Offcanvas

������ ������

"모든 정보 유출이 심각한 것은 아니야"··· 데이터 사고 '위험성 평가'가 필요한 이유

이제는 데이터 유출이 너무 흔해져 기밀 정보 10억 건이 탈취돼도 거의 보도되지 않을 정도다. 그러나 더 심각한 것은 우리의 정보와 관련된 모든 데이터 유출이 서로 혼합된다는 점이다. 사실 개인 정보는 이미 여러 번 노출된 느낌이다. 그러니 한번 (또는 열 번) 더 그런 일이 일어난다고 해서 누가 신경 쓰겠는가. 개인 정보 유출 사고가 또 일어나도 무신경한 이유다. 처음에는 데이터 유출 소식이 있을 때마다 두려워했지만 지금은 전혀 그렇지 않다. 필자는 예전에 대부분의 데이터 유출과 관련해 유용한 위험 관리 데이터가 부재하다고 지적한 바 있다. 즉, 개별적인 데이터 유출과 관련된 정보 자체가 부족해 이해 관계자가 데이터 유출의 심각성을 판단할 수 없다. 예를 들어, 병원이 사무실을 이전하면서 실수로 옛 사무실에 개인 의료정보를 남겨 두는 경우 엄밀히 말해 '데이터 유출'인 것은 맞다. 그러나 마치 범죄자가 정보를 탈취한 악성 데이터 유출 사건처럼 심각하게 취급하는 것은 과하다. 웹사이트 코딩 오류로 인해 기록이 노출되고 선량한 해커가 이를 공개하는 경우도 마찬가지다. 마치 악의적인 해커가 이 취약성을 이용해 웹사이트에 저장된 모든 기록을 빼간 것과 마찬가지로 취급된다. '기록 10억 건 노출!'이라고 대서특필되지만 결과적으로 누군가 악의적으로 기록 한 건이라도 빼냈다는 증거는 없다. '노출'은 실제 '탈취'와는 전혀 다른 위험인데도 언론에서는 이를 똑같이 다룬다. 이처럼 모든 데이터 유출은 좋지 않은 것으로 취급된다. 실제 위험은 그렇게 심각하지 않은 경우에도 마찬가지다. 그래서 필자는 데이터 유출 평가 시스템 구축을 제안한 바 있다. 마치 현재 신고된 소프트웨어 취약성에 대해 적용하는 것과 비슷한 방식이다. 수십 명의 보안 전문가가 이 제안에 동의하고 있고, 심지어는 필자가 제안한 것과 똑같은 것을 개발 중이라고 밝힌 사람도 몇 명 있었다. 유출 위험에 통찰력을 제공하는 BC 사이트 그중 하나를 살펴보자. 최근 퓨처리온(Futurion) CEO 짐 ...

보안 해킹 정보 유출 Breach Clarity 데이터 사고

2019.07.19

이제는 데이터 유출이 너무 흔해져 기밀 정보 10억 건이 탈취돼도 거의 보도되지 않을 정도다. 그러나 더 심각한 것은 우리의 정보와 관련된 모든 데이터 유출이 서로 혼합된다는 점이다. 사실 개인 정보는 이미 여러 번 노출된 느낌이다. 그러니 한번 (또는 열 번) 더 그런 일이 일어난다고 해서 누가 신경 쓰겠는가. 개인 정보 유출 사고가 또 일어나도 무신경한 이유다. 처음에는 데이터 유출 소식이 있을 때마다 두려워했지만 지금은 전혀 그렇지 않다. 필자는 예전에 대부분의 데이터 유출과 관련해 유용한 위험 관리 데이터가 부재하다고 지적한 바 있다. 즉, 개별적인 데이터 유출과 관련된 정보 자체가 부족해 이해 관계자가 데이터 유출의 심각성을 판단할 수 없다. 예를 들어, 병원이 사무실을 이전하면서 실수로 옛 사무실에 개인 의료정보를 남겨 두는 경우 엄밀히 말해 '데이터 유출'인 것은 맞다. 그러나 마치 범죄자가 정보를 탈취한 악성 데이터 유출 사건처럼 심각하게 취급하는 것은 과하다. 웹사이트 코딩 오류로 인해 기록이 노출되고 선량한 해커가 이를 공개하는 경우도 마찬가지다. 마치 악의적인 해커가 이 취약성을 이용해 웹사이트에 저장된 모든 기록을 빼간 것과 마찬가지로 취급된다. '기록 10억 건 노출!'이라고 대서특필되지만 결과적으로 누군가 악의적으로 기록 한 건이라도 빼냈다는 증거는 없다. '노출'은 실제 '탈취'와는 전혀 다른 위험인데도 언론에서는 이를 똑같이 다룬다. 이처럼 모든 데이터 유출은 좋지 않은 것으로 취급된다. 실제 위험은 그렇게 심각하지 않은 경우에도 마찬가지다. 그래서 필자는 데이터 유출 평가 시스템 구축을 제안한 바 있다. 마치 현재 신고된 소프트웨어 취약성에 대해 적용하는 것과 비슷한 방식이다. 수십 명의 보안 전문가가 이 제안에 동의하고 있고, 심지어는 필자가 제안한 것과 똑같은 것을 개발 중이라고 밝힌 사람도 몇 명 있었다. 유출 위험에 통찰력을 제공하는 BC 사이트 그중 하나를 살펴보자. 최근 퓨처리온(Futurion) CEO 짐 ...

2019.07.19

'사고 나도 보상 못 받는다던데···' 사이버 보안 보험 들어야 할까

사이버보안이 대부분 기업의 가장 중요한 현안이라는 것은 두말할 나위가 없다. 일부 형태의 공격은 줄고 있지만 데이터 유출로 고통받는 기업의 끔찍한 이야기와 그 재앙적 결과가 끝없이 회자하고 있다. 실제로 지난달 노르웨이의 알루미늄 생산업체 노스키 하이드로(Norsk Hydro)가 랜섬웨어 공격을 받아 170개 지역에서 총 2만 2000대의 컴퓨터를 오프라인으로 전환해 사용해야 했다. 업체는 컴퓨터 복구를 놓고 해커와 협상하지 않기로 최종적으로 결정했지만 오프라인 상태인 장비를 다시 온라인으로 전환하는 데 현재까지 4500만 유로 이상을 사용했다. 데이터가 점점 더 기업 비즈니스 모델의 중추 역할을 하고, 데이터 보호를 소홀히 했을 때의 벌금과 사회적 반향의 위험이 커지면서, 최악의 경우 심각한 데이터 유출로 인해 회사가 문을 닫아야 할 수도 있다. 불행하게도 전통적인 사이버 보안 대책은 점점 증가하는 복잡하고 표적화된 공격을 막는 데 완벽하지 않다. 더욱이 국가의 지원을 받는 해킹이 만연하면서, 이제는 많은 기업이 데이터 유출을 마치 죽음과 세금처럼 '피할 수 없는 것'으로 봐야 하는 것은 아닌지 우려하고 있다. 그렇다면 이런 우려의 해법은 무엇일까? 보험이 한가지 대안이 될 수 있다. 예를 들어 기업이 물리적인 자산을 도둑맞으면 적절한 보험을 통해 손해를 메울 수 있다. 같은 방식을 데이터 유출에도 적용하는 것이다. 즉 사이버 보험이다. 남은 의문은 이런 보험이 노스키 하이드로 같은 대규모 공격의 피해를 줄이는 데 실제로 도움이 될지다. 사이버 보험은 기업을 보호할까 사이버 보험은 새로운 개념이 아니다. 이미 1990년대에 처음 등장했고 이후 점점 인기를 얻고 있다. 그러나 텔스트라 시큐리티(Telstra Security)의 최신 보고서에 따르면, 사이버 보안 보험에 가입한 기업의 36%가 사이버 공격을 받았을 때 어떤 보장을 받을 수 있는지 여전히 많은 부분이 모호하고 의문투성이라고 답했다. 실제로 올해 초 미국 식료품 업체인 몬델레즈(Mond...

해킹 정보 유출 사이버 보험 사이버 보안 보험

2019.06.28

사이버보안이 대부분 기업의 가장 중요한 현안이라는 것은 두말할 나위가 없다. 일부 형태의 공격은 줄고 있지만 데이터 유출로 고통받는 기업의 끔찍한 이야기와 그 재앙적 결과가 끝없이 회자하고 있다. 실제로 지난달 노르웨이의 알루미늄 생산업체 노스키 하이드로(Norsk Hydro)가 랜섬웨어 공격을 받아 170개 지역에서 총 2만 2000대의 컴퓨터를 오프라인으로 전환해 사용해야 했다. 업체는 컴퓨터 복구를 놓고 해커와 협상하지 않기로 최종적으로 결정했지만 오프라인 상태인 장비를 다시 온라인으로 전환하는 데 현재까지 4500만 유로 이상을 사용했다. 데이터가 점점 더 기업 비즈니스 모델의 중추 역할을 하고, 데이터 보호를 소홀히 했을 때의 벌금과 사회적 반향의 위험이 커지면서, 최악의 경우 심각한 데이터 유출로 인해 회사가 문을 닫아야 할 수도 있다. 불행하게도 전통적인 사이버 보안 대책은 점점 증가하는 복잡하고 표적화된 공격을 막는 데 완벽하지 않다. 더욱이 국가의 지원을 받는 해킹이 만연하면서, 이제는 많은 기업이 데이터 유출을 마치 죽음과 세금처럼 '피할 수 없는 것'으로 봐야 하는 것은 아닌지 우려하고 있다. 그렇다면 이런 우려의 해법은 무엇일까? 보험이 한가지 대안이 될 수 있다. 예를 들어 기업이 물리적인 자산을 도둑맞으면 적절한 보험을 통해 손해를 메울 수 있다. 같은 방식을 데이터 유출에도 적용하는 것이다. 즉 사이버 보험이다. 남은 의문은 이런 보험이 노스키 하이드로 같은 대규모 공격의 피해를 줄이는 데 실제로 도움이 될지다. 사이버 보험은 기업을 보호할까 사이버 보험은 새로운 개념이 아니다. 이미 1990년대에 처음 등장했고 이후 점점 인기를 얻고 있다. 그러나 텔스트라 시큐리티(Telstra Security)의 최신 보고서에 따르면, 사이버 보안 보험에 가입한 기업의 36%가 사이버 공격을 받았을 때 어떤 보장을 받을 수 있는지 여전히 많은 부분이 모호하고 의문투성이라고 답했다. 실제로 올해 초 미국 식료품 업체인 몬델레즈(Mond...

2019.06.28

"고객 정보 유출 사건에서 얻은 교훈은…" 톡톡 전임 CEO의 고백

지난주 유럽에서 열린 보안 행사인 인포시큐리티 유럽 2018에서 영국 통신사 톡톡(Talk Talk)의 CEO였던 다이도 하딩이 다른 비즈니스 리더에게 보안 위험에 관해 이사회단 의견의 중요성을 강조했다. 하딩은 2015년 10월의 톡톡 웹 사이트 해킹을 언급하며, 경찰과 다른 몇몇 사람들이 이 결정에 대해 이의를 제기했는데도 당시 공격 사실을 고객에게 알리자는 회사의 결정을 고수했다. 하딩에 따르면, 12시간 만에 어떤 데이터가 있었고 얼마나 많은 데이터가 수집되었는지 파악하지 못한다고 해도 데이터와 개인정보를 보호하고 고객에게 관심을 기울이는 것이 우선시 돼야 한다. "약 12시간 만에 우리가 무엇을 보유하고 있는지 파악하지 못했지만 많은 데이터를 도난당했을 가능성이 매우 높았다"며 "사건이 과열되면서 정말로 어려운 일은 모른다는 것이다”고 하딩은 지적했다. 이어서 "우리는 잠재적으로 모든 고객 데이터가 도난당했다는 것을 알고 있었지만 정확히 무엇을 도난당했는지 알지 못했고 우리가 알아내는 데 시간이 걸릴 것을 알고 있었다"고 덧붙였다. 이 회사는 당시에 15만 5,600개 이상의 은행 계좌번호와 정렬 코드를 도난당했으며 15만 명이 넘는 고객 데이터를 침해당했다는 사실을 발견했다. 하딩은 톡톡의 희망사항이 고객에게 초점을 맞추는 것이었으며, 경찰과 GCHQ(Government Communication Headquarters)에 대한 다른 접근 방법으로 설명했다. 이 접근법은 즉시 범죄자를 잡으려고 했다.   “사실 우리 고객을 돌보는 것이 바로 우리가 해야 할 유일한 일이었다. 경찰은 나쁜 일을 하고 있는 것이 아니라 사기극을 잡는 것이 목표였으며 GCHQ의 기능은 국가 안보였다"고 하딩은 이야기했다. 하딩은 공격을 받고 나서 3개월이 지난 후 회사 브랜드가 그 전보다 더 신뢰를 받게 됐다고 주장했다. 이는 고객의 개인정보 현황에 ...

CIO 톡톡 정보 유출 통신 이사회 개인정보 해킹 M&A CEO 인수 인포시큐리티 유럽 2018

2018.06.11

지난주 유럽에서 열린 보안 행사인 인포시큐리티 유럽 2018에서 영국 통신사 톡톡(Talk Talk)의 CEO였던 다이도 하딩이 다른 비즈니스 리더에게 보안 위험에 관해 이사회단 의견의 중요성을 강조했다. 하딩은 2015년 10월의 톡톡 웹 사이트 해킹을 언급하며, 경찰과 다른 몇몇 사람들이 이 결정에 대해 이의를 제기했는데도 당시 공격 사실을 고객에게 알리자는 회사의 결정을 고수했다. 하딩에 따르면, 12시간 만에 어떤 데이터가 있었고 얼마나 많은 데이터가 수집되었는지 파악하지 못한다고 해도 데이터와 개인정보를 보호하고 고객에게 관심을 기울이는 것이 우선시 돼야 한다. "약 12시간 만에 우리가 무엇을 보유하고 있는지 파악하지 못했지만 많은 데이터를 도난당했을 가능성이 매우 높았다"며 "사건이 과열되면서 정말로 어려운 일은 모른다는 것이다”고 하딩은 지적했다. 이어서 "우리는 잠재적으로 모든 고객 데이터가 도난당했다는 것을 알고 있었지만 정확히 무엇을 도난당했는지 알지 못했고 우리가 알아내는 데 시간이 걸릴 것을 알고 있었다"고 덧붙였다. 이 회사는 당시에 15만 5,600개 이상의 은행 계좌번호와 정렬 코드를 도난당했으며 15만 명이 넘는 고객 데이터를 침해당했다는 사실을 발견했다. 하딩은 톡톡의 희망사항이 고객에게 초점을 맞추는 것이었으며, 경찰과 GCHQ(Government Communication Headquarters)에 대한 다른 접근 방법으로 설명했다. 이 접근법은 즉시 범죄자를 잡으려고 했다.   “사실 우리 고객을 돌보는 것이 바로 우리가 해야 할 유일한 일이었다. 경찰은 나쁜 일을 하고 있는 것이 아니라 사기극을 잡는 것이 목표였으며 GCHQ의 기능은 국가 안보였다"고 하딩은 이야기했다. 하딩은 공격을 받고 나서 3개월이 지난 후 회사 브랜드가 그 전보다 더 신뢰를 받게 됐다고 주장했다. 이는 고객의 개인정보 현황에 ...

2018.06.11

'3개월 미사용 앱, 사용자 정보 접근 차단 外'··· 페이스북, 정보 유출 대책안 공개

개인정보 유출 사태로 사용자들의 거센 항의에 직면하고 있는 페이스북이 재발 방지를 위한 대책안을 22일 공개했다. 회사 측은 이번 사태에 대해 "케임브리지 애널리티카(Cambridge Analytica)의 플랫폼 약관 위반 행위에 따른 것"이라고 주장하며, 이번 대책안에는 페이스북 사용자 보호 및 조사 방안, 재발 방지 방안 등을 다루고 있다고 설명했다. 페이스북의 마크 저커버그 CEO 또한 사태 발생 5일 만에 자신의 페이스북을 통해 입을 열었다. 그는 페이스북이 실수했다고 인정하며 "만약 우리가 당신의 데이터를 보호하지 못한다면, 서비스할 자격이 없다. 우리에게는 당신의 데이터를 보호할 책이 있다"라며, "이러 상황이 정확히 어떻게 발생했는지, 앞으로 이런 일이 발생하지 않으려면 어떻게 해야 할지 살펴보고 있다"라고 밝혔다. 페이스북코리아 측이 밝힌'페이스북 플랫폼에서 사용자 정보가 유용되는 것을 막기 위한 계획'은 다음과 같다. 1. 페이스북 플랫폼에 대한 검토 앱 개발자가 접근하는 페이스북 사용자 정보의 범위를 제한하기 위해 플랫폼 약관을 변경한 2014년 이전, 대량의 사용자 정보에 접근한 것으로 파악되는 모든 앱에 대한 조사를 실시하겠습니다. 아울러, 수상한 움직임이 포착된 모든 앱에 대해서도 전수조사 하겠습니다. 만일 특정 개인을 식별할 수 있는 정보를 옳지 않은 방법으로 유용한 앱 개발자가 있다면, 페이스북 플랫폼에서 즉각 퇴출 시키겠습니다. 2. 불법적으로 사용된 데이터에 대한 고지 개인 식별 정보를 옳지 않은 방법으로 사용한 애플리케이션으로 인해 영향을 받은 사용자들에게 해당 상황을 안내하겠습니다. 여기에는 ‘thisisyourdigitallife’ 앱이 사용자 자신의 정보에 접근했는지 여부를 확인할 수 있는 방법도 포함될 예정입니다. 향후, 사용자 정보를 무단으로 유용한 앱을 페이스북 플랫폼에서 제거함과 동시에, 해당 앱을...

페이스북 정보 유출 사용자 정보

2018.03.22

개인정보 유출 사태로 사용자들의 거센 항의에 직면하고 있는 페이스북이 재발 방지를 위한 대책안을 22일 공개했다. 회사 측은 이번 사태에 대해 "케임브리지 애널리티카(Cambridge Analytica)의 플랫폼 약관 위반 행위에 따른 것"이라고 주장하며, 이번 대책안에는 페이스북 사용자 보호 및 조사 방안, 재발 방지 방안 등을 다루고 있다고 설명했다. 페이스북의 마크 저커버그 CEO 또한 사태 발생 5일 만에 자신의 페이스북을 통해 입을 열었다. 그는 페이스북이 실수했다고 인정하며 "만약 우리가 당신의 데이터를 보호하지 못한다면, 서비스할 자격이 없다. 우리에게는 당신의 데이터를 보호할 책이 있다"라며, "이러 상황이 정확히 어떻게 발생했는지, 앞으로 이런 일이 발생하지 않으려면 어떻게 해야 할지 살펴보고 있다"라고 밝혔다. 페이스북코리아 측이 밝힌'페이스북 플랫폼에서 사용자 정보가 유용되는 것을 막기 위한 계획'은 다음과 같다. 1. 페이스북 플랫폼에 대한 검토 앱 개발자가 접근하는 페이스북 사용자 정보의 범위를 제한하기 위해 플랫폼 약관을 변경한 2014년 이전, 대량의 사용자 정보에 접근한 것으로 파악되는 모든 앱에 대한 조사를 실시하겠습니다. 아울러, 수상한 움직임이 포착된 모든 앱에 대해서도 전수조사 하겠습니다. 만일 특정 개인을 식별할 수 있는 정보를 옳지 않은 방법으로 유용한 앱 개발자가 있다면, 페이스북 플랫폼에서 즉각 퇴출 시키겠습니다. 2. 불법적으로 사용된 데이터에 대한 고지 개인 식별 정보를 옳지 않은 방법으로 사용한 애플리케이션으로 인해 영향을 받은 사용자들에게 해당 상황을 안내하겠습니다. 여기에는 ‘thisisyourdigitallife’ 앱이 사용자 자신의 정보에 접근했는지 여부를 확인할 수 있는 방법도 포함될 예정입니다. 향후, 사용자 정보를 무단으로 유용한 앱을 페이스북 플랫폼에서 제거함과 동시에, 해당 앱을...

2018.03.22

클라우드 쓰면서 GDPR 준수, 가능할까?

2018년 5월 25일 GDPR 시행을 앞두고 클라우드 서비스를 통해 데이터를 처리하는 조직에 다소 곤란한 문제가 생겼다. 클라우드에서 GDPR 준수는 다소 까다로운 면이 있다. 세일즈포스나 드롭박스 같은 클라우드 이용 업체들은 각각의 데이터 활동이 GDPR 규정에 부합하는지를 확인해야 한다. 그러나 유럽 기업들이 평균적으로 608개의 클라우드 앱을 사용하는 상황에서 이러한 작업은 절대 쉽지 않을 것이라고 넷스코프(Netskope)는 연구 결과를 통해 밝혔다. 최근 컴볼트(Commvault)가 진행한 설문조사에 따르면, 전 세계 177개 IT기관들 중 12%만이 GDPR이 클라우드 서비스에 미치게 될 영향을 제대로 이해하고 있었다. 데이터 작업이 새로운 GDPR 규정에 부합하도록 하려면 우선 클라우드의 정보 관리에 GDPR이 미치게 될 영향을 이해해야 한다. UKCloud의 컴플라이언스 및 정보 보증 디렉터 존 굿윈은 클라우드섹 2017(Cloudsec 2017)에서 “마치 브라이턴 락(Brighton rock)과 비슷하다. 이제는 GDPR 규정이 기관의 모든 활동의 핵심을 관통해야 한다. 부서나 직무를 막론하고, 기관에서 근무하는 모든 이들이 GDPR 규정을 알고 있어야 한다”고 말했다. 데이터 주체들도 가만히 있어선 안 된다. 자신의 데이터가 어떻게 쓰이는지, 안전하게 보호되고 있는지, 그리고 스스로 인지하고 있는 목적으로만 사용되고 있는지 끊임없이 감시해야 한다. 그런데 이는 데이터의 위치를 파악하기 어려운 클라우드에서는 쉽지 않은 일이 될 수 있다. 굿윈은 “데이터 주체의 권리 역시 이제는 우리가 신경 써야 할 영역이다. 특히 클라우드 서비스를 사용하게 되면, 이러한 클라우드 서비스가 데이터 주체의 권리를 어떻게 보장해 줄 수 있는지 알고 있어야 한다”고 말했다. 개인정보 보호 최적화 설계란? 개인정보 보호 최적화 설계, 또는 ‘pr...

세일즈포스 DPIA 넷스코프 GDPR 정보 유출 벌금 컴볼트 드롭박스 규제 소송 개인정보 보호 데이터 프라이버시 영향 평가

2018.01.17

2018년 5월 25일 GDPR 시행을 앞두고 클라우드 서비스를 통해 데이터를 처리하는 조직에 다소 곤란한 문제가 생겼다. 클라우드에서 GDPR 준수는 다소 까다로운 면이 있다. 세일즈포스나 드롭박스 같은 클라우드 이용 업체들은 각각의 데이터 활동이 GDPR 규정에 부합하는지를 확인해야 한다. 그러나 유럽 기업들이 평균적으로 608개의 클라우드 앱을 사용하는 상황에서 이러한 작업은 절대 쉽지 않을 것이라고 넷스코프(Netskope)는 연구 결과를 통해 밝혔다. 최근 컴볼트(Commvault)가 진행한 설문조사에 따르면, 전 세계 177개 IT기관들 중 12%만이 GDPR이 클라우드 서비스에 미치게 될 영향을 제대로 이해하고 있었다. 데이터 작업이 새로운 GDPR 규정에 부합하도록 하려면 우선 클라우드의 정보 관리에 GDPR이 미치게 될 영향을 이해해야 한다. UKCloud의 컴플라이언스 및 정보 보증 디렉터 존 굿윈은 클라우드섹 2017(Cloudsec 2017)에서 “마치 브라이턴 락(Brighton rock)과 비슷하다. 이제는 GDPR 규정이 기관의 모든 활동의 핵심을 관통해야 한다. 부서나 직무를 막론하고, 기관에서 근무하는 모든 이들이 GDPR 규정을 알고 있어야 한다”고 말했다. 데이터 주체들도 가만히 있어선 안 된다. 자신의 데이터가 어떻게 쓰이는지, 안전하게 보호되고 있는지, 그리고 스스로 인지하고 있는 목적으로만 사용되고 있는지 끊임없이 감시해야 한다. 그런데 이는 데이터의 위치를 파악하기 어려운 클라우드에서는 쉽지 않은 일이 될 수 있다. 굿윈은 “데이터 주체의 권리 역시 이제는 우리가 신경 써야 할 영역이다. 특히 클라우드 서비스를 사용하게 되면, 이러한 클라우드 서비스가 데이터 주체의 권리를 어떻게 보장해 줄 수 있는지 알고 있어야 한다”고 말했다. 개인정보 보호 최적화 설계란? 개인정보 보호 최적화 설계, 또는 ‘pr...

2018.01.17

'나도 데이터 유출 피해자 될 수 있다' 전세계 소비자 2/3 인지

젬알토(Gemalto)가 전세계 성인 소비자 1만 500명을 대상으로 한 조사에 따르면, 이들 대다수가 데이터 유출 사고 이후 해당 기업과 거래를 끊겠다고 밝혔다. 데이터 침해 사고 이후 해당 기업과 거래를 끊겠다고 밝힌 분야를 보면, 유통(61%), 은행(59%), 소셜미디어(58%)가 특히 많았다. 또한 기업이 고객 데이터 보안을 매우 중시하는 것 같지 않다고 생각하는 응답자는 10명 중 7명(69%)이나 됐다. 이 조사에 따르면, 여러 온라인 계정에 관해 동일한 암호를 사용하는 소비자는 절반 이상을 차지함으로써 자신을 적절히 보호하지 못하고 있는 것으로 나타났다. 이중 인증 같은 강력한 보안 솔루션에 관해서도 소비자 5분의 2(41%)는 소셜미디어 계정을 보호하기 위해 이 기술을 사용하지 않아 데이터 침해에 취약해질 수 있음을 알고 있었다. 이 조사에서 절반 이상의 소비자(62%)는 자신의 데이터를 보유한 기업이 대부분 책임을 지고 있으며 손상된 비즈니스에 대해 법적 조처를 하거나 고려할 것이라고 답했다. 이에 대응하여 기업은 강력한 보안 수단을 마련하고 교육을 통해 소비자를 보호하기 위한 추가 조처를 하고 있다. 젬알토의 ID 및 데이터 보호 담당 CTO인 제이슨 하트는 "데이터 보호 책임을 분명 소비자는 기업에게 전가해 편하다고 생각하면서 자신의 노력 없이 안전하게 유지되기를 바라고 있다"고 지적했다. 하트는 "GDPR 등 조만간 적용되는 데이터 규제에 직면하여 데이터 보안을 유지하기 위해 고객에게 보안 프로토콜을 강요하는 것은 기업에 달려 있다. 이제는 이러한 솔루션을 옵션으로 제공하는 것만으로는 충분하지 않다. 그렇지 않으면 기업은 재정적인 결과뿐 아니라 잠재적으로 소비자의 법적 조치에 직면하게 될 것이다"고 설명했다. 이 조사에는 미국, 영국, 프랑스, 독일, 인도, 일본, 호주, 브라질, 베네룩스, UAE, 남아프리카 소비자가 참여했다. 설문 조사에 참여한 모든 사람은 ...

은행 GDPR 젬알토 이중 인증 정보 유출 소비자 계정 암호 소셜미디어 조사 피해자

2017.12.08

젬알토(Gemalto)가 전세계 성인 소비자 1만 500명을 대상으로 한 조사에 따르면, 이들 대다수가 데이터 유출 사고 이후 해당 기업과 거래를 끊겠다고 밝혔다. 데이터 침해 사고 이후 해당 기업과 거래를 끊겠다고 밝힌 분야를 보면, 유통(61%), 은행(59%), 소셜미디어(58%)가 특히 많았다. 또한 기업이 고객 데이터 보안을 매우 중시하는 것 같지 않다고 생각하는 응답자는 10명 중 7명(69%)이나 됐다. 이 조사에 따르면, 여러 온라인 계정에 관해 동일한 암호를 사용하는 소비자는 절반 이상을 차지함으로써 자신을 적절히 보호하지 못하고 있는 것으로 나타났다. 이중 인증 같은 강력한 보안 솔루션에 관해서도 소비자 5분의 2(41%)는 소셜미디어 계정을 보호하기 위해 이 기술을 사용하지 않아 데이터 침해에 취약해질 수 있음을 알고 있었다. 이 조사에서 절반 이상의 소비자(62%)는 자신의 데이터를 보유한 기업이 대부분 책임을 지고 있으며 손상된 비즈니스에 대해 법적 조처를 하거나 고려할 것이라고 답했다. 이에 대응하여 기업은 강력한 보안 수단을 마련하고 교육을 통해 소비자를 보호하기 위한 추가 조처를 하고 있다. 젬알토의 ID 및 데이터 보호 담당 CTO인 제이슨 하트는 "데이터 보호 책임을 분명 소비자는 기업에게 전가해 편하다고 생각하면서 자신의 노력 없이 안전하게 유지되기를 바라고 있다"고 지적했다. 하트는 "GDPR 등 조만간 적용되는 데이터 규제에 직면하여 데이터 보안을 유지하기 위해 고객에게 보안 프로토콜을 강요하는 것은 기업에 달려 있다. 이제는 이러한 솔루션을 옵션으로 제공하는 것만으로는 충분하지 않다. 그렇지 않으면 기업은 재정적인 결과뿐 아니라 잠재적으로 소비자의 법적 조치에 직면하게 될 것이다"고 설명했다. 이 조사에는 미국, 영국, 프랑스, 독일, 인도, 일본, 호주, 브라질, 베네룩스, UAE, 남아프리카 소비자가 참여했다. 설문 조사에 참여한 모든 사람은 ...

2017.12.08

'무엇을? 어떻게? 얼마나?' 사이버 보험 가입 전 확인할 것들

다수의 보안 전문가에 따르면, 사이버보안 사고 때문에 사이버 보험이 인기를 끌 수도 있지만 사이버 보험의 보호 대상부터 피해 범위 등 복잡한 문제들이 있다.  사이버 보안 사고가 발생한 이후 CIO나 CISO는 피해 규모를 산정하는 일을 맡는다. 이때 기업이 제시한 피해 보상을 선뜻 받아들이는 소비자는 별로 없으며 오히려 비난하는 사람들은 많다. 그리고 사이버 보험료를 청구하는 것과 관련해 이러한 비난은 더욱 거세진다. 일반적으로 기업 사이버 보험에 관한 논의는 다음과 같이 진행된다. CEO나 이사회장이 CISO를 호출하고 보험사가 청구 금액의 38%만 지불할 것이며 그 이유가 "영향을 받는 애플리케이션에서 암호화를 이행하지 않았기 때문"이라고 이야기한다. 이때 CISO는 다음과 같이 말한다. "첫째, 나는 회사가 사이버 보안 보험에 가입했는지 몰랐다. 둘째, 영향을 받는 앱은 ATM 기계를 운용하고 있으며 이를 암호화하면 고객들의 접근이 불가능했을 것이기 때문에 분명 나를 해고했을 것이다. 이러한 정책을 실행하기 전에 나와 논의했어야 했다." 사이버 공격에 대한 대비책으로 회사가 보험에 가입했다는 이야기는 실제 비즈니스 사례보다는 미국 드라마인 ‘실리콘밸리(Silicon Valley)’의 에피소드처럼 들릴 것이다. 하지만 PPRA(PivotPoint Risk Analytics)의 CEO 줄리안 웨이츠 주니어(왼쪽 사진)는 해킹 발견 시 이러한 일이 자주 발생한다고 밝혔다. 그는 "CISO에게 알리지 않고 사이버 보험에 가입한다"며 "재무 위험 전가 문제를 해결하기 위해 서로 협력해야 한다고 생각하는 것들에 관해 논의하지 않는 경우가 많다"고 지적했다. 무엇을 보호해야 하나? ‘합의’된 내용이 없다 CISO와 논의하지 않고 사이버 보험에 가입한 결과, 기업들은 보험 증서에서 말하는 ‘보호...

CIO 어드바이슨 SANS 인스티튜트 사이버 보험 보험료 정보 유출 보안 사고 사이버보안 CISO 조사 PPRA

2016.07.12

다수의 보안 전문가에 따르면, 사이버보안 사고 때문에 사이버 보험이 인기를 끌 수도 있지만 사이버 보험의 보호 대상부터 피해 범위 등 복잡한 문제들이 있다.  사이버 보안 사고가 발생한 이후 CIO나 CISO는 피해 규모를 산정하는 일을 맡는다. 이때 기업이 제시한 피해 보상을 선뜻 받아들이는 소비자는 별로 없으며 오히려 비난하는 사람들은 많다. 그리고 사이버 보험료를 청구하는 것과 관련해 이러한 비난은 더욱 거세진다. 일반적으로 기업 사이버 보험에 관한 논의는 다음과 같이 진행된다. CEO나 이사회장이 CISO를 호출하고 보험사가 청구 금액의 38%만 지불할 것이며 그 이유가 "영향을 받는 애플리케이션에서 암호화를 이행하지 않았기 때문"이라고 이야기한다. 이때 CISO는 다음과 같이 말한다. "첫째, 나는 회사가 사이버 보안 보험에 가입했는지 몰랐다. 둘째, 영향을 받는 앱은 ATM 기계를 운용하고 있으며 이를 암호화하면 고객들의 접근이 불가능했을 것이기 때문에 분명 나를 해고했을 것이다. 이러한 정책을 실행하기 전에 나와 논의했어야 했다." 사이버 공격에 대한 대비책으로 회사가 보험에 가입했다는 이야기는 실제 비즈니스 사례보다는 미국 드라마인 ‘실리콘밸리(Silicon Valley)’의 에피소드처럼 들릴 것이다. 하지만 PPRA(PivotPoint Risk Analytics)의 CEO 줄리안 웨이츠 주니어(왼쪽 사진)는 해킹 발견 시 이러한 일이 자주 발생한다고 밝혔다. 그는 "CISO에게 알리지 않고 사이버 보험에 가입한다"며 "재무 위험 전가 문제를 해결하기 위해 서로 협력해야 한다고 생각하는 것들에 관해 논의하지 않는 경우가 많다"고 지적했다. 무엇을 보호해야 하나? ‘합의’된 내용이 없다 CISO와 논의하지 않고 사이버 보험에 가입한 결과, 기업들은 보험 증서에서 말하는 ‘보호...

2016.07.12

트위터, 사용자 정보 유출 확인… "계정 잠금 처리"

트위터가 사용자 로그인 정보 유출 사실을 확인하고, 해킹된 계정을 잠금 처리했다. 지난주, 리크드소스는 트위터 계정 3,200만 개의 로그인 정보 데이터베이스가 다크웹(dark web)에 서 거래되고 있다고 보도한 바 있다. 트위터는 해당 데이터베이스를 입수, 자사의 데이터와 비교했는데, 그 결과 다수의 계정이 일치하는 것으로 나타났다. 트위터는 해당 계정을 잠금 처리하고, 사용자들에게는 이메일로 고지했다고 밝혔다. 정보가 유출된 계정의 수는 확실하지 않지만, 트위터는 월스트리트 측에 ‘수백만’ 명의 사용자가 피해를 입었다고 밝혔다. 또한, 공개된 정보 중 수백만 건이 유효하지않는 데이터라고 전했다. 또한, 데이터 유출 과정에 대해서 트위터는 자사의 서버가 아니라, 다른 사이트에서 최근에 유출된 데이터와 모든 사이트의 비밀번호를 훔치는 악성코드로 유출된 정보를 조합해서 만들어진 것으로 보인다고 설명했다. 이번 사고는 비밀번호 재설정 알림을 위해 정상적인 이메일 주소를 유지하는 것이 얼마나 중요한 지 보여준다. 또한, 비밀번호 관리 프로그램을 이용해서 여러 사이트에 같은 비밀번호를 재사용하지 않도록 하며, 가능하면 2요소 인증을 활성화시켜야 한다. 트위터 역시 이번 사고에 대한 발표에서 같은 내용을 강조했다. editor@itworld.co.kr  

데이터 보안 해킹 트위터 개인정보 정보 유출 로그인정보

2016.06.14

트위터가 사용자 로그인 정보 유출 사실을 확인하고, 해킹된 계정을 잠금 처리했다. 지난주, 리크드소스는 트위터 계정 3,200만 개의 로그인 정보 데이터베이스가 다크웹(dark web)에 서 거래되고 있다고 보도한 바 있다. 트위터는 해당 데이터베이스를 입수, 자사의 데이터와 비교했는데, 그 결과 다수의 계정이 일치하는 것으로 나타났다. 트위터는 해당 계정을 잠금 처리하고, 사용자들에게는 이메일로 고지했다고 밝혔다. 정보가 유출된 계정의 수는 확실하지 않지만, 트위터는 월스트리트 측에 ‘수백만’ 명의 사용자가 피해를 입었다고 밝혔다. 또한, 공개된 정보 중 수백만 건이 유효하지않는 데이터라고 전했다. 또한, 데이터 유출 과정에 대해서 트위터는 자사의 서버가 아니라, 다른 사이트에서 최근에 유출된 데이터와 모든 사이트의 비밀번호를 훔치는 악성코드로 유출된 정보를 조합해서 만들어진 것으로 보인다고 설명했다. 이번 사고는 비밀번호 재설정 알림을 위해 정상적인 이메일 주소를 유지하는 것이 얼마나 중요한 지 보여준다. 또한, 비밀번호 관리 프로그램을 이용해서 여러 사이트에 같은 비밀번호를 재사용하지 않도록 하며, 가능하면 2요소 인증을 활성화시켜야 한다. 트위터 역시 이번 사고에 대한 발표에서 같은 내용을 강조했다. editor@itworld.co.kr  

2016.06.14

'이젠 로펌도…' 파나마 페이퍼로 본 기업의 정보보안 책임은 어디까지?

기업의 사이버보안 위험을 관리하는데 법이 학문적 접근의 중요한 측면으로써 필요하다. 모색 폰세카라는 로펌이 해킹돼 파나마 페이퍼 문건이 유출된 일은 법적 관점에서 시사하는 바가 크다.  로펌이 보안의 취약점이 될 수 있다 우선 기업으로부터 의뢰받은 로펌은 해당 기업보다는 조금 덜 어려운 해킹 대상이 될 수 있다. 일반적으로 변호사는 고급 정보를 알고 있다. 로펌이 정보를 덜 안전하게 보관하고 있다면 기업의 정보망을 뚫는 것은 시간 낭비가 아닐까? 파나마 페이퍼의 경우 자사 수십만 고객으로부터 얻은 고급 정보를 매우 많이 보관하고 있었다. 지난달 주요 뉴욕에 있는 로펌인 크라바스(Cravaths)와 웨일 고스찰(Weil Gotschal)은 자신들이 해킹당했다고 밝혔다. 이 두 로펌은 미국 내 큰 규모의 M&A 관련 소송을 맡은 회사다. 여기에는 로펌 내 보관된 민감한 정보를 사용할 수 있는 많은 방법이 있는 데다 해커에 대한 내부자 거래 기회도 있었다. 하지만 많은 로펌들이 정보 유출을 겪고 있고 다음은 그러한 사건 중 빙산에 불과한 일이다. • 상당히 규모 있는 로펌이 사이버공격으로 비용을 지급했고, 지급 수단은 비트코인이었다. • 로펌의 재무 관리자가 해커에게 돈을 보내도록 한 피싱 이메일은 파트너 변호사에게 온 것 메일처럼 보였다. 로펌은 자신들의 고객사보다 사이버보안에 취약하다. 이들이 보유하고 있는 정보 가치에 비교할 때 해커들이 노릴만한 대상이다. 뉴욕에 있는 FBI 사이버 지부의 전임 총관인 오스틴 버글라스는 최근 <아메리칸로여(The American Lawyer)>와의 인터뷰에서 "일반적으로 대기업과 은행보다 로펌의 사이버보안 인력이 부족한 편이다"고 밝혔다. 대기업은 점점 이 문제를 인식하고 일부는 로펌에게 더 강력한 대응을 요구하고 있다. 블룸버그의 보도에 따르면, 뱅크오브아메리카와 메릴린치 등 많은 월가의 은행은 일반적으로 로펌에 위...

CIO 모색 포세카 파나마 페이퍼 비트코인 정보 유출 사이버보안 로펌 해커 해킹 내부자 거래

2016.05.17

기업의 사이버보안 위험을 관리하는데 법이 학문적 접근의 중요한 측면으로써 필요하다. 모색 폰세카라는 로펌이 해킹돼 파나마 페이퍼 문건이 유출된 일은 법적 관점에서 시사하는 바가 크다.  로펌이 보안의 취약점이 될 수 있다 우선 기업으로부터 의뢰받은 로펌은 해당 기업보다는 조금 덜 어려운 해킹 대상이 될 수 있다. 일반적으로 변호사는 고급 정보를 알고 있다. 로펌이 정보를 덜 안전하게 보관하고 있다면 기업의 정보망을 뚫는 것은 시간 낭비가 아닐까? 파나마 페이퍼의 경우 자사 수십만 고객으로부터 얻은 고급 정보를 매우 많이 보관하고 있었다. 지난달 주요 뉴욕에 있는 로펌인 크라바스(Cravaths)와 웨일 고스찰(Weil Gotschal)은 자신들이 해킹당했다고 밝혔다. 이 두 로펌은 미국 내 큰 규모의 M&A 관련 소송을 맡은 회사다. 여기에는 로펌 내 보관된 민감한 정보를 사용할 수 있는 많은 방법이 있는 데다 해커에 대한 내부자 거래 기회도 있었다. 하지만 많은 로펌들이 정보 유출을 겪고 있고 다음은 그러한 사건 중 빙산에 불과한 일이다. • 상당히 규모 있는 로펌이 사이버공격으로 비용을 지급했고, 지급 수단은 비트코인이었다. • 로펌의 재무 관리자가 해커에게 돈을 보내도록 한 피싱 이메일은 파트너 변호사에게 온 것 메일처럼 보였다. 로펌은 자신들의 고객사보다 사이버보안에 취약하다. 이들이 보유하고 있는 정보 가치에 비교할 때 해커들이 노릴만한 대상이다. 뉴욕에 있는 FBI 사이버 지부의 전임 총관인 오스틴 버글라스는 최근 <아메리칸로여(The American Lawyer)>와의 인터뷰에서 "일반적으로 대기업과 은행보다 로펌의 사이버보안 인력이 부족한 편이다"고 밝혔다. 대기업은 점점 이 문제를 인식하고 일부는 로펌에게 더 강력한 대응을 요구하고 있다. 블룸버그의 보도에 따르면, 뱅크오브아메리카와 메릴린치 등 많은 월가의 은행은 일반적으로 로펌에 위...

2016.05.17

숫자로 보는 2015년 사이버보안 13선

한 해를 마무리하며 그간의 일을 되돌아 보는 연말이다. <CIO>도 다르지 않다. 하지만 <CIO>는 2015년에 대해 숫자를 이용해 조금 다른 이야기를 하고자 한다. 13개의 숫자들을 뽑아봤다. 올해 보안 사고와 관련해 어떤 일들이 있었는지 알아보자.  이미지 출처 : Thinkstock 7,000만 익명의 해커 한 명이 미국 내 구치소와 교도소에 수감된 사람들의 전화 통화 기록 7,000만 건을 언론에 유출시켰다. 이는 '변호사-의뢰인 비밀보호 특권'이 주기적으로, 그리고 아주 크게 침해 당하고 있음을 시사한다. 50-75% 최근 조사에 따르면, 새 EMV 또는 ‘칩 앤 핀(Chip and Pin)’ 결제 터미널이 없는 상점의 비율이 50~75%에 달하는 것으로 추정되고 있다. 카드 발행사는 이보다 낫다. 70%가 올해 말까지 EMV가 구현된 카드를 발급할 계획이기 때문이다. 140만 잡지인 와이어드(WIRED)가 원격 소프트웨어 해킹으로 지프(Jeep) 차량을 무력화시킨 보안 전문가들의 이야기를 보도한 후, 크라이슬러는 140만 대의 차량을 리콜했다. 그러나 과거와는 리콜 방식이 달랐다. 차량 소유주가 자신의 차를 딜러십에 맡길 필요가 없었기 때문이다. USB 드라이브에 패치를 다운로드 받은 후, 차량에 업로드 하는 방식의 리콜이었다. 8.68 지난 7월 '바람을 피우는 사람'들에게 경종을 울리는 소식이 전해졌다. 임팩트 팀(Impact Team)이라는 해커 집단이 애슐리매디슨닷컴(AshleyMadison.com)을 이용한 사람들의 정보가 담긴 데이터 8.6GB를 유출시켰기 때문이다. 이 데이터에는 애슐리매디슨닷컴 고객들의 이메일 주소, 영업 및 마케팅 데이터가 담겨 있었다. 이 데이터는 (일부 정치가를 포함)사이트 이용자의 신상을 공개했을 뿐만 아니라, 사이트 회원으로 알려진 여성들이 진짜 회원인지에 대한 의문...

CIO 익스플로잇 킷 크라이슬러 애슐리매디슨 EMV 정보 유출 보안 사고 JP모건 해커 리콜 EMC 이메일 해킹 유나이티드 항공

2015.12.18

한 해를 마무리하며 그간의 일을 되돌아 보는 연말이다. <CIO>도 다르지 않다. 하지만 <CIO>는 2015년에 대해 숫자를 이용해 조금 다른 이야기를 하고자 한다. 13개의 숫자들을 뽑아봤다. 올해 보안 사고와 관련해 어떤 일들이 있었는지 알아보자.  이미지 출처 : Thinkstock 7,000만 익명의 해커 한 명이 미국 내 구치소와 교도소에 수감된 사람들의 전화 통화 기록 7,000만 건을 언론에 유출시켰다. 이는 '변호사-의뢰인 비밀보호 특권'이 주기적으로, 그리고 아주 크게 침해 당하고 있음을 시사한다. 50-75% 최근 조사에 따르면, 새 EMV 또는 ‘칩 앤 핀(Chip and Pin)’ 결제 터미널이 없는 상점의 비율이 50~75%에 달하는 것으로 추정되고 있다. 카드 발행사는 이보다 낫다. 70%가 올해 말까지 EMV가 구현된 카드를 발급할 계획이기 때문이다. 140만 잡지인 와이어드(WIRED)가 원격 소프트웨어 해킹으로 지프(Jeep) 차량을 무력화시킨 보안 전문가들의 이야기를 보도한 후, 크라이슬러는 140만 대의 차량을 리콜했다. 그러나 과거와는 리콜 방식이 달랐다. 차량 소유주가 자신의 차를 딜러십에 맡길 필요가 없었기 때문이다. USB 드라이브에 패치를 다운로드 받은 후, 차량에 업로드 하는 방식의 리콜이었다. 8.68 지난 7월 '바람을 피우는 사람'들에게 경종을 울리는 소식이 전해졌다. 임팩트 팀(Impact Team)이라는 해커 집단이 애슐리매디슨닷컴(AshleyMadison.com)을 이용한 사람들의 정보가 담긴 데이터 8.6GB를 유출시켰기 때문이다. 이 데이터에는 애슐리매디슨닷컴 고객들의 이메일 주소, 영업 및 마케팅 데이터가 담겨 있었다. 이 데이터는 (일부 정치가를 포함)사이트 이용자의 신상을 공개했을 뿐만 아니라, 사이트 회원으로 알려진 여성들이 진짜 회원인지에 대한 의문...

2015.12.18

CIO에게 보안 전문 변호사가 필요한 이유

사이버보안은 CIO가 밤을 새게 만드는 골칫거리였다. 점점 더 정교한 사이버공격이 늘어나는 요즘 추세에서 보안은 IT리더들의 낮 근무시간까지 차질을 빚게 만들고 있다. 이미지 출처 : Thinkstock 분명 철벽 사이버보안까지는 갈 길이 멀다. 아마도 절대 도달할 수 없는 목표일 것이다. 하지만 거의 돌파할 수 없는 수준의 보안을 갖췄다 하더라도 여전히 사이버보안 문제에 집중하는 변호사가 필요하다. 물론 내부 변호사가 회사의 법적 위험을 최소화하는데 도움을 줄 수 있다. 하지만 보안 전문성을 자랑하는 외부 기업과 협력관계를 맺으면 현지 주, 국가 개인정보 보호 법률과 보안 요건, 데이터와 프라이버시 유출에 대한 민사 소송, 기업 거버넌스 등에서 발생하는 여러 가지 불분명한 법적 문제들을 CIO가 헤쳐나가는데 도움을 받을 수 있다. 사이버보안 법률 보고(Cybersecurity Law Report)의 편집장 에이미 테리 시한은 “이런 유형의 도움을 필요로 하는 업계의 종류가 폭발적으로 늘어났다”고 밝혔다. “사이버보안 전문성이 없던 로펌들이 모여들고 있다. 일반적인 소송과 기업 자문 변호사들은 이제 사이버보안과 데이터 프라이버시 문제에 친숙해져야 한다”고 시한은 덧붙였다. 모든 기업이 현재 PII(personally identifiable information), 기업 비밀, 특허 정보 등의 온라인 데이터를 가지고 있기 때문에 시한은 “사이버보안과 데이터 프라이버시를 전문으로 하는 전문가에 대한 수요가 커졌다. M&A 전문 변호사들마저 사이버보안 법률에 대해 알아야 한다”고 조언했다. 사고 대응 계획의 핵심 요소 또 시한은 “많은 기업들이 사고 대응 계획과 사고 대응을 조정하기 위해 외부 변호사에 호사에 의존하지만 다른 기업들은 회사 내 변호사를 두고 그 역할을 맡기고 좀 더 복잡한 법률 문제나 시나리오가 발생할 때 외부 전문...

CIO CSO 소송 CISO 소니 사이버보안 정보 유출 변호사 타깃

2015.08.06

사이버보안은 CIO가 밤을 새게 만드는 골칫거리였다. 점점 더 정교한 사이버공격이 늘어나는 요즘 추세에서 보안은 IT리더들의 낮 근무시간까지 차질을 빚게 만들고 있다. 이미지 출처 : Thinkstock 분명 철벽 사이버보안까지는 갈 길이 멀다. 아마도 절대 도달할 수 없는 목표일 것이다. 하지만 거의 돌파할 수 없는 수준의 보안을 갖췄다 하더라도 여전히 사이버보안 문제에 집중하는 변호사가 필요하다. 물론 내부 변호사가 회사의 법적 위험을 최소화하는데 도움을 줄 수 있다. 하지만 보안 전문성을 자랑하는 외부 기업과 협력관계를 맺으면 현지 주, 국가 개인정보 보호 법률과 보안 요건, 데이터와 프라이버시 유출에 대한 민사 소송, 기업 거버넌스 등에서 발생하는 여러 가지 불분명한 법적 문제들을 CIO가 헤쳐나가는데 도움을 받을 수 있다. 사이버보안 법률 보고(Cybersecurity Law Report)의 편집장 에이미 테리 시한은 “이런 유형의 도움을 필요로 하는 업계의 종류가 폭발적으로 늘어났다”고 밝혔다. “사이버보안 전문성이 없던 로펌들이 모여들고 있다. 일반적인 소송과 기업 자문 변호사들은 이제 사이버보안과 데이터 프라이버시 문제에 친숙해져야 한다”고 시한은 덧붙였다. 모든 기업이 현재 PII(personally identifiable information), 기업 비밀, 특허 정보 등의 온라인 데이터를 가지고 있기 때문에 시한은 “사이버보안과 데이터 프라이버시를 전문으로 하는 전문가에 대한 수요가 커졌다. M&A 전문 변호사들마저 사이버보안 법률에 대해 알아야 한다”고 조언했다. 사고 대응 계획의 핵심 요소 또 시한은 “많은 기업들이 사고 대응 계획과 사고 대응을 조정하기 위해 외부 변호사에 호사에 의존하지만 다른 기업들은 회사 내 변호사를 두고 그 역할을 맡기고 좀 더 복잡한 법률 문제나 시나리오가 발생할 때 외부 전문...

2015.08.06

사이버보안 대응책 'CIO 목소리부터 키우기'

IT임원들이 사이버보안부터 예산과 CISO 역할 등 보안 이슈들에 대해 논의하고자 한자리에 모였다. 이미지 출처 : Thinkstock 사이버보안 같은 문제들 때문에 CIO들이 야근해야 하는 상황이 발생하지만 미국 뉴저지 북부에서는 최소한 이게 그들만의 문제가 아니라고 인식하는 것 같다. 뉴저지주 소사이어티 포 인포메이션 매니지먼트(Society for Information Management)의 후원 하에 있는 노스 저지 CIO 라운드테이블(North Jersey CIO Roundtable)의 공동 창립자인 마크 샌더는 보안부터 최고경영진과 CIO의 역할까지 다양한 주제로 기술업계 리더들을 계속해서 회의에 참석하게 할 목적을 가지고 있다. “엄청난 정보 교환이 일어난다”고 샌더스는 그 회의들에 대해 이야기했다. “CIO의 업무는 외롭다. 그래서 동료들과 대화를 나누고 그들에게 배우는 게 도움이 된다”고 그는 덧붙였다. 샌더는 뉴욕시 외곽에 있는 대기업의 CIO들이 함께하도록 라운드테이블 세션을 시작했고, 네트워킹 행사라고 너무 자주 날아오는 업체 행사들과 다른 자유로운 공간을 제공하고자 했다고 설명했다. “이런 대형 CIO들이 일반적인 회의에 참석하지 않는 이유는 이직을 원하는 관리자나 디렉터들을 피하고 싶었기 때문이다”고 그는 말했다. 6월 초 샌더는 FBI와 뉴저지주 사이버범죄 특수부 검사 등을 강연자로 초대해 보안 이슈에 초점을 맞춰 라운드테이블을 개최했다. 여기 참석한 사람들은 점점 늘어가는 사이버 위협이 제시하는 과제들에 대한 솔직한 생각을 전했다. 샌더는 해킹 이유를 크게 정치적인 것과 금전적인 것 2가지로 나눴다. 물론 상당한 뉘앙스로 이야기가 채워졌지만, 크게 보면 회사들은 사이버 위협에 대항해 경계를 강화하는데 아주 어려움을 겪고 있다. CIO·CISO, 사이버 위협을 격퇴하려면 조직 내에서 다양한 권한 ...

CIO 타깃 정보 유출 협력사 대응 사이버보안 예산 CISO 교육 라운드테이블

2015.06.30

IT임원들이 사이버보안부터 예산과 CISO 역할 등 보안 이슈들에 대해 논의하고자 한자리에 모였다. 이미지 출처 : Thinkstock 사이버보안 같은 문제들 때문에 CIO들이 야근해야 하는 상황이 발생하지만 미국 뉴저지 북부에서는 최소한 이게 그들만의 문제가 아니라고 인식하는 것 같다. 뉴저지주 소사이어티 포 인포메이션 매니지먼트(Society for Information Management)의 후원 하에 있는 노스 저지 CIO 라운드테이블(North Jersey CIO Roundtable)의 공동 창립자인 마크 샌더는 보안부터 최고경영진과 CIO의 역할까지 다양한 주제로 기술업계 리더들을 계속해서 회의에 참석하게 할 목적을 가지고 있다. “엄청난 정보 교환이 일어난다”고 샌더스는 그 회의들에 대해 이야기했다. “CIO의 업무는 외롭다. 그래서 동료들과 대화를 나누고 그들에게 배우는 게 도움이 된다”고 그는 덧붙였다. 샌더는 뉴욕시 외곽에 있는 대기업의 CIO들이 함께하도록 라운드테이블 세션을 시작했고, 네트워킹 행사라고 너무 자주 날아오는 업체 행사들과 다른 자유로운 공간을 제공하고자 했다고 설명했다. “이런 대형 CIO들이 일반적인 회의에 참석하지 않는 이유는 이직을 원하는 관리자나 디렉터들을 피하고 싶었기 때문이다”고 그는 말했다. 6월 초 샌더는 FBI와 뉴저지주 사이버범죄 특수부 검사 등을 강연자로 초대해 보안 이슈에 초점을 맞춰 라운드테이블을 개최했다. 여기 참석한 사람들은 점점 늘어가는 사이버 위협이 제시하는 과제들에 대한 솔직한 생각을 전했다. 샌더는 해킹 이유를 크게 정치적인 것과 금전적인 것 2가지로 나눴다. 물론 상당한 뉘앙스로 이야기가 채워졌지만, 크게 보면 회사들은 사이버 위협에 대항해 경계를 강화하는데 아주 어려움을 겪고 있다. CIO·CISO, 사이버 위협을 격퇴하려면 조직 내에서 다양한 권한 ...

2015.06.30

정보 유출 방지를 도와줄 자동 대응 솔루션 업체 10선

보안 사고 자동 대응 시장은 아직 초기 단계지만, 일부 기업은 모든 보안 경고 데이터를 수집해 이를 분석해 문제를 해결하고 경우에 따라서는 적절한 복구 프로세스를 실행하기도 한다. 현재 정보 유출 방지를 도와줄 자동 대응 솔루션 업체 10개를 소개한다. ciokr@idg.co.kr

CSO CISO 정보 유출 방지 파이도 자동 대응

2015.05.12

보안 사고 자동 대응 시장은 아직 초기 단계지만, 일부 기업은 모든 보안 경고 데이터를 수집해 이를 분석해 문제를 해결하고 경우에 따라서는 적절한 복구 프로세스를 실행하기도 한다. 현재 정보 유출 방지를 도와줄 자동 대응 솔루션 업체 10개를 소개한다. ciokr@idg.co.kr

2015.05.12

美 신용카드 단말기, 1990년대부터 동일한 암호 사용

많은 사용자들이 신용카드 단말기 암호가 독특하다고 생각하며 바꾸지 않은 것으로 파악됐다. 수 천만 건의 신용카드 번호 도난을 초래했던 정보 유출로 유통사들이 분투하는 가운데, 이번 주 미국 샌프란시스코에서 열린 RSA 컨퍼런스에서 신용카드 결제 단말기에 20년 넘게 동일한 암호가 사용되고 있다는 주장이 제기됐다. 이 주장에 따르면, 동일한 암호는 ‘166816’이다. 구글 검색 결과 이는 베리폰(Verifone)이 판매한 신용카드 단말기의 몇몇 모델에 기본으로 설정된 암호로 밝혀졌다. 실리콘밸리에 본사를 둔 이 업체는 2,700만 대의 결제 기기와 연결돼 있고 150개국에서 판매했다. 이 조사를 맡았던 연구원인 데이비드 바이언과 찰스 헨더슨은 자신들이 조상한 단말기 10개 중 9개에서 이 암호가 여전히 쓰이는 있으며 고객들은 그 암호가 자사 기기에만 설정된 고유한 것이라고 생각하기 때문인 것 같다고 말했다. 목요일에 발표된 보도자료에서 베리폰은 현장에 있는 모든 기기들이 동일한 기본 암호를 사용해 왔음을 인정했으며 그 암호는 Z66831이라고 말했다. 수 년 동안 이 암호는 프로그래밍 단말기용 지시와 함께 인터넷에서 찾을 수 있는 것으로 알려졌다고 베리폰은 전했다. "중요한 사실은 이 암호를 알고 있더라도 민감한 결제 정보나 PII(개인 식별 정보)를 알 수는 없다는 것이다"라고 베리폰은 말했다. "암호가 누군가에게 무엇을 할 수 있도록 허용하는 것은 단말기에서 일부 설정을 구성하는 것이다. 실행 가능한 모든 것은 서명된 파일이 필요하며 단순히 암호만 안다고 해서 악성코드를 입력할 수는 없다"고 이 회사는 주장했다. 베리폰은 자신들이 고객들에게 암호를 변경하라고 강력하게 권고했고 신제품의 경우 설치 후 자동으로 만료돼 사용자가 암호를 변경하도록 개발됐다고 말했다. RSA 컨퍼런스는 해마다 열리는 보안 업계의 중요한 연례 행사며 두 연구원의 의견은 더리지스터(The R...

구글 변경 결제 단말기 타겟 홈데포 정보 유출 POS RSA 신용카드 비밀번호 암호 조사 유통 베리폰

2015.04.24

많은 사용자들이 신용카드 단말기 암호가 독특하다고 생각하며 바꾸지 않은 것으로 파악됐다. 수 천만 건의 신용카드 번호 도난을 초래했던 정보 유출로 유통사들이 분투하는 가운데, 이번 주 미국 샌프란시스코에서 열린 RSA 컨퍼런스에서 신용카드 결제 단말기에 20년 넘게 동일한 암호가 사용되고 있다는 주장이 제기됐다. 이 주장에 따르면, 동일한 암호는 ‘166816’이다. 구글 검색 결과 이는 베리폰(Verifone)이 판매한 신용카드 단말기의 몇몇 모델에 기본으로 설정된 암호로 밝혀졌다. 실리콘밸리에 본사를 둔 이 업체는 2,700만 대의 결제 기기와 연결돼 있고 150개국에서 판매했다. 이 조사를 맡았던 연구원인 데이비드 바이언과 찰스 헨더슨은 자신들이 조상한 단말기 10개 중 9개에서 이 암호가 여전히 쓰이는 있으며 고객들은 그 암호가 자사 기기에만 설정된 고유한 것이라고 생각하기 때문인 것 같다고 말했다. 목요일에 발표된 보도자료에서 베리폰은 현장에 있는 모든 기기들이 동일한 기본 암호를 사용해 왔음을 인정했으며 그 암호는 Z66831이라고 말했다. 수 년 동안 이 암호는 프로그래밍 단말기용 지시와 함께 인터넷에서 찾을 수 있는 것으로 알려졌다고 베리폰은 전했다. "중요한 사실은 이 암호를 알고 있더라도 민감한 결제 정보나 PII(개인 식별 정보)를 알 수는 없다는 것이다"라고 베리폰은 말했다. "암호가 누군가에게 무엇을 할 수 있도록 허용하는 것은 단말기에서 일부 설정을 구성하는 것이다. 실행 가능한 모든 것은 서명된 파일이 필요하며 단순히 암호만 안다고 해서 악성코드를 입력할 수는 없다"고 이 회사는 주장했다. 베리폰은 자신들이 고객들에게 암호를 변경하라고 강력하게 권고했고 신제품의 경우 설치 후 자동으로 만료돼 사용자가 암호를 변경하도록 개발됐다고 말했다. RSA 컨퍼런스는 해마다 열리는 보안 업계의 중요한 연례 행사며 두 연구원의 의견은 더리지스터(The R...

2015.04.24

'보안 사고는 어디서나 발생한다' 주요 산업별로 본 현황

개인간 상해 전문 법률사무소인 모건&모건(Morgan & Morgan)이 2015년 이후 발생한 미국내 정보 유출 사고 9억 3,000만 건의 데이터를 취합해 정리했다. 2010년 개인 정보 유출에 대해 공지 받은 사람이라면, 9명 중 1명은 사기 피해자가 될 가능성이 있다. 2012년까지 이 가능성은 4명 중 1명으로 높아졌다. 2014년에 이는 3명 중 1명으로 조사됐다. 지난 10년 동안 발생했던 정보 유출 사고를 지역과 업종별로 나눠보았다. ciokr@idg.co.kr

CSO 업종 타깃 NGO 정보 유출 인포그래픽 대학 침해 사고 CISO 유통 의료 소니픽처스

2015.04.14

개인간 상해 전문 법률사무소인 모건&모건(Morgan & Morgan)이 2015년 이후 발생한 미국내 정보 유출 사고 9억 3,000만 건의 데이터를 취합해 정리했다. 2010년 개인 정보 유출에 대해 공지 받은 사람이라면, 9명 중 1명은 사기 피해자가 될 가능성이 있다. 2012년까지 이 가능성은 4명 중 1명으로 높아졌다. 2014년에 이는 3명 중 1명으로 조사됐다. 지난 10년 동안 발생했던 정보 유출 사고를 지역과 업종별로 나눠보았다. ciokr@idg.co.kr

2015.04.14

'이제는 보험사다' 해커들이 노리는 이유

최근 미국 건강보험사가 해킹당해 좀더 강력한 보안 조치가 요구되는 가운데, 이 사고의 피해 규모가 유통, 은행의 사고보다 훨씬 더 클 수 있다는 주장이 제기됐다. 이미지 출처 : flickr/powtac 미국 최대 규모의 건강보험사인 앤썸(Anthem)의 해킹 사태로 8,000만 명에 달하는 고객 정보가 유출됐다. 여기에는 사회보장 번호도 포함돼 있었다. 이번 데이터 유출 사건은 소비자들이 지게 되는 위험이 얼마나 크고 해커들이 얼마나 개인 정보를 쉽게 약탈할 수 있는지를 여실히 보여주었다. 그 중에서도 특히 건강 관련 데이터가 매우 취약한 것으로 나타났다. 해커들이 건강보험사를 노리는 이유는 단순히 중요한 정보가 많아서가 아니라 이들 회사의 보안 수준이 낮기 때문이다. 미국 시라큐스 대학(Syracuse University) 정보학 부교수인 아트 토마스는 “보험사 해킹에 성공하기만 하면 은행을 해킹했을 때만큼의, 혹은 그 이상의 정보를 얻을 수 있다”고 말했다. 늘어난 정보 보관기간 보험사들은 은행이나 신용카드 회사들보다 훨씬 더 많은 고객 정보를 보관하기 때문에 해커들이 노리는 먹잇감이 된다. “보험회사는 정보를 처리하는 여러 집단간의 브로커와 같은 역할을 하기 때문에 일종의 정보 허브라 할 수 있다”고 토마스는 설명했다. 예를 들어 일반 기업의 건강보험을 담당하는 업체의 경우 직원들의 회사 정보나 연봉 정보를 보관하고 있을 수 있다. 또 그 사람의 주소, 사회보장번호, 가족관계 등의 정보도 저장돼 있을 수 있다. 이러한 정보들이 있으면 해당 인물의 프로필을 매우 쉽게 작성할 수 있다고 토마스는 말했다. 보안업체인 애조리언 사이버 시큐리티(Azorian Cyber Security)의 CEO인 찰스 텐델은 프로필이 정확할수록 피해 액수와 규모도 커진다고 말했다. “신용카드를 훔치면 물건 몇 개 사고 말겠지만, 개인 정보를 훔치면 직접 (피해자 이름으로...

CIO 정보의 양 앤썸 보험사 계좌 정보 유출 신용카드 공격 해커 은행 개인정보 의료 해킹 데이터 유출 정보의 질

2015.03.24

최근 미국 건강보험사가 해킹당해 좀더 강력한 보안 조치가 요구되는 가운데, 이 사고의 피해 규모가 유통, 은행의 사고보다 훨씬 더 클 수 있다는 주장이 제기됐다. 이미지 출처 : flickr/powtac 미국 최대 규모의 건강보험사인 앤썸(Anthem)의 해킹 사태로 8,000만 명에 달하는 고객 정보가 유출됐다. 여기에는 사회보장 번호도 포함돼 있었다. 이번 데이터 유출 사건은 소비자들이 지게 되는 위험이 얼마나 크고 해커들이 얼마나 개인 정보를 쉽게 약탈할 수 있는지를 여실히 보여주었다. 그 중에서도 특히 건강 관련 데이터가 매우 취약한 것으로 나타났다. 해커들이 건강보험사를 노리는 이유는 단순히 중요한 정보가 많아서가 아니라 이들 회사의 보안 수준이 낮기 때문이다. 미국 시라큐스 대학(Syracuse University) 정보학 부교수인 아트 토마스는 “보험사 해킹에 성공하기만 하면 은행을 해킹했을 때만큼의, 혹은 그 이상의 정보를 얻을 수 있다”고 말했다. 늘어난 정보 보관기간 보험사들은 은행이나 신용카드 회사들보다 훨씬 더 많은 고객 정보를 보관하기 때문에 해커들이 노리는 먹잇감이 된다. “보험회사는 정보를 처리하는 여러 집단간의 브로커와 같은 역할을 하기 때문에 일종의 정보 허브라 할 수 있다”고 토마스는 설명했다. 예를 들어 일반 기업의 건강보험을 담당하는 업체의 경우 직원들의 회사 정보나 연봉 정보를 보관하고 있을 수 있다. 또 그 사람의 주소, 사회보장번호, 가족관계 등의 정보도 저장돼 있을 수 있다. 이러한 정보들이 있으면 해당 인물의 프로필을 매우 쉽게 작성할 수 있다고 토마스는 말했다. 보안업체인 애조리언 사이버 시큐리티(Azorian Cyber Security)의 CEO인 찰스 텐델은 프로필이 정확할수록 피해 액수와 규모도 커진다고 말했다. “신용카드를 훔치면 물건 몇 개 사고 말겠지만, 개인 정보를 훔치면 직접 (피해자 이름으로...

2015.03.24

책임자 사퇴까지… 대가 톡톡히 치른 정보 유출 사고 9선

지난해 말 발생한 미국의 대형 할인점 타깃(Target)의 고객 정보 유출 사고로 결국 관련 임원이 퇴사했다. <CSO>는 이밖에도 책임자가 사퇴하는 일까지 초래했던 9건의 대형 정보 유출 사고를 정리해 보았다. ciokr@idg.co.kr

CIO USB 정보 유출 퇴사 사퇴 분실 사고 병원 CISO 공공 유통 의료 데이터 유출 CSO 타깃

2014.12.23

지난해 말 발생한 미국의 대형 할인점 타깃(Target)의 고객 정보 유출 사고로 결국 관련 임원이 퇴사했다. <CSO>는 이밖에도 책임자가 사퇴하는 일까지 초래했던 9건의 대형 정보 유출 사고를 정리해 보았다. ciokr@idg.co.kr

2014.12.23

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.8