Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
TOPIC

���������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������

또 다시 불붙은 아이폰 백도어 요청 논란…미 FBI는 이미 관련 툴 확보 정황

프라이버시 단체들은 애플이 자사 iOS 플랫폼에 대한 항구적인 백도어를 거부함으로써 향후 수백만 명의 사용자를 향후 있을 정부와 해커의 위협에서 보호하고자 한다고 평가한다. 애플이 미국 법무부 장관 윌리엄 바의 아이폰 해제 요청을 거절한 후, FBI는 애플 아이폰에 액세스하는 데 필요한 툴을 이미 확보한 것으로 드러났다. 미 법무부는 최근의 총격 사건에 연루된 테러리스트 용의자의 아이폰 2대를 잠금 해제해 달라고 요청했다.   애플은 21세 총격범 무함마드 시드 알샴라니가 사용한 아이폰 2대의 잠금 해제를 돕지 않을 것이라며, 미국 법무부의 요청을 거절했다. 알샴라니는 지난 해 12월 6일 미 플로리다 펜서콜라 해군 항공기지에선 사우디 훈련생 신분으로 총기를 난사해 3명이 숨지고 8명이 부상을 입었다. 용의자인 알샴라니도 총격 중 사망했는데, 단독 행동인 것으로 알려져 있다. 애플의 프라이버시 관련 정책과 이를 빠져나가려는 미 당국 간의 줄다리기가 다시 한번 벌어진 것이다. 하지만 포브스가 처음 발견한 수색 영장을 보면, FBI는 이미 패스워드로 보호되는 스마트폰을 푸는 데 필요한 블랙박스 기술을 확보한 것으로 보인다. 수색 영장에 따르면, 지난 해 미국 오하이오주의 FBI 수사관은 그레이시프트(GrayShift)란 회사의 기술을 사용해 잠김 상태의 바리스 알리 코흐 소유 아이폰 11 프로 맥스에 액세스했다. 코흐는 혐오 범죄로 유죄를 선고받은 자신의 형제가 국외로 도주할 수 있도록 도운 혐의를 받고 있다. 미국 아틀란타주 소재의 그레이시프트는 애플 아이폰의 패스코드 보안을 무작위 대입 공격(Brute-Force Attack)으로 뚫을 수 있다고 주장하는 두 업체 중 한 곳이다. 다른 한 곳은 이스라엘 업체 셀레브라이트(Cellebrite)이다. 두 업체는 이 공격으로 아이폰 보안을 우회해 전체 파일 시스템 추출이 가능하다고 주장한다. 고급형 안드로이드 디바이스에 대해서도 마찬가지이다. EPIC(Electronic Privacy Infor...

아이폰 애플 테러리스트 2020.01.17

2020년 보안 태세를 개선하는 5가지 방법

2020년 사이버보안의 화제는 무엇일까? 오직 시간만이 알려줄 것이지만 이 5가지 추세를 따른다면 새로운 과제에 대처하는 데 도움이 될 것이다.    2019년 수천 건의 데이터 유출로 인해 수십억 건의 기록이 노출됐다. 랜섬웨어는 사이버 범죄자가 더욱 정교한 공격 접근 방식을 채택하면서 지속적인 위협으로 인식되고 있다. 규제 준수는 기업과 정부 기관 모두에게 커다란 과제임이 입증됐다.  동시에 사이버 위험과 비즈니스 성과가 불가분의 관계에 있다는 것이 점점 더 명확해지고 있다. 가트너 리서치(Gartner Research)에 따르면, CEO들은 사이버보안 사고에 대해 더 자주 책임을 지고 있으며, 이로 인해 방어 강화에 대한 심층적인 노력을 기울이고 있다.  2020년 조직을 보호하고 강력한 보안 상태를 유지하기 위해 알아둬야 할 5가지 동향에 대해 살펴보자.  1. 제로 트러스트 네트워크 데이터 보안에 대한 기존의 접근 방식은 뚫을 수 없는 벽을 쌓는 것이었지만, 여기에는 치명적인 결함이 있다는 인식이 커지고 있다. 네트워크가 여러 클라우드 공급업체, 분산된 물리적 위치 및 인력 등으로 방어 경계를 유지하는 것은 매우 어렵거나 불가능하다.   그래서 제로 트러스트(Zero trust)라는 새로운 사고 방식을 가져야 할 때가 됐다.  사이버 범죄자와 악의적인 사용자는 취약한 고리를 이용해 네트워크에 액세스한 다음, 측면 이동을 통해 심각한 피해를 가한다. 데이터에 액세스하려는 모든 장치 또는 사람에 대한 엄격한 ID 확인이 필요하다. 어떤 요청도 맹목적으로 믿어서는 안된다.   다소 급진적으로 보일 수 있는 제로 트러스트는 보안 프로세스를 다시 생각하고 여러 기술을 채택해야 한다. 하지만 지금까지 해결이 불가능하다고 증명된 문제를 처리할 수 있는 전체적인 전략을 제공한다.  2. 차세대 프라이버시, 보안 및 규정 준수  데이터 개인정보보호 및 보안에 대한...

보안 제로트러스트 2020년 2020.01.16

"산업활성화 법이냐, 개인정보 도둑법이냐" 데이터 3법 개정안의 주요 내용과 비판

데이터 3법 개정안이 2020년 1월 9일 국회 본회의를 통과됨에 따라 보안뿐만 아니라 서비스, 통신, 금융, 유통, 의료 등 다양한 산업계에서 상당한 파급력을 가질 것으로 보인다. 데이터 3법은 개인정보보호법·신용정보법·정보통신망법을 의미한다.   과학기술정보통신부(이하 과기정통부)는 "데이터 3법 개정이 인공지능 시대와 데이터 경제를 선도할 수 있는 제도적 기반이 마련됐다"며, "데이터 3법 개정안의 국회 통과에 따른 후속조치로 4차 산업혁명 시대 핵심 자원인 데이터 개방·유통 확대를 추진하고, 데이터 간 융합과 활용 촉진을 통해 데이터 산업 육성을 본격 지원한다"라고 밝혔다.  하지만 참여연대를 비롯한 관련 시민단체들은 이번 데이터 3법 개정은 국민의 정보인권을 포기한 것으로 헌법에서 규정한 개인정보자기결정권을 침해한 것이라고 강력하게 반발하고 있다.  참여연대를 비롯한 10여 개의 시민사회단체 측은 "이번 데이터 3법 개정안은 2011년 제정이래 유지되어 왔던 개인정보보호의 기본 체계를 뒤흔드는 법안이다. 국가 개인정보보호의 체계를 근본적으로 바꾸는 중대한 사안임에도 그동안 정부는 제대로 된 사회적 논의를 진행하지 않았으며 기업 측의 요구를 일방적으로 수용한 것이다"라고 밝혔다.  반대의 목소리를 내는 주최는 건강과대안/경제정의실천시민연합/무상의료운동본부/민변디지털정보위원회/민주노총사무금융노조/서울YMCA/소비자시민모임/의료연대본부/진보네트워크센터/참여연대/한국소비자연맹/함께하는시민행동 등 시민사회 단체들이다.  이번 데이터 3법 개정안 주요 내용을 살펴보면서 시민사회단체들이 주장하는 이번 개정안의 문제점과 우려 사항을 함께 알아보자. 과학기술정보통신부(이하 과기정통부)가 밝힌 개정안의 주요 핵심 내용은 다음과 같다.  - 개인정보 개념 명확화: 모호했던 개인정보의 판단 기준을 명확히 하고 익명화된 정보는 개인정보보호법에서 제외   - 가명정보와 개인정보의 이용범위 확대: 데...

정보통신망법 개인정보보호법 데이터3법 2020.01.10

다쏘시스템, CES 2020서 ‘개인화 제품과 개인정보 제공에 대한 소비자 설문조사’ 결과 발표

젊은 소비자들은 제품 및 서비스, 삶의 질, 개인의 안전을 개선할 개인화 경향을 주도하고 있으며, 이러한 경험을 위해 더 큰 비용을 지불하고 개인정보를 제공할 의향이 있는 것으로 나타났다.  다쏘시스템(www.3ds.com/ko)은 1월 7일부터 10일까지 미국 라스베이거스에서 열리는 CES 2020에 참가해, 개인화 제품과 개인정보 제공에 대한 소비자 설문조사 결과를 발표했다. 이번 설문조사는 미국, 중국, 프랑스의 성인 3,000명을 대상으로 다쏘시스템이 시장조사기관 CITE 리서치와 공동 실시했다. 이번 설문조사에서 소비자들은 모빌리티, 의료 서비스, 쇼핑, 주거 및 도시 환경에서 개인화에 대한 견해를 비롯해 개인화에 대한 정의, 개인화를 위해 어떤 것까지 포기할 의향이 있는지에 대한 세대, 지역, 기술 수준 간의 차이를 나타냈다. 그러나 대부분의 소비자들은 공통으로 의료와 개인 안전을 위해 개인화를 중시하며, 이를 위해 데이터의 수집 및 관리 방식에 대한 우려를 나타내고 있다는 결과가 나왔다. 소비자들은 개인화를 원하지만 시간이 지체되는 것은 원하지 않는다. 83%의 소비자들은 개인화 제품과 서비스는 기다림 없이 즉시 제공되길 기대한다. 21%만이 4일 이상 기다릴 의향이 있다고 대답했다. 소비자들은 개인화를 위해 평균 25.3%의 비용을 기꺼이 지불할 의향이 있다. 그러나 개인 데이터를 제공하는 대가로 평균 25.6%의 비용을 보상받길 원한다고 답했다. 개인화된 의료 서비스를 위해 더 많은 금액을 지불할 의향은 있지만, 개인화된 쇼핑 경험을 위해선 그렇지 않다. 산업계는 개인화를 명확하게 정의할 기회가 있다. 소비자들은 각각 다르게 개인화를 정의한다. 50%가 넘는 소비자들은 구매 전에 제품 및 서비스를 맞춤화하는 것 또는 수많은 옵션에서 원하는 제품 및 서비스를 선택하는 것이라고 정의한 반면, 63%의 얼리어댑터는 개인 데이터에 의해 개발된 제품 및 서비스라고 정의했다. 소비자들은 사고를 방지할 수 있는 행동에 따른 맞춤형 경...

다쏘시스템 2020.01.09

페이스북, 이용자 보안 강화 위한 ‘공개 범위 확인’ 기능 업데이트

페이스북이 CES 2020에서 새롭게 업데이트한 ‘공개 범위 확인(Privacy Checkup)’ 기능을 발표했다. 이번 업데이트는 2014년 해당 기능 출시 이래 처음으로 실시한 대대적인 개편으로, 4개의 항목으로 나눴다.  ·내가 공유하는 게시물을 볼 수 있는 사람: 이용자의 프로필 정보에 접근 가능한 사람을 확인할 수 있다.  ·계정을 안전하게 보호하는 방법: 보안 수준이 높은 비밀번호 및 로그인 알림을 설정해 계정 보안을 강화하는 데 도움을 받을 수 있다.   ·사람들이 페이스북에서 나를 찾을 수 있는 방법: 사람들이 페이스북에서 어떻게 이용자를 찾을 수 있는지, 이용자에게 친구 요청이 가능한 사람은 누구인지 확인할 수 있다. ·내 페이스북 데이터 설정: 페이스북 계정을 이용해 로그인하고 사용한 타사 애플리케이션 및 웹사이트를 통해 공유한 정보를 확인하고, 더 이상 사용하지 않는 애플리케이션과 웹사이트를 삭제할 수 있다. 로그인 알림 설정, 보안 수준이 더 높은 비밀번호 선택 등 각 주제별 이용자의 계정 보안을 설정하고 관리할 수 있는 방법을 설명하는 하위 항목도 기존의 3개에서 8개로 확장해 증가하고 있는 이용자의 보안 요구도 반영했다.  이와 더불어 공개 범위 확인 페이지 또한 이전에 비해 훨씬 직관적인 인터페이스 디자인이 적용돼 내가 공유한 게시물을 누가 확인할 수 있는지, 내 정보가 어떻게 사용되는지 등 개인정보 보호에 관한 다양한 주제를 한눈에 볼 수 있도록 구성됐다. 업데이트된 공개 범위 확인 기능은 페이스북 모바일 앱과 웹에서 검색을 통해 바로 이용할 수 있으며, 이번 주 중 전 세계 모든 이용자에게 적용될 예정이다.  페이스북 관계자는 “앞으로도 이용자들이 개인 정보 보호를 위해 보다 정확한 결정을 내릴 수 있도록 프라이버시 관련 기능을 지속적으로 업데이트할 방침”이라고 밝혔다. editor@itworld.co.kr

페이스북 2020.01.07

쿠키 없는 세상에서 데이터의 미래는?

데이터가 중요한 고객경험을 제공하는 열쇠기 때문에 데이터 수집 방법은 발전할 것이다. 어떤 사람들은 데이터를 '새로운 석유'라고 부르기도 한다. 데이터양이 급증하는 환경에서 비즈니스의 핵심은 데이터의 정체성을 이해하는 데 있다. 이는 데이터베이스 마케팅 업체인 라이브램프(LiveRamp)의 인터내셔널 MD 겸 CFO인 워렌 젠슨의 견해다. 젠슨은 쿠키가 개인정보를 모으는 최선의 방법은 아니며 지금은 새로운 형태의 신원 확인 방법으로 바뀌는 시기라고 전했다.    젠슨은 1990년대 중반부터 25년 동안 이 방식으로 앱을 개발할 수 있도록 한 쿠키의 핵심적인 역할을 밝혔다. 그는 “전세계적으로 쿠키에서 얻을 수 있는 무료 콘텐츠를 생각하면 전례 없는 수준의 정보가 무료로 제공되고 있음을 알 수 있다”라고 언급했다. 젠슨은 “이를 바탕으로 쿠키, 공개 인터넷 및 사용자 커뮤니티를 사용해 비즈니스를 구축했다”라며 “최소한 쿠키는 생태계의 중요한 부분으로 남아 있다”라고 말했다. 데이터는 훌륭한 고객경험을 제공하는 데 핵심적인 요소다. 하지만 데이터 수집 방법은 발전할 것이다. “기술의 발전이 계속되면서 데이터는 훨씬 더 중요해질 것이다. 규모와 관계없이 브랜드 또는 게시자는 사용자가 기대하는 개인화된 경험을 제공하기 위해 데이터 중심 전략이 있어야 한다”라고 젠슨은 강조했다. 젠슨은 유럽의 일반 데이터 보호 규정(GDPR)과 같은 일부 개인정보 보호 규정을 비판하여 대규모 플랫폼의 허가를 받는 등 규제 요구 사항을 이 플랫폼을 통해 쉽게 얻을 수 있기 때문에 대규모 기술 생태계의 벽으로 둘러싸인 정원에 혜택을 제공한다고 주장했다. 그는 “큰 벽으로 둘러싸인 정원에 대해 생각해 보자. 이곳에서는 한 곳에서 다른 한 곳으로 도달하는 거리가 상당히 멀다. 우리는 매일 그것들을 사용하며 권한 상자를 클릭하기 쉽다. 따라서 벽으로 둘러싸인 정원의 규모와 범위는 GDPR을 볼 때 엄청난 이점이 있다”라고 이야기했다. 이어서 "...

CRM GDPR 고객경험 2019.12.13

"데이터 침해, GDPR 효과, 악성 앱, 악성 광고 등" 2019년 사이버보안에서 일어난 일

2019년이 끝나감에 따라, 지난 12개월 동안 사이버보안에서 무슨 일이 일어났는지, 그리고 올해 일어나지 않았던 일을 되돌아 볼 때가 됐다.    미드이어(Midyear) 보고서에 따르면, 지난해 40억 개 이상의 기록이 유출되어 지난해보다 침해사고가 54%나 증가했다. 올해는 데이터 침해를 당한 메이시스(Macy)와 T 모바일의 고객이 받은 피해만으로 뉴스가 끝날 수 있다. 디즈니의 새로운 스트리밍 서비스인 디즈니+는 해커가 침입해 사용자 계정을 해킹한 여파로 하루동안 꼬박 온라인 상태가 아니었다.   대규모 사건이 없었던 2019년 데이터 침해   2019년, 침해 사건 수는 증가했음에도 불구하고 눈에 띄는 점이 없었다. 실제 대규모 데이터 유출 사건이 없었기 때문인데, 이 때 대규모란 에퀴팩스, 야후, 메리어트, TJ 맥스, 타깃과 같은 초대형 사건을 얘기하는 것이다. 지난 10년 동안 데이터 유출 사건은 거의 매년, 몇 달 동안 헤드라인을 장식하고 오늘날까지도 여전히 화제가 되고 있다. 2019년 데이터 유출이 가장 많은 해가 될 수 있지만, 헤드라인을 장식할만한 대규모 데이터 침해 사건은 단 한 건도 없었다.    그렇다고 대형 사건이 없었다는 것은 아니다. 해커는 전 세계 10억 명 이상의 사용자를 위협할 수 있는 감시 소프트웨어를 왓츠앱(WhatsApp)에 설치했다. 포트나이트(Fortnite) 사용자는 랜섬웨어에 감염된 후, 위험에 처할 수 있다는 경고를 받았다. 그러나 이런 사건들은 대규모였지만, 해커들은 원했던 결과를 이루지 못했다. 이는 그저 행운이라고 볼 순 없다. 범죄자들은 여전히 매우 적극적이고 공격적이지만, 대기업이 이전 대형 사건에서 교훈을 얻어 대규모 위협에 더 잘 대처를 하고 있는 것일까? AI를 활용해 피해가 발생하기 전에 공격을 탐지하고 중지하는 첨단 보안 도구를 활용하고 있는가? 기본 보안 위생 및 실무, 프로세스 및 교육에 중점을 두어 위반이 있을 경...

유출 프라이버시 악성광고 2019.12.12

구글의 개인 의료정보 사용 “기분은 찜찜해도 합법” 달아오르는 의료정보 시장 각축전

구글은 보다 나은 치료와 비용 절감 방법을 제시할 목적으로 미국 내 최대 의료 시스템 중 하나와 손을잡고 미국 21개 주, 2,600개 병원 및 의원에서 수백만 명의 환자 정보를 수집하고 분석한다.    이 프로그램 내부 고발자의 폭로에 따르면, 프로젝트명은 “나이팅게일”로 전 세계에서 가장 큰 가톨릭 의료 시스템 기업 어센션(Ascension)이 참여하는 프로젝트 나이팅게일(Project Nightingale)은 의료기관에서 최대 5,000만 건의 개인 의료 기록을 수집한다.  이뿐만이 아니다. 어센션과의 제휴가 공표된 후, 워싱턴 포스트는 미국국립보건원(National Institutes of Health, NIH)에서 구글이 10만 건 이상의 환자 흉부 엑스레이를 공개하지 못하도록 저지했다고 보도했다. 해당 엑스레이 정보는 2017년 구글과 NIH가 진행한 공동 프로젝트의 일환이었지만, 일부에서 환자의 개인식별정보가 포함된 것을 발견했다.  어센션과의 거래에 관해서, 구글은 지난 7월 2분기 실적 관련 컨퍼런스 콜에서 클라우드 데이터 분석을 사용하여 어센션의 환자 정보를 수집할 계획을 밝혔다. 하지만 “나이팅게일” 프로젝트는 언급되지 않았다. 구글 클라우드 대표 타리크 슈카트는 “구글 클라우드의 AI와 머신러닝 솔루션으로 어센션과 같은 의료기관이 의료경험과 결과를 개선하도록 돕고 있다”고 말했다.  또 “어센션과의 협업은 구글이 수십 곳의 다른 의료서비스 업체와 작업하는 방식과 비슷하며, 최신 기술로 의료서비스 업체를 지원하기 위한 비즈니스 계약이다. 의료서비스 업체와 의료기록 관련 기술 업체로는 클리블랜드 클리닉(Cleveland Clinic), 미국 암학회(American Cancer Society, ACS), 메케슨(McKesson), 아테나(Athena)가 포함돼 있다”고 밝혔다. 슈카트는 “구글은 의료서비스 업체의 환자치료를 돕기 위해 어센션과의 BAA(Business Associate Ag...

HIPPA 의료정보 구글 2019.11.19

'편리하지만 위험할 수도...' 스마트시티의 그림자

스마트시티 개발이 최근 몇 년 동안 영국 전역에서 이뤄지고 있다. 도시의 모든 것이 인터넷으로 연결된다면, 편리하기만 할까? 그에 따르는 위험은 없을까?   스마트시티는 교통, 유틸리티 또는 에너지 같은 도시 서비스의 연결성과 성능을 향상하고자 다양한 유형의 전자, 정보통신기술(ICT)을 사용해 재설계된 영역이다. 특정 지역의 인프라를 혁신하고자 사물인터넷(IoT) 기기를 도입하면 종종 도시가 '똑똑해'진다는 아이디어가 확립된다. 이러한 IoT 기기를 도입하면 주변의 위치와 건물을 인터넷에 연결할 수 있다. 이론적으로 이를 통해 도시 계획 담당자는 자원을 좀더 효율적으로 사용할 수 있으며 현재 데이터를 사용하여 교통 혼잡 같은 문제에 대한 새로운 해법을 찾을 수 있다. 그러나 결과적으로 보안과 안전에 대한 주요 쟁점이 있다. 스마트 인프라는 거주자에게 생활, 교통, 연결 혜택을 제공하지만 2018년 3월 미국 애틀랜타시에서 알수 있듯이, 연결된 기술을 사용하는 스마트시티는 악의적인 사이버 공격자에게 점점 더 매력적인 공격 대상이 될 수 있다. 랜섬웨어 공격이 도시의 고객 대면 애플리케이션 중 일부를 공격하여 미국 하츠필드-잭슨(Hartsfield-Jackson) 애틀란타 국제공항에서 무료 와이파이 네트워크를 차단한 일이 있었다. 보고서에 따르면 이 공격은 13개 도시 부서 중 5개를 공격했다. 보안 문제 연결된 기술의 보안 위험은 데이터 손실이나 재무적 영향보다 더 심각할 수 있다. 전세계적으로 도시가 점점 더 스마트해짐에 따라 점점 더 많은 영역이 공격에 취약해질 것이다. 스마트시티가 사용하는 스마트 센서는 종종 스마트 주차를 관리하고 도로의 혼잡을 줄이기 위해 신호등과 거리 조명에 내장되어 있지만, 대부분 무선 센서에는 보안 기능이 내장되어 있지 않음으로 설계상 안전하지 않다. 얼스터대학교(Ulster University) 사이버보안 교수 겸 IEEE 회원인 케빈 커랜은 “많은 [센서]에는 기본 암호가 기본적으로 제공되지 않...

개인정보 가트너 딜로이트 2019.11.11

KISA-서울주택도시공사, 스마트홈 이용자 정보보호 위해 협력

한국인터넷진흥원(이하 KISA)은 서울주택도시공사(SH공사)와 스마트홈 정보보안 강화를 위한 업무협약을 체결했다고 밝혔다. 최근 가정 내 스마트홈 IoT 제품 설치가 확산되면서, 스마트홈에서 수집될 수 있는 개인정보 유출을 방지하기 위해 스마트홈 보안에 대한 관심 또한 높아지고 있다. 이에 KISA는 기관이 보유한 전문 역량을 활용해 국내 유관기관의 정보보안 역량 강화를 지원하기 위해 지난 9월에 한국토지주택공사(LH)와 스마트홈 정보보안 강화를 위한 업무협약을 체결한 바 있으며, 이러한 협력의 연장선으로 SH공사와도 업무협약을 추진하게 됐다. 이번 협약을 통해 KISA와 SH공사는 ▲스마트홈 보안성 강화를 위한 IoT 보안인증 등 보안내재화 지원 ▲스마트홈 보안 기술 자문 및 지원 ▲스마트홈 보안 요소기술 및 정책 연구 ▲스마트홈 보안 역량강화 및 보안검증된 스마트홈(홈IoT 포함) 제품의 적극적인 도입·활용 ▲정보통신(스마트홈 분야) 설계기준(시방서) 개정 ▲스마트홈 인프라 보안 방안 마련을 위한 시범적용 환경 지원 등에 상호 협력하게 된다. 그 동안 KISA는 SH공사가 올 10월 제정한 ‘공동주택 스마트홈 보안기준’에 KISA가 개발한 IoT 보안인증 항목이 포함되도록 기술 자문 등을 지원했다. 또한, IoT 보안인증 항목이 SH공사가 새롭게 개정을 추진하는 ‘정보통신(스마트홈 분야) 설계기준(시방서)’에도 반영되도록 관련 협력을 진행해 왔다. KISA 김석환 원장은 “최근 스마트홈 기술을 적용한 신축 아파트가 확산됨에 따라 월패드·디지털도어락·AI스피커 등 홈IoT 기능을 탑재한 제품에 대한 보안 위협이 사회적으로 이슈가 되고 있다”며, “KISA는 앞으로도 유관기관과의 협력을 확대하며 진화하는 스마트홈 보안 위협으로부터 국민을 보호하는데 최선을 다할 것”라고 말했다. editor@itworld.co.kr

kisa 서울주택도시공사 2019.11.08

글로벌 칼럼 | 미국 법무부의 암호화 백도어 추진은 미 수정헌법 제1조 위반일 수 있다

지난 10월 22일, 미국 FBI의 전직 법률 자문역인 짐 베이커는 ‘암호화를 다시 생각하다’라는 장문의 놀라운 글을 발표했다. R 스트리트 연구소에서 현재 국가안보 및 사이버보안 국장을 맡고 있는 보수주의 성향의 베이커는 이 글에서 암호화된 통신에 관해 법무부와 법 집행기관이 현실을 수용해 대처해야 한다고 조언했다.      암호화된 통신에 접근할 수 있도록 해주는 백도어에 대해 법무부와 법 집행기관이 수십 년 동안 온갖 노력을 기울이며 추구해 온 것에 반해, 베이커는 암호화는 “미국과 동맹국들이 실존적 사이버보안 위협, 특히 중국으로부터 스스로를 보다 효과적으로 보호하기 위해 사용할 수 있는 몇 안 되는 메커니즘 가운데 하나다. 암호화가 사회, 특히 다른 유형의 범죄 피해자들에게 비용을 부과하더라도 이것은 사실이다”라고 전했다.    베이커가 이 글을 쓰게 된 계기는 최근 윌리엄 바 휘하의 법무부가  E2E(End to End) 통신 암호화의 등장으로 인해 테러리스트나 사이버범죄자들의 악행을 추적할 수 없어 법집행기관이 마비되고 있다는 생각을 하면서 최근에 암호화 백도어를 다시 추진하려는 움직임이다.  미연방 법집행당국의 3년 간의 오랜 침묵 끝에, 바 장관은 7월 23일 연설을 했는데, 바는 소위 ‘워런트-프루프(warrant-proof)’ 암호화가 “국내외 테러리스트들을 감시하고 전투를 치르는 우리의 능력을 심각하게 손상시키고 있다”고 말하면서 암호화된 통신에 ‘합법적인 접근’을 요구했다. 바는 조만간 중대한 사건이 발생해 암호화에 반대하는 여론이 ‘추동’할 것이라고 경고하면서, 실리콘 밸리에 기술적 솔루션을 내놓을 것을 요구했다. 미국이 영국과 합의해 두 나라의 법 집행기관들이 중대한 범죄에 관한 전자 자료를 요구할 수 있도록 허용한 후, 10월 초 미 법무부는 페이스북이 메신저 서비스에 대한 E2E 암호화 계획을 진행시키지 말아 달라는 서한을 마크 저커버그에게 보냈다.  ...

암호화 미법무부 백도어 2019.11.06

2019 사상 최대의 데이터 침해 벌금과 벌칙 그리고 합의 사항

2019년, 데이터 침해에 대해 부과된 상당한 벌금은 규제 당국이 사용자 데이터를 제대로 보호하지 못하는 조직에 대해 점점 더 진지해지고 있다는 것을 시사한다.  영국 항공(UK British Airways)은 2억 3,000만 달러(약 2,669억 원)의 벌금을 부과받았고, 곧 이어 메리어트(Marriott)도 1억 2,400만 달러(약 1,439억 원)의 벌금을 받았으며, 미국의 에퀴팩스(Equifax)는 2017년 위반에 대해 최소 5억 7,500만 달러(약 6,673억 원)의 벌금을 내기로 합의했다.   2018년에도 이런 일이 비일비재했다. 우버는 2016년 위반에 대한 대처가 미흡해 1억 5,000만 달러(약 1,741억 원)에 가까운 비용을 지불해야 했다. 보호는 허술하지만 규제는 심한 의료 데이터의 경우 2018년 의료시설에 큰 손실을 입혔고, 이로 인해 미국 보건복지부는 점점 더 많은 벌금을 징수하게 되었다. - 에퀴팩스: 5억 7,500만 달러  2017년 에퀴팩스는 데이터베이스 중 하나에 있는 패치되지 않은 아파치 스트러츠(Apache Struts) 프레임워크로 인해 거의 1억 5,000만 명의 개인 및 금융 정보를 잃어버렸다. 에퀴팩스는 패치가 발표된 지 몇 달후에도 심각한 취약점을 고치지 못했으며, 피해를 발견한 뒤에도 몇 주 동안 그 침해 사실을 대중에게 알리지 않았다.   2019년 7월, 신용기관인 에퀴팩스는 자사가 네트워크 보안을 위한 합리적인 조치를 취하지 못한 것에 대해 미 연방거래위원회, 소비자 금융 보호국(CFPB) 및 50개 주, 그리고 기타 국가와 합의를 통해 5억 7,500만 달러(잠재적으로는 7억 달러(8,125억 원)까지 증가할 수 있다)를 지불하는데 동의했다.  이 가운데 3억 달러(3,482억 원)는 피해 소비자들에게 신용 모니터링 서비스를 제공하는 기금으로 갈 것이며(최초 지급액이 소비자 보상에 충분하지 않을 경우 1억 2,500만 달러(1,451억 원)가...

유출 메리어트 벌금 2019.11.05

중국의 MLPS 2.0, 사이버보안의 향상인가, 데이터 감시의 합법적 시도인가

새로운 버전의 중국 정보보안등급보호규정(Multi-Level Protection Scheme, MLPS)은 기업의 관리 범위를 넓히고 정부 검열의 제한을 낮춘다. 중국에서 사업을 하는 기업이라면 우려할만한 일이다.    중국 정부는 사이버보안에 관한 좀 더 나은 표준을 요구하기 위해 여러 가지 새로운 사이버보안 법을 통과시켰다. 이 가운데 일부는 사법집행 기관이나 정보 기관에 광범위한 권한을 부여해 중국 내 네트워크, 심지어 비 중국기업의 네트워크에서 발생하는 모든 것들을 면밀히 모니터링하고 조사한다.  최근 수년 동안 가장 주목할 만한 것은 CSL(Chinese Cybersecurity Law)였다. 이 법률은 온라인 및 네트워크 활동의 거의 모든 측면을 지배하고 사법집행 기관에게 기업을 조사하고 감시할 수 있는 권한을 부여하는데, 기업 내 직원 사찰까지 가능케 한다.  이제 MLPS 2.0으로 알려진 중국의 정보보안등급보호규정의 새로운 버전이 문제시 된다. 지난 수년동안 중국 정부는 주요 인프라로 간주하는 것에 대한 IT 보안 표준을 관리해왔다. 이 새로운 규정에서는 “주요”의 구성요소가 확대되고 정부의 사찰과 모니터링의 제한이 낮아져 잠재적으로 중국 사업체를 보유한 글로벌 기업에 영향을 줄 수 있다.   중국의 다단계 보호 체계(MLPS)란 무엇인가  미국 전략국제문제연구소(CSIS)는 최근 수년 동안 중국이 사이버보안과 관련된 약 300개의 새로운 국가 표준을 발표했다고 주장했다. 가장 최근에 변경된 사항 가운데 하나는 MLPS에 대한 업데이트였다.  2008년부터 존재했던 현재 MLPS 하에서 네트워크 운영자(데이터를 보내거나 처리하는 연결된 컴퓨터나 시스템을 포괄하는 광범위한 용어)는 네트워크와 정보 시스템을 다른 수준으로 분류하고 이에 따라 보안 보호를 구현해야 한다. 이 체계는 정보통신 기술 시스템의 민감도를 1등급이 가장 낮고, 5등급을 가장 높게 평가한다. 등급이 높을수...

사이버보안 중국 데이터보호법 2019.10.30

안랩, ‘직장인 타깃 악성메일’ 주의 당부

안랩(www.ahnlab.com)은 최근 직장 내 PC사용자들에게 위장 메일을 전송하고 악성 파일 다운로드를 유도하는 사례를 발견해 사용자의 주의를 당부했다. 공격자는 국내 기업을 대상으로 송장 파일공유나 급여명세서 등을 위장한 악성 메일을 무작위로 발송했다. 해당 메일에는 악성 엑셀(.xls) 파일 공유 다운로드 URL이 포함돼 있거나 파일이 직접 첨부돼 있었다. 송장 파일공유 위장 메일의 경우 공격자는 특정 회계법인을 사칭해 ‘송장파일 공유’ 메일을 보냈다. 메일 본문에는 ‘OO회계법인이 송장 파일공유를 위해 회원님을 초대했다’는 메시지와 드롭박스를 사칭한 파일 다운로드 URL이 포함되어 있다. 공격자가 실제 드롭박스의 로고와 동일한 이미지를 사용했기 때문에 사용자는 가짜 URL임을 알아채기 어렵다. 만약 사용자가 해당 URL을 클릭하면 가짜 송장 엑셀파일이 다운로드된다. 해당 파일을 실행하면 ‘내용을 보려면 콘텐츠 사용을 클릭하라’는 메시지가 뜨면서 악성 매크로 사용을 유도한다. 만약 ‘콘텐츠 사용’을 누르면 악성 매크로에 의해 PC가 악성코드에 감염된다. 급여명세서를 위장한 악성메일이 발견되기도 했다. 공격자는 의심을 피하기 위해 특정인의 이름을 송신자로 설정했다. 또, 메일 본문에는 ‘한 달 동안 수고 많으셨습니다’, ‘경조금 처리 완료’ 등의 문구를 넣어 사용자 의심을 피하고, 악성 매크로 사용을 유도하는 엑셀 문서를 직접 첨부했다. 두 사례 모두 PC감염 이후 악성 행위 수행 과정은 동일하다. 악성코드는 사용자 몰래 C&C 서버(Command & Control)로 접속해 컴퓨터 이름과 사용자 이름, 운영체제 등의 정보를 공격자에게 전송한다. 뿐만 아니라 추가 악성코드도 설치할 수 있어 사용자의 각별한 주의가 필요하다. 현재 V3는 해당 악성코드를 진단하고 있으며 악성 파일이 접속하는 C&C 서버 주소도 차단하고 있다. 이와 같은 악성코드로 인한 피해를 줄이기 위해서는 ▲출처가 불분명한 메일의 발신자 확인 및 첨...

안랩 2019.10.28

글로벌 칼럼 | 노드VPN, 사용하기에 안전한가

언론을 통해 소식을 이미 접했겠지만 지난 2018년 노드VPN 서버 가운데 하나가 해킹된 사실이 밝혀졌다. 사용자들이 어떤 사이트를 방문하는지 해커에게 노출된 것이다.    노드VPN은 이 사실을 수개월 전부터 알고 있었지만, 다른 서버 5,000대의 점검을 마치기 전까지는 언론이나 노드VPN 사용자들에게 알리지 않기로 했다고 밝혔다.  노드VPN을 이미 구독 중이거나 구독을 고려 중이거나 다른 소비자 VPN 서버를 사용 중인 사람이라면, 이 사태가 무엇을 의미하는지, 무엇보다도 VPN 서비스가 사용하기에 안전한 것인지 궁금해 할 것이 틀림없다. 노드VPN, 어떻게 그리고 왜 해킹됐나? 핀란드에 위치한 서버가 해킹당한 이유는 서버의 소유와 운영 주체가 노드VPN이 아닌 서드파티였기 때문이다. 안타깝게도, 사실상 다른 서비스들과 똑같은 클라우드 기술을 사용하는 소비자 VPN들에게는 이런 식의 서버 대여가 흔하다. 서버 운영을 담당하던 데이터센터는 노드VPN에 알리지 않은 채 원격 접속 소프트웨어를 서버에 설치했다. 이 소프트웨어에 존재하던 취약점이 2018년 3월 해커에 의해 악용된 것이다.  본지가 전달받은 해당 데이터센터 측의 이메일 답변에 따르면, 해당 소프트웨어는 데이터센터의 모든 서버에 설치되었으며 보안 허점이 있다는 사실이 잘 알려져 있었다. 또한, 이 데이터센터의 서버들을 사용한 다른 VPN업체들은 필요할 때까지는 도구에 대한 접근을 막아달라고 데이터센터 측에 부탁하는 등 보안에 좀 더 신경을 쓴 반면, “노드VPN은 보안에 직접 신경을 더 쓰지 않는 것 같았고 어떻게 하든지 이 문제를 우리에게 떠넘기려고 하는 것 같다”라고 전했다.  공격 당시에 노드VPN은 대여 서버의 하드 디스크를 암호화하지 않았기 때문에 해커가 암호 키를 훔칠 수 있었다. 이후 암호 키는 만료되었으며 노드VPN 측은 어떠한 경우에도 노드VPN 트래픽의 복호화에 사용됐을 가능성은 없다고 주장했다. 노드VPN은 블로그를 통...

노드VPN 해킹 2019.10.25

'VPN 트래픽 보안 통제 무력화'··· 'IPv6 VPN 탈옥'을 막는 3가지 방법

기업은 원격 사용자의 기기가 금지 사이트에 접속하지 못하도록 VPN을 사용한다. 그러나 IPv6가 원격 사용자의 기기에 어떤 역할을 하는지 인식하지 못하면 이것이 무용지물이 될 수 있다. 이러한 허점의 원인은 기업 원격 접속 VPN의 구성 방식 때문이다. VPN 집중기를 통과하는 IPv4 트래픽에만 검사 및 보안 통제 기능이 적용되고 IPv6 트래픽은 방치하도록 구성된 경우가 있다. 이처럼 보안 통제가 적용되지 않은 IPv6 트래픽은 자유롭게 인터넷에 직접 접속한다. 이른바 'IPv6 VPN 탈옥(IPv6 VPN breakout)' 문제다. 이 문제는 잘 알려졌지만 여전히 간과되는 경우가 많다. IPv6 VPN 탈옥 문제에 해결책이 없는 것은 아니다. 그러나 문제의 심각성을 인식하기 위해 그 문제 자체를 먼저 이해해야 한다. IPv6 VPN 탈옥 문제가 간과되는 이유 VPN을 통해 기업 네트워크에 접속하는 기기에 IPv6이 얼마나 자주 사용되는지 모르는 기업이 많다. 기업 네트워크에 원격 접속하기 위해 사용되는 전화기, 태블릿, 노트북 등은 일반적으로 IPv6을 지원한다. 이들 장치의 인터넷 접속에 사용되는 광대역 및 셀룰러 서비스 역시 IPv6을 지원한다. 그 결과 기업은 IPv6을 보안 요소로 인식하지 못한 채 VPN이 IPv4 트래픽만 검사하도록 구성한다. 기업 네트워크와 장치, 데이터를 위험에 빠뜨릴 수도 있는 IPv6 사이트에 모바일 기기가 자유롭게 접속하도록 방치하는 셈이다.   IPv4 보호 기능은 <그림 1>과 같이 작동한다. 일단 VPN이 설정되면 VPN 집중기는 인터넷으로 가는 트래픽을 검사해 해당 기업이 구성한 정책에 의해 금지된 곳으로 향하는 트래픽은 차단한다. 대부분의 기업 VPN은 보안 강화를 위해 '분할 터널링 금지(no split-tunneling)'라고 불리는 조처를 한다. 모든 IPv4 연결을 반드시 VPN으로 통과시키는 것이다. 분할 터널링 금지 상태에서 VPN 연결이 설정되면 일반적으로 원격 장치가...

보안 IPv6 VPN breakout IPv6 VPN 탈옥 2019.10.18

미 국토안보부 CISA 책임자에게 듣는 "2020년 미국 대선 보안"

뮬러 보고서에서도 밝혔듯이, 러시아는 2016년 미국 대선 때 ‘훼방’을 놓았다. 대규모로 허위정보 살포작전을 수행했으며, 주 선거 시스템을 해킹하려 시도했다. 그렇지만 미국은 이를 너무 늦게 발견했다. 이런 점을 감안하면, 미국 국토안보부 산하 사이버보안 및 인프라 보안국(CISA)의 연례행사인 2차 사이버보안 서밋의 주요 주제가 ‘프로텍트 2020’이라는 이름 아래의 ‘선거 보안’이라는 점은 놀랄 일이 아니다. 그렇지만 CISA의 디렉터 크리스토퍼 크랩스는 선거 보안을 둘러싼 지나친 걱정, 공포를 조장하는 말들에 대한 경고로 서밋을 시작했다. 그는 “우리는 더 솔직하고, 신중하고, 합리적으로 말을 해야 한다. 선거 보안이 여기에 해당되는 사례이다. 인프라에 절대적인, 근본적인, 진짜 위험이 존재하는가? 그렇다. 그러나 이에 대한 담론에서 ‘히스테리적 요소’들을 없애야 한다. 그렇지 않으면 더 많은 유권자의 신뢰가 하락하기 때문이다”라고 강조했다.   선거 보안에 더 균형 잡힌 방식으로, 그리고 덜 흥분된 방식으로 접근해야 한다. 그렇지만 2020년 선거를 악의적인 주체들과 사이버 위협으로부터 보호하는데 필요한 노력을 무시해도 된다는 의미는 아니다. 크렙스는 “나는 11월이 기대된다. 최소한 나는 역대 가장 역동적인 대통령 선거가 될 것으로 기대하고 있기 때문이다. 2020년을 보호하기 위해 무엇을 할 것인가? 당신 회사는 어떤 일을 할 것인가? 당신의 조직은 어떤 일을 할 것인가? 지역에서 지역 선거구를 지원하기 위해 어떤 일을 할 것인가? 투표장에 갔을 때 필요한 것들을 이해하고 있는가?”라고 말했다. 2020년 선거와 관련된 새로운 우려사항 중 하나는 지방선거 시스템을 잠글 수도 있는 랜섬웨어 공격이다. 이와 관련, 최근 텍사스주에서 23개 지방정부를 무력화시킨 랜섬웨어 공격이 발생한 사례가 있었다. 크랩스는 “위협 모델링을 토대로 했을 때, 지금부터 2020년 선거까지 1년 동안 유권자 등록 데이터베이스, 기타 선거 관련 ...

미국 러시아 CSO 2019.09.27

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.