Offcanvas

������������ ������

강은성의 보안 아키텍트ㅣ2022년 보안 위협 전망? 해 아래 새것이 없다! 

백신과 치료약이 우리를 코로나19에서 해방해줄 거라는 희망이 희망 고문으로 끝나가는 한 해다. 백신은 부족하나마 바닥을 기던 우리 삶의 질을 조금 높여줬음에도 치료약이 지지부진하기 때문이다. 그래도 들리는 몇 가지 반가운 소식이 새해에는 어느새 우리 현실로 다가올 수 있기를 희망해 본다.   지난 2년 동안 주간 개인정보 뉴스레터를 만드느라 매주 개인정보 사고와 규제 등 개인정보 관련 뉴스를 찾아보고, 매달 기고를 위해 국내외 보안 위협 관련 이슈를 분석하면서 한 가지 깨달음을 얻었다.   “해 아래 새것이 없다!” 새해 보안 위협을 전망하는 것은 미래의 예측력을 자랑하기 위해서가 아니라 각 조직에서 어떤 보안 목표와 전략을 세우고, 보안 투자를 결정하는 데 도움이 되기 위해서일 것이다. 하지만 미래를 예측하는 것은 쉽지 않다. 분명한 것은 올해의 보안 위협은 작년의 연장선 위에 있다는 것이다. 물론 새롭게 나타난 것도 있지만 말이다. 이번 달 칼럼에서 올해의 보안 위협을 좀 더 상세하게 정리해 보려고 한 이유다. 굳이 새해 보안 위협 전망을 하지 않더라도 자연스럽게 새해의 보안 이슈를 조망해 볼 수 있지 않을까 한다. 2021년 ‘올해의 보안 위협’은 작년에 이어 단연코 랜섬웨어다. 랜섬웨어는 미국 대형 보험사 CNA(3월), 세계를 떠들썩하게 했던 미국 송유관 업체 콜로니얼 파이프라인과 세계적인 프랑스 보험사 AXA(5월), 세계 최대의 브라질 육류가공회사 JBS SA(6월) 등 세계적으로 막대한 피해를 줬고, 2020년 11월 대형 유통기업에 이어 국내 자동차 기업의 국외 법인(2월), 10위권의 배달대행업체(5월) 등 국내에서도 피해가 커서 과학기술정보통신부에서 ‘랜섬웨어 대응 지원반’을 운영하기도 했다. 지능형 표적 공격을 통한 랜섬웨어 유포, 서비스형 랜섬웨어 확산, 중요 정보를 훔친 뒤 암호화와 디도스 공격으로 협박하는 이중·삼중 갈취형 랜섬웨어 공격은 범인이 피해자에게 본인 물건을 돈을 내고 도로 사가라는 파렴치...

강은성 강은성의 보안 아키텍트 랜섬웨어 보안 위협 CSO CISO 지능형 표적 공격 디도스 공격 공급망 공격 악성코드 개인정보 유출

2021.12.31

백신과 치료약이 우리를 코로나19에서 해방해줄 거라는 희망이 희망 고문으로 끝나가는 한 해다. 백신은 부족하나마 바닥을 기던 우리 삶의 질을 조금 높여줬음에도 치료약이 지지부진하기 때문이다. 그래도 들리는 몇 가지 반가운 소식이 새해에는 어느새 우리 현실로 다가올 수 있기를 희망해 본다.   지난 2년 동안 주간 개인정보 뉴스레터를 만드느라 매주 개인정보 사고와 규제 등 개인정보 관련 뉴스를 찾아보고, 매달 기고를 위해 국내외 보안 위협 관련 이슈를 분석하면서 한 가지 깨달음을 얻었다.   “해 아래 새것이 없다!” 새해 보안 위협을 전망하는 것은 미래의 예측력을 자랑하기 위해서가 아니라 각 조직에서 어떤 보안 목표와 전략을 세우고, 보안 투자를 결정하는 데 도움이 되기 위해서일 것이다. 하지만 미래를 예측하는 것은 쉽지 않다. 분명한 것은 올해의 보안 위협은 작년의 연장선 위에 있다는 것이다. 물론 새롭게 나타난 것도 있지만 말이다. 이번 달 칼럼에서 올해의 보안 위협을 좀 더 상세하게 정리해 보려고 한 이유다. 굳이 새해 보안 위협 전망을 하지 않더라도 자연스럽게 새해의 보안 이슈를 조망해 볼 수 있지 않을까 한다. 2021년 ‘올해의 보안 위협’은 작년에 이어 단연코 랜섬웨어다. 랜섬웨어는 미국 대형 보험사 CNA(3월), 세계를 떠들썩하게 했던 미국 송유관 업체 콜로니얼 파이프라인과 세계적인 프랑스 보험사 AXA(5월), 세계 최대의 브라질 육류가공회사 JBS SA(6월) 등 세계적으로 막대한 피해를 줬고, 2020년 11월 대형 유통기업에 이어 국내 자동차 기업의 국외 법인(2월), 10위권의 배달대행업체(5월) 등 국내에서도 피해가 커서 과학기술정보통신부에서 ‘랜섬웨어 대응 지원반’을 운영하기도 했다. 지능형 표적 공격을 통한 랜섬웨어 유포, 서비스형 랜섬웨어 확산, 중요 정보를 훔친 뒤 암호화와 디도스 공격으로 협박하는 이중·삼중 갈취형 랜섬웨어 공격은 범인이 피해자에게 본인 물건을 돈을 내고 도로 사가라는 파렴치...

2021.12.31

블로그 | 정보 유출 스캔들, 페이스북 사용자에게는 좋은 계기다

개인정보 누출에 대한 분노는 납득할 수 있다. 그렇지만 페이스북 계정을 삭제하는 것이 해답일까? 케임브리지 애널리틱스 스캔들 이후 많은 페이스북 사용자들이 계정을 삭제하고 있다. 이 스캔들의 골자는 데이터 마이닝 기업인 케임브리지 애널리티가 수천 만 명의 페이스북 사용자 정보를 우회적으로 획득했으며, 이 정보를 사용해 미 대선을 비롯한 선거 결과에 영향을 끼치려 했다는 것이다. 좀더 구체적으로는 한 성격 퀴즈에 참여한 이의 정보와 함께 참여자의 친구들 정보까지 이 데이터 마이닝 기업에게 전달됐다. 즉 개인 정보를 앱과 공유하기로 동의하지 않은 사용자들조차도 정보 누출의 대상이 됐다. 이러한 분노는 사실 당연하다. 프라이버시나 권리가 침해 당하면 들고 일어나는 것이 건강한 자세다. 그러나 페이스북 계정을 삭제하는 것이 진짜 해답일까? 내가 보기엔 전형적인 누워서 침뱉기(cutting off your nose to spite your face)다. 빈대 잡으려다 초가삼간 태우는(throwing the baby out with the bathwater) 사례라고도 표현할 수 있겠다. 사실 이번 케임브리지 애널리티카 스캔들은 사용자 관점에서 아주 바람직한 사건이다. 전세계 정부들이 이 소셜 미디어 플랫폼에 현미경을 들이대기 시작했으며, 페이스북이 또다른 침해적 관행을 빠르게 해결해나갈 것이 분명하기 때문이다. 헐리우드 프로듀어 하비 와인스타인의 성추행이 폭로된 이후 직장 내 성폭력에 대한 의식이 빠르게 고조되고 있는 것과 유사하다. 저커버그 CEO는 개인 정보를 보호할 책임이 페이스북에 있다는 점을 인정하고 이미 이런 종류의 일이 다시는 발생하지 않도록 여러 가지 조치를 취할 것이라고 약속했다. 의심스러운 활동을 시연하는 모든 앱에 대해 감사를 수행하고 개인 식별 정보를 잘못 사용하는 개발자는 금지될 전망이다. 이번 사건이 궁극적으로 사용자에게 의미하는 바는 사용자 데이터를 자유롭게 사용하는 서드파티 개발자 시대가 끝났다는 것이다. 그...

페이스북 개인정보 유출 케임브리지 애널리티카 딜리트페이스북

2018.04.12

개인정보 누출에 대한 분노는 납득할 수 있다. 그렇지만 페이스북 계정을 삭제하는 것이 해답일까? 케임브리지 애널리틱스 스캔들 이후 많은 페이스북 사용자들이 계정을 삭제하고 있다. 이 스캔들의 골자는 데이터 마이닝 기업인 케임브리지 애널리티가 수천 만 명의 페이스북 사용자 정보를 우회적으로 획득했으며, 이 정보를 사용해 미 대선을 비롯한 선거 결과에 영향을 끼치려 했다는 것이다. 좀더 구체적으로는 한 성격 퀴즈에 참여한 이의 정보와 함께 참여자의 친구들 정보까지 이 데이터 마이닝 기업에게 전달됐다. 즉 개인 정보를 앱과 공유하기로 동의하지 않은 사용자들조차도 정보 누출의 대상이 됐다. 이러한 분노는 사실 당연하다. 프라이버시나 권리가 침해 당하면 들고 일어나는 것이 건강한 자세다. 그러나 페이스북 계정을 삭제하는 것이 진짜 해답일까? 내가 보기엔 전형적인 누워서 침뱉기(cutting off your nose to spite your face)다. 빈대 잡으려다 초가삼간 태우는(throwing the baby out with the bathwater) 사례라고도 표현할 수 있겠다. 사실 이번 케임브리지 애널리티카 스캔들은 사용자 관점에서 아주 바람직한 사건이다. 전세계 정부들이 이 소셜 미디어 플랫폼에 현미경을 들이대기 시작했으며, 페이스북이 또다른 침해적 관행을 빠르게 해결해나갈 것이 분명하기 때문이다. 헐리우드 프로듀어 하비 와인스타인의 성추행이 폭로된 이후 직장 내 성폭력에 대한 의식이 빠르게 고조되고 있는 것과 유사하다. 저커버그 CEO는 개인 정보를 보호할 책임이 페이스북에 있다는 점을 인정하고 이미 이런 종류의 일이 다시는 발생하지 않도록 여러 가지 조치를 취할 것이라고 약속했다. 의심스러운 활동을 시연하는 모든 앱에 대해 감사를 수행하고 개인 식별 정보를 잘못 사용하는 개발자는 금지될 전망이다. 이번 사건이 궁극적으로 사용자에게 의미하는 바는 사용자 데이터를 자유롭게 사용하는 서드파티 개발자 시대가 끝났다는 것이다. 그...

2018.04.12

'하얏트 호텔도 당했다'... 지불 결제 시스템에서 악성코드 탐지

하얏트 호텔은 지불 결제 시스템을 실행하는 컴퓨터에서 악성코드가 탐지됐다며 고객들에게 자신의 지불 카드 계정 상태를 면밀히 검토할 것을 요청했다. 이 호텔 체인은 영향을 받은 고객 수를 포함해 이번 해킹과 관련된 상세한 내용은 밝히지 않았다. 그러나 고객들에게 요청한 경고문에서 "해커들이 매우 중요한 신용카드 정보를 획득했을 지 모른다"고 밝혔다. 하얏트는 최근 환대산업계(hospitality industry)에서 일어난 해킹 사건 가운데 가장 최근의 일이다. 이미 힐튼 월드와이드(Hilton Worldwide), 만다린 오리엔탈(Mandarin Oriental), 스타우드 호텔 & 리조트 월드와이드(Starwood Hotels & Resorts Worldwide)를 포함한 다수의 업체들이 해커의 공격에 의해 피해를 입었다. 타깃과 같은 유통업계 또한 PoS(Point-of-Sale) 시스템을 해킹당한 바 있다. 하얏트 호텔 그룹은 12월 23일 최근 컴퓨터에서 악성코드를 식별하자마자 수사에 착수했으며 제 3의 사이버보안 전문가들을 고용했다고 말했다. 하얏트는 강력한 자체 시스템 보안 수단을 가지고 있으며, 고객들이 하얏트 호텔 월드와이드 내에서 지불카드를 사용하는데 안전하다고 느낄 수 있다고 전했다. 이 호텔 체인은 9월 말까지 52개국 627개 지점을 갖고 있었다. 하얏트 측은 자체 고객들에게 미승인 요금이 기록되는 등 자신의 카드에 문제가 발생하면 즉각 보고해달라고 요청했다. 또한 이와 관련한 사항을 자체 웹사이트에서 계속 업데이트 할 것이라고 말했다. editor@itworld.co.kr

보안 해킹 악성코드 개인정보 유출 POS 햐앗트 호텔 호텔 해킹 결제 시스템 해킹

2015.12.29

하얏트 호텔은 지불 결제 시스템을 실행하는 컴퓨터에서 악성코드가 탐지됐다며 고객들에게 자신의 지불 카드 계정 상태를 면밀히 검토할 것을 요청했다. 이 호텔 체인은 영향을 받은 고객 수를 포함해 이번 해킹과 관련된 상세한 내용은 밝히지 않았다. 그러나 고객들에게 요청한 경고문에서 "해커들이 매우 중요한 신용카드 정보를 획득했을 지 모른다"고 밝혔다. 하얏트는 최근 환대산업계(hospitality industry)에서 일어난 해킹 사건 가운데 가장 최근의 일이다. 이미 힐튼 월드와이드(Hilton Worldwide), 만다린 오리엔탈(Mandarin Oriental), 스타우드 호텔 & 리조트 월드와이드(Starwood Hotels & Resorts Worldwide)를 포함한 다수의 업체들이 해커의 공격에 의해 피해를 입었다. 타깃과 같은 유통업계 또한 PoS(Point-of-Sale) 시스템을 해킹당한 바 있다. 하얏트 호텔 그룹은 12월 23일 최근 컴퓨터에서 악성코드를 식별하자마자 수사에 착수했으며 제 3의 사이버보안 전문가들을 고용했다고 말했다. 하얏트는 강력한 자체 시스템 보안 수단을 가지고 있으며, 고객들이 하얏트 호텔 월드와이드 내에서 지불카드를 사용하는데 안전하다고 느낄 수 있다고 전했다. 이 호텔 체인은 9월 말까지 52개국 627개 지점을 갖고 있었다. 하얏트 측은 자체 고객들에게 미승인 요금이 기록되는 등 자신의 카드에 문제가 발생하면 즉각 보고해달라고 요청했다. 또한 이와 관련한 사항을 자체 웹사이트에서 계속 업데이트 할 것이라고 말했다. editor@itworld.co.kr

2015.12.29

'누구나 희생양이 될 수 있다' 2015년 보안 사고 리뷰

해킹 팀, 컴캐스트, 애슐리 매디슨… 2015년에도 사이버범죄에 당한 기업들의 뉴스가 계속해서 쏟아져 나왔다. 예전에도 그랬듯 데이터 유출은 올해 가장 큰 뉴스였다. 이제 보안 사고는 산업이나 기업 규모와 괕계없이 일어나고 있으며, 그 결과 누구나 피해자가 될 수 있는 시대가 됐다. 2015년에 발생한 보안 사고들 가운데 관심을 크게 모았던 것들을 정리했다. ciokr@idg.co.kr

CSO 애슐리 메디슨 컴캐스트 증권 보안 사고 개인정보 유출 CISO 사이버범죄 의료 해킹 팀

2015.12.10

해킹 팀, 컴캐스트, 애슐리 매디슨… 2015년에도 사이버범죄에 당한 기업들의 뉴스가 계속해서 쏟아져 나왔다. 예전에도 그랬듯 데이터 유출은 올해 가장 큰 뉴스였다. 이제 보안 사고는 산업이나 기업 규모와 괕계없이 일어나고 있으며, 그 결과 누구나 피해자가 될 수 있는 시대가 됐다. 2015년에 발생한 보안 사고들 가운데 관심을 크게 모았던 것들을 정리했다. ciokr@idg.co.kr

2015.12.10

모질라, 개발자 7만 6,000명의 개인정보 유출

모질라 재단이 1일, 데이터베이스의 오류로 인해 자사의 개발자 웹사이트에서 수만 건의 개인정보가 유출됐다고 밝혔다. 모질라 개발 협력부의 책임자 스토미 피터스와 운용 보안 관리자 조 스티븐슨은 “개발자 네트워크(Mozilla Development Network, MDN) 서버에 저장된 7만 6,000명 사용자의 이메일 주소가 외부로 유출됐다. 그 가운데 4,000명은 암호화된 비밀번호도 함께 공개됐다”고 공식 블로그 게시물을 통해 밝혔다. 모질라는 “문제가 발생한 서버에는 어떠한 악성 활동도 탐지되지 않았다. 하지만 그렇다고 해서 데이터가 열람되지 않은 것은 아니다”라고 설명했다. 유출 사실은 열흘 전, MDN 데이터베이스의 데이터 영구 삭제(data sanitization) 프로세스가 동작하지 않는다는 것을 발견한 웹 개발자의 제보로 드러났다. 유출은 6월 23일경에서 시작해 약 한 달에 걸쳐 지속됐다고 한다. 모질라 측은 "이 사실을 알게 되자마자 데이터베이스 덤프 파일을 서버로부터 즉각적으로 제거하고 추가적인 유출을 막기 위해 덤프를 생성하는 프로세스 기능을 비활성화시켰다”고 설명했다. 모질라는 이어 “이메일 주소가 유출된 개발자들에게 개별적으로 통보를 하고 있다. 또한, 유출된 비밀번호들은 암호화 과정과 ‘솔트(salted)’ 방식으로 처리되어 있기 때문에 정보를 완전히 빼내는 것은 매우 어렵다. 패스워드 해시가 공개된 계정에 한해서 MDN 웹사이트 인증에 사용될 수 없도록 조치를 취했기 때문에 암호화를 푸는데 성공했다 해도 이를 악용할 수는 없을 것”이라고 밝혔다. 모질라는 이 사고에 대해 “매우 죄송할 따름이다. 피해 사용자들에게 유출 사실을 통보하고 단기적인 해결 방안을 제시하는 데에서 그치지 않고 이러한 일이 다시는 일어나지 않도록 만반의 준비를 갖추겠다”라고 말했다. editor@...

모질라 개인정보 유출

2014.08.04

모질라 재단이 1일, 데이터베이스의 오류로 인해 자사의 개발자 웹사이트에서 수만 건의 개인정보가 유출됐다고 밝혔다. 모질라 개발 협력부의 책임자 스토미 피터스와 운용 보안 관리자 조 스티븐슨은 “개발자 네트워크(Mozilla Development Network, MDN) 서버에 저장된 7만 6,000명 사용자의 이메일 주소가 외부로 유출됐다. 그 가운데 4,000명은 암호화된 비밀번호도 함께 공개됐다”고 공식 블로그 게시물을 통해 밝혔다. 모질라는 “문제가 발생한 서버에는 어떠한 악성 활동도 탐지되지 않았다. 하지만 그렇다고 해서 데이터가 열람되지 않은 것은 아니다”라고 설명했다. 유출 사실은 열흘 전, MDN 데이터베이스의 데이터 영구 삭제(data sanitization) 프로세스가 동작하지 않는다는 것을 발견한 웹 개발자의 제보로 드러났다. 유출은 6월 23일경에서 시작해 약 한 달에 걸쳐 지속됐다고 한다. 모질라 측은 "이 사실을 알게 되자마자 데이터베이스 덤프 파일을 서버로부터 즉각적으로 제거하고 추가적인 유출을 막기 위해 덤프를 생성하는 프로세스 기능을 비활성화시켰다”고 설명했다. 모질라는 이어 “이메일 주소가 유출된 개발자들에게 개별적으로 통보를 하고 있다. 또한, 유출된 비밀번호들은 암호화 과정과 ‘솔트(salted)’ 방식으로 처리되어 있기 때문에 정보를 완전히 빼내는 것은 매우 어렵다. 패스워드 해시가 공개된 계정에 한해서 MDN 웹사이트 인증에 사용될 수 없도록 조치를 취했기 때문에 암호화를 푸는데 성공했다 해도 이를 악용할 수는 없을 것”이라고 밝혔다. 모질라는 이 사고에 대해 “매우 죄송할 따름이다. 피해 사용자들에게 유출 사실을 통보하고 단기적인 해결 방안을 제시하는 데에서 그치지 않고 이러한 일이 다시는 일어나지 않도록 만반의 준비를 갖추겠다”라고 말했다. editor@...

2014.08.04

KISA, 개인정보 유출사고에 따른 2차 피해 주의보 발표

한국인터넷진흥원(이하 KISA)은 최근 잇따른 대규모 개인정보 유출사고로 인한 국민의 불안 심리를 악용한 사이버 사기가 발생할 것으로 우려돼 각별한 주의를 당부한다고 발표했다. 올해 들어 카드 3사, 의료관련 협회, 통신업체 등의 대규모 개인정보 유출 사고가 연이어 발생하고 있다. 이에 따라 국민의 불안 심리가 가중되고 있는 상황에서 이를 악용한 개인정보 유출 확인, 집단소송 안내, 피해보상 사칭 등의 내용으로 사이버사기가 발생할 가능성이 높다고 밝혔다. 개인정보 유출사고 업체는 문자메시지 발송이나 전화로 개인정보 유출 관련 안내를 하지 않으니 공공기관, 카드업체, 통신업체 등을 사칭해 이름, 카드번호, 은행계좌번호 등 일부 개인정보를 언급하더라도 절대 금융정보, 개인정보 등을 알려주면 안 된다. 또한 솔깃한 내용이나 공공기관을 사칭하는 문자 메시지를 받더라도 문자 메시지에 포함된 인터넷주소를 절대 클릭하지 말고 삭제해야 한다. 노명선 침해사고대응단장은 “사이버 사기로 의심되는 문자나 전화를 받을 경우, 한국인터넷진흥원으로 즉시 신고할 것”을 당부했다. 한편 KISA는 사이버 사기 피해 최소화를 위해 희망하는 기관·기업을 대상으로 전화번호가 변작된 국외발 전화를 차단하고, 스미싱을 분석해 해당 문자 및 악성앱 서버 차단 등의 조치를 취하고 있다. ciokr@idg.co.kr

개인정보 유출 KISA

2014.03.11

한국인터넷진흥원(이하 KISA)은 최근 잇따른 대규모 개인정보 유출사고로 인한 국민의 불안 심리를 악용한 사이버 사기가 발생할 것으로 우려돼 각별한 주의를 당부한다고 발표했다. 올해 들어 카드 3사, 의료관련 협회, 통신업체 등의 대규모 개인정보 유출 사고가 연이어 발생하고 있다. 이에 따라 국민의 불안 심리가 가중되고 있는 상황에서 이를 악용한 개인정보 유출 확인, 집단소송 안내, 피해보상 사칭 등의 내용으로 사이버사기가 발생할 가능성이 높다고 밝혔다. 개인정보 유출사고 업체는 문자메시지 발송이나 전화로 개인정보 유출 관련 안내를 하지 않으니 공공기관, 카드업체, 통신업체 등을 사칭해 이름, 카드번호, 은행계좌번호 등 일부 개인정보를 언급하더라도 절대 금융정보, 개인정보 등을 알려주면 안 된다. 또한 솔깃한 내용이나 공공기관을 사칭하는 문자 메시지를 받더라도 문자 메시지에 포함된 인터넷주소를 절대 클릭하지 말고 삭제해야 한다. 노명선 침해사고대응단장은 “사이버 사기로 의심되는 문자나 전화를 받을 경우, 한국인터넷진흥원으로 즉시 신고할 것”을 당부했다. 한편 KISA는 사이버 사기 피해 최소화를 위해 희망하는 기관·기업을 대상으로 전화번호가 변작된 국외발 전화를 차단하고, 스미싱을 분석해 해당 문자 및 악성앱 서버 차단 등의 조치를 취하고 있다. ciokr@idg.co.kr

2014.03.11

빅 데이터의 3대 장애물 '전문가 부족, 사일로 조직, 섀도우 IT' ISACA

보안, 개인정보 유출 같은 문제 때문에 빅 데이터 분석 기술 사용을 회피하는 기업들은 또 다른 유형의 위험을 낳을 가능성이 있다는 정보시스템감사통제협회(ISACA)의 보고서가 발표됐다. 이 보고서의 저자이자 ISACA의 신흥 비즈니스 및 기술 위원회 회원인 노먼 마크는 "빅 데이터를 구현할 때 개인정보 보호 법률 보장과 같은 고유의 위험 요소들이 있다. 하지만 경쟁사가 기술을 도입하는 것에 비해 뒤쳐져 있다면 이는 큰 위험이 될 수 있다”라고 지적했다. ‘빅 데이터 분석으로 가치 창출(Generating Value from Big Data Analytics)’이라는 제목의 이 보고서는 정보 기술 전문가들에게 빅 데이터를 전체적으로 보고 이를 도입하지 않았을 때의 비용을 생각해 보라고 당부했다. 비즈니스 사례를 이해하는 것은 기술과 규제 준수의 위험을 이해하는 것만큼이나 중요하다고 이 보고서는 주장했다. 기업은 경쟁사들이 빅 데이터를 도입하는 동안 이를 등한시 했을 때 어떠한 영향을 받을지, 그리고 투자에 대한 기대 수익이 어느 정도인지를 이해해야 한다. 이 보고서는 빅 데이터 프로젝트에서 이익을 실현할 수 있는 역량을 방해하는 3가지 문제로 기술 격차, 사일로처럼 된 내부 조직, 섀도우 IT를 꼽았다. 대부분의 기업은 현재 사내에 전문 분석 인력을 보유하지 않고 있으며 단기간에 이들 전문가 집단을 꾸리는 것은 어려울 것으로 예상됐다. 두번째 문제인 사일로 조직은 특히 경쟁이 치열하거나 반목이 심하거나 외부 자극에 대한 저항이 큰 기업들에게 주로 나타난다. 이러한 기업은 정보 공유에 소극적이고 자신들이 받은 정보를 잘 활용하려 하지 않는다. IT부서를 거치지 않고 현업 부서가 바로 추진해 IT부서가 이를 잘 모르는 ‘섀도우 IT’가 부상함에 따라 중앙 집중화된 빅 데이터 계획에서 빠진 숨은 데이터가 대규모로 발생할 수 있다. ISACA의 회원이자 CA테크놀로...

리스크 개인정보 유출 ISACA 위험

2014.01.23

보안, 개인정보 유출 같은 문제 때문에 빅 데이터 분석 기술 사용을 회피하는 기업들은 또 다른 유형의 위험을 낳을 가능성이 있다는 정보시스템감사통제협회(ISACA)의 보고서가 발표됐다. 이 보고서의 저자이자 ISACA의 신흥 비즈니스 및 기술 위원회 회원인 노먼 마크는 "빅 데이터를 구현할 때 개인정보 보호 법률 보장과 같은 고유의 위험 요소들이 있다. 하지만 경쟁사가 기술을 도입하는 것에 비해 뒤쳐져 있다면 이는 큰 위험이 될 수 있다”라고 지적했다. ‘빅 데이터 분석으로 가치 창출(Generating Value from Big Data Analytics)’이라는 제목의 이 보고서는 정보 기술 전문가들에게 빅 데이터를 전체적으로 보고 이를 도입하지 않았을 때의 비용을 생각해 보라고 당부했다. 비즈니스 사례를 이해하는 것은 기술과 규제 준수의 위험을 이해하는 것만큼이나 중요하다고 이 보고서는 주장했다. 기업은 경쟁사들이 빅 데이터를 도입하는 동안 이를 등한시 했을 때 어떠한 영향을 받을지, 그리고 투자에 대한 기대 수익이 어느 정도인지를 이해해야 한다. 이 보고서는 빅 데이터 프로젝트에서 이익을 실현할 수 있는 역량을 방해하는 3가지 문제로 기술 격차, 사일로처럼 된 내부 조직, 섀도우 IT를 꼽았다. 대부분의 기업은 현재 사내에 전문 분석 인력을 보유하지 않고 있으며 단기간에 이들 전문가 집단을 꾸리는 것은 어려울 것으로 예상됐다. 두번째 문제인 사일로 조직은 특히 경쟁이 치열하거나 반목이 심하거나 외부 자극에 대한 저항이 큰 기업들에게 주로 나타난다. 이러한 기업은 정보 공유에 소극적이고 자신들이 받은 정보를 잘 활용하려 하지 않는다. IT부서를 거치지 않고 현업 부서가 바로 추진해 IT부서가 이를 잘 모르는 ‘섀도우 IT’가 부상함에 따라 중앙 집중화된 빅 데이터 계획에서 빠진 숨은 데이터가 대규모로 발생할 수 있다. ISACA의 회원이자 CA테크놀로...

2014.01.23

유출된 개인정보 피해 최소화를 위한 개인 사용자의 행동 요령

점입가경의 보안 현장이다. 고양이에게 생선을 맡긴 셈이다. 신용평가업체인 코리아 크레딧뷰로 KCB 직원이 개인정보를 판매하기 위해 USB로 데이터를 유출한 사건이 발생했다. 총 1억 580만 건의 고객 정보를 유출한 KB국민카드, 롯데카드, 농협카드뿐만 아니라 이 카드들의 결제은행까지 고객 정보가 유출됐다. 사실상 국내 모든 은행의 고객 정보가 유출된 셈이다. 이런 와중에 KB국민카드 등 3개 카드사는 각사의 홈페이지에서 조회 서비스를 통해 고객정보유출 여부를 확인할 수 있도록 조치했는데, 이 또한 정보 유출을 부추기는 결과를 낳았다. 조회 서비스 초반, KB국민카드는 고객 이름과 주민번호 맨 뒷자리 번호 하나만 입력하면 유출 정보를 조회할 수 있도록 했는데, 이는 제3자가 다른 이들의 유출 정보 조회도 가능하게 한 결과를 갖고 왔던 것이다. 금융감독원에 발표한 정보에 따르면, 유출된 정보는 이름과 전화번호, 직장명 등 단순 정보이며, 예금 계좌번호, 비밀번호, 신용카드 비밀번호, CVC 값 등 금융거래 관련 민감정보는 포함하지 않아 카드 위변조, 현급 불법 인출 등 고객 피해 가능성은 없다고 전했다. 그러나 유출 정보를 확인한 결과 카드 발급을 위해 고객이 기입한 정보인 성명, 이메일, 휴대전화 번호, 직장 전화 번호, 자택 전화 번호, 주민번호, 직장주소, 자택주소, 직장정보, 결혼 여부, 자가용 보유여부, 주거상황, 이용실적금액, 결제계좌, 결제일, 연소득 이외에도 신용한도금액, 연체금액, 신용등급 등과 같이 고객이 작성하지 않은 정보를 포함해 총 19개 항목에 달하는 정보가 유출됐다. 다만 카드 비밀번호와 CVC 값만이 유출되지 않은 것으로 보인다. 현재 정보가 유출된 KB국민카드, 롯데카드, 농협카드는 홈페이지를 통해 개인정보유출에 대한 사실확인 여부를 조사할 수 있다. 특히 해당 카드를 사용하다가 해지하거나 탈회한 사용자 또한 포함된 것으로 파악됨에 따라 해지나 탈회한 사용자 또한 재확인이 필요하다. KB국...

개인정보 유출 금융 정보

2014.01.21

점입가경의 보안 현장이다. 고양이에게 생선을 맡긴 셈이다. 신용평가업체인 코리아 크레딧뷰로 KCB 직원이 개인정보를 판매하기 위해 USB로 데이터를 유출한 사건이 발생했다. 총 1억 580만 건의 고객 정보를 유출한 KB국민카드, 롯데카드, 농협카드뿐만 아니라 이 카드들의 결제은행까지 고객 정보가 유출됐다. 사실상 국내 모든 은행의 고객 정보가 유출된 셈이다. 이런 와중에 KB국민카드 등 3개 카드사는 각사의 홈페이지에서 조회 서비스를 통해 고객정보유출 여부를 확인할 수 있도록 조치했는데, 이 또한 정보 유출을 부추기는 결과를 낳았다. 조회 서비스 초반, KB국민카드는 고객 이름과 주민번호 맨 뒷자리 번호 하나만 입력하면 유출 정보를 조회할 수 있도록 했는데, 이는 제3자가 다른 이들의 유출 정보 조회도 가능하게 한 결과를 갖고 왔던 것이다. 금융감독원에 발표한 정보에 따르면, 유출된 정보는 이름과 전화번호, 직장명 등 단순 정보이며, 예금 계좌번호, 비밀번호, 신용카드 비밀번호, CVC 값 등 금융거래 관련 민감정보는 포함하지 않아 카드 위변조, 현급 불법 인출 등 고객 피해 가능성은 없다고 전했다. 그러나 유출 정보를 확인한 결과 카드 발급을 위해 고객이 기입한 정보인 성명, 이메일, 휴대전화 번호, 직장 전화 번호, 자택 전화 번호, 주민번호, 직장주소, 자택주소, 직장정보, 결혼 여부, 자가용 보유여부, 주거상황, 이용실적금액, 결제계좌, 결제일, 연소득 이외에도 신용한도금액, 연체금액, 신용등급 등과 같이 고객이 작성하지 않은 정보를 포함해 총 19개 항목에 달하는 정보가 유출됐다. 다만 카드 비밀번호와 CVC 값만이 유출되지 않은 것으로 보인다. 현재 정보가 유출된 KB국민카드, 롯데카드, 농협카드는 홈페이지를 통해 개인정보유출에 대한 사실확인 여부를 조사할 수 있다. 특히 해당 카드를 사용하다가 해지하거나 탈회한 사용자 또한 포함된 것으로 파악됨에 따라 해지나 탈회한 사용자 또한 재확인이 필요하다. KB국...

2014.01.21

미 의료 해킹 사고, 빅 데이터로 막을 수 있을까?

미 정부의 노력에도, 보건의료계의 보안에 대한 명성은 그리 높지 않다. 다수의 유출 사건들이 매주 터져 나오고 있으며, 연방 건강보험 개혁법(Affordable Care Act)에서 건강보험 거래가 시작되면서 보안 문제가 더욱 심각해질 가능성이 있다. 건강 보험 데이터 관리자들은 ‘빅 데이터’ 보안 솔루션을 자신들의 시스템에 통합시킴으로써 환자 정보 보호를 강화할 수 있다. 하지만 이는 의료 보건 조직들에 더 많은 보안 과제를 남길 수 있다. 보안인식 교육 업체인 노비4(KnowBe4)의 CEO 스투 스주워먼은 “의료계에 알려진 데이터 유출 사고 회수는 놀라운 수준”이라고 말했다. 의료 데이터 해커들의 공격 대상으로 부상 의료 기관들은 점점 더 많은 데이터가 전자화되면서 더욱 자주 해커의 공격대상이 됐다. 미국 정부는 병원과 의료기관들에게 2015년까지 종이 문서 기록을 모두 전자 기록화하라고 2009년부터 권고했으며 이 기관들은 이를 따르고 있다. 컨설팅 업체 테이건포인트(TayganPoint)의 선임 컨설턴트 조안 워커는 “2015년이라는 시점이 의료 제공 조직들이 데이터를 적절히 보호하기에는 너무 촉박하다는 반발도 있다”고 말했다. 더 많은 의료 정보가 온라인에 올라갈 뿐 아니라, 이 데이터에 대한 접속권을 가진 이들도 늘어나고 있다. 소비자들은 온라인으로 그들의 의료 정보를 확인할 수 있고, 의료 전문가들은 전자 정보를 서로 공유, 협업하는데 사용할 수 있다. 산스 인스티튜트(SANS Institute)의 이머징 트렌드 이사 존 페스카토레는 “온라인에 민감한 데이터 증가와 여기에 대한 접속자 수 증가는 해커들에게도 더 많은 기회를 의미한다”고 밝혔다. 위험 관리 업체인 크롤 어드바이저리 솔루션(Kroll Advisory Solutions)의 선임 전무이사 앨런 브릴은 “의료 보건 분야는 항상 해커들의 관심 대상이었는데, 이제는 그...

CSO 해킹 의료 해커 공격 개인정보 유출

2013.11.29

미 정부의 노력에도, 보건의료계의 보안에 대한 명성은 그리 높지 않다. 다수의 유출 사건들이 매주 터져 나오고 있으며, 연방 건강보험 개혁법(Affordable Care Act)에서 건강보험 거래가 시작되면서 보안 문제가 더욱 심각해질 가능성이 있다. 건강 보험 데이터 관리자들은 ‘빅 데이터’ 보안 솔루션을 자신들의 시스템에 통합시킴으로써 환자 정보 보호를 강화할 수 있다. 하지만 이는 의료 보건 조직들에 더 많은 보안 과제를 남길 수 있다. 보안인식 교육 업체인 노비4(KnowBe4)의 CEO 스투 스주워먼은 “의료계에 알려진 데이터 유출 사고 회수는 놀라운 수준”이라고 말했다. 의료 데이터 해커들의 공격 대상으로 부상 의료 기관들은 점점 더 많은 데이터가 전자화되면서 더욱 자주 해커의 공격대상이 됐다. 미국 정부는 병원과 의료기관들에게 2015년까지 종이 문서 기록을 모두 전자 기록화하라고 2009년부터 권고했으며 이 기관들은 이를 따르고 있다. 컨설팅 업체 테이건포인트(TayganPoint)의 선임 컨설턴트 조안 워커는 “2015년이라는 시점이 의료 제공 조직들이 데이터를 적절히 보호하기에는 너무 촉박하다는 반발도 있다”고 말했다. 더 많은 의료 정보가 온라인에 올라갈 뿐 아니라, 이 데이터에 대한 접속권을 가진 이들도 늘어나고 있다. 소비자들은 온라인으로 그들의 의료 정보를 확인할 수 있고, 의료 전문가들은 전자 정보를 서로 공유, 협업하는데 사용할 수 있다. 산스 인스티튜트(SANS Institute)의 이머징 트렌드 이사 존 페스카토레는 “온라인에 민감한 데이터 증가와 여기에 대한 접속자 수 증가는 해커들에게도 더 많은 기회를 의미한다”고 밝혔다. 위험 관리 업체인 크롤 어드바이저리 솔루션(Kroll Advisory Solutions)의 선임 전무이사 앨런 브릴은 “의료 보건 분야는 항상 해커들의 관심 대상이었는데, 이제는 그...

2013.11.29

美 에너지부, 해킹으로 직원 정보 유출

미국 연방 에너지부가 지난 1월 중순 수백 명의 직원 및 계약직에 대한 개인정보가 해킹당했으나 다행히 기밀 정보는 해킹당하지 않았다고 월요일 발표했다. 지난주 금요일에 발행된 에너지부 내부 뉴스레터 따르면, 즉시 사건의 성격과 범위에 대한 자세한 정보를 수집하고 에너지부 직원과 계약자에게 미칠 잠재적인 영향을 평가하는 연방법 집행 기관 및 다른 기관들과 협력하고 있는 것으로 알려졌다. "개별적으로 영향을 받는 직원이 확인되면, 그들에게 통지하고 신원 도용으로부터 자신을 보호하기 위해 취할 수 있는 단계의 도움을 제공할 것이다"라고 뉴스레터는 밝혔다. 에너지부는 이 사건의 전체 성격과 범위를 파악하면 전체적인 계획을 추진할 방침이라고 덧붙였다. 연간 200억 달러 이상의 예산을 사용하는 에너지부는 미국 에너지 생산 및 사용 규제뿐 아니라 미국의 핵무기의 안전과 신뢰성을 감독하는 등 광범위한 책임을 맡고 있다. 해킹은 전세계 유수의 기업과 정부를 공격하는 사이버공격의 대세를 따르는 것으로 파악됐다. 지난 주, 뉴욕타임즈와 월스트리트저널은 해커들이 근거지가 중국으로 보이는 곳에서 모니터링하기 위해 자사의 IT시스템에 침투하려 했다고 보도했다. 최근 몇 년 동안 고도의 컴퓨터 보안 전문가들을 보유한 기업들인 구글, RSA, 시만텍 등의 기업들조차 자사 네트워크에 공격을 받았다. 에너지부는 "이러한 사건이 다시 발생할 가능성을 줄이기 위해 적극적으로 노력하겠다"라고 전했다 에너지부는 부처 네트워크 전체를 모니터링하고 중요 자산을 보호하기 위한 특정 방어 툴을 개발할 사이버보안 조정센터(Cybersecurity Coordination Center)에 공동으로 참여하기로 했다. 또한 사이버공격 연구는 에너지부의 사이버보안팀, 감찰부(Inspector General's office), 보건안전국(Office of Health, Safety and Security)을 대상으로 한다고 에너지부...

해킹 정부 공공 사이버공격 개인정보 유출

2013.02.05

미국 연방 에너지부가 지난 1월 중순 수백 명의 직원 및 계약직에 대한 개인정보가 해킹당했으나 다행히 기밀 정보는 해킹당하지 않았다고 월요일 발표했다. 지난주 금요일에 발행된 에너지부 내부 뉴스레터 따르면, 즉시 사건의 성격과 범위에 대한 자세한 정보를 수집하고 에너지부 직원과 계약자에게 미칠 잠재적인 영향을 평가하는 연방법 집행 기관 및 다른 기관들과 협력하고 있는 것으로 알려졌다. "개별적으로 영향을 받는 직원이 확인되면, 그들에게 통지하고 신원 도용으로부터 자신을 보호하기 위해 취할 수 있는 단계의 도움을 제공할 것이다"라고 뉴스레터는 밝혔다. 에너지부는 이 사건의 전체 성격과 범위를 파악하면 전체적인 계획을 추진할 방침이라고 덧붙였다. 연간 200억 달러 이상의 예산을 사용하는 에너지부는 미국 에너지 생산 및 사용 규제뿐 아니라 미국의 핵무기의 안전과 신뢰성을 감독하는 등 광범위한 책임을 맡고 있다. 해킹은 전세계 유수의 기업과 정부를 공격하는 사이버공격의 대세를 따르는 것으로 파악됐다. 지난 주, 뉴욕타임즈와 월스트리트저널은 해커들이 근거지가 중국으로 보이는 곳에서 모니터링하기 위해 자사의 IT시스템에 침투하려 했다고 보도했다. 최근 몇 년 동안 고도의 컴퓨터 보안 전문가들을 보유한 기업들인 구글, RSA, 시만텍 등의 기업들조차 자사 네트워크에 공격을 받았다. 에너지부는 "이러한 사건이 다시 발생할 가능성을 줄이기 위해 적극적으로 노력하겠다"라고 전했다 에너지부는 부처 네트워크 전체를 모니터링하고 중요 자산을 보호하기 위한 특정 방어 툴을 개발할 사이버보안 조정센터(Cybersecurity Coordination Center)에 공동으로 참여하기로 했다. 또한 사이버공격 연구는 에너지부의 사이버보안팀, 감찰부(Inspector General's office), 보건안전국(Office of Health, Safety and Security)을 대상으로 한다고 에너지부...

2013.02.05

페이스북 "타임라인에 예전 메시지 떴지만 개인정보 유출 아니다"

몇몇 뉴스에서 페이스북 사용자 타임라인에 오래된 메시지가 갑자기 뜬다고 보도돼, 페이스북이 확인한 결과 문제 없다며 이 기사들을 반박했다. 페이스북이 사용자 개인정보 유출을 다룬 기사에 대해 반박했다. 이 기사들은 2009년부터 메시지를 썼던 사용자들과, 타임라인에 친구들이 올린 메시지가 갑자기 나타난 것 등과 관련해 대규모 개인정보 유출이 발생한 것이 아니냐는 의혹이 제기됐다. 뉴스 보도에 따르면, 페이스북 타임라인 보기에서 ‘친구’ 상자 아래에 보이는 담벼락 게시물과 함께 친구들의 메시지들이 떴다고 사용자들은 밝혔다. 이 기사를 쓴 기자의 페이스북 계정에서는 이 같은 문제가 나타나지 않았다. 이 기사를 다룬 뉴스사이트중 하나인 테크크런치(TechCruch)는 다른 사용자들에게 이 같은 문제가 발생했다는 이메일을 받았다고 전했다. 테크크런치 기사의 기자는 자신의 페이스북 페이지뿐만 아니라 친구의 타임라인에서 일부 문제가 나타났다고 밝혔다. 테크크런치에 따르면, 미국과 다른 곳에서도 드러났지만 모든 페이스북 사용자들에게 발생한 것은 아니었다. 더넥스트웹닷컴(Thenextweb.com) 역시 미국, 프랑스, 캐나다, 브라질, 이스라엘, 네덜란드, 영국의 독자들로부터 이 같은 문제가 발생했다는 이메일을 받은 것으로 알려졌다. 르몽드와 메트로 프랑스 등 프랑스 신문들도 이 문제를 다뤘다. 페이스북 대변인은 이 기사들을 중요하게 여기지 않으며 개인정보 유출은 없었다는 말로 일축했다. 이 대변인은 "소수의 사용자들이 실수로 자신의 타임라인에 나타난 메시지에 대해 문제를 제기한 것"라고 이메일을 통해 밝혔다. "우리의 엔지니어는 이러한 보고에 대해 조사했고 해당 메시지들이 오래된 담벼락 게시물이었다는 것을 밝혀냈다. 오래된 담벼락 게시물은 사용자 프로필 페이지에서 항상 볼 수 있던 것이었다"라고 그는 덧붙였다. ciokr@idg.co.kr

페이스북 사고 개인정보 유출

2012.09.26

몇몇 뉴스에서 페이스북 사용자 타임라인에 오래된 메시지가 갑자기 뜬다고 보도돼, 페이스북이 확인한 결과 문제 없다며 이 기사들을 반박했다. 페이스북이 사용자 개인정보 유출을 다룬 기사에 대해 반박했다. 이 기사들은 2009년부터 메시지를 썼던 사용자들과, 타임라인에 친구들이 올린 메시지가 갑자기 나타난 것 등과 관련해 대규모 개인정보 유출이 발생한 것이 아니냐는 의혹이 제기됐다. 뉴스 보도에 따르면, 페이스북 타임라인 보기에서 ‘친구’ 상자 아래에 보이는 담벼락 게시물과 함께 친구들의 메시지들이 떴다고 사용자들은 밝혔다. 이 기사를 쓴 기자의 페이스북 계정에서는 이 같은 문제가 나타나지 않았다. 이 기사를 다룬 뉴스사이트중 하나인 테크크런치(TechCruch)는 다른 사용자들에게 이 같은 문제가 발생했다는 이메일을 받았다고 전했다. 테크크런치 기사의 기자는 자신의 페이스북 페이지뿐만 아니라 친구의 타임라인에서 일부 문제가 나타났다고 밝혔다. 테크크런치에 따르면, 미국과 다른 곳에서도 드러났지만 모든 페이스북 사용자들에게 발생한 것은 아니었다. 더넥스트웹닷컴(Thenextweb.com) 역시 미국, 프랑스, 캐나다, 브라질, 이스라엘, 네덜란드, 영국의 독자들로부터 이 같은 문제가 발생했다는 이메일을 받은 것으로 알려졌다. 르몽드와 메트로 프랑스 등 프랑스 신문들도 이 문제를 다뤘다. 페이스북 대변인은 이 기사들을 중요하게 여기지 않으며 개인정보 유출은 없었다는 말로 일축했다. 이 대변인은 "소수의 사용자들이 실수로 자신의 타임라인에 나타난 메시지에 대해 문제를 제기한 것"라고 이메일을 통해 밝혔다. "우리의 엔지니어는 이러한 보고에 대해 조사했고 해당 메시지들이 오래된 담벼락 게시물이었다는 것을 밝혀냈다. 오래된 담벼락 게시물은 사용자 프로필 페이지에서 항상 볼 수 있던 것이었다"라고 그는 덧붙였다. ciokr@idg.co.kr

2012.09.26

MS 공동 창업자 폴 알렌의 개인정보 도난••• 용의자 검거

피츠버그에서 한 탈영병이 마이크로소프트 공동 창업자인 폴 알렌의 신분증으로 알렌의 시티은행 계좌에서 돈을 빼내 사용했다는 혐의를 받고 있다. 이번 주 펜실베니아 미국 지방 법원에 접수된 소장에 따르면, 피츠버그에 거주하는 브렌든 프라이스(30 세)가 시티은행 직원에게 전화해 알렌인 척 하면서 알렌의 이름과 계좌로 된 직불 카드를 발급받아 사용하다 붙잡혔다.   2010년 6월 미 육군을 탈영한 프라이스는 불법으로 취득한 직불 카드로 1만 5,000달러 이상을 사용한 협의도 받고 있다. 법원 기록에 따르면, 프라이스는 1월 9일 시티은행 고객 서비스센터에 전화를 걸어 워싱턴 주 시애틀에서 피츠버그 스테이션 가로 주소를 이전했다. 프라이스는 같은 날 새로운 전화 번호도 추가했다. 1월 12일 시티은행에 다시 전화해 자신을 알렌이라고 밝히고 이번에는 직불 카드를 분실했지만 도난 신고는 하지 않겠다고 말했다. 새 직불 카드를 프라이스는 피츠버그 주소로 UPS를 통해 보내달라고 요구했다. 프라이스는 하루 뒤에 카드를 받은 즉시 전화를 걸어 이 카드를 사용할 수 있도록 등록했고 캔자스 주 포트 리븐워스(Fort Leavenworth)에 있는 국군 은행(Armed Forces Bank)의 프라이스 이름으로 된 연체 대출 계좌로 658.81달러 내는데 사용했다. 그러고 나서 같은 날 그는 미국 송금 전문 기업인 웨스턴 유니온(Western Union)과 거래를 위해 전화로 1만 5,000달러를 이 카드로 지불하려 했다. 다음 날, 프라이스는 현지 게임스톱(Gamestop) 매장에서 278달러, 패밀리 달러 스토어(Family Dollar store)에서 1달러를 각각 카드로 사용했다고 주장했다. 이 두 매장에 설치된 CCTV에 물건을 구입하는 프라이스의 모습이 찍혔다. 프라이스는 3월 2일 체포됐고 은행 사기와 텔레뱅킹을 이용한 금융 사기 혐의로 기소된 상태다. 유죄가 인정된다면, 프라이스는 최고 30년 형을 선고받을 수 있다. ...

시티은행 마이크로소프트 MS 개인정보 유출 금융 사기 창업자 폴 알렌 텔레뱅킹 사기

2012.03.28

피츠버그에서 한 탈영병이 마이크로소프트 공동 창업자인 폴 알렌의 신분증으로 알렌의 시티은행 계좌에서 돈을 빼내 사용했다는 혐의를 받고 있다. 이번 주 펜실베니아 미국 지방 법원에 접수된 소장에 따르면, 피츠버그에 거주하는 브렌든 프라이스(30 세)가 시티은행 직원에게 전화해 알렌인 척 하면서 알렌의 이름과 계좌로 된 직불 카드를 발급받아 사용하다 붙잡혔다.   2010년 6월 미 육군을 탈영한 프라이스는 불법으로 취득한 직불 카드로 1만 5,000달러 이상을 사용한 협의도 받고 있다. 법원 기록에 따르면, 프라이스는 1월 9일 시티은행 고객 서비스센터에 전화를 걸어 워싱턴 주 시애틀에서 피츠버그 스테이션 가로 주소를 이전했다. 프라이스는 같은 날 새로운 전화 번호도 추가했다. 1월 12일 시티은행에 다시 전화해 자신을 알렌이라고 밝히고 이번에는 직불 카드를 분실했지만 도난 신고는 하지 않겠다고 말했다. 새 직불 카드를 프라이스는 피츠버그 주소로 UPS를 통해 보내달라고 요구했다. 프라이스는 하루 뒤에 카드를 받은 즉시 전화를 걸어 이 카드를 사용할 수 있도록 등록했고 캔자스 주 포트 리븐워스(Fort Leavenworth)에 있는 국군 은행(Armed Forces Bank)의 프라이스 이름으로 된 연체 대출 계좌로 658.81달러 내는데 사용했다. 그러고 나서 같은 날 그는 미국 송금 전문 기업인 웨스턴 유니온(Western Union)과 거래를 위해 전화로 1만 5,000달러를 이 카드로 지불하려 했다. 다음 날, 프라이스는 현지 게임스톱(Gamestop) 매장에서 278달러, 패밀리 달러 스토어(Family Dollar store)에서 1달러를 각각 카드로 사용했다고 주장했다. 이 두 매장에 설치된 CCTV에 물건을 구입하는 프라이스의 모습이 찍혔다. 프라이스는 3월 2일 체포됐고 은행 사기와 텔레뱅킹을 이용한 금융 사기 혐의로 기소된 상태다. 유죄가 인정된다면, 프라이스는 최고 30년 형을 선고받을 수 있다. ...

2012.03.28

유럽정보보호원, SNS 역기능 지적

유럽에서 가장 큰 사이버보안 기관인 유럽정보보호원(ENISA)이 소셜 네트워킹의 역기능에 대해 경고했다. 유럽정보보호원에 따르면, 소셜 네트워킹의 활동은 사용자 행동을 감시할 수 있을 뿐 아니라 사용자 스스로 이에 대한 과도한 집착으로 이어질 수 있기 때문이다. 유럽정보보호원은 최근 2014년까지 온라인 라이프 로깅(Life-Logging)의 긍정적인 영향과 부정적인 영향을 예측을 담은 보고서를 발표했다. 소셜 네트워킹에 많은 잠재적인 이익이 있다는 점을 인정하지만, 개인 정보 유출 위험이 우려돼, 유럽정보보호원은 유럽 연합 회원국들에게 실질적인 제제 조치 도입을 고려해야 한다고 요구했다. 이 보고서는 또한 유럽위원회(EC)에 라이프 로깅 기기와 서비스의 사용이 늘어난 결과 데이터 보호 지침을 개정하기 위한 컨설팅을 받아볼 것을 권고했다. 현재의 규제로는 수용하기 어려운 부분이 많이 때문이다. 보고서는 또한 온라인에 저장된 개인 정보로 인한 가상 가족에 미치는 영향을 지적했다. 인터넷이 주는 혜택을 얻으려면 개인 정보를 입력해야 하는데 보고서는 이러한 정보들이 통제 불능 상태가 될 때 위험한 상황이 발생할 수 있다고 전했다. "이는 개인 데이터 통제의 상실, 개인의 평판에 미치는 피해 및 그것이 유출됐을 때 발생할 정신적인 위헌의 가능성 등 개인 정보에 대한 위험을 암시한다”라고 보고서는 덧붙였다. "영리 기구의 경우, 유출된 데이터 보호 법, 법적 구속력 결과, 명성에 대한 치명타 등의 위험 요소가 있다. 정부는 이 영리 기구들이 제대로 시민 개인의 정보를 보호하지 않는다고 알려지면, 공신력에 큰 타격을 받을 수 있다”라고 이 보고서는 전했다. 그러나 이 보고서의 다소 비관적인 전망에도 불구하고, 유럽정보보호원은 "상품과 서비스에 접근하는 소셜 미디어와 같은 새로운 애플리케이션을 통한 정보 공유의 이점을 무시할 수 없다”라고 지적했다. 고독을 느끼는 개인들을 줄이면서 가족과...

SNS 소셜 미디어 소셜 네트워크 개인정보 유출 순기능 역기능 유럽정보보호원 ENISA

2011.11.14

유럽에서 가장 큰 사이버보안 기관인 유럽정보보호원(ENISA)이 소셜 네트워킹의 역기능에 대해 경고했다. 유럽정보보호원에 따르면, 소셜 네트워킹의 활동은 사용자 행동을 감시할 수 있을 뿐 아니라 사용자 스스로 이에 대한 과도한 집착으로 이어질 수 있기 때문이다. 유럽정보보호원은 최근 2014년까지 온라인 라이프 로깅(Life-Logging)의 긍정적인 영향과 부정적인 영향을 예측을 담은 보고서를 발표했다. 소셜 네트워킹에 많은 잠재적인 이익이 있다는 점을 인정하지만, 개인 정보 유출 위험이 우려돼, 유럽정보보호원은 유럽 연합 회원국들에게 실질적인 제제 조치 도입을 고려해야 한다고 요구했다. 이 보고서는 또한 유럽위원회(EC)에 라이프 로깅 기기와 서비스의 사용이 늘어난 결과 데이터 보호 지침을 개정하기 위한 컨설팅을 받아볼 것을 권고했다. 현재의 규제로는 수용하기 어려운 부분이 많이 때문이다. 보고서는 또한 온라인에 저장된 개인 정보로 인한 가상 가족에 미치는 영향을 지적했다. 인터넷이 주는 혜택을 얻으려면 개인 정보를 입력해야 하는데 보고서는 이러한 정보들이 통제 불능 상태가 될 때 위험한 상황이 발생할 수 있다고 전했다. "이는 개인 데이터 통제의 상실, 개인의 평판에 미치는 피해 및 그것이 유출됐을 때 발생할 정신적인 위헌의 가능성 등 개인 정보에 대한 위험을 암시한다”라고 보고서는 덧붙였다. "영리 기구의 경우, 유출된 데이터 보호 법, 법적 구속력 결과, 명성에 대한 치명타 등의 위험 요소가 있다. 정부는 이 영리 기구들이 제대로 시민 개인의 정보를 보호하지 않는다고 알려지면, 공신력에 큰 타격을 받을 수 있다”라고 이 보고서는 전했다. 그러나 이 보고서의 다소 비관적인 전망에도 불구하고, 유럽정보보호원은 "상품과 서비스에 접근하는 소셜 미디어와 같은 새로운 애플리케이션을 통한 정보 공유의 이점을 무시할 수 없다”라고 지적했다. 고독을 느끼는 개인들을 줄이면서 가족과...

2011.11.14

“직장인 1/4, 개인정보 유출로 피해 봤다”

대한상공회의소가 최근 국내 461개 기업을 대상으로 ‘직장인 개인정보 유출 피해 실태’를 조사한 결과, 27.7%가 ‘피해 경험이 있다’고 응답했다.   피해유형으로는 스팸메일·문자(85.5%)가 가장 많았고, PC 바이러스·악성코드 감염(26.5%), 보이스피싱(25.3%), 메신저피싱(9.6%), 명의도용(4.8%) 순이었다.   개인정보 유출 예상 경로에 대해서는 전문해커(47.0%)를 가장 많이 꼽았으며, 이어 내부직원(24.3%), 퇴사직원(17.3%)을 꼽는 등 응답기업의 40% 이상이 전·현직 임직원을 개인정보 유출의 잠재적 위협요소로 인식하고 있었다.   기업들이 사용하는 온라인고객 인증방식으로는 ‘사용자 아이디·패스워드’(61.7%)가 가장 많았고, 공인인증서(24%), 주민등록번호(11.7%), 아이핀(I-PIN ; Internet Personal Identification Number, 인터넷 개인식별번호)(9.3%), 1회용 비밀번호(4.7%) 순으로 나타났다.   개인정보 유출로 인한 피해를 막기 위해 지난 9월 30일부터 시행된 ‘개인정보보호법’에 대해서는 국내기업 10곳 중 6곳(61.4%)이 ‘잘 알고 있다’고 답했으며, 이 중 80.3%는 ‘해당 법에 적절히 대비하고 있다’고 답했다.   이동근 대한상공회의소 상근부회장은 “개인정보보호법 시행으로 개인정보보호 의무가 개인정보를 처리하는 모든 기업과 영세 업체에게까지 확대되면서 이들 기업의 개인정보 관리 부담이 커졌다”며, “전문 인력과 관련정보 부족으로 어려움을 겪고 있는 중소기업의 애로사항를 덜어주기 위해 정부의 집중적인 홍보와 교육기회 제공, 정보보안 인프라 확충 등이 요구된다”고 말했다. edit...

개인정보 유출 대한상공회의소

2011.11.03

대한상공회의소가 최근 국내 461개 기업을 대상으로 ‘직장인 개인정보 유출 피해 실태’를 조사한 결과, 27.7%가 ‘피해 경험이 있다’고 응답했다.   피해유형으로는 스팸메일·문자(85.5%)가 가장 많았고, PC 바이러스·악성코드 감염(26.5%), 보이스피싱(25.3%), 메신저피싱(9.6%), 명의도용(4.8%) 순이었다.   개인정보 유출 예상 경로에 대해서는 전문해커(47.0%)를 가장 많이 꼽았으며, 이어 내부직원(24.3%), 퇴사직원(17.3%)을 꼽는 등 응답기업의 40% 이상이 전·현직 임직원을 개인정보 유출의 잠재적 위협요소로 인식하고 있었다.   기업들이 사용하는 온라인고객 인증방식으로는 ‘사용자 아이디·패스워드’(61.7%)가 가장 많았고, 공인인증서(24%), 주민등록번호(11.7%), 아이핀(I-PIN ; Internet Personal Identification Number, 인터넷 개인식별번호)(9.3%), 1회용 비밀번호(4.7%) 순으로 나타났다.   개인정보 유출로 인한 피해를 막기 위해 지난 9월 30일부터 시행된 ‘개인정보보호법’에 대해서는 국내기업 10곳 중 6곳(61.4%)이 ‘잘 알고 있다’고 답했으며, 이 중 80.3%는 ‘해당 법에 적절히 대비하고 있다’고 답했다.   이동근 대한상공회의소 상근부회장은 “개인정보보호법 시행으로 개인정보보호 의무가 개인정보를 처리하는 모든 기업과 영세 업체에게까지 확대되면서 이들 기업의 개인정보 관리 부담이 커졌다”며, “전문 인력과 관련정보 부족으로 어려움을 겪고 있는 중소기업의 애로사항를 덜어주기 위해 정부의 집중적인 홍보와 교육기회 제공, 정보보안 인프라 확충 등이 요구된다”고 말했다. edit...

2011.11.03

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6