누구나 사기를 당할 수 있다. 악당들은 한 번의 기회를 노릴 뿐이다. 소셜 인식 캠페인은 직원들이 회사에서 부지런히 보안을 유지하도록 하는 것이 관건이다. IRS, 은행, 우체국 등의 링크는 실제처럼 보이지만 좀 더 가까워 보인다. 어큐데...

2017.03.31

정보 보안 사고가 매년 기록을 갱신하고 있으며, 사고 중 상당수는 내부자에서 비롯된 것이라는데 수많은 연구보고서가 같은 목소리를 낸다. 보안 솔루션 기업 봄가르(Bomgar)의 보안 제품 관리 디렉터 샘 엘리엇은 특별 권한을 가진 내부 직원이나 외주 ...

2017.03.23

해커들의 공격은 날로 진화하고 있다. 최근에는 AI까지 사용하는 것으로 알려졌다. 발생 가능한 위협에 적절하게 대응하기 위해서 기업은 많은 방어 시스템을 수정 보완해야 할 것이다. Credit:GettyImages 머신러닝 기술을 통해...

2016.12.20

본 기고문은 벤더가 작성했지만 특정 제품이나 서비스를 알리는 내용을 담고 있지 않다. 해커가 특정 시스템, 기업, 개인을 공격하거나 해킹하는데 있어 전문 지식이 중요한 것은 물론이다. 그러나 종종 간과되는 점이 있다. 소셜 엔지니어링 같은 ...

2016.05.17

'웨일링(Whaling) 위협'은 개인 정보를 활용해 특정 인물에 대해 가해지는 공격을 의미한다. 일례로 CEO를 사칭해 돈을 송금하도록 하는 사기 행위가 있다. 특히 세금, 실적 등을 정산하는 시즌에 금융 부서를 대상으로 빈번히 발생하...

2016.04.19

IT 분야에 종사하고 있다면, 아마 1970~1990년대 FBI의 지명 수배를 받았던 악명 높은 해커 케빈 미트닉(Kevin Mitnick)을 알고 있을 것이다. 그가 교도소에서 석방된 이후 보안 컨설턴트로 근무했다. 이 또한 많은 이들이 알고 있는 ...

2016.03.10

기업이 사이버보안에 대비할 수 있는 최선책은 임직원들에게 해야 할 것과 해서는 안되는 것을 가르치고 교육하는 데서 출발한다. 비욘드트러스트(BeyondTrust)의 기술 담당 부사장 모리 하버는 임직원들이 피해야 하는 이메일에는 어떤 것들이 있는지 소...

2016.01.20

IBM의 최근 연구에 따르면, 새로운 악성코드와 구식 소셜 엔지니어링이 결합해 기업들에서 미화 100만 달러 이상의 돈을 갈취하는데 사용된 것으로 밝혀졌다. IBM이 ‘다이어 울프’라고 명명한 이 공격은 경험이 풍부한...

2015.04.06

소셜 엔지니어링 사기가 기승을 부리면서 IT전문가들조차 피해를 입고 있다. 사기를 막는 100% 안전한 방법은 없지만, 범죄자들의 사기 수법만 잘 알고 있어도 피해를 줄일 수 있다. 돈과 데이터를 빼내가는데 흔히 쓰이는 7가지 소셜 엔지니어링 사...

2015.02.23

소셜 엔지니어 공격은 여러 수단과 방법을 복합적으로 사용한다. 이들에게 성공을 위한 열쇠는 인간의 본성과 감정을 공략하는 것이다. 그러나 소셜 엔지니어들이 어떤 수법을 자주 사용하는지 미리 알아두면 피해갈 수 있다. 실제 이런 수법을 자주 사용하는 장...

2015.01.12

해커의 클릭 하나로 기업 전체 보안이 위험에 처하고, 프로젝트가 취소되고, 미개봉 영화가 유출되는 어마어마한 일이 현실이 된 지금, 필자는 우리가 일종의 전환점(tipping point)에 도달했다고 생각한다. 단순히 어떤 기업이 마음에 안 든다...

2015.01.06

컴퓨터 파일이 '인질'이 될 수 있다. "몸값을 내라. 그렇지 않으면 파일이 사라질 것이다.", "은행 계좌에서 잔고가 빠져나가고 있다. 이를 막으려면 여기를 클릭하라!", "친구가 ...

2014.04.25

쇼핑객들을 먹이로 삼는 소셜 엔지니어링 신용 사기를 위한 시즌이 돌아왔다. 메일보안업체 앱리버(AppRiver)의 트로이 길에게 연말동안 특별히 5개의 위험에 대처하는 쇼핑객의 자세를 들어봤다. editor@itworld.co.kr

2013.12.05

소셜 네트워킹 애플리케이션이 애플리케이션 매출 성장을 주도하는 것으로 나타났다. IDC에 따르면, 올 상반기 전세계 기업용 소프트웨어 시장이 미화 1,790억 달러로 전년 동기 대비 5.5% 늘어난 것으로 집계됐다. IDC는 올 상반기 유럽의 ...

2013.10.31

기업 경영진들이 보안 인식 교육에 초기에는 참여하고 있지만 이들 모두가 결과를 시험하는 것은 아니라는 조사 보고서가 나왔다. 이 보고서에 따르면 기업 경영진들이 사용자 인식 교육을 실시하고 있지만, 이들의 절반만이 교육의 효과를 측정하고자 후속 ...

2013.09.24

소셜 엔지니어링 기법이 보안 침투 테스트에 사용되는 경우가 많으며, 소위 말하는 ‘휴먼 네트워크’를 테스트하기 위한 방법으로도 쓰인다. 하지만 직원들간의 취약성을 찾아내려는 열의가 지나쳐 자칫 비윤리적일 수 있는 전략을 ...

2013.04.25

소셜 엔지니어링 공격방법을 이용하는 소셜 엔지니어들이 하계 데프콘 19 시큐리티 컨퍼런스에서 '깃발을 차지하라'라는 이벤트에 참여한 지 2년째가 됐다.   그리고 이번 연습 문제를 통해 새롭게 드러난 것을 요약하면 조직들이 ...

2011.11.01

타이 동과 줄리아노 리조가 SSL/TLS에 감행한 BEAST 공격에 대해 소문이 퍼지기 시작한 이후로 사람들은 이것이 얼마나 심각한 위협을 초래할지 불안해하고 있다.    소잃고 외양간 고치기 식 대책은 위험 분...

2011.10.10