Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
TOPIC

���������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������

KISA “코로나19 확진환자 개인정보 보호, 한층 강화”

한국인터넷진흥원(KISA)은 개인정보보호위원회와 ‘코로나19 확진환자 정보공개 관련 개인정보 보호 강화 안내문’을 제작해 지자체에 배포했다고 밝혔다. 각 지자체에서는 코로나19 감염병 확산 방지 및 예방을 위해 역학조사 결과를 바탕으로 확진환자의 개인정보 및 이동경로 등을 공개하고 있다. 하지만 지자체별로 개인정보 공개범위에 대한 편차가 발생하고, 일부 지자체에서는 확진환자의 사생활까지 공개되면서 개인정보 침해에 대한 우려의 목소리가 높아졌다. KISA는 지난 8월 24일부터 5일 동안 전국 243개 자치단체 누리집에 대한 전수조사를 실시했다. 그 결과 개인을 특정할 수 있는 성별, 연령, 거주지 등을 공개한 사례 349건을 확인했고, KISA는 해당 사례를 유형별로 분석해 개선 안내문을 제작했다. 안내문을 살펴보면, 지자체가 확진환자의 정보를 게시할 때 ▲성별, 연령, 국적, 거주지 등 개인을 특정할 수 있는 정보는 공개하지 않아야 한다. ▲거주지의 경우 읍·면·동 단위 이하 정보는 게재할 수 없으며 ▲직장명은 직장에서 불특정 다수에게 전파시켰을 우려가 있는 경우에만 공개할 수 있다.  KISA는 앞으로 각 지자체가 공개하는 신규 확진환자 정보를 주기적으로 모니터링해 새롭게 발생하는 개인정보 침해 요인을 확인해 개선사항을 안내할 예정이다. KISA 김석환 원장은 “최근 코로나19로 인한 전자출입명부, 수기명부 작성, 확진환자 정보공개 등 정부의 방역정책과 함께 개인정보 보호에 대한 필요성이 지속적으로 제기되고 있다”며, “KISA는 안내문을 통해 국민의 개인정보 보호 수준을 강화하는 등 앞으로 개인정보 침해에 대한 국민 우려를 최소화하기 위해 최선의 노력을 다하겠다”라고 말했다. editor@itworld.co.kr

kisa 2020.10.14

에일리언 악성코드, 모바일 뱅킹 사용자에게 위협으로 등장

컴퓨터 사용자들은 10년 이상 온라인 뱅킹 자격 증명을 훔치고 그들의 계정으로 사기 행각을 벌이기 위해 고안된 악성 프로그램에게 괴롭힘을 당했다. 지난 수년 동안 모바일 뱅킹이 보급되면서 이런 프로그램들이 트렌드를 따라 컴퓨터에서 스마트폰으로 옮겨갔다. 가장 널리 사용되는 안드로이드 뱅킹 트로이목마는 지난 달 자체 개발자들에게 버림받았다. 하지만 에일리언(Alien)이라는 더욱 강력한 악성코드가 사이버 범죄자 생태계에 빈 자리를 빠르게 채우고 있다.  사이버 범죄 정보업체 TF(ThreatFabric)의 연구진은 최근 한 게시물에서 “새로운 안드로이드 뱅킹 트로이목마 바이러스의 수가 증가할 뿐 아니라 첨단 기능을 적용한 것들도 많다. 점차 많은 범죄자가 에일리언 악성코드를 통해 감염된 기기를 원격으로 제어해(RAT) 피해자의 기기에서 사기를 수행할 수 있는 역량을 갖추고 있다. 또한 피해자 주변의 정보를 더 많이 기록하고 훔치는 것에 대해 공격자들의 관심이 증가하고 있다. 이런 정보를 사용하거나, 이를 통해 수익을 얻는 방식은 다를 수 있지만 범죄자들은 머지않아 이런 정보의 가치를 알아낼 것이다”라고 밝혔다. 케르베로스(Cerberus)의 종말  2014년 이후로 여러 안드로이드 뱅킹 트로이목마 바이러스가 다양한 기간에 걸쳐 모바일 위협 영역을 지배했다. GM Bot부터 시작해 마르쉐(Marcher), 엑소봇(Exobot), 레드 얼럿(Red Alert), 아누비스(Anubis) 그리고 마지막으로 2019년에 등장해 급부상한 케르베로스(Cerberus)까지 이어졌다. 이런 트로이목마의 대부분은 개발자가 다른 사이버 범죄자들에게 자신의 트로이목마 및 인프라에 대한 액세스를 판매하고 임대하는 서비스형 악성코드 모델을 따랐다. 케르베로스는 성공적이었으며 다른 앱 위에 악성 화면 표시 기능(동적 오버레이), 키로깅(Keylogging), SMS 가로채기 및 전송, 착신 전환, 연락처 훔치기, 기기 및 앱 정보 수집, 앱 설치 및 제거, 화면 잠...

에일리언 Alien ThreatFabric 2020.10.12

How To : 윈도우 10에서 개인정보를 보호하는 방법

윈도우 10의 개인정보 문제가 걱정되는 사용자가 보호를 위해 수행할 수 있는 것들을 정리했다.     윈도우 10이 사용자로부터 너무 많은 개인정보를 수집한다는 우려가 있다. 마이크로소프트의 운영체제가 개인정보 보호 범위를 넘어섰다고 생각하거나, 아니면 개인 정보를 보호하길 원한다면 스스로가 취할 수 있는 방법이 있다. 단 몇 분만 투자하면 개인정보를 보호할 수 있는데, 방법은 다음과 같다.    참고로, 이번 기사는 윈도우 10 2020년 5월 업데이트인 버전 2004용으로 진행했다. 이전 버전의 윈도우 10을 갖고 있다면 몇 가지 다른 점이 있을 것이다.   광고 추적 해제하기  많은 사람의 개인정보 보호 문제의 가장 상단에는 웹을 탐색할 때 수집되는 데이터가 있다. 이 정보는 광고를 목적으로 하는 다양한 회사들에 의해 이용되는 개인의 관심사 프로필을 생성한다. 윈도우 10은 광고 ID를 사용해 이를 수행한다. ID는 웹을 탐색할 때뿐만 아니라 윈도우 10 앱을 사용할 때에도 사용자에 대한 정보를 수집한다.     원하는 경우, 사용자는 해당 광고 ID를 끌 수 있다. 윈도우 10 설정 앱을 실행하고(화면 왼쪽 하단에 있는 시작 버튼을 클릭한 다음, 기어 모양의 설정 아이콘을 클릭), 개인정보>일반으로 이동한다. 개인정보 옵션 변경 제목 아래에서 선택 목록이 표시된다. 첫 번째는 광고 ID를 제어한다. 슬라이더를 켬에서 끔로 이동한다. 여전히 광고가 게재되지만, 표적형 광고가 아닌 일반적인 광고가 되고, 관심사는 더 이상 추적되지 않는다.  윈도우 10을 사용할 때 사용자가 온라인에서 추적되지 않도록 하고 마이크로소프트가 사용자에 대한 정보를 사용해 표적 광고하는 것을 다른 방법으로 끄려면 마이크로소프트 개인정보 대시보드의 광고 설정 세션으로 이동한다. 페이지 상단에서 마이크로소프트 계정에 로그인한다.   그런 다음, 페이지 상단에 ‘관심있는 광고보기’...

윈도우 윈도우10 프라이버시 2020.09.29

토픽 브리핑 | 개인정보 유출 사고에 대응하는 기업과 사용자의 자세

2012년 6월, 10월 고객 약 4400만 명의 개인정보를 유출한 농협은행과 2013년 2월, 6월 고객 4,321만 명의 개인정보를 유출한 KB국민카드, 2013년 12월 1,759만 명의 개인정보를 유출한 롯데카드가 최근 1심 벌금형을 유지한 원심이 대법원에서 확정됐다.  1심에서 재판부는 농협은행과 KB국민카드는 각각 벌금 1,500만 원, 롯데카드는 벌금 1,000만 원을 선고했다. 이 사건들은 재판부가 "유출된 정보가 어느 정도로 확산되어 어떤 방식으로 악용될지 가늠하기 어렵고, 피해 회복이 사실상 불가능하다. 대한민국 경제활동 인구 대다수가 피해자라고 해도 과언이 아닌 이 사건으로 인해 금융시스템 안전에 대한 사회적 신뢰가 현저히 훼손됐고, 이를 회복하기 위해 지출해야 하는 유무형의 사회적 비용은 막대하다"라고 판단할만큼 파장이 컸다.  카드사 고객정보 유출사건, 문제는 허술한 문서 관리 체계 이 사건을 계기로 한국은 개인정보보호법을 강화했지만, 처벌 규정은 여전히 미비했다. 이후 2020년 데이터 3법(개인정보보호법·정보통신망법·신용정보법) 개정안이 시행되면서 벌금을 대폭 강화하고 개인정보 유출 시 형사 처벌까지 가능토록 규정했지만, 실효성에 대해서는 논란의 여지가 많다.  "산업활성화 법이냐, 개인정보 도둑법이냐" 데이터 3법 개정안의 주요 내용과 비판 사실 데이터 유출 사고는 카드 3사 고객정보 유출 사건 이전에도, 이후에도 많이 발생해왔으며, 전 세계적으로도 엄청난 양의 개인정보가 유출되고 있다. 금융, IT, 포털, 의료, 서비스, 공공 분야는 물론, 사이버보안 업체와 해킹 전문 업체, 심지어는 미국 인사관리처(OPM)마저 개인정보를 유출했다.   메리어트 데이터 침해 사건 FAQ, 사건의 전말과 영향 에퀴팩스 데이터 침해 사건 FAQ, 사건의 전말과 영향 인터파크 1,000만 고객 정보 유출 사건 분석..."완벽한 APT 공격 사례, 2차 피해로 확산될 듯" '범죄의 재구성', 타깃 데이...

데이터유출 개인정보유출 2020.09.25

“유튜브의 깜깜이 추천 알고리즘을 파헤친다” 모질라 리그렛리포터

모질라의 리그렛리포터(RegretReporter)는 유튜브의 추천 알고리즘을 파헤쳐 왜 원하지 않는 동영상을 제시하는지 파악하고자 하는 노력의 결과물이다.   일상적으로 유튜브에서 여러 동영상을 보다 보면, 갑자기 생각하지 못한 상황에 부딪힌다. 들어본 적도 없는 콘텐츠 제작자가 달 착륙은 가짜라는 이야기를 하려고 한다. 당황스러운 순간이다. 이런 경험이 있는 모든 사용자처럼, 모질라의 리그렛리포터는 어떻게 이런 일이 어떻게 일어났는지 알고자 한다. 파이어폭스와 크롬에서 이용할 수 있는 모질라의 새로운 플러그인 리그렛리포터는 2017년 엘사게이트 스캔들을 되짚어 본다. 어린이가 좋아하는 캐릭터를 엽기적이고 불쾌한 상황에 이용한 이런 동영상은 콘텐츠 제작자가 유튜브 추천 알고리즘의 허점을 노린 것이다. 유튜브는 이런 종류의 동영상이 수익을 내지 못하도록 하고, 유튜브 키즈 채널에는 나타나지 못하도록 했다고 밝혔다.  하지만 문제가 완전히 사라진 것은 아니다. 아무런 의도 없는 ‘과학’ 비디오 검색이 유튜브의 ‘깜깜이’ 추천 알고리즘 때문에 음모 이론의 수렁으로 이어질 수 있기 때문이다. 이런 경우, 사용자는 ‘신고하기’를 클릭해 해당 동영상을 유튜브에 신고할 수 있다. 하지만 그 이후에는 어떻게 되는가? 리그렛리포터는 본질적으로 사용자가 별도의 익명화된 불만을 제기할 수 있도록 해준다. 연구원은 사용자의 불만 신고를 유튜브가 왜 어떻게 이런 동영상을 보여주는지 분석하는 데 사용할 수 있다. 동작 방식은 간단하다. 사용자는 브라우저 확장 프로그램을 다운로드해 설치하면, 리그렛리포터는 백그라운드에서 조용히 감시하며 사용자가 얼마나 오랫동안 유튜브를 서핑하는지 드러나지 않게 추적한다. 사용자가 신고할 만한 동영상을 발견하면, 리그렛리포터는 해당 동영상의 URL을 기록하고 신고하는 이유를 묻는다. 이제 리그렛리포터는 사용자가 이전에 시청했던 동영상 목록을 사용자의 ID는 익명으로 유지한 채 제공해 동영상의 연쇄가 구글의 토끼굴로 서서히 이어...

모질라 RegretReporter 유튜브 2020.09.21

"적에게 무장 경찰을 출동시킨다" '스와팅'의 의미와 사례

스와팅(Swatting)이란 경찰을 속여 중무장한 경찰 병력(SWAT 팀인 경우가 많고 그래서 스와팅이라는 이름이 붙음)을 피해자의 집이나 회사로 출동시키는 일종의 괴롭힘이다.   미국 로스앤젤레스 경찰 당국(Los Angeles Police Department, LAPD)은 2020년 8월에 발생한 한 스와팅 공격에 대한 보도자료에서 “스와팅이라는 용어는 거짓 응급 전화를 걸어 대규모 경찰 대응을 촉발하는 행위를 가리킨다’고 정의했다. LAPD는 이어 "스와팅은 위험하고 지역사회와 응급 의료 체계에 해를 끼친다"라고 덧붙였다. 스와팅을 하는 사람은 무장 경찰이 사전 경고 없이 피해자의 집에 들이닥치게 함으로써 피해자에게 죽음에 대한 공포를 불러 일으키는 데서 재미를 느낀다. 경찰은 무장한 위험 인물을 상대하고 있다고 생각하므로 돌발적인 상황에 따라 재물 손상이나 부상, 사망이 발생하기도 한다. 스와팅 수법, 신상털기와 병행 스와팅은 기본적이면서 간단한 패턴을 따른다. 공격자가 피해자 지역의 관할 경찰서에 전화를 걸어 피해자의 집에서 흉악 범죄 또는 급박한 상황이 발생하거나 곧 발생할 것 같다고 신고한다. 많은 경우, 인질극 상황이라고 주장하면서 경찰 대응팀이 무력 충돌에 대비하도록 유도한다. 인질 가운데 한 명이 이미 살해되거나 곧 살해될 것 같다는 말도 자주 한다. 스와터(Swatters)은 경찰 공격을 유도하기 위해 사용하는 수법은 다양하다. 스와팅을 하려면 일단 피해자가 어디에 사는지를 알아야 한다. 따라서 스와팅은 집 주소와 같은 개인 정보를 알아내 동의 없이 공개하는 신상털기(doxing)와 병행되는 경우가 많다. 스와터는 보통 이 신상털기 작업부터 시작하는데, 신상유포자는 누군가 바통을 이어받아 스와팅을 해주기를 바라는 마음으로 개인정보를 공개적으로 게시하거나 판매한다. 스와터는 자신의 신분도 숨겨야 한다. 신고 전화에서 더 그럴듯하게 상황을 연출하고, 기만 행위가 드러난 후 추적을 피하기 위해서다. 스와터는 일반적으로...

스와팅 Swatting 신상털기 2020.09.09

암호화된 데이터에서 분석 정보와 통찰력 끌어내는 '동형암호'란 무엇인가

동형암호(Homomorphic encryption)를 사용하면 민감한 데이터에 대한 컴퓨팅 스토리지를 클라우드로 안전하게 아웃소싱할 수 있지만, 성능, 보호 및 유틸리티와의 상충 관계가 있다.    동형암호란 무엇인가  데이터의 기밀성을 보존하면서 대용량 데이터 셋을 사용해 계산을 수행해야 할 때 어떻게 하는가? 예를 들어 사용자 데이터에 대한 분석 정보를 수집하되 분석을 계산할 계산 엔진에 해당 내용을 노출하지는 않고자 한다. 또는 암호화된 문서 스토리지를 지원하는 클라우드 서비스 제공업체에서 사용자가 사전에 문서를 해독하지 않고 문서를 편집할 수 있도록 하려는 경우도 있다. 이런 경우, 동형암호를 사용할 수 있다. 동형암호는 먼저 데이터를 암호화된 형식으로 변환함으로써 데이터 저장과 계산을 클라우드 환경으로 '아웃소싱'하는 역량을 제공한다. 동형암호 기술에 대해 주목할 만한 부분은 암호화되지 않은 형식의 데이터를 사용할 때와 같은 방법으로 암호화된 데이터를 대상으로 원하는 작업과 계산을 수행함으로써 동일한 결과를 암호화된 형식으로 달성한다는 점이다. 이 분야의 '공식' 표준과 가이드, 개발 정보를 유지관리하는 업계 표준 컨소시엄인 동형암호 표준화(Homomorphic Encryption Standardization)에 따르면, “동형암호는 비밀 키에 대한 액세스를 요구하지 않으면서 암호화된 데이터를 대상으로 직접 계산을 수행할 수 있게 해준다는 면에서 기존 암호화 방법과 다르다. 이런 계산의 결과는 암호화된 형식으로 유지되며 나중에 비밀 키 소유자는 그 결과를 볼 수 있다.” 따라서 동일한 계산 분석 솔루션을 사용하더라도 어느 단계에서도 데이터의 기밀성이 훼손되지 않는다. 이와 같은 암호화 도구를 설계하고자 한 아이디어는 1970년대 후반 주로 실험적인 개념으로 제안됐다. 이후 2009년 크레이그 젠트리가 최초의 실용적인 개념을 고안하기까지 30년이 걸렸다. 동형암호의 차이점 HTTPS(SSL/TLS를 통해 가능해짐)...

동형암호 Homomorphic encryption 2020.09.04

"개인정보의 무기화" 신상털기의 의미와 이를 예방하는 방법

일반적으로 사람들은 집 주소, 사회보장번호, 그리고 더 많은 게시물들이 온라인에서 발견될 수 있는데, 이를 통해 누군가가 그들을 위협하고 모욕하거나 괴롭힌다. 이런 행위, 신상털기에 대해 알아야 할 것을 설명한다.      신상털기란 무엇인가  신상털기(Doxing 또는 Doxxing)이란 당사자의 동의 없이 특정 개인에 관한 정보를 노출하는 행위다. 이 단어는 익명성이 신성시되던 1990년대에 온라인 해커들의 세계에서 처음 등장했다. 대부분의 경우, 온라인 사용자의 현실 세계에서의 정체성은 그들의 커뮤니티와 경쟁자에게 알려지지 않았다. 누군가가 다른 사람에게 ‘문서 노출(drop docs)’을 결정했을 때, 그 시점까지 사용자명이나 가명으로만 알려져 있었던 사용자의 법적 성명이 드러나면 해커 간 불화는 더 커질 수 있다. ‘문서(docs)’는 ‘독스(dox)’가 됐고, 결국 ‘노출(drop)’이 떨어져 나가 그 자체가 동사가 됐다. 때때로 ‘x’를 하나 더 추가해 ‘독싱(doxxing)’이라고 쓰이기도 한다. 신상털기의 의미는 어떻게 변해갔는가 그 이후, 신상털기의 의미는 해커라는 한정된 세계를 넘어 확장되어 이제는 단순한 정체성 노출을 넘어 개인정보의 노출을 포괄하고 있다. 이 용어는 여전히 익명 또는 가명 인터넷 게시자의 가면을 벗기는 것을 묘사하는 데 쓰이지만, 우리 대부분이 실명을 단 소셜 미디어 계정에서 활동하는 시대에는 덜 중요해졌다. 신상털기의 정보는 목표대상의 집 주소, 고용주, 사회보장번호, 개인적 편지, 범죄 이력이나 다른 방법으로 당황하게 만드는 개인적인 세부사항들을 포함한다. 신상털기를 하는 사람들은 그들의 목표대상과의 갈등을 인터넷에서 현실세계로 옮길 수 있는 정보를 공개하는 것을 목표로 한다. 피해자를 위협하거나, 창피를 주거나, 실직하게 만들거나, 관계를 끊게 하거나, 대상을 직접 괴롭히거나 폭행하는 등 목표가 다양하다.  신상털기는 불법인가? 누군가가 자신의 집 주...

신상털기 Doxing Doxxing 2020.09.03

국가 검열에 저항하는 해킹 방법과 TLS 공격 시연…데프콘

중국 정부가 검열 도구인 만리방화벽(Great Firewall of China)를 업데이트해 최신 전송 계층 보안(Transport Layer Security, TLS) 버전으로 HTTPS 트래픽을 차단하고 나서면서 정보보안 업계의 관심은 온통 TLS 프로토콜에 쏠렸다. 게다가 '데프콘: 세이프 모드(DEF CON: Safe Mode)'에서 보안 연구진이 TLS를 사용하는 검열을 우회하는 방법을 제안하고 잠재적인 TLS 기반 공격을 시연하면서 관심도는 더욱 높아졌다.   TLS는 주로 웹 애플리케이션과 서버 간의 통신을 암호화하는 방법으로 인터넷 통신에서 개인정보보호와 데이터 보안을 실현하기 위해 광범위하게 사용되는 프로토콜이다. 최신 버전인 TLS 1.3은 2018년에 출시됐다. TLS는 더 보편적으로 알려진 HTTPS 기술의 기반이며, 초대하지 않은 서드파티로부터 통신을 숨기지만 통신을 하는 사용자의 ID 숨김은 보장하지 않는다. TLS 1.3에는 암호화된 서버 이름 표시(Encrypted Server Name Indication, ESNI)라는 기능이 도입됐다. ESNI가 적용되면 HTTPS 통신을 국가 주도의 검열을 하기가 어렵다. 8월 초, 아이유포트(iYouPort)와 매릴랜드 대학, 만리방화벽 리포트(Great Firewall Report), 3개 단체는 ESNI 확장을 사용한 TLS 연결을 차단하는 중국의 조치에 대한 공동 보고서를 발행했다.   이 단체들은 간단한 파이썬 프로그램을 사용해 만리방화벽이 클라이언트에서 서버로의 ESNI 연결을 차단하고 관련된 IP 주소를 일시적으로 금지한다는 사실을 발견했다. 3개 단체는 앱이나 소프트웨어 또는 서버에서 사용해 중국의 검열 차단을 무력화할 수 있는 여러 우회 기법을 발견했지만 그 효력은 일시적일 것으로 예상했다.   도메인 숨기기로 중국 검열 우회 사이버보안 솔루션 업체 식스젠(SixGen)의 CTO이자 대항 에뮬레이션 책임자인 에릭 헌스태드는 “도메인 프론팅은 죽었...

중국 TLS TLS 1.3 2020.08.25

2020년 지금까지 가장 큰 데이터 보호법 위반 벌금 사례

취약한 보안 사건과 은폐 또는 실수로 인해 발생한 해킹과 데이터 도난 등으로 기업들은 총 16억 3,000만 달러의 손실을 입었다.   2019년 데이터 침해에 대해 상당한 벌금이 부과되는 것은 각국의 규제당국이 소비자 데이터를 제대로 보호하지 못하는 기업에 대해 심각하게 생각한다는 것을 의미한다. 영국에서 영국항공(British Airways)은 2억 3,000만 달러의 사상 최고의 벌금을 냈으며, 매리어트는 1억 2,400만 달러의 벌금을 부과받았다. 미국에서는 에퀴팩스(Equifax)가 2017년 침해에 대해 최소 5억 5,500만 달러를 지불하기로 합의했다.    사고는 계속 발생했다. 우버(Uber)는 2016년 침해 사고를 제대로 처리하지 못해 1억 5,000만 달러의 손실이 발생했다. 엄격하게 규제되는 의료 데이터를 제대로 보안 조치를 취하지 못한 의료 기관도 큰 손실을 입게 됐고, 이로 인해 미국 보건복지부(US Department of Health and Human Services, DHS)는 점점 더 많은 벌금을 징수했다.  에퀴팩스: 최소 5억 7,500만 달러  2017년, 신용 기관인 에퀴팩스는 데이터베이스 가운데 하나에서 패치가 적용되지 않은 아파치 스트럿츠(Apache Struts) 프레임워크로 인해 거의 1억 5,000만 명의 개인 및 금융 정보를 잃어버렸다. 에퀴팩스는 패치가 발표된 지 수개월동안 이 심각한 취약점을 수정하지 못했으며, 침해 흔적을 발견한 후에도 수주동안 대중에게 침해 사실을 알리지 않았다.  2019년 7월, 에퀴팩스는 회사가 네트워크 안전 확보를 위해 합리적인 조치를 취하지 못한 이유로 미 연방거래위원회(Federal Trade Commission, FTC), 소비자금융보호국(Consumer Financial Protection Bureau, CFPB)과 미국 50개 주에 5억 7,500만 달러를 지불하기로 합의했다.    ...

데이터보호법 GDPR HIPAA 2020.08.21

대규모 트위터 해킹, 유명 인사와 CEO 계정 통해 비트코인 사기글 트윗

대규모 해킹으로 인해 트위터의 유명 인사와 기업의 보안이 침해를 입었다. 일론 머스크, 빌 게이츠, 버락 오바마 등의 트위터 계정이 비트코인 사기를 홍보하는 메시지를 게시했다. 또한 트위터 창업자 잭 도시의 계정이 엉뚱한 비트코인 관련 트윗을 게시하고 리트윗하면서 사람들이 계정으로 돈을 보내도록 부추겼다.  애플의 공식 트위터 계정도 트윗을 보냈다. 애플은 트위터 계정을 사용하지 않으며, 가끔 프로모션 트윗을 보낸다.   카니예 웨스트의 공식 계정은 개인 사용자가 자신에게 보낸 비트코인의 2배를 돌려받았다는 내용의 트윗을 게시했다. 트윗의 답글에는 돈을 보냈다고 주장하는 사람이 다수 있지만, 많은 사람이 동일한 스크린 샷을 사용하고 있어 누가 사기 행각을 벌이고 있는지 현실적으로 알 수 없었다.   어느 쪽이든, 이런 상황은 트위터가 대처하기 어려운 해킹이며, 특히 트위터의 CEO와 다른 고위층 인사의 계정이 해킹 당했다는 것은 당혹스러운 일이다. 이 검증된 계정들은 개인이나 회사를 대신해 트윗하는 것으로 신뢰할 수 밖에 없기 때문이다.     트위터는 정치인과 국회의원들이 신뢰하는 플랫폼으로 활용되고 있다. 이번 해킹은 트위터의 보안이 심각하게 위태롭다는 것을 증명한다.  트위터의 공식 지원 계정은 현재 ‘조사 중’이라고 밝혔지만, 트위터를 오프라인으로 전환하지는 않았다. 트위터는 이번 문제에 대한 성명서를 발표하는데 1시간 이상 걸려 비난을 받았다.  이후 트위터는 사기 발송을 막기 위해 확인된 계정의 트윗을 차단했다.  이번 사건은 트위터에서 가장 많이 팔로우하는 계정을 해킹해 트윗을 할 수 있다는 일종의 경고인 셈이다. 트위터는 특히 미국 대통령 선거 전에 주로 미국 계정에 영향을 미침으로써 신뢰에 큰 타격을 받을 것이다. 도널드 트럼프 미국 대통령의 계정은 도용되지 않은 것으로 보인다. editor@itworld.co.kr 

트위터 트위터해킹 2020.07.16

라자러스 그룹, 유명 인터넷 포럼 자료실 통해 악성 파일 유포…이스트시큐리티 발표

통합보안 업체 이스트시큐리티는 6월 22일 오전 한국의 특정 인터넷 포럼 자료실을 통해, 마치 유용한 프로그램처럼 위장한 악성 파일이 불특정 다수에게 무차별 유포되었다고 밝혔다. 해당 악성 파일이 포함된 게시물은 22일 오전 8시 49분경 등록되었고, 당일 기준 약 1,600여 명이 조회한 것으로 확인되었다. 악성 파일은 ‘시력 보호 프로그램’을 사칭하고 있으며, 23일 오전 기준 게시물은 삭제된 상태다.   이스트시큐리티 ESRC(시큐리티대응센터)는 공격자가 기존의 정상 프로그램을 임의로 변조해 파일 내부에 악성코드를 추가로 삽입했고, 설치 및 삭제 과정에서 악성코드가 은밀히 작동되도록 정교하게 기능을 추가한 것으로 분석했다. 만약 해당 자료실에 등록된 프로그램을 다운로드해 실행하면, 자신도 모르게 악성 프로그램에 감염돼 잠재적인 사이버 위협에 노출될 우려가 있다. 다만, 해당 악성코드가 윈도우 64비트 기반으로 제작되어 사용 환경에 따라 다소 차이가 발생할 수 있고, 변종에 따라 32비트도 감염될 수 있다. 이스트시큐리티는 이번 악성 파일을 심층 분석한 결과, 특정 정부가 배후로 지목된 일명 ‘라자러스(Lazarus)’ 그룹의 소행으로 조사됐다고 밝혔다. 이들은 미국 재무부로부터 제재 대상인 해킹 조직으로 미국에선 ‘히든 코브라’라는 이름으로도 통용되며, 최근까지 국내외에서 매우 활발한 사이버 위협 활동을 펼치고 있다. 라자러스 그룹은 한국에는 주로 비트코인 등 암호 화폐 거래 관계자를 표적으로 삼고 있고, 해외는 항공 및 군 관련 방위산업체 분야를 주요 공격대상으로 위협 활동을 펼치는 특징이 있다. 대표적으로 지난 4월 1일 ▲감염병관리지원단을 사칭해 ‘인천광역시 코로나바이러스 대응’이라는 이메일 제목으로 악성 HWP 파일을 첨부해 공격한 사례가 이번 악성 파일과 코드 유사도가 매우 높은 것으로 분석되었다. 또한, 이런 공격 수법은 2020년 상반기 동안 향상되고 있는 점이 주목된다. 그리고 ▲‘블록체인 소프트웨어 개발 계약서’, ...

라자러스 이스트시큐리티 2020.06.23

직원의 코로나19 건강 데이터에 대해 'CISO가 알아야 할 사항'

코로나19 팬데믹 위기에 다시 회사 문을 여는 기업은 누가 건강한지, 누가 아픈지, 누구를 격리해야 하는지 계속 추적해야 한다. 국제프라이버시전문가협회 (International Association of Privacy Professionals, IAPP)의 최근 조사 결과에 따르면, 고용주의 60%가 코로나19 진단을 받은 직원들의 기록을 유지하고 있다.     이 민감한 새 데이터세트는 기존의 많은 보안 통제가 대규모의 재택근무로 인해 흔들리는 상태에서 생성됐다. CISO는 이런 데이터세트와 관련된 위험들을 파악해야 하며, 수집해야 할 데이터와 그 방법을 결정하는 데 도움을 줘야 한다. 코로나19 데이터 수집 시 CISO의 역할 수집하는 데이터의 종류와 보고서는 모바일 앱과 웨어러블 기기로부터 적외선 온도계와 열화상 매핑 등을 매개체로 하는 접촉 추적 조사와 자가 보고 건강 질문지에 따라 다르다. 이런 정보는 별개 정보일 수도 있지만, 동시에 직원의 건강에 대해 더 완전한 정보를 제공할 수 있도록 통합된 정보가 될 수도 있다. 포레스터의 수석 애널리스트 엔자 이아노폴로는 기업은 코로나19 관련 데이터 수집 방법을 신중히 생각해야 한다고 강조했다. 이아노폴로는 "조직이 안전한 환경을 유지하는 정책이 없는 상태에서 별도로 데이터를 수집하면, 직원은 감시를 받는다는 생각을 갖게 되기 때문에 신뢰 관계가 깨지고 책임 문제가 대두될 것이다"라고 경고했다. 데이터를 수집하기 전, CISO는 가장 순화된 방법으로 가능한 한 적은 정보를 수집하고, 데이터를 잃어버렸을 때 조직의 책임을 줄여야 한다고 주장해야 한다. 법률 업체인 오스본 클라크(Osborne Clarke)에서 디지털 헬스 팀을 책임지고 있는 마커스 바스 파트너는 “필요없는 데이터를 수집하고 싶은 욕심이 들 때가 있을 것이다. CISO가 사람의 마음을 집중시키는 간단한 방법은 데이터를 수집하면서 ‘만약 침해 사고가 발생하면 얼마나 큰 문제가 될까?’라는 질문을 하는 것이다”라고 설명...

코로나19 건강데이터 CISO 2020.06.16

'프리텍스팅'의 정의와 사례, 그리고 방지하는 방법

프리텍스팅(Pretexting)은 소셜 엔지니어링 공격의 일종으로, 공격자가 피해자를 '설득'해 값진 정보나 서비스, 시스템에 대한 액세스 권한을 넘겨주도록 유도하는 공격 방법이다.    이 공격의 특징은 피해자를 속이기 위해 스토리, 다시 말해 프리텍스트(Pretext, 구실)를 사용하는 것이다. 이런 공격을 하는 사기꾼은 프리텍스트를 이용, 목표로 하는 정보에 액세스할 권한이 있는 사람이나 정보를 이용해 피해자를 도울 수 있는 사람으로 위장한다. 프리텍스팅의 정의와 기법 프리텍스팅은 역사가 꽤 길다. 블래깅(blagging)이라는 명칭으로도 부르는 이 행위는 영국에서는 타블로이드 신문 기자가 오래 전부터 연예인과 정치인의 가십을 얻기 위해 사용했던 방법이다. 그러나 요즘은 사기꾼이 개인이나 기업의 금융 계좌 정보나 사적인 데이터를 얻기 위해 사용하는 사례가 아주 많다. 프리텍스팅 공격자는 이메일과 문자, 음성 전화 통화 등 모든 종류의 통신 수단을 사용할 수 있다. 보안 엔지니어인 가빈 왓슨은 '소셜 엔지니어링 칩입 테스팅(Social Engineering Penetration Testing)'에서 프리텍스팅의 토대가 되는 기법에 대해 설명했다. 왓슨은 "가장 중요한 부분은 피해자를 끌어들이기 위해 사용하는 프리텍스트, 즉 시나리오를 만드는 것이다. 프리텍스트는 공격을 위한 무대, 캐릭터, 플롯을 만드는 역할을 한다. 목적을 달성하기 위해 이용하는 다른 많은 기법의 토대가 된다"라고 말했다. 프리텍스트는 2가지 주요 요소로 구성된다. 사기꾼이 연기하는 인물과 해당 인물이 추구하는 정보를 가질 권리가 있거나, 이 정보가 필요하다는 것을 설득시킬 그럴듯한 상황이다.  예를 들어, 우리는 자동 결제 시스템에 간혹 오류가 발생할 수도 있다는 점을 알고 있다. 신용카드나 은행 계좌에서 매달 자동 결제가 되도록 설정을 해 놓았다. 그런데 결제를 받아야 하는 회사에서 연락이 와서, 알 수 없는 이유로 결제가 되지 않아 연락을 했다고...

프리텍스팅 프리텍스트 소셜엔지니어링 2020.06.11

How To : 웹 사이트 광고 추적을 막는 방법

브라우저 확장 프로그램이나 새 브라우저에서 개인정보 설정을 조정해 사용자가 보는 정보를 웹사이트가 추적하지 못하도록 차단해보자.   광고는 인터넷의 필요악이다. 대부분의 사이트에서 무료 콘텐츠를 제공할 수 있는 것은 제품 광고를 통해 수익이 발생하기 때문이다. 하지만 사용자가 한 사이트에서 무언가를 검색한 후, 온라인에 접속할 때마다 이에 대한 광고만 뜨면 오히려 반감만 갖게 된다.   이런 추적 기술은 제품을 구매하길 바라는 사이트와 광고업체의 의해 적용된 것이다. 하지만 추적 기술을 막을 수 있는 방법이 있는데, 이를 이용해 검색 기능을 비공개로 유지하기 위한 설정과 앱을 소개한다.   구글 앱에서 개인화된 광고 사용하지 않기  구글이 전 세계 검색 결과의 주요 원천인 상황에서 광고가 그 뒤를 따르는 것은 지극히 당연한 일이다. 다행히도 구글은 적어도 추적 기능을 끌 수 있는 방법을 제공한다. PC에서 크롬을 열고 오른쪽 상단에서 세 개의 점을 클릭해 계정을 선택하고, 설정에서 ‘Google 계정 관리’를 선택하면 ‘Google 계정’으로 이동한다.      스마트폰과 태블릿에서는 구글 페이지를 열고(또는 먼저 앱 스토어를 설치) 오른쪽 상단 모서리에 있는 프로필 아이콘을 누르고 ‘Google 계정 관리’를 선택한다.  PC나 스마트폰에서 ‘데이터 및 맞춤 설정 관리’를 선택한 다음, ‘광고 개인 최적화’가 해제되어 있는지 확인한다. ‘광고 개인 최적화’가 ‘사용’으로 되어 있다면 ‘광고 설정으로 이동’을 눌러 ‘광고 개인 최적화 사용 안함’의 스위치를 켠다.   이 작업을 수행하면 구글 계정에 로그인한 모든 기기에서 구글의 광고 추적 기능 사용이 중단된다. 물론 사용자의 온라인 활동을 추적하는 것은 이것만이 아니다.  서드파티 쿠키를 차단하는 방법  인터넷 광고업체가 웹에서 사용자를 추적하는 방법 가운데 하나는 사용자 기기에 ...

웹사이트 광고 추적 2020.05.21

코로나19 접촉자 추적 앱을 둘러싼 4가지 중요한 문제

각국에서 접촉자 추적 앱(contact-tracing apps)을 출시하기 위해 서두르는 상황에 전문가들은 보안과 개인정보보호 기능이 부족하다고 우려하고 있다.      전 세계 연구진, 정부, IT 업체는 코로나바이러스 감염을 추적하는 모바일 앱을 만들기 위해 경쟁하고 있다. 이로 인해 수십 개의 접촉자 추적 앱이 전 세계에서 개발 중이거나 논의 중에 있다.  접촉자 추적 앱은 일반적으로 중앙 집중형 또는 분산형 방식을 따르는데, 앱에 대한 정부의 제어 수준과 휴대폰에 구현된 다양한 종류의 기술이 접목된다.  분산형 앱은 현재 미국에서 구글과 애플 API('개플(Gapple)'이라고도 함)를 공동 개발 중인데, 이를 통해 보건당국에서 자체 앱을 개발할 수 있다. 또 다른 분산형의 주요 모델은 독일, 오스트리아, 스위스, 리투아니아, 에스토니아, 핀란드, 아일랜드를 포함한 유럽 국가가 개발하고 있는 DP-3T(Decentralized Privacy-Proserving Proximity Tracing) 프로토콜이다.  중앙 집중형 앱은 영국 NHS(National Health Services) 기술 그룹인 NHSX가 개발한 접촉자 추적 앱으로 가장 잘 설명할 수 있다(최근 보고서에 따르면, 영국은 애플-구글 모델 사용을 고려하고 있다).  호주의 코비드세이프(COVIDSafe) 앱은 싱가포르에서도 비슷한 방식으로 모델링됐다. 2월부터 자국민에게 위치 및 건강 상태 추적 앱을 사용하도록 의무화한 중국은 중앙 집중형 앱 사용의 대표적인 사례다.  또 다른 중앙 집중형 사례는 이스라엘이 테러리스트 추적용으로 만들어진 주 정보국의 전화 추적 기술을 사용해 코로나19로 진단된 이스라엘 국민들을 추적한 것이다.  일반적으로 앱의 개발과 제어를 중앙 정부의 손에 맡기는 중앙 집중형 접근 방식은 분산 방식보다 개인정보보호와 보안 관점에서 낮은 점수를 받지만, 본질적으로 2개의 접근 방...

코로나19 contact-tracing apps 접촉자추적앱 2020.05.18

KISA-네이버, 중소상공인 개인정보 보호 위해 협력

한국인터넷진흥원(이하 KISA)과 네이버는 중소상공인의 개인정보 보호역량 강화 및 개인정보 보호 실천문화 조성 등을 위한 업무협약을 체결했다고 밝혔다. 최근 사업자의 개인정보 보호수준과 보호조치 기준 등 관련 법제도는 강화되고 있지만, 개인정보 보호에 취약한 중소상공인의 경우 인식이나 교육기회 부족 등으로 인해 개인정보침해 및 오남용 등의 사례가 빈번히 발생하고 있다. 이에 양 기관은 ▲중소상공인 대상 개인정보 보호역량 강화를 위한 맞춤형 교육 지원 ▲개인정보 보호 분야 콘텐츠 및 전문인력 활용 지원 ▲개인정보 보호 실천문화 조성을 위한 정보공유 및 상호협력 등을 이어가기로 했다. 특히, KISA가 보유한 개인정보 보호 교육 콘텐츠 및 전문인력과 네이버 파트너스퀘어의 사업자 지원 네트워크 등 각자의 전문성을 살려 중소상공인의 역량 강화를 비롯한 개인정보 보호 사각지대 해소를 위해 지속적으로 협력해나갈 예정이다.  이번 협약을 통해 네이버 파트너스퀘어를 중심으로 네이버 쇼핑, 스마트스토어 등에 입점한 중소상공인이 개인정보를 보호하고 안전하게 관리하는데 큰 도움이 될 것으로 예상된다. 2013년에 개소한 네이버 파트너스퀘어는 중소상공인 비즈니스를 위한 제품 홍보·기획 마케팅, 온라인 창업·경영 교육 등을 지원하는 공간으로, 현재 서울(역삼·종로·홍대·상수), 부산, 광주 등 총 6개 지역에서 운영 중이다.  또한, 코로나19 장기화로 사회 전반에 교육 기회가 감소하는 상황 속에 양 기관은 6월 중 중소상공인을 대상으로 온라인 라이브 개인정보 보호 교육을 진행하기로 했으며, ‘온라인 개인정보보호 포털’에서 제공하던 교육 콘텐츠를 ‘네이버 프라이버시 TV’ 채널을 통해서도 제공해 보다 많은 이용자가 개인정보 보호 교육을 손쉽게 받을 수 있도록 지원할 계획이다. KISA 권현준 개인정보보호본부장은 “이 외에도 전국 8개 권역에 있는 지역정보보호지원센터를 통해 홈페이지 취약점 점검, 현장방문 컨설팅, 정보보호 전문 교육 등 맞춤형 서비스...

네이버 kisa 2020.05.08

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.