Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

야후

21세기 데이터 침해 사건 TOP 15

얼마 전까지 만해도 수백만 명의 데이터를 손상시킨 침해 사건이 큰 화제가 됐다. 하지만 이제 수억, 또는 수십억 명의 사람들에게 영향을 미치는 침해 사건이 너무 흔하다. 21세기에 들어 15개의 침해 사건에서 상위 2개에서만 약 35억 명의 사람의 개인 데이터가 유출되는 것을 목격했다. 이번 기사에서 가장 작은 사건이 1억 3,400만 명의 데이터를 도난당한 사례다.    본지는 간단한 선정 기준을 통해 21세기 가장 큰 침해 사건 목록을 작성했다. 선정 기준은 침해된 사용자 수다. 또한 악의적인 의도로 데이터를 도난당한 사건과 기업이 실수로 데이터를 보호하지 않고 노출시킨 사건을 구분했다. 예를 들어, 트위터는 3억 3,000만 명의 사용자의 비밀번호를 암호화하지 않은 채 로그에 노출시켰지만, 오용의 증거는 없었다. 그래서 트위터는 이 목록에 포함되지 않았다.  이번 기사는 다음과 같은 15개의 가장 큰 데이터 침해 사건을 알파벳 순서로 나열했으며, 영향을 받은 사람, 책임자, 기업의 대응 방식을 설명했다.  가장 큰 데이터 침해 사건들 어도비(Adobe)  어덜트프랜드파인더(Adult Friend Finder) 캔바(Canva) 덥스매시(Dubsmash) 이베이(eBay) 에퀴팩스(Equifax) 하트랜드 페이먼트 시스템즈(Heartland Payment Systems)  링크드인(LinkedIn) 메리어트 인터내셔널(Marriott International) 마이 피트니스 팔(My Fitness Pal)  마이스페이스(MySpace) 넷이즈(NetEase) 시나 웨이보(Sina Weibo) 야후(Yahoo) 징가(Zynga) 어도비(Adobe)  - 사건 날짜: 2013년 10월  - 영향: 1억 5,500만 사용자 기록  - 세부 정보: 보안 전문기자 브라이언 크렙스가 2013년 10월 초에 보도한 것처럼 어도비는 원래 해...

데이터침해 어도비 어덜트프랜드파인더 2021.01.12

2020년 11월까지 가장 큰 데이터 보호법 위반 벌금 사례

취약한 보안, 은폐 또는 실수로 인해 발생한 해킹과 데이터 도난으로 인해 이들 기업은 총 13억 달러(약 1조 4,100억 원)에 달하는 비용을 지출했다.    2019년 이후 데이터 침해에 대해 상당한 벌금이 부과되는 것은 각국의 규제당국이 개인 데이터를 적절하게 보호하지 않는 기업에 대해 심각하게 생각한다는 것을 의미한다. 메리어트(Marriott)는 1억 2,400만 달러(약 1,345억 원)의 벌금을 부과받았지만, 나중에 감액됐으며, 에퀴팩스(Equifax)는 2017년 침해에 대해 최소 5억 7,500만 달러(약 6,238억 원)를 지불하기로 합의했다. 2018년 이후에도 데이터 침해 사고는 계속 발생했다. 우버(Uber)는 2016년 침해 사고를 제대로 처리하지 못해 1억 5,000만 달러(1,629억 원)를 손실이 발생했다. 2016년 당시, 약한 보호와 강한 규제 속 의료 데이터도 큰 손실을 입게됐고, 이로 인해 미국 보건복지부(US Department of Health and Human Services, DHS)는 점점 더 많은 벌금을 징수했다.   에퀴팩스: 최소 5억 7,500만 달러(약 6,235억 원)  2017년, 신용 기관인 에퀴팩스는 데이터베이스 가운데 하나에서 패치가 적용되지 않은 아파치 스트럿츠(Apache Struts) 프레임워크로 인해 거의 1억 5,000만 명의 개인 및 금융 정보를 잃어버렸다. 에퀴팩스는 패치가 발표된 지 수개월동안 이 심각한 취약점을 수정하지 못했으며, 침해 흔적을 발견한 후에도 수주동안 대중에게 침해 사실을 알리지 않았다.  2019년 7월, 에퀴팩스는 회사가 네트워크 안전 확보를 위해 합리적인 조치를 취하지 못한 이유로 미 연방거래위원회(Federal Trade Commission, FTC), 소비자금융보호국(Consumer Financial Protection Bureau, CFPB)과 미국 50개 주에 5억 7,500만 달러를 지불하기로 합의했...

벌금 데이터보호 GDPR 2020.12.08

모바일 앱 개발자에게 유용한 무료 분석 툴 14선

유료 모바일 앱 분석 툴은 주로 마케터를 대상으로 하고, 무료 모바일 분석 툴은 앱 기능을 개선하고 충돌을 추적하며 일반적으로 모바일 앱을 적합하고 안정적으로 유지하려는 개발자에게 이상적이다. 그렇다면 모바일 앱 개발자에게 딱 맞는 무료 분석 툴은 무엇일까? 애플, 앰플리튜드(Amplitude), 아마존, 트위터, 야후, 구글 등의 내부에서 자체적으로 구축해 사용하기 시작한 솔루션부터 카운틀리(Countly)와 피윅(Piwick) 같은 오픈소스 솔루션까지 다양한 툴을 소개한다.  1. 브랜치.io   미국 캘리포니아에 있는 브랜치.io(Branch.io)는 기업이 연결 인프라를 통해 모바일 성장을 촉진하도록 끊김 없는 모바일 경험 제공을 돕는다. 추천, 기여, 성능에 중점을 둔 브랜치.io는 사용자에게 크로스 플랫폼 통찰력을 제공할 수 있으며 애플리케이션, 웹, 이메일, 소셜미디어, 검색, 유료 광고 같은 핵심 마케팅 채널에 통합될 수 있다. 브랜치.io의 고객으로는 버즈피드(Buzzfeed)가 있다.  2. 코차바 코차바(Kochava)는 개발자가 사용자 속성을 더 잘 이해하도록 앱 성능을 실시간으로 시각화해 주는 도구다. 사용자 타겟팅부터 총체적 기여와 광고 최적화까지 모든 것을 망라하는 이 솔루션은 마케터가 사용자 ID를 설정하고 강화하며 잠재 고객을 분류하고 활성화해 연결된 모든 기기에서 캠페인을 개선하는 것을 목표로 한다. 코차바는 제한된 기능으로, 또는 15일 동안 무료 평가판을 사용할 수 있는 엔터프라이즈급 솔루션 등 무료 플랫폼 버전을 제공한다. 엔터프라이즈 에디션의 가격은 요청하면 받을 수 있다. 3. 패브릭   패브릭은 트위터가 2013년에 플랫폼을 인수한 후 크래쉴리틱스(Crashlytics)를 구축한 팀과 동일한 팀에서 제공한다. 무료 분석 플랫폼은 실시간 앱 안정성 대시보드를 제공하여 개발자가 충돌, 베타 배포, 사용자 행동을 한 곳에서 추적할 수 있도록 도와준다. 패브릭은 iOS용과 안...

야후 Branch.io Countly 2019.08.13

2018년 최대의 벌금형을 받은 데이터 침해 사고들

취약한 보안, 회피할 수 있었던 실수에 의한 해킹, 데이터 절도 사건 등으로 인해 8개 기업에서 약 2억 8,000만 달러(약 3,200억 원)의 비용이 소모됐다. 2018년은 이미 데이터 유출로 인해 상당한 벌금과 피해자가 발생한 것으로 나타났다. 우버의 2016년 사고에 대한 부실한 처리로 인해 1억 5,000만 달러에 육박한다. 엄격한 규제 하에 있는 보건 자료는 의료 시설 비용이 많이 들기 때문에 제대로 보호되지 않아 미국 보건복지부는 점점 더 많은 벌금을 부과한다. 현재 EU의 GDPR(General Data Protection Regulation)이 발효됨에 따라 더 많은 벌금이 부과될 수 있다. EU의 데이터 규제기관은 2,000만 유로(약 260억 원) 이상의 벌금을 부과할 수 있다. 다수의 유명 기업은 이미 새로운 규정이 발효된 이래로 대규모 위반 사고를 겪었다. 이는 2019년에 실패 비용이 급증할 수 있음을 의미한다. editor@itworld.co.kr   

야후 페이스북 데이터침해 2018.11.01

AOL과 야후, 오스로 하나 된다···전문가들 "큰 기대 안 해"

버라이즌이 야후 인수를 계기로 AOL과 야후를 새로운 브랜드인 오스(Oath)로 통합한다고 발표했다. AOL의 CEO 팀 암스트롱은 트위터를 통해 “10억 명 이상의 사용자, 20개 이상의 브랜드, 거침 없는 팀”이라는 목표를 밝혔다. 암스트롱에 따르면, 허핑턴 포스트, 엔가젯, 테크크런치 등 유명 미디어를 소유한 AOL은 CNBC와의 인터뷰에서 오스라는 브랜드 아래에 야후의 자산을 합칠 것이라고 밝혔다. 오리온X의 애널리스트 댄 올즈는 “야후와 AOL이 업계 1, 2위를 다투던 때를 기억하는 이들에게는 슬픈 일이다. 많은 미국 사용자들에게 AOL은 처음 인터넷 경험을 제공한 업체이며, 아마도 첫 인터넷 이메일 주소 뒷자리로 익숙했을 것이다. 인터넷 검색에 있어서도 야후로 처음 인터넷 영토에 들어온 사용자들이 많다”고 말했다. 이들은 끊임없이 변화하는 경쟁 문화에 적응하지 못하고 뒷자리로 밀려났다. H&A 애널리스트 주디스 허위츠는 “AOL과 야후가 새로운 브랜드로 탈바꿈하는 것이 무엇을 의미하는지 파악하기에는 아직 너무 이르다. 두 업체의 기술은 너무 많다. 이들이 일반 사용자용 서비스를 제공하는가, 아니면 회사가 변화에 더욱 잘 대처하도록 지원하는 기반 기술을 만드는가도 명확하지 않다”고 말했다. 그간 야후는 재정적으로나 업계 점유율에서나 어려움을 겪어왔다. 또 두 건의 대규모 데이터 유출 사고에도 대처해야 했다. 이후 야후는 지난해 7월 핵심 인터넷 자산을 48억 달러에 버라이즌에 매각한다고 발표했다. 매각 절차는 올해 2분기에 완료될 것으로 보인다. 버라이즌은 2015년 44억 달러에 인터넷 업체 AOL을 인수했다. 야후 CEO 마리사 메이어도 야후도 인수 후 메이어의 거취를 밝히지 않은 상태에서, IT 매체 리코드는 메이어가 야후와 오스에 참여하지 않을 것이라고 보도했다. 엔덜레 그룹 애널리스트 롭 앤덜레는 오스라는 새로운 브랜드 합병이 재정적...

야후 AOL 버라이즌 2017.04.05

“클릭 실수 한번으로” 러시아 해커가 야후를 털어간 방법

한 번의 클릭 실수였다. 이 한 번의 실수가 러시아 보안 기관과 연결된 해커가 야후 네트워크에 대한 접근 권한을 얻고 5억 명에 달하는 사람들의 이메일 메시지와 개인 정보를 가져갈 수 있도록 했다. 미 FBI는 2년 동안 야후에 대한 침입을 조사해 왔는데, 해킹의 전모가 드러난 것은 2016년 말이나 되어서였다. 그리고 지난 15일 FBI는 4명을 해킹 공격 용의자로 기소했는데, 이 중 두 명은 러시아 정보요원인 것으로 알려졌다. FBI가 밝힌 해킹 기법을 살펴 보자. 이번 해킹은 지난 2014년 초 야후 직원에게 보낸 스피어 피싱 이메일로 시작됐다. 얼마나 많은 직원이 공격 대상이었는지, 얼마나 많은 이메일을 전송했는지는 확실하지 않다. 하지만 단 한 명이 이메일의 링크를 클릭했고, 그것으로 해킹이 본격적화됐다. 러시아 정보기관이 고용한 라트비아 해커 알렉세이 벨란은 일단 네트워크 주변을 탐색하기 시작했고, 목표는 두 가지였다. 야후의 사용자 데이터베이스와 데이터베이스를 편집할 수 있는 계정 관리 툴이 목표였는데, 벨란은 금방 이 두 가지를 찾아냈다. 이들 통해 액세스 권한을 유지한 벨란은 야후 서버에 백도어를 설치했고, 12월에는 야후 사용자 데이터베이스의 백업본을 훔쳐 자신의 컴퓨터로 전송했다. 이 데이터베이스에는 사용자의 이름과 전화번호, 패스워드를 잃어버렸을 때의 질문과 답, 그리고 결정적으로 패스워드 복구 이메일과 각 계정 고유의 암호화 값이 담겨 있었다. 마지막 두 가지가 바로 벨란과 그의 동료인 직업 해커 카림 바라토브가 러시아 정보요원 드미트리 도쿠체프와 이고르 수시친이 요청한 특정 사용자의 계정에 액세스할 수 있는 정보였다. 계정 관리 툴은 사용자 이름 같은 일반 텍스트 검색을 허용하지 않았기 때문에 해커들은 이메일 주소를 복구하는 방법을 사용했다. 때로는 복구 이메일 주소를 기반으로 목표를 알아볼 수 있었으며, 이메일 도메인으로 계정 소유자가 일하는 직장이나 조직을 파악하기도 했다. 일단 목표 계...

야후 해킹 러시아 2017.03.16

“브랜드도, CEO도, 모두 버린다” 야후, 기업명 ‘알타바’로 변경

야후가 기업명을 ‘알타바(Altaba)’로 바꾸고 CEO인 마리사 메이어도 물러날 것이라고 밝혔다. 야후는 월요일 미국 SEC(U.S. Securities and Exchange Commission)에 버라이즌 인수가 완료되면 브랜드명을 포함, 현재 야후가 만든 모든 것을 버린다는 내용을 담은 서류를 제출했다. 야후의 현재 주요 자산은 2가지다. 전 세계에 서비스되는 인터넷 포털과 이보다 훨씬 가치가 높은 중국의 인터넷 거인 알리바바(Alibaba)의 지분 15%다. 세금 문제 해결을 위해 야후는 알리바바 지분 매각을 계획하다가, 이 지분을 제외한 나머지 포털과 브랜드를 버라이즌에 매각하는 것으로 계획을 수정했다. 버라이즌은 야후의 포털을 2015년에 인수한 AOL과 합칠 전망이다. 버라이즌이 야후 인수를 발표한 직후인 7월, AOL CEO 팀 암스트롱은 테크크런치와의 인터뷰에서 “야후 브랜드는 매우 오랫동안 우리와 함께 갈 것이며, 우리가 투자할 것”이라고 밝힌 바 있다. 인수를 발표한 지 몇 달 후 야후는 2건의 대규모 데이터 유출 사고를 시인했다. 9월에는 계정 5억 개, 12월에는 10억 개의 계정이 별도의 사건으로 해킹됐다고 알린 것. 이러한 데이터 유출 사고는 야후의 브랜드와 경영진의 평판을 흔들어놨으며, 버라이즌은 야후 인수와 관련해 재협상 혹은 인수 포기를 검토하고 있는 것으로 알려졌다. 그러나 월요일 SEC에 제출된 서류는 버라이즌과 야후의 합병이 여전히 유효하다는 것을 암시한다. 이 서류에는 인수가 완료되면 야후의 브랜드명과 기업명을 분리하기 위해 기업명을 ‘알타바’로 변경한다는 내용이 포함되어 있다. 인수 완료 후 알타바는 알리바바와 야후 재팬 주주들의 투자 대상 역할을 주로 할 전망이다. 야후 재팬은 야후의 지분이 35.6%에 불과한 독립회사다. 나머지 대부분은 소프트뱅크 그룹이 보유하고 있으며, 소프트뱅크는 미국의 통신사 스프린트(Spr...

야후 포털 알리바바 2017.01.11

2016년 10대 해킹, 침해, 보안 사건사고

컴퓨터 보안 업계에 2016년은 길고 우울하고 각종 침해 사건으로 얼룩진 한 해였다. 야후는 역사상 최대 규모의 해킹 피해(두 배)라는 기록을 세웠다. 수백만 대의 좀비화된 웹캠과 DVR이 미국 인터넷을 다운시켰다. 러시아는 "선거 해킹" 의혹에 휩싸였고 새로운 형태의 맬웨어가 등장해 순진한 사용자에게서 비트코인을 갈취했다. 야후를 초토화시킨 해커 지난 9월, 야후는 최소 5억 개의 사용자 계정이 유출되었다는 소식을 전하며 세계를 충격에 빠트렸다. 그것만 해도 주요 기술 기업에서 발생한 개인 데이터 도난 사건으로는 역사상 최대 규모였다. 그런데 얼마 후 설상가상으로 야후는 해킹 자체는 2014년에 발생했으며 그것을 2016년에야 인지한 것이라고 밝혔다. 결국 공격자들은 몇 년 동안 사용자 정보에 마음대로 접근했던 것이다. 그러나 이 정도는 맛보기에 불과했다. 12월 중순 야후는 2013년 8월을 전후해 다른 해킹 사건도 발생했으며 이로 인해 사용자 10억 명의 데이터가 유출되었다는 기절초풍할 소식을 전했다. 9월에 발생한 해킹 규모 기록의 두 배에 이르는 수치다. 방문하는 모든 사이트, 사용하는 모든 서비스마다 강력하고 고유한 암호를 사용하는 이유가 바로 여기에 있다. 만연하는 랜섬웨어 2016년을 정의하는 단 한가지 위협을 꼽으라면 단연 랜섬웨어다. 이 악질적인 악성코드는 파일을 암호환 다음 이를 인질로 잡고 암호를 풀어주는 대가로 돈(반 익명의 비트코인)을 요구한다. 2016년에는 로키(Locky), DMA 로커(DMA Locker), 서프라이즈(Surprise) 등 실로 많은 랜섬웨어 변종들이 뉴스 기사를 장식했다. 또한 투박하지만 효과적인, 랜스캠(Ranscam)이라는 버전은 돈을 받고서도 파일을 삭제하는 것으로 악명을 떨쳤다. 모바일 랜섬웨어까지 등장했으며 7월에는 오프라인에서도 작동할 수 있는 로키 버전도 발견됐다. 랜섬웨어가 얼마나 기승인지는 맬웨어바이트(Malwarebytes)의 8월 연구를 보면 알 수 ...

야후 해킹 데이터유출 2016.12.23

2016년 최악의 데이터 보안 사고(해외편)

2016년도 예외는 없었다. 하루가 멀다 하고 대규모 데이터 유출 사건은 계속 발생했다. 이 가운데 몇 가지만 추려보았다. 야후(Yahoo) 올해 9월 야후는 2014년에 해킹 당시 5억 명의 특정 사용자 계정 정보의 사본을 유출했다고 공개했다. 야후, 사상 최대 규모 5억 명 개인정보 유출···"특정 국가가 사주한 해커" 주장  야후 CISO 밥 로드는 공식 성명에서 이 해킹은 정부 배후의 공격자가 연루되어 있을 것이라며 유출 항목은 이름에서부터 이메일 주소, 전화번호, 생년월일, 해시된 비밀번호, 암호화 혹은 암호화되지 않은 보안 질답 등을 포함한다고 말했다. 이번 발표는 야후의 수십 억 사용자들을 지속적으로 보호하기 위해 새롭게 창설한 팀인 파라노이드(Paranoids)에 대해 설명하는 인터뷰 이후, 채 1년이 지나지 않은 시점이다. 미국 상원의원들은 해킹 정보를 공개하지 않는 야후의 태도에 대해 비판하면서 "2년동안 수백 만의 미국인 데이터가 해킹당했을 지 모른다"고 주장했다. 야후는 즉각적으로 "이는 받아들일 수 없다. 보안 감사에서 발견된 공격의 확장과는 별개다"라고 대응했다. 그러나 최근 야후는 2014년 일부 직원들이 이 공격에 대해 알고 있다고 시인했으나 공격 일정이 불명확하고 야후가 다른 고위 경영진들에게 정보를 전달했는지 여부를 밝히지 않았다. 뉴욕타임즈에 따르면, 야후는 이번 해킹 사건과 관련해 미국과 다른 지역에서 23건의 소송이 제기됐다. 뿐만 아니라 야후는 12월 15일 앞서 설명한 유출 사고와 별개로 2013년 8월에 10억 개 이상의 계정이 유출된 사실을 공개했다. "야후가 또!" 2013년에 계정 10억 개 유출 확인... 역대 최대 규모 이번에 공개된 유출 데이터는 사용자의 이름, 이메일 주소, 전화번호, 생일, 해시 처리된 비밀번호 등이 포함된다. ...

야후 보안사고 데이터유출 2016.12.19

"야후가 또!" 2013년에 계정 10억 개 유출 확인... 역대 최대 규모

야후가 2013년 8월에 10억 개 이상의 계정이 유출된 사실을 공개했다. 이는 지난 9월에 밝혀진 2014년 말의 계정 5억 개 유출과는 별도의 사고로 야후의 기업 신뢰도에 큰 타격을 줄 것으로 예상된다. 이번에 공개된 유출 데이터에서는 사용자의 이름, 이메일 주소, 전화번호, 생일, 해시 처리된 비밀번호 등이 포함된다. 단, 이 비밀번호는 MD5라는 오래된 알고리즘으로 해시 처리 되었는데, 해당 알고리즘은 이미 복호화할 수 있다. 일부 데이터에는 보안 질문도 포함되어 있다. 다만 야후는 카드 정보나 계좌 정보는 유출되지 않았다고 밝혔다. 야후는 현재 추가 피해를 확인 중이며 사용자들에게 비밀번호를 변경하고 보안 질문을 비활성화할 것을 요구하고 있다. 사용자들은 유사한 보안 질문을 사용한 다른 계정도 점검해봐야 한다. 야후는 해당 데이터어 유출 사고의 원인을 “인증되지 않은 서드파티”라고만 언급했다. 야후는 데이터 유출 사고에 대해서 지난 11월에 인지했다. 당시 법집행기관이 야후에서 나온 것이라고 주장하는 데이터 파일을 가지고 야후에 접촉했는데, 해당 파일은 서드파티로부터 얻은 것이었다. 야후는 그 이후 외부 포렌식 전문가를 통해 해당 데이터가 유출된 것이 맞다는 사실을 확인했다. 야후 인수를 진행 중인 버라이즌은 수요일 “야후의 조사 진행 추이를 지켜볼 것이다. 최종 결론이 나기 전까지 새롭게 밝혀진 내용이 어떤 영향을 끼칠지 자세히 검토할 것”이라고 말했다. 한편, 야후는 이번 데이터 유출에 대해서 침입자가 야후 사이트의 인터넷 쿠키 처리 방식에 대한 기밀 코드에 엑세스할 수 있었다고 지적했다. 이렇게 되면 비밀번호가 없어도 특정 사용자의 계정에 접근할 수 있다. 야후는 이 쿠키 위조가 9월에 드러난 데이터 유출 사고의 해커와 어느 정도 연결되어 있음을 시사한다고 설명했다. editor@itworld.co.kr

야후 해킹 유출 2016.12.15

“10억 달러 깎자” 버라이즌, 야후 인수 가격 조정 요구

버라이즌이 야후 인수를 망설이는 모습을 보이고 있다. 최근 보도에 따르면, 버라이즌은 야후 인수 금액을 원래의 48억 달러에서 10억 달러를 내려 달라고 요구하고 있다. 뉴욕포스트의 보도에 따르면, 버라이즌의 관점에서 대규모 데이터 유출과 비밀 이메일 염탐 프로그램 혐의 등 야후의 최근 뉴스가 기업의 가치를 깎아내린 것이다. 또 2015년 버라이즌에 인수된 AOL의 책임자 팀 암스트롱이 인수 가격과 관련해 야후 임원을 만난 것으로 전해졌다. 버라이즌은 이 보도에 대한 논평을 거절했다. 전문가들도 지난 달 야후가 2014년에 해킹을 당했었다는 것이 드러나면서 버라이즌이 야후 인수에서 한걸음 물러서는 것을 선택할 수 있다고 분석했다. 야후의 대규모 데이터 유출 사고는 최대 5억 명의 사용자 계정이 피해를 본 것으로 알려졌다. 이때도 버라이즌은 자사는 야후가 이 사실을 밝히기 이틀 전에 알았을 뿐이라고 불만을 토로한 바 있다. 설상가상, 여기에 로이터의 보도가 이어졌다. 로이터는 야후가 미 정보기관의 요청에 따라 자사 고객의 모든 이메일을 몰래 검사하는 프로그램을 만들어 운용했다고 보도했다. 야후는 로이터의 보도가 오보라고 주장했으며, 프라이버시 단체들은 로이터 보도와 같은 광범위한 염탐 행위는 헌법 위반이라고 지적하고 나섰다. 야후는 뉴욕 포스트의 보도에 대해 즉각적인 논평을 내놓지 않고 있다.  editor@itworld.co.kr

야후 인수 해킹 2016.10.10

야후 “사용자 이메일 감시 기사는 오보”…FBI의 테러단 색출에 한시적 이용

야후는 자사의 비밀 이메일 염탐 프로그램에 대한 로이터의 기사를 “오보”라고 주장하며, 그런 시스템은 존재하지 않는다고 밝혔다. 지난 10월 4일 로이터는 야후가 미 정부의 기밀 요청을 받은 후 자체 소프트웨어 프로그램을 만들었는데, 이 소프트웨어는 야후 고객의 모든 수신 메일을 검사해 미국 정보기관이 제공한 정보를 찾을 수 있다고 보도했다. 하지만 10월 5일 야후는 이 보도에 반론을 제기했다. 야후는 이메일을 통해 “우리는 모든 정보의 사용자 데이터 요청을 좁은 의미로 해석해 데이터 노출을 최소화하고 있다. 기사에서 설명한 메일 검사 기능은 우리 시스템에 존재하지 않는다”라고 밝혔다. 하지만 야후의 발표문은 더 이상의 자세한 정보는 담고 있지 않다. 로이터의 보도에 대해 10월 4일에는 “야후는 법률을 준수하는 기업이며, 미국 법률을 따른다”라고 대응했다. 로이터의 보도는 또 야후의 CISO 알렉스 스타모스가 야후가 해당 이메일 염탐 프로그램을 승인한 후 회사를 떠났다고도 전했다. 하지만 스타모스는 이에 대한 언급을 거절했다. 몇몇 미국의 주요 IT 업체는 미국 정부로부터 그런 식의 광범위한 이메일 염탐을 요청 받은 적은 없다고 밝혔고, 구글은 “그런 요청을 받은 적은 없지만, 만약 받는다면 우리의 대답은 간단하다. ‘절대로 안된다’이다”라고 강조했다. 애플, 페이스북, 트위터도 비슷한 성명을 발표했으며, 그런 요청에 저항할 것이라고 말했다. 마이크로소프트 역시 자사는 로이터가 보도한 식의 요청을 받은 적이 없다고 밝혔다. 미국 정부가 IT 업체에 고객 데이터를 요청하는 것은 드물지 않은 일이다. 하지만 로이터가 보도한 야후의 이메일 염탐 시스템은 이런 수준을 넘어선 것으로, 정부기관이 야후 고객의 모든 이메일 계정을 검색할 수 있도록 하는 것이다. 미국 정보기관과 야후 어느 쪽도 구체적인 정보를 밝히지 않는...

감시 야후 이메일 2016.10.06

야후 유출 사건에 대해 알아야 할 것과 해야 할 것

정부 후원의 해커들이 최소 5억 명의 계정 내역을 훔쳤다는 야후의 공식 성명은 역대 최대 규모라는 점과 잠재적인 보안 위험성 때문에 충격적이다. 이는 최근 년도에 유출 사고를 경험했던 마이스페이스(MySpace), 링크드인(LinkedIn) 등 다른 온라인 서비스가 아닌 야후이기 때문이다. 이메일 제공업체인 야후의 계정은 이메일로 사용되는데, 보통 이메일 계정은 사용자들의 온라인 활동의 중심이다. 이메일 주소는 프라이빗 커뮤니케이션용으로 사용될뿐만 아니라 복구 지점으로, 수많은 웹사이트에서 계정을 위한 로그인 신원 확인에도 사용된다. 이메일 해킹은 가장 나쁜 데이터 유출 사고 가운데 하나로, 이를 통해 개인 사용자는 온라인에서 최악의 경험을 할 수 있다. 이를 대비하기 위해 알아야 할 것들은 다음과 같다. 암호화라고 같은 암호화가 아니다 야후가 밝힌 바에 따르면, 도난당한 계정 비밀번호들은 해시 알고리즘인 비크립트(BCrypt)로 암호화되어 있다. 암호화 기법의 한 방법인 해싱(Hashing)은 해시(hash)라고도 한다. 해시는 역행할 수 없게 되어있어 비밀번호를 저장하기 위한 좋은 방법이다. 사용자가 비밀번호와 같은 걸 입력하면 한 해싱 알고리듬을 통과해 이전에 저장되어 있는 해시와 비교한다. 이는 실제 데이터베이스에 평문으로 저장하지 않고 비밀번호를 확인하는 방법을 제공해 즉시 로그인할 수 있도록 한다. 그러나 평문 비밀번호를 추정하기 위해 시도하는 비밀번호 크래킹 공격에 대응하는 모든 해싱 알고리듬이 동일한 보호 역량을 갖고 있지는 않다. 오래된 MD5는 추가적인 보안 수단없이 독자적으로 이행된다면 크랙하기 쉽다. 이와는 달리 비크립트(bcrypt)는 강력한 알고리듬으로 되어 있어 이론상으로 해커들의 크래킹 가능성이 매우 낮다. 그러나 문제는 다른 데 있다. 야후의 공식 성명대로라면 대부분의 비밀번호일 뿐 전부가 비크립트 해시 알고리듬으로 보호되고 있는 것은 아니다. 얼마나 많은 비밀번호가 다른 알고리듬에 해시되어 있는 지...

야후 개인정보 데이터유출 2016.09.26

버라이즌, “이틀 전에 알았다”…야후 인수 완료 전 책임 파악 필요

버라이즌은 목요일 늦게 야후의 대규모 데이터 해킹에 대해 불과 이틀 전에 알았다고 밝혔다. 버라이즌은 야후를 48억 달러에 인수하고 합병 마무리 작업을 진행하고 있다. 하지만 버라이즌은 이메일 발표문을 통해 자사가 “제한적인 정보와 파급효과에 대한 이해”만을 가지고 있다고 인정하고, 앞으로 할 일을 검토할 것이라고 밝혔다. 22일 목요일 야후는 “특정 국가의 지원을 받는 해커”에 의해 자사 사용자 계정이 절취됐으며, 피해 범위는 최소 5억 명에 이른다고 밝혔다. 야후는 상세한 해킹 과정이나 이후 버라이즌과의 인수 과정에 미칠 영향에 대해서는 즉각적인 답변을 내놓지 않았다, 업계 애널리스트들은 버라이즌이 야후 인수 계획을 파기할 가능성은 극히 낮다고 본다. 버라이즌의 야후 인수는 현재 규제 기관의 심사를 받고 있다. 하지만 버라이즌이 인수 가격을 내리고자 할 수도 있다. 해킹 사실을 제대로 알리지도 않았고, 또 양사가 이번 해킹의 피해자들에게 져야 할 책임도 제대로 파악되지 않았기 때문이다. 버라이즌 대변인 밥 바레토니는 “야후의 보안 사고를 안 지 이틀밖에 안됐다”라며, “야후가 이 문제를 적극적으로 조사하고 있다는 것은 알지만, 그 외에 우리가 알고 있는 정보는 제한적이다. 조사를 진행하면서 소비자와 고객, 주주, 관련 커뮤니티를 포함하는 포괄적인 버라이즌의 관점에서 검토할 것이다. 그때까지 버라이즌은 추가 언급을 할 만한 처지가 아니다”라고 말했다. 잘 알려진 보안 전문가이자 리콘 애널리틱스의 애널리스트인 로저 에트너는 버라이즌은 여전히 야후를 인수할 것이지만, 인수 가격을 조정할 수는 있을 것으로 내다봤다. 하지만 해킹에 대해서는 야후가 막을 수 있는 성질의 것이 아니라고 평가했다. 에트너는 “만약 어떤 국가가 개인의 데이터에 침투하고자 한다면, 그렇게 할 것이다. 침투할 수 있는가의 문제가 아니라 언제 할 것인가의 문제이다. 보안은...

야후 해킹 사용자정보 2016.09.23

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.