Offcanvas

���������������������������������������������������������������������������������������������������������������������������������������

칼럼 | 아이폰 X와 페이스 ID, 섣부른 비난을 경계해야 할 이유

애플의 새 아이폰 X는 얼굴을 읽는다. 그리고 프라이버시 전문가들은 이를 앞다퉈 공격하는 중이다. 아이폰 X의 복잡한 트루뎁스(TrueDepth) 이미지 시스템에는 3만 개의 눈에 보이지 않는 점을 쏘는 적외선 프로젝터와 이런 점들이 도달하는 3차원 공간을 확인하는 적외선 카메라가 포함되어 있다. 얼굴이 보이면 휴대전화의 인공 지능이 점의 위치를 파악한다 일반적인 생체인식 그리고 안면 인식은 특히 프라이버시 전문가들에게 민감한 주제다. 암호와는 달리 지문 또는 얼굴을 바꿀 수 없기 때문이다. 아이폰 X의 얼굴 인식 시스템은 기본적으로 페이스 ID, 사용자의 표정을 따라하는 애니모티콘, 잠이 든 사람의 얼굴로 잠금 해제하는 것을 방지하기 위해 사용자가 아이폰과 시선을 맞추고 있는지 알아보는 ‘눈맞춤’ 등 3가지 기능을 제공한다. 즉, A.I.는 아이폰 X의 투사된 적외선 점을 보고 상황에 따라 다음을 확인할 수 있다. 승인된 사용자인가? 사용자가 웃고 있는가? 사용자가 휴대전화를 바라보고 있는가? 프라이버시를 옹호하는 사람들은 페이스 ID의 안전한 진행 방식을 이유로 애플에 찬사를 보내고 있다. 얼굴 데이터는 해킹 및 기타 용도로 악용될 위험이 있는 클라우드로 업로드 되지 않는다. 그리고 애니모티콘과 눈맞춤 기능에는 얼굴 인식이 포함되지 않는다. 이번 주 로이터 통신은 애플의 제 3자 개발자에 대한 얼굴 데이터 액세스 제공 정책에 대한 비판이 남아 있다고 밝혔다. 데이터에는 얼굴의 부분(눈, 입 등)뿐만이 아니라 이런 부분들의 상태 변화(눈썹 올림, 눈 감기 등)가 포함된다. 개발자는 앱을 프로그래밍하여 이 데이터를 실시간으로 사용하도록 하고 원격 서버에 데이터를 저장할 수 있다. 생체인식 보안 세계에서는 새로운 논란이 일고 있다. 얼굴 표정과 움직임이 위치 데이터나 얼굴 기록과 같은 방식으로 보호해야 하는 사용자 데이터 또는 개인 정보를 구성하는가? 필자의 대답은 말미에서 제시하...

프라이버시 AI 얼굴인식 생체인식 아이폰X 페이스ID 안민인식 트루뎁스

2017.11.08

애플의 새 아이폰 X는 얼굴을 읽는다. 그리고 프라이버시 전문가들은 이를 앞다퉈 공격하는 중이다. 아이폰 X의 복잡한 트루뎁스(TrueDepth) 이미지 시스템에는 3만 개의 눈에 보이지 않는 점을 쏘는 적외선 프로젝터와 이런 점들이 도달하는 3차원 공간을 확인하는 적외선 카메라가 포함되어 있다. 얼굴이 보이면 휴대전화의 인공 지능이 점의 위치를 파악한다 일반적인 생체인식 그리고 안면 인식은 특히 프라이버시 전문가들에게 민감한 주제다. 암호와는 달리 지문 또는 얼굴을 바꿀 수 없기 때문이다. 아이폰 X의 얼굴 인식 시스템은 기본적으로 페이스 ID, 사용자의 표정을 따라하는 애니모티콘, 잠이 든 사람의 얼굴로 잠금 해제하는 것을 방지하기 위해 사용자가 아이폰과 시선을 맞추고 있는지 알아보는 ‘눈맞춤’ 등 3가지 기능을 제공한다. 즉, A.I.는 아이폰 X의 투사된 적외선 점을 보고 상황에 따라 다음을 확인할 수 있다. 승인된 사용자인가? 사용자가 웃고 있는가? 사용자가 휴대전화를 바라보고 있는가? 프라이버시를 옹호하는 사람들은 페이스 ID의 안전한 진행 방식을 이유로 애플에 찬사를 보내고 있다. 얼굴 데이터는 해킹 및 기타 용도로 악용될 위험이 있는 클라우드로 업로드 되지 않는다. 그리고 애니모티콘과 눈맞춤 기능에는 얼굴 인식이 포함되지 않는다. 이번 주 로이터 통신은 애플의 제 3자 개발자에 대한 얼굴 데이터 액세스 제공 정책에 대한 비판이 남아 있다고 밝혔다. 데이터에는 얼굴의 부분(눈, 입 등)뿐만이 아니라 이런 부분들의 상태 변화(눈썹 올림, 눈 감기 등)가 포함된다. 개발자는 앱을 프로그래밍하여 이 데이터를 실시간으로 사용하도록 하고 원격 서버에 데이터를 저장할 수 있다. 생체인식 보안 세계에서는 새로운 논란이 일고 있다. 얼굴 표정과 움직임이 위치 데이터나 얼굴 기록과 같은 방식으로 보호해야 하는 사용자 데이터 또는 개인 정보를 구성하는가? 필자의 대답은 말미에서 제시하...

2017.11.08

블로그 | 구글이 기업 데이터를 읽을 수 있다··· 대비책은?

일부 클라우드 서비스 업체는 여러 가지 위반 행위를 전제로 사용자의 데이터를 검사할 수 있는 권리를 가지고 있다. 하지만 담당자가 이런 서비스 조건에 동의했다는 것을 알고 있는 기업은 많지 않다. 할로윈에 구글은 실수로 구글 G 스위트의 일부 문서를 부적절한 것으로 표시했고, 해당 문서가 자동으로 차단됐다고 사용자에게 공지했다. 물론 수정 조치가 이루어졌고, 재발 방지를 약속했다. 하지만 구글의 이번 실수로 모두가 구글이 자신들의 데이터에 액세스할 수 있다는 것을 새삼 기억해냈다. 많은 사람이 구글이 사용자의 문서를 실시간으로 검사해 부적절한 내용인지를 판단한다는 것을 우려했다. 하지만 사실 모든 사용자가 구글 G 스위트의 서비스 조건으로 이런 감시 활동에 동의했다. G 스위트 서비스 조건에는 개인 수칙 조항과 저작권 보호뿐만 아니라 ‘프로그램 정책’이 있다. 이 프로그램이 어떻게 사용자의 오남용이나 서비스 조건 위반을 검사하는지는 알 수 없다. 하지만 어떤 식으로든 이루어지고 있다. 그리고 이런 서비스 조건이 구글에만 있는 것은 아니다. 사람들은 제대로 읽지 않고 수락하는 수많은 동의서의 비슷한 조건에 서명했을 가능성이 크다. 이번 사고로 기업이 가장 우려하는 것은 구글 문서도구가 일시적으로 차단되는 것이 아니라 구글이 문서를 비롯한 다른 파일을 검사한다는 사실이다. 분명 서비스 조건으로 명시된 것이지만, 빅브라더가 떠오르는 불편함을 불러왔고, 클라우드에 있는 기업의 기밀 정보는 어떻게 되는지에 대한 의문이 다시 제기되고 있다. 그렇다면, SaaS, IaaS, PaaS 서비스 업체들은 사용자의 데이터를 검사하는 것을 주된 업무로 삼고 있을까? 프라이버시 정책을 꼼꼼히 읽어보면, 대부분 그렇지 않은 것 같다. 하지만 구글처럼 사용자의 데이터를 검사하고 조취를 취할 수 있는 권리를 가진 업체가 있는지 실제로 서비스 조건을 자세히 읽어보는 사용자는 많지 않다. 물론 규모가 있는 대기업은 자사의 수준에 맞...

구글 프라이버시 서비스조건

2017.11.07

일부 클라우드 서비스 업체는 여러 가지 위반 행위를 전제로 사용자의 데이터를 검사할 수 있는 권리를 가지고 있다. 하지만 담당자가 이런 서비스 조건에 동의했다는 것을 알고 있는 기업은 많지 않다. 할로윈에 구글은 실수로 구글 G 스위트의 일부 문서를 부적절한 것으로 표시했고, 해당 문서가 자동으로 차단됐다고 사용자에게 공지했다. 물론 수정 조치가 이루어졌고, 재발 방지를 약속했다. 하지만 구글의 이번 실수로 모두가 구글이 자신들의 데이터에 액세스할 수 있다는 것을 새삼 기억해냈다. 많은 사람이 구글이 사용자의 문서를 실시간으로 검사해 부적절한 내용인지를 판단한다는 것을 우려했다. 하지만 사실 모든 사용자가 구글 G 스위트의 서비스 조건으로 이런 감시 활동에 동의했다. G 스위트 서비스 조건에는 개인 수칙 조항과 저작권 보호뿐만 아니라 ‘프로그램 정책’이 있다. 이 프로그램이 어떻게 사용자의 오남용이나 서비스 조건 위반을 검사하는지는 알 수 없다. 하지만 어떤 식으로든 이루어지고 있다. 그리고 이런 서비스 조건이 구글에만 있는 것은 아니다. 사람들은 제대로 읽지 않고 수락하는 수많은 동의서의 비슷한 조건에 서명했을 가능성이 크다. 이번 사고로 기업이 가장 우려하는 것은 구글 문서도구가 일시적으로 차단되는 것이 아니라 구글이 문서를 비롯한 다른 파일을 검사한다는 사실이다. 분명 서비스 조건으로 명시된 것이지만, 빅브라더가 떠오르는 불편함을 불러왔고, 클라우드에 있는 기업의 기밀 정보는 어떻게 되는지에 대한 의문이 다시 제기되고 있다. 그렇다면, SaaS, IaaS, PaaS 서비스 업체들은 사용자의 데이터를 검사하는 것을 주된 업무로 삼고 있을까? 프라이버시 정책을 꼼꼼히 읽어보면, 대부분 그렇지 않은 것 같다. 하지만 구글처럼 사용자의 데이터를 검사하고 조취를 취할 수 있는 권리를 가진 업체가 있는지 실제로 서비스 조건을 자세히 읽어보는 사용자는 많지 않다. 물론 규모가 있는 대기업은 자사의 수준에 맞...

2017.11.07

VPN 내장은 기본! 프라이버시 보호 브라우저 10선

인터넷 서비스 제공자에게 각 인터넷 이용자의 브라우징 히스토리 기록을 보관할 것을 의무화 하는 국가가 있다. 그렇지만 공권력의 감시로부터 인터넷 사용 기록을 지킬 수 있는 방법이 없지는 않다. 프라이버시 보호 기능을 강화한 브라우저를 이용하면 된다. 프라이빗 브라우저라고 해서 인터넷 이용 기록의 안전을 100% 보장하진 못하지만, 그래도 대부분 사용자의 인터넷 활동 기록 및 쿠키 등을 삭제해 준다. 특히 오늘 소개할 브라우저들은 거의 대부분 VPN이 사전 설치되어 있다. VPN은 가장 효과적으로 인터넷 브라우징 사생활을 보장해주는 방법들 중 하나이다. 또한 상당수가 안전한 애드온을 제공한다. 프라이빗 브라우저는 선택폭이 매우 넓은 편인데, 그 중에서도 특히 프라이버시 보호를 강점으로 내세우는 베스트 브라우저 몇 가지를 소개한다. 소개하는 순서는 제품의 순위와는 전혀 무관하다. 1. 에픽(Epic) 프라이버시 브라우저 크로미움(Chromium) 기반 브라우저인 에픽은 보안을 극대화하기 위해 불필요한 장식을 한껏 제거했다. 에픽은 각 세션이 종료될 때마다 유저의 모든 쿠키와 트래커를 제거하여 그 어떤 데이터도 수집되지 않도록 한다. 적어도 그렇게 주장하고 있다. 또한 에픽은 '세션당 평균 1,000회 가량 발생하는 트래킹 시도로부터 유저를 보호' 하며 페이지 트래킹을 블로킹한다. 이로 인해 브라우징 속도도 25%가량 빠르다. 완전히 암호화 된 연결을 원하는 유저를 위해 에픽은 버튼 하나로 해결되는 프록시 서비스도 제공한다. 프록시는 브라우징 속도를 느리게 만들긴 하지만 완벽한 익명성을 원하는 유저들에게는 충분히 매력적인 옵션이다. 2. 토르(Tor) '숨겨진' 릴레이 서버를 경유하는 토르는 고도의 프라이버시를 보장하는 브라우저다. 토르는 모든 플러그인을 차단한 채 HTTPS 연결만을 사용한다. 때문에 사용이 좀 더 까다롭지만 그만큼 높은 수준의 보호가 가능하다. 전 세계 곳곳의 자원봉사자들...

브라우저 프라이버시 사생활 보호 VPN

2017.10.16

인터넷 서비스 제공자에게 각 인터넷 이용자의 브라우징 히스토리 기록을 보관할 것을 의무화 하는 국가가 있다. 그렇지만 공권력의 감시로부터 인터넷 사용 기록을 지킬 수 있는 방법이 없지는 않다. 프라이버시 보호 기능을 강화한 브라우저를 이용하면 된다. 프라이빗 브라우저라고 해서 인터넷 이용 기록의 안전을 100% 보장하진 못하지만, 그래도 대부분 사용자의 인터넷 활동 기록 및 쿠키 등을 삭제해 준다. 특히 오늘 소개할 브라우저들은 거의 대부분 VPN이 사전 설치되어 있다. VPN은 가장 효과적으로 인터넷 브라우징 사생활을 보장해주는 방법들 중 하나이다. 또한 상당수가 안전한 애드온을 제공한다. 프라이빗 브라우저는 선택폭이 매우 넓은 편인데, 그 중에서도 특히 프라이버시 보호를 강점으로 내세우는 베스트 브라우저 몇 가지를 소개한다. 소개하는 순서는 제품의 순위와는 전혀 무관하다. 1. 에픽(Epic) 프라이버시 브라우저 크로미움(Chromium) 기반 브라우저인 에픽은 보안을 극대화하기 위해 불필요한 장식을 한껏 제거했다. 에픽은 각 세션이 종료될 때마다 유저의 모든 쿠키와 트래커를 제거하여 그 어떤 데이터도 수집되지 않도록 한다. 적어도 그렇게 주장하고 있다. 또한 에픽은 '세션당 평균 1,000회 가량 발생하는 트래킹 시도로부터 유저를 보호' 하며 페이지 트래킹을 블로킹한다. 이로 인해 브라우징 속도도 25%가량 빠르다. 완전히 암호화 된 연결을 원하는 유저를 위해 에픽은 버튼 하나로 해결되는 프록시 서비스도 제공한다. 프록시는 브라우징 속도를 느리게 만들긴 하지만 완벽한 익명성을 원하는 유저들에게는 충분히 매력적인 옵션이다. 2. 토르(Tor) '숨겨진' 릴레이 서버를 경유하는 토르는 고도의 프라이버시를 보장하는 브라우저다. 토르는 모든 플러그인을 차단한 채 HTTPS 연결만을 사용한다. 때문에 사용이 좀 더 까다롭지만 그만큼 높은 수준의 보호가 가능하다. 전 세계 곳곳의 자원봉사자들...

2017.10.16

의외의 보안 구멍 가능성··· 챗봇과 데이터 유출 이해하기

챗봇과 대화하다가 민감한 개인 정보를 입력하는 경우가 많다. 기업 내 챗봇 보안을 강화하고 프라이버시 위협을 최소화하는 방법을 알아보자. 빅데이터에서 챗봇이 새로운 취약점이 될 가능성이 있을까? 그렇다. 기본적 인사과 질문에 대답하거나 기업 단위 설문조사를 실시할 때, 사용자를 특정인과 연계하기 전 정보를 얻는 챗봇은 슬랙과 기타 메시지 앱에 부가 기능으로 추가되어 보안 위험을 높인다. 챗봇 업체 탈라(Talla) CEO 롭 메이는 보안 위기가 봇을 구입하는 방식에서 온다고 말했다. 즉, “SaaS 초기에는 마케팅 부서가 IT 부서의 승인 없이도 웹 브라우저만 있으면 바로 소프트웨어를 구입하는 방식으로 판매되었고, IT 부서는 큰 문제가 없다고 생각했지만 결국 기업 전체가 SaaS 방식으로 운영되기 시작했다”고 설명했다. 그러면 갑자기 기업의 핵심 운영이 난데없이 나타난 사용자나 데이터 관리 경험 없는 플랫폼으로 운영되기 시작한다. 챗봇에서 오는 데이터 취약점을 차단하기 위해 메이는 현재의 봇 구입과 이행 간소화를 권장한다. 안타깝게도 직원들은 이미 챗봇으로 급여정보, 의료보험 세부사항 같은 기밀 데이터를 공유하고 있을지 모른다. IT 부서가 데이터를 안전하게 보호하기 위해 어떤 조치를 취할 수 있을까? 어떻게 하면 이 취약점을 미리 막을 수 있을까? 그 외에 어떤 질문이 유용할까? 챗봇을 활용하는 방식을 파악하라 컴퓨터 및 네트워크 보안 제공자 라피드7(Rapid7)의 개발자 프라이야 도드워드 는 현재의 상황을 분류하는 것부터 시작하라고 말했다. 그리고 나서 구매에 앞서 사용자와의 면담을 실시한다. 이렇게 하면 2가지 측면에서 도움이 된다. 우선, 사용자 반응을 통해 도입 고려 중인 챗봇을 계획대로 활용하게 될지를 알 수 있어 사용자 도입 및 생산성을 높인다. 또 면담은 위협 수준 평가에 도움이 된다. 보호하고 있는 데이터의 유형을 알면 챗봇 프라이버시 문제에 더욱 잘 대비할 수 있다. 라피드7이 새로운...

프라이버시 챗봇

2017.09.29

챗봇과 대화하다가 민감한 개인 정보를 입력하는 경우가 많다. 기업 내 챗봇 보안을 강화하고 프라이버시 위협을 최소화하는 방법을 알아보자. 빅데이터에서 챗봇이 새로운 취약점이 될 가능성이 있을까? 그렇다. 기본적 인사과 질문에 대답하거나 기업 단위 설문조사를 실시할 때, 사용자를 특정인과 연계하기 전 정보를 얻는 챗봇은 슬랙과 기타 메시지 앱에 부가 기능으로 추가되어 보안 위험을 높인다. 챗봇 업체 탈라(Talla) CEO 롭 메이는 보안 위기가 봇을 구입하는 방식에서 온다고 말했다. 즉, “SaaS 초기에는 마케팅 부서가 IT 부서의 승인 없이도 웹 브라우저만 있으면 바로 소프트웨어를 구입하는 방식으로 판매되었고, IT 부서는 큰 문제가 없다고 생각했지만 결국 기업 전체가 SaaS 방식으로 운영되기 시작했다”고 설명했다. 그러면 갑자기 기업의 핵심 운영이 난데없이 나타난 사용자나 데이터 관리 경험 없는 플랫폼으로 운영되기 시작한다. 챗봇에서 오는 데이터 취약점을 차단하기 위해 메이는 현재의 봇 구입과 이행 간소화를 권장한다. 안타깝게도 직원들은 이미 챗봇으로 급여정보, 의료보험 세부사항 같은 기밀 데이터를 공유하고 있을지 모른다. IT 부서가 데이터를 안전하게 보호하기 위해 어떤 조치를 취할 수 있을까? 어떻게 하면 이 취약점을 미리 막을 수 있을까? 그 외에 어떤 질문이 유용할까? 챗봇을 활용하는 방식을 파악하라 컴퓨터 및 네트워크 보안 제공자 라피드7(Rapid7)의 개발자 프라이야 도드워드 는 현재의 상황을 분류하는 것부터 시작하라고 말했다. 그리고 나서 구매에 앞서 사용자와의 면담을 실시한다. 이렇게 하면 2가지 측면에서 도움이 된다. 우선, 사용자 반응을 통해 도입 고려 중인 챗봇을 계획대로 활용하게 될지를 알 수 있어 사용자 도입 및 생산성을 높인다. 또 면담은 위협 수준 평가에 도움이 된다. 보호하고 있는 데이터의 유형을 알면 챗봇 프라이버시 문제에 더욱 잘 대비할 수 있다. 라피드7이 새로운...

2017.09.29

"클라우드 쓴다면 더 문제"··· 기업을 위한 GDPR 가이드

2018년 5월 25일, 강화된 개인정보 보호 규정인 일반정보보호규정(GDPR)의 EU 시행일이 빠르게 다가오고 있다. 이 때문에 클라우드 서비스로 정보를 처리하는 기업은 새로운 과제와 기회를 맞고 있다. GDPR 규정을 잘 지키려면 먼저 그 의미를 정확하게 이해해야 한다. GDPR은 개인정보 보호를 강화하는 정보 관리/통제 체제다. UK클라우드(UKCloud)의 준법 및 정보 보증 책임자 존 고드윈은 최근 열린 클라우드 보안 컨퍼런스 '클라우드섹 2017(Cloudsec 2017)'에서 "GDPR은 마치 브라이튼 록(Brighton rock) 사탕 과자의 막대와 같다. 기업 업무를 모두 관통하는 것이므로, 부서나 직무와 관계없이 모든 직원이 정확히 이해해야 한다”라고 말했다. GDPR의 목표는 정보 주체에게 자신의 정보가 어떻게 사용되는지 충분히 인지시키고, 자신이 알고 있는 목적으로만 안전하게 처리될 것이라는 신뢰는 주는 것이다. 문제는 클라우드에서는 이러한 신뢰가 쉽지 않다는 것이다. 정보가 어디에 저장돼 있는지 확실치 않을 때가 있기 때문이다. 고드윈은 “정보 주체의 권리가 점점 커지고 있으므로, 기업이 클라우드 서비스를 사용할 때는 이러한 권리를 어떻게 보장할지 충분히 파악해 대비해야 한다"라고 말했다. 개인정보 보호 최적화 설계 GDPR은 개인 정보보호 권리를 클라우드 솔루션 내에 반영하도록 기업이 '개인정보 보호 영향 평가(DPIA, Data Privacy Impact Assessment)'를 의무적으로 수행하도록 규정했다. 고드윈은 "DPIA를 제대로 수행하면 정보보호 체계의 허점이 어디에 있는지 파악할 수 있고, 클라우드내 다양한 프로세스를 거치는 과정에서 고객 정보를 안전하게 유지할 수 있다”라고 말했다. DPIA는 기업이 사용되는 정보를 파악하고 그 보호 정도를 평가한다. 정보 저장소의 위치와 정보 처리 방식, 제3자에 의한...

클라우드 보안 프라이버시 개인정보보호 EU GDPR

2017.09.25

2018년 5월 25일, 강화된 개인정보 보호 규정인 일반정보보호규정(GDPR)의 EU 시행일이 빠르게 다가오고 있다. 이 때문에 클라우드 서비스로 정보를 처리하는 기업은 새로운 과제와 기회를 맞고 있다. GDPR 규정을 잘 지키려면 먼저 그 의미를 정확하게 이해해야 한다. GDPR은 개인정보 보호를 강화하는 정보 관리/통제 체제다. UK클라우드(UKCloud)의 준법 및 정보 보증 책임자 존 고드윈은 최근 열린 클라우드 보안 컨퍼런스 '클라우드섹 2017(Cloudsec 2017)'에서 "GDPR은 마치 브라이튼 록(Brighton rock) 사탕 과자의 막대와 같다. 기업 업무를 모두 관통하는 것이므로, 부서나 직무와 관계없이 모든 직원이 정확히 이해해야 한다”라고 말했다. GDPR의 목표는 정보 주체에게 자신의 정보가 어떻게 사용되는지 충분히 인지시키고, 자신이 알고 있는 목적으로만 안전하게 처리될 것이라는 신뢰는 주는 것이다. 문제는 클라우드에서는 이러한 신뢰가 쉽지 않다는 것이다. 정보가 어디에 저장돼 있는지 확실치 않을 때가 있기 때문이다. 고드윈은 “정보 주체의 권리가 점점 커지고 있으므로, 기업이 클라우드 서비스를 사용할 때는 이러한 권리를 어떻게 보장할지 충분히 파악해 대비해야 한다"라고 말했다. 개인정보 보호 최적화 설계 GDPR은 개인 정보보호 권리를 클라우드 솔루션 내에 반영하도록 기업이 '개인정보 보호 영향 평가(DPIA, Data Privacy Impact Assessment)'를 의무적으로 수행하도록 규정했다. 고드윈은 "DPIA를 제대로 수행하면 정보보호 체계의 허점이 어디에 있는지 파악할 수 있고, 클라우드내 다양한 프로세스를 거치는 과정에서 고객 정보를 안전하게 유지할 수 있다”라고 말했다. DPIA는 기업이 사용되는 정보를 파악하고 그 보호 정도를 평가한다. 정보 저장소의 위치와 정보 처리 방식, 제3자에 의한...

2017.09.25

"초음파로 사용자 행동 추적하는 앱 234개 발견" 독일 연구진 보고

독일 브라운슈바익 공과대학(Technische Universitat Braunschweig)의 최근 연구에 따르면 몇몇 스마트폰 앱이 사용자를 은밀히 감시하고 있었다. 234개의 안드로이드 앱이 사용자 몰래 초음파를 탐지하고 있었다. 연구진은 2곳의 유럽 도시에 소재한 35곳의 매장에서 이러한 추적 신호기을 발견했다. 이들 신호기들은 매장 방문객이 보는 대상을 확인하기 위해 티비로부터 송출되는 비가청 신호를 포착할 수 있으며, 기업들은 이를 통해 방문객의 관심사 및 위치 정보에 기반한 광고를 송출할 수 있게 된다. 이들 신호기를 활용하면 또 방문객의 움직임도 추적할 수 있으며 방문객이 어떤 기기를 소유했는지도 파악하는 것이 가능해진다. 이론적으로 지불할 때바다 송출되는 초음파 신호를 이용함으로써 사용자의 비트코인 주소와 실제 신원을 연관짓을 수도 있게 된다. 연구 발견점 연구진은 실버푸시(SilverPush)라는 광고 기업이 스마트폰 마이크를 사용해 광고 시청 시 송출되는 비가청 오디오를 감지했다는 기사가 등장한 이후 조사에 착수했다. 이 기능은 소비재 분야의 거물은 P&G(Procter & Gamble)을 포함한 여러 기업에 의해 활용되고 있었다. 이번 연구 보고서의 저자인 어윈 큐링은 "시청자가 TV에서 무엇을 보고 있는지 알아내기 위해 5가지 주파수로 구성된 짧은 초음파 신호를 삽입했다"라며, "이를 통해 사용자의 기기가 백그라운 작업 중 오디오 신호를 포착했으며, 결과적으로 기업들은 모바일 장치 사용자가 보는 광고를 확인할 수 있었다"라고 영국 테크월드와의 인터뷰에서 말했다. 연구진은 이후 약 130만 개 이상의 안드로이드 애플리케이션을 분석해 유사한 주파수를 이용하는 앱들을 발견했다. 연구에 따르면 초음파 신호기를 사용하는 애플리케이션은 234개였는데, 이 중에는 인기 앱들도 있었다. 2개는 100만에서 500만 번 다운로드된 것들로 전해졌다. 실버푸시는 이 초음파 기...

프라이버시 감시 모바일 앱 초음파 브라운슈바익 실버푸시

2017.08.16

독일 브라운슈바익 공과대학(Technische Universitat Braunschweig)의 최근 연구에 따르면 몇몇 스마트폰 앱이 사용자를 은밀히 감시하고 있었다. 234개의 안드로이드 앱이 사용자 몰래 초음파를 탐지하고 있었다. 연구진은 2곳의 유럽 도시에 소재한 35곳의 매장에서 이러한 추적 신호기을 발견했다. 이들 신호기들은 매장 방문객이 보는 대상을 확인하기 위해 티비로부터 송출되는 비가청 신호를 포착할 수 있으며, 기업들은 이를 통해 방문객의 관심사 및 위치 정보에 기반한 광고를 송출할 수 있게 된다. 이들 신호기를 활용하면 또 방문객의 움직임도 추적할 수 있으며 방문객이 어떤 기기를 소유했는지도 파악하는 것이 가능해진다. 이론적으로 지불할 때바다 송출되는 초음파 신호를 이용함으로써 사용자의 비트코인 주소와 실제 신원을 연관짓을 수도 있게 된다. 연구 발견점 연구진은 실버푸시(SilverPush)라는 광고 기업이 스마트폰 마이크를 사용해 광고 시청 시 송출되는 비가청 오디오를 감지했다는 기사가 등장한 이후 조사에 착수했다. 이 기능은 소비재 분야의 거물은 P&G(Procter & Gamble)을 포함한 여러 기업에 의해 활용되고 있었다. 이번 연구 보고서의 저자인 어윈 큐링은 "시청자가 TV에서 무엇을 보고 있는지 알아내기 위해 5가지 주파수로 구성된 짧은 초음파 신호를 삽입했다"라며, "이를 통해 사용자의 기기가 백그라운 작업 중 오디오 신호를 포착했으며, 결과적으로 기업들은 모바일 장치 사용자가 보는 광고를 확인할 수 있었다"라고 영국 테크월드와의 인터뷰에서 말했다. 연구진은 이후 약 130만 개 이상의 안드로이드 애플리케이션을 분석해 유사한 주파수를 이용하는 앱들을 발견했다. 연구에 따르면 초음파 신호기를 사용하는 애플리케이션은 234개였는데, 이 중에는 인기 앱들도 있었다. 2개는 100만에서 500만 번 다운로드된 것들로 전해졌다. 실버푸시는 이 초음파 기...

2017.08.16

'속도와 보안 모두 잡은' 프라이버시 보호 툴 5선

수년 전 구글(Google), 빙(Bing), 야후(Yahoo), 페이스북(Facebook), 아마존(Amazon) 그리고 수백 개의 조직이 사용자 데이터를 수집해 수익화하기 시작하면서 대중들은 격렬한 반응을 보였고, 이에 다양한 수준의 인터넷 프라이버시 보호 제품과 서비스가 생겨났다. 그리고 정부가 인터넷 서비스 제공업체(ISP)들에게도 이를 허용하면서 사용자들은 그 어느 때보다도 많은 프라이버시 보호 제품과 서비스를 선택할 수 있게 되었다. 말 그대로 수백 가지의 옵션이 존재한다. 오늘은 우리가 생각하는 상위 5가지 인터넷 프라이버시 솔루션과 기타 5가지 '후보'들을 살펴보도록 하자. 어니언 라우팅(Onion Routing) 및 콤보(Combo) 기술 1. 토르(The Onion Router, TOR) 토르는 1990년대 중반에 등장한 오픈소스 제품이자 서비스다(무료). 본래 미국 해군연구소(Naval Research Laboratory)가 미국의 온라인 정보통신을 보호하기 위해 개발했다. 2006년에는 토르 프로젝트라 불리면서 가장 규모가 크고 인기있는 어니언 라우팅 제품/서비스가 되었고 토르 브라우저(TOR Browser)와 토르 소프트웨어가 포함되어 있다. 토르 커뮤니케이션 책임자 조슈아 게이에 따르면, 토르는 공공 네트워크를 통해 누가 누구와 대화하는지 추론하기 위해 사용하는 트래픽 분석이라는 보편적인 형태의 인터넷 감시로부터 사용자를 보호한다. 인터넷 트래픽의 소스와 대상을 알면 다른 사람들이 사용자의 행동과 관심을 추적할 수 있다. 토르는 웹 브라우저, 인스턴스 메시지 등에 적용된다. 토르 브라우저는 교차 플랫폼 무료 브라우저로 추가적인 소프트웨어 없이 토르 네트워크에 연결한다. 게이는 "토르 소프트웨어는 전 세계 지원자들이 운영하는 분산형 릴레이(Relay) 네트워크를 통해 통신을 산란시켜 사용자를 보호한다"며, "ISP를 포함해 아무도 인터넷 연결을 확인하여 방문하는 사...

구글 보안 페이스북 프라이버시

2017.08.11

수년 전 구글(Google), 빙(Bing), 야후(Yahoo), 페이스북(Facebook), 아마존(Amazon) 그리고 수백 개의 조직이 사용자 데이터를 수집해 수익화하기 시작하면서 대중들은 격렬한 반응을 보였고, 이에 다양한 수준의 인터넷 프라이버시 보호 제품과 서비스가 생겨났다. 그리고 정부가 인터넷 서비스 제공업체(ISP)들에게도 이를 허용하면서 사용자들은 그 어느 때보다도 많은 프라이버시 보호 제품과 서비스를 선택할 수 있게 되었다. 말 그대로 수백 가지의 옵션이 존재한다. 오늘은 우리가 생각하는 상위 5가지 인터넷 프라이버시 솔루션과 기타 5가지 '후보'들을 살펴보도록 하자. 어니언 라우팅(Onion Routing) 및 콤보(Combo) 기술 1. 토르(The Onion Router, TOR) 토르는 1990년대 중반에 등장한 오픈소스 제품이자 서비스다(무료). 본래 미국 해군연구소(Naval Research Laboratory)가 미국의 온라인 정보통신을 보호하기 위해 개발했다. 2006년에는 토르 프로젝트라 불리면서 가장 규모가 크고 인기있는 어니언 라우팅 제품/서비스가 되었고 토르 브라우저(TOR Browser)와 토르 소프트웨어가 포함되어 있다. 토르 커뮤니케이션 책임자 조슈아 게이에 따르면, 토르는 공공 네트워크를 통해 누가 누구와 대화하는지 추론하기 위해 사용하는 트래픽 분석이라는 보편적인 형태의 인터넷 감시로부터 사용자를 보호한다. 인터넷 트래픽의 소스와 대상을 알면 다른 사람들이 사용자의 행동과 관심을 추적할 수 있다. 토르는 웹 브라우저, 인스턴스 메시지 등에 적용된다. 토르 브라우저는 교차 플랫폼 무료 브라우저로 추가적인 소프트웨어 없이 토르 네트워크에 연결한다. 게이는 "토르 소프트웨어는 전 세계 지원자들이 운영하는 분산형 릴레이(Relay) 네트워크를 통해 통신을 산란시켜 사용자를 보호한다"며, "ISP를 포함해 아무도 인터넷 연결을 확인하여 방문하는 사...

2017.08.11

블로그 | '또 다른 나'··· 디지털 도플갱어 서비스 개념의 이해

비행기, 기차, 자동차, 광산 장비, 건물, 공공 인프라 등과 같이 가치 있는 물리적 자산에 대한 디지털 트윈(digital twins) 개념에 대한 논의가 증가하고 있다. 그렇다면 디지털 트윈 개념이 인간에게 적용되면 어떻게 될까? 디지털 트윈이란 물리적 물체의 디지털 버전을 의미한다. 실제 객체의 디지털 모델, 객체의 데이터, 객체에 대한 일대일 대응, 객체 모니터링 기능 등이 모두 포함되는 개념이다. 인간의 맥락에 디지털 트윈 개념을 적용하면 개인의 역사와 환경을 포함해 개인 '삶의 데이터'를 수집, 보호, 사용한다는 이야기이며, 특정 인간의 평생에 걸친 가상 모델이 될 수 있다. 가령 한 아이가 태어났을 때부터 부모가 위임한 디지털 도플갱어(digital doppelgänger)가 생성될 수 있다. 일단 유전 병력이 우선 포함되며 임신 중 초음파 스캔 데이터가 데이터 호수에 포함되게 된다. 한 인간의 디지털 버전이다. 개인이 성장함에 따라 각자의 디지털 도플갱어의 데이터 호수는 점차 확장된다. 평생의 의료 기록이며 되며 출생 사진부터 셀카에 이르는 사진 라이브러리가 된다. 개인의 거주지, 하는 일, 식습관 및 선호도, 생활에 필요한 비용 등의 정보 등도 담긴다. 아울러 정씨, 날씨, 사회경제적 사건과 가족 및 친구, 지역 사회에 대한 데이터와 같은 외부 맥락 정보가 추가될 수 있다. 이러한 디지털 도플갱어는 특정인 자신이나 가족보다 더 상세한 기억을 가질 수 있다. 인류의 미래일까? 흥미진진하게 들리지만 자연스러운 질문이 제기된다. 디지털 도플갱어 작업을 해야 할 이유가 무엇이냐는 것이다. 또 이를 위해 풀어야 할 숙제가 무엇인지도 감안해야 한다. 일단 실제 응용 가능한 사례를 생각해보면 디지털 도플갱어는 치료나 약물, 물리적 개입을 위해 사용될 수 있다. 나아가 데이터가 축적되고 분석이 정교화되면 복잡하고 위험한 삶의 여러 선택을 시험하는 용도로 활용될 수 있다. '이 직업을 선택하면 어떨까?...

프라이버시 디지털 트윈 디지털 도플갱어

2017.07.17

비행기, 기차, 자동차, 광산 장비, 건물, 공공 인프라 등과 같이 가치 있는 물리적 자산에 대한 디지털 트윈(digital twins) 개념에 대한 논의가 증가하고 있다. 그렇다면 디지털 트윈 개념이 인간에게 적용되면 어떻게 될까? 디지털 트윈이란 물리적 물체의 디지털 버전을 의미한다. 실제 객체의 디지털 모델, 객체의 데이터, 객체에 대한 일대일 대응, 객체 모니터링 기능 등이 모두 포함되는 개념이다. 인간의 맥락에 디지털 트윈 개념을 적용하면 개인의 역사와 환경을 포함해 개인 '삶의 데이터'를 수집, 보호, 사용한다는 이야기이며, 특정 인간의 평생에 걸친 가상 모델이 될 수 있다. 가령 한 아이가 태어났을 때부터 부모가 위임한 디지털 도플갱어(digital doppelgänger)가 생성될 수 있다. 일단 유전 병력이 우선 포함되며 임신 중 초음파 스캔 데이터가 데이터 호수에 포함되게 된다. 한 인간의 디지털 버전이다. 개인이 성장함에 따라 각자의 디지털 도플갱어의 데이터 호수는 점차 확장된다. 평생의 의료 기록이며 되며 출생 사진부터 셀카에 이르는 사진 라이브러리가 된다. 개인의 거주지, 하는 일, 식습관 및 선호도, 생활에 필요한 비용 등의 정보 등도 담긴다. 아울러 정씨, 날씨, 사회경제적 사건과 가족 및 친구, 지역 사회에 대한 데이터와 같은 외부 맥락 정보가 추가될 수 있다. 이러한 디지털 도플갱어는 특정인 자신이나 가족보다 더 상세한 기억을 가질 수 있다. 인류의 미래일까? 흥미진진하게 들리지만 자연스러운 질문이 제기된다. 디지털 도플갱어 작업을 해야 할 이유가 무엇이냐는 것이다. 또 이를 위해 풀어야 할 숙제가 무엇인지도 감안해야 한다. 일단 실제 응용 가능한 사례를 생각해보면 디지털 도플갱어는 치료나 약물, 물리적 개입을 위해 사용될 수 있다. 나아가 데이터가 축적되고 분석이 정교화되면 복잡하고 위험한 삶의 여러 선택을 시험하는 용도로 활용될 수 있다. '이 직업을 선택하면 어떨까?...

2017.07.17

"프라이버시 보호에 총력 기울인 노트북과 스마트폰"··· 한 스타트업이 주목하는 틈새 시장

샌프란시스코에 소재한 한 스타트업이 프라이버시를 보호하는 소프트웨어와 하드웨어를 특화한 리눅스 기반의 노트북 컴퓨터와 모바일 기기를 개발하고 있어 눈길을 끌고 있다. 퓨리즘(Purism)은 최근 인텔 AMT 익스플로잇과 워너크라이(WannaCry) 랜섬웨어 공격 같은 사이버 공격으로부터 사용자를 보호할 수 있는 13인치 및 15인치 리브렘(Librem) 노트북 컴퓨터에 대한 상용화 계획을 지난주 발표했다. 이 회사의 하드웨어들은 무료 오픈소스 소프트웨어의 지원을 극대화할 수 있도록 설계된 것이 특징이다. 퓨리즘의 토드 위버 CEO는 "지금까지 철저히 경시됐던 분야다. 노트북을 출발점으로 삼고 싶었다. 수월하게 진행을 할 수 있는 영역이기 때문이다. 이후 전화기, 라우터, 서버, 데스크탑 등으로 확대할 계획이다"라고 설명했다. 이 회사는 이미 11.6인치 리눅스 기반 2-in-1 개발을 마치고 현재 예약 주문을 접수 받고 있으며, 위버는 약 6개월이면 이 2-in-1 기기를 판매할 수 있을 것으로 예상하고 있다. 256GB SSD와 8GB 메모리를 장착한 '베이직' 2-in-1의 소매 가격은 1,398달러이다. 이 회사는 또 암호화 된 메시징 플랫폼 등 보안 기능을 기본 탑재하게 될 오픈소스 스마트폰 개발에 박차를 가할 계획이다. 그러나 아직은 개인 정보 보호에 초점이 맞춰진 스마트폰 개발에 500만 달러의 자본이 필요한 실정이다. 퓨리즘은 노트북 컴퓨터 제품군의 경우 재고가 비축된 상태지만 이는 기업 고객을 대상으로 한 제품이라고 전했다. 이 제품의 경우 주문 후 몇 주 정도면 제품을 수령할 수 있다. 위버는 "B2B 영업의 장점은 소프트웨어 개발자, 하드웨어 전문가, 보안 전문가 등 '핵심' 청중을 대상으로 한다는 점이다. 구매 결정에 영향을 미치는 CTO와 CIO도 핵심 청중이다. 우리는 스몰 비즈니스(소규모 사업체)를 출발점으로 삼을 계획이다. 이후 더 큰...

보안 오픈소스 노트북 프라이버시 퓨리즘 v프로 리브렘

2017.07.03

샌프란시스코에 소재한 한 스타트업이 프라이버시를 보호하는 소프트웨어와 하드웨어를 특화한 리눅스 기반의 노트북 컴퓨터와 모바일 기기를 개발하고 있어 눈길을 끌고 있다. 퓨리즘(Purism)은 최근 인텔 AMT 익스플로잇과 워너크라이(WannaCry) 랜섬웨어 공격 같은 사이버 공격으로부터 사용자를 보호할 수 있는 13인치 및 15인치 리브렘(Librem) 노트북 컴퓨터에 대한 상용화 계획을 지난주 발표했다. 이 회사의 하드웨어들은 무료 오픈소스 소프트웨어의 지원을 극대화할 수 있도록 설계된 것이 특징이다. 퓨리즘의 토드 위버 CEO는 "지금까지 철저히 경시됐던 분야다. 노트북을 출발점으로 삼고 싶었다. 수월하게 진행을 할 수 있는 영역이기 때문이다. 이후 전화기, 라우터, 서버, 데스크탑 등으로 확대할 계획이다"라고 설명했다. 이 회사는 이미 11.6인치 리눅스 기반 2-in-1 개발을 마치고 현재 예약 주문을 접수 받고 있으며, 위버는 약 6개월이면 이 2-in-1 기기를 판매할 수 있을 것으로 예상하고 있다. 256GB SSD와 8GB 메모리를 장착한 '베이직' 2-in-1의 소매 가격은 1,398달러이다. 이 회사는 또 암호화 된 메시징 플랫폼 등 보안 기능을 기본 탑재하게 될 오픈소스 스마트폰 개발에 박차를 가할 계획이다. 그러나 아직은 개인 정보 보호에 초점이 맞춰진 스마트폰 개발에 500만 달러의 자본이 필요한 실정이다. 퓨리즘은 노트북 컴퓨터 제품군의 경우 재고가 비축된 상태지만 이는 기업 고객을 대상으로 한 제품이라고 전했다. 이 제품의 경우 주문 후 몇 주 정도면 제품을 수령할 수 있다. 위버는 "B2B 영업의 장점은 소프트웨어 개발자, 하드웨어 전문가, 보안 전문가 등 '핵심' 청중을 대상으로 한다는 점이다. 구매 결정에 영향을 미치는 CTO와 CIO도 핵심 청중이다. 우리는 스몰 비즈니스(소규모 사업체)를 출발점으로 삼을 계획이다. 이후 더 큰...

2017.07.03

칼럼 | 무방비 상태의 B2B 프라이버시 규정, 문제 없을까

대부분 IT경영자들은 ‘기업 프라이버시 정책’이라는 단어를 보면 링크드인이나 우버, 에버노트 등이 고객의 사생활 보호와 관련해 추진하는 정책을 떠올린다. 하지만 여기서 말하는 프라이버시 정책이란 기업의 데이터를 관리하는 또 다른 기업과의 계약 체결에 필요한 정책을 말한다. 이 문제를 제대로 다루지 않은 채 이뤄지는 계약이 대부분이며 이러한 사실은 보안에서 상당한 취약점이 된다. 가장 피부에 와 닿는 사례부터 생각해 보자. 직원들이 사용하는 각종 안드로이드 및 iOS 기기는 어떨까? 오늘날 이들 기기는 끊임없이 사용자를 모니터링하고 있다. 글자 그대로 끊임없이 말이다. 예전에는 비행기 모드를 해 놓거나, 와이파이를 꺼 놓으면 기기의 모니터링을 피할 수 있었다. 하지만, 적어도 iOS에서는 아니다. 최근 OS 업그레이드를 통해 이제 아이폰에서는 비행기 모드를 해 놓거나 와이파이를 꺼 두어도 시리를 부르면 시리가 ‘시리를 사용할 수 없습니다’라고 답한다. 즉 시리가 데이터베이스에는 접근할 수 없다 해도 사용자의 활동을 계속해서 모니터링 하고 있다가 질문에 답변한다는 뜻이다. 직원들의 업무용 스마트폰 구매 계약을 체결할 때, 프라이버시 보호와 관련한 규정을 포함시킨 회사가 얼마나 될까? 회사의 프라이버시 정책에 맞지 않는 기기는 과감히 패스할 수 있는 기업은 또 몇이나 될까? 미국 내 기업들 다수가 이처럼 프라이버시 문제를 중요하게 여긴다면 빠르게 변화하리라고 장담할 수 있다. 문제는 스마트폰만이 아니다. 클라우드도 있다. 클라우드 업체와의 계약서를 펼쳐 보자. 업체는 아마도 기업의 중요 데이터에 대해 접근 권한을 지니고 있을 것이다. 이러한 데이터에 대해 업체의 활용 권한을 제한하는 항목이 들어 있는가? 직원 채용 시 작성하는 계약서와 비교해보면 이러한 허점은 더욱 드러난다. 직원 채용 계약서는 회사의 기밀 자료를 폐기 후 5년이 지나도 보안 규정에 따라 관리해야 하는 의무를 명시해 두고 ...

스마트폰 GDPR 개인정보보호법 EU 유럽연합 B2C B2B 개인정보 보호 프라이버시 General Data Protection Regulation

2017.05.18

대부분 IT경영자들은 ‘기업 프라이버시 정책’이라는 단어를 보면 링크드인이나 우버, 에버노트 등이 고객의 사생활 보호와 관련해 추진하는 정책을 떠올린다. 하지만 여기서 말하는 프라이버시 정책이란 기업의 데이터를 관리하는 또 다른 기업과의 계약 체결에 필요한 정책을 말한다. 이 문제를 제대로 다루지 않은 채 이뤄지는 계약이 대부분이며 이러한 사실은 보안에서 상당한 취약점이 된다. 가장 피부에 와 닿는 사례부터 생각해 보자. 직원들이 사용하는 각종 안드로이드 및 iOS 기기는 어떨까? 오늘날 이들 기기는 끊임없이 사용자를 모니터링하고 있다. 글자 그대로 끊임없이 말이다. 예전에는 비행기 모드를 해 놓거나, 와이파이를 꺼 놓으면 기기의 모니터링을 피할 수 있었다. 하지만, 적어도 iOS에서는 아니다. 최근 OS 업그레이드를 통해 이제 아이폰에서는 비행기 모드를 해 놓거나 와이파이를 꺼 두어도 시리를 부르면 시리가 ‘시리를 사용할 수 없습니다’라고 답한다. 즉 시리가 데이터베이스에는 접근할 수 없다 해도 사용자의 활동을 계속해서 모니터링 하고 있다가 질문에 답변한다는 뜻이다. 직원들의 업무용 스마트폰 구매 계약을 체결할 때, 프라이버시 보호와 관련한 규정을 포함시킨 회사가 얼마나 될까? 회사의 프라이버시 정책에 맞지 않는 기기는 과감히 패스할 수 있는 기업은 또 몇이나 될까? 미국 내 기업들 다수가 이처럼 프라이버시 문제를 중요하게 여긴다면 빠르게 변화하리라고 장담할 수 있다. 문제는 스마트폰만이 아니다. 클라우드도 있다. 클라우드 업체와의 계약서를 펼쳐 보자. 업체는 아마도 기업의 중요 데이터에 대해 접근 권한을 지니고 있을 것이다. 이러한 데이터에 대해 업체의 활용 권한을 제한하는 항목이 들어 있는가? 직원 채용 시 작성하는 계약서와 비교해보면 이러한 허점은 더욱 드러난다. 직원 채용 계약서는 회사의 기밀 자료를 폐기 후 5년이 지나도 보안 규정에 따라 관리해야 하는 의무를 명시해 두고 ...

2017.05.18

너희에게 '거짓말'을 보낸다

해커뿐만이 아니다. 여러 기술 기업과 정부까지도 우리의 개인 정보를 원하고 있다. 어쩌면 우리를 구할 존재는 ‘거짓말’뿐이다. 디지털 프라이버시 침해 문제가 인간의 권리와 자유를 위협하고 있다. 또 큰 걸림돌로 작용하고 있기도 하다. MIT의 스티븐 스미스는 최근 MIT 링컨 연구소(Lincoln Laboratory)의 레이더, 소나, 신호 처리 연구라는 본업에서 잠시 손을 떼고 가족의 웹 트래픽을 자동으로 '혼탁화(Pollution)' 시키는 실험을 진행했다. 그가 개발한 코드는 트래픽을 엿보는 사람들에게 가짜 인터넷 활동을 알려주는 것이었다. 이 소프트웨어는 능숙한 거짓말쟁이다. 더 아틀란틱(The Atlantic) 기사에 따르면, 스미스의 알고리즘은 웹 활동 스푸핑 소프트웨어인 팬텀JS(PhantomJS)를 이용해 보통 사람의 온라인 행동을 흉내 낸 방식과 타임라인으로 검색을 한다. 그렇게 허위 정보의 세상이 만들어졌다! 프라이버시(개인 정보)를 보호하는 새로운 방법이다. 잠깐! 비밀번호! 강력한 비밀번호가 필요하다는 이야기를 자주 들었을 것이다. 그러나 제 아무리 강력한 비밀번호라도 누출되면 무용지물이다. 미국 국토안보부(U.S. Department of Homeland Security)가 이번 주 발표한 내용에 따르면, 국경과 공항에서 스마트폰과 노트북 컴퓨터를 검색하는 사례가 6개월 동안 약 2배 증가했다(8,383회에서 1만 4,993회). 대부분의 노트북은 비밀번호로 보호되어 있다. 이에 따라 국경 경비 공무원은 여행자가 비밀번호를 공유하거나, '자발적으로' 잠금을 풀어야 장치에 액세스 할 수 있다 (LA타임즈의 보도에 따르면, 올해 국경에서의 장치 검색 횟수가 6만으로 증가할 것으로 예상되고 있음). 트럼프 대통령은 '극단적 심사(Extreme Vetting)'을 공약했다. 여기에는 미국 국민과 방문자에게 소셜 네트워크 비밀번호를 요구...

프라이버시 개인정보 VPN 개인 데이터 해캥 노이지 루인마이히스토리

2017.04.18

해커뿐만이 아니다. 여러 기술 기업과 정부까지도 우리의 개인 정보를 원하고 있다. 어쩌면 우리를 구할 존재는 ‘거짓말’뿐이다. 디지털 프라이버시 침해 문제가 인간의 권리와 자유를 위협하고 있다. 또 큰 걸림돌로 작용하고 있기도 하다. MIT의 스티븐 스미스는 최근 MIT 링컨 연구소(Lincoln Laboratory)의 레이더, 소나, 신호 처리 연구라는 본업에서 잠시 손을 떼고 가족의 웹 트래픽을 자동으로 '혼탁화(Pollution)' 시키는 실험을 진행했다. 그가 개발한 코드는 트래픽을 엿보는 사람들에게 가짜 인터넷 활동을 알려주는 것이었다. 이 소프트웨어는 능숙한 거짓말쟁이다. 더 아틀란틱(The Atlantic) 기사에 따르면, 스미스의 알고리즘은 웹 활동 스푸핑 소프트웨어인 팬텀JS(PhantomJS)를 이용해 보통 사람의 온라인 행동을 흉내 낸 방식과 타임라인으로 검색을 한다. 그렇게 허위 정보의 세상이 만들어졌다! 프라이버시(개인 정보)를 보호하는 새로운 방법이다. 잠깐! 비밀번호! 강력한 비밀번호가 필요하다는 이야기를 자주 들었을 것이다. 그러나 제 아무리 강력한 비밀번호라도 누출되면 무용지물이다. 미국 국토안보부(U.S. Department of Homeland Security)가 이번 주 발표한 내용에 따르면, 국경과 공항에서 스마트폰과 노트북 컴퓨터를 검색하는 사례가 6개월 동안 약 2배 증가했다(8,383회에서 1만 4,993회). 대부분의 노트북은 비밀번호로 보호되어 있다. 이에 따라 국경 경비 공무원은 여행자가 비밀번호를 공유하거나, '자발적으로' 잠금을 풀어야 장치에 액세스 할 수 있다 (LA타임즈의 보도에 따르면, 올해 국경에서의 장치 검색 횟수가 6만으로 증가할 것으로 예상되고 있음). 트럼프 대통령은 '극단적 심사(Extreme Vetting)'을 공약했다. 여기에는 미국 국민과 방문자에게 소셜 네트워크 비밀번호를 요구...

2017.04.18

트위터, 미 정부 대상 소송 제기 "계정 정보를 탈법적으로 요구"

트위터가 미 국토안보부 (Department of Homeland Security)에 소송을 제기했다. 이 소셜 미디어 서비스 기업은 정부가 이민 서비스에 비판적인 트위터 계정 사용자를 발견하려는 용도로 수사 도구를 오용하고 있다고 주장했다. 캘리포니아 주에서 제기된 이 소송은 미국 방문객들을 대상으로 이메일 및 소셜 미디어 계정 비밀번호를 이민국에 넘겨 줄 것을 일상적으로 요구할 수 있다는 보도에 뒤이어 제기된 것이다. 소송에서 트위터는 미 국토 안보부와 미국 세관 및 국경 보호국이 @alt_uscis 트위터 계정에 관한 정보를 양도할 것을 요구했다고 주장했다. 이 계정은 도널드 트럼프 대통령 취임 이후 미국 정부 당국 사이에서 의견이 분분한 계정 중 하나다. 계정 사용자는 트럼프와 새로운 리더십에 비판적인 트윗을 작성해오고 있다. 업계에서는 계정 소유주가 정부 또는 전직 직원으로 일하는 내부자일 가능성이 높은 것으로 관측하고 있다. 트위터는 세관으로부터 계정 소유주의 신분을 밝히라는 요구장을 수령했다며, 자사가 이를 거부했다고 밝혔다. 트위터는 정부가 정보를 요구할 수 있는 근거로 제시하는 19 U.S. 미국 법령 1509항의 경우 수입 위반을 포함해 좁은 범위의 혐의에 대해서만 다를 수 있다고 주장했다. 트위터의 소송 문서에는 "CBP의 @alt_uscis 계정에 대한 조사는 미국으로의 상품 수입과는 아무런 관련이 없다"라며, "@alt_uscis 계정 소유주에 대해 CBT가 조사하도록 허용하면 심각한 영향을 초래할 수 있다. 특히 정부 정책에 반대 의견을 표명하기 위해 만들어진 다른 많은 계정에게 그렇다"라고 기술하고 있다. 이번 소송은 트위터와 미국 세관 조사관이 소환의 적절성과 합법성에 대해 상호 논의한 이후 제기된 것이다. 트위터 측은 법원 명령을 받지 않으면 계정 보유자에게 조사 요구 사실을 알릴 것이라고 당국 측에 전했다고 밝혔다. 정부는 그러한 명령을 신청하지 않았다....

트위터 프라이버시 소송 국토안보부 세관

2017.04.07

트위터가 미 국토안보부 (Department of Homeland Security)에 소송을 제기했다. 이 소셜 미디어 서비스 기업은 정부가 이민 서비스에 비판적인 트위터 계정 사용자를 발견하려는 용도로 수사 도구를 오용하고 있다고 주장했다. 캘리포니아 주에서 제기된 이 소송은 미국 방문객들을 대상으로 이메일 및 소셜 미디어 계정 비밀번호를 이민국에 넘겨 줄 것을 일상적으로 요구할 수 있다는 보도에 뒤이어 제기된 것이다. 소송에서 트위터는 미 국토 안보부와 미국 세관 및 국경 보호국이 @alt_uscis 트위터 계정에 관한 정보를 양도할 것을 요구했다고 주장했다. 이 계정은 도널드 트럼프 대통령 취임 이후 미국 정부 당국 사이에서 의견이 분분한 계정 중 하나다. 계정 사용자는 트럼프와 새로운 리더십에 비판적인 트윗을 작성해오고 있다. 업계에서는 계정 소유주가 정부 또는 전직 직원으로 일하는 내부자일 가능성이 높은 것으로 관측하고 있다. 트위터는 세관으로부터 계정 소유주의 신분을 밝히라는 요구장을 수령했다며, 자사가 이를 거부했다고 밝혔다. 트위터는 정부가 정보를 요구할 수 있는 근거로 제시하는 19 U.S. 미국 법령 1509항의 경우 수입 위반을 포함해 좁은 범위의 혐의에 대해서만 다를 수 있다고 주장했다. 트위터의 소송 문서에는 "CBP의 @alt_uscis 계정에 대한 조사는 미국으로의 상품 수입과는 아무런 관련이 없다"라며, "@alt_uscis 계정 소유주에 대해 CBT가 조사하도록 허용하면 심각한 영향을 초래할 수 있다. 특히 정부 정책에 반대 의견을 표명하기 위해 만들어진 다른 많은 계정에게 그렇다"라고 기술하고 있다. 이번 소송은 트위터와 미국 세관 조사관이 소환의 적절성과 합법성에 대해 상호 논의한 이후 제기된 것이다. 트위터 측은 법원 명령을 받지 않으면 계정 보유자에게 조사 요구 사실을 알릴 것이라고 당국 측에 전했다고 밝혔다. 정부는 그러한 명령을 신청하지 않았다....

2017.04.07

칼럼 | 진정한 온라인 프라이버시란 없다

개인 정보 보호를 걱정하는 소비자들은 자신의 신원과 웹 활동을 간편하게 보호할 수 있는 '마법의 해결책'을 원한다. 그리고 이런 해결책을 제공한다고 주장하는 기술, 제품, 서비스들이 꽤 존재한다. VPN, 토르(Tor) 같이 프라이버시가 강조된 브라우저, 덕덕고(DuckDuckGo) 같은 프라이버시 검색 엔진, 기타 활동을 익명화 하는 서비스들을 예로 들 수 있다. 그러나 이들 제품조차도 인간를 한계까지 막아주지는 못 한다. 한 가지 짚고 넘어가자. 앞서 언급된 대부분의 서비스는 보통 사람들(평범한 룸메이트, 배우자, 직장 동료, 상사 등)로부터 익명성을 유지하도록 도움을 준다. 그러나 당신을 추적하는데 시간을 투자할 의지가 있는 법 집행 기관, 사이버 도둑, 신원 도둑은 막지 못한다. 이를 더 강력히 입증하는 연구 결과가 발표됐다. 스탠포드와 프린스턴대학 연구원들이 발표한 새 논문이다. 이 논문은 "사람마다 소셜 네트워크, 피드에 표시되는 링크에 특색이 있다. 브라우징 히스토리에는 신원을 알려주는 숨길 수 없는 '표시'가 포함되어 있다. 우리는 실제 그런지 확인하기 위해 약 400명으로부터 자발적으로 웹 브라우징 히스토리를 제공 받았다. 그리고 이를 통해 70% 이상의 신원을 정확히 밝힐 수 있었다”라고 적고 있다. 이 논문은 사람들의 습관이 중요한 역할을 한다고 강조한다. 얼굴과 IP주소, 전화 번호, 고객 번호 등은 감출 수 있지만, 행동(습관)은 감추지 못하는 경우가 많다는 설명이다. 실제로 몇 년 전, 한 법 집행 기관은 용의자를 찾기 위해 식료품점 쇼핑 패턴을 추적했었다. 이 용의자는 원래 자신이 살던 지역에서 숨어 지낼 이유가 없었다. 그녀는 결제 카드를 사용했고, 도서관 카드를 갖고 있었고, 동네 식료품점에서는 로열티 및 CRM 프로그램을 이용해 할인을 받았다. 그런데 몇 명을 살해하는 사건을 저지르고, 숨기로 결심했다. 은행 계좌를 비웠고(가능한 현금으로 생활...

프라이버시 VPN 토르 익명화 덕덕고

2017.02.23

개인 정보 보호를 걱정하는 소비자들은 자신의 신원과 웹 활동을 간편하게 보호할 수 있는 '마법의 해결책'을 원한다. 그리고 이런 해결책을 제공한다고 주장하는 기술, 제품, 서비스들이 꽤 존재한다. VPN, 토르(Tor) 같이 프라이버시가 강조된 브라우저, 덕덕고(DuckDuckGo) 같은 프라이버시 검색 엔진, 기타 활동을 익명화 하는 서비스들을 예로 들 수 있다. 그러나 이들 제품조차도 인간를 한계까지 막아주지는 못 한다. 한 가지 짚고 넘어가자. 앞서 언급된 대부분의 서비스는 보통 사람들(평범한 룸메이트, 배우자, 직장 동료, 상사 등)로부터 익명성을 유지하도록 도움을 준다. 그러나 당신을 추적하는데 시간을 투자할 의지가 있는 법 집행 기관, 사이버 도둑, 신원 도둑은 막지 못한다. 이를 더 강력히 입증하는 연구 결과가 발표됐다. 스탠포드와 프린스턴대학 연구원들이 발표한 새 논문이다. 이 논문은 "사람마다 소셜 네트워크, 피드에 표시되는 링크에 특색이 있다. 브라우징 히스토리에는 신원을 알려주는 숨길 수 없는 '표시'가 포함되어 있다. 우리는 실제 그런지 확인하기 위해 약 400명으로부터 자발적으로 웹 브라우징 히스토리를 제공 받았다. 그리고 이를 통해 70% 이상의 신원을 정확히 밝힐 수 있었다”라고 적고 있다. 이 논문은 사람들의 습관이 중요한 역할을 한다고 강조한다. 얼굴과 IP주소, 전화 번호, 고객 번호 등은 감출 수 있지만, 행동(습관)은 감추지 못하는 경우가 많다는 설명이다. 실제로 몇 년 전, 한 법 집행 기관은 용의자를 찾기 위해 식료품점 쇼핑 패턴을 추적했었다. 이 용의자는 원래 자신이 살던 지역에서 숨어 지낼 이유가 없었다. 그녀는 결제 카드를 사용했고, 도서관 카드를 갖고 있었고, 동네 식료품점에서는 로열티 및 CRM 프로그램을 이용해 할인을 받았다. 그런데 몇 명을 살해하는 사건을 저지르고, 숨기로 결심했다. 은행 계좌를 비웠고(가능한 현금으로 생활...

2017.02.23

"애플, 사용자가 지운 인터넷 기록 1년 이상 보관했다"

애플이 사용자가 삭제한 인터넷 사용 기록을 아이클라우드에 저장해 온 것으로 보인다. 무려 1년 이상된 기록도 포함됐다. 러시아 포렌식 업체인 엘컴소프트(Elcomsoft)는 삭제된 사파리 브라우저 기록으로 보이는 데이터를 아이클라우드 계정에서 추출했다고 밝혔다. 이 데이터에는 사용자가 접속한 사이트와 시간, 이 기록을 삭제한 날짜 등이 포함됐다. 엘컴소프트의 CEO 블라디미르 카타로브는 자사 블로그를 통해 "여기에는 1년 이상 된 데이터도 있었다"라고 설명했다. 사용자는 아이클라우드에 인터넷 사용 내역을 저장하도록 를 설정할 수 있다. 이렇게 저장된 내용은 아이클라우드에 연결된 사용자의 모든 애플 기기에 연동된다. 사용자는 이 기록을 삭제할 수 있는데, 설사 사용자가 이를 지워도 아이클라우드는 실제로 이를 삭제하지 않고 사용자에게 보이지 않는 형식으로 바꿔 그대로 저장해 놓는 것 같다고 업체는 설명했다. 이 업체는 자사의 포렌식 툴인 '폰 브레이커(Phone Breaker)'를 이용해 이같은 사실을 발견했다. 이 툴을 이용하면 아이클라우드 계정에서 간단하게 파일을 추출할 수 있다. 카타로브는 "이렇게 아이클라우드에 저장된 사용자의 브라우저 기록 사본은 감시와 사찰에 악용될 수 있다"라고 말했다. 애플이 아이클라우드 서비스에 삭제된 정보가 그대로 남아있다는 것을 알고 있는지는 명확지 않다. 애플은 엘컴소프트의 지적에 대해 즉각 반응을 내놓지 않았다. 그러나 엘컴소프트에 따르면 애플이 일부 오래된 기록을 아이클라우드에서 삭제하고 있다. 업체는 블로그를 통해 "(저장 사실을 공개한 직후인) 현재는 아이클라우드에서 2주전 삭제된 정보까지만 추출할 수 있다. 애플이 이전 데이터를 삭제하지 않고 다른 서버로 옮겼을 가능성도 있다. 이렇게 하면 외부에서는 이 삭제된 정보에 접근할 수 없다"라고 설명했다. 엘컴소프트는 이전에도 애플이 사용자의 통화 기록을 아이클라우드에 저장...

애플 프라이버시 아이클라우드

2017.02.13

애플이 사용자가 삭제한 인터넷 사용 기록을 아이클라우드에 저장해 온 것으로 보인다. 무려 1년 이상된 기록도 포함됐다. 러시아 포렌식 업체인 엘컴소프트(Elcomsoft)는 삭제된 사파리 브라우저 기록으로 보이는 데이터를 아이클라우드 계정에서 추출했다고 밝혔다. 이 데이터에는 사용자가 접속한 사이트와 시간, 이 기록을 삭제한 날짜 등이 포함됐다. 엘컴소프트의 CEO 블라디미르 카타로브는 자사 블로그를 통해 "여기에는 1년 이상 된 데이터도 있었다"라고 설명했다. 사용자는 아이클라우드에 인터넷 사용 내역을 저장하도록 를 설정할 수 있다. 이렇게 저장된 내용은 아이클라우드에 연결된 사용자의 모든 애플 기기에 연동된다. 사용자는 이 기록을 삭제할 수 있는데, 설사 사용자가 이를 지워도 아이클라우드는 실제로 이를 삭제하지 않고 사용자에게 보이지 않는 형식으로 바꿔 그대로 저장해 놓는 것 같다고 업체는 설명했다. 이 업체는 자사의 포렌식 툴인 '폰 브레이커(Phone Breaker)'를 이용해 이같은 사실을 발견했다. 이 툴을 이용하면 아이클라우드 계정에서 간단하게 파일을 추출할 수 있다. 카타로브는 "이렇게 아이클라우드에 저장된 사용자의 브라우저 기록 사본은 감시와 사찰에 악용될 수 있다"라고 말했다. 애플이 아이클라우드 서비스에 삭제된 정보가 그대로 남아있다는 것을 알고 있는지는 명확지 않다. 애플은 엘컴소프트의 지적에 대해 즉각 반응을 내놓지 않았다. 그러나 엘컴소프트에 따르면 애플이 일부 오래된 기록을 아이클라우드에서 삭제하고 있다. 업체는 블로그를 통해 "(저장 사실을 공개한 직후인) 현재는 아이클라우드에서 2주전 삭제된 정보까지만 추출할 수 있다. 애플이 이전 데이터를 삭제하지 않고 다른 서버로 옮겼을 가능성도 있다. 이렇게 하면 외부에서는 이 삭제된 정보에 접근할 수 없다"라고 설명했다. 엘컴소프트는 이전에도 애플이 사용자의 통화 기록을 아이클라우드에 저장...

2017.02.13

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13