직장에 다니시는 분들이라면 대부분 출근하자마자 메일함을 확인하실 겁니다. 이 과정에서 퇴근 후에 온 업무 관련 파일이나 메일함 사용량 경고 같은 메일은 큰 의심 없이 눌러보기 마련인데요. 지난 2024년에는 이처럼 의심 없이 클릭하게 되는 링크가 삽입된 악성 메일이나, 개인정보를 탈취하는 악성코드를 넣은 스미싱, 피싱 등의 사이버 위협이 기승을 부린 한 해였습니다.  이처럼 지난 2024년 동안 우리는 스미싱과 같은 다양한 사이버 보안 위협에 직면했습니다. 이러한 위협들은 다양한 지원과 기술의 발전으로 더욱 진화하고 고도화하기 시작했죠. 여러 사이버 위협 속에서 조직의 체계적인 대응을 돕기 위해 과학기술정보통신부(이하 과기정통부)와 한국인터넷진흥원(이하 KISA)은 지난 한 해 발생했던 사이버 위협 사례..

코로나 팬데믹과 디지털 전환으로 Microsoft Teams, Slack, Google Workspace 등 다양한 협업 툴의 사용이 급격히 증가했습니다. 이러한 툴들은 업무 효율성을 높이는 데 큰 도움이 되지만, 동시에 예상치 못한 문제들도 발생하고 있습니다. 특히 보안 취약성과 데이터 파편화 문제가 두드러지면서 많은 조직들이 고민에 빠졌습니다.​이러한 문제의 주요 원인 중 하나로 최근 'Shadow IT'가 대두되고 있는데요. Shadow IT란 조직 내에서 IT 부서의 승인 없이 직원들이 개인적으로 사용하는 소프트웨어, 하드웨어 및 애플리케이션을 말합니다. 직원들이 업무 편의성을 위해 도입한 이런 비인가 툴들이 오히려 조직 전체의 보안을 위협하는 요인이 되고 있는 상황입니다.​​Shadow IT가 ..

TISAX는 Trusted Information Security Assessment Exchange의 약자로, 자동차 산업을 위한 정보 보안 평가 및 교환 메커니즘으로 정의될 수 있습니다. 자동차 업계에서 정보 보안 평가를 상호 인증하고, 민감한 정보를 파트너 회사들과 안전하게 공유해 자동차 공급망 전체의 신뢰를 제고하기 위해 개발됐습니다. 따라서 신뢰할 수 있는 정보 보안 평가 교환 체계, 더 나아가 글로벌 자동차 산업 정보 보안 관리 인증으로서 역할을 하고 있습니다. 일반적으로 사업 기획부터 설계, 생산, 유통 등 모든 비즈니스 과정을 한 조직/회사에서 전담하는 경우는 찾기 어렵습니다. 단계마다 특화된 협력 업체를 연결해 공급망 (Supply Chain)을 구성하죠. 이와 동시에 공급망 보안 이슈가 ..

특정 기업 및 기관이 보유한 기술이 시장에서 높은 가치를 갖고, 유출 시 큰 타격이 예상될 때, 우리는 그 기술을 조직의 ‘핵심기술’이라고 부릅니다. 규모를 좀 더 키워보면, 국내외 시장에서 가치가 높거나 관련 산업의 성장 잠재력이 높아 해외로 유출될 경우 국가의 안전보장 및 국민경제 발전에 악영향을 줄 수 있는 기술을 ‘국가핵심기술’이라고 말합니다. ​​쉽게 말하자면 국가핵심기술은 국가 경제 및 안보에 영향을 미치는 기술로, 국가 차원의 보호가 필요한 기술을 뜻합니다. 산업통상자원부에서 지정한 반도체, 디스플레이, 전기전자 등 총 13개 분야의 75개 주요 기술이 있고, 보유 기관은 보호 조치 의무와 수출, 해외 인수ᆞ합병 사전 및 사후 관리 의무를 갖게 됩니다. 당연한 이야기지만, 국가핵심기술을 보유..

제 눈에만 그렇게 보이는 걸까요. 올해 유난히 굵직굵직한 정보 유출 사고들이 매체를 통해 많이 보도되는 느낌입니다. 외부의 해킹 공격뿐만 아니라, 내부자의 악의적인 유출까지 방법도 가지각색입니다. 최근엔 대표적인 온라인 서점이 해킹을 당해 출판계 베스트셀러들이 대거 유출된 사실이 드러났습니다. 동아일보의 보도에 따르면 유출된 책들은 보안 장치인 ‘디지털 저작권 관리(DRM)’ 기술이 적용되지 않았고, 보안이 취약하다는 ‘개방형 자유 전자서적 표준(e-Pub)’ 형식으로 제작된 것으로 밝혀졌습니다. 유출이 확인된 5,000여권에는 국내 유명 출판사의 베스트셀러가 다수 포함돼 있었고, 피해 출판사는 500곳 이상으로 분석됐습니다. 특히나 최근에는 이런 양상들이 많습니다. 하나의 조직이 해킹을 당한다고 해서 ..

7,000만 달러(약 920억 원)!! 해커 그룹이 피해 기업에게 요구한 금액입니다. 탈취에 성공한 데이터를 공개하지 않는 조건으로 협박 중입니다. 전형적인 해킹 조직의 수법입니다. 피해 기업은 반도체 업계의 세계적인 기업입니다. 정보 유출은 모든 기업 및 기관에게 큰 문제이지만, 중요 기술 및 정보가 조직의 존망을 좌우하는 업계에서는 더 민감한 사항이죠. 이번 사건엔 특이한 점이 있습니다. 피해 기업이 해킹을 당하지 않았다는 점입니다. 해킹 사건의 피해 기업이 해킹을 당하지 않았다? 궤변처럼 느껴지지만 사실입니다. 피해 기업이 직접 해킹을 당한 것이 아니라, 협력사를 해킹해 피해 기업의 데이터를 탈취한 사건이기 때문입니다. 피해 기업은 세계적인 기술력을 가진 최첨단 업체입니다. 당연히 철저한 보안을 적..