소니 해킹 보상금 1인당 최대 10억?...한국 기업들 해킹 보상금은 1인당 얼마? 시큐리티 핫이슈2011-05-10 16:37:17

<현재 사용이 중지된 소니 플레이스테이션 스토어 화면>

최근 국내뿐 아니라 전세계적으로 사이버 공격이 이슈가 되고 있습니다.
국내 농협, 현대캐피탈이 있었다면 지난 한 주 세계를 달군 이슈는 '소니 해킹, 개인 정보 유출 사고' 였습니다.

최근 소니는 게임 네트워크를 해킹 당해 약 1억건의 게임 이용자들의 개인정보가 유출됐습니다.
유출된 정보는 개인의 이름과 주소, 국가명, 이메일 주소,생년월일 등입니다. 신용카드 정보도 1200만건 정도 됩니다.
여기에는 약 25만명의 국내 이용자의 개인 정보도 포함됐습니다. 
이에 방송통신위원회에서도 부랴부랴 사건 진상 파악에 나섰고, 소니코리아를 통해 정보를 모으고 있습니다.   
범인이 세계적 해커 그룹인 '어나니머스(Anonymous)'라는 추측이 있었지만, 어나니머스에서 이 같은 사실을 부인하면서
사건은 또 미궁속으로 빠졌고, 현재 소니사는 FBI등을 통해 수사 협조를 요청한 상황입니다.

이번 사건의 최대 피해자는 누구보다 정보를 유출당한 소비자일겁니다.
한, 두 국가가 아니라 전 세계적으로 걸쳐있는 소비자들은 자신들의 정보가 어떻게 유출됐고 악용될지 불안감을 떨칠 수 없습니다.

이 같은 상황속에서 지난 6일, 소니는 온라인 개인정보 유출과 관련해 미국 이용자에게 최대 100만 달러, 우리나라 돈으로
최대 10억원까지 피해보상하겠다고 밝혔습니다. 그리고  미국 외 다른 나라 이용자에게도 같은 피해 보상을 하기로 했습니다.

해킹을 왜 당했는지, 보안이 허술했는지, 추후 대책은 어떻게 되는지 등 짚고 넘어가야 할 부분이 많습니다.

하지만 이번에는 이 금액. 최대 10억원이라는 보상 대책 발표에 초점을 맞춰보고 싶습니다.

우리나라도 그동안 숱한 개인정보 유출 사건이 있었습니다.
규모 면에서도 이번 사건보다 결코 적다고 할 수 없습니다.
 지난해 옥션 등 인터넷쇼핑몰 6950만건 유출, 지난 2008년 GS칼텍스 1800만건 유출 사건 등
개인정보 침해 피해규모만 약 11조원으로 정부는 추정했습니다.

그런데 피해는 11조 규모인데 그 피해를 입은 개인들이 보상을 받은 경우는 한 건도 없습니다.
그동안 옥션, GS칼텍스 사건 이후 19만명이 넘는 인원들이 소송에 참가했고, 소송 청구액만 2100억원이
넘습니다.
이들의 개인정보 유출사건은 법의 사각지대였다는 점도 있지만,
이들 기업조차 이들의 피해를 외면한 사례입니다.

최근 현대캐피탈 역시 사건 발생 직후 피해보상대책 마련 계획을 얘기했지만 한 달이 다 되어가는
이 시점에도 뚜렷한 피해보상 대책 얘기가 나오지 않고 있습니다.

이 같은 국내 상황 속에서
소니의 최대 10억원 보상이라는 구체적인 액수 언급은 개인정보 유출 사건을 바라보는 시각이
국내 기업들과 달랐음을 보여줬다는 점에서 인상적이었습니다.

물론 소니가 이 정도 금액 얘기를 한 후 이후 법정에서 또 다른 얘기를 할 수 있고,
이번 소니 대책 발표에 대해 임시방편이라는 비판도 많습니다.

하지만 적어도 기업이 먼저 책임을 지고 대책을 마련하겠다는 의지를 보여줬다는 점에서
국내 기업들도 배울 필요가 있어 보입니다.

국내 기업들은 개인 정보 유출 사건이후 쉬쉬하며 어서 시간이 흐르길 바라는 모습이 강했습니다.
그러다가 개인 피해자들이 집단 소송 등 제기 움직임이 보이면
조용히 있다가 법정에 서고,
법원에서 이들 기업들에게 법적 책임을 물을 이유가 없다는..원고 승소 판결을 내리고 난 후 이들은 또 조용히 사라졌습니다.

그동안 이들 문제에 대해 잣대를 들이댈 법이 없어서,  이들의 책임을 묻고 배상을 받기 어려웠다는 말도 있습니다.  
법이 없어서가 아닙니다.
도의적 책임에 대해 미리 사건 책임에 대해 인정하고 대책을 내놓는
기업의 선도적인 모습이 있었다면 법의 유무는 추후의 일입니다.

세계 최고 기업 소니가 이번 개인정보 유출 사건으로 신뢰도에 큰 위기를 맞고 있다는 보도가 많습니다.

기업의 규모를 떠나 개인정보 유출은
기업과 소비자 간의 신뢰를 한 순간에 잃을 수 있는 기업 최대 위기 사건입니다.
IT가 발달하고, 사이버 공격이 고도화되면서 이 같은 위기는 기업에게 자주 올 수 있습니다.

위기의 순간, 어떻게 대응할 지 기업들만의 위기 관리 커뮤니케이션과 진정성이 필요해보입니다.

농협 5년간 5100억원 보안 투자, 진정성 부족한 대책은 차라리 내놓지 말아야. 시큐리티 핫이슈2011-05-04 02:34:15
오늘 하루종일 뉴스는 "농협, 북한발 사이버테러" 소식으로 가득했습니다.
일단, 검찰 수사 결과가 발표된 이후에도 이번 공격에 대한 각종 의혹 보도가 이어지고 있습니다.
사건의 진실여부 혹은 세부 사항에 대해서는 여러 측면으로 더 살펴봐야 할 것 같습니다.

다만, 이날 오전 검찰 발표가 나온 후 농협에서 발표한 "검찰 수사결과 발표에 따른 농협의 대책"은 
실망감만 안겨줬습니다.

농협 발표의 핵심은 향후 4년간 5100억원을 투입해 최고 수준의 보안시스템을 구축하겠다는 것입니다.

우선, 소는 잃었지만 외양간 잘 만들어 또 다시 사고를 당하지 않도록 하겠다는 보안 의식을 보여줬다는 점에서는
긍정적이라고 평가할 수 있습니다.

하지만, 발표 내용을 찬찬히 보고 있노라면, 과연 농협이 이번 보안 사고의 핵심을 제대로 파악하고 있는지 의문이 듭니다.

농협이 향후 4년간 투자할 5100억원은 어떻게 쓰일까요.?
-최고 보안 시스템과 최첨단 방화벽을 갖춘 IT센터 신축과 최신시스템 설치: 4000억원
-비상사태에 대비한 백업 및 재해복구시스템 확대: 930억원
-기타 기반시설 확충: 170억원

이들 5000억원 규모 사업의 핵심 키워드는 "최첨단 보안 시스템 구축"  입니다.
결국 막대한 돈을 들어 첨단 보안 솔루션과 장비들로 무장하겠다는 뜻입니다. 
첨단 해킹 기술들이 난무하는 상황에서 이에 대응하기 위한 장비들을 갖춘다는 점은 바람직한 방향입니다. 

하지만 농협이 정말 오늘 검찰 수사 결과 발표에 따른 대책을 발표하는 거라면 대책 방향이 잘못됐습니다. 

우선, 검찰 결과가 북한 소행으로 발표됐지만 해킹에 속수무책 당할 수밖에 없었던 이유는 농협의 허술한 보안 관리였습니다. 
이번 농협 전산장애는 최첨단 장비들이 없어서 해킹을 못 막은게 아닙니다.  
노트북 하나 조차 수 개월 동안 관리하지 못한, 보안의 기본을 어겼기 때문에 해커의 표적 공격 대상이 된 것입니다.

그렇다면 대책 역시 수천억원의 자금 투입을 강조할 게 아니라, 
내부 보안이 허술했음을 인정하고 기본부터 잘 지킬 수 있는 촘촘한 대안들이 나왔어야 하지 않을까요.
물론 최고정보보호책임자(CSO)를 운영하고, 관련 조직을 대폭 확대하며, 내년까지 현재 763명인 IT전문인력을
1000여명까지 확대한다는 계획을 발표했습니다.
하지만 CSO 운영은 금융권이 당연히 지켜야할 기본 사항이고, 관련 조직 확대는 그동안 최소 인원이 관리해 온 상황을 미뤄봤을 때
당연한 수순이며, IT전문인력 확대 역시 금감원 권고 수준에 머무는데 그치는 정도입니다.
이렇게 되면 이제 겨우 그동안 금감원에서 강조해온 기본 수준의 보안사항을 갖추게 되는 정도입니다.
당연히 해야 했던 일들을 사건이 터지자 새롭게 신설, 늘리는 것처럼 발표하는 것은 책임 면피용으로 밖에 보이지 않습니다.

오늘 모 보안업체의 금융권 보안 세미나에 들렀다가 외국계 은행에 보안 제품을 공급하는 업체 관계자의 말을 들었습니다.
"외국계 은행에 보안 제품을 구축하다보면 은행 직원들 불만이 상당합니다. 악성코드 감염 등 보안 문제로 웹으로  메일 조차 쓸 수 없고
철저한 인증 절차 때문에 직원들이 불편함을 많이 겪거든요."

적어도 이번 농협 대책 발표에 진정성이 느껴지려면,
5000억원 투입, CSO, 인력 증원과 같은 일반론적인 대책이 아니라
직원 불편을 감수하더라도 농협사고 재발 방지를 위한 '농협만의 대책'이 하나쯤은 나왔어야합니다.
 
그래야 적어도 초유의 전산장애 사고로 인해 피해를 입었을 이들의
2차 정신적 피해를 조금이나마 경감해 줄 수 있지 않을까요.


말레이시아에서 인기있는 백신 SW는? 각종 보안 자료2011-05-03 18:08:11


말레이시아에서 인기있는 백신 SW는?


최근 국내 보안업체들이 동남아 시장 등의 진출을 노리고 있습니다.
성공적인 해외 진출을 위해서는 해외 시장 동향을 잘 아는 것이 필요한데요.
오늘은 말레이시아 백신 소프트웨어(SW) 시장이 어떤 상황인지 알아보겠습니다.

KOTRA에 따르면 말레이시아에서는 카스퍼스키랩의 백신이 가장 인기있고 미국계 회사 제품들도 인기가 많다고 합니다.

KOTRA는 카스퍼스키랩 제품이 지난해 말레이시아 백신 SW 시장의 60%의 시장 점유율을 보이고 있고 그 뒤를 이어 시만텍의 노턴, 아비라, 트렌드마이크로, 맥아피 등의 제품이 인기가 있다고 합니다.

말레이시아 내 웹사이트들 중에서 접속 수 2위를 기록하는 Lawyat.net에서 실시한 설문조사에서도 비숫한 결과를 볼 수 있습니다. 이 조사에서 카스퍼스키랩 백신제품이 30.43%의 선호도로 말레이시아 내 1위를 차지했으며 안티버(Antivir) 14.13%와 NOD32 13.91%가 그 뒤를 이었습니다.

KOTRA에 따르면 말레이시아 국민들은 온라인 프라이버시와 데이터 보안에 신경을 많이 쓰고 있다고 합니다.

지난해 7개 국가(핀란드, 독일, 말레이시아, 폴란드, 스웨덴, 영국, 미국)에서 실시한 설문조사에서 말레이시아인 59%가 악성프로그램에 대해 걱정한다고 대답했습니다. 반면 핀란드는 22%의 국민이 독일 65% 국민이 악성코드에 대해 걱정하고 있어 상대적으로 말레이시아 국민들이 악성코드에 걱정을 많이 하는 것으로 나타났습니다.

KOTRA는 말레이시아에서 한국의 백신 프로그램이 아직 시장에서 낯선 제품으로 인식되고 있지만 휴대폰, 컴퓨터 등을 통해서 한국의 높은 IT 기술은 널리 알려진 상태여서 시장진입 가능성은 크다고 분석하고 있습니다.

다만 말레이시아 진출을 위해서는 현지화가 중요한 관건이라고 합니다.


 

보안 사고 보도의 딜레마 취재...뒷이야기2011-05-02 18:16:25

지난달 현대캐피탈 사고를 기점으로 농협, 최근에는 소니 해킹까지 연일 보안 사건이 가득합니다.
그렇다보니 최근 취재원들로부터 제일 많이 듣는 말은.."요새 정신 없으시죠?"
정말 정신이 없습니다.
이것 저것 취재꺼리가 많아 몸이 분주한 것도 있지만,
그것보다는 어디까지 보도를 해야할 지 망설여지는 순간이 너무 많아 정신이 없습니다.

지난달 농협 사건 이후 많은 추측성 보도가 나왔습니다.
"농협사건은 북한이 꾸민 것?", "농협 내부자가 악의를 품었다?"
어느것 하나 확실하게 발표된바는 없습니다.
농협 조차 말바꾸기를 손바닥 뒤집기 식으로 해왔습니다.

그래도 연일 보도는 지속됐습니다.
기자 입장에서는 고민이 됩니다.
과연 확인되지 않은 이야기를 써야할까.
고민하다 검찰이 내부자 노트북 조사를 어느정도 진행한 시점에서
중간 조사 결과를 바탕으로 기사를 출고했습니다.

http://www.dt.co.kr/contents.htm?article_no=2011042002010351746002


기사가 나간후 모 보안업체 임원분께서 전화를 주셨습니다.
"왜 갑자기 소설을 쓰고 그러세요?"
웃으시며 농담처럼 던지 그분 말씀이 제겐 농담처럼 들리지 않았습니다.

농협 북한 공격설도 마찬가지입니다.
http://www.dt.co.kr/contents.htm?article_no=2011042902010251746002

보도가 나간 후 기사에 '북한' 연결고리를 최대한 객관적으로 얘기해보려 했지만
최근 아예 직접적으로 '북한공격'이라는 타이틀을 내민 기사들이 쏟아지면서
과연 이번 농협 문제가 객관성을 유지하며 보도할 수 있는 사안인가..고민이 됩니다.

아마 취재현장에 있는 많은 기자들이 같은 고민을 해왔고, 하고 있을거란 생각이듭니다.

이번 사건 이후 오히려 보안 업체에 계신분들은 조용합니다.
사실 보안 중요성이 계속 부각되고 이슈가 만들어져야 산업계에도 좋은게 아닐까...생각되지만
오히려 보안 우려 목소리는 업계가 아닌 언론에서 더 많이 나오는거 같습니다.

물론 농협, 현대캐피탈이 허술한 보안 체계를 갖췄고, 이를 반면교사 삼아 그동안 보안 불감증에 빠진 업체들에게 경종을 울릴 필요는 있습니다.

다만 보안 업계조차 과장 보도에 대한 우려감을 표하는 상황에서
기사 한 꼭지, 한 꼭지에 더욱 신중을 가해야하지 않나 생각됩니다.
기본중의 기본이지만
때론 이 기본이 잊혀질 때 언론 보도는 '기사'가 아닌 '가십'이 되겠죠.?

   81  82
Copyright ⓒ 푸우. All rights reserved.