-
IT·보안
챗GPT-4의 등장, 달라진 점과 한계점은?
업그레이드된 챗GPT-4, 어떤 점이 달라졌을까? 3월 14일, 챗GPT-3.5가 공개된지 4개월만에 오픈AI에서는 챗GPT-4를 공개하였습니다. GPT-4에서는 냉장고 안의 재료 사진을 입력하면 바로 재료로 만들 수 있는 음식을 보여줍니다. 이처럼 기존 GPT-3.5에서는 텍스트만 인식하였지만, GPT-4는 영상과 이미지까지 여러 데이터 형태를 인식하는 멀티모달(복합 정보 처리)모델입니다. 마치 사람의 눈처럼 이미지를 인식하여 이를 활용하여 대화를 할 수 있다는 점인데요, 이를 활용하여 오픈AI의 파트너사 비마이아이즈(Be My Eyes)에서는 GPT-4기반 가상 자원봉사자 서비스를 개발하고 있기도 합니다. 또한 처리할 수 있는 단어의 수가 8배 늘어 약 2만5000개의 단어를 기억할 수 있으며, 사실성 평가에서 40%높은 점수를 받는 등 정확도가 올랐습니다. 특히 한국어를 비롯한 영어가 아닌 언어 성능이 높아졌습니다. 한국어 정확도가 77%까지 개선되었으며, 26개의 언어를 지원합니다.“조선왕족실록에 기록된 세종대왕 맥북프로 던짐 사건에 대해 알려줘” 챗GPT-3.5에 입력했을 때 실제 있었던 것처럼 답변이 나오는 사례로 유명해진 문장입니다.오픈AI에 따르면 GPT-4가 더 많은 매개변수를 갖췄으며, GPT-3.5에 비해 정확도가 40%이상 개선되어, 거짓 정보나 잘못된 내용을 생성할 확률이 60%적다고 하였습니다. 오류가 있는 데이터를 학습하여 틀린 답변을 제시하는 현상을 할루시네이션(hallucination)이라고 합니다. 챗GPT-4에서는 이와 같은 할루시네이션 현상이 줄어들었다고 합니다.실제하지 않는 세종대왕 맥북프로 던짐 사건에 대한 GPT-3.5와 GPT-4의 답변 차이이렇듯 이전보다 업그레이드된 챗GPT-4의 등장으로 활용범위가 더욱 넓어질 것으로 예상되며, 챗GPT의 유료 구독 서비스 ‘챗GPT플러스’와 마이크로소프트의 Bing 검색엔진에서 이용이 가능합니다.챗GPT-4의 보안 문제챗GPT-4의 등장으로 AI기술경쟁이 달아오를 것으로 예상되는데요, 그러나 사이버 보안 문제를 빼놓을 수 없습니다. 보안 업체 체크포인트(Check Point)에 의하면 이미 다크웹 내 포럼에서 활동하는 사이버 범죄자들이 챗GPT를 악성공격에 활용한 사례들이 공유되고 있다고 보고서를 통해 밝혔습니다. 체크포인트 보고서에 따르면 챗GPT를 통해 악성코드나 피싱 사이트 제작을 위한 코드를 만드는 방법이 다크웹에서 공유되었습니다. 악성코드나 해킹 프로그램을 제작해본 경험이 없는 사람도 챗GPT를 활용하여 생성할 수 있습니다. 따라서 코딩 경험이 없어도 챗GPT를 통해 파일을 암호화하고 해독하는 생성하며, 이를 랜섬웨어로 활용할 수 있습니다.또한 기업에서 프로젝트에 활용할 용도로 작업하는 과정에서 기밀성 내용을 언급할 경우 이러한 정보가 유출될 가능성이 있습니다. 이에 월마트 글로벌 테크에서는 챗GPT 등 AI챗봇과 회사에 대해 어떠한 정보도 공유하는 것을 금지하였습니다. 아마존에서는 이미 직원들에게 기밀정보나 자사에서 개발중인 프로그램을 입력하지 않도록 주의하였습니다.챗GPT-4의 등장이 우리의 삶을 더 편리하게 해줄 수 있겠지만, 아직까지는 부정확한 답변이 있을 수 있으며, 허위정보 유포, 사이버 공격에의 사용 등 해결해야 할 과제가 있습니다. 오픈 AI에서는 업그레이드된 GPT모델을 계속해서 발표할 것으로 예상되는데요, 앞으로 이런 점들이 어떻게 보완되어 다음 버전이 나타날지 지켜봐야 할 것 같습니다.OPEN AI
-
- 23.03.31
-
IT·보안
개인정보보호법 제2차 개정안 국회 본회의 통과
개인정보를 수집, 이용, 제공, 관리하는 모든 기업이 준수해야 하는 법, 개인정보보호법입니다. 개인정보보호법은 정보통신기술(ICT)의 발전과 함께 안전한 개인정보의 수집·활용을 위해 반드시 필요하기도 합니다. 이번 개인정보보호법 2차 개정안은 개인정보보호위원회에서 2021.09에 처음 제안하였으며 2023.02.27에 국회 본회의를 통과하여 2023.03.07에 국무회의에서 의결되었습니다. 2차 개정안이 국회 본회의를 통과하였습니다. 이번 국회 본회의 통과 후 개정안은 정부 이송, 국무회의 의결 등의 절차를 거쳐 공포되며, 공포일로부터 각 제도별로 6개월 내지 2년이 경과한 날부터 시행될 예정입니다. 개인정보 전송 요구권 도입 정보주체가 다른 사람, 기관 또는 자신에게 개인정보를 전송할 것을 요구할 수 있는 권리인 ‘개인정보 전송 요구권’을 신설하고 개인정보보호위원회 등이 지정하는 ‘개인정보관리 전문기관’이 이러한 권리의 행사를 지원할 수 있도록 하는 내용이 포함되었습니다. 제35조의2(개인정보의 전송 요구) ① 정보주체는 개인정보 처리 능력 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대하여 다음 각 호의 요건을 모두 충족하는 개인정보를 자신에게로 전송할 것을 요구할 수 있다. 1. 정보주체가 전송을 요구하는 개인정보가 정보주체 본인에 관한 개인정보로서 다음 각 목의 어느 하나에 해당하는 정보일 것 가. 제15조제1항제1호, 제23조제1항제1호 또는 제24조제1항제1호에 따른 동의를 받아 처리되는 개인정보 나. 제15조제1항제4호에 따라 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 처리되는 개인정보 다. 제15조제1항제2호ㆍ제3호, 제23조제1항제2호 또는 제24조제1항제2호에 따라 처리되는 개인정보 중 정보주체의 이익이나 공익적 목적을 위하여 관계 중앙행정기관의 장의 요청에 따라 보호위원회가 심의ㆍ의결하여 전송 요구의 대상으로 지정한 개인정보 2. 전송을 요구하는 개인정보가 개인정보처리자가 수집한 개인정보를 기초로 분석ㆍ가공하여 별도로 생성한 정보가 아닐 것 3. 전송을 요구하는 개인정보가 컴퓨터 등 정보처리장치로 처리되는 개인정보일 것 과징금·벌칙 규정 정비 과징금 규정 통합 가명정보 처리 관련 위반, 주민등록번호 유출, 정보통신서비스 제공자등 특례에 따른 과징금을 각각 다른 조항에서 규정하고 있으나, 이번 개정에서는 분산된 과징금 규정을 통합하여 온·오프라인 사업자 모두에게 동일하게 적용되는 과징금 규정을 신설하였습니다. 제64조의2(과징금의 부과) ① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 20억원을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. 과징금 상한 기준 변경 현행법이 과징금의 상한을 위반행위 관련 매출액의 3%이하로 정하던 것을 전체 매출액의 3%이하로 하되 위반행위와 관련 없는 매출액은 제외하고 산정하는 것으로 정하였습니다. 기존 정부안은 전체 매출액의 3%이하로 과징금 상한을 상향하는 내용이 포함되어있었으나, 위반행위와 관련 없는 매출액을 제외하는 규정이 추가되었습니다. 다만 개인정보처리자가 정당한 사유 없이 매출액 산정자료 제출을 거부하거나 거짓 자료를 제출한 경우에는 관련없는 매출액을 포함한 전체 매출액 기준으로 과징금 상한을 산정할 수 있습니다. 온·오프라인 규제 일원화 기존 개인정보보호법에서는 온·오프라인 서비스의 경계가 모호한 경우에도 이중으로 규제하는 문제점이 있었습니다. 개정된 개인정보보호법에서는 정보통신서비스 제공자등에만 적용되었던 규정이 온·오프라인 사업자에게 동일하게 적용됩니다. 개인정보의 국외 이전 및 국외 이전 중지 명령 정보주체의 별도 동의가 있는 경우에만 개인정보를 국외로 이전할 수 있도록 했지만, 앞으로는 개인정보가 이전되는 국가 또는 국제기구가 이 법에 따른 개인정보보호 수준과 실질적으로 동등한 수준을 갖추었다고 개인정보 보호위원회가 인정하는 경우 등에는 별도 동의가 없어도 개인정보를 국외로 이전할 수 있도록 하여 국외 이전의 요건을 국제기준에 부합하도록 하였습니다. 이번 개인정보보호법 개정안은 2011년 개인정보보호법 제정 이후 처음 이루어지는 실질적인 전면 개정이라는 점에서 의의가 있습니다. 또한 이번 개인정보보호법 개정으로 인해 마이데이터 서비스의 활성화를 기대해볼 수 있습니다. 개인정보 전송요구권 규정의 신설에 따라 그동안 금융·공공분야에만 제한적으로 도입되어있었던 마이데이터 서비스가 교통·의료·통신 등 다양한 산업에서 활용될 것으로 기대됩니다.
-
- 23.03.16
-
IT·보안
챗 GPT는 세상을 어떻게 바꿀까?
챗GPT? 요즘 가장 뜨거운 관심을 받고 있는 ChatGPT는 미국의 인공지능 스타트업 오픈AI가 만든 인공지능 챗봇으로 사용자가 원하는 검색결과를 알려주는 검색 툴 입니다. 여기까지만 들으면 흔한 챗봇과 비슷해 보이지만 챗GPT가 유독 뜨거운 화제가 되고 있는 이유는 무엇일까요? 챗GPT가 구글, 네이버 등의 포털사이트와 가장 큰 다른 점은 문자 기반 데이터를 대량으로 학습하여, 질문시 인간과 같은 반응을 생성하고 대화를 나누며 다양한 주제에 대한 정보를 제공한다는 점입니다.출처: 오픈AI, 챗GPT화면ChatGPT는 인터넷에 있는 3000억개 이상의 자료를 학습하여 일상 대화 뿐 아니라 논문을 작성하거나 코딩, 시험 작업까지도 가능합니다. 텍스트, 오디오, 이미지 등 다양한 콘텐츠를 활용해 독창적인 내용물을 만드는 것이 가능하며, 나아가 보고서 작성, 논문작성, 프로그래밍 작성까지 순식간에 해내는 똑똑한 비서인 셈입니다. 2023년 2월 기준으로 회원가입만 하면 무료로 사용할 수 있으며, 유료버전인 챗GPT플러스는 월 20달러(약 2만5000원)을 내면 이용자가 많은 피크타임에도 빠르게 서비스를 이용할 수 있으며, 일반 버전보다 풍부한 질문 시간과 답변 내용을 제공합니다.챗GPT가 강력한 이유?챗GPT는 1750억개에 달하는 매개변수로 학습한 초거대 인공지능 GPT-3.5를 기반으로 하고 있는데요, 2023년 오픈AI가 공개할 GPT-4에서는 3.5버전을 넘어선 1조 이상의 매개변수가 사용될 것으로 추측되어 더욱 정밀해질 것으로 예상됩니다.기존 챗봇과는 다르게 챗GPT는 사람의 피드백을 반영하는 강화학습 RLHF(Reinforcement Learning with Human Feedback)을 통해 시행착오를 거치며 스스로 훈련하는 모델입니다. 사람의 피드백을 반영하기 때문에 계속해서 대화의 맥락을 이어갈 수 있으며, 외신에서는 챗GPT를 ‘가장 대화 할 만한 챗봇’으로 평가하기도 했습니다. 챗GPT의 파급력은? 챗GPT는 4일만에 100만명의 사용자를 확보하였습니다. 100만명의 사용자를 확보하기까지 넷플릭스가 3.5년, 페이스북은 10개월, 유튜브가 8개월이 걸린 것과 비교해보면 챗GPT의 파급력이 어마어마하다는 것을 알 수 있습니다.또한 글로벌 금융 기업 UBS 보고서에 따르면 현재 일일 방문자 수는 1300만명에 달하며, 월간 활성 사용자 수 MAU(Monthly Active Users)는 1억명 이상으로 추정하고 있습니다. 사용자 1억명 도달까지 인스타그램이 2년 6개월, 틱톡이 9개월 소요된 것을 볼 때 역사상 가장 빨리 1억명의 사용자를 기록한 소비자 애플리케이션입니다. 마이크로소프트는 챗GPT를 만든 연구소 오픈 AI에 꾸준히 투자해왔으며 최근에는 새로운 챗GPT기반 빙(Bing)모바일 버전의 초기 테스트를 시작하였습니다. 구글 또한 자사의 언어 모델 람다를 이용한 대화형 인공지능 ‘바드’를 출시할 계획을 밝혔습니다. 구글의 일일 검색량이 35억건에 달하기 때문에 방대한 자료를 학습시킬 수 있어 ‘바드’가 챗GPT보다 강력할 것이라는 예측도 있습니다. 챗GPT의 한계는 없을까?물론 챗GPT에도 한계가 있습니다. 챗GPT는 2021년까지의 데이터를 바탕으로 하기 때문에 2021년 이후의 정보는 제공하지 않습니다. 따라서 2021년 이후의 정보와 관련된 질문에 정확한 응답을 생성하지 못할 수 있습니다.학습데이터에 편향된 정보가 포함된 경우 챗GPT의 응답도 편향될 수 있으며, 윤리적 문제가 발생할 수도 있습니다. 특히 세계적으로 많은 사람들이 챗GPT를 이용하는 만큼 비윤리적인 답변이나 정치적인 답변을 하게끔 유도하는 문제가 발생하고 있습니다. 오픈AI에서는 챗GPT가 정치적·차별적·혐오적 내용에는 답변할 수 없도록 하는 AI윤리규정을 설정하였습니다. 그러나 전세계 수많은 사용자들이 이용한다는 특성상 거짓 정보가 주입되는 것을 막는 것은 어렵습니다. 챗GPT가 우리 일상의 모습을 변화시킬 것임은 분명하지만, 이러한 한계점들로 미루어 볼 때 윤리적인 측면에 대한 문제도 함께 고민해봐야 할 것 같습니다.
-
- 23.02.28
-
IT·보안
2023년 사이버 보안 위협 전망
2023년에는 어떤 기술과 공격들이 사이버 보안을 위협할까요? 과학기술정보통신부, 한국인터넷진흥원은 2022년 사이버 보안 위협 분석과 함께 2023년 사이버 보안 위협 전망을 발표하였습니다.2022년 사이버 보안 위협국가·사회 혼란을 야기하는 사이버 공격2022년 전 세계적으로 랩서스 등 글로벌 해킹그룹에 의한 지속적인 사이버 공격으로 인해 글로벌 기업과 정부기관 등에 피해가 발생하였습니다. 국내에서는 판교 데이터센터 화재, 이태원 사고 등 국민적 관심이 집중된 사건, 사고를 사이버 공격에 악용하는 공격이 보였습니다.더불어 정부나 방송사 공식 유튜브 채널 계정을 탈취하여 가상자산 관련 영상을 게재하거나 정부 기관을 사칭한 해킹메일을 유포하는 등의 공격 또한 발생하였습니다.재택근무, 클라우드 전환 등 IT환경 변화를 악용한 공격코로나 이후 비대면 원격근무 환경 변화로 기업 내부 침투를 통해 중요 정보가 유출되는 사고가 발생하기도 했으며, 기업의 클라우드 사용이 늘어나고 주요 시스템이 클라우드로 전환되면서 클라우드 관련 보안사고가 점차 확대되고 있습니다. 대표적으로 알리바바 클라우드 해킹으로 인한 10억명의 개인정보 유출, 아마존 클라우드 설정 오류로 인한 공항 데이터 유출사고 등이 있었습니다.디지털 사회를 마비시키는 랜섬웨어, 디도스 공격22년 KISA에 접수된 침해사고는 전년대비 약 1.6배 증가하였으며, 전체 신고의 29%가 랜섬웨어 사고였습니다. 랜섬웨어 피해 발생 분포로는 중소기업이 88.5%, 제조업이 40.3%의 비중을 차지하여 중소기업에 대한 보안 지원확대와 보안 투자가 필요한 것으로 보입니다.디도스 공격도 지속적으로 증가하고 있으며, 공격에 악용된 기기 대부분이 사물인터넷(IoT)악성코드에 감염된 영상저장장치, 셋톱박스 등으로 확인되었습니다.2023년 사이버 보안 위협 전망국가 산업·보안을 위협하는 글로벌 해킹 조직의 공격 증가우크라이나 사태가 장기화됨에 따라 글로벌 해킹 조직의 활동이 증가할 것이며, 글로벌 기업을 대상으로 사이버 공격이 지속될 것으로 전망하였습니다. 특히 소셜미디어(SNS)를 통해 공격행위를 공개하는 등 사이버 범죄 조직의 활동이 더욱 빈번하게 일어날 것이며 가상자산 타깃형 공격도 활발해질 것으로 전망하였습니다.재난, 장애 등 민감한 사이버 이슈를 악용한 사이버 공격 지속사회적 이슈를 악용한 피싱, 스미싱 공격 및 지능형 지속 공격을 예상하였으며, 첨단기술을 활용한 가짜뉴스 등으로 사회 전반에 영향을 미치는 활동이 증가할 것으로 전망하였습니다. 또한 이메일 및 소셜미디어(SNS)등 개인화된 채널을 활용한 공격도 증가될 것으로 보았습니다.지능형 지속 공격 및 다중협박으로 무장한 랜섬웨어 진화랜섬웨어 공격이 지능적인 방법을 사용해 지속적으로 특정 대상을 공격하는 해킹기법인 ‘지능형 지속공격’(APT, Advanced Persistent Threat)형태로 진화하고 있습니다.더불어 해킹메일, 웹서버 취약점, 원격접근 등을 악용하거나 백업용 저장장치를 훼손하는 등 암호화 파일 복구, 유출 데이터 공개, 디도스 공격과 함께 기업 고객도 직접 협박하는 등 다중협박 형태로 진화하고 있기 때문에 진화하는 랜섬웨어에 대한 대응이 필요합니다.디지털 시대 클라우드 전환에 따른 위협 증가클라우드는 물리적으로 제한이 없고 업무 확장이 용이하다는 장점이 있습니다. 따라서 기업들은 온프레미스 환경에서 클라우드 환경으로 전환하는 추세입니다. 이러한 클라우드 전환 과정에서 드러나는 보안 취약점과 데이터 유출 등의 보안 위협이 있습니다. 따라서 기업들은 보안을 고려한 클라우드 관리전략을 체계적으로 수립하고, ‘하이브리드 클라우드’, ‘멀티 클라우드’ 등 각 기업의 업무 특성을 반영한 클라우드 운영 형태에 맞춘 클라우드 보안대책을 수립하여야 합니다.갈수록 복잡해지는 기업의 SW공급망과 위협 증가최근 SW개발자들이 깃허브(Github)등 개발 공유 사이트를 이용하는 점을 이용하여 악성코드를 삽입하거나 소스코드를 탈취하는 공격이 증가할 것으로 예상됩니다.오픈소스의 사용도 증가하면서 로그4j등 유명 오픈소스의 취약점을 악용하거나, 라이브러리에 악성코드를 삽입하는 등의 보안문제도 발생할 수 있습니다. 또한 SW개발업체에 직접 침투하여 업데이트 서버 및 소스코드 변조, 인증서 탈취를 통한 공급망 공격 시도도 나타날 것으로 전망됩니다.
-
- 23.02.21
-
IT·보안
이제 대세는 클라우드다! 클라우드 용어 정복하기
세계 1위 규모의 OTT 넷플릭스(Netflix)의 구독자수는 약2억명으로, 전 세계 사람들의 어마어마한 사람들이 시청하고 있습니다. 우리가 시청하는 넷플릭스가 클라우드 덕분이라는 것 알고 계셨나요? 클라우드는 OTT, 공유 드라이브, 화제가 되고 있는 인공지능 대화형 챗봇 챗GPT까지 다양한 분야에서 활약하고 있습니다. 언제 어디서든 필요한 만큼의 서버, 데이터베이스, 네트워킹 등의 컴퓨팅 서비스를 제공하는 클라우드는 이제 우리의 일상과 국내외 IT업계에서 거스를 수 없는 큰 흐름이 되었습니다. 클라우드 컴퓨팅?클라우드 컴퓨팅이란 인터넷을 통해 서버, 데이터베이스, 네트워킹 등의 컴퓨팅 서비스를 제공하는 것을 뜻합니다. 하드웨어, 소프트웨어를 직접 소유하지 않고 사용한 만큼만 비용을 지불하며 인프라를 구축할 필요가 없기 때문에 경제적입니다. 클라우드 컴퓨팅 서비스의 종류에는 IaaS, PaaS, SaaS가 있습니다. 각각의 특징과 어떠한 경우에 사용되는 서비스일까요? 여기서 aaS란 as a Service의 약자로, ‘서비스형’을 뜻합니다. 즉, 이들의 공통점은 클라우드시스템 위에 존재하여 ‘소유권’을 주는 것이 아니라 ‘서비스’로 제공받는 것을 의미합니다. IaaS(Infrastructure as a Service) 서비스형 인프라를 뜻하는 IaaS(Infrastructure as a Service)는 서버, 네트워크 등 IT인프라 서비스를 제공하는 서비스입니다. IaaS를 통해 인프라를 직접 구축하지 않아도 사용할 수 있으며, 기존의 IT인프라를 확장할수도 있습니다. IaaS에는 AWS, Microsoft Azure, Google Cloud가 있으며, 뒤이어 소개할 PaaS와 SaaS의 밑바탕이 되는 기술이기도 합니다. PaaS(Platform as a Service) PaaS(Platform as a Service)는 서비스형 플랫폼으로, 이미 구축된 인프라와 플랫폼을 제공하고 API기반으로 필요한 기능의 구현을 도와줍니다. 대표적인 예로 게임 플랫폼을 들 수 있습니다.22년 8월 컴투스 플랫폼은 ‘하이브 플랫폼’을 오픈하였으며, 이를 통해 게임 개발자들이 간단한 회원가입만으로 ‘하이브’를 이용할 수 있으며 게임에 필요한 기능들을 쉽고 빠르게 구현하고 배포까지 가능합니다. SaaS(Software as a Service)SaaS는 해당 기업의 소프트웨어와 데이터를 클라우드 서비스로 제공하며 웹을 통해 접속하여 로그인하면 사용할 수 있고, 2023년 현재 가장 많이 제공되는 서비스이기도 합니다. 대표적으로는 Microsoft One note, Google drive가 있으며, 사용자들은 비용을 내고 서비스를 사용할 수 있습니다. 또한 일반 사용자들이 가장 많이 접할 수 있는 OTT 서비스 넷플릭스 등도 SaaS에 해당합니다. 하이브리드 클라우드? 멀티 클라우드?클라우드의 서비스 종류는 구성 및 서비스 성격에 따라 공용클라우드(Public Cloud), 사설 클라우드(Private Cloud), 하이브리드 클라우드(Hybrid Cloud)로 나눌 수 있습니다. 공용 클라우드는 여러 사용자와 기업이 인터넷을 통해 자원을 공유하며 사용하는 형태입니다. 사설 클라우드는 기업이 시스템 자원을 직접 소유하고 전용 클라우드로 사용하는 것을 의미합니다.하이브리드클라우드는 두 방식의 장점을 적용한 시스템입니다. 공용 클라우드의 장점인 비용 효율성과 사설 클라우드의 장점인 안정성과 보안성 모두를 누릴 수 있다는 장점이 있습니다. 따라서 최근에는 많은 기업에서 하이브리드 클라우드 방식을 사용하고 있습니다. 또한 클라우드 서비스마다 제공하는 기능이 다르며, 한 업체만 사용할 시 리스크를 줄이기 위해 복수의 클라우드 서비스를 사용하는 ‘하이브리드 멀티 클라우드’를 사용하는 기업도 늘어나고 있습니다. 지금까지 클라우드 컴퓨팅의 서비스 형태와 종류에대해 알아보았습니다. 시장조사기관 Right Scale의 조사에 따르면 1000명 이상의 기업은 82%, 1000명 미만의 기업은 64%가 멀티 또는 하이브리드 클라우드 전략을 추구한다고 하였는데요. 또한 IT시장조사업체 가트너는 2023년 IaaS, PaaS, SaaS를 합친 전 세계 퍼블릭 클라우드 시장 규모가 2023년 5918억에 이를 것으로 전망하였습니다. 이는 2022년 4903억달러에서 20.7% 증가한 수치입니다.또한 2023년 PaaS의 성장률은 23.2%, SaaS의 성장률은 16.8%로 전망하였고, IaaS는 29.8% 성장하여 퍼블릭 클라우드 시장에서 높은 사용자 지출 증가율을 기록할 것으로 전망하였습니다. 이처럼 앞으로 클라우드 기술은 무궁한 발전이 지속될 것으로 보입니다.
-
- 23.02.14
-
IT·보안
KISA, 2023 개인정보 7대이슈 전망 발표
빅데이터, 마이데이터, 데이터를 축으로 한 데이터 산업 발전과 개인정보 보호는 떨어질 수 없는 관계입니다. 데이터의 활용도가 높아지면서 개인정보의 중요성과 보호에 대한 필요성이 커지고 있기 때문입니다. 한국인터넷진흥원에서는 개인정보의 보호와 활용을 주제로 최근 동향과 자료를 분석해 16개의 키워드를 도출했으며, 50여명의 전문가 대상 설문조사 등을 거쳐 7대 이슈를 선정하였습니다.01. 마이데이터와 디지털플랫폼정부 구현마이데이터란 정보주체가 본인 정보를 적극 관리·통제하고 이를 신용, 자산, 건강관리 등에 주도적으로 활용하는 것을 의미합니다. 우리나라는 금융, 공공, 보건의료분야를 중심으로 마이데이터 서비스 본격 제공 및 시범서비스를 운영한다고 하였습니다. 특히 전 분야 마이데이터 도입을 위해 법적 근거를 마련하고 분야 간 상이한 데이터 형식 및 전송방식 표준화 등을 추진하고 있습니다. 02. 가명정보 활용 도전과 과제안전한 데이터 활용을 위하여 가명정보의 정의, 가명처리, 결합 등에 대한 법적 근거가 2020년 2월 개인정보 보호법에 신설되었으며, 가명정보 처리 가이드라인 개정(22년 4월), 가명정보 결합 및 반출 등에 관한 고시 개정 추진 등 가명정보의 안전한 활용을 위한 관련 제도 개선이 이어졌습니다. 03. 사업장 디지털화와 근로자 프라이버시CCTV, GPS, 일반업무시스템 등 다양한 디지털 기기를 통한 근로자 개인정보 처리가 증가함에 따라 근로감시 등 개인정보 침해 문제가 우려되기도 합니다. 특히 플랫폼 서비스, 비대면 근무 확산, 기업의 모든 데이터 디지털화됨에 따라 기업 내의 정보보안과 근로자들의 개인정보 보호가 중요해졌습니다. 04. 데이터 현지화 vs 국경 간 자유로운 데이터 이전KISA에서는 데이터 현지화와 국경간 데이터 이전 이슈가 개인정보보호와 관련하여 2023년의 뜨거운 관심사로 떠오를 것으로 예측하였습니다.중국, 러시아 등 일부 국가에서는 자국민의 데이터 보호를 위해 외국기업의 데이터 현지보관을 의무화하는 법제도를 추진하고 있습니다. 한편 OECD, EU 등 국제기구를 중심으로 국가 간 규제 협력 강화 등을 통해 세계 경제 활성화를 위한 자유로운 데이터 이전 추진하고 있습니다. OECD는 개인정보 이전 관련 정책 및 규제 강화는 역외 개인정보 이전 및 처리 비용 증가,운영의 복잡성, 불확실성 증대 등으로 인해 세계 경제 활성화에 악영향을 끼친다고 지적하였습니다. 05. 공공분야 개인정보 보호 조치 대폭 강화공공부문이 행정처리하는 국민의 개인정보는 약 699억건에 달하며, 공공부문의 16.4%는 100만명 이상의 개인정보를 보유하고 있습니다.공공부문의 개인정보 유출 사고는 지속적으로 증가하고 있으며, 공공부문에서 유출된 개인정보가 범죄에 악용되는 등 2차 범죄피해가 발생하기도 합니다. 공공부문은 납세, 복지, 교육, 고용 등 다양한 분야에서 국민의 개인정보를 대규모로 수집, 처리하기 때문에 기술적, 관리적 보안체계에 대한 근본적인 대책이 필요합니다. 06. 빅테크 기업으로부터의 정보주체 권리 보호22년 9월 개인정보보호 위원회는 메타·구글이 이용자 동의 없이 개인정보를 수집하여 온라인 맞춤형 광고에 활용했다는 이유로 과징금 약 1,000억원을 부과하였습니다. 또한 빅테크 기업이 이용자의 개인정보를 수집·이용하는 과정에서 다크패턴을 통한 개인정보 이슈가 발생하기도 했습니다. ※다크패턴이란? 개인정보 처리와 관련해 원래 의도와는 달리 자신에게 해로울 수도 있는 결정을 내리도록 이용자를 유도하는 온라인 인터페이스다크패턴과 같은 범죄 이슈를 막기 위해 애플, 구글 등의 빅테크 기업과 국내외 개인정보위에서는 개인정보 보호를 위한 정책을 추진하고 있으며 관련 법제도를 규율중이라고 합니다. 07. 플랫폼 기업의 책임과 자율규제코로나 팬데믹 이후 오픈마켓 등의 플랫폼 서비스가 급속하게 성장하고 이에 필요한 개인정보 처리에 다양한 이해관계자가 참여하게 됩니다. 최근에는 오픈마켓 플랫폼에서 판매자 계정을 도용한 사기, 개인정보 침해 등의 이슈가 발생하기도 합니다. 이에 개인정보위는 21년 5월 쿠팡 등 7개 오픈마켓 플랫폼 사업자에 대해 안전 인증수단 미적용 등을 이유로 과태료 처분을 내리기도 했습니다.출처 및 참고자료2021 개인정보보호 실태조사, 개인정보보호위원회·한국인터넷진흥원2023 개인정보 7대 이슈전망 보고서, 한국인터넷진흥원
-
- 23.01.26
-
IT·보안
2022년, 개인정보보호법에는 어떤 변화가?
개인정보와 관련한 이슈들은 2022년에도 끊이지 않고 발생했으며 개인정보보호위원회에서도 개인정보 보호 관련 법령과 제도 개선을 위한 활동들이 이어졌습니다. 개인정보 보호법 개정안은 2021년 9월 발의되어 1년여만인 2022년 12월5일 국회 정무위 법안소위를 통과하여 본회의를 남겨두고 있습니다.개인정보보호법 개정안에는 ① 디지털 시대의 정보주체 권리 실질화, ② 이원화된 규제정비 및 신기술 성장기반 마련, ③ 글로벌 규제와의 정합성 확보, ④ 개인정보보호 생태계 조성 등을 내용으로 합니다.개인정보보호법 개정안 주요 내용개인정보 전송요구권 신설개인정보 전송요구권이란 정보주체가 본인 정보를 본인 또는 제3자에게 전송요구할 수 있는 권리입니다. 「개인정보 전송요구권」의 신설과 함께 전송 요구의 거절과 전송 중단의 방법 등 구체적 사항이 시행령으로 위임되었으며 이를 통해 정보주체의 개인정보 통제권이 강화되고 마이데이터의 전 분야 확산을 기대해볼 수 있습니다.출처: 2022개인정보보호 연차보고서이원화된 규제의 일원화(정보통신서비스 특례규정 정비)데이터 3법 개정시 정보통신서비스 제공자 대상 개인정보보호 관련 규정을 특례규정으로 단순 이전-병합된 상태로 법 개정이 진행되어 오프라인 규제(일반 규정)와 온라인 규제(특례규정)로 이원화된 법 적용으로 혼선 및 이중부담이 발생하였습니다.따라서 동일행위 동일규제 원칙을 적용하여 정보통신서비스제공자 등에 대한 특례를 일반 규정으로 전환하고 모든 개인정보처리자에게 동일규제를 적용할 예정입니다. 또한 일반 규정과 유사·중복되는 특례 규정은 일반 규정으로 통합·정비하며, 특례적용을 확대하여 특례규정에만 있는 개인정보 이용내역 통지 등을 일반규정으로 전환하여 모든 분야로 확대 적용 예정입니다.또한 정보통신서비스 제공자에게만 적용되던 형벌규정과 개인정보가 유출된 경우의 형벌규정을 삭제하는 대신 과징금 상한액을 상향조정하여 유출 책임을 개인에 대한 형벌 중심에서 기업에 대한 경제적 책임으로 전환하며, 정보통신서비스 제공자에 적용되는 과징금을 개인정보처리자로 확대하였습니다.출처: 2022개인정보보호 연차보고서개인정보 국외이전 방식 다양화개인정보 국외이전 방식과 관련하여 개인정보보호위원회가 인정하는 보호 수준이 높은 국가나 인증을 받은 국가 등에 국외이전을 할 수 있도록 다양화하였습니다. 또한 이전요건을 다양화하고, 관련 위법사항이 발견될 시 개인정보보호위원회에서 개인정보처리자에게 국외이전 중지 명령을 내릴 수 있도록 하는 내용도 추가되었습니다.개인정보 과징금 산정 기준 변화현행 개인정보보호법은 위법행위와 관련된 매출액의 3%를 과징금 상한으로 하고 있습니다. 처음 제안되었던 개인정보보호법 개정안에서는 전체 매출액 3%를 과징금으로 규정하였으나, 기업의 부담이 커질 수 있다는 산업계의 우려를 받아들여 수정되었습니다. 따라서 과징금을 전체 매출액3%로 하되 개인정보보호법 위반행위와 관련 없는 매출액은 제외하고 산정하는 방안으로 변경되었습니다.출처 및 참고자료개인정보보호위원회, 2022개인정보보호 연차보고서
-
- 22.12.30
-
IT·보안
2022 보안 이슈 한눈에보기
2022년 한 해동안은 어떤 보안 이슈들이 발생했을까요? 러시아-우크라이나 전쟁, 멀웨어, 디도스 공격 등 다채로운 사이버 보안 위협들이 발생한 한해였습니다. 이번 콘텐츠에서는 한 해를 마무리하며 그동안 국내·외에서 발생했던 보안 관련 사고와 이슈들을 정리해보았습니다.January“전세계 강타한 아파치 로그4j”전 세계적으로 광범위하게 사용되는 오픈소스 소프트웨어 라이브러리 아파치 로그포제이(log4j2)에서 심각한 보안 취약점이 발견되어 논란이 되었습니다. 로그포제이란 기업 홈페이지 등 인터넷 서비스 운영 관리 목적으로 로그기록을 남기기 위해 사용하는 프로그램입니다. 이번 취약점은 공격 방법이 쉽고 공격자가 노릴만한 대상이 많기 때문에 심각한 피해가 발생할 수 있음을 보안전문가들은 강조하였습니다.“오미크론 변이 관련 대학생 대상 피싱공격 성행"코로나 오미크론 변이가 세계적인 이슈로 떠오르면서 오미크론을 테마로 한 피싱 공격이 성행하기 시작하였습니다. 특히 북미대학을 대상으로 한 시도들이 발견되었습니다. 특히 백신예약, 국민비서 등을 키워드로 하는 피싱공격이 성행하기도 하였습니다. 특히 백신예약, 국민비서 등을 키워드로 하는 피싱공격이 이어졌습니다.February“전세계 IoT장비 1만 1700대 감염”전 세계 72개국 사물인터넷(IoT)장비 1만 1,700대가 ‘Mozi 봇넷’라는 악성코드에 감염된 사실이 확인되었습니다. Mozi 봇넷은 보안에 취약한 비밀번호를 사용하거나 최신 소프트웨어를 사용하지 않는 장비 등을 공격하여 악성코드를 감염시킨 후 감염된 장비를 분산서비스거부(DDoS)공격을 위한 좀비PC로 활용하는 악성코드입니다.“클라우드를 통해 전파되는 멀웨어 급증”‘악성 소프트웨어’의 약자인 멀웨어(Malware)가 클라우드를 통해 전파되는 경우가 많았습니다. 기업들로 유입되는 멀웨어의 2/3가 웹이 아닌 클라우드 애플리케이션에서 나온 것으로 밝혀졌습니다. 클라우드 앱의 편의성과 가격 등으로 인해 공격 수단이 클라우드로 변경된 것으로 유추되었습니다.March“소개팅앱 해킹으로 14만명 회원 개인정보 유출”소개팅 앱 골드스푼이 해킹으로 고객들의 개인정보 유출로 인해 1억 2979만원의 과징금과 1860만원의 과태료를 부과하였습니다. 개인정보위원회에서 확인한 결과 법령 등에서 허용한 경우가 아님에도 주민등록번호가 포함된 신분증, 가족관계증명서 등을 수집하고 이용자에게 동의를 별도로 받지 않고 종교정보를 처리하였습니다. 또한 개인정보 유출 사실을 이용자에게 개별적으로 통지하지 않고, 탈퇴한 이용자의 개인정보를 파기하거나 분리하지 않았습니다.April“랩서스로 불리는 해킹그룹으로부터 공격당한 기업들 다수 발생”해킹그룹 ‘랩서스(Lapsus$)라 불리는 해킹그룹으로부터 엔비디아, 마이크로소프트 등 거대 글로벌 기업들의 데이터가 침해되었으며, 공격을 당한 것으로 추정되는 기업들이 대거 등장하였습니다. 랩서스는 다크웹을 통해 임직원 정보를 구매하거나 계정 유출 기능 악성코드를 유포하는 등 피해 기업 임직원의 계정 정보를 적극적으로 수집한 것으로 나타났습니다. 영국 수사 당국에서는 두명의 10대 청소년을 랩서스에 가담한 혐의로 기소하기도 했습니다.May“전쟁으로 증가한 디도스(DDoS) 공격”분산서비스 거부(DDoS)디도스 공격이 지난 분기에 비해 1분기에 46%증가한 것으로 나타났습니다. 러시아의 우크라이나 침공으로 인해 해커들의 활동이 급격히 늘어난 것으로 보였으며, 디도스 공격의 시간이 수주에 걸칠 정도로 긴 기간임을 보아 표적을 괴롭히기 위한 현상으로 해석하였습니다.June“NFT관련 사이버 공격 증가” 대체불가토큰(NFT)에 대한 관심이 증가하면서 이와 관련한 사이버 공격 역시 증가하였습니다. 사이버 펑크 에입(Cyberpunk Ape)과 관련된 NFT사기극으로 인해 NFT아티스트들이 피해를 입기도 했습니다. 공격자들은 스스로를 사이버 펑크 에입의 운영진으로 가장하고 글을 올려 피해자들이 링크를 클릭하게끔 유도하여 정보탈취 기능이 있는 실행파일을 통해 피해자의 시스템에 멀웨어를 심는 방식이였습니다. 많은 기업들이 NFT를 활용하면서 피해자들의 범위도 커질 것으로 예측됩니다.July“유명아파트 월패드에서 보안 취약점 발견돼”유명 브랜드 아파트에 설치되어있는 스마트홈 월패드에서 보안 취약점이 발견되어 아파트 입주민들의 공포감이 증폭되었습니다. 발견된 월패드 취약점은 스마트홈 애플리케이션이 서버에서 검증을 수행하지 않아 발생하는 인증 우회 취약점으로 심각도가 높으며 공통 취약점 등급 시스템 점수는 7.3점에 이르는 것으로 분석되었습니다. 이번 취약점을 악용할 시 사용자 인증 우회가 가능하기 때문에 월패드 내 보안시스템 구축이 필요한 것으로 나타났습니다.August“메타, 개인정보 처리방침 동의 약관 철회”메타는 국가 기관 및 제3자 등 개인정보 제공 범위를 세분화한 개인정보처리방침을 제시하면서 업데이트 적용 시점까지 동의하지 않은 사용자들의 계정이용 제한을 예고하여 논란이 되었습니다. 이후 메타는 기존 한국사용자에게 요청되고 있는 개인정보처리방침에 대한 동의절차를 철회하였습니다.“정부 사이버 보안 10만인재 양성 추진방안 공개”윤석열 대통령은 사이버 전력과 기술 고도화를 위해 “사이버 보안 10만 인재 양성”정책의 추진방안을 제11회 정보보호의 날 기념식에서 발표하였습니다. 주요 내용은 정보보호 특성화대학 확대 지정 및 사이버 부사관 특화 정보보호 전문 대학을 신설하여 정보보호 인력 규모를 늘리며, S-개발자 프로그램을 추진하는 등 보안인력 교육체계도 확대할 예정임을 강조하였습니다.September“구글플레이에서 악성 앱 발견”35개의 악성 앱이 구글플레이(Google Play)에 등장하였습니다. 200만명의 사용자가 해당 앱들을 다운로드한 것으로 알려졌으며, 해당 앱들은 프로그램 실행 중 광고를 보여주고 비용 납부를 대신하는 애드웨어(Adware)로 사용자들이 이를 설치하면 화면에 광고가 끊임없이 나타나게 됩니다. 애드웨어를 통해 사용자의 기기에 공격자가 원하는 콘텐츠를 노출함으로써 다른 멀웨어도 비슷한 형태로 공격을 감행할 수 있기 때문에 보안기업들은 방어 솔루션을 도입할 것을 권고하였습니다.October“IBM 시큐리티 '2022년 데이터 유출 비용 연구 보고서'에 따르면 한국기업 데이터 유출 피해액 사상 최고 기록”IBM시큐리티의 ‘2022 데이터 유출 비용 연구 보고서’에 따르면 지난 1년간 전 세계 기업은 데이터 유출로 인해 평균 약 60억원의 손실을 기록했으며, 한국 기업은 43억 3,400만원으로 사상 최고 피해액을 기록하였습니다. IBM은 데이터 유출로 인한 피해액을 최소화하기 위해서는 제로트러스트 보안 모델 채택을 권장하였습니다. 실제로 보고서에 따르면 제로트러스트 접근 방식을 도입하지 않은 국내기업의 피해액은 50억원인 반면, 도입 후 성숙기에 접어든 기업의 피해액은 약38억으로 제로트러스트 도입의 중요성이 강조되었습니다.November“네이버 사칭한 피싱메일 다수 발견”국내 포털사이트 네이버의 아이디 보호조치가 실시되었다는 내용의 피싱공격이 다수 발견되어 네이버 사용자들의 각별한 주의가 요구되었습니다. 메일 내용의 링크를 클릭하면 네이버 로그인 화면으로 위장한 피싱 사이트로 이동하게 됩니다. 피싱 사이트가 정상적인 네이버 로그인 페이지와 매우 흡사하여 사용자는 알아채기 쉽지 않으며 네이버 계정 정보가 유출될 수 있어 사용자들의 각별한 주의가 필요했습니다.“북한 해커에서 카카오 사태를 악용한 악성코드 유포”한국인터넷 진흥원(KISA)과 과학기술정보통신부는 카카오에서 배포하는 카카토옥 설치 파일로 위장해 악성 프로그램 설치를 유도하는 해킹 메일을 확인하였습니다. 보안 전문가들은 카카오사태를 악용한 악성코드 유포 배후를 북한으로 지목하였으며, 민관합동체계를 더욱 강화해야 한다고 밝혔습니다.December“영국의 한국에 대한 개인정보보호 적정성 결정 최종 채택”영국의 한국에 대한 '개인정보보호 적정성 결정'이 최종 채택, 발효되었습니다. 이번 결정으로 인해 영국의 개인정보를 국내로 이전하고자 하는 국내기업을 위한 자유롭고 신뢰할 수 있는 데이터 이전의 기반이 마련돼 한국-영국 간 교류 확대를 지원할 수 있게 됐고, 한국의 개인정보보호 체계를 국제적으로 인정받았습니다.
-
- 22.12.30
-
IT·보안
인터넷 쇼핑시 주의하세요! 폼재킹(Formjacking)이란?
매년 연말 쇼핑시즌이 다가오면 온라인 쇼핑몰에서 사이버 범죄는 기승을 부리곤 합니다. 특히 온라인을 통한 해외 직구가 늘어나면서 폼재킹 피해를 보는 사례도 늘어나고 있습니다.폼재킹(Formjacking)이란 사용자 결제정보 양식(form)을 중간에서 납치(hijacking)한다는 의미의 합성어 해커들이 온라인 쇼핑몰 등 웹사이트를 악성코드로 미리 감염시키고, 구매자가 물건을 구입할 때 신용카드 등 금융정보를 입력하면 이를 탈취하는 수법입니다. 폼재킹을 통해 소비자들의 직불카드 번호와 유효기간, CVC번호까지 해킹할 수 있기 때문에 매우 위험한 범죄입니다.폼 재킹 공격은 다음과 같은 방식으로 동작합니다.1. 공격자는 미리 쇼핑몰 사이트 등에 침투하여 카드결제 페이지 등에 악성코드를 심어놓습니다.2. 사용자가 로그인하여 쇼핑몰에서 물건을 구매하고 카드 결제 정보를 입력합니다.3. 사용자가 결제하기 등의 버튼을 통해 해당 정보를 쇼핑몰에 제출합니다.4. 공격자는 이때 악성코드를 이용하여 사용자가 쇼핑몰에 전달한 카드정보 등 결제 정보를 복사하여 자신의 서버로 전송합니다.이러한 방식은 새로운 기술에 기반한 공격기법은 아니지만, 폼재킹으로 빼낸 카드정보의 재판매 혹은 이를 이용한 불법 결제 등으로 범죄 수익과 공격 규모가 확대되고 있으며, 정교해지고 있습니다. 또한 폼 재킹은 카드 스키밍과 유사하지만 온라인상에서 발생하는 범죄이기 때문에 더욱 광범위하게 발생할 수 있습니다. ※ 카드 스키밍(card skimming)은 카드판독기를 통해 신용 카드 및 직불 카드에 있는 정보를 불법으로 복사하는 것으로, 한때 사회적 문제가 될 정도로 심각한 범죄 중 하나였습니다.폼 재킹 공격의 실제 사례는?2019년 10월 패션 소매업체 웹사이트의 체크아웃 페이지가 폼재킹 공격으로 인해 피해자가 수천명에 이르는 것으로 추정되었습니다. 또한 2018년 8월에 영국항공 British Airways의 웹사이트와 모바일 어플리케이션이 폼재킹 공격으로 해킹을 당해 고객 카드 결제 정보 약 38만건이 유출되었습니다. 유출된 정보에는 고객이름, 주소, 신용카드 번호 등의 개인정보가 포함되었으며 해커가 얻은 수익은 한화로 192억 이상으로 추정되었습니다. 유명 온라인 결제사이트 티켓마스터(Ticketmaster)는 2017년 9월부터 2018년 6월까지 최대 40,000명의 고객이 폼 재킹 공격을 받았으며, 온라인 소매업체 뉴에그(Newegg)는 2018년 8월과 9월 한달 간 폼 재킹 공격을 받았습니다.폼 재킹은 보안에 취약한 중소규모의 쇼핑몰에서 발생할 가능성이 높으며, 특히 해외쇼핑몰에서 많이 발생하기 때문에 해외쇼핑몰을 자주 이용하는 사용자들은 주의를 기울일 필요가 있습니다. British Airways, Ticketmaster, Newegg는 모두 공급망 공격을 통해 폼재킹으로 인한 피해를 입었으며 대형쇼핑몰이라 할지라도 공급망 공격을 통한 폼재킹 공격이 이루어질 수 있어 주의가 필요합니다.※ 공급망 공격이란 협력업체에서 대기업에 공급하는 소프트웨어의 취약점을 통해 대기업의 시스템으로 간접 침투하는 방식입니다.폼 재킹 예방방법은?쇼핑몰운영자는 사이트 취약점을 수시로 점검해야 하며 공급망 공격 등으로 피해가 발생하지 않도록 협력업체의 소프트웨어 업데이트 발생 시 테스트와 이상 징후에 대한 모니터링을 꼼꼼히 진행해야 합니다. 온라인 쇼핑 유저들은 정기적으로 지불 카드의 세부정보 및 계좌 내역을 모니터링하여 지불하지 않은 결제내역이 있는지 확인하여야 하며 마스킹된 신용카드 사용을 통해 개인정보를 보호할 수도 있습니다. 출처 및 참고자료NAVER 개인정보보호 블로그시만텍 인터넷 보안위협 보고서 제24호
-
- 22.12.22
-
IT·보안
신종 사이버 범죄, 심 스와핑
스마트폰 잠금이 해지된 채로 분실된다면 어떤 일들이 생길까요? 스마트폰은 이제 대표적인 신원 인증 수단으로 자리잡았습니다. 금융, 공공기관 사이트 로그인 시 혹은 계정 비밀번호 분실 시 ARS 혹은 문자메시지 등 2차 인증을 위해 스마트폰은 반드시 필요한 수단입니다. 하지만 휴대폰을 손에 쥐고 있어도 휴대폰이 해킹당할 수 있습니다. 신종 해킹수법 심 스와핑(SIM Swapping)을 통해 가능한 일입니다.가입자 식별 모듈 카드(Subscriber Identity Module)를 뜻하는 SIM은 휴대전화 가입자를 인증하는 장치입니다. SIM카드에는 각각의 고유번호가 있으며 이동통신사에 휴대전화 개통에 필요한 모든 정보가 있기 때문에 다른 휴대전화로 변경하여 사용할 수 있습니다.심 스와핑 해킹방법심 스와핑은 스마트폰 유심정보를 복제하여 피해자의 금융정보 및 개인정보에 접근하는 신종 해킹 방법입니다. 유심의 정보를 복제하여 타인의 핸드폰 정보를 이동시켜 사용할 수 있게 만드는 방법으로 이를 통해 계정 비밀번호를 재설정하고 휴대폰으로 전송되는 2단계 인증을 제어하여 피해자의 수많은 계정 및 디지털 지불 시스템, SNS등에 접근할 수 있습니다.심 스와핑에 사용되는 유심정보를 복제하는 방법으로는 개인정보를 수집한 후 통신사를 통해 유심을 재발급 받을 수 있습니다. 또는 유심칩을 빼내 직접 복사하거나 사용자에게 해킹용 인터넷 주소를 보내 클릭을 유도하여 유심 정보를 빼내는 방법도 있습니다.심 스와핑 해킹은 통신사나 피해자가 피해 사실을 즉각 인지하기가 어렵기 때문에 대응이 어려우며, 사전에 차단하기가 어렵습니다. 스마트폰에 악성코드를 설치해 계정 정보를 유출하는 기존의 해킹은 피해자가 스마트폰을 지니고 있으면 2차 인증을 막을 수 있습니다. 하지만 심 스와핑은 문자메시지, 전화 등 사용자의 권한을 완전히 빼앗기 때문에 대처하기가 어려우며 더 큰 피해를 일으킬 수 있습니다.심 스와핑, 실제 피해 사례는?2018년 미국에서는 가상통화 투자자가 심 스와핑 피해에 대해 통신사 AT&T를 상대로 2억 2400만달러 규모의 소송을 걸었습니다. 미국 FBI인터넷범죄고발센터에 심 스와핑 공격과 관련된 신고 사건 중 2021년 한 해동안 접수된 건은 1611건으로 2018년 1월부터 2020년 11월까지 3년간 접수된 320건에 비해 5배 이상 증가하였습니다. 피해액 또한 2021년도에는 6800만 달러(약 810억원)으로 2018년부터 3년간 발생한 피해액 1200만 달러(약143억원)에 비해 8배 증가하였습니다.심 스와핑은 기존에는 해외에서 주로 발생하였으나 최근에는 국내 피해 사례도 증가하고 있습니다.KBS NEWS 채널, 유심칩 정보 복사해 가상화폐 돈 빼갔다…피해자는 모두 KT통신망 사용2022년 2월 17일 뉴스영상입니다. 피해자는 휴대전화 단말기가 변경되었다는 문자메시지를 받은 후 누군가가 피해자의 SNS와 가상화폐 거래소 사이트에 접속했다는 사실을 확인하였습니다. 피해자는 가상화폐 거래소에 있었던 2억7천만원가량의 금액을 모두 탈취당했습니다. 경찰에서는 유심 정보를 몰래 훔치는 심 스와핑 범죄 사례가 최근 잇달아 발생했다고 하였습니다.또한 2022년 9월부터 도입된 eSIM으로 인해 심 스와핑 수법이 더욱 진화된 형태로 발생할 것으로 경찰에서는 전망하였습니다.※ eSIM이란 SIM카드가 단말기 내에 내장되어 있어 개통신청을 하면 QR코드를 통해 개통이 가능합니다.심 스와핑 예방 방법1. 심 스와핑을 예방하기 위해 SIM카드에 비밀번호를 설정할 수 있습니다. 비밀번호 설정을 통해 통신기기를 재시동하거나 SIM카드를 제거할 때마다 번호를 입력해야 합니다. SMS또는 ARS가 아닌 앱 기반의 2단계 인증을 이용할 수도 있습니다. 심 스와핑으로 로그인을 시도하더라도 앱을 설치하고 인증을 거친 기기에서만 인증이 가능하여 보안강도를 높일 수 있습니다. 2. SMS나 이메일을 통해 출처가 불분명하고 검증되지 않은 첨부파일 및 URL은 클릭하지 않아야 합니다.3. 심 스와핑은 새벽시간대를 이용하여 피해자가 모르는 사이에 범죄피해가 발생하는 경우가 많기 때문에 모바일 백신 프로그램을 활용한 주기적 보안검사를 실시하는 것도 예방 방법입니다.
-
- 22.12.08