본문 바로가기

전체 글40

내부자에 의한 보안사고 사례 - 부정(Fraud) CJ홈쇼핑 회원 200만명 개인정보 유출사건 ① 사건 개요 『경기지방경찰청 사이버범죄수사대는 2005년 3월 28일 택배회사로부터 CJ홈쇼핑 회원 200만 명의 개인정보를 빼내 영업에 이용한 혐의(정보통신망 이용 촉진 및 정보보호에 관한 법률위반)로 텔레마케팅업체인 C홈쇼핑 대표 박 모(42) 씨를 구속했다. 또 회원들의 개인정보를 택배 배송을 독점하는 조건으로 박 씨에게 넘겨준 혐의로 CJ그룹 계열사인 CJ GLS 모 영업소 소장 이 모(38) 씨를 구속했다. 경찰에 따르면 텔레마케팅업체 대표 박 씨는 K 홍삼음료의 택배 배송을 이 씨가 독점할 수 있도록 해주는 대가로 2004년 6월 15일부터 12월 말까지 모두 10차례에 걸쳐 이 씨로부터 CJ홈쇼핑 회원 200만명의 이름과 주소, 전화번호를 넘겨받.. 2022. 7. 12.
내부자에 의한 보안사고 사례 - IT 사보타주(Sabotage) (2) Gucci 미국지사의 시스템다운 및 데이터 삭제 사건 ① 사건 개요 『Manhattan District Attorney Cyrus R. Vance, Jr. today announced the sentencing of SAM CHIHLUNG YIN, 35, to 2-to-6 years in state prison for tampering with the corporate computer network of Gucci America, Inc. (“Gucci”), the Manhattan-based American affiliate of the Italian luxury goods retailer. On July 18, 2012, the defendant pleaded guilty to Computer Tam.. 2022. 7. 11.
내부자에 의한 보안사고 사례 - 지식재산 절취(Theft of Intellectual Property) 현대·기아 자동차 핵심기술 유출사건 ① 사건 개요 『2007년 5월 10일 수원지검 형사4부(부장 김호정)는 현대·기아차의 차체 조립 기술 등을 중국의 C 자동차사에 넘긴 혐의로 A 컨설팅 전무 최 모(53) 씨와 팀장 윤 모(44) 씨, 현대·기아차 현직 직원 이모(40), 지 모(29) 씨 등 5명을 구속기소하고 A 컨설팅 대표 김 모(62) 씨와 이사 정 모(49) 씨 등 4명은 불구속기소를 했다. 전 현대·기아차 직원이었던 최 씨 등 구속된 A사 직원들은 2006년 11월부터 2007년 4월까지 후배인 이 씨 등에게 쏘렌토와 신차의 차체 조립 및 검사 기준과 관련한 보증시스템 등 모두 57개의 기술, 영업 비밀 자료를 e메일로 건네받아 이 중 9건을 중국의 C사에 넘기고 2억3천만원을 받은 혐의다.. 2022. 7. 10.
내부자에 의한 보안사고 사례 - IT 사보타주(Sabotage) (1) Omega 사의 시스템 파괴 사건 ① 사건 개요 『Tim Lloyd, 39, of Wilmington, Del., must surrender to the U.S. federal court May 6. Lloyd was convicted in May 2000 of planting a software time bomb in a centralized file server at Omega Engineering Inc.'s Bridgeport, New Jersey, manufacturing plant. On July 31, 1996, the malicious software code destroyed the programs that ran the company's manufacturing machines, cos.. 2022. 7. 10.
부정(Fraud) 유형 분석 부정은 “내부자가 IT 기술을 이용하여 개인의 이득을 위해 조직의 데이터를 무단으로 삭제하거나 위·변조 또는 절취하는 행위 혹은 신분 도용범죄 를 유도하는 정보의 절취 행위”를 의미한다. 여기에는 “주민등록번호, 신용카드번호, 계좌번호 등과 같은 중요 정보를 절취, 판매하는 행위나 돈을 받고 범죄기록, 운전기록, 복지 상태 등과 같은 중요 데이터의 변조 행위 또는 정부나 금융기관의 자금을 절취하는 행위”가 해당한다. 는 CERT Insider Threat Center에 보고된 내부자 부정의 주요 영향을 정리한 것이다. 내용에서 보듯이 내부자 부정은 다양한 방법으로 사회 전반에 영향을 미친다는 것을 알 수 있다. 내부자 부정의 영향 내부자 부정의 영향 - 5년간 금융기관으로부터 숨겨진 손실 약 .. 2022. 7. 10.
지식재산 절취(Theft of Intellectual Property) 유형 분석 지식재산 절취는“내부자가 IT 기술을 이용하여 조직의 중요 지적 재산을 절취하는 행위”를 의미한다. 또한, 지식재산은 지식재산 기본법에 “인간의 창조적 활동 또는 경험 등에 의하여 창출되거나 발견된 지식·정보·기술, 사상이나 감정의 표현, 영업이나 물건의 표시, 생물의 품종이나 유전자원(遺傳資源), 그 밖에 무형적인 것으로서 재산적 가치가 실현될 수 있는 것”이라고 정의하고 있다. 예를 들면, 컴퓨터 소프트웨어, 소스 코드, 비즈니스 계획, 상품 디자인, 상품 정보, 영업비밀, 연구 결과 등이 여기에 포함된다. 지식재산 절취의 목적은 “지식재산을 판매하기보다는 비즈니스 이득을 위해서 절취”하는 경우가 대부분이다. 그래서 지식재산 절취 후에 해당 지식재산권을 “새로운 직장”으로 가져가거나, “자.. 2022. 7. 10.
IT 사보타주(Sabotage) 유형 분석 IT 사보타주는 “내부자가 IT 기술을 이용하여 조직이나 개인에게 직접적인 위해를 가하는 행위”를 의미한다. 이 유형의 특징은 기술적으로 전문지식을 가지고 있는 “시스템 관리자”, “프로그래머”에 의해서 수행된다는 점이다. 예를 들면, 내부자가 미리 만들어 놓은 백도어 계정(Backdoor account) 이나 특정 조건에 실행되는 논리폭탄(Logic Bomb) , 원격에서 접속 가능한 사설 VPN 토큰(Token) 생성이 여기에 해당한다. 는 CERT Insider Threat Center에 보고된 IT 사보타주 공격의 주요 영향을 정리한 것이다. 내용에서 보듯이 IT 사보타주 공격은 사회 기반 시설의 전 분야에 영향을 미친다는 것을 알 수 있다. IT 사보타주 공격 영향 IT 사보타주 공격.. 2022. 7. 10.
내부자 위협 유형 및 원인 분석 Carnegie Mellon 대학의 CERT Insider Threat Center, CSO 매거진, 딜로이트(Deloitte) 그리고 미국 비밀검찰국(U.S. Secret Service)이 2011년도에 실시한 사이버 보안과 관련된 설문조사 “2011 CyberSecurity Watch Survey”에 의하면 응답한 607개의 단체 중에서 46%의 응답자가 외부자 공격보다 내부자 공격이 피해가 더 심각하다고 대답하였으며, 가장 일반적인 내부자 사이버 범죄 유형으로 을 선정하였다. 내부자 사이버 범죄 유형 사이버 범죄 유형 비율 기업정보의 무단 접근 및 사용 63% 의도하지 않은 개인정보 및 민감 정보 유출 57% 바이러스, 웜, 악성코드 37% 지적 재산 절도 32% * 출처: CERT Insider .. 2022. 7. 10.
해외 관련 법규 현황 - 정보보안 및 개인정보보호 관련 법률 정보보안 및 개인정보보호 관련 법률 미국 미국의 개인정보보호 법률 체계는 포괄적인 “옴니버스(Omnibus) 법제 방식”으로 일반법이 없는 대신 업종별로 개별법으로 명시하는 “개별주의”의 법률 체계를 취하고 있다. 예서처럼 미국의 법률체계는 공공부문에서는 “프라이버시 법 (Privacy Act)”이 일반법의 역할을 하고 있으며, 민간부문에서는 금융, 통신, 교육, 의료 등 업종별로 필요에 의해서 해당 사안에 맞는 개별법을 제정하는 방식을 취하고 있다. 미국의 이러한 개인정보보호 법률 체계는 일반적으로 “정보 이용의 효율성과 이익이 개인의 자기 결정권보다 중요하게 평가”되는 것으로 이해되고 있다. 또한, “사회적 변화나 기술의 발달에 따른 개별적인 접근과 대응이 용이한 반면 특정 분야에 한정되어 해당 분야.. 2022. 7. 10.

티스토리툴바