2013.02.22

기업 51%, “인증서와 암호화 키 몇 개인지 몰라”

John E Dunn | Techworld
암호화와 디지털 인증이 위험하다.
 
대기업들이 사이버공격의 위험에 많이 노출돼 우왕좌왕하는 가운데 암호화 키와 디지털 인증서 같은 트러스트 자산을 관리하는데 어려움을 겪고 있는 것으로 조사됐다. 이 조사는 보안 관리 베나피(Venafi)가 후원하고 페노몬(Penomon)이 미국, 독일, 영국, 호주, 프랑스의 2,342명의 운영관리자들을 대상으로 진행했다.

페노몬의 ‘실패한 트러스트의 비용’이라는 보고서에서 “얼마나 많은 암호화 키와 인증서를 사용하는지 알지 못한다”고 답한 운영관리자가 51%로 나타났다. 암호화 키와 인증서 수를 정확히 파악할 수 있다고 답한 사람들은 회사에서 평균 1만 7,807개를 관리하는 것으로 집계됐다.

기업의 18%는 향후 2년 동안 기존의 취약한 키 저장이나 관리에 맞춘 기본 공격에 피해를 입을 수 가능성이 있다고 답했다. 이들은 특히 클라우드 서비스로 연결하는 데 쓰이는 시큐어 쉘(SSH) 키의 사용에 대해 불안해 하는 것으로 나타났다.

3%는 SSH 키 도난을, 5%는 서버 키 도난을, 7%는 사람이 중간에 개입해 인증 기관을 위태롭게 하는 공격에 대해 각각 우려하는 것으로 조사됐다.

조사에 응한 모든 기업들은 지난 2년 동안 트러스트 인프라를 관리하고 제어에 실패함으로써 부정적인 영향을 받았다고 답했다.

이 비용을 산출하는데 많은 논란이 있지만 페노몬은 크게 보고 있다.

인증서와 키 자산에서 산출한 전체 재무적인 위험은, 이 인프라의 실제 보안 사고에서 발생한 실비용을 최대로 했을 때 4억 달러에 이르는 것으로 페노몬은 추산했다.

"사이버 범죄자들이 트러스트를 제어할 수 있는 능력이 얼마나 쉽게 공격받을 수 있다는 것을 잘 알고 있다. 그 결과, 그들은 키와 인증서 관리를 대상으로 계속 공격하고 있다"라고 베나피의 CEO 제프 허드슨은 말했다.

"이러한 사고들은 예기치 못한 중단, 생산성 손실, 브랜드 손상, 데이터 유출을 일으키면서 대혼란을 야기한다. 현재까지 금융에 미치는 영향, 과제의 범위, 업계의 인식은 정량화해서 나타내지 못할 뿐이다"라고 허드슨은 강조했다

베나피는 애매한 문제나 전혀 신뢰할 수 있는 관리를 해결할 수 있다고 하는 시스템들을 판매하고 있지만, 허드슨은 이 보고서에서 보안의 이면인 트러스트 자산에 대해 지적했다.

이러한 자산의 보안은 인프라가 쉽게 공격받을 수 있다는 점과 신뢰(trust)라는 단어 때문에 간단하게 가정할 수 있는 것처럼 보인다.  

분명 범죄자들은 특히 디지털 인증서를 이용하려고 시도하고 있으며 실제로 2011년 인증기관을 공격한 적이 있다. ciokr@idg.co.kr



2013.02.22

기업 51%, “인증서와 암호화 키 몇 개인지 몰라”

John E Dunn | Techworld
암호화와 디지털 인증이 위험하다.
 
대기업들이 사이버공격의 위험에 많이 노출돼 우왕좌왕하는 가운데 암호화 키와 디지털 인증서 같은 트러스트 자산을 관리하는데 어려움을 겪고 있는 것으로 조사됐다. 이 조사는 보안 관리 베나피(Venafi)가 후원하고 페노몬(Penomon)이 미국, 독일, 영국, 호주, 프랑스의 2,342명의 운영관리자들을 대상으로 진행했다.

페노몬의 ‘실패한 트러스트의 비용’이라는 보고서에서 “얼마나 많은 암호화 키와 인증서를 사용하는지 알지 못한다”고 답한 운영관리자가 51%로 나타났다. 암호화 키와 인증서 수를 정확히 파악할 수 있다고 답한 사람들은 회사에서 평균 1만 7,807개를 관리하는 것으로 집계됐다.

기업의 18%는 향후 2년 동안 기존의 취약한 키 저장이나 관리에 맞춘 기본 공격에 피해를 입을 수 가능성이 있다고 답했다. 이들은 특히 클라우드 서비스로 연결하는 데 쓰이는 시큐어 쉘(SSH) 키의 사용에 대해 불안해 하는 것으로 나타났다.

3%는 SSH 키 도난을, 5%는 서버 키 도난을, 7%는 사람이 중간에 개입해 인증 기관을 위태롭게 하는 공격에 대해 각각 우려하는 것으로 조사됐다.

조사에 응한 모든 기업들은 지난 2년 동안 트러스트 인프라를 관리하고 제어에 실패함으로써 부정적인 영향을 받았다고 답했다.

이 비용을 산출하는데 많은 논란이 있지만 페노몬은 크게 보고 있다.

인증서와 키 자산에서 산출한 전체 재무적인 위험은, 이 인프라의 실제 보안 사고에서 발생한 실비용을 최대로 했을 때 4억 달러에 이르는 것으로 페노몬은 추산했다.

"사이버 범죄자들이 트러스트를 제어할 수 있는 능력이 얼마나 쉽게 공격받을 수 있다는 것을 잘 알고 있다. 그 결과, 그들은 키와 인증서 관리를 대상으로 계속 공격하고 있다"라고 베나피의 CEO 제프 허드슨은 말했다.

"이러한 사고들은 예기치 못한 중단, 생산성 손실, 브랜드 손상, 데이터 유출을 일으키면서 대혼란을 야기한다. 현재까지 금융에 미치는 영향, 과제의 범위, 업계의 인식은 정량화해서 나타내지 못할 뿐이다"라고 허드슨은 강조했다

베나피는 애매한 문제나 전혀 신뢰할 수 있는 관리를 해결할 수 있다고 하는 시스템들을 판매하고 있지만, 허드슨은 이 보고서에서 보안의 이면인 트러스트 자산에 대해 지적했다.

이러한 자산의 보안은 인프라가 쉽게 공격받을 수 있다는 점과 신뢰(trust)라는 단어 때문에 간단하게 가정할 수 있는 것처럼 보인다.  

분명 범죄자들은 특히 디지털 인증서를 이용하려고 시도하고 있으며 실제로 2011년 인증기관을 공격한 적이 있다. ciokr@idg.co.kr

X