Offcanvas

��������� ������

“기밀 커밋되기 전에 스캔한다” 깃허브, ‘암호 검색’ 강화

‘깃허브 어드밴스드 시큐리티(GitHub Advanced Security)’를 사용하는 기업은 이제 코드를 리포지토리에 푸시할 때 토큰, 키 및 기타 보안 암호를 검색할 수 있다.    깃허브가 (자사의) 어드밴스드 시큐리티 서비스에서 ‘푸시 보호(push protection)’ 기능을 업데이트했다고 밝혔다. 새로운 기능은 개발자가 코드를 리포지토리에 푸시할 때 액세스 토큰, API 키 및 기타 자격증명 등의 (신뢰도가 높은) 암호 코드를 검색하고, 암호가 식별되면 푸시를 차단한다.  지난 4월 4일(현지 시각) 발표된 이 푸시 보호 기능을 사용하면 깃허브 어드밴드스 시큐리티 고객은 git push가 승인되기 전에 암호를 검색하여 유출을 방지할 수 있다고 회사 측은 설명했다. 엔터프라이즈 계정에서 활용할 수 있는 깃허브 어드밴스드 시큐리티는 코드 스캔, 종속성 검토, 암호 검색 등의 서비스를 제공하여 기밀이 리포지토리에서 노출되지 않도록 지원한다. 개발자는 암호 검색을 통해 자격증명 유출을 사전에 방지하고, 자격증명 오용으로 인한 위반을 보호할 수 있다.  아울러 깃허브 어드밴스드 시큐리티의 푸시 보호 기능을 쓰면 암호 검색이 개발자 워크플로우에 포함된다. 하지만 개발 생산성을 저해하지 않고 이를 활성화하기 위해 푸시 보호 기능은 정확하게 감지할 수 있는 토큰 유형만 지원한다. 회사에 따르면 지금까지 암호 검색 기능은 수천 개의 개인 리포지토리에서 70만 개 이상의 기밀을 감지했다.  깃허브의 제품 관리자 마리암 술라키안은 “매우 식별 가능한 기밀이 커밋되기 전에 검색함으로써 보안을 사후 대응이 아닌 사전 예방으로 전환하고, 암호가 완전히 유출되는 사고를 방지할 수 있다”라고 말했다.  깃허브 어드밴스드 시큐리티를 사용하는 기업은 UI 또는 API를 통해 클릭 한 번으로 리포지토리 또는 조직 수준에서 암호 검색의 푸시 보호 기능을 활성화할 수 있다고 회사 측은 덧붙였다. ciokr@idg.co....

깃허브 보안 코드 보안 리포지토리 저장소 데이터 유출

2022.04.11

‘깃허브 어드밴스드 시큐리티(GitHub Advanced Security)’를 사용하는 기업은 이제 코드를 리포지토리에 푸시할 때 토큰, 키 및 기타 보안 암호를 검색할 수 있다.    깃허브가 (자사의) 어드밴스드 시큐리티 서비스에서 ‘푸시 보호(push protection)’ 기능을 업데이트했다고 밝혔다. 새로운 기능은 개발자가 코드를 리포지토리에 푸시할 때 액세스 토큰, API 키 및 기타 자격증명 등의 (신뢰도가 높은) 암호 코드를 검색하고, 암호가 식별되면 푸시를 차단한다.  지난 4월 4일(현지 시각) 발표된 이 푸시 보호 기능을 사용하면 깃허브 어드밴드스 시큐리티 고객은 git push가 승인되기 전에 암호를 검색하여 유출을 방지할 수 있다고 회사 측은 설명했다. 엔터프라이즈 계정에서 활용할 수 있는 깃허브 어드밴스드 시큐리티는 코드 스캔, 종속성 검토, 암호 검색 등의 서비스를 제공하여 기밀이 리포지토리에서 노출되지 않도록 지원한다. 개발자는 암호 검색을 통해 자격증명 유출을 사전에 방지하고, 자격증명 오용으로 인한 위반을 보호할 수 있다.  아울러 깃허브 어드밴스드 시큐리티의 푸시 보호 기능을 쓰면 암호 검색이 개발자 워크플로우에 포함된다. 하지만 개발 생산성을 저해하지 않고 이를 활성화하기 위해 푸시 보호 기능은 정확하게 감지할 수 있는 토큰 유형만 지원한다. 회사에 따르면 지금까지 암호 검색 기능은 수천 개의 개인 리포지토리에서 70만 개 이상의 기밀을 감지했다.  깃허브의 제품 관리자 마리암 술라키안은 “매우 식별 가능한 기밀이 커밋되기 전에 검색함으로써 보안을 사후 대응이 아닌 사전 예방으로 전환하고, 암호가 완전히 유출되는 사고를 방지할 수 있다”라고 말했다.  깃허브 어드밴스드 시큐리티를 사용하는 기업은 UI 또는 API를 통해 클릭 한 번으로 리포지토리 또는 조직 수준에서 암호 검색의 푸시 보호 기능을 활성화할 수 있다고 회사 측은 덧붙였다. ciokr@idg.co....

2022.04.11

엔비디아 털어간 해커조직에 삼성도 당했다… “고객정보 유출은 없어”

최근 해커조직 랩서스(Lapsus$)가 삼성전자를 해킹해 190GB에 달하는 기밀 데이터를 탈취했다고 주장했고, 이 주장이 사실로 확인되면서 업계가 발칵 뒤집혔다.  삼성전자는 특정 내부 회사 데이터의 보안 침해를 확인했으며, 랩서스의 공격 수법은 랜섬웨어로 추정된다. 한편 이번 사건은 랩서스가 엔비디아(Nvidia)의 서버에서 1TB에 달하는 데이터를 훔쳐 20GB의 문서 아카이브를 공개한 지 불과 일주일 만에 발생했다.    지난 3월 4일 이 랜섬웨어 그룹은 삼성 소프트웨어에서 C/C++ 명령의 스냅샷을 사용하여 데이터 탈취를 처음으로 공개했다. 이후 암호화, 접근 제어, 하드웨어 암호화에 사용되는 삼성의 트러스트존(TrustZone) 환경에 설치된 모든 트러스티드 애플렛(Trusted Applet; TA)의 소스코드를 언급하면서 이번 데이터 해킹 사건을 설명했다.  아울러 랩서스는 탈취한 데이터를 3개의 토렌트 파일로 압축하여 올렸다. 이 3개의 파일을 합친 용량은 190GB에 이른다. 블리핑 컴퓨터(Bleeping Computer)에 따르면 이 토렌트에는 3개의 아카이브 각각에 어떤 콘텐츠가 담겼는지 소개하는 간략한 설명이 포함돼 있다.  • ‘1부(Part 1)’에는 보안(Security)/디펜스(Defense)/녹스(Knox)/부트로더(Bootloader)/트러스티드앱스(TrustedApps) 및 기타 여러 항목의 소스코드와 관련 데이터가 포함돼 있다.  • ‘2부(Part 2)’에는 기기 보안 및 암호화에 관한 소스코드와 관련 데이터가 포함돼 있다.  • ‘3부(Part 3)’에는 모바일 디펜스 엔지니어링(mobile defense engineering), 삼성 계정 백엔드(Samsung account backend), 삼성 패스 백엔드/프론트엔드(Samsung pass backend/frontend), SES 등 삼성 깃허브의 다양한 리포지토리가 포함돼 있다. ...

삼성전자 삼성 해커조직 랩서스 엔비디아 데이터 유출 보안 침해 랜섬웨어

2022.03.08

최근 해커조직 랩서스(Lapsus$)가 삼성전자를 해킹해 190GB에 달하는 기밀 데이터를 탈취했다고 주장했고, 이 주장이 사실로 확인되면서 업계가 발칵 뒤집혔다.  삼성전자는 특정 내부 회사 데이터의 보안 침해를 확인했으며, 랩서스의 공격 수법은 랜섬웨어로 추정된다. 한편 이번 사건은 랩서스가 엔비디아(Nvidia)의 서버에서 1TB에 달하는 데이터를 훔쳐 20GB의 문서 아카이브를 공개한 지 불과 일주일 만에 발생했다.    지난 3월 4일 이 랜섬웨어 그룹은 삼성 소프트웨어에서 C/C++ 명령의 스냅샷을 사용하여 데이터 탈취를 처음으로 공개했다. 이후 암호화, 접근 제어, 하드웨어 암호화에 사용되는 삼성의 트러스트존(TrustZone) 환경에 설치된 모든 트러스티드 애플렛(Trusted Applet; TA)의 소스코드를 언급하면서 이번 데이터 해킹 사건을 설명했다.  아울러 랩서스는 탈취한 데이터를 3개의 토렌트 파일로 압축하여 올렸다. 이 3개의 파일을 합친 용량은 190GB에 이른다. 블리핑 컴퓨터(Bleeping Computer)에 따르면 이 토렌트에는 3개의 아카이브 각각에 어떤 콘텐츠가 담겼는지 소개하는 간략한 설명이 포함돼 있다.  • ‘1부(Part 1)’에는 보안(Security)/디펜스(Defense)/녹스(Knox)/부트로더(Bootloader)/트러스티드앱스(TrustedApps) 및 기타 여러 항목의 소스코드와 관련 데이터가 포함돼 있다.  • ‘2부(Part 2)’에는 기기 보안 및 암호화에 관한 소스코드와 관련 데이터가 포함돼 있다.  • ‘3부(Part 3)’에는 모바일 디펜스 엔지니어링(mobile defense engineering), 삼성 계정 백엔드(Samsung account backend), 삼성 패스 백엔드/프론트엔드(Samsung pass backend/frontend), SES 등 삼성 깃허브의 다양한 리포지토리가 포함돼 있다. ...

2022.03.08

포티넷, ‘글로벌 랜섬웨어 현황 보고서’ 발표··· "데이터 손실에 대한 우려 높아"

글로벌 네트워크 보안 업체 포티넷코리아가 '2021년 글로벌 랜섬웨어 현황 보고서’를 13일 발표했다. 이번 보고서는 랜섬웨어 위협에 대한 기업들의 인식 및 보안 방안, 향후 보안 계획을 파악하기 위해 2021년 8월 전세계 24개국의 대기업 및 중소기업의 IT 및 보안 리더 455명을 대상으로 진행된 글로벌 설문조사를 바탕으로 작성됐다. 이번 설문조사에 따르면 대부분 기업이 다른 사이버 위협보다 랜섬웨어에 대해 더 우려하고 있는 것으로 나타났다. 설문에 참여한 대부분 기업들은 직원 사이버 교육, 위험 평가 계획, 사이버보안 보험을 포함하여 랜섬웨어 공격에 대비하고 있다고 밝혔으나, 응답자들이 필수 보호 솔루션으로 여기는 것과 가장 일반적인 네트워크 침투 차단 기술 간에는 현격한 차이가 있었다. 기업들이 필수로 여기는 기술을 조사한 결과, 기업들은 원격 근무자 및 장치에 대해 가장 큰 우려를 가지고 있으며, 보안 웹 게이트웨이(Secure Web Gateway), VPN 및 네트워크 액세스 제어(Network Access Control)를 최우선으로 선택했다. 보고서는 ZTNA는 급부상하는 기술이나, 기존 VPN 기술을 대체하는 것으로 봐야 한다고 설명했다. 가장 우려되는 점은 공격자들이 중요한 데이터 및 IP에 대한 액세스를 얻기 위해 네트워크에 침입하는 것을 방지하는 중요 기술 솔루션인 망분리(segmentation, 31%)에 대한 인식이 낮다는 점이다. 마찬가지로, UEBA와 샌드박싱은 침입 및 새로운 악성 코드 변종을 식별하는데 중요한 역할을 하나, 이 두 솔루션에 대한 인식도 낮았다. 또한, 공격자들이 일반적으로 ‘피싱’을 통해 침투하는데도 불구하고 보안 이메일 게이트웨이(secure email gateway)가 33%에 그쳤다는 점도 눈여겨볼 대목이다. 랜섬웨어 공격과 관련해 기업들은 ‘데이터 손실’에 대해 가장 많이 우려하는 것으로 나타났으며, ‘생산성 저하’ 및 ‘운영 중단’이 그 뒤를 이었다. 또한, 기업의 84%가 사고 대응 계...

포티넷 랜섬웨어 네트워크보안 원격근무 데이터 유출

2021.10.13

글로벌 네트워크 보안 업체 포티넷코리아가 '2021년 글로벌 랜섬웨어 현황 보고서’를 13일 발표했다. 이번 보고서는 랜섬웨어 위협에 대한 기업들의 인식 및 보안 방안, 향후 보안 계획을 파악하기 위해 2021년 8월 전세계 24개국의 대기업 및 중소기업의 IT 및 보안 리더 455명을 대상으로 진행된 글로벌 설문조사를 바탕으로 작성됐다. 이번 설문조사에 따르면 대부분 기업이 다른 사이버 위협보다 랜섬웨어에 대해 더 우려하고 있는 것으로 나타났다. 설문에 참여한 대부분 기업들은 직원 사이버 교육, 위험 평가 계획, 사이버보안 보험을 포함하여 랜섬웨어 공격에 대비하고 있다고 밝혔으나, 응답자들이 필수 보호 솔루션으로 여기는 것과 가장 일반적인 네트워크 침투 차단 기술 간에는 현격한 차이가 있었다. 기업들이 필수로 여기는 기술을 조사한 결과, 기업들은 원격 근무자 및 장치에 대해 가장 큰 우려를 가지고 있으며, 보안 웹 게이트웨이(Secure Web Gateway), VPN 및 네트워크 액세스 제어(Network Access Control)를 최우선으로 선택했다. 보고서는 ZTNA는 급부상하는 기술이나, 기존 VPN 기술을 대체하는 것으로 봐야 한다고 설명했다. 가장 우려되는 점은 공격자들이 중요한 데이터 및 IP에 대한 액세스를 얻기 위해 네트워크에 침입하는 것을 방지하는 중요 기술 솔루션인 망분리(segmentation, 31%)에 대한 인식이 낮다는 점이다. 마찬가지로, UEBA와 샌드박싱은 침입 및 새로운 악성 코드 변종을 식별하는데 중요한 역할을 하나, 이 두 솔루션에 대한 인식도 낮았다. 또한, 공격자들이 일반적으로 ‘피싱’을 통해 침투하는데도 불구하고 보안 이메일 게이트웨이(secure email gateway)가 33%에 그쳤다는 점도 눈여겨볼 대목이다. 랜섬웨어 공격과 관련해 기업들은 ‘데이터 손실’에 대해 가장 많이 우려하는 것으로 나타났으며, ‘생산성 저하’ 및 ‘운영 중단’이 그 뒤를 이었다. 또한, 기업의 84%가 사고 대응 계...

2021.10.13

회사 기밀 '줄줄' 샌다··· 깃허브 저장소에 숨겨진 데이터 유출 위험

공격자는 개발자가 실수로 남긴 ‘기밀’을 찾기 위해 깃허브와 같은 퍼블릭 코드 리포지토리를 끊임없이 검색한다. 아무리 사소한 실수라도 충분히 악용될 수 있다.  팬데믹 기간 중 어느 지루했던 날, 보안 연구원 크레이그 헤이스는 SSH 사용자 이름과 암호를 깃허브 저장소에 일부러 유출하고, 공격자가 이를 찾을 수 있는지 확인하는 실험을 했다. 그는 누군가가 이를 알아차리기까지 며칠, 어쩌면 일주일 정도 걸릴 것이라고 생각했다.  하지만 결과는 예상과는 달랐다. 첫 번째 무단 로그인은 34분 이내에 발생했다. 헤이스는 <CSO>와의 인터뷰에서 “너무나 빨리 침해됐다는 사실에 놀랐다”라고 말했다.    그리고 24시간 동안 6개의 서로 다른 IP 주소가 허니팟(비정상적 접근을 탐지하는 시스템)에 총 9번 연결됐다. 한 공격자는 봇넷 클라이언트를 설치하려고 했고, 또 다른 공격자는 서버를 사용해 DoS 공격을 하려 했다. 이 밖에 서버에서 민감한 정보를 훔치려고 하거나 주변을 둘러보고 있었던 공격자도 있었다고 그는 덧붙였다.  헤이스의 실험 결과에 따르면 공격자는 개발자가 남긴 민감한 데이터를 찾기 위해 깃허브 및 기타 퍼블릭 코드 저장소를 끊임없이 스캔하고 있는 것으로 확인됐다.  기업들이 온프레미스 소프트웨어에서 클라우드로 전환하고, 많은 개발자가 재택근무를 하게 되면서 사용자 이름, 암호, 구글 키, 개발 도구, 프라이빗 키를 포함한 기밀 데이터의 양은 계속 증가하고 있다.  프랑스의 보안 스타트업 깃가디언(GitGuardian)의 공동 설립자 에릭 푸리에는 올해만 해도 전년 대비 유출된 기밀 데이터가 최소 20% 이상 증가할 것이라고 밝혔다(참고로 깃가디언은 공개 저장소를 스캔하여 공격자가 악용할 수 있는 데이터를 식별하고 있다). 해커가 깃허브에서 기밀을 찾는 법  해커는 깃허브가 민감한 정보를 찾기에 좋은 장소라는 것을 알고 있다. 그리고 UN(United Na...

깃허브 퍼블릭 코드 저장소 보안 공격자 침해 기밀 유출 데이터 유출

2021.10.07

공격자는 개발자가 실수로 남긴 ‘기밀’을 찾기 위해 깃허브와 같은 퍼블릭 코드 리포지토리를 끊임없이 검색한다. 아무리 사소한 실수라도 충분히 악용될 수 있다.  팬데믹 기간 중 어느 지루했던 날, 보안 연구원 크레이그 헤이스는 SSH 사용자 이름과 암호를 깃허브 저장소에 일부러 유출하고, 공격자가 이를 찾을 수 있는지 확인하는 실험을 했다. 그는 누군가가 이를 알아차리기까지 며칠, 어쩌면 일주일 정도 걸릴 것이라고 생각했다.  하지만 결과는 예상과는 달랐다. 첫 번째 무단 로그인은 34분 이내에 발생했다. 헤이스는 <CSO>와의 인터뷰에서 “너무나 빨리 침해됐다는 사실에 놀랐다”라고 말했다.    그리고 24시간 동안 6개의 서로 다른 IP 주소가 허니팟(비정상적 접근을 탐지하는 시스템)에 총 9번 연결됐다. 한 공격자는 봇넷 클라이언트를 설치하려고 했고, 또 다른 공격자는 서버를 사용해 DoS 공격을 하려 했다. 이 밖에 서버에서 민감한 정보를 훔치려고 하거나 주변을 둘러보고 있었던 공격자도 있었다고 그는 덧붙였다.  헤이스의 실험 결과에 따르면 공격자는 개발자가 남긴 민감한 데이터를 찾기 위해 깃허브 및 기타 퍼블릭 코드 저장소를 끊임없이 스캔하고 있는 것으로 확인됐다.  기업들이 온프레미스 소프트웨어에서 클라우드로 전환하고, 많은 개발자가 재택근무를 하게 되면서 사용자 이름, 암호, 구글 키, 개발 도구, 프라이빗 키를 포함한 기밀 데이터의 양은 계속 증가하고 있다.  프랑스의 보안 스타트업 깃가디언(GitGuardian)의 공동 설립자 에릭 푸리에는 올해만 해도 전년 대비 유출된 기밀 데이터가 최소 20% 이상 증가할 것이라고 밝혔다(참고로 깃가디언은 공개 저장소를 스캔하여 공격자가 악용할 수 있는 데이터를 식별하고 있다). 해커가 깃허브에서 기밀을 찾는 법  해커는 깃허브가 민감한 정보를 찾기에 좋은 장소라는 것을 알고 있다. 그리고 UN(United Na...

2021.10.07

블로그ㅣ아이클라우드 키체인으로 암호를 감사하는 방법

美 이동통신사 T-모바일(T-Mobile)에서 1억 명 이상의 고객 정보를 유출했다는 의혹이 제기됐다. 비밀번호와 계정 보안을 다시 한번 확인해야 할 때다. 여기에서 키체인(Keychain)을 활용하는 방법은 다음과 같다.    애플의 빌트인 암호 관리자를 ‘아이클라우드 키체인’이라고 한다. 이는 사용자가 로그인한 모든 기기에서 저장된 계정 정보(예: 계정 이름 및 비밀번호 등)를 안전하게 보관한다. 그리고 사용자가 앱이나 서비스에 액세스할 때 자동으로 해당 정보를 입력해준다.  안전한 보안 습관을 관리하는 데 유용한 도구라고 할 수 있다. 라스트패스(LastPass), 대쉬레인(Dashlane), 원패스워드(1Password) 등의 크로스플랫폼 서비스를 선호하는 경우가 많은데 이러한 서비스 자체는 공격에 취약할 수도 있다.  애플은 자체 암호 관리 도구를 선보인 이후 계속해서 업데이트해왔다. iOS 14부터 애플은 아래의 보안 취약점을 경고해왔다.  • 약한 비밀번호(Weak passwords): 많이 쓰이거나 추측하기 쉬운 비밀번호를 사용하는 경우. 사전에 있는 단어를 활용하거나 일반적인 문자를 대체한 것, 키보드 패턴 또는 1, 2, 3, 4와 같은 시퀀스를 사용하면 비밀번호가 쉽게 추측될 수 있다. 또 동일한 비밀번호로 여러 사이트에 액세스하는 경우에도 암호를 변경하라는 메시지가 표시된다.  • 비밀번호 유출(Leaked passwords): 데이터 침해로 비밀번호가 유출된 경우. 이 시스템은 유출됐다고 알려진 암호를 지속적으로 업데이트 및 큐레이션한 마스터 목록을 사용한다. 암호 관리자는 강력한 암호화 기술을 사용하여 (개인의 암호를 절대 공유하지 않는 방식으로) 침해된 암호 목록에서 자신의 암호를 확인해 볼 수 있다.  아이클라우드 키체인 사용 방법  iOS 기기는 ‘설정(Settings) > 아이클라우드(iCloud) > 아이클라우드 키체인(iCloud ...

비밀번호 암호 보안 데이터 유출 데이터 침해 아이클라우드 키체인 암호 관리

2021.08.17

美 이동통신사 T-모바일(T-Mobile)에서 1억 명 이상의 고객 정보를 유출했다는 의혹이 제기됐다. 비밀번호와 계정 보안을 다시 한번 확인해야 할 때다. 여기에서 키체인(Keychain)을 활용하는 방법은 다음과 같다.    애플의 빌트인 암호 관리자를 ‘아이클라우드 키체인’이라고 한다. 이는 사용자가 로그인한 모든 기기에서 저장된 계정 정보(예: 계정 이름 및 비밀번호 등)를 안전하게 보관한다. 그리고 사용자가 앱이나 서비스에 액세스할 때 자동으로 해당 정보를 입력해준다.  안전한 보안 습관을 관리하는 데 유용한 도구라고 할 수 있다. 라스트패스(LastPass), 대쉬레인(Dashlane), 원패스워드(1Password) 등의 크로스플랫폼 서비스를 선호하는 경우가 많은데 이러한 서비스 자체는 공격에 취약할 수도 있다.  애플은 자체 암호 관리 도구를 선보인 이후 계속해서 업데이트해왔다. iOS 14부터 애플은 아래의 보안 취약점을 경고해왔다.  • 약한 비밀번호(Weak passwords): 많이 쓰이거나 추측하기 쉬운 비밀번호를 사용하는 경우. 사전에 있는 단어를 활용하거나 일반적인 문자를 대체한 것, 키보드 패턴 또는 1, 2, 3, 4와 같은 시퀀스를 사용하면 비밀번호가 쉽게 추측될 수 있다. 또 동일한 비밀번호로 여러 사이트에 액세스하는 경우에도 암호를 변경하라는 메시지가 표시된다.  • 비밀번호 유출(Leaked passwords): 데이터 침해로 비밀번호가 유출된 경우. 이 시스템은 유출됐다고 알려진 암호를 지속적으로 업데이트 및 큐레이션한 마스터 목록을 사용한다. 암호 관리자는 강력한 암호화 기술을 사용하여 (개인의 암호를 절대 공유하지 않는 방식으로) 침해된 암호 목록에서 자신의 암호를 확인해 볼 수 있다.  아이클라우드 키체인 사용 방법  iOS 기기는 ‘설정(Settings) > 아이클라우드(iCloud) > 아이클라우드 키체인(iCloud ...

2021.08.17

IBM 조사 발표 “코로나 발생 기간 데이터 유출 비용 사상 최고치 기록”

IBM 시큐리티가 오늘 전 세계 기업과 조직을 대상으로 데이터 유출 피해에 따른 비용을 조사한 최신 연구 결과를 발표했다. 이 연구 결과에 따르면 조사 대상 기업들은 데이터 유출로 인해 사고당 평균 424만 달러의 손실을 입은 것으로 나타났다. 이 비용은 조사를 진행해온 17년간 최고치이다. 한편, 조사 대상 한국 기업은 데이터 유출 사고로 평균 41억 1천만원의 손실을 입은 것으로 나타났다. 전 세계 500개 이상의 기업 및 조직에서 경험한 실제 데이터 유출 사례를 심층 분석한 이 연구에 따르면, 코로나 기간 동안 기업들은 급격한 운영 변화로 인해 보안 사고를 통제하기 더욱 어려워졌으며, 보안 사고로 인한 관련 비용도 높아져 전년 대비 약 10% 증가한 것으로 나타났다.   지난해 많은 기업들은 직원들에게 재택근무를 장려하거나 요구함에 따라 기술 접근 방식도 이에 맞춰 신속하게 조정해야 했으며, 60%의 조직이 코로나 기간 동안 클라우드 기반 활동을 확대했다. 오늘 발표된 조사 결과에 따르면 기업의 보안 수준이 이러한 급격한 IT 변화에 따라가지 못해 조직의 데이터 유출에 대응하는 능력이 저하되었을 수 있음을 알 수 있다. 포네몬 연구소(Ponemon Institute)가 실시하고 IBM 시큐리티가 분석한 연간 데이터 유출 피해 보고서는 다음과 같은 추세를 밝혀냈다.   원격 근무의 영향: 코로나 기간 동안 원격 근무로 빠르게 전환되면서 데이터 유출와 관련된 피해 금액은 더 높아졌다. 원격 근무가 데이터 유출 사고의 요인에 포함된 경우, 포함되지 않는 경우보다 관련 피해 금액이 평균 100만 달러가 더 높다. (원격 근무 포함 시 496만 달러 vs. 미포함 시 389만 달러)   의료 업계 피해 급증: 코로나 기간 동안 운영상의 변화가 컸던 업계(의료, 소매, 서비스, 소비자 제조/유통)는 전년 대비 데이터 유출 피해 금액이 크게 증가했다. 특히, 의료 업계의 유출 사고 피해액은 사고당 923만 달러로 전년 대비 ...

IBM 데이터 유출

2021.08.02

IBM 시큐리티가 오늘 전 세계 기업과 조직을 대상으로 데이터 유출 피해에 따른 비용을 조사한 최신 연구 결과를 발표했다. 이 연구 결과에 따르면 조사 대상 기업들은 데이터 유출로 인해 사고당 평균 424만 달러의 손실을 입은 것으로 나타났다. 이 비용은 조사를 진행해온 17년간 최고치이다. 한편, 조사 대상 한국 기업은 데이터 유출 사고로 평균 41억 1천만원의 손실을 입은 것으로 나타났다. 전 세계 500개 이상의 기업 및 조직에서 경험한 실제 데이터 유출 사례를 심층 분석한 이 연구에 따르면, 코로나 기간 동안 기업들은 급격한 운영 변화로 인해 보안 사고를 통제하기 더욱 어려워졌으며, 보안 사고로 인한 관련 비용도 높아져 전년 대비 약 10% 증가한 것으로 나타났다.   지난해 많은 기업들은 직원들에게 재택근무를 장려하거나 요구함에 따라 기술 접근 방식도 이에 맞춰 신속하게 조정해야 했으며, 60%의 조직이 코로나 기간 동안 클라우드 기반 활동을 확대했다. 오늘 발표된 조사 결과에 따르면 기업의 보안 수준이 이러한 급격한 IT 변화에 따라가지 못해 조직의 데이터 유출에 대응하는 능력이 저하되었을 수 있음을 알 수 있다. 포네몬 연구소(Ponemon Institute)가 실시하고 IBM 시큐리티가 분석한 연간 데이터 유출 피해 보고서는 다음과 같은 추세를 밝혀냈다.   원격 근무의 영향: 코로나 기간 동안 원격 근무로 빠르게 전환되면서 데이터 유출와 관련된 피해 금액은 더 높아졌다. 원격 근무가 데이터 유출 사고의 요인에 포함된 경우, 포함되지 않는 경우보다 관련 피해 금액이 평균 100만 달러가 더 높다. (원격 근무 포함 시 496만 달러 vs. 미포함 시 389만 달러)   의료 업계 피해 급증: 코로나 기간 동안 운영상의 변화가 컸던 업계(의료, 소매, 서비스, 소비자 제조/유통)는 전년 대비 데이터 유출 피해 금액이 크게 증가했다. 특히, 의료 업계의 유출 사고 피해액은 사고당 923만 달러로 전년 대비 ...

2021.08.02

구글, 안드로이드 위치 정보 설정 기능 의도적으로 감췄다?

구글이 안드로이드 운영체제에서 사용자 위치 설정 기능을 의도적으로 찾기 어렵게 만드는 ‘꼼수’를 부린 사실이 드러났다고 29일(현지시간) 외신들이 보도했다. 위치 정보 설정 기능이 쉽게 발견될 경우, 사용자가 기능을 꺼버릴 수 있는 가능성을 차단했다는 설명이다. 이 사실은 미 애리조나주의 마크 브루노비치 법무장관이 지난해 구글을 상대로 소비자 권리 침해와 관련한 소송을 제기했을 당시 제출했던 문건이 최근 공개되면서 밝혀졌다.  문건에 따르면 구글은 LG를 비롯해 안드로이드 기반 스마트폰 제작업체에게 위치 정보 공유 기능을 최대한 숨겨 사용자들이 찾기 어렵게 하라는 압력을 가했다. 심지어 구글은 사용자들이 정보 공유 기능을 껐음에도 위치 정보 데이터를 계속해서 수집하기도 했다.  안드로이드 스마트폰 사용자가 위치 정보 공유 설정 기능에 접근할 경우 비공개로 바꿀 가능성이 크다고 구글이 판단했기 때문이라는 설명이다.  소송 당시 구글 지도를 총괄했던 잭 멘젤 전 구글 부사장은 법정에서 “구글이 사용자의 집과 직장 위치를 파악하지 못하게 하는 유일한 방법은 사용자가 의도적으로 집과 직장을 가짜 주소로 설정한 경우”라고 증언하기도 했다.  미 경제매체 비즈니스 인사이더는 “이번 문건은 스마트폰 사용자가 자신의 위치 데이터를 비공개로 유지하는 것이 얼마나 어려운 일인지를 보여준다”라고 지적했다. ciokr@idg.co.kr  

구글 안드로이드 위치 설정 데이터 유출 프라이버시

2021.05.31

구글이 안드로이드 운영체제에서 사용자 위치 설정 기능을 의도적으로 찾기 어렵게 만드는 ‘꼼수’를 부린 사실이 드러났다고 29일(현지시간) 외신들이 보도했다. 위치 정보 설정 기능이 쉽게 발견될 경우, 사용자가 기능을 꺼버릴 수 있는 가능성을 차단했다는 설명이다. 이 사실은 미 애리조나주의 마크 브루노비치 법무장관이 지난해 구글을 상대로 소비자 권리 침해와 관련한 소송을 제기했을 당시 제출했던 문건이 최근 공개되면서 밝혀졌다.  문건에 따르면 구글은 LG를 비롯해 안드로이드 기반 스마트폰 제작업체에게 위치 정보 공유 기능을 최대한 숨겨 사용자들이 찾기 어렵게 하라는 압력을 가했다. 심지어 구글은 사용자들이 정보 공유 기능을 껐음에도 위치 정보 데이터를 계속해서 수집하기도 했다.  안드로이드 스마트폰 사용자가 위치 정보 공유 설정 기능에 접근할 경우 비공개로 바꿀 가능성이 크다고 구글이 판단했기 때문이라는 설명이다.  소송 당시 구글 지도를 총괄했던 잭 멘젤 전 구글 부사장은 법정에서 “구글이 사용자의 집과 직장 위치를 파악하지 못하게 하는 유일한 방법은 사용자가 의도적으로 집과 직장을 가짜 주소로 설정한 경우”라고 증언하기도 했다.  미 경제매체 비즈니스 인사이더는 “이번 문건은 스마트폰 사용자가 자신의 위치 데이터를 비공개로 유지하는 것이 얼마나 어려운 일인지를 보여준다”라고 지적했다. ciokr@idg.co.kr  

2021.05.31

칼럼|MS 애저 블롭 유출 사태가 주는 교훈

마이크로소프트가 애저 블롭 스토리지를 잘못 구성하는 바람에 애저 고객사의 지적재산권이 노출됐다. CISO는 이 사태로부터 어떤 교훈을 얻을 수 있을까? 보안 업체인 vpn멘토(vpnMentor)에 따르면, 마이크로소프트는 애저 블롭 (클라우드) 스토리지의 버킷을 잘못 구성하는 오류를 범했다. 이는 회사 스스로 자초한 것으로 보인다. 이 스토리지에는 서드파티 데이터가 저장돼 있었다. 마이크로소프트는 사실상 고객사의 지적 재산권을 노리는 이들에게 약점을 드러낸 셈이었다.  vpn멘토의 연구진은 스토리지 버킷의 구성 오류를 발견한 다음 이를 마이크로소프트 측에 알렸다. 또 구성 오류를 발견한 이후부터 마이크로소프트와 주고받은 내용을 웹사이트에 시간순으로 공개했다. 어도비를 비롯한 여러 기업들은 마이크로소프트와 제휴를 맺기 위해 각종 기능이나 서비스 내용을 담은 홍보 자료를 스토리지에 올려둔 상태였다.    vpn멘토는 보고서를 통해 10~15개 회사의 100개 이상 ‘발표 자료’와 소스코드가 어떻게 노출됐는지 설명했다. 기업들은 마이크로소프트 다이내믹스 CRM/ERP 생태계에 참여하기 위해 자사의 아이디어와 지적재산권을 마이크로소프트에 위임했다. 이 아이디어와 지적재산권이 마이크로소프트의 구성 오류로 인해 부지불식간에 위험에 처하게 된 것이다.  공유 책임 모델 이와 같은 구성 오류의 책임은 누구에게 있을까? vpn멘토 연구진은 “공유 책임 모델 하에서는 데이터 자산을 보호할 책임이 사용자에게 전가된다. 사용자 조직 내 여러 당사자들은 우선순위가 서로 다르며, 보안 개념에 대한 이해의 수준도 제각각이다”라며 “이로 인해 민감한 데이터가 노출될 수도 있다. 사용 중인 클라우드 인프라와 상관없이, 심각한 결과가 초래될 수 있다”라고 말했다.  CISO라면 ‘공유 책임’의 개념을 반드시 인식시켜야 한다. 클라우드 업체는 클라우드 자체를 보호할 책임이 있으며, 고객은 클라우드 내부의 보안에 ...

마이크로소프트 애저 블롭 구성 오류 데이터 유출

2021.05.14

마이크로소프트가 애저 블롭 스토리지를 잘못 구성하는 바람에 애저 고객사의 지적재산권이 노출됐다. CISO는 이 사태로부터 어떤 교훈을 얻을 수 있을까? 보안 업체인 vpn멘토(vpnMentor)에 따르면, 마이크로소프트는 애저 블롭 (클라우드) 스토리지의 버킷을 잘못 구성하는 오류를 범했다. 이는 회사 스스로 자초한 것으로 보인다. 이 스토리지에는 서드파티 데이터가 저장돼 있었다. 마이크로소프트는 사실상 고객사의 지적 재산권을 노리는 이들에게 약점을 드러낸 셈이었다.  vpn멘토의 연구진은 스토리지 버킷의 구성 오류를 발견한 다음 이를 마이크로소프트 측에 알렸다. 또 구성 오류를 발견한 이후부터 마이크로소프트와 주고받은 내용을 웹사이트에 시간순으로 공개했다. 어도비를 비롯한 여러 기업들은 마이크로소프트와 제휴를 맺기 위해 각종 기능이나 서비스 내용을 담은 홍보 자료를 스토리지에 올려둔 상태였다.    vpn멘토는 보고서를 통해 10~15개 회사의 100개 이상 ‘발표 자료’와 소스코드가 어떻게 노출됐는지 설명했다. 기업들은 마이크로소프트 다이내믹스 CRM/ERP 생태계에 참여하기 위해 자사의 아이디어와 지적재산권을 마이크로소프트에 위임했다. 이 아이디어와 지적재산권이 마이크로소프트의 구성 오류로 인해 부지불식간에 위험에 처하게 된 것이다.  공유 책임 모델 이와 같은 구성 오류의 책임은 누구에게 있을까? vpn멘토 연구진은 “공유 책임 모델 하에서는 데이터 자산을 보호할 책임이 사용자에게 전가된다. 사용자 조직 내 여러 당사자들은 우선순위가 서로 다르며, 보안 개념에 대한 이해의 수준도 제각각이다”라며 “이로 인해 민감한 데이터가 노출될 수도 있다. 사용 중인 클라우드 인프라와 상관없이, 심각한 결과가 초래될 수 있다”라고 말했다.  CISO라면 ‘공유 책임’의 개념을 반드시 인식시켜야 한다. 클라우드 업체는 클라우드 자체를 보호할 책임이 있으며, 고객은 클라우드 내부의 보안에 ...

2021.05.14

보안-클라우드팀 간의 원활한 협업을 위한 팁 6가지

원활한 커뮤니케이션, 각 팀의 목표에 관한 상호이해, 적절한 프로세스 및 인프라는 클라우드와 보안팀 간의 효율적인 업무 관계를 보장한다.   클라우드 엔지니어팀과 보안팀 간의 협업은 클라우드 성숙도와 함께 자연스럽게 성장해야 한다. 하지만 보안팀을 그저 ‘안 돼요(No)’만 외치는 부서로 간주하는 클라우드팀이 많다. 이러한 인식 및 관계는 오래된 관계 구축 방식, 데이터 공유 방식, 협업 방식으로부터 비롯됐다.  사전예방적 대응과 팀 간 커뮤니케이션을 통해 기존의 사일로를 무너뜨리면 데이터 침해 사건이 발생하더라도 서로를 더욱더 잘 지원할 수 있다. 여기서는 클라우드 엔지니어팀과 사이버 보안팀 간의 협업을 개선하는 팁 6가지를 소개한다.    1. 미리 질문하라. 일찍 그리고 공개적으로 이야기하라.  마이크로소프트의 보안 아키텍트 웨인 앤더슨은 시스템 사용자의 신뢰와 프라이버시를 보호하는 보안이 모든 직원의 책임이라고 강조했다. 그는 두 팀이 보안을 더 쉽게 그리고 덜 성가시게 만들 방법에 관해 질문하고 이야기해야 한다고 말했다.  또 예산, ID 및 액세스 관리, 도메인 할당과 같은 중요 리소스의 승인 및 온보딩이 빠르게 이뤄질 수 있도록 이를 둘러싼 마찰을 제거할 방법을 논의해야 한다고 덧붙였다. 이를 위해 팀 간 스탠드업 미팅을 할 수 있는 장소나 서로 질문할 수 있는 공유 온라인 채널 등을 갖추는 게 좋다.  2. 두 팀의 ‘성공’을 정의하라  이어서 앤더슨은 두 팀에 있어 ‘성공’이 무엇을 의미하는지 사전에 정의해야 한다고 권고했다. 이를 통해 조직의 보안 기준을 분명히 해야 하며, 예산을 책정하거나 프로젝트 진행을 승인하는 조직의 이해관계자를 납득시켜야 한다.  그는 “사전에 공감대를 형성하라. 프로젝트 콘셉트 그리고 보안팀과 연관된 사항을 검토하고, 당면할 수 있는 우려 사항을 확인해야 한다”라고 설명했다. 이를 사전에 파악하는 것은 추후 상황에 대비해 기...

사이버보안 랜섬웨어 데이터 침해 데이터 유출 클라우드 프라이버시 보안 권한 관리 팀즈 슬랙

2021.04.29

원활한 커뮤니케이션, 각 팀의 목표에 관한 상호이해, 적절한 프로세스 및 인프라는 클라우드와 보안팀 간의 효율적인 업무 관계를 보장한다.   클라우드 엔지니어팀과 보안팀 간의 협업은 클라우드 성숙도와 함께 자연스럽게 성장해야 한다. 하지만 보안팀을 그저 ‘안 돼요(No)’만 외치는 부서로 간주하는 클라우드팀이 많다. 이러한 인식 및 관계는 오래된 관계 구축 방식, 데이터 공유 방식, 협업 방식으로부터 비롯됐다.  사전예방적 대응과 팀 간 커뮤니케이션을 통해 기존의 사일로를 무너뜨리면 데이터 침해 사건이 발생하더라도 서로를 더욱더 잘 지원할 수 있다. 여기서는 클라우드 엔지니어팀과 사이버 보안팀 간의 협업을 개선하는 팁 6가지를 소개한다.    1. 미리 질문하라. 일찍 그리고 공개적으로 이야기하라.  마이크로소프트의 보안 아키텍트 웨인 앤더슨은 시스템 사용자의 신뢰와 프라이버시를 보호하는 보안이 모든 직원의 책임이라고 강조했다. 그는 두 팀이 보안을 더 쉽게 그리고 덜 성가시게 만들 방법에 관해 질문하고 이야기해야 한다고 말했다.  또 예산, ID 및 액세스 관리, 도메인 할당과 같은 중요 리소스의 승인 및 온보딩이 빠르게 이뤄질 수 있도록 이를 둘러싼 마찰을 제거할 방법을 논의해야 한다고 덧붙였다. 이를 위해 팀 간 스탠드업 미팅을 할 수 있는 장소나 서로 질문할 수 있는 공유 온라인 채널 등을 갖추는 게 좋다.  2. 두 팀의 ‘성공’을 정의하라  이어서 앤더슨은 두 팀에 있어 ‘성공’이 무엇을 의미하는지 사전에 정의해야 한다고 권고했다. 이를 통해 조직의 보안 기준을 분명히 해야 하며, 예산을 책정하거나 프로젝트 진행을 승인하는 조직의 이해관계자를 납득시켜야 한다.  그는 “사전에 공감대를 형성하라. 프로젝트 콘셉트 그리고 보안팀과 연관된 사항을 검토하고, 당면할 수 있는 우려 사항을 확인해야 한다”라고 설명했다. 이를 사전에 파악하는 것은 추후 상황에 대비해 기...

2021.04.29

‘보안도 역지사지’··· 사이버 범죄자에게 배울 수 있는 3가지

날쌘 사이버 범죄자처럼 민첩하게 행동하는 방법을 배우지 못한다면 비극적인 결말을 맞이할 수밖에 없을 것이다.  사이버 범죄자로부터 배울 수 있는 게 많다. 이들의 속도, 민첩성, 창의성이 특히 그러하다. 비효율적인 회의, 사무실 정치, 강압적인 컴플라이언스 등에 넌더리가 난다면 한 번쯤 공격자의 시각으로 사물을 보는 것도 나쁘지 않다.  사이버 범죄자는 ‘알 필요가 있는(need to know)’ 내용들을 배우고, 장벽을 뚫고 침투하기 위한 기술과 최신 공격 기법을 공유한다. 장벽이란 바로 기업이다.    여기서는 다크웹(Dark Web)에서 공유됐던 이야기를 모아 발간됐던 간행물에 ‘크라임 씬(Crime Scene; CS)’이라는 멋들어진 제목을 붙이고, 사이버 범죄자의 심리를 역으로 유추해볼 수 있는 흥미진진한 안전 지침(Safety Manual)으로 재구성했다.  ‘크라임 씬’은 독자(사이버 범죄자)를 자극하는 다음의 뉴스로 시작된다. “코로나19 사태는 5년이 걸렸을 디지털 트랜스포메이션을 12개월 만에 빠르게 해치우도록 밀어붙였다. 이는 직원들을 혼란스럽게 만들었고 이들이 사무실 밖으로 나가면서 온갖 취약점이 생겼다. 이제 데이터 침해를 즐겨야 할 때다.” 크라임 씬의 사용자 정보 섹션에서는 독자들이 ‘필수적으로 알아야 할’ 최신 기술 및 도구를 소개한다. 사이버 범죄자들은 언제나 시대를 앞서가고 있으며, 그중에서도 얼리어답터라면 인공지능(AI), 사물인터넷(IoT), 5세대 이동통신(5G)에 지체없이 집중할 것이다. 머지 않아 공격자들은 ‘침입(break in)’ 세미나를 열고 자동화, 통합, 침투를 혼합할 최적의 방법을 논의할 것이다.  크라임 씬의 유머 섹션에서는 ‘코로나바이러스가 어떻게 사이버 사기를 촉발시켰는지(몇 달도 더 지난 이야기다)’, ‘사이버 범죄자들이 최신 기술에 투자하고 있다(이게 뉴스인가?)’, 그리고 ‘비트코인이 사기꾼들의 최신 표적이다(이제서야 안 것인가?!)...

보안 사이버 공격 사이버 범죄 인공지능 클라우드 다크웹 크라임 씬 코로나19 취약점 사물인터넷 5G 재택근무 피싱 데이터 유출 데이터 침해 비트코인 노코드 로우코드 액티브 디렉토리

2021.04.22

날쌘 사이버 범죄자처럼 민첩하게 행동하는 방법을 배우지 못한다면 비극적인 결말을 맞이할 수밖에 없을 것이다.  사이버 범죄자로부터 배울 수 있는 게 많다. 이들의 속도, 민첩성, 창의성이 특히 그러하다. 비효율적인 회의, 사무실 정치, 강압적인 컴플라이언스 등에 넌더리가 난다면 한 번쯤 공격자의 시각으로 사물을 보는 것도 나쁘지 않다.  사이버 범죄자는 ‘알 필요가 있는(need to know)’ 내용들을 배우고, 장벽을 뚫고 침투하기 위한 기술과 최신 공격 기법을 공유한다. 장벽이란 바로 기업이다.    여기서는 다크웹(Dark Web)에서 공유됐던 이야기를 모아 발간됐던 간행물에 ‘크라임 씬(Crime Scene; CS)’이라는 멋들어진 제목을 붙이고, 사이버 범죄자의 심리를 역으로 유추해볼 수 있는 흥미진진한 안전 지침(Safety Manual)으로 재구성했다.  ‘크라임 씬’은 독자(사이버 범죄자)를 자극하는 다음의 뉴스로 시작된다. “코로나19 사태는 5년이 걸렸을 디지털 트랜스포메이션을 12개월 만에 빠르게 해치우도록 밀어붙였다. 이는 직원들을 혼란스럽게 만들었고 이들이 사무실 밖으로 나가면서 온갖 취약점이 생겼다. 이제 데이터 침해를 즐겨야 할 때다.” 크라임 씬의 사용자 정보 섹션에서는 독자들이 ‘필수적으로 알아야 할’ 최신 기술 및 도구를 소개한다. 사이버 범죄자들은 언제나 시대를 앞서가고 있으며, 그중에서도 얼리어답터라면 인공지능(AI), 사물인터넷(IoT), 5세대 이동통신(5G)에 지체없이 집중할 것이다. 머지 않아 공격자들은 ‘침입(break in)’ 세미나를 열고 자동화, 통합, 침투를 혼합할 최적의 방법을 논의할 것이다.  크라임 씬의 유머 섹션에서는 ‘코로나바이러스가 어떻게 사이버 사기를 촉발시켰는지(몇 달도 더 지난 이야기다)’, ‘사이버 범죄자들이 최신 기술에 투자하고 있다(이게 뉴스인가?)’, 그리고 ‘비트코인이 사기꾼들의 최신 표적이다(이제서야 안 것인가?!)...

2021.04.22

IBM, ‘2020 글로벌 기업 데이터 유출 현황’ 보고서 공개

IBM이 글로벌 보안컨설팅 전문업체 포네몬 인스티튜트와 공동으로 전 세계 17개국 524개 기업의 데이터 유출 현황을 조사 분석한 ‘2020 글로벌 기업 데이터 유출 현황’ 보고서를 공개했다.  이번 보고서에는 지난해에 이어 국내 24개 기업이 설문 대상에 포함돼 국내 데이터 유출 피해 현황에 대한 정보도 제공했다. 보고서에 따르면 전 세계적으로 데이터 유출로 인한 기업 당 평균 피해액은 미화 386만 달러로, 지난해 390만 달러 대비 약 1.5% 감소했다. 평균 피해액이 감소하는데 기여한 요인으로는 ▲성숙한 보안 자동화 및 침해 사고 대응 프로세스를 갖춘 기업과 업종의 증가, ▲GDPR의 안정화, ▲사이버 보험 등을 꼽았다. 다만 2019년과 2020년에 조사된 16개 동일 국가 또는 지역 중 대한민국을 포함해 총 12곳에서 평균피해액이 증가한 것으로 나타났다. 전체 데이터 유출 사례를 심층 분석한 결과 80%가 고객의 개인식별정보(Personally Identifiable Information, PII) 유출 건으로 밝혀졌다. 피해액 규모 측면에서도 고객 개인식별정보 관련 데이터 유출이 기업에 가장 큰 피해를 줬다. IP 유출은 30%로 그 뒤를 이었다. 최근 원격근무가 증가로 주요 데이터가 비교적 덜 엄격한 통제 환경으로 이동하게 됐고, 이로 인해 네트워크 가시성이 저하돼 침해 사고에 더 취약해진 경향을 보였다. 또한 이번 보고서에서 눈여겨 볼 사항은 보안 자동화 기술을 활용하는 기업의 평균 피해액이 245만 달러인 반면, 그렇지 않은 기업 피해액은 603만 달러를 기록해, 약 385만 달러의 비용 격차를 보였다는 점이다. AI, 머신러닝 등 보안 자동화 기술을 활용하는 기업은 약 27% 이상 더 빠르게 침해를 탐지해 통제할 수 있었다. 2018년(151만 달러)과 2019년(251만 달러)의 비용 격차를 살펴보면 최신 보안기술의 도입 유무에 따른 기업간 피해액 격차는 지속적으로 증가하는 추세다. 한편 국내 기업 24곳을 대상으로...

IBM 글로벌 기업 데이터 유출 개인정보 보안

2020.07.30

IBM이 글로벌 보안컨설팅 전문업체 포네몬 인스티튜트와 공동으로 전 세계 17개국 524개 기업의 데이터 유출 현황을 조사 분석한 ‘2020 글로벌 기업 데이터 유출 현황’ 보고서를 공개했다.  이번 보고서에는 지난해에 이어 국내 24개 기업이 설문 대상에 포함돼 국내 데이터 유출 피해 현황에 대한 정보도 제공했다. 보고서에 따르면 전 세계적으로 데이터 유출로 인한 기업 당 평균 피해액은 미화 386만 달러로, 지난해 390만 달러 대비 약 1.5% 감소했다. 평균 피해액이 감소하는데 기여한 요인으로는 ▲성숙한 보안 자동화 및 침해 사고 대응 프로세스를 갖춘 기업과 업종의 증가, ▲GDPR의 안정화, ▲사이버 보험 등을 꼽았다. 다만 2019년과 2020년에 조사된 16개 동일 국가 또는 지역 중 대한민국을 포함해 총 12곳에서 평균피해액이 증가한 것으로 나타났다. 전체 데이터 유출 사례를 심층 분석한 결과 80%가 고객의 개인식별정보(Personally Identifiable Information, PII) 유출 건으로 밝혀졌다. 피해액 규모 측면에서도 고객 개인식별정보 관련 데이터 유출이 기업에 가장 큰 피해를 줬다. IP 유출은 30%로 그 뒤를 이었다. 최근 원격근무가 증가로 주요 데이터가 비교적 덜 엄격한 통제 환경으로 이동하게 됐고, 이로 인해 네트워크 가시성이 저하돼 침해 사고에 더 취약해진 경향을 보였다. 또한 이번 보고서에서 눈여겨 볼 사항은 보안 자동화 기술을 활용하는 기업의 평균 피해액이 245만 달러인 반면, 그렇지 않은 기업 피해액은 603만 달러를 기록해, 약 385만 달러의 비용 격차를 보였다는 점이다. AI, 머신러닝 등 보안 자동화 기술을 활용하는 기업은 약 27% 이상 더 빠르게 침해를 탐지해 통제할 수 있었다. 2018년(151만 달러)과 2019년(251만 달러)의 비용 격차를 살펴보면 최신 보안기술의 도입 유무에 따른 기업간 피해액 격차는 지속적으로 증가하는 추세다. 한편 국내 기업 24곳을 대상으로...

2020.07.30

개방성과 보안 사이의 균형은?··· 영국을 뒤흔든 ANPR 데이터 유출의 교훈

차량 번호를 감지해 차량의 흐름과 이동을 모니터링하는 등의 공공 감시 시스템은 프라이버시와 데이터 보호라는 쉽지 않은 과제를 해결해야 한다. 최근 영국에서 발생한 ANPR 시스템의 데이터 누출 사건에서 배울 수 있는 교훈을 살펴본다.    영국 셰필드 주정부의 거대한 ANPR 시스템에서 약 860만 개의 운전자 기록이 유출됐다고 2020년 4월 28일, 더 레지스터(The Register)가 보도했다.  보도에 따르면 카메라 관리, 자동차 번호판 추적, 자동차 이미지 확인을 담당하는 온라인 ANPR 대시보드는 비밀번호 또는 보안 조치 없이 인터넷에 노출된 채 방치되어 있었다.  즉, 누구나 웹 브라우저를 통해 대시보드에 액세스하여 자동차의 이동 경로를 훔쳐보거나 기록을 오염시키거나 카메라 시스템 설정을 덮어쓸 수 있었다는 뜻이다. ANPR은 복잡한 시스템이다. 자동으로 자동차의 번호판을 캡처하는 도로 카메라와 이를 정부 데이터베이스와 상호연결해 검색하는 시스템으로 구성돼 있다. 경찰이 과속을 단속하고 범죄와 테러를 억제하는 데 유용하다. ANPR 시스템은 또한 정부에 상당함 수익을 발생시킨다. 코얼파이어(Coalfire)의 경영 수석 앤디 바래트는 “ANPR은 최대 200만 파운드의 벌금을 부과한다. 구조적으로 과속단속 경찰보다 훨씬 효율적인 중요한 시스템이다. 이 시스템에 대한 호불호는 가지고 있는 자동차의 출력에 따라 갈리곤 한다”라고 말했다. 의회와 사우스 요크셔 경찰은 데이터 유출 피해자가 없었다고 밝혔지만 전문가들은 의문을 품고 있다. 사이버GRX의 CISO 데이브 스테이플턴은 “우선, 누군가 부적절하게 액세스했거나 이 데이터를 유출했는지 여부를 확인하는 그들의 능력을 신뢰할 수 있는지 확신이 서지 않는다. 지금까지 그들의 대처를 감안할 때 더욱 그렇다”라고 지적했다. 그는 이어 “둘째, 데이터가 유출되고 다크 웹에서 판매되거나 소셜 엔지니어링 목적으로 사용된다면 누가 언제 피해를 입을지 알 수 없다”...

영국 ANPR 감시 카메라 교통 카메라 프라이버시 데이터 유출

2020.06.17

차량 번호를 감지해 차량의 흐름과 이동을 모니터링하는 등의 공공 감시 시스템은 프라이버시와 데이터 보호라는 쉽지 않은 과제를 해결해야 한다. 최근 영국에서 발생한 ANPR 시스템의 데이터 누출 사건에서 배울 수 있는 교훈을 살펴본다.    영국 셰필드 주정부의 거대한 ANPR 시스템에서 약 860만 개의 운전자 기록이 유출됐다고 2020년 4월 28일, 더 레지스터(The Register)가 보도했다.  보도에 따르면 카메라 관리, 자동차 번호판 추적, 자동차 이미지 확인을 담당하는 온라인 ANPR 대시보드는 비밀번호 또는 보안 조치 없이 인터넷에 노출된 채 방치되어 있었다.  즉, 누구나 웹 브라우저를 통해 대시보드에 액세스하여 자동차의 이동 경로를 훔쳐보거나 기록을 오염시키거나 카메라 시스템 설정을 덮어쓸 수 있었다는 뜻이다. ANPR은 복잡한 시스템이다. 자동으로 자동차의 번호판을 캡처하는 도로 카메라와 이를 정부 데이터베이스와 상호연결해 검색하는 시스템으로 구성돼 있다. 경찰이 과속을 단속하고 범죄와 테러를 억제하는 데 유용하다. ANPR 시스템은 또한 정부에 상당함 수익을 발생시킨다. 코얼파이어(Coalfire)의 경영 수석 앤디 바래트는 “ANPR은 최대 200만 파운드의 벌금을 부과한다. 구조적으로 과속단속 경찰보다 훨씬 효율적인 중요한 시스템이다. 이 시스템에 대한 호불호는 가지고 있는 자동차의 출력에 따라 갈리곤 한다”라고 말했다. 의회와 사우스 요크셔 경찰은 데이터 유출 피해자가 없었다고 밝혔지만 전문가들은 의문을 품고 있다. 사이버GRX의 CISO 데이브 스테이플턴은 “우선, 누군가 부적절하게 액세스했거나 이 데이터를 유출했는지 여부를 확인하는 그들의 능력을 신뢰할 수 있는지 확신이 서지 않는다. 지금까지 그들의 대처를 감안할 때 더욱 그렇다”라고 지적했다. 그는 이어 “둘째, 데이터가 유출되고 다크 웹에서 판매되거나 소셜 엔지니어링 목적으로 사용된다면 누가 언제 피해를 입을지 알 수 없다”...

2020.06.17

'싱가포르 현혈자 4,300명 개인정보 유출' SRC 조사 중

싱가포르 적십자(SRC) 웹 사이트가 해킹돼 4,297명의 개인 데이터가 유출됐다.   현재 조사가 진행 중이며, 성명서에 따르면 웹 개발자가 헌혈자 모집을 지원하는 웹사이트에 무단 접근 문제를 제기했을 때 SRC는 데이터 위반 사실을 알게 됐다. SRC는 "웹 사이트에 헌혈에 관심 있다고 등록한 4,297명의 개인 정보(이름, 전화번호, 이메일, 혈액형 신고 날짜, 선호 약속 날짜/시간 및 헌혈 장소)가 침해되었다"라고 밝혔다.  현재 조사가 진행 중이지만 다른 정보는 훼손되지 않은 것으로 보인다. 게다가 올해 초 외국의 한 취약점 발견 사이버 보안 전문가가 보안 결함을 발견했을 때 약 80만 명 헌혈자의 개인 데이터에 누군가가 접근한 것으로 파악됐다.   당시 인터넷에 연결된 서버의 비보안 데이터베이스에서 개인 데이터가 발견되었다. 서버 관리를 책임지는 독립적인 공급 업체인 시큐 솔루션 그룹(Secur Solutions Group)은 HSA(Health Sciences Authority)와 긴밀하게 협력하여 이 사건을 조사했다. 이 사건에서 다른 데이터베이스는 영향을 받지 않았고 HSA의 자체 시스템도 손상되지 않은 것처럼 보였다. 경찰은 보고서를 작성해 HAS와 개인정보보호위원회에 제출했다. SRC에 따르면 이 사건의 원인은 단순히 관리자 암호가 취약해 웹 사이트를 취약하게 만들었기 때문일 수 있다. SRC는 "웹 사이트의 무단 접근을 막을 방안이 마련됐다"라며 "승인되지 않은 접근의 성격을 판단하기 위한 조사가 진행되는 동안, 예비 결과는 약한 관리자 암호로 인해 웹 사이트가 무단 접근에 취약해질 수 있음을 보여준다"라고 밝혔다.  예방 조치로 SRC는 웹 사이트의 인터넷 연결을 끊어지면 임시 웹 사이트가 다른 웹 사이트에 대한 관련 링크와 함께 배치되었다고 전했다. 모든 관련 보안 검사가 완료되면 웹 사이트는 다시 열린다. 또한 사건을 조사하는...

데이터 유출 데이터베이스 해킹 개인정보 사이버보안 적십자 헌혈 SRC 싱가포르 적십자

2019.05.20

싱가포르 적십자(SRC) 웹 사이트가 해킹돼 4,297명의 개인 데이터가 유출됐다.   현재 조사가 진행 중이며, 성명서에 따르면 웹 개발자가 헌혈자 모집을 지원하는 웹사이트에 무단 접근 문제를 제기했을 때 SRC는 데이터 위반 사실을 알게 됐다. SRC는 "웹 사이트에 헌혈에 관심 있다고 등록한 4,297명의 개인 정보(이름, 전화번호, 이메일, 혈액형 신고 날짜, 선호 약속 날짜/시간 및 헌혈 장소)가 침해되었다"라고 밝혔다.  현재 조사가 진행 중이지만 다른 정보는 훼손되지 않은 것으로 보인다. 게다가 올해 초 외국의 한 취약점 발견 사이버 보안 전문가가 보안 결함을 발견했을 때 약 80만 명 헌혈자의 개인 데이터에 누군가가 접근한 것으로 파악됐다.   당시 인터넷에 연결된 서버의 비보안 데이터베이스에서 개인 데이터가 발견되었다. 서버 관리를 책임지는 독립적인 공급 업체인 시큐 솔루션 그룹(Secur Solutions Group)은 HSA(Health Sciences Authority)와 긴밀하게 협력하여 이 사건을 조사했다. 이 사건에서 다른 데이터베이스는 영향을 받지 않았고 HSA의 자체 시스템도 손상되지 않은 것처럼 보였다. 경찰은 보고서를 작성해 HAS와 개인정보보호위원회에 제출했다. SRC에 따르면 이 사건의 원인은 단순히 관리자 암호가 취약해 웹 사이트를 취약하게 만들었기 때문일 수 있다. SRC는 "웹 사이트의 무단 접근을 막을 방안이 마련됐다"라며 "승인되지 않은 접근의 성격을 판단하기 위한 조사가 진행되는 동안, 예비 결과는 약한 관리자 암호로 인해 웹 사이트가 무단 접근에 취약해질 수 있음을 보여준다"라고 밝혔다.  예방 조치로 SRC는 웹 사이트의 인터넷 연결을 끊어지면 임시 웹 사이트가 다른 웹 사이트에 대한 관련 링크와 함께 배치되었다고 전했다. 모든 관련 보안 검사가 완료되면 웹 사이트는 다시 열린다. 또한 사건을 조사하는...

2019.05.20

블로그 | 소비자 데이터 수집에 신중해야 할 시점

수집하지 않는다면 털릴 일도 없다. 고객 데이터를 보호하는 가장 좋은 방법은 아예 수집하지 않는 것일 수 있는 이유다. 모두 모으고 싶은 유혹에 사로잡힐 수 있지만 대부분의 기업이 마케팅에 필요한 데이터는 그리 많지 않을 수 있다.  IDC의 마케팅 및 세일즈 기술 연구 디렉터 게리 머레이는 "소비자 브랜드 기업에게 종종 듣는 이야기 중 하나는 좀더 신중해지고 있다는 것이다. 소비자에게 대해 무엇을 알고 싶은지를 다시 재고하고 있다"라고 말했다.  그는 이어 "대부분의 상업적 목적과 관련해 사실 그리 많은 것을 알 필요가 없다. 때로는 모르는 편이 더 나은 경우도 있다"라고 덧붙였다.  2015 옵트인 리스트에서 유래한 것으로 추정되는 총 2억 건의 직접 마케팅 리스트 누출 사건이 소비자 데이터 수집 문제에 대한 주의를 환기시키고 있다. 주소와 전화, 결혼 상태, 수입, 금융 순자산, 인종, 성별, 종교 등의 42개 필드가 포함된 이 데이터가 그레이 마켓에서 회람되고 있기 때문이다. 익스페리안(Experian)이 수집한 것으로 관측되지만(익스페리안은 부인함), 전세계 수천 명의 직접 마케터가 이 데이터에 접근할 수 있었기 때문에 누출 지점이 어디인지는 불명확한 상태다.  이 데이터 누출 사건은 사회 보장 번호, 운전 면허증 정보, 여권 번호, 신용카드 번호가 포함되지 않았기에 다른 사건만큼 민감하게 취급되지 않는다. 그러나 다른 정보와 결합돼 활용될 가능성을 배제할 수 없는 상태다. 누출 사건은 과거에 이미 보도됐지만, 실제 파일은 최근 공개됐다.    파일명에는 모두 'Experian'이라는 단어가 들어 있었으며 필드는 서드파티 기업인 데이터 몬스터(Data Monster)가 광고하는 다이렉트 마케팅 리스트와 일치했다. 익스페리안은 그러나 자체 조사 결과 자사의 데이터가 아니라고 이메일을 통해 밝혔다. 데이터 몬스터 또한 해당 리스트가 수천 곳의...

데이터 유출 데이터 누출 데이터 수집

2019.05.15

수집하지 않는다면 털릴 일도 없다. 고객 데이터를 보호하는 가장 좋은 방법은 아예 수집하지 않는 것일 수 있는 이유다. 모두 모으고 싶은 유혹에 사로잡힐 수 있지만 대부분의 기업이 마케팅에 필요한 데이터는 그리 많지 않을 수 있다.  IDC의 마케팅 및 세일즈 기술 연구 디렉터 게리 머레이는 "소비자 브랜드 기업에게 종종 듣는 이야기 중 하나는 좀더 신중해지고 있다는 것이다. 소비자에게 대해 무엇을 알고 싶은지를 다시 재고하고 있다"라고 말했다.  그는 이어 "대부분의 상업적 목적과 관련해 사실 그리 많은 것을 알 필요가 없다. 때로는 모르는 편이 더 나은 경우도 있다"라고 덧붙였다.  2015 옵트인 리스트에서 유래한 것으로 추정되는 총 2억 건의 직접 마케팅 리스트 누출 사건이 소비자 데이터 수집 문제에 대한 주의를 환기시키고 있다. 주소와 전화, 결혼 상태, 수입, 금융 순자산, 인종, 성별, 종교 등의 42개 필드가 포함된 이 데이터가 그레이 마켓에서 회람되고 있기 때문이다. 익스페리안(Experian)이 수집한 것으로 관측되지만(익스페리안은 부인함), 전세계 수천 명의 직접 마케터가 이 데이터에 접근할 수 있었기 때문에 누출 지점이 어디인지는 불명확한 상태다.  이 데이터 누출 사건은 사회 보장 번호, 운전 면허증 정보, 여권 번호, 신용카드 번호가 포함되지 않았기에 다른 사건만큼 민감하게 취급되지 않는다. 그러나 다른 정보와 결합돼 활용될 가능성을 배제할 수 없는 상태다. 누출 사건은 과거에 이미 보도됐지만, 실제 파일은 최근 공개됐다.    파일명에는 모두 'Experian'이라는 단어가 들어 있었으며 필드는 서드파티 기업인 데이터 몬스터(Data Monster)가 광고하는 다이렉트 마케팅 리스트와 일치했다. 익스페리안은 그러나 자체 조사 결과 자사의 데이터가 아니라고 이메일을 통해 밝혔다. 데이터 몬스터 또한 해당 리스트가 수천 곳의...

2019.05.15

칼럼 | 페이스북의 가상비서, '신뢰'가 가능한가?

페이스북이 자사의 세 번째 가상비서를 개발하고 있다. 규모를 생각하면 그리 놀랄 만한 일이 아니다. 시가 총액 기준 세계 8대 기업 목록 중 7곳은 가상비서 분야 주요 기업과 겹친다. 마이크로소프트, 애플, 아마존, 알파벳(구글), 페이스북, 알리바바, 텐센트 등이다.  페이스북은 세계에서 손꼽히는 AI 연구소를 운영하고 있기도 하다. 이 회사에 R&D에 쓰는 투자액은 연간 80억 달러에 이른다. 이미 오랫 동안 AI 가상비서에 대해 연구해왔으며 언젠가는 기업 방화벽 안쪽으로 침투할 방안을 강구해낼 가능성이 높다. 그러나 그럴 수 있을까? 그래도 될까? M 실험 약 1년 전 페이스북은 '페이스북 M'이라는 실험적 제품의 중단을 발표했다. 페이스북 M은 미 캘리포니아 지역의 주민 약 2,000명에게 메신저 플랫폼을 통해 약 2년 반 동안 서비스된 가상비서였다.  페이스북 M의 특징 중 하나는 AI에 더해 인간의 손길이 더해졌다는 것이다. AI가 처리할 수 없는 질문에 대해서는 인간 팀원이 개입했다. 또 메신저 내 채팅을 모니터링(도청)하고 감상할 영화나 화상통화할 사람을 제안하는 기능도 가지고 있었다. 회의 알람을 생성하고 미팅 약속을 만들거나 우버(또는 리프트)를 예약하는 것도 가능했다.  즉 M은 메신저에서 오고가는 모든 단어를 지속적으로 감시(?)하고 제안하는 기능을 특징으로 했다.  M 서비스를 폐쇄한 후 페이스북은 감시의 대상을 바꿨다. 키보드로 입력한 단어를 모니터링하는 것에서 음성으로 발화되는 단어를 모니터링하는 것이다. '페이스북 포탈'이라는 스마트 디스플레이다. 그리고 이번 주 CNBC를 비롯한 일련의 미디어는 페이스북이 세 번째 가상비서를 개발하고 있다고 보도했다.  페이스북은 아마존 알렉사나 구글 어시스턴트와 같은 다목적 플랫폼이 아닌 자체 하드웨어 동작하는 비서를 개발한다는 점에서 다소 다르다. 그리고 이는 새로운 지적을 야기시키고 있다. 페이스북...

데이터 유출 프라이버시 신뢰 가상비서 페이스북 포탈

2019.04.23

페이스북이 자사의 세 번째 가상비서를 개발하고 있다. 규모를 생각하면 그리 놀랄 만한 일이 아니다. 시가 총액 기준 세계 8대 기업 목록 중 7곳은 가상비서 분야 주요 기업과 겹친다. 마이크로소프트, 애플, 아마존, 알파벳(구글), 페이스북, 알리바바, 텐센트 등이다.  페이스북은 세계에서 손꼽히는 AI 연구소를 운영하고 있기도 하다. 이 회사에 R&D에 쓰는 투자액은 연간 80억 달러에 이른다. 이미 오랫 동안 AI 가상비서에 대해 연구해왔으며 언젠가는 기업 방화벽 안쪽으로 침투할 방안을 강구해낼 가능성이 높다. 그러나 그럴 수 있을까? 그래도 될까? M 실험 약 1년 전 페이스북은 '페이스북 M'이라는 실험적 제품의 중단을 발표했다. 페이스북 M은 미 캘리포니아 지역의 주민 약 2,000명에게 메신저 플랫폼을 통해 약 2년 반 동안 서비스된 가상비서였다.  페이스북 M의 특징 중 하나는 AI에 더해 인간의 손길이 더해졌다는 것이다. AI가 처리할 수 없는 질문에 대해서는 인간 팀원이 개입했다. 또 메신저 내 채팅을 모니터링(도청)하고 감상할 영화나 화상통화할 사람을 제안하는 기능도 가지고 있었다. 회의 알람을 생성하고 미팅 약속을 만들거나 우버(또는 리프트)를 예약하는 것도 가능했다.  즉 M은 메신저에서 오고가는 모든 단어를 지속적으로 감시(?)하고 제안하는 기능을 특징으로 했다.  M 서비스를 폐쇄한 후 페이스북은 감시의 대상을 바꿨다. 키보드로 입력한 단어를 모니터링하는 것에서 음성으로 발화되는 단어를 모니터링하는 것이다. '페이스북 포탈'이라는 스마트 디스플레이다. 그리고 이번 주 CNBC를 비롯한 일련의 미디어는 페이스북이 세 번째 가상비서를 개발하고 있다고 보도했다.  페이스북은 아마존 알렉사나 구글 어시스턴트와 같은 다목적 플랫폼이 아닌 자체 하드웨어 동작하는 비서를 개발한다는 점에서 다소 다르다. 그리고 이는 새로운 지적을 야기시키고 있다. 페이스북...

2019.04.23

"2018년 유출된 데이터는 총 50억 개, 전년 대비 1/3 이상 감소" RBA 보고서

RBA(Risk Based Security)의 보고서에 따르면 누출 데이터 수가 감소하는 경향이 나타났다. GDPR과 같은 개인 정보 보호 규정이 효과를 발휘하고 있는지 여부는 아직 불확실하다.  이 보안 기관은 2018년 누출된 민감한 각종 기록 데이터가 2017년의 79억 개에서 1/3 이상 감소한 50억 개인 것으로 조사됐다고 밝혔다.  보고서에 따르면 또 작년 데이터 유출 사건은 총 6,500건이었으며 이 중 2/3가 비즈니스 분야에서 발생했다. 정부 부문은 13.9%, 의료 부문은 13.4%, 교육 부문은 6.5%를 차지했다.  가장 큰 누출 사건은 인도의 국가 ID 데이터베이스가 포함된 2018년 3월 보고된 사건이었다. 국가 ID 번호, 주소, 전화번호, 이메일 주소, 우편 번호, 사진 등을 포함해 12억 명의 인도 국민 정보가 누출됐다.  다른 주요 침해 사건으로는 해커가 메리어트의 스타우드 게스트 예약 데이터베이스에 접근해 3억 3,300만 건의 로열티 프로그램 기록과 화주 호텔 그룹의 2억 4,000만 고객 기록을 획득한 사례가 있었다.  이 밖에 1억 건 이상의 민감한 기록이 누출된 사건은 작년 12건이 발생했으며, 이들은 전체 데이터 누출의 74%를 차지한 것으로 분석됐다.  RBS는 데이터 유출의 가장 일반적인 원인은 해킹으로, 작년 4,508건의 사건과 관련 있었다. 그 다음으로는 스키밍 (453건), 웹 관련 누출 (268건), 피싱 (177건) 및 맬웨어 (160건) 등이 있었다.  그러나 침해 사건별 유출 기록 수를 살펴본 결과는 다소 달랐다. 웹 카테고리가 39%, 해킹이 28%, 사기가 25%, 데이터 오처리가 7%였다. RBS 측은 ""2017년 이전에는 해킹이 가장 흔한 침입 유형이었으며 노출 된 레코드 수에 가장 많이 기여했다. 그러나 그 추세는 2017년부터 웹이 누출 기록 수 측면에서 1위를 차지하지 시작했다"라고 전...

데이터 유출 누출 침해 GDPR RBA

2019.02.18

RBA(Risk Based Security)의 보고서에 따르면 누출 데이터 수가 감소하는 경향이 나타났다. GDPR과 같은 개인 정보 보호 규정이 효과를 발휘하고 있는지 여부는 아직 불확실하다.  이 보안 기관은 2018년 누출된 민감한 각종 기록 데이터가 2017년의 79억 개에서 1/3 이상 감소한 50억 개인 것으로 조사됐다고 밝혔다.  보고서에 따르면 또 작년 데이터 유출 사건은 총 6,500건이었으며 이 중 2/3가 비즈니스 분야에서 발생했다. 정부 부문은 13.9%, 의료 부문은 13.4%, 교육 부문은 6.5%를 차지했다.  가장 큰 누출 사건은 인도의 국가 ID 데이터베이스가 포함된 2018년 3월 보고된 사건이었다. 국가 ID 번호, 주소, 전화번호, 이메일 주소, 우편 번호, 사진 등을 포함해 12억 명의 인도 국민 정보가 누출됐다.  다른 주요 침해 사건으로는 해커가 메리어트의 스타우드 게스트 예약 데이터베이스에 접근해 3억 3,300만 건의 로열티 프로그램 기록과 화주 호텔 그룹의 2억 4,000만 고객 기록을 획득한 사례가 있었다.  이 밖에 1억 건 이상의 민감한 기록이 누출된 사건은 작년 12건이 발생했으며, 이들은 전체 데이터 누출의 74%를 차지한 것으로 분석됐다.  RBS는 데이터 유출의 가장 일반적인 원인은 해킹으로, 작년 4,508건의 사건과 관련 있었다. 그 다음으로는 스키밍 (453건), 웹 관련 누출 (268건), 피싱 (177건) 및 맬웨어 (160건) 등이 있었다.  그러나 침해 사건별 유출 기록 수를 살펴본 결과는 다소 달랐다. 웹 카테고리가 39%, 해킹이 28%, 사기가 25%, 데이터 오처리가 7%였다. RBS 측은 ""2017년 이전에는 해킹이 가장 흔한 침입 유형이었으며 노출 된 레코드 수에 가장 많이 기여했다. 그러나 그 추세는 2017년부터 웹이 누출 기록 수 측면에서 1위를 차지하지 시작했다"라고 전...

2019.02.18

2019년 주시해야 할 데이터 유출 위험 요소 13가지

어느 조직에서든 데이터 유출은 불가피한 사건이다. 문제는 이런 데이터 유출이 어떤 형태로 발생할 것인가이다. 공격자가 어떤 루트를 통해 액세스를 확보할 것이며, 어떤 정보를 훔치고 어떤 피해를 야기할 것인가? 공격자의 행동 동기는 무엇인가? 본지가 보안 업계의 전문가들을 만나 2019년 사이버 범죄의 ‘왜, 언제, 어떻게’에 대한 예측을 들어 보았다.   1. 생체 인증 방식을 대상으로 한 해킹 증가 생체 인식 기술을 이용한 신원 인증 방식이 널리 사용됨에 따라 이를 표적으로 삼는 해커들도 늘어날 전망이다. 익스페리언(Experian)의 자체 데이터 유출산업 예측(Data Breach Industry Forecast) 보고서에 따르면, 터치 ID 센서, 안면 인식 및 패스코드 등의 취약점을 노출시키는 해킹 사건이 발생할 가능성이 높다. 이 보고서는 "해커들은 생체 인증 방식을 사용하는 하드웨어 및 기기뿐 아니라 데이터 컬렉션 및 스토리지의 취약점도 공략할 것이다. 생체인증 시스템을 해킹하거나 생체 데이터를 스푸핑(spoofing)하는 식의 대규모 해킹 사건이 일어나는 것은 거의 시간 문제다. 특히 헬스케어 산업, 금융 기관 및 정부 기관이 가장 위험하다"고 전했다.   2. 차량 해킹에 따른 인명 피해 우려 네트워크에 연결된 차량을 해킹해 탈취하는 것이 얼마든지 가능하다는 사실은 이미 증명된 바 있다. 이를 통해 해커가 자동차 엔진을 끌 수 있을 뿐 아니라 잠김 방지 브레이크 시스템, 에어백 등 안전 장치를 해제해 버리는 것도 가능하다. 로그리듬 랩스(LogRhythm Labs)의 CISO 제임스 카더는 "무인 자동차가 상용화되고, 네트워크에 연결된 차량이 늘어나면서 이들을 노리는 해커들도 늘어날 것"이라고 예상했다.   3. 인터넷 전체를 대상으로 한 인질극 2019년에는 유례 없이 큰 규모의 분산 서비스 공격(디도스 공격)을 시도하는 핵티비스트 단체나 국가 집단이 생겨날 것...

데이터 유출 해킹 위험 사물인터넷 2019년

2018.12.24

어느 조직에서든 데이터 유출은 불가피한 사건이다. 문제는 이런 데이터 유출이 어떤 형태로 발생할 것인가이다. 공격자가 어떤 루트를 통해 액세스를 확보할 것이며, 어떤 정보를 훔치고 어떤 피해를 야기할 것인가? 공격자의 행동 동기는 무엇인가? 본지가 보안 업계의 전문가들을 만나 2019년 사이버 범죄의 ‘왜, 언제, 어떻게’에 대한 예측을 들어 보았다.   1. 생체 인증 방식을 대상으로 한 해킹 증가 생체 인식 기술을 이용한 신원 인증 방식이 널리 사용됨에 따라 이를 표적으로 삼는 해커들도 늘어날 전망이다. 익스페리언(Experian)의 자체 데이터 유출산업 예측(Data Breach Industry Forecast) 보고서에 따르면, 터치 ID 센서, 안면 인식 및 패스코드 등의 취약점을 노출시키는 해킹 사건이 발생할 가능성이 높다. 이 보고서는 "해커들은 생체 인증 방식을 사용하는 하드웨어 및 기기뿐 아니라 데이터 컬렉션 및 스토리지의 취약점도 공략할 것이다. 생체인증 시스템을 해킹하거나 생체 데이터를 스푸핑(spoofing)하는 식의 대규모 해킹 사건이 일어나는 것은 거의 시간 문제다. 특히 헬스케어 산업, 금융 기관 및 정부 기관이 가장 위험하다"고 전했다.   2. 차량 해킹에 따른 인명 피해 우려 네트워크에 연결된 차량을 해킹해 탈취하는 것이 얼마든지 가능하다는 사실은 이미 증명된 바 있다. 이를 통해 해커가 자동차 엔진을 끌 수 있을 뿐 아니라 잠김 방지 브레이크 시스템, 에어백 등 안전 장치를 해제해 버리는 것도 가능하다. 로그리듬 랩스(LogRhythm Labs)의 CISO 제임스 카더는 "무인 자동차가 상용화되고, 네트워크에 연결된 차량이 늘어나면서 이들을 노리는 해커들도 늘어날 것"이라고 예상했다.   3. 인터넷 전체를 대상으로 한 인질극 2019년에는 유례 없이 큰 규모의 분산 서비스 공격(디도스 공격)을 시도하는 핵티비스트 단체나 국가 집단이 생겨날 것...

2018.12.24

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6