Offcanvas

보안/CSO

컴볼트, 데이터 보안 서비스 ‘메탈릭 쓰렛와이즈’ 출시

컴볼트(www.commvault.com/ko-kr/)는 데이터 보안 서비스 ‘메탈릭 쓰렛와이즈(Metallic ThreatWise)’를 공식 출시했다고 발표했다. 쓰렛와이즈는 알려지지 않은 위협과 제로데이 공격 등을 사전에 포착하는 조기 경고 시스템으로, 이로 인해 손상된 데이터와 비즈니스 악영향을 최소화할 수 있도록 돕는다.   컴볼트는 이번에 출시한 쓰렛와이즈를 바탕으로 조기 경고 시스템을 제공해 데이터 보안의 영역을 한층 확장한다고 밝혔다.  신규 서비스는 악의적인 행위자가 가짜 리소스를 이용하도록 미끼를 활용해 사전에 유인하며, 데이터 프로덕션 환경에서 위협 탐지 기능을 제공하고 비즈니스 조직이 데이터의 안정성을 확보할 수 있도록 적절한 도구 등을 제공해 보안 위협으로부터 무장할 수 있도록 돕는다. 이외에도 컴볼트는 머신 러닝과 주요 위협 탐지, 보안 기능을 기존 플랫폼에 확장 지원한다.  컴볼트 제품 담당 란가 라자고파란 수석 부사장은 “데이터 복구는 보안 측면에서 중요하지만 이 자체만으로는 충분하지 않다”며, “컴볼트는 메탈릭 SaaS 포트폴리오에 통합된 쓰렛와이즈를 통해 사이버 위협이 비즈니스에 영향을 미치기 전에 미리 차단하여 제로 로스(Zero-loss) 전략을 강화하는 사전 예방적 조기 경고 시스템을 고객에게 제공할 수 있게 됐다”고 말했다. ciokr@idg.co.kr

컴볼트

3일 전

컴볼트(www.commvault.com/ko-kr/)는 데이터 보안 서비스 ‘메탈릭 쓰렛와이즈(Metallic ThreatWise)’를 공식 출시했다고 발표했다. 쓰렛와이즈는 알려지지 않은 위협과 제로데이 공격 등을 사전에 포착하는 조기 경고 시스템으로, 이로 인해 손상된 데이터와 비즈니스 악영향을 최소화할 수 있도록 돕는다.   컴볼트는 이번에 출시한 쓰렛와이즈를 바탕으로 조기 경고 시스템을 제공해 데이터 보안의 영역을 한층 확장한다고 밝혔다.  신규 서비스는 악의적인 행위자가 가짜 리소스를 이용하도록 미끼를 활용해 사전에 유인하며, 데이터 프로덕션 환경에서 위협 탐지 기능을 제공하고 비즈니스 조직이 데이터의 안정성을 확보할 수 있도록 적절한 도구 등을 제공해 보안 위협으로부터 무장할 수 있도록 돕는다. 이외에도 컴볼트는 머신 러닝과 주요 위협 탐지, 보안 기능을 기존 플랫폼에 확장 지원한다.  컴볼트 제품 담당 란가 라자고파란 수석 부사장은 “데이터 복구는 보안 측면에서 중요하지만 이 자체만으로는 충분하지 않다”며, “컴볼트는 메탈릭 SaaS 포트폴리오에 통합된 쓰렛와이즈를 통해 사이버 위협이 비즈니스에 영향을 미치기 전에 미리 차단하여 제로 로스(Zero-loss) 전략을 강화하는 사전 예방적 조기 경고 시스템을 고객에게 제공할 수 있게 됐다”고 말했다. ciokr@idg.co.kr

3일 전

칼럼 | 클라우드 컴퓨팅의 3가지 성공과 실패

클라우드 컴퓨팅은 이른바 “좋은 놈, 나쁜 놈, 이상한 놈”의 시대를 겪고 있다. 보안과 민첩성은 확실한 성공에 가깝지만, 비용과 복잡성은 심각한 단점이다. 필자는 종종 2008년도 발표자료를 살펴보며 클라우드 컴퓨팅이 약속한 것을 다시 검토하곤 한다. 필자는 1999년부터 이런저런 식으로 클라우드 컴퓨팅 분야에서 일했으며, 그동안 많은 변화를 목격했다. 그리고 가장 큰 변화는 클라우드 컴퓨팅에 대한 인식이다.   초기에 클라우드 컴퓨팅은 애플리케이션을 소비하는 또 하나의 방식 정도로 보였다. 지금은 SaaS라고 불리는 이들 애플리케이션은 영업 관리나 회계, 재고 관리 등의 업무를 맡았다. 클라우드는 그다지 혁명적인 것으로 보이지 않았는데, 사실 이런 식의 애플리케이션 소비는 원시적인 형태이긴 해도 수십 년 전부터 있었기 때문이다. 하지만 스토리지나 컴퓨트, 데이터베이스 같은 원격 자원을 소비할 수 있는 역량, 그리고 애플리케이션의 부분 부분을 필요할 때 필요한 만큼 소비할 수 있는 역량은 새로운 것이었다. 2008년경 클라우드 컴퓨팅을 폭발적인 성장으로 이끈 것은 바로 이것이었다.  이제 많은 기업이 클라우드 컴퓨팅이 어디서 성공하고 어디서 실패했는지 평가할 수 있을 만큼 다양한 종류의 클라우드 컴퓨팅을 충분히 경험했다. 2022년의 끝이 보이는 지금, 필자의 평가는 다음과 같다.   클라우드 컴퓨팅의 주요 성공 3가지 보안: 보안은 5년 전부터 전통적인 시스템보다 클라우드에서 더 좋아졌다. 다만 이를 제대로 알아차리지 못했을 뿐이다. 이런 발전은 대부분 클라우드 보안에 투여된 막대한 연구개발 자금 덕분이다. 단점이라면, 이렇게 혁신에 투여된 비용의 대부분은 전통적인 보안 솔루션을 위한 예산에서 가져온 것이라는 점이다. 기업이 보유한 데이터센터 시스템은 모든 솔루션 업체의 개발 영역에서 점점 뒷전으로 밀려나고 있다. 비즈니스 민첩성: 필자는 항상 비용 때문에 클라우드로 이전한 기업이 민첩성 때문에 계속 ...

멀티클라우드 복잡성 스티커쇼크 민첩성 비용절감 안정성 핀옵스 클라우드옵스

3일 전

클라우드 컴퓨팅은 이른바 “좋은 놈, 나쁜 놈, 이상한 놈”의 시대를 겪고 있다. 보안과 민첩성은 확실한 성공에 가깝지만, 비용과 복잡성은 심각한 단점이다. 필자는 종종 2008년도 발표자료를 살펴보며 클라우드 컴퓨팅이 약속한 것을 다시 검토하곤 한다. 필자는 1999년부터 이런저런 식으로 클라우드 컴퓨팅 분야에서 일했으며, 그동안 많은 변화를 목격했다. 그리고 가장 큰 변화는 클라우드 컴퓨팅에 대한 인식이다.   초기에 클라우드 컴퓨팅은 애플리케이션을 소비하는 또 하나의 방식 정도로 보였다. 지금은 SaaS라고 불리는 이들 애플리케이션은 영업 관리나 회계, 재고 관리 등의 업무를 맡았다. 클라우드는 그다지 혁명적인 것으로 보이지 않았는데, 사실 이런 식의 애플리케이션 소비는 원시적인 형태이긴 해도 수십 년 전부터 있었기 때문이다. 하지만 스토리지나 컴퓨트, 데이터베이스 같은 원격 자원을 소비할 수 있는 역량, 그리고 애플리케이션의 부분 부분을 필요할 때 필요한 만큼 소비할 수 있는 역량은 새로운 것이었다. 2008년경 클라우드 컴퓨팅을 폭발적인 성장으로 이끈 것은 바로 이것이었다.  이제 많은 기업이 클라우드 컴퓨팅이 어디서 성공하고 어디서 실패했는지 평가할 수 있을 만큼 다양한 종류의 클라우드 컴퓨팅을 충분히 경험했다. 2022년의 끝이 보이는 지금, 필자의 평가는 다음과 같다.   클라우드 컴퓨팅의 주요 성공 3가지 보안: 보안은 5년 전부터 전통적인 시스템보다 클라우드에서 더 좋아졌다. 다만 이를 제대로 알아차리지 못했을 뿐이다. 이런 발전은 대부분 클라우드 보안에 투여된 막대한 연구개발 자금 덕분이다. 단점이라면, 이렇게 혁신에 투여된 비용의 대부분은 전통적인 보안 솔루션을 위한 예산에서 가져온 것이라는 점이다. 기업이 보유한 데이터센터 시스템은 모든 솔루션 업체의 개발 영역에서 점점 뒷전으로 밀려나고 있다. 비즈니스 민첩성: 필자는 항상 비용 때문에 클라우드로 이전한 기업이 민첩성 때문에 계속 ...

3일 전

"2FA, 만병통치약 아니다" 우버 해킹 사건의 교훈 3가지

최근 차량 공유 서비스 우버(Uber)가 내부 네트워크 해킹 사실을 인정했다. 해커는 우버의 소스 코드와 이메일, 슬랙(Slack)과 같은 다른 시스템에 접근한 것으로 알려졌다. 우버 측은 고객 데이터는 전혀 침해되지 않았다고 대중을 안심시켰으나, 일부 보안 전문가들은 우버의 주장에 타당성이 없다고 보고 있다.   물론 사용자는 여전히 우버 계정 정보를 바꾸고 예전 비밀번호를 다른 곳에서 사용하는지 확인하는 매우 쉽고도 현명한 조치를 취해야 한다. 우버는 약 1년간 심각한 고객 정보 침해 사실을 은폐한 역사가 있기 때문이다. 그러나 이번 사건이 주는 중대한 교훈은 따로 있다.  소셜 엔지니어링 기법의 결과라고 알려진 이번 해킹은 2FA(two-factor authentication)을 비롯한 보안 조치를 무력화했다. 비밀번호가 해킹된 직원에게 2FA를 요청하는 스팸 메일이 수차례 발송됐는데, 해커가 우버의 IT 관계자인 척 왓츠앱으로 해당 직원에게 연락한 끝에 가짜 2FA 요청 중 한 건이 승인됐다. 이런 결과는 강력하고 독특한 비밀번호에 2FA를 추가해도 효과가 없다는 의미가 아니다. 사람이 쉽게 저지르는 실수를 먹잇감으로 삼는 소셜 엔지니어링 기법이 놀라울 정도로 효과적이라는 의미일 뿐이다. 이번 우버 해킹 사건은 사용자가 온라인에서 스스로를 보호할 때 다음 3가지 사항이 얼마나 중요한지 상기시킨다.  1. 항상 멈추고 생각하라 비밀번호는 온라인 계정에 대한 무단 접근을 막을 1차 방어선이며, 2FA는 비밀번호가 유출되는 경우를 대비한 2차 방어선이다. 스마트폰이나 스마트폰에 설치된 앱으로 인증을 요청하는 2FA는 사용자가 이를 선택하고 비밀번호를 성공적으로 입력할 때만 나타난다. 비밀번호 입력 주체는 다른 누구도 아닌 사용자 자신이다. 웹사이트나 앱에는 사용자의 계정과 사용자가 해당 계정으로 수행한 모든 활동에 접근할 수 있는 시스템 권한이라는 것이 있다. 개별 사용자를 거칠 필요가 없으며, IT팀은 업무 관...

2FA 우버 개인정보보호 이중인증 다중인증 MFA 해킹 우버해킹

3일 전

최근 차량 공유 서비스 우버(Uber)가 내부 네트워크 해킹 사실을 인정했다. 해커는 우버의 소스 코드와 이메일, 슬랙(Slack)과 같은 다른 시스템에 접근한 것으로 알려졌다. 우버 측은 고객 데이터는 전혀 침해되지 않았다고 대중을 안심시켰으나, 일부 보안 전문가들은 우버의 주장에 타당성이 없다고 보고 있다.   물론 사용자는 여전히 우버 계정 정보를 바꾸고 예전 비밀번호를 다른 곳에서 사용하는지 확인하는 매우 쉽고도 현명한 조치를 취해야 한다. 우버는 약 1년간 심각한 고객 정보 침해 사실을 은폐한 역사가 있기 때문이다. 그러나 이번 사건이 주는 중대한 교훈은 따로 있다.  소셜 엔지니어링 기법의 결과라고 알려진 이번 해킹은 2FA(two-factor authentication)을 비롯한 보안 조치를 무력화했다. 비밀번호가 해킹된 직원에게 2FA를 요청하는 스팸 메일이 수차례 발송됐는데, 해커가 우버의 IT 관계자인 척 왓츠앱으로 해당 직원에게 연락한 끝에 가짜 2FA 요청 중 한 건이 승인됐다. 이런 결과는 강력하고 독특한 비밀번호에 2FA를 추가해도 효과가 없다는 의미가 아니다. 사람이 쉽게 저지르는 실수를 먹잇감으로 삼는 소셜 엔지니어링 기법이 놀라울 정도로 효과적이라는 의미일 뿐이다. 이번 우버 해킹 사건은 사용자가 온라인에서 스스로를 보호할 때 다음 3가지 사항이 얼마나 중요한지 상기시킨다.  1. 항상 멈추고 생각하라 비밀번호는 온라인 계정에 대한 무단 접근을 막을 1차 방어선이며, 2FA는 비밀번호가 유출되는 경우를 대비한 2차 방어선이다. 스마트폰이나 스마트폰에 설치된 앱으로 인증을 요청하는 2FA는 사용자가 이를 선택하고 비밀번호를 성공적으로 입력할 때만 나타난다. 비밀번호 입력 주체는 다른 누구도 아닌 사용자 자신이다. 웹사이트나 앱에는 사용자의 계정과 사용자가 해당 계정으로 수행한 모든 활동에 접근할 수 있는 시스템 권한이라는 것이 있다. 개별 사용자를 거칠 필요가 없으며, IT팀은 업무 관...

3일 전

포티넷, 하이브리드 업무 환경 위한 ‘포티넷 유니버설 ZTNA’ 발표

포티넷코리아(www.fortinet.com/kr)는 원격 근무, 사무실 근무 등 장소에 구애받지 않고 일하는 하이브리드 업무 환경에서 안전한 액세스를 제공하는 ‘포티넷 유니버설 ZTNA(Fortinet Universal ZTNA)’를 발표했다. 실제로 포티넷은 엔터프라이즈 네트워크 장비에 대한 시장점유율을 다룬 가트너의 마켓셰어 보고서(Gartner Market Share)에서 2021년 4분기부터 2022년 1분기까지 분기 매출 및 2021년 1분기부터 2022년 1분기까지 전년 동기 대비 매출이 가장 빠르게 성장한 업체로서 상위 5대 글로벌 ZTNA 공급업체에 선정된 바 있다. 포티넷은 이러한 성장에 대해 모든 위치에 있는 사용자들을 위한 안전한 애플리케이션 액세스, 낮은 TCO(총소유비용), VPN으로부터의 원활한 전환, 포티넷 시큐어 SD-WAN(Fortinet Secure SD-WAN)을 포함한 포티넷 보안 패브릭(Fortinet Security Fabric)과의 통합 등 ZTNA에 대한 차별화된 접근 방식을 적용한데 따른 결과라고 설명했다.  포티넷 유니버설 ZTNA는 제로 트러스트 아키텍처(zero trust architecture)를 구축해 리스크 프로필을 줄이고자 하는 기업들에 적합한 솔루션으로, ▲모든 업무 위치에서 일관된 사용자 경험 ▲VPN에서 ZTNA로의 용이한 전환 ▲기존 포티넷 고객들은 ZTNA에 즉시 액세스 가능 ▲SD-WAN과 통합된 ZTNA ▲어디서나 포티OS 기반의 네트워킹 및 보안의 통합 지원 등과 같은 이점을 제공한다.  클라우드 전용 ZTNA와 달리, 포티넷 유니버설 ZTNA는 사무실 근무, 재택 근무 또는 이동하면서 업무를 보는 어떤 근무 환경에서도 동일한 사용자 경험 및 보안 정책, 용이한 운영방법을 제공한다. VPN과 ZTNA는 포티넷의 동일한 통합 클라이언트(FortiClient)에 의해 관리되며, 이에 기업들은 각기 고유한 속도로 애플리케이션 액세스를 전환할 수 있다. 포티넷은 ...

포티넷

4일 전

포티넷코리아(www.fortinet.com/kr)는 원격 근무, 사무실 근무 등 장소에 구애받지 않고 일하는 하이브리드 업무 환경에서 안전한 액세스를 제공하는 ‘포티넷 유니버설 ZTNA(Fortinet Universal ZTNA)’를 발표했다. 실제로 포티넷은 엔터프라이즈 네트워크 장비에 대한 시장점유율을 다룬 가트너의 마켓셰어 보고서(Gartner Market Share)에서 2021년 4분기부터 2022년 1분기까지 분기 매출 및 2021년 1분기부터 2022년 1분기까지 전년 동기 대비 매출이 가장 빠르게 성장한 업체로서 상위 5대 글로벌 ZTNA 공급업체에 선정된 바 있다. 포티넷은 이러한 성장에 대해 모든 위치에 있는 사용자들을 위한 안전한 애플리케이션 액세스, 낮은 TCO(총소유비용), VPN으로부터의 원활한 전환, 포티넷 시큐어 SD-WAN(Fortinet Secure SD-WAN)을 포함한 포티넷 보안 패브릭(Fortinet Security Fabric)과의 통합 등 ZTNA에 대한 차별화된 접근 방식을 적용한데 따른 결과라고 설명했다.  포티넷 유니버설 ZTNA는 제로 트러스트 아키텍처(zero trust architecture)를 구축해 리스크 프로필을 줄이고자 하는 기업들에 적합한 솔루션으로, ▲모든 업무 위치에서 일관된 사용자 경험 ▲VPN에서 ZTNA로의 용이한 전환 ▲기존 포티넷 고객들은 ZTNA에 즉시 액세스 가능 ▲SD-WAN과 통합된 ZTNA ▲어디서나 포티OS 기반의 네트워킹 및 보안의 통합 지원 등과 같은 이점을 제공한다.  클라우드 전용 ZTNA와 달리, 포티넷 유니버설 ZTNA는 사무실 근무, 재택 근무 또는 이동하면서 업무를 보는 어떤 근무 환경에서도 동일한 사용자 경험 및 보안 정책, 용이한 운영방법을 제공한다. VPN과 ZTNA는 포티넷의 동일한 통합 클라이언트(FortiClient)에 의해 관리되며, 이에 기업들은 각기 고유한 속도로 애플리케이션 액세스를 전환할 수 있다. 포티넷은 ...

4일 전

칼럼 | 지오로케이션을 더이상 신뢰하면 안 되는 이유

한때 지오로케이션(geolocation)은 기업이 누구를 상대하고 있는지, 때로는 그들이 무엇을 하고 있는지까지도 알 수 있는 훌륭한 방법이었다. 하지만 VPN이 지오로케이션을 무너뜨리기 시작했다. 이제는 상황이 너무 나빠졌다. 애플 앱스토어와 구글 플레이 스토어에서는 위치를 스푸핑할 수 있다고 당당하게 선언하는 앱이 제공되고 있으며, 모바일 OS 제공업체들은 이를 막으려는 조치를 취하지 않는다.    왜 그럴까? 사실 애플과 구글 모두 개발자들이 사용하는 이런 허점을 만든 장본인이다. 다양한 지역에서 앱을 테스트하기 위해 시스템을 속일 필요가 있었기 때문이다. 음식 배달 서비스는 지오로케이션 사용해 배달원 위치를 추적하고 음식이 실제로 고객의 주소로 배달되었는지 확인한다. 은행은 계좌 신청자가 자신이 주장하는 지역에 실제로 있는지, 또는 동일한 지역에서 여러 개의 가짜 신청이 이뤄지고 있는지 확인하기 위해 지오로케이션을 사용한다. 모바일 위치 보안 업체인 코그니아(Incognia)의 CEO인 안드레 페라즈에 따르면, 에어비앤비는 지오로케이션을 사용해 가짜 숙소와 가짜 리뷰를 탐지한다. 페라즈는 “사기꾼들은 GPS 좌표를 바꾸기 위해 개발자 모드를 이용한다. IP 기반 지오로케이션과 GPS 기반 지오로케이션 모두에 대한 위치 스푸핑을 지원하는 툴도 많다. 전자는 VPN, 프록시, 토르, 터널링이 대표적이며, 후자는 가짜 GPS 애플리케이션이 가장 접근하기 쉽다. 여기에 더해 변조 및 계측 도구, 루팅이나 탈옥 기기, 에뮬레이터, 이동 중인 위치 데이터 변조 툴처럼 다양한 툴이 존재한다”라고 말했다. 유감스럽지만 페라즈의 말이 사실이다. 수많은 선택지 중에서 사기꾼이 무엇을 선택하든, IT는 더 이상 지오로케이션을 신뢰할 수 없다. 물론 위치 사기로 인한 피해 위험이 너무 낮아서 거짓된 위치를 사용해도 무방한 애플리케이션이 있기는 하다. 센트럴 파크에 있는 척하는 게임 애플리케이션이 그 예다. 위치를 속인 게이머가 얻는 것이 포인트나...

위치정보 지오로케이션 구글 애플 VPN GPS 위치기반

4일 전

한때 지오로케이션(geolocation)은 기업이 누구를 상대하고 있는지, 때로는 그들이 무엇을 하고 있는지까지도 알 수 있는 훌륭한 방법이었다. 하지만 VPN이 지오로케이션을 무너뜨리기 시작했다. 이제는 상황이 너무 나빠졌다. 애플 앱스토어와 구글 플레이 스토어에서는 위치를 스푸핑할 수 있다고 당당하게 선언하는 앱이 제공되고 있으며, 모바일 OS 제공업체들은 이를 막으려는 조치를 취하지 않는다.    왜 그럴까? 사실 애플과 구글 모두 개발자들이 사용하는 이런 허점을 만든 장본인이다. 다양한 지역에서 앱을 테스트하기 위해 시스템을 속일 필요가 있었기 때문이다. 음식 배달 서비스는 지오로케이션 사용해 배달원 위치를 추적하고 음식이 실제로 고객의 주소로 배달되었는지 확인한다. 은행은 계좌 신청자가 자신이 주장하는 지역에 실제로 있는지, 또는 동일한 지역에서 여러 개의 가짜 신청이 이뤄지고 있는지 확인하기 위해 지오로케이션을 사용한다. 모바일 위치 보안 업체인 코그니아(Incognia)의 CEO인 안드레 페라즈에 따르면, 에어비앤비는 지오로케이션을 사용해 가짜 숙소와 가짜 리뷰를 탐지한다. 페라즈는 “사기꾼들은 GPS 좌표를 바꾸기 위해 개발자 모드를 이용한다. IP 기반 지오로케이션과 GPS 기반 지오로케이션 모두에 대한 위치 스푸핑을 지원하는 툴도 많다. 전자는 VPN, 프록시, 토르, 터널링이 대표적이며, 후자는 가짜 GPS 애플리케이션이 가장 접근하기 쉽다. 여기에 더해 변조 및 계측 도구, 루팅이나 탈옥 기기, 에뮬레이터, 이동 중인 위치 데이터 변조 툴처럼 다양한 툴이 존재한다”라고 말했다. 유감스럽지만 페라즈의 말이 사실이다. 수많은 선택지 중에서 사기꾼이 무엇을 선택하든, IT는 더 이상 지오로케이션을 신뢰할 수 없다. 물론 위치 사기로 인한 피해 위험이 너무 낮아서 거짓된 위치를 사용해도 무방한 애플리케이션이 있기는 하다. 센트럴 파크에 있는 척하는 게임 애플리케이션이 그 예다. 위치를 속인 게이머가 얻는 것이 포인트나...

4일 전

엑소니어스, 한국 시장 진출 공식화…2022년 하반기 국내 보안 시장 전략 발표

엑소니어스 코리아(www.axonius.com)는 ‘사이버보안 자산 관리 플랫폼(Cybersecurity Asset Management Platform, CAM)’을 필두로 한 국내 보안 시장 전략을 발표하며 한국 시장에 공식적으로 진출한다고 밝혔다.    엑소니어스는 2017년 미국에서 설립된 보안 업체로, 올해 시리즈 E 라운드 투자를 비롯해 총 3억 9,500만 달러의 투자를 유치했다. 올해 3월, 엑소니어스는 VM웨어, 파이어아이 등 글로벌 보안 업체에서 전문성을 쌓은 정선일 대표를 초대 지사장으로, 마이크로포커스, 스플렁크 등에서 보안 전문 기술을 쌓은 황원섭 이사를 기술총괄 이사로 선임하며 한국 시장에 본격 진출했다.  엑소니어스는 복잡성으로 인해 자산의 인벤토리를 수집하고, 자산의 보안 및 관리 여부를 파악하기 어려운 기업들을 위해 ‘사이버보안 자산 관리 플랫폼(CAM)’을 제공하고 있다. 이 플랫폼은 신뢰할 수 있는 통합 자산 인벤토리를 생성해 이를 최신으로 유지해 보안 갭(Gap)을 발견하고 보안 정책을 검증 및 조치한다. 또한, 500개 이상의 보안 솔루션 및 IT 관리 솔루션과의 유연한 연동을 지원하고, 에이전트-리스(Agent-less) 방식으로 주 단위가 아닌 시간 단위로 빠른 배포 및 구축이 가능하며, IT 및 보안 운영, 보안사고 대응, 취약점 및 패치 관리, 구성 관리 등을 향상시킨다. 엑소니어스는 최근 자산 인벤토리, 자산 관리 및 플랫폼 내 정책 실행 기능을 제공하고 취약점 관리 모듈을 강화한 ‘사이버보안 자산 관리 플랫폼(Cybersecurity Asset Management Platform) 4.6’을 발표했다. 이 플랫폼은 고객들이 자산을 보다 효율적이고 정확하게 식별하고, 보안 정책 및 규정 준수 요구 사항에 따라 자산을 보다 쉽게 관리해 취약점이 악용되기 전에 즉각 수정한다. 엑소니어스 코리아는 사이버보안 자산 관리 플랫폼을 기반으로 향후 국내 글로벌 하이테크 전문기...

엑소니어스

5일 전

엑소니어스 코리아(www.axonius.com)는 ‘사이버보안 자산 관리 플랫폼(Cybersecurity Asset Management Platform, CAM)’을 필두로 한 국내 보안 시장 전략을 발표하며 한국 시장에 공식적으로 진출한다고 밝혔다.    엑소니어스는 2017년 미국에서 설립된 보안 업체로, 올해 시리즈 E 라운드 투자를 비롯해 총 3억 9,500만 달러의 투자를 유치했다. 올해 3월, 엑소니어스는 VM웨어, 파이어아이 등 글로벌 보안 업체에서 전문성을 쌓은 정선일 대표를 초대 지사장으로, 마이크로포커스, 스플렁크 등에서 보안 전문 기술을 쌓은 황원섭 이사를 기술총괄 이사로 선임하며 한국 시장에 본격 진출했다.  엑소니어스는 복잡성으로 인해 자산의 인벤토리를 수집하고, 자산의 보안 및 관리 여부를 파악하기 어려운 기업들을 위해 ‘사이버보안 자산 관리 플랫폼(CAM)’을 제공하고 있다. 이 플랫폼은 신뢰할 수 있는 통합 자산 인벤토리를 생성해 이를 최신으로 유지해 보안 갭(Gap)을 발견하고 보안 정책을 검증 및 조치한다. 또한, 500개 이상의 보안 솔루션 및 IT 관리 솔루션과의 유연한 연동을 지원하고, 에이전트-리스(Agent-less) 방식으로 주 단위가 아닌 시간 단위로 빠른 배포 및 구축이 가능하며, IT 및 보안 운영, 보안사고 대응, 취약점 및 패치 관리, 구성 관리 등을 향상시킨다. 엑소니어스는 최근 자산 인벤토리, 자산 관리 및 플랫폼 내 정책 실행 기능을 제공하고 취약점 관리 모듈을 강화한 ‘사이버보안 자산 관리 플랫폼(Cybersecurity Asset Management Platform) 4.6’을 발표했다. 이 플랫폼은 고객들이 자산을 보다 효율적이고 정확하게 식별하고, 보안 정책 및 규정 준수 요구 사항에 따라 자산을 보다 쉽게 관리해 취약점이 악용되기 전에 즉각 수정한다. 엑소니어스 코리아는 사이버보안 자산 관리 플랫폼을 기반으로 향후 국내 글로벌 하이테크 전문기...

5일 전

너도나도 ‘디지털 신뢰’ 중요하다지만 현실은? ISACA 보고서 공개

美 ISACA(Information Systems Audit and Control Association)에 따르면 기업이 ‘현재 하는 일’과 ‘디지털 생태계에서 고객의 신뢰를 얻기 위해 해야 하는 일’ 사이에 상당한 격차가 있다.    ‘디지털 신뢰(Digital Trust)’는 오늘날 비즈니스 관계에서 매우 중요하다. 점점 더 많은 거래에서 민감한 정보를 온라인으로 공유해야 하기 때문이다. 하지만 ISACA의 새로운 보고서(State of Digital Trust 2022)는 기업이 ‘현재 하는 일’과 ‘디지털 생태계에서 고객의 신뢰를 얻기 위해 해야 하는 일’ 사이에 상당한 격차가 있다고 밝혔다.  해당 보고서는 전 세계 비즈니스 및 IT 전문가 2,755명을 대상으로 한 설문조사 결과를 담았다. ISACA는 디지털 신뢰를 디지털 생태계 내 제공자와 소비자 간의 관계, 상호작용 및 거래 무결성에 관한 신뢰로 정의한다.  전체 응답자의 무려 98%가 오늘날 기업에 디지털 신뢰가 굉장히 또는 매우 중요하며, 63%는 디지털 신뢰가 업무와 굉장히 또는 매우 관련 있다고 말했지만 이러한 중요성을 감안해 이를 우선시한다는 응답은 12%에 불과했다. 보고서는 “5년 후 디지털 신뢰가 현재보다 더 중요해질 것이라는 응답이 5명 중 4명(82%)꼴이었기 때문에 우려되는 부분이다”이라고 언급했다.  ‘디지털 신뢰’라는 용어가 널리 인식되지 않았다 ‘디지털 신뢰’라는 용어에 관해 굉장히 또는 매우 익숙하다고 말한 비율은 전체 응답자의 29%에 그쳤다. 인도(50%)가 가장 익숙한 지역인 것으로 나타났으며, 중남미(37%), 아프리카(35%), 유럽(34%)이 그 뒤를 이었다. 산업별로 보면 컨설팅(35%)이 금융/은행(28%)보다 이 용어에 익숙한 것으로 조사됐다.  보고서에 따르면 디지털 신뢰의 가장 중요한 3가지 구성 요소는 ▲보안, ▲데이터 무결성, ▲개인정보보호였다. 하지만 전체 응답자의 50%만이 이러...

디지털 신뢰 디지털 생태계

5일 전

美 ISACA(Information Systems Audit and Control Association)에 따르면 기업이 ‘현재 하는 일’과 ‘디지털 생태계에서 고객의 신뢰를 얻기 위해 해야 하는 일’ 사이에 상당한 격차가 있다.    ‘디지털 신뢰(Digital Trust)’는 오늘날 비즈니스 관계에서 매우 중요하다. 점점 더 많은 거래에서 민감한 정보를 온라인으로 공유해야 하기 때문이다. 하지만 ISACA의 새로운 보고서(State of Digital Trust 2022)는 기업이 ‘현재 하는 일’과 ‘디지털 생태계에서 고객의 신뢰를 얻기 위해 해야 하는 일’ 사이에 상당한 격차가 있다고 밝혔다.  해당 보고서는 전 세계 비즈니스 및 IT 전문가 2,755명을 대상으로 한 설문조사 결과를 담았다. ISACA는 디지털 신뢰를 디지털 생태계 내 제공자와 소비자 간의 관계, 상호작용 및 거래 무결성에 관한 신뢰로 정의한다.  전체 응답자의 무려 98%가 오늘날 기업에 디지털 신뢰가 굉장히 또는 매우 중요하며, 63%는 디지털 신뢰가 업무와 굉장히 또는 매우 관련 있다고 말했지만 이러한 중요성을 감안해 이를 우선시한다는 응답은 12%에 불과했다. 보고서는 “5년 후 디지털 신뢰가 현재보다 더 중요해질 것이라는 응답이 5명 중 4명(82%)꼴이었기 때문에 우려되는 부분이다”이라고 언급했다.  ‘디지털 신뢰’라는 용어가 널리 인식되지 않았다 ‘디지털 신뢰’라는 용어에 관해 굉장히 또는 매우 익숙하다고 말한 비율은 전체 응답자의 29%에 그쳤다. 인도(50%)가 가장 익숙한 지역인 것으로 나타났으며, 중남미(37%), 아프리카(35%), 유럽(34%)이 그 뒤를 이었다. 산업별로 보면 컨설팅(35%)이 금융/은행(28%)보다 이 용어에 익숙한 것으로 조사됐다.  보고서에 따르면 디지털 신뢰의 가장 중요한 3가지 구성 요소는 ▲보안, ▲데이터 무결성, ▲개인정보보호였다. 하지만 전체 응답자의 50%만이 이러...

5일 전

슈프리마, 출입보안 솔루션 ‘바이오스테이션 3’ 출시

AI 통합보안 솔루션 전문기업 슈프리마가 비접촉 출입인증에 특화된 얼굴 인식 단말기 ‘바이오스테이션(BioStation) 3’를 출시했다고 밝혔다.   바이오스테이션 3는 슈프리마가 20여 년간 축적한 출입 인증 관련 기술력과 노하우를 집약해서 만든 차세대 출입통제 솔루션이다. 포스트코로나 시대의 대표적인 비접촉 출입 인증 방식인 얼굴 인식뿐만 아니라 QR 및 바코드, 모바일 출입카드, RFID 카드 방식의 다양한 비접촉 출입 인증 방식을 제공해 사용자 편의성을 높였다. 이와 더불어 기존의 자사 얼굴 인식 단말기 대비 약 47% 작아진 콤팩트한 사이즈로 소규모 사무실부터 엔터프라이즈 환경까지 어느 출입문이든 손쉽게 설치해 사용할 수 있도록 활용성을 높였다고 업체 측은 설명했다. 또한, AI 프로세서인 NPU(Neural Processing Unit)를 도입해 출입 인증 성능을 제공한다. 바이오스테이션 3는 AI 알고리즘을 로컬에서 구동하는 고도화된 엣지 디바이스로 NPU를 탑재해 AI 엔진의 성능을 극대화했고, 다양한 종류와 색깔의 마스크, 헤어스타일, 모자, 안경 등의 얼굴 변화에도 정확한 인증이 가능하다. 특히, 생체 및 개인정보 보호에 대한 중요성이 점점 높아지고 있는 가운데, 바이오스테이션 3는 국제표준 정보보호 인증인 ISO/IEC 27001을 획득했고, 엄격한 유럽의 개인정보보호 규정인 GDPR을 준수한다. 슈프리마가 독자적으로 개발한 출입 인증 방식인 FTM(Face Template on Mobile)은 사용자가 본인의 얼굴 인증 정보를 기업의 데이터베이스에 저장하지 않고 개인의 휴대폰에 저장 및 관리할 수 있는 기능을 제공해 개인 정보를 안전하게 보호할 수 있도록 지원했다.  슈프리마 김한철 대표는 “바이오스테이션 3는 포스트코로나 시대에 걸맞게 전 세계의 모든 사람들이 안전하게 출입하고 어떤 출입문이든 편리하게 통제 및 관리할 수 있도록 슈프리마의 모든 혁신 기술을 집약한 제품”이라며, “바이오스테이션 3를 통해 슈프...

슈프리마

5일 전

AI 통합보안 솔루션 전문기업 슈프리마가 비접촉 출입인증에 특화된 얼굴 인식 단말기 ‘바이오스테이션(BioStation) 3’를 출시했다고 밝혔다.   바이오스테이션 3는 슈프리마가 20여 년간 축적한 출입 인증 관련 기술력과 노하우를 집약해서 만든 차세대 출입통제 솔루션이다. 포스트코로나 시대의 대표적인 비접촉 출입 인증 방식인 얼굴 인식뿐만 아니라 QR 및 바코드, 모바일 출입카드, RFID 카드 방식의 다양한 비접촉 출입 인증 방식을 제공해 사용자 편의성을 높였다. 이와 더불어 기존의 자사 얼굴 인식 단말기 대비 약 47% 작아진 콤팩트한 사이즈로 소규모 사무실부터 엔터프라이즈 환경까지 어느 출입문이든 손쉽게 설치해 사용할 수 있도록 활용성을 높였다고 업체 측은 설명했다. 또한, AI 프로세서인 NPU(Neural Processing Unit)를 도입해 출입 인증 성능을 제공한다. 바이오스테이션 3는 AI 알고리즘을 로컬에서 구동하는 고도화된 엣지 디바이스로 NPU를 탑재해 AI 엔진의 성능을 극대화했고, 다양한 종류와 색깔의 마스크, 헤어스타일, 모자, 안경 등의 얼굴 변화에도 정확한 인증이 가능하다. 특히, 생체 및 개인정보 보호에 대한 중요성이 점점 높아지고 있는 가운데, 바이오스테이션 3는 국제표준 정보보호 인증인 ISO/IEC 27001을 획득했고, 엄격한 유럽의 개인정보보호 규정인 GDPR을 준수한다. 슈프리마가 독자적으로 개발한 출입 인증 방식인 FTM(Face Template on Mobile)은 사용자가 본인의 얼굴 인증 정보를 기업의 데이터베이스에 저장하지 않고 개인의 휴대폰에 저장 및 관리할 수 있는 기능을 제공해 개인 정보를 안전하게 보호할 수 있도록 지원했다.  슈프리마 김한철 대표는 “바이오스테이션 3는 포스트코로나 시대에 걸맞게 전 세계의 모든 사람들이 안전하게 출입하고 어떤 출입문이든 편리하게 통제 및 관리할 수 있도록 슈프리마의 모든 혁신 기술을 집약한 제품”이라며, “바이오스테이션 3를 통해 슈프...

5일 전

'사이버 공격, 사이버 공생으로 맞서자' 5개국, 2022 빌링턴 정상 회의서 협심

지난 9월 7일부터 9일까지 미국, 캐나다, 영국, 독일 그리고 이스라엘 정부의 사이버보안 기관 리더들이 2022 빌링턴 사이버보안 정상회의(2022 Billington Cybersecurity Summit)에 모여 범국가적 사이버 위협에 대비하기 위한 협심을 다짐했다.     사이버 공격은 국경을 넘나드는 전 세계적 위협 중 하나다. 온라인 사칭 사기부터 랜섬웨어까지 다양한 공격 기법이 핵심 인프라를 무너뜨릴 기회를 호시탐탐 엿보고 있다. 세계가 대규모의 경제적, 사회적 재난 사태에 빠지지 않게 하려면 범국가 차원에서 사이버보안 협력이 이루어져야 한다.   미국이 워싱턴에서 주최하는 연례 빌링턴 사이버보안 정상회의(Billington Cybersecurity Summit)에서 각 국가의 지도자들이 모여 국제적 사이버보안 협력에 대해 논의했다. 사회의 모든 구성 요소가 디지털화되면서 공공 부문과 민간 부문 모두 사이버 공격에 노출되고 있다. 각국은 이미 사이버보안 정책에 박차를 가하고 있지만 리더들은 이를 넘어 국제적 대안이 필요하다는 점에 동감했다.    첩보 커뮤니티, 국제 협력을 이끌다 국경을 넘나드는 사이버보안 협력의 밑바탕은 국가 정보기관 커뮤니티였다. 조지 반스 미 국가안보국(NSA) 부국장은 “미국은 이미 여러 자매 국가와 긴밀한 협력관계를 구축했으며, 앞으로도 이런 관계는 점점 더 많아지고 다양해질 전망이다”라며 “국가 정보기관 종사자와 사이버보안 종사자가 자연스럽게 어울리면서 국제 사이버보안 협력의 초석을 단단히 다지게 됐다”라고 설명했다. 영국, 미국, 캐나다, 호주, 뉴질랜드 5개국이 맺은 파이브 아이즈(Five Eyes) 첩보 동맹 네트워크가 가장 대표적인 국제 협력이지만 그는 훨씬 더 다양한 협력 관계가 있다고 말했다. “유럽과도 오랜 기간 관계를 맺고 있지만 이제 동아시아 국가와 협력 관계를 구축하는 데 집중하고 있다. 서로 도움이 필요하다. 우리도 그들의 시야를 넓...

사이버보안 국제협력 국제사이버공격 국제보안협력 파이브아이즈첩보동맹

5일 전

지난 9월 7일부터 9일까지 미국, 캐나다, 영국, 독일 그리고 이스라엘 정부의 사이버보안 기관 리더들이 2022 빌링턴 사이버보안 정상회의(2022 Billington Cybersecurity Summit)에 모여 범국가적 사이버 위협에 대비하기 위한 협심을 다짐했다.     사이버 공격은 국경을 넘나드는 전 세계적 위협 중 하나다. 온라인 사칭 사기부터 랜섬웨어까지 다양한 공격 기법이 핵심 인프라를 무너뜨릴 기회를 호시탐탐 엿보고 있다. 세계가 대규모의 경제적, 사회적 재난 사태에 빠지지 않게 하려면 범국가 차원에서 사이버보안 협력이 이루어져야 한다.   미국이 워싱턴에서 주최하는 연례 빌링턴 사이버보안 정상회의(Billington Cybersecurity Summit)에서 각 국가의 지도자들이 모여 국제적 사이버보안 협력에 대해 논의했다. 사회의 모든 구성 요소가 디지털화되면서 공공 부문과 민간 부문 모두 사이버 공격에 노출되고 있다. 각국은 이미 사이버보안 정책에 박차를 가하고 있지만 리더들은 이를 넘어 국제적 대안이 필요하다는 점에 동감했다.    첩보 커뮤니티, 국제 협력을 이끌다 국경을 넘나드는 사이버보안 협력의 밑바탕은 국가 정보기관 커뮤니티였다. 조지 반스 미 국가안보국(NSA) 부국장은 “미국은 이미 여러 자매 국가와 긴밀한 협력관계를 구축했으며, 앞으로도 이런 관계는 점점 더 많아지고 다양해질 전망이다”라며 “국가 정보기관 종사자와 사이버보안 종사자가 자연스럽게 어울리면서 국제 사이버보안 협력의 초석을 단단히 다지게 됐다”라고 설명했다. 영국, 미국, 캐나다, 호주, 뉴질랜드 5개국이 맺은 파이브 아이즈(Five Eyes) 첩보 동맹 네트워크가 가장 대표적인 국제 협력이지만 그는 훨씬 더 다양한 협력 관계가 있다고 말했다. “유럽과도 오랜 기간 관계를 맺고 있지만 이제 동아시아 국가와 협력 관계를 구축하는 데 집중하고 있다. 서로 도움이 필요하다. 우리도 그들의 시야를 넓...

5일 전

미 정부의 ‘개발자가 알아야 할 SW 공급망 보호 가이드' 핵심 살펴보기

클라우드 네이티브 컴퓨팅 재단(CNCF)이 공개한 ‘공급망 침해 카탈로그’에서 볼 수 있듯이, 소프트웨어 공급망에 대한 공격은 업계 전반에 걸쳐 증가하는 추세다. 구글, 리눅스 재단, 오픈SSF 등 IT 업계 주요 기관은 이미 1년 전부터 미국 국립표준기술연구소(NIST) 같은 공공 기관과 함께 공급망 보안과 관련한 가이드를 공개하기도 했다.   여기에 한발 더 나아가 미국 국가안전국(NSA)은 사이버보안 및 인프라 보안국(CISA), 미국 국가정보장실(ODNI)과 함께 ‘소프트웨어 공급망 보호:개발자를 위한 권장 사항 가이드(Securing the Software Supply Chain: Recommended Practices Guide for Developers)’라는 별도의 문서를 발간하며, 적극적으로 공급망 보호에 힘쓰고 있다. NSA는 해당 가이드를 발표하면서 “안전한 소프트웨어를 만드는 데 있어 개발자의 역할을 강조하고, 개발자가 정부 및 업계 권장 사항을 채택하도록 돕기 위해 가이드를 마련했다”라고 설명했다. NSA는 향후 개발자 뿐만 아니라 공급자와 소비자에게 초점을 맞춘 공급망 보호 가이드도 추가로 공개할 예정이다. 개발자에 대해서만 다룬 이번 가이드는 다음과 같은 세 부분으로 구성된다.   소프트웨어 개발자를 위한 보안 가이드 소프트웨어 공급자 고려 사항 소프트웨어 고객 권장 사항   개발자, 소프트웨어 공급자, 고객의 역할 가이드는 먼저 개발자, 공급자, 고객이 전체 소프트웨어 공급망 생태계에서 어떤 역할을 담당하고 있는지 설명한다. 다음 이미지에서 볼 수 있듯이, 세 주체는 각각 해야 하는 보안 활동이 있다. 역할에 따라 보안 테스트와 무결성 검증과 관련된 안전한 소프트웨어 개발 및 구성 등을 진행한다.    안전한 소프트웨어란 안전한 소프트웨어 개발 수명주기(SDLC)를 갖춘 기술을 말하는데, NSA는 미국 국립표준기술원(NIST)의 ‘안전한 소프트웨어 개발 프레임워...

소프트웨어 공급망 보호 가이드

5일 전

클라우드 네이티브 컴퓨팅 재단(CNCF)이 공개한 ‘공급망 침해 카탈로그’에서 볼 수 있듯이, 소프트웨어 공급망에 대한 공격은 업계 전반에 걸쳐 증가하는 추세다. 구글, 리눅스 재단, 오픈SSF 등 IT 업계 주요 기관은 이미 1년 전부터 미국 국립표준기술연구소(NIST) 같은 공공 기관과 함께 공급망 보안과 관련한 가이드를 공개하기도 했다.   여기에 한발 더 나아가 미국 국가안전국(NSA)은 사이버보안 및 인프라 보안국(CISA), 미국 국가정보장실(ODNI)과 함께 ‘소프트웨어 공급망 보호:개발자를 위한 권장 사항 가이드(Securing the Software Supply Chain: Recommended Practices Guide for Developers)’라는 별도의 문서를 발간하며, 적극적으로 공급망 보호에 힘쓰고 있다. NSA는 해당 가이드를 발표하면서 “안전한 소프트웨어를 만드는 데 있어 개발자의 역할을 강조하고, 개발자가 정부 및 업계 권장 사항을 채택하도록 돕기 위해 가이드를 마련했다”라고 설명했다. NSA는 향후 개발자 뿐만 아니라 공급자와 소비자에게 초점을 맞춘 공급망 보호 가이드도 추가로 공개할 예정이다. 개발자에 대해서만 다룬 이번 가이드는 다음과 같은 세 부분으로 구성된다.   소프트웨어 개발자를 위한 보안 가이드 소프트웨어 공급자 고려 사항 소프트웨어 고객 권장 사항   개발자, 소프트웨어 공급자, 고객의 역할 가이드는 먼저 개발자, 공급자, 고객이 전체 소프트웨어 공급망 생태계에서 어떤 역할을 담당하고 있는지 설명한다. 다음 이미지에서 볼 수 있듯이, 세 주체는 각각 해야 하는 보안 활동이 있다. 역할에 따라 보안 테스트와 무결성 검증과 관련된 안전한 소프트웨어 개발 및 구성 등을 진행한다.    안전한 소프트웨어란 안전한 소프트웨어 개발 수명주기(SDLC)를 갖춘 기술을 말하는데, NSA는 미국 국립표준기술원(NIST)의 ‘안전한 소프트웨어 개발 프레임워...

5일 전

“API 보안, 현실과 인식의 간극 크다··· 산업 제조 분야에서 특히 심각”

API 보안 사고의 광범위한 여파와 부실한 API 관리 현황을 지적하는 설문 조사가 등장했다.  지난주 오피니언매터스가 배포한 보고서에 따르면 미국과 영국의 고위 사이버 보안 전문가 4명 중 3명 이상이 조직에서 지난 12개월 동안 API 관련 보안 사고를 한 번 이상 경험했다. 노네임 시큐리티가 의뢰한 이번 연구에서는 또 응답자의 74%가 시스템에 있는 모든 API에 대해 인벤토리 파악을 하지 않고 있었다. 아울러 민감한 데이터를 반환할 수 있는 API에 대해 완전히 파악하지 못했다는 응답도 같은 비율을 기록했다. 이번 조사에서 드러난 가장 흔한 API 보안 문제는 휴면 API(표면적으로 교체되었지만 계속 작동하는 API)와 인증 취약성 및 웹 애플리케이션 방화벽이었다. 그럼에도 불구하고 응답자 대다수 (71%)는 통신 서비스 제공업체가 제공하는 API 보안에 자신감을 보였다. 노네임은 API에 대한 안일한 인식 수준을 보여주는 조사라고 강조했다.  보고서는 "실제 세계에서 일어나는 일과 API 보안에 대한 조직의 태도 사이에는 분명히 간극이 있다, API 보안에 대한 믿음이 API 관련 침해의 수와 심각성에 비해 불균형적으로 높다. 이는 API 보안의 현실에 대해 보안, [응용 프로그램 보안] 및 개발 팀의 추가 교육이 필요함을 나타낸다”라고 기술했다.  보고서는 또 디지털 혁신으로 인해 API 보안의 중요성이 더욱 대두될 것으로 전망하며, API 관련 침해가 올해 가장 흔한 유형의 보안 사고가 될 수 있다는 가트너의 전망을 인용했다. 산업, 제조 부문에서 심각 설문 조사에 따르면 API 보안 측면에서 특히 취약한 산업은 에너지 및 유틸리티, 제조업이었다. 에너지 및 유틸리티 산업의 응답자 중 78%가 전년도에 어떤 유형의 API 침해를 보고했으며, 제조업 응답자 비율은 79%에 이르렀다.  에너지 및 유틸리티 업종 응답자 중에서 전체 API 인벤토리를 관리하고 API 취약 지점에 대해 파악하고 있다는 비율은 ...

API 보안 노네임 시큐리티 오피니언매터스 API 인벤토리

6일 전

API 보안 사고의 광범위한 여파와 부실한 API 관리 현황을 지적하는 설문 조사가 등장했다.  지난주 오피니언매터스가 배포한 보고서에 따르면 미국과 영국의 고위 사이버 보안 전문가 4명 중 3명 이상이 조직에서 지난 12개월 동안 API 관련 보안 사고를 한 번 이상 경험했다. 노네임 시큐리티가 의뢰한 이번 연구에서는 또 응답자의 74%가 시스템에 있는 모든 API에 대해 인벤토리 파악을 하지 않고 있었다. 아울러 민감한 데이터를 반환할 수 있는 API에 대해 완전히 파악하지 못했다는 응답도 같은 비율을 기록했다. 이번 조사에서 드러난 가장 흔한 API 보안 문제는 휴면 API(표면적으로 교체되었지만 계속 작동하는 API)와 인증 취약성 및 웹 애플리케이션 방화벽이었다. 그럼에도 불구하고 응답자 대다수 (71%)는 통신 서비스 제공업체가 제공하는 API 보안에 자신감을 보였다. 노네임은 API에 대한 안일한 인식 수준을 보여주는 조사라고 강조했다.  보고서는 "실제 세계에서 일어나는 일과 API 보안에 대한 조직의 태도 사이에는 분명히 간극이 있다, API 보안에 대한 믿음이 API 관련 침해의 수와 심각성에 비해 불균형적으로 높다. 이는 API 보안의 현실에 대해 보안, [응용 프로그램 보안] 및 개발 팀의 추가 교육이 필요함을 나타낸다”라고 기술했다.  보고서는 또 디지털 혁신으로 인해 API 보안의 중요성이 더욱 대두될 것으로 전망하며, API 관련 침해가 올해 가장 흔한 유형의 보안 사고가 될 수 있다는 가트너의 전망을 인용했다. 산업, 제조 부문에서 심각 설문 조사에 따르면 API 보안 측면에서 특히 취약한 산업은 에너지 및 유틸리티, 제조업이었다. 에너지 및 유틸리티 산업의 응답자 중 78%가 전년도에 어떤 유형의 API 침해를 보고했으며, 제조업 응답자 비율은 79%에 이르렀다.  에너지 및 유틸리티 업종 응답자 중에서 전체 API 인벤토리를 관리하고 API 취약 지점에 대해 파악하고 있다는 비율은 ...

6일 전

서울창업허브 창동-한국오라클, 오라클 클라우드 생태계 확장 위한 스타트업 모집

중소기업 지원기관 서울산업진흥원(SBA)은 대기업 협력 기회를 통해 자사 기술 고도화를 희망하는 서울시 우수 스타트업을 위해, ‘서울창업허브 창동-한국오라클 오픈이노베이션’ 참가기업을 모집한다고 밝혔다. 서울창업허브 창동은 한국오라클과 지난 8월 30일 테크 분야 스타트업 발굴을 위한 업무협약을 체결하고 이번 오픈이노베이션 프로그램에 참여할 스타트업을 모집한다. 오라클은 클라우드 영역에서는 ERP, HCM(인적자본관리), CX(고객경험솔루션), SCM(공급망관리) 등의 SaaS 제품군을 보유하고 있다. 또한 최고 수준의 데이터베이스 PaaS, IaaS를 미주, 유럽 및 아시아 전역 37개 지역에 제공하고 있어 이번 협력 사업은 클라우드를 활용하는 스타트업에게 큰 기회가 될 전망이다.   오픈이노베이션 프로그램의 모집 분야는 오라클 클라우드 생태계 확장을 이끌어낼 수 있는 오라클 클라우드를 활용한 모든 아이디어 제안이다. 그 예로는 오라클 클라우드를 활용한 신규 솔루션 개발, 기존 솔루션을 오라클 클라우드로 이관하며 얻을 수 있는 개선점 도출 또는 비용 절감 방안, 국내 시장 진출 등이 있다. 선정평가를 거쳐 최종 선정된 스타트업은 서울창업허브 창동의 사업화 지원 및 한국오라클과의 협력 기회를 지원 받는다. 1차 서류 평가와 2차 발표 평가를 거쳐 최종 선정된 스타트업은 오픈이노베이션 프로그램에 참여해 서울창업허브 창동과 한국오라클 양기관의 지원을 받게 된다. 서울창업허브 창동에서는 1,000만 원의 사업화지원금과 스타트업 역량강화 프로그램을 지원하며, 별도 심사를 거쳐 서울창업허브 창동의 입주기회와 데모데이 참여기회를 제공한다. 한국오라클에서는 최종 선발 기업과 협약을 체결하고, 수요·과제 관련 가이드라인과 과제 관련 멘토링을 제공한다. 멘토링에는 클라우드 환경 구축을 위한 1:1 오라클 엔지니어 기술 멘토링, 클라우드 시장 진출을 위한 홍보 컨설팅 등을 진행하며, 클라우드 환경 구축을 위한 $1,000 SGD의 크레딧 제공이 포함된다. ‘...

오라클

6일 전

중소기업 지원기관 서울산업진흥원(SBA)은 대기업 협력 기회를 통해 자사 기술 고도화를 희망하는 서울시 우수 스타트업을 위해, ‘서울창업허브 창동-한국오라클 오픈이노베이션’ 참가기업을 모집한다고 밝혔다. 서울창업허브 창동은 한국오라클과 지난 8월 30일 테크 분야 스타트업 발굴을 위한 업무협약을 체결하고 이번 오픈이노베이션 프로그램에 참여할 스타트업을 모집한다. 오라클은 클라우드 영역에서는 ERP, HCM(인적자본관리), CX(고객경험솔루션), SCM(공급망관리) 등의 SaaS 제품군을 보유하고 있다. 또한 최고 수준의 데이터베이스 PaaS, IaaS를 미주, 유럽 및 아시아 전역 37개 지역에 제공하고 있어 이번 협력 사업은 클라우드를 활용하는 스타트업에게 큰 기회가 될 전망이다.   오픈이노베이션 프로그램의 모집 분야는 오라클 클라우드 생태계 확장을 이끌어낼 수 있는 오라클 클라우드를 활용한 모든 아이디어 제안이다. 그 예로는 오라클 클라우드를 활용한 신규 솔루션 개발, 기존 솔루션을 오라클 클라우드로 이관하며 얻을 수 있는 개선점 도출 또는 비용 절감 방안, 국내 시장 진출 등이 있다. 선정평가를 거쳐 최종 선정된 스타트업은 서울창업허브 창동의 사업화 지원 및 한국오라클과의 협력 기회를 지원 받는다. 1차 서류 평가와 2차 발표 평가를 거쳐 최종 선정된 스타트업은 오픈이노베이션 프로그램에 참여해 서울창업허브 창동과 한국오라클 양기관의 지원을 받게 된다. 서울창업허브 창동에서는 1,000만 원의 사업화지원금과 스타트업 역량강화 프로그램을 지원하며, 별도 심사를 거쳐 서울창업허브 창동의 입주기회와 데모데이 참여기회를 제공한다. 한국오라클에서는 최종 선발 기업과 협약을 체결하고, 수요·과제 관련 가이드라인과 과제 관련 멘토링을 제공한다. 멘토링에는 클라우드 환경 구축을 위한 1:1 오라클 엔지니어 기술 멘토링, 클라우드 시장 진출을 위한 홍보 컨설팅 등을 진행하며, 클라우드 환경 구축을 위한 $1,000 SGD의 크레딧 제공이 포함된다. ‘...

6일 전

우버, 단순한 사칭 문자에 사내 시스템 해킹 당해

미국 최대 차량호출 서비스 업체 우버가 해킹 공격을 당해 이에 대응 중이라고 밝혔다. 네트워크가 침투당해 내부 커뮤니케이션 및 엔지니어링 시스템의 작동이 중단됐다.    우버는 전날 밤 트위터를 통해 성명을 내며 "현재 사이버보안 사건에 대응하고 있다"라며 "법집행 당국과 접촉하고 있으며 추가 변동 사항이 있으면 게시할 것"이라고 말했다. 15일 뉴욕타임즈(NYT) 보도에 따르면 해커가 전날 오후 한 직원의 기업용 메신저 '슬랙' 계정에 침투해 회사 내부 시스템을 장악했다. 그리고 우버 직원들에게 “나는 해커다. 우버 시스템에 침투했다”라고 단체 메시지를 보내며 침투한 데이터베이스를 구체적으로 나열했다.  해킹 방식은 간단했다. 해커는 우버 직원에게 사내 IT 부서의 직원인 척하며 시스템 접근용 비밀번호를 요구했다.  미국의 한 보안 연구원이자 버그바운티 헌터로 활동 중인 샘 커리는 16일 트위터에 해커에 속아 넘어간 익명의 우버 직원에게 구체적인 정황을 들었다고 주장했다. 그에 따르면 해커는 자신을 IT 보안 팀원이라고 주장하며 슬랙 사용을 중단하라는 ‘긴급 보안 공고’ 이메일을 직원들에게 보냈다. 그때부터 해당 우버 직원이 웹브라우저를 쓸 때마다 이상한 웹사이트로 강제 접속된다고 그는 전했다. 컴퓨터가 해킹 당한 것으로 추정된다. 슬로바키아 IT 보안 서비스 기업 ESET의 글로벌 사이버 보안 어드바이저 제이크 무어는 “우버 같은 큰 기업마저 이렇게 단순한 소셜 엔지니어링 공격에 속수무책으로 당했다는 점이 당황스럽기 그지없다. 게다가 기업의 사이버보안이 얼마나 허술한 지 입증한 사건이다. 해커는 단지 학 직원의 계정 권한을 얻었을 뿐인데 사내 시스템까지 침투할 수 있었다”라고 말했다.  영국 클라우드 기반 관리형 서비스 제공업체 식스 디그리스(Six Degrees)의 공격 보안 기술 담당자 앤디 스위프트도 “이번에 공격당한 슬랙과 데이터베이스는 우버라는 회사의 근본적인 인프라에...

피싱메일 피싱공격 피싱문자 계정권한 최소권한 보안시뮬레이션 퍼플팀 블루팀

6일 전

미국 최대 차량호출 서비스 업체 우버가 해킹 공격을 당해 이에 대응 중이라고 밝혔다. 네트워크가 침투당해 내부 커뮤니케이션 및 엔지니어링 시스템의 작동이 중단됐다.    우버는 전날 밤 트위터를 통해 성명을 내며 "현재 사이버보안 사건에 대응하고 있다"라며 "법집행 당국과 접촉하고 있으며 추가 변동 사항이 있으면 게시할 것"이라고 말했다. 15일 뉴욕타임즈(NYT) 보도에 따르면 해커가 전날 오후 한 직원의 기업용 메신저 '슬랙' 계정에 침투해 회사 내부 시스템을 장악했다. 그리고 우버 직원들에게 “나는 해커다. 우버 시스템에 침투했다”라고 단체 메시지를 보내며 침투한 데이터베이스를 구체적으로 나열했다.  해킹 방식은 간단했다. 해커는 우버 직원에게 사내 IT 부서의 직원인 척하며 시스템 접근용 비밀번호를 요구했다.  미국의 한 보안 연구원이자 버그바운티 헌터로 활동 중인 샘 커리는 16일 트위터에 해커에 속아 넘어간 익명의 우버 직원에게 구체적인 정황을 들었다고 주장했다. 그에 따르면 해커는 자신을 IT 보안 팀원이라고 주장하며 슬랙 사용을 중단하라는 ‘긴급 보안 공고’ 이메일을 직원들에게 보냈다. 그때부터 해당 우버 직원이 웹브라우저를 쓸 때마다 이상한 웹사이트로 강제 접속된다고 그는 전했다. 컴퓨터가 해킹 당한 것으로 추정된다. 슬로바키아 IT 보안 서비스 기업 ESET의 글로벌 사이버 보안 어드바이저 제이크 무어는 “우버 같은 큰 기업마저 이렇게 단순한 소셜 엔지니어링 공격에 속수무책으로 당했다는 점이 당황스럽기 그지없다. 게다가 기업의 사이버보안이 얼마나 허술한 지 입증한 사건이다. 해커는 단지 학 직원의 계정 권한을 얻었을 뿐인데 사내 시스템까지 침투할 수 있었다”라고 말했다.  영국 클라우드 기반 관리형 서비스 제공업체 식스 디그리스(Six Degrees)의 공격 보안 기술 담당자 앤디 스위프트도 “이번에 공격당한 슬랙과 데이터베이스는 우버라는 회사의 근본적인 인프라에...

6일 전

IBM, ‘2022 데이터 유출 비용 연구 보고서’ 발표…한국 및 글로벌 기업 역대 최대 피해액 기록

IBM 시큐리티는 한국을 포함한 전 세계 기업과 조직을 대상으로 데이터 유출 피해에 따른 비용을 조사한 ‘2022 데이터 유출 비용 연구 보고서(Cost of a Data Breach Report 2022)’를 발표했다.    연구에 따르면, 지난 1년간 전 세계 기업이 데이터 유출로 인해 평균 435만 달러의 손실을 기록했다. 이 수치는 지난 17년간 조사한 결과 가운데 최고 피해액이다. 한국 기업 역시 지난 2018년부터 데이터 유출로 인한 평균 피해액이 꾸준히 증가해 올해 약 43억 3,400만 원 상당의 사상 최대 피해액을 기록했다. 이번 보고서는 전 세계 550개 기업 및 조직이 경험한 실제 데이터 유출 사례를 심층 분석했다. 조사에 따르면 최근 2년간 보안 사고로 인한 관련 비용이 12.7% 늘어났다. 이에 보고서는 이러한 비용 상승이 최종 재화 및 서비스 가격 인상을 야기할 수 있다는 점을 지적했다. 실제로 조사에 참여한 기업의 60%가 데이터 유출 관련 비용 상승으로 인해 서비스나 제품 가격을 인상했다고 답했다. 더불어 이번 보고서는 데이터 유출로 인한 피해가 일회성에 그치지 않고 장기적으로 기업에 영향을 미친다는 점을 조명했다. 조사에 참여한 기업의 83%가 1회 이상의 데이터 유출 피해를 경험했으며, 데이터 유출로 인해 발생하는 총 비용 중 절반 가까운 금액은 사건 발생 1년 이후에 나타나는 등, 기업 비즈니스에 오랫동안 후유증을 남기는 것으로 드러났다. 한국의 경우, 데이터 유출 사고 건당 피해 금액이 가장 큰 산업은 금융, 서비스, IT 순으로, 지난해에 이어 올해도 세 산업 분야가 데이터 보안 위협으로 인해 가장 많은 손실을 본 것으로 드러났다. 국내 데이터 유출 사고를 일으킨 최초 공격 방법으로는 ‘사용자 인증 정보 도용(약 20%)’이 가장 많았으며, ‘클라우드 구성 오류’와 ‘제3자 소프트웨어의 취약성 공격’이 뒤를 이었다. 데이터 유출 피해 규모에는 기업의 보안 성숙도가 영향을 미쳤다. 보고서에 따르...

IBM

6일 전

IBM 시큐리티는 한국을 포함한 전 세계 기업과 조직을 대상으로 데이터 유출 피해에 따른 비용을 조사한 ‘2022 데이터 유출 비용 연구 보고서(Cost of a Data Breach Report 2022)’를 발표했다.    연구에 따르면, 지난 1년간 전 세계 기업이 데이터 유출로 인해 평균 435만 달러의 손실을 기록했다. 이 수치는 지난 17년간 조사한 결과 가운데 최고 피해액이다. 한국 기업 역시 지난 2018년부터 데이터 유출로 인한 평균 피해액이 꾸준히 증가해 올해 약 43억 3,400만 원 상당의 사상 최대 피해액을 기록했다. 이번 보고서는 전 세계 550개 기업 및 조직이 경험한 실제 데이터 유출 사례를 심층 분석했다. 조사에 따르면 최근 2년간 보안 사고로 인한 관련 비용이 12.7% 늘어났다. 이에 보고서는 이러한 비용 상승이 최종 재화 및 서비스 가격 인상을 야기할 수 있다는 점을 지적했다. 실제로 조사에 참여한 기업의 60%가 데이터 유출 관련 비용 상승으로 인해 서비스나 제품 가격을 인상했다고 답했다. 더불어 이번 보고서는 데이터 유출로 인한 피해가 일회성에 그치지 않고 장기적으로 기업에 영향을 미친다는 점을 조명했다. 조사에 참여한 기업의 83%가 1회 이상의 데이터 유출 피해를 경험했으며, 데이터 유출로 인해 발생하는 총 비용 중 절반 가까운 금액은 사건 발생 1년 이후에 나타나는 등, 기업 비즈니스에 오랫동안 후유증을 남기는 것으로 드러났다. 한국의 경우, 데이터 유출 사고 건당 피해 금액이 가장 큰 산업은 금융, 서비스, IT 순으로, 지난해에 이어 올해도 세 산업 분야가 데이터 보안 위협으로 인해 가장 많은 손실을 본 것으로 드러났다. 국내 데이터 유출 사고를 일으킨 최초 공격 방법으로는 ‘사용자 인증 정보 도용(약 20%)’이 가장 많았으며, ‘클라우드 구성 오류’와 ‘제3자 소프트웨어의 취약성 공격’이 뒤를 이었다. 데이터 유출 피해 규모에는 기업의 보안 성숙도가 영향을 미쳤다. 보고서에 따르...

6일 전

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13