2018.04.02

'큰 비용 들지 않는' 중소기업의 보안 강화 방법 10선

Computerworld UK Staff | Computerworld UK

중소기업에게 보안은 매우 중요하다. 문제는 수많은 보안 조언이 가장 경험 많은 보안 종사자와 기업에게만 전달되고, 정작 이러한 조언이 큰 도움이 될만한 중소기업에는 전달되지 않는다는 것이다.



보안을 강화하려면 대대적인 조직 변화와 (중소기업이 감당할 수 없는) 많은 투자가 필요하고 생각하는 경향이 있다.

그러나 꼭 많은 돈을 투자해야만 하는 것은 아니다. 공격자들이 자주 악용하는 중요한 취약점 몇 가지에 주의를 기울이면 많은 투자가 필요 없다.

지금부터 이와 관련된 내용을 소개한다.

1. 이메일 위협을 경시하지 않는다
공격자가 가장 먼저 침입을 시도하는 ‘정문’은 늘 그렇듯 이메일이다. 이유가 무엇일까? 아주 간편한 액세스 포인트고, 해커에게 효과적인 도구이기 때문이다.

악성코드를 첨부한 이메일 한 통으로 연락처를 입수하고, 네트워크 일부에 대한 접근권을 획득할 수 있다. 해커들은 피해자가 알고 있는 사람 이름으로 이메일을 보내 빠르게 공격을 확산시킬 수 있다.

모르는 사람에게 온 이메일 첨부 파일을 열지 말라고 임직원에게 당부하는 경우가 많다. 그런데 솔직히 말하면, 이런 조언은 무용지물에 가깝다.

그보다는 사용하고 있는 이메일 시스템을 조사해야 한다. 호스팅 익스체인지나 지메일 등이 주소록에 추가된 연락처를 기반으로 화이트리스트 도구를 사용하도록 구성되어 있는지 확인하는 것이다. 이런 이메일 시스템은 또한 의심스러운 이메일의 양을 줄이기 위해 독자적인 필터링 도구를 사용한다.

지메일 같은 웹메일 서비스를 포함해 최신 이메일 클라이언트는 모르는 사람에게 온 이메일 첨부파일을 자동으로 의심스러운 파일로 처리한다. 이메일에 포함된 링크에도 유사하게 엄격한 규칙을 적용한다. 이는 시작일 뿐이다.

이메일 피싱 공격을 저지하기 위해 안티 피싱 테스트 소프트웨어를 사용해야 한다. 유료 서비스가 많다. 그러나 품질이 좋지만 무료인 도구나 서비스도 찾을 수 있다.

좋은 무료 온라인 테스트 도구로 US 컨설턴시(US consultancy) KnowBe4를 추천한다. 직원들이 피싱 공격에 얼마나 잘 준비가 되어있는지 확인할 수 있는 도구다.

2. 웹사이트가 취약하다고 가정한다
SQL 주입, 크로스-사이트 스크립팅 등을 이용해 전자상거래 웹사이트의 취약점을 공격하는 사례가 아주 많다.

이런 공격을 걱정하고 있다면, 취약점 스캐너를 사용해 이용하고 있는 웹사이트가 적법하고 안전한지 확인해야 한다.

콸리스(Quals), 에일리언볼트(AlienVault), 아큔텍스(Acunteix) 등이 웹사이트 취약점 스캐너를 제공하고 있다. 대부분 무료 시험판도 지원한다. 또한 (전문 지식이 좀 필요하지만) 무료로 이용할 수 있는 오픈소스 도구도 많다. 베가(Vega)W3af, SQLmap이 좋은 출발점이 될 수 있다.

3. 위험한 소프트웨어를 사용할 수 없도록 만든다
소프트웨어가 지나치게 많이 설치된 업무용 PC가 많다. 일부는 관리자 모르게 직원 개인이 설치한 소프트웨어다.

이런 소프트웨어는 아주 위험할 수 있다. 하지만 다행히 해결 방법이 간단하다. 제로데이 취약점이 많아 자주 표적이 되는 소프트웨어를 제거하는 방법이다.

브라우저용 플래시(Flash) 비디오 플러그인, 어도비 PDF 리더 애플리케이션, 자바 런타임 환경(JRE, 구버전 포함)을 악용한 악성 공격이 아주 많다.

이런 프로그램을 제거하면, 이로 인해 초래될 수 있는 상당한 위험 또한 제거할 수 있다. 사용하는 프로그램이기 때문에 제거나 삭제를 망설일 수 있다. 그러나 대안들이 존재한다. PDF를 예로 들면, 최신 브라우저에는 ‘샌드박싱’ PDF 보기 기능이 탑재되어 있다. 프로그램 실행 없이, 더 나아가 파일 다운로드 없이 PDF를 확인할 수 있는 기능이다.

최소한 플래시 같은 인터페이스가 ‘온 디맨드’ 방식으로만 실행되도록 만들어야 한다. 다시 말해, 사용자가 수동으로 실행할 때 작동하도록 만들어야 한다.

4. 암호화를 효과적으로 활용한다
간단히 보안을 강화할 때 가장 많이 활용하는 기술이 암호화다. 그러나 단순한 ‘만병통치약’에 해당하는 그런 기술은 아니다.

첫 번째 도전과제는 암호화는 값비싼 투자가 필요한 경우가 많고, 특정 애플리케이션은 독점적이며, 사용한 키를 다른 안전한 장소에 보관해야 한다는 것이다.

그러나 모바일 기기를 중심으로 데이터 저장 및 보관에 유용하게 활용할 수 있다. 예를 들면, iOS와 안드로이드 최신 버전은 보안 암호화를 기본 제공하고 있다. 최근에는 기업용 노트북 컴퓨터의 경우에도 FDE(Full Disk Encryption)를 옵션으로 선택할 수 있다. 중소기업들은 이 옵션을 선택해야 한다. 그뿐만 아니라 USB 플래시 카드도 암호화해야 한다.

소규모의 데스크탑 암호화는 조금 복잡하다. 또한 과거 평판 높았던 오픈소스 프로그램인 트루크립트(TrueCrypt)는 이제 신뢰할 수 없는 프로그램이다. 마이크로소프트는 윈도우 10 OS에서 윈도우 디펜더(Windows Defender)를 기본 제공하고 있다. 그러나 파일별 암호화 대신 전체 볼륨 암호화 기법을 사용하는 도구들도 있다.

시만텍은 다양한 암호화 제품을 공급하고 있다. 비싼 편이지만 중앙 관리 기능을 제공한다.




2018.04.02

'큰 비용 들지 않는' 중소기업의 보안 강화 방법 10선

Computerworld UK Staff | Computerworld UK

중소기업에게 보안은 매우 중요하다. 문제는 수많은 보안 조언이 가장 경험 많은 보안 종사자와 기업에게만 전달되고, 정작 이러한 조언이 큰 도움이 될만한 중소기업에는 전달되지 않는다는 것이다.



보안을 강화하려면 대대적인 조직 변화와 (중소기업이 감당할 수 없는) 많은 투자가 필요하고 생각하는 경향이 있다.

그러나 꼭 많은 돈을 투자해야만 하는 것은 아니다. 공격자들이 자주 악용하는 중요한 취약점 몇 가지에 주의를 기울이면 많은 투자가 필요 없다.

지금부터 이와 관련된 내용을 소개한다.

1. 이메일 위협을 경시하지 않는다
공격자가 가장 먼저 침입을 시도하는 ‘정문’은 늘 그렇듯 이메일이다. 이유가 무엇일까? 아주 간편한 액세스 포인트고, 해커에게 효과적인 도구이기 때문이다.

악성코드를 첨부한 이메일 한 통으로 연락처를 입수하고, 네트워크 일부에 대한 접근권을 획득할 수 있다. 해커들은 피해자가 알고 있는 사람 이름으로 이메일을 보내 빠르게 공격을 확산시킬 수 있다.

모르는 사람에게 온 이메일 첨부 파일을 열지 말라고 임직원에게 당부하는 경우가 많다. 그런데 솔직히 말하면, 이런 조언은 무용지물에 가깝다.

그보다는 사용하고 있는 이메일 시스템을 조사해야 한다. 호스팅 익스체인지나 지메일 등이 주소록에 추가된 연락처를 기반으로 화이트리스트 도구를 사용하도록 구성되어 있는지 확인하는 것이다. 이런 이메일 시스템은 또한 의심스러운 이메일의 양을 줄이기 위해 독자적인 필터링 도구를 사용한다.

지메일 같은 웹메일 서비스를 포함해 최신 이메일 클라이언트는 모르는 사람에게 온 이메일 첨부파일을 자동으로 의심스러운 파일로 처리한다. 이메일에 포함된 링크에도 유사하게 엄격한 규칙을 적용한다. 이는 시작일 뿐이다.

이메일 피싱 공격을 저지하기 위해 안티 피싱 테스트 소프트웨어를 사용해야 한다. 유료 서비스가 많다. 그러나 품질이 좋지만 무료인 도구나 서비스도 찾을 수 있다.

좋은 무료 온라인 테스트 도구로 US 컨설턴시(US consultancy) KnowBe4를 추천한다. 직원들이 피싱 공격에 얼마나 잘 준비가 되어있는지 확인할 수 있는 도구다.

2. 웹사이트가 취약하다고 가정한다
SQL 주입, 크로스-사이트 스크립팅 등을 이용해 전자상거래 웹사이트의 취약점을 공격하는 사례가 아주 많다.

이런 공격을 걱정하고 있다면, 취약점 스캐너를 사용해 이용하고 있는 웹사이트가 적법하고 안전한지 확인해야 한다.

콸리스(Quals), 에일리언볼트(AlienVault), 아큔텍스(Acunteix) 등이 웹사이트 취약점 스캐너를 제공하고 있다. 대부분 무료 시험판도 지원한다. 또한 (전문 지식이 좀 필요하지만) 무료로 이용할 수 있는 오픈소스 도구도 많다. 베가(Vega)W3af, SQLmap이 좋은 출발점이 될 수 있다.

3. 위험한 소프트웨어를 사용할 수 없도록 만든다
소프트웨어가 지나치게 많이 설치된 업무용 PC가 많다. 일부는 관리자 모르게 직원 개인이 설치한 소프트웨어다.

이런 소프트웨어는 아주 위험할 수 있다. 하지만 다행히 해결 방법이 간단하다. 제로데이 취약점이 많아 자주 표적이 되는 소프트웨어를 제거하는 방법이다.

브라우저용 플래시(Flash) 비디오 플러그인, 어도비 PDF 리더 애플리케이션, 자바 런타임 환경(JRE, 구버전 포함)을 악용한 악성 공격이 아주 많다.

이런 프로그램을 제거하면, 이로 인해 초래될 수 있는 상당한 위험 또한 제거할 수 있다. 사용하는 프로그램이기 때문에 제거나 삭제를 망설일 수 있다. 그러나 대안들이 존재한다. PDF를 예로 들면, 최신 브라우저에는 ‘샌드박싱’ PDF 보기 기능이 탑재되어 있다. 프로그램 실행 없이, 더 나아가 파일 다운로드 없이 PDF를 확인할 수 있는 기능이다.

최소한 플래시 같은 인터페이스가 ‘온 디맨드’ 방식으로만 실행되도록 만들어야 한다. 다시 말해, 사용자가 수동으로 실행할 때 작동하도록 만들어야 한다.

4. 암호화를 효과적으로 활용한다
간단히 보안을 강화할 때 가장 많이 활용하는 기술이 암호화다. 그러나 단순한 ‘만병통치약’에 해당하는 그런 기술은 아니다.

첫 번째 도전과제는 암호화는 값비싼 투자가 필요한 경우가 많고, 특정 애플리케이션은 독점적이며, 사용한 키를 다른 안전한 장소에 보관해야 한다는 것이다.

그러나 모바일 기기를 중심으로 데이터 저장 및 보관에 유용하게 활용할 수 있다. 예를 들면, iOS와 안드로이드 최신 버전은 보안 암호화를 기본 제공하고 있다. 최근에는 기업용 노트북 컴퓨터의 경우에도 FDE(Full Disk Encryption)를 옵션으로 선택할 수 있다. 중소기업들은 이 옵션을 선택해야 한다. 그뿐만 아니라 USB 플래시 카드도 암호화해야 한다.

소규모의 데스크탑 암호화는 조금 복잡하다. 또한 과거 평판 높았던 오픈소스 프로그램인 트루크립트(TrueCrypt)는 이제 신뢰할 수 없는 프로그램이다. 마이크로소프트는 윈도우 10 OS에서 윈도우 디펜더(Windows Defender)를 기본 제공하고 있다. 그러나 파일별 암호화 대신 전체 볼륨 암호화 기법을 사용하는 도구들도 있다.

시만텍은 다양한 암호화 제품을 공급하고 있다. 비싼 편이지만 중앙 관리 기능을 제공한다.


X