2014.11.24

기고 | "다행이다" 올해 개선된 5가지 보안

Lysa Myers | CSO
우리가 보안에 대해 어떤 점을 감사하게 생각하는 경우는 흔치 않다. 그리고 각각의 보안 전문가들이 내년에 발생할 수 있는 보안 사고들을 예견하는 현 시점에서 필자는 반대로 올 한해 보안에서 어떤 개선점들이 있었는지에 대해 정리해 보고 싶었다. 올해 많은 보안 개선점들을 발견해냈는데, 이 자리를 빌어 최고의 보안 개선 사항 5가지를 꼽아보고자 한다.



윈도우 XP 지원 종료

10년도 더 된 오래된 운영체제를 사용한다는 것은 보안 면에서 불안한 일이다. 윈도우 XP는 높은 인기를 끌었고, 많은 사람들은 여러 보안 문제들에도 XP를 떠나 보내고 싶어하지 않았다. 마이크로소프트는 올 4월 XP의 지원을 공식 중단했다. (느리지만 분명하게) 마침내 이 구식 운영체제에서 떠날 수 있게 됐다. 이 기사를 쓰는 시점에서 XP의 시장 점유율은 드디어 20% 이하로 내려갔고, 웹 활용에서는 단 11%만이 XP 운영체제를 사용하고 있다. 필자는 연말 쇼핑철이 다가옴에 따라 XP의 시장 점유율은 더욱 떨어질 것으로 예측한다.

개선으로 이어진 대형 버그들
일반적으로중대한 취약점 발견은 좋은 소식이 아니다. 하지만 만약 몇 년이나 묵은 버그를 발견해내고 이를 고치게 만들었다면 전체적으로 훌륭한 일이라고 볼 수 있다. 우리는 올해 하트블리드(Heartbleed), 셸쇽(Shellshock), 푸들블리드(Poodlebleed)라는 3가지 특별한 버그들을 찾아냈다. 하트블리드 버그는 가장 최근에 알려진 것으로 3년밖에 되지 않은 것이다. 하지만 셸쇽은 1989년 버전부터 포함되어 있던 것이다. 푸들블리드는 여전히 많이 사용되는 15년된 소프트웨어에서 발견되었다. 이들 취약점들은 상당 기간 동안 존재해왔고 우리는 이 버그들이 알려지기 전에 공격에 얼마나 많이 사용되었는지 알지 못한다. 하지만 이들 사건들이 널리 알려지고 이에 연관된 보도가 이어짐에 따라 수많은 사람들이 심각하게 오래되고 취약한 소프트웨어들을 활용하거나 지원하는 것을 중단했다.

EMV 채택 가속
지난해 미국인의 1/3에 영향을 미친 타겟(Target) 유출 사건은 끔찍한 뉴스였다. 하지만 이 사건의 큰 규모와 EMV 채택을 위한 다가오는 시한 설정 때문에, 사람들의 태도가 두려움에서 열의로 바뀐 것으로 보인다. 지난 10월 백악관은 소비자들의 그들의 구매 카드 데이터를 보호하는데 도움을 주는 툴을 공개한 바이시큐어(BuySecure) 전략을 발표했다. 여기에는 2015년 1월, 즉 데드라인 9개월 전까지 홈데포(Home Depot), 타겟, 월그린(Walgreens), 월마트(Walmart)의 EMV 터미널 활성화 시작 발표도 포함돼 있었다. 하지만 대형 기업들만이 신용카드 데이터 도난의 위험에 처한 것은 아니다. 그러므로 중소형 기업들이 여기에서 제외되는 것을 막기 위해, 지난 7월 스퀘어(Square)는 EMV 카드를 인식하는 자체 인기 카드리더기를 작업 중이라고 발표했다.

신용카드 데이터 토큰화
EMV가 미국에서 40년이 넘게 쓰인 마그네틱선 기술을 개선한 것이지만 완벽하지는 않다. EMV는 이미 도입된 지 15년이 지났고, 판매시점 터미널에서의 보안을 향상시키기는 하지만, 물리적 카드를 잃어버렸을 때 사기 가능성은 여전하다. 온라인과 모바일 결제가 늘어나는 추세에서, 이는 상당한 보안 구멍이 될 수 있다. 하지만 사람들은 EMV를 뛰어넘는 한 차원 높은 결제 카드 보안을 원하고 있다. 지난 2월 22곳의 세계 최대 은행들은 결제 카드 데이터의 토큰화를 제창했다. 그리고 지난 9월 이 기술은 애플이 토큰화 기술을 포함시킨 애플 페이(Apple Pay)를 발표함으로써 큰 힘을 얻게 되었다.

이중 인증 개선
작년은 수많은 주요 사이트와 서비스들이 이중 인증(2Factor Authentication) 기능을 그들의 사용자 계정에 추가한 이중 인증의 한 해였다고 봐도 과언이 아니다. 올해 이 트렌드는 계속해서 속도를 높여가고 있다. 올해 구글과 애플 모두 그들의 인증 방식에 있어서의 개선을 발표했다. 9월 아이클라우드 유출사건 이후 애플은 사용자가 이중인증을 추가한 경우 보호되는 정보 범위를 넓혔다. 10월 구글은 시큐리티 키(Security Key)라는 하드웨어 기기에 대한 지원을 추가했는데, 이는 더욱 강력해진 이중 인증 방식이다.

보안에 대해서 아직 갈 길이 멀기는 하지만 여러 성취들을 인정하는 것 역시 중요하다. 우리가 모두 보안에 대한 끔찍한 사건들만 이야기할 수 있고, 이들 중 많은 수는 그 영향 받은 기업 이외에는 별다른 변화를 이끌어 내지 못하고 지나갔다. 좀 더 많은 사람들이 보안에 대해 알게 되고 보안 부재의 고통을 절감하게 됨에 따라, 이들은 그들의 정보 보호를 위한 더욱 강력한 보안 개선을 요구하고 있는 중이다. 2014년 독자 여러분은 어떤 점에서 다행이라 생각하나?

* Lysa Myers는 보안 연구원이다. ciokr@idg.co.kr



2014.11.24

기고 | "다행이다" 올해 개선된 5가지 보안

Lysa Myers | CSO
우리가 보안에 대해 어떤 점을 감사하게 생각하는 경우는 흔치 않다. 그리고 각각의 보안 전문가들이 내년에 발생할 수 있는 보안 사고들을 예견하는 현 시점에서 필자는 반대로 올 한해 보안에서 어떤 개선점들이 있었는지에 대해 정리해 보고 싶었다. 올해 많은 보안 개선점들을 발견해냈는데, 이 자리를 빌어 최고의 보안 개선 사항 5가지를 꼽아보고자 한다.



윈도우 XP 지원 종료

10년도 더 된 오래된 운영체제를 사용한다는 것은 보안 면에서 불안한 일이다. 윈도우 XP는 높은 인기를 끌었고, 많은 사람들은 여러 보안 문제들에도 XP를 떠나 보내고 싶어하지 않았다. 마이크로소프트는 올 4월 XP의 지원을 공식 중단했다. (느리지만 분명하게) 마침내 이 구식 운영체제에서 떠날 수 있게 됐다. 이 기사를 쓰는 시점에서 XP의 시장 점유율은 드디어 20% 이하로 내려갔고, 웹 활용에서는 단 11%만이 XP 운영체제를 사용하고 있다. 필자는 연말 쇼핑철이 다가옴에 따라 XP의 시장 점유율은 더욱 떨어질 것으로 예측한다.

개선으로 이어진 대형 버그들
일반적으로중대한 취약점 발견은 좋은 소식이 아니다. 하지만 만약 몇 년이나 묵은 버그를 발견해내고 이를 고치게 만들었다면 전체적으로 훌륭한 일이라고 볼 수 있다. 우리는 올해 하트블리드(Heartbleed), 셸쇽(Shellshock), 푸들블리드(Poodlebleed)라는 3가지 특별한 버그들을 찾아냈다. 하트블리드 버그는 가장 최근에 알려진 것으로 3년밖에 되지 않은 것이다. 하지만 셸쇽은 1989년 버전부터 포함되어 있던 것이다. 푸들블리드는 여전히 많이 사용되는 15년된 소프트웨어에서 발견되었다. 이들 취약점들은 상당 기간 동안 존재해왔고 우리는 이 버그들이 알려지기 전에 공격에 얼마나 많이 사용되었는지 알지 못한다. 하지만 이들 사건들이 널리 알려지고 이에 연관된 보도가 이어짐에 따라 수많은 사람들이 심각하게 오래되고 취약한 소프트웨어들을 활용하거나 지원하는 것을 중단했다.

EMV 채택 가속
지난해 미국인의 1/3에 영향을 미친 타겟(Target) 유출 사건은 끔찍한 뉴스였다. 하지만 이 사건의 큰 규모와 EMV 채택을 위한 다가오는 시한 설정 때문에, 사람들의 태도가 두려움에서 열의로 바뀐 것으로 보인다. 지난 10월 백악관은 소비자들의 그들의 구매 카드 데이터를 보호하는데 도움을 주는 툴을 공개한 바이시큐어(BuySecure) 전략을 발표했다. 여기에는 2015년 1월, 즉 데드라인 9개월 전까지 홈데포(Home Depot), 타겟, 월그린(Walgreens), 월마트(Walmart)의 EMV 터미널 활성화 시작 발표도 포함돼 있었다. 하지만 대형 기업들만이 신용카드 데이터 도난의 위험에 처한 것은 아니다. 그러므로 중소형 기업들이 여기에서 제외되는 것을 막기 위해, 지난 7월 스퀘어(Square)는 EMV 카드를 인식하는 자체 인기 카드리더기를 작업 중이라고 발표했다.

신용카드 데이터 토큰화
EMV가 미국에서 40년이 넘게 쓰인 마그네틱선 기술을 개선한 것이지만 완벽하지는 않다. EMV는 이미 도입된 지 15년이 지났고, 판매시점 터미널에서의 보안을 향상시키기는 하지만, 물리적 카드를 잃어버렸을 때 사기 가능성은 여전하다. 온라인과 모바일 결제가 늘어나는 추세에서, 이는 상당한 보안 구멍이 될 수 있다. 하지만 사람들은 EMV를 뛰어넘는 한 차원 높은 결제 카드 보안을 원하고 있다. 지난 2월 22곳의 세계 최대 은행들은 결제 카드 데이터의 토큰화를 제창했다. 그리고 지난 9월 이 기술은 애플이 토큰화 기술을 포함시킨 애플 페이(Apple Pay)를 발표함으로써 큰 힘을 얻게 되었다.

이중 인증 개선
작년은 수많은 주요 사이트와 서비스들이 이중 인증(2Factor Authentication) 기능을 그들의 사용자 계정에 추가한 이중 인증의 한 해였다고 봐도 과언이 아니다. 올해 이 트렌드는 계속해서 속도를 높여가고 있다. 올해 구글과 애플 모두 그들의 인증 방식에 있어서의 개선을 발표했다. 9월 아이클라우드 유출사건 이후 애플은 사용자가 이중인증을 추가한 경우 보호되는 정보 범위를 넓혔다. 10월 구글은 시큐리티 키(Security Key)라는 하드웨어 기기에 대한 지원을 추가했는데, 이는 더욱 강력해진 이중 인증 방식이다.

보안에 대해서 아직 갈 길이 멀기는 하지만 여러 성취들을 인정하는 것 역시 중요하다. 우리가 모두 보안에 대한 끔찍한 사건들만 이야기할 수 있고, 이들 중 많은 수는 그 영향 받은 기업 이외에는 별다른 변화를 이끌어 내지 못하고 지나갔다. 좀 더 많은 사람들이 보안에 대해 알게 되고 보안 부재의 고통을 절감하게 됨에 따라, 이들은 그들의 정보 보호를 위한 더욱 강력한 보안 개선을 요구하고 있는 중이다. 2014년 독자 여러분은 어떤 점에서 다행이라 생각하나?

* Lysa Myers는 보안 연구원이다. ciokr@idg.co.kr

X