Offcanvas

���������

'스노든 폭로 이후' 유럽의 불신과 싸우는 美 클라우드 업계

"미국국가안보국(NSA)이 미국 인터넷 업체에서 데이터를 빼내 활용하고 있다" 지난 2013년 에드워드 스노든의 폭로가 나왔을 때 전문가들은 유럽에서 활동하는 미국 클라우드 업체에 겨울이 찾아올 것으로 우려했다. 그러나 3년이 지난 현재 이런 우려가 다소 과장됐다는 근거가 나오고 있다. 시장조사업체 IDC가 최근 내놓은 보고서를 보면, 미국 클라우드 업체의 서유럽 클라우드 매출은 2.5배 늘어났다. '스노든 효과'가 시장을 얼어붙게 할 것으로 예상됐던 이후 20억 달러 늘어난 것이다. 아마존웹서비스(AWS)와 마이크로소프트, 알파벳의 구글, IBM의 유럽 시장점유율은 1/3 늘어 40%를 돌파했다. AWS "모든 유럽 지역에서 낙관적" 매출 110억 달러로 사실상 클라우드 시장을 지배하는 AWS는 꾸준히 서비스 지역을 늘려 현재 전 세계적으로 13개 리전(regions, 일정 지역을 커버하는 데이터센터)을 운영하고 있다. AWS의 CTO 워너 보겔스는 지난 달 미국 뉴욕에서 열린 고객 행사 키노트를 통해 "우리는 꾸준히 데이터센터를 확대해 고객 기업과 그 서비스를 이용하는 사용자가 지역내 데이터센터에 접속할 수 있도록 지원할 것이다"라고 말했다. 보겔스에 따르면 AWS는 스노든 폭로 이전부터 유럽 고객의 데이터를 암호화하기 위해 노력해 왔다. 그는 "스노든 폭로가 나온 이후 이 문제에 대해 고객과 논의하기가 더 쉬워졌다"라고 말했다. 이어 "유럽 기업은 AWS 서비스를 이용할 때 독일과 아일랜드의 데이터센터만 사용하도록 선택할 수 있다. 그들은 자신의 데이터를 누가 통제하는지에 대해 큰 관심을 두고 있고 컴플라이언스 절차에 대해 더 신중한 태도를 취한다"라고 말했다. 그러나 AWS가 서비스를 제공하는 190개 나라 중 상당수가 국내법에 따른 요구사항에 직면하고 있다. 즉 AWS가 국가별로 특정한 요구에 응해야 한다는 것을 의미한다. 예...

CIO 프라이버시 AWS 유럽 스노든 프라이버시 쉴드

2016.09.05

"미국국가안보국(NSA)이 미국 인터넷 업체에서 데이터를 빼내 활용하고 있다" 지난 2013년 에드워드 스노든의 폭로가 나왔을 때 전문가들은 유럽에서 활동하는 미국 클라우드 업체에 겨울이 찾아올 것으로 우려했다. 그러나 3년이 지난 현재 이런 우려가 다소 과장됐다는 근거가 나오고 있다. 시장조사업체 IDC가 최근 내놓은 보고서를 보면, 미국 클라우드 업체의 서유럽 클라우드 매출은 2.5배 늘어났다. '스노든 효과'가 시장을 얼어붙게 할 것으로 예상됐던 이후 20억 달러 늘어난 것이다. 아마존웹서비스(AWS)와 마이크로소프트, 알파벳의 구글, IBM의 유럽 시장점유율은 1/3 늘어 40%를 돌파했다. AWS "모든 유럽 지역에서 낙관적" 매출 110억 달러로 사실상 클라우드 시장을 지배하는 AWS는 꾸준히 서비스 지역을 늘려 현재 전 세계적으로 13개 리전(regions, 일정 지역을 커버하는 데이터센터)을 운영하고 있다. AWS의 CTO 워너 보겔스는 지난 달 미국 뉴욕에서 열린 고객 행사 키노트를 통해 "우리는 꾸준히 데이터센터를 확대해 고객 기업과 그 서비스를 이용하는 사용자가 지역내 데이터센터에 접속할 수 있도록 지원할 것이다"라고 말했다. 보겔스에 따르면 AWS는 스노든 폭로 이전부터 유럽 고객의 데이터를 암호화하기 위해 노력해 왔다. 그는 "스노든 폭로가 나온 이후 이 문제에 대해 고객과 논의하기가 더 쉬워졌다"라고 말했다. 이어 "유럽 기업은 AWS 서비스를 이용할 때 독일과 아일랜드의 데이터센터만 사용하도록 선택할 수 있다. 그들은 자신의 데이터를 누가 통제하는지에 대해 큰 관심을 두고 있고 컴플라이언스 절차에 대해 더 신중한 태도를 취한다"라고 말했다. 그러나 AWS가 서비스를 제공하는 190개 나라 중 상당수가 국내법에 따른 요구사항에 직면하고 있다. 즉 AWS가 국가별로 특정한 요구에 응해야 한다는 것을 의미한다. 예...

2016.09.05

기고 | 클라우드 업체를 100% 신뢰해선 안 되는 이유

최근 일어났던 일련의 보안 사고들을 보면, 직원들을 100% 믿는 것조차 어려운 시대가 됐다. <CIO>의 칼럼니스트 롭 엔덜은 외부인인 클라우드 서비스 업체 직원들을 무조건 믿어서는 안된다고 경고하고 있다. 이미지 출처 : Thinkstock 단도직입적으로 말해, 클라우드 서비스 공급업체 직원들을 신뢰해선 안 된다. 마음 같아선 공급업체는 물론 같은 회사의 직원들도 완벽히 신뢰해선 안 된다고 말하고 싶지만 적어도 같은 회사 직원들은 곁에 두고 지켜볼 수는 있다. 얼마 전 구글의 엔지니어들이 자신들의 접근 권한을 이용해 고객들을 스토킹하다 적발된 사례를 봐도 누구나 다 데이터에 접근할 수 있는 상황이 얼마나 위험한 것인지 알 수 있다. 게다가 이들이 잡히고도 한참 뒤에야 그 사실이 알려졌지 않은가? 필자는 그 동안 절도부터 고의적 방해 행위까지 다양한 범죄들을 목격했지만 그 중 어느 사례도 범인을 해고할지언정 그 사건 자체가 외부로 보고되는 일은 없었다. 오늘날 우리는 중국, 러시아 같은 국가들이 열성적으로 데이터 저장고를 염탐하는, 그리고 그런 행위를 하는 사이버 스파이 기관들 조차도 보안이 부실한 시대에 살고 있다. 국가가 있는 곳에는 언제나 범죄자들도 도사리고 있을 것이란 이야기다. 이들에게 있어 가장 수월한 방법은 내부 직원의 계정 정보에 접근 권한을 얻거나 에드워드 스노든이 그랬던 것처럼 직원들 중 누군가에게 정보를 넘기도록 만드는 것이다. 이들에게는 기업 기밀 정보나 고객 정보가 무척 중요하다는 점, 그리고 충분히 정보를 내놓도록 상대방을 강제하거나 속일 만 한 툴이 있다는 점을 고려할 때, 이제는 클라우드 서비스를 재검토 하고 얼마나 안전하게 데이터를 보안하는지에 따라 서비스의 등급을 나누는 것도 진지하게 생각해 봐야 한다. 정부 기관으로부터 데이터 보호하기 공격의 주요 대상 중 하나는 커뮤니케이션 서버들이다. 최근 미국 민주당 대통령 후보인 힐러리 클린턴의 사설 이메일 계정이 보안 부족으로 공격 당했을 ...

CIO 클라우드 서비스 제공 업체 Rob Enderle 스노든 신뢰 롭 엔덜 고객 정보 공격 구글 권한 남용

2015.10.21

최근 일어났던 일련의 보안 사고들을 보면, 직원들을 100% 믿는 것조차 어려운 시대가 됐다. <CIO>의 칼럼니스트 롭 엔덜은 외부인인 클라우드 서비스 업체 직원들을 무조건 믿어서는 안된다고 경고하고 있다. 이미지 출처 : Thinkstock 단도직입적으로 말해, 클라우드 서비스 공급업체 직원들을 신뢰해선 안 된다. 마음 같아선 공급업체는 물론 같은 회사의 직원들도 완벽히 신뢰해선 안 된다고 말하고 싶지만 적어도 같은 회사 직원들은 곁에 두고 지켜볼 수는 있다. 얼마 전 구글의 엔지니어들이 자신들의 접근 권한을 이용해 고객들을 스토킹하다 적발된 사례를 봐도 누구나 다 데이터에 접근할 수 있는 상황이 얼마나 위험한 것인지 알 수 있다. 게다가 이들이 잡히고도 한참 뒤에야 그 사실이 알려졌지 않은가? 필자는 그 동안 절도부터 고의적 방해 행위까지 다양한 범죄들을 목격했지만 그 중 어느 사례도 범인을 해고할지언정 그 사건 자체가 외부로 보고되는 일은 없었다. 오늘날 우리는 중국, 러시아 같은 국가들이 열성적으로 데이터 저장고를 염탐하는, 그리고 그런 행위를 하는 사이버 스파이 기관들 조차도 보안이 부실한 시대에 살고 있다. 국가가 있는 곳에는 언제나 범죄자들도 도사리고 있을 것이란 이야기다. 이들에게 있어 가장 수월한 방법은 내부 직원의 계정 정보에 접근 권한을 얻거나 에드워드 스노든이 그랬던 것처럼 직원들 중 누군가에게 정보를 넘기도록 만드는 것이다. 이들에게는 기업 기밀 정보나 고객 정보가 무척 중요하다는 점, 그리고 충분히 정보를 내놓도록 상대방을 강제하거나 속일 만 한 툴이 있다는 점을 고려할 때, 이제는 클라우드 서비스를 재검토 하고 얼마나 안전하게 데이터를 보안하는지에 따라 서비스의 등급을 나누는 것도 진지하게 생각해 봐야 한다. 정부 기관으로부터 데이터 보호하기 공격의 주요 대상 중 하나는 커뮤니케이션 서버들이다. 최근 미국 민주당 대통령 후보인 힐러리 클린턴의 사설 이메일 계정이 보안 부족으로 공격 당했을 ...

2015.10.21

중국, 사이버 통제 강화하는 보안법 제정… 해외 IT기업 긴장

중국이 핵심 데이터는 물론, 인터넷 인프라에 대한 통제를 강화하는 보안법안을 채택했다. 수요일 중국 의회는 군사방어, 식품안전, 기술 분야 등 광범위한 보안법을 통과시켰다. 중국 보안법 최종안 전문은 아직 공개되지 않았으나, 중국 관영 신화 통신의 보도에 따르면 사이버보안 개선을 촉구하는 내용인 것으로 알려졌다. 이 보안법이 적용되면 국가의 핵심 정보 시스템과 데이터 역시 안보와 통제의 대상이 된다. 이전의 입법안은 정보 통제가 정확히 무엇을 의미하는지 구체적으로 기술하지 않았다. 그러나 미국 무역 단체는 중국의 보안 정책이 너무 지나치며, 외국인 산업을 중국에서 몰아내는 요인이 될 것이라고 계속해서 우려를 표했다. 올해 초에는 중국의 반(反)테러 법안이 중국 내 미국 IT기업에게 중국 정부에 암호키를 제공할 것을 요구해 반대 논의가 일어났다. 미국 오바마 대통령 역시 이 문제에 관심을 보이고 중국에 입법안을 수정할 것을 요구하기도 했다. 그러나 최근 몇 년간 중국은 미국이 비밀리에 중국 기업을 대상으로 첩보 활동을 해 왔다고 주장한 에드워드 스노든의 정보 유출 사건 이후 사이버 보안을 최우선순위로 놓고 있다. 중국 정부는 중국 내에서 판매되는 IT제품이나 서비스를 대상으로 안전 심사를 실시하고, 심사에 통과하지 못한 제품 등의 판매를 불허하는 방침을 발표하기도 했다. 애널리스트들은 중국의 정책 변화가 미국 IT기업, 특히 IT제품을 정부나 공기업에 납품하는 기업에 불안한 요인이 될 수 있다고 분석했다. 이미 중국은 강력한 인터넷 검열을 실시하고 있고, 페이스북, 트위터, 구글 같은 미국 웹사이트를 다수 차단한 상태다. 그러나 중국은 새로운 보안법이 다른 서구 국가들이 자국의 사이버보안을 개선하기 위해 해 온 것과 같은 취지를 가지고 있다고 주장한다. 수요일 기자회견에서 중국 고위 관리인 젱 슈나는 “중국은 언제나 전 세계에 열린 정책을 표방해 왔다. 중국 법을 준수하고 합법적인 서비스를 제공하는 외...

중국 스노든 보안법 IT통제

2015.07.02

중국이 핵심 데이터는 물론, 인터넷 인프라에 대한 통제를 강화하는 보안법안을 채택했다. 수요일 중국 의회는 군사방어, 식품안전, 기술 분야 등 광범위한 보안법을 통과시켰다. 중국 보안법 최종안 전문은 아직 공개되지 않았으나, 중국 관영 신화 통신의 보도에 따르면 사이버보안 개선을 촉구하는 내용인 것으로 알려졌다. 이 보안법이 적용되면 국가의 핵심 정보 시스템과 데이터 역시 안보와 통제의 대상이 된다. 이전의 입법안은 정보 통제가 정확히 무엇을 의미하는지 구체적으로 기술하지 않았다. 그러나 미국 무역 단체는 중국의 보안 정책이 너무 지나치며, 외국인 산업을 중국에서 몰아내는 요인이 될 것이라고 계속해서 우려를 표했다. 올해 초에는 중국의 반(反)테러 법안이 중국 내 미국 IT기업에게 중국 정부에 암호키를 제공할 것을 요구해 반대 논의가 일어났다. 미국 오바마 대통령 역시 이 문제에 관심을 보이고 중국에 입법안을 수정할 것을 요구하기도 했다. 그러나 최근 몇 년간 중국은 미국이 비밀리에 중국 기업을 대상으로 첩보 활동을 해 왔다고 주장한 에드워드 스노든의 정보 유출 사건 이후 사이버 보안을 최우선순위로 놓고 있다. 중국 정부는 중국 내에서 판매되는 IT제품이나 서비스를 대상으로 안전 심사를 실시하고, 심사에 통과하지 못한 제품 등의 판매를 불허하는 방침을 발표하기도 했다. 애널리스트들은 중국의 정책 변화가 미국 IT기업, 특히 IT제품을 정부나 공기업에 납품하는 기업에 불안한 요인이 될 수 있다고 분석했다. 이미 중국은 강력한 인터넷 검열을 실시하고 있고, 페이스북, 트위터, 구글 같은 미국 웹사이트를 다수 차단한 상태다. 그러나 중국은 새로운 보안법이 다른 서구 국가들이 자국의 사이버보안을 개선하기 위해 해 온 것과 같은 취지를 가지고 있다고 주장한다. 수요일 기자회견에서 중국 고위 관리인 젱 슈나는 “중국은 언제나 전 세계에 열린 정책을 표방해 왔다. 중국 법을 준수하고 합법적인 서비스를 제공하는 외...

2015.07.02

"NSA, 제3자 맬웨어 해킹해 재활용하기도" 獨 슈피겔 보도

독자적으로 개발한 디지털 무기만 이용한 것이 아니었다. 미 NSA(National Security Agency)는 제 3자가 개발한 맬웨어를 하이재킹해 재활용하기도 한 것으로 드러났다. 독일 시사주간지 슈피겔은 지난 18일 NSA가 제 3자의 봇넷에 독자적인 맬웨어를 삽입해 전세계 인터넷을 감시하기도 했다고 보도했다. 코드명 퀀텀봇(Quantumbot)이라는 기술을 통해서였다. 에드워드 스노든이 누출하고 슈피겔이 발간한 비밀 문서 중 하나에는 'DEFIANTWARRIOR'이라는 이름의 NSA 프로그램에 대한 내용이 포함돼 있다. 이는 봇넷 컴퓨터를 하이재킹하고 이를 'pervasive network analysis vantage points'로 활용하는 프로그램이다. 좀더 구체적 설명하면 사이버 범죄자들이 감염시킨 컴퓨터에 대해 NSA가 독자적인 맬웨어를 추가 배치함으로써, 이들 감염 컴퓨터를 활용하도록 했다는 것이다. 이 밖에 폭로 문서에 따르면 이 프로그램은 해외 컴퓨터를 대상으로만 진행됐으며, 미국 내에 기반한 봇의 경우 FBI 피해자 지원부(Office of Victim Assistance)로 보고됐다. NSA는 또 써드 파티 맬웨어, 특히 해외 정보기관이 개발한 맬웨어에 의해 강탈된 데이터를 수집하고 가로채기도 했다는 보도다. 이 기법은 '제 4자 수집'(fourth party collection)이라고 명명됐다. 슈피겔 보도에 따르면 NSA 근로자의 계정 정보를 담은 한 비밀 문서의 경우, 북한을 대상으로 한 대한민국의 CNE(computer network exploitation)에 NSA가 어떻게 침투했는지 묘사하고 있었다. 즉 NSA는 북한 정보 기관을 감시하는 대한민국 정보 기관을 감시했다는 것이다. * 본 기사는 IDG 뉴스 서비스 루션 콘스탄틴 기자의 글을 기반으로 작성된 것이다. ciokr@idg.co.kr  

해킹 맬웨어 NSA 북한 정보기관 스노든

2015.01.20

독자적으로 개발한 디지털 무기만 이용한 것이 아니었다. 미 NSA(National Security Agency)는 제 3자가 개발한 맬웨어를 하이재킹해 재활용하기도 한 것으로 드러났다. 독일 시사주간지 슈피겔은 지난 18일 NSA가 제 3자의 봇넷에 독자적인 맬웨어를 삽입해 전세계 인터넷을 감시하기도 했다고 보도했다. 코드명 퀀텀봇(Quantumbot)이라는 기술을 통해서였다. 에드워드 스노든이 누출하고 슈피겔이 발간한 비밀 문서 중 하나에는 'DEFIANTWARRIOR'이라는 이름의 NSA 프로그램에 대한 내용이 포함돼 있다. 이는 봇넷 컴퓨터를 하이재킹하고 이를 'pervasive network analysis vantage points'로 활용하는 프로그램이다. 좀더 구체적 설명하면 사이버 범죄자들이 감염시킨 컴퓨터에 대해 NSA가 독자적인 맬웨어를 추가 배치함으로써, 이들 감염 컴퓨터를 활용하도록 했다는 것이다. 이 밖에 폭로 문서에 따르면 이 프로그램은 해외 컴퓨터를 대상으로만 진행됐으며, 미국 내에 기반한 봇의 경우 FBI 피해자 지원부(Office of Victim Assistance)로 보고됐다. NSA는 또 써드 파티 맬웨어, 특히 해외 정보기관이 개발한 맬웨어에 의해 강탈된 데이터를 수집하고 가로채기도 했다는 보도다. 이 기법은 '제 4자 수집'(fourth party collection)이라고 명명됐다. 슈피겔 보도에 따르면 NSA 근로자의 계정 정보를 담은 한 비밀 문서의 경우, 북한을 대상으로 한 대한민국의 CNE(computer network exploitation)에 NSA가 어떻게 침투했는지 묘사하고 있었다. 즉 NSA는 북한 정보 기관을 감시하는 대한민국 정보 기관을 감시했다는 것이다. * 본 기사는 IDG 뉴스 서비스 루션 콘스탄틴 기자의 글을 기반으로 작성된 것이다. ciokr@idg.co.kr  

2015.01.20

"NSA, 전세계 통신사 감시 프로그램도 진행···10곳 중 7곳 감시" 인터셉트 보도

NSA가 전세계 모바일 통신사 내부의 커뮤니케이션을 가로채는 비밀 작전도 진행했다는 보도다. 에드워드 스노든이 폭로한 문서에서 드러난 최신 정보다. 더 인터셉트(The Intercept)의 4일 기사에 따르면, 미 NSA(National Security Agency)는 지금까지 2개의 비밀 작전을 진행해왔다. 오로라골드(Auroragold)라는 이름의 프로그램을 위한 이들 두 작전은, 와이어리스 포트폴리오 매니지먼트 오피스 및 타깃 테크놀로지 트렌드 센터라고 불렸다. 작전 골자는 GSM 협회를 감시하고, 기업 내부 통신을 가로채기 위해 1,201개의 이메일을 관리하며, 네트워크 보안 취약점에 대한 정보를 모으는 것이었다. 또 모바일 통신사가 활용하는 암호화 정보, 네트워크 취약점을 수집하기 위해 GSMA 회원사가 활용하는 IR.21 문서 정보를 수집하기도 했다.  폭로된 NSA 문서는 이 밖에 2012년 5월 이래 이 기관이 전세계 985여 곳의 모바일 사업자 중 70%에 대한 기술 정보를 수집했음을 시사하고 있었다. 그러나 목표 통신사 목록은 별도로 폭로되지 않았다. 리비아, 중국, 이란에 소재한 통신사 몇 곳만 거론하고 있었다. 2013년 6월 이래 스노든이 누출한 문서는 NSA의 비밀 스파일 활동에 대한 일련의 보고서로 이어지고 있다. 미 우방국가 지도자들의 이메일 해킹, 중국 화웨이 등 해외 기업의 네트워크 및 장비 해킹 등이 폭로됐다. 지난 해 가디언과 뉴욕 타임즈는 또 NSA가 미 정부의 대량 감시 프로그램을 위해 보안 표준을 약화시키려고 수년 간 작업해왔다고 보도하기도 했다. 인터셉트는 글렌 그린워드 전 가디언 기자가 설립한 탐사 전문 미디어로 스노든이 폭로한 NSA 문서를 분석해 공공에 알리는 업무를 진행해오고 있다. 한편 NSA 측은 이번 인터셉트의 보도와 관련, 그간의 활동이 모두 합법적 틀 내에서 이뤄졌다고 이메일 성명을 통해 해명했다.  ciokr@idg.co.kr

감시 NSA 통신사 스노든 인터셉트

2014.12.08

NSA가 전세계 모바일 통신사 내부의 커뮤니케이션을 가로채는 비밀 작전도 진행했다는 보도다. 에드워드 스노든이 폭로한 문서에서 드러난 최신 정보다. 더 인터셉트(The Intercept)의 4일 기사에 따르면, 미 NSA(National Security Agency)는 지금까지 2개의 비밀 작전을 진행해왔다. 오로라골드(Auroragold)라는 이름의 프로그램을 위한 이들 두 작전은, 와이어리스 포트폴리오 매니지먼트 오피스 및 타깃 테크놀로지 트렌드 센터라고 불렸다. 작전 골자는 GSM 협회를 감시하고, 기업 내부 통신을 가로채기 위해 1,201개의 이메일을 관리하며, 네트워크 보안 취약점에 대한 정보를 모으는 것이었다. 또 모바일 통신사가 활용하는 암호화 정보, 네트워크 취약점을 수집하기 위해 GSMA 회원사가 활용하는 IR.21 문서 정보를 수집하기도 했다.  폭로된 NSA 문서는 이 밖에 2012년 5월 이래 이 기관이 전세계 985여 곳의 모바일 사업자 중 70%에 대한 기술 정보를 수집했음을 시사하고 있었다. 그러나 목표 통신사 목록은 별도로 폭로되지 않았다. 리비아, 중국, 이란에 소재한 통신사 몇 곳만 거론하고 있었다. 2013년 6월 이래 스노든이 누출한 문서는 NSA의 비밀 스파일 활동에 대한 일련의 보고서로 이어지고 있다. 미 우방국가 지도자들의 이메일 해킹, 중국 화웨이 등 해외 기업의 네트워크 및 장비 해킹 등이 폭로됐다. 지난 해 가디언과 뉴욕 타임즈는 또 NSA가 미 정부의 대량 감시 프로그램을 위해 보안 표준을 약화시키려고 수년 간 작업해왔다고 보도하기도 했다. 인터셉트는 글렌 그린워드 전 가디언 기자가 설립한 탐사 전문 미디어로 스노든이 폭로한 NSA 문서를 분석해 공공에 알리는 업무를 진행해오고 있다. 한편 NSA 측은 이번 인터셉트의 보도와 관련, 그간의 활동이 모두 합법적 틀 내에서 이뤄졌다고 이메일 성명을 통해 해명했다.  ciokr@idg.co.kr

2014.12.08

야후 투명성 보고서, "정부 데이터 요청 수 감소"

정부와 정보기관이 구글과 페이스북과 같은 IT업체가 보유한 방대한 개인정보를 요구하는 가운데, 야후는 정부의 데이터 요청 건수가 감소하고 있다고 전했다. 야후는 투명성 보고서(Transparency Report)를 통해 2014년 상반기 전세계 정부로부터 1만 8,000건의 사용자 데이터 수집 요청을 받았다고 밝혔다. 미국 정부는 약 6,700건을 요청했으며 이 가운데 대부분은 범죄 수사를 위한 목적이었다. 야후에 따르면, 각 정부들은 지극히 사적이고 민감한 개인 정보를 요구했다. 사용자 이메일, 플리커 사진, 야후 주소록, 심지어 야후 앤써즈(Yahoo Answers)에 남긴 게시물뿐만 아니라, IP 주소와 결제 정보, 이메일 송신자와 수신자, 이메일 헤더 부문의 날짜 필드와 같은 민감한 정보도 요구한 것으로 알려졌다. 그러나 야후에 대한 정부의 데이터 요청 건수는 계속 낮아지고 있는 추세다. 야후는 작년 하반기 미국 정부의 6,600건을 포함, 전세계 정부로부터 약 2만 1,000건의 사용자의 데이터를 요구받았다. 2013년 상반기에는 현재 수치보다 약 40% 더 많은 2만 9,000건의 요청이 있었으며, 이중 미 정부는 1만 2,000건의 데이터 공개를 요구했다. 야후는 데이터 공개를 최소화하기 위해 요청 내용을 면밀히 평가한다고 전했으나, 올해 상반기에만 전체 데이터의 50%가 넘는 1만 2,000건이 공개됐으며, 미국 정부가 요청한 6,700건 중 5,600건에 대해 협조했다. 미국은 국가 안보 서신 뿐만 아니라, 해외 정보 감시법(Foreign Intelligence Surveilance Act, FISA)을 따르는 콘텐츠를 요구하고 있다. 그러나 야후를 비롯한 그 밖의 IT 업체들에게는 1,000건이라는 막연한 범위를 넘어서는 사례에 대한 자세한 내용을 언급할 수 있는 권한이 없다. 야후에 대한 정부의 데이터 요청 수가 줄어드는 것은 데이터를 감시하거나 차단하는 부분에서 정부가 야후를 덜 주목하고 있다고 볼 수 있다...

야후 개인정보 보호 에드워드 스노든 스노든 정부감시

2014.09.26

정부와 정보기관이 구글과 페이스북과 같은 IT업체가 보유한 방대한 개인정보를 요구하는 가운데, 야후는 정부의 데이터 요청 건수가 감소하고 있다고 전했다. 야후는 투명성 보고서(Transparency Report)를 통해 2014년 상반기 전세계 정부로부터 1만 8,000건의 사용자 데이터 수집 요청을 받았다고 밝혔다. 미국 정부는 약 6,700건을 요청했으며 이 가운데 대부분은 범죄 수사를 위한 목적이었다. 야후에 따르면, 각 정부들은 지극히 사적이고 민감한 개인 정보를 요구했다. 사용자 이메일, 플리커 사진, 야후 주소록, 심지어 야후 앤써즈(Yahoo Answers)에 남긴 게시물뿐만 아니라, IP 주소와 결제 정보, 이메일 송신자와 수신자, 이메일 헤더 부문의 날짜 필드와 같은 민감한 정보도 요구한 것으로 알려졌다. 그러나 야후에 대한 정부의 데이터 요청 건수는 계속 낮아지고 있는 추세다. 야후는 작년 하반기 미국 정부의 6,600건을 포함, 전세계 정부로부터 약 2만 1,000건의 사용자의 데이터를 요구받았다. 2013년 상반기에는 현재 수치보다 약 40% 더 많은 2만 9,000건의 요청이 있었으며, 이중 미 정부는 1만 2,000건의 데이터 공개를 요구했다. 야후는 데이터 공개를 최소화하기 위해 요청 내용을 면밀히 평가한다고 전했으나, 올해 상반기에만 전체 데이터의 50%가 넘는 1만 2,000건이 공개됐으며, 미국 정부가 요청한 6,700건 중 5,600건에 대해 협조했다. 미국은 국가 안보 서신 뿐만 아니라, 해외 정보 감시법(Foreign Intelligence Surveilance Act, FISA)을 따르는 콘텐츠를 요구하고 있다. 그러나 야후를 비롯한 그 밖의 IT 업체들에게는 1,000건이라는 막연한 범위를 넘어서는 사례에 대한 자세한 내용을 언급할 수 있는 권한이 없다. 야후에 대한 정부의 데이터 요청 수가 줄어드는 것은 데이터를 감시하거나 차단하는 부분에서 정부가 야후를 덜 주목하고 있다고 볼 수 있다...

2014.09.26

"데이터 소재지 개념, 물리적 → 법적·정치적·논리적으로 변화할 것"

미 정보기관 감시에 대한 스노든의 폭로 이후, 데이터가 물리적으로 위치하는 장소에 대한 규제는 예전보다 타당성을 잃어가고 있다고 가트너가 주장했다. 가트너는 한 보고서에서 데이터의 물리적 소재지가 유의미하기는 하지만 앞으로 점차 중요도가 낮아질 것이라며, 2020년 경에는 법적 위치와 정치적 위치, 논리적 위치의 조합으로 대체되어 갈 것이라고 관측했다. 설명에 따르면 먼저 법적 위치라는 개념은 상당수 IT 전문가들조차도 모르고 있는 실정인데, 이는 해당 데이터가 어떤 법규제 지역에 소재하고 있는지를 나타내는 용어다. 가트너는 데이터를 처리하는 다른 법적 주체가 있을 수 있다면서 서비스 공급자의 위치나 데이터센터가 소재한 위치 등에 따라 다변화될 수 있다고 설명했다. 정치적 위치 개념의 경우 수백 만에 이르는 소비자를 대상으로 한 기업이나 NGO, 평판이 오염된 조직, 공공 분야의 조직 등에게는 국제적 정치학적 밸런스에 대한 질문이 포함된다고 가트너는 설명했다. 논리적 위치는 새롭게 부상하는 개념이다. 회사에 따르면 이는 국제적으로 데이터가 처리되는 배열, 누가 데이터에 접근할 수 있는지를 포함한다. 예를 들면 다음과 같다. 한 독일 회사가 미국 클라우드 서비스 업체 산하의 아일랜드 기업과 계약을 맺은 상황이다. 이 때 모든 데이터 백업본이 인도에 소재한 데이터센터에 있다. 서비스 공급자의 법적 위치는 아일랜드이지만 정치적 위치는 미국일 수 있다. 물리적 위치는 인도이며 논리적으로는 독일에 소재하게 된다. 데이터는 모두 암호화돼 있으며 암호화 키는 독일에 있는 구조다. 가트너 리서치 부사장 카스텐 캐스퍼는 데이터 구획과 데이터 주건이라는 개념이 지난 12개월 동안 크게 대두됐다며, 미국 애국법으로 인한 갈등과 스노든의 폭로가 주된 역할을 햇다고 진단했다. 그는 "IT 책임자들로서는 어느 순간 데이터 구획 논쟁에 휘말린 양상이다. 법률 고문, 고객, 규제기관, 노동자 대표, 경영진, 공공 등 수많은 관련자...

데이터 가트너 데이터센터 소재지 스노든 구획

2014.07.04

미 정보기관 감시에 대한 스노든의 폭로 이후, 데이터가 물리적으로 위치하는 장소에 대한 규제는 예전보다 타당성을 잃어가고 있다고 가트너가 주장했다. 가트너는 한 보고서에서 데이터의 물리적 소재지가 유의미하기는 하지만 앞으로 점차 중요도가 낮아질 것이라며, 2020년 경에는 법적 위치와 정치적 위치, 논리적 위치의 조합으로 대체되어 갈 것이라고 관측했다. 설명에 따르면 먼저 법적 위치라는 개념은 상당수 IT 전문가들조차도 모르고 있는 실정인데, 이는 해당 데이터가 어떤 법규제 지역에 소재하고 있는지를 나타내는 용어다. 가트너는 데이터를 처리하는 다른 법적 주체가 있을 수 있다면서 서비스 공급자의 위치나 데이터센터가 소재한 위치 등에 따라 다변화될 수 있다고 설명했다. 정치적 위치 개념의 경우 수백 만에 이르는 소비자를 대상으로 한 기업이나 NGO, 평판이 오염된 조직, 공공 분야의 조직 등에게는 국제적 정치학적 밸런스에 대한 질문이 포함된다고 가트너는 설명했다. 논리적 위치는 새롭게 부상하는 개념이다. 회사에 따르면 이는 국제적으로 데이터가 처리되는 배열, 누가 데이터에 접근할 수 있는지를 포함한다. 예를 들면 다음과 같다. 한 독일 회사가 미국 클라우드 서비스 업체 산하의 아일랜드 기업과 계약을 맺은 상황이다. 이 때 모든 데이터 백업본이 인도에 소재한 데이터센터에 있다. 서비스 공급자의 법적 위치는 아일랜드이지만 정치적 위치는 미국일 수 있다. 물리적 위치는 인도이며 논리적으로는 독일에 소재하게 된다. 데이터는 모두 암호화돼 있으며 암호화 키는 독일에 있는 구조다. 가트너 리서치 부사장 카스텐 캐스퍼는 데이터 구획과 데이터 주건이라는 개념이 지난 12개월 동안 크게 대두됐다며, 미국 애국법으로 인한 갈등과 스노든의 폭로가 주된 역할을 햇다고 진단했다. 그는 "IT 책임자들로서는 어느 순간 데이터 구획 논쟁에 휘말린 양상이다. 법률 고문, 고객, 규제기관, 노동자 대표, 경영진, 공공 등 수많은 관련자...

2014.07.04

"미래 인류에게는 프라이버시 개념이 없을 것" 스노든 크리스마스 메시지

"지금 태어나는 아이들은 아마 사생활이라는 개념 없이 자라게 될 것이다. 그들은 사적인 순간을 가진다는 것, 기록되지 않는다는 것. 분석되지 않는다는 것이이 어떤 의미인지 알지 못할 것이다." 미 NSA(National Security Agency)의 감시 문서를 폭로한 인물이 에드워드 스노든이 한 영국 TV 프로그램에서 던진 경고다. 그는 영국 정부가 소유한 공영 방송인 채널 4에 녹화된 영상 메시지에서 "사생활은 중요한 문제다. 사생활은 우리가 누구인지, 우리가 어떤 존재가 되려는지를 결정할 수 있게 해주는 것이다"라고 말했다. 1분 43초 분량의 이 영상은 프리랜서 저널리스트 로라 포이트라스의 프로덕션 기업인 프락시스 필름이 제작한 것이다. 포이트라스는 NSA 감시 프로그램에 대한 다수의 영상을 제작했던 인물이다. 채널 4는 이번 영향을 영국 영황의 크리스마스 메시지 방영 이후 얼터너티브 크리스마스 메시지 2013(The Alternative Christmas Message 2013)로써 송출했다. 얼터너티브 크리스마스 메시지는 지금껏 영화, 교사, 전쟁 영웅, 이란 대통령 등의 크리스마스 메시지를 담아왔던 프로그램이다. 스노든의 얼터너티브 크리스마스 메시지 전문은 다음과 같다. Hi, and merry Christmas. I'm honored to have a chance to speak with you and your family this year. Recently we learned that our governments, working in concert, have created a system of worldwide mass surveillance, watching everything we do. Great Britain's George Orwell warned us of the danger of this kind of information. The typ...

프라이버시 감시 사생활 NSA 스노든

2013.12.27

"지금 태어나는 아이들은 아마 사생활이라는 개념 없이 자라게 될 것이다. 그들은 사적인 순간을 가진다는 것, 기록되지 않는다는 것. 분석되지 않는다는 것이이 어떤 의미인지 알지 못할 것이다." 미 NSA(National Security Agency)의 감시 문서를 폭로한 인물이 에드워드 스노든이 한 영국 TV 프로그램에서 던진 경고다. 그는 영국 정부가 소유한 공영 방송인 채널 4에 녹화된 영상 메시지에서 "사생활은 중요한 문제다. 사생활은 우리가 누구인지, 우리가 어떤 존재가 되려는지를 결정할 수 있게 해주는 것이다"라고 말했다. 1분 43초 분량의 이 영상은 프리랜서 저널리스트 로라 포이트라스의 프로덕션 기업인 프락시스 필름이 제작한 것이다. 포이트라스는 NSA 감시 프로그램에 대한 다수의 영상을 제작했던 인물이다. 채널 4는 이번 영향을 영국 영황의 크리스마스 메시지 방영 이후 얼터너티브 크리스마스 메시지 2013(The Alternative Christmas Message 2013)로써 송출했다. 얼터너티브 크리스마스 메시지는 지금껏 영화, 교사, 전쟁 영웅, 이란 대통령 등의 크리스마스 메시지를 담아왔던 프로그램이다. 스노든의 얼터너티브 크리스마스 메시지 전문은 다음과 같다. Hi, and merry Christmas. I'm honored to have a chance to speak with you and your family this year. Recently we learned that our governments, working in concert, have created a system of worldwide mass surveillance, watching everything we do. Great Britain's George Orwell warned us of the danger of this kind of information. The typ...

2013.12.27

2013년에 발생한 강력한 인터넷 보안 사건들

2013년 올 한해는 프라이버시 침해와 크립토록커에서부터 에릭 스노든과 NSA에 이르기까지 수많은 보안 사건들이 터졌다. 역사상 이처럼 인터넷 보안이 전세계 이슈가 된 적은 일찍이 본 적이 없다. 특히 미국이 우리 모두를 감시하고 있었다는 것이 폭로됨에 따라 엄청난 화제가 됐다. 올해에 터진 가장 큰 인터넷 보안 문제에 대해 정리했다. editor@itworld.co.kr

영국 NSA 스노든 인터넷 보안

2013.12.12

2013년 올 한해는 프라이버시 침해와 크립토록커에서부터 에릭 스노든과 NSA에 이르기까지 수많은 보안 사건들이 터졌다. 역사상 이처럼 인터넷 보안이 전세계 이슈가 된 적은 일찍이 본 적이 없다. 특히 미국이 우리 모두를 감시하고 있었다는 것이 폭로됨에 따라 엄청난 화제가 됐다. 올해에 터진 가장 큰 인터넷 보안 문제에 대해 정리했다. editor@itworld.co.kr

2013.12.12

내부자 위협을 줄일 수 있는 4가지 조치

내부자로 인한 위협을 비기술적 방법으로 사전에 완화시킬 수 있을까? 답은 "그렇다 그리고 아니다"이다. 때로는 부주의하거나 악의를 가진 내부자와 관련된 사고를 경감시킬 수 있지만, 사고는 여러 요소에 좌우되며 그 중 상당수는 기술과 관련이 없다. 내부자 위협을 해결하는 뛰어난 기술 솔루션이 존재한다. 하지만 최고의 기술이라 해도, 기술적이지 않은 부분을 내부자 위협 완화 전략에 포함시키지 않으면 쓸모 없게 될 것이다. 사전에 내부자 위협을 처리하고 조기에 경고신호를 알아차리며 이런 위협에 대응하기 위해 기술만으로 충분한 경우는 거의 없다. 일단 기업이 중지시킬 수 있는 공격을 파악하고 나면 내부자 사고를 처리하기 위한 작업흐름과 기업 전반에 걸쳐 이런 정보를 어떻게 전파할지에 관한 실제적인 업무가 이뤄진다. 하지만 사전 조치를 알아보기 앞서 외부의 공격자와 비교했을 때, 내부자가 왜 특별한 지에 관해 생각해 보도록 하자. 내부자의 속마음 내부자를 생각할 때는 제임스 본드가 아닌 콜롬보(Colombo)를 떠올려보자. 왜냐하면 내부자들은 눈에 띄지 않으면서 쉽고 빠르게 움직일 수 있는 신뢰와 접근성을 확보하고 있기 때문이다. 사용하거나 클라우드의 파일 저장소에 업로드 하거나 인쇄하거나 USB 드라이브에 저장할 수 있는 합법적 권한이 있는 파일에 접근하기 위해 영화 ‘여자를 증오한 남자들(Girl with the Dragon Tattoo)’의 주인공들처럼 될 필요는 없다. 놀랍게도 내부자는 이 모든 것들을 도덕적이지 못한 의도 또는 단순한 부주의로 행할 수 있다. 필자는 내부자와 관련된 수백 건의 사고를 연구했고, 심지어 이에 관한 책도 썼다. 대부분의 조사 초기 단계에서 방해행위와 절도의 경우 의도를 파악하기 어렵다. 하지만 이와 상관 없이 무심코 할 수 있는 일 또한 의식적으로 행할 수 있으며 그 파급효과도 상당할 수 있다.   --------------...

CSO CISO 폭로 내부 위협 블루코트 스노든 ATP 내부자

2013.07.29

내부자로 인한 위협을 비기술적 방법으로 사전에 완화시킬 수 있을까? 답은 "그렇다 그리고 아니다"이다. 때로는 부주의하거나 악의를 가진 내부자와 관련된 사고를 경감시킬 수 있지만, 사고는 여러 요소에 좌우되며 그 중 상당수는 기술과 관련이 없다. 내부자 위협을 해결하는 뛰어난 기술 솔루션이 존재한다. 하지만 최고의 기술이라 해도, 기술적이지 않은 부분을 내부자 위협 완화 전략에 포함시키지 않으면 쓸모 없게 될 것이다. 사전에 내부자 위협을 처리하고 조기에 경고신호를 알아차리며 이런 위협에 대응하기 위해 기술만으로 충분한 경우는 거의 없다. 일단 기업이 중지시킬 수 있는 공격을 파악하고 나면 내부자 사고를 처리하기 위한 작업흐름과 기업 전반에 걸쳐 이런 정보를 어떻게 전파할지에 관한 실제적인 업무가 이뤄진다. 하지만 사전 조치를 알아보기 앞서 외부의 공격자와 비교했을 때, 내부자가 왜 특별한 지에 관해 생각해 보도록 하자. 내부자의 속마음 내부자를 생각할 때는 제임스 본드가 아닌 콜롬보(Colombo)를 떠올려보자. 왜냐하면 내부자들은 눈에 띄지 않으면서 쉽고 빠르게 움직일 수 있는 신뢰와 접근성을 확보하고 있기 때문이다. 사용하거나 클라우드의 파일 저장소에 업로드 하거나 인쇄하거나 USB 드라이브에 저장할 수 있는 합법적 권한이 있는 파일에 접근하기 위해 영화 ‘여자를 증오한 남자들(Girl with the Dragon Tattoo)’의 주인공들처럼 될 필요는 없다. 놀랍게도 내부자는 이 모든 것들을 도덕적이지 못한 의도 또는 단순한 부주의로 행할 수 있다. 필자는 내부자와 관련된 수백 건의 사고를 연구했고, 심지어 이에 관한 책도 썼다. 대부분의 조사 초기 단계에서 방해행위와 절도의 경우 의도를 파악하기 어렵다. 하지만 이와 상관 없이 무심코 할 수 있는 일 또한 의식적으로 행할 수 있으며 그 파급효과도 상당할 수 있다.   --------------...

2013.07.29

블로그 | 2013년 상반기 IT 업계 최고의 영웅과 바보

올해 전반기도 마무리된 지금 2013년의 지난 6개월을 돌아보며 ‘벌써 7월이야? 시간이 이렇게 빨리 가? 내가 벌써 그렇게 나이가 들었나? 내 돋보기 안경 본 사람 없어?’ 따위의 말을 할 때가 어김없이 됐다. 또한 전반기를 흥미롭게 하고 짜증스럽게 한 사람들은 누구인지 돌아보기에도 적당한 시점이다. 지금부터 필자가 선정한 2013년 전반기, 최고의 영웅과 바보를 살펴보자. 영웅 : 에드 스노든 필자도 안다. 스노든이 진정한 영웅이라면 다른 내부 고발자들이 그랬듯이 미국에 머물면서 비밀을 폭로하고 대중이 자신의 편에 서기를 희망했어야 했다. 하지만 스노든의 동기가 무엇이든 NSA의 비밀 감시 행위와 이를 허용하는 과정에서 법원과 의회의 공모를 폭로한 것은 가치 있는 일이다. 세상의 이목을 집중시킴으로써(그리고 관타나모 수용소에 잡혀 들어가지 않음으로써) 이야기가 묻히지 않고 저널리스트들에 의해 계속 이어지도록 했다. 결과적으로 스노든이 공개한 내용을 바탕으로 놀라운 폭로가 이어졌다. 지금까지 탐욕스러운 산업 감시 활동에 대해 사람들에게 경고하고자 했던 다른 내부 고발자들은 실패했지만 스노든은 사람들을 일깨우는 데 성공했다. 그것이 바로 영웅이다. 바보 : 엘론 머스크 페이팔 억만장자이자 테슬라 모터스의 CEO인 엘론 머스크가 멋들어진 전기 자동차를 만들고 우주 여행을 현실화한다고 나섰을 때 많은 이들이 그를 영웅으로 추켜세웠다. 하지만 엘론 머스크는 뉴욕 타임즈가 자신의 수퍼차저 스테이션에 대해 부정적인 리뷰를 올리자 리뷰어를 거짓말쟁이로 몰아세웠다. 이 과정에서 자신에게 유리한 데이터만 제시함으로써 테슬라가 마음만 먹으면 얼마나 오싹한 회사가 될 수 있는지 드러냈고, 이로 인해 인터넷에는 큰 논란이 일었다. 잘못된 리뷰에 잘 대항했다며 칭찬한 사람도 있지만, 필자를 포함한 다른 사람들은 공개적으로 생떼를 부리는 그의 행위를 비난했다. 결론은 ‘실제 연비는 다를 수 있습니다”이다. ...

NSA 영웅 구글글래스 바보 스노든 엘론머스크 존맥아피 킴닷컴

2013.07.17

올해 전반기도 마무리된 지금 2013년의 지난 6개월을 돌아보며 ‘벌써 7월이야? 시간이 이렇게 빨리 가? 내가 벌써 그렇게 나이가 들었나? 내 돋보기 안경 본 사람 없어?’ 따위의 말을 할 때가 어김없이 됐다. 또한 전반기를 흥미롭게 하고 짜증스럽게 한 사람들은 누구인지 돌아보기에도 적당한 시점이다. 지금부터 필자가 선정한 2013년 전반기, 최고의 영웅과 바보를 살펴보자. 영웅 : 에드 스노든 필자도 안다. 스노든이 진정한 영웅이라면 다른 내부 고발자들이 그랬듯이 미국에 머물면서 비밀을 폭로하고 대중이 자신의 편에 서기를 희망했어야 했다. 하지만 스노든의 동기가 무엇이든 NSA의 비밀 감시 행위와 이를 허용하는 과정에서 법원과 의회의 공모를 폭로한 것은 가치 있는 일이다. 세상의 이목을 집중시킴으로써(그리고 관타나모 수용소에 잡혀 들어가지 않음으로써) 이야기가 묻히지 않고 저널리스트들에 의해 계속 이어지도록 했다. 결과적으로 스노든이 공개한 내용을 바탕으로 놀라운 폭로가 이어졌다. 지금까지 탐욕스러운 산업 감시 활동에 대해 사람들에게 경고하고자 했던 다른 내부 고발자들은 실패했지만 스노든은 사람들을 일깨우는 데 성공했다. 그것이 바로 영웅이다. 바보 : 엘론 머스크 페이팔 억만장자이자 테슬라 모터스의 CEO인 엘론 머스크가 멋들어진 전기 자동차를 만들고 우주 여행을 현실화한다고 나섰을 때 많은 이들이 그를 영웅으로 추켜세웠다. 하지만 엘론 머스크는 뉴욕 타임즈가 자신의 수퍼차저 스테이션에 대해 부정적인 리뷰를 올리자 리뷰어를 거짓말쟁이로 몰아세웠다. 이 과정에서 자신에게 유리한 데이터만 제시함으로써 테슬라가 마음만 먹으면 얼마나 오싹한 회사가 될 수 있는지 드러냈고, 이로 인해 인터넷에는 큰 논란이 일었다. 잘못된 리뷰에 잘 대항했다며 칭찬한 사람도 있지만, 필자를 포함한 다른 사람들은 공개적으로 생떼를 부리는 그의 행위를 비난했다. 결론은 ‘실제 연비는 다를 수 있습니다”이다. ...

2013.07.17

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6