오늘날 조직내 사용하는 다양한 소프트웨어 시스템과 IT업체가 발표하는 패치의 양을 고려하면 패치 관리 소프트웨어는 IT환경에서 중요한 기능이다. 잘 맞는 툴을 선택하는 방법을 알아보자. 패치 관리 소프트웨어란? IT부서가 기업 환경에서 실행하는 소프트웨어 ...
EU의 GDPR(General Data Protection Regulation)로 인해 쟁점이 과거에 얼마나 많은 기업이 데이터 보호에 접근했는지 그리고 그들의 보안팀이 얼마나 대응해야 하는지에서 그들이 개인정보의 위치를 얼마나 명확하고 신속하게 밝힐 수 있는지로 크게 ...
그 어느 때보다 지능형 지속 공격(advanced persistent threat, APT) 해커 및 악성코드가 기승을 부리고 있다. 수법도 더욱 교묘해졌다. APT 전문 해커들은 정부 기관이나 관련 산업에 고용되어 의뢰받은 기업과 타깃 해킹을 생업으로 삼는 이들이다. ...
2018.04.30
방금 전, 자사에서 글로벌 고객 개인정보가 유출되는 침해 사건이 발생했음을 인지했다. 만약 지금이 5월 25일 이후라면, EU의 일반데이터보호규정(GDPR)을 준수하기 위해 72시간 이내에 이 침해 사건을 보고해야 한다. 시간이 촉박하다는 의미다. 그렇다면 침해 ...
릴리즈(Release) 사이클을 203일에서 100일로 줄이면서 보안을 강화하고 싶나? 미국 국책 주택담보금융공사인 패니메(Fannie Mae)가 해냈다. 개발 서비스 부사장 마이클 가르시아는 낭비를 최소화하면서 고객 가치 극대화에 초점을 둔 품질 개선 철학인 린(Le ...
지난 수십 년간 해커와 이들이 개발해 사용하는 악성코드의 수가 급증했다. 컴퓨터가 흰색의 큰 상자였던 시절, 해커들은 이제 막 걸음마를 배우는 단계였다. 그리고 이들이 하는 일은 ‘유치한 장난’에 불과했다. 예를 들면, 컴퓨터 화면에 ‘ ...
2018.04.26
미국 조지아(Georgia) 주가 선의의 사이버 보안 연구를 처벌하는 법안을 추진하고 있다. 관련 사이버 보안 기업들이 반발하고 있다. 현재 주지사 네이썬 딜의 책상 위에 놓여 있는 법안이 있다. '컴퓨터 액세스 법안(SB 315, The Unaut ...
2018.04.24
2005년 10월 4일, 쌀쌀하고 맑은 새벽녘이었다. 아직 잠에서 덜 깬 사람들이 새로운 친구를 찾고자 당시 독보적이었던 소셜 미디어 플랫폼 마이스페이스(MySpace)에 로그인했다. 새미 캠카와 같은 사람들이다. 새미는 친구가 너무 간절했던 나머지 자신의 마이스페이스 ...
2005년 10월 4일의 아침은 춥고 청명하게 밝았다. 세계 어딘가에서는 그랬다. 당시 세계를 지배하던 SNS 플랫폼인 마이스페이스(MySpace)의 사용자는 일어나자마자 잠에서 덜 깬 눈으로 로그인 했다. 새로운 사람과 친구를 맺기 위해서다. 그 중 한 명이 새미 캄 ...
2018.04.23
사이버 사고 대응(incident response)을 위한 기준이 있다. SANS 교육을 받은 사람에게는 친숙한 6단계가 바로 그것이다. 준비(preparation), 식별(identification), 봉쇄(containment), 박멸(eradication), ...
2018.04.18
세계 최대 보안 컨퍼런스 RSA가 최근 미국 샌프란시스코에서 열렸다. 사이버공격에 맞서는 최신 기술 동향을 확인할 수 있었다. 전시장에서는 기업의 중요한 자산을 보호하는 최신 하드웨어와 소프트웨어 제품이 공개됐다. 이번 RSA 2018 행사에서 공개된 신제품을 모았다. ...
2018.04.18
"소셜엔지니어링, 인간의 어리석음에 대해서는 패치가 없다"는 말을 알 것이다. 제이슨 스트리트는 이 문구에 대해 "절대적으로 맞다"고 말했다. 데프콘(DEF CON) 그룹 글로벌 대사이자 스피어NY(SphereNY) 정보보안 부 ...
2013년 10월 21세기 들어 가장 큰 17건의 데이터 유출 사고 중 하나가 발생했다. 3,800만여 명의 어도비 사용자의 3백만 개가 넘는 신용카드 번호와 로그인 정보가 해킹됐다. 어도비는 그 때의 뒷감당을 아직까지 하고 있다. 최근 어도비가 발표한 ‘익 ...
2018.04.16
셸프웨어(shelfware)는 아무도 이야기하고 싶어하지 않는 커다란 보안 문제다. 셸프웨어를 대략 정의하면 사용되지 않거나, 충분히 활용되지 않거나, 잘못 구현되는 기술이다. 많은 최고 정보보안 책임자(CISO)가 알고 있으면서도 애써 무시하는 존재가 바로 셸프웨어다 ...
전 세계 사이버 보안 관계자들이 지난 20년 동안 제조된 대부분 컴퓨터에 영향을 끼치는 보안 결함의 총체인 스펙터(Spectre) 및 멜트다운(Meltdown)과 씨름하면서 소프트웨어 패치의 중요성이 다시 한번 주목받고 있다. 왜냐하면 제공되는 소프 ...
  1. 패치 관리 SW, 무엇이 중요할까? 6가지 고려 사항

  2. 2018.05.04
  3. 오늘날 조직내 사용하는 다양한 소프트웨어 시스템과 IT업체가 발표하는 패치의 양을 고려하면 패치 관리 소프트웨어는 IT환경에서 중요한 기능이다. 잘 맞는 툴을 선택하는 방법을 알아보자. 패치 관리 소프트웨어란? IT부서가 기업 환경에서 실행하는 소프트웨어의 획득, 테스트, 코드 변경 설치에 도움을 주는 소프트웨어가 패치 관리 소프트웨어이다. 또 소프트웨어의 취약점을 평가하고, 패치의 우선순위를 정해 적용하며, 패칭 활동과 상태에 대한 보고...

  4. GDPR에서 정의하는 '개인정보', 어디에 어떻게 저장돼 있나

  5. 2018.05.03
  6. EU의 GDPR(General Data Protection Regulation)로 인해 쟁점이 과거에 얼마나 많은 기업이 데이터 보호에 접근했는지 그리고 그들의 보안팀이 얼마나 대응해야 하는지에서 그들이 개인정보의 위치를 얼마나 명확하고 신속하게 밝힐 수 있는지로 크게 바뀌었다. 기업들이 가장 고심하는 개인정보에 대한 문제이다. GDPR 발효일인 5월 25일까지 한 달도 채 남지 않은 현재 기업 및 기관들은 여전히 온프레미스 및 클라우드에 ...

  7. 기고 | APT로 의심되는 5가지 징후

  8. 2018.04.30
  9. 그 어느 때보다 지능형 지속 공격(advanced persistent threat, APT) 해커 및 악성코드가 기승을 부리고 있다. 수법도 더욱 교묘해졌다. APT 전문 해커들은 정부 기관이나 관련 산업에 고용되어 의뢰받은 기업과 타깃 해킹을 생업으로 삼는 이들이다. 후원자의 이해관계에 부합하도록 중요 정보를 캐내거나, 악성코드를 심거나, 타깃 네트워크 및 컴퓨터에 원할 때마다 잠입할 수 있도록 백도어 프로그램을 설치해 두는 등의 작업을 한다. ...

  10. 데이터 유출 사고 시의 '알림 계획'에 대해 알아야 할 것들

  11. 2018.04.30
  12. 방금 전, 자사에서 글로벌 고객 개인정보가 유출되는 침해 사건이 발생했음을 인지했다. 만약 지금이 5월 25일 이후라면, EU의 일반데이터보호규정(GDPR)을 준수하기 위해 72시간 이내에 이 침해 사건을 보고해야 한다. 시간이 촉박하다는 의미다. 그렇다면 침해 사건이 발생한 이후, EU 규제 기관에 보고하는 절차에 대해 알고 있는가? 고객과 일반 대중에 공개하는 절차는? 많은 기업이 아직 잘 모른다. 지난 3월 정보정책리더십 센터(Centr...

  13. 린 개발이 SW 보안을 개선… 어떻게?

  14. 2018.04.27
  15. 릴리즈(Release) 사이클을 203일에서 100일로 줄이면서 보안을 강화하고 싶나? 미국 국책 주택담보금융공사인 패니메(Fannie Mae)가 해냈다. 개발 서비스 부사장 마이클 가르시아는 낭비를 최소화하면서 고객 가치 극대화에 초점을 둔 품질 개선 철학인 린(Lean)을 높이 평가했다. 이는 일반적으로 제조사와 관련 있는 전략이다. 패니메는 위젯을 만들지 않으며 사용자도 그럴 필요가 없다. 린 정신은 어디에든 적용할 수 있다. 린 사고...

  16. '은행강도부터 핵티비스트까지' 10가지 해커 유형별로 본 위험

  17. 2018.04.26
  18. 지난 수십 년간 해커와 이들이 개발해 사용하는 악성코드의 수가 급증했다. 컴퓨터가 흰색의 큰 상자였던 시절, 해커들은 이제 막 걸음마를 배우는 단계였다. 그리고 이들이 하는 일은 ‘유치한 장난’에 불과했다. 예를 들면, 컴퓨터 화면에 ‘양키 두들’이나 ‘대마초 합법화’ 같은 문구 또는 그림을 표시하는 정도였다. 그러나 컴퓨터가 발전해 ‘경제’가 되면서, 해커들도 순진한...

  19. 선의의 보안 연구도 불법?··· 미국 조지아주 새 법률 '논란'

  20. 2018.04.26
  21. 미국 조지아(Georgia) 주가 선의의 사이버 보안 연구를 처벌하는 법안을 추진하고 있다. 관련 사이버 보안 기업들이 반발하고 있다. 현재 주지사 네이썬 딜의 책상 위에 놓여 있는 법안이 있다. '컴퓨터 액세스 법안(SB 315, The Unauthorized Computer Access Bill)'이다. 선의의 보안 연구를 금지하고 '핵백(Hack Back)' 단체 활동을 허용하는 내용이 포함돼 있다. 조지아...

  22. "공격자와 방어자 모두가 따기 쉬운 열매"··· XSS 공격의 이해

  23. 2018.04.24
  24. 2005년 10월 4일, 쌀쌀하고 맑은 새벽녘이었다. 아직 잠에서 덜 깬 사람들이 새로운 친구를 찾고자 당시 독보적이었던 소셜 미디어 플랫폼 마이스페이스(MySpace)에 로그인했다. 새미 캠카와 같은 사람들이다. 새미는 친구가 너무 간절했던 나머지 자신의 마이스페이스 프로필에 XSS(cross-site scripting) 익스플로잇을 심었다. 새미 웜(Samy worm)이라는 이름으로 불리게 된 이 자바스크립트는 방문자와 자동으로 친구를 맺고 &...

  25. "공격은 쉽고 방어는 더 쉽다"··· 크로스 사이트 스크립팅의 이해

  26. 2018.04.23
  27. 2005년 10월 4일의 아침은 춥고 청명하게 밝았다. 세계 어딘가에서는 그랬다. 당시 세계를 지배하던 SNS 플랫폼인 마이스페이스(MySpace)의 사용자는 일어나자마자 잠에서 덜 깬 눈으로 로그인 했다. 새로운 사람과 친구를 맺기 위해서다. 그 중 한 명이 새미 캄카였다. 더 많은 친구를 원한 그는 자신의 마이스페이스 프로필에 크로스 사이트 스크립팅(XSS) 악성코드를 심었다. 지금은 '새미 웜(Samy worm)'이라고 ...

  28. 대부분의 조직이 놓치는 사고 대응 단계 두 가지

  29. 2018.04.23
  30. 사이버 사고 대응(incident response)을 위한 기준이 있다. SANS 교육을 받은 사람에게는 친숙한 6단계가 바로 그것이다. 준비(preparation), 식별(identification), 봉쇄(containment), 박멸(eradication), 복구(recovery), 그리고 교훈(lessons)으로 이어지는 이 6단계는 기업이 상황을 관리하고 피해와 복구 시간을 최소화하는 데 도움이 되도록 작성된 기본 원칙을 정의한 것이다. ...

  31. RSA 2018 컨퍼런스에서 공개된 최신 보안 제품 17선

  32. 2018.04.18
  33. 세계 최대 보안 컨퍼런스 RSA가 최근 미국 샌프란시스코에서 열렸다. 사이버공격에 맞서는 최신 기술 동향을 확인할 수 있었다. 전시장에서는 기업의 중요한 자산을 보호하는 최신 하드웨어와 소프트웨어 제품이 공개됐다. 이번 RSA 2018 행사에서 공개된 신제품을 모았다. 이중에는 처음 공개된 제품도 있다. 사이버시큐리티 에셋 매니지먼트 플랫폼(Cybersecurity Asset Management Platform, Axonius) 핵심 기능...

  34. "인간을 패치해야 할 때가 왔다"··· 소셜 엔지니어링 대응법

  35. 2018.04.18
  36. "소셜엔지니어링, 인간의 어리석음에 대해서는 패치가 없다"는 말을 알 것이다. 제이슨 스트리트는 이 문구에 대해 "절대적으로 맞다"고 말했다. 데프콘(DEF CON) 그룹 글로벌 대사이자 스피어NY(SphereNY) 정보보안 부사장 제이슨 스트리트는 수년 동안 보안 분야에 종사하는 사람들조차도 일부는 소셜 엔지니어링에 대해 배운 것보다 많은 것을 잊어버렸다고 말했다. 이는 허풍이 아니라 실존하는 위협이다. ...

  37. 대형 해킹 사고 이후 어도비가 보안 책임자를 '승진' 시킨 이유

  38. 2018.04.16
  39. 2013년 10월 21세기 들어 가장 큰 17건의 데이터 유출 사고 중 하나가 발생했다. 3,800만여 명의 어도비 사용자의 3백만 개가 넘는 신용카드 번호와 로그인 정보가 해킹됐다. 어도비는 그 때의 뒷감당을 아직까지 하고 있다. 최근 어도비가 발표한 ‘익스피리언스 클라우드(Experience Cloud)’ 기능은 보안에 전보다 더 중점을 두겠다는 어도비의 의지를 보여준다. 어도비의 CSO 브래드 아킨은 CSO와의 인터뷰에서...

  40. 보안 셸프웨어 문제와 이를 중단하는 방법

  41. 2018.04.16
  42. 셸프웨어(shelfware)는 아무도 이야기하고 싶어하지 않는 커다란 보안 문제다. 셸프웨어를 대략 정의하면 사용되지 않거나, 충분히 활용되지 않거나, 잘못 구현되는 기술이다. 많은 최고 정보보안 책임자(CISO)가 알고 있으면서도 애써 무시하는 존재가 바로 셸프웨어다. 오스터만 리서치(Osterman Research)가 트러스트웨이브(Trustwave)의 후원을 받아 2015년도에 실시한 설문조사를 보면, 이 문제가 얼마나 심각한지 알 수 있다....

  43. '패치만 잘해줬어도…' 관리 프로세스 6단계

  44. 2018.04.13
  45. 전 세계 사이버 보안 관계자들이 지난 20년 동안 제조된 대부분 컴퓨터에 영향을 끼치는 보안 결함의 총체인 스펙터(Spectre) 및 멜트다운(Meltdown)과 씨름하면서 소프트웨어 패치의 중요성이 다시 한번 주목받고 있다. 왜냐하면 제공되는 소프트웨어 패치가 결함을 해결할 수 있기 때문이다. 단, 칩 성능은 희생해야 한다. 오늘의 상황은 워너크라이(WannaCry)와 페티야(Petya) 랜섬웨어에 대한 작년의 이야기가 반...

X