Offcanvas

��������� ������

보안 부서 넘어서는 ‘내부자 위협’ 문제··· 요주의 직원은? 대응 방법은?

사이버 보안 관리자 데이비드 머피는 보통 직원들도 얼마나 문제를 일으킬 수 있는지 침투 테스트에서 자주 실감했다.  그는 직원들이 떨어진 USB 드라이브를 주워서 사용하고, 통화 중 비밀번호를 알려주며 심지어 시뮬레이션 된 피싱 링크를 클릭하는 것을 직접 목격했다. 공공회계 및 비즈니스 자문 기업 슈나이더 다운스(Schneider Downs)의 사이버 보안 관리자 머피는 과거 다른 기업에서 랜섬웨어 공격의 기저 원인을 조사하는 과정에서 문제의 송장을 클릭한 한 직원을 역추적해 발견한 바 있다고 전했다. 머피는 “해당 송장의 링크는 그의 직무와 전혀 관련이 없었다. 클릭한 유일한 이유는 그가 모든 것을 열어보는 사람이었기 때문이다. 그는 언제라도 문제를 일으킬 내부자 위험 요소였다”라고 말했다. 그는 NSA(National Security Agency) 컴퓨터 네트워크 운영팀의 컨설턴트 출신이다. 포네몬 연구소(Ponemon Institute)의 ‘2022년 전 세계 내부자 위협 비용’ 조사에 따르면 전체 내부자 위협 사건 빈도는 지난 2년 동안 44%나 증가했다. 해당 보고서에 따르면 부주의한 내부자가 사고 중 56%의 기저 원인이었으며, 사고당 평균 손해액은 48만 4,931달러였다. 또 이 보고서에 따르면 악의적인 내부자가 일으킨 문제일 때 비용이 더 높았다. 평균 64만 8,062달러였다. 악의적인 내부자가 일으킨 사고는 전체의 26%를 차지했다. 한편 자격 증명 도난이 2022년의 사고 중 18%를 차지했다(2020년 사고 중 14%).   다층적인 접근법 사용하기 보안 전문가들에 따르면, 시뮬레이션 된 피싱 공격 테스트가 생각 없이 클릭하는 사람을 찾아내는 데 도움이 될 수 있다. 하지만 링크드인(LinkedIn) 등에서 수집한 정보을 이용하는 정교한 소셜 엔지니어링 공격에 취약할 수 있는 사람, 자격 증명을 범죄자에게 넘길 만큼 불만이 많은 사람 등을 파악하기란 훨씬 어렵다. 이런 약한 연결 고리를 찾아내기 위해서는 ...

내부자 위협 내부자 유출 소셜 엔지니어링 스캠 피싱

2022.04.15

사이버 보안 관리자 데이비드 머피는 보통 직원들도 얼마나 문제를 일으킬 수 있는지 침투 테스트에서 자주 실감했다.  그는 직원들이 떨어진 USB 드라이브를 주워서 사용하고, 통화 중 비밀번호를 알려주며 심지어 시뮬레이션 된 피싱 링크를 클릭하는 것을 직접 목격했다. 공공회계 및 비즈니스 자문 기업 슈나이더 다운스(Schneider Downs)의 사이버 보안 관리자 머피는 과거 다른 기업에서 랜섬웨어 공격의 기저 원인을 조사하는 과정에서 문제의 송장을 클릭한 한 직원을 역추적해 발견한 바 있다고 전했다. 머피는 “해당 송장의 링크는 그의 직무와 전혀 관련이 없었다. 클릭한 유일한 이유는 그가 모든 것을 열어보는 사람이었기 때문이다. 그는 언제라도 문제를 일으킬 내부자 위험 요소였다”라고 말했다. 그는 NSA(National Security Agency) 컴퓨터 네트워크 운영팀의 컨설턴트 출신이다. 포네몬 연구소(Ponemon Institute)의 ‘2022년 전 세계 내부자 위협 비용’ 조사에 따르면 전체 내부자 위협 사건 빈도는 지난 2년 동안 44%나 증가했다. 해당 보고서에 따르면 부주의한 내부자가 사고 중 56%의 기저 원인이었으며, 사고당 평균 손해액은 48만 4,931달러였다. 또 이 보고서에 따르면 악의적인 내부자가 일으킨 문제일 때 비용이 더 높았다. 평균 64만 8,062달러였다. 악의적인 내부자가 일으킨 사고는 전체의 26%를 차지했다. 한편 자격 증명 도난이 2022년의 사고 중 18%를 차지했다(2020년 사고 중 14%).   다층적인 접근법 사용하기 보안 전문가들에 따르면, 시뮬레이션 된 피싱 공격 테스트가 생각 없이 클릭하는 사람을 찾아내는 데 도움이 될 수 있다. 하지만 링크드인(LinkedIn) 등에서 수집한 정보을 이용하는 정교한 소셜 엔지니어링 공격에 취약할 수 있는 사람, 자격 증명을 범죄자에게 넘길 만큼 불만이 많은 사람 등을 파악하기란 훨씬 어렵다. 이런 약한 연결 고리를 찾아내기 위해서는 ...

2022.04.15

내부자 위협의 주인공이 조직 수장이라면?

트럼프 전 미국 대통령이 민감한 정부 문서를 잘못 처리하고 제거했다는 폭로가 최근 있었다. 정보보안 측면에서 독특한 위험성을 시사한다.    내부자 위협의 주인공이 미국 대통령이라면 국가 안보에 미치는 영향을 감안할 때 그 의미가 사뭇 다르다. 미국 대통령 기록물 중 일부가 반환되지 않은 사건을 매체들은 미국 국립 문서기록 관리청(기록관리청)이 자세히 조사했다고 대대적으로 보도했다.  최근에는 제45대 트럼프 대통령의 임기가 끝난 2021년 1월 20일 상자 15개 분량의 대통령 문서가 기록관리청으로 전달되지 않은 것으로 전해졌다. 트럼프 대통령의 플로리다 자택에는 그의 지시에 따라 15개 상자에 담아 전달된 자료가 1년 넘게 보관 중이며 그 중에는 국가 안보 ‘기밀’과 ‘1급 비밀’이 담긴 문서도 있다는 주장이 제기되고 있다. 현재 미 기록관리청은 트럼프 전 대통령의 백악관 기록물 처리 실태 조사를 법무부에 요청한 상태다. 대통령 기록물법 기록관리청은 1981년부터 ‘대통령기록물법’에 의거하여 대통령과 부통령의 문서에 대한 수집, 분석, 정리 작업을 책임져 왔다. 대통령 기록물법은 “대통령 기록물 일체가 공공 소유임을 규정”하고 “현직 대통령기록물의 보관 및 관리 책임을 대통령에게 맡긴다.”  기록물의 정의는 광범위하며 텍스트 형식과 전자 형식을 둘 다 아우른다(이메일, 메모, 연설, 쪽지, 팩스 등). 또한, 대통령과 참모는 “개인 기록물과 대통령 기록물이 별도로 보관되도록 일체의 타당한 조치를 취할” 책임을 진다. 대통령 기록물법에는 현직 대통령이 “미국 기록보관 담당자의 서면 의견을 득한 후, 더 이상 행정, 역사, 정보, 증거 등의 측면에서 가치가 없는” 기록물을 처분할 수 있는 수단도 명시되어 있다. 곧 출간될 매기 해버만 뉴욕 타임즈 기자의 저서 ‘컨피던스 맨’(Confidence Man)에는 잘게 찢어서 버린 인쇄 용지 때문에 백악관 변기가 막혔던 일화가 소개되어 있다. 기록관리청은 성명을 통...

도널드 트럼프 대통령 기록물법 내부자 위협

2022.02.21

트럼프 전 미국 대통령이 민감한 정부 문서를 잘못 처리하고 제거했다는 폭로가 최근 있었다. 정보보안 측면에서 독특한 위험성을 시사한다.    내부자 위협의 주인공이 미국 대통령이라면 국가 안보에 미치는 영향을 감안할 때 그 의미가 사뭇 다르다. 미국 대통령 기록물 중 일부가 반환되지 않은 사건을 매체들은 미국 국립 문서기록 관리청(기록관리청)이 자세히 조사했다고 대대적으로 보도했다.  최근에는 제45대 트럼프 대통령의 임기가 끝난 2021년 1월 20일 상자 15개 분량의 대통령 문서가 기록관리청으로 전달되지 않은 것으로 전해졌다. 트럼프 대통령의 플로리다 자택에는 그의 지시에 따라 15개 상자에 담아 전달된 자료가 1년 넘게 보관 중이며 그 중에는 국가 안보 ‘기밀’과 ‘1급 비밀’이 담긴 문서도 있다는 주장이 제기되고 있다. 현재 미 기록관리청은 트럼프 전 대통령의 백악관 기록물 처리 실태 조사를 법무부에 요청한 상태다. 대통령 기록물법 기록관리청은 1981년부터 ‘대통령기록물법’에 의거하여 대통령과 부통령의 문서에 대한 수집, 분석, 정리 작업을 책임져 왔다. 대통령 기록물법은 “대통령 기록물 일체가 공공 소유임을 규정”하고 “현직 대통령기록물의 보관 및 관리 책임을 대통령에게 맡긴다.”  기록물의 정의는 광범위하며 텍스트 형식과 전자 형식을 둘 다 아우른다(이메일, 메모, 연설, 쪽지, 팩스 등). 또한, 대통령과 참모는 “개인 기록물과 대통령 기록물이 별도로 보관되도록 일체의 타당한 조치를 취할” 책임을 진다. 대통령 기록물법에는 현직 대통령이 “미국 기록보관 담당자의 서면 의견을 득한 후, 더 이상 행정, 역사, 정보, 증거 등의 측면에서 가치가 없는” 기록물을 처분할 수 있는 수단도 명시되어 있다. 곧 출간될 매기 해버만 뉴욕 타임즈 기자의 저서 ‘컨피던스 맨’(Confidence Man)에는 잘게 찢어서 버린 인쇄 용지 때문에 백악관 변기가 막혔던 일화가 소개되어 있다. 기록관리청은 성명을 통...

2022.02.21

이란의 첩보 활동에서 배우는 ‘내부자 위협’ 교훈

지난 몇달 간 이란의 첩보 활동에 대한 정보가 늘어났다. CISO들이 참고할 만한 교훈이 있다.    이스라엘 내부의 ‘눈과 귀’를 채용 이스라엘의 국내 보안기관인 신베트(Shin Bet)는 1월 중순 간첩 혐의로 4명의 이스라엘 여성들을 체포했다고 발표했다. 이란 정보기관이 페이스북을 통해 채용한 이들이었다.  모두 이란 출신인 이들 여성에게 접촉한 사람은 스스로를 이란에 거주하고 있는 유대인 남성이라고 주장한 람보드 남다르였다. 과거에도 사례가 많았던 방식이다. 소셜 네트워크를 통해 연락처를 구축한 후 이를 더 안전한 연락 매체로 옮긴다. 이번 경우 이런 매체는 왓츠앱(WhatsApp)이었다. 신베트에 따르면, 여성들은 5년 동안 수천 달러의 대가를 받았다. BBC 보도에 따르면, 여성 중 한 명은 텔아비브 교외에 거주하는 40대 여성으로 미국 대사관, 사회부 건물 내부, 기타 건물 내부 사진을 촬영하는 임무를 부여받았다. 벳세메스(Beit Shemesh)의 57세 여성은 이스라엘 군 정보부에서 복무하도록 유도한 자신의 아들로부터 정보와 서류들을 빼돌렸다.  세 번째 혐의자는 자신의 집에 비밀 비디오 카메라를 설치해 거점을 마련했다. 그녀는 이스라엘 이란인 커뮤니티 고객들에게 ‘개인 마사지’를 제공하면서 정보를 수집했다. 그녀는 이스라엘 국회의원을 표적으로 삼으려고도 시도하기도 했다. 군과 에너지가 타깃 2019에는 이스라엘 에너지 및 인프라부 장관을 역임한 고넨 세게브가 이란을 위한 첩보 행위로 11년형을 선고받았다. 세게브는 2012년 나이지리아에서 이란인들을 도왔고, 이후 2차례 이란을 비밀리에 방문해 비밀 통신 시스템에 대한 훈련을 받고, 이란 정보국과 비밀리에 연락했다. 2021년 11월 말에는 이스라엘 베니 간츠 국방부 장관의 가정부였던 옴리 고렌 고로초브스키가 체포됐다. 이란과 협력해 장관의 전자 장치들을 뒤진 혐의였다. 그녀는 장관 집의 전자 장치들에 자유롭게 액세스할 수 있었고, 집과 사무...

이란 이스라엘 첩보 스파이 내부자 위협

2022.01.24

지난 몇달 간 이란의 첩보 활동에 대한 정보가 늘어났다. CISO들이 참고할 만한 교훈이 있다.    이스라엘 내부의 ‘눈과 귀’를 채용 이스라엘의 국내 보안기관인 신베트(Shin Bet)는 1월 중순 간첩 혐의로 4명의 이스라엘 여성들을 체포했다고 발표했다. 이란 정보기관이 페이스북을 통해 채용한 이들이었다.  모두 이란 출신인 이들 여성에게 접촉한 사람은 스스로를 이란에 거주하고 있는 유대인 남성이라고 주장한 람보드 남다르였다. 과거에도 사례가 많았던 방식이다. 소셜 네트워크를 통해 연락처를 구축한 후 이를 더 안전한 연락 매체로 옮긴다. 이번 경우 이런 매체는 왓츠앱(WhatsApp)이었다. 신베트에 따르면, 여성들은 5년 동안 수천 달러의 대가를 받았다. BBC 보도에 따르면, 여성 중 한 명은 텔아비브 교외에 거주하는 40대 여성으로 미국 대사관, 사회부 건물 내부, 기타 건물 내부 사진을 촬영하는 임무를 부여받았다. 벳세메스(Beit Shemesh)의 57세 여성은 이스라엘 군 정보부에서 복무하도록 유도한 자신의 아들로부터 정보와 서류들을 빼돌렸다.  세 번째 혐의자는 자신의 집에 비밀 비디오 카메라를 설치해 거점을 마련했다. 그녀는 이스라엘 이란인 커뮤니티 고객들에게 ‘개인 마사지’를 제공하면서 정보를 수집했다. 그녀는 이스라엘 국회의원을 표적으로 삼으려고도 시도하기도 했다. 군과 에너지가 타깃 2019에는 이스라엘 에너지 및 인프라부 장관을 역임한 고넨 세게브가 이란을 위한 첩보 행위로 11년형을 선고받았다. 세게브는 2012년 나이지리아에서 이란인들을 도왔고, 이후 2차례 이란을 비밀리에 방문해 비밀 통신 시스템에 대한 훈련을 받고, 이란 정보국과 비밀리에 연락했다. 2021년 11월 말에는 이스라엘 베니 간츠 국방부 장관의 가정부였던 옴리 고렌 고로초브스키가 체포됐다. 이란과 협력해 장관의 전자 장치들을 뒤진 혐의였다. 그녀는 장관 집의 전자 장치들에 자유롭게 액세스할 수 있었고, 집과 사무...

2022.01.24

내부자 위협으로 이어진다··· CISO가 ‘허위 정보’에 민감해야 할 이유

허위 정보를 믿는 직원이 소셜 엔지니어링 및 피싱 공격에 좀더 취약한 경향을 보인다. 공격자들 또한 이를 잘 알고 있다. 오늘날 허위 정보와 사이버 공격을 연관 지어 생각하는 CISO들은 많지 않다. 실제로 밴다이어그램에는 ‘허위 정보’가 ‘CISO’ 또는 ‘사이버 위협’이라는 단어와 겹쳐 보이지 않는다. 하지만 현실은 다르다.   허위 정보는 CISO의 문제 일부 기업들이 허위 정보를 위협으로 식별하고 있다. 레코디드 퓨처(Recorded Future)의 CSO 그래빈 라이드가 직원들의 행동에 영향을 미치는 허위 정보에 대응하는 방법을 탐구하고 있다. DTEX 시스템(DTEX Systems)의 내부자 위협 대응, 보안, 비즈니스 인텔리전스 책임자 아만 마보드도 이런 시각을 갖고 있다.  그는 “의도와 결과에 상관없이 허위 정보/오정보를 공유하는 현상이 자주 발생하고 있다. 임원과 조직은 무엇이 공유될 수 있는지조차 파악하지 못하기 때문에 정보를 반박하기가 어렵고 이로 인해 대응할 필요성을 느끼지 못하고 있다”라고 말했다. 마보드는 “게다가 시급한 문제들이 많다. 기본적인 문제를 해결하기 위해 분투하고 있다. 내 직원은 누구이며, 어디에 있는가? 기업이 실제로 어떻게 운영되고 있는가? (지역, 부서별 등) 비즈니스가 얼마나 활발히 진행되고 있는가? 이 외에도 조직의 전반적인 사이버 보안 태도에 영향을 미치는 기업들에 대한 미묘하고 상세한 질문이 있다”라고 덧붙였다. 리댁티드(Redacted)의 위협 정보 이사 아담 플래틀리는 조직 외부의 허위 정보 캠페인을 탐구하고 있다. 특히 ‘피해자들이 잘못된 설명을 믿고 확정 편향을 유발하는 정보에 중독되는지’를 중심으로 CISO의 문제를 고려하고 있다. 플래틀리는 “피해자(직원)들이 확정 편향을 유발하는 정보에 중독되어 벗어나지 못하는 것이 CISO들에게 문제가 된다. 이로 인해 피싱 이메일, 문자 메시지 링크, 원하는 것에 맞춰 제작된 기타 미끼를 클릭할 가능성이 더 높아져 자격 증명 도...

허위 정보 소셜 엔지니어링 스캠 피싱 내부자 위협 가짜 정보

2021.11.01

허위 정보를 믿는 직원이 소셜 엔지니어링 및 피싱 공격에 좀더 취약한 경향을 보인다. 공격자들 또한 이를 잘 알고 있다. 오늘날 허위 정보와 사이버 공격을 연관 지어 생각하는 CISO들은 많지 않다. 실제로 밴다이어그램에는 ‘허위 정보’가 ‘CISO’ 또는 ‘사이버 위협’이라는 단어와 겹쳐 보이지 않는다. 하지만 현실은 다르다.   허위 정보는 CISO의 문제 일부 기업들이 허위 정보를 위협으로 식별하고 있다. 레코디드 퓨처(Recorded Future)의 CSO 그래빈 라이드가 직원들의 행동에 영향을 미치는 허위 정보에 대응하는 방법을 탐구하고 있다. DTEX 시스템(DTEX Systems)의 내부자 위협 대응, 보안, 비즈니스 인텔리전스 책임자 아만 마보드도 이런 시각을 갖고 있다.  그는 “의도와 결과에 상관없이 허위 정보/오정보를 공유하는 현상이 자주 발생하고 있다. 임원과 조직은 무엇이 공유될 수 있는지조차 파악하지 못하기 때문에 정보를 반박하기가 어렵고 이로 인해 대응할 필요성을 느끼지 못하고 있다”라고 말했다. 마보드는 “게다가 시급한 문제들이 많다. 기본적인 문제를 해결하기 위해 분투하고 있다. 내 직원은 누구이며, 어디에 있는가? 기업이 실제로 어떻게 운영되고 있는가? (지역, 부서별 등) 비즈니스가 얼마나 활발히 진행되고 있는가? 이 외에도 조직의 전반적인 사이버 보안 태도에 영향을 미치는 기업들에 대한 미묘하고 상세한 질문이 있다”라고 덧붙였다. 리댁티드(Redacted)의 위협 정보 이사 아담 플래틀리는 조직 외부의 허위 정보 캠페인을 탐구하고 있다. 특히 ‘피해자들이 잘못된 설명을 믿고 확정 편향을 유발하는 정보에 중독되는지’를 중심으로 CISO의 문제를 고려하고 있다. 플래틀리는 “피해자(직원)들이 확정 편향을 유발하는 정보에 중독되어 벗어나지 못하는 것이 CISO들에게 문제가 된다. 이로 인해 피싱 이메일, 문자 메시지 링크, 원하는 것에 맞춰 제작된 기타 미끼를 클릭할 가능성이 더 높아져 자격 증명 도...

2021.11.01

거의 모든 퇴사자가 정보를 가져간다?!··· 프루프포인트 소송의 교훈

거의 모든 퇴사자가 회사의 데이터나 지적재산을 가져간다. 그러나 이러한 행위를 점검하는 조직은 소수에 그친다. 최근 관련 위험성을 강조하는 사례가 발생해 눈길을 끈다.  우리는 직장 생활 중 입사와 퇴사를 반복한다. 고용 조직은 온보딩하는 신입 직원의 프로세스와 새로운 환경 적응에 많은 자원을 투입한다. 반면 퇴사하는 직원들과 관련해 투입되는 자원은 별로 없다. 직원, 계약자, 자문가 등의 오프보딩에는 위험이 따르며 신규 직원보다 더 많은 관심이 요구된다. ‘함께 일해서 즐거웠다. 다음 직장에서도 잘 지내기를 바란다. 나가는 길에 문에 부딪히지 않도록 조심해라’ 등으로는 부족하다. 동료의 퇴사로 인한 불편은 피하고 구조화된 프로세스와 절차를 마련해야 한다.    오프보딩에 주의해야 하는 이유는 무엇인가? 개인 사정 또는 새로운 기회를 위한 퇴사로 인해 기존의 고용주는 위험에 처하게 된다. 이 위험은 매우 현실적이다. 과거의 동료 그리고 그들이 퇴사할 때 무엇을 갖고 가는지 주의하지 않을 때의 심각한 영향이 나타날 수 있다. 사이버 보안기업 코드42(Code42)는 최근에 ‘대량 퇴직’이라는 용어를 만들었다. 코드42의 CEO 조 페인은 “모든 기업은 오프보딩에 투자해야 한다”고 말했다. 최근 코드42와 포네몬 연구소(Ponemon Institute)의 조사에 따르면 직원 중 거의 100%가 어떤 형태로든 일부 유형의 데이터를 갖고 퇴사한다. 최근 프루프포인트(Proofpoint)와 앱노멀 시큐리티(Abnormal Security) 사이에 벌어진 복잡한 상황을 통해 페인이 무슨 말을 하고 있는지 알 수 있다. 법원 문서에 따르면 프루프포인트는 7명의 직원이 앱노멀 시큐리티로 이직한 것에 대해 반발했다. 이 회사는 앱노멀이 ‘프루프포인트의 기밀 및 비전매특허 정보에 대한 액세스를 얻기 위해’ 프루프포인트의 직원을 표적으로 삼았다고 고발했다.  해당 기업의 관점은 프루프포인트의 전 채널 영업 이사 사무엘 분의 행동으...

퇴사 오프보딩 온보딩 내부자 유출 내부자 위협

2021.09.09

거의 모든 퇴사자가 회사의 데이터나 지적재산을 가져간다. 그러나 이러한 행위를 점검하는 조직은 소수에 그친다. 최근 관련 위험성을 강조하는 사례가 발생해 눈길을 끈다.  우리는 직장 생활 중 입사와 퇴사를 반복한다. 고용 조직은 온보딩하는 신입 직원의 프로세스와 새로운 환경 적응에 많은 자원을 투입한다. 반면 퇴사하는 직원들과 관련해 투입되는 자원은 별로 없다. 직원, 계약자, 자문가 등의 오프보딩에는 위험이 따르며 신규 직원보다 더 많은 관심이 요구된다. ‘함께 일해서 즐거웠다. 다음 직장에서도 잘 지내기를 바란다. 나가는 길에 문에 부딪히지 않도록 조심해라’ 등으로는 부족하다. 동료의 퇴사로 인한 불편은 피하고 구조화된 프로세스와 절차를 마련해야 한다.    오프보딩에 주의해야 하는 이유는 무엇인가? 개인 사정 또는 새로운 기회를 위한 퇴사로 인해 기존의 고용주는 위험에 처하게 된다. 이 위험은 매우 현실적이다. 과거의 동료 그리고 그들이 퇴사할 때 무엇을 갖고 가는지 주의하지 않을 때의 심각한 영향이 나타날 수 있다. 사이버 보안기업 코드42(Code42)는 최근에 ‘대량 퇴직’이라는 용어를 만들었다. 코드42의 CEO 조 페인은 “모든 기업은 오프보딩에 투자해야 한다”고 말했다. 최근 코드42와 포네몬 연구소(Ponemon Institute)의 조사에 따르면 직원 중 거의 100%가 어떤 형태로든 일부 유형의 데이터를 갖고 퇴사한다. 최근 프루프포인트(Proofpoint)와 앱노멀 시큐리티(Abnormal Security) 사이에 벌어진 복잡한 상황을 통해 페인이 무슨 말을 하고 있는지 알 수 있다. 법원 문서에 따르면 프루프포인트는 7명의 직원이 앱노멀 시큐리티로 이직한 것에 대해 반발했다. 이 회사는 앱노멀이 ‘프루프포인트의 기밀 및 비전매특허 정보에 대한 액세스를 얻기 위해’ 프루프포인트의 직원을 표적으로 삼았다고 고발했다.  해당 기업의 관점은 프루프포인트의 전 채널 영업 이사 사무엘 분의 행동으...

2021.09.09

코어스넷, 다수 금융권에 내부자 위협 방지 솔루션 공급 

코어스넷이 최근 다수 금융권에 내부자 위협 방지 솔루션 ‘에크란시스템’을 공급하며 금융시장에서 호조를 보이고 있다고 밝혔다. 회사에 따르면 에크란시스템은 사용자별로 PC 행위를 모니터링하고 분석하는 감사(Audit) 추적 솔루션이다. 주요 IT 자산에 접속한 사용자의 모든 작업 이력을 저장하고 보안 사고가 발생했을 경우, 자동차의 블랙박스처럼 해당 시점에서의 상황을 그대로 재현함으로써 원인 규명과 해결 방안을 제시해주는 역할을 한다. 국민은행, 한국주택금융공사를 비롯한 금융권 기업들은 단말의 보안성을 강화하고 PC 작업에 대한 이력을 관리하고자 에크란시스템을 선택했다고 업체 측은 설명했다. 에크란시스템은 내부에서 작업하는 외주 인력과 재택근무 중인 직원의 근무 접속을 기록하고 저장할 수 있다. ISO/IEC 27001, PCIDSS, HIPAA, NIST, ISMS, PIMS 등 국내외 컴플라이언스를 준수하고 있으며, 보안 사고 발생시 법적 증거자료로 제출할 수 있는 포렌직 기능을 갖추고 있다고 업체 측은 설명했다. 코어스넷 김종혁 대표는 “민감한 고객 정보를 다루는 금융기관에서 정확하게 사용자를 식별하고 행위를 감사하는 것은 매우 중요하다”라며, “누가, 무엇을 했는가에 대한 신속하고 정확한 원인 규명이 내부자 위협 방지 솔루션의 핵심 역할”이라고 설명했다. 에크란시스템은 원격 및 로컬에서 이루어지는 사용자의 모든 행위를 스냅샷 형태로 기록할 뿐 아니라 기록된 화면을 연속적으로 재생할 수 있다. 특정 사용자, 특정 행위, 특정 행위를 제외한 나머지 등 유연한 정책 설정이 가능해 프라이버시를 침해하지 않으면서도 컴플라이언스를 적용하고 준수할 수 있다. 에크란시스템은 현재 GS인증 및 조달 등록을 완료한 상태다. 코어스넷은 공공/금융 등 다양한 레퍼런스를 활용해 관련 시장에 대한 영업과 마케팅 활동을 강화한다고 밝혔다. ciokr@idg.co.kr

코어스넷 내부자 위협

2021.02.01

코어스넷이 최근 다수 금융권에 내부자 위협 방지 솔루션 ‘에크란시스템’을 공급하며 금융시장에서 호조를 보이고 있다고 밝혔다. 회사에 따르면 에크란시스템은 사용자별로 PC 행위를 모니터링하고 분석하는 감사(Audit) 추적 솔루션이다. 주요 IT 자산에 접속한 사용자의 모든 작업 이력을 저장하고 보안 사고가 발생했을 경우, 자동차의 블랙박스처럼 해당 시점에서의 상황을 그대로 재현함으로써 원인 규명과 해결 방안을 제시해주는 역할을 한다. 국민은행, 한국주택금융공사를 비롯한 금융권 기업들은 단말의 보안성을 강화하고 PC 작업에 대한 이력을 관리하고자 에크란시스템을 선택했다고 업체 측은 설명했다. 에크란시스템은 내부에서 작업하는 외주 인력과 재택근무 중인 직원의 근무 접속을 기록하고 저장할 수 있다. ISO/IEC 27001, PCIDSS, HIPAA, NIST, ISMS, PIMS 등 국내외 컴플라이언스를 준수하고 있으며, 보안 사고 발생시 법적 증거자료로 제출할 수 있는 포렌직 기능을 갖추고 있다고 업체 측은 설명했다. 코어스넷 김종혁 대표는 “민감한 고객 정보를 다루는 금융기관에서 정확하게 사용자를 식별하고 행위를 감사하는 것은 매우 중요하다”라며, “누가, 무엇을 했는가에 대한 신속하고 정확한 원인 규명이 내부자 위협 방지 솔루션의 핵심 역할”이라고 설명했다. 에크란시스템은 원격 및 로컬에서 이루어지는 사용자의 모든 행위를 스냅샷 형태로 기록할 뿐 아니라 기록된 화면을 연속적으로 재생할 수 있다. 특정 사용자, 특정 행위, 특정 행위를 제외한 나머지 등 유연한 정책 설정이 가능해 프라이버시를 침해하지 않으면서도 컴플라이언스를 적용하고 준수할 수 있다. 에크란시스템은 현재 GS인증 및 조달 등록을 완료한 상태다. 코어스넷은 공공/금융 등 다양한 레퍼런스를 활용해 관련 시장에 대한 영업과 마케팅 활동을 강화한다고 밝혔다. ciokr@idg.co.kr

2021.02.01

인터뷰 | "내부자 보안, '사람 중심'이 해법이다" 에크란시스템 올렉 소몬코 CTO

완벽한 정보 보안이란 있을 수 없다. 만약 완벽한 보안을 장담하는 이가 있다면, 거짓말을 하고 있는 것이다. 보안 전문가 모두가 동의할 수 있는 현실이다. 제아무리 값비싼 최고의 솔루션으로 기업 전체를 감쌀지라도 어딘가엔 허점이 있을 수밖에 없다. 사람이 하는 일이기에 어쩔 수 없는 현실이며, 때로는 ‘사람 자체’가 결정적인 보안 구멍이 된다. 특히 다양한 이유로 발생하는 ‘내부자 보안 위협’은 뾰족한 해답이 있을 수 없다는 점에서 문제가 된다. 건강한 기업 문화와 넉넉한 대우로 해결할 수 있는 문제일 수 있다고 믿는다면 오산이다. 아웃소싱 업체의 직원, 이직을 앞둔 직원, 회사를 떠난 직원, 때로는 직원의 가족도 포함되기 때문이다. 그리고 내부자로부터 비롯된 보안 위협은 기업의 존립을 뒤흔드는 규모로 비화될 가능성이 더 높다. 그렇다면 CISO를 비롯한 기업 보안 담당자는 어떻게 대처할 수 있을까? 막대한 자원을 투자해 정교한 보안 정책을 수립하고 데이터 누출 방지 솔루션을 도입하며 전직원에게 집중적인 보안 교육을 실시하면 해결될 문제일까? 미 정부의 사이버 시큐리티 액셀레이터 프로그램 최종 후보로 선정돼 투자를 유치하고, 유럽 시장에서 잇단 수주를 기록해 눈길을 끌고 있는 에크란시스템의 올렉 소몬코 CTO를 만나 오늘날 내부자 보안 위협의 동향과 이에 대한 에크란의 해법에 대해 이야기를 들었다. 최근 에크란시스템의 ‘오딧’(Audit)을 관련 분야 최초로 조달청에 등록시키는데 성공한 국내 총판 코어스넷의 김종혁 대표도 함께 자리했다. “내부자 보안 위협의 심각성에 눈을 떠가는 시점” “내부자 보안 위협은 마치 화재와 같습니다. 발생했을 때 나타나는 충격, 피해를 짐작조차 하기 어렵다는 점에서 그렇습니다. 기업 자체가 소멸 위기에 빠진 사례도 이미 몇 차례 나타났습니다.” 에크란시스템의 소몬코 CTO는 오늘날 내부자 위협의 ...

내부자 위협 내부자 보안 오딧 코어스넷 에크란시스템

2018.03.27

완벽한 정보 보안이란 있을 수 없다. 만약 완벽한 보안을 장담하는 이가 있다면, 거짓말을 하고 있는 것이다. 보안 전문가 모두가 동의할 수 있는 현실이다. 제아무리 값비싼 최고의 솔루션으로 기업 전체를 감쌀지라도 어딘가엔 허점이 있을 수밖에 없다. 사람이 하는 일이기에 어쩔 수 없는 현실이며, 때로는 ‘사람 자체’가 결정적인 보안 구멍이 된다. 특히 다양한 이유로 발생하는 ‘내부자 보안 위협’은 뾰족한 해답이 있을 수 없다는 점에서 문제가 된다. 건강한 기업 문화와 넉넉한 대우로 해결할 수 있는 문제일 수 있다고 믿는다면 오산이다. 아웃소싱 업체의 직원, 이직을 앞둔 직원, 회사를 떠난 직원, 때로는 직원의 가족도 포함되기 때문이다. 그리고 내부자로부터 비롯된 보안 위협은 기업의 존립을 뒤흔드는 규모로 비화될 가능성이 더 높다. 그렇다면 CISO를 비롯한 기업 보안 담당자는 어떻게 대처할 수 있을까? 막대한 자원을 투자해 정교한 보안 정책을 수립하고 데이터 누출 방지 솔루션을 도입하며 전직원에게 집중적인 보안 교육을 실시하면 해결될 문제일까? 미 정부의 사이버 시큐리티 액셀레이터 프로그램 최종 후보로 선정돼 투자를 유치하고, 유럽 시장에서 잇단 수주를 기록해 눈길을 끌고 있는 에크란시스템의 올렉 소몬코 CTO를 만나 오늘날 내부자 보안 위협의 동향과 이에 대한 에크란의 해법에 대해 이야기를 들었다. 최근 에크란시스템의 ‘오딧’(Audit)을 관련 분야 최초로 조달청에 등록시키는데 성공한 국내 총판 코어스넷의 김종혁 대표도 함께 자리했다. “내부자 보안 위협의 심각성에 눈을 떠가는 시점” “내부자 보안 위협은 마치 화재와 같습니다. 발생했을 때 나타나는 충격, 피해를 짐작조차 하기 어렵다는 점에서 그렇습니다. 기업 자체가 소멸 위기에 빠진 사례도 이미 몇 차례 나타났습니다.” 에크란시스템의 소몬코 CTO는 오늘날 내부자 위협의 ...

2018.03.27

'고의적인 범죄였다' 내부자 정보 유출 사건 7건

내부의 적이 존재할 가능성이 없는 곳은 있을까? 맥아피에 따르면, 전체 데이터 유출 사고들 중 43%가 내부자 소행이다. 인포메이션 시큐리티 포럼(Information Security Forum)은 이 수치를 54%까지 높게 보고 있다. 어느 쪽이든, 내부자의 변절이 큰 문제인 것은 확실하다. 내부자로부터 기업을 보호하는 것은 외부의 적과 싸우는 것과는 또 다르다. 적과 아군을 식별하기 어려울 뿐 아니라, 단순히 악성코드 차단 제품을 업그레이드한다고 끝나는 것도 아니기 때문이다. 내부의 적을 소탕하려면 지식과 지능, 그리고 내부 프로토콜이 있어야 한다. 내부의 적을 물리치는 맨 첫 단계는 그에 대해 잘 아는 것이다. 그런 의미에서 기업을 폭삭 망하게 만든, 악명 높은 내부 변절자의 사례를 알아보자. 미래를 훔치다 앤써니 레반도스키의 이야기는 어쩌면 아직도 진행형인지 모른다. 그렇지만 어쨌든 그의 이야기는 (그리고 무인 자동차의 탄생은) 내부자의 데이터 유출과 깊은 관련이 있음은 틀림없다. 레반도스키는 원래 구글의 무인 자동차 사업부에서 근무하던 직원이었다. 오늘날 이 사업부는 웨이모(Waymo)로 바뀌었다. 그곳에서 그는 당시 신기술이었던 라이더(lydar) 개발에 참여했다. 이 기술은 인공지능 자동차 개발에 핵심적인 기술이었다. 2016년 5월, 레반도스키는 구글을 떠나 오토 모터스(Otto Motors)를 창립했다. 그리고 그 뒤 얼마 지나지 않은 2016년 7월, 우버가 오토 모터스를 인수했다. 이 이야기의 백미는 바로 이 인수 과정에 있다. 구글 측의 주장으로는, 당시 우버의 CEO였던 트레비스 칼라닉은 레반도스키를 이용해 웨이모의 지적 재산을 훔치고, 이를 통해 자체적인 무인 자동차 프로그램을 만들려 했다. 구글에 따르면 레반도스키는 구글을 떠나기 전 무인 자동차 프로젝트의 청사진을 포함한 수천 건의 파일을 다운로드 하였으며 이들을 모두 오토로 유출하여 우버에 팔아넘겼다고 한다. 구글은 이에...

구글 인공지능 퇴사 무인 자동차 지적 재산 내부자 위협 타겟 우버 실행 스팸 CISO CSO 데이터 유출 해킹 이직 IBM 소송 피싱 FBI 웨이모

2018.03.21

내부의 적이 존재할 가능성이 없는 곳은 있을까? 맥아피에 따르면, 전체 데이터 유출 사고들 중 43%가 내부자 소행이다. 인포메이션 시큐리티 포럼(Information Security Forum)은 이 수치를 54%까지 높게 보고 있다. 어느 쪽이든, 내부자의 변절이 큰 문제인 것은 확실하다. 내부자로부터 기업을 보호하는 것은 외부의 적과 싸우는 것과는 또 다르다. 적과 아군을 식별하기 어려울 뿐 아니라, 단순히 악성코드 차단 제품을 업그레이드한다고 끝나는 것도 아니기 때문이다. 내부의 적을 소탕하려면 지식과 지능, 그리고 내부 프로토콜이 있어야 한다. 내부의 적을 물리치는 맨 첫 단계는 그에 대해 잘 아는 것이다. 그런 의미에서 기업을 폭삭 망하게 만든, 악명 높은 내부 변절자의 사례를 알아보자. 미래를 훔치다 앤써니 레반도스키의 이야기는 어쩌면 아직도 진행형인지 모른다. 그렇지만 어쨌든 그의 이야기는 (그리고 무인 자동차의 탄생은) 내부자의 데이터 유출과 깊은 관련이 있음은 틀림없다. 레반도스키는 원래 구글의 무인 자동차 사업부에서 근무하던 직원이었다. 오늘날 이 사업부는 웨이모(Waymo)로 바뀌었다. 그곳에서 그는 당시 신기술이었던 라이더(lydar) 개발에 참여했다. 이 기술은 인공지능 자동차 개발에 핵심적인 기술이었다. 2016년 5월, 레반도스키는 구글을 떠나 오토 모터스(Otto Motors)를 창립했다. 그리고 그 뒤 얼마 지나지 않은 2016년 7월, 우버가 오토 모터스를 인수했다. 이 이야기의 백미는 바로 이 인수 과정에 있다. 구글 측의 주장으로는, 당시 우버의 CEO였던 트레비스 칼라닉은 레반도스키를 이용해 웨이모의 지적 재산을 훔치고, 이를 통해 자체적인 무인 자동차 프로그램을 만들려 했다. 구글에 따르면 레반도스키는 구글을 떠나기 전 무인 자동차 프로젝트의 청사진을 포함한 수천 건의 파일을 다운로드 하였으며 이들을 모두 오토로 유출하여 우버에 팔아넘겼다고 한다. 구글은 이에...

2018.03.21

'사이버공격 겪고도 보안 전략 그대로' 전세계 응답자 46%

사이버공격을 겪고 나서도 기존 사이버보안 관행을 고수해 보안 전략을 거의 변경하는 않는다는 보안 전문가가 약 절반(46%)으로 조사됐다. 이는 보안 업체 사이버아크가 최근 발간한 글로벌 고위협 전망 보고서 2018(CyberArk Global Advanced Threat Landscape Report 2018)의 내용으로, 이 수준의 '사이버보안 관행'은 공격에 대한 회사의 취약성을 높이고 민감한 데이터, 인프라, 자산을 위험에 빠뜨릴 수 있음을 나타낸다. 이 설문 조사는 전세계 7개국에서 시장조사기업 밴슨본이 1,300명의 IT보안 의사결정권자, 데브옵스, 앱 개발 전문가, 경영진을 대상으로 했으며, 글로벌 고위협 전망 보고서 2018은 11번째 발간된 연례 보고서다. 조사 결과에 따르면 가장 큰 사이버보안 위협으로는 피싱 공격(56%), 내부자 위협(51%), 랜섬웨어나 악성코드(48%), 보호되지 않은 특정 계정(42%), 클라우드에 저장된 보안되지 않은 데이터 (41%) 등이 꼽혔다. 전반적으로 조직은 클라우드, 엔드포인트, IT환경에서 권한있는 계정과 크레덴셜을 보호하지 못하는 것으로 파악됐다.   한편, 2016년 조사에서 62%였던 엔드포인트 기기에 대한 로컬 관리자 권한을 가진 사용자 비율은 2018년에 87%로 크게 상승했으며, 이는 보안 베스트 프랙티스를 따르기보다는 유연성에 대한 직원의 요구를 반영한 것으로 풀이됐다. 지난해 워너크라이와 낫페트야 같은 첨단 악성코드 공격이 많았는데, 공격자가 네트워크에 우회에 공격하려는 시도를 막으려면 크레덴셜 도용 차단과 관련해 좀더 높은 수준의 보안 정책이 필요할 수 있다. 데이터 손상을 초래할 수 있는 보안 관행 조사 결과에 따르면 보안 관행은 사이버공격을 막을 수 없으며 오히려 이로 인해 위험이 발생할 수 있는 것으로 나타났다. 다음은 조사 결과 중 우려스러운 부분이다. -응답자 46%는 공격자가 내부 네트워크를 공격해 침입하는 것을...

CIO 크레덴셜 데브옵스 내부자 위협 밴슨본 사이버공격 피싱 조사 전략 사이버아크

2018.03.06

사이버공격을 겪고 나서도 기존 사이버보안 관행을 고수해 보안 전략을 거의 변경하는 않는다는 보안 전문가가 약 절반(46%)으로 조사됐다. 이는 보안 업체 사이버아크가 최근 발간한 글로벌 고위협 전망 보고서 2018(CyberArk Global Advanced Threat Landscape Report 2018)의 내용으로, 이 수준의 '사이버보안 관행'은 공격에 대한 회사의 취약성을 높이고 민감한 데이터, 인프라, 자산을 위험에 빠뜨릴 수 있음을 나타낸다. 이 설문 조사는 전세계 7개국에서 시장조사기업 밴슨본이 1,300명의 IT보안 의사결정권자, 데브옵스, 앱 개발 전문가, 경영진을 대상으로 했으며, 글로벌 고위협 전망 보고서 2018은 11번째 발간된 연례 보고서다. 조사 결과에 따르면 가장 큰 사이버보안 위협으로는 피싱 공격(56%), 내부자 위협(51%), 랜섬웨어나 악성코드(48%), 보호되지 않은 특정 계정(42%), 클라우드에 저장된 보안되지 않은 데이터 (41%) 등이 꼽혔다. 전반적으로 조직은 클라우드, 엔드포인트, IT환경에서 권한있는 계정과 크레덴셜을 보호하지 못하는 것으로 파악됐다.   한편, 2016년 조사에서 62%였던 엔드포인트 기기에 대한 로컬 관리자 권한을 가진 사용자 비율은 2018년에 87%로 크게 상승했으며, 이는 보안 베스트 프랙티스를 따르기보다는 유연성에 대한 직원의 요구를 반영한 것으로 풀이됐다. 지난해 워너크라이와 낫페트야 같은 첨단 악성코드 공격이 많았는데, 공격자가 네트워크에 우회에 공격하려는 시도를 막으려면 크레덴셜 도용 차단과 관련해 좀더 높은 수준의 보안 정책이 필요할 수 있다. 데이터 손상을 초래할 수 있는 보안 관행 조사 결과에 따르면 보안 관행은 사이버공격을 막을 수 없으며 오히려 이로 인해 위험이 발생할 수 있는 것으로 나타났다. 다음은 조사 결과 중 우려스러운 부분이다. -응답자 46%는 공격자가 내부 네트워크를 공격해 침입하는 것을...

2018.03.06

'끊임없이 제기되는 내부자 위협' 최소화하는 10가지 방법

이직은 흔한 일이며, 직원이 떠날 때 자신이 관여했던 자료 등 민감한 기밀 데이터를 함께 가져가는 것도 흔한 일이다. 이로 인해 데이터를 유용 당한 고용주에겐 상당한 위험이 발생하여 규제 조치 또는 법적 조치뿐만이 아니라 다양한 결과를 낳을 수 있는 잠재적인 데이터 유출이 발생하게 된다. 대부분의 고용주는 직원 데이터 도난의 여파에 대처할 수 있도록 적절히 준비돼 있지 않으며 많은 이들이 이런 위험이 발생하기 전에 완화하는 데 필요한 조처를 하지 않는다. 하지만 의사결정자들이 기업을 보호하고 직원의 민감한 기밀 정보 도난 위협을 완전히 없애지는 못하더라도 최소화하기 위해 여러 가지 조처를 할 수 있다. 오스터만 리서치(Osterman Research)는 이런 내부자의 존재를 차단하는 수단을 찾는 아카이브360(Archive360)의 후원을 받아 백서(White Paper)를 만들었다. 다음은 이 백서에 나와 있는 ‘내부자 위협을 최소화하는 10가지 조처’다.   암호화 암호화를 완벽하게 도입하지 않은 조직이라 해도 민감하거나 기밀 사항인 콘텐츠를 보호하는 데 필요한 민감한 데이터 자산과 이에 접근하는 데 사용하는 기기 등의 가장 확실한 영역에서 암호화를 시작할 수 있다. 의사 결정자들은 이직하는 직원이 가져가는 경우 비즈니스 파트너 및 기타 핵심 관계자들과의 관계를 크게 손상할 수 있는 콘텐츠까지도 확인해야 한다. 여기에는 재무 상태 전망, 정책성명 초안, 입찰, 입찰자, 인수정보, 직원 의료기록, 협력사 정보, 고객 재무 정보 등의 민감한 문서가 포함돼 있다. 일반적으로 이러한 자료는 기업에서 위험 대부분을 의미하며 강력한 암호화 기술을 이용해 보호하기가 상대적으로 쉽다. 모바일 기기 관리 MDM(Mobile Device Management) 기술은 관리자가 기업과 개인이 소유한 기기에서 콘텐츠를 모니터링하고 개인 소유 기기에서 기업 데이터를 컨테이너화하며 이 데이터를 원격으로 신속하게 삭제할...

CSO 백서 내부자 위협 오스터만 리서치 인사 BYOD MDM 백업 CISO 암호화 이직 DLP HR 아카이브360

2017.03.27

이직은 흔한 일이며, 직원이 떠날 때 자신이 관여했던 자료 등 민감한 기밀 데이터를 함께 가져가는 것도 흔한 일이다. 이로 인해 데이터를 유용 당한 고용주에겐 상당한 위험이 발생하여 규제 조치 또는 법적 조치뿐만이 아니라 다양한 결과를 낳을 수 있는 잠재적인 데이터 유출이 발생하게 된다. 대부분의 고용주는 직원 데이터 도난의 여파에 대처할 수 있도록 적절히 준비돼 있지 않으며 많은 이들이 이런 위험이 발생하기 전에 완화하는 데 필요한 조처를 하지 않는다. 하지만 의사결정자들이 기업을 보호하고 직원의 민감한 기밀 정보 도난 위협을 완전히 없애지는 못하더라도 최소화하기 위해 여러 가지 조처를 할 수 있다. 오스터만 리서치(Osterman Research)는 이런 내부자의 존재를 차단하는 수단을 찾는 아카이브360(Archive360)의 후원을 받아 백서(White Paper)를 만들었다. 다음은 이 백서에 나와 있는 ‘내부자 위협을 최소화하는 10가지 조처’다.   암호화 암호화를 완벽하게 도입하지 않은 조직이라 해도 민감하거나 기밀 사항인 콘텐츠를 보호하는 데 필요한 민감한 데이터 자산과 이에 접근하는 데 사용하는 기기 등의 가장 확실한 영역에서 암호화를 시작할 수 있다. 의사 결정자들은 이직하는 직원이 가져가는 경우 비즈니스 파트너 및 기타 핵심 관계자들과의 관계를 크게 손상할 수 있는 콘텐츠까지도 확인해야 한다. 여기에는 재무 상태 전망, 정책성명 초안, 입찰, 입찰자, 인수정보, 직원 의료기록, 협력사 정보, 고객 재무 정보 등의 민감한 문서가 포함돼 있다. 일반적으로 이러한 자료는 기업에서 위험 대부분을 의미하며 강력한 암호화 기술을 이용해 보호하기가 상대적으로 쉽다. 모바일 기기 관리 MDM(Mobile Device Management) 기술은 관리자가 기업과 개인이 소유한 기기에서 콘텐츠를 모니터링하고 개인 소유 기기에서 기업 데이터를 컨테이너화하며 이 데이터를 원격으로 신속하게 삭제할...

2017.03.27

주식 정보, 고객 데이터··· 해커들, 범죄 도울 '기업 내부자' 물색 중

CEO들이 주의해야 할 대상이 하나 더 늘어났다. 해커들이 범죄를 도와줄 기업 내부자를 적극적으로 물색하고 있다는 경고다. 보안 기업 레드아울과 인트사이트 연구진이 1일 발생한 보고서에 따르면, 온라인 블랙마켓에서 기업 내 종사자를 영입하려는 시도가 늘어나고 있다. 목적은 물론 기업이 보유한 데이터와 여타 정보를 빼내는 것이다. 이들 블랙마켓 딜러들은 토르(Tor) 브라우저 등으로 접근할 수 있는 다크웹 시장의 여러 포럼에 존재한다. 한 사이트는 딜러들의 불법적 활동을 돕는 서비스를 제공하며 거래당 40비트코인을 받고 있기도 했다. 보고서에는 "내부자들로부터 누출된 정보를 활용해 주식으로 매월 5,000달러 이상을 벌어들이는 이들도 있는 것으로 전해졌다"라고 기술하고 있다. 이 밖에 다른 포럼의 운영진에 따르면, 한 유럽 IT 기업가는 내부자 정보를 주식 거래에 활용하기 위해 '신중하게 선택된 커뮤니티'를 생성하려 시도하기도 했다. 기업이 보유한 소비자 신용카드 정보 등도 해커들이 기업 내부자를 통해 빼내려는 먹잇감이다. 연구진은 한 다크웹 딜러가 미화 127달러에 아이폰 6 구매를 도와줄 매장 캐셔를 구하고 있었다고 전했다. 기업 내 해킹 도구 설치를 도와줄 내부자를 찾는 사례도 있었다. 심지어는 한 은행의 컴퓨터에 접속하도록 도와주는 대가로 '주당 7자리 수'의 보수를 약속하는 딜러도 있었다고 연구진은 경고했다. 레드아울와 인트사이트는 기업들이 내부자 위협을 좀더 신중히 바라봐야 할 필요가 있다고 권고하며 직원들의 활동을 신중히 모니터링할 수 있는 IT 보안 시스템을 활용하는 방안 등을 검토해보라고 전했다. ciokr@idg.co.kr 

블랙마켓 내부자 위협 다크웹 지하시장

2017.02.03

CEO들이 주의해야 할 대상이 하나 더 늘어났다. 해커들이 범죄를 도와줄 기업 내부자를 적극적으로 물색하고 있다는 경고다. 보안 기업 레드아울과 인트사이트 연구진이 1일 발생한 보고서에 따르면, 온라인 블랙마켓에서 기업 내 종사자를 영입하려는 시도가 늘어나고 있다. 목적은 물론 기업이 보유한 데이터와 여타 정보를 빼내는 것이다. 이들 블랙마켓 딜러들은 토르(Tor) 브라우저 등으로 접근할 수 있는 다크웹 시장의 여러 포럼에 존재한다. 한 사이트는 딜러들의 불법적 활동을 돕는 서비스를 제공하며 거래당 40비트코인을 받고 있기도 했다. 보고서에는 "내부자들로부터 누출된 정보를 활용해 주식으로 매월 5,000달러 이상을 벌어들이는 이들도 있는 것으로 전해졌다"라고 기술하고 있다. 이 밖에 다른 포럼의 운영진에 따르면, 한 유럽 IT 기업가는 내부자 정보를 주식 거래에 활용하기 위해 '신중하게 선택된 커뮤니티'를 생성하려 시도하기도 했다. 기업이 보유한 소비자 신용카드 정보 등도 해커들이 기업 내부자를 통해 빼내려는 먹잇감이다. 연구진은 한 다크웹 딜러가 미화 127달러에 아이폰 6 구매를 도와줄 매장 캐셔를 구하고 있었다고 전했다. 기업 내 해킹 도구 설치를 도와줄 내부자를 찾는 사례도 있었다. 심지어는 한 은행의 컴퓨터에 접속하도록 도와주는 대가로 '주당 7자리 수'의 보수를 약속하는 딜러도 있었다고 연구진은 경고했다. 레드아울와 인트사이트는 기업들이 내부자 위협을 좀더 신중히 바라봐야 할 필요가 있다고 권고하며 직원들의 활동을 신중히 모니터링할 수 있는 IT 보안 시스템을 활용하는 방안 등을 검토해보라고 전했다. ciokr@idg.co.kr 

2017.02.03

'그럴싸한' 보안 낭설 14가지

보안 분야에도 별다른 의문 없이 받아들여지는 그럴듯한 속설들이 있다. 대부분 꽤나 그럴듯한 이들 속설들은 때로는 그럴만한 이유를 가지고 있지만, 때로는 사실과 전혀 다른 엉뚱한 것들이기도 하다. 여기 보안 분야의 미신과 낭설들을 정리했다. 우리 회사엔 훔치거나 보호할만한 것이 없다 모든 조직에는 나름 훔칠만한 가치 있는 것이 있다고 블루캣(BlueCat)의 리드 보안 아키텍트 조시 엠데는 말했다. 지적 재산이나 회사 비밀이 아닐지라도 브랜드 평판이나 신뢰의 가치는 이에 못지 않을 수 있다. 리테일 업계에서는 고객 데이터 유출로 인해 브랜드 명성이 큰 타격을 입고 매출 부진, 법적 벌금, 추가 모니터링 비용 지출, 고객 신용 재구축을 위한 장기적 비용 지출 등의 대가를 치르는 경우를 흔하게 찾아볼 수 있다. 공격 당할 가능성이 희박하다 공격 당할 지가 문제가 아니라 언제 공격 당할 지가 문제다. 정부 차원의 해킹 조직, 세련되고 지속적인 공격 등의 시대 속에서 100% 안전함을 유지하는 것은 불가능하다. 안전조치를 마련하는 게 중요하지만 공격에 얼마나 빠르게 그리고 어떻게 대응하고 해결하는 게 중요하다. 컴플라이언스와 보안은 거의 같다 많은 조직들은 준수 수준을 기업 목표로 달성하려 하며, 표준 준수가 안전을 의미한다고 생각한다. 안타깝게도 표준 준수만으로는 대부분 최소한의 제어를 갖추고 있음을 의미할 뿐이다. 성숙한 보안 프로그램은 준수의 기반이지만 준수가 보안을 완벽하게 하진 않는다. 무언가 잘못되면 알아야 할 모든 것이 애플리케이션 로그 데이터 속에 있다 시트릭스(Citrix)의 위협과 조사 서비스 선임 관리자 마이크 오로스는 애플리케이션과 하드웨어가 로깅 작업을 하고 있다면 그 데이터가 유용하다는 흔한 오해가 있다고 말했다. 많은 이들이 보안 리스크 이해와 관련해 애플리케이션 로그 데이터 활용에 대해 이야기한다. 머신러닝, 휴리스틱스 같은 용어들이 널리 애용된다. 하지만 리스크 측정 사용자 행동에 대해 깊이 파기 앞서 ...

보안 속설 내부자 위협 낭설 미신 이중인증 해커 피싱 해킹 로그 데이터

2016.10.04

보안 분야에도 별다른 의문 없이 받아들여지는 그럴듯한 속설들이 있다. 대부분 꽤나 그럴듯한 이들 속설들은 때로는 그럴만한 이유를 가지고 있지만, 때로는 사실과 전혀 다른 엉뚱한 것들이기도 하다. 여기 보안 분야의 미신과 낭설들을 정리했다. 우리 회사엔 훔치거나 보호할만한 것이 없다 모든 조직에는 나름 훔칠만한 가치 있는 것이 있다고 블루캣(BlueCat)의 리드 보안 아키텍트 조시 엠데는 말했다. 지적 재산이나 회사 비밀이 아닐지라도 브랜드 평판이나 신뢰의 가치는 이에 못지 않을 수 있다. 리테일 업계에서는 고객 데이터 유출로 인해 브랜드 명성이 큰 타격을 입고 매출 부진, 법적 벌금, 추가 모니터링 비용 지출, 고객 신용 재구축을 위한 장기적 비용 지출 등의 대가를 치르는 경우를 흔하게 찾아볼 수 있다. 공격 당할 가능성이 희박하다 공격 당할 지가 문제가 아니라 언제 공격 당할 지가 문제다. 정부 차원의 해킹 조직, 세련되고 지속적인 공격 등의 시대 속에서 100% 안전함을 유지하는 것은 불가능하다. 안전조치를 마련하는 게 중요하지만 공격에 얼마나 빠르게 그리고 어떻게 대응하고 해결하는 게 중요하다. 컴플라이언스와 보안은 거의 같다 많은 조직들은 준수 수준을 기업 목표로 달성하려 하며, 표준 준수가 안전을 의미한다고 생각한다. 안타깝게도 표준 준수만으로는 대부분 최소한의 제어를 갖추고 있음을 의미할 뿐이다. 성숙한 보안 프로그램은 준수의 기반이지만 준수가 보안을 완벽하게 하진 않는다. 무언가 잘못되면 알아야 할 모든 것이 애플리케이션 로그 데이터 속에 있다 시트릭스(Citrix)의 위협과 조사 서비스 선임 관리자 마이크 오로스는 애플리케이션과 하드웨어가 로깅 작업을 하고 있다면 그 데이터가 유용하다는 흔한 오해가 있다고 말했다. 많은 이들이 보안 리스크 이해와 관련해 애플리케이션 로그 데이터 활용에 대해 이야기한다. 머신러닝, 휴리스틱스 같은 용어들이 널리 애용된다. 하지만 리스크 측정 사용자 행동에 대해 깊이 파기 앞서 ...

2016.10.04

다각화되는 내부자 위협 ··· 차단·방어 솔루션 3종 분석

외부로부터의 공격을 감지하고 차단하는 것도 중요하지만 조직 내부의 위협을 방어하는 것 또한 중요하다. 네트워크 월드는 내부자 위협을 막을 수 있도록 고안된 3종의 제품을 테스트했다. 각각 서로 다른 내부자 위협 문제에 초점이 맞춰진 제품들이다. 포트스케일(Fortscale)은 전통적인 네트워크 보호 능력이 뛰어났다. 머신 학습 기능, 액세스 및 인증 로그에 초점이 맞춰진 기능의 정확도가 아주 높았다. 클라우드 환경에서 발생하는 내부자 위협은 감지가 특히 어려울 수 있지만, 아바난(Avanan)은 고유한 방법으로 이를 방어하는 것이 인상적이었다. PFU 시스템스(PFU Systems)의 iNetSec 시스템은 모바일 장치를 대상으로 한 내부자 위협 보안 도구였다. 각각의 주요 기능과 성능을 살펴보면 다음과 같다. ◆ 포트스케일 포트스케일(Fortscale): 머신러닝 기술 탑재 포트스케일은 거의 완성된 도구이다. 즉시 사용할 수 있도록 준비되어 있다. 네트워크에 하나의 서버 형태로 설치돼, 기존에 활용되고 있는 SIEM(Security Inforamtion and Event Management) 시스템과 연결된다. 관리자가 별도로 설정하거나 프로그래밍해야 할 규칙이 없다는 점이 인상적이다. 포트스케일이 머신러닝과 복잡한 알고리즘을 이용해 내부자 위협과 관련이 있는 이상 동작 및 위험 동작을 찾기 때문이다. 포트스케일의 'Followed User' 대시보드 특정 사용자를 로그인 스플래시 페이지에 고정시켜 추가로 자세히 조사할 수 있도록 하는 유용한 기능이다. ‘Followed User’는 대시보드 가장 오른쪽 칸에 추가시킨 사람들이다. 추가 정보가 있을 경우 사진과 직책, 네트워크 그룹을 집어 넣는다. ‘Followed User’ 집단에 추가시킬 사람을 결정할 때 적용해야 하는 기준이 정해져 있지 않다. 조사자가 특정 이유로 직원을 의심할 경우 넣을 수 있...

모바일 보안 클라우드 보안 내부자 위협 머신러닝 내부자 보안 포트스케일 아바난 iNetSec

2016.06.02

외부로부터의 공격을 감지하고 차단하는 것도 중요하지만 조직 내부의 위협을 방어하는 것 또한 중요하다. 네트워크 월드는 내부자 위협을 막을 수 있도록 고안된 3종의 제품을 테스트했다. 각각 서로 다른 내부자 위협 문제에 초점이 맞춰진 제품들이다. 포트스케일(Fortscale)은 전통적인 네트워크 보호 능력이 뛰어났다. 머신 학습 기능, 액세스 및 인증 로그에 초점이 맞춰진 기능의 정확도가 아주 높았다. 클라우드 환경에서 발생하는 내부자 위협은 감지가 특히 어려울 수 있지만, 아바난(Avanan)은 고유한 방법으로 이를 방어하는 것이 인상적이었다. PFU 시스템스(PFU Systems)의 iNetSec 시스템은 모바일 장치를 대상으로 한 내부자 위협 보안 도구였다. 각각의 주요 기능과 성능을 살펴보면 다음과 같다. ◆ 포트스케일 포트스케일(Fortscale): 머신러닝 기술 탑재 포트스케일은 거의 완성된 도구이다. 즉시 사용할 수 있도록 준비되어 있다. 네트워크에 하나의 서버 형태로 설치돼, 기존에 활용되고 있는 SIEM(Security Inforamtion and Event Management) 시스템과 연결된다. 관리자가 별도로 설정하거나 프로그래밍해야 할 규칙이 없다는 점이 인상적이다. 포트스케일이 머신러닝과 복잡한 알고리즘을 이용해 내부자 위협과 관련이 있는 이상 동작 및 위험 동작을 찾기 때문이다. 포트스케일의 'Followed User' 대시보드 특정 사용자를 로그인 스플래시 페이지에 고정시켜 추가로 자세히 조사할 수 있도록 하는 유용한 기능이다. ‘Followed User’는 대시보드 가장 오른쪽 칸에 추가시킨 사람들이다. 추가 정보가 있을 경우 사진과 직책, 네트워크 그룹을 집어 넣는다. ‘Followed User’ 집단에 추가시킬 사람을 결정할 때 적용해야 하는 기준이 정해져 있지 않다. 조사자가 특정 이유로 직원을 의심할 경우 넣을 수 있...

2016.06.02

기고 | 크리덴셜 부정 사용 찾아내는 '사용자 행동 분석'

*본 기고문은 벤더가 작성한 것으로 네트워크 월드 편집진의 수정을 거쳤다. 그러나 벤더의 시각이 일부 남아 있을 수 있다. 이미지 출처 : Thinkstock 거의 모든 데이터 누출 사건은 정상적인 로그온 크리덴셜(Credential)을 사용해 이뤄진다. 이런 ‘내부자 위협’을 막으려면 도난 당한 크리덴셜을 범죄자들이 사용할 때 이를 감지할 수 있는 능력이 필요하다. 안타깝게도 전통적인 네트워크 보안 툴은 이런 위협을 식별하거나 완화하는데 효과적이지 못하다. 이런 목적을 위해 새로운 사용자 행동 분석 솔루션이 개발됐으며 실효성이 입증되고 있다. ‘내부자 위협’이라는 말을 들으면, 일반적으로 기업 데이터 접근 권한이 있는 악의적인 직원이나 범죄 의도가 있는 계약직, 또는 협력사 등을 떠올리게 된다. 하지만 이 말은 넓은 의미로 볼 때 정상적인 직원 및 내부자의 로그온 크리덴셜이나 권한을 악용하는 위협과 공격을 의미한다. 직원이나 다른 내부자의 데이터 누출은 대부분 추적할 수 있다. 반면, 외부의 해커, 범죄 조직, 반대 정부, 경쟁사, 핵티비스트(Hacktivist)에 의해 발생한 데이터 누출 사고의 경우 대개 좀더 심각해진다. 이런 범죄자들의 경우 내부자는 아니더라도 관리 권한을 항상 가질 수 있는 내부자의 로그온 크리덴셜을 탈취해 시도할 수 있다. 이 목표를 달성하고 나면 권한을 가진 내부자로 위장해 시스템에 침투한 다음 원하는 정보를 복사한다. 외부자건 내부자건 누구의 소행인지간에 불법적이거나 부주의한 내부자 로그온 크리덴셜 또는 권한 사용은 거의 모든 사이버범죄의 공통 분모라 할 수 있다. 또 관련된 모든 위험을 내부자 위협으로 볼 수 있다. --------------------------------------------------------------- 내부자 위협 인기기사 ->기고 | 가장 큰 보안 위협은 내부에 있다? ->내부...

해킹 사용자 행동 내부자 위협 내부자 분석 데이터 누출 크리덴셜 권한 공격 유출 해커 부정 사용

2016.01.29

*본 기고문은 벤더가 작성한 것으로 네트워크 월드 편집진의 수정을 거쳤다. 그러나 벤더의 시각이 일부 남아 있을 수 있다. 이미지 출처 : Thinkstock 거의 모든 데이터 누출 사건은 정상적인 로그온 크리덴셜(Credential)을 사용해 이뤄진다. 이런 ‘내부자 위협’을 막으려면 도난 당한 크리덴셜을 범죄자들이 사용할 때 이를 감지할 수 있는 능력이 필요하다. 안타깝게도 전통적인 네트워크 보안 툴은 이런 위협을 식별하거나 완화하는데 효과적이지 못하다. 이런 목적을 위해 새로운 사용자 행동 분석 솔루션이 개발됐으며 실효성이 입증되고 있다. ‘내부자 위협’이라는 말을 들으면, 일반적으로 기업 데이터 접근 권한이 있는 악의적인 직원이나 범죄 의도가 있는 계약직, 또는 협력사 등을 떠올리게 된다. 하지만 이 말은 넓은 의미로 볼 때 정상적인 직원 및 내부자의 로그온 크리덴셜이나 권한을 악용하는 위협과 공격을 의미한다. 직원이나 다른 내부자의 데이터 누출은 대부분 추적할 수 있다. 반면, 외부의 해커, 범죄 조직, 반대 정부, 경쟁사, 핵티비스트(Hacktivist)에 의해 발생한 데이터 누출 사고의 경우 대개 좀더 심각해진다. 이런 범죄자들의 경우 내부자는 아니더라도 관리 권한을 항상 가질 수 있는 내부자의 로그온 크리덴셜을 탈취해 시도할 수 있다. 이 목표를 달성하고 나면 권한을 가진 내부자로 위장해 시스템에 침투한 다음 원하는 정보를 복사한다. 외부자건 내부자건 누구의 소행인지간에 불법적이거나 부주의한 내부자 로그온 크리덴셜 또는 권한 사용은 거의 모든 사이버범죄의 공통 분모라 할 수 있다. 또 관련된 모든 위험을 내부자 위협으로 볼 수 있다. --------------------------------------------------------------- 내부자 위협 인기기사 ->기고 | 가장 큰 보안 위협은 내부에 있다? ->내부...

2016.01.29

내부자 보안 이슈, 결국은 '신뢰'의 문제다

좋든 싫든, 내부자로 인한 보안 위협은 기업과 보안 담당자가 직면한 현실이다. 하지만 내부 공격자가 모두 악의나 적개심을 가진 이들이라고 생각한다면 그것이야말로 오산이다. “내부 보안 위협의 범주는 일반적 위협보다 훨씬 넓다. 악의를 가지고, 고의로 정보를 훔치려는 공격자에 의해 행해지는 위협만이 아니라는 점에서 특히 그렇다.” ISF(Information Security Forum)의 매니징 디렉터 스티브 더빈은 이렇게 강조했다. Credit: Thinkstock 내부 위협을 구성하는 또 다른 요인으로는 보안에 대한 무관심을 지목할 수 있다. 이들은 보안 규칙에 대해 알고는 있지만, 단지 효율성 등을 이유로 이를 우회하려 하는 이들이다. 사고로 인한 내부 위협도 존재한다. 보안에 무관심한 직원들이 동료에게 용량이 큰 파일을 한 번에 보내고 싶어서 회사에서 승인하지 않는 웹 기반 파일 호스팅 서비스 등을 사용하는 이들이 있을 수 있다. 사고에 의한 내부 위협이란 실수로 키보드를 잘못 눌러 다른 사람의 이메일로 자료를 보내는 경우 등이 해당된다. 요즘의 자동 완성 기능 때문에 빈번히 발생하곤 한다. 더빈은 “내부 위협 중에는 고의적이고 악의적인 위협보다는 아마도 후자의 두 가지 경우가 더 큰 영향을 미칠 것이다. 또 보안 부서에서 통제하기도 더욱 어렵다”라고 말했다. 물론 일단 한번 정보 유출이나 보안 사고가 터지고 나면, 그것의 발생 원인이 고의적이었는지 실수였는지는 더 이상 중요하지 않다. 사고는 때와 장소를 가리지 않는다 더빈은 “이러한 위협들은 어느 하나 간단히 다룰만한 문제가 아니다. 우연하게 발생하는 사고를 방지하기란 사실상 불가능하다. 기업들이 사용할 수 있는 전략은 제한적이다. 인식 개선 프로그램이나 트레이닝 프로그램 등일 뿐이다. 보안에 무관심한 내부 인물들을 변화시키기 위해서는 정책과 절차에 대한 소통이 필요하다”라고 이야기했다. ...

HR 신뢰 내부 위협 내부자 위협 ISF 내부자 보안

2016.01.26

좋든 싫든, 내부자로 인한 보안 위협은 기업과 보안 담당자가 직면한 현실이다. 하지만 내부 공격자가 모두 악의나 적개심을 가진 이들이라고 생각한다면 그것이야말로 오산이다. “내부 보안 위협의 범주는 일반적 위협보다 훨씬 넓다. 악의를 가지고, 고의로 정보를 훔치려는 공격자에 의해 행해지는 위협만이 아니라는 점에서 특히 그렇다.” ISF(Information Security Forum)의 매니징 디렉터 스티브 더빈은 이렇게 강조했다. Credit: Thinkstock 내부 위협을 구성하는 또 다른 요인으로는 보안에 대한 무관심을 지목할 수 있다. 이들은 보안 규칙에 대해 알고는 있지만, 단지 효율성 등을 이유로 이를 우회하려 하는 이들이다. 사고로 인한 내부 위협도 존재한다. 보안에 무관심한 직원들이 동료에게 용량이 큰 파일을 한 번에 보내고 싶어서 회사에서 승인하지 않는 웹 기반 파일 호스팅 서비스 등을 사용하는 이들이 있을 수 있다. 사고에 의한 내부 위협이란 실수로 키보드를 잘못 눌러 다른 사람의 이메일로 자료를 보내는 경우 등이 해당된다. 요즘의 자동 완성 기능 때문에 빈번히 발생하곤 한다. 더빈은 “내부 위협 중에는 고의적이고 악의적인 위협보다는 아마도 후자의 두 가지 경우가 더 큰 영향을 미칠 것이다. 또 보안 부서에서 통제하기도 더욱 어렵다”라고 말했다. 물론 일단 한번 정보 유출이나 보안 사고가 터지고 나면, 그것의 발생 원인이 고의적이었는지 실수였는지는 더 이상 중요하지 않다. 사고는 때와 장소를 가리지 않는다 더빈은 “이러한 위협들은 어느 하나 간단히 다룰만한 문제가 아니다. 우연하게 발생하는 사고를 방지하기란 사실상 불가능하다. 기업들이 사용할 수 있는 전략은 제한적이다. 인식 개선 프로그램이나 트레이닝 프로그램 등일 뿐이다. 보안에 무관심한 내부 인물들을 변화시키기 위해서는 정책과 절차에 대한 소통이 필요하다”라고 이야기했다. ...

2016.01.26

내부자 위협 파악하기 '11가지 팁'

보안 전문가가 끊임없이 듣는 말은 내부자 위협에 대한 경고다. 회사에서 이러한 위협에 대처하기 위해서는 차세대 소프트웨어, 통합 위협 인테리전스, 그리고 방대한 분량의 이벤트 로그와 컨텍스트를 상호 연계하는 기능이 필요하다는 이야기들이다. 공격을 차단하고, 그 공격이 성공할 경우 복구하기 위해서도 이러한 도구가 필요하다고 한다. 불행하게도 기업이 침해 사실을 파악한 시점에는 시스템은 이미 장시간 동안 감염된 상태로 운영된 상태라고 보면 된다. 벡트라 네트웍스(Vectra Networks)의 제품 마케팅 담당 이사인 웨이드 윌리암슨은 “내부자 위협에는 악의적인 내부자, 시스템이 감염된 내부자, 부주의한 내부자가 모두 포함된다”면서 “이러한 위협을 모두 식별할 수 있는 명확한 시야가 필요하지만 제각기 행동 특성이 달라 이를 탐지하기 위한 방법도 다르다”고 말했다. 기업에서 내부자 위협을 신속하게 파악하는 데 도움이 되는 보안 전문가들의 조언을 들어봤다. 이 조언을 귀담아 듣는다면 내부자 공격을 사전에 발견하는 데 도움이 될 것이다. 팁 1: DNS 트래픽에서 낯선 패턴 감시 인포블록스(Infoblox)의 시스템 엔지니어인 아르노 뮬렌캠프는 “DNS는 간과되는 경우가 많은 계층이지만 데이터 유출 경로로 사용될 수 있다. DNS 패턴에서 해시와 같은 이상한 패턴이 나타난다면 뭔가 일어나고 있다는 의미일 수 있다”고 말했다. 팁 2: 호스트 대 호스트 인증 로그 확인 폭스-IT(Fox-IT)의 선임 위협 인텔리전스 분석가인 조나단 클린스마는 “한 호스트에서 다른 호스트로 누군가가 인증하는데, 일반적으로 그 대상 호스트가 도메인 컨트롤러를 통해 인증되는 호스트라면 조사를 해봐야 한다”며 “이 경우 PSExec나 그 변형, 또는 미미캐츠(Mimikatz) 등 공격자가 사용하는 도구를 파악하고 이러한 도구와 관련된 트래픽을 찾는 것이 중요하다. 호스...

보안 해킹 사용자 인증 DNS 내부자 위협

2016.01.14

보안 전문가가 끊임없이 듣는 말은 내부자 위협에 대한 경고다. 회사에서 이러한 위협에 대처하기 위해서는 차세대 소프트웨어, 통합 위협 인테리전스, 그리고 방대한 분량의 이벤트 로그와 컨텍스트를 상호 연계하는 기능이 필요하다는 이야기들이다. 공격을 차단하고, 그 공격이 성공할 경우 복구하기 위해서도 이러한 도구가 필요하다고 한다. 불행하게도 기업이 침해 사실을 파악한 시점에는 시스템은 이미 장시간 동안 감염된 상태로 운영된 상태라고 보면 된다. 벡트라 네트웍스(Vectra Networks)의 제품 마케팅 담당 이사인 웨이드 윌리암슨은 “내부자 위협에는 악의적인 내부자, 시스템이 감염된 내부자, 부주의한 내부자가 모두 포함된다”면서 “이러한 위협을 모두 식별할 수 있는 명확한 시야가 필요하지만 제각기 행동 특성이 달라 이를 탐지하기 위한 방법도 다르다”고 말했다. 기업에서 내부자 위협을 신속하게 파악하는 데 도움이 되는 보안 전문가들의 조언을 들어봤다. 이 조언을 귀담아 듣는다면 내부자 공격을 사전에 발견하는 데 도움이 될 것이다. 팁 1: DNS 트래픽에서 낯선 패턴 감시 인포블록스(Infoblox)의 시스템 엔지니어인 아르노 뮬렌캠프는 “DNS는 간과되는 경우가 많은 계층이지만 데이터 유출 경로로 사용될 수 있다. DNS 패턴에서 해시와 같은 이상한 패턴이 나타난다면 뭔가 일어나고 있다는 의미일 수 있다”고 말했다. 팁 2: 호스트 대 호스트 인증 로그 확인 폭스-IT(Fox-IT)의 선임 위협 인텔리전스 분석가인 조나단 클린스마는 “한 호스트에서 다른 호스트로 누군가가 인증하는데, 일반적으로 그 대상 호스트가 도메인 컨트롤러를 통해 인증되는 호스트라면 조사를 해봐야 한다”며 “이 경우 PSExec나 그 변형, 또는 미미캐츠(Mimikatz) 등 공격자가 사용하는 도구를 파악하고 이러한 도구와 관련된 트래픽을 찾는 것이 중요하다. 호스...

2016.01.14

공든 조직 와르르··· ‘내부자 위협’, 어떻게 포착할 것인가

에드워드 스노든 사태는 내부자 위협이 그 어느 때보다 위험한 존재가 되었음을 모두에게 알리는 역할을 했다. 이제는 단 한 명의 한 마디 발언이 기업 전체를 무너뜨릴 수도 있는 시대다. 어떤 기업에서도 일어날 수 있는 이와 같은 사고를 막기 위해선 기술적 조치뿐 아니라 비정상적인 행동 신호를 감지하는 역할을 수행하는, 인적 대응 프로그램 역시 반드시 요구된다. 그렇다면, 조직 내 불신 문화를 쌓지 않으면서도 악의를 지닌 내부자를 전략적으로 파악해낼 방법을 어떻게 공유할 수 있을까? 과거 필자가 NSA에 몸 담았을 때, 동료 한 명이 두 건의 문서를 가지고 온 적이 있다. 모두 유사한 직원 유형을 묘사하는 내용을 담고 있었다. 그 특성이란 다음과 같다: 1) 동료들의 작업에 관심이 많다 2) 추가적 업무를 자발적으로 맡는다 3) 늦게까지 업무를 처리하는 날이 많다 4) 휴가를 가지 않는다 첫 번째 문서는 인사 부서에서 발간한 ‘승진 전략서'였고, 다른 하나는 보안 사업부가 발간한 ‘스파이 의심 직원 감지법'이었다. 결론적으로 NSA는 스노든의 유형을 분류하는데 실패했다. 그의 이전 직장인 CIA의 경우 그를 스파이 의심자로 정확히 분류해낸 것과는 비교되는 결과다. 스노든은 그 어느 곳보다 보안이 중요하게 여겨지는 정보 기관에서조차 악의를 지닌 내부자를 포착하는 활동은 명확한 기준 없이 이뤄지고 있음을 여실히 보여줬다. 그렇다면 NSA와 같은 정보 기관도 아닌 기업에서는 어떻게 위협 인물을 (마녀 사냥의 위험 없이) 감지해낼 수 있을까? 시간 여유는 없는 상황이다. 악의적 내부자는, 모든 유형의 기업에게 피해를 입히고 있다. 모든 직급의 인물을 통해 일어날 수 있는 문제다. 일부 매우 영리한 악의적 내부자들은 자신의 행동을 거의 완벽히 감춰버리기도 하지만, 대부분의 악의적 내부자들은, 그 어떠한 징후와 흔적을 남긴다. 그리고 이러한 징후와...

HR 에드워드 스노든 내부자 위협

2014.04.16

에드워드 스노든 사태는 내부자 위협이 그 어느 때보다 위험한 존재가 되었음을 모두에게 알리는 역할을 했다. 이제는 단 한 명의 한 마디 발언이 기업 전체를 무너뜨릴 수도 있는 시대다. 어떤 기업에서도 일어날 수 있는 이와 같은 사고를 막기 위해선 기술적 조치뿐 아니라 비정상적인 행동 신호를 감지하는 역할을 수행하는, 인적 대응 프로그램 역시 반드시 요구된다. 그렇다면, 조직 내 불신 문화를 쌓지 않으면서도 악의를 지닌 내부자를 전략적으로 파악해낼 방법을 어떻게 공유할 수 있을까? 과거 필자가 NSA에 몸 담았을 때, 동료 한 명이 두 건의 문서를 가지고 온 적이 있다. 모두 유사한 직원 유형을 묘사하는 내용을 담고 있었다. 그 특성이란 다음과 같다: 1) 동료들의 작업에 관심이 많다 2) 추가적 업무를 자발적으로 맡는다 3) 늦게까지 업무를 처리하는 날이 많다 4) 휴가를 가지 않는다 첫 번째 문서는 인사 부서에서 발간한 ‘승진 전략서'였고, 다른 하나는 보안 사업부가 발간한 ‘스파이 의심 직원 감지법'이었다. 결론적으로 NSA는 스노든의 유형을 분류하는데 실패했다. 그의 이전 직장인 CIA의 경우 그를 스파이 의심자로 정확히 분류해낸 것과는 비교되는 결과다. 스노든은 그 어느 곳보다 보안이 중요하게 여겨지는 정보 기관에서조차 악의를 지닌 내부자를 포착하는 활동은 명확한 기준 없이 이뤄지고 있음을 여실히 보여줬다. 그렇다면 NSA와 같은 정보 기관도 아닌 기업에서는 어떻게 위협 인물을 (마녀 사냥의 위험 없이) 감지해낼 수 있을까? 시간 여유는 없는 상황이다. 악의적 내부자는, 모든 유형의 기업에게 피해를 입히고 있다. 모든 직급의 인물을 통해 일어날 수 있는 문제다. 일부 매우 영리한 악의적 내부자들은 자신의 행동을 거의 완벽히 감춰버리기도 하지만, 대부분의 악의적 내부자들은, 그 어떠한 징후와 흔적을 남긴다. 그리고 이러한 징후와...

2014.04.16

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13