2023 신시웨이 KICK OFF 현장

검은토끼의 해 ‘계묘년’이 밝았습니다. 신시웨이는 2023년 1월 5일 새해의 시작을 KICK OFF 행사와 함께 맞이하였는데요, 2020년 이후로 3년만에 개최된 KICK OFF 행사였기에 모든 임직원이 3년만에 한자리에 모인 뜻깊은 자리이기도 했습니다.이번 KICK OFF는 강원도 정선에 위치한 하이원 리조트에서 진행되어 서울 본사, 대전지사, 제주지사 각지에서 모인 임직원들이 사무실에서 벗어나 자연을 즐길 수 있었습니다. 본격적인 행사 시작 전 임직원들은 정선 메밀촌막국수에서 점심식사를 하며 이야기를 나누었습니다.식사를 마친 후 하이원리조트에 위치한 원추리홀 연회장에서 행사가 시작되었는데요, KICK OFF를 준비한 경영관리팀의 송종훈 팀장님께서 MC를 맡아 진행하셨습니다. 시작에 앞서 정재훈 대표이사님께서는 신시웨이가 올해 18주년을 맞이할 수 있었던 것은 임직원들의 노고 덕분이며 남은 일정동안 다함께 즐기는 시간이 되길 바란다는 메시지를 직접 전하셨습니다.다음으로는 10년 장기근속자 포상 수여식이 진행되었습니다. 이번 장기근속 포상 대상자는 고객사업부의 김민영 영업대표와 영업기획/Pre-Sales팀의 김지현 선임 매니져, 고객지원1팀의 공문환 팀장, R&D본부의 PETRA CLOUD QA팀의 이호성 팀장, WEB UI팀의 고진아 팀장으로 대표이사님께서 직접 장기근속 포상 황금열쇠를 증정하였습니다.다음 일정으로는 2020년 이후 입사자들의 자기소개가 이어졌습니다. 3년만에 전 임직원이 한자리에 모이는 만큼 그동안 소개할 기회가 없었던 직원을 비롯하여 2023년 신규 입사자 공채3기까지 20여명의 자기소개가 이어졌습니다. 20여명의 자기소개가 모두 개성이 담겨있고 색달라 보는 재미가 있었으며 발표가 끝날때마다 흥미로운 질문들도 이어졌습니다. 발표를 끝낸 후 발표자들에게는 경영관리팀에서 작은 선물을 수여하였습니다.이후 법인차량 승계가 추첨 진행이 이어졌습니다. 리스 기간이 만료되는 법인 차량을 저렴한 가격으로 직원들이 인수할 수 있는 신시웨이의 특별한 복지제도입니다. 이번 승계 대상 차량은 볼보XC60 T6 Inscription으로 대표이사님께서 직접 추첨하셨는데요, 이번 승계에 무려 28명의 임직원이 신청을 하여 28:1의 경쟁률을 뚫고 고객사업부의 김한별 영업대표가 선정되었습니다.이후 9개의 팀으로 나눠 레크레이션 게임이 진행되었습니다. 9개의 팀은 괌, 꺾, 쇼츠, 술, 순산, 쪼봉, 럭키, 정답, 볼보로 각자 개성이 담긴 팀명과 대표직원 1명씩을 정하여 레크레이션을 시작하였습니다. 두뇌회전이 필요한 게임, 순발력이 필요한 게임 등 다양한 게임을 진행하며 각 팀들은 서로 도와주고 이끌어주며 단합하는 모습을 보여주었습니다.특히 화제가 되었던 ‘오징어게임’의 달고나 뽑기게임을 할 때에는 엄청난 집중력을 보여주며 대부분의 팀이 성공하기도 했습니다. 점수가 가장 높은 3개팀을 선정하여 상을 수여하였는데요, 럭키(대표직원: 전서영 선임매니져), 괌(대표직원: 김민영 영업대표), 쪼봉(대표직원: 송지민 선임매니져)조가 각각 1,2,3등을 차지하였습니다.팀별 레크레이션이 끝난 후 장소를 옮겨 개인별 O/X 서바이벌 퀴즈 프로그램이 진행되었습니다. O/X서바이벌 퀴즈는 개인전으로 각 문제에 대한 답으로 O/X를 선택하여 이동하고 맞춘사람만 살아남아 최후의 1인이 남을때까지 진행되었는데요, 신시웨이의 설립연도 문제를 시작으로 신시웨이 제품에 관한 문제와 IT, 역사, 사회 등 다양한 분야의 상식문제들이 출시되었는데요, 최후의 1인은 공채3기로 입사한 송지민 선임매니져가 차지하였습니다.최후의 1인 송지민 매니져에게는 괌 프리미엄 리조트 패키지 4박5일 2인 상품권과 휴가가 제공되어 모든 임직원들이 부러워하기도 했습니다.오후 행사 일정이 완전히 끝난 후 다양한 음식이 준비되어있는 뷔폐를 즐기며 저녁 식사시간을 가졌습니다. 3년여만에 모든 임직원이 한자리에 모여 이야기할 수 있는 뜻깊은 자리였는데요. 2022년 한해 동안의 수고를 서로 다독이고 그동안 이야기해보지 못했던 임직원들간 소통하며 2023년을 더욱 힘차게 시작할 수 있었습니다. 이번 KICK OFF는 1박2일과 2박3일 중 희망하는 일자를 선택하여 진행할 수 있었는데요. 스키,스노우보드,썰매 등의 겨울 액티비티를 희망하는 임직원들은 다음날 1/6(금)에 추가로 액티비티를 즐기는 모습을 보여주며 KICK OFF 일정이 모두 마무리되었습니다. 

신시웨이의 창립기념일을 축하합니다!

*정답*18주년 *당첨자*강*화(7175) 김*우(4087) 김*경(9126) 이*연(8019)이*민(5125) 이*글(7925) 정*원(3866)

2022년, 개인정보보호법에는 어떤 변화가?

개인정보와 관련한 이슈들은 2022년에도 끊이지 않고 발생했으며 개인정보보호위원회에서도 개인정보 보호 관련 법령과 제도 개선을 위한 활동들이 이어졌습니다. 개인정보 보호법 개정안은 2021년 9월 발의되어 1년여만인 2022년 12월5일 국회 정무위 법안소위를 통과하여 본회의를 남겨두고 있습니다.개인정보보호법 개정안에는 ① 디지털 시대의 정보주체 권리 실질화, ② 이원화된 규제정비 및 신기술 성장기반 마련, ③ 글로벌 규제와의 정합성 확보, ④ 개인정보보호 생태계 조성 등을 내용으로 합니다.개인정보보호법 개정안 주요 내용개인정보 전송요구권 신설개인정보 전송요구권이란 정보주체가 본인 정보를 본인 또는 제3자에게 전송요구할 수 있는 권리입니다. 「개인정보 전송요구권」의 신설과 함께 전송 요구의 거절과 전송 중단의 방법 등 구체적 사항이 시행령으로 위임되었으며 이를 통해 정보주체의 개인정보 통제권이 강화되고 마이데이터의 전 분야 확산을 기대해볼 수 있습니다.출처: 2022개인정보보호 연차보고서이원화된 규제의 일원화(정보통신서비스 특례규정 정비)데이터 3법 개정시 정보통신서비스 제공자 대상 개인정보보호 관련 규정을 특례규정으로 단순 이전-병합된 상태로 법 개정이 진행되어 오프라인 규제(일반 규정)와 온라인 규제(특례규정)로 이원화된 법 적용으로 혼선 및 이중부담이 발생하였습니다.따라서 동일행위 동일규제 원칙을 적용하여 정보통신서비스제공자 등에 대한 특례를 일반 규정으로 전환하고 모든 개인정보처리자에게 동일규제를 적용할 예정입니다. 또한 일반 규정과 유사·중복되는 특례 규정은 일반 규정으로 통합·정비하며, 특례적용을 확대하여 특례규정에만 있는 개인정보 이용내역 통지 등을 일반규정으로 전환하여 모든 분야로 확대 적용 예정입니다.또한 정보통신서비스 제공자에게만 적용되던 형벌규정과 개인정보가 유출된 경우의 형벌규정을 삭제하는 대신 과징금 상한액을 상향조정하여 유출 책임을 개인에 대한 형벌 중심에서 기업에 대한 경제적 책임으로 전환하며, 정보통신서비스 제공자에 적용되는 과징금을 개인정보처리자로 확대하였습니다.출처: 2022개인정보보호 연차보고서개인정보 국외이전 방식 다양화개인정보 국외이전 방식과 관련하여 개인정보보호위원회가 인정하는 보호 수준이 높은 국가나 인증을 받은 국가 등에 국외이전을 할 수 있도록 다양화하였습니다. 또한 이전요건을 다양화하고, 관련 위법사항이 발견될 시 개인정보보호위원회에서 개인정보처리자에게 국외이전 중지 명령을 내릴 수 있도록 하는 내용도 추가되었습니다.개인정보 과징금 산정 기준 변화현행 개인정보보호법은 위법행위와 관련된 매출액의 3%를 과징금 상한으로 하고 있습니다. 처음 제안되었던 개인정보보호법 개정안에서는 전체 매출액 3%를 과징금으로 규정하였으나, 기업의 부담이 커질 수 있다는 산업계의 우려를 받아들여 수정되었습니다. 따라서 과징금을 전체 매출액3%로 하되 개인정보보호법 위반행위와 관련 없는 매출액은 제외하고 산정하는 방안으로 변경되었습니다.출처 및 참고자료개인정보보호위원회, 2022개인정보보호 연차보고서

2022 보안 이슈 한눈에보기

2022년 한 해동안은 어떤 보안 이슈들이 발생했을까요? 러시아-우크라이나 전쟁, 멀웨어, 디도스 공격 등 다채로운 사이버 보안 위협들이 발생한 한해였습니다. 이번 콘텐츠에서는 한 해를 마무리하며 그동안 국내·외에서 발생했던 보안 관련 사고와 이슈들을 정리해보았습니다.January“전세계 강타한 아파치 로그4j”전 세계적으로 광범위하게 사용되는 오픈소스 소프트웨어 라이브러리 아파치 로그포제이(log4j2)에서 심각한 보안 취약점이 발견되어 논란이 되었습니다. 로그포제이란 기업 홈페이지 등 인터넷 서비스 운영 관리 목적으로 로그기록을 남기기 위해 사용하는 프로그램입니다. 이번 취약점은 공격 방법이 쉽고 공격자가 노릴만한 대상이 많기 때문에 심각한 피해가 발생할 수 있음을 보안전문가들은 강조하였습니다.“오미크론 변이 관련 대학생 대상 피싱공격 성행"코로나 오미크론 변이가 세계적인 이슈로 떠오르면서 오미크론을 테마로 한 피싱 공격이 성행하기 시작하였습니다. 특히 북미대학을 대상으로 한 시도들이 발견되었습니다. 특히 백신예약, 국민비서 등을 키워드로 하는 피싱공격이 성행하기도 하였습니다. 특히 백신예약, 국민비서 등을 키워드로 하는 피싱공격이 이어졌습니다.February“전세계 IoT장비 1만 1700대 감염”전 세계 72개국 사물인터넷(IoT)장비 1만 1,700대가 ‘Mozi 봇넷’라는 악성코드에 감염된 사실이 확인되었습니다. Mozi 봇넷은 보안에 취약한 비밀번호를 사용하거나 최신 소프트웨어를 사용하지 않는 장비 등을 공격하여 악성코드를 감염시킨 후 감염된 장비를 분산서비스거부(DDoS)공격을 위한 좀비PC로 활용하는 악성코드입니다.“클라우드를 통해 전파되는 멀웨어 급증”‘악성 소프트웨어’의 약자인 멀웨어(Malware)가 클라우드를 통해 전파되는 경우가 많았습니다. 기업들로 유입되는 멀웨어의 2/3가 웹이 아닌 클라우드 애플리케이션에서 나온 것으로 밝혀졌습니다. 클라우드 앱의 편의성과 가격 등으로 인해 공격 수단이 클라우드로 변경된 것으로 유추되었습니다.March“소개팅앱 해킹으로 14만명 회원 개인정보 유출”소개팅 앱 골드스푼이 해킹으로 고객들의 개인정보 유출로 인해 1억 2979만원의 과징금과 1860만원의 과태료를 부과하였습니다. 개인정보위원회에서 확인한 결과 법령 등에서 허용한 경우가 아님에도 주민등록번호가 포함된 신분증, 가족관계증명서 등을 수집하고 이용자에게 동의를 별도로 받지 않고 종교정보를 처리하였습니다. 또한 개인정보 유출 사실을 이용자에게 개별적으로 통지하지 않고, 탈퇴한 이용자의 개인정보를 파기하거나 분리하지 않았습니다.April“랩서스로 불리는 해킹그룹으로부터 공격당한 기업들 다수 발생”해킹그룹 ‘랩서스(Lapsus$)라 불리는 해킹그룹으로부터 엔비디아, 마이크로소프트 등 거대 글로벌 기업들의 데이터가 침해되었으며, 공격을 당한 것으로 추정되는 기업들이 대거 등장하였습니다. 랩서스는 다크웹을 통해 임직원 정보를 구매하거나 계정 유출 기능 악성코드를 유포하는 등 피해 기업 임직원의 계정 정보를 적극적으로 수집한 것으로 나타났습니다. 영국 수사 당국에서는 두명의 10대 청소년을 랩서스에 가담한 혐의로 기소하기도 했습니다.May“전쟁으로 증가한 디도스(DDoS) 공격”분산서비스 거부(DDoS)디도스 공격이 지난 분기에 비해 1분기에 46%증가한 것으로 나타났습니다. 러시아의 우크라이나 침공으로 인해 해커들의 활동이 급격히 늘어난 것으로 보였으며, 디도스 공격의 시간이 수주에 걸칠 정도로 긴 기간임을 보아 표적을 괴롭히기 위한 현상으로 해석하였습니다.June“NFT관련 사이버 공격 증가” 대체불가토큰(NFT)에 대한 관심이 증가하면서 이와 관련한 사이버 공격 역시 증가하였습니다. 사이버 펑크 에입(Cyberpunk Ape)과 관련된 NFT사기극으로 인해 NFT아티스트들이 피해를 입기도 했습니다. 공격자들은 스스로를 사이버 펑크 에입의 운영진으로 가장하고 글을 올려 피해자들이 링크를 클릭하게끔 유도하여 정보탈취 기능이 있는 실행파일을 통해 피해자의 시스템에 멀웨어를 심는 방식이였습니다. 많은 기업들이 NFT를 활용하면서 피해자들의 범위도 커질 것으로 예측됩니다.July“유명아파트 월패드에서 보안 취약점 발견돼”유명 브랜드 아파트에 설치되어있는 스마트홈 월패드에서 보안 취약점이 발견되어 아파트 입주민들의 공포감이 증폭되었습니다. 발견된 월패드 취약점은 스마트홈 애플리케이션이 서버에서 검증을 수행하지 않아 발생하는 인증 우회 취약점으로 심각도가 높으며 공통 취약점 등급 시스템 점수는 7.3점에 이르는 것으로 분석되었습니다. 이번 취약점을 악용할 시 사용자 인증 우회가 가능하기 때문에 월패드 내 보안시스템 구축이 필요한 것으로 나타났습니다.August“메타, 개인정보 처리방침 동의 약관 철회”메타는 국가 기관 및 제3자 등 개인정보 제공 범위를 세분화한 개인정보처리방침을 제시하면서 업데이트 적용 시점까지 동의하지 않은 사용자들의 계정이용 제한을 예고하여 논란이 되었습니다. 이후 메타는 기존 한국사용자에게 요청되고 있는 개인정보처리방침에 대한 동의절차를 철회하였습니다.“정부 사이버 보안 10만인재 양성 추진방안 공개”윤석열 대통령은 사이버 전력과 기술 고도화를 위해 “사이버 보안 10만 인재 양성”정책의 추진방안을 제11회 정보보호의 날 기념식에서 발표하였습니다. 주요 내용은 정보보호 특성화대학 확대 지정 및 사이버 부사관 특화 정보보호 전문 대학을 신설하여 정보보호 인력 규모를 늘리며, S-개발자 프로그램을 추진하는 등 보안인력 교육체계도 확대할 예정임을 강조하였습니다.September“구글플레이에서 악성 앱 발견”35개의 악성 앱이 구글플레이(Google Play)에 등장하였습니다. 200만명의 사용자가 해당 앱들을 다운로드한 것으로 알려졌으며, 해당 앱들은 프로그램 실행 중 광고를 보여주고 비용 납부를 대신하는 애드웨어(Adware)로 사용자들이 이를 설치하면 화면에 광고가 끊임없이 나타나게 됩니다. 애드웨어를 통해 사용자의 기기에 공격자가 원하는 콘텐츠를 노출함으로써 다른 멀웨어도 비슷한 형태로 공격을 감행할 수 있기 때문에 보안기업들은 방어 솔루션을 도입할 것을 권고하였습니다.October“IBM 시큐리티 '2022년 데이터 유출 비용 연구 보고서'에 따르면 한국기업 데이터 유출 피해액 사상 최고 기록”IBM시큐리티의 ‘2022 데이터 유출 비용 연구 보고서’에 따르면 지난 1년간 전 세계 기업은 데이터 유출로 인해 평균 약 60억원의 손실을 기록했으며, 한국 기업은 43억 3,400만원으로 사상 최고 피해액을 기록하였습니다. IBM은 데이터 유출로 인한 피해액을 최소화하기 위해서는 제로트러스트 보안 모델 채택을 권장하였습니다. 실제로 보고서에 따르면 제로트러스트 접근 방식을 도입하지 않은 국내기업의 피해액은 50억원인 반면, 도입 후 성숙기에 접어든 기업의 피해액은 약38억으로 제로트러스트 도입의 중요성이 강조되었습니다.November“네이버 사칭한 피싱메일 다수 발견”국내 포털사이트 네이버의 아이디 보호조치가 실시되었다는 내용의 피싱공격이 다수 발견되어 네이버 사용자들의 각별한 주의가 요구되었습니다. 메일 내용의 링크를 클릭하면 네이버 로그인 화면으로 위장한 피싱 사이트로 이동하게 됩니다. 피싱 사이트가 정상적인 네이버 로그인 페이지와 매우 흡사하여 사용자는 알아채기 쉽지 않으며 네이버 계정 정보가 유출될 수 있어 사용자들의 각별한 주의가 필요했습니다.“북한 해커에서 카카오 사태를 악용한 악성코드 유포”한국인터넷 진흥원(KISA)과 과학기술정보통신부는 카카오에서 배포하는 카카토옥 설치 파일로 위장해 악성 프로그램 설치를 유도하는 해킹 메일을 확인하였습니다. 보안 전문가들은 카카오사태를 악용한 악성코드 유포 배후를 북한으로 지목하였으며, 민관합동체계를 더욱 강화해야 한다고 밝혔습니다.December“영국의 한국에 대한 개인정보보호 적정성 결정 최종 채택”영국의 한국에 대한 '개인정보보호 적정성 결정'이 최종 채택, 발효되었습니다. 이번 결정으로 인해 영국의 개인정보를 국내로 이전하고자 하는 국내기업을 위한 자유롭고 신뢰할 수 있는 데이터 이전의 기반이 마련돼 한국-영국 간 교류 확대를 지원할 수 있게 됐고, 한국의 개인정보보호 체계를 국제적으로 인정받았습니다.

2022 신시웨이 연말 어워즈 수상자를 발표합니다.

인터넷 쇼핑시 주의하세요! 폼재킹(Formjacking)이란?

매년 연말 쇼핑시즌이 다가오면 온라인 쇼핑몰에서 사이버 범죄는 기승을 부리곤 합니다. 특히 온라인을 통한 해외 직구가 늘어나면서 폼재킹 피해를 보는 사례도 늘어나고 있습니다.폼재킹(Formjacking)이란 사용자 결제정보 양식(form)을 중간에서 납치(hijacking)한다는 의미의 합성어 해커들이 온라인 쇼핑몰 등 웹사이트를 악성코드로 미리 감염시키고, 구매자가 물건을 구입할 때 신용카드 등 금융정보를 입력하면 이를 탈취하는 수법입니다. 폼재킹을 통해 소비자들의 직불카드 번호와 유효기간, CVC번호까지 해킹할 수 있기 때문에 매우 위험한 범죄입니다.폼 재킹 공격은 다음과 같은 방식으로 동작합니다.1. 공격자는 미리 쇼핑몰 사이트 등에 침투하여 카드결제 페이지 등에 악성코드를 심어놓습니다.2. 사용자가 로그인하여 쇼핑몰에서 물건을 구매하고 카드 결제 정보를 입력합니다.3. 사용자가 결제하기 등의 버튼을 통해 해당 정보를 쇼핑몰에 제출합니다.4. 공격자는 이때 악성코드를 이용하여 사용자가 쇼핑몰에 전달한 카드정보 등 결제 정보를 복사하여 자신의 서버로 전송합니다.이러한 방식은 새로운 기술에 기반한 공격기법은 아니지만, 폼재킹으로 빼낸 카드정보의 재판매 혹은 이를 이용한 불법 결제 등으로 범죄 수익과 공격 규모가 확대되고 있으며, 정교해지고 있습니다. 또한 폼 재킹은 카드 스키밍과 유사하지만 온라인상에서 발생하는 범죄이기 때문에 더욱 광범위하게 발생할 수 있습니다. ※ 카드 스키밍(card skimming)은 카드판독기를 통해 신용 카드 및 직불 카드에 있는 정보를 불법으로 복사하는 것으로, 한때 사회적 문제가 될 정도로 심각한 범죄 중 하나였습니다.폼 재킹 공격의 실제 사례는?2019년 10월 패션 소매업체 웹사이트의 체크아웃 페이지가 폼재킹 공격으로 인해 피해자가 수천명에 이르는 것으로 추정되었습니다. 또한 2018년 8월에 영국항공 British Airways의 웹사이트와 모바일 어플리케이션이 폼재킹 공격으로 해킹을 당해 고객 카드 결제 정보 약 38만건이 유출되었습니다. 유출된 정보에는 고객이름, 주소, 신용카드 번호 등의 개인정보가 포함되었으며 해커가 얻은 수익은 한화로 192억 이상으로 추정되었습니다. 유명 온라인 결제사이트 티켓마스터(Ticketmaster)는 2017년 9월부터 2018년 6월까지 최대 40,000명의 고객이 폼 재킹 공격을 받았으며, 온라인 소매업체 뉴에그(Newegg)는 2018년 8월과 9월 한달 간 폼 재킹 공격을 받았습니다.폼 재킹은 보안에 취약한 중소규모의 쇼핑몰에서 발생할 가능성이 높으며, 특히 해외쇼핑몰에서 많이 발생하기 때문에 해외쇼핑몰을 자주 이용하는 사용자들은 주의를 기울일 필요가 있습니다. British Airways, Ticketmaster, Newegg는 모두 공급망 공격을 통해 폼재킹으로 인한 피해를 입었으며 대형쇼핑몰이라 할지라도 공급망 공격을 통한 폼재킹 공격이 이루어질 수 있어 주의가 필요합니다.※ 공급망 공격이란 협력업체에서 대기업에 공급하는 소프트웨어의 취약점을 통해 대기업의 시스템으로 간접 침투하는 방식입니다.폼 재킹 예방방법은?쇼핑몰운영자는 사이트 취약점을 수시로 점검해야 하며 공급망 공격 등으로 피해가 발생하지 않도록 협력업체의 소프트웨어 업데이트 발생 시 테스트와 이상 징후에 대한 모니터링을 꼼꼼히 진행해야 합니다. 온라인 쇼핑 유저들은 정기적으로 지불 카드의 세부정보 및 계좌 내역을 모니터링하여 지불하지 않은 결제내역이 있는지 확인하여야 하며 마스킹된 신용카드 사용을 통해 개인정보를 보호할 수도 있습니다. 출처 및 참고자료NAVER 개인정보보호 블로그시만텍 인터넷 보안위협 보고서 제24호

신종 사이버 범죄, 심 스와핑

스마트폰 잠금이 해지된 채로 분실된다면 어떤 일들이 생길까요? 스마트폰은 이제 대표적인 신원 인증 수단으로 자리잡았습니다. 금융, 공공기관 사이트 로그인 시 혹은 계정 비밀번호 분실 시 ARS 혹은 문자메시지 등 2차 인증을 위해 스마트폰은 반드시 필요한 수단입니다. 하지만 휴대폰을 손에 쥐고 있어도 휴대폰이 해킹당할 수 있습니다. 신종 해킹수법 심 스와핑(SIM Swapping)을 통해 가능한 일입니다.가입자 식별 모듈 카드(Subscriber Identity Module)를 뜻하는 SIM은 휴대전화 가입자를 인증하는 장치입니다. SIM카드에는 각각의 고유번호가 있으며 이동통신사에 휴대전화 개통에 필요한 모든 정보가 있기 때문에 다른 휴대전화로 변경하여 사용할 수 있습니다.심 스와핑 해킹방법심 스와핑은 스마트폰 유심정보를 복제하여 피해자의 금융정보 및 개인정보에 접근하는 신종 해킹 방법입니다. 유심의 정보를 복제하여 타인의 핸드폰 정보를 이동시켜 사용할 수 있게 만드는 방법으로 이를 통해 계정 비밀번호를 재설정하고 휴대폰으로 전송되는 2단계 인증을 제어하여 피해자의 수많은 계정 및 디지털 지불 시스템, SNS등에 접근할 수 있습니다.심 스와핑에 사용되는 유심정보를 복제하는 방법으로는 개인정보를 수집한 후 통신사를 통해 유심을 재발급 받을 수 있습니다. 또는 유심칩을 빼내 직접 복사하거나 사용자에게 해킹용 인터넷 주소를 보내 클릭을 유도하여 유심 정보를 빼내는 방법도 있습니다.심 스와핑 해킹은 통신사나 피해자가 피해 사실을 즉각 인지하기가 어렵기 때문에 대응이 어려우며, 사전에 차단하기가 어렵습니다. 스마트폰에 악성코드를 설치해 계정 정보를 유출하는 기존의 해킹은 피해자가 스마트폰을 지니고 있으면 2차 인증을 막을 수 있습니다. 하지만 심 스와핑은 문자메시지, 전화 등 사용자의 권한을 완전히 빼앗기 때문에 대처하기가 어려우며 더 큰 피해를 일으킬 수 있습니다.심 스와핑, 실제 피해 사례는?2018년 미국에서는 가상통화 투자자가 심 스와핑 피해에 대해 통신사 AT&T를 상대로 2억 2400만달러 규모의 소송을 걸었습니다. 미국 FBI인터넷범죄고발센터에 심 스와핑 공격과 관련된 신고 사건 중 2021년 한 해동안 접수된 건은 1611건으로 2018년 1월부터 2020년 11월까지 3년간 접수된 320건에 비해 5배 이상 증가하였습니다. 피해액 또한 2021년도에는 6800만 달러(약 810억원)으로 2018년부터 3년간 발생한 피해액 1200만 달러(약143억원)에 비해 8배 증가하였습니다.심 스와핑은 기존에는 해외에서 주로 발생하였으나 최근에는 국내 피해 사례도 증가하고 있습니다.KBS NEWS 채널, 유심칩 정보 복사해 가상화폐 돈 빼갔다…피해자는 모두 KT통신망 사용2022년 2월 17일 뉴스영상입니다. 피해자는 휴대전화 단말기가 변경되었다는 문자메시지를 받은 후 누군가가 피해자의 SNS와 가상화폐 거래소 사이트에 접속했다는 사실을 확인하였습니다. 피해자는 가상화폐 거래소에 있었던 2억7천만원가량의 금액을 모두 탈취당했습니다. 경찰에서는 유심 정보를 몰래 훔치는 심 스와핑 범죄 사례가 최근 잇달아 발생했다고 하였습니다.또한 2022년 9월부터 도입된 eSIM으로 인해 심 스와핑 수법이 더욱 진화된 형태로 발생할 것으로 경찰에서는 전망하였습니다.※ eSIM이란 SIM카드가 단말기 내에 내장되어 있어 개통신청을 하면 QR코드를 통해 개통이 가능합니다.심 스와핑 예방 방법1. 심 스와핑을 예방하기 위해 SIM카드에 비밀번호를 설정할 수 있습니다. 비밀번호 설정을 통해 통신기기를 재시동하거나 SIM카드를 제거할 때마다 번호를 입력해야 합니다. SMS또는 ARS가 아닌 앱 기반의 2단계 인증을 이용할 수도 있습니다. 심 스와핑으로 로그인을 시도하더라도 앱을 설치하고 인증을 거친 기기에서만 인증이 가능하여 보안강도를 높일 수 있습니다. 2. SMS나 이메일을 통해 출처가 불분명하고 검증되지 않은 첨부파일 및 URL은 클릭하지 않아야 합니다.3. 심 스와핑은 새벽시간대를 이용하여 피해자가 모르는 사이에 범죄피해가 발생하는 경우가 많기 때문에 모바일 백신 프로그램을 활용한 주기적 보안검사를 실시하는 것도 예방 방법입니다.  

산타할아버지! 선물 주세요~

누구나 표적이 될 수 있는 사이버 범죄

코로나 이후 글로벌 사이버 범죄사이버 범죄란 컴퓨터 범죄와 사이버 테러를 포함하는 의미로 사이버 공간에서 발생하는 모든 범죄행위를 칭합니다. 클라우드, AI, 빅데이터 등의 ICT기술 확대와 코로나 이후로 증가한 사이버공간 활용의 확대로 사이버 범죄행위는 나날이 증가하고 있습니다.출처: 사이버시큐리티 벤처스시장조사기관 statista에 따르면 사이버 위협에 대한 인식이 높아지면서 전 세계적으로 사이버 보안시장이 성장할 것으로 보았습니다. 2021년 전 세계 사이버 보안시장 규모는 약 2,179억 달러에서 연평균 9,65%의 성장률로 2026년에는 3,454억달러 규모까지 성장할 것으로 예측하였습니다. 또한 미국의 사이버 보안 연구기업 사이버시큐리티 벤처스(Cybersecurity Ventures)에 따르면 전 세계 사이버 범죄 규모는 2015년 3조억 달러에서 2025년도에는 3배 이상 증가한 10조5,000억 달러에 이를 것으로 추정하였습니다.사이버 공격으로 인한 실제 피해 사례원격 회의, 수업 등에 활용되는 줌 미팅을 제공하는 줌(Zoom)은 하루 이용자 수가 2억명을 돌파하는 등 코로나 이후로 빠르게 성장하였습니다. 그러나 사용자 유출을 악용하여 제3자가 화상회의 또는 원격수업에 들어와 이를 방해하는 줌바밍(Zoombombing)이라 불리는 해킹사건이 세계곳곳에서 발생하였습니다. 미국 텍사스 대학에서 진행된 원격 수업에 외부 이용자가 침입하여 인종차별 발언을 하거나, 싱가포르의 중학교 온라인 수업에서 해커가 음란사진을 올리기도 했습니다. 줌 미팅은 별도의 인터넷 주소나 숫자로 된 회의ID를 통해서만 접속할 수 있기 때문에 다른 경로를 통해 침입한 것으로 유추 되었습니다. 사이버 공격으로 인한 데이터 유출 및 개인정보 유출 피해도 지속적으로 발생하고 있습니다. IBM 시큐리티에서 발표한 ‘2022 데이터 유출 비용 연구 보고서’에 따르면 1년간 세계 550개 주요 기업의 데이터 유출로 인한 피해액이 17년간 조사한 결과 최고수준인 435만달러에 달했습니다. 전 세계적으로 22억명의 사용자를 보유한 페이스북은 5억 3300만명의 개인정보가 유출되기도 했습니다. 원인은 웹 스크래핑에 의한 정보유출로 밝혀졌으며, 웹 스크래핑이란 시스템이나 웹사이트에 있는 데이터 중에서 원하는 데이터를 자동으로 추출하여 수집하는 기술로 해킹과 침해 공격의 시초가 될 수 있는 기술입니다.글로벌 사이버 범죄의 유형랜섬웨어(Ransomware)랜섬웨어는 몸값(Ransom)과 소프트웨어(Software)의 합성어로 전산 시스템이나 데이터를 사용할 수 없게 하고 이를 인질로 금전을 요구하는 악성 코드의 일종입니다. 2021년 랜섬웨어 피해 건수는 2020년 대비 141.7% 증가하였으며, 이에 2022년 2월 과학기술정보통신부와 한국인터넷진흥원은 랜섬웨어 침해사고 주의보를 발령하였습니다. 랜섬웨어 공격은 전 세계적으로 잦은 피해가 발생하고 있으며 피해 금액 또한 점차 확대되고 있어 심각한 범죄로 분류되고 있습니다.피싱(Phishing)코로나 이후로 피싱 공격이 62%이상 증가한 것으로 보고되었습니다. 공격자들은 코로나를 주제로 악성 URL클릭을 유도하여 정보를 탈취하거나 악성코드를 유포하는 사례가 증가하였습니다. 또한 가족, 지인을 사칭하여 송금을 요구하는 수법에서 발전하여 피해자의 스마트폰에 원격제어 애플리케이션 설치를 유도하는 등 수법이 나날이 발전하고 있습니다. 특히 피해자들의 약 85%이상이 40대 이상으로 집계되어 중장년층에게 더욱 주의가 요구되는 범죄입니다.분산서비스 거부 공격(DDoS)분산서비스 거부 공격(Dlistributed Denial of Service attack / 약칭 DDoS)이란 접속량을 폭주시켜 고의로 서버를 터뜨리는 것으로, 특정서버나 네트워크 장비를 대상으로 많은 데이터를 발생시켜 장애를 일으키는 대표적인 서비스 거부 공격입니다. 최근에는 인공지능 스피커, 공유기, 가전기기 등 사물인터넷을 이용한 공격으로 확대되고 있습니다. 미국의 시장조사업체 마켓리서치에 따르면 디도스 공격이 2017년 이후로 지속적으로 증가하는 추세를 살펴볼 때 2028년까지 디도스 보안시장이 연14%의 성장률을 기록해 60억달러 규모를 기록할 것이라 전망하기도 했습니다. 출처 및 참고자료IBM 시큐리티, 2022 데이터 유출 비용 연구 보고서사이버시큐리티 벤처스(CyberSecurityVentures), 전 세계 사이버 범죄 보고서

신시OS 신입사원을 소개합니다.

지난 10월 한달간의 인턴쉽을 거쳐 신시웨이 신시OS팀으로 합류하게 된 분들을 소개합니다. Q. 안녕하세요! 간단한 자기소개 부탁드립니다.최수진: 안녕하세요. 최수진입니다. 현재 sinsiOS 팀에서 프론트엔드 직무를 맡고 있습니다.신아윤: 안녕하세요! 신시OS팀에 입사하게 된 신아윤입니다. 신시웨이에 입사하게 되어 설레기도 하고 긴장도 되지만 잘 적응할 수 있도록 노력하겠습니다. 잘부탁드립니다! Q. 취업하기위해 어떤 준비를 하셨나요?최수진: 풀스택 교육과정을 수료하였으며, 포트폴리오를 만들기 위해 프로젝트에 열중했습니다. 또한 다른 사람 앞에서 발표하거나 주목을 받는 걸 힘들어해서 스피치 연습을 했습니다.신아윤: 개발 경험을 위해 KH정보교육원 풀스택과정을 수료하였습니다. Q. 대학시절 전공을 살려 취업하셨나요?최수진: 아니요. 비전공자였지만, 직업적성검사 결과 나왔던 직업들 중 개발자가 가장 잘 맞을 것 같았습니다. 상상하는 것을 평소 좋아하는데 상상한대로 로직을 꾸리고 그대로 실현되는 것에 매력을 느꼈으며, 활동적이기보단 조용히 앉아서 일하는 것을 좋아하기 때문에 개발자를 선택하게 되었습니다.신아윤: 전공은 컴퓨터공학과가 아니였지만, 평소 IT관련 기술에 대한 동경이 있었고, 프로그램이 구현되어 실질적인 결과물이 도출되는 과정에 큰 흥미를 느껴 개발직군에 도전하게 되었습니다. Q. 한달 간의 인턴십 동안에는 어떤 일을 하셨나요? 인턴기간 동안 기억에 남는 에피소드가 있나요?최수진: UI 구현 및 요구사항에 맞는 기능을 하도록 동적으로 구현하였습니다. 에피소드는 아니지만, 처음 접하는 언어로 구현해야 되었는데요. 그 과정에서 서로 도와주면서 함께 인턴을 한 동기와 친해지게 되었습니다. 인턴 기간이 끝나갈 즘에는 단기간 안에 이렇게까지 친해질 수도 있구나라는 생각이 들었던 거 같아요.신아윤: vue를 활용하여 관리자 기능 명세에 따라 프로토타입을 구현하였습니다. Spa가 처음이어서 이해하기에 조금 어려운 부분이 많았지만 vue.js의 사용법과 vuetify의 컴포넌트에 대한 이해도가 높아져 인턴기간동안 제가 한걸음 더 성장할 수 있는 좋은 계기가 된 것 같습니다. Q. 본인을 한 단어로 표현한다면?최수진: 경주마(?)인 거 같아요. 무언가 하나에 꽂히면 그것만 보고 달려가는 경향이 있어서요. 개발 공부 당시 풀스택 교육과정을 들을 때 비전공자인지라 베이스가 없었는데, 수업을 따라가기 위해 잠자는 시간을 줄여가면서 노력하였습니다. 특히 redux라는 library를 배울 때 상태값 관리에 대한 흐름에 대해 이해하기 처음에는 쉽지 않았는데, 과정을 이해하기 위해 로드맵을 그렸습니다. 그 결과 30명 중 마지막까지 수업을 듣는 12명안에 들 수 있었습니다.신아윤: 저를 한 단어로 표현한다면 파워J라고 말할 수 있을 것 같습니다. 평소 계획하고 정리하는 것을 좋아해서 친구들과 여행갈 때 플래너를 도맡아 하고 있습니다. 이번에도 제주지사에서 한달동안 OJT를 받을 예정인데, 업무외의 시간에 방문할 맛집과 카페를 미리 찾아두었습니다. Q. 본인만의 장점을 어필한다면 무엇이 있나요?최수진: 위에 답변처럼 하나에 빠지면 몰입하는 게 장점인 거 같습니다. 장점이자 단점??신아윤: 저의 가치관은 “실패하는 경험은 없다”입니다. 모든 문제에 직접 부딪히고 경험해 보는 것이 성장의 밑거름이 된다고 생각합니다.Q. 신입사원으로서 앞으로의 다짐/각오 한 말씀 부탁드립니다 최수진: 아직 많이 모자라고 서툴지만 배움을 게을리하지 않고 계속 발전해 나아가서 한 사람 몫 또는 그 이상의 역량을 발휘하는 직원이 되겠습니다.신아윤: 항상 배움의 자세로 노력하며 신시웨이와 함께 개인과 조직의 역량을 동시에 증대시킬 수 있는 사람으로 성장하겠습니다.