Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

보안사고

삼성, 6개월 만에 2번째 데이터 유출··· 이번엔 美 고객

삼성전자가 9월 5일(미국 현지 시각) 지난 7월에 미국 내 자사 시스템에서 데이터 유출이 발생했다고 공개했다. 삼성전자는 신원불명의 공격자가 8월 4일 자사 시스템에 접근해 고객 개인 정보를 빼냈다는 사실을 발견했다고 밝혔다.  성명은 “2022년 7월 말 제3자가 삼성의 미국 시스템 중 일부에서 정보를 입수했다. 2022년 8월 4일 전후에 시점 진행 중인 조사를 통해 특정 고객의 개인 정보가 영향을 받는 것으로 확인됐다”라는 내용이었다.   삼성전자는 유출된 데이터에 주민등록번호나 신용카드 정보는 없었지만 경우에 따라 이름, 연락처 및 인구 통계 정보, 생년월일, 제품 등록 정보는 포함될 수 있다고 설명했다. 또한 사용자에 따라 개인 정보 침해 수준은 다를 것이라고 덧붙였다.  이번 사태로 피해를 본 사용자가 얼마나 되는지는 밝혀지지 않았다.  삼성은 해당 시스템을 보호하기 위한 보안 조치를 취하고 외부 사이버 보안 회사와 계약했으며 사법 기관과도 협력하고 있다고 전했다. 또한 일부 피해 고객과 직접 소통하고 있으며, 조사를 진행하면서 더 많은 고객에게 연락해 피해 상황을 파악할 예정이라고 밝혔다.  회사 측은 "이번 사태에 일반 사용자 기기는 영향을 받지 않았으며, 평소처럼 당사 제품과 서비스를 계속 사용할 수 있다"라고 말했다.    벌써 올해 2번째 보안사고 지난 3월 삼성은 갤럭시 스마트폰 관련 소스코드가 포함된 내부 회사 데이터가 유출되는 또 다른 보안 침해 피해를 겪었다. (한편 회사 측은 이번 해킹에 갤럭시 기기 작동과 관련된 일부 소스코드가 포함됐지만 사용자나 직원의 개인정보는 포함되지 않았다고 밝혔다)  3월에 벌어진 데이터 유출 사건은 랩서스(Lapsus$) 해킹 그룹이 190기가바이트(GB) 규모의 삼성전자 데이터를 탈취해 온라인에 유출하며 주목 받았다. 블리핑컴퓨터 등 IT 전문 외신은 랩서스가 이날 "삼성의 기밀 소스코드"라며, 190G...

데이터유출 보안사고 보안사고대응 2022.09.07

보안 사고에 대한 감정 변화에 효율적으로 대처하는 방법

일반적으로 금요일 오후 4시나 5시쯤, 관리자와 보안 전문가는 이상한 일이 발생하고 있을 수 있다는 메시지를 받는다. 조용하던 오후는 그때부터 혼란에 빠진다.   데이터 유출과 기타 보안 사고는 문제를 해결하려는 팀부터 주요 이해관계자까지 모두를 긴장시킨다. 관련인은 모두 초기의 부정, 순수한 공황, 분노, 불안, 죄책감 같은 다양한 감정을 경험한다. 심박수 증가, 땀, 떨림, 메스꺼움 등을 호소하는 경우도 많으며, 이런 보안 사고는 정신적 건강 문제까지 유발할 수 있다. 보안 업체 소포스(Sophos)의 사고 대응팀 책임자 피터 맥킨지에 따르면, 정신적인 스트레스에 적응하지 못하고 그만두는 관리자도 있다. 사이버 공격에 대응하는 직원의 감정적인 반응과 대응에 대한 논문을 저술한 패트릭 스테이시 박사는 “주요 이해관계자가 겪는 감정은 기업 전체로 확산할 수 있다”라고 말했다. 스트레스가 쌓이면서 신경이 날카로워진 경영진과 이사회 구성원은 문제를 신속하게 해결하도록 압박하기도 한다. 하지만 이런 압박은 전혀 도움이 되지 않는다고 지적했다. 기업의 운명은 사이버보안 사고를 처리하는 방법에 달렸다. 따라서 보안 전문가와 이해관계자는 항상 적절한 결정을 내려야 한다. 위기를 겪고 있는 상황 뿐 아니라 위기를 겪기 전에도 침착성을 유지하는 것이 중요하다. 감정의 연결고리는 사고 발생 이전부터 나타날 수 있다.  데이터 유출 이전에 나타나는 좌절감 기업을 보호하는 보안 전문가 및 관리자는 마치 그리스 신화에 나오는 코린토스의 왕 시시포스가 산꼭대기로 밀어 올린 거대한 바위가 다시 아래로 굴러 내려오는 것 같은 느낌을 받을 때가 많다. 심지어 직원에게 최신 업데이트를 설치하거나 고유 비밀번호를 설정하는 등의 기본 보안 수칙을 따르도록 교육하는 것에도 어려움을 겪는다. 이사회에 보안이 필수라는 사실을 납득시키는 것도 문제다. 보안업체 라스트라인(Lastline)이 2019년 실시한 설문조사 결과, 보안 전문가의 98%는 서비스와 장비를 구매하고...

보안사고 대처방법 보안위협 2022.01.20

토픽 브리핑 | "대해킹 시대" 침투 테스트의 필요성과 침투하기 어려운 기업 만들기

지난 5년 동안 사이버보안 세계에서는 도대체 무슨 일이 일어난 걸까? 금융, 제조, 호텔, 공공, 유통, IT는 물론, 무엇보다 보안에 치명적인 국방, 보안 분야에서도 해킹과 데이터 침해 사고가 있었다. 더욱 놀라운 것은 전문적으로 해킹하는 해킹 조직과 해킹 서버까지 당했고, 정부 조직들이 직간접적으로 해킹을 실행하고 있다는 사실 또한 공개됐다.  NSA, 화웨이 본사 서버 해킹...뉴욕타임스 & 슈피겔 IT 업체를 무너뜨린 악명높은 해킹 사례 20선 '해킹 서버가 해킹된다', 제우스 관리자 패널 해킹...코딩 결함이 원인 라스트패스 해킹 : 앞으로 해야 할 일 감시 툴 전문 업체 해킹 팀, 해킹 당해 내부 자료 400GB 유출 - 1부 미육군 웹사이트, 해킹 당한 이후 폐쇄 대한민국 군 내부망 해킹 사건 개요와 분석 세계 최대의 성인 사이트 프렌드파인더, 해킹 당해 4억 1,200만 계정 유출 야후 유출 사건에 대해 알아야 할 것과 해야 할 것 2016년 최악의 데이터 보안 사고(해외편) 암호화라는 속성으로 안전할 것이라 여겨졌던 비트코인과 블록체인 또한 실제 해킹 사례가 많이 발생했으며, 일반 기업보다 높은 수준의 보안을 유지한다는 매니지드 서비스 업체마저 해킹을 당했다.   비트코인과 블록체인 해킹 사례 매니지드 서비스 제공업체를 내부자 위협으로 간주해야 하는 이유 최근까지도 해킹과 침해 사건은 거의 매일같이 이어지고 있으며, 네트워크에서 가치 있는 모든 것이 해킹당하고 있다. 바야흐로 "대해킹 시대"가 도래한 것이다.   디즈니+ 해킹 패닉… 비밀번호 관리의 중요성 일깨워 "이유없는 해킹을 방어하라"··· '캐피털원' 보안사고가 남긴 숙제 해킹이 많아지고 피해가 심각해질수록 보안 기술은 빠르게 발전한다. 하지만 보안 기술 발전보다 공격 기술이 한 발 더 앞서 나간다는 불편한 사실은 보안에 대해 허무함마저 느끼게 한다.  대표적인 사이버 공격 "피싱"의 방법과 이를 예방하는 법 해커가 소프트웨어 설치...

보안사고 침해 침투 2019.11.22

글로벌 칼럼 | 서드파티 위험을 충분히 고려하고 있는가

서드파티는 종종 데이터 유출에 대한 책임이 있기 때문에 공급업체 및 기타 외부 파트너를 포괄하기 위해 보안 경계를 넘어 내부 보안 표준을 확장할 필요가 있다.    올해 발생한 캐피탈 원(Capital One)에서 1억 6,600만 건, 퀘스트 다이어그노스틱(Quest Diagnostics)에서 1,190만 건, 랩코(Labcorp)에서 770만 건의 기록 유출 사고가 갖고 있는 공통점은 무엇일까?  각각의 사건은 모두 서드파티에 의해 야기됐다. 캐피탈 원의 사건에서 해커는 클라우드 파트너 가운데 하나의 서버에서 구성 취약점을 악용했다. 다른 2가지 사건은 동일한 서드파티인 미국 의료 수집기관인 AMCA(American Medical Collection Agency) 시스템에까지 추적됐다.  데이터 유출은 전혀 새로운 것이 아니다. 2018년만 해도 50억 개가 넘는 기록이 노출됐으며, 이는 종종 서드파티의 잘못으로 밝혀졌다. 데이터 유출의 잠재적 비용은 엄청나다. 사고가 정리되고 취약점이 종료된 이후에도 수백만에 달하는 벌금, 처벌, 합의의 위험이 뒤따른다. 평판의 훼손은 몇년동안 남아있을 수 있다.  적절한 서드파티 위험 관리 전략을 마련한다면 사고가 발생할 가능성을 대폭 줄이고 비즈니스에 미치는 영향을 감소시킬 수 있다.  몰랐다고 책임 회피가 안된다   데이터 사고가 났을 때, 모른다는 것은 변명이 되지 않는다. 한 서드파티가 잘못이 있다고 하더라도 자사가 데이터를 담당하고 있는 경우 책임을 져야 한다. 미국과 유럽의 규제 기관은 관련 서드파티 네트워크와 관계없이 회사가 수집하고 보유한 데이터에 대해 책임을 져야한다는 사실을 분명히 했다.  이제 기업이 글로벌 규제 요구사항을 준수하는 것은 끊임없는 과제가 됐다. 데이터 관리 및 보안을 운영하는 것이 중요하며 컴플라이언스는 목적지가 아닌 여정으로 생각해야 한다.  민감한 데이터와 여러 파트너가 동등하게 여겨지는...

보안사고 데이터유출 서드파티 2019.09.09

글로벌 칼럼 | 보고된 보안 사고는 '빙산의 일각'이다

매일 수천 개의 기업이 사이버보안 공격을 당하지만 이를 인지하지 못하는 것으로 조사됐다. 그로 인해 공격받은 지불 카드 데이터가 침해 당했는데도 말이다. EMV 칩이 이 문제를 해결할 수 있는 것은 아니지만 적어도 데이터 침해로 인한 영향은 줄일 수 있다.   ITRC(Identity Theft Resource Center)에 따르면, 2018년 한 해 1,244건의 데이터 침입(Breach) 사고가 보고됐다. 이로 인해 소비자의 개인 식별 정보(PII)가 포함된 4억 4,600여만 개의 기록이 영향을 받았다. 여기에서 눈여겨 볼 단어는 ‘보고된’이다. 해킹을 당한 기업이 모두 침입에 대해 보고를 했다고 가정하자. 1,244건은 해커가 발각된 침해 사고의 건수다. 그러나 해커는 발각되는 것을 좋아하지 않는다. 다시 말해, 보고된 1,244건의 침해 사고가 ‘빙산의 일각’에 불과할 수 있다. 매일 보고된 사례보다 훨씬 더 많은 기업에서 침해 사고가 발생한다. 단지 침입 사실을 모르고 있을 뿐이다. 기업의 규모가 작아서, 상근 네트워크 관리자가 없어서, 또는 은행 네트워크와 침입 사고 조사원이 적색 경보로 분류하기에는 노출된 지불(결제) 카드의 수가 너무 적어서 등 경우의 수는 아주 많다. 보고되지 않은 소규모 침해 사고에 노출된 카드 수가 수백 개에 불과할 수 있지만, 이런 카드를 모두 합하면 상당한 규모가 될 수도 있다. 지하경제 필자는 최근 열린 블루핀 서밋(Bluefin Summit)에 PCI 시큐리티 스탠다드 카운슬(PCI Security Standards Council)의 상무이사였던 스티븐 W 오페이를 초대했다. 그는 지하경제가 실물 경제를 어떻게 반영하는지, 얼마나 깊이 퍼져 있는지를 조명하는 프레젠테이션을 했다. 그는 마이클 맥과이어 박사의 경종을 울리는 연구 결과를 직접 인용했다. ‘이익의 ‘웹’: 사이버범죄 경제의 성장을 이해(Web of Profit:...

보안사고 보안사고대응 2019.05.28

타깃의 데이터 침해사고 소송 합의, '낮은 보안 기준' 제시

타깃의 지난 2013년 데이터 침해사고 소송 합의 내용은 기업과 기관이 고객 데이터 취급에 '부주의'가 없었다는 점을 입증하기 위해 취해야 할 보안 조치를 개략적으로 알려준다. 그런데 문제는 합의 내용이 기업과 기관이 보안을 향상시키도록 유도할 만큼 충분하지 않다는 것이다. 소송 합의 내용은 사전 대책을 강구하는 CSO들에게 추구해야 할 대책이 아닌 최소한의 대책만 알려준다. 트렌드 마이크로(Trend Micro) 전 CEO이자 스트래티직 사이버 벤처스(Strategic Cyber Ventures) CEO 톰 켈러먼은 합의 조건을 기준으로 했을 때 타깃에 내려진 처벌은 '솜방망이 처벌'이며, 보안대책 강화 대신 공격자 방어에만 초점을 맞추도록 유도하는 불충분한 내용이라고 평가했다. 현대의 보안은 탐지했을 때 침해 시간을 줄이고, 공격자가 작전을 수행하기 어렵게 만드는데 초점이 맞춰져야 한다. 합의 조건의 네트워크 분리와 이중 인증은 공격을 더디게 만드는 역할을 하겠지만, 조건 자체는 본질적으로 방어적이다. 켈러먼은 "합의 조건에 과거 보안 패러다임이 반영되어 있다"고 지적했다. 간략히 사건을 정리하면, 범죄자들은 서드파티 HVAC 공급업체의 크리덴셜을 훔쳐 타깃 네트워크에 접속했다. 그리고 2013년 연말 쇼핑 시즌이 시작되기 직전 데이터를 빼내는 악성코드로 결제 시스템을 감염시켰다. 이 악성코드는 소비자 4,000만 명의 신용카드 및 현금카드 정보, 7,000만 명의 개인 식별 정보(PII)를 유출시켰다. 타깃 보안 시스템이 침해 사실을 탐지했지만, 그 중요성을 인식하고 경고에 맞게 행동한 사람이 없어 대량 데이터 유출 사고가 발생했다. 타깃은 이후 보안 태세를 크게 강화했다. 그리고 업계의 많은 회사가 타깃 사고를 데이터 침해 사고에 대한 본보기로 삼았다. 합의 조건은 타깃이 180일 이내에 '종합적인 정보 보안 프로그램'을 개발, 적용, 유지하는 것이다. 그러나 상세 조건 ...

보안사고 데이터유출 타겟 2017.06.02

2016년 최악의 데이터 보안 사고(해외편)

2016년도 예외는 없었다. 하루가 멀다 하고 대규모 데이터 유출 사건은 계속 발생했다. 이 가운데 몇 가지만 추려보았다. 야후(Yahoo) 올해 9월 야후는 2014년에 해킹 당시 5억 명의 특정 사용자 계정 정보의 사본을 유출했다고 공개했다. 야후, 사상 최대 규모 5억 명 개인정보 유출···"특정 국가가 사주한 해커" 주장  야후 CISO 밥 로드는 공식 성명에서 이 해킹은 정부 배후의 공격자가 연루되어 있을 것이라며 유출 항목은 이름에서부터 이메일 주소, 전화번호, 생년월일, 해시된 비밀번호, 암호화 혹은 암호화되지 않은 보안 질답 등을 포함한다고 말했다. 이번 발표는 야후의 수십 억 사용자들을 지속적으로 보호하기 위해 새롭게 창설한 팀인 파라노이드(Paranoids)에 대해 설명하는 인터뷰 이후, 채 1년이 지나지 않은 시점이다. 미국 상원의원들은 해킹 정보를 공개하지 않는 야후의 태도에 대해 비판하면서 "2년동안 수백 만의 미국인 데이터가 해킹당했을 지 모른다"고 주장했다. 야후는 즉각적으로 "이는 받아들일 수 없다. 보안 감사에서 발견된 공격의 확장과는 별개다"라고 대응했다. 그러나 최근 야후는 2014년 일부 직원들이 이 공격에 대해 알고 있다고 시인했으나 공격 일정이 불명확하고 야후가 다른 고위 경영진들에게 정보를 전달했는지 여부를 밝히지 않았다. 뉴욕타임즈에 따르면, 야후는 이번 해킹 사건과 관련해 미국과 다른 지역에서 23건의 소송이 제기됐다. 뿐만 아니라 야후는 12월 15일 앞서 설명한 유출 사고와 별개로 2013년 8월에 10억 개 이상의 계정이 유출된 사실을 공개했다. "야후가 또!" 2013년에 계정 10억 개 유출 확인... 역대 최대 규모 이번에 공개된 유출 데이터는 사용자의 이름, 이메일 주소, 전화번호, 생일, 해시 처리된 비밀번호 등이 포함된다. ...

야후 보안사고 데이터유출 2016.12.19

미국 이사진 59% '보안 사고 보고 안 한 CISO, 퇴출'

CISO가 보안 사고에 대해 이사회에 정확히 보고하지 않거나 정보를 공유하지 않으면, 퇴출당할 수 있는 것으로 조사됐다. 베이다이나믹스(Bay Dynamics)의 최근 조사에 따르면, 이같이 생각하는 이사진들이 59%나 되는 것으로 집계됐다. 베이다이나믹스의 공동 창업자이자 CTO인 라이언 스톨테는 "CISO가 어느 정도는 이사회 마음에 들어야지 그렇지 않으면, 이러한 조치를 취할 것이다"고 말했다. 이는 이사회가 사이버보안을 어떻게 바라보는지에 관한 변곡점을 나타낸다고 그는 말을 이었다. 스톨테는 "과거 이사회는 데이터 침해 사고를 단순히 자연재해나 신의 영역으로 간주했다. 또는 CISO가 막을 수 있는 데이터 침해가 아니라 해도 CISO를 해고했다"고 밝혔다. 스톨테는 "이제 이사회가 데이터 침해를 위험 관리 문제로 취급하고 있다"며 "이는 생각이 변화하고 있다는 증거다"고 말했다. CISO는 적재적소에 맞는 보안 프로세스가 있고 듀 딜리전스(Due diligence)를 실시하며, 기본적인 사항을 관리할 것을 기대받고 있다. 최근 버라이즌 보고서에 따르면, 데이터 침해의 63%는 도난당한 크레덴셜과 관련돼 있으며, 이는 기업이 여전히 이중 인증을 유효하게 활용하지 않기 때문으로 파악됐다. 스톨테는 "버라이즌 보고서를 보면, 사람들이 오랫동안 알고 있는 것으로 데이터 침해를 당했음을 알게 된다"고 말했다. 그에 따르면, 침해 사고가 발생하면 CISO들은 효과적인 작업을 수행하고 있고 업계의 모범 사례를 따르고 있음을 보여줘야 한다. "공격을 받으면, 어떻게 대응하나? 어떻게 준비하나? 사이버 침해가 있을 수 있고, 지금까지 배를 잘 피해왔던 것처럼 오랫동안 자리를 보존할 수 있을까? 이사회가 훌륭한 거버넌스에 좀더 관심을 기울이고 비용을 지불한다면, 이는 자연히 우리에게 실제로 정말 좋은 거버넌스를 할 수 있게 할지도 모른다...

이사회 CFO 보안사고 2016.06.15

시만텍, 인터넷 보안 위협 보고서 제20호 발표..."2014년은 고도의 취약점 공격과 지능형 공격이 화두"

오늘날 보안사고를 원천적으로 차단하고 악성코드에 감염되지 않도록 하는 것은 불가능한 일로 인식되고 있다. 하루에만 약 100만 개의 새로운 악성코드가 발생하고 있으며, 풍부한 자금력으로 고도로 조직화된 사이버 공격자들이 지능적인 해킹을 시도하고 있기 때문이다. 시만텍은 2014년의 정보보호시장의 화두는 '고도의 취약점 공격과 지능형 공격 전술'이라는 분석을 내놓으며 침입을 탐지하고 막는 기술도 중요하지만, 피해규모를 최대한 줄이는 방안도 모색해야 한다고 강조했다. 시만텍은 14일 '인터넷 보안 위협 보고서(Internet Security Threat Report)' 제20호를 발표하고 2014년 한 해 동안의 주요 사이버 범죄 및 보안 위협 동향에 대한 분석 결과를 공개했다. 이번 보고서에 따르면, ▲지능형 사이버 공격 전술 확대 ▲광범위한 제로데이 공격 ▲사이버 협박을 위한 랜섬웨어 진화 ▲소셜 미디어 및 모바일 플랫폼 공격 증가 ▲악성코드 증가 ▲IoT(사물인터넷) 보안 위협 부상 등이 주목해야 할 보안 위협으로 나타났다. 시만텍 보안사업 부문 한국 총괄 박희범 대표는 “해커들은 한층 정교하고 지능화된 공격 기법을 기반으로 목표 대상에 더 민첩하고, 은밀하게 공격을 감행하는 한편, 이를 방어해야 하는 기업과 조직은 상대적으로 대응 속도와 능력이 떨어져 그 격차가 현저하게 벌어지고 있다”며, “또한, 개인 사용자를 노리는 보안 위협도 빠르게 진화하고 있어 이에 대한 보안 의식 제고와 함께 대응 방안을 시급하게 마련해야 할 것”이라고 말했다. 한 발 앞선 고도의 지능형 사이버 공격 전술의 확대 2014년 한 해 특정 대상을 목표로 스피어피싱(Spear-phishing) 이메일을 이용해 네트워크에 잠입하는 지능형 표적공격 캠페인은 전년 대비 8% 증가하는 양상을 보였다. 전반적으로 스피어피싱 이메일이나 이를 수신한 기업은 각각 14%, 20% 감소하는 것과는 달리 공격...

시만텍 악성코드 유출 2015.04.14

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.