언제인지 기억은 나지 않는 과거 어느 날, 둘째 딸이 가상현실을 소재로 한 일본 만화영화를 보고 나서는 불쑥 이렇게 물어왔다. "아빠, 나도 저런 게임 하고 싶어"라고.안경 하나만 쓰면 가상현실 세계에 접속해 마치 현실처럼 보고 느끼며 게임을 하는 모습이 상당한 호기심을 자극한 듯 했다.사실 어른인 나도 그런 게임을 해보고 싶은 것은 같았다. 그런 게임이 아직 없다는 것이 문제일 뿐.그래서 이렇게 답해줄 수 밖에 없었다. "조금만 있으면 그런 게임이 나올 거야. 그때 실컷 하자"시간이 지나 2018년이 되자 가상현실 게임을 소재로
정보보안분야에서 근무하는 담당자들과 만나 이런저런 얘기를 하다 보면 간혹 예상치 못한 질문들이 쏟아지는 경우가 있다.그런 질문들 중 왕왕 등장하는 것으로 직원들이 개인용 소프트웨어를 회사 PC에 설치해 사용하는 경우에 대한 어려움을 토로하는 경우가 많다.더 정확히 표현하면 회사에서 인가하지 않은 비인가 소프트웨어를 직원이 임의로 회사 PC에 설치해 사용하는 경우를 의미한다.보통의 기업들의 경우 비인가 소프트웨어 사용여부를 점검하고 제재하는 업무는 보안조직의 업무가 아닌 총무부서 등에서 수행하는 것이 일반적이다.하지만 업무란 것이 똑
최근 몇 년간 시장의 각광을 받으며 무서운 기세로 증가하던 기업들의 클라우드 전환 추세가 주춤하는 모양새를 보이고 있다.실제로 많은 기업들이 여전히 클라우드 도입에 지대한 관심을 보이고는 있지만 반대로 도입에 따른 부담이나 우려를 가지고 있는 것도 사실이다.최근 기업들의 DT(Digital Trasnformation) 사업들이 주춤해진 것도 클라우드 전환이 주춤하게 된 주요 원인 가운데 하나일 것으로 생각된다.기업들이 클라우드 전환에서 가장 부담을 느끼는 부분은 클라우드 도입에 따른 비용과 보안에 대한 불안감이다.즉, 클라우드가 안
많은 현대인들이 이메일을 사용한다. 직장인의 경우 회사에서 제공하는 업무용 이메일 계정과 개인적으로 사용하는 이메일 계정을 포함해 적어도 2~3개 이상의 메일 계정을 보유하거나 사용하고 있다.학생, 주부처럼 직장을 다니지 않는 경우에도 1개 이상의 이메일 계정을 사용하는 것이 전혀 이상하지 않다. 이렇듯 현대인은 여러 기업과 웹서비스에서 제공하는 1개 이상의 이메일 서비스를 이용하고 있다.사람들이 이메일 서비스를 사용하는 이유는 두 가지로 요약할 수 있다.첫째 이유는 정보 전달의 편리함이다. 컴퓨터 앞에서 전달하려는 내용을 기록하고
SK C&C의 판교 데이터센터 화재사고로 그야말로 난리가 났다. 대표적 국민앱 카카오의 카톡 서비스와 연관 서비스들의 불통으로 인해 온라인은 물론 오프라인에서도 너도나도 할 것 없이 아우성이다.뉴스는 연일 카카오 불통사태를 조명하기 바쁘고, 사람들은 카카오에 대한 불평불만을 쏟아내기 바쁘다. 그런 상황이 되자 이번 화재사고의 본질이 퇴색되는 것이 아닌가 불안해지기 시작했다.며칠이 지나도 사고 수습이 완전히 이루어지지 않는 상황을 보면서 차분히 화재사고를 되돌아보니 언론들과 사람들이 몇 가지 중요한 사실들을 놓치고 있음을 발견했다.
정보보호 공시제도가 지난 1일 발효됐다. 이 제도는 안전한 인터넷 이용, 정보보호 투자 활성화를 위해 정보보호 최고책임자(CISO) 지정·신고 대상 상장법인 가운데 매출액 3000억원 이상인 기업을 대상한다.정보보호 투자·인력·인증·활동 등 기업의 정보보호 현황을 공개하도록 요구하는 의무공시제도로 정보보호산업의 진흥에 관한 법률과 시행령에 근거를 두고 있다.공시제도가 제정된 이유는 네 가지 정도로 요약된다.무엇보다도 정보보안에 대한 기업의 투자 규모를 외부에서 알기 어렵기 때문이다. 기업의 규모와 상관없이 내부에서 집행되는 지출은
애플, 구글, 마이크로소프트가 '암호 없는 로그인(passwordless sign-in)' 표준에 대한 지원을 확대하기 위해 협력키로 했다는 소식이 보안업계에 화제로 떠오르고 있다. 다가오는 2023년부터 암호 없이 로그인 할 수 있도록 기능을 제공하기로 했다는 것이다.단순히 암호 대신 지문이나 홍채 등 다른 정보로 로그인하는 것이 무슨 화젯거리냐 생각할 수 있다. 하지만 이 내용은 그렇게 단순하지 않다. 그 동안 발생했던 많은 보안 침해사고의 주요 원인이었던 암호를 통한 로그인 방식이 사라짐을 의미는 것이기 때문이다
NFT(Non-Fungible Token·대체불가토큰) 플랫폼으로는 세계 1위 규모를 자랑하는 오픈씨(OpenSea)에서 사이버 공격으로 20억원 상당 NFT가 도난당하는 사고가 발생해 전 세계가 시끄럽다.오픈씨 사용자 가운데 32명 사용자가 보유하고 있던 254개의 NFT가 탈취됐다고 한다. 도난당한 NFT 중에는 현재까지의 NFT 매매 중 최고가로 알려진 '지루한 원숭이 요트클럽(BAYC)'이 포함돼 있는 것으로 알려져 더욱 화제가 되고 있다.NFT는 교환과 복제가 불가능하여 저마다 고유성과 희소성을 지니는 블록체
한 해가 저물어가는 2021년 12월 초, 주말을 맞아 쉬고 있던 전 세계 정보보안조직을 청천벽력 같은 소식이 강타했다. 'Log4j'의 취약점이 발견되어 시급한 조치가 필요하다는 내용이었다.너무나 파급력이 강하고 위험도가 높아 '역사상 최악의 위협'이라는 표현까지 등장할 정도로 세계 보안조직 전체를 긴장하게 만든 소식이었다.정보보안조직을 더욱 다급하게 만든 것은 대체 어느 프로그램에 이 Log4j 가 사용되었는지 알지 못한다는 당혹감이었다. 대상이 파악돼야 취약점 조치를 적용할 수 있기 때문이었다.따라
아파트 월패드가 해킹돼 사생활이 노출돼 온 나라가 시끄럽다. 내밀한 사생활이 해커에 의해 낱낱이 노출되고 있었다는 분노와 당혹감 때문이다.그 분노와 당혹감은 정부기관의 무대책을 비판하고 개인 사생활 보안에 관심없는 건설회사의 비난에 이르고 있다.이 사건이 한국에서만 발생한 사고인 듯 과장하는 경향도 보이고 있다. 하지만 잘못된 내용이다. 한국뿐 아니라 미국 등 해외 국가들에서도 아파트나 일반 가정집의 전자기기가 해킹돼 정보가 유출된 사고는 오래전부터 이미 발생해왔다. 지금도 계속 발생하고 있다.이번 사고에서 정작 짚어보아야 할 점은
한국CISO협의회, 한국침해사고대응팀협의회, 사이버침해대응 민관합동협의회 등 8개 유관 협·단체 1만9000 회원사. 한국을 대표하는 'K-사이버보안' 대연합이 출범했다.여러 유사단체로 나뉘어 분산돼 있던 정보가 서로 공유돼 해커의 공격에 효과적으로 대응하기 위한 체계 마련의 첫 발걸음이다.이 시작이 중요한 이유는 그만큼 해커들의 공격으로 인한 피해규모가 커지고 있기 때문이다. 미래 기업들의 비지니스에 가장 큰 영향을 끼칠 것으로 많은 전문가들이 인정하는 ESG(환경·사회·지배구조) 경영지표에도 정보보안이 포함돼 있을
(세이프타임즈 = 임홍철 전문위원·보안전문가) 그들은 살아 움직이는 생명체와도 같다. 그들을 상대하는 적에 맞서서 끊임없이 방법을 찾고 연구하고 변화를 시도한다. 그리고 결국에는 방법을 찾아내고 그에 맞춰 진화한다.평범한 일반인의 모습을 하고 있지만 그들 대부분은 영리하며, 일반인보다 IT기술에 뛰어난 능력을 가지고 있다. 얼핏보면 특별한 직업이 없어 보이지만 실제 그들 중 많은 수는 불법적인 방법을 통해 일반인들은 상상도 못할 거액의 돈을 벌어들이고 있다. 그들은 '해커'라는 '범죄자'들이다.최근 10
코로나19로 인해 사람들의 삶이 점점 팍팍해지고 있는 요즘이다. 더 팍팍한 상황은 지인들과의 만남이 어려워진지도 어언 1년6개월이 넘어가고 있다는 점이다. 함께 모여 얼굴을 맞대고 단체로 대화를 나누어 본적이 언제인지 기억조차 가물가물하다.이런 힘든 상황에서도 늘어나는 것이 있는데 바로 해커들의 침해공격이다. 코로나19로 인해 어려워진 상황을 기다리고 있었다는 듯, 해커들은 전 세계의 기업과 기관, 개인을 대상으로 DDoS 공격과 랜섬웨어 공격을 마구 퍼붓고 있다.더해 코로나19로 인한 IT 사용의 증가는 해커들의 공격 기회를 늘려
2021년 3월 30일. 수년간 진척을 보지 못하고 지지부진하게 끌어오던 한국과 EU(유럽연합)간 개인정보 역외 이전에 대한 적정성 논의가 성공적으로 마무리됐다는 반가운 소식이 들려왔다.이제 EU내 국가에서 사업을 하고 있는 국내 기업들이, 유럽연합 역내에서 수집된 개인정보를 국내로 수월하게 역외 이전할 수 있는 기반이 마련됐다는 의미 있는 소식이다.유럽개인정보보호이사회(EDPB)와 EU 회원국 대표들로 구성된 커미톨로지, EU 의회 소위원회인 자유사법내무위원회(LIBE)의 의견수렴을 거쳐, 최종 결정되면 한국 기업들의 유럽 내 국
기업이 고객정보를 토대로 사업을 하는데 있어서 가장 중요하게 여겨야 할 점이 무엇일까.이에 대한 해답을 보여주는 사례가 최근 다시금 화제가 되고 있다.2016년 5월, 사내 PC를 통한 전산망 해킹을 통해 2540만 3576명의 회원 정보 유출사고가 발생했던 인터파크 사고.회원 337명이 인터파크를 상대로 낸 손해배상 청구 소송에서 지난 14일 원고 일부 승소 판결을 받아 인터파크가 패소하면서 다시금 세간의 관심을 끌고 있기 때문이다.고객정보 유출 사고로 인한 인터파크의 패소는 처음이 아니다. 2016년 5월 사고 이후 회원들 일부
코로나19로 시작된 2020년이 지나가고 2021년의 새해가 시작됐다. 그러나 세계는 아직도 코로나19 그림자에서 벗어나지 못하고 있는 상태다.더불어 2020년 내내 전 세계 사이버 보안업체와 금융회사, 기업, 기관들을 뒤흔들었던 랜섬DDoS의 악몽도 끝나지 않았다.지난해 유난히 전 세계의 기업, 기관, 금융회사들을 상대로 활발하게 침해 활동을 펼치며 암호화폐 지급을 요구하던 해커그룹들의 공격이 15일 신한은행에 랜섬DDoS 공격을 가하며 다시 시작됐다.2020년 동안 쉴 새 없이 벌어졌던 해커그룹과 보안팀 간의 사이버 전쟁의 서막
2020년 11월 22일. 국내 대기업 이랜드 그룹 사내 네트워크에서 랜섬웨어 감염이 발생, 오프라인 매장 시스템이 중단되는 사고가 발생했다.사고 여파는 컸다. 일요일이었던 22일. 이랜드 그룹 계열사 뉴코아 아울렛, 2001 아울렛 등 그룹이 운영하는 점포 48곳 가운데 23곳이 영업을 중단했다.이랜드 그룹은 부회장을 주축으로 하는 긴급대응조직을 구성해 발빠르게 침해사고에 대응했다. 23일 월요일부터 이랜드 리테일 부분부터 전산 복구 작업을 진행했다. 완벽한 복구에는 수주일의 오랜 시간이 필요했다.정작 문제는 다른 곳에서 발생했다
대부분의 직장인들은 창업을 꿈꾼다. 가슴속 깊은 곳에 직접 회사를 설립해 경영자로서 활동하는 원대한 야망을 품고 있는 것이다. 하지만 꿈을 꾸는 것과 실제로 창업을 하는 것은 현실적으로 하늘과 땅 만큼의 차이가 있다. 그만큼 창업에는 많은 용기가 필요하다.정보보안업계 특히 기업의 보안을 진단하는 보안컨설팅업계에는 많은 회사들이 존재한다. 그리고 그 중 대부분은 직원 20명 이하의 소규모 회사들이다. 소규모 회사들은 대부분 IT업계에서 누구나 들으면 아는 기업인 안랩, SK인포섹, 이글루시큐리티와 같은 회사들의 협력사나 하청업체 같은
분야를 막론하고 기업이 사업을 추진하는 과정에서 정보보안에 대한 고려가 필수로 인식되는 상황으로 변화되어 가고 있다. 특히 코로나 시대를 즉면해 많은 사업들이 인터넷을 통한 온라인으로 이루어지고 있음을 감안하면 보안의 도입은 더욱 절실하다.작금의 시대에 보안의 도입없는 온라인서비스란 총알이 빗발치는 전쟁터에 방탄복없이 총만 들려 병사를 내보내는 것과 같다. 자살행위인 것이다. 그만큼 보안을 제대로 도입하고 운영하는 것이 중요해진 시대에 우리는 살고 있다.현재 국내에서 온라인서비스에 대한 보안의 적절성을 평가하기 위해 이용되는 대표적
정보보안업계를 가장 다급하게 만드는 이슈가 있다. 전세계 기업·기관을 대상으로 무차별적으로 이루어지고 있는 분산 서비스 공격(DDoS)이다.특히 올해의 DDoS 공격이 가지는 두드러지는 특징이 있다. 돈을 요구한다는 점이다. 웹서버 접속을 차단시켜 기업이나 기관에 피해를 주는 방식은 동일하지만 협박메일을 통해 돈(대체로 암호화폐)을 요구한다는 점에서 '랜섬DDoS'라고도 불린다. 컴퓨터를 인질로 돈을 요구하는 악성코드 랜섬웨어와 DDoS 공격을 합성한 용어다.해커의 공격 절차는 이렇다. 기업 IT담당자에게 메일로 돈(