2016년이 문화적으로나 정치적으로 "나쁜 해"로 널리 간주되고 있음을 부인할 수 없습니다. 그러나 보안 세계는 어떻습니까? 2016년은 어떻게 되었습니까? 그리고 유출, 침해 및 감시 증가로부터 무엇을 배울 수 있습니까?
누출, 누출 후, 누출 후
웹사이트 해킹과 데이터 유출은 수년 동안 우리 온라인 생활의 중심이었지만 2016년은 모두가 주의를 기울여야 했던 해였습니다. 수많은 사상자 중에는 클라우드 스토리지 제공업체인 Dropbox와 전문 소셜 네트워크인 LinkedIn이 있습니다.
Dropbox 해킹으로 6,800만 개의 계정이 노출되었으며 전체 비밀번호 중 절반만 안전하게 암호화되었습니다. LinkedIn은 당시 사용자 기반의 73%에 해당하는 1억 1,700만 개의 자격 증명을 잃음으로써 이를 능가했습니다. 이 공격이 5월에 밝혀졌음에도 불구하고 Microsoft는 한 달도 채 되지 않아 LinkedIn을 262억 달러에 인수했습니다. LinkedIn의 나쁜 해가 계속되면서 온라인 학습 사이트인 Lynda도 손상된 것 같습니다.
Spotify는 4월에 미스터리하고 여전히 설명할 수 없는 누출을 겪었고, 그 결과 Pastebin에서 수백 개의 계정이 누출되었습니다. 엄청나게 인기 있는 게임 Minecraft 다음 줄에 있었지만 이번에는 회사 자체에서 나온 것이 아닙니다. 대신 Minecraft 팬사이트 Lifeboat는 7백만 개 이상의 계정과 사이트의 열악한 보안 관행을 노출시키는 공격을 받았습니다.
Dropbox와 LinkedIn에 공평하게 말하자면, 데이터의 대부분은 2012년에 발생한 공격에서 나온 것으로 보입니다. 그 사이에 각 회사는 보안 노력을 크게 개선했습니다. 그러나 이것은 개인 정보가 온라인에 올라간 수백만 명의 사용자에게 거의 위안이 되지 않습니다.
그들만이 아니었다
영국 인터넷 제공업체 TalkTalk는 17세의 비디오 공유 웹사이트인 Dailymotion에 의해 해킹되어 8,520만 명의 사용자 이름과 이메일 주소를 잃었고 샌프란시스코의 전송 시스템은 100비트코인($80,000)의 몸값을 받았습니다.
작년 Ashley Madison 누출은 역사상 최악의 성인 웹사이트 누출로 널리 간주되었습니다. 성적 취향의 공개는 협박과 명예 훼손의 도구로 사용되어 특히 피해를 입었습니다. 사용자를 악용할 수 있는 유용한 방법을 찾은 해커는 더 많은 성인 웹사이트를 공격하여 Brazzers 및 AdultFriendFinder가 유출되었습니다.
공격자가 계정 내부의 데이터에 액세스하는 경우 이러한 누출 자체는 모두 상당한 피해를 줍니다. 많은 사람들이 여전히 여러 사이트에서 로그인 정보를 재사용한다는 것이 분명해지면서 문제는 더욱 복잡해졌습니다. 이것은 해킹처럼 보이지만 TeamViewer 및 Gmail과 같은 유명 사이트는 아니었습니다.
우리 모두에게 일어나는 일
아이러니하게도 트위터 CEO Jack Dorsey의 트위터 계정은 OurMine 그룹에 의해 해킹당했습니다. 이 그룹은 또한 Facebook CEO인 Mark Zuckerberg의 Twitter 및 Pinterest 계정을 훼손했습니다. 그들은 만족하지 않고 Google의 Sundar Pichai, Uber의 Travis Kalanick, Spotify의 Daniel Ek를 포함한 다른 기술 CEO를 목표로 삼았습니다. 능글맞은 기술 CEO들이 우리와 같은 보안 실수의 희생양이 되는 것에 만족할 것입니다.
가장 좋은 조언은 암호 관리자를 사용하는 것입니다. LastPass 및 Dashlane의 제품이 가장 인기가 있지만 많은 오픈 소스 대안이 있습니다. 암호를 보호했으면 추가 보안 계층으로 이중 인증을 활성화할 수 있습니다.
야후의 해는 최악에서 더 나빠졌다
우리가 데이터 유출 문제에 대해 이야기하고 있는 동안, 야후는 놀라울 정도로 나쁜 해를 보냈습니다. 병든 인터넷 회사를 되돌리는 데 실패한 후 Marissa Mayer는 마침내 매각 결정을 내렸습니다. Verizon에서 잠재 구매자를 찾은 야후는 2년 전에 5억 개의 계정이 유출되었다고 인정함으로써 판매 기회를 훼손했습니다. 아, 그리고 그들은 NSA가 귀하의 계정에 무제한으로 액세스할 수 있도록 허용했습니다.
5억 개의 계정과 정부의 감시가 충분히 충격적이지 않았기 때문에 야후는 10억 개의 계정이 추가로 유출되었다고 보고하면서 한 해를 마감했습니다. 크게 가거나 집에 가, 그렇지? 지금이 Yahoo Mail에서 마이그레이션할 때라고 생각한다면 ProtonMail과 같은 안전한 대안이 있습니다.
맬웨어에 의해 인질로 잡힘
우리가 인터넷에 연결하기 시작한 이래로 바이러스와 맬웨어는 전 세계 컴퓨터 사용자에게 큰 골칫거리였습니다. 다행히 기업은 보안 취약점을 더 잘 포착하고 수정하여 공격의 영향을 훨씬 낮추고 있습니다. 절대 빠질 수 없는 해커들은 Android와 같이 상대적으로 약한 모바일 운영 체제에 관심을 돌렸습니다.
올해 Android 기기에서 두 가지 대규모 익스플로잇이 발견되었습니다. 여름 동안 Quadroot로 알려진 Android 장치에서 널리 사용되는 Qualcomm 칩셋의 취약점에 대한 세부 정보가 나타났습니다. 익스플로잇은 네 가지 취약점 중 하나를 사용하여 장치에 대한 루트 액세스 권한을 얻습니다. 보안 패치가 릴리스되었지만 시스템 업데이트의 적시 배포가 제대로 이루어지지 않아 많은 장치가 여전히 취약합니다.
두 번째는 또한 기기에 Gooligan이라는 맬웨어를 설치하여 기기의 루트 권한을 얻는 것을 목표로 합니다. 이는 타사 마켓플레이스에서 발견된 악성 링크 또는 악성 앱을 통해 수행됩니다. 이 익스플로잇은 Android pre-Marshmallow 6.0의 이전 버전에만 영향을 줍니다. 현재 Google OS를 실행하는 모든 기기의 약 75%를 차지합니다.
랜섬웨어의 부상
가장 문제가 되는 맬웨어는 의심할 여지 없이 랜섬웨어였습니다. 일년 내내 이 믿을 수 없을 정도로 악의적인 맬웨어의 발생률은 이전에 볼 수 없었던 수준으로 증가했습니다. 랜섬웨어는 장치의 기능을 잠그거나 파일과 데이터를 인질로 삼는 소프트웨어입니다. 기기의 잠금을 해제하고 소프트웨어를 제거하려면 비용을 지불하라는 메시지가 화면에 표시됩니다. 하지만 일반적으로 비용을 지불하더라도 해커는 카드에 사기성 요금을 청구할 뿐 멀웨어를 제거하기 위해 아무 조치도 취하지 않습니다.
공격자들은 또한 배포 전술을 통해 점점 더 똑똑해지고 있습니다. 악명 높은 Locky 랜섬웨어의 새로운 변종은 소프트웨어 설치에 동의할 필요가 없습니다. 대신 JavaScript를 사용하여 포함된 파일을 다운로드하고 실행하여 악성 맬웨어에 감염시킵니다. 앞서 언급한 샌프란시스코 교통 해킹은 일종의 랜섬웨어로, 몸값이 지불될 때까지 통근자들이 무료로 여행할 수 있습니다. 이는 해커가 랜섬웨어를 사용하여 재정적 이득을 위해 도시, 교통 및 기타 기반 시설을 인질로 잡는 등 2017년에도 계속될 추세입니다.
귀하의 개인정보가 더욱 침해되었습니다
우리가 디지털 세계에 많은 개인 데이터를 방치하고 있다는 것은 비밀이 아닙니다. 그 중 일부는 소셜 미디어에 게시하기로 선택한 정보에서 가져오고 일부는 우리의 입력 없이 백그라운드에서 수집됩니다.
가장 잘 알려진 데이터 마이너는 Facebook입니다. 소셜 미디어 거물은 당신에 대한 정보를 캡처하는 다양한 방법을 가지고 있습니다. 그런 다음 자체 제품에 사용되거나 제3자에게 판매됩니다. 피트니스 트래커조차도 덜 유익한 이유로 사용되기 때문에 웹 전체에 데이터를 노출하는 유일한 것은 아닙니다.
당사의 피트니스 트래커, 웨어러블 기술 및 건강 앱은 광고주와 보험 회사가 손에 넣고 싶어하는 엄청난 양의 유용한 데이터를 생성합니다. 전 세계 대부분의 국가에서 의료 및 건강 정보의 개인 정보는 철저히 보호됩니다. 그러나 기술 시장이 규제를 앞지르고 있으므로 개인 데이터가 반드시 그대로 유지되는 것은 아닙니다.
포켓몬 고 사태
여름 동안 증강 현실 게임 Pokemon Go 출시 일주일 만에 천만 회 이상 다운로드되는 놀라운 메가히트가 되었습니다. 그러나 출시 첫 며칠 동안 게임에 필요한 권한 수준에 대해 큰 논쟁이 벌어졌습니다. iOS에서 게임에 로그인할 때 개발자에게 Google 계정에 대한 "전체 액세스" 권한을 부여해야 했습니다. 이 권한은 실제로 Google 자체 앱에만 부여된 권한입니다. 다행히 Niantic이 로그인 메커니즘을 구현하는 방식의 실수로 인해 발생했습니다.
토론은 최소한 사용자가 개인 데이터 양도의 의미를 이해하기 시작했음을 보여줍니다. 스마트폰은 데이터 유출의 주요 원인인 경향이 있지만 다행히도 Android와 iOS 모두 개인 정보를 보호하기 위해 설정을 조정할 수 있는 방법이 있습니다. Windows 10은 과도한 데이터 수집으로 인해 많은 비판을 받았습니다. 다행스럽게도 Redmond로 보내는 메일을 최소화할 수 있는 방법이 있습니다.
빅 브라더의 부상
디지털 감시는 새로운 개념이 아닙니다. 중국은 10년 넘게 이를 수행해 왔습니다. 2013년 스노든의 유출로 우리는 우리의 모든 움직임을 추적하는 전 세계 정보 기관의 보이지 않는 네트워크에 대해 배웠습니다. 대중의 분노가 커지면서 정부가 후퇴하여 감시 전술을 최소화할 가능성이 있는 것처럼 보였습니다.
올해 우리는 그 반대가 사실임을 배웠습니다. 전 세계적으로 정부와 정보 기관은 감시를 두 배로 늘리고 많은 경우 그들의 관행을 합법화하려고 시도합니다. 여기에는 현재 악명 높은 영국의 스누퍼스 헌장(Snoopers Charter)이 포함됩니다. 이 법안은 11월에 통과되어 ISP가 네트워크의 모든 활동에 대한 로그를 최대 1년 동안 보관해야 합니다. 그런 다음 이 정보는 어리둥절할 정도로 많은 정부 기관 간에 공유될 수 있습니다. 이유는...
유사한 법안이 NSA가 실행하는 놀랍도록 광범위한 감시를 합법화할 것으로 예상됩니다. 불행히도 이러한 개인 정보 파괴 전술에 대한 대중의 반대는 "국가 안보"라는 이름으로 무너지기 시작했습니다. 슬프게도 소셜 미디어는 극단주의자와 테러리스트가 플랫폼을 통해 메시지를 퍼뜨리는 것을 허용함으로써 이 이야기를 뒷받침하고 있습니다.
많은 데이터베이스
그들의 신용으로 Facebook, Twitter, Microsoft 및 YouTube는 쉽게 제거할 수 있도록 테러 관련 콘텐츠 데이터베이스를 만들기 위해 협력할 것입니다. 그러나 데이터베이스는 또 다른 감시 도구가 될 수 있습니다. 이것은 Twitter의 잠재적인 검열 그룹인 Trust &Safety Council과 잘 어울립니다.
FBI는 또한 NGI(Next Generation Identification)로 알려진 감시 친화적인 데이터베이스를 개발하고 있습니다. 이 시스템은 "세계에서 가장 크고 가장 효율적인 생체 인식 및 범죄 기록 정보 전자 저장소"가 될 것입니다. 이것은 생체 인식이 결국 신원 확인의 미래가 아닐 수 있다는 주장에 힘을 더해줍니다. 당신을 염탐하려는 것은 정부만이 아닙니다. 사립 탐정과 아마추어 탐정이 웹에서 개인을 추적하는 방법을 개발하고 있습니다.
놓쳤을지 모르지만 미국은 올해 선거를 치렀습니다. 정당들도 잠재적 유권자에 대한 정보를 수집하는 새로운 방법을 찾고 있었습니다. 걱정스럽게도 경찰서는 Beware라는 논란의 여지가 있는 소프트웨어를 사용하기 시작했습니다. 목표는 소셜 미디어 계정을 기반으로 "위협 점수"를 할당하는 것입니다. 이 모든 것이 마이너리티 보고서처럼 들립니다. -소셜 미디어에서 공유하는 내용을 조심해야 합니다.
쾌활해야 하는 이유
이러한 격동의 한 해를 돌이켜보면 정부와 해커가 공개적으로 퍼뜨리는 우리의 개인 데이터와 함께 세상이 무너지고 있다는 인상을 받을 수 있습니다.
그러나 우리 모두의 상황을 개선하기 위해 노력하는 일부 회사가 있습니다. 여기에는 웹브라우저 Firefox의 개발자인 Mozilla가 포함됩니다. Mozilla의 선언문에는 인터넷의 보안 및 접근성 보호에 관한 10가지 원칙이 나열되어 있습니다. 이를 위해 최근 iOS용 개인 정보 보호에 중점을 둔 웹 브라우저인 Firefox Focus를 출시했습니다.
인터넷에 백본을 제공하는 기술도 더 나은 방향으로 변화하고 있습니다. TLS(전송 계층 보안)는 SSL(Secure Socket Layer)을 점차적으로 대체하여 사용자와 웹 사이트 간의 더 안전한 연결을 생성합니다. 100% HTTPS 채택을 향한 추진도 있습니다. 보안 회사인 Symantec은 유료 부가 서비스와 함께 웹사이트 인증서를 무료로 제공하고 있습니다. 그런 다음 공익 법인 ISRG에서 운영하는 무료 인증서도 제공하는 Let's Encrypt가 있습니다.
비트코인이 미래에 어떤 역할을 할지는 아직 명확하지 않지만 블록체인은 세상을 더 안전하게 만들 것입니다. 전자 투표를 현실로 만들 가능성이 있습니다. 콘텐츠 제작자가 자신의 작업을 제어할 수 있도록 블록체인을 사용하려는 움직임이 주류에 가까워지고 있습니다. 기존 뱅킹을 더욱 안전하게 만들 수도 있습니다.
개인정보 보호
전 세계의 감시 체계에서 나타나는 오웰의 주제는 끔찍할 수 있습니다. 다행히도 인터넷이 개인정보 블랙홀이 되는 것을 막기 위해 싸우는 조직이 많이 있습니다.
일부 주석가의 말과 달리 암호화는 보안을 보장하는 열쇠입니다. Facebook의 WhatsApp 메시징 서비스에서 종단 간 암호화를 활성화할 수도 있습니다. ISP의 지나친 시선으로부터 자신을 보호하려면 로그 없는 VPN으로 전환할 수도 있습니다.
2017년 보안 강화
귀하의 또 다른 계정에 대해 충분히 들어보셨을 것입니다. 해킹당했습니다. 그러나 안전을 유지하려면 보안 피로를 극복하는 것이 중요합니다. 개인정보를 보호하기 위해 할 수 있는 최선의 방법 중 하나는 의도적으로 인터넷에 게시한 내용을 변경하는 것입니다. 자녀가 온라인 세상을 최대한 활용할 수 있도록 보호하는 방법도 많이 있습니다.
새해에 들어서면서 가능한 한 자신을 안전하게 만들기 위해 매년 보안 검진을 받는 것이 좋습니다. 그런 다음 계정이 도용된 경우 알림을 받기 위해 웹사이트에 가입하는 등의 예방 조치를 취하세요.
2016년을 어떻게 찾았나요? 산더미 같은 해킹의 영향을 받았습니까? 아니면 랜섬웨어에 걸리셨나요? 아래 댓글로 알려주시고 안전한 2017년 보내세요!