2012년 11월 26일 월요일

당신의 이메일을 누군가 가로채려 한다면?


당신의 이메일을 누군가 가로채려 한다면?

By Amit Agarwal
Scott Eells/Bloomberg News
당신이 보낸 이메일은 인터넷업체와 일련의 메일서버를 지나 수신자의 컴퓨터에 전달된다.
검찰이나 경찰, 네트워크 관리자나 인터넷업체가 당신의 이메일을 중간에서 가로채 몰래 볼 수 있을까?
누군가 이메일을 엿보고 있을 가능성은 낮지만 이메일이 당신이 생각하는 것보다 위험에 노출돼 있을 수도 있다. 다음은 이메일보안을 향상시키기 위한 기본 조치다.
첫째, 비영리 단체 EFF에서 내놓은 브라우저확장 프로그램 ‘HTTPS Everywhere’를 켜라. 보안이 제공되는 HTTP(또는 HTTPS) 연결을 통해 이메일계정에 접속할 경우 컴퓨터와 메일서버 간의 모든 트래픽이 암호화된다. 누군가 중간에서 데이터를 가로채더라도 내용을 알아볼 수 없게 된다는 뜻이다.
둘째, 호텔이나 카페 등에서 이용하는 공공 와이파이망에서 이메일계정에 접속할 때는 VPN(가상사설망)을 통해 인터넷에 접속하는 것이 좋다. 특정 웹사이트에서만 작동하는 HTTPS와는 달리 VPN서비스는 컴퓨터와 인터넷 간에 교환되는 모든 트래픽을 암호화한다. PC와 맥에서 무료로 사용할 수 있는 VPN소프트웨어로는 터널베어(TunnelBear)를 들 수 있다. 따로 설정이 필요없으며 눈금을 ON으로 올리면 VPN이 활성화된다.
기밀정보를 이메일로 보낼 때는 발송 전에 암호화작업이 필요하다. 어렵게 느껴지지만 사실 간단하게 실행할 수 있다.
이메일내용을 텍스트로 작성하고 암호화프로그램을 실행하면 수신자가 비밀키를 적용해야만 메시지를 확인할 수 있다. 비밀키 없이는 내용해독이 불가능하다.
메시지를 암호화하는 알고리즘은 다양하지만 이중 가장 인기있고 안전한 프로그램은 PGP(Pretty Good Privacy)다.
PGP에 이메일주소와 비밀문구(passphrase)를 입력하면 공개키와 비밀키가 생성된다. 이렇게 생긴 공개키를 원하는 사람들과 공유한다. 친구나 지인들도 자신의 이메일주소와 비밀문구를 입력해 공개키와 비밀키를 생성한 후 공개키를 당신과 공유할 수 있다. 한번 등록하면 계속 쓸 수 있는 시스템이다.
이제까지 하던 것처럼 이메일을 작성한 다음 PGP프로그램에서 수신인으로부터 받은 공개키를 이용해 이메일내용을 암호화한다. 수신인은 자신의 비밀키로 암호를 해독할 수 있다. 수신인은 당신에게서 받은 공개키로 내용을 암호화해서 비밀답장을 보낼 수 있다. 당신의 공개키로 암호화된 이메일은 당신의 비밀키로 암호를 풀게 되있다.
크롬에서는 메일벨롭(Mailvelope) 애드온을 사용해 이메일프로그램에 암호화 및 암호해독 기능을 포함시킬 수 있다. 메일밸롭은 당신의 비밀키를 생성하고 친구들의 공개키를 저장하는 한편, 암호화된 내용이 포함된 이메일을 자동포착해 클릭 한번으로 암호를 해독하게 해준다.

2012년 11월 22일 목요일

이메일 보안 유안 유지하는 법


<이메일 보안 유안 유지하는 법>

데이비드 퍼트레이어스 미국 중앙정보국(CIA) 국장 등의 불륜 스캔들 조사에 단초를 제공한 미 연방수사국(FBI) 요원은 프레더릭 험프리스 2세(47)로 14일(현지시간) 밝혀졌다. FBI요원 15년 경력의 프레더릭은 퍼트레이어스의 외도상대 폴라 브로드웰과 함께 이번 추문의 핵심인물인 질 켈리로 부터 '협박성 이메일에 시달리고 있다'는 얘기를 맨 처음 전해듣고 이를 상부에 알렸던 것. 사진은 1999년 로스앤젤레스 공항을 폭파하려던, '밀레니엄 테러리스트' 아흐메드 레삼에 대한 2005년 7월27일 시애틀 연방법정의 선고후 담당 프레더릭이 기자들 질문에 답하는 모습.(AP=연합뉴스, 자료사진)
익명 통신·암호화 시스템 활용..문제될 일 하지 않기
(뉴욕=연합뉴스) 이상원 특파원 = 미국에서 이메일 보안에 대한 공포가 확산하고 있다.
미국 연방수사국(FBI)이 질 켈리라는 여성의 이메일 협박범을 수사하는 과정에서 이메일 추적을 통해 데이비드 퍼트레이어스 전 중앙정보국(CIA) 국장과 존 앨런 아프가니스탄 주둔 미군 최고사령관의 부적절한 사생활이 연이어 드러났기 때문이다.
미국인들 사이에서는 정보기관의 수장의 사생활까지 드러나는 마당에 수사기관이 마음만 먹으면 일반인의 이메일을 추적하는 것은 식은 죽 먹기라는 우려가 커지고 있다.
뉴욕타임스(NYT)는 17일(현지시간) 미국인들의 이런 불안을 전하면서 이메일 보안을 유지하는 방법을 소개했다.
우선 자신의 이메일을 추적할 상대방을 알아야 한다. 적을 알아야 제대로 대비할 수 있다는 의미다.
퍼트레이어스 전 국장과 그의 불륜 상대였던 폴라 브로드웰은 자신들의 배우자가 이메일을 염탐하리라 생각했을 수 있지만, FBI가 자신들의 이메일을 추적할지는 상상도 못했을 수 있다.
매튜 블레이즈 펜실베이니아대학 컴퓨터·정보과학과 교수는 "보안 기술에서 위협의 실체 파악이 가장 어렵다"면서 "퍼트레이어스 전 국장이나 상대 여성도 이메일 추적 능력이 있는 정부가 위협의 실체였다는 것을 알았다면 다르게 행동했을 것이다"고 말했다.
자신이 인터넷을 이용한 위치도 숨겨야 한다. 이메일 송신자와 수신자를 구별하는 IP(인터넷 프로토콜) 주소를 감출 수 있는 '토(Tor)'라는 익명 인터넷 통신 시스템을 활용하면 된다.
이메일 업체인 구글이나 야후는 IP 주소가 드러나는 접속 기록을 18개월 동안 보관하고 있다. 이 기간에 수사 기관이 접속 기록제출을 요구할 수 있다.
메신저 업체들이 제공하는 보안 기능이나 이메일 암호화 서비스 등을 이용하는 것도 방법이다.
구글은 메신저인 '구글 토크' 이용자에게 메시지가 저장되지 않는 '오프 더 레코드(Off the record)' 서비스를 제공하고 있다.
'GPG' 같은 프로그램을 이용해 이메일 내용을 암호화할 수도 있다. 암호를 풀 키가 없으면 이 이메일은 횡설수설한 것처럼 보인다.
이외에 이메일을 열고서 일정 시간이 지나면 자동으로 이메일 주소가 지워지는 서비스를 이용하거나 중요한 이메일은 지정된 기기에서만 이용하는 것도 방법이라고 전문가들은 전했다.
하지만, 가장 근본적인 해결책은 문제가 될 일을 하지 않는 것이라고 전문가들은 지적했다.
보안 프로그램이나 서비스를 깜박하고 사용하지 않을 수 있고 수사 당국이 넘지 못할 벽은 거의 없다.
인터넷 보안 전문가 댄 카민스키는 "어떤 것이 신문 1면에 나기를 원하지 않는다면 그것을 말하지 말아야 한다"고 말했다.

2012년 11월 21일 수요일

이메일을 이용한 e-discovery의 5단계

원문 : http://www.business2community.com/online-marketing/the-5-steps-of-ediscovery-and-email-0330225

e-discovery를 이야기할때 빼 놓을 수 없는게 email 입니다.

이메일을 이용하여 e-discovery를 하기 위한 방법을 설명합니다.

1. 이메일을 보관하라
  - 모든 송수신 메일의 보관
  - 아카이빙, 백업, 메일 서버 등 다양한 방법 이용가능

2. 관련있는 메일을 확인하라
  - 이메일을 샅샅히 조사해서 관련 있는 메일과 중요한 문서를 확인
  - 아카이빙 방법이 시간이 가장 적게 소요

3. 데이타 필터링
  - 중복되거나 반복된 메일을 제거한 이메일 데이타로 만들어라

4. 이메일 리뷰
  - 제출되는 메일이 법원에서 인정받을 수 있는 확인

5. 자료제출
  - 상호간에 협의된 방법으로 이메일 제출

이메일 보존기간(retentino) 정책 수립을 위한 6가지 팁

원문 : http://www.business2community.com/online-marketing/6-tips-for-building-an-effective-email-retention-policy-0323747

1. Email Retention 정책 수립
  - 가장 큰 실수는 직원에게 자신의 메일을 맡겨놓고 중요한 메일을 필요할 경우 언제든지 찾을 수 있을거라는 착각

2. 삭제 관리
  - 정확한 삭제의 정책이 필요

3. 보존기간 설정
  - 각 부서와 문서에는 보존기간이 명시

4. 일관성
  - 회사내 모든 분야에 동일하게 적용되어야 정책이 힘을 얻음

5. 정책 홍보
  - 모든 구성원이 알아야 하고 기록되어야 함

6. 지속적인 강화
  - 만든 정책은 모든 분야에서 지켜져야 하고 모니터되어야 함


이런한 정책관리는 이메일 아카이빙 솔루션을 이용하는게 좋다

외국에서 조사한 이메일 사용현황


2012년 11월 18일 일요일

[로펌] 이디스커버리 비상!


[로펌] 이디스커버리 비상!

  • 이미지 기자
  • 입력 : 2012.11.13 14:44

    SK하이닉스, 특허 침해 소송서 활용… 미국 '램버스' 상대로 승소 거둬, 컴퓨터 사용내역 증거 채택 늘어날 듯

    SK하이닉스와 미국 '램버스'의 특허 침해 소송에서 올 9월 미국 캘리포니아 법원은 "램버스가 자신들에게 불리한 자료를 고의적으로 파기했다"며 SK하이닉스의 손을 들어줬다.

    소송 초반만 해도 SK하이닉스가 불리할 것이란 의견이 많았지만, 하이닉스는 미국에만 있는 '이디스커버리(e-discovery·전자적 증거개시제도) 제도'를 이용해 역전극을 펼쳤다. 이디스커버리란 소송 당사자들이 상대방에게 증거가 될 수 있는 전자 문서와 컴퓨터 하드디스크를 요청해 볼 수 있도록 한 것이다. 그 결과 램버스가 자신들에게 불리한 자료를 통째로 누락한 것이 발견됐고, SK하이닉스는 극적인 역전승을 거뒀다.

    법조계에선 글로벌 특허 전쟁이 확전(擴戰)할수록 이디스커버리 제도가 강력한 무기로 등장할 것으로 보고 있다.

    전문가들은 무엇보다 업무용 컴퓨터와 개인용 컴퓨터를 철저하게 구별해야 한다고 조언했다. 사원 개개인이 들고 있는 노트북을 업무용으로 쓸 경우, 메신저와 이메일을 통해 주고받은 '개인적 의견'들도 고스란히 상대방의 손에 들어가 소송 자료로 이용될 수 있다.

    구태언 변호사(테크앤로 법률사무소)는 "평소에 이디스커버리에 대비해 법적인 중요도에 따라 문서를 체계적으로 관리해야 소송이 걸려도 방어 논리 구축이 가능하다"며 "기업들은 지금부터라도 이디스커버리에 대한 교육과 관리를 해야 한다"고 말했다.

    2012년 11월 12일 월요일

    디지털 정보와 검증 - 구태언 변호사(테크앤로 법률사무소)

    디지털 정보와 검증
    구태언 변호사(테크앤로 법률사무소)

    필자가 첨단범죄수사부에서 수사할 때 법원에 이메일을 확보하기 위한 압수수색영장을 청구하였는데 “범죄사실과 관련이 없는 이메일까지 압수수색을 하는 것은 부적절하다”는 사유로 기각되었다. 이메일은 계정보유자만 접속권한이 있어 그 내용은 본인만 알고 있다. 압수수색을 집행하기 전에 범죄사실과 관련성을 알 방법이 없다. 이메일 제목을 보고 범죄사실과 관련성을 따지기도 불가능할 뿐 아니라 제목을 보는 것 역시 이미 영장의 집행단계에 들어간 것이다. 결국 영장은 다시 발부받았지만, 디지털 정보의 확보가 압수와 수색의 개념에 들어맞을까 하는 의문은 남았다.

    형사소송법 제106조는 정보저장매체를 압수할 때에는 기억된 정보의 범위를 정하여 출력하거나 복제하라고 한다. 범죄사실과 관련된 범위 내 정보만 확보하라는 것이다. 이를 위해서는 정보저장매체에 들어 있는 정보를 전부 식별하고 그 범죄관련성을 확인해야 한다. 해당 정보저장매체의 전부에 대해 검색을 하지 않으면 압수의 목적을 달성하기 곤란하다. 결국 대상 정보 전부에 대해 오감에 의한 범죄관련성 확인은 불가결하다.

    정보저장매체에서 정보를 확인한 후 출력하거나 복제하여 제출받는 절차를 압수라고 볼 수 있을까. 압수는 물건에 대해 하는 것이다. 정보저장매체에 범죄사실과 관련있는 디지털 정보가 들어 있는지 확인하고 이를 특정하여 출력하는 절차는 압수의 본질에 들어맞지 않다.
    디지털 정보는 물건에 적혀 눈으로 읽을 수 있는 상태가 아니다. 정보저장매체에 전자기 상태로 기록되므로 특별한 장치와 소프트웨어를 이용해야 오감에 의해 확인될 수 있는 문자 또는 영상으로 바뀐다.

    디지털정보의 확인과 확보는 형사소송법상 검증에 다름 아니다. 본질적으로 검증인 디지털 정보의 확보절차를 압수수색을 통해 풀어온 것은 잘못된 관행이다. (taeeon.koo@teknlaw.com)

    2012년 11월 5일 월요일

    3 Alternative Email Archive Systems You Might Use


    이메일 아카이빙을 위한 3가지 방법입니다.

    1.tape backup - 가격은 싸지만 찾기 어렵습니다.
    2. Cloud backup - 물리적 공간이 필요없고 이메일 아카이빙 시스템과 연동하면 가장 효율적인 시스템이 됩니다.
    3. In house - 회사 환경에 가장 적합하면서 저렴하게 구축할 수 있으나 없어져 버리면 살릴 수 없는 단점이 있습니다.

    그리고 마지막으로 이메일 아카이빙 시스템은 자신의 메일박스 용량의 한계를 넘어 자유로운 이메일 이용을 보장해줍니다.

    3 Alternative Email Archive Systems You Might Use
    Read more at http://www.business2community.com/online-marketing/3-alternative-email-archive-systems-you-might-use-0318407#cgUOGRl5LY6tlK0R.99 



    Email is a vital part of business communication, and as a result a vital component in eDiscovery and compliance requests. The best way to effectively manage your email history is to use an email archive system. However some businesses don’t feel that a dedicated email archive system is a requirement.
    Let’s look at the alternatives, if you don’t use a dedicated system.

    Tape Backup
    The traditional method for retaining important business data is tape backup. Tapes are used because they provide a large amount of storage in a relatively small physical unit. You can use dedicated backup tapes to retain your email; they offer a fairly low cost solution for retaining that much data.
    There are downsides though. In order to find a document, or email, on a tape; you need to run it. That means you have to start the tape and go through the data bit by bit until you find the required document. At best that’s time consuming, at worst it’s a waste of time that could be spent elsewhere. Especially when a dedicated email archive system can be keyword searched in seconds.

    Cloud Backup
    A lot of companies have moved on from tape to online cloud backup. This is a better solution for a number of reasons. It doesn’t require physical storage and allows for greater capacity. It is also far easier to find your data.
    Cloud backup should really be combined with dedicated email archive software though. If not, the data is unlikely to be properly categorized and therefore more difficult to sort. Every expense counts in business and cloud backup alone would still require the use of an email expert to complete eDiscovery and compliance requests in a timely manner.

    In-House Storage
    Of course you might not rely on a backup system to retain your email. You might just rely on your in-house storage and the archiving facilities on your email client. This tactic really depends on your email client and the sophistication of its compliance and eDiscovery functions. It also relies on the security and integrity of your in house storage. If you lose data without a backup, it’s lost forever.
    If your email client does have good archive functions, there’s no guarantee it will work as a long-term solution. It still relies on your in house storage, which is limited to what you can afford to buy. Most companies are forced to limit client mailboxes in order to save on space. In that situation, there’s always the chance that a vital email could be deleted to save space. A dedicated email archive system allows you to archive emails without limiting mailbox sizes.
    There are alternatives to a dedicated email archive system. Your company can definitely manage without one. However, the fact that you can doesn’t mean you should.

    Read more at http://www.business2community.com/online-marketing/3-alternative-email-archive-systems-you-might-use-0318407#cgUOGRl5LY6tlK0R.99