Offcanvas

���������

강은성의 보안 아키텍트 | 블록체인과 보안(3)

블록체인과 보안(1)에서는 “블록체인의 보안성이 좋다”라는 속설(?)을 전통적으로 보안의 (기술적인) 목적으로 삼아왔던 기밀성, 무결성, 가용성의 측면에서 검토했고, 블록체인과 보안(2)에서는 합의 알고리즘과 같은 블록체인 자체의 속성 측면과 소프트웨어 측면, 소프트웨어 기반 서비스의 측면에서 블록체인의 보안성을 살펴봤다. 이번 칼럼에서는 블록체인 애플리케이션 중 가장 대중화된 암호화폐 전자지갑의 보안과 사용자의 보안 활동에 관하여 살펴보려고 한다. 먼저 알아둘 게 있다. ‘지갑'(Wallet)이 가진 의미 때문에 암호화폐 전자지갑에는 암호화폐가 들어 있다고 생각하는 분들이 의외로 많다. 하지만 블록체인 기반의 전자지갑에는 돈과 관련된 아무런 데이터도 저장되어 있지 않다. 계좌 A에서 계좌 B로 10BTC를 송금하면, 그 거래 기록이 해당 블록체인의 모든 노드에 쓰이고, 전자지갑은 블록체인에 써 있는 거래 기록을 읽어서 계좌 A에서 B로 10BTC가 이동하였고, 그에 따라 A의 잔고가 얼마라는 데이터를 보여준다. 거래 기록은 블록체인에 있고, 암호화폐 지갑은 사용자 인터페이스일 뿐이다.  전자지갑은 공개키 암호시스템에서의 공개키(Public key)를 (변형하여) 은행 통장의 계좌번호처럼 사용하고, 이에 상응하는 개인키(비밀키, Private key)를 그 계좌의 비밀번호처럼 사용한다. 하지만 누구든지 전자지갑의 계좌를 알면 누구든지 계좌의 거래 이력과 잔액을 알 수 있고, 개인키를 아는 사람은 누구든지 연결 계좌의 암호화폐를 다른 계좌로 송금할 수 있다는 점은 기존 금융거래와는 크게 다른 점이다. 개인키를 잃어버리거나 그것이 남에게 노출되어 자신의 암호화폐를 분실하는 경우가 이따금 발생한다. 전자지갑 개인키의 안전한 관리가 암호화폐(암호자산) 보호의 관건인 이유다.  통장의 비밀번호와는 달리 개인키는 너무 길어서 외우기 어렵기 때문에 많은 사용자들이 이것을 PC의 하드디스크에 저장해 놓고, 복사&...

구글 개인키 복호화 ISMS 암호화폐 정보통신망법 정보보호관리체계 생체인증 모자이크 P2P 전자지갑 CISO 암호화 금융 CSO 지갑앱

2019.02.13

블록체인과 보안(1)에서는 “블록체인의 보안성이 좋다”라는 속설(?)을 전통적으로 보안의 (기술적인) 목적으로 삼아왔던 기밀성, 무결성, 가용성의 측면에서 검토했고, 블록체인과 보안(2)에서는 합의 알고리즘과 같은 블록체인 자체의 속성 측면과 소프트웨어 측면, 소프트웨어 기반 서비스의 측면에서 블록체인의 보안성을 살펴봤다. 이번 칼럼에서는 블록체인 애플리케이션 중 가장 대중화된 암호화폐 전자지갑의 보안과 사용자의 보안 활동에 관하여 살펴보려고 한다. 먼저 알아둘 게 있다. ‘지갑'(Wallet)이 가진 의미 때문에 암호화폐 전자지갑에는 암호화폐가 들어 있다고 생각하는 분들이 의외로 많다. 하지만 블록체인 기반의 전자지갑에는 돈과 관련된 아무런 데이터도 저장되어 있지 않다. 계좌 A에서 계좌 B로 10BTC를 송금하면, 그 거래 기록이 해당 블록체인의 모든 노드에 쓰이고, 전자지갑은 블록체인에 써 있는 거래 기록을 읽어서 계좌 A에서 B로 10BTC가 이동하였고, 그에 따라 A의 잔고가 얼마라는 데이터를 보여준다. 거래 기록은 블록체인에 있고, 암호화폐 지갑은 사용자 인터페이스일 뿐이다.  전자지갑은 공개키 암호시스템에서의 공개키(Public key)를 (변형하여) 은행 통장의 계좌번호처럼 사용하고, 이에 상응하는 개인키(비밀키, Private key)를 그 계좌의 비밀번호처럼 사용한다. 하지만 누구든지 전자지갑의 계좌를 알면 누구든지 계좌의 거래 이력과 잔액을 알 수 있고, 개인키를 아는 사람은 누구든지 연결 계좌의 암호화폐를 다른 계좌로 송금할 수 있다는 점은 기존 금융거래와는 크게 다른 점이다. 개인키를 잃어버리거나 그것이 남에게 노출되어 자신의 암호화폐를 분실하는 경우가 이따금 발생한다. 전자지갑 개인키의 안전한 관리가 암호화폐(암호자산) 보호의 관건인 이유다.  통장의 비밀번호와는 달리 개인키는 너무 길어서 외우기 어렵기 때문에 많은 사용자들이 이것을 PC의 하드디스크에 저장해 놓고, 복사&...

2019.02.13

랜섬웨어에 대처하는 6가지 전략

랜섬웨어에 감염된 시스템이 얼마나 위험하고, 해당 데이터를 복구하지 못했을 때 회사가 입는 피해가 얼마나 치명적인지에 따라 랜섬웨어에 대처하는 방법도 달라진다.  랜섬웨어는 일종의 납치다. 랜섬웨어 공격자를 대하는 일은 난간에서 뛰어 노는 강아지를 잡는 것만큼 아슬아슬한 과정이다. 주요 인프라 테크놀로지 협회(ICIT, The Institute for Critical Infrastructure Technology)는 보고서에서 사이버 범죄자가 우리의 데이터를 인질로 삼고 있는 상황에서 우리가 어떤 대응 전략을 취하고 유출 사고를 발견했을 때 어떤 자세로 임해야 할지 설명했다. ICIT에 따르면, 랜섬웨어에 대한 대응 전략은 기업의 리스크 허용 한도(risk tolerance), 유출 데이터의 잠재적 중요성, 피해에 따른 비즈니스 연속성의 영향, 시스템 이중화의 가용성, 규제 내용 등에 따라 달라진다. 전략 1: 사고 대응 계획 도입 정보보안팀은 랜섬웨어 공격 시 대응 절차 계획을 마련해야 한다. 공격을 확인한 후 가장 먼저 해야 할 일은 규제 및 관리 당국에 공격 사실을 알리는 것이다. 대응 계획에는 복구 목표 시간(RTO, Recovery Time Objective)과 복구 목표 지점(RPO, Recovery Point Objective)이 명시돼야 한다. 백업 데이터가 존재하는 경우라면, 사고에 대한 사이버 범죄 근거들을 정리하고 보존해 추후 법적 절차를 밟을 수 있도록 준비하는 과정도 필요하다. 시스템을 이중화하지 않았거나 2차 시스템까지 감염됐다면, 정보보안팀만 나설 게 아니라 외부 전문 업체의 솔루션과 복호화 툴을 사용해야 한다. 전략 2: 정보보안 외 다른 노력 공격받은 파일은 일부가 손상됐거나 복호화가 불완전한 경우가 많다. 따라서 외부 업체의 솔루션이 동작하고 있더라도 피해자 입장에서는 시스템에 여전히 랜섬웨어나 백도어, 또는 기타 악성코드가 숨어있지 않다고 안심하기 어렵다. 시스템 감염은 사람의 오...

데이터 듀얼 시스템 ICTT 주요 인프라 테크놀로지 협회 복호화 백도어 랜섬웨어 비즈니스 연속성 복구 CISO 사이버범죄 CSO 정보보안팀

2017.03.06

랜섬웨어에 감염된 시스템이 얼마나 위험하고, 해당 데이터를 복구하지 못했을 때 회사가 입는 피해가 얼마나 치명적인지에 따라 랜섬웨어에 대처하는 방법도 달라진다.  랜섬웨어는 일종의 납치다. 랜섬웨어 공격자를 대하는 일은 난간에서 뛰어 노는 강아지를 잡는 것만큼 아슬아슬한 과정이다. 주요 인프라 테크놀로지 협회(ICIT, The Institute for Critical Infrastructure Technology)는 보고서에서 사이버 범죄자가 우리의 데이터를 인질로 삼고 있는 상황에서 우리가 어떤 대응 전략을 취하고 유출 사고를 발견했을 때 어떤 자세로 임해야 할지 설명했다. ICIT에 따르면, 랜섬웨어에 대한 대응 전략은 기업의 리스크 허용 한도(risk tolerance), 유출 데이터의 잠재적 중요성, 피해에 따른 비즈니스 연속성의 영향, 시스템 이중화의 가용성, 규제 내용 등에 따라 달라진다. 전략 1: 사고 대응 계획 도입 정보보안팀은 랜섬웨어 공격 시 대응 절차 계획을 마련해야 한다. 공격을 확인한 후 가장 먼저 해야 할 일은 규제 및 관리 당국에 공격 사실을 알리는 것이다. 대응 계획에는 복구 목표 시간(RTO, Recovery Time Objective)과 복구 목표 지점(RPO, Recovery Point Objective)이 명시돼야 한다. 백업 데이터가 존재하는 경우라면, 사고에 대한 사이버 범죄 근거들을 정리하고 보존해 추후 법적 절차를 밟을 수 있도록 준비하는 과정도 필요하다. 시스템을 이중화하지 않았거나 2차 시스템까지 감염됐다면, 정보보안팀만 나설 게 아니라 외부 전문 업체의 솔루션과 복호화 툴을 사용해야 한다. 전략 2: 정보보안 외 다른 노력 공격받은 파일은 일부가 손상됐거나 복호화가 불완전한 경우가 많다. 따라서 외부 업체의 솔루션이 동작하고 있더라도 피해자 입장에서는 시스템에 여전히 랜섬웨어나 백도어, 또는 기타 악성코드가 숨어있지 않다고 안심하기 어렵다. 시스템 감염은 사람의 오...

2017.03.06

'클라우드 이전, 뭣이 중헌디?' 데이터 보안 체크리스트

클라우드 환경으로 이전할 때, 기업은 자사의 요구와 제공업체의 보안뿐 아니라 내부 정책까지도 자세히 검토해야 한다. 많은 기업은 다른 조직과 클라우드 공간을 공유하는 것이 얼마나 위험한 일인지 충분히 고민하지 않거나 클라우드 업체의 보안 정책과 자사 데이터센터의 정책과 맞출 방법을 생각할 시간을 갖지 않는다. 보안 업체인 라드웨어(Radware)는 기업이 원활하게 클라우드로 이전하고 엄격한 클라우드 보안을 확립할 수 있는 9단계 체크리스트를 제시했다. ciokr@idg.co.kr

CSO 데이터 보안 CISO 다운타임 애플리케이션 보안 클라우드 보안 클라우드 이전 복호화

2016.08.01

클라우드 환경으로 이전할 때, 기업은 자사의 요구와 제공업체의 보안뿐 아니라 내부 정책까지도 자세히 검토해야 한다. 많은 기업은 다른 조직과 클라우드 공간을 공유하는 것이 얼마나 위험한 일인지 충분히 고민하지 않거나 클라우드 업체의 보안 정책과 자사 데이터센터의 정책과 맞출 방법을 생각할 시간을 갖지 않는다. 보안 업체인 라드웨어(Radware)는 기업이 원활하게 클라우드로 이전하고 엄격한 클라우드 보안을 확립할 수 있는 9단계 체크리스트를 제시했다. ciokr@idg.co.kr

2016.08.01

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6