2014.07.02

보안 예산, 적소에 투입되고 있을까?

Thor Olavsrud | CIO

온라인 판매기업들이 IT보안에 쏟는 예산은 어마어마하다. 그러나 대다수의 전문가들은 예산과 노력을 정작 투입해야 할 분야가 따로 있다고 지적한다.

타깃(Target)에서 니만 마커스(Neiman Marcus), 마이클스(Michael's)… 지난 해 수 많은 온라인 판매기업의 데이터 유출 소식이 뉴스 헤드라인을 달궜다.

타깃의 경우에는 4,000만 건의 신용 카드 정보와 7,000만의 개인 신원 정보(PII) 데이터베이스 기록이 유출됐고 결국 기업의 CIO와 CEO가 사임하는 결과로 이어졌다. 여기에서 한 가지 의문이 든다, 기업들이 진행하는 보안 활동들이, 모두 올바른 방향으로 이뤄지고 있다고 할 수 있을까?

이번 달 프라이버시 및 보안 연구 기관 포네몬 인스티튜트(Ponemon Institute)와 데이터베이스 보안 전문 업체 DB 네트웍스(DB Networks)가 배포한 한 연구에 따르면 대다수의 보안 전문가들은 이러한 공격들의 주요 요소로 전통적인 SQL 주입 테크닉을 꼽고 있었다.

SQL 주입은 1998년을 기점으로 널리 알려지기 시작한 공격 기법으로, 실행이 가능한 형태장(form field)이나 URI 스템(URI stem), 쿠키에 악성 SQL 구문을 주입함으로써 데이터베이스에 연결된 웹 애플리케이션의 취약점을 공격하는 방식으로 이뤄진다.

취약 애플리케이션에 의한 프로세싱은 데이터베이스에 악성 SQL(rogue SQL) 구문의 문제를 야기하게 되고, 이로 인해 일반적으로 접근 권한이 부여되지 않는 콘텐츠로의 접근과 그것의 변경, 제거가 발생할 수 있다. 극단적인 경우에는 SQL 주입을 통해 공격자가 데이터베이스가 위치하는 서버의 통제권을 획득하는 것 역시 가능하다.

SQL 주입은 여전히 존재하며 위협적이다
포네몬 인스티튜트를 설립하고 현재는 회장으로 재직 중인 레리 포네몬은 “SQL 주입은 언제라도 온라인 판매기업들을 공격할 수 있는 요소다. 이는 오랜 기간 시장의 기업들을 괴롭혀왔고, 취약성 중 일부는 도구의 부족으로 인한 것이 아니다”라고 분석했다.

포네몬 인스티튜트의 DB 네트웍스는 595명의 IT 및 IT 보안 전문가들을 대상으로 설문을 진행했고 그 결과를 ‘SQL 주입 위협과 최근의 소매 유출들(The SQL Injection Threat & Recent Retail Breaches)’이라는 제목의 보고서로 이번 달 발표했다.

응답자의 대다수는 자신들이 악성 SQL 구문을 감지하는 핵심 침입 감지 시스템(IDS, Intrusion Detection System) 테크놀로지에 익숙하다고 응답했다. 또 69%의 응답자는 자신들의 기업이 지불 카드 산업 데이터 보안 표준(PCI DSS, Payment Card Industry Data Security Standard)의 준수를 요구 받고 있다고 응답했다.

지난 12개월 이내에 SQL 주입 공격을 경험했고 그것이 자신들의 주변 경계망을 뚫고 들어왔음을 보고한 기업은 전체의 65%였고, 49%는 이러한 SQL 주입 위협이 오늘날 그들이 직면한 주요한 위협 중 하나라고 여기고 있었다.

SQL 주입 공격이나 타깃이 겪은 거대 유출 사고 등을 예방할 최선의 방법론을 묻는 질문에 전문가들 가운데 다수(65%)는 데이터베이스 네트워크의 지속적인 모니터링의 중요성을 강조했으며, 2위(56%)는 고급 데이터베이스 활동 모니터링이라는 응답이, 그리고 데이터베이스 암호화(49%)가 그 뒤를 이었다.

하지만 그들의 IT 보안 예산에 관한 문항에서는 상당한 비중(40%)이 네트워크 보안에 할당되는 모습이 확인됐고 웹 서버 보안과 데이터베이스 보안에 투입되는 예산은 각각 23%, 19%에 불과했다.




2014.07.02

보안 예산, 적소에 투입되고 있을까?

Thor Olavsrud | CIO

온라인 판매기업들이 IT보안에 쏟는 예산은 어마어마하다. 그러나 대다수의 전문가들은 예산과 노력을 정작 투입해야 할 분야가 따로 있다고 지적한다.

타깃(Target)에서 니만 마커스(Neiman Marcus), 마이클스(Michael's)… 지난 해 수 많은 온라인 판매기업의 데이터 유출 소식이 뉴스 헤드라인을 달궜다.

타깃의 경우에는 4,000만 건의 신용 카드 정보와 7,000만의 개인 신원 정보(PII) 데이터베이스 기록이 유출됐고 결국 기업의 CIO와 CEO가 사임하는 결과로 이어졌다. 여기에서 한 가지 의문이 든다, 기업들이 진행하는 보안 활동들이, 모두 올바른 방향으로 이뤄지고 있다고 할 수 있을까?

이번 달 프라이버시 및 보안 연구 기관 포네몬 인스티튜트(Ponemon Institute)와 데이터베이스 보안 전문 업체 DB 네트웍스(DB Networks)가 배포한 한 연구에 따르면 대다수의 보안 전문가들은 이러한 공격들의 주요 요소로 전통적인 SQL 주입 테크닉을 꼽고 있었다.

SQL 주입은 1998년을 기점으로 널리 알려지기 시작한 공격 기법으로, 실행이 가능한 형태장(form field)이나 URI 스템(URI stem), 쿠키에 악성 SQL 구문을 주입함으로써 데이터베이스에 연결된 웹 애플리케이션의 취약점을 공격하는 방식으로 이뤄진다.

취약 애플리케이션에 의한 프로세싱은 데이터베이스에 악성 SQL(rogue SQL) 구문의 문제를 야기하게 되고, 이로 인해 일반적으로 접근 권한이 부여되지 않는 콘텐츠로의 접근과 그것의 변경, 제거가 발생할 수 있다. 극단적인 경우에는 SQL 주입을 통해 공격자가 데이터베이스가 위치하는 서버의 통제권을 획득하는 것 역시 가능하다.

SQL 주입은 여전히 존재하며 위협적이다
포네몬 인스티튜트를 설립하고 현재는 회장으로 재직 중인 레리 포네몬은 “SQL 주입은 언제라도 온라인 판매기업들을 공격할 수 있는 요소다. 이는 오랜 기간 시장의 기업들을 괴롭혀왔고, 취약성 중 일부는 도구의 부족으로 인한 것이 아니다”라고 분석했다.

포네몬 인스티튜트의 DB 네트웍스는 595명의 IT 및 IT 보안 전문가들을 대상으로 설문을 진행했고 그 결과를 ‘SQL 주입 위협과 최근의 소매 유출들(The SQL Injection Threat & Recent Retail Breaches)’이라는 제목의 보고서로 이번 달 발표했다.

응답자의 대다수는 자신들이 악성 SQL 구문을 감지하는 핵심 침입 감지 시스템(IDS, Intrusion Detection System) 테크놀로지에 익숙하다고 응답했다. 또 69%의 응답자는 자신들의 기업이 지불 카드 산업 데이터 보안 표준(PCI DSS, Payment Card Industry Data Security Standard)의 준수를 요구 받고 있다고 응답했다.

지난 12개월 이내에 SQL 주입 공격을 경험했고 그것이 자신들의 주변 경계망을 뚫고 들어왔음을 보고한 기업은 전체의 65%였고, 49%는 이러한 SQL 주입 위협이 오늘날 그들이 직면한 주요한 위협 중 하나라고 여기고 있었다.

SQL 주입 공격이나 타깃이 겪은 거대 유출 사고 등을 예방할 최선의 방법론을 묻는 질문에 전문가들 가운데 다수(65%)는 데이터베이스 네트워크의 지속적인 모니터링의 중요성을 강조했으며, 2위(56%)는 고급 데이터베이스 활동 모니터링이라는 응답이, 그리고 데이터베이스 암호화(49%)가 그 뒤를 이었다.

하지만 그들의 IT 보안 예산에 관한 문항에서는 상당한 비중(40%)이 네트워크 보안에 할당되는 모습이 확인됐고 웹 서버 보안과 데이터베이스 보안에 투입되는 예산은 각각 23%, 19%에 불과했다.


X