<7.12>
멀티클라우드 전략을 수립할 때 고려해야 할 6가지 사안들
...
멀티클라우드란?
참고 : https://openpr.kr/forum/view/470139
참고 : https://news.v.daum.net/v/20190524135100440
클라우드 서비스는 구축 형태에 따라 특정 기업이 독점적으로 쓸 수 있는 데이터센터를 기반으로 구축하는 프라이빗(private cloud, 폐쇄형) 클라우드, 그리고 외부 전문업체의 공용 데이터센터를 기반으로 하는 퍼블릭 클라우드(public cloud, 공개형) 클라우드로 나눌 수 있다.
프라이빗 클라우드는 구성이 자유로워 자사 비즈니스에 최적화된 서비스를 구현하기에 유리하며 보안성이 높다는 점이 장점이다. 대신 초기 투자비용이 많이 들고, 일정 수준 이상의 규모를 확보하지 많으면 오히려 효용성이 떨어질 수도 있다. 퍼블릭 클라우드는 이와 정반대의 특성을 갖추고 있다. 하이브리드 클라우드는 이 두 가지 클라우드를 조합해 동시에 운용하며 각각의 장점을 모두 취할 수 있다.
멀티 클라우드는 각기 다른 여러 클라우드를 동시에 이용해 효용성을 높인다는 것으로, 하이브리드 클라우드의 상위 개념이라 할 수 있다. 멀티 클라우드를 통해 서비스 지연 등의 장애에 효과적으로 대처할 수 있으며, 각 클라우드의 장점을 살린 특화 서비스도 가능하다. 이 경우는 프라이빗 + 퍼블릭 클라우드의 조합 외에, 퍼블릭 + 퍼블릭 클라우드의 조합도 가능하다.
이를 테면, 아마존과 IBM에서 제공하는 각각의 퍼블릭 클라우드 서비스를 한 기업에서 동시에 운용할 수 있는 IT 환경을 구축한다는 의미다
...
중국인 10억 명의 개인정보, 어떻게 온라인에 유출됐을까?
...
지난 주 다크웹에 중국인 10억 명의 개인정보가 풀렸다는 소식이 나오면서 조사가 시작됐었다. 영국 IT 일간지 더 레지스터에 따르면 해당 데이터베이스는 상하이 공안이 관리하던 것이며, 대시보드가 보호되지 않은 채 인터넷 공간에 노출되어 있었다고 한다.
문제의 대시보드는 키바나(Kibana)라는 오픈소스로 만들어진 것이었으며, 해당 키바나 인스턴스는 5.5.3 버전의 엘라스틱서치와 연결되어 있었던 것으로 보인다. 5.5.3 버전은 매우 오래된 것으로 인증 도구의 지원이 매우 까다롭고, 따로 유료 결제를 해야만 한다.
아직까지도 해당 엘라스틱서치 DB에 보안 설정이 제대로 되어 있었다는 증거는 나타나지 않았다.
...
메타마스크 취약점, 브라우저에서 비밀번호 버튼 클릭하는 순간 해킹
...
[CVE-2022-32969]
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32969
메타마스크 10.11.3 이전 버전의 지갑을 크롬과 같은 PC 브라우저에서 사용할 때 확인
브라우저에서 메타마스크 지갑의 ‘비밀번호 복구 문구 조회(Show Secret Recovery Phrase)’를 클릭하면 브라우저 자체의 메커니즘으로 인해 지갑을 복구하기 위한 문구(니모닉)를 유출할 수 있다. 브라우저는 페이지의 텍스트를 로컬 디스크에 저장(캐시)해 다음에 같은 페이지를 열 때 이전 페이지를 신속하게 복원한다. 이 같은 브라우저 메커니즘이 메타마스크 지갑 비밀번호 페이지의 텍스트까지 저장하는 보안 취약점이 확인된 것
...
<7.13>
아시아 태평양 기업 72%, 지난해 랜섬웨어 공격 받았다
...
그에 따르면 이러한 대비에서 가장 중요한 건 신뢰다. 디지털화로 인해 기업들은 클라우드 및 상호 연결된 공급망 등의 기술을 사용하면서 더욱더 취약해졌다. 이에 대응하려면 기업 내·외부 이해관계자 간에 신뢰를 구축하고 유지하는 역할이 있어야 한다. 스트러더스는 이와 관련해 완전한 팀을 구축할 가치가 충분히 있다고 덧붙였다.
...
점점 더 교묘한 심리적 압박 전술 보여주는 소셜엔지니어링 공격자들
마이크로소프트와 구글의 소프트웨어 업데이트로 위장한 새 랜섬웨어
<7.14>
해커에게 AWS 접근권한 탈취당해 639만명 고객정보 유출된 기업...과징금 3억 8,900만 원 부과
...
㈜브랜디의 경우 해커가 알 수 없는 방법으로 확보한 클라우드서비스(AWS) 관리자 접근권한(Access key)을 활용해 개인정보처리시스템에 접근하여, 약 639만여 건의 고객 개인정보(ID, 암호화된 비밀번호, 이메일)를 유출하였다.
더불어 ㈜브랜디는 개인정보처리시스템에 대한 접속권한을 인터넷주소(IP) 등으로 제한하지 않았고, 탈퇴한 회원의 개인정보를 파기하지 않고 보관하는 등 개인정보 보호법령을 위반한 사실을 확인하였다.
개인정보위는 이러한 ㈜브랜디의 법령 위반행위가 과중한 것으로 판단하여, 과징금 3억 8,900만 원과 과태료 780만 원을 부과하기로 결정하였다.
㈜에스테크엘이디는 개인정보처리시스템을 운영하면서 안전한 인증수단을 적용하지 않았고, 1년 이상 장기 미이용자의 개인정보를 파기 또는 분리하여 별도로 보관하지 않은 사실이 확인
...
[개인정보보호법]
제34조의2(과징금의 부과 등) ① 보호위원회는 개인정보처리자가 처리하는 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우에는 5억원 이하의 과징금을 부과ㆍ징수할 수 있다.
제39조의15(과징금의 부과 등에 대한 특례) ① 보호위원회는 정보통신서비스 제공자등에게 다음 각 호의 어느 하나에 해당하는 행위가 있는 경우에는 해당 정보통신서비스 제공자등에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다.
