Offcanvas

���������������

기고 | PaaS, 이제는 보안 걱정 없이 쓰자

대규모 클라우드 서비스가 보안 및 서비스 이용 관련 가이드라인을 제공한다 해도, 중요한 애플리케이션 개발에서 클라우드를 이용할 때 여전히 상당한 보안 위험이 따른다. 그런데 보안 문제에 초점을 맞춘 클라우드 플랫폼이 등장하고 있어 이러한 우려를 덜어줄 것으로 기대되고 있다. 이들 솔루션은 PaaS(platform as a service)의 편리함과 보안 규제 컴플라이언스라는 두 마리 토끼를 잡을 수 있을까? 보안 중심의 PaaS를 제공하는 대표적인 업체로는 대티카(Datica), 헬스케어 블록스(Healthcare Blocks), 앱터블(Aptible) 등이 있다. 모두 2013년에 생겨난 컨테이너 기반 클라우드 업체들이다. 이들은 최고의 보안 및 데브옵스 전문가로 구성된 팀을 자랑하며 서비스의 안전성과 기능성을 보장한다. 서비스 요율 자체도 높지 않은 데다가 편리한 보안 프레임워크를 제공해 고객들이 보안 문제에 노심초사하지 않고 기능에 중점을 맞춰 앱 개발을 할 수 있도록 돕는다. 예를 들어, 리소스가 제한적인 신생벤처의 경우 이러한 PaaS를 활용하여 고객에게 자사만의 고유한 가치를 보여줄 수 있을 것이다. 사내에 정보보안팀이나 개발팀을 둘 여력이 되지 않는 소형 병원에서도 이러한 서비스의 표준 기능과 IT전문가의 지원을 활용할 수 있게 된다. 대기업과 정부기관의 경우 CI(continuous integration)이나 내장 컨테이너 같은 데브옵스 툴을 이용해 비즈니스 민첩성을 확장할 수 있게 된다. 대티카, 헬스케어 블록스, 앱터블 이 3개 업체는 이미 미국 정부기관, 의료기관, 병원, 의료/금융 기술 벤처 등 다양한 기업 및 기관을 상대로 만족스러운 서비스를 제공한 바 있다. • 미국 재향군인회(U.S. Department of Veterans Affairs)는 대티카의 서비스를 이용해 더 빠르게 새로운 툴을 설치하고 환자 행동 양식에 관한 새로운 통찰을 얻는 성과를 거뒀다. • 그레이터 콜로...

CIO 고객경험 대티카 헬스케어 블록스 앱터블 미국 재향군인회 푸들 POODLE Shellshock 핀테크 셸쇼크 Go 정부 PaaS 병원 API IDS 위험 CX 데브옵스 하트블리드 Heartbleed

2017.05.17

대규모 클라우드 서비스가 보안 및 서비스 이용 관련 가이드라인을 제공한다 해도, 중요한 애플리케이션 개발에서 클라우드를 이용할 때 여전히 상당한 보안 위험이 따른다. 그런데 보안 문제에 초점을 맞춘 클라우드 플랫폼이 등장하고 있어 이러한 우려를 덜어줄 것으로 기대되고 있다. 이들 솔루션은 PaaS(platform as a service)의 편리함과 보안 규제 컴플라이언스라는 두 마리 토끼를 잡을 수 있을까? 보안 중심의 PaaS를 제공하는 대표적인 업체로는 대티카(Datica), 헬스케어 블록스(Healthcare Blocks), 앱터블(Aptible) 등이 있다. 모두 2013년에 생겨난 컨테이너 기반 클라우드 업체들이다. 이들은 최고의 보안 및 데브옵스 전문가로 구성된 팀을 자랑하며 서비스의 안전성과 기능성을 보장한다. 서비스 요율 자체도 높지 않은 데다가 편리한 보안 프레임워크를 제공해 고객들이 보안 문제에 노심초사하지 않고 기능에 중점을 맞춰 앱 개발을 할 수 있도록 돕는다. 예를 들어, 리소스가 제한적인 신생벤처의 경우 이러한 PaaS를 활용하여 고객에게 자사만의 고유한 가치를 보여줄 수 있을 것이다. 사내에 정보보안팀이나 개발팀을 둘 여력이 되지 않는 소형 병원에서도 이러한 서비스의 표준 기능과 IT전문가의 지원을 활용할 수 있게 된다. 대기업과 정부기관의 경우 CI(continuous integration)이나 내장 컨테이너 같은 데브옵스 툴을 이용해 비즈니스 민첩성을 확장할 수 있게 된다. 대티카, 헬스케어 블록스, 앱터블 이 3개 업체는 이미 미국 정부기관, 의료기관, 병원, 의료/금융 기술 벤처 등 다양한 기업 및 기관을 상대로 만족스러운 서비스를 제공한 바 있다. • 미국 재향군인회(U.S. Department of Veterans Affairs)는 대티카의 서비스를 이용해 더 빠르게 새로운 툴을 설치하고 환자 행동 양식에 관한 새로운 통찰을 얻는 성과를 거뒀다. • 그레이터 콜로...

2017.05.17

'파악도, 관리도 못한다' 기업에서 오픈소스를 안전하게 사용하려면?

많은 사람이 잘 모를 수도 있지만, 개발자들은 이미 오픈소스를 사용하고 있다. 문제는 얼마나 많은 오픈소스를 사용하고 있는지 정확히 파악하지도 못하고 있고, 안전하게 사용하지도 못한다는 데 있다. 오픈소스를 어떻게 관리하고, 왜 그렇게 해야 하는지 알아보자.  대기업들이 무분별할 정도로 오픈소스를 많이 사용하는 것처럼 보일 수 있다. 이에 대해 최근 SAS는 오픈소스 프로젝트의 수를 제한해야 한다고 주장했다. 이는 SAS가 겨냥하는 시장에서 데이터 과학과 분석용으로 오픈소스인 R 프로그래밍 언어 사용이 증가하고 있는데 대한 '저항'일 것이다. 그러나 여기에는 '좋은 지적'도 숨어있다. 오픈소스를 책임 있게 사용해야 한다는 것이다. 다시 말해 현재 사용중인 오픈소스를 파악하고, 추적하며, 유지관리 해야 한다는 의미다. 개발자들이 사용하고 있는 오픈소스의 수, 오픈소스가 초래하는 취약점을 잘 모르는 기업이 많다. 모르는 오픈소스 프로젝트를 대상으로 보안을 평가하고, 패치를 관리할 수 없는 법이다. 소나타입(Sonatype)의 '2016 소프트웨어 공급망 연구(2016 software supply chain study)'에 따르면, 써드파티 구성요소가 엔터프라이즈 자바 애플리케이션 코드의 80~90%를 차지하고 있다. 또 기업이 다운로드 받는 구성요소 6개 가운데 1개에 보안 취약점이 있다. 오래된 구성요소의 보안 취약점은 새 구성요소보다 3배 더 많다. 그런데 기업용 앱에서 쓰이는 구성요소 가운데 개발된 지 2년 이상인 구성요소가 절반 이상이다. 하트블리드(Heartbleed) 버그가 발견된 지 2년이다. 그런데 시스코 보안 연구소(Cisco Security Research)가 2015년 테스트 한 오픈SSL(OpenSSL) 버전 가운데 절반 이상이 여전히 취약한 것으로 드러났다. 2014년 베라코드(Veracode)가 애플리케이션 5,000개를 스캔한 결과에 따르면, 기업용 웹 애플...

라이선스 소나타입 기트허브 하트블리드 OpenSSL R 데브옵스 분석 시스코 소프트웨어 SAS 거버넌스 구글 CIO 크리에이티브 커먼즈

2017.04.26

많은 사람이 잘 모를 수도 있지만, 개발자들은 이미 오픈소스를 사용하고 있다. 문제는 얼마나 많은 오픈소스를 사용하고 있는지 정확히 파악하지도 못하고 있고, 안전하게 사용하지도 못한다는 데 있다. 오픈소스를 어떻게 관리하고, 왜 그렇게 해야 하는지 알아보자.  대기업들이 무분별할 정도로 오픈소스를 많이 사용하는 것처럼 보일 수 있다. 이에 대해 최근 SAS는 오픈소스 프로젝트의 수를 제한해야 한다고 주장했다. 이는 SAS가 겨냥하는 시장에서 데이터 과학과 분석용으로 오픈소스인 R 프로그래밍 언어 사용이 증가하고 있는데 대한 '저항'일 것이다. 그러나 여기에는 '좋은 지적'도 숨어있다. 오픈소스를 책임 있게 사용해야 한다는 것이다. 다시 말해 현재 사용중인 오픈소스를 파악하고, 추적하며, 유지관리 해야 한다는 의미다. 개발자들이 사용하고 있는 오픈소스의 수, 오픈소스가 초래하는 취약점을 잘 모르는 기업이 많다. 모르는 오픈소스 프로젝트를 대상으로 보안을 평가하고, 패치를 관리할 수 없는 법이다. 소나타입(Sonatype)의 '2016 소프트웨어 공급망 연구(2016 software supply chain study)'에 따르면, 써드파티 구성요소가 엔터프라이즈 자바 애플리케이션 코드의 80~90%를 차지하고 있다. 또 기업이 다운로드 받는 구성요소 6개 가운데 1개에 보안 취약점이 있다. 오래된 구성요소의 보안 취약점은 새 구성요소보다 3배 더 많다. 그런데 기업용 앱에서 쓰이는 구성요소 가운데 개발된 지 2년 이상인 구성요소가 절반 이상이다. 하트블리드(Heartbleed) 버그가 발견된 지 2년이다. 그런데 시스코 보안 연구소(Cisco Security Research)가 2015년 테스트 한 오픈SSL(OpenSSL) 버전 가운데 절반 이상이 여전히 취약한 것으로 드러났다. 2014년 베라코드(Veracode)가 애플리케이션 5,000개를 스캔한 결과에 따르면, 기업용 웹 애플...

2017.04.26

칼럼 | "늑대가 나타났어요!" 거짓 보안뉴스의 반전 효과

최근 몇 주 동안 주요 언론이 '메가 해킹'으로 악화할 수 있는 사고가 발생했다고 떠들썩하게 보도했다. 왜 아니겠는가? 10억 명이 위험에 처할 수 있는 해킹 사고였다. 단, 전제 조건이 있다. 이 해킹과 침해가 '실제로' 존재해야 한다는 것이다. 그러나 사실은 그렇지 않다. 이미지 출처 : Francis Barlow, 1687 필자는 통상 언론이 보안에 관해 잘못된 보도를 하면 화가 나지만 이런 기사는 이상하게도 화가 나지 않는다. 보안 산업에 득이 되는 부분이 있기 때문이다. 이런 과장된 보안 사고 보도가 사람들에게 계정을 더 튼튼히 보호하도록 유도하는 측면도 있다. 가장 최근에 보도된 '거짓' 메가 해킹 사고는 링크트인(LinkedIn) 계정 1억 1,700만 개가 침해당했다는 것이었다. 유수의 언론에서 이를 대서특필했다. 페이스북에서도 쉽게 관련 뉴스를 찾을 수 있다. 분명히 널리 알려야 할 중대한 해킹 사고이다. 그러나 무려 4년 전에 일어난 해킹 사고이다. 해커 한 명이 다크 웹(Dark Web)의 범죄자가 이용하는 포럼에 오래전 침해당한 계정 1억 1,700만 개를 판매하려 한 것이 사건의 골자이다. 원칙적으로 이들 비밀번호는 아주 오래전에 사용자가 바꿨어야 한다. 그러나 변경되지 않은 비밀번호가 많고, 어떤 의미에선 일부 계정이 위험한 것도 맞다. 그러나 1억 1,700만 개가 위험하다는 주장은 너무 나간 것이다. 이달 초 2억 7,200만 개 계정이 해킹당했다는 보도도 있었다. 러시아 해커가 이를 판매하려 했었다. 야후와 지메일, 핫메일(Hotmail) 등 주요 인터넷 사이트의 계정도 포함돼 있었다. 역시 유수 언론은 너나 할 것 없이 이 해킹 사고를 보도하고, 즉시 비밀번호를 변경하라고 경고했다. 보안 관점에서는 아주 크게 반길 일이지만, 채 이틀이 되지 않아 과장되었음이 드러났다. 한 웹사이트는 침해당한 계정 중 유효하지 않은 것이 99.9%라고 발표했다. 또 다...

보안 해킹 하트블리드

2016.06.02

최근 몇 주 동안 주요 언론이 '메가 해킹'으로 악화할 수 있는 사고가 발생했다고 떠들썩하게 보도했다. 왜 아니겠는가? 10억 명이 위험에 처할 수 있는 해킹 사고였다. 단, 전제 조건이 있다. 이 해킹과 침해가 '실제로' 존재해야 한다는 것이다. 그러나 사실은 그렇지 않다. 이미지 출처 : Francis Barlow, 1687 필자는 통상 언론이 보안에 관해 잘못된 보도를 하면 화가 나지만 이런 기사는 이상하게도 화가 나지 않는다. 보안 산업에 득이 되는 부분이 있기 때문이다. 이런 과장된 보안 사고 보도가 사람들에게 계정을 더 튼튼히 보호하도록 유도하는 측면도 있다. 가장 최근에 보도된 '거짓' 메가 해킹 사고는 링크트인(LinkedIn) 계정 1억 1,700만 개가 침해당했다는 것이었다. 유수의 언론에서 이를 대서특필했다. 페이스북에서도 쉽게 관련 뉴스를 찾을 수 있다. 분명히 널리 알려야 할 중대한 해킹 사고이다. 그러나 무려 4년 전에 일어난 해킹 사고이다. 해커 한 명이 다크 웹(Dark Web)의 범죄자가 이용하는 포럼에 오래전 침해당한 계정 1억 1,700만 개를 판매하려 한 것이 사건의 골자이다. 원칙적으로 이들 비밀번호는 아주 오래전에 사용자가 바꿨어야 한다. 그러나 변경되지 않은 비밀번호가 많고, 어떤 의미에선 일부 계정이 위험한 것도 맞다. 그러나 1억 1,700만 개가 위험하다는 주장은 너무 나간 것이다. 이달 초 2억 7,200만 개 계정이 해킹당했다는 보도도 있었다. 러시아 해커가 이를 판매하려 했었다. 야후와 지메일, 핫메일(Hotmail) 등 주요 인터넷 사이트의 계정도 포함돼 있었다. 역시 유수 언론은 너나 할 것 없이 이 해킹 사고를 보도하고, 즉시 비밀번호를 변경하라고 경고했다. 보안 관점에서는 아주 크게 반길 일이지만, 채 이틀이 되지 않아 과장되었음이 드러났다. 한 웹사이트는 침해당한 계정 중 유효하지 않은 것이 99.9%라고 발표했다. 또 다...

2016.06.02

오픈소스 보안 문제, 생각보다 심각··· 블랙덕소프트웨어 조사

블랙덕소프트웨어가 조사한 애플리케이션 중 67%에서 알려진 오픈소스 보안 취약점이 발견됐다. 블랙덕소프트웨어는 200개의 애플리케이션을 조사한 결과를 담은 ‘상용 애플리케이션의 오픈소스 보안 현황’ 보고서를 발간했는데, 이 보고서에 따르면 평균 상용 애플리케이션은 105개 오픈소스 컴포넌트를 사용했고 이는 코드의 35%에 해당한다. 블랙덕의 조사 대상 기업은 자신들이 오픈소스를 사용한다는 것을 인지하고 있었다. 다음은 보고서의 주요 내용이다. • 조사 대상 애플리케이션의 절반 이상인 67%에서 알려진 오픈소스 보안 취약점이 발견됐다 • 각 애플리케이션에서 오픈소스 취약점의 39.5%가 ‘심각한 수준’으로 평가됐다 • 조사 대상 애플리케이션의 10%에서 대중적으로 잘 알려진 하트블리드 취약점이 발견됐다   블랙덕소프트웨어의 오픈소스 조사 보고서 주요 내용 ciokr@idg.co.kr

CSO 조사 CISO 보고서 인포그래픽 하트블리드 블랙덕소프트웨어 오픈소스 취약점 알려진 오픈소스 보안 취약점

2016.06.02

블랙덕소프트웨어가 조사한 애플리케이션 중 67%에서 알려진 오픈소스 보안 취약점이 발견됐다. 블랙덕소프트웨어는 200개의 애플리케이션을 조사한 결과를 담은 ‘상용 애플리케이션의 오픈소스 보안 현황’ 보고서를 발간했는데, 이 보고서에 따르면 평균 상용 애플리케이션은 105개 오픈소스 컴포넌트를 사용했고 이는 코드의 35%에 해당한다. 블랙덕의 조사 대상 기업은 자신들이 오픈소스를 사용한다는 것을 인지하고 있었다. 다음은 보고서의 주요 내용이다. • 조사 대상 애플리케이션의 절반 이상인 67%에서 알려진 오픈소스 보안 취약점이 발견됐다 • 각 애플리케이션에서 오픈소스 취약점의 39.5%가 ‘심각한 수준’으로 평가됐다 • 조사 대상 애플리케이션의 10%에서 대중적으로 잘 알려진 하트블리드 취약점이 발견됐다   블랙덕소프트웨어의 오픈소스 조사 보고서 주요 내용 ciokr@idg.co.kr

2016.06.02

기고 | "다행이다" 올해 개선된 5가지 보안

우리가 보안에 대해 어떤 점을 감사하게 생각하는 경우는 흔치 않다. 그리고 각각의 보안 전문가들이 내년에 발생할 수 있는 보안 사고들을 예견하는 현 시점에서 필자는 반대로 올 한해 보안에서 어떤 개선점들이 있었는지에 대해 정리해 보고 싶었다. 올해 많은 보안 개선점들을 발견해냈는데, 이 자리를 빌어 최고의 보안 개선 사항 5가지를 꼽아보고자 한다. 윈도우 XP 지원 종료 10년도 더 된 오래된 운영체제를 사용한다는 것은 보안 면에서 불안한 일이다. 윈도우 XP는 높은 인기를 끌었고, 많은 사람들은 여러 보안 문제들에도 XP를 떠나 보내고 싶어하지 않았다. 마이크로소프트는 올 4월 XP의 지원을 공식 중단했다. (느리지만 분명하게) 마침내 이 구식 운영체제에서 떠날 수 있게 됐다. 이 기사를 쓰는 시점에서 XP의 시장 점유율은 드디어 20% 이하로 내려갔고, 웹 활용에서는 단 11%만이 XP 운영체제를 사용하고 있다. 필자는 연말 쇼핑철이 다가옴에 따라 XP의 시장 점유율은 더욱 떨어질 것으로 예측한다. 개선으로 이어진 대형 버그들 일반적으로중대한 취약점 발견은 좋은 소식이 아니다. 하지만 만약 몇 년이나 묵은 버그를 발견해내고 이를 고치게 만들었다면 전체적으로 훌륭한 일이라고 볼 수 있다. 우리는 올해 하트블리드(Heartbleed), 셸쇽(Shellshock), 푸들블리드(Poodlebleed)라는 3가지 특별한 버그들을 찾아냈다. 하트블리드 버그는 가장 최근에 알려진 것으로 3년밖에 되지 않은 것이다. 하지만 셸쇽은 1989년 버전부터 포함되어 있던 것이다. 푸들블리드는 여전히 많이 사용되는 15년된 소프트웨어에서 발견되었다. 이들 취약점들은 상당 기간 동안 존재해왔고 우리는 이 버그들이 알려지기 전에 공격에 얼마나 많이 사용되었는지 알지 못한다. 하지만 이들 사건들이 널리 알려지고 이에 연관된 보도가 이어짐에 따라 수많은 사람들이 심각하게 오래되고 취약한 소프트웨어들을 활용하거나 지원하는 것을 중단했다. EMV 채택 가속 지난...

CSO 마이크로소프트 CISO 윈도우 XP 신용카드 보안 사고 지원 종료 하트블리드 타겟

2014.11.24

우리가 보안에 대해 어떤 점을 감사하게 생각하는 경우는 흔치 않다. 그리고 각각의 보안 전문가들이 내년에 발생할 수 있는 보안 사고들을 예견하는 현 시점에서 필자는 반대로 올 한해 보안에서 어떤 개선점들이 있었는지에 대해 정리해 보고 싶었다. 올해 많은 보안 개선점들을 발견해냈는데, 이 자리를 빌어 최고의 보안 개선 사항 5가지를 꼽아보고자 한다. 윈도우 XP 지원 종료 10년도 더 된 오래된 운영체제를 사용한다는 것은 보안 면에서 불안한 일이다. 윈도우 XP는 높은 인기를 끌었고, 많은 사람들은 여러 보안 문제들에도 XP를 떠나 보내고 싶어하지 않았다. 마이크로소프트는 올 4월 XP의 지원을 공식 중단했다. (느리지만 분명하게) 마침내 이 구식 운영체제에서 떠날 수 있게 됐다. 이 기사를 쓰는 시점에서 XP의 시장 점유율은 드디어 20% 이하로 내려갔고, 웹 활용에서는 단 11%만이 XP 운영체제를 사용하고 있다. 필자는 연말 쇼핑철이 다가옴에 따라 XP의 시장 점유율은 더욱 떨어질 것으로 예측한다. 개선으로 이어진 대형 버그들 일반적으로중대한 취약점 발견은 좋은 소식이 아니다. 하지만 만약 몇 년이나 묵은 버그를 발견해내고 이를 고치게 만들었다면 전체적으로 훌륭한 일이라고 볼 수 있다. 우리는 올해 하트블리드(Heartbleed), 셸쇽(Shellshock), 푸들블리드(Poodlebleed)라는 3가지 특별한 버그들을 찾아냈다. 하트블리드 버그는 가장 최근에 알려진 것으로 3년밖에 되지 않은 것이다. 하지만 셸쇽은 1989년 버전부터 포함되어 있던 것이다. 푸들블리드는 여전히 많이 사용되는 15년된 소프트웨어에서 발견되었다. 이들 취약점들은 상당 기간 동안 존재해왔고 우리는 이 버그들이 알려지기 전에 공격에 얼마나 많이 사용되었는지 알지 못한다. 하지만 이들 사건들이 널리 알려지고 이에 연관된 보도가 이어짐에 따라 수많은 사람들이 심각하게 오래되고 취약한 소프트웨어들을 활용하거나 지원하는 것을 중단했다. EMV 채택 가속 지난...

2014.11.24

칼럼 | 생각만큼 오픈소스SW가 안전하지 않은 이유

오픈 SSL 하트블리드(OpenSSL Heartbleed)의 악몽으로 많은 이들이 오래도록 의심해 온 것이 사실로 밝혀졌다. 오픈소스 소프트웨어가 철저한 검열 대상이라고 해서 실제로 철저한 검열이 이뤄진다거나 반드시 안전한 것은 아니라는 것이다. 오픈소스 소프트웨어 보안은 코드를 꼼꼼히 살피고 버그를 찾아내 이를 고치는 프로그래머들의 능력에 달려있다. 이는 “두 눈 크게 뜨고 잘 감시한다면 버그는 걱정할 것 없다”는 법칙인 ‘리누스의 법칙(Linus’s Law)’에 잘 나타나 있다. 하지만 오픈SSL 참사를 보면 이러한 믿음이 철저히 무너진다. 뮌스터 대학 출신 독일 프로그래머 로빈 세글먼은 하트비트 킵-어라이브(Heartbeat keep-alive) 기능을 추가해 오픈SSL 코드를 업데이트 했다. 불행하게도 그의 실수 때문에 코드를 제대로 확인하지 않았고, 코드를 배포하기 전 이를 확인했던 오픈SSL 개발팀 역시 이를 놓치고 말았다. 그리고 하트블리드 버그가 탄생한 것이다. 버그가 있다는 확신이 없는 상태에서는 누구라도 이런 실수를 저지를 수 있다. 문제는, 2년이 넘는 시간 동안 오픈SSL과 브라우저, 웹 서버 등에 하트블리드 버그가 존재해 했는데도 오픈소스 커뮤니티 내의 그 누구도 이를 알아채지 못했다는 것이다. ‘두 눈 크게 뜨고’ 감시한 사람이 없었다는 뜻이다. 상용 업체들은 오픈소스 코드를 따로 검토하지 않는다 또 한가지 문제는 오픈SSL이 F5 네트웍스, 시트릭스시스템즈, 리버베드 테크놀로지, 버라큐다 네트웍스 같은 상용 업체들의 하드웨어 구성 요소로 쓰였다는 것이다. 그리고 포럼 시스템즈(Forum Systems)의 CEO인 마문 유누스에 따르면, 이들 업체 중 누구도 코드를 사용하기 전 문제점을 알아채지 못했다고 한다. “오픈 SSL을 상업화하는 입장에 있는 사람이라면 그 안전성을 철저하게 검증할 의무가 있다. 오픈소...

CIO 보안 오픈소스 포레스터 리서치 리눅스 재단 오픈SSL 하트블리드

2014.06.16

오픈 SSL 하트블리드(OpenSSL Heartbleed)의 악몽으로 많은 이들이 오래도록 의심해 온 것이 사실로 밝혀졌다. 오픈소스 소프트웨어가 철저한 검열 대상이라고 해서 실제로 철저한 검열이 이뤄진다거나 반드시 안전한 것은 아니라는 것이다. 오픈소스 소프트웨어 보안은 코드를 꼼꼼히 살피고 버그를 찾아내 이를 고치는 프로그래머들의 능력에 달려있다. 이는 “두 눈 크게 뜨고 잘 감시한다면 버그는 걱정할 것 없다”는 법칙인 ‘리누스의 법칙(Linus’s Law)’에 잘 나타나 있다. 하지만 오픈SSL 참사를 보면 이러한 믿음이 철저히 무너진다. 뮌스터 대학 출신 독일 프로그래머 로빈 세글먼은 하트비트 킵-어라이브(Heartbeat keep-alive) 기능을 추가해 오픈SSL 코드를 업데이트 했다. 불행하게도 그의 실수 때문에 코드를 제대로 확인하지 않았고, 코드를 배포하기 전 이를 확인했던 오픈SSL 개발팀 역시 이를 놓치고 말았다. 그리고 하트블리드 버그가 탄생한 것이다. 버그가 있다는 확신이 없는 상태에서는 누구라도 이런 실수를 저지를 수 있다. 문제는, 2년이 넘는 시간 동안 오픈SSL과 브라우저, 웹 서버 등에 하트블리드 버그가 존재해 했는데도 오픈소스 커뮤니티 내의 그 누구도 이를 알아채지 못했다는 것이다. ‘두 눈 크게 뜨고’ 감시한 사람이 없었다는 뜻이다. 상용 업체들은 오픈소스 코드를 따로 검토하지 않는다 또 한가지 문제는 오픈SSL이 F5 네트웍스, 시트릭스시스템즈, 리버베드 테크놀로지, 버라큐다 네트웍스 같은 상용 업체들의 하드웨어 구성 요소로 쓰였다는 것이다. 그리고 포럼 시스템즈(Forum Systems)의 CEO인 마문 유누스에 따르면, 이들 업체 중 누구도 코드를 사용하기 전 문제점을 알아채지 못했다고 한다. “오픈 SSL을 상업화하는 입장에 있는 사람이라면 그 안전성을 철저하게 검증할 의무가 있다. 오픈소...

2014.06.16

하트블리드 등장 한 달··· 여전히 30만 대 서버 취약

오픈SSL 하트블리드 버그가 등장한 지 약 한달 후인 현재까지 전 세계적으로 많은 수의 서버가 여전히 공격에 취약한 것으로 조사됐다. 하트블리드 버그가 웹 보안 상태에 주의 경고를 준 지 한 달이 지난 현재 전 세계 30만 대 이상의 서버가 여전히 취약한 것으로 드러났다. 이는 에라타시큐티리의 로버트 그레이엄이 밝힌 서버 대수다. 그레이엄은 정확히 31만 8,239대의 서버가 여전히 하트블리드에 취약하며 이는 하트블리드가 처음 공개됐을 때 그가 발견한 60만 대보다 크게 줄어든 규모라고 말했다. 4월 초에 발견된 하트블리드는 공격자에게 웹 사이트의 암호화 키, 사용자 이름, 암호, 사용자 데이터를 노출시킬 가능성이 있는 치명적인 버그다. 이 취약점은 오픈SSL을 사용자의 브라우저와 웹 서버간의 통신을 보호하기 위해 설계된 인기있는 암호화 도구에서 발견됐다. 하지만 그레이엄이 밝힌 숫자에 대해서 우려하는 동안, 전반적인 내용은 알려지지 않았다. 그레이엄은 그가 SSL 통신에 사용되는 포트를 추가로 스캔할 수 있었지만 가장 일반적인 포트인 443에 초점을 맞췄다고 말했다. 또한 그는 SSL을 지원하는 2,200만 대의 시스템을 발견했는데 이는 한 달 전 2,800만 대보다 줄어든 것이라고 밝혔다. 발견된 시스템이 600만 대 줄어들었다는 것은 하트블리드 취약점 스캔을 탐지하고 차단하는 더 많은 시스템에 기인할 수도 있다고 그레이엄은 주장했다. 그레이엄의 ISP에서 트래픽 병목 현상이 요인이 있을 수 있다. 어떤 경우, 그레이엄이 발견한 30만 대의 취약한 서버는 잠재적으로 패치되지 않은 시스템의 지붕이 아닌 바닥이 될 수 있는 것으로 나타났다. 게다가 전세계 많은 시스템이 여전히 오픈SSL을 하트블리드 버그에 대해 방어하도록 보안되지 않은 것은 분명하다. 그리고 이들은 빠른 시일 내에 바뀔 것 같지 않다. 최초로 아스테크니카(ArsTechnica)가 보고한 별도의 보안 연구 검사 결과, 지난 2주 동안 패치...

서버 공격 하트블리드

2014.05.12

오픈SSL 하트블리드 버그가 등장한 지 약 한달 후인 현재까지 전 세계적으로 많은 수의 서버가 여전히 공격에 취약한 것으로 조사됐다. 하트블리드 버그가 웹 보안 상태에 주의 경고를 준 지 한 달이 지난 현재 전 세계 30만 대 이상의 서버가 여전히 취약한 것으로 드러났다. 이는 에라타시큐티리의 로버트 그레이엄이 밝힌 서버 대수다. 그레이엄은 정확히 31만 8,239대의 서버가 여전히 하트블리드에 취약하며 이는 하트블리드가 처음 공개됐을 때 그가 발견한 60만 대보다 크게 줄어든 규모라고 말했다. 4월 초에 발견된 하트블리드는 공격자에게 웹 사이트의 암호화 키, 사용자 이름, 암호, 사용자 데이터를 노출시킬 가능성이 있는 치명적인 버그다. 이 취약점은 오픈SSL을 사용자의 브라우저와 웹 서버간의 통신을 보호하기 위해 설계된 인기있는 암호화 도구에서 발견됐다. 하지만 그레이엄이 밝힌 숫자에 대해서 우려하는 동안, 전반적인 내용은 알려지지 않았다. 그레이엄은 그가 SSL 통신에 사용되는 포트를 추가로 스캔할 수 있었지만 가장 일반적인 포트인 443에 초점을 맞췄다고 말했다. 또한 그는 SSL을 지원하는 2,200만 대의 시스템을 발견했는데 이는 한 달 전 2,800만 대보다 줄어든 것이라고 밝혔다. 발견된 시스템이 600만 대 줄어들었다는 것은 하트블리드 취약점 스캔을 탐지하고 차단하는 더 많은 시스템에 기인할 수도 있다고 그레이엄은 주장했다. 그레이엄의 ISP에서 트래픽 병목 현상이 요인이 있을 수 있다. 어떤 경우, 그레이엄이 발견한 30만 대의 취약한 서버는 잠재적으로 패치되지 않은 시스템의 지붕이 아닌 바닥이 될 수 있는 것으로 나타났다. 게다가 전세계 많은 시스템이 여전히 오픈SSL을 하트블리드 버그에 대해 방어하도록 보안되지 않은 것은 분명하다. 그리고 이들은 빠른 시일 내에 바뀔 것 같지 않다. 최초로 아스테크니카(ArsTechnica)가 보고한 별도의 보안 연구 검사 결과, 지난 2주 동안 패치...

2014.05.12

코딩 실수 덕분에... 일부 안드로이드 앱이 하트블리드 피한 사연

하트블리트 버그에 취약할 것으로 간주됐던 몇몇 안드로이드 앱이 사실상 스스로 치료된 것으로 드러났다. 우습게도 네이티브 오픈SSL 라이브러리가 도입된 과정에서 발생한 코딩 오류 덕분이었다. 보안기업 파이어아이는 하트블리드 취약점 노출을 확인하기 위해 총 5만 4,000개의 안드로이드 애플리케이션을 검사했다. 지난 4월 7일 대중에게 공개된 이 취약점은 오픈SSL 코드 라이브러리에 내장됐던 것이다. 파이어아이 측은 조사 결과 몇몇 게임과 오피스 기반 애플리케이션이 취약하다는 사실을 발견했다. 원인은 대개 이들 애플리케이션이 안드로이드 OS의 라이브러리가 아닌 독자적인 네이티브 오픈SSL 라이브러리를 이용하고 있기 때문이었다. 율롱 창을 비롯한 3인의 연구진은 회사 블로그를 통해 "이에 따라 개발자들에게 이 사실을 통보했다"라고 밝혔다. 하지만 몇몇 안드로이드 오피스 앱의 경우 처음에는 취약한 것처럼 보였지만 자세히 분석한 결과 하트블리드 버그가 동작하지 않는다는 사실을 발견했다. 공통적인 코딩 실수 덕분이었다. 연구진은 "자세히 살펴본 결과 이들 앱은 네이티브 코드 연결 상에서 실수가 있었거나 죽은 코드를 보유하고 있었다"라고 밝혔다. 이어 "이에 따라 SSL 기능을 호출하려 하면 취약하지 않은 오픈SSL 라이브러리(안드로이드 OS 내장)로 연결됐다"라고 설명했다. ciokr@idg.co.kr

안드로이드 코딩 하트블리드

2014.04.23

하트블리트 버그에 취약할 것으로 간주됐던 몇몇 안드로이드 앱이 사실상 스스로 치료된 것으로 드러났다. 우습게도 네이티브 오픈SSL 라이브러리가 도입된 과정에서 발생한 코딩 오류 덕분이었다. 보안기업 파이어아이는 하트블리드 취약점 노출을 확인하기 위해 총 5만 4,000개의 안드로이드 애플리케이션을 검사했다. 지난 4월 7일 대중에게 공개된 이 취약점은 오픈SSL 코드 라이브러리에 내장됐던 것이다. 파이어아이 측은 조사 결과 몇몇 게임과 오피스 기반 애플리케이션이 취약하다는 사실을 발견했다. 원인은 대개 이들 애플리케이션이 안드로이드 OS의 라이브러리가 아닌 독자적인 네이티브 오픈SSL 라이브러리를 이용하고 있기 때문이었다. 율롱 창을 비롯한 3인의 연구진은 회사 블로그를 통해 "이에 따라 개발자들에게 이 사실을 통보했다"라고 밝혔다. 하지만 몇몇 안드로이드 오피스 앱의 경우 처음에는 취약한 것처럼 보였지만 자세히 분석한 결과 하트블리드 버그가 동작하지 않는다는 사실을 발견했다. 공통적인 코딩 실수 덕분이었다. 연구진은 "자세히 살펴본 결과 이들 앱은 네이티브 코드 연결 상에서 실수가 있었거나 죽은 코드를 보유하고 있었다"라고 밝혔다. 이어 "이에 따라 SSL 기능을 호출하려 하면 취약하지 않은 오픈SSL 라이브러리(안드로이드 OS 내장)로 연결됐다"라고 설명했다. ciokr@idg.co.kr

2014.04.23

"웹 사이트 대부분, 하트블리드 결함 해결"

전세계 웹 1,000대 사이트는 자사의 서버들을 보호하기 위해 하트블리드(Heartbleed) 결함을 해결했지만 톱 100만 사이트 가운데 2%는 아직 문제를 해결하지 못하고 취약한 상태로 남아있다. 캘리포니아주 메니피에 소재한 수쿠리 시큐리티(Sucuri Security)는 알렉사 인터넷(Alexa Internet)에 의해 순위가 매겨진 전세계 톱 100만 웹사이트를 살펴본 결과다. 알렉사 인터넷은 웹 트래픽 데이터를 수집하는 아마존의 자회사다. 수쿠리 CTO 다니엘 시드는 "톱 1000대 웹사이트는 모두 최신의 오픈SSL(OpenSSL) 라이브러리로 패치했음을 확인했다"고 전했다. 오픈SSL 내에 결함을 지칭하는 하트블리드는 SSL(Secure Sockets Layer) 또는 TLS(Transport Security Layer) 암호화를 할 수 있는 오픈소스 암호 라이브러리 결함으로, 구글 보안 엔지니어 닐 메타와 보안업체인 코데노미콘 연구원들에 의해 각각 발견됐다. 이 버그는 2011년 말, 오픈SSL에 소개됐다. 오픈SSL이 웹사이트에서 광범위하게 사용하고 있기 때문에 많은 이들이 그들 서버와 고객 간 트래픽을 암호화하는 데 의존한다. 하트블리드 결함은 매우 은밀하게 악용할 수 있다. 보안전문가들은 사용자 이름, 비밀번호, 심지어 사이트 서버에 사용된 암호화 키마저도 캐낼 수 있어 사이버범죄가 있었거나 있을 수 있음을 우려했다. 오픈SSL 프로젝트는 지난 4월 7일 서버용 소프트웨어와 일부 클라이언트 운영체제에 대한 버그 패치를 발표했다. 열흘이 지난 4월 17일, 취약점을 가졌던 서버들은 대부분 패치했다. 수쿠리는 "알렉사에 등재되어 있는 톱 1000대 사이트 모두 패치를 완료했다. 하지만 해당 리스트를 좀더 넓게 파악해 본 결과, 여전히 취약점을 갖고 있는 사이트를 발견할 수 있었다"며, "톱 1만 개 사이트에서는 0.53%가, 10만 개에서는 1.5%, 그리고 10...

오픈SSL 하트블리드

2014.04.23

전세계 웹 1,000대 사이트는 자사의 서버들을 보호하기 위해 하트블리드(Heartbleed) 결함을 해결했지만 톱 100만 사이트 가운데 2%는 아직 문제를 해결하지 못하고 취약한 상태로 남아있다. 캘리포니아주 메니피에 소재한 수쿠리 시큐리티(Sucuri Security)는 알렉사 인터넷(Alexa Internet)에 의해 순위가 매겨진 전세계 톱 100만 웹사이트를 살펴본 결과다. 알렉사 인터넷은 웹 트래픽 데이터를 수집하는 아마존의 자회사다. 수쿠리 CTO 다니엘 시드는 "톱 1000대 웹사이트는 모두 최신의 오픈SSL(OpenSSL) 라이브러리로 패치했음을 확인했다"고 전했다. 오픈SSL 내에 결함을 지칭하는 하트블리드는 SSL(Secure Sockets Layer) 또는 TLS(Transport Security Layer) 암호화를 할 수 있는 오픈소스 암호 라이브러리 결함으로, 구글 보안 엔지니어 닐 메타와 보안업체인 코데노미콘 연구원들에 의해 각각 발견됐다. 이 버그는 2011년 말, 오픈SSL에 소개됐다. 오픈SSL이 웹사이트에서 광범위하게 사용하고 있기 때문에 많은 이들이 그들 서버와 고객 간 트래픽을 암호화하는 데 의존한다. 하트블리드 결함은 매우 은밀하게 악용할 수 있다. 보안전문가들은 사용자 이름, 비밀번호, 심지어 사이트 서버에 사용된 암호화 키마저도 캐낼 수 있어 사이버범죄가 있었거나 있을 수 있음을 우려했다. 오픈SSL 프로젝트는 지난 4월 7일 서버용 소프트웨어와 일부 클라이언트 운영체제에 대한 버그 패치를 발표했다. 열흘이 지난 4월 17일, 취약점을 가졌던 서버들은 대부분 패치했다. 수쿠리는 "알렉사에 등재되어 있는 톱 1000대 사이트 모두 패치를 완료했다. 하지만 해당 리스트를 좀더 넓게 파악해 본 결과, 여전히 취약점을 갖고 있는 사이트를 발견할 수 있었다"며, "톱 1만 개 사이트에서는 0.53%가, 10만 개에서는 1.5%, 그리고 10...

2014.04.23

"하트블리드 북새통, 급할수록 원칙 지켜라" 카스퍼스키

하트블리드 취약점에 대한 방어 노력이 뜨겁다. 그러나 자칫 새로운 위협에 스스로를 노출시킬 가능성에도 주의해야 한다는 지적이 제기됐다. 카스퍼스키 랩 최고 연구가는 지난 주 발견된 이 오픈SSL 취약점에 성급히 반응할 경우 사이버 공격자들이 이로 인한 혼돈 상황을 악용할 수 있다고 경고했다. 하트블리드 취약점을 악용하면 서버나 네트워킹 기기로부터 패스워드나 암호화 키를 탈취할 수 있다. 이는 지난 4월 7일 노출되기까지 약 2년 동안 오픈SSL 암호화 커뮤니케이션 도구에 내재돼 있었다. 지난 7일 이후 수많은 기업,기관의 IT 부서는 그야말로 북새통을 이루고 있다. 사용 중인 오픈SSL 소프트웨어를 업데이트하고 오래된 디지털 인증서를 폐기하는 한편 사설 암호화 키를 재발급하거나 서비스를 재시작하는 등의 작업을 조속히 진행해야 하기 때문이다. 카스퍼스키의 글로벌 리서치 & 분석 팀의 보안 연구 수석 커트 범가트너는 그러나 이러한 북새통이 APT(advanced persisten threats) 공격자들에게 매력적인 환경일 수 있다고 경고했다. 범가트너는 "예상치 못했던 긴급 상황이다. 이런 상황에서는 흔히 어떤 일을 벌이는가? 규칙을 무시하는 것이다"라고 말했다. 그는 이어 수리 작업이 진행될 때 관리자들은 인증서가 어디에 저장되는 지 등과 같은 세부사항에 주의를 기울여야 한다고 권고했다. 범가트너는 "들키지 않고 데이터를 빼내려는 이들이 좋아할 만한 상황이다"라며 잘못된 장소에 인증서가 저장되면 공격자들이 추후 침입하는 상황이 발생할 수 있다고 말했다. 그는 이어 "조만간 일어날 문제다. 향후 6개월~1년 내에 이같은 결과가 나타날 것으로 본다"라고 전했다. ciokr@idg.co.kr

카스퍼스키 하트블리드

2014.04.16

하트블리드 취약점에 대한 방어 노력이 뜨겁다. 그러나 자칫 새로운 위협에 스스로를 노출시킬 가능성에도 주의해야 한다는 지적이 제기됐다. 카스퍼스키 랩 최고 연구가는 지난 주 발견된 이 오픈SSL 취약점에 성급히 반응할 경우 사이버 공격자들이 이로 인한 혼돈 상황을 악용할 수 있다고 경고했다. 하트블리드 취약점을 악용하면 서버나 네트워킹 기기로부터 패스워드나 암호화 키를 탈취할 수 있다. 이는 지난 4월 7일 노출되기까지 약 2년 동안 오픈SSL 암호화 커뮤니케이션 도구에 내재돼 있었다. 지난 7일 이후 수많은 기업,기관의 IT 부서는 그야말로 북새통을 이루고 있다. 사용 중인 오픈SSL 소프트웨어를 업데이트하고 오래된 디지털 인증서를 폐기하는 한편 사설 암호화 키를 재발급하거나 서비스를 재시작하는 등의 작업을 조속히 진행해야 하기 때문이다. 카스퍼스키의 글로벌 리서치 & 분석 팀의 보안 연구 수석 커트 범가트너는 그러나 이러한 북새통이 APT(advanced persisten threats) 공격자들에게 매력적인 환경일 수 있다고 경고했다. 범가트너는 "예상치 못했던 긴급 상황이다. 이런 상황에서는 흔히 어떤 일을 벌이는가? 규칙을 무시하는 것이다"라고 말했다. 그는 이어 수리 작업이 진행될 때 관리자들은 인증서가 어디에 저장되는 지 등과 같은 세부사항에 주의를 기울여야 한다고 권고했다. 범가트너는 "들키지 않고 데이터를 빼내려는 이들이 좋아할 만한 상황이다"라며 잘못된 장소에 인증서가 저장되면 공격자들이 추후 침입하는 상황이 발생할 수 있다고 말했다. 그는 이어 "조만간 일어날 문제다. 향후 6개월~1년 내에 이같은 결과가 나타날 것으로 본다"라고 전했다. ciokr@idg.co.kr

2014.04.16

파이오링크, 하트블리드 보안 취약점 관련 업데이트 발표

파이오링크가 SSL 관련 ‘하트블리드(Heartbleed)’ 보안 취약점에 대한 긴급 업데이트를 완료했다고 밝혔다. 조영철 대표이사는 “SSL에 대한 고객들의 관심 및 사용이 증가하는 상황에서, 보안에 큰 영향을 줄 수 있는 취약점이 발표돼 고객들의 불안감이 커졌다”며, “이러한 고객불안을 최우선으로 빠르게 대처하고자 긴급 업데이트를 진행하게 됐고, 파이오링크 제품을 도입하고 운용하는 고객들은 항상 최선의 안전성을 보장받을 수 있도록 최선의 고객서비스 및 제품개발에 나설 것”임을 말했다. 이번 SSL 하드블리드 취약점에 해당되는 제품은 파이오링크 PAS-K의 하드웨어 SSL 가속 옵션 모델이다. ciokr@idg.co.kr

파이오링크 하트블리드

2014.04.11

파이오링크가 SSL 관련 ‘하트블리드(Heartbleed)’ 보안 취약점에 대한 긴급 업데이트를 완료했다고 밝혔다. 조영철 대표이사는 “SSL에 대한 고객들의 관심 및 사용이 증가하는 상황에서, 보안에 큰 영향을 줄 수 있는 취약점이 발표돼 고객들의 불안감이 커졌다”며, “이러한 고객불안을 최우선으로 빠르게 대처하고자 긴급 업데이트를 진행하게 됐고, 파이오링크 제품을 도입하고 운용하는 고객들은 항상 최선의 안전성을 보장받을 수 있도록 최선의 고객서비스 및 제품개발에 나설 것”임을 말했다. 이번 SSL 하드블리드 취약점에 해당되는 제품은 파이오링크 PAS-K의 하드웨어 SSL 가속 옵션 모델이다. ciokr@idg.co.kr

2014.04.11

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6