Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

데이터 유출

트위터, 540만 계정 정보 유출 인정

540만 개 이상의 트위터 사용자 계정 정보가 유출돼 다크웹에서 판매되고 있다는 의혹이 사실로 확인됐다.  8월 5일(현지 시각) 트위터는 이 의혹을 공식적으로 인정하면서, "올해 1월 버그 현상금 프로그램으로 보고돼 즉시 패치했던 보안 취약점을 악위적인 행위자가 활용했으며, 이를 통해 수집한 정보를 판매하려 했다"라고 밝혔다.    트위터에 따르면 해당 제로데이 보안 취약점은 2021년 6월 코드 업데이트로 발생했다. 이를 악용하면 전화번호나 이메일 주소를 입력해 이 정보가 트위터 계정과 연결돼 있는지, 만약 그렇다면 어떤 계정과 연동돼 있는지 알 수 있었다고 회사 측은 설명했다.  이어 트위터는 해당 보안 취약점이 해커원(HackerOne) 버그 현상금 프로그램을 통해 보고된 이후 즉각 조사에 착수해 수정했으며, 당시에는 취약점이 악용됐다는 증거가 없었다고 발표했다.  하지만 지난 7월 블리핑 컴퓨터(Bleeping Computer)는 악의적인 행위자가 이 취약점을 악용해 총 548만 5,636개의 트위터 사용자 계정 정보를 수집했으며, 다크웹에서 이를 미화 3만 달러에 판매하고 있다고 보도했다. 트위터는 "판매 데이터 샘플을 검토한 결과, 보안 업데이트가 이뤄지기 전에 악의적인 행위자가 이를 악용해 정보가 유출된 것으로 보인다"라고 전했다.  트위터는 "영향을 받은 것으로 확인된 계정 소유자에게 직접 통지하고 있다"라며, "최대한 신원을 노출하지 않으려면 트위터 계정에 공개적으로 알려진 전화번호나 이메일 주소를 추가하지 않는 게 좋다. 비밀번호가 노출되진 않았을지라도 모든 트위터 사용자는 인증 앱 또는 하드웨어 보안 키를 사용해 2단계 인증을 활성화하여 무단 로그인으로부터 계정을 보호할 것을 권장한다"라고 말했다. ciokr@idg.co.kr 

트위터 보안 취약점 데이터 유출 2022.08.09

"데이터 침해 피해 기업 60%, 제품ㆍ서비스 가격 올렸다"

IBM의 보안 보고서에 따르면 데이터 침해에 따른 전 세계 평균 비용이 2021년 미화 424만 달러에서 2022년 435만 달러로 증가하면서 사상 최고치를 기록했다. 침해로 피해를 본 기업의 약 60%는 제품 및 서비스 가격을 인상했다.  IBM 시큐리티(IBM Security)와 포네몬 인스티튜트(Ponemon Institute)의 최신 보고서는 지난 2021년 3월부터 2022년 3월까지 전 세계 기업 550곳의 실제 데이터 침해 사례를 분석한 결과를 담았다. 해당 보고서는 약 83%의 기업이 지금까지 1회 이상 데이터 침해를 경험했으며, 침해 비용의 약 50%가 유출 이후 1년 넘게 발생한 것으로 조사됐다.      “클라우드 및 주요 인프라가 여전히 높은 위험에 노출돼 있다” 보고서에 의하면 랜섬웨어와 파괴적 공격이 주요 인프라 기업의 침해 유형 중 28%를 차지했다. 이는 글로벌 공급망을 교란시키고자 해당 부문을 표적으로 삼는 위협 행위자가 있다는 사실을 나타낸다. 이어 보고서는 美 바이든 행정부가 연방기관에 제로 트러스트 보안 모델 도입을 의무화한 사이버 보안 행정 명령을 내린 지 1년이 지났지만 이번 설문조사에 참여한 주요 인프라 기업 가운데 이를 채택했다고 밝힌 곳은 21%에 불과했다고 전했다.  클라우드 컴퓨팅 인프라는 보안이 미숙하다는 점에서 쉬운 타깃으로 꼽히고 있다. 보고서는 “43%의 기업이 초기 단계에 있거나, 클라우드 환경 전반에 보안 관행을 적용하지 않았다고 답했다. 그 결과, 보안이 성숙한 기업에 비해 평균 66만 달러 이상의 높은 침해 비용이 발생하는 것으로 조사됐다”라고 전했다.   아울러 하이브리드 클라우드를 도입한 기업(45%)의 침해 비용이 퍼블릭 또는 프라이빗 클라우드 모델만 채택하는 기업보다 낮은 것으로 드러났다. 하이브리드 클라우드의 침해 비용은 평균 380만 달러인 반면, 퍼블릭 클라우드와 프라이빗 클라우드는 각각 502만 달러, 424만 달...

데이터 침해 데이터 유출 IBM 2022.08.03

"공급망 해킹 급증…전년 대비 297% 증가"

ID 및 접근 관리(IAM) 소프트웨어 회사 포지록(ForgeRock)의 ‘소비자 신원 및 침해 보고서(Consumer Identity and Breach Report)’에 따르면 지난해 공급망 공격이 증가했으며, 무단 액세스가 주요 감염 벡터인 것으로 나타났다. 공급망 및 서드파티 공급업체와 관련된 문제로 인한 보안 침해가 2021년 미국에서 전년 대비 297% 늘어나면서 전례 없는 급증세를 보였다. 이는 전체 보안 침해 사고의 약 4분의 1에 달한다.   포지록은 2021년 1월 1일부터 12월 1일까지 신원 도용 리소스 센터(Identity Theft Resource Centre), 포레스터 리서치(Forrester Research), 포네몬 인스티튜트(Ponemon Institute) 등 여러 출처에서 수집한 데이터를 기반으로 해당 보고서를 작성했다. 보고서에 의하면 무단 액세스(50%)가 공급망 보안 침해의 주요 감염 벡터인 것으로 드러났으며, 2020년보다 5%P 증가한 수치다. 아울러 보안 침해 사고로 인한 평균 비용은 미화 950만 달러로 세계 최고 수준이며, 지난해(820만 달러)와 비교해 16% 올랐다.    “공급망 해킹의 주요 감염 벡터는 무단 액세스” 보고서는 승인되지 않은 액세스가 주요 감염 벡터였으며, 여전히 문제라고 강조했다. 무단 액세스에는 취약한 암호, 공유된 자격증명 또는 손상된 계정으로 인한 데이터, 네트워크, 애플리케이션, 기기 액세스가 포함된다. 이어 무단 액세스를 빠르게 식별 및 차단하고 데이터 유출을 방지하려면 AI와 머신러닝 기술을 IAM(Identity and Access Management)에 적용하라고 보고서는 권고했다. 또한 공격자가 소비자의 MFA 피로(MFA fatigue)를 악용해 액세스 권한을 얻는 ‘MFA 프롬프트 공격’을 방지하려면 비밀번호 없는 인증, 머신러닝, 고급 패턴 인식 등을 통한 MFA 계층화도 중요하다고 지적했다. 컨설팅 회사 ...

공급망 공격 공급망 해킹 보안 침해 2022.07.21

유형부터 사례까지…‘데이터 침해’ 자세히 살펴보기

‘데이터 침해’는 해커가 보안을 뚫고 불법적으로 데이터에 접근하는 보안 사건이다. 개인 데이터(예 : 이름, 생년월일, 금융 정보, 주민등록번호, 운전면허 번호 등)는 민간기업, 공공기관, 클라우드의 셀 수 없이 많은 수의 서버에 무수히 많은 사본으로 존재한다. 개인식별정보(PII) 접근 권한이 없는 사람이 해당 정보를 볼 수 있다면, 개인은 물론이고 이를 저장하고 안전하게 보관해야 하는 기업 모두에게 심각한 결과를 초래할 수 있다.    PII는 해커가 보안을 위반하고 가능한 곳이라면 어디든 찾아낼 만큼 가치가 있다. 한편 데이터를 저장/보관하는 기업과 공공기관은 데이터를 적절하게 보호하지 못하는 때가 많으며, 이에 따라 몇몇 지역에서는 데이터 침해로 이어질 수 있는 느슨한 보안 관행 단속을 법으로 규제한다.  시작하기에 앞서 짚고 넘어갈 게 있다. 때때로 사람들은 ‘데이터 침해(data breach)’와 ‘데이터 유출(data leak)’을 구별해 사용한다. 여기서는 데이터 유출을 '기업이 적절한(또는 어떤) 보안 제어 없이 웹사이트나 다른 위치에 실수로 민감한 데이터를 저장하여 데이터가 그곳에 있다는 사실을 아는 사람이 자유롭게 접근할 수 있도록 하는 것'이라고 본다. 하지만 침해와 유출을 명확하게 구별하는 건 쉽지 않으며, 최종 결과가 동일할 때도 많다.  데이터 침해는 어떻게 발생하는가? 데이터 침해는 누군가가 접근해서는 안 되는 데이터베이스에 액세스할 때 발생한다. 사실상 이는 매우 폭넓은 설명이며, 간단한 예로 도서관 직원이 합법적인 업무상의 이유 없이 친구가 어떤 책을 빌렸는지 몰래 엿보는 것을 들 수 있다.  대부분 사람은 이게 문제가 된다고 생각하지 않을 수 있지만, 일부 데이터 침해는 내부에서 발생하는 것이 사실이다. 즉, 업무에 따라 PII에 접근할 수 있는 직원이 금전적 이득이나 기타 불법적인 목적을 위해 데이터를 유출할 수 있다. 물론 데이터 침해는 외부인의 사이버 공격으로...

데이터 데이터 침해 데이터 유출 2022.07.18

"크리스마스 선물로 더많은 데이터를 폭로할 것이다"...소니 해커

이번 주말 인터넷에는 소니 픽처스 회사 데이터가 추가로 드러났으며, 해커들은 더 많은 데이터를 뿌릴 것이라고 경고했다. 5GB 이상의 데이터와 함께 이 메시지가 게재된 곳은 페이스트빈 웹사이트다. 이 게시물을 작성한 이는 GOP라는 아이디였다. 이는 소니픽처스를 해킹했다고 주장하는 GOP(Guardians of Peace) 그룹 또는 사람으로 추정된다. 이 해커는 이 메시지에서 "우리는 크리스마스 선물을 준비하고 있다. 이 선물은 아주 큰 데이터 분량이 될 것이다. 많이들 기대할 이 선물은 확실히 많은 즐거움을 안겨 줄 것이며 반면 소니 픽처스는 가장 나쁜 상황에 직면하게 될 것이다"고 말했다. 이 메시지는 소니에게 '어떤 크리스마스 선물을 받기를 원하는 지'를 5개의 불특정 이메일 주소 가운데 하나로 보낼 것을 요구했다. 이 파일들은 이전 폭로 때와 동일 비밀번호로 전송됐으며 제목은 'My Life At The Company - Part 2'라는 제목이었다. 이후 이 게시물은 페이스트빈에서 삭제됐다. 이는 5개의 웹사이트에 비트토렌트 트래커 파일들을 호스팅하고 있다. 비트토렌트 트래커 파일은 글로벌 파일 공유 네트워크에서 파일들의 소재를 파악하기 위해 사용된다. 이 사이트들 가운데 여러 개는 이 트래커 파일들을 호스팅하고 있어 이를 제거해도 다시 나타난다. 지금 현재로써는 최신 데이터 내에 어떤 파일이 들어있는 지 추정할 수 없다. 지난 11월, 주요 헐리우드 영화 제작사인 소니 픽처스는 해킹을 당해 2주동안 인터넷 상에 기업 정보가 유출된 바 있다. 처음에는 소니 픽처스의 여러 미공개 영화들과 소니 픽처스 임직원들에 대한 연봉 정보가 업로드됐다. 당시 유출된 정보에는 임직원들의 의료 정보, 재정 데이터, TV 쇼 계약 등이 포함되어 있었다. 지난 주에는 두명의 최고 중역 아웃룩 이메일 박스가 유출됐는데, 이 이메일에는 소니와 다른 헐리우드 제작사와의 교환한 메시지...

데이터 유출 소니 픽처스 GOP 2014.12.15

2014년 사이버보안 평가, "정보 유출과 비용의 증가, 낮아진 자신감과 예산"

기업 보안에 대해 높은 자신감을 가졌던 지난해와 달리, 2014년 CSO들은 정체된 예산, 증가하는 취약점, 더욱 성공적인 공격들과 다사다난한 사고들과 함께 힘든 한 해를 보내고 있다. 2014년은 거의 모든 산업에서 보안의 어려움을 겪는 것처럼 보인다. 올해 데이터 유출 사건들은 광범위하고 심각했다. 소프트웨어 제조업체 어도비(Adobe)는 1억 5,200만 건의 개인정보를 잃어버렸다. 온라인 상거래사이트 이베이(eBay)에서도 1억 4,500만 건의 개인정보가 유출됐다. 은행과 금융서비스업체인 JP 모건 체이스(JP Morgan Chase)는 7,600만 건, 소매업체 타겟(Target)과 홈 데포(The Home Depot)에서는 각각 7,000만 건과 5,600만 건의 정보가 유출됐다. 커뮤니티 헬스 서비스(Community Health Services)에서 450만 건의 환자 개인정보를 유출한 것을 비롯해 2014년에는 수많은 의료정보 유출 사고도 발생했다. 사이버 공격은 점점 더 창의적으로 바뀌고 있으며 각 산업계에 막대한 피해를 입히고 있다. 2014년 10월 실적 발표에서 이베이는 데이터 유출을 3분기 매출 신장이 급격하게 낮아진 주요 이유 가운데 하나로 꼽았다. 지난 10월, 보안개발업체 인빈시아(Invincea)는 공격자들이 방위산업체와 항공산업계 조직에 고도로 표적화된 악성 광고를 통해 공격하는 방법에 대해 발표했다. 프라이스워터하우스쿠퍼(PricewaterhouseCoopers)와 CSO에서 공동 수행한 12회 연례 GSISS(Global State of Information Security Survey 2015) 조사에서도 올해에 이어 내년에도 역시 놀랄만한 데이터 유출이 계속 발생하고, 이런 유출 사고는 기업들에게 더욱 많은 피해를 입힐 전망이다. 그럼에도 정보 보안 예산은 이런 위협 수준에 맞춰 인상되지 않고 있다. 오히려 예산이 약간 줄어든 경우도 있다. 마치 보안팀이 사이버 공격 격퇴에 한발자...

사이버보안 데이터 유출 정보 유출 2014.11.12

2014년 데이터 유출 사건에서 배울 수 있는 6가지 교훈

OSF(Open Security Foundation)에 따르면 최악의 데이터 유출 사건 10건 가운데 올해 발생한 사건이 3건을 차지한다. 여기에는 NYC 택시 & 리무진 위원회(NYC Taxi & Limousine Commission)의 1억 7,300만 건, 이베이(Ebay)에서의 1억 4,500만 건, KCB(Korea Credit Bureau)의 1억 400만 건이 포함된다. 그리고 여기에는 러시아 해커가 훔친 것으로 보도된 12억 건의 사용자명과 비밀번호 또는 최근 대한민국에서 도난 당한 것으로 밝혀진 2억 2,000만 건은 포함되지 않았다. OSF와 RBSI(Risk Based Security Inc.)는 지난해에 비해 2014년에는 노출 기록이 크게 증가해 최대치를 경신했다고 밝혔다. 우리가 실수를 통해 배울 수 있다면 올해야말로 보안교육의 해라 할 수 있을 것이다. 올해 데이터 유출 사건을 통해 몇 가지 교훈을 살펴보도록 하자. 1. 인력 확충을 심각하게 고려할 때다 정보 보안에서 최대의 보안 구멍은 기술적인 부분과 전혀 상관없을 수 있다. HP 기업 보안 제품 담당 CTO 제이콥 웨스트는 "2014년 현재 보안직 가운데 약 40%가 공석으로 비어있다"고 말했다. 그리고 고위 보안직을 살펴보면, 공석률이 49%에 달한다. 웨스트는 "우리가 사용하는 기술 그리고 우리가 시스템의 보안을 위해 기울이는 노력에 상관없이 이렇게 인력의 절반 가까이가 공석인 상태로 전쟁에 임한다면 우리는 패배할 수 밖에 없다"고 설명했다. 웨스트는 포네몬 인스티튜트(Ponemon Institute)가 진행한 올해 봄의 연구 결과를 언급했다. 해당 연구에서 응답자의 70%가 보안 조직에 인력이 부족하다고 답했다. 또한 인력이 부족한 주된 이유에 대해 응답자의 43%가 조직이 충분한 임금을 제시하지 않았다고 답했다. 보안 인력 확충 예산에 대해서는 지난 5월 포네몬 인스티튜트가 ...

해킹 보안 데이터 유출 2014.11.05

일본항공, 75만 이상의 상세 고객 정보 유출

일본항공(Japan Airlines, JAL)은 외부 서버에 있는 항공사 데이터베이스에서 75만 이상의 일본항공 클럽회원 개인정보가 유출됐다고 확인했다. 이번에 유출된 것으로 보이는 데이터는 항공 이용 포인트와 향후 비행 할인을 받는 11만~75만의 JAL 마일스 클럽 회원들의 정보 성명, 주소, 생년월일, 메일 주소 등이 유출됐다. JAL은 아직까지 고객들의 비밀번호 혹은 신용카드 상세정보까지도 유출했는 지에 대해서는 밝히지 않았다. 정보보안 업체인 클리어스위프트 호주 및 뉴질랜드 지역 대표 데이비드 드 렌느는 "이번 유출 사고로 인해 JAL 고객들의 개인 데이터가 다른 조직에게 드러났을지 모르며, 이는 신원 위장 절도와 사기의 표적으로 활용될 수도 있다"고 말했다. 렌느는 "이번 데이터 유출 사고는 기업 평판을 실추시켰을 뿐만 아니라 단골 고객의 신뢰도를 깨트리고 나아가 향후 이 기업의 매출을 위태롭게 할 수 있다"고 경고했다. 렌느는 "이번 사고는 기업에게 데이터 보안의 중요성을 일깨워 주며, 적소에 데이터 유출 방지 시스템과 유출 대응 계획을 갖는 것이 정말 중요하다"고 말했다. editor@itworld.co.kr

JAL 데이터 유출 고객 정보 2014.09.29

'범죄의 재구성', 타깃 데이터 유출 해킹 11단계

액티브 디렉토리(Active Directory) 모니터링 및 보호 전문 보안업체인 아오라토(Aorato)의 조사 결과에 따르면, 대형 소매업체인 타깃(Target)은 지난해 발생한 데이터 침해 사건으로 많은 PII(Personal Identifiable Information, 개인 식별 정보), 신용카드, 현금카드 데이터를 도난 당했지만, PCI 컴플라이언스 프로그램 덕분에 피해 규모를 크게 줄일 수 있었다. 아오라토의 수석 연구원 탈 베리를 비롯한 연구팀은 공개된 자료와 보고서를 활용해 공격자들이 타깃 공격에 사용한 툴을 모두 분석했다. 타깃에 잠입한 방법, 네트워크에서 번식을 한 방법, 인터넷과 직접 연결되지 않은 PoS(Point of Sales) 시스템에서 신용카드 데이터를 훔친 방법 등을 단계별로 분석한 것이다. 아직 자세히 밝혀지지 않은 침해 방법이 많다. 그러나 베리는 어떻게 공격이 이뤄졌는지 이해하는 것이 아주 중요하다고 강조했다. 지난 주, 미국 국토안보부(DHS)와 비밀경호국(Secret Service)은 타깃의 PoS 시스템 공격에 사용된 악성코드가 지난 몇 년간 다른 수많은 PoS 시스템을 감염시켰다는 내용을 골자로 하는 경고 보고서를 발표한 바 있다. 추적 기법은 '사이버 고생물학' 베리는 아오라토의 세부 분석 가운데 일부는 틀릴 수도 있다고 인정했다. 그러나 재구성 자체는 아주 정확하다고 확신했다. 베리는 "일종의 '사이버 고생물학(화석 분석)'이다. 타깃 사건에서 확인된 툴에 대해서는 많은 보고서가 나와있다. 그러나 공격자들이 이 툴들을 이용한 방법을 설명하고 있지는 않다. 공룡 뼈는 있는데, 이 뼈의 주인인 공룡이 어떤 모습을 하고 있는지 모르는 것과 마찬가지다. 그러나 아오라토는 공룡이 어떤 모습을 하고 있는지 알고 있다. 이를 바탕으로 이 뼈의 주인인 공룡을 재구성할 수 있었다"고 말했다. 타깃의 데이터 침해 소식은 지난 2013년, 연중 가장 바...

타겟 데이터 유출 사이버 고생물학 2014.09.12

AT&T 모빌리티, 데이터 유출

미국 이동통신 2위 사업자인 AT&T 모빌리티가 지난주 캘리포니아에서 데이터 유출 사고를 공지했다. 이 사고는 2014년 4월 9일부터 21일까지 발생한 것으로, 서드파티 제공업체 가운데 하나가 보안과 프라이버시 가이드라인을 위반하고 고객 데이터에 접속했다는 내용이다. AT&T는 무약정 폰 소지자의 재판매를 위해 데이터에 접근한 것으로 믿고 있다. 데이터 유출은 5월 19일 발견됐다. 현재 이 문제는 AT&T 협력업체 종사자가 고객 사회보장번호와 생년월일을 볼 수 있었다는 점에 있다. 게다가 모바일 제공업체가 볼 수 있도록 동의한 서비스와 연계된 고객 소유 네트워크 정보(Customer Proprietary Network Information, CPNI)가 포함되어 있다. AT&T는 이번 유출된 고객들을 위해 1년간 무료로 신용카드 조회 보고 서비스를 제공할 것이다. AT&T는 데이터 유출 시기만 알렸을뿐 얼마나 많은 고객의 데이터가 유출됐는지는 밝히지 않았다. 미국연방수사국은 고객 데이터에 비인가 접속을 공지했지만 앞으로 수사할 것인지조차도 밝히지 않아 상세한 정보는 없는 상황이다. 다만 알려진 정보 가운데 하나는 AT&T가 고객들에게 패스코드를 변경할 것을 권고했다는 것이다. 패스코드가 없는 고객들은 이를 추가하도록 권유하고 있다. 이를 통해 이번 사건에서 유출된 정보에 패스코드가 포함되어 있음을 말해준다. editor@itworld.co.kr

AT&T 데이터 유출 2014.06.16

내부 위협에 대응하는 기업의 자세 - IDG Tech Focus

수많은 보안 사고, 그것도 초대형 보안 사고들이 줄이어 터지고 있다. 보안 사고의 대부분은 고객 개인정보와 같은 데이터 유출이다. 포레스터의 최근 보고서에 따르면, 2013년 데이터 유출의 가장 큰 원인은 내부 위협이었다. 내부 위협은 발생 원인도 다양하고, 위협 방법도 각양각색이기 때문에 완전히 해결할 수 없는, 보안 관리자에게는 오래된 과제이자 숙적이다. 그렇다고 손 놓고 보고 있을 수는 없다. 내부 위협의 오래된 역사만큼이나 이를 완화시키는 방안도 다양하다. 내부 위협의 동향과 이를 완화시키는 방법, 그리고 그 해법을 살펴보자. 주요 내용 데이터 유출 사건의 주범, '내부자 위협' 내부 위협과 이를 완화시키는 방안 내부 위협 방지를 위한 문서 중앙화의 필요성과 해법 내부자료 유출차단을 위한 문서중앙화 솔루션, '시큐어디스크'

데이터 유출 내부 위협 2014.04.04

세이프넷, 데이터 유출/침해 인덱스 발표

세이프넷 코리아는 지난 십여년간의 데이터 유출/침해(Data Breach) 관련한 사건 사고를 토대로 위험성을 인덱스화해 이를 웹 사이트(www.breachlevelindex.com)를 통해 공개했다. 세이프넷이 이 사이트를 개설한 목적은 데이터 유출/침해 유형 별 추이와 산업 별 피해 규모 현황 등에 대한 통계 정보 서비스를 제공하는 한편 현재 보안 위험성이 어느 정도인지를 웹에서 간단히 자가진단을 할 수 있도록 돕기 위함이다. 자가진단의 경우 유출된 데이터 건수, 유출 경로, 사후 대처 등 네 가지 간단한 질문에 답을 넣으면 바로 위험도가 평가된다. 이 위험도의 수준은 세이프넷이 십여년 간 데이터 유출/침해 실제 사건에 대해 평가한 위험도 수치와 비교해 볼 수 있어 보다 객관적인 위험도 평가가 가능하다. 세이프넷 황동순 지사장은 “주요 사건 사고에 대한 원인 파악 및 이를 기초로 한 자사의 보안 수준 평가가 상시 이뤄져야 하는데, 대부분의 조직에서는 어디서 어떤 사고가 났는가 식의 정보만 살피고 있다”며, “이에 세이프넷은 기업과 조직이 지금까지 일어난 사건 사고를 유출/침해 유형 별 그리고 위험도 별로 살펴볼 수 있는 인덱스와 함께 내부의 수준 평가를 위한 일종의 데이터 유출/침해 위험성 평가 지표도 함께 만들었다”고 말했다. 한편, 세이프넷 코리아는 이번 데이터 유출/침해 인덱스 발표를 계기로 암호화 플랫폼 영업 전략에 힘을 싣는다는 계획이다. 개인정보보호 관련 규제 변화가 심해지면서 기업들이 지금껏 투자한 DB 암호화 솔루션을 기초로 한 규제 대응이 갖는 한계가 명확해지고 있다는 판단 하에 ‘플랫폼’을 영업 전략의 주요 키워드로 내세우고 있다. editor@itworld.co.kr

세이프넷 데이터 유출 2014.03.27

타깃의 데이터 유출 사고가 전하는 4가지 교훈

지난 해 말 유통 업체 타깃(Target)에서 벌어진 카드 정보 유출 사태를 모르는 이는 없을 것이다. 이 문제는 기업 네트워크의 개인 식별 번호 입력 패드(PIN, Personal Identification Number pad)에 보안 구멍이 발생함으로써 벌어졌다. 유출된 지불 카드 번호는 총 1억 1,000만 건에 이르렀다. 사고 이후 기업의 CIO 베스 제이콥스가 사임했으며, 논란은 한동안 이어질 전망이다. 시장의 거대 공개 기업으로서 타깃이 초래한 사고와 그 이후 행보는 관심의 대상이 되고 있다. CIO, 혹은 테크놀로지 관리자인 당신에게 이번 사건이 의미하는 바는 무엇일지 한 번 살펴보자. 타깃의 대규모 데이터 유출 사고는 다음과 같은 4가지 교훈을 전하고 있다. 1. 무시해선 안될 경보가 무엇인지를 명확히 하라 2. 주요 보안 문제의 처리 책임을 CISO와 공유하라 3. 사고 대응 계획을 마련하라 4. 가장 취약한 보안 지점은 가장 신경 쓰지 않는 부분이다 1. 무시해선 안될 경보가 무엇인지를 명확히 하라 모든 것이 서로 연결된 오늘날의 비즈니스 환경에서 취약점이란 도처에 만연한 존재다. 각기 다른 소프트웨어들이 서로 다른 리스크 프로파일을 지니고 있다. 어떤 기관에선 심각한 영향을 초래할 수 있는 취약성이 다른 기업에선 컴포넌츠 설정 구조를 약간 조정하는 것 만으로 해결되기도 한다. CIO가 시행해야 할 기본적인 보안 대책은 단연 철저한 위협 분석이다. 그러나 이것 못지 않게, 밀려오는 이벤트 로그와 감사 로그, 벤더 취약성 알림, 침입 방어 메시지의 파도를 관리하는 과정 역시 필요하다는 사실을 기억해야 한다. 적용할 수 있는 우수 방법론: 각 보안 취약성 및 침입 시도가 어느 정도의 위험도를 지니는 지를 목록화 하라. 위험성 평가 기준은 비즈니스 성격에 따라 때론 시스템이 될 수도, 또 때론 위협 출처가 될 수도 있다. 세부적인 고려 사항은 다음과 같다. ◆ 소매 비즈니스의 경우에는 지불 시스템이 가장 신경...

타깃 데이터 유출 2014.03.21

블로그 | 데이터 유출, 아직도 '남의 일'인가?

연일 데이터 침해와 유출 사고가 터지고 있지만 여전히 많은 사람들은 강 건너 불구경이다. 인식이 확산되고 있는 것은 분명하나 내 일이 아니라고 여기는 태도를 바꾸지 않은 한 근본적인 해결은 불가능하다. 지금은 사람과 정보보호 문제에 대한 실질적인 해결책을 논하고 발전시켜야 나가야 할 때다. 지난해 미국 대형 쇼핑몰인 타깃(Target)의 고객 정보가 유출된 이후 이에 대한 간단한 논의가 시작됐고 현재 미국에서는 새로운 사건들이 터져 나왔다. 필자는 데이터 유출 사건에 대해 심각하다고 이야기한 바 있다. 이제 우리는 데이터 유출의 인식 과 현실간의 격차가 벌어지고 있다는 증거를 찾아낼 필요가 있다. 기업들은 자사가 해커들의 공격 대상도 아니고 설령 공격이 들어온다 해도 쉽게 굴복할 것 같지 않다고 계속 믿고 있다. 이는 정보 유출을 방지하고 해커들의 레이더 망에 자신들을 내버려 두지 않기 위해 충분히 투자할 수 있다는 생각으로 자기 자신을 속이고 있는 것이다. 하지만 실제로 사고가 터지면 이런 순진한 생각은 더 이상 먹히지 않는다. 현실은, 정보 유출이 자신의 기업에서 일어난다는 것이다. 비즐리의 정보 유출 대응 보험(Beazley’s Breach Response Insurance)에서 대규모 위험 보험 담당자인 토마스 레이건에 따르면, 보고된 데이터 유출 건수는 증가하고 있다. 여기에는 이 보험사가 2013년에 처리한 500개 이상의 데이터 침해 사고도 포함된다. 레이건은 실제로 사고가 났건 그렇지 않건 현실을 완전히 이해하지는 못했다고 설명했다. 여전히 데이터 유출을 방지할 수 있거나 이러한 사고가 자신들에게 해당되지 않는다고 믿고 있다. 자신들은 해커들의 목표물이 아니라고 여기는 것이다. 새로 발견된 인식과 보고 보고된 정부 유출 건수는 매년 증가하고 있지만, 레이건은 너무 빨라서 데이터 유출을 경험하는 기업이 증가해 전체 비율이 증가하고 있는지 말하기 어렵다고 지적했다. 아마 보고된 정보 유출 ...

타깃 데이터 유출 2014.03.14

3억 6,000만 계정 정보, 해커 시장에서 발견...1억 개는 이메일 주소와 비번이 함께

사이버보안 업체인 홀드 시큐리티(Hold Security)는 25일 여러 곳의 데이터 유출 사고를 통해 수집된 3억 6,000만의 웹 서비스 계정 정보를 획득했다고 밝혔다. 미국 위스콘신을 기반으로 한 홀드 시큐리티 CIO 알렉스 홀든은 "지난 3주동안 훔친 데이터를 판매하는 암시장을 연구하던 도중에 이 계정 정보가 흘러들어왔다"고 말했다. 홀든은 전화 인터뷰에서 "해커들은 이번 달에 아주 풍요로웠을 것"이라고 말했다. 이 가운데 이메일 주소와 해당 비밀번호가 포함된 1억 500만 건은 약 10일 전부터 발견됐는데, 어떤 웹서비스에서 이런 정보가 유출됐는지는 명확치 않다. 홀든은 "아마도 많은 수의 계정정보가 데이트 또는 구직과 연계된 사이트에서 유출된 것으로 보이지만 확인된 것은 아니"라고 설명했다. 홀든은 "우리는 누가 유출했는지 알지 못한다"며, "종국적으로 우리는 이 유출자가 누군지 알아내기 위해 노력하고 있다"고 밝혔다. 실직자와 구직 사이트를 방문한 이들은 스팸과 피싱에 취약할 수 있다. 이들은 자신이 알지 못하는 사람들로부터 이메일을 받을 때에도 좀더 높은 응답률을 보인다. 해커들은 종종 악성코드를 통해 개인 컴퓨터를 해킹함으로써 로그인과 비밀번호를 수집한다. 그러나 홀든은 "데이터 량으로만 봐도 수많은 컴퓨터에 침투해야 한다는 점에서 이런 방법으로 수집된 것은 아닐 것"이라고 추정했다. 수집된 데이터 볼륨은 해커들이 자신의 전략을 바꾸고 있다는 것을 보여준다. 데이터를 수집하는데 표적화된 개별 사용자에서 기업이 쌓아둔 데이터 스토어에 초점을 옮겨가고 있다는 것이다. 데이터 보안은 뜨거운 이슈가 되고 있다. 유통업체 타깃과 뉴욕 백화점인 니먼 마커스의 POS 터미널에 설치된 악성코드는 쇼핑객의 암호화되지 않은 지불 카드 정보를 수집했다. 호텔 관리 업체인 화이트 로징 서비스와 공예 스토어 체인인 마이...

데이터 유출 계정 정보 2014.02.27

CSO 서바이벌 가이드 | 데이터 유출 사고 대응 전략 - IDG Deep Dive

2013년 연말 시즌, 미국의 대형 유통업체인 타깃(Target)이 고객들의 신용카드 및 직불카드 정보를 도난 당했다. 타깃은 2013년 11월 27일부터 12월 15일 사이에 7,000만 계정이 유출당한 것으로 밝혔다. 이런 대규모 데이터 유출 사고 이후, 대응 방법은 해당 기업의 미래가 바뀔 정도로 중차대한 일이다. 과연 자사의 데이터를 도난 당했을 때 CSO 혹은 보안 책임자가 해야 하는 일은 무엇일까. 타깃과 하트랜드 데이터 유출 사고를 살펴보고 데이터 유출에 대응한 기업의 방안에 대해 알아보자. 주요 내용 타깃 데이터 유출 사건의 경위와 파장 하트랜드 데이터 유출 이후, "데이터 보안의 관점이 바뀌었다" "탐지와 대응", 표적 공격과 싸우는 법 데이터 유출 사고를 당한 CSO의 대응 전략 수렁에 빠진 CSO를 건져내는 해결책 5가지

악성코드 CSO 데이터 유출 2014.01.16

2013년 최악의 데이터 유출 사고 - 미국편

미국 신용도용범죄정보센터(Identity Theft Resource Center)는 최근 2013년 미국내 기업, 헬스케어, 교육, 정부 기관 등에서 발생한 619건의 데이터 유출 사고를 정리한 결과 약 5,790만 건의 개인 및 금융 데이터가 도난당했거나 보안 사고로 노출된 것으로 알려졌다. 이 가운데 26건의 최악의 데이터 유출 사건을 소개한다. editor@itworld.co.kr

데이터 유출 2014.01.15

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.