산업 제어 시스템(ICS)은 중요한 인프라를 운영하고 지원하도록 설계돼 에너지 및 공공 시설, 석유 및 가스, 제약 및 화학 생산, 식음료 및 제조 등 산업 분야에서 주로 사용된다. 이 시스템을 공격하면 심각한 손상을 초래할 수 있다. 일례로 2015... ...
필자는 블로그 게시물이나 포럼 스레드에서 마이크로소프트와 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)을 비난하는 것을 보았다. 주로 신종 랜섬웨어나 크립토마이너가 RDP를 통해 컴퓨터를 훼손했다고 불평하는 것과 관련된다... ...
2018.11.08
지난 해에는 크고 작은 조직들이 세상을 떠들썩하게 한 보안 침해 사건을 겪었다. 보안 침해 사건으로 재무 손실을 입었을 뿐 아니라 관련 조직과 보안 책임자의 명예도 실추되었다. 이에 따라 보안 조직이 일을 처리하는 방식의 여러 측면을 정비하는 새로운 ... ...
개인정보 유출사고가 발생한 것에 관해 사업자의 책임을 물어 처벌하는 조항이 처음 법에 들어간 것은 2008년 6월의 일이다. 2008년 2월에 한 온라인 쇼핑몰에서 대규모 개인정보 유출사고가 터진 뒤 사회적 비난이 거세지자 같은 해 6월에 국회에서 정... ...
2018.11.02
전통적인 시그니처 기반 안티바이러스(AV) 솔루션은 제로데이 공격이나 랜섬웨어처럼 전례가 없는 새로운 위협에 속수무책일 정도로 취약하다. 그럼에도 불구하고 많은 기업이 다중 엔드포인트 보안 전략의 일환으로 시그니처 기반 안티바이러스 솔루션을 유지하고 ... ...
로봇 프로세스 자동화는 상당한 이점을 제공한다. 하지만 많은 RPA 파일럿 프로젝트가 계획 수립, 사람, 구축 문제가 뒤엉켜 아무런 성과를 내지 못하고 있다. RPA는 비용 절감, 실수와 오류 경감, 효율성 향상, 더 어렵고 전략적... ...
<블로그 | 블룸버그의 중국산 스파이 칩 보도를 의심하는 이유>에서도 이야기했듯, 필자는 중국이 미국 기업들이 사용하는 서버 마더보드에 하드웨어 스파이 칩을 심었다는 블룸버그 보도 내용에 큰 의구심이 든다. 중국은 과거부터 미국 기업을 대상... ...
지난 칼럼에서는 블록체인을 활용하는 입장에서 블록체인이 제공하는 보안특성을 기밀성, 무결성, 가용성이라는 전통적인 보안의 목적에 따라 검토하였다. 이번 칼럼에서는 블록체인 자체의 보안성에 관해 살펴보고자 한다. 기술적인 측면에서 블록체인의 합의 ... ...
새로 임명된 CIO 앞날에는 곳곳에 난제들이 복병처럼 숨어 있을 것이다. 신임 CIO가 자신의 역할을 다하고 역량을 발휘하는 데 도움이 될 몇 가지 팁을 소개한다.  뭐든지 시작이 반이라고 하지만, 특히 급변하는 CIO의 세계에서... ...
지금부터 약 10여 년 전 포레스터 리서치에서 처음으로 제안한 ‘제로 트러스트(zero trust)’ 모델은 기업 보안에 대한 접근 방식으로, 여기에 따르는 변화와 사용자 경험에 미치는 영향을 정확하게 이해하고 있지 않으면 이행하... ...
CISO들이 비즈니스, 공식 보안 프로세스, 교육 수준 향상 등이 다양한 보안 목표를 우선순위에 두는 것으로 조사됐다. ESG는 정보시스템보안협회(ISSA)와 공동으로 매년 사이버보안 전문가를 대상으로 이들의 사고방식에 관한 연구 프로젝트... ...
호주의 한 대기업 CEO가 보안 컨설턴트 마이클 코너리에게 다음과 같이 말을 했다. “사이버 인식 및 거버넌스 프로그램 실행은 마치 화재보험을 드는 것과 같다. 불이 날 가능성은 매우 희박한데 그에 비해 보험료는 엄청나게 청구하니 말이... ...
아마존이 AWS S3 구성 오류 확률을 줄이기 위해 2가지 신규 툴, 젤코바(Zelkova)와 타이로스(Tiros)를 준비 중이다. 이는 누가 데이터와 리소스에 접근하는가와 이들이 할 수 있는 것을 한층 명확히 정의할 것이다. 이들 툴은 액세스 컨트롤... ...
거의 10년 동안 PHP 역직렬화(unserialization) 취약점은 사이버 범죄자가 원격 코드 실행을 설치하거나 다른 악성코드를 시스템에 제공하는 데 쓰이는 인기 있는 경로였다. 그러나 이번달 블랙햇에서 발표된 새로운 연구에 따르면 악의적인 해커... ...
임직원 개개인의 실수, 무지, 무관심으로 중소기업에서 사이버보안 사고가 발생하고 있다. ESG는 최근 북미에서 임직원 50~499명인 중소기업에서 근무하는 400명의 사이버보안 및 IT전문가를 대상으로 설문조사를 마쳤다. 상상할 수 있듯이... ...
  1. 산업 제어 시스템과 IIoT 보안 실태 '여전히 허술하다'

  2. 2018.11.14
  3. 산업 제어 시스템(ICS)은 중요한 인프라를 운영하고 지원하도록 설계돼 에너지 및 공공 시설, 석유 및 가스, 제약 및 화학 생산, 식음료 및 제조 등 산업 분야에서 주로 사용된다. 이 시스템을 공격하면 심각한 손상을 초래할 수 있다. 일례로 2015...

  4. 기고 | RDP 공격을 받았다면, '사용자 잘못'이다

  5. 2018.11.09
  6. 필자는 블로그 게시물이나 포럼 스레드에서 마이크로소프트와 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)을 비난하는 것을 보았다. 주로 신종 랜섬웨어나 크립토마이너가 RDP를 통해 컴퓨터를 훼손했다고 불평하는 것과 관련된다...

  7. 2018년 美 사이버범죄 현황, "보안 지출, 위험 모두 증가"

  8. 2018.11.08
  9. 지난 해에는 크고 작은 조직들이 세상을 떠들썩하게 한 보안 침해 사건을 겪었다. 보안 침해 사건으로 재무 손실을 입었을 뿐 아니라 관련 조직과 보안 책임자의 명예도 실추되었다. 이에 따라 보안 조직이 일을 처리하는 방식의 여러 측면을 정비하는 새로운 ...

  10. 강은성의 보안 아키텍트 | 개인정보 유출과 개인정보보호책임자(CPO)의 형사처벌

  11. 2018.11.07
  12. 개인정보 유출사고가 발생한 것에 관해 사업자의 책임을 물어 처벌하는 조항이 처음 법에 들어간 것은 2008년 6월의 일이다. 2008년 2월에 한 온라인 쇼핑몰에서 대규모 개인정보 유출사고가 터진 뒤 사회적 비난이 거세지자 같은 해 6월에 국회에서 정...

  13. 최고의 안티바이러스만으론 부족... 그래도 필요한 이유는?

  14. 2018.11.02
  15. 전통적인 시그니처 기반 안티바이러스(AV) 솔루션은 제로데이 공격이나 랜섬웨어처럼 전례가 없는 새로운 위협에 속수무책일 정도로 취약하다. 그럼에도 불구하고 많은 기업이 다중 엔드포인트 보안 전략의 일환으로 시그니처 기반 안티바이러스 솔루션을 유지하고 ...

  16. '경영진 망설이고 앱 개발자 배제하고···' RPA에 실패하는 5가지 이유

  17. 2018.10.19
  18. 로봇 프로세스 자동화는 상당한 이점을 제공한다. 하지만 많은 RPA 파일럿 프로젝트가 계획 수립, 사람, 구축 문제가 뒤엉켜 아무런 성과를 내지 못하고 있다. RPA는 비용 절감, 실수와 오류 경감, 효율성 향상, 더 어렵고 전략적...

  19. 블로그 | '중국산 스파이 칩 사태로 본' IT공급망 공격의 해결책

  20. 2018.10.18
  21. <블로그 | 블룸버그의 중국산 스파이 칩 보도를 의심하는 이유>에서도 이야기했듯, 필자는 중국이 미국 기업들이 사용하는 서버 마더보드에 하드웨어 스파이 칩을 심었다는 블룸버그 보도 내용에 큰 의구심이 든다. 중국은 과거부터 미국 기업을 대상...

  22. 강은성의 보안 아키텍트 | 블록체인과 보안(2)

  23. 2018.10.08
  24. 지난 칼럼에서는 블록체인을 활용하는 입장에서 블록체인이 제공하는 보안특성을 기밀성, 무결성, 가용성이라는 전통적인 보안의 목적에 따라 검토하였다. 이번 칼럼에서는 블록체인 자체의 보안성에 관해 살펴보고자 한다. 기술적인 측면에서 블록체인의 합의 ...

  25. 신임 CIO 앞에 놓은 과제, 어디서부터 어떻게 풀까?··· 5가지 팁

  26. 2018.09.27
  27. 새로 임명된 CIO 앞날에는 곳곳에 난제들이 복병처럼 숨어 있을 것이다. 신임 CIO가 자신의 역할을 다하고 역량을 발휘하는 데 도움이 될 몇 가지 팁을 소개한다.  뭐든지 시작이 반이라고 하지만, 특히 급변하는 CIO의 세계에서...

  28. '어떤 것도 믿지 마라' 제로 트러스트 보안 모델 도입 5단계

  29. 2018.09.19
  30. 지금부터 약 10여 년 전 포레스터 리서치에서 처음으로 제안한 ‘제로 트러스트(zero trust)’ 모델은 기업 보안에 대한 접근 방식으로, 여기에 따르는 변화와 사용자 경험에 미치는 영향을 정확하게 이해하고 있지 않으면 이행하...

  31. 기고 | CISO가 생각하는 사이버보안 조치

  32. 2018.09.13
  33. CISO들이 비즈니스, 공식 보안 프로세스, 교육 수준 향상 등이 다양한 보안 목표를 우선순위에 두는 것으로 조사됐다. ESG는 정보시스템보안협회(ISSA)와 공동으로 매년 사이버보안 전문가를 대상으로 이들의 사고방식에 관한 연구 프로젝트...

  34. '보안 사고는 기우라던 CEO에게' 컨설턴트가 전하는 말

  35. 2018.09.12
  36. 호주의 한 대기업 CEO가 보안 컨설턴트 마이클 코너리에게 다음과 같이 말을 했다. “사이버 인식 및 거버넌스 프로그램 실행은 마치 화재보험을 드는 것과 같다. 불이 날 가능성은 매우 희박한데 그에 비해 보험료는 엄청나게 청구하니 말이...

  37. AWS의 클라우드 구성 오류 문제, 해법은?

  38. 2018.08.23
  39. 아마존이 AWS S3 구성 오류 확률을 줄이기 위해 2가지 신규 툴, 젤코바(Zelkova)와 타이로스(Tiros)를 준비 중이다. 이는 누가 데이터와 리소스에 접근하는가와 이들이 할 수 있는 것을 한층 명확히 정의할 것이다. 이들 툴은 액세스 컨트롤...

  40. '저위험' PHP 역직렬화 취약점, 재평가해야

  41. 2018.08.23
  42. 거의 10년 동안 PHP 역직렬화(unserialization) 취약점은 사이버 범죄자가 원격 코드 실행을 설치하거나 다른 악성코드를 시스템에 제공하는 데 쓰이는 인기 있는 경로였다. 그러나 이번달 블랙햇에서 발표된 새로운 연구에 따르면 악의적인 해커...

  43. 기고 | '실수, 무지, 무관심' 중소기업 사이버보안 실태

  44. 2018.08.22
  45. 임직원 개개인의 실수, 무지, 무관심으로 중소기업에서 사이버보안 사고가 발생하고 있다. ESG는 최근 북미에서 임직원 50~499명인 중소기업에서 근무하는 400명의 사이버보안 및 IT전문가를 대상으로 설문조사를 마쳤다. 상상할 수 있듯이...

X