2018.05.16
영국 정부가 사물인터넷(IoT) 보안을 강화하는 새로운 정책 초안을 내놨지만 그 실효성에 대한 논란이 커지고 있다. 사용자에 의해 발생할 수 있는 위험을 간과하고 있기 때문이다. 새 IoT 보안 정책 초안은 '계획된 보안(Secure by Desig ...
아이폰의 보안 메커니즘을 우회할 수 있는 두 회사의 기술이 여러 경찰 및 정보 당국에 절찬리에 판매되고 있다. 또 아이폰 암호화 크래킹 하드웨어에 대한 법 집행 기관들의 이러한 관심이 아이폰이 모바일 보안 측면에서 그리 우위에 있지 않다는 강력한 증거로 풀이되고 있다. ...
2018.04.26
미국 조지아(Georgia) 주가 선의의 사이버 보안 연구를 처벌하는 법안을 추진하고 있다. 관련 사이버 보안 기업들이 반발하고 있다. 현재 주지사 네이썬 딜의 책상 위에 놓여 있는 법안이 있다. '컴퓨터 액세스 법안(SB 315, The Unaut ...
2005년 10월 4일의 아침은 춥고 청명하게 밝았다. 세계 어딘가에서는 그랬다. 당시 세계를 지배하던 SNS 플랫폼인 마이스페이스(MySpace)의 사용자는 일어나자마자 잠에서 덜 깬 눈으로 로그인 했다. 새로운 사람과 친구를 맺기 위해서다. 그 중 한 명이 새미 캄 ...
2018.04.23
사물인터넷(IoT) 기기를 기업 네트워크에 연결할 때 많은 보안 취약점이 발생한다는 것은 이미 널리 알려져 있다. 여기 이런 실수 대부분을 피할 수 있는 간단한 팁을 제시한다. OTA(Online Trust Alliance)가 조언하는 이 10가지 팁은 기 ...
2018.04.18
세계 최대 보안 컨퍼런스 RSA가 최근 미국 샌프란시스코에서 열렸다. 사이버공격에 맞서는 최신 기술 동향을 확인할 수 있었다. 전시장에서는 기업의 중요한 자산을 보호하는 최신 하드웨어와 소프트웨어 제품이 공개됐다. 이번 RSA 2018 행사에서 공개된 신제품을 모았다. ...
2018.04.09
사이버 위협을 막아내려는 보안 관리자라면 '게임화'(Gamification)에 주목해야 할 이유가 있다. 맥아피의 새로운 보고서는 게임화가 사이버 범죄자들로부터 직장을 방어할 수 있도록 해주는 탁월한 도구라고 진단했다. 맥아피 보고서는 "거 ...
2018.04.05
사물인터넷(IoT) 보안은 오늘날 IT 분야에서 가장 심각한 문제 중 하나다. 전 세계 금융 거래와 프라이버시는 물론 현대 사회의 기본 근간을 위협한다. 이런 가운데 최근 조지아 공대의 전자 컴퓨터 공학과 연구팀이 IoT 해커에 대응하는 최신 보안취약점 방어 시스 ...
페드람프(FedRAMP, 연방 위험 및 인증 관리 프로그램)는 클라우드 제품 및 서비스가 미국 연방 정부 기관이 사용하기에 안전한지 인증하는 연방 보안 인증 프로그램이다. 페드람프 인증 절차와 과정은 복잡하지만 일단 인증을 받으면 많은 혜택을 누릴 수 있다. 예를 들면 ...
새로운 기술은 새로운 유행어를 만든다. 클라우드, 패브릭(Fabric), 비트코인(Bitcoin), 블록체인(Blockchain), 컨테이너(Container), 마이크로서비스(Microservice) 등이 그렇다. 인공지능(Artificial Intelligen ...
필자를 포함해 많은 컴퓨터 보안 전문가가 머지 않아 컴퓨터 보안은 기계 대 기계의 싸움이 될 것으로 전망한다. 인간의 손을 떠나 착한 기계와 나쁜 기계 간의 '자동화 된' 전쟁이 된다는 의미다. 일부는 우리가 이미 이 단계에 거의 근접했다고 분석한다. 그 ...
2018.03.22
최근 국가 단위로 추정되는 악성코드 공격으로 중동의 한 중요 인프라 시설이 중단된 사건이 발생했다. 이를 계기로 새로운 사이버 위협에 취약하다고 널리 인식된 ICS(Industrial Control Systems, 산업 제어 시스템)에 대한 우려가 더 커졌다. 많은 보 ...
클라우드, 패브릭, 비트코인, 블록체인, 컨테이너, 마이크로서비스 등 새로운 기술은 새로운 유행어를 만들어 낸다. 인공 지능(AI)이라는 기술 및 용어 역시 10년도 더 전부터 있었던 것이지만 유행어가 된 것은 최근이다. 그러나, 유감스럽게도 일부 업체는 ...
SQL 인젝션(SQL injection, SQLi)은 웹 애플리케이션 데이터베이스를 완전히 통제할 수 있는, 비교적 단순한 웹 애플리케이션 보안 공격이다. 1998년에 처음 발견된 이후 현재까지 인터넷에서 웹 애플리케이션을 괴롭히고 있다. 심지어 OWASP(The Op ...
IT 인프라를 업데이트하기 위해 고생하고 있다면, 보안에 있어서는 새로운 패치, 새로운 암호화 기법과, 새로운 하드웨어 등 새로운 것이 더 좋다고 생각할지 모른다. 하지만 '기본'은 변하지 않는다. 예를 들어, 콘트라스트 시큐리티(Contrast Secu ...
  1. '사용자 빠진 IoT 보안 대책?'··· 영국 정부의 새 정책 '논란'

  2. 2018.05.16
  3. 영국 정부가 사물인터넷(IoT) 보안을 강화하는 새로운 정책 초안을 내놨지만 그 실효성에 대한 논란이 커지고 있다. 사용자에 의해 발생할 수 있는 위험을 간과하고 있기 때문이다. 새 IoT 보안 정책 초안은 '계획된 보안(Secure by Design)'이라는 제목의 정책집에 실려 있다. 이 정책집에는 기기와 서비스에 대한 기본설정 암호를 피하고, 보안 취약점 공개를 의무화하며 지속적인 소프트웨어 업데이트를 제공하는 등의 가이...

  4. 아이폰 보안 해제 기술, 정부 기관들이 잇달아 구매 중··· 공급사 2곳

  5. 2018.05.10
  6. 아이폰의 보안 메커니즘을 우회할 수 있는 두 회사의 기술이 여러 경찰 및 정보 당국에 절찬리에 판매되고 있다. 또 아이폰 암호화 크래킹 하드웨어에 대한 법 집행 기관들의 이러한 관심이 아이폰이 모바일 보안 측면에서 그리 우위에 있지 않다는 강력한 증거로 풀이되고 있다. J. 골드 어쏘시에이츠의 잭 골드 수석 애널리스트는 "모든 커뮤니케이션 도구가 완전히 안전하다고 자신해서는 안 된다는 사실을 의미한다. 물론 보안은 항상 지키는 자와 공격...

  7. 선의의 보안 연구도 불법?··· 미국 조지아주 새 법률 '논란'

  8. 2018.04.26
  9. 미국 조지아(Georgia) 주가 선의의 사이버 보안 연구를 처벌하는 법안을 추진하고 있다. 관련 사이버 보안 기업들이 반발하고 있다. 현재 주지사 네이썬 딜의 책상 위에 놓여 있는 법안이 있다. '컴퓨터 액세스 법안(SB 315, The Unauthorized Computer Access Bill)'이다. 선의의 보안 연구를 금지하고 '핵백(Hack Back)' 단체 활동을 허용하는 내용이 포함돼 있다. 조지아...

  10. "공격은 쉽고 방어는 더 쉽다"··· 크로스 사이트 스크립팅의 이해

  11. 2018.04.23
  12. 2005년 10월 4일의 아침은 춥고 청명하게 밝았다. 세계 어딘가에서는 그랬다. 당시 세계를 지배하던 SNS 플랫폼인 마이스페이스(MySpace)의 사용자는 일어나자마자 잠에서 덜 깬 눈으로 로그인 했다. 새로운 사람과 친구를 맺기 위해서다. 그 중 한 명이 새미 캄카였다. 더 많은 친구를 원한 그는 자신의 마이스페이스 프로필에 크로스 사이트 스크립팅(XSS) 악성코드를 심었다. 지금은 '새미 웜(Samy worm)'이라고 ...

  13. IoT 보안 취약점을 줄이는 기본 팁 10가지

  14. 2018.04.23
  15. 사물인터넷(IoT) 기기를 기업 네트워크에 연결할 때 많은 보안 취약점이 발생한다는 것은 이미 널리 알려져 있다. 여기 이런 실수 대부분을 피할 수 있는 간단한 팁을 제시한다. OTA(Online Trust Alliance)가 조언하는 이 10가지 팁은 기업이 IoT 기술을 이용할 때 유용하다. 보안 위협에 더 안전한 기업 인프라를 만들 수 있다. 이 팁은 주로 보안이 취약한 기기를 인식하고 이에 대한 접속을 최소화하는 데 초점을 맞추고 있...

  16. RSA 2018 컨퍼런스에서 공개된 최신 보안 제품 17선

  17. 2018.04.18
  18. 세계 최대 보안 컨퍼런스 RSA가 최근 미국 샌프란시스코에서 열렸다. 사이버공격에 맞서는 최신 기술 동향을 확인할 수 있었다. 전시장에서는 기업의 중요한 자산을 보호하는 최신 하드웨어와 소프트웨어 제품이 공개됐다. 이번 RSA 2018 행사에서 공개된 신제품을 모았다. 이중에는 처음 공개된 제품도 있다. 사이버시큐리티 에셋 매니지먼트 플랫폼(Cybersecurity Asset Management Platform, Axonius) 핵심 기능...

  19. "보안 담당자, '게임화'에 주목할 이유 있다" 맥아피 보고서

  20. 2018.04.09
  21. 사이버 위협을 막아내려는 보안 관리자라면 '게임화'(Gamification)에 주목해야 할 이유가 있다. 맥아피의 새로운 보고서는 게임화가 사이버 범죄자들로부터 직장을 방어할 수 있도록 해주는 탁월한 도구라고 진단했다. 맥아피 보고서는 "거의 모든 사람들(96%)이 혜택을 보고하고 있다"라고 밝혔다. 직장에서 게임화는 주로 해커톤, 레드팀-블루팀, 버그 현상금 프로그램 등의 형태가 일반적이다. 보고서는 &quo...

  22. '해킹 성공한 것처럼' 해커 속이는 IoT 보안 로봇

  23. 2018.04.05
  24. 사물인터넷(IoT) 보안은 오늘날 IT 분야에서 가장 심각한 문제 중 하나다. 전 세계 금융 거래와 프라이버시는 물론 현대 사회의 기본 근간을 위협한다. 이런 가운데 최근 조지아 공대의 전자 컴퓨터 공학과 연구팀이 IoT 해커에 대응하는 최신 보안취약점 방어 시스템을 개발했다. '허니봇(HoneyBot)'이라는 이름의 이 시스템은 외형이 특이하다. 마치 영화 '조니 5 파괴 작전' 속 조니 5와 비슷하게 생겼다. 이 로...

  25. 미국 공공 클라우드의 시작과 끝··· '페드람프' 보안 인증의 이해

  26. 2018.04.04
  27. 페드람프(FedRAMP, 연방 위험 및 인증 관리 프로그램)는 클라우드 제품 및 서비스가 미국 연방 정부 기관이 사용하기에 안전한지 인증하는 연방 보안 인증 프로그램이다. 페드람프 인증 절차와 과정은 복잡하지만 일단 인증을 받으면 많은 혜택을 누릴 수 있다. 예를 들면, 민간 부문 고객에게도 보안이 우수한 제품과 서비스임을 강조할 수 있다. 페드람프(FedRAMP)란 엄격히 말해, 페드람프는 위험 관리 프로그램이다. 2011년, 어지럽게 ...

  28. 칼럼 | 보안 분야의 AI 마케팅··· '룰 엔진'이 아니고?

  29. 2018.03.28
  30. 새로운 기술은 새로운 유행어를 만든다. 클라우드, 패브릭(Fabric), 비트코인(Bitcoin), 블록체인(Blockchain), 컨테이너(Container), 마이크로서비스(Microservice) 등이 그렇다. 인공지능(Artificial Intelligence, AI)은 하나의 기술이자 용어로 수십 년 동안 사용됐지만 최근에야 유행하기 시작했다. 안타깝게도 일부 업체들은 실질적인 AI 없이 이 유행어에 자사의 제품을 연계시키고 있다. 아니면...

  31. 칼럼 | 보안의 미래, 결국 ‘기계 vs. 기계’ 싸움이다

  32. 2018.03.22
  33. 필자를 포함해 많은 컴퓨터 보안 전문가가 머지 않아 컴퓨터 보안은 기계 대 기계의 싸움이 될 것으로 전망한다. 인간의 손을 떠나 착한 기계와 나쁜 기계 간의 '자동화 된' 전쟁이 된다는 의미다. 일부는 우리가 이미 이 단계에 거의 근접했다고 분석한다. 그러나 필자는 (다행인지 불행인지 모르지만) 완벽하게 자동화, 기계화 된 보안은 꽤 많은 시간이 흐른 후에야 가능할 것이라고 생각한다. 현재의 컴퓨터 보안 수준 오늘날 컴퓨터 ...

  34. 산업 제어 시스템 보안을 위한 필수 질문 8가지

  35. 2018.03.22
  36. 최근 국가 단위로 추정되는 악성코드 공격으로 중동의 한 중요 인프라 시설이 중단된 사건이 발생했다. 이를 계기로 새로운 사이버 위협에 취약하다고 널리 인식된 ICS(Industrial Control Systems, 산업 제어 시스템)에 대한 우려가 더 커졌다. 많은 보안 전문가가 이번 사건을 ICS를 표적으로 하는 새로운 파괴적 공격이 몰려올 조짐으로 보고, 인프라 운영자가 OT(Operational Technology, 운영기술) 네트워크의 보안을 시...

  37. 칼럼 | 'AI를 가장한 룰 엔진' 여러분의 솔루션은 진짜 AI입니까?

  38. 2018.03.02
  39. 클라우드, 패브릭, 비트코인, 블록체인, 컨테이너, 마이크로서비스 등 새로운 기술은 새로운 유행어를 만들어 낸다. 인공 지능(AI)이라는 기술 및 용어 역시 10년도 더 전부터 있었던 것이지만 유행어가 된 것은 최근이다. 그러나, 유감스럽게도 일부 업체는 실제적인 AI 기술이 없음에도 불구하고 유행한다는 이유로 아무 데나 AI라는 용어를 가져다 붙인다. 이들이 AI가 무엇인지 잘 모르는 것일 수도, 아니면 소비자가 마케팅 팀의 감언이설에 넘...

  40. '웹 보안의 시작과 끝' SQL 인젝션의 정의와 대응방법

  41. 2018.02.28
  42. SQL 인젝션(SQL injection, SQLi)은 웹 애플리케이션 데이터베이스를 완전히 통제할 수 있는, 비교적 단순한 웹 애플리케이션 보안 공격이다. 1998년에 처음 발견된 이후 현재까지 인터넷에서 웹 애플리케이션을 괴롭히고 있다. 심지어 OWASP(The Open Web Application Security Project)의 보안 위협 순위 톱 10을 보면, SQL 인젝션이 웹 애플리케이션 최악의 위협으로 올라와 있다. 다행인 것은...

  43. 지금도 유효한 구시대 보안 원칙 10가지

  44. 2018.02.06
  45. IT 인프라를 업데이트하기 위해 고생하고 있다면, 보안에 있어서는 새로운 패치, 새로운 암호화 기법과, 새로운 하드웨어 등 새로운 것이 더 좋다고 생각할지 모른다. 하지만 '기본'은 변하지 않는다. 예를 들어, 콘트라스트 시큐리티(Contrast Security) 공동 창업자이자 CTO 제프 윌리엄스는 "살처 앤 슈레더(Saltzer & Schroeder)의 1975년 논문 <컴퓨터 시스템의 정보 보호(The Prot...

X