Offcanvas

������ ������

美 비밀경호국의 텍스트 메시지 삭제 사건에서 배우는 ‘보안 교훈’

워싱턴 정가에서 일어난 이번 드라마는 모바일 커뮤니케이션 보안에 대한 주의를 환기시킨다. 또 문서 파기와 같은 조직 내 보안 정책의 중요성을 시사한다.    미국 비밀 경호국(U.S. Secret Service, USSS)이 정치적 논쟁에 휩싸여 있다. 지난 7월 중순 국토안보부(Department of Homeland Security, DHS) 조사국이 의회 측에 1월 6일의 중요한 이벤트에 관한 텍스트 메시지가 24명의 주요 요원에 대해 영구적으로 삭제되었다고 밝힌 데 따른 것이다. USSS는 현재 DHS 산하에 속한다. 관심이 높은 국가적 사건이지만, 진실은 아직 명확하지 않다. 그저 의회와 DHS 및 DHS와 비밀경호국 사이의 갈등 때문에 상황이 악화된 양상이다. 일단 비밀경호국은 2021년 1월에 텍스트를 잃어버렸다고 밝혔다. 요원들에게 스마트폰을 백업하도록 지시하는 조치 등이 포함된 3개월 시스템 마이그레이션의 일환으로 스마트폰을 공장 출하값로 재설정한 이후에 발생한 일이었다. 정치적 논쟁이 되고 있기는 하지만 비밀경호국의 없어진 텍스트 메시지에 대한 최근에 드러난 뒤죽박죽 스토리는 모바일 의사소통을 보호하는 문제와 문서 파괴 및 보관 정책이 조직의 보안에서 하는 역할에 대한 교훈을 전하고 있다. 비밀경호국의 없어진 텍스트: 타임라인 다음의 타임라인은 없어진 텍스트 사건의 요약이다. 명확한 사건 기록에 대한 만성적인 부재가 여실히 드러났으며, 이어진 실수에 대해 기관들이 책임을 서로 전가하면서 갈등이 고조됐다. 2021년 1월 16일: COR(Committee on Oversight and Reform) 의장 캐롤라인 B. 맬로니(D-NY)와 CHS(Committee on Homeland Security)의 의장 베니 G. 톰슨(D-MS)은 다른 위원회 의장들과 함께 DHS와 다른 기관에 1월 6일 사태와 관련된 문서 및 자료 작성을 요청하는 서신을 작성했다. 2021년 2월 26일: DHS OIG(Office of ...

비밀 경호국 DHS USSS 국토안보부 보안 문서 파기 보안 정책 정보 삭제 정보 파기

2022.08.08

워싱턴 정가에서 일어난 이번 드라마는 모바일 커뮤니케이션 보안에 대한 주의를 환기시킨다. 또 문서 파기와 같은 조직 내 보안 정책의 중요성을 시사한다.    미국 비밀 경호국(U.S. Secret Service, USSS)이 정치적 논쟁에 휩싸여 있다. 지난 7월 중순 국토안보부(Department of Homeland Security, DHS) 조사국이 의회 측에 1월 6일의 중요한 이벤트에 관한 텍스트 메시지가 24명의 주요 요원에 대해 영구적으로 삭제되었다고 밝힌 데 따른 것이다. USSS는 현재 DHS 산하에 속한다. 관심이 높은 국가적 사건이지만, 진실은 아직 명확하지 않다. 그저 의회와 DHS 및 DHS와 비밀경호국 사이의 갈등 때문에 상황이 악화된 양상이다. 일단 비밀경호국은 2021년 1월에 텍스트를 잃어버렸다고 밝혔다. 요원들에게 스마트폰을 백업하도록 지시하는 조치 등이 포함된 3개월 시스템 마이그레이션의 일환으로 스마트폰을 공장 출하값로 재설정한 이후에 발생한 일이었다. 정치적 논쟁이 되고 있기는 하지만 비밀경호국의 없어진 텍스트 메시지에 대한 최근에 드러난 뒤죽박죽 스토리는 모바일 의사소통을 보호하는 문제와 문서 파괴 및 보관 정책이 조직의 보안에서 하는 역할에 대한 교훈을 전하고 있다. 비밀경호국의 없어진 텍스트: 타임라인 다음의 타임라인은 없어진 텍스트 사건의 요약이다. 명확한 사건 기록에 대한 만성적인 부재가 여실히 드러났으며, 이어진 실수에 대해 기관들이 책임을 서로 전가하면서 갈등이 고조됐다. 2021년 1월 16일: COR(Committee on Oversight and Reform) 의장 캐롤라인 B. 맬로니(D-NY)와 CHS(Committee on Homeland Security)의 의장 베니 G. 톰슨(D-MS)은 다른 위원회 의장들과 함께 DHS와 다른 기관에 1월 6일 사태와 관련된 문서 및 자료 작성을 요청하는 서신을 작성했다. 2021년 2월 26일: DHS OIG(Office of ...

2022.08.08

재택근무 보안··· 직원이 '1분 만에' 할 수 있는 10가지

사무실이 활기를 잃었다. 마치 유령 도시처럼 변했다. 직원들은 재택 근무를 하지 않을 수 없게 된 상황이다. IT 관리자나 보안 담당 임원의 관점에서 본다면 꽤 위험한 상황이 펼쳐졌다. 현대 기업이라면 자체 사업 및 기밀 보호를 위해 당연히 보안 기능을 제공할 것이다. 맬웨어를 저지하기 위해 컴퓨터마다 엔드포인트 탐지 및 대응(EDR) 소프트웨어를 설치할 것이며, 통신 내용을 보호하고 운영 체제 및 앱을 최신 보안 패치로 자동 업데이트할 수 있도록 VPN에 접속하게 해 두는 것이 보통이다. 그러나 재택근무 환경에서는 사무실 환경에서 당연시 되었던 방어 기능 중에서 몇몇을 포기해야 한다. 회사의 강력한 방화벽과 직접적인 기술 지원과 같은 것 등이다. 다행히 사무실의 보호권에서 벗어나 있다 하더라도 재택근무 직원이 손쉽게 본인(과 회사)의 보안을 강화할 수 있는 추가 방어 단계가 여럿 있다. 이러한 추가적인 재택근무 보안 요령은 모든 조직의 원격 근무자 대상 보안 인식 교육 내용에 포함되어야 한다. 대부분 1분 이내에 실행 가능하며 전문 지식도 필요 없다.    안전을 위해 암호화할 것 보안에 신경을 쓰는 회사라면 보유한 컴퓨터를 암호화할 가능성이 높다. 그래야 분실 또는 도난 시에도 데이터를 숨긴 채로 유지할 수 있기 때문이다. 단점은 드라이브 전체를 암호화할 경우 컴퓨터 속도가 크게 저하될 수 있다는 것이다.  효과적인 절충안은 암호화 프로그램을 사용하여 필수 파일이나 기밀 파일을 암호화하는 것이다. 그러면 다른 사람 손에 들어가더라도 정확한 복호화 키 없이는 읽을 수 없다. 스마트폰과 태블릿에도 좋은 소식이 있다. 삼성의 최신 갤럭시 제품에는 삼성의 녹스(Knox) 기술로 파일을 암호화하는 보안 폴더 앱이 들어 있다. 암호화된 파일은 비밀번호나 지문 또는 안면 스캔으로 열 수 있다는 점이 특히 좋다. 플래시 드라이브를 차단할 것 재택근무 직원이 플래시 드라이브로 시스템에 데이터를 넣고 뺄 수 있다면 심각한 보안상 허점이...

재택근무 원격근무 보안 정책 암호화 MFA 라우터 방화벽

2021.02.25

사무실이 활기를 잃었다. 마치 유령 도시처럼 변했다. 직원들은 재택 근무를 하지 않을 수 없게 된 상황이다. IT 관리자나 보안 담당 임원의 관점에서 본다면 꽤 위험한 상황이 펼쳐졌다. 현대 기업이라면 자체 사업 및 기밀 보호를 위해 당연히 보안 기능을 제공할 것이다. 맬웨어를 저지하기 위해 컴퓨터마다 엔드포인트 탐지 및 대응(EDR) 소프트웨어를 설치할 것이며, 통신 내용을 보호하고 운영 체제 및 앱을 최신 보안 패치로 자동 업데이트할 수 있도록 VPN에 접속하게 해 두는 것이 보통이다. 그러나 재택근무 환경에서는 사무실 환경에서 당연시 되었던 방어 기능 중에서 몇몇을 포기해야 한다. 회사의 강력한 방화벽과 직접적인 기술 지원과 같은 것 등이다. 다행히 사무실의 보호권에서 벗어나 있다 하더라도 재택근무 직원이 손쉽게 본인(과 회사)의 보안을 강화할 수 있는 추가 방어 단계가 여럿 있다. 이러한 추가적인 재택근무 보안 요령은 모든 조직의 원격 근무자 대상 보안 인식 교육 내용에 포함되어야 한다. 대부분 1분 이내에 실행 가능하며 전문 지식도 필요 없다.    안전을 위해 암호화할 것 보안에 신경을 쓰는 회사라면 보유한 컴퓨터를 암호화할 가능성이 높다. 그래야 분실 또는 도난 시에도 데이터를 숨긴 채로 유지할 수 있기 때문이다. 단점은 드라이브 전체를 암호화할 경우 컴퓨터 속도가 크게 저하될 수 있다는 것이다.  효과적인 절충안은 암호화 프로그램을 사용하여 필수 파일이나 기밀 파일을 암호화하는 것이다. 그러면 다른 사람 손에 들어가더라도 정확한 복호화 키 없이는 읽을 수 없다. 스마트폰과 태블릿에도 좋은 소식이 있다. 삼성의 최신 갤럭시 제품에는 삼성의 녹스(Knox) 기술로 파일을 암호화하는 보안 폴더 앱이 들어 있다. 암호화된 파일은 비밀번호나 지문 또는 안면 스캔으로 열 수 있다는 점이 특히 좋다. 플래시 드라이브를 차단할 것 재택근무 직원이 플래시 드라이브로 시스템에 데이터를 넣고 뺄 수 있다면 심각한 보안상 허점이...

2021.02.25

칼럼 | 기업의 올바른 비밀번호 변경 정책은?

윈도우 기본 ‘최대 비밀번호 사용기간’(강제 만료) 제거 결정이 큰 논란을 일으키고 있다. 그러나 조직이 비밀번호를 정기적으로 교체해야 할 이유들이 있다. 여기 그 이유를 정리한다. 종전의 기본(그리고 권장) 최대 비밀번호 사용기간은 OS 버전에 따라 45-60일이었다. 이번 마이크로소프트의 4월 24일 강제 만료 기본값 삭제는 비밀번호가 해킹됐다는 사실이 파악될 때까지 비밀번호 변경을 요청하지 말라는 최근NIST(National Institute of Standards and Technology)의 권고에 따른 것이이다. 마이크로소프트의 이번 조치는 비밀번호가 일반적으로 추측/해킹 외의 수단으로 침탈되곤 한다는 생각에 기인한 것이다. 게다가 사람들이 비밀번호를 자주 변경하도록 요구하면 여러 웹사이트에서 같은 비밀번호나 패턴을 재사용하도록 조장한다는 생각도 깔려 있다. 실제로 대부분의 비밀번호는 피싱 공격을 통해 침탈되며 강제적인 비밀번호 변경으로는 이를 방지할 수 없다. NIST와 마이크로소프트를 따라 강제적인 비밀번호 만료 정책을 없애야 할까? 그렇지 않다고 생각한다. 그 이유는 다음과 같다.   준수성 때문에 여전히 비밀번호 만료가 요구된다 필자는 아직까지 사이버 보안 규정 또는 법률(PCI-DSS, HIPAA, SOX, NERC)이 적용되지 않는 조직을 본 적이 없다. 이 모든 규정은 자동화되고 빈번한 비밀번호 변경을 요구한다. NIST의 새로운 비밀번호 권고사항을 신뢰한다면 행운을 빈다. 규정이 변경될 때까지 기존의 권고사항에 발목을 잡히게 될 것이다. 비밀번호가 언제 해킹되었는지 아는 경우가 거의 없다 "해킹되었다는 사실을 파악할 때까지 비밀번호를 변경하지 말라"는 권고에서 가장 우려되는 부분은 대부분의 사람들이 비밀번호가 해킹되었는지 모른다는 점이다. 필자가 읽은 모든 ‘드웰 타임’(dwell time) 데이터 포인트에 따르면 일반적인 해커가 네트워크와 비밀번호 전체에...

해킹 피싱 패스워드 보안 정책 비밀번호 정책

2019.05.13

윈도우 기본 ‘최대 비밀번호 사용기간’(강제 만료) 제거 결정이 큰 논란을 일으키고 있다. 그러나 조직이 비밀번호를 정기적으로 교체해야 할 이유들이 있다. 여기 그 이유를 정리한다. 종전의 기본(그리고 권장) 최대 비밀번호 사용기간은 OS 버전에 따라 45-60일이었다. 이번 마이크로소프트의 4월 24일 강제 만료 기본값 삭제는 비밀번호가 해킹됐다는 사실이 파악될 때까지 비밀번호 변경을 요청하지 말라는 최근NIST(National Institute of Standards and Technology)의 권고에 따른 것이이다. 마이크로소프트의 이번 조치는 비밀번호가 일반적으로 추측/해킹 외의 수단으로 침탈되곤 한다는 생각에 기인한 것이다. 게다가 사람들이 비밀번호를 자주 변경하도록 요구하면 여러 웹사이트에서 같은 비밀번호나 패턴을 재사용하도록 조장한다는 생각도 깔려 있다. 실제로 대부분의 비밀번호는 피싱 공격을 통해 침탈되며 강제적인 비밀번호 변경으로는 이를 방지할 수 없다. NIST와 마이크로소프트를 따라 강제적인 비밀번호 만료 정책을 없애야 할까? 그렇지 않다고 생각한다. 그 이유는 다음과 같다.   준수성 때문에 여전히 비밀번호 만료가 요구된다 필자는 아직까지 사이버 보안 규정 또는 법률(PCI-DSS, HIPAA, SOX, NERC)이 적용되지 않는 조직을 본 적이 없다. 이 모든 규정은 자동화되고 빈번한 비밀번호 변경을 요구한다. NIST의 새로운 비밀번호 권고사항을 신뢰한다면 행운을 빈다. 규정이 변경될 때까지 기존의 권고사항에 발목을 잡히게 될 것이다. 비밀번호가 언제 해킹되었는지 아는 경우가 거의 없다 "해킹되었다는 사실을 파악할 때까지 비밀번호를 변경하지 말라"는 권고에서 가장 우려되는 부분은 대부분의 사람들이 비밀번호가 해킹되었는지 모른다는 점이다. 필자가 읽은 모든 ‘드웰 타임’(dwell time) 데이터 포인트에 따르면 일반적인 해커가 네트워크와 비밀번호 전체에...

2019.05.13

기고 | 보안 정책의 시작은 전략 수립에서

국제 웹 보안 표준기구(OWASP, Open Web Application Security Project)가 진행한 2013년 정보보호 최고책임자 설문조사 결과에 따르면, 응답CISO의 75%는 외부로부터의 공격이 증가했다고 밝혔다. 전체 리스크 대비 리스크가 가장 큰 분야가 어디냐고 묻는 질문에 대해서는 70%가 웹 애플리케이션을 꼽았으며 네트워크 인프라스다도 리스크가 높은 분야라고 지적했다. 웹 애플리케이션 보안의 재조명 애플리케이션 보안 위협에 대한 인식이 뚜렷해지면서 기업들 역시 기존의 네트워크 보안에서 애플리케이션 보안으로 투자 방향을 전환하고 있다. 48%의 CISO는 회사의 애플리케이션 보안 예산이 증가하고 있다고 답했고, 37%는 큰 변화 없이 그대로라 말했으며 15%만이 애플리케이션 보안 예산이 감소했다고 밝혔다. 그렇지만 이런 예산의 증가는 새로운 문제점도 야기하는데, 웹 애플리케이션 및 소프트웨어 보안에는 기존의 정보 보안 분야에는 없는 특별한 능력과 기술이 필요한 것도 그런 문제 중 하나일 것이다. 특히 웹 애플리케이션의 경우 소프트웨어 개발 생명주기(SDLC) 동안에 안전한 소프트웨어를 개발해야 보안을 보장할 수 있다. 업계 표준 “보안 기준"에는 SDLC(S-SDLC) 보안은 물론 아키텍처 리스크 분석, 보안 코드 리뷰, 정적 소스 코드 분석 및 웹 애플리케이션 침투 테스트 같은 기업 SDLC 내 소프트웨어 보안 활동도 포함된다. 오늘날에는 기업들에서 보안 목적으로 채택할 수 있는 다양한 종류의 S-SDLC가 있다. OWASP CLASP, 마이크로소프트 SDL, 씨지털 터치 포인트(Cigital Touch Points)등이 그것이다. 그러나 설령 정보 보안 때문에 S-SDLC을 도입 및 실행한다 해도 여전히 소프트웨어 엔지니어링 팀의 협조와 도움이 필요하다. 소프트웨어 엔지니어링 팀과의 협력은 매우 중요하다. 하지만 그만큼 애플리케이션 보안 전략을 잘 따라야 하며 소프트웨어 엔지니어링 팀...

전략 CSO CISO 보안 정책 국제 웹 보안 표준기구 OWASP 시티그룹

2013.10.10

국제 웹 보안 표준기구(OWASP, Open Web Application Security Project)가 진행한 2013년 정보보호 최고책임자 설문조사 결과에 따르면, 응답CISO의 75%는 외부로부터의 공격이 증가했다고 밝혔다. 전체 리스크 대비 리스크가 가장 큰 분야가 어디냐고 묻는 질문에 대해서는 70%가 웹 애플리케이션을 꼽았으며 네트워크 인프라스다도 리스크가 높은 분야라고 지적했다. 웹 애플리케이션 보안의 재조명 애플리케이션 보안 위협에 대한 인식이 뚜렷해지면서 기업들 역시 기존의 네트워크 보안에서 애플리케이션 보안으로 투자 방향을 전환하고 있다. 48%의 CISO는 회사의 애플리케이션 보안 예산이 증가하고 있다고 답했고, 37%는 큰 변화 없이 그대로라 말했으며 15%만이 애플리케이션 보안 예산이 감소했다고 밝혔다. 그렇지만 이런 예산의 증가는 새로운 문제점도 야기하는데, 웹 애플리케이션 및 소프트웨어 보안에는 기존의 정보 보안 분야에는 없는 특별한 능력과 기술이 필요한 것도 그런 문제 중 하나일 것이다. 특히 웹 애플리케이션의 경우 소프트웨어 개발 생명주기(SDLC) 동안에 안전한 소프트웨어를 개발해야 보안을 보장할 수 있다. 업계 표준 “보안 기준"에는 SDLC(S-SDLC) 보안은 물론 아키텍처 리스크 분석, 보안 코드 리뷰, 정적 소스 코드 분석 및 웹 애플리케이션 침투 테스트 같은 기업 SDLC 내 소프트웨어 보안 활동도 포함된다. 오늘날에는 기업들에서 보안 목적으로 채택할 수 있는 다양한 종류의 S-SDLC가 있다. OWASP CLASP, 마이크로소프트 SDL, 씨지털 터치 포인트(Cigital Touch Points)등이 그것이다. 그러나 설령 정보 보안 때문에 S-SDLC을 도입 및 실행한다 해도 여전히 소프트웨어 엔지니어링 팀의 협조와 도움이 필요하다. 소프트웨어 엔지니어링 팀과의 협력은 매우 중요하다. 하지만 그만큼 애플리케이션 보안 전략을 잘 따라야 하며 소프트웨어 엔지니어링 팀...

2013.10.10

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.8