흔한 말로 정말 숨쉴틈 없이 해커들의 IT침해공격과 침해사고들이 몰아치고 있다.연초부터 기업들을 대상으로 한 해킹으로 정보유출 사고가 매월 수 건씩 발생하고 있는 상황에 국가정보자원관리원(구 정부통합전산센터) 화재사고로 인해 정부서비스들이 먹통이 되고 게다가 복구마저 늦어지면서 우리나라가 처한 이 상황들 두고 여러 방면에서 많은 논평들과 불만들이 튀어나오고 있다.설상가상으로 연이어 발생하는 침해사고들로 인한 조급함 때문이었는지 기업들을 대상으로 보안점검 후 조속히 보고하라며 정부 차원의 공문을 발송하면서 일선 보안조직들은 당혹감과
2025년은 정보보안 산업계에 있어서 참으로 다사다난하다는 표현이 어울리는 한 해다.더불어 중요한 한 해로 앞으로 수년간은 두고두고 회자되며 기억될 듯하다. 연초부터 하루가 멀다 하고 각종 침해사고들이 여러 기업들에서 우후죽순 격으로 터져 나오고 있기 때문이다.침해사고를 둘러싼 각종 소리들이 무성하다.보안조직이 권한도 없고 인원도 없어서 취약하다, 보안예산을 충분하게 배정하지 않아서 그렇다, 보안설루션 도입이 부실하다, 보안운영이 제대로 되지 않았다는 등의 각종 잡음들이 여기저기서 터져 나오고 있다.사실 하나하나 따져보면 다 맞는
최근 들어 보안전문가들 사이에서 심상치 않은 소문들이 나돌고 있다.세계 해커들로부터 만만한 나라, 해킹하면 문제 해결을 위해 기꺼이 수억원 이상의 돈을 지불하는 기업들이 있는 곳으로 한국을 지목하고 있다는 것이다. 글로벌 호구 국가로 낙인찍힌 셈이다.실제로 최근 국내 한 대표기업이 랜섬웨어 공격에 당해 주요 시스템이 암호화돼 서비스가 불가능해졌다. 해커에게 수억원의 돈을 지불하고 서비스 복구를 시도했다는 얘기가 사실로 확인됐다. 이쯤 되면 한 귀로 듣고 한 귀로 흘려도 될 소문이 아닌 것만은 분명하다.사실 한국 기업과 기관들이 구축
하루가 멀다 하고 보안 침해사고가 발생하고 있다. 사고 기업은 이름만 대면 누구나 알만한 경우가 대부분이다. 규모도 있고 매출도 나오는 기업이다.그런데도 해커의 침해에 속수무책으로 당한다. 의문점이 생길 수밖에 없다."보안에 신경 쓴다고 그렇게 홍보하더니 실제로는 전혀 하지 않는 것인가?"매출액이 조단위를 넘는 곳도 있어 의문은 더욱 커진다.사고가 발생한 기업이 보안에 전혀 투자를 하지 않는 것은 아니다. 정부가 권고하는 보안제품도 적용하고, 보안인증도 열심히 받고 있다. 작지만 보안조직도 꾸려 운영하는 경우가 대부분이다. 그럼에도
바로 얼마 전까지 전국을 뜨겁게 달구었고 현재도 진행형인 SK텔레콤 해킹 사태와 관련해 경험한 일이다.급하게 논의할 일이 있어서 아주 힘들게 약속시간을 잡고 만난 어느 보안업체 대표의 푸념 아닌 푸념을 들어주게 됐다.말인즉슨 해당 통신사 해킹 사태로 인해 괜스레 자신의 업체가 엄청난 피해를 보고 있다는 것이었다.자신의 회사에서 판매를 담당하고 있는 모 통신장비를 해당 통신사에서도 사용하고 있으며, 이 장비와 관련해 취약점이 있다는 등의 내용이 언론등에서 자주 언급됐다고 한다.그리고 그 여파로 마치 해당 장비의 취약점 때문에 해킹 사
우리나라는 2025년을 극심한 정치적 혼란 및 경제적 어려움과 함께 맞이해야만 했다.그 혼돈의 여파는 극심한 구조조정, 일자리 감소, 가계지출 감소 등의 결과로 이어져 아직도 사라지지 않고 있으며, 여전히 기업과 사람들의 삶에 영향을 주고 있다.이런 혼란한 시국이어서 더 그랬을까. 한동안 큰 사고없이 잠잠하던 보안시장에 대규모 침해사고들이 연이어 터지기 시작한 것이 말이다.자그마치 1월부터 5월 초까지만 해도 굵직굵직한 개인정보 유출 침해사고들만 12건이나 되니 말이다.큰 불이 작은 불을 잡아먹는다고 하던가. 큰 불에 해당하는 SK
말이 씨가 된다고 하더니 최근의 흘러가는 상황이 심상치 않다.보안전문가들 사이에 "한동안 너무 침해사고 없이 조용한 것이 큰 사고가 날 때가 됐다"는 농담 아닌 농담이 있었는데 실제로 사고들이 터지고 있다.지난 19일 국내 최고 통신사 SK텔레콤에서 대규모 정보 유출 사태가 발생했다.그런데 이번 정보 유출 사태는 기존 사고들과는 그 차원이 많이 다르다.기존의 정보 유출 사고들이 단순한 정보 즉, 전화번호, 주민번호, 아이디, 비밀번호 등으로 이루어져 있던 것에 반해 스마트폰의 핵심 중 핵심이라는 유심(USIM) 정보가 유출됐기 때문
인공지능 AI의 열풍이 거세다. 아니 거세다 못해 사회 전반을 뒤흔들고 있다는 표현이 적합할 것이다.이제는 AI라는 단어가 들어가지 않으면 정부 IT사업 참여도 기업의 IT사업 입찰 참여도 어렵다는 푸념이 들려올 정도이다. 정보보안 강의 요청에도 반드시 AI 관련 내용을 넣어달라고 할 정도이니 더 말해 무엇하겠는가.그러나 실제 현실에서 AI로 인해 시작된 거센 바람이 뒤흔들고 있는 영역은 따로 있다.바로 오랫동안 특정 영역을 독점하고 기득권을 행사해 온 영역, 즉 전문가들의 영역이다. 택시 운행 면허가 있어야만 가능했던 택시 운전.
트럼프가 미국 대통령으로 취임한 이후 항간에 회자되는 유명한 표현이 있다."우아한 가식의 시대는 가고, 정직한 야만의 시대가 왔다."지구 평화, 환경보전, 인권보장, 평등과 같은 우아하지만 다소 가식적인 것들은 과감히 집어치우고, 이익과 이해관계에 전적으로 기반해 그저 마음 가는 대로 마구잡이로 권력과 정책을 집행하는 트럼프 정권을 비꼬아 표현하는 문장이다.안타깝게도 정치와 국제관계에만 야만의 시대가 도래한 것은 아니다. 정치적 불안수치가 높아지고 경제적 상황이 악화되자 기업들이 비용을 줄이고 이익을 늘리기 위해 서로 앞다투며 과감
외부의 IT 침해위협에 대응하기 위해 우리나라가 18년간 유지해 온 망분리 정책은 인터넷망과 업무망을 구분하는 것이었다.이는 정부기관과 기업(금융회사 포함) 모두에 적용되는 기준으로 근 20여년간 모든 기관과 기업들이 이 기준을 준용해 망을 운영해 왔다. 또한 보안업체들 역시 이 기준에 맞는 보안제품을 개발하고 공급해 왔다.18년간 유지돼 온 정부의 망분리 정책이 대대적으로 개선된다. 정부가 '국가망보안체계(N²SF) 가이드라인'을 발표하면서 새로운 망분리 정책을 공식적으로 천명했기 때문이다.이번 정책은 △권한 △인증 △분리 및 격
아침 일찍 전철을 타고 출근하면서 인터넷에 올라온 글들을 읽어 보는 와중에 우연히 비밀번호에 대해 토론하는 글을 읽게 됐다.토론의 주요 내용은 비밀번호를 개인정보로 보는 것이 합당한 지 여부에 대한 것과 함께 기업이 비밀번호를 수집하는데 꼭 동의가 필요한가에 대해 논의하고 있었다.정보보안에 관심 있는 여러 사람들이 각자 자신의 의견을 답글로 달고 있었다. 개인적으로도 여럿이 모여 한 주제에 대해 논의하는 이런 토론을 좋아하는지라 과연 어떤 의견들을 가지고 있는지 관심 있게 읽어보면서 유익한 출근시간을 가질 수 있었다.비밀번호의 수집
최근 양자컴퓨터 기술의 발전 속도에 대한 의견이 뜨겁다.양자컴퓨터가 세간의 관심을 받게 된 것이 어제오늘 일도 아니니 새삼스러울 것도 없기는 하다. 하루가 다르게 발전해 나가는 IT 신기술에 대한 사람들의 관심이 크면 큰 만큼 비례해서 그로 인한 우려 역시 상당한 것이 분명하기 때문이다.흔히하는 우려 가운데 하나가 양자컴퓨터 기술이 발전하면 블록체인의 암호가 풀려 암호화폐들이 무용지물이 될 것이라는 점이다.또 비밀번호 암호화가 무용지물이 돼 해커 공격에 속수무책으로 당하게 될 것이라는 형태의 내용이 많이 있다.물론 이러한 기우들이
한때 디지털 전환(DT·Digital Transformation)이라는 용어는 하지 않으면 시대에 뒤처지는 기업처럼 느껴지게 만드는 용어였다.대부분의 기업 CEO들이 뒤질세라 너도나도 관련 부서를 설치하고 전문인력을 영입하고 막대한 예산을 쏟아부으면서 DT를 통해 IT전문기업으로 탈태환골 하겠다는 일성을 대외에 소리치곤 했으니 말이다.그때만 해도 이렇게 진행된다면 몇 년 안에 거의 모든 기업(최소한 대기업)들은 디지털 기업으로 전환되는 것이 아닌가 싶을 정도였다.그렇듯 시작은 참으로 요란하게 들썩였으나 시간이 갈수록 점점 힘이 빠지
최근 읽어본 글로벌 기술 동향 관련 자료에서 의미 있는 문구를 하나 발견할 수 있었다.국내 IT의사 결정권자들이 꼽은 미래를 대비하는 최우선순위에서 73%라는 압도적으로 많은 선택을 받은 1위가 바로 비용절감이라는 내용이었다.역으로 표현하면 그만큼 많은 비용을 기업들이 IT분야에 지출해 왔다는 의미이기도 하다.실제로 일정 규모이상의 기업들이 매년 IT(보안분야를 포함)에 지출하는 비용은 실로 만만치 않다. 한번 도입으로 끝나는 것이 아니라 유지를 위해서 운영비가 필요하고, 운영을 위한 인력도 확보 및 유지되어야 하고, 정기적인 기능
8월의 정보보안 시장을 가장 뜨겁게 달궜던 이슈는 뭐니 뭐니 해도 카카오페이 사태라고 할 수 있다.최대 과징금 규모인 151억원을 뛰어넘는 역대 최대 과징금이 될 가능성까지 언급되며 호기심을 아주 강하게 자극했기 때문이다.금융감독원이 지난 5월부터 7월까지 카카오페이의 해외결제 부문에 대한 현장검사를 실시, 2018년 4월부터 매일 카카오페이가 고객의 개인신용정보를 고객동의 없이 4045만명의 고객정보를 알리페이에 제공했다고 발표하면서 시작됐다.알리페이에 넘어간 것은 해외결제를 이용하지 않은 고객 정보까지 포함됐다고 한다.ID, 휴
카나리아라는 새가 있다.기술이 발달하지 못했던 옛날, 광부들은 어둡고 위험한 지하 갱도로 작업을 위해 내려가면서 새장에 카나리아라는 새 한 마리를 넣어 데리고 갔더랬다. 수십 미터 혹은 수백 미터 지하에서 작업해야 하는 광부들은 갱도가 무너질지도 모르는 위험뿐 아니라 갑자기 스며 나올 수 있는 가스로 인한 죽음의 위기에 항상 노출되어 있었기 때문이다. 주변의 공기 변화에 유독 민감한 새인 카나리아는 갱도 안 어디에선가 가스가 새어 나와 미세한 공기의 변화라도 감지되면 생존을 위해 지저귀기 시작한다. 그리고 카나리아가 울면 광부들 역
조용하고 잠잠할 일이 없는 분야가 보안분야라지만 또 하나의 거대한 폭풍이 전 세계를 뒤흔들면서 보안담당자들을 불안하게 만들고 있다.바로 100억건에 달하는 전 세계인 개인정보가 담긴 50기가짜리 파일 하나가 말이다.오바마케어(ObamaCare)라는 계정을 사용하는 사용자가 등록한 문제의 파일(rockyou2024.txt)은 전체 개인정보의 규모가 99억4857만5739개로 확인되고 있다.개인의 고유한 비밀번호 정보도 포함돼 있어 악용될 경우 심각한 문제가 될 가능성이 있다.지금까지 확인된 개인정보가 담긴 파일 중에는 역대 최고 규모
비밀이란 건 나 말고 아는 사람이 없어야 비밀이 된다. 흔한 얘기로 "너만 알고 있어"라고 하는 순간 비밀의 효과는 끝이다. 더 이상 비밀이 아닌 것이다.비상훈련도 그렇다. 기업에서 매년하는 화재대피 훈련만 해도 수 주일 전부터 사내 공지를 통해 며칠날 훈련한다고 몇 시부터 이동한다고 미리 홍보를 한다. 그래놓고 훈련의 결과로 비상상황에서 전 직원이 몇 분만에 대피를 완료했다고 보고한다. 사실 사내 공지를 한 순간부터 이미 비상이 아니었음에도 말이다.정보보안에도 이런 비슷한 사례가 있다. 정부에서 매년 기업들의 참여로 실시하는 위기
흔히들 이름이 중요하다고, 이름을 잘 지어야만 한다고 얘기들을 한다. 이름을 어떻게 짓느냐에 따라 사람의 팔자가 달라질 수 있다고 하면서 말이다. 백번을 곱씹어도 맞는 말이다.실제 사람이 살아가는 데 있어 그 이름이 차지하는 영향은 생각보다 크다. 오죽하면 이름으로 인한 고통이나 불편함을 견디지 못한 사람들을 위해 개명신청을 할 수 있도록 했겠는가.이름이 중요한 이유는 첫인상 또는 첫 느낌에 있어 중요한 역할을 하기 때문이다. 좋은 이름, 편안한 이름, 재미있는 이름은 좋은 인상과 느낌을 주고 오랫동안 좋게 기억된다. 잘못 지은 이
정보보안 업계가 갑작스러운 소식에 놀라 떠들썩하다. 정보보안을 전공하고자 하는 사람들에게 중요한 자격으로 인정받던 CISSP 시험을 더 이상 한국에서 볼 수 없게 되었기 때문이다. CISSP 시험을 주관하는 (ISC)2에서 한국 시험을 철수하기로 결정한 것이다.CISSP은 국제 비영리 단체 (ISC)2가 주관하는 공인 정보시스템 보안전문가 자격으로서 국제적으로 인정되는 정보보안 관련 중요한 자격 중 하나다. 그동안은 국내에서 시험을 보고 자격을 획득할 수 있었다. 초기에는 영어로만 시험을 봤지만 한글 시험이 지원되면서 자격증을 획득
