Offcanvas

���������

보안 리더가 흔히 범하는 ‘취약성 관리’ 실수 10가지

신용 보고 기관 에퀴팩스(Equifax)에서 발생한 2017년의 대규모 데이터 유출을 비롯해, 다수의 유출 사고가 패치 되지 않은 취약성으로 인해 발생했다. 2019년 트립와이어(Tripwire)의 조사에 따르면 전체 유출 중 27%는 패치 되지 않은 취약성에 의해 발생했으며, 2018년 포네몬(Ponemon)의 조사에서는 60%라는 엄청난 수치를 기록했다. 보안 전문가에게는 전혀 놀라운 이야기가 아닐 것이다. 지난 7년 동안 매년 확인되는 취약성의 수가 증가했다. 이와 동시에 보안팀들은 안전한 재택근무를 지원하고 다른 팬데믹 관련 필요를 해결하면서 인재 채용 문제까지 처리하느라 매우 바쁜 상황이다. 즉 취약성 관리 프로그램 개선이 최우선순위가 아닌 시절이었다. 베테랑 보안 책임자들은 보편적인 실수가 이어지는 가운데 해결할 방안이 있다고 조언하고 있다. 보안 리더가 자주 범하는 10가지 실수를 살펴본다.   임원의 지원 확보 실패 좋은 취약성 관리 프로그램에는 보안팀만으로는 부족하다. 위험 관련 결정에는 임원의 참여가 필요하며, 패치는 IT 전문지식이 필요하다. 업데이트로 인한 다운타임은 여러 비즈니스 기능에 영향을 미친다. 즉 이 작업을 잘 수행하기 위해서는 조직 내 여러 구성원의 지원이 필요하며, 그들은 기업 내 최상위 리더들로부터 이런 노력을 위한 지원을 확보할 때 지원을 받을 가능성이 높다고 관리형 서비스 제공자 쓰라이브(Thrive)의 CTO 마이클 그레이가 말했다. 취약성 관리 노력에 대한 임원 수준의 지원을 받지 못한 CISO는 IT 및 비즈니스 부서의 반발로 인해 방해를 받을 수 있다. 하지만 좋은 소식도 있다. 사이버 보안이 이사회 수준의 우려사항이 되면서 CISO들이 점차 필요한 임원 지원을 확보하고 있다. 실제로 가트너의 2021년 임원 설문조사에 따르면, 이사회 중 88%가 현재 사이버 보안을 비즈니스 위험으로 보고 있었다. 공동 책임감 조성하지 않기 언더 아머(Under Armour)의 CISO 알렉스 아투말릴리...

취약성 취약점 관리 VM CISO

2022.06.16

신용 보고 기관 에퀴팩스(Equifax)에서 발생한 2017년의 대규모 데이터 유출을 비롯해, 다수의 유출 사고가 패치 되지 않은 취약성으로 인해 발생했다. 2019년 트립와이어(Tripwire)의 조사에 따르면 전체 유출 중 27%는 패치 되지 않은 취약성에 의해 발생했으며, 2018년 포네몬(Ponemon)의 조사에서는 60%라는 엄청난 수치를 기록했다. 보안 전문가에게는 전혀 놀라운 이야기가 아닐 것이다. 지난 7년 동안 매년 확인되는 취약성의 수가 증가했다. 이와 동시에 보안팀들은 안전한 재택근무를 지원하고 다른 팬데믹 관련 필요를 해결하면서 인재 채용 문제까지 처리하느라 매우 바쁜 상황이다. 즉 취약성 관리 프로그램 개선이 최우선순위가 아닌 시절이었다. 베테랑 보안 책임자들은 보편적인 실수가 이어지는 가운데 해결할 방안이 있다고 조언하고 있다. 보안 리더가 자주 범하는 10가지 실수를 살펴본다.   임원의 지원 확보 실패 좋은 취약성 관리 프로그램에는 보안팀만으로는 부족하다. 위험 관련 결정에는 임원의 참여가 필요하며, 패치는 IT 전문지식이 필요하다. 업데이트로 인한 다운타임은 여러 비즈니스 기능에 영향을 미친다. 즉 이 작업을 잘 수행하기 위해서는 조직 내 여러 구성원의 지원이 필요하며, 그들은 기업 내 최상위 리더들로부터 이런 노력을 위한 지원을 확보할 때 지원을 받을 가능성이 높다고 관리형 서비스 제공자 쓰라이브(Thrive)의 CTO 마이클 그레이가 말했다. 취약성 관리 노력에 대한 임원 수준의 지원을 받지 못한 CISO는 IT 및 비즈니스 부서의 반발로 인해 방해를 받을 수 있다. 하지만 좋은 소식도 있다. 사이버 보안이 이사회 수준의 우려사항이 되면서 CISO들이 점차 필요한 임원 지원을 확보하고 있다. 실제로 가트너의 2021년 임원 설문조사에 따르면, 이사회 중 88%가 현재 사이버 보안을 비즈니스 위험으로 보고 있었다. 공동 책임감 조성하지 않기 언더 아머(Under Armour)의 CISO 알렉스 아투말릴리...

2022.06.16

‘20세기부터 있었더라’ 오래된 SW 버그 10선

2021년, 현대 컴퓨팅의 근간에 해당하는 한 시스템에서 취약성이 발견됐다. 공격자가 시스템으로 하여금 임의의 코드를 강제로 실행하게 할 수 있는 취약점이었다. 충격적이게도 이 취약한 코드는 약 54년 전에 작성된 것이었다. 그런데 아직도 이 취약성에 대한 패치가 존재하지 않으며 앞으로도 제공되지 않을 것 같다. 그 이유는 문제의 이 시스템이 컴퓨터 공학 분야에서 이론적으로 매우 중요하지만 실제 컴퓨터로 개발된 적은 없었던 마빈 민스키(Marvin Minsky)의 1967년 범용 튜링 머신(Universal Turing Machine)이었기 때문이다. 민스키가 설계한 후 약 10년이 지난 후 초기 버전의 유닉스(Unix)와 DOS가 등장했고 그 후속작들이 지금껏 사용되고 있다. 최근 발견된, 역사가 오래 된 버그에 대해 알아본다.   닛산(Nissan) 텔레매틱스 컨트롤 모듈 베이스밴드 취약성   나이: 7년 도입 날짜: 2010년 수정 날짜: 2017년 2011년, 보안 연구원 랄프 필립 웨이만은 스마트폰에서 사용되는 베이스밴드 프로세서에 최근 유입된 결함을 발견했다. 이를 악용하면 해커가 가짜 기지국을 만들어 스마트폰이 여기에 연결하도록 속인 후 네트워크 연결을 가로챌 수 있었다. 스마트폰 제조사들은 이 결함을 상대적으로 신속하게 해결했으며 이내 잊어버렸다. 그러나 한 가지 문제가 있었다. 스마트폰만 이 칩을 사용한 것이 아니었다. “기본적으로 동일한 셀룰러 베이스밴드 칩셋이 닛산 리프(Leaf)와 다른 여러 차량의 텔레매틱스 유닛에 사용되었다”라고 보안 기업 에클립시움(Eclypsium)의 수석 사이버 보안 연구원 제시 마이클이 말했다. (에클립시움과 의견을 같이 하는) 많은 연구원들이 폐차장에서 구한 자동차로 실험하여 해당 취약성을 발견했다. 마이클은 “약 7년 전에 다른 시장에서 공개된 이 취약성이 자동차 분야에서도 발견됐다. 자체적으로 복잡한 공급망을 가진 굉장히 다른 시장 부문이었기 때문에 자동차가 익스플로잇 ...

버그 취약점 취약성 역사 코드 재사용

2021.06.22

2021년, 현대 컴퓨팅의 근간에 해당하는 한 시스템에서 취약성이 발견됐다. 공격자가 시스템으로 하여금 임의의 코드를 강제로 실행하게 할 수 있는 취약점이었다. 충격적이게도 이 취약한 코드는 약 54년 전에 작성된 것이었다. 그런데 아직도 이 취약성에 대한 패치가 존재하지 않으며 앞으로도 제공되지 않을 것 같다. 그 이유는 문제의 이 시스템이 컴퓨터 공학 분야에서 이론적으로 매우 중요하지만 실제 컴퓨터로 개발된 적은 없었던 마빈 민스키(Marvin Minsky)의 1967년 범용 튜링 머신(Universal Turing Machine)이었기 때문이다. 민스키가 설계한 후 약 10년이 지난 후 초기 버전의 유닉스(Unix)와 DOS가 등장했고 그 후속작들이 지금껏 사용되고 있다. 최근 발견된, 역사가 오래 된 버그에 대해 알아본다.   닛산(Nissan) 텔레매틱스 컨트롤 모듈 베이스밴드 취약성   나이: 7년 도입 날짜: 2010년 수정 날짜: 2017년 2011년, 보안 연구원 랄프 필립 웨이만은 스마트폰에서 사용되는 베이스밴드 프로세서에 최근 유입된 결함을 발견했다. 이를 악용하면 해커가 가짜 기지국을 만들어 스마트폰이 여기에 연결하도록 속인 후 네트워크 연결을 가로챌 수 있었다. 스마트폰 제조사들은 이 결함을 상대적으로 신속하게 해결했으며 이내 잊어버렸다. 그러나 한 가지 문제가 있었다. 스마트폰만 이 칩을 사용한 것이 아니었다. “기본적으로 동일한 셀룰러 베이스밴드 칩셋이 닛산 리프(Leaf)와 다른 여러 차량의 텔레매틱스 유닛에 사용되었다”라고 보안 기업 에클립시움(Eclypsium)의 수석 사이버 보안 연구원 제시 마이클이 말했다. (에클립시움과 의견을 같이 하는) 많은 연구원들이 폐차장에서 구한 자동차로 실험하여 해당 취약성을 발견했다. 마이클은 “약 7년 전에 다른 시장에서 공개된 이 취약성이 자동차 분야에서도 발견됐다. 자체적으로 복잡한 공급망을 가진 굉장히 다른 시장 부문이었기 때문에 자동차가 익스플로잇 ...

2021.06.22

블로그 | 데이터 보안에도 위협이 되는 클라우드의 복잡성

2020 탈레스 데이터 위협 보고서 유럽 에디션에 따르면, 유럽 기업은 스스로를 보호하는 데 있어서 잘못된 보안 관념을 가지고 있다. 68%의 기업이 자사를 취약한 것으로 보고 있는데, 2018년의 86%에서 줄어든 수치이다. 하지만 이런 확신은 조사 결과와 충돌하는데, 509명의 기업 임원은 2019년 자신들의 유럽 회사 중 52%가 해킹을 당했거나 컴플라이언스 감사를 통과하지 못했다고 밝혔다.    이 문제의 핵심은 응답자의 40%만이 비즈니스 환경의 복잡성이 데이터의 안전에 나쁜 영향을 미친다고 생각한다는 것이다. 멀티클라우드가 확산되면서 클라우드의 복잡성이 증가하기 시작했다는 것은 잘 알려진 사실이며, 기업의 80%가 하나 이상의 IaaS 클라우드 서비스 업체를 이용하고 있다. 대부분 기업은 두 곳 이상의 클라우드 서비스 업체를 이용할 때 생기는 운영 문제를 인지하고 있다. 하지만 이런 복잡성을 보안 문제와 연결해 생각하는 기업은 많지 않다. 언제나 그렇듯이, 누군가 문제를 일으키면, 다른 누군가는 해법을 찾는다. 몇 가지 해법을 제안한다.   보안 관리 계층에 투자하라. 이 계층은 여러 클라우드 서비스 업체에 걸쳐 동작하는 하나 이상의 보안 시스템이 될 수 있다. 마법의 솔루션은 아니지만, 보안 시스템 운영팀이 여러 퍼블릭 클라우드 서비스 업체의 네이티브 클라우드 보안을 다루지 않아도 되도록 해준다. 복잡성을 줄여주며, 복잡한 배치로 인해 보안 허점이 생길 가능성도 줄여준다. 이런 허점은 사고가 생기기 전에는 발견하지 못한다.   복잡한 클라우드 배치를 진행하기 전에 클라우드 복잡성이 가져올 단점을 고려하라. 애플리케이션과 데이터 배치에 맞는 최고의 기술을 고르는 것이 좋겠지만, 글로벌 2000대 기업 중 다수가 다섯 곳 이상의 클라우드 서비스 업체를 관리하고 있다. 이런 환경은 복잡성의 악몽을 만들어내며, 부정적인 영향이 너무나 명확하다. 물론 보안도 그 영향을 받는다. 멀티클라우드 배치는 좋지만,...

멀티클라우드 복잡성 취약성

2020.06.17

2020 탈레스 데이터 위협 보고서 유럽 에디션에 따르면, 유럽 기업은 스스로를 보호하는 데 있어서 잘못된 보안 관념을 가지고 있다. 68%의 기업이 자사를 취약한 것으로 보고 있는데, 2018년의 86%에서 줄어든 수치이다. 하지만 이런 확신은 조사 결과와 충돌하는데, 509명의 기업 임원은 2019년 자신들의 유럽 회사 중 52%가 해킹을 당했거나 컴플라이언스 감사를 통과하지 못했다고 밝혔다.    이 문제의 핵심은 응답자의 40%만이 비즈니스 환경의 복잡성이 데이터의 안전에 나쁜 영향을 미친다고 생각한다는 것이다. 멀티클라우드가 확산되면서 클라우드의 복잡성이 증가하기 시작했다는 것은 잘 알려진 사실이며, 기업의 80%가 하나 이상의 IaaS 클라우드 서비스 업체를 이용하고 있다. 대부분 기업은 두 곳 이상의 클라우드 서비스 업체를 이용할 때 생기는 운영 문제를 인지하고 있다. 하지만 이런 복잡성을 보안 문제와 연결해 생각하는 기업은 많지 않다. 언제나 그렇듯이, 누군가 문제를 일으키면, 다른 누군가는 해법을 찾는다. 몇 가지 해법을 제안한다.   보안 관리 계층에 투자하라. 이 계층은 여러 클라우드 서비스 업체에 걸쳐 동작하는 하나 이상의 보안 시스템이 될 수 있다. 마법의 솔루션은 아니지만, 보안 시스템 운영팀이 여러 퍼블릭 클라우드 서비스 업체의 네이티브 클라우드 보안을 다루지 않아도 되도록 해준다. 복잡성을 줄여주며, 복잡한 배치로 인해 보안 허점이 생길 가능성도 줄여준다. 이런 허점은 사고가 생기기 전에는 발견하지 못한다.   복잡한 클라우드 배치를 진행하기 전에 클라우드 복잡성이 가져올 단점을 고려하라. 애플리케이션과 데이터 배치에 맞는 최고의 기술을 고르는 것이 좋겠지만, 글로벌 2000대 기업 중 다수가 다섯 곳 이상의 클라우드 서비스 업체를 관리하고 있다. 이런 환경은 복잡성의 악몽을 만들어내며, 부정적인 영향이 너무나 명확하다. 물론 보안도 그 영향을 받는다. 멀티클라우드 배치는 좋지만,...

2020.06.17

기업용 스마트폰을 안전하게! 9가지 팁

데스크톱과 마찬가지로 스마트폰도 사이버공격에 취약하며, 일부 스마트폰은 더 취약하다. 최근 몇 년 동안 안드로이드 플랫폼에서 발견된 결함의 수가 증가하면서 모바일 악성코드 사례가 늘고 있다. G DATA의 조사에 따르면 2018년 3분기 말까지 약 320만 개의 새로운 안드로이드 악성코드 샘플이 발견됐으며, 안드로이드 운영체제에서만 매일 1만 1,000개 이상의 새로운 악성코드 샘플이 만들어졌다. 많은 기업이 직원에게 스마트폰을 제공한다. 이 스마트폰은 개인용 기기로도 많이 사용되며 이로 인해 모든 악의적인 불만이 발생할 수 있다. 기업이 어떻게 모바일 가기를 안전하게 지킬 수 있는지 살펴본다. 1. 이중인증을 활성화하라 이중인증은 보안의 두 번째 계층 역할을 한다. 특히 비즈니스 사용자의 경우 데이터 접근을 제어하는 좋은 방법이다. 해커가 암호를 지났을 때 추가 보안이 추가되므로 인증 프로세스를 통해 공격자가 기기나 계정에 접근하는 것이 더 어려워진다. 모든 스마트폰에는 이중인증이 포함되어야 한다. 애플은 애플 ID 기능과 함께 이 기능을 제공한다. 2. 기존 모바일 기기를 감사하라 모바일 감사는 이미 직원에게 스마트폰을 제공하는 조직에서 일반적인 관행의 일부다. 이러한 감사는 개별 기기 및 실제 사용량을 분석한다. 모바일 기기를 감사하면 직원이 어떤 기기를 사용하고 있는지 파악하고 스마트폰의 습관에 따라 잠재적 보안 취약성을 식별할 수 있다. 예를 들어 직원이 정기적으로 출장을 간다면 공용 와이파이에 연결할 수 있으므로 잠재적으로 '위험한' 인터넷 연결을 상쇄하기 위해 추가 보안이 필요하다. 보유하고 있는 장비의 수를 파악해야 하고, 최신 보안 소프트웨어 업데이트 여부를 알아야 한다. 신속하게 설문지를 작성하여 직원들에게 전달하면 이러한 질문에 답하고 해결해야 할 영역을 강조 표시한다. 3. MDM 소프트웨어에 투자하라 점점 더 많은 기업이 원격 근무자를 위한 공동 작업 및 연결을 위해 모바일 기기에 의존한다. 그리고 이러한 조...

구글 MDM 이중인증 바이러스 모바일아이언 결함 태블릿 백신 롤리팝 업데이트 iOS 스마트폰 애플 IBM 마이크로소프트 안드로이드 운영체제 블랙베리 윈도우폰 취약성

2019.01.14

데스크톱과 마찬가지로 스마트폰도 사이버공격에 취약하며, 일부 스마트폰은 더 취약하다. 최근 몇 년 동안 안드로이드 플랫폼에서 발견된 결함의 수가 증가하면서 모바일 악성코드 사례가 늘고 있다. G DATA의 조사에 따르면 2018년 3분기 말까지 약 320만 개의 새로운 안드로이드 악성코드 샘플이 발견됐으며, 안드로이드 운영체제에서만 매일 1만 1,000개 이상의 새로운 악성코드 샘플이 만들어졌다. 많은 기업이 직원에게 스마트폰을 제공한다. 이 스마트폰은 개인용 기기로도 많이 사용되며 이로 인해 모든 악의적인 불만이 발생할 수 있다. 기업이 어떻게 모바일 가기를 안전하게 지킬 수 있는지 살펴본다. 1. 이중인증을 활성화하라 이중인증은 보안의 두 번째 계층 역할을 한다. 특히 비즈니스 사용자의 경우 데이터 접근을 제어하는 좋은 방법이다. 해커가 암호를 지났을 때 추가 보안이 추가되므로 인증 프로세스를 통해 공격자가 기기나 계정에 접근하는 것이 더 어려워진다. 모든 스마트폰에는 이중인증이 포함되어야 한다. 애플은 애플 ID 기능과 함께 이 기능을 제공한다. 2. 기존 모바일 기기를 감사하라 모바일 감사는 이미 직원에게 스마트폰을 제공하는 조직에서 일반적인 관행의 일부다. 이러한 감사는 개별 기기 및 실제 사용량을 분석한다. 모바일 기기를 감사하면 직원이 어떤 기기를 사용하고 있는지 파악하고 스마트폰의 습관에 따라 잠재적 보안 취약성을 식별할 수 있다. 예를 들어 직원이 정기적으로 출장을 간다면 공용 와이파이에 연결할 수 있으므로 잠재적으로 '위험한' 인터넷 연결을 상쇄하기 위해 추가 보안이 필요하다. 보유하고 있는 장비의 수를 파악해야 하고, 최신 보안 소프트웨어 업데이트 여부를 알아야 한다. 신속하게 설문지를 작성하여 직원들에게 전달하면 이러한 질문에 답하고 해결해야 할 영역을 강조 표시한다. 3. MDM 소프트웨어에 투자하라 점점 더 많은 기업이 원격 근무자를 위한 공동 작업 및 연결을 위해 모바일 기기에 의존한다. 그리고 이러한 조...

2019.01.14

'치료보단 예방이 낫다' 랜섬웨어 공격에 대응하는 6가지 팁

랜섬웨어 공격은 비즈니스 시스템에 막대한 영향을 미칠 수 있다. 그러나 공격에 어떻게 대응할지를 알면 발생할 수 있는 위험 수준을 최소화하는 데 유리하다. 랜섬웨어는 시스템을 암호화로 잠그고 파일을 돌려주는 조건으로 몸값을 요구하는 악성 프로그램의 일종이지만 돈을 낸다고 해서 작동한다는 보장은 없다. 파일을 성공적으로 암호화하면 해당 데이터의 복구가 매우 어려울 수 있다. 지난 한 해 동안 랜섬웨어의 급격한 증가로 인해 기업은 비즈니스에 미치는 위험을 더 잘 인식하게 되었다. 그러나 취약성 파악은 기업에서 부족한 것 중 일부에 불과하다. 2017년 NHS 랜섬웨어 공격은 규모와 상관없이 조직이 이 위협에 얼마나 취약한지를 보여 주는 사례다. 전세계 20만 개 이상의 시스템을 겨냥한 대규모 워너크라이(WannaCry) 공격의 희생자 중 하나였으며 페덱스(FedEx)와 같은 글로벌 기업에 혼란을 일으켰다. 랜섬웨어 공격이나 개인 데이터 손실에 대해 보장할 수는 없지만 조직이 공격의 희생양이 되지 않도록 보호하는 방법에는 여러 가지가 있다. 다음은 랜섬웨어 공격 같은 상황에 대응하는 몇 가지 팁이다. 1. 준비 준비는 항상 모든 보안 위협에 대한 최선의 방어다. 치료보다 예방이 낫다. 비즈니스의 뿌리부터 시작해서, 정기적인 백업 계획과 함께 최신 바이러스 백신 소프트웨어를 정기적으로 점검하는 확실한 보안 정책이 중요하다. 가장 필수적인 방어 방법 중 하나는 취약점 발견 즉시 IT팀이 그 취약점을 패치 하는 것이다. 보안 교육은 전체 조직이 랜섬웨어의 위험성과 이를 방지하기 위해 취할 수 있는 최상의 보안 대책을 알 수 있도록 마련되어야 한다. 2. 감지 때때로 시스템을 공격할 수 있기 때문에 랜섬웨어 탐지 방법을 아는 것이 중요하지만 엄청난 양의 데이터가 사라질 때까지는 인식하지 못할 수도 있다. 이를 방지하려고 할 때 고급 위협 정보 기술은 사이버 공격에 대한 유용한 보호 장치가 된다. ...

CSO 취약성 보안 교육 데이터 복구 복구 패치 공격 페덱스 백업 CISO 암호화 워너크라이

2018.06.14

랜섬웨어 공격은 비즈니스 시스템에 막대한 영향을 미칠 수 있다. 그러나 공격에 어떻게 대응할지를 알면 발생할 수 있는 위험 수준을 최소화하는 데 유리하다. 랜섬웨어는 시스템을 암호화로 잠그고 파일을 돌려주는 조건으로 몸값을 요구하는 악성 프로그램의 일종이지만 돈을 낸다고 해서 작동한다는 보장은 없다. 파일을 성공적으로 암호화하면 해당 데이터의 복구가 매우 어려울 수 있다. 지난 한 해 동안 랜섬웨어의 급격한 증가로 인해 기업은 비즈니스에 미치는 위험을 더 잘 인식하게 되었다. 그러나 취약성 파악은 기업에서 부족한 것 중 일부에 불과하다. 2017년 NHS 랜섬웨어 공격은 규모와 상관없이 조직이 이 위협에 얼마나 취약한지를 보여 주는 사례다. 전세계 20만 개 이상의 시스템을 겨냥한 대규모 워너크라이(WannaCry) 공격의 희생자 중 하나였으며 페덱스(FedEx)와 같은 글로벌 기업에 혼란을 일으켰다. 랜섬웨어 공격이나 개인 데이터 손실에 대해 보장할 수는 없지만 조직이 공격의 희생양이 되지 않도록 보호하는 방법에는 여러 가지가 있다. 다음은 랜섬웨어 공격 같은 상황에 대응하는 몇 가지 팁이다. 1. 준비 준비는 항상 모든 보안 위협에 대한 최선의 방어다. 치료보다 예방이 낫다. 비즈니스의 뿌리부터 시작해서, 정기적인 백업 계획과 함께 최신 바이러스 백신 소프트웨어를 정기적으로 점검하는 확실한 보안 정책이 중요하다. 가장 필수적인 방어 방법 중 하나는 취약점 발견 즉시 IT팀이 그 취약점을 패치 하는 것이다. 보안 교육은 전체 조직이 랜섬웨어의 위험성과 이를 방지하기 위해 취할 수 있는 최상의 보안 대책을 알 수 있도록 마련되어야 한다. 2. 감지 때때로 시스템을 공격할 수 있기 때문에 랜섬웨어 탐지 방법을 아는 것이 중요하지만 엄청난 양의 데이터가 사라질 때까지는 인식하지 못할 수도 있다. 이를 방지하려고 할 때 고급 위협 정보 기술은 사이버 공격에 대한 유용한 보호 장치가 된다. ...

2018.06.14

여전히 존재하는 오픈소스 SW 보안 문제, 이유는? 해법은 없나?

오픈소스를 사용하면 개발자가 시간과 비용을 절약할 수 있다. 다시 말해 개발자에게 오픈소스 활용은 일상이 됐다. 하지만, 그만큼 보안에 대한 위험 부담도 있다. 오픈소스를 사용하면서 보안을 향상하는 데 필요한 사항을 소개한다. 올해 에퀴팩스(Equifax) 해킹은 오픈소스 소프트웨어와 구성요소가 여러 이점이 있지만 적절하게 유지하고 관리하지 않으면 기업 보안에 엄청난 위험을 유발한다는 점을 상기시켰다. 4월, 플래시포인트 인텔리전스(Flashpoint Intelligence)의 연구원들은 범죄자들이 인기 오픈소스 마젠토(Magento) 전자상거래 플랫폼에 대해 강압적인 암호 공격을 사용하여 해킹된 접근으로 신용카드 기록을 확보하고 암호화폐 채굴에 초점을 둔 악성코드를 설치했다고 밝혔다. 연구원들은 최소 1,000개의 마젠토 관리자 패널이 해킹당했다는 사실을 발견하고 2016년 이후로 딥웹(Deep Web)과 다크웹(Dark Web)에서 해당 플랫폼에 대한 관심이 수그러들지 않고 있다고 말했다. 게다가 파워프론트(Powerfront) CMS와 오픈카트(OpenCart)에 대한 관심도 잘 알려져 있다. ->다크웹, 딥웹, 다크 인터넷이란? 수년 동안 오픈소스 코드의 인기가 상승했으며 모든 산업에서 모든 규모의 기업들이 사용하고 있다. 시장에서 널리 알려진 오픈소스 운영체제 외에도 기업 사용자들은 오픈소스 생산성 소프트웨어, 관리자와 개발자를 위한 툴과 자체 소프트웨어 개발에 사용하는 다양한 코드 라이브러리를 활용한다. 심지어 상용 소프트웨어도 일반적으로 오픈소스 코드를 기반으로 개발된다. 큐델스키 시큐리티(Kudelski Security)의 CTO 앤드류 하워드는 "기업에서 오픈소스 소프트웨어가 더욱 광범위하게 도입되고 있다"고 밝혔다. 이어서 "기업이 애자일 방법론으로 가면서 오픈소스가 더욱 중요해지고 있으며 더 많은 툴이 제공되고 있다. 오늘날 시장에 진입하는 새 소프트웨어 개발자를 ...

인수 블랙덕 소프트에어 딥웹 마젠토 암호화폐 취약성 스카이스캐너 다크웹 애자일 방법론 베라코드 깃허브 M&A 스닉

2018.04.04

오픈소스를 사용하면 개발자가 시간과 비용을 절약할 수 있다. 다시 말해 개발자에게 오픈소스 활용은 일상이 됐다. 하지만, 그만큼 보안에 대한 위험 부담도 있다. 오픈소스를 사용하면서 보안을 향상하는 데 필요한 사항을 소개한다. 올해 에퀴팩스(Equifax) 해킹은 오픈소스 소프트웨어와 구성요소가 여러 이점이 있지만 적절하게 유지하고 관리하지 않으면 기업 보안에 엄청난 위험을 유발한다는 점을 상기시켰다. 4월, 플래시포인트 인텔리전스(Flashpoint Intelligence)의 연구원들은 범죄자들이 인기 오픈소스 마젠토(Magento) 전자상거래 플랫폼에 대해 강압적인 암호 공격을 사용하여 해킹된 접근으로 신용카드 기록을 확보하고 암호화폐 채굴에 초점을 둔 악성코드를 설치했다고 밝혔다. 연구원들은 최소 1,000개의 마젠토 관리자 패널이 해킹당했다는 사실을 발견하고 2016년 이후로 딥웹(Deep Web)과 다크웹(Dark Web)에서 해당 플랫폼에 대한 관심이 수그러들지 않고 있다고 말했다. 게다가 파워프론트(Powerfront) CMS와 오픈카트(OpenCart)에 대한 관심도 잘 알려져 있다. ->다크웹, 딥웹, 다크 인터넷이란? 수년 동안 오픈소스 코드의 인기가 상승했으며 모든 산업에서 모든 규모의 기업들이 사용하고 있다. 시장에서 널리 알려진 오픈소스 운영체제 외에도 기업 사용자들은 오픈소스 생산성 소프트웨어, 관리자와 개발자를 위한 툴과 자체 소프트웨어 개발에 사용하는 다양한 코드 라이브러리를 활용한다. 심지어 상용 소프트웨어도 일반적으로 오픈소스 코드를 기반으로 개발된다. 큐델스키 시큐리티(Kudelski Security)의 CTO 앤드류 하워드는 "기업에서 오픈소스 소프트웨어가 더욱 광범위하게 도입되고 있다"고 밝혔다. 이어서 "기업이 애자일 방법론으로 가면서 오픈소스가 더욱 중요해지고 있으며 더 많은 툴이 제공되고 있다. 오늘날 시장에 진입하는 새 소프트웨어 개발자를 ...

2018.04.04

기고 | IT보안 위협에 집중하지 못하는 6가지 이유

인간은 재미있는 생물이다. 자신의 의견에 반하는 데이터에 직면할 때에도 항상 이익 극대화를 추구하는 반응을 보이는 것은 아니다. 예를 들어, 대부분 사람은 자동차 사고가 비행기 사고보다 훨씬 더 자주 일어나는데도 비행을 더 무서워한다. 개에게 물릴 확률이 수만 배나 높은데도 많은 사람이 해변에서 상어에게 물릴까 봐 걱정한다. 우리는 심지어 상대적인 가능성에 대해 알고 거기에 동의하면서도 위험에 적절히 반응하는 데 익숙하지 않다. 이는 IT 보안에서도 마찬가지다. 컴퓨터 방어자는 환경에 대한 가장 큰 위협을 막을 수 없는 컴퓨터 방어책에 시간, 돈, 기타 자원을 소요하곤 한다. 예를 들어, 가장 성공적인 위협을 방지하기 위해 하나의 프로그램을 업데이트하기만 하면 되는 상황에서 대부분 기업은 프로그램 패치 외의 다른 모든 조처를 한다. 아니면 더 나은 최종 사용자 교육으로 방지할 수 있는 소셜 엔지니어링으로 인한 위협에 직면했을 때 기업들은 교육 개선 대신에 다른 것들에 수백만 달러를 지출했다. 수십 가지의 예를 제시할 수는 있지만 대부분 기업이 쉽게 해킹당할 수 있다는 사실만으로도 위기에 대한 충분한 증거가 될 것이다. 기업들은 데이터와 관련해서도 반드시 해야 할 간단한 조처도 하지 않는다. 이 문제 때문에 골치를 썩은 필자는 이에 관한 백서, 슬라이드 덱, 서적을 집필했다. 이것들을 모두 읽지 않더라도 많은 방어자가 데이터를 기준으로 방어책을 수립하지 않는 이유는, 집중하지 않기 때문이라는 사실을 알 수 있다. 컴퓨터 방어자는 많은 우선순위가 있기 때문에 저렴하고 빠르고 쉬우면서도 방어를 크게 개선할 수 있는 일을 하지 않는 경우가 있다. 위협에 대해 적절한 방어책을 수립하는 데 집중하지 못하는 이유는 무엇일까? 필자는 그 이유를 다음의 여섯 가지로 정리해 봤다. 1. 보안 위협의 수가 압도적이다 연간 5,000~7,000개의 새로운 위협이 발생한다. 매일 15개의 새로운 문제가 계속해서 발생...

CSO CISO 암호 소셜 엔지니어링 위협 마이크로프로세서 취약성 스펙터 멜트다운

2018.01.18

인간은 재미있는 생물이다. 자신의 의견에 반하는 데이터에 직면할 때에도 항상 이익 극대화를 추구하는 반응을 보이는 것은 아니다. 예를 들어, 대부분 사람은 자동차 사고가 비행기 사고보다 훨씬 더 자주 일어나는데도 비행을 더 무서워한다. 개에게 물릴 확률이 수만 배나 높은데도 많은 사람이 해변에서 상어에게 물릴까 봐 걱정한다. 우리는 심지어 상대적인 가능성에 대해 알고 거기에 동의하면서도 위험에 적절히 반응하는 데 익숙하지 않다. 이는 IT 보안에서도 마찬가지다. 컴퓨터 방어자는 환경에 대한 가장 큰 위협을 막을 수 없는 컴퓨터 방어책에 시간, 돈, 기타 자원을 소요하곤 한다. 예를 들어, 가장 성공적인 위협을 방지하기 위해 하나의 프로그램을 업데이트하기만 하면 되는 상황에서 대부분 기업은 프로그램 패치 외의 다른 모든 조처를 한다. 아니면 더 나은 최종 사용자 교육으로 방지할 수 있는 소셜 엔지니어링으로 인한 위협에 직면했을 때 기업들은 교육 개선 대신에 다른 것들에 수백만 달러를 지출했다. 수십 가지의 예를 제시할 수는 있지만 대부분 기업이 쉽게 해킹당할 수 있다는 사실만으로도 위기에 대한 충분한 증거가 될 것이다. 기업들은 데이터와 관련해서도 반드시 해야 할 간단한 조처도 하지 않는다. 이 문제 때문에 골치를 썩은 필자는 이에 관한 백서, 슬라이드 덱, 서적을 집필했다. 이것들을 모두 읽지 않더라도 많은 방어자가 데이터를 기준으로 방어책을 수립하지 않는 이유는, 집중하지 않기 때문이라는 사실을 알 수 있다. 컴퓨터 방어자는 많은 우선순위가 있기 때문에 저렴하고 빠르고 쉬우면서도 방어를 크게 개선할 수 있는 일을 하지 않는 경우가 있다. 위협에 대해 적절한 방어책을 수립하는 데 집중하지 못하는 이유는 무엇일까? 필자는 그 이유를 다음의 여섯 가지로 정리해 봤다. 1. 보안 위협의 수가 압도적이다 연간 5,000~7,000개의 새로운 위협이 발생한다. 매일 15개의 새로운 문제가 계속해서 발생...

2018.01.18

美 연방정부, IoT 보안에 관해 까다로운 요구 사항 고려

이번주 미국 상원에 제출된 법안이 IoT 보안 문제를 해결하기 위한 첫 걸음이 될 수 있으며, 연방 정부와 IoT 기기 제조사가 충족해야 할 기본적인 보안 표준이 마련될 것으로 기대된다. 이 법안은 정부 계약자가 제공하는 인터넷 연결 기기에 ‘알려진 보안 취약성이 없으며 정기적인 소프트웨어 업데이트를 받고 최신 통신 및 암호화 업계 표준을 사용할 것’을 요구한다. IoT 시장의 변화는 많은 IoT 기기가 얼마나 안전하지 않은지에 대한 척도기 때문에 이번 법안에 업계의 관심이 쏠리고 있다. IoT 기기 보호은 쉬운 일이 아니다. 이들은 보안 제품군을 실행할 수 있는 전통적인 엔드포인트가 아니며, 컴퓨팅 성능이 부족하고, 보안에 대한 표준 접근법이 실제로 적용되지 않는 수많은 유형과 모델로 생산되고 있다.  이 법안의 배경은 IoT 기기 제조사가 제품 설계에 접근하는 방식에 대한 재평가를 유도하는 것이다. 이 법안의 수석 후원자인 마크 워너 상원의원은 많은 제조사가 보안을 보완책으로 간주한다는 사실은 시장의 실패라고 주장했다. --------------------------------------------------------------- 사물인터넷 보안 인기기사 -> "새 부대가 필요하다" IoT 데이터 보안 7단계 -> 급증하는 IoT 데이터... CIO가 고민해야 할 4가지 -> '달리는 자동차 해킹' 새롭고 다양한 IoT 보안이 필요한 이유 -> IoT 보안 문제는 시한폭탄? -> IoT가 안겨줄 3가지 보안 과제 -> "500억 연결이 망가지면?" 사물 인터넷이 풀어야 할 숙제들 -> 위험한 놈들이 몰려온다... IoT가 뒤흔들 3가지 보안 관행 -> "IoT 살인, 시간 문제일 뿐" ---------------------------------------...

연방정부 엔드포인트 사물인터넷 시큐어오쓰 웹루트 취약성 IoT 보안 의료 기기 상원의원

2017.08.04

이번주 미국 상원에 제출된 법안이 IoT 보안 문제를 해결하기 위한 첫 걸음이 될 수 있으며, 연방 정부와 IoT 기기 제조사가 충족해야 할 기본적인 보안 표준이 마련될 것으로 기대된다. 이 법안은 정부 계약자가 제공하는 인터넷 연결 기기에 ‘알려진 보안 취약성이 없으며 정기적인 소프트웨어 업데이트를 받고 최신 통신 및 암호화 업계 표준을 사용할 것’을 요구한다. IoT 시장의 변화는 많은 IoT 기기가 얼마나 안전하지 않은지에 대한 척도기 때문에 이번 법안에 업계의 관심이 쏠리고 있다. IoT 기기 보호은 쉬운 일이 아니다. 이들은 보안 제품군을 실행할 수 있는 전통적인 엔드포인트가 아니며, 컴퓨팅 성능이 부족하고, 보안에 대한 표준 접근법이 실제로 적용되지 않는 수많은 유형과 모델로 생산되고 있다.  이 법안의 배경은 IoT 기기 제조사가 제품 설계에 접근하는 방식에 대한 재평가를 유도하는 것이다. 이 법안의 수석 후원자인 마크 워너 상원의원은 많은 제조사가 보안을 보완책으로 간주한다는 사실은 시장의 실패라고 주장했다. --------------------------------------------------------------- 사물인터넷 보안 인기기사 -> "새 부대가 필요하다" IoT 데이터 보안 7단계 -> 급증하는 IoT 데이터... CIO가 고민해야 할 4가지 -> '달리는 자동차 해킹' 새롭고 다양한 IoT 보안이 필요한 이유 -> IoT 보안 문제는 시한폭탄? -> IoT가 안겨줄 3가지 보안 과제 -> "500억 연결이 망가지면?" 사물 인터넷이 풀어야 할 숙제들 -> 위험한 놈들이 몰려온다... IoT가 뒤흔들 3가지 보안 관행 -> "IoT 살인, 시간 문제일 뿐" ---------------------------------------...

2017.08.04

2017년 사이버범죄 실태 '사고 줄었지만 영향은 커졌다'

기업 보안팀들은 힘든 한 해를 보냈다. 페트야(Petya)와 낫페트야(NotPetya) 등의 공격은 영향의 규모가 많이 증가했음을 보여준다. 최근 정부가 개발한 악성코드 및 숨겨져 있던 취약성이 유출되면서 사이버범죄자들의 역량이 더욱 증가했다. IT는 중요한 보안 소프트웨어 패치와 업데이트의 흐름에 맞추기 위해 고군분투하고 있으며 사물인터넷(IoT) 등의 지속적인 신기술 도입으로 새로운 취약성이 등장하고 있다. 이 모든 것들로 인해 많은 기업이 사이버범죄 위협을 해결할 방법을 갈구하게 된 것으로 CSO의 새로운 설문조사 결과 나타났다. 그 결과를 통해 미국 기업이 직면하고 있는 위협의 속성과 범위뿐만이 아니라 기업이 정확히 어떻게 대응하고 있는지에 대한 통찰을 얻었다. 2017년 미국 사이버범죄 실태(2017 U.S. State of Cybercrime) 설문조사는 CSO가 USSS(US Secret Service) 및 카네기멜론대학교(Carnegie Mellon University)의 SEI(Software Engineering Institute)의 CERT와 공동으로 진행했다. 올해의 설문조사는 포스포인트(Forcepoint)가 후원했다. 510명의 응답자 중 70%는 모든 산업계와 공공 부문의 부사장급 이상이었으며 기업 경영진도 35%나 포함되어 있었다. 응답 기업의 평균 IT 보안 예산은 1,100만 달러다. 보안을 더욱 진지하게 보안이 일부 점진적이기는 하지만 기업 수준에서 더 많은 마인드쉐어(Mindshare)와 더 많은 자원을 얻고 있다. CSO/CISO의 20%가 현재 월별로 이사회에 보고하고 있으며 이는 지난해의 17%보다 증가한 수치다. 하지만 이사회의 61%는 보안을 여전히 기업 거버넌스 문제보다는 IT 문제로 보고 있다. 이 수치는 지난해의 63%와 비교하여 많이 감소하지 않았다. 기업은 IT에 대한 지출이 증가하고 있으며 예산이 평균 7.5% 증가했다. 응답자의 10%는 20% 이상의 증가를 보고했다. 그중...

CSO 낫페트야 페트야 포스포인트 취약성 사물인터넷 사이버보안 CISO 사이버범죄 2017년 미국 사이버범죄 실태

2017.08.01

기업 보안팀들은 힘든 한 해를 보냈다. 페트야(Petya)와 낫페트야(NotPetya) 등의 공격은 영향의 규모가 많이 증가했음을 보여준다. 최근 정부가 개발한 악성코드 및 숨겨져 있던 취약성이 유출되면서 사이버범죄자들의 역량이 더욱 증가했다. IT는 중요한 보안 소프트웨어 패치와 업데이트의 흐름에 맞추기 위해 고군분투하고 있으며 사물인터넷(IoT) 등의 지속적인 신기술 도입으로 새로운 취약성이 등장하고 있다. 이 모든 것들로 인해 많은 기업이 사이버범죄 위협을 해결할 방법을 갈구하게 된 것으로 CSO의 새로운 설문조사 결과 나타났다. 그 결과를 통해 미국 기업이 직면하고 있는 위협의 속성과 범위뿐만이 아니라 기업이 정확히 어떻게 대응하고 있는지에 대한 통찰을 얻었다. 2017년 미국 사이버범죄 실태(2017 U.S. State of Cybercrime) 설문조사는 CSO가 USSS(US Secret Service) 및 카네기멜론대학교(Carnegie Mellon University)의 SEI(Software Engineering Institute)의 CERT와 공동으로 진행했다. 올해의 설문조사는 포스포인트(Forcepoint)가 후원했다. 510명의 응답자 중 70%는 모든 산업계와 공공 부문의 부사장급 이상이었으며 기업 경영진도 35%나 포함되어 있었다. 응답 기업의 평균 IT 보안 예산은 1,100만 달러다. 보안을 더욱 진지하게 보안이 일부 점진적이기는 하지만 기업 수준에서 더 많은 마인드쉐어(Mindshare)와 더 많은 자원을 얻고 있다. CSO/CISO의 20%가 현재 월별로 이사회에 보고하고 있으며 이는 지난해의 17%보다 증가한 수치다. 하지만 이사회의 61%는 보안을 여전히 기업 거버넌스 문제보다는 IT 문제로 보고 있다. 이 수치는 지난해의 63%와 비교하여 많이 감소하지 않았다. 기업은 IT에 대한 지출이 증가하고 있으며 예산이 평균 7.5% 증가했다. 응답자의 10%는 20% 이상의 증가를 보고했다. 그중...

2017.08.01

"NSA 스파이웨어 존재를 쉽게 확인"··· 기트허브에 등장한 스크립트 '눈길'

조직의 컴퓨터가 NSA의 감시 도구에 감염됐는지 의심스러운 이들이 환영할 만한 도구가 등장했다. 이를 쉽게 감지할 수 있다는 무료 도구가 등장해 눈길을 끌고 있다. 보안 업체 커머셜(Countercept)의 루크 제닝스는 지난주 NSA가 유포한 것으로 추정되는 사이버 무기에 대응해 작성한 스크립트를 공개했다. ‘Dublepulsar’라고 불리는 NSA의 이 감시 도구 삽입물은 윈도우 기반 취약성에 의해 배포되며 다른 맬웨어를 실행시키는 재주를 갖췄다. 제닝스의 이번 스크립트는 현재 기트허브에서 다운로드할 수 있다. 단 사용을 위해서는 약간의 프로그래밍 기술이 필요하다. 한편 몇몇 보안 전문가들이 제닝스의 스크립트를 사용하여 임플란트에 감염된 시스템을 인터넷에서 검색했다. 그 결과, 약 3만 ~ 10만 대의 컴퓨터가 ‘Dublepulsar’에 감염된 것으로 추정되고 있다. 이 중 침투 테스트 기업 빌로우0데이(Below0Day)는 감염 컴퓨터가 분포한 국가를 의미하는 트위터 그래프를 작성하기도 했다. 이에 따르면 미국에는 약 1 만 1,000대의 감염된 컴퓨터가 존재하며, 영국, 대만, 독일을 비롯한 여러 국가에서 1,500 대 이상의 컴퓨터가 감염돼 있었다. 제닝스는 이들 컴퓨터들이 악성 코드에 감염된 시기가 분명하지 않다고 밝히면서도, ‘Doublepulsar’를 배포하는 것으로 추정되는 NSA의 도구가 일주일 전에 누출됐으며 이 시점부터 해킹 역량을 가진 이들이 이용하기 시작했었을 수 있다고 분석했다. . 몇몇 보안 전문가들은 사이버 범죄자나 외국 정부가 이번 취약성을 악용해 인터넷으로 구형 컴퓨터 일부를 공격 할 수 있다고 우려하고 있다. 특히 패치되지 않은 윈도우 시스템으로 구동되는 컴퓨터가 특히 위험에 처해 있다는 진단이다. 시스템을 재부팅하면 NSA의 삽입물은 제거되지만 임플란트와 관련된 모든 맬웨어가 제거되지 않는다. 제닝스는 ‘Dubl...

맬웨어 스파이웨어 감시 NSA 커머셜 취약성

2017.04.24

조직의 컴퓨터가 NSA의 감시 도구에 감염됐는지 의심스러운 이들이 환영할 만한 도구가 등장했다. 이를 쉽게 감지할 수 있다는 무료 도구가 등장해 눈길을 끌고 있다. 보안 업체 커머셜(Countercept)의 루크 제닝스는 지난주 NSA가 유포한 것으로 추정되는 사이버 무기에 대응해 작성한 스크립트를 공개했다. ‘Dublepulsar’라고 불리는 NSA의 이 감시 도구 삽입물은 윈도우 기반 취약성에 의해 배포되며 다른 맬웨어를 실행시키는 재주를 갖췄다. 제닝스의 이번 스크립트는 현재 기트허브에서 다운로드할 수 있다. 단 사용을 위해서는 약간의 프로그래밍 기술이 필요하다. 한편 몇몇 보안 전문가들이 제닝스의 스크립트를 사용하여 임플란트에 감염된 시스템을 인터넷에서 검색했다. 그 결과, 약 3만 ~ 10만 대의 컴퓨터가 ‘Dublepulsar’에 감염된 것으로 추정되고 있다. 이 중 침투 테스트 기업 빌로우0데이(Below0Day)는 감염 컴퓨터가 분포한 국가를 의미하는 트위터 그래프를 작성하기도 했다. 이에 따르면 미국에는 약 1 만 1,000대의 감염된 컴퓨터가 존재하며, 영국, 대만, 독일을 비롯한 여러 국가에서 1,500 대 이상의 컴퓨터가 감염돼 있었다. 제닝스는 이들 컴퓨터들이 악성 코드에 감염된 시기가 분명하지 않다고 밝히면서도, ‘Doublepulsar’를 배포하는 것으로 추정되는 NSA의 도구가 일주일 전에 누출됐으며 이 시점부터 해킹 역량을 가진 이들이 이용하기 시작했었을 수 있다고 분석했다. . 몇몇 보안 전문가들은 사이버 범죄자나 외국 정부가 이번 취약성을 악용해 인터넷으로 구형 컴퓨터 일부를 공격 할 수 있다고 우려하고 있다. 특히 패치되지 않은 윈도우 시스템으로 구동되는 컴퓨터가 특히 위험에 처해 있다는 진단이다. 시스템을 재부팅하면 NSA의 삽입물은 제거되지만 임플란트와 관련된 모든 맬웨어가 제거되지 않는다. 제닝스는 ‘Dubl...

2017.04.24

CIA 문건 공개 파장··· SW업체를 얼마나 믿을 수 있나?

최근 미 CIA(Central Intelligence Agency)의 사이버 간첩행위에 대한 공개가 잇따르면서 소프트웨어 업체들이 시의적절하게 취약성을 수정하겠다는 약속을 반복했으며 사용자들에게 해당 기관에서 유출된 문서에 기술된 결함 중 많은 부분을 수정했다고 밝혔다. 제로데이 취약성은 앞으로도 계속 존재할 것이다.  홍보의 관점에서는 이런 약속을 이해할 수 있지만 실제로 국가의 후원을 받는 해커들이 노리는 기업들과 사용자들에게는 아무런 차이가 없다. 그들이 사용하는 소프트웨어는 안전하지 않을뿐더러 지난 14일 위키리크스(WikiLeaks)가 8,700건 이상의 CIA 문건을 공개하기 이전보다 더욱 안전해지지도 않았다. 유출된 파일에는 CIA의 사이버 부서에서 모든 주요 데스크톱 및 모바일 운영체제뿐만이 아니라 네트워킹 장비와 스마트TV 등 임베디드 기기를 해킹하는 데 사용하는 악성코드 툴과 익스플로잇 공격에 관해 설명되어 있었다. 해당 문서에는 이런 툴의 실제 코드가 포함되어 있지는 않았으며 그 중 좀 더 자세한 것으로 보이는 설명은 수정되었다. 위키리크스의 설립자 줄리안 어산지는 자신의 조직이 소프트웨어 업체들과 비공 세부사항을 공유하여 취약성을 패치할 수 있도록 하겠다고 말했다. 하지만 위키리크스가 그렇게 한다 하더라도 정보는 특정 순간에 관한 것이라는 사실을 인식하는 것이 중요하다. 해당 문서의 가장 최근 날짜 문자열은 2016년 3월 초부터 시작되기 때문에 CIA의 시스템에서 파일을 복사한 시점을 알 수 있다. 일부 익스플로잇 공격 목록도 마찬가지다. 예를 들어, 애플의 iOS에 대한 익스플로잇 공격을 설명한 페이지에는 iOS 버전 별로 배열한 표가 포함되어 있다. 해당 표는 2015년 12월에 공개된 iOS 9.2에서 끝난다. 그 이후의 중요 업데이트인 iOS 9.3은 2016년 3월 말에 공개됐다. 영국의 GCHQ에서 획득한 커널 익스플로잇 공격인 ‘난다오(Nandao)’는 ...

애플 임베디드 기기 익스플로잇 해킹팀 취약성 스마트TV 제로데이 CIA iOS 데스크톱 OS 소프트웨어 위키리크스 난다오

2017.03.15

최근 미 CIA(Central Intelligence Agency)의 사이버 간첩행위에 대한 공개가 잇따르면서 소프트웨어 업체들이 시의적절하게 취약성을 수정하겠다는 약속을 반복했으며 사용자들에게 해당 기관에서 유출된 문서에 기술된 결함 중 많은 부분을 수정했다고 밝혔다. 제로데이 취약성은 앞으로도 계속 존재할 것이다.  홍보의 관점에서는 이런 약속을 이해할 수 있지만 실제로 국가의 후원을 받는 해커들이 노리는 기업들과 사용자들에게는 아무런 차이가 없다. 그들이 사용하는 소프트웨어는 안전하지 않을뿐더러 지난 14일 위키리크스(WikiLeaks)가 8,700건 이상의 CIA 문건을 공개하기 이전보다 더욱 안전해지지도 않았다. 유출된 파일에는 CIA의 사이버 부서에서 모든 주요 데스크톱 및 모바일 운영체제뿐만이 아니라 네트워킹 장비와 스마트TV 등 임베디드 기기를 해킹하는 데 사용하는 악성코드 툴과 익스플로잇 공격에 관해 설명되어 있었다. 해당 문서에는 이런 툴의 실제 코드가 포함되어 있지는 않았으며 그 중 좀 더 자세한 것으로 보이는 설명은 수정되었다. 위키리크스의 설립자 줄리안 어산지는 자신의 조직이 소프트웨어 업체들과 비공 세부사항을 공유하여 취약성을 패치할 수 있도록 하겠다고 말했다. 하지만 위키리크스가 그렇게 한다 하더라도 정보는 특정 순간에 관한 것이라는 사실을 인식하는 것이 중요하다. 해당 문서의 가장 최근 날짜 문자열은 2016년 3월 초부터 시작되기 때문에 CIA의 시스템에서 파일을 복사한 시점을 알 수 있다. 일부 익스플로잇 공격 목록도 마찬가지다. 예를 들어, 애플의 iOS에 대한 익스플로잇 공격을 설명한 페이지에는 iOS 버전 별로 배열한 표가 포함되어 있다. 해당 표는 2015년 12월에 공개된 iOS 9.2에서 끝난다. 그 이후의 중요 업데이트인 iOS 9.3은 2016년 3월 말에 공개됐다. 영국의 GCHQ에서 획득한 커널 익스플로잇 공격인 ‘난다오(Nandao)’는 ...

2017.03.15

기업 보안 당면 과제 '시스템 취약성과 클라우드 보호'··· 포티넷

포티넷코리아와 시장조사기업인 라이트스피드 GMI(Lightspeed GMI)가 함께 진행한 사이버보안 조사 결과, IT 시스템 내 취약성 보호와 클라우드 보안이 기업의 보안 과제로 꼽혔다.  이 설문조사는 13개국, 250명 이상의 직원을 보유한 조직의 IT 의사결정권자(CIO, CTO, IT 디렉터 및 책임자) 1,399명을 대상으로 진행됐다. 응답자의 64%는 ‘보안 공격이 날로 증가하는 비즈니스 환경에서 가장 적절한 대응은 위협 라이프사이클 전체를 보호할 수 있는 새로운 사이버 보안 기술에 투자하는 것’이라고 답변했다. IT 의사 결정권자들은 가장 큰 보안 과제로 ‘IT 시스템 내 취약성 보호’과 ‘클라우드 보호’를 꼽았다. 특히 클라우드에 관해서는 전체 응답자의 67% 및 중국 본토 응답자의 86%(아태지역 중 최고 수치)가 ‘클라우드 보호’라고 답변했다. 또한 IT 시스템 내 취약성 보호에 관해서는 응답자의 69% 및 태국 응답자의 74%(아태지역 중 최고 수치)가 ‘IT 시스템 내 취약성 보호’라고 답변했다. 많은 응답자들은 보안 공격의 증가가 보안관리서비스 업체(Managed Security Service Provider, 이하 MSSP)에 사이버보안 기능을 아웃소싱하는 촉매제로 작용하고 있다고 밝혔다. 또한, 향후 3~5년 내 아태지역 조직의 38%가 사이버보안 과제를 아웃소싱할 것이라고 답변했다. 사이버보안 아웃소싱 도입이 가장 높게 예측되는 지역은 싱가포르(59%)였으며, 태국은 30%로 가장 낮게 나타났다. 지난해 전체 아태 지역의 IT 의사결정권자의 반 이상(59%)이 사이버 공격을 경험했다고 응답했으며, 이 중 22%만이 몇 분 내 공격 발생을 감지했다고 답했다. 최근 공격을 경험한 인도의 응답자 가운데 14%만이 몇 분 내 공격 발생을 감지했다고 응답해 조사 지역 중 가장 낮은 반응률을 기록했다...

조사 포티넷 클라우드 보안 취약성 MSSP 보안 아웃소싱

2016.09.22

포티넷코리아와 시장조사기업인 라이트스피드 GMI(Lightspeed GMI)가 함께 진행한 사이버보안 조사 결과, IT 시스템 내 취약성 보호와 클라우드 보안이 기업의 보안 과제로 꼽혔다.  이 설문조사는 13개국, 250명 이상의 직원을 보유한 조직의 IT 의사결정권자(CIO, CTO, IT 디렉터 및 책임자) 1,399명을 대상으로 진행됐다. 응답자의 64%는 ‘보안 공격이 날로 증가하는 비즈니스 환경에서 가장 적절한 대응은 위협 라이프사이클 전체를 보호할 수 있는 새로운 사이버 보안 기술에 투자하는 것’이라고 답변했다. IT 의사 결정권자들은 가장 큰 보안 과제로 ‘IT 시스템 내 취약성 보호’과 ‘클라우드 보호’를 꼽았다. 특히 클라우드에 관해서는 전체 응답자의 67% 및 중국 본토 응답자의 86%(아태지역 중 최고 수치)가 ‘클라우드 보호’라고 답변했다. 또한 IT 시스템 내 취약성 보호에 관해서는 응답자의 69% 및 태국 응답자의 74%(아태지역 중 최고 수치)가 ‘IT 시스템 내 취약성 보호’라고 답변했다. 많은 응답자들은 보안 공격의 증가가 보안관리서비스 업체(Managed Security Service Provider, 이하 MSSP)에 사이버보안 기능을 아웃소싱하는 촉매제로 작용하고 있다고 밝혔다. 또한, 향후 3~5년 내 아태지역 조직의 38%가 사이버보안 과제를 아웃소싱할 것이라고 답변했다. 사이버보안 아웃소싱 도입이 가장 높게 예측되는 지역은 싱가포르(59%)였으며, 태국은 30%로 가장 낮게 나타났다. 지난해 전체 아태 지역의 IT 의사결정권자의 반 이상(59%)이 사이버 공격을 경험했다고 응답했으며, 이 중 22%만이 몇 분 내 공격 발생을 감지했다고 답했다. 최근 공격을 경험한 인도의 응답자 가운데 14%만이 몇 분 내 공격 발생을 감지했다고 응답해 조사 지역 중 가장 낮은 반응률을 기록했다...

2016.09.22

포티넷, 인프라 기업의 운영 기술 취약성 점검 가이드라인 발표

포티넷코리아가 중요 인프라 기업의 OT(Operational Technology) 취약성을 점검하는 데 도움을 줄 10가지 가이드라인을 발표했다. 포티넷에 따르면, 유틸리티, 운송, 천연자원 생산 등 중요한 인프라스 조직에서 발생하는 보안 사고의 약 80%가 직원의 실수로 인한 소프트웨어 설정 오류, 네트워크 프로토콜 오류와 같이 비의도적인 내부 이슈 때문에 발생하고 있다. 조직들이 모든 위협을 사전에 예측하는 것은 불가능하며, 통제 가능한 것에 집중하는 것이 더욱 효율적이다. 포티넷은 기업들이 OT 취약성을 점검하는 데 도움을 줄 10가지 가이드라인을 제시했다. 1. 즉각적인 보호가 필요한 중요 요소를 먼저 파악하는 것이 첫 번째 단계이다. 2. 접근 제어나 승인 관리를 위한 프로토콜을 점검해야 한다. 대부분의 시스템은 이미 분리되어 있다. 3. 하드웨어 및 소프트웨어 운영 시스템에 대한 정기적인 업데이트가 필요하다. 조직은 하드웨어 및 소프트웨어 시스템에 대해 안티-바이러스 소프트웨어, 위협 스캐닝(threat scanning) 기술과 같은 최신 표준 방어 기술과의 호환성을 보장해야 한다. 4. 정기적인 업데이트 및 패치를 실행해야 한다. 5. 센서, 압력계와 같이 보안이 어려운 IP 구동(IP-enabled) 원격 측정 장치를 사전에 파악해야 한다. 6. 최신 코딩(coding) 베스트 프랙티스를 활용해야 한다. 권고된 보안 기법이 포함되지 않은 고객 맞춤 소프트웨어 또는 내장 소프트웨어는 OT 시스템을 공격의 위험에 노출시킬 수 있다. 7. 이벤트 로깅을 위한 표준 절차를 지켜야 한다. 시스템 이벤트 검토 및 보고를 위한 절차를 실행하는 조직은 보안 조치 실행 및 이상 감지를 위해 이 데이터를 효율적으로 사용할 수 있다. 8. 부품 제조사 및 공급망을 점검해야 한다. 적절한 모니터링과 관리가 없다면 설치 전의 장비는 보안에 위험요인이 될 수 있다. 9. 네트워크 분할(Network Segmentation)을 도입해야 한다....

포티넷 취약성

2016.06.21

포티넷코리아가 중요 인프라 기업의 OT(Operational Technology) 취약성을 점검하는 데 도움을 줄 10가지 가이드라인을 발표했다. 포티넷에 따르면, 유틸리티, 운송, 천연자원 생산 등 중요한 인프라스 조직에서 발생하는 보안 사고의 약 80%가 직원의 실수로 인한 소프트웨어 설정 오류, 네트워크 프로토콜 오류와 같이 비의도적인 내부 이슈 때문에 발생하고 있다. 조직들이 모든 위협을 사전에 예측하는 것은 불가능하며, 통제 가능한 것에 집중하는 것이 더욱 효율적이다. 포티넷은 기업들이 OT 취약성을 점검하는 데 도움을 줄 10가지 가이드라인을 제시했다. 1. 즉각적인 보호가 필요한 중요 요소를 먼저 파악하는 것이 첫 번째 단계이다. 2. 접근 제어나 승인 관리를 위한 프로토콜을 점검해야 한다. 대부분의 시스템은 이미 분리되어 있다. 3. 하드웨어 및 소프트웨어 운영 시스템에 대한 정기적인 업데이트가 필요하다. 조직은 하드웨어 및 소프트웨어 시스템에 대해 안티-바이러스 소프트웨어, 위협 스캐닝(threat scanning) 기술과 같은 최신 표준 방어 기술과의 호환성을 보장해야 한다. 4. 정기적인 업데이트 및 패치를 실행해야 한다. 5. 센서, 압력계와 같이 보안이 어려운 IP 구동(IP-enabled) 원격 측정 장치를 사전에 파악해야 한다. 6. 최신 코딩(coding) 베스트 프랙티스를 활용해야 한다. 권고된 보안 기법이 포함되지 않은 고객 맞춤 소프트웨어 또는 내장 소프트웨어는 OT 시스템을 공격의 위험에 노출시킬 수 있다. 7. 이벤트 로깅을 위한 표준 절차를 지켜야 한다. 시스템 이벤트 검토 및 보고를 위한 절차를 실행하는 조직은 보안 조치 실행 및 이상 감지를 위해 이 데이터를 효율적으로 사용할 수 있다. 8. 부품 제조사 및 공급망을 점검해야 한다. 적절한 모니터링과 관리가 없다면 설치 전의 장비는 보안에 위험요인이 될 수 있다. 9. 네트워크 분할(Network Segmentation)을 도입해야 한다....

2016.06.21

오픈소스의 두 얼굴··· 탁월한 가치, 만만치 않은 맹점

오늘날 IT 시장의 주연 중 하나는 단연 오픈소스다. 그러나 오픈소스가 모든 문제의 해답일 수는 없다. 오히려 고유의 강점이 문제를 일으키는 원인이 되기도 한다. 오픈소스의 지위가 높아지는 만큼, 그에 관한 진지한 고민 역시 필요한 시점이다. 코어 시큐리티(Core Security)에서 선진 보안 및 전략 사업부를 이끌고 있는 에릭 코퍼스웨이트 부사장은 CSO와의 인터뷰에서 “오픈소스 코드가 마침내 세계를 정복했다”라고 표현했다. 오픈소스는 다양한 강점과 명확한 가치를 가지고 있다. 시장의 사용자들은 이를 이미 잘 알고 있다. 오픈소스의 최대 매력은 이용함에 있어 별도의 비용이 들어가지 않는다는 점이다. 모두에게 공개되어 있고 누구라도 그것을 원하는 대로 커스텀 할 수 있다는 점은 오픈소스 생태계를 더욱 풍성하고 활발하게 만들어줬다. 생태계가 풍부해질수록 참여자는 더욱 늘어났고, 그들의 적극적인 참여 덕택에 발생하는 버그나 결함은 빠르게 수정된다. 레드스핀(Redspin)의 보안 엔지니어 앤드류 오스타셴은 “소스코드가 세계 누구에게나 열려있는 상황에서는 동일한 설정의 사용자가 수많도록 존재하게 된다. 특정 문제가 발생했을 때 그것의 발견과 해결의 가능성이 훨씬 커지게 되는 것이다”라고 설명했다. 오픈소스의 현재 입지에 관해 대다수의 보안, 법률 전문가들 역시 오스타셴과 같은 시각을 드러내고 있다. 시각이 엇갈리기도 하지만, 심각한 문제를 제기하지는 않는 분위기다. 그러나, 오픈소스가 완벽한, 그리고 모두에게 적합한 솔루션인 것은 절대 아니라는 경고의 목소리도 곳곳에서 들려오고 있다. 기업, 개인 사용자들이 오픈소스를 이용하는 과정에 조금은 주의를 기울일 필요가 있다는 시각들이다. Credit: SGT Pablo Piedra 전문가에 따라서는 오픈소스의 강점으로 이야기되는 것들이 때론 위험 요소가 될 수 있다는 점을 지적한다. 가장 먼저, 특정 취약성이 모두에게 공유된...

보안 오픈소스 패치 버그 취약성

2015.06.17

오늘날 IT 시장의 주연 중 하나는 단연 오픈소스다. 그러나 오픈소스가 모든 문제의 해답일 수는 없다. 오히려 고유의 강점이 문제를 일으키는 원인이 되기도 한다. 오픈소스의 지위가 높아지는 만큼, 그에 관한 진지한 고민 역시 필요한 시점이다. 코어 시큐리티(Core Security)에서 선진 보안 및 전략 사업부를 이끌고 있는 에릭 코퍼스웨이트 부사장은 CSO와의 인터뷰에서 “오픈소스 코드가 마침내 세계를 정복했다”라고 표현했다. 오픈소스는 다양한 강점과 명확한 가치를 가지고 있다. 시장의 사용자들은 이를 이미 잘 알고 있다. 오픈소스의 최대 매력은 이용함에 있어 별도의 비용이 들어가지 않는다는 점이다. 모두에게 공개되어 있고 누구라도 그것을 원하는 대로 커스텀 할 수 있다는 점은 오픈소스 생태계를 더욱 풍성하고 활발하게 만들어줬다. 생태계가 풍부해질수록 참여자는 더욱 늘어났고, 그들의 적극적인 참여 덕택에 발생하는 버그나 결함은 빠르게 수정된다. 레드스핀(Redspin)의 보안 엔지니어 앤드류 오스타셴은 “소스코드가 세계 누구에게나 열려있는 상황에서는 동일한 설정의 사용자가 수많도록 존재하게 된다. 특정 문제가 발생했을 때 그것의 발견과 해결의 가능성이 훨씬 커지게 되는 것이다”라고 설명했다. 오픈소스의 현재 입지에 관해 대다수의 보안, 법률 전문가들 역시 오스타셴과 같은 시각을 드러내고 있다. 시각이 엇갈리기도 하지만, 심각한 문제를 제기하지는 않는 분위기다. 그러나, 오픈소스가 완벽한, 그리고 모두에게 적합한 솔루션인 것은 절대 아니라는 경고의 목소리도 곳곳에서 들려오고 있다. 기업, 개인 사용자들이 오픈소스를 이용하는 과정에 조금은 주의를 기울일 필요가 있다는 시각들이다. Credit: SGT Pablo Piedra 전문가에 따라서는 오픈소스의 강점으로 이야기되는 것들이 때론 위험 요소가 될 수 있다는 점을 지적한다. 가장 먼저, 특정 취약성이 모두에게 공유된...

2015.06.17

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13