Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
TOPIC

���������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������

비발디, 추적 방지 브라우저 대열에 합류

한때 웹 브라우저는 속도와 전반적인 성능을 놓고 경쟁을 펼쳤지만, 이제는 개인정보보호가 새로운 경쟁 기준이 됐다. 틈새 브라우저인 비발디(Vivaldi)는 이제 사용자가 온라인 추적을 잘 제어할 수 있도록 하는 주류 대열에 합류했다.   브라우저 제조업체인 비발디 테크놀로지(Vivaldi Technologies)는 최근 통합 광고 차단과 추적 방지 기능을 포함한 비발디 애플리케이션 버전 3.0을 출시했다.   지난 22일 발표된 새 버전에서는 기본적으로 2개의 도구가 비활성화됐다. 비발디 공동 창업자이자 CEO 욘 폰 테츠너는 “우리는 많은 사용자가 방문하려는 사이트가 수익을 창출하는 것을 막지 않기를 원한다고 생각한다. 이 때문에 기본적으로 광고 차단기(ad blocker)를 활성화하지 못하고 있다”고 밝혔다.   크롬과 마이크로소프트 엣지의 기반이 된 구글 주도의 오픈소스 프로젝트인 크로미움(Chromium)을 기반으로 하는 비발디는 모질라의 파이어폭스(Firefox)와 애플의 사파리(Safari)를 포함한 다른 경쟁 브라우저의 뒤를 이어 개인정보보호를 강조하고 기업과 광고주가 사용자가 웹에서 어디로 가는지 추적할 수 있는 추적 비트를 막았다. 차단, 브라우저의 새로운 기준 한때 브라우저 시장은 속도로 경쟁하다가 이후 전반적인 성능으로 경쟁해왔다. 현재는 사용자의 개인정보보호에 대한 우려를 경쟁 기준으로 한다.   비발디는 모질라와 마찬가지로 추적 방지(anti-tracking)의 토대를 마련하기 위해 검색엔진으로 더 잘 알려진 덕덕고(DuckDuckGo)로 전향했다. 덕덕고의 추적 데이터 기술은 자체 오픈소스 데이터 세트를 기반으로 하는 비발디의 추적 리스트를 생성하는 데 사용됐다. 추적 방지와 광고 차단은 윈도우 기본 설정에서 ‘개인 정보’ 창에 차단 없음, 추적기 차단 또는 광고 및 추적기 차단 중 하나를 선택해 제어할 수 있다. 개별 웹 사이트를 허용 목록에 추가할 수도 있다. 주소 표시줄에서 방패 형태의...

브라우저 비발디 Vivaldi 2020.04.27

줌 비디오 커뮤니케이션즈, 줌 5.0 공개

줌 비디오 커뮤니케이션즈(이하 줌)가 비디오 퍼스트(video-first) 통합 커뮤니케이션 플랫폼 ‘줌 5.0(Zoom 5.0)’과 함께 강력한 보안 개선사항을 발표했다.  줌 5.0은 줌 플랫폼의 보안과 개인정보 보호 기능을 적극적으로 규명, 해결, 개선한다는 90일 계획에 있어 중대한 이정표라고 업체 측은 설명했다. 줌은 AES 256비트 GCM 암호화에 대한 지원을 추가해 한층 향상된 회의 데이터 보호 및 탬퍼링(tampering, 무단 변경) 저항성을 제공한다. 줌의 에릭 유안 CEO는 “줌은 사용자에게 긍정적인 경험을 제공하며 비즈니스를 개발해왔다”며, “가장 안전한 플랫폼을 제공하겠다는 확고한 집념으로 사용자의 신뢰를 얻고 만족스러운 경험을 제공해 나가겠다”고 말했다. 줌 오데드 갈 CPO는 “줌은 사용자의 개인정보와 줌 플랫폼의 보안을 총체적 관점으로 접근하고 있다”며, “네트워크, 기능 세트부터 사용자 경험에 이르기까지 모든 부분에 걸쳐 철저히 검토하고 있고, 백엔드에는 AES 256비트 GCM 암호화를 적용해 전송 중인 사용자 데이터 보안 수준을 끌어올릴 예정”이라고 설명했다. 줌은 전송 중인 회의 데이터를 더욱 안전하게 보호하고 탬퍼링 저항성을 제공하는 ‘AES 256비트GCM 암호화 표준’으로 업그레이드 중이다. 이를 통해 줌 미팅(Zoom Meeting), 줌 비디오 웨비나(Zoom Video Webinar), 그리고 줌 폰(Zoom Phone) 데이터에 대한 기밀성과 무결성을 보장한다. 일주일 내 출시 예정인 ‘줌 5.0’이 GCM 암호화를 지원하며, 모든 계정에서 GCM이 활성화 되면 작동하게 된다. 시스템 전체 계정 활성화는 5월 30일 이루어질 예정이다. 계정 관리자는 계정 사용자가 주최하는 회의나 웨비나가 어느 지역의 데이터센터를 사용할지 선택해 실시간 트래픽을 제어할 수 있다. 이는 계정, 그룹 또는 사용자 수준에 따라 다르게 적용된다. 이전에는 회의 메뉴에서 이용할 수 있던 보안 기능들이 하나의 ...

줌 비디오 커뮤니케이션즈 2020.04.23

How To : 스마트폰 해킹 여부 확인과 대처 방법

스마트폰을 해킹하는 이유는 여러 가지인데, 개인적인 이유부터 소송, 비즈니스 정보를 염탐하는 것까지 다양하다. 최근에는 염탐 행위를 그 어느 때보다 쉽게 할 수 있는 수많은 모바일 프로그램이 있다. 그렇다면 해킹의 징후는 어떻게 발견할 수 있을까?   해킹 징후를 발견하는 방법 스마트폰이 감시, 혹은 염탐되거나 도청되고 있다는 증거는 놀랍지 않게 잘 숨겨져 있다. 스파이웨어의 발전에도 불구하고, 스마트폰에 바이러스의 존재나 해킹의 증거를 진단하는데 도움이 되는 징후는 여전히 있다. - 배터리 수명의 급격한 감소 스마트폰을 탭하면 선택한 활동을 기록해 서드파티에게 전송한다. 게다가 대기모드에서도 주변의 대화를 도청하는 기기로 사용할 수 있다. 이런 프로세스로 인해 전력 소비가 증가하고 스마트폰의 배터리가 평소보다 현격히 소모된다. 가능하면 동일한 혹은 더 나은 스마트폰 모델과 비교하고, 배터리 탈착이 가능하다면 동일 모델/유형의 다른 배터리를 장착한 후 배터리 수명에 어떤 차이가 있는지를 확인한다. 눈에 띄는 차이를 발견하면, 기기에 결함이 있거나 도청 중일 가능성이 있다. - 배터리 발열량 증가 스마트폰 사용량이 많지 않거나 햇빛에 두지 않았음에도 불구하고 스마트폰이 따뜻하다면, 알지 못하는 사이에 백그라운드 프로세스나 데이터 전송이 발생한다는 징후일 수 있다. 현저한 배터리 발열이 있다면 의심해봐야 한다.   - 입력 없는 활동 통화, 알림 수신, 설정해둔 알람을 제외하면, 사용 중이 아닌 스마트폰은 완전히 조용해야 한다. 스마트폰에서 예기치 않은 소음이 나거나, 화면이 갑자기 켜지거나, 혹은 아무 이유 없이 재시작 하면 누군가 원격으로 휴대폰을 제어하는 것일 수 있다. - 비정상적인 문자 메시지 스파이웨어는 암호화된 문자 메시지를 스마트폰에 몰래 보낼 수 있다. 이런 프로그램이 제작자의 의도대로 작동하지 않으면, 이 메시지를 발견할 가능성이 있다. 이런 메시지에는 숫자, 기호, 문자의 무의미한 조합이 포함될 가능성이 높다. ...

스마트폰 해킹 2020.04.23

일부 무료 VPN 앱, VPN을 전혀 사용하지 않는 것보다 더 나쁜 이유

구글 플레이스토어에서 VPN 앱을 선택할 때 인기도와 사용자 등급을 보고 선택하는 것은 매우 잘못된 생각일 수 있다. VPN 앱은 사용자에게 온라인에서 개인정보보호 및 보안을 제공해야 한다. 이는 VPN 기술의 근본적인 목적이다. 대부분의 사람이 보안 전문가가 아니기 때문에 개인정보보호 여부를 판단하기는 매우 어렵다. 그래서 서비스 소유권을 숨기지 않는 평판이 좋은 제공업체의 VPN을 사용하는 것이 중요하다. 결국 사용자는 평판과 리뷰를 보고 자신의 인터넷 활동을 비공개로 유지하고 감시할 수 없게 하는 VPN 서비스를 신뢰하는 것이다. 최근 VPN프로(VPNpro)는 구글 플레이 스토어에서 최고의 무료 VPN 앱 가운데 일부를 조사한 결과, 사용자가 어떤 웹사이트를 탐색하고 있는지 모든 사람이 볼 수 있고, 사용자의 안드로이드 기기에서 사용자 이름과 비밀번호를 포함해 VPN 제공업체 서버로 전송되는 다른 모든 데이터를 볼 수 있는 끔찍한 취약점을 발견했다. 잘못 코딩된 코드가 어떤 경우에는 민감한 데이터를 전혀 암호화하지 않았기 때문이다. 다른 사용자가 앱 내에 저장된 하드코딩된 암호화 키를 사용했는데, 이는 이 사용자가 무엇을 하는 지 아는 사람이라면 누구나 해당 키를 사용해 데이터를 해독하고 이를 볼 수 있다는 것을 의미한다.   이런 앱 가운데 일부는 구글 플레이에서 계속 사용할 수 있는데, 다음과 같은 앱이 포함되어 있다.   탭VPN(TapVPN) 베스트 얼티메이트 VPN(Best Ultimate VPN) 코리아 VPN(Korea VPN) VPN 언블록커(VPN Unblocker Free unlimited Best Anonymous Secure)   슈퍼 VPN 2019 USA(VPN Unblocker Free unlimited Best Anonymous Secure) 설치 횟수와 관련해 구글이 최악의 가해자를 스토어에서 제거했음을 지적할 가치가 있다. 예를 들어, 슈퍼VPN의 다운로드 횟수는 1억...

VPN 무료VPN 2020.04.09

구글, 직원들에게 보안상 이유로 줌의 데스크톱 클라이언트 사용 금지

구글이 보안 문제를 이유로 직원의 노트북에서 줌(Zoom)의 데스크톱 클라이언트 사용을 차단했다. 지난 주, 구글은 줌 앱에 보안 취약점이 있다며 직원의 업무용 컴퓨터에서 줌 사용을 중단할 것이라는 내용의 회사 차원의 이메일이 발송한 것으로 알려졌다. 구글 대변인 호세 카스타네다는 한 언론과의 인터뷰에서 다음과 같이 말했다. “우리는 회사 네트워크 외부에서의 업무에 승인되지 않은 앱을 사용하지 못하도록 하는 정책을 오래 전부터 유지해 왔다. 최근 보안 팀은 줌 데스크톱 클라이언트를 사용하는 직원에게 줌 앱이 우리의 보안 기준에 맞지 않기 때문에 회사 컴퓨터에서 더 이상 실행되지 않을 것이라고 통보했다. 줌을 사용해 가족과 친구와 연락하며 지내온 직원은 웹 브라우저나 모바일을 통해서는 계속 연락할 수 있다.” 전 세계적으로 코로나 바이러스가 유행하기 시작한 이래로, 기업 중심의 화상회의 앱인 줌의 사용이 급증하고 있는데, 집에 갇혀 있는 근로자가 업무를 볼 때나 가족이나 친구와 연락할 때에도 사용하고 있다.   붐의 사용량 급증과 함께 보안 문제가 대두되자, 줌 CEO 에릭 위안은 지역 사회와 개인정보보호 및 보안 기대치에 미치지 못했음을 인정하는 사과를 전했다. 에릭 위안은 “이 점에 대해 깊이 반성한다”고 말했다. 이 사과 발언은 줌 앱이 페이스북에 데이터를 공유하고 있다는 걸 증명한 마더보드(Motherboard)의 기사를 포함해 여러 기사가 보도된 직후에 나왔다.    엘론 머스크의 스페이스X도 이미 줌을 금지했다. 이렇게 기업에서의 줌 사용 금지가 줄을 잇고 있지만, 이는 반대로 지난 몇주 동안 줌의 성공 사례로 여겨질 수도 있다. 줌이 이미 누구나 다 아는 이름이 됐기 때문이다. editor@itworld.co.kr

페이스북 프라이버시 2020.04.09

코로나바이러스 시대의 감시/생체인식 시스템에 따르는 실무 및 프라이버시 문제

코로나바이러스가 전 세계를 덮치면서 아직 위기의 초기임에도 불구하고 새로운 여러 감시 방법이 프라이버시와 보안 측면에서 새로운 문제를 일으키고 있다. 잠재적인 문제 중에서도 가장 두드러진 문제는 미국 정부가 질병 확산을 모니터링하는 과정에서 지리위치 데이터를 사용해 수백만 미국인의 휴대전화를 추적하고 있다는 것이다.   미 백악관은 이미 알파벳, 아마존, 페이스북을 포함한 실리콘 밸리의 주요 기업을 불러들여 표면적으로는 프라이버시를 침해하지 않는 방식으로 사용자들을 추적하기 위해 지리위치 데이터, 공공 미디어 스크랩과 기타 기술을 사용하는 방법에 관한 의견을 들었다. 유럽 전역의 통신업체는 정부 기관과 데이터를 공유하고 있으며, 이스라엘 첩보 기관은 원래 대테러용으로 개발된 전화 추적 기술을 사용해 코로나바이러스에 대응하고 있다. 외면받는 터치 기반의 생체 인식 생체 인식(Biometric)과 안면 인식(facial recognition) 기술 역시 빠르게 도입되고 있으며, 질병 확산에 대응하기 위한 새로운 방법으로 두 가지가 혼합되기도 한다. 비접촉 방식의 신원 확인(identity verification)이 부상하는 이유 중 하나는 시설 접근을 통제하는 데 사용되는 지문이나 손 스캐너가 잠재적인 질병 확산 경로라는 데 있다. 뉴욕의 공무직 근로자들은 체크인 시 손 스캐너 사용을 꺼리고 있다. 뉴욕 경찰은 키패드 표면을 통해 코로나바이러스가 감염될 수 있다고 판단하고 건물 진입 시 지문 인식을 사용하는 보안 절차를 중단했다. 콘도 연합(condo associations)에서도 건물 진입에 사용되는 생체 인식 기반 시스템을 폐기하고 있다. 신 기술과 기존 기술을 결합한 생체 인식의 부상 코로나바이러스 위기를 맞아 생체 인식 기술이 어떻게 발전하고 있는지 보여주는 몇 가지 예를 들면 다음과 같다.   중국에서는 버스 운전자의 시트 뒤에 장착된 태블릿이 승객의 체온을 기록하고 얼굴 사진을 찍는다. 승객이 코로나바이러스 양성 판정을 ...

biometric 생체인식 코로나 2020.04.08

통신3사, 본인인증 앱 ‘패스’ 기반 휴대폰 번호 로그인 서비스 출시

SK텔레콤(www.sktelecom.com), KT(www.kt.com), LG유플러스(www.uplus.co.kr)는 본인인증 앱 ‘패스(PASS)’ 기반의 휴대폰 번호 로그인 서비스를 출시한다고 밝혔다. 통신 3사 공동 본인인증 브랜드인 ‘패스’는 개인정보를 매번 입력해야 하는 본인인증 절차를 간소화하고, 높은 보안수준을 확보해 고객들이 안전하게 본인인증을 할 수 있는 스마트폰 앱 기반의 서비스다. 통신3사는 이번 패스 휴대폰 번호 로그인 서비스 출시를 통해 고객 편의를 강화하는 한편, 다양한 사업군과의 제휴를 통해 서비스 생태계를 확대한다는 방침이다. 패스 휴대폰번호 로그인 서비스를 적용하기 원하는 회사와 단체는 개발자 센터 홈페이지(developers.passlogin.com)에 공개된 API를 자사의 애플리케이션과 연동하거나 통신 3사와의 제휴를 통해 이용할 수 있다. 본인 명의의 스마트폰을 사용하는 고객들은 앞으로 패스와 제휴한 서비스를 이용할 때 별도의 ID와 비밀번호 입력 없이도 편리하게 사용할 수 있다. 서비스 화면에서 휴대폰 번호 로그인을 선택하면 ‘패스’ 앱이 자동으로 실행되며, 생체인증(지문·홍채) 또는 여섯 자리의 핀(PIN)번호 인증 중 한 가지를 골라 간편하게 접속할 수 있다. 패스 휴대폰 번호 로그인 서비스는 구글, 페이스북, 네이버 등 소셜미디어 계정을 활용한 간편 로그인처럼 편리하며, 다중의 보안 시스템을 갖춰 사용자가 로그인할 때마다 명의인증과 기기인증을 수행하기 때문에 소셜미디어 로그인보다 보안성이 뛰어나다. 통신3사는 핀테크 보안 기업 아톤과의 협업을 통해 휴대폰 번호 로그인 서비스를 구축했으며, 고객 스마트폰의 안전 영역에 정보를 저장하는 등 국내에서 가장 높은 수준의 모바일 보안 솔루션을 제공하고 있다. 또한 패스 제휴업체들은 휴대폰 로그인 서비스를 통해 축적된 데이터를 기반으로 고객 서비스를 강화할 수 있다. 각 제휴업체는 고객에게 첫 1회 본인인증과 정보제공 동의를 받고, 이후 고객이 휴대폰 번호로...

Kt SK텔레콤 LG유플러스 2020.03.25

디지털 ID의 4가지 핵심 문제점과 새로운 접근법이 필요한 이유

현재 디지털 아이덴티티(IDentity, 이하 ID)는 누군가의 리소스 액세스 권한을 승인하고 인증하는 방법 이상의 역할을 하고 있다. 신원 및 액세스 관리(Identity and Access Management, IAM)는 더 전체적인 모델, 일반 사용자 주도형 모델로 발전했다. 이를 견인한 것은 프라이버시와 사이버보안에 대한 압력, 더 많은 기능에 대한 필요성이다. 소비자 IAM 시스템이 제공해야 하는 서비스는 디지털 ID의 정의와 어떤 기능을 수행해야 하는지에 대한 새로운 사고방식을 요구한다.   기업과 기관, ID 관련 업계는 포인트 솔루션 사고방식에서 벗어날 필요가 있다. 디지털 ID는 이제 지속적이면서 동적으로 개인, 관련된 엔티티(실체)를 대표할 수 있어야 한다. 이렇게 하면 온보딩(onboarding)과 신뢰 수준(Confidence Level, 보증)을 배치하는 것이 더 쉬워지고, 보안과 제어가 강화되는 이점이 있다. ID가 디지털 라이프가 될 때의 디지털 ID란 무엇인가? 그냥 말 장난에 불과할까? 아니면 기술적으로 달성가능하고 필요한 것일까? 이번 기사에서는 필자가 오랜 시간 ID 서비스를 고안하면서 터득한 교훈과 디지털 ID가 단순히 누군가의 리소스 액세스 권한을 승인과 인증하는 방법 이상이라고 생각하는 이유를 설명한다. 디지털 라이프 구축하기 필자는 아주 실용적인 사람이다. 무언가 필요하다고 강력히 주장을 할 경우, 이를 뒷받침할 실제적인 애플리케이션(특정 용도)이 존재한다. 즉, ‘디지털 ID’가 아닌 ‘디지털 라이프’라는 말을 사용한 것은, 두 가지 개념이 모두 존재하고 각각의 달성 방법에 대한 관점이 존재한다는 의미다. 먼저, ‘디지털 라이프를 위한 구현’이 무슨 의미일까? 라이프, 즉 인생은 변화에 관한 것이다. 태어나서, 부모로부터 독립한다. 그리고 결혼을 하거나, 인생의 파트너를 찾는다. 아이를 갖게 되며, 이 아이들이 이런 과정을 반복한다. 때론 건강이 크게 나빠질 수도 있다. 나이가 들고, 삶을 마감한다....

인증 보증 신원 2020.03.24

글로벌 칼럼 | 기업에서는 하드웨어 이중인증이 최선인가

피싱(Phishing)과 크리덴셜 스터핑(credential stuffing) 공격은 대기업에 있어 중대한 위협이지만 이중 인증(two-factor authentication, 2FA), 특히 하드웨어 2FA는 이런 공격을 크게 완화하는데 놀랍도록 효과적이다.   보유한 자원의 수준이 보통 이하이며 피싱에 성공해 직원의 계정 자격 증명을 훔친 공격자는 해당 직원이 하드웨어 2FA를 등록한 경우 절대로 빨리 움직일 수 없다. 인증 시 하드웨어 2FA 토큰을 물리적으로 보유하고 있어야 한다.  마찬가지로 공격자가 크리덴셜 스터핑 공격을 시도하면서 비밀번호를 재사용하는 경우, 하드웨어 2FA 토큰이 인터넷의 엄청난 백그라운드 공격 노이즈를 피하는데 매우 유용할 것이다. 또한 하드웨어 2FA는 소프트웨어 2FA(직원의 스마트폰에 있는 인증 앱 등)보다 훨씬 안전한 것으로 여겨지고 있으며 스마트폰 분실 또는 도난 시 더욱 저렴한 비용으로 교체할 수 있음은 말할 것도 없다. 인증 앱은 더 이상 효과가 없는가  공격자들은 이미 소프트웨어 기반 2FA를 우회하는 방법을 찾고 있다. 악성코드 연구원 클라우디오 가니에리는 최근 “지난해에 @AmnestyTech Security Lab이 대응하고 조사한 피싱 캠페인을 보면 최소한 비 U2F 다중 인증을 우회하는 기능을 제공하지 않는 것이 없었다”라고 말했다.  U2F(Universal 2nd Factor)는 하드웨어 2FA 토큰에 대한 개방형 표준이다. 공격자들이 발전하면서 SMS 기반 2FA에서 소프트웨어 기반 인증 앱으로 옮겨갈 수밖에 없었다(아직 SMS 기반 2FA를 사용하는 사람은 없을 것이다). 많은 사용례에서 U2F 기반 하드웨어 동글로의 전환은 현명한 것이었다. 하드웨어 2FA를 잡다 하드웨어 기반 2FA 토큰을 사용하는 것이 소프트웨어 기반 인증 앱보다 더 안전하지만 완벽하지는 않다. USB 펌웨어부터 7단계의 웹 브라우저까지 인증 스택의 복잡성 때문에 보안 결함이 없...

이중인증 2FA 2020.03.13

삼성전자, “스마트폰 속 ‘디지털 금고’로 개인정보 지킨다”

삼성전자가 하드웨어 보안칩(Secure Element IC)과 소프트웨어로 구성된 모바일기기용 통합 보안솔루션을 선보였다. 기존에는 비밀번호, 지문과 같은 민감 정보가 eUFS(embedded Universal Flash Storage)와 같은 일반 메모리에 저장됐던 것과 달리 이번 솔루션은 최적화된 소프트웨어로 보호되는 별도의 보안 칩, 즉 민감 정보만을 위한 ‘디지털 개인금고’에 정보를 저장해 보안성을 더욱 높인 것이 특징이다. 이번 솔루션은 전력, 레이저를 이용한 각종 물리적 해킹 공격을 효과적으로 방어할 수 있는 하드웨어 보안칩 ‘S3K250AF’와 오류 횟수를 초기화시키는 해킹이나 사용자 정보를 전송하는 중간에 가로채는 해킹 등을 방지하는 삼성전자의 독자 보안 소프트웨어로 구성된다. 특히 하드웨어 보안칩 ‘S3K250AF’은 보안 국제공통 평가 기준(CC)에서 현재까지 모바일기기용 보안 칩(IC) 중 가장 높은 수준인 ‘EAL 5+’ 등급을 획득하며 보안성을 인정받았다고 업체 측은 설명했다.  보안 국제공통 평가 기준(CC)은 국가별로 다른 정보보호 평가 기준을 상호 인증하기 위해 제정된 공통 평가 기준으로 EAL1~EAL7 등급으로 구분되며 등급이 높을수록 안전하게 개인정보를 보관할 수 있다. 삼성전자 시스템LSI사업부 마케팅팀 신동호 전무는 “삼성전자는 스마트카드 IC, IoT 칩 등 높은 보안성을 요구하는 분야에서 오랜 경험으로 기술력을 검증받았다”며, “더욱 뛰어난 보안 솔루션으로 사용자의 정보를 더욱 안전하게 관리하고 나아가 새로운 모바일 서비스를 위한 기반을 제공할 것”이라고 말했다. editor@itworld.co.kr

삼성전자 2020.02.27

KISA, IoT 서비스 등 개인정보 보호 가이드라인 발간

한국인터넷진흥원(이하 KISA)은 행정안전부와 대량의 개인정보를 자동 수집 및 활용하는 사물인터넷(IoT) 서비스의 개인정보 침해 가능성에 선제적으로 대응하고자 ‘자동처리되는 개인정보 보호 가이드라인(www.privacy.go.kr)’을 발간했다고 밝혔다. 이번에 발간한 가이드라인은 IoT 기기 등으로 개인정보를 자동처리할 경우, 개인정보 처리 단계별로 업체가 고려해야 할 사항을 실제 사례 중심으로 서술했다. 특히 개인정보 침해 위협을 사전에 예측하고 대비하기 위해 서비스 기획 및 설계 단계부터 개인정보를 고려하는 ‘프라이버시를 고려한 설계(Privacy by Design)’ 개념을 국내에서 처음으로 적용했다.  ‘프라이버시를 고려한 설계’란 프라이버시 관련 침해가 발생한 이후에 조치를 취하는 것이 아닌 프라이버시 위협에 대비해 사전에 서비스 기획 및 설계 단계부터 예방하자는 의미로, 캐나다 온타리오주의 정보프라이버시 위원회(Information & Privacy Commissioner, IPC)에서 7대 기본원칙을 제정하며 알려지기 시작했다.  또한 가이드라인에서는 사업자가 준수해야 할 ‘IoT 등에서 자동처리 하는 개인정보 보호 10대 수칙’을 제안했다. 먼저 ‘기획단계’에서는 ▲서비스에 꼭 필요한 개인정보인지 확인 ▲개인정보 수집 시 법적 준수사항을 확인해야 한다. ‘설계단계’에서는 ▲반드시 필요한 개인정보만 최소한으로 처리 ▲개인정보 처리단계별 적절한 안전조치 적용 ▲개인정보의 처리절차 및 처리방법 투명하게 공개 ▲정보주체가 권리 행사를 쉽게 할 수 있도록 보장 ▲개인정보의 제3자 제공 및 위탁 시 정보주체에게 명확히 안내 ▲정보주체가 서비스 해지 시 개인정보 파기 및 추가 수집 방지 ▲사업 종료 시 정보주체의 권리 보장 방안 등을 마련해야 한다. 서비스 출시 전 마지막 ‘점검단계’에서는 ▲개인정보를 보호하기 위한 조치가 설계에 반영됐는지, 개인정보 침해 위험은 없는지를 확인해야 한다. KISA 권현준 개인정보보...

kisa 2020.02.19

넥스지, 일반 기업 대상 ‘정보보호 서비스 홈페이지’ 운영 시작

넥스지가 일반 기업을 대상으로 효과적인 정보보안 고도화를 위해 ‘넥스지 정보보호 서비스 홈페이지(ss.nexg.net)’를 시작했다고 밝혔다. 넥스지의 정보보호 서비스 홈페이지에서는 정보보안 분야별 구독형 서비스와 데이터 가시화에 기반한 위협분석 페이지(NSS)를 제공하고 멀티관제 등 기타 제품관제에 대한 내용을 확인할 수 있다. 특히, 회사 내부에 정보보안 전문인력이 없거나 관제를 할 수 없어 방치되는 IT 인프라를 효과적으로 관리할 수 있다. 넥스지 김익수 대표는 “이번에 오픈된 홈페이지에서는 멀티관제 서비스를 새로 도입해 넥스지 제품 외에도 다양한 보안솔루션 공급 및 기술지원을 제공한다”며 “내부 정보보호와 동시에 최근 개정된 개인정보 보호법과 ISMS-P 인증, 영업비밀 보호법, 방위 산업법 등 법적 요구사항을 만족하도록 고객사 환경에 맞는 자문과 최적화된 서비스를 제공하겠다”고 말했다. 한편, 넥스지는 CC(Common Criteria) 인증 최고 등급인 EAL4를 획득한 통합보안장비인 ▲UTM장비 ▲차세대방화벽(NexG FW) ▲M2M/IoT 보안 기기 등을 제조해, 공공기관, 대기업, 금융권, 군부대 등 다양한 고객사를 보유하고 있다. 또한 이를 기반으로 전문 엔지니어들이 주축이 된 24시간 365일 관제운영팀을 운영 중이다. editor@itworld.co.kr

넥스지 2020.02.19

마이크로소프트, ‘안전한 인터넷의 날’ 맞아 디지털 시민의식 지수 발표

마이크로소프트가 ‘안전한 인터넷의 날(Safer internet day)’을 맞아 인터넷 이용 실태를 조사한 ‘디지털 시민의식 지수(Digital Civility Index, 이하 DCI)’ 조사결과를 발표했다. 안전한 인터넷의 날은 2004년 EU에서 시작, 현재 전 세계 약 160개국에서 2월 둘째 주 화요일에 이를 기념하고 있다. 마이크로소프트는 안전한 인터넷의 날이 지정된 이래 매년 파트너로 참가하고 있으며, 2016년부터는 DCI 조사를 시작하며 안전한 온라인 생태계를 구축하기 위해 노력하고 있다. DCI는 21가지 온라인 위협을 4가지 카테고리 ▲평판 ▲행동 ▲성적 침해 ▲사생활 침해로 나눠, 전 세계 25개국 청소년 및 성인의 인터넷 사용 실태를 조사한다. 올해의 경우, 지난 2016년 이후 가장 낮은 수치인 70%를 기록했다. 이 지수는 온라인 상에서 마주할 수 있는 위협과 대응방법 등을 측정해 0~100%로 나타낸 결과 값으로 수치가 낮을수록 온라인상의 위협에 노출될 가능성은 낮아지고, 높은 온라인 시민의식을 가지고 있음을 뜻한다. 조사 결과 영국이 52%로 4년간 1위의 자리를 유지하며, 가장 높은 디지털 시민의식을 가진 국가로 나타났으며, 네덜란드가 56%로 2위를 차지했다. 이 밖에 독일(58%), 말레이시아(59%), 미국(60%)이 뒤를 이었다. 가장 낮은 수치를 기록한 나라는 콜롬비아(80%), 페루(81%) 및 남아프리카(83%)로 조사가 시작된 이래 처음으로 80%대의 결과를 보였다. 또한 응답자들은 새로운 2020년대를 맞아 온라인 시민성이 개선될 것으로 기대했다. 응답자 절반이 개인의 프라이버시와 개인데이터 보호에 대한 능력이 개선될 것이라고 기대했으며, 2020년대의 비전으로 존중(66%), 안전(57%), 자유(33%)를 키워드로 꼽았다. 마이크로소프트는 이와 함께 안전한 사이버 환경을 위해 위험을 최소화할 수 있는 조언도 덧붙였다. ‘3-2-1’ 법칙을 소개하며 총 3개의 저장소에 데이터를 백업하되, 클라우...

마이크로소프트 2020.02.13

How To : 구글 위치 기록을 삭제하는 방법

구글은 기본적으로 사용자의 모든 위치 정보를 수집하고 저장한다. 이번 기사에서는 저장된 모든 내용을 지우고 제대로 꺼지도록 하는 방법을 알아보자.  만약 10억 명 이상이 사용하는 지메일(Gmail) 사용자라면 구글 계정으로 로그인하게 된다. 편의상 유용하지만 구글은 기본적으로 위치 데이터를 수집하고 있다는 사실을 인식하지 못할 수도 있다.    구글은 이 정보를 사용해 사용자가 방문한 장소를 기반으로 한 개인화된 지도와 추천을 제공하지만 데이터가 어디로 갈지 확실하지 않다.   최근 몇 년 동안 온라인 개인정보보호 문제가 좀처럼 사라지지 않는 상황에서 더 많은 개인정보가 대기업에 전달되는 것이 다소 불편할 수도 있다.  이를 고려해 자신의 위치 기록을 삭제하고 구글이 더 이상 수집하지 못하게 하는 방법은 다음과 같다.  자신의 위치 기록을 끄는 방법  먼저 구글 계정에 로그인해야 한다. 정기적으로 사용하는 모든 구글 서비스는 세부 정보를 입력하라는 메시지가 표시된다. 바로 연결되는 경우는 이미 로그인한 것이다. 다음 단계를 수행하자.   오른쪽 상단에 있는 아이콘을 클릭한 다음, ‘구글 계정 관리(Manage your Google Account)'를 선택하라. 환영한다는 메시지와 자신의 이름을 알리는 메시지가 나타난다.  4장의 카드 중 왼쪽 상단에 있는 ‘데이터 및 개인 설정 관리(Manage your data & personalization)’를 클릭하라.  ‘활동 제어(Activity controls)’ 아래에 현재 설정과 함께 ‘위치 기록(Location History)’ 옵션이 있다.  단순히 ‘위치 기록’이라고 하는 설정이 있어야 하며, 이는 켜거나 끌 수 있다.  구글은 이것이 ‘구글 서비스 전체에서 개인화된 경험을 제한하거나 비활성화 할 수 있다’고 경고하지만 이는 마음의 평화를 위해 지불해야 할 작은 대가다...

구글 위치기록 위치기록삭제 2020.02.06

어베스트, 점프샷 데이터 수집 사업 단계적 축소

어베스트는 자사의 데이터 수집 서비스인 점프샷이 사용자의 온전한 인지와 동의 없이 무료 안티바이러스 프로그램을 통해 개인 정보를 수집한다는 우려가 제기되자 점프샷 사업을 단계적으로 축소할 것이라고 밝혔다.   2020.01.29 . 어베스트, 무료 안티바이러스 통해 수집한 개인 정보 판매…”옵트인 정보 수집” 반박 어베스트와 자회사 AVG는 점프샷에 정보를 공급했고, 점프샷은 이 데이터를 기업 고객에 재판매해 왔다. 어베스트의 최고 부사장 겸 총괄 책임자인 온드레이 블체크는 이것이 어베스트의 기업 사명에 위배된다고 말했다.  블체크는 발표문을 통해 “어베스트의 핵심 사명은 사용자의 온라인 안전을 지키고, 사용자에게 프라이버시에 대한 통제권을 부여하는 것이다”라며, “결론적으로 사용자의 신뢰를 위험에 빠뜨리는 어떤 행위도 어베스트는 용인할 수 없다. 어베스트는 사용자 프라이버시에 대한 경계를 늦추지 않고 있으며, 일부 사용자가 점프샷으로의 데이터 공급이 어베스트의 사명과 원칙에 부합하는지 의문을 제기하는바, 점프샷 운영의 단계적 축소를 위한 조처를 신속하게 취할 것이다”라고 강조했다. 하지만 어베스트가 개인 정보 수집을 중단한다는 의미인지는 확실하지 않다. 발표문은 또한 “어베스트의 모든 핵심 기능은 평소대로 계속 수행될 것이며, 사용자는 아무런 변화도 느끼지 못할 것이다”라고 밝혔다. editor@itworld.co.kr

개인정보 어베스트 데이터수집 2020.01.31

어베스트, 무료 안티바이러스 통해 수집한 개인 정보 판매…”옵트인 정보 수집” 반박

어베스트와 자회사 AVG는 또 다시 고객 데이터를 자사 기업 고객에게 판매한 것으로 드러났다. 이번에는 사용자가 데이터 수집을 승인한 무료 안티바이러스 프로그램을 사용했다.   바이시즈 마더보드(Vice’s Motherboard)와 PC 매거진의 보도는 애드블록 플러스(Adblock Plus) 개발자인 블라디미르 팰런트의 보고서를 기반으로 했다. 팰런트는 2019년 10월 어베스트 온라인 시큐리티 익스텐션와 AVG 시큐어 브라우저가 사용자를 감시하고 관련 정보를 수집한다고 폭로한 바 있다. 팰런트는 사용자 ID와 방문 페이지 등이 포함된 이 정보가 제 3의 업체에 판매될 수 있고, 최종 목적지는 점프샷(Jumpshot)이 될 수 있다고 지적했다. 어베스트가 2013년 인수한 점프샷은 “150곳 이상 사이트의 1,600개 카테고리에 걸쳐 모든 검색과 클릭, 구매를 측정해 고객의 온라인 여정에 대한 인사이트를 제공”한다. 당시 이 뉴스로 구글과 같은 브라우저 업체는 자사 웹스토어에서 이들 앱을 삭제하기도 했다. 현재는 새로운 프라이버시 보호 정책을 적용한 버전이 나와 있다. 두 매체의 보도에 따르면, 어베스트는 어베스트 브라우저 확장 프로그램이 수집하는 데이터는 더 이상 점프샷에 제공하지 않는다고 밝혔다. 하지만 다른 정보원들은 어베스트가 여전히 무료 안티바이러스 프로그램으로부터 동일한 정보를 수집하고 있는 것으로 의심했다. 이렇게 수집한 데이터는 점프샷으로 넘겨지고, 거기서 어베스트의 기업 고객사에 전달된다는 것이다. 바이시즈 마더보드는 “한 내부 문서에 따르면, 브라우저 확장 프로그램을 사용해 데이터를 점프샷으로 전송한다는 것이 발견되고 몇 개월이 지난 지난 주, 어베스트는 기존 무료 안티바이러스 소비자에게 데이터 수집에 대한 동의 여부를 묻기 시작했다”고 전했다. 어베스트는 발표문을 통해 “브라우저의 웹스토어 표준을 만족하기 위해 즉각 대응”했으며, 12월에는 핵심 보안 엔진 개선 외에 다른 어떤 목적으로 브라우저 확장 프로그램으로부터 수...

안티바이러스 어베스트 확장프로그램 2020.01.29

글로벌 칼럼 | 2020년 디지털 ID 전망

2019년, 세계가 정체성(Identity)의 용도와 기능에 눈을 뜨면서 정체성 분야가 잠에서 깨어나기 시작했다.   디지털 정체성은 전통적인 정체성 및 액세스 관리(Identity and Access Management, IAM)의 잔해에서 태어나 사이버보안의 핵심 요소로 부상했다. 갈수록 디지털화되는 세계에서는 정체성이 전부다. 모든 디바이스의 중심에는 정체성이 위치하면서 리소스 액세스뿐만 아니라 리소스가 소비하는 데이터를 통제하는 역할도 한다. 기계 속의 인간은 실제 정체성뿐만 아니라 보안의 열쇠이기도 하다. 데이터 침해는 2019년 전반기에만 54% 증가했다. 데이터가 곧 정체성이다. 사람에게 권한을 부여하려면 정체성에 권한을 부여해야 한다. 2020년에는 디지털 정체성이 새로운 성숙 단계로 발전하게 될까?     현재 상황 현재 정체성 분야는 정체성 공급업체, 데이터 속성 서비스, 소셜 계정 및 관련 로그인, 앱 기반 ID 등이 뒤섞여 혼란스럽다. 정체성 생태계의 중요한 요소를 정리해 보면 다음과 같다. - 정체성과 API 2019년 들어 이전의 많은 정체성 업체가 옷을 갈아입고 코드를 수정해 각자 핵심 제품의 API 버전을 만들면서 전통적인 정체성 플랫폼이 API로 다시 부상했다. 디지털 정체성은 사실 개인 데이터를 그럴듯하게 표현하는 용어에 불과하다는 점을 감안하면 자연스러운 수순이다. 우리가 온라인에서 사용하는 정체성은 거래를 증명하거나 리소스에 대한 권리를 주장하는 용도로 사용되는 경우가 많다. 이 증명은 더 넓은 범위에서 일어나는 이벤트 체인과 데이터 공유의 일부분이다. 정체성 계정 내의 클레임은 작업을 주도하고 서비스를 제공할 수 있다는 면에서 리소스 액세스를 위한 관문이다.  API 대세는 풍부한 데이터가 사용되는 현대의 디지털 정체성을 반영하는 자연스러운 현상이다. 디지털 정체성에 대한 API 접근 방식을 사용하면 갈수록 광범위해지는 소비자 앱과 서비스 전반에 걸쳐 연결 유연성을 ...

ID Identity IAM 2020.01.21

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.