4천명 개인정보 유출했는데 피해보상은 전무…입닫은 티맵모빌리티
- 2021년 티맵의 서버 기능 업데이트 과정에서 프로그램 오류로 4,068명의 고객 개인정보 유출
- 안전조치 의무 위반을 이유로 개인정보보호위원회로부터 과징금 5,100여만원과 과태료 600만원을 부과
- 국내 대표 플랫폼사가 수천명의 개인정보를 유출한 중대한 사건임에도 개인정보주체의 피해배상 신청이 없었다는 이유로 배상을 전혀 하지 않았다는 점에서 책임 논란
[단독]4천명 개인정보 유출했는데 피해보상은 전무…입닫은 티맵모빌리티
티맵모빌리티가 이용고객 4천명의 개인정보를 유출하고 정부로부터 제재를 받았음에도 적극적인 피해보상 등 조치를 취하지 않아 도마에 올랐다. 국회 정무위 소속 황운하 더불어민주당
news.mtn.co.kr
'국세청 해킹' 주장한 락빗 랜섬웨어 급증…"조직은 와해 수순"
- 무브잇(MOVEit) 사태 : 러시아의 랜섬웨어 단체인 클롭이 무브잇(MOVEit)이라는 파일 전송 소프트웨어에서 발견된 제로데이 취약점을 악용하며 발생한 사태
- 클롭 랜섬웨어: 개인 사용자를 타겟으로 하는 일반 랜섬웨어와 달리 기업의 중앙관리 시스템인 액티브 디렉터 서버를 주요 공격 대상으로 함
'국세청 해킹' 주장한 락빗 랜섬웨어 급증…"조직은 와해 수순"
SK쉴더스 보고서…8월 전체 랜섬웨어 발생 건수는 두 자릿수대 감소 랜섬웨어 '락빗' 피해가 최근 급증했지만, 이 랜셈웨어를 유포하는 해커조직은 와해 수순에 밟고 있다는 보안업체 분석이 나
n.news.naver.com
[김재성의 생체인식 이야기-3] 생체정보 보호기술
- 생체인식기술
- 사람의 지문, 얼굴, 홍채, 정맥 등 신체적인 특징을 통해 생체정보의 취득, 특징점 추출/등록/저장/전송 및 패턴 검증 또는 식별과정을 거쳐 개인의 신원 확인
- 신체 부위에 대한 영상을 취득하는 과정에서 생기는 생체정보는 위변조에 취약
- 불법 밀입국, 생체정보 위변조를 통한 타인의 불법 민원서류 발급 등 보안사고 발생
- 생체정보 위변조 보안위협과 보안 취약점 대두
- 생체정보 보호기술 표준
- ISO/IEC 30107 시리즈 : ITU-T X.1086: 생체인식시스템에서 생체정보 취득·신호처리(특징점 추출)·등록·저장·전송·비교/결정(1:1, 1:N) 과정에서 발생할 수 있는 12가지의 보안 취약점 및 대응방법 정의
- 한국인터넷진흥원/개인정보보호위원회 : 생체정보보호 가이드라인
- 생체정보 보호기술
- 위조지문탐지 기술보고서
- 바이오인식 정보보호를 위한 워터마킹 기능
개인정보 보호법 개정 안내서 초안 공개
지난 9월 15일 시행된 ‘개인정보 보호법’이 현장에서 안정적으로 정착될 수 있도록 마련된 ‘개인정보 보호법 및 시행령 개정 안내서’ 초안이 공개됐다.
www.boannews.com
한 번에 기업 내부정보 싹 털어가는 API 공격, 어떻게 대응하나
- API
- 웹/애플리케이션에서 서버와의 통신을 위해 사용
- 광범위한 접근이 허용
- 구조와 정보를 알아보기 쉬움
- API 공격
- BOAL : 공격자가 데이터를 허락없이 보거나 수정하도록 함, API 동작에 대한 식별을 기존 보안 제어가 하지 못하도록 함
- 사용자 인증 실패: 사용자 인증의 손상으로 공격자는 자격 증명 스터핑 및 무차별 대입 공격을 통해 애플리케이션 액세스 권한을 취득함
- 리소스 부족 및 속도 제한: 데이터를 GET할 때 자격 증명 트래킹 및 토큰 크래킹을 포함해 API에 자동화 공격을 가함
- 보안 구성 오류: 잘못 구성된 HTTP 헤더, 너무 자세한 오류 메세지, 개방형 클라우드 스토리지 등에서 발생하는 취약점
- API 공격 실태
- 지난해 1년 동안 웹 애플리케이션 공격은 2021년에 비해 96.35%가 증가
- 지난 1년간 모니터링한 봇 공격은 총 1,631억 8,500만 건으로, 2021년과 비교해 1.93배 증가
- 최근 API 보안 동향
- 인증과 권한을 우회하거나 이를 도용해 기업의 중요 정보나 고객 정보를 탈취
- 국내 주요 보안기업의 API 보안 솔루션
- 엔시큐어의 노네임시큐리티
- 파이오링크 파이오링크 웹프론트(PIOLINK WEBFRONT-K/KS)
- 펜타시큐리티의 와플스(WAPPLES)
- 아카마이의 Akamai App & API Protector
[추석 보안대작전-4] 한 번에 기업 내부정보 싹 털어가는 API 공격, 어떻게 대응하나
최근 웹 애플리케이션과 API(Application Programming Interface, 응용 프로그래밍 인터페이스) 공격이 크게 증가하고 있는 것으로 분석됐다. API 공격이 증가하는 주된 원인은 기업의 데이터 보관이나 애플
www.boannews.com
스마트폰 앱의 74%, 과다하게 개인정보 수집한다
- 안드로이드 앱의 87%, iOS 앱의 60%가 과다한 개인정보 수집
- 74%의 앱이 전반적으로 많은 정보를 수집
- 14% → 용도와 전혀 관계없는 불필요한 데이터를 수집
- 42% → 앱을 사용하지 않을때에도 사용자의 온라인 활동과 관계된 정보를 수집
- 소셜 네트워킹, 메시지, 내비게이션, 데이팅 앱 등 사용자 사이의 상호작용을 위한 앱들이 가장 많은 불필요한 정보를 수집
- 동아시아가 전 세계에서 가장 많은 불필요한 개인정보를 수집
스마트폰 앱의 74%, 과다하게 개인정보 수집한다
전 세계인들의 필수품, 스마트폰의 앱들이 과다하게 개인정보를 수집하고 있다는 지적이 나왔다. 글로벌 인터넷 보안 업체 노드VPN은 전 세계적으로 가장 인기 있는 18개 카테고리의 앱들이 사용
www.boannews.com
최근 3년간 ‘유출된 개인정보’만 6,505만건에 달한다
- 지난 3년간 총 유출된 개인정보의 건수는 확인된 것만 6,505만 2,232건(55MB 별도)
- 제재 조치의 부과 사유: 개인정보 유출, 안전조치 의무, 개인정보 수집이용제공, 개인정보 파기, 유출 통지 의무
- 과징금 : 구글, 2022년 9월에 692억 4,100만원(개인정보 수집이용제공 위반) > 메타, 308억 600만원(개인정보 수집이용제공 위반)
- 과태료 : 메타, 6,600만원 > 스캐터랩, 4,780만원
최근 3년간 ‘유출된 개인정보’만 6,505만건에 달한다
‘개인정보 보호법’에 의거해 지난 3년간 총 유출된 개인정보의 건수는 확인된 것만 6,505만 2,232건(55MB 별도)에 달했다. 개인정보 보호법은 2011년 3월 29일 제정됐으며, 같은 해 9월 말일에 ‘개인
www.boannews.com
AI로 음성통화 엿듣겠다는 SKT…법적으로 괜찮나
- SKT(통신사업자)의 인공지능 사업전략의 핵심 통신 특화 인공지능
- 에이닷(A.) : 인공지능 기반 개인비서 서비스
- 통화 중 녹음된 대화 내용을 인공지능이 요약, 분석한 뒤 그 내용을 바탕으로 여러 사람간의 일정을 조율하고 식당을 예약하는 등 업무를 대신 수행하 맞춤형 서비스
- 음성통화 내용은 텍스트로 변환한 뒤 통화 녹음 파일은 즉시 파기
- 현행 헌법, 통신비밀보호법, 전기통신사업법, 통신망법 → 통신비밀과 사생활 보호 차원에서 정보·수사기관이 영장(내국인)이나 대통령 허가(외국인)를 받아 ‘감청’을 하는 경우를 제외하고는 남의 통화를 몰래 엿듣는 행위는 물론 엿듣기를 시도하는 것까지 금지
- 당사자들의 명시적인 동의를 받을 경우 예외
- 자신의 음성 데이터가 인공지능 서비스에 활용되는 것을 거부할 권히가 통화 상대방에게까지 보장되기 어려움
- 인공지능 시스템을 제 3자로 볼 수 있는가
- 과기정통부 관계자: 인공지능 시스템을 통화 녹음 및 데이터 활용의 주체로 보긴 어려움
- 개보위 관계자: 음성 통화 데이터가 통화 당사자들의 명시적인 동의 없이 통신서비스 제공 기업의 서버에 저장되거나 인공지능 모델 학습에 사용되면 문제가 될 수 있음
https://www.hani.co.kr/arti/economy/it/1110885.html
[단독] AI로 음성통화 엿듣겠다는 SKT…법적으로 괜찮나
SKT “통화 중 녹음된 통화내용 AI가 요약·분석”‘인공지능을 제3자로 볼 수 있을까’ 의견 엇갈려
www.hani.co.kr
인공지능 인프라에 널리 사용되는 오픈소스에서 위험한 취약점 나와
- 토치서브(Torch Serve) : AWS가 파이토치(PyTorch) 머신러닝 모델 서비스를 위한 오픈소스 도구
- 셸토치(ShellTorch) 취약점 : 인증 과정을 무단으로 통과해 원격 코드 실행 공격을 시행할 수 있도록 해주는 취약점
- 파이토치: 파이썬(Python) 기반의 오픈 소스 머신러닝 라이브러리
- CVE-2023-43654
인공지능 인프라에 널리 사용되는 오픈소스에서 위험한 취약점 나와
보안 외신 시큐리티위크에 의하면 인공지능 인프라에 영향을 줄만한 취약점이 토치서브(TorchServe)라는 도구에서 발견됐다고 한다. 보안 업체 올리고(Oligo)에서 제일 먼저 발견한 것으로, 해당 취
www.boannews.com
새롭게 다크웹에 등장한 다운로더 서비스, 버니로더
- 버니로더(BunnyLoader)
- C, C++로 작성된 멀웨어
- 안티샌드박스 기능을 탑재한 다운로더
- 다운로더를 이용해 추가 멀웨어를 설치하는 게 최근 공격의 유형
- 서비스형 멀웨어(Malware-as-a-Service, MaaS)는 이제 다크웹에서 가장 많이 보이는 사업 형태
- MaaS 운영자들은 돈을 받거나 수익을 일정 비율로 나누는 방식으로 다른 유형의 공격자들과 협업
새롭게 다크웹에 등장한 다운로더 서비스, 버니로더
보안 블로그 시큐리티어페어즈에 의하면 다크웹에 새로운 멀웨어 서비스가 등장했다고 한다. 이 서비스 제공자가 제공하는 멀웨어의 이름은 버니로더(BunnyLoader)라고 하며, 9월 4일부터 다크웹
www.boannews.com
4천명 개인정보 유출했는데 피해보상은 전무…입닫은 티맵모빌리티
- 2021년 티맵의 서버 기능 업데이트 과정에서 프로그램 오류로 4,068명의 고객 개인정보 유출
- 안전조치 의무 위반을 이유로 개인정보보호위원회로부터 과징금 5,100여만원과 과태료 600만원을 부과
- 국내 대표 플랫폼사가 수천명의 개인정보를 유출한 중대한 사건임에도 개인정보주체의 피해배상 신청이 없었다는 이유로 배상을 전혀 하지 않았다는 점에서 책임 논란
[단독]4천명 개인정보 유출했는데 피해보상은 전무…입닫은 티맵모빌리티
티맵모빌리티가 이용고객 4천명의 개인정보를 유출하고 정부로부터 제재를 받았음에도 적극적인 피해보상 등 조치를 취하지 않아 도마에 올랐다. 국회 정무위 소속 황운하 더불어민주당
news.mtn.co.kr
'국세청 해킹' 주장한 락빗 랜섬웨어 급증…"조직은 와해 수순"
- 무브잇(MOVEit) 사태 : 러시아의 랜섬웨어 단체인 클롭이 무브잇(MOVEit)이라는 파일 전송 소프트웨어에서 발견된 제로데이 취약점을 악용하며 발생한 사태
- 클롭 랜섬웨어: 개인 사용자를 타겟으로 하는 일반 랜섬웨어와 달리 기업의 중앙관리 시스템인 액티브 디렉터 서버를 주요 공격 대상으로 함
'국세청 해킹' 주장한 락빗 랜섬웨어 급증…"조직은 와해 수순"
SK쉴더스 보고서…8월 전체 랜섬웨어 발생 건수는 두 자릿수대 감소 랜섬웨어 '락빗' 피해가 최근 급증했지만, 이 랜셈웨어를 유포하는 해커조직은 와해 수순에 밟고 있다는 보안업체 분석이 나
n.news.naver.com
[김재성의 생체인식 이야기-3] 생체정보 보호기술
- 생체인식기술
- 사람의 지문, 얼굴, 홍채, 정맥 등 신체적인 특징을 통해 생체정보의 취득, 특징점 추출/등록/저장/전송 및 패턴 검증 또는 식별과정을 거쳐 개인의 신원 확인
- 신체 부위에 대한 영상을 취득하는 과정에서 생기는 생체정보는 위변조에 취약
- 불법 밀입국, 생체정보 위변조를 통한 타인의 불법 민원서류 발급 등 보안사고 발생
- 생체정보 위변조 보안위협과 보안 취약점 대두
- 생체정보 보호기술 표준
- ISO/IEC 30107 시리즈 : ITU-T X.1086: 생체인식시스템에서 생체정보 취득·신호처리(특징점 추출)·등록·저장·전송·비교/결정(1:1, 1:N) 과정에서 발생할 수 있는 12가지의 보안 취약점 및 대응방법 정의
- 한국인터넷진흥원/개인정보보호위원회 : 생체정보보호 가이드라인
- 생체정보 보호기술
- 위조지문탐지 기술보고서
- 바이오인식 정보보호를 위한 워터마킹 기능
개인정보 보호법 개정 안내서 초안 공개
지난 9월 15일 시행된 ‘개인정보 보호법’이 현장에서 안정적으로 정착될 수 있도록 마련된 ‘개인정보 보호법 및 시행령 개정 안내서’ 초안이 공개됐다.
www.boannews.com
한 번에 기업 내부정보 싹 털어가는 API 공격, 어떻게 대응하나
- API
- 웹/애플리케이션에서 서버와의 통신을 위해 사용
- 광범위한 접근이 허용
- 구조와 정보를 알아보기 쉬움
- API 공격
- BOAL : 공격자가 데이터를 허락없이 보거나 수정하도록 함, API 동작에 대한 식별을 기존 보안 제어가 하지 못하도록 함
- 사용자 인증 실패: 사용자 인증의 손상으로 공격자는 자격 증명 스터핑 및 무차별 대입 공격을 통해 애플리케이션 액세스 권한을 취득함
- 리소스 부족 및 속도 제한: 데이터를 GET할 때 자격 증명 트래킹 및 토큰 크래킹을 포함해 API에 자동화 공격을 가함
- 보안 구성 오류: 잘못 구성된 HTTP 헤더, 너무 자세한 오류 메세지, 개방형 클라우드 스토리지 등에서 발생하는 취약점
- API 공격 실태
- 지난해 1년 동안 웹 애플리케이션 공격은 2021년에 비해 96.35%가 증가
- 지난 1년간 모니터링한 봇 공격은 총 1,631억 8,500만 건으로, 2021년과 비교해 1.93배 증가
- 최근 API 보안 동향
- 인증과 권한을 우회하거나 이를 도용해 기업의 중요 정보나 고객 정보를 탈취
- 국내 주요 보안기업의 API 보안 솔루션
- 엔시큐어의 노네임시큐리티
- 파이오링크 파이오링크 웹프론트(PIOLINK WEBFRONT-K/KS)
- 펜타시큐리티의 와플스(WAPPLES)
- 아카마이의 Akamai App & API Protector
[추석 보안대작전-4] 한 번에 기업 내부정보 싹 털어가는 API 공격, 어떻게 대응하나
최근 웹 애플리케이션과 API(Application Programming Interface, 응용 프로그래밍 인터페이스) 공격이 크게 증가하고 있는 것으로 분석됐다. API 공격이 증가하는 주된 원인은 기업의 데이터 보관이나 애플
www.boannews.com
스마트폰 앱의 74%, 과다하게 개인정보 수집한다
- 안드로이드 앱의 87%, iOS 앱의 60%가 과다한 개인정보 수집
- 74%의 앱이 전반적으로 많은 정보를 수집
- 14% → 용도와 전혀 관계없는 불필요한 데이터를 수집
- 42% → 앱을 사용하지 않을때에도 사용자의 온라인 활동과 관계된 정보를 수집
- 소셜 네트워킹, 메시지, 내비게이션, 데이팅 앱 등 사용자 사이의 상호작용을 위한 앱들이 가장 많은 불필요한 정보를 수집
- 동아시아가 전 세계에서 가장 많은 불필요한 개인정보를 수집
스마트폰 앱의 74%, 과다하게 개인정보 수집한다
전 세계인들의 필수품, 스마트폰의 앱들이 과다하게 개인정보를 수집하고 있다는 지적이 나왔다. 글로벌 인터넷 보안 업체 노드VPN은 전 세계적으로 가장 인기 있는 18개 카테고리의 앱들이 사용
www.boannews.com
최근 3년간 ‘유출된 개인정보’만 6,505만건에 달한다
- 지난 3년간 총 유출된 개인정보의 건수는 확인된 것만 6,505만 2,232건(55MB 별도)
- 제재 조치의 부과 사유: 개인정보 유출, 안전조치 의무, 개인정보 수집이용제공, 개인정보 파기, 유출 통지 의무
- 과징금 : 구글, 2022년 9월에 692억 4,100만원(개인정보 수집이용제공 위반) > 메타, 308억 600만원(개인정보 수집이용제공 위반)
- 과태료 : 메타, 6,600만원 > 스캐터랩, 4,780만원
최근 3년간 ‘유출된 개인정보’만 6,505만건에 달한다
‘개인정보 보호법’에 의거해 지난 3년간 총 유출된 개인정보의 건수는 확인된 것만 6,505만 2,232건(55MB 별도)에 달했다. 개인정보 보호법은 2011년 3월 29일 제정됐으며, 같은 해 9월 말일에 ‘개인
www.boannews.com
AI로 음성통화 엿듣겠다는 SKT…법적으로 괜찮나
- SKT(통신사업자)의 인공지능 사업전략의 핵심 통신 특화 인공지능
- 에이닷(A.) : 인공지능 기반 개인비서 서비스
- 통화 중 녹음된 대화 내용을 인공지능이 요약, 분석한 뒤 그 내용을 바탕으로 여러 사람간의 일정을 조율하고 식당을 예약하는 등 업무를 대신 수행하 맞춤형 서비스
- 음성통화 내용은 텍스트로 변환한 뒤 통화 녹음 파일은 즉시 파기
- 현행 헌법, 통신비밀보호법, 전기통신사업법, 통신망법 → 통신비밀과 사생활 보호 차원에서 정보·수사기관이 영장(내국인)이나 대통령 허가(외국인)를 받아 ‘감청’을 하는 경우를 제외하고는 남의 통화를 몰래 엿듣는 행위는 물론 엿듣기를 시도하는 것까지 금지
- 당사자들의 명시적인 동의를 받을 경우 예외
- 자신의 음성 데이터가 인공지능 서비스에 활용되는 것을 거부할 권히가 통화 상대방에게까지 보장되기 어려움
- 인공지능 시스템을 제 3자로 볼 수 있는가
- 과기정통부 관계자: 인공지능 시스템을 통화 녹음 및 데이터 활용의 주체로 보긴 어려움
- 개보위 관계자: 음성 통화 데이터가 통화 당사자들의 명시적인 동의 없이 통신서비스 제공 기업의 서버에 저장되거나 인공지능 모델 학습에 사용되면 문제가 될 수 있음
https://www.hani.co.kr/arti/economy/it/1110885.html
[단독] AI로 음성통화 엿듣겠다는 SKT…법적으로 괜찮나
SKT “통화 중 녹음된 통화내용 AI가 요약·분석”‘인공지능을 제3자로 볼 수 있을까’ 의견 엇갈려
www.hani.co.kr
인공지능 인프라에 널리 사용되는 오픈소스에서 위험한 취약점 나와
- 토치서브(Torch Serve) : AWS가 파이토치(PyTorch) 머신러닝 모델 서비스를 위한 오픈소스 도구
- 셸토치(ShellTorch) 취약점 : 인증 과정을 무단으로 통과해 원격 코드 실행 공격을 시행할 수 있도록 해주는 취약점
- 파이토치: 파이썬(Python) 기반의 오픈 소스 머신러닝 라이브러리
- CVE-2023-43654
인공지능 인프라에 널리 사용되는 오픈소스에서 위험한 취약점 나와
보안 외신 시큐리티위크에 의하면 인공지능 인프라에 영향을 줄만한 취약점이 토치서브(TorchServe)라는 도구에서 발견됐다고 한다. 보안 업체 올리고(Oligo)에서 제일 먼저 발견한 것으로, 해당 취
www.boannews.com
새롭게 다크웹에 등장한 다운로더 서비스, 버니로더
- 버니로더(BunnyLoader)
- C, C++로 작성된 멀웨어
- 안티샌드박스 기능을 탑재한 다운로더
- 다운로더를 이용해 추가 멀웨어를 설치하는 게 최근 공격의 유형
- 서비스형 멀웨어(Malware-as-a-Service, MaaS)는 이제 다크웹에서 가장 많이 보이는 사업 형태
- MaaS 운영자들은 돈을 받거나 수익을 일정 비율로 나누는 방식으로 다른 유형의 공격자들과 협업
새롭게 다크웹에 등장한 다운로더 서비스, 버니로더
보안 블로그 시큐리티어페어즈에 의하면 다크웹에 새로운 멀웨어 서비스가 등장했다고 한다. 이 서비스 제공자가 제공하는 멀웨어의 이름은 버니로더(BunnyLoader)라고 하며, 9월 4일부터 다크웹
www.boannews.com
