Offcanvas

������������������

블로그ㅣ보안의 미래는 스스로를 보호하는 기기가 아닐까?

애플 기기 관리 전문업체 ‘잼프(Jamf)’가 보안회사 ‘제크옵스(Zecops)’를 인수했다. 이 인수가 왜 중요하며, 엔터프라이즈 모바일 보안에는 어떤 의미가 있을까?    경계를 벗어난 보안 이 질문의 답을 얻으려면 모바일 기기의 확산으로 전통적인 보안의 효과가 예전보다 훨씬 더 떨어지면서 보안이 어떻게 발전해 왔는지 생각해보자. 이제 모바일 기기는 전 세계 웹사이트 트래픽의 59%를 차지한다. 하지만 가장 최근의 버라이즌 모바일 시큐리티 인덱스(Verizon Mobile Security Index)에 따르면 절반가량(45%)의 기업이 지난 12개월 동안 모바일 기기와 관련된 침해를 겪었다고 말했다.  기업의 방화벽은 ‘벽 내부’만 보호하며, 회고적(retrospective) 맬웨어 검사기는 기본적으로 공격이 발생하기 전까지는 이를 감지하지 않는다.  전통적인 보안 모델은 이제 기기, 사용자, 위치, 심지어는 애플리케이션 기반까지 보안을 적용하는 엔드포인트 보안의 개념으로 대체됐다. 오늘날 보안 업계의 유행어인 제로 트러스트, MFA, 암호 없는 보안 등은 모두 새로운 접근 방식의 구성 요소다.  기기가 스스로를 보호할 수 있을까?  이 밖에 또 다른 전술은 애플의 시큐어 엔클레이브(Secure Enclave)처럼 기기 자체의 보안 보호를 발전시키려는 시도다. 이를테면 공격을 받았는지 인식할 수 있을 정도로 스마트한 시스템을 개발하는 것. 하지만 이러한 머신 인텔리전스 셀프 인식을 제공하려면 먼저 원격 측정 데이터의 형태로 정보에 액세스할 수 있어야 한다.  잼프에는 이미 ‘잼프 프로텍트(Jamf Protect)’라는 맥(Mac)용 보안 솔루션이 있다. 위협을 감지하고, 컴플라이언스를 모니터링하며, 몇몇 보안 사고에 자동으로 대응할 수 있다. 이는 지난 2019년 출시 당시 보안 보호의 미래를 보여줬다. 이어 제크옵스 인수는 잼프가 이제 아이폰과 아이패드에도 유사한 보호 기능을 제공할...

보안 애플 잼프 제크옵스 인수 모바일 보안 맬웨어 엔드포인트 보안 제로트러스트 원격 측정 데이터

2022.11.21

애플 기기 관리 전문업체 ‘잼프(Jamf)’가 보안회사 ‘제크옵스(Zecops)’를 인수했다. 이 인수가 왜 중요하며, 엔터프라이즈 모바일 보안에는 어떤 의미가 있을까?    경계를 벗어난 보안 이 질문의 답을 얻으려면 모바일 기기의 확산으로 전통적인 보안의 효과가 예전보다 훨씬 더 떨어지면서 보안이 어떻게 발전해 왔는지 생각해보자. 이제 모바일 기기는 전 세계 웹사이트 트래픽의 59%를 차지한다. 하지만 가장 최근의 버라이즌 모바일 시큐리티 인덱스(Verizon Mobile Security Index)에 따르면 절반가량(45%)의 기업이 지난 12개월 동안 모바일 기기와 관련된 침해를 겪었다고 말했다.  기업의 방화벽은 ‘벽 내부’만 보호하며, 회고적(retrospective) 맬웨어 검사기는 기본적으로 공격이 발생하기 전까지는 이를 감지하지 않는다.  전통적인 보안 모델은 이제 기기, 사용자, 위치, 심지어는 애플리케이션 기반까지 보안을 적용하는 엔드포인트 보안의 개념으로 대체됐다. 오늘날 보안 업계의 유행어인 제로 트러스트, MFA, 암호 없는 보안 등은 모두 새로운 접근 방식의 구성 요소다.  기기가 스스로를 보호할 수 있을까?  이 밖에 또 다른 전술은 애플의 시큐어 엔클레이브(Secure Enclave)처럼 기기 자체의 보안 보호를 발전시키려는 시도다. 이를테면 공격을 받았는지 인식할 수 있을 정도로 스마트한 시스템을 개발하는 것. 하지만 이러한 머신 인텔리전스 셀프 인식을 제공하려면 먼저 원격 측정 데이터의 형태로 정보에 액세스할 수 있어야 한다.  잼프에는 이미 ‘잼프 프로텍트(Jamf Protect)’라는 맥(Mac)용 보안 솔루션이 있다. 위협을 감지하고, 컴플라이언스를 모니터링하며, 몇몇 보안 사고에 자동으로 대응할 수 있다. 이는 지난 2019년 출시 당시 보안 보호의 미래를 보여줬다. 이어 제크옵스 인수는 잼프가 이제 아이폰과 아이패드에도 유사한 보호 기능을 제공할...

2022.11.21

'비밀번호 하나 없애려니 대체재 술술' MFA 솔루션 제대로 고르기

다중인증(Multi-Factor Authentication, MFA)은 이제 접근 권한 관리의 기본이 됐다. 하지만 수많은 MFA 솔루션이 시장에 나와 있어 어느 것을 택해야 할지 헷갈릴 수 있다. MFA에 대한 기본 개념과 시장에 나와 있는 다양한 솔루션에 대해 알아본다.     오늘날의 자격 증명 공격은 훨씬 더 정교해졌으며 그 수법 또한 넘쳐난다. 고급 피싱 기술, 자격 증명 무작위 대입 공격(credential stuffing), 소셜 엔지니어링, 타사 서비스 침해는 시작에 불과하다. 자격 증명은 기업 보안의 아킬레스건이다. 이러한 공격은 모두 사용자 이름 및 암호 같은 자격 증명을 겨냥한다. 이와 같은 시대에 아직도 ID와 비밀번호만 사용하는 건 언제 터질지 모르는 폭탄을 보유하고 있는 셈이다. 따라서 시대에 맞게 보안을 강화하기 위해 다중 인증(MFA)을 도입해야 한다.  보안 전문가들은 항상 통제권을 확보하려 한다. 물리적 보안 환경에서 보안 요원은 ID를 확인하거나 개인에게 금속 탐지기를 통과하도록 요청하면 된다. 인터넷이 있기 전 기업 내부망에 접근할 수 있는 유일한 지점은 디렉토리였다. 직원들은 단순히 하나의 자격 증명을 이용해 접근 권한을 부여받았다.  현대 인프라와 웹 기반 비즈니스 애플리케이션은 보안 상황을 훨씬 더 복잡하게 만들었다. 이에 따라 전문화된 도구 없이 이 단일 진입 지점을 유지하는 것이 훨씬 더 어려워졌다.  MFA는 사용자에게 권한을 부여하기 위해 여러 개의 돌다리를 두드려본다. 첫 번째는 접근하려는 시스템과 분리된 인증 방식을 추가하는 것이다. 스마트폰, 하드웨어 MFA 토큰 또는 SMS 또는 이메일 기반 인증 코드 등이 있다. 중요한 것은 인증 프로세스가 더 이상 사용자 이름 및 암호와 같은 데이터에 의존하지 않는다는 것이다. 이런 데이터는 피싱 또는 기타 공격 기법(단순한 자격 증명 요청 등)을 통해 쉽게 손상될 수 있으므로 매우 취약하다.  &nbs...

MFA 2FA 다중인증 이중인증 패스워드리스 패스워드리스ID관리 제로트러스트

2022.10.20

다중인증(Multi-Factor Authentication, MFA)은 이제 접근 권한 관리의 기본이 됐다. 하지만 수많은 MFA 솔루션이 시장에 나와 있어 어느 것을 택해야 할지 헷갈릴 수 있다. MFA에 대한 기본 개념과 시장에 나와 있는 다양한 솔루션에 대해 알아본다.     오늘날의 자격 증명 공격은 훨씬 더 정교해졌으며 그 수법 또한 넘쳐난다. 고급 피싱 기술, 자격 증명 무작위 대입 공격(credential stuffing), 소셜 엔지니어링, 타사 서비스 침해는 시작에 불과하다. 자격 증명은 기업 보안의 아킬레스건이다. 이러한 공격은 모두 사용자 이름 및 암호 같은 자격 증명을 겨냥한다. 이와 같은 시대에 아직도 ID와 비밀번호만 사용하는 건 언제 터질지 모르는 폭탄을 보유하고 있는 셈이다. 따라서 시대에 맞게 보안을 강화하기 위해 다중 인증(MFA)을 도입해야 한다.  보안 전문가들은 항상 통제권을 확보하려 한다. 물리적 보안 환경에서 보안 요원은 ID를 확인하거나 개인에게 금속 탐지기를 통과하도록 요청하면 된다. 인터넷이 있기 전 기업 내부망에 접근할 수 있는 유일한 지점은 디렉토리였다. 직원들은 단순히 하나의 자격 증명을 이용해 접근 권한을 부여받았다.  현대 인프라와 웹 기반 비즈니스 애플리케이션은 보안 상황을 훨씬 더 복잡하게 만들었다. 이에 따라 전문화된 도구 없이 이 단일 진입 지점을 유지하는 것이 훨씬 더 어려워졌다.  MFA는 사용자에게 권한을 부여하기 위해 여러 개의 돌다리를 두드려본다. 첫 번째는 접근하려는 시스템과 분리된 인증 방식을 추가하는 것이다. 스마트폰, 하드웨어 MFA 토큰 또는 SMS 또는 이메일 기반 인증 코드 등이 있다. 중요한 것은 인증 프로세스가 더 이상 사용자 이름 및 암호와 같은 데이터에 의존하지 않는다는 것이다. 이런 데이터는 피싱 또는 기타 공격 기법(단순한 자격 증명 요청 등)을 통해 쉽게 손상될 수 있으므로 매우 취약하다.  &nbs...

2022.10.20

분산 환경 보호 필요성 ↑··· 가트너, 보안 지출에 영향을 주는 3가지 제시

"보안 및 위험 관리 대한 전 세계 지출 규모가 2023년 11.3% 증가해 1,883억 달러에 달할 전망이다. 컨설팅, 하드웨어 지원, 구축 및 아웃소싱 서비스를 포함한 보안 서비스는 2022년 시장 규모가 약 720억 달러를 차지했으며, 2023년이 되며 765억 달러에 달할 것으로 예상된다. 클라우드 보안은 향후 2년 동안 가장 큰 성장을 보일 것으로 예측되는 분야다." 가트너가 통합 위험 관리(IRM ; Integrated Risk Management) 시장이 2024년까지 두 자릿수 성장을 기록하며 빠르게 성장할 것이라는 전망을 내놨다. ESG, 제3자 위험, 사이버 보안 위험, 개인정보 보호 위험 등에 대한 관심이 높아지면서, 이러한 위험 요소를 통합해서 관리하는 보안 솔루션의 경쟁이 격화되고 솔루션은 더욱 저렴해질 것으로 분석했다. 가트너가 2021년부터 2023년까지 부문별 전 세계 정보 보안 및 위험 관리 최종 사용자 지출 전망을 발표했다. 원격 작업 증가, 가상 사설망의 ZNTA, 클라우드 기반 모델을 보안 지출 증가에 미치는 세 가지 요소로 꼽았다. (자료 : Gartner) 2022년 22%의 성장을 기록할 것으로 예상한 클라우드 보안 분야는 2023년 26.8%의 성장률을 기록할 것으로 예상했고, 그 뒤를 이어 2023년 24.7% 성장할 것으로 예측한 애플리케이션 보안이 빠르게 성장할 전망이다. 데이터 프라이버시 부문은 2023년 16.9%, 인프라 보호는 16.1%의 성장률을 달성하며 각각 3위와 4위를 기록할 것으로 예상했다. 가트너는 원격 및 하이브리드 작업 증가, VPN(Virtual Private Network)에서 ZTNA(Zero Trust Network Access)로의 전환, 클라우드 기반 제공 모델로 전환이 보안 지출에 가장 큰 영향을 미치는 3가지 요소가 될 것으로 진단했다. 아울러 기업의 최고 보안 책임자(CISO)는 팬데믹으로 인한 하이브리드 작업과 클라우드 전환이 가속화되면서 CISO는 점점 더 분산된...

가트너 원격 근무 하이브리드 근무 ZTNA 제로트러스트 멀티 클라우드

2022.10.18

"보안 및 위험 관리 대한 전 세계 지출 규모가 2023년 11.3% 증가해 1,883억 달러에 달할 전망이다. 컨설팅, 하드웨어 지원, 구축 및 아웃소싱 서비스를 포함한 보안 서비스는 2022년 시장 규모가 약 720억 달러를 차지했으며, 2023년이 되며 765억 달러에 달할 것으로 예상된다. 클라우드 보안은 향후 2년 동안 가장 큰 성장을 보일 것으로 예측되는 분야다." 가트너가 통합 위험 관리(IRM ; Integrated Risk Management) 시장이 2024년까지 두 자릿수 성장을 기록하며 빠르게 성장할 것이라는 전망을 내놨다. ESG, 제3자 위험, 사이버 보안 위험, 개인정보 보호 위험 등에 대한 관심이 높아지면서, 이러한 위험 요소를 통합해서 관리하는 보안 솔루션의 경쟁이 격화되고 솔루션은 더욱 저렴해질 것으로 분석했다. 가트너가 2021년부터 2023년까지 부문별 전 세계 정보 보안 및 위험 관리 최종 사용자 지출 전망을 발표했다. 원격 작업 증가, 가상 사설망의 ZNTA, 클라우드 기반 모델을 보안 지출 증가에 미치는 세 가지 요소로 꼽았다. (자료 : Gartner) 2022년 22%의 성장을 기록할 것으로 예상한 클라우드 보안 분야는 2023년 26.8%의 성장률을 기록할 것으로 예상했고, 그 뒤를 이어 2023년 24.7% 성장할 것으로 예측한 애플리케이션 보안이 빠르게 성장할 전망이다. 데이터 프라이버시 부문은 2023년 16.9%, 인프라 보호는 16.1%의 성장률을 달성하며 각각 3위와 4위를 기록할 것으로 예상했다. 가트너는 원격 및 하이브리드 작업 증가, VPN(Virtual Private Network)에서 ZTNA(Zero Trust Network Access)로의 전환, 클라우드 기반 제공 모델로 전환이 보안 지출에 가장 큰 영향을 미치는 3가지 요소가 될 것으로 진단했다. 아울러 기업의 최고 보안 책임자(CISO)는 팬데믹으로 인한 하이브리드 작업과 클라우드 전환이 가속화되면서 CISO는 점점 더 분산된...

2022.10.18

'기업 자산을 보호하는 보이지 않는 경계' SDP 따라잡기

사이버 공격을 차단하려는 방편으로 인터넷에 연결된 리소스 주변에 보이지 않는 경계선을 그리는 기업이 늘고 있다. 소프트웨어 정의 경계(Software-Defined Perimeter, SDP)라고 하는 이 기술의 기본 개념은 비교적 단순하다. 서버와 라우터, 프린터 및 기타 엔터프라이즈 네트워크 구성요소 주변에 가상의 방벽을 설치하는 것이다.   SDP의 목적은 유연한 소프트웨어 기반의 경계 뒤에서 네트워크를 보호하는 것이다. IT 및 비즈니스 컨설팅 업체 캡제미니 아메리카(Capgemini Americas)의 수석 SD-WAN 및 SASE 아키텍트인 론 하웰은 “더 강력한 보안과 높은 유연성, 일관성 등이 SDP의 이점”이라고 말했다. 전용 서버에 위치하는 기존 모놀리식 앱과 달리 둘 이상의 서버에 위치할 수 있는 마이크로서비스로 만들어진 애플리케이션이 등장하면서 보안 문제가 더욱 복잡해졌다. SDP는 바로 이런 문제에 대처한다. VM웨어의 글로벌 보안 전문가 채드 스키퍼는 “최근 애플리케이션은 더욱 모듈화되어 이제 기업의 데이터 센터 또는 퍼블릭 클라우드의 여러 워크로드 유형과 마이크로서비스로 구성된다”라고 설명했다. 권한 없이 볼 수 없다 비즈니스 자문 업체 딜로이트의 사이버 및 전략적 위험 부문 상무 이사 챌런 아라스는 “SDP 프레임워크는 일반적으로 내부 네트워크의 서버 또는 노드를 읽기 어렵게 만든다. SDP는 ID를 비롯한 입증 방법을 사용해 최소 권한 혹은 액세스 필요성에 따라 네트워크 노드와 서버에 대한 가시성과 연결을 허용한다”라고 말했다. 구체적으로 SDP는 외부에서 인프라 요소를 볼 수 없도록 한다. 인프라가 클라우드에 있든 온프레미스에 있든 라우터, 서버 프린터 같은 하드웨어를 비롯해 엔터프라이즈 네트워크와 인터넷에 동시에 연결된 거의 모든 요소가 승인되지 않은, 권한 없는 사용자에게는 보이지 않는다. 기술 연구 자문업체 ISG의 사이버보안 부문 수석 컨설턴트 존 헨리는 “먼저 인증한 다음 액세스를 허용하므로 무단 사용...

SDP ZTNA 제로트러스트 소프트웨어정의경계

2022.09.16

사이버 공격을 차단하려는 방편으로 인터넷에 연결된 리소스 주변에 보이지 않는 경계선을 그리는 기업이 늘고 있다. 소프트웨어 정의 경계(Software-Defined Perimeter, SDP)라고 하는 이 기술의 기본 개념은 비교적 단순하다. 서버와 라우터, 프린터 및 기타 엔터프라이즈 네트워크 구성요소 주변에 가상의 방벽을 설치하는 것이다.   SDP의 목적은 유연한 소프트웨어 기반의 경계 뒤에서 네트워크를 보호하는 것이다. IT 및 비즈니스 컨설팅 업체 캡제미니 아메리카(Capgemini Americas)의 수석 SD-WAN 및 SASE 아키텍트인 론 하웰은 “더 강력한 보안과 높은 유연성, 일관성 등이 SDP의 이점”이라고 말했다. 전용 서버에 위치하는 기존 모놀리식 앱과 달리 둘 이상의 서버에 위치할 수 있는 마이크로서비스로 만들어진 애플리케이션이 등장하면서 보안 문제가 더욱 복잡해졌다. SDP는 바로 이런 문제에 대처한다. VM웨어의 글로벌 보안 전문가 채드 스키퍼는 “최근 애플리케이션은 더욱 모듈화되어 이제 기업의 데이터 센터 또는 퍼블릭 클라우드의 여러 워크로드 유형과 마이크로서비스로 구성된다”라고 설명했다. 권한 없이 볼 수 없다 비즈니스 자문 업체 딜로이트의 사이버 및 전략적 위험 부문 상무 이사 챌런 아라스는 “SDP 프레임워크는 일반적으로 내부 네트워크의 서버 또는 노드를 읽기 어렵게 만든다. SDP는 ID를 비롯한 입증 방법을 사용해 최소 권한 혹은 액세스 필요성에 따라 네트워크 노드와 서버에 대한 가시성과 연결을 허용한다”라고 말했다. 구체적으로 SDP는 외부에서 인프라 요소를 볼 수 없도록 한다. 인프라가 클라우드에 있든 온프레미스에 있든 라우터, 서버 프린터 같은 하드웨어를 비롯해 엔터프라이즈 네트워크와 인터넷에 동시에 연결된 거의 모든 요소가 승인되지 않은, 권한 없는 사용자에게는 보이지 않는다. 기술 연구 자문업체 ISG의 사이버보안 부문 수석 컨설턴트 존 헨리는 “먼저 인증한 다음 액세스를 허용하므로 무단 사용...

2022.09.16

전 세계 2,500만명 쓰는 비밀번호 서비스 ‘라스트패스’ 소스코드 해킹… 벌써 5번째

라스트패스에 따르면 마스터 키는 이번 공격의 영향을 받지 않았지만, 우려된다면 마스터 비밀번호를 바꾸는 것이 좋다.    전 세계 사용자가 2,500만명이 넘는 비밀번호 관리 서비스 라스트패스(LastPass)가 데이터 침해 사고가 발생했다고 지난 26일(현지 시각) 밝혔다. 회사는 공격자들이 개발 환경에 침투한 것으로 보이며, 이를 통해 소스코드 일부를 가져갔다고 밝혔다. 하지만 사용자의 마스터 비밀번호는 무사하다고 업체 측은 전했다. 라스트패스는 보도자료와 공식 블로그에서 해킹 원인을 설명했다. 한 개발자의 계정이 해킹 당해 라스트패스 서비스의 소스코드 및 독점 기술 일부가 유출됐다고 말했다. 회사는 각종 보안 강화 조치를 취할 것이며, 외부 사이버보안 및 포렌식 업체에 의뢰해 현재 사건 조사가 진행 중이라고 밝혔다. 아울러 사용자의 마스터 비밀번호가 공격의 영향을 받지 않았기 때문에 이를 바꿀 필요는 없다고 주장했다.    라스트패스 해킹은 이번이 처음은 아니다. 2016년에는 사용자 계정 접속에 필요한 이메일 주소, 비밀번호 리마인더 및 인증 관련 해시값 등을 노린 공격에 노출됐다.  구글 프로젝트 제로(Google Project Zero) 팀의 보안 전문가 타비스 오르만디는 같은 해 라스트패스의 취약점을 발견했다고 알렸고, 2017년에는 사용자의 비밀번호를 탈취할 수 있는 취약점이 라스트패스의 브라우저 확장 프로그램에서 드러났다. 가장 최근인 2019년 오르만디는 또 브라우저 확장 프로그램에서 사용자가 마지막으로 사용한 비밀번호를 탈취할 수 있는 취약점을 발견했다.   라스트패스는 사용자 경험 측면에서 좋은 서비스이지만, 거듭된 보안 사고를 비롯한 각종 PR 실수(지난 12월 자격 증명 스터핑 해킹이 발생했다고 경고 이메일을 보냈지만 오보로 밝혀졌다)를 고려하면 우려의 목소리가 나올 수밖에 없다.    만약 회사의 해명을 완전히 믿지 못하겠거나 ...

라스트패스 비밀번호 비밀번호 관리자 비밀번호 관리 제로트러스트 제로놀리지

2022.08.29

라스트패스에 따르면 마스터 키는 이번 공격의 영향을 받지 않았지만, 우려된다면 마스터 비밀번호를 바꾸는 것이 좋다.    전 세계 사용자가 2,500만명이 넘는 비밀번호 관리 서비스 라스트패스(LastPass)가 데이터 침해 사고가 발생했다고 지난 26일(현지 시각) 밝혔다. 회사는 공격자들이 개발 환경에 침투한 것으로 보이며, 이를 통해 소스코드 일부를 가져갔다고 밝혔다. 하지만 사용자의 마스터 비밀번호는 무사하다고 업체 측은 전했다. 라스트패스는 보도자료와 공식 블로그에서 해킹 원인을 설명했다. 한 개발자의 계정이 해킹 당해 라스트패스 서비스의 소스코드 및 독점 기술 일부가 유출됐다고 말했다. 회사는 각종 보안 강화 조치를 취할 것이며, 외부 사이버보안 및 포렌식 업체에 의뢰해 현재 사건 조사가 진행 중이라고 밝혔다. 아울러 사용자의 마스터 비밀번호가 공격의 영향을 받지 않았기 때문에 이를 바꿀 필요는 없다고 주장했다.    라스트패스 해킹은 이번이 처음은 아니다. 2016년에는 사용자 계정 접속에 필요한 이메일 주소, 비밀번호 리마인더 및 인증 관련 해시값 등을 노린 공격에 노출됐다.  구글 프로젝트 제로(Google Project Zero) 팀의 보안 전문가 타비스 오르만디는 같은 해 라스트패스의 취약점을 발견했다고 알렸고, 2017년에는 사용자의 비밀번호를 탈취할 수 있는 취약점이 라스트패스의 브라우저 확장 프로그램에서 드러났다. 가장 최근인 2019년 오르만디는 또 브라우저 확장 프로그램에서 사용자가 마지막으로 사용한 비밀번호를 탈취할 수 있는 취약점을 발견했다.   라스트패스는 사용자 경험 측면에서 좋은 서비스이지만, 거듭된 보안 사고를 비롯한 각종 PR 실수(지난 12월 자격 증명 스터핑 해킹이 발생했다고 경고 이메일을 보냈지만 오보로 밝혀졌다)를 고려하면 우려의 목소리가 나올 수밖에 없다.    만약 회사의 해명을 완전히 믿지 못하겠거나 ...

2022.08.29

보안과 접근성 모두 잡는 해법?!··· 기업 내 ‘비밀 관리’ 안내서

오늘날의 엔터프라이즈 IT 환경은 지속적인 디지털 전환과 방대한 데이터 생성을 특징으로 한다. 한편 원격 및 모바일 작업이 팬데믹 이후의 세계에서 새로운 표준이 되면서 이동성과 민첩성은 비즈니스 연속성 측면에서 필수적인 과제로 부상했다. 각종 비즈니스 기능을 자동화 및 통합하고, 데이터 및 정보의 흐름을 중앙 집중화 및 가속화하며, 생산성을 향상하고, 더 나은 고객 환경을 제공하기 위해 조직은 복잡한 하이브리드 멀티 클라우드 운영 모델을 통해 애자일 데브옵스 환경을 구축하고 있다. 그러나 뛰어난 이동성과 데이터 접근성에는 대가가 따른다. 기업은 데이터, 서비스 및 PII의 보안을 유지하는 데 있어 점점 더 많은 과제에 직면하고 있다. 기술의 발전에도 불구하고, 매년 기록적인 수의 데이터 사고가 나타나는 이유이기도 하다. 전체 IT 인프라의 보안을 강화하는 동시에 직원이 디지털 리소스에 간단하게 액세스할 수 있도록 데이터 스토리지를 관리 및 보호 방법은 무엇일까? 그 해답 중 하나는 효과적인 비밀 관리다.   비밀 관리란 무엇이며 왜 필요한가? 비밀 관리(secrets management)는 전체 수명 주기 동안 디지털 인증 자격 증명(또는 ‘비밀’)을 안전하게 저장하고 액세스하고 관리하는 데 사용되는 적절한 툴 및 모범 준칙의 집합이다. 비밀은 암호, 공공 및 개인 암호화 키, SSH 키, API, 토큰 및 인증서를 비롯하여 인증 및 승인에 사용되는 각종 데이터 항목이다. 기계와 인간 모두 비밀을 인증하고 소통하기 위해 사용한다. 이러한 비밀 관리가 중요해진 이유는 무엇일까? SaaS 기반 비밀 관리 툴인 에이키리스(Akeyless)의 CEO이자 공동 설립자인 오디드 헤어븐은 다음과 같이 설명했다. “하이브리드 멀티 클라우드 인프라로의 보편적인 전환과 앱 컨테이너화에 대한 의존으로 인해 시스템과 데이터에 지속적으로 액세스해야 하는 기계와 인력 모두에 대한 필요성이 크게 증가했다. 예를 들어, 점점 더 많은 애플리케이션이 서로 다른 데이터...

비밀 기밀 제로트러스트 자격증명 인증성 비밀 스프롤 시크릿 제로 비밀 제로

2022.08.24

오늘날의 엔터프라이즈 IT 환경은 지속적인 디지털 전환과 방대한 데이터 생성을 특징으로 한다. 한편 원격 및 모바일 작업이 팬데믹 이후의 세계에서 새로운 표준이 되면서 이동성과 민첩성은 비즈니스 연속성 측면에서 필수적인 과제로 부상했다. 각종 비즈니스 기능을 자동화 및 통합하고, 데이터 및 정보의 흐름을 중앙 집중화 및 가속화하며, 생산성을 향상하고, 더 나은 고객 환경을 제공하기 위해 조직은 복잡한 하이브리드 멀티 클라우드 운영 모델을 통해 애자일 데브옵스 환경을 구축하고 있다. 그러나 뛰어난 이동성과 데이터 접근성에는 대가가 따른다. 기업은 데이터, 서비스 및 PII의 보안을 유지하는 데 있어 점점 더 많은 과제에 직면하고 있다. 기술의 발전에도 불구하고, 매년 기록적인 수의 데이터 사고가 나타나는 이유이기도 하다. 전체 IT 인프라의 보안을 강화하는 동시에 직원이 디지털 리소스에 간단하게 액세스할 수 있도록 데이터 스토리지를 관리 및 보호 방법은 무엇일까? 그 해답 중 하나는 효과적인 비밀 관리다.   비밀 관리란 무엇이며 왜 필요한가? 비밀 관리(secrets management)는 전체 수명 주기 동안 디지털 인증 자격 증명(또는 ‘비밀’)을 안전하게 저장하고 액세스하고 관리하는 데 사용되는 적절한 툴 및 모범 준칙의 집합이다. 비밀은 암호, 공공 및 개인 암호화 키, SSH 키, API, 토큰 및 인증서를 비롯하여 인증 및 승인에 사용되는 각종 데이터 항목이다. 기계와 인간 모두 비밀을 인증하고 소통하기 위해 사용한다. 이러한 비밀 관리가 중요해진 이유는 무엇일까? SaaS 기반 비밀 관리 툴인 에이키리스(Akeyless)의 CEO이자 공동 설립자인 오디드 헤어븐은 다음과 같이 설명했다. “하이브리드 멀티 클라우드 인프라로의 보편적인 전환과 앱 컨테이너화에 대한 의존으로 인해 시스템과 데이터에 지속적으로 액세스해야 하는 기계와 인력 모두에 대한 필요성이 크게 증가했다. 예를 들어, 점점 더 많은 애플리케이션이 서로 다른 데이터...

2022.08.24

블로그 | 개발자가 SW 공급망에 가져야 할 질문···· '믿어도 되는가?'

Log4j는 대부분의 개발자들에게 공급망 보안 문제를 일깨우는 한 바가지의 찬물과 같았다.   우리는 지난 수십 년 동안 소프트웨어를 만들고 프로덕션 환경에 집착했다. 그러나 그 소프트웨어의 기반은 누군가의 책상 아래에 있는 패치되지 않은 젠킨스 박스나 마찬가지였다. 런타임 보호에 막대한 시간을 쏟은 다음 정작 배포할 때는 부실한 툴을 사용했기 때문이다.   소프트웨어 빌드 환경의 보안은 프로덕션 환경보다 현저히 낮다.   솔라윈즈와 코드코브 사고, 트래비스 CI 기밀 유출 사고에 이르기까지 지난 12개월 동안 일어난 여러 대형 사고가 그 결과다. 인프라 보호 기술이 발전하자 더 쉬운 방법을 찾아 나선 공격자가 공급망에서 활짝 열린 문을 발견한 것이다. 경계 보안을 뚫을 수 없다면? 오픈소스 종속 항목이나 라이브러리를 찾아 그쪽으로 들어오면 된다. 그러면 모든 고객을 공격할 수 있게 된다. 이것이 현대의 소프트웨어 공급망 해킹이다.    소프트웨어에 대한 신뢰 루트가 필요 이제는 사람에 대한 신뢰 루트, 2중 요소 인증, ID 시스템이 있고 개인의 신원을 보증하기 위한 방법도 있다. 하드웨어도 마찬가지다. 암호화 키가 있고 부팅할 때 변조되지 않았음을 신뢰할 수 있는 하드웨어가 있다.   심지어 인터넷 사용자 관점에서도 신뢰 루트가 있다. URI, URN, URL은 우리가 방문하는 사이트의 ID와 이름, 위치를 연결하는 사실상 인터넷의 네임스페이스다. SSL 인증서는 브라우저에 사이트가 안전함을 알려준다. DNS 방화벽은 사용자의 재귀적 리졸버 사이에서 캐시에 불량 요청이 들어오지 못하도록 한다. 이러한 모든 과정은 배후에서 이뤄지며 수십 년 동안 수십 억 명의 인터넷 사용자를 놀라울 만큼 효과적으로 지원해왔다.   그러나 소프트웨어 아티팩트에는 현재 이와 같은 장치가 없다.   무턱대고 많은 것을 신뢰하는 개발자 클라우드 네이티브 컴퓨팅 파운데이션(CNCF) 아티팩트 허브에...

Log4j 소프트웨어빌드환경 프로덕션환경 솔라윈즈 공급망공격 제로트러스트 공급망 보안

2022.07.15

Log4j는 대부분의 개발자들에게 공급망 보안 문제를 일깨우는 한 바가지의 찬물과 같았다.   우리는 지난 수십 년 동안 소프트웨어를 만들고 프로덕션 환경에 집착했다. 그러나 그 소프트웨어의 기반은 누군가의 책상 아래에 있는 패치되지 않은 젠킨스 박스나 마찬가지였다. 런타임 보호에 막대한 시간을 쏟은 다음 정작 배포할 때는 부실한 툴을 사용했기 때문이다.   소프트웨어 빌드 환경의 보안은 프로덕션 환경보다 현저히 낮다.   솔라윈즈와 코드코브 사고, 트래비스 CI 기밀 유출 사고에 이르기까지 지난 12개월 동안 일어난 여러 대형 사고가 그 결과다. 인프라 보호 기술이 발전하자 더 쉬운 방법을 찾아 나선 공격자가 공급망에서 활짝 열린 문을 발견한 것이다. 경계 보안을 뚫을 수 없다면? 오픈소스 종속 항목이나 라이브러리를 찾아 그쪽으로 들어오면 된다. 그러면 모든 고객을 공격할 수 있게 된다. 이것이 현대의 소프트웨어 공급망 해킹이다.    소프트웨어에 대한 신뢰 루트가 필요 이제는 사람에 대한 신뢰 루트, 2중 요소 인증, ID 시스템이 있고 개인의 신원을 보증하기 위한 방법도 있다. 하드웨어도 마찬가지다. 암호화 키가 있고 부팅할 때 변조되지 않았음을 신뢰할 수 있는 하드웨어가 있다.   심지어 인터넷 사용자 관점에서도 신뢰 루트가 있다. URI, URN, URL은 우리가 방문하는 사이트의 ID와 이름, 위치를 연결하는 사실상 인터넷의 네임스페이스다. SSL 인증서는 브라우저에 사이트가 안전함을 알려준다. DNS 방화벽은 사용자의 재귀적 리졸버 사이에서 캐시에 불량 요청이 들어오지 못하도록 한다. 이러한 모든 과정은 배후에서 이뤄지며 수십 년 동안 수십 억 명의 인터넷 사용자를 놀라울 만큼 효과적으로 지원해왔다.   그러나 소프트웨어 아티팩트에는 현재 이와 같은 장치가 없다.   무턱대고 많은 것을 신뢰하는 개발자 클라우드 네이티브 컴퓨팅 파운데이션(CNCF) 아티팩트 허브에...

2022.07.15

ZTNA 솔루션 구매 전 업체에 꼭 물어야 할 8가지

클라우드에서 핵심 비즈니스 애플리케이션을 운영하는 일이 늘어나고 팬데믹으로 인해 원격 근무가 확산하면서 전통적인 ‘기업 해자(corporate moat)’ 방식의 보안 개념은 자취를 감추었다. 오늘날의 하이브리드 워크에서 직원은 외근하고 집에서 일하고 일주일에 한두 차례 사무실에 방문한다. 따라서 네트워크 및 보안팀은 네트워크, 신원, 인증을 관리하는 더 유연한 접근법을 도입해야 하는 상황이다.   제로 트러스트 네트워크 접근법(Zero Trust Network Access, ZTNA)은 오늘날 보안이 가진 이런 문제에 대응하는 인기 있는 방법으로 주목받고 있다. 개념은 그리 어렵지 않다. 제로 트러스트는 방화벽, IDS/IPSes, 안티바이러스 소프트웨어라는 계층적 경계를 구축하는 대신, 충분히 검증되기 전까지 '어떤 사용자나 기기도' 신뢰하지 않는 것이다. 그러나 이 간단한 개념을 구현하는 과정은 그리 쉽지 않다. 대다수 기업은 제로 트러스트 업체의 온갖 마케팅에도 불구하고 IT 임원이 제로 트러스트를 기성품으로 구매해 단기간에 적용할 수 없음을 알고 있다. 제로 트러스트는 제품이 아니다. 프레임워크이자 아키텍처이고 철학이다. 여러 형태를 취할 수 있고 성공적으로 구현하는 데는 상당한 시간과 노력이 필요하다는 의미다. 기업이 제로 트러스트를 도입할 때 제로 트러스트 업체에 반드시 물어야 하는 질문을 정리했다.   ZTNA로 전환할 때 기존의 보안 및 네트워킹 인프라를 어떻게 활용할 수 있나 기업은 여러 해에 걸쳐 보안/네트워킹 하드웨어 및 소프트웨어에 상당한 돈을 투자했다. 따라서 기존 기술을 최대한 활용하면서 ZTNA로 전환하는 것이 매우 중요하다. 대다수 기업은 ID 관리, 접근 제어, 이중 인증, 네트워크 분할, 정책 관리 등 ZTNA에 필요한 조각을 이미 갖고 있다. 그러나 종합적이고 확장성 있고 정책 주도적 방식으로 제로 트러스트의 모든 측면에 두루 숙달된 기업은 별로 많지 않다. 네트워크 자동화 업체인 글루웨어(Gluwar...

ZTNA 제로트러스트

2022.05.24

클라우드에서 핵심 비즈니스 애플리케이션을 운영하는 일이 늘어나고 팬데믹으로 인해 원격 근무가 확산하면서 전통적인 ‘기업 해자(corporate moat)’ 방식의 보안 개념은 자취를 감추었다. 오늘날의 하이브리드 워크에서 직원은 외근하고 집에서 일하고 일주일에 한두 차례 사무실에 방문한다. 따라서 네트워크 및 보안팀은 네트워크, 신원, 인증을 관리하는 더 유연한 접근법을 도입해야 하는 상황이다.   제로 트러스트 네트워크 접근법(Zero Trust Network Access, ZTNA)은 오늘날 보안이 가진 이런 문제에 대응하는 인기 있는 방법으로 주목받고 있다. 개념은 그리 어렵지 않다. 제로 트러스트는 방화벽, IDS/IPSes, 안티바이러스 소프트웨어라는 계층적 경계를 구축하는 대신, 충분히 검증되기 전까지 '어떤 사용자나 기기도' 신뢰하지 않는 것이다. 그러나 이 간단한 개념을 구현하는 과정은 그리 쉽지 않다. 대다수 기업은 제로 트러스트 업체의 온갖 마케팅에도 불구하고 IT 임원이 제로 트러스트를 기성품으로 구매해 단기간에 적용할 수 없음을 알고 있다. 제로 트러스트는 제품이 아니다. 프레임워크이자 아키텍처이고 철학이다. 여러 형태를 취할 수 있고 성공적으로 구현하는 데는 상당한 시간과 노력이 필요하다는 의미다. 기업이 제로 트러스트를 도입할 때 제로 트러스트 업체에 반드시 물어야 하는 질문을 정리했다.   ZTNA로 전환할 때 기존의 보안 및 네트워킹 인프라를 어떻게 활용할 수 있나 기업은 여러 해에 걸쳐 보안/네트워킹 하드웨어 및 소프트웨어에 상당한 돈을 투자했다. 따라서 기존 기술을 최대한 활용하면서 ZTNA로 전환하는 것이 매우 중요하다. 대다수 기업은 ID 관리, 접근 제어, 이중 인증, 네트워크 분할, 정책 관리 등 ZTNA에 필요한 조각을 이미 갖고 있다. 그러나 종합적이고 확장성 있고 정책 주도적 방식으로 제로 트러스트의 모든 측면에 두루 숙달된 기업은 별로 많지 않다. 네트워크 자동화 업체인 글루웨어(Gluwar...

2022.05.24

“오픈소스 보안 강화·제로트러스트 구축 간소화” 구글 클라우드, 새 서비스 공개

구글 클라우드(Google Cloud)가 오픈소스 소프트웨어 보안, 제로트러스트 아키텍처 구축 간소화 등의 문제를 해결하는 새로운 보안 서비스를 공개했다.  연례 구글 클라우드 시큐리티 서밋(Google Cloud Security Summit)에서 구글 클라우드는 새 서비스가 기업을 포함한 여러 고객이 가장 많이 쓰는 도구와 서비스의 보안을 강화하는 ‘인비저블 시큐리티(Invisible Security)’ 이니셔티브를 기반으로 한다고 밝혔다.    먼저 ‘어슈어드 오픈소스 소프트웨어(Assured Open Source Software; Assured OSS)’라는 서비스는 기업들이 오픈소스 종속성을 쉽게 관리할 수 있도록 하는 것을 목표로 한다. 구글 클라우드 시큐리티의 부사장 겸 총괄 책임자 수닐 포티는 “오늘날 오픈소스 소프트웨어의 보안 취약점을 패치하는 일은 위험한 두더지 잡기 게임처럼 느껴진다. 예를 들어 1개를 수정하면 2개가 갑자기 튀어나오기 때문”이라며, “이는 오픈소스 소프트웨어(OSS) 업체를 겨냥한 사이버 공격이 2020년부터 2021년까지 650% 증가했다는 보안 소프트웨어 회사 소나타입(Sonatype)의 연구 결과에서도 알 수 있다”라고 말했다.  구글에 따르면 ‘어슈어드 OSS’를 통해 오픈소스 소프트웨어를 쓰는 기업 사용자는 구글이 사용하는 것과 동일한 OSS 패키지를 자체 환경에 통합할 수 있다. 구글에서 큐레이션하는 이 패키지는 정기적으로 스캔, 분석, 취약점 테스트를 거치며, 구글이 보호하는 아티팩트 레지스트리(Artifact Registry)를 통해 배포된다고 포티는 설명했다. 현재 깃허브를 통해 500개 이상의 패키지를 사용할 수 있다.  이어서 그는 “계속해서 OSS 취약점을 찾고 있는 구글의 스케일은 모든 기업이 구축 및 운영하기 어려운 규모일 것”이라면서, “일반적으로 사용되는 오픈소스 프로젝트 중 550개를 계속 퍼징하고 있으며, 2022년 1월 기준으로 해당 프로...

오픈소스 보안 제로트러스트 구글 클라우드 보안 취약점 오픈소스

2022.05.18

구글 클라우드(Google Cloud)가 오픈소스 소프트웨어 보안, 제로트러스트 아키텍처 구축 간소화 등의 문제를 해결하는 새로운 보안 서비스를 공개했다.  연례 구글 클라우드 시큐리티 서밋(Google Cloud Security Summit)에서 구글 클라우드는 새 서비스가 기업을 포함한 여러 고객이 가장 많이 쓰는 도구와 서비스의 보안을 강화하는 ‘인비저블 시큐리티(Invisible Security)’ 이니셔티브를 기반으로 한다고 밝혔다.    먼저 ‘어슈어드 오픈소스 소프트웨어(Assured Open Source Software; Assured OSS)’라는 서비스는 기업들이 오픈소스 종속성을 쉽게 관리할 수 있도록 하는 것을 목표로 한다. 구글 클라우드 시큐리티의 부사장 겸 총괄 책임자 수닐 포티는 “오늘날 오픈소스 소프트웨어의 보안 취약점을 패치하는 일은 위험한 두더지 잡기 게임처럼 느껴진다. 예를 들어 1개를 수정하면 2개가 갑자기 튀어나오기 때문”이라며, “이는 오픈소스 소프트웨어(OSS) 업체를 겨냥한 사이버 공격이 2020년부터 2021년까지 650% 증가했다는 보안 소프트웨어 회사 소나타입(Sonatype)의 연구 결과에서도 알 수 있다”라고 말했다.  구글에 따르면 ‘어슈어드 OSS’를 통해 오픈소스 소프트웨어를 쓰는 기업 사용자는 구글이 사용하는 것과 동일한 OSS 패키지를 자체 환경에 통합할 수 있다. 구글에서 큐레이션하는 이 패키지는 정기적으로 스캔, 분석, 취약점 테스트를 거치며, 구글이 보호하는 아티팩트 레지스트리(Artifact Registry)를 통해 배포된다고 포티는 설명했다. 현재 깃허브를 통해 500개 이상의 패키지를 사용할 수 있다.  이어서 그는 “계속해서 OSS 취약점을 찾고 있는 구글의 스케일은 모든 기업이 구축 및 운영하기 어려운 규모일 것”이라면서, “일반적으로 사용되는 오픈소스 프로젝트 중 550개를 계속 퍼징하고 있으며, 2022년 1월 기준으로 해당 프로...

2022.05.18

칼럼 | 원격 근무에 제로 트러스트는 반드시 필요하다

작년 여름, ‘리커션 팀(Recursion Team)’이라는 사이버 범죄 조직과 연루된 해커가 경찰로 위장해 애플과 메타에 ‘비상 데이터 요청’ 형태로 고객 데이터를 요구했다. 두 기업 모두 깜빡 속아 요구에 응하고 말았다. 약 3년 전에는 영국에 소재한 애너지 기업의 CEO가 독일에 있는 모기업 CEO로부터 헝가리 공급업체에 25만 달러를 송금하라는 전화를 받고 지시에 따랐다. 알고 보니 모회사의 CEO라던 사람은 딥페이크 오디오 기술을 사용해 다른 사람의 목소리를 변조한 사이버 범죄자였다. 두 해커는 각각 데이터와 돈을 성공적으로 갈취했다. 이들은 모두 신뢰를 악용해 범죄를 저질렀다. 피해자는 해커가 말하는 정보 만을 곧이곧대로 믿었다.     제로 트러스트의 정의 제로 트러스트는 경계 보안에 의존하지 않는 보안 프레임워크이다. 경계 보안은 오래 전부터 보편적으로 사용돼 온 모델로, 기업의 건물이나 방화벽 안에 있는 모든 사람과 사물을 신뢰하는 것은 전제로 한다. 여기서 보안은 경계 밖에 있는 사용자가 내부로 들어오지 못하도록 막는 데 중점을 둔다. ‘제로 트러스트’는 1994년 영국 스털링 대학에서 박사 과정을 밟고 있던 스티븐 폴 마시가 처음 만든 용어이다. ‘탈경계화’라고도 불리는 이 개념은 포레스터 익스텐디드(Forrester eXtended), 가트너의 CARTA 및 NIST 800-207과 같은 가이드라인에서 구체화됐다. 경계 보안의 효용성이 떨어진 데는 여러 가지 이유가 있지만, 이 중에서도 원격 근무의 확산이 대표적이다. 이밖에 모바일 컴퓨팅과 클라우드 컴퓨팅, 갈수록 증가하는 정교한 사이버 공격, 그리고 내부에서 비롯되는 위협 등을 이유로 들 수 있다. 다르게 말하면, 네트워크 경계는 더 이상 존재하지 않는다. 경계가 존재한다고 해도 침해될 수 있다. 해커는 경계 안으로 들어오면 더 쉽게 이동한다. 제로 트러스트의 목표는 각 사용자와 디바이스, 애플리케이션이 네트워크 컴포넌트나 기업 리소스에 액세스할 때마다 ...

원격근무 제로트러스트 보안

2022.04.27

작년 여름, ‘리커션 팀(Recursion Team)’이라는 사이버 범죄 조직과 연루된 해커가 경찰로 위장해 애플과 메타에 ‘비상 데이터 요청’ 형태로 고객 데이터를 요구했다. 두 기업 모두 깜빡 속아 요구에 응하고 말았다. 약 3년 전에는 영국에 소재한 애너지 기업의 CEO가 독일에 있는 모기업 CEO로부터 헝가리 공급업체에 25만 달러를 송금하라는 전화를 받고 지시에 따랐다. 알고 보니 모회사의 CEO라던 사람은 딥페이크 오디오 기술을 사용해 다른 사람의 목소리를 변조한 사이버 범죄자였다. 두 해커는 각각 데이터와 돈을 성공적으로 갈취했다. 이들은 모두 신뢰를 악용해 범죄를 저질렀다. 피해자는 해커가 말하는 정보 만을 곧이곧대로 믿었다.     제로 트러스트의 정의 제로 트러스트는 경계 보안에 의존하지 않는 보안 프레임워크이다. 경계 보안은 오래 전부터 보편적으로 사용돼 온 모델로, 기업의 건물이나 방화벽 안에 있는 모든 사람과 사물을 신뢰하는 것은 전제로 한다. 여기서 보안은 경계 밖에 있는 사용자가 내부로 들어오지 못하도록 막는 데 중점을 둔다. ‘제로 트러스트’는 1994년 영국 스털링 대학에서 박사 과정을 밟고 있던 스티븐 폴 마시가 처음 만든 용어이다. ‘탈경계화’라고도 불리는 이 개념은 포레스터 익스텐디드(Forrester eXtended), 가트너의 CARTA 및 NIST 800-207과 같은 가이드라인에서 구체화됐다. 경계 보안의 효용성이 떨어진 데는 여러 가지 이유가 있지만, 이 중에서도 원격 근무의 확산이 대표적이다. 이밖에 모바일 컴퓨팅과 클라우드 컴퓨팅, 갈수록 증가하는 정교한 사이버 공격, 그리고 내부에서 비롯되는 위협 등을 이유로 들 수 있다. 다르게 말하면, 네트워크 경계는 더 이상 존재하지 않는다. 경계가 존재한다고 해도 침해될 수 있다. 해커는 경계 안으로 들어오면 더 쉽게 이동한다. 제로 트러스트의 목표는 각 사용자와 디바이스, 애플리케이션이 네트워크 컴포넌트나 기업 리소스에 액세스할 때마다 ...

2022.04.27

NSTAC 제로 트러스트 보고서에서 주목해야 할 8가지

제로 트러스트에 초점을 둔 여러 자료와 정부 기관의 지침이 쏟아져 나오고 있다. 이제 제로 트러스트에 대한 의심은 설 자리가 없어 보인다. 미국에서는 연방 제로 트러스트 전략(Federal Zero Trust Strategy)이 발표된 직후 미 국가안보통신자문위원회(National Security Telecommunications Advisory Committee, NSTAC)가 ‘제로 트러스트 및 신뢰할 수 있는 ID 관리 보고서(Zero Trust and Trusted Identity Management report)’를 발표했다.   이 보고서에는 민간 분야에서 시작된 제로 트러스트의 역사와 정부 기관에서 꾸준히 내놓고 있는 다양한 제로 트러스트 관련 활동과 지침, 요구사항이 잘 요약돼 있다. 대표적인 것이 ‘행정 명령(Executive Order) 14028 : 국가 사이버보안 개선’이다. 이 행정 명령에 따라 NSTAC는 제로 트러스트 및 신뢰할 수 있는 신원 관리를 포함한 주요 이슈에 초점을 맞추었다.   또한 보고서는 제로 트러스트 구현의 과제와 실현을 위한 조건을 강조했다. 적절한 감독 및 성숙도 지표, 투명성, 그리고 지속적 개선에 집중해야 할 필요성과 같이 모두 연방 정부뿐 아니라 민간 분야에도 적용되는 조건이다. 공공 및 민간 분야의 보안 리더가 NSTAC 보고서에서 주목해야 할 8가지 핵심적인 내용을 정리했다. 1. 제로 트러스트는 장기적, 변혁적 노력이다 가장 중요한 점은 제로 트러스트가 10년 이상의 장기적인 노력을 필요로 하는 변혁적인 활동임을 인식하는 것이다. 제로 트러스트 문화를 이끌고 조직의 기술 시스템 체계를 근본적으로 재설계하는 방대한 작업을 시작하기 위한 산업 및 조직 정책 변화도 필요하다. 제로 트러스트 도입을 고민하는 조직은 하루 아침에 ‘제로 트러스트에 부합하는’ 기업으로 만들어준다는 솔루션 업체의 주장을 접할 때 항상 이 점을 염두에 두어야 한다. 2. 제로 트러스트 지침을 활용하라 제로 ...

제로트러스트 NSTAC 보고서

2022.03.15

제로 트러스트에 초점을 둔 여러 자료와 정부 기관의 지침이 쏟아져 나오고 있다. 이제 제로 트러스트에 대한 의심은 설 자리가 없어 보인다. 미국에서는 연방 제로 트러스트 전략(Federal Zero Trust Strategy)이 발표된 직후 미 국가안보통신자문위원회(National Security Telecommunications Advisory Committee, NSTAC)가 ‘제로 트러스트 및 신뢰할 수 있는 ID 관리 보고서(Zero Trust and Trusted Identity Management report)’를 발표했다.   이 보고서에는 민간 분야에서 시작된 제로 트러스트의 역사와 정부 기관에서 꾸준히 내놓고 있는 다양한 제로 트러스트 관련 활동과 지침, 요구사항이 잘 요약돼 있다. 대표적인 것이 ‘행정 명령(Executive Order) 14028 : 국가 사이버보안 개선’이다. 이 행정 명령에 따라 NSTAC는 제로 트러스트 및 신뢰할 수 있는 신원 관리를 포함한 주요 이슈에 초점을 맞추었다.   또한 보고서는 제로 트러스트 구현의 과제와 실현을 위한 조건을 강조했다. 적절한 감독 및 성숙도 지표, 투명성, 그리고 지속적 개선에 집중해야 할 필요성과 같이 모두 연방 정부뿐 아니라 민간 분야에도 적용되는 조건이다. 공공 및 민간 분야의 보안 리더가 NSTAC 보고서에서 주목해야 할 8가지 핵심적인 내용을 정리했다. 1. 제로 트러스트는 장기적, 변혁적 노력이다 가장 중요한 점은 제로 트러스트가 10년 이상의 장기적인 노력을 필요로 하는 변혁적인 활동임을 인식하는 것이다. 제로 트러스트 문화를 이끌고 조직의 기술 시스템 체계를 근본적으로 재설계하는 방대한 작업을 시작하기 위한 산업 및 조직 정책 변화도 필요하다. 제로 트러스트 도입을 고민하는 조직은 하루 아침에 ‘제로 트러스트에 부합하는’ 기업으로 만들어준다는 솔루션 업체의 주장을 접할 때 항상 이 점을 염두에 두어야 한다. 2. 제로 트러스트 지침을 활용하라 제로 ...

2022.03.15

블로그 | '설사 실패할지라도' 제로 트러스트가 가치 있는 이유

지난해 말 오랜 지인으로부터 보안 관련한 큰 걱정거리가 있다는 말을 들었다. 이 지인이 일하는 기업은 3개의 보안 레이어를 구축했고 감사까지 마쳤는데, 구축 이후 보안 사고가 5건이나 발생했다는 것이다. 사고 대부분은 보안 경계의 내부에서 일어났고 공격자는 보안 체계를 우회한 것으로 나타났다. 그 지인은 무엇이 잘못됐는지 어떻게 이를 바로 잡아야 할지 힘들어했다. 이 기업이 처한 상황은 예외적인 사례가 아니다. 이런 문제가 발생한 원인과 바로 잡는 방법도 절대 간단하지 않다.   흔히 보안이라고 하면 단순한 툴킷을 도입해 달성할 수 있는 목표라고 생각한다. 하지만 그렇지 않다. 보안은 모든 예상할 수 있는 위협을 관리하고 각 위협에 대해 고유의 방법으로 대응하면서 달성하는 일종의 '상태'에 가깝다. 보안 문제는 해커가 기업 외부에서 내부 애플리케이션이나 데이터베이스에 접근하는 권한을 탈취하는 것에서 시작된다. 계정을 훔치거나 취약한 인증을 악용해 권한을 탈튀한다. 애플리케이션이나 미들웨어, 운영체제 프로그램 내부의 보안 취약점이 보안 사고로 이어지기도 한다. 악의적인 행위의 방아쇠 역할을 한다. 악성코드에서 시작된 보안 문제도 있다. 최근에는 이런 원인이 복합적으로 나타나는 비중이 커지고 있다. 이에 따라 필자 지인의 기업을 포함한 많은 기업이 이런 보안 문제를 푸는 방어의 출발점으로 경계 보안(perimeter security)에 주목하고 있다. 경계 보안은 모든 가능한 문제의 원인에 대응하는 것을 의미한다. 그리고 필자 지인의 사례는 보안 원칙 측면에서 몇 가지 시사점을 제시한다. 첫 번째 원칙은 '문을 열어 놓는 한 필요 없는' 보안 벽을 만드는 것이다. 기업 대부분은 직원이 사용하는 기기에 대해 너무 관대하다. 지인 기업의 보안 사고 대부분에서 시작점은 해킹된 노트북이었다. 이런 상황에서 재택근무와 기업 VPN 접속의 확장은 곧 보안의 문제 뿐만 아니라 관리(보안 사고 확인)의 문제로 이어진다. 가능하다면, 업무용 기기는 사적인 목적...

제로트러스트 ZeroTrust

2022.01.20

지난해 말 오랜 지인으로부터 보안 관련한 큰 걱정거리가 있다는 말을 들었다. 이 지인이 일하는 기업은 3개의 보안 레이어를 구축했고 감사까지 마쳤는데, 구축 이후 보안 사고가 5건이나 발생했다는 것이다. 사고 대부분은 보안 경계의 내부에서 일어났고 공격자는 보안 체계를 우회한 것으로 나타났다. 그 지인은 무엇이 잘못됐는지 어떻게 이를 바로 잡아야 할지 힘들어했다. 이 기업이 처한 상황은 예외적인 사례가 아니다. 이런 문제가 발생한 원인과 바로 잡는 방법도 절대 간단하지 않다.   흔히 보안이라고 하면 단순한 툴킷을 도입해 달성할 수 있는 목표라고 생각한다. 하지만 그렇지 않다. 보안은 모든 예상할 수 있는 위협을 관리하고 각 위협에 대해 고유의 방법으로 대응하면서 달성하는 일종의 '상태'에 가깝다. 보안 문제는 해커가 기업 외부에서 내부 애플리케이션이나 데이터베이스에 접근하는 권한을 탈취하는 것에서 시작된다. 계정을 훔치거나 취약한 인증을 악용해 권한을 탈튀한다. 애플리케이션이나 미들웨어, 운영체제 프로그램 내부의 보안 취약점이 보안 사고로 이어지기도 한다. 악의적인 행위의 방아쇠 역할을 한다. 악성코드에서 시작된 보안 문제도 있다. 최근에는 이런 원인이 복합적으로 나타나는 비중이 커지고 있다. 이에 따라 필자 지인의 기업을 포함한 많은 기업이 이런 보안 문제를 푸는 방어의 출발점으로 경계 보안(perimeter security)에 주목하고 있다. 경계 보안은 모든 가능한 문제의 원인에 대응하는 것을 의미한다. 그리고 필자 지인의 사례는 보안 원칙 측면에서 몇 가지 시사점을 제시한다. 첫 번째 원칙은 '문을 열어 놓는 한 필요 없는' 보안 벽을 만드는 것이다. 기업 대부분은 직원이 사용하는 기기에 대해 너무 관대하다. 지인 기업의 보안 사고 대부분에서 시작점은 해킹된 노트북이었다. 이런 상황에서 재택근무와 기업 VPN 접속의 확장은 곧 보안의 문제 뿐만 아니라 관리(보안 사고 확인)의 문제로 이어진다. 가능하다면, 업무용 기기는 사적인 목적...

2022.01.20

하시코프, 제로 트러스트 보안에서 마이크로소프트와 협력 확대

하시코프는 제로 트러스트(Zero Trust) 보안을 위해 마이크로소프트와의 협력을 확대한다고 21일 밝혔다. 하시코프의 보안 원격 액세스 솔루션인 바운더리와 마이크로소프트의 엔터프라이즈 ID 플랫폼인 애저 AD(Azure Active Directory)를 결합하면, 애플리케이션 및 중요 시스템에 쉽게 액세스할 수 있다. 이 솔루션을 통해 조직의 신뢰할 수 있는 ID를 기반으로 세분화된 권한 부여 정책을 수립할 수 있다고 업체 측은 밝혔다. 하시코프와 마이크로소프트는 바운더리 및 애저 AD 간의 긴밀한 통합을 제공함으로써 애저 ID와 대상, 역할 및 사용 권한을 바운더리 환경에 자동으로 원활하게 온보딩할 수 있도록 지원한다. 하시코프의 공동창업자 겸 CTO인 아몬 데드가는 “점점 증가하는 동적 클라우드 환경에서 경계 기반 보안(Perimeter based Security) 및 기존의 권한접근관리(Privileged Access Management) 툴로는 더 이상 충분하지 않다”라며, “이제 제로 트러스트 보안에 부합할 수 있도록 마이크로소프트와 협력하여 클라우드 보안과 제로 트러스트를 선도하는 안전한 원격 액세스 솔루션을 구축했다”라고 밝혔다. 동적 환경에 대한 안전한 원격 액세스 요구는 빠르게 증가하고 있다. 그러나 기업의 프라이빗 네트워크에 대한 보안 액세스를 기반으로 구축된 기존의 솔루션은 단기적인 멀티 클라우드 환경에서는 효과적으로 확장되기 어렵다. 또한 상당히 수동적인 보안 워크플로우에서 구성 및 액세스를 관리해야 하는 오버헤드로 인해 직원들의 생산성이 저하되고, 무분별한 권한 부여의 위험성과 위반 가능성이 높아질 수 있다고 회사 측은 설명했다. 이번 협력을 통해 하시코프의 현대적이고, 간단한 보안 원격 액세스 솔루션을 마이크로소프트의 엔터프라이즈 ID 플랫폼과 결합함으로써 사용자들은 세분화된 권한 부여를 통해 애플리케이션 및 중요 시스템에 빠르고, 쉽게 액세스할 수 있게 됐다. 마이크로소프트의 ID 및 네트워크 액세스 사업부 수 본 ...

하시코프 마이크로소프트 제로트러스트

2021.10.21

하시코프는 제로 트러스트(Zero Trust) 보안을 위해 마이크로소프트와의 협력을 확대한다고 21일 밝혔다. 하시코프의 보안 원격 액세스 솔루션인 바운더리와 마이크로소프트의 엔터프라이즈 ID 플랫폼인 애저 AD(Azure Active Directory)를 결합하면, 애플리케이션 및 중요 시스템에 쉽게 액세스할 수 있다. 이 솔루션을 통해 조직의 신뢰할 수 있는 ID를 기반으로 세분화된 권한 부여 정책을 수립할 수 있다고 업체 측은 밝혔다. 하시코프와 마이크로소프트는 바운더리 및 애저 AD 간의 긴밀한 통합을 제공함으로써 애저 ID와 대상, 역할 및 사용 권한을 바운더리 환경에 자동으로 원활하게 온보딩할 수 있도록 지원한다. 하시코프의 공동창업자 겸 CTO인 아몬 데드가는 “점점 증가하는 동적 클라우드 환경에서 경계 기반 보안(Perimeter based Security) 및 기존의 권한접근관리(Privileged Access Management) 툴로는 더 이상 충분하지 않다”라며, “이제 제로 트러스트 보안에 부합할 수 있도록 마이크로소프트와 협력하여 클라우드 보안과 제로 트러스트를 선도하는 안전한 원격 액세스 솔루션을 구축했다”라고 밝혔다. 동적 환경에 대한 안전한 원격 액세스 요구는 빠르게 증가하고 있다. 그러나 기업의 프라이빗 네트워크에 대한 보안 액세스를 기반으로 구축된 기존의 솔루션은 단기적인 멀티 클라우드 환경에서는 효과적으로 확장되기 어렵다. 또한 상당히 수동적인 보안 워크플로우에서 구성 및 액세스를 관리해야 하는 오버헤드로 인해 직원들의 생산성이 저하되고, 무분별한 권한 부여의 위험성과 위반 가능성이 높아질 수 있다고 회사 측은 설명했다. 이번 협력을 통해 하시코프의 현대적이고, 간단한 보안 원격 액세스 솔루션을 마이크로소프트의 엔터프라이즈 ID 플랫폼과 결합함으로써 사용자들은 세분화된 권한 부여를 통해 애플리케이션 및 중요 시스템에 빠르고, 쉽게 액세스할 수 있게 됐다. 마이크로소프트의 ID 및 네트워크 액세스 사업부 수 본 ...

2021.10.21

'킨더버그가 말하는' 진정한 제로 트러스트 보안을 향한 5단계 구현 방안

제로 트러스트(Zero Trust)는 오랫동안 사이버 공격에서 기업을 보호하기 위한 경계 보안 모델의 논리적 후속 모델이다. 경계 보안 모델은 그다지 기업을 보호하는 데 도움이 되지 않았으며, 직원들이 점점 더 모바일화되고 애플리케이션이 클라우드로 마이그레이션됨에 따라 점점 더 구식으로 밀려나고 있다.    그러나 10여 년 전, 당시 포레스터 분석가였던 존 킨더버그가 제시한 제로 트러스트 모델의 채택은 변화에 대한 두려움과 경계 보안을 새로운 것으로 교체하는 것은 위험하고 복잡하며, 비용이 많이 들 것이라는 우려 때문에 더디게 진행되어 왔다.  지난해, 코로나 19 팬데믹이 세상을 강타하고, 기업의 사무실이 비워지고, 수백만 명의 노동자들이 갑자기 재택근무를 하게 되면서 상황이 바뀌었다. IT 임원들은 원격 근무자가 애플리케이션을 좀 더 쉽게 접근할 수 있도록 서둘러 클라우드로 이동했다. 그런 다음 다중 인증(Multi-Factor Authentication, MFA), 접근 제어, SASE(Secure Access Service Edge)와 같은 제로 트러스트 아키텍처와 일치하는 방법론을 사용해 이런 에지 연결을 보호하려 했다.  포레스터 분석가인 스티브 터너는 기업들이 실제로 제로 트러스트 여정을 시작했다고 말했다. 터너는 “많은 기업 고객이 다시 와서 ‘제로 트러스트로 가려고 하는 데, 할 수 있는 일은 무엇인가?’라고 말한다. 시장에는 제로 트러스트라고 광고하는 많은 솔루션이 있다. 기업은 이런 잡초를 제거하고 다음 단계는 무엇인지 이해하길 원한다”라고 말했다.  제로 트러스트 여정을 시작하면서 비즈니스에 가치를 제공하는 5단계는 다음과 같다.  1단계. 제로 트러스트의 진정한 의미를 파악한다  제로 트러스트라는 용어와 관련된 혼란 가운데 일부는 ‘신뢰(trust)’라는 단어의 사용에서 비롯된다. 현재 매니지드 보안 서비스 제공업체 원투아이티(On2IT) 사이버보안 전략 수석 부...

제로트러스트

2021.10.08

제로 트러스트(Zero Trust)는 오랫동안 사이버 공격에서 기업을 보호하기 위한 경계 보안 모델의 논리적 후속 모델이다. 경계 보안 모델은 그다지 기업을 보호하는 데 도움이 되지 않았으며, 직원들이 점점 더 모바일화되고 애플리케이션이 클라우드로 마이그레이션됨에 따라 점점 더 구식으로 밀려나고 있다.    그러나 10여 년 전, 당시 포레스터 분석가였던 존 킨더버그가 제시한 제로 트러스트 모델의 채택은 변화에 대한 두려움과 경계 보안을 새로운 것으로 교체하는 것은 위험하고 복잡하며, 비용이 많이 들 것이라는 우려 때문에 더디게 진행되어 왔다.  지난해, 코로나 19 팬데믹이 세상을 강타하고, 기업의 사무실이 비워지고, 수백만 명의 노동자들이 갑자기 재택근무를 하게 되면서 상황이 바뀌었다. IT 임원들은 원격 근무자가 애플리케이션을 좀 더 쉽게 접근할 수 있도록 서둘러 클라우드로 이동했다. 그런 다음 다중 인증(Multi-Factor Authentication, MFA), 접근 제어, SASE(Secure Access Service Edge)와 같은 제로 트러스트 아키텍처와 일치하는 방법론을 사용해 이런 에지 연결을 보호하려 했다.  포레스터 분석가인 스티브 터너는 기업들이 실제로 제로 트러스트 여정을 시작했다고 말했다. 터너는 “많은 기업 고객이 다시 와서 ‘제로 트러스트로 가려고 하는 데, 할 수 있는 일은 무엇인가?’라고 말한다. 시장에는 제로 트러스트라고 광고하는 많은 솔루션이 있다. 기업은 이런 잡초를 제거하고 다음 단계는 무엇인지 이해하길 원한다”라고 말했다.  제로 트러스트 여정을 시작하면서 비즈니스에 가치를 제공하는 5단계는 다음과 같다.  1단계. 제로 트러스트의 진정한 의미를 파악한다  제로 트러스트라는 용어와 관련된 혼란 가운데 일부는 ‘신뢰(trust)’라는 단어의 사용에서 비롯된다. 현재 매니지드 보안 서비스 제공업체 원투아이티(On2IT) 사이버보안 전략 수석 부...

2021.10.08

"기본적으로 액세스를 의심하라" 제로 트러스트의 7가지 원칙

제로 트러스트(zero trust)를 정의해 설명한 글이 많다. 원칙, 중추, 토대, 원리 같은 단어가 잔뜩 들어 있었을 것이다. 하지만 여전히 제로 트러스트에 대한 단일한 정의는 없다. 여기서는 NIST(National Institute of Standards and Technology)는 제로 트러스트의 7가지 원칙을 설명한 ‘NIST SP 800-207 제로 트러스트 아키텍처’를 참고해 제로 트러스트의 개념을 살펴보자.     원칙 1. 모든 데이터 소스와 컴퓨팅 서비스는 리소스로 간주한다 엔드포인트 사용자 기기나 서버만을 리소스로 간주하던 시절은 지났다. 오늘날 네트워크는 서버와 엔드포인트 같은 기존 기기부터 사용자 환경의 다른 리소스에 대해 특정 권한 아래 수행되는 FaaS(Function-as-a-service) 같은 클라우드 컴퓨팅 서비스같이 더 동적인 특성을 갖는 여러 기기로 구성된다. 환경의 모든 데이터와 컴퓨팅 리소스에 대해 원칙을 확실히 해야 한다. 여기에 가능하다면 고급 인증 통제책, 최소 권한 액세스 제어 체계를 적용하는 것이 좋다. 이들 리소스는 다음에서 살펴볼 원칙과 연결되는데, 제로 트러스트의 설계적 요소에 따라 의사결정을 하는 데 도움이 되는 ‘신호’를 제공한다. 이에 대해서는 7번째 원칙에서 다시 알아본다.   원칙 2. 네트워크 위치와 관계없이 모든 통신을 안전하게 만든다. 제로 트러스트 환경에는 ZTNA(Zero Trust Network Access) 개념을 적용한다. 이는 사용자가 VPN에 인증한 후 네트워크 내부에서, 또는 여러 네트워크에서 자유로운 액세스 권한을 갖는 기존의 원격 액세스 패러다임과 대비되는 개념이다. ZTNA 환경에서 액세스 정책의 기본값은 ‘거부’다. 특정 리소스에 대한 액세스가 명시적으로 승인돼야 한다. 더 나아가, ZTNA 환경의 사용자가 기존에 액세스를 명시적으로 승인받지 않았다면 환경 내부의 애플리케이션과 서비스를 인식할 수도 없다. 코로나 팬데믹으로...

제로트러스트

2021.08.02

제로 트러스트(zero trust)를 정의해 설명한 글이 많다. 원칙, 중추, 토대, 원리 같은 단어가 잔뜩 들어 있었을 것이다. 하지만 여전히 제로 트러스트에 대한 단일한 정의는 없다. 여기서는 NIST(National Institute of Standards and Technology)는 제로 트러스트의 7가지 원칙을 설명한 ‘NIST SP 800-207 제로 트러스트 아키텍처’를 참고해 제로 트러스트의 개념을 살펴보자.     원칙 1. 모든 데이터 소스와 컴퓨팅 서비스는 리소스로 간주한다 엔드포인트 사용자 기기나 서버만을 리소스로 간주하던 시절은 지났다. 오늘날 네트워크는 서버와 엔드포인트 같은 기존 기기부터 사용자 환경의 다른 리소스에 대해 특정 권한 아래 수행되는 FaaS(Function-as-a-service) 같은 클라우드 컴퓨팅 서비스같이 더 동적인 특성을 갖는 여러 기기로 구성된다. 환경의 모든 데이터와 컴퓨팅 리소스에 대해 원칙을 확실히 해야 한다. 여기에 가능하다면 고급 인증 통제책, 최소 권한 액세스 제어 체계를 적용하는 것이 좋다. 이들 리소스는 다음에서 살펴볼 원칙과 연결되는데, 제로 트러스트의 설계적 요소에 따라 의사결정을 하는 데 도움이 되는 ‘신호’를 제공한다. 이에 대해서는 7번째 원칙에서 다시 알아본다.   원칙 2. 네트워크 위치와 관계없이 모든 통신을 안전하게 만든다. 제로 트러스트 환경에는 ZTNA(Zero Trust Network Access) 개념을 적용한다. 이는 사용자가 VPN에 인증한 후 네트워크 내부에서, 또는 여러 네트워크에서 자유로운 액세스 권한을 갖는 기존의 원격 액세스 패러다임과 대비되는 개념이다. ZTNA 환경에서 액세스 정책의 기본값은 ‘거부’다. 특정 리소스에 대한 액세스가 명시적으로 승인돼야 한다. 더 나아가, ZTNA 환경의 사용자가 기존에 액세스를 명시적으로 승인받지 않았다면 환경 내부의 애플리케이션과 서비스를 인식할 수도 없다. 코로나 팬데믹으로...

2021.08.02

블로그 | 클라우드 보안 문제 대부분이 시작되는 곳

포네몬(Ponemon)과 IBM의 공동 조사에 따르면, 잘못 구성된 클라우드 서버가 데이터 침해 사고의 19%를 유발했다. 데이터 사고 한 건마다 평균 50만 달러의 비용이 든다는 점에서 값비싼 문제이다. 더구나 이 비용에는 회사를 무너뜨릴 수도 있는 평판 손상은 포함되지도 않았다.    요즘은 코로나19 팬데믹 때문에 많은 사람이 집에서 일을 하고, 그래서 클라우드 컴퓨팅을 더 많이 이용한다. 덕분에 클라우드의 부가적인 이점도 얻을 수 있는데, 클라우드는 온프레미스 플랫폼보다 좀 더 현대적인 보안 도구를 제공한다는 것이다. 이 때문에 글로벌 2000대 기업은 발 빠르게 퍼블릭 클라우드를 도입하고 있다. 이런 급격한 마이그레이션은 바로잡아야 하는 실수를 낳았다. 전환의 속도가 신중함보다 더 중요했기 때문이다.  하지만 전혀 새로운 것이거나 팬데믹 이전에는 드물었던 문제는 아니다.  클라우드로의 급격한 전환이 야기하는 문제의 근본 원인은 무엇일까? 잘못된 구성의 수를 줄일 방법은 없는가? 필자는 좀 더 구체적인 흔적이나 공통된 실수를 찾아내고 싶었지만, 실제로는 인간이 오류투성이에 종잡을 수 없다는 것이 근본 원인이다. 발생하는 실수를 줄일 수는 있겠지만, 완전히 없앨 수는 없다.  제로 트러스트 개념이 해답이 될 수 있다. 제로 트러스트의 근간은 말 그대로 아무도 아무것도 믿지 않는 것이다. 모든 사람, 모든 것은 검증해야 하며, 종종 잘못 구성되는 클라우드 서비스도 마찬가지다. 모든 것이 지속적으로 재검증을 받기 때문에 데이터 사고의 위험은 낮아지고 보안은 더욱 더 엄격해진다. 사람이 클라우드 자원과 서비스를 제대로 구성한다면, 약 20%의 잘못된 설정으로 인한 보안 위험을 제거할 수 있다. 신뢰의 개념을 사람에 적용한다면, 절대로 신뢰해서는 안되는 존재로 정의해야 한다.  지금의 기술력은 모든 보안을 자동화할 수 있는 수준에 이르렀다. 환경 구성을 점검하고 자주 재점검하고 ID와 암호화, 키...

제로트러스트 실수 침해 마이그레이션 클라우드 보안

2021.06.01

포네몬(Ponemon)과 IBM의 공동 조사에 따르면, 잘못 구성된 클라우드 서버가 데이터 침해 사고의 19%를 유발했다. 데이터 사고 한 건마다 평균 50만 달러의 비용이 든다는 점에서 값비싼 문제이다. 더구나 이 비용에는 회사를 무너뜨릴 수도 있는 평판 손상은 포함되지도 않았다.    요즘은 코로나19 팬데믹 때문에 많은 사람이 집에서 일을 하고, 그래서 클라우드 컴퓨팅을 더 많이 이용한다. 덕분에 클라우드의 부가적인 이점도 얻을 수 있는데, 클라우드는 온프레미스 플랫폼보다 좀 더 현대적인 보안 도구를 제공한다는 것이다. 이 때문에 글로벌 2000대 기업은 발 빠르게 퍼블릭 클라우드를 도입하고 있다. 이런 급격한 마이그레이션은 바로잡아야 하는 실수를 낳았다. 전환의 속도가 신중함보다 더 중요했기 때문이다.  하지만 전혀 새로운 것이거나 팬데믹 이전에는 드물었던 문제는 아니다.  클라우드로의 급격한 전환이 야기하는 문제의 근본 원인은 무엇일까? 잘못된 구성의 수를 줄일 방법은 없는가? 필자는 좀 더 구체적인 흔적이나 공통된 실수를 찾아내고 싶었지만, 실제로는 인간이 오류투성이에 종잡을 수 없다는 것이 근본 원인이다. 발생하는 실수를 줄일 수는 있겠지만, 완전히 없앨 수는 없다.  제로 트러스트 개념이 해답이 될 수 있다. 제로 트러스트의 근간은 말 그대로 아무도 아무것도 믿지 않는 것이다. 모든 사람, 모든 것은 검증해야 하며, 종종 잘못 구성되는 클라우드 서비스도 마찬가지다. 모든 것이 지속적으로 재검증을 받기 때문에 데이터 사고의 위험은 낮아지고 보안은 더욱 더 엄격해진다. 사람이 클라우드 자원과 서비스를 제대로 구성한다면, 약 20%의 잘못된 설정으로 인한 보안 위험을 제거할 수 있다. 신뢰의 개념을 사람에 적용한다면, 절대로 신뢰해서는 안되는 존재로 정의해야 한다.  지금의 기술력은 모든 보안을 자동화할 수 있는 수준에 이르렀다. 환경 구성을 점검하고 자주 재점검하고 ID와 암호화, 키...

2021.06.01

'혁신을 품은 샛별'··· 유망 사이버보안 스타트업 8곳

멀티클라우드 보안, ID 관리, 제로 트러스트 등 보안과 관련한 중요 이슈를 해결하려는 보안 스타트업들이 있다. 그중 눈길을 끄는 8곳을 소개한다.  사이버보안의 새로운 트렌드를 알고 싶다면, 보안 스타트업들이 하고 있는 사업을 보면 된다. 이들은 혁신적인 아이디어를 갖고서 사업을 시작하며, 다들 알고 있는 주류 접근법에 구애받지 않는다. 스타트업들은 아무도 해결하지 않는 문제에 종종 천착하곤 한다.    ​물론 그만큼 한계도 있다. 스타트업은 자원과 성숙도가 부족하다. 한 기업이 스타트업 한 곳의 제품이나 플랫폼만 사용하는 것은 위험한 일이다. 그래서 기업은 여러 유형의 고객사 및 스타트업과 관계를 맺어야 한다. 하지만 기업이 한 스타트업을 통해 경쟁 우위를 제공받거나 보안 문제를 해결할 경우 막대한 보상을 얻을 수 있다.  (지난 2년 내에 설립된 곳이거나 스텔스 모드를 벗어난 곳 중에서) 가장 눈길을 끄는 스타트업 몇 군데를 아래와 같이 정리했다.  앱노멀 시큐리티 2019년 설립된 앱노멀 시큐리티(Abnornal Security)는 행동 데이터 과학을 사용해 이메일 공격을 식별하고 방지하는 클라우드 네이티브 이메일 보안 플랫폼을 제공한다. 이 회사는 AI 기반 접근법을 바탕으로 사용자 행동, 조직 구조, 관계, 비즈니스 프로세스를 분석해 사이버공격을 암시하는 비정상적인 활동을 파악하는 데 도움을 준다.  앱노멀의 이메일 보안 플랫폼은 비즈니스 이메일 손상, 공급망 공격, 송장 사기, 크레덴셜 피싱 및 이메일 계정 손상을 예방한다. 또한 사고 대응을 자동화할 수 있는 도구를 제공하며 MS 오피스 365, 지스위트, 슬랙과 같은 엔터프라이즈 플랫폼과 통합할 수 있는 클라우드 네이티브 API를 제공한다.  아피로 아피로(Apiiro)는 2020년 스텔스 모드에서 벗어났다. 공동 설립자겸 CEO인 이단 플로닉은 블로그를 통해 자사의 데브섹옵스 플랫폼이 보안 개발 라이프사이클을 "수동적이...

멀티클라우드 스타트업 사이버보안 제로트러스트 ID 관리

2021.05.06

멀티클라우드 보안, ID 관리, 제로 트러스트 등 보안과 관련한 중요 이슈를 해결하려는 보안 스타트업들이 있다. 그중 눈길을 끄는 8곳을 소개한다.  사이버보안의 새로운 트렌드를 알고 싶다면, 보안 스타트업들이 하고 있는 사업을 보면 된다. 이들은 혁신적인 아이디어를 갖고서 사업을 시작하며, 다들 알고 있는 주류 접근법에 구애받지 않는다. 스타트업들은 아무도 해결하지 않는 문제에 종종 천착하곤 한다.    ​물론 그만큼 한계도 있다. 스타트업은 자원과 성숙도가 부족하다. 한 기업이 스타트업 한 곳의 제품이나 플랫폼만 사용하는 것은 위험한 일이다. 그래서 기업은 여러 유형의 고객사 및 스타트업과 관계를 맺어야 한다. 하지만 기업이 한 스타트업을 통해 경쟁 우위를 제공받거나 보안 문제를 해결할 경우 막대한 보상을 얻을 수 있다.  (지난 2년 내에 설립된 곳이거나 스텔스 모드를 벗어난 곳 중에서) 가장 눈길을 끄는 스타트업 몇 군데를 아래와 같이 정리했다.  앱노멀 시큐리티 2019년 설립된 앱노멀 시큐리티(Abnornal Security)는 행동 데이터 과학을 사용해 이메일 공격을 식별하고 방지하는 클라우드 네이티브 이메일 보안 플랫폼을 제공한다. 이 회사는 AI 기반 접근법을 바탕으로 사용자 행동, 조직 구조, 관계, 비즈니스 프로세스를 분석해 사이버공격을 암시하는 비정상적인 활동을 파악하는 데 도움을 준다.  앱노멀의 이메일 보안 플랫폼은 비즈니스 이메일 손상, 공급망 공격, 송장 사기, 크레덴셜 피싱 및 이메일 계정 손상을 예방한다. 또한 사고 대응을 자동화할 수 있는 도구를 제공하며 MS 오피스 365, 지스위트, 슬랙과 같은 엔터프라이즈 플랫폼과 통합할 수 있는 클라우드 네이티브 API를 제공한다.  아피로 아피로(Apiiro)는 2020년 스텔스 모드에서 벗어났다. 공동 설립자겸 CEO인 이단 플로닉은 블로그를 통해 자사의 데브섹옵스 플랫폼이 보안 개발 라이프사이클을 "수동적이...

2021.05.06

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9