인터넷 정책·산업 ·문화 - KISA · 2013-06-10 · 2013년 4월 2주 (4/11) 인터넷...
36
Transcript of 인터넷 정책·산업 ·문화 - KISA · 2013-06-10 · 2013년 4월 2주 (4/11) 인터넷...
2013년 4월 2주 (4/11)
2013년 4월 2주 (4/11)
인터넷 정책·산업 ·문화인터넷 정책·산업 ·문화
▪ 트위터, 모바일 전략 강화로 광고 매출 향상 기대 2
▪ 린키아, 소셜 미디어 마케팅 지원 위한 파워 블로그 매칭 서비스로 주목 5
▪ 프리미엄(Freemium) 모델, 앱 시장의 주요 수익 확보 방안으로 부상 7
▪ 유럽 소비자, 모바일을 통한 디지털 미디어 소비 가속화 양상 9
▪ 호주 빅토리아주 대법원, 안전한 온라인 이용 캠페인 시행 12
정보보호·개인정보보호정보보호·개인정보보호
▪ 미국 연방정부 내 사이버보안 인력 고령화 문제 대두 15
▪ 미국 메인주 지방법원, 한나포드 개인정보유출에 대한 소송 각하 18
▪ 일본 총무성, 스마트폰 보안 정책에 대한 후속 대응 현황 보고 20
▪ 일본 IPA, 조직의 내부자에 의한 정보 유·노출방지 가이드라인 발표 22
▪ 일본 야후 재팬과 구 포털 사이트에 대한 해킹 발생 26
▪ 프랑스 CNIL, 모바일 앱의 개인정보 이용 행태 분석 결과 발표 28
▪ 스카이프 가상화폐를 가로채는 새로운 악성코드 확산 30
글로벌 방송통신글로벌 방송통신
▪ 2013년 글로벌 IT 지출 4.1% 증가 전망 33
2013년 4월 2주 (4/11) 1
2013년 4월 2주 (4/11) 2
트위터, 모바일 광고 매출 증대로 시장 기대를 웃도는 성장세 자랑
시장조사기관 이마케터(eMarketer)에 따르면 트위터(Twitter)의 광고 매출이 2013년
5억 8,280만달러(약 6,576억원)에서 2014년 9억 5,000만달러(약 1조 720억원), 2015년
13억 3,000만 달러(약 1조 5,000억원)로 급성장할 전망
- 2013년 전년 대비 102.2%에 달하는 매출 성장률을 기록할 것으로 전망되며,
2014년과 2015년에도 각각 63.0%, 40.0%의 성장률을 보일 것으로 예상
트위터의 광고 매출 증가 추이(단위: 백만 달러, %)
※ 출처 : eMarketer
특히, 2013년 기준 전체 광고 매출의 절반 이상인 53% 가량을 모바일 광고가
차지할 것으로 예상
- 2012년 2월, 모바일 버전 프로모티드 트윗(Promoted Twit)을 시작으로 모바일
광고 시장에 진출한 트위터가 채 2년도 안되는 기간에 3억달러(약 3,385억원)를
돌파하며 모바일 광고 매출을 기록할 것으로 전망돼 더욱 주목
- 2015년에는 모바일 광고 매출 비중이 전체 광고 수입의 60% 이상을 차지할
것으로 전망됨에 따라 모바일 광고가 트위터의 최대 수익원으로 자리 잡을 전망
- 이마케터는 지난해 9월 트위터의 2014년 광고 매출 규모를 8억달러(약 9,028억원)로
전망한 바 있으나, 모바일 부문의 성장세가 강세를 띠면서 해당 년도 시장 규모
전망치를 9억 5,000만달러(약 1조 720억원)로 상향 조정
트위터, 모바일 전략 강화로 광고 매출 향상 기대정책연구실 정책기획팀
2013년 4월 2주 (4/11) 3
트위터의 모바일 광고 매출 증가 추이(단위: 백만 달러, %)
※ 출처 : eMarketer
미국 시장에 편중됐던 광고 매출 역시 점차 미국 외 지역의 비중이 증대되면서
글로벌 시장 영향력을 과시할 전망
트위터의 지역별 광고 매출 증가 추이(단위: 백만 달러, %)
구분 2011 2012 2013 2014 2015
미국광고 매출 $133.9 $259.5 $483.7 $750.5 $1,010.8
시장 비율 96% 90% 83% 79% 76%
미국 외광고 매출 $5.6 $28.8 $99.1 $199.5 $319.2
시장 비율 4% 10% 17% 21% 24%
전세계 광고 매출 $139.5 $288.3 $582.8 $950.0 $1,130.0
※ 출처 : eMarketer
트위터, 광고 매출 강세로 기업 공개 ‘청신호’
이마케터 측은 광고 시장을 공략하기 위한 트위터의 매출 증대 전략이 효과를
발휘하면서 수익성이 개선되고 있다고 평가
- 실제로 트위터는 지난 2월 20일 광고 API를 공개하는 등 실적 개선을 위한
행보를 본격화하고 있는 상황
이에 따라 뚜렷한 수익 모델이 없어 지속적인 성장성에 대한 업계의 우려를 사던
트위터의 기업공개(IPO) 행보 역시 본격화될 것으로 예상
- 영국 일간지 가디언(Guardian)은 트위터가 올해 5월 경 기업공개를 단행할
것이라고 보도(‘13.1)
- 기업공개 전문 분석기관인 그린크레스트(Greencrest)에 따르면 트위터의 기업
가치는 110억달러(약 12조 4,135억원)에 달하는 것으로 추정
2013년 4월 2주 (4/11) 4
1. eMarketer, "Twitter Forecast Up After Strong Mobile Showing", 2013.3.28
2. Guardian, "Twitter could be worth $11bn as it prepares to go public in 2014", 2013.1.5
목 차
2013년 4월 2주 (4/11) 5
신생업체 린키아(Linqia), 블로그 기반 新개념 소셜 마케팅 솔루션 제시
2011년 11월에 설립된 신생 벤처 린키아(Linqia)가 서비스나 제품 홍보를 원하는
브랜드와 온라인 오피니언 리더가 운영하는 블로그를 자동으로 매칭 시켜주는
서비스를 개발해 주목
- 린키아는 브랜드가 기획한 마케팅 캠페인 내용을 토대로 해당 캠페인과 연관성
높은 콘텐츠를 포스팅하는 파워 블로거를 연결시켜주는 서비스를 제공
- 예컨대 육아 관련 전문 블로그 운영자와 아동 용품 판매자를 연결시켜주고,
블로거 스스로 해당 브랜드의 제품을 소개하거나 관련 콘텐츠를 포스팅하도록 유도
- 이 때 포스팅 된 콘텐츠에는 상품을 곧바로 구매하거나 제품 관련 정보를 얻을
수 있는 링크가 함께 삽입
- 소비자들이 해당 링크를 클릭할 경우 마케팅을 의뢰한 브랜드는 클릭 당 과금
방식으로 린키아에 광고 비용을 지불하게 되며, 린키아는 이 중 일부를 블로그
운영자에게 배분
린키아(Linqia)의 매칭 서비스 이용 예시
※ 출처 : Coconut Robot
- 린키아는 자사 시스템을 적극적으로 활용하는 블로거의 경우 월 평균 최소 1,000달러
(약 110만원)에서 최대 1,500달러(약 170만원)의 수입을 올릴 수 있다고 설명
린키아, 소셜 미디어 마케팅 지원 위한 파워 블로그
매칭 서비스로 주목정책연구실 정책기획팀
2013년 4월 2주 (4/11) 6
린키아, 유명 브랜드의 홍보 지원 및 대규모 투자 유치로 성공 가능성 인정
현재 마케팅 업계에서는 일방적인 광고가 아닌 온라인 상에서 높은 영향력을
행사하고 있는 블로거 등을 활용해 입소문을 내는 방식의 프로모션 전략이
각광받고 있는 상황
- 특히 특정 주제와 관련된 콘텐츠만을 포스팅 하는 커뮤니티 가입자를 대상으로
마케팅을 진행할 경우 별도의 타깃 설정이 필요 없다는 이점이 존재
- 그러나 기업 입장에서 파워 블로거들을 일일이 찾아내고 이들과 계약을
진행하는 것은 매우 번거로운 과정 중 하나
린키아는 자사가 개발한 자동 검색 알고리즘 기반 웹 크롤링 기술을 이용해
분야별 파워 블로거 2,500여 명을 확보함으로써 브랜드와 블로거 간 매칭 과정을
획기적으로 간소화
- 또한 포스팅 주기 등 블로그 운영 상태를 지속적으로 모니터링 함으로써 일정
수준 이상의 홍보 효과를 제공
린키아는 자사 비즈니스 모델의 강점을 인정받아 2012년 9월 투자회사 제블린
파트너스(Javenlin Partners)로부터 350만달러(약 40억원)의 자금을 유치
- 또한 음료 브랜드 코카콜라(Coca-Cola), 생활 용품 브랜드 도브(Dove) 등 유명
사업자의 프로모션을 유치하는 등 성공 가능성을 인정받고 있는 상황
- 현재 린키아는 육아 및 가정생활 관련 마케팅에 집중하고 있으나, 향후 다른
영역의 마케팅 의뢰까지 취급할 예정
한편, 린키아의 서비스 방식은 미국 연방통상위원회(FTC)의 규정을 위반할
위험성이 내포
- FTC는 온라인 상에 홍보성 콘텐츠를 포스팅 할 경우 대가성 여부를 명시하도록
규정
- 이와 관련해 린키아는 현재 포스팅 콘텐츠의 규정 준수 여부를 수동으로
확인하고 있으나, 향후에는 이 같은 절차를 모두 자동화 할 계획이라고 설명
1. Ad Age, "Startup Watch: Linqia Looks to Play Matchmaker for Brands and Bloggers", 2013.3.22
2. TechCrunch, "Welcome To The Long Tail Of Social Media Marketing: Linqia Exits Stealth
Mode With $3.5M Series A From Javelin, Esther Dyson", 2012.9.22
목 차
2013년 4월 2주 (4/11) 7
앱 내 결제 지원하는 무료 앱 배포, 모바일 앱의 주요 수익 확보 채널로 자리매김
모바일 앱 시장조사업체 디스티모(Distimo)가 모바일 앱 시장의 수익 메커니즘을
조사한 보고서를 발표(‘13.3.28)
- 보고서에 따르면 2013년 2월 기준 미국 내 애플 앱스토어에서 발생하고 있는 매출
중 76%는 앱 내 결제(in-app purchase) 방식으로 발생하고 있는데, 이는 2012년
1월 대비 23%p 증가한 수치
- 특히 홍콩, 일본, 중국, 한국 등 아시아 국가의 경우 앱스토어에서 발생하는
매출의 90% 이상이 앱 내 결제를 통한 것으로 집계
현재 시장에 출시되고 있는 모바일 앱 역시 대부분 앱 내 결제 기능을 포함하고
있는 것으로 확인
- 미국 앱스토어에 등록된 앱의 71%는 다운로드는 무료지만 설치 이후 앱 내에서
사용되는 아이템이나 서비스 업그레이드 등은 유료로 제공
- 24%의 앱은 구매 이후 모든 기능을 제한 없이 사용할 수 있는 유료 앱인 것으로
나타났으며, 다운로드는 물론 앱 내 특정 서비스 이용에 대해 일정 비용을
요구하는 앱은 전체 등록 앱의 5%를 기록
미국 앱스토어 전체 매출 중 앱 내 결제 매출 비중 변화 추이(좌) 및 2013년 2월 기준 유형별 미국 앱스토어 매출 구성(우)
※ 출처 :Distimo(2013.3.28)
특히 2013년 2월 기준 미국 앱스토어 다운로드 순위 Top 10에 속한 앱들은 모두
무료로 배포되는 대신 앱 내 결제를 지원
- 또한 미국 앱스토어 다운로드 수 기준 상위 250개 앱의 68%가 앱 내 결제 기반
무료 앱인 것으로 밝혀졌으며, 앱 내 결제를 지원하지 않는 앱은 11%에 불과
프리미엄(Freemium) 모델, 앱 시장의 주요 수익 확보 방안으로 부상정책연구실 정책기획팀
2013년 4월 2주 (4/11) 8
앱 내 결제 지원 무료 앱의 경우 누적 다운로드 수와 매출이 비례하는 경향이
있는 것으로 확인
- 다운로드 순위 Top 10에 속한 앱들 중 ‘What's the Word'(’12.11 출시)는 앱
다운로드 1회당 발생 매출(App Revenue Per Download, ARPD)이 0.37달러(약
400원)에 불과하나, 'Clash of Clans'(‘12.6 출시)는 7.04달러(약 8,000원)를 기록
2013년 2월 기준 미국 앱스토어 다운로드 Top 10 앱의 ARPD
순위 애플리케이션 명 ARPD 출시일1 Clash of Clans $4.66 2012-062 Candy Crush Saga $1.14 2012-103 Hay Day $3.29 2012-054 MARVEL War of Heroes $2.93 2012-095 The Simpsons™: Tapped Out $2.14 2012-026 Big Fish Casino – Free Slots, Poker, Blackjack and More! $6.80 2012-087 Rage of Bahamut $7.04 2012-058 The Hobbit: Kingdoms of Middle-earth $4.64 2012-109 What's the Word? - new quiz with pics and word $0.37 2012-1110 TurboTax SnapTax $2.18 2012-01
※ 출처 :Distimo(3.28)
모바일 앱 개발사, 프리미엄(Freemium) 모델로 소비자들에게 어필
무료로 앱을 배포한 후 추가 기능을 유료로 제공하는 프리미엄(Freemium) 방식의
확산은 앱 시장 고유의 특성에서 기인
※ 프리미엄(Freemium)은 ‘Free’와 ‘Premium’의 합성어로 기본 서비스는 무료로 제공하고
추가 기능에 대해서는 요금을 받는 수익 모델을 의미
- 현재 80만개의 앱이 애플 앱스토어에 등록되어 있는 등 경쟁이 치열한 상황에서
무료 배포 전략은 신규 앱을 소비자들에게 가장 빨리 어필할 수 있는 방법
- 특히 애플 앱스토어의 경우 실 구매 전 테스트 목적의 앱 다운로드가 불가능하다는
점과 환불 절차가 복잡하다는 점으로 인해 앱 구매에 대한 사용자 거부감을 유발
- 결국 모바일 앱을 통해 매출을 발생시키기 위해서는 앱 설치를 유도한 후 추가
서비스 제공 등을 통해 수익을 발생시키는 프리미엄 전략이 효과적
1. TechCrunch, "In-App Purchase Revenue Hits Record High: Accounts For 76% Of U.S. iPhone
App Revenue, 90% In Asian Markets", 2013.3.28
목 차
2013년 4월 2주 (4/11) 9
유럽 PC 기반 온라인 디지털 이용자 수, 전년 대비 7% 증가한 4억 830만명
시장조사기관 컴스코어(comScore)가 발표한 보고서에 따르면, 최근 유럽 소비자들의
디지털 단말 및 콘텐츠 소비가 증가하고 있는 것으로 확인
※ 컴스코어는 최근 ‘2013 Europe Digital Future in Focus' 보고서를 통해 인터넷 및
동영상 서비스와 모바일 단말 등 디지털 시장 전반에 걸친 소비자의 이용 행태와
관련한 조사 결과를 발표
- 컴스코어에 따르면 2012년 12월 기준, 유럽의 데스크탑 PC를 통한 인터넷
이용자 수는 전년 대비 7% 증가한 4억 830만명에 달하는 것으로 집계
- 유럽은 아시아 태평양 지역(6억 3,700만명)에 이어 두 번째로 많은 인터넷 이용자
수를 기록
- 북미의 인터넷 이용자 수는 2억 1,500만명으로 유럽의 뒤를 이었으며, 그 밖에
중동 및 아프리카, 남미의 인터넷 이용자 수는 각각 1억 3,500만명과 1억
3,100만명으로 집계
권역별 인터넷 이용자 수 증가 추이(2011.12~2012.12)
※ 출처 : comScore
프랑스 및 네덜란드를 제외한 유럽 국가들은 대부분 인터넷 이용자 수가 증가
추세를 나타내고 있는 것으로 조사
- 러시아의 인터넷 이용자 수는 유럽 국가 중 가장 많은 6,130만명에 달했는데,
이는 전년 대비 15% 증가한 수치
유럽 소비자, 모바일을 통한 디지털 미디어 소비 가속화 양상 정책연구실 정책기획팀
2013년 4월 2주 (4/11) 10
- 독일은 전년 대비 3% 증가한 5,244만명으로 러시아의 뒤를 이었으며,
이탈리아의 인터넷 이용자 수는 2,872만명에 불과했으나 전년 대비 증가율은
17%로 가장 빠른 성장세를 기록
유럽 주요국의 인터넷 이용자 수 및 전년 대비 증가율(2012.12)
※ 출처 : comScore
유럽인의 월 평균 인터넷 이용 시간은 26.9시간으로 집계
※ 북미의 월평균 인터넷 이용 시간은 42.8시간으로 가장 활발하게 인터넷이 이용되는
것으로 조사되었으며, 가장 많은 인터넷 이용자 수를 기록한 아시아 태평양의 경우에는
18.9시간으로 글로벌 평균인 24.7시간에도 미치지 못하고 있는 것으로 조사
- 유럽 인터넷 이용자들은 PC를 통해 ‘소셜 미디어’에 가장 오랜 시간 접속하며,
접속 시간은 2012년 12월 기준 월 평균 6.7 시간인 것으로 조사
모바일을 통한 디지털 미디어 이용 급증...스마트폰 단말 보급이 주 요인
스마트폰의 이용 증가에 힘입어 모바일을 통한 인터넷 접속 및 디지털 미디어
이용이 급격히 증가하는 추세
- 프랑스, 독일, 이탈리아, 스페인, 영국 등 5개 국가의 평균 스마트폰 보급률이 약
57%를 기록한 가운데, 모바일을 통한 디지털 미디어 이용자 수는 2억
4,100만명에 달하는 것으로 집계
- 유럽 5개국의 모바일 단말기 이용 행태에서 음성통화 및 SMS를 제외한 디지털
미디어 소비 활동이 차지하는 비중도 2011년 12월 46.5%에서 59.3%로 증가
2013년 4월 2주 (4/11) 11
유럽의 단말별 인터넷 페이지 접속 수에서 스마트폰 및 태블릿 PC 등 모바일
단말을 통한 접속 수는 약 20%를 점유
- 특히 모바일 단말 이용이 활발한 국가는 영국, 아일랜드, 러시아로, 이들의 모바일
단말을 통한 페이지 접속 수 비중은 각각 30.8%, 27.4%, 25.1%를 차지
- 주요 뉴스 매체의 단말별 접속 횟수를 조사한 결과, 모바일을 통한 접속 비중은
PC에 비해서 여전히 낮지만 전년 대비 증가율은 최소 9.3%에서 최대 16.9%
사이로 비교적 높은 증가세를 기록
※ 주요 조사 매체는 메일 온라인(Mail Online), 가디언(The Guardian), 텔레그래프 미디어
그룹(Telegraph Media Group), 인디펜던드(indiependent.co,kr), 더 썬 온라인(The Sun
Online) 등
- 온라인 동영상의 경우, PC를 통한 시청자 수는 전년 대비 5% 증가한 반면
모바일을 통한 시청자 수는 동 기간 162%까지 폭증
컴스코어 측은 모바일 단말을 통한 미디어 활용이 증대되면서 디지털 미디어
시장의 지형도마저 바뀌고 있는 상황이라고 진단
- 컴스코어의 유럽 시장 담당자인 폴 굿(Paul Goode)은 광고 및 미디어 업계
관계자들은 유럽 내 멀티플랫폼 소비자가 급증하고 디지털 미디어 시장의
생태계 변화에 주목해 효과적인 투자 관리 전략을 마련해야 한다고 주장
1. comScore, "2013 Europe Digital Future in Focus", 2013.3.21
2. Fierce Wireless Europe, "comScore Releases '2013 Europe Digital Future in Focus' Report“,
2013.3.27
3. Tech Crunch, "comScore: 408M People Online In Europe, With Russia Leading At 61.3M;
EU5 Smartphone Usage Now 57%, Samsung, Android At The Top", 2013.3.22
목 차
2013년 4월 2주 (4/11) 12
개요
호주 빅토리아 주의 대법원은 주민들에게 안전한 인터넷 이용을 위한 방법을
교육하기 위하여 ‘온라인에서 스스로 보호하기(Protect Yourself Online)’ 캠페인을
진행(‘13.3.18)
- 2012 노튼 사이버범죄보고서(Norton Cybercrime report 2012)에서 2012년도
호주의 사이버범죄 피해규모가 2조달러(약 2,257조원)에 육박한다는 사실을
보고한 이후, 대책 중 하나로 2013년도부터 시행된 캠페인
주요 내용
빅토리아주 대법원 사이트에 사이버범죄의 대표적인 유형으로 사이버폭력,
명의도용, 아동학대, 불법해킹 총 4가지를 명시
빅토리아 주 대법원 사이트에 안전하게 온라인을 이용하는 지침 6가지 제시
① 개인정보를 보호할 것
② 안전한 비밀번호를 만들고, 이를 주기적으로 변경할 것
③ 바이러스 예방 프로그램을 사용하고 자동 업데이트를 항상 실행할 것
④ 발신자를 모르는 이메일은 삭제할 것
⑤ 온라인에서 미리 생각하고 행동할 것
⑥ 사이버폭력에 반응하지 말고 온라인으로 접촉을 시도하는 사람을 차단하며,
사이버폭력이 지속되는 경우에는 관계당국에 보고할 것
대법원 사이트에 유형별로 분류된 온라인 범죄행위 및 담당기관 명시
- 사이버폭력, 온라인 신용 사기, 온라인 아동 착취, 불법 온라인 콘텐츠, 스팸 등
총 19가지의 온라인 범법 행위 유형을 명시하고 담당 기관을 링크
- 사이버폭력은 각 지역 경찰서로 연락하고, 온라인 아동 착취는 호주 주 정부에,
공격적이거나 부적절한 온라인 콘텐츠는 호주 정보통신부에 보고토록 함
사이버폭력 사건의 경우 호주 청소년 정신 건강 사이트(au.reachout.com/
cyberbullying)와 연계하여 홈페이지에 사이버폭력과 관련한 심층적인 정보를
제공
호주 빅토리아주 대법원, 안전한 온라인 이용 캠페인 시행인터넷문화진흥단 문화기획팀 김솔
2013년 4월 2주 (4/11) 13
- 사이버폭력의 정의 및 유형, 소셜 네트워크 사이트별 사이버 폭력 사건 보고방법,
대처 방법, 사이버폭력 관련 법 등에 대한 정보 제공
사이버폭력 대처 방법
․이름, 주소, 비밀번호와 같은 개인정보를 공유하지 않기
․본인, 본인의 가족이나 친구의 사진을 공유 시 주의하기
․화가 났거나 상처받은 때에는 메시지에 반응하지 않기
․사이버폭력 피해자가 되었다고 생각하면, 메신저를 그만두고 로그아웃하기
․가해상대 차단, 삭제 등의 조치를 취하고 괴롭히는 사람을 보고
․괴롭히는 전화나 메시지, 게시물을 보존하여 기록하기
․소셜 네트워크 사이트 개인정보보호 설정하기
※ 출처 : au.reachout.com/cyberbullying
1. PRWeb.com, "Protect Yourself Online campaign against cybercrime launched in Australia", 2013.4.4
2. justice.vic.gov.au, "Top Tips Unveiled To Protect Yourself Online", 2013.3.18
목 차
2013년 4월 2주 (4/11) 14
2013년 4월 2주 (4/11) 15
미국 연방정부 내 사이버 보안 인력 고령화에 따른 사이버 보안 능력 저하 우려
미국 연방정부 최고정보관리책임자협회는 정부, 기업, 개인에 대한 사이버 안전의
중요성이 대두됨에 따라 사이버 보안을 위한 IT 인력 평가(ITWAC) 실시
- 미국 연방정부 내 IT 분야 업무 담당 직원 약 22,956명을 대상으로 웹기반의
익명을 바탕으로 설문조사 시행(‘12.10~’13.1)
※ ITWAC : IT Workforce Assessment for Cybersecurity
※ ITWAC 조사의 응답자들은 시스템 관리, 서비스 등 IT 관련 지식이 필요한 분야 종사자
- 이번 평가의 목표는 미국 연방정부 인력들의 사이버 보안 담당 업무 책임의식
고취 및 연방 인력 간 사이버 보안 수행 능력 기준 설정 등
- 조사 결과를 바탕으로 연방정부 및 기관들의 사이버 보안 기술 능력 평가,
인력간 기술 격차 및 이를 극복하기 위해 필요한 교육 등의 분석에 활용이
가능할 것으로 판단
연방정부 내 사이버 보안 전문 인력들의 고령에 따른 사이버 공격 대응 능력 저하 우려
- 연방정부 내 사이버 보안 관련 업무를 담당하는 인력 중 40세 이상 10년 이상의
IT 관련 업무 경험을 가지고 있는 인력이 대다수
※ 40세 이상은 78.5%, 30세 이하의 경우 5.15% 차지하는 것으로 조사
사이버 보안 인력 연령 분포 현황
※ 출처 : CIO
미국 연방정부 내 사이버보안 인력 고령화 문제 대두
정책연구실 정책기획팀 배병환
2013년 4월 2주 (4/11) 16
- 사이버 보안 인력들 절반 정도가 인사국(Office of Personnel Management)에서
명시하고 있는 퇴직연령 기준으로 10년 이내에 퇴직 연령 도래
※ 인사국(Office of Personnel Management) : 연방정부내의 독립기관중 하나로 정부 및 각
기관의 직원채용 적정시험, 각 기관 요청에 입각한 직원의 공급, 직무의 분류, 각
기관의 인사문제 조정 등, 정부의 인사관리 전체를 다루는 기관
사이버 보안 인력 퇴직 연령 도래 현황
※ 출처 : CIO
- 이러한 결과는 향후 숙련된 직원의 부족으로 인해 연방 정부의 사이버 보안 및
관련 업무에 영향을 줄 수 있을 것으로 예상
한편, 설문 답변자들은 다음과 같은 추가 교육이 필요하다고 답변
- 새로운 IT 시스템의 보안 점검 등을 위한 정보보증(Information Assurance) 및
점검 교육
※ 정보보증(Information Assurance) : 정보와 정보체계를 보호하고 방어하는 정보작전의
한 분야
- 사이버 보안 위협 및 취약점 평가․관리 교육
- 사이버 보안 담당 직원들의 체계적인 지식 관리 교육
전세계 각국 사이버 보안 인력 중요성 대두
미국 연방정부에 대한 사이버 공격이 발생함에 따라 연방정부 내 사이버 보안
인력의 중요성이 크게 증가
- 미국 연방 에너지부는 부처 전산망을 겨냥한 사이버 공격을 받아 정부직원 및
외주업체 관계자 등 수백 명의 개인정보가 유출되는 피해 발생(‘13.1)
- 기밀로 분류되는 정보는 노출되지 않았으나, 핵무기 개발 관련 정보를 보유하고
있어 향후 공격에 대한 대비가 필요
2013년 4월 2주 (4/11) 17
독일 대외 정보기관인 연방정보국(BND)에 따르면, 독일 연방 정부기관의 일평균
해킹 공격 건수가 3~5건 정도라고 보도(‘13.3.24)
- 독일 시사주간지 슈피겔에 따르면, 지난해 독일 외교부, 경제부처, 총리실 등을
대상으로 한 해킹이 1,100여 건을 초과(‘13.3.24)
- 이에 연방정보국은 자국 산업과 연방 정부기관의 해킹 공격으로부터 보호하기
위해 130명 규모의 전담팀을 구성하려고 노력 중이나, 관련 전문가를 구하는데
어려움을 겪고 있는 상황
1. The Federal Times, "Report shows gaps in cyber workforce", 2013.4.4
2. HomelandSecurity, "2012 Information Technology Workforce Assessment for Cybersecurity
Summary Report", 2013.3.14
3. Venturebeat, " U.S. Department of Energy hacked, affecting hundreds of employees", 2013.2.4
목 차
2013년 4월 2주 (4/11) 18
개요
미국 메인주 지방법원은 2008년 발생한 한나포드 브라더스의 개인정보 유출 사건에
대해 2012년 9월 제시된 대표당사자소송 청구를 각하(‘13.3.20)
※ 한나포드 브라더스(Hannaford Bros. Co.) : 177개 체인점을 보유하고 있는 미국의
대형 슈퍼마켓
※ 대표당사자소송(Class Action) : 이해관계가 밀접한 다수의 피해자 중 대표당사자가
소송을 수행하고, 판결의 효력이 피해자 전체에게 미치게 하는 집단구제 제도
- 2008년 한나포드 브라더스는 악성코드로 인해 내부시스템에 저장되어 있던 고객
420만명의 직불카드와 신용카드 번호가 유출됐다고 발표
- 이에 대해 고객들은 한나포드 브라더스를 상대로 손해배상을 청구하였으나 지방
법원, 항소법원, 대법원에서 결과적으로 금전적 손실이 발생하지 않았다는 이유로
손해배상을 청구할 수 없다고 판결
주요 내용
(소송 쟁점) 본 사건에 대한 대표당사자소송 청구의 주요 쟁점은 원고가 피해자
집단의 실질적인 피해를 입증하는 것
- 미국 연방민사소송규칙 제23조(대표당사자소송)에 의거, 대표당사자소송을 진행
하기 위해 원고는 피해자 집단의 규모, 공통성, 타당성 등에 대한 요구사항을 입증
※ 연방민사소송규칙(Federal Rules of Civil Procedure, FRCP) : 미국연방법원에서 사용
되는 민사소송을 규정한 규칙
(원고 측 주장) 유출사건 피해자들의 총 피해액에 대한 통계적 수치를 제시할 수
있으며, 이에 대한 전문가들의 검토와 의견을 제시할 수 있다고 주장
(법원의 판결 요지) 법원은 유출사건의 주요 쟁점이 피해자 집단에 공통적인 것은
인정하나, 개인정보 유출로 인한 실질적인 피해가 피해자마다 각각 다름을 지적
- 또한 원고는 피해자들의 총 피해액에 대한 전문가들의 검토와 의견을 제시하지 못함
- 따라서, 법원은 연방민사소송규칙에 의거, 원고가 피해자 집단의 대표성을 갖지
못한다고 판단하여 원고의 대표당사자소송 청구를 각하
※ 대표당사자소송이 진행된 기존의 사건들은 원고가 총 피해액에 대한 전문가 의견을 제시
미국 메인주 지방법원, 한나포드 개인정보유출에 대한 소송 각하
개인정보안전단 개인정보침해대응팀 김택겸
2013년 4월 2주 (4/11) 19
(판결의 의의) 대표당사자소송 청구에 대한 법원의 각하 판결은 한나포드 브라더스
사건뿐만 아니라 개개인의 피해가 상이한 다른 모든 개인정보 유출 사건에 적용될
수 있음
- 이번 판결에 의해 피해자 집단의 총 피해 금액을 입증할 수 있는 전문가 의견의
중요성이 부각
개인정보 유출로 인한 소송 진행 시 원고(피해자)가 피고(유출업체)의 과실을
입증하거나 유출된 개인정보로 인한 2차 피해를 입증하는 것이 중요
- 그러나 원고가 유출 사고로 인한 2차 피해를 산정하고 입증하는 것이 어려우므로,
이를 지원하기 위한 방안 검토 필요
국내의 경우 개인정보 유출사고 발생 시 다수의 공동소송이 진행되며, 각 소송의
판결이 상이한 경우가 발생
- 또한 개인정보 유출 피해자가 기존 소송에 참여하지 않은 경우 손해배상을 받을
수 없어 새롭게 소송을 진행해야 함
- 피해자들의 피해구제 및 소송비용 절감 등을 위해 공동소송의 문제점 개선을
위한 검토 필요
1. National Law Review, "Hannaford Data Breach Class Action Certification: Denied", 2013.4.3
2. eWeek, "Details of Heartland, Hannaford Data Breaches Emerge", 2009.8.18.
3. United States Courts, "Federal Rules of Civil Procedure", 2010.12.1
목 차
2013년 4월 2주 (4/11) 20
일본 총무성, 스마트폰 관련 업계의 스마트폰 보안 정책 후속 대응 현황 보고
일본 총무성은 지난 2012년 6월에 발표된 안전한 스마트폰 이용 환경 구축을 위한
대책 및 정책적 제안에 대해 업계 동향 및 후속 조치를 정리해 발표(‘13.3.29)
※ 일본 총무성은 2011년 10월부터 ‘스마트폰 및 스마트폰 보안 연구회’를 구성하고
스마트폰과 스마트폰을 통한 클라우드 서비스 이용에 따르는 정보 보안 관련 문제를
살펴보고 안전한 스마트폰 이용 환경 구축을 위한 대책을 검토
총무성은 지난 6월에 제시된 스마트폰 정보보안 강화를 위한 행동 계획에 대한
관련 업계의 실질적 이행 현황을 보고
※ 총무성은 2012년 6월, (1) OS의 취약성 해결을 위한 사업자간 대응 방안 검토, (2)
이용자 보호 관점에서 요구되는 기술의 연구 개발, (3) 애플리케이션의 특징 파악을
위한 프레임워크 제공, (4) 스마트폰 보안 관련 국제 협력 추진, (5) 스마트폰
이용자의 인식 제고 등 스마트폰 정보보안 강화를 위한 행동 계획을 제시
- 총무성은 애플리케이션 개발․설치․유통 과정에서 정보보안 및 이용자들의
개인 정보보호를 강화하기 위한 관련 사업자 및 정부의 활동 현황을 정리
사업자 및 관련 업계, 정보 보안 강화 및 이용자 보호 정책 이행에 동참
애플리케이션의 개발․설치․유통 단계에서는 이동통신사, 앱 개발사, 기타 보안
업체 및 단말 벤더 등 관련 사업자들이 보안 위협을 감소하기 위한 활동을 전개
일본 이동통신 사업자들의 연합체인 ‘전기통신사업자협회(Telecommunications
Carriers Association, TCA)’는 악성코드 및 보안 취약점을 포함한 앱의 유통을
방지하기 위한 대책의 일환으로 앱스토어 운영 가이드라인을 마련(‘12.10)
- 가이드라인은 개인정보보호 및 정보보안의 관점에서 앱스토어 상에서 적절하지
않은 앱을 제거하고 이용자들에게 관련 정보를 제공하는 것이 주된 목적
- 아울러 앱 개발자들을 대상으로 앱 개발 시 보안 취약점을 최소화하도록 ‘보안
코딩 가이드’를 제시하고 앱 상의 악성코드를 상시 체크할 것을 권장
보안 업체 및 단말 벤더는 악성코드의 접근을 방지하기 위한 소프트웨어 기술 및
특정 기능 등 도구 개발에 중점
- 보안 업체는 앱 설치 전후에 악성코드를 검색하는 일종의 백신 프로그램이나
개인정보 수집이 이루어지는 앱을 탐지하는 기능을 개발 중
일본 총무성, 스마트폰 보안 정책에 대한 후속 대응 현황 보고정책연구실 정책기획팀
2013년 4월 2주 (4/11) 21
- 단말 벤더들은 전화번호부 등 단말기 상 데이터에 대한 접근을 차단하거나
이용자에게 이를 경고하는 기능을 탑재하는 방안을 고려
스마트폰보안협회(Japan Smartphone Security Association, JSSEC)에서는 앱 개발
단계에서부터 보안 취약성을 제거하도록 ‘보안 코딩 가이드’를 개발해 보급(‘12.6)
- ‘보안 코딩 가이드’는 이통사나 앱 개발사에서 개발자 교육용 자료로 활용되고
있으며, OS 신규 버전 출시에 따른 취약점을 반영한 개정 작업도 추진(‘12.11)
이용자 보호 측면에서는 정보보호 및 보안 관련 이용자 인식 개선과 실질적인
보안 강화 기술 개발 활동에 초점
- 총무성은 스마트폰의 특성과 이용 상 주의점 및 대책 등을 정리한 ‘스마트폰
정보 보안 3대 조항’과 ‘스마트폰 프라이버시 가이드’ 등을 공개하고, 세미나 및
언론 매체를 통한 대국민 홍보 활동을 전개
- 이동통신 사업자들은 서비스 계약자들에게 정보보안 대책의 필요성을 설명하기
위해 TCA가 제공하는 이용 시 주의 사항 등의 자료집을 활용하고, 총무성의
정보보안 및 프라이버시 가이드를 계약서 및 웹 사이트 상에 명시
총무성은 국제적인 협력 및 토론을 통해 스마트폰 생태계(OS, 단말, 앱)와 이용에
따른 구체적인 정보보안 과제 및 대책 관련 정보를 공유
- 일본은 지난 2012년 10월 이후, 미국, EU, ASEAN, 프랑스 등 여러 국가 또는
국제기구와 협의 또는 포럼을 다수 개최
총무성은 지난 6월에 발표된 보고서에서 제시한 각종 기술 관련 조치와 관련
사업자 및 기관의 향후 활동에 대한 모니터링을 꾸준히 진행할 계획임을 명시
- 2012년 10월에 구성된 관련 사업자 협의회를 통해 업계의 추진 상황 및 관련
정보를 공유하고 그 결과를 6개월 주기로 정기적으로 공개할 예정
1. Security NEXT, "総務省、スマホセキュリティの課題や最新動向を調査 - 今後の方向性示す", 2013.3.29
2. 総務省 , "スマ ートフォン・クラウドセキュリティ研究会最終報告のフォローアップ", 2013.3.29
목 차
2013년 4월 2주 (4/11) 22
개요
일본 IPA(정보처리추진기구)는 내부자 보안에 대한 중요성 및 관련 법률을
소개하고 기술적 관리, 증거확보 등 10가지 대책분야 및 30개 점검항목을
제시하는 “조직 내부자에 의한 정보 유·노출방지 가이드라인”을 발표(‘13.3.25)
- “조직 내부자 부정행위에 따른 사고 조사”에서 파악된 피해사례 등을 반영하여
30개 보호대책을 도출
주요 내용
내부자 부정방지 대책 구축, 점검, 감사 등을 위해 최고책임자, 총괄책임자,
부문책임자를 지정하는 내부자 부정대책 조직체계 구성안을 제시
내부자 부정대책 수행을 위한 조직체계 구성안
역할 및 기능
최고
책임자
경영자로써 관련 법령 및 이사회결의에
따라 내부자 부정대책의 의사결정권을
행사하는 최고책임을 갖은 자
총괄
책임자
내부자 부정대책 체제의 총괄적 책임자
로써 관련 법령에 따라 경영자가 임명
한자로 경영자의 기본방침을 기반으로
구체적 관리대책을 마련하고 시행, 점검,
재검토 등을 수행
부문
책임자
각 부문에서 해당 부문의 책임자로 임명
되고 총괄책임자의 지시를 기반으로
해당부문에서 대책을 시행하고 점검,
재검토 등을 수행
※ 출처 : 조직내부자에 의한 부정방지 가이드라인(일본 IPA)
기본방침, 자산 관리, 물리적 관리, 기술적 관리 등 10가지 대책분야에서 내부자
부정방지대책 관리방안과 체크리스트 통해 30개 점검항목을 제시
※ 체크리스트 점검항목은 항목별 점검 담당자를 지정하여 책임 있는 업무수행을 강조
- 최고책임자의 부정방지대책 수립/숭인, 직원에 전파(인지), 전사적 시행을 기본
방침으로 정보의 중요도/비밀정도를 분류하고 모든 직원이 인지할 수 있도록
표시할 것을 명시
일본 IPA, 내부자에 의한 정보 유·노출방지 가이드라인 발표 침해예방단 보안관리팀
2013년 4월 2주 (4/11) 23
- 객관적 인사평가 및 업적평가제도 설명회 운영, 업무량 및 노동시간의 적정성을
검토하고 업무지원과 상담체계를 정비하여 직장(업무)환경 개선을 통해 내부자
부정의 예방대책을 제시
- 내부자 부정 발생에 따른 신고제도를 운영하고 신고자의 익명성을 제공하며 내부
부정의 사례를 공유하고 내부감사를 통해 효율적 사후대책을 마련토록 함
- 각 부정방지대책을 시행(적용)할 때에는 시행(적용) 지침과 대책 미시행에 따른
리스크, 대책 방안을 상세히 기술하도록 함
전사보안담당부문, 정보시스템부문, 총무부문, 인사부문, 법무/지재부문으로 나누어
접근권한 부여
- 물리적 관리, 기술/운영 관리 등 분야별 세부 대책에 대한 책임을 부여하고 조직의
정보보호를 보안담당부서 업무로 국한하지 않고 전사차원의 이슈로 확대
내부자에 의한 정보 유·노출 사고가 증가함에 따라 조직 전사 차원에서 내부자
정보보호의 중요성을 인식하고 내부자 정보 유출 예방, 모니터링, 감사, 상벌 규칙
등의 강화 필요
- 특히, 정보보호 담당부서 뿐만 아니라, 모든 부서에 정보보호의 역할 및 책임을
부여함으로써 정보보호 준수를 위한 업무환경을 조성하는 것이 중요
2013년 4월 2주 (4/11) 24
내부자 부정방지대책 - 세부 점검항목
분야 점검항목 담당자
1 기본방침(1) 경영자의 책임이라는 것을 조직 내·외부에 공포 최고책임자(경영자)
(2) 내부부정대책 및 상세 시행 규칙 수립 최고책임자(경영자), 총괄책임자
2자산관리(기밀지정/접속권한)
(3) 중요정보의 식별 및 중요도에 따른 정보 분류 보안담당부서, 시스템부문
(4) 개발/운영 등 역할 분리 및 기밀정보의 표시 명확화 보안담당부서, 시스템부문
(5) ID별 접근권한 분리 및 이동/퇴직에 따른 즉시 권한회수
(6) 시스템 관리자의 적절한 접근권한 부여 및 상호감시체계 보안담당부서, 시스템부문
(7) 시스템 ID 및 PW, IC카드 등 공유금지 보안담당부서, 시스템부문
3 물리적 관리
(8) 중요정보의 취급영역(장소) 및 입·퇴실관리 보안담당부서, 시스템/총무부문
(9) USB 등 휴대용매체에 대한 관리/보관/처분 관리 보안담당부서, 시스템부문
(10) 모바일기기 등 휴대용매체의 기록관리 등 보안담당부서, 시스템부문
(11) 개인 모바일기기 및 기록매체의 업무이용 통제 보안담당부서, 시스템부문
4 기술적 관리
(12) SNS, 외부 웹하드 서비스 등의 이용 통제 시스템부문
(13) 위탁/용역 수행에 대한 관리, 외부전송 시 암호화 보안담당부서, 시스템부문
(14) 외부에서 중요정보의 취급 제한 보안담당부서, 시스템부문
(15) 외부에서 업무시 무선랜 등 네트워크 환경별 보안대책 보안담당부서, 시스템부문
(16) 제3자 보안협약 및 책임부여 보안담당부서, 시스템부문
5 증거 확보(17) 중요정보의 접근이력 등 로그의 안전한 보관 보안담당부서,
시스템부문(18) 보관 로그의 정기적 검토 시스템부문
6 인적 관리
(19) 교육 등을 통해 중요정보의 취급방침 인식, 정기적
교육시행보안담당부서, 총무/인사부문
(20) 퇴직 시 기밀유지서약서 징구 보안담당부서, 총무/인사/법무부문
(21) 내·외부직원 퇴직시 내부정보 소각 및 이용자 ID 반납 보안담당부서, 총무/인사/법무부문
7 컴플라이언스(22) 취업규칙 등에 공식적 상벌규칙 보안담당부서,
총무/인사/법무부문
(23) 기밀유지서약서 징구 보안담당부서, 총무/인사/법무부문
8직장(업무)
환경
(24) 객관적 인사평가 및 업적평가 총무/인사부문(25) 업무량, 노동시간의 적절성 총무/인사부문
(26) 독립적 작업환경 제한을 통한 상호감시환경 보안담당부서, 총무/인사부문
9 사후대책(27) 조직내외 연계를 통한 영향범위 특정 및 피해최소화 대책 보안담당부서,
시스템부문
(28) 내부부정자에 대한 벌칙 사례 공유 보안담당부서, 시스템부문
10 조직 관리(29) 내부부정 신고제도 마련 및 신고자 익명성 보장 보안담당부서,
시스템부문
(30) 내부부정대책 준수 모니터링 및 대책 재검토 보안담당부서, 시스템부문
※ 출처 : 조직내부자에 의한 부정방지 가이드라인(일본 IPA)
2013년 4월 2주 (4/11) 25
1. IPA, "組織における内部不正防止ガイドラインを公開", 2013.3.25
2. IPA, "組織における内部不正防止ガイドライン", 2013.3.25
목 차
2013년 4월 2주 (4/11) 26
개요
최근 일본 주요 인터넷 포털 사이트 두 곳인 야후 재팬(Yahoo Japan)과 구(Goo)가
해킹을 당했으며, 그 중 ‘구’는 10만명의 금융정보가 포함된 사용자 계정이 유출
※ Yahoo Japan : 하루 페이지 뷰는 수억에 이르는 일본의 최대 포털 사이트로 최대
주주는 이동통신회사인 소프트뱅크이며, 다른 나라의 Yahoo와 달리 독자적으로 운영
※ Goo : 이동통신회사 NTT의 자회사인 NTT-X에서 운영하는 일본 포털 사이트, 10년 전에는
Yahoo Japan과 점유율을 양분할 만큼 인기가 많았지만 최근에는 인기가 급격히 감소
일본 포털사이트 점유율
※ 출처 : GA-Pro.com(2013. 4. 7일 기준)
주요 내용
‘구’ 포털, 계정해킹으로 10만개의 사용자 정보가 유출되어 관련 계정 차단
- 초당 30번 이상의 로그인을 시도하는 무작위 공격(Bruteforce Attack)이 탐지
(‘13.4.2)
- 유출된 계정에는 신용카드, 은행계정정보 등의 금융정보와 개인정보, 이메일
주소가 포함되어 있으며, 관련된 10만개의 사용자 계정은 차단
- ‘구’는 이 공격이 특정 IP에서 들어왔음을 확인하였으나, 더 이상의 정보는
공개하지 않음
일본 야후 재팬과 구 포털 사이트에 대한 해킹 발생공공정보보호단 평가검증팀 이정희
2013년 4월 2주 (4/11) 27
‘야후 재팬’ 포털, 악성코드 감염으로 인한 사용자 정보가 외부로 유출되기 전 방어
- 회사 내 서버에서 사용자 정보를 수집하는 악성코드를 발견하여 공격자에게
전송되기 전에 차단(‘13.4.2)
※ 악성코드는 127만 사용자의 개인정보를 추출하고 있었음
‘구’는 사용자 계정유출 관련하여 피해규모를 명확히 밝히는 동시에 대응방안으로
모니터링을 강화하고, 사용자에게 좀 더 복잡한 패스워드 사용할 것을 요청
‘야후 재팬’은 악성코드가 어떤 방법으로 서버에 유입되었는지에 대한 경로를
확인하는 동시에 재발방지를 위해 노력
계정해킹을 위한 로그인 무작위 공격을 방어하기 위하여 CAPTCHA 사용 및
로그인 누적 차단 시 일시 접속 차단 등의 방법이 필요
※ CAPTCHA(Completely Automated Public Test to tell Computers and Humans Apart) :
컴퓨터 사용자가 사람인지를 판단하기 위해 사용되는 일종의 테스트로 스팸
소프트웨어의 자동 계정 등록을 막기 위해 계정 등록할 때 거치는 테스트
악성코드 감염 방지를 위하여 백신 최신 업데이트 및 실시간 감시 기능 활성화,
윈도우 보안패치 및 자동 업데이트 설정, 직원들 대상의 주기적인 보안 교육 및
보안감사 등의 방법이 필요
1. Computer World, “Japanese web portals hacked, up to 100,000 accounts compromised”, 2013.4.4
2. SOFTPEDIA, "Yahoo Japan and Japanese Web Portal Goo Hacked", 2013.4.4
3. SECURITYWEEK, "Two Major Portals in Japan Breached This Week", 2013.4.5
4. GA-Pro, “検索エンジン・ポータルサイト 日本でのシェア(使用率)”, 2013.4.7
목 차
2013년 4월 2주 (4/11) 28
CNIL, 모바일 앱의 개인정보 이용 행태를 분석한 첫 번째 연구결과 발표
프랑스의 개인정보보호기구인 CNIL(국가 정보처리 및 자유 위원회)은 국립 컴퓨터
과학 연구소인 INRIA와 공동으로 스마트폰 상에서 기록, 저장 및 전달되는
데이터를 분석하는 연구 프로젝트(Mobilitics)의 첫 번째 결과를 발표(‘13.4.9)
※ CNIL : La Commission Nationale de l’Informatique et des Libertés
INRIA : Institute National de Recherche en Informatique et en Automatique
(연구목적) CNIL은 “스마트폰과 프라이버시”라는 사업계획의 일환으로 동 연구
프로젝트를 추진하였으며, 동 연구의 목적은 모바일 앱이 개인정보를 어떤 방식으로
이용하는지를 이해하기 위한 것이고 특정 개발자를 규제하기 위한 것은 아니라고 밝힘
(연구방법) 연구는 6개의 아이폰에 INRIA에서 개발한 모니터링 소프트웨어와 분석
툴을 설치한 후, 아이폰에 설치된 189개 애플리케이션의 실행 행태를 약 3개월(‘12.
10월 중순~’13. 1월 중순)간 분석하는 형태로 진행
- CNIL은 동 연구가 제한적인 범위에서 진행되었지만 실생활에서의 이용 행태
분석을 위해 지원자의 아이폰을 대상으로 조사하였으며, 추후 다른 모바일
OS에 대해서도 지속적으로 조사할 계획
조사결과, 모바일 앱이 불필요한 정보에 상당수 접근하는 것으로 확인
CNIL은 애플리케이션이 위치정보, 기기의 고유식별번호(UDID), 기기 이름, 주소록
등 많은 사적인 정보에 접근하고 있으나, 서비스 제공을 위해 반드시 필요한 경우가
아님에도 많은 정보를 수집 또는 전달하고 있는 것으로 판단
초기 연구 결과
접근한 데이터의 종류 횟수 비율 네트워크 176 93% 고유식별자(UDID) 87 46% 위치정보 58 31% 장치의 명칭 30 16% 계정 19 10% 주소록 15 8% 애플 계정 4 2% 캘린더 3 2%
※ 조사대상 애플리케이션 수 : 189개
※ 출처 : CNIL
프랑스 CNIL, 모바일 앱의 개인정보 이용 행태 분석 결과 발표정책연구실 법제분석팀 윤주연
2013년 4월 2주 (4/11) 29
- 특히, 아이폰의 고유식별번호(UDID)는 이용자가 변경할 수 없는 정보이기 때문에
많은 앱 개발자들이 이용자를 식별하고 찾아내기 위한 목적으로 사용하고 있으나,
조사대상 중 약 1/3의 앱은 이 정보를 암호화하지 않은 상태에서 전송
- 또한, 아이폰 기기의 명칭은 사용자가 정하고 변경할 수 있는 정보이기는 하나,
대부분의 앱에서는 접근할 필요가 없는 정보임에도 약 16%의 앱이 수집
CNIL은 “Privacy by design” 원칙에 입각한 설계가 필요하다고 언급
CNIL은 복잡한 스마트폰 생태계를 구성하는 모든 종사자들(제조업자, 공급업자,
운영체제 또는 앱 개발자, 앱스토어, 통신사업자, 제3의 서비스제공자 등)도
정보보호에 관한 법규가 적용될 수 있음을 인식해야 한다고 지적
- (앱 개발자) 애플리케이션이 스마트폰 상의 개인정보에 접근하는 경우는 특정한
목적이 있는 경우도 있지만 상당수는 우발적으로 이루어지는 경우가 많으므로,
앱 개발자는 “Privacy by design” 원칙에 입각하여 설계
※ “Privacy by design” : 캐나다 온타리오주 프라이버시 커미셔너에 의해 처음 주창된 개념으로, 신기술이나 새로운 상품·서비스를 디자인하는 초기 단계부터 프라이버시 보호 기능을 포함할 것, 개인정보의 라이프사이클 전체에 걸쳐 적절한 프라이버시
보호가 이루어질 것, 투명성을 유지할 것 등 7가지 원칙
- (운영체계 제공자) 프라이버시 보호를 위해 애플리케이션이 스마트폰의 다양한
개인정보에 접근하는 것을 이용자가 통제할 수 있도록 설계
※ CNIL은 현재 애플이 이용자가 위치정보 접근을 통제할 수 있도록 허용하고 있는 것과 같이 이용자 통제권의 범위를 확대할 필요성이 있다고 언급하면서, 아이폰에서 애플리케이션이 개인정보에 접근하는 방식을 제한할 수 있는 새로운 환경설정 툴을
이용하여 이용자가 어떻게 컨트롤할 수 있는지를 시연하기도 함
- (앱 스토어) 이용자에게 알리고 동의를 받을 수 있는 혁신적인 방법을 고안할
필요가 있으며, 설치를 하거나 아니면 포기하라는 현재의 방식은 부적절
1. CNIL, "Voyage au cœur des smartphones et des applications mobiles avec la CNIL et Inria", 2013.4.9
2. PCWorld, “Study:Mobile phone apps view private data more than necessary”, 2013.4.9
목 차
2013년 4월 2주 (4/11) 30
인터넷 무료 통화 서비스 제공 프로그램인 스카이프(SKYPE) 메시지에서 악성코드 발견
인터넷을 통해 무료로 음성 통화가 지원되는 스카이프에서 최근 가상화폐인
비트코인(Bitcoin)을 가로채는 트로이목마 바이러스 발견
※ 비트코인(Bitcoin) : 인터넷상의 가상화폐로서 전자적으로만 교환되는 화폐
※ 트로이목마 바이러스 : 겉보기에는 정상 프로그램으로 보이나 컴퓨터를 실행했을 때
사용자의 정보를 빼가는 악성 프로그램
- 인도를 시작으로 보안이 취약한 이탈리아, 러시아, 폴란드, 코스타리카, 스페인,
독일, 우크라이나 등 유럽에서 빠르게 확산
- 러시아 보안회사인 카스퍼스키(Kaspersky)가 해당 악성코드(Trojan.Win32.Jorik.
IRCbot.xkt) 최초 발견
- 사용자가 스카이프 메시지에 링크된 주소를 클릭하면 악성 프로그램이 사용자의
PC를 비트코인 채굴기로 만들며, 비트코인 대신 가짜 화폐를 이용해 사용자가
감염 사실을 모르게 은폐
- 또한, 가로채는 비트코인 양은 CPU 사용량에 비례하며, 시간 당 2,000번 가량,
24시간 동안 11,916번 클릭하여 CPU 성능 저하를 야기
감염 PC의 시간 대 별 클릭 횟수
※ 출처 : Neowin.net
스카이프 가상화폐를 가로채는 새로운 악성코드 확산
정책연구실 조사분석팀 이해리
2013년 4월 2주 (4/11) 31
MSN 메신저와 스카이프의 통합으로 이용자의 정보 유출 우려 심화
마이크로소프트(Microsoft)의 메신저 MSN과 스카이프의 통합으로 추가 피해 사례
전망(WinBeta, ’13.4.8)
- 변종된 샤일록(Shylock) 악성코드가 스카이프 메시지를 통해 전파되어 이용자의
금융정보가 탈취되는 등 관련 피해 사고 속출(’13.1)
※ 샤일록 악성코드 : 금융정보 탈취를 목적으로 하는 악성코드로 온라인 뱅킹 사이트에서
인증 정보와 같은 특정 정보를 훔치도록 고안되어있으며, 여러 변종 형태로 존재
- 특히, 샤일록 악성코드는 다른 금융정보 절취형 악성코드와 달리 코드 주입
공격을 수행하는 기능도 포함
스카이프를 통해 의심스러운 메시지나 링크가 전달되면 최대한 클릭하지 않아야 함
- 비트코인은 최초 배포자를 알 수 없고 시스템 권한을 갖는 사람이 없기 때문에
통신망에서 특정 이용자를 차단하는 것은 불가능
- 비트코인을 가로채는 악성코드에 감염되면 시스템의 속도가 꾸준히 저하되므로
스카이프를 통해 누군가 링크를 열라고 요청한 경우 각별한 주의가 필요
1. Neowin.net, “New Bitcoin mining malware spreading on Skype at 2,000 clicks per hour”, 2013.4.7
2. Threatpost.com, “More Malware Moving on Skype”, 2013.1.22.
3. Winbeta.org, “Say goodbye to MSN Messenger and hello to Skype”, 2013.4.8
4. 보안뉴스, “금융정보 빼가는 악성코드, 스카이프를 통해 전파!”, 2013.1.21
목 차
2013년 4월 2주 (4/11) 32
2013년 4월 2주 (4/11) 33
개요
가트너(Gartner)는 2013년 글로벌 IT 지출이 4.1% 증가한 3조 8,000억달러(약
4,288조원)를 달성할 것으로 전망
- 품목별 지출은 통신 서비스가 1위를 달성하였으며, 그 뒤를 IT 서비스와
디바이스 부문이 뒤를 이음
주요 내용
가트너는 2013년 글로벌 IT 분야 품목별 지출액은 통신 서비스가 2012년 대비 2%
증가한 1조 6,880억달러(약 1,900조원)를 기록해 전체 IT 지출의 44.8%를
차지하면서 1위를 달성할 것으로 전망
※ 해당 IT 지출 부문에 포함된 품목 : 하드웨어, 소프트웨어, IT 서비스, 통신 등
- 그 뒤를 이어 IT 서비스 부문이 4.5% 증가한 9,180억달러(약 1,035조원)를
기록해 2번째로 많은 지출액을 기록할 것으로 보임
- 가장 높은 지출액 상승률을 보인 품목으로는 디바이스와 기업 소프트웨어
부문으로 각각 2012년 대비 7.9%와 6.4%의 증가율을 기록해 7,180억달러(약
810조원)와 2,970억달러(약 335조원)의 지출액을 기록할 것으로 전망
가트너는 2014년 IT 지출액도 4%의 증가율을 유지할 것으로 전망하고 있음
- 2014년 통신 서비스 부문 지출액은 1조 7,280억 달러(약 1950조원)를 기록, 전체
IT 지출의 44.1%를 차지, 2013년 44.8% 대비 소폭 하락할 것으로 예상
- 반면, 디바이스와 기업 소프트웨어 부문은 각각 5.7%와 6.7%의 증가율을
보이면서 높은 성장세를 이어갈 것으로 전망
- 한편, 높은 수요가 예상되는 데이터 센터 시스템 부문은 2012년부터
2014년까지의 IT 지출액 연평균 증가율이 3.8%에 그쳐 예상을 하회할 전망
2013년 글로벌 IT 지출액은 글로벌 경기회복 기대와 이로 인한 기업과 소비자들의
지출 확대로 점진적인 증가세를 기록할 것으로 예상
- 특히, 스마트폰의 보급이 BRICs를 중심으로 한 이머징 시장에서 본격적으로
확대되면서 디바이스 부문 지출액은 높은 증가세를 보일 것으로 전망
2013년 글로벌 IT 지출 4.1% 증가 전망국제협력실 해외진출지원팀
2013년 4월 2주 (4/11) 34
- 또한, 2008년부터 시작된 글로벌 경기침체로 IT 부문에 공격적인 투자를
꺼려했던 기업들이 투자를 확대하기 시작하면서 기업 소프트웨어 지출이
빠르게 증가할 것으로 전망
글로벌 IT 지출 전망
(단위: 십억 달러)
※ 출처 : Gartner(2013.3)
1. Cellular News, "Worldwide IT Spending on Pace to Reach $3.8 Trillion in 2013", 2013.3.28
목 차
![[KGC2013] 문화 콘텐츠로서의 게임 포지셔닝_바이닐랩_조형호](https://static.fdocument.pub/doc/165x107/559324da1a28ab95038b4638/kgc2013--5593bb2814d99.jpg)
