2013년 8월 3주 (8/16) - .kr · 네이티브 광고, 업계 정의와 효과 측정 방식에...
33
2013년 8월 3주 (8/16)
Transcript of 2013년 8월 3주 (8/16) - .kr · 네이티브 광고, 업계 정의와 효과 측정 방식에...
2013년 8월 3주 (8/16)
인터넷
04 호주정부정보관리청, ‘새로운 빅데이터 전략’ 발표
06 구글, 구글플러스의 지역 정보 품질 향상 위한 지역 전문가 프로그램 도입
08 네이티브(Native) 광고 시장 성장세, 서비스 정의에는 시각차 존재
10 Weber Shandwick, 미국인들의인터넷이용과 도덕성의상관관계에관한연구결과발표
12 아키텔로스社, 악성 도메인 현황에 대한 보고서 발표
정보보호
15 美 FBI, 사이버 공격 전문 포털 개설
17 미국, 사이버 범죄 및 스파이 피해로 연간 1,000억 달러 손실 추정
19 영국 정보보호위원회, 고객정보를 유출한 은행에 75,000파운드 벌금 부과
21 미국 NITA, 소비자 프라이버시 보호 위한 ‘모바일 앱 행동 강령’ 발표
23 페이스북, 버그 발견자들에게 총 100만 달러 지급
25 토르(Tor) 네트워크로 Firefox 취약점을 악용한 정보 탈취 공격
방송통신
28 전세계 인터넷 사용자 10억 명 돌파
30 모바일 단말, TV 시청자의 행태 변화 촉진
32 IDC, 2013년 2분기 전셰계 태블릿 실적 분석 자료 발표
4 2013년 8월 3주
호주정부정보관리청,
‘새로운 빅데이터 전략’발표
개요
l 호주 정부 정보관리청(Australia Government Information Management Office, AGIMO)은 ‘호주 공공서비스 빅데이터 전략’을 발표(’13.8.2) 호주 정부는 ‘빅데이터 전략’을 통해서 공공서비스 분야의 세계적 리더가 되는 것을
목표로 6가지 주요 전략을 제시
개인정보안전단
개인정보안전정책팀
l ‘빅데이터 전략’을 통해서 호주 정부기관은 생산성과 효율성을 증가시킬 수 있고, 공공 서비스의 개별 맞춤 서비스가 가능해질 것으로 예상
주요 내용
l 호주 정부 정보관리청의 빅데이터 전략
호주 정부 정보관리청의 빅데이터 전략
※ 출처 : 호주 정부 정보관리청
l ‘빅데이터 전략’의 6가지 원칙 내용
1) 데이터는 국가 자산 국가가 보유하고 있는 데이터는 국가적 자산이므로 공공의 목적을 위하여 사용
되어야 함 오픈 정부의 선언 및 다른 법적 요구 사항에 따라 이 데이터를 공유하는 것은
포용의 문화를 향상시킬 것2) 프라이버시 중심 디자인(Privacy by Design)
빅데이터 전략은 ‘프라이버시 중심 디자인’을 포함할 것 프라이버시와 데이터 보호는 빅데이터 전략의 전체 주기에 걸쳐 고려
5 2013년 8월 3주
3) 데이터의 완전성과 과정의 투명성 개선된 서비스 제공을 위해 빅데이터 분석을 착수하는 기관은 보다 구체적으로
검토를 진행하고, 적절한 공공 자문을 실시 기관은 새로운 빅데이터 전략에 대한 개인정보영향평가(Privacy Impact
Assessments, PIA)를 실시하고 그 결과를 공개 이러한 과정은 빅데이터 분석 프로젝트의 완전성을 강화하고 데이터의 정부의
책임에 대한 대중의 신뢰를 유지하는데 도움이 될 수 있음 ※ 개인정보영향평가(Privacy Impact Assessments, PIA) : 개인정보를 활용하는 새로운 정보
시스템의 도입이나 개인정보 취급이 수반되는 기존 정보 시스템의 중대한 변경 시, 동
시스템의 구축·운영 등이 프라이버시에 미치는 영향에 대하여 사전에 조사·예측·검토
하여 개선 방안을 도출하는 절차
4) 기술·자원·능력의 공유 데이터 분석에 대한 기술과 전문 지식은 정부 기관 사이에서 공유할 것
5) 산업과 학문의 협력 정부기관은 산업, 학계, 비정부기관 및 지역적·국제적 유관기관을 빅데이터
분석에 통찰력을 제공하는 핵심 파트너로 인식 정부기관은 이들과 협력하여 빅데이터 분석을 수행할 것 이러한 협력은 개인과 공공분야에 영향을 미치고, 빅데이터 분석에 대한
정부기관의 역량을 증가시킬 것6) 공개 데이터의 강화
정부기관의 아웃소싱 정보를 공개하는 것을 권장하며, 공개 데이터는 지속적으로 확대, 강화할 예정
l ‘빅데이터 전략’ 실행으로 예상되는 결과
정부기관이 수행하는 모든 빅데이터 프로젝트들은 ‘빅데이터 전략’에 따라 전체 프로젝트의 주기(Life cycle)를 통해서 프라이버시 중심으로 디자인할 것
정부기관은 새로운 빅데이터 프로젝트를 수행하기 위해 개인정보영향평가를 실시할 것
빅데이터 전략을 수행하는 기업들은 정부기관이 빅데이터를 이용하는 것을 돕고, 빅데이터 가이드라인, 빅데이터 분석의 장애물에 대한 보고서, 책임 있는 데이터 분석 가이드라인을 제공하기 위해서 호주 국세청의 데이터 분석 센터(Data Analytics Centre of Excellence, DACoE)와 함께 일할 것
‘빅데이터 전략’을 통해서 호주 정부기관은 생산성과 효율성을 증가시킬 수 있고, 공공 서비스의 개별 맞춤 서비스가 가능해질 것
참고문헌
1. Zdnet, “Australia wants to be world leader in big data analytics”, 2013.8.5. 2. Itnews, “AGIMO locks in big data strategy”, 2013.8.4.3. PSNews, “Big Data Strategy to guide agencies”, 2013.8.8.4. CIO, “AGIMO releases big data strategy”, 2013.8.4.
목 차
6 2013년 8월 3주
구글, 구글플러스의 지역
정보 품질 향상 위한 지역
전문가 프로그램 도입
구글, 지역 전문가 프로그램으로 14개 도시의 생생한 지역 정보 확충
l 구글(Google)이 자사 SNS 구글플러스(Google+)에 실리는 상점 평가 및 리뷰 등 로컬 정보에 대한 품질을 향상시키기 위해 ‘구글 도시 전문가(Google City Experts)’ 프로그램을 실시
경쟁사에 대항한 구글플러스
서비스 활성화에 적극 투자
정책연구실 정책기획팀
지금까지 최소 50건 이상의 상점 리뷰를 작성한 구글플러스 이용자는 구글 도시 전문가로 등록 신청이 가능
l 구글 도시 전문가로서의 자격을 획득한 이용자들은 매월 5건 이상의 상점 리뷰를 꾸준히 작성해야만 자격 유지가 가능
도시 전문가들의 리뷰는 사진이나 동영상 등을 활용해 상세하게 작성할 것을 권장 구글은 양질의 평가는 최소한 3~4 문장 이상으로 구성되어야 하며, 유익하고 균형
잡힌 정보를 제공해야 한다고 설명
l 구글은 스팸 글이나 체험용 무료 상품에 대한 후기와 같은 광고성 리뷰를 방지하기 위해 이 같은 자격 기준을 마련
상점주나 사업자가 직접 또는 주변 지인들을 통해 올린 의도적이고 부풀려진 리뷰를 배제하기 위한 장치인 동시에 상점에 불만을 가진 고객이나 경쟁 사업자가 악의적으로 남긴 부정적인 리뷰에 대한 방지책으로 고안
l 구글은 구글 도시 전문가들에게 다양한 지역 이벤트 등에 우선적으로 참여할 수 있도록 지원할 방침
구글 측은 도시 전문가들이 거주 지역 내에서 구글이 후원하는 무료 상품, 온라인 캠페인, 특별 이벤트 등에 참여할 수 있도록 관련 정보를 담은 뉴스레터를 발송할 예정
또한 구글 맵스나 구글플러스 로컬 등과 같은 서비스 이용 팁 등 유용한 정보를 공유할 수 있도록 ‘구글플러스 커뮤니티(Google+ Community)’라는 구글 전문가 모임도 개최할 계획
l 현재 구글 도시 전문가 프로그램은 미국 내 8개 도시와 영국의 4개 도시, 호주의 1개 도시, 일본의 2개 도시 등 총 14개 도시에 한해 적용
그 밖의 지역에 대한 리뷰나 각종 정보는 구글플러스 로컬 및 구글 맵스에 등록이 가능하며, 전문가 프로그램 대상 지역은 향후 점차 확대해 나갈 예정
구글, 경쟁사 ‘옐프’를 의식해 구글플러스의 로컬 정보 제공력 향상에 주력
l 구글은 지난 2012년부터 기존에 제공하고 있던 지역 정보 서비스를 구글플러스를 중심으로 통합하는 움직임을 꾸준히 진행
2012년 5월에는 장소 검색 서비스인 구글 플레이스(Google Place) 서비스를 구글플러스 로컬서비스로 전환
7 2013년 8월 3주
이후 기존에 구분해서 운영하던 구글플러스 사업자용 페이지와 일반용 페이지를 일원화
아울러 구글플러스를 이용 중인 사업자에게 일반 웹, 소셜, 지도, 광고 서비스를 통한 검색 현황을 확인 및 관리할 수 있는 대시보드 기능을 추가
l 구글의 일련의 활동은 구글플러스를 단순한 SNS가 아닌 고객들의 평가를 포함한 지역 정보 서비스 플랫폼으로서 유사한 서비스를 제공 중인 ‘옐프(Yelp)’와의 경쟁을 겨냥한 것으로 분석
※ 옐프는 SNS 방식의 지역 정보 전문 서비스로서, 이용자들이 직접 작성한 상점 및 레스토랑에
대한 평가나 후기를 공유할 수 있음. 2013년 2분기 기준 방문자 수와 등록 리뷰 수는 각각
1억 800만 명과 4,200만 개에 달하는 것으로 집계
구글의 이번 지역 전문가 프로그램은 옐프가 이미 2009년부터 운영해오던 ‘엘리트 스쿼드(Elite Squad)’와 유사한 방식
특히 구글은 이미 방대한 로컬 광고 사업 기반을 보유하고 있으며, 지도 서비스인 구글 맵스와 구글플러스 로컬 서비스를 결합함으로써 지역 정보 서비스 이용자들에게 풍부한 서비스 이용 경험을 제공할 것으로 기대
참고문헌
1. PC Magazine, “Google Launches 'City Experts' Program in Select Cities”, 2013.8.32. TechCrunch, “Google Launches City Experts Program To Encourage Higher Quality
Google+ Local Reviews”, 2013.8.2
목 차
8 2013년 8월 3주
네이티브(Native) 광고 시장
성장세, 서비스 정의에는
시각차 존재
디지털 마케팅 업계, ‘네이티브(Native) 광고’에 주목
l 광고 콘텐츠가 서비스 내에 통합된 형태로 나타나는 방식의 네이티브(Native) 광고에 대한 온라인 광고주와 퍼블리셔의 관심이 증대되는 추세
마케팅 뉴스 전문 매체 클릭제트닷컴(ClickZ.com)이 시장조사업체 이마케터의(eMarkter)의 발표를 인용해 보도한 자료에 따르면, 2012년 네이티브 광고에 대한 광고주 지출 규모는 2012년 기준 16억 3,000만 달러(약 1조 8,200억 원)에 육박(‘13.6.27)
또한 네이티브 광고 시장 규모는 높은 성장세를 거듭하며 2014년 28억 5,000만 달러(약 3조 1,900억원)에 달할 것으로 예상
광고 업계, 네이티브 광고
중요성에는 공감...정의와
효과 측정 방식은 의견 분분
l 이미 디지털 마케팅 업계에서는 네이티브 광고를 적극적으로 도입하고 있는 상황
정책연구실 정책기획팀 미국 온라인 퍼블리셔 협회(OPA, Online Publishers Association)가 29개의 회원사를 대상으로 설문조사를 실시한 결과 이미 네이티브 광고를 도입한 퍼블리셔는 전체의 73%를 기록(’13.7.10)
또한 회원사의 10%는 2013년 내로 네이티브 광고 상품을 도입할 예정이라고 응답
네이티브 광고, 업계 정의와 효과 측정 방식에 대한 시각은 상이
l 업계의 관심이 급증하고 있음에도 불구하고 네이티브 광고에 대한 개념 정의는 아직 명확하지 않은 상황
온라인 퍼블리셔 협회의 조사에 따르면 응답 대상의 93%는 네이티브 광고를 ‘웹 사이트 디자인에 통합되어 동일한 영역에 존재하는 광고’라고 인식
또한 전체의 86%는 네이티브 광고를 ‘매체의 전반적인 편집 흐름에 부합하게 제작된 콘텐츠로 광고주가 제공하거나 광고주를 대신해 매체가 제작한 것’으로 파악
조사 대상의 79%는 광고임이 명확히 표시된 콘텐츠를 네이티브 광고라고 인식 그 외 조사대상의 64%는 네이티브 광고가 ‘주변 맥락과 연관이 있지만 표준화 되지
않은 광고 단위’로 인지하고 있었으며, 54%는 ‘페이스북(Facebook), 트위터(Twitter) 등 SNS에 노출되는 소셜 광고와 같이 고도로 자동화된 광고 콘텐츠’라고 응답
디지털 광고 업계가 정의하는 네이티브(Native) 광고
※ 출처 : AdAge(‘13.7.25)
9 2013년 8월 3주
l 온라인 퍼블리셔 협회는 설문 조사를 종합한 결과, 네이티브 광고를 ‘웹 사이트의 디자인과 매체의 편집 흐름에 부합하면서도 광고임이 명확히 표기된 콘텐츠’ 정도로 정의할 수 있다고 설명
예컨대 미국의 미디어 기업 타임워너(Time Warner)가 운영 중인 잡지 피플(People)의 광고 상품은 전형적인 네이티브 광고 상품 중 하나
연예 분야 전문 잡지 피플은 자사 편집 방향에 자연스럽게 녹아들 수 있는 방송 프로그램 홍보 콘텐츠 등을 ‘스폰서드(Sponsored)’라는 라벨과 함께 노출
또한 해당 콘텐츠를 피플의 일반 기사와 유사한 디자인으로 제공함으로써 사용자 거부감을 완화
l 한편, 온라인 퍼블리셔 협회는 네이티브 광고의 효과 측정 방식에 대해서도 업계 내에서 이견이 존재하고 있다고 지적
온라인 퍼블리셔 협회가 진행한 설문에 따르면, 조사 대상의 57%는 ‘소비자 참여도(engagement)’와 ‘소비 시간’을 네이티브 광고의 효과를 측정하는 가장 중요한 척도로 활용하고 있다고 응답
그 외 트래픽(43%), 소셜 미디어 공유(33%), 브랜드 인지도 상승(24%) 등도 네이티브 광고의 효과 측정 척도로 선택
노출 당 비용(Cost Per View, CPV) 이나 클릭 당 비용(Cost Per Click, CPC)과 같은 전통적인 광고 효과 측정 방식을 네이티브 광고에 적용하고 있는 조사 대상은 전체의 10% 수준에 불과
※ 디스플레이 광고나 검색 광고와 같은 기존 디지털 광고 상품은 노출 1회 또는 클릭 1회를 유도하기 위해 소요되는 비용으로 광고 효과를 추정
l 설문 조사를 토대로 온라인 퍼블리셔 협회는 ‘소비자 참여도’와 ‘소비 시간’이 네이티브 광고의 주요 효과성 척도라고 설명
‘소비자 참여도’와 ‘소비 시간’은 보통 광고보다는 콘텐츠 서비스 측면에서 활용되는 효과 측정 방식
이는 네이티브 광고가 일반적으로 기사나 동영상이 결합된 스폰서 콘텐츠 형태인 경우가 많기 때문
l 온라인 퍼블리셔 협회는 현재 광고 업계가 고려하고 있는 기준들을 적용했을 경우 네이티브 광고 상품이 높은 효과성을 보이고 있다고 설명
피플이 게시 중인 네이티브 광고 콘텐츠는 자사 홈페이지에 노출 시켰던 전통적인 디스플레이 광고 대비 10배 이상 높은 참여율을 기록
또한 피플의 네이티브 광고 콘텐츠는 일반 뉴스 기사 대비 평균 3배 이상 긴 독자 체류 시간을 확보하고 있으며, 소셜 미디어를 이용한 공유 빈도 역시 3배 이상 높은 것으로 확인
참고문헌1. Ad Age, “Study: How Publishers Are Measuring Native Ads Today”, 2013.7.252. ClickZ.com, “In Spite of Uncertainty, Native Ad Spending Grows”, 2013.7.273. Marketing Land, “73% Of Online Publishers Offer Native Advertising, Just 10% Still
Sitting On The Sidelines [eMarketer]”, 2013.7.224. OPA, “Premium Content Brands Are Native Naturals”, 2013.7.10
목 차
10 2013년 8월 3주
Weber Shandwick,
미국인들의 인터넷 이용과
도덕성의 상관관계에 관한
연구결과 발표
미국, 인터넷과 도덕성(Civility)의 상관관계에 대한 연구결과 발표
l 글로벌 PR회사 웨버 쉔드윅(Weber Shandwick)와 KRC 리서치(KRC Research)가 미국인들의 도덕성(Civility)에 관한 연구결과 “Civility in America: A Nationwide Survey” 발표(2013.7)
인터넷과 소셜미디어가
도덕성에 악역향을 미침
인터넷문화진흥단 문화기획팀
※ 이 연구는 2010년부터 매년 실시되어 올해로 4번째를 맞이하며, 이번에 발표된 연구결과는
2013년 5월 미국 성인 1,000명을 대상으로 한 온라인 설문조사결과를 바탕으로 이뤄짐
l 연구는 미국인들의 도덕성(Civility)에 대한 인식과 경험을 조사
63%가 미국이 심각한 도덕성 문제에 직면했다고 인식하고 있으며 71%는 문제가 점점 악화되고 있다고 느끼고, 54%는 앞으로 더욱 심각해 질 것으로 인식
미국인들은 일주일에 평균 17번 무례함(incivility)을 경험하며, 그 중 8.6번은 온라인에서 경험하는 것으로 나타남
l 앞으로 도덕성 문제가 더욱 심각해질 것이라 생각하는 사람들의 59%는 그 주요 원인으로 인터넷과 소셜미디어를 지목 온라인 뉴스 또는 관련 댓글의 내용에 대해서 59%가 무례하다고 느끼는 것으로
나타남 다양한 소셜미디어 중 미국인들이 비교적 도덕적이라고 느끼는 곳은 페이스북
(Facebook)으로 조사 소셜미디어가 상대방에게 무례하게 행동하는 데 영향을 미친다는 의견에 66%가 동의
인터넷 상에서 무례함(incivility)을 느끼는 비율(%)
※ 출처 : Weber Shandwick “Civility in America 2013”
11 2013년 8월 3주
l 또한, 온라인에서의 도덕성 문제가 악화될수록 사이버불링 피해도 증가하는 것으로 나타남
71%가 사이버불링 문제가 작년보다 심각해 졌다고 응답 (2012년 조사결과, 66%) 자녀의 사이버불링 피해에 대한 우려 정도는 43%로 지금까지의 조사 중 최고치 기록 사이버불링 피해 신고 사례는 2011년에 비해 올해 3배 증가
l ‘무례함(incivility)’을 피하기 위한 노력이 미국인들의 온라인 행위 방식에 영향을 미침
인터넷에서 무례함을 피하기 위해 48%는 온라인 친구를 차단한 경험이 있고, 39%는 부적절한 글 및 댓글을 신고한 적이 있는 것으로 조사
또한, 36%는 특정 사이트의 도덕성 부족으로 방문을 중단한 경험이 있으며, 33%는 무례한 경험을 피하고자 대화에 일부러 참여하지 않은 적이 있다고 응답
30%는 가입했던 커뮤니티와 팬클럽 사이트가 점점 부도덕해지는 것을 느껴 탈퇴한 적이 있음
온라인에서의 무례함(incivility)을 피하기 위한 미국인들의 행동변화(%)
※ 출처 : Weber Shandwick “Civility in America 2013”
참고문헌
1. Weber Shandwick, “Civility in America 2013”2. PRNewswire, “Seven in 10 Americans Believe Incivility Has Hit Crisis Levels”,
2013.7.303. CBS NewYork, “Survey Finds Internet Makes People Rude; New Yorkers Agree”,
2013.8.1
목 차
12 2013년 8월 3주
아키텔로스社,
악성 도메인 현황에 대한
보고서 발표
개요
l 도메인 관련 컨설팅을 제공하는 기업인 아키텔로스(Architelos)가 최초로 전체 DNS 차원에서 피싱 유도, 악성코드 유포 목적의 악성 도메인을 총괄적으로 검토하는 ‘네임센트리(NameSentry) 보고서’를 발간
인터넷주소관리센터 도메인팀 - 현재 서비스 중인 최상위도메인의 보안 및 안정성 현황을 검토함으로써, 신규 일반최상위도메인(gTLD, general Top Level Domain) 서비스 개시 이후 보안 및 안정성 변화 방향 예측
- 아키텔로스社 자체 데이터베이스인 ‘네임센트리 감지 및 완화 서비스’의 결과를 분석
※ 아키텔로스(architelos) : 도메인네임시스템(DNS) 고객(국가‧일반최상위도메인 레지스트리
운영 기관)을 대상으로 전략적 컨설팅 서비스를 제공하는 기업. LA 리스버그, 토론토와
더블린에 본사가 있으며, 토론토와 LA에 데이터센터 보유
※ 네임센트리 감지 및 완화 서비스(NameSentry Abuse Detection and Mitigating Service) : 최
상위도메인 내 악성도메인 현황정보를 제공하는 8개 업체(Internet Identity, SURBL,
Spamhaus, MalwareURL 등)의 자료를 2012년 11월부터 취합한 데이터베이스
보고서 주요내용
l 2012년 12월부터 2013년 5월, 6개월 간 악성 도메인 비율이 증가
2012년 12월부터 2013년 5월까지 악성 도메인은 약 25% 증가했으며, 이에 보고서는 인터넷 주소 공간의 질이 전반적으로 떨어졌다고 결론
2012년 12월 ~ 2013년 5월간 악성도메인 증가 추이
매달 악성도메인으로 파악되어 지워진 도메인보다 신규로 파악되는 도메인이 많으며, 지워진 도메인의 경우 악성 도메인으로 파악되어 차단된 이후 지워지는 경우가 대다수
인터넷 상 도메인 100만개 중 4000개(0.4%)가 악성 도메인인 것으로 추산 악성도메인으로 파악된 이유는 스팸 유포와 악성코드가 각각 90%, 6%로
대부분이었으며, 그 외에도 피싱 사이트가 1년 동안 150,000건 정도 발견
13 2013년 8월 3주
l 최상위 도메인 중 약 30%는 도메인 100만 건 당 악성 도메인이 1,000건 이상
전체 도메인의 99% 이상을 차지하는 최상위 도메인 97개를 대상으로, 도메인 100만 건 당 피싱 유도, 악성코드 유포 등에 사용되는 악성 도메인 비율을 측정
비율을 등급화하여 각 최상위 도메인을 매우 좋음, 좋음, 경고, 위험 네 단계로 분류 각 등급에 속한 최상위 도메인의 개수는 각각 15개, 36개, 14개, 32개
최상위 도메인 분류 기준 및 분류 결과
※ 출처 : Architelos, the Name Sentry Report
보고서는 악성 도메인 사용을 감지하고 줄이기 위해 최상위 도메인 레지스트라가 얼마나 노력하는지에 따라 차이점이 발생한다고 지적
도메인의 가격이 낮거나, 관리 대행자가 허술하거나, 정책 불이행이 잦은 레지스트라의 최상위 도메인의 경우 악성 도메인이 많은 것으로 분석됨
l 국가 최상위 도메인이 일반 최상위 도메인보다 일반적으로 더 안전한 경향
도메인 정책 관련 기사를 다루는 웹사이트인 ‘닷넥스트’는 .tel, .xxx, .cn, .ru 등의 예외적인 경우를 포함, ‘국가 최상위 도메인’의 경우 전체 국가 최상위 도메인의 79%가 상위 두 범주에 속한 반면, ‘일반 최상위 도메인’은 73%가 하위 두 카테고리에 속한 점을 언급
‘닷넥스트(Dot-nxt)’는 아키텔로스의 보고서 외, 국제인터넷주소기구(ICANN)의 정부자문위원회(GAC)의 ‘안전장치(safeguard) 권고’ 및 현재 최대 레지스트라인 베리사인(Verisign) 관계자의 말을 언급하며 신규 일반 최상위 도메인 도입에 따라 보안 및 안정성 문제가 악화될 가능성 지적
※ .kr도메인은 백만 건 당 남용건수 132건으로, '좋음' 카테고리로 분류
※ 상위권 일반최상위도메인 중 .tel은 웹사이트를 호스팅하지 못하며, .xxx는 IP 보호로
정확한 수치 파악 힘듦
※ 하위권 국가도메인의 경우, 최근 서비스를 시작하거나(.ru, .me), 최근 도메인 정책이
바뀜(.cn, .pw)
참고문헌
1. Dot-nxt, "gTLDs *are* going to make the Internet less safe" By .Nxt, 2013.7.13.2. Architelos, the Name Sentry Report, 2013.7.
목 차
14 2013년 8월 3주
15 2013년 8월 3주
美 FBI, 사이버 공격 전문
포털 개설민간 기업들, 사이버 공격 발생 사실을 온라인 포털을 통해 FBI에 보고
l 미국 연방수사국인 FBI가 자국 내 기업들을 대상으로 한 사이버 위협 발생에 더욱 신속하게 대응하기 위해 전문 포털 사이트인 ‘아이가디언(iGuardian)’의 시범 운영을 개시
사이버 공격 발생 시 온라인을
통한 실시간 보고 가능
정책연구실 정책기획팀
아이가디언은 민간 기업들이 사이버 공격 및 위협 발생 사실을 인지한 즉시 온라인을 통해 보고할 수 있도록 하는 한편, 관련 정보 및 향후 대응책 등을 지원하기 위해 개발
이번 시범 운영에는 약 5만 8,000개의 기업이 참여
l 보고된 정보는 19개 관련 공공기관들로 구성된 국가 사이버 조사 합동 태스크포스(Natioanl Cyber Investigative Joint Taskforce, NCI-JFT)팀이 접수
NCI-JFT는 접수된 정보를 기반으로 사이버 위협의 원인과 발생 경로를 추적하고, 해커들이 추후 공격 가능한 취약점을 분석해 보완책 도출을 지원
l 아이가디언은 테러와 관련된 사이버 활동을 추적하기 위해 2009년부터 운영해왔던 ‘e가디언(eGuardian)’에서 파생
e가디언은 국방부(Department of Defense, DoD)와 연방정부, 주정부, 지자체 내 관련 기관들이 공동으로 운영해 왔던 테러 관련 정보 저장소
새롭게 구축된 포털을 통해 FIB는 더욱 상세한 공격 정보 및 패턴 파악이 가능해질 것으로 기대
또한 FBI가 공격을 받은 기업명을 밝히지 않고도 사이버 공격 관련 분석 정보를 제공하는 것도 가능해질 전망
l 아울러 FBI는 아이가디언에 멀웨어 관련 정보 수집 및 분석 툴을 추가해 민간 부문에서 활용할 수 있도록 할 예정
FBI의 범죄, 사이버, 대응 서비스국(Criminal, Cyber, Response Services Branch)의 릭 맥필리(Rick McFeely) 국장은 FBI는 이미 내부적으로 악성코드 분석력을 갖추고 있으며 이를 향후 2년 내에 민간 부문에도 적용할 수 있도록 하기 위한 테스트 과정에 있음을 언급
공공 및 민간 부문에서 사이버 위협에 대한 보고 체계 표준화와 정보 공유의 중요성 대두
l 이가디언은 사이버 보안 사고 발생에 대한 보고 체계 표준화에도 기여
맥필리 국장에 따르면 아이가디언의 보고 방식은 기존의 경찰 보고와 같이 사건 발생 경위와 시기를 중심으로 보고
맥필리 국장은 기존에는 사이버 보안 침해 사고에 대한 정보는 기업이 임의적으로 FBI에 제공하거나 FBI가 직접 조사를 통해 정보를 수집하는 방식이었기 때문에 통일된 정보 및 데이터 수집에 어려움이 있었다고 설명
그러나 아이가디언을 통해 FBI는 발생 경위 등이 동일한 형태로 구성된 사건 보고 및 정보를 획득할 수 있다는 것
16 2013년 8월 3주
맥필리 국장은 수많은 기업들은 각각 사이버 보안 관련 조직을 운영하고 있는 가운데, 아이가디언의 통합된 인터페이스를 통해 모든 산업 분야를 포괄하는 정보 공유 체계를 마련할 수 있을 것이라고 강조
l 아이가디언의 운영은 FBI와 민간 부문 간 협력과 의사 소통을 향상시키기 위한 통로로서도 큰 의미를 갖는 시도
맥필리 국장은 FBI는 특히 사이버 보안과 관련해 민간 기업들과 좋은 파트너십을 형성하기 어려웠다는 점을 시인
이전에는 FBI 측에서 먼저 공격 사실을 발견하고 기업의 네트워크를 조사해 피해 사실을 기업 측에 알리는 수순으로 진행
그러나 방법론이나 정보원 등 공개하기 민감한 사안들 때문에 피해자들에게 상세하게 정보를 제공할 수 없었고, 민간 기업 차원에서는 FBI를 경계하는 경우가 많았다고 설명
아이가디언은 FBI가 민간 부문과의 관계 개선 방안을 연구해 온 결과물로써, 민간과 정보 및 지식을 공유함으로써 사이버 위협으로부터 네트워크 보호 체계의 강화를 도모
l 한편, 민간 부문에서도 정보 공유를 통한 사이버 위협 대응 체계 강화의 중요성을 인지
카네기멜론대학(Carnegie Mellon University) 소프트웨어 엔지니어부의 트로이 매턴(Troy Mattern) 기술 부장은 최근 업계에서는 이러한 방식의 정보 공유 체계를 받아들이고 있는 양상이라고 지적
트로이 부장은 한쪽에서 특정 사건에 대한 발생 정황 정보를 제공하면 다른 한쪽이 문제 발생 원인 등을 면밀히 분석하는 방식을 ‘분석적 공동 연구(analytic collaboration)’라고 일컫는데 민간 부문에서 이에 대한 관심이 높다고 설명
참고문헌
1. FCW, “FBI launches cyber threat info-sharing platform”, 2013.7.302. Federal News Radio, “FBI launches iGuardian to standardize cyber threat data
sharing”, 2013.7.313. Federal Times, “FBI launches cyberattack reporting portal for industry”,
2013.7.30
목 차
17 2013년 8월 3주
미국, 사이버 범죄 및
스파이 피해로 연간
1,000억 달러 손실 추정
美 CSIS, 사이버 범죄 피해를 경제적 가치로 계량화
l 미국의 싱크탱크인 국제전략문제연구소(Center for Strategic and International Studies, CSIS)가 사이버 범죄나 스파이 행위에 따른 경제적 피해를 분석
※‘사이버 범죄 및 스파이 행위 비용 추산(Estimating the Cost of Cybercrime and Cyber
Espionage)'이라는 제목의 보고서는 CSIS와 미국 보안 전문 업체인 맥아피(McAfee)의 공동 연구 결과
악의적 사이버 활동에 따른
파급 효과로 50만 8,000개의
일자리가 사라져
정책연구실 정책기획팀
동 보고서는 악의적인 사이버 활동에 따른 피해를 실질적인 경제적 가치로 수치화하는 분석 모델을 적용했다는 점에서 의의
l 맥아피의 최고기술관리자(CTO)인 마이크 페이(Mike Fey)는 대략적인 추정에 의존해왔던 지금까지의 사이버 범죄 피해 분석과는 달리 치밀한 분석 기법을 적용했다고 설명
그는 정책 입안자나 경영자 및 기타 관련 사업자들이 사이버 보안의 중요성을 인식하고 본격적으로 대응하기 위해서는 이와 같은 정확한 정보 제공이 필요하다고 강조
l 보고서에서는 먼저 이전의 사이버 범죄 관련 추정 연구들을 기반으로 미국의 대략적인 피해 규모를 추산한 결과 대략 1,000억 달러에 달하는 것으로 추정
독일 기업보안협회가 2010년 사이버 범죄에 의한 자국의 지적재산 피해액을 약 240억 달러로 산정한 바 있는데, 이를 미국의 경제 규모로 환산하면 약 1,200억 달러에 달하는 수치
영국의 경우에는 그 피해액이 영국 GDP의 2%에 달하는 약 270억 달러로 보고된 바 있는데, 이 역시 미국의 경제 규모로 환산하면 무려 약 2,800억 달러에 달하는 것
전 세계적으로는 사이버 범죄에 따른 피해액이 글로벌 GDP의 0.4~1% 사이로 알려진 가운데, 2011년 기준 글로벌 GDP가 70조 달러라는 점을 반영하면 피해액 규모는 최소 3,000억 달러에서 최대 1조 달러 사이에 달하는 것으로 추산 가능
※ 글로벌 GDP 규모는 세계은행(World Bank)이 발표한 수치를 참고
각종 재정적 피해와 기회 비용을 반영해 사이버 피해 규모를 산출
l 동 보고서에서는 재정적 비용 이외에 다양한 사업적 가치 손실도 포함해서 사이버 범죄에 대한 피해 규모를 산출
지적재산의 탈취는 기업의 매출이나 라이선싱 등 장기적인 핵심 가치 창출 수단에 영향을 미친다는 점에서 사이버 범죄 피해 추산의 핵심 요인으로 꼽히지만 정확한 피해 규모를 가늠하기는 어려운 상황
사업적 기밀 정보는 기업 차원에서 민감한 협상 데이터나 주식 거래 정보 등도 포함되는 경우가 많아, 유출 시 실질적인 재정적 손해를 유발할 가능성이 높은 부분
일반 소비자들을 대상으로 한 사이버 범죄는 금융, 전자상거래, 개인정보 도용 등을 통해 매년 10억 달러 이상의 막대한 금전적 피해를 유발
※ 유엔마약범죄사무국(UNODC)에 따르면 사이버 상에서의 개인정보 도용에 따른 피해액은 약 7억 8,000만 달러, 금융 정보의 유출에 따른 피해액은 3억~5억 달러에 달하는 것으로 추정
※ 시장조사기관 가트너는 피싱(Phishing)으로 매년 발생되는 손실액이 약 20억 달러 가량으로 추산된다고 보고
※ 온라인 유통 사업자들을 대상으로 한 설문 조사 결과, 2012년 기준 전자상거래를 통한 사기에 따른 손실 비용은 약 35억 달러 수준으로 추정
18 2013년 8월 3주
기업을 대상으로 한 해킹 등 사이버 공격 피해 사실이 알려질 경우에는 해당 기업의 주가가 최소 1%에서 최대 5%까지 하락하는 등 기업 평판에도 부정적인 영향을 야기
사이버 공격에 대한 피해를 예방하기 위해 기업들이 지출하는 사이버 보안 및 강화 비용도 증가하고 있는 추세로, 전 세계 정부 및 기업들이 사이버 보안용 소프트웨어에 투자하는 비용은 매년 8%씩 증가해 2012년 기준 약 600억 달러에 달하는 것으로 보고
※ 미국 OMB(US Office of Management and Budget)는 2012년 연방 기관들의 사이버 보안
관련 프로젝트 소요 비용을 약 150억 달러로 집계했는데, 이는 미국 정부 전체 IT 예산의
20%에 해당하는 수치
이 외에 사이버 범죄 발생에 따른 온라인 거래 신뢰도 하락 및 피해 복구 비용 등의 각종 기회 비용도 피해 범위에 포함
l CSIS는 이처럼 사이버 범죄에 따른 피해 범위와 발생된 피해액 범위를 분석한 결과, 전체 피해 규모의 상한선은 국가 GDP의 0.5%~1%에 해당되는 약 700억 달러에서 1,400억 달러 수준이며, 하한선은 200억 달러에서 250억 달러 수준으로 추정
l 아울러 CSIS는 사이버 범죄 피해는 노동 시장에도 부정적인 영향을 미치고 있다고 보고
10억 달러로 약 5,080개의 일자리를 창출할 수 있다는 미국 상무부 국제무역청의 자료를 기반으로 1,000억 달러로 추정되는 사이버 범죄 피해 규모를 노동 시장에 대입할 경우 약 50만 8,000여 개의 일자리가 사라지는 것으로 추정
뿐만 아니라 집단에 고용된 해커나 스파이들은 정상적인 직업을 갖지 못하는 경우가 많기 때문에 국가 노동 인력 확보 차원에서도 손실임을 지적
l CSIS와 맥아피 측은 지금까지의 연구를 바탕으로, 사이버 범죄 및 스파이 행위에 따른 경제적 피해 규모를 보다 세분화하는 작업을 진행 중
이들은 사이버 범죄와 관련된 각종 사회적 비용과 혁신 저해 정도 등을 구체화한 보고서를 추후 발간할 계획
참고문헌
1. Center for Strategic and International Studies, “The Economic Impact of Cybercrime and Cyber Espionage”, 2013.7.13
2. Financial Times, “Cybercrime costs US $100bn a year, report says”, 2013.7.23
목 차
19 2013년 8월 3주
영국 정보보호위원회,
고객정보를 유출한 은행에
75,000파운드 벌금 부과
영국 정보보호위원회(ICO), 고객정보를 유출한 은행에 벌금 부과
l 영국 정보보호위원회(The Information Commissioner’s Office, ICO)는 반복하여 엉뚱한 사람에게 계좌정보 등 고객의 상세한 개인정보가 적힌 팩스를 보낸 스코틀랜드 은행(The Bank of Scotland)에 75,000파운드(한화 약 1억 3,000만 원)의 벌금을 부과
위 팩스에는 고객의 이름과 주소 및 상세 연락처뿐만 아니라 급여내역, 은행거래내역, 대출내역 등의 내용이 포함
위 팩스는 2009년 2월부터 약 3년 동안 지속적으로 엉뚱한 사람에게 발송
직원의 실수로 팩스 오발송..
팩스 오발송에 따른 개인정보
유출사고에 대한 방지 필요
개인정보안전단
개인정보기술지원팀
l 스코틀랜드 은행의 모기업인 로이드뱅킹 그룹(Lloyd Banking Group) 대변인은 고객 정보는 항상 최우선적으로 보호되고 있다는 점을 강조
대변인은 위 잘못된 팩스 발송에 관해 사과하면서, 직원의 실수로 인하여 사고가 발생하였고, 유출된 32명의 고객의 정보 역시도 소수의 정보가 유출된 것이라며 해명
나머지 수백 만 명의 고객정보는 안전하게 처리되고 있으며, 실수 없이 정확하게 팩스가 발송되고 있다고 설명
l 영국 정보보호위원회(ICO)의 사실조사 결과, 은행은 32명의 고객 정보에 관하여 10~21개의 문서를 엉뚱한 제3의 기관 또는 고객에게 각각 팩스로 발송
이번 팩스 오발송 사고는 스코틀랜드 은행의 영업부서에서 시스템에 문서를 업로드할 때 실수로 팩스번호 끝의 한 자리를 잘못 입력하였기 때문
l 영국 정보보호위원회(ICO)의 위원장인 스테판 에커슬리(Stephan Eckersley)는 이번 팩스 오발송 사고는 엄정히 처벌할 것임을 밝힘(“Unforgiveable”)
스코틀랜드 은행은 팩스가 처음 오발송되었던 2009년 2월부터 3년 동안이나 팩스가 잘못 발송되고 있다는 경고를 받아왔음에도 조치를 하지 않음
이러한 스코틀랜드 은행의 행위는 명백하게 데이터보호법(Data Protection Act)을 위반
영국 정보보호위원회(ICO)는, 이번 사고로 유출된 개인정보가 모두 회수·파기되었지만, 범죄에 악용될 가능성이 있으니 특별한 주의를 당부
※ 영국 정보보호위원회(ICO) : 영국의 개인정보 보호를 위한 독립기구로서, 영국의 개인정보 및
정보통신에 관한 규제(Privacy and Electronic Communications Regulations)를 위반한 자에 대하여
최대 50만 파운드(한화 약 8억 6,000여 만원)의 벌금을 부과할 수 있는 법집행권이 있음
영국 정보보호위원회(ICO), 안전한 팩스 사용을 위한 지침을 제정
l 영국 정보보호위원회(The Information Commissioner’s Office, ICO)는 최근 팩스 오발송으로 인한 개인정보 유출 사고 사례가 빈번하게 발생하자, 안전한 팩스 사용을 위한 지침을 제정
팩스를 통하여 개인정보를 전송할 때에는, 안전한 사용을 위하여 다음 6가지의 지침을 지킬 것을 권고
20 2013년 8월 3주
영국 정보보호위원회의 안전한 팩스 사용을 위한 지침
단계 내 용
1단계- 보안메일이나, 택배 서비스 등 팩스보다 더 안전한 방법을 선택해서 사용하고, 팩스를 보내게 되는 경우에는 주요 내용만 간단하게 작성할 것
2단계- 팩스를 발송함에 앞서, 과거에 정상적으로 발송되었던 팩스번호 등과 대조하는 등의 방법으로 팩스 번호를 정확히 확인할 것
3단계- 팩스를 받을 곳의 담당자와 연락을 취해서 보내진 팩스가 방치되지 않고 곧바로 회수될 수 있도록 조치할 것
4단계- 팩스를 보낼 것이 많다면, 팩스를 받을 담당자와 연락하여 팩스의 종이가 충분한지 확인 후에 발송할 것
5단계- 팩스를 보낸 이후에는 전화 또는 이메일을 사용하여 문서 전체가 제대로 보내졌는지 확인할 것
6단계 - 표지를 사용하여, 문서의 내용이 직접적으로 노출되지 않도록 할 것
참고문헌
1. Computerworld UK, “ICO hits Bank of Scotland with £75,000 fine over fax blunder”, 2013.8.5
2. The Guardian, “Bank of Scotland fined for sending customer details to wrong people”, 2013.8.5
3. Law 360, “Bank Of Scotland Hit With Fine Over Missent Faxes”, 2013.8.5
4. BBC News, “Bank of Scotland's fax blunder leads to fine”, 2013.8.5
5. The ICO, “Fax blunder leads to £55,000 penalty for Staffordshire trust”, 2013.6.13
목 차
21 2013년 8월 3주
미국 NITA, 소비자 프라이
버시 보호 위한 ‘모바일
앱 행동 강령’ 발표
미국 NITA, 업계 및 시민단체 협력 하에 자발적인 행동 강령 발표...모바일 소비자의 프라이버시 강화 효과 기대
l 모바일 단말 활용이 확산되면서 모바일 앱 이용 과정의 프라이버시 보호 문제가 사회적 문제로 대두
실제로 인터넷 위협 분석 및 연구기관 포티가드랩(FortiGuard Labs)의 8월 자료에 따르면, 지난 6개월 동안 모바일 멀웨어가 30% 가량 증가한 것으로 확인
특히, 개방형 모바일 OS를 표방하고 있는 안드로이드(Android)를 표적으로 한 모바일 멀웨어가 확산되고 있는 추세
강제성 부재로 ‘모바일 앱
행동 강령’의 실효성은 의문
정책연구실 정책기획팀
안드로이드 멀웨어 증가 추이(2013.1~2013.8)
※ 출처 : FortiGuard Labs(‘13.8.5)
l 이러한 악성 앱 확산에 대비해 미국 통신정보관리청(National Telecommunications and Information Administration, 이하 NITA)이 모바일 앱 프라이버시 강화에 초점을 맞춘 자발적인 행동 강령(Code of Conduct)을 발표
NITA는 모바일 앱 개발 업체 및 마케팅 업계, 프라이버시 옹호 단체 등과의 협력을 기반으로 자발적인 행동 강령을 도출
l 이번에 발표된 행동 강령은 모바일 앱 상의 개인정보 데이터 수집 범위 및 활용 과정의 투명성 확보에 초점
이에 따르면 모바일 앱 이용자들은 앱 이용 과정에서 수집되는 개인정보의 주요 내역 및 해당 정보의 활용처에 대한 정보를 요약된 형태로 확인할 수 있게 될 예정
개인정보 수집 내역은 웹 브라우저 방문 기록, 지문 및 얼굴 인식 데이터 등의 생물학적 정보, 휴대전화 사용 기록 및 문자메시지 발신 및 수신 내역, 이메일 주소 및 SNS 연결 정보 등의 상세한 접속 정보, 신용카드 및 계좌 정보 등의 금융 정보, 헬스 및 메디컬 관련 데이터, 위치 정보, 휴대전화에 저장된 텍스트, 동영상, 사진 등의 파일 정보 등의 8가지 유형으로 상세히 표시
개인정보 활용처 역시 광고 네트워크, 통신사, 소비자 데이터 재판매업자, 데이터 분석 업체, 정부기관, 플랫폼 운영사, 소셜 네트워크 업체, 여타 애플리케이션 등으로 구체적으로 표시
22 2013년 8월 3주
l NITA 측은 이번 행동 강령 발표를 계기로 모바일 소비자의 프라이버시 보호를 한층 강화할 수 있을 것으로 기대
NITA의 로렌스 E. 스트리클링(Lawrence E. Strickling) 행정관은 “이번 행동 강령은 다양한 이해관계자의 참여를 기반으로 제정되었다는 점에서 더욱 의미가 있다”고 평가하며, 향후 NITA는 해당 강령이 업계에 널리 채택될 수 있도록 노력하겠다는 방침을 발표
‘모바일 앱 행동 강령’, 업계의 자발적 협력에 기대하는 것으로 대대적 참여 유도 쉽지 않아
l NITA 측의 긍정적인 기대에도 불구하고 관련 업계에서는 해당 강령이 아직 잠정적인 합의 수준에 그쳐 있어 실효성을 거두기 어려울 것이란 전망이 제기
업계 내 공식적인 도입을 촉구하는 대신 자발적인 참여를 요청하고 있다는 점에서 단순히 NITA 측의 참여 독려만으로 업계 내 확산을 기대하기는 무리라는 의견이 다수
뿐만 아니라 구글(Google), 애플(Apple)을 비롯한 모바일 앱 시장 선도 업체들도 이번 강령에 대한지지 의견을 표명하지 않은 상태
l 한편, 일부 소비자 단체에서도 해당 강령이 소비자의 앱 선택 단계에서는 도움을 줄 수 있지만, 이에서 나아가 소비자가 직접 자신의 정보를 통제할 수는 없는 반쪽자리 행동 강령이라는 점을 들어 내용 자체에도 한계가 있다고 지적
참고문헌
1. CIO Today, “Mobile App Privacy Code Still Up In The Air”, 2013.7.262. FortiGuard Labs, “Fortinet®’s FortiGuard® Labs Reports a 30 Percent
Increase in Mobile Malware in the Last Six Months; Seeing 1300 New Samples Per Day”, 2013.8.5
3. New York Times, “Under Code, Apps Would Disclose Collection of Data”, 2013.7.254. The Verge, “US government announces first national app privacy code of
conduct”, 2013.7.26
목 차
23 2013년 8월 3주
페이스북, 버그 발견자들
에게 총 100만 달러 지급페이스북, 자사 서비스 버그 발견자들에게 거액의 포상금 지급
l 페이스북(Facebook)은 지난 2011년부터 사용자를 통해 서비스 취약점을 발견하고 이를 통해 자사 서비스 보안 수준을 대폭 개선하기 위한 목적으로 ‘버그 현상금 프로그램(Bug bounty program)’을 운영
현상금 지급 액수는 발견된 오류가 서비스에 미치는 영향, 오류 보고의 정확성, 서비스와의 직접적인 연관성, 해당 오류로 인한 파생적 피해 가능성 등을 기준으로 차별화
현상금의 상한액 기준은 존재하지 않으며 건 당 최소 500달러(약 56만 원) 이상의 현상금이 버그 발견자에게 지급
버그 현상금 프로그램을 통해
지난 2년 간 총 329명 수혜
정책연구실 정책기획팀l 페이스북은 지난 2년간 버그 현상금 프로그램 운영을 통해 총 329명에게 100만
달러(약 11억 원)의 현상금을 지급했다고 발표(‘13.8.2)
이들 329명의 사용자들은 전 세계 51개국에 분포되어 있으며, 현상금 수령자의 20%만이 미국 내 거주자인 것으로 확인
현상금 수령자가 가장 많은 상위 5개 국가는 미국, 인도, 영국, 터키, 독일인 것으로 나타났으며, 수령자 수가 가장 빠르게 증가한 상위 10개 국가는 미국, 인도, 터키, 이스라엘, 캐나다, 독일, 파키스탄, 이집트, 브라질, 스웨덴인 것으로 확인
가장 높은 현상금 액수는 2만 달러(약 2,300만 원)인 것으로 나타났으며, 버그 현상금 프로그램을 통해 최대 10만 달러(약 1억 원)의 수익을 올린 단일 참여자도 존재
최연소 현상금 수령자의 나이는 13세인 것으로 나타났으며, 포상금 수령자 중 2명은 페이스북의 보안 팀 직원인 것으로 확인
l 페이스북의 콜린 그린(Collin Greene) 보안 엔지니어는 자사의 버그 현상금 프로그램이 기대 이상의 성과를 거두고 있다고 자평
버그 현상금 프로그램을 통해 다양한 배경과 지역적인 특성을 지닌 사용자들의 관점 및 재능이 발휘되어 페이스북의 서비스가 개선되었다는 것
한편, 페이스북은 버그 현상금 프로그램을 지속적으로 확대해 나갈 것이라고 밝혔으나, 구체적인 내용은 아직 공개하지 않은 상황
IT 업계, 버그 현상금 프로그램 운영 확산 추세
l 페이스북을 비롯한 IT 업계 내 주요 사업자들 역시 버그 현상금 프로그램을 도입하거나 이미 도입
마이크로소프트(Microsoft)는 지난 6월 자사 OS인 윈도우(Windows) 최신 버전의 취약점을 발견해내는 사람이라면 누구에게나 최대 10만 달러(약 1억 원)까지 현상금을 지급하겠다고 발표
백신 업체 어베스트(Avast) 역시 2013년 1월부터 자사 소프트웨어의 보안 취약점을 발견한 사용자에 보안 위협 정도에 따라 최소 200달러(약 22만 원)에서 최대 5,000달러(약 560만 원) 이상을 지급
l IT 업계 내 ‘버그 현상금 제도’ 도입이 가속화됨에 따라 버그 현상금 프로그램 관련 서비스를 제공하는 사업자까지 등장
버그크라우드(Bugcrowd), 버그울프(Bugwolf) 등과 같은 사업자들은 버그 접수부터 현상금 지급까지 일체의 과정을 관리해주는 버그 현상금 프로그램을 구축·제공
24 2013년 8월 3주
l IT 업계 내 버그 현상금 프로그램 도입 붐이 일고 있는 이유는 일반적인 보안 정책 대비 비용 면에서 훨씬 효율적이기 때문
미국 캘리포니아 대학은 현재 구글과 모질라(Mozilla)가 운영 중인 버그 현상금 프로그램을 대상으로 연구를 실시하고, 그 결과를 ‘취약성 보상금 제도에 대한 실증적 연구(An Empirical Study of Vulnerability Reward Programs)’란 보고서를 통해 발표(‘13.1.10)
해당 보고서에 따르면 2009년부터 3년간 구글은 자사 웹브라우저 ‘크롬 (Chrome)’에 대한 버그 현상금 제도를 통해 약 58만 달러(약 6억 5,000만 원)를 지불하고, 총 501개의 취약점을 발견
모질라 역시 자사 웹 브라우저인 파이어폭스(FireFox)에 대한 버그 현상금 프로그램을 통해 총 190개의 취약점에 대한 약 57만 달러(약 6억 4,000만 원)의 현상금을 지급
캘리포니아 대학의 연구진은 구글과 모질라가 보상금 제도를 통해 발견된 동일한 수의 취약점을 찾기 위해 보안 전문가를 고용할 경우, 관련 비용이 최대 100배 이상 증가할 것으로 추정
l 버그 현상금 프로그램 제공 사업자 버그크라우드 역시 비용 면에서 자사 보안 상품이 강점을 보유하고 있다고 설명
버그크라우드의 케이시 엘리스(Casey Ellis) CEO는 버그 현상금 프로그램이 모의 침투 테스트를 시행하거나 컨설턴트의 조언을 받는 것 보다 비용 면에서 훨씬 저렴하다고 지적
현재까지 자사 프로그램의 이용 추이를 살펴볼 때 동일 비용 기준 여타 보안 프로그램 대비 버그 현상금 프로그램이 최대 5배 정도 많은 보안 취약점을 발견할 수 있었다고 부연해 설명
l 한편, 버그 현상금 프로그램 활성화로 인해 IT 업계 내 보안 취약점에 대한 거래는 양성화되고 있는 추세
언론 매체 뉴욕타임즈(New York Times)는 과거 음성적으로 거래 되었던 보안 취약점을 공개적으로 판매하는 해커들이 증가하고 있음을 지적(‘13.7.13)
또한 일정 수수료를 받고 해커와 사업자를 연계시켜주는 중개 사업자까지 등장하면서 보안 취약점 거래가 새로운 비즈니스 모델로 떠오르고 있다고 설명
뉴욕타임즈는 지난 3년 간 보안 취약점에 대한 거래량이 3배 이상 증가했으며, 건당 최대 16만 달러(약 1억 8,000만 원)에 보안 취약점이 거래되고 있다고 강조
참고문헌1. Avast! Blog, “Introducing the New Avast Bug Bounty Program”, 2013.1.252. Computerworld, “How Bug Bounty Programs Bring Big Savings and Better Security”,
2013.7.233. New York Times, “Nations Buying as Hackers Sell Flaws in Computer Code”, 2013.7.134. Security Week, “Bug Bounty Programs More Cost-Effective Than Hiring Security
Experts: Study”, 2013.7.105. The Next Web, “Two years in, Facebook has paid 329 security researchers over $1
million as part of its Bug Bounty program”, 2013.8.2
목 차
25 2013년 8월 3주
토르(Tor) 네트워크로
Firefox 취약점을 악용한
정보 탈취 공격
개요
l 토르(Tor) 네트워크를 통해 호스트 되고 있는 웹사이트들이 파이어폭스(Firefox) 브라우저의 취약점을 악용한 악성 스크립트를 유포하는 것이 발견
※ 토르 네트워크(Tor Network) : 온라인 공간에서 개인 정보보호, 표현의 자유를
위한 익명성을 제공해 주는 가상 컴퓨터 네트워크
침해예방단 침해예방기획팀,
융합서비스보호팀 주요 내용
l 악성코드를 유포하는 웹사이트들은 토르(Tor) 네트워크를 이용하여 호스팅 서비스를 제공하는 업체인 프리덤 호스팅(Freedom Hosting)을 통해 유포가 이루어 졌으며, 발견된 악성코드는 파이어폭스 ESR-17 버전을 사용하는 토르 브라우저 번들의 파이어폭스 브라우저 취약점(CVE-2013-1690)을 이용
l 취약한 서버에 호스트 되고 있는 웹사이트에는 iframe을 생성하는 악성 자바스크립트가 있으며, 자바스크립트는 사용자들의 컴퓨터에 고유 ID를 가진 쿠키 파일을 생성
토르(Tor) 네트워크를 이용한 공격 흐름도
※ 출처 : Symantec
l 웹사이트에서 자바스크립트를 통해 만들어진 iframe은 공격자의 서버로부터 HTML 파일에 대한 요청을 전달하며, 전달된 HTML 파일은 파이어폭스 브라우저의 취약점을 악용하며 페이로드를 실행
l 공격이 이루어지면, 감염된 컴퓨터의 로컬 호스트 이름과 네트워크 카드 고유의 MAC 주소 정보를 탈취해 공격자 서버로 전송
26 2013년 8월 3주
실제 전송되는 정보
GET /05cea4de-951d-4037-bf8f-f69055b279bb HTTP/1.1
Host: PXE306141 (로컬 호스트 이름)
Cookie: ID=0019B909D908 (실제 MAC 어드레스)
Connection: keep-alive
Accept: */*
Accept-Encoding: gzip
※ 출처 : Symantec
l 공격자는 네트워크 고유의 MAC 주소, 로컬 호스트 이름, 쿠키 정보들을 통해 공격과 관련한 시스템들의 위치를 찾아내는데 도움을 받을 수 있으며, 이 방법이 법적으로 인정받는다면 네트워크 카드의 구매이력 등을 통하여 해당 시스템을 추적하는 것이 가능
l 토르 네트워크는 트래픽 분석과 네트워크 감시로부터 개인의 프라이버시와 사용자의 위치정보, 사용내역 등을 숨기고 익명성을 보장받기 위해 고안되었지만, 이번 공격을 통해 토르 네트워크를 사용하는 사람들에 대해서도 실제로 추적이 가능함을 제시
참고문헌
1. Symantec, “Tor Anonymity Comes Under Attack”, 2013.8.6
목 차
27 2013년 8월 3주
28 2013년 8월 3주
전세계 인터넷 사용자
10억 명 돌파2013년 1분기 전세계 인터넷 IP 주소, 전년 동기 대비 10% 증가
l 클라우드 플랫폼 제공 사업자 아카마이(Akamail)가 2013년 1분기 ‘인터넷 현황(State of the Internet)’ 보고서를 발간(‘13.7.23)
인터넷 속도는 한국이 1위
정책연구실 정책기획팀
아카마이에 따르면 인터넷 IP(Internet Protocol) 주소의 수가 2013년 1분기 기준 7억 3,300만 개에 달하며, 이는 직전 분기 대비 3%, 전년 동기 대비 10% 증가한 수치
※ IP(Internet Protocol) 주소란 전세계 컴퓨터에 부여된 고유의 식별 주소를 의미하는 것으로,
인터넷 등 네트워크에 연결된 모든 단말은 중복되지 않는 IP 주소를 보유
미국은 가장 많은 1억 4,700만 개의 IP 주소를 확보하고 있는 것으로 나타났으며 그 뒤를 이어 중국과 일본, 독일, 영국 순으로 IP 주소를 보유하고 있는 것으로 확인
아카마이는 여러 단말에서 하나의 IP 주소를 공유해 이용하는 행태를 고려할 때 전세계 인터넷 사용자 수가 10억 명에 달할 것이라고 설명
IP 주소 보유 수 상위 10개국 현황
순위 국가2013년 1분기 IP
주소 보유 현황(개)
직전 분기 대비
증가율
전년 동기 대비
증가율
- 전세계 733,799,401 3.1% 10.0%
1 미국 147,940,918 2.9% 1.0%
2 중국 110,473,009 5.3% 20.0%
3 일본 42,052,616 1.6% 3.8%
4 독일 37,840,924 0.7% 5.0%
5 영국 28,524,028 3.3% 11.0%
6 프랑스 26,992,978 1.9% 5.7%
7 브라질 26,442,198 4.8% 38.0%
8 한국 21,412,948 2.5% 8.1%
9 이탈리아 20,232,010 1.6% 20.0%
10 러시아 18,240,078 3.1% 15.0%
※ 출처 : Akamail(‘13.7.23)
l 전세계 177개 국가의 사용자들이 인터넷을 이용하고 있는 가운데 평균 인터넷 속도가 가장 높은 국가는 한국인 것으로 확인
한국의 인터넷 속도는 평균 14.2Mbps로 세계 최고인 것으로 나타났으며, 그 뒤를 이어 일본과 홍콩이 각각 11.7Mbps와 10.9Mbps로 2위와 3위를 차지
※ Mbps는 1초당 100만 비트를 보낼 수 있는 전송 속도를 의미
미국의 평균 인터넷 속도는 8.9Mbps로 북미 지역에서는 가장 빠른 것으로 나타났으며, 유럽 권역에서는 스위스와 네덜란드가 각각 10.1Mbps와 9.9Mbps로 평균 인터넷 속도 1위와 2위를 차지
10Mbps 이상의 초고속 브로드밴드 보급률 역시 한국은 50%를 기록하며 세계 1위를 차지
한편, 2012년 4분기 2.9Mbps였던 전세계 평균 인터넷 속도는 2013년 1분기 3.1Mbps를 기록했으며, 전세계 10Mbps 이상의 초고속 브로드밴드 보급률은 13%를 기록
29 2013년 8월 3주
전세계 평균 인터넷 속도 현황
순위 국가
2013년 1분기
평균 인터넷 속도
(Mbps)
직전 분기 대비
증가율
전년 동기 대비
증가율
- 전세계 평균 3.1 4.0% 17.0%
1 한국 14.2 1.5% -10.0%
2 일본 11.7 3.9% 6.8%
3 홍콩 10.9 9.0% 16.0%
4 스위스 10.1 6.1% 24.0%
5 네덜란드 9.9 10.0% 12.0%
6 라트비아 9.8 4.5% 12.0%
7 체코 9.6 9.1% 34.0%
8 스웨덴 8.9 10.8% 32.0%
9 미국 8.6 7.4% 27.0%
10 덴마크 8.2 13.0% 17.0%
※ 출처 : Akamail(‘13.7.23)
차세대 인터넷 주소 체계 IPv6 도입은 지지 부진
l 한편, 아카마이에 따르면 차세대 IP 주소 체계인 IPv6가 기대 이하의 도입율을 나타내고 있는 상황
※ IPv6 주소는 기존 IPv4 방식의 주소 고갈 문제를 해결하기 위해 도입된 차세대 IP 주소 체계로,
주소 길이가 32bit인 IPv4 방식에 비해 IPv6 방식은 주소 길이가 128bit로 확대되어 사실상
무한대의 IP 주소 생성이 가능
현재 사용되고 있는 IP 주소의 95% 이상은 IPv4 방식을 따르고 있는 것으로 확인
l 그러나 아카마이는 IPv6 트래픽 자체는 꾸준히 증가하고 있다고 설명 아카마이는 IPv6 트래픽 발생량이 증가와 감소를 반복하고 있으나 전반적으로 증가
추세를 보이고 있다고 설명 네트워크 업체 시스코(Cisco) 역시 2012년 말 1.3%를 기록한 전세계 유선 인터넷
상의 IPv6 트래픽 비율이 2013년 말 3.1%까지 증가할 것으로 예상했으며, 2017년에는 23.9%에 달할 것으로 전망
참고문헌
1. Akamai, “The State of the Internet”, 2013. 72. Enterprise Networking, “IPv6 and Mobile Network Traffic Growing in the Zettabyte
Era”, 2013.5.293. PR Newswire, “Akamai Releases First Quarter 2013 'State of the Internet' Report”,
2913.7.23
목 차
30 2013년 8월 3주
모바일 단말, TV 시청자의
행태 변화 촉진 영국 TV시청자의 절반이상은 모바일단말을 동시에 활용
l 영국 방송통신 규제기관 오프콤(Ofcom)은 영국 TV 시청자 중 62%는 TV 시청 중 모바일 단말을 동시에 활용하는 세컨드 스크린 사용자라고 밝힘(’13.8.1)
정책연구실 정책기획팀
최수민
응답자의 36%는 TV를 통해 시청하는 프로그램과 연관된 콘텐츠를 모바일 단말에서 소비하는 '연속적(Media Meshing)‘ 시청자
연속적 시청자들은 TV 시청 도중 프로그램과 관련된 문자 메시지를 발송 하거나(17%), 친구와의 음성 통화(16%), 관련 콘텐츠의 웹 검색(12%), 관련 내용의 SNS 업로드(11%) 등을 실시
TV시청 중 연관 콘텐츠 이용행태
※ 출처 : Ofcom
l 반면, 56%의 이용자는 TV내용과 관련 없는 웹서핑을 하거나(36%), 전화통화(29%), 또는 소셜 네트워크를 이용(22%)
TV시청 중 TV내용과 무관한 콘텐츠 이용
※ 출처 : Ofcom
31 2013년 8월 3주
영국 성인의 모바일기기 사용량 증가
l 태블릿과 스마트폰의 이용은 지난 2년간 동안 급속히 증가했으며, DVD, MP3 등의 이용은 감소하는 등 지난 10년간의 시청각행태가 변화
태블릿PC 이용행태
※ 출처 : Ofcom
영국 성인의 15%는 노트북(10%), 태블릿PC(5%), 데스크탑(2%) 등을 통해 인터넷 전화를 이용
인스턴트메시지는 스마트폰(68%)을 주로 사용하고 있으며, 노트북, 태블릿PC, 데스크탑도 일부 사용(25%)
l 영국의 태블릿PC 이용은 2012년(11%)과 2013년 1분기(24%) 사이에 두 배로 급증했으며, 9%는 두 대 이상의 태블릿을 소유
이용자는 하루 평균 1시간 45분 간 태블릿을 이용하고 있으며, 38%는 하루 두 번 이상 사용
태블릿PC 이용자는 인터넷서핑(71%)을 하거나, 가족, 친구와 연락(59%), 게임(50%), 쇼핑(49%) 등을 이용
참고문헌
1. Ofcom, “Communications Market Report 2013”, 2013.8.1
목 차
32 2013년 8월 3주
IDC, 2013년 2분기 전세계
태블릿 실적 분석 자료
발표
시장조사업체 IDC, 2013년 2분기 전세계 태블릿 실적 분석 자료 발표
l 시장조사업체 IDC의 2013년 2분기 전세계 태블릿 실적 분석 자료에 따르면 전세계 태블릿 시장이 전분기 대비 9.7% 감소했지만, 전년과 대비해서는 59.6% 성장
2013년 말, 태블릿 시장 본격적
으로 성장할 것으로 예상
- 삼성(Samsung)과 레노버(Lenovo)의 판매대수가 전년 동기보다 각 277.0%, 313.9% 증가
- 반면, 시장점유율 1위인 애플(Apple)의 판매대수는 2012년 2분기 1700만대에서 2013년 2분기 1460만대로 14.1% 감소하였으며, 시장 점유율은 2012년 2분기 60.3%에서 2013년 2분기 32.4%로 절반 가까이 감소
산업진흥단 뉴비즈니스팀주요 5개 태블릿 벤더의 2013년 2분기 출하량 및 시장점유율
(출하량 단위 : 백만)
벤더2Q13출하량
2Q13 시장점유율
2Q12 출하량
2Q12 시장점유율
전년대비 성장률
1. 애플 (Apple)
14.6 32.4% 17.0 60.3% -14.1%
2. 삼성(Samsung)
8.1 18.0% 2.1 7.6% 277.0%
3. 에이수스 (ASUS)
2.0 4.5% 0.9 3.3% 120.3%
4. 레노버 (Lenovo)
1.5 3.3% 0.4 1.3% 313.9%
5. 에이서 (Acer)
1.4 3.1% 0.4 1.4% 247.9%
기타 17.5 38.8% 7.4 26.2% 136.6%합계 45.1 100.0% 28.3 100.0% 59.6%
※출처: IDC
l OS별 태블릿 시장 점유율을 살펴보면 안드로이드 OS(Android OS)가 애플의 iOS를 제치고 시장점유율 1위를 차지
- 전년도와 비교한 결과, 안드로이드 OS는 2012년 2분기 38.0%에서 2013년 2분기 62.6%로 약 두 배 증가
- 반면, 애플의 iOS는 2012년 2분기 60.3.%에서 2013년 2분기 32.5%로 절반 가까이 감소
- 그 외 윈도우(Windows)의 판매대수가 2012년 2분기 3만대에서 2013년 2분기 13만대로 약 527.0% 크게 증가
l 태블릿에서도 스마트폰과 유사하게 구글(Google)의 안드로이드 OS와 애플의 iOS가 경쟁하고 있으나, 애플의 독점 체제는 더 이상 기대하기 힘들 것으로 예상
33 2013년 8월 3주
주요 5개 태블릿 OS의 2013년 2분기 출하량 및 시장점유율(출하량 단위 : 백만)
벤더2Q13출하량
2Q13 시장점유율
2Q12 출하량
2Q12 시장점유율
전년대비 성장률
1. Android 28.2 62.6% 10.7 38.0% 162.9%
2. iOS 14.6 32.5% 17.0 60.3% -14.1%
3. Windows 1.8 4.0% 0.3 1.0% 527.0%
4. Windows RT 0.2 0.5% N/A N/A N/A
5. BlackBerry OS 0.1 0.3% 0.2 0.7% -32.8%
기타 0.1 0.2% N/A N/A N/A
합계 45.1 100.0% 28.3 100.0% 59.6%
※출처: IDC
2013년 말, 태블릿 시장 본격적으로 성장할 것으로 예상
l 2013년 2분기 애플의 아이패드(iPad) 신제품이 출시되지 않아 전체 성장률이 다소 감소 한 것으로 나타났으나, 2013년 말에는 애플, 아마존(Amazon) 등이 신제품을 출시할 계획으로 본격적으로 태블릿 시장이 성장할 것으로 예상
애플의 2013년 2분기 실적발표에 의하면, 애플 아이패드용 앱이 2011년 1월에 비해 483% 증가한 35만개 등록되어 있는 것으로 나타나 태블릿 마켓의 수요도 꾸준히 증가 추세
더불어 태블릿 전용 마켓과 태블릿 전용 액세서리 시장도 함께 성장할 것으로 예상
참고문헌
1. IDC, “Worldwide Quarterly Tablet Tracker”, 2013.8.52. IDC, “Worldwide Quarterly Tablet Tracker”, 2013.5.13. Business Insider, “Apple Beats Expectations Thanks To Strong iPhone Sales, Stock
Jumps”2013.7.23
목 차
