IT교육정보공간 오라클자바교육센터

한 오픈소스 소프트웨어 전문가에 따르면, 4월 22일 발표한 우분투 16.04 버전에 리눅스 사용자 PC의 프라이버시를 심각하게 위협할 수 있는 기능이 있다.

우분투의 최신 장기 지원(long-term-support) 릴리스인 버전 16.04는 스냅(snap)이라 부르는 우분투 시스템에서 소프트웨어 설치 때 사용되는 새로운 패키지 형식이 있다. 스냅은 개발자들이 좀더 쉽게 구성하고 간단하게 배포하고 기존 데브 패키지 형식과 함께 호환되도록 디자인됐다.

그러나 오픈소스 저작자 매튜 가렛에 따르면, 이 기능에는 문제가 있다. 스냅 패키지는 X11 윈도잉 시스템(windowing system)을 사용한 우분투 시스템에 설치됐다. 가렛은 이는 대부분의 데스크톱 우분투 설치에서 별다른 준비를 하지 않아도 그들이 원하는 어디서나 프라이빗 데이터를 복사할 수 있다는 것을 의미한다고 설명했다.

가렛은 "사용자 프라이빗 데이터에 액세스 권한이 없는 한 애플리케이션이 세션이 가동하지 않을 때까지 기다렸다가 제한 없는 터미널을 열고 원격 사이트에 사용자 데이터를 보낼 수 있다"고 말했다. 가렛은 "스냅은 캐노니컬의 미르 윈도잉 시스템에서 실행되면서 어떤 보안 리스크도 드러내서는 안되며, 이는 장기적으로 볼 때 실제 많은 주요 보안 위협이 될 수 있다"고 주장했다.

현재 스냅에서 보여주는 심각한 문제는 데스크톱 우분투 사용자에게 심각한 문제를 야기할 수 있다. 캐노니컬은 이 문제에 대해 "이는 사실이 아니다. X11은 안전한 프로토콜이다"며, "약점으로 간주되는 스냅 방법을 바꾸고 있다"고 반응했다.

캐노니컬의 구스타보 니마이어는 "사용자들은 스냅이든 아니든 자신이 설치하는 패키지에 대해 신중해야 한다"고 말했다. 니마이어는 "사용자가 우분투 아카이브에서 소프트웨어를 설치할 때, 우분투와 데비안 개발자에서 신뢰 상태"라며, "스냅은 이런 신뢰를 필요로 하지 않는다. 이는 사용자 개인 파일, 웹 카메라, 마이크로폰 등에 액세스 소프트웨어를 받을 때와 같다"고 설명했다.

최근 수 년 동안 우분투는 2014년부터 시작한 장황한 프라이버시 관련 논쟁으로 인해 속을 앓고 있다. 이는 유니티 데스크톱 환경 내 검색엔진에서 개인화된 아마존 쇼핑 결과를 제공하기 위해 사용자 자체 데이터를 사용한 것이 문제가 됐다.

사용자들은 명확한 사전 승인(opt-in) 없이 아마존에게 검색 질의에 제공한다는 것에 항의했으며, 결국 우분투는 유니티 다음 버전에서 이 기능을 없애기로 했다. editor@itworld.co.kr

Read more: http://www.itworld.co.kr/news/98960#csidx5329f66fe6658ffa48cdfaf7d3db8cc 
Copyright © LinkBack

구글이 여행 가이드 앱을 런칭한다. 구글 로컬 가이드(Local Guide) 프로그램 회원 레벨 2 이상인 사용자는 가장 먼저 구글 앱 테스트 버전을 체험할 수 있다. 사용자들은 안드로이드, 아이폰용 데모 앱 안내와 몇 가지 문항으로 이뤄진 설문조사 이메일을 받게 된다.

구글 로컬 가이드 프로그램 레벨2 이상인 사용자라면 메일함을 찾아볼 것.

구글 지도에 사진을 추가하거나 두세 개의 후기를 작성하면 곧 구글 로컬 가이드 레벨 2가 될 수 있다. 이후 메일로 새로운 구글 여행 앱 데모 버전을 한발 먼저 시험해 볼 수 있을 것이다.

구글은 구글 나우 카드와 최근 공개한 구글 데스티네이션(Google Destinations) 등의 서비스로 이미 여행 부문에 발을 들여놓은 상태다. 간소화된 구글 플라이트(Google Flights)로 항공편 예약 서비스를 개시했고, 구글 지도 안에서도 교통편 정보를 제공하고 있기도 하다. 방대한 데이터와 세부 사항 조직화라는 강점을 내세워 구글이 본격적으로 여행 서비스에 뛰어들 가능성도 매우 크다. editor@itworld.co.kr 

Read more: http://www.itworld.co.kr/news/98959#csidx87afc35b5da0c469fe7cadf34f87f04 
Copyright © LinkBack

1. 그래도 잘 팔리는 옥시..불매운동 번진다

성준이처럼 가습기 살균제로 폐가 손상됐거나 숨진 사람들의 가족들은 옥시 측이 여전히 법적인 책임을 부인하고, 증거를 조작하고 있다며 제품 불매운동에 본격적으로 나섰습니다.

2. 전경련, 어버이연합에 4억 추가 지원 드러나

전경련과 어버이연합의 수상한 거래는 박근혜 정부 들어 확연히 늘어났습니다.

3. '1만 명 해고' 현실화되나..고용유지·지원 고심

업종별로 합병이나 매각, 법정관리까지도 검토 중인데, 대규모 실직 사태를 어떻게 막을 것인지가 가장 큰 고민입니다.

4. 버스기사에 시비 걸다 말리는 승객 눈 찔러 실명

“버스가 왜 늦게 오느냐”며 버스기사에게 큰소리를 치면 시비를 걸다가 “이러다가 사고나면 책임지겠느냐”고 제지한 승객 신모씨(71)의 왼쪽 눈을 손가락으로 찔러 실명케 한 혐의를 받고 있다

5. 포항서 해병대 자주포 추락..2명 사망·5명 부상

25일 오전 10시 15분께 포항시 남구 장기면 길등재 도로에서 야외 전술훈련을 위해 이동하던 해병대 1사단 소속 K-55 자주포 1대가 도로 옆으로 떨어져 뒤집혔다.

6. 미취학·장기결석 초중생 13명 학대확인..소재불명 17명 수사중

초등학교에 미취학하거나 장기결석한 중학생 중 13명이 아동학대를 받은 것으로 나타났다. 또 17명은 소재와 학대 여부에 수사가 진행 중이다.

7. 오늘도 미세먼지 '매우나쁨'..마스크 꼭 챙겨야

기상청은 고기압 영향으로 대기가 안정, 서해 상공에 남아 있던 황사가 서풍을 타고 유입돼 서쪽지방을 중심으로 옅은 황사가 나타날 가능성이 있겠다고 예상했다.

미국 중앙정보부(Central Intelligence Agency, CIA) 전 CTO이자 현 코그니토(Cognito) 매니징 파트너 봅 플로레스는 자신의 데이터 보안에 대한 핵심 통찰력을 공유했다.

호주 맬버른에서 개최한 한 컨퍼런스에서 연사로 나선 플로레스는 전세계 보안 문제 상황을 짚어볼 수 있는 핵심 리소스를 포함해 지방자체단체와 글로벌 기업의 보안에 대한 사실과 수치를 제시했다. 또한 안전한 사이버 인텔리전스 문화를 어떻게 만드는 지 해결책을 제공했다.



플로레스가 이번 강연에서 제시한 그가 신뢰하는 보안 데이터 리소스는 다음과 같다.

1. 버라이즌 데이터 유출 조사 보고서(The Verizon Data Breach Incident Report) 
플로레스는 1년 한해동안 확인된 유출 사고와 이 유출 사고들의 정확한 형태와 빈도수를 상세히 다룬 버라이즌 데이터 유출 조사 보고서에서 많은 통계 자료를 인용했다.

이 보고서의 주요 핵심은 회사 보안에 있어 피싱 이메일은 상당히 위협적인데, 전세계적으로 직원들은 피싱 이메일 가운데 23%를 열어본다는 것이다. 더 나아가 11%가 이 이메일 내 첨부파일을 클릭한다.
플로레스는 "첨부파일을 클릭하면 악성코드는 딜리버리된다. 만약 내가 100명에게 피싱 이메일을 보낸다면 그들 가운데 11명이 클릭할 것이고, 이는 곧 그들의 네트워크로 들어갈 수 있다는 걸 의미한다"고 말했다.
이어 "악성코드를 통해 나는 수년간 해당 네트워크 내부를 맘대로 돌아다니면서 눈에 띄지 않는 에이전트(sleeper agent)를 설치하고 어떤 데이터든지 훔칠 수 있다"고 설명했다.

2. 쇼단(Shodan)
플로레스는 자신이 사용하는 새로운 쇼단 검색엔진에서 발견한 '스냅샷 취약점'에 대한 정보를 제공하면서 "기업들은 새로운 레벨의 보안 리스크에 직면하게 될 수 있다"고 경고했다.

사물인터넷용 구글로 묘사되는 쇼단은 원래 IT 업체에게 자사의 제품이 어디에 설치됐는지, 어떻게 사용되는지 정보를 제공하기 위한 용도로 디자인됐다.

그러나 이 검색엔진은 백도어에 노출된 안전하지 못한 웹캠들과 여전히 기본설정 비밀번호를 사용하는 산업용 제어 시스템과 함께 라우터들을 발견할 수 있다. 이 정보는 자사의 환경을 좀더 쉬운 방법으로 제어하려는 조직이나 잠재적인 파트너에게 가치가 있지만 익스플로잇을 찾는 해커들에게도 좋은 먹이감이다.

이 서비스는 공개적으로 무료로 사용할 수 있다. 그러나 기업 고객들은 수집한 모든 데이터에 대한 로우 데이터나 실시간 액세스를 구입할 수 있다.

플로레스는 "최근 스냅샷과 관련한 엄청난 수의 취약점을 볼 수 있었다"며, 참석한 청중들에게 보여준 이 거대하고 상세한 목록에는 공장에서 출시될 때 설정한 기본 비밀번호 그대로의 서버들을 확인할 수가 있었다.

3. NTT 그룹의 글로벌 위협 정보 보고서(Global Threat Intelligence Report) 
플로레스는 "지금까지 말한 전세계 취약점 비율과 같은 것보다 좀더 충격받을 수 있을 것"이라 운을 띄운 뒤, "실제 많은 기업이 취약점의 존재를 인지하고 있지만 아무런 안전 조치를 취하지 않고 있다"고 말했다.

강연에서 플로레스는 최신 NTT 그룹의 글로벌 위협 정보 보고서에서 나온 몇가지 핵심 내용을 인용했다.

플로레스는 "나는 종종 일반인이나 고객들에게 얼마나 자주 패치를 하는지 묻곤 한다. 아마도 충분히 하고 있지 않을 것이다"고 말했다.

NTT 그룹에 따르면, 조직의 4곳 가운데 3곳(74%)이 사건 대응 정규 프로그램을 갖고 있지 않았다. 플로레스는 "'기업이 문제를 발견한 뒤, 어떻게 할 것인가'를 이해하는 것이 중요하다"고 말했다.

취약점 관리 프로그램을 갖고 있지 않는 조직들은 통상적으로 자사의 시스템을 패치하는 데 약 200일이 걸린다. 이 보고서에 따르면, 확인된 취약점의 99% 이상이 여전히 1년동안 활동적인 상태다. 플로레스는 "이는 네트워크 상의 컴퓨터에 문제가 발견한 뒤에도 1년동안 해당 문제를 해결하지 않고 아무 조치를 취하지 않고 있었다는 것이다"고 말했다.

더 나아가 76%는 취약점을 발견된 취약점을 패치하지 않고 2년 동안 아무것도 하지 않았다. 그리고 9%는 10년이 넘도록 아무것도 하지 않았다.

4. 사이버 위협(Cyber Threat)
플로레스는 보안 리스크와의 전투을 위해 미국방부 사이버 방어조직 초대 국장이자 코그니토에서 사이버 인텔리전스 수장인 봅 걸레이의 책을 권고했다.

"나뿐만 아니라 미국 CIA, 공군, 해군, NSA(National Security Association) 등에서 활약하는 다른 최고 요원들도 이 책을 권고하고 있다. 이 책은 사이버 공격에 대응해 방어 능력을 향상시켜 기술자와 경영자들에게 자사의 비즈니스 능력을 강화시키는 방법을 가르칠 목적으로 발행됐다.

플로레스는 "이 책은 공격 하에 있는 기업들에게 운영에 대한 통찰력을 제시하고 전략적, 운영적, 기술적으로 사이버 인텔리전스 지원 역량을 강화시키는 방법을 알려준다"고 말했다.

5. 쓰렛브리프닷컴(threatbrief.com)
플로레스는 무료 온라인 리소스 서비스인 쓰렛브리프닷컴(threatbrief.com)을 소개하면서 기업 경영진들이 이 온라인 리소스에 익숙해지길 권고했다. 코그니티오가 운영하는 이 사이트에서는 하루에 8~12개 정도의 기사가 업데이트된다.

쓰렛브리프의 콘텐츠는 전세계 보안 세계에 통찰력을 제공하고 개인이나 기업 리스크를 줄이기 위한 방법을 제시하고 리더들의 전략적 의사결정을 도와준다.

플로레스는 기술 책임자들의 경우 '경영진들이 사이버 보안에 물어야 할 5가지 질문'에 대해 논의한 특별 논문에 액세스하길 권했다. 플로레스는 "이 질문을 스스로에게도 해 보길 바란다"고 덧붙였다.

마지막으로 플로레스는 조직의 사이버 인텔리전스 프로그램을 개발하는데 필수적인 요소로 사용자와 보안에 대한 태도가 바뀌는 것을 포함한 '사용자 교육'에 대해 강조했다.

회사내 모든 이들이 보안가가 되는 것이 자신의 직무 가운데 하나라는 것을 이해하고 보안을 제대로 알고 매일 보안연습을 이행해야 한다고.

플로레스는 "그러나 실제로 기업에서 데이터를 책임지고 있는 이가 누구인가를 물었을 때, 그들은 항상 '나는 아니다. 아마도 CIO가 아니냐, 나는 데이터를 사용만 할 뿐이다'고 잘못된 대답을 한다"고 말했다. 플로레스는 "그렇다고 포기해서는 안되며 계속 나아가야 한다"며, "전체 직원의 보안 지식과 연습을 리뷰해 직원 평가 수단에 포함해야 한다"고 주장했다.

"직원들은 지속적으로 교육해야 한다. 교육은 계속해서 반복적으로 이뤄져야 한다. 보안 교육을 직원들이 입사할 때 한번 하고 말았다면 그들이 회사를 떠날 때쯤이면 완전히 잊혀졌을 것이다." editor@itworld.co.kr

Read more: http://www.itworld.co.kr/news/98929#csidx54e7c2396f97be0b36954c10cfdc51c 
Copyright © LinkBack

요즘은 소셜 미디어에 중독된 사람들이 많다. 실제로도 이런 사람들을 위한 앱을 상당히 많이 찾아볼 수 있다.

소셜 미디어용 키보드
AIR 포 아이폰(AIR for iPhone)는 세계에서 유일한 소셜 미디어용 iOS 앱이다. 이것을 설치하면 대안 키보드로 나타난다. 이 키보드는 소셜 미디어 중독자(혹은 아마도 마케터)를 위한 콘텐츠 작성과 공유를 위해 유용한 기능을 대거 제공한다. 이미지 편집, 워터마크 표시, 콘텐츠 간리, 타이핑 단축키 등이 있다. 소셜 네트워크와 주소록에 연결되며, 여러 플랫폼에서 팔로워를 위한 경쟁력있는 콘텐츠를 빠르게 작성할 수 있다.

언제나 소식 받기
훗스위트(HootSuite)는 소셜 미디어 관리 도구로 평판이 자자하다. 여러 개의 트위터, 페이스북(프로필 및 페이지), 링크드인, 워드프레스, 포스퀘어, 구글 플러스 네트워크를 하나의 툴로 관리할 수 있다. 예약 포스팅을 포함, 여러 가지 기능이 지원된다. 단, 이 기능을 모두 이용하려면 가격이 높아지기 때문에 모든 사람에게 맞지 않을 수 있다.

스마트한 인맥 관리
클로즈(Cloze)는 에버노트, 링크드인, 트위터, 페이스북 등 모든 소셜 네트워크상 친구들의 활동을 모아서 보여주는 앱이다. 이 솔루션은 가장 좋아하는 친구를 가려내고 모니터하는 알고리즘이 포함되어 있으며, 에버노트, 이메일, 전화, 소셜 네트워크, 문서, 회의 등의 데이터로 특정 사람과 마지막에 연락한 것이 언제 어디였는지 정확히 알려주는 지능형 기능을 갖추고 있다. 특히, 모든 참가자에 대한 정보를 클로즈가 모아줄 회의에서 유용하다. 그리고 굉장히 유용한 다른 기능도 있다. 기본 서비스는 무료이지만, 고급 기능은 월 13.33달러다.

밈(meme) 만들기
밈에 대한 아이디어가 많고 적절한 이미지도 갖고 있는데, 너무 바빠서 이것을 만들기 어려운 사람이라면 밈 제너레이터(Meme Generator)를 사용해보길 바란다. 빠르게 이미지와 텍스트를 결합하고 소셜 네트워크에 공유할 수 있는 앱이다. 앱 자체는 무료이지만, 광고를 없애려면 유료 버전으로 업그레이드해야 한다. 비슷한 기능을 제공하는 다른 앱으로는 리플레이(Replay), 시네마틱(Cinematic)  등이 있다.

이야기를 ‘아름답게’ 전달하기
2014년 애플 디자인 어워드 수상작인 스토어하우스(Storehouse)는 사진과 동영상을 아름답게 합치고 소셜 미디어 피드에 공유할 수 있는 이야기로 꾸미는 데 탁월한 기능을 하는 앱이다. 카메라롤, 인스타그램, 플리커 등에서 최대 50장의 사진과 동영상을 추가할 수 있고, 결과물을 소셜 미디어, 블로그, 혹은 SMS나 이메일로 공유할 수 있다. 가격은 무료다.

중독 증세를 제어하기
마지막으로 살펴볼 소셜 미디어 중독자를 위한 앱은 중독 증세를 다스릴 수 있게 도와주는 앱이다. 모먼트(Moment)는 하루 동안 아이폰을 어떻게 사용하는지 추적해서 얼마나 많은 시간을 아이폰을 사용하는 데 투자하는지를 살펴볼 수 있도록 해준다. 아이폰 사용 시간에 제한을 둘 수 있는데, 만일 자신이 스마트폰을 보지 않으면 불안감을 느낀다는 44%에 해당한다면 아주 유용할 것이다. 가격은 무료다.

보너스
대형 브랜드가 소셜 미디어 활동을 모니터하는 데 사용하는 주요 소셜 미디어 모니터링 시스템 사이페(Cyfe)를 보너스로 소개한다. 사이페는 웹사이트 트래픽부터 소셜 미디어 피드까지 모든 것을 모니터링하는 올인원 비즈니스 대시보드 앱이라고 설명할 수 있다. 세일즈포스 같은 애플리케이션에서도 데이터를 가져와서 모든 종류의 보고서를 만들 수 있다. 솔직히 말하면, 기업이 디지털 변혁을 할 수 있도록 굉장한 양의 소셜 및 다른 지표를 제공한다. 모든 운영체제와 모바일 디바이스, 브라우저에서 사용할 수 있다. 무료로 시험판을 사용할 수 있고, 프리미엄 버전은 월 19달러다. editor@itworld.co.kr

Read more: http://www.itworld.co.kr/news/98914#csidxeb36852ffa4cd7eb9ab066c07b85c2c 
Copyright © LinkBack

데이터를 인질로 붙잡고 돌려주는 대가로 돈을 요구하는 사이버 범죄자에게 기업들이 굴복하는 경우가 증가하고 있다. 경찰은 거의 보이지 않는 이들을 붙잡는 데 어려움을 겪는 중이고 기업 입장에선 선택의 여지가 거의 없다.

많은 조직이 당면한 위험을 회피하기 위해 공격자에게 돈을 지불하는 관행은 범죄자를 더욱 공격적으로 만든다.

이는 일종의 비대칭적 전자전투다. 파일을 암호화하고 피해자가 대가를 지불해야 암호화를 풀어주는 랜섬웨어는 조직에게 큰 피해를 입힐 수 있다. 최신 백업을 유지하지 않을 경우 공격자에게 해독 키를 받기 위해 돈을 지불하는 것 외에는 할 수 있는 일이 거의 없다.

랜섬웨어보다 발생 빈도는 상대적으로 낮지만, 피해자가 도난당한 주요 데이터를 자신이 갖고 있다고 주장하면서 요구 조건을 들어주지 않으면 이 데이터를 대중에 공개하겠다고 협박하는 익스토션(extortion) 방식의 위험성도 이에 못지않다. 시간도 촉박하다. 해커들은 보통 기업에게 48시간 내에 결정할 것을 요구하는데 이 시간 안에 어떤 데이터가 실제 도난당했는지 확인하기도 벅차다.

랜섬웨어와 익스토션에 따른 비용은 계산하기 어렵다. 지난해 6월, FBI는 크립토월(CryptoWall) 랜섬웨어 가운데 하나가 미국내 조직에게 1년동안 1,800만 달러의 손실을 입힌 것으로 추산했다. 그러나 한 산업 그룹이 10월 발표한 크립토월(2014년 중반 처음 발견됨)의 추정 총 비용은 이보다 훨씬 더 높은 무려 3억 2,500만 달러에 달한다.

익스토션 비용을 계산하기는 훨씬 더 까다롭다. 기업들이 피해를 입었음을 공개하길 꺼리는 경우가 많기 때문이다. 보안 업체 파이어아이(FireEye)는 민감한 데이터의 공개를 막기 위해 100만 달러 이상을 지불한 기업도 있다고 밝혔다. 다만 이는 특별한 경우이고, 대부분은 이보다 적은 비용이 오간다.

연방 사이버범죄 전담 검사를 거쳐 현재 컴퓨터 포렌식 업체 스트로즈 프라이드버그(Stroz Firedberg)의 사고 대응 부문 책임자인 에린 닐리 콕스는 사건 발생이 너무 많아 경찰력이 따라가기 버거울 정도라고 말했다.

닐리 콕스는 FBI와 비밀경호국이 "많은 경우 사실상 데이터 몸값 지불을 묵인한다"고 말하며, 다만 이것이 회사의 공식적인 입장은 아니라고 강조했다.

공격을 실행하는 조직을 찾기는 어렵다. 이들은 흔적을 감추는 데 능숙하고 암호화된 통화인 비트코인을 요구하기 때문에 지불을 추적하기도 어렵다. 또한 해커들은 사이버 보안 분야에서 미국과 긴밀하게 공조하지 않는 국가에 거주하는 경우가 많아 실제 체포 가능성도 거의 없다.

암호화된 파일의 잠금을 풀기는 거의 불가능하다
사이버 위협에 대한 정보를 수집하는 인포아머(InfoArmor) CIO 앤드류 코마로프는 "암호화 해독은 아주 어려운 문제"라고 말했다.



인포아머는 랜섬웨어를 조종하는 데 사용되는 컴퓨터 네트워크에 침투하는 방법으로 랜섬웨어를 무력화시킨 적이 몇 차례 있다. 코마로프는 크립토로커(CryptoLocker)라는 랜섬웨어를 배포하는 데 사용되는 중앙 지휘 네트워크 내에서 취약점이 발견되기도 했다고 말했다.

인포아머 보고서에 따르면, 연구원들은 이 취약점을 통해 수천 개 피해 기업이 몸값을 지불한 것으로 나타나게끔 하는 명령을 전송해 암호화된 데이터가 해독되도록 했다.

그러나 이렇게 해피 엔딩으로 마무리되는 일은 드물다. 가장 잘 알려진 랜섬웨어 사고는 의료 기관을 대상으로 한 사건이다. 로스엔젤리스에 위치한 할리우드 프레스비테리언 메디컬 센터(Hollywood Presbyterian Medical Center)는 파일 해독을 위해 40비트코인(약 1만 7,000달러)을 지불했다.

할리우드 프레스비테리언 사장이자 CEO인 앨런 스테파넥은 "몸값 지불이 정상 운영으로 돌아가기 위한 최선의 방법이었다"고 말했다.

보안 전문 블로거 브라이언 크렙스에 따르면, 4주 후 켄터키 주 헨더슨의 메소디스트 호스피탈(Methodist Hospital) 시스템이 록키(Locky)라는 랜섬웨어에 감염됐다. 현지 언론 보도에 따르면 이 병원은 시스템 복원에 성공한 덕분에 몸값을 지불하지는 않았다.

랜섬웨어와 익스토션은 다른 사이버 범죄에 비해 공격자에게 유리하다. 데이터를 훔친 다음 지하 포럼에서 구매자를 찾아 위험한 거래를 할 필요 없이 취약한 피해자에게 접근해 직접 돈을 받을 수 있다.

크라우드스트라이크(Crowdstrike) CEO 드미트리 알페로비치는 "데이터를 무기로 생각하는 경우가 증가하고 있다"면서, "소니를 공격한 북한의 경우가 확실한 그 예"라고 말했다.

이들은 소니 픽처스에 북한 지도자인 김정은을 모욕하는 장면이 담긴 영화를 개봉하지 말 것을 요구했고 이후 소니 픽처스를 공격해 수GB 분량의 민감한 내부 데이터를 공개하고 컴퓨터를 파괴했다. 미국 정부는 공격 발생 직후 공격의 진원지로 북한을 지목했다.

몸값 지불은 불안정한 방법이며 부작용도 존재한다
보안 블로그를 운영하는 로만 허시는 지난 달 랜섬웨어 캠페인과 연계된 전 세계의 서버를 카탈로그화하는 도구인 랜섬웨어 트래커를 출범했다. 허시는 많은 사람이 피해자가 되는 것을 목격한 후 이 트래커를 만들기로 결심했다고 한다.

허시는 "최선의 방법은 자주 백업하고 절대 몸값을 지불하지 않는 것이다. 몸값을 지불하면 범죄자의 사이버 범죄와 이들이 앞으로 범죄를 저지르는 데 사용할 인프라에 자금을 대고 공격자들에게 계속 공격할 동기를 부여하는 격"이라고 말했다.

허시의 저항 전략이 궁극적으로 해결책이 될 수도 있겠지만 이를 위해서는 많은 조직이 극심한 피해를 감수해야 한다.

파이어아이의 COO이자 맨디언트(Mandiant)의 설립자인 케빈 만디아는 예를 들어 회사 법률 자문의 이메일이 유출되었다면 몸값 지불을 거절한다는 것은 곧 큰 위험과 곤란한 상황을 의미할 수 있다고 말했다. 만디아는 최근 인터뷰에서 "달리 무슨 방법이 있겠는가? 지불하지 않으면 그 대가는 혹독하다"고 말했다.

랜섬웨어와 익스토션의 증가는 미국 결제 카드의 보안 개선에 따른 결과일 가능성이 높다. 훔친 카드 정보를 통해 돈을 벌기가 갈수록 어려워지자 공격자들은 더 쉬운 현금 창출 방법을 찾은 것이다.

파이어아이는 국가가 후원하는 사이버 첩보전에 사용되는 해킹 도구와 인프라 중 일부가 현재 익스토션에 사용되고 있다면서 숙련된 해커에게는 이것이 쉬운 돈벌이 수단이 될 수 있다고 전했다.

만디아는 "러시아와 중국의 범죄 조직과 단체들은 해킹 기술을 갖고도 카드 데이터로 더 이상 쉽게 돈을 벌 수 없게 되자 그냥 갈취하자는 생각을 하게 된 것"이라고 말했다.

미국 사법부는 3월 22일 바샤르 알 아사드 대통령을 지원하는 다년간의 해킹 캠페인을 실행한 단체인 시리안 일렉트로닉 아미(Syrian Electronic Army)의 구성원 3명에 대한 처벌 내용을 공개했다.

이 가운데 2명은 14명의 미국 및 해외 피해자의 시스템을 해킹한 다음 이를 손상시키거나 훔친 데이터를 팔겠다고 협박한 갈취 혐의에 대해서도 기소됐다. 피해자 중에는 중국 온라인 게임 업체, 영국 웹 호스팅 업체와 온라인 미디어 업체 등이 포함됐다.

고발장에 따르면 이들은 모두 합쳐 50만 달러 이상을 요구했지만 많은 경우 협상을 거쳐 요구 금액을 낮췄다.

크라우드스트라이크의 알페로비치는 "이 가운데 일부는 인질 협상과 비슷한 양상으로 진행됐다. 범죄자와 대화를 하면서 행동을 지연시키고 시간을 벌 수 있다"고 말했다. 알페로비치는 "그러나 도둑을 상대할 때 확실한 방법이란 존재하지 않는다"고 말했다. editor@itworld.co.kr

Read more: http://www.itworld.co.kr/news/98930#csidxeccb4d3ca3f52dcbfbbdf48dc076c7b 
Copyright © LinkBack

1. "6·25 때 물자 지원 에콰도르, 한국 도움 절실"

 길버트 대사는 “6.25전쟁 당시 에콰도르가 한국을 도왔던 역사를 기억한다”고 언급하며 긴급 기자회견을 시작했다.

2. 엠씨더맥스는 되도 이수는 아직 안 되는 까닭

2009년 저지른 미성년자 성매매 혐의로 기소유예 처분을 받았던 사실은 여전히 그의 굴레일 수밖에 없었다.

3. 한국인 아내 살해후 용광로에 버린 이집트인 징역20년

이혼을 요구하는 한국인 아내를 목 졸라 살해하고 시신을 용광로에 유기한 혐의로 기소된 30대 이집트인이 중형을 선고받았다.

4. "일본 대지진 열렬히 환영합니다", 중국서 현수막 내걸려

이를 본 누리꾼들은 ‘비인도적이고 상식 밖의 행동’이라며 부정적인 반응 보였다. 하지만 일부는 ‘좋다’, ’표현의 자유다‘ 등의 긍정을 표해 논란을 가중시켰다.

5. 550만원 때문에..끓는 물 붓고 몸 지진 '잔혹한 채권자'

이들은 불에 달군 칼로 C씨 몸을 지지고, 끓는 물을 붓는가 하면 스프레이 모기약에 불을 붙여 협박하는 등 끔찍한 방법을 동원한 것으로 드러났다.

6. '말발 안먹히네' 국회 운영도 이슈도 뒷북치는 여당

당 지도부는 19대 국회 마지막 임시국회에서 노동 4법 등 민생법안 처리 동력을 회복하기 위해 안간힘을 쓰고 있지만 야권에 전혀 말발이 먹히지 않고 있다. 

7. 옥천군청 공무원 47일 만에 숨진 채 발견

병원 검진을 받으러 간다며 휴가를 낸 뒤 연락 두절된 공무원이 실종 47일 만에 숨진 채 발견됐다.

x86 서버 프로세서 시장이 흥미진진해졌다.

AMD는 자사의 최상위 서버 프로세서의 설계를 새로 구성된 중국 업체에 라이선스할 계획이라고 발표했다. 새로운 중국업체는 THATIC(Tianjin Haiguang Advanced Technology Investment Co. Ltd.)으로, AMD와 중국 공공기관 및 민간 업체들의 컨소시엄이 참여한 공동 벤처업체이다.

AMD는 CPU, 인터커넥션 및 컨트롤러를 포함해 THATIC이 서버 칩을 만드는 데 필요한 모든 기술을 제공한다. THATIC은 서로 다른 종류의 서버용으로 다양한 x86 변형 칩을 만들 수 있게 된다.

PC와 서버 대부분이 x86 칩을 기반으로 하지만, 칩 기술을 다른 업체에 라이선스하는 경우는 극히 드물다. 티리아스 리서치의 대표 애널리스트 짐 맥그리거는 인텔보다 시장점유율이 훨씬 적은 AMD는 라이선스를 통해 자사 기술의 설치 기반을 쉽게 확대할 수 있고, 또 라이선스 매출을 올릴 수도 있다고 분석했다. 또 AMD기 인텔과 경쟁하기 위한 모든 수단을 동원하고 있는데, 궁극적으로 PC 칩 기술을 라이선스할 수도 있다고 덧붙였다.

무어 인사이트의 대표 애널리스트 패트릭 무어헤드는 이번 거래를 AMD가 방대한 지적재산권 포트폴리오를 수익할 방법을 찾고 있다는 신호로 보고 있다. 무어헤드는 “AMD가 공략하기 힘든 영역에서 비슷한 거래가 더 이루어질 것으로 본다. CPU 기술뿐만 아니라 GPU 기술도 대상이 될 것이다”라고 전망했다.

이 소식이 가장 불편한 곳은 역시 인텔일 것이다. 두 업체만의 시장에 갑자가 새로운 업체가 끼어들고, 더구나 새로운 업체는 AMD보다 인텔에 더 큰 손실을 입힐 수도 있기 때문이다.

특히 AMD는 자사의 최신 젠 아키텍처 기반 서버 칩 설계를 라이선스할 것으로 보인다. 젠은 최근 10년 동안 AMD가 출시한 CPU중 최고란 평가를 받고 있으며, 클럭 사이클 당 성능을 40%나 향상한 것으로 알려져 있다.

한편 AMD는 공동 벤처회사의 지분에 대해서는 함구하고 있는데, AMD가 자금을 투여하지는 않을 것으로 보인다. AMD의 투자는 지적재산권이 될 가능성이 높으며, 이번 거래를 통해 2억 9300만 달러의 매출도 올릴 것으로 예상한다. 또 공동 벤처의 실질적인 운영은 중국 국립연구기관인 중국과학원이 관장할 예정이다.  editor@itworld.co.kr

Read more: http://www.itworld.co.kr/news/98936#csidxe11964752e3e3bb9f7555a7a30641d4 
Copyright © LinkBack

클라우드는 점점 더 많은 IT를 집어삼키고 있다. 거의 모든 기업용 애플리케이션과 서비스가 클라우드로 이동 중이다. 이런 변화는 새롭게 태동하는 머신러닝도 마찬가지다. 마이크로소프트와 아마존, IBM, 구글 등 IT 거물이 잇달아 클라우드 기반 머신러닝 서비스를 강화하고 있다.

이들 서비스의 주요 기능과 장단점 비교를 통해 나에게 꼭 맞는 클라우드 머신러닝 서비스를 찾아보자. 업체별 시장 전략과 기술 현황을 엿보는 재미는 덤이다.

<주요 내용>
Tech Trends : '4인 4색' 클라우드 머신러닝 전략
Tech Review
- MS 애저 머신러닝, '전문가라면' 이보다 좋을 수 없다
- 아마존 머신러닝, 기본기 탄탄한 범용 서비스
- IBM 왓슨, IT 거인다운 '머신러닝' 반격

오페라 소프트웨어가 전기능 VPN((virtual private network) 클라이언트와 무료 서비스 액세스를 포함한 새 버전 오페라 브라우저의 개발자용 프리뷰를 발표했다.

오페라의 엔지니어링 책임자인 크리스티안 코론드라는 자사 블로그를 통해 “우리는 무제한 무료 VPN을 통합한 최초의 주요 브라우저 업체이다”라고 강조했다.

VPN은 기업 환경에서 직원들이 외부에서 사내 네트워크로 접속할 때 가장 많이 사용되는 방법이지만, 오페라는 VPN이 웹을 사용할 때 익명성을 제공할 수 있다고 강조했다.

VPN 기능을 통합한 오페라 브라우저를 이용하면 국가 기관에 의해 또는 기업 고용주나 학교에 의해 차단된 사이트를 이용할 수 있다. 또한 사용자의 실제 IP 주소를 VPN으로 가려주기 때문에 사용자를 숨길 수 있다. 특히 커피숍의 와이파이 네트워크와 같은 공공 환경에서는 VPN이 목적지까지의 안전한 통로를 제공하기 때문에 인증서나 패스워드와 같은 개인 정보를 가로채지 못하게 막을 수 있다.

오페라의 VPN 기능은 지난 달 인수한 서프이지(Surfeasy)의 네트워크를 기반으로 할 가능성이 크다. 서프이지는 현재 VPN 가입 서비스를 제공하고 있는데, 월 이용료는 연간 구독 기준으로 6.49달러이다. 오페라 사용자는 서비스 요금을 지불하지 않고도 서프이지와 같은 VPN 서비스를 이용할 수 있을 것으로 보인다.

오페라는 지난 3월 개발자 프리뷰를 통해 광고 차단 프로그램을 브라우저에 기본 통합한 바 있다.

코론드라는 광고 차단이나 VPN 같은 기능이 오늘날의 사용자가 원하는 것이라고 주장했다. 또 “우리는 2016년에는 효율적인 웹 브라우징을 위해 새로운 기능이 필요하다는 것을 알게 됐다”라며, “사람들이 필요로 하는 것은 10년 전 브라우저에 있던 것과 같은 기능이 아니라는 사실이 분명해졌다”라고 덧붙였다.


오페라의 무료 VPN 서비스는 브라우저의 옵션 창에서 설정할 수 있다. VPN이 활성화되면 주소창 왼쪽에 작은 버튼이 생긴다.

컴퓨터월드는 오페라 프리뷰의 맥 버전을 다운로드해 설치하고 VPN 기능을 활성화해 다양한 사이트를 성공적으로 살펴봤다. 하지만 일부 사이트는 처음 접속할 때 웹 페이지를 로딩하는 데 상당한 시간이 걸리기도 했다.

한편 오페라의 VPN 기능 통합은 오페라를 중국 업체들에게 매각하는 것과도 관련되어 있다. 이들 중국업체에는 모바일 게임업체인 베이찡 쿤룬 테크(Beijing Kunlun Tech)와 검색 및 안티 맬웨어 업체인 치후(Qihoo) 등이 포함되어 있다. 하지만 매각은 주주들의 투표 시한 연기와 CFO의 사임 등 혼란스러운 과정을 거치고 있다.

중국 사용자 중 자국의 인터넷 차단을 우회하기 위해 VPN을 사용하는 경우가 적지 않다. 물론 중국 당국은 공식 지침과 기술적인 수단을 모두 동원해 관련 기술을 단속하고 있다.

현재 VPN은 최신 오페라 개발자 빌드에서만 가능하지만, 코론드라는 툴과 서비스가 몇 준 안에 일반 공개용 브라우저 수준으로 완성될 것이라고 밝혔다.  editor@itworld.co.kr

Read more: http://www.itworld.co.kr/news/98933#csidx0b5a570349599e88472dba753827153 
Copyright © LinkBack