Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

데이터유출

"국내 데이터 유출 사고의 20%, 사용자 인증 정보 도용 공격으로 발생" IBM 데이터 유출 비용 연구 보고서

IBM 시큐리티는 한국을 포함한 전 세계 기업과 조직을 대상으로 데이터 유출 피해에 따른 비용을 조사한 ‘2022 데이터 유출 비용 연구 보고서(Cost of a Data Breach Report 2022)’를 발표했다.    연구에 따르면, 지난 1년간 전 세계 기업이 데이터 유출로 인해 평균 435만 달러의 손실을 기록했다. 이 수치는 지난 17년간 조사한 결과 가운데 최고 피해액이다. 한국 기업 역시 지난 2018년부터 데이터 유출로 인한 평균 피해액이 꾸준히 증가해 올해 약 43억 3,400만 원 상당의 사상 최대 피해액을 기록했다. 이번 보고서는 전 세계 550개 기업 및 조직이 경험한 실제 데이터 유출 사례를 심층 분석했다. 조사에 따르면 최근 2년간 보안 사고로 인한 관련 비용이 12.7% 늘어났다. 이에 보고서는 이러한 비용 상승이 최종 재화 및 서비스 가격 인상을 야기할 수 있다는 점을 지적했다. 실제로 조사에 참여한 기업의 60%가 데이터 유출 관련 비용 상승으로 인해 서비스나 제품 가격을 인상했다고 답했다. 더불어 이번 보고서는 데이터 유출로 인한 피해가 일회성에 그치지 않고 장기적으로 기업에 영향을 미친다는 점을 조명했다. 조사에 참여한 기업의 83%가 1회 이상의 데이터 유출 피해를 경험했으며, 데이터 유출로 인해 발생하는 총 비용 중 절반 가까운 금액은 사건 발생 1년 이후에 나타나는 등, 기업 비즈니스에 오랫동안 후유증을 남기는 것으로 드러났다. 한국의 경우, 데이터 유출 사고 건당 피해 금액이 가장 큰 산업은 금융, 서비스, IT 순으로, 지난해에 이어 올해도 세 산업 분야가 데이터 보안 위협으로 인해 가장 많은 손실을 본 것으로 드러났다. 국내 데이터 유출 사고를 일으킨 최초 공격 방법으로는 ‘사용자 인증 정보 도용(약 20%)’이 가장 많았으며, ‘클라우드 구성 오류’와 ‘제3자 소프트웨어의 취약성 공격’이 뒤를 이었다. 데이터 유출 피해 규모에는 기업의 보안 성숙도가 영향을 미쳤다. 보고서에 따르...

IBM 데이터유출 보고서 2022.09.19

삼성, 6개월 만에 2번째 데이터 유출··· 이번엔 美 고객

삼성전자가 9월 5일(미국 현지 시각) 지난 7월에 미국 내 자사 시스템에서 데이터 유출이 발생했다고 공개했다. 삼성전자는 신원불명의 공격자가 8월 4일 자사 시스템에 접근해 고객 개인 정보를 빼냈다는 사실을 발견했다고 밝혔다.  성명은 “2022년 7월 말 제3자가 삼성의 미국 시스템 중 일부에서 정보를 입수했다. 2022년 8월 4일 전후에 시점 진행 중인 조사를 통해 특정 고객의 개인 정보가 영향을 받는 것으로 확인됐다”라는 내용이었다.   삼성전자는 유출된 데이터에 주민등록번호나 신용카드 정보는 없었지만 경우에 따라 이름, 연락처 및 인구 통계 정보, 생년월일, 제품 등록 정보는 포함될 수 있다고 설명했다. 또한 사용자에 따라 개인 정보 침해 수준은 다를 것이라고 덧붙였다.  이번 사태로 피해를 본 사용자가 얼마나 되는지는 밝혀지지 않았다.  삼성은 해당 시스템을 보호하기 위한 보안 조치를 취하고 외부 사이버 보안 회사와 계약했으며 사법 기관과도 협력하고 있다고 전했다. 또한 일부 피해 고객과 직접 소통하고 있으며, 조사를 진행하면서 더 많은 고객에게 연락해 피해 상황을 파악할 예정이라고 밝혔다.  회사 측은 "이번 사태에 일반 사용자 기기는 영향을 받지 않았으며, 평소처럼 당사 제품과 서비스를 계속 사용할 수 있다"라고 말했다.    벌써 올해 2번째 보안사고 지난 3월 삼성은 갤럭시 스마트폰 관련 소스코드가 포함된 내부 회사 데이터가 유출되는 또 다른 보안 침해 피해를 겪었다. (한편 회사 측은 이번 해킹에 갤럭시 기기 작동과 관련된 일부 소스코드가 포함됐지만 사용자나 직원의 개인정보는 포함되지 않았다고 밝혔다)  3월에 벌어진 데이터 유출 사건은 랩서스(Lapsus$) 해킹 그룹이 190기가바이트(GB) 규모의 삼성전자 데이터를 탈취해 온라인에 유출하며 주목 받았다. 블리핑컴퓨터 등 IT 전문 외신은 랩서스가 이날 "삼성의 기밀 소스코드"라며, 190G...

데이터유출 보안사고 보안사고대응 2022.09.07

러시아 군인 대규모 신상 털기의 의미와 영향

러시아 군인 12만 명의 개인 데이터 공개는 러시아 군의 사기를 저하시키고 러시아 군인 개인이 사이버 캠페인의 표적이 될 수 있는 수단을 제공할 수 있다.    우크라인시카 프라우다(Ukrayinska Pravda)가 우크라이나에서 전투 중인 12만 명의 러시아 군인 신상정보를 공개했다. 약 6,000페이지에 달하는, 침공한 군인의 절반이 넘는 이 정보에는 러시아 군인의 이름, 등록 번호, 근무지가 포함되어 있다. 보안 전문가들은 이 정보가 정확하다면, 전례 없는 전시 유출이라고 평가했다.  이 데이터는 우크라이나 싱크탱크라 부르는 국방전략센터(The Center for Defense Strategies)가 입수한 것이다. 국방 개혁을 감시하고 우크라이나 국가 안보에 영향을 미치는 핵심 정부 정책을 개발하기 위해 설립한 국방전략센터는 ‘미국과 영국 수준’의 독자적 분석 역량을 구축하는 데 목표를 두고 있으며, 전 우크라이나 국방장관 안드리 자고로드니우크가 수장으로 있다. 이사회에는 국제 안보 전문가 알리나 프롤로바, 국가 자산관리 전문가 알렉세이 마르체뉴크, 전 우크라이나 외무장관 블라디미르 오그리즈코 등이 참여하고 있다.  이사회에는 이목을 끄는 서구 보안 전문가들도 포함되어 있는데, 전 우크라이나 미국대사 윌리엄 테일러, 전 미국 유럽 총사령관 웨슬리 클라크, 전 우크라이나 국방특별고문 필 존스 등이다.  최초의 전쟁무기로서의 신상털기  존스홉킨스 대 국제문제대학원 전략학과 교수인 토머스 리드는 트위터를 통해 “유출된 정보가 정확한 것으로 확인되면 아마도 가장 시기적절하고 파괴적인 유출이 될 것이다”라고 말했다. 또한 전 이스라엘 외교관이자 디지털 외교 및 디지털 통신 분야 전문가인 엘라드 라트손은 “이 데이터들이 유효하다면 전쟁 역사에서 최초의 전쟁 무기로서의 신상털기(doxing)로 기록될 것이다”라고 평가했다.    우크라이나 국방전략센터의 데이터 유출 목적은 불분명하다....

데이터유출 신상털기 우크라이나 2022.03.08

데이터 유출 비용 보고서 2021

올해로 17년째 발행되는 데이터 유출 비용 보고서는 사이버 보안 산업에서 선도적인 벤치마크 보고서 중 하나가 되었습니다. 이 보고서는 IT, 위험 관리, 보안 리더가 데이터 유출 비용을 증가시키거나 증가하는 데이터 유출 비용을 절감하는 데 기여할 수 있는 수십 가지 요인들을 파악할 수 있는 기회를 제공합니다. <73p> 주요 내용  - 데이터 유출 비용 계산 방법에 대한 개요 - 전 세계적 유출 결과 및 주요 내용  - 보안 위험 정량화를 위한 방법론과 사례  - 데이터 유출의 재무적 영향을 최소화하기 위한 권장 사항 - 연구 대상 조직의 지리적, 산업적 특성과 규모에 대한 정보

데이터유출 데이터유출비용보고서 2021.08.25

T-모바일 데이터 유출 사건 관련 타임라인

미국 통신업체 T-모바일은 현재, 이전 또는 잠재 고객 약 5,000만 명의 이름, 생년월일, 미국사회보장번호(Social Security Numbers, SSN), 운전면허증 등을 포함한 정보가 데이터 침해로 노출됐다고 경고했다.     이번 사건에 대해 밝혀진 사항은 많지 않지만, 8월 20일까지 드러난 도난당한 데이터의 수와 발생할 수 있는 잠재적인 영향만 보더라도 최근 발생한 사이버보안 사건 가운데 가장 크다. T-모바일이 공개하거나 다른 소식통에서 밝힌 이번 데이터 침해 사건에 대한 타임라인은 다음과 같다.  티-모바일 침해 사건 타임라인 - 8월 15일 일요일: 공격자들이 사이버 범죄 포럼에서 도난당한 1억 개의 T-모바일 기록를 판매했다고 주장했다.  바이스(Vice.com)에 1억 명 이상의 사람들과 관련된 데이터에 접근했다고 주장하는 공격자들의 소식이 전해졌다. 지하 포럼 게시물에는 T-모바일에 대한 구체적인 언급은 없었지만, 온라인 매체인 마더보드(Motherboard)는 이 정보가 T-모바일 서버에서 온 것이며, SSN, 전화번호, 이름, 실제 주소, IMEI 번호 및 운전면허증 정보가 포함되어 있음을 확인했다.  판매자는 3,000만 개의 SSN과 운전면허증이 포함된 데이터의 하위 집합에 대해 6비트코인(약 27만 달러)를 요구했으며, 나머지 정보를 비공개로 판매한다고 밝혔다. T-모바일은 마더보드를 통해 “지하 포럼에서 제기된 주장을 알고 있으며, 그 유효성을 적극적으로 조사하고 있다. 현재 공유할 추가 정보는 없다”라고 밝혔다.  - 8월 16일 월요일: T-모바일은 데이터 유출을 확인하고 해당 사고에 대한 기술적 검토를 시작했다. 이 사건이 전 세계적으로 화제가 되고 있는 가운데, T-모바일은 일부 T-모바일 데이터에 대한 무단 접근이 발생했음을 확인하는 성명을 발표했다. 하지만 조사에서 개인 고객 정보가 포함됐는지 여부는 아직 확인되지 않았다.&nbs...

T-모바일 데이터유출 2021.08.25

코로나 발생 기간 데이터 유출 비용, "사상 최고"…IBM 시큐리티 조사

IBM 시큐리티는 전 세계 기관과 기업을 대상으로 데이터 유출 피해에 따른 비용을 조사한 연구 결과를 2일 발표했다.  이 연구 결과에 따르면, 조사 대상 기관과 기업들은 데이터 유출로 인해 사고당 평균 424만 달러(약 48억 8,000만 원)의 손실을 입은 것으로 나타났다. 이 비용은 조사를 진행해온 17년간 최고치이다. 한편, 조사 대상 한국 기업은 데이터 유출 사고로 평균 41억 1,000만 원의 손실을 입은 것으로 나타났다.  IBM 시큐리티와 포네몬 연구소(Ponemon Institute)의 2021년 데이터 유출 비용 연구 보고서는 2020년 5월부터 2021년 3월까지 전 세계 500개 이상의 기관과 기업(한국은 28개 기업)에서 경험한 데이터 10만 건 이하 (1000~10만 건 데이터 유출 사고)의 실제 유출 사고 대한 심층 분석을 기반으로 하고 있다.  이 연구에 따르면, 코로나 기간 동안 기업들은 급격한 운영 변화로 인해 보안 사고를 통제하기 더욱 어려워졌으며, 보안 사고로 인한 관련 비용도 높아져 2019년에 대비 약 10% 증가한 것으로 나타났다. 지난해 많은 기업이 직원들에게 재택근무를 장려하거나 요구함에 따라 기술 접근 방식도 이에 맞춰 신속하게 조정해야 했으며, 60%의 기업이 코로나 기간 동안 클라우드 기반 활동을 확대했다. 이번 발표된 조사 결과에 따르면, 기업의 보안 수준이 이런 급격한 IT 변화에 따라가지 못해 기업의 데이터 유출 대응 능력이 저하됐음을 알 수 있다. 이번 2021년 데이터 유출 비용 연구 보고서가 밝힌 추세는 다음과 같다.  - 원격 근무의 영향: 코로나 기간 동안 원격 근무로 빠르게 전환되면서 데이터 유출와 관련된 피해 금액은 더 높아졌다. 원격 근무가 데이터 유출 사고의 요인에 포함된 경우, 포함되지 않는 경우보다 관련 피해 금액이 평균 100만 달러가 더 높다(원격 근무 포함 시 496만 달러 vs. 미포함 시 389만 달러). - 의료 업계 피해 급증...

데이터유출 데이터유출비용 IBM시큐리티 2021.08.02

코로나 19 이후의 시대, CISO에게 주어진 과제는…RSA 컨퍼런스

코로나 19 위기가 종료된다면 좀 더 영구적인 원격 작업자, 직원의 건강 데이터 보호를 위한 요구사항 및 더 위험한 위협 환경이 보안 팀을 기다리고 있다.    CISO는 코로나 19 이후의 세상에서 새로운 보안 문제를 관리해야 한다. 최근 RSA 컨퍼런스에서 발표한 전문가에 따르면, 많은 보안 직원이 피로와 스트레스를 받고 있는 것처럼 기업은 재구성된 작업 환경과 직원 건강 고려 사항, 증가된 위협을 해결해야 한다.    시스코 시큐어(Cisco Secure) 자문 CISO이자 미국 오하이오 주립대학 전 CISO인 헬렌 패튼은 ”코로나 19가 처음 발생했을 때, 우리는 항상 불안감을 느꼈다. 우리는 전투 모드에 들어갔고 이를 잘 수행했고, 학습했다. 그러나 이 일이 너무 오래 지속되고 있다. 스트레스와 과로함을 느낄 수 있다”라고 토로했다.  일과 삶의 균형에 집중하라  패튼은 “지난 18개월 동안 100% 이상을 운영해왔지만, 끝이 보이지 않는다. 예상치 못한 상황에 대한 계획을 더 잘 세워야 한다. 즉, 팀을 위한 계획을 세워 그들을 불태우지 않도록 해야 한다”라고 조언했다. 증가된 작업량은 약간의 이점이 있었다. 패튼은 결과적으로 일과 삶의 균형이 가져오는 좋은 점을 발견했다고 말했다.  많은 기관과 기업이 코로나 19 기간동안 사기를 높이기 위한 특전과 인센티브를 제공함으로써 보안팀의 증가된 워크로드에 대한 부담을 완화하기 위해 노력해왔다. 마켈(Markel) CISO이자 CPO인 패티 타이투스는 “실제로 직원들이 정신 건강상의 이유로 사무실로 돌아오는 것을 허용했다. 또한 크레이트조이(Cratejoy)라는 제품에 구매해 재택에서 아이들과 함께 일하는 직원은 아이가 할 수 있는 일로 가득 찬 상자를 받았다. 우리는 회사를 연결하는데 '힘을 합친다'는 좌우명이 정말 필요하다는 것을 느꼈다”라고 말했다. 노스웨스턴 뮤추얼(Northwestern Mutual) CISO 로라 디너는 보...

CISO 코로나19 원격근무 2021.05.26

데이터 침해로 인한 피해 최소화 체크리스트

데이터 침해에 대응하는 방법과 이로 인한 피해의 규모는 준비 상태에 따라 달라진다. 이번 기사에서는 피해 최소화를 위한 대응 체크리스트를 정리했다.    일단 침해가 발생하면 피해 기업은 공격자가 접근한 항목과 데이터에 접근한 방법을 알아내야 한다. 이 정보는 사용자의 데이터가 침해됐음을 사용자에게 알리고, 다음 공격으로부터 자사를 보호하는 방법을 배우는 데 도움이 된다.   먼저 조사에 필요한 자원과 준비가 마련되어 있는지 확인한다. 공격자가 네트워크에 어떻게 진입했는지 알아내는 프로세스는 종종 증거와 타임라인 분석을 기반으로 한다. 증거를 잘 처리하는 프로세스나 방법론은 침입이 발생하기 전에 계획을 세우는 것이 중요하다.  미 법무부의 사이버보안 부서에는 미리 계획을 세우는 데 도움을 줄 수 있는 몇 가지 리소스가 있다. 이 작업 체크리스트를 통해 데이터 침해에 좀 더 쉽게 대응하거나 피해를 최소화할 수 있다.  커뮤니케이션 계획 수립하기  기업에 대한 잠재적인 위협과 위험에 대해 경영진과 커뮤니케이션할 계획을 세우고 위협에 대해 대응하기 위한 계획과 도구를 마련한다. 경영진과는 정기적으로 만나 위험과 반응에 대해 논의한다. 기업의 주요 자산을 식별하고 이런 주요 자산을 보호하기 위한 프로세스를 파악한다.  다음으로, 침해가 발생할 경우 따라야 할 조치 계획을 세운다. 회사 이메일이 침해의 영향을 받거나 해킹 당할 수 있으므로, 회사 이메일 또는 인프라의 일부가 아닌 백업 전화번호 및 이메일 주소로 대체 통신 수단을 확보한다.  사전에 현지 법 집행 기관과의 연락 창구를 확보한다. 이 작업은 회사 규모에 따라 쉽게 수행할 수 있거나 사이버 보험 업체에게 지침을 받아야 할 수도 있다.  접근 및 보안 로그 파일의 외부 백업 유지하기  공격자가 네트워크에 대한 접근 권한을 얻는 방법 중에는 로그 파일을 파헤쳐 찾는 방법도 있다. 따라서 빠르게 덮어쓰는 경향이...

데이터침해 데이터유출 2021.05.14

페이스북, 5억 3,300만 명 개인정보 재유출

페이스북 계정 5억 3,300만 개의 전화번호, 이메일 주소 등 개인 정보가 온라인에 유출됐다. 이번에 유출된 정보는 지난 1월에 유출된 것과 같은 데이터로 보인다. 인사이더(Insider)는 “106개국의 페이스북 사용자 5억 3,300만 명의 개인 정보 데이터가 온라인에 유출됐다. 미국 사용자 3,200만 명, 영국 사용자 1,100만 명, 인도 사용자 600만 명이 포함되어 있다”라며, “여기에는 전화번호, 페이스북 ID, 전체 이름 위치, 생일 데이터, 이력, 그리고 일부 계정의 경우 이메일 주소가 포함되어 있다”라고 보도했다. 이번에 유출된 정보는 지난 1월 마더보드(Motherboard)가 보도한 텔레그램 봇 사용자가 유료로 구입할 수 있었던 페이스북 사용자 데이터와 동일한 것으로, 이제는 무료로 공개된 것으로 보인다.   All 533,000,000 Facebook records were just leaked for free. This means that if you have a Facebook account, it is extremely likely the phone number used for the account was leaked. I have yet to see Facebook acknowledging this absolute negligence of your data. https://t.co/ysGCPZm5U3 pic.twitter.com/nM0Fu4GDY8 — Alon Gal (Under the Breach) (@UnderTheBreach) April 3, 2021 이번 보도에 대해 페이스북은 해당 데이터가 2019년에 수정된 취약점에 의해 수집된 데이터라고 설명했다. 지난 1월에도 “2019년에 보고된 오래된 데이터”라면서 2019년 8월에 해당 문제가 해결됐다고 설명한 바 있다. 유출된 데이터에 본인의 계정이 포함되어 있는지 확인하려면, Have I Been Pwned 에서 이메일을 검색해 보면 된다...

페이스북 개인정보유출 데이터유출 2021.04.05

'누구나 해킹당할 수 있다' 파이어아이 해킹 사고와 기업이 걱정해야 하는 것

러시아의 코지 베어(Cozy Bear) 그룹이 주장하는 레드 팀(Red team)의 해킹 도구 도난은 다른 기업에 있어서는 생각보다 큰 위협이 아닐 수 있다. 하지만 진정한 교훈은 바로 ‘누구나 해킹 당할 수 있다’는 것이다.    사이버보안 업체 파이어아이(FireEye)는 12월 8일 정부가 후원하는 정교한 공격자 그룹이 자사의 네트워크에 침입해 전문가들이 실제 공격자를 시뮬레이션하고 고객의 보안을 테스트하기 위해 개발한 도구를 훔쳤다고 발표했다. 이는 아주 걱정스러운 사건이지만, 과거에 공격 도구가 유출됐던 사례에 비춰봤을 때, 기업에 상당한 위험 증가를 초래할 가능성은 낮다.  파이어아이는 전 세계 주요 정부와 기업 고객을 보유한 세계 최고의 사이버보안 업체 가운데 하나다. 정부가 후원하는 공격자에 대한 최고 수준의 연구와 사고 대응 능력으로 유명한 이 업체는 지난 수년 동안 정부와 기업에서 가장 두드러진 침해 사고를 조사하고 있었다.  파이어아이, 누가 공격한 것인가?  파이어아이 CEO 케빈 맨디아는 공개 석상에서 “최근 파이어아이는 정부 후원의 고도로 정교한 위협 행위자로부터 공격을 받았다. 이 공격은 지금까지 대응해온 수만 건의 사고와는 다르다. 공격자는 특히 파이어아이를 표적으로 삼고 공격하기 위해 세계적 수준의 능력을 맞춤화했다. 이들은 운영 보안(operational security)에 대해 고도로 훈련되어 있으며, 규율과 집중력을 갖고 실행했다. 보안 도구와 포렌식 검사에 대응하는 방법을 사용해 비밀리에 운영했다. 이들은 지금껏 보지 못했던 새로운 기술 조합을 사용했다"라고 밝혔다.  공격자가 훔친 것은 무엇인가?  워싱턴 포스트가 보도한 바에 따르면, 공격자는 보안 업계에서 APT29 또는 코지 베어로 알려진 러시아 SVR 해외정보국의 해킹부서로 파이어아이의 정부 고객 관련 정보를 노렸다. 파이어아이 측은 현재 사건 대응과 컨설팅 관련 계약과 관련된 고객 정보가 도...

파이어아이 해킹 공격도구 2020.12.14

토픽 브리핑 | 개인정보 유출 사고에 대응하는 기업과 사용자의 자세

2012년 6월, 10월 고객 약 4400만 명의 개인정보를 유출한 농협은행과 2013년 2월, 6월 고객 4,321만 명의 개인정보를 유출한 KB국민카드, 2013년 12월 1,759만 명의 개인정보를 유출한 롯데카드가 최근 1심 벌금형을 유지한 원심이 대법원에서 확정됐다.  1심에서 재판부는 농협은행과 KB국민카드는 각각 벌금 1,500만 원, 롯데카드는 벌금 1,000만 원을 선고했다. 이 사건들은 재판부가 "유출된 정보가 어느 정도로 확산되어 어떤 방식으로 악용될지 가늠하기 어렵고, 피해 회복이 사실상 불가능하다. 대한민국 경제활동 인구 대다수가 피해자라고 해도 과언이 아닌 이 사건으로 인해 금융시스템 안전에 대한 사회적 신뢰가 현저히 훼손됐고, 이를 회복하기 위해 지출해야 하는 유무형의 사회적 비용은 막대하다"라고 판단할만큼 파장이 컸다.  카드사 고객정보 유출사건, 문제는 허술한 문서 관리 체계 이 사건을 계기로 한국은 개인정보보호법을 강화했지만, 처벌 규정은 여전히 미비했다. 이후 2020년 데이터 3법(개인정보보호법·정보통신망법·신용정보법) 개정안이 시행되면서 벌금을 대폭 강화하고 개인정보 유출 시 형사 처벌까지 가능토록 규정했지만, 실효성에 대해서는 논란의 여지가 많다.  "산업활성화 법이냐, 개인정보 도둑법이냐" 데이터 3법 개정안의 주요 내용과 비판 사실 데이터 유출 사고는 카드 3사 고객정보 유출 사건 이전에도, 이후에도 많이 발생해왔으며, 전 세계적으로도 엄청난 양의 개인정보가 유출되고 있다. 금융, IT, 포털, 의료, 서비스, 공공 분야는 물론, 사이버보안 업체와 해킹 전문 업체, 심지어는 미국 인사관리처(OPM)마저 개인정보를 유출했다.   메리어트 데이터 침해 사건 FAQ, 사건의 전말과 영향 에퀴팩스 데이터 침해 사건 FAQ, 사건의 전말과 영향 인터파크 1,000만 고객 정보 유출 사건 분석..."완벽한 APT 공격 사례, 2차 피해로 확산될 듯" '범죄의 재구성', 타깃 데이...

데이터유출 개인정보유출 2020.09.25

데이터 유출 참사 그후 3년··· 에퀴팩스의 '클라우드 이전' 현주소는?

미국 신용평가업체 에퀴팩스(Equifax)의 최고기술책임자 브라이슨 쾰러에 따르면, 에퀴팩스의 '클라우드 이전'은 여전히 진행 중이다. 그는 데이터 유출 사건으로 인해 혼란에 빠진 에퀴팩스의 IT 시스템을 전면 개편하는 데 지난 2년을 보냈다.  만약 예산, 시간, 기술 자원이 있는 상태에서 자사의 플랫폼을 클라우드로 옮길 의향이 있는지 묻는다면 그 어떤 최고정보책임자라도 '그렇다'라고 대답할 것이다. 하지만 전 세계적인 바이러스 대유행 속에서 클라우드 기반으로 플랫폼을 표준화하다보면 새로운 기술 기반을 구축하는 데 필요한 문화적 변화라는 예상치 못한 난관이 더해진다.    지난 3월 코로나19 사태로 에퀴팩스 역시 재택근무 체제에 돌입하면서 최고정보책임자 브라이슨 쾰러가 실제 직면한 난관이었다. 하지만 혼란스러운 와중에서도 직원들은 뛰어난 생산성을 보여주었다고 쾰러는 말했다.  예를 들어, 에퀴팩스 엔지니어들은 개인적인 일로 업무에 지장을 받는 상황 속에서도 더 많은 스토리 포인트(story points)를 획득했다. 여기서 스토리 포인트란 애자일 소프트웨어 개발 시 사용자를 위한 디지털 경험 구현의 난이도를 추산하기 위해 사용되는 지표다.  그는 “소프트웨어 자본화(software capitalization) 비율이 더 높아지고 있다. 코로나19 사태 속에서 집중력과 생산성을 향상시키진 못했지만 유지할 수는 있었다"라고 전했다.  쾰러가 에퀴팩스에 합류한 시점은 치명적인 데이터 유출 사건이 발생한 지 1년이 채 되지 않은 때였다. 지금 와서 말하지만 그는 그간 동료들보다 한 차원 높은 어려움을 겪었다고 해도 무방하다고 당시를 회상했다. 에퀴팩스는 데이터 유출 사건 이후 사이버보안을 강화하는 데 수억 달러를 투자했으며, 홈 디포에서 정보보호 최고책임자 자밀 파르쉬치를 영입했다. 많은 사람이 회피할 만한 벅찬 일을 맡은 쾰러에게는 노후화되고 있는 기술을 현대화하고 신뢰 회복을 위해 쓸...

에퀴팩스 클라우드 온프레미스 2020.09.23

글로벌 칼럼 | 서드파티 위험을 충분히 고려하고 있는가

서드파티는 종종 데이터 유출에 대한 책임이 있기 때문에 공급업체 및 기타 외부 파트너를 포괄하기 위해 보안 경계를 넘어 내부 보안 표준을 확장할 필요가 있다.    올해 발생한 캐피탈 원(Capital One)에서 1억 6,600만 건, 퀘스트 다이어그노스틱(Quest Diagnostics)에서 1,190만 건, 랩코(Labcorp)에서 770만 건의 기록 유출 사고가 갖고 있는 공통점은 무엇일까?  각각의 사건은 모두 서드파티에 의해 야기됐다. 캐피탈 원의 사건에서 해커는 클라우드 파트너 가운데 하나의 서버에서 구성 취약점을 악용했다. 다른 2가지 사건은 동일한 서드파티인 미국 의료 수집기관인 AMCA(American Medical Collection Agency) 시스템에까지 추적됐다.  데이터 유출은 전혀 새로운 것이 아니다. 2018년만 해도 50억 개가 넘는 기록이 노출됐으며, 이는 종종 서드파티의 잘못으로 밝혀졌다. 데이터 유출의 잠재적 비용은 엄청나다. 사고가 정리되고 취약점이 종료된 이후에도 수백만에 달하는 벌금, 처벌, 합의의 위험이 뒤따른다. 평판의 훼손은 몇년동안 남아있을 수 있다.  적절한 서드파티 위험 관리 전략을 마련한다면 사고가 발생할 가능성을 대폭 줄이고 비즈니스에 미치는 영향을 감소시킬 수 있다.  몰랐다고 책임 회피가 안된다   데이터 사고가 났을 때, 모른다는 것은 변명이 되지 않는다. 한 서드파티가 잘못이 있다고 하더라도 자사가 데이터를 담당하고 있는 경우 책임을 져야 한다. 미국과 유럽의 규제 기관은 관련 서드파티 네트워크와 관계없이 회사가 수집하고 보유한 데이터에 대해 책임을 져야한다는 사실을 분명히 했다.  이제 기업이 글로벌 규제 요구사항을 준수하는 것은 끊임없는 과제가 됐다. 데이터 관리 및 보안을 운영하는 것이 중요하며 컴플라이언스는 목적지가 아닌 여정으로 생각해야 한다.  민감한 데이터와 여러 파트너가 동등하게 여겨지는...

보안사고 데이터유출 서드파티 2019.09.09

2019년 클라우드 보안 위협 13가지

더 많은 데이터와 애플리케이션이 클라우드로 옮겨가고 있는데, 이는 클라우드만의 정보보안 문제를 야기한다. 이번 기사는 클라우드 서비스를 사용할 때 조직이 직면하는 가장 큰 보안 위협을 정리했다(2017년 말에도 이와 유사한 내용의 기사를 게재한 바 있다. 당시에도 CSA(Cloud Security Alliance)는 클라우드 보안과 관련한 보고서를 기반으로 한 내용이었다. 위협에 대해 업데이트되고 추가된 점이 있다. 편집자 주).    클라우드 컴퓨팅은 조직이 데이터, 애플리케이션, 워크로드를 사용하고, 저장하고, 공유하는 방식을 지속적으로 변화시킨다. 이와 함께 여러 가지 새로운 보안 위협과 과제도 발생했다. 많은 양의 데이터가 클라우드, 특히 퍼블릭 클라우드 서비스에 저장되면서 이는 자연스럽게 공격자들의 주된 공격 목표가 됐다.  가트너의 클라우드 부사장이자 클라우드 보안 부문 책임자인 제이 하이저는 "퍼블릭 클라우드 사용 규모가 급속도로 증가하고 있기 때문에 위험에 처할 수 있는 자료의 규모도 필연적으로 커진다"고 말했다.  많은 사람의 생각과 달리, 클라우드에서 기업 데이터를 보호하는 책임은 서비스 공급업체가 아닌 클라우드 고객에게 있다. 하이저는 “지금은 클라우드 보안의 초점이 공급업체에게서 클라우드 고객으로 옮겨가는 전환기에 있다”며, “기업들은 특정 클라우드 서비스 업체가 안전한지 여부를 파악하기 위해 막대한 시간을 소비했지만 결국 그 노력이 거의 무의미했다는 걸 알아가고 있다”고 말했다.  클라우드 보안 연합(Cloud Security Alliance, CSA)은 조직이 클라우드 도입 전략에서 현명한 결정을 내릴 수 있도록 클라우드 보안에 대한 이해를 돕기 위해 <클라우드 컴퓨팅에 대한 12가지 주요 위협: 산업 인사이트 보고서>의 최신 버전을 발행했다.  이 보고서는 클라우드의 가장 중대한 보안 문제에 대한 현재 CSA 커뮤니티 보안 전문가들 사이에서 일치되는 의견이 반...

데이터유출 클라우드보안 CSA 2019.07.10

GDPR에 따른 데이터 유출 보고 방법

일반데이터보호규정(이하 GDPR)은 기업에서 유럽연합 내 시민의 개인 데이터를 취급하는 방법을 관할하는 광범위한 규정이다. GDPR의 33항과 34항은 데이터 침해가 발생하는 경우 감독 기관과 영향을 받는 데이터 주체에게 이를 알려야 할 요구사항을 다룬다. 침해 발생 시 조직이 보고해야 하는 세부사항은 규정 내에 명시되어 있는 반면 언제 데이터 침해를 보고해야 하는지, 어느 기관에 보고해야 하는지는 명확하지 않다. 현재 자신은 GDPR 준수를 유지하기 위해 언제 데이터 침해를 보고해야 하는지, 무엇을 보고해야 하는지, 어디에 보고해야 하는지 알고 있는가?   GDPR에 따라 데이터 침해를 보고해야 할 시점 GDPR 규정에 따르면, 조직은 사람의 권리와 자유를 침해할 위험이 있는 "개인 데이터의 우발적이거나 불법적인 파손, 손실, 변경, 무단 공개 또는 접근으로 이어지는" 사고가 발생하는 경우 데이터 보호 기관(DPA, 감독 기관(SA)이라고도 함)에 데이터 침해 사실을 보고해야 한다. 유럽데이터보호감독기구(EUDPS)는 모든 정보 보안 사고가 개인 데이터 침해는 아니지만 모든 개인 데이터 침해는 정보 보안 사고임을 강조한다. GDPR의 설명조항 85에 따르면, 침해가 "개인 데이터에 대한 스스로의 통제력 상실 또는 권리의 제한, 차별, 신원 도용 또는 사기, 재무적 손실, 무단 가명화 원상복구, 평판 손상, 직업적 비밀 유지로 보호되는 개인 데이터의 기밀성 손실, 또는 관련 자연인에 대한 기타 중대한 경제적 사회적 불이익"으로 이어질 수 있는 경우 기업은 사고를 보고해야 한다. EDPS가 제시한 해당되는 사건 목록은 다음과 같다.  - 고객 데이터베이스 손실 또는 도난(USB 스틱과 같은 이동식 스토리지 손실 포함) - 개인 데이터의 유일한 복사본이 랜섬웨어에 의해 암호화되거나, 관리 주체가 키를 사용해 암호화했지만 그 키를 더 이상 갖고 있지 않을 경우 - 우발적인 또는 권한없는 사람에 의한 ...

데이터유출 GDPR 2019.03.28

"기업 3곳 중 1곳, 모바일 기기 통한 데이터 유출 경험"

모바일 기기를 악용한 보안 사고가 매년 증가하고 있지만, 기업의 모바일 자산 보안은 다른 시스템보다 더 취약한 것으로 나타났다. 버라이즌(Verizon)이 기업 내에서 모바일 기기를 조달, 관리하는 담당자 671명을 설문 조사한 '모바일 시큐리티 인덱스 2019(Mobile Security Index 2019)' 보고서에 따르면, 기업 3곳 중 1곳이 모바일 기기로 인한 보안 사고를 경험했다. 2018년 비슷한 조사보다 5%P 늘어났다. 보고서는 모바일 기기가 다른 기기만큼 많은 사이버 공격을 받는 경향이 있다고 분석했다. 피싱 공격과 악의적인 코드가 포함된 웹사이트 대부분이 모바일 기기를 노리고 있고, 모바일 사용자는 더 쉽게 이런 공격에 피해를 볼 수 있다는 것이다. 악의적인 앱과 핫스팟 등 처음부터 모바일에 특화된 공격도 있다. 최소한의 모바일 보안 기준도 안 지켜 보고서에 따르면, 올해도 이런 경향이 이어져 많은 기업이 모바일 기기 보안에 실패했다. 보고서는 "모바일 보안에 있어서 지키기 거의 불가능한 수준에서 평가한 것이 아니다. 기본적인 수준에도 미치지 못하는 기업이 많았다"라고 지적했다. 이는 단순히 기업의 인식이 부족해서가 아니다. 조사 결과를 보면, 응답자의 80% 이상이 모바일 보안이 위험하다다고 답했고, 69%는 이런 위험이 매년 계속 증가하고 있다고 봤다. 응답자의 2/3 이상은 기업 내 다른 시스템과 비교했을 때 모바일 기기에 대한 인식이 부족하다고 답했다. 또한, 거의 절반에 가까운 응답자가 자신이 속한 기업이 업무를 더 빠르게 처리하기 위해 모바일 보안을 희생하고 있다고 답했다. 그리고 이렇게 보안을 간소화한 기업 중 절반은 모바일 관련 보안 위험을 경험한 것으로 나타났다. 반면 업무 속도와 매출을 위해 보안을 희생하지 않은 응답자 중 모바일 관련 보안 위험을 겪은 비율은 채 25%가 되지 않았다. 이렇게 발생한 보안 사고의 60% 정도는 중대한 수준이었고, 40%는 현재도 그 사고의 영향을...

모바일기기 데이터유출 보안 2019.03.07

2019년에 진지하게 고민해야 할 7가지 모바일 보안 위협

최근 모바일 보안은 모든 기업의 걱정 목록에서 1위를 기록하고 있는데, 그럴 만한 이유가 있다. 현재 거의 모든 직원이 스마트폰을 이용해 기업 데이터에 접근하고 있기 때문에 민감한 정보를 보호하는 것이 점차 복잡해지고 있다. 그래서 모바일 보안이 그 어느 때보다도 어려운 시기다. 포네몬 연구소는 2018년 보고서를 통해 평균 기업 데이터 유출 비용이 386만 달러에 달한다고 밝혔다. 이는 1년 전의 추정 비용보다 6.4%나 높다.   세상을 놀라게 하는 악성코드의 대상에 대해서는 집중하기 쉽지만 모바일 악성코드 감염은 실제로 점차 줄어들고 있다. 감염될 확률이 번개를 맞을 확률보다 낮다고 추정하는 사람들도 있다. 이는 모바일 악성코드의 특성과 현대의 모바일 운영체제에 내장된 보호 장치 때문이다. 더욱 현실적인 모바일 보안 위험이 일부 쉽게 간과할 수 있는 영역에 존재하며, 이 모든 것들은 2019년에 더욱 큰 문제가 될 것이다. 1. 데이터 유출 로봇 비뇨기과 의사의 진단처럼 들릴 수 있지만 데이터 유출은 2019년 기업 보안에 대한 가장 걱정스러운 위협 가운데 하나로 간주되고 있다. 악성코드에 감염될 확률이 거의 없다는 말을 기억하는가. 포네몬의 최신 연구에 따르면, 데이터 유출의 경우 기업들이 향후 2년 안에 최소 1건을 경험할 가능성이 28%나 되는데, 이는 4명 중 1명 꼴이라는 이야기다. 특히, 이 문제는 특성상 비도덕적이지 않은 경우가 많으며, 어떤 앱이 자신의 정보를 확인하고 전송할 수 있는지에 대해 부주의하고 무분별하게 결정하는 사용자가 문제다. 가트너의 모바일 보안 조사 책임자 다이오니시오 저멀은 "관리자에게 부담이 되지 않으면서 사용자의 만족도를 떨어뜨리지 않는 앱 베팅(Vetting) 프로세스를 이행하는 방법이 중요한 문제다"고 말했다. 저멀은 시만텍의 EPM(Endpoint Protection Mobile), 체크포인트의 SBM(SandBlast Mobile), 짐페리움(Zimperium)의 zIPS...

모바일 데이터유출 보안 2019.02.25

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.