Offcanvas

침해

회사 기밀 '줄줄' 샌다··· 깃허브 저장소에 숨겨진 데이터 유출 위험

공격자는 개발자가 실수로 남긴 ‘기밀’을 찾기 위해 깃허브와 같은 퍼블릭 코드 리포지토리를 끊임없이 검색한다. 아무리 사소한 실수라도 충분히 악용될 수 있다.  팬데믹 기간 중 어느 지루했던 날, 보안 연구원 크레이그 헤이스는 SSH 사용자 이름과 암호를 깃허브 저장소에 일부러 유출하고, 공격자가 이를 찾을 수 있는지 확인하는 실험을 했다. 그는 누군가가 이를 알아차리기까지 며칠, 어쩌면 일주일 정도 걸릴 것이라고 생각했다.  하지만 결과는 예상과는 달랐다. 첫 번째 무단 로그인은 34분 이내에 발생했다. 헤이스는 <CSO>와의 인터뷰에서 “너무나 빨리 침해됐다는 사실에 놀랐다”라고 말했다.    그리고 24시간 동안 6개의 서로 다른 IP 주소가 허니팟(비정상적 접근을 탐지하는 시스템)에 총 9번 연결됐다. 한 공격자는 봇넷 클라이언트를 설치하려고 했고, 또 다른 공격자는 서버를 사용해 DoS 공격을 하려 했다. 이 밖에 서버에서 민감한 정보를 훔치려고 하거나 주변을 둘러보고 있었던 공격자도 있었다고 그는 덧붙였다.  헤이스의 실험 결과에 따르면 공격자는 개발자가 남긴 민감한 데이터를 찾기 위해 깃허브 및 기타 퍼블릭 코드 저장소를 끊임없이 스캔하고 있는 것으로 확인됐다.  기업들이 온프레미스 소프트웨어에서 클라우드로 전환하고, 많은 개발자가 재택근무를 하게 되면서 사용자 이름, 암호, 구글 키, 개발 도구, 프라이빗 키를 포함한 기밀 데이터의 양은 계속 증가하고 있다.  프랑스의 보안 스타트업 깃가디언(GitGuardian)의 공동 설립자 에릭 푸리에는 올해만 해도 전년 대비 유출된 기밀 데이터가 최소 20% 이상 증가할 것이라고 밝혔다(참고로 깃가디언은 공개 저장소를 스캔하여 공격자가 악용할 수 있는 데이터를 식별하고 있다). 해커가 깃허브에서 기밀을 찾는 법  해커는 깃허브가 민감한 정보를 찾기에 좋은 장소라는 것을 알고 있다. 그리고 UN(United Na...

깃허브 퍼블릭 코드 저장소 보안 공격자 침해 기밀 유출 데이터 유출

2021.10.07

공격자는 개발자가 실수로 남긴 ‘기밀’을 찾기 위해 깃허브와 같은 퍼블릭 코드 리포지토리를 끊임없이 검색한다. 아무리 사소한 실수라도 충분히 악용될 수 있다.  팬데믹 기간 중 어느 지루했던 날, 보안 연구원 크레이그 헤이스는 SSH 사용자 이름과 암호를 깃허브 저장소에 일부러 유출하고, 공격자가 이를 찾을 수 있는지 확인하는 실험을 했다. 그는 누군가가 이를 알아차리기까지 며칠, 어쩌면 일주일 정도 걸릴 것이라고 생각했다.  하지만 결과는 예상과는 달랐다. 첫 번째 무단 로그인은 34분 이내에 발생했다. 헤이스는 <CSO>와의 인터뷰에서 “너무나 빨리 침해됐다는 사실에 놀랐다”라고 말했다.    그리고 24시간 동안 6개의 서로 다른 IP 주소가 허니팟(비정상적 접근을 탐지하는 시스템)에 총 9번 연결됐다. 한 공격자는 봇넷 클라이언트를 설치하려고 했고, 또 다른 공격자는 서버를 사용해 DoS 공격을 하려 했다. 이 밖에 서버에서 민감한 정보를 훔치려고 하거나 주변을 둘러보고 있었던 공격자도 있었다고 그는 덧붙였다.  헤이스의 실험 결과에 따르면 공격자는 개발자가 남긴 민감한 데이터를 찾기 위해 깃허브 및 기타 퍼블릭 코드 저장소를 끊임없이 스캔하고 있는 것으로 확인됐다.  기업들이 온프레미스 소프트웨어에서 클라우드로 전환하고, 많은 개발자가 재택근무를 하게 되면서 사용자 이름, 암호, 구글 키, 개발 도구, 프라이빗 키를 포함한 기밀 데이터의 양은 계속 증가하고 있다.  프랑스의 보안 스타트업 깃가디언(GitGuardian)의 공동 설립자 에릭 푸리에는 올해만 해도 전년 대비 유출된 기밀 데이터가 최소 20% 이상 증가할 것이라고 밝혔다(참고로 깃가디언은 공개 저장소를 스캔하여 공격자가 악용할 수 있는 데이터를 식별하고 있다). 해커가 깃허브에서 기밀을 찾는 법  해커는 깃허브가 민감한 정보를 찾기에 좋은 장소라는 것을 알고 있다. 그리고 UN(United Na...

2021.10.07

블로그 | 클라우드 보안 문제 대부분이 시작되는 곳

포네몬(Ponemon)과 IBM의 공동 조사에 따르면, 잘못 구성된 클라우드 서버가 데이터 침해 사고의 19%를 유발했다. 데이터 사고 한 건마다 평균 50만 달러의 비용이 든다는 점에서 값비싼 문제이다. 더구나 이 비용에는 회사를 무너뜨릴 수도 있는 평판 손상은 포함되지도 않았다.    요즘은 코로나19 팬데믹 때문에 많은 사람이 집에서 일을 하고, 그래서 클라우드 컴퓨팅을 더 많이 이용한다. 덕분에 클라우드의 부가적인 이점도 얻을 수 있는데, 클라우드는 온프레미스 플랫폼보다 좀 더 현대적인 보안 도구를 제공한다는 것이다. 이 때문에 글로벌 2000대 기업은 발 빠르게 퍼블릭 클라우드를 도입하고 있다. 이런 급격한 마이그레이션은 바로잡아야 하는 실수를 낳았다. 전환의 속도가 신중함보다 더 중요했기 때문이다.  하지만 전혀 새로운 것이거나 팬데믹 이전에는 드물었던 문제는 아니다.  클라우드로의 급격한 전환이 야기하는 문제의 근본 원인은 무엇일까? 잘못된 구성의 수를 줄일 방법은 없는가? 필자는 좀 더 구체적인 흔적이나 공통된 실수를 찾아내고 싶었지만, 실제로는 인간이 오류투성이에 종잡을 수 없다는 것이 근본 원인이다. 발생하는 실수를 줄일 수는 있겠지만, 완전히 없앨 수는 없다.  제로 트러스트 개념이 해답이 될 수 있다. 제로 트러스트의 근간은 말 그대로 아무도 아무것도 믿지 않는 것이다. 모든 사람, 모든 것은 검증해야 하며, 종종 잘못 구성되는 클라우드 서비스도 마찬가지다. 모든 것이 지속적으로 재검증을 받기 때문에 데이터 사고의 위험은 낮아지고 보안은 더욱 더 엄격해진다. 사람이 클라우드 자원과 서비스를 제대로 구성한다면, 약 20%의 잘못된 설정으로 인한 보안 위험을 제거할 수 있다. 신뢰의 개념을 사람에 적용한다면, 절대로 신뢰해서는 안되는 존재로 정의해야 한다.  지금의 기술력은 모든 보안을 자동화할 수 있는 수준에 이르렀다. 환경 구성을 점검하고 자주 재점검하고 ID와 암호화, 키...

제로트러스트 실수 침해 마이그레이션 클라우드 보안

2021.06.01

포네몬(Ponemon)과 IBM의 공동 조사에 따르면, 잘못 구성된 클라우드 서버가 데이터 침해 사고의 19%를 유발했다. 데이터 사고 한 건마다 평균 50만 달러의 비용이 든다는 점에서 값비싼 문제이다. 더구나 이 비용에는 회사를 무너뜨릴 수도 있는 평판 손상은 포함되지도 않았다.    요즘은 코로나19 팬데믹 때문에 많은 사람이 집에서 일을 하고, 그래서 클라우드 컴퓨팅을 더 많이 이용한다. 덕분에 클라우드의 부가적인 이점도 얻을 수 있는데, 클라우드는 온프레미스 플랫폼보다 좀 더 현대적인 보안 도구를 제공한다는 것이다. 이 때문에 글로벌 2000대 기업은 발 빠르게 퍼블릭 클라우드를 도입하고 있다. 이런 급격한 마이그레이션은 바로잡아야 하는 실수를 낳았다. 전환의 속도가 신중함보다 더 중요했기 때문이다.  하지만 전혀 새로운 것이거나 팬데믹 이전에는 드물었던 문제는 아니다.  클라우드로의 급격한 전환이 야기하는 문제의 근본 원인은 무엇일까? 잘못된 구성의 수를 줄일 방법은 없는가? 필자는 좀 더 구체적인 흔적이나 공통된 실수를 찾아내고 싶었지만, 실제로는 인간이 오류투성이에 종잡을 수 없다는 것이 근본 원인이다. 발생하는 실수를 줄일 수는 있겠지만, 완전히 없앨 수는 없다.  제로 트러스트 개념이 해답이 될 수 있다. 제로 트러스트의 근간은 말 그대로 아무도 아무것도 믿지 않는 것이다. 모든 사람, 모든 것은 검증해야 하며, 종종 잘못 구성되는 클라우드 서비스도 마찬가지다. 모든 것이 지속적으로 재검증을 받기 때문에 데이터 사고의 위험은 낮아지고 보안은 더욱 더 엄격해진다. 사람이 클라우드 자원과 서비스를 제대로 구성한다면, 약 20%의 잘못된 설정으로 인한 보안 위험을 제거할 수 있다. 신뢰의 개념을 사람에 적용한다면, 절대로 신뢰해서는 안되는 존재로 정의해야 한다.  지금의 기술력은 모든 보안을 자동화할 수 있는 수준에 이르렀다. 환경 구성을 점검하고 자주 재점검하고 ID와 암호화, 키...

2021.06.01

'인간 구멍을 막아라'··· RSA 2020에서 돋보인 제품 5종

세계 최대의 보안 행사인 RSA가 지난 주 미국 샌프란시스코에서 열렸다. 한 주 동안 수만 명이 모스콘 센터에 모여 거의 800곳의 솔루션 업체를 둘러봤고, 수백 명의 연사가 최신이자 최고의 사이버 보안 기술에 대해 발표했다.   이번 행사의 주제는 “인적 요소”였으며, 이 태그는 마켓 스트리트 지역의 모든 간판을 장식했다. 필자는 이 주제가 보안 솔루션 업계에서 본 것과 부합하는 것으로 생각하는데, 보안 커뮤니티는 보안 기술을 좀 더 쉽게 배치하고 사용하도록 만드는 데 중점을 두고 있다. 이런 변화를 보여주는 대표적인 솔루션 다섯 가지를 소개한다.   시스코 시큐어엑스(SecureX) 지난 해 필자는 EDR(Enpoint Detection and Response)의 시대가 끝나고 XDR의 시대가 시작된다고 주장한 바 있다. 필자의 기본 가정은 EDR 같은 보안 기술은 전체 퍼즐의 작은 조각 하나밖에 못 보기 때문에 따로 떨어져서는 존재하지 못한다는 것이다. 동료이자 CSO 블로거인 존 올칙 역시 비슷한 견해인데, 올칙은 이를 SOAR에 대응하는 SOAPA(Security Operations and Analytics Platform Architecture)라고 부른다. 이 름이야 어떻든, 포인트 솔루션 중심의 접근법은 너무 복잡하고 맹점도 많으며, 해당 조직을 보안 침해에 노출시킨다. 시스코의 시큐어엑스는 운영 단순화를 위해 플랫폼 접근법을 취함으로써 인적 요소를 해결한다. 필자는 XDR의 3대 구성요소로 엔드포인트, 클라우드, 네트워크를 지목한 바 있다. 시스코는 여기서 한 걸음 더 나아가 자사의 탈로스 위협 인텔리전스를 추가하고 머신러닝을 사용해 가시성을 제공하는 것은 물론, 시스코와 서드파티 보안 툴 전반에 걸쳐 워크플로우를 자동화한다. 보안 전문가들은 복잡성이 보안의 적이라는 것을 잘 알고 있으며, 시큐어엑스는 바로 그 운영을 단순화한다.   포티넷 포티AI(FortiAI) 시스코와 비슷하게 포티넷도 플랫폼 접근법을 취...

클라우드 침해 이중인증 엣지 RSA SOAR EDR 구멍

2020.03.04

세계 최대의 보안 행사인 RSA가 지난 주 미국 샌프란시스코에서 열렸다. 한 주 동안 수만 명이 모스콘 센터에 모여 거의 800곳의 솔루션 업체를 둘러봤고, 수백 명의 연사가 최신이자 최고의 사이버 보안 기술에 대해 발표했다.   이번 행사의 주제는 “인적 요소”였으며, 이 태그는 마켓 스트리트 지역의 모든 간판을 장식했다. 필자는 이 주제가 보안 솔루션 업계에서 본 것과 부합하는 것으로 생각하는데, 보안 커뮤니티는 보안 기술을 좀 더 쉽게 배치하고 사용하도록 만드는 데 중점을 두고 있다. 이런 변화를 보여주는 대표적인 솔루션 다섯 가지를 소개한다.   시스코 시큐어엑스(SecureX) 지난 해 필자는 EDR(Enpoint Detection and Response)의 시대가 끝나고 XDR의 시대가 시작된다고 주장한 바 있다. 필자의 기본 가정은 EDR 같은 보안 기술은 전체 퍼즐의 작은 조각 하나밖에 못 보기 때문에 따로 떨어져서는 존재하지 못한다는 것이다. 동료이자 CSO 블로거인 존 올칙 역시 비슷한 견해인데, 올칙은 이를 SOAR에 대응하는 SOAPA(Security Operations and Analytics Platform Architecture)라고 부른다. 이 름이야 어떻든, 포인트 솔루션 중심의 접근법은 너무 복잡하고 맹점도 많으며, 해당 조직을 보안 침해에 노출시킨다. 시스코의 시큐어엑스는 운영 단순화를 위해 플랫폼 접근법을 취함으로써 인적 요소를 해결한다. 필자는 XDR의 3대 구성요소로 엔드포인트, 클라우드, 네트워크를 지목한 바 있다. 시스코는 여기서 한 걸음 더 나아가 자사의 탈로스 위협 인텔리전스를 추가하고 머신러닝을 사용해 가시성을 제공하는 것은 물론, 시스코와 서드파티 보안 툴 전반에 걸쳐 워크플로우를 자동화한다. 보안 전문가들은 복잡성이 보안의 적이라는 것을 잘 알고 있으며, 시큐어엑스는 바로 그 운영을 단순화한다.   포티넷 포티AI(FortiAI) 시스코와 비슷하게 포티넷도 플랫폼 접근법을 취...

2020.03.04

'믿고 거를 기업 간파' 보안 구직자가 면접 시 해야 할 6가지 질문

이상한 나라의 앨리스에서 붉은 여왕은 “이들의 목을 베라”고 명령한다. 혹시 기업이 데이터 침해 사건 후 보안 인력을 대하는 방식이 이와 같지는 않은가? 위험 관리는 위험을 줄이지만 없애지는 못한다. 현명한 기업은 보안 리더를 희생양으로 삼지 않는다. 불가피한 사건이 발생할 때 CSO나 CISO에게 책임을 묻는 것은 유해한 직무 환경의 신호이고, 따라서 회피해야 할 곳이다.   그렇다고 해서 보안 인력이 잘못이 없다는 것은 아니다. 보안 인력을 괴짜 취급하는 문화는 사라지기 시작했지만, 여전히 일반적이다. 보안 인력이 다른 사람의 일상생활을 어렵게 만들기 위해 존재한다면서 보안 인력에 거부감을 갖는 문화나 양호한 직무 환경이 아니다. 보안 인력을 괴롭히는 섀도우 IT문제를 감안하면 특히 그렇다.    사이버 보안 인재가 너무 부족하기 때문에 보안 전문가는 자신이 일할 곳을 까다롭게 선택할 수 있다. 그렇다면 피해야 할 직무 환경을 어떻게 파악할 것인가? 미래 고용주에게 던져야 할 몇 가지 면접 질문을 소개한다.  1. “CEO가 언제 보안을 지원하는지 말씀해 주세요.” 보안 문화의 시작점은 최고 경영진이다. CEO가 효과적인 보안을 이해하고 지원하지 않는다면 잘못된 환경에서 패할 수밖에 없는 싸움을 하게 될 것이다. CEO는 보안에 관해 얼마나 알고 있는가? 물론 조직은 웹사이트에서 자신의 배경을 자세히 설명하고 있지만, 보안이 이사회 수준의 우선순위인지 아닌지를 반드시 확인해야 한다.   CISO, CSO 등의 IT 리더에 특화된 임원 채용 전문회사인 헬러 서치 어소시이츠(Heller Search Associates)의 사장 켈리 도일은 “경영진 및 이사회의 보안에 대한 비전, 관심, 의지를 파악해야 한다. 보안이 최고 경영진 수준에서 우선순위여야 한다. 그러면 메시지를 하향식으로 전달하는 데 유리하다”라고 말했다.  만약 CISO직 면접이라면, 도일은 “면접에 최고 임원들이 참여하는지...

CSO 입사 질문 보안 사고 문화 침해 예산 CISO 딜로이트 면접 고용 채용 헬러 서치 어소시이츠

2019.09.20

이상한 나라의 앨리스에서 붉은 여왕은 “이들의 목을 베라”고 명령한다. 혹시 기업이 데이터 침해 사건 후 보안 인력을 대하는 방식이 이와 같지는 않은가? 위험 관리는 위험을 줄이지만 없애지는 못한다. 현명한 기업은 보안 리더를 희생양으로 삼지 않는다. 불가피한 사건이 발생할 때 CSO나 CISO에게 책임을 묻는 것은 유해한 직무 환경의 신호이고, 따라서 회피해야 할 곳이다.   그렇다고 해서 보안 인력이 잘못이 없다는 것은 아니다. 보안 인력을 괴짜 취급하는 문화는 사라지기 시작했지만, 여전히 일반적이다. 보안 인력이 다른 사람의 일상생활을 어렵게 만들기 위해 존재한다면서 보안 인력에 거부감을 갖는 문화나 양호한 직무 환경이 아니다. 보안 인력을 괴롭히는 섀도우 IT문제를 감안하면 특히 그렇다.    사이버 보안 인재가 너무 부족하기 때문에 보안 전문가는 자신이 일할 곳을 까다롭게 선택할 수 있다. 그렇다면 피해야 할 직무 환경을 어떻게 파악할 것인가? 미래 고용주에게 던져야 할 몇 가지 면접 질문을 소개한다.  1. “CEO가 언제 보안을 지원하는지 말씀해 주세요.” 보안 문화의 시작점은 최고 경영진이다. CEO가 효과적인 보안을 이해하고 지원하지 않는다면 잘못된 환경에서 패할 수밖에 없는 싸움을 하게 될 것이다. CEO는 보안에 관해 얼마나 알고 있는가? 물론 조직은 웹사이트에서 자신의 배경을 자세히 설명하고 있지만, 보안이 이사회 수준의 우선순위인지 아닌지를 반드시 확인해야 한다.   CISO, CSO 등의 IT 리더에 특화된 임원 채용 전문회사인 헬러 서치 어소시이츠(Heller Search Associates)의 사장 켈리 도일은 “경영진 및 이사회의 보안에 대한 비전, 관심, 의지를 파악해야 한다. 보안이 최고 경영진 수준에서 우선순위여야 한다. 그러면 메시지를 하향식으로 전달하는 데 유리하다”라고 말했다.  만약 CISO직 면접이라면, 도일은 “면접에 최고 임원들이 참여하는지...

2019.09.20

"사이버 보안, IT만의 문제 아니다" 맥아피

사이버 범죄자가 계속해서 지적 자산을 겨냥함에 따라 데이터 유출이 더욱 심각해지고 있다.   새로운 보고서에 따르면 IT보안 전문가들은 침해로부터 조직을 완벽하게 보호하고자 여전히 분투하고 있다. 맥아피의 <그랜드 테프트 데이터 II(Grand Theft Data II)-데이터 침해 사고 요인과 달라지는 양상> 조사에서 IT종사자의 약 2/3(61%)는 사이버 범죄 및 기타 위협에 대처하는 방법이 개선됐는데도 현재 몸담은 조직에서 데이터 유출을 경험했다고 밝혔다.  사이버 범죄자가 지적 자산을 계속해서 노리고 회사 브랜드의 명성을 위험에 빠뜨리며 금융 책임을 증가시킴에 따라 데이터 유출이 더욱 심각해지고 있다. IT부서는 직원 교육 및 조직 전체의 전반적인 보안 문화와 결합된 통합 보안 솔루션을 구축해 향후 위반을 줄이는 사이버 보안 전략이 필요하다. 맥아피의 수석 기술 전략가인 캔디스 월리는 위협이 진화되었으며 앞으로도 더욱 정교해질 것이라고 말했다. 월리는 "조직이 보안 문화를 구현하고 모든 직원이 IT팀뿐 아니라 조직의 보안 상태에 속한다고 강조함으로써 보안 조치를 강화해야 한다. 위협에 앞장서서 기업이 통합 보안 솔루션을 활용할 뿐 아니라 훌륭한 보안 위생을 실천함으로써 보안 프로세스를 개선하는 전체론적 접근 방식을 제공하는 것이 중요하다"라고 설명했다.  맥아피 보고서의 주요 내용은 다음과 같다. • 더 똑똑해진 사이버 범죄자 : 데이터가 업계에서 독점적인 기술을 사용하지 않고 다양한 방법으로 도용당하고 있다. 데이터를 추출하는 데 사용되는 상위 벡터는 데이터베이스 누수, 클라우드 애플리케이션, 이동식 USB 드라이브다. • 1차로 묶여 있는 IP : 개인식별정보(PII)와 지적 재산(IP)이 이제 응답자의 43%에게 가장 큰 영향을 줄 수 있는 데이터 카테고리로 묶였다. 아시아 태평양 국가에서 지식 재산권 절도는 PII보다 큰 관심사(51%)다. •...

CIO 개인식별정보 CASB PII 지적 재산 USB IP 침해 공격 유출 맥아피 사이버범죄 개인정보 DLP IT부서 그랜드 테프트 데이터 II

2019.05.03

사이버 범죄자가 계속해서 지적 자산을 겨냥함에 따라 데이터 유출이 더욱 심각해지고 있다.   새로운 보고서에 따르면 IT보안 전문가들은 침해로부터 조직을 완벽하게 보호하고자 여전히 분투하고 있다. 맥아피의 <그랜드 테프트 데이터 II(Grand Theft Data II)-데이터 침해 사고 요인과 달라지는 양상> 조사에서 IT종사자의 약 2/3(61%)는 사이버 범죄 및 기타 위협에 대처하는 방법이 개선됐는데도 현재 몸담은 조직에서 데이터 유출을 경험했다고 밝혔다.  사이버 범죄자가 지적 자산을 계속해서 노리고 회사 브랜드의 명성을 위험에 빠뜨리며 금융 책임을 증가시킴에 따라 데이터 유출이 더욱 심각해지고 있다. IT부서는 직원 교육 및 조직 전체의 전반적인 보안 문화와 결합된 통합 보안 솔루션을 구축해 향후 위반을 줄이는 사이버 보안 전략이 필요하다. 맥아피의 수석 기술 전략가인 캔디스 월리는 위협이 진화되었으며 앞으로도 더욱 정교해질 것이라고 말했다. 월리는 "조직이 보안 문화를 구현하고 모든 직원이 IT팀뿐 아니라 조직의 보안 상태에 속한다고 강조함으로써 보안 조치를 강화해야 한다. 위협에 앞장서서 기업이 통합 보안 솔루션을 활용할 뿐 아니라 훌륭한 보안 위생을 실천함으로써 보안 프로세스를 개선하는 전체론적 접근 방식을 제공하는 것이 중요하다"라고 설명했다.  맥아피 보고서의 주요 내용은 다음과 같다. • 더 똑똑해진 사이버 범죄자 : 데이터가 업계에서 독점적인 기술을 사용하지 않고 다양한 방법으로 도용당하고 있다. 데이터를 추출하는 데 사용되는 상위 벡터는 데이터베이스 누수, 클라우드 애플리케이션, 이동식 USB 드라이브다. • 1차로 묶여 있는 IP : 개인식별정보(PII)와 지적 재산(IP)이 이제 응답자의 43%에게 가장 큰 영향을 줄 수 있는 데이터 카테고리로 묶였다. 아시아 태평양 국가에서 지식 재산권 절도는 PII보다 큰 관심사(51%)다. •...

2019.05.03

"2018년 유출된 데이터는 총 50억 개, 전년 대비 1/3 이상 감소" RBA 보고서

RBA(Risk Based Security)의 보고서에 따르면 누출 데이터 수가 감소하는 경향이 나타났다. GDPR과 같은 개인 정보 보호 규정이 효과를 발휘하고 있는지 여부는 아직 불확실하다.  이 보안 기관은 2018년 누출된 민감한 각종 기록 데이터가 2017년의 79억 개에서 1/3 이상 감소한 50억 개인 것으로 조사됐다고 밝혔다.  보고서에 따르면 또 작년 데이터 유출 사건은 총 6,500건이었으며 이 중 2/3가 비즈니스 분야에서 발생했다. 정부 부문은 13.9%, 의료 부문은 13.4%, 교육 부문은 6.5%를 차지했다.  가장 큰 누출 사건은 인도의 국가 ID 데이터베이스가 포함된 2018년 3월 보고된 사건이었다. 국가 ID 번호, 주소, 전화번호, 이메일 주소, 우편 번호, 사진 등을 포함해 12억 명의 인도 국민 정보가 누출됐다.  다른 주요 침해 사건으로는 해커가 메리어트의 스타우드 게스트 예약 데이터베이스에 접근해 3억 3,300만 건의 로열티 프로그램 기록과 화주 호텔 그룹의 2억 4,000만 고객 기록을 획득한 사례가 있었다.  이 밖에 1억 건 이상의 민감한 기록이 누출된 사건은 작년 12건이 발생했으며, 이들은 전체 데이터 누출의 74%를 차지한 것으로 분석됐다.  RBS는 데이터 유출의 가장 일반적인 원인은 해킹으로, 작년 4,508건의 사건과 관련 있었다. 그 다음으로는 스키밍 (453건), 웹 관련 누출 (268건), 피싱 (177건) 및 맬웨어 (160건) 등이 있었다.  그러나 침해 사건별 유출 기록 수를 살펴본 결과는 다소 달랐다. 웹 카테고리가 39%, 해킹이 28%, 사기가 25%, 데이터 오처리가 7%였다. RBS 측은 ""2017년 이전에는 해킹이 가장 흔한 침입 유형이었으며 노출 된 레코드 수에 가장 많이 기여했다. 그러나 그 추세는 2017년부터 웹이 누출 기록 수 측면에서 1위를 차지하지 시작했다"라고 전...

데이터 유출 누출 침해 GDPR RBA

2019.02.18

RBA(Risk Based Security)의 보고서에 따르면 누출 데이터 수가 감소하는 경향이 나타났다. GDPR과 같은 개인 정보 보호 규정이 효과를 발휘하고 있는지 여부는 아직 불확실하다.  이 보안 기관은 2018년 누출된 민감한 각종 기록 데이터가 2017년의 79억 개에서 1/3 이상 감소한 50억 개인 것으로 조사됐다고 밝혔다.  보고서에 따르면 또 작년 데이터 유출 사건은 총 6,500건이었으며 이 중 2/3가 비즈니스 분야에서 발생했다. 정부 부문은 13.9%, 의료 부문은 13.4%, 교육 부문은 6.5%를 차지했다.  가장 큰 누출 사건은 인도의 국가 ID 데이터베이스가 포함된 2018년 3월 보고된 사건이었다. 국가 ID 번호, 주소, 전화번호, 이메일 주소, 우편 번호, 사진 등을 포함해 12억 명의 인도 국민 정보가 누출됐다.  다른 주요 침해 사건으로는 해커가 메리어트의 스타우드 게스트 예약 데이터베이스에 접근해 3억 3,300만 건의 로열티 프로그램 기록과 화주 호텔 그룹의 2억 4,000만 고객 기록을 획득한 사례가 있었다.  이 밖에 1억 건 이상의 민감한 기록이 누출된 사건은 작년 12건이 발생했으며, 이들은 전체 데이터 누출의 74%를 차지한 것으로 분석됐다.  RBS는 데이터 유출의 가장 일반적인 원인은 해킹으로, 작년 4,508건의 사건과 관련 있었다. 그 다음으로는 스키밍 (453건), 웹 관련 누출 (268건), 피싱 (177건) 및 맬웨어 (160건) 등이 있었다.  그러나 침해 사건별 유출 기록 수를 살펴본 결과는 다소 달랐다. 웹 카테고리가 39%, 해킹이 28%, 사기가 25%, 데이터 오처리가 7%였다. RBS 측은 ""2017년 이전에는 해킹이 가장 흔한 침입 유형이었으며 노출 된 레코드 수에 가장 많이 기여했다. 그러나 그 추세는 2017년부터 웹이 누출 기록 수 측면에서 1위를 차지하지 시작했다"라고 전...

2019.02.18

페이스북 데이터 침해, MS∙아마존∙야후로 일파만파

마이크로소프트, 아마존, 야후를 비롯한 IT거물들이 페이스북의 사용자 데이터에 ‘특별’ 접근 권한을 부여받은 사실이 있었다고 뉴욕타임스가 보도했다.    이 보도에 따르면, 뉴욕타임스는 페이스북과 위 기업 간의 데이터 제공 합의 내용을 구체적으로 보여 주는 문서를 입수하였다. 이 문서에 따르면, 선택받은 몇몇 기업들이 “사용자의 개인정보에 대해 침해적인 접근을 부여받은 것”으로 나타났다.  이 문서는 2017년, 파트너십을 트래킹하는 페이스북 시스템에 의해 생성된 것으로 알려졌다. “페이스북은 사용자들의 동의도 없이 마이크로소프트의 검색 엔진 빙(Bing)이 사용자들의 페이스북 친구 이름을 자유롭게 볼 수 있도록 허용하였다. 그뿐만 아니라 넷플릭스와 스포티파이에게는 페이스북 사용자들의 사적인 메시지도 볼 수 있는 권한을 부여하였다”고 뉴욕타임스는 보도했다.  “아마존은 페이스북으로부터 사용자의 이름과 연락처 정보를 얻었고, 야후는 페이스북에 친구로 등록된 이들의 포스트를 불과 지난여름까지도 열람할 수 있었다. 불과 올해 초 더 이상 이런 식의 정보 공유를 하지 않겠다는 공식 성명이 무색해진 셈이다.” 뉴욕타임스 보도에 따르면 페이스북으로부터 사용자 정보를 받은 기업은 150곳이 넘는다. 페이스북의 ‘사용자 정보 장사’는 2010년부터 시작되었으며, 문서가 작성된 2017년까지도 쭉 이어져 왔던 것으로 보인다.  페이스북의 프라이버시 및 공공 정책 디렉터 스티브 새터필드는 “(위 기업들과 맺은) 파트너십 중 사용자의 프라이버시를 침해하거나, F.T.C(미 연방 거래 위원회) 협약을 위반한 것은 단 하나도 없었다. 모든 계약에는 페이스북의 정책을 준수하도록 하는 조항이 들어가 있었다”라고 말했다. 한편 페이스북은 자사의 소셜 네트워크 프라이버시 보호를 목적으로 미국 연방거래위원회...

소셜네트워크 캐나다왕립은행 ACCC 뉴욕타임스 에어비앤비 메일 넷플릭스 스포티파이 침해 MS 은행 개인정보 프라이버시 야후 마이크로소프트 아마존 페이스북 케임브릿지 애널리티카

2018.12.21

마이크로소프트, 아마존, 야후를 비롯한 IT거물들이 페이스북의 사용자 데이터에 ‘특별’ 접근 권한을 부여받은 사실이 있었다고 뉴욕타임스가 보도했다.    이 보도에 따르면, 뉴욕타임스는 페이스북과 위 기업 간의 데이터 제공 합의 내용을 구체적으로 보여 주는 문서를 입수하였다. 이 문서에 따르면, 선택받은 몇몇 기업들이 “사용자의 개인정보에 대해 침해적인 접근을 부여받은 것”으로 나타났다.  이 문서는 2017년, 파트너십을 트래킹하는 페이스북 시스템에 의해 생성된 것으로 알려졌다. “페이스북은 사용자들의 동의도 없이 마이크로소프트의 검색 엔진 빙(Bing)이 사용자들의 페이스북 친구 이름을 자유롭게 볼 수 있도록 허용하였다. 그뿐만 아니라 넷플릭스와 스포티파이에게는 페이스북 사용자들의 사적인 메시지도 볼 수 있는 권한을 부여하였다”고 뉴욕타임스는 보도했다.  “아마존은 페이스북으로부터 사용자의 이름과 연락처 정보를 얻었고, 야후는 페이스북에 친구로 등록된 이들의 포스트를 불과 지난여름까지도 열람할 수 있었다. 불과 올해 초 더 이상 이런 식의 정보 공유를 하지 않겠다는 공식 성명이 무색해진 셈이다.” 뉴욕타임스 보도에 따르면 페이스북으로부터 사용자 정보를 받은 기업은 150곳이 넘는다. 페이스북의 ‘사용자 정보 장사’는 2010년부터 시작되었으며, 문서가 작성된 2017년까지도 쭉 이어져 왔던 것으로 보인다.  페이스북의 프라이버시 및 공공 정책 디렉터 스티브 새터필드는 “(위 기업들과 맺은) 파트너십 중 사용자의 프라이버시를 침해하거나, F.T.C(미 연방 거래 위원회) 협약을 위반한 것은 단 하나도 없었다. 모든 계약에는 페이스북의 정책을 준수하도록 하는 조항이 들어가 있었다”라고 말했다. 한편 페이스북은 자사의 소셜 네트워크 프라이버시 보호를 목적으로 미국 연방거래위원회...

2018.12.21

데이터 유출로 떠나는 소비자 <젬알토 조사>

데이터 유출 사고가 발생하면 소비자는 데이터 보안에 책임지는 기업의 상품과 서비스를 계속 이용하지만 그렇지 않은 기업의 상품과 서비스는 더 이상 이용하지 않는다는 연구 보고서가 발표됐다.    젬알토의 2018 고객 충성도 보고서(Customer Loyalty 2018 Report)에 따르면 특히 호주 소비자는 전세계 소비자보다 보안 사고가 발생하는 회사(소매, 금융, 건강 관리)를 떠날 가능성이 높으며, 신용카드나 은행 계좌 같은 민감한 정보를 도난당하면 다른 기업과 거래하겠다는 응답자가 2/3 이상(70%)이었다. 절반 이상(55%)은 비밀번호만 도난당했을 때도 거래 기업을 바꾸겠다고 답했다.  이 보고서에 따르면 데이터 유출 사고의 피해가 심한 산업은 유통/소매(62%), 소셜 미디어 사이트(57%), 은행(53%)으로 나타났다. 이는 영국 정보위원회(ICO)가 '정보 보호법의 심각한 위반'에 최대 50만 파운드를 부과하는 등 각국 정부는 데이터 보안 사고를 심각하게 받아들이는 데서 비롯된 것으로 파악됐다.  4월의 페이스북 업데이트 정보에 따르면, 31만 명 이상의 호주인이 케임브리지 애널리티카와 데이터를 부적절하게 공유했다는 의혹을 받은 페이스북의 케임브리지 애널리티카 스캔들과 관련됐다. 페이스북은 처음에 미국에서 5,000만 명의 정보를 수집했다고 발표했으나 사실 미국 내 대부분 사용자인 8,700만 명의 정보를 불법적으로 수집한 것으로 드러났다.  젬알토의 보고서에 따르면 호주 소비자들은 자신의 데이터를 보호하기 위해 기업에 책임을 묻고 있으며 71%는 고객 데이터를 보호하고 회사에 데이터를 제공하는 것에 동의했다. 나머지 29%는 동의하지 않았다. 또한 85%는 더 강력한 기업의 온라인 보안을 원한다고 밝혔다.  전 세계 조사 응답자의 1/4은 이미 금융 정보 사기 사용(26%)의 피해를 경험했고, 19%는 개인정보 사기 사용의 피해를 경험했으며, 16%는 신원정보(I...

데이터 젬알토 계좌 소비자 충성도 도난 로열티 신용카드 침해 비밀번호 유출 CMO 조사 은행 페이스북 케임브리지애널리티카

2018.12.12

데이터 유출 사고가 발생하면 소비자는 데이터 보안에 책임지는 기업의 상품과 서비스를 계속 이용하지만 그렇지 않은 기업의 상품과 서비스는 더 이상 이용하지 않는다는 연구 보고서가 발표됐다.    젬알토의 2018 고객 충성도 보고서(Customer Loyalty 2018 Report)에 따르면 특히 호주 소비자는 전세계 소비자보다 보안 사고가 발생하는 회사(소매, 금융, 건강 관리)를 떠날 가능성이 높으며, 신용카드나 은행 계좌 같은 민감한 정보를 도난당하면 다른 기업과 거래하겠다는 응답자가 2/3 이상(70%)이었다. 절반 이상(55%)은 비밀번호만 도난당했을 때도 거래 기업을 바꾸겠다고 답했다.  이 보고서에 따르면 데이터 유출 사고의 피해가 심한 산업은 유통/소매(62%), 소셜 미디어 사이트(57%), 은행(53%)으로 나타났다. 이는 영국 정보위원회(ICO)가 '정보 보호법의 심각한 위반'에 최대 50만 파운드를 부과하는 등 각국 정부는 데이터 보안 사고를 심각하게 받아들이는 데서 비롯된 것으로 파악됐다.  4월의 페이스북 업데이트 정보에 따르면, 31만 명 이상의 호주인이 케임브리지 애널리티카와 데이터를 부적절하게 공유했다는 의혹을 받은 페이스북의 케임브리지 애널리티카 스캔들과 관련됐다. 페이스북은 처음에 미국에서 5,000만 명의 정보를 수집했다고 발표했으나 사실 미국 내 대부분 사용자인 8,700만 명의 정보를 불법적으로 수집한 것으로 드러났다.  젬알토의 보고서에 따르면 호주 소비자들은 자신의 데이터를 보호하기 위해 기업에 책임을 묻고 있으며 71%는 고객 데이터를 보호하고 회사에 데이터를 제공하는 것에 동의했다. 나머지 29%는 동의하지 않았다. 또한 85%는 더 강력한 기업의 온라인 보안을 원한다고 밝혔다.  전 세계 조사 응답자의 1/4은 이미 금융 정보 사기 사용(26%)의 피해를 경험했고, 19%는 개인정보 사기 사용의 피해를 경험했으며, 16%는 신원정보(I...

2018.12.12

디지털 변혁 추진 중에 만나는 4가지 보안 쟁점

디지털 변혁은 수많은 기업의 장기 생존에서 매우 중요하다. 민첩한 신생 창업 회사들을 방어하고, 더 효과적으로 고객의 기대 사항을 충족하며, 새로운 기회를 찾고, 비용을 절감하는 데 도움을 줄 수 있기 때문이다. 여기에 더해, 보안까지 강화할 수 있다. 451 리서치가 지난해 말 시행한 조사 결과에 따르면, 고객 데이터를 안전하게 만드는 것이 변혁에서 중요한 목표 중 하나라고 대답한 IT 종사자 및 현업 부서장의 비율이 49%였다. 시장조사 회사인 루시드(Lucid)가 올해 여름 IT리더들을 대상으로 한 조사 결과에서도 49%의 IT리더들은 사이버보안을 강화하는 것이 디지털 변혁을 추구하는 이유 중 하나라고 답했다(루시드는 아직 조사 보고서를 발행하지 않았다). 그리고 40%는 소속 회사가 가장 많이 투자하는 디지털 변혁 분야로 사이버보안을 꼽았다. 이번 조사를 후원한 보안 업체인 닌텍스(Nintex)의 보안 및 컴플라이언스 디렉터 모니카 부시는 “디지털 변혁 프로젝트로 사이버보안 전략을 강화하는 IT리더들이 실제 증가하는 추세”라고 강조했다. 직원이 입사하고 퇴사하는 동안 접근 권한 관리 강화부터 GDPR을 비롯한 규제 요건을 위해 민감한 데이터의 위치를 추적하는 대형 프로젝트까지 다양한 노력을 기울이고 있다. 오피스365 같은 클라우드 기반 솔루션 등 최신 인프라를 도입하는 경우에 보안이 향상되는 경우도 많다. 리스크렌즈(RiskLens)의 프로페셔널 서비스 VP 채드 와인먼은 자신의 회사가 최근 클라우드로 마이그레이션을 고려하는 대기업들을 위해 위험을 분석했다고 말했다. 그는 “이메일 환경이 더 이상 온프레미스(내부) 환경이 아니라는 점 때문에 ‘정지’와 ‘데이터 보호’ 문제를 더 걱정한다. 그러나 조사 결과는 다르다. 마이크로소프트가 오피스 365를 관리하는 방식은 보통 기업과 기관의 방식보다 앞서 있다. 즉 클라우드로 마이그레이션을 하면 위험 노출이...

CSO 시가총액 451 리서치 디지털 변혁 프라이스워터하우스쿠퍼스 포티넷 PwC 오피스 365 침해 CISO 컨테이너 사기 구글 G스위트

2018.09.14

디지털 변혁은 수많은 기업의 장기 생존에서 매우 중요하다. 민첩한 신생 창업 회사들을 방어하고, 더 효과적으로 고객의 기대 사항을 충족하며, 새로운 기회를 찾고, 비용을 절감하는 데 도움을 줄 수 있기 때문이다. 여기에 더해, 보안까지 강화할 수 있다. 451 리서치가 지난해 말 시행한 조사 결과에 따르면, 고객 데이터를 안전하게 만드는 것이 변혁에서 중요한 목표 중 하나라고 대답한 IT 종사자 및 현업 부서장의 비율이 49%였다. 시장조사 회사인 루시드(Lucid)가 올해 여름 IT리더들을 대상으로 한 조사 결과에서도 49%의 IT리더들은 사이버보안을 강화하는 것이 디지털 변혁을 추구하는 이유 중 하나라고 답했다(루시드는 아직 조사 보고서를 발행하지 않았다). 그리고 40%는 소속 회사가 가장 많이 투자하는 디지털 변혁 분야로 사이버보안을 꼽았다. 이번 조사를 후원한 보안 업체인 닌텍스(Nintex)의 보안 및 컴플라이언스 디렉터 모니카 부시는 “디지털 변혁 프로젝트로 사이버보안 전략을 강화하는 IT리더들이 실제 증가하는 추세”라고 강조했다. 직원이 입사하고 퇴사하는 동안 접근 권한 관리 강화부터 GDPR을 비롯한 규제 요건을 위해 민감한 데이터의 위치를 추적하는 대형 프로젝트까지 다양한 노력을 기울이고 있다. 오피스365 같은 클라우드 기반 솔루션 등 최신 인프라를 도입하는 경우에 보안이 향상되는 경우도 많다. 리스크렌즈(RiskLens)의 프로페셔널 서비스 VP 채드 와인먼은 자신의 회사가 최근 클라우드로 마이그레이션을 고려하는 대기업들을 위해 위험을 분석했다고 말했다. 그는 “이메일 환경이 더 이상 온프레미스(내부) 환경이 아니라는 점 때문에 ‘정지’와 ‘데이터 보호’ 문제를 더 걱정한다. 그러나 조사 결과는 다르다. 마이크로소프트가 오피스 365를 관리하는 방식은 보통 기업과 기관의 방식보다 앞서 있다. 즉 클라우드로 마이그레이션을 하면 위험 노출이...

2018.09.14

사고 대응 계획이 마련돼 있습니까?··· 수립 원칙 9가지

사고 대응 계획을 준비할 때에는 '디테일(세부 사항)'에 신경을 써야 한다. 정말 잘 준비된 IR(Incident Response-사고 대응) 계획이라도 핵심 요소가 빠져 있다면, 정상 운영을 조속히 재개하기 어렵다. 사이버리즌(Cyberreason)이 뼈대를 제공한 이번 가이드는 반드시 IR계획에 반영되어야 하는 9가지 요소와 단계를 소개하고 있다. 전사적인 준비와 대비 우수한 보안 리더는 전사적으로 직원들이 IR계획 준비할 수 있도록 유도할 수 있어야 한다. 아마 CISO가 위협을 담당하는 팀을 관리하겠지만 침해 사고 극복에는 전사적인 노력이 필요하다. 예를 들어, 침해 사고가 초래한 영향을 처리해야 하는 은행은 사고 공개가 법적 의무일 경우 PR부서의 도움이 필요하다. 또 공격자가 워드프레스(WordPress) 취약점 등 웹사이트 취약점을 이용해 공격을 했다면, 웹 개발 팀이 관여해야 한다. 직원 개인정보가 유출되었다면 HR 부서에도 연락을 해야 한다. 즉 은행 사고 대응계획에는 이들 부서의 의견이 반영되어 있어야 한다. 철저한 사고 대응계획은 침해사고 발생을 알게 되었을 때 통보해야 할 핵심 인력, 회사 내부와 외부에 침해사고 정보를 커뮤니케이션 하는 방법을 규정하고 있는 것이어야 한다. 또 계획을 마련하는 과정에서 핵심 인력의 연락처 정보와 커뮤니케이션 타임라인(스케줄)을 추가시켜야 한다. 척도와 매트릭스를 파악 좋은 사고 대응계획은 사전에 KPI(Key Performance Indicator)를 규정한다. 그리고 사고가 발생하면 보안팀이 이를 기준으로 평가를 실시한다. 시간과 관련된 척도로는 감지까지 걸린 시간, 사고 보고까지 걸린 시간, 분류 시간, 조사 시간, 대응 시간 등을 포함시키는 것이 좋다. 또 긍정 오류의 수, 공격 특성(멜웨어 기반 및 기타), 사고를 감지한 도구 등도 추적해야 한다. 테스트 기업은 준비 단계 동안 다양한 침해 시나리오를 고려해야 한다. 팀 트레이닝, 도상...

CSO 해킹 침해 다운타임 대비 사고 대응 계획 IR 계획

2017.03.21

사고 대응 계획을 준비할 때에는 '디테일(세부 사항)'에 신경을 써야 한다. 정말 잘 준비된 IR(Incident Response-사고 대응) 계획이라도 핵심 요소가 빠져 있다면, 정상 운영을 조속히 재개하기 어렵다. 사이버리즌(Cyberreason)이 뼈대를 제공한 이번 가이드는 반드시 IR계획에 반영되어야 하는 9가지 요소와 단계를 소개하고 있다. 전사적인 준비와 대비 우수한 보안 리더는 전사적으로 직원들이 IR계획 준비할 수 있도록 유도할 수 있어야 한다. 아마 CISO가 위협을 담당하는 팀을 관리하겠지만 침해 사고 극복에는 전사적인 노력이 필요하다. 예를 들어, 침해 사고가 초래한 영향을 처리해야 하는 은행은 사고 공개가 법적 의무일 경우 PR부서의 도움이 필요하다. 또 공격자가 워드프레스(WordPress) 취약점 등 웹사이트 취약점을 이용해 공격을 했다면, 웹 개발 팀이 관여해야 한다. 직원 개인정보가 유출되었다면 HR 부서에도 연락을 해야 한다. 즉 은행 사고 대응계획에는 이들 부서의 의견이 반영되어 있어야 한다. 철저한 사고 대응계획은 침해사고 발생을 알게 되었을 때 통보해야 할 핵심 인력, 회사 내부와 외부에 침해사고 정보를 커뮤니케이션 하는 방법을 규정하고 있는 것이어야 한다. 또 계획을 마련하는 과정에서 핵심 인력의 연락처 정보와 커뮤니케이션 타임라인(스케줄)을 추가시켜야 한다. 척도와 매트릭스를 파악 좋은 사고 대응계획은 사전에 KPI(Key Performance Indicator)를 규정한다. 그리고 사고가 발생하면 보안팀이 이를 기준으로 평가를 실시한다. 시간과 관련된 척도로는 감지까지 걸린 시간, 사고 보고까지 걸린 시간, 분류 시간, 조사 시간, 대응 시간 등을 포함시키는 것이 좋다. 또 긍정 오류의 수, 공격 특성(멜웨어 기반 및 기타), 사고를 감지한 도구 등도 추적해야 한다. 테스트 기업은 준비 단계 동안 다양한 침해 시나리오를 고려해야 한다. 팀 트레이닝, 도상...

2017.03.21

기고 | 제조사와 개발자가 IoT 보안을 해결할 방법

* 본 기고문은 벤더가 작성한 것으로 네트워크 월드 편집진의 수정을 거쳤지만 일부 벤더의 시각이 남아 있을 수 있다. IoT 기기 제조사는 기기를 안전하게 보호해야 하는 부담을 늘 안고 있다. 취약점이 악용될 때 수정 프로그램을 찾아야 하는 책임은 제품 제조사와 개발자에 있다. 이런 일이 발생하면, 제조사와 개발자는 어떻게 해결해야 할까? 지난 몇 년간 IoT 기술이 급성장했다. 새로운 솔루션들이 등장했고, 전례 없이 빠른 속도로 기술이 도입되었다. 가트너는 올해 말까지 IoT 기기 수가 40억 개를 넘어서고, 2020년에는 200억 개로 늘어난다고 전망했다. 올 한 해에만 대기업은 연결 기기에 8,680억 달러 이상을 투자해 이 성장을 견인하고 있다. 이런 가운데 IoT의 영향과 위험도 명백해지고 있다. 아직 초창기이기는 하지만, IoT는 이미 보안과 관련된 평판이 나쁘다. 악성코드에 감염된 수백만 대의 IoT 기기들로 구성된 봇넷이 DNS 공급업체인 Dyn과 수백 웹사이트를 붕괴시킨 DDoS 공격 사고가 발생하기 전부터, 보안 전문가들은 보안에 문제가 많은 연결된 기기가 증가하는 것을 크게 걱정했었다. 이런 공격은 공급업체들이 스마트 기기에 대한 수요 폭증을 충족하기 위해 시장화를 서두르면서 보안을 덜 중요하게 여긴 결과다. 소비자들은 IoT 제품에 열광하고 있지만, 이들 제품이 초래할 수 있는 보안 위험은 잘 모른다. 연결된 기기를 안전하게 만들어야 하는 책임, 즉 취약점이 노출됐을 때 이를 바로잡을 책임은 제품 제조사와 소프트웨어 개발자에게 있다. IoT 기술을 개발하는 조직은 제품이 최종 사용자의 보안이나 개인정보 보호에 어떠한 위험도 초래하지 않도록 만들어야 한다. 다음은 이들 기업이 사용자 위험을 최소화하고, 보안을 강화하기 위해 주력해야 할 부분이다. • 물리적 안전(보안) – 연결된 기기는 물리적 안전(보안)이 매우 중요하다. 개발자는 처음부터 기기 부품을 조작하지 못하도록 만드는 기법을 ...

가트너 백도어 PII 사물인터넷 물리적 보안 코딩 봇넷 디도스 침해 취약점 DDoS 암호화 개인정보 보호 프라이버시 IoT 보안

2016.12.27

* 본 기고문은 벤더가 작성한 것으로 네트워크 월드 편집진의 수정을 거쳤지만 일부 벤더의 시각이 남아 있을 수 있다. IoT 기기 제조사는 기기를 안전하게 보호해야 하는 부담을 늘 안고 있다. 취약점이 악용될 때 수정 프로그램을 찾아야 하는 책임은 제품 제조사와 개발자에 있다. 이런 일이 발생하면, 제조사와 개발자는 어떻게 해결해야 할까? 지난 몇 년간 IoT 기술이 급성장했다. 새로운 솔루션들이 등장했고, 전례 없이 빠른 속도로 기술이 도입되었다. 가트너는 올해 말까지 IoT 기기 수가 40억 개를 넘어서고, 2020년에는 200억 개로 늘어난다고 전망했다. 올 한 해에만 대기업은 연결 기기에 8,680억 달러 이상을 투자해 이 성장을 견인하고 있다. 이런 가운데 IoT의 영향과 위험도 명백해지고 있다. 아직 초창기이기는 하지만, IoT는 이미 보안과 관련된 평판이 나쁘다. 악성코드에 감염된 수백만 대의 IoT 기기들로 구성된 봇넷이 DNS 공급업체인 Dyn과 수백 웹사이트를 붕괴시킨 DDoS 공격 사고가 발생하기 전부터, 보안 전문가들은 보안에 문제가 많은 연결된 기기가 증가하는 것을 크게 걱정했었다. 이런 공격은 공급업체들이 스마트 기기에 대한 수요 폭증을 충족하기 위해 시장화를 서두르면서 보안을 덜 중요하게 여긴 결과다. 소비자들은 IoT 제품에 열광하고 있지만, 이들 제품이 초래할 수 있는 보안 위험은 잘 모른다. 연결된 기기를 안전하게 만들어야 하는 책임, 즉 취약점이 노출됐을 때 이를 바로잡을 책임은 제품 제조사와 소프트웨어 개발자에게 있다. IoT 기술을 개발하는 조직은 제품이 최종 사용자의 보안이나 개인정보 보호에 어떠한 위험도 초래하지 않도록 만들어야 한다. 다음은 이들 기업이 사용자 위험을 최소화하고, 보안을 강화하기 위해 주력해야 할 부분이다. • 물리적 안전(보안) – 연결된 기기는 물리적 안전(보안)이 매우 중요하다. 개발자는 처음부터 기기 부품을 조작하지 못하도록 만드는 기법을 ...

2016.12.27

'데이터가 줄줄 새는' 보안 공백 6가지

기업 데이터 보호 계획에는 미처 몰랐던 허점이 도사리고 있을 수 있다. 자주 발생하는 보안 공백 6가지를 정리했다. 수십 억 달러를 사이버 보안에 투자해 마치 요새처럼 네트워크, 애플리케이션, 스토리지 컨테이너, ID, 기기 주변에 방화벽을 구축했음에도 불구하고 데이터 침해 사고가 끊기지 않고 있다. 때로는 불만이 있는 직원이 가치가 높은 지적 재산을 USB 드라이브로 옮기며, 때로는 부주의한 직원이 중요한 이메일 첨부파일을 기업 네트워크 밖으로 전송한다. 수십 억 달러를 들여 구축한 각종 장벽들이 가장 필요한 시기에 무너져 버린다. 데이터 보안 기업 베라(Vera)의 CTO 겸 공동 설립자 프라카쉬 링가링가에 따르면 방법이 문제였다. 가트너는 지난해 IT 보안에 750억 달러를 지출한 것으로 분석했다. 그럼에도 불구하고 유출 횟수는 지속적으로 증가하고 있다. 더 높고 강력한 장벽을 세웠지만 정보는 엉뚱한 곳을 통해 새어나가고 있었던 것이다. 기업 보안 전략 측면에서 메워야 할 보안 공백 6가지에 대해 링가는 다음과 같이 설명했다. Image Credit : Getty Images Bank 행동 공백 인간 오류로 인해 전 세계 데이터 유출의 25%가 발생하고 있다. 모네몬(Ponemon)의 데이터 유출 비용 연구에 따르면 최소한 4건의 유출 중 1건은 직원의 부주의로 인해 발생했다. 직원들은 사용이 어렵거나 짜증나기 때문에 요구되는 소프트웨어 또는 툴을 사용하지 않는다. 그들은 안전한 FTP 서버를 우회하고 안전한 파일에서 안전하지 못한 문서로 데이터를 복사하여 붙여 넣은 후 개인 이메일 계정으로 민감한 첨부파일을 전송한다. 그저 오래되고 불만족스러운 내부 시스템을 우회하기 위해서다. 이런 맹점을 통해 데이터가 기업의 벽체를 뚫고 빠져 나간다. 가시성 공백 민감한 정보가 경계를 넘어 전송된 후 가시성을 놓치는 경우가 흔하다. 기업은 결국 해당 데이터가 어디에서 언제 어떻게 사용되는지 파악하지 못하게 이로...

데이터 보안 침해 보호 공백 베라

2016.08.16

기업 데이터 보호 계획에는 미처 몰랐던 허점이 도사리고 있을 수 있다. 자주 발생하는 보안 공백 6가지를 정리했다. 수십 억 달러를 사이버 보안에 투자해 마치 요새처럼 네트워크, 애플리케이션, 스토리지 컨테이너, ID, 기기 주변에 방화벽을 구축했음에도 불구하고 데이터 침해 사고가 끊기지 않고 있다. 때로는 불만이 있는 직원이 가치가 높은 지적 재산을 USB 드라이브로 옮기며, 때로는 부주의한 직원이 중요한 이메일 첨부파일을 기업 네트워크 밖으로 전송한다. 수십 억 달러를 들여 구축한 각종 장벽들이 가장 필요한 시기에 무너져 버린다. 데이터 보안 기업 베라(Vera)의 CTO 겸 공동 설립자 프라카쉬 링가링가에 따르면 방법이 문제였다. 가트너는 지난해 IT 보안에 750억 달러를 지출한 것으로 분석했다. 그럼에도 불구하고 유출 횟수는 지속적으로 증가하고 있다. 더 높고 강력한 장벽을 세웠지만 정보는 엉뚱한 곳을 통해 새어나가고 있었던 것이다. 기업 보안 전략 측면에서 메워야 할 보안 공백 6가지에 대해 링가는 다음과 같이 설명했다. Image Credit : Getty Images Bank 행동 공백 인간 오류로 인해 전 세계 데이터 유출의 25%가 발생하고 있다. 모네몬(Ponemon)의 데이터 유출 비용 연구에 따르면 최소한 4건의 유출 중 1건은 직원의 부주의로 인해 발생했다. 직원들은 사용이 어렵거나 짜증나기 때문에 요구되는 소프트웨어 또는 툴을 사용하지 않는다. 그들은 안전한 FTP 서버를 우회하고 안전한 파일에서 안전하지 못한 문서로 데이터를 복사하여 붙여 넣은 후 개인 이메일 계정으로 민감한 첨부파일을 전송한다. 그저 오래되고 불만족스러운 내부 시스템을 우회하기 위해서다. 이런 맹점을 통해 데이터가 기업의 벽체를 뚫고 빠져 나간다. 가시성 공백 민감한 정보가 경계를 넘어 전송된 후 가시성을 놓치는 경우가 흔하다. 기업은 결국 해당 데이터가 어디에서 언제 어떻게 사용되는지 파악하지 못하게 이로...

2016.08.16

오라클 결제 시스템 부문 '마이크로스' 침탈 ··· 러시아 범죄조직 유력

러시아 사이버 범죄자들이 오라클의 POS 시스템 사업 부문 '마이크로스'(Micros)에 침투했다고 한 유력 블로거가 전했다. 마이크로스는 현재 매장 및 식당 POS 시스템 분야 1위의 벤더다. 브라이언 크렙스가 지난 8일 자신이 운영하는 '크렙스 온 시큐리티 블로그'에 게재한 포스트에 따르면, 이번 해킹은 마이크로스의 컴퓨터 700대에 영향을 끼쳤으며, 1대의 단일 머신에 침투한 것으로 관측된다. 우려되는 지점은 잠재적 피해 규모와 영향이다. 오라클은 2014년 마이크로스를 인수하며, 이 기업의 시스템이 전세계 180여 국가에 걸쳐 33만 곳 이상에서 활용되고 있다고 밝힌 바 있다. 이번 사건은 또 오라클에게 망신일 수도 있다. 오라클이 최근 자사의 보안 제품을 집중적으로 홍보하고 있었기 때문이다. 한편 오라클은 마이크로스트 고객사들에게 이번 사건에 대해 공지했다고 전했다. 오라클이 IDG 뉴스 서비스에 공유한 공지문 원문에 따르면, 오라클은 "특정 레거시 마이크로스 시스템 내에서 악성 코드를 발견해 확인했다"라고 고객사들에게 통지했다. 이 편지에는 또 지불 카드 데이터가 마이크로스 시스템 내에 정적 및 동적 측면 모두에서 암호화돼 있었다고 기술돼 있다. 오라클 측은 추가적인 보안 조치를 적용한 상태라고 밝혔지만 그 조치가 무엇인지에 대해서는 언급하지 공개하지 않았다. 현재 마이크로스를 이용하는 고객사는 패스워드를 변경할 것이 권고되고 있다. 크렙스는 2명의 보안 전문가 발언을 인용해 오라클 고객 지원 포탈이 러시아 범죄 조직 '카바낙 갱'(Carbanak Gang)의 서버와 연결돼 있었다고 밝혔다. ciokr@idg.co.kr  

오라클 해킹 침해 러시아 마이크로스 카바낙 갱

2016.08.09

러시아 사이버 범죄자들이 오라클의 POS 시스템 사업 부문 '마이크로스'(Micros)에 침투했다고 한 유력 블로거가 전했다. 마이크로스는 현재 매장 및 식당 POS 시스템 분야 1위의 벤더다. 브라이언 크렙스가 지난 8일 자신이 운영하는 '크렙스 온 시큐리티 블로그'에 게재한 포스트에 따르면, 이번 해킹은 마이크로스의 컴퓨터 700대에 영향을 끼쳤으며, 1대의 단일 머신에 침투한 것으로 관측된다. 우려되는 지점은 잠재적 피해 규모와 영향이다. 오라클은 2014년 마이크로스를 인수하며, 이 기업의 시스템이 전세계 180여 국가에 걸쳐 33만 곳 이상에서 활용되고 있다고 밝힌 바 있다. 이번 사건은 또 오라클에게 망신일 수도 있다. 오라클이 최근 자사의 보안 제품을 집중적으로 홍보하고 있었기 때문이다. 한편 오라클은 마이크로스트 고객사들에게 이번 사건에 대해 공지했다고 전했다. 오라클이 IDG 뉴스 서비스에 공유한 공지문 원문에 따르면, 오라클은 "특정 레거시 마이크로스 시스템 내에서 악성 코드를 발견해 확인했다"라고 고객사들에게 통지했다. 이 편지에는 또 지불 카드 데이터가 마이크로스 시스템 내에 정적 및 동적 측면 모두에서 암호화돼 있었다고 기술돼 있다. 오라클 측은 추가적인 보안 조치를 적용한 상태라고 밝혔지만 그 조치가 무엇인지에 대해서는 언급하지 공개하지 않았다. 현재 마이크로스를 이용하는 고객사는 패스워드를 변경할 것이 권고되고 있다. 크렙스는 2명의 보안 전문가 발언을 인용해 오라클 고객 지원 포탈이 러시아 범죄 조직 '카바낙 갱'(Carbanak Gang)의 서버와 연결돼 있었다고 밝혔다. ciokr@idg.co.kr  

2016.08.09

감시 사회... 빅브라더는 공공장소의 대화도 엿듣는다

유비쿼터스 보안 카메라가 도처에 설치된 사회에서 대부분 사람들은 정부나 사설기관 등 일정 형태의 빅브라더(Big Brother)가 자신을 감시하고 있다는 사실을 인지하고 있다. 하지만 미국의 일부 영역에서는 도청까지 한다는 사실은 잘 모르고 있다. 뉴욕시의 그랜드센트럴역. Credit : Getty Image 아직 널리 확산되지는 않았지만 미국내 도심의 대중교통 시스템에서 부분적으로 오디오 감시 도입이 점차 늘어나는 추세다. 프라이버시를 지지하는 사람들의 관점에서는 나쁜 소식이다. 하지만 때에 따라서는 대중의 인식으로 이를 줄일 수 있다는 점이 희소식이다. 대중교통 내 오디오 감시… ‘승객의 안전’ 위해 지난주, NJT(New Jersey Transit)가 일부 기차에서 오디오 감시 데이터 저장 관리 및 접근에 대한 정책이 없음이 드러나면서 해당 프로그램을 종료하게 되었다. 지난 4월, <AP(Associated Press)>는 NJT가 뉴어크(Newark)과 허드슨(Hudson) 카운티의 트렌턴(Trenton)과 캠던(Camden)을 잇는 기차에서 녹음 시스템을 사용하고 있다고 보도했다. 해당 기관에서 전무를 지냈던 데니스 마틴은 <AP>에 그 목적이 ‘범죄 활동을 억제’하고 승객의 안전을 보호하는 것이었다고 밝혔다. 하지만 그는 해당 오디오 데이터를 어떻게 얼마나 오래 보관하고, 누가 검토하며 어떻게 폐기하는지에 대해 함구했으며 단지 "이에 관한 법률이 있으며 우리는 이를 준수하고 있다"고만 말했다. --------------------------------------------------------------- 감시카메라 인기기사 -> 'CCTV는 진화 중' 감시 카메라 분야의 5가지 혁신 -> 오, 놀라워라! 클라우드 기술의 6가지 발전 -> 미래형 감시 로봇의 ...

CSO 감시 사회 Big Brother 대중교통 CCTV 빅브라더 언론의 자유 도청 침해 CISO 프라이버시 공공장소

2016.07.06

유비쿼터스 보안 카메라가 도처에 설치된 사회에서 대부분 사람들은 정부나 사설기관 등 일정 형태의 빅브라더(Big Brother)가 자신을 감시하고 있다는 사실을 인지하고 있다. 하지만 미국의 일부 영역에서는 도청까지 한다는 사실은 잘 모르고 있다. 뉴욕시의 그랜드센트럴역. Credit : Getty Image 아직 널리 확산되지는 않았지만 미국내 도심의 대중교통 시스템에서 부분적으로 오디오 감시 도입이 점차 늘어나는 추세다. 프라이버시를 지지하는 사람들의 관점에서는 나쁜 소식이다. 하지만 때에 따라서는 대중의 인식으로 이를 줄일 수 있다는 점이 희소식이다. 대중교통 내 오디오 감시… ‘승객의 안전’ 위해 지난주, NJT(New Jersey Transit)가 일부 기차에서 오디오 감시 데이터 저장 관리 및 접근에 대한 정책이 없음이 드러나면서 해당 프로그램을 종료하게 되었다. 지난 4월, <AP(Associated Press)>는 NJT가 뉴어크(Newark)과 허드슨(Hudson) 카운티의 트렌턴(Trenton)과 캠던(Camden)을 잇는 기차에서 녹음 시스템을 사용하고 있다고 보도했다. 해당 기관에서 전무를 지냈던 데니스 마틴은 <AP>에 그 목적이 ‘범죄 활동을 억제’하고 승객의 안전을 보호하는 것이었다고 밝혔다. 하지만 그는 해당 오디오 데이터를 어떻게 얼마나 오래 보관하고, 누가 검토하며 어떻게 폐기하는지에 대해 함구했으며 단지 "이에 관한 법률이 있으며 우리는 이를 준수하고 있다"고만 말했다. --------------------------------------------------------------- 감시카메라 인기기사 -> 'CCTV는 진화 중' 감시 카메라 분야의 5가지 혁신 -> 오, 놀라워라! 클라우드 기술의 6가지 발전 -> 미래형 감시 로봇의 ...

2016.07.06

미국 이사진 59% '보안 사고 보고 안 한 CISO, 퇴출'

CISO가 보안 사고에 대해 이사회에 정확히 보고하지 않거나 정보를 공유하지 않으면, 퇴출당할 수 있는 것으로 조사됐다.  베이다이나믹스(Bay Dynamics)의 최근 조사에 따르면, 이같이 생각하는 이사진들이 59%나 되는 것으로 집계됐다. 베이다이나믹스의 공동 창업자 겸 CTO인 라이언 스톨테는 "CISO가 어느 정도는 이사회 마음에 들어야지 그렇지 않으면, 이러한 조치를 취할 것이다"고 말했다. 이는 이사회가 사이버보안을 어떻게 바라보는지에 관한 변곡점을 나타낸다고 그는 말을 이었다. 스톨테는 “과거 이사회는 데이터 침해 사고를 단순히 자연재해나 신의 영역으로 간주했다. 또는 CISO가 막을 수 있는 데이터 침해가 아니라 해도 CISO를 해고했다”고 밝혔다. 스톨테는 "이제 이사회가 데이터 침해를 위험 관리 문제로 취급하고 있다"며 "이는 생각이 변화하과 있다는 증거다"고 말했다. CISO는 적재적소에 맞는 보안 프로세스가 있고 듀 딜리전스를 실시하며, 기본적인 사항을 관리할 것 기대를 받고 있다. 최근 버라이즌 보고서에 따르면, 데이터 침해의 63%는 도난당한 크레덴셜과 관련돼 있으며 이는 기업이 여전히 이중 인증을 유효하게 활용하지 않기 때문으로 파악됐다. 스톨테는 "버라이즌 보고서를 보면, 사람들이 오랫동안 알고 있는 것으로 데이터 침해를 당했음을 알게 된다"고 말했다. 그에 따르면, 침해 사고가 발생하면 CISO들은 효과적인 작업을 수행하고 있고 업계의 모범 사례를 따르고 있음을 보여줘야 한다. "공격을 받으면, 어떻게 대응하나? 어떻게 준비하나? 사이버 침해가 있을 수 있고, 지금까지 배를 잘 피해왔던 것처럼 오랫동안 자리를 보존할 수 있을까? 이사회가 훌륭한 거버넌스에 좀더 관심을 기울이고 비용을 지불한다면, 이는 자연히 우리에게 실제로 정말 좋은 거버넌스를 할 수 있게 할지도 모른다. 우리...

CSO 회의 사이버공격 퇴출 침해 이사회 감사 유출 CISO 조사 보고 커뮤니케이션 베이다이나믹스

2016.06.15

CISO가 보안 사고에 대해 이사회에 정확히 보고하지 않거나 정보를 공유하지 않으면, 퇴출당할 수 있는 것으로 조사됐다.  베이다이나믹스(Bay Dynamics)의 최근 조사에 따르면, 이같이 생각하는 이사진들이 59%나 되는 것으로 집계됐다. 베이다이나믹스의 공동 창업자 겸 CTO인 라이언 스톨테는 "CISO가 어느 정도는 이사회 마음에 들어야지 그렇지 않으면, 이러한 조치를 취할 것이다"고 말했다. 이는 이사회가 사이버보안을 어떻게 바라보는지에 관한 변곡점을 나타낸다고 그는 말을 이었다. 스톨테는 “과거 이사회는 데이터 침해 사고를 단순히 자연재해나 신의 영역으로 간주했다. 또는 CISO가 막을 수 있는 데이터 침해가 아니라 해도 CISO를 해고했다”고 밝혔다. 스톨테는 "이제 이사회가 데이터 침해를 위험 관리 문제로 취급하고 있다"며 "이는 생각이 변화하과 있다는 증거다"고 말했다. CISO는 적재적소에 맞는 보안 프로세스가 있고 듀 딜리전스를 실시하며, 기본적인 사항을 관리할 것 기대를 받고 있다. 최근 버라이즌 보고서에 따르면, 데이터 침해의 63%는 도난당한 크레덴셜과 관련돼 있으며 이는 기업이 여전히 이중 인증을 유효하게 활용하지 않기 때문으로 파악됐다. 스톨테는 "버라이즌 보고서를 보면, 사람들이 오랫동안 알고 있는 것으로 데이터 침해를 당했음을 알게 된다"고 말했다. 그에 따르면, 침해 사고가 발생하면 CISO들은 효과적인 작업을 수행하고 있고 업계의 모범 사례를 따르고 있음을 보여줘야 한다. "공격을 받으면, 어떻게 대응하나? 어떻게 준비하나? 사이버 침해가 있을 수 있고, 지금까지 배를 잘 피해왔던 것처럼 오랫동안 자리를 보존할 수 있을까? 이사회가 훌륭한 거버넌스에 좀더 관심을 기울이고 비용을 지불한다면, 이는 자연히 우리에게 실제로 정말 좋은 거버넌스를 할 수 있게 할지도 모른다. 우리...

2016.06.15

데이터 누출 이후 소비자 행동 분석해보니... '분개하지만 이내 용서한다?'

데이터 침해 사고를 다룬 기사들은 고객들이 금방이라도 떠날 것 같은 뉘앙스를 풍기곤 한다. 실제로 사고 이후 조사를 진행하면 응답자들이 분노를 표현하며 해당 업체에 되돌아오지 않을 것처럼 대답한다.  그런데 정말로 그럴까? 브랜든 윌리엄스(@BrandenWilliams) 박사가 이에 대해 심도 있게 연구했다. 여기 ‘보안 침해 사고 이후의 소비자 행동에 관한 연구에서 무엇이 밝혀졌는가’라는 제목의 보고서에서 확인할 수 있는 그의 결론을 정리했다. 윌리엄스 박사는 MAC(Merchant Acquirer’s Committee, 트위터, 웹사이트)와 함께 소비자의 행동 정보를 수집·분석했다. 이 슬라이드쇼의 모든 그래프는 윌리엄스 박스가 제공한 것이다. ciokr@idg.co.kr

데이터 신용카드 유출 리테일 태도 소비자 행동 소비자 전자상거래 침해 사고 유출 개인정보 해킹 온라인 사이트

2016.02.03

데이터 침해 사고를 다룬 기사들은 고객들이 금방이라도 떠날 것 같은 뉘앙스를 풍기곤 한다. 실제로 사고 이후 조사를 진행하면 응답자들이 분노를 표현하며 해당 업체에 되돌아오지 않을 것처럼 대답한다.  그런데 정말로 그럴까? 브랜든 윌리엄스(@BrandenWilliams) 박사가 이에 대해 심도 있게 연구했다. 여기 ‘보안 침해 사고 이후의 소비자 행동에 관한 연구에서 무엇이 밝혀졌는가’라는 제목의 보고서에서 확인할 수 있는 그의 결론을 정리했다. 윌리엄스 박사는 MAC(Merchant Acquirer’s Committee, 트위터, 웹사이트)와 함께 소비자의 행동 정보를 수집·분석했다. 이 슬라이드쇼의 모든 그래프는 윌리엄스 박스가 제공한 것이다. ciokr@idg.co.kr

2016.02.03

기업에 최고프라이버시책임자(CPO)가 필요한 5가지 이유

거의 모든 산업의 경영에서 데이터가 필수 요소가 되면서 기업들은 프라이버시 관리가 그만큼 중요하다는 사실을 깨닫기 시작했다. 하지만 안타깝게도 프라이버시 관리가 얼마나 중요한지 기업들이 잘 모르고 안일하게 여기고 있다는 조사 결과가 나왔다. 이미지 출처 : Thinkstock 클라우드 기반 데이터 보호 업체인 드루바(Druva)가 임직원 수 100~5,000명인 기업에서 근무 중인 214명을 대상으로 ‘2015년 데이터 프라이버시 현황’을 조사한 결과, 응답자의 81%는 회사가 정부의 프라이버시 컴플라이언스 및 규제 요건을 따르는 것으로 나타났다. 그러나 데이터 프라이버시 관리에 어려움을 느끼는 사람들은 93%나 됐으며 프라이버시 컴플라이언스 및 규제를 따르는 데 어려움이 있다고 답한 사람들은 71%로 집계됐다.  기업들은 향후 보안 유지에 도움이 될 최고프라이버시책임자(Chief Privacy Officer) 고용 여부를 고려하는 것도 이러한 조사 결과를 뒷받침 하고 있다. 보안 서비스 제공업체인 인트랄링크(Intralink)의 글로벌 프라이버시 책임자인 디마 프레지는 올해는 C레벨 임원인 CPO에 투자하는 것이 중요하다고 강조했다. 그녀는 CPO 채용을 진지하게 고민하지 않는 기업들은 유출 사고가 발생해 벌금을 물게 될 경우 막대한 자금과 명성을 잃게 될 것이라고 말했다. 프레지는 올해 CPO 채용을 심사숙고 해야만 하는 5가지 이유를 다음과 같이 설명했다. 1. 업계 지형 변화 기술이 빠르게 변화하는 만큼 기업에게 데이터가 중요해지는 속도도 빨라지고 있다. 기업들은 데이터가 어떻게 경영을 혁신적으로 바꿔나가는지 그 과정에 대해 깨닫기 시작했다. 그러나 좋은 일에는 나쁜 점도 따르기 마련이며, 그 나쁜 점이란 기밀 정보 보안 유지와 관련이 있다. IT가 데이터 보호를 책임질 것이라고 막연히 기대하는 사람들이 있는데, 정보 보안은 그처럼 쉬운 일이 아니다. 기업들은 프라이버시...

데이터 최고프라이버시책임자 사이버 보안 CPO 침해 유출 CISO 개인정보 보호 CIO 드루바

2016.02.02

거의 모든 산업의 경영에서 데이터가 필수 요소가 되면서 기업들은 프라이버시 관리가 그만큼 중요하다는 사실을 깨닫기 시작했다. 하지만 안타깝게도 프라이버시 관리가 얼마나 중요한지 기업들이 잘 모르고 안일하게 여기고 있다는 조사 결과가 나왔다. 이미지 출처 : Thinkstock 클라우드 기반 데이터 보호 업체인 드루바(Druva)가 임직원 수 100~5,000명인 기업에서 근무 중인 214명을 대상으로 ‘2015년 데이터 프라이버시 현황’을 조사한 결과, 응답자의 81%는 회사가 정부의 프라이버시 컴플라이언스 및 규제 요건을 따르는 것으로 나타났다. 그러나 데이터 프라이버시 관리에 어려움을 느끼는 사람들은 93%나 됐으며 프라이버시 컴플라이언스 및 규제를 따르는 데 어려움이 있다고 답한 사람들은 71%로 집계됐다.  기업들은 향후 보안 유지에 도움이 될 최고프라이버시책임자(Chief Privacy Officer) 고용 여부를 고려하는 것도 이러한 조사 결과를 뒷받침 하고 있다. 보안 서비스 제공업체인 인트랄링크(Intralink)의 글로벌 프라이버시 책임자인 디마 프레지는 올해는 C레벨 임원인 CPO에 투자하는 것이 중요하다고 강조했다. 그녀는 CPO 채용을 진지하게 고민하지 않는 기업들은 유출 사고가 발생해 벌금을 물게 될 경우 막대한 자금과 명성을 잃게 될 것이라고 말했다. 프레지는 올해 CPO 채용을 심사숙고 해야만 하는 5가지 이유를 다음과 같이 설명했다. 1. 업계 지형 변화 기술이 빠르게 변화하는 만큼 기업에게 데이터가 중요해지는 속도도 빨라지고 있다. 기업들은 데이터가 어떻게 경영을 혁신적으로 바꿔나가는지 그 과정에 대해 깨닫기 시작했다. 그러나 좋은 일에는 나쁜 점도 따르기 마련이며, 그 나쁜 점이란 기밀 정보 보안 유지와 관련이 있다. IT가 데이터 보호를 책임질 것이라고 막연히 기대하는 사람들이 있는데, 정보 보안은 그처럼 쉬운 일이 아니다. 기업들은 프라이버시...

2016.02.02

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.5