Offcanvas

������������������

미국 이사진 59% '보안 사고 보고 안 한 CISO, 퇴출'

CISO가 보안 사고에 대해 이사회에 정확히 보고하지 않거나 정보를 공유하지 않으면, 퇴출당할 수 있는 것으로 조사됐다.  베이다이나믹스(Bay Dynamics)의 최근 조사에 따르면, 이같이 생각하는 이사진들이 59%나 되는 것으로 집계됐다. 베이다이나믹스의 공동 창업자 겸 CTO인 라이언 스톨테는 "CISO가 어느 정도는 이사회 마음에 들어야지 그렇지 않으면, 이러한 조치를 취할 것이다"고 말했다. 이는 이사회가 사이버보안을 어떻게 바라보는지에 관한 변곡점을 나타낸다고 그는 말을 이었다. 스톨테는 “과거 이사회는 데이터 침해 사고를 단순히 자연재해나 신의 영역으로 간주했다. 또는 CISO가 막을 수 있는 데이터 침해가 아니라 해도 CISO를 해고했다”고 밝혔다. 스톨테는 "이제 이사회가 데이터 침해를 위험 관리 문제로 취급하고 있다"며 "이는 생각이 변화하과 있다는 증거다"고 말했다. CISO는 적재적소에 맞는 보안 프로세스가 있고 듀 딜리전스를 실시하며, 기본적인 사항을 관리할 것 기대를 받고 있다. 최근 버라이즌 보고서에 따르면, 데이터 침해의 63%는 도난당한 크레덴셜과 관련돼 있으며 이는 기업이 여전히 이중 인증을 유효하게 활용하지 않기 때문으로 파악됐다. 스톨테는 "버라이즌 보고서를 보면, 사람들이 오랫동안 알고 있는 것으로 데이터 침해를 당했음을 알게 된다"고 말했다. 그에 따르면, 침해 사고가 발생하면 CISO들은 효과적인 작업을 수행하고 있고 업계의 모범 사례를 따르고 있음을 보여줘야 한다. "공격을 받으면, 어떻게 대응하나? 어떻게 준비하나? 사이버 침해가 있을 수 있고, 지금까지 배를 잘 피해왔던 것처럼 오랫동안 자리를 보존할 수 있을까? 이사회가 훌륭한 거버넌스에 좀더 관심을 기울이고 비용을 지불한다면, 이는 자연히 우리에게 실제로 정말 좋은 거버넌스를 할 수 있게 할지도 모른다. 우리...

CSO 회의 사이버공격 퇴출 침해 이사회 감사 유출 CISO 조사 보고 커뮤니케이션 베이다이나믹스

2016.06.15

CISO가 보안 사고에 대해 이사회에 정확히 보고하지 않거나 정보를 공유하지 않으면, 퇴출당할 수 있는 것으로 조사됐다.  베이다이나믹스(Bay Dynamics)의 최근 조사에 따르면, 이같이 생각하는 이사진들이 59%나 되는 것으로 집계됐다. 베이다이나믹스의 공동 창업자 겸 CTO인 라이언 스톨테는 "CISO가 어느 정도는 이사회 마음에 들어야지 그렇지 않으면, 이러한 조치를 취할 것이다"고 말했다. 이는 이사회가 사이버보안을 어떻게 바라보는지에 관한 변곡점을 나타낸다고 그는 말을 이었다. 스톨테는 “과거 이사회는 데이터 침해 사고를 단순히 자연재해나 신의 영역으로 간주했다. 또는 CISO가 막을 수 있는 데이터 침해가 아니라 해도 CISO를 해고했다”고 밝혔다. 스톨테는 "이제 이사회가 데이터 침해를 위험 관리 문제로 취급하고 있다"며 "이는 생각이 변화하과 있다는 증거다"고 말했다. CISO는 적재적소에 맞는 보안 프로세스가 있고 듀 딜리전스를 실시하며, 기본적인 사항을 관리할 것 기대를 받고 있다. 최근 버라이즌 보고서에 따르면, 데이터 침해의 63%는 도난당한 크레덴셜과 관련돼 있으며 이는 기업이 여전히 이중 인증을 유효하게 활용하지 않기 때문으로 파악됐다. 스톨테는 "버라이즌 보고서를 보면, 사람들이 오랫동안 알고 있는 것으로 데이터 침해를 당했음을 알게 된다"고 말했다. 그에 따르면, 침해 사고가 발생하면 CISO들은 효과적인 작업을 수행하고 있고 업계의 모범 사례를 따르고 있음을 보여줘야 한다. "공격을 받으면, 어떻게 대응하나? 어떻게 준비하나? 사이버 침해가 있을 수 있고, 지금까지 배를 잘 피해왔던 것처럼 오랫동안 자리를 보존할 수 있을까? 이사회가 훌륭한 거버넌스에 좀더 관심을 기울이고 비용을 지불한다면, 이는 자연히 우리에게 실제로 정말 좋은 거버넌스를 할 수 있게 할지도 모른다. 우리...

2016.06.15

데이터 누출 이후 소비자 행동 분석해보니... '분개하지만 이내 용서한다?'

데이터 침해 사고를 다룬 기사들은 고객들이 금방이라도 떠날 것 같은 뉘앙스를 풍기곤 한다. 실제로 사고 이후 조사를 진행하면 응답자들이 분노를 표현하며 해당 업체에 되돌아오지 않을 것처럼 대답한다.  그런데 정말로 그럴까? 브랜든 윌리엄스(@BrandenWilliams) 박사가 이에 대해 심도 있게 연구했다. 여기 ‘보안 침해 사고 이후의 소비자 행동에 관한 연구에서 무엇이 밝혀졌는가’라는 제목의 보고서에서 확인할 수 있는 그의 결론을 정리했다. 윌리엄스 박사는 MAC(Merchant Acquirer’s Committee, 트위터, 웹사이트)와 함께 소비자의 행동 정보를 수집·분석했다. 이 슬라이드쇼의 모든 그래프는 윌리엄스 박스가 제공한 것이다. ciokr@idg.co.kr

데이터 신용카드 유출 리테일 태도 소비자 행동 소비자 전자상거래 침해 사고 유출 개인정보 해킹 온라인 사이트

2016.02.03

데이터 침해 사고를 다룬 기사들은 고객들이 금방이라도 떠날 것 같은 뉘앙스를 풍기곤 한다. 실제로 사고 이후 조사를 진행하면 응답자들이 분노를 표현하며 해당 업체에 되돌아오지 않을 것처럼 대답한다.  그런데 정말로 그럴까? 브랜든 윌리엄스(@BrandenWilliams) 박사가 이에 대해 심도 있게 연구했다. 여기 ‘보안 침해 사고 이후의 소비자 행동에 관한 연구에서 무엇이 밝혀졌는가’라는 제목의 보고서에서 확인할 수 있는 그의 결론을 정리했다. 윌리엄스 박사는 MAC(Merchant Acquirer’s Committee, 트위터, 웹사이트)와 함께 소비자의 행동 정보를 수집·분석했다. 이 슬라이드쇼의 모든 그래프는 윌리엄스 박스가 제공한 것이다. ciokr@idg.co.kr

2016.02.03

기업에 최고프라이버시책임자(CPO)가 필요한 5가지 이유

거의 모든 산업의 경영에서 데이터가 필수 요소가 되면서 기업들은 프라이버시 관리가 그만큼 중요하다는 사실을 깨닫기 시작했다. 하지만 안타깝게도 프라이버시 관리가 얼마나 중요한지 기업들이 잘 모르고 안일하게 여기고 있다는 조사 결과가 나왔다. 이미지 출처 : Thinkstock 클라우드 기반 데이터 보호 업체인 드루바(Druva)가 임직원 수 100~5,000명인 기업에서 근무 중인 214명을 대상으로 ‘2015년 데이터 프라이버시 현황’을 조사한 결과, 응답자의 81%는 회사가 정부의 프라이버시 컴플라이언스 및 규제 요건을 따르는 것으로 나타났다. 그러나 데이터 프라이버시 관리에 어려움을 느끼는 사람들은 93%나 됐으며 프라이버시 컴플라이언스 및 규제를 따르는 데 어려움이 있다고 답한 사람들은 71%로 집계됐다.  기업들은 향후 보안 유지에 도움이 될 최고프라이버시책임자(Chief Privacy Officer) 고용 여부를 고려하는 것도 이러한 조사 결과를 뒷받침 하고 있다. 보안 서비스 제공업체인 인트랄링크(Intralink)의 글로벌 프라이버시 책임자인 디마 프레지는 올해는 C레벨 임원인 CPO에 투자하는 것이 중요하다고 강조했다. 그녀는 CPO 채용을 진지하게 고민하지 않는 기업들은 유출 사고가 발생해 벌금을 물게 될 경우 막대한 자금과 명성을 잃게 될 것이라고 말했다. 프레지는 올해 CPO 채용을 심사숙고 해야만 하는 5가지 이유를 다음과 같이 설명했다. 1. 업계 지형 변화 기술이 빠르게 변화하는 만큼 기업에게 데이터가 중요해지는 속도도 빨라지고 있다. 기업들은 데이터가 어떻게 경영을 혁신적으로 바꿔나가는지 그 과정에 대해 깨닫기 시작했다. 그러나 좋은 일에는 나쁜 점도 따르기 마련이며, 그 나쁜 점이란 기밀 정보 보안 유지와 관련이 있다. IT가 데이터 보호를 책임질 것이라고 막연히 기대하는 사람들이 있는데, 정보 보안은 그처럼 쉬운 일이 아니다. 기업들은 프라이버시...

데이터 최고프라이버시책임자 사이버 보안 CPO 침해 유출 CISO 개인정보 보호 CIO 드루바

2016.02.02

거의 모든 산업의 경영에서 데이터가 필수 요소가 되면서 기업들은 프라이버시 관리가 그만큼 중요하다는 사실을 깨닫기 시작했다. 하지만 안타깝게도 프라이버시 관리가 얼마나 중요한지 기업들이 잘 모르고 안일하게 여기고 있다는 조사 결과가 나왔다. 이미지 출처 : Thinkstock 클라우드 기반 데이터 보호 업체인 드루바(Druva)가 임직원 수 100~5,000명인 기업에서 근무 중인 214명을 대상으로 ‘2015년 데이터 프라이버시 현황’을 조사한 결과, 응답자의 81%는 회사가 정부의 프라이버시 컴플라이언스 및 규제 요건을 따르는 것으로 나타났다. 그러나 데이터 프라이버시 관리에 어려움을 느끼는 사람들은 93%나 됐으며 프라이버시 컴플라이언스 및 규제를 따르는 데 어려움이 있다고 답한 사람들은 71%로 집계됐다.  기업들은 향후 보안 유지에 도움이 될 최고프라이버시책임자(Chief Privacy Officer) 고용 여부를 고려하는 것도 이러한 조사 결과를 뒷받침 하고 있다. 보안 서비스 제공업체인 인트랄링크(Intralink)의 글로벌 프라이버시 책임자인 디마 프레지는 올해는 C레벨 임원인 CPO에 투자하는 것이 중요하다고 강조했다. 그녀는 CPO 채용을 진지하게 고민하지 않는 기업들은 유출 사고가 발생해 벌금을 물게 될 경우 막대한 자금과 명성을 잃게 될 것이라고 말했다. 프레지는 올해 CPO 채용을 심사숙고 해야만 하는 5가지 이유를 다음과 같이 설명했다. 1. 업계 지형 변화 기술이 빠르게 변화하는 만큼 기업에게 데이터가 중요해지는 속도도 빨라지고 있다. 기업들은 데이터가 어떻게 경영을 혁신적으로 바꿔나가는지 그 과정에 대해 깨닫기 시작했다. 그러나 좋은 일에는 나쁜 점도 따르기 마련이며, 그 나쁜 점이란 기밀 정보 보안 유지와 관련이 있다. IT가 데이터 보호를 책임질 것이라고 막연히 기대하는 사람들이 있는데, 정보 보안은 그처럼 쉬운 일이 아니다. 기업들은 프라이버시...

2016.02.02

'예방 아닌 예견으로' 보안 접근법 개선을 위한 4가지 질문

해킹 사고의 여파를 체험한 적이 있는가? 결제 카드나 기타 정보가 해킹되었을 수 있다는 내용의 메일을 받은 적이 있는가? 청중들에게 이런 질문을 던질 때마다 손을 드는 사람들의 수가 늘어나고 있다. 그렇다면 모든 보안 침해를 예방할 수 있을까? 이제는 많은 이들이 "보안 사고란 일어나게 마련이다"라는 반응을 보인다. 여기에서 더 나은 질문을 던질 수 있다. '보안 사고를 예방할 필요가 있을까?'라는 질문이다. 다음의 슬라이드를 이용해 이 질문에 대한 답을 생각해 보자. ciokr@idg.co.kr  

보안 해킹 누출 침해 예방 예측

2015.11.04

해킹 사고의 여파를 체험한 적이 있는가? 결제 카드나 기타 정보가 해킹되었을 수 있다는 내용의 메일을 받은 적이 있는가? 청중들에게 이런 질문을 던질 때마다 손을 드는 사람들의 수가 늘어나고 있다. 그렇다면 모든 보안 침해를 예방할 수 있을까? 이제는 많은 이들이 "보안 사고란 일어나게 마련이다"라는 반응을 보인다. 여기에서 더 나은 질문을 던질 수 있다. '보안 사고를 예방할 필요가 있을까?'라는 질문이다. 다음의 슬라이드를 이용해 이 질문에 대한 답을 생각해 보자. ciokr@idg.co.kr  

2015.11.04

데이터 침해 사고 10% ↑ 정보 유출 건수 41% ↓

젬알토의 최근 보고서에 따르면, 지난해 상반기에 비해 올 상반기 데이터 침해 사고 자체는 늘었지만 개별 정보 유출 건수는 41% 줄어든 것으로 조사됐다. 이미지 출처 : Thinkstock "신분 도용이 꾸준히 공격에서 주도적인 형태가 되고 있다"라고 젬알토에서 데이터 보호 담당 부사장 겸 CTO인 제이슨 하트는 말했다. 신분 도용은 전체 데이터 침해 사고에서 53%인 472건이며 신고 접수된 개별 정보에서 신분 도용은 약 75%를 차지했다. 신분 도용 자체는 지난해 약간 줄었지만 2013년 상반기의 396건에 비해서 472건은 여전히 많은 편이다. 신분 도용 다음으로 가장 많은 것은 금융 정보 접근으로, 올 상반기 197건으로 집계됐다. 이는 2014년 상반기 119건에서 크게 증가했다. 올 상반기 발생한 데이터 침해 사고는 총 888건이었으며 이는 지난해보다 10% 늘어난 규모라고 하트는 말했다. 젬알토에 따르면 전체 정보 유출 건수는 2억 4,600만 건이었다.   개별 정보 침해 건수가 줄어든 이유는 지난해에 비해 올해 대규모 데이터 침해 사고가 더 적었기 때문이다. 현재까지 알려진 올해 발생한 대규모 데이터 침해 사고는 7,900만 건의 정보가 유출됐던 앤썸보험사 사고가 가장 컸다. 다른 대규모 사고로는 미국 공무원 인사정보 2,100만 건 유출, 터키 정부 GDPCA(General Directorate of Population and Citizenship Affairs)의 2,000만 건 기록 유출, 러시아 데이트 사이트인 톱페이스(Topface)의 2,000만 건 유출 등이 있다.   지난해와 비교할 때 또 다른 특징은 데이터 침해 사고의 62%가 외부의 악의적인 공격으로 인해 발생했다는 점이며 이는 2013년 52%, 2014년 58%로 점차 늘어나는 추세다.   올 상반기 데이터 침해 사고의 22%는 악의적인 내부자에 의한 것이었으며 12%는...

CSO 데이터 유출 개인정보 조사 CISO 사고 침해 젬알토 신분 도용

2015.09.10

젬알토의 최근 보고서에 따르면, 지난해 상반기에 비해 올 상반기 데이터 침해 사고 자체는 늘었지만 개별 정보 유출 건수는 41% 줄어든 것으로 조사됐다. 이미지 출처 : Thinkstock "신분 도용이 꾸준히 공격에서 주도적인 형태가 되고 있다"라고 젬알토에서 데이터 보호 담당 부사장 겸 CTO인 제이슨 하트는 말했다. 신분 도용은 전체 데이터 침해 사고에서 53%인 472건이며 신고 접수된 개별 정보에서 신분 도용은 약 75%를 차지했다. 신분 도용 자체는 지난해 약간 줄었지만 2013년 상반기의 396건에 비해서 472건은 여전히 많은 편이다. 신분 도용 다음으로 가장 많은 것은 금융 정보 접근으로, 올 상반기 197건으로 집계됐다. 이는 2014년 상반기 119건에서 크게 증가했다. 올 상반기 발생한 데이터 침해 사고는 총 888건이었으며 이는 지난해보다 10% 늘어난 규모라고 하트는 말했다. 젬알토에 따르면 전체 정보 유출 건수는 2억 4,600만 건이었다.   개별 정보 침해 건수가 줄어든 이유는 지난해에 비해 올해 대규모 데이터 침해 사고가 더 적었기 때문이다. 현재까지 알려진 올해 발생한 대규모 데이터 침해 사고는 7,900만 건의 정보가 유출됐던 앤썸보험사 사고가 가장 컸다. 다른 대규모 사고로는 미국 공무원 인사정보 2,100만 건 유출, 터키 정부 GDPCA(General Directorate of Population and Citizenship Affairs)의 2,000만 건 기록 유출, 러시아 데이트 사이트인 톱페이스(Topface)의 2,000만 건 유출 등이 있다.   지난해와 비교할 때 또 다른 특징은 데이터 침해 사고의 62%가 외부의 악의적인 공격으로 인해 발생했다는 점이며 이는 2013년 52%, 2014년 58%로 점차 늘어나는 추세다.   올 상반기 데이터 침해 사고의 22%는 악의적인 내부자에 의한 것이었으며 12%는...

2015.09.10

데이터 유출 사고 비용, 2년간 23% ↑… 379만 달러

데이터 유출 피해를 입은 기업들이 2013년에 비해 현재 23% 더 많은 비용을 지불하는 것으로 조사됐다. RSA 사장 애밋 요란이 지난 4월 미국 샌프란시스코에서 RSA 컨퍼런스에서 발표하고 있다. 이미지 출처 : RSA 데이터 유출 사실이 세상에 알려지는 걸 바라는 기업은 없다. 때문에 기업들이 과거에 비해 현재 사고를 막기 위해 더 큰 비용을 들이는 것으로 나타났다. IBM과 포네몬인스티튜트(Ponemon Institute)가 수요일 발표한 보고서에 따르면, 지난 2년 동안 데이터 유출의 평균 비용이 23% 증가해 379만 달러에 달하는 것으로 파악됐다. 기밀 정보가 담긴 데이터를 도난당했을 경우 이 기록물 당 평균 비용은 지난해 145달러에서 올해 6% 증가한 154달러로 추산됐다. 이 조사는 IBM의 후원으로 포네몬이 11개국의 350개 기업을 대상으로 실시했다. 모든 응답자들은 데이터 유출을 경험한 적 있으며 그 규모가 적게는 2,200개에서 많게는 10만 건 이상의 기록물로 조사됐다. 이번 조사에 개입하지 않았던 트림와이어(Tripwire)의 보안 담당 수석 애널리스트인 켄 웨스틴은 "데이터는 새로운 디지털 통화”라고 말했다. "기업과 정부는 마케팅 통찰력, 개인화, 생산성 향상, 일반 비즈니스를 위해 소비자 데이터를 수집하고 분석함에 따라 범죄자들은 점점 더 데이터를 훔쳐 돈을 버는 방법을 찾고 있다”라고 웨스틴은 설명했다. 포네몬 보고서는 최근 몇 년 동안 데이터 유출 비용이 늘어난 주요 요인으로 사이버공격의 발생률 자체가 높아졌고 그 결과 기업의 손실이 늘어났기 때문이라고 밝혔다. 이 비용은 기업의 손실이 지난해 평균 133만 달러에서 2015년 157만 달러로 늘어난 것과도 관련이 있다. 기업의 손실에는 일반적으로 고객이 빠져 나간 데 따른 손실, 고객 확보 노력 필요, 추락한 회사 평판, 영업권 축소 등이 포함된다. 데이터 유출 비용이 증가한 또다른 요인...

데이터 유출 IBM 조사 비용 침해 포네몬 피해

2015.05.28

데이터 유출 피해를 입은 기업들이 2013년에 비해 현재 23% 더 많은 비용을 지불하는 것으로 조사됐다. RSA 사장 애밋 요란이 지난 4월 미국 샌프란시스코에서 RSA 컨퍼런스에서 발표하고 있다. 이미지 출처 : RSA 데이터 유출 사실이 세상에 알려지는 걸 바라는 기업은 없다. 때문에 기업들이 과거에 비해 현재 사고를 막기 위해 더 큰 비용을 들이는 것으로 나타났다. IBM과 포네몬인스티튜트(Ponemon Institute)가 수요일 발표한 보고서에 따르면, 지난 2년 동안 데이터 유출의 평균 비용이 23% 증가해 379만 달러에 달하는 것으로 파악됐다. 기밀 정보가 담긴 데이터를 도난당했을 경우 이 기록물 당 평균 비용은 지난해 145달러에서 올해 6% 증가한 154달러로 추산됐다. 이 조사는 IBM의 후원으로 포네몬이 11개국의 350개 기업을 대상으로 실시했다. 모든 응답자들은 데이터 유출을 경험한 적 있으며 그 규모가 적게는 2,200개에서 많게는 10만 건 이상의 기록물로 조사됐다. 이번 조사에 개입하지 않았던 트림와이어(Tripwire)의 보안 담당 수석 애널리스트인 켄 웨스틴은 "데이터는 새로운 디지털 통화”라고 말했다. "기업과 정부는 마케팅 통찰력, 개인화, 생산성 향상, 일반 비즈니스를 위해 소비자 데이터를 수집하고 분석함에 따라 범죄자들은 점점 더 데이터를 훔쳐 돈을 버는 방법을 찾고 있다”라고 웨스틴은 설명했다. 포네몬 보고서는 최근 몇 년 동안 데이터 유출 비용이 늘어난 주요 요인으로 사이버공격의 발생률 자체가 높아졌고 그 결과 기업의 손실이 늘어났기 때문이라고 밝혔다. 이 비용은 기업의 손실이 지난해 평균 133만 달러에서 2015년 157만 달러로 늘어난 것과도 관련이 있다. 기업의 손실에는 일반적으로 고객이 빠져 나간 데 따른 손실, 고객 확보 노력 필요, 추락한 회사 평판, 영업권 축소 등이 포함된다. 데이터 유출 비용이 증가한 또다른 요인...

2015.05.28

'보안 사고는 어디서나 발생한다' 주요 산업별로 본 현황

개인간 상해 전문 법률사무소인 모건&모건(Morgan & Morgan)이 2015년 이후 발생한 미국내 정보 유출 사고 9억 3,000만 건의 데이터를 취합해 정리했다. 2010년 개인 정보 유출에 대해 공지 받은 사람이라면, 9명 중 1명은 사기 피해자가 될 가능성이 있다. 2012년까지 이 가능성은 4명 중 1명으로 높아졌다. 2014년에 이는 3명 중 1명으로 조사됐다. 지난 10년 동안 발생했던 정보 유출 사고를 지역과 업종별로 나눠보았다. ciokr@idg.co.kr

CSO 업종 타깃 NGO 정보 유출 인포그래픽 대학 침해 사고 CISO 유통 의료 소니픽처스

2015.04.14

개인간 상해 전문 법률사무소인 모건&모건(Morgan & Morgan)이 2015년 이후 발생한 미국내 정보 유출 사고 9억 3,000만 건의 데이터를 취합해 정리했다. 2010년 개인 정보 유출에 대해 공지 받은 사람이라면, 9명 중 1명은 사기 피해자가 될 가능성이 있다. 2012년까지 이 가능성은 4명 중 1명으로 높아졌다. 2014년에 이는 3명 중 1명으로 조사됐다. 지난 10년 동안 발생했던 정보 유출 사고를 지역과 업종별로 나눠보았다. ciokr@idg.co.kr

2015.04.14

타깃, 피해 고객들에 1,000만 달러 지급 '합의'

미국 대형 유통사인 타깃(Target)이 1,000만 달러를 지급하기로 집단 소송 소비자들과 합의했으며 향후 고객 데이터를 더 잘 보호하는데 투자하겠다고 밝혔다. 개별 피해자가 최대 1만 달러까지 받기 위한 미국 연방법원의 승인이 남아 있다. 연말 쇼핑 시즌 동안 발생했던 공격으로 피해를 입은 사람들은 1억 1,000만 명이었다. 미국 미네소타 지방법원에 제출한 문서에 따르면, 이 합의에는 타깃이 취합하는 고객 데이터를 더 잘 보호하기 위한 조치도 포함돼 있다. 타깃은 고객 데이터를 보호하기 위한 보안 프로그램을 개발해 테스트하고 보안 위협을 파악하고 모니터링하는 프로세스를 구축해야 한다. 또 이 회사는 고객 데이터를 안전하게 보관하는 것에 대해 직원들에게 교육시켜야 한다. 합의 이후 타깃은 이러한 조치를 5년 동안 추진하게 된다. 타깃은 이미 요구 사항 중 하나를 준수하고 있다. 그것은 2014년 6월 최고 정보보안 책임자를 임명한 것이다. 이후 타깃은 페이스북 광고, 특정 잡지, 웹사이트 이외에 이메일과 우편으로 피해를 입은 고객들에게 공지할 예정이다. 합의 내용에 관한 정보를 얻는 사람들을 위해 웹사이트와 핫라인 역시 준비될 것이다. 처음 타깃은 2013년 12월 11월 말부터 12월 중순까지 4,000만 개의 신용카드와 직불카드 계좌가 유출됐다고 말했다. 하지만 2014년 1월 타깃은 이 공격으로 7,000만 명의 피해자가 더 발생했다고 발표했다. 해커들은 타깃 시스템에 접근해 결제 데이터를 캡처한 POS 악성코드를 업로드하기 위해 타깃 계약직 직원의 도난 계정 정보를 사용했다. 공격자들은 결제 정보뿐 아니라, 사람 이름, 이메일 주소, 우편주소, 전화 번호를 빼냈다. 이 보안 사고로 지난해 타깃의 CIO와 CEO가 사임했다. 보안 시스템을 강화하고자 타깃은 칩+PIN 신용카드를 도입하고 있다. 이 카드에는 매장의 결제 단말기끼리 주고받는 구체적인 지불 정보를 암호화하는 마이크로 프로세서가 장착돼 있다. ciokr@idg...

개인정보 유통 소송 유출 사고 침해 합의 타깃

2015.03.20

미국 대형 유통사인 타깃(Target)이 1,000만 달러를 지급하기로 집단 소송 소비자들과 합의했으며 향후 고객 데이터를 더 잘 보호하는데 투자하겠다고 밝혔다. 개별 피해자가 최대 1만 달러까지 받기 위한 미국 연방법원의 승인이 남아 있다. 연말 쇼핑 시즌 동안 발생했던 공격으로 피해를 입은 사람들은 1억 1,000만 명이었다. 미국 미네소타 지방법원에 제출한 문서에 따르면, 이 합의에는 타깃이 취합하는 고객 데이터를 더 잘 보호하기 위한 조치도 포함돼 있다. 타깃은 고객 데이터를 보호하기 위한 보안 프로그램을 개발해 테스트하고 보안 위협을 파악하고 모니터링하는 프로세스를 구축해야 한다. 또 이 회사는 고객 데이터를 안전하게 보관하는 것에 대해 직원들에게 교육시켜야 한다. 합의 이후 타깃은 이러한 조치를 5년 동안 추진하게 된다. 타깃은 이미 요구 사항 중 하나를 준수하고 있다. 그것은 2014년 6월 최고 정보보안 책임자를 임명한 것이다. 이후 타깃은 페이스북 광고, 특정 잡지, 웹사이트 이외에 이메일과 우편으로 피해를 입은 고객들에게 공지할 예정이다. 합의 내용에 관한 정보를 얻는 사람들을 위해 웹사이트와 핫라인 역시 준비될 것이다. 처음 타깃은 2013년 12월 11월 말부터 12월 중순까지 4,000만 개의 신용카드와 직불카드 계좌가 유출됐다고 말했다. 하지만 2014년 1월 타깃은 이 공격으로 7,000만 명의 피해자가 더 발생했다고 발표했다. 해커들은 타깃 시스템에 접근해 결제 데이터를 캡처한 POS 악성코드를 업로드하기 위해 타깃 계약직 직원의 도난 계정 정보를 사용했다. 공격자들은 결제 정보뿐 아니라, 사람 이름, 이메일 주소, 우편주소, 전화 번호를 빼냈다. 이 보안 사고로 지난해 타깃의 CIO와 CEO가 사임했다. 보안 시스템을 강화하고자 타깃은 칩+PIN 신용카드를 도입하고 있다. 이 카드에는 매장의 결제 단말기끼리 주고받는 구체적인 지불 정보를 암호화하는 마이크로 프로세서가 장착돼 있다. ciokr@idg...

2015.03.20

기고 | 개방·공유 정신 퇴색하고 소송으로 얼룩진 오픈소스

오픈소스 세계에서 협업이 줄고 소송이 늘어나는 날이 오게 될 지도 모른다. 현재 미국 법정에서 진행중인 2건의 소송 결과에 따라 향후 오픈소스 관련 줄소송이 이어질 수도 있기 때문이다. 이미지 출처: Thinkstock “오픈소스 소프트웨어를 자유롭게 사용할 수 있던 시대가 끝나가고 있다. 오픈소스 라이선스 조건을 준수하지 못하는 기업은 소송을 당할 수 있다는 의미다.” 이는 라이선싱 전문가이자, 로펌 DLA 파이퍼(DLA Piper)의 파트너인 마크 래드클리프가 제기한 섬뜩한 경고다. 래드클리프는 "오픈소스가 새로운 시대에 접어들고 있다. 서로 협력하고 공생하던 세계가 상업적인 세계로 바뀌고 있다. 일부 업체들이 오픈소스 소프트웨어에 특허 소프트웨어 같은 기준으로 권리를 행사하고 있다. 또 이를 전략적으로 사업에 활용하는 방안을 생각하고 있다"고 말했다. 그는 사람들이 ‘오픈소스 공동체에 제기될 수 있는 소송이 있을까’라고 생각했던 시대는 끝났다고 밝혔다. "지금은 '오픈소스 프로젝트에 기여했으니, 이를 경쟁 무기로 사용해야지'라고 말하는 시대다"고 래드클리프는 정의했다. 버사타 Vs. 아메리프라이즈: GPLv2 라이선싱 래드클리프는 이제 막 변화가 시작됐다면서, '버사타 대 아메리프라이즈(Versata v. Ameriprise)' 소송을 증거로 들었다. 요약하면, 버사타는 특허 소프트웨어 제품인 DCM(Distribution Channel Management)에 심플웨어(XimpleWare)라는 회사의 GPLv2라는 이름으로 라이선싱된 오픈소스 기반의 XML 파싱 유틸리티를 사용했다. (심플웨어는 오픈소스 라이선스를 원하지 않는 기업에 상용 라이선스로 유틸리티를 공급하고 있다. 그러나 버사타는 이 상용 라이선스를 사용하지 않고 있었다.) 그런데 버사타가 아메리프라이즈라는 금융 서...

라이선스 GPLv2 버스타 침해 특허 소송 미래 자바 오라클 구글 CIO 소스 코드

2015.03.10

오픈소스 세계에서 협업이 줄고 소송이 늘어나는 날이 오게 될 지도 모른다. 현재 미국 법정에서 진행중인 2건의 소송 결과에 따라 향후 오픈소스 관련 줄소송이 이어질 수도 있기 때문이다. 이미지 출처: Thinkstock “오픈소스 소프트웨어를 자유롭게 사용할 수 있던 시대가 끝나가고 있다. 오픈소스 라이선스 조건을 준수하지 못하는 기업은 소송을 당할 수 있다는 의미다.” 이는 라이선싱 전문가이자, 로펌 DLA 파이퍼(DLA Piper)의 파트너인 마크 래드클리프가 제기한 섬뜩한 경고다. 래드클리프는 "오픈소스가 새로운 시대에 접어들고 있다. 서로 협력하고 공생하던 세계가 상업적인 세계로 바뀌고 있다. 일부 업체들이 오픈소스 소프트웨어에 특허 소프트웨어 같은 기준으로 권리를 행사하고 있다. 또 이를 전략적으로 사업에 활용하는 방안을 생각하고 있다"고 말했다. 그는 사람들이 ‘오픈소스 공동체에 제기될 수 있는 소송이 있을까’라고 생각했던 시대는 끝났다고 밝혔다. "지금은 '오픈소스 프로젝트에 기여했으니, 이를 경쟁 무기로 사용해야지'라고 말하는 시대다"고 래드클리프는 정의했다. 버사타 Vs. 아메리프라이즈: GPLv2 라이선싱 래드클리프는 이제 막 변화가 시작됐다면서, '버사타 대 아메리프라이즈(Versata v. Ameriprise)' 소송을 증거로 들었다. 요약하면, 버사타는 특허 소프트웨어 제품인 DCM(Distribution Channel Management)에 심플웨어(XimpleWare)라는 회사의 GPLv2라는 이름으로 라이선싱된 오픈소스 기반의 XML 파싱 유틸리티를 사용했다. (심플웨어는 오픈소스 라이선스를 원하지 않는 기업에 상용 라이선스로 유틸리티를 공급하고 있다. 그러나 버사타는 이 상용 라이선스를 사용하지 않고 있었다.) 그런데 버사타가 아메리프라이즈라는 금융 서...

2015.03.10

빅데이터와 사생활 침해, 5가지 시나리오

빅데이터 옹호론자들의 말처럼, 빅데이터의 수집과 이용은 실제적인 혜택을 가져올 수 있다. 소비자의 기호에 맞는 맞춤형 광고, 사고가 났을 때 자동으로 앰뷸런스를 불러주는 스마트 카, 사용자의 건강 상태를 주시하고 문제가 생길 경우 의사에게 연락을 취하는 웨어러블 또는 이식형 전자기기(implantable devices) 등이 그 예다. 그렇지만 빅 데이터가 프라이버시 침해로 이어질 수 있는 것도 사실이다. 어딜 가는지, 누구를 만나는지는 물론 전자기기로 어떤 내용을 읽고 쓰는지, 어떤 음식을 먹고 어떤 콘텐츠를 시청하며 운동은 얼마나 하는지, 잠은 얼마나 자는지 등, 방대한 개인 데이터 생성되고 저장된다. 우리는 불과 십 수년 전만 해도 상상조차 할 수 없었던 개인 정보 노출의 시대를 살고 있다. 또한 그런 정보가 마케터, 금융 기관, 고용주 또는 정부의 손에 들어갈 경우 개인의 인간 관계에서부터 구직, 대출 가능 여부, 심지어는 비행기 티켓 예매에까지 영향을 미칠 수 있음은 이제 분명해졌다. 지금까지 프라이버시 보호를 강조해오던 이들, 그리고 정부 일각에서 이 점에 대해 우려를 표명해오긴 했다. 그러나 실제 프라이버시를 보호할 수 있는 방안과 관련해서는 별다른 조치가 없었다. 2012년 2월 오바마 행정부가 ‘소비자 프라이버시 권리 장전(CPBR, Consumer Privacy Bill of Rights)’을 선포한 이래로 어느덧 3년이 지났다. CPBR은 다음과 같이 기술하고 있다. “미국 내 소비자 프라이버시 데이터 프레임워크는 사실 매우 강력하다. ...(그렇지만) 두 가지 요소가 부족하다. 우선 상업적인 측면에 적용되는 분명하고 기본적인 프라이버시 원리원칙이 없다. 다음으로는 테크놀로지와 비즈니스 모델의 발전에 발맞춰 소비자 데이터 프라이버시를 보호하려는 이해 관계자들의 지속적인 관심과 노력도 부족하다.” 미국 소비자 연맹(CFA, Consumer Federation o...

빅데이터 프라이버시 개인정보 유출 사생활 침해

2014.12.10

빅데이터 옹호론자들의 말처럼, 빅데이터의 수집과 이용은 실제적인 혜택을 가져올 수 있다. 소비자의 기호에 맞는 맞춤형 광고, 사고가 났을 때 자동으로 앰뷸런스를 불러주는 스마트 카, 사용자의 건강 상태를 주시하고 문제가 생길 경우 의사에게 연락을 취하는 웨어러블 또는 이식형 전자기기(implantable devices) 등이 그 예다. 그렇지만 빅 데이터가 프라이버시 침해로 이어질 수 있는 것도 사실이다. 어딜 가는지, 누구를 만나는지는 물론 전자기기로 어떤 내용을 읽고 쓰는지, 어떤 음식을 먹고 어떤 콘텐츠를 시청하며 운동은 얼마나 하는지, 잠은 얼마나 자는지 등, 방대한 개인 데이터 생성되고 저장된다. 우리는 불과 십 수년 전만 해도 상상조차 할 수 없었던 개인 정보 노출의 시대를 살고 있다. 또한 그런 정보가 마케터, 금융 기관, 고용주 또는 정부의 손에 들어갈 경우 개인의 인간 관계에서부터 구직, 대출 가능 여부, 심지어는 비행기 티켓 예매에까지 영향을 미칠 수 있음은 이제 분명해졌다. 지금까지 프라이버시 보호를 강조해오던 이들, 그리고 정부 일각에서 이 점에 대해 우려를 표명해오긴 했다. 그러나 실제 프라이버시를 보호할 수 있는 방안과 관련해서는 별다른 조치가 없었다. 2012년 2월 오바마 행정부가 ‘소비자 프라이버시 권리 장전(CPBR, Consumer Privacy Bill of Rights)’을 선포한 이래로 어느덧 3년이 지났다. CPBR은 다음과 같이 기술하고 있다. “미국 내 소비자 프라이버시 데이터 프레임워크는 사실 매우 강력하다. ...(그렇지만) 두 가지 요소가 부족하다. 우선 상업적인 측면에 적용되는 분명하고 기본적인 프라이버시 원리원칙이 없다. 다음으로는 테크놀로지와 비즈니스 모델의 발전에 발맞춰 소비자 데이터 프라이버시를 보호하려는 이해 관계자들의 지속적인 관심과 노력도 부족하다.” 미국 소비자 연맹(CFA, Consumer Federation o...

2014.12.10

"아이폰6가 디자인 특허 침해··· 해결 원한다" 中 스마트폰 제조사

애플이 중국에서 또 지적재산권 분쟁에 처했다. 중국의 군소 스마트폰 제조업체 ‘디지원’이 아이폰 6에 대해 디자인 특허 침해를 주장하며 애플과의 법적 분쟁을 시사했기 때문이다. 디지원의 스마트폰 브랜드 100+는 아이폰 6의 자사 디자인 특허 침해와 관련해 지난 9월 애플 측에 공문을 보냈다고 밝히며, 해당 문서를 중국 SNS 웨이보를 통해 공개했다. 디지원 측이 1일 제시한 자료에 따르면, 디지원100+의 스마트폰은 외관 디자인이 아이폰 6와 매우 흡사하다. 단 아이폰 6와 달리 5.5인치 화면에 바이두판 안드로이드와 옥타코어 프로세서를 기반으로 한 저가형 제품이다. 회사는 중국 특허청에 지난1월 해당 제품 디자인에 대한 특허를 신청했으며 7월에 특허를 취득했다고 덧붙였다. 회사 측은 이번 문서 공개가 진실을 밝히는 한편 분쟁 해결에 단초가 되기를 원한다고 밝혔다. 디지원의 주장에 대해 애플은 즉각적인 답변을 내놓지 않고 있다. 애플이 중국 기업을 상대로 지적 재산권 분쟁을 겪은 일은 이번이 처음은 아니다. 2012년 아이패드 상표권을 가지고 있다고 주장했던 중국 기업 프로뷰에 6000만 달러를 지불하고 중국 내 아이패드 상표권을 획득한 바 있다. ciokr@idg.co.kr

중국 애플 디자인 특허 침해 아이폰 6 디지원 100+

2014.12.03

애플이 중국에서 또 지적재산권 분쟁에 처했다. 중국의 군소 스마트폰 제조업체 ‘디지원’이 아이폰 6에 대해 디자인 특허 침해를 주장하며 애플과의 법적 분쟁을 시사했기 때문이다. 디지원의 스마트폰 브랜드 100+는 아이폰 6의 자사 디자인 특허 침해와 관련해 지난 9월 애플 측에 공문을 보냈다고 밝히며, 해당 문서를 중국 SNS 웨이보를 통해 공개했다. 디지원 측이 1일 제시한 자료에 따르면, 디지원100+의 스마트폰은 외관 디자인이 아이폰 6와 매우 흡사하다. 단 아이폰 6와 달리 5.5인치 화면에 바이두판 안드로이드와 옥타코어 프로세서를 기반으로 한 저가형 제품이다. 회사는 중국 특허청에 지난1월 해당 제품 디자인에 대한 특허를 신청했으며 7월에 특허를 취득했다고 덧붙였다. 회사 측은 이번 문서 공개가 진실을 밝히는 한편 분쟁 해결에 단초가 되기를 원한다고 밝혔다. 디지원의 주장에 대해 애플은 즉각적인 답변을 내놓지 않고 있다. 애플이 중국 기업을 상대로 지적 재산권 분쟁을 겪은 일은 이번이 처음은 아니다. 2012년 아이패드 상표권을 가지고 있다고 주장했던 중국 기업 프로뷰에 6000만 달러를 지불하고 중국 내 아이패드 상표권을 획득한 바 있다. ciokr@idg.co.kr

2014.12.03

데이터가 유출됐다··· 취해야 할 5가지 절차

IT 산업에는 다양한 보안 문제가 있고 그에 대한 해답이 있다. 해커들을 몰아내기 위해 앱 서버를 잠궈야 할 필요가 있다면? 그를 위해 사용 가능한 제품이 있다. 도난 당한 안드로이드 전화기에 강력한 인증을 걸어두어서 해커가 데이터를 훔치지 못하게 만드는 것도 가능하다. 하지만 만약 해커가 서버로 침투해서 데이터베이스에서 신용카드번호를 훔치는 것과 같이 그보다 더 나쁜 상황이 발생해버리면 (당황하는 것 이외에는) 어떻게 해야 할지 알기 힘들 수 있다. CIO닷컴에서는 몇몇 보안과 법률 전문가들과 이야기를 나누고 데이터 유출 이후 어떻게 대처해야 하는지에 대해 물었다. 여기 데이터 유출 상황에서 최선의 대처방법 5단계를 시간순으로 소개한다. 즉각적으로 문제를 해결하라 전문가들은 문제를 해결하고 데이터 유출에 대처하라는 첫 번째 단계에 동의한다. IT 컨설팅 업체 RKON 테크놀로지(RKON Technologies)의 CTO 마크 말리지아는 보안 결함을 해결하는 게 중요하다고 말했다. 먼저 어느 서버 혹은 서버들이 침투당했는지 판단해야 한다. 그는 “서버가 파악되면 그 상태를 보존하기 위해 서버들의 디스크 이미지가 만들어져야 한다. 소송이 발생하는 경우 관리 연속성을 보호하기 위해 이 이미지들은 읽기전용으로 보호되어야 한다”라고 말했다. 마지막으로 “침투당한 서버가 다른 서버나 기기들을 감염시키지 못하도록” 폐쇄 전략도 펼쳐야 한다고 그는 덧붙였다. 태스크포스를 구성하라 거의 모든 전문가들이 유출을 처리할 팀을 초기에 구성하는 것이 중요하다고 강조한다. 태스크포스가 만들어지고 책임을 지고 상황 진척상황에 대해 소통할 수 있게 되어야 기관과 사법 당국에 유출에 대해 보고가 가능하다. 맥어피(McAfee)의 선임 부회장이자 네트워크 보안 총괄 매니저인 팻 칼하운은 여타 추가적인 절차들을 해결하기 위해 “씰 팀(Seal Team)” 구성이 필요하다고 조언했다. 변...

보안 데이터 유출 해킹 침해

2014.10.10

IT 산업에는 다양한 보안 문제가 있고 그에 대한 해답이 있다. 해커들을 몰아내기 위해 앱 서버를 잠궈야 할 필요가 있다면? 그를 위해 사용 가능한 제품이 있다. 도난 당한 안드로이드 전화기에 강력한 인증을 걸어두어서 해커가 데이터를 훔치지 못하게 만드는 것도 가능하다. 하지만 만약 해커가 서버로 침투해서 데이터베이스에서 신용카드번호를 훔치는 것과 같이 그보다 더 나쁜 상황이 발생해버리면 (당황하는 것 이외에는) 어떻게 해야 할지 알기 힘들 수 있다. CIO닷컴에서는 몇몇 보안과 법률 전문가들과 이야기를 나누고 데이터 유출 이후 어떻게 대처해야 하는지에 대해 물었다. 여기 데이터 유출 상황에서 최선의 대처방법 5단계를 시간순으로 소개한다. 즉각적으로 문제를 해결하라 전문가들은 문제를 해결하고 데이터 유출에 대처하라는 첫 번째 단계에 동의한다. IT 컨설팅 업체 RKON 테크놀로지(RKON Technologies)의 CTO 마크 말리지아는 보안 결함을 해결하는 게 중요하다고 말했다. 먼저 어느 서버 혹은 서버들이 침투당했는지 판단해야 한다. 그는 “서버가 파악되면 그 상태를 보존하기 위해 서버들의 디스크 이미지가 만들어져야 한다. 소송이 발생하는 경우 관리 연속성을 보호하기 위해 이 이미지들은 읽기전용으로 보호되어야 한다”라고 말했다. 마지막으로 “침투당한 서버가 다른 서버나 기기들을 감염시키지 못하도록” 폐쇄 전략도 펼쳐야 한다고 그는 덧붙였다. 태스크포스를 구성하라 거의 모든 전문가들이 유출을 처리할 팀을 초기에 구성하는 것이 중요하다고 강조한다. 태스크포스가 만들어지고 책임을 지고 상황 진척상황에 대해 소통할 수 있게 되어야 기관과 사법 당국에 유출에 대해 보고가 가능하다. 맥어피(McAfee)의 선임 부회장이자 네트워크 보안 총괄 매니저인 팻 칼하운은 여타 추가적인 절차들을 해결하기 위해 “씰 팀(Seal Team)” 구성이 필요하다고 조언했다. 변...

2014.10.10

"7천만 고객정보, 이렇게 빼냈다" 타깃 해킹 11단계

액티브 디렉토리(Active Directory) 모니터링 및 보호에 특화된 보안 기업 아오라토(Aorato)의 조사 결과에 따르면, 대형 소매업체인 타깃(Target)은 지난 해 발생한 데이터 침해 사건으로 많은 PII(Personal Identifiable Information, 개인 식별 정보), 신용카드, 현금카드 데이터를 도난 당했지만, PCI 컴플라이언스 프로그램 덕분에 피해 규모를 크게 줄일 수 있었다. 아오라토의 수석 연구원 탈 베리를 비롯한 연구팀은 공개된 자료와 보고서를 활용해 공격자들이 타깃 공격에 사용한 툴을 모두 분류했다. 타깃에 잠입한 방법, 네트워크에서 번식을 한 방법, 인터넷과 직접 연결되지 않은 PoS(Point of Sales) 시스템에서 신용카드 데이터를 훔친 방법 등을 단계별로 분석한 것이다. 아직 자세히 밝혀지지 않은 침해 방법이 많다. 그러나 베리는 어떻게 공격이 이뤄졌는지 이해하는 것이 아주 중요하다고 강조했다. 지난 주, 미국 국토안보부(DHS)와 비밀경호국(Secret Service)는 타깃의 PoS 시스템 공격에 사용된 맬웨어가 지난 몇 년간 다른 수많은 PoS 시스템을 감염시켰다는 내용을 골자로 하는 경고 보고서를 발표한 바 있다. 추적 기법은 '사이버 고생물학' 베리는 아오라토의 세부 분석 중 일부는 틀릴 수도 있다고 인정했다. 그러나 재구성 자체는 아주 정확하다고 확신했다. 베리는 "일종의 '사이버 고생물학(화석 분석)'이다. 타깃 사건에서 확인된 툴에 관해서는 많은 보고서가 나와있다. 그러나 공격자들이 이들 툴을 이용한 방법을 설명하고 있지는 않다. 공룡 뼈는 있는데, 그 뼈의 주인인 공룡이 어떤 모습을 하고 있는지 모르는 것과 마찬가지이다. 그러나 우리는 다른 공룡이 어떤 모습을 하고 있는지 안다. 이를 바탕으로 그 뼈의 주인인 공룡을 재구성할 수 있었다"고 말했다. 타깃의 데이터 침해 소식은 지난 20...

해킹 개인정보 맬웨어 유출 침해 침투 타깃 아오라토

2014.09.04

액티브 디렉토리(Active Directory) 모니터링 및 보호에 특화된 보안 기업 아오라토(Aorato)의 조사 결과에 따르면, 대형 소매업체인 타깃(Target)은 지난 해 발생한 데이터 침해 사건으로 많은 PII(Personal Identifiable Information, 개인 식별 정보), 신용카드, 현금카드 데이터를 도난 당했지만, PCI 컴플라이언스 프로그램 덕분에 피해 규모를 크게 줄일 수 있었다. 아오라토의 수석 연구원 탈 베리를 비롯한 연구팀은 공개된 자료와 보고서를 활용해 공격자들이 타깃 공격에 사용한 툴을 모두 분류했다. 타깃에 잠입한 방법, 네트워크에서 번식을 한 방법, 인터넷과 직접 연결되지 않은 PoS(Point of Sales) 시스템에서 신용카드 데이터를 훔친 방법 등을 단계별로 분석한 것이다. 아직 자세히 밝혀지지 않은 침해 방법이 많다. 그러나 베리는 어떻게 공격이 이뤄졌는지 이해하는 것이 아주 중요하다고 강조했다. 지난 주, 미국 국토안보부(DHS)와 비밀경호국(Secret Service)는 타깃의 PoS 시스템 공격에 사용된 맬웨어가 지난 몇 년간 다른 수많은 PoS 시스템을 감염시켰다는 내용을 골자로 하는 경고 보고서를 발표한 바 있다. 추적 기법은 '사이버 고생물학' 베리는 아오라토의 세부 분석 중 일부는 틀릴 수도 있다고 인정했다. 그러나 재구성 자체는 아주 정확하다고 확신했다. 베리는 "일종의 '사이버 고생물학(화석 분석)'이다. 타깃 사건에서 확인된 툴에 관해서는 많은 보고서가 나와있다. 그러나 공격자들이 이들 툴을 이용한 방법을 설명하고 있지는 않다. 공룡 뼈는 있는데, 그 뼈의 주인인 공룡이 어떤 모습을 하고 있는지 모르는 것과 마찬가지이다. 그러나 우리는 다른 공룡이 어떤 모습을 하고 있는지 안다. 이를 바탕으로 그 뼈의 주인인 공룡을 재구성할 수 있었다"고 말했다. 타깃의 데이터 침해 소식은 지난 20...

2014.09.04

데이터 누출 사건이 시사하는 맬웨어의 미래

몇 주 전 이베이(eBay)가 대형 데이터 침해 사고로 곤경에 처했다. 이에 대해 대다수는 비밀번호 유출과 사이트의 보안 취약점에 주목했다. 이는 이치에 맞는 우려이기는 하지만 보안 사슬에서 가장 취약한 다른 연결 고리에도 신경 써야 한다. 다름 아닌 '사람'이다. 실제, 이베이의 침해 사고를 촉발한 원인은 정교한 취약점 공격이 아닌 '구식 사기 행위’였다. 많게는 100명의 이베이 직원들이 중요 정보를 공개하도록 속이는 사기의 희생자가 된 것으로 추정된다. 범죄자들이 믿을 수 있는 개인이나 단체로 위장하는 방식의 소셜 엔지니어링 사기 기법이었다. 그리고 이베이 직원들이 공개한 정보는 로그인 정보였다. 사실 놀랍지는 않다. 필자는 최근 다수의 보안 전문가들에게 주의해야 할 새로운 혁신적인 공격을 평가해 달라고 요청했다. 그리고 이들은 애플리케이션 패칭이나 업그레이드, 보안 소프트웨어로 해결할 수 없는 문제가 가장 우려되는 요소라고 입을 모았다. 트립와이어(Tripwire)의 보안 조사 담당인 켄 웨스틴은 "가장 공략하기 쉬운 공격 대상은 여전히 사람이다. 사람을 대상으로 한 공격이 효과를 거두는 한, 공격자들은 계속 사람을 전적으로, 또는 정교한 통합 공격의 일부로 악용할 것이다"고 말했다. 현재 세심하게 수집한 개인 데이터를 이용해 신뢰를 얻는 공격 작전들이 늘고 있는 추세다. '고객님께'로 시작하고, 통상적인 정보만 담겨있는 피싱 공격 메시지는 무시할 확률이 높다. 그러나 범죄자들이 수신자를 이름으로 호칭하고, 집 주소와 전화번호, 생년월일 같은 개인 정보를 포함시키며, 거래를 하는 회사에서 발송한 메시지로 포장을 한다면 주의 깊은 사람이라도 여기에 응답을 할 확률이 높아진다. 공격자들이 개인 정보를 더 많이 수집 할수록 스피어피싱 스캠 공격을 추진하기가 쉬어진다. 타깃(Target)과 이베이 같은 회사가 해커들의 매력적인 공격 대상인 이유가 여기에...

데이터 이베이 피싱 누출 침해 스캠 타겟

2014.06.11

몇 주 전 이베이(eBay)가 대형 데이터 침해 사고로 곤경에 처했다. 이에 대해 대다수는 비밀번호 유출과 사이트의 보안 취약점에 주목했다. 이는 이치에 맞는 우려이기는 하지만 보안 사슬에서 가장 취약한 다른 연결 고리에도 신경 써야 한다. 다름 아닌 '사람'이다. 실제, 이베이의 침해 사고를 촉발한 원인은 정교한 취약점 공격이 아닌 '구식 사기 행위’였다. 많게는 100명의 이베이 직원들이 중요 정보를 공개하도록 속이는 사기의 희생자가 된 것으로 추정된다. 범죄자들이 믿을 수 있는 개인이나 단체로 위장하는 방식의 소셜 엔지니어링 사기 기법이었다. 그리고 이베이 직원들이 공개한 정보는 로그인 정보였다. 사실 놀랍지는 않다. 필자는 최근 다수의 보안 전문가들에게 주의해야 할 새로운 혁신적인 공격을 평가해 달라고 요청했다. 그리고 이들은 애플리케이션 패칭이나 업그레이드, 보안 소프트웨어로 해결할 수 없는 문제가 가장 우려되는 요소라고 입을 모았다. 트립와이어(Tripwire)의 보안 조사 담당인 켄 웨스틴은 "가장 공략하기 쉬운 공격 대상은 여전히 사람이다. 사람을 대상으로 한 공격이 효과를 거두는 한, 공격자들은 계속 사람을 전적으로, 또는 정교한 통합 공격의 일부로 악용할 것이다"고 말했다. 현재 세심하게 수집한 개인 데이터를 이용해 신뢰를 얻는 공격 작전들이 늘고 있는 추세다. '고객님께'로 시작하고, 통상적인 정보만 담겨있는 피싱 공격 메시지는 무시할 확률이 높다. 그러나 범죄자들이 수신자를 이름으로 호칭하고, 집 주소와 전화번호, 생년월일 같은 개인 정보를 포함시키며, 거래를 하는 회사에서 발송한 메시지로 포장을 한다면 주의 깊은 사람이라도 여기에 응답을 할 확률이 높아진다. 공격자들이 개인 정보를 더 많이 수집 할수록 스피어피싱 스캠 공격을 추진하기가 쉬어진다. 타깃(Target)과 이베이 같은 회사가 해커들의 매력적인 공격 대상인 이유가 여기에...

2014.06.11

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.5