Offcanvas

��������� ������

블로그 | 소비자 데이터 수집에 신중해야 할 시점

수집하지 않는다면 털릴 일도 없다. 고객 데이터를 보호하는 가장 좋은 방법은 아예 수집하지 않는 것일 수 있는 이유다. 모두 모으고 싶은 유혹에 사로잡힐 수 있지만 대부분의 기업이 마케팅에 필요한 데이터는 그리 많지 않을 수 있다.  IDC의 마케팅 및 세일즈 기술 연구 디렉터 게리 머레이는 "소비자 브랜드 기업에게 종종 듣는 이야기 중 하나는 좀더 신중해지고 있다는 것이다. 소비자에게 대해 무엇을 알고 싶은지를 다시 재고하고 있다"라고 말했다.  그는 이어 "대부분의 상업적 목적과 관련해 사실 그리 많은 것을 알 필요가 없다. 때로는 모르는 편이 더 나은 경우도 있다"라고 덧붙였다.  2015 옵트인 리스트에서 유래한 것으로 추정되는 총 2억 건의 직접 마케팅 리스트 누출 사건이 소비자 데이터 수집 문제에 대한 주의를 환기시키고 있다. 주소와 전화, 결혼 상태, 수입, 금융 순자산, 인종, 성별, 종교 등의 42개 필드가 포함된 이 데이터가 그레이 마켓에서 회람되고 있기 때문이다. 익스페리안(Experian)이 수집한 것으로 관측되지만(익스페리안은 부인함), 전세계 수천 명의 직접 마케터가 이 데이터에 접근할 수 있었기 때문에 누출 지점이 어디인지는 불명확한 상태다.  이 데이터 누출 사건은 사회 보장 번호, 운전 면허증 정보, 여권 번호, 신용카드 번호가 포함되지 않았기에 다른 사건만큼 민감하게 취급되지 않는다. 그러나 다른 정보와 결합돼 활용될 가능성을 배제할 수 없는 상태다. 누출 사건은 과거에 이미 보도됐지만, 실제 파일은 최근 공개됐다.    파일명에는 모두 'Experian'이라는 단어가 들어 있었으며 필드는 서드파티 기업인 데이터 몬스터(Data Monster)가 광고하는 다이렉트 마케팅 리스트와 일치했다. 익스페리안은 그러나 자체 조사 결과 자사의 데이터가 아니라고 이메일을 통해 밝혔다. 데이터 몬스터 또한 해당 리스트가 수천 곳의...

데이터 유출 데이터 누출 데이터 수집

2019.05.15

수집하지 않는다면 털릴 일도 없다. 고객 데이터를 보호하는 가장 좋은 방법은 아예 수집하지 않는 것일 수 있는 이유다. 모두 모으고 싶은 유혹에 사로잡힐 수 있지만 대부분의 기업이 마케팅에 필요한 데이터는 그리 많지 않을 수 있다.  IDC의 마케팅 및 세일즈 기술 연구 디렉터 게리 머레이는 "소비자 브랜드 기업에게 종종 듣는 이야기 중 하나는 좀더 신중해지고 있다는 것이다. 소비자에게 대해 무엇을 알고 싶은지를 다시 재고하고 있다"라고 말했다.  그는 이어 "대부분의 상업적 목적과 관련해 사실 그리 많은 것을 알 필요가 없다. 때로는 모르는 편이 더 나은 경우도 있다"라고 덧붙였다.  2015 옵트인 리스트에서 유래한 것으로 추정되는 총 2억 건의 직접 마케팅 리스트 누출 사건이 소비자 데이터 수집 문제에 대한 주의를 환기시키고 있다. 주소와 전화, 결혼 상태, 수입, 금융 순자산, 인종, 성별, 종교 등의 42개 필드가 포함된 이 데이터가 그레이 마켓에서 회람되고 있기 때문이다. 익스페리안(Experian)이 수집한 것으로 관측되지만(익스페리안은 부인함), 전세계 수천 명의 직접 마케터가 이 데이터에 접근할 수 있었기 때문에 누출 지점이 어디인지는 불명확한 상태다.  이 데이터 누출 사건은 사회 보장 번호, 운전 면허증 정보, 여권 번호, 신용카드 번호가 포함되지 않았기에 다른 사건만큼 민감하게 취급되지 않는다. 그러나 다른 정보와 결합돼 활용될 가능성을 배제할 수 없는 상태다. 누출 사건은 과거에 이미 보도됐지만, 실제 파일은 최근 공개됐다.    파일명에는 모두 'Experian'이라는 단어가 들어 있었으며 필드는 서드파티 기업인 데이터 몬스터(Data Monster)가 광고하는 다이렉트 마케팅 리스트와 일치했다. 익스페리안은 그러나 자체 조사 결과 자사의 데이터가 아니라고 이메일을 통해 밝혔다. 데이터 몬스터 또한 해당 리스트가 수천 곳의...

2019.05.15

IoT 보안에 대한 전문가들의 관점은?

오늘날의 사물인터넷 분야는 그야말로 흥미롭다. 불안정성이 가득하지만 지속적으로 확산되고 있는 동시에 피할 수 없는 존재다. 퓨 리서치 센터가 기술 분야 저명인을 대상으로 조사한 결과에서 언급된 관점들이다. 전문가들이 특히 공통적으로 언급한 주제는 IoT 보안이었다. 이들은 또 IoT 보안이 미래에 미칠 영향에 대해 집중하는 모습을 보였다. 필수 인프라에 연결된 장치를 통합하는 추세로 인해 향후 더욱 파괴적인 공격의 가능성이 대두되고 있다는 지적이었다. 보잉 보잉의 미래학자이자 공동 주주, 보안 블로그인 코리 닥터로우는 정부가 지금까지보다 더 많은 일을 해야 한다고 주장했다. 여기엔느 보안 강화를 위한 인센티브 정책이 포함된다. 그는 "현재 신용카드 기록이 누출되면 기업은 건당 0.35달러의 비용과 모니터링 서비스를 위한 추가 지출을 부담해야 한다. 그러나 이러한 데이터는 다른 데이터와 결합돼 숨막힐 정도의 다른 범죄로 이어진다. 만약 회사가 데이터 누출로 인한 평생 손실을 모두 부담해야 한다면, 어떤 보험사도 비용을 책정할 수 없을 정도로 비용 부담이 치솟게 될 것"이라고 말했다. 인터넷의 아버지로 불리는 빈트 서프는 보안 문제가 사용자들로 하여금 연결형 장치로부터 멀어지는 결과를 초래할 수 있다고 지적했다. 그는 "제조업체가 사용자의 이익을 보호하기 위해 부단히 노력하지 않는 한 신뢰성과 안정성 문제는 고조될 수밖에 없다. 지난 10년 동안 구글 지도와 같은 앱에의 의존도가 얼마나 올라갔는지 보라. 신뢰성이 핵심이다. 시스템이 신뢰할 수 없다고 판단한다면 사용자들은 떠날 것이다"이라고 말했다. 코리 닥터로우(좌)는 정부의 역할을 강조했다. 다이나 보이드는 IoT의 불가피성과 잠재적 피해 가능성을 언급했다. 그러나 소프트웨어 기업 포그 크릭의 CEO 아닐 대시는 연결된 세상의 속성 상 사용자들이 대규모로 이탈하는 상황은 예상하기 어렵다고 주장했다. 그는 "필연적으로 사람들은...

데이터 누출 IoT 보안

2017.06.07

오늘날의 사물인터넷 분야는 그야말로 흥미롭다. 불안정성이 가득하지만 지속적으로 확산되고 있는 동시에 피할 수 없는 존재다. 퓨 리서치 센터가 기술 분야 저명인을 대상으로 조사한 결과에서 언급된 관점들이다. 전문가들이 특히 공통적으로 언급한 주제는 IoT 보안이었다. 이들은 또 IoT 보안이 미래에 미칠 영향에 대해 집중하는 모습을 보였다. 필수 인프라에 연결된 장치를 통합하는 추세로 인해 향후 더욱 파괴적인 공격의 가능성이 대두되고 있다는 지적이었다. 보잉 보잉의 미래학자이자 공동 주주, 보안 블로그인 코리 닥터로우는 정부가 지금까지보다 더 많은 일을 해야 한다고 주장했다. 여기엔느 보안 강화를 위한 인센티브 정책이 포함된다. 그는 "현재 신용카드 기록이 누출되면 기업은 건당 0.35달러의 비용과 모니터링 서비스를 위한 추가 지출을 부담해야 한다. 그러나 이러한 데이터는 다른 데이터와 결합돼 숨막힐 정도의 다른 범죄로 이어진다. 만약 회사가 데이터 누출로 인한 평생 손실을 모두 부담해야 한다면, 어떤 보험사도 비용을 책정할 수 없을 정도로 비용 부담이 치솟게 될 것"이라고 말했다. 인터넷의 아버지로 불리는 빈트 서프는 보안 문제가 사용자들로 하여금 연결형 장치로부터 멀어지는 결과를 초래할 수 있다고 지적했다. 그는 "제조업체가 사용자의 이익을 보호하기 위해 부단히 노력하지 않는 한 신뢰성과 안정성 문제는 고조될 수밖에 없다. 지난 10년 동안 구글 지도와 같은 앱에의 의존도가 얼마나 올라갔는지 보라. 신뢰성이 핵심이다. 시스템이 신뢰할 수 없다고 판단한다면 사용자들은 떠날 것이다"이라고 말했다. 코리 닥터로우(좌)는 정부의 역할을 강조했다. 다이나 보이드는 IoT의 불가피성과 잠재적 피해 가능성을 언급했다. 그러나 소프트웨어 기업 포그 크릭의 CEO 아닐 대시는 연결된 세상의 속성 상 사용자들이 대규모로 이탈하는 상황은 예상하기 어렵다고 주장했다. 그는 "필연적으로 사람들은...

2017.06.07

기고 | 크리덴셜 부정 사용 찾아내는 '사용자 행동 분석'

*본 기고문은 벤더가 작성한 것으로 네트워크 월드 편집진의 수정을 거쳤다. 그러나 벤더의 시각이 일부 남아 있을 수 있다. 이미지 출처 : Thinkstock 거의 모든 데이터 누출 사건은 정상적인 로그온 크리덴셜(Credential)을 사용해 이뤄진다. 이런 ‘내부자 위협’을 막으려면 도난 당한 크리덴셜을 범죄자들이 사용할 때 이를 감지할 수 있는 능력이 필요하다. 안타깝게도 전통적인 네트워크 보안 툴은 이런 위협을 식별하거나 완화하는데 효과적이지 못하다. 이런 목적을 위해 새로운 사용자 행동 분석 솔루션이 개발됐으며 실효성이 입증되고 있다. ‘내부자 위협’이라는 말을 들으면, 일반적으로 기업 데이터 접근 권한이 있는 악의적인 직원이나 범죄 의도가 있는 계약직, 또는 협력사 등을 떠올리게 된다. 하지만 이 말은 넓은 의미로 볼 때 정상적인 직원 및 내부자의 로그온 크리덴셜이나 권한을 악용하는 위협과 공격을 의미한다. 직원이나 다른 내부자의 데이터 누출은 대부분 추적할 수 있다. 반면, 외부의 해커, 범죄 조직, 반대 정부, 경쟁사, 핵티비스트(Hacktivist)에 의해 발생한 데이터 누출 사고의 경우 대개 좀더 심각해진다. 이런 범죄자들의 경우 내부자는 아니더라도 관리 권한을 항상 가질 수 있는 내부자의 로그온 크리덴셜을 탈취해 시도할 수 있다. 이 목표를 달성하고 나면 권한을 가진 내부자로 위장해 시스템에 침투한 다음 원하는 정보를 복사한다. 외부자건 내부자건 누구의 소행인지간에 불법적이거나 부주의한 내부자 로그온 크리덴셜 또는 권한 사용은 거의 모든 사이버범죄의 공통 분모라 할 수 있다. 또 관련된 모든 위험을 내부자 위협으로 볼 수 있다. --------------------------------------------------------------- 내부자 위협 인기기사 ->기고 | 가장 큰 보안 위협은 내부에 있다? ->내부...

해킹 사용자 행동 내부자 위협 내부자 분석 데이터 누출 크리덴셜 권한 공격 유출 해커 부정 사용

2016.01.29

*본 기고문은 벤더가 작성한 것으로 네트워크 월드 편집진의 수정을 거쳤다. 그러나 벤더의 시각이 일부 남아 있을 수 있다. 이미지 출처 : Thinkstock 거의 모든 데이터 누출 사건은 정상적인 로그온 크리덴셜(Credential)을 사용해 이뤄진다. 이런 ‘내부자 위협’을 막으려면 도난 당한 크리덴셜을 범죄자들이 사용할 때 이를 감지할 수 있는 능력이 필요하다. 안타깝게도 전통적인 네트워크 보안 툴은 이런 위협을 식별하거나 완화하는데 효과적이지 못하다. 이런 목적을 위해 새로운 사용자 행동 분석 솔루션이 개발됐으며 실효성이 입증되고 있다. ‘내부자 위협’이라는 말을 들으면, 일반적으로 기업 데이터 접근 권한이 있는 악의적인 직원이나 범죄 의도가 있는 계약직, 또는 협력사 등을 떠올리게 된다. 하지만 이 말은 넓은 의미로 볼 때 정상적인 직원 및 내부자의 로그온 크리덴셜이나 권한을 악용하는 위협과 공격을 의미한다. 직원이나 다른 내부자의 데이터 누출은 대부분 추적할 수 있다. 반면, 외부의 해커, 범죄 조직, 반대 정부, 경쟁사, 핵티비스트(Hacktivist)에 의해 발생한 데이터 누출 사고의 경우 대개 좀더 심각해진다. 이런 범죄자들의 경우 내부자는 아니더라도 관리 권한을 항상 가질 수 있는 내부자의 로그온 크리덴셜을 탈취해 시도할 수 있다. 이 목표를 달성하고 나면 권한을 가진 내부자로 위장해 시스템에 침투한 다음 원하는 정보를 복사한다. 외부자건 내부자건 누구의 소행인지간에 불법적이거나 부주의한 내부자 로그온 크리덴셜 또는 권한 사용은 거의 모든 사이버범죄의 공통 분모라 할 수 있다. 또 관련된 모든 위험을 내부자 위협으로 볼 수 있다. --------------------------------------------------------------- 내부자 위협 인기기사 ->기고 | 가장 큰 보안 위협은 내부에 있다? ->내부...

2016.01.29

퓨리 등 신작 영화 무더기 누출 사건... 소니 픽처스, 삭제 작업 진행 중

소니 픽처스 엔터테인먼트의 최신 영화 '퓨리' 등이 사이버공격으로 파일 공유 사이트에 누출된 가운데, 소니가 삭제 작업을 진행하고 있다. 누출된 영화는 브래드 피트 워 필름의 '퓨리'(10월 개봉), 개봉 예정작 'Annie', 'Still Alice', Mr, Turner', 'To Writhe Love on Her Arms' 등이다. 소니 관계자는 스튜디오 측이 컴퓨터 시스템 복구 작업을 진행하고 있다고 밝혔다. 소니 픽처스 엔터테인먼트는 지난 주 스스로를 '평화 수호자'(GOP ; Guardians of Peace)라고 지행차는 그룹에 의해 공격 당했다. 공격은 영화 콘텐츠 누출과 함께 이메일 등의 사내 서버 네트웍스에 영향을 미쳤다. 회사 대변인은 지난 1일 "소니 픽처스 엔터테인먼트 콘텐츠 절도는 범죄 행위다. 우리는 법률 집행 기관과 공조해 문제를 해결하고 있다"라고 전했다. 대변인은 그러나 사건 조사에 미 FBI가 개입했으며, 회사가 파이어아이의 맨디언트 포렌식 팀을 고용해 피해를 복구하고 있다는 뉴스에 대해서는 공식적으로 확답하지 않았다. 소니 픽처스 측은 또 사건 책임자를 묻는 질문에 즉답하지 않았다. 한편 한 미디어는 북한 김정은 관련 영화인 소니 필름의 'The Intervie'로 인해 북한 관련 해커들이 보복 공격을 한 것으로 추정하는 기사를 발행한 바 있다. GOP는 뉴스 미디어에의 이메일을 통해 자신들이 소니 픽처스의 데이터를 웹 상에 업로드했다고 밝혔다. 여기에는 TV 쇼 판매 세일즈 데이터, 몇몇 이메일과 패스워드 등이 포함된 것으로 전해졌다. GOP 관계자라고 주장하는 한 인물은 별도의 이메일을 통해 "소니 픽처스의 무차별적 구조조정 계획이 우리 해킹 공격의 동기였다"라며, 회사가 끔찍한 인종 차별과 폭정을 자행하고 있다고 비난했다. 그는 이어 &quo...

해킹 데이터 누출 소니 픽처스 퓨리 GOP

2014.12.02

소니 픽처스 엔터테인먼트의 최신 영화 '퓨리' 등이 사이버공격으로 파일 공유 사이트에 누출된 가운데, 소니가 삭제 작업을 진행하고 있다. 누출된 영화는 브래드 피트 워 필름의 '퓨리'(10월 개봉), 개봉 예정작 'Annie', 'Still Alice', Mr, Turner', 'To Writhe Love on Her Arms' 등이다. 소니 관계자는 스튜디오 측이 컴퓨터 시스템 복구 작업을 진행하고 있다고 밝혔다. 소니 픽처스 엔터테인먼트는 지난 주 스스로를 '평화 수호자'(GOP ; Guardians of Peace)라고 지행차는 그룹에 의해 공격 당했다. 공격은 영화 콘텐츠 누출과 함께 이메일 등의 사내 서버 네트웍스에 영향을 미쳤다. 회사 대변인은 지난 1일 "소니 픽처스 엔터테인먼트 콘텐츠 절도는 범죄 행위다. 우리는 법률 집행 기관과 공조해 문제를 해결하고 있다"라고 전했다. 대변인은 그러나 사건 조사에 미 FBI가 개입했으며, 회사가 파이어아이의 맨디언트 포렌식 팀을 고용해 피해를 복구하고 있다는 뉴스에 대해서는 공식적으로 확답하지 않았다. 소니 픽처스 측은 또 사건 책임자를 묻는 질문에 즉답하지 않았다. 한편 한 미디어는 북한 김정은 관련 영화인 소니 필름의 'The Intervie'로 인해 북한 관련 해커들이 보복 공격을 한 것으로 추정하는 기사를 발행한 바 있다. GOP는 뉴스 미디어에의 이메일을 통해 자신들이 소니 픽처스의 데이터를 웹 상에 업로드했다고 밝혔다. 여기에는 TV 쇼 판매 세일즈 데이터, 몇몇 이메일과 패스워드 등이 포함된 것으로 전해졌다. GOP 관계자라고 주장하는 한 인물은 별도의 이메일을 통해 "소니 픽처스의 무차별적 구조조정 계획이 우리 해킹 공격의 동기였다"라며, 회사가 끔찍한 인종 차별과 폭정을 자행하고 있다고 비난했다. 그는 이어 &quo...

2014.12.02

블로그 | 만연한 2015 보안 낙관론... 투자가 늘어서?

데이터 누출 측면에서 2014년은 다사다난했다. 그러나 쓰렛트랙 시큐리티(ThreatTrack Security)의 보고서에 따르면 2015년에는 상황이 대폭 나아질 전망이다. 단 조건이 있다. 설문 응답자들이 각자의 네트워크 방어책을 과신하는 것이 아니라는 전제에서다. 쓰렛트랙 보고서는 '최전선에서 바라본 2015 전망 : 데이터 누출에의 대응 능력을 자신하는 보안 전문가들'(2015 Predictions from the Front Lines: Cybersecurity Professionals Very Confident in Their Ability to Fight Data Breaches in 2015)이라는 제목의 것이다. 2,000명 이상의 직원을 보유한 기업에 속해 있는 250여 명의 IT 전문가를 대상으로 설문조사한 결과다. 보고서 요약문은 다음과 같이 기술하고 있다. "보안 전문가들은 내년 자신의 조직을 목표로 한 공격이 늘어날 것이라고 관측하고 있었다. 그럼에도 불구하고 그들은 낙관적이었다. 자사 고객의 데이터 안전을 개인적으로 기꺼이 장담하는 이들이 대다수에 이를 정도였다. 그들의 낙관론은 내년 사이버 방어 분야에의 투자 계획에 기반한 것으로 관측된다." 주요 내용을 살펴보면 다음과 같다. 먼저 10명 중 7명 가까운 응답자는 자신의 조직이 내년 공격 대상이 될 가능성이 높다고 대답했다. 그러나 2015년 데이터 누출을 감지하고 방어할 능력이 개선될 것이라고 응답한 비율이 94%에 이르렀다. 사이버 공격을 감지하고 맞서 싸울 수 있는 능력에 대해 자신하는 것이 나쁜 것은 결코 아닐 것이다. 그러나 보안 능력이 개선된다는 것과 효과적으로 보호할 수 있다는 말은 동의어가 아니다. 기업이 보안 정책과 도구를 개선시킬 수 있는 방안은 다양하며, 취약점은 곳곳에 널려 있기 마련이다. 응답자 중 개인적으로 '보장'할 수도 있다는 비율이 무려 80%를 상회했다. 어쩌면 이는 IT...

보안 데이터 누출 2015 쓰렛트랙

2014.11.25

데이터 누출 측면에서 2014년은 다사다난했다. 그러나 쓰렛트랙 시큐리티(ThreatTrack Security)의 보고서에 따르면 2015년에는 상황이 대폭 나아질 전망이다. 단 조건이 있다. 설문 응답자들이 각자의 네트워크 방어책을 과신하는 것이 아니라는 전제에서다. 쓰렛트랙 보고서는 '최전선에서 바라본 2015 전망 : 데이터 누출에의 대응 능력을 자신하는 보안 전문가들'(2015 Predictions from the Front Lines: Cybersecurity Professionals Very Confident in Their Ability to Fight Data Breaches in 2015)이라는 제목의 것이다. 2,000명 이상의 직원을 보유한 기업에 속해 있는 250여 명의 IT 전문가를 대상으로 설문조사한 결과다. 보고서 요약문은 다음과 같이 기술하고 있다. "보안 전문가들은 내년 자신의 조직을 목표로 한 공격이 늘어날 것이라고 관측하고 있었다. 그럼에도 불구하고 그들은 낙관적이었다. 자사 고객의 데이터 안전을 개인적으로 기꺼이 장담하는 이들이 대다수에 이를 정도였다. 그들의 낙관론은 내년 사이버 방어 분야에의 투자 계획에 기반한 것으로 관측된다." 주요 내용을 살펴보면 다음과 같다. 먼저 10명 중 7명 가까운 응답자는 자신의 조직이 내년 공격 대상이 될 가능성이 높다고 대답했다. 그러나 2015년 데이터 누출을 감지하고 방어할 능력이 개선될 것이라고 응답한 비율이 94%에 이르렀다. 사이버 공격을 감지하고 맞서 싸울 수 있는 능력에 대해 자신하는 것이 나쁜 것은 결코 아닐 것이다. 그러나 보안 능력이 개선된다는 것과 효과적으로 보호할 수 있다는 말은 동의어가 아니다. 기업이 보안 정책과 도구를 개선시킬 수 있는 방안은 다양하며, 취약점은 곳곳에 널려 있기 마련이다. 응답자 중 개인적으로 '보장'할 수도 있다는 비율이 무려 80%를 상회했다. 어쩌면 이는 IT...

2014.11.25

'이베이 누출 사고'로 되짚어보는 기업 로그인 정보 보호법

이베이는 지난 21일 '소수의' 직원 로그인 정보가 누설됐으며 이에 따라 사내 네트워크에 불법적 접근이 나타나고 있다고 밝혔다. 그러나 1억 4,500만 명에 이르는 등록 회원 중 몇 명의 정보가 누출됐는지에 대해서는 함구했다. 스텔스비츠 테크놀로지(STEALTHbits Technologies)의 전략 및 연구 담당 임원 조나단 샌더는 "내부 접근이 가능한 계정만 확보한다면 공격이 한층 쉬워진다"라고 설명했다. 이베이 측은 직원 로그인 정보가 어떻게 도난됐는지에 언급하지 않았으며 단지 지난 2월 말에서 3월 초 발생한 사건이라고만 밝혔다. 도난 당한 데이터로는 소비자 이름, 암호화된 패스워드, 이메일 주소, 실제 주소, 전화번호, 생년월일 등이 있었다. 계좌 등의 금융 정보는 포함되지 않은 것으로 알려졌다. 직원들이 사내 네트워크 로그인 정보를 도난 당하는 경로는 많다. 특히 사내 네트워크에서와 동일한 아이디 및 패스워드를 다른 인터넷 사이트에서 사용하기 때문인 경우가 흔하다. 이 밖에 키로그를 움치는 맬웨어에의 감염, 피싱 공격 등의 경로도 있다. 샌더는 기업 정책 차원에서 이를 감안해 적용할 필요가 있다고 강조했다. 사내 네트워크 로그인 정보를 다른 사이트와 반드시 다르게 설정하도록 교육시켜야 한다는 것이다. 실제로 교육이야말로 보안 측면에서 가장 효과적인 비기술적 정책이라고 그는 덧붙였다. 그는 "방어와 관련해 최고의 방안 중 하나는 교육이다. 기업들이 이를 좀더 진지하게 생각할 필요가 있다"라고 말했다. 직원 로그인 정보 누출을 막는 효과적 방법으로는 또 이중 인증(two-factor authentication)이 있다고 에일리언발트의 맬웨어 연구 디렉터 제이미 블라스코가 설명했다. 그는 "가장 쉬운 방법이라고 본다. 해커가 직원 패스워를 훔쳐도 물리적 토큰 없이는 접근할 수 없기 때문이다"라고 말했다. 블라스코는 이어 네트워크 침해 사고가 ...

보안 이베이 데이터 누출 이중 인증 로그인 정보

2014.05.22

이베이는 지난 21일 '소수의' 직원 로그인 정보가 누설됐으며 이에 따라 사내 네트워크에 불법적 접근이 나타나고 있다고 밝혔다. 그러나 1억 4,500만 명에 이르는 등록 회원 중 몇 명의 정보가 누출됐는지에 대해서는 함구했다. 스텔스비츠 테크놀로지(STEALTHbits Technologies)의 전략 및 연구 담당 임원 조나단 샌더는 "내부 접근이 가능한 계정만 확보한다면 공격이 한층 쉬워진다"라고 설명했다. 이베이 측은 직원 로그인 정보가 어떻게 도난됐는지에 언급하지 않았으며 단지 지난 2월 말에서 3월 초 발생한 사건이라고만 밝혔다. 도난 당한 데이터로는 소비자 이름, 암호화된 패스워드, 이메일 주소, 실제 주소, 전화번호, 생년월일 등이 있었다. 계좌 등의 금융 정보는 포함되지 않은 것으로 알려졌다. 직원들이 사내 네트워크 로그인 정보를 도난 당하는 경로는 많다. 특히 사내 네트워크에서와 동일한 아이디 및 패스워드를 다른 인터넷 사이트에서 사용하기 때문인 경우가 흔하다. 이 밖에 키로그를 움치는 맬웨어에의 감염, 피싱 공격 등의 경로도 있다. 샌더는 기업 정책 차원에서 이를 감안해 적용할 필요가 있다고 강조했다. 사내 네트워크 로그인 정보를 다른 사이트와 반드시 다르게 설정하도록 교육시켜야 한다는 것이다. 실제로 교육이야말로 보안 측면에서 가장 효과적인 비기술적 정책이라고 그는 덧붙였다. 그는 "방어와 관련해 최고의 방안 중 하나는 교육이다. 기업들이 이를 좀더 진지하게 생각할 필요가 있다"라고 말했다. 직원 로그인 정보 누출을 막는 효과적 방법으로는 또 이중 인증(two-factor authentication)이 있다고 에일리언발트의 맬웨어 연구 디렉터 제이미 블라스코가 설명했다. 그는 "가장 쉬운 방법이라고 본다. 해커가 직원 패스워를 훔쳐도 물리적 토큰 없이는 접근할 수 없기 때문이다"라고 말했다. 블라스코는 이어 네트워크 침해 사고가 ...

2014.05.22

현실화되는 BYOD 우려... 해법은 당근? 채찍?

‘킬 스위치’에 놓인 CIO의 손끝을 직원들은 마치 다모클레스의 검처럼 바라본다. 자신들이 보유한 BYOD 스마트폰과 태블릿을 사용하지 못하도록 하지 않을까 걱정하는 것이다. 실제로 직원들이 회사의 보안 정책을 준수하지 않는다면, 사적으로 구입해 회사에 가져와 사용하는 스마트폰은 끔찍한 운명을 맞이할 수 있다. 거꾸로 CIO는 일종의 '보상'을 제시해 BYOD 직원들이 보안 정책을 더 철저히 준수하도록 유도할 수 있다. 예를 들어, 회사의 모바일 장치 정책을 준수하는 것을 조건으로 월 전화요금의 일부를 분담해주는 보상책 등을 활용할 수 있다. CIO는 '당근'이든 '채찍'이든 BYOD 직원들이 보안을 중시하도록 만들 방법을 찾아야 한다. 모바일 보안 회사인 어댑티브모바일(AdaptiveMobile)이 500개 회사(직원들)를 대상으로 설문 조사한 결과에 따르면, 80%에 달하는 기업이 BYOD를 도입했다. 그러나 이 가운데 절반에 달하는 회사들이 지난 1년간 보안 침해 사고를 당한 것으로 조사됐다. 한 회사는 지난 해 모바일 장치를 통해 금융 데이터베이스가 해킹 당하면서 8만 달러의 손실이 발생했다고 밝혔다. 센트리파이(Centrify)가 500여 중견 기업과 대기업 직원들을 조사한 결과에 따르면, 43%가 기업 기밀 데이터에 접근을 했으며, 안전하지 않은 공공 네트워크를 이용한 경우에는 15%가 개인 계정이나 비밀번호와 관련된 보안 침해 사고를 겪은 것으로 밝혀졌다. 또 개인 기기에 저장된 데이터 보호에 있어 최소한의 책임도 수용하지 않는다고 대답한 비율은 15%였다. BYOD 보안 우려는 이미 현실 속에서 가시화되고 있는 것이다. IT가 때때로 극단적인 조치를 취하는 이유 일부 CIO들은 BYOD 문제에 대처하기 위해 극단적인 조치를 취하고 있다. 예를 들어, BYOD 보안 정책을 준수하지 않았다는 이유로 직원들을 해고할...

CIO 보안 BYOD 데이터 누출 킬 스위치

2014.05.08

‘킬 스위치’에 놓인 CIO의 손끝을 직원들은 마치 다모클레스의 검처럼 바라본다. 자신들이 보유한 BYOD 스마트폰과 태블릿을 사용하지 못하도록 하지 않을까 걱정하는 것이다. 실제로 직원들이 회사의 보안 정책을 준수하지 않는다면, 사적으로 구입해 회사에 가져와 사용하는 스마트폰은 끔찍한 운명을 맞이할 수 있다. 거꾸로 CIO는 일종의 '보상'을 제시해 BYOD 직원들이 보안 정책을 더 철저히 준수하도록 유도할 수 있다. 예를 들어, 회사의 모바일 장치 정책을 준수하는 것을 조건으로 월 전화요금의 일부를 분담해주는 보상책 등을 활용할 수 있다. CIO는 '당근'이든 '채찍'이든 BYOD 직원들이 보안을 중시하도록 만들 방법을 찾아야 한다. 모바일 보안 회사인 어댑티브모바일(AdaptiveMobile)이 500개 회사(직원들)를 대상으로 설문 조사한 결과에 따르면, 80%에 달하는 기업이 BYOD를 도입했다. 그러나 이 가운데 절반에 달하는 회사들이 지난 1년간 보안 침해 사고를 당한 것으로 조사됐다. 한 회사는 지난 해 모바일 장치를 통해 금융 데이터베이스가 해킹 당하면서 8만 달러의 손실이 발생했다고 밝혔다. 센트리파이(Centrify)가 500여 중견 기업과 대기업 직원들을 조사한 결과에 따르면, 43%가 기업 기밀 데이터에 접근을 했으며, 안전하지 않은 공공 네트워크를 이용한 경우에는 15%가 개인 계정이나 비밀번호와 관련된 보안 침해 사고를 겪은 것으로 밝혀졌다. 또 개인 기기에 저장된 데이터 보호에 있어 최소한의 책임도 수용하지 않는다고 대답한 비율은 15%였다. BYOD 보안 우려는 이미 현실 속에서 가시화되고 있는 것이다. IT가 때때로 극단적인 조치를 취하는 이유 일부 CIO들은 BYOD 문제에 대처하기 위해 극단적인 조치를 취하고 있다. 예를 들어, BYOD 보안 정책을 준수하지 않았다는 이유로 직원들을 해고할...

2014.05.08

보안 취약점 '사용자'... 책임은 누구에게?

최상의 네트워크 방어 및 보안 도구를 선정, 산더미 같은 예산을 쓴다. 그러나 이러한 투자도 사용자의 사소한 클릭 한 번으로 인해 무너질 수 있다. 그렇다. 네트워크, 컴퓨터 보안과 관련해 가장 약한 지점은 사용자다. 그러나 글로벌스케이프가 진행한 최신 설문 조사에 따르면 사용자들만 비난 받을 일이 아니다. 최근 포네몬 인스티튜트의 연구는 데이터 누출의 2/3가 태만, 사용자 실수, 시스템 결함으로 인해 발생했다. 반면 대다수의 보안 솔루션은 외부 공격에 초점을 맞추고 있는 것이 현실이다. 글로벌스케이프는 최종 사용자를 비난하는 것이 진정 타당한 것인지를 확인하기 위해 532명의 IT 전문가를 대상으로 설문조사를 실시했다. 그 결과 수많은 조직에서 데이터 보호 정책과 관련해 심각한 이해 격차가 있다는 사실을 발견했다고 밝혔다. 심지어 데이터 보호 정책이 있는지 여부조차 모르는 사용자가 상당수였다는 설명이다. 글로벌스케이프의 설문 조사는 다음과 같은 발견점을 제시하고 있다. - 기업이 민감한 파일 전송과 관련해 특정 정책을 보유하고 있다고 응답한 직원은 48%에 그쳤다. - 30%는 소속 기업이 해당 정책을 보유하고 있지 않다고 응답했다. - 22%는 해당 정책이 존재하는 지 여부에 대해 확신하지 못했다. 이 밖에 기업이 정책을 수립하고 사용자들이 이를 인지하고 있음에도 불구하고 정책 준수를 모니터링하지 않는 경우도 잦았다. 글로벌스케이프는 또 정책을 보유한 기업이 거버넌스 절차를 진행하는 경우에도 62%의 사용자가 원격 또는 모바일 기기를 이용하고 있었으며 54%의 사용자는 개인 이메일 계정을 사용하고 있다고 전했다. 글로벌스케이프 측은 이번 조사 결과와 관련, 사용자가 가장 약한 지점인 이유에 대한 오해가 있다고 진단했다. 사용자 무관심, 훈련 부족, 악의적 의도 만을 지적할 문제가 아니며, 기업과 IT 관리자에게도 책임이 있다고 글로벌스케이스는 강조했다. ciokr@idg.co.kr

보안 데이터 누출 글로벌스케이프

2014.04.03

최상의 네트워크 방어 및 보안 도구를 선정, 산더미 같은 예산을 쓴다. 그러나 이러한 투자도 사용자의 사소한 클릭 한 번으로 인해 무너질 수 있다. 그렇다. 네트워크, 컴퓨터 보안과 관련해 가장 약한 지점은 사용자다. 그러나 글로벌스케이프가 진행한 최신 설문 조사에 따르면 사용자들만 비난 받을 일이 아니다. 최근 포네몬 인스티튜트의 연구는 데이터 누출의 2/3가 태만, 사용자 실수, 시스템 결함으로 인해 발생했다. 반면 대다수의 보안 솔루션은 외부 공격에 초점을 맞추고 있는 것이 현실이다. 글로벌스케이프는 최종 사용자를 비난하는 것이 진정 타당한 것인지를 확인하기 위해 532명의 IT 전문가를 대상으로 설문조사를 실시했다. 그 결과 수많은 조직에서 데이터 보호 정책과 관련해 심각한 이해 격차가 있다는 사실을 발견했다고 밝혔다. 심지어 데이터 보호 정책이 있는지 여부조차 모르는 사용자가 상당수였다는 설명이다. 글로벌스케이프의 설문 조사는 다음과 같은 발견점을 제시하고 있다. - 기업이 민감한 파일 전송과 관련해 특정 정책을 보유하고 있다고 응답한 직원은 48%에 그쳤다. - 30%는 소속 기업이 해당 정책을 보유하고 있지 않다고 응답했다. - 22%는 해당 정책이 존재하는 지 여부에 대해 확신하지 못했다. 이 밖에 기업이 정책을 수립하고 사용자들이 이를 인지하고 있음에도 불구하고 정책 준수를 모니터링하지 않는 경우도 잦았다. 글로벌스케이프는 또 정책을 보유한 기업이 거버넌스 절차를 진행하는 경우에도 62%의 사용자가 원격 또는 모바일 기기를 이용하고 있었으며 54%의 사용자는 개인 이메일 계정을 사용하고 있다고 전했다. 글로벌스케이프 측은 이번 조사 결과와 관련, 사용자가 가장 약한 지점인 이유에 대한 오해가 있다고 진단했다. 사용자 무관심, 훈련 부족, 악의적 의도 만을 지적할 문제가 아니며, 기업과 IT 관리자에게도 책임이 있다고 글로벌스케이스는 강조했다. ciokr@idg.co.kr

2014.04.03

'행방 묘연했던 회사 노트북' 코카콜라, 데이터 누출 인정

코카콜라가 장기간에 걸친 데이터 누출을 인정했다. 한 직원이 수십 대의 노트북을 몇 년에 걸쳐 훔쳤는데 이 노트북에는 7만 4,000여 명의 민감한 데이터가 포함돼 있었다는 것. 누구도 이를 감지하지 못했다고 회사 측은 밝혔다. 회사에 따르면 익명의 코카콜라 직원 한 명이 회사 노트북을 훔쳐 처분하려 한 혐의를 받고 있다. 6년 동안 총 55대의 노트북이 대상이었다. 지난 해 11월에서 12월까지 이들 노트북을 회수하는 작업을 진행한 이후 코카콜라는 이들 노트북에 민감한 개인 데이터들이 포함된 것을 확인했다. 1만 8,000여 명의 경우 사회보장번호가 포함돼 있었으며, 5만 6,000여 명의 경우 여타 개인 데이터들이 포함돼 있었다. 월 스트리트 저널이 발견한 회사 메모에 따르면 이들 기록이 회사 보안 정책상 암호화되지 않았다. 보안 전문기업 비아샛 UK(ViaSat UK) 크리스 맥린토시 CEO는 "기업이 어떤 데이터를 보유하고 있고 이들 데이터가 어디에 소재하며 어디로 복사되거나 전송되는지 확실히 할 필요가 있다. 또 암호화 등의 기법 적용을 명시해야 한다"라고 말했다. ciokr@idg.co.kr

보안 코카콜라 데이터 누출

2014.01.29

코카콜라가 장기간에 걸친 데이터 누출을 인정했다. 한 직원이 수십 대의 노트북을 몇 년에 걸쳐 훔쳤는데 이 노트북에는 7만 4,000여 명의 민감한 데이터가 포함돼 있었다는 것. 누구도 이를 감지하지 못했다고 회사 측은 밝혔다. 회사에 따르면 익명의 코카콜라 직원 한 명이 회사 노트북을 훔쳐 처분하려 한 혐의를 받고 있다. 6년 동안 총 55대의 노트북이 대상이었다. 지난 해 11월에서 12월까지 이들 노트북을 회수하는 작업을 진행한 이후 코카콜라는 이들 노트북에 민감한 개인 데이터들이 포함된 것을 확인했다. 1만 8,000여 명의 경우 사회보장번호가 포함돼 있었으며, 5만 6,000여 명의 경우 여타 개인 데이터들이 포함돼 있었다. 월 스트리트 저널이 발견한 회사 메모에 따르면 이들 기록이 회사 보안 정책상 암호화되지 않았다. 보안 전문기업 비아샛 UK(ViaSat UK) 크리스 맥린토시 CEO는 "기업이 어떤 데이터를 보유하고 있고 이들 데이터가 어디에 소재하며 어디로 복사되거나 전송되는지 확실히 할 필요가 있다. 또 암호화 등의 기법 적용을 명시해야 한다"라고 말했다. ciokr@idg.co.kr

2014.01.29

칼럼 | ‘일단 모면하고 나중에 대처하자’ 쇼핑몰 타깃의 착각

타깃(Target)이 데이터 유출 재앙을 극복하려면, 쇼핑 고객들의 신뢰를 다시 얻어야 한다. 그러나 이상하게도 타깃은 아무리 봐도 오해를 살만한 해명서를 내놓았다. 몇 가지는 오해를 넘어서기도 하는데, 타깃 측이 알고서도 거짓말을 했던 것이 분명하기 때문이다. 최근 사례는 바로 타깃이 암호화된 PIN 데이터가 도난 당했다고 확인한 지난 12월 27일의 일이었다. 그리고 거기에 거짓말이 덧붙여졌다. “고객들이 알아야 할 가장 중요한 점은, 암호화된 PIN이 유출되었기 때문에 체크카드 계좌 정보는 안전하다는 것이다”라고 이 회사는 밝혔다. 그러나 그 체크카드 계좌 정보들은 침투당해 털린 상태였다. 은행 계좌에 대한 완전한 접속권이 담긴 개인의 신원 번호 정보가 경험 많고 노련한 사이버 범죄자들 손에 들어갔다면, 그 은행 계좌가 위험에 처했다고 보는 게 타당하다. 이런 결론에 누가 반박할 수 있을까? 그러나 타깃의 성명서는 그 카드 정보들이 삼중 DES 암호화되었고, 그 암호화 키는 타깃의 시스템에 저장되어있지 않다는 점을 강조했다. 그리고 그 데이터가 “우리의 외부, 독립 지불 결제사에 수신된 상태에서만 암호가 풀린다”고 덧붙이고 있었다. 우선 타깃측 사람들도 어떤 암호라도 충분한 시간과 충분한 연산력을 동원한다면 뚫릴 수 있다는 사실을 알고 있을 것이다. 쉽지는 않을 수 있지만 분명 가능하다. 삼중 DES는 훌륭한 암호화 옵션이지만, 뚫지 못할 암호는 없다. 그러므로 데이터가 지불 결제사에 의해서만 “오직 암호가 해제된다”는 타깃의 설명은 사실과 다르다. 타깃이 암호화 키를 자체 시스템에 저장하지 않았던 점은 칭찬할 만하다. 키를 지불 결제사에만 저장했던 점 역시 좋은 결정이었다. 그러나 결제사의 시스템 역시 침투당할 수 있다. 오히려 이들은 막대한 수의 소매점들로부터 데이터를 받는다는 점에서 더욱 매력적인 공격 대상이다. 그렇다면 공격...

고객 데이터 누출 타깃 거짓말

2014.01.02

타깃(Target)이 데이터 유출 재앙을 극복하려면, 쇼핑 고객들의 신뢰를 다시 얻어야 한다. 그러나 이상하게도 타깃은 아무리 봐도 오해를 살만한 해명서를 내놓았다. 몇 가지는 오해를 넘어서기도 하는데, 타깃 측이 알고서도 거짓말을 했던 것이 분명하기 때문이다. 최근 사례는 바로 타깃이 암호화된 PIN 데이터가 도난 당했다고 확인한 지난 12월 27일의 일이었다. 그리고 거기에 거짓말이 덧붙여졌다. “고객들이 알아야 할 가장 중요한 점은, 암호화된 PIN이 유출되었기 때문에 체크카드 계좌 정보는 안전하다는 것이다”라고 이 회사는 밝혔다. 그러나 그 체크카드 계좌 정보들은 침투당해 털린 상태였다. 은행 계좌에 대한 완전한 접속권이 담긴 개인의 신원 번호 정보가 경험 많고 노련한 사이버 범죄자들 손에 들어갔다면, 그 은행 계좌가 위험에 처했다고 보는 게 타당하다. 이런 결론에 누가 반박할 수 있을까? 그러나 타깃의 성명서는 그 카드 정보들이 삼중 DES 암호화되었고, 그 암호화 키는 타깃의 시스템에 저장되어있지 않다는 점을 강조했다. 그리고 그 데이터가 “우리의 외부, 독립 지불 결제사에 수신된 상태에서만 암호가 풀린다”고 덧붙이고 있었다. 우선 타깃측 사람들도 어떤 암호라도 충분한 시간과 충분한 연산력을 동원한다면 뚫릴 수 있다는 사실을 알고 있을 것이다. 쉽지는 않을 수 있지만 분명 가능하다. 삼중 DES는 훌륭한 암호화 옵션이지만, 뚫지 못할 암호는 없다. 그러므로 데이터가 지불 결제사에 의해서만 “오직 암호가 해제된다”는 타깃의 설명은 사실과 다르다. 타깃이 암호화 키를 자체 시스템에 저장하지 않았던 점은 칭찬할 만하다. 키를 지불 결제사에만 저장했던 점 역시 좋은 결정이었다. 그러나 결제사의 시스템 역시 침투당할 수 있다. 오히려 이들은 막대한 수의 소매점들로부터 데이터를 받는다는 점에서 더욱 매력적인 공격 대상이다. 그렇다면 공격...

2014.01.02

개인 데이터 유출의 해로 기록될 2013년

한 해를 돌아볼 때다. 올 한 해 가장 시끄러웠던 보안 사건은 무엇이었으며 우리를 가장 힘들게 한 사고는 또 무엇이었을까? 이 물음에 답을 해 보며 2014년, 나아가 더 먼 미래에 어떻게 더 안전한 온라인, 모바일 환경의 방어책을 구축할 지에 대한 교훈을 얻을 수 있을 것이다. 해가 거듭되며 테크놀로지 분야는 끊임 없는 진보와 진화를 이어왔다. 사이버 보안 위협 대응 분야 역시 예외는 아니다. 그러나 진화는 보안 영역만의 전유물이 아니다. 사이버 공격자들 역시 새로운 테크놀로지를 개발하고 새로운 테크닉을 획득하며 더욱 더 강력하게 우리를 위협해오고 있다. 싸움은 앞으로도 끊이지 않을 것이다. 여기 2013년 크고 작게 우리의 눈길을 끈 보안 영역의 사건들을 한 번 돌이켜보자. 랜섬웨어 랜섬웨어(ransomware)의 개념은 간단하다. 공격자는 맬웨어 공격을 통해 사용자의 데이터를 암호화하거나 그의 PC 및 기기를 잠근다. 그리고, 잠금을 해지해주는 대가도 비용을 요구한다. 2013년 가장 큰 규모의 랜섬웨어 위협은 크립토로커(CryptoLocker) 사건이었다. 최근 델 연구원들이 공개한 보고서에 따르면 크립토로커의 범죄자들은 단 100일 만에 3,000만 달러의 수익을 올린 것으로 집계되고 있다. 세계 곳곳의 사용자들이 탈취 당한 데이터의 몸값으로 매일 30만 달러의 비용을 지불한 것이다. 트립와이어(Tripwire)의 보안 연구원 켄 웨스틴은 “2013년 랜섬웨어 트렌드의 대두 이유는 사이버 공격자들이 토르(Tor)와 비트코인(Bitcoin)을 활용해 사용자들에게 자신들이 탈취한 데이터에 값을 지불할 것을 익명으로 협박할 수 있게 되었다는데 있다”라고 설명했다. 크립토로커는 일반적으로 데이터 접근권 회복에 300 달러의 비용을 요구한다. 데이터를 백업해 놓지 않은 사용자들에겐 이 비용을 지불하거나 모든 데이터를 포기하고 처음부터 시작하는 두 길 이외에는 선택...

보안 맬웨어 2013 데이터 누출 랜섬웨어

2013.12.30

한 해를 돌아볼 때다. 올 한 해 가장 시끄러웠던 보안 사건은 무엇이었으며 우리를 가장 힘들게 한 사고는 또 무엇이었을까? 이 물음에 답을 해 보며 2014년, 나아가 더 먼 미래에 어떻게 더 안전한 온라인, 모바일 환경의 방어책을 구축할 지에 대한 교훈을 얻을 수 있을 것이다. 해가 거듭되며 테크놀로지 분야는 끊임 없는 진보와 진화를 이어왔다. 사이버 보안 위협 대응 분야 역시 예외는 아니다. 그러나 진화는 보안 영역만의 전유물이 아니다. 사이버 공격자들 역시 새로운 테크놀로지를 개발하고 새로운 테크닉을 획득하며 더욱 더 강력하게 우리를 위협해오고 있다. 싸움은 앞으로도 끊이지 않을 것이다. 여기 2013년 크고 작게 우리의 눈길을 끈 보안 영역의 사건들을 한 번 돌이켜보자. 랜섬웨어 랜섬웨어(ransomware)의 개념은 간단하다. 공격자는 맬웨어 공격을 통해 사용자의 데이터를 암호화하거나 그의 PC 및 기기를 잠근다. 그리고, 잠금을 해지해주는 대가도 비용을 요구한다. 2013년 가장 큰 규모의 랜섬웨어 위협은 크립토로커(CryptoLocker) 사건이었다. 최근 델 연구원들이 공개한 보고서에 따르면 크립토로커의 범죄자들은 단 100일 만에 3,000만 달러의 수익을 올린 것으로 집계되고 있다. 세계 곳곳의 사용자들이 탈취 당한 데이터의 몸값으로 매일 30만 달러의 비용을 지불한 것이다. 트립와이어(Tripwire)의 보안 연구원 켄 웨스틴은 “2013년 랜섬웨어 트렌드의 대두 이유는 사이버 공격자들이 토르(Tor)와 비트코인(Bitcoin)을 활용해 사용자들에게 자신들이 탈취한 데이터에 값을 지불할 것을 익명으로 협박할 수 있게 되었다는데 있다”라고 설명했다. 크립토로커는 일반적으로 데이터 접근권 회복에 300 달러의 비용을 요구한다. 데이터를 백업해 놓지 않은 사용자들에겐 이 비용을 지불하거나 모든 데이터를 포기하고 처음부터 시작하는 두 길 이외에는 선택...

2013.12.30

'내부자 위협 현황, 그리고 예방법' 보메트릭 보고서 브리핑

기업 주요 데이터에 대한 접근권을 지니고 있는 모든 직원은 기업에게 잠재적 위협 요인이 될 수 있다. 그들에게 주어진 권한 자체가 데이터 유출 통로일 수 있기 때문이다. 보메트릭(Vormetric)이 최근 발표한 2013 내부자 위협 보고서(2013 Insider Threat Report)는 이러한 위험의 본질에 대한 정보와 함께, 그들이 올 8월 2주에 걸쳐 진행한 서베이 결과를 소개하고 있다. 보메트릭은 707 명의 IT 전문가들을 대상으로 그들이 생각하는 내부자 위협의 본질과 그 해결 방안에 관련한 설문을 진행했고 9월 그 결과물을 발표했다. 당연한 결과겠지만, 서베이 참가자 대부분은 내부자 위협을 자사의 ‘매우 심각한 고민'으로 평가하고 있었다. 보메트릭의 CEO 알란 케슬러는 응답자들의 이런 우려에 대해 최근 뉴스 헤드라인을 장식하는, 여러 데이터 유출 및 내부자 위협 사고들에 기인한 측면이 일면 존재했다고 설명했다. 케슬러는 브래들리 매닝(Bradley Manning)이나 에드워드 스노든(Edward Snowden) 사건 등 최근의 사례들을 언급하며 많은 기업들이 이와 같은 사고들에서 자신들 역시 자유로울 수 없음을 인지하기 시작했다고 덧붙였다. 보메트릭의 CSO 솔 케이츠는 기업들의 우려가 단순히 직원의 나쁜 의도라는 측면을 넘어서 직원들에게 부여된 권한 자체에서 야기되는 보안 위협에 대해서까지 확장됐다고 진단했다. 케이츠는 “기업의 통제권을 넘어선 직원의 권한 문제는 새로운 고민거리로 떠오르고 있다”라고 말했다. 보고서는 또 기업들이 가장 우려하는 내부자 위협의 유형이 있다면서, 51%의 응답률을 보인 ‘민감한 데이터에 대한 합법적 접근 권한을 지닌 비-기술적 직원'이라고 전했다. 얼핏 애매할 수 있는 표현이지만, 실제로 많은 직원 집단이 이 범주에 포함될 수 있을 것이다. 한 예로, 인적 자원 사업부의 직원들의 경우에는 개인 식별 정보(PII, Personal...

보안 데이터 누출 보메트릭 내부자 위협 퍼베이시브 커버리지

2013.10.17

기업 주요 데이터에 대한 접근권을 지니고 있는 모든 직원은 기업에게 잠재적 위협 요인이 될 수 있다. 그들에게 주어진 권한 자체가 데이터 유출 통로일 수 있기 때문이다. 보메트릭(Vormetric)이 최근 발표한 2013 내부자 위협 보고서(2013 Insider Threat Report)는 이러한 위험의 본질에 대한 정보와 함께, 그들이 올 8월 2주에 걸쳐 진행한 서베이 결과를 소개하고 있다. 보메트릭은 707 명의 IT 전문가들을 대상으로 그들이 생각하는 내부자 위협의 본질과 그 해결 방안에 관련한 설문을 진행했고 9월 그 결과물을 발표했다. 당연한 결과겠지만, 서베이 참가자 대부분은 내부자 위협을 자사의 ‘매우 심각한 고민'으로 평가하고 있었다. 보메트릭의 CEO 알란 케슬러는 응답자들의 이런 우려에 대해 최근 뉴스 헤드라인을 장식하는, 여러 데이터 유출 및 내부자 위협 사고들에 기인한 측면이 일면 존재했다고 설명했다. 케슬러는 브래들리 매닝(Bradley Manning)이나 에드워드 스노든(Edward Snowden) 사건 등 최근의 사례들을 언급하며 많은 기업들이 이와 같은 사고들에서 자신들 역시 자유로울 수 없음을 인지하기 시작했다고 덧붙였다. 보메트릭의 CSO 솔 케이츠는 기업들의 우려가 단순히 직원의 나쁜 의도라는 측면을 넘어서 직원들에게 부여된 권한 자체에서 야기되는 보안 위협에 대해서까지 확장됐다고 진단했다. 케이츠는 “기업의 통제권을 넘어선 직원의 권한 문제는 새로운 고민거리로 떠오르고 있다”라고 말했다. 보고서는 또 기업들이 가장 우려하는 내부자 위협의 유형이 있다면서, 51%의 응답률을 보인 ‘민감한 데이터에 대한 합법적 접근 권한을 지닌 비-기술적 직원'이라고 전했다. 얼핏 애매할 수 있는 표현이지만, 실제로 많은 직원 집단이 이 범주에 포함될 수 있을 것이다. 한 예로, 인적 자원 사업부의 직원들의 경우에는 개인 식별 정보(PII, Personal...

2013.10.17

"데이터 누출, 직원에 의한 사례가 대부분" 포레스터

대부분의 데이터 누출 사고는 직원의 분실, 기업 자산 절도, 데이터 오용과 같은 평범한 사고를 통해 발생하고 있었다고 포레스터가 분석했다. 이 시장조사기관이 북미 지역의 IT 임원 및 IT 직원 7,000여 명을 대상으로 진행한 조사에 따르면, 31%의 응답자는 그들이 경험한 데이터 누출 원인에 대해 단순한 분실 또는 기업 자산 절도에 의한 것이었다고 응답했다. 직원이 실수로 오용한 경우를 지목한 응답자는 27%였다. 외부의 공격으로 데이터가 누출되는 사고를 경험했다는 응답자는 25%였으며 내부 직원이 악의적으로 누출했다는 응답은 12%였다. 보고서에는 "의도적이건, 실수이건 내부 관계자를 통해 데이터가 누출되는 비율은 대단히 높다"라며, "데이터가 누출되는 다른 흔한 경로는 노트북이나 USB 드라이브의 절도, 외부로부터의 공격 등이 있었다"라고 기술돼 있다. 이 밖에 모바일 기기의 확산과 IT 소비자화도 데이터 누출에 부정적인 영향을 끼치고 있었다. 대다수의 기업이 모바일 기기 보안과 관련해 정책을 세우고 있지만, 이를 집행할 도구는 부족한 현실이었다. 38%의 응답자는 모바일 기기와 관련해 데이터 누출을 막을 방안이 부족한 상황을 우려하고 있었으며 30%의 응답자는 모바일 기기 상에서 개인 데이터와 기업 데이터가 제대로 분리되지 못하고 있다고 밝혔다. 모바일 기기에 대한 보안 조치로 가장 흔한 답변은 진입 시 암호화와 원격 잠금 및 삭제 기능이었다. 1/4에 이르는 응답자는 데이터 보호와 관련해 어떠한 조치도 제대로 취하지 못하고 있다고 답변했다. 포레스터는 "그러나 단순히 적절한 도구나 정책가 필요한 문제가 아니었다. 유럽 및 북미 지역 지식근로자의 56%만이 소속 기업의 보안 정책을 파악하고 있다고 응답한 것에 주목해야 한다"라고 밝혔다. 한편 데이터가 누출된 경우 개인 데이터(직원, 고객 등)가 차지하는 비율은 22%였던 것으로 조사됐으며 IP 정보는 19...

포레스터 내부 직원 데이터 누출

2012.09.25

대부분의 데이터 누출 사고는 직원의 분실, 기업 자산 절도, 데이터 오용과 같은 평범한 사고를 통해 발생하고 있었다고 포레스터가 분석했다. 이 시장조사기관이 북미 지역의 IT 임원 및 IT 직원 7,000여 명을 대상으로 진행한 조사에 따르면, 31%의 응답자는 그들이 경험한 데이터 누출 원인에 대해 단순한 분실 또는 기업 자산 절도에 의한 것이었다고 응답했다. 직원이 실수로 오용한 경우를 지목한 응답자는 27%였다. 외부의 공격으로 데이터가 누출되는 사고를 경험했다는 응답자는 25%였으며 내부 직원이 악의적으로 누출했다는 응답은 12%였다. 보고서에는 "의도적이건, 실수이건 내부 관계자를 통해 데이터가 누출되는 비율은 대단히 높다"라며, "데이터가 누출되는 다른 흔한 경로는 노트북이나 USB 드라이브의 절도, 외부로부터의 공격 등이 있었다"라고 기술돼 있다. 이 밖에 모바일 기기의 확산과 IT 소비자화도 데이터 누출에 부정적인 영향을 끼치고 있었다. 대다수의 기업이 모바일 기기 보안과 관련해 정책을 세우고 있지만, 이를 집행할 도구는 부족한 현실이었다. 38%의 응답자는 모바일 기기와 관련해 데이터 누출을 막을 방안이 부족한 상황을 우려하고 있었으며 30%의 응답자는 모바일 기기 상에서 개인 데이터와 기업 데이터가 제대로 분리되지 못하고 있다고 밝혔다. 모바일 기기에 대한 보안 조치로 가장 흔한 답변은 진입 시 암호화와 원격 잠금 및 삭제 기능이었다. 1/4에 이르는 응답자는 데이터 보호와 관련해 어떠한 조치도 제대로 취하지 못하고 있다고 답변했다. 포레스터는 "그러나 단순히 적절한 도구나 정책가 필요한 문제가 아니었다. 유럽 및 북미 지역 지식근로자의 56%만이 소속 기업의 보안 정책을 파악하고 있다고 응답한 것에 주목해야 한다"라고 밝혔다. 한편 데이터가 누출된 경우 개인 데이터(직원, 고객 등)가 차지하는 비율은 22%였던 것으로 조사됐으며 IP 정보는 19...

2012.09.25

위키리크스 시대··· CXO에게 필요한 데이터 보안 시각

기업 내부에서 비롯된 위협을 기술만으로 막아낼 수 없다. 아직 현재 진행형인 위키리크스 폭로와 이와 관련된 무분별한 불법 정보 공개는 정부 차원의 문제가 아니다. 이는 부주의 또는 고의적으로 발생할 수 있는 정보 노출의 문제를 극적으로 보여주고 있다. 모든 기업들이 직면하고 있는 문제이기도 하다. 내부 위협의 원인이 고의적인 것만은 아니다. 실수로 공개된 정보가 악용되어 기업의 수익이나 특정 개인의 경력, 평판에 해를 주기도 한다. 중요한 정보를 위험에 처하도록 만드는 것은 사람의 행동이다. 내부 관계자에서 비롯되는 정보 보안 위협에 대처하기 위해서는 관리와 기술 모두에 대한 고려가 필요하다. 인간에 대한 이해의 문제 기업의 위험은 2가지에 뿌리를 두고 있다. 기밀 정보를 보유하고 있다는 것과 이를 이용하도록 인가된 인력이 있다는 것이다. 이 밖에도 한 가지가 더 있다. 기밀 정보를 원하는 누군가가 있다는 것이다. 기업은 기밀 정보 접근 과정을 적절히 보호한다고 할지라도 위험에 처할 수 있다. 인가된 사용자가 악의적인 목적에서 정보를 훔칠 방법을 찾을 수도 있고, 보안 지식이 부족해 정보를 잃어버릴 수도 있기 때문이다. 그러나 위험 노출을 줄이기 위해 정보 보안 방어 계층을 발전시키는 데에는 문제가 발생한다. 누군가 자신의 업무를 완수하도록 접근을 허용해야 하는 까닭에 완벽하게 위험을 제거할 수 없기 때문이다. 또 기술이 정보 보안의 구현 요소 역할을 하기는 하지만 모든 '구멍'을 막지는 못한다. 흔히들 '보안에 있어 가장 취약한 부분은 사람'이라는 말을 하곤 한다. 그러나 실제로는 사람을 이해하지 못하는 것이 가장 취약한 부분이다. 사용자의 의사결정에 대한 자율권이 늘어나면 책임도 커진다. 따라서 정보 위험을 경감하기 위한 추가적인 지원 대책이 필요하다. 직원들은 자신의 기본적인 업무를 수행하는 과정에서 보안을 포기할 수 있다. 자신의 기본 업무에 초점을 맞추게 되는데, 보...

CIO CSO 위키리크스 내부 위협 데이터 누출 인간

2012.08.09

기업 내부에서 비롯된 위협을 기술만으로 막아낼 수 없다. 아직 현재 진행형인 위키리크스 폭로와 이와 관련된 무분별한 불법 정보 공개는 정부 차원의 문제가 아니다. 이는 부주의 또는 고의적으로 발생할 수 있는 정보 노출의 문제를 극적으로 보여주고 있다. 모든 기업들이 직면하고 있는 문제이기도 하다. 내부 위협의 원인이 고의적인 것만은 아니다. 실수로 공개된 정보가 악용되어 기업의 수익이나 특정 개인의 경력, 평판에 해를 주기도 한다. 중요한 정보를 위험에 처하도록 만드는 것은 사람의 행동이다. 내부 관계자에서 비롯되는 정보 보안 위협에 대처하기 위해서는 관리와 기술 모두에 대한 고려가 필요하다. 인간에 대한 이해의 문제 기업의 위험은 2가지에 뿌리를 두고 있다. 기밀 정보를 보유하고 있다는 것과 이를 이용하도록 인가된 인력이 있다는 것이다. 이 밖에도 한 가지가 더 있다. 기밀 정보를 원하는 누군가가 있다는 것이다. 기업은 기밀 정보 접근 과정을 적절히 보호한다고 할지라도 위험에 처할 수 있다. 인가된 사용자가 악의적인 목적에서 정보를 훔칠 방법을 찾을 수도 있고, 보안 지식이 부족해 정보를 잃어버릴 수도 있기 때문이다. 그러나 위험 노출을 줄이기 위해 정보 보안 방어 계층을 발전시키는 데에는 문제가 발생한다. 누군가 자신의 업무를 완수하도록 접근을 허용해야 하는 까닭에 완벽하게 위험을 제거할 수 없기 때문이다. 또 기술이 정보 보안의 구현 요소 역할을 하기는 하지만 모든 '구멍'을 막지는 못한다. 흔히들 '보안에 있어 가장 취약한 부분은 사람'이라는 말을 하곤 한다. 그러나 실제로는 사람을 이해하지 못하는 것이 가장 취약한 부분이다. 사용자의 의사결정에 대한 자율권이 늘어나면 책임도 커진다. 따라서 정보 위험을 경감하기 위한 추가적인 지원 대책이 필요하다. 직원들은 자신의 기본적인 업무를 수행하는 과정에서 보안을 포기할 수 있다. 자신의 기본 업무에 초점을 맞추게 되는데, 보...

2012.08.09

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9