Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

보안

'책임 공유 모델', 클라우드 보안을 이해하는 출발점

지난해 클라우드 도입은 기업 사이에 원격 근무를 서둘러 지원하려는 노력으로 인해 가속화됐다. 그러나 이러한 급속한 도입과 성장에도 불구하고 기업은 '책임 공유 모델(Shared Responsibility Model, SRM)'이라는 클라우드 핵심 개념을 여전히 제대로 이해하지 못하고 있다.   아직도 ‘클라우드는 안전한가?’라고 질문하는 비즈니스 리더가 많다. 이는 틀린 질문이다. 적절한 질문은 “보안 팀 및 조직으로서 우리는 클라우드의 우리측 영역 보안을 잘 감당하고 있는가?”일 것이다. 클라우드 데이터 침해/유출의 압도적 다수가 사용자에서 비롯된다. 가트너는 2025년까지 99%의 클라우드 보안 실패는 사용자의 잘못일 것이라고 예상했다. 모든 보안 종사자가 자신의 책임을 이해하는 것이 중요한 이유다.   책임 공유 모델이란 무엇인가 책임 공유 모델(Shared Responsibility Model, SRM)은 클라우드 사용자의 책임과 클라우드 서비스 공급자(CSP)의 책임을 설명한다. CSP는 클라우드‘의’ 보안, 다시 말해 물리적 시설, 유틸리티, 케이블, 하드웨어 등을 책임진다. 반면 사용자는 클라우드 ‘내’의 보안, 다시 말해 네트워크 제어 수단, ID 및 액세스 관리, 애플리케이션 구성 설정, 데이터 등을 담당한다. 이 책임 분할은 이용하는 서비스 모델에 따라 달라질 수 있다. NIST 클라우드 컴퓨팅 정의(NIST Definition of Cloud Computing)에 따르면, 클라우드 서비스 모델을 크게 3가지다.   인프라 서비스(Infrastructure as a service, IaaS): IaaS 모델 하에서, CSP는 물리적 데이터센터, 물리적 네트워킹, 물리적 서버/호스팅을 책임진다. 플랫폼 서비스(Platform as a service, PaaS): PaaS 모델에서 CSP는 예를 들어 운영체제의 패칭 및 유지 보수 등 더 많은 책임을 부담한다(패칭은 지금까지 사용자가 매우 힘들어하는 작업이고,...

책임공유모델 SRM 클라우드 2021.06.16

보안 현상금 행사 '버그 바운티' 시행 전 확인해야 할 5가지

현상금을 걸고 보안 취약점을 찾아내는 버그 바운티(bug bounty) 프로그램은 지난 몇 년간 상당한 변화를 겪었다. 규모와 업계를 불문하고 많은 기업이 이 버그 현상금 모델을 활용하고 있다. 이 프로그램을 진행하는 방식이 다양하고 저렴해지는 동시에 기업이 원하는 대로 결과물을 낼 수 있기 때문이다.   1990년대 중반에 작게 시작한 버그 현상금 프로그램은 주로 기업이 제공하는 방식이다. 공개적으로 또는 개인적으로 초청된 윤리적 해커가 보안 취약성을 찾아내 알려 주면 인정과 보상을 받을 수 있다. 버그 현상금 프로그램의 목적은 보안 취약성을 발견, 해결해 일반에게 알려지거나 사이버 범죄자에 의해 악의적으로 악용되는 일을 미리 방지하는 것이다. 기업이 버그 현상금 프로그램에 투자하면 보안 업무 부담을 크게 줄일 수 있다. 버라이즌 미디어(Verizon Media)의 제품 보안 책임자 션 포리스는 “해당 프로그램에 함께 작업하는 연구자들의 전 세계적인 대규모 네트워크뿐만 아니라 연구자와 직원 간의 공동체 의식도 자연스럽게 형성된다. 일부 해커의 기술과 재능은 믿기지 않을 만큼 높기 때문에 기업의 보안 태세를 강화하는 창의적이고 인상적인 결과를 낼 수 있다”라고 말했다. 그러나, 버그 현상금 시장이 커지고 기업 내부에 보안 역량이 축적되면서 성공적인 버그 현상금 프로그램을 시작하는 것이 점점 더 복잡하고 미묘한 일이 되고 있다. 기업이 버그 현상금 프로그램을 통해 현실적인 도움을 얻으려면 다음 5가지 핵심 질문에 답해야 한다.   1. 절차를 내부적으로 관리할 것인가 아니면 그 일부나 전부를 외주에 맡길 것인가 무엇보다도 기업은 이용 가능한 버그 현상금 옵션을 파악해야 한다. 기본적으로 버그 현상금 옵션은 사내 아니면 외주 두 가지로 나뉘지만, 두 가지 사이에는 다소 겹치는 영역이 있다. 사내 버그 현상금 프로그램은 다국적 대기업이 선택하는 경우가 많은데 문서 형식으로 자유롭게 제출 가능하며 현상금 절차를 내부에서 관리한다. 외주 버그 ...

버그바운티 bugbounty 보안 2021.06.10

하이브리드 멀티 클라우드 여정을 위한 보안 운영 전략

뉴노멀시대 기업의 디지털 혁신이 가속화됨에 따라 클라우드 환경에서의 보안 운영이 중요한 보안 과제로 떠오르고 있습니다.   본 세션에서는 하이브리드 멀티 클라우드 여정을 위한 보안 운영 전략과 함께 기존 보안 팀과 솔루션을 보다 신속하게 통합하여 위협에 대한 심층적인 통찰력을 제공하기 위한 차세대 지능형 보안 플랫폼에 대해 보다 자세히 알아봅니다. <20분>

멀티클라우드 보안 하이브리드 2021.06.02

애플 ID 계정에서 '신뢰하는 전화번호'를 변경·삭제하는 방법

애플의 이중인증 시스템을 활성화하면 사용자가 애플 ID 계정에 로그인할 때 암호 외에 아이폰, 아이패드, 맥 등 신뢰하는 기기나 신뢰하는 전화번호로 전달받은 코드까지 추가로 입력해야 한다. 이때 신뢰하는 기기는 비교적 관리하기 편리하다. 같은 아이클라우드용 애플 ID로 로그인된 모든 기기이기 때문이다. 반면 신뢰하는 전화번호는 상황이 조금 다르다. 필자는 그동안 사용하는 휴대폰 외에 다른 휴대폰 번호를 신뢰하는 전화번호로 등록하라고 조언했다. 당연히 가족이나 배우자 등 충분히 믿을 수 있는 가까운 사이여야 한다. 기기를 도난당하거나 완전히 망가졌을 때, 혹은 모든 기기를 사용할 수 없는 상황에서 계정을 인증하는 최후의 수단이기 때문이다. 하지만 기업의 경우 상황이 조금 다를 수 있다. 실제로 최근 필자는 더는 신뢰할 수 없거나 함께 일하지 않는 상황이 돼서 기존에 등록했던 '신뢰하는 전화번호'를 삭제해야 하는 상황을 접하기도 했다. 신뢰하는 전화번호를 삭제하는 방법은 간단하다. 하지만 그 전에 신뢰하는 계정에 접속할 수 있는지부터 확인해야 한다. 자칫 잘못하면 내가 접속하지 못하는 상황이 될 수도 있다.   애플 ID 웹사이트에 로그인할 때 사용할 수 있는 신뢰하는 기기를 가졌는지 쉽게 확인할 수 있다. 구체적인 계정 정보를 보려고 할 때, iOS와 아이패드OS, 맥OS와 이를 지원하는 사파리에서 저장된 신원 정보를 사용하지 않으면, 항상 이중인중 코드가 필요하기 때문이다. 누군가 나의 계정에 로그인하려 하면 모든 신뢰하는 기기에서 알림을 받게 된다. 작은 크기의 지도 미리보기와 함께 허용할지 허용하지 않을지 묻는 버튼 2개가 나타난다. 이런 화면이 나타났다면 '허용'을 클릭 혹은 탭한 후 애플 ID 사이트의 적절한 지역에 나타난 코드를 입력하면 된다. 이제 로그인을 누르면 정상적으로 진행이 된다. 어떤 기기에서도 허용/허용하지 않음 메시지가 나타나지 않으면, 어딘가 문제가 있는 것이다. 예를 들면 아이폰과 아이패드, 맥에 로그인할 때 사용...

신뢰하는전화번호 보안 애플ID 2021.05.31

IDG 블로그 | 클라우드 보안 문제 대부분이 시작되는 곳

포네몬(Ponemon)과 IBM의 공동 조사에 따르면, 잘못 구성된 클라우드 서버가 데이터 침해 사고의 19%를 유발했다. 데이터 사고 한 건마다 평균 50만 달러의 비용이 든다는 점에서 값비싼 문제이다. 더구나 이 비용에는 회사를 무너뜨릴 수도 있는 평판 손상은 포함되지도 않았다.    요즘은 코로나19 팬데믹 때문에 많은 사람이 집에서 일을 하고, 그래서 클라우드 컴퓨팅을 더 많이 이용한다. 덕분에 클라우드의 부가적인 이점도 얻을 수 있는데, 클라우드는 온프레미스 플랫폼보다 좀 더 현대적인 보안 도구를 제공한다는 것이다. 이 때문에 글로벌 2000대 기업은 발 빠르게 퍼블릭 클라우드를 도입하고 있다. 이런 급격한 마이그레이션은 바로잡아야 하는 실수를 낳았다. 전환의 속도가 신중함보다 더 중요했기 때문이다.  하지만 전혀 새로운 것이거나 팬데믹 이전에는 드물었던 문제는 아니다.  클라우드로의 급격한 전환이 야기하는 문제의 근본 원인은 무엇일까? 잘못된 구성의 수를 줄일 방법은 없는가? 필자는 좀 더 구체적인 흔적이나 공통된 실수를 찾아내고 싶었지만, 실제로는 인간이 오류투성이에 종잡을 수 없다는 것이 근본 원인이다. 발생하는 실수를 줄일 수는 있겠지만, 완전히 없앨 수는 없다.  제로 트러스트 개념이 해답이 될 수 있다. 제로 트러스트의 근간은 말 그대로 아무도 아무것도 믿지 않는 것이다. 모든 사람, 모든 것은 검증해야 하며, 종종 잘못 구성되는 클라우드 서비스도 마찬가지다. 모든 것이 지속적으로 재검증을 받기 때문에 데이터 사고의 위험은 낮아지고 보안은 더욱 더 엄격해진다. 사람이 클라우드 자원과 서비스를 제대로 구성한다면, 약 20%의 잘못된 설정으로 인한 보안 위험을 제거할 수 있다. 신뢰의 개념을 사람에 적용한다면, 절대로 신뢰해서는 안되는 존재로 정의해야 한다.  지금의 기술력은 모든 보안을 자동화할 수 있는 수준에 이르렀다. 환경 구성을 점검하고 자주 재점검하고 ID와 암호화, 키...

제로트러스트 실수 침해 2021.05.31

윤리적이고 효과적인 피싱 테스트를 위한 5가지 베스트 프랙티스

규모를 막론하고 모든 기업에서 피싱 시뮬레이션(혹은 피싱 테스트)을 통한 보안교육이 인기를 끌고 있다. 피싱 테스트는 보안팀이 진짜처럼 보이는 악성 피싱 메일을 만들어 직원에게 발송하는 방식으로 이뤄진다. 통상 누락된 납품에 대한 안내, 송장 요청, 유명인들의 소문 같은 내용으로 이메일을 열어보게 만든다. 보안팀의 통제 아래 이런 이메일에 대한 응답을 정량화하고, 직원들의 보안 인식 수준을 확인한다. 얼마나 많이 첨부 파일을 열어보고, 링크를 클릭했는가? 얼마나 많은 이메일을 의심스러운 메일로 표시하거나, 무시했는가? 다른 것들에 비해 가장 큰 영향을 미친 이메일 제목은 무엇인가? 피해자가 될 확률이 더 높은 특정 부서나 사용자가 있는가? 이런 데이터는 사이버보안 인식 트레이닝 및 교육을 더 효과적으로 맞춤화하고, 해결해야 할 잠재적인 취약점을 파악하도록 한다.   피싱 테스트에 제기된 윤리적 문제 하지만 몇몇 사건으로 인해 피싱 테스트의 핵심 요소에 대한 윤리성이 논란이 되고 있다. 최근 논란의 여지가 있는 주제를 사용해 피싱 테스트를 진행한 영국 웨스트 미들랜즈의 한 철도회사가 대표적인 예다. WMT(West Midlands Trains)은 코로나19 팬데믹 위기 동안의 노고를 치하하기 위해 보너스를 지불한다는 내용으로 피싱 테스트를 진행했다. 발신인은 재무팀으로 가장했다. 또한 수신자가 WMT의 상무이사 줄리안 에드워즈에게 개인 메시지를 보낼 수 있는 마이크로소프트 오피스 365 링크를 클릭하도록 유도했다. 이 링크는 마이크로소프트가 피싱 테스트를 위해 설정한 셰어포인트 사이트로 연결되었고, 링크를 클릭한 사람에게는 HR 팀으로부터 로그인 정보를 요구하는 이메일을 주의하라는 충고 이메일을 받았다. 말할 필요도 없이 보너스는 지급되지 않았다.   윤리적인 피싱 테스트 일정액을 지불하겠다고 약속하는 방법은 사이버 범죄자들이 피해자를 속이기 위해 많이 사용하는 효과적인 전술이다. 그러나 피싱 테스트에서 이런 전술을 사용하는 것은 공정한 것...

보안 피싱 악성코드 2021.05.28

코로나 19 이후의 시대, CISO에게 주어진 과제는…RSA 컨퍼런스

코로나 19 위기가 종료된다면 좀 더 영구적인 원격 작업자, 직원의 건강 데이터 보호를 위한 요구사항 및 더 위험한 위협 환경이 보안 팀을 기다리고 있다.    CISO는 코로나 19 이후의 세상에서 새로운 보안 문제를 관리해야 한다. 최근 RSA 컨퍼런스에서 발표한 전문가에 따르면, 많은 보안 직원이 피로와 스트레스를 받고 있는 것처럼 기업은 재구성된 작업 환경과 직원 건강 고려 사항, 증가된 위협을 해결해야 한다.    시스코 시큐어(Cisco Secure) 자문 CISO이자 미국 오하이오 주립대학 전 CISO인 헬렌 패튼은 ”코로나 19가 처음 발생했을 때, 우리는 항상 불안감을 느꼈다. 우리는 전투 모드에 들어갔고 이를 잘 수행했고, 학습했다. 그러나 이 일이 너무 오래 지속되고 있다. 스트레스와 과로함을 느낄 수 있다”라고 토로했다.  일과 삶의 균형에 집중하라  패튼은 “지난 18개월 동안 100% 이상을 운영해왔지만, 끝이 보이지 않는다. 예상치 못한 상황에 대한 계획을 더 잘 세워야 한다. 즉, 팀을 위한 계획을 세워 그들을 불태우지 않도록 해야 한다”라고 조언했다. 증가된 작업량은 약간의 이점이 있었다. 패튼은 결과적으로 일과 삶의 균형이 가져오는 좋은 점을 발견했다고 말했다.  많은 기관과 기업이 코로나 19 기간동안 사기를 높이기 위한 특전과 인센티브를 제공함으로써 보안팀의 증가된 워크로드에 대한 부담을 완화하기 위해 노력해왔다. 마켈(Markel) CISO이자 CPO인 패티 타이투스는 “실제로 직원들이 정신 건강상의 이유로 사무실로 돌아오는 것을 허용했다. 또한 크레이트조이(Cratejoy)라는 제품에 구매해 재택에서 아이들과 함께 일하는 직원은 아이가 할 수 있는 일로 가득 찬 상자를 받았다. 우리는 회사를 연결하는데 '힘을 합친다'는 좌우명이 정말 필요하다는 것을 느꼈다”라고 말했다. 노스웨스턴 뮤추얼(Northwestern Mutual) CISO 로라 디너는 보...

CISO 코로나19 원격근무 2021.05.26

IDG 블로그 | 쓸 만한 사이버 보안은 클라우드에 있다

다소 과장된 말인지는 모르지만, 이제 단 일주일도 데이터 유출이나 랜섬웨어 공격에 관한 뉴스 없이 지나가는 날이 없다. 더구나 이런 사고가 송유관 해킹처럼 일반인의 삶에도 영향을 끼친다는 점에서는 더욱 더 절망적이다.    남의 일이라고 쉽게 말하는 것 같지만, 이런 사고에는 공통된 패턴이 있다. 해당 기업이 효과가 떨어지는 보안 기술을 사용하고, 아마도 현장에 있는 보안 인력 역시 마찬가지일 것이다. 말하자면 그렇다. 이렇게 공격이 증가하면서 일부 조직은 생각을 바꿨다. 프랑스 정부는 최근 프랑스의 가장 민감한 국가 정보와 기업 데이터 일부를 퍼블릭 클라우드에 저장할 수 있다고 밝혔다. 구글과 마이크로소프트가 개발한 기술을 지목했는데, 이들 업체가 프랑스 기업에 라이선스를 제공하면 가능한 일이 됐다. 로컬 시스템만을 신뢰하던 프랑스 정부의 기존 입장에서 180도 달라진 것이다. 프랑스 재무장관 브루노 르 마레를 비롯한 몇몇 장관은 전략적인 계획의 일부를 공개했다. 이들은 보안 분야에서 미국의 기술적 우위에 대해 언급했는데, 자체 개발한 대안 기술을 주창하던 기존 유럽 정치인과는 대조적이다.  퍼블릭 클라우드 보안은 보통 가장 좋은 보안 방안으로 평가되는데, 가장 많은 연구개발비가 투여되기 때문이다. 하이퍼스케일 클라우드 서비스 업체 자체는 물론 수많은 서드파티 보안 솔루션 업체가 떠오르는 퍼블릭 클라우드 컴퓨팅에 투자하고 있다. 이들 서드파티 보안 솔루션 업체는 멀티클라우드와 크로스 클라우드 보안이 대중화되면서 더욱 중요해졌다 또 하나의 요소는 클라우드에 있는 데이터는 온전히 관리되고 모니터링된다는 사실이다. 해커가 데이터에 도달하기 위해서는 많은 보호 계층을 뚫어야 하며, 이들의 움직임은 CPU나 I/O 소비가 정상적이지 않다는 경보를 울리기 쉽다. 또한, 이런 종류의 공격으로 잘 알려진 지역에서 오는 IP 접속도 감시한다. 클라우드 자체를 뚫어야 하고, 그 다음에 다른 보호 계층을 또 침투해야 한다. 이 때문에 해커는...

클라우드 보안 랜섬웨어 2021.05.24

'사용자보다는 은행이 보안 구멍'… 오픈 뱅킹 '순진한 신참자' 리스크

오픈 뱅킹은 아직도 비교적 새롭다. 원론적으로 사기의 위험성이 신용카드나 직불카드 등의 온라인 결제 수단에 비해 낮은 것으로 알려져 있다. 실제로 그럴까. 기존 뱅킹 및 결제 수단에는 없는 잠재적인 취약성이 오픈 뱅킹에 있을 가능성은 어떨까.   영국과 유럽에서 오픈 뱅킹 규정이 만들어져 실행된 것은 불과 몇 년 전이다. 개정 결제 서비스 지침(PSD2) EU 규정은 2016년에 생겼지만 2019년이 되어서야 완전히 발효됐다. 그 이후로, 은행 고객 계좌 승인을 통해 금융 정보에 접근하는 핀테크 업체 등의 업체(공식 명칭은 TPP(Third Party Provider)다)가 꾸준히 늘고 있다. 핀테크 업체는 은행의 거래 데이터를 활용해 고객의 예산 수립, 대출 신청, 자금 관리 등을 돕고 타 결제 수단보다 속도와 편리성이 높은 결제 서비스를 제공하기도 한다. 이 모든 것이 가능한 것은 오픈 뱅킹 API 덕분이다. 오픈 뱅킹 API가 공인 TTP에 표준화된 거래 데이터 접근 수단과 결제 프로토콜을 제공한다. 오픈 뱅킹 TSP(Trusted Service Provider)이자 오픈 뱅킹 API 및 관련 서비스를 제공하는 중개업체 트루레이어(TrueLayer)의 정책 책임자 잭 윌슨은 오픈 뱅킹으로 위험성이 커지지는 않는다고 주장했다. 그는 “오픈 뱅킹 결제는 기존 결제 시스템의 오버레이에 지나지 않는다. 오픈 뱅킹 제공업체는 고객이 결제를 위해 온라인 뱅킹에 로그인해 직접 계좌이체하는 대신 더 손쉽게, 이를테면 앱 내부에서나 상점 웹사이트에서 결제를 시작할 수 있게 해줄 뿐이다”라고 말했다. 윌슨은 또한 오픈 뱅킹에서 시작된 모든 결제는 반드시 2가지 형태의 뱅킹 인증 정보로 강력하게 인증돼야 한다는 점을 강조했다. 만일 돈이 무단으로 빠져나간다면 은행 측은 고객에게 환불을 해 줄 의무가 있다. 돈이 지정된 수령인에게 가지 않는 경우에도 마찬가지이다. 뿐만 아니라 윌슨에 따르면, 오픈 뱅킹이 사기의 위험성을 줄여준다. 오픈 뱅킹에서는 어떠한 ...

순진한신참자 오픈뱅킹 보안 2021.04.09

애저 AD는 원격 사용자 ID 관리에 어떻게 도움이 되는가

코로나19가 닥치면서 관리자들은 안전한 네트워크를 설계할 때 가장 먼저 생각해야 할 요소는 ID임을 인식하게 됐다. 현재 ID에 초점을 두고 있지 않다면 지금부터 바꿔야 한다. 온프레미스 사고방식으로 ID를 관리하면서 원격 직원을 지원하고 있다면 접근 방법을 업데이트해야 할 시점이다. 기술 업계에서 웬만큼 경력을 쌓은 사람이라면 마이크로소프트 액티브 디렉토리(Active Directory, 이하 AD)를 사용해본 경험이 있을 것이다. 1999년에 출시된 액티브 디렉토리 도메인 서비스(Active Directory Domain Services, AD DS)는 많은 네트워크의 초석이다. AD DS는 도메인에 있는 디바이스와 사용자에 대한 정보를 저장하고, 이들 각각의 네트워크 인증 정보와 권한을 검증한다.   AD DS는 관리자들이 네트워크를 설정하고 사용자를 확인하는 표준으로 사용돼 왔다. 2020년 이전까지 클라우드 서비스는 일상적인 네트워크 수요에서 큰 부분을 차지하지 않았다. 그런데 팬데믹이 닥쳤고, 물리적 도메인과 클라우드 애플리케이션 간의 더 나은 통합을 제공하기 위한 5년 분량의 기술 계획이 순식간에 압축됐다. 어느 날 갑자기 물리적 네트워크 밖으로 나가서 클라우드 서비스를 인증할 방법, 홈 컴퓨터에 연결해서 제어하고 이러한 컴퓨터의 회사 네트워크 액세스를 허용할 방법이 필요해졌다.   애저 AD 사용 증가 그 결과 막연한 관심의 대상이었던 애저 액티브 디렉토리(Azure Active Directory, 애저 AD)가 이제는 사용자와 이들의 재택 근무 수요를 성공적으로 지원하기 위한 필수 플랫폼으로 부상했다. 재택 근무를 실시할 수 있는 역량은 팬데믹의 위협이 사라진 후에도 표준으로 남게 될 것이다. 최근 필자는 마이크로소프트 아이덴티티(Microsoft Identity)의 부사장인 조이 칙과 대화를 나눴다. 칙은 이 트랜스포메이션에 관해 논한 자신의 최근 블로그 글을 언급했다. 애저 AD 앱 갤러리 사용량은 작년 109% 증...

애저AD ID관리 마이크로소프트 2021.03.26

무료 VPN을 안전하게 사용하기 위한 필수 질문 5가지

가상사설망(VPN)의 목적은 인터넷에서 사용자의 익명성을 지키는 것이다.  그러나 최근 알려진 내용에 따르면, VPN도 여느 서비스와 마찬가지로 데이터 유출이 생길 수 있다. 또한, 거의 아무나 VPN을 운영할 수 있어 VPN을 신청하기에 앞서 더 신중해질 필요가 있다.   ‘무료’ VPN이라면 특히 그렇다. 무료 서비스라고 무조건 나쁜 것은 아니지만 인터넷 연결과 전기, 서버에는 돈이 들기 때문에 무료 VPN은 그런 비용을 충당하기 위해 광고를 내보내거나 사용자의 데이터를 판매할 가능성이 있다. 유료 사용자에게 데이터를 전송하기 위해 무료 사용자를 네트워크의 일부로 이용할 수도 있다. 좋은 유료 서비스라면 그런 일이 없겠지만 유료 서비스를 이용할 상황이 안된다면 개인정보 보호를 위해 몇 가지 주의해야 할 점이 있다. 원칙적으로 사용자 관련 정보를 최대한 적게 보관하고 공유하는 VPN이 좋다.   VPN을 누가 운영하는가 VPN은 누구나 운영할 수 있다. 어렵지 않다. 따라서, VPN 운영 주체를 항상 확인해야 한다. 사용자의 트래픽이 거쳐 가는 곳이 신규 고객을 끌어들이기 위해 제한적인 무료 서비스를 제공하는 믿을 수 있고 개인정보보호에 신경 쓰는 회사일 수도 있다.   하지만 아무리 좋게 봐도 사용자의 습관으로 수익을 창출하고자 하거나 최악의 경우 사용자 정보를 악용하려는 개인이 사용자의 모든 인터넷 활동을 중계하는 경우도 있다. 누가 서비스를 운영하는지, 회사의 조직은 어떻고, 어디에 있는지 확인해야 한다. 어디에서 VPN이 운영되는지에 따라 해당 지역의 지방 정부와 사용자의 지방 정부가 살펴볼 수 있는 데이터의 양이 영향을 받는다. 상호 정보 공유 협약을 체결한 국가도 있다. 예를 들면, 미국은 여러 연합에 소속돼 있다.   VPN에서 어떤 데이터를 수집하는가 잘 알려진 괜찮은 VPN 서비스라면 이메일 주소와 IP 주소, 인터넷상에서 방문한 장소 등의 정보를 거의 저장하지 않는다. 유료 VPN은 추...

vpn 보안 2021.03.18

VPN을 사용해야 할 6가지 이유

지난 몇 년 동안 VPN은 온라인에서 콘텐츠 차단을 해제하고 웹을 검색하는 동안 개인정보와 보안을 강화하기 위해 일반 사용자에게 많은 인기를 얻었다.  개인정보 보호는 점점 더 많은 사람에게 관심사가 됐다. 방문하는 사이트, 구매한 제품 및 서비스, 시청하고 다운로드한 콘텐츠가 모두 비공개라고 생각할 수 있다. 하지만 그렇지 않다. 사용자의 인터넷 서비스 제공업체(ISP)는 사용자가 온라인에 접속하는 곳을 알고 있으며, 일부 국가, 특히 미국에서는 이 정보를 마케팅 목적으로 판매할 수도 있다.  웹 사이트는 추적기를 사용해 주변을 따라다니기 때문에 예를 들어, 사용자가 몇 분 전에 본 제품에 대한 광고가 자주 표시된다.   그렇다고 사용자가 이를 허용할 필요는 없다. VPN은 암호화를 사용해 웹 브라우징을 비공개로 만들어, ISP, 정부 및 다른 누구도 사용자가 무엇을 하고 있는지 알 수 없도록 한다(웹 브라우저의 비공개 모드와는 다르다). 오늘날 VPN은 바이러스 백신과 함께 사용자를 보호하는 데 도움이 되는 필수 보안 도구로 인식되고 있다.  VPN을 사용해야 하는 이유  1. VPN은 추적기를 차단하는 데 도움이 된다  VPN을 사용하면 IP 주소가 숨겨진다. 웹 사이트를 방문하면 추적기가 실제 IP 주소를 찾는 작업을 수행한다. VPN에 연결하면 실제 IP 주소가 서비스에 속하는 IP 주소로 대체되므로 추적하기가 훨씬 어려워진다.  2. VPN은 ISP가 데이터를 판매하지 못하도록 한다  일반적으로 인터넷에 연결할 때 데이터는 읽을 수 있는 형식으로 ISP를 통해 제공된다. 모든 데이터가 아니라 웹 검색, 방문하는 웹 사이트의 URL 등과 같은 것이다. VPN을 통해 연결할 때, 해당 정보는 암호화되어 ISP가 읽을 수 없다. 즉, 제품과 서비스를 판매하려는 회사에 판매할 수 없다.  3. VPN은 온라인에서 추가적인 보안을 제공한다  동일한 암호화는...

VPN 보안 개인정보보호 2021.03.11

글로벌 칼럼 | 워치로 아이폰 잠금 해제? 애플의 '보안 후퇴' 유감

애플은 iOS 14.5에서 마스크를 착용한 기업 사용자가 애플 워치(워치OS 7.4)로 아이폰 잠금을 해제할 수 있도록 허용할 예정이다. 그러나 이는 편의성과 보안을 맞바꾼 전형적인 사례다. 만약 기업 사용자가 이 기능을 사용하지 않도록 제안하지 않으면 기업 보안에 큰 허점이 발생할 수 있다.   간단히 말해, 이 기능은 산업 스파이와 사이버 범죄자가 기업의 지적 자산을 탈취하는 것을 더 쉽게 만들 것이다. 마침 코로나19로 이런 핵심 정보가 스마트폰에서 만들어지고 저장되고 전송될 가능성이 2019년보다 훨씬 커진 것도 이처럼 우려하는 이유다. 애플은 이 새 기능이 오직 휴대폰 잠금을 해제하는 데만 사용된다고 설명했다(이것만으로도 매우 나쁘다). 애플카드, 애플페이는 물론 은행이나 증권 등 페이스ID 인증을 사용하는 서드파티 앱에서 애플워치로 인증 과정을 우회할 수는 없다는 것이다. 이런 설명은 이번 조치로 애플이 보안의 어떤 부분을 희생했는지를 바로 보여준다. 애플의 새 기능의 원리와 개발 배경을 더 자세히 살펴보자. 일단 보안 측면에서 이는 끔찍하다. 매우 민감한 기업 데이터를 위태롭게 해 기업 IT의 큰 골칫거리가 될 것이다. 반면 편의성 측면에서는 매우 인상적인 개선이다. 먼저, 코로나19 대유행 상황에서 휴대폰 잠금해제 과정은 누군가 마스크를 쓰고 있음을 인식하는 것부터 시작된다. 일단 마스크를 인식하면, 주변에 이미 잠금 해제된 애플 워치가 있다는 가정하에 휴대폰 잠금이 해제된다. 실제 뒷단에서 이뤄지는 작업은 휴대폰에서 PIN을 입력하는 작업을 워치에서 하는 것으로 대체하는 것이다. 이는 매우 유용할 수 있다. 이 방식이 얼마나 도움이 될까? 정확히 말하면 얼마나 더 편리해질까? 이 기능이 좋은 아이디어인 것은 분명하다. 그러나 필자는 다른 방식 대비 더 유용하다는 데는 동의할 수 없다. 예를 들어 많은 사용자가 하루에도 몇 번씩 아이폰 PIN을 입력한다. 아이폰 사용자 대부분은 너무 익숙한 동작이어서 1초도 걸리지 않는다. 한...

워치 잠금해제 아이폰 2021.02.23

넥스트 노멀, 준비된 자에겐 기회다··· CDN을 넘어 ‘통합 콘텐츠 전송 플랫폼’이 필요한 이유 - IDG Summary

그야말로 '빅뱅'이었다. 데이터 트래픽을 두고 하는 이야기다. 코로나19로 집에 머무는 시간 이 많아지면서 온라인 쇼핑, 동영상 시청, 게임 등 인터넷 사용이 증가한 데다가 재택근무, 원격수업 등의 돌발변수까지 더해져 전체 인터넷 트래픽에 과부하를 주고 있다. 당연하게 지연시간, 대역폭, 품질, 인프라에 관한 사용자들의 볼멘소리가 나오기 마련이다. 이에 따라 온라인 서비스를 하고 있는, 혹은 시작하려는 기업 입장에서는 원활한 네트워크 전송이 무 엇보다 중요해지고 있다. 지금까지와는 다른 전략이 필요한 시점이다. 주요 내용 - 코로나19 사태가 쏘아올린 트래픽 폭주 - '실시간 스트리밍'이 대세가 된다  - '보안'도 놓쳐서는 안 된다 - “콘텐츠의 타임 투 마켓 속도 올린다"

코로나19 팬데믹 데이터 2021.02.22

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.