안녕하세요데이터 지킴이 보메트릭입니다. :-)

어느덧 다사다난했던 2016년을 마무리하고 새로운 2017년을 맞이해야 할 때가 오고 있습니다. 

2016년 돌아보면, 그 누구도 위키리크스가 유출한 메일의 영향력과 국외 정부가 개입했을 가능성 그리고 이것이 미국 대선에 영향을 미칠 것인지에 대해 상상하지도 못했을 것입니다. 이번 사건으로 인해 미국 역사 상 최초로, 국제 정치 동향에 사이버 보안이 주요한 역할을 했습니다. 선과 과정에서, 대중들은 해킹된 DNC 네트워크 및 클린턴의 캠페인장이었던 존 포네스타(John Podesta)의 해킹된 메일을 통해 그들의 사적인 대화들을 엿볼 수 있었습니다. 존 포네스타는 피싱 공격의 피해자로서 그의 계정은 해킹당해 내부 커뮤니케이션이 유출됐죠.

올해 또 다른 주요 데이터 유출 사건은 버라이즌의 야후 인수에도 영향을 미쳤습니다. 단 한번의 대규모 사이버 침해로 인해 5억건이 넘는 사용자 계정 관련 데이터가 유출됐습니다. 해커가 사용자 데이터를 판매하기 시작했을 때 그 피해 규모는 더욱 명백해졌습니다. 데이터 유출 사고에 대한 뉴스보도가 넘쳐나는 가운데, 버라이즌은 50억달러( 56900억원) 규모의 인수를 철회할 수 있다고 경고했습니다. 특히 데이터 유출 사고를 그 이유로 언급하면서 말이죠.

랜섬웨어 공격은 올 한해에도 지속적으로 증가했으며, 계속해서 그 수가 증가할 것으로 보입니다. 바로 지난 달, 샌프란시스코의 도시 철도 시스템이 대규모 랜섬웨어 공격을 받았으며, 이 때문에 백업 시스템을 복구하는 동안 무료로 운영됐습니다. 실제 랜섬웨어 피해 숫자는 공개된 것 보다 많을 것입니다. 한 기관의 조사 결과, 랜섬웨어 공격을 받은 절반 가량의 기업이 그냥 몸값을 지불했다고 답했다는 것을 고려하면 말이죠.

마지막으로, IoT 보안 역시 2016년에 주요 이슈였습니다미국의 인터넷 호스팅 업체 서비스 딘(Dyn)은 디도스 공격의 희생자가 됐습니다. 해커는 미라이 악성코드를이용해 수 백 만개의 IoT기기를 공격했습니다. 이 공격으로 인해 넷플릭스, 트위터, 아마존 오프라인과 같은 주요 인터넷 사이트가 몇 시간동안 먹통이 됐죠. 보안 전문가들은 이번 공격은 IoT기반 공격의 신호탄에 불과하다고 분석하고 있습니다.

이러한 사건들이 데이터 보안 업계에는 시사하는 점은 분명하며, 2017년의 사이버 보안 트렌드를 예상할 수 있습니다.

미국의 새로운 정권이 출범하며 감청, 데이터 수집, 프라이버시와 같은 이슈들은 2017년에 다시 회자될 것입니다. 미국 대선과 같은 사건은 적절한 보안 조치의 부족이 미처 생각치 못한 방식으로 우리에게 영향을 미칠 수 있다는 것을 보여주는 대표적인 사례입니다. 미국 의회는 내년 초 페이스북이나 구글과 같은 기업으로부터 시민들의 이메일 혹은 다른 인터넷 활동 기록을 수집할 수 있는 정부의 권한을 개정하는 법안을 고려할 것입니다. 또한, FBI와 다른 기관들로 인한 압박이 있을 것으로 보입니다. 프라이버시와 보안에 대한 기나긴 논쟁에서 내년은 중요한 한 해가 될 것입니다.

내년 유럽의 주요 현안 중 하나는 일반정보보호규정(General Data Protection Regulation)입니다. 이 법안은 유럽 전역에 통일된 데이터 프라이버시 규정을 세우고자 의결됐으며, 모든 유럽 시민들의 데이터 프라이버시를 관장하고 유럽 내 조직들이 데이터에 접근하는 방법을 재편성합니다. 일반정보보호규정은 2018 5월에 시행될 예정이지만, 법안이 회사가 어디에 있던 상관없이 유럽 시민들에게 제품 혹은 서비스를 공급하는 모든 기업에게 적용됨에 따라, 2017년은 해당 법안에 영향을 받는 기업들이 컴플라이언스를 충족시키기 위해 준비하는 한해가 될 것입니다

일반정보보호규정은 기업들이 고객들의 민감 데이터 사용과 관련해서 고객들로부터 완전한 동의를 받아야만 한다고 규정합니다. 또한, 해당 동의 요청은 기존의 장황한 법률적인 용어가 아닌 고객들이 이해할 수 있는 쉬운 용어로 이루어져야 합니다. 따라서 내년 한 해 기업들은 엄격한 EU의 기준을 충족했는지 확인하기 위해 최적의 데이터 보안 운용 사례를 검토할 것입니다.

IoT 봇넷 관련 문제는 2017년에 더욱 심각해질 것입니다. IoT 도입은 빠르게 확산되고 있지만, 보안은 우선 고려 사항이 아니거나 IoT 제조업체들로부터 종종 찬밥 취급을 받고 있습니다. 이는 곧 취약한 IoT 기기의 확산으로 이어져, 큰 규모의 사이버 공격에 악용될 수 있습니다. 2017년에는 IoT 제조업체들은 기기들이 악성코드에 감염되지 않도록 향상된 보안 프로토콜을 시행할 것입니다.

GSMA의 조사에 따르면, 2015년에 판매된 자동차 중 절반은 커넥티드카라고 합니다. 이렇듯, 역시 계속해서 확산되고 있습니다. 동일한 조사에서 2025년에는 모든 새로운 차가 커넥티드카일 것이라고 예측했습니다. 사이버 보안의 관점에서 본다면, 이는 해커들에게 안전하지 않은 시스템의 취약점은 악용할 수 있는 또 다른 기회로 작용할 수 있으며, 민감 데이터를 유출하거나 심각한 프라이버시 문제를 일으킬 수 있습니다. 사실 자동차는 운전자와 운전자의 습관에 대해서 잘 알고 있습니다. 만약 자동차가 데이터를 기록하거나 수집하기 시작하면, 이는 곧 다른 곳에 전송될 수 있습니다. 자동차 업체들은 자동차를 비롯하여 데이터를 어떻게 보호할 것인지에 대한 기준을 세워야 합니다.

마지막으로, 랜섬웨어는 기업들과 정부 기관들을 계속해서 공격할 것입니다. 특히, 헬스케어 분야에서 온라인 상으로 등재된 환자들의 의료 기록이 해커들에게 주요 타깃입니다. 의료 기록에는 많은 민감 정보들이 담겨 있기 때문이죠. 헬스케어에 대한 사이버 공격은 2017년에도 계속될 것으로 예상됩니다. 업체들이 디지털 상에 저장된 방대한 양의 환자 기록을 통제하기 전까지 말입니다.

사이버 보안 업계는 새로운 기술들이 계속해서 출현하고, IP가 사용가능한 기기들이 등장하는 복잡한 세계에서 사이버 공겨에 대응하고 있습니다. 탈레스를 비롯한 사이버 보안 업체들은 조직들이 새로운 기술들을 안전하게 사용할 수 있도록 주도하고 지원하도록 노력할 것입니다.

탈레스에 대한 자세한 정보는 홈페이지에서 확인하실 수 있습니다.

신고
Posted by 보메트릭코리아

안녕하세요데이터 지킴이 보메트릭입니다. :-)

가트너는 조직들이 IT예산을 절감하기 위해 디지털 포메이션을 시행하며 전세계 퍼블릭 클라우드 서비스 시장이 금년도 말까지 17% 이상 성장할 것이라고 예측했습니다.

포네몬 인스티튜트가 발간한 2016 PKI 글로벌 트렌드 리포트에 따르면, 이렇듯 늘어나는 퍼블릭 클라우드 도입으로 인해, 전 세계 조직들의 3분의 2 는 현재 그들의 퍼블릭 클라우드 기반 어플리케이션과 서비스를 지원하기 위해 공개 키 기반 구조(PKI) 크리덴셜을 이용하고 있다고 답했습니다. 이는 작년에 비해 12% 증가한 수치죠. 더욱이 61%의 조직들은 PKI 이용하는 어플리케이션을 도입하게 되는 가장 주요한 이유는 클라우드 기반 서비스라고 답했습니다.

우려되는 점은 절반 이상의 기업들이 기존의 PKI가 종류와 관계 없이 새로운 어플리케이션을 지원하기 힘들다고 답했습니다. 이는 PKI 사용이 증가되는 추세를 고려했을 때 매우 걱정되는 경향입니다. 올해 조사에 따르면 현재 PKI는 평균적으로 8개의 서로 다른 어플리케이션을 지원한다고 밝혀졌습니다. 

사용량이 증가함에 따라, PKI는 단순히 추가적인 서비스가 아니라 핵심으로 부상했으며 그리고 IT기능의 미션 크리티컬한 부분으로 받아들여져야 합니다. 또한, 앞으로 인증 서비스에 대한 수요는 급증할 것으로 보입니다. IoT 시대가 도래함에 따라 말이죠.

이는 무엇을 의미할까요? 명확한 오너십 부족, 부족한 기술 및 리소스, 보안 우수 사례 이용 실패 같은 성가신 PKI 이슈가 이제 사라질 것입니다. 사이버 공격 혹은 의심스러운 내부자들로 인해 민감한 개인 정보가 도난당하고 도용되는 시대에서, 인증을 관리하는 데에서 PKI의 역할은 더욱 더 중요해지고 있습니다. 이는 단순히 현재 시점에서만 해당되는 일이 아니며, 클라우드와 IoT에 의해 새로운 요구 사항들이 필요해짐에 따라 계속해서 이어갈 트렌드입니다. 

오늘날의 비즈니스 니즈에 걸맞고 빠르게 다가오는 미래에 대응하여 현재 인증서 발행 시스템을 빠르고 규모 있고 신뢰할 수 있는 수준으로 운영하기 위해 이를 위한 적용 및 발전 전략을 수립해야 합니다. 

보메트릭에 대한 자세한 정보는 홈페이지에서 확인하실 수 있습니다.

신고
Posted by 보메트릭코리아

안녕하세요데이터 지킴이 보메트릭입니다. :-)

지난 주, 영국의 인터넷 제공 업체 및 통신사인 쓰리(Three)에서 대규모 해킹 사건이 발생했습니다. 이번 해킹 사건은 쓰리의 업그레이드 데이터베이스가 공격당했으며, 해당 데이터베이스에 등록된 고객들 중 약 2/3에 해당하는 수가 영향을 받았습니다. 이 사건은 한가지 궁금증을 불러일으킵니다. 사이버 침해 시 공격자들이 어떤 데이터에 접근했는지 여부가 과연 중요할까와 관련된 의문입니다. 

해당 해킹 사건에서 고객들의 금융 정보가 유출되지 않았지만, 고객들의 이름, 주소와 같은 개인 정보에 대한 유출됐을 가능성이 있다는 점에서 아직 안심하기 이릅니다. 실제로, 최근 탈레스의 조사에 따르면, 오로지 16% 소비자만이 데이터 유출 사고 이후에도 해당 브랜드의 제품 및 서비스를 계속 이용할 것이라고 답했습니다. 오늘날과 같이 디지털 세계에서, 수 많은 개인 정보들은 소매업체, 금융기관 그리고 이번 경우와 같이 통신사의 시스템에 저장되고 있으며, 이러한 정보들은 사이버 범죄자들에게 매우 매력적인 정보입니다.

이러한 사이버 침해 사건들은 기업들로 하여금 고객들의 개인정보에 대한 보안 필요성을 절감하게 합니다. 이는 궁극적으로 브랜드 이미지 보호와도 연결되기 때문이죠. 개인정보에 대한 효과적인 암호화 그리고 보안 제어 솔루션은 이번 사건과 같은 사이버 침해로 인한 피해를 예방하고 또 최소화할 수 있습니다. 또한, 오늘날의 기업들은 규제 충족을 위해 금융 정보를 최소한으로 보호하는 것 이상으로 보안 조치를 시행할 것이라는 의지를 보여야 할 것입니다. 사이버 범죄자들은 유출된 개인 정보를 이용해서 심각한 피해를 만들 수 있기 떄문이죠.

최근에는 리스크를 줄이기 위해 전면 암호화하는 흐름으로 변화하고 있습니다. 비록 우리가 점점 데이터 유출 사고에 익숙해지고 있다고 하더라도, 그 피해까지 줄어드는 것은 아닙니다. 작년 톡톡(TalkTalk) 사건에서는 많은 고객들의 은행계좌를 비롯한 개인 정보가 유출됐으며, 이로 인해 톡톡은 40만파운드(약 5억6천만원)의 벌금을 지불해야 했습니다. 또한, 불과 2주 전에는 테스코은행이 해킹당해 개설된 예금계좌 2만개가 유출됐죠. 이렇듯 계속 되는 보안 사고를 방지하기 위해서는 전면 암호화 방식이 효과적일 것입니다.

강력한 데이터 암호화 솔루션을 제공하는 보메트릭에 대한 자세한 정보는 홈페이지에서 확인하실 수 있습니다.


신고
Posted by 보메트릭코리아


티스토리 툴바