사이버보안 전문가의 수요가 지난 10년간 급증하고 있다. 사이버보안 교육 및 인증 협회 (ISC)²의 ‘2021년 사이버보안 인력 조사(2021 Cybersecurity Workforce Study)’에 따르면, 전 세계 사이버보안 전문가는 2020년 70만 명에서 2021년 419만 명으로 늘었다. 하지만 사이버보안 인력 부족을 호소하는 기업은 여전히 많다. IT 컨설팅 업체 부즈 알렌(Booz Allen)에서 사이버 기업을 위한 인재 전략 전문가로 활동 중인 에린 와이스 카야는 “사이버보안 업계는 새로운 위협 행위자, 신기술, 5G의 진화 등 위협의 변화가 거의 매일 일어나는 곳이다. 현재 공급에 비해 수요가 훨씬 많아서 실업률은 여전히 0%다”라고 말했다. 사이버보안 업체 라이파스(LIFARS) CEO이자 디지털 과학수사 및 윤리적 해킹 전문가 온드레이 크레헬은 증가 일로가 예상되는 사이버보안 업계의 규모와 위험을 감안할 때 기업들이 기술 격차를 메우기 위한 정책 실행과 인재 유치에 당장 나서야 한다고 강조했다. 또한 “점점 똑똑하고 빨라지는 해커들의 추세에 맞춰 기업도 강력한 사이버보안팀을 구축하고 인력 부족을 겪지 않도록 해야 한다”라고 덧붙였다. 적임자 구인의 어려움 그러나 적합한 사이버보안 기술을 보유한 인재를 찾아 유치하는 일은 만만하지 않다. 오늘날에는 말단 사이버보안직에 요구되는 IT 기술도 매우 많다. 크레헬은 ‘말단’ 사이버보안직에 타 업계 중견 고위직 수준으로 과도한 보안 자격증을 요구하는 경우가 많으며 “기준이 비현실적으로 높다”라고 지적했다. 또한 카야는 민첩성, 유연성과 같은 일반적인 기술은 측정하기도, 채용 기준으로 삼기도 어렵지만 IT 기술 못지않게 절실히 필요하다면서 “필요한 기술은 기술적 도구가 아니라 도구를 배포하고 데이터를 실제로 해석하는 능력이다”라고 설명했다. 이런 기술 보유자를 찾으려면 채용 전략을 개선해야 한다. 카야는 “업계가 사이버 분야에 대한 비선형적인 진입점을 아직...
2022.09.28
사이버보안 전문가의 수요가 지난 10년간 급증하고 있다. 사이버보안 교육 및 인증 협회 (ISC)²의 ‘2021년 사이버보안 인력 조사(2021 Cybersecurity Workforce Study)’에 따르면, 전 세계 사이버보안 전문가는 2020년 70만 명에서 2021년 419만 명으로 늘었다. 하지만 사이버보안 인력 부족을 호소하는 기업은 여전히 많다. IT 컨설팅 업체 부즈 알렌(Booz Allen)에서 사이버 기업을 위한 인재 전략 전문가로 활동 중인 에린 와이스 카야는 “사이버보안 업계는 새로운 위협 행위자, 신기술, 5G의 진화 등 위협의 변화가 거의 매일 일어나는 곳이다. 현재 공급에 비해 수요가 훨씬 많아서 실업률은 여전히 0%다”라고 말했다. 사이버보안 업체 라이파스(LIFARS) CEO이자 디지털 과학수사 및 윤리적 해킹 전문가 온드레이 크레헬은 증가 일로가 예상되는 사이버보안 업계의 규모와 위험을 감안할 때 기업들이 기술 격차를 메우기 위한 정책 실행과 인재 유치에 당장 나서야 한다고 강조했다. 또한 “점점 똑똑하고 빨라지는 해커들의 추세에 맞춰 기업도 강력한 사이버보안팀을 구축하고 인력 부족을 겪지 않도록 해야 한다”라고 덧붙였다. 적임자 구인의 어려움 그러나 적합한 사이버보안 기술을 보유한 인재를 찾아 유치하는 일은 만만하지 않다. 오늘날에는 말단 사이버보안직에 요구되는 IT 기술도 매우 많다. 크레헬은 ‘말단’ 사이버보안직에 타 업계 중견 고위직 수준으로 과도한 보안 자격증을 요구하는 경우가 많으며 “기준이 비현실적으로 높다”라고 지적했다. 또한 카야는 민첩성, 유연성과 같은 일반적인 기술은 측정하기도, 채용 기준으로 삼기도 어렵지만 IT 기술 못지않게 절실히 필요하다면서 “필요한 기술은 기술적 도구가 아니라 도구를 배포하고 데이터를 실제로 해석하는 능력이다”라고 설명했다. 이런 기술 보유자를 찾으려면 채용 전략을 개선해야 한다. 카야는 “업계가 사이버 분야에 대한 비선형적인 진입점을 아직...
2022.09.28
자격증명 손상(Credential compromise)은 오랫동안 네트워크 보안 침해의 주요 원인 중 하나였다. 이에 따라 많은 기업에서 방어 수단으로 다중 인증(MFA)을 사용하고 있다. 모든 계정에 MFA를 활성화하는 게 가장 좋다. 하지만 공격자도 이를 우회할 방법을 찾고 있다. 인기 있는 (우회) 방법 중 하나는 자격증명이 손상된 직원에게 (해당 직원이) 짜증 나서 인증 앱을 통해 요청을 승인할 때까지 스팸처럼 MFA 인증 요청을 보내는 것이다. 이는 ‘MFA 피로(MFA fatigue)’라고 알려져 있으며, 최근의 우버 해킹에서도 사용된 간단하면서 효과적인 기법이다. 우버, 랩서스 그리고… 지난주 우버가 (또다시) 해킹을 당했다. 한 해커가 지스위트(G-Suite), 슬랙(Slack), 오픈DNS(OpenDNS), 해커원(HackerOne) 버그 현상금 플랫폼 등 우버의 몇몇 내부 시스템에 액세스한 것이다. 우버의 보안 연구원 케빈 비오몬트가 트위터에서 이번 사건이 자신의 소행이라고 주장한 해커와 나눈 대화를 공개했는데, 해당 해커는 다음과 같이 밝혔다. “[한] 직원에게 인증을 요청하는 푸시 알림을 1시간 넘게 반복적으로 보냈다. 그리고 왓츠앱(WhatsApp)으로 우버의 IT 부서라고 연락했다. 팝업창을 멈추고 싶다면 수락해야 한다고 말하자 그는 이를 수락했고, 내 장치를 추가할 수 있었다.” 이후 우버는 보안 사고 업데이트에서 피해자가 우버의 외부 계약자였으며, 기기가 맬웨어에 감염된 후 우버 자격증명을 도난당했다고 밝혔다. 이 회사는 해커가 다크웹에서 자격증명을 구매하고, MFA 피로 공격을 시도한 것이라고 분석했다. 이어 “공격자는 해당 계약자(피해자)의 우버 계정에 반복적으로 로그인을 시도했다. 그때마다 계약자는 2단계 로그인 승인 요청을 받았다. 처음에는 액세스가 차단됐지만 결국 계약자가 이를 수락했고, 공격자는 로그인에 성공했다”라고 회사 측은 설명했다. 아...
해킹 보안 침해 다중 인증 다단계 인증 MFA 자격증명 손상 MFA 피로 랩서스 우버 사회 공학
2022.09.26
자격증명 손상(Credential compromise)은 오랫동안 네트워크 보안 침해의 주요 원인 중 하나였다. 이에 따라 많은 기업에서 방어 수단으로 다중 인증(MFA)을 사용하고 있다. 모든 계정에 MFA를 활성화하는 게 가장 좋다. 하지만 공격자도 이를 우회할 방법을 찾고 있다. 인기 있는 (우회) 방법 중 하나는 자격증명이 손상된 직원에게 (해당 직원이) 짜증 나서 인증 앱을 통해 요청을 승인할 때까지 스팸처럼 MFA 인증 요청을 보내는 것이다. 이는 ‘MFA 피로(MFA fatigue)’라고 알려져 있으며, 최근의 우버 해킹에서도 사용된 간단하면서 효과적인 기법이다. 우버, 랩서스 그리고… 지난주 우버가 (또다시) 해킹을 당했다. 한 해커가 지스위트(G-Suite), 슬랙(Slack), 오픈DNS(OpenDNS), 해커원(HackerOne) 버그 현상금 플랫폼 등 우버의 몇몇 내부 시스템에 액세스한 것이다. 우버의 보안 연구원 케빈 비오몬트가 트위터에서 이번 사건이 자신의 소행이라고 주장한 해커와 나눈 대화를 공개했는데, 해당 해커는 다음과 같이 밝혔다. “[한] 직원에게 인증을 요청하는 푸시 알림을 1시간 넘게 반복적으로 보냈다. 그리고 왓츠앱(WhatsApp)으로 우버의 IT 부서라고 연락했다. 팝업창을 멈추고 싶다면 수락해야 한다고 말하자 그는 이를 수락했고, 내 장치를 추가할 수 있었다.” 이후 우버는 보안 사고 업데이트에서 피해자가 우버의 외부 계약자였으며, 기기가 맬웨어에 감염된 후 우버 자격증명을 도난당했다고 밝혔다. 이 회사는 해커가 다크웹에서 자격증명을 구매하고, MFA 피로 공격을 시도한 것이라고 분석했다. 이어 “공격자는 해당 계약자(피해자)의 우버 계정에 반복적으로 로그인을 시도했다. 그때마다 계약자는 2단계 로그인 승인 요청을 받았다. 처음에는 액세스가 차단됐지만 결국 계약자가 이를 수락했고, 공격자는 로그인에 성공했다”라고 회사 측은 설명했다. 아...
2022.09.26
공격 표면이 커지고 복잡해지면서 보안과 소프트웨어 개발 간 격차가 확대되고, 취약점이 증가하며, 보안 조사가 느려지고 있다. ESG(Enterprise Strategy Group)의 최신 보고서에 따르면 2년 전보다 보안 운영이 더 어려워졌다고 답한 기업이 절반 이상(52%)에 달했다. 그 이유로는 진화하는 위험과 위협 환경(41%), 커지는 공격 표면(38%), 경고 볼륨과 복잡성(37%), 퍼블릭 클라우드 서비스 사용 증가(34%)가 꼽혔다. 여기서 주목해야 할 것은 바로 증가하는 공격 표면이다. 모자이크 브라우저(웹 브라우저의 시조)를 사용하기 시작한 이후로 공격 표면은 꾸준하게 증가해왔지만 지난 몇 년 동안은 더욱더 그랬다. 아마존, 코로나19 사태 또는 디지털 트랜스포메이션 등으로 인해 기업들은 IT 시스템을 서드파티에 연결하고, 원격근무자를 지원하며, 클라우드 네이티브 애플리케이션을 개발하고, 기록적인 수의 SaaS 서비스를 사용하고 있다. 일반적으로 기업들은 인터넷과 연결된 수만 개의 자산을 쓴다. 점점 더 커지는 공격 표면이 오래된 보안 운영 관행을 위협하고 있다. 그렇다면 실제로 어떤 영향을 미치고 있을까? ESG는 보안 전문가 376명에게 이 질문을 던졌다. 보안 전문가들이 말한 문제는 다음과 같다. • 개발자와 더 긴밀한 관계가 필요하다. 이는 기업들이 더 많은 클라우드 네이티브 애플리케이션을 개발하고 새 기능을 프로덕션 애플리케이션에 지속적으로 푸시하면서 나타난 소프트웨어 개발과 보안 간의 격차를 의미한다. 서버리스 기능을 사용하고 있는가? 안전하지 않은 API에 연결하겠는가? 오픈 S3 버킷에 민감한 데이터를 남겨두겠는가? 많은 경우, 보안팀은 이러한 질문의 답을 모른다. 보안/개발자 간극을 메우는 것은 모든 CISO에게 최우선 순위가 돼야 한다. • 현 도구 및 프로세스의 재평가로 이어진다. 이는 보안 운영팀을 계속 괴롭히는 또 다른 ...
2022.09.22
공격 표면이 커지고 복잡해지면서 보안과 소프트웨어 개발 간 격차가 확대되고, 취약점이 증가하며, 보안 조사가 느려지고 있다. ESG(Enterprise Strategy Group)의 최신 보고서에 따르면 2년 전보다 보안 운영이 더 어려워졌다고 답한 기업이 절반 이상(52%)에 달했다. 그 이유로는 진화하는 위험과 위협 환경(41%), 커지는 공격 표면(38%), 경고 볼륨과 복잡성(37%), 퍼블릭 클라우드 서비스 사용 증가(34%)가 꼽혔다. 여기서 주목해야 할 것은 바로 증가하는 공격 표면이다. 모자이크 브라우저(웹 브라우저의 시조)를 사용하기 시작한 이후로 공격 표면은 꾸준하게 증가해왔지만 지난 몇 년 동안은 더욱더 그랬다. 아마존, 코로나19 사태 또는 디지털 트랜스포메이션 등으로 인해 기업들은 IT 시스템을 서드파티에 연결하고, 원격근무자를 지원하며, 클라우드 네이티브 애플리케이션을 개발하고, 기록적인 수의 SaaS 서비스를 사용하고 있다. 일반적으로 기업들은 인터넷과 연결된 수만 개의 자산을 쓴다. 점점 더 커지는 공격 표면이 오래된 보안 운영 관행을 위협하고 있다. 그렇다면 실제로 어떤 영향을 미치고 있을까? ESG는 보안 전문가 376명에게 이 질문을 던졌다. 보안 전문가들이 말한 문제는 다음과 같다. • 개발자와 더 긴밀한 관계가 필요하다. 이는 기업들이 더 많은 클라우드 네이티브 애플리케이션을 개발하고 새 기능을 프로덕션 애플리케이션에 지속적으로 푸시하면서 나타난 소프트웨어 개발과 보안 간의 격차를 의미한다. 서버리스 기능을 사용하고 있는가? 안전하지 않은 API에 연결하겠는가? 오픈 S3 버킷에 민감한 데이터를 남겨두겠는가? 많은 경우, 보안팀은 이러한 질문의 답을 모른다. 보안/개발자 간극을 메우는 것은 모든 CISO에게 최우선 순위가 돼야 한다. • 현 도구 및 프로세스의 재평가로 이어진다. 이는 보안 운영팀을 계속 괴롭히는 또 다른 ...
2022.09.22
보안 및 프라이버시 팀이 영업, 마케팅, 디자인 등과 협력하면 데이터를 보호하고 컴플라이언스를 준수하면서도 최적화된 사용자 경험을 제공할 수 있다. 캐나다의 사용자 경험(UX) 연구원 야론 코헨에 따르면 오늘날의 기업들은 ‘매일 고객을 만나는 동네 상인이 자연스럽게 하는 일’을 ‘디지털 세계’에서 해야 한다. 그는 “기존의 세계에서 동네 상인은 자주 오는 손님의 취향이나 매번 구매하는 제품을 파악하고 경험을 개인화했다”라고 말했다. “하지만 지금은 모든 것이 디지털로 이뤄진다. 전자상거래의 세계에는 인간관계가 없다. 따라서 고객을 이해하려면 데이터를 수집해야 한다. 여기서부터 프라이버시 문제가 시작된다”라고 전했다. 모든 기업이 더 나은 고객 경험과 개인화된 서비스를 제공하기 위해 점점 더 많은 개인 데이터를 수집하고 있다. 온라인 인보이스 서비스 업체 스카이노바(Skynova)가 1,000명의 임원을 대상으로 설문조사를 실시한 결과, 전체 응답자의 86%가 고객 데이터를 수집했다고 밝혔다. 이는 기업 규모가 클수록 두드러졌다. 직원 수 100명 이상의 기업에서는 93%, 직원 수 10명 미만의 기업에서는 75%가 그렇다고 답했다. 아울러 64%는 소셜 미디어에서 고객 데이터를 수집했다고 밝혔다. 코헨은 데이터 수집 및 사용이 문제를 야기할 수 있다고 지적했다. 이를테면 기업들은 사이버 공격을 받아 데이터를 도난당할 위험이 있으며, 최근 몇 년 동안 전 세계에서 등장한 수많은 데이터 개인정보보호법을 위반하는 방식으로 데이터를 수집하거나 사용할 위험이 있다. 데이터 기반 사용자 경험(UX) 이니셔티브를 통해 서비스를 제공하는 과정에서 사용자와 정작 멀어질 위험도 있다. 지난 2021년 발표된 KMPG의 보고서에 따르면 해당 설문조사에 참여한 250명의 비즈니스 리더 가운데 70%가 전년도에 소비자 개인 데이터 수집을 늘렸다고 밝혔다. 하지만 (동일한 설문조사에 응한) 2,000명의 일반 소비자 중...
프라이버시 개인정보보호 데이터 보호 GDPR 개인 데이터 사용자 경험
2022.09.21
보안 및 프라이버시 팀이 영업, 마케팅, 디자인 등과 협력하면 데이터를 보호하고 컴플라이언스를 준수하면서도 최적화된 사용자 경험을 제공할 수 있다. 캐나다의 사용자 경험(UX) 연구원 야론 코헨에 따르면 오늘날의 기업들은 ‘매일 고객을 만나는 동네 상인이 자연스럽게 하는 일’을 ‘디지털 세계’에서 해야 한다. 그는 “기존의 세계에서 동네 상인은 자주 오는 손님의 취향이나 매번 구매하는 제품을 파악하고 경험을 개인화했다”라고 말했다. “하지만 지금은 모든 것이 디지털로 이뤄진다. 전자상거래의 세계에는 인간관계가 없다. 따라서 고객을 이해하려면 데이터를 수집해야 한다. 여기서부터 프라이버시 문제가 시작된다”라고 전했다. 모든 기업이 더 나은 고객 경험과 개인화된 서비스를 제공하기 위해 점점 더 많은 개인 데이터를 수집하고 있다. 온라인 인보이스 서비스 업체 스카이노바(Skynova)가 1,000명의 임원을 대상으로 설문조사를 실시한 결과, 전체 응답자의 86%가 고객 데이터를 수집했다고 밝혔다. 이는 기업 규모가 클수록 두드러졌다. 직원 수 100명 이상의 기업에서는 93%, 직원 수 10명 미만의 기업에서는 75%가 그렇다고 답했다. 아울러 64%는 소셜 미디어에서 고객 데이터를 수집했다고 밝혔다. 코헨은 데이터 수집 및 사용이 문제를 야기할 수 있다고 지적했다. 이를테면 기업들은 사이버 공격을 받아 데이터를 도난당할 위험이 있으며, 최근 몇 년 동안 전 세계에서 등장한 수많은 데이터 개인정보보호법을 위반하는 방식으로 데이터를 수집하거나 사용할 위험이 있다. 데이터 기반 사용자 경험(UX) 이니셔티브를 통해 서비스를 제공하는 과정에서 사용자와 정작 멀어질 위험도 있다. 지난 2021년 발표된 KMPG의 보고서에 따르면 해당 설문조사에 참여한 250명의 비즈니스 리더 가운데 70%가 전년도에 소비자 개인 데이터 수집을 늘렸다고 밝혔다. 하지만 (동일한 설문조사에 응한) 2,000명의 일반 소비자 중...
2022.09.21
美 ISACA(Information Systems Audit and Control Association)에 따르면 기업이 ‘현재 하는 일’과 ‘디지털 생태계에서 고객의 신뢰를 얻기 위해 해야 하는 일’ 사이에 상당한 격차가 있다. ‘디지털 신뢰(Digital Trust)’는 오늘날 비즈니스 관계에서 매우 중요하다. 점점 더 많은 거래에서 민감한 정보를 온라인으로 공유해야 하기 때문이다. 하지만 ISACA의 새로운 보고서(State of Digital Trust 2022)는 기업이 ‘현재 하는 일’과 ‘디지털 생태계에서 고객의 신뢰를 얻기 위해 해야 하는 일’ 사이에 상당한 격차가 있다고 밝혔다. 해당 보고서는 전 세계 비즈니스 및 IT 전문가 2,755명을 대상으로 한 설문조사 결과를 담았다. ISACA는 디지털 신뢰를 디지털 생태계 내 제공자와 소비자 간의 관계, 상호작용 및 거래 무결성에 관한 신뢰로 정의한다. 전체 응답자의 무려 98%가 오늘날 기업에 디지털 신뢰가 굉장히 또는 매우 중요하며, 63%는 디지털 신뢰가 업무와 굉장히 또는 매우 관련 있다고 말했지만 이러한 중요성을 감안해 이를 우선시한다는 응답은 12%에 불과했다. 보고서는 “5년 후 디지털 신뢰가 현재보다 더 중요해질 것이라는 응답이 5명 중 4명(82%)꼴이었기 때문에 우려되는 부분이다”이라고 언급했다. ‘디지털 신뢰’라는 용어가 널리 인식되지 않았다 ‘디지털 신뢰’라는 용어에 관해 굉장히 또는 매우 익숙하다고 말한 비율은 전체 응답자의 29%에 그쳤다. 인도(50%)가 가장 익숙한 지역인 것으로 나타났으며, 중남미(37%), 아프리카(35%), 유럽(34%)이 그 뒤를 이었다. 산업별로 보면 컨설팅(35%)이 금융/은행(28%)보다 이 용어에 익숙한 것으로 조사됐다. 보고서에 따르면 디지털 신뢰의 가장 중요한 3가지 구성 요소는 ▲보안, ▲데이터 무결성, ▲개인정보보호였다. 하지만 전체 응답자의 50%만이 이러...
2022.09.20
美 ISACA(Information Systems Audit and Control Association)에 따르면 기업이 ‘현재 하는 일’과 ‘디지털 생태계에서 고객의 신뢰를 얻기 위해 해야 하는 일’ 사이에 상당한 격차가 있다. ‘디지털 신뢰(Digital Trust)’는 오늘날 비즈니스 관계에서 매우 중요하다. 점점 더 많은 거래에서 민감한 정보를 온라인으로 공유해야 하기 때문이다. 하지만 ISACA의 새로운 보고서(State of Digital Trust 2022)는 기업이 ‘현재 하는 일’과 ‘디지털 생태계에서 고객의 신뢰를 얻기 위해 해야 하는 일’ 사이에 상당한 격차가 있다고 밝혔다. 해당 보고서는 전 세계 비즈니스 및 IT 전문가 2,755명을 대상으로 한 설문조사 결과를 담았다. ISACA는 디지털 신뢰를 디지털 생태계 내 제공자와 소비자 간의 관계, 상호작용 및 거래 무결성에 관한 신뢰로 정의한다. 전체 응답자의 무려 98%가 오늘날 기업에 디지털 신뢰가 굉장히 또는 매우 중요하며, 63%는 디지털 신뢰가 업무와 굉장히 또는 매우 관련 있다고 말했지만 이러한 중요성을 감안해 이를 우선시한다는 응답은 12%에 불과했다. 보고서는 “5년 후 디지털 신뢰가 현재보다 더 중요해질 것이라는 응답이 5명 중 4명(82%)꼴이었기 때문에 우려되는 부분이다”이라고 언급했다. ‘디지털 신뢰’라는 용어가 널리 인식되지 않았다 ‘디지털 신뢰’라는 용어에 관해 굉장히 또는 매우 익숙하다고 말한 비율은 전체 응답자의 29%에 그쳤다. 인도(50%)가 가장 익숙한 지역인 것으로 나타났으며, 중남미(37%), 아프리카(35%), 유럽(34%)이 그 뒤를 이었다. 산업별로 보면 컨설팅(35%)이 금융/은행(28%)보다 이 용어에 익숙한 것으로 조사됐다. 보고서에 따르면 디지털 신뢰의 가장 중요한 3가지 구성 요소는 ▲보안, ▲데이터 무결성, ▲개인정보보호였다. 하지만 전체 응답자의 50%만이 이러...
2022.09.20
지난 9월 7일부터 9일까지 미국, 캐나다, 영국, 독일 그리고 이스라엘 정부의 사이버보안 기관 리더들이 2022 빌링턴 사이버보안 정상회의(2022 Billington Cybersecurity Summit)에 모여 범국가적 사이버 위협에 대비하기 위한 협심을 다짐했다. 사이버 공격은 국경을 넘나드는 전 세계적 위협 중 하나다. 온라인 사칭 사기부터 랜섬웨어까지 다양한 공격 기법이 핵심 인프라를 무너뜨릴 기회를 호시탐탐 엿보고 있다. 세계가 대규모의 경제적, 사회적 재난 사태에 빠지지 않게 하려면 범국가 차원에서 사이버보안 협력이 이루어져야 한다. 미국이 워싱턴에서 주최하는 연례 빌링턴 사이버보안 정상회의(Billington Cybersecurity Summit)에서 각 국가의 지도자들이 모여 국제적 사이버보안 협력에 대해 논의했다. 사회의 모든 구성 요소가 디지털화되면서 공공 부문과 민간 부문 모두 사이버 공격에 노출되고 있다. 각국은 이미 사이버보안 정책에 박차를 가하고 있지만 리더들은 이를 넘어 국제적 대안이 필요하다는 점에 동감했다. 첩보 커뮤니티, 국제 협력을 이끌다 국경을 넘나드는 사이버보안 협력의 밑바탕은 국가 정보기관 커뮤니티였다. 조지 반스 미 국가안보국(NSA) 부국장은 “미국은 이미 여러 자매 국가와 긴밀한 협력관계를 구축했으며, 앞으로도 이런 관계는 점점 더 많아지고 다양해질 전망이다”라며 “국가 정보기관 종사자와 사이버보안 종사자가 자연스럽게 어울리면서 국제 사이버보안 협력의 초석을 단단히 다지게 됐다”라고 설명했다. 영국, 미국, 캐나다, 호주, 뉴질랜드 5개국이 맺은 파이브 아이즈(Five Eyes) 첩보 동맹 네트워크가 가장 대표적인 국제 협력이지만 그는 훨씬 더 다양한 협력 관계가 있다고 말했다. “유럽과도 오랜 기간 관계를 맺고 있지만 이제 동아시아 국가와 협력 관계를 구축하는 데 집중하고 있다. 서로 도움이 필요하다. 우리도 그들의 시야를 넓...
사이버보안 국제협력 국제사이버공격 국제보안협력 파이브아이즈첩보동맹
2022.09.20
지난 9월 7일부터 9일까지 미국, 캐나다, 영국, 독일 그리고 이스라엘 정부의 사이버보안 기관 리더들이 2022 빌링턴 사이버보안 정상회의(2022 Billington Cybersecurity Summit)에 모여 범국가적 사이버 위협에 대비하기 위한 협심을 다짐했다. 사이버 공격은 국경을 넘나드는 전 세계적 위협 중 하나다. 온라인 사칭 사기부터 랜섬웨어까지 다양한 공격 기법이 핵심 인프라를 무너뜨릴 기회를 호시탐탐 엿보고 있다. 세계가 대규모의 경제적, 사회적 재난 사태에 빠지지 않게 하려면 범국가 차원에서 사이버보안 협력이 이루어져야 한다. 미국이 워싱턴에서 주최하는 연례 빌링턴 사이버보안 정상회의(Billington Cybersecurity Summit)에서 각 국가의 지도자들이 모여 국제적 사이버보안 협력에 대해 논의했다. 사회의 모든 구성 요소가 디지털화되면서 공공 부문과 민간 부문 모두 사이버 공격에 노출되고 있다. 각국은 이미 사이버보안 정책에 박차를 가하고 있지만 리더들은 이를 넘어 국제적 대안이 필요하다는 점에 동감했다. 첩보 커뮤니티, 국제 협력을 이끌다 국경을 넘나드는 사이버보안 협력의 밑바탕은 국가 정보기관 커뮤니티였다. 조지 반스 미 국가안보국(NSA) 부국장은 “미국은 이미 여러 자매 국가와 긴밀한 협력관계를 구축했으며, 앞으로도 이런 관계는 점점 더 많아지고 다양해질 전망이다”라며 “국가 정보기관 종사자와 사이버보안 종사자가 자연스럽게 어울리면서 국제 사이버보안 협력의 초석을 단단히 다지게 됐다”라고 설명했다. 영국, 미국, 캐나다, 호주, 뉴질랜드 5개국이 맺은 파이브 아이즈(Five Eyes) 첩보 동맹 네트워크가 가장 대표적인 국제 협력이지만 그는 훨씬 더 다양한 협력 관계가 있다고 말했다. “유럽과도 오랜 기간 관계를 맺고 있지만 이제 동아시아 국가와 협력 관계를 구축하는 데 집중하고 있다. 서로 도움이 필요하다. 우리도 그들의 시야를 넓...
2022.09.20
이란이 후원하는 해킹그룹이 새로운 스피어 피싱 전략을 구사하기 시작했다. 여러 가짜 페르소나를 사용하여 이메일을 주고받아 더욱더 신뢰하도록 하는 방식이다. 프루프포인트(Proofpoint)는 해당 그룹이 TA453이라고 추정했으나, 이란의 다른 해킹그룹 챠밍 키튼(Charming Kitten), 포스포러스(Phosphorus), APT42의 짓이라는 분석도 있었다. 이를테면 맨디언트(Mendiant)는 최근 APT42가 이슬람혁명수비대(IRGC)의 정보기구(IRGC-IO)를 대신하고 있으며, 고도로 표적화된 사회공학을 하고 있는 것 같다고 밝혔다. 프루프포인트 연구진은 최신 보고서에서 “2022년 중반부터 시작해 TA453이 표적형 사회공학을 새로운 차원으로 끌어올렸다. 한 사람이 통제하는 한 페르소나가 아니라, 여러 페르소나가 있다. 이 기법을 통해 TA453은 사회적 증거(편집자 주: 다른 사람들의 행동과 의견으로 행동 및 의사결정의 기준을 삼는다는 뜻)의 심리학적 원리를 활용하여 타깃을 속일 수 있고, 아울러 위협 행위자의 스피어 피싱 신뢰성을 높일 수 있다”라고 설명했다. ‘멀티-페르소나’ 사칭의 작동 방식 프루프포인트에서 분석한 최근 이메일 공격은 TA453의 위협 행위자가 타깃과 관련된 주제로 신중하게 제작된 이메일을 (타깃에게) 보내는 것으로 시작됐다. 이러한 이메일은 일반적으로 타깃과 같은 분야에서 일하는 다른 학자나 연구원을 사칭했다. 예를 들면 중동 지역 전문가를 타깃으로 한 이메일에서 공격자는 FPRI(Foreign Policy Research Institute)의 연구 책임자 아론 스타인을 사칭하여 이스라엘, 걸프 국가, 아브라함 협정에 관한 대화를 시작했다. 또 공격자는 이메일에 퓨 리서치 센터(Pew Research Center)의 글로벌 태세 연구 책임자 리처드 위크도 참조에 넣어 소개했다. 여기서 이메일에 위조된 ID는 모두 실제로 해당 기관에서 일하는 실...
2022.09.16
이란이 후원하는 해킹그룹이 새로운 스피어 피싱 전략을 구사하기 시작했다. 여러 가짜 페르소나를 사용하여 이메일을 주고받아 더욱더 신뢰하도록 하는 방식이다. 프루프포인트(Proofpoint)는 해당 그룹이 TA453이라고 추정했으나, 이란의 다른 해킹그룹 챠밍 키튼(Charming Kitten), 포스포러스(Phosphorus), APT42의 짓이라는 분석도 있었다. 이를테면 맨디언트(Mendiant)는 최근 APT42가 이슬람혁명수비대(IRGC)의 정보기구(IRGC-IO)를 대신하고 있으며, 고도로 표적화된 사회공학을 하고 있는 것 같다고 밝혔다. 프루프포인트 연구진은 최신 보고서에서 “2022년 중반부터 시작해 TA453이 표적형 사회공학을 새로운 차원으로 끌어올렸다. 한 사람이 통제하는 한 페르소나가 아니라, 여러 페르소나가 있다. 이 기법을 통해 TA453은 사회적 증거(편집자 주: 다른 사람들의 행동과 의견으로 행동 및 의사결정의 기준을 삼는다는 뜻)의 심리학적 원리를 활용하여 타깃을 속일 수 있고, 아울러 위협 행위자의 스피어 피싱 신뢰성을 높일 수 있다”라고 설명했다. ‘멀티-페르소나’ 사칭의 작동 방식 프루프포인트에서 분석한 최근 이메일 공격은 TA453의 위협 행위자가 타깃과 관련된 주제로 신중하게 제작된 이메일을 (타깃에게) 보내는 것으로 시작됐다. 이러한 이메일은 일반적으로 타깃과 같은 분야에서 일하는 다른 학자나 연구원을 사칭했다. 예를 들면 중동 지역 전문가를 타깃으로 한 이메일에서 공격자는 FPRI(Foreign Policy Research Institute)의 연구 책임자 아론 스타인을 사칭하여 이스라엘, 걸프 국가, 아브라함 협정에 관한 대화를 시작했다. 또 공격자는 이메일에 퓨 리서치 센터(Pew Research Center)의 글로벌 태세 연구 책임자 리처드 위크도 참조에 넣어 소개했다. 여기서 이메일에 위조된 ID는 모두 실제로 해당 기관에서 일하는 실...
2022.09.16
미 법무부가 미국 전역에 걸친 수많은 기관의 네트워크에 침투한 혐의로 이란계 해커 3명을 기소했다. 법무부는 기소 처분을 받기 위해 더 많은 정보가 필요하다며 제보에 천만 달러(한화 약 139억원)의 현상금을 내걸었다. 법무부에 따르면 이들은 미국뿐만 아니라 영국과 호주, 이란, 러시아 등에 있는 수백명의 피해자들을 상대로 랜섬웨어 공격을 감행했다. 이들 3명이 지난 2020년 10월부터 올해 8월까지 수많은 기관의 네트워크를 공격, 데이터를 탈취해 돌려주는 대가로 수십만 달러를 요구했다고 기소장에 기재됐다. 해커들은 보안이 취약한 기관을 무차별적으로 겨냥한 듯 추정된다고 법무부 관계자는 전했다. 피해 기관은 지방정부, 가정폭력 피해자 보호소, 어린이 병원, 회계 법인, 발전 회사 등 광범위하다. 섬뜩한 프린터 협박 방식 기소장은 이란계 해커들의 특이한 랜섬웨어 요구방식을 묘사했다. 법무부는 먼저 기술적인 과정을 설명하며 이 해커들이 실제 기관과 유사한 도메인을 꾸며 서버를 속이는 방식으로 기관의 네트워크에 침투했다고 전했다. 그다음 비트라커 애플리케이션으로 피해 대상의 데이터를 암호화한 뒤 랜섬을 요구했다. 랜섬을 요구한 방식이 섬뜩했는데, 이 네트워크에 연결된 프린터의 인쇄물에 다음과 같은 협박 메모를 같이 인쇄했다는 것을 알아냈다: A. 이 기관의 네트워크가 침투당했기 때문에 이 메모가 같이 인쇄된 것이다. B. 역으로 우릴 공격하기는 불가능할 것이다. 당신은 벗어날 수 없는 위험에 처해 있다. C. 네트워크를 살리고 해독 코드를 얻고 싶다면 연락해라. 실제로 미국의 한 가정폭력 피해자 보호소가 이 메시지를 보고 랜섬을 지불한 것으로 드러났다. 해커 그룹은 보호소에 이메일로 추가 답변을 요청했음은 물론 자신이 운영하는 온라인 채팅...
랜섬웨어 미국법무부 미국재무부 이란공격 이란계해커 APT공격 팩스플로잇
2022.09.16
미 법무부가 미국 전역에 걸친 수많은 기관의 네트워크에 침투한 혐의로 이란계 해커 3명을 기소했다. 법무부는 기소 처분을 받기 위해 더 많은 정보가 필요하다며 제보에 천만 달러(한화 약 139억원)의 현상금을 내걸었다. 법무부에 따르면 이들은 미국뿐만 아니라 영국과 호주, 이란, 러시아 등에 있는 수백명의 피해자들을 상대로 랜섬웨어 공격을 감행했다. 이들 3명이 지난 2020년 10월부터 올해 8월까지 수많은 기관의 네트워크를 공격, 데이터를 탈취해 돌려주는 대가로 수십만 달러를 요구했다고 기소장에 기재됐다. 해커들은 보안이 취약한 기관을 무차별적으로 겨냥한 듯 추정된다고 법무부 관계자는 전했다. 피해 기관은 지방정부, 가정폭력 피해자 보호소, 어린이 병원, 회계 법인, 발전 회사 등 광범위하다. 섬뜩한 프린터 협박 방식 기소장은 이란계 해커들의 특이한 랜섬웨어 요구방식을 묘사했다. 법무부는 먼저 기술적인 과정을 설명하며 이 해커들이 실제 기관과 유사한 도메인을 꾸며 서버를 속이는 방식으로 기관의 네트워크에 침투했다고 전했다. 그다음 비트라커 애플리케이션으로 피해 대상의 데이터를 암호화한 뒤 랜섬을 요구했다. 랜섬을 요구한 방식이 섬뜩했는데, 이 네트워크에 연결된 프린터의 인쇄물에 다음과 같은 협박 메모를 같이 인쇄했다는 것을 알아냈다: A. 이 기관의 네트워크가 침투당했기 때문에 이 메모가 같이 인쇄된 것이다. B. 역으로 우릴 공격하기는 불가능할 것이다. 당신은 벗어날 수 없는 위험에 처해 있다. C. 네트워크를 살리고 해독 코드를 얻고 싶다면 연락해라. 실제로 미국의 한 가정폭력 피해자 보호소가 이 메시지를 보고 랜섬을 지불한 것으로 드러났다. 해커 그룹은 보호소에 이메일로 추가 답변을 요청했음은 물론 자신이 운영하는 온라인 채팅...
2022.09.16
가트너가 북미, 아시아 태평양 및 EMEA에 있는 418명의 기업을 대상으로 벌인 설문조사에 따르면 75%가 다수의 보안 벤더를 줄이고 통합할 계획이라고 답했다. 2020년 29%에 비하면 2배 이상 대폭 증가한 수치다. 여러 보안 벤더를 이용하면 운영 비효율성을 피하기 어렵다는 점과 상이한 보안 시스템을 일원화하기 어렵다는 점이 주요 원인으로 나타났다. ‘구조조정’ 순위에서 상위권을 차지한 보안 서비스 유형은 보안 액세스 서비스 에지(SASE)와 대응 및 탐지(XDR)다. 설문에 따르면 보안 벤더의 수가 10개 미만인 기업의 비율이 이미 57%에 달했다. 벤더 측에서도 마치 이러한 위기를 기회로 바꾸려는 움직임도 보이고 있다. 여러 솔루션을 통합한 단일 솔루션을 내놓기 시작한 것이다. 지난 2월 SASE 솔루션 벤더 포스토인트(Forcepoint)가 발표한 올인원 클라우드 플랫폼이 대표적인 예다. 기업 고객이 단일 콘솔로 보안 정책을 일괄적으로 관리할 수 있도록 제로 트러스트 기능과 SESE 기술을 한곳에 모았다고 벤더 측은 설명했다. 시간이 가장 큰 비용일 수도 벤더 통합으로 관심이 쏠리고 있는 이유는 단지 비용 절감뿐만이 아니다. 설문조사 응답자 중 65%가 가장 큰 동인으로 리스크 관리 역량 향상을 꼽았다. 라이선스 비용 절감은 29%에 그쳤다. 가트너 애널리스트 존 와츠도 비용 최적화가 동인이 되어서는 안 된다며 동감했다. 기업이 비용을 줄이려면 결국 솔루션의 기능을 줄이거나 보장 범위를 좁혀야 한다. 조사에 따르면 벤더를 통합한 기업 중 24%가 비용 절감을 대가로 오히려 비즈니스 리스크에 더 노출됐다. 금전적 비용 외에 시간이라는 비용도 고려해야 한다. 통합 과정이 3년 이상 진행되고 있다고 답한 기업의 비율이 65%를 넘은 것으로 나타났기 때문이다. 34%의 기업이 계약 기간이 주요 병목 중 하나라고 답했다. 가트너는 벤더 통합 기간을 최소 2년 이상으로...
탐지대응 서버보안액새스관리 보안액세스서비스엣지 보안업체 보안벤더
2022.09.15
가트너가 북미, 아시아 태평양 및 EMEA에 있는 418명의 기업을 대상으로 벌인 설문조사에 따르면 75%가 다수의 보안 벤더를 줄이고 통합할 계획이라고 답했다. 2020년 29%에 비하면 2배 이상 대폭 증가한 수치다. 여러 보안 벤더를 이용하면 운영 비효율성을 피하기 어렵다는 점과 상이한 보안 시스템을 일원화하기 어렵다는 점이 주요 원인으로 나타났다. ‘구조조정’ 순위에서 상위권을 차지한 보안 서비스 유형은 보안 액세스 서비스 에지(SASE)와 대응 및 탐지(XDR)다. 설문에 따르면 보안 벤더의 수가 10개 미만인 기업의 비율이 이미 57%에 달했다. 벤더 측에서도 마치 이러한 위기를 기회로 바꾸려는 움직임도 보이고 있다. 여러 솔루션을 통합한 단일 솔루션을 내놓기 시작한 것이다. 지난 2월 SASE 솔루션 벤더 포스토인트(Forcepoint)가 발표한 올인원 클라우드 플랫폼이 대표적인 예다. 기업 고객이 단일 콘솔로 보안 정책을 일괄적으로 관리할 수 있도록 제로 트러스트 기능과 SESE 기술을 한곳에 모았다고 벤더 측은 설명했다. 시간이 가장 큰 비용일 수도 벤더 통합으로 관심이 쏠리고 있는 이유는 단지 비용 절감뿐만이 아니다. 설문조사 응답자 중 65%가 가장 큰 동인으로 리스크 관리 역량 향상을 꼽았다. 라이선스 비용 절감은 29%에 그쳤다. 가트너 애널리스트 존 와츠도 비용 최적화가 동인이 되어서는 안 된다며 동감했다. 기업이 비용을 줄이려면 결국 솔루션의 기능을 줄이거나 보장 범위를 좁혀야 한다. 조사에 따르면 벤더를 통합한 기업 중 24%가 비용 절감을 대가로 오히려 비즈니스 리스크에 더 노출됐다. 금전적 비용 외에 시간이라는 비용도 고려해야 한다. 통합 과정이 3년 이상 진행되고 있다고 답한 기업의 비율이 65%를 넘은 것으로 나타났기 때문이다. 34%의 기업이 계약 기간이 주요 병목 중 하나라고 답했다. 가트너는 벤더 통합 기간을 최소 2년 이상으로...
2022.09.15
IBM X-포스 레드 클라우드 침투 테스팅 팀이 14일 (현지 시각) 발간한 클라우드 보안 보고서에서 과잉 접근 권한이 흔한 취약점으로 나타났다. 팀이 시행한 보안 테스트 중 99% 이상에서 과잉 권한이 부여됐다. IBM X-포스 레드 클라우드 침투 테스팅 팀이 14일 (현지 시각) 발간한 클라우드 보안 보고서에서 과잉 접근 권한이 큰 취약점으로 나타났다. 팀이 시행한 보안 테스트 중 99% 이상에서 과잉 권한이 부여됐다. 사용자와 관리 계정 모두 일관적으로 필요 이상의 접근 권한 및 특권을 부여받았다고 팀은 보고했다. 과잉 권한은가장 단순하지만 가장 위험하다. 계정이 탈취당하는 순간 클라우드 시스템의 온갖 보안 방책이 무력화되는 셈이다. 그 밖에도 클라우드 분야의 보안 성과는 좋지 않았다. 해킹을 당해 다크웹이 판매되는 계정의 수가 2배나 증가했으며, 모든 클라우드 취약점의 평균 심각도가 악화했다. 구체적으로 CVSS를 기준으로 하는 취약점 수준은 10년 전 15에서 18로 증가했다. 클라우드 취약점, 고양이에 생선 주는 격 밝혀진 클라우드 취약점의 총 규모도 작년 대비 28%나 늘어났다고 보고서는 밝혔다. 취약한 클라우드 시스템에 침투한 맬웨어 중 가장 흔한 유형은 크립토재킹(cryptojacking)과 랜섬웨어로 나타났다. 데이터 탈취 공격도 무시할 수 없는 비중을 차지했다. 크립토재킹은 암호화폐 채굴로 해킹을 하는 방식으로 최근 해커들의 관심을 한 몸에 받고 있는 기법 중 하나다. 채굴 비용을 피해자에게 떠넘길 수 있다는 것이 가장 고유한 특징이다. 하지만 이 외에도 온프레미스 시스템에 비해 클라우드 서비스를 이용하는 기업의 안전 불감증이 심한 편이며 이미 알려진 취약점이 많다는 낮은 진입 장벽도 큰 몫을 한다고 보고서는 설명했다. 구성 설정 오류는 여전히 가장 흔한 취약점으로 나타났으며, 그 밖에 로...
과잉권한 클라우드계정 권한 계정 계정권한 맬웨어 크립토재킹
2022.09.15
IBM X-포스 레드 클라우드 침투 테스팅 팀이 14일 (현지 시각) 발간한 클라우드 보안 보고서에서 과잉 접근 권한이 흔한 취약점으로 나타났다. 팀이 시행한 보안 테스트 중 99% 이상에서 과잉 권한이 부여됐다. IBM X-포스 레드 클라우드 침투 테스팅 팀이 14일 (현지 시각) 발간한 클라우드 보안 보고서에서 과잉 접근 권한이 큰 취약점으로 나타났다. 팀이 시행한 보안 테스트 중 99% 이상에서 과잉 권한이 부여됐다. 사용자와 관리 계정 모두 일관적으로 필요 이상의 접근 권한 및 특권을 부여받았다고 팀은 보고했다. 과잉 권한은가장 단순하지만 가장 위험하다. 계정이 탈취당하는 순간 클라우드 시스템의 온갖 보안 방책이 무력화되는 셈이다. 그 밖에도 클라우드 분야의 보안 성과는 좋지 않았다. 해킹을 당해 다크웹이 판매되는 계정의 수가 2배나 증가했으며, 모든 클라우드 취약점의 평균 심각도가 악화했다. 구체적으로 CVSS를 기준으로 하는 취약점 수준은 10년 전 15에서 18로 증가했다. 클라우드 취약점, 고양이에 생선 주는 격 밝혀진 클라우드 취약점의 총 규모도 작년 대비 28%나 늘어났다고 보고서는 밝혔다. 취약한 클라우드 시스템에 침투한 맬웨어 중 가장 흔한 유형은 크립토재킹(cryptojacking)과 랜섬웨어로 나타났다. 데이터 탈취 공격도 무시할 수 없는 비중을 차지했다. 크립토재킹은 암호화폐 채굴로 해킹을 하는 방식으로 최근 해커들의 관심을 한 몸에 받고 있는 기법 중 하나다. 채굴 비용을 피해자에게 떠넘길 수 있다는 것이 가장 고유한 특징이다. 하지만 이 외에도 온프레미스 시스템에 비해 클라우드 서비스를 이용하는 기업의 안전 불감증이 심한 편이며 이미 알려진 취약점이 많다는 낮은 진입 장벽도 큰 몫을 한다고 보고서는 설명했다. 구성 설정 오류는 여전히 가장 흔한 취약점으로 나타났으며, 그 밖에 로...
2022.09.15
작년 말 로그4j 대란은 그 피해의 규모만큼이나 큰 변화의 계기가 됐다. 아직 한 해가 끝나지 않았음에도 2022년을 ‘오픈소스 보안의 해’라고 불러도 무리가 아닐 정도로 수많은 오픈소스 보안 이니셔티브, 프로젝트 및 지침이 잇따라 공개됐기 때문이다. 오늘날 오픈소스 구성요소는 거의 모든 소프트웨어에 쓰인다. 무수한 개발자가 애용하지만 그만큼 보안 위협 또한 비대해졌다. 따라서 여러 벤더, 조직, 정부 기관 모두 너나할 것 없이 오픈소스 보안을 굳건히 하고자 발 벗고 나섰다. 리눅스재단의 오픈소스 공급망 보안 책임자인 데이비드 휠러는 “2022년에는 그 어느때보다도 오픈소스 보안에 대한 관심이 커졌다. 각 분야의 조직이 자신의 역할을 모색하기 시작했다. 아직 갈 길이 멀지만 확실히 의미 있는 진전을 이뤄냈다”라고 말했다. 윌러는 이어 “오픈소스는 오늘날 거의 모든 소프트웨어의 근간이다”라며 “최근 조사에 따르면 현존하는 모든 애플리케이션 중 70~90%가 오픈소스 소프트웨어(OSS)구성요소를 포함한다. 높은 의존도 자체가 문제는 아니다. 그러나 OSS 보안이 취약하다면 얘기는 달라진다”라고 설명했다. 그는 또한 “기업이 어떤 식으로든 오픈소스 보안을 강화하려면 추가 자원과 계기가 필요하다”라며 “소프트웨어 개발자에게 보안이란 또 다른 요구사항이 되므로 대다수 기업은 도움에 목말라 있다”라고 말했다. 2022년에는 기업을 지원하기 위한 오픈소스 이니셔티브 및 프로젝트가 여럿 출범했다. 이 중 8가지 주요 이니셔티브에 대해 알아본다. 1. 백악관의 오픈소스 보안 서밋 (1월) 지난 1월 백악관은 정부와 민간 부문의 이해관계자를 소집해 오픈소스 소프트웨어의 보안을 개선하기 위한 이니셔티브와 개선을 추진하기 위한 새로운 협업 방식에 대해 논의했다. 회의 참석자로는 앤 뉴버거 사이버 및 신기술 국가안보 부보좌관과 크리스 잉글리스 국가사이버국장을 비롯해 아카마이, 아마...
오픈소스 오픈소스보안 OSS 오픈소스 커뮤니티 오픈소스 SW
2022.09.14
작년 말 로그4j 대란은 그 피해의 규모만큼이나 큰 변화의 계기가 됐다. 아직 한 해가 끝나지 않았음에도 2022년을 ‘오픈소스 보안의 해’라고 불러도 무리가 아닐 정도로 수많은 오픈소스 보안 이니셔티브, 프로젝트 및 지침이 잇따라 공개됐기 때문이다. 오늘날 오픈소스 구성요소는 거의 모든 소프트웨어에 쓰인다. 무수한 개발자가 애용하지만 그만큼 보안 위협 또한 비대해졌다. 따라서 여러 벤더, 조직, 정부 기관 모두 너나할 것 없이 오픈소스 보안을 굳건히 하고자 발 벗고 나섰다. 리눅스재단의 오픈소스 공급망 보안 책임자인 데이비드 휠러는 “2022년에는 그 어느때보다도 오픈소스 보안에 대한 관심이 커졌다. 각 분야의 조직이 자신의 역할을 모색하기 시작했다. 아직 갈 길이 멀지만 확실히 의미 있는 진전을 이뤄냈다”라고 말했다. 윌러는 이어 “오픈소스는 오늘날 거의 모든 소프트웨어의 근간이다”라며 “최근 조사에 따르면 현존하는 모든 애플리케이션 중 70~90%가 오픈소스 소프트웨어(OSS)구성요소를 포함한다. 높은 의존도 자체가 문제는 아니다. 그러나 OSS 보안이 취약하다면 얘기는 달라진다”라고 설명했다. 그는 또한 “기업이 어떤 식으로든 오픈소스 보안을 강화하려면 추가 자원과 계기가 필요하다”라며 “소프트웨어 개발자에게 보안이란 또 다른 요구사항이 되므로 대다수 기업은 도움에 목말라 있다”라고 말했다. 2022년에는 기업을 지원하기 위한 오픈소스 이니셔티브 및 프로젝트가 여럿 출범했다. 이 중 8가지 주요 이니셔티브에 대해 알아본다. 1. 백악관의 오픈소스 보안 서밋 (1월) 지난 1월 백악관은 정부와 민간 부문의 이해관계자를 소집해 오픈소스 소프트웨어의 보안을 개선하기 위한 이니셔티브와 개선을 추진하기 위한 새로운 협업 방식에 대해 논의했다. 회의 참석자로는 앤 뉴버거 사이버 및 신기술 국가안보 부보좌관과 크리스 잉글리스 국가사이버국장을 비롯해 아카마이, 아마...
2022.09.14
그 어느 업계와 마찬가지로 사이버보안 업계도 인력난에 허덕이고 있다. 사고방식을 바꿔 성공적인 채용 전략을 도입한 몇몇 CISO의 전략에 대해 알아본다. 미국의 은행 지주회사 ZB(Zions Bancorporation)의 CISO 데이브 스털링은 사이버보안 인력 공백을 해결하기 위해 대대적인 인력풀 개편이나 인력 시장의 변화를 기다리고 있지 않다. 대신에 그는 돌파구를 직접 찾아나섰다. 바로 ‘다양한 것들을 무수히 시도하고 그중에서 성공적인 전략을 찾는’ 방식으로 인재 채용 전략을 변경하고 있다고 그는 말했다. 이 접근방식 중에는 은행의 IT 및 운영 인력 부서 모색, 지역 대학과의 협력 등이 있다. 동시에 그는 이런 시도를 아무리 많이 하더라도 만성 인력 부족, 고용, 유지의 문제에 대한 만병통치약이 될 수는 없다는 점을 안다. 하지만 그는 최소한 이제 찾아보기도 힘든 사이버보안 인재를 고용하여 유지하는 능력이 점차 개선되고 있다고 말했다. 사이버보안 인력 부족에 대한 암담한 통계를 고려하면 고무적인 성과다. IT 거버넌스 협회 ISACA가 ‘2022년 사이버보안 실태: 인적 자원 관리 및 사이버 운영 관리에 대한 글로벌 업데이트(State of Cybersecurity 2022: Global Update on Workforce Efforts, Resources and Cyberoperations)’에서 2,000명 이상의 사이버보안 전문가를 대상으로 한 조사에 따르면 무려 63%의 기업이 사이버보안 자리를 채우지 못했고(2021년보다 8%p 증가) 62%는 사이버 보안팀의 인력이 부족한 상태다. 한편, 20%는 적합한 사이버보안 지원자를 찾는 데만 6개월 이상이 소요된다고 답했으며, 60%는 사이버보안 전문가를 고용하더라도 유지하기 어렵다고 말했다(2021보다 7%p 증가). 이와 동시에 기업 내 보안 위협이 점차 많아지고 정교해지면서 이 공격 표면에 대비해야 할 필요성도 증가했다. 기존 인력을 채우는 것을 넘...
사이버보안인재 사이버보안 전문가 IT인력 인력 부족 채용난
2022.09.13
그 어느 업계와 마찬가지로 사이버보안 업계도 인력난에 허덕이고 있다. 사고방식을 바꿔 성공적인 채용 전략을 도입한 몇몇 CISO의 전략에 대해 알아본다. 미국의 은행 지주회사 ZB(Zions Bancorporation)의 CISO 데이브 스털링은 사이버보안 인력 공백을 해결하기 위해 대대적인 인력풀 개편이나 인력 시장의 변화를 기다리고 있지 않다. 대신에 그는 돌파구를 직접 찾아나섰다. 바로 ‘다양한 것들을 무수히 시도하고 그중에서 성공적인 전략을 찾는’ 방식으로 인재 채용 전략을 변경하고 있다고 그는 말했다. 이 접근방식 중에는 은행의 IT 및 운영 인력 부서 모색, 지역 대학과의 협력 등이 있다. 동시에 그는 이런 시도를 아무리 많이 하더라도 만성 인력 부족, 고용, 유지의 문제에 대한 만병통치약이 될 수는 없다는 점을 안다. 하지만 그는 최소한 이제 찾아보기도 힘든 사이버보안 인재를 고용하여 유지하는 능력이 점차 개선되고 있다고 말했다. 사이버보안 인력 부족에 대한 암담한 통계를 고려하면 고무적인 성과다. IT 거버넌스 협회 ISACA가 ‘2022년 사이버보안 실태: 인적 자원 관리 및 사이버 운영 관리에 대한 글로벌 업데이트(State of Cybersecurity 2022: Global Update on Workforce Efforts, Resources and Cyberoperations)’에서 2,000명 이상의 사이버보안 전문가를 대상으로 한 조사에 따르면 무려 63%의 기업이 사이버보안 자리를 채우지 못했고(2021년보다 8%p 증가) 62%는 사이버 보안팀의 인력이 부족한 상태다. 한편, 20%는 적합한 사이버보안 지원자를 찾는 데만 6개월 이상이 소요된다고 답했으며, 60%는 사이버보안 전문가를 고용하더라도 유지하기 어렵다고 말했다(2021보다 7%p 증가). 이와 동시에 기업 내 보안 위협이 점차 많아지고 정교해지면서 이 공격 표면에 대비해야 할 필요성도 증가했다. 기존 인력을 채우는 것을 넘...
2022.09.13
경쟁사, 사이버 범죄자, 국가 등이 이미지 지오태그, 메타데이터, 위치 정보에서 사용 가능한 정보를 얻을 수 있다는 점을 염두에 둬야 한다. 모든 마케터는 소셜 네트워크, 미디어, 기타 참여 수단을 통해 영향력을 가시적으로 보여주려고 한다. 소셜 이벤트, 무역 박람회, 컨퍼런스, 대면 만남에 참여하는 고객과 직원의 사진은 (이를 위한) 귀중한 자산이다. 다른 사람들이 보고 감탄할 수 있도록 이러한 고객 및 직원의 사진을 소셜 네트워크 플랫폼에 올리면 이 귀중한 자산의 가치가 더욱더 올라가고, 성공은 노출, 조회 수, 개별 참여로 수량화된다. 경쟁 인텔리전스를 위한 사진 데이터 수집 그리고 공격 표적화 하지만 이와 동시에 경쟁사에서도 (이를테면) 위치 정보 태그가 지정된 데이터, 사진의 메타데이터, 사진 속 개인의 신원 정보 등 수많은 유용한 데이터 포인트가 포함된 사진을 분석할 수 있다. 경쟁사 역시 이를 성공이라고 부른다. 그렇다. 디지털 인게이지먼트는 양날의 검이다. 데이터를 수집하는 건 경쟁사뿐만 아니다. 사이버 범죄자나 국가 정보 및 안보기관 등도 해당될 수 있다. ‘아는 것이 힘이다’라는 프랜시스 베이컨의 격언이 떠오른다. 경쟁사, 범죄자, 국가는 공개적으로 확보한 정보(예: 위치, 시간, 장소, 신원 정보 등)를 가지고 (원하는 타깃의) 모자이크를 만들기 시작할 수 있다. 美 국무부 산하 해외안보자문위원회(Overseas Security Advisory Council; OSAC)는 위치 공유를 통해 발생할 수 있는 물리적 및 디지털 타기팅을 경고했다(이는 해외에서 사업을 하는 미국 기업을 대상으로 한다). OSAC에 따르면 “위치 공유는 악의적인 행위자가 실생활에서 타깃을 찾는 가장 쉬운 방법이다.” 지난 2012년 미군도 개인의 정확한 위치에 액세스하는 애플리케이션을 통해 개인의 위치를 제공하는 정보를 게시하는 것과 관련된 보안 위험을 경고한 바 있다. 이러한 이유로 출...
SNS 사진 공유 메타데이터 지오태그 위치 정보 보안 위험
2022.09.13
경쟁사, 사이버 범죄자, 국가 등이 이미지 지오태그, 메타데이터, 위치 정보에서 사용 가능한 정보를 얻을 수 있다는 점을 염두에 둬야 한다. 모든 마케터는 소셜 네트워크, 미디어, 기타 참여 수단을 통해 영향력을 가시적으로 보여주려고 한다. 소셜 이벤트, 무역 박람회, 컨퍼런스, 대면 만남에 참여하는 고객과 직원의 사진은 (이를 위한) 귀중한 자산이다. 다른 사람들이 보고 감탄할 수 있도록 이러한 고객 및 직원의 사진을 소셜 네트워크 플랫폼에 올리면 이 귀중한 자산의 가치가 더욱더 올라가고, 성공은 노출, 조회 수, 개별 참여로 수량화된다. 경쟁 인텔리전스를 위한 사진 데이터 수집 그리고 공격 표적화 하지만 이와 동시에 경쟁사에서도 (이를테면) 위치 정보 태그가 지정된 데이터, 사진의 메타데이터, 사진 속 개인의 신원 정보 등 수많은 유용한 데이터 포인트가 포함된 사진을 분석할 수 있다. 경쟁사 역시 이를 성공이라고 부른다. 그렇다. 디지털 인게이지먼트는 양날의 검이다. 데이터를 수집하는 건 경쟁사뿐만 아니다. 사이버 범죄자나 국가 정보 및 안보기관 등도 해당될 수 있다. ‘아는 것이 힘이다’라는 프랜시스 베이컨의 격언이 떠오른다. 경쟁사, 범죄자, 국가는 공개적으로 확보한 정보(예: 위치, 시간, 장소, 신원 정보 등)를 가지고 (원하는 타깃의) 모자이크를 만들기 시작할 수 있다. 美 국무부 산하 해외안보자문위원회(Overseas Security Advisory Council; OSAC)는 위치 공유를 통해 발생할 수 있는 물리적 및 디지털 타기팅을 경고했다(이는 해외에서 사업을 하는 미국 기업을 대상으로 한다). OSAC에 따르면 “위치 공유는 악의적인 행위자가 실생활에서 타깃을 찾는 가장 쉬운 방법이다.” 지난 2012년 미군도 개인의 정확한 위치에 액세스하는 애플리케이션을 통해 개인의 위치를 제공하는 정보를 게시하는 것과 관련된 보안 위험을 경고한 바 있다. 이러한 이유로 출...
2022.09.13
최신 보안 베스트 프랙티스가 기업의 컴플라이언스 탬플릿과 상충하는 상황이 발생하곤 한다. 여기 기업이 예외를 적용해야 할 일부 영역을 정리했다. ‘인터넷에서 좋은 보안 팁을 읽었다. 이를 통해 보안 태세를 개선할 수 있을 것으로 판단된다.’ 그러나 현실에서는 그 팁을 적용하려 먼저 알아보아야 할 점들이 있다. 해당 팁이 보안 컴플라이언스 요건에 부응하는지 또는 컴플라이언스 템플릿에 용인 가능한 예외가 될 수 있는지 등이다. 많은 사람들이 여러 컴플라이언스 요건이 있는 기업에서 근무한다. 기업이 크고 국제화될수록 더 많은 기술 컴플라이언스 규정을 준수해야 한다. EU(European Union)의 GDPR(General Data Protection Regulation), 미국 HIPAA(Health Insurance Portability and Accountability Act), PCI DSS(Payment Card Industry Data Security Standard), NIST(National Institute of Standards and Technology) 지침, FISMA(Federal Information Security Management Act), CIS(Center for Internet Security) 관리규정 등이 그것이다. 관리 vs. 비관리 윈도우 업데이트 일부 컴플라이언스 또는 권 사항은 지난 몇 년 동안의 변화를 고려할 때 놀라울 수 있다. 좋은 예가 윈도우 업데이트 처리 방식이다. 일부 조직의 업데이트는 더 이상 WSUS(Windows Software Update Services)에 의해 제어되지 않는다. 그러나 기업이 업데이트를 배치하는 현실을 따라오지 못하는 규정도 존재한다. 좀더 자세히 살펴본다. 기존의 권고 원칙은 명확했다. 시스템 업데이트가 관리를 벗어나지 않도록 해야 한다는 것이다. 윈도우 서버(Server) 2012 R2의 섹션 노트에도 다음과 같이 명시되어 있다. &...
2022.09.02
최신 보안 베스트 프랙티스가 기업의 컴플라이언스 탬플릿과 상충하는 상황이 발생하곤 한다. 여기 기업이 예외를 적용해야 할 일부 영역을 정리했다. ‘인터넷에서 좋은 보안 팁을 읽었다. 이를 통해 보안 태세를 개선할 수 있을 것으로 판단된다.’ 그러나 현실에서는 그 팁을 적용하려 먼저 알아보아야 할 점들이 있다. 해당 팁이 보안 컴플라이언스 요건에 부응하는지 또는 컴플라이언스 템플릿에 용인 가능한 예외가 될 수 있는지 등이다. 많은 사람들이 여러 컴플라이언스 요건이 있는 기업에서 근무한다. 기업이 크고 국제화될수록 더 많은 기술 컴플라이언스 규정을 준수해야 한다. EU(European Union)의 GDPR(General Data Protection Regulation), 미국 HIPAA(Health Insurance Portability and Accountability Act), PCI DSS(Payment Card Industry Data Security Standard), NIST(National Institute of Standards and Technology) 지침, FISMA(Federal Information Security Management Act), CIS(Center for Internet Security) 관리규정 등이 그것이다. 관리 vs. 비관리 윈도우 업데이트 일부 컴플라이언스 또는 권 사항은 지난 몇 년 동안의 변화를 고려할 때 놀라울 수 있다. 좋은 예가 윈도우 업데이트 처리 방식이다. 일부 조직의 업데이트는 더 이상 WSUS(Windows Software Update Services)에 의해 제어되지 않는다. 그러나 기업이 업데이트를 배치하는 현실을 따라오지 못하는 규정도 존재한다. 좀더 자세히 살펴본다. 기존의 권고 원칙은 명확했다. 시스템 업데이트가 관리를 벗어나지 않도록 해야 한다는 것이다. 윈도우 서버(Server) 2012 R2의 섹션 노트에도 다음과 같이 명시되어 있다. &...
2022.09.02
추천기사