CRINITY :: 커뮤니케이션 서비스 전문기업

업계동향

home > 업계동향

최근 IT 업계의 동향을 소개해 드립니다. IT 업계는 지금 무엇에 주목하고 있는지 확인해 보세요.

글로벌 IT 기업들, 어떻게 보안을 내재화했나(조선일보, 4/5)

보안이 내재화된 시스템을 갖춘 기업은 면역력이 강해 여간해서는 질병이 침투하지 못하는 건강한 사람과 같습니다. 특히 비즈니스의 핵심 자산이 디지털화돼 있는 IT 기업이라면 보안의 중요성은 두말할 나위가 없습니다. 인텔, 마이크로소프트(MS), 구글, 페이스북 등 대표적인 글로벌 IT 기업들이 보안을 주요 의사결정의 첫 단계로 간주하고, 보안 역량을 강조하고 나선 것도 이 때문입니다. 국내에서는 상대적으로 버그바운티 제도를 적극 활용하는 기업들이 몇 곳 없으며, 보상 수준도 글로벌 기업들에 비해 낮은 편입니다. 관련 업계는 국내 기업들도 글로벌 수준의 경쟁력을 갖추기 위해서는 버그바운티 제도를 적극 활용할 필요가 있다고 지적하고 있습니다.

잦은 암호 변경, 오히려 더 위험하다(지디넷코리아, 4/19)

영국의 통신전자보안그룹인 CESG는 사용자의 잦은 암호 변경이 보안시스템을 덜 안전하게 만들 수 있음을 경고했습니다. CESG는 대부분의 관리자는 한 달에서 두 달 주기로 비밀번호를 변경하지만 도난 당한 암호는 즉시 악용되기 때문에 이러한 변경은 실제 보안에 큰 의미를 제공하지 못한다고 설명했습니다. 또한 대부분의 암호는 가능한 한 길고 무작위로 만들어 이용자가 기억하기 어렵게 만들어지기 때문에 잦은 암호 변경은 다른 약점을 노출하거나 사용자가 잃어버려 헬프데스크를 통해 비밀번호를 리셋하게 만드는 등 생산성을 낮추기도 한다고 덧붙였습니다.

믿지 못할 `단축URL`… 보안위험 `사각지대`(디지털타임스, 4/26)

최근 보안 업계에 따르면 외관상으로는 어디로 연결될지 알 수 없는 단축URL의 특성을 악용하거나 개인정보가 노출될 우려가 있는 것으로 나타났습니다. 특히 지난 4월 초, 국내 웹사이트 300여곳에서 이 기법을 이용한 공격이 발견됐으며, 대부분 공개 게시판인 제로보드를 사용하고 있는 것으로 확인됐습니다. 제로보드는 현재 보안 업데이트가 지원되지 않아 보안 취약점에 대한 대응이 원활히 이뤄지지 않고 있지만, 여전히 다수의 커뮤니티 사이트 등에서 사용하고 있어 주의가 요구됩니다.

이메일•ID로 개인정보 유출 여부 찾는 사이트(지디넷코리아, 4/29)

과거에 일어난 개인정보 유출 사고에서 자신의 정보가 포함됐는지를 확인할 수 있는 사이트가 잔잔한 화제를 모으고 있습니다. 마이크로소프트의 한 직원이 운영 중인 ‘Have I been pwned?'라는 사이트는 이메일 주소와 사용자 이름이 과거 개인정보 유출 명단에 포함돼 있었는지를 찾아줍니다. 사용방법은 홈페이지에 있는 텍스트 입력란에 이메일 주소를 입력하고 'pwned'를 클릭하면 됩니다. 유출된 명단에 없을 경우 ‘no pwnage found!’라는 메시지가 뜹니다. 만약을 위해 이메일 주소가 유출됐을 때 알려주는 알람 기능 등록도 가능합니다.

모바일 웹서핑만으로도 악성코드 감염(아이뉴스24, 5/6)

최근 보안업계에 따르면 최근 안드로이드 스마트폰에서 '드라이브 바이 다운로드(Drive-by-Download)' 공격으로 악성코드가 유포되는 사례가 미국에서 발견됐습니다. 드라이브 바이 다운로드 공격이란 웹사이트에 방문하는 것만으로 악성코드에 감염되는 방식을 말합니다. 이번에 유포된 악성코드는 보안업계 최대 골칫거리로 떠오른 랜섬웨어(Ransomware)로 알려졌으며, 지난해 7월 이탈리아 업체 '해킹팀'에서 유출된 안드로이드 구 버전의 취약점을 쓴 것으로 추정됩니다. 안드로이드 4.0~4.3 버전에서 두 가지 이상의 치명적인 취약점이 포함돼 있으며 해커에게 무제한 루트(root) 권한을 주는 'Towelroot' 취약점이 그 중 하나입니다.

이메일 무역 해킹 사기 지난해에만 150건 있었다..... 대기업 조차 속수 무책(전자신문, 5/8)

최근 모 화학기업 이메일 해킹 무역 사기로 알려진 이른바 `스캠` 피해가 지난해에만 150건이나 발생한 것으로 드러났습니다. 올해도 44건이나 일어나는 등 이메일 해킹 무역 사기가 급증세이며, 주로 중소 무역기업이 피해를 보았습니다. 이메일 해킹 무역 사기는 범인이 보낸 가짜 이메일에 속은 피해 기업이 대금 송금 후 거래 업체에 독촉하는 과정에서 피해 사실을 뒤늦게 인지하게 됩니다. 경찰이나 검찰에 수사를 의뢰해도 대부분 국제 범죄 조직이어서 검거가 쉽지 않으며, 피해 대금을 해외 은행으로 송금한 경우 지급 정지도 어렵고, 사후 반환 요청도 수취인이 동의해야 합니다.

제3자로부터 개인정보 제공받으면 3개월 내 출처 고지해야(전자신문, 5/12)

5만명 이상 고유식별정보나 민감정보를 처리하는 사업자는 제3자로부터 개인정보를 제공받으면 3개월 내에 당사자에게 출처를 고지해야 합니다. 100만명 이상 개인정보를 처리하는 곳에도 동일한 의무가 적용됩니다. 개인정보 수집출처 고지 시, 처리 목적과 함께 개인정보 처리 정지를 요구할 권리가 있다는 사실을 본인에게 알려야 하며 고지방법은 서면, 전화, 문자전송, 전자우편 등입니다. 5만명 이상 고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호)나 민감정보(유전자, 정당 가입, 범죄 경력 등)를 처리하는 곳, 100만명 이상 개인정보(이름, 전화번호, 주소 등)를 다루는 곳이 적용 대상입니다.

이메일•SNS 등 디지털 문서, 작성 발뺌해도 증거채택 가능(연합뉴스, 5/19)

본인이 모르는 일이라고 발뺌하면 범죄 증거로 쓰지 못했던 디지털 문서가 과학적으로 작성 경위를 밝혀낼 경우 증거능력을 인정받을 수 있게 됐습니다. 국회는 최근 본회의를 열고 이런 취지를 담은 형사소송법 개정안을 통과시켰습니다. 법안은 범행 사실을 뒷받침하는 내용이 담긴 이메일이나 소셜네트워크서비스(SNS) 문서, 컴퓨터 파일 형태 문서 등의 증거능력 인정 요건을 완화하는 내용을 담고 있습니다. 지금까지는 피고인이 범행을 자백하는 내용이 포함된 디지털 문서라도 "내가 작성한 게 아니다"라고 부인하면 증거능력을 인정받지 못했지만, 새 법안은 '디지털 증거'라는 표현을 형사소송법에 처음 명기하면서 과학적으로 증명할 수 있다면 증거능력을 인정하도록 했습니다.

지자체 망분리 `제로` 해킹위협 노출…10년째 제자리걸음(전자신문, 5/23)

최근 행정자치부에 따르면 전국 시•도 및 시•군•구 243개 지자체 망분리 사업이 답보 상태에 머물러 있습니다. 5%에도 못 미치는 10여개 기관이 부서 단위로 망분리를 추진하고 있으며, 나머지 지자체는 이렇다 할 추진 계획조차 없이 업무망(내부망)과 인터넷망(외부망)을 혼용하고 있습니다. 정부는 중앙 부처와 소속기관 중심으로 시작한 망분리 사업을 2010년에 완료한 후 지자체 망분리를 추진했지만 큰 진전을 보지 못했습니다. 이에 주무 부처인 행정자치부는 최근 사이버테러 위기감이 지속되고 지자체로부터도 지원 요청이 제기됨에 따라, 망분리 사업 재추진을 검토하고 있으며, 확정되면 전자정부지원 사업으로 내년부터 4~5년 1단계 사업을 추진할 예정입니다.

영업비밀 유출을 막아라... 美•日 등 세계는 산업기술 보호 전쟁 중(전자신문, 5/25)

미국과 유럽, 일본 등 지식재산 선진국들이 영업비밀 보호 제도를 대폭 강화하고 있습니다. 지난 1월 일본이 영업비밀 법령을 개정•시행한 데 이어 4월 유럽연합(EU)은 관련 지침을, 미국은 영업비밀보호에 대한 새로운 연방법을 제정했습니다. 정부도 영업비밀 보호를 강화하기 위한 제도 개선을 추진 중입니다. 침해행위 유형이 다양해지면서 이에 대한 처벌 규정의 미비점을 보완하고 형사처벌 실효성을 높인다는 방침입니다. 침해자에 대한 증거제출 의무와 악의적 침해행위에 대한 배상책임을 강화하는 등 민사적 구제수단도 함께 정비할 계획입니다.

카카오톡은 왜 사용자 URL을 무단수집 했나(노컷뉴스, 6/2)

카카오(대표 임지훈)가 국민 인터넷 메신저 프로그램인 카카오톡의 사용자간 웹문서 링크 주소(URL)를 무단으로 수집해 자사 포털 사이트인 다음(Daum) 검색에 노출해온 사실이 확인되면서 거센 비판을 받고 있습니다. 카카오는 올해 1월부터 카카오톡 사용자들이 대화창에서 서로 공유하는 다양한 웹페이지 링크를 다음 검색에 노출시켜온 사실이 한 언론사를 통해 드러나자 지난달 27일 공식 트위터 계정을 통해 "공개 URL이지만 이를 우려하는 분들이 많아 다음 검색결과와의 연동을 중지한다"며 사과했지만 사생활 정보는 물론 메신저 사용자간 대화를 실시간 감청하고 있는 것과 다름없다는 지적이 일고 있습니다.