보안

뉴스 라온화이트햇 “마이데이터 시대 보안 위협과 대책”

금융위원회가 은행 및 핀테크 등 28개사에 대한 본인신용정보관리업(이하 ‘마이데이터’)을 허가하고, 보건복지부가 ‘마이 헬스웨이 추진위원회’ 발족을 시작으로 의료 분야 마이데이터 생태계 조성을 위한 논의를 시작하는 등 국내 마이데이터 시장이 본격적으로 열리게 되었다. 이를 통해 앞으로 금융, 의료, 교육 등 다양한 분야에서 보다 혁신적인 개인 맞춤형 서비스를 제공 받을 수 있을 것으로 기대가 모아진다. 그러나 한편으로는 마이데이터 서비스가 광범위하고 민감한 개인 정보를 토대로 하기 때문에 이를 관리 및 이동하는 과정에서 정보가 유출되거나 오∙남용될 경우, 그 피해 규모나 사회적인 파급효과가 클 수 있어 보안에 대한 우려가 높아지고 있다. IT통합보안∙인증 선도기업 라온시큐어의 자회사 라온화이트햇(대표 이정아)은 오는 8월 마이데이터 시장의 본격 개막을 앞두고 마이데이터 서비스와 관련해 발생 가능한 대표적인 보안 위협 시나리오에 대해 살펴보고 그에 대한 보안 대책을 소개한다. ■ 마이데이터 관련 발생 가능한 보안 위협 마이데이터 서비스와 관련해 발생 가능한 대표적인 보안 위협 시나리오는 다음과 같다. 첫째, 마이데이터 서비스 출시를 앞두고 보안 취약점을 방치할 경우, 개인의 금융자산 내역, 거래 정보나 의료 데이터 등 민감한 개인 정보가 집중 및 융합되어 있는 데이터베이스(DB)와 서버 등 마이데이터 사업자의 IT 인프라가 각종 고도화된 사이버 범죄의 표적이 될 수 있다. 둘째, 사이버 공격으로 유출된 개인 정보가 암호화되지 않은 경우, 공격자에 의해 데이터 재식별이 가능해질 수 있다. 이는 곧 개인 정보의 대규모 유출 및 악용으로 이어져 사회적, 경제적으로 막대한 피해를 초래할 수 있다. 마지막으로 공격자가 피싱이나 스미싱 등을 통해 마이데이터 서비스를 가장한 웹 페이지나 모바일 앱을 배포하고 이용자들이 이를 설치하도록 유도하는 방법이 있다. 가짜 웹사이트나 모바일 앱에서 이용자가 인증정보를 입력하면 공격자는 이를 탈취해 금융 자산을 몰래 가로채거나 또다른 사이버 범죄에 정보를 악용할 수도 있다. ■ 마이데이터 시대의 보안 대책 마이데이터 사업으로 인해 다양한 서비스 영역 간 경계가 무너지고 융합이 일어나면서 그 어느 때보다 사업자의 선제적인 보안 대책 마련과 보안 내재화, 그리고 서비스 사용자의 보안의식 강화가 중요해지고 있다. 신용정보법령에 따라 마이데이터 본 허가를 획득한 사업자들은 연1회 5개 분야, 375개 항목에 대한 보안 취약점 점검을 의무적으로 이행해야 한다. 마이데이터 사업자는 전문적이고 객관적인 취약점 진단을 통해 보안 취약점을 사전에 발견 및 조치함으로써 공격에 대비하고 강력한 접근 통제 시스템을 구축할 필요가 있다. 또한, 마이데이터 정보 활용의 범위와 영향이 광범위한 만큼 개인정보 전송 과정에서의 본인인증 절차 강화 및 인증 정보에 대한 빈틈없는 보안관리, 개인정보 전송 및 저장 시의 안전한 암호화와 비식별화 적용이 필수적이다. 이 외에도 마이데이터 서비스 사용자 개인 차원에서의 보안 수칙 준수도 병행돼야 한다. 사업자들이 마이데이터 서비스 사용자에 대한 보안 교육을 강화하는 것은 물론, 개인이 정기적으로 모바일 백신 검사를 진행하고 의심스러운 메시지나 링크 접속은 피해야한다.  마이데이터 사업자 대상 보안 취약점 진단 서비스를 제공하고 있는 라온화이트햇의 이정아 대표는 “국내 마이데이터 시장이 본격적으로 열리게 되면서 관련 서비스를 겨냥한 각종 사이버 공격 또한 크게 증가할 것으로 예상된다”며, “마이데이터 서비스 사업자들의 종합적인 보안 대책 마련과 이용자 개인의 보안의식 강화, 그리고 민간과 공공기관의 마이데이터 보안 관련 정보 공유와 협력 확대를 통해 사업자와 서비스 이용자 모두가 안심하고 혜택을 누릴 수 있는 안전한 마이데이터 시장 환경을 구축할 수 있다”고 말했다.

By
뉴스 “2021년 보안 위협 5가지 전망은?”

라온시큐어의 자회사 라온화이트햇(대표 이정아)이 ‘2021년 보안 위협 트렌드 – 익숙해진 언택트, 가까워진 보안 위협’을 28일 발표했다. 세계 주요 해킹방어대회를 석권한 라온화이트햇 핵심연구팀은 코로나19 심화로 비대면 생활이 보편화됨에 따라 이를 악용한 사이버 공격이 증가할 것으로 예상하고, 기업과 개인이 각종 보안 위협에 대비할 수 있도록 이를 발표했다. 라온화이트햇이 전망한 보안 위협의 주요 내용에는 ▲홈 IoT 기기 사용 증가로 홈 네트워크 해킹 및 사생활 침해 위험 증가, ▲기업 핵심 업무의 클라우드 이전으로 새로운 보안 사각지대 발생, ▲재택근무 시 취약 네트워크 공격 및 중요 데이터 유출 위험 증가, ▲기업과 기관을 타겟으로 한 지능화된 APT 공격 지속, ▲참아왔던 문화생활에 대한 폭발적 수요를 노린 피싱 증가 등이 포함됐다. 라온화이트햇은 특히, 최근 많은 기업들이 핵심 업무를 클라우드로 이전함에 따라 보안 사각지대가 발생하고 있음을 언급하며 클라우드 환경을 고려한 기업들의 보안 전략 수립을 강조했다. 권한이 적절하게 분리돼 있지 않으면 공격자가 크리덴셜만 탈취해도 기업의 클라우드 서버에 쉽게 접근해 중요한 데이터를 유출시킬 수 있기 때문에 계정 권한관리를 강화하고 모의해킹 등을 통해 사전에 취약점을 면밀히 점검해 보안 수준을 높여야 한다고 말했다. 또, 클라우드 상의 데이터 유출 시 클라우드 서비스 제공업체가 아닌 사용 기업에 책임이 가중된다는 점에도 주목해야 한다고 지적했다. 코로나 정국을 이용해 기업 및 기관을 타겟으로 한 지능형 지속위협(APT) 공격은 내년에도 지속 증가할 것으로 전망했다. 특히 우리나라의 지정학적 이슈와 관련한 APT공격과, 기업을 노리는 표적형 랜섬웨어 공격이 더욱 지능적이고 교묘한 방식으로 전개될 수 있다고 강조했다. 또한, 내년 하반기에는 2022년 대선을 앞두고 정치 관련 콘텐츠로 위장한 각종 피싱과 스미싱, 악성 앱, 악성 이메일 등이 대거 유포될 수 있어 주의를 당부했다. 개인의 경우, 재택근무와 ‘집콕’ 생활이 증가함에 따라 노트북 PC, IPTV의 웹캠과 인공지능(AI) 스피커 등 홈 IoT 기기 해킹을 통한 몰카, 도청 등 사생활 침해 사고가 증가할 것으로 내다봤다. 또, 코로나19로 인한 사회적 거리두기 완화 시, 여행, 공연 등 문화생활 관련 수요의 폭발적 증가를 노린 사회공학적 기법을 활용한 피싱 역시 급증할 것으로 예상했다. 라온화이트햇은 개인의 보안 위협 예방 수칙으로 ▲취약한 네트워크 사용 피하기, ▲Wi-Fi 비밀번호 보안 수준 높이기, ▲의심되는 웹사이트는 URL과 도메인 창의 자물쇠 표시 반드시 확인하기, ▲모바일 백신 설치하기 등을 권고했다. 세계 주요 해킹방어대회 수상자이자 보안컨설팅 전문가인 라온화이트햇 최정수 팀장은 “내년에도 ‘언택트(Ontact)’와 ‘집콕’ 생활이 장기화됨에 따라 다양한 보안 취약 접점을 노리는 블랙해커들의 공격 수법이 더욱 다양해지고 빈도도 높아질 것으로 예상한다”며, “라온화이트햇은 국내 최고 전문성을 보유한 프리미엄 모의해킹과 보안 컨설팅 서비스를 통해 기업과 금융, 공공기관들의 보안을 강화하고 라온CTF 교육 서비스를 통해 보안 전문가 양성에 집중함으로써, 2021년 더 가까워진 보안 위협에 적극 대응해 나가겠다”고 말했다.

By
스타트업 가이드 식별 보안, 그리고 레그테크

사람들이 소지한 여권과 운전 면허증과 같은 서류 기반 신분증은 개인을 식별하는 데 사회적 비용이 많이 들고, 인구의 일부가 금융 서비스 제품을 신청할 수 없는 것을 감안하면, 생체 인식 및 블록체인과 같은 기술은 식별을 보다 포괄적이고 효율적으로 만드는 데 도움이 되는 핀테크 기술이다. 사이버 보안은 전자…

By
스타트업 가이드 인슈어테크를 아시나요?

보안이 필요치 않은 서비스가 있을까 싶기는 하지만, 핀테크 서비스 특성상 보안은 기본 중 기본이다. 아무리 혁신적인 서비스인들 보안적으로 취약하다면 결코 지속 가능하지 않다. 또한 혁신적 서비스를 위해 대부분 고객에 대한 통찰을 바탕으로 하는 경우가 많은데, 그 통찰은 기본적으로 고객에 대한 분석 및 프로파일링을 통해 얻는…

By
스타트업 가이드 ICO 진행 중 느낀 ‘블록체인을 위한 클라우드’

서킷을 질주하는 2,000cc급 레이싱카를 1년 유지하는 비용은 5억 원 가량이라고 한다. 격렬한 드라이빙을 하는 탓에 빈번한 부품 교체, 정기 점검이 총소유비용(TCO)를 높이는 원인으로 작용한다. 요즘 스타트업의 자금 모집을 위한 방법 중 하나로 ICO(initial coin offering)가 대안으로 급부상하고 있다. ICO는 대중에게 블록체인 기반 코인, 토큰을 모집…

By
뉴스 써트온, 암호화폐거래소 ‘보안 강화’ 한다

써트온이 최근 정부가 제시한 암호화폐거래소 보안규정에 최적화된 시스템을 구축하고 암호화폐거래소 ‘코인링크(CoinLink)’ 서비스에 적용했다고 밝혔다. 코인링크는 시스템 구축단계부터 완벽한 망분리, 백업체계 등 2, 3중으로 보안사항을 적용하고, 국내 최초로 HSM(Hardware Security Module)를 통한 키관리를 통해 고객 자산을 보호하고 있다. 특히 망분리체계와 HSM장비는 기존의 금융권 및 K뱅크, 카카오뱅크…

By
스타트업 트렌드 日 “타인의 무선랜 암호 취득 행위는 무죄”

[김상오의 재팬 스타트업] 지난 4월 27일, 타인의 무선랜에 무단으로 접속해 인터넷을 활용, 은행 서버를 해킹한 혐의로 기소된 후지타히로시(31)의 재판이 도쿄 지방 법원에서 열렸다. 검찰은 후지타의 범죄에 대해 12년을 구형했으나 법정은 무선랜 암호를 취득한 것에 대해서는 무죄를 선고, 은행 서버에 침투한 것에 대해서만 부정 액세스 금지법…

By
뉴스 [모집·행사] 기술상용화 지원사업 공고·보안세미나 개최

◇ SBA, 크라우드펀딩형 기술상용화 지원사업 공고=서울R&D지원센터가 크라우드펀딩을 통한 ‘2017년도 기술상용화 지원사업’ 참가할 기업을 모집한다. 지원규모는 총 15억원 이내로 최대 3천만원의 지원금을 5~8개월 동안 지급하게 된다. 신규과제는 50개로 기술 보유 기업은 시제품 제작, 성능․신뢰성 시험, 소비자 평가 및 인증 등 사업화를 위한 추가 기술개발 지원 및…

By
뉴스 ‘보이지 않는 디스크’ CIDISK, SK인포섹과 보안 솔루션 시장 공략

보안 솔루션 개발 스타트업 씨아이디디스크코리아(이하 CIDISK)가 27일 SK인포섹과 공동사업 위한 업무협약을 체결했다. 양사는 이번 업무협약을 통해 보안 솔루션 시장 공략에 나설 예정이다. 주요 기술 개발은 CIDISK가 영업 및 마케팅 등은 SK인포섹에서 맡는다. CIDISK는 특정 운영체제에 종속성을 가지지 않는 디스크 저장기술로 해커의 표적이 되는 정보자산의 존재를…

By
뉴스 KTB솔루션, 생체 인증 수기 서명 기술 원천 특허 확보

핀테크 보안 및 인증 분야 스타트업 KTB솔루션이 생체 인증 수기 서명 기술 원천 특허(발명 명칭, 서명 검증 방법 및 장치)를 취득했다고 밝혔다. 금번 KTB솔루션이 취득한 특허는 2014년에 출원한 특허로 스마트폰 등 이동통신단말기와 터치패드에 특화된 핵심 원천 기술을 청구항목으로 구성하고 있으며, 사용자가 입력한 서명의 진위를 인증하는 서명 검증…

By
씽크 라운지 아카마이 시큐리티 비주얼라이제이션, 해커들의 공격 패턴과 근원지를 한눈에!

해커들의 공격이 날로 지능화되고 광범위해지고 있습니다. 공격의 방법도 단순한 대규모 트레픽 공격을 벗어나 집요하면서도 예상치 못한 방법으로 사용자를 괴롭히기도 합니다. 이에 따라 해커들의 공격을 잘 막아내는 것도 점점 어려워지고 있습니다. 많은 클라우드 기업들이나 보안 사업자들은 이런 공격에 대응하기 위해 다양한 방법을 강구하고 있지만 만만치 않은게…

By
뉴스 “클라우드환경에 최적화된 보안 솔루션 제공”…락인컴퍼니와 호스트웨이 MOU

모바일 보안 전문기업 락인컴퍼니는 클라우드 데이터센터 기업인 한국 호스트웨와 전략적 사업제휴(MOU)를 체결하고, 사업 확대에 적극 나서기로 했다고 21일 밝혔다. 이를 통해 락인컴퍼니는 ICT 환경의 신시장으로 떠오르고 있는 클라우드 컴퓨팅 환경에서 매출을 확대하고, 호스트웨이는 자사 고객에게 필요한 보안솔루션을 소개하는 서비스 제공으로 양사간 윈윈 전략을 꾀한다는…

By
뉴스 디바인랩, ‘멀티시그 월렛’ 보안 시스템 국내 최초 도입

암호화 화폐 비트코인 서비스 스타트업 디바인랩은 자사 비트코인 거래소 코인원 (Coineone)에 해킹 위험을 줄여주는 ‘멀티시그(Multi-sig) 월렛’ 보안 시스템을 정식 도입했다고 10일  밝혔다. 디바인랩은 업계에 가장 먼저 멀티시그 보안 개념을 선보인 미국의 비트코인 보안 전문기업 빗고(BitGo)와 제휴, 국내 최초로 멀티시그 솔루션을 도입했다. 앞으로 국내 사용자에게도 해킹에…

By
뉴스 5월 연휴 보안사고 막기위한 ‘3대 보안수칙’은?

보안전문기업 안랩이 올 해 첫 황금연휴를 앞두고, 악성코드로 인한 피해를 줄여 안전한 연휴를 보낼 수 있도록 각 사용자 별로 ‘3X3 필수 보안 수칙’을 28일 발표했다. 안랩이 제시한 ‘3X3 필수 보안수칙’은 장기 연휴 중 개인들이 많이 이용하는 컴퓨터(PC)와 스마트폰, 기업의 보안 담당자 등 대표적인 3개 보안계층이…

By
1 2 3