Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

데이터 침해

우버 CISO 판결로 기업 보안 담당자가 얻을 교훈 4가지

데이터 유출 사건에 연루됐다는 혐의로 전 우버 CISO였던 존 설리번이 징역형을 선고받았다. 징역형을 선고받은 CISO로는 처음이다. 이 사건으로 CISO라는 직책의 무게가 무겁다고 느낄 수도 있지만, 크게 걱정할 일은 아니다. 그럼에도 혹시라도 억울한 희생양이 되지 않으려면 어떻게 해야될지 생각해본다.    설리번 사건에 대한 반응은 대체로 2가지로 나뉜다. 하나는 굳이 위험을 무릅쓰고 CISO가 될 필요가 없다는 것이다. 이런 사건이 아니더라도 너무 많은 책임을 떠안고 있었다는 회의주의적 시각이다. 회의론자는 CSO(Chief Security Officer)를 최고 희생양 책임자(Chief Scape Officer)라고 비꼬아 부를 정도다. 이번 사건에서 설리번은 실직은 둘째치고 한 인간으로서의 자유를 잃어버렸기 때문이다. 선을 넘은 것이 아니냐는 것이 회의론자들의 평가다.  두 번째 반응은 현실론적이다. 별일 아니라는 시각이다. 그저 우버라는 한 회사에서 벌어진 소동으로 치부한다.  인간은 위험이 개인적으로 다가올 때 특히 더 위협을 느낀다. 존 설리번이 징역형을 받은 첫 CISO라는 점을 고려할 때 일부 보안 업계 관계자가 사건을 개인에 대한 공격으로 받아들일지 모른다. 하지만 직업적으로 동질감을 느끼기는 어려울 것이다. 이번 재판의 핵심은 간단하다. 우버는 개인 정보 보호 문제로 조사를 받고 있었고, 데이터 유출 사건을 겪었다. 공격자는 우버 데이터를 갈취했으며, 우버는 버그 바운티 프로그램을 통해 대가를 지급했다. 그리고 위법 행위를 연방 수사 기관에 알리지 않았다. 이러한 사실에는 논란의 여지가 없다.  중요한 것은 정확히 모든 일을 파악하고 있었던 것이 누구냐는 점이다. 정말 존 설리번 CISO였을까? 우버의 변호인단이었을까? 다른 임원이었을까?    징역살이 CISO 2호가 되지 않으려면  우버의 초기 스타트업 문화는 창업자인 트래비스 캘러닉이 주도했다. '테크브로...

CISO CSO 데이터유출 2022.10.18

"데이터 침해 피해 기업 60%, 제품ㆍ서비스 가격 올렸다"

IBM의 보안 보고서에 따르면 데이터 침해에 따른 전 세계 평균 비용이 2021년 미화 424만 달러에서 2022년 435만 달러로 증가하면서 사상 최고치를 기록했다. 침해로 피해를 본 기업의 약 60%는 제품 및 서비스 가격을 인상했다.  IBM 시큐리티(IBM Security)와 포네몬 인스티튜트(Ponemon Institute)의 최신 보고서는 지난 2021년 3월부터 2022년 3월까지 전 세계 기업 550곳의 실제 데이터 침해 사례를 분석한 결과를 담았다. 해당 보고서는 약 83%의 기업이 지금까지 1회 이상 데이터 침해를 경험했으며, 침해 비용의 약 50%가 유출 이후 1년 넘게 발생한 것으로 조사됐다.      “클라우드 및 주요 인프라가 여전히 높은 위험에 노출돼 있다” 보고서에 의하면 랜섬웨어와 파괴적 공격이 주요 인프라 기업의 침해 유형 중 28%를 차지했다. 이는 글로벌 공급망을 교란시키고자 해당 부문을 표적으로 삼는 위협 행위자가 있다는 사실을 나타낸다. 이어 보고서는 美 바이든 행정부가 연방기관에 제로 트러스트 보안 모델 도입을 의무화한 사이버 보안 행정 명령을 내린 지 1년이 지났지만 이번 설문조사에 참여한 주요 인프라 기업 가운데 이를 채택했다고 밝힌 곳은 21%에 불과했다고 전했다.  클라우드 컴퓨팅 인프라는 보안이 미숙하다는 점에서 쉬운 타깃으로 꼽히고 있다. 보고서는 “43%의 기업이 초기 단계에 있거나, 클라우드 환경 전반에 보안 관행을 적용하지 않았다고 답했다. 그 결과, 보안이 성숙한 기업에 비해 평균 66만 달러 이상의 높은 침해 비용이 발생하는 것으로 조사됐다”라고 전했다.   아울러 하이브리드 클라우드를 도입한 기업(45%)의 침해 비용이 퍼블릭 또는 프라이빗 클라우드 모델만 채택하는 기업보다 낮은 것으로 드러났다. 하이브리드 클라우드의 침해 비용은 평균 380만 달러인 반면, 퍼블릭 클라우드와 프라이빗 클라우드는 각각 502만 달러, 424만 달...

데이터 침해 데이터 유출 IBM 2022.08.03

"공급망 해킹 급증…전년 대비 297% 증가"

ID 및 접근 관리(IAM) 소프트웨어 회사 포지록(ForgeRock)의 ‘소비자 신원 및 침해 보고서(Consumer Identity and Breach Report)’에 따르면 지난해 공급망 공격이 증가했으며, 무단 액세스가 주요 감염 벡터인 것으로 나타났다. 공급망 및 서드파티 공급업체와 관련된 문제로 인한 보안 침해가 2021년 미국에서 전년 대비 297% 늘어나면서 전례 없는 급증세를 보였다. 이는 전체 보안 침해 사고의 약 4분의 1에 달한다.   포지록은 2021년 1월 1일부터 12월 1일까지 신원 도용 리소스 센터(Identity Theft Resource Centre), 포레스터 리서치(Forrester Research), 포네몬 인스티튜트(Ponemon Institute) 등 여러 출처에서 수집한 데이터를 기반으로 해당 보고서를 작성했다. 보고서에 의하면 무단 액세스(50%)가 공급망 보안 침해의 주요 감염 벡터인 것으로 드러났으며, 2020년보다 5%P 증가한 수치다. 아울러 보안 침해 사고로 인한 평균 비용은 미화 950만 달러로 세계 최고 수준이며, 지난해(820만 달러)와 비교해 16% 올랐다.    “공급망 해킹의 주요 감염 벡터는 무단 액세스” 보고서는 승인되지 않은 액세스가 주요 감염 벡터였으며, 여전히 문제라고 강조했다. 무단 액세스에는 취약한 암호, 공유된 자격증명 또는 손상된 계정으로 인한 데이터, 네트워크, 애플리케이션, 기기 액세스가 포함된다. 이어 무단 액세스를 빠르게 식별 및 차단하고 데이터 유출을 방지하려면 AI와 머신러닝 기술을 IAM(Identity and Access Management)에 적용하라고 보고서는 권고했다. 또한 공격자가 소비자의 MFA 피로(MFA fatigue)를 악용해 액세스 권한을 얻는 ‘MFA 프롬프트 공격’을 방지하려면 비밀번호 없는 인증, 머신러닝, 고급 패턴 인식 등을 통한 MFA 계층화도 중요하다고 지적했다. 컨설팅 회사 ...

공급망 공격 공급망 해킹 보안 침해 2022.07.21

유형부터 사례까지…‘데이터 침해’ 자세히 살펴보기

‘데이터 침해’는 해커가 보안을 뚫고 불법적으로 데이터에 접근하는 보안 사건이다. 개인 데이터(예 : 이름, 생년월일, 금융 정보, 주민등록번호, 운전면허 번호 등)는 민간기업, 공공기관, 클라우드의 셀 수 없이 많은 수의 서버에 무수히 많은 사본으로 존재한다. 개인식별정보(PII) 접근 권한이 없는 사람이 해당 정보를 볼 수 있다면, 개인은 물론이고 이를 저장하고 안전하게 보관해야 하는 기업 모두에게 심각한 결과를 초래할 수 있다.    PII는 해커가 보안을 위반하고 가능한 곳이라면 어디든 찾아낼 만큼 가치가 있다. 한편 데이터를 저장/보관하는 기업과 공공기관은 데이터를 적절하게 보호하지 못하는 때가 많으며, 이에 따라 몇몇 지역에서는 데이터 침해로 이어질 수 있는 느슨한 보안 관행 단속을 법으로 규제한다.  시작하기에 앞서 짚고 넘어갈 게 있다. 때때로 사람들은 ‘데이터 침해(data breach)’와 ‘데이터 유출(data leak)’을 구별해 사용한다. 여기서는 데이터 유출을 '기업이 적절한(또는 어떤) 보안 제어 없이 웹사이트나 다른 위치에 실수로 민감한 데이터를 저장하여 데이터가 그곳에 있다는 사실을 아는 사람이 자유롭게 접근할 수 있도록 하는 것'이라고 본다. 하지만 침해와 유출을 명확하게 구별하는 건 쉽지 않으며, 최종 결과가 동일할 때도 많다.  데이터 침해는 어떻게 발생하는가? 데이터 침해는 누군가가 접근해서는 안 되는 데이터베이스에 액세스할 때 발생한다. 사실상 이는 매우 폭넓은 설명이며, 간단한 예로 도서관 직원이 합법적인 업무상의 이유 없이 친구가 어떤 책을 빌렸는지 몰래 엿보는 것을 들 수 있다.  대부분 사람은 이게 문제가 된다고 생각하지 않을 수 있지만, 일부 데이터 침해는 내부에서 발생하는 것이 사실이다. 즉, 업무에 따라 PII에 접근할 수 있는 직원이 금전적 이득이나 기타 불법적인 목적을 위해 데이터를 유출할 수 있다. 물론 데이터 침해는 외부인의 사이버 공격으로...

데이터 데이터 침해 데이터 유출 2022.07.18

글로벌 칼럼 | 악성 코드의 미래 - 당신이 운전하는 동안 자동차 납치도

메사추세츠 주 법무부 장관은 엄격하게 적용되는 새로운 데이터 침해 보고 법안에서 일부 통계 자료를 인용, 1/3에 해당하는 주민들의 개인 정보가 어떠한 방식으로든 위협받고 있다고 전했다. 데이터 침해, 스마트폰과 소셜미디어 영역까지 확대...갈수록 악화  RSA는 회사에 가해진 사이버 공격으로 이중 요소 인증 시큐어ID 보안이 위태로워질 수 있다고 최근 발표했다. 또한 소니는 온라인 비디오게임 네트워크 상에 대규모 데이터 침해가 발생해 7,700만 사용자 계정의 이름, 주소, 아마도 신용카드 데이터까지 도둑맞는 사태가 벌어졌다. 이로 인해 소니와 신용카드 회사들은 200만 달러에 달하는 비용을 감수해야 할 상황에 이르렀다.    물론 이 사례들은 최근 침해 사례들의 단편일 뿐이다. 어떤 사람들은 이 정도로도 충분히 불안하겠지만 아직 훨씬 많이 남아있다. 어나니머스(Anonymous) 같은 악의적인 해커 집단들이 온라인 상에 더 많은 정보들을 뿌려대고, 이윤을 추구하는 해커들이 스마트폰과 소셜 미디어까지 영역을 넓혀가면서 상황이 갈수록 악화되고 있다.    한 예로 이제는 해산한 룰즈섹(LulzSec) 그룹과 어나니머스가 결합한 해커 연합인 안티섹(Antisec)이 지난 8월 미국 법 집행기관 70개에서 수집한 10기가바이트가 넘는 개인 정보들을 공개하기도 했다.    데이터 유출 방지 솔루션 제공업체인 아이덴티티 파인더 CEO 토드 파인만은 "안티섹이 돈 때문에 이런 일을 벌인 건 아니었다. 다만 그들은 다양한 법 집행기관들의 운영 방식이 마음에 들지 않는다는 이유로 기관들을 난처하게 만들고 신뢰를 떨어트리고자 했다"고 설명했다.   그러나 파인만은 "그들이 민감한 개인 정보를 게시하면 기술 수준이 낮은 사이버 범죄자들이 신원 도용 범죄를 저지르도록 ...

악성 코드 데이터 침해 멀 웨어 2011.10.06

"데이터 침해로 인한 비용, 720만 달러로 상승"

시만텍이 후원하는 포네몬(Ponemon) 연구소가 발표한 연구에서 2010년에는 평균 데이터 침해로 인한 손실 비용이 7% 증가해 720만 달러에 이른 것으로 드러났다.   가장 치명적인 데이터 침해는 15% 상승해, 이전 기록인 3,530만 달러를 넘어섰다. 한 가지 분명한 것은 노출에 민감한 데이터는 손실 비용도 크다는 것.   민감한 데이터의 손실 비용을 높이는 원인 중의 하나는 데이터를 보호하고 침해를 공개하는 규정과 법률이 점점 더 강화되고 있다는 것.   ABA(the American Bar Association)가 발행한 '데이터 침해와 인증 안내서'는 300 페이지가 넘는 분량으로 전 세계 데이터 침해 법을 설명하고 있으며, 10페이지에 달하는 부록에는 미국의 데이터 침해 법률과 공개 요구안을 담고 있다.   하지만 여기서 규제와 감독에 책임을 떠넘기는 우를 범해서는 안된다. 규제와 감독은 데이터 침해 사건의 비용 상승 원인이 될 수도 있지만, 법률과 요구사항은 데이터 침해 사건의 증가로 인해 생겨난 것이며, 기업이 데이터 보호에 제대로 투자하지 않으려 하고, 사고가 발생했을 때 이를 제대로 공개하지 않으려는 경향 때문에 강제되는 것이다. 정부나 업계의 개입은 규제와 감독의 원인이 아니라, 문제로 인해 발생하는 현상이다.   또한 포네몬의 연구에 따르면, 개인별 데이터 침해의 평균 비용은 214달러를 기록했다. 실제로 이번 주에 있었던 알래스카주 교육부의 8만 9,000건 데이터가 담긴 하드드라이브 도난 사건이나 사우스 캐롤라이나 대학에서 3만 1,000건의 데이터가 인터넷으로 노출된 사건을 고려해보자. 포네몬 연구를 기반으로 계산해보면, 알래스카 교육부는 데이터를 보호해 1,900만 달러를 지킬 수 있었고, 사우스 캐롤라이나 대학은 600만 달러 이상을 지킬 수 있었다.   또 다른 눈...

DLP 데이터 유출 데이터 침해 2011.03.09

DLP 솔루션 도입의 필요성

사용자가 직장에서 업무 중이나 작업 관련 용도로 정보를 전달하거나 공유하는 데 사용하는 도구의 수가 점점 증가하고 있습니다. 이러한 메시지와 파일의 대부분은 어떠한 종류의 모니터링, 암호화, 검사 또는 감독도 없이 전송 및 저장됩니다. 그 결과 각 기업에서 통신을 구현하는 데 이용되거나 허용되는 도구의 수가 점점 증가하고 있습니다. 이와 함께 기업에서 정보를 외부로 무단으로 유출하여 피해를 볼 가능성이 점점 더 높아지고 있습니다. 본 백서는 데이터 유출 문제의 현황과 심각성, 발생 가능한 문제점을 짚어보고, 데이터 유출 방지를 위해 취해야 할 기업의 단계별 전략을 제시합니다. 자료 : 오스터먼 리서치 주요 내용 데이터 침해 현황 /데이터 유출이 발생하는 다양한 경로 DLP 문제를 해결하지 않아서 발생하는 문제 / DLP가 널리 구축되지 않는 이유 문제 인식 및 정책 수립, 시스템 구축을 위한 3단계 전략

DLP 데이터 유출 데이터 침해 2010.10.07

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.