차 사업부에서 근무하던 직원이었다. 오늘날 이 사업부는 웨이모(Waymo)로 바뀌었다. 그곳에서 그는 당시 신기술이었던 라이더(lydar) 개발에 참여했다. 이 기술은 인공지능 자동차 개발에 핵심적인 기술이었다. 2016년 5월, 레반도스키는 구글을 떠나 오토 모터스(Otto Motors)를 창립했다. 그리고 그 뒤 얼마 지나지 않은 2016년 7월, 우버가 오토 모터스를 인수했다. 이 이야기의 백미는 바로 이 인수 과정에 있다. 구글 측의 주장으로는, 당시 우버의 CEO였던 트레비스 칼라닉은 레반도스키를 이용해 웨이모의 지적 재산을 훔치고, 이를 통해 자체적인 무인 자동차 프로그램을 만들려 했다. 구글에 따르면 레반도스키는 구글을 떠나기 전 무인 자동차 프로젝트의 청사진을 포함한 수천 건의 파일을 다운로드 하였으며 이들을 모두 오토로 유출하여 우버에 팔아넘겼다고 한다. 구글은 이에...

구글 인공지능 퇴사 무인 자동차 지적 재산 내부자 위협 타겟 우버 실행 스팸 CISO CSO 데이터 유출 해킹 이직 IBM 소송 피싱 FBI 웨이모

2018.03.21

내부의 적이 존재할 가능성이 없는 곳은 있을까? 맥아피에 따르면, 전체 데이터 유출 사고들 중 43%가 내부자 소행이다. 인포메이션 시큐리티 포럼(Information Security Forum)은 이 수치를 54%까지 높게 보고 있다. 어느 쪽이든, 내부자의 변절이 큰 문제인 것은 확실하다. 내부자로부터 기업을 보호하는 것은 외부의 적과 싸우는 것과는 또 다르다. 적과 아군을 식별하기 어려울 뿐 아니라, 단순히 악성코드 차단 제품을 업그레이드한다고 끝나는 것도 아니기 때문이다. 내부의 적을 소탕하려면 지식과 지능, 그리고 내부 프로토콜이 있어야 한다. 내부의 적을 물리치는 맨 첫 단계는 그에 대해 잘 아는 것이다. 그런 의미에서 기업을 폭삭 망하게 만든, 악명 높은 내부 변절자의 사례를 알아보자. 미래를 훔치다 앤써니 레반도스키의 이야기는 어쩌면 아직도 진행형인지 모른다. 그렇지만 어쨌든 그의 이야기는 (그리고 무인 자동차의 탄생은) 내부자의 데이터 유출과 깊은 관련이 있음은 틀림없다. 레반도스키는 원래 구글의 무인 자동차 사업부에서 근무하던 직원이었다. 오늘날 이 사업부는 웨이모(Waymo)로 바뀌었다. 그곳에서 그는 당시 신기술이었던 라이더(lydar) 개발에 참여했다. 이 기술은 인공지능 자동차 개발에 핵심적인 기술이었다. 2016년 5월, 레반도스키는 구글을 떠나 오토 모터스(Otto Motors)를 창립했다. 그리고 그 뒤 얼마 지나지 않은 2016년 7월, 우버가 오토 모터스를 인수했다. 이 이야기의 백미는 바로 이 인수 과정에 있다. 구글 측의 주장으로는, 당시 우버의 CEO였던 트레비스 칼라닉은 레반도스키를 이용해 웨이모의 지적 재산을 훔치고, 이를 통해 자체적인 무인 자동차 프로그램을 만들려 했다. 구글에 따르면 레반도스키는 구글을 떠나기 전 무인 자동차 프로젝트의 청사진을 포함한 수천 건의 파일을 다운로드 하였으며 이들을 모두 오토로 유출하여 우버에 팔아넘겼다고 한다. 구글은 이에...

2018.03.21

CMO가 사이버보안을 알아야 하는 이유

데이터 유출로 회사 평판에 치명타를 입을 수 있기 때문에 마케팅 임원은 사이버보안에 대해 더 많이 생각해야 한다. 2018년 2월 호주에서 데이터 유출 의무 신고법이 발효됨에 따라 앞으로 마케터는 두 가지 큰 책임을 지게 된다. 고객 데이터 도난 위험에 처할 수 있다는 것을 알고 관리해야 하는 일도, 고객 정보 유출 상황이 발생하면 브랜드 평판 문제를 해결하는 일도 모두 마케팅 임원의 몫이다. 미국 사이버보안 업체인 포스포인트(Forcepoint)의 CMO 프라빈 아스타나는 마케팅 담당자에게 사이버보안 책임에 관해 이야기해야 한다고 밝혔다. 아스타나는 "CMO가 잠재 고객 데이터와 많은 고객 데이터를 수집하기 때문에 이 데이터를 보호해야 한다"고 말했다. 이어서 "위반이 있을 때 일어날 수 있는 평판 피해에 효과적으로 대응할 책임도 있다"고 덧붙였다. OAIC(Australian Information Commissioner) 사무소는 새 법률을 준수하지 않았으면 100만 호주달러를 초과하는 벌금을 부과할 수 있다. 이렇게 되면, 데이터 침해 사실이 외부에 공개되지 않기만을 바라기는 어려워진다.  또한 미국의 소니픽처스, 에퀴닉스, 타겟 등이 데이터 침해로 발생한 재무적인 손실과 명예훼손이 OAIC가 부과할 수 있는 벌금보다 훨씬 더 많을 수 있다.  아스타나는 "회사가 침해당할 확률이 높아지고 고객은 확신할 수 없게 된다"고 지적했다. 마케팅 담당자는 잠재적인 위반에 대응하고 이를 인지하는 방법을 이해하는 것이 중요하다. 그는 "일단 위반이 발생하면 CMO는 피해 통제에 책임이 있다는 것을 이해하는 데 도움을 줌으로써 사이버보안에 대해 매우 정통한 자세를 취할 필요가 있다”고 조언했다. 아스타나는 오라클과 델 등 기술 회사에서 마케팅을 담당했었다. 그는 사이버보안 측면에서 책임을 인식하지 못한 마케팅 담당자에게 우려를 표했다. ...

Saas 포스포인트 브랜드 가치 타겟 마케터 추락 고객 정보 평판 벌금 사이버보안 CMO 소니 데이터 유출 오라클 CIO 재무적인 손실

2017.12.22

데이터 유출로 회사 평판에 치명타를 입을 수 있기 때문에 마케팅 임원은 사이버보안에 대해 더 많이 생각해야 한다. 2018년 2월 호주에서 데이터 유출 의무 신고법이 발효됨에 따라 앞으로 마케터는 두 가지 큰 책임을 지게 된다. 고객 데이터 도난 위험에 처할 수 있다는 것을 알고 관리해야 하는 일도, 고객 정보 유출 상황이 발생하면 브랜드 평판 문제를 해결하는 일도 모두 마케팅 임원의 몫이다. 미국 사이버보안 업체인 포스포인트(Forcepoint)의 CMO 프라빈 아스타나는 마케팅 담당자에게 사이버보안 책임에 관해 이야기해야 한다고 밝혔다. 아스타나는 "CMO가 잠재 고객 데이터와 많은 고객 데이터를 수집하기 때문에 이 데이터를 보호해야 한다"고 말했다. 이어서 "위반이 있을 때 일어날 수 있는 평판 피해에 효과적으로 대응할 책임도 있다"고 덧붙였다. OAIC(Australian Information Commissioner) 사무소는 새 법률을 준수하지 않았으면 100만 호주달러를 초과하는 벌금을 부과할 수 있다. 이렇게 되면, 데이터 침해 사실이 외부에 공개되지 않기만을 바라기는 어려워진다.  또한 미국의 소니픽처스, 에퀴닉스, 타겟 등이 데이터 침해로 발생한 재무적인 손실과 명예훼손이 OAIC가 부과할 수 있는 벌금보다 훨씬 더 많을 수 있다.  아스타나는 "회사가 침해당할 확률이 높아지고 고객은 확신할 수 없게 된다"고 지적했다. 마케팅 담당자는 잠재적인 위반에 대응하고 이를 인지하는 방법을 이해하는 것이 중요하다. 그는 "일단 위반이 발생하면 CMO는 피해 통제에 책임이 있다는 것을 이해하는 데 도움을 줌으로써 사이버보안에 대해 매우 정통한 자세를 취할 필요가 있다”고 조언했다. 아스타나는 오라클과 델 등 기술 회사에서 마케팅을 담당했었다. 그는 사이버보안 측면에서 책임을 인식하지 못한 마케팅 담당자에게 우려를 표했다. ...

2017.12.22

美 타겟, 월마트 제치고 기업 태양광 에너지 사용 1위 기업으로

미국 대형 유통사인 타겟이 자사의 태양광 에너지 설비로 매년 19만 3,000가구에 전기를 공급할 수 있게 됐다. 사우스캐롤라이나주 그린빌에 있는 타겟 매장. Credit: Target 최근 보고서에 따르면, 미국의 대형 할인매장인 타겟(Target)이 월마트를 누르고 미국 내 태양광 에너지를 사용하는 최고 기업으로 선정됐다. 태양광 에너지 산업 협회(SEIA :Solar Energy Industries Association)의 2016년 태양광 수단 비즈니스 보고서(2016 Solar Means Business Report)는 타겟이 300곳의 매장에 147메가와트의 태양광 에너지 시설을 설치했다고 보고했다. 타겟에서 자산 관리 담당 부사장인 존 레이즌은 SEIA 보도자료에서 “빌딩 효율을 개선하고 환경 영향을 낮추고자 우리가 해낸 변화에 대해 매우 자랑스럽게 생각한다. 매장 500곳에 태양광 패널을 설치하고 2020년까지 공급 센터를 짓는 일은 이러한 변화를 입증해 준다”고 밝혔다. 최근 5년 동안 기업의 태양광 시설 현황을 조사해 온 SEIA에 따르면, 월마트는 지난 4년 동안 1위였고, 올해도 364개의 건물에 145MW의 태양광 에너지 전력 설비를 갖춘 2위다. 올해 부동산 개발회사인 프롤로기스(Prologis)는 107.8MV로 3위에 올랐다. 애플은 93.9MW로 4위를 차지했는데 내년쯤 1위로 올라설 전망이다. 지난해 애플은 미국에서 가장 태양광 패널(PV) 제조사이자 유틸리티 규모의 PV 발전소 공급사 중 하나인 퍼스트솔라(First Solar)와 제휴를 맺고 태양광 발전 시설에 8억 5,000만 달러를 투자하고 있다고 발표했다. 25년 구매 계약으로 애플은 새로운 캘리포니아 플랫 솔라 프로젝트(California Flats Solar Project)로 130MW를 공급받게 된다. 이 프로젝트는 현재 공사 중이며 올해 말 완공될 예정이다.   SEIA 보고서에서 언...

애플 SEIA 태양광 에너지 산업 혐회 태양광 에너지 타겟 이케아 신재생에너지 월마트 친환경 전력 유통 IKEA

2016.10.25

미국 대형 유통사인 타겟이 자사의 태양광 에너지 설비로 매년 19만 3,000가구에 전기를 공급할 수 있게 됐다. 사우스캐롤라이나주 그린빌에 있는 타겟 매장. Credit: Target 최근 보고서에 따르면, 미국의 대형 할인매장인 타겟(Target)이 월마트를 누르고 미국 내 태양광 에너지를 사용하는 최고 기업으로 선정됐다. 태양광 에너지 산업 협회(SEIA :Solar Energy Industries Association)의 2016년 태양광 수단 비즈니스 보고서(2016 Solar Means Business Report)는 타겟이 300곳의 매장에 147메가와트의 태양광 에너지 시설을 설치했다고 보고했다. 타겟에서 자산 관리 담당 부사장인 존 레이즌은 SEIA 보도자료에서 “빌딩 효율을 개선하고 환경 영향을 낮추고자 우리가 해낸 변화에 대해 매우 자랑스럽게 생각한다. 매장 500곳에 태양광 패널을 설치하고 2020년까지 공급 센터를 짓는 일은 이러한 변화를 입증해 준다”고 밝혔다. 최근 5년 동안 기업의 태양광 시설 현황을 조사해 온 SEIA에 따르면, 월마트는 지난 4년 동안 1위였고, 올해도 364개의 건물에 145MW의 태양광 에너지 전력 설비를 갖춘 2위다. 올해 부동산 개발회사인 프롤로기스(Prologis)는 107.8MV로 3위에 올랐다. 애플은 93.9MW로 4위를 차지했는데 내년쯤 1위로 올라설 전망이다. 지난해 애플은 미국에서 가장 태양광 패널(PV) 제조사이자 유틸리티 규모의 PV 발전소 공급사 중 하나인 퍼스트솔라(First Solar)와 제휴를 맺고 태양광 발전 시설에 8억 5,000만 달러를 투자하고 있다고 발표했다. 25년 구매 계약으로 애플은 새로운 캘리포니아 플랫 솔라 프로젝트(California Flats Solar Project)로 130MW를 공급받게 된다. 이 프로젝트는 현재 공사 중이며 올해 말 완공될 예정이다.   SEIA 보고서에서 언...

2016.10.25

타겟의 CDO는 왜 4개월만에 회사를 떠났나

지난 5월 제이슨 골드버거가 타겟(Target)의 첫 CDO(Chief Digital Officer)로 임명됐을 때 업계에서는 이 유통업체가 전자상거래와 모바일 결제, 기타 온라인 사업에 더 집중할 것임을 분명히 했다고 분석했다. 그러나 불과 4개월 후 골드버거가 회사를 떠나면서 오프라인 기업을 디지털화하는 것이 얼마나 어려운가에 대한 논란이 불붙고 있다. 타겟의 CEO 브라이언 코넬은 "명확한 책무를 제공하고 의사 결정의 속도를 높이기 위해 우리는 제이슨의 책무를 2명의 현 관리팀 구성원에게 이전할 것이다”라고 밝혔다. 이에 따라 골드버거의 업무 중 웹사이트와 디지털 전략은 CIO 마이크 맥나마라에게, 가격 정책 및 홍보 업무는 CMO(Chief Merchandizing Officer) 마이크 트리튼에게 맡겼다. '명확한 책무'와 '의사 결정 가속화' 같은 표현은 임원들 사이의 갈등이 있었음을 암시한다. 동시에 아마존이 지배하는 전자상거래 업계에서 디지털 존재감을 강화하려는 소매기업이 겪는 현실이기도 하다. 월마트나 다른 오프라인 소매기업과 마찬가지로 타겟은 총 매출의 5%에 불과한 온라인 매출을 높이기 위해 노력하고 있다. 오프라인 기업의 디지털화에 따르는 위험 타겟과 기타 오프라인 기업은 파괴적인 시장 변화에 대응하기 위해 더 민첩해져야 한다고 생각하지만 조직만큼이나 운영과 관련된 힘겨운 싸움에 직면하고 있다. 가트너의 애널리스트 앨런 던컨은 "오프라인 기업은 구조화되고 계층적이어서 불안정하다. 프로세스 또는 직원이 하나만 바뀌어도 미묘한 균형이 깨질 수 있다"라고 말했다. 던컨에 따르면, 많은 전통적인 기업이 이전 시대에 구축된 공급망 프로세스 모델에 기대고 있다. 이들은 디지털 방식으로 프로세스와 IT 시스템을 재구성하려 노력하고 있지만, 디지털을 중심으로 교차 기능적 협업을 촉진하는 등 기업 문화를 재구성하기 위해 필요한 일은 거의 하지 않는 것이 문제다. ...

CIO CMO CTO CDO 타겟

2016.10.12

지난 5월 제이슨 골드버거가 타겟(Target)의 첫 CDO(Chief Digital Officer)로 임명됐을 때 업계에서는 이 유통업체가 전자상거래와 모바일 결제, 기타 온라인 사업에 더 집중할 것임을 분명히 했다고 분석했다. 그러나 불과 4개월 후 골드버거가 회사를 떠나면서 오프라인 기업을 디지털화하는 것이 얼마나 어려운가에 대한 논란이 불붙고 있다. 타겟의 CEO 브라이언 코넬은 "명확한 책무를 제공하고 의사 결정의 속도를 높이기 위해 우리는 제이슨의 책무를 2명의 현 관리팀 구성원에게 이전할 것이다”라고 밝혔다. 이에 따라 골드버거의 업무 중 웹사이트와 디지털 전략은 CIO 마이크 맥나마라에게, 가격 정책 및 홍보 업무는 CMO(Chief Merchandizing Officer) 마이크 트리튼에게 맡겼다. '명확한 책무'와 '의사 결정 가속화' 같은 표현은 임원들 사이의 갈등이 있었음을 암시한다. 동시에 아마존이 지배하는 전자상거래 업계에서 디지털 존재감을 강화하려는 소매기업이 겪는 현실이기도 하다. 월마트나 다른 오프라인 소매기업과 마찬가지로 타겟은 총 매출의 5%에 불과한 온라인 매출을 높이기 위해 노력하고 있다. 오프라인 기업의 디지털화에 따르는 위험 타겟과 기타 오프라인 기업은 파괴적인 시장 변화에 대응하기 위해 더 민첩해져야 한다고 생각하지만 조직만큼이나 운영과 관련된 힘겨운 싸움에 직면하고 있다. 가트너의 애널리스트 앨런 던컨은 "오프라인 기업은 구조화되고 계층적이어서 불안정하다. 프로세스 또는 직원이 하나만 바뀌어도 미묘한 균형이 깨질 수 있다"라고 말했다. 던컨에 따르면, 많은 전통적인 기업이 이전 시대에 구축된 공급망 프로세스 모델에 기대고 있다. 이들은 디지털 방식으로 프로세스와 IT 시스템을 재구성하려 노력하고 있지만, 디지털을 중심으로 교차 기능적 협업을 촉진하는 등 기업 문화를 재구성하기 위해 필요한 일은 거의 하지 않는 것이 문제다. ...

2016.10.12

타겟의 'IoT 스마트홈 시연장' 이모저모

지난 주, 소매 분야 거대 기업 타겟(Target)은 샌프란시스코 다운타운 모스콘 센터(Moscone Center) 바로 옆에 '오픈 홈(Open Home)'이라는 콘셉트 매장을 개장했다. 타겟의 한 임원은 이 매장에 대해 "소매점, 학습을 위한 실험실, 미팅 공간"이라고 설명했다. 또 매주 목요일 저녁에는 스마트 홈을 주제로 한 기술적인 토론, 회의, 제품 시연, 출시 등 이벤트를 계획하고 있다고 덧붙였다. 한편 콘셉트 매장이 들어선 빌딩은 과거 소니와 마이크로소프트가 콘셉트 매장을 개장했다 폐장한 빌딩이기도 하다. ciokr@idg.co.kr

매장 타깃 IoT 타겟 시범

2015.07.16

지난 주, 소매 분야 거대 기업 타겟(Target)은 샌프란시스코 다운타운 모스콘 센터(Moscone Center) 바로 옆에 '오픈 홈(Open Home)'이라는 콘셉트 매장을 개장했다. 타겟의 한 임원은 이 매장에 대해 "소매점, 학습을 위한 실험실, 미팅 공간"이라고 설명했다. 또 매주 목요일 저녁에는 스마트 홈을 주제로 한 기술적인 토론, 회의, 제품 시연, 출시 등 이벤트를 계획하고 있다고 덧붙였다. 한편 콘셉트 매장이 들어선 빌딩은 과거 소니와 마이크로소프트가 콘셉트 매장을 개장했다 폐장한 빌딩이기도 하다. ciokr@idg.co.kr

2015.07.16

美 신용카드 단말기, 1990년대부터 동일한 암호 사용

많은 사용자들이 신용카드 단말기 암호가 독특하다고 생각하며 바꾸지 않은 것으로 파악됐다. 수 천만 건의 신용카드 번호 도난을 초래했던 정보 유출로 유통사들이 분투하는 가운데, 이번 주 미국 샌프란시스코에서 열린 RSA 컨퍼런스에서 신용카드 결제 단말기에 20년 넘게 동일한 암호가 사용되고 있다는 주장이 제기됐다. 이 주장에 따르면, 동일한 암호는 ‘166816’이다. 구글 검색 결과 이는 베리폰(Verifone)이 판매한 신용카드 단말기의 몇몇 모델에 기본으로 설정된 암호로 밝혀졌다. 실리콘밸리에 본사를 둔 이 업체는 2,700만 대의 결제 기기와 연결돼 있고 150개국에서 판매했다. 이 조사를 맡았던 연구원인 데이비드 바이언과 찰스 헨더슨은 자신들이 조상한 단말기 10개 중 9개에서 이 암호가 여전히 쓰이는 있으며 고객들은 그 암호가 자사 기기에만 설정된 고유한 것이라고 생각하기 때문인 것 같다고 말했다. 목요일에 발표된 보도자료에서 베리폰은 현장에 있는 모든 기기들이 동일한 기본 암호를 사용해 왔음을 인정했으며 그 암호는 Z66831이라고 말했다. 수 년 동안 이 암호는 프로그래밍 단말기용 지시와 함께 인터넷에서 찾을 수 있는 것으로 알려졌다고 베리폰은 전했다. "중요한 사실은 이 암호를 알고 있더라도 민감한 결제 정보나 PII(개인 식별 정보)를 알 수는 없다는 것이다"라고 베리폰은 말했다. "암호가 누군가에게 무엇을 할 수 있도록 허용하는 것은 단말기에서 일부 설정을 구성하는 것이다. 실행 가능한 모든 것은 서명된 파일이 필요하며 단순히 암호만 안다고 해서 악성코드를 입력할 수는 없다"고 이 회사는 주장했다. 베리폰은 자신들이 고객들에게 암호를 변경하라고 강력하게 권고했고 신제품의 경우 설치 후 자동으로 만료돼 사용자가 암호를 변경하도록 개발됐다고 말했다. RSA 컨퍼런스는 해마다 열리는 보안 업계의 중요한 연례 행사며 두 연구원의 의견은 더리지스터(The R...

구글 변경 결제 단말기 타겟 홈데포 정보 유출 POS RSA 신용카드 비밀번호 암호 조사 유통 베리폰

2015.04.24

많은 사용자들이 신용카드 단말기 암호가 독특하다고 생각하며 바꾸지 않은 것으로 파악됐다. 수 천만 건의 신용카드 번호 도난을 초래했던 정보 유출로 유통사들이 분투하는 가운데, 이번 주 미국 샌프란시스코에서 열린 RSA 컨퍼런스에서 신용카드 결제 단말기에 20년 넘게 동일한 암호가 사용되고 있다는 주장이 제기됐다. 이 주장에 따르면, 동일한 암호는 ‘166816’이다. 구글 검색 결과 이는 베리폰(Verifone)이 판매한 신용카드 단말기의 몇몇 모델에 기본으로 설정된 암호로 밝혀졌다. 실리콘밸리에 본사를 둔 이 업체는 2,700만 대의 결제 기기와 연결돼 있고 150개국에서 판매했다. 이 조사를 맡았던 연구원인 데이비드 바이언과 찰스 헨더슨은 자신들이 조상한 단말기 10개 중 9개에서 이 암호가 여전히 쓰이는 있으며 고객들은 그 암호가 자사 기기에만 설정된 고유한 것이라고 생각하기 때문인 것 같다고 말했다. 목요일에 발표된 보도자료에서 베리폰은 현장에 있는 모든 기기들이 동일한 기본 암호를 사용해 왔음을 인정했으며 그 암호는 Z66831이라고 말했다. 수 년 동안 이 암호는 프로그래밍 단말기용 지시와 함께 인터넷에서 찾을 수 있는 것으로 알려졌다고 베리폰은 전했다. "중요한 사실은 이 암호를 알고 있더라도 민감한 결제 정보나 PII(개인 식별 정보)를 알 수는 없다는 것이다"라고 베리폰은 말했다. "암호가 누군가에게 무엇을 할 수 있도록 허용하는 것은 단말기에서 일부 설정을 구성하는 것이다. 실행 가능한 모든 것은 서명된 파일이 필요하며 단순히 암호만 안다고 해서 악성코드를 입력할 수는 없다"고 이 회사는 주장했다. 베리폰은 자신들이 고객들에게 암호를 변경하라고 강력하게 권고했고 신제품의 경우 설치 후 자동으로 만료돼 사용자가 암호를 변경하도록 개발됐다고 말했다. RSA 컨퍼런스는 해마다 열리는 보안 업계의 중요한 연례 행사며 두 연구원의 의견은 더리지스터(The R...

2015.04.24

기고 | "다행이다" 올해 개선된 5가지 보안

우리가 보안에 대해 어떤 점을 감사하게 생각하는 경우는 흔치 않다. 그리고 각각의 보안 전문가들이 내년에 발생할 수 있는 보안 사고들을 예견하는 현 시점에서 필자는 반대로 올 한해 보안에서 어떤 개선점들이 있었는지에 대해 정리해 보고 싶었다. 올해 많은 보안 개선점들을 발견해냈는데, 이 자리를 빌어 최고의 보안 개선 사항 5가지를 꼽아보고자 한다. 윈도우 XP 지원 종료 10년도 더 된 오래된 운영체제를 사용한다는 것은 보안 면에서 불안한 일이다. 윈도우 XP는 높은 인기를 끌었고, 많은 사람들은 여러 보안 문제들에도 XP를 떠나 보내고 싶어하지 않았다. 마이크로소프트는 올 4월 XP의 지원을 공식 중단했다. (느리지만 분명하게) 마침내 이 구식 운영체제에서 떠날 수 있게 됐다. 이 기사를 쓰는 시점에서 XP의 시장 점유율은 드디어 20% 이하로 내려갔고, 웹 활용에서는 단 11%만이 XP 운영체제를 사용하고 있다. 필자는 연말 쇼핑철이 다가옴에 따라 XP의 시장 점유율은 더욱 떨어질 것으로 예측한다. 개선으로 이어진 대형 버그들 일반적으로중대한 취약점 발견은 좋은 소식이 아니다. 하지만 만약 몇 년이나 묵은 버그를 발견해내고 이를 고치게 만들었다면 전체적으로 훌륭한 일이라고 볼 수 있다. 우리는 올해 하트블리드(Heartbleed), 셸쇽(Shellshock), 푸들블리드(Poodlebleed)라는 3가지 특별한 버그들을 찾아냈다. 하트블리드 버그는 가장 최근에 알려진 것으로 3년밖에 되지 않은 것이다. 하지만 셸쇽은 1989년 버전부터 포함되어 있던 것이다. 푸들블리드는 여전히 많이 사용되는 15년된 소프트웨어에서 발견되었다. 이들 취약점들은 상당 기간 동안 존재해왔고 우리는 이 버그들이 알려지기 전에 공격에 얼마나 많이 사용되었는지 알지 못한다. 하지만 이들 사건들이 널리 알려지고 이에 연관된 보도가 이어짐에 따라 수많은 사람들이 심각하게 오래되고 취약한 소프트웨어들을 활용하거나 지원하는 것을 중단했다. EMV 채택 가속 지난...

CSO 마이크로소프트 CISO 윈도우 XP 신용카드 보안 사고 지원 종료 하트블리드 타겟

2014.11.24

우리가 보안에 대해 어떤 점을 감사하게 생각하는 경우는 흔치 않다. 그리고 각각의 보안 전문가들이 내년에 발생할 수 있는 보안 사고들을 예견하는 현 시점에서 필자는 반대로 올 한해 보안에서 어떤 개선점들이 있었는지에 대해 정리해 보고 싶었다. 올해 많은 보안 개선점들을 발견해냈는데, 이 자리를 빌어 최고의 보안 개선 사항 5가지를 꼽아보고자 한다. 윈도우 XP 지원 종료 10년도 더 된 오래된 운영체제를 사용한다는 것은 보안 면에서 불안한 일이다. 윈도우 XP는 높은 인기를 끌었고, 많은 사람들은 여러 보안 문제들에도 XP를 떠나 보내고 싶어하지 않았다. 마이크로소프트는 올 4월 XP의 지원을 공식 중단했다. (느리지만 분명하게) 마침내 이 구식 운영체제에서 떠날 수 있게 됐다. 이 기사를 쓰는 시점에서 XP의 시장 점유율은 드디어 20% 이하로 내려갔고, 웹 활용에서는 단 11%만이 XP 운영체제를 사용하고 있다. 필자는 연말 쇼핑철이 다가옴에 따라 XP의 시장 점유율은 더욱 떨어질 것으로 예측한다. 개선으로 이어진 대형 버그들 일반적으로중대한 취약점 발견은 좋은 소식이 아니다. 하지만 만약 몇 년이나 묵은 버그를 발견해내고 이를 고치게 만들었다면 전체적으로 훌륭한 일이라고 볼 수 있다. 우리는 올해 하트블리드(Heartbleed), 셸쇽(Shellshock), 푸들블리드(Poodlebleed)라는 3가지 특별한 버그들을 찾아냈다. 하트블리드 버그는 가장 최근에 알려진 것으로 3년밖에 되지 않은 것이다. 하지만 셸쇽은 1989년 버전부터 포함되어 있던 것이다. 푸들블리드는 여전히 많이 사용되는 15년된 소프트웨어에서 발견되었다. 이들 취약점들은 상당 기간 동안 존재해왔고 우리는 이 버그들이 알려지기 전에 공격에 얼마나 많이 사용되었는지 알지 못한다. 하지만 이들 사건들이 널리 알려지고 이에 연관된 보도가 이어짐에 따라 수많은 사람들이 심각하게 오래되고 취약한 소프트웨어들을 활용하거나 지원하는 것을 중단했다. EMV 채택 가속 지난...

2014.11.24

타깃 사건이 중소기업의 데이터 보안에 미친 영향

지난해 타깃(Target)에 막대한 피해를 입혔던 공격 방식으로부터 스스로가 안전하다고 생각하는 중소기업들이 많을지 모른다. 그러나 중소기업을 대상으로 한 이런 공격 방식은 해커에게 더 큰 보상으로 이어질 수 있기 때문에 주의를 기울여야 한다. 타깃에 대한 공격이 발생한 후, 니만 마쿠스(Neiman Marcus), 이베이(eBay), PF창스(PF Chang’s) 등과 같은 다른 소매업체들도 영향을 받았다. 하지만 타깃 공격은 4,000만 개의 카드번호, 7,000만 명의 고객이름, 주소, 이메일, 전화번호 정보가 유출된 아주 거대한 보안사건이었다. 정보 유출의 책임을 지고 타깃 CEO 그렉 스테인하펠과 CIO 베스 제이콥이 사임했고, 피해액은 계속해서 불어났다. 여러 금융업체의 카드가 영향을 받았는데, 디스커버 파이낸셜 서비스(Discover Financial Services)의 연구에 의하면, 이 가운데 10%는 대형은행, 14%는 신용협동조합, 9%는 지역은행이었다. 전체적으로 84%의 금융업체가 영향을 받았는데, 전형적인 데이터 유출로 인한 피해 수는 겨우 29%에 그친다. 더욱 직접적으로 피트니스처럼 할부나 매월 결제를 위해 고객 카드번호를 파일상에 보유하는 소기업들은 취소된 카드로부터 더 이상 결제를 진행할 수가 없었다. 프라이버시 보호와 데이터 보호에 중점을 둔 조사업체인 포네몬 인스티튜트(Ponemon Institute)의 의장이자 창업자인 래리 포네몬은 "소기업들은 자신들이 해커의 영향을 받지 않는다고 생각하기 쉽다"고 말했다. 해커들의 공격의 초점은 대기업에 맞춰져 있다. 수많은 중소기업들은 그저 작은 회사에 불과한 자신들은 공격의 대상이 아니라고 생각한다. '대체 누가 우리 같은 회사를 해킹하겠어'라고 생각하기 마련이다. 사실 아주 많은 이들이 중소기업들을 대상으로 공격하는 게 현실이다. 중소기업들은 이들과 함께 협력하는 대기업과 동일...

해커 정보 유출 타깃 타겟 중소기업 해킹 칩+PIN

2014.07.17

지난해 타깃(Target)에 막대한 피해를 입혔던 공격 방식으로부터 스스로가 안전하다고 생각하는 중소기업들이 많을지 모른다. 그러나 중소기업을 대상으로 한 이런 공격 방식은 해커에게 더 큰 보상으로 이어질 수 있기 때문에 주의를 기울여야 한다. 타깃에 대한 공격이 발생한 후, 니만 마쿠스(Neiman Marcus), 이베이(eBay), PF창스(PF Chang’s) 등과 같은 다른 소매업체들도 영향을 받았다. 하지만 타깃 공격은 4,000만 개의 카드번호, 7,000만 명의 고객이름, 주소, 이메일, 전화번호 정보가 유출된 아주 거대한 보안사건이었다. 정보 유출의 책임을 지고 타깃 CEO 그렉 스테인하펠과 CIO 베스 제이콥이 사임했고, 피해액은 계속해서 불어났다. 여러 금융업체의 카드가 영향을 받았는데, 디스커버 파이낸셜 서비스(Discover Financial Services)의 연구에 의하면, 이 가운데 10%는 대형은행, 14%는 신용협동조합, 9%는 지역은행이었다. 전체적으로 84%의 금융업체가 영향을 받았는데, 전형적인 데이터 유출로 인한 피해 수는 겨우 29%에 그친다. 더욱 직접적으로 피트니스처럼 할부나 매월 결제를 위해 고객 카드번호를 파일상에 보유하는 소기업들은 취소된 카드로부터 더 이상 결제를 진행할 수가 없었다. 프라이버시 보호와 데이터 보호에 중점을 둔 조사업체인 포네몬 인스티튜트(Ponemon Institute)의 의장이자 창업자인 래리 포네몬은 "소기업들은 자신들이 해커의 영향을 받지 않는다고 생각하기 쉽다"고 말했다. 해커들의 공격의 초점은 대기업에 맞춰져 있다. 수많은 중소기업들은 그저 작은 회사에 불과한 자신들은 공격의 대상이 아니라고 생각한다. '대체 누가 우리 같은 회사를 해킹하겠어'라고 생각하기 마련이다. 사실 아주 많은 이들이 중소기업들을 대상으로 공격하는 게 현실이다. 중소기업들은 이들과 함께 협력하는 대기업과 동일...

2014.07.17

데이터 누출 사건이 시사하는 맬웨어의 미래

몇 주 전 이베이(eBay)가 대형 데이터 침해 사고로 곤경에 처했다. 이에 대해 대다수는 비밀번호 유출과 사이트의 보안 취약점에 주목했다. 이는 이치에 맞는 우려이기는 하지만 보안 사슬에서 가장 취약한 다른 연결 고리에도 신경 써야 한다. 다름 아닌 '사람'이다. 실제, 이베이의 침해 사고를 촉발한 원인은 정교한 취약점 공격이 아닌 '구식 사기 행위’였다. 많게는 100명의 이베이 직원들이 중요 정보를 공개하도록 속이는 사기의 희생자가 된 것으로 추정된다. 범죄자들이 믿을 수 있는 개인이나 단체로 위장하는 방식의 소셜 엔지니어링 사기 기법이었다. 그리고 이베이 직원들이 공개한 정보는 로그인 정보였다. 사실 놀랍지는 않다. 필자는 최근 다수의 보안 전문가들에게 주의해야 할 새로운 혁신적인 공격을 평가해 달라고 요청했다. 그리고 이들은 애플리케이션 패칭이나 업그레이드, 보안 소프트웨어로 해결할 수 없는 문제가 가장 우려되는 요소라고 입을 모았다. 트립와이어(Tripwire)의 보안 조사 담당인 켄 웨스틴은 "가장 공략하기 쉬운 공격 대상은 여전히 사람이다. 사람을 대상으로 한 공격이 효과를 거두는 한, 공격자들은 계속 사람을 전적으로, 또는 정교한 통합 공격의 일부로 악용할 것이다"고 말했다. 현재 세심하게 수집한 개인 데이터를 이용해 신뢰를 얻는 공격 작전들이 늘고 있는 추세다. '고객님께'로 시작하고, 통상적인 정보만 담겨있는 피싱 공격 메시지는 무시할 확률이 높다. 그러나 범죄자들이 수신자를 이름으로 호칭하고, 집 주소와 전화번호, 생년월일 같은 개인 정보를 포함시키며, 거래를 하는 회사에서 발송한 메시지로 포장을 한다면 주의 깊은 사람이라도 여기에 응답을 할 확률이 높아진다. 공격자들이 개인 정보를 더 많이 수집 할수록 스피어피싱 스캠 공격을 추진하기가 쉬어진다. 타깃(Target)과 이베이 같은 회사가 해커들의 매력적인 공격 대상인 이유가 여기에...

데이터 이베이 피싱 누출 침해 스캠 타겟

2014.06.11

몇 주 전 이베이(eBay)가 대형 데이터 침해 사고로 곤경에 처했다. 이에 대해 대다수는 비밀번호 유출과 사이트의 보안 취약점에 주목했다. 이는 이치에 맞는 우려이기는 하지만 보안 사슬에서 가장 취약한 다른 연결 고리에도 신경 써야 한다. 다름 아닌 '사람'이다. 실제, 이베이의 침해 사고를 촉발한 원인은 정교한 취약점 공격이 아닌 '구식 사기 행위’였다. 많게는 100명의 이베이 직원들이 중요 정보를 공개하도록 속이는 사기의 희생자가 된 것으로 추정된다. 범죄자들이 믿을 수 있는 개인이나 단체로 위장하는 방식의 소셜 엔지니어링 사기 기법이었다. 그리고 이베이 직원들이 공개한 정보는 로그인 정보였다. 사실 놀랍지는 않다. 필자는 최근 다수의 보안 전문가들에게 주의해야 할 새로운 혁신적인 공격을 평가해 달라고 요청했다. 그리고 이들은 애플리케이션 패칭이나 업그레이드, 보안 소프트웨어로 해결할 수 없는 문제가 가장 우려되는 요소라고 입을 모았다. 트립와이어(Tripwire)의 보안 조사 담당인 켄 웨스틴은 "가장 공략하기 쉬운 공격 대상은 여전히 사람이다. 사람을 대상으로 한 공격이 효과를 거두는 한, 공격자들은 계속 사람을 전적으로, 또는 정교한 통합 공격의 일부로 악용할 것이다"고 말했다. 현재 세심하게 수집한 개인 데이터를 이용해 신뢰를 얻는 공격 작전들이 늘고 있는 추세다. '고객님께'로 시작하고, 통상적인 정보만 담겨있는 피싱 공격 메시지는 무시할 확률이 높다. 그러나 범죄자들이 수신자를 이름으로 호칭하고, 집 주소와 전화번호, 생년월일 같은 개인 정보를 포함시키며, 거래를 하는 회사에서 발송한 메시지로 포장을 한다면 주의 깊은 사람이라도 여기에 응답을 할 확률이 높아진다. 공격자들이 개인 정보를 더 많이 수집 할수록 스피어피싱 스캠 공격을 추진하기가 쉬어진다. 타깃(Target)과 이베이 같은 회사가 해커들의 매력적인 공격 대상인 이유가 여기에...

2014.06.11

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31