임베디드 오픈소스 라이브러리의 취약점을 악용하는 소프트웨어 공급망 공격은 지난 2020년 무려 430% 증가했다. 2021년에는 더욱더 악화돼 650% 늘어났다. 물론 사이버 보안 전문가에게 새로운 소식은 아니다. 어쨌든 ‘사이버’는 관리할 수 없는 극도의 복잡성을 특징으로 하는 영역이다. 사고 분석처럼 간단해 보이는 일이라도 많은 플랫폼과 도구에서 데이터 및 로그를 수집해야 한다.  증가하는 사이버 보안 공격에 효과적으로 대처하려면 실제 규모에서 연결을 상호 연관시키고 분석할 수 있는 고급 데이터 솔루션이 필요하다. 그리고 마침내 좋은 소식이 있다. 바로 그래프 기반 방어를 적용하는 것이다.    기존에는 소프트웨어 도구의 경고 및 로그를 주로 사용했다. 문제는 이러한 접근 방식을 활용하면 시스템에 관한 전체적인 관점을 얻지 못하고, 사각지대가 생성될 수 있다는 점이다.  이와 동시에 공격자는 기회주의적이기 때문에 아무리 작더라도 취약점을 탐지한 다음 이를 악용하여 더 많은 네트워크에 액세스할 수 있다. 아울러 사용자의 네트워크를 그래프로 생각해 공격을 시도한다. 이를테면 한 노드에 액세스할 수 있으면 해당 노드에서 공격 그래프를 만들 수 있으며, 가장 중요한 시스템과 데이터를 향해 느리지만 은밀하게 작업할 수 있다.  강력한 사이버 보안 적합성 그렇다. 우리는 더 똑똑해지고 (공격자를) 본받을 필요가 있다. 안될 이유가 있을까? 그래프 기술은 IT 인프라 및 보안 도구의 복잡성을 쉽게 포착한다. 특히 그래프는 네트워크 및 사이버 수준에서 데이터를 처리하는 가장 자연스러운 방법이다. 현실 세계를 정확하게 표현(high-fidelity)하는 모델을 제공하기 때문이다. 그래프 데이터 모델은 엔터티와 그 관계의 복잡한 네트워크를 나타내며, 테이블과 같은 기존 표현으로는 감지하기 어려운 패턴을 찾아낸다. 관계형 테이블은 데이터 수집 및 처리하는 데 유용하지만 데이터 요소 간의 관계를 놓친다.  또한 ...

2022.09.06

산업 시스템 공격이 증가하고 있지만 이러한 시스템을 보호하기 위한 보안은 계속 뒤처지고 있다.  클라우드 보안 회사 바라쿠다(Barracuda)가 의뢰해 실시한 설문조사 결과에 따르면 전체 응답자의 94%가 지난 12개월 동안 산업용 IoT(IIoT) 또는 운영 기술(OT) 시스템 공격을 경험한 것으로 나타났다.    ‘2022 산업 보안 현황(The State of Industrial Security in 2022)’은 산업 시스템을 담당하는 고위 IT 및 보안 책임자를 대상으로 설문조사를 실시하고, 그 결과를 정리한 바라쿠다의 보고서다.  바라쿠다의 데이터 보호, 네트워크, 애플리케이션 보안 부문 수석 부사장 팀 제퍼슨은 “현 위협 환경에서 중요 인프라는 사이버 범죄자에게 매력적인 표적이다. 하지만 안타깝게도 IIoT/OT 보안 프로젝트는 다른 보안 이니셔티브에 밀리거나, 비용이나 복잡성으로 인해 실패하여 기업을 위험에 빠뜨리게 된다”라고 말했다.  지정학적 긴장 고조  솔라윈즈 공격 그리고 지난달 리투아니아를 표적으로 한 러시아의 디도스 공격 등 최근의 공격 사례는 산업 시스템을 노리는 국가 지원 공격(nation state-backed attacks)에 관한 우려를 불러일으켰다. 그 결과 전체 응답자의 89%가 현 지정학적 상황을 매우 또는 상당히 우려하고 있는 것으로 조사됐다.  콘스텔레이션 리서치의 애널리스트 리즈 밀러는 “러시아의 우크라이나 침공은, 이 전쟁이 사이버 공간으로 진입할 경우 IIoT 기기의 취약점이 주요 표적이 되리라 예상됐기 때문에 전 세계를 긴장시켰다”라고 언급했다.  뒤처진 제조 및 의료 산업  바라쿠다의 보고서에 의하면 전체 응답자의 93%는 소속 기업이 IIoT/OT 보안 프로젝트에서 실패했으며, 그 원인으로 인력과 도구의 부족을 꼽았다. 또 이번 설문조사에 참여한 기업의 18%만이 네트워크 액세스를 제한하고, MFA(다중 요소 인증...

2022.07.13

사이버 보안 업체 소포스(Sophos)의 아시아 태평양 지역 수석 부사장 개빈 스트러더스가 글로벌 및 아시아 태평양 지역의 랜섬웨어 트렌드와 경계 강화의 필요성을 논의했다.  사이버 위협 환경이 갈수록 나빠지고 있다. 전 세계 31개국 IT 전문가 5,600명을 대상으로 한 설문조사 결과를 담은 소포스의 ‘2022 랜섬웨어 현황(The State of Ransomware 2022)’에 따르면 전체 응답 기업의 72%가 지난해 사이버 공격의 규모, 복잡성, 영향이 증가했다고 밝혔다.    랜섬웨어만 놓고 보면 전체 응답 기업의 66%가 피해를 입었다고 말했다. 전년도 37%에서 크게 증가한 수치다. 팬데믹에 따른 디지털화와 재택근무가 그 원인으로 추정된다. 아울러 이 걱정스러운 증가세의 또 다른 원인으로는 ‘서비스형 랜섬웨어(RaaS)의 인기’가 꼽혔다. 랜섬웨어 공격을 받았다고 답한 기업의 약 3분의 2(65%)는 공격의 마지막 단계인 데이터 암호화를 당했다고 말했다.  아시아 태평양 지역에서는 기업의 72%가 랜섬웨어 공격을 받았으며, 이 공격의 72%가 데이터 암호화로 이어졌다. 10곳의 회사 중 9곳은 랜섬웨어 공격이 비즈니스 운영에 영향을 미쳤다고 말했다. 데이터를 되찾기 위해 몸값을 지불했다고 밝힌 비율은 인도(78%)에서 가장 높았으며, 전 세계에서는 기업 2곳 중 1곳 미만이 몸값을 지불한다고 밝혔다.  지역 분석 스트러더스는 인도가 몸값을 지불했다고 답한 비율이 가장 높은 이유는 데이터 백업 시스템이 제대로 갖춰져 있지 않아 취약하기 때문이라고 진단했다. 두 번째 이유는 랜섬웨어 공격이 보편화되면서 많은 기업이 강화된 방어 수단을 갖추고 몸값 지불을 중단했기 때문이라고 그는 덧붙였다. 이로 인해 범죄자들은 기업의 데이터를 다크웹에 유출하겠다고 위협하는 등의 갈취를 하고 있다. 스트러더스에 의하면 인도 기업들은 브랜드와 고객의 개인정보를 침해할 수 있다는 두려움 때문에 더 빠르게 돈을 지불하는...

2022.07.12

美 연방수사국(FBI), 사이버보안국(CISA), 재무부가 ‘마우이’라고 알려져 있는 랜섬웨어에 관한 사이버 보안 경고를 발령했다. 기관들은 북한의 국영 사이버 범죄자가 적어도 2021년 5월부터 이 맬웨어를 사용하여 의료 및 공중보건 부문 조직을 공격해 왔다고 밝혔다.  FBI는 해당 위협 행위자가 의료기관을 노리고 있다고 추정했다. 인간의 생명과 건강을 다루는 의료기관이 의료 서비스 중단 위험을 감수하기보다는 몸값을 지불할 가능성이 높기 때문이다. 이러한 이유로 국가에서 후원받는 행위자가 계속해서 의료기관을 표적으로 삼을 것이라고 기관 측은 말했다.    연방기관들이 주의보를 발령한 한편, 위협 사냥, 탐지, 대응 회사 스테어웰(Stairwell)은 블로그에 마우이 분석 보고서를 게시했다. 이 회사의 수석 리버스 엔지니어 사일러스 커틀러에 따르면 “마우이는 복구 지침을 제공하는 내장형 랜섬노트 또는 공격자에게 암호화 키를 전송하는 자동화된 수단 등 RaaS 업체의 도구에서 일반적으로 볼 수 있는 몇 가지 기능이 없다. 그 대신 마우이는 수동으로 작동하며, 운영자는 실행 시 암호화할 파일을 지정한 다음 결과 런타임 아티팩트를 추출하는 것으로 보고 있다.” 마우이 랜섬웨어는 최신 엔드포인트 보호를 우회할 수 있다 보안 컨설팅 회사 라레스 컨설팅(Lares Consulting)의 적대적 엔지니어링 부문 책임자 팀 맥거핀은 마우이 갱단에서 사용하는 접근법이 상당히 드문 방식이라고 언급했다. 그는 “시스템 전체에서 자동화된 랜섬웨어를 경고하고 제거하는 최신 엔드포인트 보호 및 카나리아 파일을 우회할 수 있는 방법이다”라고 말했다.  이어 “무작위로 흩뿌려 놓고 누군가 걸리길 바라는 ‘스프레이 앤 프레이(spray-and-pray)’ 방식의 랜섬웨어와 비교할 때 특정 파일을 표적으로 삼아 공격자가 훨씬 더 전술적인 방식으로 민감한 항목과 유출할 항목을 선택할 수 있다”라면서, “이는 중요한 파일만 표적으로 삼고 복구할 수 ...

2022.07.11

마이크로소프트(Microsoft)와 마시(Marsh)의 최신 보고서에 따르면 아시아 기업의 12%만이 사이버 위협의 재정적 영향을 정량화했으며, 이는 전 세계 평균(26%)의 절반에도 못 미치는 수치다.   마이크로소프트 그리고 위험 자문 회사 마시가 공동으로 실시한 설문조사 결과에 의하면 아시아 보안 리더의 3분의 2 이상(69%)이 소속 기업의 사이버 보안 복원력을 확신하고 있으며, 48%는 이를 개선해야 한다고 답했다.    이어 사이버 복원력 현황 보고서(The State of Cyber Resilience)의 아시아판은 아시아 기업이 훨씬 더 많은 수의 개인정보 침해(28%)와 서비스 거부 공격(21%)을 경험했다고 밝혔다. 글로벌 기업은 각각 18%와 14%였다.  아시아 기업은 ‘개인정보 침해 또는 데이터 손실(68%)’을 가장 큰 보안 문제로 봤고, 전 세계적으로는 ‘랜섬웨어(79%)’가 꼽혔다. 따라서 데이터 손실은 사이버 위험 관리 전략에 반영 및 해결돼야 하는 중요한 문제라고 보고서는 말했다. 글로벌과 달리 아시아에서는 58%만이 랜섬웨어를 가장 큰 사이버 보안 문제라고 지목했다.  올해 초 IBM 시큐리티(IBM Security)의 보고서에 의하면 랜섬웨어는 전체 사이버 공격의 20%를 차지하는 글로벌 공격 유형 1위로 조사됐다. 랜섬웨어의 주요 감염 경로는 피싱 및 취약점 익스플로잇이었다.  아시아 기업은 보안에 수동적인 접근 방식을 취하고 있다 보고서는 아시아 기업이 사이버 보안 사고 대응과 관련해 주로 ‘사후 평가’에 초점을 맞춘 수동적인 접근 방식을 취하고 있다고 밝혔다. 아시아 기업 3곳 중 1곳(34%)은 핵심 보험 요건인 ‘엔드포인트 탐지 및 대응’이 없다고 답했다. 또 26%는 지난 12개월 동안 기기를 개선하지 않았다고 말했다. 이렇게 답한 비율이 글로벌에서는 9%에 불과했다.  아울러 아시아 기업의 3분의 1 이상(35%)은 사이버 공격이나 사고가...

2022.07.06

많은 보안 전문가 사이에는 자신이 소속 기업의 ‘수호자’라는 점에서 특별하다는 믿음이 있다. 만약 그렇지 않다면 회사는 끔찍한 방식으로 붕괴되고 불타버릴 것이라고 생각한다. 또 침해가 만연하고 데이터가 곳곳에서 도난당할 것이라고 생각한다. 클라우드 환경은 적으로 가득 차 있다. 엔터프라이즈 시스템은 랜섬웨어에 잠식될 수 있다. 보안 전문가의 영웅적인 노력이 없다면 이런 일은 항상 일어날 것이다!    보안 전문가가 수호자일 수 있지만 보안 전문가만 그런 건 아니다. 데브옵스 팀도 항상 안정성을 방어한다. 변호사도 법적 책임에서 (회사를) 보호한다. 제품 관리팀과 영업팀도 급여를 보호한다(오히려 진정한 영웅이 아닐까?). 영웅 역할이 되려면 다른 역할도 있어야 한다. 이를테면 어떤 사람은 ‘악역’이 돼야 하고(예: 완벽하지 않은 제품을 감히 출시하는 악덕 제품 관리자 또는 모든 구성요소를 패치하면서 기능 파이프라인을 중단하지 않는 부주의한 엔지니어링 관리자 등), 다른 사람은 선택의 여지없이 ‘희생자’가 돼야 한다(예: 링크를 클릭하는 불행한 사용자 또는 리스크 관련 의사결정을 제대로 내리지 못하는 경영진 등).  그리곤 자신이 악역 또는 희생자보다 훨씬 더 많이 알고 있다고 생각하기 때문에 모두를 무시하기 시작한다. 전혀 사실이 아니다. 정보보안 전문가는 고도로 전문화된 지식을 가지고 있긴 하지만 대부분은 여전히 회사가 어떻게 돈을 버는지는 이해하지 못한다. 마지막으로 담당했던 프로젝트를 떠올려보자. 갑자기 기득권도 없고, 이해관계도 없는 누군가가 이상한 조언을 했다고 해보자. 이론적으로 또는 적어도 다른 상황에서는 해당 조언이 효과적일지 몰라도 현 프로젝트에서는 아니었다. 이것이 바로 비즈니스 파트너가 종종 정보보안 전문가를 바라보는 관점이다. 즉, 자신의 조언이 얼마나 유용하지 않은지 판단할 실질적인 경험이 없는 오만한 전문가다.  조력자가 돼라  자신을 영웅으로 생각하는 대신 조력자로 생각할 때다(원...

2022.07.05

지난주 마이크로소프트가 우크라이나 침공과 함께 시작된 러시아의 사이버 공격을 심층 조사한 결과를 발표했다. 이는 러시아의 악의적인 사이버 활동과 관련된 신선한 인사이트 그리고 전쟁을 둘러싼 교묘하고 광범위한 사이버 심리전의 새로운 세부사항을 담고 있다.  마이크로소프트의 사장 브래드 스미스는 지난 3월 이 회사가 인도주의적 기술 구호 활동에 자금을 지원하는 것 외에도, 우크라이나 정부 시스템의 사이버 보안 취약점을 식별하기 위해 ‘리스크IQ(RiskIQ)’ 플랫폼을 구축했다고 밝혔다. 이어 “공격자에게 발판을 제공할 수 있는, 즉 패치되지 않았으며 치명적인 CVE(Common Vulnerability and Exposure)가 있는 취약한 시스템 목록을 우크라이나 정부에 제공했다”라고 덧붙였다.  또한 이보다 앞선 1월 마이크로소프트의 보안 전문가는 약 70개의 우크라이나 정부 웹사이트를 다운시켰던 사전 침입 맬웨어 공격을 가장 먼저 발견했다. 이에 따라 새로 발견된 맬웨어 보호 기능을 마이크로소프트 365 디펜더 엔드포인트 보호(Microsoft 365 Defender Endpoint Detection)에, 안티바이러스 보호 기능을 온프레미스 및 클라우드에 배포했다.    스미스는 이번 보고서의 서문에서 어떤 전쟁이든 첫 방아쇠가 중요하다고 언급하며, 현 우크라이나 침공과 제1차 세계대전을 촉발시킨 1914년 오스트리아-헝가리의 황태자 프란츠 페르디난트 암살사건 사이에 유사점이 있다고 말했다. 러시아의 첫 공격은 전쟁이 시작되기 직전인 2월 23일, 우크라이나의 정부 및 금융기관을 타깃으로 한 폭스블레이드(Foxblade)라는 데이터 삭제 기능을 가진 맬웨어였다.  그는 “러시아의 우크라이나 침공 전략은 3가지로 구분된다. 1) 우크라이나 내부를 노린 사이버 공격, 2) 우크라이나 외부에서의 네트워크 침투 및 간첩 활동, 3) 전 세계 사람을 대상으로 하는 사이버 심리전이다”라고 전했다. 러시아 공격의 ...

2022.06.30

개념증명(PoC) 익스플로잇이 발생하면 원드라이드 또는 셰어포인트에 저장된 오피스 365 또는 마이크로소프트 365 문서에 액세스하지 못하게 될 수 있다.  프루프포인트(Proofpoint) 연구진에 따르면 클라우드에 호스팅되는 문서가 랜섬웨어 공격자의 손이 닿지 않는 곳에 있고(랜섬웨어 공격은 전통적으로 엔드포인트 또는 네트워크 드라이브의 데이터를 타깃으로 삼았다), 아울러 클라우드 서비스의 자동 백업 기능으로 (랜섬웨어 공격자의) 암호화가 통하지 않을 수 있지만 그렇다 하더라도 기업들을 난관에 봉착하게 만드는 방법은 여전히 존재한다.  연구진은 오피스 365와 마이크로소프트 365 클라우드에서 마이크로소프트 원드라이브 및 셰어포인트 온라인 서비스의 문서 버전 설정을 악용하는 개념증명 공격 시나리오를 발견했다고 밝혔다. 이러한 서비스는 API를 통해 대부분의 기능에 액세스할 수 있기 때문에 명령줄 인터페이스와 파워셸 스크립트를 사용하여 이 잠재적인 공격을 자동화할 수도 있다고 회사 측은 덧붙였다.  문서 버전 수 줄이기 프루프포인트에 의하면 공격 체인은 해커가 1개 이상의 셰어포인트 온라인 또는 원드라이브 계정을 손상시키는 것으로 시작된다. 이는 피싱이나, 사용자 컴퓨터에 맬웨어를 감염시킨 다음 인증된 세션을 하이재킹하거나, 오쓰(OAuth)를 통해 서드파티 애플리케이션에 계정 액세스 권한을 부여하도록 사용자를 속이는 등 다양한 방법으로 이뤄질 수 있다.    이를 통해 공격자는 계정이 손상된 사용자의 모든 문서에 액세스할 수 있게 된다. 셰어포인트에서 이를 문서 라이브러리라고 하며, 기본적으로 여러 문서와 해당되는 메타데이터를 저장할 수 있는 목록이다. 원드라이브와 셰어포인트의 한 가지 문서 기능은 편집할 때마다 자동 저장 기능에서 사용되는 파일 버전 관리다. 기본적으로 문서에는 최대 500개의 버전이 있을 수 있지만 이 설정은 하나의 버전으로만 구성할 수 있다.  연구진은 “셰어포인트 온라인...

2022.06.17

보안이 비즈니스 목표 달성에 어떻게 도움을 주는지 보여주는 것은 2단계 프로세스로 이뤄진다. 첫째, 비즈니스 언어로 말해야 하고, 둘째, 가치 창출을 입증하는 비용-편익 분석을 수행해야 한다.  사이버 보안 리더들 사이에서 흔하게 하는 말이 있다. ‘비즈니스와 정렬하는 법을 배워야 한다(We have to learn to align with the business)’라는 것이다. 안타깝게도, 사이버 보안 부분의 리더들은 많은 시간을 비즈니스가 ‘사이버 보안과 정렬’되도록 하는 데 쓰고, 그렇게 되지 않을 때 좌절감을 느끼는 듯하다.    ‘그렇게 되지 않는’ 이유는 비즈니스 부문처럼 말하려고 하지 않거나 또는 그렇게 말할 수 없기 때문이다. 현실은 사이버 보안이 비용 센터(Cost Center), 즉 소위 말해서 돈만 축내는 곳이라는 점이다. 게다가 그 가치를 인지시키기가 매우 어려울 수 있는 비용 센터이기도 하다.  사이버 보안을 비즈니스에 정렬하는 2단계  기본적인 수준에서 사이버 보안을 비즈니스와 정렬하는 것은 2단계 프로세스로 이뤄진다. 비즈니스 언어를 이해하는 게 첫 번째다. 모든 기업의 공통어는 재무다. 이는 사이버 보안 리더들의 가장 큰 과제가 될 수 있다. 대부분의 산업에는 자체적인 비용 효율성 측정 방법이 있다. 예를 들면 소매업의 단위 면적당 매출액, 의료업의 환자당 치료 비용 등이다. 사이버 보안에서도 다른 비즈니스 부문 또는 사업부처럼 행동해야 한다.  두 번째는 이익이 아닌 가치 방식으로 편익-비용 분석과 ROI를 결정하는 방법 및 측정 기준을 개발하는 것이다. 활동기준원가계산(ABC) 등을 사용하여 비용을 계산하고, 손익 분기점 분석을 활용하여 투자를 평가하는 것으로 시작할 수 있다. 이는 지출 금액을 결정하고 투자가 ‘그럴 만한 가치가 있는지’ 정성적으로 판단하는 것만큼이나 간단할 수 있다.  아울러 이 지점에서 (감소시키고자 하는) 위험의 하한선에 도달하게 된...

2022.05.30

클라우드 보안에 관한 인사이트가 있는가? 다음은 비즈니스 리더가 물어야 하고, 클라우드 보안 팀이 답해야 하는 9가지 질문이다.  사이버 보안 전문가가 클라우드 인프라와 애플리케이션을 노리는 해커를 퇴치하기 위해 필요한 지식을 얻으려면 조지 S. 패튼 장군(정확하게는 1970년 영화 <패튼 대전차군단(Patton)>에서 패튼 장군을 연기해 아카데미 남우주연상을 수상한 배우 조지 C. 스콧처럼) 생각해야 한다(편집자 주: 조지 S. 패튼은 제2차 세계 대전에서 맹활약을 펼친 장군이다). 이 영화 초반의 한 장면에서 패튼 장군은 적군이 쓴 책(독일 장군 에르빈 롬멜)의 책을 읽고 있다. 이는 그가 군사 정보만 의존하지 않는다는 점을 보여준다. 패튼 장군은 적이 어떻게 생각하고 작전을 벌이는지 최대한 파악했다. 그다음 장면에는 그의 부대가 독일군의 탱크와 보병 부대에 가공할 만한 공격을 퍼붓는 모습이 펼쳐진다. 망원경으로 이 상황을 유심히 보고 있던 패튼 장군은 미소를 띠며 “롬멜, 이 대단한 XX! 네가 쓴 책 내가 읽었다!”라고 소리친다.    이와 마찬가지로 비즈니스 리더와 보안 리더도 해커의 동기와 전술에 관해 최대한 많은 지식을 미리 알아 둬야 한다. 보안 솔루션이 알려주는 정보만 의존해서는 안 된다. 잘못된 보안 감각만 얻을 수 있기 때문이다. 이 순간에도 해커들은 보안 경계를 우회하고, 임의의 경계를 건너며, 보안 솔루션을 회피하여 원하는 데이터를 얻고 있다.  ‘스니크(Snyk)’의 최고 아키텍트이자 클라우드 보안 SaaS 업체 ‘푸가(Fugue)’의 CEO 조시 스텔라는 경영진이 보안 팀에 클라우드 환경 관련 지식을 제공해 달라고 요청하고, 이를 다른 경영진에게 효과적으로 전달해야 보안 투자를 정당화할 수 있다고 강조했다. 자세한 내용은 다음의 영상을 참고하라.  아마도 기업의 적(해커)은 자신의 공격 방법을 사전에 공부할 수 있는 책을 써 주진 않을 것이다. 따라서 아래 소개할 ...

2022.05.18

CISO와 사이버 보안 벤더 간의 효과적인 파트너십은 성공적인 보안에 필수적이다. 신뢰, 커뮤니케이션, 상호 이해를 기반으로 잘 구축된 관계는 기업들의 사이버 보안 태세에 상당한 이점을 가져다줄 수 있다. 반대로, 문제 있고 일관성 없는 관계는 기업들의 보안 관행에 부정적인 영향을 미치고, 위험과 투자 낭비라는 역효과를 초래할 수 있다. 사이버 보안 컨설팅 업체 콜파이어(Coalfire)의 전무이사 존 헬릭슨은 “CISO가 보안 업체와 긍정적인 관계를 유지하는 것은 업계 동향 정보를 파악하고, 경쟁력 있는 대안 솔루션 정보를 확보하며, 대규모 이니셔티브를 이행하기 위한 파트너의 신뢰를 구축하는 데 중요하다”라고 말했다.  이어서 그는 “CISO가 보안 업체와 긍정적인 관계를 유지하지 못한다면 (예를 들어) 벤더가 해당 기업의 요구사항을 우선순위에서 낮출 수 있다. 또 벤더의 전반적인 대응 속도가 느려질 수 있다. 최악의 경우 진상 고객으로 분류될 수도 있다”라고 덧붙였다. 오늘날 기업들이 협력하는 벤더의 수가 증가하고 있다는 사실을 감안하면 CISO가 벤더와 긍정적인 관계를 구축하고 유지하는 것은 매우 중요하다. 하지만 이는 시간과 노력을 필요로 하며, 고려해야 할 다양한 요소가 있다.    효과적인 CISO-벤더 파트너십이란? 먼저 양 당사자가 이러한 관계를 어떻게 정의하는지 살펴보자. 유니온디지털 뱅크(UnionDigital Bank)의 CISO 도미니크 그룬덴은 ‘무결성’과 ‘진정성’이 파트너십의 성패를 가르는 요소라고 언급했다. “사이버 보안은 복잡하다. 하지만 그렇다고 해서 벤더와의 협력이 복잡해서는 안 된다. 기업들이 데이터 기반 문제 해결을 더 신속하게 할 수 있도록 가치 중심의 방법론을 제공하는 것이 최우선 목표이며, 이는 CISO의 당면 과제와 목표를 중심에 둘 때 달성된다”라고 그는 설명했다.  몽고DB(MongoDB)의 CISO 레나 스마트는 ‘신뢰’와 ‘필요성’이 관건이라고 밝혔다. 그는 “벤...

2022.05.06

‘ETR(Enterprise Technology Research)’이 미국과 EMEA 지역의 IT 의사결정권자 1,200명을 대상으로 실시한 최신 설문조사 결과에 따르면 기술 채용은 기록적인 수준에 도달했지만 올 2분기 전반적인 IT 지출 증가세는 다소 둔화될 전망이다.  ETR에서 분기별로 발행하는 ‘기술 지출 의향 설문조사(Technology Spending Intentions Survey)’의 최신 버전이 공개됐다. TSIS 보고서는 IT 인력 수요가 지금까지 보고된 결과 중에서 가장 높은 수준이라고 밝혔다. 美 노동통계국(BLS)은 2020년에서 2030년 사이에 미국 시장에서 66만 7,600개 이상의 IT 일자리가 추가될 것이라고 예측했다.  반면에 올 2분기 IT 지출 증가율은 지난 조사 결과(6.8%)보다 감소한 5.5%로 예측된다고 보고서는 전했다. 이에 따라 2022년 총 IT 지출 전망이 6.7%로 하향 조정됐다. 지난 설문 조사에서는 8.3%였다.  IT 지출 우선순위는 ‘보안 및 네트워킹’ 이 결과는 IT 부문이 지속적으로 성장하고 있다는 것을 의미하며, 그중 대부분이 ‘원격근무로의 전환’ 그리고 이에 따른 ‘효과적인 사이버 보안 조치 및 네트워크 기술 수요’에 의해 주도되고 있다고 보고서는 밝혔다. 사이버 보안(5.7%)은 최우선 순위로 꼽혔으며, 클라우드 마이그레이션(4.5%), 애널리틱스 및 데이터 웨어하우징(4.2%)이 뒤를 이었다. 네트워킹은 급격한 순위 상승을 보였다.   아울러 TSIS 보고서는 IT 직원의 42%가 풀타임 원격근무를 하고 있고, 31%는 원격근무와 사무실 근무를 병행하고 있으며, 27%는 현장으로 복귀했다고 전했다. 하지만 팬데믹 종식이 다가오고 있고, 더 많은 인력이 풀타임 또는 시간제로 사무실에 복귀함에 따라 재택근무를 하는 IT 직원의 비율은 계속 줄어들 것으로 예상됐다. 원격근무의 확산은 네트워크 장비의 새로운 우선순위를 촉발했고, 그 결과 공급이 수요를...

2022.05.03

2021년 사이버 보안 업계의 M&A 건수가 기록적인 수치를 달성했다. 451 리서치에 따르면 해당 연도의 첫 3분기 동안 무려 151건의 거래가 목격됐다. 이는 2020년 같은 기간 대비 94건이나 증가한 수치다. 이 트렌드는 2022년에도 지속될 가능성이 크다. 모든 시장에서 대기업들이 역량을 확대하기 위해 노력하고 있다. 2022년 초 레코디드 퓨처(Recorded Future)의 시큐리티트레일스(SecurityTrails) 인수가 그 대표적인 예이며, 이를 통해 레코디드 퓨처의 제품에 표면 모니터링 기술이 추가됐다. 아울러 지난해 사이버 보안 시장에 있지 않았던 일부 기업들이 데이터와 고객을 더욱 잘 보호하기 위해 보안 기업을 인수했다. 2021년 11월 글로벌 소매기업 슈워츠 그룹(Schwarz Group)은 디지털 제품의 보안 개선을 위해 클라우드 보안 기업 XM 사이버(XM Cyber)를 인수했다. 이러한 흐름은 올해도 계속될 전망이다. 구글 클라우드의 심플리파이(Siemplify) 인수도 이를 입증한다. 구글 클라우드는 이미 자사의 클라우드 플랫폼 고객들에게 보안 도구 스위트를 제공하고 있다. 심플리파이는 개선된 SOAR(Security Orchestration, Automation, Response) 역량을 제공한다.  여기서는 주목할 만한 2022년도 사이버보안 업계의 M&A를 시간 역순으로 정리했다.   푸가(Fugue) 인수를 통해 클라우드 보안 시장에 진출한 스닉(Snyk) 2월 17일: 개발자 보안 제공업체 스닉은 푸가와 클라우드 보안 및 준법감시 제품을 인수했다. 이를 통해 스닉은 클라우드 보안 시장에서 기반을 확보했다. 해당 기업은 푸가의 역량을 통해 SDSP(Snyk Developer Security Platform)를 확장할 계획이다. 스닉의 CEO 피너 맥케이는 “전체적으로 현재의 최신 데브섹옵스(DevSecOps)팀들에게 있어서 클라우드 보안이 어떤 모습일지 제고하면서 전 세계적으로 ...

2022.02.22

디지서트가 사물인터넷(IoT) 사이버 보안 업체 모카나를 인수했다고 2월 10일 발표했다. 디지서트는 모카나와 기술을 통합해 IoT 제조업체와 운영자가 IoT 기기 전체 수명 주기에 걸쳐 보안을 관리할 수 있는 포괄적인 플랫폼을 제공한다.   디지서트는 이번 인수로 빠르게 성장하는 IoT 시장에서의 입지를 전략적으로 확대해 나갈 예정이다. 디지서트 존 메릴 CEO는 “IoT 보안은 기기 제조업체와 운영자에게 중요한 과제”라며 “일과 삶의 영역에서 스마트 기기가 보편화되면서 디지서트는 이번 모카나 인수와 함께 IoT 시장에서 더욱 중요해지고 있는 디지털 신뢰를 제공하기 위한 비전을 구축하고 있다”라고 말했다. 회사에 따르면 디지서트와 모카나의 기술 통합으로 고객들은 기기 ID를 관리하고 연결을 보호하는 것은 물론 기기 변조를 방지하고 원격으로 한 번에 안전하게 펌웨어와 설정을 업데이트할 수 있게 된다. 이 엔드투엔드(end-to-end) 플랫폼은 보안 취약성을 줄이고 정보 기술(IT)과 운영 기술(OT)을 융합해 디지털 혁신을 가능케 한다. 모카나 스리니바스 쿠마르 CTO는 “디지서트와 모카나의 통합된 솔루션으로 온칩(on-chip) 또는 기기 제조 시에 보안 기능을 넣는 것 부터 온디바이스 보안 통신과 펌웨어 업데이트에 이르기까지 IoT 보안 문제를 해결할 수 있게 됐다”라고 밝혔다. ciokr@idg.co.kr

2022.02.10

퓨어스토리지가 최근 기업들을 대상으로 한 랜섬웨어 공격에 대한 종합적인 데이터 보호 전략과 이를 위한 백업 및 복구의 중요성을 강조했다. 글로벌 리서치 기업 사이버시큐리티 벤처스에 따르면 랜섬웨어로 인한 피해는 전 세계적으로 2031년까지 최대 2,650억 달러(한화 약 314조 6,610억 원)에 이를 전망이다. 퓨어스토리지는 이와 같은 위험을 기업들이 인식하고 있지만, 실제 파악하고 있는 보안 조치들의 현황과 이상적인 상태 사이의 격차가 여전히 크다고 분석했다. 이와 관련하여 퓨어스토리지는 플래시어레이(FlashArray) 및 플래시블레이드(FlashBlade)에 내장된 세이프모드(SafeMode) 및 포트웍스 PX-백업(Portworx PX-Backup) 등 데이터 보호를 위한 포트폴리오를 통해 데이터 손실, 손상 및 사이버보안 위협들로부터 글로벌 기업들을 지키고 있다고 밝혔다. 퓨어스토리지 보안 부문 CTO 라틴더 폴 싱 아후자 박사는 “오늘날 비즈니스의 성공을 위해서는 랜섬웨어 공격에 대한 대응 뿐만 아니라 사전 및 사후 조치를 모두 포함하는 데이터 보호 전략을 취하는 것이 중요하다”라며, “퓨어스토리지의 솔루션들은 대량의 데이터를 신속하게 복구하여 비즈니스의 중단 및 경제적인 손실을 방지하는 데 도움을 준다”라고 말했다. 퓨어스토리지는 다양한 글로벌 기업들이 퓨어스토리지의 데이터 보호 솔루션을 통해 데이터를 보호하고 종합적인 데이터 보호 전략의 이점을 누릴 수 있도록 지원하고 있다고 밝혔다. 호주 광석철강연합의 ICT 부문 수석 얼 멧칼프는 “굉장히 빠르게 진행되는 업무 특성상, 데이터를 보호할 뿐만 아니라 문제 발생시 다운타임을 줄일 수 있는 벤더가 필요했다”라며, “퓨어스토리지는 우리의 요구사항을 충족시켜주는 믿을 수 있는 파트너”라고 말했다. 인도네시아 뽄독인다 병원의 IT인프라 및 보안 담당자 위리아 마틴은 “퓨어스토리지의 세이프모드 덕분에 환자 데이터를 안전하게 보호할 수 있었으며, 이를 통해 신뢰받는 헬스케어 제공업체로 ...

2022.01.25

2021년은 다사다난(多事多難)했던 한 해였다. 한 설문조사 결과에 따르면 디지털 생태계 수요 증가로 사이버 보안 공격이 급증해 기업들은 미화 약 6조 달러의 피해를 본 것으로 추산된다. 더욱더 우려스러운 점은 전 세계 사이버 범죄 비용이 향후 5년간 15% 증가해 2025년에는 연간 10조 5,000억 달러에 이를 것으로 예상된다는 것이다.    디지털 자산을 보호할 때 보안 리더는 화면 반대편에 있는 악의적인 행위자보다 앞서 나가기 위해 모든 기반을 다뤄야 한다. 2022년 보안 리더가 우선순위에 둬야 할 보안 영역을 살펴본다.    주요 인프라 공격이 물리적인 피해를 줄 것 악의적인 행위자는 운영 기술만 표적으로 삼는 것에서 벗어나 IT 시스템을 손상시키는 것을 목표로 하고 있다. 비용은 저렴하지만 영향력이 큰 공격(예: 랜섬웨어 등)은 악의적인 행위자가 비즈니스 운영을 마비시키기 위해 택하는 주요 전략이다. 이에 따라 보안 리더는 액티브 디렉토리(Active Directory)가 핵심 타깃인 취약한 인프라에 주의를 기울여야 한다. 또 디지털 시스템 개선에 투자하고 이를 보호하기 위해 이해관계자부터 직원들까지 모두 사이버보안 침해가 비즈니스에 미치는 위험을 인지하도록 해야 한다.  잘못 구성된 ‘액티브 디렉토리’는 문제를 초래할 것 하이브리드 근무와 디지털 통합의 시대에서 ‘액티브 디렉토리(Active Directory; AD)’는 데이터 보존, 구성, 배포의 핵심이다. 하지만 여러 업계에서 AD가 SaaS 및 클라우드 컴퓨팅 확장의 기준이 된 이후, 최근 몇 년 동안 이는 악의적인 행위자의 주요 표적이 됐다. 제로로그온(Zerologon) 취약점, 솔로리게이트(Solorigate) 백도어 악성 프로그램 등의 주요 공격 사건은 AD 구성 오류가 내포하는 위험을 입증했다. 특히 공격자는 취약한 패치를 통해 쉽게 접근할 수 있는 도메인 컨트롤러(Domain Controller)를 주로 노린다. 2022년에도...

2022.01.07

때때로 ‘최고정보보호책임자(Chief Information Security Officer; CISO)’라고 했지만 실제로는 CISO가 아니거나, 역할에 필요한 권한 및 리소스를 제공받지 못하는 경우가 있다. 이러한 상황을 피할 수 있는 방법은 다음과 같다.  CISO가 새로운 일자리를 찾을 때 알아둬야 할 사항은 ‘C-레벨 보안 전문가가 귀중하다’라는 점이다. 시간이 걸리더라도 좋은 직장을 까다롭게 구하라는 의미다. CISO 역할을 개척한 스티브 카츠는 “배고플 땐 쇼핑하지 마라”라고 말했다. 왜냐하면 CISO 일자리가 많긴 하지만 동등하진 않기 때문이다. 링크드인에서 검색만 해보더라도 1,000개 이상의 CISO 관련 일자리가 나오는데, 임원급이 대부분이다. 반면에 인디드닷컴에서는 4,000개 이상의 CISO 관련 일자리가 검색되긴 하지만 임원급이 아닌 게 많고 심지어 관리자급도 아니다. 이는 CISO가 새로운 일자리를 찾을 때 고려해야 할 중요한 부분이라고 전문가들은 언급했다. 이사회에 참여하고 CEO와 직간접적으로 연결된 진정한 C-레벨인가? 아니면 과장된 타이틀에 불과한가? (기업에서 규제 요건을 충족하기 위해 몸만 있으면 되는 전리품일 수도 있다.)     C-레벨 지위가 빠져 있는가? 美 캘리포니아주 오렌지카운티의 명문 사립대 채프먼대학교(Chapman University)의 CISO 조지 비거스는 “CISO가 조직 내에서 어디에 위치하는지 파악하면 해당 기업이 보안에 얼마나 투자했는지 알 수 있어서 ‘CISO가 누구에게 보고하는가?’를 가장 먼저 질문한다”라면서, “CISO가 CEO에게 보고하면 실질적으로 C-레벨급이라는 점을 알 수 있다. 반면에 CISO가 재무, 위험, 컴플라이언스에 보고한다면 경영진에서 배제돼 있다는 뜻이다”라고 전했다. 지난 2020년 말 발표된 포레스터의 보고서에 따르면 C-레벨로 간주되는 CISO는 13%에 불과했다. CISO 역할에 필요한 영향력 및 지원을 확보하고 있는 C-레벨급 ...

2021.12.29