Offcanvas

cso

해커 표적 되는 링크드인, 안전하게 사용하려면?

해커들에게 소셜미디어 사이트는 사용자를 속이기 좋은 먹잇감이다. 링크드인을 비롯한 소셜 네트워크는 기업의 방어를 우회하는 좋은 방법이라는 점을 알고 있기 때문에 종종 해커들의 표적이 되고 있다. 이러한 공격은 쉬운 데다 비용도 저렴해 점점 더 보편화되고 있다. 기업은 보안에 많은 돈을 투자했고, 평판이 낮은 사이트를 찾아 주는 제품을 구입했다. 링크드인은 이 두 가지를 우회한다. 링크드인은 일반적으로 HR 부서가 신입 사원을 찾을 수 있도록 네트워크 필터로 차단되지 않는 사이트다. 링크드인은 평판이 좋은 사이트기 때문에 이러한 평판 기반 보안 제품을 통해 모든 직원이 사이트에 접근할 수 있다. 사일랜스(Cylance)는 이러한 공격을 막을 몇 가지 팁을 제시했다. 가짜 사용자 프로필에 주의하라 모르는 사람의 '친구 요청'은 무조건 수락하지 말라. 사기범은 관심을 끌기 위해 맞춤 설정된 가짜 프로필을 올릴 수 있다. 예를 들어, 업계 최고 기업의 채용 담당자처럼 보이도록 만든 프로필, 매력적인 프로필 사진(스톡 사진일 수 있음)을 사용하고 우리 팀이나 회사 내 다른 사람들과 연결해 더 평판이 좋게 보이도록 할 수 있다. 프로필을 공유하기 전에 두 번 생각하라 페이스북이나 다른 소셜 네트워크와 마찬가지로 과도한 공유는 당신의 회사에 문제를 일으킬 수 있다. 일상생활에서 너무 많은 세부 사항을 공유하면 소셜 엔지니어가 물리적 또는 디지털 방식으로 회사에 접근하는 데 필요한 모든 툴을 사용할 수 있다. 다음과 같은 사례를 생각해 보자. • 직장 보안 카드를 보여주는 사진 공유(다른 사람이 쉽게 복사할 수 있음) • 사무실에서 찍은 사진 게시(화이트 보드나 기타 민감한 정보 포함) • 회사 출장 계획을 사전에 공개(이 내부자 정보를 '알면' 당신의 회사의 직원인 척 할 수 있음) • 회사가 내부적으로 사용하는 하드웨어나 소프트웨어에 대한 글 게시(공격자가 이를 알고 있음) ...

소셜네트워크 소셜 엔지니어링 공격 해커 소셜미디어 해킹 페이스북 HR 채용 CSO 링크드인

2017.04.04

해커들에게 소셜미디어 사이트는 사용자를 속이기 좋은 먹잇감이다. 링크드인을 비롯한 소셜 네트워크는 기업의 방어를 우회하는 좋은 방법이라는 점을 알고 있기 때문에 종종 해커들의 표적이 되고 있다. 이러한 공격은 쉬운 데다 비용도 저렴해 점점 더 보편화되고 있다. 기업은 보안에 많은 돈을 투자했고, 평판이 낮은 사이트를 찾아 주는 제품을 구입했다. 링크드인은 이 두 가지를 우회한다. 링크드인은 일반적으로 HR 부서가 신입 사원을 찾을 수 있도록 네트워크 필터로 차단되지 않는 사이트다. 링크드인은 평판이 좋은 사이트기 때문에 이러한 평판 기반 보안 제품을 통해 모든 직원이 사이트에 접근할 수 있다. 사일랜스(Cylance)는 이러한 공격을 막을 몇 가지 팁을 제시했다. 가짜 사용자 프로필에 주의하라 모르는 사람의 '친구 요청'은 무조건 수락하지 말라. 사기범은 관심을 끌기 위해 맞춤 설정된 가짜 프로필을 올릴 수 있다. 예를 들어, 업계 최고 기업의 채용 담당자처럼 보이도록 만든 프로필, 매력적인 프로필 사진(스톡 사진일 수 있음)을 사용하고 우리 팀이나 회사 내 다른 사람들과 연결해 더 평판이 좋게 보이도록 할 수 있다. 프로필을 공유하기 전에 두 번 생각하라 페이스북이나 다른 소셜 네트워크와 마찬가지로 과도한 공유는 당신의 회사에 문제를 일으킬 수 있다. 일상생활에서 너무 많은 세부 사항을 공유하면 소셜 엔지니어가 물리적 또는 디지털 방식으로 회사에 접근하는 데 필요한 모든 툴을 사용할 수 있다. 다음과 같은 사례를 생각해 보자. • 직장 보안 카드를 보여주는 사진 공유(다른 사람이 쉽게 복사할 수 있음) • 사무실에서 찍은 사진 게시(화이트 보드나 기타 민감한 정보 포함) • 회사 출장 계획을 사전에 공개(이 내부자 정보를 '알면' 당신의 회사의 직원인 척 할 수 있음) • 회사가 내부적으로 사용하는 하드웨어나 소프트웨어에 대한 글 게시(공격자가 이를 알고 있음) ...

2017.04.04

범죄자들의 디도스 공격 이익률, 최대 95% <카스퍼스키랩>

최근 발표된 보고서에 따르면, 디도스 서비스 산업의 출현으로 공격 비용이 25달러 이하로 낮아졌으며 전문 기술이 없는 범죄자라 해도 최대 95%의 이윤을 낼 수 있었다. 보고서 작성자인 카스퍼스키랩 ZAO(Kaspersky Lab ZAO)의 카스퍼스키랩 북미 수석 부사장인 마이클 카나반은 봇넷 운영자가 온라인에 접속해 도용하면서 공격 비용이 더 떨어질 가능성이 있다고 전했다. 범인들이 디도스 공격을 시작하지 않아도 범죄 대상이 몸값을 지불하는 경우도 있다. 또한 피해자에게 간단히 메일만 보내고, 굳이 디도스 공격으로 대상 시스템을 감염시킬 필요가 없는 경우도 있다. 그리고 공격자들만 돈을 버는 게 아니다. 보고서에 따르면, 일반 디도스 공격의 평균 비용은 시간당 25달러며 임대한 클라우드 기반 서버 1,000대를 사용하여 공격을 실행하는 데 드는 비용은 시간당 7달러다. 봇넷에 감염된 IoT 기기를 사용하면 비용이 훨씬 줄어든다. 카나반은 "앞으로 사물인터넷이 디도스 공격에 큰 영향을 줄 가능성이 있다"며 "디도스 공격에서 IoT 보안은 중요한 주제다"고 말했다. 그는 서비스 비용이 적게 들기 때문에 공격자가 이전보다 훨씬 다양한 목표를 달성할 수 있다고 전했다. 카나반은 "이전에는 큰 조직이었다"며 "이는 공격을 추진하는 추가적인 동기 부여의 기회를 열었다"고 밝혔다. 웹사이트나 전자상거래 플랫폼이 있는 사람이라면 누구든지 디도스의 공격 대상이라며 그는 다음과 같이 말했다. "CSO는 외부에서 겪은 모든 자산과 디도스 공격의 영향을 어떻게 받아들여야 하는지, 그리고 디도스 방지 솔루션의 비용 편익 분석을 살펴봐야 한다.” 또한 그는 정치적인 동기나 무작위로 피해를 주고자 하는 공격자에게 더 많은 기회가 있다고 말했다. 이밖에 서비스가 구매자를 공격 자체로부터 격리하기 때문에 기업들은 경쟁사를 공격할 수도 ...

CSO CISO DDoS 디도스 봇넷 인포섹 사물인터넷 라드웨어 카스퍼스키랩

2017.04.03

최근 발표된 보고서에 따르면, 디도스 서비스 산업의 출현으로 공격 비용이 25달러 이하로 낮아졌으며 전문 기술이 없는 범죄자라 해도 최대 95%의 이윤을 낼 수 있었다. 보고서 작성자인 카스퍼스키랩 ZAO(Kaspersky Lab ZAO)의 카스퍼스키랩 북미 수석 부사장인 마이클 카나반은 봇넷 운영자가 온라인에 접속해 도용하면서 공격 비용이 더 떨어질 가능성이 있다고 전했다. 범인들이 디도스 공격을 시작하지 않아도 범죄 대상이 몸값을 지불하는 경우도 있다. 또한 피해자에게 간단히 메일만 보내고, 굳이 디도스 공격으로 대상 시스템을 감염시킬 필요가 없는 경우도 있다. 그리고 공격자들만 돈을 버는 게 아니다. 보고서에 따르면, 일반 디도스 공격의 평균 비용은 시간당 25달러며 임대한 클라우드 기반 서버 1,000대를 사용하여 공격을 실행하는 데 드는 비용은 시간당 7달러다. 봇넷에 감염된 IoT 기기를 사용하면 비용이 훨씬 줄어든다. 카나반은 "앞으로 사물인터넷이 디도스 공격에 큰 영향을 줄 가능성이 있다"며 "디도스 공격에서 IoT 보안은 중요한 주제다"고 말했다. 그는 서비스 비용이 적게 들기 때문에 공격자가 이전보다 훨씬 다양한 목표를 달성할 수 있다고 전했다. 카나반은 "이전에는 큰 조직이었다"며 "이는 공격을 추진하는 추가적인 동기 부여의 기회를 열었다"고 밝혔다. 웹사이트나 전자상거래 플랫폼이 있는 사람이라면 누구든지 디도스의 공격 대상이라며 그는 다음과 같이 말했다. "CSO는 외부에서 겪은 모든 자산과 디도스 공격의 영향을 어떻게 받아들여야 하는지, 그리고 디도스 방지 솔루션의 비용 편익 분석을 살펴봐야 한다.” 또한 그는 정치적인 동기나 무작위로 피해를 주고자 하는 공격자에게 더 많은 기회가 있다고 말했다. 이밖에 서비스가 구매자를 공격 자체로부터 격리하기 때문에 기업들은 경쟁사를 공격할 수도 ...

2017.04.03

'의심 없이 속더라' 소셜 엔지니어링 실전 테스트 결과

누구나 사기를 당할 수 있다. 악당들은 한 번의 기회를 노릴 뿐이다. 소셜 인식 캠페인은 직원들이 회사에서 부지런히 보안을 유지하도록 하는 것이 관건이다. IRS, 은행, 우체국 등의 링크는 실제처럼 보이지만 좀 더 가까워 보인다. 어큐데이터 시스템즈(Accudata Systems)의 수석 평가 및 규제 준수 컨설턴트인 안톤 아바야는 한 회사로부터 직원들 몰래 네트워크와 물리적 보안의 구멍을 찾아 달라는 요청을 받았다. 여기에서 그는 자신의 경험 중 일부를 공유했다. 프라이버시 보호를 위해 고객의 실명은 거론하지 않았다. 불쑥 찾아온 방문객 아바야는 스테이플스(Staples)에서 구한 기본적인 재료로 만든 고객의 로고와 ‘IT 계약직원’이라는 문구가 새겨진 가짜 배지를 착용하고 은행에 갔다. 그가 말을 꺼내기도 전에 접수원은 팩스 기계를 고치러 왔는지 물어보았고 그는 “그렇다”고 대답했다. 이때, 그는 창구 시스템을 포함하여 현장에서 기타 컴퓨터를 ‘수리’했다. 해당 은행의 직원이 아바야를 전적으로 신뢰했기 때문에 모든 것에 접근할 수 있었다. 그 직원과 아바야는 (아바야의 USB 드라이브를 연결하고 애플리케이션을 실행하는 것을 포함하여) 창구 워크스테이션, 기타 새로운 은행 계좌 개설용 워크스테이션, 물리적인 보안 시스템(동영상 모니터링 시스템 등)에 물리적으로 접근했다. “우리는 정기 유지보수와 함께 보안 강화를 제공하고 있다”고 말하자 해당 직원은 그가 원하는 거의 모든 것에 접근할 수 있도록 허용했다. 그는 은행의 경비원을 예의주시했지만, 그 직원은 아바야에 대해 거의 신경 쓰지 않았다. 해당 은행은 은행직원이 항상 본사의 공식적인 IT 업무지원센터로 문의하여 모든 작업승인을 확인할 뿐 아니라 신분증을 요구하도록 하는 절차가 마련되어 있었다. 아바야는 은행 관리자가 없는 점심시간에 다시 돌아왔다. 사탕 미끼 아바야는 발렌타인데이에 ...

소셜네트워크 CSO 이메일 은행 사기 피싱 CISO 소셜 엔지니어링 USB

2017.03.31

누구나 사기를 당할 수 있다. 악당들은 한 번의 기회를 노릴 뿐이다. 소셜 인식 캠페인은 직원들이 회사에서 부지런히 보안을 유지하도록 하는 것이 관건이다. IRS, 은행, 우체국 등의 링크는 실제처럼 보이지만 좀 더 가까워 보인다. 어큐데이터 시스템즈(Accudata Systems)의 수석 평가 및 규제 준수 컨설턴트인 안톤 아바야는 한 회사로부터 직원들 몰래 네트워크와 물리적 보안의 구멍을 찾아 달라는 요청을 받았다. 여기에서 그는 자신의 경험 중 일부를 공유했다. 프라이버시 보호를 위해 고객의 실명은 거론하지 않았다. 불쑥 찾아온 방문객 아바야는 스테이플스(Staples)에서 구한 기본적인 재료로 만든 고객의 로고와 ‘IT 계약직원’이라는 문구가 새겨진 가짜 배지를 착용하고 은행에 갔다. 그가 말을 꺼내기도 전에 접수원은 팩스 기계를 고치러 왔는지 물어보았고 그는 “그렇다”고 대답했다. 이때, 그는 창구 시스템을 포함하여 현장에서 기타 컴퓨터를 ‘수리’했다. 해당 은행의 직원이 아바야를 전적으로 신뢰했기 때문에 모든 것에 접근할 수 있었다. 그 직원과 아바야는 (아바야의 USB 드라이브를 연결하고 애플리케이션을 실행하는 것을 포함하여) 창구 워크스테이션, 기타 새로운 은행 계좌 개설용 워크스테이션, 물리적인 보안 시스템(동영상 모니터링 시스템 등)에 물리적으로 접근했다. “우리는 정기 유지보수와 함께 보안 강화를 제공하고 있다”고 말하자 해당 직원은 그가 원하는 거의 모든 것에 접근할 수 있도록 허용했다. 그는 은행의 경비원을 예의주시했지만, 그 직원은 아바야에 대해 거의 신경 쓰지 않았다. 해당 은행은 은행직원이 항상 본사의 공식적인 IT 업무지원센터로 문의하여 모든 작업승인을 확인할 뿐 아니라 신분증을 요구하도록 하는 절차가 마련되어 있었다. 아바야는 은행 관리자가 없는 점심시간에 다시 돌아왔다. 사탕 미끼 아바야는 발렌타인데이에 ...

2017.03.31

의료기기 보호하고 환자 개인정보 개선하는 '블록체인'

블록체인이 의료 기기를 보호하고 환자의 개인정보를 개선하는 데 도움을 줄 수 있는 것으로 알려졌다. 문제는 적절한 구현방법이다. 지난주 미국 보스턴에서 열린 시큐어월드의 발표자로 참석한 파트너스 헬스케어(Partners Healthcare)의 최고정보보안책임자(CISO)인 에스몬드 케인(왼쪽 사진)은 블록체인의 잠재적인 성능 문제로 기술에 대한 불신과 랜섬웨어와의 연관성, 다크웹에서의 불법 항목 지불로 사용된다는 단점 등을 문제로 지적했다. 하지만 케인은 분산되고 암호화된 공공 원장이 의료 분야에서 풍부한 애플리케이션을 보유할 수 있다고 말했다. 여기에는 보험금 청구 해결, 의료 기기의 인터넷 관리, 개인 의료 데이터를 위한 세분화된 개인정보 보호 설정 제공이 포함된다. 파트너스 헬스케어는 환자가 의료 정보에 대해 다른 개인정보 설정을 지정할 수 있는 기능을 제공하고 있다. 메커닉은 해결되지 않았지만 의료 기록을 구성 요소로 분리하고 접근권한을 하나씩 부여함으로써 미래의 정보 수신자에게 과도한 권한을 부여하는 위험을 줄일 수 있다. 예를 들어, 블록체인은 직원이 심리적 장애를 치료받고 있는지와 같은 특정 정보에 접근할 수 있는 사람을 제어할 수 있다. 그 정보는 고용주에게 전달이 제한되도록 지정될 수 있지만, 환자의 보험자는 접근할 수 있다. 케인에 따르면, 이 기술은 모든 당사자가 업데이트된 데이터에 접근할 수 있도록 개인 블록체인에 게시된 기록을 보유함으로써 보험 청구 처리의 속도를 높이고 데이터 전송의 필요성을 줄이며 전송을 위한 인프라를 구축하는 데 사용될 수 있다. 또한 비용도 절감할 수 있다. 그는 “의료 기기에는 고유 식별 코드를 넣을 수 있으며, 이들에 대한 정보는 유지보수 및 관리를 자동화하는 다른 시스템에서 접근하도록 공유 원장에 저장할 수 있다”고 말했다. 퍼블릭 블록체인 vs. 프라이빗 블록체인 퍼블릭 블록체인은 특히 암호화에 사용될 때 확장 문제가 발생할 수 있다. 케인은 &l...

CSO 퍼블릭 블록체인 파트너스 헬스케어 의료 기기 블록체인 다크웹 환자 CISO 개인정보 의료 마이크로소프트 IBM 아마존 프라이빗 블록체인

2017.03.27

블록체인이 의료 기기를 보호하고 환자의 개인정보를 개선하는 데 도움을 줄 수 있는 것으로 알려졌다. 문제는 적절한 구현방법이다. 지난주 미국 보스턴에서 열린 시큐어월드의 발표자로 참석한 파트너스 헬스케어(Partners Healthcare)의 최고정보보안책임자(CISO)인 에스몬드 케인(왼쪽 사진)은 블록체인의 잠재적인 성능 문제로 기술에 대한 불신과 랜섬웨어와의 연관성, 다크웹에서의 불법 항목 지불로 사용된다는 단점 등을 문제로 지적했다. 하지만 케인은 분산되고 암호화된 공공 원장이 의료 분야에서 풍부한 애플리케이션을 보유할 수 있다고 말했다. 여기에는 보험금 청구 해결, 의료 기기의 인터넷 관리, 개인 의료 데이터를 위한 세분화된 개인정보 보호 설정 제공이 포함된다. 파트너스 헬스케어는 환자가 의료 정보에 대해 다른 개인정보 설정을 지정할 수 있는 기능을 제공하고 있다. 메커닉은 해결되지 않았지만 의료 기록을 구성 요소로 분리하고 접근권한을 하나씩 부여함으로써 미래의 정보 수신자에게 과도한 권한을 부여하는 위험을 줄일 수 있다. 예를 들어, 블록체인은 직원이 심리적 장애를 치료받고 있는지와 같은 특정 정보에 접근할 수 있는 사람을 제어할 수 있다. 그 정보는 고용주에게 전달이 제한되도록 지정될 수 있지만, 환자의 보험자는 접근할 수 있다. 케인에 따르면, 이 기술은 모든 당사자가 업데이트된 데이터에 접근할 수 있도록 개인 블록체인에 게시된 기록을 보유함으로써 보험 청구 처리의 속도를 높이고 데이터 전송의 필요성을 줄이며 전송을 위한 인프라를 구축하는 데 사용될 수 있다. 또한 비용도 절감할 수 있다. 그는 “의료 기기에는 고유 식별 코드를 넣을 수 있으며, 이들에 대한 정보는 유지보수 및 관리를 자동화하는 다른 시스템에서 접근하도록 공유 원장에 저장할 수 있다”고 말했다. 퍼블릭 블록체인 vs. 프라이빗 블록체인 퍼블릭 블록체인은 특히 암호화에 사용될 때 확장 문제가 발생할 수 있다. 케인은 &l...

2017.03.27

'끊임없이 제기되는 내부자 위협' 최소화하는 10가지 방법

이직은 흔한 일이며, 직원이 떠날 때 자신이 관여했던 자료 등 민감한 기밀 데이터를 함께 가져가는 것도 흔한 일이다. 이로 인해 데이터를 유용 당한 고용주에겐 상당한 위험이 발생하여 규제 조치 또는 법적 조치뿐만이 아니라 다양한 결과를 낳을 수 있는 잠재적인 데이터 유출이 발생하게 된다. 대부분의 고용주는 직원 데이터 도난의 여파에 대처할 수 있도록 적절히 준비돼 있지 않으며 많은 이들이 이런 위험이 발생하기 전에 완화하는 데 필요한 조처를 하지 않는다. 하지만 의사결정자들이 기업을 보호하고 직원의 민감한 기밀 정보 도난 위협을 완전히 없애지는 못하더라도 최소화하기 위해 여러 가지 조처를 할 수 있다. 오스터만 리서치(Osterman Research)는 이런 내부자의 존재를 차단하는 수단을 찾는 아카이브360(Archive360)의 후원을 받아 백서(White Paper)를 만들었다. 다음은 이 백서에 나와 있는 ‘내부자 위협을 최소화하는 10가지 조처’다.   암호화 암호화를 완벽하게 도입하지 않은 조직이라 해도 민감하거나 기밀 사항인 콘텐츠를 보호하는 데 필요한 민감한 데이터 자산과 이에 접근하는 데 사용하는 기기 등의 가장 확실한 영역에서 암호화를 시작할 수 있다. 의사 결정자들은 이직하는 직원이 가져가는 경우 비즈니스 파트너 및 기타 핵심 관계자들과의 관계를 크게 손상할 수 있는 콘텐츠까지도 확인해야 한다. 여기에는 재무 상태 전망, 정책성명 초안, 입찰, 입찰자, 인수정보, 직원 의료기록, 협력사 정보, 고객 재무 정보 등의 민감한 문서가 포함돼 있다. 일반적으로 이러한 자료는 기업에서 위험 대부분을 의미하며 강력한 암호화 기술을 이용해 보호하기가 상대적으로 쉽다. 모바일 기기 관리 MDM(Mobile Device Management) 기술은 관리자가 기업과 개인이 소유한 기기에서 콘텐츠를 모니터링하고 개인 소유 기기에서 기업 데이터를 컨테이너화하며 이 데이터를 원격으로 신속하게 삭제할...

CSO 백서 내부자 위협 오스터만 리서치 인사 BYOD MDM 백업 CISO 암호화 이직 DLP HR 아카이브360

2017.03.27

이직은 흔한 일이며, 직원이 떠날 때 자신이 관여했던 자료 등 민감한 기밀 데이터를 함께 가져가는 것도 흔한 일이다. 이로 인해 데이터를 유용 당한 고용주에겐 상당한 위험이 발생하여 규제 조치 또는 법적 조치뿐만이 아니라 다양한 결과를 낳을 수 있는 잠재적인 데이터 유출이 발생하게 된다. 대부분의 고용주는 직원 데이터 도난의 여파에 대처할 수 있도록 적절히 준비돼 있지 않으며 많은 이들이 이런 위험이 발생하기 전에 완화하는 데 필요한 조처를 하지 않는다. 하지만 의사결정자들이 기업을 보호하고 직원의 민감한 기밀 정보 도난 위협을 완전히 없애지는 못하더라도 최소화하기 위해 여러 가지 조처를 할 수 있다. 오스터만 리서치(Osterman Research)는 이런 내부자의 존재를 차단하는 수단을 찾는 아카이브360(Archive360)의 후원을 받아 백서(White Paper)를 만들었다. 다음은 이 백서에 나와 있는 ‘내부자 위협을 최소화하는 10가지 조처’다.   암호화 암호화를 완벽하게 도입하지 않은 조직이라 해도 민감하거나 기밀 사항인 콘텐츠를 보호하는 데 필요한 민감한 데이터 자산과 이에 접근하는 데 사용하는 기기 등의 가장 확실한 영역에서 암호화를 시작할 수 있다. 의사 결정자들은 이직하는 직원이 가져가는 경우 비즈니스 파트너 및 기타 핵심 관계자들과의 관계를 크게 손상할 수 있는 콘텐츠까지도 확인해야 한다. 여기에는 재무 상태 전망, 정책성명 초안, 입찰, 입찰자, 인수정보, 직원 의료기록, 협력사 정보, 고객 재무 정보 등의 민감한 문서가 포함돼 있다. 일반적으로 이러한 자료는 기업에서 위험 대부분을 의미하며 강력한 암호화 기술을 이용해 보호하기가 상대적으로 쉽다. 모바일 기기 관리 MDM(Mobile Device Management) 기술은 관리자가 기업과 개인이 소유한 기기에서 콘텐츠를 모니터링하고 개인 소유 기기에서 기업 데이터를 컨테이너화하며 이 데이터를 원격으로 신속하게 삭제할...

2017.03.27

'사용자 편의와 보안을 고려한' BYOD 정책 수립 팁

회사가 원하든 원치 않든 직원들은 자신의 기기를 들고 올 것이다. 오늘날의 업무 환경에서 직원은 점점 더 끊임없이 의사소통하고 싶어 한다. 회사의 허용 여부와 관계없이 직원은 업무용으로 개인용 기기를 사용한다. 피할 수 없는 것을 무시하기보다는 회사를 보호하고 업무 생산성을 높이면서 보안과 균형을 유지하는 BYOD 정책을 개발하고 구현해야 한다. 미국의 로펌 볼치&빙엄(Balch & Bingham LLP)의 파트너 브랜든 N. 로빈슨이 개인정보 보호와 데이터 보안을 위한 몇 가지 방법을 제시했다. BYOD 정책을 수립하기 전에 먼저 회사가 BYOD 정책을 수립하려는 궁극적인 목적이 무엇인지를 파악하라. 모바일 기기 자체의 보안 때문인가? 모바일 환경을 관리하기 위해선가? 애플리케이션 위험을 해결하기 위함인가? BYOD 정책에는 회사 정보를 안전하게 보관하고, 유용성/생산성을 높이며, 시간 낭비(예 : 페이스북, 트위터, 유튜브 등)와 부적절한 웹 사용을 줄이는 것도 포함될 수 있다. 규제 위험 평가 지역/지방/외국에 있는 데이터에 대한 개인정보 보호 및 보안법을 이해하려면 해당 지역의 법무부서와 인사부서에 문의하라. 지역에 따라 법이 다르다면, 필요에 따라 일반 BYOD 정책에 하위 정책이나 절차도 고려하라. 정책을 개발할 때 HR, IT, 경영, 법률 등 다양한 이해 관계자를 포함해 구현 가능한 방식으로 정책이 개발되도록 한다. --------------------------------------------------------------- BYOD 보안 인기기사 ->BYOD, 프라이버시 규정이 필요한 시점 ->마스터카드에서 배우는 BYOD 보안 정책 ->가트너, 엔터프라이즈 모바일 보안에서 BYOD가 최대 과제 ->BYOD의 성공 “기기가 아닌 데이터 보호에 초점 맞춰라” ->칼럼 | 사용자가 주도한 BYOD, 안전한 모바일 기기 전략이...

스마트폰 퇴사 도난 BYOD 분실 안드로이드폰 암호 업무 생산성 암호화 개인정보 보호 교육 아이폰 정책 이직 커뮤니케이션 CSO 태블릿

2017.03.22

회사가 원하든 원치 않든 직원들은 자신의 기기를 들고 올 것이다. 오늘날의 업무 환경에서 직원은 점점 더 끊임없이 의사소통하고 싶어 한다. 회사의 허용 여부와 관계없이 직원은 업무용으로 개인용 기기를 사용한다. 피할 수 없는 것을 무시하기보다는 회사를 보호하고 업무 생산성을 높이면서 보안과 균형을 유지하는 BYOD 정책을 개발하고 구현해야 한다. 미국의 로펌 볼치&빙엄(Balch & Bingham LLP)의 파트너 브랜든 N. 로빈슨이 개인정보 보호와 데이터 보안을 위한 몇 가지 방법을 제시했다. BYOD 정책을 수립하기 전에 먼저 회사가 BYOD 정책을 수립하려는 궁극적인 목적이 무엇인지를 파악하라. 모바일 기기 자체의 보안 때문인가? 모바일 환경을 관리하기 위해선가? 애플리케이션 위험을 해결하기 위함인가? BYOD 정책에는 회사 정보를 안전하게 보관하고, 유용성/생산성을 높이며, 시간 낭비(예 : 페이스북, 트위터, 유튜브 등)와 부적절한 웹 사용을 줄이는 것도 포함될 수 있다. 규제 위험 평가 지역/지방/외국에 있는 데이터에 대한 개인정보 보호 및 보안법을 이해하려면 해당 지역의 법무부서와 인사부서에 문의하라. 지역에 따라 법이 다르다면, 필요에 따라 일반 BYOD 정책에 하위 정책이나 절차도 고려하라. 정책을 개발할 때 HR, IT, 경영, 법률 등 다양한 이해 관계자를 포함해 구현 가능한 방식으로 정책이 개발되도록 한다. --------------------------------------------------------------- BYOD 보안 인기기사 ->BYOD, 프라이버시 규정이 필요한 시점 ->마스터카드에서 배우는 BYOD 보안 정책 ->가트너, 엔터프라이즈 모바일 보안에서 BYOD가 최대 과제 ->BYOD의 성공 “기기가 아닌 데이터 보호에 초점 맞춰라” ->칼럼 | 사용자가 주도한 BYOD, 안전한 모바일 기기 전략이...

2017.03.22

사고 대응 계획이 마련돼 있습니까?··· 수립 원칙 9가지

사고 대응 계획을 준비할 때에는 '디테일(세부 사항)'에 신경을 써야 한다. 정말 잘 준비된 IR(Incident Response-사고 대응) 계획이라도 핵심 요소가 빠져 있다면, 정상 운영을 조속히 재개하기 어렵다. 사이버리즌(Cyberreason)이 뼈대를 제공한 이번 가이드는 반드시 IR계획에 반영되어야 하는 9가지 요소와 단계를 소개하고 있다. 전사적인 준비와 대비 우수한 보안 리더는 전사적으로 직원들이 IR계획 준비할 수 있도록 유도할 수 있어야 한다. 아마 CISO가 위협을 담당하는 팀을 관리하겠지만 침해 사고 극복에는 전사적인 노력이 필요하다. 예를 들어, 침해 사고가 초래한 영향을 처리해야 하는 은행은 사고 공개가 법적 의무일 경우 PR부서의 도움이 필요하다. 또 공격자가 워드프레스(WordPress) 취약점 등 웹사이트 취약점을 이용해 공격을 했다면, 웹 개발 팀이 관여해야 한다. 직원 개인정보가 유출되었다면 HR 부서에도 연락을 해야 한다. 즉 은행 사고 대응계획에는 이들 부서의 의견이 반영되어 있어야 한다. 철저한 사고 대응계획은 침해사고 발생을 알게 되었을 때 통보해야 할 핵심 인력, 회사 내부와 외부에 침해사고 정보를 커뮤니케이션 하는 방법을 규정하고 있는 것이어야 한다. 또 계획을 마련하는 과정에서 핵심 인력의 연락처 정보와 커뮤니케이션 타임라인(스케줄)을 추가시켜야 한다. 척도와 매트릭스를 파악 좋은 사고 대응계획은 사전에 KPI(Key Performance Indicator)를 규정한다. 그리고 사고가 발생하면 보안팀이 이를 기준으로 평가를 실시한다. 시간과 관련된 척도로는 감지까지 걸린 시간, 사고 보고까지 걸린 시간, 분류 시간, 조사 시간, 대응 시간 등을 포함시키는 것이 좋다. 또 긍정 오류의 수, 공격 특성(멜웨어 기반 및 기타), 사고를 감지한 도구 등도 추적해야 한다. 테스트 기업은 준비 단계 동안 다양한 침해 시나리오를 고려해야 한다. 팀 트레이닝, 도상...

CSO 해킹 침해 다운타임 대비 사고 대응 계획 IR 계획

2017.03.21

사고 대응 계획을 준비할 때에는 '디테일(세부 사항)'에 신경을 써야 한다. 정말 잘 준비된 IR(Incident Response-사고 대응) 계획이라도 핵심 요소가 빠져 있다면, 정상 운영을 조속히 재개하기 어렵다. 사이버리즌(Cyberreason)이 뼈대를 제공한 이번 가이드는 반드시 IR계획에 반영되어야 하는 9가지 요소와 단계를 소개하고 있다. 전사적인 준비와 대비 우수한 보안 리더는 전사적으로 직원들이 IR계획 준비할 수 있도록 유도할 수 있어야 한다. 아마 CISO가 위협을 담당하는 팀을 관리하겠지만 침해 사고 극복에는 전사적인 노력이 필요하다. 예를 들어, 침해 사고가 초래한 영향을 처리해야 하는 은행은 사고 공개가 법적 의무일 경우 PR부서의 도움이 필요하다. 또 공격자가 워드프레스(WordPress) 취약점 등 웹사이트 취약점을 이용해 공격을 했다면, 웹 개발 팀이 관여해야 한다. 직원 개인정보가 유출되었다면 HR 부서에도 연락을 해야 한다. 즉 은행 사고 대응계획에는 이들 부서의 의견이 반영되어 있어야 한다. 철저한 사고 대응계획은 침해사고 발생을 알게 되었을 때 통보해야 할 핵심 인력, 회사 내부와 외부에 침해사고 정보를 커뮤니케이션 하는 방법을 규정하고 있는 것이어야 한다. 또 계획을 마련하는 과정에서 핵심 인력의 연락처 정보와 커뮤니케이션 타임라인(스케줄)을 추가시켜야 한다. 척도와 매트릭스를 파악 좋은 사고 대응계획은 사전에 KPI(Key Performance Indicator)를 규정한다. 그리고 사고가 발생하면 보안팀이 이를 기준으로 평가를 실시한다. 시간과 관련된 척도로는 감지까지 걸린 시간, 사고 보고까지 걸린 시간, 분류 시간, 조사 시간, 대응 시간 등을 포함시키는 것이 좋다. 또 긍정 오류의 수, 공격 특성(멜웨어 기반 및 기타), 사고를 감지한 도구 등도 추적해야 한다. 테스트 기업은 준비 단계 동안 다양한 침해 시나리오를 고려해야 한다. 팀 트레이닝, 도상...

2017.03.21

'해커보다 한 걸음 앞선다' 위협 인텔리전스의 7가지 보편적 법칙

위협 인텔리전스로 기업이 해커보다 한 걸음 또는 그 이상 앞설 수 있게 됐다. 사이버 보안은 영웅적 과제다. 매일 기업과 조직은 전세계의 악의적인 공격자의 맹공격을 당하고 있다. 조직의 사이버 보안 활동의 하나로, 이러한 공격은 실제로 발생하는 경우에만 포착하지 말고 위협이 완화되고 문제가 발생하기 전에 위협을 막을 수 있다. 어떤 유형의 위협 인텔리전스를 선택하든 상관없이 모든 기업에서 실행할 수 있는 베스트 프랙티스 몇 가지가 있다. 웹에서 자유롭게 사용할 수 있는 오픈소스 정보는 기업이 공격을 예측하고 대비할 수 있도록 도와준다. 여기 위협 인텔리전스의 7가지 보편적 법칙이 있다. 보편적 법칙 1 : 구글에서 검색하라 구글이 ‘다크웹’까지 검색해 줄 수 있는 건 아니지만 여전히 유용하다. 우리는 구글을 매일 사용한다. 사이버보안에도 마찬가지다. 구글에는 우리가 참조할 만한 정보가 매일 쏟아져 나오고 집단지성의 산물들이 만들어 진다. 결국 대부분 데이터는 온라인에서 생성된다. 찾다 보면, 개방형 웹 검색 엔진을 사용해 얼마나 앞서갈 수 있는지 알게 될 것이다. 위협 인텔리전스 전문 업체만큼은 아니지만 피해를 보지 않을 수는 있다.   보편적 법칙 2 : 다른 사람에게 배우라 공격 및 데이터 침해 범위가 미지의 영역에 들어선 것은 사실이다. 그러나 이러한 활동이 급증하면서 한 가지 이점은 우리가 다른 사람에게 배울 기회가 생겼다는 것이다. 사이버보안은 현재 해커들에게 ‘미국 서부 개척 시대’ 같은 단계에 있어 다른 공격과 해킹으로 더 많은 것을 배울수록 더 잘 준비할 수 있다. 다른 조직에서 데이터 침해 사고가 발생했다면, 자세한 내용을 살펴보라. 이 사고가 어떻게 일어났나? 첫 번째 실마리는 언제 떨어졌나? 침입자는 어떻게 네트워크에 들어왔나? 진행중인 공격을 더 많이 연구할수록 더 많은 팀이 준비될 것이다. 보편적 법칙 3 : 페이스트빈과 깃허브를 확...

검색 지능형위협대응 위협 인텔리전스 다크웹 깃허브 사이버보안 해커 CISO CSO 구글 페이스트빈

2017.03.14

위협 인텔리전스로 기업이 해커보다 한 걸음 또는 그 이상 앞설 수 있게 됐다. 사이버 보안은 영웅적 과제다. 매일 기업과 조직은 전세계의 악의적인 공격자의 맹공격을 당하고 있다. 조직의 사이버 보안 활동의 하나로, 이러한 공격은 실제로 발생하는 경우에만 포착하지 말고 위협이 완화되고 문제가 발생하기 전에 위협을 막을 수 있다. 어떤 유형의 위협 인텔리전스를 선택하든 상관없이 모든 기업에서 실행할 수 있는 베스트 프랙티스 몇 가지가 있다. 웹에서 자유롭게 사용할 수 있는 오픈소스 정보는 기업이 공격을 예측하고 대비할 수 있도록 도와준다. 여기 위협 인텔리전스의 7가지 보편적 법칙이 있다. 보편적 법칙 1 : 구글에서 검색하라 구글이 ‘다크웹’까지 검색해 줄 수 있는 건 아니지만 여전히 유용하다. 우리는 구글을 매일 사용한다. 사이버보안에도 마찬가지다. 구글에는 우리가 참조할 만한 정보가 매일 쏟아져 나오고 집단지성의 산물들이 만들어 진다. 결국 대부분 데이터는 온라인에서 생성된다. 찾다 보면, 개방형 웹 검색 엔진을 사용해 얼마나 앞서갈 수 있는지 알게 될 것이다. 위협 인텔리전스 전문 업체만큼은 아니지만 피해를 보지 않을 수는 있다.   보편적 법칙 2 : 다른 사람에게 배우라 공격 및 데이터 침해 범위가 미지의 영역에 들어선 것은 사실이다. 그러나 이러한 활동이 급증하면서 한 가지 이점은 우리가 다른 사람에게 배울 기회가 생겼다는 것이다. 사이버보안은 현재 해커들에게 ‘미국 서부 개척 시대’ 같은 단계에 있어 다른 공격과 해킹으로 더 많은 것을 배울수록 더 잘 준비할 수 있다. 다른 조직에서 데이터 침해 사고가 발생했다면, 자세한 내용을 살펴보라. 이 사고가 어떻게 일어났나? 첫 번째 실마리는 언제 떨어졌나? 침입자는 어떻게 네트워크에 들어왔나? 진행중인 공격을 더 많이 연구할수록 더 많은 팀이 준비될 것이다. 보편적 법칙 3 : 페이스트빈과 깃허브를 확...

2017.03.14

인형에서 새는 개인정보··· 아직 집안에 들이기엔 위험한 장난감

최근 스마트 테디 베어 해킹 사건이 발생했다. 부모가 자신의 어린 시절을 떠올리며 자녀에게 사준 곰 인형에서 개인정보가 샐 수 있다는 경종을 울린 사건이었다.   부모와 자녀가 음성 메시지를 주고받을 수 있는 스마트 테디베어가 최근 사용자 계정 80만 개 이상의 정보 유출과 관련 있는 사건이 최근 일어났다. 스파이럴 토이(Spiral Toys) 제품을 사용중인 이 회사는 모든 고객이 해킹당했다는 사실을 부인하고 있다. 보안업체 사일런스(Cylance)의 연구 책임자인 잭 래니어는 장난감과 관련한 데이터 유출 사건을 조사해 소개하면서 이를 막을 수 있는 팁을 제시했다. 클라우드펫(CloudPets)의 스마트 테디 베어 이 사건은 인증 프로세스가 필요 없는 공개 데이터베이스인 몽고DB에 고객 정보를 저장하는 실수 때문에 장난감 사용자의 음성 녹음에 공격자가 접근해 발생했을 수 있다. 공격자를 포함한 모든 사람이 데이터를 보고 훔칠 수 있었다. 클라우드펫은 강도 높은 암호를 요구하지 않아 암호를 쉽게 풀 수 있었다. 팁 : 강도 요구 사항과 관계없이 항상 보안 암호를 만들어라. 암호에는 반드시 소문자와 대문자, 기호, 숫자를 넣어라. 암호 관리자를 사용해 사이트 및 서비스에 대한 고유 암호를 만들고 저장하라.   피셔-프라이스 스마트 장난감 연결된 장난감으로 동물 봉제 인형은 많은 약한 API 때문에 취약한 모바일 애플리케이션과 결합돼 있다. 때문에 누가 메시지를 보냈는지 확인하지 못했다. 이는 공격자가 사용자 이름이나 이메일 주소를 추측해 관련 계정과 자녀 프로필의 서버 반환 세부 정보를 피셔 프라이스에 요청하고 이름, 생년월일, 성별, 언어, 이들이 사용한 장난감 정보를 건네받을 수 있음을 의미한다.  팁 : IoT 기기를 모바일 앱이나 데스크톱 컴퓨터에 연결할 경우 IoT 연결 방식을 확인하는 것이 중요하다. URL 주소의 시작이 HTTP의 보안 버전인 https가 아닌 http인 경우 ...

CSO 봉제인형 바비인형 스마트 테디베어 촬영 사물인터넷 스마트홈 자녀 몽고DB 부모 장난감 카메라 로봇 개인정보 클라우드펫

2017.03.10

최근 스마트 테디 베어 해킹 사건이 발생했다. 부모가 자신의 어린 시절을 떠올리며 자녀에게 사준 곰 인형에서 개인정보가 샐 수 있다는 경종을 울린 사건이었다.   부모와 자녀가 음성 메시지를 주고받을 수 있는 스마트 테디베어가 최근 사용자 계정 80만 개 이상의 정보 유출과 관련 있는 사건이 최근 일어났다. 스파이럴 토이(Spiral Toys) 제품을 사용중인 이 회사는 모든 고객이 해킹당했다는 사실을 부인하고 있다. 보안업체 사일런스(Cylance)의 연구 책임자인 잭 래니어는 장난감과 관련한 데이터 유출 사건을 조사해 소개하면서 이를 막을 수 있는 팁을 제시했다. 클라우드펫(CloudPets)의 스마트 테디 베어 이 사건은 인증 프로세스가 필요 없는 공개 데이터베이스인 몽고DB에 고객 정보를 저장하는 실수 때문에 장난감 사용자의 음성 녹음에 공격자가 접근해 발생했을 수 있다. 공격자를 포함한 모든 사람이 데이터를 보고 훔칠 수 있었다. 클라우드펫은 강도 높은 암호를 요구하지 않아 암호를 쉽게 풀 수 있었다. 팁 : 강도 요구 사항과 관계없이 항상 보안 암호를 만들어라. 암호에는 반드시 소문자와 대문자, 기호, 숫자를 넣어라. 암호 관리자를 사용해 사이트 및 서비스에 대한 고유 암호를 만들고 저장하라.   피셔-프라이스 스마트 장난감 연결된 장난감으로 동물 봉제 인형은 많은 약한 API 때문에 취약한 모바일 애플리케이션과 결합돼 있다. 때문에 누가 메시지를 보냈는지 확인하지 못했다. 이는 공격자가 사용자 이름이나 이메일 주소를 추측해 관련 계정과 자녀 프로필의 서버 반환 세부 정보를 피셔 프라이스에 요청하고 이름, 생년월일, 성별, 언어, 이들이 사용한 장난감 정보를 건네받을 수 있음을 의미한다.  팁 : IoT 기기를 모바일 앱이나 데스크톱 컴퓨터에 연결할 경우 IoT 연결 방식을 확인하는 것이 중요하다. URL 주소의 시작이 HTTP의 보안 버전인 https가 아닌 http인 경우 ...

2017.03.10

랜섬웨어에 대처하는 6가지 전략

랜섬웨어에 감염된 시스템이 얼마나 위험하고, 해당 데이터를 복구하지 못했을 때 회사가 입는 피해가 얼마나 치명적인지에 따라 랜섬웨어에 대처하는 방법도 달라진다.  랜섬웨어는 일종의 납치다. 랜섬웨어 공격자를 대하는 일은 난간에서 뛰어 노는 강아지를 잡는 것만큼 아슬아슬한 과정이다. 주요 인프라 테크놀로지 협회(ICIT, The Institute for Critical Infrastructure Technology)는 보고서에서 사이버 범죄자가 우리의 데이터를 인질로 삼고 있는 상황에서 우리가 어떤 대응 전략을 취하고 유출 사고를 발견했을 때 어떤 자세로 임해야 할지 설명했다. ICIT에 따르면, 랜섬웨어에 대한 대응 전략은 기업의 리스크 허용 한도(risk tolerance), 유출 데이터의 잠재적 중요성, 피해에 따른 비즈니스 연속성의 영향, 시스템 이중화의 가용성, 규제 내용 등에 따라 달라진다. 전략 1: 사고 대응 계획 도입 정보보안팀은 랜섬웨어 공격 시 대응 절차 계획을 마련해야 한다. 공격을 확인한 후 가장 먼저 해야 할 일은 규제 및 관리 당국에 공격 사실을 알리는 것이다. 대응 계획에는 복구 목표 시간(RTO, Recovery Time Objective)과 복구 목표 지점(RPO, Recovery Point Objective)이 명시돼야 한다. 백업 데이터가 존재하는 경우라면, 사고에 대한 사이버 범죄 근거들을 정리하고 보존해 추후 법적 절차를 밟을 수 있도록 준비하는 과정도 필요하다. 시스템을 이중화하지 않았거나 2차 시스템까지 감염됐다면, 정보보안팀만 나설 게 아니라 외부 전문 업체의 솔루션과 복호화 툴을 사용해야 한다. 전략 2: 정보보안 외 다른 노력 공격받은 파일은 일부가 손상됐거나 복호화가 불완전한 경우가 많다. 따라서 외부 업체의 솔루션이 동작하고 있더라도 피해자 입장에서는 시스템에 여전히 랜섬웨어나 백도어, 또는 기타 악성코드가 숨어있지 않다고 안심하기 어렵다. 시스템 감염은 사람의 오...

데이터 듀얼 시스템 ICTT 주요 인프라 테크놀로지 협회 복호화 백도어 랜섬웨어 비즈니스 연속성 복구 CISO 사이버범죄 CSO 정보보안팀

2017.03.06

랜섬웨어에 감염된 시스템이 얼마나 위험하고, 해당 데이터를 복구하지 못했을 때 회사가 입는 피해가 얼마나 치명적인지에 따라 랜섬웨어에 대처하는 방법도 달라진다.  랜섬웨어는 일종의 납치다. 랜섬웨어 공격자를 대하는 일은 난간에서 뛰어 노는 강아지를 잡는 것만큼 아슬아슬한 과정이다. 주요 인프라 테크놀로지 협회(ICIT, The Institute for Critical Infrastructure Technology)는 보고서에서 사이버 범죄자가 우리의 데이터를 인질로 삼고 있는 상황에서 우리가 어떤 대응 전략을 취하고 유출 사고를 발견했을 때 어떤 자세로 임해야 할지 설명했다. ICIT에 따르면, 랜섬웨어에 대한 대응 전략은 기업의 리스크 허용 한도(risk tolerance), 유출 데이터의 잠재적 중요성, 피해에 따른 비즈니스 연속성의 영향, 시스템 이중화의 가용성, 규제 내용 등에 따라 달라진다. 전략 1: 사고 대응 계획 도입 정보보안팀은 랜섬웨어 공격 시 대응 절차 계획을 마련해야 한다. 공격을 확인한 후 가장 먼저 해야 할 일은 규제 및 관리 당국에 공격 사실을 알리는 것이다. 대응 계획에는 복구 목표 시간(RTO, Recovery Time Objective)과 복구 목표 지점(RPO, Recovery Point Objective)이 명시돼야 한다. 백업 데이터가 존재하는 경우라면, 사고에 대한 사이버 범죄 근거들을 정리하고 보존해 추후 법적 절차를 밟을 수 있도록 준비하는 과정도 필요하다. 시스템을 이중화하지 않았거나 2차 시스템까지 감염됐다면, 정보보안팀만 나설 게 아니라 외부 전문 업체의 솔루션과 복호화 툴을 사용해야 한다. 전략 2: 정보보안 외 다른 노력 공격받은 파일은 일부가 손상됐거나 복호화가 불완전한 경우가 많다. 따라서 외부 업체의 솔루션이 동작하고 있더라도 피해자 입장에서는 시스템에 여전히 랜섬웨어나 백도어, 또는 기타 악성코드가 숨어있지 않다고 안심하기 어렵다. 시스템 감염은 사람의 오...

2017.03.06

'스마트폰부터 ATM·기숙사까지' 생체인식과 IoT의 미래

건물 출입 관리에 얼마나 많은 애플리케이션이 작동할까? 생체인식에는 건물 출입보다 훨씬 더 많은 애플리케이션이 작동할 수 있다. 생체인식은 보안 방식의 세 번째 범주로 분류된다. 첫 번째는 키, RFID 카드, ID 카드 등 우리가 소지하고 다니는 것이다. 두번째는 암호, PIN, 어렸을 때 키우던 반려동물 이름 같은 답변 등 우리가 아는 것이다. 마지막은 지문, 얼굴, 홍채 등 생체정보처럼 우리 자신이다. 많은 사람이 공항이나 경찰서에서 보안 측정 수단으로 생체인식 기술을 활용하는 데 익숙하다. 지문을 신분증 형태로 사용하는 경우가 많지만, 법 집행 이외의 다른 용도로도 많이 쓰이고 있다. 여타 기술과 마찬가지로 생체인식은 모든 문제에 대한 해결책이 아니다. 하지만 안전하고 편리한 인증을 제공해 거래를 완료하는 많은 계층 중 하나로서 매우 효과적이다. 지문인식 보안업체인 브이칸시(Vkansee) 사장 제이슨 차이킨이 이야기하는 미래의 생체인식 기술을 소개한다. 휴대전화/기기 가장 개인적인 기기인 휴대전화와 기타 기기들에 생체인식 기술을 접목하면 사용자가 편리하고 안전하게 사용할 수 있다. 오늘날 휴대전화에 적용된 지문인식 기술은 10년 이상 사용할 수 있으며 홍채인식 등 다른 생체 인증을 구현하는 새로운 기술도 개발 중이다. 이러한 기기는 애플의 엔클레이브(Enclave)와 퀄컴의 트런스트존(TrustZone) 같은 통합 하드웨어 채널을 사용해 생체 데이터를 비공개로 유지하는 안전한 생태계를 제공함으로써, 생체인식을 안전한 모바일 기기 보호 방법의 하나로 만들어 준다. 은행/ATM 생체인식 기술 도입은 ATM 및 셀프서비스 키오스크의 사기를 크게 줄이는 데 성공했다. 브라질에서는 ATM 사기 행위를 줄이는 데 생체인식 기술을 폭넓게 사용했다. 온라인 뱅킹은 모바일 기기에서 생체인식 하위 시스템을 사용해 계정 정보에 접근하기 시작했으며, 체이스(Chase)의 경우 암호 없이 현금을 관리할 수 있게 만들었다. 대학 ...

CSO 도어록 얼굴 주택 사물인터넷 생체인식 퀄컴 안면 홍채 지문 대학 병원 RFID CISO 은행 애플 브이칸시

2017.02.28

건물 출입 관리에 얼마나 많은 애플리케이션이 작동할까? 생체인식에는 건물 출입보다 훨씬 더 많은 애플리케이션이 작동할 수 있다. 생체인식은 보안 방식의 세 번째 범주로 분류된다. 첫 번째는 키, RFID 카드, ID 카드 등 우리가 소지하고 다니는 것이다. 두번째는 암호, PIN, 어렸을 때 키우던 반려동물 이름 같은 답변 등 우리가 아는 것이다. 마지막은 지문, 얼굴, 홍채 등 생체정보처럼 우리 자신이다. 많은 사람이 공항이나 경찰서에서 보안 측정 수단으로 생체인식 기술을 활용하는 데 익숙하다. 지문을 신분증 형태로 사용하는 경우가 많지만, 법 집행 이외의 다른 용도로도 많이 쓰이고 있다. 여타 기술과 마찬가지로 생체인식은 모든 문제에 대한 해결책이 아니다. 하지만 안전하고 편리한 인증을 제공해 거래를 완료하는 많은 계층 중 하나로서 매우 효과적이다. 지문인식 보안업체인 브이칸시(Vkansee) 사장 제이슨 차이킨이 이야기하는 미래의 생체인식 기술을 소개한다. 휴대전화/기기 가장 개인적인 기기인 휴대전화와 기타 기기들에 생체인식 기술을 접목하면 사용자가 편리하고 안전하게 사용할 수 있다. 오늘날 휴대전화에 적용된 지문인식 기술은 10년 이상 사용할 수 있으며 홍채인식 등 다른 생체 인증을 구현하는 새로운 기술도 개발 중이다. 이러한 기기는 애플의 엔클레이브(Enclave)와 퀄컴의 트런스트존(TrustZone) 같은 통합 하드웨어 채널을 사용해 생체 데이터를 비공개로 유지하는 안전한 생태계를 제공함으로써, 생체인식을 안전한 모바일 기기 보호 방법의 하나로 만들어 준다. 은행/ATM 생체인식 기술 도입은 ATM 및 셀프서비스 키오스크의 사기를 크게 줄이는 데 성공했다. 브라질에서는 ATM 사기 행위를 줄이는 데 생체인식 기술을 폭넓게 사용했다. 온라인 뱅킹은 모바일 기기에서 생체인식 하위 시스템을 사용해 계정 정보에 접근하기 시작했으며, 체이스(Chase)의 경우 암호 없이 현금을 관리할 수 있게 만들었다. 대학 ...

2017.02.28

미 의료기관 81%, 올해 보안 예산 증액

지난 2년 동안 중대한 보안 사고가 여러 번 발생한 후 의료업계가 IT보안 투자를 늘릴 계획이며, 이는 다른 산업보다 훨씬 더 적극적인 것으로 나타났다. 21일 발표된 설문 조사 결과에 따르면, 미국 의료기관의 81%가 올해 보안 투자를 늘릴 계획이라고 밝혔다. 이같은 답변은 전체 산업 응답자의 73%에 비해 훨씬 더 높았다. 또한 이같이 답한 의료기관은 지난해(60%)보다도 늘었다. 보안 업체 탈레스 e-시큐리티(Thales e-Security)의 솔루션 마케팅 관리자이자 이 보고서 작성자인 짐 드로렌조는 “데이터 침해 사고와 랜섬웨어 위험에 관한 인식이 높아진 데다 규제 감독이 강화되면서 보안에 대한 관심이 고조된 것 같다”고 설명했다. 드로렌조는 "이제 모든 사람이 자신의 삶에서 데이터 보호를 필수 요소로 여기며 관심을 기울이게 됐다"고 말했다. 의료기관의 보안 침해 사고는 매우 중대한 문제지만 실제 발생률은 다른 산업보다 낮았다. 전세계 의료기관 가운데 지난 12개월 동안 보안 사고를 경험한 곳은 18%에 불과했다. 반면 소매/유통 기업 중 43%가 보안 사고로 인해 파산했다고 보고했다. 그 이유 중 하나는 의료 데이터 시장이 포화 상태에 이르렀을 수 있기 때문이다. 2015년에만 1억 1,000만 건 이상의 의료 기록이 침해됨에 따라 미국인의 약 절반에 해당하는 의료 정보가 이미 암거래 시장에서 판매되고 있다. 드로렌조에 따르면, 규제 당국은 그 어느 때보다 의료기관에서 어려움을 겪고 있다. 미국 보건복지부 산하 인권사무국은 미국 건강보험법(HIPAA)을 준수하도록 강제하는 기관이다. 규제 당국은 “이전보다 더 많이 감사를 시행할 예정”이라며 “현재 심각해지고 있다”고 밝혔다. 그는 "실제 벌금이 부과되는 사례가 나오고 있다"고 말했다. 예를 들어 이달 초 댈러스 주의 아동병원은 보안 권고...

CSO 탈레스 탈레스 e-시큐리티 벌금 증액 예산 투자 CISO 규제 조사 의료 Thales e-Security

2017.02.24

지난 2년 동안 중대한 보안 사고가 여러 번 발생한 후 의료업계가 IT보안 투자를 늘릴 계획이며, 이는 다른 산업보다 훨씬 더 적극적인 것으로 나타났다. 21일 발표된 설문 조사 결과에 따르면, 미국 의료기관의 81%가 올해 보안 투자를 늘릴 계획이라고 밝혔다. 이같은 답변은 전체 산업 응답자의 73%에 비해 훨씬 더 높았다. 또한 이같이 답한 의료기관은 지난해(60%)보다도 늘었다. 보안 업체 탈레스 e-시큐리티(Thales e-Security)의 솔루션 마케팅 관리자이자 이 보고서 작성자인 짐 드로렌조는 “데이터 침해 사고와 랜섬웨어 위험에 관한 인식이 높아진 데다 규제 감독이 강화되면서 보안에 대한 관심이 고조된 것 같다”고 설명했다. 드로렌조는 "이제 모든 사람이 자신의 삶에서 데이터 보호를 필수 요소로 여기며 관심을 기울이게 됐다"고 말했다. 의료기관의 보안 침해 사고는 매우 중대한 문제지만 실제 발생률은 다른 산업보다 낮았다. 전세계 의료기관 가운데 지난 12개월 동안 보안 사고를 경험한 곳은 18%에 불과했다. 반면 소매/유통 기업 중 43%가 보안 사고로 인해 파산했다고 보고했다. 그 이유 중 하나는 의료 데이터 시장이 포화 상태에 이르렀을 수 있기 때문이다. 2015년에만 1억 1,000만 건 이상의 의료 기록이 침해됨에 따라 미국인의 약 절반에 해당하는 의료 정보가 이미 암거래 시장에서 판매되고 있다. 드로렌조에 따르면, 규제 당국은 그 어느 때보다 의료기관에서 어려움을 겪고 있다. 미국 보건복지부 산하 인권사무국은 미국 건강보험법(HIPAA)을 준수하도록 강제하는 기관이다. 규제 당국은 “이전보다 더 많이 감사를 시행할 예정”이라며 “현재 심각해지고 있다”고 밝혔다. 그는 "실제 벌금이 부과되는 사례가 나오고 있다"고 말했다. 예를 들어 이달 초 댈러스 주의 아동병원은 보안 권고...

2017.02.24

'중요하지만 놓치는' 보안 체크리스트 6선

보안 시스템을 더 안전한 사이버보안으로 만들기 위해 기업이 취해야 할 여러 단계가 있다. 그 가운데는 중요하지만 잘 인지하지 못하는 단계도 있다. 데이터가 온라인 상태일 때는 항상 사이버보안을 걱정해야 한다. 사이버 위협으로부터 물리적인 보안 시스템을 더 잘 보호하기 위해 기업이 취할 수 있는 단계는 여러 개가 있다. 기본으로 설정된 암호나 단순한 암호를 사용하지 않기 같은 간단한 것부터 PKI 인증서 사용 및 최신 펌웨어 다운로드 같은 고급 단계에 이르기까지 각각의 단계는 데이터 및 네트워크를 안전하게 보호하는 데 중요하다. 그러나 IT부서는 기존 네트워크 인프라의 일부로 이러한 솔루션을 인지하지 못하기 때문에 네트워크에서 모든 기기를 보호하는 데 필요한 모든 조치를 취하지 않을 수 있다. 액시스 커뮤니케이션 N.A(Axis Communications N.A)의 세그먼트 팀 및 사이버보안 담당 선임 관리자인 존 바톨락은 조직이 모든 네트워크 솔루션에서 사이버 위험 문제를 해결하는 데 고려해야 할 6가지 중요한 단계를 제시했다. 직원 교육 사이버보안 위험에 관한 직원 교육은 시스템 보안을 강화하기 위해 올바른 방향으로 가는 출발점이다. 직원들이 위험을 더 심각하게 생각했다면 많은 사고를 예방할 수 있었다. 교육에 참여한 모든 사람이 사전 암호 사용의 중요성 및 기본 암호와 같은 단계를 이해하면 정기적인 평가와 함께 잠재적인 위협의 위험을 완화하는 데 많은 도움이 된다. 보안 패치 사용 어떤 경우 필요한 보안 패치를 다운로드하기만 해도 보안 침해를 막을 수 있다. 성공적인 데이터 침입의 85%는 패치된 적이 없는 상위 10개의 취약점을 대상으로 한다. 위험 완화 엄밀히 말해 모든 위험을 예방할 수 있는 것은 아니다. 기업은 위험 요소를 파악하고 특정 위험을 관리하거나 수용하는 방법에 관한 포괄적인 계획을 수립해야 한다. 때에 따라 네트워크 보안 유지는 기기에 고급 설정을 적용하거나 위험 요소가 너무 많은 시스템과 기기를 분리하는 ...

IT부서 CSO 암호화 CISO 사이버보안 접근 보안 교육 보안 패치

2017.02.14

보안 시스템을 더 안전한 사이버보안으로 만들기 위해 기업이 취해야 할 여러 단계가 있다. 그 가운데는 중요하지만 잘 인지하지 못하는 단계도 있다. 데이터가 온라인 상태일 때는 항상 사이버보안을 걱정해야 한다. 사이버 위협으로부터 물리적인 보안 시스템을 더 잘 보호하기 위해 기업이 취할 수 있는 단계는 여러 개가 있다. 기본으로 설정된 암호나 단순한 암호를 사용하지 않기 같은 간단한 것부터 PKI 인증서 사용 및 최신 펌웨어 다운로드 같은 고급 단계에 이르기까지 각각의 단계는 데이터 및 네트워크를 안전하게 보호하는 데 중요하다. 그러나 IT부서는 기존 네트워크 인프라의 일부로 이러한 솔루션을 인지하지 못하기 때문에 네트워크에서 모든 기기를 보호하는 데 필요한 모든 조치를 취하지 않을 수 있다. 액시스 커뮤니케이션 N.A(Axis Communications N.A)의 세그먼트 팀 및 사이버보안 담당 선임 관리자인 존 바톨락은 조직이 모든 네트워크 솔루션에서 사이버 위험 문제를 해결하는 데 고려해야 할 6가지 중요한 단계를 제시했다. 직원 교육 사이버보안 위험에 관한 직원 교육은 시스템 보안을 강화하기 위해 올바른 방향으로 가는 출발점이다. 직원들이 위험을 더 심각하게 생각했다면 많은 사고를 예방할 수 있었다. 교육에 참여한 모든 사람이 사전 암호 사용의 중요성 및 기본 암호와 같은 단계를 이해하면 정기적인 평가와 함께 잠재적인 위협의 위험을 완화하는 데 많은 도움이 된다. 보안 패치 사용 어떤 경우 필요한 보안 패치를 다운로드하기만 해도 보안 침해를 막을 수 있다. 성공적인 데이터 침입의 85%는 패치된 적이 없는 상위 10개의 취약점을 대상으로 한다. 위험 완화 엄밀히 말해 모든 위험을 예방할 수 있는 것은 아니다. 기업은 위험 요소를 파악하고 특정 위험을 관리하거나 수용하는 방법에 관한 포괄적인 계획을 수립해야 한다. 때에 따라 네트워크 보안 유지는 기기에 고급 설정을 적용하거나 위험 요소가 너무 많은 시스템과 기기를 분리하는 ...

2017.02.14

기고 | 당신의 IoT 보안은 허술하다, 왜냐면…

사물인터넷(IoT)에 수반되는 본질적인 보안 위험 경고가 계속 들려온다. 여기서 그치지 않고, 실제 IoT와 관련한 사고까지 발생하고 있다. 많은 기업이 연결된 기기에서 IoT 데이터를 수집하기 시작하면서 중요한 질문 하나가 제기됐다. 바로 데이터와 네트워크를 충분히 안전하게 보호하고 있느냐다. 보안 카메라  보안 전문가들은 모바일 기기의 성장과 디지털 엔터프라이즈의 확장 때문에 많은 일을 했다고 생각할지 모르겠다. 그렇지만 명심해야 할 점이 있다. 제품과 기업 자산, 차량, 기타 사물이 연결되면서 보안 적용 범위가 완전히 새로운 단계로 확대되고 있다는 사실이다. 미국 연방정부 기관과 민간기업들 사이의 가교 역할을 하는 ICIT(Institute for Critical Infrastructure Technology)가 2016년 12월에 발표한 보고서는 기업들이 IoT를 매개체로 삼는 디도스에 아주 취약하다고 지적했다. 이 보고서에 따르면, 사이버 범죄자의 IoT 기기 취약점에 대한 통제력이 확대되는 추세다. 이런 IoT 기기 취약점은 계층화된 공격을 위한 ‘DDoS-for-Hire’ 서비스에 악용될 수 있다. 그런데 IoT는 계속 범위가 확산되고 있다. 451리서치(451 Research)가 2016년 8~10월 전세계의 기업 IT 구매자 약 1,000여 명을 대상으로 조사한 결과, 현재 IoT 전략을 위해 데이터를 수집하고 있다는 답변은 71%에 달한다. 기업들은 앞으로 1년 동안 IoT 기술 투자를 33% 확대할 전망이다. 또한 90%는 향후 12개월 동안 IoT 투자를 늘릴 계획이다. 2016년 대비 IoT 관련 투자를 25%~50% 확대하겠다는 답변은 40%에 달했다. 하지만 보안은 여전히 우려 사항으로 남아있다. IoT 구현의 가장 큰 장애물로 보안을 꼽은 비율이 약 절반이었다. 이번 보고서의 주요 저자인 451리서치의 로라 디디오 조사 담당 이사는 "IoT 보안의 필요...

CSO ICIT 451리서치 사물인터넷 디도스 공격 DDoS CISO 임베디드 Institute for Critical Infrastructure Technol

2017.02.14

사물인터넷(IoT)에 수반되는 본질적인 보안 위험 경고가 계속 들려온다. 여기서 그치지 않고, 실제 IoT와 관련한 사고까지 발생하고 있다. 많은 기업이 연결된 기기에서 IoT 데이터를 수집하기 시작하면서 중요한 질문 하나가 제기됐다. 바로 데이터와 네트워크를 충분히 안전하게 보호하고 있느냐다. 보안 카메라  보안 전문가들은 모바일 기기의 성장과 디지털 엔터프라이즈의 확장 때문에 많은 일을 했다고 생각할지 모르겠다. 그렇지만 명심해야 할 점이 있다. 제품과 기업 자산, 차량, 기타 사물이 연결되면서 보안 적용 범위가 완전히 새로운 단계로 확대되고 있다는 사실이다. 미국 연방정부 기관과 민간기업들 사이의 가교 역할을 하는 ICIT(Institute for Critical Infrastructure Technology)가 2016년 12월에 발표한 보고서는 기업들이 IoT를 매개체로 삼는 디도스에 아주 취약하다고 지적했다. 이 보고서에 따르면, 사이버 범죄자의 IoT 기기 취약점에 대한 통제력이 확대되는 추세다. 이런 IoT 기기 취약점은 계층화된 공격을 위한 ‘DDoS-for-Hire’ 서비스에 악용될 수 있다. 그런데 IoT는 계속 범위가 확산되고 있다. 451리서치(451 Research)가 2016년 8~10월 전세계의 기업 IT 구매자 약 1,000여 명을 대상으로 조사한 결과, 현재 IoT 전략을 위해 데이터를 수집하고 있다는 답변은 71%에 달한다. 기업들은 앞으로 1년 동안 IoT 기술 투자를 33% 확대할 전망이다. 또한 90%는 향후 12개월 동안 IoT 투자를 늘릴 계획이다. 2016년 대비 IoT 관련 투자를 25%~50% 확대하겠다는 답변은 40%에 달했다. 하지만 보안은 여전히 우려 사항으로 남아있다. IoT 구현의 가장 큰 장애물로 보안을 꼽은 비율이 약 절반이었다. 이번 보고서의 주요 저자인 451리서치의 로라 디디오 조사 담당 이사는 "IoT 보안의 필요...

2017.02.14

IT가 추산한 사이버보안 비용, 경영진보다 2배... BAE 조사

사이버 공격으로 발생한 비용산정에서 IT와 경영진 간의 의견 차이가 큰 것으로 조사됐다. 9일 발표된 조사결과에 따르면, 사이버 보안 침해의 책임자에 대해서도 최고 CIO와 다른 C-레벨 임원 간의 견해차가 있었다. 221명의 CEO와 다른 C-레벨 임원 집단과 984명의 IT 의사 결정권자 집단을 대상으로 한 설문 조사에서 사이버 보안 침해 사고가 발생한 경우 누구 책임이냐는 질문에 관해 두 집단은 서로 다르게 답했다. C-레벨 응답자 중 35%는 IT팀이 침해 사고에 책임이 있다고 말했고 IT리더 중 50%는 경영진에게 있다고 생각했다. 또한 한 번의 사이버 공격으로 발생한 비용에 관해 IT관리자와 경영진의 견해차가 2배 가까이 나는 것으로 나타났다. IT관리자는 이 비용을 1,900만 달러로 계산했지만, C-레벨은 약 1,100만 달러로 추정했다. 시장조사 기업인 오피니엄(Opinium)은 지난해 10월과 11월 사이버 보안 및 방산 업체인 BAE 시스템즈 인텔리전스(BAE Systems Applied Intelligence)의 의뢰를 받아 미국 등 8개국에서 이 설문 조사를 진행했다. BAE의 전무인 케빈 테일러는 "전반적으로 조사 결과가 C-레벨 응답자와 IT 의사 결정권자 간의 재미있는 견해차를 보여준다"며 "사이버 위협의 성격과 비즈니스 및 기술적 위험으로 변환되는 방식에 대해 두 집단의 이해가 매우 다를 수 있다"고 말했다. 그는 두 집단 모두 사이버공격에 대한 정보 격차를 줄여 강력한 방어력을 구축해야 한다고 강조했다. 이 설문 조사는 C-레벨 임원이 사이버 보안 위협에 관해 더 많은 정보를 얻어야 한다고 말하는 다른 애널리스트들의 의견을 뒷받침했다. 전 국토안보부 비서관이었던 톰 리지는 최근 CEO와 기업 이사회에 사이버 위험 인식 수준을 높일 것을 촉구했다. 리지는 최근 인터뷰에서 "사이버 보안은 공공 및 민간 분야에서 가장 중요한 거버...

CIO BAE C-레벨 보안 사고 사이버공격 CTO 조사 책임 CEO CSO 비용산정

2017.02.10

사이버 공격으로 발생한 비용산정에서 IT와 경영진 간의 의견 차이가 큰 것으로 조사됐다. 9일 발표된 조사결과에 따르면, 사이버 보안 침해의 책임자에 대해서도 최고 CIO와 다른 C-레벨 임원 간의 견해차가 있었다. 221명의 CEO와 다른 C-레벨 임원 집단과 984명의 IT 의사 결정권자 집단을 대상으로 한 설문 조사에서 사이버 보안 침해 사고가 발생한 경우 누구 책임이냐는 질문에 관해 두 집단은 서로 다르게 답했다. C-레벨 응답자 중 35%는 IT팀이 침해 사고에 책임이 있다고 말했고 IT리더 중 50%는 경영진에게 있다고 생각했다. 또한 한 번의 사이버 공격으로 발생한 비용에 관해 IT관리자와 경영진의 견해차가 2배 가까이 나는 것으로 나타났다. IT관리자는 이 비용을 1,900만 달러로 계산했지만, C-레벨은 약 1,100만 달러로 추정했다. 시장조사 기업인 오피니엄(Opinium)은 지난해 10월과 11월 사이버 보안 및 방산 업체인 BAE 시스템즈 인텔리전스(BAE Systems Applied Intelligence)의 의뢰를 받아 미국 등 8개국에서 이 설문 조사를 진행했다. BAE의 전무인 케빈 테일러는 "전반적으로 조사 결과가 C-레벨 응답자와 IT 의사 결정권자 간의 재미있는 견해차를 보여준다"며 "사이버 위협의 성격과 비즈니스 및 기술적 위험으로 변환되는 방식에 대해 두 집단의 이해가 매우 다를 수 있다"고 말했다. 그는 두 집단 모두 사이버공격에 대한 정보 격차를 줄여 강력한 방어력을 구축해야 한다고 강조했다. 이 설문 조사는 C-레벨 임원이 사이버 보안 위협에 관해 더 많은 정보를 얻어야 한다고 말하는 다른 애널리스트들의 의견을 뒷받침했다. 전 국토안보부 비서관이었던 톰 리지는 최근 CEO와 기업 이사회에 사이버 위험 인식 수준을 높일 것을 촉구했다. 리지는 최근 인터뷰에서 "사이버 보안은 공공 및 민간 분야에서 가장 중요한 거버...

2017.02.10

사용자들은 피싱을 발견할 수 있을까?

클라우드 협업 소프트웨어 제공 업체인 딜리전트(Diligent)가 최근 2,000명의 미국 인터넷 사용자를 대상으로 보안 설문 조사한 결과, 응답자의 76%가 피싱 테스트를 통과했다. 하지만, 그게 전부는 아니다. 다음은 딜리전트가 조사에서 발견한 부분이다. • 응답자 68% 이상이 직장 동료가 보낸 것처럼 보이는 이메일에 속았다. • 응답자의 약 61%는 소셜미디어 회사의 "이 사진을 보셨나요?”라는 메시지에 속았다. • 음료 회사가 큰 상금을 준다는 이메일을 열어본 응답자는 3%가 채 되지 않았다. 다음은 이 조사에서 딜리전트가 사용했던 이메일이다. 피싱을 찾아보길 바란다. 아메리칸 익스프레스 첫번째 주의 사항은 ‘고객’의 사용이다. 신용카드 회사가 당신의 이름을 알고 있을 수도 있다. 모르는 사람이 보낸 이메일의 첨부 파일을 여는 것은 절대 좋은 생각이 아니다. 누가 이 사람의 재무 상황을 더 잘 통제하게 될까? 은행 폐쇄 자, 이번에는 당신의 은행 계좌에 접근했음을 알려주겠다. 물론 접근할 수 있다. 딜리전트는 사용자가 클릭하기로 돼 있는 URL을 잘 안 보이게 처리했기 때문에 뱅크오브아메리카(Bank of America)로 가는지 알기 어렵다. 하지만 당신이 이 지시를 따를 경우 당신의 돈은 악당들의 주머니로 들어갈 것이다. 힌트 : 확실한 한가지는 발신자의 이메일 주소다. 이베이? 실행의 첫번째 단계는 링크가 어디로 연결되는지 볼 수 있도록 마우스를 가져가는 것이다. 사용자 동의서 9조가 있는지 살펴보라. 그리고 철자와 문법 오류가 있다면, 명백한 위험 신호다.   경매 다시 말하면, 딜리전트는 이 메시지가 합법적인지 아닌지를 판단하는 데 사용할 수 있는 중요한 정보를 작성했다. 이 메시지가 ‘당신을 보호한다’는 의도를 ...

구글 딜리전트 아메리칸 익스프레스 링크드인 넷플릭스 피싱 조사 은행 이메일 페이스북 CSO 소셜네트워크 Diligent

2017.02.07

클라우드 협업 소프트웨어 제공 업체인 딜리전트(Diligent)가 최근 2,000명의 미국 인터넷 사용자를 대상으로 보안 설문 조사한 결과, 응답자의 76%가 피싱 테스트를 통과했다. 하지만, 그게 전부는 아니다. 다음은 딜리전트가 조사에서 발견한 부분이다. • 응답자 68% 이상이 직장 동료가 보낸 것처럼 보이는 이메일에 속았다. • 응답자의 약 61%는 소셜미디어 회사의 "이 사진을 보셨나요?”라는 메시지에 속았다. • 음료 회사가 큰 상금을 준다는 이메일을 열어본 응답자는 3%가 채 되지 않았다. 다음은 이 조사에서 딜리전트가 사용했던 이메일이다. 피싱을 찾아보길 바란다. 아메리칸 익스프레스 첫번째 주의 사항은 ‘고객’의 사용이다. 신용카드 회사가 당신의 이름을 알고 있을 수도 있다. 모르는 사람이 보낸 이메일의 첨부 파일을 여는 것은 절대 좋은 생각이 아니다. 누가 이 사람의 재무 상황을 더 잘 통제하게 될까? 은행 폐쇄 자, 이번에는 당신의 은행 계좌에 접근했음을 알려주겠다. 물론 접근할 수 있다. 딜리전트는 사용자가 클릭하기로 돼 있는 URL을 잘 안 보이게 처리했기 때문에 뱅크오브아메리카(Bank of America)로 가는지 알기 어렵다. 하지만 당신이 이 지시를 따를 경우 당신의 돈은 악당들의 주머니로 들어갈 것이다. 힌트 : 확실한 한가지는 발신자의 이메일 주소다. 이베이? 실행의 첫번째 단계는 링크가 어디로 연결되는지 볼 수 있도록 마우스를 가져가는 것이다. 사용자 동의서 9조가 있는지 살펴보라. 그리고 철자와 문법 오류가 있다면, 명백한 위험 신호다.   경매 다시 말하면, 딜리전트는 이 메시지가 합법적인지 아닌지를 판단하는 데 사용할 수 있는 중요한 정보를 작성했다. 이 메시지가 ‘당신을 보호한다’는 의도를 ...

2017.02.07

IT전문가 해고 이유, 9개 중 6개가 '보안'과 관련

IT전문가의 해고 이유는 많다. 그중 대다수는 보안과 관련 있다. IT전문가 해고에는 많은 이유가 있지만, 상위 9개 가운데 6개가 보안과 관련 있는 것으로 조사됐다. 오스터만 리서치(Osterman Research)에 따르면, 기술에 투자했는데 보안 침해가 발생한 조직의 39%는 이를 해고 사유로 간주하는 것으로 나타났다. 실제 데이터 침해 사실이 외부에 알려질 경우 기업의 38%는 이를 해고 사유로 간주하는 것으로 조사됐다. 이밖에 보안과 관련한 해고 사유로는 보안 프로그램 현대화 실패, 알 수 없는 원인으로 인한 데이터 유출, 외부에 알려지지 않은 데이터 유출, 보안 제품이나 프로그램 투자 실패 등이 있다. 규제를 준수하지 못하고 큰 벌금이나 페널티를 내는 경우도 해고 사유로 꼽혔으며 무려 68%의 기업이 이같이 답했다. 이 가운데 일부는 엄밀히 말해서 직원의 잘못이 아닐 수도 있다. 외부 공격자가 데이터를 가져오기로 마음 먹고 끊임없이 시도한다면 이를 막을 방법은 거의 없다. 또는 침투 테스트에 대한 예산 부족이 문제일 수 있다. 보고서에 따르면, 응답자의 24%는 예산과 직원 배치 문제에 대해 IT보안과 C레벨 간에 ‘항상’ 또는 ‘종종’ 의견이 분분하다고 밝혔다. 46%는 ‘때때로’ 문제가 있다고 답했다. 그러나 큰 문제가 발생하면 결국 누군가는 책임을 져야 한다. 이 조사를 후원한 트러스트웨이브홀딩스(Trustwave Holdings)의 관리 보안 서비스 담당 부사장인 크리스 슐러는 "CSO가 책임이 막중한 자리인 것도 바로 그 때문이다”며 “모든 책임이 CSO에 있다”고 말했다. 문제를 피할 수 있는 다른 경우도 있을 것이다. 예를 들어, 직원들이 데이터베이스에 문을 열어 보안 통제를 우회하여 쉽게 업무를 수행할 수 있는 사례가 대표적이다. 직원들이 업무용 노트북을 집에 가져다 ...

CSO 데이터 침해 해고 IT전문가 조사 CISO 보안 사고 오스터만 리서치 Osterman Research

2017.01.19

IT전문가의 해고 이유는 많다. 그중 대다수는 보안과 관련 있다. IT전문가 해고에는 많은 이유가 있지만, 상위 9개 가운데 6개가 보안과 관련 있는 것으로 조사됐다. 오스터만 리서치(Osterman Research)에 따르면, 기술에 투자했는데 보안 침해가 발생한 조직의 39%는 이를 해고 사유로 간주하는 것으로 나타났다. 실제 데이터 침해 사실이 외부에 알려질 경우 기업의 38%는 이를 해고 사유로 간주하는 것으로 조사됐다. 이밖에 보안과 관련한 해고 사유로는 보안 프로그램 현대화 실패, 알 수 없는 원인으로 인한 데이터 유출, 외부에 알려지지 않은 데이터 유출, 보안 제품이나 프로그램 투자 실패 등이 있다. 규제를 준수하지 못하고 큰 벌금이나 페널티를 내는 경우도 해고 사유로 꼽혔으며 무려 68%의 기업이 이같이 답했다. 이 가운데 일부는 엄밀히 말해서 직원의 잘못이 아닐 수도 있다. 외부 공격자가 데이터를 가져오기로 마음 먹고 끊임없이 시도한다면 이를 막을 방법은 거의 없다. 또는 침투 테스트에 대한 예산 부족이 문제일 수 있다. 보고서에 따르면, 응답자의 24%는 예산과 직원 배치 문제에 대해 IT보안과 C레벨 간에 ‘항상’ 또는 ‘종종’ 의견이 분분하다고 밝혔다. 46%는 ‘때때로’ 문제가 있다고 답했다. 그러나 큰 문제가 발생하면 결국 누군가는 책임을 져야 한다. 이 조사를 후원한 트러스트웨이브홀딩스(Trustwave Holdings)의 관리 보안 서비스 담당 부사장인 크리스 슐러는 "CSO가 책임이 막중한 자리인 것도 바로 그 때문이다”며 “모든 책임이 CSO에 있다”고 말했다. 문제를 피할 수 있는 다른 경우도 있을 것이다. 예를 들어, 직원들이 데이터베이스에 문을 열어 보안 통제를 우회하여 쉽게 업무를 수행할 수 있는 사례가 대표적이다. 직원들이 업무용 노트북을 집에 가져다 ...

2017.01.19

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.8