2013.04.02

클라우드 스토리지 서비스로 인해 데이터 유출 위험 증가

Antone Gonsalves | CSO
한 대학에서 발표한 연구 보고서에 따르면, 임직원들이 스마트폰과 태블릿을 집으로 가져가 드롭박스, 박스, 그리고 슈거박스와 같은 클라우드 스토리지 서비스를 이용할 때 기업들은 데이터 유출에 대한 위험이 상당히 증가하고 있다. 
 
영국 스코틀랜드 글래스고 대학의 연구원들은 iOS와 안드로이드 디바이스에서 클라우드 스토리지 서비스는 워드 문서와 PDF 파일들이 새로운 데이터가 덧씌워져 스토리지 한계에 도달할 때까지 캐시 서버에 남겨져 있어 검색된다는 점을 발견했다.  
 
iOS 디바이스의 경우 데이터가 메모리에 저장되는 반면, 안드로이드는 데이터가 SD 메모리 카드에 저장된다. 그 애플리케이션에서 검색될 수 있는 것은 메타데이터와 연관이 있다. 
 
사실 이 연구는 자체 결함이 있었는데, 이 연구는 오래된 버전의 운영체제를 사용했다는 점이다. 이들은 아이폰 3S의 iOS 3와 HTC 디자이어의 안드로이드 2.1을 갖고 테스트했다.
   
예전 디바이스에 해당되던 모든 정보가 최신 iOS와 안드로이드 디바이스에도 적용되는 것이 아니지만, 전문가들은 여전히 누군가가 그 디바이스를 훔치거나 또는 디바이스의 최고 접근 권한을 얻는 악성코드를 통해 일부 데이터에 접속할 수 있다는 데 동의했다. 
 
루멘션에 종사하는 포렌식 애널리스트 폴 헨리는 "포렌식 관점에서 본다면, 오늘날 디바이스에서 데이터를 남기지 않고 할 수 있는 것은 아무 것도 없다"며, "일반적으로 드롭박스는 데이터베이스를 해독할 수 있으며, 활동 내역을 자세하게 얻을 수 있고, 실제 메모리 내에 캐시된 복제 파일을 발견할 지도 모른다"고 말했다.
  
BYOD(bring-your-own-device) 추세로 인해 데이터 유출의 위험은 심해지고 있다. 대부분의 조직들은 임직원에게 그들의 개인 디바이스를 업무에 사용하도록 한다. 그러나 보안을 유지하기 위해서는 다양하고 광범위한 엄격한 정책이 필요하다.  
 
BYOD는 임직원들이 스토리지 서비스와 같은 애플리케이션들을 사용해 업무용 문서들을 갖고 나가 집에서 일할 수 있도록 하기때문에 데이터 유출에 있어서 가장 큰 위험 요소다. 또한 이런 업무용 데이터와 개인 데이터의 혼합이 증가함에 따라 보안 침해로 이어질 가능성도 높아졌다. 
   
글래스고 대학의 수석 연구원인 조지 그리스포스는 "모바일 디바이스에서 업무용 데이터와 개인의 그것을 분리하는 것은 굉장히 중요한 이슈다. 클라우드 애플리케이션은 디바이스에서 데이터를 분리하는 법에 대한 큰 그림을 그려야 할 것"이라고 말했다. 
 
글래스고 대학에서 컴퓨터 포렌식을 맡고 있는 윌리엄 브래들리 글리슨는 "샌드박스 또는 가상화를 포함한 여러 선택지가 있다. 그러나 이들은 모두 데이터 유출을 효과적으로 막을 수 있는지 증명하기 위한 테스트가 필요하다"고 말했다. 
 
스토리지 서비스는 단지 데이터 모바일 위험을 가중시키는 많은 모바일 앱 가운데 하나일뿐이다. 
 
CSO는 기업과 개인 일정 툴로 유명한 애니.두(Any.DO)를 테스트하는 과정에서 이 앱이 비밀번호와 민감한 사용자 데이터를 저장하고 있으며, 이는 MITM(man-in-the-middle) 공격을 받을 수 있음을 제기한 바 있다. editor@itworld.co.kr 


2013.04.02

클라우드 스토리지 서비스로 인해 데이터 유출 위험 증가

Antone Gonsalves | CSO
한 대학에서 발표한 연구 보고서에 따르면, 임직원들이 스마트폰과 태블릿을 집으로 가져가 드롭박스, 박스, 그리고 슈거박스와 같은 클라우드 스토리지 서비스를 이용할 때 기업들은 데이터 유출에 대한 위험이 상당히 증가하고 있다. 
 
영국 스코틀랜드 글래스고 대학의 연구원들은 iOS와 안드로이드 디바이스에서 클라우드 스토리지 서비스는 워드 문서와 PDF 파일들이 새로운 데이터가 덧씌워져 스토리지 한계에 도달할 때까지 캐시 서버에 남겨져 있어 검색된다는 점을 발견했다.  
 
iOS 디바이스의 경우 데이터가 메모리에 저장되는 반면, 안드로이드는 데이터가 SD 메모리 카드에 저장된다. 그 애플리케이션에서 검색될 수 있는 것은 메타데이터와 연관이 있다. 
 
사실 이 연구는 자체 결함이 있었는데, 이 연구는 오래된 버전의 운영체제를 사용했다는 점이다. 이들은 아이폰 3S의 iOS 3와 HTC 디자이어의 안드로이드 2.1을 갖고 테스트했다.
   
예전 디바이스에 해당되던 모든 정보가 최신 iOS와 안드로이드 디바이스에도 적용되는 것이 아니지만, 전문가들은 여전히 누군가가 그 디바이스를 훔치거나 또는 디바이스의 최고 접근 권한을 얻는 악성코드를 통해 일부 데이터에 접속할 수 있다는 데 동의했다. 
 
루멘션에 종사하는 포렌식 애널리스트 폴 헨리는 "포렌식 관점에서 본다면, 오늘날 디바이스에서 데이터를 남기지 않고 할 수 있는 것은 아무 것도 없다"며, "일반적으로 드롭박스는 데이터베이스를 해독할 수 있으며, 활동 내역을 자세하게 얻을 수 있고, 실제 메모리 내에 캐시된 복제 파일을 발견할 지도 모른다"고 말했다.
  
BYOD(bring-your-own-device) 추세로 인해 데이터 유출의 위험은 심해지고 있다. 대부분의 조직들은 임직원에게 그들의 개인 디바이스를 업무에 사용하도록 한다. 그러나 보안을 유지하기 위해서는 다양하고 광범위한 엄격한 정책이 필요하다.  
 
BYOD는 임직원들이 스토리지 서비스와 같은 애플리케이션들을 사용해 업무용 문서들을 갖고 나가 집에서 일할 수 있도록 하기때문에 데이터 유출에 있어서 가장 큰 위험 요소다. 또한 이런 업무용 데이터와 개인 데이터의 혼합이 증가함에 따라 보안 침해로 이어질 가능성도 높아졌다. 
   
글래스고 대학의 수석 연구원인 조지 그리스포스는 "모바일 디바이스에서 업무용 데이터와 개인의 그것을 분리하는 것은 굉장히 중요한 이슈다. 클라우드 애플리케이션은 디바이스에서 데이터를 분리하는 법에 대한 큰 그림을 그려야 할 것"이라고 말했다. 
 
글래스고 대학에서 컴퓨터 포렌식을 맡고 있는 윌리엄 브래들리 글리슨는 "샌드박스 또는 가상화를 포함한 여러 선택지가 있다. 그러나 이들은 모두 데이터 유출을 효과적으로 막을 수 있는지 증명하기 위한 테스트가 필요하다"고 말했다. 
 
스토리지 서비스는 단지 데이터 모바일 위험을 가중시키는 많은 모바일 앱 가운데 하나일뿐이다. 
 
CSO는 기업과 개인 일정 툴로 유명한 애니.두(Any.DO)를 테스트하는 과정에서 이 앱이 비밀번호와 민감한 사용자 데이터를 저장하고 있으며, 이는 MITM(man-in-the-middle) 공격을 받을 수 있음을 제기한 바 있다. editor@itworld.co.kr 


X