Offcanvas

������������ ������

블로그ㅣSW 공급망 보안, ‘SBOM’만으론 부족하다

솔라윈즈(SolarWinds) 해킹 여파로 ‘공급망 보안’이 산업과 관계없이 모든 기업에서 중요한 문제로 떠올랐다.  이에 美 사이버 보안 및 인프라 보안국(CISA)은 정보통신기술(ICT) 공급망 위험 관리 태스크포스를 구성하기도 했다. 공급망 보안을 강화하는 실행 가능한 전략 개발을 목표로 공공 및 민간 기관을 통합하려는 조치다.    코얼파이어(Coalfire)의 최신 소프트웨어 공급망 위험 보고서는 “소프트웨어 공급망 및 제품 개발 라이프사이클 내에서의 위험 관리가 기존에 물리적 재고 및 장비 공급 라인의 보호만큼 중요해졌다”라고 밝혔다. 아울러 해당 보고서에서 인용된 코얼파이어와 사이버리스크 얼라이언스(CyberRisk Alliance)가 공동으로 실시한 설문조사에서는 관리자의 52%가 공격에 노출된 소프트웨어를 우려하고 있는 것으로 나타났다.  한편 CISA는 소프트웨어 공급망 공격 방어 지침을 발표했다. 여기에는 기업 및 소프트웨어 공급업체가 위험을 최소화할 수 있는 권장 사항도 포함돼 있다. 6가지 벡터는 다음과 같다.  1. 설계 2. 개발 및 생산 3. 유통 4. 획득 및 배포 5. 유지보수 6. 폐기(IT 자산 처분(ITAD)) SBOM만으로는 ‘너무나 부족’하다 코얼파이어의 제품 전략 부문 부사장 댄 코넬은 하나의 방식이 모든 경우에 다 적용될 순 없다면서, 기업마다 위험을 평가하고 이해하는 방식이 다르다고 말했다. 그는 기존 보안 관리에 서비스 수준 계약(SLA), 측정 가능한 결과 등이 어떻게 포함됐는지 언급하면서, “소프트웨어 제작 회사가 ‘SBOM만 사용하는 것’은 최소한의 접근 방식이며, 이는 너무나도 부족하다”라고 지적했다.  이어 그는 “진정한 공급망 가시성은 SBOM만으론 제공되지 않는다. SBOM을 넘어서 투명성을 확보해야 하지만 업계가 그런 욕구를 가지고 있는지는 모르겠다”라고 덧붙였다.  소프트웨어 구매를 지연시키는 위험 가시성 부족 코넬은 (...

소프트웨어 공급망 보안 솔라윈즈 해킹 공급망 보안 SBOM 위험 관리 애플리케이션 보안

2022.08.26

솔라윈즈(SolarWinds) 해킹 여파로 ‘공급망 보안’이 산업과 관계없이 모든 기업에서 중요한 문제로 떠올랐다.  이에 美 사이버 보안 및 인프라 보안국(CISA)은 정보통신기술(ICT) 공급망 위험 관리 태스크포스를 구성하기도 했다. 공급망 보안을 강화하는 실행 가능한 전략 개발을 목표로 공공 및 민간 기관을 통합하려는 조치다.    코얼파이어(Coalfire)의 최신 소프트웨어 공급망 위험 보고서는 “소프트웨어 공급망 및 제품 개발 라이프사이클 내에서의 위험 관리가 기존에 물리적 재고 및 장비 공급 라인의 보호만큼 중요해졌다”라고 밝혔다. 아울러 해당 보고서에서 인용된 코얼파이어와 사이버리스크 얼라이언스(CyberRisk Alliance)가 공동으로 실시한 설문조사에서는 관리자의 52%가 공격에 노출된 소프트웨어를 우려하고 있는 것으로 나타났다.  한편 CISA는 소프트웨어 공급망 공격 방어 지침을 발표했다. 여기에는 기업 및 소프트웨어 공급업체가 위험을 최소화할 수 있는 권장 사항도 포함돼 있다. 6가지 벡터는 다음과 같다.  1. 설계 2. 개발 및 생산 3. 유통 4. 획득 및 배포 5. 유지보수 6. 폐기(IT 자산 처분(ITAD)) SBOM만으로는 ‘너무나 부족’하다 코얼파이어의 제품 전략 부문 부사장 댄 코넬은 하나의 방식이 모든 경우에 다 적용될 순 없다면서, 기업마다 위험을 평가하고 이해하는 방식이 다르다고 말했다. 그는 기존 보안 관리에 서비스 수준 계약(SLA), 측정 가능한 결과 등이 어떻게 포함됐는지 언급하면서, “소프트웨어 제작 회사가 ‘SBOM만 사용하는 것’은 최소한의 접근 방식이며, 이는 너무나도 부족하다”라고 지적했다.  이어 그는 “진정한 공급망 가시성은 SBOM만으론 제공되지 않는다. SBOM을 넘어서 투명성을 확보해야 하지만 업계가 그런 욕구를 가지고 있는지는 모르겠다”라고 덧붙였다.  소프트웨어 구매를 지연시키는 위험 가시성 부족 코넬은 (...

2022.08.26

솔라윈즈, 차세대 ‘병렬 빌드’ 시스템 발표… 보안 내재화에 총력

솔라윈즈가 치명적인 피해를 본 공급망 공격을 교훈 삼아 보안을 한층 강화한 새 소프트웨어 개발 시스템을 구축했다고 30일 밝혔다.    2020년, 한 해커 조직이 ‘선버스트(Sunburst)’라 불리는 악성 코드를 솔라윈즈의 소프트웨어 개발 시스템 오리온(Orion)에 심어 큰 타격을 가한 이래로 이 회사는 공급망 공격의 대명사격이 됐다. 선버스트는 오리온을 업데이트한 전 세계의 수많은 정부와 기업 고객에게 유포되어 막대한 피해를 줬다.  솔라윈즈는 이 사태로 뼈아픈 교훈을 얻었다. 그리고 교훈의 결과로 지난 22일(현지 시각) 차세대 빌드 시스템(Next-Generation Build System)을 발표했다. 소프트웨어 개발 환경의 무결성을 강화하는 일련의 기술을 포함한 시스템이다. 업계 최초로 적용한 ‘병렬 빌드(parallel build)’ 프로세스가 특징이라고 회사는 밝혔다. 이 프로세스에서는 소프트웨어 개발이 여러 개의 안전한 중복 경로를 거쳐 이뤄지면서 무결성 검사를 위한 기반을 구축한다는 설명이다.  451 리서치(451 Research)의 정보 보안 및 네트워킹 연구 책임자 다니엘 케네디는 "빌드 시스템에 컴파일된 바이너리가 해당 바이너리를 생성하는 데 쓰인 소스 코드와 일치하는지 확인하는 무결성 검사 절차가 없는 경우, 이러한 새 접근방식은 보안을 크게 강화할 것”이라고 평가했다. 그는 “새로운 시스템이 (예상보다) 비교적 이른 시일 안에 개발되었기 때문에 완성도가 높으리라고 보장하기는 어렵다. 다만 새로운 위협 발생 시 더 신속하게 대응하는 듯하다. 또한 새 시스템은 설계상 더 높은 투명성을 확보해 소프트웨어 개선, 유지, 개발의 속도와 안정성을 높일 것이다”라고 덧붙였다.  기술 자문 회사 옴디아(Omdia)의 사이버 보안 부문 수석 애널리스트 릭 터너는 "앱데브(AppDev)에 대한 CI/CD 파이프라인 접근 방식은 선형적일 뿐만 아니라 기본적으로 단일 경로에 의존한다. 따...

무결성 병렬 처리 병렬빌드 솔라윈즈 솔라윈즈 해킹

2022.06.30

솔라윈즈가 치명적인 피해를 본 공급망 공격을 교훈 삼아 보안을 한층 강화한 새 소프트웨어 개발 시스템을 구축했다고 30일 밝혔다.    2020년, 한 해커 조직이 ‘선버스트(Sunburst)’라 불리는 악성 코드를 솔라윈즈의 소프트웨어 개발 시스템 오리온(Orion)에 심어 큰 타격을 가한 이래로 이 회사는 공급망 공격의 대명사격이 됐다. 선버스트는 오리온을 업데이트한 전 세계의 수많은 정부와 기업 고객에게 유포되어 막대한 피해를 줬다.  솔라윈즈는 이 사태로 뼈아픈 교훈을 얻었다. 그리고 교훈의 결과로 지난 22일(현지 시각) 차세대 빌드 시스템(Next-Generation Build System)을 발표했다. 소프트웨어 개발 환경의 무결성을 강화하는 일련의 기술을 포함한 시스템이다. 업계 최초로 적용한 ‘병렬 빌드(parallel build)’ 프로세스가 특징이라고 회사는 밝혔다. 이 프로세스에서는 소프트웨어 개발이 여러 개의 안전한 중복 경로를 거쳐 이뤄지면서 무결성 검사를 위한 기반을 구축한다는 설명이다.  451 리서치(451 Research)의 정보 보안 및 네트워킹 연구 책임자 다니엘 케네디는 "빌드 시스템에 컴파일된 바이너리가 해당 바이너리를 생성하는 데 쓰인 소스 코드와 일치하는지 확인하는 무결성 검사 절차가 없는 경우, 이러한 새 접근방식은 보안을 크게 강화할 것”이라고 평가했다. 그는 “새로운 시스템이 (예상보다) 비교적 이른 시일 안에 개발되었기 때문에 완성도가 높으리라고 보장하기는 어렵다. 다만 새로운 위협 발생 시 더 신속하게 대응하는 듯하다. 또한 새 시스템은 설계상 더 높은 투명성을 확보해 소프트웨어 개선, 유지, 개발의 속도와 안정성을 높일 것이다”라고 덧붙였다.  기술 자문 회사 옴디아(Omdia)의 사이버 보안 부문 수석 애널리스트 릭 터너는 "앱데브(AppDev)에 대한 CI/CD 파이프라인 접근 방식은 선형적일 뿐만 아니라 기본적으로 단일 경로에 의존한다. 따...

2022.06.30

“사이버 공격, 2020년 대비 2021년에 평균 50% 증가”

체크포인트 소프트웨어 테크놀로지스의 위협 인텔리전스 조직 체크포인트 리서치(CPR)가 2022 보안 보고서를 발표했다. 완전히 새로운 차원의 정교함과 확산세를 보여주며 지난해 초 발생한 솔라윈즈 공격(SolarWinds attack)에서부터, 12월 아파치 로그4j 취약성 공격 급증에 이르기까지 2022 보안 보고서는 2021년 CPR이 목격한 핵심적인 공격 벡터와 기술을 공개했다. 보고서에 따르면 조직들은 지난해 전반적으로 2020년 대비 50% 더 많은 주간 사이버 공격을 경험한 것으로 조사됐다. 그 중 교육/연구 분야는 1,605건의 주간 공격으로 선두를 차지했다(75% 증가). 그 뒤를 1,136건의 정부/국방분야(47% 증가)와 1,079건의 통신 분야(51% 증가)가 차지했다. 소프트웨어 벤더들은 전년대비 146%에 해당하는 최대폭의 공격을 경험했으며, 이는 2021년 관측된 소프트웨어 공급망 공격의 지속적인 증가와 함께 나타났다. 작년에는 또한 모바일 디바이스에 대한 공격 증가, 주요 클라우드 서비스의 취약성 증가, 악명높은 이모텟(Emotet) 봇넷의 재등장도 확인됐다.   악명 높은 솔라윈즈 공격은 공급망 공격 광란의 토대가 됐고, 2021년에는 4월에 코드코브(Codecov) 7월에 카세야(Kaseya) 등 수 많은 고도화된 공격이 나타났으며, 12월에 알려진 로그4j 취약성으로 마무리 됐다. 2021년에는 핵심 인프라를 표적으로 삼는 공격이 다수 발생했으며, 이로 인해 개인의 일상생활에 큰 지장이 발생했고, 일부 사례에서는 심지어 신체 안전에 대한 위협감 마저 느끼게 될 정도였다. 이전에 비해 2021년에는 클라우드 제공업체의 취약성이 훨씬 더 우려스러웠다. 1년간 공개된 취약점으로 인해 다양한 시점에 공격자들은 임의의 코드를 실행하고, 루트 권한을 얻어 수많은 개인 콘텐츠에 접근하고 심지어 다양한 환경을 오갈 수가 있었다. 1년간, 위협 행위자들은 멀웨어 확산을 위해 스미싱(SMS 피싱)을 점점 더 많이 사용하...

체크포인트 소프트웨어 테크놀로지스 체크포인트 리서치 CPR 솔라윈즈 해킹 사이버 공격

2022.03.10

체크포인트 소프트웨어 테크놀로지스의 위협 인텔리전스 조직 체크포인트 리서치(CPR)가 2022 보안 보고서를 발표했다. 완전히 새로운 차원의 정교함과 확산세를 보여주며 지난해 초 발생한 솔라윈즈 공격(SolarWinds attack)에서부터, 12월 아파치 로그4j 취약성 공격 급증에 이르기까지 2022 보안 보고서는 2021년 CPR이 목격한 핵심적인 공격 벡터와 기술을 공개했다. 보고서에 따르면 조직들은 지난해 전반적으로 2020년 대비 50% 더 많은 주간 사이버 공격을 경험한 것으로 조사됐다. 그 중 교육/연구 분야는 1,605건의 주간 공격으로 선두를 차지했다(75% 증가). 그 뒤를 1,136건의 정부/국방분야(47% 증가)와 1,079건의 통신 분야(51% 증가)가 차지했다. 소프트웨어 벤더들은 전년대비 146%에 해당하는 최대폭의 공격을 경험했으며, 이는 2021년 관측된 소프트웨어 공급망 공격의 지속적인 증가와 함께 나타났다. 작년에는 또한 모바일 디바이스에 대한 공격 증가, 주요 클라우드 서비스의 취약성 증가, 악명높은 이모텟(Emotet) 봇넷의 재등장도 확인됐다.   악명 높은 솔라윈즈 공격은 공급망 공격 광란의 토대가 됐고, 2021년에는 4월에 코드코브(Codecov) 7월에 카세야(Kaseya) 등 수 많은 고도화된 공격이 나타났으며, 12월에 알려진 로그4j 취약성으로 마무리 됐다. 2021년에는 핵심 인프라를 표적으로 삼는 공격이 다수 발생했으며, 이로 인해 개인의 일상생활에 큰 지장이 발생했고, 일부 사례에서는 심지어 신체 안전에 대한 위협감 마저 느끼게 될 정도였다. 이전에 비해 2021년에는 클라우드 제공업체의 취약성이 훨씬 더 우려스러웠다. 1년간 공개된 취약점으로 인해 다양한 시점에 공격자들은 임의의 코드를 실행하고, 루트 권한을 얻어 수많은 개인 콘텐츠에 접근하고 심지어 다양한 환경을 오갈 수가 있었다. 1년간, 위협 행위자들은 멀웨어 확산을 위해 스미싱(SMS 피싱)을 점점 더 많이 사용하...

2022.03.10

“솔라윈즈 공격 후 1년”··· 2021 네트워크 보안 사고가 남긴 교훈 4가지

2021년의 마지막 날이다. 보안 전문가들이 다가오는 2022년의 보안 문제를 전망하고 있다. 내년에 어떤 일이 일어날지 예측하는 것도 중요하지만 올 한 해를 달군 보안 위협을 뒤돌아보면서 교훈을 얻는 것도 중요하다.    솔라윈즈 공격: 벤더의 보안 태세를 알고 있어야 한다  솔라윈즈 소프트웨어 공급망 공격이 발생한 지 1년이 됐지만 아직도 이 공격 유형의 가능성을 완전하게 파악하지는 못했다. 공격자들은 은밀했고, 공격을 받은 회사 가운데 하나인 파이어아이(FireEye)가 침입을 모니터링하고 감지하는 역량이 뛰어났기 때문에 포착될 수 있었다.  기업들이 이러한 공격이 발생했는지 알 수 있는 도구와 리소스를 갖추고 있는지 의문이다. 이를 몰랐을 뿐만 아니라 알 수 있을 만한 리소스도 없는 회사가 많으리라 예상된다. 마이크로소프트에 따르면 공격자들은 높은 액세스 권한을 가진 계정을 포함해 조직의 기존 사용자 및 계정을 모방하는 SAML 토큰을 위조할 수 있었다.  이는 조직에 설치한 소프트웨어의 출처를 고려해야 한다는 뜻이다. 여기에 조직의 보안 프로세스는 말할 것도 없고, 소프트웨어 벤더와 해당 업체의 보안 프로세스까지도 신뢰할 수 있는지 확인해야 한다.  교훈: 소프트웨어 벤더와 (해당 업체의) 보안 프로세스를 검토하라. 특히 액세스 권한이 높은 계정의 비정상적인 행위를 찾아야 한다. 새 연합 트러스트를 생성하거나 메일읽기(mail.read) 또는 메일읽기/쓰기(mail..readwrite) 등의 작업을 수행하는 프로세스에 인증이 추가될 때도 조사해야 한다. 이 밖에 네트워크 경계 방화벽에서 알려진 C2 엔드포인트를 차단해야 한다.  익스체인지 서버 공격: 레거시 시스템을 보호하라  지난 3월 매우 파괴적인 공격이 발생했다. 로컬로 설치된 익스체인지 서버가 제로-데이 결함을 사용하는 직접적인 공격을 받은 것이다. 마이크로소프트는 처음엔 (이것이) 표적 공격이라고 밝혔지만, 이...

솔라윈즈 해킹 공급망 공격 보안 네트워크 보안 보안 위협 보안 사고 익스체인지 서버 공격 제로데이 취약점 프린트나이트메어 랜섬웨어 사이버 공격

2021.12.31

2021년의 마지막 날이다. 보안 전문가들이 다가오는 2022년의 보안 문제를 전망하고 있다. 내년에 어떤 일이 일어날지 예측하는 것도 중요하지만 올 한 해를 달군 보안 위협을 뒤돌아보면서 교훈을 얻는 것도 중요하다.    솔라윈즈 공격: 벤더의 보안 태세를 알고 있어야 한다  솔라윈즈 소프트웨어 공급망 공격이 발생한 지 1년이 됐지만 아직도 이 공격 유형의 가능성을 완전하게 파악하지는 못했다. 공격자들은 은밀했고, 공격을 받은 회사 가운데 하나인 파이어아이(FireEye)가 침입을 모니터링하고 감지하는 역량이 뛰어났기 때문에 포착될 수 있었다.  기업들이 이러한 공격이 발생했는지 알 수 있는 도구와 리소스를 갖추고 있는지 의문이다. 이를 몰랐을 뿐만 아니라 알 수 있을 만한 리소스도 없는 회사가 많으리라 예상된다. 마이크로소프트에 따르면 공격자들은 높은 액세스 권한을 가진 계정을 포함해 조직의 기존 사용자 및 계정을 모방하는 SAML 토큰을 위조할 수 있었다.  이는 조직에 설치한 소프트웨어의 출처를 고려해야 한다는 뜻이다. 여기에 조직의 보안 프로세스는 말할 것도 없고, 소프트웨어 벤더와 해당 업체의 보안 프로세스까지도 신뢰할 수 있는지 확인해야 한다.  교훈: 소프트웨어 벤더와 (해당 업체의) 보안 프로세스를 검토하라. 특히 액세스 권한이 높은 계정의 비정상적인 행위를 찾아야 한다. 새 연합 트러스트를 생성하거나 메일읽기(mail.read) 또는 메일읽기/쓰기(mail..readwrite) 등의 작업을 수행하는 프로세스에 인증이 추가될 때도 조사해야 한다. 이 밖에 네트워크 경계 방화벽에서 알려진 C2 엔드포인트를 차단해야 한다.  익스체인지 서버 공격: 레거시 시스템을 보호하라  지난 3월 매우 파괴적인 공격이 발생했다. 로컬로 설치된 익스체인지 서버가 제로-데이 결함을 사용하는 직접적인 공격을 받은 것이다. 마이크로소프트는 처음엔 (이것이) 표적 공격이라고 밝혔지만, 이...

2021.12.31

前 CISA 국장 "美 사이버안보, CIO들의 역할이 중요하다"

“美 정부의 사이버보안 행정명령을 간과하는 CIO는 위험을 감수해야 한다.” 미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency; CISA) 前 국장 크리스 크렙스가 ‘가트너 IT 심포지엄/엑스포(Gartner IT Symposium/Xpo)’ 기조연설에서 강조한 내용이다. 크렙스는 지난 5월 발표된 바이든 행정부의 사이버보안 행정명령을 언급하면서, “CIO가 이 행정명령의 기본 규정 준수를 우려하기보다는 향후 예상되는 공격 증가와 추가적인 사이버보안 명령에 대비해 인프라를 최대한 강화해야 한다”라고 말했다.    이어서 그는 “미국 경제의 연속성과 밀접한 관련이 있는 중요 산업들이 위험에 처해 있다. 또 지난 몇 년간의 사건을 본다면 이러한 컴플라이언스 체제는 강화될 것이라고 예상한다”라면서, “보안 프로그램에 들어가는 비용을 지출하고 있기 때문에 체크리스트 기반의 접근법만 사용하는 환경을 원하지 않을 것이다”라고 전했다. 작년 말 美 전역을 뒤흔든 솔라윈즈 해킹 사건부터 올해 미국 송유관 업체 콜로니얼 파이프라인과 정육 업체 JBS에서 랜섬웨어 공격으로 각각 미화 440만 달러, 1,100만 달러의 몸값을 지불해야 했던 사건까지 사이버보안 문제가 계속 심각해지면서 바이든 행정부는 긴급 조치에 나섰다.  지난 5월 소프트웨어 조달 및 MFA 아키텍처 도입 의무화에 관한 새로운 명령과 공공 및 민간 자산을 보호하기 위한 일련의 요구사항을 포함하는 행정명령을 발표한 것이다. 크렙스는 모든 사이버 공격이 국가 안보를 위협하기 때문에 CISA는 CIA, FBI, 국가안보국(NSA), 국가안전보장회의(NSC)와 함께 민관 협력을 조정하고, 확대하며, 행정명령을 시행하고 있다고 밝혔다. 공공 및 민간 부문의 CIO들도 인프라 보안에 앞다퉈 나서고 있다.  포브스 CIO 넥스트(Forbes CIO Next) 행사에서 나사(NASA)의 CIO 제프 시튼은...

CIO 사이버보안 미국 정부 바이든 행정부 랜섬웨어 콜로니얼 파이프라인 솔라윈즈 해킹 가트너 해킹 사이버 공격 사이버안보

2021.11.01

“美 정부의 사이버보안 행정명령을 간과하는 CIO는 위험을 감수해야 한다.” 미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency; CISA) 前 국장 크리스 크렙스가 ‘가트너 IT 심포지엄/엑스포(Gartner IT Symposium/Xpo)’ 기조연설에서 강조한 내용이다. 크렙스는 지난 5월 발표된 바이든 행정부의 사이버보안 행정명령을 언급하면서, “CIO가 이 행정명령의 기본 규정 준수를 우려하기보다는 향후 예상되는 공격 증가와 추가적인 사이버보안 명령에 대비해 인프라를 최대한 강화해야 한다”라고 말했다.    이어서 그는 “미국 경제의 연속성과 밀접한 관련이 있는 중요 산업들이 위험에 처해 있다. 또 지난 몇 년간의 사건을 본다면 이러한 컴플라이언스 체제는 강화될 것이라고 예상한다”라면서, “보안 프로그램에 들어가는 비용을 지출하고 있기 때문에 체크리스트 기반의 접근법만 사용하는 환경을 원하지 않을 것이다”라고 전했다. 작년 말 美 전역을 뒤흔든 솔라윈즈 해킹 사건부터 올해 미국 송유관 업체 콜로니얼 파이프라인과 정육 업체 JBS에서 랜섬웨어 공격으로 각각 미화 440만 달러, 1,100만 달러의 몸값을 지불해야 했던 사건까지 사이버보안 문제가 계속 심각해지면서 바이든 행정부는 긴급 조치에 나섰다.  지난 5월 소프트웨어 조달 및 MFA 아키텍처 도입 의무화에 관한 새로운 명령과 공공 및 민간 자산을 보호하기 위한 일련의 요구사항을 포함하는 행정명령을 발표한 것이다. 크렙스는 모든 사이버 공격이 국가 안보를 위협하기 때문에 CISA는 CIA, FBI, 국가안보국(NSA), 국가안전보장회의(NSC)와 함께 민관 협력을 조정하고, 확대하며, 행정명령을 시행하고 있다고 밝혔다. 공공 및 민간 부문의 CIO들도 인프라 보안에 앞다퉈 나서고 있다.  포브스 CIO 넥스트(Forbes CIO Next) 행사에서 나사(NASA)의 CIO 제프 시튼은...

2021.11.01

강은성의 보안 아키텍트ㅣ공급 사슬 보안, 어떻게 할까?

2020년 12월 파이어아이(FireEye)의 자체 조사로 드러난 솔라윈즈(SolarWinds) 공급 사슬(Supply-chain) 공격의 후폭풍이 여전히 진행 중이다. 이 사건은 공격자가 네트워크 관리 솔루션 기업 솔라윈즈의 원격 IT 모니터링 및 관리 소프트웨어인 오리온(Orion)의 패치를 통해 악성코드를 배포하여 오리온을 사용하는 조직에 침투한 사건이다. 이후 오리온 서버에 설치된 악성코드를 이용해 여러 다른 악성코드가 배포됐음이 드러났다. 미국 상무부, 국토안보부, 재무부, 에너지부 등 연방정부뿐 아니라 민간 기업도 여럿 피해를 당했고, 지난 4월에는 유럽연합 6개 기관이 피해를 봤다는 뉴스도 나왔다.  공급 사슬을 통한 보안 공격이 이슈로 떠오른 것은 당대 세계 최고의 보안기술업체 위치를 점했던 RSA의 OTP 솔루션 SecurID의 기밀정보가 해킹됐던 때다.    2011년 SecurID의 기밀정보 해킹은 SecurID 고객사인 세계적인 군수업체 록히드마틴 등 쟁쟁한 기업에 대한 공격으로 이어졌고, 국내에서도 금융감독원이 각 은행의 SecurID 교체 현황을 발표할 정도로 영향이 있었다. 당시 만만치 않은 비용의 SecurID를 도입할 정도의 조직이면 보안이 중요한 대형 조직이기 때문에 파장이 더욱 컸다.  국내에서 공급 사슬이 주목받은 것은 2018년 10월 대법원에서 일제의 불법 강제 징용에 대한 배상 판결을 내린 뒤 일본이 이에 대한 ‘보복 조치’로 2019년 7월에 우리나라 핵심 반도체 소재 공급을 중단하면서부터다. 이때 우리는 세계 경제가 국경을 넘어 촘촘한 공급 사슬로 연결돼 있음을 알게 됐고 공급 사슬에 여전히 국경이 존재한다는 점 역시 깨닫게 됐다.  공급 사슬은 한 기업이 제품과 서비스를 제공하기 위해 기업 외부에서 제공받는 SW 및 장비, 부품, SW 모듈, 서비스를 포함한다. 한 마디로 매우 넓다. 협력업체 네트워크를 통해 대규모 고객정보 유출 사고가 발생한 미국의 소매점...

강은성의 보안 아키텍트 공급 사슬 공급 사슬 보안 보안 파이어아이 솔라윈즈 솔라윈즈 해킹

2021.05.17

2020년 12월 파이어아이(FireEye)의 자체 조사로 드러난 솔라윈즈(SolarWinds) 공급 사슬(Supply-chain) 공격의 후폭풍이 여전히 진행 중이다. 이 사건은 공격자가 네트워크 관리 솔루션 기업 솔라윈즈의 원격 IT 모니터링 및 관리 소프트웨어인 오리온(Orion)의 패치를 통해 악성코드를 배포하여 오리온을 사용하는 조직에 침투한 사건이다. 이후 오리온 서버에 설치된 악성코드를 이용해 여러 다른 악성코드가 배포됐음이 드러났다. 미국 상무부, 국토안보부, 재무부, 에너지부 등 연방정부뿐 아니라 민간 기업도 여럿 피해를 당했고, 지난 4월에는 유럽연합 6개 기관이 피해를 봤다는 뉴스도 나왔다.  공급 사슬을 통한 보안 공격이 이슈로 떠오른 것은 당대 세계 최고의 보안기술업체 위치를 점했던 RSA의 OTP 솔루션 SecurID의 기밀정보가 해킹됐던 때다.    2011년 SecurID의 기밀정보 해킹은 SecurID 고객사인 세계적인 군수업체 록히드마틴 등 쟁쟁한 기업에 대한 공격으로 이어졌고, 국내에서도 금융감독원이 각 은행의 SecurID 교체 현황을 발표할 정도로 영향이 있었다. 당시 만만치 않은 비용의 SecurID를 도입할 정도의 조직이면 보안이 중요한 대형 조직이기 때문에 파장이 더욱 컸다.  국내에서 공급 사슬이 주목받은 것은 2018년 10월 대법원에서 일제의 불법 강제 징용에 대한 배상 판결을 내린 뒤 일본이 이에 대한 ‘보복 조치’로 2019년 7월에 우리나라 핵심 반도체 소재 공급을 중단하면서부터다. 이때 우리는 세계 경제가 국경을 넘어 촘촘한 공급 사슬로 연결돼 있음을 알게 됐고 공급 사슬에 여전히 국경이 존재한다는 점 역시 깨닫게 됐다.  공급 사슬은 한 기업이 제품과 서비스를 제공하기 위해 기업 외부에서 제공받는 SW 및 장비, 부품, SW 모듈, 서비스를 포함한다. 한 마디로 매우 넓다. 협력업체 네트워크를 통해 대규모 고객정보 유출 사고가 발생한 미국의 소매점...

2021.05.17

보이지 않는 습격··· ‘스마트 전구’가 기업 네트워크를 노리고 있다

재택근무가 증가하고 있다. 이제 기업은 스마트 전구를 비롯한 수많은 소비자용 기기로부터 스스로를 지켜야 한다.  핀란드 지바스킬라 대학교(University of Jyvaskyla)의 사이버보안 학과 선임 강사이자 IoT 사이버보안 스타트업 바이나레닷아이오(binare.io)의 공동 창업자 안드레이 코스틴은 오래전부터 재택근무를 해 왔다. 그리고 IoT 기기의 보안에 관해서는 눈살을 찌푸릴 만한 일이 많았다고 그는 말했다.  코스틴은 “집에서 쓰는 라우터를 교체한 적이 여러 번 있었다. IoT 기기 제조사가 보안 패치나 펌웨어 업데이트를 제공하지 않았기 때문이다”라면서, 현재의 IoT 보안은 재택근무로 변화하고 있는 업무 환경을 따라가지 못하고 있다고 지적했다.    이어서 그는 이러한 상황에서 원격근무는 직원뿐만 아니라 기업에도 추가적인 위험을 초래할 수 있다고 덧붙였다. 코스틴은 “한 직원의 스마트폰이 VPN을 통해 회사 네트워크와 연결돼 있다고 가정해보자. 그런데 이 스마트폰이 CCTV 시스템, 피트니스 트래커, 스마트 전구와도 페어링돼 있다면? 잠재적인 악성 게이트웨이의 위험이 도사리는 셈이다”라고 설명했다.  팔로알토 네트웍스(Palo Alto Networks) 산하 사이버보안 연구소 유닛 42(Unit 42)에서 발표한 ‘IoT 위협 보고서(IoT Threat Report)’에 따르면 무려 57%의 IoT 기기가 중위험 또는 고위험 수준의 공격에 취약하다.  보고서는 “이 때문에 IoT가 해커들의 손쉬운 먹잇감이 되고 있다”라면서, “또한 전체 IoT 트래픽의 98%가 암호화되지 않아 네트워크상에서 기밀 데이터가 노출되고 있는 사실을 발견했다”라고 전했다.  실제로, 노키아의 위협 인텔리전스 보고서(Threat Intelligence Report)에 따르면 2020년 모바일 네트워크에서 탐지된 전체 감염 사례 가운데 32.72%가 IoT 기기를 대상으로 일어났다. 이...

재택근무 원격근무 사물인터넷 IoT 소비자용 기기 가정용 기기 네트워크 홈 네트워크 스마트 전구 보안 기업 네트워크 VPN 스마트폰 피트니스 트래커 다중 인증 솔라윈즈 해킹

2021.02.04

재택근무가 증가하고 있다. 이제 기업은 스마트 전구를 비롯한 수많은 소비자용 기기로부터 스스로를 지켜야 한다.  핀란드 지바스킬라 대학교(University of Jyvaskyla)의 사이버보안 학과 선임 강사이자 IoT 사이버보안 스타트업 바이나레닷아이오(binare.io)의 공동 창업자 안드레이 코스틴은 오래전부터 재택근무를 해 왔다. 그리고 IoT 기기의 보안에 관해서는 눈살을 찌푸릴 만한 일이 많았다고 그는 말했다.  코스틴은 “집에서 쓰는 라우터를 교체한 적이 여러 번 있었다. IoT 기기 제조사가 보안 패치나 펌웨어 업데이트를 제공하지 않았기 때문이다”라면서, 현재의 IoT 보안은 재택근무로 변화하고 있는 업무 환경을 따라가지 못하고 있다고 지적했다.    이어서 그는 이러한 상황에서 원격근무는 직원뿐만 아니라 기업에도 추가적인 위험을 초래할 수 있다고 덧붙였다. 코스틴은 “한 직원의 스마트폰이 VPN을 통해 회사 네트워크와 연결돼 있다고 가정해보자. 그런데 이 스마트폰이 CCTV 시스템, 피트니스 트래커, 스마트 전구와도 페어링돼 있다면? 잠재적인 악성 게이트웨이의 위험이 도사리는 셈이다”라고 설명했다.  팔로알토 네트웍스(Palo Alto Networks) 산하 사이버보안 연구소 유닛 42(Unit 42)에서 발표한 ‘IoT 위협 보고서(IoT Threat Report)’에 따르면 무려 57%의 IoT 기기가 중위험 또는 고위험 수준의 공격에 취약하다.  보고서는 “이 때문에 IoT가 해커들의 손쉬운 먹잇감이 되고 있다”라면서, “또한 전체 IoT 트래픽의 98%가 암호화되지 않아 네트워크상에서 기밀 데이터가 노출되고 있는 사실을 발견했다”라고 전했다.  실제로, 노키아의 위협 인텔리전스 보고서(Threat Intelligence Report)에 따르면 2020년 모바일 네트워크에서 탐지된 전체 감염 사례 가운데 32.72%가 IoT 기기를 대상으로 일어났다. 이...

2021.02.04

칼럼ㅣ위험 완화부터 핵심 조력자까지··· 2021년 ‘CISO’의 역할

공급망 공격부터 시작해 5G에 이르기까지 기존 및 새로운 과제가 보안팀의 ‘확장된 역할’을 계속해서 테스트할 전망이다.  2020년 CISO들은 여러 가지 문제에 부딪혔다. 그중 가장 중요했던 것을 꼽으라면 ‘코로나19 사태’ 그리고 ‘사무실에서 원격근무로의 대대적인 이동’을 말할 수 있겠다.  이를 통해 아마도 처음으로 경영진은 기업의 업무지속성과 원활한 운영에 보안팀이 얼마나 중요한 역할을 하는지를 알게 됐을 것이다. 그리고 이로 인해 2020년, CISO와 사이버보안팀은 눈에 띄지 않던 후방에서 조직의 생산성을 지원하는 최전선으로 나아가게 됐다.  2021년 CISO와 보안팀은 위험 완화부터 ROI까지 자신들의 역할이 얼마나 중요한지 계속해서 증명할 것으로 예상된다. 공급망 해킹, 랜섬웨어, 재택근무, 5G 등의 복잡한 문제에 대처해야 하기 때문이다.    공급망 해킹의 영향  2021년 CISO는 ‘솔라윈즈(SolarWinds) 해킹’과 이 사건이 기업에 어떤 영향을 미칠 수 있는지 파악해야 한다. 씨넷(CNET)은 이와 관련해 다음과 같이 말했다. “해커가 공급망 공격을 해낸다면 이는 대성공이다. 왜냐하면 이 공격은 악성코드를 신뢰할 수 있는 소프트웨어 안에 패키징하기 때문이다.” 美 정부 기관들이 (우리가 알고 있는) 첫 번째 표적이었지만 수십 곳의 기업들도 피해를 당했다. 이 공급망 공격에 연루된 기업들은 앞으로 몇 주 또는 몇 달을 어떻게 누군가가 거의 1년 동안 들키지 않고 회사 시스템에 머무를 수 있었는지, 그리고 그 피해 범위 및 규모를 확인하게 될 것이다.  랜섬웨어  랜섬웨어는 2021년에도 계속해서 성행할 전망이고, 이를 고려할 때 CISO는 위협 행위자가 한층 더 참신한 공격을 하리라 예상할 수 있을 것이다. 이를테면 ‘서비스형 랜섬웨어(Ransomeware-as-a-Service; RaaS)’는 해커가 쉽고 빠르게 돈을 벌 수 있는 수단이다. Ra...

CIO CISO 보안 사이버보안 재택근무 원격근무 공급망 공격 솔라윈즈 해킹 5G 랜섬웨어 코로나19 서비스형 랜섬웨어 백도어 피싱 공격 BYOD 클라우드 사물인터넷 자격증명 원격 액세스

2021.01.19

공급망 공격부터 시작해 5G에 이르기까지 기존 및 새로운 과제가 보안팀의 ‘확장된 역할’을 계속해서 테스트할 전망이다.  2020년 CISO들은 여러 가지 문제에 부딪혔다. 그중 가장 중요했던 것을 꼽으라면 ‘코로나19 사태’ 그리고 ‘사무실에서 원격근무로의 대대적인 이동’을 말할 수 있겠다.  이를 통해 아마도 처음으로 경영진은 기업의 업무지속성과 원활한 운영에 보안팀이 얼마나 중요한 역할을 하는지를 알게 됐을 것이다. 그리고 이로 인해 2020년, CISO와 사이버보안팀은 눈에 띄지 않던 후방에서 조직의 생산성을 지원하는 최전선으로 나아가게 됐다.  2021년 CISO와 보안팀은 위험 완화부터 ROI까지 자신들의 역할이 얼마나 중요한지 계속해서 증명할 것으로 예상된다. 공급망 해킹, 랜섬웨어, 재택근무, 5G 등의 복잡한 문제에 대처해야 하기 때문이다.    공급망 해킹의 영향  2021년 CISO는 ‘솔라윈즈(SolarWinds) 해킹’과 이 사건이 기업에 어떤 영향을 미칠 수 있는지 파악해야 한다. 씨넷(CNET)은 이와 관련해 다음과 같이 말했다. “해커가 공급망 공격을 해낸다면 이는 대성공이다. 왜냐하면 이 공격은 악성코드를 신뢰할 수 있는 소프트웨어 안에 패키징하기 때문이다.” 美 정부 기관들이 (우리가 알고 있는) 첫 번째 표적이었지만 수십 곳의 기업들도 피해를 당했다. 이 공급망 공격에 연루된 기업들은 앞으로 몇 주 또는 몇 달을 어떻게 누군가가 거의 1년 동안 들키지 않고 회사 시스템에 머무를 수 있었는지, 그리고 그 피해 범위 및 규모를 확인하게 될 것이다.  랜섬웨어  랜섬웨어는 2021년에도 계속해서 성행할 전망이고, 이를 고려할 때 CISO는 위협 행위자가 한층 더 참신한 공격을 하리라 예상할 수 있을 것이다. 이를테면 ‘서비스형 랜섬웨어(Ransomeware-as-a-Service; RaaS)’는 해커가 쉽고 빠르게 돈을 벌 수 있는 수단이다. Ra...

2021.01.19

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9