Offcanvas

���������������

'데이터 침해 피해 최소화' 체크리스트

데이터 침해에 대응하는 방법과 이로 인한 피해의 규모는 준비 상태에 따라 달라진다. 이번 기사에서는 피해 최소화를 위한 대응 체크리스트를 정리했다.    일단 침해가 발생하면 피해 기업은 공격자가 접근한 항목과 데이터에 접근한 방법을 알아내야 한다. 이 정보는 사용자의 데이터가 침해됐음을 사용자에게 알리고, 다음 공격으로부터 자사를 보호하는 방법을 배우는 데 도움이 된다.   먼저 조사에 필요한 자원과 준비가 마련되어 있는지 확인한다. 공격자가 네트워크에 어떻게 진입했는지 알아내는 프로세스는 종종 증거와 타임라인 분석을 기반으로 한다. 증거를 잘 처리하는 프로세스나 방법론은 침입이 발생하기 전에 계획을 세우는 것이 중요하다.  미 법무부의 사이버보안 부서에는 미리 계획을 세우는 데 도움을 줄 수 있는 몇 가지 리소스가 있다. 이 작업 체크리스트를 통해 데이터 침해에 좀 더 쉽게 대응하거나 피해를 최소화할 수 있다.  커뮤니케이션 계획 수립하기  기업에 대한 잠재적인 위협과 위험에 대해 경영진과 커뮤니케이션할 계획을 세우고 위협에 대해 대응하기 위한 계획과 도구를 마련한다. 경영진과는 정기적으로 만나 위험과 반응에 대해 논의한다. 기업의 주요 자산을 식별하고 이런 주요 자산을 보호하기 위한 프로세스를 파악한다.  다음으로, 침해가 발생할 경우 따라야 할 조치 계획을 세운다. 회사 이메일이 침해의 영향을 받거나 해킹 당할 수 있으므로, 회사 이메일 또는 인프라의 일부가 아닌 백업 전화번호 및 이메일 주소로 대체 통신 수단을 확보한다.  사전에 현지 법 집행 기관과의 연락 창구를 확보한다. 이 작업은 회사 규모에 따라 쉽게 수행할 수 있거나 사이버 보험 업체에게 지침을 받아야 할 수도 있다.  접근 및 보안 로그 파일의 외부 백업 유지하기  공격자가 네트워크에 대한 접근 권한을 얻는 방법 중에는 로그 파일을 파헤쳐 찾는 방법도 있다. 따라서 빠르게 덮어쓰는 경향이...

데이터침해 데이터유출

2021.05.17

데이터 침해에 대응하는 방법과 이로 인한 피해의 규모는 준비 상태에 따라 달라진다. 이번 기사에서는 피해 최소화를 위한 대응 체크리스트를 정리했다.    일단 침해가 발생하면 피해 기업은 공격자가 접근한 항목과 데이터에 접근한 방법을 알아내야 한다. 이 정보는 사용자의 데이터가 침해됐음을 사용자에게 알리고, 다음 공격으로부터 자사를 보호하는 방법을 배우는 데 도움이 된다.   먼저 조사에 필요한 자원과 준비가 마련되어 있는지 확인한다. 공격자가 네트워크에 어떻게 진입했는지 알아내는 프로세스는 종종 증거와 타임라인 분석을 기반으로 한다. 증거를 잘 처리하는 프로세스나 방법론은 침입이 발생하기 전에 계획을 세우는 것이 중요하다.  미 법무부의 사이버보안 부서에는 미리 계획을 세우는 데 도움을 줄 수 있는 몇 가지 리소스가 있다. 이 작업 체크리스트를 통해 데이터 침해에 좀 더 쉽게 대응하거나 피해를 최소화할 수 있다.  커뮤니케이션 계획 수립하기  기업에 대한 잠재적인 위협과 위험에 대해 경영진과 커뮤니케이션할 계획을 세우고 위협에 대해 대응하기 위한 계획과 도구를 마련한다. 경영진과는 정기적으로 만나 위험과 반응에 대해 논의한다. 기업의 주요 자산을 식별하고 이런 주요 자산을 보호하기 위한 프로세스를 파악한다.  다음으로, 침해가 발생할 경우 따라야 할 조치 계획을 세운다. 회사 이메일이 침해의 영향을 받거나 해킹 당할 수 있으므로, 회사 이메일 또는 인프라의 일부가 아닌 백업 전화번호 및 이메일 주소로 대체 통신 수단을 확보한다.  사전에 현지 법 집행 기관과의 연락 창구를 확보한다. 이 작업은 회사 규모에 따라 쉽게 수행할 수 있거나 사이버 보험 업체에게 지침을 받아야 할 수도 있다.  접근 및 보안 로그 파일의 외부 백업 유지하기  공격자가 네트워크에 대한 접근 권한을 얻는 방법 중에는 로그 파일을 파헤쳐 찾는 방법도 있다. 따라서 빠르게 덮어쓰는 경향이...

2021.05.17

파이어아이, 멀티 클라우드 환경 보안 위한 ‘클라우드바이저리’ 출시

파이어아이가 다양한 보안 환경을 위한 중앙화된 클라우드 보안 관리 솔루션 ‘파이어아이 클라우드바이저리(FireEye Cloudvisory)’를 출시했다. 파이어아이는 지난 1월, 클라우드 가시성과 최고의 인사이트를 기반으로 한 위협 예측을 위한 목적으로 클라우드바이저리(Cloudvisory)를 인수했다. 파이어아이의 광범위한 클라우드 보안 포트폴리오에 완전히 통합되어 기존의 고객 클라우드 인프라에 클라우드바이저리를 즉시 구축할 수 있다.  또한 파이어아이 힐릭스(FireEye Helix)를 통한 보안 분석과, 파이어아이 디텍션 온디맨드(FireEye Detection On Demand)를 통한 고급 위협 탐지와 같은 확장된 기능을 이용할 수 있다. 파이어아이 클라우드 부문 최고기술책임자(CTO) 마틴 홀스트는 “클라우드바이저리 솔루션은 여러 환경을 단일화된 인터페이스로 통합시켜 보안 팀에게 중앙화된 가시성, 지속적인 컴플라이언스, 보안 정책 거버넌스를 제공한다"라며, “멀티 클라우드 환경을 관리하는 데 있어 복잡성을 완화시키며, 잠재적인 사고 가능성을 최소화한다”라고 말했다. 파이어아이 클라우드 솔루션 포트폴리오에 추가된 클라우드바이저리는 클라우드 네이티브 보안 솔루션으로, 클라우드 스프롤(Cloud Sprawl)과 인프라 설정 오류를 통합 제어할 수 있도록 지원한다.  레거시 또는 일회성 보안 툴은 구축 단계가 복잡하고 클라우드 환경에서 최대 성능을 발휘하지 못하는 반면, 클라우드바이저리는 ▲기업의 클라우드 인프라 상 자산, 워크로드, 보안 관제 및 보안 이벤트 전반을 중앙 관리해 가시성 제공 ▲에이전트, 어플라이언스 등 부가 기능을 설치하지 않아도 컴플라이언스 오류 교정 ▲클라우드 네이티브 마이크로세그멘테이션을 이용한 공격 격리 및 차단 등의 차별화된 기능을 제공한다고 업체 측은 설명했다.  파이어아이는 클라우드바이저리를 파이어아이 힐릭스와 통합함으로써 침해 상황에 대해 보다 효과적으로 대응할 수 있다. 또한 파이어...

보안 정보보호 소니 데이터유출 헬쓰넷 파이어아이 멀티클라우드

2020.05.14

파이어아이가 다양한 보안 환경을 위한 중앙화된 클라우드 보안 관리 솔루션 ‘파이어아이 클라우드바이저리(FireEye Cloudvisory)’를 출시했다. 파이어아이는 지난 1월, 클라우드 가시성과 최고의 인사이트를 기반으로 한 위협 예측을 위한 목적으로 클라우드바이저리(Cloudvisory)를 인수했다. 파이어아이의 광범위한 클라우드 보안 포트폴리오에 완전히 통합되어 기존의 고객 클라우드 인프라에 클라우드바이저리를 즉시 구축할 수 있다.  또한 파이어아이 힐릭스(FireEye Helix)를 통한 보안 분석과, 파이어아이 디텍션 온디맨드(FireEye Detection On Demand)를 통한 고급 위협 탐지와 같은 확장된 기능을 이용할 수 있다. 파이어아이 클라우드 부문 최고기술책임자(CTO) 마틴 홀스트는 “클라우드바이저리 솔루션은 여러 환경을 단일화된 인터페이스로 통합시켜 보안 팀에게 중앙화된 가시성, 지속적인 컴플라이언스, 보안 정책 거버넌스를 제공한다"라며, “멀티 클라우드 환경을 관리하는 데 있어 복잡성을 완화시키며, 잠재적인 사고 가능성을 최소화한다”라고 말했다. 파이어아이 클라우드 솔루션 포트폴리오에 추가된 클라우드바이저리는 클라우드 네이티브 보안 솔루션으로, 클라우드 스프롤(Cloud Sprawl)과 인프라 설정 오류를 통합 제어할 수 있도록 지원한다.  레거시 또는 일회성 보안 툴은 구축 단계가 복잡하고 클라우드 환경에서 최대 성능을 발휘하지 못하는 반면, 클라우드바이저리는 ▲기업의 클라우드 인프라 상 자산, 워크로드, 보안 관제 및 보안 이벤트 전반을 중앙 관리해 가시성 제공 ▲에이전트, 어플라이언스 등 부가 기능을 설치하지 않아도 컴플라이언스 오류 교정 ▲클라우드 네이티브 마이크로세그멘테이션을 이용한 공격 격리 및 차단 등의 차별화된 기능을 제공한다고 업체 측은 설명했다.  파이어아이는 클라우드바이저리를 파이어아이 힐릭스와 통합함으로써 침해 상황에 대해 보다 효과적으로 대응할 수 있다. 또한 파이어...

2020.05.14

기고ㅣDDos부터 API까지··· 2020년 ‘클라우드 보안’에 대해 알아야 할 3가지

클라우드 컴퓨팅 시장이 2025년까지 6,230억 달러의 규모로 성장할 전망이다. 클라우드의 장밋빛 미래가 점쳐지는 가운데 여전히 간과되고 있는 점도 있다.  전 세계의 기업들이 비즈니스 모델을 혁신하거나 혹은 새롭게 구축하면서 디지털 경제에서 경쟁우위를 확보하려고 하고 있다. 이 전략들의 대부분은 공통적인 기반을 갖추고 있는데, 바로 클라우드 컴퓨팅이다.  지난 10년 동안 클라우드 컴퓨팅 도입이 폭발적으로 증가했다. 그 성장세가 끝이 보이지 않을 정도다. 한 업계 보고서에 따르면 전 세계 클라우드 지출이 2018년 2,730억 달러를 기록했으며, 2025년까지 무려 6,230억 달러를 넘어설 전망이다.    클라우드가 성장하는 이유는 명확하다. 비용 절감, 유연성 향상, 보안 강화와 관련돼 있기 때문이다. 클라우드가 일반 사용자들이 감당해야 하는 데이터센터 보안에 큰 도움이 되지만, 공동 책임의 문제라는 것을 잊지 말아야 한다.  달리 표현하면 클라우드 업체가 클라우드 보안을 관리하지만, 고객도 저장된 데이터와 처리된 데이터의 무결성부터 모든 애플리케이션과 API의 복구까지 보안을 담당해야 할 책임이 있다는 것이다.  대부분 클라우드 패키지는 기본적인 보안만 지원한다. 보안 계층이 추가되지 않는다면 전체 IT 인프라가 무방비 상태에 놓이는 셈이다. 하지만 점점 더 많은 기업 및 고객 데이터가 클라우드로 이전되고 있기 때문에 엄격한 IP 접근 제어는 심각한 병목 현상을 발생시킬 수도 있다. 만약 클라우드 플랫폼이 마비된다면? 게임 종료다.  디도스(DDoS) 공격으로 인한 중단 2019년 10월, AWS는 약 8시간 동안 대규모 디도스 공격을 받았다. 이 과정에서 AWS가 합법적인 고객 쿼리를 악성코드로 잘못 분류하면서 서비스가 마비됐다. 비슷한 시기에 구글 클라우드 플랫폼도 몇 가지 문제에 부딪혔지만, 당시 구글은 해당 오류가 디도스와는 무관하다고 주장했다. 그리고 AWS가 디도스 ...

클라우드 세계경제포럼 디도스 API OSI 데이터유출 애저 AWS 마이크로소프트 데이터센터 클라우드컴퓨팅 보안 인프라 구글클라우드

2020.03.06

클라우드 컴퓨팅 시장이 2025년까지 6,230억 달러의 규모로 성장할 전망이다. 클라우드의 장밋빛 미래가 점쳐지는 가운데 여전히 간과되고 있는 점도 있다.  전 세계의 기업들이 비즈니스 모델을 혁신하거나 혹은 새롭게 구축하면서 디지털 경제에서 경쟁우위를 확보하려고 하고 있다. 이 전략들의 대부분은 공통적인 기반을 갖추고 있는데, 바로 클라우드 컴퓨팅이다.  지난 10년 동안 클라우드 컴퓨팅 도입이 폭발적으로 증가했다. 그 성장세가 끝이 보이지 않을 정도다. 한 업계 보고서에 따르면 전 세계 클라우드 지출이 2018년 2,730억 달러를 기록했으며, 2025년까지 무려 6,230억 달러를 넘어설 전망이다.    클라우드가 성장하는 이유는 명확하다. 비용 절감, 유연성 향상, 보안 강화와 관련돼 있기 때문이다. 클라우드가 일반 사용자들이 감당해야 하는 데이터센터 보안에 큰 도움이 되지만, 공동 책임의 문제라는 것을 잊지 말아야 한다.  달리 표현하면 클라우드 업체가 클라우드 보안을 관리하지만, 고객도 저장된 데이터와 처리된 데이터의 무결성부터 모든 애플리케이션과 API의 복구까지 보안을 담당해야 할 책임이 있다는 것이다.  대부분 클라우드 패키지는 기본적인 보안만 지원한다. 보안 계층이 추가되지 않는다면 전체 IT 인프라가 무방비 상태에 놓이는 셈이다. 하지만 점점 더 많은 기업 및 고객 데이터가 클라우드로 이전되고 있기 때문에 엄격한 IP 접근 제어는 심각한 병목 현상을 발생시킬 수도 있다. 만약 클라우드 플랫폼이 마비된다면? 게임 종료다.  디도스(DDoS) 공격으로 인한 중단 2019년 10월, AWS는 약 8시간 동안 대규모 디도스 공격을 받았다. 이 과정에서 AWS가 합법적인 고객 쿼리를 악성코드로 잘못 분류하면서 서비스가 마비됐다. 비슷한 시기에 구글 클라우드 플랫폼도 몇 가지 문제에 부딪혔지만, 당시 구글은 해당 오류가 디도스와는 무관하다고 주장했다. 그리고 AWS가 디도스 ...

2020.03.06

기고ㅣ모바일 보안이 심각한 진짜 이유는 따로 있다

버라이즌의 최근 데이터 유출 조사 보고서(Data Breach Investigations Report)가 ‘모바일 그 자체가 보안 위험을 초래한다’는 주장을 내놨다.  많은 보안 전문가들이 오랫동안 '모바일'과 '보안'이 양립되기엔 모순적인 측면이 있다고 언급해왔다. 하지만 오늘날 기업 내 모바일 디바이스 사용이 급증한다는 점에서 이러한 소극적 태도가 오히려 모순적으로 보인다.    오늘날 지식근로자가 전체 업무 시간의 98%에서 모바일 디바이스를 사용해 일을 하고 있는 것으로 추정되고 있다. 물론 노트북도 여전히 포함돼 있다. (엄밀히 따지면 노트북도 모바일 디바이스로 간주할 수 있다.) 노트북의 큰 화면과 키보드 때문인데, 그마저도 앞으로 3년 후면 무의미해질 것으로 예측된다. 이는 곧 모바일 보안이 무엇보다 우선돼야 한다는 것을 의미한다. 지금까지는 대개 엔터프라이즈급 모바일 VPN과 백신 그리고 안전한 통신방식(ex_시그널) 등으로 모바일 보안에 대응해 왔다.  그런데 2019 버라이즌 데이터 유출 조사 보고서가 지금까지와는 다른 주장을 제기했다. 무선 네트워크와는 별개로 모바일 그 자체가 보안 위험을 일으킨다는 것이다. 보고서에 따르면 모바일은 기술적 공격이 아닌 ‘소셜 엔지니어링 공격’에 훨씬 더 취약하다. 이를테면 SNS나 이메일을 통한 스피어 피싱, 정상적인 웹페이지를 가장한 스푸핑 공격 등이다.  모바일이 소셜 엔지니어링 공격에 취약한 이유는 ‘디바이스 디자인’과 ‘사람들의 사용 습관’ 때문이라고 보고서는 밝혔다. 우선, 디자인을 살펴보자. 비교적 화면이 작은 모바일 디바이스는 확인할 수 있는 내용이 제한된다. 또한 여러 개의 페이지를 나란히 보기 어렵고, 왔다 갔다 해야 한다. 즉, 모바일에서는 각종 이메일과 알림의 진위를 확인하기가 번거롭다.  또한 모바일 운영체제와 앱이 이메일이나 웹페이지가 가짜인지 확인하는 데 필요한 정보의 가용성을 제한하고 있다고 보고서는 지적했다.&...

모바일 사회공학적 사이버 공격 모바일보안 웹페이지 스푸핑 인증서 데이터유출 피싱 운영체제 이메일 노트북 보안 스마트폰 데이터 모바일디바이스

2020.02.20

버라이즌의 최근 데이터 유출 조사 보고서(Data Breach Investigations Report)가 ‘모바일 그 자체가 보안 위험을 초래한다’는 주장을 내놨다.  많은 보안 전문가들이 오랫동안 '모바일'과 '보안'이 양립되기엔 모순적인 측면이 있다고 언급해왔다. 하지만 오늘날 기업 내 모바일 디바이스 사용이 급증한다는 점에서 이러한 소극적 태도가 오히려 모순적으로 보인다.    오늘날 지식근로자가 전체 업무 시간의 98%에서 모바일 디바이스를 사용해 일을 하고 있는 것으로 추정되고 있다. 물론 노트북도 여전히 포함돼 있다. (엄밀히 따지면 노트북도 모바일 디바이스로 간주할 수 있다.) 노트북의 큰 화면과 키보드 때문인데, 그마저도 앞으로 3년 후면 무의미해질 것으로 예측된다. 이는 곧 모바일 보안이 무엇보다 우선돼야 한다는 것을 의미한다. 지금까지는 대개 엔터프라이즈급 모바일 VPN과 백신 그리고 안전한 통신방식(ex_시그널) 등으로 모바일 보안에 대응해 왔다.  그런데 2019 버라이즌 데이터 유출 조사 보고서가 지금까지와는 다른 주장을 제기했다. 무선 네트워크와는 별개로 모바일 그 자체가 보안 위험을 일으킨다는 것이다. 보고서에 따르면 모바일은 기술적 공격이 아닌 ‘소셜 엔지니어링 공격’에 훨씬 더 취약하다. 이를테면 SNS나 이메일을 통한 스피어 피싱, 정상적인 웹페이지를 가장한 스푸핑 공격 등이다.  모바일이 소셜 엔지니어링 공격에 취약한 이유는 ‘디바이스 디자인’과 ‘사람들의 사용 습관’ 때문이라고 보고서는 밝혔다. 우선, 디자인을 살펴보자. 비교적 화면이 작은 모바일 디바이스는 확인할 수 있는 내용이 제한된다. 또한 여러 개의 페이지를 나란히 보기 어렵고, 왔다 갔다 해야 한다. 즉, 모바일에서는 각종 이메일과 알림의 진위를 확인하기가 번거롭다.  또한 모바일 운영체제와 앱이 이메일이나 웹페이지가 가짜인지 확인하는 데 필요한 정보의 가용성을 제한하고 있다고 보고서는 지적했다.&...

2020.02.20

2억 5,000만 건의 MS 고객기록 유출돼... 보안설정 오류가 원인

2억 5,000만 건의 마이크로소프트 고객기록이 보안설정 오류로 인해 유출됐다.이번 데이터 유출을 발견한 영국 보안업체 컴패리테크에 따르면 마이크로소프트의 고객 서비스 및 지원(CCS) 기록이 새해를 이틀 앞뒀던 30일 웹에 노출됐다.  마이크로소프트는 이번 사건의 책임을 인정하면서, 12월 5일 네트워크 보안 그룹을 변경할 때 잘못 구성된 보안 규칙이 포함돼 고객기록 유출 사고가 발생했다고 설명했다.    유출된 고객기록은 2005년부터 2019년까지 총 14년간의 마이크로소프트 지원팀과 글로벌 고객 간 대화 로그를 포함한다.  컴패리테크는 “누구든 웹 브라우저로 해당 기록에 접근 가능했다. 암호 및 기타 인증도 필요 없었다”라고 블로그를 통해 전했다.  컴패리테크의 사이버보안 수석 연구원 밥 디아첸코가 12월 29일 마이크로소프트에 이를 알렸다. 마이크로소프트는 24시간 이내로 서버와 데이터를 보호하는 조치를 취했다. 해당 기록은 개인을 식별할 수 있는 정보를 포함하지 않았으며, 애저 클라우드 서비스에 영향을 미치진 않았다고 마이크로소프트는 밝혔다.  컴패리테크에 의하면 유출된 기록에 고객과 상담원의 이메일 주소, IP 주소, 위치, ‘기밀’로 분류된 내부 메모 등이 포함된 것으로 확인됐다. 해당 기록 유출이 즉각적인 위험은 아니지만, 추후 영향을 과소평가해선 안 된다고 컴패리테크는 경고했다.  특히 해당 기록은 마이크로소프트 직원을 사칭해 피싱이나 하이재킹 공격을 시도하려는 해커들에게 악용될 수 있다. 컴패리테크 연구원들은 벤더가 사전에 기술지원을 제공하는 경우는 없다고 강조하면서, 이메일이나 전화를 통한 기술 지원 사칭 사기를 조심하라고 당부했다.  사고가 발생한 3주 후인 1월 22일 마이크로소프트는 자사 블로그에 공식 사과문을 게재하고 다음과 같이 발표했다. "이번 사건과 관련해 조사 내용을 투명하게 밝힐 것이며, 확실하게 책임을 지겠다. 그만큼 이번 사건의 심각성...

마이크로소프트 피싱 데이터유출 고객정보 하이재킹 기술지원사칭사기 보안설정오류

2020.01.28

2억 5,000만 건의 마이크로소프트 고객기록이 보안설정 오류로 인해 유출됐다.이번 데이터 유출을 발견한 영국 보안업체 컴패리테크에 따르면 마이크로소프트의 고객 서비스 및 지원(CCS) 기록이 새해를 이틀 앞뒀던 30일 웹에 노출됐다.  마이크로소프트는 이번 사건의 책임을 인정하면서, 12월 5일 네트워크 보안 그룹을 변경할 때 잘못 구성된 보안 규칙이 포함돼 고객기록 유출 사고가 발생했다고 설명했다.    유출된 고객기록은 2005년부터 2019년까지 총 14년간의 마이크로소프트 지원팀과 글로벌 고객 간 대화 로그를 포함한다.  컴패리테크는 “누구든 웹 브라우저로 해당 기록에 접근 가능했다. 암호 및 기타 인증도 필요 없었다”라고 블로그를 통해 전했다.  컴패리테크의 사이버보안 수석 연구원 밥 디아첸코가 12월 29일 마이크로소프트에 이를 알렸다. 마이크로소프트는 24시간 이내로 서버와 데이터를 보호하는 조치를 취했다. 해당 기록은 개인을 식별할 수 있는 정보를 포함하지 않았으며, 애저 클라우드 서비스에 영향을 미치진 않았다고 마이크로소프트는 밝혔다.  컴패리테크에 의하면 유출된 기록에 고객과 상담원의 이메일 주소, IP 주소, 위치, ‘기밀’로 분류된 내부 메모 등이 포함된 것으로 확인됐다. 해당 기록 유출이 즉각적인 위험은 아니지만, 추후 영향을 과소평가해선 안 된다고 컴패리테크는 경고했다.  특히 해당 기록은 마이크로소프트 직원을 사칭해 피싱이나 하이재킹 공격을 시도하려는 해커들에게 악용될 수 있다. 컴패리테크 연구원들은 벤더가 사전에 기술지원을 제공하는 경우는 없다고 강조하면서, 이메일이나 전화를 통한 기술 지원 사칭 사기를 조심하라고 당부했다.  사고가 발생한 3주 후인 1월 22일 마이크로소프트는 자사 블로그에 공식 사과문을 게재하고 다음과 같이 발표했다. "이번 사건과 관련해 조사 내용을 투명하게 밝힐 것이며, 확실하게 책임을 지겠다. 그만큼 이번 사건의 심각성...

2020.01.28

GDPR에 따른 '데이터 유출 사고' 보고 방법 총정리

일반데이터보호규정(이하 GDPR)은 기업에서 유럽연합 내 시민의 개인 데이터를 취급하는 방법을 관할하는 광범위한 규정이다. GDPR의 33항과 34항은 데이터 침해가 발생하는 경우 감독 기관과 영향을 받는 데이터 주체에게 이를 알려야 할 요구사항을 다룬다. 침해 발생 시 조직이 보고해야 하는 세부사항은 규정 내에 명시되어 있는 반면 언제 데이터 침해를 보고해야 하는지, 어느 기관에 보고해야 하는지는 명확하지 않다. 현재 자신은 GDPR 준수를 유지하기 위해 언제 데이터 침해를 보고해야 하는지, 무엇을 보고해야 하는지, 어디에 보고해야 하는지 알고 있는가?   GDPR에 따라 데이터 침해를 보고해야 할 시점 GDPR 규정에 따르면, 조직은 사람의 권리와 자유를 침해할 위험이 있는 "개인 데이터의 우발적이거나 불법적인 파손, 손실, 변경, 무단 공개 또는 접근으로 이어지는" 사고가 발생하는 경우 데이터 보호 기관(DPA, 감독 기관(SA)이라고도 함)에 데이터 침해 사실을 보고해야 한다. 유럽데이터보호감독기구(EUDPS)는 모든 정보 보안 사고가 개인 데이터 침해는 아니지만 모든 개인 데이터 침해는 정보 보안 사고임을 강조한다. GDPR의 설명조항 85에 따르면, 침해가 "개인 데이터에 대한 스스로의 통제력 상실 또는 권리의 제한, 차별, 신원 도용 또는 사기, 재무적 손실, 무단 익명화 원상복구, 평판 손상, 직업적 비밀 유지로 보호되는 개인 데이터의 기밀성 손실, 또는 관련 자연인에 대한 기타 중대한 경제적 사회적 불이익"으로 이어질 수 있는 경우 기업은 사고를 보고해야 한다. EDPS가 제시한 해당되는 사건 목록은 다음과 같다.  - 고객 데이터베이스 손실 또는 도난(USB 스틱과 같은 이동식 스토리지 손실 포함) - 개인 데이터의 유일한 복사본이 랜섬웨어에 의해 암호화되거나, 관리 주체가 키를 사용해 암호화했지만 그 키를 더 이상 갖고 있지 않을 경우 - 우발적인 또는 권한없는 사람에 의한 ...

데이터유출 GDPR

2019.03.29

일반데이터보호규정(이하 GDPR)은 기업에서 유럽연합 내 시민의 개인 데이터를 취급하는 방법을 관할하는 광범위한 규정이다. GDPR의 33항과 34항은 데이터 침해가 발생하는 경우 감독 기관과 영향을 받는 데이터 주체에게 이를 알려야 할 요구사항을 다룬다. 침해 발생 시 조직이 보고해야 하는 세부사항은 규정 내에 명시되어 있는 반면 언제 데이터 침해를 보고해야 하는지, 어느 기관에 보고해야 하는지는 명확하지 않다. 현재 자신은 GDPR 준수를 유지하기 위해 언제 데이터 침해를 보고해야 하는지, 무엇을 보고해야 하는지, 어디에 보고해야 하는지 알고 있는가?   GDPR에 따라 데이터 침해를 보고해야 할 시점 GDPR 규정에 따르면, 조직은 사람의 권리와 자유를 침해할 위험이 있는 "개인 데이터의 우발적이거나 불법적인 파손, 손실, 변경, 무단 공개 또는 접근으로 이어지는" 사고가 발생하는 경우 데이터 보호 기관(DPA, 감독 기관(SA)이라고도 함)에 데이터 침해 사실을 보고해야 한다. 유럽데이터보호감독기구(EUDPS)는 모든 정보 보안 사고가 개인 데이터 침해는 아니지만 모든 개인 데이터 침해는 정보 보안 사고임을 강조한다. GDPR의 설명조항 85에 따르면, 침해가 "개인 데이터에 대한 스스로의 통제력 상실 또는 권리의 제한, 차별, 신원 도용 또는 사기, 재무적 손실, 무단 익명화 원상복구, 평판 손상, 직업적 비밀 유지로 보호되는 개인 데이터의 기밀성 손실, 또는 관련 자연인에 대한 기타 중대한 경제적 사회적 불이익"으로 이어질 수 있는 경우 기업은 사고를 보고해야 한다. EDPS가 제시한 해당되는 사건 목록은 다음과 같다.  - 고객 데이터베이스 손실 또는 도난(USB 스틱과 같은 이동식 스토리지 손실 포함) - 개인 데이터의 유일한 복사본이 랜섬웨어에 의해 암호화되거나, 관리 주체가 키를 사용해 암호화했지만 그 키를 더 이상 갖고 있지 않을 경우 - 우발적인 또는 권한없는 사람에 의한 ...

2019.03.29

미리 보는 2019년 모바일 보안 위협 6가지

요즘 모든 기업이 가장 크게 걱정하는 것이 모바일 보안이다. 여기에는 타당한 이유가 있다. 대부분 직원이 정기적으로 스마트폰을 이용해 기업 데이터에 액세스한다. 이로 인해, 민감한 정보가 유출되는 것을 막기 어려워지고 있다. 그런데, 데이터에 대한 중요성은 과거 어느 때보다 높아졌다. 포네몬 연구소가 2018년 발표한 조사 결과에 따르면, 기업 데이터 침해로 초래되는 평균 손실이 386만 달러에 달한다. 또 2017년에 추정했던 평균 손실보다 6.4%가 증가했다.  입에 자주 오르내리는 악성코드에 초점을 맞추기 쉽지만, 실제 발생하는 모바일 악성코드 감염 사례는 아주 낮다. 우스갯소리로는 스마트폰이 악성코드에 감염될 확률은 벼락에 맞을 확률보다 훨씬 더 낮다. 모바일 악성코드의 특징과 최신 모바일 운영체제에 구현된 방어 체계 때문에 그렇다. 이로 인해 실제는 간과하기 쉬운 것들이 모바일 보안 위험을 초래할 확률이 훨씬 더 높다. 그리고 이는 앞으로 더 심해질 것이다. 1. 데이터 유출 2019년에 기업 보안에 가장 꺼림칙한 위협 가운데 하나로 간주되는 것이 데이터 유출이다. 앞서 악성코드에 감염될 확률은 거의 없다고 강조했다. 하지만 포네몬의 지난해 조사 결과에 따르면, 향후 2년 간 데이터 침해 사고를 경험할 확률이 1/4이 넘는 28%에 달한다. 이 문제가 더 골치아픈 이유는 악의적인 의도로 이 문제가 발생하는 경우는 많지 않기 때문이다. 앱 권한이나 정보 전송과 관련해 실수로 잘못된 결정을 내리면서 이런 일이 일어나는 때가 많다. 가트너의 모바일 보안 담당 책임자 디오니시오 주멀레는 "관리자가 걱정하지 많도록 만들면서, 동시에 사용자는 화나게 만들지 않도록 앱 검사 및 심사 프로세스를 구현하는 방법이 가장 큰 도전과제"라고 말했다. 주멀레는 시만텍의 엔드포인트 프로텍션 모바일(Endpoint Protection Mobile), 체크포인트(CheckPoint)의 샌드블래스트 모바일(SandBla...

소셜엔지니어링 데이터유출 모바일위협

2018.11.23

요즘 모든 기업이 가장 크게 걱정하는 것이 모바일 보안이다. 여기에는 타당한 이유가 있다. 대부분 직원이 정기적으로 스마트폰을 이용해 기업 데이터에 액세스한다. 이로 인해, 민감한 정보가 유출되는 것을 막기 어려워지고 있다. 그런데, 데이터에 대한 중요성은 과거 어느 때보다 높아졌다. 포네몬 연구소가 2018년 발표한 조사 결과에 따르면, 기업 데이터 침해로 초래되는 평균 손실이 386만 달러에 달한다. 또 2017년에 추정했던 평균 손실보다 6.4%가 증가했다.  입에 자주 오르내리는 악성코드에 초점을 맞추기 쉽지만, 실제 발생하는 모바일 악성코드 감염 사례는 아주 낮다. 우스갯소리로는 스마트폰이 악성코드에 감염될 확률은 벼락에 맞을 확률보다 훨씬 더 낮다. 모바일 악성코드의 특징과 최신 모바일 운영체제에 구현된 방어 체계 때문에 그렇다. 이로 인해 실제는 간과하기 쉬운 것들이 모바일 보안 위험을 초래할 확률이 훨씬 더 높다. 그리고 이는 앞으로 더 심해질 것이다. 1. 데이터 유출 2019년에 기업 보안에 가장 꺼림칙한 위협 가운데 하나로 간주되는 것이 데이터 유출이다. 앞서 악성코드에 감염될 확률은 거의 없다고 강조했다. 하지만 포네몬의 지난해 조사 결과에 따르면, 향후 2년 간 데이터 침해 사고를 경험할 확률이 1/4이 넘는 28%에 달한다. 이 문제가 더 골치아픈 이유는 악의적인 의도로 이 문제가 발생하는 경우는 많지 않기 때문이다. 앱 권한이나 정보 전송과 관련해 실수로 잘못된 결정을 내리면서 이런 일이 일어나는 때가 많다. 가트너의 모바일 보안 담당 책임자 디오니시오 주멀레는 "관리자가 걱정하지 많도록 만들면서, 동시에 사용자는 화나게 만들지 않도록 앱 검사 및 심사 프로세스를 구현하는 방법이 가장 큰 도전과제"라고 말했다. 주멀레는 시만텍의 엔드포인트 프로텍션 모바일(Endpoint Protection Mobile), 체크포인트(CheckPoint)의 샌드블래스트 모바일(SandBla...

2018.11.23

대형 데이터 유출 사고가 재발하는 이유 3가지

처음에는 쩔쩔매면서 침해 사고 사실을 발표한다. 그리고 며칠, 또는 몇 주 지나 먼젓번의 발표에서 빠뜨린, 수백 만의 기록이 유출됐다는 사실을 덧붙이는 발표를 한다. 그리고 나서, 또 한 번 더 발표를 한다. 생각보다 피해가 커서, 앞서 발표한 내용을 바로잡는다는 발표다. 새로운 정보와 사실이 공개될 때마다 해킹 당한 조직의 신용과 평판이 하락하는 소리가 들리는 것 같은, 일반적인 정보 유출 대처다. 포어스카우트(ForeScout)의 기업 전략 수석 디렉터인 존 코네트는 “침해 사고 후에 지나치게 서둘러 발표하는 것도 문제다. 그래서 장기간에 걸쳐 서서히 피해를 입는 회사들이 많다. 대다수 기업이 사고를 정확히 파악하기 전, 영향을 최소화하려고 이른 발표의 따른 장점과 단점의 경중을 따지면서, 첫 감식 결과를 토대로 최초 성명을 발표하기 마련”고 분석했다. 그런데 침해 사고 범위를 정확히 몰랐을 때 치르는 대가는 ‘공개적인 망신'에 그치지 않는다. 유출된 데이터가 지적 재산 데이터인 이유 등으로 침해 사실을 공개하지 않는 경우도 마찬가지이다. 공격자가 무엇을 손에 쥐었는지 정확하게 파악하지 못하면 아주 큰 재정적 피해를 초래할 수도 있다. 또, 침입을 당한 시스템을 파악하지 못하면 공격자가 환경에 계속 머무르면서 계속 데이터를 빼내거나, 또 다른 공격을 감행할 준비를 할 수도 있다. 언론의 헤드라인에 데이터 유출 사고가 등장한 지가 오래라는 점을 감안했을 때, 아직도 기업이 이런 문제에 시달리고 있는 것이 놀라울 정도다. 그렇다면, 기업은 어떻게 해야 이런 문제를 처리할 수 있을까? LSEG(London Stock Exchange Group)의 애드리언 애셔 CISO는 “침해 사고 이후에만 초점을 맞추면 데이터 유출 문제를 극복할 수 없다”고 강조했다. 기업은 침해 사고가 발생하기 훨씬 오래 전부터 준비를 시작해야 한다. 애셔는 “통제책과 인력에 충분히 투...

데이터유출

2018.08.17

처음에는 쩔쩔매면서 침해 사고 사실을 발표한다. 그리고 며칠, 또는 몇 주 지나 먼젓번의 발표에서 빠뜨린, 수백 만의 기록이 유출됐다는 사실을 덧붙이는 발표를 한다. 그리고 나서, 또 한 번 더 발표를 한다. 생각보다 피해가 커서, 앞서 발표한 내용을 바로잡는다는 발표다. 새로운 정보와 사실이 공개될 때마다 해킹 당한 조직의 신용과 평판이 하락하는 소리가 들리는 것 같은, 일반적인 정보 유출 대처다. 포어스카우트(ForeScout)의 기업 전략 수석 디렉터인 존 코네트는 “침해 사고 후에 지나치게 서둘러 발표하는 것도 문제다. 그래서 장기간에 걸쳐 서서히 피해를 입는 회사들이 많다. 대다수 기업이 사고를 정확히 파악하기 전, 영향을 최소화하려고 이른 발표의 따른 장점과 단점의 경중을 따지면서, 첫 감식 결과를 토대로 최초 성명을 발표하기 마련”고 분석했다. 그런데 침해 사고 범위를 정확히 몰랐을 때 치르는 대가는 ‘공개적인 망신'에 그치지 않는다. 유출된 데이터가 지적 재산 데이터인 이유 등으로 침해 사실을 공개하지 않는 경우도 마찬가지이다. 공격자가 무엇을 손에 쥐었는지 정확하게 파악하지 못하면 아주 큰 재정적 피해를 초래할 수도 있다. 또, 침입을 당한 시스템을 파악하지 못하면 공격자가 환경에 계속 머무르면서 계속 데이터를 빼내거나, 또 다른 공격을 감행할 준비를 할 수도 있다. 언론의 헤드라인에 데이터 유출 사고가 등장한 지가 오래라는 점을 감안했을 때, 아직도 기업이 이런 문제에 시달리고 있는 것이 놀라울 정도다. 그렇다면, 기업은 어떻게 해야 이런 문제를 처리할 수 있을까? LSEG(London Stock Exchange Group)의 애드리언 애셔 CISO는 “침해 사고 이후에만 초점을 맞추면 데이터 유출 문제를 극복할 수 없다”고 강조했다. 기업은 침해 사고가 발생하기 훨씬 오래 전부터 준비를 시작해야 한다. 애셔는 “통제책과 인력에 충분히 투...

2018.08.17

데이터 유출 사고 시의 '알림 계획'에 대해 알아야 할 것들

방금 전, 자사에서 글로벌 고객 개인정보가 유출되는 침해 사건이 발생했음을 인지했다. 만약 지금이 5월 25일 이후라면, EU의 일반데이터보호규정(GDPR)을 준수하기 위해 72시간 이내에 이 침해 사건을 보고해야 한다. 시간이 촉박하다는 의미다. 그렇다면 침해 사건이 발생한 이후, EU 규제 기관에 보고하는 절차에 대해 알고 있는가? 고객과 일반 대중에 공개하는 절차는? 많은 기업이 아직 잘 모른다. 지난 3월 정보정책리더십 센터(Centre for Information Policy Leadership)와 애브포인트(AvePoint)가 발표한 2차 GDPR 조직 준비(GDPR Organisational Readiness) 보고서를 보면 글로벌 조직의 침해 알림 준비 상황은 제각각이다. 응답자의 70%는 내부 보고 절차를 두고 있고 66%는 사고 대응 계획을 갖고 있지만 침해 시나리오를 연습한 적이 있는 비율과 PR 업체를 확보해 둔 비율은 각각 31%, 22%에 불과했다. 에버셰드 서덜랜드(Evershed Sutherland)의 글로벌 사이버보안 및 데이터 기밀 부문 책임자인 마이클 바하르는 "사이버 위기 상황에서는 법적인 논의를 할 시간이 많지 않으며 특히 랜섬웨어 공격으로 인해 시스템이 잠긴 경우에는 더욱 그렇다"고 말했다. 미국을 비롯한 각국 정부에서 새로운 또는 개정된 침해 법률과 규정을 시행함에 따라 연구는 갈수록 많은 시간이 소요되고 복잡하고 부담이 큰 작업이 되는데, 침해 사건 중에는 시간이 무엇보다 중요한 요소다. 모든 해당 규정에 따른 의무적 보고 단계가 포함된 마스터 침해 알림 계획을 만들면 이 부담을 줄일 수 있다. 이 계획을 수립하는 데 도움이 되는 조언을 하자면 다음과 같다. 이해 관계자와 내부 전문가와 협업 알림 계획을 실행하는 데 필요한 모든 지식을 IT 부서만 갖춰야 하는 것은 아니다. 바하르는 "변호사, 보안 담당자, 위기 커뮤니케이션 전문가, IT 전문가 모두의 책임...

데이터유출 notification plans 알림 계획

2018.04.30

방금 전, 자사에서 글로벌 고객 개인정보가 유출되는 침해 사건이 발생했음을 인지했다. 만약 지금이 5월 25일 이후라면, EU의 일반데이터보호규정(GDPR)을 준수하기 위해 72시간 이내에 이 침해 사건을 보고해야 한다. 시간이 촉박하다는 의미다. 그렇다면 침해 사건이 발생한 이후, EU 규제 기관에 보고하는 절차에 대해 알고 있는가? 고객과 일반 대중에 공개하는 절차는? 많은 기업이 아직 잘 모른다. 지난 3월 정보정책리더십 센터(Centre for Information Policy Leadership)와 애브포인트(AvePoint)가 발표한 2차 GDPR 조직 준비(GDPR Organisational Readiness) 보고서를 보면 글로벌 조직의 침해 알림 준비 상황은 제각각이다. 응답자의 70%는 내부 보고 절차를 두고 있고 66%는 사고 대응 계획을 갖고 있지만 침해 시나리오를 연습한 적이 있는 비율과 PR 업체를 확보해 둔 비율은 각각 31%, 22%에 불과했다. 에버셰드 서덜랜드(Evershed Sutherland)의 글로벌 사이버보안 및 데이터 기밀 부문 책임자인 마이클 바하르는 "사이버 위기 상황에서는 법적인 논의를 할 시간이 많지 않으며 특히 랜섬웨어 공격으로 인해 시스템이 잠긴 경우에는 더욱 그렇다"고 말했다. 미국을 비롯한 각국 정부에서 새로운 또는 개정된 침해 법률과 규정을 시행함에 따라 연구는 갈수록 많은 시간이 소요되고 복잡하고 부담이 큰 작업이 되는데, 침해 사건 중에는 시간이 무엇보다 중요한 요소다. 모든 해당 규정에 따른 의무적 보고 단계가 포함된 마스터 침해 알림 계획을 만들면 이 부담을 줄일 수 있다. 이 계획을 수립하는 데 도움이 되는 조언을 하자면 다음과 같다. 이해 관계자와 내부 전문가와 협업 알림 계획을 실행하는 데 필요한 모든 지식을 IT 부서만 갖춰야 하는 것은 아니다. 바하르는 "변호사, 보안 담당자, 위기 커뮤니케이션 전문가, IT 전문가 모두의 책임...

2018.04.30

2016년 10대 해킹, 침해, 보안 사건사고

컴퓨터 보안 업계에 2016년은 길고 우울하고 각종 침해 사건으로 얼룩진 한 해였다. 야후는 역사상 최대 규모의 해킹 피해(두 배)라는 기록을 세웠다. 수백만 대의 좀비화된 웹캠과 DVR이 미국 인터넷을 다운시켰다. 러시아는 '선거 해킹' 의혹에 휩싸였고 새로운 형태의 악성코드가 등장해 순진한 사용자에게서 비트코인을 갈취했다. 야후를 초토화시킨 해커 지난 9월, 야후는 최소 5억 개의 사용자 계정이 유출되었다는 소식을 전하며 세계를 충격에 빠트렸다. 그것만 해도 주요 기술 기업에서 발생한 개인 데이터 도난 사건으로는 역사상 최대 규모였다. 그런데 얼마 후 설상가상으로 야후는 해킹 자체는 2014년에 발생했으며 그것을 2016년에야 인지한 것이라고 밝혔다. 결국 공격자들은 몇 년 동안 사용자 정보에 마음대로 접근했다. 그러나 이 정도는 맛보기에 불과했다. 12월 중순 야후는 2013년 8월을 전후해 다른 해킹 사건도 발생했으며 이로 인해 사용자 10억 명의 데이터가 유출되었다는 기절초풍할 소식을 전했다. 9월에 발생한 해킹 규모 기록의 두 배에 이르는 수치다. 방문하는 모든 사이트, 사용하는 모든 서비스마다 강력하고 고유한 암호를 사용하는 이유가 바로 여기에 있다. 만연하는 랜섬웨어 2016년을 정의하는 단 한가지 위협을 꼽으라면 단연 랜섬웨어다. 이 악질적인 악성코드는 파일을 암호환 다음 이를 인질로 잡고 암호를 풀어주는 대가로 돈(반 익명의 비트코인)을 요구한다. 2016년에는 로키(Locky), DMA 로커(DMA Locker), 서프라이즈(Surprise) 등 실로 많은 랜섬웨어 변종들이 뉴스 기사를 장식했다. 또한 투박하지만 효과적인, 랜스캠(Ranscam)이라는 버전은 돈을 받고서도 파일을 삭제하는 것으로 악명을 떨쳤다. 모바일 랜섬웨어까지 등장했으며 7월에는 오프라인에서도 작동할 수 있는 로키 버전도 발견됐다. 랜섬웨어가 얼마나 기승인지는 맬웨어바이트(Malwarebytes)의 8월 연구를 보면 알 수 있다. 미...

보안 해킹 야후 맬웨어 데이터유출 랜섬웨어

2016.12.26

컴퓨터 보안 업계에 2016년은 길고 우울하고 각종 침해 사건으로 얼룩진 한 해였다. 야후는 역사상 최대 규모의 해킹 피해(두 배)라는 기록을 세웠다. 수백만 대의 좀비화된 웹캠과 DVR이 미국 인터넷을 다운시켰다. 러시아는 '선거 해킹' 의혹에 휩싸였고 새로운 형태의 악성코드가 등장해 순진한 사용자에게서 비트코인을 갈취했다. 야후를 초토화시킨 해커 지난 9월, 야후는 최소 5억 개의 사용자 계정이 유출되었다는 소식을 전하며 세계를 충격에 빠트렸다. 그것만 해도 주요 기술 기업에서 발생한 개인 데이터 도난 사건으로는 역사상 최대 규모였다. 그런데 얼마 후 설상가상으로 야후는 해킹 자체는 2014년에 발생했으며 그것을 2016년에야 인지한 것이라고 밝혔다. 결국 공격자들은 몇 년 동안 사용자 정보에 마음대로 접근했다. 그러나 이 정도는 맛보기에 불과했다. 12월 중순 야후는 2013년 8월을 전후해 다른 해킹 사건도 발생했으며 이로 인해 사용자 10억 명의 데이터가 유출되었다는 기절초풍할 소식을 전했다. 9월에 발생한 해킹 규모 기록의 두 배에 이르는 수치다. 방문하는 모든 사이트, 사용하는 모든 서비스마다 강력하고 고유한 암호를 사용하는 이유가 바로 여기에 있다. 만연하는 랜섬웨어 2016년을 정의하는 단 한가지 위협을 꼽으라면 단연 랜섬웨어다. 이 악질적인 악성코드는 파일을 암호환 다음 이를 인질로 잡고 암호를 풀어주는 대가로 돈(반 익명의 비트코인)을 요구한다. 2016년에는 로키(Locky), DMA 로커(DMA Locker), 서프라이즈(Surprise) 등 실로 많은 랜섬웨어 변종들이 뉴스 기사를 장식했다. 또한 투박하지만 효과적인, 랜스캠(Ranscam)이라는 버전은 돈을 받고서도 파일을 삭제하는 것으로 악명을 떨쳤다. 모바일 랜섬웨어까지 등장했으며 7월에는 오프라인에서도 작동할 수 있는 로키 버전도 발견됐다. 랜섬웨어가 얼마나 기승인지는 맬웨어바이트(Malwarebytes)의 8월 연구를 보면 알 수 있다. 미...

2016.12.26

2016년 최악의 데이터 보안 사고(해외편)

2016년도 예외는 없었다. 하루가 멀다 하고 대규모 데이터 유출 사건은 계속 발생했다. 이 가운데 몇 가지만 추려보았다. 야후(Yahoo) 올해 9월 야후는 2014년에 해킹 당시 5억 명의 특정 사용자 계정 정보의 사본이 유출됐다고 밝혔다. 야후, 사상 최대 규모 5억 명 개인정보 유출···"특정 국가가 사주한 해커" 주장  야후 CISO 밥 로드는 공식 성명에서 이 해킹은 정부 배후의 공격자가 연루되어 있을 것이라며 유출 항목은 이름에서부터 이메일 주소, 전화번호, 생년월일, 해시된 비밀번호, 암호화 혹은 암호화되지 않은 보안 질답 등을 포함한다고 말했다. 이번 발표는 야후의 수십 억 사용자들을 지속적으로 보호하기 위해 새롭게 창설한 팀인 파라노이드(Paranoids)에 대해 설명한 인터뷰 이후, 채 1년이 지나지 않은 시점에 이뤄졌다. 미국 상원의원들은 해킹 정보를 공개하지 않는 야후의 태도에 대해 비판하면서 "2년동안 수백 만의 미국인 데이터가 해킹당했을 지 모른다"고 주장했다. 야후는 즉각적으로 "이는 받아들일 수 없다. 보안 감사에서 발견된 공격의 확장과는 별개다"라고 대응했다. 그러나 최근 야후는 2014년 일부 직원들이 이 공격에 대해 알고 있다고 시인했으나 공격 일정이 불명확하고 야후가 다른 고위 경영진들에게 정보를 전달했는지 여부를 밝히지 않았다. 뉴욕타임즈에 따르면, 야후는 이번 해킹 사건과 관련해 미국과 다른 지역에서 23건의 소송이 제기됐다. 뿐만 아니라 야후는 12월 15일 앞서 설명한 유출 사고와 별개로 2013년 8월에 10억 개 이상의 계정이 유출된 사실을 공개했다. "야후가 또!" 2013년에 계정 10억 개 유출 확인... 역대 최대 규모 이번에 공개된 유출 데이터는 사용자의 이름, 이메일 주소, 전화번호, 생일, 해시 처리된 비밀번호 등이 포함된다...

데이터유출 2016년

2016.12.20

2016년도 예외는 없었다. 하루가 멀다 하고 대규모 데이터 유출 사건은 계속 발생했다. 이 가운데 몇 가지만 추려보았다. 야후(Yahoo) 올해 9월 야후는 2014년에 해킹 당시 5억 명의 특정 사용자 계정 정보의 사본이 유출됐다고 밝혔다. 야후, 사상 최대 규모 5억 명 개인정보 유출···"특정 국가가 사주한 해커" 주장  야후 CISO 밥 로드는 공식 성명에서 이 해킹은 정부 배후의 공격자가 연루되어 있을 것이라며 유출 항목은 이름에서부터 이메일 주소, 전화번호, 생년월일, 해시된 비밀번호, 암호화 혹은 암호화되지 않은 보안 질답 등을 포함한다고 말했다. 이번 발표는 야후의 수십 억 사용자들을 지속적으로 보호하기 위해 새롭게 창설한 팀인 파라노이드(Paranoids)에 대해 설명한 인터뷰 이후, 채 1년이 지나지 않은 시점에 이뤄졌다. 미국 상원의원들은 해킹 정보를 공개하지 않는 야후의 태도에 대해 비판하면서 "2년동안 수백 만의 미국인 데이터가 해킹당했을 지 모른다"고 주장했다. 야후는 즉각적으로 "이는 받아들일 수 없다. 보안 감사에서 발견된 공격의 확장과는 별개다"라고 대응했다. 그러나 최근 야후는 2014년 일부 직원들이 이 공격에 대해 알고 있다고 시인했으나 공격 일정이 불명확하고 야후가 다른 고위 경영진들에게 정보를 전달했는지 여부를 밝히지 않았다. 뉴욕타임즈에 따르면, 야후는 이번 해킹 사건과 관련해 미국과 다른 지역에서 23건의 소송이 제기됐다. 뿐만 아니라 야후는 12월 15일 앞서 설명한 유출 사고와 별개로 2013년 8월에 10억 개 이상의 계정이 유출된 사실을 공개했다. "야후가 또!" 2013년에 계정 10억 개 유출 확인... 역대 최대 규모 이번에 공개된 유출 데이터는 사용자의 이름, 이메일 주소, 전화번호, 생일, 해시 처리된 비밀번호 등이 포함된다...

2016.12.20

야후 유출 사건에 대해 알아야 할 것과 해야 할 것

정부 차원의 조직으로부터 후원 받는 해커들이 최소 5억 명의 계정 내역을 훔쳤다는 야후의 공식 성명은 역대 최대 규모라는 점과 잠재적인 보안 위험성 때문에 충격적이다. Image Credit: Getty Images Bank 이는 최근 년도에 유출 사고를 경험했던 마이스페이스(MySpace), 링크드인(LinkedIn) 등 다른 온라인 서비스가 아닌 야후이기 때문이다. 이메일 제공업체인 야후의 계정은 이메일로 사용되는데, 보통 이메일 계정은 사용자들의 온라인 활동의 중심이다. 이메일 주소는 프라이빗 커뮤니케이션용으로 사용될뿐만 아니라 복구 지점으로, 수많은 웹사이트에서 계정을 위한 로그인 신원 확인에도 사용된다. 이메일 해킹은 가장 나쁜 데이터 유출 사고 가운데 하나로, 이를 통해 개인 사용자는 온라인에서 최악의 경험을 할 수 있다. 이를 대비하기 위해 알아야 할 것들은 다음과 같다. 암호화라고 같은 암호화가 아니다 야후가 밝힌 바에 따르면, 도난당한 계정 비밀번호들은 해시 알고리즘인 비크립트(BCrypt)로 암호화되어 있다. 암호화 기법의 한 방법인 해싱(Hashing)은 해시(hash)라고도 한다. 해시는 역행할 수 없게 되어있어 비밀번호를 저장하기 위한 좋은 방법이다. 사용자가 비밀번호와 같은 걸 입력하면 한 해싱 알고리듬을 통과해 이전에 저장되어 있는 해시와 비교한다. 이는 실제 데이터베이스에 평문으로 저장하지 않고 비밀번호를 확인하는 방법을 제공해 즉시 로그인할 수 있도록 한다. 그러나 평문 비밀번호를 추정하기 위해 시도하는 비밀번호 크래킹 공격에 대응하는 모든 해싱 알고리듬이 동일한 보호 역량을 갖고 있지는 않다. 오래된 MD5는 추가적인 보안 수단없이 독자적으로 이행된다면 크랙하기 쉽다. 이와는 달리 비크립트(bcrypt)는 강력한 알고리듬으로 되어 있어 이론상으로 해커들의 크래킹 가능성이 매우 낮다. 그러나 문제는 다른 데 있다. 야후의 공식 성명대로라면 대부분의 비밀번호일 뿐 전부가 비크립트 해시 알고...

야후 개인정보 데이터유출

2016.09.27

정부 차원의 조직으로부터 후원 받는 해커들이 최소 5억 명의 계정 내역을 훔쳤다는 야후의 공식 성명은 역대 최대 규모라는 점과 잠재적인 보안 위험성 때문에 충격적이다. Image Credit: Getty Images Bank 이는 최근 년도에 유출 사고를 경험했던 마이스페이스(MySpace), 링크드인(LinkedIn) 등 다른 온라인 서비스가 아닌 야후이기 때문이다. 이메일 제공업체인 야후의 계정은 이메일로 사용되는데, 보통 이메일 계정은 사용자들의 온라인 활동의 중심이다. 이메일 주소는 프라이빗 커뮤니케이션용으로 사용될뿐만 아니라 복구 지점으로, 수많은 웹사이트에서 계정을 위한 로그인 신원 확인에도 사용된다. 이메일 해킹은 가장 나쁜 데이터 유출 사고 가운데 하나로, 이를 통해 개인 사용자는 온라인에서 최악의 경험을 할 수 있다. 이를 대비하기 위해 알아야 할 것들은 다음과 같다. 암호화라고 같은 암호화가 아니다 야후가 밝힌 바에 따르면, 도난당한 계정 비밀번호들은 해시 알고리즘인 비크립트(BCrypt)로 암호화되어 있다. 암호화 기법의 한 방법인 해싱(Hashing)은 해시(hash)라고도 한다. 해시는 역행할 수 없게 되어있어 비밀번호를 저장하기 위한 좋은 방법이다. 사용자가 비밀번호와 같은 걸 입력하면 한 해싱 알고리듬을 통과해 이전에 저장되어 있는 해시와 비교한다. 이는 실제 데이터베이스에 평문으로 저장하지 않고 비밀번호를 확인하는 방법을 제공해 즉시 로그인할 수 있도록 한다. 그러나 평문 비밀번호를 추정하기 위해 시도하는 비밀번호 크래킹 공격에 대응하는 모든 해싱 알고리듬이 동일한 보호 역량을 갖고 있지는 않다. 오래된 MD5는 추가적인 보안 수단없이 독자적으로 이행된다면 크랙하기 쉽다. 이와는 달리 비크립트(bcrypt)는 강력한 알고리듬으로 되어 있어 이론상으로 해커들의 크래킹 가능성이 매우 낮다. 그러나 문제는 다른 데 있다. 야후의 공식 성명대로라면 대부분의 비밀번호일 뿐 전부가 비크립트 해시 알고...

2016.09.27

'잊혀질 권리 보장' 유럽연합, 강경 데이터 보호법안 발의

유럽연합이 추진하고 있는 새로운 데이터 보호 지침이 적용되면, 유럽의 인터넷 사용자는 자신의 개인 정보에 대한 확대된 통제권을 얻을 수 있을 것으로 기대된다. 유럽위원회가 인터넷 시대 이전에 만들어진 오래 된 규제를 전면적으로 바꾸는 새로운 지침을 제안한 것.   현재 온라인 소비자에게는 자신의 개인 정보를 통제하는 데 있어서 이른바 잊혀질 권리가 매우 중요한 상태이다. 유로바로미터의 지난 해 조사에 따르면, 자신의 데이터를 완전히 통제하고 있다고 느끼는 비율이 소셜 네트워크 사용자의 26%, 온라인 쇼핑 이용자의 18%에 불과했다.   유럽위원회의 새로운 규제안에 따르면, 만약 소비자가 자신의 정보를 삭제할 것을 요청하면 이를 보유하고 있을 아무런 법적 근거가 없어지기 때문에 기업들은 요청을 수락하거나 무거운 벌금을 물어야만 한다. 특히 새로운 규제안은 사용자가 속해 있는 국가의 데이터 보호 당국이 기업의 국적에 관계없이 이런 요청을 처리해주는 단일 창구가 되기 때문에 데이터 삭제 요청 절차 또한 단순화된다.   또한 데이터 유출로 정보에 위협이 발생하는 즉시 이를 사용자에게 고지해야만 한다. 유럽위원회 위원인 비비안 레딩은 관행적으로 볼 때 24시간 이내에 고지해야 한다고 설명했다.   이번 규제안은 데이터의 이동성에 관한 사용자의 권리도 보장한다. 예를 들어, 소셜 네트워크와 사진 공유 사이트가 사용자에게 수백장의 사진을 저장할 수 있도록 했는데, 사용자가 이들 사진을 새로운 서비스 업체로 옮기고자 한다면, 업체는 기술적으로 허용되는 한에서 이런 요청에 응해야만 한다. 유럽위원회는 “사용자는 데이터를 이전하기 어렵다는 이유만으로 특정 업체에 구속되어서는 안된다”고 밝혔다.   페이스북은 “좋은 규제가 일자리 창출과 경제 성장을 촉진한다는 관점에 동의한다. 그리고 유럽연합의 새로운 데이터 보호 지침이 인터넷 사...

보안 프라이버시 개인정보 데이터유출

2012.01.26

유럽연합이 추진하고 있는 새로운 데이터 보호 지침이 적용되면, 유럽의 인터넷 사용자는 자신의 개인 정보에 대한 확대된 통제권을 얻을 수 있을 것으로 기대된다. 유럽위원회가 인터넷 시대 이전에 만들어진 오래 된 규제를 전면적으로 바꾸는 새로운 지침을 제안한 것.   현재 온라인 소비자에게는 자신의 개인 정보를 통제하는 데 있어서 이른바 잊혀질 권리가 매우 중요한 상태이다. 유로바로미터의 지난 해 조사에 따르면, 자신의 데이터를 완전히 통제하고 있다고 느끼는 비율이 소셜 네트워크 사용자의 26%, 온라인 쇼핑 이용자의 18%에 불과했다.   유럽위원회의 새로운 규제안에 따르면, 만약 소비자가 자신의 정보를 삭제할 것을 요청하면 이를 보유하고 있을 아무런 법적 근거가 없어지기 때문에 기업들은 요청을 수락하거나 무거운 벌금을 물어야만 한다. 특히 새로운 규제안은 사용자가 속해 있는 국가의 데이터 보호 당국이 기업의 국적에 관계없이 이런 요청을 처리해주는 단일 창구가 되기 때문에 데이터 삭제 요청 절차 또한 단순화된다.   또한 데이터 유출로 정보에 위협이 발생하는 즉시 이를 사용자에게 고지해야만 한다. 유럽위원회 위원인 비비안 레딩은 관행적으로 볼 때 24시간 이내에 고지해야 한다고 설명했다.   이번 규제안은 데이터의 이동성에 관한 사용자의 권리도 보장한다. 예를 들어, 소셜 네트워크와 사진 공유 사이트가 사용자에게 수백장의 사진을 저장할 수 있도록 했는데, 사용자가 이들 사진을 새로운 서비스 업체로 옮기고자 한다면, 업체는 기술적으로 허용되는 한에서 이런 요청에 응해야만 한다. 유럽위원회는 “사용자는 데이터를 이전하기 어렵다는 이유만으로 특정 업체에 구속되어서는 안된다”고 밝혔다.   페이스북은 “좋은 규제가 일자리 창출과 경제 성장을 촉진한다는 관점에 동의한다. 그리고 유럽연합의 새로운 데이터 보호 지침이 인터넷 사...

2012.01.26

분석 : 데이터 침해 사태에 대한 소니의 대응

1억 만 명이 넘는 비디오 게이머들이 피해를 입었음에도 불구하고, 소니는 5월 첫째 주 미국 의회에서 열린 공청회에 모습을 드러내지 않았다. 그러나 매리 보노 맥 하원의원은 몇 주 전 소니와 유사한 데이터 침해 사태가 발생한 마케팅 회사인 엡실론(Epsilon)과 묶어 소니를 거세게 비난했다. 캘리포니아주 공화당 하원의원인 맥은 이날 "최근 일어난 데이터 침해 사태와 오늘 증언을 거부하기로 한 소니와 엡실론의 결정에 당혹감을 금할 수 없다. 이는 도저히 용납할 수 없는 일이다"며 "물어야 할 가장 중요한 질문은 이거다. 소니는 해킹에 대해 왜 고객에게 일찍 통보를 하지 않았느냐는 것이다"라고 지적했다. 소니 쪽에서 플레이스테이션 네트워크가 해킹되어 개인정보를 도난 당했다고 고객들에게 통보한 때는 지난 4월26일이었다. 해커의 공격을 인지한 지 일주일이 지나고서다. 그러나 온라인 게임이 중단되며 거세게 비난을 쏟아냈던 많은 게이머들의 생각과는 달리, 데이터 침해 및 보안 전문가들은 해킹의 규모를 감안했을 때 사실 꽤 빠른 대응이었다고 말한다. 데이터브리치넷(Databreaches.net)의 운영자 중 한 명은 "사실 며칠도 길다고 말하는 사람들의 반응에 놀랐었다. 1년 전만 하더라도 두 달 이내에만 통보가 이뤄지면 아주 빠르다고 여겨졌다. 그러나 지금은 대중들이 당장 통보를 받게 될 것으로 기대하는 것 같다"라고 설명했다. 4월 말경만 해도 소니가 할 수 있는 일은 없었던 듯싶다. 소니는 거센 비난에 직면해 문제를 해결할 방법을 완전히 파악하지 못한 상태에서 데이터 침해와 관련된 정보를 공개했다. 그리고 나서야 애를 먹어가며 일련의 문제들을 바로잡아 나가기 시작했다. 소니 온라인 엔터테인먼트(Sony Online Entertainment)는 또 다른 네트워크가 해킹을 당하고, 은행 신용 카드 번호가 도난 당했다는 사실을 발견해 이를 인정해야 했다. 앞서 발표와는 상반된 부분...

보안 정보보호 소니 데이터유출 헬쓰넷

2011.05.17

1억 만 명이 넘는 비디오 게이머들이 피해를 입었음에도 불구하고, 소니는 5월 첫째 주 미국 의회에서 열린 공청회에 모습을 드러내지 않았다. 그러나 매리 보노 맥 하원의원은 몇 주 전 소니와 유사한 데이터 침해 사태가 발생한 마케팅 회사인 엡실론(Epsilon)과 묶어 소니를 거세게 비난했다. 캘리포니아주 공화당 하원의원인 맥은 이날 "최근 일어난 데이터 침해 사태와 오늘 증언을 거부하기로 한 소니와 엡실론의 결정에 당혹감을 금할 수 없다. 이는 도저히 용납할 수 없는 일이다"며 "물어야 할 가장 중요한 질문은 이거다. 소니는 해킹에 대해 왜 고객에게 일찍 통보를 하지 않았느냐는 것이다"라고 지적했다. 소니 쪽에서 플레이스테이션 네트워크가 해킹되어 개인정보를 도난 당했다고 고객들에게 통보한 때는 지난 4월26일이었다. 해커의 공격을 인지한 지 일주일이 지나고서다. 그러나 온라인 게임이 중단되며 거세게 비난을 쏟아냈던 많은 게이머들의 생각과는 달리, 데이터 침해 및 보안 전문가들은 해킹의 규모를 감안했을 때 사실 꽤 빠른 대응이었다고 말한다. 데이터브리치넷(Databreaches.net)의 운영자 중 한 명은 "사실 며칠도 길다고 말하는 사람들의 반응에 놀랐었다. 1년 전만 하더라도 두 달 이내에만 통보가 이뤄지면 아주 빠르다고 여겨졌다. 그러나 지금은 대중들이 당장 통보를 받게 될 것으로 기대하는 것 같다"라고 설명했다. 4월 말경만 해도 소니가 할 수 있는 일은 없었던 듯싶다. 소니는 거센 비난에 직면해 문제를 해결할 방법을 완전히 파악하지 못한 상태에서 데이터 침해와 관련된 정보를 공개했다. 그리고 나서야 애를 먹어가며 일련의 문제들을 바로잡아 나가기 시작했다. 소니 온라인 엔터테인먼트(Sony Online Entertainment)는 또 다른 네트워크가 해킹을 당하고, 은행 신용 카드 번호가 도난 당했다는 사실을 발견해 이를 인정해야 했다. 앞서 발표와는 상반된 부분...

2011.05.17

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.5