2023' 신시웨이 공채3기를 소개합니다.

9명의 새로운 얼굴들이 2023년 신시웨이의 새로운 가족이 되었습니다.서류와 면접전형을 거쳐 선정된 이번 공채3기 신입사원들은 R&D본부4명, 고객본부 5명으로, 1월 2일자로 입사하였습니다. 입사 첫 날 간단한 회사소개와 웰컴키트 전달, 임원진과의 식사자리를 가진 후 본격적으로 교육을 받게 되었고, 앞으로 2개월간 인재교육팀 소속으로 기초 소양 교육 이수 후 각 부서로 배치될 예정입니다. 이번 인터뷰에서는 공채3기를 한눈에 알 수 있는 해시태그 다섯개와 함께 앞으로의 포부를 들려주었습니다.개성이 담긴 해시태그와 열정이 가득한 포부를 통해 9명의 각기 다른 신입사원들을 만나보았습니다. 이제 사회의 첫 발을 내딛은 만큼 긴장과 설렘이 가득할 신입사원들에게 많은 관심과 응원 부탁드립니다.

KISA, 2023 개인정보 7대이슈 전망 발표

빅데이터, 마이데이터, 데이터를 축으로 한 데이터 산업 발전과 개인정보 보호는 떨어질 수 없는 관계입니다. 데이터의 활용도가 높아지면서  개인정보의 중요성과 보호에 대한 필요성이 커지고 있기 때문입니다. 한국인터넷진흥원에서는 개인정보의 보호와 활용을 주제로 최근 동향과 자료를 분석해 16개의 키워드를 도출했으며, 50여명의 전문가 대상 설문조사 등을 거쳐 7대 이슈를 선정하였습니다.01. 마이데이터와 디지털플랫폼정부 구현마이데이터란 정보주체가 본인 정보를 적극 관리·통제하고 이를 신용, 자산, 건강관리 등에 주도적으로 활용하는 것을 의미합니다. 우리나라는 금융, 공공, 보건의료분야를 중심으로 마이데이터 서비스 본격 제공 및 시범서비스를 운영한다고 하였습니다. 특히 전 분야 마이데이터 도입을 위해 법적 근거를 마련하고 분야 간 상이한 데이터 형식 및 전송방식 표준화 등을 추진하고 있습니다. 02. 가명정보 활용 도전과 과제안전한 데이터 활용을 위하여 가명정보의 정의, 가명처리, 결합 등에 대한 법적 근거가 2020년 2월 개인정보 보호법에 신설되었으며, 가명정보 처리 가이드라인 개정(22년 4월), 가명정보 결합 및 반출 등에 관한 고시 개정 추진 등 가명정보의 안전한 활용을 위한 관련 제도 개선이 이어졌습니다. 03. 사업장 디지털화와 근로자 프라이버시CCTV, GPS, 일반업무시스템 등 다양한 디지털 기기를 통한 근로자 개인정보 처리가 증가함에 따라 근로감시 등 개인정보 침해 문제가 우려되기도 합니다. 특히 플랫폼 서비스, 비대면 근무 확산, 기업의 모든 데이터 디지털화됨에 따라 기업 내의 정보보안과 근로자들의 개인정보 보호가 중요해졌습니다. 04. 데이터 현지화 vs 국경 간 자유로운 데이터 이전KISA에서는 데이터 현지화와 국경간 데이터 이전 이슈가 개인정보보호와 관련하여 2023년의 뜨거운 관심사로 떠오를 것으로 예측하였습니다.중국, 러시아 등 일부 국가에서는 자국민의 데이터 보호를 위해 외국기업의 데이터 현지보관을 의무화하는 법제도를 추진하고 있습니다. 한편 OECD, EU 등 국제기구를 중심으로 국가 간 규제 협력 강화 등을 통해 세계 경제 활성화를 위한 자유로운 데이터 이전 추진하고 있습니다. OECD는 개인정보 이전 관련 정책 및 규제 강화는 역외 개인정보 이전 및 처리 비용 증가,운영의 복잡성, 불확실성 증대 등으로 인해 세계 경제 활성화에 악영향을 끼친다고 지적하였습니다. 05. 공공분야 개인정보 보호 조치 대폭 강화공공부문이 행정처리하는 국민의 개인정보는 약 699억건에 달하며, 공공부문의 16.4%는 100만명 이상의 개인정보를 보유하고 있습니다.공공부문의 개인정보 유출 사고는 지속적으로 증가하고 있으며, 공공부문에서 유출된 개인정보가 범죄에 악용되는 등 2차 범죄피해가 발생하기도 합니다. 공공부문은 납세, 복지, 교육, 고용 등 다양한 분야에서 국민의 개인정보를 대규모로 수집, 처리하기 때문에 기술적, 관리적 보안체계에 대한 근본적인 대책이 필요합니다. 06. 빅테크 기업으로부터의 정보주체 권리 보호22년 9월 개인정보보호 위원회는 메타·구글이 이용자 동의 없이 개인정보를 수집하여 온라인 맞춤형 광고에 활용했다는 이유로 과징금 약 1,000억원을 부과하였습니다. 또한 빅테크 기업이 이용자의 개인정보를 수집·이용하는 과정에서 다크패턴을 통한 개인정보 이슈가 발생하기도 했습니다. ※다크패턴이란? 개인정보 처리와 관련해 원래 의도와는 달리 자신에게 해로울 수도 있는 결정을 내리도록 이용자를 유도하는 온라인 인터페이스다크패턴과 같은 범죄 이슈를 막기 위해 애플, 구글 등의 빅테크 기업과 국내외 개인정보위에서는 개인정보 보호를 위한 정책을 추진하고 있으며 관련 법제도를 규율중이라고 합니다. 07. 플랫폼 기업의 책임과 자율규제코로나 팬데믹 이후 오픈마켓 등의 플랫폼 서비스가 급속하게 성장하고 이에 필요한 개인정보 처리에 다양한 이해관계자가 참여하게 됩니다. 최근에는 오픈마켓 플랫폼에서 판매자 계정을 도용한 사기, 개인정보 침해 등의 이슈가 발생하기도 합니다. 이에 개인정보위는 21년 5월 쿠팡 등 7개 오픈마켓 플랫폼 사업자에 대해 안전 인증수단 미적용 등을 이유로 과태료 처분을 내리기도 했습니다.출처 및 참고자료2021 개인정보보호 실태조사, 개인정보보호위원회·한국인터넷진흥원2023 개인정보 7대 이슈전망 보고서, 한국인터넷진흥원

2023 신시웨이 KICK OFF 현장

검은토끼의 해 ‘계묘년’이 밝았습니다. 신시웨이는 2023년 1월 5일 새해의 시작을 KICK OFF 행사와 함께 맞이하였는데요, 2020년 이후로 3년만에 개최된 KICK OFF 행사였기에 모든 임직원이 3년만에 한자리에 모인 뜻깊은 자리이기도 했습니다.이번 KICK OFF는 강원도 정선에 위치한 하이원 리조트에서 진행되어 서울 본사, 대전지사, 제주지사 각지에서 모인 임직원들이 사무실에서 벗어나 자연을 즐길 수 있었습니다. 본격적인 행사 시작 전 임직원들은 정선 메밀촌막국수에서 점심식사를 하며 이야기를 나누었습니다.식사를 마친 후 하이원리조트에 위치한 원추리홀 연회장에서 행사가 시작되었는데요, KICK OFF를 준비한 경영관리팀의 송종훈 팀장님께서 MC를 맡아 진행하셨습니다. 시작에 앞서 정재훈 대표이사님께서는 신시웨이가 올해 18주년을 맞이할 수 있었던 것은 임직원들의 노고 덕분이며 남은 일정동안 다함께 즐기는 시간이 되길 바란다는 메시지를 직접 전하셨습니다.다음으로는 10년 장기근속자 포상 수여식이 진행되었습니다. 이번 장기근속 포상 대상자는 고객사업부의 김민영 영업대표와 영업기획/Pre-Sales팀의 김지현 선임 매니져, 고객지원1팀의 공문환 팀장, R&D본부의 PETRA CLOUD QA팀의 이호성 팀장, WEB UI팀의 고진아 팀장으로 대표이사님께서 직접 장기근속 포상 황금열쇠를 증정하였습니다.다음 일정으로는 2020년 이후 입사자들의 자기소개가 이어졌습니다. 3년만에 전 임직원이 한자리에 모이는 만큼 그동안 소개할 기회가 없었던 직원을 비롯하여 2023년 신규 입사자 공채3기까지 20여명의 자기소개가 이어졌습니다. 20여명의 자기소개가 모두 개성이 담겨있고 색달라 보는 재미가 있었으며 발표가 끝날때마다 흥미로운 질문들도 이어졌습니다. 발표를 끝낸 후 발표자들에게는 경영관리팀에서 작은 선물을 수여하였습니다.이후 법인차량 승계가 추첨 진행이 이어졌습니다. 리스 기간이 만료되는 법인 차량을 저렴한 가격으로 직원들이 인수할 수 있는 신시웨이의 특별한 복지제도입니다. 이번 승계 대상 차량은 볼보XC60 T6 Inscription으로 대표이사님께서 직접 추첨하셨는데요, 이번 승계에 무려 28명의 임직원이 신청을 하여 28:1의 경쟁률을 뚫고 고객사업부의 김한별 영업대표가 선정되었습니다.이후 9개의 팀으로 나눠 레크레이션 게임이 진행되었습니다. 9개의 팀은 괌, 꺾, 쇼츠, 술, 순산, 쪼봉, 럭키, 정답, 볼보로 각자 개성이 담긴 팀명과 대표직원 1명씩을 정하여 레크레이션을 시작하였습니다. 두뇌회전이 필요한 게임, 순발력이 필요한 게임 등 다양한 게임을 진행하며 각 팀들은 서로 도와주고 이끌어주며 단합하는 모습을 보여주었습니다.특히 화제가 되었던 ‘오징어게임’의 달고나 뽑기게임을 할 때에는 엄청난 집중력을 보여주며 대부분의 팀이 성공하기도 했습니다. 점수가 가장 높은 3개팀을 선정하여 상을 수여하였는데요, 럭키(대표직원: 전서영 선임매니져), 괌(대표직원: 김민영 영업대표), 쪼봉(대표직원: 송지민 선임매니져)조가 각각 1,2,3등을 차지하였습니다.팀별 레크레이션이 끝난 후 장소를 옮겨 개인별 O/X 서바이벌 퀴즈 프로그램이 진행되었습니다. O/X서바이벌 퀴즈는 개인전으로 각 문제에 대한 답으로 O/X를 선택하여 이동하고 맞춘사람만 살아남아 최후의 1인이 남을때까지 진행되었는데요, 신시웨이의 설립연도 문제를 시작으로 신시웨이 제품에 관한 문제와 IT, 역사, 사회 등 다양한 분야의 상식문제들이 출시되었는데요, 최후의 1인은 공채3기로 입사한 송지민 선임매니져가 차지하였습니다.최후의 1인 송지민 매니져에게는 괌 프리미엄 리조트 패키지 4박5일 2인 상품권과 휴가가 제공되어 모든 임직원들이 부러워하기도 했습니다.오후 행사 일정이 완전히 끝난 후 다양한 음식이 준비되어있는 뷔폐를 즐기며 저녁 식사시간을 가졌습니다. 3년여만에 모든 임직원이 한자리에 모여 이야기할 수 있는 뜻깊은 자리였는데요. 2022년 한해 동안의 수고를 서로 다독이고 그동안 이야기해보지 못했던 임직원들간 소통하며 2023년을 더욱 힘차게 시작할 수 있었습니다. 이번 KICK OFF는 1박2일과 2박3일 중 희망하는 일자를 선택하여 진행할 수 있었는데요. 스키,스노우보드,썰매 등의 겨울 액티비티를 희망하는 임직원들은 다음날 1/6(금)에 추가로 액티비티를 즐기는 모습을 보여주며 KICK OFF 일정이 모두 마무리되었습니다. 

신시웨이의 창립기념일을 축하합니다!

*정답*18주년 *당첨자*강*화(7175) 김*우(4087) 김*경(9126) 이*연(8019)이*민(5125) 이*글(7925) 정*원(3866)

2022년, 개인정보보호법에는 어떤 변화가?

개인정보와 관련한 이슈들은 2022년에도 끊이지 않고 발생했으며 개인정보보호위원회에서도 개인정보 보호 관련 법령과 제도 개선을 위한 활동들이 이어졌습니다. 개인정보 보호법 개정안은 2021년 9월 발의되어 1년여만인 2022년 12월5일 국회 정무위 법안소위를 통과하여 본회의를 남겨두고 있습니다.개인정보보호법 개정안에는 ① 디지털 시대의 정보주체 권리 실질화, ② 이원화된 규제정비 및 신기술 성장기반 마련, ③ 글로벌 규제와의 정합성 확보, ④ 개인정보보호 생태계 조성 등을 내용으로 합니다.개인정보보호법 개정안 주요 내용개인정보 전송요구권 신설개인정보 전송요구권이란 정보주체가 본인 정보를 본인 또는 제3자에게 전송요구할 수 있는 권리입니다. 「개인정보 전송요구권」의 신설과 함께 전송 요구의 거절과 전송 중단의 방법 등 구체적 사항이 시행령으로 위임되었으며 이를 통해 정보주체의 개인정보 통제권이 강화되고 마이데이터의 전 분야 확산을 기대해볼 수 있습니다.출처: 2022개인정보보호 연차보고서이원화된 규제의 일원화(정보통신서비스 특례규정 정비)데이터 3법 개정시 정보통신서비스 제공자 대상 개인정보보호 관련 규정을 특례규정으로 단순 이전-병합된 상태로 법 개정이 진행되어 오프라인 규제(일반 규정)와 온라인 규제(특례규정)로 이원화된 법 적용으로 혼선 및 이중부담이 발생하였습니다.따라서 동일행위 동일규제 원칙을 적용하여 정보통신서비스제공자 등에 대한 특례를 일반 규정으로 전환하고 모든 개인정보처리자에게 동일규제를 적용할 예정입니다. 또한 일반 규정과 유사·중복되는 특례 규정은 일반 규정으로 통합·정비하며, 특례적용을 확대하여 특례규정에만 있는 개인정보 이용내역 통지 등을 일반규정으로 전환하여 모든 분야로 확대 적용 예정입니다.또한 정보통신서비스 제공자에게만 적용되던 형벌규정과 개인정보가 유출된 경우의 형벌규정을 삭제하는 대신 과징금 상한액을 상향조정하여 유출 책임을 개인에 대한 형벌 중심에서 기업에 대한 경제적 책임으로 전환하며, 정보통신서비스 제공자에 적용되는 과징금을 개인정보처리자로 확대하였습니다.출처: 2022개인정보보호 연차보고서개인정보 국외이전 방식 다양화개인정보 국외이전 방식과 관련하여 개인정보보호위원회가 인정하는 보호 수준이 높은 국가나 인증을 받은 국가 등에 국외이전을 할 수 있도록 다양화하였습니다. 또한 이전요건을 다양화하고, 관련 위법사항이 발견될 시 개인정보보호위원회에서 개인정보처리자에게 국외이전 중지 명령을 내릴 수 있도록 하는 내용도 추가되었습니다.개인정보 과징금 산정 기준 변화현행 개인정보보호법은 위법행위와 관련된 매출액의 3%를 과징금 상한으로 하고 있습니다. 처음 제안되었던 개인정보보호법 개정안에서는 전체 매출액 3%를 과징금으로 규정하였으나, 기업의 부담이 커질 수 있다는 산업계의 우려를 받아들여 수정되었습니다. 따라서 과징금을 전체 매출액3%로 하되 개인정보보호법 위반행위와 관련 없는 매출액은 제외하고 산정하는 방안으로 변경되었습니다.출처 및 참고자료개인정보보호위원회, 2022개인정보보호 연차보고서

2022 보안 이슈 한눈에보기

2022년 한 해동안은 어떤 보안 이슈들이 발생했을까요? 러시아-우크라이나 전쟁, 멀웨어, 디도스 공격 등 다채로운 사이버 보안 위협들이 발생한 한해였습니다. 이번 콘텐츠에서는 한 해를 마무리하며 그동안 국내·외에서 발생했던 보안 관련 사고와 이슈들을 정리해보았습니다.January“전세계 강타한 아파치 로그4j”전 세계적으로 광범위하게 사용되는 오픈소스 소프트웨어 라이브러리 아파치 로그포제이(log4j2)에서 심각한 보안 취약점이 발견되어 논란이 되었습니다. 로그포제이란 기업 홈페이지 등 인터넷 서비스 운영 관리 목적으로 로그기록을 남기기 위해 사용하는 프로그램입니다. 이번 취약점은 공격 방법이 쉽고 공격자가 노릴만한 대상이 많기 때문에 심각한 피해가 발생할 수 있음을 보안전문가들은 강조하였습니다.“오미크론 변이 관련 대학생 대상 피싱공격 성행"코로나 오미크론 변이가 세계적인 이슈로 떠오르면서 오미크론을 테마로 한 피싱 공격이 성행하기 시작하였습니다. 특히 북미대학을 대상으로 한 시도들이 발견되었습니다. 특히 백신예약, 국민비서 등을 키워드로 하는 피싱공격이 성행하기도 하였습니다. 특히 백신예약, 국민비서 등을 키워드로 하는 피싱공격이 이어졌습니다.February“전세계 IoT장비 1만 1700대 감염”전 세계 72개국 사물인터넷(IoT)장비 1만 1,700대가 ‘Mozi 봇넷’라는 악성코드에 감염된 사실이 확인되었습니다. Mozi 봇넷은 보안에 취약한 비밀번호를 사용하거나 최신 소프트웨어를 사용하지 않는 장비 등을 공격하여 악성코드를 감염시킨 후 감염된 장비를 분산서비스거부(DDoS)공격을 위한 좀비PC로 활용하는 악성코드입니다.“클라우드를 통해 전파되는 멀웨어 급증”‘악성 소프트웨어’의 약자인 멀웨어(Malware)가 클라우드를 통해 전파되는 경우가 많았습니다. 기업들로 유입되는 멀웨어의 2/3가 웹이 아닌 클라우드 애플리케이션에서 나온 것으로 밝혀졌습니다. 클라우드 앱의 편의성과 가격 등으로 인해 공격 수단이 클라우드로 변경된 것으로 유추되었습니다.March“소개팅앱 해킹으로 14만명 회원 개인정보 유출”소개팅 앱 골드스푼이 해킹으로 고객들의 개인정보 유출로 인해 1억 2979만원의 과징금과 1860만원의 과태료를 부과하였습니다. 개인정보위원회에서 확인한 결과 법령 등에서 허용한 경우가 아님에도 주민등록번호가 포함된 신분증, 가족관계증명서 등을 수집하고 이용자에게 동의를 별도로 받지 않고 종교정보를 처리하였습니다. 또한 개인정보 유출 사실을 이용자에게 개별적으로 통지하지 않고, 탈퇴한 이용자의 개인정보를 파기하거나 분리하지 않았습니다.April“랩서스로 불리는 해킹그룹으로부터 공격당한 기업들 다수 발생”해킹그룹 ‘랩서스(Lapsus$)라 불리는 해킹그룹으로부터 엔비디아, 마이크로소프트 등 거대 글로벌 기업들의 데이터가 침해되었으며, 공격을 당한 것으로 추정되는 기업들이 대거 등장하였습니다. 랩서스는 다크웹을 통해 임직원 정보를 구매하거나 계정 유출 기능 악성코드를 유포하는 등 피해 기업 임직원의 계정 정보를 적극적으로 수집한 것으로 나타났습니다. 영국 수사 당국에서는 두명의 10대 청소년을 랩서스에 가담한 혐의로 기소하기도 했습니다.May“전쟁으로 증가한 디도스(DDoS) 공격”분산서비스 거부(DDoS)디도스 공격이 지난 분기에 비해 1분기에 46%증가한 것으로 나타났습니다. 러시아의 우크라이나 침공으로 인해 해커들의 활동이 급격히 늘어난 것으로 보였으며, 디도스 공격의 시간이 수주에 걸칠 정도로 긴 기간임을 보아 표적을 괴롭히기 위한 현상으로 해석하였습니다.June“NFT관련 사이버 공격 증가” 대체불가토큰(NFT)에 대한 관심이 증가하면서 이와 관련한 사이버 공격 역시 증가하였습니다. 사이버 펑크 에입(Cyberpunk Ape)과 관련된 NFT사기극으로 인해 NFT아티스트들이 피해를 입기도 했습니다. 공격자들은 스스로를 사이버 펑크 에입의 운영진으로 가장하고 글을 올려 피해자들이 링크를 클릭하게끔 유도하여 정보탈취 기능이 있는 실행파일을 통해 피해자의 시스템에 멀웨어를 심는 방식이였습니다. 많은 기업들이 NFT를 활용하면서 피해자들의 범위도 커질 것으로 예측됩니다.July“유명아파트 월패드에서 보안 취약점 발견돼”유명 브랜드 아파트에 설치되어있는 스마트홈 월패드에서 보안 취약점이 발견되어 아파트 입주민들의 공포감이 증폭되었습니다. 발견된 월패드 취약점은 스마트홈 애플리케이션이 서버에서 검증을 수행하지 않아 발생하는 인증 우회 취약점으로 심각도가 높으며 공통 취약점 등급 시스템 점수는 7.3점에 이르는 것으로 분석되었습니다. 이번 취약점을 악용할 시 사용자 인증 우회가 가능하기 때문에 월패드 내 보안시스템 구축이 필요한 것으로 나타났습니다.August“메타, 개인정보 처리방침 동의 약관 철회”메타는 국가 기관 및 제3자 등 개인정보 제공 범위를 세분화한 개인정보처리방침을 제시하면서 업데이트 적용 시점까지 동의하지 않은 사용자들의 계정이용 제한을 예고하여 논란이 되었습니다. 이후 메타는 기존 한국사용자에게 요청되고 있는 개인정보처리방침에 대한 동의절차를 철회하였습니다.“정부 사이버 보안 10만인재 양성 추진방안 공개”윤석열 대통령은 사이버 전력과 기술 고도화를 위해 “사이버 보안 10만 인재 양성”정책의 추진방안을 제11회 정보보호의 날 기념식에서 발표하였습니다. 주요 내용은 정보보호 특성화대학 확대 지정 및 사이버 부사관 특화 정보보호 전문 대학을 신설하여 정보보호 인력 규모를 늘리며, S-개발자 프로그램을 추진하는 등 보안인력 교육체계도 확대할 예정임을 강조하였습니다.September“구글플레이에서 악성 앱 발견”35개의 악성 앱이 구글플레이(Google Play)에 등장하였습니다. 200만명의 사용자가 해당 앱들을 다운로드한 것으로 알려졌으며, 해당 앱들은 프로그램 실행 중 광고를 보여주고 비용 납부를 대신하는 애드웨어(Adware)로 사용자들이 이를 설치하면 화면에 광고가 끊임없이 나타나게 됩니다. 애드웨어를 통해 사용자의 기기에 공격자가 원하는 콘텐츠를 노출함으로써 다른 멀웨어도 비슷한 형태로 공격을 감행할 수 있기 때문에 보안기업들은 방어 솔루션을 도입할 것을 권고하였습니다.October“IBM 시큐리티 '2022년 데이터 유출 비용 연구 보고서'에 따르면 한국기업 데이터 유출 피해액 사상 최고 기록”IBM시큐리티의 ‘2022 데이터 유출 비용 연구 보고서’에 따르면 지난 1년간 전 세계 기업은 데이터 유출로 인해 평균 약 60억원의 손실을 기록했으며, 한국 기업은 43억 3,400만원으로 사상 최고 피해액을 기록하였습니다. IBM은 데이터 유출로 인한 피해액을 최소화하기 위해서는 제로트러스트 보안 모델 채택을 권장하였습니다. 실제로 보고서에 따르면 제로트러스트 접근 방식을 도입하지 않은 국내기업의 피해액은 50억원인 반면, 도입 후 성숙기에 접어든 기업의 피해액은 약38억으로 제로트러스트 도입의 중요성이 강조되었습니다.November“네이버 사칭한 피싱메일 다수 발견”국내 포털사이트 네이버의 아이디 보호조치가 실시되었다는 내용의 피싱공격이 다수 발견되어 네이버 사용자들의 각별한 주의가 요구되었습니다. 메일 내용의 링크를 클릭하면 네이버 로그인 화면으로 위장한 피싱 사이트로 이동하게 됩니다. 피싱 사이트가 정상적인 네이버 로그인 페이지와 매우 흡사하여 사용자는 알아채기 쉽지 않으며 네이버 계정 정보가 유출될 수 있어 사용자들의 각별한 주의가 필요했습니다.“북한 해커에서 카카오 사태를 악용한 악성코드 유포”한국인터넷 진흥원(KISA)과 과학기술정보통신부는 카카오에서 배포하는 카카토옥 설치 파일로 위장해 악성 프로그램 설치를 유도하는 해킹 메일을 확인하였습니다. 보안 전문가들은 카카오사태를 악용한 악성코드 유포 배후를 북한으로 지목하였으며, 민관합동체계를 더욱 강화해야 한다고 밝혔습니다.December“영국의 한국에 대한 개인정보보호 적정성 결정 최종 채택”영국의 한국에 대한 '개인정보보호 적정성 결정'이 최종 채택, 발효되었습니다. 이번 결정으로 인해 영국의 개인정보를 국내로 이전하고자 하는 국내기업을 위한 자유롭고 신뢰할 수 있는 데이터 이전의 기반이 마련돼 한국-영국 간 교류 확대를 지원할 수 있게 됐고, 한국의 개인정보보호 체계를 국제적으로 인정받았습니다.

2022 신시웨이 연말 어워즈 수상자를 발표합니다.

인터넷 쇼핑시 주의하세요! 폼재킹(Formjacking)이란?

매년 연말 쇼핑시즌이 다가오면 온라인 쇼핑몰에서 사이버 범죄는 기승을 부리곤 합니다. 특히 온라인을 통한 해외 직구가 늘어나면서 폼재킹 피해를 보는 사례도 늘어나고 있습니다.폼재킹(Formjacking)이란 사용자 결제정보 양식(form)을 중간에서 납치(hijacking)한다는 의미의 합성어 해커들이 온라인 쇼핑몰 등 웹사이트를 악성코드로 미리 감염시키고, 구매자가 물건을 구입할 때 신용카드 등 금융정보를 입력하면 이를 탈취하는 수법입니다. 폼재킹을 통해 소비자들의 직불카드 번호와 유효기간, CVC번호까지 해킹할 수 있기 때문에 매우 위험한 범죄입니다.폼 재킹 공격은 다음과 같은 방식으로 동작합니다.1. 공격자는 미리 쇼핑몰 사이트 등에 침투하여 카드결제 페이지 등에 악성코드를 심어놓습니다.2. 사용자가 로그인하여 쇼핑몰에서 물건을 구매하고 카드 결제 정보를 입력합니다.3. 사용자가 결제하기 등의 버튼을 통해 해당 정보를 쇼핑몰에 제출합니다.4. 공격자는 이때 악성코드를 이용하여 사용자가 쇼핑몰에 전달한 카드정보 등 결제 정보를 복사하여 자신의 서버로 전송합니다.이러한 방식은 새로운 기술에 기반한 공격기법은 아니지만, 폼재킹으로 빼낸 카드정보의 재판매 혹은 이를 이용한 불법 결제 등으로 범죄 수익과 공격 규모가 확대되고 있으며, 정교해지고 있습니다. 또한 폼 재킹은 카드 스키밍과 유사하지만 온라인상에서 발생하는 범죄이기 때문에 더욱 광범위하게 발생할 수 있습니다. ※ 카드 스키밍(card skimming)은 카드판독기를 통해 신용 카드 및 직불 카드에 있는 정보를 불법으로 복사하는 것으로, 한때 사회적 문제가 될 정도로 심각한 범죄 중 하나였습니다.폼 재킹 공격의 실제 사례는?2019년 10월 패션 소매업체 웹사이트의 체크아웃 페이지가 폼재킹 공격으로 인해 피해자가 수천명에 이르는 것으로 추정되었습니다. 또한 2018년 8월에 영국항공 British Airways의 웹사이트와 모바일 어플리케이션이 폼재킹 공격으로 해킹을 당해 고객 카드 결제 정보 약 38만건이 유출되었습니다. 유출된 정보에는 고객이름, 주소, 신용카드 번호 등의 개인정보가 포함되었으며 해커가 얻은 수익은 한화로 192억 이상으로 추정되었습니다. 유명 온라인 결제사이트 티켓마스터(Ticketmaster)는 2017년 9월부터 2018년 6월까지 최대 40,000명의 고객이 폼 재킹 공격을 받았으며, 온라인 소매업체 뉴에그(Newegg)는 2018년 8월과 9월 한달 간 폼 재킹 공격을 받았습니다.폼 재킹은 보안에 취약한 중소규모의 쇼핑몰에서 발생할 가능성이 높으며, 특히 해외쇼핑몰에서 많이 발생하기 때문에 해외쇼핑몰을 자주 이용하는 사용자들은 주의를 기울일 필요가 있습니다. British Airways, Ticketmaster, Newegg는 모두 공급망 공격을 통해 폼재킹으로 인한 피해를 입었으며 대형쇼핑몰이라 할지라도 공급망 공격을 통한 폼재킹 공격이 이루어질 수 있어 주의가 필요합니다.※ 공급망 공격이란 협력업체에서 대기업에 공급하는 소프트웨어의 취약점을 통해 대기업의 시스템으로 간접 침투하는 방식입니다.폼 재킹 예방방법은?쇼핑몰운영자는 사이트 취약점을 수시로 점검해야 하며 공급망 공격 등으로 피해가 발생하지 않도록 협력업체의 소프트웨어 업데이트 발생 시 테스트와 이상 징후에 대한 모니터링을 꼼꼼히 진행해야 합니다. 온라인 쇼핑 유저들은 정기적으로 지불 카드의 세부정보 및 계좌 내역을 모니터링하여 지불하지 않은 결제내역이 있는지 확인하여야 하며 마스킹된 신용카드 사용을 통해 개인정보를 보호할 수도 있습니다. 출처 및 참고자료NAVER 개인정보보호 블로그시만텍 인터넷 보안위협 보고서 제24호

신종 사이버 범죄, 심 스와핑

스마트폰 잠금이 해지된 채로 분실된다면 어떤 일들이 생길까요? 스마트폰은 이제 대표적인 신원 인증 수단으로 자리잡았습니다. 금융, 공공기관 사이트 로그인 시 혹은 계정 비밀번호 분실 시 ARS 혹은 문자메시지 등 2차 인증을 위해 스마트폰은 반드시 필요한 수단입니다. 하지만 휴대폰을 손에 쥐고 있어도 휴대폰이 해킹당할 수 있습니다. 신종 해킹수법 심 스와핑(SIM Swapping)을 통해 가능한 일입니다.가입자 식별 모듈 카드(Subscriber Identity Module)를 뜻하는 SIM은 휴대전화 가입자를 인증하는 장치입니다. SIM카드에는 각각의 고유번호가 있으며 이동통신사에 휴대전화 개통에 필요한 모든 정보가 있기 때문에 다른 휴대전화로 변경하여 사용할 수 있습니다.심 스와핑 해킹방법심 스와핑은 스마트폰 유심정보를 복제하여 피해자의 금융정보 및 개인정보에 접근하는 신종 해킹 방법입니다. 유심의 정보를 복제하여 타인의 핸드폰 정보를 이동시켜 사용할 수 있게 만드는 방법으로 이를 통해 계정 비밀번호를 재설정하고 휴대폰으로 전송되는 2단계 인증을 제어하여 피해자의 수많은 계정 및 디지털 지불 시스템, SNS등에 접근할 수 있습니다.심 스와핑에 사용되는 유심정보를 복제하는 방법으로는 개인정보를 수집한 후 통신사를 통해 유심을 재발급 받을 수 있습니다. 또는 유심칩을 빼내 직접 복사하거나 사용자에게 해킹용 인터넷 주소를 보내 클릭을 유도하여 유심 정보를 빼내는 방법도 있습니다.심 스와핑 해킹은 통신사나 피해자가 피해 사실을 즉각 인지하기가 어렵기 때문에 대응이 어려우며, 사전에 차단하기가 어렵습니다. 스마트폰에 악성코드를 설치해 계정 정보를 유출하는 기존의 해킹은 피해자가 스마트폰을 지니고 있으면 2차 인증을 막을 수 있습니다. 하지만 심 스와핑은 문자메시지, 전화 등 사용자의 권한을 완전히 빼앗기 때문에 대처하기가 어려우며 더 큰 피해를 일으킬 수 있습니다.심 스와핑, 실제 피해 사례는?2018년 미국에서는 가상통화 투자자가 심 스와핑 피해에 대해 통신사 AT&T를 상대로 2억 2400만달러 규모의 소송을 걸었습니다. 미국 FBI인터넷범죄고발센터에 심 스와핑 공격과 관련된 신고 사건 중 2021년 한 해동안 접수된 건은 1611건으로 2018년 1월부터 2020년 11월까지 3년간 접수된 320건에 비해 5배 이상 증가하였습니다. 피해액 또한 2021년도에는 6800만 달러(약 810억원)으로 2018년부터 3년간 발생한 피해액 1200만 달러(약143억원)에 비해 8배 증가하였습니다.심 스와핑은 기존에는 해외에서 주로 발생하였으나 최근에는 국내 피해 사례도 증가하고 있습니다.KBS NEWS 채널, 유심칩 정보 복사해 가상화폐 돈 빼갔다…피해자는 모두 KT통신망 사용2022년 2월 17일 뉴스영상입니다. 피해자는 휴대전화 단말기가 변경되었다는 문자메시지를 받은 후 누군가가 피해자의 SNS와 가상화폐 거래소 사이트에 접속했다는 사실을 확인하였습니다. 피해자는 가상화폐 거래소에 있었던 2억7천만원가량의 금액을 모두 탈취당했습니다. 경찰에서는 유심 정보를 몰래 훔치는 심 스와핑 범죄 사례가 최근 잇달아 발생했다고 하였습니다.또한 2022년 9월부터 도입된 eSIM으로 인해 심 스와핑 수법이 더욱 진화된 형태로 발생할 것으로 경찰에서는 전망하였습니다.※ eSIM이란 SIM카드가 단말기 내에 내장되어 있어 개통신청을 하면 QR코드를 통해 개통이 가능합니다.심 스와핑 예방 방법1. 심 스와핑을 예방하기 위해 SIM카드에 비밀번호를 설정할 수 있습니다. 비밀번호 설정을 통해 통신기기를 재시동하거나 SIM카드를 제거할 때마다 번호를 입력해야 합니다. SMS또는 ARS가 아닌 앱 기반의 2단계 인증을 이용할 수도 있습니다. 심 스와핑으로 로그인을 시도하더라도 앱을 설치하고 인증을 거친 기기에서만 인증이 가능하여 보안강도를 높일 수 있습니다. 2. SMS나 이메일을 통해 출처가 불분명하고 검증되지 않은 첨부파일 및 URL은 클릭하지 않아야 합니다.3. 심 스와핑은 새벽시간대를 이용하여 피해자가 모르는 사이에 범죄피해가 발생하는 경우가 많기 때문에 모바일 백신 프로그램을 활용한 주기적 보안검사를 실시하는 것도 예방 방법입니다.  

산타할아버지! 선물 주세요~