오픈AI(OpenAI)의 GPT-3.5 기반 무료 챗봇인 챗GPT(ChatGPT)는 2022년 11월 30일 출시돼 5일 만에 100만 명의 사용자를 모았다. 질문에 따라 챗GPT는 이메일, 에세이, 코드, 심지어 피싱 이메일까지 작성한다.     사실 축하 파티를 열 정도는 아니다. 트위터는 100만 명의 사용자를 모으는 데 2년이 걸렸다. 페이스북은 10개월, 드롭박스는 7개월, 스포티파이는 5개월, 인스타그램은 6주, 포켓몬 고는 불과 10시간이다. 하지만 내장된 이름 인식 기능이 없는 웹 기반 도구가 100만 명의 사용자를 확보하는 데 5일이 걸렸다는 사실은 인상적이기는 하다. 챗GPT의 등장에 긴장해야 할 이유는 많다. 챗GPT는 웬만한 고등학생이나 대학생이 직접 쓴 것보다 더 나은 에세이를 작성한다. 코드를 작성하고 디버그할 수도 있다. 보안 업체 체크포인트 소프트웨어 테크놀로지스(Check Point Software Technologies)의 위협 첩보 그룹 관리자인 세르게이 샤이케비치는 “챗GPT를 통해 코딩 및 개발 지식이 없는 사람도 개발자가 될 수 있다”라고 설명했다. 샤이케비치는 그동안 다크웹의 대화를 모니터링하면서 개발 경험이 없는 사이버 범죄자들이 악의적인 도구를 생성하기 위해 챗GPT를 악용하고 있다는 증거를 발견했다. 2022년 12월 5일 등장한 러시아의 한 기술 블로그 Habr.com은 프로그래밍에 챗GPT를 사용하는 방법을 다루고 있다. 미국 이미지 보드 사이트 포챈(4Chan)의 러시아판인 투챈(2Chan)에서는 오픈AI의 지역 차단을 우회하는 방법에 대한 논의도 있었다.  그러나 일부 사용자는 온라인에서 판매할 예술작품 혹은 전자책을 만드는 등 AI를 비파괴적인 방법으로 사용하는 방법을 모색하고 있다. 또한 챗GPT는 6살 어린이에게 양자 물리학을 설명하고 시를 쓰며, 맞춤형 식사 계획을 세우고 SAT에서 1,020점을 받을 수 있다.   더 많은 이들이 사용할수록 챗...

2023.01.19

경제적 불확실성, 미묘하게 변화하는 인재 시장, 기술 비용의 증가… IT리더들이 올해 유의하고 있는 도전 과제 목록을 살펴본다.    약 3년전, IT 리더들은 클라우드 전환 계획 등을 아우르는 디지털 트랜스포메이션을 위해 여러 새로운 IT 기술과 접근방식을 비즈니스 모델에 접목하는데 집중했다. 그러나 이후 발생한 팬데믹은 기존 계획을 제쳐 두고 다른 계획을 가속화하도록 압박했다. 이제 조직들이 ‘뉴 노멀’로 어느 정도 복귀한 상태이며 CIO들은 지난 몇 년 동안 생긴 기술 부채 문제를 해결하는 데 집중하고 있는 듯 보인다.  다시 IT 리더들의 주된 관심사가 된 주제는 채용, 직원 유지, 그리고 최첨단 기술의 채택 등이다. 또한 원격 근무가 늘어난 상황에서 IT 인력을 다양화하고 동료들과 연결될 수 있도록 팬데믹 이후의 업무 다이나믹(work dynamic)을 창출하데 주력하고 있다. 좀더 크게는 직장 문화에 긍정적인 변화를 만드는 데 전념하고 있다.  그러나 이는 다가오는 현실에서의 새로운 혹은 더욱 심화된 도전 과제를 헤쳐 나가는 것을 의미한다. 그 중에서도 특히 어려운 도전 과제는 세계 경제 침체 가능성이다. 다음은 IT 리더들이 앞으로 1년 동안 직면할 것으로 예상되는 주요 문제와 이에 대처하는 방안에 대해 공유해온 내용이다. 경제적 불확실성 이반티(Ivanti)의 최고 제품 책임자인 스리니바스 무카말라는 불확실성을 야기하는 다수의 경제적 요인에 대해 조직들이 우려하고 있다고 언급했다.  무카말라는 “팬데믹 이후의 소프트 경제(soft economy), 다가오는 경기 침체, 인플레이션을 극복할 방법을 모색하는 리더들이 다수다. 불확실성이 높은 상황에서 비즈니스의 미래를 어떻게 보장할 수 있을까? 한 가지 분명한 것은 모든 조직이 직면하는 큰 문제를 해결하기 위해 업계 전반에서 협력해야 한다는 점이다”라고 말했다.  씨게이트 테크놀로지(Seagate Technology)의 IT 담당 수...

2023.01.11

세계적으로 널리 쓰이는 쇼트폼 영상 서비스 틱톡이 최근 미국 행정 각부 스마트폰서 금지된 데 이어 주정부와 대학에서 잇달아 금지되고 있다. 사기업도 틱톡의 보안 위협을 검토해야 할 때다.   12월 29일 바이든 대통령이 서명한 2023년 회계연도 옴니버스 세출법안에는 사이버보안 지출 예산과 관련 규제가 포함됐다. 이 중 하나가 행정 각부(The Executive Branch) 스마트폰에서 틱톡의 사용을 금지하는 법안이었다. 법안은 총무원장, CISA 국장, 국자정보국장, 국방부 장관의 협의 아래 2개월 이내로 틱톡 사용 금지에 대한 집행 기준과 지침을 마련하도록 지시한다.  법안이 제정되자마자 미 하원 행정부 최고책임자는 하원의원과 공무원의 스마트폰에서 틱톡 사용을 곧바로 금지하는 행보를 보였다.  하지만 틱톡 사용을 금지한 것은 비단 연방 정부뿐만이 아니다.    美 주정부·영국·스웨덴·인도 틱톡 금지령  미국의 다른 주 정부도 틱톡을 공무원의 스마트폰에서 금지하기 위해 조처했거나 조처할 예정이다:  테네시 주: 2022년 12월 빌 리 주지사가 틱톡 사용을 금지했다. 텍사스: 2022년 12월 7일 그렉 애벗 주지사가 틱톡 사용을 금지했다.  인디애나: 2022년 12월 7일 인디애나 기술청이 틱톡 사용을 금지했다.  유타: 2022년 12월 12일 스펜서 콕스 주지사가 틱톡 사용을 금지했다.  중요한 것은 이러한 추세가 단지 미국과 틱톡의 모회사인 바이트댄스 사이 만에 벌어지고 있는 실랑이가 아니라는 점이다.  영국은 정부 기관에 틱톡과 관련된 위험을 경고해 의회 내 틱톡 계정을 비활성화하기까지 이르렀다. 스웨덴의 스베리게스(Sveriges) 공영방송은 직원들에게 “안전상의 문제로” 업무용 스마트폰에서 틱톡을 삭제할 것을 요구했으며, 인도도 2020년 “국가 안보 문제”를 이유로 틱톡을 금지한 이래 계속 금지령을 이어가고 있다.  &n...

2023.01.10

IT 보안 분야에서 일하는 이리나 싱은 그동안 여러 어려운 프로젝트를 잘 해냈다. 정보 시스템 관리 학사 학위를 취득하고 국제 비즈니스를 부전공했으며, 현재는 의료기기 회사인 메드트로닉(Medtronic)에서 기본 사업부 4곳에 IT 서비스를 제공하는 비즈니스 정보 보안 조율팀을 관리한다. 싱은 “비즈니스를 보안으로, 보안을 비즈니스로”가 자신의 슬로건이라고 말했다. 어떤 의미일까?   싱은 스스로를 ‘비즈니스 정보 보안 파트너’로 칭하지만 이 역할에 가장 일반적으로 사용되는 명칭은 ‘비즈니스 정보 보안 책임자(business information security officer, BISO)’다. 온라인의 직무 설명 자료와 이 기사를 위해 취재한 여러 소스에 따르면, BISO는 하나 또는 여러 비즈니스 영역을 담당하며 보통 CISO나 CTO에 보고한다. BISO가 갖추어야 할 핵심 역량은 규정 준수에 대한 능숙함, 사이버보안에 대한 탄탄한 기초, 그리고 비즈니스 감각이다. 싱은 “일자리가 부족했던 9/11 테러 직후 졸업해서 에너지 스타트업에 입사해 컴퓨터를 조립하는 방법과 서버 및 데이터베이스를 관리하는 방법을 비롯해 모든 것을 처음부터 새로 배웠다. 이후에는 포춘 100대 감사 및 회계 기업의 IT 감사 부문에서 일했고 멘토링과 교육을 통해 프로젝트 기반의 작업에 재미를 느끼게 됐다”라고 말했다. 보안과 비즈니스의 간극을 잇는 사람 포춘 100대 컨설팅 기업에서 컨설팅 업무를 하던 싱은 GLBA, PCI, SAS 70 감사(SOC II의 전신)에 초점을 두고 금융 기관을 감사했다. 이후 대형 의료 IT 서비스 그룹에서 정부 규정 준수를 주 업무로 맡았다. 최종적으로는 BISO 역할이 공식적으로 정의되기 전부터 메드트로닉에서 이 역할을 개척했다. 싱은 책임자(officer)라는 직함보다는 비즈니스 정보 보안 파트너라는 명칭을 선호했지만, 많은 대규모 기업에 만연한 사이버보안과 비즈니스 부서 간의 커뮤니케이션의 어려움을 해결해야 하는 역할이라는 ...

2023.01.10

가정에서 사용하는 로봇 청소기가 해킹돼 원격에서 조종당하면 로봇 청소기가 가정의 프라이버시를 침해하는 공격 수단이 될 수 있다. 스마트 공장에서 사용하는 로봇이 해킹 당하면 공장에 상당한 피해를 줄 수 있고, 자율주행 자동차가 해킹 당하면 사람의 생명과 재산에 심각한 위협이 된다.  제품이 보안 공격을 당하면 이용자의 구매 목적이 아니라 공격자의 목적에 따라 제품이 악용되어 오히려 이용자에게 큰 피해를 입힐 수 있다. 지난 칼럼에서 설명한 대로 제품 보안의 목표는 개발사가 자신의 통제 범위를 벗어나 이용자의 통제 권한 범위 내에 있는 제품이 공격자의 통제에 들어가지 못하도록 보호하는 것이다. → 강은성의 보안 아키텍트ㅣ기업 보안 vs. 제품 보안 (1) 제품 보안을 위해서는 개발 단계에서 모든 보안 취약점을 없애는 것이 바람직하지만 그렇지 못한 경우도 꽤 있다. 아예 발견하지 못하기도 하고, 위험 평가 결과가 ‘Low’로 나와서 (시간과 비용의 문제로) 완화 방안을 구현하지 않기도 한다. 제품 출시 이후에 공격자가 이러한 취약점을 발견하여 공격 경로로 악용할 수 있다.  출시 시점에는 보안 취약점이 없었으나 IT의 발전, 새로운 공격 기술의 출현으로 보안 취약점이 나타날 수도 있다. 대표적인 것이 암호 관련 알고리즘이다. MD5, DES, RSA 알고리즘이 출시 당시에는 안전하다고 보았으나 이후 보안 취약점이 발견되거나 컴퓨팅 능력의 향상으로 공격당하기도 한다.  이에 대응하기 위해 제품 보안에서는 개발 단계에서의 보안(Secure Development Lifecycle)을 넘어서 ‘제품의 전체 생명주기에서 보안(Secure Product Lifecycle, SPL)’이 이뤄져야 한다. SPL에서는 출시된 제품에서 보안 취약점이 발견됐을 때 대응하는 ‘제품 보안 대응 체계’가 중요하다.  글로벌 제품 개발사가 운영하는 제품 보안 사고대응팀(Product Security Incident Response Te...

2023.01.10

트위터가 최근 들어 수억 명의 사용자 데이터를 탈취당했다는 혐의를 여러 차례 받고 있다. 명백한 증거가 발견된다면 유럽연합 규제당국이 트위터의 유럽 운영 자체를 중단시키는 최악의 상황까지 치닫을 수 있다. 전문가들은 트위터가 그전에 먼저 나서 사건의 내막을 속속들이 파악하고 사실을 투명하게 밝혀야 한다고 경고했다.    일론 머스크가 10월 말 트위터를 인수하고부터 끊임없는 논란에 휩싸였다. 대규모 해고부터 CEO직 사임까지 머스크의 기이한 행보로 인해 트위터의 평판이 크게 훼손됐다. 여기에 더해 최근 1년 동안 대규모 사용자 정보 유출 사건에 여럿 연루되면서 회사가 더더욱 나락에 빠질 수 있다는 경고의 목소리가 커지고 있다.  작년 12월 트위터는 사용자 540만 명의 개인정보를 탈취당했다는 혐의로 유렵연합(EU)의 조사를 받기 시작했다. 하지만 트위터나 일론 머스크는 아직도 데이터 유출에 대한 공식 입장을 밝히지 않았다. 전문가들은 트위터가 앞장서 규제당국에 모든 정보를 공유하고 이용자에게 데이터 유출 현황에 대해 투명하게 알리지 않으면 회사 운영과 매출에 큰 타격을 받을 것이라 경고했다.    트위터 데이터 유출 사건 타임라인  다크웹에서 불법으로 판매되는 데이터처럼 트위터의 데이터 유출 현황은 불투명한 상태다. 지난 7월 ‘데빌(Devil)’이라는 닉네임의 위협행위자가 트위터 계정 540만 개의 전화번호와 이메일 주소를 3만 달러의 가격으로 데이터 포럼에 판매한 것이 사건의 시작이었다. 데빌은 2022년 1월 1일 트위터의 취약점을 악용해 이 데이터 탈취했다고 주장했다. 안드로이드 사용자가 노출됐던 이 취약점을 악용하면 공격자는 사용자 승인 없이도 전화번호 및 이메일 정보를 요청해 트위터 ID를 탈취할 수 있다. 데빌이 판매 글을 게시한 지 한 달이 지나서야 트위터는 해당 취약점을 인정했으며 피해를 본 사용자에게 연락을 취하겠다고 전했다.  이어 540만 개의 사용자 데이터가 11월...

2023.01.09

오토메이티드 리브라(Automated Libra)라고 불리는 남아공의 한 해킹 조직이 13만 개가 넘는 가짜 계정을 생성해 몇몇 클라우드 플랫폼이 제공하는 무료 체험 서비스를 암호화폐를 채굴하는 데 사용했다.     깃허브, 히로쿠(Heroku), 토글박스(Togglebox) 등의 제공업체는 무료 혹은 체험판 클라우드 컴퓨팅 리소스와 플랫폼을 제공한다. 오토메이티드 리브라 해킹 조직이 CI/CD 기법으로 수만 개의 가짜 계정을 자동으로 생성해 이런 서비스를 속여 무제한으로 이용했다. 서비스를 속이기 위해 분실됐거나 도난당한 신용카드 정보을 이용한 것으로 드러났다.  팔로알토 네트워크의 유닛42 연구진에 따르면 일명 퍼플어친(PurpleUrchin)이라고 불리는 이 공격 수법은 깃허브 액션 워크플로우(GitHub Actions Workflow)를 마이닝에 이용하기 위해 CAPTCHA 제거 작업을 자동화했다. 분당 생성된 가짜 깃허브 계정만 3~5개였다.  연구진은 “각 깃허브 계정은 일종의 먹튀(play-and-run) 전략을 사용했다. 컴퓨팅 자원을 맘대로 이용하고 비용을 지불하지 않은 것”이라며 “퍼플어친 작전은 여러 가상개인서버(VPS) 제공업체와 클라우드 서비스 제공업체(CSP)에 걸쳐 13만개 이상의 가짜 생성한 것으로 보인다”라고 말했다.    프리재킹(freejacking)과 ‘먹튀’ 전략 혼용  연구진은 무료 제공 서비스를 남용하는 해킹 수법을 프리재킹(freejacking), 유료 서비스를 이용하면서 비용을 내지 않는 해킹 수법을 먹튀(play-and-run)이라고 명명했다. 유료 서비스는 무료 체험을 제공하기 전 거래가 가능한 신용카드 정보를 요구하기 때문에 먹튀 수법을 성공시키기는 어렵다. 그러나 비용 청구 기간에 허점이 있었다. 사용량은 분 단위로 측정되지만, 비용은 훨씬 더 오랜 기간 뒤에 청구돼 해커가 서비스를 속일 시간을 마련해주는 셈이다.  오토메이티드 ...

2023.01.06

보안 업체 퀄리스의 연구진은 한 해킹 조직이 콜럼비아 은행에서 탈취한 고객 정보를 피싱 공격에 악용하고 있다고 보고했다. 애초 은행 데이터 탈취 사건의 용의자로 의심받고 있는 이 해킹 그룹은 2021년 2월부터 지하 시장에서 판매된 상용 트로이 목마 프로그램 비트랏(BitRat)을 배포하고 있다.      탈취한 은행 데이터를 ‘미끼’ 삼아  퀄리스 연구진은 사용자 정보를 담은 엑셀 파일이 피싱 공격의 유인책으로 쓰이고 있다는 사실을 발견했다.  이 데이터를 더 조사한 결과 콜롬비아의 한 협력 은행의 것으로 밝혀졌다. 연구진은 은행의 공공 웹 인프라를 살펴본 후 SQL 주입 공격을 수행하기 위한 sqlmap 도구가 사용된 것으로 추정되는 로그를 발견했다. 공격자들이 만든 데이터베이스 덤프 파일을 발견하기도 했다.  연구진은 보고서에서 “세둘러 번호(콜롬비아의 주민등록번호), 이메일 주소, 전화번호, 고객 이름, 지출 내역, 급여, 주소 등의 세부 정보가 담긴 고객 데이터 41만 8,777줄이 유출됐다”라며 “현재 다크웹이나 클리어웹 모니러팅 목록에서 이 데이터가 발견되지는 않았다”라고 말했다.  해킹 그룹은 때로 다크웹에서 데이터를 구입한다. 하지만 이 데이터는 웹 그 어디에서도 발견되지 않았으므로 개인적으로 구매됐거나 배후에 있는 공격자가 직접 데이터를 탈취했을 가능성이 크다.  이는 연구진이 오랫동안 경고해온 데이터 탈취 수법이다. 도난당한 데이터가 바로 금전적 이득을 얻거나 계정에 접근하는 데 사용될 수 없더라도, 미끼로 악용될 수 있다. 일반 사용자는 은행 같은 공식 기관만이 접근할 수 있는 개인정보가 포함된 이메일 피싱에 더 쉽게 속을 가능성이 크다.    정교한 악성 파일 배포 방식   엑셀 파일의 드로퍼 메커니즘은 상당히 정교하다. 먼저, 파일 내부에 고도로 난독화된 매크로 스크립트가 숨겨져 있다. 이 스크립트는 수백 개의 배열로부터 .in...

2023.01.05

전 세계 국가 중 특히 인도, 미국, 인도네시아 및 중국을 겨냥한 공격은 공공기관 부문에서 보고된 총 사이버 공격 건수의 40%를 차지했다.    AI 기반 사이버보안 솔루션 업체 클라우드섹(CloudSek)이 최근 발간한 보고서에 따르면 2022년 하반기 전 세계 공공기관을 겨냥한 사이버 공격이 지난해 같은 기간보다 95%나 증가했다.  이 보고서에 따르면 팬데믹 기간 공공기관 또한 디지털화를 가속하고 원격 근무를 도입하면서 공격받을 여지가 더 많아졌다. 이는 국가 차원의 정치적 해킹이 성행할 발판을 마련하기도 했다.  정부 기관은 다크웹에 판매되는 등 악용될 수 있는 시민의 개인정보를 대량으로 수집하고 관리한다. 해킹 그룹이 국가 안보 및 군사 전략에 관한 자료를 탈취해 악용할 소지도 있다.    해킹활동가, 핵티비스트(hacktivist)의 부상  2022년에는 이른바 핵티비스트(hacktivist)라고 불리는 정치적 해킹활동가들이 공공부문을 겨냥한 공격의 9%를 차지하며 새로운 종류의 해커로 부상했다. 랜섬웨어 해킹은 전체 공격의 6%를 차지했으며, 이 중 록비트(LockBit)가 대표 해킹 그룹 중 하나로 꼽혔다.  정부 차원의 해킹 공격도 급증했다. 초기 액세스 브로커나 서비스형 랜섬웨어 같은 새로운 형태의 해킹 지원 도구가 생겨난 탓이 크다.  보고서는 “이러한 통계는 사이버 공격이 단지 금전적 동기로만 이루어지지 않는다는 점을 보여준다. 특정 해킹이 정치, 종교, 심지어 정책에 대한 지지나 반발을 표현하는 수단으로 이용되고 있다”라고 말했다.  보고서는 “위협 행위자가 사이버범죄 전용 인프라를 개발하고 광고하기 시작했다. 정부나 개인이 구매할 수 있어 여러 악의적인 목적에 악용될 위험이 있다”라고 덧붙였다.  IBM에 따르면 공공부문의 사이버 공격 평균 피해액은 2021년 3월 193만 달러에서 2022년 3월 207만 달러로 7.25...

2023.01.05

2022년 랜섬웨어 생태계는 크게 변화했다. 공격자는 대규모 조직에서 소규모 서비스형 랜섬웨어(Ransomware-as-a-Service; RaaS) 그룹으로 전환했다. 유연성을 확보하고, 법 집행 기관의 관심을 덜 끌기 위해서다. 이러한 랜섬웨어의 이른바 ‘민주화’는 다양해진 전술, 공격 수법, 절차(TTPs), 추적해야 할 더 많은 침해 지표(IOCs), 협상 또는 몸값 지불 시 거쳐야 할 더 많은 장애물을 가져왔기 때문에 [기업에는] 나쁜 소식이다.  시스코 탈로스 연구진은 연례 보고서에서 “생태계 변화 시점은 적어도 2021년 중반으로 거슬러 올라갈 수 있는데, 당시 콜로니얼 파이프라인(Colonial Pipeline) 랜섬웨어 공격과 이후 이어진 사법당국의 레빌(REvil) 그룹 소탕으로 여러 랜섬웨어 파트너십이 와해됐다”라면서, “이에 2023년의 랜섬웨어 생태계는 그 어느 때보다 다이내믹하리라 예상된다. 다양한 그룹이 법 집행 기관 및 민간 산업의 치열한 대응, 내분 및 내부자 위협 그리고 개발자와 운영자가 가장 수익성 좋은 랜섬웨어 공격을 찾아 계속해서 소속을 바꾸는 경쟁 시장에 적응하고 있어서다”라고 설명했다.    대형 랜섬웨어 그룹, 너무 많은 주목을 받았다 2019년부터 랜섬웨어 생태계는 ‘크고 전문화된’ 랜섬웨어 조직으로 연일 뉴스 헤드라인을 장식했고, 공격의 정당성을 인정받기 위해 언론의 관심을 끌기도 했다. 이를테면 랜섬웨어 그룹은 대변인을 통해 언론과 인터뷰를 하거나 대규모 침해와 관련하여 트위터 및 [자사의] 데이터 유출 웹사이트에 이른바 보도자료를 발행했다.  2021년 美 동부 지역의 휘발유 공급을 그야말로 마비시킨, 다크사이드(DarkSide)의 콜로니얼 파이프라인 해킹 사건은 랜섬웨어 공격이 핵심 인프라에 미칠 수 있는 위험을 경고했고, 정부 차원에서 이러한 위협에 대처하기 위해 적극 나서기 시작했다. 법 집행 기관의 관심이 높아지자 지하 사이버 범죄 포럼은 랜섬웨어 그룹과의 협력...

2023.01.03

‘절대 신뢰하지 말고 끊임없이 검증하라’라는 개념의 제로 트러스트에 대한 관심이 날로 커지고 있다. 코로나19 장기화 여파로 많은 기업이 원격이나 하이브리드 근무 방식을 도입했기 때문이다. 이에 분산된 업무 환경에서 모든 사용자의 접근을 관리해야 할 필요성이 대두됐다. 10여 년 전 포레스터의 애널리스트 존 킨더버그가 제안했던 이 보안 모델이 주목받는 이유다.  하지만 기업들이 간과하는 사실이 있다. ‘제로 트러스트(Zero Trust)’가 지속적인 여정이라는 점이다. ‘제로 트러스트(Zero Trust)’는 지속적인 여정이다. 이는 단순히 제품이나 솔루션이 아니다. 보안 관리를 위한 전략적 프레임워크다. 장기적으로 전념하되 무리해서 갈 필요는 없다. 작게 시작해 작은 승리를 반복하며 계속해서 나아가야 한다.  2023년, 이러한 ‘제로 트러스트 트랜스포메이션’을 추진할 계획인 IT 의사결정권자를 위해 WFA(Work From Anywhere) 시대에 부합하면서도 안전한 기반까지 구축할 수 있는 실용적인 지침을 소개한다.    원격 및 하이브리드 업무 환경이 증가하면서 보안 위협도 커지고 있다  지난 몇 년 동안 기업의 데이터 자산을 보호하는 일이 엄청나게 복잡해졌다. 원격 및 하이브리드 업무의 기반으로 많이 사용되면서 클라우드는 비즈니스 생산성의 판도를 바꿨지만 빛이 있으면 그림자도 있기 마련이다.  기업들이 온프레미스 인프라에 더해 클라우드까지 관리하게 되면서 공격 표면이 더 커졌다. 실제로 버라이즌(Version)의 조사 결과에 따르면 2022년 확인된 데이터 유출 건수가 총 5,200 건으로 전년 대비 1.3배 증가했다(Ponemon Institute and IBM, Cost of a Data Breach Report, 2022년).  이러한 공격이 미치는 영향의 범위도 커졌다. 예를 들어 공격이 성공하면 단일 고객뿐만 아니라 해당 클라우드 서비스의 모든 고객, 공급망 전체에 걸친...

2022.12.23

2023년이 목전에 다가왔다. 경기 침체와 인플레이션 가능성, 여전한 지역별 위기가 남아 있는 가운데, IT에 기반한 비즈니스혁신은 결코 둔화되지 않을 전망이다. 국내 유수 기업의 IT 리더들은 2023년의 어떤 흐름에 주목하고 있을까? 신세계 인터내셔널의 임홍철 CISO는 국내외 보안 시장에서 몇몇 조짐을 감지하고 있다고 전했다. 내년부터 본격화될 시장으로 주목하고 있는 분야가 있다. 바로 ‘OT 보안’이다. 산업제어 시스템과 관련 OT 보안 분야에서 벤더들의 움직임이 활발한 가운데, 시장이 열릴 가능성이 있다고 본다.  산업 제어 시스템의 경우 기반 설비와 통신 모듈에서부터 프로토콜에 이르기까지 IT 기반 설비와 크게 다르다. 또 기존의 산업 제어 시스템은 완전 폐쇄망이기에 외부로부터의 공격은 그리 우려 대상이 아니었다.  그러나 양상이 달라지고 있다. 설비의 효율성 등을 강화하려고 연결성을 추가하다보니 IT와 OT가 결합되고 있으며, 이로 인해 공격이 가능해지고 있다. 문제는 이러한 설비들이 공격자들에게 대단히 탐스러운 먹잇감이라는 사실이다. 악의적인 공격자들이 산업제어 시스템과 프로토콜에 대한 역량을 기꺼이 확보할 마음이 들게 할 정도로 탐스럽다.  정부 기관과 설비는 물론 대규모 공장이나 설비를 보유한 조직을 대상으로 한 OT 보안 시장이 내년부터 본격적으로 시작해 향후 몇 년간 성숙해갈 것으로 추측한다. 만약 국가 기간 시설이나 대기업의 설비를 치명적으로 공격하는 사례가 발생한다면 시장이 삽시간에 확대될 가능성도 배제할 수 없다. 실제로 이미 산업계에는 OT 보안 협의회 등이 발족하고 있다. 어지간한 보안 벤더들 또한 이 영역을 새로운 시장으로 바라보고 있다. OT 기업들 사이의 연결 생태계가 점점 더 긴밀하게 엮여가는 현실을 감안한다면 시장 규모는 몇몇 기업 수준을 넘어설 수도 있다.  단 공격자에 들여야 할 자원도 감안해야 한다. 개인이나 소규모 단체가 시도하기엔 비용과 인력이 부담스럽다. 몇 개월에...

2022.12.23

소셜 미디어로 인해 기업 및 직원 데이터가 노출될 수 있으며, 아울러 이를 잘못 사용하면 기업 평판이 훼손될 수도 있다. 이러한 위험을 줄일 방법을 살펴본다.   그야말로 소셜 미디어의 세상이지만 기업도 그래야 할까? 대답은 ‘아니오’다. 겉보기에 무해해 보이는 이러한 플랫폼의 숨겨진 위험 때문에 특정 상황에서 일부 소셜 미디어 액세스를 제한하는 법률과 규정이 최근 제정됐다. 예를 들면 美 연방정부와 몇몇 주는 (국가 안보 우려를 이유로) 정부기관용 기기에서 [짧은 비디오를 만들고 공유할 수 있는] 중국의 소셜 미디어 ‘틱톡(TikTok)’ 사용을 금지했다.   여기서 문제는 자국이 아닌 외국 소유의 애플리케이션에서 수집된 정보가 해당 정부 정보기관과 공유될 수 있다는 점이다. 이러한 정보에는 개인식별정보(PII), 키 입력 패턴, SIM 카드 또는 IP 주소 기반의 위치 정보, 앱 활동, 브라우저 및 검색 기록, 생체 인식 정보 등이 포함된다.    이런 맥락에서 직원들의 개인적인 소셜 미디어 사용은 기업 브랜드에 영향을 미칠 뿐만 아니라 회사나 직원 자신을 위험에 빠트릴 수 있다. 악의적 행위자는 소셜 미디어를 활용해 [직원들이] 근무하는 곳, 근무하는 부서, 물리적인 위치 등을 식별할 수 있다. 고위 경영진이나 금융 거래 권한이 있는 직원이라면 잠재적 피해가 더 크다.  물론 직원들이 소셜 미디어를 사용하는 데는 이유가 있다. 소셜 미디어를 통해 마케팅 캠페인을 강화하고, 뉴스 또는 중요한 정보를 발표하며, 기업의 인지도를 높일 수 있어서다. 아울러 정부 또는 핵심 인프라에 관한 위험 및 위협을 모니터링할 수도 있다. 또 기업들은 소셜 미디어 채널에서 자사에 관한 최신 정보를 모니터링하길 원할 수 있다. 하지만 어쨌든 이를 활용하면 직원과 기업 모두에 원치 않는 노출이 발생할 수 있다는 점을 인식하는 게 중요하다.  소셜 미디어에서의 직원 위험은 무엇인가? 다음은 소셜 미디어 플랫폼이 직원에...

2022.12.22

학생들의 진로에 관해 상담을 하다 보면, OO을 못 하는데 보안을 할 수 있냐는 질문을 종종 받는다. 프로그래밍이나 모의해킹, 보안 기술을 잘 모르는데 보안 분야에서 일할 수 있느냐는 질문이다. 당연히 일할 수 있다. 인생은 자신이 못 하는 것이 아니라 잘하는 두세 가지를 가지고 살아가는 것이라는 (잔소리성) 조언과 함께 15개 정도의 주요 보안 직무와 그 직무를 뽑는 회사 분류를 설명해 주면 대부분의 학생들이 ‘자신감'과 희망을 갖고 상담을 마친다. 학생들만 그 직무를 알기 어려운 게 아니다. 보안 분야가 워낙 넓게 펼쳐져 있어서, 보안 분야에 종사하는 분들 관련 정책을 펴는 분들도 전반적인 보안 직무의 특성, 필요 역량, 교육 커리큘럼, 인력 수요처를 충분히 이해하지 못하는 경우도 종종 있다.  보안 분야는 크게 기업 보안(Corporate security)과 제품 보안(Product security)으로 나눌 수 있다.    기업 보안과 제품 보안의 핵심적 차이는 보호 대상에 있다. 전자가 기업이 자신의 통제 권한 범위 내에 있는 자산을 보호하는 데 비해 후자는 개발사가 자신의 통제 범위를 벗어나 이용자의 통제 권한 범위 내에 있는 자산을 보호한다. 따라서 제품 보안에서는 제품 개발 단계에서 제품의 전체 라이프사이클을 고려하여 보안 취약점을 최소화하고, 출시 이후에도 보안 취약점을 신속하게 탐지·패치하는 것이 중요하다. 제품 이용자가 공격자이거나 악의적인 사용자일 가능성도 염두에 둬야 한다. 국내에서는 흔히 SaaS(Software as a Service)와 같은 서비스는 ‘제품’의 범위에 포함하지 않는 경우가 많으나, Product은 제품과 서비스 등 개발사가 Produce한 결과물을 포괄한다. 서비스는 보호 대상 측면에서는 일부 이용자의 통제 권한 범위에 포함되나 주로 개발사의 통제 권한 범위 안에 있고, 기술적으로는 주로 제품 보안 측면이 강하기 때문에 제품 보안과 기업 보안의 특성을 갖고 있다. 기업 보안의 신...

2022.12.19

스마트폰, 소셜 미디어, 하이브리드 업무 방식이 등장하기 전에는 ‘이용 목적 제한 방침(Acceptable Use Policy, AUP)’을 마련하고 시행하기가 쉬웠다. 그때에 비하면 요즘은 매우 복잡하다. 거의 모든 곳에서 업무를 할 수 있고 업무에 사용하는 기기의 종류도 제한적이지 않다. 사무실에 한 번도 오지 않고 집 또는 카리브해 해변에서 자신의 개인용 노트북으로 일할 수도 있다. 그만큼 AUP는 기업뿐 아니라 직원을 보호하는 데 훨씬 중요한 요소가 됐다.   이용 목적 제한 방침이란? AUP는 기업의 데이터와 기기, 네트워크 사용을 어느 선까지 허용할 것인지를 IT팀 관점에서 기술한다. 하이브리드 업무 환경이라면 개인이 보유한 기기나 홈 네트워크를 사용한 업무에 대한 조건을 포함해야 한다. 또한 게스트, 긱 워커(gig worker), 하청업체처럼 기타 시스템과 네트워크를 사용하는 비직원도 포함해야 한다. 누구나 이해할 수 있는 조건(가령 회사가 지급한 노트북으로 포르노를 보면 안 된다는 조건 등)이더라도 직원이 규칙과 그 규칙을 위반할 경우의 결과를 인식하도록 하는 것은 여전히 중요하다. 도로의 속도 제한이 명확함에도 불구하고 여전히 많은 운전자가 속도 위반을 한다는 사실을 기억하자. 가트너 수석 자문위원 알렉스 마이클스는 “사이버보안이 중요하다는 사실은 모두가 안다. 단지 보안을 위해 필요한 일을 하지 않을 뿐”이라고 말했다. 사이버보안을 자신의 개인적 책임으로 보지 않기 때문일 수 있다. 하지만 상당수의 데이터 침해가 악성 링크 클릭과 같은 사람의 실수에 의해 발생한다. 문제는 많은 AUP가 이해하기 어려운 기술적인 용어로, ‘하지 말라’는 금지 조항 위주로 작성된다는 점이다. 인터넷에서 찾은 범용 템플릿을 사용하는 경우도 있다. 그렇다면 더욱 진보적이고 효과적인 접근 방법은 무엇일까? 마이클스는 “보안 분야에서 일하는 대부분 사람은 보안 영역에서만 활동했다. 그러나 행동 경제학, 변경 관리 분야의 지식을 가진 전문가의 의견...

2022.12.19