Offcanvas

������������������

구멍투성이 데이터 보안... 등골 서늘한 실화들

고위 경영진, IT 전문가, 기타 이른바 지식 종사자라 불리는 사람들은 아주 똑똑한 사람들이다. 어쩌면 신뢰할 수 있는 사람들이라고 말할 수 있다. 그러나 불행히도 기업의 중요한 기밀 정보가 유출되는 취약한 통로이기도 하다. 퇴사하면서 악의적으로 데이터를 가지고 나가는 직원들이 있는가 하면, 파일을 저장해둔 모바일 기기를 잃어버리거나 도난 당해, 또는 피싱 스캠에 넘어가 데이터에 위험이 초래되도록 만드는 부주의한 직원들도 있다. CIO들에게도 책임이 있다. 아직도 BYOD(Bring Your Own Device) 사용자 정책을 수립하지 않고, 거버넌스 정책을 집행하지 않으며, 모바일 기기의 데이터를 암호화 하도록 의무화하지 않은 회사들이 적지 않다. 그리고 이런 '부주의' 때문에 공포스러운 사건들이 발생한다. 경제적으로 곤경에 놓이게 된 실리콘 밸리 소재 도터스 오브 채리티 헬스 시스템(Daughters of Charity Health System)의 수녀 간호사들을 예로 들어보자. 이들은 나이지리아 스캠이라는 온라인 스캠의 피해자가 되면서 최악의 규칙 위반자 중 하나로 거론될 위기에 처했다. 이들이 범법자일까? 그렇지 않다. 이곳의 수녀들은 사기 행각으로 부자가 되고 싶은 생각은 없었다. 도터스 오브 채리티의 정보 기술 및 전략 담당 부사장인 마이클 데이는 샌프란시스코에서 열린 기술 관련 행사에 참석해 "수녀들은 가난한 병자들을 더 많이 돕는데 돈을 사용하기 원했다"라고 말했다. 더 놀라운 통계가 있다. 2014 RSA 컨퍼런스에 참석한 IT 전문가들을 대상으로 한 설문조사 결과에 따르면, 5명 중 1명은 가장 최근 재직했던 직장의 IT 시스템에 접속을 할 수 있는 것으로 밝혀졌다. 일부는 과거 재직한 두 직장의 시스템에 접속하고 있었다. 도난 당한 노트북 컴퓨터도 기업을 큰 위험에 노출시킬 수 있다. 몇 년 전, 하워드 대학 병원(Howard University Hospital)의...

모바일 거버넌스 데이터 보안 누출 침해 BYOD

2014.06.10

고위 경영진, IT 전문가, 기타 이른바 지식 종사자라 불리는 사람들은 아주 똑똑한 사람들이다. 어쩌면 신뢰할 수 있는 사람들이라고 말할 수 있다. 그러나 불행히도 기업의 중요한 기밀 정보가 유출되는 취약한 통로이기도 하다. 퇴사하면서 악의적으로 데이터를 가지고 나가는 직원들이 있는가 하면, 파일을 저장해둔 모바일 기기를 잃어버리거나 도난 당해, 또는 피싱 스캠에 넘어가 데이터에 위험이 초래되도록 만드는 부주의한 직원들도 있다. CIO들에게도 책임이 있다. 아직도 BYOD(Bring Your Own Device) 사용자 정책을 수립하지 않고, 거버넌스 정책을 집행하지 않으며, 모바일 기기의 데이터를 암호화 하도록 의무화하지 않은 회사들이 적지 않다. 그리고 이런 '부주의' 때문에 공포스러운 사건들이 발생한다. 경제적으로 곤경에 놓이게 된 실리콘 밸리 소재 도터스 오브 채리티 헬스 시스템(Daughters of Charity Health System)의 수녀 간호사들을 예로 들어보자. 이들은 나이지리아 스캠이라는 온라인 스캠의 피해자가 되면서 최악의 규칙 위반자 중 하나로 거론될 위기에 처했다. 이들이 범법자일까? 그렇지 않다. 이곳의 수녀들은 사기 행각으로 부자가 되고 싶은 생각은 없었다. 도터스 오브 채리티의 정보 기술 및 전략 담당 부사장인 마이클 데이는 샌프란시스코에서 열린 기술 관련 행사에 참석해 "수녀들은 가난한 병자들을 더 많이 돕는데 돈을 사용하기 원했다"라고 말했다. 더 놀라운 통계가 있다. 2014 RSA 컨퍼런스에 참석한 IT 전문가들을 대상으로 한 설문조사 결과에 따르면, 5명 중 1명은 가장 최근 재직했던 직장의 IT 시스템에 접속을 할 수 있는 것으로 밝혀졌다. 일부는 과거 재직한 두 직장의 시스템에 접속하고 있었다. 도난 당한 노트북 컴퓨터도 기업을 큰 위험에 노출시킬 수 있다. 몇 년 전, 하워드 대학 병원(Howard University Hospital)의...

2014.06.10

블로그 | 데이터 유출, 아직도 '남의 일'로만 생각하십니까?

연일 데이터 침해와 유출 사고가 터지고 있지만 여전히 많은 사람들은 강 건너 불구경이다. 인식이 확산되고 있는 것은 분명하나 내 일이 아니라고 여기는 태도를 바꾸지 않은 한 근본적인 해결은 불가능하다. 지금은 사람과 정보보호 문제에 대한 실질적인 해결책을 논하고 발전시켜야 나가야 할 때다. 지난해 미국 대형 쇼핑몰인 타깃(Target)의 고객 정보가 유출된 이후 이에 대한 간단한 논의가 시작됐고 현재 미국에서는 새로운 사건들이 터져 나왔다. 필자는 데이터 유출 사건에 대해 심각하다고 이야기한 바 있다. 이제 우리는 데이터 유출의 인식 과 현실간의 격차가 벌어지고 있다는 증거를 찾아낼 필요가 있다. 기업들은 자신들의 해커들의 공격 대상도 아니고 공격이 들어온다해도 굴복할 것 같지 않다고 계속 믿고 있다. 이는 정보 유출을 방지하고 해커들의 레이더 망에 자신들을 내버려 두지 않기 위해 충분히 투자할 수 있다는 생각으로 자기 자신을 속이고 있는 것이다. 하지만 실제로 사고가 터지면 이런 순진한 생각은 더 이상 먹히지 않는다. 현실은, 정보 유출이 당신에게 일어난다는 것이다. 비즐리의 정보 유출 대응 보험(Beazley’s Breach Response Insurance)에서 대규모 위험 보험 담당자인 토마스 레이건에 따르면, 보고된 데이터 유출 건수는 증가하고 있다. 여기에는 이 보험사가 2013년에 처리한 500개 이상의 데이터 침해 사고도 포함된다. 레이건은 실제로 사고가 났건 그렇지 않건 현실을 완전히 이해하지는 못했다고 설명했다. 여전히 데이터 유출을 방지할 수 있거나 이러한 사고가 자신들에게 해당되지 않는다고 믿고 있다. 자신들은 해커들의 목표물이 아니라고 여기는 것이다. 새로 발견된 인식과 보고 보고된 정부 유출 건수는 매년 증가하고 있지만, 레이건은 너무 빨라서 데이터 유출을 경험하는 기업이 증가해 전체 비율이 증가하고 있는지 말하기 어렵다고 지적했다. 아마 보고된 정보 유출 건수의 증가 중 ...

데이터 유출 침해 인식 타깃 Target

2014.03.13

연일 데이터 침해와 유출 사고가 터지고 있지만 여전히 많은 사람들은 강 건너 불구경이다. 인식이 확산되고 있는 것은 분명하나 내 일이 아니라고 여기는 태도를 바꾸지 않은 한 근본적인 해결은 불가능하다. 지금은 사람과 정보보호 문제에 대한 실질적인 해결책을 논하고 발전시켜야 나가야 할 때다. 지난해 미국 대형 쇼핑몰인 타깃(Target)의 고객 정보가 유출된 이후 이에 대한 간단한 논의가 시작됐고 현재 미국에서는 새로운 사건들이 터져 나왔다. 필자는 데이터 유출 사건에 대해 심각하다고 이야기한 바 있다. 이제 우리는 데이터 유출의 인식 과 현실간의 격차가 벌어지고 있다는 증거를 찾아낼 필요가 있다. 기업들은 자신들의 해커들의 공격 대상도 아니고 공격이 들어온다해도 굴복할 것 같지 않다고 계속 믿고 있다. 이는 정보 유출을 방지하고 해커들의 레이더 망에 자신들을 내버려 두지 않기 위해 충분히 투자할 수 있다는 생각으로 자기 자신을 속이고 있는 것이다. 하지만 실제로 사고가 터지면 이런 순진한 생각은 더 이상 먹히지 않는다. 현실은, 정보 유출이 당신에게 일어난다는 것이다. 비즐리의 정보 유출 대응 보험(Beazley’s Breach Response Insurance)에서 대규모 위험 보험 담당자인 토마스 레이건에 따르면, 보고된 데이터 유출 건수는 증가하고 있다. 여기에는 이 보험사가 2013년에 처리한 500개 이상의 데이터 침해 사고도 포함된다. 레이건은 실제로 사고가 났건 그렇지 않건 현실을 완전히 이해하지는 못했다고 설명했다. 여전히 데이터 유출을 방지할 수 있거나 이러한 사고가 자신들에게 해당되지 않는다고 믿고 있다. 자신들은 해커들의 목표물이 아니라고 여기는 것이다. 새로 발견된 인식과 보고 보고된 정부 유출 건수는 매년 증가하고 있지만, 레이건은 너무 빨라서 데이터 유출을 경험하는 기업이 증가해 전체 비율이 증가하고 있는지 말하기 어렵다고 지적했다. 아마 보고된 정보 유출 건수의 증가 중 ...

2014.03.13

신용카드 결제 허용 기업들, 규제 준수로 위기 대응 <버라이즌>

신용 카드 결제를 허용하는 많은 기업들이 보안 유출 때문에 규제 준수 문제에 직면한 것으로 조사됐다. 버라이즌의 2014 결제 카드 산업(PCI) 준수 보고서에 따르면, 대게 주요 이슈는 보안 기술의 실패가 아니라 구현으로 나타났다. 이 보고서는 PCI 보안 표준 준수는 의도대로 적절한 규제와 보안 측정을 구축하는 것만큼 큰 문제가 아니라고 밝혔다. 현명한 CIO들이 말하는 ‘보안 침해에서 고객을 보호하기’ 버라이즌 엔터프라이즈 솔루션의 매니징 디렉터인 로돌프 시모네티는 “많은 기업들이 PCI 규제 준수를 매일 해야 하는 것으로 인식하지 않고 1년에 한 번 하는 행사쯤으로 여기는 경향이 있다”라고 말했다. 보고서에 따르면, PCI 표준에 대한 초기 규제는 약간 개선됐다. 2013년 기업의 82% 이상이 이를 준수했으며, 기업들의 연간 기본 평가기준이 완료됐을 때 PCI 표준의 최소 80%를 준수한 것으로 나타났다. 1년 전 이 같은 결과는 32%에 불과했다. 버라이즌에 따르면, 다양한 법적 요구사항과 채택 수준과 함께 데이터 유출 사실 공지 법은 지역별로 차이를 보였다. 가장 규제 수준이 높은 지역은 아시아태평양이며 그 다음이 미국과 유럽으로 나타났다. 기업이 초기 규제를 달성하는데 가장 애쓰는 분야는 보안 테스팅(23%), 보안 모니터링과 효과적으로 감지하고 데이터 손상에 대응하는 능력(17%), 저장된 중요 데이터 보호(55%)로 조사됐다. 시모네티는 “문제는 100%를 규제를 준수하는 경우가 없다는 것”이라고 지적했다. "우리는 규제가 없어서 기업들이 신용카드 도난에 무방비 상태로 있는 것을 계속해서 봤다. 이는 잠재적으로 수억 달러의 비용을 초래할 수도 있는데도 말이다”라고 사모네티는 밝혔다. 이 보고서는 12개의 구체적인 PCI 요구사항 각각을 어떻게 준수하는지에 대해 자세해 설명하고 기업들이 규제 준수를 개선하기 위해 구...

CIO 고객 침해 버라이즌 보안 유출

2014.02.14

신용 카드 결제를 허용하는 많은 기업들이 보안 유출 때문에 규제 준수 문제에 직면한 것으로 조사됐다. 버라이즌의 2014 결제 카드 산업(PCI) 준수 보고서에 따르면, 대게 주요 이슈는 보안 기술의 실패가 아니라 구현으로 나타났다. 이 보고서는 PCI 보안 표준 준수는 의도대로 적절한 규제와 보안 측정을 구축하는 것만큼 큰 문제가 아니라고 밝혔다. 현명한 CIO들이 말하는 ‘보안 침해에서 고객을 보호하기’ 버라이즌 엔터프라이즈 솔루션의 매니징 디렉터인 로돌프 시모네티는 “많은 기업들이 PCI 규제 준수를 매일 해야 하는 것으로 인식하지 않고 1년에 한 번 하는 행사쯤으로 여기는 경향이 있다”라고 말했다. 보고서에 따르면, PCI 표준에 대한 초기 규제는 약간 개선됐다. 2013년 기업의 82% 이상이 이를 준수했으며, 기업들의 연간 기본 평가기준이 완료됐을 때 PCI 표준의 최소 80%를 준수한 것으로 나타났다. 1년 전 이 같은 결과는 32%에 불과했다. 버라이즌에 따르면, 다양한 법적 요구사항과 채택 수준과 함께 데이터 유출 사실 공지 법은 지역별로 차이를 보였다. 가장 규제 수준이 높은 지역은 아시아태평양이며 그 다음이 미국과 유럽으로 나타났다. 기업이 초기 규제를 달성하는데 가장 애쓰는 분야는 보안 테스팅(23%), 보안 모니터링과 효과적으로 감지하고 데이터 손상에 대응하는 능력(17%), 저장된 중요 데이터 보호(55%)로 조사됐다. 시모네티는 “문제는 100%를 규제를 준수하는 경우가 없다는 것”이라고 지적했다. "우리는 규제가 없어서 기업들이 신용카드 도난에 무방비 상태로 있는 것을 계속해서 봤다. 이는 잠재적으로 수억 달러의 비용을 초래할 수도 있는데도 말이다”라고 사모네티는 밝혔다. 이 보고서는 12개의 구체적인 PCI 요구사항 각각을 어떻게 준수하는지에 대해 자세해 설명하고 기업들이 규제 준수를 개선하기 위해 구...

2014.02.14

277 곳의 데이터 누출 사고 분석 '포네몬 보고서 브리핑'

데이터 누출 사고가 발생하면 해커와 범죄 단체가 헤드라인을 차지하곤 한다. 그러나 대부분의 데이터 누출은 사람의 실수와 애플리케이션 오류, 예기치 못한 데이터 덤프, 데이터 전송 과정에서의 논리 오류 등 시스템의 결함이 원인이다. 즉 데이터 누출 사고를 방지하는 가장 중요한 부분 중의 하나는 직원 교육을 통해 사소한 실수가 없도록 하는 것이다. 시만텍과 포네몬 인스터튜트(Ponemon Institute)가 발표한 새 연구 결과에 따르면, 2012년 발생한 데이터 누출의 64%가 사람의 실수와 시스템 문제가 원인이었다. 보안 연구 씽크탱크인 포네몬 인스터튜트의 설립자이자 대표인 래리 포네몬은 "외부의 해커와 진화하는 해킹 기법이 기업에 큰 위협이 되는 것은 사실이다. 그러나 내부와 관련된 위협도 이에 못지 않게 파괴적이다. 8년 동안의 데이터 누출 연구는 현재 기업이 직면한 가장 절박한 문제 가운데 하나가 직원들의 행위임을 보여주고 있다. 처음 조사 시점 이후 22%가 증가했다"라고 말했다. 데이터 누출을 줄이기 위한 핵심은 교육 시만텍의 로버트 해밀톤 제품 마케팅 디렉터는 "가장 큰 원인을 감안할 때, 데이터 누출을 줄이기 위한 핵심은 직원 교육이다. 2가지 방법이 있다. 보안 인식을 제고하는 트레이닝을 하고 데이터 손실 방지 등의 기술을 도입하는 것이다. 우리는 이를 직원 교육으로 분류하고 있다. 중요한 것은 실시간으로 대응해야 한다는 것이다. 데이터 전송을 차단하는 것이 아니라 직원을 교육시켜야 한다는 의미다"고 말했다. 조사에 따르면 탄탄한 보안 및 사고 대처 계획을 수립해 이행하고, 최고보안책임자(CISO)를 임명하는 방법으로 데이터 누출에 따른 비용을 약 20% 줄일 수 있다. 시만텍 정보 보안 그룹의 아닐 차크라바라시 부사장은 "탄탄한 보안 및 사고 대처 계획을 수립해 이행하는 기업들이 그렇지 않은 기업들보다 보안 침해에 따른 비용 손실이 20% 적었다. 이...

데이터 CSO 교육 시만텍 누출 침해 포네몬

2013.06.19

데이터 누출 사고가 발생하면 해커와 범죄 단체가 헤드라인을 차지하곤 한다. 그러나 대부분의 데이터 누출은 사람의 실수와 애플리케이션 오류, 예기치 못한 데이터 덤프, 데이터 전송 과정에서의 논리 오류 등 시스템의 결함이 원인이다. 즉 데이터 누출 사고를 방지하는 가장 중요한 부분 중의 하나는 직원 교육을 통해 사소한 실수가 없도록 하는 것이다. 시만텍과 포네몬 인스터튜트(Ponemon Institute)가 발표한 새 연구 결과에 따르면, 2012년 발생한 데이터 누출의 64%가 사람의 실수와 시스템 문제가 원인이었다. 보안 연구 씽크탱크인 포네몬 인스터튜트의 설립자이자 대표인 래리 포네몬은 "외부의 해커와 진화하는 해킹 기법이 기업에 큰 위협이 되는 것은 사실이다. 그러나 내부와 관련된 위협도 이에 못지 않게 파괴적이다. 8년 동안의 데이터 누출 연구는 현재 기업이 직면한 가장 절박한 문제 가운데 하나가 직원들의 행위임을 보여주고 있다. 처음 조사 시점 이후 22%가 증가했다"라고 말했다. 데이터 누출을 줄이기 위한 핵심은 교육 시만텍의 로버트 해밀톤 제품 마케팅 디렉터는 "가장 큰 원인을 감안할 때, 데이터 누출을 줄이기 위한 핵심은 직원 교육이다. 2가지 방법이 있다. 보안 인식을 제고하는 트레이닝을 하고 데이터 손실 방지 등의 기술을 도입하는 것이다. 우리는 이를 직원 교육으로 분류하고 있다. 중요한 것은 실시간으로 대응해야 한다는 것이다. 데이터 전송을 차단하는 것이 아니라 직원을 교육시켜야 한다는 의미다"고 말했다. 조사에 따르면 탄탄한 보안 및 사고 대처 계획을 수립해 이행하고, 최고보안책임자(CISO)를 임명하는 방법으로 데이터 누출에 따른 비용을 약 20% 줄일 수 있다. 시만텍 정보 보안 그룹의 아닐 차크라바라시 부사장은 "탄탄한 보안 및 사고 대처 계획을 수립해 이행하는 기업들이 그렇지 않은 기업들보다 보안 침해에 따른 비용 손실이 20% 적었다. 이...

2013.06.19

블로그 | 클라우드 업체의 책임 축소

지난 한 해 동안 클라우드 컴퓨팅의 기본적은 흐름 중 하나는 누군가에 의한 꾸준한 공격이 있었다는 것이다. 하지만 모든 업체들이 그런 것은 아니지만 클라우드 업체들은 계약서에서 대부분의 표준 고객 보호를 조금씩 없앴다. 과거에도 여러 번 SLA 보호 축소를 언급했지만, 이번에는 책임에 대해 말하고 싶다. 특히 오늘날의 문제가 되는 지적 재산권 침해에 대한 책임에 대해서 말이다. 절대 다수의 사례에서, ‘갑’이 ‘을’의 시스템과 소프트웨어를 사용하면서 발생하는 지적 재산권 침해에 대한 소송을 제기할 경우 을이 전적으로 책임지려 한다. 이는 기본적인 보호이기도 하며 실제로 협상에서 논의할 필요도 없는 것들 중 하나이기도 하다. 많은 업체들은 이러한 무한 보호 조항을 계약서에 넣는다. 특허 괴물이 점점 더 커지고 특허 침해에 대한 주장이 늘어나고 있다는 점을 감안하면, 갑은 모든 을들에게 이러한 보호 조항을 계약서에서 요구해야 한다. 하지만 지난 몇 년 간의 추세는 을이 제공하고 있는 면책 보호 조항을 제한하려 한다는 것이다. 특히, 을은 자신들이 ‘갑’을 보호해야 하는 손해의 유형을 제한하려고 있다. 예를 들어 직접적인 손해, 결과적인 손해와 저작권 침해 주장에 따르는 손실에 대한 책임을 제한하고 있다. 이 변경 사항은 기껏해야 면책 보호를 가장 잘 될 경우 쓸모없게 만들고 최악의 경우 진짜 위험하게 만든다. 문제는 2가지다. 첫째, 침해 행위에 수반되는 가장 높은 가능성의 피해 유형은 이익에 대해 손해보거나 침해 주장에 대한 라이선스 비용이다. 손해에 대한 이러한 유형은 을이 사용하는 새로운 접근법으로 복구되지 않을 수 있다. 이 새로운 접근 방식과 함께 좀더 심각한 문제인 두번째는 거의 항상 갑은 을이 소송에 대비하도록 모든 권한을 허용해야 한다는 계약에 있다. 즉, 갑은 청구 행위에 대해 어떤 말도 하지 않는다는 것이다. 이는 손해의 범위나 예외가 있는 경우, 반드시 갑은 ...

클라우드 책임 침해 지적재산권 계약서 축소

2013.04.01

지난 한 해 동안 클라우드 컴퓨팅의 기본적은 흐름 중 하나는 누군가에 의한 꾸준한 공격이 있었다는 것이다. 하지만 모든 업체들이 그런 것은 아니지만 클라우드 업체들은 계약서에서 대부분의 표준 고객 보호를 조금씩 없앴다. 과거에도 여러 번 SLA 보호 축소를 언급했지만, 이번에는 책임에 대해 말하고 싶다. 특히 오늘날의 문제가 되는 지적 재산권 침해에 대한 책임에 대해서 말이다. 절대 다수의 사례에서, ‘갑’이 ‘을’의 시스템과 소프트웨어를 사용하면서 발생하는 지적 재산권 침해에 대한 소송을 제기할 경우 을이 전적으로 책임지려 한다. 이는 기본적인 보호이기도 하며 실제로 협상에서 논의할 필요도 없는 것들 중 하나이기도 하다. 많은 업체들은 이러한 무한 보호 조항을 계약서에 넣는다. 특허 괴물이 점점 더 커지고 특허 침해에 대한 주장이 늘어나고 있다는 점을 감안하면, 갑은 모든 을들에게 이러한 보호 조항을 계약서에서 요구해야 한다. 하지만 지난 몇 년 간의 추세는 을이 제공하고 있는 면책 보호 조항을 제한하려 한다는 것이다. 특히, 을은 자신들이 ‘갑’을 보호해야 하는 손해의 유형을 제한하려고 있다. 예를 들어 직접적인 손해, 결과적인 손해와 저작권 침해 주장에 따르는 손실에 대한 책임을 제한하고 있다. 이 변경 사항은 기껏해야 면책 보호를 가장 잘 될 경우 쓸모없게 만들고 최악의 경우 진짜 위험하게 만든다. 문제는 2가지다. 첫째, 침해 행위에 수반되는 가장 높은 가능성의 피해 유형은 이익에 대해 손해보거나 침해 주장에 대한 라이선스 비용이다. 손해에 대한 이러한 유형은 을이 사용하는 새로운 접근법으로 복구되지 않을 수 있다. 이 새로운 접근 방식과 함께 좀더 심각한 문제인 두번째는 거의 항상 갑은 을이 소송에 대비하도록 모든 권한을 허용해야 한다는 계약에 있다. 즉, 갑은 청구 행위에 대해 어떤 말도 하지 않는다는 것이다. 이는 손해의 범위나 예외가 있는 경우, 반드시 갑은 ...

2013.04.01

2012년 상반기 최악의 데이터 침해 사고 15선

아이덴티티 쎄프트 리소스 센터(Identity Theft Resource Center)에 따르면 올해 6월 중순까지 189건의 데이터 침해 사고가 발생했다.  이 센터는 데이터 침해 사고와 현금 및 신용카드, 고객 데이터, 대학 자료, 환자 정보 등에 대한 피해규모를 조사했는데, 이 가운데 가장 끔직한 피해를 초래한 15건의 사고를 소개한다. ciokr@idg.co.kr

데이터 사고 누출 침해 사건

2012.06.21

아이덴티티 쎄프트 리소스 센터(Identity Theft Resource Center)에 따르면 올해 6월 중순까지 189건의 데이터 침해 사고가 발생했다.  이 센터는 데이터 침해 사고와 현금 및 신용카드, 고객 데이터, 대학 자료, 환자 정보 등에 대한 피해규모를 조사했는데, 이 가운데 가장 끔직한 피해를 초래한 15건의 사고를 소개한다. ciokr@idg.co.kr

2012.06.21

글로벌 칼럼 | 오라클의 위험한 발언, "API 저작권?"

필자는 반대 의견을 내놓길 좋아하는 사람이고, 이곳 샌프란시스코에서 오라클과 구글의 소송을 지켜보며 이 문제가 지나치게 과장됐으며, 크게 걱정할 필요가 없다는 결론을 내릴 수 있게 되길 바랬다. 하지만 어림도 없는 일이었다.   이 소송은 이미 너무 규모가 커졌으며, 최고의 시나리오라고 해 봤자 양쪽 모두에게 일자리 창출이나 제품 개발 등 더 생산적인 일에 쓰일 수도 있었을 수백 만 달러의 비용을 지출하게 할 것이다. 최악의 경우, 최근 이슈가 되고 있는 저작권 및 지적 재산권 소송들이 증가하면서 경쟁 우위를 점하고자 하는 변호사 및 기업들이 새로운 법적 행보를 취하는 일도 늘어날 것이다.   혹시라도 무슨 일인지 잘 모르는 독자들을 위해 설명하자면, 오라클은 지난 2010년 8월 구글을 상대로 소송을 제기했다. 안드로이드 모바일 OS가 자바와 관련된 오라클의 특허 및 저작권을 침해했다는 것이다. 오라클은 썬 마이크로시스템즈를 인수하면서 자바에 대한 저작권을 획득했다. 소송은 지난 주에 열렸으며, 적어도 두 달간 계속될 전망이다.   이번 소송을 지켜 보며 필자는 깨달은 바가 몇 가지 있다.   - 오라클의 소송은 대부분 특허보다는 저작권에 관련된 내용들이다. 저작권에 관한 기준은 특허에 대한 기준보다 훨씬 낮으며, 그런 측면에서 봤을 때 소프트웨어, 그 중에서도 특히 오픈소스는 매우 취약한 분야라 할 수 있다.   - 많은 이들이 눈치챘듯, 이번 소송의 핵심은 다음과 같은 복잡한 법적 의문이다. “과연 기업은 API에 대해 저작권을 주장할 수 있을까?” 다행히 배심원단 대신 미 연방 지방 법원 윌리엄 앨섭 판사가 이 문제에 대한 결정권을 갖고 있는 듯 하다. 앨섭은 기술 분야에 상당한 지식을 갖추고 있으며, 이번 소송을 대함에 있어 상당한 확신과 여유를 가지고 있는 듯 하다.   - 오라클이 가장 중...

구글 오라클 침해 저작권 API

2012.04.30

필자는 반대 의견을 내놓길 좋아하는 사람이고, 이곳 샌프란시스코에서 오라클과 구글의 소송을 지켜보며 이 문제가 지나치게 과장됐으며, 크게 걱정할 필요가 없다는 결론을 내릴 수 있게 되길 바랬다. 하지만 어림도 없는 일이었다.   이 소송은 이미 너무 규모가 커졌으며, 최고의 시나리오라고 해 봤자 양쪽 모두에게 일자리 창출이나 제품 개발 등 더 생산적인 일에 쓰일 수도 있었을 수백 만 달러의 비용을 지출하게 할 것이다. 최악의 경우, 최근 이슈가 되고 있는 저작권 및 지적 재산권 소송들이 증가하면서 경쟁 우위를 점하고자 하는 변호사 및 기업들이 새로운 법적 행보를 취하는 일도 늘어날 것이다.   혹시라도 무슨 일인지 잘 모르는 독자들을 위해 설명하자면, 오라클은 지난 2010년 8월 구글을 상대로 소송을 제기했다. 안드로이드 모바일 OS가 자바와 관련된 오라클의 특허 및 저작권을 침해했다는 것이다. 오라클은 썬 마이크로시스템즈를 인수하면서 자바에 대한 저작권을 획득했다. 소송은 지난 주에 열렸으며, 적어도 두 달간 계속될 전망이다.   이번 소송을 지켜 보며 필자는 깨달은 바가 몇 가지 있다.   - 오라클의 소송은 대부분 특허보다는 저작권에 관련된 내용들이다. 저작권에 관한 기준은 특허에 대한 기준보다 훨씬 낮으며, 그런 측면에서 봤을 때 소프트웨어, 그 중에서도 특히 오픈소스는 매우 취약한 분야라 할 수 있다.   - 많은 이들이 눈치챘듯, 이번 소송의 핵심은 다음과 같은 복잡한 법적 의문이다. “과연 기업은 API에 대해 저작권을 주장할 수 있을까?” 다행히 배심원단 대신 미 연방 지방 법원 윌리엄 앨섭 판사가 이 문제에 대한 결정권을 갖고 있는 듯 하다. 앨섭은 기술 분야에 상당한 지식을 갖추고 있으며, 이번 소송을 대함에 있어 상당한 확신과 여유를 가지고 있는 듯 하다.   - 오라클이 가장 중...

2012.04.30

‘데이터 침해 책임은? 배상은?’ 뜨거워지는 아웃소싱 분쟁

IT 아웃소싱 계약에는 분쟁이 끊이지 않는 법이다. 그러나 최근 특히 데이터 침해 사고 발생 시 누구에게 책임이 있느냐를 놓고 벌어지는 분쟁이 눈길을 끌고 있다. 한때 데이터 보안에 대한 책임 소재가 상대적으로 명백했던 시절이 있었다. 일반적으로 고객이 각자의 데이터에 대한 보안 책임을 지곤 했다. 그러다 서비스 제공 계약이 대두되면서 비밀 정보에 대한 책임이 서비스 공급자에게 넘어갔다. 당시 공급기업들은 데이터 침해에 대한 금전적 책임을 제한 없이 떠맡았다. 로펌인 모리슨 앤 포어스터(Morrison & Foerster)의 글로벌 소싱 부문 책임자인 크리스 포드는 "서비스 공급자들은 이로 인해 어려운 상황에 직면하게 됐다"라고 설명하고 있다. 책임에 제한을 두는 경우도 있었지만 통상 해당 계약과 관련된 1년 매출에 국한됐다. 데이터 보안 절차에 특별한 요건도 없었을 뿐더러, 있다 해도 소수에 불과했었다. 그러다 많은 연방 정부 규제들이 등장했다. 금융서비스 현대화 법(Gramm-Leach-Bliley), HIPAA(Health Insurance Portability and Accountability Act) 등이다. 주정부들 또한 데이터 침해와 관련해 기업들을 규제하는 법안을 마련하기 시작했다. 고객에게 통보를 해야 하고, 피해를 줄일 수 있는 조치를 취해야 한다는 것이었다. 예를 들어 데이터 침해로 피해를 입은 고객을 사기 범죄로부터 보호해야 하고, 신용기록을 감시해야 한다는 규제 등이 대두됐다. 결과적으로 IT 서비스 공급자들의 피해 보상 비용이 천정부지로 치솟았다. 데이터 침해에 따른 피해액은 업종과 사고 규모에 따라 크게 다르다. 포레스터는 2007년 기준 데이터 기록당 미화 90~305달러의 비용이 발생한다고 추정하고 있다. 반면 포네몬 인스터튜트(Ponemon Institute)의 추정에 따르면 미화 214달러이다. 포드는 "고객 기반이 크다면 비용이 어마어마할 수 있다"...

아웃소싱 데이터 보안 HP IBM 침해 액센추어

2012.03.13

IT 아웃소싱 계약에는 분쟁이 끊이지 않는 법이다. 그러나 최근 특히 데이터 침해 사고 발생 시 누구에게 책임이 있느냐를 놓고 벌어지는 분쟁이 눈길을 끌고 있다. 한때 데이터 보안에 대한 책임 소재가 상대적으로 명백했던 시절이 있었다. 일반적으로 고객이 각자의 데이터에 대한 보안 책임을 지곤 했다. 그러다 서비스 제공 계약이 대두되면서 비밀 정보에 대한 책임이 서비스 공급자에게 넘어갔다. 당시 공급기업들은 데이터 침해에 대한 금전적 책임을 제한 없이 떠맡았다. 로펌인 모리슨 앤 포어스터(Morrison & Foerster)의 글로벌 소싱 부문 책임자인 크리스 포드는 "서비스 공급자들은 이로 인해 어려운 상황에 직면하게 됐다"라고 설명하고 있다. 책임에 제한을 두는 경우도 있었지만 통상 해당 계약과 관련된 1년 매출에 국한됐다. 데이터 보안 절차에 특별한 요건도 없었을 뿐더러, 있다 해도 소수에 불과했었다. 그러다 많은 연방 정부 규제들이 등장했다. 금융서비스 현대화 법(Gramm-Leach-Bliley), HIPAA(Health Insurance Portability and Accountability Act) 등이다. 주정부들 또한 데이터 침해와 관련해 기업들을 규제하는 법안을 마련하기 시작했다. 고객에게 통보를 해야 하고, 피해를 줄일 수 있는 조치를 취해야 한다는 것이었다. 예를 들어 데이터 침해로 피해를 입은 고객을 사기 범죄로부터 보호해야 하고, 신용기록을 감시해야 한다는 규제 등이 대두됐다. 결과적으로 IT 서비스 공급자들의 피해 보상 비용이 천정부지로 치솟았다. 데이터 침해에 따른 피해액은 업종과 사고 규모에 따라 크게 다르다. 포레스터는 2007년 기준 데이터 기록당 미화 90~305달러의 비용이 발생한다고 추정하고 있다. 반면 포네몬 인스터튜트(Ponemon Institute)의 추정에 따르면 미화 214달러이다. 포드는 "고객 기반이 크다면 비용이 어마어마할 수 있다"...

2012.03.13

조사 | 외부 업체 통한 데이터 유출 '76%'

지난해 해커들이 312개 업체에 침투해 수많은 고객들의 지불카드 정보를 빼내 보안 침해 사고가 발생했으며 이에 대한 심층 연구로 해커들은 외부 업체의 원격 접속 애플리케이션들이나 시스템 관리유지를 위한 VPN을 주요 침입 경로로 활용했다는 사실이 드러났다. 트러스트웨이브(Trustwave) 보고서는 통계 수치를 인용해 “데이터 침해 분석연구들 대다수(76%)에서 해커가 이용한 보안결함들은 시스템 지원, 개발 및 유지관리를 맡고 있는 외부 업체들에서 비롯된 것임이 드러났다”라고 밝혔다. 지불카드 정보침해로 고통 받고 있는 312개의 업체들 중 대부분은 소매점, 식당, 호텔 등이다. 비자와 마스터카드 및 기타 카드사들이 며칠 내로 포렌식 수사(forensics investigation)를 요구하며 수많은 도난 카드들을 추적하기 위해 사건 대응과 관련한 도움을 청하기 위해 트러스트웨이브로 찾아왔다. 트러스트웨이브의 수석 부사장으로 스파이더랩(SpiderLabs) 부서를 총괄하는 니콜라스 페르코코는 사실 312개 업체 중 16%만이 지불카드 데이터 침해를 스스로 발견했다고 밝혔다. 대체로 소비자들로부터 신용카드 미승인 사용에 대한 대규모 사기 신고를 받은 지불카드 기관들이 정교한 분석을 추진하면서, 비자나 마스터카드도 의심이 가는 침해를 조사해 보라고 요구했다. 페르코코에 따르면 포렌식 수사 결과 총 312건의 데이터 침해가 발생했으며, 이 업체들에 대한 공격 중 약 29%의 근원지가 러시아 연방정부임이 밝혀졌다. 그러나 공격의 32.5%는 인터넷 익명 서비스들에서 시작된 탓에 근원지를 전혀 파악할 수 없었다. 지불카드 해커들로부터 공격을 받은 기업들은 자신들이 지불카드 산업 보안 표준(Payment Card Industry(PCI) security standards)을 제대로 준수하고 있다고 주장했지만, 실제로는 큰 차이가 없는 것으로 드러났다. 해커들은 간단하고, 재사용 가능한 비밀번호를 훔쳐 외부 업체의 ...

데이터 유출 해킹 침해 외부 업체 보안 사고 카드사

2012.02.09

지난해 해커들이 312개 업체에 침투해 수많은 고객들의 지불카드 정보를 빼내 보안 침해 사고가 발생했으며 이에 대한 심층 연구로 해커들은 외부 업체의 원격 접속 애플리케이션들이나 시스템 관리유지를 위한 VPN을 주요 침입 경로로 활용했다는 사실이 드러났다. 트러스트웨이브(Trustwave) 보고서는 통계 수치를 인용해 “데이터 침해 분석연구들 대다수(76%)에서 해커가 이용한 보안결함들은 시스템 지원, 개발 및 유지관리를 맡고 있는 외부 업체들에서 비롯된 것임이 드러났다”라고 밝혔다. 지불카드 정보침해로 고통 받고 있는 312개의 업체들 중 대부분은 소매점, 식당, 호텔 등이다. 비자와 마스터카드 및 기타 카드사들이 며칠 내로 포렌식 수사(forensics investigation)를 요구하며 수많은 도난 카드들을 추적하기 위해 사건 대응과 관련한 도움을 청하기 위해 트러스트웨이브로 찾아왔다. 트러스트웨이브의 수석 부사장으로 스파이더랩(SpiderLabs) 부서를 총괄하는 니콜라스 페르코코는 사실 312개 업체 중 16%만이 지불카드 데이터 침해를 스스로 발견했다고 밝혔다. 대체로 소비자들로부터 신용카드 미승인 사용에 대한 대규모 사기 신고를 받은 지불카드 기관들이 정교한 분석을 추진하면서, 비자나 마스터카드도 의심이 가는 침해를 조사해 보라고 요구했다. 페르코코에 따르면 포렌식 수사 결과 총 312건의 데이터 침해가 발생했으며, 이 업체들에 대한 공격 중 약 29%의 근원지가 러시아 연방정부임이 밝혀졌다. 그러나 공격의 32.5%는 인터넷 익명 서비스들에서 시작된 탓에 근원지를 전혀 파악할 수 없었다. 지불카드 해커들로부터 공격을 받은 기업들은 자신들이 지불카드 산업 보안 표준(Payment Card Industry(PCI) security standards)을 제대로 준수하고 있다고 주장했지만, 실제로는 큰 차이가 없는 것으로 드러났다. 해커들은 간단하고, 재사용 가능한 비밀번호를 훔쳐 외부 업체의 ...

2012.02.09

오라클과 구글, 3월께 안드로이드 재판 시작

오랫동안 기다린 끝에 열릴 오라클과 구글의 재판이 막상 시작하면, 짧게 진행될 것으로 예상된다. 안드로이드 모바일 OS에 대한 오라클과 구글간의 재판이 3월 중순께 열릴 예정이다. 썬마이크로시스템즈를 인수하면서 자바에 대한 권리를 취득한 오라클은 구글이 자바의 특허를 침해하고 저작권을 위반했다며 소송을 제기했으며 이후 양 측이 주장이 첨예하게 대립됐다. 이 재판은 3월19일 이후에 3차례에 걸쳐 진행될 예정이다. 윌리엄 알섭 판사가 캘리포니아 북부 지방법원에 4일에 제출한 공판 문서에는 이 3번의 과정에서 같은 배심원단이 모든 증거에 대해 듣고 최종 의사결정을 내린다고 밝혔다. 이러한 계획을 밝혔지만, 알섭 판사는 사전 심의와 재판 절차를 좀더 간소화하려는 의도도 내비쳤다. 첫번째 재판은 모든 저작권 주장에 대한 법적 책임과 이에 대한 공방을 직접적으로 다룰 것이다. 다른 이슈는 이 재판에서 거론하지 않는다”라고 알섭 판사는 전했다. 양 측은 증거를 제시하는 데 각각 16시간을 사용할 수 있다. 양측이 주장과 반박이 끝나면, 배심원단은 저작권 이슈에 대한 의견을 주고받을 것이라고 알섭 판사는 덧붙였다. 두번째 재판은 모든 특허의 법률적 책임과 이에 대한 반박을 다룰 것이다. 이 때 일반화된 특허 반박 논리도 포함된다"라고 알섭은 말했다. 오라클과 구글은 각각 증거를 제시할 수 있으며 양 측은 12시간씩을 사용할 수 있다. 알섭 판사에 따르면, 배심원단은 특허 주장에 대한 두번째 판결을 내리게 된다. “세번째 재판은 상황에 따라 필요하지 않을 수도 있는데 이 때는 오라클이 특허와 저작권 침해로 얼마나 손실을 입었고 구글의 고의성이 있었는지 등을 포함한 나머지 이슈들을 다루게 된다”라고 알섭 판사는 전했다. 양 측은 8시간씩을 사용할 수 있다. 한편, 오라클과 구글은 재판에서 배제된 다양한 증거들을 모으고자 움직이고 있다. 이러한 움직임에 대한 판결은 별도로 다뤄질 것이라고 알섭 판사는...

모바일 저작권 침해 특허 썬마이크로시스템즈 소송 안드로이드 자바 오라클 구글 재판

2012.01.05

오랫동안 기다린 끝에 열릴 오라클과 구글의 재판이 막상 시작하면, 짧게 진행될 것으로 예상된다. 안드로이드 모바일 OS에 대한 오라클과 구글간의 재판이 3월 중순께 열릴 예정이다. 썬마이크로시스템즈를 인수하면서 자바에 대한 권리를 취득한 오라클은 구글이 자바의 특허를 침해하고 저작권을 위반했다며 소송을 제기했으며 이후 양 측이 주장이 첨예하게 대립됐다. 이 재판은 3월19일 이후에 3차례에 걸쳐 진행될 예정이다. 윌리엄 알섭 판사가 캘리포니아 북부 지방법원에 4일에 제출한 공판 문서에는 이 3번의 과정에서 같은 배심원단이 모든 증거에 대해 듣고 최종 의사결정을 내린다고 밝혔다. 이러한 계획을 밝혔지만, 알섭 판사는 사전 심의와 재판 절차를 좀더 간소화하려는 의도도 내비쳤다. 첫번째 재판은 모든 저작권 주장에 대한 법적 책임과 이에 대한 공방을 직접적으로 다룰 것이다. 다른 이슈는 이 재판에서 거론하지 않는다”라고 알섭 판사는 전했다. 양 측은 증거를 제시하는 데 각각 16시간을 사용할 수 있다. 양측이 주장과 반박이 끝나면, 배심원단은 저작권 이슈에 대한 의견을 주고받을 것이라고 알섭 판사는 덧붙였다. 두번째 재판은 모든 특허의 법률적 책임과 이에 대한 반박을 다룰 것이다. 이 때 일반화된 특허 반박 논리도 포함된다"라고 알섭은 말했다. 오라클과 구글은 각각 증거를 제시할 수 있으며 양 측은 12시간씩을 사용할 수 있다. 알섭 판사에 따르면, 배심원단은 특허 주장에 대한 두번째 판결을 내리게 된다. “세번째 재판은 상황에 따라 필요하지 않을 수도 있는데 이 때는 오라클이 특허와 저작권 침해로 얼마나 손실을 입었고 구글의 고의성이 있었는지 등을 포함한 나머지 이슈들을 다루게 된다”라고 알섭 판사는 전했다. 양 측은 8시간씩을 사용할 수 있다. 한편, 오라클과 구글은 재판에서 배제된 다양한 증거들을 모으고자 움직이고 있다. 이러한 움직임에 대한 판결은 별도로 다뤄질 것이라고 알섭 판사는...

2012.01.05

오라클-구글 소송, 미 법원 “손해배상액 너무 많다”

구글과 구글의 안드로이드 모바일 운영체제가 자사의 특허를 침해했다고 제기한 소송에서 오라클이 제시한 수십억 달러에 달하는 손해 배상이 너무 많으므로 이를 낮추라는 법원의 명령이 떨어졌다.   오라클의 전문가들은 구글이 오라클의 자바 특허를 침해해 약 61억 달러의 손해를 끼쳤다는 것은 지나치게 많다는 것이 이번 재판을 담당하고 있는 윌리엄 앨섭 판사의 판단이다. 앨섭 판사는 오라클 손해 배상의 시작 금액은 1억 달러 정도가 되어야 하며, 이를 기준으로 다양한 요소를 감안해 조정해야 한다고 지시했다.   이에 따라 오라클측의 전문가인 보스턴대학 교수 아인 콕번은 자신의 추정치를 수정해 다시 제출할 수 있지만, 앨섭 판사는 다시 제출한 후에는 다시 기회가 없을 것이라고 경고했다.   또한 “미리 경고하지만, 다음 번의 마지막 보고서도 실질적이고 계산 가능한 방법으로 피해를 산정하는 데 실패하면, 또 한 번 의 기회없이 모두 배제될 수 있다”고 밝혔다.   오라클은 이에 대해 즉각적인 코멘트를 내놓지 않고 있다.  ciokr@idg.co.kr

모바일 구글 오라클 안드로이드 OS 운영체제 특허 침해

2011.07.25

구글과 구글의 안드로이드 모바일 운영체제가 자사의 특허를 침해했다고 제기한 소송에서 오라클이 제시한 수십억 달러에 달하는 손해 배상이 너무 많으므로 이를 낮추라는 법원의 명령이 떨어졌다.   오라클의 전문가들은 구글이 오라클의 자바 특허를 침해해 약 61억 달러의 손해를 끼쳤다는 것은 지나치게 많다는 것이 이번 재판을 담당하고 있는 윌리엄 앨섭 판사의 판단이다. 앨섭 판사는 오라클 손해 배상의 시작 금액은 1억 달러 정도가 되어야 하며, 이를 기준으로 다양한 요소를 감안해 조정해야 한다고 지시했다.   이에 따라 오라클측의 전문가인 보스턴대학 교수 아인 콕번은 자신의 추정치를 수정해 다시 제출할 수 있지만, 앨섭 판사는 다시 제출한 후에는 다시 기회가 없을 것이라고 경고했다.   또한 “미리 경고하지만, 다음 번의 마지막 보고서도 실질적이고 계산 가능한 방법으로 피해를 산정하는 데 실패하면, 또 한 번 의 기회없이 모두 배제될 수 있다”고 밝혔다.   오라클은 이에 대해 즉각적인 코멘트를 내놓지 않고 있다.  ciokr@idg.co.kr

2011.07.25

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9