Offcanvas

���������������������������������������������������������������������������������

사이버공격, 진짜 목표는 ‘대기업’이다 <F-시큐어>

지난 2년간 사이버공격은 단순히 소비자만을 대상으로 한 것이 아니었다. 이러한 공격은 대기업에도 위협이 되고 있다. 이는 시드니에서 열린 CeBIT에서 기조연설자로 나선 F-시큐어(F-Secure) 최고 연구 책임자인 미코 하이포넨의 분석이다.    그는 “랜섬웨어 때문에 공장이 중단되는 것을 보았다. 병원과 의료시스템을 겨냥한 공격도 목격했고, 심지어 도시 전체를 목표로 삼는 것도 보았다”라며 "랜섬웨어는 매우 큰 문제"라고 밝혔다.  가장 최근의 사례는 호주 빅토리아주의 깁스랜드 헬스 얼라이언스(Gippsland Health Alliance)와 사우스웨스트 얼라이언스 오브 루럴헬스(South West Alliance of Rural Health)에 발생한 랜섬웨어 공격으로, 재무 관리를 포함한 여러 시스템에 대한 접근이 차단되었다. 지금까지 환자 데이터에 접근했다는 보고는 없었다. 그러나 하이포넨에 따르면, 환자 데이터는 글로벌 보험사인 AIG가 제시한 사이버보안 보험료 지불 목록 중 첫 번째 항목은 아니었다. 유럽, 중동 및 아프리카 지역에서 사이버보안 보험료를 지불한 가장 큰 원인은 업무용 이메일 침해였다. “이는 오늘날 사이버보안 보험료 지불의 가장 큰 원인이며 우리 모두 이 문제를 알고 있다. 누군가가 돈을 지불하지 말아야 할 장소에 돈을 지불하도록 속이려고 조직 내 재무 담당자에게 이메일을 보내는 문제 말이다. 그리고 이것은 새로운 문제가 아니다”라고 그는 지적했다. 또한 하이포넨은 사물인터넷(IoT) 혁명에 관해 언급했으며, 이로 인해 모든 가정용 기기, 심지어 단순해 보이는 토스터까지도 온라인 기기가 될 수 있다고 말했다. 하이포넨은 "실제로 토스터에 인터넷이 필요하지 않지만 토스터 같은 기기도 결국엔 인터넷으로 연결될 것이다"라며 “토스터는 왜 인터넷으로 연결될까? 데이터가 돈이 되는 세상에서는 모든 기기의 모든 제조사는 데이터를 수집하려고 한다. 고객의 위치, 거주 도시, 광고 위치를 즉시 알 수 있...

이메일 사이버보안 보험 AIG F-시큐어 커넥티드 리눅스 사물인터넷 스마트홈 사이버공격 토스터

2019.10.30

지난 2년간 사이버공격은 단순히 소비자만을 대상으로 한 것이 아니었다. 이러한 공격은 대기업에도 위협이 되고 있다. 이는 시드니에서 열린 CeBIT에서 기조연설자로 나선 F-시큐어(F-Secure) 최고 연구 책임자인 미코 하이포넨의 분석이다.    그는 “랜섬웨어 때문에 공장이 중단되는 것을 보았다. 병원과 의료시스템을 겨냥한 공격도 목격했고, 심지어 도시 전체를 목표로 삼는 것도 보았다”라며 "랜섬웨어는 매우 큰 문제"라고 밝혔다.  가장 최근의 사례는 호주 빅토리아주의 깁스랜드 헬스 얼라이언스(Gippsland Health Alliance)와 사우스웨스트 얼라이언스 오브 루럴헬스(South West Alliance of Rural Health)에 발생한 랜섬웨어 공격으로, 재무 관리를 포함한 여러 시스템에 대한 접근이 차단되었다. 지금까지 환자 데이터에 접근했다는 보고는 없었다. 그러나 하이포넨에 따르면, 환자 데이터는 글로벌 보험사인 AIG가 제시한 사이버보안 보험료 지불 목록 중 첫 번째 항목은 아니었다. 유럽, 중동 및 아프리카 지역에서 사이버보안 보험료를 지불한 가장 큰 원인은 업무용 이메일 침해였다. “이는 오늘날 사이버보안 보험료 지불의 가장 큰 원인이며 우리 모두 이 문제를 알고 있다. 누군가가 돈을 지불하지 말아야 할 장소에 돈을 지불하도록 속이려고 조직 내 재무 담당자에게 이메일을 보내는 문제 말이다. 그리고 이것은 새로운 문제가 아니다”라고 그는 지적했다. 또한 하이포넨은 사물인터넷(IoT) 혁명에 관해 언급했으며, 이로 인해 모든 가정용 기기, 심지어 단순해 보이는 토스터까지도 온라인 기기가 될 수 있다고 말했다. 하이포넨은 "실제로 토스터에 인터넷이 필요하지 않지만 토스터 같은 기기도 결국엔 인터넷으로 연결될 것이다"라며 “토스터는 왜 인터넷으로 연결될까? 데이터가 돈이 되는 세상에서는 모든 기기의 모든 제조사는 데이터를 수집하려고 한다. 고객의 위치, 거주 도시, 광고 위치를 즉시 알 수 있...

2019.10.30

M&A 혼란을 틈탄 사이버공격 주의해야 <ACSC>

호주 사이버보안 센터에 따르면, 사이버범죄자들이 M&A라는 변화의 시기를 노리는 것으로 파악됐다.    호주 사이버보안 센터(ACSC)는 인수 및 합병 과정에 있는 한 조직에 사이버보안 자문을 제공하며 이같은 조언을 전했다. 이러한 변화의 시기는 "정상적인 비즈니스 흐름에 중대한 격변과 혼란을 야기하며 사이버범죄자들이 이를 노린다"고 센터는 전했다. 대대적인 변화가 진행되는 동안 혼란은 두 회사의 임직원이 서로 알게 되고, 데이터가 마이그레이션되며, 새로운 연결이 만들어지고, 사용 권한이 설정되며, 다양한 보안 상태가 수정되면서 사이버범죄자에게 기회를 창출한다. ACSC는 직원들이 불확실한 환경, 모호한 보고 체계, 시간 압박의 환경에서 조직이 운영돼 우왕좌왕할 수 있다고 덧붙였다.  센터는 이밖에 ‘인적 요소’도 가장 큰 위험 중 하나로 꼽았다. "주요 조직 변화 중에 직원들은 알지 못하는 사람들로부터 데이터, 지불 또는 접근 요청을 승인해야 한다는 압박을 받게 되는데 문제는 이들의 신원과 권한을 쉽게 확인할 수 없다는 데 있다. 공격자들은 업무용 이메일 손상 및 CXO 위장 같은 기술을 성공적으로 사용할 가능성을 높이기 위해 이러한 압박감을 악용한다”라고 센터는 말했다.  직원은 자신이 제기한 위험에 대해 적절하게 설명해야 하며 요청자의 신원(직접 또는 알려진 전화번호를 통해)과 권한을 확인할 수 있을 때까지 접근, 지불 또는 데이터에 대한 요청을 거부하도록 해야 한다. ACSC는 가능한 한 서둘러 조직을 구성해야 하며, 직원은 자신이 누구와 함께 일하는지 알고 있어야 한다고 밝혔다. ACSC의 조언은 정부기구(MoG) 변경에도 적용되며 APSC(Australian Public Service Commission) MoG 지침을 보완하기도 한다. "사이버범죄자들은 중대한 변화가 혼란을 가져오고 랜섬웨어, 업무용 이메일 손상, 급여 사기, 피싱 캠페인 같은 소셜 엔지니어링 공격으로 쉽게 직원을 속이...

인수 ACSC 사칭 CxO 권한 합병 통합 이메일 정부 M&A 호주 사이버보안 센터

2019.08.02

호주 사이버보안 센터에 따르면, 사이버범죄자들이 M&A라는 변화의 시기를 노리는 것으로 파악됐다.    호주 사이버보안 센터(ACSC)는 인수 및 합병 과정에 있는 한 조직에 사이버보안 자문을 제공하며 이같은 조언을 전했다. 이러한 변화의 시기는 "정상적인 비즈니스 흐름에 중대한 격변과 혼란을 야기하며 사이버범죄자들이 이를 노린다"고 센터는 전했다. 대대적인 변화가 진행되는 동안 혼란은 두 회사의 임직원이 서로 알게 되고, 데이터가 마이그레이션되며, 새로운 연결이 만들어지고, 사용 권한이 설정되며, 다양한 보안 상태가 수정되면서 사이버범죄자에게 기회를 창출한다. ACSC는 직원들이 불확실한 환경, 모호한 보고 체계, 시간 압박의 환경에서 조직이 운영돼 우왕좌왕할 수 있다고 덧붙였다.  센터는 이밖에 ‘인적 요소’도 가장 큰 위험 중 하나로 꼽았다. "주요 조직 변화 중에 직원들은 알지 못하는 사람들로부터 데이터, 지불 또는 접근 요청을 승인해야 한다는 압박을 받게 되는데 문제는 이들의 신원과 권한을 쉽게 확인할 수 없다는 데 있다. 공격자들은 업무용 이메일 손상 및 CXO 위장 같은 기술을 성공적으로 사용할 가능성을 높이기 위해 이러한 압박감을 악용한다”라고 센터는 말했다.  직원은 자신이 제기한 위험에 대해 적절하게 설명해야 하며 요청자의 신원(직접 또는 알려진 전화번호를 통해)과 권한을 확인할 수 있을 때까지 접근, 지불 또는 데이터에 대한 요청을 거부하도록 해야 한다. ACSC는 가능한 한 서둘러 조직을 구성해야 하며, 직원은 자신이 누구와 함께 일하는지 알고 있어야 한다고 밝혔다. ACSC의 조언은 정부기구(MoG) 변경에도 적용되며 APSC(Australian Public Service Commission) MoG 지침을 보완하기도 한다. "사이버범죄자들은 중대한 변화가 혼란을 가져오고 랜섬웨어, 업무용 이메일 손상, 급여 사기, 피싱 캠페인 같은 소셜 엔지니어링 공격으로 쉽게 직원을 속이...

2019.08.02

칼럼 | 기존 기업의 디지털 성숙도 제고에 대한 고찰

디지털 성숙도: 기술 인프라의 발달이 가져올 새로운 기회를 포착하고 기업 내부 또는 외부에 적용하여 기업의 경쟁력을 효율적으로 선도할 수 있도록 구성원, 기업 문화, 조직구조, 업무수행 등이 조율된 수준 디지털 변혁(digital disruption) 시기에 디지털 기술이 기업의 미래에 가져올 영향력에 대해 의심하는 사람은 더 이상 없다. 기존 전통적인 사업 영역이 디지털 기술로 무장한 새로운 스타트업에게 점령당한 사례를 언급한다는 것 역시 더 이상 필요 없다. 그리고 그러한 세계적인 추세가 대한민국도 예외는 아니어서 이미 여러 경제 분야에서 디지털 스타트업과 기존 기업이 충돌하고 있다. 완전히 디지털로 무장한 새로운 스타트업에게 기존 시장을 내주지 않으려면, 더 나아가 변화하는 세상에서 경쟁력을 유지하려면 기존 기업은 어떠한 전략을 선택해야 하는가? 한마디로 기업은 디지털 성숙도를 높여야 한다. 보수적이고 계층구조적인 기존 기업이 외부에서 역량 있는 경영자를 영입하는 것만으로 기업 전체를 변화시키기엔 역부족이다. 많은 사례에서 기업의 변화는 톱다운 방식보다 바톰업 방식이 정착될 경우 더 오래가고 영향력이 큰 것으로 확인되었다. 그리고 그러한 변화의 핵심은 조직의 구성원, 즉 사람이다. 기업 구성원, 기업 문화, 조직, 업무 수행의 각 요소는 유기적으로 연계되어 있다. 결국 기업의 디지털 역량의 강화는 이 네가지 부문의  디지털 성숙도를 높이는 것이다. 기업에서 디지털 성숙도를 높인다는 것은 첫째, 오랜 시간이 필요한 서서히 진행되는 과정이며 둘째, 서서히 진행되지만 어느 순간 그 변화가 나타나게 되고 셋째, 디지털 성숙도가 높아진 후의 기업 모습은 처음 예상과는 전혀 다르게 될 수도 있으며 넷째, 시간에 따라 성숙도가 높아지는 것이 그냥 저절로 되는 것도 아니고 마지막으로 끝이 정해져 있는 과정이 아니다. 현재 자신이 속한 기업의 디지털 성숙도가 각각 초기단계, 진행 중, 성숙한 단계 중 어디에 속하는지 기업들에게 설문을 해 본 결과...

협업 The Technology Fallacy MIT Sloan Management Review Management on the Cutting Edge Gerald C. Kane digital disruption 디지털 변혁 정철환 이메일 CIO 디지털 성숙도

2019.08.01

디지털 성숙도: 기술 인프라의 발달이 가져올 새로운 기회를 포착하고 기업 내부 또는 외부에 적용하여 기업의 경쟁력을 효율적으로 선도할 수 있도록 구성원, 기업 문화, 조직구조, 업무수행 등이 조율된 수준 디지털 변혁(digital disruption) 시기에 디지털 기술이 기업의 미래에 가져올 영향력에 대해 의심하는 사람은 더 이상 없다. 기존 전통적인 사업 영역이 디지털 기술로 무장한 새로운 스타트업에게 점령당한 사례를 언급한다는 것 역시 더 이상 필요 없다. 그리고 그러한 세계적인 추세가 대한민국도 예외는 아니어서 이미 여러 경제 분야에서 디지털 스타트업과 기존 기업이 충돌하고 있다. 완전히 디지털로 무장한 새로운 스타트업에게 기존 시장을 내주지 않으려면, 더 나아가 변화하는 세상에서 경쟁력을 유지하려면 기존 기업은 어떠한 전략을 선택해야 하는가? 한마디로 기업은 디지털 성숙도를 높여야 한다. 보수적이고 계층구조적인 기존 기업이 외부에서 역량 있는 경영자를 영입하는 것만으로 기업 전체를 변화시키기엔 역부족이다. 많은 사례에서 기업의 변화는 톱다운 방식보다 바톰업 방식이 정착될 경우 더 오래가고 영향력이 큰 것으로 확인되었다. 그리고 그러한 변화의 핵심은 조직의 구성원, 즉 사람이다. 기업 구성원, 기업 문화, 조직, 업무 수행의 각 요소는 유기적으로 연계되어 있다. 결국 기업의 디지털 역량의 강화는 이 네가지 부문의  디지털 성숙도를 높이는 것이다. 기업에서 디지털 성숙도를 높인다는 것은 첫째, 오랜 시간이 필요한 서서히 진행되는 과정이며 둘째, 서서히 진행되지만 어느 순간 그 변화가 나타나게 되고 셋째, 디지털 성숙도가 높아진 후의 기업 모습은 처음 예상과는 전혀 다르게 될 수도 있으며 넷째, 시간에 따라 성숙도가 높아지는 것이 그냥 저절로 되는 것도 아니고 마지막으로 끝이 정해져 있는 과정이 아니다. 현재 자신이 속한 기업의 디지털 성숙도가 각각 초기단계, 진행 중, 성숙한 단계 중 어디에 속하는지 기업들에게 설문을 해 본 결과...

2019.08.01

컴퓨터 바이러스 확산 형태와 감염 알려주는 5가지 징후

컴퓨터 바이러스는 정상 애플리케이션 코드를 매개체로 삼아 확산되고, 스스로 재생시키는 악성 소프트웨어의 일종이다. 다른 악성코드처럼, 공격자가 컴퓨터에 피해를 주거나, 컴퓨터를 제어하기 위해 바이러스를 배포한다. 표적을 감염시키는 방식 때문에 ‘바이러스’라는 이름이 붙여졌다. HIV나 인플루엔자 같은 생물 바이러스들은 스스로 번식을 할 수 없다. 세포를 ‘강탈’ 해야 한다. 이 과정에 감염된 조직을 파괴한다. 이와 유사하게, 컴퓨터 바이러스도 ‘나홀로’ 프로그램이 아니다. 자신을 다른 애플리케이션에 집어넣는 코드 조각이다. 애플리케이션이 실행되면서 바이러스 코드가 실행되고, 이로 인해 작은 피해부터 재앙적인 피해까지 다양한 피해가 초래된다. 이런저런 담론이나 언론 보도에서 사람들이 바이러스와 악성코드를 혼용해 번갈아 사용하는 경우가 많다. 엄격히 말하면, 위 정의에 부합하는 악성코드 종류가 바이러스이다. 다른 두 종류의 악성코드 중 첫 번째는 무해한 애플리케이션으로 가장해 사용자가 실행을 시키도록 유도하는 트로이 목마(Trojans), 두 번째는 다른 애플리케이션에 의지하지 않고 번식과 확산이 가능한 웜(worms)이다. 바이러스는 작동하기 위해 다른 프로그램을 감염시켜야 한다는 차이가 있다. 컴퓨터 바이러스가 하는 일은? 당신의 컴퓨터에 설치된 애플리케이션 하나가 바이러스에 감염되었다고 가정하자(나중에 잠깐 동안 일어날 수 있는 여러 일에 대해 이야기를 할 예정이다. 지금은 감염만 생각하자). 바이러스는 어떤 식으로 ‘나쁜 일’을 하는 것일까? 블리핑 컴퓨터가 이 과정을 개략적으로 잘 설명하고 있다. 먼저 감염된 애플리케이션이 (통상 사용자의 요청에 따라) 실행된다. 그리고 바이러스 코드가 다른 적법한 코드가 실행되기 전에 CPU 메모리에 로딩된다. 이 시점부터, 바이러스는 호스트 컴퓨터의 애플리케이션을 감염시키고, 가능한 모든 장소에 악성 코드를 주입해 번식을 시작한다 (상주 바이러스는 실행되는 프로그램에 이렇게 하지만, 비상주 바이러스는 실행되...

CSO 멀웨어 랜섬웨어 노턴 Cylance 카본 블랙 크립토재킹 CrowdStrike Carbon Black 사이랜스 비트코인 감염 이메일 맬웨어 DDoS 루트킷 바이러스 트로이목마 백신 크라우드스트라이크 사이버 몸값

2019.07.18

컴퓨터 바이러스는 정상 애플리케이션 코드를 매개체로 삼아 확산되고, 스스로 재생시키는 악성 소프트웨어의 일종이다. 다른 악성코드처럼, 공격자가 컴퓨터에 피해를 주거나, 컴퓨터를 제어하기 위해 바이러스를 배포한다. 표적을 감염시키는 방식 때문에 ‘바이러스’라는 이름이 붙여졌다. HIV나 인플루엔자 같은 생물 바이러스들은 스스로 번식을 할 수 없다. 세포를 ‘강탈’ 해야 한다. 이 과정에 감염된 조직을 파괴한다. 이와 유사하게, 컴퓨터 바이러스도 ‘나홀로’ 프로그램이 아니다. 자신을 다른 애플리케이션에 집어넣는 코드 조각이다. 애플리케이션이 실행되면서 바이러스 코드가 실행되고, 이로 인해 작은 피해부터 재앙적인 피해까지 다양한 피해가 초래된다. 이런저런 담론이나 언론 보도에서 사람들이 바이러스와 악성코드를 혼용해 번갈아 사용하는 경우가 많다. 엄격히 말하면, 위 정의에 부합하는 악성코드 종류가 바이러스이다. 다른 두 종류의 악성코드 중 첫 번째는 무해한 애플리케이션으로 가장해 사용자가 실행을 시키도록 유도하는 트로이 목마(Trojans), 두 번째는 다른 애플리케이션에 의지하지 않고 번식과 확산이 가능한 웜(worms)이다. 바이러스는 작동하기 위해 다른 프로그램을 감염시켜야 한다는 차이가 있다. 컴퓨터 바이러스가 하는 일은? 당신의 컴퓨터에 설치된 애플리케이션 하나가 바이러스에 감염되었다고 가정하자(나중에 잠깐 동안 일어날 수 있는 여러 일에 대해 이야기를 할 예정이다. 지금은 감염만 생각하자). 바이러스는 어떤 식으로 ‘나쁜 일’을 하는 것일까? 블리핑 컴퓨터가 이 과정을 개략적으로 잘 설명하고 있다. 먼저 감염된 애플리케이션이 (통상 사용자의 요청에 따라) 실행된다. 그리고 바이러스 코드가 다른 적법한 코드가 실행되기 전에 CPU 메모리에 로딩된다. 이 시점부터, 바이러스는 호스트 컴퓨터의 애플리케이션을 감염시키고, 가능한 모든 장소에 악성 코드를 주입해 번식을 시작한다 (상주 바이러스는 실행되는 프로그램에 이렇게 하지만, 비상주 바이러스는 실행되...

2019.07.18

"2019년 1분기 HTTPS 이용 악성 URL 26% 증가, 피싱 시도 17% 증가" 파이어아이 발표

파이어아이가  2019년 1분기 이메일 위협 보고서(Email Threat Report)를 발표했다. 파이어아이는 이번 보고서를 위해 13억 건의 이메일 샘플을 분석했으며, ▲스푸핑(Spoofing)을 통한 피싱 시도 ▲HTTPS 암호화를 적용한 URL 기반 공격 ▲대중적인 파일 공유 서비스를 이용한 클라우드 기반 공격 등 세 개 주요 분야에서 위협 증가 추세가 발견됐다고 밝혔다. 파이어아이가 보고서에 따르면, 일반적으로 피싱 이메일은 자격 증명 정보나 신용 카드 정보를 탈취하기 위한 목적으로, 기존에 알고있는 연락처나 신뢰할 수 있는 기업을 사칭해 이메일 수신인이 임베디드 링크를 클릭하도록 유도한다. 파이어아이는 2019년 1분기 피싱 이메일 공격이 전 분기 대비 17% 증가했다고 밝혔다. 공격 활동에서 가장 많이 스푸핑된 기업 중 하나는 마이크로소프트로, 탐지된 건의 약30%를 차지했다. 또한 원드라이브, 애플, 페이팔, 아마존이 그 뒤를 이었고, 각각 6~7%의 비중을 차지했다.   지난 2018년 파이어아이는 전달 수단으로 URL 기반 공격이 첨부 파일 기반 공격을 추월했다고 보고한 바 있다. 이러한 추세는 2019년 1분기에도 이어졌으며, 특히 HTTPS를 이용한 악성 URL이 이전 분기 대비 26% 증가했다. 이를 통해 악성 행위자가 온라인 상에서 상대적으로 안전하다고 인식되는 HTTPS를 이용하고 있다는 점을 확인할 수 있다. 2019년 1분기에는 클라우드 기반, 특히 파일 공유 서비스를 이용한 공격이 증가했다. 2019년 1분기 이메일 분석 결과, 위트랜스퍼(WeTransfer), 구글드라이브, 원드라이브와 같이 신뢰도가 높으면서 대중적으로 이용되는 파일 공유 서비스에 게재된 악성 파일로의 연결 링크 수가 급격하게 증가했다고 분석했다. 한편, 이와 같은 공격에 가장 많이 사용된 서비스는 드롭박스인 것으로 밝혀졌다. 경영진을 사칭한 공격은 지속적으로 증가했으며, 접근 방식 또한 다양해졌다. 이러한 사이버 ‘캐...

소셜엔지니어링 이메일 파일 공유 파이어아이 위협 인텔리전스 스푸핑 사회공학적 사이버 공격 이메일 위협 보고서

2019.07.15

파이어아이가  2019년 1분기 이메일 위협 보고서(Email Threat Report)를 발표했다. 파이어아이는 이번 보고서를 위해 13억 건의 이메일 샘플을 분석했으며, ▲스푸핑(Spoofing)을 통한 피싱 시도 ▲HTTPS 암호화를 적용한 URL 기반 공격 ▲대중적인 파일 공유 서비스를 이용한 클라우드 기반 공격 등 세 개 주요 분야에서 위협 증가 추세가 발견됐다고 밝혔다. 파이어아이가 보고서에 따르면, 일반적으로 피싱 이메일은 자격 증명 정보나 신용 카드 정보를 탈취하기 위한 목적으로, 기존에 알고있는 연락처나 신뢰할 수 있는 기업을 사칭해 이메일 수신인이 임베디드 링크를 클릭하도록 유도한다. 파이어아이는 2019년 1분기 피싱 이메일 공격이 전 분기 대비 17% 증가했다고 밝혔다. 공격 활동에서 가장 많이 스푸핑된 기업 중 하나는 마이크로소프트로, 탐지된 건의 약30%를 차지했다. 또한 원드라이브, 애플, 페이팔, 아마존이 그 뒤를 이었고, 각각 6~7%의 비중을 차지했다.   지난 2018년 파이어아이는 전달 수단으로 URL 기반 공격이 첨부 파일 기반 공격을 추월했다고 보고한 바 있다. 이러한 추세는 2019년 1분기에도 이어졌으며, 특히 HTTPS를 이용한 악성 URL이 이전 분기 대비 26% 증가했다. 이를 통해 악성 행위자가 온라인 상에서 상대적으로 안전하다고 인식되는 HTTPS를 이용하고 있다는 점을 확인할 수 있다. 2019년 1분기에는 클라우드 기반, 특히 파일 공유 서비스를 이용한 공격이 증가했다. 2019년 1분기 이메일 분석 결과, 위트랜스퍼(WeTransfer), 구글드라이브, 원드라이브와 같이 신뢰도가 높으면서 대중적으로 이용되는 파일 공유 서비스에 게재된 악성 파일로의 연결 링크 수가 급격하게 증가했다고 분석했다. 한편, 이와 같은 공격에 가장 많이 사용된 서비스는 드롭박스인 것으로 밝혀졌다. 경영진을 사칭한 공격은 지속적으로 증가했으며, 접근 방식 또한 다양해졌다. 이러한 사이버 ‘캐...

2019.07.15

칼럼 | 이베이 계정을 탈퇴하면서...

지난 5월 어느 날 ‘ Account security notice - Immediate action required’라는 제목의 메일을 받았다. 발신자는 이베이로 되어 있었다. 최근 악성코드를 포함한 스캠 메일 중 위와 같은 제목으로 사용자를 유혹하여 열어보게 만드는 경우가 많아 일단 메일의 링크를 누르지는 않고 이베이 사이트로 직접 로그인을 했다. 그런데 정말 필자의 계정이 해킹되어 악용되었으며 바로 패스워드를 변경해야 한다고 안내가 떴다. 누군가 필자의 계정 아이디와 비밀번호를 알아내 악용하려 시도한 것을 이베이가 탐지하고 계정 차단 조처를 한 뒤 안내 메일을 보낸 것이다. 얼마 전 이베이에 아주 좋은 조건의 제품 판매가 게시되어 바로 구매를 신청했다가 물건의 남은 개수가 계속 수정되는 것을 발견하고 이상한 생각이 들어 구매를 취소하고 이베이에 신고한 적이 있다. 그 후 이베이에서는 해당 판매 게시가 남의 계정을 도용한 사기 건이고 이를 신고해 준 필자에게 감사의 표시로 5달러짜리 쿠폰을 보내주어 요긴하게 사용하였다. 해커가 어떤 목적으로 악용하려 했는지는 알 수 없으나 그런 경험에 비추어 아마 필자의 계정을 해킹한 사람도 비슷한 용도로 사용하려 했을 것으로 추측한다. 이베이의 안내 메일을 받은 후 바로 패스워드를 변경하였고 별다른 피해 사실도 없는 것으로 보이긴 했지만, 왠지 이베이의 계정을 계속 유지하는 것이 내키지 않았다. 이베이의 계정은 1990년대 말 닷컴 붐이 불었을 때 그 당시 가입하였으며 그동안 여러 번 물건을 구매했던 필자였지만 20년 가까이 유지한 이베이 계정을 그날 오후 닫았다. 통계청 발표에 따르면 2018년 국내 전자상거래 시장의 규모가 100조 원이 넘었다고 한다. 또한 한 리서치 기관의 발표에 따르면 국내 상거래 금액 중 인터넷과 온라인 전자상거래가 차지하는 비율인 ‘전자상거래 침투율’은 2018년 기준으로 24.1%로 중국, 미국, 영국, 일본 등 주요 글로벌 12개국 중 1위를 차지했다. <출처: http://www...

CIO 온라인 피싱 생체인증 FIDO 스캠 정철환 패스워드 전자상거래 계정 비밀번호 암호 피싱 사기 이베이 이메일 인증체계

2019.07.01

지난 5월 어느 날 ‘ Account security notice - Immediate action required’라는 제목의 메일을 받았다. 발신자는 이베이로 되어 있었다. 최근 악성코드를 포함한 스캠 메일 중 위와 같은 제목으로 사용자를 유혹하여 열어보게 만드는 경우가 많아 일단 메일의 링크를 누르지는 않고 이베이 사이트로 직접 로그인을 했다. 그런데 정말 필자의 계정이 해킹되어 악용되었으며 바로 패스워드를 변경해야 한다고 안내가 떴다. 누군가 필자의 계정 아이디와 비밀번호를 알아내 악용하려 시도한 것을 이베이가 탐지하고 계정 차단 조처를 한 뒤 안내 메일을 보낸 것이다. 얼마 전 이베이에 아주 좋은 조건의 제품 판매가 게시되어 바로 구매를 신청했다가 물건의 남은 개수가 계속 수정되는 것을 발견하고 이상한 생각이 들어 구매를 취소하고 이베이에 신고한 적이 있다. 그 후 이베이에서는 해당 판매 게시가 남의 계정을 도용한 사기 건이고 이를 신고해 준 필자에게 감사의 표시로 5달러짜리 쿠폰을 보내주어 요긴하게 사용하였다. 해커가 어떤 목적으로 악용하려 했는지는 알 수 없으나 그런 경험에 비추어 아마 필자의 계정을 해킹한 사람도 비슷한 용도로 사용하려 했을 것으로 추측한다. 이베이의 안내 메일을 받은 후 바로 패스워드를 변경하였고 별다른 피해 사실도 없는 것으로 보이긴 했지만, 왠지 이베이의 계정을 계속 유지하는 것이 내키지 않았다. 이베이의 계정은 1990년대 말 닷컴 붐이 불었을 때 그 당시 가입하였으며 그동안 여러 번 물건을 구매했던 필자였지만 20년 가까이 유지한 이베이 계정을 그날 오후 닫았다. 통계청 발표에 따르면 2018년 국내 전자상거래 시장의 규모가 100조 원이 넘었다고 한다. 또한 한 리서치 기관의 발표에 따르면 국내 상거래 금액 중 인터넷과 온라인 전자상거래가 차지하는 비율인 ‘전자상거래 침투율’은 2018년 기준으로 24.1%로 중국, 미국, 영국, 일본 등 주요 글로벌 12개국 중 1위를 차지했다. <출처: http://www...

2019.07.01

스웨덴에서 지메일 계정을 해킹하는 '아주 간단한' 방법

스웨덴에서 이메일 해킹에 필요한 조건은 해킹 대상의 전화번호와 전화기 한 대뿐이었다.  카스퍼스키 랩 수석 보안 연구원 데이비드 자코비가 지난주 개최한 시큐리티 애널리스트 서밋에서 구글 지메일 계정을 해킹하는 방법을 시연했다. 해킹 과정이 지나치게 간단해 눈길을 끈다.  방법은 이렇다. 지메일 2FA(two factor authentication)를 활성화시킨 상태에서 비밀번호를 잊어버렸다면 구글은 사용자에게 SMS를 보내거나 6~8자리의 코드로 전화를 건다. 사용자가 코드를 입력하면 계정에 접근할 수 있게 된다.  해킹 시연은 스웨덴을 기반으로 이뤄졌다. 참고로 스웨덴 정부는 누구나 특정 전화번호의 이동통신사를 쉽게 검색할 수 있는 서비스를 실시하고 있다. 해킹 대상을 선택한 후 해커는 통신 서비스 기업에 전화를 걸어 일시적으로 다른 번호 (범죄자 소유)로 재연결되도록 요청했다. 통신사 지원팀에 전화를 걸어 "지금 중요한 전화를 받아야 한다. 그러나 내 전화기가 지금 내게 없다. 내게 오는 모든 전화를 XXXXXX 번호로 돌려주기를 요청한다. 고맙다"라고 말하는 것만으로 그의 요청은 수락됐다.  이후 구글에 인증 코드를 요청함으로써 계정에 대한 접근 권한을 간단히 획득할 수 있었다.  자코비에 따르면 해당 스웨덴 통신사는 시연 이후 검증 절차를 검토하는 있는 중이다.  ciokr@idg.co.kr

해킹 이메일 지메일 2FA

2019.04.15

스웨덴에서 이메일 해킹에 필요한 조건은 해킹 대상의 전화번호와 전화기 한 대뿐이었다.  카스퍼스키 랩 수석 보안 연구원 데이비드 자코비가 지난주 개최한 시큐리티 애널리스트 서밋에서 구글 지메일 계정을 해킹하는 방법을 시연했다. 해킹 과정이 지나치게 간단해 눈길을 끈다.  방법은 이렇다. 지메일 2FA(two factor authentication)를 활성화시킨 상태에서 비밀번호를 잊어버렸다면 구글은 사용자에게 SMS를 보내거나 6~8자리의 코드로 전화를 건다. 사용자가 코드를 입력하면 계정에 접근할 수 있게 된다.  해킹 시연은 스웨덴을 기반으로 이뤄졌다. 참고로 스웨덴 정부는 누구나 특정 전화번호의 이동통신사를 쉽게 검색할 수 있는 서비스를 실시하고 있다. 해킹 대상을 선택한 후 해커는 통신 서비스 기업에 전화를 걸어 일시적으로 다른 번호 (범죄자 소유)로 재연결되도록 요청했다. 통신사 지원팀에 전화를 걸어 "지금 중요한 전화를 받아야 한다. 그러나 내 전화기가 지금 내게 없다. 내게 오는 모든 전화를 XXXXXX 번호로 돌려주기를 요청한다. 고맙다"라고 말하는 것만으로 그의 요청은 수락됐다.  이후 구글에 인증 코드를 요청함으로써 계정에 대한 접근 권한을 간단히 획득할 수 있었다.  자코비에 따르면 해당 스웨덴 통신사는 시연 이후 검증 절차를 검토하는 있는 중이다.  ciokr@idg.co.kr

2019.04.15

익명으로 이메일을 보내는 방법

믿기 어렵겠지만 온라인에서도 익명이 될 수 있다. 적어도 적절한 조건 하에서 가능하다. 단 쉽지만은 않다. 일반적으로 사용되는 ID는 로그인한 계정, 그리고 효과적인 타겟 광고를 노리는 제3의 광고 회사에 의해 끊임없이 추적된다. 즉, 사람들이 즐겨 사용하는 브라우저는 대부분 온라인 활동을 주시하기 위한 추적기로 가득 차 있다. 또한 인터넷 서비스 제공업체, 소극적인(또는 적극적인) 정부 데이터 수집, 그리고 온갖 종류의 다른 침입자들이 뒤에서 무슨 일을 하는지 누가 알겠는가? 요지는, 온라인에서 약간의 익명성이나마 확보하려면 적절한 조치를 취해야 한다는 것이다. 회사 동료 또는 집의 다른 가족이 모르는 익명 이메일 계정만으로 충분하다면 그다지 어렵지 않다. 그러나 연결을 보호하기 전에 이메일 계정에 로그인한다든지, 좋지 않은 타이밍에 익명이 아닌 ID에 액세스하는 등 단 한 번의 실수로 신원이 노출될 수 있다. 이 기사에서는 익명 활동에 필요한 단계를 안내한다. 얼마나 철저히 익명성을 유지하고 싶은지에 따라 여기 나온 조언을 모두 사용할 수도 있고, 필요한 부분만 취할 수도 있다. 결정에 도움이 되도록 각 단계가 필요한 이유도 설명한다.   1단계: 익명 활동 공간 확보 제대로 된 익명성을 원한다면 최선은 비밀 ID  용도로만 사용되는 별도의 디지털 작업 공간을 마련하는 것이다. 그러면 일상 업무에 사용하는 회사 신원과 Mr. Robot이라는 익명 ID가 교차될 위험 자체가 없다. 일상 업무용 컴퓨터에서 일반 브라우저를 사용해 계정을 만들 경우 누군가 PC 주변을 어슬렁거리며 엿보는 것만으로 익명성을 잃게 된다. 선택 가능한 옵션은 다음과 같다. 레벨 1: USB 스틱 드라이브에 토르(TOR) 브라우저를 설치한다. 위험 부담이 낮다면(즉, 계정이 발견되더라도 세상이 끝나는 것이 아니라면) USB 드라이브에서 실행하는 토르로 충분할 것이다. 토르 브라우저는 어니언 라우터(The Onion Router, 줄여서 TOR) 네트워크로 연...

이메일 브라우저 온라인 익명 토르

2019.03.07

믿기 어렵겠지만 온라인에서도 익명이 될 수 있다. 적어도 적절한 조건 하에서 가능하다. 단 쉽지만은 않다. 일반적으로 사용되는 ID는 로그인한 계정, 그리고 효과적인 타겟 광고를 노리는 제3의 광고 회사에 의해 끊임없이 추적된다. 즉, 사람들이 즐겨 사용하는 브라우저는 대부분 온라인 활동을 주시하기 위한 추적기로 가득 차 있다. 또한 인터넷 서비스 제공업체, 소극적인(또는 적극적인) 정부 데이터 수집, 그리고 온갖 종류의 다른 침입자들이 뒤에서 무슨 일을 하는지 누가 알겠는가? 요지는, 온라인에서 약간의 익명성이나마 확보하려면 적절한 조치를 취해야 한다는 것이다. 회사 동료 또는 집의 다른 가족이 모르는 익명 이메일 계정만으로 충분하다면 그다지 어렵지 않다. 그러나 연결을 보호하기 전에 이메일 계정에 로그인한다든지, 좋지 않은 타이밍에 익명이 아닌 ID에 액세스하는 등 단 한 번의 실수로 신원이 노출될 수 있다. 이 기사에서는 익명 활동에 필요한 단계를 안내한다. 얼마나 철저히 익명성을 유지하고 싶은지에 따라 여기 나온 조언을 모두 사용할 수도 있고, 필요한 부분만 취할 수도 있다. 결정에 도움이 되도록 각 단계가 필요한 이유도 설명한다.   1단계: 익명 활동 공간 확보 제대로 된 익명성을 원한다면 최선은 비밀 ID  용도로만 사용되는 별도의 디지털 작업 공간을 마련하는 것이다. 그러면 일상 업무에 사용하는 회사 신원과 Mr. Robot이라는 익명 ID가 교차될 위험 자체가 없다. 일상 업무용 컴퓨터에서 일반 브라우저를 사용해 계정을 만들 경우 누군가 PC 주변을 어슬렁거리며 엿보는 것만으로 익명성을 잃게 된다. 선택 가능한 옵션은 다음과 같다. 레벨 1: USB 스틱 드라이브에 토르(TOR) 브라우저를 설치한다. 위험 부담이 낮다면(즉, 계정이 발견되더라도 세상이 끝나는 것이 아니라면) USB 드라이브에서 실행하는 토르로 충분할 것이다. 토르 브라우저는 어니언 라우터(The Onion Router, 줄여서 TOR) 네트워크로 연...

2019.03.07

"악성 URL 공격 기승··· 61개 이메일 중 1개에 포함" 마임캐스트

URL 기반 공격이 만연한 문제로 비화하고 있다는 경고다. 조사에 따르면 이메일 61개당 하나씩 악의적인 URL 링크를 담고 있는 것으로 드러났다. 마임캐스트(Mimecast)의 최신 이메일 보안 위험 평가 조사에 따르면 이메일 내 악성 URL 수가 지난 분기 결과와 비교하여 125 % 이상 증가했다. 또 조사에 참여한 1025명의 응답자 중 약 절반(45%)은 URL 기반 공격이나 위험한 첨부 파일이 지난 해에 비해 증가했다고 응답했다.  마임캐스트는 총 2억 3,200만 개의 이메일을 분석한 결과 2,500만 개의 스팸 메일, 2만 6,713개의 맬웨어 첨부 파일, 5만 3,753 개의 위장(impersonation) 공격, 2만 3,872개의 악성 파일이 보안 솔루션을 뚫고 전달된 것을 확인했다고 전했다. 마임캐스트의 매튜 가디너 사이버 보안 전략가는 "이메일은 믿을만한 콘텐츠와 쉽게 클릭할 수있는 URL을 제공하여 피해자를 악의적인 웹 사이트로 유도 할 수 있다. 이메일 내의 URL은 말 그대로 이메일과 웹 사이의 교차점이다. 두 채널을 아우르는 가시성이 필요하다"라고 말했다.  회사에 따르면 특히 직원이 실수로 피생 이메일을 열면서 문제가 계속 발생하곤 한다. 침해의 95%가 인간 오류의 결과라는 설명이다. 마임캐스트의 가레트 오하라 수석 기술 컨설턴트는 그러나 컴플라이언 중심의 교육이 효과를 발휘하지 못한다면서 별도의 교육 플랫폼이 필요하다고 강조했다. 마임캐스트는 미국 법 집행 기관 및 인텔리전스 커뮤니티에서 개발한 보안 인식 교육 및 사이버 위험 관리 플랫폼인 아타타(Ataata)를 인수한 바 있다. ciokr@idg.co.kr  

이메일 URL 공격 악성 URL

2019.03.06

URL 기반 공격이 만연한 문제로 비화하고 있다는 경고다. 조사에 따르면 이메일 61개당 하나씩 악의적인 URL 링크를 담고 있는 것으로 드러났다. 마임캐스트(Mimecast)의 최신 이메일 보안 위험 평가 조사에 따르면 이메일 내 악성 URL 수가 지난 분기 결과와 비교하여 125 % 이상 증가했다. 또 조사에 참여한 1025명의 응답자 중 약 절반(45%)은 URL 기반 공격이나 위험한 첨부 파일이 지난 해에 비해 증가했다고 응답했다.  마임캐스트는 총 2억 3,200만 개의 이메일을 분석한 결과 2,500만 개의 스팸 메일, 2만 6,713개의 맬웨어 첨부 파일, 5만 3,753 개의 위장(impersonation) 공격, 2만 3,872개의 악성 파일이 보안 솔루션을 뚫고 전달된 것을 확인했다고 전했다. 마임캐스트의 매튜 가디너 사이버 보안 전략가는 "이메일은 믿을만한 콘텐츠와 쉽게 클릭할 수있는 URL을 제공하여 피해자를 악의적인 웹 사이트로 유도 할 수 있다. 이메일 내의 URL은 말 그대로 이메일과 웹 사이의 교차점이다. 두 채널을 아우르는 가시성이 필요하다"라고 말했다.  회사에 따르면 특히 직원이 실수로 피생 이메일을 열면서 문제가 계속 발생하곤 한다. 침해의 95%가 인간 오류의 결과라는 설명이다. 마임캐스트의 가레트 오하라 수석 기술 컨설턴트는 그러나 컴플라이언 중심의 교육이 효과를 발휘하지 못한다면서 별도의 교육 플랫폼이 필요하다고 강조했다. 마임캐스트는 미국 법 집행 기관 및 인텔리전스 커뮤니티에서 개발한 보안 인식 교육 및 사이버 위험 관리 플랫폼인 아타타(Ataata)를 인수한 바 있다. ciokr@idg.co.kr  

2019.03.06

스마트폰 앱 중 업무용 비중 5.8%··· 평균 4.6개

한국IDG가 지난 1월 14일부터 21일까지 약 1주일 동안 테크서베이에서 회원을 대상으로 한 설문조사 결과, 스마트폰에 설치된 애플리케이션 수는 75.6개며 이 가운데 업무용 애플리케이션 수는 4.6개로 집계됐다. 스마트폰 앱에서 업무용 앱 비중은 5.8%로 나타났다.  굳이 BYOD(Bring your own device)라고 부르지 않아도 많은 직장인이 스마트폰을 업무용 기기로 활용하고 있다. 이번 조사에서 한국IDG는 스마트폰에 업무용 애플리케이션을 얼마나 설치했으며 주로 어떤 업무용 앱을 근무 시간 외에도 얼마나 자주 사용하는지를 파악했다.  국내 직장인이 스마트폰에서 업무용으로 사용하는 애플리케이션으로는 이메일이 단연 1위로 가장 많았다. 거의 모든 응답자인 99%가 이메일을 꼽았고 그다음으로는 90%가 메신저, 문서공유 등 협업 앱이라고 답해 이 두 앱이 압도적으로 많았다. 3위는 명함관리(50%), 4위는 회사에서 자체 개발한 스마트폰 앱이 45%였다. 여기서 주목할 점은 절반에 가까운 응답자(45%)가 자체 개발한 스마트폰 앱을 사용한다는 점이다. 다시 말해, 이들 응답자가 속한 조직은 스마트폰을 업무에 사용하는 데 좀더 적극적이라 할 수 있다.  스마트폰을 업무에 사용하는 직장인들의 퇴근 후는 어떨까? 가장 많은 응답자인 48%는 퇴근 후라도 필요하면 언제든 앱에 접속해 업무를 처리한다고 밝혔고, 27%는 퇴근 후 최소 1번은 접속해 본다고 말했다. 퇴근 후 2번 이상 앱에 접속해 업무를 처리한다는 답변과 퇴근 후에는 업무용 앱 알림을 꺼 둔다는 답변은 각각 12%였다.  퇴근 후 업무용 앱 접속 빈도는 앱 개수에 따라 차이를 보였다. 전체 응답자 가운데 퇴근 후라도 필요하면 언제든 업무용 스마트폰 앱에 접속한다는 직장인은 48%였으며, 업무용 앱을 6개 이상 설치한 직장인은 이 같은 답변이 66%로 대폭 늘어난 반면, 5개 이하 설치한 직장인은 43%로 줄어들었다. 퇴근 후 최소 1번 이상 접속하거...

협업 테크서베이 업무용 앱 명함관리 메신저 한국IDG BYOD 업무용 애플리케이션 이메일 스마트폰 문서공유

2019.02.14

한국IDG가 지난 1월 14일부터 21일까지 약 1주일 동안 테크서베이에서 회원을 대상으로 한 설문조사 결과, 스마트폰에 설치된 애플리케이션 수는 75.6개며 이 가운데 업무용 애플리케이션 수는 4.6개로 집계됐다. 스마트폰 앱에서 업무용 앱 비중은 5.8%로 나타났다.  굳이 BYOD(Bring your own device)라고 부르지 않아도 많은 직장인이 스마트폰을 업무용 기기로 활용하고 있다. 이번 조사에서 한국IDG는 스마트폰에 업무용 애플리케이션을 얼마나 설치했으며 주로 어떤 업무용 앱을 근무 시간 외에도 얼마나 자주 사용하는지를 파악했다.  국내 직장인이 스마트폰에서 업무용으로 사용하는 애플리케이션으로는 이메일이 단연 1위로 가장 많았다. 거의 모든 응답자인 99%가 이메일을 꼽았고 그다음으로는 90%가 메신저, 문서공유 등 협업 앱이라고 답해 이 두 앱이 압도적으로 많았다. 3위는 명함관리(50%), 4위는 회사에서 자체 개발한 스마트폰 앱이 45%였다. 여기서 주목할 점은 절반에 가까운 응답자(45%)가 자체 개발한 스마트폰 앱을 사용한다는 점이다. 다시 말해, 이들 응답자가 속한 조직은 스마트폰을 업무에 사용하는 데 좀더 적극적이라 할 수 있다.  스마트폰을 업무에 사용하는 직장인들의 퇴근 후는 어떨까? 가장 많은 응답자인 48%는 퇴근 후라도 필요하면 언제든 앱에 접속해 업무를 처리한다고 밝혔고, 27%는 퇴근 후 최소 1번은 접속해 본다고 말했다. 퇴근 후 2번 이상 앱에 접속해 업무를 처리한다는 답변과 퇴근 후에는 업무용 앱 알림을 꺼 둔다는 답변은 각각 12%였다.  퇴근 후 업무용 앱 접속 빈도는 앱 개수에 따라 차이를 보였다. 전체 응답자 가운데 퇴근 후라도 필요하면 언제든 업무용 스마트폰 앱에 접속한다는 직장인은 48%였으며, 업무용 앱을 6개 이상 설치한 직장인은 이 같은 답변이 66%로 대폭 늘어난 반면, 5개 이하 설치한 직장인은 43%로 줄어들었다. 퇴근 후 최소 1번 이상 접속하거...

2019.02.14

쓸만한 오픈소스 CRM 소프트웨어 8선

고객관계관리(CRM) 소프트웨어 시장에서 인기 있는 업체는 세일즈포스와 마이크로소프트였다. 그러나 비용 때문이든 다른 목적이든 이 두 솔루션을 사용하지 않으려는 기업이라면 오픈소스 CRM을 고려해 볼 수 있다.  비용에 민감한 조직에게는 중요한 고객 관계 데이터를 저장하기 위한 오픈소스 솔루션과 훨씬 더 빠르게 구현할 수 있는 솔루션이라는 선택지가 있다. 단점은 독점 소프트웨어가 종종 더 많은 머신러닝 기능을 포함해 동급 최강의 기능을 제공한다는 것이다.  쓸만한 오픈소스 CRM을 알아보자.  1. 에페시 에페시(Epesi)는 사용자가 여러 사용자 간에 업무 기록을 작성하고 공유하게 해주는 무료 오픈소스 애플리케이션이다. 오픈소스 PHP/Ajax 프레임워크를 기반으로 구축돼 사용자가 요구 사항에 맞게 커스터마이징할 수 있다. 플랫폼의 모듈식 설계는 확장을 위한 기반으로도 사용될 수 있음을 의미한다. 에페시는 서버에 데이터를 저장하고 어디서나 접근할 수 있는 완벽하게 통합된 CRM 애플리케이션을 제공한다. 현재 30개 이상의 언어로 제공되며 윈도우와 리눅스 운영체제뿐 아니라 애플 OS X와 iOS에서도 다운로드할 수 있다. 2. 에스포CRM 에스포CRM(EspoCRM)은 GPLv3에 따라 배포되는 웹 기반 및 오픈소스 CRM을 모두 제공하는 무료 오픈소스 웹 애플리케이션이다. 이 애플리케이션은 영업 자동화부터 재고 관리, 마케팅 자동화 등에 다양한 기능을 제공한다.  에스포CRM은 자체 호스팅 방식의 오픈소스 CRM 서비스를 통해 CRM을 무료로 데이터베이스 크기 제한 없이 로컬에 저장하게 해준다. 또한 사용자는 클라우드 호스팅 솔루션에 접근하여 비용을 지불하면 좀더 빠른 서비스를 이용할 수 있다. 비용은 한 달에 15달러에서 시작한다.  3. 스위트CRM 스위트CRM은 오픈소스 CRM을 소개할 때 종종 맨 처음 등장한다. 2014년 슈가CRM(SugarCRM)이 오픈소스 솔루션 개발을 중단했을 때 이...

CRM 오픈소스 CRM 오두 CRM 에페시 에스포CRM v타이거 CRM EspoCRM Epesi X2CRM 스위트CRM 고객관계관리 저모 마이크로소프트 이메일 세일즈포스 팻프리 CRM

2019.02.14

고객관계관리(CRM) 소프트웨어 시장에서 인기 있는 업체는 세일즈포스와 마이크로소프트였다. 그러나 비용 때문이든 다른 목적이든 이 두 솔루션을 사용하지 않으려는 기업이라면 오픈소스 CRM을 고려해 볼 수 있다.  비용에 민감한 조직에게는 중요한 고객 관계 데이터를 저장하기 위한 오픈소스 솔루션과 훨씬 더 빠르게 구현할 수 있는 솔루션이라는 선택지가 있다. 단점은 독점 소프트웨어가 종종 더 많은 머신러닝 기능을 포함해 동급 최강의 기능을 제공한다는 것이다.  쓸만한 오픈소스 CRM을 알아보자.  1. 에페시 에페시(Epesi)는 사용자가 여러 사용자 간에 업무 기록을 작성하고 공유하게 해주는 무료 오픈소스 애플리케이션이다. 오픈소스 PHP/Ajax 프레임워크를 기반으로 구축돼 사용자가 요구 사항에 맞게 커스터마이징할 수 있다. 플랫폼의 모듈식 설계는 확장을 위한 기반으로도 사용될 수 있음을 의미한다. 에페시는 서버에 데이터를 저장하고 어디서나 접근할 수 있는 완벽하게 통합된 CRM 애플리케이션을 제공한다. 현재 30개 이상의 언어로 제공되며 윈도우와 리눅스 운영체제뿐 아니라 애플 OS X와 iOS에서도 다운로드할 수 있다. 2. 에스포CRM 에스포CRM(EspoCRM)은 GPLv3에 따라 배포되는 웹 기반 및 오픈소스 CRM을 모두 제공하는 무료 오픈소스 웹 애플리케이션이다. 이 애플리케이션은 영업 자동화부터 재고 관리, 마케팅 자동화 등에 다양한 기능을 제공한다.  에스포CRM은 자체 호스팅 방식의 오픈소스 CRM 서비스를 통해 CRM을 무료로 데이터베이스 크기 제한 없이 로컬에 저장하게 해준다. 또한 사용자는 클라우드 호스팅 솔루션에 접근하여 비용을 지불하면 좀더 빠른 서비스를 이용할 수 있다. 비용은 한 달에 15달러에서 시작한다.  3. 스위트CRM 스위트CRM은 오픈소스 CRM을 소개할 때 종종 맨 처음 등장한다. 2014년 슈가CRM(SugarCRM)이 오픈소스 솔루션 개발을 중단했을 때 이...

2019.02.14

경찰서 사칭 이메일 주의보··· 악성코드 포함

전국 각지의 경찰서를 사칭한 스팸메일이 대거 살포돼 주의가 요구되고 있다.  12일 경찰청 및 업계에 따르면 '수원남부경찰서', '대구달성경찰서' 등이 송신한 것으로 표기된 '온라인 명예훼손관련 출석통지서'라는 제목의 공격 메일이 기승을 부리고 있다.  메일에는 확장자 RAR로 압축된 3개의 워드 문서가 포함돼 있으며, 시중의 백신 소프트웨어로 검사하면 악성코드가 검출된다.  경찰 관계자는 "경찰관서는 출석요구서가 이메일로 발송되지 않는다. 메일유포자를 추적하고 있다"라고 밝혔다. ciokr@idg.co.kr

이메일 악성코드 스팸 명예훼손 사칭 경찰서

2019.02.12

전국 각지의 경찰서를 사칭한 스팸메일이 대거 살포돼 주의가 요구되고 있다.  12일 경찰청 및 업계에 따르면 '수원남부경찰서', '대구달성경찰서' 등이 송신한 것으로 표기된 '온라인 명예훼손관련 출석통지서'라는 제목의 공격 메일이 기승을 부리고 있다.  메일에는 확장자 RAR로 압축된 3개의 워드 문서가 포함돼 있으며, 시중의 백신 소프트웨어로 검사하면 악성코드가 검출된다.  경찰 관계자는 "경찰관서는 출석요구서가 이메일로 발송되지 않는다. 메일유포자를 추적하고 있다"라고 밝혔다. ciokr@idg.co.kr

2019.02.12

‘이메일 캠페인을 참신하게’ 한 영국 여행사의 AR 활용법

영국의 여행 상품 기업 버진 홀리데이(Virgin Holidays)가 AR 기술을 이용해 이메일 마케팅 캠페인에 활력을 불어넣고 있다. 회사의 CRM 담당 임원인 리암 새비지에 따르면, 버진 홀리데이는 출발 전 단계에서부터 접점을 만들고 교류를 이끌어낼 수 있는 방법을 모색해왔다. 2018년 초 데이터 중심의 단일 고객 뷰를 구축한 이 그룹은 여행 라이프 사이클 전반에 대한 정보를 제공하는 이메일 기반 커뮤니케이션 프로그램을 시작했다.  새비지는 “관건은 여정 전반을 어떻게 고도화시키는 것이었다. 여기에 AR이 들어왔다”라고 말했다.  그는 이어 “우리의 고객 집단은 여행에 대해 이야기하기를 좋아한다. 영업적인 메시지는 선호하지 않는다. 우리는 시각적으로 매력적이고 인간적인 콘텐츠를 제공하고자 했다. 모든 것이 브랜드에 도움이 된다”라고 말했다.  버진 홀리데이트는 무버블 잉크와 협력해 브라우저 기반 AR 고객 커뮤니케이션을 구성했다. 버진 홀리데이의 첫 번째 캠페인은 출발 전 단계의 고객을 겨냥한 '퓨처 포캐스트'이었다. AR을 사용해 고객은 일기 예보를 확인하고 미래의 방문지에서 셀카를 미리 찍을 수 있었다. 물론 이렇게 촬영된 이미지는 페이스북 등의 소셜 미디어 채널에서 쉽게 공유될 수 있었다. .  새비지에 따르면 이러한 서비스는 여행의 기대를 높이고 불안을 줄이는 효과를 제공했다. 그는 “여행객이 여행 전에 느끼는 스트레스에 대해 많이 연구했다. 재미있게 참여를 유지하는 방식으로 상호 작용하고자 했다”라고 말했다.  그는 이어 여행객들이 셀카를 소셜 미디어에 업로드함으로써 버진 홀리데이에게도 큰 브랜드 효과를 전해줬다고 덧붙였다.    해당 캠페인의 도달 범위는 80% 증가했으며 클릭율은 25% 증가했다. 거의 2/3의 사용자가 셀카를 촬영했으며 44%는 1분 이상 머물렀다.  버진 홀...

이메일 캠페인 셀카 여행사 버진 홀리데이

2019.02.08

영국의 여행 상품 기업 버진 홀리데이(Virgin Holidays)가 AR 기술을 이용해 이메일 마케팅 캠페인에 활력을 불어넣고 있다. 회사의 CRM 담당 임원인 리암 새비지에 따르면, 버진 홀리데이는 출발 전 단계에서부터 접점을 만들고 교류를 이끌어낼 수 있는 방법을 모색해왔다. 2018년 초 데이터 중심의 단일 고객 뷰를 구축한 이 그룹은 여행 라이프 사이클 전반에 대한 정보를 제공하는 이메일 기반 커뮤니케이션 프로그램을 시작했다.  새비지는 “관건은 여정 전반을 어떻게 고도화시키는 것이었다. 여기에 AR이 들어왔다”라고 말했다.  그는 이어 “우리의 고객 집단은 여행에 대해 이야기하기를 좋아한다. 영업적인 메시지는 선호하지 않는다. 우리는 시각적으로 매력적이고 인간적인 콘텐츠를 제공하고자 했다. 모든 것이 브랜드에 도움이 된다”라고 말했다.  버진 홀리데이트는 무버블 잉크와 협력해 브라우저 기반 AR 고객 커뮤니케이션을 구성했다. 버진 홀리데이의 첫 번째 캠페인은 출발 전 단계의 고객을 겨냥한 '퓨처 포캐스트'이었다. AR을 사용해 고객은 일기 예보를 확인하고 미래의 방문지에서 셀카를 미리 찍을 수 있었다. 물론 이렇게 촬영된 이미지는 페이스북 등의 소셜 미디어 채널에서 쉽게 공유될 수 있었다. .  새비지에 따르면 이러한 서비스는 여행의 기대를 높이고 불안을 줄이는 효과를 제공했다. 그는 “여행객이 여행 전에 느끼는 스트레스에 대해 많이 연구했다. 재미있게 참여를 유지하는 방식으로 상호 작용하고자 했다”라고 말했다.  그는 이어 여행객들이 셀카를 소셜 미디어에 업로드함으로써 버진 홀리데이에게도 큰 브랜드 효과를 전해줬다고 덧붙였다.    해당 캠페인의 도달 범위는 80% 증가했으며 클릭율은 25% 증가했다. 거의 2/3의 사용자가 셀카를 촬영했으며 44%는 1분 이상 머물렀다.  버진 홀...

2019.02.08

윤리적 해커 마이클 코너리가 말하는 '기업 사이버보안의 현 주소'

시큐리티 인 뎁스(Security In Depth)의 마이클 코너리는 열두살 때 처음으로 컴퓨터를 해킹했다. IBM 시스템/370 메인프레임이었다. 그가 해킹한 이유는 하고 싶은 게임이 그 컴퓨터에 설치되어 있어서였다.     코너리는 현재 윤리적 해커(ethical hacker)가 됐으며 수 분 내로 소셜 엔지니어링 공격을 설계할 수 있다.  최근 코너리는 <CIO호주>와 만나 해킹 기술을 가진 해커가 얼마나 쉽게 기업의 방어막을 뚫을 수 있는지 자신의 사이버 공격 솔루션 시뮬레이션인 캔디루(Candiru)로 시연해 보였다.   크리스마스 직전 코너리의 팀은 간단한 피싱 이메일을 만들어 100억 달러 규모의 금융서비스 기업의 지역 사무실 직원들에게 개인 정보를 요구하는 내용의 이메일을 보냈다. 물론 실제로는 기업에서 코너리의 팀을 고용하여 피싱 공격을 하도록 하고 이를 통해 직원들의 사이버보안 교육을 진행하기로 사전에 합의가 되어 있었다.  “귀하의 노고에 감사드립니다”는 제목의 피싱 이메일이 회사 내 140여 명의 직원에게 발송되었다. 이메일에는 가짜 영화 쿠폰이 들어 있었다. 이 쿠폰을 클릭하면 사용자 ID, 패스워드, 비밀번호 같은 개인정보를 입력하는 창이 뜬다.  크리스마스 시즌 직전에 이루어진 테스트였기 때문에 몇몇 직원은 출근하지 않은 상태였다. 그 점을 감안해도 이 링크를 클릭하고, 개인정보를 입력한 직원이 41명이나 된다는 것은 적지 않은 수준이다. 코너리는 “직원 중 대부분은 이메일을 열지 않았지만, 적지 않은 수가 이 수법에 걸려 들었다. 즉, 현실에서는 많은 이들이 이런 수법에 당할 수 있다는 얘기다. 해커들은 이렇게 얻은 정보를 가지고 아웃룩 웹이나 지메일 등 다른 이메일 계정에도 접근할 수 있게 된다”고 설명했다.  피싱 작전을 시작한 지 3시간쯤 지나자 직원 중 한 명이 이것이 피싱임을 깨닫고 나머지 직원...

CIO 아웃룩 365 keylogger 윤리적 해커 키로거 APT10 마임캐스트 보안 교육 사이버보안 소셜 엔지니어링 해커 피싱 사기 지메일 이메일 해킹 캔디루

2019.01.28

시큐리티 인 뎁스(Security In Depth)의 마이클 코너리는 열두살 때 처음으로 컴퓨터를 해킹했다. IBM 시스템/370 메인프레임이었다. 그가 해킹한 이유는 하고 싶은 게임이 그 컴퓨터에 설치되어 있어서였다.     코너리는 현재 윤리적 해커(ethical hacker)가 됐으며 수 분 내로 소셜 엔지니어링 공격을 설계할 수 있다.  최근 코너리는 <CIO호주>와 만나 해킹 기술을 가진 해커가 얼마나 쉽게 기업의 방어막을 뚫을 수 있는지 자신의 사이버 공격 솔루션 시뮬레이션인 캔디루(Candiru)로 시연해 보였다.   크리스마스 직전 코너리의 팀은 간단한 피싱 이메일을 만들어 100억 달러 규모의 금융서비스 기업의 지역 사무실 직원들에게 개인 정보를 요구하는 내용의 이메일을 보냈다. 물론 실제로는 기업에서 코너리의 팀을 고용하여 피싱 공격을 하도록 하고 이를 통해 직원들의 사이버보안 교육을 진행하기로 사전에 합의가 되어 있었다.  “귀하의 노고에 감사드립니다”는 제목의 피싱 이메일이 회사 내 140여 명의 직원에게 발송되었다. 이메일에는 가짜 영화 쿠폰이 들어 있었다. 이 쿠폰을 클릭하면 사용자 ID, 패스워드, 비밀번호 같은 개인정보를 입력하는 창이 뜬다.  크리스마스 시즌 직전에 이루어진 테스트였기 때문에 몇몇 직원은 출근하지 않은 상태였다. 그 점을 감안해도 이 링크를 클릭하고, 개인정보를 입력한 직원이 41명이나 된다는 것은 적지 않은 수준이다. 코너리는 “직원 중 대부분은 이메일을 열지 않았지만, 적지 않은 수가 이 수법에 걸려 들었다. 즉, 현실에서는 많은 이들이 이런 수법에 당할 수 있다는 얘기다. 해커들은 이렇게 얻은 정보를 가지고 아웃룩 웹이나 지메일 등 다른 이메일 계정에도 접근할 수 있게 된다”고 설명했다.  피싱 작전을 시작한 지 3시간쯤 지나자 직원 중 한 명이 이것이 피싱임을 깨닫고 나머지 직원...

2019.01.28

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13