Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
TOPIC

���������������������������������������������������������������������������������������������������������������������������������������

인섹시큐리티, 딥페이크·불법 동영상 탐지 추적 시스템 ‘마에스트로 유어아이즈’ 출시

인섹시큐리티(www.insec.co.kr)는 마에스트로 네트웍스(www.maestronetworks.co.kr)의 딥페이크 및 성착취물, 저작권 등록물, 불법 동영상 탐지 추적 시스템인 ‘마에스트로 유어아이즈(MAESTRO Your Eyes)’를 출시한다고 밝혔다. 인섹시큐리티가 유통하고 있는 악성코드 및 디지털포렌식 솔루션 개발사인 ‘마에스트로 네트웍스’의 딥페이크 및 성착취물, 저작권 등록물, 기타 불법 동영상 탐지, 분석, 추적 시스템은 지난 2016년에 국내 수사기관에 구축되었으며, 다양한 검증과 테스트를 통해 성능과 기술력을 인정받은 바 있다. ‘마에스트로 유어 아이즈’는 딥페이크 및 성착취물 불법 동영상 및 이미지의 DNA를 자동으로 분석해 탐지하는 솔루션으로, 분석 시스템의 동영상 분석 엔진을 통해 각 영상마다 사람의 지문과 같이 고유의 특징을 가지고 있는 핑거프린트(지문)를 추출해 시그니처 및 패턴을 식별할 수 있다. 특히 ‘마에스트로 유어아이즈’ 에이전트를 이용해 인터넷 및 다크웹 상에 유포된 불법 동영상을 수집, 분석, 탐지한다. 다양한 형태로 수정 및 왜곡 변조된 형태의 동영상인 경우에도 동영상 고유 DNA를 활용해 검색 및 탐지, 추적을 통해 삭제 요청을 진행한다. 이후 지속적인 모니터링 및 추적을 통해 N차 유포를 방지한다. 마에스트로 유어아이즈는 다양한 검증과 테스트를 통해 수사기관에서 사용되고 있다. 현재 마에스트로 유어아이즈는 범죄 수사 기관을 비롯해, 저작권 관련 기관, 연예기획사 및 엔터테인먼트, 사이버테러대응 기관, 불법 동영상 유통을 막기 위한 인터넷 서비스 및 소셜미디어 기업, 동영상 유통 서비스 기관인 클라우드 및 호스팅 제공, ISP, OSP 기업 등에서 다양하게 활용되고 있다. 인섹시큐리티 김종광 대표는 “딥페이크, 성착취물, 저작권 등록물 및 불법 동영상을 빠르게 식별해 차단하고 관리하는 것은 공익적 목적뿐만 아니라, 영상물 자산 관리를 위해서도 중요하다”며, “마에스트로 유어 아이즈를 도입하는 기업 및 기...

인섹시큐리티 2021.04.06

“피싱 키트란 무엇인가” 피싱 공격의 구성 요소와 사용자가 대처하는 방법

피싱 키트(phishing kits)의 개념은 보안과 관련한 사람이 아니라면 다소 어려울 수 있다. 이번 기사는 피싱 키트에 대한 간략한 개요와 작동 방식, 그리고 이에 대처하는 방법에 대해 설명한다.    피싱(Phishing)은 소셜 엔지니어링 공격과 직접적으로 관련이 있다. 일반적으로 이메일을 중심으로 하는 범죄자들은 피싱을 사용해 접근권한이나 정보를 얻는다. 피싱 공격은 피해자와 피해 기업에 맞게 맞춤화될 수 있다.  피해자에게 직접 초점을 맞춘 피싱 공격을 스피어 피싱(spear phishing)이라고 한다. 예를 들어, 범죄자가 회사 내 그룹이나 사람을 표적으로 삼는 경우, 스피어 피싱을 사용해 이메일을 합법적으로 보이게 만든다. 보통 피해자의 정확한 이름과 직함을 사용하거나 합법적인 프로젝트, 알려진 동료를 언급하거나 고위 경영진의 이메일을 스푸핑(spoofing)해 수행한다.  비싱(Vishing, 보이스 피싱)은 전화를 통한 피싱에 부여되는 용어다. 동일한 목표, 동일한 감정적 촉발, 이메일 대신 범죄자가 피해자에게 직접 전화를 건다. 일반적인 비싱 공격의 예로는 IRS 사기 및 기술 지원 사기가 있다. 2가지 경우, 모두 범죄자들은 개인정보와 돈을 얻기를 바라고 있다.  어떤 유형의 피싱 공격이 시작되든 목표는 피해자가 사용자 이름과 비밀번호를 공개하거나, 문서 및 기타 중요한 세부 정보를 공유하는 등의 작업을 수행하도록 하는 것이다.  피싱 공격은 일반적으로 긴급성을 강조하거나 기꺼이 도와주려는 의지에 따라 행해진다. 피싱 공격은 심각한 결과를 경고함으로써 두려움을 불러일으킬 수 있다. 때로는 일시 중지된 서비스, 중요한 데이터 손실 또는 다양한 개인적 결과에 대한 위협일 수도 있다. 그러나 일반적으로 피싱 공격은 피해자의 호기심을 자극함으로써 시작된다는 것이다. 어떡해든 피해자가 이메일을 열게 만드는 것, 그것이 피싱의 시작이다.  피싱 키트란 무엇인가? ...

피싱키트 피싱 소셜엔지니어링 2021.04.02

"지금 사용 중인 VPN은 과연 안전한가" VPN 암호화의 이해

가상 사설망(Virtual Private Network, VPN)에서는 잠재 사용자를 끌어들이기 위해 화려한 마케팅 용어를 사용하지만, 이를 조목조목 검토하고 분석하는 것은 상당히 어렵다. 암호화 방법을 설명하는 언어는 약자와 기술 전문용어로 가득하기 때문에 ‘군용 암호화’와 같은 문구를 검색하면 일반적으로 답변보다 질문이 더 많이 나타난다.    그러나 암호화의 세부 사항이 처음에는 혼란스러울 수 있지만, 정보를 분류하는 방법을 알게 되면 상황이 매우 명확해진다. TLS와 RSA 인증서, 키, AES 암호화 등과 같은 개념은 훨씬 덜 낯설고, VPN이 얼마나 유용한지 평가하는 것은 생각보다 간단하다. 방법은 다음과 같다.  VPN 암호화 동작 방식 일반적으로 암호화는 데이터를 코드로 변환(인코딩)하는 프로세스로 승인된 당사자만 디코딩할 수 있다. 컴퓨터가 VPN에 연결되면, 다단계 암호화 프로세스가 수행된다. 각 단계의 보안 수준은 사용되는 프로토콜에 따라 다르다. 각 프로토콜은 설정된 연결의 인증, 키 교환, 암호화 같은 요소를 각각의 방식으로 처리한다.  일반적으로 최신 VPN 암호화 프로토콜은 다음과 같이 4부분으로 나눌 수 있다.  1. 연결이 처음 시작되는 방법(핸드셰이크(Handshake)) 2. 연결에 세션 중에 데이터를 암호화하고 해독하는 데 사용되는 코드(키)를 생성하는 방법(키 교환이라고도 함) 3. 암호화 키가 유지되는 기간 4. 설정된 연결을 보호하는 데 사용되는 암호화 방법 VPN에서 지원하는 프로토콜은 일반적인 암호화 강도 수준을 나타내지만, 취향에 맞게 구성할 수 있다. 결과적으로 VPN 서비스는 같은 프로토콜을 사용할 수 있지만, 다른 수준의 보안을 제공한다. 한 기업은 더 빠른 속도를 자랑하기 위해 업계 기본값에 더 가깝게 맞추고, 다른 기업은 보안을 극대화하기 위해 암호화에 사용하는 키 길이/크기를 늘릴 수 있다.  VPN 암호화의 세부 사항을 이해하는 방법 V...

VPN 암호화 2021.03.26

딥페이크 비디오의 작동 방법과 위험한 이유

딥페이크(Deepfakes)는 진짜처럼 보이는 가짜 비디오 또는 오디오 기록이다. 한때는 할리우드 특수효과 스튜디오와 CIA 또는 GCHQ의 JTRIG 부서와 같은 프로파간다를 생산하는 정보 기관의 전유물이었지만 이제는 누구나 딥페이크 소프트웨어를 다운로드해서 남는 시간에 그럴듯한 가짜 비디오를 만들어낼 수 있다.   지금까지 딥페이크는 아마추어 취미가들이 연예인 얼굴을 포르노 배우의 몸과 합성하거나 정치인이 하는 말을 조작하는 용도 정도로 사용됐다. 그러나 공격이 임박했다는 비상 경보 딥페이크를 만들거나 가짜 섹스 비디오를 사용해 누군가의 결혼 생활을 파탄에 이르게 하거나 투표 며칠 전에 후보자의 가짜 비디오 또는 오디오를 퍼뜨려 선거에 개입하기도 쉬워졌다. 딥페이크는 얼마나 위험한가? 딥페이크는 많은 이에게 우려의 대상이다. 미 플로리다 주 공화당 상원의원이자 2016년 대통령 후보였던 마르코 루비오는 딥페이크를 현대의 핵무기라고 표현했다. 루비오는 2주 전 워싱턴의 한 연설에서 “예전에는 미국을 위협하려면 10척의 항공모함과 핵무기, 장거리 미사일이 필요했다. 지금은 인터넷 시스템, 뱅킹 시스템, 전력망 및 인프라에 접근하면 된다. 진짜 같은 가짜 비디오를 제작할 능력만 있으면 선거를 훼방하고 미국을 심각한 내부적 위기로 몰아넣고 깊은 타격을 입힐 수 있다”라고 말했다. 결실을 맺지 못한 야심가의 왜곡된 정치적 과장일까, 아니면 딥페이크가 정말 핵무기보다 더 큰 위협일까? 루비오의 말만 들으면 세상은 종말을 향해 다가가는 듯하다. 하지만 모두가 루비오의 의견에 동의하는 것은 아니다. 버크만-클라인 센터(Berkman-Klein Center)와 MIT 미디어 랩(MIT Media Lab)에서 AI 이니셔티브의 윤리 감독 책임자인 팀 황은 “핵폭탄만큼 위험하다? 나는 그렇게 생각하지 않는다. 그동안의 실제 사례는 확실히 불안감을 준다. 사람들은 우려를 하면서 많은 질문을 던지지만 많은 이가 예상하는 것처럼 상황이 바뀔 가능성은 높지 않다고...

딥페이크 Deepfakes 2021.03.25

SK텔레콤, ‘보이스피싱 번호차단’ 서비스 발표

SK텔레콤(www.sktelecom.com)이 서울경찰청과 보이스피싱으로 인한 범죄피해를 예방하기 위해 ‘보이스피싱 번호차단 서비스’ 민관 협력 MOU를 체결했다고 밝혔다. 보이스피싱 번호차단 서비스는 경찰에 피해신고가 접수된 보이스피싱 번호를 서울경찰청이 SKT에 공유하면, SKT가 최근 개발한 보이스피싱 번호차단 시스템에서 해당 번호를 SKT 고객이 아예 전화를 받거나 걸 수 없도록 차단하는 프로세스다. 누구나 보이스피싱 의심 전화를 받거나, 낯선 문자메시지를 받은 후 경찰에 해당 번호를 신고하면, SKT와 경찰이 보이스피싱 번호를 확인해 전화를 차단하게 된다. SKT와 서울경찰청은 보이스피싱 번호차단 서비스를 2월부터 시범운영해 500여 개 보이스피싱 의심번호를 차단했다. SKT와 서울경찰청은 번호차단 서비스가 최근 교묘한 수법을 사용하며 증가하는 보이스피싱 범죄피해를 예방할 수 있을 것으로 기대하며 3월 25일부터 본격적인 운영에 들어간다고 설명했다. 한편, SKT는 금융권 보안전문기관인 금융보안원과 공동으로 보이스피싱에 적극적으로 대응하기 위해 2020년 4월 MOU를 체결한 후, 지난 2월부터 본격적인 보이스피싱 번호차단 시스템을 운영하고 있다. SKT가 금융보안원과 협의를 통해 차단하는 보이스피싱 번호는 금융기관을 사칭해 피해자 휴대폰에 악성앱을 설치한 뒤, 금융기관 전화 연결을 가로채 범죄를 저지를 때 사용되는 번호이다. SKT와 금융보안원은 현재까지 약 60여 개의 번호에 대해 940여 건의 전화를 차단했다.  SK텔레콤 이기윤 고객가치혁신실장은 “SK텔레콤과 서울경찰청의 보이스피싱 번호차단 프로세스 수립을 통해 고객의 보이스피싱 피해를 막는데 큰 효과가 있을 것으로 기대한다”며 “SK텔레콤은 보이스피싱 뿐만 아니라, 스팸과 스미싱 문자로 인한 고객 피해를 막기 위해 다양한 활동을 하고 있다”라고 말했다. editor@itworld.co.kr

SK텔레콤 2021.03.24

VPN을 사용해야 할 6가지 이유

지난 몇 년 동안 VPN은 온라인에서 콘텐츠 차단을 해제하고 웹을 검색하는 동안 개인정보와 보안을 강화하기 위해 일반 사용자에게 많은 인기를 얻었다.  개인정보 보호는 점점 더 많은 사람에게 관심사가 됐다. 방문하는 사이트, 구매한 제품 및 서비스, 시청하고 다운로드한 콘텐츠가 모두 비공개라고 생각할 수 있다. 하지만 그렇지 않다. 사용자의 인터넷 서비스 제공업체(ISP)는 사용자가 온라인에 접속하는 곳을 알고 있으며, 일부 국가, 특히 미국에서는 이 정보를 마케팅 목적으로 판매할 수도 있다.  웹 사이트는 추적기를 사용해 주변을 따라다니기 때문에 예를 들어, 사용자가 몇 분 전에 본 제품에 대한 광고가 자주 표시된다.   그렇다고 사용자가 이를 허용할 필요는 없다. VPN은 암호화를 사용해 웹 브라우징을 비공개로 만들어, ISP, 정부 및 다른 누구도 사용자가 무엇을 하고 있는지 알 수 없도록 한다(웹 브라우저의 비공개 모드와는 다르다). 오늘날 VPN은 바이러스 백신과 함께 사용자를 보호하는 데 도움이 되는 필수 보안 도구로 인식되고 있다.  VPN을 사용해야 하는 이유  1. VPN은 추적기를 차단하는 데 도움이 된다  VPN을 사용하면 IP 주소가 숨겨진다. 웹 사이트를 방문하면 추적기가 실제 IP 주소를 찾는 작업을 수행한다. VPN에 연결하면 실제 IP 주소가 서비스에 속하는 IP 주소로 대체되므로 추적하기가 훨씬 어려워진다.  2. VPN은 ISP가 데이터를 판매하지 못하도록 한다  일반적으로 인터넷에 연결할 때 데이터는 읽을 수 있는 형식으로 ISP를 통해 제공된다. 모든 데이터가 아니라 웹 검색, 방문하는 웹 사이트의 URL 등과 같은 것이다. VPN을 통해 연결할 때, 해당 정보는 암호화되어 ISP가 읽을 수 없다. 즉, 제품과 서비스를 판매하려는 회사에 판매할 수 없다.  3. VPN은 온라인에서 추가적인 보안을 제공한다  동일한 암호화는...

VPN 보안 개인정보보호 2021.03.11

미국 버지니아 주의 데이터 보호법, 주지사 서명…캘리포니아에 이어 두 번째

미국 버지니아 주는 EU의 GDPR에 맞춘 소비자 데이터 보호법을 제정한 미국의 두 번째 주가 됐다. 버지니아의 CDPA에 대해 기업이 알아야 할 것은 다음과 같다.    2021년 3월 2일, 미국 버지니아의 민주당 주지사인 랄프 노섬은 소비자 데이터 개인정보보호 및 보호를 관장하는 미국의 두 번째 주법에 서명했다. 미국 버지니아의 소비자 데이터 보호법(Consumer Data Protection Act, CDPA)은 2020년 1월 1일 발효된 캘리포니아 소비자 개인정보 보호법(CCPA)를 따른다. 지난해 가을 캘리포니아 시민들은 국민 투표를 통해 CCPA를 개정한 캘리포니아 개인정보 보호권 및 집행법(California Privacy Rights and Enforcement Act, CPRA)을 승인했다. CPRA는 2023년 1월 1일부터 시행된다.  CCPA, CPRA, CDPA, 3개의 법률 모두 2018년 5월 25일에 시행된 EU의 획기적인 데이터 보호법인 GDPR(General Data Protection Regulation)을 따른다. 이 법률은 모두 GDPR에서 많이 차용했지만 각 데이터 개인정보 보호 수단에는 다른 내용의 법률과 조항이 포함되어 있다.  CDPA, 대기업이 데이터를 제어하거나 처리하는 방법을 요구  2023년 1월부터 발효되는 버지니아의 CDPA는 ‘미 연방 내에서 사업을 수행하는 기업 또는 사람’이 데이터를 제어하거나 처리하는 방법에 대한 복잡한 프레임워크를 제시한다. 이 법안의 규정은 버지니아 거주자로 등록된 최소 10만 명의 소비자 개인정보를 관리 또는 처리하는 기업, 또는 개인 데이터 판매로 총 수입의 50% 이상을 얻는 최소 2만 5,000명의 버지니아 거주자의 데이터 관리 또는 처리하는 기업에만 적용된다.  이 법에 따르면, 일부 단체와 데이터는 해당 법안의 요건에서 제외된다. CDPA의 예외에는 주정부와 지방자치단체, 비영리단체, 고등교육기...

버지니아 데이터보호법 CDPA 2021.03.09

클럽하우스 앱, 개인정보 보호 우려

소셜 미디어 앱 클럽하우스(Clubhouse)는 출시된 지 1년이 되지 않아 이미 개인정보 보호 관련 법정 소송과 사용자 데이터 유출로 인한 문제에 직면하고 있다. 사용자 데이터 유출의 경우, 사용자 기록 및 공유 개인 대화, 사용자 로그인 정보, 메타데이터 등이 타 웹 사이트로 유출되어 악용됐다.   공개 대화를 위한 채팅방, 클럽하우스  오프라 윈프리, 엘론 머스크, 애쉬튼 커쳐 등의 유명인들이 자주 사용하는 클럽하우스는 사용자가 공개 대화를 위해 가입할 수 있는 채팅방을 제공한다. 유명인들이 이 서비스를 사용하고 있기 때문에 마케팅 전문가들의 선망의 대상이 되고 있으며, 가이 가와사키와 세스 고딘 등의 마케팅 커뮤니케이션 관리자들이 이 클럽에 가입하고 있다. 밀크 바(Milk Bar), 쿨에이드(Kool-Aid), 폴리티코(Politico) 등의 브랜드가 프로필을 생성했으며, 12월에는 클럽하우스에서 공식 인플루언서 프로그램을 시작했다. 클럽하우스의 보안 위험 마케팅 전문가들이 점차 가입하면서 그들의 사용으로 인해 기업에 발생하는 보안 위험 또한 증가하고 있다. 마케팅은 항상 여러 보안팀이 협력하기에 어려운 부서였다. 그들의 역할은 데이터를 공유하는 것이며, 보안의 역할은 본질적으로 데이터를 보호하고 경우에 따라 이를 숨기는 것이다. 정보를 보호하기 위해 두 부서가 협력하면서 보안 전문가들이 클럽하우스에 관해 알아야 할 사항이 있다면 무엇이 있을까? 초기의 페이스북과 마찬가지로 클럽하우스의 사용자층은 독점권을 기반으로 한다. 유명인들이 사용하는 것 외에 이 앱은 현재 아이폰 전용이다. 가입하기 위해서는 기존 사용자의 초대장이 있어야 한다. 새 사용자를 초대하려면 기존 사용자가 클럽하우스 측에 자신의 스마트폰 주소록에 대한 접근을 제공해야 한다. 주소록에 있는 사람들이 클럽하우스에 정보를 제공하고 싶은지 여부는 고려되지 않는다. 그러면 클럽하우스가 잠재적인 사용자의 관계 수를 보여주는 쉐도우 프로필을 생성하고 해당 플랫폼에 있는...

클럽하우스 개인정보보호 2021.03.08

웹 상의 데이터 및 ID 통제 표준을 제시한다, '인러프트'의 비전과 현황

음악계에는 이따금 인기가 최고인 음악인들로 구성된 슈퍼그룹(supergroup)이 결성되곤 한다. 컴퓨터 산업에서도 빈번하게 일어나는 일이다. 그러나 스타트업이 출현했다가 사라지는 것을 고려하면 슈퍼코더(supercoders)는 간혹 자신의 5번째, 12번째, 심지어 30번째 무대를 기대하는 것은 엄청나다.     인러프트(Inrupt)는 이런 슈퍼그룹 가운데 하나다. 팀 버너스-리는 월드 와이드 웹(World Wide Web)에서 가장 위험한 것 가운데 하나를 대처하기 위해 팀을 결성했다. 버너스-리는 우리가 현재 인터넷이라고 생각하는 까다로운 혼란을 초래했던 HTML 포맷과 HTTP 프로토콜을 성장시킨 인물로 유명하다.  인러프트 팀의 구성원은 인상적이다. 브루스 슈나이어는 유명한 암호 전문가이자 프라이버시 전문가이고, 존 브루스는 리질리언트(Resilient)의 전임 CEO이자 공동설립자이다. 이들은 깊이있는 지식을 가져오고 최고의 인재를 영입할 능력을 갖춘 유명인 가운데 두 사람에 불과하다. 모든 구성원이 디지털 세계의 진화에 크게 기여했고 두터운 신뢰를 가져오는 인물들이다.   인러프트는 무엇인가?  인러프트 비전은 데이터가 팟(pods)이라 불리는 묶음으로 웹에서 독립적으로 떠다닐 수 있다는 것이다. 어떤 애플리케이션도 어느 곳에서든 팟으로의 접근을 요청할 수 있고, 데이터를 로컬 서버에 저장할 필요가 없다. 이것만으로 개발자는 디스크 스토리지 비용을 절감할 수 있고, 아울러 기록의 여러 사본이 긴밀한 동기화 속에서 관리되지 않을 때 출현할 수 있는 불일치를 줄일 수 있다.  이렇게 데이터 모델을 변경한다면 일부 기업은 보안 및 컴플라이언스 문제를 현저히 단순화할 수 있다. 사본을 유지하지 않는다는 것은 서버나 데이터베이스를 보호할 필요가 없음을 의미한다. 데이터를 회수 중이라면 여전히 이를 보호해야 할 것이지만 일단 연산이 끝나면 데이터 보호라는 골치아픈 문제와 함께 이를 버릴...

인러프트 Inrupt pods 2021.03.02

글로벌 칼럼 | 크롬을 버려야 하는 이유

크롬(Chrome)은 가장 인기가 있을지 모르지만, 개인정보를 소중히 여기는 사용자에게는 최악이다.       구글은 파이어폭스(Firefox)가 등장한지 약 6년 후인 2008년에 크롬 웹 브라우저를 출시했다. 오픈소스 크로미엄(Chromium) 엔진을 여전히 사용하고 있으며, 속도와 사용 편의성 측면에서 큰 호응을 얻었다.  크롬을 사용하면 장점이 많다. 크롬이 구글의 자체 서비스와 통합하는 방식, 엄청난 확장 기능 등은 확실히 장점이긴 하지만 요즘에는 더 많은 단점이 있다.  오랫동안 크롬은 최고의 크로미엄 브라우저였지만, 더 이상 사실이 아니다. 크롬은 메모리를 많이 차지하기 때문에 윈도우 10 사용자가 탭을 많이 열면, 컴퓨터가 빠르게 중단될 수 있다. 브레이브(Brave)와 마이크로소프트 엣지(Microsoft Edge) 또한 같은 크로미엄 기반 웹 브라우저임에도 불구하고 이와 같은 문제를 일으키지 않는다.  개인정보 보호 측면에서 최악, 대안도 있다 크롬의 메모리 문제는 가장 큰 단점과 비교한다면 부수적일 뿐이다. 크롬은 개인정보 보호 측면에서 완전히 부족하다. 이런 사실은 전혀 놀랄 일이 아니다. 구글의 사업은 데이터를 기반으로 하며, 사용자의 정보를 가능한 한 많이 수집한다.  크롬을 사용하면 기본 검색엔진은 당연히 구글이다. 비즈니스에서는 최고이지만, 입력 및 음성 검색은 모두 기록되고, 이 데이터는 맞춤 광고에 관련성을 높이는데 사용된다. 이점으로 생각할 수도 있지만, 대부분의 사용자는 자신의 활동이 추적되고 방금 본 제품에 대한 광고가 표시되는 것을 좋아하지 않는다.  크롬을 통한 광고 차단기는 어떠한가? 구글은 차단기가 모든 광고를 차단하도록 놔두지 않는다. 일부는 차단하되, 모두를 차단하지 못한다.    사용자가 모를 수 있는 것은 개인정보 보호를 염두에 두고 설계된 웹 브라우저가 많다는 것이다. 이미 언급한 브레이브는 개인정...

크롬 브라우저 개인정보보호 2021.02.23

금융위원회, 마이데이터 운영 가이드라인 발간 및 마이데이터 지원센터 개소

금융위원회는 마이데이터(본인신용정보관리업) 사업자와 금융업체 등이 마이데이터 시행을 원활히 준비할 수 있도록 서비스 및 기술 가이드라인을 발간하고 마이데이터 지원센터를 개소했다고 22일 밝혔다.   2021년 8월 4일부터 마이데이터 사업자들은 표준 API를 통해 개인신용정보를 수집, 활용해 소비자에게 서비스할 예정이다. 이전까지 개인정보를 수집하는 방식은 스크래핑을 사용했는데, 이는 보안에 취약했기 때문에 본인 직접인증 및 안전한 전송방식인 표준 API를 활용하기로 한 것이다.  정보주체 이익 우선, 이해상충 방지, 전송내역 기록관리 등 금융소비자의 정보주권을 보장하기 위해 발간한 이번 가이드라인에는 정보제공범위, 운영절차 및 법령상 의무, 유의사항 등에 대해 구체적인 내용이 담겨있다.  정보제공범위는 ▲여·수신, 금융투자 부문에서 예·적금(납입액, 금리, 만기 등), 대출(잔액, 금리, 만기 등), 투자상품(예수금, 매입종목, 거래단가·수량, 평가금액 등) 등이며, ▲보험 부문은 가입상품(계약, 특약, 납입내역, 자기부담금 등), 대출(잔액, 상환내역 등) 등을 제공한다.  ▲카드 부문에서는 월 이용정보(금액, 일시, 결제예정총액), 카드대출, 포인트 등을, ▲전자금융 부문은 선불발행정보(잔액, 충전계좌), 거래내역(일시, 금액), 12개 범주화된 주문내역정보 등을 제공한다. 12개 범주화는 가전/전자, 도서/문구, 패션/의류, 스포츠, 화장품, 아동/유아, 식품, 생활/가구, 여행/교통, 문화/레저, 음식, e쿠폰/기타 12개로 분류했다. 이 가이드라인은 쉬운 용어 사용, 시각화 등을 통해 '알고 하는 동의' 원칙을 구현하고, 자유로운 동의·거부·철회를 허용한다고 명시했다. 다만 동의 관련 절차 및 양식은 소비자보호 전문가들의 논의를 거쳐 확정하기로 했다.  소비자의 서비스 탈퇴를 쉽게 할 수 있도록 하고, 플랫폼에 저장된 신용정보를 완전히 삭제하도록 했다.  금융위원회는 과당경쟁 방지를...

금융위원회 마이데이터 가이드라인 2021.02.22

맥아피-LG전자, 사용자의 안전한 디지털 라이프 위해 협력 확대

맥아피(www.mcafee.com)가 LG전자와 한국을 포함한 글로벌 출시 PC 전제품에 맥아피 시큐리티(McAfee Security) 무료 평가판 30일 버전을 사전 설치하는 새로운 파트너십 확대를 발표했다.  LG PC를 구입하는 신규 고객들은 사용과 동시에 맥아피 솔루션이 제공하는 안전한 PC 환경을 경험할 수 있고, 합리적인 초기 비용으로 정식 라이선스 업그레이드 혜택도 받을 수 있다고 업체 측은 설명했다. 최근 발표된 맥아피 연구소 위협 리포트(McAfee Labs Threats Report)에 따르면, 2020년 2분기에 1분마다 419개의 위협이 발견돼 1분기 대비 12% 수치가 증가한 것으로 나타났다. 매일 많은 수의 신규 위협이 발생함에 따라 사용자들에게 디지털 라이프를 안전하게 보호하는 일이 그 어느 때보다 중요시되고 있다.  이번 맥아피와 LG의 파트너십은 사용자들에게 보안 툴을 제공해 디지털 라이프를 마음껏 즐길 수 있도록 지원한다는 내용으로 체결됐다.  LG전자 IT사업부장 장익환 전무는 “맥아피는 보안 분야의 선두업체로, 우리 고객들을 바이러스로부터 확실하게 보호해 주는 파트너”라며, “맥아피의 솔루션을 통해 고객이 바로 필요로 하는 통합 보안을 제공할 수 있다”라고 말했다. 맥아피코리아의 송한진 지사장은 “맥아피는 LG와 제휴를 통해 소비자들을 지속적으로 보호하고, 새로운 PC를 최대한 활용하는데 필요한 보안 제품을 제공할 수 있게 돼 자랑스럽게 생각한다”라고 밝혔다. editor@itworld.co.kr

맥아피 LG전자 2021.02.18

클라우데라, 글로벌 데이터 플랫폼 보안 기준 SOC 2 인증 획득

클라우데라(kr.cloudera.com)는 클라우데라 데이터 플랫폼(CDP) 퍼블릭 클라우드 제품이 미국공인회계사회가 제정한 SOC 2 서비스 조직 제어 부문에 대해 국제 인증을 획득했다고 밝혔다. 클라우데라의 CDP 퍼블릭 플랫폼이 미국공인회계사회(AICPA)가 제정한 보안 신뢰 서비스 원칙과 기준(Security Trust Services Principle and Criteria)을 충족해 SOC 2 인증을 획득했다고 업체 측은 설명했다.  기업의 내부 통제 현황을 감사해 보안 수준과 가용성을 보장하는 SOC 인증을 통해 클라우데라 CDP 플랫폼이 고객의 워크로드를 안전하게 보호할 수 있는 보안 제어와 프로세스를 지원하고 있다는 점을 입증했다고 덧붙였다.   SOC 2 보고서에 따르면 클라우데라의 CDP 퍼블릭 플랫폼은 고객이 멀티 클라우드와 하이브리드 클라우드 인프라 환경에서 다양한 워크로드에 대한 중앙집중식의 보안과 컴플라이언스 정책을 준수할 수 있도록 지원한다. 특히 클라우데라의 CDP SDX(Shared Data Experience)는 기업이 데이터 엔지니어링, 데이터 웨어하우스, 데이터 사이언스 관련 다양한 사용 사례와 워크로드에 대한 최신 보안 정책을 제공한다. 클라우데라 에디 가르시아 최고정보관리자(CIO)는 “멀티클라우드 환경에서 데이터를 보호하고 관리하는데 어려움이 따르는데 최근 기업은 규제 프레임워크 내에서 데이터를 보호하는 동시에 새로운 개인정보 데이터 규제까지 따라야 하는 상황”이라며, “클라우데라 데이터 플랫폼은 이번 SOC 2 인증을 통해 데이터 보안과 거버넌스, 개인정보보호를 위한 클라우데라의 지속적인 노력을 입증했다”라고 말했다. editor@itworld.co.kr

클라우데라 2021.02.03

지란지교데이터, 개인정보 비식별화 솔루션 ‘아이디필터’ 출시

지란지교데이터는 데이터 비식별화 솔루션 ‘아이디필터(IDFILTER)’를 출시했다고 밝혔다. 개인정보 비식별화 솔루션은 빅데이터를 활용하기에 앞서 주민등록번호와 같은 개인식별정보나 전화번호, 주소, 의료·건강 정보 등 민감한 개인정보를 익명·가명 처리해 보호하는 기능을 한다.   ‘아이디필터’를 이용하면 원본 데이터를 가명 처리하거나, 범주화 처리하는 한편 삭제 또는 마스킹 처리해 개인정보를 비식별 변환한다. 이렇게 비식별화된 데이터만 사용할 수 있게 법으로 정해놨지만 개인정보 비식별화 절차를 제대로 지키지 않아 곤혹을 치르는 경우도 발생하고 있다. 지란지교데이터 조원희 대표는 “비식별화 과정은 책임소재가 명확해야 하고 비식별 민원 요청 단계부터 비식별화 후 검증을 거쳐 요구자에 전달되기까지 전체 과정 또한 투명하고 편리하게 관리되어야 한다”며 “이번에 출시한 아이디필터는 비식별업무 프로세스의 전주기적 관리로 기관과 실무자의 고민과 상황을 반영한 제품”이라고 설명했다. 개인정보 비식별화 솔루션 ‘아이디필터’는 휴리스틱 익명화·암호화·교환방법·라운딩·범주화 등 국내 가이드라인에서 제시한 17가지 비식별 기술 및 프라이버시 보호 모델(K-익명성 / L-다양성)을 활용한 다양한 비식별 조치가 가능하다. 기업에서 보유하고 있는 민감한 개인정보의 데이터를 처리하는 동시에 품질 및 정보 보안 유지를 위해서 반드시 필요한 기술적 구성 요소를 두루 갖추고 있다. 주요 기능 및 특장점으로는 ▲프로젝트 관리 및 데이터 전주기적관리▲비식별 조치▲적정성 평가▲사후 검토▲개인/민감 정보 탐지 기술 ▲데이터 분포도 및 위험도 시뮬레이션이 있다. 특히 아이디필터는 지란지교데이터 개인정보 필터 시리즈 판매로 2006년 이후 15년 이상 축적된 개인·민감정보 탐지 기술이 반영돼 관리자가 사전에 등록해 놓은 개인/민감 정보 패턴을 정확하고 빠르게 탐지하고 처리할 수 있다. 데이터 분포도 및 위험도 시뮬레이션을 통해 활용 데이터의 재식별 방지를 위한 후속 조치도 가능하다....

지란지교데이터 2021.02.01

온라인 개인정보보호를 위한 최고의 브라우저와 사용자가 할 수 있는 모든 방법

브라우저를 사용한다면 온라인에서 수행하는 모든 행위가 추적된다. 하지만 맞서 싸울 수는 있다.    “어째든 개인정보보호라는 것은 전혀 없다. 잊어버려라.” 스콧 맥닐리는 1999년 온라인 개인정보보호에 대해 이렇게 말했다. 현재는 사라진 썬마이크로시스템즈의 전 CEO였던 맥닐리는 2015년에 개인정보보호에 대해 재차 언급했다. 맥닐리의 초기 발언이 부정적이고 침울한 어조에도 불구하고 대체로 정확했다는 것이 입증됐다.  웹사이트와 앱의 쿠키(Cookies), 비콘(beacons), 디지털 서명(digital signatures), 추적기(trackers)와 여타 다른 기술을 통해 광고주, 기업, 정부, 그리고 범죄자들은 사용자가 하는 일, 아는 사람, 매우 친밀한 사람에 대한 매우 상세한 프로필을 작성할 수 있다. 2012년 타겟(Target)이 한 10대 여성의 온라인 활동을 바탕으로 그녀의 부모가 알기 전에 임신했음을 알아낸 이야기는 많이 회자된다. 이것이 오늘날 개인정보보호의 표준이다. 구글과 페이스북은 가장 악명높은 상업용 인터넷 스파이이며, 가장 널리 퍼져있는 인터넷 스파이 가운데 하나지만, 이들은 혼자가 아니다.    사용자가 하는 모든 일을 모니터링하는 기술은 점점 더 좋아졌다. 1999년에는 존재하지도 않았던 새로운 모니터링 방법이 많이 등장했다. ▲아마존 알렉사(Amazon Alexa)와 애플 시리(Apple Siri)와 같은 상시 청취 에이전트 ▲스마트폰의 블루투스 비콘 ▲사용하는 모든 기기에서 사용자 활동을 보여주는 기기간 동기화 그리고 ▲페이스북과 같은 소셜 미디어 플랫폼 등이 있다. 특히 페이스북과 같은 소셜 미디어는 사용자와 사용자 인맥에 대한 모든 것을 공유하도록 설계됐기 때문에 수익을 창출할 수 있다. 추적기는 브라우저에서 사용자를 자동으로 감시하는 최신 방법이다. 예를 들어, 필자가 최근 확인했을 때 CNN은 60개의 추적기가 실행 중이었다.   애플의 사파리 14 브라우...

개인정보보호 프라이버시 브라우저 2021.01.29

글로벌 칼럼 | ‘폭동 셀카’가 제대로 된 기업에 주는 교훈

전자적 메타데이터는 사법기관이 미 의회를 공격한 사람들을 추적하는 데 도움이 되지만, 프라이버시를 우려하는 기업이라면 이런 데이터의 존재에 주의해야 한다.   미국 국회의사당에 난입한 트럼프 지지자들은 스마트폰으로 현장을 촬영하며 2주 후 열릴 조 바이든 당선자의 취임을 막으려는 자신들의 정당한 노력을 자축했다. 하지만 이들이 사용한 디지털 디바이스가 생성한 GPS 데이터는 폭도의 건물 내 위치를 추적하는 데 사용되고 있으며, 미 FBI는 이들을 체포해 형사 처벌하고 있다.  FBI는 경찰의 저지선을 넘어 침입하고 창문을 깨고 경찰과 기자를 공격한 행위 등을 조사하고 있다. 폭도는 사무실에 침입해 노트북 등을 훔치기도 했으며, 대리석 벽과 바닥을 배설물로 더렵혔다. 또 마크 펜스 부통령과 의원들을 쫓아 건물을 뒤지기도 했다.  이 과정에서 네트워크로 연결된 스마트폰으로 영상과 셀카를 찍고 문자 메시지를 보냈으며, 이를 소셜 미디어에 실시간으로 올렸다. 그 결과는 바로 GPS 데이터라는 보물찾기로 이어졌으며, 이미 100명 이상이 체포됐다.  워싱턴 포스트는 국회의사당은 그 어떤 건물보다 방대한 이동통신 및 무선 데이터 인프라를 갖추고 있어 의사당 건물이 대부분 돌로 지어졌고 깊은 지하까지 확장되어 있고 차폐 구역도 지만, 효율적인 통신을 제공한다고 전했다. 이런 인프라 덕분에 네트워크에 연결된 모든 스마트폰이 추적 디바이스가 된 것이다. 미 의사당 난입 폭도에게 또 다른 증거가 된 것은 이들이 주로 사용한 소셜 미디어 플랫폼인 팔러(Parler)의 열악한 코딩과 보안이었다. 한 해커는 팔러의 서비스가 중단되기 전에 데이터를 긁어 왔는데, 이 데이터는 당일 의사당에서 이루어진 팔러 사용자의 행동을 ‘조감도’처럼 보여준다. 기즈모도(Gizmodo)의 보도에 따르면, 이 해커는 사용자의 위치 정보를 담고 있는 수백만 건의 비디오를 포함해 모든 팔러 포스트의 99%를 저장했다. 다른 소셜 미디어와는 달리 팔러는 사용자의...

국회의사당 트럼프 폭동 2021.01.21

솔라윈즈 해킹, 미국 의회의 사이버보안 의제 바꿨다

솔라윈즈(SolarWinds) 해킹으로 의회의 사이버 보안 의제가 빠르게 재편되어 미국 주와 의회에 대한 추가 사이버보안 예산, 새로운 침해 신고 규칙, 그리고 랜섬웨어 관련 법안이 117차 미국 의회의 의제로 다뤄질 것으로 보인다.    미 연방 정부와 민간 부문은 여전히 솔라윈즈 공급망 해킹의 여파에 시달리고 있으며, 미 의회는 최근 새로운 임기를 시작하면서 국회의사당 침입 테러와 같은 사태로 긴장하고 있다.   솔라윈즈 해킹으로 인해 최소한 단기적으로는 사이버보안에 대한 입법 의제가 바뀐 것으로 보인다. 새로운 117차 미 의회의 관련 위원회들은 아직 구체적인 입법에 대해 언급하지 않았지만, 사이버보안은 상하 양원을 통틀어 논의의 중심이 될 것은 분명하다.   첫째, 솔라윈즈 침해가 발견된 후, 새로이 출범한 바이든 행정부는 사이버보안을 최우선 과제로 삼겠다고 약속했다. 최근 바이든 팀은 CISA의 보안 감시와 사고 대응을 개선하기 위해 6억 9,000만 달러의 자금지원을 포함해 사이버보안 지출 약 100억 달러가 필요한 구조 계획을 발표하면서 이 약속을 이행했다.    미 의회에서 사이버보안 입법을 주도하는 의원 가운데 하나인 짐 랑게빈 하원의원은 바이든의 사이버보안 지출 확대 추진에 박수를 보냈다. 랑게빈은 “솔라윈즈 해킹 사건을 계기로 사이버보안에 대한 중요한 투자를 추진하는 것에 감사하다”며, “미국인과 사이버 공간에 대한 이익을 보호하기 위해 지금 행동해야 할 것에 초점을 맞추고 있다”라고 밝혔다.  신임 정보위원장 마크 워너, 침해 보고 요건에 이의 제기  신임 정보위원장인 마크 워너 상원의원은 솔라윈즈 해킹에 대한 청문회를 개최할 것이며, 국가 데이터 침해 통보 의무법의 개념을 재검토할 계획이라고 말했다. 폭도들이 미 의사당을 포위하고 난 다음날인 1월 7일 아스펜 연구소 웨비나에서 “솔라윈즈의 침해 사고는 러시아의 공격자들이 저질렀을 가능성이 높은 파괴적인...

솔라윈즈 의회 사이버보안 2021.01.21

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.