소사이어티

사람들

arrow_downward최신기사

개인정보유출

틱톡 '클립보드 무단 접근' 의혹...틱톡 측 "iOS 업데이트 버그일 뿐"

애플의 iOS14 업데이트 이후 ‘틱톡’이 스마트폰 클립보드를 몰래 훔쳐보고 있다는 의혹이 제기됐다. 이에 대해 틱톡 측은 "iOS 업데이트 버그일 뿐"이라며 사실무근이란 입장을 냈다. 25일(현지시간) 애플 직원인 제레미 버그(Jeremy Burge)는 자신의 트위터에 “틱톡 앱이 1~3번의 키 입력마다 클립보드의 내용을 가져가고 있다”는 내용의 트윗을 영상과 함께 공개했다. 클립보드는 사용자가 스마트폰에 입력한 내용이 임시로 저장되는 공간이다. 혹은 사용자가 복사한 내용들이 저장되는 공간이기도 하다. 그만큼 클립보드에 무단으로 접근한다는 것은, 사생활 침해나 민감한 개인정보 유출로 이어질 수 있는 일이다. 애플은 이를 막기 위해 iOS14에 여러 보안 기능과 함께 클립보드에 무단 접근하는 앱을 알려주는 기능을 추가했다. 실제 제레미 버그가 공개한 영상을 보면, 틱톡 앱에서 댓글을 입력하기...

개인정보유출

네이버, 블로거 2222명 개인정보 유출

네이버 블로거 2222명 개인정보가 유출됐다. 네이버는 4월30일 오전 2시 네이버 애드포스트 회원에게 원천징수영수증 발급 이메일을 발송하면서 시스템 오류로 다른 회원의 개인정보 일부가 첨부파일에 포함됐다고 밝혔다. 잘못 발송된 첨부파일에는 이름, 주소, 주민등록번호, 애드포스트 지급액 등 일부 회원의 원천징수영수증 내용이 그대로 노출됐다. 네이버 애드포스트는 미디어에 광고를 게재하고 광고에서 발생한 수익을 배분받는 광고 매칭 및 수익 공유 서비스다. 회원수는 약 17만명에 이른다. 네이버는 이중에서 2222명의 개인정보가 유출된 것으로 파악됐다고 밝혔다. 네이버는 "방송통신위원회 등 유관 기관에 신고조치를 완료했다"라며 "이달 중순까지 안전하게 원천징수영수증을 전달할 방안을 강구하도록 하겠다"라고 말했다. 개인정보유출로 인한 피해 발생이 의심되는 경우, 네이버 Privacy&Security (문의 전화 1588-3829 / 메일 privacy@naver.com)로 문의하면 된다.

apt

KT “사이버보안센터, 하루 2만여건 위협 대응”

국내 최대 통신·인터넷서비스사업자(ISP)인 KT가 올해 2월 ‘사이버보안센터(Intelligent Cyber Security Center)’를 개관했다. 경기도 과천 KT 스마트타워에 위치한 사이버보안센터는 90명의 전문인력이 교대로 24시간 365일 보안관제를 수행하고 있다. KT는 사이버보안센터가 “IT 보안과 네트워크 보안 관제를 통합 수행하는 국내 최초의 보안관제센터”라며 “단말과 네트워크, 서버까지 아우르는 종합 대응체계를 구축해 다양한 사이버위협에 대응하고 있는 최고 수준의 통합 보안센터”라고 내세우고 있다. 사이버보안센터는 KT 사내망과 ‘코넷’ 등 유무선 가입자망을 포괄하는 통합 보안관제센터로, KT의 사이버보안 기술과 역량이 결집돼 있다. 인터넷 백본부터 사용자 단말까지 전체 위협을 모니터링, 분석함으로써 서비스별 적절한 대응책을 시행할 수 있는 기반을 제공한다. 현재 사이버보안센터에서 대응하고 있는 사이버위협은 하루 평균 2만2천건에 달한다. 웹 공격, 정보유출, 지능형지속위협(APT) 공격,...

O2O

‘여기어때’ 개인정보 99만건 유출…‘SQL인젝션’ 공격이 원인

위드이노베이션이 운영하는 숙박 온·오프라인 연계(O2O) 서비스 ‘여기어때’에서 유출된 고객 개인정보가 99만여건에 이르는 것으로 조사됐다. 지난달 회사측이 발표한 침해 건수에서 더 늘어났다. 사고 원인은 조사 초창기부터 예상됐던대로 웹사이트 취약점 공격기법인 ‘SQL 인젝션’ 공격에 의해 데이터베이스(DB)가 뚫린 것으로 확인됐다. 미래창조과학부와 방송통신위원회는 여기어때 개인정보 유출 침해사고 관련 ‘민·관합동조사단’ 조사 결과를 4월26일 밝혔다. 민·관합동조사단은 여기어때 서비스 이용고객을 대상으로 총 4817건의 협박성 음란 문자(SMS)가 발송됨에 따라 확인된 개인정보 유출 침해사고 원인 분석과 대응, 피해 방지 등을 위해 미래부, 방통위, 한국인터넷진흥원과 민간 전문가로 구성, 지난 3월7일부터 3월17일까지 조사를 벌였다. 조사단은 확보한 웹서버 로그 1560만건, 공격서버·PC 5대를 바탕으로 사고 관련자료 분석, 재연해 해킹의 구체적인 방법 및 절차,...

KISA

‘여기어때’ 고객정보 유출…“‘SQL인젝션’ 공격 흔적, 금전 협박”

숙박 O2O(Online to Offline) 서비스 ‘여기어때’에서 해킹으로 고객정보가 대량 유출됐다. 최근 ‘여기어때’를 이용한 고객들에게 불쾌한 내용의 문자 메시지가 대량 발송됐다. 확인된 고객 수만 4천여건이다. 흔히 사용되는 웹 취약점 공격 수법인 ‘SQL인젝션(Injection)’에 의해 고객 개인정보가 저장된 데이터베이스(DB)가 뚫린 것으로 보인다. 현재 경찰과 한국인터넷진흥원(KISA), 미래창조과학부, 방송통신위원회가 조사를 진행하고 있다. ‘여기어때’를 운영하는 위드이노베이션은 3월24일 “일부 고객정보가 해킹에 의해 침해된 사실을 확인하고 KISA와 경찰청 사이버안전국에 신고해 조사하고 있다”라며 “유출이 확인된 고객들에게는 별도 개별 통지했다”라고 밝혔다. 회사측은 이날 오후 이같은 고객정보 유출 사실을 ‘여기어때’ 모바일 앱에 공지했다. 위드이노베이션에 따르면, 유출이 확인된 고객정보는 4천여건이다. 침해된 고객정보는 이메일, 연락처, 이름 등이다. 하지만 더 많은 고객정보가 유출됐을 가능성도...

UBA

유넷시스템, 머신러닝 기반 ‘사용자행위분석’ 시장 열었다

유넷시스템(대표 심종헌)이 머신러닝 기법을 적용한 사용자행위분석(UBA) 솔루션으로 금융 내부정보유출 탐지 시장에서 두각을 나타내고 있다. 지능적인 방식으로 내부정보나 개인정보를 유출하는 시도를 탐지해 사고를 막는데 활용할 수 있어 보안에 민감한 금융권에서 먼저 수요와 공급 사례가 생겨났다. 유넷시스템은 지난해 하반기 우리은행을 시작으로 HMC투자증권, 한국투자증권 등에 ‘애니몬 UBA’를 잇달아 공급하면서 시장 공략을 본격 확대하고 있다. ‘애니몬 UBA’는 개인별 행위를 분석하기 위해 범죄수사에서 사용되는 프로파일링 분석 기법을 사용한다. 개인은 물론 조직별 프로파일 정보를 축적·분석해 내부정보 유출 행위를 탐지한다. 사용자 정상·이상 행위를 분류해내기 위한 기준 정보는 사용자 시스템에서 발생하는 다양한 로그를 활용한다. 데이터유출방지(DLP), 문서보안(DRM), 네트워크접근제어(NAC), PC보안 제품 등 다양한 보안 제품 등에서 생성되는 로그를 취합한다. 축적된...

개인정보보호

개인정보 유출 사고 발생시 대응 매뉴얼은?

지난 7월 알려진 인터파크 회원 개인정보 대규모 유출 사고를 계기로 방송통신위원회와 인터넷진흥원(KISA)이 사업자가 준수해야 할 ‘개인정보 유출 대응 매뉴얼’을 마련해 8월31일 발표했다. 인터파크는 개인정보 유출 사실을 이용자들에게 늑장 통지한데다 애매모호한 표현 등 미흡한 문구로 비판을 받았다. 이전에도 개인정보 유출사고가 발생한 뒤 이용자 통지나 관계기관 신고가 지연되는 사례가 있었다. 이 경우 초기 대응에 한계가 발생한다. 자칫하면 개인정보가 추가로 유출되는 피해가 발생할 수도 있다. 이 매뉴얼은 정보통신망 이용촉진 및 정보보호 등에 관한 법률(제28조제1항제1호), 같은 법 시행령 제15조제1항, 개인정보의 기술적‧관리적 보호조치 기준(방통위 고시, 제3조제6호)를 기반으로 정보통신서비스 제공자등이 준수해야 할 조치사항을 담았다. 개인정보 유출 신속대응체계 구성‧운영 정보통신서비스 제공자 등은 개인정보 유출사실을 알게 된 때에는...

ocs

개인 진료정보, 유출 잦은 이유 있었네

카카오톡 암호화 논란은 약과였다. 의료계의 진료기록 관리는 부실하다 못해 형편없기까지 했다. 이미 대부분의 진료 정보가 소프트웨어에 의해 처리되고 전달되고 있었지만 암호화 등 민감 정보 관리 방식은 허술했다. 그 틈을 타 의료 소프트웨어 개발 업체들이 진료 정보를 빼돌리고 이를 판매하는 데 거리낌이 없었다. 검찰에 적발돼 구속까지 관련자들이 구속까지 됐지만 이러한 행태가 근절될 수 있을지는 미지수다. #. 사건 1. 약학정보원 처방기록 유출 2013년 12월, 약학정보원은 7억4천만건에 달하는 처방약 정보를 IMS헬스에 판매하다 적발됐다. 검찰은 2014년 7월 약학정보원 관계자를 불구속 기소했다. 약학정보원은 약사들이 사용하는 ‘PM2000’이라는 약국경영관리 소프트웨어를 통해 처방 내역을 수집했고 이를 한국IMS헬스에 판매했다. 주민번호 등 일부 개인정보는 암호화됐지만 생년월일 등은 고스란히 전달된 의혹을 받고...

botnet

러시아 해커단, 개인정보 12억건 빼냈다

러시아 해커 집단이 12억건에 달하는 누리꾼의 아이디와 비밀번호를 손에 넣었다는 경고가 나왔다. 이는 지금까지 밝혀진 개인정보 유출 사건 가운데 가장 큰 규모다. (사진 : http://www.flickr.com/photos/winstonavich/189032152. CC BY.) 보안 전문회사 홀드시큐리티는 한 러시아 해커 집단이 인터넷 사용자의 정보를 대규모로 그러모았다고 8월5일(현지시각) '뉴욕타임스'를 통해 밝혔다. 러시아 해커 집단이 손에 넣은 아이디와 비밀번호 조합은 12억개, e메일 주소는 5억개가 넘는다. 홀드시큐리티는 지난해 어도비시스템즈 계정 대규모 해킹 사건을 밝혀낸 보안회사다. 러시아 해커 집단은 상대를 가리지 않고 마구잡이로 사용자 정보를 수집했다. 해커 집단이 개인정보를 빼돌린 웹사이트는 42만곳이다. 홀드시큐리티 설립자 겸 최고 정보보안책임자(CISO)인 알렉스 홀덴은 해커가 큰 미국 회사만 노리지 않았다고 설명했다. “해커들은 접속할 수 있는 아무...

kt

“개인정보 유출됐는데 위약금까지 내라고?”

회사 잘못으로 개인 정보가 유출돼 피해자가 서비스를 해지하려고 하면 위약금을 받는 게 맞을까. 경실련(경제정의실천시민연합) 소비자정의센터는 위약금 없이 KT 서비스를 해지하기 위해 한국소비자원에 집단분쟁조정을 신청했다고 7월24일 밝혔다. 지난 KT의 대규모 개인정보유출 사고 피해자들 중 일부가 개인정보유출을 이유로 계약 해지하려 하자 위약금을 내야 한다는 KT에 문제를 제기하는 것이다. 이번 집단분쟁조정 신청에는 주민등록번호, 계좌정보 등 중요한 개인정보가 외부로 유출되는 피해를 입은 57명이 참여했다. 신청자들이 해지를 원하는 KT서비스는 이동전화, 인터넷, 인터넷TV, 인터넷전화 등 다양하다. 이번 집단분쟁조정 신청에 참여한 홍명근 씨는 '블로터닷넷'과 전화 통화에서 “지난 KT 개인정보유출 사태 때 이름과 연락처, 주소, 카드번호까지 10개 정도 되는 개인정보가 유출됐다”라며 “과거 농협에서 내 정보가 새나갔을 때도 관련...